自动应用敏感度标签

6 分钟

创建敏感度标签时，你可以自动将该标签分配给内容（如果它符合你指定的条件）。能否将敏感度标签自动应用于内容非常重要，这是因为：

无需为用户提供有关何时使用每种分类的培训。
无需依赖用户，即可对全部内容进行正确分类。
用户不再需要了解你的策略。相反，他们可以专注于自己的工作。

有两种不同的方法可以自动将敏感度标签应用于 Microsoft 365 中的内容：

当用户编辑文档或撰写（同时答复或转发）电子邮件时进行客户端标记。使用配置的标签来自动标记文件和电子邮件（包括 Word、Excel、PowerPoint 和 Outlook）。

此方法支持向用户推荐标签，并自动应用标签。但在这两种情况下，用户都可以决定接受还是拒绝标签，以帮助确保正确标记内容。此客户端标记的文档延迟最少，因为即使在保存文档之前也可以应用标签。但是，并非所有客户端应用都支持自动标记。内置标记支持将此功能用于某些 Office 版本，还可用于 Microsoft Entra ID 保护统一标记客户端。

有关配置说明，请参阅如何配置 Office 应用的自动标记。
当已保存内容（在 SharePoint 或 OneDrive 中）或已通过电子邮件发送内容（由 Exchange Online 处理）时进行服务器端标记。使用自动标记策略。

你可能还听过该方法的另外一种叫法，即自动标记静态数据（SharePoint 和 OneDrive 中的文档）和传输中的数据（Exchange 发送或接收的电子邮件）。 Exchange 不包含静态电子邮件（邮箱）。

由于此标记是由服务而不是应用程序应用的，因此无需担心用户拥有的应用和版本。这样，系统使此功能在整个组织中立即可用。它还使得适合进行大规模标记。自动标记策略不支持推荐的标记，因为用户不与标记过程交互。相反，管理员将在模拟下运行策略，以便在实际应用标签前，帮助确保正确标记内容。

有关配置说明，请参阅如何为 SharePoint、OneDrive 和 Exchange 配置自动标记策略。

以下条件特定于 SharePoint 和 OneDrive 的自动标记：
- 受支持的 Office 文件包括 Word (.docx)、PowerPoint (.pptx) 和 Excel (.xlsx) 文件。
  - 系统可以在你创建自动标记策略之前或之后自动标记这些文件。系统无法自动标记已打开的会话中包含的文件（文件已打开）。
  - 系统当前不支持列表项的附件，并且无法自动标记它们。
- 租户中每天最多自动标记 25,000 个文件。
- 在单独指定时，每个租户最多有 100 个自动标记策略，每个策略最多面向 100 个站点（SharePoint 或 OneDrive）。也可以指定所有站点，这种配置不受 100 个站点上限的限制。
- 由于自动标记策略，系统不会更改修改项、修改者和上次修改日期的现有值。此条件既适用于模拟模式，也适用于应用标签时的情况。
- 标签应用加密时，权限管理颁发者和权限管理所有者是最后修改文件的帐户。
以下条件特定于 Exchange 的自动标记：
- 与使用 Office 应用进行手动标记或自动标记不同，系统会扫描 PDF 附件和 Office 附件，了解你在自动标记策略中指定的条件。如果存在匹配项，系统会标记电子邮件，但不标记附件。
  - 对于 PDF 文件，如果标签应用了加密，则当你为租户启用 PDF 附件后，这些未加密的文件现在将使用消息加密进行加密。这些文件从电子邮件继承所应用的加密设置。
  - 支持的 Office 文件包括Word、PowerPoint 和 Excel 文件。如果标签应用加密，并且这些文件未加密，则它们现在使用消息加密进行加密。这些文件从电子邮件继承加密设置。
- 如果你拥有已应用 IRM 加密的 Exchange 邮件流规则或 Microsoft Purview 数据丢失防护 (DLP) 策略：当系统按这些规则/策略和自动标记策略标识内容时，将应用标签。如果该标签应用了加密，系统会忽略 Exchange 邮件流规则或 DLP 策略中的 IRM 设置。但是，如果该标签未应用加密，则除了标签外，系统还应用邮件流规则或 DLP 策略中的 IRM 设置。
- 如果电子邮件具有 IRM 加密但没有标签，则存在匹配项时，Exchange 使用自动标记来添加具有任何加密设置的标签。
- 当与自动标记条件匹配时，系统会标记传入电子邮件。如果为标签配置了加密，则当发件人来自你的组织时，系统将始终应用该加密。默认情况下，当发件人来自组织外部时，系统不会应用该加密。但是，可通过配置电子邮件的其他设置并指定权限管理所有者来让系统应用它。
- 如果标签了应用加密，则当发件人来自你自己的组织时，权利管理颁发者和权利管理所有者就是发送电子邮件的人员。当发件人来自组织外部时，你可以为策略标记和加密的传入电子邮件指定权利管理所有者。
- 如果将标签配置为应用动态标记，系统会为传入电子邮件显示组织外部人员的姓名。

何时应用自动标签或建议标签

是否在 Office 应用中实现自动标签和建议的标签取决于你是使用 Microsoft 在 Office 中内置的标签，还是 Microsoft Entra ID 保护统一标记客户端。但是，在这两种情况下：

不能对之前已手动标记或者之前自动标记了更高敏感度的文档和电子邮件使用自动标签。请记住，除了一个保留标签，另外仅可向文档或电子邮件应用一个敏感度标签。
不能对之前标记了更高敏感度的文档或电子邮件使用建议的标签。对于这些文档或电子邮件，用户无法看到带有建议和策略提示的提示。

特定于内置标签的注意事项：

并非所有 Office 应用都支持自动（和建议）标签。有关详细信息，请参阅应用中的敏感度标签功能支持。
对于桌面版 Word 中的推荐标签，系统会标记触发了建议的敏感内容。这样做使用户能够查看和删除敏感内容，而不是应用建议的敏感度标签。

特定于 Microsoft Entra ID 保护统一标记客户端：

自动标签和建议标签在你保存文档时应用于 Word、Excel 和 PowerPoint，并在你发送电子邮件时应用于 Outlook。
为了让 Outlook 支持建议标签，必须先配置高级策略设置。
系统可以在文档和电子邮件的正文文本以及页眉和页脚中检测敏感信息。但是，它无法检测主题行或电子邮件附件中的敏感信息。

其他读取。若要详细了解系统如何应用这些标签，请参阅自动向 Office 中的文件和电子邮件应用或推荐敏感度标签。

将标签设置转换为自动标记策略

在标签创建或编辑过程结束时，如果标签包含已配置条件的敏感信息类型，系统会显示自动标记选项。此选项支持基于相同的自动标记设置自动创建自动标记策略。

但是，如果标签包含可训练分类器作为标签条件：

如果标签条件只包含可训练分类器，那么看不到用于自动创建自动标记策略的选项。
如果标签条件包含可训练分类器和敏感度信息类型，则系统会仅为敏感信息类型创建自动标记策略。

如果从头开始创建策略，系统会自动填充你必须手动选择的值，从而自动创建自动标记策略。在此情况下，在保存策略之前，你仍可以查看和编辑值。

默认情况下，自动标记策略覆盖 SharePoint、OneDrive 和 Exchange 的所有位置。保存策略后，策略会在模拟模式下运行。在模拟模式下，系统不会检查是否在 SharePoint 和 OneDrive 中为 Office 文件启用了敏感度标签。它不会进行此检查，即使此条件是自动标记应用于 SharePoint 和 OneDrive 中的内容的先决条件之一。

在模拟模式下运行策略

模拟模式是自动标记策略所独有的，并且已整合到工作流中。在策略至少运行一次模拟后，才能自动标记文档和电子邮件。

模拟模式最多支持 1,000,000 个匹配文件。如果系统在自动标记策略中匹配的文件数超过此数目，则无法启用策略来应用标签。在这种情况下，必须重新配置自动标记策略，以便系统匹配的文件更少，然后重新运行模拟。最多 1,000,000 个匹配文件这一限制仅适用于模拟模式。它不适用于已打开来应用敏感度标签的自动标记策略。

在模拟模式下运行自动标记策略的工作流包括以下步骤：

创建和配置自动标记策略。
以模拟模式运行该策略，可能需要 12 小时才能完成。完成的模拟会触发系统发送给用户的电子邮件通知，该通知配置为接收活动警报。
查看结果，并在必要时优化策略。例如，可能需要编辑策略规则以减少误报，或者删除某些站点，以便匹配的文件数不超过 1,000,000。重新运行模拟模式，并等待其再次完成。
根据需要重复步骤 3。
在生产环境中部署。

模拟部署的运行方式与 PowerShell 的 WhatIf 参数相同。你会看到报告的结果，如同自动标记策略已使用你定义的规则应用了所选标签一样。然后，你可以根据需要优化规则的准确性，并重新运行模拟。但是，由于 Exchange 的自动标记适用于已发送和接收的电子邮件，而不是存储在邮箱中的电子邮件，因此不要期望模拟中的电子邮件结果保持一致，除非你能够发送和接收完全相同的电子邮件。

在模拟模式下，你还可以在部署之前逐步增加自动标记策略的范围。例如，你可以从一个位置（例如 SharePoint 网站）和一个文档库开始。然后，使用迭代更改，将范围增大到多个网站，然后将其增加到其他位置，如 OneDrive。

最后，模拟模式让你能够提供运行自动标记策略所需时间的近似值。此信息可帮助你规划和安排何时在不使用模拟模式的情况下运行它。

自动应用敏感度标签

何时应用自动标签或建议标签

将标签设置转换为自动标记策略

在模拟模式下运行策略

反馈