管理 Office 应用中的敏感度标签
从 Microsoft Purview 门户或Microsoft Purview 合规门户发布敏感度标签后,它们开始显示在 Office 应用中,供用户在创建或编辑数据时对其进行分类和保护。
使用本文中的信息可帮助你成功管理 Office 应用中的敏感度标签。 例如,特定标记功能的其他配置信息。
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
应用中的敏感度标记支持
若要在 Office 应用中使用敏感度标签,必须使用 Office 订阅版。 使用此页顶部的许可链接确定符合条件的计划。 独立版本的 Office 不支持敏感度标签,有时称为“Office 永久”。
对于 Outlook (Windows、macOS、iOS、Android 和 Web) ,邮箱必须托管在 Exchange Online 中。 本地托管的邮箱不支持敏感度标签。 这也适用于共享邮箱,即使访问共享邮箱的用户在Exchange Online中具有邮箱。
支持应用中的敏感度标签功能
使用 Office 应用中敏感度标签的最低版本中 的表,确定为 Office 应用中的敏感度标签引入了特定功能的最低 Office 版本。 或者,如果标签功能为公共预览版。
除了列出 Windows、macOS、iOS 和 Android 的最低版本外,这些表还包括Office 网页版是否支持该功能:
Office for iOS 和 Office for Android:敏感度标签内置于 Office 应用。
对于Loop:请参阅将敏感度标签用于Microsoft Loop
提示
引用 Office 文档的标签和策略设置也适用于Loop组件和页面。
Office 内置标签和 Azure 信息保护 客户端
Azure 信息保护统一标记客户端中的 Windows Office 加载项现已停用,不再受支持。 它被内置于 支持标签的 Office 应用中的敏感度标签所取代。
由于加载项不再受支持,因此必须将 Office 策略设置“将 Azure 信息保护加载项用于敏感度标签”设置为“未配置 (默认) ”或“已禁用”。 如果为 “已启用”配置了此设置,则无法在 Office 应用中使用敏感度标记。
若要为此设置检查:
- 如果使用 组策略,请使用最新的Microsoft 365 企业应用版管理模板,并从用户配置/管理模板/Microsoft Office 2016/安全设置导航到此设置。
- 如果使用 Microsoft 365 的云策略服务,请按名称搜索设置。
Microsoft Purview 信息保护 客户端支持此较旧标记客户端中的其他标记功能。 有关详细信息,请参阅 在 Windows 上扩展敏感度标记。
如果需要在 Windows 上的 Office 应用中关闭内置标签
若要在 Office 应用中使用敏感度标签,必须从Microsoft Purview 合规门户向用户发布一个或多个标签策略,以及受支持的 Office 版本。
如果满足这两个条件,但需要在 Windows Office 应用中关闭敏感度标签,请使用 Office 策略设置 使用 Office 中的敏感度功能来应用和查看敏感度标签。 选择“ 已禁用”,将值设置为 0。
对于组策略和Microsoft 365 企业应用版管理模板,请从用户配置/管理模板/Microsoft Office 2016/安全设置导航到此设置。 如果使用 Microsoft 365 的云策略服务,请按名称搜索此设置。 这些设置将在这些 Office 应用重启时生效。
如果以后需要还原此配置,请选择“已启用”,将值更改为 1。 如果功能区上未按预期显示 “敏感度 ”按钮,则可能还需要启用此设置。 例如,以前的管理员已关闭此标记设置。
由于此设置特定于 Windows Office 应用,因此它不会影响 Windows 上支持敏感度标签的其他应用(如 Power BI)或其他平台(如 macOS、移动设备和 Office 网页版)。 如果你不希望部分或所有用户在所有应用及所有平台上查看和使用敏感度标签,请不要为这些用户分配敏感度标签策略。
提示
如果想要停止显示 Word、Excel 和 PowerPoint 的内置标签,并仅显示 Outlook 的内置标签,或者相反,可以通过按标签设置实现此结果。 有关详细信息,请参阅 将标签范围限定为文件或电子邮件。
支持的 Office 文件类型
通常,具有针对 Word、Excel 和 PowerPoint 文件的内置标签的 Office 应用支持 Open XML 格式 (如 .docx 和 .xlsx) ,但不支持Microsoft Office 97-2003 格式 ((例如 .doc 和 .xls) 、开放文档格式 (.odt和.ods) 等)或其他格式。
注意
可以阻止用户在 Windows 中打开或保存 Word、Excel 和 PowerPoint 的旧文件类型。 有关说明,请参阅 在 Office 2016 中阻止特定文件格式类型。
如果敏感度标签不支持文件类型,则 Office 应用中不提供 “敏感度 ”按钮。
Windows、macOS、iOS 和 Android 上的 Office 应用支持的文件类型:
- Word:.docx、.docm、.dotx、.dotm
- Excel:.xlsx、.xlsb;.xlsm、.xltx
- PowerPoint:.pptx、.pptm、.potx、.potm、.ppsx、.ppsm
对于为敏感度标签启用这些服务时 SharePoint 和 OneDrive 支持的文件类型,请参阅 为 SharePoint 和 OneDrive 中的文件启用敏感度标签。
即使对于列出的文件类型,也不支持对嵌入文件进行标记。
对于 Office 应用之外的标记方案,检查其文档,了解支持的文件类型。 例如,Microsoft Purview 信息保护客户端和扫描程序支持 的其他文件类型 。
保护模板和敏感度标签
使用内置标记时,管理员定义的保护模板(例如为 Microsoft Purview 邮件加密 定义的模板)在 Office 应用中不可见。 这种简化的体验反映无需选择保护模板,因为启用了加密的敏感度标签中包含了相同的设置。
将 New-Label cmdlet 与 EncryptionTemplateId 参数结合使用时,可以将现有模板转换为敏感度标签。
信息权限管理 (IRM) 选项和敏感度标签
通过配置以应用加密的敏感度标签,可消除用户指定其加密设置的复杂性。 在 Office 应用中,用户可能仍可使用信息权限管理 (IRM) 选项手动配置这些单独的加密设置。 例如,对于 Windows 应用:
- 对于文档: 文件>信息>保护文档>限制访问
- 电子邮件:从“选项”选项卡加密>
Windows 和 Mac 的最新 Word、Excel 和 PowerPoint 应用不再允许用户在具有敏感度标签时选择信息权限管理 (IRM) 选项。 相反,用户会看到一个对话框,提示他们使用敏感度标签来应用信息保护。 该消息还介绍了以后如何访问 敏感度栏 以选择和更改标签:
对于允许用户选择“信息权限管理”选项的 Outlook 和旧版 Office 应用,用户可以使用自己的加密设置覆盖应用的敏感度标签中的设置。 例如:
用户将" \所有员工" 标签应用于文档,并且此标签配置为对组织中所有用户应用加密设置。 然后,此用户手动配置 IRM 设置以限制对组织外部用户的访问权限。 结果是一个标记为"机密 \所有员工 加密的文档,但您的组织中的用户无法如预期打开它。
用户向 应用"机密\收件人 标签,此电子邮件配置为应用" 请勿转发"。 在 Outlook 应用中,此用户随后手动选择“仅加密的 IRM 设置”。 最终结果是虽然电子邮件确实保持加密状态,但收件人仍可以转发此邮件,尽管邮件具有“机密\仅限收件人”标签。
作为例外,对于 Outlook 网页版,在当前选定标签应用加密时,用户无法选择“加密”菜单中的选项。
用户将" " 标签应用于文档,并且此标签未配置为应用加密。 然后,此用户手动配置 IRM 设置以限制对文档的访问。 结果是一个标记为"常规 文档 这也应用了加密,因此某些用户无法如预期打开它。
如果已标记文档或电子邮件,如果内容尚未加密,或者其具有"导出"或"完全控制" 或完全控制 ,用户可以执行这些操作。
若要通过有意义的报告获得更一致的标签体验,请为用户提供适当的标签和指导,以便仅应用标签来保护文档和电子邮件。 例如:
对于用户必须分配自己的权限的例外情况,请提供标签 允许用户向用户分配。
如果用户需要具有相同的分类而无加密标签,则用户无需在选择应用加密的标签后手动删除加密,而是提供子标记替代项。 如:
- 机密 \ 所有员工
- 机密 \ 任何人(无加密)
升级到不允许用户为 Word、Excel 和 PowerPoint 选择 IRM 设置的最新版本。 对于 Outlook,请考虑禁用 IRM 设置以防止用户选择它们:
- Outlook for Windows:
- 注册表项
DWORD:00000001
DisableDNF 和 DisableEO fromHKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\DRM
- 确保未配置组策略设置 配置“加密”按钮的默认加密选项
- 注册表项
- Outlook for Mac:
- 记录在 设置 Outlook for Mac 首选项 中的注册表项 DisableEncryptOnly 和 DisableDoNotForward 安全设置
- Outlook 网页版:
- 为 Set-IRMConfiguration 记录的参数 SimplifiedClientAccessDoNotForwardDisabled 和 SimplifiedClientAccessEncryptOnlyDisabled
- Outlook for iOS 和 Android:这些应用不支持用户在无标签的情况下应用加密,因此无需禁用任何项目。
- Outlook for Windows:
注意
如果用户从存储在SharePoint或OneDrive中的带标签文档中手动删除加密,并且已在SharePoint和OneDrive中为Office文件启用了敏感性标签,则下次访问或下载文档时,标签加密将自动恢复。
文档的基于加密的标签匹配
使用管理员定义的权限对文档进行加密后,加密策略将嵌入到文档中。 这与标记无关。 例如,当 Office 附件从电子邮件继承加密,或者用户在 Office 应用中使用信息权限管理 (IRM) 应用权限管理模板时。 如果租户中的敏感度标签与该加密策略匹配,Office 应用会自动将该匹配标签分配给文档。
在此方案中,匹配的敏感度标签可以标记未标记的文档,并替换不应用加密的现有标签。 例如, 将“常规 ”标签替换为 “机密/所有员工”。 不会自动应用匹配标签中的内容标记。
此方案有助于将较旧的加密解决方案从权限管理模板移动到通过权限管理应用加密的敏感度标签。
但是,在收件人打开电子邮件和会议附件时,你也会看到带有标记方案的行为。 例如:
用户创建一封电子邮件并附加未加密的 Office 文档,然后将标签应用于电子邮件。
标签使用管理员设置的权限(而不是“请勿转发”或“Encrypt-Only”选项)应用加密。 例如,对于标签配置,管理员选择“ 立即分配权限”,并指定所有员工都具有读取访问权限。
发送电子邮件时, 附件会自动继承带有权限管理的加密,但不会继承标签。
当同一租户中的收件人打开加密文档时,将自动显示该文档管理员定义权限的匹配标签,如果文档已保存,则会保留。
作为在活动资源管理器中显示的审核事件,此用户应用了标签,而不是电子邮件发件人。
基于加密的标签匹配仅适用于租户,以下所有条件均适用:
- 文档未标记或现有标签未应用加密
- 文档使用管理员定义的权限进行加密
- 匹配的敏感度标签将发布到打开文档的用户
- 匹配敏感度 标签的标签范围 包括 文件 & 其他数据资产
如果保存文档,匹配标签将保留。
敏感度标签兼容性
使用启用 RMS 的应用:如果在支持) 技术 (RMS Microsoft权限管理但不支持敏感度标签的应用程序中打开带标签且加密的文档或电子邮件,则应用仍会强制实施加密和权限管理。
使用 Microsoft Purview 信息保护 客户端:可以使用 Microsoft Purview 信息保护 客户端查看和更改通过 Office 应用应用于文档的敏感度标签,另一种方式是。
对于其他版本的 Office:任何授权用户都可以在其他版本的 Office 中打开标记的文档和电子邮件。 但是,只能查看或更改支持的 Office 版本中的标签,或者通过使用 Microsoft Purview 信息保护 客户端。 支持的 Office 应用版本列于上一节 一。
支持通过敏感度标签保护的 SharePoint 和 OneDrive 文件
若要将 Office 内置标签客户端与 SharePoint 或 OneDrive 中的文档Office 网页版配合使用,请确保已在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签。
支持外部用户和标记的内容
标记文档或电子邮件时,标签会存储为包含租户和标签 GUID 的元数据。 支持敏感度标签的 Office 应用打开标记的文档或电子邮件时,只要用户属于同一租户,该标签才显示于其应用中。 例如,对于 Word、PowerPoint 和 Excel 的内置标签,标签名称显示在状态栏上。 用户排除来宾帐户。
此实现意味着,如果与使用不同标签名称的另一个组织共享文档,则每个组织都可以应用并查看应用于文档的自己的标签。 来宾用户不会在其应用中看到你的标签。
注意
另一个组织无法应用其自己的敏感度标签的两个例外:
- 使用Office 网页版,外部用户连接到 SharePoint 网站或 OneDrive 位置,并且看不到其敏感度标签,因为该网站归其他组织所有。
- 使用桌面应用或移动应用的共同创作,外部用户 将无法应用配置为应用加密的自己的敏感度标签。
Outlook) 发送的电子邮件 (和标记日历事件也是如此。 但是,Outlook 以外的电子邮件客户端可能不会在电子邮件标头中保留标签元数据。 例如,用户从不使用 Outlook 的其他组织答复或转发可能会导致原始电子邮件标签不再对原始组织可见,因为标签元数据尚未保留。 如果该标签应用了加密,则加密将保留以保护内容。
应用标签中的以下元素对组织外部的用户可见:
标记的内容。 当标签应用页眉、页脚或水印时,这些内容将直接添加到内容中,在某人修改或删除它们之前保持可见。
应用加密的标签中的基础保护模板的名称和说明。 此信息显示在内容顶部的消息栏中,以提供有关有权查看内容的人员及其使用该内容的权限的信息。
与外部用户共享加密文档
虽然可以限制对自己组织中的用户的访问权限,但也可以将访问权限扩展到Microsoft Entra ID中拥有帐户的任何其他用户。 默认情况下,无需任何其他配置即可对这些外部用户进行身份验证。 但是,Microsoft Entra外部标识跨租户访问设置和条件访问可能需要其他配置。
如果外部用户在 Microsoft Entra ID 中没有帐户,则可以使用租户中的来宾帐户进行身份验证。 如果为 SharePoint 和 OneDrive 中的 Office 文件启用了敏感度标签,则这些来宾帐户还可用于访问 SharePoint 或 OneDrive 中的共享文档。
有关可选Microsoft Entra功能和将来宾帐户用于身份验证要求的详细信息,请参阅加密内容的Microsoft Entra配置。
从Microsoft了解权限管理技术的所有 Office 应用和其他应用程序都可以在用户成功进行身份验证后打开加密文档。
Office 应用应用标记和加密时
Office 应用应用的内容标记和加密与敏感度标签不同,具体取决于你使用的应用。
应用 | 内容标记 | 加密 |
---|---|---|
所有平台上的 Word、Excel 和 PowerPoint | 立即 | 立即 |
Outlook for PC | Exchange Online发送电子邮件或会议邀请后 | 立即 |
*Outlook for Mac 、Outlook 网页版、iOS 和 Android | Exchange Online发送电子邮件或会议邀请后 | Exchange Online发送电子邮件或会议邀请后 |
*具有新Outlook for Mac的版本 16.79+。 早期版本会立即加密。
将敏感度标签应用于 Office 应用外部文件的解决方案会通过向文件应用标签元数据来实现此限制。 在这种情况下,从标签的配置标记的内容不会插入文件,但会应用加密。 在 Office 应用中打开这些文档时,内容标记不会自动应用。 同样,在 Office 应用外部删除标签时,不会删除内容标记,即使这些文档稍后在 Office 应用中打开也是如此。
包括应用 Office 应用外部敏感度标签的方案包括:
来自 Microsoft Purview 信息保护 客户端的扫描程序、文件资源管理器和 PowerShell
SharePoint 和 OneDrive 的自动标记策略
从 Power BI 导出标记和加密的数据
从Microsoft Defender for Cloud Apps自动应用标签
对于这些方案,使用其 Office 应用,用户可以通过暂时删除或替换当前标签,然后重新应用原始标签来应用标签的内容标记。
包含变量的内容标记
重要
如果你的 Office 应用不支持此功能,其将标记应用为标签配置中指定的原始文本,而不是解决变量。 有关 Office 应用中的敏感度标签,请参阅最低版本中的表。
为标记内容配置敏感度标签时,可以在文本字符串中为页眉、页脚或水印使用以下变量:
变量 | 说明 | 应用标签时的示例 |
---|---|---|
${Item.Label} |
已应用的标签的显示名称 | 常规 |
${Item.Name} |
被标签内容的文件名或电子邮件主题 | Sales.docx |
${Item.Location} |
被标签的文档的路径和文件名,或者标记的电子邮件的电子邮件主题 | \\Sales\2020\Q3\Report.docx |
${User.Name} |
显示应用标签的用户名称 | Richard Simone |
${User.PrincipalName} |
Microsoft Entra应用标签的用户 (UPN) 的用户主体名称 | rsimone@contoso.com |
${Event.DateTime} |
标记内容的日期和时间,以应用 Microsoft 365 应用中应用标签的用户的本地时区,或 Office Online 和自动标签策略的 UTC(协调世界时)表示 | 2020/8/10 下午 1:30 |
注意
这些变量的语法区分大小写。
动态水印 还支持插入用户的电子邮件地址。 但是,带有变量的内容标记使用应用标签的用户的电子邮件地址,该地址适用于问责。 动态水印显示当前正在打开文档的用户的电子邮件地址,该地址充当对数据泄露的视觉威慑。
其他注意事项:
所有带或不带变量的内容标记都可以与不应用加密的标签一起应用。 动态水印只能与应用管理员定义的加密的标签一起应用。
在将包含或不带动态变量的所有内容标记应用于已标记的内容后,用户可以更改或删除这些标记。 应用动态水印后,如果不删除标签或导出 ((如果允许) 内容),则不能更改或删除动态水印。
具有或不带动态变量的所有内容标记都可以使用不同的字体、颜色和方向进行自定义。 动态水印不支持此自定义。
动态水印附带的限制提供了更高的安全性,但也可能会阻止文档在不支持此功能的桌面版 Office 中打开。 仅当需要此级别的保护时,才使用动态水印,在不需要时使用标准内容标记。 有关详细信息,请参阅 动态水印 文档。
为 Word、Excel、PowerPoint 和 Outlook 设置不同的内容标记
作为附加变量,可以使用文本字符串中的“If.App”变量语句配置每个 Office 应用程序类型的内容标记,并使用Word、Excel、PowerPoint 或 Outlook 的值来标识应用程序类型。 如果要在同一个语句中指定多个值,也可缩简这些值,If.App 值。
使用以下语法:
${If.App.<application type>}<your visual markings text> ${If.End}
与其他内容标记一样,语法区分大小写,其中包括 WXPO) (每种应用程序类型的缩写。
示例:
仅设置 Word 文档的页眉文本:
${If.App.Word}This Word document is sensitive ${If.End}
标签仅应用于 Word 文档标题,可应用标题文本"此 Word 文档很敏感"。 标题文本不应用于其他 Office 应用程序。
为 Word、Excel 和 Outlook 设置页脚文本,以及 PowerPoint 的不同页脚文本:
${If.App.WXO}This content is confidential. ${If.End}${If.App.PowerPoint}This presentation is confidential. ${If.End}
在 Word、Excel 和 Outlook 中,标签应用页脚文本“此内容是机密的”。在 PowerPoint 中,标签应用页脚文本“此演示文稿是机密的”。
为 Word 和 PowerPoint 设置特定水印文本,然后为 Word、Excel 和 PowerPoint 设置水印文本:
${If.App.WP}This content is ${If.End}Confidential
在 Word 和 PowerPoint 中,标签将应用水印文本"此内容为机密"。 在 Excel 中,标签应用水印文字"机密"。 在 Outlook 中,标签不会应用任何水印文本,因为 Outlook 不支持水印作为内容标记。
要求用户为其电子邮件和文档应用标签
重要
此配置有时称为强制标记。 若要检查支持的 Office 版本,请参阅 Office 应用中敏感度标签的最低版本中的表。
要对文档而不是电子邮件使用强制标签,请参阅下一节中说明如何配置 Outlook 特定选项的指示。
要对 Power BI 使用强制标签,请参阅 Power BI 的强制标签策略。
选择策略设置 “要求用户对其电子邮件和文档应用标签 ”时,分配了该策略的用户必须在其 Office 应用中选择并应用敏感度标签:
对于文档(Word、Excel、PowerPoint):打开或保存无标记的文档时。
对于电子邮件 (Outlook):用户发送无标记的电子邮件。 对于 Outlook Mobile,首次 撰写电子邮件时,可以将其更改为 。
其他信息:
未标记意味着从用户租户发布的敏感度标签不会应用于内容。 此策略设置将忽略 其他租户应用的 敏感度标签。
当系统提示用户添加敏感度标签时,因为他们打开了一个无标记的文档,他们可添加标签,或者选择在只读模式下打开文档。
当强制标签生效时,用户不能从文档中删除敏感度标签,但可以更改现有标签。
当强制标记生效时,如果文档被标记或加密,打印到 PDF 选项将不可用。 有关详细信息,请参阅此页上的 PDF 支持 部分。
有关何时使用此设置的指导,请参阅有关策略 设置。
注意
如果要对文档和电子邮件使用默认标签策略设置以及强制标签设置:
默认标签始终优先于必需标签。 但是,如果使用的 Office 版本尚不支持现有文档的默认标签,系统会提示用户为每个新文档应用敏感度标签。
通过使用功能表和行将默认标签应用于现有文档,确定支持现有文档默认标签的 Word、Excel 和 PowerPoint 的最低版本。
对于 Outlook Mobile,在提示用户输入标签时进行更改
此设置要求 Outlook for Android 和 Outlook for iOS 的最低版本为 4.2316.0。
可以使用 Microsoft Intune 托管应用应用配置策略从 Intune 应用软件开发工具包 (SDK) 配置设置,当系统提示用户为 Outlook Mobile 选择敏感度标签时,该设置会更改。
在为电子邮件配置强制标签时,此配置会导致在用户首次撰写邮件时提示输入标签,而不是在发送时提示输入标签。
此配置要求在策略中将以下键/值对指定为常规配置设置:
键 | 值 |
---|---|
com.microsoft.outlook.Mail.LouderMandatoryLabelEnabled | true |
Outlook 特定的默认标签和强制标签选项
通过使用 Outlook 的功能表和默认标签和强制标签的不同设置行,确定支持这些功能的 Outlook 的最低版本。
Outlook 应用支持的默认标签设置与文档的默认标签设置不同时:
- 在 Microsoft Purview 门户或Microsoft Purview 合规门户的标签策略配置中,在“将默认标签应用于电子邮件”页上:可以指定将应用于所有未标记电子邮件的敏感度标签,也可以指定无默认标签。 此设置独立于配置的之前 文档策略设置 页面上的 默认将此标签应用于文档 设置。
如果 Outlook 应用不支持与文档的默认标签设置不同的默认标签设置:Outlook 将始终使用你为标签策略配置的 文档策略设置 页面上 默认将此标签应用于文档 所指定的值。
当 Outlook 应用支持关闭强制标签时:
- 在 Microsoft Purview 门户或Microsoft Purview 合规门户的标签策略配置中,在“策略设置”页上:选择“要求用户对其电子邮件或文档应用标签”。 然后选择“下一步”>“下一步”,并清除复选框“要求用户向电子邮件应用标签”。 如果要对电子邮件和文档应用强制标签,请保持选中复选框。
当 Outlook 应用不支持关闭强制标签时:如果选择“要求用户向其电子邮件或文档应用标签”作为策略设置,Outlook 将始终提示用户为未标记的电子邮件选择标签。
将标签范围限定为仅文件或电子邮件
注意
通过使用功能 表和行范围 标签到文件或电子邮件,确定支持此功能的最低版本。
除非用户使用的所有平台上都支持此功能,否则他们将具有不一致的标签体验。 例如,一个平台上的Word不会显示他们在其他平台上看到的标签。
在 Microsoft Purview 门户或Microsoft Purview 合规门户中创建或编辑敏感度标签时,可以使用此配置:
- 若要将标签范围限定为仅Word、Excel 和 PowerPoint:请确保选择了“文件 & 其他数据资产”选项,而不是“电子邮件”选项。
- 若要将标签范围限定为 Outlook,请确保选择了 “电子邮件” 选项,而不是“ 文件”& 其他数据资产的选项。
警告
尽管可以编辑现有标签并删除 文件 & 其他数据资产 范围,但我们不建议这样做,因为现有配置可能不再按预期工作。 例如,SharePoint 网站管理员无法理解为什么他们选择为文档库的默认标签的敏感度标签不再应用该标签。
如果只想为电子邮件创建敏感度标签,请创建一个仅包含 “电子邮件 ”范围的新标签,而不是编辑现有标签。
如果不需要将标签范围限定为仅Word、Excel 和 PowerPoint 或 Outlook,请确保选中这两个选项。
请记住,其他标签配置也会影响敏感度标签在应用中是否可见。 查看文档,了解使用的标签配置。
注意
“文件 & 其他数据资产”选项可以包括除 Office 文件以外的项目,例如 Power BI 文件。 查看应用程序的文档进行验证,并记住测试组织使用的所有标记应用和服务。
请注意,此配置会影响客户端应用和服务、手动标记和自动标记。 例如:
默认标签:
- 如果范围不包括电子邮件,则不会应用为电子邮件配置的默认标签。
- 如果范围不包括文件,则不会应用为文件配置的默认标签,并且不能选择作为 SharePoint 文档库的默认敏感度标签。
自动标记策略:
- 如果范围不包括电子邮件,则无法为包含 Exchange 位置的自动标记策略选择标签。
- 如果范围不包括文件,则无法为包含 SharePoint 和 OneDrive 位置的自动标记策略选择标签。
-
- 如果范围不包括电子邮件,则无法选择“ 不转发 ”或“ 仅加密”加密选项。
- 如果范围不包括文件,则无法选择加密选项“在 Word、PowerPoint 和 Excel 中,提示用户指定权限。
-
- 对于此配置,标签的范围必须同时限定为文件和电子邮件。
此外,如果之前已应用标签,但随后从其中一个范围中删除,则用户将不再在支持此功能的应用中看到该标签应用于范围。
由于将标签范围限定为文件或电子邮件的影响,某些现有标记配置将阻止删除 文件 & 其他数据资产 和 电子邮件的范围选项:
- 标签策略中的默认标签
- 在频道会议中应用的默认标签
- 为自动标记策略选择的标签
在将标签范围限定为文件或电子邮件之前,必须先将其配置为这些默认标签之一,然后将其从任何自动标记策略中删除。
局限性:
如果使用任何标签策略设置,其敏感度标签的范围仅限于 “文件”& 其他数据资产 或仅限定为 “电子邮件”,则同一策略还必须包含至少一个具有这两个作用域选项的标签。
如果标签配置为一个或多个标签策略中的默认标签,并且 Outlook 未在同一策略中配置其自己的默认标签,则无法删除Email的范围。 解决方法是,首先删除此标签作为默认标签。 然后,你将能够删除电子邮件范围。 最后,重新选择“现在已修改的标签”作为文档的默认标签。
配置标签以在 Outlook 中应用 S/MIME 保护
注意
通过使用 Outlook 的功能表和行“应用 S/MIME 保护”,确定支持此功能的 Outlook 的最低版本。
如果将标签配置为应用 S/MIME 保护,但你的 Outlook for Windows 版本尚不支持它,则标签仍会显示并可以应用,但 S/MIME 设置将被忽略。 无法为 Exchange 自动标记策略选择此标签,也无法将其配置为 保护日历项目、Teams 会议和聊天。
此配置在 Microsoft Purview 门户或Microsoft Purview 合规门户中不可用。 连接到 Security & Compliance PowerShell 后,必须将 PowerShell 高级设置与 Set-Label 或 New-Label cmdlet 配合使用。
仅当具备有效的 S/MIME 部署并且希望标签自动对电子邮件应用此保护方法,而不是使用 Azure 信息保护中的 Rights Management 加密的默认保护时,才使用这些设置。 生成的保护将与用户从 Outlook 手动选择 S/MIME 选项时相同。
配置 | 高级设置键/值 |
---|---|
S/MIME 数字签名 | SMimeSign=“True” |
S/MIME 加密 | SMimeEncrypt=“True” |
无需在 Microsoft Purview 门户或Microsoft Purview 合规门户中为加密配置为这些设置配置的标签。 但如果是,S/MIME 保护将仅替换 Outlook 中的 Rights Management 加密。 对于其他应用,标签会应用 Microsoft Purview 门户或Microsoft Purview 合规门户中指定的加密设置。
示例,其中敏感度标签 GUID 为 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeSign="True"}
Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeEncrypt="True"}
有关指定 PowerShell 高级设置的更多帮助,请参阅 用于指定高级设置的 PowerShell 提示。
配置电子邮件附件中的标签继承
注意
通过使用 Outlook 的功能表和行“电子邮件附件中的标签继承”,确定支持此功能的 Outlook 的最低版本。
当用户将标记的文档附加到未手动标记的电子邮件时,请启用电子邮件继承。 使用此配置时,系统会根据应用于附件并发布到用户的敏感度标签,为电子邮件动态选择敏感度标签。 当 Outlook 支持 最高优先级标签 时,会动态选择该标签。
此标签继承是否会覆盖电子邮件上的现有标签:
手动标记电子邮件后,电子邮件附件中的标签继承不会替换该标签。
从电子邮件附件继承的标签将替换自动应用或作为默认标签应用的较低优先级敏感度标签,但不会覆盖优先级较高的标签。
可以在“ 电子邮件的默认设置 ”页上的敏感度标签策略中配置此设置。 对于“从附件继承标签”部分,选中Email从附件继承最高优先级标签的复选框。 附件必须是物理文件,不能是指向 (文件的链接,例如,指向 sharePoint 或 OneDrive) Microsoft 文件的链接。
选中此复选框后,可以进一步选择以下选项: 建议用户应用附件标签,而不是自动应用附件标签。 如果没有此项选择,将自动应用标签,但用户仍然可以在发送电子邮件之前删除标签或选择其他标签。
默认情况下,如果自动选择的标签应用加密,则会对电子邮件应用相同的加密。 例如,如果最高优先级标签对“市场营销”组应用“完全控制”加密,则“营销”组将采用“完全控制”保护电子邮件。 如果最高优先级标签应用了“请勿转发”加密选项,则电子邮件也会标记为“不要转发”并对其进行加密。
但是,当电子邮件客户端不支持已应用于附件的特定保护操作时,请考虑结果:
双密钥加密:行为取决于 Outlook 是否支持此加密方法。 使用 功能表 和行 双密钥加密 (DKE) 确认对版本的支持。
当 Outlook 支持 DKE 时:如果最高优先级标签立即应用双密钥加密和 分配权限的加密设置,Outlook for Windows 会将该标签和保护应用于电子邮件。 如果标签配置为 “允许用户在应用标签时分配权限”,则不会应用标签和保护。
当 Outlook 不支持 DKE 时:如果优先级最高的标签应用了双密钥加密,则 Outlook for Windows 中的电子邮件不会选择标签或加密。
Word、PowerPoint 和 Excel 的自定义权限:如果优先级最高的标签仅对Word、PowerPoint 和 Excel 应用 (选项“允许用户在应用标签时分配权限”和“在 Word、PowerPoint 和 Excel 中,提示用户指定权限) ,不会为电子邮件选择标签或保护,因为 Outlook 不支持此标签配置。
PDF 支持
使用 Office 应用中敏感度标签的最低版本中 的表来标识支持的版本。
Office for Windows:Word、Excel 和 PowerPoint 支持以下方法将 Office 文档转换为 PDF 文档:
- 文件 > 另存为 > PDF
- 文件 > 导出 > PDF
- 共享 > 发送副本 > PDF
此操作使用“文件和页面活动”审核组中的“重命名文件”审核事件进行记录。 在 Microsoft Purview 门户或Microsoft Purview 合规门户的审核搜索结果中,你将看到“活动”字段显示“SensitivityLabeledFileRenamed”此审核事件的详细信息。
Office for iOS:Word、Excel 和 PowerPoint 支持以下方法将 Office 文档转换为 PDF 文档:
- 导出 > PDF
- 发送副本 > 以 PDF 形式发送
Office for Android:Word、Excel 和 PowerPoint 支持以下方法将 Office 文档转换为 PDF 文档:
- 共享 > 发送副本 -> PDF
Office 网页版:必须从浏览器下载文件。 支持以下方法将 Office 联机文档转换为 PDF 文档:
- Word和PowerPoint web 版:
- >另存为“下载为 PDF 下载”>
- Excel web 版:
- 将下载导出 > 为 PDF > 下载
- 打印 > 下载 > 为 PDF > 下载
创建 PDF 时,它将继承带有任何内容标记的标签。 对于 Windows,如果标签应用了加密,则也会继承该加密。 可在 Windows 或 Mac 上使用 Microsoft Edge 打开加密的 PDF。 有关详细信息,请参阅 在 Windows 或 Mac 上使用 Microsoft Edge 查看受保护的 PDF。
SharePoint 和 OneDrive 支持以下 PDF 方案:
为 敏感度标签启用 SharePoint 和 OneDrive 并 添加 PDF 支持后。 然后,如果上传带或不应用加密的带标签的 PDF 文档,则支持 PDF,这些服务可以处理文件,以便搜索、电子数据展示和数据丢失防护可以检查内容,并向用户显示敏感度标签名称。
Outlook 当前不支持从标记的邮件继承加密的 PDF 附件。 但是,Outlook 现在支持警告或阻止用户打印到 PDF,如下所述。
不支持 PDF 方案:
打印为 PDF
如果用户选择此选项,则会警告他们文档或邮件将失去标签保护和加密(如果已应用),并且必须确认才能继续。 如果敏感度标签策略需要删除标签或降低其分类的理由,用户会看到此提示。
由于此选项会删除敏感度标签,因此,如果使用强制标记,则用户将无法使用此选项。 此配置是指敏感度标签策略设置,要求用户对其电子邮件和文档应用标签。
PDF/A 格式和加密
当标签应用加密时,不支持此专为长期存档设计的 PDF 格式,并且会阻止用户将 Office 文档转换为 PDF。 有关配置信息,请参阅组策略文档,了解如何 使用 ISO 19005-1 (PDF/A) 强制执行 PDF 符合性。
密码保护和加密
文档标签应用加密时,不支持“文件>信息>保护文档>使用密码加密”选项。 在此方案中,用户将无法使用密码加密选项。
有关导出到 PDF 的详细信息,请参阅公告 将敏感度标签应用于使用 Office 应用创建的 PDF。
有关最终用户文档,请参阅 从 Office 文件创建受保护的 PDF 和 在 Windows 或 Mac 上使用 Microsoft Edge 查看受保护的 PDF。
禁用 PDF 支持
如果需要在 Office 应用中禁用适用于 Word、Excel 和 PowerPoint 的 PDF 支持,可以使用用户配置/管理模板/Microsoft Office 2016/Microsoft另存为 PDF 和另存为 XPS 加载项下的 组策略 Office 设置来执行此操作:
- 使用 Office 中的敏感度功能将敏感度标签应用于 PDF
将此设置配置为 “禁用”。
使用 组策略 或使用适用于 Microsoft 365 的云策略服务部署此设置。
敏感度栏
使用 Office 应用中敏感度标签的最低版本中 的表来确定哪些 Office 版本支持敏感度栏。
当Word、Excel 和 PowerPoint 支持此功能时,敏感度标签将显示在顶部窗口栏上文件名旁边的敏感度栏中。 例如:
当 Outlook 支持此功能时,敏感度栏将显示在电子邮件的 “主题 ”行上。 例如:
有关标签的信息以及选择或更改标签的功能也集成到用户工作流中,其中包括保存和重命名、导出、共享、打印和 转换为 PDF。 有关详细信息和示例屏幕截图,请参阅博客文章公告: Office for Windows 中的新敏感度栏。
作为这种高可见性的一部分,这些标签还支持颜色。 有关详细信息,请参阅下一节。
标签颜色
如果标记应用不支持此功能,则它们不会显示配置的标签颜色。 若要确定 Office 应用的受支持版本,请参阅 Office 应用中敏感度标签的最低版本中的表。
默认情况下,新创建的标签没有颜色。 使用 Microsoft Purview 门户或Microsoft Purview 合规门户为敏感度标签选择 10 种标准颜色之一。 标签颜色配置位于标签配置的第一页上,标签名称和说明之后。
无法为子标签选择颜色,因为它们会自动从父标签继承标签颜色。
如果为标签配置了与 10 种默认颜色之一不同的颜色,则会看到选中“使用以前分配的自定义颜色检查”框,并且标准颜色选项不可用。 可以通过先清除复选框,将自定义颜色更改为标准颜色之一,然后选择其中一种标准颜色。
不能使用 Microsoft Purview 门户或Microsoft Purview 合规门户配置其他自定义颜色。 请改用 PowerShell,如下一部分所述。
使用 PowerShell 配置自定义颜色
可以使用 安全性 & 符合性 PowerShell 高级设置 颜色 来设置敏感度标签的颜色。 此配置支持无法在 Microsoft Purview 门户或Microsoft Purview 合规门户配置的颜色。
若要指定所选颜色,请对颜色的红色、绿色和蓝色 (RGB) 组件使用十六进制三元代码。 例如,#40e0d0 是青绿色的 RGB 十六进制值。
有关这些代码的详细信息,请参阅 <MSDN Web 文档中的颜色> 页,并且可能还会发现 RapidTables 有所帮助。 可以在许多应用程序中识别这些代码,以便编辑图片。 例如,Microsoft 画图可以让你从调色板中选择自定义颜色,并将自动显示 RGB 值,因此你可以复制该颜色。
示例 PowerShell 命令,其中敏感度标签 GUID 为 8faca7b8-8d20-48a3-8ea2-0f96310a848e
Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{color="#40e0d0"}
有关帮助你为敏感度标签指定 PowerShell 高级设置的详细信息,请参阅 用于指定高级设置的 PowerShell 提示。
为父标签指定默认子标签
注意
通过使用 功能表 和 父标签的“默认”子标签行,确定支持此设置的 Office 的最低版本。
此配置在 Microsoft Purview 门户或Microsoft Purview 合规门户中不可用。 连接到 Security & Compliance PowerShell 后,必须将 PowerShell 高级设置 DefaultSubLabelId 与 Set-Label 或 New-Label cmdlet 配合使用。
向标签添加子标签时,用户无法再将父标签应用于项目。 默认情况下,用户选择父标签以查看他们可以应用的子标签,然后选择其中一个子标签。 如果为父标签指定默认子标签,则当用户选择父标签时,将自动选择并为其应用子标签。
例如,使用默认子标签“所有员工”配置父标签“机密”。 下一个父标签 “高度机密”未配置默认子标签。 可以通过高度机密不可见的机密标签栏的末尾来区分:
当用户选择该垂直栏左侧时,他们通过单一选择自动选择 “机密\所有员工 ”。 如果需要其他子标签,则必须选择垂直栏右侧的标签扩展,然后显示所有子标签以供选择。 相比之下,如果他们选择“ 高度机密”,则始终显示该标签的子标签以供选择。
配置此标签设置后,请记住相应地更新最终用户文档。
示例 PowerShell 命令,其中父敏感度标签 GUID 为 8faca7b8-8d20-48a3-8ea2-0f96310a848e 及其要指定为默认值的子标签 为 1ace2cc3-14bc-4142-9125-bf946a70542c:
Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{DefaultSubLabelId="1ace2cc3-14bc-4142-9125-bf946a70542c"}
有关指定 PowerShell 高级设置的更多帮助,请参阅 用于指定高级设置的 PowerShell 提示。
防止某些用于分析内容的连接体验
注意
此设置尚不可用于所有客户端平台。 使用 功能表 和行 “阻止用于分析内容的连接体验”,确定支持此设置的 Office 的最低版本。
此配置在 Microsoft Purview 门户或Microsoft Purview 合规门户中不可用。 连接到 Security & Compliance PowerShell 后,必须将 PowerShell 高级设置 BlockContentAnalysisServices 与 Set-Label 或 New-Label cmdlet 配合使用。
通过此设置,可以阻止将 Word、Excel、PowerPoint 和 Outlook 中的内容作为隐私控件发送到Microsoft进行内容分析。 但是,设置后,这意味着某些服务将无法按设计工作,例如 Outlook 的数据丢失防护策略提示、自动标记和建议标记以及智能 Microsoft 365 Copilot 副驾驶®。
重要
尽管已配置敏感度标签的内容将从命名 Office 应用中的智能 Microsoft 365 Copilot 副驾驶®中排除,但对于其他方案,这些内容仍可供智能 Microsoft 365 Copilot 副驾驶®。 例如,在 Teams 中,在浏览器中进行基于 Graph 的聊天。
示例 PowerShell 命令,其中敏感度标签 Confidential\Project Onyx 的 GUID 为 8faca7b8-8d20-48a3-8ea2-0f96310a848e ,并且你希望阻止 Office 应用中具有此标签的所有文档和电子邮件发送到Microsoft连接体验进行分析:
Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{BlockContentAnalysisServices="True"}
若要将已标记内容发送到Microsoft连接体验进行分析的默认设置,请删除设置或将值设置为 False。
有关指定 PowerShell 高级设置的更多帮助,请参阅 用于指定高级设置的 PowerShell 提示。
将受此设置影响的 连接体验 列表:
连接体验 | 应用 |
---|---|
首字母缩略词 | Word |
自动 alt txt | Word、PowerPoint、Excel、Outlook |
自动应用或推荐敏感度标签 | Word、PowerPoint、Excel、Outlook |
Microsoft 365 Copilot | Word、PowerPoint、Excel、Outlook |
Microsoft Purview 数据丢失防护策略提示 | Outlook |
PowerPoint 设计器 | PowerPoint |
相似度检查器 | Word |
翻译工具 | Word、PowerPoint、Excel、Outlook |
审核标签活动
有关敏感度标签活动生成的审核事件的信息,请参阅审核日志活动文档中的 敏感度标签 活动部分。
此审核信息在 内容浏览器 和 活动资源管理器 中直观地表示,以帮助你了解敏感度标签的使用方式以及此标签内容的位置。
在 导出并配置审核日志记录 时,还可以使用所选的安全信息和事件管理 (SIEM) 软件创建自定义报表。 有关更大规模的报告解决方案,请参阅Office 365管理活动 API 参考。
提示
要帮助创建自定义报表,请参阅以下博客文章: