启用 SharePoint 和 OneDrive 中文件的敏感度标签

Microsoft 365 安全性与合规性许可指南

为 SharePoint 和 OneDrive 中支持的 Office 文件和 PDF 文件启用内置标签,以便用户可以在Office 网页版中应用敏感度标签。 启用此功能后,用户会看到功能区上的“ 敏感度 ”按钮,以便他们可以应用标签,并在状态栏上查看任何应用的标签名称。

对于 SharePoint,用户还可以从详细信息窗格中查看和应用敏感度标签。 也可在 Teams 中的“ 文件 ”选项卡中使用此方法。

启用此功能还会导致 SharePoint 和 OneDrive 能够处理 Office 文件的内容,并选择性地处理已使用敏感度标签加密的 PDF 文档的内容。 标签可以在 Office 网页版 或 Office 桌面应用中应用,并在 SharePoint 和 OneDrive 中上传或保存。 在启用此功能之前,这些服务无法处理加密的文件,这意味着共同创作、电子数据展示、数据丢失防护、搜索和其他协作功能不适用于这些文件。

在 SharePoint 和 OneDrive 中为这些文件启用敏感度标签后,对于具有使用基于云的密钥 (应用加密且不使用 双密钥加密) 敏感度标签的新文件和已更改的文件:

  • 对于Word、Excel 和 PowerPoint 文件以及上传的 PDF 文件,SharePoint 和 OneDrive 可识别标签,现在可以处理加密文件的内容。

  • 当用户从 SharePoint 或 OneDrive 下载或访问这些文件时,将强制实施敏感度标签和标签中的任何加密设置,并保留在该文件中,无论文件存储在何处。 确保提供仅使用标签来保护文档的用户指南。 有关详细信息,请参阅 信息权限管理 (IRM) 选项和敏感度标签

  • 当用户将标记和加密的文件上传到 SharePoint 或 OneDrive 时,他们必须至少具有这些文件 的“查看使用权限 ”。 例如,他们可以在 SharePoint 外部打开文件。 如果他们没有此最低使用权限,则上传成功,但服务无法识别标签,并且无法处理文件内容。

  • 使用 Office 网页版 (Word、Excel、PowerPoint) 打开和编辑具有应用加密的敏感度标签的 Office 文件。 将强制使用加密分配的权限。 还可以对这些文档使用 自动标记

  • 外部用户可以使用来宾帐户访问标记为加密的文档。 有关详细信息,请参阅 支持外部用户和已标记的内容

  • 电子数据展示支持这些文件的全文搜索和数据丢失防护 (DLP) 策略支持这些文件中的内容。

注意

如果已对本地密钥 (密钥管理拓扑(通常称为“保留自己的密钥”或 HYOK) )或通过使用 双密钥加密应用加密,则处理文件内容的服务行为不会更改。 因此,对于这些文件,共同创作、电子数据展示、数据丢失防护、搜索和其他协作功能将不起作用。

对于这些位置中使用单个基于 Azure 的密钥进行加密标记的现有文件,SharePoint 和 OneDrive 行为也不会更改。 在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签后,若要使这些文件受益于新功能,必须再次下载并上传文件,或对其进行编辑。

在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签后,三个新的 审核事件 可用于监视应用于 SharePoint 和 OneDrive 中的文档的敏感度标签:

  • 已向文件应用敏感度标签
  • 已更改应用于文件的敏感度标签
  • 已从文件除敏感度标签

观看以下视频 (无音频) ,了解新功能的运行情况:

始终可以选择在 SharePoint 和 OneDrive 中禁用 Office 文件的敏感度标签, (随时 选择退出) 。

如果当前使用 SharePoint 信息权限管理 (IRM) 保护 SharePoint 中的文档,请务必在此页上检查 SharePoint 信息权限管理 (IRM) 和敏感度标签部分。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

要求

这些新功能仅适用于 敏感度标签

在 Windows 上使用 OneDrive 同步 应用版本 19.002.0121.0008 或更高版本,在 Mac 上使用版本 19.002.0107.0008 或更高版本。 这两个版本均于 2019 年 1 月 28 日发布,目前已发布到所有戒指。 有关详细信息,请参阅 OneDrive 发行说明。 在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签后,系统会提示运行较旧版本的同步应用的用户进行更新。

支持的文件类型

为 SharePoint 和 OneDrive 启用敏感度标签后,敏感度标记方案支持以下 Office 文件类型。

在 Office 网页版 或 SharePoint 中应用敏感度标签:

  • Word:.docx、.docm
  • Excel:.xlsx、.xlsm、.xlsb
  • PowerPoint:.pptx、.ppsx

上传带标签的文档,然后提取并显示该敏感度标签:

  • Word:doc、.docx、.docm、.dot、.dotx、.dotm
  • Excel:.xls、.xlt、.xla、.xlc、.xlm、.xlw、.xlsx、.xltx、.xlsm、.xltm、.xlam、.xlsb
  • PowerPoint:.ppt、.pot、.pps、.ppa、.pptx、.ppsx、.ppsxm、.potx、.ppam、.pptm、.potm、.ppsm

添加对 PDF 的支持

可以为以下方案启用对 PDF 的支持:

  • 在 Office 网页版 中应用敏感度标签
  • 上传带标签的文档,然后提取和显示该敏感度标签
  • 搜索、电子数据展示和数据丢失防护
  • SharePoint 文档库的自动标记策略默认敏感度标签

敏感度标签不支持已签名的 PDF。

重要

请注意,启用 PDF 支持会增加使用现有自动标记策略(每天最多支持 100,000 个文件)标记的文件数。

若要从 Microsoft Purview 门户或Microsoft Purview 合规门户启用支持,请根据所使用的门户执行以下操作之一:

然后,如果看到“ 使用自动标记保护 PDF”消息,请选择此横幅以确认要为 SharePoint 和 OneDrive 中的文件启用 PDF 保护。

或者,使用 Set-SPOTenant cmdlet 和 EnableSensitivityLabelfor PDF 参数时,可以使用 PowerShell 启用 PDF 支持:

Set-SPOTenant -EnableSensitivityLabelforPDF $true

此 PDF 参数要求 SharePoint Online 命令行管理程序的最低版本为 16.0.24211.12000。 如果需要有关如何安装此 PowerShell 模块或运行 cmdlet 的详细信息,请参阅 此页上的部分,以启用对敏感度标签的支持

对于 Microsoft 365 多地理位置:与运行 PowerShell 命令以启用敏感度标签支持的说明类似,必须连接到每个地理位置,然后运行 命令以启用对 PDF 的支持。

支持为用户定义的权限配置的标签

在预览版中,现在对为用户定义的权限配置的标签支持有限。 此加密配置是指设置“允许用户在应用标签时分配权限”和复选框“在 Word、PowerPoint 和 Excel 中,提示用户指定权限已选中:

  • 使用用户定义的权限标记文档并将其上传到 SharePoint 或 OneDrive 时,这些服务现在可以处理文档,以便在Office 网页版中打开和编辑文档,并且标签名称显示在“敏感度”列中。

  • 具有此配置的标签现在显示在 Office 网页版 中。 但是,目前用户无法在Office 网页版应用这些标签,如果选择了这些标签,用户会看到一条消息,指示他们使用桌面应用应用标签。

  • 如果用户需要更改为用户定义的权限配置的标签,请确保已 为使用敏感度标签加密的文件启用共同创作

  • 目前无法检查内容是否搜索、数据丢失防护或电子数据展示。

若要使用桌面应用支持这些加密文件的自动保存和共同创作,必须为使用敏感度标签加密的文件启用共同创作,并且为Microsoft 365 企业应用版启用共同创作:

  • Windows:当前频道和当前频道的最低版本 16.0.16327 (预览版) ,或 Beta 版频道 16.0.16414 的最低版本
  • macOS:当前频道 (预览版) 或 Beta 版频道的最低版本为 16.51

注意

如果使用早期版本并且为租户启用了共同创作,则当用户应用配置了用户定义的权限的敏感度标签或用户更改权限后,将暂时禁用文档的自动保存和共同创作。 关闭文档并等待 10 分钟后,这些功能将再次可用。

对于 SharePoint 或 OneDrive 中的文件,使用这些受支持的最低版本时,加密行为会发生变化:

  • 如果使用不应用加密的敏感度标签重新标记了标有用户定义的权限的现有文件,则会删除而不是保留原始加密。 有关详细信息,请参阅 应用标签时现有加密会发生什么情况。

为用户定义的权限配置的标签的此预览版会自动应用于租户。 若要选择退出,请联系Microsoft 支持部门并请求关闭此预览版。

限制

  • 当这些文件包含 PowerQuery 数据、自定义加载项存储的数据或自定义 XML 部件(如封面属性、内容类型架构、自定义文档信息面板和自定义 XSN)时,SharePoint 和 OneDrive 无法处理 Office 桌面应用中标记和加密的某些文件。 此限制也适用于包含 书目的文件,以及上传时添加了 文档 ID 的文件。

    对于这些文件,可以应用标签而不加密,以便以后可以在Office 网页版中打开,或者指示用户在桌面应用中打开文件。 仅在Office 网页版中标记和加密的文件不受影响。

  • 如果在为敏感度标签启用这些服务之前应用了标签,SharePoint 和 OneDrive 不支持敏感度标签。 无法识别标签,如果标签应用了加密,则不会处理内容。 对于 SharePoint 和 OneDrive 支持的标签和加密,请下载这些文件,然后将其上传到其原始位置。

  • 在使用Office 网页版时,用户无法应用为用户定义的权限配置的敏感度标签

  • 当应用加密的标签具有以下加密配置之一时,SharePoint 和 OneDrive 无法处理 加密的文件:

    • 将内容的访问权限设置为 一个值,则对内容 从不

    • 选择了双 加密技术。

      对于具有其中任一加密配置的标签,标签不会在 Office 网页版 中向用户显示。 如果是父标签,这意味着用户不会看到该标签的子标签,即使子标签未配置为应用加密也是如此。

      此外,新功能不能与已具有这些加密设置的标记文档一起使用。 例如,即使这些文档已更新,也不会在搜索结果中返回。

  • 当文档受密码保护时,SharePoint 和 OneDrive 无法读取或应用敏感度标签。

  • 出于性能原因,当您将文档上载或保存到 SharePoint 且文件的标签未应用加密时,文档库中的 “敏感度 ”列可能需要一段时间才能显示标签名称。 如果使用依赖于此列中的标签名称的脚本或自动化,则考虑此延迟。

  • 如果在 SharePoint 中签出文档时标记了文档,则文档库中的 “敏感度 ”列将不会显示标签名称,直到该文档签入并随后在 SharePoint 中打开。

  • 如果使用服务主体名称的应用或服务从 SharePoint 或 OneDrive 下载带标签且已加密的文档,然后使用应用不同加密设置的标签再次上传,则上传将失败。 例如,Microsoft Defender for Cloud Apps将文件的敏感度标签从“机密”更改为“高度机密”,或从“机密”更改为“常规”。

    如果应用或服务首先运行 Unlock-SPOSensitivityLabelEncryptedFile cmdlet,上传不会失败,如 删除已标记文档的加密 部分中所述。 或者,在上传之前,将删除原始文件或更改文件名。

  • 在以下“另存为”方案中,用户可能会在打开加密文档时遇到延迟:对于具有应用加密的敏感度标签的文档,用户使用桌面版 Office 选择“另存为”。 用户为位置选择 SharePoint 或 OneDrive,然后立即尝试在Office 网页版中打开该文档。 如果服务仍在处理加密,则用户会看到一条消息,指出必须在其桌面应用中打开文档。 如果他们在几分钟后重试,文档将在Office 网页版中成功打开。

  • 对于加密的文档,Office 网页版不支持打印。

  • 对于Office 网页版中的加密文档,不会阻止屏幕截图。 但是,如果对文档进行了标记和加密,并且未授予“复制使用”权限,Office 网页版阻止复制到剪贴板的方式与桌面应用阻止此操作的方式相同。

  • 默认情况下,Office 桌面应用和移动应用不支持对标记为加密的文件进行共同创作。 这些应用继续以独占编辑模式打开已标记和加密的文件。 若要更改默认行为,请参阅 为使用敏感度标签加密的文件启用共同创作

  • 如果管理员更改已发布标签的设置,而该标签已应用于下载到用户的同步客户端的文件,则用户可能无法将他们对文件所做的更改保存在其 OneDrive Sync 文件夹中。 此方案适用于标记有加密的文件,以及标签更改来自未对应用加密的标签应用加密的标签的情况。 用户看到带有 白色十字图标错误的红色圆圈,并要求他们将新更改另存为单独的副本。 相反,他们可以关闭并重新打开文件,或使用Office 网页版。

  • 当条件的标签设置仅用于敏感信息类型时,Office 网页版支持为自动标记配置的敏感度标签。 当条件包括可训练的分类器时,Office 网页版不支持自动标记。

  • 如果用户使用适用于 Word、Excel 或 PowerPoint 的桌面和移动应用,而不是使用Office 网页版,在脱机或进入睡眠模式后可能会遇到保存问题。 对于这些用户,当他们恢复其 Office 应用会话并尝试保存更改时,他们会看到上传失败消息,其中包含保存副本而不是保存原始文件的选项。

  • 无法在Office 网页版中打开以下列方式加密的文档:

    • 使用本地密钥 (“持有自己的密钥”或 HYOK)
    • 使用 双密钥加密应用的加密
    • 独立于标签应用的加密,例如,通过直接应用 Rights Management 保护模板。
  • 不支持为 其他语言 配置的标签,仅显示原始语言。

  • 如果删除已应用于 SharePoint 或 OneDrive 中的文档的标签,而不是从适用的标签策略中删除标签,则下载后不会标记或加密文档。 相比之下,如果带标签的文档存储在 SharePoint 或 OneDrive 外部,则删除标签时文档将保持加密状态。 请注意,尽管可能会在测试阶段删除标签,但在生产环境中删除标签的情况非常罕见。

  • 将大于 12 MB 的已标记且加密的 Office 文件复制或移动到其他网站时,SharePoint 无法再处理此文件。 因此,“敏感度”列不显示标签名称,并且用户无法使用 Office 网页版 打开文件。 用户在使用 Office 客户端应用时可以成功打开该文件。

如何为 SharePoint 和 OneDrive 启用敏感度标签 (选择加入)

注意

为 SharePoint 和 OneDrive 启用敏感度标签还会为Loop组件和页面启用敏感度标签。 有关详细信息,请参阅将敏感度标签用于Microsoft Loop

可以使用 Microsoft Purview 门户或Microsoft Purview 合规门户或使用 PowerShell 来启用新功能。 有关说明,请参阅以下部分。

与 SharePoint 和 OneDrive 的所有租户级配置更改一样,更改大约需要 15 分钟才能生效。

使用门户启用对敏感度标签的支持

此选项是启用 SharePoint 和 OneDrive 敏感度标签的最简单方法,必须以租户的全局管理员身份登录。

  1. 根据所使用的门户,导航到以下位置之一:

  2. 如果看到一条消息,指示启用处理 Office 联机文件中的内容的功能,请选择“ 立即打开”:

    “立即打开”按钮可启用 Office Online 的敏感度标签。

    命令会立即运行,下次刷新页面时,不再看到消息或按钮。

注意

如果你有 Microsoft 365 多地理位置,则必须使用 PowerShell 为所有地理位置启用这些功能。 有关详细信息,请参阅下一节。

使用 PowerShell 启用对敏感度标签的支持

除了使用 Microsoft Purview 门户或Microsoft Purview 合规门户,还可以使用 SharePoint Online PowerShell 中的 Set-SPOTenant cmdlet 启用对敏感度标签的支持。

如果你有 Microsoft 365 多地理位置,则必须使用 PowerShell 为所有地理位置启用此支持。

准备 SharePoint Online 命令行管理程序

在运行 PowerShell 命令以在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签之前,请确保运行 SharePoint Online 命令行管理程序版本 16.0.19418.12000 或更高版本。 如果已有最新版本,可以跳到 下一个过程 来运行 PowerShell 命令。

  1. 如果已从 PowerShell 库安装早期版本的 SharePoint Online 命令行管理程序,可通过运行以下 cmdlet 来更新模块。

    Update-Module -Name Microsoft.Online.SharePoint.PowerShell
    
  2. 或者,如果已从Microsoft下载中心安装了以前版本的 SharePoint Online 命令行管理程序,也可以转到 添加或删除程序 并卸载 SharePoint Online 命令行管理程序。

  3. 在 Web 浏览器中,转到“下载中心”页面,下载最新的 SharePoint Online 命令行管理程序

  4. 选择语言,然后单击“下载”。

  5. 在 x64 和 x86.msi 文件之间进行选择。 如果运行 64 位版本的 Windows,请下载 x64 文件;如果运行 32 位版本,请下载 x86 文件。 如果你不知道,请参阅我运行的是哪个版本的 Windows 操作系统?

  6. 下载文件后,运行该文件并按照安装程序配置中的步骤操作。

运行 PowerShell 命令以启用对敏感度标签的支持

若要启用新功能,请使用 Set-SPOTenant cmdlet 和 EnableAIPIntegration 参数:

  1. 使用在 Microsoft 365 中具有 SharePoint 管理员权限的工作或学校帐户连接到 SharePoint。 若要了解具体操作步骤,请参阅 SharePoint 在线管理壳入门

    注意

    如果你有 Microsoft 365 多地理位置,请将 -Url 参数与 Connect-SPOService 一起使用,并为其中一个地理位置指定 SharePoint Online 管理中心网站 URL。

  2. 运行以下命令并按 Y 进行确认:

    Set-SPOTenant -EnableAIPIntegration $true
    
  3. 对于 Microsoft 365 多地理位置:对剩余的每个地理位置重复步骤 1 和 2。

发布和更改敏感度标签

在 SharePoint 和 OneDrive 中使用敏感度标签时,请记住,发布新的敏感度标签或更新现有敏感度标签时,需要留出复制时间。 这对于应用加密的新标签尤其重要。

例如:创建并发布应用加密的新敏感度标签,该标签会很快显示在用户的桌面应用中。 用户将此标签应用于文档,然后将其上传到 SharePoint 或 OneDrive。 如果服务尚未完成标签复制,则上传时不会将新功能应用于该文档。 因此,不会在搜索或电子数据展示中返回文档,并且无法在Office 网页版中打开文档。

有关标签计时详细信息,请参阅何时预期新标签和更改生效

作为一种安全措施,我们建议先向几个测试用户发布新标签,等待至少一个小时,然后验证 SharePoint 和 OneDrive 上的标签行为。 请至少等待一天,然后通过向现有标签策略添加更多用户或将标签添加到标准用户的现有标签策略,使标签可供更多用户使用。 当标准用户看到标签时,它已同步到 SharePoint 和 OneDrive。

SharePoint 信息权限管理 (IRM) 和敏感度标签

SharePoint 信息权限管理 (IRM) 是一种较旧的技术,用于通过在下载文件时应用加密和限制来保护列表和库级别的文件。 这种较旧的保护技术旨在防止未经授权的用户在 SharePoint 外部打开该文件。

相比之下,除了加密之外,敏感度标签还提供视觉标记 (页眉、页脚、水印) 的保护设置。 加密设置支持各种 使用权限 ,以限制用户可以对内容执行的操作,并且 许多方案支持相同的敏感度标签。 在工作负载和应用中使用相同的保护方法与一致的设置可产生一致的保护策略。

但是,可以同时使用这两种保护解决方案,其行为如下所示:

  • 如果上传具有应用加密的敏感度标签的文件,SharePoint 无法处理这些文件的内容,因此这些文件不支持共同创作、电子数据展示、DLP 和搜索。

  • 如果使用 Office 网页版 标记文件,则会强制实施标签中的任何加密设置。 对于这些文件,支持共同创作、电子数据展示、DLP 和搜索。

  • 如果下载使用 Office 网页版 标记的文件,则会保留标签,并强制实施标签中的任何加密设置,而不是 IRM 限制设置。

  • 如果下载的 Office 或 PDF 文件未使用敏感度标签加密,则会应用 IRM 设置。

  • 如果已启用任何其他 IRM 库设置(包括阻止用户上传不支持 IRM 的文档),则会强制实施这些设置。

通过此行为,可以放心,所有 Office 和 PDF 文件在下载后都受到保护,防止未经授权的访问,即使它们未标记。 但是,上传的标记文件不会从新功能中受益。

按敏感度标签搜索文档

使用托管属性 InformationProtectionLabelId 查找 SharePoint 或 OneDrive 中具有特定敏感度标签的所有文档。 使用以下语法: InformationProtectionLabelId:<GUID>

例如,若要搜索标记为“机密”且该标签的 GUID 为“8faca7b8-8d20-48a3-8ea2-0f96310a848e”的所有文档,请在搜索框中键入:

InformationProtectionLabelId:8faca7b8-8d20-48a3-8ea2-0f96310a848e

搜索不会在压缩文件(如 .zip 文件)中找到带标签的文档。

若要获取敏感度标签的 GUID,请使用 Get-Label cmdlet:

  1. 首先,连接到 Office 365 Security & Compliance PowerShell

    例如,在以管理员身份运行的 PowerShell 会话中,使用合规性管理员帐户登录。

  2. 然后运行以下命令:

    Get-Label |ft Name, Guid
    

有关使用托管属性的详细信息,请参阅 在 SharePoint 中管理搜索架构

删除已标记文档的加密

在极少数情况下,SharePoint 管理员可能需要从 SharePoint 中存储的文档中删除加密。 为文档分配了“导出”或“完全控制”权限管理使用权限的任何用户都可以从Microsoft Purview 信息保护中删除 Azure Rights Management 服务应用的加密。 例如,具有上述任一使用权限的用户都可以将应用加密的标签替换为不加密的标签。 超级用户还可以下载文件,并在不加密的情况下保存本地副本。

作为替代方法, SharePoint 管理员可以 运行 Unlock-SPOSensitivityLabelEncryptedFile cmdlet,这将删除敏感度标签和加密。 即使管理员没有对站点或文件的访问权限,或者 Azure Rights Management 服务不可用,此 cmdlet 也会运行。

例如:

Unlock-SPOSensitivityLabelEncryptedFile -FileUrl "https://contoso.com/sites/Marketing/Shared Documents/Doc1.docx" -JustificationText "Need to decrypt this file"

要求:

  • SharePoint Online 命令行管理程序版本 16.0.20616.12000 或更高版本。

  • 加密已由具有管理员定义的加密设置的敏感度标签应用, (“立即分配权限” 标签设置) 。 此 cmdlet 不支持双密钥加密

理由文本将添加到从文件中删除敏感度标签审核事件中,解密操作也会记录在 Azure Rights Management 的使用日志记录中。

如何禁用 SharePoint 和 OneDrive 的敏感度标签 (选择退出)

如果禁用这些新功能,在为 SharePoint 和 OneDrive 启用敏感度标签后上传的文件将继续受到标签的保护,因为标签设置将继续强制执行。 禁用这些新功能后,将敏感度标签应用于新文件时,全文搜索、电子数据展示和共同创作将不再有效。

若要禁用这些新功能,必须使用 PowerShell。 使用 SharePoint Online 命令行管理程序和 Set-SPOTenant cmdlet,指定与使用 PowerShell 启用敏感度标签支持部分中所述的 EnableAIPIntegration 参数相同。 但这次,请将参数值设置为 false,然后按 Y 进行确认:

Set-SPOTenant -EnableAIPIntegration $false

如果Microsoft 365 多地理位置,则必须为每个地理位置运行此命令。

后续步骤

为 SharePoint 和 OneDrive 中的文件启用敏感度标签后,请考虑使用以下两种标记方法之一或两种自动标记文件:

需要与组织外的人员共享你的标记和加密文档吗? 请参阅与外部用户共享加密文档