Управление метками конфиденциальности в приложениях Office
Руководство по лицензированию Microsoft 365 для обеспечения соответствия требованиям безопасности&.
При публикации меток конфиденциальности из портала соответствия требованиям Microsoft Purview, они начинают отображаться в приложениях Office для пользователей, чтобы классифицировать и защищать данные по мере их создания или редактирования.
Сведения в этой статье помогут вам успешно управлять метками конфиденциальности в приложениях Office. Например, определите минимальные версии приложений, необходимые для функций, характерных для встроенных меток, любые дополнительные сведения о конфигурации для этих функций, а также изучите взаимодействие с клиентом унифицированных меток Azure Information Protection и другими приложениями и службами.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Портал соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Клиент унифицированных меток для классических приложений
Для использования меток конфиденциальности, встроенных в классические приложения Office для Windows и Mac, необходимо использовать выпуск Office по подписке. Этот клиент меток не поддерживает автономные выпуски Office, иногда называемые "Бессрочные версии Office".
Компонент надстройки Azure Information Protection (AIP) из клиента унифицированных меток Azure Information Protection теперь находится в режиме обслуживания и будет прекращен в апреле 2024 г. Если в настоящее время вы используете эту надстройку для маркировки в приложениях Office, рекомендуется перейти на встроенные метки. Дополнительные сведения см. в статье Миграция надстройки Azure Information Protection (AIP) во встроенные метки для приложений Office.
Поддержка возможностей меток чувствительности в приложениях
Используйте таблицы в разделе Минимальные версии для меток конфиденциальности в приложениях Office , чтобы определить минимальную версию Office, которая предоставляет определенные возможности меток конфиденциальности, встроенные в приложения Office. Или, если возможность метки находится в общедоступной предварительной версии или находится на рассмотрении для будущих выпусков.
Помимо перечисления минимальных версий для Windows, macOS, iOS и Android, в таблицах также содержатся сведения о том, поддерживается ли эта возможность для Office в Интернете:
Office для iOS и Office для Android: метки конфиденциальности встроены в приложение Office.
Встроенный клиент меток Office и клиент Azure Information Protection
Если на компьютерах с Windows установлен клиент Azure Information Protection (AIP), встроенные метки — это новое значение по умолчанию для последних приложений Windows Office, поддерживающих маркировку. Поскольку встроенные метки не используют надстройку Office, применяемую клиентом AIP, они более стабильны и производительны. Они также поддерживают последние функции, такие как расширенные классификаторы.
Примечание.
Если вы не видите нужные функции маркировки на компьютерах с Windows, несмотря на подтверждение минимальных поддерживаемых версий для канала обновления Office, возможно, вам нужно отключить надстройку AIP для более старых версий Office.
Дополнительные сведения о поддержке маркировки с помощью клиента AIP и о том, как отключить этот клиент только в приложениях Office, см. в статье Перенос надстройки Azure Information Protection (AIP) во встроенные метки для приложений Office.
Отключение встроенных меток в приложениях Office для Windows
Встроенный в Office клиент меток загружает метки конфиденциальности и параметры политики меток конфиденциальности из портала соответствия требованиям Microsoft Purview.
Чтобы использовать встроенный клиент меток Office, необходимо опубликовать одну или несколько политик меток для пользователей из портала соответствия требованиям Microsoft Purview и поддерживаемую версию Office.
Если оба этих условия выполнены, но вам нужно отключить встроенные метки в приложениях Windows Office, используйте параметр политики Office . Использование функции конфиденциальности в Office для применения и просмотра меток конфиденциальности. Задайте для параметра значение 0, выбрав Отключено.
Для групповая политика и Приложения Microsoft 365 для предприятий административных шаблонов перейдите к этому параметру в разделе Конфигурация пользователя/Административные шаблоны/Microsoft Office 2016/Параметры безопасности. Если вы используете службу "Облачная политика" для Microsoft 365, найдите этот параметр по имени. Параметр вступает в силу при перезапуске этих приложений Office.
Если позже потребуется отменить изменения эту конфигурацию, измените значение на 1, выбрав Включено. Вам также может потребоваться включить этот параметр, если кнопка Конфиденциальность не отображается на ленте должным образом. Например, предыдущий администратор отключил этот параметр меток.
Так этот параметр относится к приложениям Office в Windows, он не влияет на другие приложения в Windows, которые поддерживают метки конфиденциальности (например, Power BI), или другие платформы (например, macOS, мобильные устройства и Office в Интернете). Если вы не хотите, чтобы некоторые или все пользователи видели и использовали метки конфиденциальности во всех приложениях и на всех платформах, не назначайте политику меток конфиденциальности этим пользователям.
Совет
Если вы хотите прекратить отображение встроенных меток для Word, Excel и PowerPoint и отобразить их только для Outlook или наоборот, вы можете достичь этого результата с помощью параметра для каждой метки. Дополнительные сведения см. в разделе Область меток только для файлов или сообщений электронной почты.
Поддерживаемые типы файлов Office
Как правило, приложения Office со встроенными метками для файлов Word, Excel и PowerPoint поддерживают формат Open XML (например, .docx и .xlsx), но не формат Microsoft Office 97–2003 (например, .doc и .xls), формат открытого документа (odt и ods) или другие форматы. Если тип файла не поддерживается для встроенных меток, кнопка Конфиденциальность недоступна в приложении Office.
Сведения о конкретных типах файлов, поддерживаемых для SharePoint и OneDrive, когда эти службы включены для меток конфиденциальности, см. в статье Включение меток конфиденциальности для файлов Office в SharePoint и OneDrive.
Клиент унифицированных меток Azure Information Protection поддерживает формат Open XML и формат Microsoft Office 97–2003. Дополнительные сведения см. в разделе Типы файлов, поддерживаемые клиентом унифицированных меток Azure Information Protection в руководстве администратора этого клиента.
Для других решений по меткам проверьте их документацию на предмет поддерживаемых типов файлов.
Шаблоны защиты и метки конфиденциальности
Определяемые администратором шаблоны защиты, такие как те, которые вы определяете для Шифрование сообщений Microsoft Purview, не отображаются в приложениях Office при использовании встроенных меток. Это упрощенное решение отражает отсутствие необходимости выбора шаблона защиты, поскольку те же параметры включены в метки конфиденциальности, для которых включено шифрование.
Существующий шаблон можно конвертировать в метку конфиденциальности, если использовать командлет New-Label с параметром EncryptionTemplateId.
Параметры управления правами на доступ к данным (IRM) и метки конфиденциальности
Метки конфиденциальности, настраиваемые для применения шифрования, упрощают пользователям возможность указывать собственные параметры шифрования. Во многих приложениях Office эти индивидуальные параметры шифрования по-прежнему могут быть настроены пользователями вручную с помощью параметров управления правами на доступ к данным (IRM). Например, для приложений Windows:
- Для документа: Защитасведений о>файлах>Ограничение доступа к документу>
- для электронной почты: на вкладке "Параметры">шифрование
Когда пользователи изначально помечают документ или сообщение электронной почты, они могут переопределить параметры конфигурации меток с помощью собственных параметров шифрования. Например:
Пользователь применяет к документу метку Конфиденциально \ Все сотрудники, и эта метка настроена на применение параметров шифрования для всех пользователей в организации. Затем этот пользователь вручную настраивает параметры управления правами на доступ к данным, чтобы ограничить доступ для пользователей за пределами организации. Конечным результатом является документ с меткой Конфиденциально \ Все сотрудники и зашифрованный, но пользователи в вашей организации не могут открыть его должным образом.
Пользователь применяет метку Конфиденциально \ Все сотрудники к сообщению электронной почты, и это сообщение настроено для применения параметра шифрования Не пересылать. В приложении Outlook этот пользователь вручную выбирает для параметра IRM значение "Только шифрование". Конечным результатом является то, что письмо остается зашифрованным и получатели могут пересылать его, несмотря на наличие метки Конфиденциально \ Только получатели.
В качестве исключения для Outlook в Интернете параметры из меню Зашифровать недоступны для выбора, когда выбранная метка применяет шифрование.
Пользователь применяет к документу метку Общий, и эта метка не настроена для применения шифрования. Затем этот пользователь вручную настраивает параметры управления правами на доступ к данным, чтобы ограничить доступ к документу. Конечным результатом является документ, помеченный как Общий, но который также применяет шифрование, поэтому некоторые пользователи не могут открыть его должным образом.
Если документ или сообщение электронной почты уже помечены, пользователь может выполнить любое из этих действий, если содержимое еще не зашифровано или у него есть право на использование экспорта или полного доступа.
Для более согласованного взаимодействия с метками с помощью значимых отчетов предоставьте соответствующие метки и рекомендации для пользователей по применению только меток для защиты документов и сообщений электронной почты. Например:
В исключительных случаях, когда пользователям необходимо назначать собственные разрешения, предоставьте метки, позволяющие пользователям назначать собственные разрешения.
Вместо того, чтобы пользователи вручную удаляли шифрование после выбора метки, которая применяет шифрование, предоставьте альтернативу вложенной метки, когда пользователям нужна метка с той же классификацией, но без шифрования. Например:
- Конфиденциально \ Все сотрудники
- Конфиденциально \ Любой сотрудник (без шифрования)
Рассмотрите возможность отключения параметров IRM, чтобы запретить пользователям выбирать их:
- Outlook для Windows:
- Разделы
DWORD:00000001реестра DisableDNF и DisableEO fromHKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\DRM - Убедитесь, что параметр групповой политики Настроить параметр шифрования по умолчанию для кнопки "Зашифровать" не настроен
- Разделы
- Outlook для Mac:
- Параметры безопасности разделов DisableEncryptOnly и DisableDoNotForward описаны в статье Настройка параметров Outlook для Mac
- Outlook в Интернете:
- Параметры SimplifiedClientAccessDoNotForwardDisabled и SimplifiedClientAccessEncryptOnlyDisabled описаны для Set-IRMConfiguration
- Outlook для iOS и Android: эти приложения не поддерживают применение шифрования без меток, поэтому нет параметров для отключения.
- Outlook для Windows:
Примечание.
Если пользователи вручную удаляют шифрование из документа с меткой, который хранится в SharePoint или OneDrive, и вы включили метки конфиденциальности для файлов Office в SharePoint и OneDrive, шифрование метки будет автоматически восстановлено при следующем доступе к документу или его загрузке.
Сопоставление меток на основе шифрования для документов
Если документ зашифрован с разрешениями, определенными администратором, политика шифрования внедряется в документ. Это происходит независимо от маркировки. Например, если вложение Office наследует шифрование от сообщения электронной почты или пользователь применил шаблон защиты с помощью управления правами на доступ к данным (IRM) в приложении Office. Если метка конфиденциальности в клиенте соответствует той же политике шифрования, приложения Office автоматически присвоят документу соответствующую метку.
В этом сценарии соответствующая метка конфиденциальности может пометить документ без меток и заменить существующую метку, которая не применяет шифрование. Например, метка Общие заменяется на Конфиденциально/ Все сотрудники. Маркировка содержимого из соответствующей метки не применяется автоматически, если только документ не был ранее без метки и вы используете надстройку AIP.
Этот сценарий помогает переместить старые решения шифрования с шаблонов защиты на метки конфиденциальности, которые применяют шифрование.
Однако вы также увидите это поведение со сценарием маркировки для вложений электронной почты и собраний, когда они открываются получателем. Например:
Пользователь создает сообщение электронной почты и присоединяет незашифрованный документ Office, а затем применяет метку к сообщению электронной почты.
Метка применяет шифрование с разрешениями, заданными администратором, а не с параметрами Не пересылать или Encrypt-Only. Например, для конфигурации меток администратор выбирает Назначить разрешения сейчас и указывает, что все сотрудники имеют доступ на чтение.
При отправке сообщения электронной почты вложение автоматически наследует шифрование, но не метку.
Когда получатель в том же клиенте открывает зашифрованный документ, для документа автоматически отображается соответствующая метка для разрешений, определенных администратором, и сохраняется при сохранении документа.
В качестве события аудита, которое отображается в Обозреватель действий, этот пользователь применил метку, а не отправителя сообщения электронной почты.
Сопоставление меток на основе шифрования работает только в клиенте для разрешений, определенных администратором, и соответствующая метка конфиденциальности должна быть опубликована пользователю, открывшему документ. Соответствующая метка сохраняется, если документ сохранен.
Совместимость меток конфиденциальности
С помощью приложений с поддержкой RMS: если вы открываете помеченный и зашифрованный документ или сообщение электронной почты в приложении с поддержкой RMS, которое не поддерживает метки конфиденциальности, приложение по-прежнему применяет шифрование и управление правами.
С помощью клиента Azure Information Protection: вы можете просматривать и изменять метки конфиденциальности, которые применяются к документам и электронным письмам с помощью встроенного клиента меток Office и клиента Azure Information Protection и наоборот.
В других версиях Office: любой авторизованный пользователь может открывать помеченные документы и сообщения электронной почты в других версиях Office. Однако вы можете просматривать или изменять метку только в поддерживаемых версиях Office или с помощью клиента Azure Information Protection. Поддерживаемые версии приложений Office перечислены в предыдущем разделе.
Поддержка файлов SharePoint и OneDrive, защищенных с помощью меток конфиденциальности
Чтобы использовать встроенный клиент меток Office с Office в Интернете для документов в SharePoint или OneDrive, убедитесь, что метки конфиденциальности для файлов Office в SharePoint и OneDrive включены.
Поддержка внешних пользователей и содержимого с метками
При пометке документа или сообщения электронной почты метка сохраняется в качестве метаданных, которые включают клиента и глобального уникального идентификатора метки. Когда помеченный документ или электронное письмо открывается приложением Office, которое поддерживает метки конфиденциальности, эти метаданные считываются, и только если пользователь принадлежит к тому же клиенту, метка отображается в их приложении. Например, для встроенных меток для Word, PowerPoint и Excel имя метки отображается в строке состояния.
Эта реализация означает, что при совместном использовании документов с другой организацией, использующей разные названия меток, каждая организация может применить и увидеть собственную метку, примененную к документу.
То же самое относится к электронной почте (и помеченным событиям календаря), отправляемой Outlook. Однако почтовые клиенты, отличные от Outlook, могут не хранить метаданные меток в заголовках электронной почты. Например, пользователи, отвечающие или переадресовывая из другой организации, которая не использует Outlook, скорее всего, приведут к тому, что исходная метка электронной почты больше не отображается для исходной организации, так как метаданные метки не были сохранены. Если эта метка применяет шифрование, шифрование сохраняется для защиты содержимого.
Следующие элементы из примененной метки видны пользователям за пределами организации:
Маркировка содержимого. Когда метка применяет к содержимому верхний колонтитул, нижний колонтитул или водяной знак, они добавляются непосредственно к содержимому и остаются видимыми до тех пор, пока кто-нибудь не изменит или не удалит их.
Имя и описание базового шаблона защиты из метки, применившей шифрование. Эти сведения отображаются на панели сообщений в верхней части содержимого, чтобы предоставить сведения о том, кто имеет право просматривать содержимое, и их права на использование этого содержимого.
Совместное использование зашифрованных документов с внешними пользователями
Хотя вы можете ограничить доступ для пользователей в вашей организации, вы также можете расширить доступ к любому другому пользователю, у которого есть учетная запись в Azure Active Directory (Azure AD). По умолчанию эти внешние пользователи будут проходить проверку подлинности без дополнительной настройки. Однако для Azure AD параметров доступа между клиентами внешних удостоверений и условного доступа может потребоваться дополнительная конфигурация.
Если у внешних пользователей нет учетной записи в Azure AD, они могут пройти проверку подлинности с помощью гостевых учетных записей в вашем клиенте. Эти гостевые учетные записи также можно использовать для доступа к общим документам в SharePoint или OneDrive, если вы включили метки конфиденциальности для файлов Office в SharePoint и OneDrive.
Дополнительные сведения о дополнительных функциях Azure AD и использовании гостевых учетных записей для проверки подлинности см. в разделе Azure AD конфигурации для шифрования содержимого.
Все приложения Office и другие приложения с поддержкой RMS могут открывать зашифрованные документы после успешной проверки подлинности пользователя.
Когда приложения Office применяют маркировку содержимого и шифрование
Приложения Office по-разному применяют маркировку и шифрование содержимого с меткой конфиденциальности в зависимости от используемого приложения.
| Приложение | Маркировка содержимого | Шифрование |
|---|---|---|
| Word, Excel, PowerPoint на всех платформах | Сразу | Сразу |
| Outlook для ПК и Mac | После Exchange Online отправляет сообщение электронной почты или приглашение на собрание | Сразу |
| Outlook в Интернете, для iOS и Android | После Exchange Online отправляет сообщение электронной почты или приглашение на собрание | После Exchange Online отправляет сообщение электронной почты или приглашение на собрание |
Решения, которые применяют метки конфиденциальности к файлам за пределами приложений Office, применяют к файлу метаданные меток. В этом сценарии маркировка содержимого из конфигурации метки не вставляется в файл, но применяется шифрование.
Когда эти файлы открываются в классическом приложении Office, метки содержимого автоматически применяются клиентом унифицированных меток Azure Information Protection при первом сохранении файла. Маркировка содержимого не применяется автоматически при использовании встроенных меток для классических, мобильных и веб-приложений.
Сценарии, включающие применение метки конфиденциальности за пределами приложений Office, включают:
Сканер, Проводник и PowerShell из клиента унифицированных меток Azure Information Protection
Политики автоматического применения меток для SharePoint и OneDrive
Экспортированные помеченные и зашифрованные данные из Power BI
Microsoft Defender for Cloud Apps
В этих сценариях, используя свои приложения Office, пользователь со встроенной меткой может применить маркировку содержимого метки, временно удалив или заменив текущую метку, а затем повторно применив исходную метку.
Динамическая маркировка с переменными
Важно!
Если ваши приложения Office не поддерживают эту возможность, они применяют маркировку как исходный текст, указанный в конфигурации метки, вместо разрешения переменных.
Клиент унифицированных меток Azure Information Protection поддерживает динамическую маркировку. Встроенные метки в Office см. в таблицах статьи Минимальные версии меток конфиденциальности в приложениях Office.
При настройке метки конфиденциальности для маркировки содержимого можно использовать следующие переменные в текстовой строке для верхнего, нижнего колонтитула или водяного знака:
| Переменная | Описание | Пример при применении метки |
|---|---|---|
${Item.Label} |
Применена метка отображаемого имени метки | Общие |
${Item.Name} |
Имя файла или тема сообщения электронной почты помеченного содержимого | Sales.docx |
${Item.Location} |
Путь и имя файла для маркируемого документа или тема электронного письма для помечаемого письма | \\Sales\2020\Q3\Report.docx |
${User.Name} |
Отображаемое имя пользователя, применяющего метку | Ричард Симон |
${User.PrincipalName} |
Имя участника-пользователя (UPN) Azure AD пользователя, применяющего метку | rsimone@contoso.com |
${Event.DateTime} |
Дата и время применения метки к содержимому в местном часовом поясе пользователя, применяющего метку в приложениях Microsoft 365, или время в режиме UTC для Office Online и политик автоматического применения меток | 10.08.2020 13:30 |
Примечание.
Синтаксис этих переменных с учетом регистра.
Настройка различных визуальных меток для Word, Excel, PowerPoint и Outlook
В качестве дополнительной переменной можно настроить визуальную маркировку для каждого типа приложения Office с помощью оператора переменной "If.App" в текстовой строке и определить тип приложения с помощью значений Word, Excel, PowerPointили Outlook. Также можно сокращенно указать эти значения, что необходимо, если вы хотите указать несколько значений в одном операторе If.App.
Используйте следующий синтаксис:
${If.App.<application type>}<your visual markings text> ${If.End}
Как и в случае с другой динамической визуальной маркировкой, синтаксис учитывает регистр и включает сокращения для каждого типа приложения (WEPO).
Примеры:
Настройка текста заголовка только для документов Word:
${If.App.Word}This Word document is sensitive ${If.End}Только в заголовках документа Word метка применяет текст заголовка "Этот документ Word является конфиденциальным". К другим приложениям Office не применяется текст заголовка.
Настройка текста нижнего колонтитула для Word, Excel и Outlook и другого текста нижнего колонтитула для PowerPoint:
${If.App.WXO}This content is confidential. ${If.End}${If.App.PowerPoint}This presentation is confidential. ${If.End}В Word, Excel и Outlook метка применяет текст нижнего колонтитула "Это содержимое конфиденциально". В PowerPoint метка применяет текст нижнего колонтитула "Эта презентация является конфиденциальной".
Настройка определенного текста водяного знака для Word и PowerPoint, а затем текста водяного знака для Word, Excel и PowerPoint:
${If.App.WP}This content is ${If.End}ConfidentialВ Word и PowerPoint к метке применяется текст водяного знака "Это конфиденциальное содержимое". В Excel к метке применяется текст водяного знака "Конфиденциально". В Outlook к метке не применяется к тексту водяного знака, так как водяные знаки в виде визуальных меток не поддерживаются в Outlook.
Требовать, чтобы пользователи присваивали метки своим сообщениям и документам
Важно!
Клиент унифицированных меток Azure Information Protection поддерживает эту конфигурацию, которая также называется обязательным применением меток. Сведения о метках, встроенных в приложения Office, см. в таблицах статьи Минимальные версии меток конфиденциальности в приложениях Office.
Чтобы использовать обязательное применение меток для документов, но не для сообщений электронной почты, см. инструкции в следующем разделе, где объясняется, как настроить параметры Outlook.
Чтобы использовать обязательное применение меток для Power BI, см. статью Обязательная политика меток для Power BI.
Если выбран параметр политики Требовать, чтобы пользователи присваивали метки своим сообщениям и документам, пользователи, которым назначена политика, должны выбрать и применить метку конфиденциальности в следующих сценариях:
Для клиента унифицированных меток Azure Information Protection:
- Для документов (Word, Excel, PowerPoint): при сохранении документа без метки или закрытии документа пользователями.
- Для сообщений электронной почты (Outlook): в момент отправки пользователями сообщения без пометки.
Для меток, встроенных в приложения Office:
- Для документов (Word, Excel, PowerPoint): при открытом или сохраненном документе без метки.
- Для сообщений электронной почты (Outlook): в момент отправки пользователями сообщения электронной почты без пометки. В Outlook Mobile это значение можно изменить на при первом создании сообщения электронной почты.
Дополнительные сведения о встроенных метках:
Когда пользователям предлагается добавить метку конфиденциальности, так как они открывают документ без меток, они могут добавить метку или выбрать открытие документа в режиме только для чтения.
Когда обязательная маркировка действует, пользователи не могут удалять метки конфиденциальности из документов, но могут изменять существующую метку.
Когда обязательная маркировка действует, опция печати в формате PDF будет недоступна, если документ помечен или зашифрован. Подробнее см. в разделе поддержки PDF на этой странице.
Инструкции об использовании этого параметра см. в разделе о параметрах политики.
Примечание.
Если помимо обязательного применения меток используется параметр политики метки по умолчанию для документов и сообщений электронной почты:
Метка по умолчанию всегда имеет приоритет перед обязательной меткой. Однако если вы используете версию встроенной метки, которая еще не поддерживает метку по умолчанию для существующих документов, пользователям будет предложено применить метку конфиденциальности для каждого нового документа.
Определите минимальные версии Word, Excel и PowerPoint, которые поддерживают метку по умолчанию для существующих документов, используя таблицу возможностей и строку Применить метку по умолчанию к существующим документам.
В Outlook Mobile изменение, когда пользователям предлагается ввести метку
Теперь доступно в бета-канале для Android и еще не для iOS, вы можете использовать политику конфигурации приложений Microsoft Intune управляемых приложений, чтобы настроить параметр из пакета SDK для Intune app Software Development Kit (SDK), который изменяется при появлении пользователям запроса на выбор метки конфиденциальности для Outlook Mobile.
Вместо того чтобы запрашивать метку при отправке при настройке обязательной метки для сообщений электронной почты, эта конфигурация приводит к запросу метки, когда пользователь впервые создает сообщение.
Для этой конфигурации необходимо указать следующую пару "ключ-значение" в качестве общего параметра конфигурации в политике:
| Ключ | Значение |
|---|---|
| com.microsoft.outlook.Mail.LouderMandatoryLabelEnabled | true |
Параметры Outlook для меток по умолчанию и обязательных меток
Для встроенной маркировки определите минимальные версии Outlook, поддерживающие эти функции, с помощью таблицы возможностей Для Outlook и строки Различные параметры метки по умолчанию и обязательной маркировки. Эти параметры Outlook поддерживаются во всех версиях клиента унифицированных меток Azure Information Protection.
Если приложение Outlook поддерживает параметр метки по умолчанию, который отличается от параметра метки по умолчанию для документов:
- В конфигурации политики меток в портале соответствия требованиям Microsoft Purview на странице Применение метки по умолчанию к сообщениям электронной почты вы можете выбрать метку конфиденциальности, которая будет применяться ко всем письмам без меток, или отказаться от применения метки по умолчанию. Этот параметр не зависит от параметра По умолчанию присваивать эту метку документам на предыдущей странице конфигурации Параметры политики для документов.
Если приложение Outlook не поддерживает параметр метки по умолчанию, который отличается от параметра метки по умолчанию для документов, Outlook всегда будет использовать значение, указанное для параметра По умолчанию присваивать эту метку документам на странице Параметры политики для документов конфигурации политики меток.
Если приложение Outlook поддерживает отключение обязательного применения меток:
- В конфигурации политики меток в портале соответствия требованиям Microsoft Purview на странице Параметры политики выберите Требовать, чтобы пользователи присваивали метки своим сообщениям и документам. Затем выберите Далее>Далее и снимите флажок Требовать, чтобы пользователи присваивали метки своим сообщениям электронной почты. Если вы хотите присваивать обязательные метки письмам и документам, не снимайте этот флажок.
Когда приложение Outlook не поддерживает отключение обязательного применения меток: если вы выберете Требовать, чтобы пользователи присваивали метки своим сообщениям и документам в качестве параметра политики, Outlook всегда будет предлагать пользователям выбрать метку для сообщений электронной почты без меток.
Область меток только для файлов или сообщений электронной почты
Примечание.
В настоящее время эта возможность развертывается для встроенных меток и находится на различных этапах выпуска на разных платформах. Определите минимальные версии, поддерживающие эту функцию, с помощью таблиц возможностей и строки Метки области для файлов или сообщений электронной почты.
Пока эта возможность не будет поддерживаться на всех платформах, используемых пользователями, они будут иметь несогласованный интерфейс маркировки. Например, Word на одной платформе не отображает метку, которая отображается на другой платформе.
Эта конфигурация является расширением область Элементов при создании или изменении метки конфиденциальности в Портал соответствия требованиям Microsoft Purview. При определении область метки для элементов можно дополнительно уточнить область только для файлов или сообщений электронной почты, а также для собраний:
- Чтобы область метки только для Word, Excel и PowerPoint: убедитесь, что выбран параметр Файлы, а не для сообщения электронной почты.
- Чтобы область метки только в Outlook, убедитесь, что выбран параметр "Сообщения электронной почты", а не "Файлы".
Предупреждение
Хотя вы можете изменить существующую метку и удалить область "Файлы", мы не рекомендуем это делать, так как существующие конфигурации могут работать не так, как ожидалось. Например, администратор сайта SharePoint не поймет, почему метка конфиденциальности, выбранная в качестве метки по умолчанию для библиотеки документов, больше не применяет метку.
Если вы хотите использовать метку конфиденциальности только для сообщений электронной почты, создайте новую метку только с помощью область Emails вместо изменения существующей метки.
Убедитесь, что оба параметра выбраны, если вам не нужно область метки только Word, Excel и PowerPoint или только в Outlook.
Примечание.
Параметр Файлы может включать другие элементы, поддерживающие этот параметр области, например файлы Power BI. Ознакомьтесь с документацией по приложению и не забудьте протестировать все приложения и службы маркировки, используемые вашей организацией.
Имейте в виду, что эта конфигурация влияет как на клиентские приложения, так и на службы, на маркировку вручную и на автоматическую маркировку. Например:
Метки по умолчанию:
- Если область не включает электронную почту, настроенная метка по умолчанию для электронной почты не будет применена.
- Если область не включает файлы, настроенная метка по умолчанию для файлов не будет применена и не может быть выбрана в качестве метки конфиденциальности по умолчанию для библиотеки документов SharePoint.
Политики автоматического присвоения меток:
- Если область не содержит сообщения электронной почты, вы не сможете выбрать метку для политики автоматической маркировки, включающую расположение Exchange.
- Если область не включает файлы, вы не сможете выбрать метку для политики автоматической маркировки, которая включает расположения SharePoint и OneDrive.
Шифрование, позволяющее пользователям назначать разрешения:
- Если область не включает электронную почту, вы не сможете выбрать параметры шифрования Не пересылать или Только шифрование.
- Если область не содержит файлы, вы не сможете выбрать параметр шифрования В Word, PowerPoint и Excel предложите пользователям указать разрешения.
Наследование меток из вложений электронной почты:
- Для этой конфигурации метка должна быть ограничена как файлами, так и сообщениями электронной почты.
Кроме того, если метка была применена ранее, но затем удалена из одной из областей, пользователи больше не будут видеть эту метку, примененную для область в приложениях, поддерживающих эту функцию.
Из-за влияния области меток только для файлов или сообщений электронной почты некоторые существующие конфигурации меток не позволят вам удалить параметры область для файлов и сообщений электронной почты:
- Метка по умолчанию в политиках меток
- Метка по умолчанию для применения в собраниях каналов
- Метка, выбранная для политик автоматической маркировки
Прежде чем область метку только в файлы или сообщения электронной почты, сначала необходимо удалить ее, если она настроена как одна из этих меток по умолчанию, и удалить ее из любых политик автоматической маркировки.
Ограничения:
В настоящее время, если вы используете какие-либо параметры политики меток с меткой конфиденциальности, которая ограничена только файлами или областью "Только сообщения электронной почты", та же политика также должна включать по крайней мере одну метку с обоими параметрами область.
Если метка настроена в качестве метки по умолчанию в одной или нескольких политиках меток, а Outlook не настроен с собственной меткой по умолчанию в той же политике, вы не сможете удалить область для Email. В качестве обходного решения сначала удалите эту метку как метку по умолчанию. После этого вы сможете удалить область электронной почты. Наконец, повторно выберите измененную метку в качестве метки по умолчанию для документов.
Настройка метки для применения защиты S/MIME в Outlook
Примечание.
Определите минимальные версии Outlook, поддерживающие эту функцию, с помощью таблицы возможностей Outlook и строки Применить защиту S/MIME.
Если вы настраиваете метку для применения защиты S/MIME, но ваша версия Outlook для Windows еще не поддерживает ее, метка по-прежнему отображается и может быть применена, но параметры S/MIME игнорируются. Вы не сможете выбрать эту метку для политик автоматической маркировки Exchange или настроить ее для защиты элементов календаря, собраний Teams и чата.
Эта конфигурация недоступна в Портал соответствия требованиям Microsoft Purview. После подключения к PowerShell для соответствия требованиям безопасности &необходимо использовать дополнительные параметры PowerShell с командой командлетов Set-Label или New-Label.
Используйте эти параметры, только если у вас есть рабочее развертывание S/MIME и вы хотите, чтобы метка автоматически применяла этот метод защиты для электронной почты, а не защиту по умолчанию, которая использует шифрование Rights Management из Azure Information Protection. Полученная защита будет такой же, как если бы пользователь вручную выбрал параметры S/MIME в Outlook.
| Конфигурация | Ключ/значение расширенной настройки |
|---|---|
| Цифровая подпись S/MIME | SMimeSign="True" |
| Шифрование S/MIME | SMimeEncrypt="True" |
Метку, которую вы настраиваете для этих параметров, не обязательно настраивать для шифрования на портале соответствия. Но если это так, защита S/MIME заменяет шифрование управления правами только в Outlook. Для других приложений метка применяет параметры шифрования, указанные на портале соответствия Microsoft Purview.
Примеры команд PowerShell, где GUID метки конфиденциальности — 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeSign="True"}
Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeEncrypt="True"}
Дополнительные сведения об указании дополнительных параметров PowerShell см. в разделе "Советы PowerShell по указанию дополнительных параметров".
Настройка наследования меток из вложений электронной почты
Примечание.
Определите минимальные версии Outlook, поддерживающие эту функцию, с помощью таблицы возможностей Для Outlook и наследования строки Метка из вложений электронной почты.
Включите наследование электронной почты, если пользователи присоединяют помеченные документы к сообщению электронной почты, которое не помечено вручную. В этой конфигурации метка конфиденциальности динамически выбирается для сообщения электронной почты на основе меток конфиденциальности, которые применяются к вложениям и публикуются для пользователя. Метка с наивысшим приоритетом выбирается динамически, если она поддерживается Outlook.
Будет ли это наследование метки переопределять существующую метку в сообщении электронной почты:
Если сообщение электронной почты было помечено вручную, эта метка не будет заменена наследование меток из вложений электронной почты.
Наследование меток из вложений электронной почты заменит метку конфиденциальности с более низким приоритетом, которая автоматически применяется или применяется в качестве метки по умолчанию, но не переопределяет метку с более высоким приоритетом.
Этот параметр настраивается в политике меток конфиденциальности на странице Параметры по умолчанию для сообщений электронной почты . В разделе Наследовать метку от вложений установите флажок Email наследует метку с наивысшим приоритетом от вложений. Вложение должно быть физическим файлом и не может быть ссылкой на файл (например, ссылка на файл в Microsoft SharePoint или OneDrive).
Установив этот флажок, можно дополнительно выбрать следующий параметр: Рекомендовать пользователям применять метку вложений, а не автоматически применять ее. Без этого выбора метка применяется автоматически, но пользователи по-прежнему могут удалить метку или выбрать другую метку перед отправкой сообщения электронной почты.
Примечание.
Если вы настроили расширенный параметр PowerShell AttachmentAction для клиента унифицированных меток Azure Information Protection (AIP) как "Автоматический" или "Рекомендуемый", эти параметры автоматически отображаются на портале соответствия требованиям. Однако дополнительный параметр AttachmentActionTip для настраиваемого сообщения рекомендации не содержит соответствующей записи на портале соответствия требованиям и не поддерживается встроенными метками.
По умолчанию, если автоматически выбранная метка применяет шифрование, то к электронной почте применяется то же шифрование. Например, если метка с наивысшим приоритетом применяет шифрование с полным доступом к группе Маркетинг, сообщение электронной почты будет защищено полным доступом к группе Маркетинг. Если метка с наивысшим приоритетом применяет параметр шифрования Не пересылать, сообщение электронной почты также помечается и шифруется с помощью параметра Не пересылать.
Однако учитывайте результат, если почтовый клиент не поддерживает определенное действие защиты, примененное к вложению:
Для встроенных меток:
Шифрование с двойным ключом. Поведение зависит от того, поддерживает ли Outlook этот метод шифрования. Используйте таблицы возможностей и строку Шифрование двойного ключа (DKE), чтобы подтвердить поддержку вашей версии.
Если Outlook поддерживает DKE: если метка с наивысшим приоритетом применяет параметр шифрования для шифрования двойного ключа и назначение разрешений, Outlook для Windows применяет эту метку и защиту к сообщению электронной почты. Метка и защита не применяются, если метка настроена для параметра Разрешить пользователям назначать разрешения при применении метки.
Если Outlook не поддерживает DKE: если метка с наивысшим приоритетом применяет шифрование с двойным ключом, метка или шифрование не выбраны для сообщения электронной почты в Outlook для Windows.
Пользовательские разрешения для Word, PowerPoint и Excel. Если метка с наивысшим приоритетом применяет только определенные пользователем разрешения для Word, PowerPoint и Excel (параметр Разрешить пользователям назначать разрешения при применении метки и In Word, PowerPoint и Excel, предложите пользователям указать разрешения. ), для сообщения электронной почты не выбрана метка или защита, так как Outlook не поддерживает эту конфигурацию меток.
Для клиента унифицированных меток azure Information Protection (AIP):
S/MIME. Если метка с наивысшим приоритетом применяет подписывание и шифрование S/MIME, а метка также настроена для шифрования из службы Azure Rights Management, эта метка применяется к сообщению электронной почты с тем же подписыванием и шифрованием S/MIME, а также настроенными параметрами шифрования метки для службы Azure Rights Management.
Шифрование двойного ключа. Если метка с наивысшим приоритетом применяет параметр шифрования для шифрования с двойным ключом, для сообщения электронной почты не выбрана метка или шифрование, если метка настроена для параметра Разрешить пользователям назначать разрешения при применении метки. Метка и защита применяются, если метка настроена для назначения разрешений.
Пользовательские разрешения для Word, PowerPoint и Excel. Если метка с наивысшим приоритетом применяет только определенные пользователем разрешения для Word, PowerPoint и Excel (параметр Разрешить пользователям назначать разрешения при применении метки и In Word, PowerPoint и Excel, предложите пользователям указать разрешения. ), для сообщения электронной почты не выбрана метка или защита, так как Outlook не поддерживает эту конфигурацию меток.
Только шифрование. Если метка с наивысшим приоритетом применяет параметр шифрования только для encrypt-Only, метка или защита не выбраны для сообщения электронной почты, так как клиент унифицированных меток AIP не поддерживает этот параметр.
Поддержка PDF
Чтобы определить поддерживаемые версии, используйте таблицы в разделе Минимальные версии меток конфиденциальности в приложениях Office . Клиент унифицированных меток Защиты информации Azure не поддерживает PDF в приложениях Office.
Office для Windows: Word, Excel и PowerPoint поддерживают следующие методы преобразования документа Office в ДОКУМЕНТ PDF:
- Сохранение файла > в формате > PDF
- Экспорт > файла > PDF
- Поделиться > отправкой отправить копию PDF-файла >
Это действие регистрируется с событием аудита переименованных файлов из группы аудита действий с файлами и страницами. В результатах поиска аудита на портале соответствия требованиям вы увидите, что в сведениях об этом событии аудита отображается SensitivityLabeledFileRenamed в поле Действие.
Office для Интернета. Файл необходимо скачать из браузера. Для преобразования онлайн-документа Office в PDF-документ поддерживаются следующие методы:
- Word и PowerPoint в Интернете:
- Сохранить как > скачать как pdf-файл >
- Excel в Интернете:
- Экспорт > скачать как PDF-файл >
- Печать > скачать > как PDF-файл >
При создании PDF-файла он наследует метку с любой маркировкой содержимого. Для Windows, если метка применяет шифрование, это шифрование также наследуется. Зашифрованные PDF-файлы можно открыть с помощью Microsoft Edge на устройствах Windows или Mac. Дополнительные сведения и альтернативные средства чтения см. в статье Какие средства чтения PDF-файлов поддерживаются для защищенных PDF-файлов?
В настоящее время Outlook не поддерживает PDF-вложения, наследующие шифрование от сообщения с меткой. Однако Outlook поддерживает предупреждение или блокирование для пользователей печати в PDF, как описано далее.
Не поддерживаемые сценарии PDF:
Сохранить в формате PDF
Если пользователи выбирают этот вариант, они получают предупреждение о том, что документ или сообщение электронной почты потеряют защиту метки и шифрования (если применяется), и должны подтвердить продолжение. Если для политики меток конфиденциальности требуется обоснование для удаления метки или снижения ее классификации, они видят этот запрос.
Поскольку этот параметр удаляет метку конфиденциальности, он будет недоступен пользователям, если вы используете обязательные метки. Эта конфигурация относится к параметру политики меток конфиденциальности, который требует, чтобы пользователи применяли метку к своим электронным письмам и документам.
Формат PDF/A и шифрование
Этот формат PDF, предназначенный для долгосрочного архивирования, не поддерживается, если на этикетке применяется шифрование, и не позволит пользователям преобразовывать документы Office в PDF. Сведения о конфигурации см. в документации по групповой политике для обеспечения соответствия PDF стандарту ISO 19005-1 (PDF/A).
Защита паролем и шифрование
Опция Файл>Информация>Защитить документ>Зашифровать с паролем не поддерживается, если метка документа применяет шифрование. В этом сценарии опция шифрования с паролем становится недоступной для пользователей.
Подробнее об этой возможности см. в объявлении Применение меток конфиденциальности к PDF-файлам, созданным с помощью приложений Office.
Документация для конечных пользователей см. в статье Создание защищенных PDF-файлов из файлов Office.
Отключение поддержки PDF
Если вам нужно отключить поддержку PDF-файлов в приложениях Office для Word, Excel и PowerPoint, это можно сделать с помощью параметра Office групповая политика в разделе Конфигурация пользователя/Административные шаблоны/Microsoft Office 2016/Microsoft Сохранить как PDF и Сохранить как XPS надстройки:
- Использование функции конфиденциальности в Office для применения меток конфиденциальности к PDF-файлам
Настройте этот параметр как Отключено.
Разверните этот параметр с помощью групповая политика или с помощью службы облачной политики для Microsoft 365.
Панель конфиденциальности
Используйте таблицы в разделе Минимальные версии для меток конфиденциальности в приложениях Office , чтобы определить, какие версии Office поддерживают панель конфиденциальности.
Если Word, Excel и PowerPoint поддерживают эту функцию, метки конфиденциальности отображаются на панели конфиденциальности рядом с именем файла на панели верхнего окна. Например:
Если Outlook поддерживает эту функцию, панель конфиденциальности отображается в строке Тема сообщения электронной почты. Например:
Сведения о метках и возможность выбора или изменения метки также интегрированы в пользовательские рабочие процессы, включая сохранение и переименование, экспорт, общий доступ, печать и преобразование в PDF. Дополнительные сведения и примеры снимков экрана см. в сообщении блога о создании панели конфиденциальности в Office для Windows.
В рамках этой высокой видимости эти метки также поддерживают цвета. Подробнее см. в следующем разделе.
Цвета меток
Важно!
Если приложения для маркировки не поддерживают эту возможность, они не отображают настроенные цвета меток.
Клиент унифицированных меток Azure Information Protection поддерживает цвета меток. Сведения о метках, встроенных в приложения Office, см. в таблицах статьи Минимальные версии меток конфиденциальности в приложениях Office.
Только что созданные метки по умолчанию не имеют цвета. Если метки были перенесены из Azure Information Protection или вы настроили цвета меток для клиента унифицированных меток Azure Information Protection, эти цвета меток теперь отображаются в приложениях, которые их поддерживают.
Используйте Портал соответствия требованиям Microsoft Purview, чтобы выбрать один из 10 стандартных цветов для меток конфиденциальности. Конфигурация цвета метки находится на первой странице конфигурации метки после имени и описания метки.
Невозможно выбрать цвета для вложенных меток, так как они автоматически наследуют цвет метки от родительской метки.
Если метка настроена для цвета, отличного от одного из 10 цветов по умолчанию, вы увидите выбранный флажок Использовать ранее назначенный пользовательский цвет проверка, а стандартные параметры цвета недоступны. Вы можете изменить пользовательский цвет на один из стандартных цветов, сначала снимите флажок, а затем выберите один из стандартных цветов.
Вы не можете использовать портал соответствия требованиям для настройки другого настраиваемого цвета. Вместо этого используйте PowerShell, как описано в следующем разделе.
Настройка пользовательских цветов с помощью PowerShell
Чтобы задать цвет для метки конфиденциальности, можно использовать & дополнительный цвет параметра PowerShell для соответствия требованиям безопасности. Эта конфигурация поддерживает цвета, которые нельзя настроить в Портал соответствия требованиям Microsoft Purview.
Чтобы указать выбранный цвет, используйте шестнадцатеричный код триплета для компонентов красного, зеленого и синего (RGB) цвета. Например, #40e0d0 — шестнадцатеричное RGB-значение для бирюзового цвета.
Дополнительные сведения об этих кодах см. на <цветной> странице веб-документации MSDN, и вы также можете найти RapidTables полезным. Эти коды можно определить во многих приложениях, которые позволяют редактировать изображения. Например, Microsoft Paint позволяет выбрать собственный цвет из палитры и автоматически отображает значения RGB, которые вы можете скопировать.
Пример команды PowerShell, где GUID метки конфиденциальности — 8faca7b8-8d20-48a3-8ea2-0f96310a848e
Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{color="#40e0d0"}
Дополнительные сведения о настройке расширенных параметров PowerShell для меток конфиденциальности см. в разделе Советы PowerShell по указанию дополнительных параметров.
Указание вложенной метки по умолчанию для родительской метки
Примечание.
Для встроенной маркировки определите минимальные версии, поддерживающие этот параметр, с помощью таблиц возможностей и вложенной метки строки Default для родительской метки. Все версии клиента унифицированных меток Azure Information Protection поддерживают этот параметр.
Эта конфигурация недоступна в Портал соответствия требованиям Microsoft Purview. После подключения к PowerShell для соответствия требованиям безопасности &необходимо использовать дополнительный параметр DefaultSubLabelId с командлетом Set-Label или New-Label.
При добавлении вложенной метки в метку пользователи больше не могут применять родительскую метку к элементу. По умолчанию пользователи выбирают родительскую метку, чтобы просмотреть вложенные метки, которые они могут применить, а затем выбрать одну из этих вложенных меток. При указании вложенной метки по умолчанию для родительской метки, когда пользователи выбирают родительскую метку, вложенная метка автоматически выбирается и применяется к ним.
Например, для родительской метки Конфиденциально настроена вложенная метка по умолчанию All Employees. Для следующей родительской метки строго конфиденциальной не настроена вложенная метка по умолчанию. Вы можете определить разницу с окончанием панели меток для Конфиденциально , которая не видна для строго конфиденциальной:
Когда пользователи выбирают слева от этой вертикальной полосы, они автоматически выбирают Конфиденциальные\все сотрудники с одним выбором. Если требуется другая вложенная метка, они должны выбрать справа от вертикальной полосы, чтобы выбрать расширение метки, в котором отображаются все вложенные метки для выделения. Для сравнения, если выбран параметр Строго конфиденциальный, вложенная метка для этой метки всегда будет отображаться для выбора.
После настройки этого параметра метки не забудьте соответствующим образом обновить документацию пользователя.
Пример команды PowerShell, где guid родительской метки конфиденциальности — 8faca7b8-8d20-48a3-8ea2-0f96310a848e , а ее вложенная метка, которую вы хотите указать по умолчанию: 1ace2cc3-14bc-4142-9125-bf946a70542c:
Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{DefaultSubLabelId="1ace2cc3-14bc-4142-9125-bf946a70542c"}
Дополнительные сведения об указании дополнительных параметров PowerShell см. в разделе "Советы PowerShell по указанию дополнительных параметров".
Аудит действий с метками
Сведения о событиях аудита, которые создаются в результате действий с метками конфиденциальности, см. в разделе Действия с метками конфиденциальности статьи Поиск по журналу аудита в портале соответствия требованиям Microsoft Purview.
Эта информация об аудите визуально представлена в обозревателе содержимого и обозревателе действий, чтобы помочь вам понять, как используются ваши метки конфиденциальности и где находится помеченное содержимое.
Вы также можете создавать пользовательские отчеты с помощью выбранного программного обеспечения для управления информационной безопасностью и событиями безопасности (SIEM) при экспорте и настройке записей журналов аудита. Более крупные решения для создания отчетов см. в справочнике по API действий управления Office 365.
Совет
Справку по созданию пользовательских отчетов см. в следующих записях блогов.