使用敏感度標籤來套用加密以限制存取內容
當您建立敏感度標籤時,可以限制對套用標籤之內容的存取。 例如,使用敏感度標籤的加密設定,您可以保護內容,以便:
- 僅您組織內的使用者才能開啟機密文件或電子郵件。
- 僅行銷部門中的使用者才能編輯和列印促銷公告文件或電子郵件,而您組織中的所有其他使用者則只能讀取它。
- 使用者無法轉寄電子郵件,或從中複製包含內部組織相關消息的資訊。
- 在指定日期之後,無法開啟傳送給商業夥伴的目前價格清單。
- 只有傳送會議邀請以開始機密項目的人員可以開啟會議邀請,而且無法將邀請轉送給其他人。
當文件、電子郵件或會議邀請加密時,會限制對內容的存取,使其:
- 只有標籤加密設定授權的使用者才能將其解密。
- 即使檔案重新命名,無論其位於您組織內部或外部,仍會保持加密狀態。
- 同時進行靜態加密 (例如,在 OneDrive 帳戶中) 及傳輸中加密 (例如,周遊網際網路的電子郵件)。
最後,身為系統管理員的您,在設定一個敏感度標籤來套用加密時,可以選擇以下兩者之一:
- 立即指派權限,這樣您就能確實決定哪個使用者能夠存取該標籤的內容。
- 當使用者將標籤套用到內容時,讓使用者指派權限。 如此一來,您就可以讓組織中的人員靈活地共同作業並完成工作。
當您在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中建立敏感度標籤時,可以使用加密設定。
注意事項
Outlook 中的敏感度標籤可以套用 S/MIME 保護,而不是來自 Azure Rights Management 服務的加密和許可權。 如需詳細資訊,請參閱在 Outlook 中設定標籤以套用 S/MIME 保護。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
了解加密的運作方式
除非您使用 Outlook 的 S/MIME,否則敏感度標籤套用至文件、電子郵件和會議邀請的加密都會使用 Azure Rights Management 服務, (來自 Microsoft Purview 資訊保護 的 Azure RMS) 。 此保護解決方案使用加密、身分識別及授權原則。 若要深入瞭解,請參閱 什麼是 Azure Rights Management?。
使用此加密解決方案時,超級使用者功能可確保獲授權的人員和服務一律可以讀取和檢查已為組織加密的資料。 如有需要,您可以接著將加密移除或變更。 如需詳細資訊,請參閱為 Azure 資訊保護和探索服務或資料復原設定超級使用者。
重要事項
您也可以使用 敏感度標籤,將加密套用至 Teams 會議的音訊和視訊串流,但這會使用不同的加密方法,而不是用於電子郵件、會議邀請和檔的 Azure Rights Management 服務。 如需用於 Teams 會議之加密的詳細資訊,請參閱 Teams 安全性指南中的 媒體加密 。
重要的先決條件
在您可以使用加密之前,您可能需要執行一些組態工作。 當您設定加密設定時,不會檢查是否符合這些先決條件。
啟用 Azure Rights Management
若要讓敏感度標籤使用版權管理來套用加密,必須為您的租用戶啟用來自 Microsoft Purview 資訊保護 的 Azure Rights Management 服務。 在較新的租用戶中,這是預設設定,但您可能需要手動啟用該服務。 如需詳細資訊,請參閱啟用來自 Azure 資訊保護的保護服務。
檢查網路需求
您可能需要對網路裝置 (例如防火牆) 進行一些變更。 如需詳細資訊,請參閱 防火牆和網路基礎結構。
檢查您的 Microsoft Entra 組態
有一些 Microsoft Entra 組態可防止授權存取加密的內容。 例如,跨租使用者存取設定和條件式存取原則。 如需詳細資訊,請參閱 Microsoft Entra 加密內容的組態。
設定 Azure Rights Management 的 Exchange
使用者不需要為 Azure Rights Management 設定 Exchange,即可在 Outlook 中套用標籤來加密其電子郵件。 不過,在針對 Azure Rights Management 設定 Exchange 之前,您無法取得使用版權管理進行加密的完整功能。
例如,使用者無法在行動電話上或使用 Outlook 網頁版 檢視加密的電子郵件或加密會議邀請、加密的電子郵件無法編製索引以進行搜尋,且您無法設定 Exchange Online DLP 以進行 Rights Management 保護。
為確保 Exchange 可支援這些額外案例:
- 針對 Exchange Online,請參閱 Exchange Online:IRM 設定的指示。
- 針對 Exchange 內部部署,您必須部署 RMS 連接器和設定您的 Exchange Server。
如何設定用於加密的標籤
請遵循一般指示來建立或編輯敏感度標籤,並確定已針對標籤的範圍選取 [檔案 & 其他數據資產] 選項:
然後,在 [ 為您選取的專案類型選擇保護設定 ] 頁面上,確定您選取 [ 控制存取]。
在 [ 存取控制] 頁面上,選取下列其中一個選項:
如果已套用至專案,請移除訪問控制設定:當您選取此選項時,套用標籤會移除現有的加密,即使它與敏感度標籤分開套用也一樣。
請務必瞭解,此設定可能會導致使用者在沒有足夠的許可權可移除現有加密時,無法套用敏感度標籤。 如需有關此案例的詳細資訊,請參閱套用標籤時,現有的加密會發生什麼情況小節。
設定存取控制設定:使用版權管理開啟加密,並顯示下列設定:
在下列設定加密設定一節中可以取得這些設定的指示。
編輯標籤以新套用加密或變更現有的加密設定
一開始設定不套用加密的敏感度標籤是常見的部署策略,稍後再編輯一些現有的標籤以套用加密。 當標籤變更 到達您的應用程式時,您編輯的標籤會針對新加上標籤的專案套用該加密。
針對已 啟用 SharePoint 和 OneDrive 敏感度標籤時在 SharePoint 和 OneDrive 中存取的檔案,檔案的新加密狀態會在下次存取這些檔案時自動變更。 例如,它們會在 Office 網頁版 中開啟或下載。 不需要移除標籤並重新套用標籤。 例如,先前未加密的檔案會變成加密。
對於已加上標籤的其他專案,除非您移除標籤並重新套用標籤,否則它們會保留先前的加密狀態。 例如,將敏感度標籤變更為現在套用加密之後,當您在 Office Desktop 或 Office Mobile 中開啟先前加上標籤和未加密的檔或電子郵件時,除非您移除標籤並重新套用,否則這些專案會保持未加密狀態。 同樣地,如果您將敏感度標籤設定變更為不套用加密 (移除存取控制) 的選項,除非您移除標籤並重新套用,否則這些專案仍會保持加密狀態。
對於已加上加密標籤的專案和 [立即指派許可權] 選項,當您變更使用者或許可權的加密設定時,當使用者向加密服務進行驗證時,新的設定將會套用至現有的專案。 在大部分情況下,不需要移除並重新套用標籤。 不過,如果使用者已開啟加密的檔或電子郵件,在使用者的使用授權過期且必須重新驗證之前,他們將不會取得新的設定。 如需此案例的詳細資訊,請參閱加密運作方式的相關 常見問題 。
每當您變更加密選項以讓使用者指派許可權時,該變更只會套用至新加上標籤或重新標記的專案。 例如:
- 您現在將標籤從指派許可權變更為讓使用者指派許可權,或相反地
- 您將標籤從 [不可轉寄] 變更為 [僅加密],反之亦然
套用標籤時,現有的加密會發生什麼情況
如果敏感度標籤套用至未加密的內容,您可以選取的加密選項結果會是一目了然的。 例如,如果您未選取 [ 控制存取權],則內容會保持未加密狀態。
不過,內容可能已加密。 例如,其他使用者可能已套用:
- 他們自己的許可權,包括標籤提示時的使用者定義許可權、Microsoft Purview 資訊保護 用戶端的自定義許可權,以及 Office 應用程式內的限制存取檔保護。
- 從標籤獨立加密內容的版權管理範本。 此類別包括使用版權保護來套用加密的郵件流程規則。
- 以系統管理員指派的權限套用加密的標籤。
下表說明對該內容套用敏感度標籤時,現有的加密會發生的情況:
加密:未選取 | 加密:已設定 | 加密:移除 | |
---|---|---|---|
使用者指定的權限 | 原始加密已移除 | 新標籤加密已套用 | 原始加密已移除 |
Rights Management 範本 | 原始加密已保留 | 新標籤加密已套用 | 原始加密已移除 |
具有系統管理員定義權限的標籤 | 原始加密已移除 | 新標籤加密已套用 | 原始加密已移除 |
在套用新標籤加密或移除原始加密的情況下,只有在套用標籤的使用者有支援此動作的使用權利或角色時,才會發生這種情況:
- 使用權限匯出或完全控制。
- Rights Management 簽發者或 Rights Management 擁有者的角色,或超級使用者。
如果使用者沒有這些權限或角色中的一個,就無法套用標籤,因此會保留原始加密。 使用者會看到下列訊息:您沒有對敏感度標籤進行變更所需的權限。請連絡內容的擁有者。
例如,對電子郵件訊息套用 [不可轉寄] 的人員,可以將該對話重新標籤,以取代加密或加以移除,因為他們是該電子郵件的 Rights Management 擁有者。 但除了超級使用者之外,此電子郵件的收件者無法重新指派標籤,因為他們沒有所需的使用權限。
Email 加密電子郵件訊息和會議邀請的附件
當任何方法加密電子郵件訊息或會議邀請時,任何附加至電子郵件或邀請的未加密 Office 檔都會自動繼承相同的加密設定。 例如,您無法使用設定或標籤 範圍來關閉此加密繼承。
附件不會繼承電子郵件訊息或會議邀請中的任何敏感度標籤,但可能會在相同租使用者中的使用者開啟檔時自動套用。 如需詳細資訊,請 參閱檔的加密型標籤比對。
已加密然後新增為附件的文件,一律會保留其原始加密。
設定加密設定
當您在存取控制頁面上選取 [設定存取控制設定] 來建立或編輯敏感度標籤時,請選擇下列其中一個選項:
- 立即指派權限,這樣您就能決定哪些使用者確切能取得已套用標籤內容的權限。 如需詳細資訊,請參閱下一節的立即指派權限。
- 當使用者將標籤套用到內容時,讓使用者指派權限。 利用此選項,您就可以讓組織中的人員靈活地共同作業並完成工作。 如需詳細資訊,請本頁的讓使用者指派權限章節。
例如,如果您有一個名為 [高度機密] 的敏感度標籤,該標籤將套用至最敏感的內容,則您可能會希望立即決定誰能取得該內容的何種權限。
或者,如果您有一個名為 [商業合約] 的敏感度標籤,並且貴組織的工作流程要求人員非計劃性地與不同人員共同處理此內容,則您可能會希望讓使用者在指派標籤時決定可取得權限的人員。 這種靈活性既可以幫助您提高使用者的工作效率,又可以減少管理員更新或建立新敏感度標籤以滿足特定案例的要求。
選擇 [立即指派權限] 或 [讓使用者指派權限]:
立即指派權限
使用下列選項來控制誰可以存取電子郵件、會議邀請 (啟用) ,或套用此標籤的檔。 您可以:
允許在特定日期或在套用標籤後的特定天數之後,存取已加上標籤的內容到期。 在此時間之後,使用者將無法開啟已加上標籤的專案。 如果您指定日期,則該日期在您目前時區的午夜生效。 某些電子郵件用戶端可能因為快取機制而無法強制執行到期,並顯示超過其到期日的電子郵件。
永不、永遠,或在標籤套用後的特定天數允許離線存取。 使用此設定來平衡您擁有的任何安全性需求,以及當使用者沒有網際網路連線時開啟加密內容的能力。 如果您將離線存取限制為永不或天數,達到該閾值時,必須重新驗證使用者且會記錄其存取權。 如需此流程運作方式的資訊,請參閱下列 Rights Management 使用權限相關章節。
加密內容的存取控制設定:
到期和離線存取設定的建議:
設定 | 建議的設定 |
---|---|
使用者存取內容的期限 | 除非內容有特定的時間繫結需求,否則永不。 |
允許離線存取。 | 取決於內容的敏感度: 對於與未經授權的人員共用即可能會造成企業損害的機密商業資料,- 只提供數天 = 7。 此建議提供在彈性和安全性之間權衡後的妥協方案。 範例包括合約、安全性報告、預測摘要和銷售帳戶資料。 對於與未經授權的人員共用即可能會造成企業損害之非常機密的商業資料,- 永不提供。 此建議將優先處理安全性而非彈性,並確保在您移除一或多個使用者對文件的存取權時,他們將無法開啟該文件。 範例包括員工和客戶資訊、密碼、原始程式碼,以及預先發佈的財務報告。 - 一律適用於使用者在移除存取權且先前已開啟加密內容之後,可以繼續開啟加密內容達 30 天 (或租用戶的已設定使用授權有效期間) 都沒關係的較不敏感內容。 |
只有為指派權限而進行設定的標籤,現在支援不同的離線存取值。 讓使用者指派權限的標籤會自動使用租用戶的 Rights Management 使用授權有效期間。 例如,針對 [不可轉寄]、[僅加密] 所設定,並提示使用者指定自身權限的標籤。 此設定的預設值為 30 天。
用於離線存取的 Rights Management 使用授權
注意事項
雖然您可以設定加密設定以允許離線存取,但某些應用程式可能不支援加密內容的離線存取。 例如,如果您離線,將不會開啟 Power BI Desktop中已加上標籤和加密的檔案。
當用戶開啟受 Azure Rights Management 服務加密保護的專案時,會將該內容的 Azure Rights Management 使用授權授與使用者。 使用授權是一項憑證,其中包含使用者對於文件或電子郵件使用權限,以及用來加密內容的加密金鑰。 如果已設定,則使用授權也會包含到期日,以及該使用授權的有效期。
如果未設定過期日期,租用戶的預設使用許可證有效期間為30天。 在使用授權期間,使用者不會重新驗證或重新授權內容。 此程式可讓使用者在沒有因特網連線的情況下,繼續開啟受保護的檔或電子郵件。 當使用授權有效期間到期時,使用者下次存取受保護的檔或電子郵件時,必須重新驗證並重新授權使用者。
除了重新驗證外,還會重新評估原則和使用者群組成員資格。 這表示,如果加密設定或群組成員資格自上次存取內容時有所變更,則使用者可能會遇到相同專案的不同存取結果。
若要了解如何變更預設的 30 天設定,請參閱 Rights Management 使用授權。
將權限指派給特定使用者或群組
您可以將權限授與特定人員,以便只有他們可與標籤內容互動:
首先,新增將獲指派標籤內容之權限的使用者或群組。
接著,選擇那些使用者應對標籤內容具有的權限。
指派權限:
新增使用者或群組
指派權限時,您可以選擇:
組織中的每個人都 (所有租用戶成員) 。 此設定會排除來賓帳戶。
任何已驗證的使用者。 選取此選項之前,請先確認您了解此設定的需求與限制。
任何特定使用者或啟用電子郵件的安全組、通訊群組或Microsoft 365 群組 Microsoft Entra ID。 Microsoft 365 群組可以有靜態或動態的成員資格 (部分機器翻譯)。 您無法從 Exchange 使用動態通訊群組,因為此群組類型未同步至 Microsoft Entra ID。 您也可以使用未啟用電子郵件功能的安全性群組。
雖然您可以指定包含郵件連絡人的群組,以作為方便將存取權授與組織外部多人的方法,但此設定目前有已知問題。 如需詳細資訊,請參閱 群組中的郵件連絡人具有加密內容的間歇性存取權。
任何電子郵件地址或網域。 使用此選項可指定另一個組織中使用 Microsoft Entra ID的所有使用者,方法是輸入該組織的任何功能變數名稱。 您也可以針對社交提供者使用此選項,方法是輸入其網域名稱,例如 gmail.com、hotmail.com 或 outlook.com。
注意事項
如果您從使用 Microsoft Entra ID 的組織指定網域,就無法限制對該特定網域的存取。 相反地,Microsoft Entra ID 中所有已驗證的網域都會自動包含在擁有您指定功能變數名稱的租使用者中。
當您選擇組織中的所有使用者和群組,或流覽目錄時,使用者或群組必須有電子郵件地址。
最佳做法是使用群組,而不是使用者。 此策略可讓您的設定更簡單。
「新增任何已驗證使用者」的需求與限制
此設定不會限制能夠存取標籤所加密內容的人員,同時仍會加密內容,並提供限制內容使用方式 (權限) 和存取方式 (到期和離線存取) 的選項。 不過,開啟加密內容的應用程式必須能夠支援所使用的驗證。 基於這個理由,Google 等同盟社交提供者和一次性密碼驗證只適用於電子郵件和會議邀請,而且只有在您使用 Exchange Online 時才適用。 Microsoft 帳戶可以與 Office 365 應用程式和 Microsoft Purview 資訊保護 查看器搭配使用。
注意事項
針對 SharePoint 和 OneDrive 中的 Office 檔案啟用敏感度標籤時,請考慮使用此設定搭配 SharePoint 和 OneDrive 與 Microsoft Entra B2B 整合。
任何已驗證使用者設定的某些典型案例如下:
- 您不在意檢視內容的是誰,但想要限制其使用方式。 例如,您不希望編輯、複製或列印內容。
- 您不需要限制存取內容的是誰,但想要能夠確認誰開啟了該內容。
- 您必須將靜態內容和在傳輸中的內容加密,但不要求存取控制。
選擇權限
當您選擇要對那些使用者或群組允許的權限時,您可以選取下列任一項:
- 具有默認許可權群組的預先定義許可權層級,例如 編輯器 或限制 編輯器。
- 自訂權限,您可在此選擇一或多個使用權限。
如需可協助您選取適當權限的詳細資訊,請參閱使用權限和描述。
請注意,相同的標籤可以將不同的許可權授與不同的使用者。 例如,單一標籤可以將某些使用者指派為受限 編輯器,並將不同的使用者指派為擁有者,如下列螢幕快照所示。
若要這樣做,請新增使用者或群組、指派許可權給他們,然後儲存這些設定。 然後重複這些步驟,新增使用者並指派許可權,每次儲存設定。 您可以視需要經常重複此設定,為不同的使用者定義不同的許可權。
Rights Management 簽發者 (套用敏感度標籤的使用者) 一律具有完全控制權
根據預設,敏感度標籤的加密會使用來自 Microsoft Purview 資訊保護的 Azure Rights Management 服務。 當使用者套用敏感度標籤以使用加密保護文件或電子郵件時,該使用者就會變成該內容的版權管理簽發者。
版權管理簽發者一律會被授與文件或電子郵件的完全控制權限,此外:
- 如果加密設定包括到期日,則 Rights Management 簽發者仍然可在該日期之後開啟和編輯文件或電子郵件。
- Rights Management 簽發者一律可以離線存取文件或電子郵件。
- Rights Management 簽發者仍可以開啟撤銷後的文件。
如需詳細資訊,請參閱 Rights Management 簽發者和 Rights Management 擁有者。
動態浮浮水印
當使用者存取套用此敏感度卷標的檔案時,預設會在檔案的每個頁面上動態插入其通用主體名稱 (UPN) 做為浮浮水印。 一般而言,使用者的UPN與其電子郵件位址相同。 您可以選擇性地使用PowerShell Cmdlet Set-Label 搭配 DynamicWatermarkDisplay 參數,指定也支援包含日期和時間之變數的自定義字元串。
在裝置上檢視檔案時,這個浮水印是高度可見的,並且會在列印時保存,但導出時則不會。 此浮浮水印比標籤的標準內容標記更安全,因為使用者無法輕鬆地手動移除或變更它。
當使用者重新標記檔、選擇套用不同動態浮水印或沒有動態浮水印的敏感度標籤時,就會移除浮水印。 不過,如同所有加密的內容,用戶必須具有導出或完全控制 權 限,才能移除現有的加密。
此保護浮浮浮水印僅支援套用加密的敏感度標籤,且具有 [立即指 派許可權 ] 設定,有時稱為「系統管理員定義許可權」。 如同其他加密設定,租用戶之間支援動態浮水印。 將它用於最敏感的檔,作為開啟檔之人員所擷取螢幕的視覺效果。 不過,請注意下列考慮。
若要開啟套用動態浮水印的標記檔,下列其中一項必須成立:
使用者是 Rights Management 擁有者,大部分時候,這表示他們自行套用標籤。 如需詳細資訊,請參閱 Rights Management 簽發者和 Rights Management 擁有者。
使用者會使用瞭解動態浮浮浮水印的應用程式來開啟檔。 使用 功能數據表 和數據列 動態浮浮水印 來確認支援的版本。
使用者會在 Office 網頁版 中開啟檔。
如果當使用者在 Office 應用程式中開啟檔時,這些條件都不符合,就不會開啟檔。 使用此標籤設定之前,請務必先瞭解這項限制。
注意
Microsoft如果 Office 應用程式不支援動態浮水印,則會拒絕存取,如果支援,則會強制執行動態浮水印。
先前標記檔的考慮:
就像所有變更的加密設定一樣,當您已經有檔的有效 Rights Management 使用授權 時,不會立即套用新設定的動態浮水印。 使用授權到期之後,您必須重新驗證 Azure Rights Management 服務以開啟檔,然後套用動態浮浮水印設定。
如果敏感度標籤先前套用標準浮水印做為內容標記,則不會自動偵測和解決。
雙重金鑰加密
注意事項
針對內建標籤,請使用 功能數據表 和數據列 雙鍵加密 (DKE) 來 識別所需的最小版本。
只有在您已設定 雙重密鑰 加密服務,而且您需要針對將套用此標籤的檔案和電子郵件使用此雙重金鑰加密之後,才選取 [雙重金鑰加密卷標] 選項。 設定並儲存標籤之後,您將無法編輯標籤。
如需詳細資訊、先決條件及設定指示,請參閱雙金鑰加密 (DKE)。
讓使用者指派權限
重要事項
並非所有的標籤用戶端都支援讓使用者自行指派權限的所有選項。 使用本章節深入瞭解。
您可以使用下列選項讓使用者在手動將敏感度標籤套用至內容時指派權限:
在 Outlook 中,使用者可以針對所選的收件者選取等同於 [不可轉寄] 選項或 [僅加密] 的限制。
所有支援敏感度標籤的電子郵件用戶端都支援 [不可轉寄] 選項。 不過,使用敏感度標籤套用 [ 僅加密 ] 選項是較新的版本。 對於不支援此功能的電子郵件用戶端,將不會顯示標籤。
若要檢查使用內建標籤的 Outlook 應用程式最小版本,以支援透過敏感度標籤套用僅加密選項,請使用 Outlook 的功能表格 和 [讓使用者指派權限:- 僅加密] 列。
在 Word、PowerPoint 和 Excel 中,除非標籤設定為擴充 SharePoint 文檔庫的許可權,否則系統會提示使用者為特定使用者、群組或組織選取自己的許可權。
對於不支援這項功能的 Office 應用程式,使用者看不到標籤,或是為了一致性而顯示標籤,但無法使用說明訊息套用給使用者。
若要檢查哪些 Office 應用程式支援此選項,請使用 Word、Excel 和 PowerPoint 的功能數據表,以及 [讓使用者指派許可權] 的資料列。
注意事項
如果標籤範圍排除 [不可轉寄] 和 [僅加密]) 的電子郵件 (,或排除在 Word、PowerPoint 和 Excel) 中提示使用者的檔案 (,您將無法使用這些設定。 如需詳細資訊,請參閱 僅限檔案或電子郵件的範圍標籤。
支援這些選項時,請使用下表來識別使用者何時可看到敏感度標籤:
設定 | 標籤在 Outlook 中顯示 | 標籤在 Word、Excel、PowerPoint 中顯示 |
---|---|---|
在 Outlook 中,強制執行限制 [不可轉寄] 或 [僅加密] 選項 | 是 | 否 |
在 Word、PowerPoint 與 Excel 中提示使用者指定權限 | 否 | 是 |
同時選取這兩個設定時,標籤會因此同時在 Outlook 和 Word、Excel 和 PowerPoint 中顯示。
敏感度標籤可讓使用者將許可權指派給使用者,但只能針對 [不可轉寄] 和 [Encrypt-Only] 選項自動套用。
設定使用者指派的權限:
Outlook 限制
在 Outlook 中,當使用者套用的敏感標籤可允許他們指派郵件的權限時,您可選擇 [不可轉寄] 選項或 [僅加密]。 使用者會在郵件頂端看到標籤名稱和描述,指出內容已受到保護。 與 Word、PowerPoint 和 Excel 不同的是 (請參閱下一節),使用者不會收到選取特定權限的提示。 針對此設定,系統管理員會控制許可權,但不會控制具有存取權的人員。
當其中一個選項套用至電子郵件時,電子郵件會加密且收件者必須經過驗證。 然後,收件者會自動擁有受限的使用權利:
不可轉寄:收件者無法轉寄、列印或複製電子郵件。 例如,在 Outlook 用戶端中,無法使用 [轉寄] 按鈕、[另存新檔] 和 [列印] 功能表選項,且您無法在 [收件人]、[副本] 或 [密件副本] 方塊中新增或變更收件者。
若需更多資訊說明此選項運作的方式,請參閱電子郵件的不可轉寄選項。
僅加密:收件者擁有除了另存新檔、匯出及完全控制以外的所有使用權利。 此使用權利的組合表示除非收件者無法移除保護,否則沒有限制。 例如,收件者可以從電子郵件複製、列印,然後轉寄。
若需更多資訊說明此選項運作的方式,請參閱電子郵件的僅加密選項。
附加至電子郵件或會議邀請的未加密 Office 檔案會自動繼承相同的限制。 針對 [不可轉寄],套用至這些文件的使用權限是 [編輯內容]、[編輯];[儲存];[檢視]、[開啟]、[讀取];和 [允許巨集]。 如果使用者想要不同的附件使用許可權,或附件不是支援此繼承保護的 Office 檔,用戶必須先加密檔案,再將它附加至電子郵件或會議邀請。
Word、PowerPoint 和 Excel 權限
在 Word、PowerPoint 和 Excel 中,當使用者套用可讓他們對文件指派權限的敏感度標籤時,系統會提示他們指定套用加密時的所選使用者和權限。 針對此設定,使用者和非系統管理員會控制誰可以存取檔,以及他們擁有哪些許可權。
支援全組織自訂權限
針對 Windows 中的內建標籤,當系統提示使用者指定其選擇的使用者和許可權時,使用者可以另外指定功能變數名稱。 輸入功能變數名稱時,許可權會套用至擁有網域且位於 Microsoft Entra ID 中之組織中的所有使用者。 若要識別支援此設定的最低版本,請使用 功能數據表 和數據列 讓使用者指派許可權:- 提示使用者 (使用者、群組和組織) 自定義許可權 。
注意事項
顯示的對話框會在最新版本的 Office 應用程式中更新,但在輸入功能變數名稱時,仍會支援整個組織的自定義許可權。 此支援的相關信息包含在快顯資訊方塊中。
例如,使用者輸入 @contoso.com (或 contoso.com) 並授與讀取許可權。 因為 Contoso Corporation 擁有 contoso.com 網域,所以該網域中的所有使用者,以及組織在 Microsoft Entra ID 中擁有的所有其他網域,都會被授與讀取許可權。
注意事項
當您指定這些值時,請勿用引弧括住它們。
請務必讓使用者知道存取權不僅限於指定網域中的使用者。 例如,@sales.contoso.com 不會限制僅限銷售子域中的使用者存取權,但也會將存取權授與 marketing.contoso.com 網域中的使用者,甚至是相同 Microsoft Entra 租使用者中具有脫離命名空間的使用者。
加密設定的範例組態
針對下列每個範例,在選取 [設定存取控制設定] 選項時,從 [存取控制] 頁面執行設定:
範例 1:套用 [不可轉寄] 標籤,以傳送加密的電子郵件傳送至 Gmail 帳戶
此標籤只會在 Outlook 和 Outlook 網頁版中顯示,因此您必須使用 Exchange Online。 當使用者需要傳送加密的電子郵件給使用 Gmail 帳戶 (或您組織外部的任何其他電子郵件帳戶)的人員時,指示使用者選取此標籤。
您的使用者在 [收件者] 方塊中輸入 Gmail 電子郵件地址。 然後選取標籤,而 [不可轉寄] 選項會自動新增至電子郵件中。 結果會是收件者無法轉寄電子郵件、或列印、複製其內容,或使用 [另存新檔] 選項將電子郵件儲存在信箱外部。
在 [ 訪問控制 ] 頁面上:[ 立即指派許可權] 或 [讓用戶決定 ],選取 [ 讓使用者在套用標籤時指派許可權]。
選取核取方塊:[在 Outlook 中,強制限制等於 [不可轉寄] 選項]。
如果已選取,請清除此核取方塊:[在 Word、PowerPoint 與 Excel 中提示使用者指定權限]。
選取 [下一步] 並完成設定。
範例 2:會對其他組織中的所有使用者限制唯讀權限的標籤
此標籤適用於以唯讀方式共用的非常敏感文件,以及一律需要網際網路連線才能檢視的文件。
此標籤不適合用於電子郵件。
在 [訪問控制 ] 頁面上:針對 [ 立即指派許可權],或讓使用者決定? 選取 [ 立即指派許可權]。
針對 [允許離線存取],選取 [從不]。
選取 [指派權限]。
在 [指派權限] 窗格中,選取 [新增特定電子郵件地址或網域]。
在文字方塊中,輸入來自另一個組織的網域名稱,例如,fabrikam.com。 然後選取 [新增]。
選取 [選擇許可權]。
在 [選擇權限] 窗格中,選取下拉式方塊,選取 [檢視器],然後選取 [儲存]。
回到 [指派權限] 窗格,選取 [儲存]。
在 [ 訪問控制 ] 頁面上,選取 [ 下一步 ],然後完成設定。
範例 3:將外部使用者新增至可加密內容的現有標籤
您新增的新使用者將能夠開啟已使用此標籤保護的文件和電子郵件。 您授與這些使用者的權限可以與現有使用者所擁有的權限不同。
在 [ 訪問控制 ] 頁面上:[ 立即指派許可權] 或 [讓用戶決定 ],確定已選取 [ 立即指派權 限]。
選取 [指派權限]。
在 [指派權限] 窗格中,選取 [新增特定電子郵件地址或網域]。
在文字方塊中,輸入要新增的第一個使用者 (或群組) 的電子郵件地址,然後選取 [新增]。
選取 [選擇許可權]。
在 [選擇權限] 窗格中,選取此使用者 (或群組) 的權限,然後選取 [儲存]。
回到 [指派權限] 窗格,針對您要新增至此標籤的每個使用者 (或群組) 重複步驟 3 到 6。 然後按一下 [儲存]。
在 [ 訪問控制 ] 頁面上,選取 [ 下一步 ],然後完成設定。
範例 4:加密內容但不會限制能夠存取內容人員的標籤
此組態的優點在於您不需要指定使用者、群組或網域來加密電子郵件或文件。 內容仍會加密,您仍然可以指定使用權限、到期日期和離線存取。
僅當您不需要限制能開啟受保護文件或電子郵件的人員時,才使用此組態。 請參閱 有關此設定的詳細資訊。
在 [ 訪問控制 ] 頁面上:[ 立即指派許可權] 或 [讓用戶決定 ],確定已選取 [ 立即指派權 限]。
視需要設定 [使用者存取內容的期限] 和 [允許離線存取] 設定。
選取 [指派權限]。
在 [指派權限] 窗格中,選取 [新增所有經過驗證的使用者]。
針對 [使用者和群組],您會看到 [授權的使用者] 已自動新增。 您無法變更此值,只能刪除它,這會取消 [新增所有經過驗證的使用者] 選取範圍。
選取 [選擇許可權]。
在 [選擇權限] 窗格中,選取下拉式方塊,選取您要的權限,然後選取 [儲存]。
回到 [指派權限] 窗格,選取 [儲存]。
在 [ 訪問控制 ] 頁面上,選取 [ 下一步 ],然後完成設定。
加密內容的考量事項
加密您最機密的文件和電子郵件,可協助確保只有獲授權的人員可以存取此資料。 不過,有一些事項需要納入考量:
如果您的組織尚未對 SharePoint 和 OneDrive 中的 Office 檔案啟用敏感度標籤:
- 搜尋、電子文件探索和 Delve 將不適用於加密的檔案。
- DLP 原則對這些加密檔案的中繼資料 (包括保留標籤資訊) 有效,但對這些檔案的內容 (例如檔案中的信用卡號碼) 沒有效用。
- 用戶無法使用 Office 網頁版 開啟加密的檔案。 啟用 SharePoint 和 OneDrive 中 Office 檔案的敏感度標籤時,使用者可以使用 Office 網頁版 來開啟加密的檔案,其中包含已套用內部部署密鑰的加密 (稱為「保存您自己的密鑰」,或 HYOK) 、雙重密鑰加密,以及從敏感度卷標獨立套用的加密。
如果您與組織外部人員共用加密文件,您可能需要建立來賓帳戶並修改條件式存取原則。 如需詳細資訊,請參閱 與外部使用者共用加密文件。
當授權使用者開啟其 Office 應用程式中的加密文件時, 他們會在應用程式頂端的黃色訊息列看到標籤名稱和描述。 當加密權限延伸至組織外部人員時, 請仔細檢視開啟文件時, 將會顯示在此訊息列的標籤名稱和描述。
若要讓多位使用者同時編輯加密的檔案,他們必須全部使用 Office 網頁版,或為使用敏感度標籤加密的檔案啟用共同撰寫,而且所有使用者都擁有支援此功能的 Office 應用程式。 如果未這麼做,而且檔案已經開啟:
- 在 Office 應用程式 (Windows、Mac、Android 和 iOS) 中,使用者會看到 [檔案使用中] 訊息,其中包含已簽出檔案的人員名稱。 然後,他們可以檢視唯讀複本,或儲存並編輯檔案的複本,並在檔案可用時收到通知。
- 在 Office 網頁版中,使用者會看到錯誤訊息,指出他們無法與其他人一起編輯該文件。 然後他們可以選取 [在閱讀檢視中開啟]。
若尚未對 使用敏感度標籤加密的檔案啟用共同撰寫,自動儲存功能也會隨之對 Windows 版和 Mac 版的加密檔案停用。 使用者會看到一則訊息,指出檔案具有必須移除的權限限制,之後才可以開啟「自動儲存」。
Windows 版 Office 支援在使用者未連線到網際網路時套用加密的標籤。 但對於其他平台 (macOS,iOS Android) 而言,使用者必須在線上,才能在Office 應用程式中套用這些標籤。 Microsoft Purview 資訊保護 客戶端也必須在在線,才能在 檔案總管 和 PowerShell 中套用這些標籤。 使用者不需要在線上以開啟加密的內容。 如需關於離線存取的詳細資訊, 請參閱用於離線存取的 Rights Management 使用授權章節。
在 Office 應用程式 (Windows、Mac、Android 和 iOS) 中開啟加密的檔案可能需要較長的時間才能開啟。
如果在 SharePoint 中簽出檔案時使用 Office 應用程式新增了套用了加密標籤,然後使用者放弃了簽出,則檔案將保持標記和加密狀態。
除非您已 針對使用敏感度標籤加密的檔案啟用共同撰寫,否則 Office 應用程式 (Windows、Mac、Android 和 iOS) 不支援加密檔案的下列動作,而且使用者會看到錯誤訊息。 不過,您可以使用 SharePoint 功能做為替代:
- 檢視、還原和儲存舊版的複本。 或者,當您啟用和設定清單或文檔庫的版本設定時,使用者可以使用 Office 網頁版 來執行這些動作。
- 變更檔案的名稱或位置。 或者,使用者可以在 SharePoint 中重新命名文件庫中的檔案、資料夾或連結。
若要獲得使用敏感度標籤加密之檔案的最佳共同作業體驗,建議您為 SharePoint 和 OneDrive 中的 Office 檔案中使用敏感度標籤和 Office 網頁版。
後續步驟
需要與組織外的人員共用您的已套用標籤且加密之文件嗎? 請參閱與外部用戶共用加密文件。
若要使用敏感度標籤來加密 Teams 會議的視訊和音訊串流,請參閱 使用敏感度標籤來保護行事歷專案、Teams 會議和聊天。