默認使用 Microsoft Purview 保護並防止過度共用 - 階段 1

本指南分為四個階段：

• 簡介
• 階段 1：基礎 – 從此頁面 (建議的標籤開始)
• 階段 2：Managed – 敏感度最高的地址檔案
• 階段 3：優化 – 擴充至整個Microsoft 365 數據資產
• 階段 4：策略性 – 操作、展開和追溯動作

階段 1：基礎 - 從建議的標籤開始

敏感度標籤是對使用者有意義且直覺的組織標籤。 它們在Microsoft解決方案和 Adobe Acrobat Reader 等非Microsoft解決方案之間整合且一致。

卷標上的保護原則會根據數據資產而有所不同。 例如：

• 支援檔案類型的加密和動態浮水印
• SharePoint 網站和 Teams 的條件式訪問控制和隱私權
• Azure SQL 資料庫、Azure 記憶體和 Amazon Web Services (AWS) S3 的許可權控制

套用標籤的策略通常會從手動套用標籤開始，然後使用敏感性資訊類型的客戶端自動套用標籤 (SIT) ，接著使用 SIT 和內容相關條件) 使用服務端自動套用卷標 (待用) 。 SharePoint 也會為每個文檔庫提供內容相關默認標籤，我們會在本指南中更詳細地說明此標籤。

從檔案和網站層級的默認標籤和保護開始

我們建議大部分的客戶從下列定義開始。 如果您有現有的部署，則可以調整這些建議的標籤，並在稍後重複更多案例。

在最上層，建議您從下列卷標開始：

• 公 用 - 公用數據是用於公用取用的不受限制數據，例如公開發行的原始程式碼和已宣布的財務。 免費共用。
• 一般 - 不適用於公用取用的商務數據，例如每日工作產品。 可在內部與信任合作夥伴共享的數據。
• 機密 - 敏感性商務數據對於達成組織目標至關重要。 有限的散發。
• 高度機密 - 您最重要的數據。 僅與具名收件者共用。

注意事項

對於接受受管理裝置上個人內容的組織，建議您以最低優先順序定義 非企業 或 個人 標籤，而不需保護。

針對 [機密 ] 和 [高度機密]，我們會新增下列子捲標：

• \所有員工 - 組織內的任何人都可以存取數據。
• \特定 人員 - 數據只能由指定的人員存取。
• \內部例外 狀況 - 任何人可以在內部存取數據，但無法在外部共享數據。 在加密會影響每日作業的情況下使用此標籤。

如需具有建議設定的父/子卷標完整清單，請參閱下表：

標籤名稱	給使用者的標籤描述	設定
公用	準備並核准供公用使用的商務數據。	範圍：項目 (檔案、電子郵件) 內容標記：否 自動套用標籤：否 數據外洩防護：無
一般	不適用於公用取用的商務數據。 但是，這可以視需要與外部合作夥伴共用。	選取此標籤作為電子郵件的預設標籤。 此標籤也會針對允許外部合作夥伴的網站選取。範圍： (檔案、Email、會議、網站) 的專案 內容標記：否 自動套用標籤：否 網站隱私權：私人或公用 數據外洩防護：使用鏈接封鎖任何人
機密 \ 所有員工	需受保護的機密資料，所有員工皆具備完整權限。 資料擁有者可追蹤及撤銷內容。	此標籤會選取為文件和網站的預設標籤。 範圍： (檔案、Email、會議、網站) 的專案 加密：組織中的所有使用者和群組：共同撰寫 內容標記：頁尾：分類為機密 自動套用標籤：否 網站隱私權：私人或公用 數據外洩防護：封鎖具有連結的任何人，封鎖外部
機密 \ 特定人員	可與組織內外的信任人員共用的機密資料。 這些人員還可以視需要重新共用資料。	範圍： (檔案、Email、會議、網站) 的專案 加密：讓使用者指派權限：： - 適用於 Outlook 的僅加密 - 在 Word、PowerPoint 和 Excel 中提示使用者 內容標記：頁尾：分類為機密 自動套用標籤：否 網站隱私權：私人或公用 數據外洩防護：使用鏈接封鎖任何人
機密 \ 內部例外狀況	無需加密的機密資料。 請謹慎使用此選項並提供適當的業務理由。	針對不需要加密的機密信息選取此標籤。 當使用此資訊的進程或應用程式不支援加密時，這可以當做內部例外狀況使用。 利用 數據外洩防護 和 測試人員風險管理 來管理風險和使用者偏差。 範圍： (檔案、Email、會議、網站) 的專案 內容標記：頁尾：分類為機密 自動套用標籤：否 網站隱私權：私人或公用 數據外洩防護：封鎖具有連結的任何人，封鎖外部
高度機密 \ 所有員工	高度機密資料，所有員工皆具備檢視、編輯及回覆此內容的權限。 資料擁有者可追蹤及撤銷內容。	此標籤用於 用戶端自動套用標籤 和 服務端自動套用標籤。 範圍： (檔案、Email、會議、網站) 的專案 加密：組織中的所有使用者和群組：共同撰寫 內容標記：頁尾：分類為高度機密 自動套用標籤：自動套用標籤。 請考慮自動套用高敏感性 所有認證敏感性信息類型。 網站隱私權：私人或公用 數據外洩防護：封鎖具有連結的任何人，封鎖外部
高度機密 \ 特定人員	需要保護且僅能由您指定的人員及選擇的權限等級檢視的高度機密資料。	範圍： (檔案、Email、會議、網站) 的專案 加密：讓使用者指派權限：： - 適用於 Outlook 的不可轉寄 - 在 Word、PowerPoint 和 Excel 中提示使用者 內容標記：頁尾：分類為高度機密 自動套用標籤：否 網站隱私權：私人或公用 數據外洩防護：封鎖具有連結的任何人，封鎖外部
高度機密 \ 內部例外狀況	不需要加密的高度機密數據。 請謹慎使用此選項並提供適當的業務理由。	系統會針對不需要加密的高度機密資訊選取此標籤。 當使用此資訊的進程或應用程式不支援加密時，這可以當做內部例外狀況使用。 利用 數據外洩防護 和 測試人員風險管理 來管理風險和使用者偏差。 範圍： (檔案、Email、會議、網站) 的專案 內容標記：頁尾：分類為機密 自動套用標籤：否 網站隱私權：私人或公用 數據外洩防護：封鎖具有連結的任何人，封鎖外部

預設安全性

與傳統的編目/逐步執行方法或 保護數據的默認標籤和 原則文章相比，此部署模型中的建議標籤有一些差異：

• 將檔案的預設標籤設定為 [機密\所有員工 ]。 針對現有的檔案，使用服務端自動套用標籤搭配內容 相關條件擴展名，適用於 所有相關 SharePoint 網站的所有 PPTX/DOCX/XLSX/PDF 檔案。
• 將電子郵件的預設標籤設定為 [一般 ]。 這可減少用戶能夠正常運作的部署摩擦，但附加至電子郵件的機密檔案會繼承檔案的標籤除外。
• 默認共用和 DLP 限制的控制件
• 以高度機密為中心的自動套用標籤使用案例
• 特定 人員 標籤，以直覺方式命名並自我說明
• 內部例外 狀況可解決加密導致用戶無法日常工作的邊緣案例。

重點和建議

• 標籤應該以直覺方式命名。
  • 避免將 機密、 限制或 內部 等字詞混合在一起 –對用戶來說，瞭解字詞的不同意義可能很困難。
  • 建議盡可能將捲標清單保持為5x5，也就是：父卷標最多五個，父卷標下最多五個子捲標。
• 在適用的情況下，標籤會同時用於檔案和 SharePoint 網站。
• 高度機密 最常使用自動套用標籤和內容相關預設值來完成，並提供更多控件和限制。
• 使用標籤將您的 SharePoint 網站和 Teams 隱私權預設為 私人 。
  • 對於廣泛在 SharePoint/Teams 中使用公用隱私權設定的組織，建議您更新為 私人 ，並改用公司可共用的連結。
  • 具有公司可共享連結的私人 SharePoint 網站提供相同的共同作業彈性，但可降低搜尋和 Copilot 中意外探索的風險。
  • 如需更多保護，請將預設共用設定為 [特定人員]。
• 建立與網站擁有者的責任鏈結。 使用報告和 圖形 API 來識別使用和行為的偏差。
• 在標示的內容上開啟 DLP，在適用時封鎖 具有連結 和 外部 的任何人。 符合這些條件區塊的現有共享內容、引發 DLP 警示，以及讓使用者看到原則提示。
• 開啟電子郵件標籤繼承。 如需詳細資訊， 請參閱設定電子郵件附件的標籤繼承。

開啟數據安全性必要條件和進階分析

Microsoft Purview 有許多功能。 為了降低對使用者的影響，預設不會啟用某些功能。 建議您檢閱下列設定：

1. 開啟在 Office Online 中處理內容的功能： 為 SharePoint 和 OneDrive 中的檔案啟用敏感度標籤
2. 開啟 Microsoft Teams 和 SharePoint 網站的標籤：使用敏感度標籤搭配 Microsoft Teams、Microsoft 365 群組 和 SharePoint 網站
   • 建議您保留 標籤不相符的電子郵件 標籤。 此功能會傳送電子郵件給文件擁有者和網站擁有者，告知其檔的敏感度高於網站的敏感度標籤。 您可以確認 『-BlockSendLabelMismatchEmail』 設定為 [$False
   • 使用 『-LabelMismatchEmailHelpLink』 包含說明連結
3. 在 OneDrive 和 SharePoint 中啟用 PDF 檔案支援： 為 SharePoint 和 OneDrive 中的檔案啟用敏感度標籤
4. 默認將檔案標示為敏感性： 在套用 DLP 規則時防止來賓存取檔案 - Microsoft 365 中的 SharePoint
5. DLP 分析： 開始使用數據外泄防護分析
6. 針對具有敏感度標籤的檔案開啟共同 撰寫：啟用加密檔的共同撰寫
7. 開啟測試人員風險管理指標： 在內部風險管理中設定原則指標
8. 開啟 Purview 稽核： 開始使用稽核解決方案
9. 啟用與 Microsoft Entra B2B 的整合：SharePoint 和 OneDrive 與 Microsoft Entra B2B 整合

特定人員的公司可共用連結或連結

OneDrive 和 SharePoint 共用是透過可共用的連結設定。 深入瞭解： Microsoft 365 中的 OneDrive 和 SharePoint 中可共用連結的運作方式

針對使用 SharePoint 網站且隱私權設定設為公用的組織，建議您移至私人，並將預設的共用連結設定為組織中的 人員。 開放式共同作業可供使用者使用，但可降低企業搜尋和 Copilot 中的自動內容探索能力。

提示

若要進一步降低風險，建議您將 [特定人員 ] 設定為預設值。

Microsoft Purview 敏感度標籤可讓您根據 SharePoint 網站敏感度標籤來設定可共享的連結。 例如，此設定可大幅促進一 般 和 機密 網站之間的細微設定。 深入瞭解： 使用敏感度標籤來設定預設共享連結類型

訓練使用者管理例外狀況

使用預設的安全方法，訓練著重於：

• 讓組織知道預設保護資訊的重要性。
• 在 SharePoint 網站標記的重要性，以及標籤如何影響檔案和共用的保護。
• 使用者如何在與信任的外部合作夥伴合作時變更標籤。
• 當企業營運應用程式或載入巨集無法正確使用加密時，使用者如何變更標籤。
• 是否要從 OneDrive 或 SharePoint 與信任的外部合作夥伴共用，以及如何選取適當的網站標籤。
• 降級標籤時需要理由。

從 SharePoint 網站標籤衍生檔案標籤可減少使用者變更標籤的次數。 例如：

• John 正在透過 OneDrive 在外部共用檔案。 接著，他檢閱內容，並判斷內容不機密，並將標籤變更為 [一般]。 John 接著在外部共用。
• Jane 正在與合作夥伴合作，並共用多個檔案。 Jane 使用 SharePoint，並將網站標示為 [一般]。 網站內的所有檔案都可以共用。 但是，如果在網站上上傳機密檔案，該檔案會受到保護，系統會將較高敏感度檔案的通知傳送給 Jane，而她可以移動檔案或變更卷標。
• Jack 在 Excel 中與合作夥伴合作，使用對商務營運很重要的載入巨集。 如果此載入巨集與加密不相容，Jack 必須將標籤變更為機密\內部例外狀況。

重要事項

在標籤優先順序、降級和理由與預設值之間，有一個重要的取捨。 例如，假設 [一般 ] 的優先順序低於 [機密]\[所有員工]，而且如果您的 Office 用戶端預設為 [ 機密]\[所有員工]，則不會套用設定為 [一 般 ] 的 SharePoint 默認連結庫卷標。 同樣地，設定為較高優先順序 的機密\內部例外 狀況不需要理由。 請務必檢閱標籤優先順序和理由需求。

開啟已標記內容的 DLP

Microsoft Purview 資料外洩防護 (DLP) 提供與敏感度標籤的整合，並以有限的設定快速解決 DLP 需求。

例如，建議的標籤和預設值設定為 [機密]\[所有員工]，建議您加入 DLP 規則來封鎖與外部共用，並封鎖 具有連結的任何人。 如需每個標籤的詳細數據，請參閱建議的標籤數據表和 DLP 限制數據行。

若要深入瞭解這項功能：

• 在 DLP 原則中使用敏感度標籤做為條件
• 資料外洩防護原則參考資料
• 資料外洩防護 Exchange 條件和動作參考

階段 1 - 摘要

在此階段結束時，您的組織有：

• 可供使用者手動使用的標籤。
• 任何新/更新文件和電子郵件的默認標籤。
• 用戶通訊和訓練如何在共用時管理例外狀況，或加密是否會對其商務檔案造成挑戰。
• 防止共享機密檔案的 DLP。

另請參閱

• 使用敏感度標籤套用加密
• 在 Office 應用程式中使用敏感度標籤
• 敏感度標籤的用戶訓練
• 瞭解保護資料的預設標籤和原則

下一個步驟： 階段 2：Managed – 處理敏感度最高的檔案