建立及設定敏感度標籤及其原則

Microsoft 365 安全性與合規性的授權指引

所有 Microsoft Purview 資訊保護解決方案是使用 敏感度標籤 來執行。 若要建立及發佈這些標籤,請前往 Microsoft Purview 合規性入口網站

首先,建立並設定您要提供應用程式和其他服務使用的敏感度標籤。 例如,您希望使用者從 Office 應用程式看到和套用的標籤。

然後,建立一或多個包含您所設定的標籤和原則設定的標籤原則。 這是為您所選的使用者和位置發佈標籤和設定的標籤原則。

提示

如果您還沒有任何敏感度標籤,您可能有資格自動建立預設標籤和預設標籤原則。 即使您有一些標籤,您也可能會發現查看我們為新客戶建立的這些預設標籤之設定很有用。 例如,您可以進行相同的手動設定,以協助加快自己的標籤部署。

如需詳細資訊, 請參閱 Microsoft Purview 資訊保護的預設標籤和原則

開始之前

組織的全域系統管理員擁有建立及管理敏感度標籤所有層面的完整權限。 如果您未以全域系統管理員身分登入,請參閱建立和管理敏感度標籤所需的權限

建立及設定敏感度標籤

  1. Microsoft Purview 合規性入口網站,選取 [解決方案] > 資訊保護 > [標籤]

  2. [標籤] 頁面上,選取 [+ 建立標籤],以啟動 [新增敏感度標籤] 設定:

    建立敏感度標籤。

    注意

    根據預設,租使用者沒有任何標籤,您必須建立它們。 範例圖片中的標籤會顯示 從 Azure 資訊保護中遷移的 預設標籤。

  3. [定義此標籤的範圍] 頁面上,選取的選項會決定您可以進行設定的標籤範圍,以及它們在發佈時顯示的位置:

    敏感度標籤的範圍。

    • 如果已選取 [項目],則可以進行設定,以套用至支援敏感度標籤的應用程式,例如 Office Word 和 Outlook。 如果未選取此選項,您會看見這些設定的第一頁,但是您無法設定,而且使用者無法在這些應用程式中選取標籤。

    • 如果已選取 [群組和網站],則可以進行設定,以套用至 Microsoft 365 群組,以及 Teams 和 SharePoint 網站。 如果未選取此選項,您會看見這些設定的第一頁,但是您無法設定,而且使用者無法為群組和網站選取標籤。

    如需 結構描述化資料資產 範圍的詳細資訊,請參閱 在 Microsoft Purview 資料對應中自動為您的內容加上標籤

  4. 按照標籤設定的設定提示進行。

    如需有關標籤設定的詳細資訊,請參閱概觀資訊中的敏感度標籤功能 並為個別設定套用 UI 中的幫助。

  5. 重複這些步驟以建立更多標籤。不過,如果您想要建立子標籤,請先選取父標籤,並選取 [...] 以取得 [其他動作],然後選取 [新增子標籤]

  6. 建立好所有需要的標籤後,請檢查其順序,並視需要將它們上下移動。 若要變更標籤的順序,請選取 ... 以取得 [其他動作],然後選取 [上移] 或 [下移]。 如需詳細資訊,請參閱概覽資訊中的標籤優先順序 (順序很重要)

若要編輯現有的標籤,請將其選取,然後選取 [編輯標籤] 按鈕:

編輯敏感度標籤的 [編輯標籤] 按鈕。

此按鈕會啟動 [編輯敏感度標籤] 設定,它可讓您變更步驟 4 中的所有標籤設定。

除非您瞭解對使用者會造成的影響,否則不要刪除標籤。 如需詳細資訊,請參閱 移除及刪除標籤 一節。

注意

如果您編輯已使用標籤原則發佈的標籤,當完成設定後便不需要額外的步驟。 例如,您不需要將其新增到新的標籤原則中,就能讓變更供相同的使用者使用。 不過,請允許最多 24 小時的時間讓變更複寫到所有應用程式和服務。

在您發佈標籤之前,無法在應用程式中或為服務選取標籤。 若要發佈標籤,必須先將標籤新增至標籤原則

重要

在此 [標籤] 索引標籤上,請勿選取 [發佈標籤] 索引標籤 (也不要在編輯標籤時選取 [發佈標籤] 按鈕),除非您需要建立新的標籤原則。 只有當使用者需要不同的標籤或不同的原則設定時,才需要多個標籤原則。 盡可能建立較少的標籤原則,只建立一個標籤原則的組織也是很常見的。

安全性與合規性 PowerShell 的其他標籤設定

您可以使用安全性與合規性中心 PowerShell 中的 Set-Label Cmdlet 來取得其他標籤設定。

例如:

  • 對跨國部署使用 LocaleSettings 參數,以便使用者能夠利用本地語言查看標籤名稱和工具提示。 下列章節含有為法文、義大利文與德文指定標籤名稱和工具提示文字的範例設定。

  • PowerShell 文件中包含内建標籤支援的進階設定。 如需指定這些 PowerShell 進階設定的詳細說明,請參閱 指定進階設定的 PowerShell 提示 區段。 有關 Azure 資訊保護統一標籤用戶端支援的其他進階設定,請參閱 此用戶端管理指南中的文件

設定不同語言敏感度標籤的設定範例

下列範例顯示名為「公開」標籤的 PowerShell 設定,其中包含工具提示的預留位置文字。 在此範例中,標籤名稱和工具提示文字設定為法文、義大利文和德文。

由於這項設定,若使用者具有使用這些顯示語言的 Office 應用程式,則會以相同的語言查看其標籤名稱和工具提示。 同樣地,如果您已安裝 Azure 資訊保護的整合標籤用戶端,以在檔案瀏覽器中為檔案加上標籤,則擁有這些語言版本 Windows 的使用者就能在使用滑鼠右鍵進行標記時,以本地語言查看其標籤名稱和工具提示。

針對需要支援的語言,請使用 Office 語言識別項 (又稱為語言標籤),然後為標籤名稱和工具提示指定自己的翻譯。

在 PowerShell 中執行命令之前,您必須先連線至安全性與合規性 PowerShell

$Languages = @("fr-fr","it-it","de-de")
$DisplayNames=@("Publique","Publico","Oeffentlich")
$Tooltips = @("Texte Français","Testo italiano","Deutscher text")
$label = "Public"
$DisplayNameLocaleSettings = [PSCustomObject]@{LocaleKey='DisplayName';
Settings=@(
@{key=$Languages[0];Value=$DisplayNames[0];}
@{key=$Languages[1];Value=$DisplayNames[1];}
@{key=$Languages[2];Value=$DisplayNames[2];})}
$TooltipLocaleSettings = [PSCustomObject]@{LocaleKey='Tooltip';
Settings=@(
@{key=$Languages[0];Value=$Tooltips[0];}
@{key=$Languages[1];Value=$Tooltips[1];}
@{key=$Languages[2];Value=$Tooltips[2];})}
Set-Label -Identity $Label -LocaleSettings (ConvertTo-Json $DisplayNameLocaleSettings -Depth 3 -Compress),(ConvertTo-Json $TooltipLocaleSettings -Depth 3 -Compress)

指定進階設定的 PowerShell 提示

雖然您可以按名稱指定敏感度標籤,但建議您使用標籤 GUID,以避免在指定標籤名稱或顯示名稱時出現混淆。 標籤名稱在租用戶中是唯一的,因此您可以確保設定了正確的標籤。 顯示名稱不唯一,可能會導致設定錯誤的標籤。 若要尋找 GUID 並確認標籤的範圍,請執行以下動作:

Get-Label | Format-Table -Property DisplayName, Name, Guid, ContentType

要從敏感度標籤中移除進階設定,請使用相同的 AdvancedSettings 命令參數,但指定 null 字串值。 例如:

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{DefaultSharingScope=""}

要檢查標籤的設定,包括進階設定,請對自己的標籤 GUID 使用以下語法:

(Get-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e).settings

建立標籤原則來發佈敏感度標籤

  1. Microsoft Purview 合規性入口網站,選取 [解決方案] > 資訊保護 > [標籤原則]

  2. [標籤原則] 頁面上,選取 [發佈標籤] 以開始 [建立原則] 設定:

    發佈標籤。

    注意

    根據預設,租使用者沒有任何標籤原則,您必須建立它們。

  3. 在 [選擇要發佈的敏感度標籤] 頁面上,選取 [選擇要發佈的敏感度標籤] 連結。 選取您要在應用程式和服務中提供使用的標籤,然後選取 [新增]

    重要

    如果您選取子標籤,請確定您也選取其上層標籤。

  4. 檢閱選取的標籤,若要進行任何變更,請選取 [編輯]。否則,請選取 [下一步]

  5. 遵循提示來設定原則設定。

    您看到的原則設定會符您選取的標籤範圍。 例如,如果您選取的標籤只含有 [項目] 範圍,您就不會看到 [預設將此標籤套用到群組與網站][要求使用者將標籤套用到群組與網站]

    如需有關這些設定的詳細資訊,請參閱概觀資訊中的標籤原則的功能,並使用個別設定的 UI 中的說明。

    針對為 Microsoft Purview 資料對應 (預覽) 設定的標籤:這些標籤沒有任何相關聯的原則設定。

  6. 如果不同的使用者或範圍需要不同的原則設定,請重複這些步驟。 例如,您需要一組使用者有額外的標籤,或使用者的子集有不同的預設標籤。 或者,如果您已將標籤設定為具有不同範圍。

  7. 如果您建立可能會導致使用者發生衝突的多個標籤原則,請檢閱原則順序,並視需要將它們上下移動。 若要變更標籤原則的順序,請選取 ... 以取得 [其他動作],然後選取 [上移][下移]。 如需詳細資訊,請參閱概觀資訊中的 標籤原則優先順序 (順序很重要)

完成 建立原則 設定即會自動發佈標籤原則。 若要對已發佈的原則進行變更,只要編輯即可。 沒有特定的發佈或重新發佈動作可供您選取。

若要編輯現有的標籤原則,請將其選取,然後選取 [編輯原則] 按鈕:

編輯敏感度標籤。

這個按鈕會啟動 [建立原則] 設定,這會讓您可以編輯要包含的標籤和標籤設定。 完成設定時,任何變更都會自動複寫到選取的使用者和服務。

安全性與合規性 PowerShell 的其他標籤原則設定

使用安全性與合規性 PowerShell 提供的的 Set-LabelPolicy Cmdlet,即可取得其他標籤原則設定。

本文件包括內建標籤支援的進階設定。 有關 Azure 資訊保護統一標籤用戶端支援的其他進階設定,請參閱 此用戶端管理指南中的文件

新標籤和變更何時會生效

對於標籤和標籤原則設定,請稍候 24 小時讓變更傳播到整個服務。 有許多外部相依性項目都有自己的時間週期,因此最好等候這 24 小時,然後再花時間疑難排解標籤和標籤原則以了解最近的變更。

不過,在某些情況下,標籤和標籤原則變更的生效速度可能會更快或超過 24 小時。 例如,針對 Word、Excel 和 PowerPoint 網頁版新增和刪除的敏感度標籤,您可能會在一小時內看到更新的複製。 但是,對於依賴填入新群組和群組成員資格變更,或網路複寫延遲和頻寬限制的設定,這些變更可能需要 24-48 小時。

將 PowerShell 用於敏感度標籤及其原則

您現在可以使用 安全性與合規性 PowerShell,以建立並設定您在標籤系統管理中心看到的所有設定。 這表示除了將 PowerShell 用於標籤系統管理中心的設定以外,您現在可以全面編寫敏感度標籤和敏感度標籤原則的建立與維護腳本。

如需支援的參數和值,請參閱下列文件:

提示

當您為敏感度標籤設定進階設定時,您可能會發現參照此頁面上的 指定進階設定的 PowerShell 提示 區段很有幫助。

如果您需要為刪除敏感度標籤或敏感度標籤原則編寫腳本,您也可以使用 移除標籤移除標籤原則。 但是,在删除敏感度等級之前,請確保閱讀下一節。

移除並刪除標籤

在生產環境中,您不太可能需要從標籤原則移除敏感度標籤,或刪除敏感度標籤。 在初始測試階段,您可能需要執行下列其中一項動作。 請務必了解當您執行這些動作時,會發生什麼情況。

從標籤原則移除標籤比刪除標籤的風險小,而且如果日後有需要,隨時可以將它新增回標籤原則。 如果標籤仍在標籤原則中,您將無法刪除標籤。

當您從標籤原則中移除標籤以使該標籤不再發佈給最初指定的使用者時,下次重新整理標籤原則時,使用者將不會在 Office 應用程式中看到該標籤可供選取。 如果該標籤已套用,則不會從內容或容器中移除。 例如,Word、Excel 和 PowerPoint 桌面應用程式內建標籤的使用者仍會在狀態列上看到已套用的標籤名稱。 套用的容器標籤會繼續保護 Teams 或 SharePoint 網站。

相比之下,當您刪除標籤時:

  • 如果標籤已套用加密,則會封存基礎保護範本,以便仍可開啟先前受保護的內容。 由於此已封存保護範本,您將無法使用相同名稱建立新標籤。 雖然您可以使用 PowerShell 來刪除保護範本,但請不要這麼做,除非您確定不需要開啟使用封存範本加密的內容。

  • 針對儲存在 SharePoint 或 OneDrive 的文件以及您已 啟用 Office 檔案的敏感度標籤:當您在Office 網頁版中開啟文件時,將不會看到該標籤套用在應用程式中,而且標籤名稱不再顯示於 SharePoint 的 [敏感度] 欄位。 如果已刪除的標籤套用加密,而且服務可以處理加密的內容,則加密會移除。 來自這些服務的輸出動作會產生相同的結果。 例如,下載、複製到、移至,以及使用 Office 桌面或行動應用程式開啟。 雖然標籤資訊會保留在檔案的中繼資料中,但應用程式無法再將標籤識別碼對應至顯示名稱,因此使用者會假設檔案未加上標籤。

  • 針對儲存在 SharePoint 和 OneDrive 外部的文件或您尚未針對 Office 檔案啟用敏感度標籤,以及電子郵件:當您開啟內容時,中繼資料裡的標籤資訊會保留下來,但沒有標籤識別碼與名稱對應,使用者就不會看到套用的標籤名稱顯示出來 (例如,在傳統型應用程式的狀態列上)。如果已刪除的標籤套用加密,則加密會保留下來,而在使用者仍可看到目前封存保護範本的名稱與描述。

  • 針對容器,例如 SharePoint 和 Teams 中的網站:標籤會移除,且不再強制執行使用該標籤設定的任何設定。 此動作在 SharePoint 網站通常需要 48-72 小時變更完成,在 Teams 和 Microsoft 365 群組則可能更快。

如同所有標籤變更,從標籤原則移除敏感度標籤或刪除敏感度標籤需要一些時間來複製到所有使用者和服務。

後續步驟

若要針對特定案例設定和使用敏感度標籤,請使用下列文章:

若要監視標籤的使用方式,請參閱開始使用資料分類