使用敏感度標籤設定 SharePoint,以擴充下載檔的許可權
注意事項
下列擴充 SharePoint 許可權的功能會在預覽版中逐漸推出,而且可能會變更。
針對敏感度標籤啟用 SharePoint 時,您可以設定文檔庫,以便在從文檔庫下載檔時,將現有的 SharePoint 網站許可權延伸至檔。 然後,即使檔案已離開原始 SharePoint 界限,該文檔庫中任何先前未標記的檔案仍會繼續受到使用者目前 SharePoint 許可權的保護。
例如,您選取 [機密 ] \ [信任 人員] 標籤作為敏感度標籤,以擴充文檔庫的許可權。 在該文件庫中,網站會設定為只允許使用者特定群組的讀取許可權。 該群組的使用者會從網站下載檔案,且該檔案現在標示為機密 \ 受信任的 人員。 即使檔案已不在 SharePoint 中,該使用者仍只能檢視及不編輯內容或移除卷標。 只有具有 SharePoint 中檔案存取權的使用者才能存取下載的檔案。 沒有 SharePoint 檔案存取權的使用者將無法開啟該下載的檔案,不論檔案儲存在何處。
此外,檔案具有 Just-In-Time 層的保護,因為下載檔案的使用者也無法在下列情況下開啟它:
- 該用戶的許可權會從檔案中移除
- 檔案會從網站刪除
- 網站已不再作用中
- 檔案會移至不同的網站
如果使用者的 SharePoint 許可權變更,這些變更會反映在下載的檔案中。
當這些標記的檔案位於文檔庫中時,它們也會受到保護,以防止複製和移動動作:
- 檔案無法複製到或移至不同的網站。
- 只有在使用者具有建立或刪除清單的 SharePoint 許可權時,才能將檔案複製到相同網站內的不同文檔庫或移至其他文檔庫。
指定的敏感度標籤會套用至所有未標記的檔案,以及已加上標籤的檔案,以及已加上標籤但標籤態不套用加密的檔案。 與 OneDrive 同步處理的檔案也會加上標籤。
對於已標記但未加密的現有檔案,手動套用的標籤也會取代為指定的標籤。 如需可能結果的快速摘要,請參閱此頁面上 是否要覆寫現有的標籤 。
目前,Microsoft 365 Copilot 無法存取標示為此組態的未開啟檔案。
因為未加密的檔案可以重新標記,所以此標籤設定非常適合在標籤部署初期且尚未使用其他方法在 SharePoint 網站中標記檔案的組織。
是否會覆寫現有標籤?
結果摘要:
| 現有標籤 | 使用連結庫標籤覆寫以擴充許可權 |
|---|---|
| 使用任何方法套用的標籤, (來自原則) 和標籤設定的手動、自動、預設標籤不會套用加密,任何優先順序 | 是 |
| 使用任何方法套用的標籤 (來自原則) 和標籤設定的手動、自動、預設標籤會套用加密,任何優先順序 | 否 |
需求
您已 建立併發佈 敏感度標籤,併發佈給將選取 SharePoint 文件庫敏感度標籤的使用者。 標籤需要下列設定:
檔案和其他數據資產的標籤範圍
已選取訪問控制,其加密設定為 [讓使用者在套用卷標時指派許可權],然後選取複選框 [Word、PowerPoint 和 Excel],提示使用者指定權限。 此設定有時稱為「使用者定義許可權」。
注意事項
在此標籤應用程式中,系統不會提示使用者提供許可權,但從網站下載、複製或移動檔案時,將會自動套用其 SharePoint 許可權。
您已 在 SharePoint 和 OneDrive 中啟用 Office 檔案的敏感度標籤。 若要檢查此狀態,您可以
(Get-SPOTenant).EnableAIPIntegration從 SharePoint Online 管理命令介面 執行 ,以確認值設定為 True。您的租用戶已啟用 共同撰寫使用敏感度標籤加密的檔案。
為了支援 PDF 的敏感度標籤,您已 在 SharePoint 中新增 PDF 的支援。 若要檢查此狀態,您可以
(Get-SPOTenant).EnableSensitivityLabelforPDF從 SharePoint Online 管理命令介面 執行 ,以確認值設定為 True。從下載檔的 Microsoft 365 Apps 企業版 下載檔的 Windows 應用程式需要從目前通道、每月企業通道或 Semi-Annual 企業通道的最低版本 2402。
未針對連結庫啟用 SharePoint 資訊版權管理 (IRM) 。 這項較舊的技術與使用 SharePoint 文件庫的敏感度標籤不相容。 如果已針對 IRM 啟用連結庫,您將無法選取敏感度標籤。
需要網站管理員許可權,才能在 SharePoint 中套用和變更敏感度標籤。
檔案必須包含要標記的內容。
如果您需要檢閱 SharePoint 中敏感度標籤所支援的檔案類型清單,請參閱 支援的文件類型。
SharePoint 許可權與許可權的對應
使用下表來瞭解如何在下載或複製檔案並移至網站外部時,將使用者的 SharePoint 許可權延伸至 版權管理權 限和 許可權等級 。
| SharePoint 許可權 | 已套用許可權 | 權限等級 |
|---|---|---|
| Owner | 完全控制內容、所有許可權,以及套用的敏感度標籤: VIEW、EXTRACT、DOCEDIT、EDIT、EXPORT、COMMENT、PRINT、FORWARD、REPLY、REPLYALL、VIEWRIGHTSDATA、EDITRIGHTSDATA、OBJMODEL *、OWNER * |
擁有者 |
| Edit | 完全控制內容,但無法變更套用的敏感度標籤: VIEW、EXTRACT、DOCEDIT、EDIT、EXPORT、COMMENT、PRINT、FORWARD、REPLY、REPLYALL、VIEWRIGHTSDATA |
編輯者 |
| Read | 可以檢視內容,但無法變更套用的內容或敏感度標籤: VIEW、VIEWRIGHTSDATA |
檢視者 |
* 目前不會套用這些許可權,因此使用者可以變更敏感度標籤,但無法移除它。
限制
當您使用此設定時,適用下列限制:
用戶無法手動套用未設定為套用加密的敏感度標籤。
使用者將無法離線開啟下載的檔案;他們必須能夠連線到原始網站。
如果刪除原始 SharePoint 網站、資料夾或檔案,使用者將無法開啟下載的檔案。
以此設定標示的檔案無法移動或複製到另一個網站。
如果使用者具有建立或刪除清單的 SharePoint 許可權,則使用此設定標記的檔案只能移動或複製到相同網站內的另一個文檔庫。 複製或移動的檔案不會保留標籤。
如果標籤未設定為套用加密,此設定可以覆寫先前手動套用的標籤。
以此組態標示的檔案目前不會在 內容總管中顯示為標籤。
如果使用者具有 SharePoint 讀取許可權,Microsoft 365 Copilot 可以參考標記的檔案,但不會摘要說明這些檔案。 因為無法摘要檔案,所以 Copilot 也無法使用它們來產生新內容。
注意事項
如同所有使用 Azure Rights Management 加密的檔案,進階 用戶 可以在必要時開啟加密的文件,因為無法再存取原始位置。
如何設定 SharePoint 文件庫的敏感度標籤,以擴充下載檔的許可權
此設定會先要求您使用PowerShell搭配 SharePoint Online 管理命令介面 來啟用租使用者的功能。 然後,新的複選框會變成可供文檔庫設定使用。
執行 PowerShell 命令以啟用支援以擴充 SharePoint 許可權
請確定您執行的是 SharePoint Online 管理命令介面 16.0.25430.12000 版或更新版本。
若要啟用新功能,請使用 Set-SPOTenant Cmdlet 搭配 ExtendPermissionsToUnprotectedFiles 參數:
使用在 Microsoft 365 中具有 SharePoint 系統管理員許可權的公司或學校帳戶,連線到 SharePoint。 若要了解如何進行,請參閱開始使用 SharePoint Online 管理命令介面。
注意事項
如果您有 Microsoft 365 多地理位置,請使用 -Url 參數,搭配 Connect-SPOService,並為其中一個地理位置指定 SharePoint Online 系統管理中心網站 URL。
執行下列命令,然後按 Y 確認:
Set-SPOTenant -ExtendPermissionsToUnprotectedFiles $true如果您看到錯誤通知您功能未啟用,很可能是因為推出尚未到達您的租使用者。
針對 Microsoft 365 多地理位置:針對每個剩餘的地理位置重複步驟 1 和 2。
如同 SharePoint 的所有租使用者層級組態變更,變更大約需要 15 分鐘才會生效。
使用預設標籤設定 SharePoint 文件庫以擴充許可權
針對您想要進行此設定的每個 SharePoint 文件庫,請遵循將 敏感度標籤新增至 SharePoint 文件庫的指示,然後選取 [在 下載、複製或移動時擴充保護] 複選框:
在先前的 PowerShell 命令完成之前,您不會看到此複選框。
選取使用使用者定義許可權套用加密的敏感度標籤之後,請儲存設定。
注意事項
此功能與為支援不加密敏感 度標籤的 SharePoint 文件庫選取預設敏感度標籤 的選項互斥,而使用 [指派權 限] 選項設定的敏感度標籤現在 (有時稱為「系統管理員定義許可權」) 。
選取的敏感度標籤會套用至所有未標記的檔案,以及已加上標籤但標籤設定不套用加密的檔案。 文件庫 的 [敏感度 ] 資料行會針對現有、新增和編輯的檔案顯示您選取的標籤。 用戶在開啟檔案以進行編輯時,會看到選取的標籤顯示,但不會因為標籤而發生任何許可權變更。
使用敏感度標籤設定連結庫之後,如果透過 OneDrive 同步處理 用戶端同步處理連結庫,所有現有的檔案都會重新同步處理。 重新同步處理程式可能需要一些時間,而且在完成之前,不會套用延伸保護。
重要事項
在您為敏感度標籤設定的 SharePoint 文件庫中,使用者無法移除其 Office 應用程式中套用的敏感度標籤,而且只有在取代標籤套用加密時,才能變更它。
監視擴充 SharePoint 許可權的敏感度標籤應用程式
因為此設定會擴充文檔庫預設敏感度標籤的功能,所以您會 以相同方式監視其設定。 敏感度標籤 GUID 會識別使用者定義許可權的加密組態。 下載、複製或移動檔案時,沒有個別的標籤稽核事件。
如何關閉這項功能
如果您想要讓特定 SharePoint 文件庫不再使用敏感度標籤擴充許可權,請清除 [在 下載時擴充保護]、複製或移動 複選框作為 SharePoint 文件庫設定。 然後:
文檔庫中先前使用此組態加上標籤的檔案會還原為其未套用加密的原始標籤標,如果在選取複選框之前是原始狀態,則為未標記。
與 OneDrive 同步處理的檔案將會重新同步處理,並同樣還原為先前的標籤狀態。 重新同步處理程式可能需要一些時間,而且在完成之前,擴充保護將會保留下來。
現在已下載的已加上標籤的檔案會保留其標籤。
如果您想要在先前啟用並設定租用戶層級時關閉此功能,請先從已選取此功能的所有文檔庫,清除 [在 下載、複製或移動時 擴充保護] 複選框。 然後,使用相同的 Set-SPOTenant Cmdlet 搭配 ExtendPermissionsToUnprotectedFiles 參數,但將值設定為 false。 然後:
- [ 在下載、複製或移動時 擴充保護] 複選框不再顯示為 SharePoint 文檔庫設定。
如果您在租用戶層級關閉此功能,但未先清除文檔庫的複選框,則組態會保留,但沒有複選框可將它關閉。
在此案例中,若要關閉設定, 請執行 PowerShell 命令以啟用支援以擴充 SharePoint 許可權 ,以再次顯示複選框,以便清除它。 如果您不想在租用戶層級重新啟用支援,請連絡 Microsoft 支援服務 透過PowerShell命令與您交談,以移除特定文檔庫的組態。
後續步驟
雖然此設定會針對儲存在 SharePoint 中的檔案提供大規模保護,但不會將可能需要更高保護層級的檔案內容納入考慮。 請考慮使用 自動標籤 來補充此標籤方法,以使用內容檢查來套用具有加密的敏感度標籤。