如何將 Azure 資訊保護 標籤移至統一敏感度標籤
將 Azure 資訊保護 標籤移轉至統一標籤平臺,讓您可以由支援統一標籤的客戶端和服務將其作為敏感度標籤。
注意
如果您的 Azure 資訊保護 訂用帳戶相當新,您可能不需要移轉標籤,因為您的租使用者已在統一卷標平臺上。
移轉標籤之後,您將不會看到 Azure 資訊保護 傳統用戶端的任何差異,因為此客戶端會繼續從 Azure 入口網站 下載具有 Azure 資訊保護 原則的標籤。 不過,您現在可以搭配 Azure 資訊保護 統一卷標用戶端和其他使用敏感度標籤的客戶端和服務使用標籤。
閱讀移轉標籤的指示之前,您可能會發現下列常見問題很有用:
支援統一標籤平臺的 管理員角色
如果您針對組織中的委派系統管理使用系統管理員角色,您可能需要對統一標籤平臺執行一些變更:
統一標籤平臺不支援 Azure 資訊保護 系統管理員的 Microsoft Entra 角色(先前稱為 資訊保護 系統管理員)。 如果您的組織中使用此系統管理角色來管理 Azure 資訊保護,請將具有此角色的使用者新增至合規性系統管理員、合規性數據管理員或安全性系統管理員的 Microsoft Entra 角色。 如果您需要此步驟的協助,請參閱為使用者提供 Microsoft Purview 合規性入口網站 的存取權。 您也可以在 Microsoft Entra 系統管理中心和 Microsoft Purview 合規性入口網站 中指派這些角色。
或者,若要使用角色,您可以在 Microsoft Purview 合規性入口網站 中為這些使用者建立新的角色群組,並將敏感度標籤 管理員 istrator 或組織設定角色新增至此群組。
如果您未使用這些組態的其中一個來授與這些使用者對 Microsoft Purview 合規性入口網站 的存取權,則無法在移轉標籤之後,在 Azure 入口網站 中設定 Azure 資訊保護。
租使用者的全域系統管理員可以在移轉標籤之後,繼續管理 Azure 入口網站 和 Microsoft Purview 合規性入口網站 中的標籤和原則。
開始之前
卷標移轉有許多優點,但無法復原。 在移轉之前,請確定您知道下列變更和考慮:
- 統一標籤的客戶端支援
- 原則設定
- 保護範本
- 顯示名稱
- 標籤中的當地語系化字串
- 在 Microsoft Purview 合規性入口網站 中編輯移轉的標籤
- Microsoft Purview 合規性入口網站 中不支援的標籤設定
- 比較標籤的保護設定行為
統一標籤的客戶端支援
請確定您有支援統一標籤的用戶端,如有必要,請備妥 Azure 入口網站(針對不支援統一標籤的用戶端)和 Microsoft Purview 合規性入口網站(針對支援統一卷標的用戶端)。
原則設定
原則,包括原則設定,以及可存取這些原則的人員,且不會移轉所有進階客戶端設定。 標籤移轉之後設定這些設定的選項包括:
- Microsoft Purview 合規性入口網站
- 安全性與合規性 PowerShell,您必須用來 設定進階客戶端設定。
重要
Microsoft Purview 合規性入口網站 不支援移轉標籤中的所有設定。 使用 Microsoft Purview 合規性入口網站 區段中不支援的標籤設定中的表格,協助您識別這些設定和建議的動作。
保護範本
使用雲端式金鑰且屬於卷標組態一部分的範本也會隨著標籤一起移轉。 不會移轉其他保護範本。
如果您有針對預先定義範本設定的標籤,請編輯這些標籤,然後選取 [設定許可權 ] 選項,以設定您在範本中所擁有的相同保護設定。 具有預先定義範本的標籤不會封鎖標籤移轉,但 Microsoft Purview 合規性入口網站 不支援此標籤設定。
提示
為了協助您重新設定這些標籤,您可能會發現有兩個瀏覽器視窗很有用:其中一個視窗可讓您選取標籤的 [編輯範本 ] 按鈕來檢視保護設定,而另一個視窗則當您選取 [設定許可權] 時設定相同的設定。
移轉具有雲端式保護設定的標籤之後,保護範本所產生的範圍是定義於 Azure 入口網站中的範圍(或使用 AIPService PowerShell 模組),以及中所定義的範圍 Microsoft Purview 合規性入口網站。
顯示名稱
對於每個標籤,Azure 入口網站 只會顯示您可以編輯的標籤顯示名稱。 使用者在其應用程式中看到此標籤名稱。
Microsoft Purview 合規性入口網站 會顯示標籤的這個顯示名稱,以及標籤名稱。 標籤名稱是您第一次建立標籤時所指定的初始名稱,後端服務會使用此屬性進行識別。 當您移轉標籤時,顯示名稱會維持不變,且標籤名稱會從 Azure 入口網站 重新命名為標籤標識碼。
衝突的顯示名稱
在移轉之前,請確定移轉完成後,您不會有衝突的顯示名稱。 標籤階層中相同位置的顯示名稱必須是唯一的。
例如,請考慮下列標籤清單:
- 公開
- 一般
- 機密
- 機密\HR
- 機密\財務
- 祕密
- Secret\HR
- Secret\Finance
在此清單中, 公用、 一般、 機密和 秘密 都是父標籤,而且不能有重複的名稱。 此外, Confidential\HR 和 Confidential\Finance 位於階層中的相同位置,而且不能有重複的名稱。
不過,跨不同父系的子捲標,例如 Confidential\HR 和 Secret\HR 不在階層中的相同位置,因此可以有相同的個別名稱。
標籤中的當地語系化字串
不會移轉標籤的任何當地語系化字串。 使用 Security & Compliance PowerShell 和 Set-Label 的 Locale 設定 參數,為移轉的卷標定義新的當地語系化字串。
在 Microsoft Purview 合規性入口網站 中編輯移轉的標籤
移轉之後,當您編輯 Azure 入口網站 中已移轉的標籤時,相同的變更會自動反映在 Microsoft Purview 合規性入口網站 中。
不過,當您在 Microsoft Purview 合規性入口網站 中編輯已移轉的標籤時,您必須返回 [Azure 入口網站]、[Azure 資訊保護 - 統一卷標] 窗格,然後選取 [發佈]。
Azure 資訊保護 用戶端需要這個額外的動作,才能挑選標籤變更。
Microsoft Purview 合規性入口網站 中不支援的標籤設定
使用下表來識別 Microsoft Purview 合規性入口網站 不支援移轉標籤的組態設定。 如果您有具有這些設定的標籤,當移轉完成時,請在 Microsoft Purview 合規性入口網站 中發佈標籤之前,使用最後一欄中的管理指引。
如果您不確定標籤的設定方式,請在 Azure 入口網站 中檢視其設定。 如果您需要此步驟的協助,請參閱設定 Azure 資訊保護 原則。
Azure 資訊保護 用戶端(傳統版)可以使用列出的所有標籤設定,而沒有任何問題,因為它們會繼續從 Azure 入口網站 下載標籤。
標籤設定 | 統一標籤客戶端支援 | Microsoft Purview 合規性入口網站 的指引 |
---|---|---|
已啟用或停用的狀態 此狀態不會同步處理至 Microsoft Purview 合規性入口網站 |
不適用 | 對等專案是標籤是否發佈。 |
您從清單中選取的標籤色彩,或使用 RGB 程式代碼指定 | Yes | 標籤色彩沒有組態選項。 相反地,您可以在 Azure 入口網站 中設定標籤色彩,或使用PowerShell。 |
使用預先定義的範本進行雲端式保護或 HYOK 型保護 | No | 預先定義的範本沒有組態選項。 不建議您發佈具有此設定的標籤。 |
使用 Word、Excel 和 PowerPoint 的使用者定義許可權進行雲端式保護 | Yes | Microsoft Purview 合規性入口網站 支援使用者定義許可權的組態選項。 如果您使用此設定發佈標籤,請檢查下表中套用標籤的結果。 |
使用 Outlook 使用者定義權限的 HYOK 型保護 (不可轉寄) | No | HYOK 沒有組態選項。 不建議您發佈具有此設定的標籤。 如果您這麼做,套用標籤的結果會列在下表中。 |
自訂字型名稱、大小和自訂字型色彩,依 RGB 程式代碼進行視覺標記 (頁首、頁尾、浮水印) | Yes | 視覺標記的設定僅限於色彩和字型大小的清單。 雖然您無法在 Microsoft Purview 合規性入口網站 中看到已設定的值,但可以發佈此標籤而不變更。 若要變更這些選項,請使用 New-Label Office 365 安全性與合規性中心 Cmdlet。 為了方便管理,請考慮將色彩變更為 Microsoft Purview 合規性入口網站 中所列的其中一個選項。 注意:Microsoft Purview 合規性入口網站 支援預先定義的字型定義清單。 只有透過 New-Label Cmdlet 才支援自定義字型和色彩。 如果您使用傳統用戶端,請在 Azure 入口網站 中對您的標籤進行這些變更。 |
視覺標記 中的變數(頁首、頁尾) | Yes | 針對選取的應用程式,AIP 用戶端和 Office 內建標籤支援此標籤設定。 如果您使用不支援此設定的應用程式來使用內建標籤,且不需變更發佈此標籤,變數就會在用戶端上顯示為文字,而不是顯示動態值。 如需詳細資訊,請參閱 Microsoft 365 檔。 |
每個應用程式的視覺標記 | Yes | 此標籤設定僅受 AIP 用戶端支援,而不是由 Office 內建標籤支援。 如果您正在使用內建標籤,並發佈此標籤而不變更,視覺標記組態會顯示為可變文字,而不是您已設定在每個應用程式中顯示的視覺標記。 |
“只是為了我” 保護 | Yes | Microsoft Purview 合規性入口網站 不會讓您儲存您現在套用的加密設定,而不需要指定任何使用者。 在 Azure 入口網站 中,此組態會產生套用「僅針對我」保護的標籤。 或者,建立套用加密的標籤,並指定具有任何許可權的用戶,然後使用 PowerShell 編輯相關聯的保護範本。 首先,使用 New-AipServiceRightsDefinition Cmdlet(請參閱範例 3),然後使用 RightsDefinitions 參數設定 AipServiceTemplateProperty。 |
條件和相關聯的設定 包含自動和建議的標籤及其工具提示 |
不適用 | 使用自動套用標籤作為標籤設定與標籤設定的個別組態來重新設定條件。 |
比較標籤的保護設定行為
根據 Azure 資訊保護 傳統用戶端、Azure 資訊保護 統一卷標用戶端或內建標籤的 Office 應用程式,使用下表來識別標籤的相同保護設定的運作方式(也稱為「原生 Office 卷標」)。 卷標行為的差異可能會變更您是否要發佈標籤的決定,特別是當您組織中有混合用戶端時。
如果您不確定如何設定保護設定,請在 [保護] 窗格中檢視其設定,並在 [Azure 入口網站]。 如果您需要此步驟的協助,請參閱 設定保護設定的標籤。
以相同方式運作的保護設定不會列在數據表中,但有下列例外狀況:
- 當您搭配內建標籤使用 Office 應用程式 時,除非也安裝 Azure 資訊保護 統一卷標客戶端,否則在 檔案總管 中看不到卷標。
- 當您搭配內建標籤使用 Office 應用程式 時,如果先前在標籤中獨立套用保護,則會保留該保護[1]。
標籤的保護設定 | Azure 資訊保護傳統用戶端 | Azure 資訊保護整合標記用戶端 | 內建標籤 Office 應用程式 |
---|---|---|---|
HYOK (AD RMS) 與範本: | 在 Word、Excel、PowerPoint、Outlook 和 檔案總管 中可見 套用此標籤時: - HYOK 保護會套用至文件和電子郵件 |
在 Word、Excel、PowerPoint、Outlook 和 檔案總管 中可見 套用此標籤時: - 如果未套用任何保護,且標籤先前已套用保護,則會移除保護 [2]。 - 如果先前在標籤中獨立套用保護,則會保留該保護 |
在 Word、Excel、PowerPoint 和 Outlook 中可見 套用此標籤時: - 如果未套用任何保護,且標籤先前已套用保護,則會移除保護 [2]。 - 如果先前在標籤中獨立套用保護,則會保留 該保護 [1] |
HYOK (AD RMS) 具有 Word、Excel、PowerPoint 和 檔案總管 的使用者定義許可權: | 在 Word、Excel、PowerPoint 和 檔案總管 中可見 套用此標籤時: - HYOK 保護會套用至文件和電子郵件 |
在 Word、Excel 和 PowerPoint 中可見 套用此標籤時: - 未套用保護,如果先前由標籤套用保護,則會移除保護 [2] - 如果先前在標籤中獨立套用保護,則會保留該保護 |
在 Word、Excel 和 PowerPoint 中可見 套用此標籤時: - 未套用保護,如果先前由標籤套用保護,則會移除保護 [2] - 如果先前在標籤中獨立套用保護,則會保留該保護 |
HYOK (AD RMS) 具有 Outlook 的使用者定義權限: | Outlook 中可見 套用此標籤時: - 不要使用 HYOK 保護轉寄至電子郵件 |
Outlook 中可見 套用此標籤時: - 如果先前由標籤套用保護,則不會套用並移除 [2] - 如果先前在標籤中獨立套用保護,則會保留該保護 |
Outlook 中可見 套用此標籤時: - 如果先前由標籤套用保護,則不會套用並移除 [2] - 如果先前在標籤中獨立套用保護,則會保留 該保護 [1] |
腳注 1
在 Outlook 中,保護會保留一個例外狀況:當電子郵件受到僅限加密選項 (Encrypt) 保護時,會移除該保護。
腳注 2
如果使用者具有支援此動作的使用權或角色,則會移除保護:
如果用戶沒有其中一個許可權或角色,則不會套用標籤,並保留原始保護。
移轉 Azure 資訊保護 標籤
使用下列指示來移轉租使用者和 Azure 資訊保護 標籤,以使用統一卷標存放區。
您必須是合規性系統管理員、合規性數據管理員、安全性系統管理員或全域管理員,才能移轉您的標籤。
如果您尚未這麼做,請開啟新的瀏覽器視窗並登入 Azure 入口網站。 然後流覽至 [Azure 資訊保護] 窗格。
例如,在資源、服務和檔的搜尋方塊中:開始輸入資訊,然後選取 [Azure 資訊保護]。
從 [管理] 功能表選項中,選取 [統一標籤]。
在 [Azure 資訊保護 - 統一卷標] 窗格中,選取 [啟用],然後遵循在線指示。
如果無法使用啟用的選項,請檢查 統一標籤狀態:如果您看到 [已啟用],您的租使用者已使用統一卷標存放區,而且不需要移轉您的卷標。
對於成功移轉的標籤,現在可以供 支援統一標籤的客戶端和服務使用。 不過,您必須先在 Microsoft Purview 合規性入口網站 中發佈這些標籤。
重要
如果您在 Azure 入口網站 之外編輯標籤,則針對 Azure 資訊保護 用戶端(傳統版),返回此 Azure 資訊保護 - 統一卷標窗格,然後選取 [發佈]。
複製原則
移轉標籤之後,您可以選取複製原則的選項。 如果您選取此選項,則會使用原則設定來一次性複製原則,並將任何進階用戶端設定傳送至 Microsoft Purview 合規性入口網站。
成功複製的原則及其設定和標籤,然後會自動發佈至指派給 Azure 入口網站 中原則的使用者和群組。 請注意,針對全域原則,這表示所有使用者。 如果您尚未準備好在複製的原則中發佈已移轉的標籤,請在複製原則之後,從系統管理標籤中心的標籤原則中移除標籤。
在 Azure 資訊保護 - 統一卷標窗格上選取 [複製原則(預覽)] 選項之前,請注意下列事項:
在針對租使用者啟用統一標籤之前,無法使用 [ 複製原則][預覽] 選項。
您無法選擇性地選擇要複製的原則和設定。 系統會自動選取要複製的所有原則( 全域 原則和任何範圍原則),並複製所有支援作為卷標原則設定的設定。 如果您已經有同名的標籤原則,則會以 Azure 入口網站 中的原則設定覆寫。
某些進階用戶端設定不會複製,因為對於 Azure 資訊保護 統一卷標客戶端,這些設定支援為標籤進階設定,而不是原則設定。 您可以使用安全性與合規性 PowerShell 來設定這些標籤進階設定。 未複製的進階客戶端設定:
與標籤後續變更同步處理的標籤移轉不同, 複製原則 動作不會同步處理任何後續原則或原則設定的變更。 您可以在 Azure 入口網站 進行變更之後重複複製原則動作,而任何現有的原則及其設定都會再次覆寫。 或者,使用來自 Security & Compliance PowerShell 的 Set-LabelPolicy 或 Set-Label Cmdlet 搭配 Advanced 設定 參数。
複製 原則 動作會在複製每個原則之前驗證下列各項原則:
指派給原則的使用者和群組目前位於 Microsoft Entra ID 中。 如果遺失一或多個帳戶,則不會複製原則。 不會檢查群組成員資格。
全域原則包含至少一個標籤。 由於系統管理標籤中心不支援沒有標籤的標籤原則,因此不會複製不含標籤的全域原則。
如果您複製原則,然後從系統管理標籤中心刪除原則,請等候至少兩個小時,再再次使用 複製原則 動作,以確保刪除作業有足夠的時間進行複寫。
從 Azure 資訊保護 複製的原則名稱不相同,而是以前置詞命名為 AIP_。 原則名稱之後無法變更。
如需設定原則設定、進階用戶端設定,以及 Azure 資訊保護 統一卷標用戶端的標籤設定的詳細資訊,請參閱系統管理員指南中的 Azure 資訊保護 統一卷標用戶端自定義設定。
注意
Azure 資訊保護 目前支援複製原則處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
支援統一標籤的客戶端和服務
若要確認您使用的用戶端和服務是否支援統一標籤,請參閱其檔,以檢查是否可以使用從 Microsoft Purview 合規性入口網站 發佈的敏感度標籤。
目前支援統一標籤的用戶端包括
適用於 Windows 的 Azure 資訊保護 統一卷標用戶端。 如需詳細資訊,請參閱比較 Azure 資訊保護 和 MIP 內建標籤。
不同可用性階段的 Office 應用程式
如需詳細資訊,請參閱 Microsoft 365 合規性檔中應用程式的 敏感度標籤功能支援。
來自使用 Microsoft 資訊保護 SDK 的軟體廠商和開發人員的應用程式。
目前支援統一標籤的服務包括
Office Online 和 Outlook 網頁版
如需詳細資訊,請參閱 在 SharePoint 和 OneDrive 中啟用 Office 檔案的敏感度標籤。
Microsoft SharePoint、適用於公司或學校的 OneDrive、家用版 OneDrive、Teams 和 Microsoft 365 群組
如需詳細資訊,請參閱 使用敏感度標籤來保護 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站中的內容。
適用於雲端應用程式的 Microsoft Defender
此服務支援移轉至統一卷標存放區之前,以及移轉之後的標籤,使用下列邏輯:
如果 Microsoft Purview 合規性入口網站 具有敏感度標籤,則會從 Microsoft Purview 合規性入口網站 擷取這些標籤。 若要在 適用於雲端的 Microsoft Defender Apps 中選取這些標籤,至少必須發行一個標籤給至少一個使用者。
如果 Microsoft Purview 合規性入口網站 沒有敏感度標籤,則會從 Azure 入口網站 擷取 Azure 資訊保護 標籤。
來自使用 Microsoft 資訊保護 SDK 的軟體廠商和開發人員的服務。
移轉標籤之後要使用的管理入口網站
在移轉 Azure 入口網站 中的標籤之後,請視已安裝的用戶端而定,在下列其中一個位置繼續管理標籤:
用戶端 | 描述 |
---|---|
僅限統一標籤客戶端和服務 | 如果您只安裝統一卷標用戶端,請在 Microsoft Purview 合規性入口網站 中管理您的標籤,也就是統一卷標用戶端下載標籤及其原則設定的位置。 如需指示,請參閱 建立和設定敏感度標籤及其原則。 |
僅限傳統用戶端 | 如果您已移轉標籤,但仍已安裝傳統用戶端,請繼續使用 Azure 入口網站 來編輯標籤和原則設定。 傳統客戶端會繼續從 Azure 下載標籤和原則設定。 |
AIP 傳統客戶端 和 統一標籤 用戶端 | 如果您已安裝這兩個用戶端,請使用 Microsoft Purview 合規性入口網站 或 Azure 入口網站 進行標籤變更。 若要讓傳統客戶端挑選 Microsoft Purview 合規性入口網站 中所做的標籤變更,請返回 Azure 入口網站 加以發佈。 在 [Azure 入口網站 >Azure 資訊保護 - 統一卷標] 窗格中,選取 [發佈]。 繼續使用 Azure 入口網站 進行集中報告和掃描器。 |
下一步
客戶經驗小組的指引和秘訣:
- 部落格文章: 瞭解統一卷標移轉
關於敏感度標籤:
部署 AIP 統一標籤用戶端:
如果您尚未這麼做,請安裝 Azure 資訊保護 統一卷標用戶端。
如需詳細資訊,請參閱