开始使用敏感度标签
如需了解什么是敏感度标签以及该标签如何帮助你保护组织数据,请参阅了解敏感度标签。
如果已准备好使用敏感度标签来开始保护组织的数据:
创建应用程序。 根据组织的分类法为不同敏感度级别的内容创建和命名敏感度标签。 使用对用户有意义的常用名称或术语。 如果尚未建立分类,请考虑以“个人”、“公共”、“常规”、“机密”和“高度机密”等标签名称开头。 可以使用子标签按类别对类似标签进行分组。
对于每个标签,请指定一个工具提示,以帮助用户选择适当的标签,并考虑包括特定示例。 但是,不要使工具提示太长,以至于用户无法阅读它,并请注意,某些应用可能会截断长工具提示。
注意
有关一些建议的示例,请参阅 默认敏感度标签的标签名称和说明。 有关定义分类的更多指南,请参阅 数据分类 & 敏感度标签分类。
始终与需要应用敏感度标签名称和工具提示的人员一起测试和定制你的敏感度标签名称和工具提示。
定义每个标签的用途。 配置要与每个标签关联的保护设置。 例如,你可能希望较低灵敏度的内容(例如“常规”标签)仅应用页眉或页脚,而较高灵敏度的内容(例如“机密”标签)应该应用水印和加密。
发布标签。 配置灵敏度标签后,使用标签策略发布它们。 确定应该应用标签的用户和组以及要使用的策略设置。 单个标签可重用,可将其定义一次,然后可将其包含在分配给不同用户的多个标签策略中。 例如,可以通过将标签策略分配给少数用户来试用灵敏度标签。 然后,当你准备在整个组织中推广标签时,可以为标签创建新的标签策略,这次指定所有用户。
提示
你可能可以自动创建默认标签,并且可以使用默认标签策略为你完成步骤 1-3。 有关详细信息,请参阅 适用于 Microsoft Purview 信息保护的默认标签和策略。
部署和应用敏感度标签的基本流程如下:
提示
如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
灵敏度标签的订阅和许可要求
许多不同的订阅都支持灵敏度标签,并且用户的许可要求取决于你使用的功能。
若要查看许可用户以从 Microsoft Purview 功能中受益的选项,请参阅 Microsoft 365 安全 & 合规性许可指南。 对于敏感度标签,请参阅 Microsoft Purview 信息保护:敏感度标签 部分和相关 PDF 下载 内容,以了解功能级别许可要求。
创建和管理敏感度标签所需的权限
将创建敏感度标签的合规性团队成员需要对 Microsoft Purview 合规中心的访问权限。
默认情况下,租户的全局管理员有权访问此管理中心,并且可以授予合规性官员和其他人员访问权限,而无需向他们授予租户管理员的所有权限。对于此受限的管理员访问权限,可以使用以下角色组:
- 信息保护
- 信息保护管理员
- 信息保护分析师
- 信息保护调查员
- 信息保护读取器
有关每个角色及其包含的角色的说明,请在“Microsoft Purview 合规门户>授权&>角色”合规性中心>角色中选择一个角色组,然后在浮出控件窗格中查看说明。 或者,请参阅 Microsoft Defender for Office 365 和 Microsoft Purview 合规性中的角色组。
或者,除了使用默认角色,还可以创建一个新角色组,并将 “敏感度标签管理员” 角色添加到此组。 对于只读角色,请使用敏感度标签阅读器。
另一个选项是将用户添加到 合规性数据管理员、 合规性管理员或 安全管理员 角色组。
有关将用户添加到默认角色组、角色,或创建自己的角色组的说明,请参阅 Microsoft Purview 合规性门户中的权限。
只有在创建和配置灵敏度标签及其标签策略时才需要这些权限。 在应用或服务中应用标这些签时不需要这些权限。 如果与敏感度标签相关的特定配置需要其他权限,则这些权限将在其各自的文档说明中列出。
对管理单元的支持
敏感度标签支持 已在 Azure Active Directory 中配置的管理单元:
可以将管理单元分配给与 Microsoft Purview 信息保护 一起使用的角色组的成员。 编辑这些角色组并选择单个成员,然后通过 “分配管理单位 ”选项从 Azure Active Directory 中选择管理单元。 现在,这些管理员仅限于管理这些管理单元中的用户。
创建或编辑这些策略时,可以定义敏感度标签策略和自动标记策略的初始范围。 选择管理单元时,只有这些管理单元中的用户才有资格获得该策略。
重要
不要为要应用于 SharePoint 中的文档的自动标记策略选择管理单元。 由于管理单元仅支持用户和组,因此如果将自动标记策略配置为使用管理单元,则无法选择 SharePoint 位置。
有关 Microsoft Purview 如何支持管理单元的详细信息,请参阅 管理单元。
敏感度标签部署策略
为组织部署敏感度标签的成功策略是创建一个工作虚拟团队,该团队可识别和管理业务和技术要求、概念证明测试、内部检查点和审批以及针对生产环境的最终部署。
建议使用下一节中的表,确定映射到最有影响的业务需求的前一两个场景。 部署这些场景后,返回到列表,确定下一个或两个部署的优先级。
注意
如果你在 Office 应用中使用 AIP 加载项进行标记,我们建议你改用内置标签。 有关详细信息,请参阅将 Azure 信息保护 (AIP) 加载项迁移到 Office 应用的内置标记。
敏感度标签的常见场景
所有场景都要求创建和配置灵敏度标签及其策略。
| 我想... | 文档 |
|---|---|
| 管理 Office 应用的敏感度标签,以便在创建内容时对其进行标记 — 包括在所有平台上支持手动标记 | 管理 Office 应用中的敏感度标签 |
| 将标签扩展到文件资源管理器和 PowerShell,并为 Windows 上的 Office 应用提供其他功能(如果需要) | 适用于 Windows 的 Azure 信息保护的统一标记客户端 |
| 使用敏感度标签加密文档和电子邮件,并限制谁可以访问该内容以及可以如何使用它 | 通过敏感度标签应用加密,从而限制对内容的访问 |
| 保护 Teams 会议,从会议邀请和响应到保护会议本身和相关聊天 | 使用敏感度标签保护日历项目、Teams 会议和聊天 |
| 在 Web 上为 Office 启用敏感度标签,支持协同创作、eDiscovery、数据丢失防护和搜索,即便是加密文档也可如此 | 启用 SharePoint 和 OneDrive 中 Office 文件的敏感度标签 |
| SharePoint 中的文件将自动标记为默认敏感度标签 | 为 SharePoint 文档库配置默认敏感度标签 |
| 文档加密后,在 Office 桌面应用中使用共同创作和自动保存 | 为使用敏感度标签加密的文件启用共同创作 |
| 自动将敏感度标签应用于文档和电子邮件 | 将敏感度标签自动应用于内容 |
| 使用敏感度标签保护 Teams 和 SharePoint 中的内容 | 将敏感度标签与 Microsoft Teams、Microsoft 365 组和 SharePoint 网站配合使用 |
| 使用敏感度标签为 SharePoint 和 OneDrive 中的网站和单个文档配置默认共享链接类型 | 使用敏感度标签设置 SharePoint 和 OneDrive 中网站和文档的默认共享链接 |
| 将敏感度标签应用于文档理解模型,以便自动对 SharePoint 库中标识的文档进行分类和保护 | 在 Microsoft Syntex 中将敏感度标签应用于模型 |
| 阻止或警告用户与特定的灵敏度标签共享文件或电子邮件 | 在 DLP 策略中使用敏感度标签作为条件 |
| 当我收到一条警报,指出包含个人数据的内容正在共享并且需要保护时,将敏感度标签应用于文件 | 在隐私风险管理中调查和修正警报 |
| 应用保留标签以保留或删除具有特定敏感度标签的文件或电子邮件 | 自动应用保留标签来保留或删除内容 |
| 发现、标记和保护本地数据存储中存储的文件 | 部署信息保护扫描程序以自动对文件进行分类和保护 |
| 发现、标记和保护云端数据存储中存储的文件 | 发现、分类、标记和保护存储在云中的管控和敏感数据 |
| 使用与用于文件和电子邮件的标签相同的敏感度标签来标记 SQL 数据库列,使组织具有统一的标签解决方案,以便在导出此结构化数据时可以继续保护这些结构化数据 | 适用于Azure SQL数据库、Azure SQL 托管实例和Azure Synapse分析的数据发现&分类 SQL 本地服务器的 SQL 数据发现和分类 |
| 将敏感度标签扩展到 Power BI:启用此功能后,可以在 Power BI 中应用和查看标签,并在数据保存在服务之外时保护数据。 | 如何在 Power BI 中应用敏感度标签 |
| 监视和了解在我的组织中如何使用灵敏度标签 | 了解数据分类 |
| 将灵敏度标签扩展到第三方应用和服务 | Microsoft 信息保护 SDK |
| 将敏感度标签扩展到我的 Microsoft Purview 数据映射资产的内容中,如 Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage 和多云数据源 | Microsoft Purview 数据映射中的标签 |
敏感度标签的最终用户文档
最有效的最终用户文档将用作你为所选标签名称和配置提供的定制指南和说明。 可使用标签策略设置为用户提供指向自定义帮助页面的链接,以指定本文档的内部链接。 用户可以通过灵敏度按钮来轻松访问它:
- 有关内置标签: 了解更多菜单选项。
- 对于 Azure 信息保护统一标记客户端:Microsoft Azure 信息保护对话框中的“帮助和反馈”菜单选项“>告诉我更多”链接。
为帮助提供自定义文档,请参阅以下页面并下载可用于帮助培训用户的内容:敏感度标签的最终用户培训。
此外,还可使用以下资源来获取基本说明:
如果你的敏感度标签对 PDF 文档应用了加密,则可以使用 Windows 或 Mac 上的 Microsoft Edge 来打开这些文档。 有关详细信息和备选阅读器,请参阅受保护的 PDF 支持哪些 PDF 阅读器?