Microsoft 365 安全 & 合规性指南

项目
05/15/2023

就本文而言，租户级服务是一种联机服务， (独立许可证和/或作为 Microsoft 365 或 Office 365 计划) 的一部分或全部激活租户中的所有用户。客户使用联机服务需要适当的订阅许可证。若要查看授权用户从 Microsoft 365 合规性功能中受益的选项，请下载适用于企业和一线员工计划的 Microsoft 365 比较表或适用于中小型企业计划的 Microsoft 365 比较表。

某些租户服务目前无法将权益限制为特定用户。我们建议为想要从中受益和/或访问服务的任何用户获取许可证。若要查看有关使用通过 Microsoft 许可计划获得的 Microsoft 产品和专业服务的条款和条件，请参阅产品条款。

Azure Active Directory 标识治理

Azure Active Directory 标识治理使你能够在组织对安全性和员工工作效率的需求与正确的流程和可见性之间取得平衡。它使用权利管理、访问评审、特权标识管理和使用条款策略来确保合适的人员有权访问正确的资源。

用户如何从服务中受益？

Azure Active Directory 标识治理可以更轻松地在一个访问包中请求对应用、组和 Microsoft Teams 的访问权限，从而提高用户的工作效率。还可以将用户配置为审批者，而无需管理员参与。对于访问评审，用户可以使用智能建议查看组的成员身份，以定期执行操作。

哪些许可证为用户提供了从服务中受益的权利？

企业移动性 + 安全性 E5/A5、Microsoft 365 E5/A5、Microsoft 365 E5/A5/F5 安全性和 F5 安全性&合规性，以及Azure Active Directory Premium计划 2 为用户提供从 Azure Active Directory 标识治理中受益的权限。

如何预配/部署服务？

Azure AD 标识治理功能在租户级别启用，但按用户实现。有关 Azure AD 标识治理的信息，请参阅什么是 Azure AD 标识治理？

如何只能将服务应用于租户中获得服务许可的用户？

管理员可以通过仅为许可用户分配访问包、访问评审或特权标识管理来限定 Azure AD 标识治理的范围。有关如何确定 Azure AD 标识治理部署范围的说明，请参阅：

Azure Active Directory 标识保护

Azure Active Directory 标识保护是Azure Active Directory Premium P2计划的一项功能，可用于检测影响组织标识的潜在漏洞，配置对检测到的与组织标识相关的可疑操作的自动响应，并调查可疑事件并采取适当措施解决这些问题。

用户如何从服务中受益？

SecOps 分析师和安全专业人员受益于基于机器学习算法的已标记用户和风险事件的合并视图。最终用户受益于通过基于风险的条件访问提供的自动保护，以及通过对漏洞采取行动提供的改进的安全性。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft 365 E5/A5/G5，企业移动性&安全性 A5/E5/G5、Microsoft 365 A5/E5/F5/G5 安全性和 Microsoft 365 F5 安全性&合规性

有关可用计划中包含的功能的详细信息，请参阅什么是 Azure Active Directory 标识保护？

如何预配/部署服务？

默认情况下，Azure AD 标识保护功能在租户级别为租户中的所有用户启用。有关 Azure AD 标识保护的信息，请参阅什么是标识保护？

如何只能将服务应用于租户中获得服务许可的用户？

管理员可以通过分配风险策略来限定 Azure AD 标识保护的范围，这些策略定义密码重置的级别并仅允许许可用户访问。有关如何限定 Azure AD 标识保护部署范围的说明，请参阅如何配置和启用风险策略。

Microsoft Cloud 合规性计划

Microsoft Cloud 合规性计划旨在提供个性化的客户支持、教育和网络机会。通过加入该计划，客户将获得独特的机会，直接与安全、合规性和隐私领域的监管机构、行业同行和 Microsoft 专家接触。此计划取代了 2013 年创建的现有金融服务行业 (FSI) 合规性计划。

谁可以访问Microsoft Cloud 合规性计划？

Microsoft Cloud 合规性计划适用于具有 Microsoft 365 和Office 365许可证的组织。

当前已注册 FSI 合规性计划的客户需要购买新Microsoft Cloud 合规性计划的订阅。有关详细信息，请参阅 Microsoft Cloud 合规性计划。

用户如何从服务中受益？

希望 Microsoft 在其云旅程中提供帮助的企业组织，如风险评估员、合规性官员、内部审核员、隐私官员、法规事务/法律、CSO 将受益于此服务。下面是客户可以获得的可用权益的示例方案：

持续的风险和合规性协助，用于加入和使用 Microsoft 云服务的风险评估。
对 Microsoft 云服务的 Microsoft 和客户管理的控件的支持。
有关使用第三方云服务的内部审核、监管机构或董事会级批准方面的帮助。
支持与使用云服务时的复杂风险和合规性要求相关的持续技术问题。
直接协助填写固定数量的客户风险和合规性问卷。
与监管机构和行业专家联系，帮助解决合规过程中的问题。

如何预配/部署服务？

默认情况下，在租户级别为受益于该服务的所有用户启用Microsoft Cloud 合规性计划。有关详细信息，请参阅 Microsoft Cloud 合规性计划。

Microsoft Defender 商业版

Microsoft Defender 商业版是一种终结点安全解决方案，专为 (最多 300 名员工) 的中小型企业设计。 Defender for Business 作为独立解决方案提供，也包含在Microsoft 365 商业高级版中。借助此终结点安全解决方案，中小企业 (SMB) 组织设备可以更好地抵御勒索软件、恶意软件、钓鱼和其他威胁。

有关详细信息，请参阅 Microsoft Defender 商业版。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft Defender 商业版包含在Microsoft 365 商业高级版订阅计划中。

独立版本的 Defender for Business 也可用作中小型企业 (SMB) 最多 300 名员工的选项。若要了解详细信息，请参阅如何获取Microsoft Defender 商业版。

用户如何从服务中受益？

将Microsoft Defender 商业版添加到 Microsoft 365 商业高级版通过终结点检测和响应以及自动调查和修正等技术添加跨平台终结点保护和复杂的勒索软件防御功能，增强了 Business Premium 的现有生产力和安全性。

Defender for Business 的独立版本为拥有最多 300 名员工的中小型企业提供了一个选项，以实惠的价格获取企业级终结点安全技术。

如何预配/部署服务？

如果有Microsoft 365 商业高级版，可以通过Microsoft 365 Defender门户访问 Defender for Business。

默认情况下，Microsoft Defender 商业版功能在租户级别为租户中的所有用户启用。有关如何设置和配置 Defender for Business 的信息，请参阅 Microsoft Defender 商业版文档 |Microsoft Docs。

什么是适用于Microsoft Defender 商业版的 Defender for Business 服务器加载项？

Microsoft Defender 商业版服务器为中小型企业的 Windows 和 Linux 服务器提供终结点安全性。 Defender for Business 服务器体验在 Defender for Business 内的单个管理员体验中为客户端和服务器提供相同级别的保护，从而帮助你在一个位置保护所有终结点。

有关详细信息，请参阅获取Microsoft Defender 商业版服务器 |Microsoft Learn。

请注意，对于 Defender for Business 服务器，每个客户的最大数量/席位上限为 60 个许可证。如果客户需要超过 60 个服务器许可证，请参阅服务器Microsoft Defender。

哪些许可证为用户提供了从服务中受益的权利？

Defender for Business 服务器作为加载项提供给组织，其功能如下：

Microsoft Defender 商业版 (独立)
Microsoft 365 商业高级版

客户必须至少拥有一个Microsoft 365 商业高级版或Microsoft Defender 商业版许可证才能购买和使用Microsoft Defender 商业版服务器。

有关详细信息和指向更多资源的链接，请查看Microsoft Defender 商业版常见问题解答。

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps是一个云访问安全代理 (CASB) 解决方案，可让客户灵活地实现核心功能并支持多种类型的部署。 Microsoft Defender for Cloud Apps是基于用户的订阅服务。每个许可证都是每个用户的每月许可证，可以作为独立产品或多个许可计划的一部分获得许可，如下所示。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft Defender for Cloud Apps作为独立许可证提供，也可作为以下计划的一部分提供：

企业移动性 + 安全性 E5
Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 安全性
Microsoft 365 E5/A5/G5/F5 合规性
Microsoft 365 F5 安全性 & 合规性
Microsoft 365 E5/F5 信息保护和治理

Azure AD P1/P2 为用户提供了从 Defender for Cloud Apps 中包含的发现功能中受益的权限。

若要从 Defender for Cloud Apps 中的条件访问应用控制功能中受益，用户还必须获得 Azure Active Directory P1 的许可，它包含在企业移动性 + 安全性 F1/F3/E3/A3/G3、企业移动性 + 安全性 E5、Microsoft 365 E3/A3/G3、Microsoft 365 E5/A5/G5 和Microsoft 365 E5/A5/G5/F5 安全和 Microsoft 365 F5 安全性&合规。

若要从客户端自动标记中受益，用户必须获得 Azure 信息保护 P2 的许可，企业移动性 + 安全性 E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 符合性、Microsoft 365 F5 安全性&合规性和Microsoft 365 E5/F5 信息保护和治理。

注意：自动服务器端标记需要信息保护Office 365 - 高级许可证 (MIP_S_CLP2或 efb0351d-3b08-4503-993d-383af8de41e3) 。有关参考，请参阅用于许可的产品名称和服务计划标识符。

有关为许可用户配置 Defender for Cloud Apps 策略的信息，请转到 Defender for Cloud Apps。

如何预配/部署服务？

默认情况下，在租户级别为租户中的所有用户启用应用治理。有关详细信息，请参阅 Microsoft 365 中的应用治理和应用治理入门。

如何只能将服务应用于租户中获得服务许可的用户？

管理员可以使用服务中可用的作用域部署功能，将Microsoft Defender for Cloud Apps部署范围限定为许可用户。有关详细信息，请参阅作用域内部署。

Microsoft Defender for Cloud Apps的应用治理加载项功能是什么？

应用治理是一种安全和策略管理功能，可用作Microsoft Defender for Cloud Apps的附加功能。

借助应用治理，客户可以在 Microsoft 365 平台上监视和管理第三方和内部开发的应用，以帮助识别、发出警报并防止数据存在风险或未经批准的访问、权利或特权使用。应用治理专为通过 Microsoft 图形 API 访问 Microsoft 365 数据的已启用 OAuth 的应用而设计。

应用治理为客户提供以下功能优势：

深入的可见性和见解：更深入地了解访问 Microsoft 365 数据的应用，以及有关应用在环境中配置和行为方式的可操作见解。
策略驱动的治理：根据组织的数据访问安全性和合规性状况，主动定义并强制实施数据、用户和其他应用的适当应用行为。
全面：检测和修正：使用机器学习模型检测异常应用行为，通过自动和手动修正操作解决问题。

哪些许可证为用户提供了从服务中受益的权利？

应用治理作为加载项提供给组织，其功能如下：

Microsoft Defender for Cloud Apps (独立)
企业移动性 + 安全性 E5/A5
Microsoft 365 E5/A5
Microsoft 365 安全中心
Microsoft 365 合规 E5/A5
Microsoft 365 E5/A5 信息保护和治理
Microsoft 365 F5 安全加载项
Microsoft 365 F5 合规加载项
Microsoft 365 F5 安全性 + 合规性加载项。

如何预配/部署服务？

默认情况下，在租户级别为租户中的所有用户启用应用治理。有关详细信息，请参阅 Microsoft 365 中的应用治理和应用治理入门。

租户中的应用是否要求向 Azure Active Directory 注册才能通过应用治理查看？

能。应用必须注册到 Azure AD，并且必须启用 OAuth 2.0。目前不支持其他标识管理系统。应用治理加载项功能监视使用 Microsoft 图形 API的 Microsoft 365 OAuth 应用的行为和状态。所有Microsoft 365 E5/A5 许可证都具有 Azure AD。

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint是一种终结点安全解决方案，包括：

基于风险的漏洞管理和评估
攻击面减少功能
基于行为和云驱动的下一代保护
终结点检测和响应 (EDR)
自动调查和修正
托管搜寻服务

有关详细信息，请参阅 Microsoft Defender for Endpoint。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft Defender for Endpoint计划 1 (P1)

Microsoft Defender for Endpoint P1 作为商业和教育客户的独立用户订阅许可证提供。该计划还包含在 Microsoft 365 E3/A3 中。

Microsoft Defender for Endpoint 计划 2 (P2)

Microsoft Defender for Endpoint P2（以前称为 Microsoft Defender for Endpoint）作为独立许可证和以下计划的一部分提供：

Windows 11 企业版 E5/A5
Windows 10 企业版 E5/A5
Microsoft 365 E5/A5/G5（包括 Windows 10 或 Windows 11 企业版 E5）
Microsoft 365 E5/A5/G5/F5 安全性
Microsoft 365 F5 安全性 & 合规性

Microsoft Defender for Endpoint 计划 1

Microsoft Defender for Endpoint P1 提供核心终结点保护功能，例如下一代反恶意软件、攻击面减少规则、设备控制、终结点防火墙、网络保护等。有关详细信息，请参阅Microsoft Defender for Endpoint计划 1 和计划 2。

Microsoft Defender for Endpoint 计划 2

Microsoft Defender for Endpoint P2 提供全面的终结点保护功能，包括Microsoft Defender for Endpoint P1 的所有功能，以及终结点检测和响应、自动调查和修正、危险和漏洞管理、威胁情报、沙盒和 Microsoft 威胁专家。有关详细信息，请参阅Microsoft Defender for Endpoint文档。

Microsoft Defender for Endpoint服务器

服务器Microsoft Defender使用 Microsoft Defender for Endpoint P2 等功能保护 Windows 和 Linux 服务器。

Microsoft Defender for Endpoint计划 2 的Microsoft Defender 漏洞管理加载项是什么？

Microsoft Defender for Endpoint计划包括可通过Microsoft Defender 漏洞管理加载项增强的漏洞管理功能。

Defender 漏洞管理为 Windows、macOS、Linux、Android、iOS 和网络设备提供资产可见性、智能评估和内置修正工具。 Defender 漏洞管理利用 Microsoft 威胁情报、违规可能性预测、业务上下文和设备评估，快速且持续地确定最关键资产上最大的漏洞的优先级，并提供安全建议来降低风险。

有关详细信息，请参阅 Microsoft Defender 漏洞管理 |Microsoft Learn。

哪些许可证为用户提供了从服务中受益的权利？

Defender 漏洞管理作为附加组件提供给组织，其功能包括：

Microsoft Defender for Endpoint计划 2 (独立)
Microsoft 365 E5/A5
Microsoft 365 E5/A5/F5 安全性
Microsoft 365 F5 安全性和合规性加载项
Windows 11 企业版 E5/A5
Windows 10 企业版 E5/A5

如何预配/部署服务？

默认情况下，Microsoft Defender for Endpoint功能在租户级别为租户中的所有用户启用。有关部署的信息，请参阅 Microsoft Defender for Endpoint 文档 |Microsoft Docs。

Microsoft Defender for Identity

Microsoft Defender for Identity (以前是 Azure 高级威胁防护) ，是一项云服务，可帮助保护企业混合环境免受多种类型的高级定向网络攻击和内部威胁。 Microsoft Defender for Identity是按用户订阅许可证。

用户如何从服务中受益？

SecOp 分析师和安全专业人员受益于Microsoft Defender for Identity检测和调查高级威胁、泄露的标识和恶意内部操作的能力。最终用户通过Microsoft Defender for Identity监视其数据而受益。

哪些许可证为用户提供了从服务中受益的权利？

企业移动性 + 安全性 E5/A5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 安全性、Microsoft F5 安全&合规性和用户Microsoft Defender for Identity提供从中受益的权利Microsoft Defender for Identity。

如何预配/部署服务？

Microsoft Defender for Identity功能在租户级别为租户中的所有用户启用。有关配置Microsoft Defender for Identity的信息，请参阅创建Microsoft Defender for Identity实例。

如何只能将服务应用于租户中获得服务许可的用户？

Microsoft Defender for Identity服务当前无法将功能限制为特定用户。应努力将服务权益限制为许可用户。

Microsoft Defender for Office 365

Microsoft Defender for Office 365 (以前Office 365高级威胁防护) 可帮助保护组织免受网络钓鱼和零时差恶意软件等复杂攻击。 Microsoft Defender for Office 365还通过关联来自各种数据的信号来提供可操作的见解，以帮助识别、确定优先级并提供有关如何应对潜在威胁的建议。

用户如何从服务中受益？

Microsoft Defender for Office 365保护用户免受网络钓鱼和零日恶意软件等复杂攻击。有关计划 1 和计划 2 中提供的服务的完整列表，请参阅Microsoft Defender for Office 365。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft Defender for Office 365计划 1 和 2、Office 365 E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 安全性、Microsoft 365 F5 安全性&合规性和Microsoft 365 商业高级版为用户提供从Microsoft Defender for Office 365中受益的权限。

此快速参考将帮助你了解每个Microsoft Defender for Office 365订阅附带的功能。结合对 EOP 功能的了解，可以帮助业务决策者确定最适合需要的 Microsoft Defender for Office 365。

Microsoft Defender for Office 365 计划 1与计划 2 备忘单

Defender for Office 365 计划 1	Defender for Office 365 计划 2
配置、保护和检测功能：安全附件安全链接用于 SharePoint、OneDrive 和 Microsoft Teams 的安全附件 Defender for Office 365 中的防钓鱼保护实时检测	Defender for Office 365计划 1 功能 ---以及--- 自动化、调查、修正和教育功能：威胁跟踪器威胁资源管理器自动调查和响应攻击模拟培训

有关详细信息，请转到Office 365安全性，包括Microsoft Defender for Office 365和Exchange Online Protection - Office 365 |Microsoft Docs。

如何预配/部署服务？

默认情况下，Microsoft Defender for Office 365功能在租户级别为租户中的所有用户启用。有关为许可用户配置Microsoft Defender for Office 365策略的信息，请参阅 Microsoft Defender for Office 365。

有关为许可用户配置安全链接的信息，请参阅 Microsoft Defender for Office 365 中的安全链接。
有关为许可用户配置安全附件的信息，请参阅 Microsoft Defender for Office 365 中的安全附件。

信息保护：Office 365 高级邮件加密

Office 365 高级邮件加密帮助客户履行合规性义务，这些义务要求对外部收件人及其访问加密电子邮件进行更灵活的控制。借助高级邮件加密，管理员可以使用自动策略来控制组织外部共享的敏感电子邮件，这些策略可以检测敏感信息类型 (例如个人身份信息、财务或健康 ID) ，或者他们可以使用关键字通过安全 Web 门户应用自定义电子邮件模板和过期对加密电子邮件的访问权限来增强保护。此外，管理员可以随时撤销访问权限，从而进一步控制通过安全 Web 门户在外部访问的加密电子邮件。

用户如何从服务中受益？

邮件发件人受益于高级邮件加密提供的对敏感电子邮件的增强控制。

哪些许可证为用户提供了从服务中受益的权利？

Office 365 E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全性&合规性以及 Microsoft 365 E5/A5/F5/G5 信息保护和治理为用户提供了从高级消息加密中受益的权限。

如何预配/部署服务？

管理员在 Exchange 管理中心的邮件流>规则下创建和管理高级邮件加密策略。默认情况下，这些规则适用于租户中的所有用户。有关设置新的邮件加密功能的详细信息，请参阅设置新的Office 365消息加密功能。

如何只能将服务应用于租户中获得服务许可的用户？

管理员应仅对许可用户应用高级邮件加密的邮件流规则。有关定义邮件流规则的详细信息，请参阅定义邮件流规则以在 Office 365 中加密电子邮件。

信息保护：Office 365消息加密

Office 365 邮件加密 (OME) 是一项基于 Azure 权限管理 (Azure RMS) 构建的服务，允许您向组织内外发送经加密的电子邮件，而无需考虑目标电子邮件地址（Gmail、Yahoo!Mail、Outlook.com 等）。

若要查看加密邮件，收件人可以使用一次性密码、通过 Microsoft 帐户登录或使用与 Office 365 关联的工作或学校帐户登录。此外，收件人也可发送加密回复。他们不需要订阅即可查看加密邮件或发送加密答复。

用户如何从服务中受益？

邮件发件人受益于对Office 365邮件加密提供的敏感电子邮件的控制。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft 365 F3/E3/A3/G3/E5/A5/G5 和 Microsoft 商业高级版
Office 365 A1/E3/A3/G3/E5/A5/G5
Azure 信息保护计划 1 还向组织提供了在添加到以下计划时从Office 365消息加密中受益的权限：Exchange Online Kiosk、Exchange Online计划 1、Exchange Online计划 2、Office 365 F3、Microsoft 365 商业基础版、Microsoft 365 商业标准版或 Office 365 企业版 E1

如何预配/部署服务？

管理员在 Exchange 管理中心的邮件流>规则下创建和管理Office 365邮件加密策略。默认情况下，这些规则适用于租户中的所有用户。有关设置新的Office 365消息加密功能的详细信息，请参阅设置新的邮件加密功能。

如何只能将服务应用于租户中获得服务许可的用户？

管理员应仅对许可用户应用Office 365邮件加密的邮件流规则。有关定义邮件流规则的详细信息，请参阅定义邮件流规则以加密电子邮件。

Microsoft Priva

Microsoft Priva通过主动识别和防范隐私风险（如数据囤积、数据传输和数据过度共享），帮助公司保护个人数据，并构建可复原隐私的工作场所，使信息工作者能够做出明智的数据处理决策，以及大规模自动化和管理主题请求。

哪些许可证为用户提供了从服务中受益的权利？

Priva 可用作具有 Office 365 A1/E1/G1/G3/A3/E3/A5/E5 订阅和Microsoft 365 A3/E3/G3/A5/E5/G5 订阅的组织。

用户如何从服务中受益？

用户可以受益于组织能够查看其环境中的专用数据、主动识别和防范隐私风险，以及大规模管理主题权限请求 (通常称为“数据主体请求”) 。

客户如何访问该服务？

Priva 解决方案内置于 Microsoft Purview 合规门户，并在租户级别为租户中的所有用户启用。我们建议为你打算从中受益的任何用户获取许可证，并使用该服务进行保护。

客户可以根据组织需求购买以下许可证：

Microsoft Priva 隐私风险管理允许组织：

了解 Microsoft 365 环境中的个人数据 (Microsoft Exchange Online、SharePoint、OneDrive for Business和 Teams) 和相关风险。
利用默认的隐私策略模板，包括数据最小化、数据过度暴露和数据传输，或对其进行自定义以满足组织的独特需求。
接收建议的修正控制措施，以缓解隐私风险。
从生产力套件中与信息工作者互动，并推动行为改变。

Microsoft Priva 主体权利请求是Priva 主体权利请求的许可证名称，它允许组织：

自动响应主题权限请求并对其进行大规模管理。
将 Microsoft Power Automate 模板与现有业务流程结合使用 (需要 Power Automate) 的相应许可证。
利用对 API 的编程访问。
通过 Microsoft Teams 集成 (与其他利益干系人进行安全协作需要 Microsoft Teams) 的相应许可证。

客户将能够以 1、10 或 100 个块购买Priva 主体权利请求。

隐私风险管理和Priva 主体权利请求可以相互独立购买。

有关获取隐私风险管理和Priva 主体权利请求所需的许可先决条件，请参阅产品条款。

Office 365 中的 Privileged Access Management

特权访问管理 (PAM) 提供对 Office 365 中特权管理员任务的精细访问控制。启用 PAM 后，若要完成提升和特权任务，用户需要通过具有高度范围和时间限制的审批工作流请求实时访问。

用户如何从服务中受益？

启用 PAM 可让组织以零长期权限运行。用户可以从额外的防御层中受益，该层可抵御由长期管理访问引起的漏洞，这些访问提供不受约束地访问其数据。

哪些许可证为用户提供了从服务中受益的权利？

Office 365 E5/A5、Microsoft 365 E5/A5、Microsoft 365 E5/A5/F5 合规性和 F5 安全&合规性以及 Microsoft 365 E5/A5/F5 预览体验成员风险管理为用户提供了从 PAM 中受益的权限。

如何预配/部署服务？

默认情况下，在租户级别为租户中的所有用户启用 PAM 功能。有关配置 PAM 策略的信息，请参阅特权访问管理入门。

如何只能将服务应用于租户中获得服务许可的用户？

客户可以通过审批者组和访问策略（可应用于许可用户）按用户管理 PAM。

Microsoft Purview 审核（高级版）

审核 (Premium) (以前名为 Microsoft 365 高级审核) 为用户和管理员活动提供一年的审核日志保留期，并提供创建自定义审核日志保留策略以管理其他 Microsoft 365 服务的审核日志保留的功能。它还提供对用于调查的关键事件的访问权限，以及对Office 365管理活动 API 的高带宽访问。有关详细信息，请参阅审核 (Premium) 。

还可以使用附加 SKU 启用 10 年的保留期。

哪些用户受益于该服务？

Office 365 E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 符合性、Microsoft 365 F5 安全性&合规性以及 Microsoft 365 E5/A5/F5/G5 电子数据展示和审核的许可用户可以从审核 (Premium) 中受益。

具有审核 (Premium) 和 10 年审核日志保留加载项的许可用户可以受益于 10 年审核日志保留期。具有 Microsoft 365 F5 合规性、Microsoft 365 F5 安全性 & 合规性和 Microsoft 365 F5 电子数据展示和审核商业产品/服务的用户除外。 10 年审核日志保留期适用于政府客户的一线员工计划。

用户如何从服务中受益？

用户受益于审核 (Premium) ，因为与 Microsoft 365 服务中的用户活动相关的审核记录可以保留长达一年。此外，会记录高价值审核事件，例如访问或读取用户邮箱中的项目时。有关详细信息，请参阅审核 (Premium) 。

如何预配/部署服务？

默认情况下，审核 (高级) 在租户级别为受益于该服务的所有用户启用，并自动为 Azure Active Directory、Exchange 和 SharePoint 中具有相应许可证) 的用户 (执行的活动提供一年的审核日志保留期。此外，组织可以使用审核日志保留策略来管理由其他 Microsoft 365 服务中的活动生成的审核记录的保留期。还使用相同的保留策略启用 10 年审核日志保留功能。有关详细信息，请参阅管理审核日志保留策略。

如何只能将服务应用于租户中获得服务许可的用户？

审核日志的一年保留期和关键事件的审核仅适用于具有相应许可证的用户。此外，管理员可以使用审核日志保留策略为特定用户的审核日志指定较短的保留期。

审核日志保留 10 年仅适用于具有相应附加许可证的用户。

Microsoft Purview 通信合规性

通信合规性 (以前命名为 Microsoft 365 通信合规性) 可帮助你检测、捕获组织中不适当的消息并采取修正操作，从而最大程度地降低通信风险。可以定义特定策略来捕获组织中的内部和外部电子邮件、Microsoft Teams 或第三方通信。审阅者可以采取适当的修正操作，以确保他们符合组织的消息标准。

用户如何从服务中受益？

合规性专家可以通过通信合规性策略监视组织通信，从该服务中受益。

哪些许可证为用户提供了从服务中受益的权利？

Office 365 E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 合规性、Microsoft 365 F5 安全性&合规性和 Microsoft 365 E5/A5/F5/G5 内部风险管理为用户提供了从通信合规性中受益的权限。

如何预配/部署服务？

管理员和合规性专家在Microsoft Purview 合规门户中创建通信合规性策略。这些策略定义组织中哪些通信和用户要接受评审，定义通信必须满足的自定义条件，并指定谁应执行评审。

如何只能将服务应用于租户中获得服务许可的用户？

管理员选择要包含在通信合规性策略中的特定用户或组。选择组时，他们还可以选择组中要从通信合规性策略中排除的特定用户。有关通信合规性策略的详细信息，请参阅Microsoft Purview 通信合规性入门。

Microsoft Purview 合规性管理器

合规性管理器是Microsoft Purview 合规门户中的一项功能，可帮助你更轻松、更方便地管理组织的合规性要求。合规性管理器可以帮助你完成合规性之旅，从清查数据保护风险到管理实现控制的复杂性、及时了解最新法规和认证、以及向审核员报告。

合规性管理器通过提供以下功能来帮助简化合规性并降低风险：

针对常见行业和区域标准和法规的预生成评估。
工作流功能通过单一工具帮助你有效完成风险评估。
有关建议的改进操作的详细分步指南，可帮助你遵守与组织最相关的标准和法规。对于 Microsoft 管理的操作，你将看到实现详细信息和审核结果。
基于风险的合规性分数，通过衡量完成改进操作的进度，帮助你了解合规性状况。

谁可以访问合规性管理器？

合规性管理器适用于具有 Office 365 和 Microsoft 365 许可证的组织，以及美国政府社区云 (GCC) 、GCC High 和国防部 (DoD) 客户。评估可用性和管理功能取决于许可协议。

什么是高级模板？

高级模板是合规性管理器的附加价值和帮助：

将复杂的法规要求转换为特定控制措施
建议的改进操作
根据法规提供可量化的合规性度量值

合规性管理器提供 300 多个高级评估，客户可以使用这些评估来评估其是否符合各种全球、区域和行业法规和标准。

具有包含 Microsoft Exchange Online 许可证的订阅的任何客户均可购买 Compliance Manager 高级模板。

哪些高级模板可用？

下面是高级模板的列表。

默认情况下，包括哪些模板 (免费) ？

某些评估包含在合规性管理器和客户许可证类型中。有关详细信息，请参阅下表和常见问题解答：

许可证类型	评估模板 (默认包含) ¹
Microsoft 365 或 Office 365 A1/E1/F1/G1 Microsoft 365 或 Office 365 A3/E3/F3/G3	数据保护基线
Microsoft 365 或 Office 365 A5/E5/G5 Microsoft 365 A5/E5/F5/G5 合规性 Microsoft 365 A5/E5/F5/G5 电子数据展示和审核 Microsoft 365 A5/E5/F5/G5 内部风险管理 Microsoft 365 A5/E5/F5/G5 信息保护和治理	选择任意 3 个高级模板² 数据保护基线 CMMC 级别 1-5 (仅适用于 G5) 自定义评估

¹ 与法规相对应的模板现在将全部组合在一起，并被视为单个模板。例如，CMMC - 级别 1 和 CMMC - 级别 2 现在将计为一个模板。当该法规具有多个级别或版本时，无需为同一法规购买多个模板。
² 所有用户都需要获得许可。

Microsoft Purview 客户密码箱

客户密码箱 (以前名为 Office 365 客户密码箱) 为客户提供对服务操作的显式访问授权，从而提供了额外的控制层。通过演示显式数据访问授权的程序，客户密码箱还可以帮助组织履行某些合规性义务，例如 HIPAA 和 FedRAMP。

用户如何从服务中受益？

客户密码箱可确保未经客户明确批准，Microsoft 的任何人都无法访问客户内容来执行服务操作。客户密码箱将客户引入审批工作流，以请求访问其内容。有时，Microsoft 工程师会在支持过程中参与对客户报告的问题进行故障排除和修复。在大多数情况下，问题是通过 Microsoft 为其服务提供的大量遥测和调试工具修复的。但是，在某些情况下，可能需要 Microsoft 工程师访问客户内容以确定根本原因并解决问题。作为审批工作流程的最后一步，客户密码箱要求工程师向客户请求访问权限。这使组织可以选择批准或拒绝这些请求，从而直接控制 Microsoft 工程师是否可以访问组织的最终用户数据。

哪些许可证为用户提供了从服务中受益的权利？

Office 365 E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全性&合规性以及 Microsoft 365 E5/A5/F5/G5 内部风险管理为用户提供了从客户密码箱中受益的权限。

如何预配/部署服务？

管理员可以在Microsoft 365 管理中心中打开客户密码箱。有关详细信息，请参阅客户密码箱。启用客户密码箱后，Microsoft 需要先获得组织的批准，然后才能访问其任何内容。

如何只能将服务应用于租户中获得服务许可的用户？

目前，客户密码箱服务不能仅限于特定用户。尽管租户服务当前无法将权益限制为特定用户，但应努力将服务权益限制为许可用户。一旦目标功能可用，这有助于避免潜在的服务中断。

Microsoft Purview 数据连接器

Microsoft 提供可在Microsoft Purview 合规门户中配置的第三方数据连接器。有关 Microsoft 提供的数据连接器列表，请参阅第三方数据连接器表。此表还汇总了在 Microsoft 365 中导入和存档数据后可应用于第三方数据的合规性解决方案，以及指向每个连接器的分步说明的链接。

用户如何从服务中受益？

使用数据连接器 (以前名为 Microsoft 365 数据连接器) 在 Microsoft 365 中导入和存档第三方数据的主要好处是，可以在导入数据后对数据应用各种 Microsoft Purview 解决方案。这有助于确保组织的非 Microsoft 数据符合影响组织的法规和标准。

哪些许可证为用户提供了从服务中受益的权利？

以下许可证为用户提供了从数据连接器中受益的权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/F5/G5 信息保护&治理
Microsoft 365 E5/A5/G5/F5 合规性
Microsoft 365 F5 安全性 & 合规性
Microsoft 365 E5/A5/F5/G5 内部风险管理
Microsoft 365 E5/A5/F5/G5 电子数据展示和审核
Office 365 E5/A5/G5

对于 Microsoft 合作伙伴提供的Microsoft Purview 合规门户中的数据连接器，组织需要与合作伙伴建立业务关系，然后才能部署这些连接器。

如何预配/部署服务？

使用Microsoft Purview 合规门户和连接器目录配置连接器。

如何只能将服务应用于租户中获得服务许可的用户？

数据连接器服务是租户级值。每个打算从此服务中受益的用户都必须获得许可。

& Microsoft Purview 数据生命周期管理Microsoft Purview 记录管理

Microsoft Purview 数据生命周期管理 (以前的 Microsoft 信息治理) 和Microsoft Purview 记录管理为你提供工具和功能来保留需要保留的内容并删除不需要的内容。组织通常会保留和删除内容以满足合规性和数据法规要求。删除不再具有业务价值的内容还有助于管理风险和责任。

数据生命周期管理和记录管理都使用保留策略、保留标签和保留标签策略来强制实施保留和删除设置。此外，此区域包括电子邮件存档功能。

保留策略的许可

对于组织范围、位置范围或包含/排除保留策略，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5/E3/A3/G3、商业高级版
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全性&合规
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5/E3/A3/G3

如果保留策略位置是 Exchange 邮箱，则以下许可证还提供用户权限：

Exchange 计划 2
Exchange Online Archiving

如果保留策略位置为 SharePoint 或 OneDrive for Business，则以下许可证还提供用户权限：

SharePoint 计划 2

如果保留策略位置是 Microsoft Teams 聊天、频道或专用频道，则以下许可证还提供用户权限。对于 带下划线的计划，保留或删除期必须超过 30 天：

Microsoft 365 E5/G5/A5/E3/G3/A3/F3/F1、Business Basic、Business Standard 和 Business Premium
Office 365 E5/G5/A5/E3/G3/A3/F3/E1/G1
Microsoft 365 F5 合规性和 Microsoft 365 F5 安全性和合规性附加计划

如果保留策略使用自适应策略范围，则需要以下许可证之一来提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全性&合规
Office 365 E5/A5/G5
Microsoft 365 E5/A5/F5/G5 信息保护和治理

保留标签的许可

对于保留标签创建，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5/E3/A3/G3/F3/F1/Business Premium
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全性&合规
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5/E3/A3/G3/F3/E1/A1/G1

以下保留标签创建设置：

基于事件类型启动保留期
在保留期结束时触发处置评审
在保留期内，将项目标记为记录或法规记录
保留期过后，自动更改保留标签，

需要以下特定许可证来提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全性&合规
Office 365 E5/A5/G5
Microsoft 365 E5/A5/F5/G5 信息保护和治理

保留标签策略的许可

保留标签通过以下三种方式之一应用于文件和电子邮件：

发布标签，以便最终用户可以使用它们进行手动标记。
通过保留标签策略配置自动应用它们。
通过其他应用程序方法（例如默认标签）。

若要发布保留标签，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5/E3/A3/G3/F3/F1/Business Premium
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全性&合规
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5/E3/A3/G3/F3/E1/A1/G1

如果发布位置是 Exchange 邮箱，则Exchange Online计划 1 和计划 2 许可证提供用户权限。

如果发布位置为 SharePoint Online 或 OneDrive，则 SharePoint Online 计划 1 和计划 2 许可证提供用户权限。

保留标签的以下部署方法需要特定的许可：

自动应用于包含敏感信息的内容
自动应用于包含特定字词、短语或属性的内容
将默认保留标签应用于 SharePoint 文档库、文件夹或文档集
在保留标签策略中使用自适应策略范围

以下许可证为这些部署方法提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全性&合规
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5

若要使用可训练的分类器自动应用保留标签，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全性&合规
Microsoft 365 E5/A5/F5/G5 信息保护和治理

其他保留标签应用程序方法

若要使用 Outlook 规则或 Outlook 默认文件夹策略应用标签，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5/E3/A3/G3/F3/F1/Business Premium
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全性&合规
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5/E3/A3/G3/F3/E1/A1/G1

若要使用 SharePoint Syntex 模型应用保留标签，以下许可证提供用户权限。此外，还需要购买相应的 SharePoint Syntex 许可证。

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全性&合规
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5

若要使用文件计划来维护保留标签（包括导入和导出），以下许可证提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全性&合规
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5

Email存档

若要将 PST 文件批量导入到Exchange Online邮箱，以下许可证提供用户权限：

Exchange Online P2
Microsoft 365 E5/A5/G5/E3/A3/G3
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全性&合规
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5/E3/A3/G3

若要启用存档邮箱和自动扩展存档，以下许可证提供用户权限：

存档邮箱限制为 50 GB
- Exchange Online 计划 1
- Office 365 E1
存档邮箱限制为 1.5 TB
- Exchange Online Archiving
- Exchange Online 计划 2
- Microsoft 365 E5/A5/G5/E3/A3/G3
- Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全性&合规
- Microsoft 365 E5/A5/F5/G5 信息保护和治理
- Office 365 E5/A5/G5/E3/A3/G3
- Microsoft 365 商业高级版

哪些用户需要许可证？

从服务中受益的任何用户都需要许可证。有关服务条款 & 条件的详细信息，请参阅产品条款。下面是用户从服务中受益的示例：

Microsoft Purview 合规门户中分配了以下角色的用户：处置管理、记录管理、保留管理、View-Only记录管理View-Only保留管理。
在网站上使用保留策略或保留标签策略时，SharePoint 网站所有者和成员。网站访问者不需要许可证。
当对网站、邮箱或 Teams 邮件使用保留策略或保留标签策略时，Microsoft 365 组所有者和成员。
对于用户邮箱，用户必须分配所需的许可证。
自适应策略范围中包含的用户、SharePoint 网站和Microsoft 365 组。

对于许多功能，共享邮箱或资源邮箱不需要分配许可证。对于需要以下许可证之一的功能，共享或资源邮箱确实需要分配许可证来提供使用权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全性&合规
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5

非活动邮箱不需要使用许可证。

此外，共享邮箱限制为 50 GB，无需 Exchange 加载项。若要将大小限制增加到 100 GB，共享邮箱需要Exchange Online计划 2 或 Exchange Online Archiving + Exchange Online 计划 1。

Microsoft Purview 数据丢失防护：终结点数据丢失保护 (DLP)

组织可以使用Microsoft Purview 数据丢失防护 (DLP) 来检测确定为敏感项的活动，并帮助防止意外共享这些项目。有关 DLP 的更多详细信息，请参阅了解数据丢失防护（预览版）。

终结点数据丢失防护 (Endpoint DLP) 将 DLP 的活动检测和保护功能扩展到物理存储在 Windows 10、Windows 11 和 macOS (Catalina 10.15 及更高) 设备上的敏感项。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/F5/G5 合规性和 F5 安全性&合规
Microsoft 365 E5/A5/F5/G5 信息保护&治理

如何预配/部署服务？

有关详细信息，请参阅终结点数据丢失防护入门 - Microsoft Purview (合规性) |Microsoft Docs和了解数据丢失防护 - Microsoft Purview (合规性) |Microsoft Docs。

使用 Microsoft Purview 合规门户，可将终结点 DLP 策略的范围限定为登录到已载入设备的用户。当限定范围的用户登录到已载入的设备时，将评估策略。有关更多详细信息，请查看适用于设备的 Microsoft Endpoint DLP 交互式指南。

Microsoft Purview 数据丢失防护：针对 Exchange Online、SharePoint Online 和 OneDrive for Business 的数据丢失防护 (DLP)

使用 Exchange Online 的 Microsoft Purview 数据丢失防护、SharePoint Online 和以前名为 Microsoft Office 365 的OneDrive for Business (数据丢失防护) ，组织可以跨电子邮件和文件识别、监视和自动保护敏感信息， (包括存储在 Microsoft Teams 文件存储库) 中的文件。

用户如何从服务中受益？

在检查电子邮件和文件时，用户可以从 DLP for Exchange Online、SharePoint Online 和 OneDrive for Business中受益，如组织的 DLP 策略中配置的那样。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft 365 E5/A5/G5/E3/A3/G3、Microsoft 365 商业高级版、SharePoint Online 计划 2、OneDrive for Business（计划 2）、Exchange Online计划 2
Office 365 E5/A5/G5/E3/A3/G3
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全性&合规
Microsoft 365 E5/A5/F5/G5 信息保护和治理

如何预配/部署服务？

默认情况下，Exchange Online电子邮件、SharePoint 网站和 OneDrive 帐户是启用位置， (工作负荷) 租户中的所有用户使用这些 DLP 功能。有关使用 DLP 策略的详细信息，请参阅数据丢失防护概述。

如何只能将服务应用于租户中获得服务许可的用户？

管理员可以自定义 (工作负载的位置) 、包括用户，以及排除Microsoft Purview 合规门户中的用户。

Microsoft Purview 数据丢失防护：Teams 的数据丢失防护 (DLP)

使用 DLP for Teams，组织可以阻止包含敏感信息的聊天和频道消息，例如财务信息、个人身份信息、运行状况相关信息或其他机密信息。

哪些用户受益于该服务？

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全性&合规
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5

用户如何从服务中受益？

发件人可以通过检查其传出聊天和频道消息中的敏感信息来获取敏感信息，如组织的 DLP 策略中配置的那样。

如何预配/部署服务？

默认情况下，Teams 聊天和频道消息是租户中所有用户的这些 DLP 功能的 已启用位置 (工作负载) 。若要为 Teams 启用数据丢失防护，必须在 Microsoft 365 管理门户中的上述许可证之一下选择“Microsoft 通信 DLP”服务。有关使用 DLP 策略的详细信息，请参阅数据丢失防护概述。

如何只能将服务应用于租户中获得服务许可的用户？

管理员可以自定义 (工作负载的位置，) 、包括用户和Microsoft Purview 合规门户中排除的用户。

Microsoft Purview 数据丢失防护：用于 Teams 数据丢失防护 (DLP) 和 Teams 导出的图形 API

这些 API 使开发人员可以构建安全与合规性应用，这些应用可以近乎实时地“侦听”Microsoft Teams 消息，或在 1：1/群组聊天或 Teams 频道中导出团队消息。这些 API 为客户和 ISV 启用 DLP 和其他信息保护和治理方案。此外，Microsoft Graph 修补程序 API 允许将 DLP 操作应用于 Teams 消息。

用户如何从服务中受益？

数据丢失防护 (DLP) 功能在 Microsoft Teams 中广泛使用，尤其是在组织转向远程工作时。如果组织具有 DLP，现在可以定义阻止用户在 Microsoft Teams 频道或聊天会话中共享敏感信息的策略。

信息保护和治理功能在 Microsoft Teams 中广泛使用，尤其是在组织转向远程工作时。使用 Teams 导出 API，可将数据导出到第三方电子数据展示或合规性存档应用程序，以确保符合性做法。

哪些许可证为用户提供了从服务中受益的权利？

Office 365 E5/A5/G5
Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/F5/G5 合规性和 Microsoft 365 F5 安全性&合规
Microsoft 365 E5/A5/F5/G5 信息保护和治理

如何预配/部署服务？

API 访问是在租户级别配置的。若要为 Teams DLP 启用 Microsoft Graph API，必须在 Microsoft 365 管理中的上述许可证之一下选择“Microsoft Communications DLP”服务。

如何只能将服务应用于租户中获得服务许可的用户？

适用于 Teams DLP 和 Teams 导出的 Microsoft Graph API 提供租户级值。每个打算从此服务中受益的用户都必须获得许可。作为一种附加价值，我们将为每个许可用户添加种子容量，每月计算，并在租户级别聚合。对于超出种子容量的使用，应用所有者将按 API 使用量计费。

有关种子设定容量和消耗费用的详细信息，请参阅访问聊天消息的图形要求。

Microsoft Purview 电子数据展示

Microsoft 365 中的电子发现 (电子数据展示) 解决方案为公司内的 IT 和法律部门提供调查和电子数据展示解决方案，以便在导出 Microsoft 365 系统之前识别、收集、保留、减少和审查与调查或诉讼相关的内容。

用户如何从服务中受益？

电子数据展示 (标准) (以前名为核心电子数据展示) 基于内容搜索的基本搜索和导出功能，使你能够创建电子数据展示事例并将电子数据展示管理员分配到特定案例。电子数据展示管理员只能访问他们作为成员的案例。电子数据展示还使你能够将搜索和导出与案例相关联，并允许你对与案例相关的内容位置进行电子数据展示保留。

电子数据展示 (Premium) (以前名为 Advanced eDiscovery) 提供端到端工作流来保留、收集、分析、审查和导出响应组织的内部和外部调查的内容。它帮助法律团队管理整个法定保留通知工作流，与案件有关保管人进行沟通。

哪些许可证为用户提供了从服务中受益的权利？

电子数据展示 (标准) ：仅Exchange Online计划 2、Exchange Online Archiving、SharePoint Online 计划 2、OneDrive for Business（计划 2） Microsoft 365 商业高级版 (Exchange) 、Microsoft 365 E5/A5/G5/E3/A3/G3、Office 365 E5/A5/G5/E3/A3/G3、F5 符合性和 F5 安全&合规性。

电子数据展示 (高级版) ：Microsoft 365 E5/A5/F5/G5、Microsoft 365 E5/A5/F5/G5 合规性、Microsoft 365 E5/A5/F5/G5 电子数据展示和审核，以及 Office 365 E5/A5/G5。

如何预配/部署服务？

默认情况下，当管理员在Microsoft Purview 合规门户中分配电子数据展示权限时，会在租户中为租户中的所有用户启用电子数据展示功能。

我们建议为想要从中受益和/或访问服务的任何用户获取许可证。

电子数据展示管理员可以使用电子数据展示 (Premium) 中的内置保管人管理工具，选择特定用户作为案例的数据保管人，如将保管人添加到电子数据展示 (Premium) 案例中所述。

有关电子数据展示和非托管数据源的信息，请参阅将非保管数据源添加到电子数据展示 (Premium) 案例。

Microsoft Purview 信息屏障

信息屏障是管理员可以配置的策略，以防止个人或组相互通信。例如，如果一个部门正在处理不应与其他部门共享的信息，或者需要阻止某个组与外部联系人通信，则这很有用。信息屏障策略还会阻止查找和发现。这意味着，如果尝试与不应与之通信的人通信，则无法在人员选取器中找到该用户。

用户如何从服务中受益？

当用户被限制与他人通信时，他们受益于信息屏障的高级合规性功能。可以定义信息屏障策略，以防止某些用户段与每个用户通信，或允许特定段仅与某些其他段通信。有关定义信息屏障策略的详细信息，请参阅定义信息屏障 (IB) 策略。定义 IB 策略 (阻止或允许) 时，属于“已分配段”下定义的段的用户需要许可证。 下面是两个示例方案：

应用场景	谁需要许可证？
1. IB 阻止策略 - 组 1 和组 2 (两个组) 无法相互通信 (即组 1 用户限制与组 2 用户通信，组 2 用户被限制与组 1 用户通信。) 示例： New-InformationBarrierPolicy-Name“Group1-Group2” -AssignedSegment“Group1”-SegmentsBlocked“Group2” New-InformationBarrierPolicy-Name“Group2-Group1” -AssignedSegment“Group2”-SegmentsBlocked“Group1”	组 1 和组 2 中的用户
2. IB 允许策略 - (组 1、组 2 & 组 3) 的三个组仅允许与组 4 和组 5 通信。示例： New-InformationBarrierPolicy-Name“Group1-Group4 Group5” -AssignedSegment“Group1”-SegmentsAllowed“Group4，Group5” New-InformationBarrierPolicy-Name“Group2-Group4 Group5” -AssignedSegment“Group2”-SegmentsAllowed“Group4，Group5” New-InformationBarrierPolicy-Name“Group3-Group4 Group5” -AssignedSegment“Group3”-SegmentsAllowed“Group4，Group5”	组 1、组 2 & 组 3 中的用户

应用场景

谁需要许可证？

1. IB 阻止策略 - 组 1 和组 2 (两个组) 无法相互通信 (即组 1 用户限制与组 2 用户通信，组 2 用户被限制与组 1 用户通信。)

示例：

New-InformationBarrierPolicy-Name“Group1-Group2” -AssignedSegment“Group1”-SegmentsBlocked“Group2”

New-InformationBarrierPolicy-Name“Group2-Group1” -AssignedSegment“Group2”-SegmentsBlocked“Group1”

组 1 和组 2 中的用户

2. IB 允许策略 - (组 1、组 2 & 组 3) 的三个组仅允许与组 4 和组 5 通信。

示例：

New-InformationBarrierPolicy-Name“Group1-Group4 Group5” -AssignedSegment“Group1”-SegmentsAllowed“Group4，Group5”

New-InformationBarrierPolicy-Name“Group2-Group4 Group5” -AssignedSegment“Group2”-SegmentsAllowed“Group4，Group5”

New-InformationBarrierPolicy-Name“Group3-Group4 Group5” -AssignedSegment“Group3”-SegmentsAllowed“Group4，Group5”

组 1、组 2 & 组 3 中的用户

哪些许可证为用户提供了从服务中受益的权利？

Microsoft 365 E5/G5/A5/A3/A1
Office 365 E5/A5/A3/A1
Microsoft 365 E5/F5 合规性
Microsoft 365 E5/G5/A5 内部风险管理
Microsoft 365 F5 安全性 + 合规性
Office 365 E3 + 企业移动性&安全性 E3 + E5 合规性
Office 365 E3 + 企业移动性&安全 E3 + 内部风险管理
Office 365 高级合规版加载项 (不再可用于新订阅)

如何预配/部署服务？

管理员使用Microsoft Purview 合规门户中的 PowerShell cmdlet 创建和管理信息屏障策略。必须为管理员分配Microsoft 365 企业版全局管理员、Office 365全局管理员或合规性管理员角色才能创建信息屏障策略。默认情况下，这些策略适用于租户中的所有用户。有关信息屏障的详细信息，请参阅 Microsoft Teams 中的信息屏障。

如何只能将服务应用于租户中获得服务许可的用户？

管理员可以自定义 (工作负载的位置，) 、包括用户和Microsoft Purview 合规门户中排除的用户。有关详细信息，请参阅 Teams中的信息屏障。

Microsoft Purview 信息保护：客户密钥

使用客户密钥 (以前名为 Microsoft 365) 的客户密钥，可以控制组织的加密密钥，并将 Microsoft 365 配置为使用它们加密 Microsoft 数据中心内的静态数据。换句话说，客户密钥允许你使用自己的密钥添加属于你的加密层。客户密钥通过 Microsoft 365 静态数据加密服务为多个 Microsoft 365 工作负载提供静态数据加密支持。此外，客户密钥为 SharePoint Online 和OneDrive for Business数据提供加密，以及Exchange Online邮箱级别加密。

用户如何从服务中受益？

通过使用由自己的组织提供、控制和管理的加密密钥，在应用程序层对静态数据进行加密，用户可以从客户密钥中受益。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5 符合性、Microsoft 365 E5/A5/G5 信息保护和治理以及Office 365 E5/A5/G5 为用户提供从客户密钥中受益的权限。若要获得客户密钥的全部权益，还必须拥有 Azure 密钥保管库订阅。

如何预配/部署服务？

设置客户密钥一文介绍了创建和配置所需 Azure 资源所需的步骤，然后提供了设置客户密钥的步骤。

如何只能将服务应用于租户中获得服务许可的用户？

提供多工作负载加密支持的 Microsoft 365 静态数据服务是租户级别的服务。尽管从技术上讲，某些未授权的用户可能能够访问该服务，但你打算从服务中受益的任何用户都需要许可证。对于Exchange Online邮箱级别加密，用户邮箱需要获得许可才能分配数据加密策略。

Microsoft Purview 信息保护：数据分类分析：概述内容&活动资源管理器

Microsoft Purview 合规门户内提供数据分类分析功能。概述显示数字内容的位置以及最常见的敏感信息类型和标签。内容资源管理器提供敏感数据的数量和类型的可见性，并允许用户按标签或敏感度类型进行筛选，以获取存储敏感数据的位置的详细视图。活动资源管理器显示与敏感数据和标签相关的活动，例如标签降级或可能使内容面临风险的外部共享。

活动资源管理器为管理员提供了一个单一管理平台，用于了解与最终用户正在使用的敏感信息相关的活动。这些数据包括标签活动、数据丢失防护 (DLP) 日志、自动标记、终结点 DLP 等。

通过内容资源管理器，管理员可以为存储在受支持的 Microsoft 365 工作负载中的敏感文档编制索引，并识别他们存储的敏感信息。此外，内容资源管理器还有助于识别使用敏感度和保留标签进行分类的文档。

用户如何从服务中受益？

信息保护和合规性管理员可以访问服务来访问这些日志和索引数据，以了解敏感数据的存储位置，以及哪些活动与此数据相关并由最终用户执行。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5 符合性、Microsoft 365 E5/A5/G5 信息保护&治理和Office 365 E5的许可用户可以受益于 Microsoft 365 数据分类分析。

Microsoft 365 E3/A3/G3 和 Office 365 E3/A3/G3 仅允许用户从内容资源管理器数据聚合中受益。

如何预配/部署服务？

默认情况下，在租户级别为租户中的所有用户启用概述内容和活动资源管理器功能。有关为许可用户配置数据分类分析的信息，请参阅：

内容资源管理器：内容资源管理器入门。
活动资源管理器：活动资源管理器入门。
数据分类发行说明：数据分类发行说明。

如何只能将服务应用于租户中获得服务许可的用户？

此功能的范围需要限定为在 Microsoft Purview 合规门户内主动使用该解决方案的用户。

Microsoft Purview 信息保护：双密钥加密

双密钥加密 (以前名为 Microsoft 365) 的双密钥加密可让你保护高度敏感的数据，以满足专用要求，并保持对加密密钥的完全控制。双密钥加密使用两个密钥来保护数据，其中一个密钥在控制中，第二个密钥由 Microsoft Azure 安全存储。若要查看数据，必须有权访问这两个密钥。由于 Microsoft 只能访问一个密钥，因此你的密钥和数据对 Microsoft 不可用，从而确保你完全控制数据的隐私和安全。

用户如何从服务中受益？

用户能够将其加密数据迁移到云，从而受益于双密钥加密，只要密钥仍控制用户，就可以阻止第三方访问。用户可以保护和使用双密钥加密内容，类似于任何其他敏感度标签受保护内容。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5 合规性、Microsoft 365 E5/A5/G5 信息保护和治理、Office 365 E5/A5/G5 和 EMS E5 为用户提供从双密钥加密中受益的权限。

如何预配/部署服务？

双密钥加密支持桌面版 Microsoft Office for Windows。

如何只能将服务应用于租户中获得服务许可的用户？

若要为许可用户向Office 365和/或 Microsoft 365 组织中的数据分配加密密钥，请按照双密钥加密部署说明进行操作。

Microsoft Purview 信息保护：敏感度标记

信息保护可帮助组织发现、分类、标记和保护敏感文档、电子邮件和会议以及组和网站。管理员可以定义规则和条件以自动应用标签，用户可以手动应用标签，也可以使用这两者的组合，其中向用户提供应用标签的建议。

用户如何从服务中受益？

用户能够创建、手动应用或自动应用敏感度标签，并使用应用敏感度标签的内容，从而受益匪浅。

哪些许可证为用户提供了从服务中受益的权利？

对于 手动敏感度标记，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5/E3/A3/G3/F1/F3/Business Premium/OneDrive for Business（计划 2）
企业移动性 + 安全性 E3/E5
Office 365 E5/A5/E3/A3
AIP 计划 1
AIP 计划 2

对于 计划的会议的手动敏感度标记，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性
Microsoft 365 F5 安全性 & 合规性
Office 365 E5/A5

对于 Teams 联机会议的手动敏感度标记，以下附加许可证提供用户权限：

Microsoft 365 E5/A5/G5 + Teams 高级版
Microsoft 365 E5/A5/G5/F5 合规性 + Teams 高级版
Microsoft 365 F5 安全性&合规性 + Teams 高级版
Office 365 E5/A5 + Teams 高级版

对于 客户端和服务端自动敏感度标记，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5
E5 合规性
Microsoft 365 E5/A5/G5 信息保护和治理
Office 365 E5/A5/G5

仅对于客户端自动敏感度标记，以下许可证提供用户权限：

企业移动性 + 安全性 E5/A5/G5
AIP 计划 2

若要 在 Power BI 中应用和查看敏感度标签，并在数据从 Power BI 导出到 Excel、PowerPoint 或 PDF 时保护数据，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5/E3/A3/G3/F1/F3/Business Premium
企业移动性 + 安全性 E3/E5
AIP 计划 1
AIP 计划 2

若要 将默认敏感度标签应用于 SharePoint 文档库，以下许可证提供用户权限：

Microsoft Syntex - SharePoint 高级管理
Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性
Microsoft 365 F5 安全性和合规性
Microsoft 365 E5/A5/G5/F5 信息保护和治理
Office 365 E5/A5/G5

为了使用敏感度标签通过身份验证上下文将条件访问策略应用于 SharePoint 网站，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5 信息保护和治理
Office 365 E5/A5/G5

注意

还可以通过 Set-SPOSite PowerShell cmdlet 直接通过身份验证上下文将条件访问策略应用到 SharePoint 网站，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5
Microsoft 365 E5 信息保护和治理
Office 365 E5/A5/G5
Microsoft Syntex - SharePoint 高级管理

若要了解有关这些功能的详细信息，请参阅 SharePoint 网站和 OneDrive 的条件访问策略 - Microsoft 365 中的 SharePoint |Microsoft Learn。

有关用户如何从 AIPService PowerShell 模块中受益以管理 Azure 信息保护的 Azure Rights Management 保护服务的信息，请参阅 Azure 信息保护。

注意

除了上述许可信息：

除了高级/P2 许可证之外，还必须分配标准/计划 1 许可证，以便用户有权访问 Office 365 和 AIP 信息保护的敏感度标签，即使分配了高级许可证/计划 2 也是如此。例如，如果将 Office 365 Premium 的信息保护分配给用户，则该用户还必须信息保护为 Office 365 Standard 分配，以便提供敏感度标记。如果将 AIP P2 分配给用户，该用户还必须分配 AIP P1。
Power BI 包含在 Microsoft 365 E5/A5/G5 中;在所有其他计划中，Power BI 必须单独获得许可。
有关基于机器学习的自动分类的用户权益信息， (可训练的分类器) ，请参阅信息治理和/或记录管理。

如何预配/部署服务？

默认情况下，在租户级别为租户中的所有用户启用信息保护功能。有关为许可用户配置策略的信息，请参阅激活 Azure Rights Management。

如何只能将服务应用于租户中获得服务许可的用户？

除非使用 Microsoft Purview 信息保护扫描程序 (以前称为 AIP 扫描程序，现在可通过 Purview 合规性门户) 功能进行访问，否则策略可以限定为特定组或用户，并且可以编辑注册表以防止未经许可的用户运行分类或标记功能。

对于 Microsoft Purview 信息保护扫描程序功能，Microsoft 不承诺向未获得许可的用户提供文件分类、标记或保护功能。

有关更多信息，请参阅：

Microsoft Purview 内部风险管理

Insider Risk Management (以前名为 Microsoft 365 Insider Risk Management) 是一种解决方案，可让你检测、调查组织中的风险活动并采取措施，从而最大程度地降低内部风险。

自定义策略允许检测组织中的恶意和无意风险活动并采取操作，包括根据需要将案例上报到 Microsoft Purview 电子数据展示 (以前名为 Microsoft Advanced eDiscovery) 的 Premium) (。组织中的风险分析师可以快速采取适当措施，确保用户符合组织的合规性标准。

用户如何从服务中受益？

用户通过监视其活动的风险来受益。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全性&合规性以及 Microsoft 365 E5/A5/F5/G5 预览体验成员风险管理为用户提供了从内部风险管理中受益的权限。

如何预配/部署服务？

必须在Microsoft Purview 合规门户中创建内部风险管理策略并将其分配给用户。

如何只能将服务应用于租户中获得服务许可的用户？

有关信息，请参阅内部风险管理入门。

IRM 取证证据

内部风险管理的取证证据加载项是什么？

取证证据是 Microsoft Purview 内部风险管理中的一项选择加入容量附加功能，可让安全团队直观地洞察潜在的内部数据安全事件，并内置了用户隐私。

哪个许可证为客户提供了从服务中受益的权利？

预览体验计划风险管理的取证证据加载项适用于具有Microsoft 365 E5、Microsoft 365 E5 合规或Microsoft 365 E5预览体验成员风险管理许可证的组织。

客户可以每月 100 GB 的单位购买取证证据加载项。对于管理员配置的取证证据策略中限定的用户，将根据租户级别的取证证据引入对购买的容量进行计量。

客户如何访问该服务？

客户可以在Microsoft Purview 合规门户访问服务。可以在我们的技术文档中了解有关法医证据的详细信息。