使用敏感度標籤控制對 Microsoft Entra ID 中的外部資源存取
使用敏感度標籤可協助控制對 Office 365 應用程式及容器 (例如 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站) 中內容的存取。 它們會保護內容,而不會妨礙使用者共同作業。 使用敏感度標籤在裝置、應用程式和服務之間傳送整個組織的內容,同時保護資料。 敏感度標籤可協助組織符合合規性和安全性原則。
深入了解敏感度標籤
開始之前
本文是一系列 10 篇文章中的第 8 篇文章。 建議您依序檢閱文章。 移至後續步驟一節,以查看整個系列。
指派分類並強制執行保護設定
您可以分類內容而不新增任何保護設定。 內容分類指派在使用和共用內容時會與內容保持一起。 分類會產生具有敏感性內容活動資料的使用量報告。
強制執行保護設定,例如加密、浮水印和存取限制。 例如,使用者會將保密標籤套用至文件或電子郵件。 標籤可以加密內容,並新增保密浮水印。 此外,您可以將敏感度標籤套用至容器 (例如 SharePoint 網站),並協助管理外部使用者存取。
深入了解:
容器上的敏感度標籤可以限制對容器的存取,但容器中的內容不會繼承標籤。 例如,使用者可以從受保護的網站取得內容、下載內容,然後在不受限制的情況下共用,除非內容有敏感度標籤。
注意
若要套用敏感度標籤,使用者要登入其 Microsoft 公司或學校帳戶。
建立和管理敏感度等級的權限
需要建立敏感度標籤的小組成員需要下列權限:
- Microsoft 365 Defender 入口網站,
- Microsoft Purview 合規性入口網站,或
- Microsoft Purview 合規性入口網站
根據預設,全域管理員具有系統管理中心的存取權,而且可以提供存取權,而不需要授與租用戶系統管理員權限。 針對此委派的受限系統管理員存取權,請將使用者新增至下列角色群組:
- 合規性資料系統管理員,
- 合規性系統管理員,或
- 安全性系統管理員
敏感度標籤策略
當您規劃治理對內容的外部存取時,請考慮內容、容器、電子郵件等等。
高、中或低業務衝擊
若要定義資料、網站和群組的高業務衝擊 (HBI)、中業務衝擊 (MBI) 或低業務衝擊 (LBI),如果共用錯誤的內容類型,請考慮對貴組織的影響。
- 信用卡、護照、國家/地區識別碼
- 公司人員所建立的內容:合規性、財務、主管等。
- 程式庫或網站中的策略性或財務資料。
請考慮外部使用者無法存取的內容類別,例如容器和加密的內容。 您可以使用敏感度標籤、強制執行加密或使用容器存取限制。
電子郵件和內容
敏感度標籤可以自動或手動套用至內容。
電子郵件和內容上的敏感度標籤
文件或電子郵件中的敏感度標籤是可自訂、純文字和持續性。
- 可自訂 - 為您的組織建立標籤,並決定產生的動作
- 純文字 - 會併入中繼資料,並且可由應用程式和服務讀取
- 持續性 - 確保標籤和相關聯保護與內容保持一起,並協助強制執行原則
注意
每個內容項目只能套用一個敏感度標籤。
容器
如果 Microsoft 365 群組、Teams 或 SharePoint 網站受限於敏感度標籤,請判斷存取準則。 您可以在容器中為內容加上標籤,或在 SharePoint、OneDrive 等工具中為檔案使用自動標籤。
深入了解:開始使用敏感度標籤
容器上的敏感度標籤
您可以將敏感度標籤套用至容器,例如 Microsoft 365 群組、Microsoft Teams 和 SharePoint 網站。 支援容器上的敏感度標籤會將分類和保護設定套用至連線的網站或群組。 這些容器上的敏感度標籤可以控制:
隱私權 - 選取可以看到網站的使用者
外部使用者存取 - 決定群組擁有者是否可以將來賓新增至群組
從非受控裝置存取 - 決定非受控裝置是否可以存取內容及其方式
套用至容器 (例如 SharePoint 網站) 的敏感度標籤不會套用至容器中的內容;它們會控制容器中內容的存取權。 標籤可以自動套用至容器中的內容。 針對手動將標籤套用至內容的使用者,對 SharePoint 和 OneDrive 中的 Office 檔案啟用敏感度標籤。
深入了解:
- 對 SharePoint 和 OneDrive 中的 Office 檔案啟用敏感度標籤。
- 使用敏感度標籤來保護 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站中的內容
- 將敏感度標籤指派給 Microsoft Entra ID 中的 Microsoft 365 群組
實作敏感度標籤
決定使用敏感度標籤之後,請參閱下列文件以進行實作。
下一步
使用以下一系列文章來了解如何保護資源的外部存取。 建議您遵循列出的順序。