開始使用敏感度標籤
如需敏感度標籤為何及其如何可協助您保護組織資料的相關資訊,請參閱了解敏感度標籤。
當您準備好要開始使用敏感度標籤來保護組織的資料時:
建立標籤。 根據貴組織用於不同內容敏感度層級的分類法,建立您的敏感度標籤並加以命名。 使用對您的使用者有意義的一般名稱或字詞。 如果您還沒有建立分類法,請考慮從 [個人]、[公用]、[一般]、[機密] 和 [高度機密] 等標籤名稱著手。 您可以接著使用子標籤,依類別將類似的標籤群組。
針對每個標籤指定工具提示,以協助使用者選取適當的標籤,並考慮包含特定範例。 不過,請勿讓工具提示太長,讓用戶無法讀取它,並注意某些應用程式可能會截斷很長的工具提示。
注意事項
如需一些建議的範例,請參閱 默認敏感度標籤的標籤名稱和描述。 如需有關定義分類分類的詳細指引,請參閱 數據分類 & 敏感度標籤分類法。
請一律與需要套用敏感度標籤名稱和工具提示的人員一起測試並量身訂做。
定義每個標籤的功能。 設定您想要與每個標籤相關聯的保護設定。 例如,您可能希望將較低敏感度內容 (如「一般」標籤) 僅套用到頁首或頁尾,而較高敏感度內容 (如「機密」標籤) 則具有浮水印和加密。
發佈標籤。 設定好敏感度標籤之後,請使用標籤原則加以發佈。 決定哪些使用者和群組應具有標籤,以及所要使用的原則設定。 單一標籤可重複使用;您只要定義一次,就可以將它納入指派給不同使用者的數個標籤原則中。 例如,您可以將標籤原則指派給少數幾個使用者來試驗您的敏感度標籤。 當您準備好在整個組織推出標籤時,您可以為標籤建立新的標籤原則,而這次指定所有使用者。
提示
您可能符合自動建立預設標籤和預設標籤原則, 為您維護步驟 1-3。 如需詳細資訊, 請參閱 Microsoft Purview 資訊保護的預設標籤和原則。
部署及套用敏感度標籤的基本流程:
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
敏感度標籤的訂閱和授權需求
許多不同的訂閱都支援敏感度標籤,以及使用者的授權需求取決於您所使用的功能。 系統管理員也需要管理敏感度標籤的授權。
若要查看授權使用者使用 Microsoft Purview 功能的選項,請參閱 Microsoft 365 安全性與合規性的授權指引。 針對敏感度標籤,請參閱 資訊保護:敏感度標籤 一節,以及相關的功能層級授權需求的 PDF 下載。
建立和管理敏感度標籤所需的權限
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
將建立敏感度標籤的合規性小組成員需要Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 的許可權。
若要存取管理入口網站來建立和管理敏感度標籤,您可以使用下列角色群組:
- 資訊保護
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
如需每個角色及其所包含角色的說明,請在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中選取角色群組,然後在飛出視窗窗格中檢閱描述。 或者,請參閱 適用於 Office 365 的 Microsoft Defender 中的角色群組和Microsoft Purview 合規性。
或者,若要使用預設角色群組,您可以建立新的角色群組,並將 敏感度標籤系統管理員 角色新增至此群組。 唯讀角色請使用 [敏感度標籤讀取器]。
另一個選項是將使用者新增至 合規性數據管理員、 合規性系統管理員或 安全性系統管理員 角色群組。
如需設定指示,請參閱下列指引,視您使用的入口網站而定:
只有建立及設定敏感度標籤及其標籤原則時,才需要這些權限。 您不需要在應用程式或服務中套用這些標籤。 如果與敏感度標籤相關的特定設定需要其他權限,則這些權限會列在個別的文件指示中。
支援管理單位
敏感度標籤支援已在 Microsoft Entra ID 中設定的管理單位:
您可以將管理單位指派給與 Microsoft Purview 資訊保護 搭配使用的角色群組成員。 編輯這些角色群組並選取個別成員,然後選取 [指派系統管理單位] 選項,以從 Microsoft Entra ID 選取管理單位。 這些系統管理員現在只能管理這些管理單位中的使用者。
您可以在建立或編輯這些原則時,定義敏感度標籤原則和自動套用標籤原則的初始範圍。 當您選取管理單位時,只有這些管理單位中的使用者才符合原則的資格。
保護原則 不支援管理單位。
重要事項
請勿針對您想要套用至 SharePoint 中文件的自動套用標籤原則選取管理單位。 由於管理單位僅支援使用者和群組,因此如果您設定自動套用標籤原則以使用管理單位,您將無法選取 SharePoint 位置。
管理單位的設定及其成員資格的精確度是 Microsoft Entra ID 相依性。 雖然管理單位的主要目的是要確保最低許可權的安全性最佳做法,但針對您的卷標原則使用管理單位可以簡化其設定和維護。
例如,您的組織已針對特定國家/地區設定管理單位,而且您只需要將新的敏感度標籤發佈給法國的使用者,並將特定原則設定指派給這些使用者:
您登入 Microsoft Purview 合規性入口網站。 您的帳戶是 資訊保護 系統管理員角色群組的成員,而您在該角色群組中的帳戶已獲指派法國、德國和西班牙的管理單位。
當您建立敏感度標籤原則時,您只會看到三個管理單位,並選取一個適用於法國的單位,保留所有使用者和群組的預設值。
此設定會自動將原則的範圍設定為法國的所有使用者。 您不需要擔心要選取或手動選取使用者的群組。 當法國有新的使用者時,您也不需要擔心變更原則,因為這項變更是由 Microsoft Entra 中的管理單位所處理。
如需 Microsoft Purview 如何支援管理單位的詳細資訊,請參閱 管理單位。
敏感度標籤的部署策略
為組織部署敏感度標籤的成功策略是建立工作虛擬小組,以識別及管理業務和技術需求、概念驗證、測試、內部檢查點和核准,以及生產環境的最後部署。
建議使用下一章的表格,確定與影響最大的業務需求對應的前兩種情況。 部署這些案例之後,請回到清單以確定下一個或下兩個部署的優先順序。
敏感度標籤的常見案例
所有案例均會要求您建立及設定敏感度標籤及其原則。
我想要... | 文件 |
---|---|
管理 Office 應用程式的敏感度標籤,讓內容標示為已建立 — 包括在所有平台上的手動標籤支援 | 在 Office 應用程式中使用敏感度標籤 |
將標籤延伸至 Windows 檔案總管 和 PowerShell | 在 Windows 上延伸敏感度標籤 |
使用敏感度標籤加密文件和電子郵件,並限制能夠存取該內容的人員以及使用方式 | 使用敏感度標籤來套用加密以限制存取內容 |
確定 SharePoint 網站的檔在下載檔時會保留其目前的許可權,並防止檔案移動和複製 | 使用敏感度標籤設定 SharePoint,以擴充下載檔的許可權 |
保護Teams會議,從會議邀請和回應到保護會議本身和相關聊天 | 使用敏感度標籤來保護行事曆專案、Teams 會議和聊天 |
保護 Teams 語音信箱訊息 | 在組織中啟用受保護的語音信箱 |
啟用 Office 網頁版 的敏感度標籤,支援共同撰寫、電子檔探索、數據外洩防護、搜尋,即使檔已加密也一般 | 對 SharePoint 和 OneDrive 中的檔案啟用敏感度標籤 |
使用敏感度標籤搭配 Microsoft Loop 來保護 Loop 內容 | 使用敏感度標籤搭配 Microsoft Loop |
SharePoint 中要使用預設敏感度標籤自動加上標籤的檔案 | 設定 SharePoint 文件庫的預設敏感度標籤 |
當檔案加密時,在 Office 桌面應用程式中使用共同撰寫和自動儲存 | 針對使用敏感度標籤加密的檔案啟用共同撰寫 |
自動將敏感度標籤套用至文件和電子郵件 | 自動將敏感度標籤套用至Microsoft 365數據 |
使用敏感度標籤來保護Teams和SharePoint中的內容 | 對 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站使用敏感度標籤 |
使用敏感度標籤設定 SharePoint 和 OneDrive 中的網站和個別文件的預設共用連結類型 | 使用敏感度標籤,在 SharePoint 和 OneDrive 中設定網站和文件的預設共用連結 |
將敏感度標籤套用至文件瞭解模型, 以自動分類及保護 SharePoint 文件庫中已識別的文件 | 將敏感度標籤套用至 Microsoft Syntex 中的模型 |
防止或警告使用者共用具有特定敏感度標籤的檔案或電子郵件 | 在 DLP 原則中使用敏感度標籤做為條件 |
當我收到包含個人資料的內容正在共用且需要保護的警示時,將敏感度標籤套用至檔案。 | 調查及修復隱私權風險管理中的警示 |
使用保留標籤來保留或刪除具有特定敏感度標籤的檔案或電子郵件 | 自動套用保留標籤以保留或刪除內容 |
探索、標記和保護儲存在內部部署資料存放區中的檔案 | 部署資訊保護掃描器以自動分類和保護檔案 |
探索、標記和保護儲存在雲端的資料存放區中的檔案 | 探索、分類、標記和保護儲存在雲端中的控管和敏感性資料 |
使用具有與檔案和電子郵件敏感度標籤相同的敏感度標籤為 SQL 資料庫資料行加上標籤,讓組織擁有統一的標籤解決方案,可在匯出此結構化資料時持續保護 |
適用於 Azure SQL 資料庫、Azure SQL 受控執行個體和 Azure Synapse Analytics 的資料探索和分類 適用於 SQL Server 內部部署的 SQL 的資料探索和分類 |
在 Power BI 中套用和檢視標籤,並在服務外儲存該資料時加以保護 | 在 Power BI 套用敏感度標籤 |
Microsoft網狀架構中的標籤專案,以限制存取權,並將唯讀或完全控制許可權授與使用者 | 建立和管理 Fabric 的保護原則 |
監視並了解組織中使用敏感度標籤的方法 | 如何使用Microsoft數據分類儀錶板 |
稽核組織中的敏感度標籤 | 稽核記錄活動 - 敏感度標籤活動 |
根據套用的敏感度標籤辨識電子檔探索案例的內容,例如機密和高度機密 | 使用條件產生器在電子檔探索中建立搜尋查詢 |
將敏感度標籤延伸至第三方應用程式和服務 | Microsoft 資訊保護 SDK |
將敏感度標籤延伸到 Microsoft Purview 資料對應資產中的內容,例如 Azure Blob 儲存體、Azure 檔案、Azure Data Lake Storage 和多雲端資料來源 | Microsoft Purview 資料對應中的標籤 |
敏感度標籤的使用者文件
最有效的使用者文件會是您為所選的標籤名稱和組態提供的自訂指導方針和指示。 您可以使用標籤原則設定為使用者提供自訂說明頁面的連結,以指定本文件的內部連結。
在 Office 應用程式中,用戶可以輕鬆地從 [ 敏感度 ] 按鈕、[ 深入瞭解 ] 功能表選項存取您的自定義說明。
從 Windows 檔案總管 中的 Microsoft Purview 資訊保護 檔案實驗室,用戶可以在檔案捲標器對話方塊中,從 [說明與意見>反應通知我更多] 存取相同的自定義說明。
若要協助您提供自訂的文件,請參閱下列您可用於協助訓練使用者的網頁和下載:敏感度標籤的使用者訓練。
您也可以使用下列資源來取得基本指示:
如果您的敏感度標籤為 PDF 文件套用加密,則可在 Windows 或 Mac 上使用 Microsoft Edge 開啟這些文件。 如需詳細資訊,請參 閱在 Windows 或 Mac 上使用 Microsoft Edge 檢視受保護的 PDF。