通过敏感度标签应用加密,从而限制对内容的访问

Microsoft 365 安全 & 合规性许可指南

创建敏感度标签时,可以限制对将应用标签的内容的访问。 例如,使用敏感标签的加密设置可保护内容,以便:

  • 只有组织中的用户才能打开机密文档或电子邮件。
  • 只有市场部的用户才能编辑和打印促销声明文档或电子邮件,而组织中的所有其他用户只能阅读它。
  • 用户无法转发电子邮件或从中复制包含有关内部组织的新闻的信息。
  • 发送到业务合作伙伴的当前价目表在指定日期后无法打开。
  • 只有发送会议邀请以启动机密项目的人员才能打开会议邀请,但无法将其转发给其他人。

加密文档、电子邮件或会议邀请时,将限制对内容的访问,以便:

  • 只能由标签的加密设置授权的用户解密。
  • 无论其所在位置(组织内部或外部)如何,仍保持加密状态,即使该文件被重命名也是如此。
  • 静态加密(例如,在 OneDrive 帐户中)和传输加密(例如,正在通过 Internet 传输的电子邮件)。

最后,作为管理员,你在配置敏感度标签来应用加密时可选择执行下述任一操作:

  • 立即分配权限,以便准确确定哪些用户获得了带有该标签的内容的哪些权限。
  • 在用户将此标签应用到内容时允许用户分配权限。 这样,即可让组织内部人员在协作处理和完成任务时具有可能需要的一定程度的灵活性。

在 Microsoft Purview 合规门户中 创建敏感度标签 时,加密设置可用。

注意

现在处于预览阶段,Outlook 中的敏感度标签可以应用 S/MIME 保护,而不是来自 Azure Rights Management 服务的加密和权限。 有关详细信息,请参阅 配置标签以在 Outlook 中应用 S/MIME 保护

提示

如果你不是 E5 客户,可以免费试用 Microsoft Purview 中的所有高级功能。 使用为期 90 天的 Purview 解决方案试用版来探索强大的 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

了解加密的工作方式

除非使用适用于 Outlook 的 S/MIME,否则敏感度标签应用于文档、电子邮件和会议邀请的加密使用 Azure 权限管理服务 (Azure 信息保护 中的 Azure RMS) 。 该保护解决方案使用了加密、标识和身份验证策略。 要了解详细信息,请参阅 Azure 信息保护文档中的什么是 Azure 权限管理?

使用此加密解决方案时,超级用户功能确保了获得授权的用户和服务始终可读取和检测已针对你的组织进行加密的数据。 必要时,可删除或更改加密。 有关详细信息,请参阅为 Azure 信息保护和发现服务或数据恢复配置超级用户

重要

还可以使用 敏感度标签将加密应用于 Teams 会议的音频和视频流,但这使用不同的加密方法,而不是用于电子邮件、会议邀请和文档的 Azure Rights Management 服务。 有关用于 Teams 会议的加密的详细信息,请参阅 Teams 安全指南中的 媒体加密

重要先决条件

可能需要执行一些配置任务,然后才可使用加密。 配置加密设置时,不检查是否满足这些先决条件。

  • 激活 Azure 信息保护中的保护

    要使敏感度标签应用加密,必须为租户激活 Azure 信息保护中的保护服务(即 Azure 权限管理)。 在较新的租户中,这是默认设置,但你可能需要手动激活该服务。 有关详细信息,请参阅激活 Azure 信息保护中的保护服务

  • 查看网络要求

    可能需要对防火墙等网络设备做出一些更改。 如需获取详细信息,请参阅 Azure 信息保护文档中的防火墙和网络设施

  • 检查 Azure AD 配置

    有一些 Azure Active Directory (Azure AD) 配置可以阻止对加密内容的授权访问。 例如,跨租户访问设置和条件访问策略。 有关详细信息,请参阅 加密内容的 Azure AD 配置

  • 配置用于 Azure 信息保护的 Exchange

    无需为 Azure 信息保护配置 Exchange,用户便可以在 Outlook 中应用标签来加密其电子邮件。 但是,在为 Azure 信息保护配置 Exchange 之前,你不会获得将 Azure Rights Management 保护与 Exchange 配合使用的完整功能。

    例如,用户无法在移动电话上或使用Outlook 网页版查看加密电子邮件或加密会议邀请,无法为加密电子邮件编制索引以供搜索,并且无法为权限管理保护配置Exchange Online DLP。

    为确保 Exchange 可以支持这些其他应用场景:

如何配置加密标签

  1. 按照常规说明 创建或编辑敏感度标签,并确保为标签的范围选择“项目”:

    文件和电子邮件的敏感度标签范围选项。

  2. 然后,在 “为已标记的项目选择保护设置” 页上,确保选择“ 加密项目”。 此外,如果设置应扩展到会议邀请和答复,请选择“包括会议”。

    适用于项目的敏感度标签保护选项。

  3. 在“加密”页上,选择下列选项之一:

    • 如果文件或电子邮件已加密,则删除加密:选择此选项时,应用标签将删除现有加密,即使它独立于敏感度标签应用也是如此。

      请务必了解,此设置可能会导致敏感度标签,当用户没有足够的权限删除现有加密时,可能无法应用该标签。 有关此方案的详细信息,请参阅应用标签时,对现有加密的影响部分。

    • 配置加密设置:启用加密,并使加密设置可见:

      适用于加密的敏感度标签选项。

      有关这些设置的说明,请参阅以下配置加密设置 部分。

编辑标签以新应用加密或更改现有加密设置

这是一种常见的部署策略,最初配置不加密的敏感度标签,然后编辑一些现有标签以应用加密。 编辑的标签将为新标记的项应用该加密。 已标记的项目将保持未加密状态,除非删除并重新应用标签。

对于已使用“立即分配权限”选项标记为加密的项目,并且你更改了用户或权限,当用户使用加密服务进行身份验证时,新设置也将应用于现有项目。 在大多数情况下,无需删除并重新应用标签。 但是,如果用户已打开加密的文档或电子邮件,则在用户使用许可证过期且必须重新进行身份验证之前,他们不会获得新设置。 有关此方案的详细信息,请参阅有关加密工作原理的相关 常见问题解答

每当更改允许用户分配权限的加密选项时,该更改仅适用于新标记或重新标记的项。 例如:

  • 现在将标签从分配权限更改为允许用户分配权限,反之亦然
  • 将标签从“请勿转发”更改为“仅加密”,或者相反

应用标签后,现有加密会发生什么情况

如果向未加密的内容应用敏感度标签,则你可选择的加密选项的结果一目了然。 例如,如果未选择“加密文件和电子邮件”,则内容仍然不加密。

但是,内容可能已经加密。 例如,其他用户可能已应用以下内容:

  • 其自己的权限,包括在标签提示时提供的用户定义的权限、Azure 信息保护客户端提供的自定义权限,以及 Office 应用中的受限访问文档保护。
  • 在不使用标签的情况下加密内容的 Azure 权限管理保护模板。 此类别包括通过权限保护应用加密的邮件流规则。
  • 使用管理员分配的权限应用加密的标签。

下表说明了在向该内容应用敏感度标签后现有加密发生的情况:

加密:未选择 加密:已配置 加密:删除
用户指定的权限 保留原有加密 应用新的标签加密 删除原有加密
保护模板 保留原有加密 应用新的标签加密 删除原有加密
具有管理员定义的权限的标签 删除原有加密 应用新的标签加密 删除原有加密

如果应用了新的标签加密或删除了原有加密,则仅在应用标签的用户具有支持此操作的使用权限或角色时才会发生此情况:

如果用户没有上述权限或角色之一,则无法应用标签,因此原有加密将保留。 用户会看到以下消息:你无权对敏感度标签进行此更改。请联系内容所有者。

例如,向电子邮件应用“请勿转发”标签的用户可重新标记会话,以替换或删除加密,因为他们是该电子邮件的权限管理所有者。 但除超级用户外,此电子邮件的收件人无法对其重新标记,因为他们没有必需的使用权限。

加密电子邮件和会议邀请的Email附件

通过任何方法加密电子邮件或会议邀请时,附加到电子邮件或邀请的任何未加密 Office 文档都会自动继承相同的加密设置。

已加密且随后添加为附件的文档始终保留其原有加密。

配置加密设置

加密页面 选择“配置加密设置”来创建或编辑敏感度标签时,选择以下选项之一:

  • 立即分配权限,以便可准确确定哪些用户对已应用标签的内容具有哪些权限。 有关详细信息,请参阅下一部分:立即分配权限
  • 在用户向内容应用标签时允许用户分配权限。 通过此选项,可使组织内部人员在协作处理和完成任务时具有一定程度可能需要的灵活性。 有关详细信息,请参阅下述部分:允许用户分配权限

例如,如果你有一个名为“高度机密”的敏感度标签,它将应用于你的大部分敏感内容,则你可能需要决定谁对该内容获得哪种类型的权限。

或者,如果你有一个名为“商业合同”的敏感度标签,而你所在组织的工作流要员工临时在非计划的基础上与不同的人合作处理这个内容,则你可能需要允许用户在分配此标签时决定由谁获得权限。 这种灵活性都能帮助你的用户保持高效,同时减少管理员要更新或新建敏感度标签来应对特定场景的请求。

选择是要立即分配权限还是允许用户分配权限:

添加用户或管理员定义的权限的选项。

立即分配权限

使用以下选项控制谁可以访问电子邮件、会议邀请 ((如果已启用) )或应用此标签的文档。 可以执行下列操作:

  • 允许对已标记内容的访问权限在特定的日期或应用标签后的特定天数后过期。 在此时间过后,用户将无法打开已标记的项。 如果指定日期,则它将在当前时区中的该日期午夜生效。 由于某些电子邮件客户端的缓存机制,某些电子邮件客户端可能不会强制过期并显示其过期日期。

  • 始终允许脱机访问 ,或在应用标签后的特定天数内允许脱机访问。 使用此设置可以平衡任何安全要求,使用户能够在用户没有 Internet 连接时打开加密内容。 如果将脱机访问限制为从不或数天,则达到该阈值时,必须重新对用户进行身份验证,并记录其访问权限。 有关此过程的工作原理的详细信息,请参阅以下有关 Rights Management 使用许可证 的部分。

加密内容的访问控制设置:

管理员定义权限的设置。

有关过期和脱机访问设置的建议:

设置 推荐设置
用户访问内容的权限过期 除非内容具有特定的时间限制要求,否则请切勿这样做。
允许脱机访问 取决于内容的敏感度:

- 仅在若干天内 = 7为敏感商业数据,如果与未经授权的人分享,可能会对企业造成损害。 此建议在灵活性和安全性之间提供了平衡的折衷方案。 示例包括合同、安全报告、预测摘要和销售帐户数据。

- 切勿用于非常敏感的商业数据,如果与未经授权的人分享,将对企业造成损害。 此建议将安全性置于灵活性之上,并确保如果取消一个或多个用户对文件的访问,他们将无法打开文件。 示例包括员工和客户信息、密码、源代码和预先宣布的财务报表。

对于不太敏感的内容,- 始终在访问被删除后,用户可以继续打开加密内容长达 30 天(或为租户配置的使用许可有效期),而对于他们之前打开过加密内容,这并不重要。

现在,只有配置为分配权限的标签才支持不同的脱机访问值。 允许用户分配权限的标签自动使用租户的 Rights Management 使用许可证有效期。 例如,为“不转发”、“仅加密”配置的标签,并提示用户指定自己的权限。 此设置的默认值为 30 天。

针对脱机访问的 Rights Management 使用许可证

注意

尽管可以将加密设置配置为允许脱机访问,但某些应用可能不支持对加密内容进行脱机访问。 例如,如果处于脱机状态,则 Power BI 桌面 中标记和加密的文件将无法打开。

当用户打开受 Azure Rights Management 服务加密保护的项目时,将向用户授予该内容的 Azure Rights Management 使用许可证。 此使用许可证是一种证书,其中包含用户对文档或电子邮件的使用权限,以及用于加密内容的加密密钥。 此使用许可证还包含过期日期(若已设置)及其有效时长。

如果未设置到期日期,则租户的默认使用许可证有效期为 30 天。 在使用许可证期间,用户不会对内容重新进行身份验证或重新授权。 此过程允许用户在没有 Internet 连接的情况下继续打开受保护的文档或电子邮件。 当使用许可证有效期到期时,用户下次访问受保护的文档或电子邮件时,必须重新对用户进行身份验证并重新授权。

除重新进行身份验证以外,还将重新评估策略和用户组成员身份。 这意味着,如果用户上次访问内容时加密设置或组成员身份发生了更改,则同一项的访问结果可能会有所不同。

若要了解如何更改默认的 30 天设置,请参阅 Rights Management 使用许可证

向特定用户或组分配权限

可向特定人员授予权限,只允许这些人员与标记的内容进行交互:

  1. 首先,添加将向其分配对标记的内容具有访问权限的用户或组。

  2. 然后,选择这些用户应对标记的内容具有的权限。

分配权限:

向用户分配权限的选项。

添加用户或组

分配权限时,可以选择:

  • 组织中的每个人都 () 的所有租户成员。 此设置排除来宾帐户。

  • 所有经过身份验证的用户。 选择前,请确保你了解此设置的相关要求和限制

  • Azure AD 中的任何特定用户或启用了电子邮件的安全组、通讯组、或 Microsoft 365 组。 Microsoft 365 组可以有静态或动态成员资格。 无法从 Exchange 使用动态通讯组,因为此组类型未同步到 Azure AD。 也无法使用未启用电子邮件的安全组。

    尽管可以指定包含邮件联系人的组,以作为向组织外部的多个人员授予访问权限的便捷方法,但此配置当前存在已知问题。 有关详细信息,请参阅 组中的邮件联系人对加密内容具有间歇性访问权限

  • 任何电子邮件地址或域。 借助此选项,通过输入 Azure AD 使用的另一组织中的任何域名,指定该组织中的所有用户。 你可使用此选项处理社交提供商,方式是输入其域名,例如 gmail.comhotmail.comoutlook.com

    注意

    如果从使用 Azure AD 的组织中指定一个域,则无法将访问权限局限于该特定域。 转而对于拥有你指定的域名的租户来说,会自动包含 Azure AD 中已经过验证的所有域。

选择组织中的所有用户和组或浏览目录时,这些用户或组必须具有电子邮件地址。

最佳做法是使用组而不是用户。 此策略可使配置更简单。

有关“添加任何经过身份验证的用户”的要求和限制

此设置不会限制谁可访问标签加密的内容,但仍会加密内容并向你提供用来限制内容使用方式(权限)和访问方式(过期和脱机访问)的选项。 但是,打开加密内容的应用程序必须能够支持正在使用的身份验证。 因此,联合社交提供商(如 Google)和一次性密码身份验证仅适用于电子邮件和会议邀请,并且仅适用于使用Exchange Online。 Microsoft 帐户可与 Office 365 应用和 Azure 信息保护查看器一起使用。

注意

当为 SharePoint 和 OneDrive 中的 Office 文件启用敏感度标签时,请考虑将此设置与 SharePoint 和 OneDrive 与 Azure AD B2B 集成

“所有经过身份验证的用户”设置的一些典型场景:

  • 你不在乎谁会查看内容,但你想要限制内容使用方式。 例如,你不希望内容遭到编辑、复制或打印。
  • 你不需要限制谁有权访问内容,但你想要能够确定谁可打开内容。
  • 你要求内容必须在静态和传输中经过加密,但不要求访问权限控制。

选择权限

选择允许为这些用户或组使用哪些权限时,可以选择:

  • 具有预设权限组的预定义权限级别,例如共同创作或审阅者。
  • 自定义权限,可在其中选择一个或多个使用权限。

有关帮助你选择适当权限的详细信息,请参阅使用权限和说明

选择预设权限或自定义权限的选项。

请注意,同一标签可以向不同的用户授予不同的权限。 例如,单个标签可以将某些用户分配为审阅者,将其他用户分配为共同作者,如以下屏幕截图所示。

为此,请添加用户或组,为其分配权限,并保存这些设置。 然后重复这些步骤,添加用户并为其分配权限,每次保存设置。 可以根据需要经常重复此配置,为不同的用户定义不同的权限。

具有不同权限的不同用户。

Rights Management 颁发者(应用敏感度标签的用户)始终具有完全控制

默认情况下,敏感度标签的加密使用 Azure 信息保护中的 Azure Rights Management 服务。 当用户通过加密应用敏感度标签来保护文档或电子邮件时,该用户就成为了该内容的权限管理颁发者。

权限管理颁发者始终具有对文档或电子邮件的完全控制权限;此外:

  • 如果加密设置包含过期日期,权限管理颁发者在该日期后仍可打开和编辑文档或电子邮件。
  • Rights Management 颁发者可以始终在脱机状态下访问文档或电子邮件。
  • 在文档被撤销后,Rights Management 颁发者仍然可以打开该文档。

有关详细信息,请参阅 Rights Management 颁发者和 Rights Management 所有者

双密钥加密

注意

此功能目前仅受 Azure 信息保护统一标记客户端的支持,如果尚未为租户启用共同创作和自动保存加密文档,则支持此功能。

只有在配置了双密钥加密服务并且需要将此双密钥加密用于将应用此标签的文件之后,才选择此选项。 配置并保存标签后,将无法对其进行编辑。

了解更多信息、先决条件、以及配置说明,请参阅双密钥加密 (DKE)

允许用户分配权限

重要

并非所有的标签客户端都支持让用户自己分配权限所有的选项。 请使用本节了解更多信息。

可使用下述选项来允许用户在向内容手动应用敏感度标签时分配权限:

  • 在 Outlook 中,用户可以为他们选择的收件人选择相当于 “不转发”“只加密” 的限制。

    所有支持敏感标签的电子邮件客户端都支持 “不转发” 选项。 不过,应用灵敏度标签的 Encrypt-Only 选项是最近发布的版本,只支持内置标签,而不支持 Azure 信息保护统一标签客户端。 对于不支持此功能的邮件客户端,标签将不可见。

    若要检查使用内置标签的 Outlook 应用的最低版本支持应用带有敏感标签的“只加密”选项,请使用 “Outlook 能力表”“让用户分配权限: - 只加密” 行。

  • 在 Word、PowerPoint 和 Excel 中,系统会提示用户为特定用户、组或组织选择他们自己的权限。

    Azure 信息保护统一标签客户端和一些使用内置标签的应用程序都支持该选项。 对于不支持该功能的应用,标签对于用户来说要么是不可见,要么是为了保持一致性,即使标签是可见的也无法应用于向用户解释信息。

    若要检查使用内置标签的应用支持此选项,请使用 Word、Excel 和 PowerPoint 的功能表 以及 允许用户分配权限 的行。

在这些选择受到支持时,请使用以下标签确定用户何时回看到敏感度标签:

设置 标签在 Outlook 中可见 标签在 Word、Excel 和 PowerPoint 中可见
在 Outlook 中,使用“不转发”或“仅加密”选项实施限制
在 Word、PowerPoint 和 Excel 中提示用户指定权限

同时选中这两个选项时,标签在 Outlook 和 Word、Exce、PowerPoint 中都可见。

让用户分配权限的敏感性标签必须由用户手动应用于内容,不能自动应用或作为推荐标签使用。

配置用户分配的权限:

有关用户定义的权限的加密设置。

Outlook 限制

在 Outlook 中,当用户应用一个让他们为邮件分配权限的敏感标签时,可以选择 “不转发”选项“只加密”。 用户将在邮件顶部看到标签名称和说明,这表示正在保护该内容。 与 Word、PowerPoint 和 Excel 不同(详见下一部分),系统不会提示用户选择特定权限。

应用于 Outlook 中的邮件的敏感度标签。

当这些选项中的任何一个应用于电子邮件时,都会加密电子邮件且收件人必须经过身份验证。 然后,收件人自动拥有受限制的使用权限:

  • 不转发: 收件人无法转发、打印或复制该邮件。 例如,在 Outlook 客户端中,“转发”按钮不可用,“另存为”和“打印”菜单选项也不可用,并且你不可在“收件人”、“抄送”和“密件抄送”框中添加或更改收件人。

    有关此选项工作方式的更多信息,请参阅 电子邮件的 “不转发” 选项

  • 只加密密: 收件人拥有除 “另存为”、“导出” 和 “完全控制” 以外的所有使用权。 这种使用权的组合意味着收件人除了无法取消保护外,没有任何限制。 例如,收件人可以从邮件中复制、打印和转发。

    有关此选项工作方式的更多信息,请参见 电子邮件的 “只加密” 选项

附加到电子邮件或会议邀请的未加密 Office 文档会自动继承相同的限制。 对于“请勿转发”,适用于这些文件的使用权限是“编辑内容”,“编辑”; “保存”; “查看”、“打开”、“读取”; 以及“允许宏”。 如果用户希望附件具有不同的使用权限,或者附件不是支持此继承保护的 Office 文档,则用户需要在将该文件附加到电子邮件或会议邀请之前对其进行加密。

Word、PowerPoint 和 Excel 权限

在 Word、PowerPoint 和 Excel 中,当用户向文档应用允许其分配权限的敏感度标签时,系统会提示用户在应用加密时指定其对用户和权限的选择。

例如,使用 Azure 信息保护统一标记客户端,除非 启用了共同创作,否则用户可以:

  • 选择权限级别,例如查看者(可分配“仅查看”权限)或合著者(可分配“查看”、“编辑”、“复制”和“打印”权限)。
  • 选择用户、组或组织。 这可包括你所在组织内部或外部的人员。
  • 设置到期日期,所选用户在该日期后不可访问内容。 有关详细信息,请参阅上一部分:针对脱机访问的 Rights Management 使用许可证

用户使用自定义权限保护的选项。

对于内置标签以及 启用共同创作 时的 Azure 信息保护统一标记客户端,用户会看到相同的对话框,就像他们选择了以下选项一样:

  • Windows: “文件 ”选项卡 >信息>保护文档>限制访问>受限

  • macOS:“查看”选项卡“保护>权限>受限访问”>

提示

如果用户熟悉在 启用共同创作 之前使用使用 Azure 信息保护统一标记客户端来配置自定义权限,你可能发现查看权限级别与单个使用权限的映射很有帮助:权限级别中包含的权限

支持组织范围的自定义权限

现在为 Windows 中的内置标签推出预览版,用户可以指定一个域名,该域名将应用于组织中拥有该域且位于 Azure Active Directory 的所有用户。 此功能提供 与 Azure 信息保护统一标记客户端的奇偶校验:

更新了对话框以支持组织范围的自定义权限。

例如,用户类型“@contoso.com”(或“contoso.com”) 并授予读取访问权限。 由于 Contoso Corporation 拥有 contoso.com 域,因此该域中的所有用户以及组织在 Azure Active Directory 中拥有的所有其他域都将授予读取访问权限。

请务必让用户知道,访问权限不仅限于指定域中的用户。 例如,“@sales.contoso.com”不会仅限制对销售子域中用户的访问权限,还会向 marketing.contoso.com 域中的用户,甚至是在同一 Azure Active Directory 租户中具有不连续命名空间的用户授予访问权限。

加密设置的配置示例

对于后面的每个示例,请在选择“配置加密设置”时通过 加密页面 进行配置:

应用敏感度标签向导中的加密选项。

示例 1:应用“请勿转发”以将加密的电子邮件发送至 Gmail 帐户的标签

此标签仅显示 Outlook 和 Outlook 网页版,且你必须使用 Exchange Online。 在用户需要向使用 Gmail 帐户(或你组织外部的任何其他电子邮件帐户)的人员发送加密电子邮件时,指示这些用户选择此标签。

用户需在“收件人”框中键入 Gmail 电子邮件地址。 然后选中该标签,“请勿转发”选项会自动添加到电子邮件中。 这样的话,收件人就无法转发、打印或复制该电子邮件,也不能使用“另存为”选项在其邮箱之外保存该电子邮件。

  1. 在“加密”页面上:对于“立即分配权限还是让用户决定?”,选择“允许用户在应用标签时自行分配权限”。

  2. 选择复选框:在 Outlook 中,强制实施与“请勿转发”选项等效的限制

  3. 如果选中,请清除复选框:在 Word、PowerPoint 和 Excel 中提示用户指定权限

  4. 选择“下一步”并完成配置。

示例 2:将只读权限局限于另一组织中的所有用户的标签

此标签适用于以只读形式共享非常敏感的文档,文档始终需要 Internet 连接才能查看。

此标签不适用于电子邮件。

  1. 在“加密”页面上:对于“立即分配权限还是让用户决定?”,选择“立即分配权限”。

  2. 对于“允许脱机访问”,选择“从不”。

  3. 选择“分配权限”。

  4. 在“分配权限”窗格上,选择“添加特定电子邮件地址或域”。

  5. 在文本框中,输入另一组织中的域的名称,例如 fabrikam.com。 然后,选择“添加”。

  6. 选择“选择权限”。

  7. 在“选择权限”窗格中,选择下拉框,选择“查看者”,然后选择“保存”。

  8. 返回到“分配权限”窗格中,选择“保存”。

  9. 加密 页上,选择“下一步”并完成配置。

示例 3:将外部用户添加到加密内容的现有标签

添加的新用户将能够打开已使用此标签保护的文档和电子邮件。 授予这些用户的权限可能与现有用户拥有的权限不同。

  1. 在“加密”页面上:对于“立即分配权限还是让用户决定?”,确保选中“立即分配权限”。

  2. 选择“分配权限”。

  3. 在“分配权限”窗格上,选择“添加特定电子邮件地址或域”。

  4. 在文本框中,输入要添加的第一名用户(或组)的电子邮件地址,然后选择“添加”。

  5. 选择“选择权限”。

  6. 在“选择权限”窗格中,选择此用户(或组)的权限,然后选择“保存”。

  7. 返回到“分配权限”窗格,对要添加到此标签的每位用户(或组)重复步骤 3 到步骤 6。 然后单击“保存”。

  8. 加密 页上,选择“下一步”并完成配置。

示例 4:对内容进行加密但不限制可访问的人员的标签

此配置的优势在于,你无需指定用户、组或域即可加密电子邮件或文档。 内容仍将被加密,但你仍可指定使用权限、过期日期和脱机访问权限。

仅在无需限制谁可打开受保护文档或电子邮件时才使用此配置。 请参与 有关此设置的详细信息

  1. 在“加密”页面上:对于“立即分配权限还是让用户决定?”,确保选中“立即分配权限”。

  2. 根据需要配置“用户访问内容的权限过期”和“允许脱机访问”。

  3. 选择“分配权限”。

  4. 在“分配权限”窗格中,选择“添加任何经过身份验证的用户”。

    对于“用户和组”,你将看到认证用户已自动添加。 无法更改此值,只能将其删除,但这会取消选择“添加任何经过身份验证的用户”。

  5. 选择“选择权限”。

  6. 在“选择权限”窗格中,选择下拉框,选择所需的权限,然后选择“保存”。

  7. 返回到“分配权限”窗格中,选择“保存”。

  8. 加密 页上,选择“下一步”并完成配置。

有关加密内容的注意事项

加密最敏感的文档和电子邮件有助于确保只有授权人员可访问此数据。 但是,需要考虑以下注意事项:

  • 如果你的组织未启用 SharePoint 和 OneDrive 中 Office 文件的灵敏度标签

    • “搜索”、“电子数据展示”和 Delve 将无法用于加密文件。
    • DLP 策略适用于这些加密文件的元数据(包括保留标签信息),但不适用于这些文件的内容(如文件内的信用卡号)。
    • 用户无法使用 Office 网页版打开加密文件。 如果在 SharePoint 和 OneDrive 中为 Office 文件启用了敏感度标签,则用户可使用 Office 网页版打开加密文件,但存在一些限制,包括已通过本地密钥应用的加密(称为“保留自己的密钥”(HYOK))、双密钥加密以及在不使用敏感度标签的情况下应用的加密。
  • 如果与组织外部人员共享加密文档,可能需要创建来宾帐户并修改条件访问策略。 有关详细信息,请参阅《与外部用户共享加密的文档》。

  • 当授权用户在其 Office 应用中打开加密文档时,将在其应用顶部的黄色消息栏中看到标签名称和说明。 当加密权限扩展到组织外部的人员时,请仔细查看打开文档时将在此消息栏中显示的标签名称和说明。

  • 对于要同时编辑加密文件的多个用户,他们必须全部使用 Office 网页版,或者你已 为使用敏感度标签加密的文件启用共同创作,并且所有用户都具有 支持此功能的 Office 应用。 如果不是这种情况且文件已打开:

    • 在 Office 应用(Windows、Mac、Android 和 iOS)中,用户会看到一条“文件正在使用中”消息,其中包含签出该文件的用户的姓名。 然后,他们可查看只读副本或保存和编辑文件副本,并可在文件可用时收到通知。
    • 在 Web 版 Office 中,用户会看到一则错误消息,其中指出他们可与其他人一起编辑文档。 然后,他们可选择“在阅读视图中打开”。
  • 如果尚未为使用 敏感度标签加密的文件启用共同创作 ,则 Office 应用中的 自动保存 功能将禁用加密文件。 用户会看到一条消息,其中指出文件具有受限权限且必须删除此权限才能启用“自动保存”。

  • Office for Windows 支持在用户未连接到 Internet 时应用加密的标签。 但对于其他平台(macOS、iOS、Android),用户必须处于联机状态才能在 Office 应用中应用这些标签。 Azure 信息保护统一标签客户端还必须处于联机状态,才能在文件资源管理器和 PowerShell 中应用这些标签。 用户无需联机即可打开加密内容。 有关脱机访问的详细信息,请参阅 Rights Management 使用许可证进行脱机访问 部分。

  • 在 Office 应用(Windows、Mac、Android 和 iOS)中打开加密文件可能需要更长时间。

  • 如果在 SharePoint 中签出文档时使用 Office 应用添加应用了加密的标签,并且用户随后放弃签出,则文档将保持含标签和加密状态。

  • 除非你 为使用敏感度标签加密的文件启用共同创作,否则不支持从 Windows、Mac、Android 和 iOS) (Office 应用对加密文件执行以下操作,并且用户会看到一条错误消息,指出出现问题。 但是,可将 SharePoint 功能用作替代项:

为了在已用敏感度标签加密的文件上获得更佳的协作体验,建议使用 SharePoint 和 OneDrive中 Office 文件的敏感度标签并使用 Web 版 Office。

后续步骤

需要与组织外的人员共享你的标记和加密文档吗? 请参阅与外部用户共享加密文档

若要使用敏感度标签加密 Teams 会议的视频和音频流,请参阅 使用敏感度标签保护日历项目、Teams 会议和聊天