Microsoft Purview 数据映射常见问题解答中的敏感度标签

本文列出了有关Microsoft Purview 数据映射中敏感度标记的常见问题,以及其答案以及根据需要指向详细信息的链接。

注意

Microsoft Purview 数据目录将其名称更改为 Microsoft Purview 统一目录。 所有功能将保持不变。 当新的 Microsoft Purview 数据治理体验在你的区域中正式发布时,你将看到名称更改。 检查你所在的区域的名称

重要

Microsoft Purview 数据映射中的标签目前为预览版。 Microsoft Azure 预览版补充使用条款包括适用于 Beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

许可和设置

对Microsoft Purview 数据映射中的文件和数据库列使用敏感度标签有哪些许可要求?

若要在Microsoft Purview 数据映射中使用敏感度标签,需要在与 Microsoft Purview 帐户相同的Microsoft Entra租户中至少有一个 Microsoft 365 许可证/帐户。

需要以下Microsoft 365 个许可证才能自动将敏感度标签应用于 Microsoft 365Microsoft Purview 数据映射中的资产:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5 合规性
  • Microsoft 365 E5/A5/G5 信息保护和治理
  • Office 365 E5、企业移动性 + 安全性 E5/A5/G5 和 AIP 计划 2

有关详细信息,请参阅 Microsoft 365 服务说明

如果我的组织在Microsoft Entra租户中有多个Microsoft Purview 数据映射帐户,是否需要单独手动将标签扩展到每个帐户?

不正确。 将敏感度标签扩展到Microsoft Purview 数据映射时,这些标签将扩展到租户中的所有帐户。

我的组织已对 Office 文档和电子邮件使用敏感度标签。 将这些标签扩展到Microsoft Purview 数据映射有何影响? 这会影响我的现有Microsoft Purview 信息保护设置吗?

将标签扩展到数据映射不会影响现有Microsoft Purview 信息保护设置,也不会影响以任何方式修改资产,包括文件和数据库。

  • 将敏感度标签扩展到Microsoft Purview 数据映射时,Microsoft Purview 信息保护设置将继续以与以前相同的方式工作。
  • 将敏感度标签扩展到数据映射允许 Microsoft Purview 将这些标签应用于Microsoft Purview 数据映射中的 Azure 和多云资产。 数据映射是元数据存储区,可以随时删除,并且可以使用Microsoft Purview 数据目录浏览它。
  • 敏感度标签仅应用于Microsoft Purview 数据映射中的资产元数据,不应用于实际文件和数据库列。 这些敏感度标签不会以任何方式修改文件和数据库。

如何确定是否已同意将标签扩展到Microsoft Purview 数据映射?

只有符合性管理员、租户的全局管理员或有权访问 Set-PolicyConfig cmdlet 的自定义角色才能为Microsoft Purview 数据映射启用标签。 若要验证管理员是否已将标签扩展到Microsoft Purview 数据映射,请连接到 Exchange Online PowerShell 并运行 Get-PolicyConfig cmdlet。 例如:

Get-PolicyConfig | format-list Purview*

当标签已扩展到Microsoft Purview 数据映射时,你将看到 PurviewLabelConsent 参数的 True,以及指示激活同意时间的时间戳和激活同意者的 ObjectId

PurviewLabelConsent        : True
PurviewLabelConsentCaller  : d8675309-1111-2222-3333-1234567890ab
PurviewLabelConsentTime    : 9/28/2021 6:04:45 PM
PurviewLabelConsentDetails : {"Consent":true,"Caller":"d8675309-1111-2222-3333-1234567890ab","Time":"9/28/2021 6:04:45 PM"}

标记尚未扩展时,你将看到 PurviewLabelConsent 的 False,如以下示例所示:

PurviewLabelConsent        : False
PurviewLabelConsentCaller  : 
PurviewLabelConsentTime    : 
PurviewLabelConsentDetails :

这与审核将Microsoft Purview 数据映射添加到敏感度标签范围的操作不同。 可以在统一的审核日志中找到该活动。 例如,

Search-UnifiedAuditLog -Operations "Set-Label" -StartDate 10/05/2021 -EndDate 10/16/2021

有关详细信息,请参阅 搜索审核日志

分类与敏感度标签

分类和敏感度标签之间的区别是什么?

下表列出了分类和敏感度标签之间的差异:

比较 分类 敏感度标签
定义 分类是有助于识别资产中存在的数据类型的正则表达式或模式。 敏感度标签是允许组织根据业务影响对数据进行分类的标记,同时从用户提取数据类型。
示例 社会安全号码、驱动器许可证号、银行帐号等。 高度机密、机密、常规、公共等。
Scope 应用于资产的分类范围仅限于应用分类的Microsoft Purview 数据映射。 如果数据移动到由另一Microsoft Purview 数据映射管理的资产,则新位置中不可见在原始位置应用的分类。 应用于资产的敏感度标签随数据一起传输,无论数据流向何处。 例如,这意味着应用于 Microsoft Purview 信息保护 中的文件的敏感度标签会自动可见,并始终应用于该文件,即使它移动到 Azure、SharePoint 或 Teams 也是如此。
扫描过程 扫描Microsoft Purview 数据映射中的资产会查找数据中系统定义和用户定义的 (自定义) 分类。 如果找到,则会在扫描资产的 Microsoft Purview 映射中添加分类。 如果敏感度标签已扩展到Microsoft Purview 数据映射并定义了自动标记规则,则扫描Microsoft Purview 数据映射中的资产将根据扫描中找到的分类将标签应用于目录中的资产。
创作环境 可以在Microsoft Purview 数据映射创建自定义分类和分类规则。 还可以在 Microsoft Purview 信息保护 中创建自定义分类。 但是,我们尚不支持将它们导入Microsoft Purview 数据映射。 使用 Microsoft Purview 信息保护管理敏感度标签。
分配限制 资产不能分配任何分类,也可以分配一个或多个分类。 每个资产只能有一个敏感度标签。
资产应用程序工作流 可以使用Microsoft Purview 数据目录手动添加或修改分配给资产的分类。 在Microsoft Purview 数据映射中,敏感度标签将根据找到的分类自动分配给资产。 目前不支持在Microsoft Purview 数据映射中手动应用标签。
更多信息 详细了解分类 详细了解敏感度标签

SCT (分类和敏感信息类型是否) 相同?

虽然分类和 SCT 在本质上是相同的,但分类是一个Microsoft Purview 数据映射概念,SCT 是一个Microsoft Purview 信息保护概念。 分类和 SCT 由各自的服务用于标识资产中找到的数据类型。

Microsoft Purview 数据映射中的标记功能

可以在Microsoft Purview 数据映射中将敏感度标签应用到哪些数据源?

可以将敏感度标签应用于Microsoft Purview 数据映射中敏感度标签支持的数据源下列出的所有数据源。

可以在Microsoft Purview 数据映射中将敏感度标签应用到哪些文件类型?

可以将敏感度标签应用于所有Microsoft Purview 数据映射支持的文件类型

是否可以在 Microsoft Purview 信息保护 中使用自定义敏感信息类型 (SIT) 来获取架构化的数据资产?

否,目前Microsoft Purview 数据映射不支持自定义敏感信息类型。 Microsoft Purview 数据映射目前仅支持Microsoft Purview 信息保护内置的敏感信息类型

是否可以在Microsoft Purview 数据映射中使用Microsoft Purview 信息保护中的高级分类器?

否,Microsoft Purview 数据映射目前不支持高级分类器,并且不会显示。

是否可以手动标记资产,或者手动修改或删除Microsoft Purview 数据映射中的标签?

Microsoft Purview 数据映射仅支持自动标记。 根据资产上的分类和标签的自动标记规则,标签会自动应用于数据映射中的资产。

Microsoft Purview 数据映射目前不支持手动应用标签、修改或删除资产中的标签。

自动标记是否适用于可能包含凭据内容的资产?

Microsoft Purview 数据映射当前不支持扫描凭据。 当数据映射支持扫描凭据时,你应该能够基于找到的凭据应用标签。

是否可以像 Office 文档和电子邮件一样对Microsoft Purview 数据映射中的文件应用加密和/或内容标记?

否,尽管可能会为这些保护操作配置敏感度标签,但我们目前不支持对Microsoft Purview 数据映射中的文件进行加密和内容标记。

Microsoft Purview 数据映射是否支持数据丢失防护?

否,Microsoft Purview 数据映射目前不提供数据丢失防护 (DLP) 功能。 数据丢失防护目前仅支持Microsoft 365 个应用和服务。

访问和角色

在哪里可以管理敏感度标签?

敏感度标签在 Microsoft Purview 信息保护 中管理。 有关详细信息,请参阅如何在 Microsoft Purview 信息保护 中创建敏感度标签

谁可以管理敏感度标签?

以下内置管理员角色包括管理敏感度标签的权限:

  • 全局管理员
  • 合规管理员

有关详细信息,请参阅 创建和管理敏感度标签所需的权限。 配置合规性和全局管理员后,这些管理员可以 向单个用户授予访问权限

注意

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

谁可以在Microsoft Purview 数据目录中使用敏感度标签搜索和浏览资产?

对Microsoft Purview 数据映射具有至少数据读取器访问权限的所有用户都有权在数据目录中搜索和浏览具有敏感度标签的资产。

谁可以在 Microsoft Purview 数据资产见解 中查看敏感度标签见解报表?

具有见解读取者角色的所有用户以及至少对适用集合具有数据读取者权限的用户都将有权在 Microsoft Purview 数据资产见解 中查看敏感度标签见解报告。

技术详细信息

将自动标签应用于数据库列时,Microsoft Purview 数据映射是否扫描整个资产?

Microsoft Purview 扫描程序对数据进行采样。 有关详细信息,请参阅 分类和自动标记的采样数据

如果有多个符合分类条件的敏感度标签,将应用哪个标签?

敏感度标签具有优先级“顺序”,Microsoft Purview 数据映射使用此顺序来分配标签。 如果有多个标签符合分类条件,则Microsoft Purview 数据映射选择顺序最高的标签。

有关详细信息,请参阅 标签优先级顺序重要

SQL 数据发现和分类

为什么Microsoft支持 SQL 数据库的两种分类体验-“Microsoft Purview”和“SQL 数据发现和分类”?

Microsoft Purview 为所有 Azure 资产(包括 SQL 数据库)提供分类和标记体验。 Microsoft Purview 适用于希望通过分类、标记、警报等功能在一个位置管理其整个数据资产的组织。 Microsoft Purview 使用敏感度标签,这些标签具有全局范围,无论数据移动到何处或转换到什么位置,都随数据一起移动。

相比之下, SQL 数据发现和分类 内置于 SQL 中。 在 Microsoft Purview 之前就存在 SQL 数据发现和分类,以提供用于发现、分类、标记和报告 SQL 数据库中敏感数据的基本功能。 SQL 数据发现和分类使用不具有全局范围且不支持敏感度标签的本地标签。

我在 SQL 数据发现和分类中应用了标签。 为什么这些标签未显示在 Microsoft Purview 中的资产上?

SQL 分类使用本地标签,而Microsoft Purview 使用敏感度标签。 在 SQL 分类体验中应用的标签不会显示在 Microsoft Purview 中。 有关详细信息,请参阅 SQL 数据库的标记