如何使用有範圍的原則為特定使用者設定 Azure 資訊保護原則

當 Azure 資訊保護原則會下載到已安裝 Azure 資訊保護用戶端的電腦時，所有使用者都會取得預設原則中的設定和標籤，或是您為全域原則設定的變更。 如果您想要為特定使用者補充此設定，請使用不同的設定和標籤，您必須建立為這些使用者設定 的範圍原則 。

範圍原則的運作方式

針對支援 Azure 資訊保護用戶端的應用程式，所有使用者都會接收全域原則，其中包含資訊保護列標題和工具提示、全域設定和全域標籤。 如果您為特定使用者設定了有範圍的原則，這些使用者將會取得這些附加的設定和標籤。

請注意，除了支援 Azure 資訊保護用戶端的 Office 傳統型應用程式之外，PowerShell 及 Azure 資訊保護掃描器也支援標籤。 這表示您可以為執行 PowerShell 命令或掃描器的帳戶建立及設定限域原則。

有範圍的原則和標籤一樣，也會在 Azure 入口網站進行排序。 如果為一個使用者設定了多個範圍，則系統會為該使用者計算出有效的原則，以供下載。 根據原則的順序，會套用最後一個原則設定。 使用者會看到來自全域原則的標籤，使用者所屬之範圍原則中的任何其他標籤。

例外是當使用者從租用戶開啟已套用標籤的文件或電子郵件，而該使用者並未在標籤的範圍之內。 在此案例中，使用者會看到標籤集的名稱，但標籤不會顯示為可供選取。

由於有範圍的原則一律會繼承全域原則的標籤和設定，因此當您建立或編輯有範圍的原則時，將會顯示全域原則中的標籤。 不過，在編輯有範圍的原則時，您無法編輯全域原則中的標籤。 不過，您可以將子標籤新增至這些繼承的標籤。

例如，如果您的全域原則中有名為機密的標籤，所有使用者都會看到此標籤。 您無法使用限域原則將其移除或重新排序。 不過，您可以為行銷部門建立有範圍的原則，而將新的子標籤新增至「機密」，讓這些使用者能夠看到機密\促銷。 您也可以為銷售部門建立另一個有範圍的原則，而將新的子標籤新增至「機密」，讓這些使用者能夠看到機密\合作夥伴。 然後，您可以為這兩個子標籤進行不同的設定，讓子標籤只能由各自部門中的使用者檢視。

設定範圍原則

1. 如果您尚未啟動，請開啟新的瀏覽器視窗並登入 Azure 入口網站。 然後瀏覽至 [Azure 資訊保護] 窗格。

   例如，在資源、服務及文件的搜尋方塊中：開始輸入資訊，然後選取 [Azure 資訊保護]。

2. 從 [分類原則>]功能表選項：在[Azure 資訊保護 - 原則] 窗格中，選取 [新增原則]。 接著，您會看到 [原則 ] 窗格， 其中會顯示您現有的全域原則，您現在可以在其中設定新的範圍原則。

3. 指定 Azure 入口網站中只有管理員可看到的原則名稱和描述。 此名稱對於您的租用戶必須是唯一的。 然後選取 [指定哪些使用者/群組取得此原則]，然後在後續窗格中搜尋並選取此原則的使用者和群組。 您在此有範圍的原則中設定的標籤和設定，將只會對這些使用者套用。

   基於效能考量，系統會針對有範圍的原則快取群組成員資格。

   注意

   選取最多 200 個使用者或群組。 如果需要超過 200 位使用者才能取得範圍原則，請建立新的群組、將相關使用者新增至群組，然後將原則範圍設定為新的群組。

4. 現在新增標籤，或是設定有範圍的原則設定。 全域原則一律會先套用，因此，您可以用新的標籤補充全域原則，而且可以覆寫全域設定。 例如，全域原則可能未指定預設標籤，您可以針對特定部門在各個有範圍的原則中設定不同的預設標籤。

   如果您需要設定標籤或設定的協助，請使用 設定貴組織 原則一節中的連結。

5. 就像編輯全域原則一樣，當您在 [Azure 資訊保護] 窗格上進行任何變更時，按一下 [儲存] 以儲存變更，或按一下 [捨棄] 還原至最後一個儲存的設定。

6. 當您完成此範圍原則的變更之後，請在初始Azure 資訊保護 - 原則窗格上，確定此範圍原則符合您想要套用的順序。 當您在多個有範圍的原則中選取了相同的使用者時，這一點是很重要的。 若要變更順序，請選取快顯功能表 (...)，並選取 [上移] 或 [下移]。

每當支援的 Office 應用程式啟動或檔案總管開啟時，Azure 資訊保護用戶端都會檢查是否有任何變更。 用戶端會將變更下載到有範圍的原則或全域原則，以套用至該使用者。

後續步驟

如需如何自訂預設原則的範例，以及在 Office 應用程式中查看產生的行為，請嘗試編輯原則和建立新標籤教學課程。