Zarządzanie etykietami poufności w aplikacjach Office

Wskazówki dotyczące licencjonowania platformy Microsoft 365 dotyczące zgodności z zabezpieczeniami&.

Po opublikowaniu etykiet poufności z portal zgodności Microsoft Purview zaczynają one pojawiać się w aplikacjach pakietu Office, aby użytkownicy mogli klasyfikować i chronić dane podczas ich tworzenia lub edytowania.

Informacje zawarte w tym artykule ułatwiają pomyślne zarządzanie etykietami poufności w aplikacjach pakietu Office. Na przykład zidentyfikuj minimalne wersje aplikacji, które są potrzebne dla funkcji specyficznych dla wbudowanego etykietowania, wszelkie dodatkowe informacje o konfiguracji tych funkcji oraz zapoznaj się z interakcjami z klientem Information Protection ujednoliconego etykietowania oraz innymi aplikacjami i usługami.

Porada

Jeśli nie jesteś klientem E5, możesz bezpłatnie wypróbować wszystkie funkcje premium w usłudze Microsoft Purview. Użyj 90-dniowej wersji próbnej rozwiązań Purview, aby dowiedzieć się, jak niezawodne możliwości usługi Purview mogą pomóc organizacji w zarządzaniu potrzebami w zakresie zabezpieczeń danych i zgodności. Rozpocznij teraz w centrum portal zgodności Microsoft Purview Trials Hub. Dowiedz się więcej o warunkach rejestracji i wersji próbnej.

Klient etykietowania dla aplikacji klasycznych

Aby używać etykiet poufności wbudowanych w aplikacje klasyczne pakietu Office dla systemów Windows i Mac, należy użyć wersji subskrypcji pakietu Office. Ten klient etykietowania nie obsługuje autonomicznych wersji pakietu Office, czasami nazywanych "Office Perpetual".

Składnik dodatku azure Information Protection (AIP) z klienta ujednoliconego etykietowania platformy Azure Information Protection jest teraz w trybie konserwacji. Jeśli obecnie używasz tego dodatku do etykietowania w aplikacjach pakietu Office, zalecamy przejście do wbudowanego etykietowania. Aby uzyskać więcej informacji, zobacz Migrate the Azure Information Protection (AIP) add-in to built-in labeling for Office apps (Migrowanie dodatku Azure Information Protection (AIP) do wbudowanego etykietowania dla aplikacji pakietu Office.

Obsługa funkcji etykiet poufności w aplikacjach

Użyj tabel w minimalnej wersji etykiet poufności w aplikacjach pakietu Office , aby zidentyfikować minimalną wersję pakietu Office, która wprowadziła określone możliwości etykiet poufności wbudowanych w aplikacje pakietu Office. Lub, jeśli możliwość etykiety jest w publicznej wersji zapoznawczej lub w trakcie przeglądu dla przyszłej wersji.

Oprócz wyświetlania listy minimalnych wersji dla systemów Windows, macOS, iOS i Android tabele obejmują również, czy ta funkcja jest obsługiwana dla Office w sieci Web:

Pakiet Office dla systemów iOS i Office dla systemu Android: etykiety poufności są wbudowane w aplikację pakietu Office.

Wbudowany klient etykietowania pakietu Office i klient usługi Azure Information Protection

Jeśli użytkownicy mają klienta usługi Azure Information Protection (AIP) zainstalowanego na swoich komputerach z systemem Windows, wbudowane etykiety są nowym ustawieniem domyślnym dla najnowszych aplikacji pakietu Windows Office obsługujących etykietowanie. Ponieważ wbudowane etykiety nie korzystają z dodatku pakietu Office używanego przez klienta usługi AIP, mają one korzyści z większej stabilności i lepszej wydajności. Obsługują one również najnowsze funkcje, takie jak zaawansowane klasyfikatory.

Uwaga

Jeśli nie widzisz funkcji etykietowania oczekiwanych na komputerach z systemem Windows, pomimo potwierdzenia minimalnej obsługiwanej wersji kanału aktualizacji pakietu Office, może to być spowodowane koniecznością wyłączenia dodatku AIP dla starszych wersji pakietu Office.

Aby dowiedzieć się więcej na temat obsługi etykietowania za pomocą klienta usługi AIP i sposobu wyłączania tego klienta tylko w aplikacjach pakietu Office, zobacz Migrowanie dodatku azure Information Protection (AIP) do wbudowanego etykietowania dla aplikacji pakietu Office.

Jeśli musisz wyłączyć wbudowane etykietowanie w aplikacjach pakietu Office w systemie Windows

Wbudowany klient etykietowania pakietu Office pobiera etykiety poufności i ustawienia zasad etykiet poufności z portal zgodności Microsoft Purview.

Aby korzystać z wbudowanego klienta etykietowania pakietu Office, musisz mieć co najmniej jedną zasadę etykiety opublikowaną dla użytkowników z portal zgodności Microsoft Purview i obsługiwaną wersję pakietu Office.

Jeśli oba te warunki są spełnione, ale musisz wyłączyć wbudowane etykiety w aplikacjach pakietu Windows Office, użyj następującego ustawienia zasady grupy:

  1. Przejdź do pozycji Konfiguracja użytkownika/Szablony administracyjne/Microsoft Office 2016/Ustawienia zabezpieczeń.

  2. Ustaw opcję Użyj funkcji poufności w pakiecie Office, aby zastosować i wyświetlić etykiety poufności na wartość 0.

Jeśli później trzeba przywrócić tę konfigurację, zmień wartość na 1. Może być również konieczne zmianę tej wartości na 1, jeśli przycisk Czułość nie jest wyświetlany na wstążce zgodnie z oczekiwaniami. Na przykład poprzedni administrator wyłączył to ustawienie etykietowania.

Wdróż to ustawienie przy użyciu zasady grupy lub za pomocą usługi Cloud Policy dla platformy Microsoft 365. To ustawienie wchodzi w życie po ponownym uruchomieniu tych aplikacji pakietu Office.

Ponieważ to ustawienie jest specyficzne dla aplikacji pakietu Windows Office, nie ma wpływu na inne aplikacje w systemie Windows obsługujące etykiety poufności (takie jak Power BI) lub inne platformy (takie jak macOS, urządzenia przenośne i Office dla sieci web). Jeśli nie chcesz, aby niektórzy lub wszyscy użytkownicy widzieli etykiety poufności i korzystali z nich we wszystkich aplikacjach i na wszystkich platformach, nie przypisuj tych użytkowników zasad etykiet poufności.

Obsługiwane typy plików pakietu Office

Ogólnie rzecz biorąc, aplikacje pakietu Office, które mają wbudowane etykietowanie dla plików programu Word, Excel i PowerPoint, obsługują format Open XML (na przykład .docx i .xlsx), ale nie format pakietu Microsoft Office 97-2003 (na przykład .doc i .xls), format open document (np. odt i ods) lub inne formaty. Jeśli typ pliku nie jest obsługiwany na potrzeby wbudowanego etykietowania, przycisk Poufności nie jest dostępny w aplikacji pakietu Office.

W przypadku określonych typów plików obsługiwanych w programach SharePoint i OneDrive, gdy te usługi są włączone dla etykiet poufności, zobacz Włączanie etykiet poufności dla plików pakietu Office w programach SharePoint i OneDrive.

Klient ujednoliconego etykietowania platformy Azure Information Protection obsługuje zarówno format Open XML, jak i format pakietu Microsoft Office 97-2003. Aby uzyskać więcej informacji, zobacz Typy plików obsługiwane przez klienta ujednoliconego etykietowania usługi Azure Information Protection z przewodnika administratora tego klienta.

W przypadku innych rozwiązań do etykietowania zapoznaj się z dokumentacją dotyczącą obsługiwanych typów plików.

Szablony ochrony i etykiety poufności

Szablony ochrony zdefiniowane przez administratora, takie jak te zdefiniowane dla Szyfrowanie wiadomości w Microsoft Purview, nie są widoczne w aplikacjach pakietu Office, gdy używasz wbudowanego etykietowania. To uproszczone środowisko odzwierciedla, że nie ma potrzeby wybierania szablonu ochrony, ponieważ te same ustawienia są dołączone do etykiet poufności z włączonym szyfrowaniem.

Istniejący szablon można przekonwertować na etykietę poufności, gdy używasz polecenia cmdlet New-Label z parametrem EncryptionTemplateId .

Opcje i etykiety poufności usługi Information Rights Management (IRM)

Etykiety poufności skonfigurowane w celu zastosowania szyfrowania usuwają złożoność od użytkowników w celu określenia własnych ustawień szyfrowania. W wielu aplikacjach pakietu Office te indywidualne ustawienia szyfrowania nadal mogą być konfigurowane ręcznie przez użytkowników przy użyciu opcji zarządzania prawami do informacji (IRM). Na przykład w przypadku aplikacji systemu Windows:

  • W przypadku dokumentu:Informacje o>pliku>Ochrona dokumentu>— ograniczanie dostępu
  • dla wiadomości e-mail: na karcie> Opcje Szyfruj

Gdy użytkownicy początkowo oznaczą dokument lub wiadomość e-mail etykietą, mogą zastąpić ustawienia konfiguracji etykiet własnymi ustawieniami szyfrowania. Przykład:

  • Użytkownik stosuje etykietę Poufne \ Wszyscy pracownicy do dokumentu i ta etykieta jest skonfigurowana do stosowania ustawień szyfrowania dla wszystkich użytkowników w organizacji. Następnie ten użytkownik ręcznie konfiguruje ustawienia usługi IRM, aby ograniczyć dostęp do użytkownika spoza organizacji. Wynikiem końcowym jest dokument z etykietą Poufne \ Wszyscy pracownicy i zaszyfrowane , ale użytkownicy w organizacji nie mogą otworzyć go zgodnie z oczekiwaniami.

  • Użytkownik stosuje etykietę Poufne \ Adresaci tylko do wiadomości e-mail, a ta wiadomość e-mail jest skonfigurowana do stosowania ustawienia szyfrowania Nie przesyłaj dalej. W aplikacji Outlook ten użytkownik ręcznie wybiera ustawienie IRM dla opcji Tylko szyfrowanie. Efektem końcowym jest to, że wiadomość e-mail pozostaje zaszyfrowana, ale może zostać przesłana dalej przez adresatów, pomimo posiadania etykiety Poufne \ Tylko adresaci .

    Jako wyjątek dla Outlook w sieci Web opcje z menu Szyfruj nie są dostępne dla użytkownika, aby wybrać, kiedy aktualnie wybrana etykieta stosuje szyfrowanie.

  • Użytkownik stosuje etykietę Ogólne do dokumentu, a ta etykieta nie jest skonfigurowana do stosowania szyfrowania. Następnie ten użytkownik ręcznie konfiguruje ustawienia usługi IRM w celu ograniczenia dostępu do dokumentu. Wynikiem końcowym jest dokument z etykietą Ogólne , ale który stosuje również szyfrowanie, aby niektórzy użytkownicy nie mogli go otworzyć zgodnie z oczekiwaniami.

Jeśli dokument lub wiadomość e-mail jest już oznaczona etykietą, użytkownik może wykonać dowolną z tych akcji, jeśli zawartość nie jest jeszcze zaszyfrowana lub ma prawo do użycia eksportu lub pełnej kontroli.

Aby zapewnić bardziej spójne środowisko etykietowania z zrozumiałym raportowaniem, podaj odpowiednie etykiety i wskazówki dla użytkowników, aby stosować tylko etykiety w celu ochrony dokumentów i wiadomości e-mail. Przykład:

  • W przypadkach wyjątków, w których użytkownicy muszą przypisywać własne uprawnienia, podaj etykiety, które umożliwiają użytkownikom przypisywanie własnych uprawnień.

  • Zamiast ręcznie usuwać szyfrowanie przez użytkowników po wybraniu etykiety, która stosuje szyfrowanie, podaj etykietę alternatywną, gdy użytkownicy potrzebują etykiety o tej samej klasyfikacji, ale bez szyfrowania. Takie jak:

    • Poufne \ Wszyscy pracownicy
    • Poufne \ Każdy (bez szyfrowania)
  • Rozważ wyłączenie ustawień usługi IRM, aby uniemożliwić użytkownikom ich wybieranie:

    • Outlook dla systemu Windows:
      • Klucze DWORD:00000001 rejestru DisableDNF i DisableEO fromHKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\DRM
      • Upewnij się, że ustawienie zasady grupy Konfigurowanie domyślnej opcji szyfrowania dla przycisku Szyfruj nie jest skonfigurowane
    • Outlook dla komputerów Mac:
    • Outlook w sieci Web:
    • Outlook dla systemów iOS i Android: te aplikacje nie obsługują użytkowników stosujących szyfrowanie bez etykiet, więc nie można ich wyłączyć.

Uwaga

Jeśli użytkownicy ręcznie usuną szyfrowanie z dokumentu z etykietą przechowywanego w programie SharePoint lub OneDrive i włączono etykiety poufności dla plików pakietu Office w programach SharePoint i OneDrive, szyfrowanie etykiet zostanie automatycznie przywrócone po następnym uzyskaniu dostępu do dokumentu lub pobraniu go.

Dopasowywanie etykiet opartych na szyfrowaniu dla dokumentów

Gdy dokument został zaszyfrowany przy użyciu uprawnień zdefiniowanych przez administratora, zasady szyfrowania są osadzone w dokumencie. Dzieje się tak niezależnie od etykietowania. Na przykład gdy załącznik pakietu Office dziedziczy szyfrowanie z wiadomości e-mail lub użytkownik zastosował szablon ochrony przy użyciu usługi Information Rights Management (IRM) w swojej aplikacji pakietu Office. Jeśli etykieta poufności w dzierżawie jest zgodna z tymi samymi zasadami szyfrowania, aplikacje pakietu Office automatycznie przypisują tę zgodną etykietę do dokumentu.

W tym scenariuszu zgodna etykieta poufności może oznaczyć dokument bez etykiety i zastąpić istniejącą etykietę, która nie stosuje szyfrowania. Na przykład etykieta Ogólne jest zastępowana etykietą Poufne /Wszyscy pracownicy. Oznaczenia zawartości z pasującej etykiety nie są stosowane automatycznie, chyba że dokument został wcześniej nieoznaczony i używasz dodatku AIP.

Ten scenariusz pomaga przenieść starsze rozwiązania szyfrowania z szablonów ochrony do etykiet poufności, które stosują szyfrowanie.

Jednak to zachowanie będzie również widoczne w scenariuszu etykietowania dla załączników wiadomości e-mail i spotkań, gdy zostaną otwarte przez adresata. Przykład:

  1. Użytkownik tworzy wiadomość e-mail i dołącza niezaszyfrowany dokument pakietu Office, a następnie stosuje etykietę do wiadomości e-mail.

    Etykieta stosuje szyfrowanie z uprawnieniami ustawionymi przez administratora, a nie opcjami Nie przesyłaj dalej lub Encrypt-Only. Na przykład w przypadku konfiguracji etykiety administrator wybiera pozycję Przypisz uprawnienia teraz i określa, że wszyscy pracownicy mają dostęp do odczytu.

  2. Po wysłaniu wiadomości e-mail załącznik automatycznie dziedziczy szyfrowanie, ale nie etykietę.

  3. Gdy adresat w tej samej dzierżawie otworzy zaszyfrowany dokument, dla dokumentu zostanie automatycznie wyświetlona etykieta zgodna z uprawnieniami zdefiniowanymi przez administratora i będzie zachowywana, jeśli dokument zostanie zapisany.

    Jako zdarzenie inspekcji wyświetlane w Eksploratorze działań ten użytkownik zastosował etykietę, a nie nadawcę wiadomości e-mail.

Dopasowywanie etykiet opartych na szyfrowaniu działa tylko w ramach dzierżawy, w przypadku uprawnień zdefiniowanych przez administratora, a zgodna etykieta poufności musi zostać opublikowana dla użytkownika, który otworzy dokument. Etykieta dopasowania będzie się powtarzać, jeśli dokument zostanie zapisany.

Zgodność etykiet poufności

Aplikacje obsługujące usługę RMS: jeśli otworzysz dokument lub wiadomość e-mail z etykietami lub zaszyfrowaną wiadomością e-mail w aplikacji obsługującego usługę RMS , która nie obsługuje etykiet poufności, aplikacja nadal wymusza szyfrowanie i zarządzanie prawami.

Klient usługi Azure Information Protection: możesz wyświetlać i zmieniać etykiety poufności stosowane do dokumentów i wiadomości e-mail za pomocą wbudowanego klienta etykietowania pakietu Office przy użyciu klienta usługi Azure Information Protection i na odwrót.

W przypadku innych wersji pakietu Office: każdy autoryzowany użytkownik może otwierać oznaczone dokumenty i wiadomości e-mail w innych wersjach pakietu Office. Można jednak wyświetlać lub zmieniać etykiety tylko w obsługiwanych wersjach pakietu Office lub przy użyciu klienta usługi Azure Information Protection. Obsługiwane wersje aplikacji pakietu Office są wymienione w poprzedniej sekcji.

Obsługa plików programu SharePoint i OneDrive chronionych etykietami poufności

Aby użyć wbudowanego klienta etykietowania pakietu Office z Office w sieci Web dla dokumentów w programie SharePoint lub OneDrive, upewnij się, że włączono etykiety poufności dla plików pakietu Office w programach SharePoint i OneDrive.

Obsługa użytkowników zewnętrznych i zawartości oznaczonej etykietami

Etykieta dokumentu lub wiadomości e-mail jest przechowywana jako metadane zawierające dzierżawę i identyfikator GUID etykiety. Gdy dokument lub wiadomość e-mail z etykietą jest otwierana przez aplikację pakietu Office, która obsługuje etykiety poufności, te metadane są odczytywane i tylko wtedy, gdy użytkownik należy do tej samej dzierżawy, etykieta jest wyświetlana w aplikacji. Na przykład w przypadku wbudowanego etykietowania dla programów Word, PowerPoint i Excel nazwa etykiety jest wyświetlana na pasku stanu.

Oznacza to, że jeśli udostępniasz dokumenty innej organizacji używającej różnych nazw etykiet, każda organizacja może zastosować i zobaczyć własną etykietę zastosowaną do dokumentu. Jednak następujące elementy z zastosowanej etykiety są widoczne dla użytkowników spoza organizacji:

  • Oznaczenia zawartości. Gdy etykieta stosuje nagłówek, stopkę lub znak wodny, są one dodawane bezpośrednio do zawartości i pozostają widoczne, dopóki ktoś ich nie zmodyfikuje lub nie usunie.

  • Nazwa i opis bazowego szablonu ochrony z etykiety, która zastosowała szyfrowanie. Te informacje są wyświetlane na pasku komunikatów w górnej części dokumentu, aby podać informacje o tym, kto jest upoważniony do otwierania dokumentu, oraz o prawach użytkowania tego dokumentu.

Udostępnianie zaszyfrowanych dokumentów użytkownikom zewnętrznym

Chociaż możesz ograniczyć dostęp do użytkowników we własnej organizacji, możesz również rozszerzyć dostęp do każdego innego użytkownika, który ma konto w usłudze Azure Active Directory (Azure AD). Domyślnie ci użytkownicy zewnętrzni będą uwierzytelniani bez żadnej dodatkowej konfiguracji. Może jednak istnieć dodatkowa konfiguracja wymagana dla Azure AD ustawień dostępu między dzierżawami i dostępu warunkowego tożsamości zewnętrznych.

Jeśli użytkownicy zewnętrzni nie mają konta w Azure AD, mogą uwierzytelniać się przy użyciu kont gościa w dzierżawie. Te konta gościa mogą być również używane do uzyskiwania dostępu do dokumentów udostępnionych w programie SharePoint lub OneDrive po włączeniu etykiet poufności dla plików pakietu Office w programach SharePoint i OneDrive.

Aby uzyskać więcej informacji na temat opcjonalnych funkcji Azure AD i używania kont gości do celów uwierzytelniania, zobacz Azure AD konfiguracji zawartości szyfrowania.

Wszystkie aplikacje pakietu Office i inne aplikacje obsługują usługę RMS mogą otwierać zaszyfrowane dokumenty po pomyślnym uwierzytelnieniu użytkownika.

Kiedy aplikacje pakietu Office stosują znakowanie i szyfrowanie zawartości

Aplikacje pakietu Office inaczej stosują znakowanie zawartości i szyfrowanie przy użyciu etykiety poufności, w zależności od używanej aplikacji.

Aplikacja Oznaczanie zawartości Szyfrowanie
Word, Excel, PowerPoint na wszystkich platformach Natychmiast Natychmiast
Program Outlook dla komputerów PC i Mac Po wysłaniu Exchange Online wiadomości e-mail lub zaproszenia na spotkanie Natychmiast
Outlook w sieci Web, iOS i Android Po wysłaniu Exchange Online wiadomości e-mail lub zaproszenia na spotkanie Po wysłaniu Exchange Online wiadomości e-mail lub zaproszenia na spotkanie

Rozwiązania, które stosują etykiety poufności do plików spoza aplikacji pakietu Office, umożliwiają stosowanie metadanych etykietowania do pliku. W tym scenariuszu oznaczanie zawartości z konfiguracji etykiety nie jest wstawiane do pliku, ale jest stosowane szyfrowanie.

Po otwarciu tych plików w aplikacji klasycznej pakietu Office oznaczenia zawartości są automatycznie stosowane przez klienta ujednoliconego etykietowania usługi Azure Information Protection podczas pierwszego zapisywania pliku. Oznaczenia zawartości nie są automatycznie stosowane w przypadku używania wbudowanych etykiet dla aplikacji klasycznych, mobilnych lub internetowych.

Scenariusze, które obejmują stosowanie etykiety poufności poza aplikacjami pakietu Office, obejmują:

  • Skaner, Eksplorator plików i program PowerShell z poziomu klienta ujednoliconego etykietowania usługi Azure Information Protection

  • Zasady automatycznego etykietowania dla programu SharePoint i usługi OneDrive

  • Wyeksportowane dane oznaczone etykietami i zaszyfrowane z usługi Power BI

  • Microsoft Defender for Cloud Apps

W tych scenariuszach, korzystając z aplikacji pakietu Office, użytkownik z wbudowanym etykietowaniem może zastosować oznaczenia zawartości etykiety, tymczasowo usuwając lub zastępując bieżącą etykietę, a następnie ponownie stosując oryginalną etykietę.

Oznaczenia dynamiczne ze zmiennymi

Ważna

Jeśli aplikacje pakietu Office nie obsługują tej możliwości, stosują oznaczenia jako oryginalny tekst określony w konfiguracji etykiety, zamiast rozwiązywać zmienne.

Klient ujednoliconego etykietowania platformy Azure Information Protection obsługuje oznaczenia dynamiczne. Etykiety wbudowane w pakiet Office można znaleźć w tabelach w temacie Minimum versions for sensitivity labels in Office apps (Minimalne wersje etykiet poufności w aplikacjach pakietu Office).

Podczas konfigurowania etykiety poufności dla oznaczeń zawartości można użyć następujących zmiennych w ciągu tekstowym dla nagłówka, stopki lub znaku wodnego:

Zmienna Opis Przykład zastosowania etykiety
${Item.Label} Nazwa wyświetlana etykiety zastosowanej etykiety Ogólne
${Item.Name} Nazwa pliku lub temat wiadomości e-mail o treści oznaczonej etykietą Sales.docx
${Item.Location} Ścieżka i nazwa pliku dokumentu oznaczonego etykietą lub temat wiadomości e-mail dla wiadomości e-mail oznaczonej etykietą \\Sales\2020\Q3\Report.docx
${User.Name} Nazwa wyświetlana użytkownika stosującego etykietę Richard Simone
${User.PrincipalName} Azure AD główną nazwą użytkownika (UPN) użytkownika stosującego etykietę rsimone@contoso.com
${Event.DateTime} Data i godzina etykietowania zawartości w lokalnej strefie czasowej użytkownika stosującego etykietę w aplikacjach platformy Microsoft 365 lub utc (uniwersalny czas koordynowany) dla usługi Office Online i zasady automatycznego etykietowania 10.08.2020 13:30

Uwaga

Składnia tych zmiennych uwzględnia wielkość liter.

Ustawianie różnych oznaczeń wizualnych dla programów Word, Excel, PowerPoint i Outlook

Jako dodatkową zmienną można skonfigurować oznaczenia wizualne dla typu aplikacji pakietu Office przy użyciu instrukcji zmiennej "If.App" w ciągu tekstowym i zidentyfikować typ aplikacji przy użyciu wartości Word, Excel, PowerPoint lub Outlook. Możesz również skrócić te wartości, co jest konieczne, jeśli chcesz określić więcej niż jedną w tej samej instrukcji If.App.

Należy stosować następującą składnię:

${If.App.<application type>}<your visual markings text> ${If.End}

Podobnie jak w przypadku innych dynamicznych oznaczeń wizualnych, składnia uwzględnia wielkość liter, która zawiera skróty dla każdego typu aplikacji (WEPO).

Przykłady:

  • Ustaw tekst nagłówka tylko dla dokumentów programu Word:

    ${If.App.Word}This Word document is sensitive ${If.End}

    Tylko w nagłówkach dokumentów programu Word etykieta stosuje tekst nagłówka "Ten dokument programu Word jest poufny". Do innych aplikacji pakietu Office nie jest stosowany żaden tekst nagłówka.

  • Ustaw tekst stopki dla programów Word, Excel i Outlook oraz inny tekst stopki dla programu PowerPoint:

    ${If.App.WXO}This content is confidential. ${If.End}${If.App.PowerPoint}This presentation is confidential. ${If.End}

    W programach Word, Excel i Outlook etykieta stosuje tekst stopki "Ta zawartość jest poufna". W programie PowerPoint etykieta stosuje tekst stopki "Ta prezentacja jest poufna".

  • Ustaw określony tekst znaku wodnego dla programów Word i PowerPoint, a następnie tekst znaku wodnego dla programów Word, Excel i PowerPoint:

    ${If.App.WP}This content is ${If.End}Confidential

    W programach Word i PowerPoint etykieta stosuje tekst znaku wodnego "Ta zawartość jest poufna". W programie Excel etykieta stosuje tekst znaku wodnego "Poufne". W programie Outlook etykieta nie stosuje żadnego tekstu znaku wodnego, ponieważ znaki wodne jako oznaczenia wizualne nie są obsługiwane w programie Outlook.

Wymaganie od użytkowników zastosowania etykiety do poczty e-mail i dokumentów

Ważna

Klient ujednoliconego etykietowania platformy Azure Information Protection obsługuje tę konfigurację, która jest również znana jako obowiązkowe etykietowanie. Etykiety wbudowane w aplikacje pakietu Office można znaleźć w tabelach w temacie Minimalne wersje etykiet poufności w aplikacjach pakietu Office.

Aby użyć obowiązkowego etykietowania dokumentów, ale nie wiadomości e-mail, zobacz instrukcje w następnej sekcji, w których wyjaśniono, jak skonfigurować opcje specyficzne dla programu Outlook.

Aby użyć obowiązkowego etykietowania dla usługi Power BI, zobacz Obowiązkowe zasady etykiet dla usługi Power BI.

Po wybraniu ustawienia zasad Wymagaj od użytkowników zastosowania etykiety do poczty e-mail i dokumentów użytkownicy, do których przypisano zasady, muszą wybrać i zastosować etykietę poufności w następujących scenariuszach:

  • W przypadku klienta ujednoliconego etykietowania usługi Azure Information Protection:

    • W przypadku dokumentów (Word, Excel, PowerPoint): po zapisaniu nieoznakowanego dokumentu lub zamknięciu dokumentu przez użytkowników.
    • W przypadku wiadomości e-mail (Outlook): w momencie wysyłania przez użytkowników wiadomości bez etykiet.
  • W przypadku etykietowania wbudowanego w aplikacje pakietu Office:

    • W przypadku dokumentów (Word, Excel, PowerPoint): po otwarciu lub zapisaniu nieoznakowanego dokumentu.
    • W przypadku wiadomości e-mail (Outlook): w momencie wysyłania przez użytkowników wiadomości e-mail bez etykiet.

Dodatkowe informacje dotyczące wbudowanego etykietowania:

  • Gdy użytkownicy zostaną poproszeni o dodanie etykiety poufności, ponieważ otwierają dokument bez etykiet, mogą dodać etykietę lub otworzyć dokument w trybie tylko do odczytu.

  • Gdy obowiązuje obowiązkowe etykietowanie, użytkownicy nie mogą usuwać etykiet poufności z dokumentów, ale mogą zmienić istniejącą etykietę.

  • Po włączeniu obowiązkowego etykietowania opcja drukowania w formacie PDF będzie niedostępna, gdy dokument zostanie oznaczony etykietą lub zaszyfrowany. Aby uzyskać więcej informacji, zobacz sekcję pomocy technicznej dla plików PDF na tej stronie.

Aby uzyskać wskazówki dotyczące korzystania z tego ustawienia, zobacz informacje o ustawieniach zasad.

Uwaga

Jeśli oprócz obowiązkowego etykietowania używasz domyślnego ustawienia zasad etykiet dla dokumentów i wiadomości e-mail:

Etykieta domyślna zawsze ma priorytet niż obowiązkowe etykietowanie. Jednak w przypadku dokumentów klient ujednoliconego etykietowania usługi Azure Information Protection stosuje etykietę domyślną do wszystkich nieoznakowanych dokumentów, podczas gdy wbudowane etykietowanie stosuje etykietę domyślną do nowych dokumentów, a nie do istniejących dokumentów, które nie są oznaczone etykietami. Ta różnica w zachowaniu oznacza, że w przypadku korzystania z obowiązkowego etykietowania z domyślnym ustawieniem etykiety użytkownicy prawdopodobnie będą monitować o stosowanie etykiety poufności częściej, gdy używają wbudowanego etykietowania niż w przypadku korzystania z klienta ujednoliconego etykietowania usługi Azure Information Protection.

Teraz wprowadzanie: aplikacje pakietu Office, które używają wbudowanego etykietowania i obsługują etykietę domyślną dla istniejących dokumentów. Aby uzyskać szczegółowe informacje, zobacz tabelę możliwości dla programów Word, Excel i PowerPoint.

Opcje specyficzne dla programu Outlook dla etykiety domyślnej i obowiązkowego etykietowania

W przypadku etykietowania wbudowanego zidentyfikuj minimalne wersje programu Outlook obsługujące te funkcje przy użyciu tabeli możliwości programu Outlook oraz wiersza Różne ustawienia etykiety domyślnej i obowiązkowego etykietowania. Wszystkie wersje klienta ujednoliconego etykietowania usługi Azure Information Protection obsługują te opcje specyficzne dla programu Outlook.

Gdy aplikacja Outlook obsługuje domyślne ustawienie etykiety, które różni się od domyślnego ustawienia etykiety dla dokumentów:

  • W konfiguracji zasad etykiet z portal zgodności Microsoft Purview na stronie Zastosuj etykietę domyślną do wiadomości e-mail: możesz określić wybór etykiety poufności, która będzie stosowana do wszystkich nieoznakowanych wiadomości e-mail lub bez etykiety domyślnej. To ustawienie jest niezależne od ustawienia Zastosuj tę etykietę domyślnie do dokumentów na poprzedniej stronie Ustawienia zasad dla dokumentów konfiguracji.

Gdy aplikacja Outlook nie obsługuje domyślnego ustawienia etykiety, które różni się od domyślnego ustawienia etykiety dla dokumentów: program Outlook zawsze będzie używać wartości określonej dla opcji Zastosuj tę etykietę domyślnie do dokumentów na stronie Ustawienia zasad dla dokumentów konfiguracji zasad etykiety.

Gdy aplikacja Outlook obsługuje wyłączanie obowiązkowego etykietowania:

  • W konfiguracji zasad etykiet z portal zgodności Microsoft Purview na stronie Ustawienia zasad: wybierz pozycję Wymagaj od użytkowników zastosowania etykiety do poczty e-mail lub dokumentów. Następnie wybierz pozycję Dalej>i wyczyść pole wyboru Wymagaj od użytkowników zastosowania etykiety do swoich wiadomości e-mail. Zaznacz pole wyboru, jeśli chcesz, aby obowiązkowe etykietowanie było stosowane do wiadomości e-mail i dokumentów.

Gdy aplikacja Outlook nie obsługuje wyłączania obowiązkowego etykietowania: jeśli wybierzesz opcję Wymagaj od użytkowników zastosowania etykiety do poczty e-mail lub dokumentów jako ustawienia zasad, program Outlook zawsze będzie monitować użytkowników o wybranie etykiety dla wiadomości e-mail bez etykiet.

Uwaga

Jeśli skonfigurowano ustawienia zaawansowane programu PowerShell OutlookDefaultLabel i DisableMandatoryInOutlook przy użyciu poleceń cmdlet Set-LabelPolicy lub New-LabelPolicy :

Wybrane wartości dla tych ustawień programu PowerShell są odzwierciedlone w konfiguracji zasad etykiet w portal zgodności Microsoft Purview i automatycznie działają w przypadku aplikacji Outlook, które obsługują te ustawienia. Inne zaawansowane ustawienia programu PowerShell pozostają obsługiwane tylko dla klienta usługi Azure Information Protection ujednoliconego etykietowania.

Konfigurowanie etykiety w celu zastosowania ochrony S/MIME w programie Outlook

Uwaga

Ta funkcja jest dostępna dla wbudowanych etykiet dla systemów Windows, Mac, iOS i Android, ale nie jest jeszcze dostępna dla Outlook w sieci Web. Zidentyfikuj minimalne wersje programu Outlook obsługujące tę funkcję przy użyciu tabeli możliwości programu Outlook i wiersza Zastosuj ochronę S/MIME.

Jeśli skonfigurujesz etykietę do stosowania ochrony S/MIME, ale twoja wersja programu Outlook dla systemu Windows jeszcze jej nie obsługuje, etykieta będzie nadal wyświetlana i może być stosowana, ale ustawienia S/MIME są ignorowane. Nie będzie można wybrać tej etykiety dla zasad automatycznego etykietowania programu Exchange.

Ta konfiguracja nie jest dostępna w portal zgodności Microsoft Purview. Po nawiązaniu połączenia z programem PowerShell zgodności zabezpieczeń &należy użyć ustawień zaawansowanych z poleceniem cmd Set-Label lub New-Label.

Tych ustawień należy używać tylko wtedy, gdy masz działające wdrożenie S/MIME i chcesz, aby etykieta automatycznie zastosowała tę metodę ochrony dla wiadomości e-mail, a nie domyślnej ochrony korzystającej z szyfrowania usługi Rights Management z usługi Azure Information Protection. Wynikowa ochrona będzie taka sama, jak wtedy, gdy użytkownik ręcznie wybierze opcje S/MIME z programu Outlook.

Konfiguracja Klucz/wartość ustawienia zaawansowanego
Podpis cyfrowy S/MIME SMimeSign="True"
Szyfrowanie S/MIME SMimeEncrypt="True"

Etykieta skonfigurowana dla tych ustawień nie musi być skonfigurowana pod kątem szyfrowania w portalu zgodności. Jeśli jednak tak jest, ochrona S/MIME zastępuje szyfrowanie usługi Rights Management tylko w programie Outlook. W przypadku innych aplikacji etykieta stosuje ustawienia szyfrowania określone w portal zgodności Microsoft Purview.

Przykładowe polecenia programu PowerShell, w których identyfikator GUID etykiety poufności to 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeSign="True"}

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeEncrypt="True"}

Aby uzyskać więcej pomocy w określaniu ustawień zaawansowanych programu PowerShell, zobacz Porady programu PowerShell dotyczące określania ustawień zaawansowanych.

Obsługa plików PDF

Aby uzyskać wbudowane etykietowanie, użyj tabel w obszarze Minimalne wersje etykiet poufności w aplikacjach pakietu Office. Klient ujednoliconego etykietowania platformy Azure Information Protection nie obsługuje formatu PDF w aplikacjach pakietu Office.

Programy Word, Excel i PowerPoint obsługują następujące metody konwertowania dokumentu pakietu Office na dokument PDF:

  • Zapisywanie pliku > w formacie > PDF
  • Plik PDF > eksportu >
  • Udostępnianie > wysyłania kopii > pliku PDF

Ta akcja jest rejestrowana przy użyciu zdarzenia inspekcji Zmieniono nazwę pliku z grupy inspekcji Działania plików i stron . W wynikach wyszukiwania inspekcji w portalu zgodności zostaną wyświetlone szczegóły tego zdarzenia inspekcji zawierające wartość SensitivityLabeledFileRenamed dla pola Działanie .

Po utworzeniu pliku PDF dziedziczy etykietę za pomocą wszelkich oznaczeń zawartości i szyfrowania. Zaszyfrowane pliki PDF można otwierać przy użyciu przeglądarki Microsoft Edge w systemie Windows lub Mac. Aby uzyskać więcej informacji i alternatywnych czytelników, zobacz Które czytniki PDF są obsługiwane dla chronionych plików PDF?

Program Outlook obecnie nie obsługuje załączników PDF dziedziczących szyfrowanie po wiadomości z etykietą. Jednak program Outlook obsługuje ostrzeżenia lub blokuje użytkownikom możliwość drukowania w formacie PDF zgodnie z opisem w dalszej części.

Scenariusze pdf nie są obsługiwane:

  • Drukowanie w formacie PDF

    Jeśli użytkownicy wybiorą tę opcję, zostaną ostrzeżeni, że dokument lub wiadomość e-mail utracą ochronę etykiety i szyfrowania (jeśli zostaną zastosowane) i muszą potwierdzić kontynuowanie. Jeśli zasady etykiet poufności wymagają uzasadnienia, aby usunąć etykietę lub obniżyć jej klasyfikację, zobaczą ten monit.

    Ponieważ ta opcja usuwa etykietę poufności, ta opcja nie będzie dostępna dla użytkowników, jeśli używasz obowiązkowego etykietowania. Ta konfiguracja odnosi się do ustawienia zasad etykiet poufności, które wymaga od użytkowników zastosowania etykiety do wiadomości e-mail i dokumentów.

  • Format i szyfrowanie plików PDF/A

    Ten format PDF przeznaczony do archiwizacji długoterminowej nie jest obsługiwany, gdy etykieta stosuje szyfrowanie i uniemożliwi użytkownikom konwertowanie dokumentów pakietu Office na format PDF. Aby uzyskać informacje o konfiguracji, zobacz dokumentację zasady grupy dotyczącą wymuszania zgodności plików PDF z normą ISO 19005-1 (PDF/A).

  • Ochrona haseł i szyfrowanie

    Opcja Ochrona szyfrowaniadokumentów> zapomocą hasłainformacji o> pliku > nie jest obsługiwana, gdy etykieta dokumentu stosuje szyfrowanie. W tym scenariuszu opcja szyfrowania przy użyciu hasła staje się niedostępna dla użytkowników.

Aby uzyskać więcej informacji na temat tej funkcji, zobacz ogłoszenie Stosowanie etykiet poufności do plików PDF utworzonych za pomocą aplikacji pakietu Office.

Aby uzyskać dokumentację użytkownika końcowego, zobacz Tworzenie chronionych plików PDF z plików pakietu Office.

Pasek poufności

Nowo obsługiwane w wersji zapoznawczej dla wbudowanych etykiet w programach Word, Excel i PowerPoint, ale jeszcze nie dla programu Outlook lub Office dla sieci web, zobacz tabele w sekcji Minimalne wersje etykiet poufności w aplikacjach pakietu Office, aby określić, które wersje pakietu Office obsługują tę funkcję.

W przypadku obsługiwanych aplikacji etykiety poufności są teraz wyświetlane na pasku poufności obok nazwy pliku na górnym pasku okna. Przykład:

Etykiety poufności na pasku tytułu okna.

Informacje o etykietach i możliwości wyboru lub zmiany etykiety są również zintegrowane z przepływami pracy użytkowników, które obejmują zapisywanie i zmienianie nazwy, eksportowanie, udostępnianie, drukowanie i konwertowanie na format PDF. Aby uzyskać więcej informacji i przykładowe zrzuty ekranu, zobacz ogłoszenie wpisu w blogu , Nowy pasek poufności w pakiecie Office dla systemu Windows.

W ramach tej wysokiej widoczności etykiety te obsługują również kolory. Aby uzyskać więcej informacji, zobacz następną sekcję.

Kolory etykiet

Ważna

Jeśli aplikacje do etykietowania nie obsługują tej możliwości, nie wyświetlają skonfigurowanych kolorów etykiet.

Klient ujednoliconego etykietowania platformy Azure Information Protection obsługuje kolory etykiet. W przypadku etykietowania wbudowanego w pakiet Office kolory etykiet są obecnie obsługiwane w wersji zapoznawczej dla programów Word, Excel i PowerPoint w systemie Windows, ale jeszcze nie dla programu Outlook, macOS lub Office dla sieci web. Aby uzyskać więcej informacji, zobacz tabele w temacie Minimalne wersje etykiet poufności w aplikacjach pakietu Office.

Nowo utworzone etykiety nie mają domyślnie koloru. Jeśli etykiety zostały zmigrowane z usługi Azure Information Protection lub skonfigurowano kolory etykiet dla klienta ujednoliconego etykietowania usługi Azure Information Protection, kolory etykiet są teraz wyświetlane w aplikacjach, które je obsługują.

Użyj portal zgodności Microsoft Purview, aby wybrać jeden z 10 standardowych kolorów etykiet poufności. Konfiguracja koloru etykiety znajduje się na pierwszej stronie konfiguracji etykiety po nazwie etykiety i opisie.

Nie można wybrać kolorów dla etykiet podrzędnych, ponieważ automatycznie dziedziczą one kolor etykiety z etykiety nadrzędnej.

Jeśli etykieta jest skonfigurowana pod kątem innego koloru niż jeden z 10 kolorów domyślnych, zostanie wyświetlone pole wyboru Użyj wcześniej przypisanego koloru niestandardowego , a standardowe opcje kolorów nie są dostępne. Możesz zmienić kolor niestandardowy na jeden ze standardowych kolorów, najpierw wyczyszczając pole wyboru, a następnie możesz wybrać jeden ze standardowych kolorów.

Nie można użyć portalu zgodności, aby skonfigurować inny kolor niestandardowy. Zamiast tego użyj programu PowerShell, zgodnie z opisem w następnej sekcji.

Konfigurowanie kolorów niestandardowych przy użyciu programu PowerShell

Aby ustawić kolor etykiety poufności, możesz użyć zaawansowanego koloru ustawienia zgodności & zabezpieczeń programu PowerShell. Ta konfiguracja obsługuje kolory, których nie można skonfigurować w portal zgodności Microsoft Purview.

Aby określić wybór koloru, użyj szesnastkowego kodu potrójnego dla składników koloru czerwonego, zielonego i niebieskiego (RGB). Na przykład #40e0d0 to wartość szesnastkowa RGB dla turkusu.

Aby uzyskać więcej informacji na temat tych kodów, zobacz stronę <kolorów> w dokumentacji internetowej msdn, a także możesz znaleźć rapidtables pomocne. Te kody można zidentyfikować w wielu aplikacjach, które umożliwiają edytowanie obrazów. Na przykład Microsoft Paint umożliwia wybranie koloru niestandardowego z palety, a wartości RGB są automatycznie wyświetlane, co można następnie skopiować.

Przykładowe polecenie programu PowerShell, w którym identyfikator GUID etykiety poufności to 8faca7b8-8d20-48a3-8ea2-0f96310a848e

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{color="#40e0d0"}

Aby uzyskać więcej informacji ułatwiających określenie ustawień zaawansowanych programu PowerShell dla etykiet poufności, zobacz Porady programu PowerShell dotyczące określania ustawień zaawansowanych.

Określanie domyślnego etykiety podrzędnej dla etykiety nadrzędnej

Uwaga

W przypadku etykietowania wbudowanego zidentyfikuj minimalne wersje obsługujące to ustawienie przy użyciu tabel możliwości i domyślnego podlaśnictwa wiersza etykiety nadrzędnej. To ustawienie obsługuje wszystkie wersje klienta ujednoliconego etykietowania usługi Azure Information Protection.

Ta konfiguracja nie jest dostępna w portal zgodności Microsoft Purview. Po nawiązaniu połączenia z programem PowerShell zgodności zabezpieczeń &należy użyć ustawienia zaawansowanego programu PowerShell DefaultSubLabelId z poleceniem cmd Set-Label lub New-Label.

Po dodaniu etykiety podrzędnej użytkownicy nie mogą już stosować etykiety nadrzędnej do elementu. Domyślnie użytkownicy wybierają etykietę nadrzędną, aby wyświetlić etykiety podrzędne, które mogą zastosować, a następnie wybrać jedną z tych etykiet podrzędnych. Jeśli określisz domyślny etykietę podrzędną dla etykiety nadrzędnej, gdy użytkownicy wybiorą etykietę nadrzędną, etykieta podrzędna zostanie automatycznie wybrana i zastosowana do nich.

Na przykład etykieta nadrzędna Poufne jest skonfigurowana z domyślnym podlakiem Wszyscy pracownicy. Następna etykieta nadrzędna , Wysoce poufne, nie ma skonfigurowanego domyślnego etykiety podrzędnej. Różnicę można odróżnić od końca paska etykiety poufne , który nie jest widoczny dla wysoce poufnych:

Przykład pokazujący etykietę nadrzędną Poufne jest skonfigurowany dla domyślnego podlabel.

Po wybraniu przez użytkowników po lewej stronie tego pionowego paska automatycznie wybierają pozycję Poufne\Wszyscy pracownicy z jednym wyborem. Jeśli potrzebują innego etykiety podrzędnej, muszą wybrać po prawej stronie pionowego paska, aby wybrać rozszerzenie etykiety, które następnie wyświetla wszystkie podlaby do zaznaczenia. Dla porównania w przypadku wybrania pozycji Wysoce poufne etykiety podrzędne dla tej etykiety są zawsze wyświetlane do zaznaczenia.

Po skonfigurowaniu tego ustawienia etykiety pamiętaj, aby odpowiednio zaktualizować dokumentację użytkownika końcowego.

Przykładowe polecenie programu PowerShell, w którym identyfikator GUID etykiety poufności nadrzędnej to 8faca7b8-8d20-48a3-8ea2-0f96310a848e , a jego etykieta podrzędna, którą chcesz określić jako domyślną, to 1ace2cc3-14bc-4142-9125-bf946a70542c:

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{DefaultSubLabelId="1ace2cc3-14bc-4142-9125-bf946a70542c"}

Aby uzyskać więcej pomocy w określaniu ustawień zaawansowanych programu PowerShell, zobacz Porady programu PowerShell dotyczące określania ustawień zaawansowanych.

Inspekcja działań etykietowania

Aby uzyskać informacje o zdarzeniach inspekcji generowanych przez działania etykiet poufności, zobacz sekcję Działania etykiet poufności w sekcji Wyszukaj dziennik inspekcji w portal zgodności Microsoft Purview.

Te informacje inspekcji są wizualnie reprezentowane w eksploratorze zawartości i eksploratorze działań , aby ułatwić zrozumienie sposobu użycia etykiet poufności i lokalizacji tej zawartości oznaczonej etykietą.

Możesz również tworzyć raporty niestandardowe z wybranym oprogramowaniem do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) podczas eksportowania i konfigurowania rekordów dziennika inspekcji. Aby uzyskać więcej rozwiązań do raportowania na większą skalę, zobacz dokumentację interfejsu API działania zarządzania Office 365.

Dokumentacja użytkownika końcowego