Administrer følsomhedsmærkater i Office apps

Microsoft 365-licensvejledning til sikkerhed & overholdelse af angivne standarder.

Når du har publiceret følsomhedsmærkater fra Microsoft Purview-compliance-portal, vises de i Office-apps, så brugerne kan klassificere og beskytte data, når de oprettes eller redigeres.

Brug oplysningerne i denne artikel til at hjælpe dig med at administrere følsomhedsmærkater i Office-apps. Du kan f.eks. identificere de minimumversioner af apps, du har brug for, for funktioner, der er specifikke for indbygget mærkning, eventuelle yderligere konfigurationsoplysninger for disse funktioner og forstå interaktioner med Azure Information Protection unified-mærkatklienten og andre apps og tjenester.

Navngiver klient til skrivebordsapps

Hvis du vil bruge følsomhedsmærkater, der er indbygget i Office-skrivebordsapps til Windows og Mac, skal du bruge en abonnementsversion af Office. Denne navngivningsklient understøtter ikke separate udgaver af Office, som nogle gange kaldes "Office Perpetual".

Hvis du ikke kan opgradere til Microsoft 365 Apps for enterprise for abonnementsversionerne af Office, kun til Windows-computere, kan du bruge azure Information Protection (AIP) unified labeling-klienten. Denne klient er dog nu i vedligeholdelsestilstand , og vi anbefaler ikke, at du bruger AIP-tilføjelsesprogrammet til Office-apps, medmindre du er nødt til det. Du kan få flere oplysninger under Hvorfor vælge indbygget mærkat over AIP-tilføjelsesprogrammet til Office-apps.

Understøttelse af egenskaber for følsomhedsmærkater i apps

I følgende tabeller vises den mindste Office-version, der introducerede specifikke funktioner for følsomhedsmærkater, der er indbygget i Office-apps. Eller hvis mærkategenskaben er i en offentlig prøveversion eller gennemses for en fremtidig udgivelse. Brug Microsoft 365-køreplanen for at få oplysninger om nye funktioner, der er planlagt til fremtidige versioner.

Nye versioner af Office-apps gøres tilgængelige på forskellige tidspunkter for forskellige opdateringskanaler. I Windows får du de nye funktioner tidligere, når du er på Den Aktuelle kanal eller Månedlig Enterprise-kanal i stedet for Semi-Annual Enterprise Channel. Minimumversionsnumrene kan også være forskellige fra én opdateringskanal til den næste. Du kan få flere oplysninger under Oversigt over opdateringskanaler for Microsoft 365 Apps og Opdateringshistorik for Microsoft 365 Apps.

Nye funktioner, der findes i en privat prøveversion, er ikke inkluderet i tabellen, men du kan muligvis deltage i disse prøveversioner ved at udnævne din organisation til Microsoft Information Protection private prøveversionsprogram.

Office til iOS og Office til Android: Følsomhedsmærkater er indbygget i Office-appen.

Tip

Når du sammenligner minimumversionerne i tabellerne med de versioner, du har, skal du huske den almindelige praksis med udgivelsesversioner for at udelade foranstillede nuller.

Du har f.eks. version 4.2128.0 og læst, at 4.7.1+ er minimumversionen. For at lette sammenligningen skal du læse 4.7.1 (ingen foranstillede nuller) som 4. 0007.1 (og ikke 4.7000.1). Din version af 4.2128.0 er højere end 4.0007.1, så din version understøttes.

Egenskaber for følsomhedsmærkat i Word, Excel og PowerPoint

De angivne tal er det mindste antal Office-programversioner, der kræves for hver funktion.

Bemærk

For Windows og Semi-Annual Enterprise Channel er det mindste understøttede versionsnummer muligvis endnu ikke udgivet. Få mere at vide

Kapacitet Windows Mac Ios Android Web
Anvend, rediger eller fjern mærkat manuelt Aktuel kanal: 1910+

Månedlig Enterprise-kanal: 1910+

Semi-Annual Enterprise Channel: 2002+
16.21+ 2.21+ 16.0.11231+ Ja – tilvalg
Understøttelse af flere sprog Aktuel kanal: 1910+

Månedlig Enterprise-kanal: 1910+

Semi-Annual Enterprise Channel: 2002+
16.21+ 2.21+ 16.0.11231+ Under gennemgang
Anvend et standardnavn på nye dokumenter Aktuel kanal: 1910+

Månedlig Enterprise-kanal: 1910+

Semi-Annual Enterprise Channel: 2002+
16.21+ 2.21+ 16.0.11231+ Ja – tilvalg
Anvend et standardnavn på eksisterende dokumenter Aktuel kanal: 2208+

Månedlig Enterprise-kanal: 2207+

Semi-Annual Enterprise Channel: Under gennemgang
16.63+ Under gennemgang Under gennemgang Ja – tilvalg
Kræv justering for at ændre en etiket Aktuel kanal: 1910+

Månedlig Enterprise-kanal: 1910+

Semi-Annual Enterprise Channel: 2002+
16.21+ 2.21+ 16.0.11231+ Ja – tilvalg
Giv hjælp-link til en brugerdefineret hjælpside Aktuel kanal: 1910+

Månedlig Enterprise-kanal: 1910+

Semi-Annual Enterprise Channel: 2002+
16.21+ 2.21+ 16.0.11231+ Ja – tilvalg
Markér indholdet Aktuel kanal: 1910+

Månedlig Enterprise-kanal: 1910+

Semi-Annual Enterprise Channel: 2002+
16.21+ 2.21+ 16.0.11231+ Ja – tilvalg
Dynamiske markeringer med variabler Aktuel kanal: 2010+

Månedlig Enterprise-kanal: 2010+

Semi-Annual Enterprise Channel: 2102+
16.42+ 2.42+ 16.0.13328+ Ja – tilvalg
Tildel tilladelser nu Aktuel kanal: 1910+

Månedlig Enterprise-kanal: 1910+

Semi-Annual Enterprise Channel: 2002+
16.21+ 2.21+ 16.0.11231+ Ja – tilvalg
Lad brugere tildele tilladelser:
– Bed brugerne om brugerdefinerede tilladelser (brugere og grupper)
Aktuel kanal: 2004+

Månedlig Enterprise-kanal: 2004+

Semi-Annual Enterprise Channel: 2008+
16.35+ Under gennemgang Under gennemgang Under gennemgang
Lad brugere tildele tilladelser:
– Bed brugerne om brugerdefinerede tilladelser (brugere, grupper og organisationer)
Prøveversion: Udrulning til betakanal Under gennemgang Under gennemgang Under gennemgang Under gennemgang
Overvåg mærkatrelateret brugeraktivitet Aktuel kanal: 2011+

Månedlig Enterprise-kanal: 2011+

Semi-Annual Enterprise Channel: 2108+
16.43+ 2.46+ 16.0.13628+ Ja
Kræv, at brugerne anvender en mærkat på deres mail og dokumenter Aktuel kanal: 2101+

Månedlig Enterprise-kanal: 2101+

Semi-Annual Enterprise Channel: 2108+
16.45+ 2.47+ 16.0.13628+ Ja – tilvalg
Anvend automatisk en følsomhedsmærkat på indhold
- Brug af følsomme infotyper
Aktuel kanal: 2009+

Månedlig Enterprise-kanal: 2009+

Semi-Annual Enterprise Channel: 2102+
16.44+ Under gennemgang Under gennemgang Ja – tilvalg
Anvend automatisk en følsomhedsmærkat på indhold
- Brug af klassificeringer, der kan oplæres
Aktuel kanal: 2105+

Månedlig Enterprise-kanal: 2105+

Semi-Annual Enterprise Channel: 2108+
16.49+ Under gennemgang Under gennemgang Ja – tilvalg
Understøttelse af samtidig redigering og Automatisk lagring af navngivne og krypterede dokumenter Aktuel kanal: 2107+

Månedlig Enterprise-kanal: 2107+

Semi-Annual Enterprise-kanal: 2202+
16.51+ 2.58+ 16.0.14931+ Ja – tilvalg
Understøttelse af PDF Aktuel kanal: 2208+

Månedlig Enterprise-kanal: 2208+

Semi-Annual Enterprise Channel: Under gennemgang
Under gennemgang Under gennemgang Under gennemgang Under gennemgang
Følsomhedslinje og visningsmærkatfarve Prøveversion: Udrulning til betakanal Under gennemgang Under gennemgang Under gennemgang Under gennemgang

Egenskaber for følsomhedsmærkat i Outlook

De angivne tal er det mindste antal Office-programversioner, der kræves for hver funktion.

Bemærk

For Windows og Semi-Annual Enterprise Channel er det mindste understøttede versionsnummer muligvis endnu ikke udgivet. Få mere at vide

Kapacitet Outlook til Windows Outlook til Mac Outlook på iOS Outlook på Android Outlook på internettet
Anvend, rediger eller fjern mærkat manuelt Aktuel kanal: 1910+

Månedlig Enterprise-kanal: 1910+

Semi-Annual Enterprise Channel: 2002+
16.21+ 4.7.1+ 4.0.39+ Ja
Understøttelse af flere sprog Aktuel kanal: 1910+

Månedlig Enterprise-kanal: 1910+

Semi-Annual Enterprise Channel: 2002+
16.21+ 4.7.1+ 4.0.39+ Ja
Anvend et standardnavn Aktuel kanal: 1910+

Månedlig Enterprise-kanal: 1910+

Semi-Annual Enterprise Channel: 2002+
16.21+ 4.7.1+ 4.0.39+ Ja
Kræv justering for at ændre en etiket Aktuel kanal: 1910+

Månedlig Enterprise-kanal: 1910+

Semi-Annual Enterprise Channel: 2002+
16.21+ 4.7.1+ 4.0.39+ Ja
Giv hjælp-link til en brugerdefineret hjælpside Aktuel kanal: 1910+

Månedlig Enterprise-kanal: 1910+

Semi-Annual Enterprise Channel: 2002+
16.21+ 4.7.1+ 4.0.39+ Ja
Markér indholdet Aktuel kanal: 1910+

Månedlig Enterprise-kanal: 1910+

Semi-Annual Enterprise Channel: 2002+
16.21+ 4.7.1+ 4.0.39+ Ja
Dynamiske markeringer med variabler Aktuel kanal: 1910+

Månedlig Enterprise-kanal: 1910+

Semi-Annual Enterprise Channel: 2002+
16.21+ 4.7.1+ 4.0.39+ Ja
Tildel tilladelser nu Aktuel kanal: 1910+

Månedlig Enterprise-kanal: 1910+

Semi-Annual Enterprise Channel: 2002+
16.21+ 4.7.1+ 4.0.39+ Ja
Lad brugerne tildele tilladelser:
- Videresend ikke
Aktuel kanal: 1910+

Månedlig Enterprise-kanal: 1910+

Semi-Annual Enterprise Channel: 2002+
16.21+ 4.7.1+ 4.0.39+ Ja
Lad brugerne tildele tilladelser:
- Kun kryptér
Aktuel kanal: 2011+

Månedlig Enterprise-kanal: 2011+

Semi-Annual Enterprise Channel: 2108+
16.48+ * 4.2112.0+ 4.2112.0+ Ja
Kræv, at brugerne anvender en mærkat på deres mail og dokumenter Aktuel kanal: 2101+

Månedlig Enterprise-kanal: 2101+

Semi-Annual Enterprise Channel: 2108+
16.43+ * 4.2111+ 4.2111+ Ja
Overvåg mærkatrelateret brugeraktivitet Aktuel kanal: 2011+

Månedlig Enterprise-kanal: 2011+

Semi-Annual Enterprise Channel: 2108+
16.51+ * 4.2126+ 4.2126+ Ja
Anvend automatisk en følsomhedsmærkat på indhold
- Brug af følsomme infotyper
Aktuel kanal: 2009+

Månedlig Enterprise-kanal: 2009+

Semi-Annual Enterprise Channel: 2102+
16.44+ * Under gennemgang Under gennemgang Ja
Anvend automatisk en følsomhedsmærkat på indhold
- Brug af klassificeringer, der kan oplæres
Aktuel kanal: 2105+

Månedlig Enterprise-kanal: 2105+

Semi-Annual Enterprise Channel: 2108+
16.49+ Under gennemgang Under gennemgang Ja
Forskellige indstillinger for standardmærkat og obligatorisk mærkning Aktuel kanal: 2105+

Månedlig Enterprise-kanal: 2105+

Semi-Annual Enterprise Channel: 2108+
16.43+ * 4.2111+ 4.2111+ Ja
Understøttelse af PDF Prøveversion: Udrulning til betakanal Under gennemgang Under gennemgang Under gennemgang Under gennemgang
Anvend S/MIME-beskyttelse Prøveversion: Udrulning til betakanal Udrulning: 16,61+ * Udrulning: 4.2226+ Udrulning: 4.2203+ Under gennemgang
Følsomhedslinje og visningsmærkatfarve Under gennemgang Under gennemgang Under gennemgang Under gennemgang Under gennemgang

Fodnoter:

*Kræver den nye Outlook til Mac

Office-indbygget navngivningsklient og Azure Information Protection-klienten

Hvis brugerne har Azure Information Protection-klienten (AIP) installeret på deres Windows-computere, er indbyggede mærkater som standard slået fra i Windows Office-apps, der understøtter dem. Da indbyggede mærkater ikke bruger et Office-tilføjelsesprogram, som bruges af AIP-klienten, har de fordel af mere stabilitet og bedre ydeevne. De understøtter også de nyeste funktioner, f.eks. avancerede klassificeringer.

Bemærk

Hvis du ikke får vist de navngivne funktioner, du forventer på Windows-computere, kan det skyldes, at du skal deaktivere AIP-tilføjelsesprogrammet, selvom du har bekræftet de mindste understøttede versioner for din Office-opdateringskanal.

Hvis du vil vide mere om understøttelse af mærkater med AIP-klienten, og hvordan du deaktiverer denne klient i Office-apps, skal du se Hvorfor vælge indbygget mærkat via AIP-tilføjelsesprogrammet til Office-apps.

Hvis du har brug for at slå indbygget mærkning fra i Office-apps på Windows

Den indbyggede Office-navngivningsklient downloader følsomhedsmærkater og politikindstillinger for følsomhedsmærkater fra Microsoft Purview-compliance-portal.

Hvis du vil bruge den indbyggede Office-navngivningsklient, skal du have en eller flere mærkatpolitikker publiceret til brugere fra Microsoft Purview-compliance-portal og en understøttet version af Office.

Hvis begge disse betingelser er opfyldt, men du har brug for at slå de indbyggede mærkater fra i Windows Office-apps, skal du bruge følgende indstilling for Gruppepolitik:

  1. Gå til Brugerkonfiguration/Administrative skabeloner/Microsoft Office 2016/Sikkerhedsindstillinger.

  2. Angiv Brug funktionen Følsomhed i Office til at anvende og få vist følsomhedsmærkater0.

Hvis du senere har brug for at gendanne denne konfiguration, skal du ændre værdien til 1. Du skal muligvis også ændre denne værdi til 1, hvis knappen Følsomhed ikke vises på båndet som forventet. En tidligere administrator har f.eks. deaktiveret denne mærkatindstilling.

Installér denne indstilling ved hjælp af Gruppepolitik eller ved hjælp af tjenesten Office-skypolitik. Indstillingen træder i kraft, når disse Office-apps genstartes.

Da denne indstilling er specifik for Windows Office-apps, har den ingen indvirkning på andre apps på Windows, der understøtter følsomhedsmærkater (f.eks. Power BI) eller andre platforme (f.eks. macOS, mobilenheder og Office på internettet). Hvis du ikke ønsker, at nogle eller alle brugere skal se og bruge følsomhedsmærkater på tværs af alle apps og alle platforme, skal du ikke tildele en politik for følsomhedsmærkat til disse brugere.

Understøttede Office-filtyper

Office-apps, der har indbyggede mærkater til Word-, Excel- og PowerPoint-filer, understøtter Open XML-formatet (f.eks. .docx og .xlsx), men ikke Microsoft Office 97-2003-format (f.eks. .doc og .xls), Open Document Format (f.eks. .odt og .ods) eller andre formater. Når en filtype ikke understøttes til indbygget mærkning, er knappen Følsomhed ikke tilgængelig i Office-appen.

Azure Information Protection unified labeling-klienten understøtter både Open XML-formatet og Microsoft Office 97-2003-formatet. Du kan få flere oplysninger i Filtyper, der understøttes af Azure Information Protection Unified Labeling-klienten fra klientens administratorvejledning.

Du kan finde de understøttede filtyper i dokumentationen til andre mærkatløsninger.

Beskyttelsesskabeloner og følsomhedsmærkater

Administratordefinerede beskyttelsesskabeloner, f.eks dem, du definerer for Office 365 Meddelelsekryptering, er ikke synlige i Office-apps, når du bruger indbygget mærkning. Denne forenklede oplevelse afspejler, at det ikke er nødvendigt at vælge en beskyttelsesskabelon, fordi de samme indstillinger er inkluderet i følsomhedsmærkater, hvor kryptering er aktiveret.

Du kan konvertere en eksisterende skabelon til en følsomhedsmærkat, når du bruger new-label-cmdlet'en med parameteren EncryptionTemplateId .

IRM-indstillinger (Information Rights Management) og følsomhedsmærkater

Følsomhedsmærkater, som du konfigurerer til at anvende kryptering, fjerner kompleksiteten fra brugerne for at angive deres egne krypteringsindstillinger. I mange Office-apps kan disse individuelle krypteringsindstillinger stadig konfigureres manuelt af brugerne ved hjælp af IRM-indstillinger (Information Rights Management). For Windows-apps:

  • For et dokument: Filoplysninger > > Beskyt dokument > Begræns adgang
  • for en mail: Fra fanen Indstillinger > Krypter

Når brugerne første gang navngiver et dokument eller en mail, kan de tilsidesætte indstillingerne for mærkatkonfigurationen med deres egne krypteringsindstillinger. Eksempel:

  • En bruger anvender mærkaten Fortroligt \ Alle medarbejdere på et dokument, og denne mærkat er konfigureret til at anvende krypteringsindstillinger for alle brugere i organisationen. Denne bruger konfigurerer derefter IRM-indstillingerne manuelt for at begrænse adgangen til en bruger uden for din organisation. Slutresultatet er et dokument med mærkaten Fortroligt \ Alle medarbejdere og krypteret, men brugerne i organisationen kan ikke åbne det som forventet.

  • En bruger anvender mærkaten Fortroligt \ Modtagere må kun anvendes på en mail, og denne mail er konfigureret til at anvende krypteringsindstillingen Videresend ikke. I Outlook-appen vælger denne bruger derefter manuelt IRM-indstillingen for Encrypt-Only. Slutresultatet er, at mens mailen forbliver krypteret, kan den videresendes af modtagere, selvom den har mærkaten Fortroligt \ Modtagere kun .

    For Outlook på internettet er indstillingerne i menuen Kryptér ikke tilgængelige for en bruger at vælge, når den aktuelt valgte mærkat anvender kryptering.

  • En bruger anvender den generelle mærkat på et dokument, og denne mærkat er ikke konfigureret til at anvende kryptering. Denne bruger konfigurerer derefter IRM-indstillingerne manuelt for at begrænse adgangen til dokumentet. Slutresultatet er et dokument, der er mærket Generelt , men som også anvender kryptering, så nogle brugere ikke kan åbne det som forventet.

Hvis dokumentet eller mailen allerede er mærket, kan en bruger udføre en af disse handlinger, hvis indholdet ikke allerede er krypteret, eller hvis brugeren har brugsrettigheden Eksportér eller Fuld kontrol.

Hvis du vil have en mere ensartet mærkatoplevelse med meningsfuld rapportering, skal du angive de relevante mærkater og vejledning, så brugerne kun kan anvende mærkater for at beskytte dokumenter og mails. Eksempel:

  • I undtagelsestilfælde, hvor brugerne skal tildele deres egne tilladelser, skal du angive mærkater, der giver brugerne mulighed for at tildele deres egne tilladelser.

  • I stedet for at brugere manuelt fjerner kryptering efter at have valgt en mærkat, der anvender kryptering, skal du angive et undernavn alternativ, når brugerne har brug for en mærkat med den samme klassificering, men ingen kryptering. Såsom:

    • Fortroligt \ Alle medarbejdere
    • Fortroligt \ Alle (ingen kryptering)
  • Overvej at deaktivere IRM-indstillinger for at forhindre brugerne i at vælge dem:

    • Outlook til Windows:
      • Registreringsdatabasenøgler DWORD:00000001 DisableDNF og DisableEO fra HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\DRM
      • Sørg for, at indstillingen Gruppepolitik Konfigurer standardkryptering for knappen Krypter ikke er konfigureret
    • Outlook til Mac:
    • Outlook på internettet:
      • Parametre SimplifiedClientAccessDoNotForwardDisabled og SimplifiedClientAccessEncryptOnlyDisabled , der er dokumenteret for Set-IRMConfiguration
    • Outlook til iOS og Android: Disse apps understøtter ikke brugere, der anvender kryptering uden mærkater, så intet at deaktivere.

Bemærk

Hvis brugere fjerner kryptering manuelt fra et navngivet dokument, der er gemt i SharePoint eller OneDrive, og du har aktiveret følsomhedsmærkater for Office-filer i SharePoint og OneDrive, gendannes mærkatkrypteringen automatisk, næste gang dokumentet åbnes eller downloades.

Krypteringsbaseret navnematchning for dokumenter

Når et dokument er krypteret med administratordefinerede tilladelser, integreres krypteringspolitikken i dokumentet. Dette sker uafhængigt af mærkning. Når en vedhæftet office-fil f.eks. nedarver kryptering fra en mail, eller en bruger har anvendt en beskyttelsesskabelon ved hjælp af IRM (Information Rights Management) i deres Office-app. Hvis en følsomhedsmærkat i lejeren stemmer overens med den samme krypteringspolitik, tildeler Office-apps automatisk den tilsvarende mærkat til dokumentet.

I dette scenarie kan den matchende følsomhedsmærkat mærke et ikke-navngivet dokument og erstatte en eksisterende mærkat, der ikke anvender kryptering. Etiketten Generelt erstattes f.eks. med Fortroligt/Alle medarbejdere. Indholdsmarkeringer fra det matchende navn anvendes ikke automatisk, medmindre dokumentet tidligere ikke er forsynet med mærkater, og du bruger AIP-tilføjelsesprogrammet.

Dette scenarie hjælper med at flytte ældre krypteringsløsninger fra beskyttelsesskabeloner til følsomhedsmærkater, der anvender kryptering.

Du får dog også vist denne funktionsmåde med et mærkatscenarie for vedhæftede filer i mails, når de åbnes af modtageren. Eksempel:

  1. En bruger opretter en mail og vedhæfter et ukrypteret Office-dokument og anvender derefter en mærkat på mailen.

    Mærkaten anvender kryptering med tilladelser, der er angivet af administratoren, i stedet for indstillingerne Videresend ikke eller Encrypt-Only. For mærkatkonfigurationen vælger administratoren f.eks. Tildel tilladelser nu og angiver, at alle medarbejdere har læseadgang.

  2. Når mailen sendes, arver den vedhæftede fil automatisk krypteringen, men ikke navnet.

  3. Når en modtager i den samme lejer åbner det krypterede dokument, vises der automatisk en matchende mærkat for de administratordefinerede tilladelser for dokumentet, og den bevares, hvis dokumentet gemmes.

    Som en overvågningshændelse, der vises i Aktivitetsoversigt, anvendte denne bruger mærkaten og ikke mailafsenderen.

Matchning af krypteringsbaserede mærkater fungerer kun i lejeren for administratordefinerede tilladelser, og den matchende følsomhedsmærkat skal publiceres til den bruger, der åbner dokumentet. Det tilsvarende navn bevares, hvis dokumentet gemmes.

Kompatibilitet med følsomhedsmærkat

Med RMS-oplyste apps: Hvis du åbner et navngivet og krypteret dokument eller en mail i et RMS-oplyst program , der ikke understøtter følsomhedsmærkater, gennemtvinger appen stadig kryptering og rettighedsstyring.

Med Azure Information Protection-klienten: Du kan få vist og ændre følsomhedsmærkater, som du anvender på dokumenter og mails, med den indbyggede Office-navngivningsklient ved hjælp af Azure Information Protection-klienten og omvendt.

Med andre versioner af Office: Alle autoriserede brugere kan åbne navngivne dokumenter og mails i andre versioner af Office. Du kan dog kun få vist eller ændre mærkaten i understøttede Office-versioner eller ved hjælp af Azure Information Protection-klienten. Understøttede versioner af Office-appen er angivet i det forrige afsnit.

Understøttelse af SharePoint- og OneDrive-filer, der er beskyttet af følsomhedsmærkater

Hvis du vil bruge den indbyggede Office-navngivningsklient med Office på internettet til dokumenter i SharePoint eller OneDrive, skal du sørge for, at du har aktiveret følsomhedsmærkater for Office-filer i SharePoint og OneDrive.

Understøttelse af eksterne brugere og markeret indhold

Når du navngiver et dokument eller en mail, gemmes etiketten som metadata, der omfatter din lejer og et mærkat-GUID. Når et navngivet dokument eller en mail åbnes af en Office-app, der understøtter følsomhedsmærkater, er disse metadata skrivebeskyttede, og kun hvis brugeren tilhører den samme lejer, vises mærkaten i deres app. Hvis du f.eks. har indbygget mærkat til Word, PowerPoint og Excel, vises navnet på statuslinjen.

Det betyder, at hvis du deler dokumenter med en anden organisation, der bruger forskellige navne, kan hver organisation anvende og se deres egen mærkat anvendt på dokumentet. Følgende elementer fra en anvendt mærkat er dog synlige for brugere uden for organisationen:

  • Indholdsmarkeringer. Når en etiket anvender et sidehoved, en sidefod eller et vandmærke, føjes de direkte til indholdet og forbliver synlige, indtil nogen ændrer eller sletter dem.

  • Navnet på og beskrivelsen af den underliggende beskyttelsesskabelon fra en mærkat, der anvendte kryptering. Disse oplysninger vises på en meddelelseslinje øverst i dokumentet for at angive oplysninger om, hvem der har tilladelse til at åbne dokumentet, og deres brugsrettigheder til det pågældende dokument.

Deling af krypterede dokumenter med eksterne brugere

Selvom du kan begrænse adgangen til brugere i din egen organisation, kan du også udvide adgangen til alle andre brugere, der har en konto i Azure Active Directory (Azure AD). Disse eksterne brugere godkendes som standard uden yderligere konfiguration. Der kan dog være behov for yderligere konfiguration for Azure AD eksterne identiteter på tværs af lejeres adgangsindstillinger og betinget adgang.

Hvis eksterne brugere ikke har en konto i Azure AD, kan de godkende ved hjælp af gæstekonti i din lejer. Disse gæstekonti kan også bruges til at få adgang til delte dokumenter i SharePoint eller OneDrive, når du har aktiveret følsomhedsmærkater for Office-filer i SharePoint og OneDrive.

Du kan få flere oplysninger om de valgfri Azure AD funktioner og brug af gæstekonti til godkendelseskrav i Azure AD konfiguration af krypteringsindhold.

Alle Office-apps og andre RMS-oplyste programmer kan åbne krypterede dokumenter, når brugeren er blevet godkendt.

Når Office-apps anvender indholdsmarkering og kryptering

Office-apps anvender indholdsmarkering og kryptering med en følsomhedsmærkat forskelligt, afhængigt af den app du bruger.

App Indholdsmarkering Kryptering
Word, Excel, PowerPoint på alle platforme Straks Straks
Outlook til pc og Mac Når Exchange Online har sendt mailen Straks
Outlook på internettet, iOS og Android Når Exchange Online har sendt mailen Når Exchange Online har sendt mailen

Løsninger, der anvender følsomhedsmærkater på filer uden for Office-apps, gør det ved at anvende mærkatmetadata på filen. I dette scenarie indsættes indholdsmarkering fra mærkatens konfiguration ikke i filen, men kryptering anvendes.

Når disse filer åbnes i en Office-skrivebordsapp, anvendes indholdsmarkeringerne automatisk af Azure Information Protection Unified-navngivningsklienten, når filen gemmes første gang. Indholdsmarkeringer anvendes ikke automatisk, når du bruger indbygget mærkat til skrivebords-, mobil- eller webapps.

Scenarier, der omfatter anvendelse af en følsomhedsmærkat uden for Office-apps, omfatter:

  • Scanneren, Stifinder og PowerShell fra Azure Information Protection Unified Labeling-klienten

  • Politikker for automatisk mærkning af SharePoint og OneDrive

  • Eksporterede navngivne og krypterede data fra Power BI

  • Microsoft Defender for Cloud Apps

I disse scenarier kan en bruger med indbygget mærkat anvende mærkatens indholdsmarkeringer ved midlertidigt at fjerne eller erstatte den aktuelle mærkat og derefter anvende den oprindelige mærkat midlertidigt.

Dynamiske markeringer med variabler

Vigtigt

Hvis dine Office-apps ikke understøtter denne funktion, anvender de markeringerne som den oprindelige tekst, der er angivet i etiketkonfigurationen, i stedet for at løse variablerne.

Azure Information Protection Unified Labeling-klienten understøtter dynamiske markeringer. Hvis du vil have en mærkat, der er indbygget i Office, skal du se tabellerne i afsnittet egenskaber på denne side for at få vist minimumversioner, der understøttes.

Når du konfigurerer en følsomhedsmærkat for indholdsmarkeringer, kan du bruge følgende variabler i tekststrengen til sidehovedet, sidefoden eller vandmærket:

Variabel Beskrivelse Eksempel, når mærkat anvendes
${Item.Label} Vist navn for den anvendte etiket Generel
${Item.Name} Filnavn eller mailemne for det indhold, der forsynes med mærkater Sales.docx
${Item.Location} Sti og filnavn for det dokument, der forsynes med mærkater, eller mailemnet for en mail, der forsynes med mærkater \\Sales\2020\Q3\Report.docx
${User.Name} Vist navn på den bruger, der anvender etiketten Richard Simone
${User.PrincipalName} Azure AD brugerens hovednavn (UPN) for den bruger, der anvender etiketten rsimone@contoso.com
${Event.DateTime} Dato og klokkeslæt for, hvornår indholdet er mærket, i den lokale tidszone for den bruger, der anvender mærkaten i Microsoft 365-apps, eller UTC (Coordinated Universal Time) for Office Online og politikker til automatisk mærkning 10-08-2020 kl. 13:30

Bemærk

Der skelnes mellem store og små bogstaver i syntaksen for disse variabler.

Angivelse af forskellige visuelle markeringer for Word, Excel, PowerPoint og Outlook

Som en ekstra variabel kan du konfigurere visuelle markeringer pr. Office-programtype ved hjælp af en variabelsætning af typen "If.App" i tekststrengen og identificere programtypen ved hjælp af værdierne Word, Excel, PowerPoint eller Outlook. Du kan også forkorte disse værdier, hvilket er nødvendigt, hvis du vil angive mere end én i den samme If.App sætning.

Brug følgende syntaks:

${If.App.<application type>}<your visual markings text> ${If.End}

På samme måde som med andre dynamiske visuelle markeringer skelnes der mellem store og små bogstaver i syntaksen, hvilket omfatter forkortelserne for hver programtype (WEPO).

Eksempler:

  • Angiv kun sidehovedtekst for Word-dokumenter:

    ${If.App.Word}This Word document is sensitive ${If.End}

    Kun i Word-dokumentoverskrifter anvender etiketten overskriftsteksten "Dette Word-dokument er følsomt". Der anvendes ingen overskriftstekst i andre Office-programmer.

  • Angiv sidefodstekst til Word, Excel og Outlook og anden sidefodstekst til PowerPoint:

    ${If.App.WXO}This content is confidential. ${If.End}${If.App.PowerPoint}This presentation is confidential. ${If.End}

    I Word, Excel og Outlook anvender etiketten sidefodsteksten "Dette indhold er fortroligt". I PowerPoint anvender etiketten sidefodsteksten "Denne præsentation er fortrolig".

  • Angiv specifik vandmærketekst for Word og PowerPoint og derefter vandmærketekst til Word, Excel og PowerPoint:

    ${If.App.WP}This content is ${If.End}Confidential

    I Word og PowerPoint anvender mærkaten vandmærketeksten "Dette indhold er fortroligt". I Excel anvender mærkaten vandmærketeksten "Fortroligt". I Outlook anvender mærkaten ikke nogen vandmærketekst, fordi vandmærker som visuelle markeringer ikke understøttes for Outlook.

Kræv, at brugerne anvender en mærkat på deres mail og dokumenter

Vigtigt

Azure Information Protection Unified Labeling-klienten understøtter denne konfiguration, der også kaldes obligatorisk mærkning. Hvis du vil have oplysninger om, hvordan du navngiver indbyggede Office-apps, skal du se tabellerne i afsnittet Funktioner på denne side for at få vist minimumversioner.

Hvis du vil bruge obligatorisk mærkning til dokumenter, men ikke mails, skal du se instruktionerne i næste afsnit, der forklarer, hvordan du konfigurerer Outlook-specifikke indstillinger.

Hvis du vil bruge obligatorisk mærkning til Power BI, skal du se Obligatorisk mærkatpolitik for Power BI.

Når politikindstillingen Kræv, at brugerne anvender en mærkat på deres mail og dokumenter er valgt, skal de brugere, der har fået tildelt politikken, vælge og anvende en følsomhedsmærkat under følgende scenarier:

  • For Azure Information Protection Unified Labeling-klienten:

    • For dokumenter (Word, Excel, PowerPoint): Når et dokument, der ikke er navngivet, gemmes, eller brugerne lukker dokumentet.
    • For mails (Outlook): På det tidspunkt sender brugerne en ikke-navngivet meddelelse.
  • Til mærkning af indbyggede Office-apps:

    • For dokumenter (Word, Excel, PowerPoint): Når et dokument, der ikke er navngivet, åbnes eller gemmes.
    • For mails (Outlook): På det tidspunkt sender brugerne en ikke-navngivet mail.

Yderligere oplysninger om indbygget mærkning:

  • Når brugerne bliver bedt om at tilføje en følsomhedsmærkat, fordi de åbner et ikke-navngivet dokument, kan de tilføje en mærkat eller vælge at åbne dokumentet i skrivebeskyttet tilstand.

  • Når obligatorisk mærkning er i kraft, kan brugerne ikke fjerne følsomhedsmærkater fra dokumenter, men kan ændre en eksisterende mærkat.

  • Når obligatorisk mærkning er i kraft, vil indstillingen Udskriv til PDF ikke være tilgængelig, når et dokument er mærket eller krypteret. Du kan få flere oplysninger i afsnittet om understøttelse af PDF på denne side.

Du kan finde vejledning til, hvornår du skal bruge denne indstilling, i oplysningerne om politikindstillinger.

Bemærk

Hvis du bruger standardindstillingen for mærkatpolitik for dokumenter og mails ud over obligatorisk mærkning:

Standardmærkaten har altid højere prioritet end obligatorisk mærkning. For dokumenter anvender Azure Information Protection Unified-mærkatklienten standardmærkaten på alle ikke-navngivne dokumenter, hvorimod indbygget mærkat anvender standardmærkaten på nye dokumenter og ikke på eksisterende dokumenter, der ikke er forsynet med mærkater. Denne forskel i funktionsmåde betyder, at når du bruger obligatorisk mærkning med standardmærkatindstillingen, bliver brugerne sandsynligvis bedt om at anvende en følsomhedsmærkat oftere, når de bruger indbygget mærkning, end når de bruger Azure Information Protection Unified Labeling-klienten.

Nu udrulles: Office-apps, der bruger indbygget mærkning og understøtter et standardnavn til eksisterende dokumenter. Du kan finde flere oplysninger i tabellen med egenskaber for Word, Excel og PowerPoint.

Outlook-specifikke indstillinger for standardmærkat og obligatorisk mærkning

I forbindelse med indbygget mærkning skal du identificere de minimumversioner af Outlook, der understøtter disse funktioner, ved hjælp af tabellen capabilities for Outlook på denne side og rækken Forskellige indstillinger for standardmærkat og obligatorisk mærkning. Alle versioner af Azure Information Protection Unified Labeling-klienten understøtter disse Outlook-specifikke muligheder.

Når Outlook-appen understøtter en standardindstilling for mærkater, der er forskellig fra standardindstillingen for mærkater for dokumenter:

  • I konfigurationen af mærkatpolitikken fra Microsoft Purview-compliance-portal kan du på siden Anvend en standardmærkat på mails: Du kan angive dit valg af følsomhedsmærkat, der skal anvendes på alle ikke-navngivne mails, eller ingen standardmærkat. Denne indstilling er uafhængig af indstillingen Anvend denne mærkat som standard på dokumenter på den tidligere politikindstilling for dokumentsiden i konfigurationen.

Når Outlook-appen ikke understøtter en standardnavnindstilling, der er forskellig fra standardetiketindstillingen for dokumenter: Outlook bruger altid den værdi, du angiver for Anvend denne mærkat som standard på dokumenter på siden Politikindstillinger for dokumenter i konfigurationen af mærkatpolitikken.

Når Outlook-appen understøtter deaktivering af obligatorisk mærkning:

  • I konfigurationen af mærkatpolitikken fra Microsoft Purview-compliance-portal skal du på siden Politikindstillinger: Vælg Kræv, at brugerne anvender en mærkat på deres mail eller dokumenter. Vælg derefter Næste > næste , og fjern markeringen i afkrydsningsfeltet Kræv, at brugerne anvender en mærkat på deres mails. Markér afkrydsningsfeltet, hvis du vil have, at obligatorisk mærkning skal gælde for mails og dokumenter.

Når Outlook-appen ikke understøtter deaktivering af obligatorisk mærkning: Hvis du vælger Kræv, at brugerne anvender en mærkat på deres mail eller dokumenter som en politikindstilling, bliver brugerne altid bedt om at vælge et navn til ikke-navngivne mails.

Bemærk

Hvis du har konfigureret de avancerede powershell-indstillinger OutlookDefaultLabel og DisableMandatoryInOutlook ved hjælp af Cmdlet'erne Set-LabelPolicy eller New-LabelPolicy :

Dine valgte værdier for disse PowerShell-indstillinger afspejles i konfigurationen af mærkatpolitikken i Microsoft Purview-compliance-portal, og de fungerer automatisk for Outlook-apps, der understøtter disse indstillinger. De andre avancerede PowerShell-indstillinger understøttes fortsat kun for Azure Information Protection unified labeling-klienten.

Konfigurer en etiket for at anvende S/MIME-beskyttelse i Outlook

Bemærk

Denne funktion udrulles i øjeblikket til indbygget mærkning. Identificer de mindste versioner af Outlook, der understøtter denne funktion, ved hjælp af tabellen capabilities for Outlook på denne side og rækken Anvend S/MIME-beskyttelse.

Hvis du konfigurerer en etiket til at anvende S/MIME-beskyttelse, men Outlook-appen endnu ikke understøtter den, vises mærkaten stadig i Outlook og kan anvendes, men S/MIME-indstillingerne ignoreres. Du kan ikke vælge dette navn til politikker for automatisk mærkning i Exchange.

Denne konfiguration er ikke tilgængelig i Microsoft Purview-compliance-portal. Du skal bruge avancerede PowerShell-indstillinger med Set-Label eller New-Label cmd, når du har oprettet forbindelse til Office 365 Security & Compliance Center PowerShell.

Brug kun disse indstillinger, når du har en fungerende S/MIME-udrulning og ønsker, at en mærkat automatisk anvender denne beskyttelsesmetode for mails i stedet for den standardbeskyttelse, der bruger Rights Management-kryptering fra Azure Information Protection. Den resulterende beskyttelse er den samme, som når en bruger manuelt vælger S/MIME-indstillinger fra Outlook.

Konfiguration Nøgle/værdi for avanceret indstilling
Digital S/MIME-signatur SMimeSign="Sand"
S/MIME-kryptering SMimeEncrypt="True"

Det navn, du konfigurerer for disse indstillinger, behøver ikke at være konfigureret til kryptering på overholdelsesportalen. Men hvis det er, erstatter S/MIME-beskyttelsen kun Rights Management-krypteringen i Outlook. For andre apps anvender mærkaten de krypteringsindstillinger, der er angivet i Microsoft Purview-compliance-portal.

Eksempel på PowerShell-kommandoer, hvor GUID for følsomhedsmærkaten er 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeSign="True"}

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeEncrypt="True"}

Du kan finde mere hjælp til at angive avancerede powerShell-indstillinger under PowerShell-tip til angivelse af avancerede indstillinger.

Understøttelse af PDF

I forbindelse med indbygget mærkning skal du bruge tabellerne i afsnittet egenskaber på denne side til at identificere understøttede minimumversioner. Azure Information Protection unified labeling-klienten understøtter ikke PDF i Office-apps.

Word, Excel og PowerPoint understøtter følgende metoder til at konvertere et Office-dokument til et PDF-dokument:

  • Fil > Gem som > PDF
  • Eksportér > PDF-fil >
  • Del > Send en kopi > PDF

Denne handling logføres med overvågningshændelsen Omdøbt fil fra overvågningsgruppen Filer og sideaktiviteter . I søgeresultaterne for overvågning på overholdelsesportalen kan du se detaljerne for denne overvågningshændelse, der viser SensitivityLabeledFileRenamed for feltet Aktivitet .

Når PDF-filen oprettes, arver den etiketten med eventuelle indholdsmarkeringer og kryptering. Krypterede PDF-filer kan åbnes med Microsoft Edge på Windows eller Mac. Du kan finde flere oplysninger og alternative læsere under Hvilke PDF-læsere understøttes for beskyttede PDF-filer?

Outlook understøtter i øjeblikket ikke vedhæftede PDF-filer, der nedarver kryptering fra en navngivet meddelelse. Outlook understøtter dog nu advarsler eller blokering af brugere, så de ikke kan udskrive til PDF, som beskrevet næste.

PDF-scenarier understøttes ikke:

  • Udskriv til PDF

    Hvis brugerne vælger denne indstilling, bliver de advaret om, at dokumentet eller mailen mister beskyttelsen af mærkaten og krypteringen (hvis den anvendes), og de skal bekræfte, at de vil fortsætte. Hvis politikken for følsomhedsmærkaten kræver begrundelse for at fjerne en mærkat eller sænke dens klassificering, får de vist denne prompt.

    Da denne indstilling fjerner følsomhedsmærkaten, vil denne indstilling ikke være tilgængelig for brugere, hvis du bruger obligatorisk mærkning. Denne konfiguration refererer til politikindstillingen for følsomhedsmærkat, der kræver, at brugerne anvender en mærkat på deres mails og dokumenter.

  • PDF/A-format og kryptering

    Dette PDF-format, der er udviklet til langtidsarkivering, understøttes ikke, når mærkaten anvender kryptering og forhindrer brugerne i at konvertere Office-dokumenter til PDF. Du kan få konfigurationsoplysninger i dokumentationen til Gruppepolitik for At gennemtvinge PDF-overholdelse med ISO 19005-1 (PDF/A).

  • Adgangskodebeskyttelse og kryptering

    Indstillingen Filoplysninger > > Beskyt****dokumentkryptering > med adgangskode understøttes ikke, når dokumentets mærkat anvender kryptering. I dette scenarie bliver indstillingen Kryptér med adgangskode ikke tilgængelig for brugerne.

Du kan finde flere oplysninger om denne funktion i meddelelsen Anvend følsomhedsmærkater på PDF-filer, der er oprettet med Office-apps.

Du kan få mere at vide om slutbrugerdokumentation under Opret beskyttede PDF-filer fra Office-filer.

Følsomhedslinje

Nyligt understøttet i prøveversion af indbyggede mærkater i Word, Excel og PowerPoint, men endnu ikke til Outlook eller Office på internettet, kan du se tabellerne i afsnittet Funktioner på denne side for at identificere minimumversioner.

For de understøttede apps vises følsomhedsmærkater nu på en følsomhedslinje ud for filnavnet på den øverste vindueslinje. Eksempel:

Følsomhedsmærkater på vinduets titellinje.

Oplysninger om mærkaterne og muligheden for at vælge eller ændre en mærkat er også integreret i brugerarbejdsprocesser, der omfatter lagring og omdøbning, eksport, deling, udskrivning og konvertering til PDF. Du kan få flere oplysninger og eksempler på skærmbilleder i blogindlægget Meddelelse, Ny følsomhedslinje i Office til Windows.

Som en del af denne høje synlighed understøtter disse mærkater også farver. Du kan finde flere oplysninger i næste afsnit.

Navnefarver

Vigtigt

Hvis dine mærkatapps ikke understøtter denne funktion, vises de konfigurerede mærkatfarver ikke.

Azure Information Protection unified labeling-klienten understøtter mærkatfarver. I forbindelse med navngivning, der er indbygget i Office, understøttes mærkatfarver i øjeblikket som prøveversion til Word, Excel og PowerPoint på Windows og macOS, men ikke Outlook eller Office på internettet. Du kan få flere oplysninger i tabellerne i afsnittet egenskaber på denne side.

Nyoprettede navne har ikke en farve som standard. Hvis dine mærkater blev overført fra Azure Information Protection, eller du har konfigureret mærkatfarver for Azure Information Protection Unified Labeling-klienten, vises disse mærkatfarver nu i apps, der understøtter dem.

Brug Microsoft Purview-compliance-portal til at vælge en af 10 standardfarver til følsomhedsmærkater. Denne konfiguration er på den første side i etiketkonfigurationen efter navnet og beskrivelsen.

Du kan ikke vælge farver til undermærkater, fordi de automatisk nedarver navnefarven fra deres overordnede etiket.

Hvis etiketten er konfigureret til en anden farve end en af de 10 farver, får du vist indstillingen Brugerdefineret farve valgt, og standardfarveindstillingerne er ikke tilgængelige:

Konfiguration af farve på følsomhedsmærkat, når etiketten har en brugerdefineret farve.

Du kan ændre den brugerdefinerede farve til en af standardfarverne ved først at fjerne det brugerdefinerede farvevalg og derefter vælge en af standardfarverne. Men du kan ikke bruge overholdelsesportalen til at konfigurere en anden brugerdefineret farve. Brug i stedet PowerShell, som beskrevet i næste afsnit.

Konfiguration af brugerdefinerede farver ved hjælp af PowerShell

Du kan bruge den avancerede indstillingsfarve for Security & Compliance Center i PowerShell til at angive en farve for en følsomhedsmærkat. Denne konfiguration understøtter farver, som du ikke kan konfigurere i Microsoft Purview-compliance-portal.

Hvis du vil angive dit farvevalg, skal du bruge en hex tripletkode for de røde, grønne og blå (RGB) komponenter i farven. #40e0d0 er f.eks. RGB-hexværdien for turkis.

Du kan finde flere oplysninger om disse koder på <color> siden fra MSDN-webdokumenterne, og du kan også finde RapidTables nyttige. Du kan identificere disse koder i mange programmer, der giver dig mulighed for at redigere billeder. Med Microsoft Paint kan du f.eks. vælge en brugerdefineret farve fra en palet, og RGB-værdierne vises automatisk, som du derefter kan kopiere.

Eksempel på En PowerShell-kommando, hvor FØLSOMHEDsmærkaten GUID er 8faca7b8-8d20-48a3-8ea2-0f96310a848e

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{color="#40e0d0"}

Du kan finde flere oplysninger, der kan hjælpe dig med at angive avancerede PowerShell-indstillinger for følsomhedsmærkater, under PowerShell-tip til angivelse af avancerede indstillinger.

Overvågning af mærkataktiviteter

Du kan finde oplysninger om de overvågningshændelser, der genereres af aktiviteter for følsomhedsmærkater, i afsnittet Aktiviteter for følsomhedsmærkat under Søg i overvågningsloggen i Microsoft Purview-compliance-portal.

Disse overvågningsoplysninger repræsenteres visuelt i Indholdsoversigt og Aktivitetsoversigt for at hjælpe dig med at forstå, hvordan dine følsomhedsmærkater bruges, og hvor dette navngivne indhold er placeret.

Du kan også oprette brugerdefinerede rapporter med dit valg af SIEM-software (Security Information And Event Management), når du eksporterer og konfigurerer overvågningslogposterne. Hvis du vil have mere omfattende rapporteringsløsninger, skal du se api-referencen til Office 365 Management Activity.

Slutbrugerdokumentation