本文为澳大利亚政府组织提供有关配置 Microsoft Purview 敏感度标记的指导。 其目的是帮助组织加强其数据安全方法,并简化Microsoft Purview 功能的部署。 本指南中的建议与 保护性安全策略框架 (PSPF) 和 信息安全手册 (ISM) 中所述的要求保持一致。
敏感度标签从 Microsoft Purview 门户的“信息保护”菜单下创建。
若要创建敏感度标签,管理员需要提供标签名称、用户说明以及本文中讨论的其他一些配置项目。
标签命名
标签名称 是敏感度标签的唯一标识符。 此字段对用户不可见,但在配置标签时对管理员可见。
标签名称不能包含特殊字符,这意味着管理员需要省略某些字符,例如 : “官方:敏感”。 其他位置(例如 敏感度标签内容标记中)允许使用一些特殊字符(如冒号)。 标记项目时,内容标记适用,因此标签名称中缺少冒号字符不会影响 PSPF 符合性。
选择敏感度标签时,用户可以看到标签 显示名称 。 它不需要是唯一的,可以包含一些特殊字符。 与标签名称一样,显示名称不能包含冒号 : 字符。
本指南中建议的配置使用分层标签分类,其中包括所谓的子标签。 子标签是位于另一个标签下方的标签。 具有子标签的标签称为“父标签”。 在 PSPF 对齐的配置中,标签命名可能存在冲突。 例如,官方敏感作为父标签和子标签。
父标签仅用于导航。 子标签是应用于实际项的内容。 在某些情况下,基础标签名称对管理员可见。 为简单起见,Microsoft建议将子标签名称与标签显示名称保持一致,并用不同的方式命名父标签。 例如,对父标签名称应用前缀(例如类别的“cat_”),以指示它是父标签名称。 例如:
| 最终用户) 看不到 (标签名称 | 标签类型 | 标签用途 | 最终用户) 看到的标签显示名称 ( |
|---|---|---|---|
| cat_OFFICIAL敏感 | 父标签 | 在敏感度菜单中用于显示一组子标签。 不适用于项目。 | 官方敏感 |
| 官方敏感 | 子标签 | 应用于项并包含配置。 | 官方敏感 |
提示
基础标签名称影响不大。 对于新部署,值得注意标签命名。 如果已部署敏感度标记,则重新创建标签以整理标签命名没有什么好处。
用户的标签说明
用户字段的标签说明 显示为“工具提示”,以帮助他们选择标签。 例如:
重要
确保标签说明措辞清晰易懂,以帮助确保标签正确应用于项目。 如果说明措辞不当,则用户可能会对项目应用不正确的标签,从而导致数据安全控制不当。
标签说明应包括标签中包含的所有元素的信息,例如:
- 分类
- 警告
- 信息管理标记 (IMM)
例如,如果将项目标记为“官方:敏感国家内阁”,请确保同时包含“官方:敏感”和“国家内阁”标记的说明。 如果没有这两个标记,当用户收到一个项目并查看标签说明时,他们将无法访问这两个元素的说明。 用户需要这两种说明才能了解其保护所附信息的全部义务。
标签说明示例
以下从 保护安全策略框架 (PSPF) 摘录,根据泄露的潜在损害提供基本标签说明建议。 可以根据每个政府组织的要求定制措辞:
| 敏感度标签 | 标签描述 |
|---|---|
| 非官方 |
无业务影响 无损坏。 此信息不是官方职责的一部分。 |
| 官方 |
低业务影响 无或微不足道的损坏。 这是大多数例行信息。 |
| 官方敏感 (类别) |
中低业务影响 由于其敏感性,官方信息需要有限的传播。 泄露信息将导致对个人、组织或政府造成有限的损害。 |
| 官方敏感 |
中低业务影响 如果受到威胁,通常对个人、组织或政府造成的损害有限。 |
| 官方敏感个人隐私 |
中低业务影响 如果受到威胁,通常对个人、组织或政府造成的损害有限。 个人隐私指示该项目还包含出于业务目的而收集的个人信息。 |
| 官方敏感法律特权 |
中低业务影响 如果受到威胁,通常对个人、组织或政府造成的损害有限。 法律特权表示该项还包含信息受法律专业特权的约束。 泄露信息的机密性可能至少对国家利益、组织或个人造成有限的损害。 |
| 官方敏感立法保密 |
中低业务影响 如果受到威胁,通常对个人、组织或政府造成的损害有限。 信息还受一个或多个立法保密条款的约束。 泄露此信息的机密性可能至少对国家利益、组织或个人造成有限的损害。 |
| 官方敏感国家内阁 |
中低业务影响 如果受到威胁,通常对个人、组织或政府造成的损害有限。 国家内阁确定为国家内阁或其小组委员会准备的任何信息。 根据内阁公约和法律框架和程序(如信息自由、议会调查和司法程序)处理。 |
| 受保护的 (类别) |
高业务影响 损害国家利益、组织或个人。 |
| 保护 |
高业务影响 损害国家利益、组织或个人。 |
| 受保护的个人隐私 |
高业务影响 损害国家利益、组织或个人。 个人隐私指示该项目还包含出于业务目的而收集的个人信息。 |
| 受保护的法律特权 |
高业务影响 损害国家利益、组织或个人。 法律特权表示该项还包含信息受法律专业特权的约束。 泄露信息的机密性可能至少对国家利益、组织或个人造成有限的损害。 |
| 受保护的立法保密性 |
高业务影响 损害国家利益、组织或个人。 信息还受一个或多个立法保密条款的约束。 泄露此信息的机密性可能至少对国家利益、组织或个人造成有限的损害。 |
| 受保护的 CABINET |
高业务影响 损害国家利益、组织或个人。 内阁警告指出,为向内阁通报情况、透露内阁的决定或审议而准备的任何信息,由各部门准备,向部长通报内阁拟议中的事项,或为通知内阁将审议的建议而制定的。 |
| 受保护的国家内阁 |
高业务影响 损害国家利益、组织或个人。 国家内阁确定为国家内阁或其小组委员会准备的任何信息。 它将按照内阁公约和法律框架和程序(如信息自由、议会调查和司法程序)处理。 |
敏感度标签颜色
标签颜色选项有助于提高用户对项目敏感度的感知,并增强标签感知客户端的用户界面。 它们提供一个颜色编码的屏蔽图标,该图标与已标记的项上的敏感度标签一起显示。
在此类功能不可用的情况下,通常可以使用颜色来代替基于文本的标记。 2024 版 PSPF 中未指定这些要求。 澳大利亚政府客户可以将其标签颜色与传统分类颜色代码保持一致。 例如:
| 安全分类 | 基于颜色的标记 |
|---|---|
| 官方:敏感 | 黄色 |
| 保护 | 蓝色 |
注意
Microsoft建议同时使用基于颜色和单词的标记,以改善用户体验和 辅助功能。
标签范围
标签范围用于为敏感度标签启用特定配置选项。 范围选项包括:
- 文件 & 其他数据资产 ,允许将此标签应用于 office 文档 (文件 & PDF) 。
- 允许通过 Outlook 或其他标签感知电子邮件客户端标记电子邮件的电子邮件。
- 允许对 Teams 会议或 Outlook 日历项目进行标记的会议。
- 允许将 标签应用于 SharePoint 网站、Microsoft 365 个组和 Teams 的组和网站。
组和站点选项需要启用才能进行选择。 将敏感度标签分配给 Microsoft Entra ID 中的 Microsoft 365 个组中概述了组和站点的配置步骤。
注意
组 和网站 标签范围选项通常不需要每个敏感度标签。 某些标签(例如包含 (“官方敏感个人隐私”) 的 IMM)更有可能应用于单个项目,例如文档或电子邮件。 如果是这样,则启用官方敏感标签的 组和站点 选项只能是最合适的配置,而 IMM 和警告的设置会关闭。
标签加密
标签加密范围选项允许 Azure Rights Management 在标记项时对其应用加密。 Azure Rights Management 加密可确保未经授权的用户访问项。
对于刚Microsoft Purview 的组织和管理员,建议在生成和完成初始测试时禁用加密。 此功能可能会影响可用性和与其他服务的集成,并且通常需要更高级别的功能成熟度才能成功启用。 敏感 度标签加密中提供了有关加密配置的详细信息。
敏感度标签内容标记
这组选项允许将基于文本的视觉标记应用于文档和电子邮件。 可用选项包括页眉、页脚和水印。 这些配置选项符合 PSPF 标记要求。
| 要求 | 详情 |
|---|---|
| PSPF 2024 - 09。 分类 & 注意事项 - 要求 61 | 安全分类信息使用适用的安全分类进行明确标记,并在相关时使用基于文本的标记进行安全警告,除非出于作原因不切实际。 |
第 9.3.1 节(物理信息的保护和处理要求)指定基于文本的标记应为“每个页面的顶部和底部的中心;大写字母、粗体文本、大字体和独特的颜色 (红色首选) 。
可以使用 PowerShell 调整标签视觉对象标记、字体和粗体大小的配置。 例如,若要更改应用于字体“富兰克林哥特式中等”字体(大小为 14)的项目的字体以及红色文本,可以使用以下 PowerShell 脚本。
`Set-Label -Identity UNOFFICIAL -ApplyContentMarkingHeaderFontName "Franklin Gothic Medium"
此命令提供以下视觉标记,这与 PSPF 要求非常一致:
内容标记非常重要,因为各种Microsoft用户界面提供的敏感度标签指示器仅在组织环境中可见。 当标记的项目发送到外部组织时,除非通过 自动应用敏感度标签中涉及的方法解决,否则不会存在此类指示器。
配置内容标记后,安全分类将嵌入到项中,并且无论使用客户端打开或编辑它们,都可见。 这样,外部收件人(可能未使用 Microsoft 365 应用版 客户端)仍可查看其应用的安全分类。 标记在导出到 PDF 或打印的项目上也可见。
自动标记
配置为敏感度标签配置的一部分的自动标记选项称为基于客户端的自动标记。 此功能可为在 Outlook 或 Microsoft 365 应用版 客户端中工作的用户提供标签建议,从而提示用户根据敏感内容的检测提高敏感度标签。 例如,可能会提示用户起草包含敏感关键字 (keyword) 或与 PROTECTED 信息一致的模式的 UNOFFICIAL 电子邮件,以提高项目对 PROTECTED 的敏感度。 此功能:
- 有助于确保标签正确性。
- 帮助确保在任何下游项目(例如回复电子邮件或适用于 Microsoft 365 生成内容的 Copilot)上维护应用的标签。
- 帮助用户了解正确的标签应用程序。
基于客户端的自动标记是一项高级功能,需要一些注意事项才能有效地使用。 建议在初始配置中禁用这些选项,但随着合规性成熟度的提高而启用它们。
有关根据澳大利亚政府要求配置基于客户端的自动标记的进一步指导,请参阅 基于客户端的自动标记建议。
敏感度标签配置示例
下表提供了符合 PSPF 要求的示例配置:
| 标签名称 | 标签显示名称 | 范围 | 标签颜色 | 内容标记 |
|---|---|---|---|---|
| 非官方 | 非官方 | 文件、Email、组 & 网站、会议 | 绿色 | 页眉: 颜色:红色,大小:14,对齐:居中,文本:UNOFFICIAL 页脚: 颜色:红色,大小:14,对齐:居中,文本:UNOFFICIAL |
| 官方 | 官方 | 文件、Email、组 & 网站、会议 | 灰色 | 页眉: 颜色:红色,大小:14,对齐:居中,文本:官方 页脚: 颜色:红色,大小:14,对齐:居中,文本:官方 |
| Cat_OFFICIAL敏感 | 官方敏感 | 文件,Email | 黄色 | 页眉: 颜色:红色,大小:14,对齐:居中,文本:官方:敏感 页脚: 颜色:红色,大小:14,对齐:居中,文本:官方:敏感 |
| 官方敏感 | 官方敏感 | 文件、Email、组 & 网站、会议 | 不适用 | 页眉: 颜色:红色,大小:14,对齐:居中,文本:官方:敏感 页脚: 颜色:红色,大小:14,对齐:居中,文本:官方:敏感 |
| 官方敏感个人隐私 | 官方敏感个人隐私 | 文件,Email | 不适用 | 页眉: 颜色:红色,大小:14,对齐:居中,文本:官方:敏感个人隐私 页脚: 颜色:红色,大小:14,对齐:居中,文本:官方:敏感个人隐私 |
| 官方敏感法律特权 | 官方敏感法律特权 | 文件,Email | 不适用 | 页眉: 颜色:红色,大小:14,对齐:居中,文本:官方:敏感法律特权 页脚: 颜色:红色,大小:14,对齐:居中,文本:官方:敏感法律特权 |
| 官方敏感立法保密 | 官方敏感立法保密 | 文件,Email | 不适用 | 页眉: 颜色:红色,大小:14,对齐:居中,文本:官方:敏感立法保密 页脚: 颜色:红色,大小:14,对齐:居中,文本:官方:敏感立法保密 |
| 官方敏感国家内阁 | 官方敏感国家内阁 | 文件、Email、组 & 网站 | 不适用 | 页眉: 颜色:红色,大小:14,对齐:居中,文本:官方:敏感//国家柜 页脚: 颜色:红色,大小:14,对齐:居中,文本:官方:敏感//国家柜 |
| Cat_PROTECTED | 保护 | 文件,Email | 蓝色 | 页眉: 颜色:红色,大小:14,对齐:居中,文本:受保护 页脚: 颜色:红色,大小:14,对齐:居中,文本:受保护 |
| 保护 | 保护 | 文件、Email、组 & 网站、会议 | 不适用 | 页眉: 颜色:红色,大小:14,对齐:居中,文本:受保护 页脚: 颜色:红色,大小:14,对齐:居中,文本:受保护 |
| 受保护的个人隐私 | 受保护的个人隐私 | 文件,Email | 不适用 | 页眉: 颜色:红色,大小:14,对齐:居中,文本:受保护的个人隐私 页脚: 颜色:红色,大小:14,对齐:居中,文本:受保护的个人隐私 |
| 受保护的法律特权 | 受保护的法律特权 | 文件,Email | 不适用 | 页眉: 颜色:红色,大小:14,对齐:居中,文本:受保护的法律特权 页脚: 颜色:红色,大小:14,对齐:居中,文本:受保护的法律特权 |
| 受保护的立法保密性 | 受保护的立法保密性 | 文件,Email | 不适用 | 页眉: 颜色:红色,大小:14,对齐:居中,文本:受保护的立法保密性 页脚: 颜色:红色,大小:14,对齐:居中,文本:受保护的立法保密性 |
| 受保护的 CABINET | 受保护的 CABINET | 文件、Email、组 & 网站 | 不适用 | 页眉: 颜色:红色,大小:14,对齐:居中,文本:PROTECTED//CABINET 页脚: 颜色:红色,大小:14,对齐:居中,文本:PROTECTED//CABINET |