启用 SharePoint 和 OneDrive 中文件的敏感度标签
数据是任何组织最有价值的资产之一,需要得到适当的保护和管理。 数据可以包含敏感信息或机密信息,例如个人数据、财务数据、知识产权、商业机密或监管数据。 为了保护和管理数据,组织可以使用敏感度标签,这些标签指示数据的敏感度级别。 敏感度标签还可以根据数据的敏感度应用加密和访问策略。 例如,包含客户数据的文档的敏感度标签可能为“机密”,这意味着文档已加密,只有授权用户可以访问它。 敏感度标签可帮助组织遵守数据保护法规、防止数据泄露和控制数据访问。
Microsoft Purview 是一项统一的数据治理服务,可帮助你跨源发现、编录和了解数据。 Purview 可以扫描和分类各种数据源中的数据,包括 SharePoint 和 OneDrive,它们是常用的云存储和协作平台。 但是,SharePoint 和 OneDrive 中的某些数据可能已应用加密敏感度标签,这意味着数据受到基于数据敏感度的加密和访问策略的保护。 本培训单元介绍了 Purview 如何处理已应用加密敏感度标签的 SharePoint 和 OneDrive 中的内容。 它还提供有关如何使用 Microsoft Purview 处理 SharePoint 和 OneDrive 中的加密敏感度标签的说明。
为什么需要为 SharePoint 和 OneDrive 启用敏感度标签?
组织必须为 SharePoint 和 OneDrive 中支持的 Office 文件和 PDF 文件启用敏感度标签有两个主要原因:
- 以便其用户可以在Office 网页版中应用公司的敏感度标签。
- 因此,SharePoint 和 OneDrive 可以处理使用敏感度标签加密的 Office 文件和 PDF 文档的内容。 标签可以在 Office 网页版 或 Office 桌面应用中应用,并在 SharePoint 和 OneDrive 中上传或保存。 在为 SharePoint 和 OneDrive 启用敏感度标签之前,这些服务无法处理加密的文件。 因此,协作功能(例如共同创作、电子数据展示、数据丢失防护和搜索)不适用于这些文件。
组织在 SharePoint 和 OneDrive 中为这些文件启用敏感度标签后,以下条件适用于具有敏感度标签的新文件和更改的文件,这些文件使用基于云的密钥 (应用加密,并且不使用 双密钥加密) :
- 对于Word、Excel 和 PowerPoint 文件以及上传的 PDF 文件,SharePoint 和 OneDrive 可识别标签,现在可以处理加密文件的内容。
- 当用户从 SharePoint 或 OneDrive 下载或访问这些文件时,将强制实施敏感度标签和标签中的任何加密设置,并保留在文件(无论文件存储在何处)。 但是,应确保提供仅使用标签来保护文档的用户指南。 有关详细信息,请参阅 信息权限管理 (IRM) 选项和敏感度标签。
- 当用户将标记和加密的文件上传到 SharePoint 或 OneDrive 时,他们必须至少具有这些文件的“查看使用权限”。 例如,他们可以在 SharePoint 外部打开文件。 如果他们没有此最低使用权限,则上传成功,但服务无法识别标签,并且无法处理文件内容。
- 使用 Office 网页版 (Word、Excel、PowerPoint) 打开和编辑具有应用加密的敏感度标签的 Office 文件。 将强制使用加密分配的权限。 还可以对这些文档使用 自动标记。
- 外部用户可以使用来宾帐户访问标记为加密的文档。 有关详细信息,请参阅 支持外部用户和已标记的内容。
- 电子数据展示支持这些文件的全文搜索和数据丢失防护 (DLP) 策略支持这些文件中的内容。
警告
如果已对本地密钥 (密钥管理拓扑(通常称为“保留自己的密钥”或 HYOK) )或通过使用 双密钥加密应用加密,则处理文件内容的服务行为不会更改。 因此,对于这些文件,共同创作、电子数据展示、数据丢失防护、搜索和其他协作 Microsoft 365 功能将不起作用。 对于这些位置中使用单个基于 Azure 的密钥进行加密标记的现有文件,SharePoint 和 OneDrive 行为也不会更改。 在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签后,若要使这些文件受益于新功能,必须再次下载并上传文件,或对其进行编辑。
在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签后,三个新的审核事件可用于监视应用于 SharePoint 和 OneDrive 中的文档的敏感度标签:
- 已向文件应用敏感度标签
- 已更改应用于文件的敏感度标签
- 已从文件除敏感度标签
注意
可以随时在 SharePoint 和 OneDrive 中禁用 Office 文件的敏感度标签。
支持的文件类型
为 SharePoint 和 OneDrive 启用敏感度标签后,敏感度标签方案支持以下 Office 文件类型:
- 在 Office web 版 或 SharePoint 中应用敏感度标签:
- Word:.docx、.docm
- Excel: .xlsx、.xlsm、.xlsb
- PowerPoint: .pptx、.ppsx
- 上传带标签的文档,然后提取并显示该敏感度标签:
- Word:doc、.docx、.docm、.dot、.dotx、.dotm
- Excel: .xls、.xlt、.xla、.xlc、.xlm、.xlw、.xlsx、.xltx、.xlsm、.xltm、.xlam、.xlsb
- PowerPoint: .ppt、.pot、.pps、.ppa、.pptx、.ppsx、.ppsxm、.potx、.ppam、.pptm、.potm、.ppsm
可以为以下方案启用对 PDF 的支持:
- 在 Office web 版 中应用敏感度标签。
- 上传带标签的文档,然后提取并显示该敏感度标签。
- 搜索、电子数据展示和数据丢失防护。
- 为 SharePoint 文档库自动标记策略和默认敏感度标签。
重要
请注意,启用 PDF 支持会增加使用现有自动标记策略自动标记的文件数,这些策略每天最多支持 25,000 个文件。
与 SharePoint 和 OneDrive 的所有租户级配置更改一样,更改大约需要 15 分钟才能生效。
使用 Microsoft Purview 合规门户为 SharePoint 和 OneDrive 启用敏感度标签
此选项是为 SharePoint 和 OneDrive 启用敏感度标签的最简单方法。 但是,它要求你以租户全局管理员身份登录。
- 在 Microsoft 365 管理中心的导航窗格中选择“Exchange”。
- 在Microsoft Purview 合规门户,在导航窗格中选择“信息保护”,然后选择“标签”。
注意
如果你有 Microsoft 365 多地理位置,则必须使用 PowerShell 为所有地理位置启用这些功能。 有关详细信息,请参阅下一节。
启用 SharePoint 和 OneDrive 横幅的敏感度标签。
作为使用 Microsoft Purview 合规门户的替代方法,可以使用 SharePoint Online PowerShell 中的 Set-SPOTenant cmdlet 启用对敏感度标签的支持。 如果你有 Microsoft 365 多地理位置,则必须使用 PowerShell 为所有地理位置启用此支持。
在运行 PowerShell 命令以在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签之前,请确保运行 SharePoint Online 命令行管理程序版本 16.0.19418.12000 或更高版本。
如果组织从 PowerShell 库安装了以前版本的 SharePoint Online 命令行管理程序,请执行以下步骤之一来更新模块:
可以通过运行以下Windows PowerShell cmdlet 来更新模块:
Update-Module -Name Microsoft.Online.SharePoint.PowerShell或者,可以执行以下步骤来卸载当前版本,然后从 Microsoft 下载中心下载并安装最新版本:
- 转到 添加或删除程序 并卸载当前版本的 SharePoint Online 命令行管理程序。
- 在 Web 浏览器中,转到“Microsoft 下载中心”页面,下载最新的 SharePoint Online 命令行管理程序。
- 选择语言,然后选择“下载”。
- 在 x64 和 x86.msi 文件之间进行选择。 如果运行 64 位版本的 Windows,请下载 x64 文件;如果运行 32 位版本,请下载 x86 文件。 如果你不知道,请参阅我运行的是哪个版本的 Windows 操作系统?。
- 下载文件后,运行该文件并按照安装向导中的步骤进行操作。
如果安装了 SharePoint Online 命令行管理程序版本 16.0.19418.12000 或更高版本,请执行以下步骤,以使用 PowerShell 启用对敏感度标签的支持:
使用在 Microsoft 365 中具有全局管理员或 SharePoint 服务管理员权限的工作或学校帐户连接到 SharePoint Online 命令行管理程序。 若要了解具体操作步骤,请参阅 SharePoint 在线管理壳入门。
注意
如果你有 Microsoft 365 多地理位置,请将 -Url 参数与 Connect-SPOService 一起使用,并为其中一个地理位置指定 SharePoint Online 管理中心网站 URL。
在命令提示符下,运行以下命令并按 Y 进行确认:
Set-SPOTenant -EnableAIPIntegration $true如果你有 Microsoft 365 多地理位置,请对剩余的每个地理位置重复步骤 1 和 2。
知识检查
为以下每个问题选择最佳答案。