使用敏感度標籤控制 Microsoft Entra ID 中的資源外部存取

使用敏感度標籤協助控制 Office 365 應用程式中內容的存取，以及 Microsoft Teams、Microsoft 365 群組 和 SharePoint 網站等容器中的內容。 它們會保護內容，而不會妨礙使用者共同作業。 使用敏感度標籤在裝置、應用程式和服務之間傳送整個組織的內容，同時保護數據。 敏感度標籤可協助組織符合合規性和安全性策略。

請參閱瞭解 敏感度標籤

開始之前

本文是一系列 10 篇文章中的數位 8。 建議您依序檢閱文章。 移至 後續步驟 一節，以查看整個系列。

指派分類並強制執行保護設定

您可以分類內容，而不需要新增任何保護設定。 內容分類指派在使用和共用內容時會與內容保持一起。 分類會產生具有敏感性內容活動數據的使用量報告。

強制執行保護設定，例如加密、浮水印和存取限制。 例如，使用者會將機密標籤套用至檔或電子郵件。 標籤可以加密內容，並新增機密浮水印。 此外，您可以將敏感度標籤套用至像是 SharePoint 網站的容器，並協助管理外部使用者存取權。

深入了解：

• 使用敏感度標籤用加密來限制內容的存取
• 使用敏感度標籤來保護 Microsoft Teams、Microsoft 365 群組 和 SharePoint 網站中的內容

容器上的敏感度標籤可以限制對容器的存取，但容器中的內容不會繼承標籤。 例如，除非內容具有敏感度標籤，否則使用者會從受保護的網站取得內容、下載內容，然後不受限制地共享內容。

注意

若要套用敏感度標籤，使用者登入其 Microsoft 公司或學校帳戶。

建立和管理敏感度層級的許可權

需要建立敏感度標籤的小組成員需要下列許可權：

• Microsoft 365 Defender 入口網站，
• Microsoft Purview 合規性入口網站 或
• Microsoft Purview 合規性入口網站

根據預設，全域 管理員 istrators 可以存取系統管理中心，而且可以提供存取權，而不需要授與租使用者 管理員 許可權。 針對此委派的有限系統管理員存取權，請將使用者新增至下列角色群組：

• 合規性數據 管理員 istrator，
• 合規性 管理員 istrator，或
• 安全性系統管理員

敏感度標籤策略

當您規劃管理對內容的外部存取時，請考慮內容、容器、電子郵件等等。

高、中或低業務影響

若要定義數據、網站和群組的高業務影響（HBI）、中型業務影響（MBI），或低業務影響（LBI），如果共用錯誤的內容類型，請考慮對貴組織的影響。

• 信用卡、護照、國家/地區標識符
  • 自動將敏感度標籤套用至內容
• 公司人員所建立的內容：合規性、財務、主管等。
• 連結庫或網站中的策略性或財務數據。

請考慮外部使用者無法存取的內容類別，例如容器和加密的內容。 您可以使用敏感度標籤、強制執行加密或使用容器存取限制。

電子郵件和內容

敏感度標籤可以自動或手動套用至內容。

請參閱自動 將敏感度標籤套用至內容

電子郵件和內容的敏感度標籤

檔或電子郵件中的敏感度標籤可自定義、純文字和持續性。

• 可 自定義 - 為您的組織建立標籤，並判斷產生的動作
• 純文字 - 會併入元數據中，並由應用程式和服務讀取
• 持續性 - 確保標籤和相關聯的保護與內容保持一起，並協助強制執行原則

注意

每個內容專案可以套用一個敏感度標籤。

容器

如果 Microsoft 365 群組、Teams 或 SharePoint 網站受限於敏感度標籤，請判斷存取準則。 您可以在容器中為內容加上標籤，或使用 SharePoint、OneDrive 等檔案的自動標籤。

深入瞭解： 開始使用敏感度標籤

容器上的敏感度標籤

您可以將敏感度標籤套用至容器，例如 Microsoft 365 群組、Microsoft Teams 和 SharePoint 網站。 支援容器上的敏感度標籤會將分類和保護設定套用至連接的網站或群組。 這些容器上的敏感度標籤可以控制：

• 隱私權 - 選取可以看到網站的使用者

• 外部使用者存取 - 判斷群組擁有者是否可以將來賓新增至群組

• 從非受控裝置 存取 - 決定 Unmanaged 裝置存取內容的方式和方式

  

套用至容器的敏感度標籤，例如 SharePoint 網站，不會套用至容器中的內容;他們會控制容器中內容的存取權。 標籤可以自動套用至容器中的內容。 若要讓使用者手動將標籤套用至內容，請在 SharePoint 和 OneDrive 中啟用 Office 檔案的敏感度標籤。

深入了解：

• 在 SharePoint 和 OneDrive 中啟用 Office 檔案的敏感度標籤。
• 使用敏感度標籤來保護 Microsoft Teams、Microsoft 365 群組 和 SharePoint 網站中的內容
• 將敏感度標籤指派給 Microsoft Entra ID 中的 Microsoft 365 群組

實作敏感度標籤

決定使用敏感度標籤之後，請參閱下列檔以進行實作。

• 開始使用敏感度標籤
• 建立和發佈敏感度標籤
• 使用敏感度標籤用加密來限制內容的存取

下一步

使用下列一系列文章來瞭解如何保護資源的外部存取。 建議您遵循列出的順序。

1. 使用 Microsoft Entra ID 判斷外部存取的安全性狀態

2. 探索組織中外部共同作業的目前狀態

3. 建立外部資源存取的安全性計劃

4. 使用 Microsoft Entra ID 和 Microsoft 365 中的群組保護外部存取

5. 使用 Microsoft Entra B2B 共同作業轉換至控管的共同作業

6. 使用 Microsoft Entra 權利管理管理外部存取

7. 使用條件式存取原則管理資源的外部存取

8. 使用敏感度標籤 控制 Microsoft Entra 識別碼中的資源外部存取權（您在這裡）

9. 使用 Microsoft Entra 識別符保護對 Microsoft Teams、SharePoint 和 商務用 OneDrive 的外部存取

10. 將本機來賓帳戶轉換為 Microsoft Entra B2B 來賓帳戶