将敏感度标签自动应用于内容

Microsoft 365 安全性与合规性许可指南

注意

有关在数据映射中自动应用敏感度标签的信息,请参阅 在 Microsoft Purview 数据映射中贴标签

创建敏感度标签时,你可以自动将该标签分配给内容(如果它符合你指定的条件)。

能否将敏感度标签自动应用于内容非常重要,这是因为:

  • 无需为用户提供有关何时使用每种分类的培训。

  • 无需依赖用户,即可对全部内容进行正确分类。

  • 用户不再需要了解你的策略,可以专注于自己的工作。

有两种不同的方法可以自动将敏感度标签应用于 Microsoft 365 中的内容:

  • 用户编辑文档或撰写(以及答复或转发)电子邮件时的客户端标记:使用为 Office 应用(Word、Excel、PowerPoint 和 Outlook)的自动标记配置的标签。

    此方法支持向用户推荐标签,并自动应用标签。 但在这两种情况下,用户都可以决定接受还是拒绝标签,以帮助确保正确标记内容。 此客户端标记的文档延迟最少,因为即使在保存文档之前也可以应用标签。 但是,并非所有客户端应用都支持自动标记。 Azure 信息保护统一标记客户端和包含 某些 Office 版本 的内置标签支持此功能。

    有关配置说明,请参阅此页面上的如何配置 Office 应用的自动标签

  • 当内容已保存(在 SharePoint 或 OneDrive 中)或通过电子邮件发送(由 Exchange Online 处理)时的服务端标记:使用自动标记策略。

    你可能还听过该方法的另外一种称呼方式,即自动标记静态数据(SharePoint 和 OneDrive 中的文档)和传输中的数据(由 Exchange 发送或接收的电子邮件)。 对于 Exchange,它不包含静态电子邮件(邮箱)。

    由于此标记是由服务而不是应用程序应用的,因此无需担心用户拥有的应用和版本。 因此,可立即在整个组织中使用此功能,并且适合大规模标记。 自动标记策略不支持推荐的标记,因为用户不与标记过程交互。 相反,管理员将在模拟下运行策略,以便在实际应用标签前,帮助确保正确标记内容。

    有关配置说明,请参阅此页面上的如何为 SharePoint、OneDrive 和 Exchange 配置自动标记策略

    特定于 SharePoint 和 OneDrive 的自动标记:

    • 支持用于 Word (.docx) 、PowerPoint (.pptx) 和 Excel (.xlsx) 的 PDF 文档和 Office 文件。
      • 创建自动标签策略之前或之后,这些文件可自动标记。 如果文件是打开会话的一部分(文件处于打开状态),则无法自动标记文件。
      • 目前不支持列表项的附件,且不会自动标记。
    • 租户中每天最多自动标记 25,000 个文件。
    • 每个租户最多有 100 个自动标记策略,每个策略最多针对 100 个位置, (SharePoint 网站或 OneDrive 单个用户或组使用 “包含 ”或“ 排除 ”选项指定特定位置时) 。 如果保留默认配置 “全部”,则此配置不受最多 100 个位置限制。
    • 无论是在模拟模式下还是在应用标签时,可修改的现有值、修改者和修改日期都不会因自动标记策略而发生变化。
    • 标签应用加密时,权限管理颁发者和权限管理所有者是最后修改文件的帐户。

    特定于 Exchange 的自动标记:

    • 将扫描 PDF 附件和 Office 附件,以查找在自动标记策略中指定的条件。 如果存在匹配项,则会标记电子邮件,但不标记附件。
      • 对于 PDF 文件,如果标签应用了加密,则当租户 启用 PDF 附件 时,将通过使用 邮件加密 (OME) 对这些文件进行加密。
      • 对于这些 Office 文件,支持 Word、PowerPoint 和 Excel。 如果标签应用加密,并且这些文件未加密,则它们现在使用 消息加密进行加密。 加密设置继承自电子邮件。
    • 若要标记和保护包含 Teams 语音邮件的电子邮件,请参阅 在组织中启用受保护的语音邮件中的配置说明。
    • 如果你拥有已应用 IRM 加密的 Exchange 邮件流规则或 Microsoft Purview 数据丢失防护 (DLP) 策略: 当内容由这些规则或策略和自动标记策略标识时,将应用该标签。 如果该标签已应用加密,则将忽略 Exchange 邮件流规则或 DLP 策略中的 IRM 设置。 但是,如果该标签未应用加密,则除了标签之外,还会应用邮件流规则或 DLP 策略中的 IRM 设置。
    • 如果存在匹配项,则具有 IRM 加密但没有标签的电子邮件将通过自动标记替换为具有加密设置的标签。
    • 当与自动标记条件匹配时,将标记传入电子邮件。 若要将此结果应用于组织外部的发件人,必须将 Exchange 位置设置为“全部包含”和“排除无”。 如果标签配置为 加密
      • 当发件人来自你的组织时,始终应用该加密。
      • 默认情况下,当发件人位于组织外部时,不会应用该加密,但可以通过 配置 电子邮件的其他设置并指定权利管理所有者来应用该加密。
    • 当标签应用加密时,如果发件人来自你自己的组织,则 权利管理颁发者和权利管理所有者 就是发送电子邮件的人员。 当发件人在组织外部时,则可以为传入的电子邮件指定一个权利管理所有者,而你的策略标记和加密该电子邮件。
    • 如果标签配置为应用 动态标记,请注意,对于传入的电子邮件,此配置可能会导致显示组织外部人员的姓名。

注意

对于一些新客户,我们将为客户端标签和服务端标签提供默认自动标签设置的自动配置。 即使不符合此自动配置的条件,也可能会发现参考其配置很有用。 例如,可以手动配置现有标签,并使用相同的设置创建自己的自动标签策略,以帮助加快标签部署。

有关详细信息,请参阅 适用于 Microsoft Purview 信息保护的默认标签和策略

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

将 Office 应用的自动标记与自动标记策略进行比较

使用下表可帮助识别两种互补自动标记方法在行为上的差异:

功能或行为 标签设置:文件和电子邮件的自动标记 策略:自动标记
应用相关性 是(最低版本 不*
按位置限制
条件:电子邮件的共享选项和其他选项
条件:异常
支持 PDF 文件
对图像的支持
建议、策略工具提示和用户重写
模拟模式
根据条件检查 Exchange 附件
应用视觉标记 是(仅限电子邮件)
覆盖在未带标签的情况下应用的 IRM 加密 如果用户具有“导出”的最低使用权限,则为“是” 是(仅限电子邮件)
标记传入电子邮件
为从其他组织发送的电子邮件分配权利管理所有者
对于电子邮件,请替换具有相同或较低优先级的现有标签 是 (可配置)

* 由于后端 Azure 依赖项,自动标记目前并非在所有区域都可用。 如果租户不支持此功能,则自动标记页在Microsoft Purview 合规门户中不可见。 有关详细信息,请参阅 Azure 依赖项可用性(按国家/地区)

在多个条件适用于多个标签时如何评估这些条件

根据你在合规性门户中指定的位置对标签进行排序进行评估:首先定位的标签具有最低位置 (最不敏感,因此最低优先级) 和最后定位的标签具有最高位置 (最敏感,因此优先级最高) 。 选择订单编号最高的标签。

此行为也适用于服务端自动标记 (自动标记策略,) 子标签共享同一父标签时:如果在评估和排序后,同一父标签中的多个子标签满足自动标记条件,则会选择并应用顺序编号最高的子标签。

但是,客户端自动标记 (标签) 中的自动标记设置的行为略有不同。 如果同一父标签中的多个子标签与条件匹配:

  • 如果文件尚未标记,则始终选择为自动标记配置的最高顺序子标签,而不是为建议标记配置的最高顺序子标签。 如果没有为这些子标签配置自动标记,但只为建议的标记配置,则选择并建议使用最高顺序子标签。

  • 如果文件已使用同一父级的子标签进行标记,则不执行任何操作,现有子标签将保留。 即使现有子标签是默认标签或自动应用,此行为也会适用。

有关标签优先级的详细信息,请参阅 标签优先级 (顺序关系)

标签配置的注意事项

以下注意事项适用于客户端标记和服务端标记。

请记住,不可向内容应用父标签(即带子标签的标签)。 确保未在 Office 应用中将父标签配置为自动应用或推荐,并且不为自动标记策略选择父标签。 如果执行此操作,则不会将父标签应用于内容。

若要将自动标记用于子标签,请确保同时发布父标签和子标签。

有关父标签和子标签的更多信息,请参阅子标签(对标签进行分组)

排除文件或电子邮件的标签范围

若要自动将敏感度标签应用于内容, 标签的范围 必须包括 Items。 如果进一步优化此选择,则必须包含 “文件” (如果想要自动将标签应用于文档)和 “电子邮件” 以自动将标签应用于电子邮件。

有关优化 项目 标签范围的详细信息,请参阅 将标签范围限定为文件或电子邮件

是否会重写现有标签?

注意

通过最近添加的电子邮件自动标记策略设置,可以指定匹配的敏感度标签将始终替代现有标签。

自动标记是否会覆盖现有标签的默认行为:

  • 手动标记内容后,该标签将永远不会被自动标记替换。

  • 自动标记将替换自动应用的 低优先级敏感度标签,但不会替换高级优先级标签。

    提示

    例如,Microsoft Purview 合规门户列表顶部的敏感度标签名为“公共”,其订单号 (优先级) 为 0,列表底部的敏感度标签名为“高度机密”,其订单号 (优先级为 4) 。 高度机密 标签可以替代 公共标签,但反过来则不行。

仅对于电子邮件自动标记策略,可以选择一个设置来始终覆盖现有敏感度标签,而不考虑其应用方式。

现有标签 使用标签设置覆盖: 文件和电子邮件的自动标签化 使用策略替代: 自动标记
手动应用,任何优先级 Word、Excel、PowerPoint: 否

Outlook: 否
SharePoint 和 OneDrive: 否

Exchange: 默认情况下为“否”,但可配置
根据策略自动应用或默认的标签,优先级较低 Word、Excel、PowerPoint:是 *

Outlook:是 *
SharePoint 和 OneDrive: 是

Exchange: 是
根据策略自动应用或默认的标签,优先级较高 Word、Excel、PowerPoint: 否

Outlook: 否
SharePoint 和 OneDrive: 否

Exchange: 默认情况下为“否”,但可配置

* 共享同一父标签的子标签有一个例外

电子邮件自动标记策略的可配置设置位于 电子邮件的附加设置 页面上。 选择包含 Exchange 位置的自动标记策略的敏感度标签后,将显示此页面。

如何配置 Office 应用的自动标签

对于 Office 应用中的内置标记,请检查在 Office 应用中自动标记所需的最低版本

Azure 信息保护统一标记客户端仅支持内置和自定义敏感信息类型的自动标记,不支持任何高级分类器,例如可训练分类器、精确数据匹配 (EDM) 、命名实体或凭据。

创建或编辑敏感度标签时,可使用 Office 应用的自动标签设置。 确保为标签的范围选择了 “项 ”。 然后,确保还选择了 “文件 ”以自动标记文档,并选择“ 电子邮件 ”以自动标记电子邮件。 例如:

包含文件和Email的项的敏感度标签范围选项。

在配置中移动时,你将看到"文件和电子邮件的自动标记"页面,可在其中选择敏感信息类型或可训练的分类器列表:

Office 应用程序中自动标记的标签条件。

当自动应用此敏感度标签时,用户会在其 Office 应用中看到通知。 例如:

文档已自动应用标签的通知。

配置标签的敏感信息类型

选择“ 敏感信息类型 ”选项时,会看到与创建数据丢失防护 (DLP) 策略时相同的 敏感信息类型 列表。 例如,你可以将“高度机密”标签自动应用到任何包含客户个人信息的内容(如信用卡号、社会保险号码或护照号码):

Office 应用中自动标记的敏感信息类型。

与配置 DLP 策略时类似,你可以通过更改实例计数和匹配准确度来优化条件。 例如:

用于匹配准确性和实例计数的选项。

可以从 DLP 文档详细了解置信度:有关置信度级别的更多内容

重要

敏感信息类型具有两种不同的方法来定义最大唯一实例计数参数。 若要了解详细信息,请参阅 SIT 的实例计数支持的值

同样与配置 DLP 策略时类似的是,你可以选择某项条件是必须删除所有敏感信息类型还是只删除其中一种。 要使条件更灵活或更复杂,可添加组并在组之间使用逻辑运算符

使用精确数据匹配的自定义敏感信息类型

可以配置一个敏感度标签,对自定义敏感信息类型使用基于精确数据匹配的敏感信息类型。 然而,目前还必须指定至少一种不使用 EDM 的敏感信息类型。 例如,内置的敏感信息类型之一,如 信用卡号码

如果为敏感信息类型条件配置了一个仅有 EDM 的敏感标签,那么该标签的自动贴标设置则会自动关闭。

为标签配置可训练分类器

如果将此选项和适用于 Windows 版本 2106 或更低版本的 Microsoft 365 应用版,或适用于 Mac 版本 16.50 或更低版本的 Microsoft 365 应用版配合使用,请确保已在租户中至少发布了一个配置为自动标记的其他敏感度标签和 敏感信息类型选项。 当你在这些平台上使用更高版本时,则无需满足此要求。

选择“ 可训练分类器 ”选项时,选择一个或多个预先训练的或自定义的可训练分类器:

可训练分类器和敏感度标签选项。

可用的预训练分类器通常会更新,因此可能需要选择的条目可能比此屏幕截图中显示的条目更多。

有关这些分类器的详细信息,请参阅 了解可训练分类器(预览版)

建议用户应用敏感度标签

如果愿意,可建议你的用户应用此标签。 通过此选项,你的用户可接受分类及任何相关保护,也可在标签不适合其内容时关闭建议。

用于向用户推荐敏感度标签的选项。

将内置标签与桌面版本的 Word 配合使用时,用户可以选择使用建议的标签提示显示敏感内容。 当他们选择此按钮时,“编辑器”窗格会引导用户完成每个检测。 然后,用户可以删除敏感数据,或者更好地了解为何建议使用敏感度标签。 当他们拥有此额外信息时,用户可以更自信地选择 “应用敏感度 ”按钮。 例如:

提示应用建议的标签并显示敏感内容。

此示例显示默认的推荐标签提示,但与自动标记一样,你可以将此文本自定义为对用户更有意义或更具体。 例如,包括组织名称或引用 IT 部门,以提高可见性,并让用户更确信这不是可能不适用于他们的通用消息。

提示

虽然推荐敏感度标签会中断用户的工作流,但这是一种非常有效的方法,可让用户了解他们使用的敏感数据。 若要查看此操作,watch视频:自动分类 & 保护文档 & 数据

当与此选项结合使用时,建议的标记特别强大,以逐步引导用户完成检测到的敏感内容的每个实例。 它可能会导致更准确的标记,不仅针对直接项,而且对于需要手动标记的未来项,或者对于现在可能需要重新标记的修改项。

在 Office 应用中,自动标签和建议标签的实现取决于你使用的是内置于 Office 的标签,还是 Azure 信息保护统一标记客户端。 不过,在这两种情况下:

  • 不可对之前已手动标记或者之前已自动标记有更高敏感度的文档和电子邮件使用自动标签。 请记住,除了一个保留标签,另外仅可向文档或电子邮件应用一个敏感度标签。

  • 都不能对之前有更高敏感度标签的文档或电子邮件使用建议标签。 如果内容已有更高敏感度标签,用户就看不到建议操作提示和策略提示。

特定于内置标签的注意事项:

特定于 Azure 信息保护统一标记客户端的注意事项:

  • 自动标签和建议标签在你保存文档时应用于 Word、Excel 和 PowerPoint,并在你发送电子邮件时应用于 Outlook。

  • 为了让 Outlook 支持建议标签,必须先配置高级策略设置

  • 敏感信息可以在文档和电子邮件的正文文本和页眉、页脚中检测到,但无法在电子邮件的主题行或附件中检测到。

将标签设置转换为自动标记策略

如果标签包含配置条件的敏感信息类型,则会在标签创建或编辑过程结束时看到一个选项,用于自动创建基于相同自动标记设置的自动标记策略。

但是,如果标签包含可训练的分类器作为标签条件:

  • 当标签条件仅包含可训练的分类器时,你不会看到自动创建自动标记策略的选项。

  • 当标签条件包含可训练的分类器和敏感度信息类型时,将仅为敏感信息类型创建自动标记策略。

尽管自动填充从头开始创建策略时必须手动选择的值,自动创建自动标记策略,但仍可以在保存值之前查看和编辑这些值。

默认情况下,SharePoint、OneDrive 和Exchange的所有位置都包含在自动标签策略中,保存策略后,它将在模拟模式中运行。 没有检查是否已为 SharePoint和OneDriv 中 Office 文件启用敏感度标签,这是自动标记应用于 SharePoint 和 OneDrive 中的内容的先决条件之一。

如何为 SharePoint、OneDrive 和 Exchange 配置自动标记策略

注意

请勿使用 Exchange 自动标记策略为批量邮件分发发送加密电子邮件。 这些策略不是出于此目的而设计的,可能会导致发送失败和未送达回执。 对于这种情况,自动发送电子邮件的标签设置更合适。

在配置自动标记策略前,请确保你了解这些先决条件。

自动标记策略的先决条件

  • 模拟模式:

    • 必须启用 Microsoft 365 审核。 如果你需要启用审核,或者不确定是否已启用审核,请参阅启用或禁用审核日志搜索
    • 若要在源视图中查看文件或电子邮件内容,必须具有数据分类内容查看者角色,该角色包含在内容资源管理器内容查看器角色组中,或者信息保护信息保护调查员角色组。 如果没有所需的角色,则从“ 要审阅的项目 ”选项卡中选择项目时,不会看到预览窗格。默认情况下,全局管理员没有此角色。
  • 如何自动标记 SharePoint 和 OneDrive 中的文件:

    • 你已启用 SharePoint 和 OneDrive 中 Office 文件的敏感度标签
    • 当自动标记策略运行时,该文件不得由其他进程或用户打开。 签出以供进行编辑的文件属于此类别。
    • 如果计划使用 敏感信息类型
      • 所选的敏感信息类型将仅适用于创建或修改这些信息类型后 创建或修改的内容。 此限制适用于所有自定义敏感信息类型和任何新的内置信息类型。
      • 若要测试新的自定义敏感信息类型,请在创建自动标记策略前创建它们,然后创建新文档(其中包含用于测试的示例数据)。
    • 如果计划将文档属性用作条件, (Document 属性) ,则此选项使用 SharePoint 托管属性。 当你将此条件与自动标记策略一起使用时, DLP 策略的准备 同样适用。
  • 你可以为自动标记策略选择一个或多个已创建和发布(至少向一个用户发布)的敏感度标签。 对于这些标签:

    • 启用或禁用 Office 应用标签设置中的自动标记无关紧要,因为该标签设置会补充自动标记策略,如简介中所述。
    • 如果要用于自动标记的标签配置为使用可视标记(页眉、页脚、水印),请注意,这些标签不会应用于文档。
    • 如果标签应用“加密”:
      • 当自动标记策略包含 SharePoint 或 OneDrive 的位置时,必须为“立即分配权限”设置配置标签,并且必须将“用户对内容的访问权限过期”设置为“从不”。
      • 当自动标签策略仅应用于 Exchange 时,标签可以为“立即分配权限”或“让用户分配权限”进行配置(对于“不转发”或“只加密”选项)。 无法自动应用 配置为应用 S/MIME 保护 的标签。

了解模拟模式

自动标记策略支持模拟模式,并融入工作流。 在策略至少运行一次模拟前,无法自动标记文档和电子邮件。

模拟模式最多支持 1,000,000 个匹配文件。 如果自动标记策略匹配的文件数超过此数目,则无法启用策略来应用标签。 在这种情况下,必须重新配置自动标记策略,以便匹配的文件更少,然后重新运行模拟。 最多 1,000,000 个匹配文件的限制仅适用于模拟模式,而不适用于已启用以应用敏感度标签的自动标记策略。

用于自动标记策略的工作流:

  1. 创建和配置自动标记策略。

  2. 以模拟模式运行该策略,可能需要 12 小时才能完成。 完成的模拟会触发发送给用户的电子邮件通知,该通知配置为接收活动警报

  3. 查看结果,并在必要时优化策略。 例如,可能需要编辑策略规则以减少误报,或删除某些站点,以便匹配的文件数不超过 1,000,000。 重新运行模拟模式,并等待其再次完成。

  4. 根据需要重复步骤 3。

  5. 在生产环境中部署。

模拟部署在特定时间点运行,类似于 PowerShell 的 WhatIf 参数。 你将看到报告的结果,如同自动标记策略已使用你定义的规则应用了所选标签一样。 然后,你可以根据需要优化规则的准确性,并重新运行模拟。 但是,由于 Exchange 的自动标记适用于已发送和接收的电子邮件,而不是存储在邮箱中的电子邮件,因此不要期望模拟中的电子邮件结果保持一致,除非你能够发送和接收完全相同的电子邮件。

模拟模式还允许你在部署前逐步增加自动标记策略的范围。 例如,你可以从一个位置(如 SharePoint 网站)和一个文档库开始。 然后,使用迭代更改,将范围增大到多个网站,然后将其增加到其他位置,如 OneDrive。

最后,可以使用模拟模式来提供运行自动标记策略所需时间的近似值,以帮助计划和安排在没有模拟模式的情况下运行自动标记策略的时间。

注意

如果模拟结果不包括预期的文件(根据配置的自动策略条件和当前文件内容),则可能是因为在模拟运行后更新了文件。 检查文件是否已更新,并再次运行模拟以确认它们将被标记。

创建自动标记策略

  1. Microsoft Purview 合规门户中,导航到“解决方案>信息保护>自动标记”:

    自动标记页。

    注意

    如果未看到 “自动标记 ”选项,则由于后端 Azure 依赖项,此功能目前在区域中不可用。 有关详细信息,请参阅 Azure 依赖项可用性(按国家/地区)

  2. 选择“+ 创建自动标记策略”。 这将启动“新建策略配置”:

    用于自动标记的“新建策略配置”。

  3. 对于“选择要将此标签应用于的信息”页面:选择其中一个模板,如“财务”或“隐私”。 可以使用国家或地区的搜索或下拉框来优化搜索。 或者,如果模板无法满足你的要求,请选择“自定义策略”。 选择“下一步”。

  4. 对于“为自动标记策略命名”页面:提供唯一的名称,并选择性地提供描述,以帮助识别自动应用的标签、位置和条件(用于标识要标记的内容)。

  5. 对于“分配管理单元”页:如果你的组织在 Microsoft Entra ID 中使用管理单元,则可以通过选择管理单元自动将 Exchange 和 OneDrive 的自动标记策略限制为特定用户。 如果帐户已 分配管理单元,则必须选择一个或多个管理单元。

    如果不想使用管理单元来限制策略,或者组织尚未配置管理单元,请保留默认的 “完整目录”。

    注意

    如果要编辑现有策略并更改管理单元,则现在必须在下一步中重新配置位置。

  6. 对于“选择要应用标签的位置”页面:选择并指定 Exchange、SharePoint 和 OneDrive 的位置。 如果不希望保留所选位置包含 所有的默认值,请选择要包含的特定实例的链接,或选择链接以选择要排除的特定实例。 然后选择“下一步”。

    为自动标记配置选择位置页面。

    注意

    对于使用管理单元的组织:

    • 如果在上一步中选择了使用管理单元的选项,SharePoint 网站的位置将变为不可用。 只有 Exchange 和 OneDrive 的自动标记策略支持管理单元。
    • 使用 “已包含 ”或“ 已排除 ”选项时,你将看到,并且只能从上一步中选择的管理单元中的用户。

    如果使用 “包含”“已排除 ”选项:

    • 对于 Exchange 位置,根据指定收件人的发件人地址应用策略。 大多数情况下,你需要保留“全部”包含的默认值,但排除“”。 即使要测试部分用户,此配置也适用。 使用下一步中的高级规则配置条件以在组织中包含或排除收件人,而不是在此处指定部分用户。 否则,当在此处更改默认设置时:

      • 如果更改“全部”包含默认值,改为选择特定用户或组,则从组织外部发送的电子邮件将免受策略的影响。
      • 如果保留“全部”包含的默认值,但指定要排除的用户或组,则这些已排除用户发送的电子邮件将免受策略限制,但不包括他们收到的电子邮件。
    • 推出:对于 OneDrive 位置,必须指定用户或组。 以前,必须按 URL 指定网站。 自动标记策略中的任何现有 OneDrive URL 网站将继续工作,但在指定新的 OneDrive 位置之前,或者对于受限管理员,必须先删除任何现有网站 URL。 支持的组:通讯组、Microsoft 365 组、已启用邮件的安全组和安全组。

  7. 对于“设置常用或高级规则”页面:保留“常用规则”的默认设置,以定义用于在所有选定位置标识要标记的内容的规则。 如果需要每个位置的不同规则(包括一些仅适用于 Exchange 的规则或 SharePoint 网站和 OneDrive 帐户),请选择“ 高级规则”。 然后选择“下一步”。

    这些规则使用条件,其中包括 敏感信息类型可训练的分类器、共享选项和其他条件:

    • 若要选择敏感信息类型或可训练分类器作为条件,请在“ 内容包含”下,选择“ 添加”,然后选择 “敏感信息类型 ”或“ 可训练的分类器”。
    • 若要选择共享选项作为条件,请在 “内容共享”下,选择 “仅与组织内部人员 共享”或 “仅与组织外部人员共享”。
    • 可以选择的其他条件:

    如果你的位置是 Exchange ,并且你选择了 “高级规则”,则可以选择其他条件:

    • 发件人 IP 地址为
    • 收件人域为
    • 收件人为
    • 附件受密码保护
    • 无法扫描任何电子邮件附件的内容
    • 任何电子邮件附件的内容均未完成扫描
    • 标题与模式匹配
    • 主题与模式匹配
    • 收件人地址包含字词
    • 收件人地址与模式匹配
    • 发件人地址与模式匹配
    • 发件人域为
    • 收件人所在组为
    • 发件人为

    如果你的位置是 SharePoint 网站或OneDrive 帐户 ,并且你选择了 “高级规则”,则可以选择其他一个条件:

    • 文档创建者
  8. 根据先前的选择,你现在有机会使用条件和例外来创建新规则。

    敏感信息类型的配置选项与为 Office 应用自动标记所选的选项相同。 如果需要详细信息,请参阅配置标签的敏感信息类型

    定义所需的所有规则并确认其状态为“开启”后,请选择“下一步”,以继续选择要自动应用的标签。

  9. 对于“选择要自动应用的标签”页面:选择“+ 选择标签”,从“选择敏感度标签”窗格中选择一个标签,然后选择“下一步”。

  10. 如果策略包括 Exchange 位置: 请在 电子邮件的附加设置 页面上指定可选配置:

    • 自动替换具有相同或较低优先级的现有标签: 适用于传入和传出电子邮件,选择此设置时,它将确保始终应用匹配的敏感度标签。 如果未选择此设置,则匹配的敏感度标签不会应用于已有 更高优先级 的敏感度标签或手动标记的电子邮件上。

    • 对从组织外部收到的电子邮件应用加密: 选择此选项时,必须分配 权利管理所有者,以确保组织中的授权人员对从组织外部发送的电子邮件以及具有加密的策略标签具有完全控制权限 使用 权限。 稍后可能需要此角色来删除加密,或为组织中的用户分配不同的使用权限。

      对于 分配权利管理所有者,请通过组织拥有的电子邮件地址指定单个用户。 不要指定邮件联系人、共享邮箱或任何组类型,因为此角色不支持这些类型。

  11. 对于“决定是立即还是以后测试策略”页面:如果现在已准备好运行自动标记策略,请在模拟模式中选择“在模拟模式下运行策略”。 然后,如果策略在 7 天内未编辑,则决定是否自动启用策略:

    测试配置的自动标记策略。

    如果尚未准备好运行模拟,请选择 关闭策略。

  12. 对于“摘要”页:审阅自动标记策略的配置,并进行所需的任何更改,然后完成向导。

现在,在“信息保护”>“自动标记”页面上,可在“模拟”或“关闭”部分看到自动标记策略,具体哪个部分取决于是否选择在模拟模式下运行它。 选择你的策略以查看配置和状态的详细信息(例如,策略模拟仍在运行), 对于模拟模式下的策略,请选择“ 要查看的项目 ”选项卡,查看哪些电子邮件或文档与指定的规则匹配。

可直接从此界面修改策略:

  • 对于“禁用”部分中的策略,选择“编辑策略”按钮。

  • 对于 “模拟 ”部分中的策略,请从任一选项卡选择页面顶部的 “编辑策略 ”选项。

    编辑自动标记策略选项。

    如果你已准备好运行策略而不进行模拟,请选择“启用策略”选项。

自动标记策略会持续运行,直至删除。 例如,新建和已修改的文件将包含在当前的策略设置中。

监视自动标记策略

启用自动标记策略后,可以查看所选位置中文件的 SharePoint OneDrive 进度。 电子邮件不包含在标记进度中,因为它们会在发送时自动标记。

标记进度包括要由策略标记的文件、过去七天内标记的文件和标记的总文件数。 由于每天最多标记 25,000 个文件,此信息可让你查看策略的当前标记进度以及仍要标记的文件数。

首次打开策略时,最初会看到要标记的文件值 0,直到检索到最新数据。 此进度信息每 48 小时更新一次,因此你可以每隔一天查看一次最新数据。 选择自动标记策略时,可以在一个飞出窗格中查看有关该策略的更多详细信息,其中包括前 10 个网站的标签进度。 此浮出控件窗格上的信息可能比 自动标记 主页上显示的聚合策略信息更新。

如果你具有相应的权限,则还可通过使用内容资源管理器来查看自动标记策略的结果:

  • 内容浏览器列表查看器角色组让你可以查看文件的标签,而不是文件的内容。
  • 内容资源管理器内容查看器角色组、信息保护信息保护调查人员角色组可让你查看文件的内容。

但是,目前受限制的管理员无法在活动资源管理器中看到 OneDrive 的标记活动。

提示

你还可以使用内容资源管理器来标识具有包含敏感信息的未标记文档的位置。 使用此信息,请考虑将这些位置添加到自动标记策略中,并将标识的敏感信息类型作为规则包括在内。

使用 PowerShell 自动标记策略

可使用 安全与合规 PowerShell 创建和配置自动标记策略。 这意味着你可以完全编写自动标记策略的创建和维护脚本,这还提供了一种更高效的方法来指定 SharePoint 和 OneDrive 的多个位置。

在 PowerShell 中运行命令之前,必须先 连接到安全与合规 PowerShell

若要创建新的自动标记策略:

New-AutoSensitivityLabelPolicy -Name <AutoLabelingPolicyName> -SharePointLocation "<SharePointSiteLocation>" -ApplySensitivityLabel <Label> -Mode TestWithoutNotifications

此命令将为你指定的 SharePoint 网站创建一个自动标记策略。 对于 OneDrive 位置,请改为使用 OneDriveLocation 参数。

若要向现有自动标记策略添加更多网站:

$spoLocations = @("<SharePointSiteLocation1>","<SharePointSiteLocation2>")
Set-AutoSensitivityLabelPolicy -Identity <AutoLabelingPolicyName> -AddSharePointLocation $spoLocations -ApplySensitivityLabel <Label> -Mode TestWithoutNotifications

此命令在变量中指定新的 SharePoint URL,然后将其添加到现有的自动标记策略中。 若要改为添加 OneDrive 位置,请使用 AddOneDriveLocation 参数和其他变量,例如 $OneDriveLocations

若要创建新的自动标记策略规则:

New-AutoSensitivityLabelRule -Policy <AutoLabelingPolicyName> -Name <AutoLabelingRuleName> -ContentContainsSensitiveInformation @{"name"= "a44669fe-0d48-453d-a9b1-2cc83f2cba77"; "mincount" = "2"} -Workload SharePoint

对于现有的自动标记策略,此命令将创建新的策略规则以检测美国社会保险号 (SSN),其实体 ID 为 a44669fe-0d48-453d-a9b1-2cc83f2cba77。 要查找其他敏感信息类型的实体 ID,请参阅敏感信息类型实体定义

有关支持自动标记策略的 PowerShell cmdlet、其可用参数和一些示例的更多信息,请参阅以下 cmdlet 帮助:

提高标记覆盖范围的提示

尽管自动标记是对组织拥有的 Office 和 PDF 文件进行分类、标记和保护的最有效方法之一,但检查是否可以通过以下任一方法来补充它来增加标签范围:

此外,请考虑在 SharePoint 中默认将新文件标记为敏感,以防止来宾访问新添加的文件,直到至少有一项 DLP 策略扫描文件内容。