分享方式:


建立及設定敏感度標籤及其原則

Microsoft 365 安全性與合規性的授權指引

所有 Microsoft Purview 資訊保護解決方案是使用 敏感度標籤 來執行。 若要建立和發佈這些標籤,您可以使用 Microsoft Purview 入口網站Microsoft Purview 合規性入口網站

首先,建立並設定您要提供應用程式和其他服務使用的敏感度標籤。 例如,您希望使用者從 Office 應用程式看到和套用的標籤。

然後,建立一或多個包含您所設定的標籤和原則設定的標籤原則。 當您將標籤原則發佈給您選擇的使用者時:

  • 這些使用者在其支援敏感度標籤的應用程式中會看到標籤
  • 原則設定會套用至這些使用者

注意事項

如果您還沒有任何敏感度標籤,您可能有資格自動建立預設標籤和預設標籤原則。 即使您有一些標籤,您也可能會發現查看我們為新客戶建立的這些預設標籤之設定很有用。 例如,您可以進行相同的手動設定,以協助加快自己的標籤部署。

如需詳細資訊, 請參閱 Microsoft Purview 資訊保護的預設標籤和原則

提示

如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

開始之前

若要確定您具有建立和管理敏感度標籤的許可權,請參閱 建立和管理敏感度標籤所需的許可權。

建立及設定敏感度標籤

針對此設定,您可以使用 Microsoft Purview 入口網站Microsoft Purview 合規性入口網站

  1. 根據您使用的入口網站,流覽至下列其中一個位置:

  2. 在 [ 卷標] 頁面上,選取 [+ 建立標籤 ] 以啟動新的敏感度標籤設定。 例如,從 Microsoft Purview 入口網站:

    建立敏感度標籤。

    注意事項

    根據預設,租使用者沒有任何標籤,您必須建立它們。 如果您需要建立新標籤的指引,請 參閱開始使用敏感度標籤

  3. 在 [ 定義此標籤的範圍 ] 頁面上,選取的選項會決定您可以設定之設定的標籤範圍,以及它們發佈時的可見位置:

    敏感度標籤的範圍。

  4. 按照標籤設定的設定提示進行。

    如需有關標籤設定的詳細資訊,請參閱概觀資訊中的敏感度標籤功能 並為個別設定套用 UI 中的幫助。

  5. 重複這些步驟以建立更多標籤。 不過,如果您想要建立子捲標,請先選取父卷標,然後針對 [動作] 選取 [...],然後選取 [建立子卷標]

  6. 建立好所有需要的標籤後,請檢查其順序,並視需要將它們上下移動。 若要變更標籤的順序,請針對 [動作] 選取 [...],然後選取其中一個重新排序選項,例如 [上移] 或 [下移]。 如需詳細資訊,請參閱概覽資訊中的標籤優先順序 (順序很重要)

若要編輯現有的標籤,請將其選取,然後選取 [編輯標籤] 按鈕:

編輯敏感度標籤的 [編輯標籤] 按鈕。

此按鈕會啟動 [編輯敏感度標籤] 設定,它可讓您變更步驟 4 中的所有標籤設定。

除非您瞭解對使用者會造成的影響,否則不要刪除標籤。 如需詳細資訊,請參閱 移除及刪除標籤 一節。

注意事項

如果您編輯已使用標籤原則發佈的標籤,當完成設定後便不需要額外的步驟。 例如,您不需要將其新增到新的標籤原則中,就能讓變更供相同的使用者使用。 不過,請允許最多 24 小時的時間讓變更複寫到所有應用程式和服務。

在您發佈標籤之前,無法在應用程式中或為服務選取標籤。 若要發佈標籤,必須先將標籤新增至標籤原則

重要事項

在此 [標籤] 索引標籤上,請勿選取 [發佈標籤] 索引標籤 (也不要在編輯標籤時選取 [發佈標籤] 按鈕),除非您需要建立新的標籤原則。 只有當使用者需要不同的標籤或不同的原則設定時,才需要多個標籤原則。 盡可能建立較少的標籤原則,只建立一個標籤原則的組織也是很常見的。

安全性與合規性 PowerShell 的其他標籤設定

您可以使用安全性與合規性中心 PowerShell 中的 Set-Label Cmdlet 來取得其他標籤設定。

例如:

  • 對跨國部署使用 LocaleSettings 參數,以便使用者能夠利用本地語言查看標籤名稱和工具提示。 下列章節含有為法文、義大利文與德文指定標籤名稱和工具提示文字的範例設定。

  • PowerShell 文件中包含内建標籤支援的進階設定。 如需指定這些 PowerShell 進階設定的詳細說明,請參閱 指定進階設定的 PowerShell 提示 區段。 如需 Microsoft Purview 資訊保護 用戶端所支援的其他進階設定,請參閱這些設定的個別檔

設定不同語言敏感度標籤的設定範例

下列範例顯示名為「公開」標籤的 PowerShell 設定,其中包含工具提示的預留位置文字。 在此範例中,標籤名稱和工具提示文字設定為法文、義大利文和德文。

由於這項設定,若使用者具有使用這些顯示語言的 Office 應用程式,則會以相同的語言查看其標籤名稱和工具提示。 同樣地,如果您已安裝 Microsoft Purview 資訊保護 用戶端來為來自 檔案總管 的檔案加上標籤,則擁有這些 Windows 語言版本的使用者會在使用滑鼠右鍵動作進行標籤時,看到其本機語言的標籤名稱和工具提示。

針對需要支援的語言,請使用 Office 語言識別項 (又稱為語言標籤),然後為標籤名稱和工具提示指定自己的翻譯。

在 PowerShell 中執行命令之前,您必須先連線至安全性與合規性 PowerShell

$Languages = @("fr-fr","it-it","de-de")
$DisplayNames=@("Publique","Publico","Oeffentlich")
$Tooltips = @("Texte Français","Testo italiano","Deutscher text")
$label = "Public"
$DisplayNameLocaleSettings = [PSCustomObject]@{LocaleKey='DisplayName';
Settings=@(
@{key=$Languages[0];Value=$DisplayNames[0];}
@{key=$Languages[1];Value=$DisplayNames[1];}
@{key=$Languages[2];Value=$DisplayNames[2];})}
$TooltipLocaleSettings = [PSCustomObject]@{LocaleKey='Tooltip';
Settings=@(
@{key=$Languages[0];Value=$Tooltips[0];}
@{key=$Languages[1];Value=$Tooltips[1];}
@{key=$Languages[2];Value=$Tooltips[2];})}
Set-Label -Identity $Label -LocaleSettings (ConvertTo-Json $DisplayNameLocaleSettings -Depth 3 -Compress),(ConvertTo-Json $TooltipLocaleSettings -Depth 3 -Compress)

指定進階設定的 PowerShell 提示

雖然您可以按名稱指定敏感度標籤,但建議您使用標籤 GUID,以避免在指定標籤名稱或顯示名稱時出現混淆。 標籤名稱在租用戶中是唯一的,因此您可以確保設定了正確的標籤。 顯示名稱不唯一,可能會導致設定錯誤的標籤。 若要尋找 GUID 並確認標籤的範圍,請執行以下動作:

Get-Label | Format-Table -Property DisplayName, Name, Guid, ContentType

要從敏感度標籤中移除進階設定,請使用相同的 AdvancedSettings 命令參數,但指定 null 字串值。 例如:

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{DefaultSharingScope=""}

要檢查標籤的設定,包括進階設定,請對自己的標籤 GUID 使用以下語法:

(Get-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e).settings

建立標籤原則來發佈敏感度標籤

作為標籤原則的一部分,您可以選取要有敏感度標籤和標籤原則設定的使用者和群組。 若要降低系統管理維護,建議使用群組,而不是個別使用者。 不過,如果使用者從您指定的群組中移除,則會自動移除該使用者的標籤原則。

針對此設定,您可以使用 Microsoft Purview 入口網站Microsoft Purview 合規性入口網站

  1. 根據您使用的入口網站,流覽至下列其中一個位置:

  2. 在 [ 卷標原則] 頁面上,選取 [發佈卷標 ] 以啟動 [建立原則 ] 設定。 例如,從 Microsoft Purview 入口網站:

    發佈標籤。

    注意事項

    根據預設,租使用者沒有任何標籤原則,您必須建立它們。

  3. 在 [選擇要發佈的敏感度標籤] 頁面上,選取 [選擇要發佈的敏感度標籤] 連結。 選取您要在應用程式和服務中提供使用的標籤,然後選取 [新增]

    重要事項

    如果您選取子標籤,請確定您也選取其上層標籤。

  4. 針對指派系統管理單位:如果您的組織在 Microsoft Entra ID 中使用管理單位,標籤原則可以透過選取管理單位來自動限製為特定使用者。 如果您的帳戶已 獲指派管理單位,您必須選取一或多個管理單位。

    如果您不想使用管理單位來限制原則,或您的組織尚未設定管理單位,請保留 [ 完整目錄] 的預設值。

  5. 依照提示完成設定。

    您看到的原則設定會符您選取的標籤範圍。 例如,如果您選取的標籤只有 [檔案] & 其他數據資產 範圍,則不會看到 [ 預設將此標籤套用至群組和網站 ] 和 [ 要求使用者將標籤套用至其群組和網站] 原則設定。

    如需有關這些設定的詳細資訊,請參閱概觀資訊中的標籤原則的功能,並使用個別設定的 UI 中的說明。

    針對為 Microsoft Purview 資料對應 (預覽) 設定的標籤:這些標籤沒有任何相關聯的原則設定。

  6. 如果不同的使用者或範圍需要不同的原則設定,請重複這些步驟。 例如,您需要一組使用者有額外的標籤,或使用者的子集有不同的預設標籤。 或者,如果您已將標籤設定為具有不同範圍。

  7. 如果您建立可能會導致使用者發生衝突的多個標籤原則,請檢閱原則順序,並視需要將它們上下移動。 若要變更標籤原則的順序,請針對 [動作] 選取 [...],然後選取其中一個重新排序選項。 如需詳細資訊,請參閱概觀資訊中的 標籤原則優先順序 (順序很重要)

完成建立原則設定即會自動發佈標籤原則。 若要對已發佈的原則進行變更,只要編輯即可。 沒有特定的發佈或重新發佈動作可供您選取。

若要編輯現有的標籤原則,請將其選取,然後選取 [編輯原則] 按鈕:

編輯敏感度標籤。

這個按鈕會啟動 [建立原則] 設定,這會讓您可以編輯要包含的標籤和標籤設定。 完成設定時,任何變更都會自動複寫到選取的使用者和服務。

安全性與合規性 PowerShell 的其他標籤原則設定

使用安全性與合規性 PowerShell 提供的的 Set-LabelPolicy Cmdlet,即可取得其他標籤原則設定。

Cmdlet 檔包含內建標籤支援的進階設定。 如需 Microsoft Purview 資訊保護 用戶端所支援的其他進階設定,請參閱這些設定的個別檔

建立和設定保護原則

保護原則目前為預覽狀態,並適用於儲存在 Microsoft 365 外部的專案。 例如,在 Microsoft Fabric 中,Microsoft Azure 和 Amazon Web Services (AWS) 。

如需詳細資訊,請 參閱撰寫和發佈保護原則

新標籤和變更何時會生效

對於標籤和標籤原則設定,請稍候 24 小時讓變更傳播到整個服務。 有許多外部相依性項目都有自己的時間週期,因此最好等候這 24 小時,然後再花時間疑難排解標籤和標籤原則以了解最近的變更。

不過,在某些情況下,標籤和標籤原則變更的生效速度可能會更快或超過 24 小時。 例如,針對 Word、Excel 和 PowerPoint 網頁版新增和刪除的敏感度標籤,您可能會在一小時內看到更新的複製。 但是,對於依賴填入新群組和群組成員資格變更,或網路複寫延遲和頻寬限制的設定,這些變更可能需要 24-48 小時。

將 PowerShell 用於敏感度標籤及其原則

您現在可以使用 安全性與合規性 PowerShell,以建立並設定您在標籤系統管理中心看到的所有設定。 這表示除了將 PowerShell 用於標籤系統管理中心的設定以外,您現在可以全面編寫敏感度標籤和敏感度標籤原則的建立與維護腳本。

如需支援的參數和值,請參閱下列文件:

提示

當您為敏感度標籤設定進階設定時,您可能會發現參照此頁面上的 指定進階設定的 PowerShell 提示 區段很有幫助。

如果您需要為刪除敏感度標籤或敏感度標籤原則編寫腳本,您也可以使用 移除標籤移除標籤原則。 但是,在删除敏感度等級之前,請確保閱讀下一節。

移除並刪除標籤

在生產環境中,您不太可能需要從標籤原則中移除敏感度標籤,或刪除敏感度標籤。 在初始測試階段,您可能需要執行下列其中一項動作。 請務必了解當您執行這些動作時,會發生什麼情況。

從標籤原則移除標籤比刪除標籤的風險小,而且如果日後有需要,隨時可以將它新增回標籤原則。 如果標籤仍處於標籤原則中,您將無法刪除該標籤。

當您從標籤原則中移除標籤以使該標籤不再發佈給最初指定的使用者時,下次重新整理標籤原則時,使用者將不會在 Office 應用程式中看到該標籤可供選取。 如果該標籤已套用,則不會從內容或容器中移除。 例如,Word、Excel 和 PowerPoint 桌面應用程式內建標籤的使用者仍會在狀態列上看到已套用的標籤名稱。 套用的容器標籤會繼續保護 Teams 或 SharePoint 網站。

相比之下,當您刪除標籤時:

  • 如果標籤已套用加密,則會封存基礎保護範本,以便仍可開啟先前受保護的內容。 由於此已封存保護範本,您將無法建立具有相同名稱的新標籤。 雖然您可以使用 PowerShell 來刪除保護範本,但請不要這麼做,除非您確定不需要開啟使用封存範本加密的內容。

  • 針對儲存在 SharePoint 或 OneDrive 的文件以及您已 啟用 Office 檔案的敏感度標籤:當您在Office 網頁版中開啟文件時,將不會看到該標籤套用在應用程式中,而且標籤名稱不再顯示於 SharePoint 的 [敏感度] 欄位。 如果已刪除的標籤套用加密,而且服務可以處理加密的內容,則加密會移除。 來自這些服務的輸出動作會產生相同的結果。 例如,下載、複製到、移至,以及使用 Office 桌面或行動應用程式開啟。 雖然標籤資訊會保留在檔案的中繼資料中,但應用程式無法再將標籤識別碼對應至顯示名稱,因此使用者會假設檔案未加上標籤。

  • 針對儲存在 SharePoint 和 OneDrive 外部的文件或您尚未針對 Office 檔案啟用敏感度標籤,以及電子郵件:當您開啟內容時,中繼資料裡的標籤資訊保留下來,但沒有標籤識別碼與名稱對應,使用者就不會看到套用的標籤名稱顯示出來 (例如,在桌面應用程式的狀態列上)。 如果已刪除的標籤套用加密,則加密會保留下來,而在使用者仍可看到目前封存保護範本的名稱與描述。

  • 針對容器,例如 SharePoint 和 Teams 中的網站:標籤會移除,且不再強制執行使用該標籤設定的任何設定。 此動作在 SharePoint 網站通常需要 48-72 小時變更完成,在 Teams 和 Microsoft 365 群組則可能更快。

  • 請注意,刪除標籤之後,若沒有可用的 GUID 對名稱對應,刪除的標籤可以在 內容 總管和 活動總管等應用程式中顯示為 GUID,而不是標籤名稱。

如同所有標籤變更,從標籤原則移除敏感度標籤或刪除敏感度標籤需要一些時間來複製到所有使用者和服務。

後續步驟

若要針對特定案例設定及使用敏感度標籤,您可能會發現下列文章很有説明:

若要監視標籤的使用方式,請參閱 如何使用Microsoft數據分類儀錶板