使用敏感度标签配置 SharePoint 以扩展对下载的文档的权限
注意
以下用于扩展 SharePoint 权限的功能将逐步推出预览版,并随时可能更改。
启用 SharePoint 敏感度标签后,可以配置文档库,以便在从库下载文档时将现有 SharePoint 网站权限扩展到文档。 然后,该库中以前未标记的任何文件将继续受到用户的当前 SharePoint 权限的保护,即使文件已离开原始 SharePoint 边界。
例如,选择“机密”\“受信任的人员”标签作为敏感度标签,以扩展文档库的权限。 在该库中,站点配置为仅允许特定用户组的读取权限。 该组中的用户从网站下载文件,该文件现在标记为“机密”\“受信任的人员”。 即使文件不再位于 SharePoint 中,该用户仍只能查看内容,而不能编辑内容或删除标签。 只有有权访问 SharePoint 中的文件的用户才能访问下载的文件。 无法访问 SharePoint 中的文件的用户将无法打开下载的文件,无论该文件存储在何处。
此外,文件具有实时保护层,因为下载文件的用户在以下情况下也无法打开该文件:
- 将从文件中删除该用户的权限
- 文件将从站点中删除
- 站点不再处于活动状态
- 文件移动到其他站点
如果用户的 SharePoint 权限发生更改,这些更改将反映在下载的文件中。
当这些标记的文件位于文档库中时,它们也会受到保护,使其免受复制和移动操作的防护:
- 无法将文件复制到其他站点或将其移动到其他站点。
- 仅当用户具有创建或删除列表的 SharePoint 权限时,才能将文件复制到同一网站中的其他文档库或将其移动到同一网站中的其他文档库。
指定的敏感度标签将应用于所有未标记的文件,以及已标记但标签配置不应用加密的文件。 与 OneDrive 同步的文件也会被标记。
对于已标记但未加密的现有文件,手动应用的标签也会替换为指定的标签。 有关可能结果的快速摘要,请参阅是否在此页上 重写现有标签 。
目前,智能 Microsoft 365 Copilot 副驾驶®无法访问标有此配置的未打开的文件。
由于可以重新标记未加密的文件,因此此标记配置非常适合那些处于标记部署早期且尚未使用其他方法在 SharePoint 网站中标记文件的组织。
是否会重写现有标签?
结果摘要:
| 现有标签 | 使用库标签替代以扩展权限 |
|---|---|
| 使用任何方法 (手动、自动、默认标签从策略) 应用标签,标签配置不应用加密,任何优先级 | 是 |
| 使用策略) (手动、自动、默认标签的任何方法应用标签,标签配置会应用加密,任何优先级 | 否 |
要求
你已 创建并发布了 敏感度标签,这些标签将发布到要为 SharePoint 文档库选择敏感度标签的用户。 标签需要以下配置:
文件和其他数据资产的标签范围
使用加密设置“允许用户在应用标签时分配权限”和复选框“在 Word、PowerPoint 和 Excel 中,提示用户指定权限”处于选中状态,以选择访问控制。 此设置有时称为“用户定义的权限”。
注意
在标签的此应用程序中,系统不会提示用户输入权限,但在下载、复制或从网站移动文件时,将自动应用其 SharePoint 权限。
你已在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签。 若要检查此状态,可以从 SharePoint Online 命令行管理程序运行
(Get-SPOTenant).EnableAIPIntegration,以确认该值设置为 True。租户已为 使用敏感度标签加密的文件启用共同创作。
为了支持 PDF 的敏感度标签,你 已在 SharePoint 中添加了对 PDF 的支持。 若要检查此状态,可以从 SharePoint Online 命令行管理程序运行
(Get-SPOTenant).EnableSensitivityLabelforPDF,以确认该值设置为 True。下载文件的Microsoft 365 企业应用版的 Windows 应用需要当前频道、每月企业频道或 Semi-Annual 企业频道的最低版本 2402。
未为库启用 SharePoint 信息权限管理 (IRM) 。 这种较旧的技术与使用 SharePoint 文档库的敏感度标签不兼容。 如果为 IRM 启用了库,则无法选择敏感度标签。
在 SharePoint 中应用和更改敏感度标签需要网站管理员权限。
文件必须包含要标记的内容。
如果需要查看 SharePoint 中敏感度标签支持的文件类型列表,请参阅 支持的文件类型。
SharePoint 权限到使用权限的映射
使用下表了解下载文件或将文件复制并移到网站外部时,如何将用户的 SharePoint 权限扩展到权限 管理使用权限 和 权限级别 。
| SharePoint 权限 | 应用的使用权限 | 权限级别 |
|---|---|---|
| Owner | 对应用的内容、所有权限和敏感度标签的完全控制: 查看、提取、DOCEDIT、编辑、导出、注释、打印、转发、答复、REPLYALL、VIEWRIGHTSDATA、EDITRIGHTSDATA、OBJMODEL *、OWNER * |
所有者 |
| Edit | 完全控制内容,但无法更改应用的敏感度标签: 查看、提取、DOCEDIT、编辑、导出、注释、打印、转发、答复、REPLYALL、VIEWRIGHTSDATA |
编辑 |
| Read | 可以查看内容,但无法更改应用的内容或敏感度标签: VIEW、VIEWRIGHTSDATA |
查看器 |
* 目前,不会应用这些使用权限,因此,用户可以更改敏感度标签,但无法将其删除。
限制
使用此配置时,以下限制适用:
用户无法手动应用未配置为应用加密的敏感度标签。
用户将无法脱机打开下载的文件;它们必须能够连接到原始站点。
如果删除了原始 SharePoint 网站、文件夹或文件,用户将无法打开下载的文件。
标有此配置的文件无法移动或复制到其他站点。
如果用户具有创建或删除列表的 SharePoint 权限,则标有此配置的文件只能移动或复制到同一网站中的另一个文档库。 不会为复制或移动的文件保留标签。
如果未将标签配置为应用加密,则此配置可以替代以前手动应用的标签。
标有此配置的文件当前不会在 内容资源管理器中显示为已标记。
如果用户具有 SharePoint 读取权限,智能 Microsoft 365 Copilot 副驾驶®可以引用标记的文件,但不会汇总这些文件。 由于无法汇总文件,因此 Copilot 也无法使用这些文件来生成新内容。
注意
与使用 Azure Rights Management 加密的所有文件一样,如果由于原始位置不再可访问而有必要, 超级用户可以 打开加密文档。
如何为敏感度标签配置 SharePoint 文档库,该标签将权限扩展到下载的文档
此配置首先要求你将 PowerShell 与 SharePoint Online 命令行管理程序 配合使用来为租户启用功能。 然后,新的复选框将变为可用于文档库设置。
运行 PowerShell 命令,启用支持以扩展 SharePoint 权限
确保运行SharePoint Online 命令行管理程序版本 16.0.25430.12000 或更高版本。
若要启用新功能,请将 Set-SPOTenant cmdlet 与 ExtendPermissionsToUnprotectedFiles 参数配合使用:
使用在 Microsoft 365 中具有 SharePoint 管理员权限的工作或学校帐户连接到 SharePoint。 若要了解具体操作步骤,请参阅 SharePoint 在线管理壳入门。
注意
如果你有 Microsoft 365 多地理位置,请将 -Url 参数与 Connect-SPOService 一起使用,并为其中一个地理位置指定 SharePoint Online 管理中心网站 URL。
运行以下命令并按 Y 进行确认:
Set-SPOTenant -ExtendPermissionsToUnprotectedFiles $true如果看到错误,通知你未启用该功能,很可能是因为推出尚未到达租户。
对于 Microsoft 365 多地理位置:对剩余的每个地理位置重复步骤 1 和 2。
与 SharePoint 的所有租户级配置更改一样,更改大约需要 15 分钟才能生效。
使用默认标签配置 SharePoint 文档库以扩展权限
对于要具有此配置的每个 SharePoint 文档库,请按照 向 SharePoint 文档库添加敏感度标签的说明进行操作,然后选中“ 在下载、复制或移动时扩展保护”复选框:
在上一个 PowerShell 命令完成之前,你不会看到此复选框。
选择使用用户定义的权限应用加密的敏感度标签后,保存配置。
注意
此功能是相互排斥的,选项用于为支持不加密的 敏感度标签的 SharePoint 文档库选择默认敏感度标签 ,以及使用选项 “立即分配权限 ”配置的敏感度标签 (有时称为“管理员定义的权限”) 。
所选敏感度标签将应用于所有未标记的文件,以及已标记但标签配置不应用加密的文件。 文档库的 “敏感度 ”列显示现有、新和已编辑文件的所选标签。 用户在打开文件进行编辑时会看到显示的所选标签,但不会因标签而遇到任何权限更改。
使用敏感度标签配置库后,如果库通过 OneDrive 同步 客户端同步,则将重新同步所有现有文件。 重新同步过程可能需要一段时间,在完成之前,不会应用扩展保护。
重要
在为敏感度标签配置的 SharePoint 文档库中,用户无法删除其 Office 应用中应用的敏感度标签,并且只有在替换标签应用加密时才能更改它。
监视扩展 SharePoint 权限的敏感度标签的应用程序
由于此配置扩展了文档库的默认敏感度标签的功能,因此以 相同的方式监视其配置。 敏感度标签 GUID 将标识用户定义的权限的加密配置。 下载、复制或移动文件时,没有单独的标记审核事件。
如何关闭此功能
如果希望特定 SharePoint 文档库不再使用敏感度标签扩展权限,请清除“在 下载、复制或移动时扩展保护 ”复选框作为 SharePoint 文档库设置。 则:
文档库中以前标记有此配置的文件将还原到未应用加密的原始标签,或者在选中复选框之前将其原始状态取消标记。
与 OneDrive 同步的文件将重新同步,并类似地还原其以前的标签状态。 重新同步过程可能需要一段时间,在完成之前,扩展保护将保留。
现在下载的已标记文件会保留其标签。
如果要在之前启用和配置此功能后在租户级别关闭此功能,请先从选中的所有文档库中清除 “下载、复制或移动时扩展保护 ”复选框。 然后,对 ExtendPermissionsToUnprotectedFiles 参数使用相同的 Set-SPOTenant cmdlet,但将值设置为 false。 则:
- “ 在下载、复制或移动时扩展保护 ”复选框不再显示为 SharePoint 文档库设置。
如果在未先清除文档库的复选框的情况下在租户级别关闭该功能,则配置将保留,但不会选中用于将其关闭的复选框。
在此方案中,若要关闭配置, 请运行 PowerShell 命令以启用支持以扩展 SharePoint 权限 以再次显示复选框,以便您可以清除它。 如果不想在租户级别重新启用支持,请联系 Microsoft 支持部门,通过 PowerShell 命令与你交谈,以删除特定文档库的配置。
后续步骤
尽管此配置为 SharePoint 中存储的文件提供大规模保护,但它不会考虑可能需要更高级别保护的文件内容。 请考虑使用 自动标记 来补充此标记方法,该标记使用内容检查通过加密应用敏感度标签。