在 Office 應用程式中管理敏感度標籤
當您從 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 發佈敏感度標籤時,它們會開始出現在 Office 應用程式中,讓使用者在建立或編輯數據時分類及保護數據。
使用本文的資訊,協助您成功在 Office 應用程式中管理敏感度標籤。 例如,特定標籤功能的其他設定資訊。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
應用程式中的敏感度標籤支援
若要在 Office 應用程式中使用敏感度標籤,您必須使用 Office 訂閱版本。 使用此頁面頂端的授權連結來識別合格方案。 獨立版 Office 不支援敏感度標籤,有時稱為「Office 永久版」。
若為 Outlook (Windows、macOS、iOS、Android 和 Web) ,信箱必須裝載於 Exchange Online。 裝載於內部部署的信箱不支援敏感度標籤。 這也適用於共用信箱,即使存取信箱的使用者有 Exchange Online 信箱也一樣。
在應用程式中支援敏感度標籤功能
使用 Office 應用程式中敏感度標籤的最低版本中 的數據表,識別在 Office 應用程式中引進敏感度標籤特定功能的最小 Office 版本。 或者,如果標籤功能處於公開預覽狀態。
除了列出 Windows、macOS、iOS 和 Android 的最低版本之外,數據表也包含是否支援 Office 網頁版 功能:
iOS 版 Office 和 Android 版 Office:敏感度標籤內建於 Office 應用程式中。
如需 Loop:請參閱搭配使用敏感度標籤與 Microsoft Loop
提示
參照 Office 檔的標籤和原則設定也適用於 Loop元件和頁面。
Office 內建標籤和 Azure 資訊保護 用戶端
來自 Azure 資訊保護 統一卷標用戶端的 Windows Office 載入巨集現在已淘汰,不再受到支援。 它會由 支援標籤的 Office 應用程式內建的敏感度標籤取代。
因為不再支援載入巨集,所以[使用 Azure 資訊保護 載入巨集進行敏感度標籤] 的 Office 原則設定必須設定為 [未設定 (預設) ] 或 [停用]。 如果針對 [ 已啟用] 設定此設定,您將無法在 Office 應用程式中使用敏感度標籤。
若要檢查此設定:
- 如果您使用 群組原則,請使用最新的 Microsoft 365 Apps 企業版 系統管理範本,並從 [用戶設定/系統管理範本/Microsoft Office 2016/安全性設定] 流覽至此設定。
- 如果您使用雲端原則 服務Microsoft 365,請依名稱搜尋設定。
Microsoft Purview 資訊保護客戶端支援此舊版標籤用戶端的其他標籤功能。 如需詳細資訊,請參閱 在 Windows 上擴充敏感度標籤。
如果您需要關閉 Windows 上 Office 應用程式中的內建標籤
若要在 Office 應用程式中使用敏感度標籤,您必須擁有一或多個從 Microsoft Purview 合規性入口網站 發佈給使用者的標籤原則,以及支援的 Office 版本。
如果這兩個條件都符合,但您需要關閉 Windows Office 應用程式中的敏感度標籤,請使用 Office 原則設定 使用 Office 中的敏感度功能來套用和檢視敏感度標籤。 選取 [停用],將值設定為 0。
如需 群組原則 和 Microsoft 365 Apps 企業版 系統管理範本,請從 [使用者設定/系統管理範本/Microsoft Office 2016/安全性設定] 流覽至此設定。 如果您使用雲端原則 服務Microsoft 365,請依名稱搜尋此設定。 這項設定會在 Office 應用程式重新啟動時生效。
如果您稍後需要還原此設定,請選取 [ 啟用],將值變更為 1。 如果 [ 敏感度 ] 按鈕未如預期般顯示在功能區上,您可能也需要啟用此設定。 例如,先前的系統管理員已關閉此標籤設定。
因為此設定是 Windows Office 應用程式專用的,所以不會影響 Windows 上支援敏感度標籤的其他應用程式 (例如 Power BI) 或其他平台 (例如 macOS、行動裝置及 Office 網頁版)。 如果您不想讓某些或全部使用者在所有應用程式及所有平台中檢視和使用敏感度標籤,請不要將敏感度標籤原則指派給那些使用者。
提示
如果您想要停止顯示 Word、Excel 和 PowerPoint 的內建卷標,並只針對 Outlook 顯示這些標籤,反之亦然,您可以使用每個標籤設定來達成此結果。 如需詳細資訊,請參閱 僅限檔案或電子郵件的範圍標籤。
支援的 Office 檔案類型
一般而言,具有 Word、Excel 和 PowerPoint 檔案內建卷標的 Office 應用程式支援 Open XML 格式 (,例如 .docx 和 .xlsx) ,但不支援 Microsoft Office 97-2003 格式 (,例如 .doc 和 .xls) 、Open Document Format (例如 .odt 和 .ods) 或其他格式。
注意事項
您可以防止使用者在 Windows 中開啟或儲存 Word、Excel 和 PowerPoint 的較舊檔案類型。 如需指示,請參閱 在 Office 2016 中封鎖特定檔格式類型。
當敏感度標籤不支援檔案類型時,Office 應用程式中就無法使用 [ 敏感度 ] 按鈕。
Windows、macOS、iOS 和 Android 上 Office 應用程式支援的檔案類型:
- Word:.docx、.docm、.dotx、.dotm
- Excel:.xlsx、.xlsb、.xlsm、.xltx
- PowerPoint:.pptx、.pptm、.potx、.potm、.ppsx、.ppsm
如需針對敏感度標籤啟用這些服務時,SharePoint 和 OneDrive 支援的文件類型,請參閱 在 SharePoint 和 OneDrive 中啟用檔案的敏感度標籤。
不支援內嵌檔案的標籤,即使已列出的檔類型也一樣。
針對 Office 應用程式外部的標籤案例,請查看其檔案中支援的檔案類型。 例如,Microsoft Purview 資訊保護用戶端和掃描器所支援 的其他文件類型 。
保護範本和敏感度標籤
當您使用內建標籤時,Office 應用程式中不會顯示系統管理員定義的保護範本,例如您為 Microsoft Purview 郵件加密 定義的保護範本。 這種簡化的體驗反映出,不需要選取保護範本,因為已啟用加密的敏感度標籤會包含相同的設定。
使用帶有 EncryptionTemplateId 參數的 New-Label cmdlet 時,可以將現有範本轉換為敏感度標籤。
資訊版權管理 (IRM) 選項和敏感度標籤
您設定要套用加密的敏感度標籤消除了使用者指定自己的加密設定的複雜性。 在 Office 應用程式中,使用者仍然可以使用資訊版權管理 (IRM) 選項手動設定這些個別加密設定。 例如,針對 Windows 應用程式:
- 檔: 檔案>資訊>保護檔>限制存取
- 電子郵件:從 [選項] 索 引 標籤 >加密
Windows 和 Mac 的最新 Word、Excel 和 PowerPoint 應用程式,不再讓使用者在具有敏感度標籤時,選取資訊版權管理 (IRM) 選項。 相反地,使用者會看到一個對話框,提示他們使用敏感度標籤來套用信息保護。 此訊息也會說明如何稍後存取 敏感度列 ,以選取和變更標籤:
針對可讓用戶選取 [信息版權管理] 選項的 Outlook 和舊版 Office 應用程式,使用者可以使用自己的加密設定覆寫已套用敏感度標籤中的設定。 例如:
使用者將機密\所有員工標籤套用至文件,且此標籤已設定為,為組織中所有使用者套用加密設定。 然後,此使用者手動設定 IRM 設定,以限制對組織外部使用者的存取。 結果是,文件會標籤為機密\所有員工並加密,但組織的使用者無法如預期開啟文件。
使用者將機密\僅收件者標籤套用至電子郵件,且此電子郵件已設定為套用不要轉寄加密設定。 在 Outlook 應用程式中,此使用者接著手動選取[僅加密] 的 IRM 設定。 結果是,雖然電子郵件確實保持加密,套用了 [機密: 僅限收件者] 標籤後,收件者還是可以轉寄電子郵件。
作為例外,對於 Outlook 網頁版,在目前選取的標籤套用加密時,使用者無法選取 [加密] 功能表中的選項。
使用者將一般標籤套用至文件,且此標籤未設定為套用加密。 然後,此使用者手動設定 IRM 設定,以限制文件的存取。 結果是,文件雖標籤為一般,但也套用了加密,因此某些使用者無法如預期開啟該文件。
如果文件或電子郵件已套用標籤,但內容尚未加密,則使用者可以執行任何這些動作,或者使用者擁有匯出或完全控制的使用權限。
如需更一致的標籤體驗與有意義的報告,請提供適當的標籤和指引,讓使用者只套用標籤來保護檔和電子郵件。 例如:
在使用者必須指派自己的權限的例外案例中,請提供可讓使用者指派自己的權限的標籤。
當使用者需要具有相同分類但無加密的標籤時,請提供子標籤替代方法,而不是在選取套用加密的標籤之後手動移除加密。 例如:
- 機密\所有員工
- 機密\任何人 (無加密)
升級至最新版本,讓使用者無法選取 Word、Excel 和 PowerPoint 的 IRM 設定。 針對 Outlook,請考慮停用 IRM 設定,以防止使用者選取它們:
- Windows 版 Outlook:
- 來自的登錄機碼
DWORD:00000001
DisableDNF 和 DisableEOHKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\DRM
- 確定群組原則設定 [設定加密按鈕的預設加密選項] 未設定
- 來自的登錄機碼
- Mac 版 Outlook:
- 機碼 DisableEncryptOnly 和 DisableDoNotForward 安全性設定,記載在 [設定 Mac 版 Outlook 的喜好設定] 中
- Outlook 網頁版:
- 針對 Set-IRMConfiguration 記載的參數 SimplifiedClientAccessDoNotForwardDisabled 和 SimplifiedClientAccessEncryptOnlyDisabled
- iOS 版和 Android 版 Outlook:這些應用程式不支援使用者在沒有標籤的情況下套用加密,因此沒有要停用的項目。
- Windows 版 Outlook:
注意事項
如果使用者手動移除儲存在 SharePoint 或 OneDrive 中的標籤文件上的加密,並且您已為 SharePoint 和 OneDrive 中的 Office 檔案啟用了敏感度標籤,則下次存取或下載該文件時,標籤加密將自動還原。
檔的加密型標籤比對
使用系統管理員定義的許可權加密檔時,加密原則會內嵌在檔中。 這與標記無關。 例如,當 Office 附件從電子郵件訊息繼承加密,或使用者在其 Office 應用程式中使用資訊版權管理 (IRM) 套用版權管理範本時。 如果租使用者中的敏感度標籤符合相同的加密原則,Office 應用程式會自動將該比對標籤指派給檔。
在此案例中,相符的敏感度標籤可以為未標記的檔加上標籤,並取代不套用加密的現有標籤標。 例如, [一般 ] 標籤會取代為 [機密/ 所有員工]。 來自相符標籤的內容標記不會自動套用。
此案例有助於將舊版加密解決方案從版權管理範本移至使用版權管理套用加密的敏感度標籤。
不過,當收件者開啟電子郵件和會議附件時,您也會看到此行為與電子郵件和會議附件的標籤案例。 例如:
使用者會建立電子郵件並附加未加密的 Office 檔,然後將標籤套用至電子郵件。
卷標會使用系統管理員所設定的許可權來套用加密,而不是 [不可轉寄] 或 [Encrypt-Only] 選項。 例如,針對標籤設定,系統管理員會選取 [ 立即指派許可權],並指定所有員工都有讀取許可權。
傳送電子郵件時, 附件會自動繼承具有許可權管理的加密,但不會繼承標籤。
當相同租使用者中的收件者開啟加密的檔時,系統管理員定義許可權的相符標籤會自動顯示為檔,並在儲存檔時保存。
作為活動總管中顯示的稽核事件,此使用者已套用標籤,而不是電子郵件寄件者。
加密型標籤比對僅適用於租使用者,且適用下列所有條件:
- 檔未加上標籤,或現有標籤不套用加密
- 檔會以系統管理員定義的許可權加密
- 相符的敏感度標籤會發佈給開啟檔的使用者
- 相符敏感度標籤 的標籤範圍 包含 檔案 & 其他數據資產
如果儲存檔,則會保存相符的標籤。
敏感度標籤相容性
使用啟用 RMS 的應用程式:如果您在支援Microsoft版權管理 (RMS) 技術但不支援敏感度標籤的應用程式中開啟已加上標籤和加密的檔案或電子郵件,應用程式仍會強制執行加密和版權管理。
使用 Microsoft Purview 資訊保護 客戶端:您可以使用 Microsoft Purview 資訊保護 客戶端來檢視及變更套用至 Office 應用程式檔的敏感度標籤,相反地。
使用其他版本 Office:任何授權使用者都可以在其他版本的 Office 中開啟已套用標籤的文件和電子郵件。 不過,您只能在支援的 Office 版本或使用 Microsoft Purview 資訊保護 客戶端來檢視或變更標籤。 支援的 Office 應用程式版本列在上一節。
支援受敏感度標籤保護的 SharePoint 和 OneDrive 檔案
若要使用 Office 內建卷標用戶端搭配 SharePoint 或 OneDrive 中檔的 Office 網頁版,請確定您已在 SharePoint 和 OneDrive 中啟用 Office 檔案的敏感度捲標。
支援外部使用者和已套用標籤的內容
當您為文件或電子郵件套用標籤後,標籤會儲存為中繼資料,其中包含您的租用戶和標籤 GUID。 當支援敏感度標籤的 Office 應用程式開啟已套用標籤的文件或電子郵件時,系統只會讀取此中繼資料,且只有當使用者屬於相同的租用戶,標籤才會顯示在他們的應用程式中。 例如,針對 Word、PowerPoint 和 Excel 的內建標籤,標籤名稱會顯示在狀態列上。 使用者排除來賓帳戶。
此實作表示,如果您與另一個使用不同標籤名稱的組織共用檔,則每個組織都可以套用並查看套用至檔的自有標籤。 來賓使用者不會在其應用程式中看到您的標籤。
注意事項
另一個組織無法套用自己的敏感度標籤的兩個例外狀況:
- 使用 Office 網頁版,外部用戶會連線到您的 SharePoint 網站或 OneDrive 位置,而且不會看到其敏感度標籤,因為該網站是由另一個組織所擁有。
- 使用桌面或行動裝置應用程式的共同撰寫,外部使用者 將無法套用自己的敏感度標籤,而這些標籤已設定為套用加密。
Outlook) 傳送的電子郵件 (和加上標籤的行事曆事件也是如此。 不過,Outlook 以外的電子郵件用戶端可能不會在電子郵件標頭中保留標籤數據。 例如,使用者從另一個未使用 Outlook 的組織回復或轉寄,可能會導致原始組織無法再看到原始的電子郵件標籤,因為標籤數據尚未保留。 如果該標籤已套用加密,加密會持續保存以保護內容。
組織外部的使用者可以看到已套用標籤中的下列元素:
內容標記。 當標籤套用頁頁首、頁尾或浮水印時,這些會直接新增到內容中,並持續顯示,直到有人修改或刪除它們。
來自已套用加密之標籤的基礎保護範本的名稱和描述。 此資訊會顯示在內容頂端的訊息列中,以提供誰有權檢視內容的相關信息,以及該內容的許可權。
與外部用戶共用加密文件
雖然您可以限制存取您組織中的使用者,但您也可以將存取權擴充至在 Microsoft Entra ID 中具有帳戶的任何其他使用者。 根據預設,這些外部使用者將經過驗證,而不需要任何額外的設定。 不過,Microsoft Entra 外部身分識別跨租使用者存取設定和條件式存取可能需要額外的設定。
如果外部使用者在 Microsoft Entra ID 中沒有帳戶,他們可以使用租使用者中的來賓帳戶進行驗證。 當您在 SharePoint 和 OneDrive 中啟用 Office 檔案的敏感度標籤時,這些來賓帳戶也可以用來存取 SharePoint 或 OneDrive 中的共享檔。
如需選擇性 Microsoft Entra 功能以及使用來賓帳戶來滿足驗證需求的詳細資訊,請參閱加密內容的 Microsoft Entra 組態。
從Microsoft了解版權管理技術的所有 Office 應用程式和其他應用程式,都可以在使用者成功驗證之後開啟加密的檔。
Office 應用程式何時套用內容標記和加密
Office 應用程式會根據您使用的應用程式,以不同方式使用敏感度標籤來套用內容標記和加密。
應用程式 | 內容標記 | 加密 |
---|---|---|
所有平台上的 Word、Excel、PowerPoint | 立即 | 立即 |
計算機版 Outlook | Exchange Online 傳送電子郵件或會議邀請之後 | 立即 |
*Mac 版 Outlook、Outlook 網頁版、iOS 和 Android | Exchange Online 傳送電子郵件或會議邀請之後 | Exchange Online 傳送電子郵件或會議邀請之後 |
*具有新 Mac 版 Outlook 的 16.79+ 版。 舊版會立即加密。
將敏感度標籤套用至 Office 應用程式外部檔案的解決方案,是藉由將標籤中繼資料套用到檔案來完成。 在此案例中,標籤設定的內容標記不會插入檔案中,但會套用加密。 當您在 Office 應用程式中開啟這些檔案時,不會自動套用內容標記。 同樣地,在 Office 應用程式外部移除標籤時,也不會移除內容標記,即使這些檔稍後會在 Office 應用程式中開啟也一樣。
將敏感度標籤套用在 Office 應用程式外的情況包括:
來自 Microsoft Purview 資訊保護 客戶端的掃描器、檔案總管和PowerShell
SharePoint 和 OneDrive 自動套用標籤原則
從 Power BI 匯出的標籤和加密資料
從 Microsoft Defender for Cloud Apps 自動套用標籤
在這些案例中,使用者可以使用其 Office 應用程式來套用標籤的內容標記,方法是暫時移除或取代目前的標籤,然後重新套用原始標籤。
具有變數的內容標記
重要事項
如果您的 Office 應用程式不支援此功能,它們會以標籤設定中指定的原始文字來套用標記,而不是解析變數。 請參閱 Office 應用程式中敏感度標籤的最低版本中的數據表。
當您設定內容標記的敏感度標籤時,您可以在文字字串中針對頁首、頁尾或浮水印使用下列變數:
變數 | 描述 | 套用標籤後的範例 |
---|---|---|
${Item.Label} |
套用標籤的標籤顯示名稱 | 一般 |
${Item.Name} |
要套用標籤之內容的檔案名稱或電子郵件主旨 | Sales.docx |
${Item.Location} |
要套用標籤之文件的路徑和檔案名稱,或要套用標籤之電子郵件的電子郵件主旨 | \\Sales\2020\Q3\Report.docx |
${User.Name} |
正在套用標籤之使用者的顯示名稱 | Richard Simone |
${User.PrincipalName} |
Microsoft Entra 套用標籤之使用者的UPN) (用戶主體名稱 | rsimone@contoso.com |
${Event.DateTime} |
標記內容的日期和時間、在 Microsoft 365 應用程式中套用標籤的使用者當地時區,或 Office Online 和自動套用標籤原則的 UTC (國際標準時間) | 8/10/2020 1:30 PM |
注意事項
這些變數的語法區分大小寫。
動態浮浮水印 也支援插入使用者的電子郵件位址。 不過,以變數標示的內容會使用套用標籤之使用者的電子郵件位址,這適用於責任。 動態浮浮浮浮水印會顯示目前開啟檔之使用者的電子郵件位址,以視覺方式抵禦數據外洩。
其他考慮:
具有或不含變數的所有內容標記都可以搭配不套用加密的標籤套用。 動態浮浮浮水印只能套用套用由系統管理員所定義之加密的標籤。
具有或不含動態變數的所有內容標記,都可以在套用至標記的內容之後,由用戶變更或移除。 套用動態浮水印之後,如果允許) 內容,則無法在不移除標籤或匯出 (的情況下變更或移除。
具有或不含動態變數的所有內容標記都可以使用不同的字型、色彩、方向自定義。 動態浮浮水印不支援此自定義。
動態浮浮浮水印隨附的限制可提供更多安全性,但也可能防止檔在不支援此功能的桌面版 Office 中開啟。 只有當您需要此保護層級時,才使用動態浮水印,而當您不需要時,則使用標準內容標記。 如需詳細資訊,請參閱 動態浮水印 檔。
為 Word、Excel、PowerPoint 和 Outlook 設定不同的內容標記
做為額外的變數,您可以在文字字串中使用 「If.App」 變數語句來設定每個 Office 應用程式類型的內容標記,並使用 Word、Excel、PowerPoint 或 Outlook的值來識別應用程式類型。 如果您想要在同一個 If.App 陳述式中指定多個值,也可以將這些值縮寫。
使用下列語法:
${If.App.<application type>}<your visual markings text> ${If.End}
如同其他內容標記,語法會區分大小寫,其中包含每個應用程式類型的縮寫 (WXPO) 。
範例:
僅設定 Word 文件的頁首文字:
${If.App.Word}This Word document is sensitive ${If.End}
僅在 Word 文件頁首中,標籤會套用「此 Word 文件為機密」頁首文字。 不會將頁首文字套用到其他 Office 應用程式。
為 Word、Excel 和 Outlook 設定頁尾文字,並為 PowerPoint 設定不同頁尾文字:
${If.App.WXO}This content is confidential. ${If.End}${If.App.PowerPoint}This presentation is confidential. ${If.End}
在 Word、Excel 和 Outlook 中,標籤會套用頁尾文字「此內容為機密」。在PowerPoint中,標籤會套用頁尾文字「此簡報是機密的」。
為 Word 和 PowerPoint 設定特定浮水印文字,然後為 Word、Excel 和 PowerPoint 設定浮水印文字:
${If.App.WP}This content is ${If.End}Confidential
在 Word 和 PowerPoint 中,標籤會套用「此內容為機密」浮水印文字。 在 Excel 中,標籤會套用「機密」浮水印文字。 在 Outlook 中,標籤不會套用任何浮浮水印文字,因為 Outlook 不支援以浮浮水印做為內容標記。
要求使用者在電子郵件和文件中套用標籤
重要事項
此設定有時稱為強制標籤。 若要檢查支援的 Office 版本,請參閱 Office 應用程式中敏感度標籤的最低版本中的數據表。
要對文檔而不是電子郵件使用強制標籤,請參閱下一節中說明如何設定 Outlook 特定選項的指示。
若要對 Power BI 使用強制標籤,請參閱 Power BI 的強制標籤原則。
選取原則設定 [ 要求使用者將標籤套用至其電子郵件和檔 ] 時,指派原則的使用者必須在其 Office 應用程式中選取並套用敏感度卷標:
針對文件 (Word、Excel、PowerPoint):開啟或儲存未套用標籤的文件時。
針對電子郵件 (Outlook):當使用者傳送未套用標籤的電子郵件時。 針對 Outlook Mobile,這可以在第 一次撰寫電子郵件訊息時變更為 。
其他資訊:
未標記表示從使用者租用戶發佈的敏感度標籤不會套用至內容。 此原則設定會忽略 其他租使用者所套用的 敏感度標籤。
當使用者因為開啟未套用標籤的文件,而系統提示他們新增敏感度標籤時,他們可以新增標籤,或選擇以唯讀模式開啟文件。
當強制套用標籤生效時,使用者無法從文件移除敏感度標籤,但可以變更現有的標籤。
當強制標籤生效時,在文件加上標籤或加密同時,將無法使用 [列印至 PDF] 選項。 如需詳細資訊,請參閱此頁面的PDF 支援章節。
如需何時使用此設定的指導方針,請參閱原則設定的相關資訊。
注意事項
如果您除了強制標籤之外,還針對文件和電子郵件使用預設標籤原則設定:
預設標籤一律優先於強制標籤。 不過,如果您使用的 Office 版本尚不支援現有檔的預設標籤,系統會提示使用者為每份新檔套用敏感度標籤。
使用 capabilities 數據表和數據列將預設標籤套用至現有檔,以識別支援現有文件預設標籤的 Word、Excel 和 PowerPoint 最低版本。
針對 Outlook Mobile,當使用者收到標籤提示時變更
針對 Android 版 Outlook 和 iOS 版 Outlook,此設定至少需要 4.2316.0 版。
您可以使用 Microsoft Intune 受控應用程式應用程式設定原則,從 Intune App Software Development Kit (SDK) 設定設定,該設定會在系統提示用戶選取 Outlook Mobile 的敏感度卷標時變更。
在設定電子郵件的強制標籤時,此設定不會在傳送時提示標籤,而是會在使用者第一次撰寫訊息時提示標籤。
這個設定需要您在原則中指定下列索引鍵/值組作為一般組態設定:
機碼 | 值 |
---|---|
com.microsoft.outlook.Mail.LouderMandatoryLabelEnabled | 真 |
Outlook 特定的預設標籤和強制標籤選項
使用 Outlook 的功能數據表 和 預設標籤和強制標籤的不同設定數據列,識別支援這些功能的最小 Outlook 版本。
當 Outlook 應用程式支援的預設標籤設定與文件的預設標籤設定不同時:
- 在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 的標籤原則設定中,於 [將預設標籤套用至電子郵件] 頁面上:您可以指定要套用至所有未標記電子郵件或沒有預設標籤的敏感度卷標選擇。 此設定與上一個 [文件的原則設定] 設定頁面上的 [根據預設將此標籤套用到文件] 設定無關。
當 Outlook 應用程式不支援與文件預設標籤設定不同的預設標籤設定時:Outlook 會一律使用您在標籤原則設定的 [文件的原則設定] 頁面上為 [預設將此標籤套用到文件] 設定指定的值。
當 Outlook 應用程式支援關閉強制標籤時:
- 在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 的標籤原則設定中,於 [原則設定] 頁面上:選取 [要求使用者將標籤套用至其電子郵件或檔]。 然後選取下一步>下一步,清除要求使用者將標籤套用到其電子郵件核取方塊。 如果您想要強制將標籤套用到電子郵件以及文件,請保留選取核取方塊。
當 Outlook 應用程式不支援關閉強制標籤時:如果您選取要求使用者將標籤套用到其電子郵件或文件的原則設定,Outlook 會一律提示使用者為未標記電子郵件選取標籤。
僅限檔案或電子郵件的範圍標籤
注意事項
使用功能數據 表,以及 檔案或電子郵件的範圍標籤數據列,識別支援這項功能的最低版本。
除非使用者使用的所有平臺都支援這項功能,否則會有不一致的標籤體驗。 例如,一個平臺上的 Word 不會顯示他們在不同平臺上看到的標籤。
當您在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中建立或編輯敏感度標籤時,即可使用此設定:
- 若要將標籤的範圍設定為僅 Word、Excel 和 PowerPoint:請確定已選取 [檔案 & 其他數據資產] 的選項,而不是 [電子郵件] 的選項。
- 若只要將標籤的範圍設定為 Outlook,請確定已選取 [ 電子郵件 ] 選項,而不是 [ 檔案] & 其他數據資產的選項。
警告
雖然您可以編輯現有的標籤並移除 檔案 & 其他數據資產 範圍,但我們不建議您這麼做,因為現有的設定可能不再如預期般運作。 例如,SharePoint 網站管理員無法了解為何他們選取作為文檔庫默認標籤的敏感度標籤不再套用標籤。
如果您只想要電子郵件的敏感度標籤,請建立只有 [電子郵件 ] 範圍的新標籤,而不是編輯現有的標籤。
如果您不需要將標籤的範圍設定為只 Word、Excel 和 PowerPoint,或僅限 Outlook,請確定已選取這兩個選項。
請記住,其他標籤設定也會影響敏感度標籤是否顯示在應用程式中。 請檢查檔中是否有您使用的標籤組態。
注意事項
[檔案 & 其他數據資產] 選項可以包含 Office 檔案以外的專案,例如 Power BI 檔案。 請檢查應用程式的檔以進行驗證,並記得測試組織使用的所有標籤應用程式和服務。
請注意,此設定會同時影響用戶端應用程式和服務、手動標籤和自動標籤。 例如:
預設標籤:
- 如果範圍不包含電子郵件,則不會套用電子郵件的已設定預設標籤。
- 如果範圍不包含檔案,則不會套用已設定的檔案默認標籤,且無法選取為 SharePoint 文件庫的預設敏感度標籤。
自動套用標籤原則:
- 如果範圍不包含電子郵件,您就無法針對包含 Exchange 位置的自動套用標籤原則選取標籤。
- 如果範圍不包含檔案,您就無法針對包含 SharePoint 和 OneDrive 位置的自動套用標籤原則選取標籤。
-
- 如果範圍不包含電子郵件,您將無法選取 [ 不可 轉寄] 或 [ 僅加密] 的加密選項。
- 如果範圍不包含檔案,您將無法選取 [加密] 選項 [在 Word、PowerPoint 和 Excel 中,提示使用者指定許可權。
-
- 針對此設定,標籤的範圍必須同時限於檔案和電子郵件。
此外,如果先前已套用標籤,但之後從其中一個範圍移除,使用者將不會再看到該標籤已套用至支援此功能的應用程式中的範圍。
由於將標籤範圍設定為僅限檔案或電子郵件的影響,某些現有的標籤設定會防止您移除 檔案 & 其他數據資產 和 電子郵件的範圍選項:
- 卷標原則中的默認標籤
- 要在頻道會議中套用的默認標籤
- 針對自動套用標籤原則選取的標籤
您必須先將標籤設定為其中一個預設標籤,然後從任何自動套用標籤原則中移除標籤,才能將標籤設定為僅限檔案或電子郵件。
局限性:
如果您使用任何標籤原則設定,且敏感度標籤的範圍僅 限檔案 & 其他數據資產 ,或限定範圍為 [ 電子郵件],則相同的原則也必須包含至少一個標籤,其中包含這兩個範圍選項。
如果標籤設定為一或多個標籤原則中的預設標籤,而且 Outlook 未在相同原則中使用自己的預設標籤進行設定,您就無法移除 Email 的範圍。 因應措施是先移除此標籤作為默認標籤。 接著,您將能夠移除電子郵件範圍。 最後,將現在修改過的標籤重新選取為文件的預設標籤。
設定標籤以在 Outlook 中套用 S/MIME 保護
注意事項
使用 Outlook 的 功能數據表 和 [套用 S/MIME 保護] 資料列,識別支援這項功能的最低 Outlook 版本。
如果您設定標籤以套用 S/MIME 保護,但您的 Windows 版 Outlook 尚不支援它,則標籤仍會顯示且可以套用,但會忽略 S/MIME 設定。 您將無法針對 Exchange 自動套用標籤原則選取此標籤,或將其設定為 保護行事曆專案、Teams 會議和聊天。
此設定無法在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中使用。 線上到安全性 & 合規性 PowerShell 之後,您必須使用 PowerShell 進階設定搭配 Set-Label 或 New-Label Cmdlet。
只有在您擁有可運作的 S/MIME 部署且想要標籤以自動對電子郵件套用此保護方法,而不是使用來自 Azure 資訊保護的版權管理加密的預設保護時,才使用這些設定。 產生的保護會與使用者手動從 Outlook 選取 S/MIME 選項時相同。
組態 | 進階設定索引鍵/值 |
---|---|
S/MIME 數位簽章 | SMimeSign="True" |
S/MIME 加密 | SMimeEncrypt="True" |
您為這些設定設定所設定的標籤,不需要在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中設定加密。 但如果有加密,S/MIME 保護只會取代 Outlook 中的版權管理加密。 對於其他應用程式,標籤會套用 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中指定的加密設定。
PowerShell 命令範例,其中的敏感度標籤 GUID 為 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeSign="True"}
Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeEncrypt="True"}
如需指定 PowerShell 進階設定的詳細說明,請參閱 指定進階設定的 PowerShell 提示。
設定電子郵件附件的標籤繼承
注意事項
使用 Outlook 的 功能數據表,以及 電子郵件附件的標籤繼承數據列,識別支援這項功能的最小 Outlook 版本。
當使用者將已加上標籤的檔案附加至未手動標記的電子郵件訊息時,開啟電子郵件繼承。 使用此設定時,會根據套用至附件併發佈給使用者的敏感度標籤,動態選取電子郵件訊息的敏感度標籤。 當 Outlook 支援 最高優先順序標籤 時,系統會動態選取該標籤。
此標籤繼承是否會覆寫電子郵件訊息上的現有標籤:
當電子郵件訊息已手動加上標籤時,該標籤將不會由電子郵件附件的標籤繼承取代。
電子郵件附件的標籤繼承會取代自動套用或套用為預設標籤的較低優先順序敏感度標籤,但不會覆寫較高優先順序的標籤。
您可以在敏感度標籤原則的 [ 電子郵件的預設設定 ] 頁面上設定此設定。 在 [從附件繼承卷標] 區段中,選取 Email 從附件繼承最高優先順序捲標的複選框。 附件必須是實體檔案,而且不能是檔案的連結 (例如,Microsoft SharePoint 或 OneDrive) 上檔案的連結。
當您選取此複選框時,您可以進一步選取下列選項: 建議使用者套用附件標籤,而不是自動套用。 若未選取此選項,就會自動套用標籤,但使用者仍然可以在傳送電子郵件之前移除卷標或選取不同的標籤。
根據預設,如果自動選取的標籤套用加密,則會將相同的加密套用至電子郵件。 例如,如果最高優先順序的標籤將具有完全控制權的加密套用至行銷群組,則電子郵件會受到「行銷」群組的「完全控制」保護。 如果最高優先順序標籤套用 [不可轉寄] 的加密選項,電子郵件訊息也會加上標籤,並以 [不可轉寄] 加密。
不過,當電子郵件用戶端不支援套用至附件的特定保護動作時,請將結果納入考慮:
雙重金鑰加密:行為取決於 Outlook 是否支援此加密方法。 使用 功能數據表 和 列 Double Key Encryption (DKE) 來確認您的版本支援。
當 Outlook 支援 DKE 時:如果最高優先順序標籤套用雙重密鑰加密和 立即指派許可權的加密設定,Windows 版 Outlook 會將該標籤和保護套用至電子郵件訊息。 如果標籤設定為 [讓使用者在套用標籤 時指派許可權],則不會套用標籤和保護。
當 Outlook 不支援 DKE 時:如果最高優先順序捲標套用雙重密鑰加密,則不會針對 Windows 版 Outlook 中的電子郵件訊息選取任何標籤或加密。
Word、PowerPoint 和 Excel 的自定義許可權:如果最高優先順序卷標只套用 Word、PowerPoint 和 Excel 的使用者定義許可權 (選項 [讓使用者在套用卷標時指派許可權],在 [Word]、[PowerPoint] 和 [Excel] 中,提示使用者指定許可權) ,因為 Outlook 不支援此標籤設定,所以不會為電子郵件訊息選取任何標籤或保護。
PDF 支援
使用 Office 應用程式中敏感度標籤的最低版本中 的數據表來識別支援的版本。
Windows 版 Office:Word、Excel 和 PowerPoint 支援下列將 Office 文件轉換成 PDF 檔的方法:
- 檔案另 > 存為 > PDF
- 檔案 > 匯出 > PDF
- 共用 > 傳送複製 > PDF
此動作會與來自 檔案和頁面活動 稽核群組的 重新命名檔案 稽核事件一起記錄。 在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 的稽核搜尋結果中,您會看到此稽核事件的詳細數據顯示 [活動] 字段的 SensitivityLabeledFileRenamed。
iOS 版 Office:Word、Excel 和 PowerPoint 支援下列將 Office 文件轉換成 PDF 檔的方法:
- 匯出 > PDF
- 以 PDF 傳送複本 > 傳送
Android 版 Office:Word、Excel 和 PowerPoint 支援下列將 Office 檔轉換成 PDF 檔的方法:
- 共用 > 傳送複本 -> PDF
Office 網頁版:您必須從瀏覽器下載檔案。 支援下列方法將 Office 線上檔案轉換成 PDF 檔:
- Word和 PowerPoint 網頁版:
- 另存為 > 下載為 PDF > 下載
- Excel 網頁版:
- 匯 > 出下載為 PDF > 下載
- 列印 > 列印 > 下載為 PDF > 下載
建立 PDF 時,它會繼承具有任何內容標記的標籤。 針對 Windows,如果套用了加密標籤,也會繼承該加密。 加密的 PDF 可以在 Windows 或 Mac 上使用 Microsoft Edge 開啟。 如需詳細資訊,請參 閱在 Windows 或 Mac 上使用 Microsoft Edge 檢視受保護的 PDF。
SharePoint 和 OneDrive 支援下列 PDF 案例:
當您 已針對敏感度標籤啟用 SharePoint 和 OneDrive ,並 新增 PDF 支援時。 然後,當您上傳具有或未套用加密的標記 PDF 檔時,支援 PDF,這些服務可以處理檔案,讓搜尋、電子檔探索和數據外洩防護可以檢查內容,而且敏感度標籤標籤顯示給使用者。
Outlook 目前不支援從已加上標籤的電子郵件繼承加密的 PDF 附件。 不過,Outlook 現在支援警告或封鎖使用者列印至 PDF,如下所述。
不支援的 PDF 案例:
列印為 PDF
如果使用者選取此選項,系統會警告其文件或電子郵件將失去標籤的保護和加密 (如適用),且必須確認以繼續。 如果您的敏感度標籤原則需要移除標籤或降低其分類的理由,他們會看到此提示。
因為此選項會移除敏感度標籤,所以如果您使用強制標籤,使用者將無法使用此選項。 此設定是指需要使用者將標籤套用至其電子郵件和文件的敏感度標籤原則設定。
PDF/A 格式和加密
當標籤套用加密時,不支援這個專為長期封存所設計的 PDF 格式,並且將防止使用者將 Office 文件轉換成 PDF。 如需設定資訊,請參閱 Enforce PDF compliance with ISO 19005-1 (PDF/A) (英文) 的群組原則文件。
密碼保護和加密
當文件的標籤套用加密時,不支援 [檔案]>[資訊]>[保護文件]>[使用密碼加密] 選項。 在此案例中,使用者無法使用 [使用密碼加密] 選項。
如需匯出至 PDF 的詳細資訊,請參閱將 敏感度標籤套用至使用 Office 應用程式建立的 PDF 公告。
如需終端用戶檔,請 參閱從 Office 檔案建立受保護的 PDF 和 在 Windows 或 Mac 上使用 Microsoft Edge 檢視受保護的 PDF。
停用 PDF 支援
如果您需要在適用於 Word、Excel 和 PowerPoint 的 Office 應用程式中停用 PDF 支援,您可以在 [使用者設定/系統管理範本/Microsoft Office 2016/Microsoft另存為 PDF] 和 [另存為 XPS] 載入巨集下使用 [群組原則 Office] 設定來執行此動作:
- 使用 Office 中的敏感度功能將敏感度標籤套用至 PDF
將此設定設定為 [已 停用]。
使用 群組原則 或使用適用於 Microsoft 365 的雲端原則服務來部署此設定。
敏感度列
使用 Office 應用程式中敏感度標籤的最低版本中 的數據表,識別哪些 Office 版本支援敏感度列。
當 Word、Excel 和 PowerPoint 支援這項功能時,敏感度標籤會顯示在頂端視窗列檔名旁邊的敏感度列中。 例如:
當 Outlook 支援這項功能時,敏感度列會顯示在電子郵件的 [ 主旨 ] 行上。 例如:
卷標的相關信息以及選取或變更標籤的能力,也會整合到使用者工作流程中,包括儲存和重新命名、導出、共用、列印和 轉換成 PDF。 如需詳細資訊和範例螢幕快照,請參閱部落格文章公告: Office for Windows 的新敏感度列。
在這項高可見度中,這些標籤也支援色彩。 如需詳細資訊,請參閱下一節。
標籤色彩
如果您的標籤應用程式不支援這項功能,它們就不會顯示已設定的標籤色彩。 若要識別 Office 應用程式支援的版本,請參閱 Office 應用程式中敏感度標籤的最低版本中的數據表。
新建立的標籤預設沒有色彩。 使用 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 為敏感度標籤選取 10 種標準色彩的其中一種。 標籤色彩設定位於標籤名稱和描述之後標籤設定的第一頁。
您無法選取子捲標的色彩,因為它們會自動從其父標籤繼承標籤色彩。
如果標籤設定為與 10 個預設色彩之一不同的色彩,您會看到已選 取 [使用先前指派的自定義色彩 ] 複選框,而且無法使用標準色彩選項。 您可以先清除複選框,將自定義色彩變更為其中一種標準色彩,然後選取其中一個標準色彩。
您無法使用 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 來設定不同的自定義色彩。 請改用PowerShell,如下一節所述。
使用 PowerShell 設定自訂色彩
您可以使用 安全性 & 合規性 PowerShell 進階設定 色彩 來設定敏感度標籤的色彩。 此設定支援您無法在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中設定的色彩。
若要指定您選擇的色彩,請針對色彩的紅色、綠色和藍色 (RGB) 元件使用十六進位三進位程序代碼。 例如,#40e0d0 是青綠色的 RGB 十六進位值。
如需這些程式代碼的詳細資訊,請參閱 <MSDN Web 檔中的色彩> 頁面,您可能也覺得 RapidTable 很有 説明。 您可以在許多可讓您編輯圖片的應用程式中識別這些程式代碼。 例如,Microsoft 小畫家可讓您從調色板選擇自訂色彩,並自動顯示 RGB 值,然後您可以複製該色彩。
範例 PowerShell 命令,其中敏感度標籤 GUID 為 8faca7b8-8d20-48a3-8ea2-0f96310a848e
Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{color="#40e0d0"}
如需協助您指定敏感度標籤之 PowerShell 進階設定的詳細資訊,請參閱 指定進階設定的 PowerShell 秘訣。
指定父卷標的預設子捲標
注意事項
使用 功能數據表 和 父卷標的預設子捲標數據列,識別支援此設定的最小 Office 版本。
Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中無法使用此設定。 聯機到安全性 & 合規性 PowerShell 之後,您必須使用 PowerShell 進階設定 DefaultSubLabelId 搭配 Set-Label 或 New-Label Cmdlet。
當您將子卷標新增至標籤時,用戶無法再將父卷標套用至專案。 根據預設,用戶會選取父卷標來查看可以套用的子捲標,然後選取其中一個子捲標。 如果您指定父卷標的預設子捲標,當用戶選取父卷標時,系統會自動為其選取並套用子卷標。
例如,父卷標 [ 機密 ] 會以預設子捲標 [ 所有員工] 設定。 下一個父卷標 高度機密未設定預設子捲標。 您可以分辨高度機密未顯示的機密標籤列結尾差異:
當使用者選取該垂直列的左邊時,他們會選取\ [自動使用單一選取範圍的機密所有員工]。 如果他們需要不同的子捲標,則必須選取垂直列右邊的標籤展開,然後顯示所有子捲標以供選取。 相較之下,如果他們選取 [高度機密],該卷標的子卷標一律會顯示供選取。
設定此標籤設定之後,請記得據此更新您的使用者檔。
範例 PowerShell 命令,其中父敏感度標籤 GUID 為 8faca7b8-8d20-48a3-8ea2-0f96310a848e ,而您想要指定為預設值的子捲標為 1ace2cc3-14bc-4142-9125-bf946a70542c:
Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{DefaultSubLabelId="1ace2cc3-14bc-4142-9125-bf946a70542c"}
如需指定 PowerShell 進階設定的詳細說明,請參閱 指定進階設定的 PowerShell 提示。
防止分析內容的一些連線體驗
注意事項
此設定尚無法在所有客戶端平臺上使用。 使用功能數據 表 和 [ 防止分析內容的連線體驗] 數據列,識別支援此設定的最小 Office 版本。
此設定不適用於 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站。 聯機到安全性 & 合規性 PowerShell 之後,您必須使用 PowerShell 進階設定 BlockContentAnalysisServices 搭配 Set-Label 或 New-Label Cmdlet。
此設定可讓您防止將 Word、Excel、PowerPoint 和 Outlook 中的內容傳送到Microsoft,以作為隱私權控制措施進行內容分析。 不過,設定時,表示某些服務無法如設計般運作,例如 Outlook 的數據外洩防護原則秘訣、自動和建議的標籤,以及 Microsoft 365 Copilot。
重要事項
雖然具有已設定敏感度標籤的內容會從具名 Office 應用程式中的 Microsoft 365 Copilot 中排除,但內容仍可供其他案例 Microsoft 365 Copilot 使用。 例如,在 Teams 中,以及在瀏覽器中以圖形為基礎的聊天。
範例 PowerShell 命令,其中敏感度標籤 Confidential \Project Onyx 的 GUID 為 8faca7b8-8d20-48a3-8ea2-0f96310a848e ,而且您想要防止 Office 應用程式中具有此卷標的所有檔和電子郵件傳送至Microsoft聯機體驗以進行分析:
Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{BlockContentAnalysisServices="True"}
若要將設定傳回預設值,將標記的內容傳送至Microsoft連線體驗以進行分析,請移除設定,或將值設定為 False。
如需指定 PowerShell 進階設定的詳細說明,請參閱 指定進階設定的 PowerShell 提示。
受此設定影響的 連線體驗 清單:
連線體驗 | 應用程式 |
---|---|
縮略字 | Word |
自動替代文字 | Word、PowerPoint、Excel、Outlook |
自動套用或建議敏感度標籤 | Word、PowerPoint、Excel、Outlook |
Microsoft 365 Copilot | Word、PowerPoint、Excel、Outlook |
Microsoft Purview 資料外洩防護原則提示 | Outlook |
PowerPoint 設計工具 | PowerPoint |
相似性檢查程式 | Word |
譯者 | Word、PowerPoint、Excel、Outlook |
稽核標籤活動
如需敏感度標籤活動所產生之稽核事件的相關信息,請參閱稽核記錄活動檔中的 敏感度標籤活動 一節。
此稽核資訊在 內容總管 和 活動總管 中以視覺化方式表示,以協助您了解敏感度標籤的使用方式以及此標籤內容的位置。
當您 匯出並設定稽核記錄記錄 時,您也可以使用您所選擇的安全性資訊與事件管理 (SIEM) 來建立自訂報告。 如需較大規模的報告解決方案,請參閱 Office 365 管理活動 API 參考。
提示
若要協助建立自訂報告,請參閱下列部落格文章: