浏览敏感度标签策略
组织创建敏感度标签后,必须发布它们,使其可供其分配的用户和服务使用。 然后,用户和服务可以将敏感度标签应用于 Office 文档、电子邮件和支持敏感度标签的其他项目。
如果还记得之前的培训,请将保留标签发布到 Exchange 邮箱等位置。 相反,请将敏感度标签发布到用户和组。 然后,支持敏感度标签的应用可以将它们显示为应用标签或可以应用的标签。
当组织配置标签策略时,它可以:
选择可查看标签的用户和组。 可以将标签发布到任何特定用户或启用电子邮件的安全组、通讯组或 Microsoft 365 组(它们可以在 Microsoft Entra ID 中具有动态成员身份)。
将默认标签应用于文档和电子邮件。 可以将默认标签应用于标签策略中包含的用户和组新建的所有文档和未标记电子邮件。 如果为 Microsoft Teams、Microsoft 365 组和 SharePoint 网站启用敏感度标签,则可以将相同或不同的默认标签应用于容器。 使用此设置,Microsoft Entra ID 保护统一标签客户端也将默认标签应用于未标记的现有文档。 如果默认标签不是用户文档或电子邮件的正确标签,则用户始终可以进行更改。
组织应考虑使用默认标签为其内容设置基本级别的保护设置。 但是,如果没有用户培训和其他控件,此设置也会导致标签不准确。 最好不要选择应用加密的标签作为文档的默认标签。 例如,许多组织需要向外部用户发送并与其共享文档,这些用户可能不具有支持加密的应用。 或者,他们可能未使用可以获得授权的帐户。 有关此方案的详细信息,请参阅与外部用户共享加密的文档。
要求提供更改标签的理由。 在以下情况下,可以要求用户提供更改标签的理由:
- 尝试移除标签。
- 将其替换为具有低序编号的标签。
例如,用户打开一个标记为“机密”(订单号 3)的文档,并将该标签替换为一个名为“公共”(订单号 1)的文档。 管理员可以阅读活动资源管理器或网站中的 更改。
要求用户应用标签,其中一个选项用于电子邮件和文档,另一个选项用于容器。 这些选项也称为强制标记,确保用户必须先应用标签,然后才能保存文档、发送电子邮件和新建组或网站。
- 对于容器,必须在创建组或网站时分配标签。
- 对于文档和电子邮件,分配标签的方法包括:
- 由用户手动执行。
- 鉴于你配置的条件,自动执行此操作。
- 自动作为系统默认值(前面所述的默认标签选项)。
下图显示了用户必须分配标签时 Outlook 中显示的提示示例。
注意
并非所有应用或所有平台都提供文档和电子邮件的强制标签。 有关详细信息,请参阅要求用户为其电子邮件和文档应用标签。
提供指向自定义帮助页的帮助链接。 如果用户不确定敏感度标签的含义或使用方式,可以提供了解详细信息 URL。 此 URL 显示在 Office 应用的敏感度标签菜单的底部。
创建为用户和组分配新敏感度标签的标签策略后,用户可在其 Office 应用中看到这些标签。 请留出长达 24 小时的时间将最新更改复制到整个组织内。
组织可创建和发布敏感度标签的数量没有限制-但有一个例外:如果标签应用加密,则可创建的最大标签数为 500。
警告
最佳做法是减少管理开销并降低用户复杂程度,尽量将标签的数量保持在最低限度。 当用户拥有五个以上的主标签或者每个主标签拥有五个以上的子标签时,实际部署已注意到有效性显著降低。
标签策略优先级(顺序非常重要)
组织在敏感度标签策略中发布敏感度标签,以使其敏感度标签可供用户使用。 这些策略显示在标签策略页的敏感度策略选项卡的列表中。 正如敏感度标签一样,敏感度标签策略的顺序很重要,因为它反映了它们的优先级。 优先级最低的标签策略显示在顶部,优先级最高的标签策略显示在底部。
标签策略包括:
- 一组标签。
- 向其分配策略的用户和组。
- 该作用域的策略和策略设置的范围(如文件和电子邮件的默认标签)。
可以将用户包含在多个标签策略中。 它们从这些策略中获取所有敏感度标签和设置。 如果多个策略的设置存在冲突,则系统会应用具有最高优先级 (最低位置) 的策略设置。 换句话说,每个设置的最高优先级优先。
提示
如果看不到你希望用于用户或组的标签或标签策略设置行为,请检查敏感度标签策略的顺序。 可能需要向下移动该策略。 要重新排序标签策略,请选择某个敏感度标签策略 ,选择其右侧的省略号,然后选择“下移”或“上移”。
注意
如果分配了多个策略的用户的设置发生冲突,则系统会应用优先级最高 (最低位置) 策略中的设置。