了解敏感度標籤

安全 & 性合規性的 Microsoft 365 授權指引

注意事項

如果您要尋找在 Office 應用程式中看到的敏感度標籤相關資訊,請參閱在 Office 中將敏感度標籤適用於您的檔案和電子郵件

此頁面上的資訊適用於可建立及設定這些標籤的 IT 系統管理員。

為了完成工作,組織中的人員會與組織內外的其他人共同作業。 這表示內容不再停留在防火牆後方,它可以在裝置、應用程式和服務的任何地方漫遊。 而當漫遊時,您想要它以符合貴組織商務與合規性原則的安全、受保護方式來執行此動作。

Microsoft Purview 資訊保護的敏感度標籤可讓您分類並保護貴組織的資料,同時確保使用者生產力和進行共同作業的能力不受影響。

顯示 Excel 中可用敏感度標籤的範例,從功能區上的 [首頁] 索引標籤。 在此範例中,已套用的標籤會顯示在狀態列上:

Excel 功能區和狀態列上的敏感度標籤。

若要套用敏感度標籤,使用者必須使用 Microsoft 365 公司或學校帳戶登入。

注意事項

如果是美國政府租用戶,所有平台都支援敏感度標籤。

如果使用 Azure 資訊保護的整合式標記用戶端和掃描器,請參閱 Azure 資訊保護優質政府服務描述

您可以使用敏感度標籤來:

  • 提供包含加密和內容標記的保護設定。 例如,將「機密」標籤套用至文件或電子郵件,而該標籤會將內容加密並套用「機密」浮水印。 內容標記包括頁首、頁尾以及浮水印,而加密也可以限制授權人員可對內容採取的動作。

  • 保護不同平台和裝置之間 Office 應用程式中的內容。 Word、Excel、PowerPoint 和 Office 桌面應用程式和 Office 網頁版 Outlook 皆支援該功能。 支援 Windows、macOS、iOS 和 Android。

  • 使用 Microsoft Defender for Cloud Apps 保護第三方應用程式和服務中的內容。 使用 Defender for Cloud Apps,您可以偵測、分類、標記並保護協力廠商應用程式和服務中的內容,例如 SalesForce、Box 或 DropBox,即使協力廠商應用程式或服務無法讀取或支援敏感度標籤亦然。

  • 保護容器,其中包括 Teams、Microsoft 365 群組和 SharePoint 網站。 例如,設定隱私權設定、外部使用者存取和外部共用,以及從未受管理的裝置存取。

  • 將敏感度標籤延伸至 Power BI:當您開啟此功能時,您可以套用和查看 Power BI 標籤,並在資料儲存在服務以外時加以保護。

  • 將敏感度標籤擴充至 Microsoft Purview 資料對應中的資產:當您開啟此功能時 (目前處於預覽狀態),您可以將敏感度標籤套用至 Microsoft Purview 資料對應中的架構化資料資產。 架構化的資料資產包括 SQL、Azure SQL、Azure Synapse、Azure Cosmos DB 和 AWS RDS。

  • 將敏感度標籤延伸至第三方應用程式和服務。 使用 Microsoft 資訊保護 SDK,第三方應用程式就可以讀取敏感度標籤以及套用保護設定。

  • 不使用任何保護設定而將內容分類。 您也可以直接指派標籤,以分類內容。 這可讓使用者以視覺方式將分類對應到貴組織的標籤名稱,而且可以使用標籤來產生使用狀況報告,並查看您機密內容的活動資料。 根據這項資訊,您一律可以選擇稍後套用保護設定。

在上述情況下,來自 Microsoft Purview 的敏感度標籤可協助您對正確的內容採取適當的動作。 您可以運用敏感度標籤分類組織的資料,並根據該分類強制執行保護設定。 該保護接著會與內容依存。

如需有關這些和敏感度標籤支援之其他案例的詳細資訊,請參閱 敏感度標籤的常見案例。 我們目前正在開發支援敏感度標籤的新功能,因此您可能會認為 Microsoft 365 藍圖用於檢查資料非常有用。

提示

如果您不是 E5 客戶,您可以免費試用 Microsoft Purview 中的所有進階功能。 使用 90 天的 Purview 解決方案試用版,探索健全的 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料

敏感度標籤是什麼

當您將敏感度標籤指派給內容時,它就像一個套用的戳記,並且是:

  • 可自訂。 針對貴組織和商務需求,您可以針對組織中的不同敏感度內容之層級建立類別。 例如,個人、公開、一般、機密和高度機密。

  • 純文字。 由於標籤會以純文字形式儲存在檔案和電子郵件的中繼資料中,因此第三方應用程式和服務可以讀取它,然後套用自己的保護動作 (如必要)。

  • 持續性。 由於標籤會儲存在檔案和電子郵件的中繼資料中,因此無論儲存位置或存放處為何,標籤都會與內容相伴依存。 唯一的標籤識別碼會成為套用並強制執行您設定之原則的基礎。

當使用者進行查看貴組織時,敏感度標籤會以標籤形式顯示在所使用的應用程式上,並可輕鬆整合至現有的工作流程。

支援敏感度標籤的每個項目都可以套用單一敏感度標籤。 文件和電子郵件可以同時套用敏感度標籤和保留標籤

套用至電子郵件的敏感度標籤。

敏感度標籤的功能

將敏感度標籤套用至電子郵件或文件後,將會對內容強制執行為該標籤設定的保護設定。 您可以設定敏感度標籤以:

  • 加密 電子郵件和文件,以防止未經授權的人員存取此資料。 您可以另行選擇哪些使用者或群組可以擁有權限來執行哪些動作,以及執行多久。 例如,您可以選擇允許貴組織中的所有使用者修改文件,而另一個組織中的特定群組只能瀏覽該文件。 或者,可以讓使用者在套用標籤時,指派權限給內容,而不要使用系統管理員定義的權限。

    如需建立或編輯敏感度標籤時加密設定的詳細資訊,請參閱使用敏感度標籤中的加密來限制內容的存取

  • 將浮水印、頁首或頁尾新增至已套用標籤的電子郵件或文件,以在使用 Office 應用程式時標記內容。 浮水印可以套用至文件 (而非電子郵件)。 頁首和浮水印範例:

    套用至文件的浮水印和頁首。

    使用變數也支援動態標記。 例如,將標籤名稱或文件名稱插入頁首、頁尾或浮水印。 如需詳細資訊,請參閱使用變數動態標記

    需要檢查何時套用內容標記? 請參閱 Office 應用程式何時套用內容標記和加密

    如果您的範本或工作流程是以特定文件為基礎,請先使用您所選擇的內容標記來測試那些文件,然後再為使用者提供標籤。 需要注意的一些字串長度限制:

    浮水印限制為 255 個字元。 頁首和頁尾均受限於 1024 個字元,但 Excel 除外。 對於頁首及頁尾,Excel 的總限制為 255 個字元,但此限制包含看不見的字元,例如格式代碼。 如果達到該限制,您輸入的字串就不會顯示在 Excel 中。

  • 當您啟用功能,以在 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站中使用敏感度標籤時,保護容器中的內容,例如網站和群組

    您無法設定群組和網站的保護設定,除非您啟用此功能。 此標籤設定並不會導致文件或電子郵件自動加標籤,相反的,標籤設定會透過控制可儲存內容所在容器的存取權,以保護內容。 這些設定包括設定隱私權設定、外部使用者存取和外部共用,以及從未受管理的裝置存取。

  • 在檔案和電子郵件中自動套用標籤,或建議標籤。 選擇如何辨識您要標記的敏感資訊,這樣就可以自動套用標籤,或提示使用者套用您建議的標籤。 如果您建議使用某個標籤,提示會顯示您選擇的任何文字。 例如:

    指派必要標籤的提示。

    如需有關當您建立或編輯敏感度標籤時 自動標籤檔案和電子郵件設定的詳細資訊,請參閱針對 Office 應用程式自動將敏感度標籤套用到內容,和 在 Microsoft Purview 資料對應中加上標籤

  • 設定 SharePoint 網站和個別文件的預設共用連結類型。 若要協助防止使用者過度共用,請設定使用者從 SharePoint 和 OneDrive 共用文件時的預設範圍和權限

標籤範圍

建立敏感度標籤時,系統會要求您設定標籤的範圍,其可決定兩個項目:

  • 您可以針對該標籤設定的標籤設定
  • 標籤將向使用者顯示的位置

此範圍設定可讓您有僅適用於諸如文件和電子郵件等項目的敏感度標籤,而無法為容器選取。 同樣地,僅適用容器的敏感度標籤,亦無法為文件和電子郵件選取。 您也可以選取 Microsoft Purview 結構描述化資料資產的資料對應的範圍:

敏感度標籤的範圍選項。

根據預設,一律會選取先前命名為檔案 & 電子郵件 () 範圍。 其他範圍則是在為您的租用戶啟用功能時預設選取:

如果您變更預設值,使得並未選取所有範圍,則會看到您未選取範圍之組態設定的第一頁,但您無法進行設定。 例如,如果未選取項目的範圍,您就無法在下一頁選取選項:

敏感度標籤的無法使用選項。

針對有無法使用選項的這些頁面,請選取 [下一步] 以繼續。 或者,選取 [上一步] 來變更標籤的範圍。

標籤優先順序 (順序很重要)

當您在 Microsoft Purview 合規性入口網站中內建立敏感度標籤時,它們會在 [標籤] 頁面上 [敏感度] 索引標籤上的清單中顯示。 在此清單中,標籤的順序很重要,因為它反映的是其優先順序。 您想要讓最具限制性的敏感度標籤,例如 [高度機密性],顯示在清單的最底端,以及最不具限制性的敏感度標籤,例如公用,顯示在最上方

您只能將一個敏感度標籤套用至一個項目,例如文件、電子郵件或容器。 如果您設定一個選項,要求使用者提供將標籤變更為較低分類的理由,則此清單的順序會識別分類下限。 不過,此選項不適用於共用其父標籤優先順序的子標籤。

不過,子標籤的排序會搭配自動標記使用。 當您設定自動套用標籤原則時,多個相符專案可能會導致多個標籤。 然後,選取最後一個敏感性標籤,然後如果適用,則選取最後一個子標籤。 當您 (設定子標籤本身,而不是自動套用標籤原則) 自動或建議的標籤時,當子標籤共用相同的父標籤時,行為會稍有不同。 例如,設定為自動套用標籤的子標籤會優先于針對建議標籤設定的子標籤。 如需詳細資訊,請 參閱多個條件套用至多個標籤時的評估方式。

建立子標籤的選項。

子標籤 (分組標籤)

您可以使用子標籤將一或多個標籤分組在 Office 應用程式中的使用者可看到的上層標籤之下。 例如,在 [機密文件] 下,您的組織可能會使用不同的標籤來標示該分類的特定類型。 在此範例中,上層標籤 [機密文件] 只是沒有任何保護設定的文字標籤,且因為它有子標籤,所以無法套用至內容。 相反地,使用者必須選擇 [機密文件] 來查看子標籤,然後再選擇要套用到內容的子標籤。

子標籤是以邏輯群組方式向使用者呈現標籤的一個簡單方式。 子標籤不會繼承其父標籤中的任何設定,但其標籤色彩除外。 當您發佈使用者的子標籤時,該使用者接著可以將該子標籤套用至內容和容器,但無法只套用父標籤。

請勿將上層籤選為預設標籤,或將上層標籤設定為自動套用 (或建議使用)。 如果您這樣做,就無法套用父標籤。

子標籤如何對使用者顯示的範例:

功能區上分組的子標籤。

編輯或刪除敏感度標籤

如果您從系統管理中心刪除敏感度標籤,此標籤並未從內容中自動移除,且所有保護設定都會繼續在套用該標籤的內容上強制執行。

如果您編輯敏感度標籤,則當初套用至內容的標籤版本會在內容上強制執行。

標籤原則的功能

建立敏感度標籤之後,您必須發佈這些標籤,才能讓其可供組織中的人員和服務使用。 然後可以將敏感度標籤套用至 Office 文件和電子郵件,以及支援敏感度標籤的其他項目。

與會發佈到所有 Exchange 信箱之類位置的保留標籤不同,敏感度標籤會對使用者或群組發佈。 支援敏感度標籤的應用程式之後可以將這些標籤,以已套用的標籤或可套用的標籤形式向這些使用者和群組顯示。

當您設定標籤原則時,您可以:

  • 選擇可看見標籤的使用者和群組。 可以在 Azure AD 中將標籤發佈到任何特定的使用者或啟用電子郵件功能的安全性群組、通訊群組或 Microsoft 365 群組 (可以有 動態成員資格)。

  • 為未標記的文件、電子郵件和新容器指定預設標籤 (當您為 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站啟用敏感度標籤時),以及 Power BI 內容的預設標籤。 您可以為這四類項目全部指定相同的標籤或不同的標籤。 使用者可以變更套用的預設敏感度標籤,使其符合內容或容器的敏感度。

    注意事項

    Office 應用程式的內建標籤新支援現有檔的預設標籤。 如需推出每個應用程式和最低版本的詳細資訊,請參閱 Word、Excel 和 PowerPoint 的功能表

    請考慮使用預設標籤來設定您想套用到所有內容中的基本保護設定等級。 不過,若沒有使用者訓練和其他控制項,這項設定也可能導致不正確的標記。 選取將套用加密作為對文件之預設標籤的標籤並不是個好主意。 例如,許多組織需要將文件傳送與共用給外部使用者,而這些使用者可能沒有支援加密的應用程式,或可能不會使用可授權的帳戶。 如需此案例的詳細資訊,請參閱 與外部使用者共用加密檔

    重要事項

    當您有子標籤時,請小心不要將父標籤設定為預設標籤。

  • 需要變更標籤的理由。 如果使用者嘗試移除標籤,或以較低順序編號的標籤取代其,您可以要求使用者提供理由來執行此動作。 例如,使用者開啟標示為 [機密] (順序編號 3) 的文件,並將該標籤取代為 [公開] (順序編號 1)。 針對 Office 應用程式,當您使用內建標籤時,每個應用程式工作階段便會觸發此理由提示一次,而當您使用 Azure 資訊保護整合標籤用戶端時,每個檔案便會觸發此理由提示一次。 系統管理員可以閱讀 活動瀏覽器 中的理由及標籤變更。

    提示使用者輸入理由。

  • 針對文件及電子郵件、僅文件、容器,以及 Power BI 內容,要求使用者套用標籤。 這些選項也稱為強制標籤,可確保使用者儲存文件和傳送電子郵件、建立新群組或網站,以及當他們使用 Power BI 的未標籤內容之前,必須先套用標籤。

    若為文件和電子郵件,使用者可手動指派標籤、根據您設定的條件而自動指派,或依預設指派 (如上所述的預設標籤選項)。 當使用者需要指派標籤時的範例提示:

    Outlook 中的提示,要求使用者套用必要標籤。

    如需文件和電子郵件的強制標籤詳細資訊,請參閱要求使用者在電子郵件和文件中套用標籤

    若為容器,您必須在建立群組或網站時指派標籤。

    如需深入了解 Power BI 的強制標籤,請參閱 Power BI 的強制標籤原則

    請考慮使用此選項來協助增加您的標記涵蓋範圍。 不過,若沒有使用者訓練,這些設定可能導致不正確的標記。 此外,除非您也設定對應的預設標籤,否則強制標籤的常見提示可能會讓使用者感到無益。

  • 提供自訂說明頁面的說明連結。 如果使用者不確定敏感度標籤代表的意義或使用方式,您可以提供顯示在 Office 應用程式中 [敏感度標籤] 功能表底部的 [深入了解] URL:

    深入瞭解功能區上 [敏感度] 按鈕上的連結。

建立可將新敏感度標籤指派給使用者和群組的標籤原則之後,使用者會開始在他們的 Office 應用程式中看到這些標籤。 最多可獲得 24 小時的時間,在您的整個組織中複製最新的變更。

您可以建立及發佈的敏感度標籤數目沒有限制,但有一個例外:如果標籤會套用指定使用者和權限的加密,則此設定的支援上限為 500 個標籤。 不過,為了降低系統管理負擔並為使用者減少複雜度,最佳做法是試著保持最少的標籤數量。 實際情況的部署已證明,當使用者擁有五個以上的主要標籤,或每個主要標籤有超過五個子標籤時,效果會明顯地降低。

標籤原則優先順序 (順序很重要)

您可以透過在敏感度標籤原則中發佈敏感度標籤,將其提供給使用者使用,而標籤會在 [標籤原則] 頁面上的清單中顯示。 就如同敏感度標籤 (請參閱 標籤優先順序 (順序很重要)),敏感度標籤原則的順序很重要,因為它反映出其優先順序:具備最低優先順序的標籤原則會以 最低的 順序號碼顯示在清單的最頂端,具備最高優先順序的標籤原則會以 最高的 順序號碼顯示在清單的最底部。

標籤原則包含:

  • 一組標籤。
  • 將獲指派具有標籤之原則的使用者和群組。
  • 該範圍的原則和原則設定的範圍 (例如檔案和電子郵件的預設標籤)。

您可以將使用者包含在多個標籤原則中,該使用者即會獲得來自這些原則的所有敏感度標籤和設定。 如果來自多個原則的設定發生衝突,則會套用最高優先順序 (最高的位置) 之原則的設定。 換句話說,每個設定的最高優先順序會優先套用。

如果您沒有看到使用者或群組應有的標籤原則設定行為,請檢查敏感度標籤原則的順序。 您可能需要將這個原則向下移動。 若要重新排序標籤原則,請選取敏感度標籤原則 > ,選擇該專案的 > [動作] 省略號[下移] 或 [上移]。 例如:

敏感度標籤原則頁面上的移動選項。

從顯示三個標籤原則的螢幕擷取畫面範例中,會將標準標籤原則指派給所有使用者,因此其優先順序最低 (最低的順序號碼為 0) 是適當的。 只有 IT 部門中的使用者會獲指派順序號碼為 1 的第二個原則。 對於這些使用者而言,如果其原則與標準原則之間的設定有任何衝突,則其原則中的設定會優先,因為其順序號碼較高。

對於法務部門中的獲指派具有不同設定之第三個原則的使用者也是一樣。 這些使用者可能會有更嚴格的設定,因此其原則具備最高的順序號碼數目是適當的。 法務部門的使用者不太可能位於同時指派給 IT 部門之原則的群組中。 但如果是,順序號碼 2 (最高順序號碼) 會確保如果在發生衝突時,法務部門的設定會一律優先處理。

注意事項

請記住,如果獲指派多個原則的使用者設定發生衝突,則會套用具備最高順序號碼 (位置最低) 之獲指派原則的設定。

敏感度標籤和 Azure 資訊保護

Windows、macOS、iOS 及 Android 上 Microsoft 365 Apps 内建的敏感度標籤,在這些裝置上的外觀與行為都非常類似,好為使用者提供一致的標籤體驗。 不過,在 Windows 電腦上,您也可以使用 Azure 資訊保護 (AIP) 用戶端。 來自此用戶端的 AIP Office 增益集元件現在處於 維護模式 ,且安裝時,不再是最新 Office 應用程式的預設標籤用戶端。

如果您在 Office 應用程式中使用 AIP 增益集進行標籤,建議您移至內建標籤。 如需詳細資訊,請參閱將Azure 資訊保護 (AIP) 增益集移轉至 Office 應用程式的內建標籤

Azure 資訊保護標籤

Azure 入口網站中 Azure 資訊保護標籤的標籤管理功能已在 2021 年 3 月 31 日遭取代。 請透過官方的淘汰注意事項深入了解。

如果您的租用戶尚未使用統一標籤平台,您必須先啟動統一標籤,才能使用敏感度標籤。 如需說明,請參閱如何將 Azure 資訊保護標籤移轉至統一的敏感度標籤

敏感度標籤和 Microsoft 資訊保護 SDK

由於敏感度標籤是儲存在文件的中繼資料中,因此協力廠商的應用程式和服務都可讀取和寫入此標籤中繼資料,以補充您的標籤部署。 此外,軟體開發人員可以使用 Microsoft 資訊保護 SDK,完全支援跨多個平臺的標籤和加密功能。 若要深入了解,請參閱技術社群部落格上的正式版本公告

您也可以了解 與 Microsoft Purview 資訊保護整合的合作夥伴解決方案

部署指導方針

如需部署規劃和指導方針,其中包含授權資訊、權限、部署策略,以及支援的案例和使用者文件的清單,請參閱開始使用敏感度標籤

若要了解如何使用敏感度標籤以符合資料隱私權法規,請參閱 使用 Microsoft 365 部署資料隱私權法規的資訊保護