Сведения о метках конфиденциальности

Руководство по лицензированию Microsoft 365 для обеспечения соответствия требованиям безопасности&.

Примечание.

Если вы ищете информацию о меток конфиденциальности, которые видны в приложениях Office, обратитесь к статье Применение меток конфиденциальности к файлам и электронной почте в Office.

Сведения на этой странице предназначены для ИТ-администраторов, которые могут создавать и настраивать эти метки.

Чтобы выполнить свою работу, люди в вашей организации сотрудничают с другими пользователями как внутри, так и за ее пределами. Это означает, что содержимое больше не находится за брандмауэром— оно может перемещаться везде, на устройствах, в приложениях и службах. И когда он перемещается, вы хотите, чтобы он делал это безопасным, защищенным способом, который соответствует политикам бизнеса и соответствия требованиям вашей организации.

Метки конфиденциальности из средств защиты информации Microsoft Purview позволяют классифицировать и защищать данные вашей организации, при этом следя за тем, чтобы не пострадали производительность пользователей и их способность к взаимодействию.

Пример меток конфиденциальности, доступных в Excel на вкладке Главная ленты. В этом примере примененная метка отображается в строке состояния.

Метки конфиденциальности на ленте и в строке состояния Excel.

Чтобы применить метки конфиденциальности, пользователи должны войти с помощью своей рабочей или учебной учетной записи Microsoft 365.

Примечание.

В клиентах государственных организаций США метки конфиденциальности поддерживаются на всех платформах.

Если вы используете клиент и сканер унифицированных меток Azure Information Protection для этих сред, см. статью Описание службы Azure Information Protection ценовой категории "Премиум" для государственных организаций.

Вы можете использовать метки конфиденциальности для указанных ниже целей.

  • Предоставление параметров защиты, включающих шифрование и применение меток к содержимому. Например, при применении метки "Конфиденциально" к документу или сообщению электронной почты производится шифрование содержимого и добавляется водяной знак "Конфиденциально". Применение метки включает как водяной знак, так и верхний и нижний колонтитулы, а шифрование может ограничивать действия, которые могут производить с содержимым авторизованные пользователи.

  • Защита контента в приложениях Office на различных платформах и устройствах. Поддерживается в Word, Excel, PowerPoint и Outlook из числа классических приложений Office и приложений Office для Интернета. Поддерживается в Windows, macOS, iOS и Android.

  • Защита содержимого в сторонних приложениях и службах с помощью Microsoft Defender for Cloud Apps. С помощью Defender for Cloud Apps вы можете определять, классифицировать, помечать и защищать контент в сторонних приложениях и службах, таких как SalesForce, Box или DropBox, даже в том случае, если стороннее приложение или служба не считывает или не поддерживает метки конфиденциальности.

  • Защита контейнеров, включающих Teams, Группы Microsoft 365 и сайты SharePoint. Например, можно настроить параметры конфиденциальности, доступ внешних пользователей и внешний общий доступ, а также доступ с неуправляемых устройств.

  • Расширение сферы действия меток конфиденциальности на Power BI: при включении этой возможности можно применять и просматривать метки в Power BI, а также защищать данные при их сохранении вне этой службы.

  • Расширение применения меток конфиденциальности на ресурсы в Microsoft Purview Data Map: при включении этой возможности (в настоящее время в предварительной версии) вы можете применять метки конфиденциальности к файлам и ресурсам со схематизированными данными в Microsoft Purview Data Map. К схематизированным ресурсам данных относятся SQL, Azure SQL, Azure Synapse, Azure Cosmos DB и AWS RDS.

  • Расширение применения меток конфиденциальности для сторонних приложений и служб. С помощью пакета SDK Microsoft Information Protection сторонние приложения могут считывать метки конфиденциальности и применять параметры защиты.

  • Классификация контента без использования параметров защиты. Можно также применить метку просто по результатам классификации содержимого. Это предоставляет пользователям визуальное отображение классификации названий меток в организации, а также возможность применения меток для создания отчетов об использовании и просмотра данных о действиях с конфиденциальным содержимым. На основе этих сведений вы всегда сможете впоследствии применить необходимые параметры защиты.

Во всех этих случаях метки конфиденциальности Microsoft Purview помогут вам обращаться с соответствующим типом содержимого так, как он того требует. С помощью меток конфиденциальности вы можете классифицировать данные в масштабах организации и на основе этой классификации применять параметры защиты. Затем эта защита сохраняется вместе с содержимым.

Дополнительные сведения об этих и других сценариях, поддерживаемых метками конфиденциальности, см. в статье Распространенные сценарии для меток конфиденциальности. Постоянно разрабатываются новые возможности, поддерживаемые метками конфиденциальности, поэтому целесообразно просматривать Дорожную карту Microsoft 365.

Совет

Если вы не являетесь клиентом E5, вы можете бесплатно попробовать все премиум-функции в Microsoft Purview. Используйте 90-дневную пробную версию решений Purview, чтобы узнать, как надежные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Портал соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Что такое метка конфиденциальности

Метка конфиденциальности, назначенная содержимому, похожа на поставленную печать со следующими свойствами.

  • Поддерживает настройку. Для конфиденциального содержимого различных уровней в организации можно создавать категории, предназначенные для удовлетворения конкретных потребностей организации и ее бизнеса. Например, "Личное", "Общедоступное", "Общее", "Конфиденциальное" и "Строго конфиденциальное".

  • Обычный текст. Так как метка сохранена в метаданных файлов и сообщений электронной почты в виде обычного текста, сторонние приложения и службы могут считывать ее и при необходимости применять собственные защитные действия.

  • Постоянство. Так как метка сохранена в метаданных файлов и сообщений электронной почты, она остается с содержимым, куда бы оно ни записывалось и где бы ни хранилось. Уникальная идентичность метки становится основой применения и обеспечения выполнения настроенных политик.

Для пользователей в вашей организации метка конфиденциальности в используемых приложениях выглядит как тег и может быть легко интегрирована в их рабочий процесс.

К каждому элементу, поддерживающему метки конфиденциальности, можно применить одну такую метку. К документам и сообщениям электронной почты можно применить как метку конфиденциальности, так и метку хранения.

Метка конфиденциальности, примененная к сообщению электронной почты.

Возможности меток конфиденциальности

После присвоения метки конфиденциальности сообщению электронной почты или документу, к контенту применяются любые параметры защиты, настроенные для этой метки. Метки конфиденциальности можно настроить для выполнения следующих действий.

  • Шифрование сообщений электронной почты для предотвращения доступа к данным со стороны неавторизованных пользователей. Дополнительно можно выбрать, какие пользователи или группы обладают разрешением на выполнение определенных действий и на какой срок. Например, можно позволить всем пользователям в вашей организации изменять документ, а некоторой группе в другой организации — только просматривать его. Кроме того, вместо разрешений, определяемых администратором, вы можете позволить пользователям назначать разрешения контенту, когда они применяют метку.

    Дополнительные сведения о параметрах шифрования при создании или изменении метки конфиденциальности см. в статье Ограничение доступа к содержимому с помощью шифрования в метках конфиденциальности.

  • Помечать контент при использовании приложений Office, добавляя подложки, верхние или нижние колонтитулы в электронные сообщения или документы с примененными метками. Подложки можно использовать для документов, но не для сообщений электронной почты. Пример заголовка и подложки:

    Подложка и верхний колонтитул, примененные к документу.

    Динамические метки также поддерживаются с помощью переменных. Например, вставьте имя метки или документа в верхний колонтитул, нижний колонтитул или на водяной знак. Дополнительные сведения см. в статье Динамическая маркировка с помощью переменных.

    Необходимо проверять, когда применяются маркировки содержимого? См. Когда приложения Office применяют маркировку содержимого и шифрование.

    Если у вас есть шаблоны или рабочие процессы, основанные на определенных документах, протестируйте эти документы с помощью выбранных пометок содержимого, прежде чем сделать метку доступной для пользователей. Некоторые ограничения длины строки, о которые следует помнить:

    Длина водяных знаков не должна превышать 255 символов. Колонтитулы ограничиваются 1024 знаками за исключением приложения Excel. В Excel общее ограничение для колонтитулов составляет 255 знаков, но оно включает невидимые знаки, например коды форматирования. При достижении этого ограничения введенная строка не отображается в Excel.

  • Защищайте содержимое в контейнерах, таких как сайты и группы, включив использование меток конфиденциальности с Microsoft Teams, группами Microsoft 365 и сайтами SharePoint.

    Если не включить эту функцию, настройки параметров защиты для групп и сайтов будут недоступны. Такая конфигурация меток не приводит к автоматической маркировке документов или сообщений электронной почты, а защищает содержимое, управляя доступом к контейнеру, в котором оно хранится. Эти параметры включают параметры конфиденциальности, доступ внешних пользователей и внешний общий доступ, а также доступ с неуправляемых устройств.

  • Применять метку автоматически в файлах и электронных сообщениях или рекомендовать метку. Выберите способ определения конфиденциальной информации вы хотите пометить, и метка может быть применена автоматически, или вы можете предложить пользователям применить метку, которую вы рекомендуете. Если вы порекомендуете метку, в подсказке отобразится любой текст, который вы выберете. Например,

    Запрос на назначение обязательной метки.

    Дополнительные сведения о параметрах автоматического применения меток к файлам и электронным сообщениям при создании или изменении метки конфиденциальности см. в статье Автоматическое применение метки конфиденциальности к содержимому для приложений Office и в статье Применение меток в Microsoft Purview Data Map.

  • Установите тип ссылки для общего доступа по умолчанию для сайтов SharePoint и отдельных документов. Чтобы предотвратить предоставление излишнего общего доступа со стороны пользователей, установите стандартную область и разрешения для случаев, когда пользователи делятся документами из SharePoint и OneDrive.

Области меток

При создании метки конфиденциальности вам будет предложено настроить область метки, чтобы определить две вещи:

  • Параметры меток, которые можно будет настроить для этой метки
  • Место, где метка будет отображаться

Такая конфигурация области позволяет создавать метки конфиденциальности, которые предназначены только для документов и сообщений электронной почты и не могут быть выбраны для контейнеров. И точно также — метки конфиденциальности, которые предназначены только для контейнеров и которые не могут быть выбраны для документов и сообщений электронной почты. Вы также можете выбрать область для схематизированных ресурсов данных для Microsoft Purview Data Map:

Параметры области для меток конфиденциальности.

По умолчанию всегда выбирается область "Элементы" (ранее именовавшиеся "Файлы & электронной почты") . Другие области выбираются по умолчанию, если включены соответствующие компоненты для вашего клиента:

Если вы измените параметры по умолчанию, чтобы были выбраны не все области, вы увидите первую страницу параметров конфигурации для областей, которые вы не выбрали, но их нельзя будет настроить. Например, если область для элементов не выбрана, параметры на следующей странице будут недоступны:

Недоступные параметры меток конфиденциальности.

Для страниц с недоступными параметрами, нажмите Далее, чтобы продолжать. Или нажмите Назад, чтобы изменить область метки.

Приоритет метки (важен порядок)

При создании меток конфиденциальности на портале соответствия требованиям Microsoft Purview они отображаются в списке на вкладке Конфиденциальность на странице Метки. В этом списке важен порядок меток, поскольку он отражает их приоритет. Необходимо, чтобы самые строгие метки конфиденциальности (например, "Строго конфиденциально") отображались в нижней части списка, а наименее ограничивающие метки конфиденциальности (например, "Общедоступно") — в верхней.

К элементу, такому как документ, сообщение электронной почты или контейнер, можно применить только одну метку конфиденциальности. Если вы настраиваете параметр, требующий от пользователей предоставить обоснование для изменения метки на более низкий уровень классификации, порядок этого списка определяет более низкие классификации. Однако этот параметр не применяется к подчиненным меткам, имеющим один и тот же приоритет со своей родительской меткой.

При этом порядок подчиненных меток используется при автоматическом присвоении меток. При настройке политик автоматического применения меток несколько совпадений могут привести к нескольким метким. Затем выбирается последняя конфиденциальная метка, а затем, если применимо, последняя вложенная метка. Когда вы настраиваете сами вложенные метки (а не политики автоматического применения меток) для автоматического или рекомендуемого применения меток, поведение немного отличается, если вложенные метки используют одну и ту же родительскую метку. Например, вложенная метка, настроенная для автоматической маркировки, предпочтительнее, чем вложенная метка, настроенная для рекомендуемой маркировки. Дополнительные сведения см. в разделе Оценка нескольких условий при их применении к нескольким подписям.

Возможность создания подчиненной метки.

Подчиненные метки (метки группирования)

С помощью подчиненных меток вы можете группировать одну или несколько меток под родительской меткой, которая видна пользователю в приложении Office. Например, для метки "Конфиденциально" в вашей организации может использоваться несколько разных меток для определенных типов этой классификации. В этом примере родительская метка "Конфиденциально" — это простая текстовая метка без параметров защиты. Она включает подчиненные метки, поэтому ее нельзя применять к содержимому. Вместо этого пользователям необходимо выбрать метку "Конфиденциально", чтобы просмотреть подчиненные метки, после чего они смогут выбрать подчиненную метку для применения к содержимому.

Подчиненные метки — это простой способ представления меток пользователю в логических группах. Вложенные метки не наследуют никакие параметры от родительской метки, за исключением цвета метки. При публикации вложенной метки для пользователя этот пользователь может применить эту вложенную метку к содержимому и контейнерам, но не может применять только родительскую метку.

Не выбирайте родительскую метку в качестве метки по умолчанию и не настраивайте ее для автоматического применения (или в качестве рекомендуемой). В этом случае родительскую метку нельзя применить.

Пример отображения подчиненных меток для пользователей:

Сгруппированные подчиненные метки на ленте.

Изменение и удаление метки конфиденциальности

Если вы удаляете метку конфиденциальности в Центре администрирования, метка не удаляется автоматически из контента, и к нему по-прежнему применяются параметры защиты, присвоенные меткой.

Если вы изменяете метку конфиденциальности, к контенту применяется та версия метки, которая была ему присвоена.

Возможности политик меток

После создания меток конфиденциальности вам нужно опубликовать их, чтобы сделать их доступными для пользователей и служб в организации. Метки конфиденциальности можно применять к документам Office и сообщениям электронной почты, а также другим элементам, поддерживающим метки конфиденциальности.

В отличие от меток хранения, которые публикуются для расположений, таких как все почтовые ящики Exchange, метки конфиденциальности публикуются для пользователей или групп. Приложения, поддерживающие метки конфиденциальности, смогут отображать их для этих пользователей и групп в виде примененных меток или меток, которые можно применить.

При настройке метки конфиденциальности есть следующие возможности.

  • Выбирать, какие пользователи и группы видят метки. Метки можно публиковать для определенного пользователя или группы безопасности с поддержкой почты, группы рассылки или группы Microsoft 365 (которые могут использовать динамическое членство) в Azure AD.

  • Укажите метку по умолчанию для документов и сообщений электронной почты без меток, новых контейнеров (если вы включили метки конфиденциальности для Microsoft Teams, групп Microsoft 365 и сайтов SharePoint), а также метку по умолчанию для содержимого Power BI. Вы можете указать одну метку для всех четырех типов элементов или разные метки. Пользователи могут изменить примененную по умолчанию метку конфиденциальности, чтобы лучше соответствовать конфиденциальности своего контента или контейнера.

    Примечание.

    Метки по умолчанию для существующих документов поддерживаются для встроенных меток для приложений Office. Дополнительные сведения о развертывании для каждого приложения и минимальных версиях см. в таблице возможностей Word, Excel и PowerPoint.

    Рекомендуется применять стандартную метку, чтобы установить базовый уровень параметров защиты, которые нужно применять ко всему содержимому. Но без обучения пользователей и других элементов управления этот параметр также может приводить к неправильному применению метки. Обычно в качестве стандартной метки для документов не рекомендуется выбирать метку, применяющую шифрование. Например, многим организациям требуется отправлять документы и делиться ими с внешними пользователям, у которых могут отсутствовать приложения, поддерживающие шифрование, или учетная запись с возможностью авторизации. Дополнительные сведения об этом сценарии см. в разделе Совместное использование зашифрованных документов с внешними пользователями.

    Важно!

    Если у вас есть подчиненные метки, не настраивайте родительскую метку в качестве метки по умолчанию.

  • Требовать обоснования для изменения метки. Если пользователь пытается удалить метку или заменить ее меткой низшего порядка, вы можете требовать, чтобы пользователь предоставил обоснование для выполнения этого действия. Например, пользователь открывает документ с пометкой «Конфиденциально» (номер заказа 3) и заменяет этот ярлык на документ с именем «Публичный» (номер заказа 1). Для приложений Office запрос на обоснование запускается один раз в сеансе приложения при использовании встроенных меток и для каждого файла при использовании клиента унифицированных меток Azure Information Protection. Администраторы могут ознакомиться с обоснованием и изменением метки в обозревателе действий.

    Запрос, куда пользователи вводят обоснование.

  • Требовать, чтобы пользователи присваивали метки документам и сообщениям электронной почты, только документам, контейнерам и содержимому Power BI. Также называемые обязательным применением меток, эти параметры обеспечивают обязательное применение меток, перед тем как пользователи смогут сохранять документы и отправлять письма, создавать новые группы или сайты, а также в случае использования содержимого без меток для Power BI.

    Метка может присваиваться вручную пользователем, автоматически в результате применения настроенного условия или назначаться по умолчанию (вариант применения метки по умолчанию, описанный ранее). Пример запроса, когда пользователю требуется назначить метку:

    Запрос в Outlook на присвоение пользователем обязательной метки.

    Дополнительные сведения об обязательном применении меток см. в разделе Требование применения пользователями метки к их электронной почте и документам.

    Назначать метку контейнерам необходимо при создании группы или сайта.

    Дополнительные сведения об обязательном применении меток для Power BI, см. статью Обязательная политика меток для Power BI.

    Рекомендуется использовать этот параметр, чтобы расширить применение меток. Но без обучения пользователей эти параметры могут приводить к неправильному применению метки. Кроме того, если не настроена соответствующая метка по умолчанию, обязательное применение меток может раздражать пользователей частыми запросами.

  • Предоставить справочную ссылку на специальную страницу справки. Если пользователи не знают точно, что означают метки конфиденциальности или как их следует применять, вы можете предоставить URL-адрес дополнительных сведений, который отображается в нижней части меню Метка конфиденциальности в приложениях Office:

    Дополнительные сведения см. на кнопку Конфиденциальность на ленте.

После создания политики меток, назначающей метки конфиденциальности пользователям и группам, эти метки начнут отображаться в приложениях Office пользователей. Репликация последних изменений в организации может занять до 24 часов.

Количество меток конфиденциальности, которые можно создать и опубликовать, не ограничено за одним исключением: если метка обеспечивает применение шифрования с указанием пользователей и разрешений, в этой конфигурации поддерживается не более 500 меток. Но чтобы снизить административную нагрузку и сложность для пользователей, рекомендуется свести число меток к минимуму. Доказано значительное снижение эффективности реальных развертываний, если пользователи применяют более пяти основных меток или более пяти подчиненных меток для каждой основной метки.

Приоритет политики меток (важен порядок)

Чтобы сделать метки конфиденциальности доступными для пользователей, нужно опубликовать их в политике меток конфиденциальности, которая отображается в списке на странице Политики меток. Как и для меток конфиденциальности (см.раздел Приоритет меток (важен порядок)), порядок политик меток конфиденциальности важен, поскольку он отражает их приоритет: политика меток с самым низким приоритетом отображается в верхней части списка с самым низким порядковым номером, а политика меток с наивысшим приоритетом отображается внизу списка с наибольшим порядковым номером.

Политика меток состоит из следующих элементов:

  • Набор меток.
  • Пользователи и группы, которым будет назначена политика с метками.
  • Область политики и параметры политики для этой области (например, метка по умолчанию для файлов и сообщений электронной почты).

Можно включить одного пользователя в несколько политик меток. Этот пользователь получит все метки конфиденциальности и параметры этих политик. При конфликте параметров нескольких политик применяется параметры политики с наивысшим приоритетом (наибольший порядковый номер). Другими словами, для всех параметров работает наивысший приоритет.

Если вы не видите ожидаемого в соответствии с настройками поведения политики меток для пользователя или группы, проверьте порядок политик меток конфиденциальности. Возможно, потребуется переместить политику вниз. Чтобы изменить порядок политик меток, выберите политику > меток конфиденциальности, нажмите кнопку Действия с многоточием для этой записи >Переместить вниз или Вверх. Например:

Варианты перемещения на странице политик меток конфиденциальности.

В нашем примере снимка экрана, который показывает три политики меток, всем пользователям назначается стандартная политика меток, поэтому целесообразно, чтобы она имела самый низкий приоритет (самый низкий порядковый номер 0). Вторая политика, имеющая порядковый номер 1, назначается только пользователям ИТ-отдела. Для этих пользователей, при наличии каких-либо конфликтов параметров их политики и стандартной политики, параметрам их политики отдается предпочтение, поскольку она имеет более высокий порядковый номер.

Аналогично в отношении пользователей в юридическом отделе, которым назначена третья политика с совсем другими настройками. Вполне вероятно, что настройки политики этих пользователей будут более строгими, поэтому целесообразно, чтобы их политика имела самый высокий порядковый номер. Маловероятно, что пользователь из юридического отдела окажется в группе, которой также назначена политика для ИТ-отдела. Но если это произойдет, порядковый номер 2 (самый высокий из представленных) сможет гарантировать, что параметры политики для юридического отдела будут всегда иметь приоритет в случае конфликта.

Примечание.

Помните, что при конфликте параметров для пользователя, которому назначено несколько политик, применяются настройки политики с более высоким порядковым номером.

Метки конфиденциальной информации и Azure Information Protection

Метки конфиденциальности, встроенные в Приложения Microsoft 365 для Windows, macOS, iOS и Android, выглядят и работают очень похоже, чтобы обеспечить согласованный интерфейс использования меток. Однако на компьютерах с Windows можно также использовать клиент Azure Information Protection (AIP). Компонент надстройки AIP Office из этого клиента теперь находится в режиме обслуживания и после установки больше не является клиентом маркировки по умолчанию для последних приложений Office.

Если вы используете надстройку AIP для маркировки в приложениях Office, рекомендуем перейти на встроенные метки. Дополнительные сведения см. в статье Миграция надстройки Azure Information Protection (AIP) во встроенные метки для приложений Office.

Метки Azure Information Protection

Управление метками для службы Azure Information Protection на портале Microsoft Azure больше не поддерживается, начиная с31 марта 2021 г. Дополнительные сведения см. в официальном уведомлении о прекращении поддержки.

Если ваш клиент еще не использует единую платформу меток, необходимо сначала активировать унифицированные метки, прежде чем использовать метки конфиденциальности. Дополнительные сведения об этом процессе см. в статье Перенос меток Azure Information Protection на платформу унифицированных меток конфиденциальности.

Метки конфиденциальности и SDK Microsoft Information Protection

Так как метка конфиденциальности сохранена в метаданных документа, сторонние приложения и службы могут считывать ее оттуда и записывать туда, чтобы дополнять реализованные в вашей среде метки. Кроме того, разработчики программного обеспечения могут использовать пакет SDK защиты информации (Майкрософт), чтобы полностью поддерживать возможности меток и шифрования на разных платформах. Дополнительные сведения см. в объявлении об общедоступности в блоге Tech Community.

Вы также можете ознакомиться с решениями партнеров с интегрированной службой защиты информации Microsoft Purview.

Инструкции по развертыванию

Руководство по планированию развертывания, включающее сведения о лицензировании, разрешения, стратегию развертывания, список поддерживаемых сценариев и документацию конечного пользователя, см. в статье Начало работы с метками конфиденциальности.

Сведения о том, как использовать метки конфиденциальности в соответствии с требованиями к конфиденциальности данных, см. в разделе Развертывание защиты информации в соответствии с требованиями к конфиденциальности данных в Microsoft 365.