使用敏感度标签以为 SharePoint 和 OneDrive 中的网站和文档配置默认共享链接类型

  • 项目

Microsoft 365 安全性与合规性许可指南

作为在 Microsoft Purview 门户或敏感度标签Microsoft Purview 合规门户中看到的设置的附加配置,你可以使用这些标签为 SharePoint 网站或 OneDrive 帐户以及单个文档配置默认共享链接类型的设置。 系统会自动选择这些设置,但当用户在其 Office 应用中选择“共享”按钮时,这些设置不对其高度可见。 例如:

默认共享链接对话框的示例。

默认共享链接类型会设置用户共享文件和文件夹时自动选择的范围(人员)和权限(查看或编辑)。 虽然用户始终可以在发送共享链接之前替换这些默认设置,但你选择的设置可提供安全基线。 通常,用户在共享之前不会更改设置。

在网站级别(SharePoint 网站或 OneDrive 帐户)上,敏感度标签提供了一种便捷的可选方法,用于设置可在 SharePoint 管理中心内为网站配置的默认共享链接类型。 有关详细信息,请参阅 SharePoint 文档中的 更改网站的默认链接类型

此网站级配置适用于具有相同敏感度级别的文档的 SharePoint 网站。 但是,如果网站包含一些敏感度级别更高、需要限制性更强的设置的文档,则可以为默认共享链接类型配置具有不同设置的敏感度标签,然后将此标签应用于文档。

在此场景中,网站具有默认共享链接类型设置,且该网站中的文档具有不同的默认链接类型设置。在用户选择文档的共享选项时,将应用限制性更强的范围设置。 例如:

  • 网站的默认共享链接类型范围限于组织中的任何人员。 该网站中的文档标记为默认共享链接类型设置为特定人员。 当用户共享该文档时,选定的默认共享链接类型范围将限于特定人员。

  • 网站的默认共享链接类型范围限于具有编辑权限的特定人员。 该网站中的文档标记为默认共享链接类型设置为组织中具有查看权限的任何人员。 当用户共享该文档时,选定的默认共享链接类型范围将限于具有编辑权限的特定人员。

在无网站级设置的情况下,配置文档的默认链接类型可能也适用。 例如,虽然 SharePoint 网站通常组织为托管相同类型的文档,但 OneDrive 帐户的情况并非如此。 用户通常将各种文件保存到 OneDrive,其中通常混合了个人文档和业务文档。 为用户的 OneDrive 帐户的所有文档设置默认链接类型可能不切实际,但单个文档仍然可以受益于这些设置。 例如:

  • 标记为 高度机密 的文档的默认共享链接类型将共享限制为组织中的特定人员而非任何人员。
  • 标记为 常规 的文档的默认共享链接类型将共享限制为组织中的人员。
  • 标记为 个人 的文档的默认共享链接类型允许与具有链接的任何人员共享。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

先决条件

要为网站应用默认共享链接类型,必须为容器启用敏感度标签。 如果尚未为租户启用此功能,请参阅 如何为容器启用敏感度标签以及如何同步标签

要为 SharePoint 和 OneDrive 中的文档应用默认共享链接类型,必须为这些服务启用敏感度标签。 如果尚未为租户启用此功能,请参阅 如何为 SharePoint 和 OneDrive 启用敏感度标签(选择加入)

在 PowerShell 会话中,必须 连接到安全性 & 符合性 PowerShell ,以配置默认共享链接类型的设置。

注意

虽然不是必需的,但最简单的方法是首先在 Microsoft Purview 门户或Microsoft Purview 合规门户中创建和配置敏感度标签,然后使用配置默认共享链接类型的设置修改这些标签。

默认共享链接类型的配置设置将 PowerShell AdvancedSettings 参数与 安全与合规 PowerShell 中的 Set-LabelNew-Label cmdlet 结合使用:

  • DefaultSharingScope:可用值为:

    • SpecificPeople:将默认共享链接设置为特定人员, (仅用户指定)
    • 组织:仅为组织中的人员设置默认共享链接
    • 任何人:将默认共享链接设置为具有链接的任何人,这等效于匿名访问

  • DefaultShareLinkPermission:可用值为:

    • 视图:设置用于查看权限的默认链接权限
    • 编辑:设置默认链接权限以编辑权限

这两个设置和值等效于来自 Set-SPOSite cmdlet 的 DefaultSharingScopeDefaultShareLinkPermission 参数。

默认共享链接类型的另一个配置是使用 DefaultShareLinkToExistingAccess 高级设置,这等效于 Set-SPOSite cmdlet 中的参数 DefaultLinkToExistingAccess。 将此值设置为 True 时,它会替代其他两个高级设置及其值。

PowerShell 示例,其中敏感度标签 GUID 为 8faca7b8-8d20-48a3-8ea2-0f96310a848e

  • 要将默认共享链接类型设置为 SpecificPeople:

    Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{DefaultSharingScope="SpecificPeople"}

  • 要将默认共享链接类型权限设置为“编辑”:

    Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{DefaultShareLinkPermission="Edit"}

  • 将默认共享链接类型设置为具有现有访问权限的人员:

    Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{DefaultShareLinkToExistingAccess="True"}

有关指定 PowerShell 高级设置的更多帮助,请参阅 用于指定高级设置的 PowerShell 提示

若要为网站配置默认共享链接类型的设置,在 Microsoft Purview 门户或Microsoft Purview 合规门户中创建敏感度标签时,敏感度标签的范围必须包括组 & 网站。 创建后,你会在 标签 页面的 范围 列中看到此显示为 网站、UnifiedGroup,且 PowerShell ContentType 设置也会显示此相同值。 对于文档,范围必须包含“项目”,这将显示为“文件、电子邮件”。 则:

  • 当范围包含 组和网站 时,可以将标签应用于网站,从而设置该网站的默认共享链接类型。 有关如何将敏感度标签应用于网站的信息,请参阅 如何将敏感度标签应用于容器

  • 当敏感度标签的范围包含“项目”时,可以将标签应用于文档,从而设置该文档的默认共享链接类型。 可以 手动自动 应用标签。

提示

还可以将标签指定为要应用于新网站或新文档的默认敏感度标签,作为 标签策略设置