Управление метками конфиденциальности в приложениях Office

  • Статья

Руководство по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям.

Когда вы опубликовали метки конфиденциальности на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview, они начинают отображаться в приложениях Office, чтобы пользователи классифицировали и защищали данные по мере их создания или изменения.

Сведения в этой статье помогут вам успешно управлять метками конфиденциальности в приложениях Office. Например, дополнительные сведения о конфигурации для определенных функций маркировки.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Поддержка меток конфиденциальности в приложениях

Чтобы использовать метки конфиденциальности в приложениях Office, необходимо использовать выпуск Office по подписке. Используйте ссылку на лицензирование в верхней части этой страницы, чтобы определить подходящие планы. Метки конфиденциальности не поддерживаются для автономных выпусков Office, иногда называемых "Office Perpetual".

Поддержка возможностей меток чувствительности в приложениях

Используйте таблицы в разделе Минимальные версии для меток конфиденциальности в приложениях Office , чтобы определить минимальную версию Office, которая представила определенные возможности меток конфиденциальности в приложениях Office. Или, если возможность метки находится в общедоступной предварительной версии или находится на рассмотрении для будущих выпусков.

Помимо перечисления минимальных версий для Windows, macOS, iOS и Android, в таблицах также содержатся сведения о том, поддерживается ли эта возможность для Office в Интернете:

Office для iOS и Office для Android: метки конфиденциальности встроены в приложение Office.

Встроенные метки Office и клиент Azure Information Protection

Надстройка Windows Office из клиента унифицированных меток Azure Information Protection теперь прекращена и больше не поддерживается. Он заменен метками конфиденциальности, встроенными в приложения Office, поддерживающие маркировку.

Так как надстройка больше не поддерживается, параметр политики Office Использовать надстройку Azure Information Protection для маркировки конфиденциальности должен иметь значение Не настроено (по умолчанию) или Отключено. Если этот параметр настроен для параметра Включено, вы не сможете использовать метки конфиденциальности в приложениях Office.

Чтобы проверка для этого параметра, выполните следующие действия:

Другие возможности маркировки из этого более старого клиента меток поддерживаются с клиентом Защита информации Microsoft Purview. Дополнительные сведения см. в разделе Расширение меток конфиденциальности в Windows.

Отключение встроенных меток в приложениях Office для Windows

Чтобы использовать метки конфиденциальности в приложениях Office, необходимо иметь одну или несколько политик меток, опубликованных для пользователей из Портал соответствия требованиям Microsoft Purview, и поддерживаемую версию Office.

Если оба этих условия выполнены, но вам нужно отключить метки конфиденциальности в приложениях Windows Office, используйте параметр политики Office . Использование функции конфиденциальности в Office для применения и просмотра меток конфиденциальности. Задайте для параметра значение 0, выбрав Отключено.

Для групповая политика и Приложения Microsoft 365 для предприятий административных шаблонов перейдите к этому параметру в разделе Конфигурация пользователя/Административные шаблоны/Microsoft Office 2016/Параметры безопасности. Если вы используете службу "Облачная политика" для Microsoft 365, найдите этот параметр по имени. Параметр вступает в силу при перезапуске этих приложений Office.

Если позже потребуется отменить изменения эту конфигурацию, измените значение на 1, выбрав Включено. Вам также может потребоваться включить этот параметр, если кнопка Конфиденциальность не отображается на ленте должным образом. Например, предыдущий администратор отключил этот параметр меток.

Так этот параметр относится к приложениям Office в Windows, он не влияет на другие приложения в Windows, которые поддерживают метки конфиденциальности (например, Power BI), или другие платформы (например, macOS, мобильные устройства и Office в Интернете). Если вы не хотите, чтобы некоторые или все пользователи видели и использовали метки конфиденциальности во всех приложениях и на всех платформах, не назначайте политику меток конфиденциальности этим пользователям.

Совет

Если вы хотите прекратить отображение встроенных меток для Word, Excel и PowerPoint и отобразить их только для Outlook или наоборот, вы можете достичь этого результата с помощью параметра для каждой метки. Дополнительные сведения см. в разделе Область меток только для файлов или сообщений электронной почты.

Поддерживаемые типы файлов Office

Как правило, приложения Office со встроенными метками для файлов Word, Excel и PowerPoint поддерживают формат Open XML (например, .docx и .xlsx), но не формат Microsoft Office 97–2003 (например, .doc и .xls), формат открытого документа (например, .odt и .ods) или другие форматы. Если тип файла не поддерживается для встроенных меток, кнопка Конфиденциальность недоступна в приложении Office.

Примечание.

Вы можете запретить пользователям открывать или сохранять старые типы файлов для Word, Excel и PowerPoint в Windows. Инструкции см . в статье Блокировка определенных типов форматов файлов в Office 2016.

Сведения о конкретных типах файлов, поддерживаемых для SharePoint и OneDrive, когда эти службы включены для меток конфиденциальности, см. в статье Включение меток конфиденциальности для файлов в SharePoint и OneDrive.

Для других решений по меткам проверьте их документацию на предмет поддерживаемых типов файлов.

Шаблоны защиты и метки конфиденциальности

Определяемые администратором шаблоны защиты, такие как те, которые вы определяете для Шифрование сообщений Microsoft Purview, не отображаются в приложениях Office при использовании встроенных меток. Это упрощенное решение отражает отсутствие необходимости выбора шаблона защиты, поскольку те же параметры включены в метки конфиденциальности, для которых включено шифрование.

Существующий шаблон можно конвертировать в метку конфиденциальности, если использовать командлет New-Label с параметром EncryptionTemplateId.

Параметры управления правами на доступ к данным (IRM) и метки конфиденциальности

Метки конфиденциальности, настраиваемые для применения шифрования, упрощают пользователям возможность указывать собственные параметры шифрования. В приложениях Office эти отдельные параметры шифрования по-прежнему могут быть настроены пользователями вручную с помощью параметров управления правами на доступ к данным (IRM). Например, для приложений Windows:

  • Для документа: Защитасведений о>файлах>Ограничение доступа к документу>
  • для электронной почты: на вкладке "Параметры">шифрование

Последние приложения Word, Excel и PowerPoint для Windows и Mac больше не позволяют пользователям выбирать параметры управления правами на доступ к данным (IRM) при наличии меток конфиденциальности. Вместо этого пользователи видят диалоговое окно с предложением использовать метку конфиденциальности для применения защиты информации. В сообщении также объясняется, как позже получить доступ к панели конфиденциальности для выбора и изменения меток:

В последних приложениях Office параметры IRM больше не доступны, и пользователи должны выбрать метку конфиденциальности.

Для Outlook и старых приложений Office, которые позволяют пользователям выбирать параметры управления правами на доступ к данным, пользователи могут переопределять параметры из примененной метки конфиденциальности с помощью собственных параметров шифрования. Например:

  • Пользователь применяет к документу метку Конфиденциально \ Все сотрудники, и эта метка настроена на применение параметров шифрования для всех пользователей в организации. Затем этот пользователь вручную настраивает параметры управления правами на доступ к данным, чтобы ограничить доступ для пользователей за пределами организации. Конечным результатом является документ с меткой Конфиденциально \ Все сотрудники и зашифрованный, но пользователи в вашей организации не могут открыть его должным образом.

  • Пользователь применяет метку Конфиденциально \ Все сотрудники к сообщению электронной почты, и это сообщение настроено для применения параметра шифрования Не пересылать. В приложении Outlook этот пользователь вручную выбирает для параметра IRM значение "Только шифрование". Конечным результатом является то, что письмо остается зашифрованным и получатели могут пересылать его, несмотря на наличие метки Конфиденциально \ Только получатели.

    В качестве исключения для Outlook в Интернете параметры из меню Зашифровать недоступны для выбора, когда выбранная метка применяет шифрование.

  • Пользователь применяет к документу метку Общий, и эта метка не настроена для применения шифрования. Затем этот пользователь вручную настраивает параметры управления правами на доступ к данным, чтобы ограничить доступ к документу. Конечным результатом является документ, помеченный как Общий, но который также применяет шифрование, поэтому некоторые пользователи не могут открыть его должным образом.

Если документ или сообщение электронной почты уже помечены, пользователь может выполнить любое из этих действий, если содержимое еще не зашифровано или у него есть право на использование экспорта или полного доступа.

Для более согласованного взаимодействия с метками с помощью значимых отчетов предоставьте соответствующие метки и рекомендации для пользователей по применению только меток для защиты документов и сообщений электронной почты. Например:

  • В исключительных случаях, когда пользователям необходимо назначать собственные разрешения, предоставьте метки, позволяющие пользователям назначать собственные разрешения.

  • Вместо того, чтобы пользователи вручную удаляли шифрование после выбора метки, которая применяет шифрование, предоставьте альтернативу вложенной метки, когда пользователям нужна метка с той же классификацией, но без шифрования. Например:

    • Конфиденциально \ Все сотрудники
    • Конфиденциально \ Любой сотрудник (без шифрования)

  • Обновите до последних версий, которые не позволяют пользователям выбирать параметры IRM для Word, Excel и PowerPoint. В Outlook рассмотрите возможность отключения параметров IRM, чтобы запретить пользователям выбирать их:

    • Outlook для Windows:
      • Разделы DWORD:00000001 реестра DisableDNF и DisableEO fromHKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\DRM
      • Убедитесь, что параметр групповой политики Настроить параметр шифрования по умолчанию для кнопки "Зашифровать" не настроен
    • Outlook для Mac:
    • Outlook в Интернете:
      • Параметры SimplifiedClientAccessDoNotForwardDisabled и SimplifiedClientAccessEncryptOnlyDisabled описаны для Set-IRMConfiguration
    • Outlook для iOS и Android: эти приложения не поддерживают применение шифрования без меток, поэтому нет параметров для отключения.

Примечание.

Если пользователи вручную удаляют шифрование из документа с меткой, который хранится в SharePoint или OneDrive, и вы включили метки конфиденциальности для файлов Office в SharePoint и OneDrive, шифрование метки будет автоматически восстановлено при следующем доступе к документу или его загрузке.

Сопоставление меток на основе шифрования для документов

Если документ зашифрован с разрешениями, определенными администратором, политика шифрования внедряется в документ. Это происходит независимо от маркировки. Например, если вложение Office наследует шифрование от сообщения электронной почты или пользователь применил шаблон управления правами с помощью управления правами на доступ к данным (IRM) в своем приложении Office. Если метка конфиденциальности в клиенте соответствует той же политике шифрования, приложения Office автоматически присвоят документу соответствующую метку.

В этом сценарии соответствующая метка конфиденциальности может пометить документ без меток и заменить существующую метку, которая не применяет шифрование. Например, метка Общие заменяется на Конфиденциально/ Все сотрудники. Маркировка содержимого из соответствующей метки не применяется автоматически.

Этот сценарий помогает переместить старые решения шифрования из шаблонов управления правами на метки конфиденциальности, которые применяют шифрование с помощью управления правами.

Однако вы также увидите это поведение со сценарием маркировки для вложений электронной почты и собраний, когда они открываются получателем. Например:

  1. Пользователь создает сообщение электронной почты и присоединяет незашифрованный документ Office, а затем применяет метку к сообщению электронной почты.

    Метка применяет шифрование с разрешениями, заданными администратором, а не с параметрами Не пересылать или Encrypt-Only. Например, для конфигурации меток администратор выбирает Назначить разрешения сейчас и указывает, что все сотрудники имеют доступ на чтение.

  2. При отправке сообщения электронной почты вложение автоматически наследует шифрование с помощью управления правами, но не метку.

  3. Когда получатель в том же клиенте открывает зашифрованный документ, для документа автоматически отображается соответствующая метка для разрешений, определенных администратором, и сохраняется при сохранении документа.

    В качестве события аудита, которое отображается в Обозреватель действий, этот пользователь применил метку, а не отправителя сообщения электронной почты.

Сопоставление меток на основе шифрования работает только в клиенте, и применяются все следующие условия:

  • Документ не помечен или существующая метка не применяет шифрование
  • Документ шифруется с разрешениями, определенными администратором
  • Соответствующая метка конфиденциальности публикуется пользователю, открывшему документ
  • Метка область соответствующей метки конфиденциальности включает файлы

Соответствующая метка сохраняется, если документ сохранен.

Совместимость меток конфиденциальности

С помощью приложений с поддержкой RMS: если вы открываете помеченный и зашифрованный документ или сообщение электронной почты в приложении с поддержкой RMS, которое не поддерживает метки конфиденциальности, приложение по-прежнему применяет шифрование и управление правами.

С помощью клиента Защита информации Microsoft Purview. Вы можете просматривать и изменять метки конфиденциальности, применяемые к документам в приложениях Office, с помощью клиента Защита информации Microsoft Purview и наоборот.

В других версиях Office: любой авторизованный пользователь может открывать помеченные документы и сообщения электронной почты в других версиях Office. Однако вы можете просматривать или изменять метку только в поддерживаемых версиях Office или с помощью клиента Защита информации Microsoft Purview. Поддерживаемые версии приложений Office перечислены в предыдущем разделе.

Поддержка файлов SharePoint и OneDrive, защищенных с помощью меток конфиденциальности

Чтобы использовать встроенный клиент меток Office с Office в Интернете для документов в SharePoint или OneDrive, убедитесь, что метки конфиденциальности для файлов Office в SharePoint и OneDrive включены.

Поддержка внешних пользователей и содержимого с метками

При пометке документа или сообщения электронной почты метка сохраняется в качестве метаданных, которые включают клиента и глобального уникального идентификатора метки. Когда помеченный документ или электронное письмо открывается приложением Office, которое поддерживает метки конфиденциальности, эти метаданные считываются, и только если пользователь принадлежит к тому же клиенту, метка отображается в их приложении. Например, для встроенных меток для Word, PowerPoint и Excel имя метки отображается в строке состояния. Пользователи исключают гостевые учетные записи.

Эта реализация означает, что при совместном использовании документов с другой организацией, использующей разные названия меток, каждая организация может применить и увидеть собственную метку, примененную к документу. Гостевые пользователи не увидят ваши метки в своих приложениях.

Примечание.

Два исключения, когда другая организация не может применить собственные метки конфиденциальности:

То же самое относится к электронной почте (и помеченным событиям календаря), отправляемой Outlook. Однако почтовые клиенты, отличные от Outlook, могут не хранить метаданные меток в заголовках электронной почты. Например, пользователи, отвечающие или переадресовывая из другой организации, которая не использует Outlook, скорее всего, приведут к тому, что исходная метка электронной почты больше не отображается для исходной организации, так как метаданные метки не были сохранены. Если эта метка применяет шифрование, шифрование сохраняется для защиты содержимого.

Следующие элементы из примененной метки видны пользователям за пределами организации:

  • Маркировка содержимого. Когда метка применяет к содержимому верхний колонтитул, нижний колонтитул или водяной знак, они добавляются непосредственно к содержимому и остаются видимыми до тех пор, пока кто-нибудь не изменит или не удалит их.

  • Имя и описание базового шаблона защиты из метки, применившей шифрование. Эти сведения отображаются на панели сообщений в верхней части содержимого, чтобы предоставить сведения о том, кто имеет право просматривать содержимое, и их права на использование этого содержимого.

Совместное использование зашифрованных документов с внешними пользователями

Хотя вы можете ограничить доступ для пользователей в вашей организации, вы также можете расширить доступ к любому другому пользователю, у которого есть учетная запись в Microsoft Entra ID. По умолчанию эти внешние пользователи будут проходить проверку подлинности без дополнительной настройки. Однако может потребоваться дополнительная конфигурация для Microsoft Entra параметров доступа между клиентами внешних удостоверений и условного доступа.

Если у внешних пользователей нет учетной записи в Microsoft Entra ID, они могут пройти проверку подлинности с помощью гостевых учетных записей в вашем клиенте. Эти гостевые учетные записи также можно использовать для доступа к общим документам в SharePoint или OneDrive, если вы включили метки конфиденциальности для файлов Office в SharePoint и OneDrive.

Дополнительные сведения о дополнительных функциях Microsoft Entra и использовании гостевых учетных записей для проверки подлинности см. в разделе Microsoft Entra конфигурации для шифрования содержимого.

Все приложения Office и другие приложения с поддержкой RMS могут открывать зашифрованные документы после успешной проверки подлинности пользователя.

Когда приложения Office применяют маркировку содержимого и шифрование

Приложения Office по-разному применяют маркировку и шифрование содержимого с меткой конфиденциальности в зависимости от используемого приложения.

Приложение Маркировка содержимого Шифрование
Word, Excel, PowerPoint на всех платформах Сразу Сразу
Outlook для ПК и Mac После Exchange Online отправляет сообщение электронной почты или приглашение на собрание Сразу
Outlook в Интернете, для iOS и Android После Exchange Online отправляет сообщение электронной почты или приглашение на собрание После Exchange Online отправляет сообщение электронной почты или приглашение на собрание

Решения, которые применяют метки конфиденциальности к файлам за пределами приложений Office, применяют к файлу метаданные меток. В этом сценарии маркировка содержимого из конфигурации метки не вставляется в файл, но применяется шифрование. Маркировка содержимого не применяется автоматически при открытии этих документов в приложениях Office.

Сценарии, включающие применение метки конфиденциальности за пределами приложений Office, включают:

  • Сканер, проводник и PowerShell из клиента Защита информации Microsoft Purview

  • Политики автоматического применения меток для SharePoint и OneDrive

  • Экспортированные помеченные и зашифрованные данные из Power BI

  • Microsoft Defender for Cloud Apps

В этих сценариях, используя приложения Office, пользователь может применить маркировку содержимого метки, временно удалив или заменив текущую метку, а затем повторно применив исходную метку.

Динамическая маркировка с переменными

Важно!

Если ваши приложения Office не поддерживают эту возможность, они применяют маркировку как исходный текст, указанный в конфигурации метки, вместо разрешения переменных. Метки конфиденциальности в приложениях Office см. в таблицах в разделе Минимальные версии.

При настройке метки конфиденциальности для маркировки содержимого можно использовать следующие переменные в текстовой строке для верхнего, нижнего колонтитула или водяного знака:

Переменная Описание Пример при применении метки
${Item.Label} Применена метка отображаемого имени метки Общие
${Item.Name} Имя файла или тема сообщения электронной почты помеченного содержимого Sales.docx
${Item.Location} Путь и имя файла для маркируемого документа или тема электронного письма для помечаемого письма \\Sales\2020\Q3\Report.docx
${User.Name} Отображаемое имя пользователя, применяющего метку Ричард Симон
${User.PrincipalName} Microsoft Entra имя участника-пользователя (UPN) пользователя, применяющего метку rsimone@contoso.com
${Event.DateTime} Дата и время применения метки к содержимому в местном часовом поясе пользователя, применяющего метку в приложениях Microsoft 365, или время в режиме UTC для Office Online и политик автоматического применения меток 10.08.2020 13:30

Примечание.

Синтаксис этих переменных с учетом регистра.

Настройка различных визуальных меток для Word, Excel, PowerPoint и Outlook

В качестве дополнительной переменной можно настроить визуальную маркировку для каждого типа приложения Office с помощью оператора переменной "If.App" в текстовой строке и определить тип приложения с помощью значений Word, Excel, PowerPointили Outlook. Также можно сокращенно указать эти значения, что необходимо, если вы хотите указать несколько значений в одном операторе If.App.

Используйте следующий синтаксис:

${If.App.<application type>}<your visual markings text> ${If.End}

Как и в случае с другими динамическими визуальными знаками, синтаксис учитывает регистр, который включает сокращения для каждого типа приложения (WXPO).

Примеры:

  • Настройка текста заголовка только для документов Word:

    ${If.App.Word}This Word document is sensitive ${If.End}

    Только в заголовках документа Word метка применяет текст заголовка "Этот документ Word является конфиденциальным". К другим приложениям Office не применяется текст заголовка.

  • Настройка текста нижнего колонтитула для Word, Excel и Outlook и другого текста нижнего колонтитула для PowerPoint:

    ${If.App.WXO}This content is confidential. ${If.End}${If.App.PowerPoint}This presentation is confidential. ${If.End}

    В Word, Excel и Outlook метка применяет текст нижнего колонтитула "Это содержимое конфиденциально". В PowerPoint метка применяет текст нижнего колонтитула "Эта презентация является конфиденциальной".

  • Настройка определенного текста водяного знака для Word и PowerPoint, а затем текста водяного знака для Word, Excel и PowerPoint:

    ${If.App.WP}This content is ${If.End}Confidential

    В Word и PowerPoint к метке применяется текст водяного знака "Это конфиденциальное содержимое". В Excel к метке применяется текст водяного знака "Конфиденциально". В Outlook к метке не применяется к тексту водяного знака, так как водяные знаки в виде визуальных меток не поддерживаются в Outlook.

Требовать, чтобы пользователи присваивали метки своим сообщениям и документам

Важно!

Эту конфигурацию иногда называют обязательной маркировкой. Сведения о проверка поддерживаемых версий Office см. в таблицах статьи Минимальные версии меток конфиденциальности в приложениях Office.

Чтобы использовать обязательное применение меток для документов, но не для сообщений электронной почты, см. инструкции в следующем разделе, где объясняется, как настроить параметры Outlook.

Чтобы использовать обязательное применение меток для Power BI, см. статью Обязательная политика меток для Power BI.

Если выбран параметр политики Требовать от пользователей применять метку к электронной почте и документам , пользователи, которым назначена политика, должны выбрать и применить метку конфиденциальности в своих приложениях Office:

  • Для документов (Word, Excel, PowerPoint): при открытом или сохраненном документе без метки.

  • Для сообщений электронной почты (Outlook): в момент отправки пользователями сообщения электронной почты без пометки. В Outlook Mobile это значение можно изменить на при первом создании сообщения электронной почты.

Дополнительные сведения

  • Без метки означает, что метка конфиденциальности, опубликованная из клиента пользователя, не применяется к содержимому. Метки конфиденциальности , применяемые другими клиентами , игнорируются этим параметром политики.

  • Когда пользователям предлагается добавить метку конфиденциальности, так как они открывают документ без меток, они могут добавить метку или выбрать открытие документа в режиме только для чтения.

  • Когда обязательная маркировка действует, пользователи не могут удалять метки конфиденциальности из документов, но могут изменять существующую метку.

  • Когда обязательная маркировка действует, опция печати в формате PDF будет недоступна, если документ помечен или зашифрован. Подробнее см. в разделе поддержки PDF на этой странице.

Инструкции об использовании этого параметра см. в разделе о параметрах политики.

Примечание.

Если помимо обязательного применения меток используется параметр политики метки по умолчанию для документов и сообщений электронной почты:

Метка по умолчанию всегда имеет приоритет перед обязательной меткой. Однако если вы используете версию Office, которая еще не поддерживает метку по умолчанию для существующих документов, пользователям будет предложено применить метку конфиденциальности для каждого нового документа.

Определите минимальные версии Word, Excel и PowerPoint, которые поддерживают метку по умолчанию для существующих документов, используя таблицу возможностей и строку Применить метку по умолчанию к существующим документам.

В Outlook Mobile изменение, когда пользователям предлагается ввести метку

Для этого параметра требуется минимальная версия 4.2316.0 для Outlook для Android и Outlook для iOS.

Вы можете использовать политику конфигурации приложений Microsoft Intune управляемых приложений, чтобы настроить параметр из пакета SDK для Intune app Software Development Kit (SDK), который изменяется, когда пользователям предлагается выбрать метку конфиденциальности для Outlook Mobile.

Вместо того чтобы запрашивать метку при отправке при настройке обязательной метки для сообщений электронной почты, эта конфигурация приводит к запросу метки, когда пользователь впервые создает сообщение.

Для этой конфигурации необходимо указать следующую пару "ключ-значение" в качестве общего параметра конфигурации в политике:

Ключ Значение
com.microsoft.outlook.Mail.LouderMandatoryLabelEnabled true

Параметры Outlook для меток по умолчанию и обязательных меток

Определите минимальные версии Outlook, поддерживающие эти функции, с помощью таблицы возможностей Для Outlook и строки Различные параметры метки по умолчанию и обязательной маркировки.

Если приложение Outlook поддерживает параметр метки по умолчанию, который отличается от параметра метки по умолчанию для документов:

  • В конфигурации политики меток на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview на странице Применение метки по умолчанию к сообщениям электронной почты можно указать метку конфиденциальности, которая будет применяться ко всем письмам без меток, или нет метки по умолчанию. Этот параметр не зависит от параметра По умолчанию присваивать эту метку документам на предыдущей странице конфигурации Параметры политики для документов.

Если приложение Outlook не поддерживает параметр метки по умолчанию, который отличается от параметра метки по умолчанию для документов, Outlook всегда будет использовать значение, указанное для параметра По умолчанию присваивать эту метку документам на странице Параметры политики для документов конфигурации политики меток.

Если приложение Outlook поддерживает отключение обязательного применения меток:

  • В конфигурации политики меток на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview на странице Параметры политики выберите Требовать от пользователей применять метку к электронной почте или документам. Затем выберите Далее>Далее и снимите флажок Требовать, чтобы пользователи присваивали метки своим сообщениям электронной почты. Если вы хотите присваивать обязательные метки письмам и документам, не снимайте этот флажок.

Когда приложение Outlook не поддерживает отключение обязательного применения меток: если вы выберете Требовать, чтобы пользователи присваивали метки своим сообщениям и документам в качестве параметра политики, Outlook всегда будет предлагать пользователям выбрать метку для сообщений электронной почты без меток.

Область меток только для файлов или сообщений электронной почты

Примечание.

Определите минимальные версии, поддерживающие эту функцию, с помощью таблиц возможностей и строки Метки области для файлов или сообщений электронной почты.

Если эта возможность не поддерживается на всех платформах, используемых пользователями, они будут иметь несогласованный интерфейс маркировки. Например, Word на одной платформе не отображает метку, которая отображается на другой платформе.

Эта конфигурация является расширением область Элементов при создании или изменении метки конфиденциальности в Портал соответствия требованиям Microsoft Purview. При определении область метки для элементов можно дополнительно уточнить область только для файлов или сообщений электронной почты, а также для собраний:

  • Чтобы область метки только для Word, Excel и PowerPoint: убедитесь, что выбран параметр Файлы, а не для сообщения электронной почты.
  • Чтобы область метки только в Outlook, убедитесь, что выбран параметр "Сообщения электронной почты", а не "Файлы".

Предупреждение

Хотя вы можете изменить существующую метку и удалить область "Файлы", мы не рекомендуем это делать, так как существующие конфигурации могут работать не так, как ожидалось. Например, администратор сайта SharePoint не поймет, почему метка конфиденциальности, выбранная в качестве метки по умолчанию для библиотеки документов, больше не применяет метку.

Если вы хотите использовать метку конфиденциальности только для сообщений электронной почты, создайте новую метку только с помощью область Emails вместо изменения существующей метки.

Убедитесь, что оба параметра выбраны, если вам не нужно область метки только Word, Excel и PowerPoint или только в Outlook.

Помните, что другие конфигурации меток также могут влиять на то, видны ли метки конфиденциальности в приложениях. Ознакомьтесь с документацией по используемым конфигурациям меток.

Примечание.

Параметр Файлы может включать другие элементы, поддерживающие этот параметр области, например файлы Power BI. Ознакомьтесь с документацией по приложению и не забудьте протестировать все приложения и службы маркировки, используемые вашей организацией.

Имейте в виду, что эта конфигурация влияет как на клиентские приложения, так и на службы, на маркировку вручную и на автоматическую маркировку. Например:

  • Метки по умолчанию:

    • Если область не включает электронную почту, настроенная метка по умолчанию для электронной почты не будет применена.
    • Если область не включает файлы, настроенная метка по умолчанию для файлов не будет применена и не может быть выбрана в качестве метки конфиденциальности по умолчанию для библиотеки документов SharePoint.

  • Политики автоматического присвоения меток:

    • Если область не содержит сообщения электронной почты, вы не сможете выбрать метку для политики автоматической маркировки, включающую расположение Exchange.
    • Если область не включает файлы, вы не сможете выбрать метку для политики автоматической маркировки, которая включает расположения SharePoint и OneDrive.

  • Шифрование, позволяющее пользователям назначать разрешения:

    • Если область не включает электронную почту, вы не сможете выбрать параметры шифрования Не пересылать или Только шифрование.
    • Если область не содержит файлы, вы не сможете выбрать параметр шифрования В Word, PowerPoint и Excel предложите пользователям указать разрешения.

  • Наследование меток из вложений электронной почты:

    • Для этой конфигурации метка должна быть ограничена как файлами, так и сообщениями электронной почты.

Кроме того, если метка была применена ранее, но затем удалена из одной из областей, пользователи больше не будут видеть эту метку, примененную для область в приложениях, поддерживающих эту функцию.

Из-за влияния области меток только для файлов или сообщений электронной почты некоторые существующие конфигурации меток не позволят вам удалить параметры область для файлов и сообщений электронной почты:

  • Метка по умолчанию в политиках меток
  • Метка по умолчанию для применения в собраниях каналов
  • Метка, выбранная для политик автоматической маркировки

Прежде чем область метку только в файлы или сообщения электронной почты, сначала необходимо удалить ее, если она настроена как одна из этих меток по умолчанию, и удалить ее из любых политик автоматической маркировки.

Ограничения:

  • В настоящее время, если вы используете какие-либо параметры политики меток с меткой конфиденциальности, которая ограничена только файлами или областью "Только сообщения электронной почты", та же политика также должна включать по крайней мере одну метку с обоими параметрами область.

  • Если метка настроена в качестве метки по умолчанию в одной или нескольких политиках меток, а Outlook не настроен с собственной меткой по умолчанию в той же политике, вы не сможете удалить область для Email. В качестве обходного решения сначала удалите эту метку как метку по умолчанию. После этого вы сможете удалить область электронной почты. Наконец, повторно выберите измененную метку в качестве метки по умолчанию для документов.

Настройка метки для применения защиты S/MIME в Outlook

Примечание.

Определите минимальные версии Outlook, поддерживающие эту функцию, с помощью таблицы возможностей Outlook и строки Применить защиту S/MIME.

Если вы настраиваете метку для применения защиты S/MIME, но ваша версия Outlook для Windows еще не поддерживает ее, метка по-прежнему отображается и может быть применена, но параметры S/MIME игнорируются. Вы не сможете выбрать эту метку для политик автоматической маркировки Exchange или настроить ее для защиты элементов календаря, собраний Teams и чата.

Эта конфигурация недоступна на портале Microsoft Purview или на Портал соответствия требованиям Microsoft Purview. Дополнительные параметры PowerShell необходимо использовать с командой командлетов Set-Label или New-Label после подключения к PowerShell для обеспечения соответствия требованиям безопасности &.

Используйте эти параметры, только если у вас есть рабочее развертывание S/MIME и вы хотите, чтобы метка автоматически применяла этот метод защиты для электронной почты, а не защиту по умолчанию, которая использует шифрование Rights Management из Azure Information Protection. Полученная защита будет такой же, как если бы пользователь вручную выбрал параметры S/MIME в Outlook.

Конфигурация Ключ/значение расширенной настройки
Цифровая подпись S/MIME SMimeSign="True"
Шифрование S/MIME SMimeEncrypt="True"

Метка, настроенная для этих параметров, не обязательно должна быть настроена для шифрования на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview. Но если это так, защита S/MIME заменяет шифрование управления правами только в Outlook. Для других приложений метка применяет параметры шифрования, указанные на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview.

Примеры команд PowerShell, где GUID метки конфиденциальности — 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeSign="True"}

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeEncrypt="True"}

Дополнительные сведения об указании дополнительных параметров PowerShell см. в разделе "Советы PowerShell по указанию дополнительных параметров".

Настройка наследования меток из вложений электронной почты

Примечание.

Определите минимальные версии Outlook, поддерживающие эту функцию, с помощью таблицы возможностей Для Outlook и наследования строки Метка из вложений электронной почты.

Включите наследование электронной почты, если пользователи присоединяют помеченные документы к сообщению электронной почты, которое не помечено вручную. В этой конфигурации метка конфиденциальности динамически выбирается для сообщения электронной почты на основе меток конфиденциальности, которые применяются к вложениям и публикуются для пользователя. Метка с наивысшим приоритетом выбирается динамически, если она поддерживается Outlook.

Будет ли это наследование метки переопределять существующую метку в сообщении электронной почты:

  • Если сообщение электронной почты было помечено вручную, эта метка не будет заменена наследование меток из вложений электронной почты.

  • Наследование меток из вложений электронной почты заменит метку конфиденциальности с более низким приоритетом, которая автоматически применяется или применяется в качестве метки по умолчанию, но не переопределяет метку с более высоким приоритетом.

Этот параметр настраивается в политике меток конфиденциальности на странице Параметры по умолчанию для сообщений электронной почты . В разделе Наследовать метку от вложений установите флажок Email наследует метку с наивысшим приоритетом от вложений. Вложение должно быть физическим файлом и не может быть ссылкой на файл (например, ссылка на файл в Microsoft SharePoint или OneDrive).

Установив этот флажок, можно дополнительно выбрать следующий параметр: Рекомендовать пользователям применять метку вложений, а не автоматически применять ее. Без этого выбора метка применяется автоматически, но пользователи по-прежнему могут удалить метку или выбрать другую метку перед отправкой сообщения электронной почты.

По умолчанию, если автоматически выбранная метка применяет шифрование, то к электронной почте применяется то же шифрование. Например, если метка с наивысшим приоритетом применяет шифрование с полным доступом к группе Маркетинг, сообщение электронной почты будет защищено полным доступом к группе Маркетинг. Если метка с наивысшим приоритетом применяет параметр шифрования Не пересылать, сообщение электронной почты также помечается и шифруется с помощью параметра Не пересылать.

Однако учитывайте результат, если почтовый клиент не поддерживает определенное действие защиты, примененное к вложению:

  • Шифрование с двойным ключом. Поведение зависит от того, поддерживает ли Outlook этот метод шифрования. Используйте таблицы возможностей и строку Шифрование двойного ключа (DKE), чтобы подтвердить поддержку вашей версии.

    • Если Outlook поддерживает DKE: если метка с наивысшим приоритетом применяет параметр шифрования для шифрования двойного ключа и назначение разрешений, Outlook для Windows применяет эту метку и защиту к сообщению электронной почты. Метка и защита не применяются, если метка настроена для параметра Разрешить пользователям назначать разрешения при применении метки.

    • Если Outlook не поддерживает DKE: если метка с наивысшим приоритетом применяет шифрование с двойным ключом, метка или шифрование не выбраны для сообщения электронной почты в Outlook для Windows.

  • Пользовательские разрешения для Word, PowerPoint и Excel. Если метка с наивысшим приоритетом применяет только определенные пользователем разрешения для Word, PowerPoint и Excel (параметр Разрешить пользователям назначать разрешения при применении метки и In Word, PowerPoint и Excel, предложите пользователям указать разрешения.), для сообщения электронной почты не выбрана метка или защита, так как Outlook не поддерживает эту конфигурацию меток.

Поддержка PDF

Используйте таблицы в разделе Минимальные версии для меток конфиденциальности в приложениях Office для определения поддерживаемых версий.

Office для Windows: Word, Excel и PowerPoint поддерживают следующие методы преобразования документа Office в pdf-документ:

  • Сохранение файла > в формате > PDF
  • Экспорт > файла > PDF
  • Поделиться > отправкой отправить копию PDF-файла >

Это действие регистрируется с событием аудита переименованных файлов из группы аудита действий с файлами и страницами. В результатах поиска по аудиту на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview вы увидите подробные сведения об этом событии аудита, отображающее чувствительностьLabeledFileRenamed для поля Действие.

Office для iOS: Word, Excel и PowerPoint поддерживают следующие методы преобразования документа Office в PDF-документ:

  • Экспорт > PDF
  • Отправка копии > Отправить в формате PDF

Office для Android: Word, Excel и PowerPoint поддерживают следующие методы преобразования документа Office в PDF-документ:

  • Отправить копию в общий доступ > —> PDF

Office для Интернета. Файл необходимо скачать из браузера. Для преобразования онлайн-документа Office в PDF-документ поддерживаются следующие методы:

  • Word и PowerPoint в Интернете:
    • Сохранить как > скачать как pdf-файл >
  • Excel в Интернете:
    • Экспорт > скачать как PDF-файл >
    • Печать > скачать > как PDF-файл >

При создании PDF-файла он наследует метку с любой маркировкой содержимого. Для Windows, если метка применяет шифрование, это шифрование также наследуется. Зашифрованные PDF-файлы можно открыть с помощью Microsoft Edge на устройствах Windows или Mac. Дополнительные сведения см. в разделе Просмотр защищенных PDF-файлов с помощью Microsoft Edge в Windows или Mac.

SharePoint и OneDrive поддерживают следующие сценарии PDF:

В настоящее время Outlook не поддерживает PDF-вложения, наследующие шифрование от сообщения с меткой. Однако теперь Outlook поддерживает предупреждение или блокирует печать в PDF пользователями, как описано далее.

Не поддерживаемые сценарии PDF:

  • Сохранить в формате PDF

    Если пользователи выбирают этот вариант, они получают предупреждение о том, что документ или сообщение электронной почты потеряют защиту метки и шифрования (если применяется), и должны подтвердить продолжение. Если для политики меток конфиденциальности требуется обоснование для удаления метки или снижения ее классификации, они видят этот запрос.

    Поскольку этот параметр удаляет метку конфиденциальности, он будет недоступен пользователям, если вы используете обязательные метки. Эта конфигурация относится к параметру политики меток конфиденциальности, который требует, чтобы пользователи применяли метку к своим электронным письмам и документам.

  • Формат PDF/A и шифрование

    Этот формат PDF, предназначенный для долгосрочного архивирования, не поддерживается, если на этикетке применяется шифрование, и не позволит пользователям преобразовывать документы Office в PDF. Сведения о конфигурации см. в документации по групповой политике для обеспечения соответствия PDF стандарту ISO 19005-1 (PDF/A).

  • Защита паролем и шифрование

    Опция Файл>Информация>Защитить документ>Зашифровать с паролем не поддерживается, если метка документа применяет шифрование. В этом сценарии опция шифрования с паролем становится недоступной для пользователей.

Дополнительные сведения об экспорте в PDF-файл см. в объявлении Применение меток конфиденциальности к PDF-файлам, созданным с помощью приложений Office.

Документацию для конечных пользователей см. в статьях Создание защищенных PDF-файлов из файлов Office и Какие средства чтения PDF поддерживаются для защищенных PDF-файлов?.

Отключение поддержки PDF

Если вам нужно отключить поддержку PDF-файлов в приложениях Office для Word, Excel и PowerPoint, это можно сделать с помощью параметра Office групповая политика в разделе Конфигурация пользователя/Административные шаблоны/Microsoft Office 2016/Microsoft Сохранить как PDF и Сохранить как XPS надстройки:

  • Использование функции конфиденциальности в Office для применения меток конфиденциальности к PDF-файлам

Настройте этот параметр как Отключено.

Разверните этот параметр с помощью групповая политика или с помощью службы облачной политики для Microsoft 365.

Панель конфиденциальности

Используйте таблицы в разделе Минимальные версии для меток конфиденциальности в приложениях Office , чтобы определить, какие версии Office поддерживают панель конфиденциальности.

Если Word, Excel и PowerPoint поддерживают эту функцию, метки конфиденциальности отображаются на панели конфиденциальности рядом с именем файла на панели верхнего окна. Например:

Метки конфиденциальности в строке заголовка окна.

Если Outlook поддерживает эту функцию, панель конфиденциальности отображается в строке Тема сообщения электронной почты. Например:

Метки конфиденциальности в строке тема Outlook.

Сведения о метках и возможность выбора или изменения метки также интегрированы в пользовательские рабочие процессы, включая сохранение и переименование, экспорт, общий доступ, печать и преобразование в PDF. Дополнительные сведения и примеры снимков экрана см. в сообщении блога о создании панели конфиденциальности в Office для Windows.

В рамках этой высокой видимости эти метки также поддерживают цвета. Подробнее см. в следующем разделе.

Цвета меток

Если приложения для маркировки не поддерживают эту возможность, они не отображают настроенные цвета меток. Сведения о поддерживаемых версиях приложений Office см. в таблицах статьи Минимальные версии меток конфиденциальности в приложениях Office.

Только что созданные метки по умолчанию не имеют цвета. Используйте портал Microsoft Purview или Портал соответствия требованиям Microsoft Purview, чтобы выбрать один из 10 стандартных цветов для меток конфиденциальности. Конфигурация цвета метки находится на первой странице конфигурации метки после имени и описания метки.

Невозможно выбрать цвета для вложенных меток, так как они автоматически наследуют цвет метки от родительской метки.

Если метка настроена для цвета, отличного от одного из 10 цветов по умолчанию, вы увидите выбранный флажок Использовать ранее назначенный пользовательский цвет проверка, а стандартные параметры цвета недоступны. Вы можете изменить пользовательский цвет на один из стандартных цветов, сначала снимите флажок, а затем выберите один из стандартных цветов.

Вы не можете использовать портал Microsoft Purview или Портал соответствия требованиям Microsoft Purview для настройки другого настраиваемого цвета. Вместо этого используйте PowerShell, как описано в следующем разделе.

Настройка пользовательских цветов с помощью PowerShell

Чтобы задать цвет метки конфиденциальности, можно использовать дополнительный цвет параметра PowerShell для соответствия требованиям & безопасности. Эта конфигурация поддерживает цвета, которые нельзя настроить на портале Microsoft Purview или в Портал соответствия требованиям Microsoft Purview.

Чтобы указать выбранный цвет, используйте шестнадцатеричный код триплета для компонентов красного, зеленого и синего (RGB) цвета. Например, #40e0d0 — шестнадцатеричное RGB-значение для бирюзового цвета.

Дополнительные сведения об этих кодах см. на <цветной> странице веб-документации MSDN, и вы также можете найти RapidTables полезным. Эти коды можно определить во многих приложениях, которые позволяют редактировать изображения. Например, Microsoft Paint позволяет выбрать собственный цвет из палитры и автоматически отображает значения RGB, которые вы можете скопировать.

Пример команды PowerShell, где GUID метки конфиденциальности — 8faca7b8-8d20-48a3-8ea2-0f96310a848e

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{color="#40e0d0"}

Дополнительные сведения о настройке расширенных параметров PowerShell для меток конфиденциальности см. в разделе Советы PowerShell по указанию дополнительных параметров.

Указание вложенной метки по умолчанию для родительской метки

Примечание.

Определите минимальные версии Office, поддерживающие этот параметр, с помощью таблиц возможностей и вложенной метки по умолчанию для родительской метки.

Эта конфигурация недоступна в Портал соответствия требованиям Microsoft Purview. После подключения к PowerShell для соответствия требованиям безопасности & безопасности необходимо использовать дополнительный параметр DefaultSubLabelId с командлетом Set-Label или New-Label cmd.

При добавлении вложенной метки в метку пользователи больше не могут применять родительскую метку к элементу. По умолчанию пользователи выбирают родительскую метку, чтобы просмотреть вложенные метки, которые они могут применить, а затем выбрать одну из этих вложенных меток. При указании вложенной метки по умолчанию для родительской метки, когда пользователи выбирают родительскую метку, вложенная метка автоматически выбирается и применяется к ним.

Например, для родительской метки Конфиденциально настроена вложенная метка по умолчанию All Employees. Для следующей родительской метки строго конфиденциальной не настроена вложенная метка по умолчанию. Вы можете определить разницу с окончанием панели меток для Конфиденциально , которая не видна для строго конфиденциальной:

Пример, показывающий, что родительская метка Конфиденциально настроена для вложенной метки по умолчанию.

Когда пользователи выбирают слева от этой вертикальной полосы, они автоматически выбирают Конфиденциальные\все сотрудники с одним выбором. Если требуется другая вложенная метка, они должны выбрать справа от вертикальной полосы, чтобы выбрать расширение метки, в котором отображаются все вложенные метки для выделения. Для сравнения, если выбран параметр Строго конфиденциальный, вложенная метка для этой метки всегда будет отображаться для выбора.

После настройки этого параметра метки не забудьте соответствующим образом обновить документацию пользователя.

Пример команды PowerShell, где guid родительской метки конфиденциальности — 8faca7b8-8d20-48a3-8ea2-0f96310a848e , а ее вложенная метка, которую вы хотите указать по умолчанию: 1ace2cc3-14bc-4142-9125-bf946a70542c:

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{DefaultSubLabelId="1ace2cc3-14bc-4142-9125-bf946a70542c"}

Дополнительные сведения об указании дополнительных параметров PowerShell см. в разделе "Советы PowerShell по указанию дополнительных параметров".

Аудит действий с метками

Сведения о событиях аудита, создаваемых действиями меток конфиденциальности, см. в разделе Действия меток конфиденциальности документации по действиям журнала аудита.

Эта информация об аудите визуально представлена в обозревателе содержимого и обозревателе действий, чтобы помочь вам понять, как используются ваши метки конфиденциальности и где находится помеченное содержимое.

Вы также можете создавать пользовательские отчеты с помощью выбранного программного обеспечения для управления информационной безопасностью и событиями безопасности (SIEM) при экспорте и настройке записей журналов аудита. Более крупные решения для создания отчетов см. в справочнике по API действий управления Office 365.

Совет

Справку по созданию пользовательских отчетов см. в следующих записях блогов.

Документация конечного пользователя