當你建立敏感標籤時,可以限制該標籤將被套用的內容存取權限。 例如,使用敏感度標籤的加密設定,您可以保護內容,以便:
- 僅您組織內的使用者才能開啟機密文件或電子郵件。
- 僅行銷部門中的使用者才能編輯和列印促銷公告文件或電子郵件,而您組織中的所有其他使用者則只能讀取它。
- 使用者無法轉寄電子郵件,或從中複製包含內部組織相關消息的資訊。
- 在指定日期之後,無法開啟傳送給商業夥伴的目前價格清單。
- 只有發送會議邀請以啟動機密專案的人才能開啟會議邀請,且不能轉發給其他人。
當文件、電子郵件或會議邀請函被加密時,內容存取會受到限制,因此:
- 只有標籤加密設定授權的使用者才能將其解密。
- 即使檔案重新命名,無論其位於您組織內部或外部,仍會保持加密狀態。
- 同時進行靜態加密 (例如,在 OneDrive 帳戶中) 及傳輸中加密 (例如,周遊網際網路的電子郵件)。
最後,身為系統管理員的您,在設定一個敏感度標籤來套用加密時,可以選擇以下兩者之一:
- 立即指派權限,這樣您就能確實決定哪個使用者能夠存取該標籤的內容。
- 當使用者將標籤套用到內容時,讓使用者指派權限。 如此一來,您就可以讓組織中的人員靈活地共同作業並完成工作。
加密設定可在 Microsoft Purview 入口網站中 建立或編輯敏感標籤 時使用。
注意事項
Outlook 中的敏感性標籤可以套用 S/MIME 保護,而非來自 Azure 權利管理服務的加密與權限。 如需詳細資訊,請參閱在 Outlook 中設定標籤以套用 S/MIME 保護。
了解加密的運作方式
除非你使用 Outlook 的 S/MIME,否則透過敏感標籤加在文件、電子郵件和會議邀請上的加密,都使用 Azure Rights Management 服務 (Azure Microsoft Purview 資訊保護 的 RMS) 。 此保護解決方案使用加密、身分識別及授權原則。 欲了解更多,請參閱「什麼是 Azure 權利管理?」。
使用此加密解決方案時,超級使用者功能可確保獲授權的人員和服務一律可以讀取和檢查已為組織加密的資料。 如有需要,您可以接著將加密移除或變更。 欲了解更多資訊,請參閱「配置 Azure 權利管理超級使用者以進行發現服務或資料復原」。
重要事項
你也可以用敏感性標籤來對 Teams 會議的音訊和視訊串流套用加密,但這用的是不同的加密方式,而不是用來處理電子郵件、會議邀請和文件的 Azure 權利管理服務。 欲了解更多關於 Teams 會議加密的資訊,請參閱 Teams 安全指南中的 媒體加密 。
重要的先決條件
在您可以使用加密之前,您可能需要執行一些組態工作。 當您設定加密設定時,不會檢查是否符合這些先決條件。
啟用 Azure Rights Management
若要讓敏感性標籤套用加密並進行權利管理,必須為您的租戶啟用 Microsoft Purview 資訊保護的 Azure 權利管理服務。 在較新的租用戶中,這是預設設定,但您可能需要手動啟用該服務。 欲了解更多資訊,請參閱啟用 Azure 權利管理服務。
檢查網路需求
您可能需要對網路裝置 (例如防火牆) 進行一些變更。 詳情請參見 防火牆與網路基礎設施。
檢查你的 Microsoft Entra 設定
有些 Microsoft Entra 設定可以阻止授權存取加密內容。 例如,跨租戶存取設定和條件存取政策。 欲了解更多資訊,請參閱 Microsoft Entra 加密內容設定。
Configure Exchange for Azure Rights Management
使用者不必設定 Azure 權限管理,就能在 Outlook 中套用標籤加密郵件。 不過,在 Exchange 設定 Azure 權限管理之前,你無法透過權限管理獲得完整的加密功能。
例如,使用者無法在手機或 Outlook 網頁版上查看加密郵件或加密會議邀請,無法索引加密郵件以供搜尋,且無法設定 Exchange Online DLP 來保護權利管理。
為確保 Exchange 可支援這些額外案例:
- 針對 Exchange Online,請參閱 Exchange Online:IRM 設定的指示。
- 針對 Exchange 內部部署,您必須部署 RMS 連接器和設定您的 Exchange Server。
如何設定用於加密的標籤
請依照一般指示建立或編輯敏感性標籤,並確保該標籤的範圍選擇了Files &其他資料資產選項:
接著,在「 選擇你選擇的物品類型保護設定 」頁面,確保選擇 「控制存取權」。
在 存取控制 頁面,請選擇以下選項之一:
如果已經套用在項目上,請移除存取控制設定:當你選擇這個選項時,套用標籤會移除現有的加密,即使它是獨立於敏感標籤套用的。
重要的是要了解,此設定可能導致敏感性標籤,使用者在權限不足以解除現有加密時無法套用。 如需有關此案例的詳細資訊,請參閱套用標籤時,現有的加密會發生什麼情況小節。
設定存取控制設定:啟用權限管理加密,並顯示以下設定:
在下列設定加密設定一節中可以取得這些設定的指示。
編輯標籤以重新套用加密或更改現有加密設定
常見的部署策略是先設定不套用加密的敏感標籤,之後再編輯部分現有標籤來套用加密。 當標籤變更 到你的應用程式時,你編輯的標籤會對新標籤的項目套用加密。
在 SharePoint 和 OneDrive 中存取的檔案,當你 啟用 SharePoint 和 OneDrive 的敏感度標籤後, 檔案的新加密狀態會在下一次存取時自動改變。 例如,它們可以在 Office 網頁版中開啟,或是下載。 不需要撕掉標籤再重新貼上。 例如,先前未加密的檔案會被加密。
其他已經有標籤的項目,除非你移除標籤再重新套用,否則它們會保留先前的加密狀態。 例如,在將敏感標籤改為套用加密後,當你在 Office Desktop 或 Office Mobile 開啟先前有標籤且未加密的文件或電子郵件時,這些項目仍保持未加密,除非你移除標籤並重新套用。 同樣地,如果你更改敏感標籤設定不套用加密 (移除存取控制) 選項,這些項目仍保持加密,除非你移除標籤並重新套用。
對於已經標示為加密且有「立即指派權限」選項的項目,當你更改使用者或權限的加密設定時,當使用者透過加密服務認證時,新的設定會套用到現有的項目上。 大多數情況下,不需要拆除標籤再重新貼上。 然而,如果使用者已經開啟加密文件或電子郵件,他們將無法取得新的設定,直到使用授權到期且必須重新驗證。 關於此情境的更多資訊,請參閱相關 常見問題 ,了解加密的運作方式。
每當你更改讓使用者分配權限的加密選項時,這個變更只會適用於新標籤或重新標籤的項目。 例如:
- 你現在把標籤從「權限分配」改成讓使用者分配權限,或者反過來
- 你可以把標籤從「請勿轉發」改成「僅加密」,或反過來
套用標籤時,現有的加密會發生什麼情況
如果對未加密的內容加上敏感標籤,你所選擇的加密選項結果不言自明。 例如,如果你沒有選擇 控制存取,內容就會保持未加密狀態。
不過,內容可能已加密。 例如,其他使用者可能已套用:
- 他們自己的權限,包括在標籤提示時的使用者自訂權限、Microsoft Purview 資訊保護客戶端的自訂權限,以及 Office 應用程式內的受限存取文件保護。
- 一個獨立於標籤加密內容的權利管理範本。 此類別包括使用版權保護來套用加密的郵件流程規則。
- 以系統管理員指派的權限套用加密的標籤。
下表說明對該內容套用敏感度標籤時,現有的加密會發生的情況:
| 加密:未選取 | 加密:已設定 | 加密:移除 | |
|---|---|---|---|
| 使用者指定的權限 | 原始加密已移除 | 新標籤加密已套用 | 原始加密已移除 |
| 權利管理範本 | 原始加密已保留 | 新標籤加密已套用 | 原始加密已移除 |
| 具有系統管理員定義權限的標籤 | 原始加密已移除 | 新標籤加密已套用 | 原始加密已移除 |
在套用新標籤加密或移除原始加密的情況下,只有在套用標籤的使用者有支援此動作的使用權利或角色時,才會發生這種情況:
- 使用權限匯出或完全控制。
- Rights Management 簽發者或 Rights Management 擁有者的角色,或超級使用者。
如果使用者沒有這些權限或角色中的一個,就無法套用標籤,因此會保留原始加密。 使用者會看到下列訊息:您沒有對敏感度標籤進行變更所需的權限。請連絡內容的擁有者。
例如,對電子郵件訊息套用 [不可轉寄] 的人員,可以將該對話重新標籤,以取代加密或加以移除,因為他們是該電子郵件的 Rights Management 擁有者。 但除了超級使用者之外,此電子郵件的收件者無法重新指派標籤,因為他們沒有所需的使用權限。
加密電子郵件與會議邀請的 Email 附件
當電子郵件訊息或會議邀請以任何方式加密時,任何附加在該郵件或邀請函上的未加密 Office 文件都會自動繼承相同的加密設定。 例如,你無法透過設定或 標籤範圍來關閉這種加密繼承。
電子郵件或會議邀請中的任何敏感標籤不會被附件繼承,但當同一租戶的使用者開啟文件時,可能會自動套用。 欲了解更多資訊,請參閱 文件的加密標籤匹配。
已加密然後新增為附件的文件,一律會保留其原始加密。
設定加密設定
當您在存取控制頁面選擇「配置存取控制設定」以建立或編輯敏感標籤時,請選擇以下選項之一:
- 立即指派權限,這樣您就能決定哪些使用者確切能取得已套用標籤內容的權限。 如需詳細資訊,請參閱下一節的立即指派權限。
- 當使用者將標籤套用到內容時,讓使用者指派權限。 利用此選項,您就可以讓組織中的人員靈活地共同作業並完成工作。 如需詳細資訊,請本頁的讓使用者指派權限章節。
例如,如果您有一個名為 [高度機密] 的敏感度標籤,該標籤將套用至最敏感的內容,則您可能會希望立即決定誰能取得該內容的何種權限。
或者,如果您有一個名為 [商業合約] 的敏感度標籤,並且貴組織的工作流程要求人員非計劃性地與不同人員共同處理此內容,則您可能會希望讓使用者在指派標籤時決定可取得權限的人員。 這種靈活性既可以幫助您提高使用者的工作效率,又可以減少管理員更新或建立新敏感度標籤以滿足特定案例的要求。
選擇 [立即指派權限] 或 [讓使用者指派權限]:
立即指派權限
請使用以下選項控制誰可以存取電子郵件、會議邀請 ((若) 啟用),或是該標籤所適用的文件。 您可以:
允許標籤內容的存取權在特定日期或標籤生效後的指定天數後過期。 超過這個時間,使用者將無法打開標示的商品。 如果你指定日期,則在你當前時區的午夜生效。 有些電子郵件用戶端可能無法強制執行過期,而是顯示過期郵件,這是因為他們的快取機制。
永不、永遠,或在標籤套用後的特定天數允許離線存取。 使用此設定來平衡您擁有的任何安全性需求,以及當使用者沒有網際網路連線時開啟加密內容的能力。 如果您將離線存取限制為永不或天數,達到該閾值時,必須重新驗證使用者且會記錄其存取權。 如需此流程運作方式的資訊,請參閱下列 Rights Management 使用權限相關章節。
加密內容的存取控制設定:
到期和離線存取設定的建議:
| 設定 | 建議的設定 |
|---|---|
| 使用者存取內容的期限 | 除非內容有特定的時間繫結需求,否則永不。 |
| 允許離線存取。 | 取決於內容的敏感度: 對於與未經授權的人員共用即可能會造成企業損害的機密商業資料,- 只提供數天 = 7。 此建議提供在彈性和安全性之間權衡後的妥協方案。 範例包括合約、安全性報告、預測摘要和銷售帳戶資料。 - 當標籤設定為動態浮水印或任何非常敏感的商業資料,若被未經授權的人分享會損害業務時,絕不會用。 此建議將優先處理安全性而非彈性,並確保在您移除一或多個使用者對文件的存取權時,他們將無法開啟該文件。 範例包括員工和客戶資訊、密碼、原始程式碼,以及預先發佈的財務報告。 - 一律適用於使用者在移除存取權且先前已開啟加密內容之後,可以繼續開啟加密內容達 30 天 (或租用戶的已設定使用授權有效期間) 都沒關係的較不敏感內容。 |
只有為指派權限而進行設定的標籤,現在支援不同的離線存取值。 讓使用者指派權限的標籤會自動使用租用戶的 Rights Management 使用授權有效期間。 例如,針對 [不可轉寄]、[僅加密] 所設定,並提示使用者指定自身權限的標籤。 此設定的預設值為 30 天。
用於離線存取的 Rights Management 使用授權
注意事項
雖然您可以設定加密設定以允許離線存取,但某些應用程式可能不支援加密內容的離線存取。 例如,如果您離線,將不會開啟 Power BI Desktop中已加上標籤和加密的檔案。
當使用者打開一個由 Azure 權利管理服務加密保護的項目時,該內容會獲得 Azure 權利管理使用授權。 使用授權是一項憑證,其中包含使用者對於文件或電子郵件使用權限,以及用來加密內容的加密金鑰。 如果已設定,則使用授權也會包含到期日,以及該使用授權的有效期。
若未設定有效期限,租戶的預設使用許可有效期為30天。 在使用授權期間,使用者不會被重新認證或重新授權內容。 此過程允許使用者在沒有網路連線的情況下繼續開啟受保護的文件或電子郵件。 當使用授權有效期屆滿後,下次使用者存取受保護的文件或電子郵件時,必須重新驗證並重新授權。
除了重新驗證外,還會重新評估原則和使用者群組成員資格。 這表示如果加密設定或群組成員身份與上次存取內容時有變動,使用者可能會遇到不同的存取結果。
若要了解如何變更預設的 30 天設定,請參閱 Rights Management 使用授權。
將權限指派給特定使用者或群組
您可以將權限授與特定人員,以便只有他們可與標籤內容互動:
首先,新增將獲指派標籤內容之權限的使用者或群組。
接著,選擇那些使用者應對標籤內容具有的權限。
指派權限:
新增使用者或群組
指派權限時,您可以選擇:
你組織裡的每個人都 (所有租戶成員) 。 此設定排除訪客帳號。
任何已驗證的使用者。 選取此選項之前,請先確認您了解此設定的需求與限制。
Microsoft Entra ID 中任何特定啟用的使用者或電子郵件安全群組、分發群組,或 Microsoft 365 群組。 Microsoft 365 群組可以有靜態或動態的成員資格 (部分機器翻譯)。 你無法使用Exchange的動態分發群組,因為這個群組類型沒有同步到Microsoft Entra ID。 您也可以使用未啟用電子郵件功能的安全性群組。
雖然您可以指定包含郵件連絡人的群組,以作為方便將存取權授與組織外部多人的方法,但此設定目前有已知問題。 如需詳細資訊,請參閱 群組中的郵件連絡人具有加密內容的間歇性存取權。
任何電子郵件地址或網域。 使用此選項,輸入該組織的任何網域名稱,即可指定其他組織中所有使用 Microsoft Entra ID 的使用者。 您也可以針對社交提供者使用此選項,方法是輸入其網域名稱,例如 gmail.com、hotmail.com 或 outlook.com。
注意事項
如果你指定了使用 Microsoft Entra ID 的組織的網域,你就無法限制該特定網域的存取權限。 相反地,Microsoft Entra ID 中所有已驗證的網域都會自動包含在擁有你指定網域名稱的租戶中。
當您選擇組織中的所有使用者和群組,或流覽目錄時,使用者或群組必須有電子郵件地址。
作為最佳實務,使用群組而非使用者。 這種策略讓你的配置更簡單。
「新增任何已驗證使用者」的需求與限制
此設定不會限制能夠存取標籤所加密內容的人員,同時仍會加密內容,並提供限制內容使用方式 (權限) 和存取方式 (到期和離線存取) 的選項。 不過,開啟加密內容的應用程式必須能夠支援所使用的驗證。 因此,像 Google 這類聯邦社交服務提供者和一次性密碼驗證,僅適用於電子郵件和會議邀請,且僅在使用 Exchange Online 時使用。 Microsoft 帳號可搭配 Office 365 應用程式及 Microsoft Purview 資訊保護檢視器使用。
注意事項
當 SharePoint 和 OneDrive 的 Office 檔案啟用敏感度標籤時,可以考慮搭配 SharePoint 和 OneDrive 與 Microsoft Entra B2B 整合使用此設定。
任何已驗證使用者設定的某些典型案例如下:
- 您不在意檢視內容的是誰,但想要限制其使用方式。 例如,您不希望編輯、複製或列印內容。
- 您不需要限制存取內容的是誰,但想要能夠確認誰開啟了該內容。
- 您必須將靜態內容和在傳輸中的內容加密,但不要求存取控制。
選擇權限
當您選擇要對那些使用者或群組允許的權限時,您可以選取下列任一項:
- 預設權限 層級 ,並設定一組權限,例如編輯器或受限編輯器。
- 自訂權限,您可在此選擇一或多個使用權限。
如需可協助您選取適當權限的詳細資訊,請參閱使用權限和描述。
請注意,同一個標籤可能會授予不同使用者不同的權限。 例如,單一標籤可以將部分使用者指定為受限編輯器,另一位使用者為擁有者,如下圖所示。
要做到這點,請新增使用者或群組,分配權限,並儲存這些設定。 然後重複這些步驟,新增使用者並分配權限,每次都保存設定。 你可以根據需要重複這個設定,為不同使用者定義不同的權限。
Rights Management 簽發者 (套用敏感度標籤的使用者) 一律具有完全控制權
預設情況下,敏感標籤的加密會使用 Microsoft Purview 資訊保護的 Azure 權利管理服務。 當使用者套用敏感度標籤以使用加密保護文件或電子郵件時,該使用者就會變成該內容的版權管理簽發者。
版權管理簽發者一律會被授與文件或電子郵件的完全控制權限,此外:
- 如果加密設定包括到期日,則 Rights Management 簽發者仍然可在該日期之後開啟和編輯文件或電子郵件。
- Rights Management 簽發者一律可以離線存取文件或電子郵件。
- Rights Management 簽發者仍可以開啟撤銷後的文件。
如需詳細資訊,請參閱 Rights Management 簽發者和 Rights Management 擁有者。
動態浮水印
利用 功能表 和 動態浮水印的列,找出所需的 Office 應用程式最小版本。
當使用者存取帶有此敏感標籤的檔案時,預設情況下,他們的通用主體名稱 (UPN) 會動態地以浮水印形式插入檔案的每一頁。 通常,使用者的 UPN 與電子郵件地址相同。 如果你選擇 自訂文字 (可選) ,你可以指定一個支援包含日期和時間的自訂字串。
這個浮水印在裝置上瀏覽時非常明顯,列印時會持續存在,但匯出時則不然。 這種浮水印比標籤的標準內容標記更安全,因為使用者無法輕易手動移除或更改。
當使用者重新標籤文件時,該浮水印會被移除,該標籤會選擇敏感度標籤以套用不同的動態浮水印,或是不使用動態浮水印。 然而,與所有加密內容一樣,使用者必須擁有「匯出」或「完全控制」 的使用權 ,才能解除現有的加密。
此保護性浮水印僅支援施加加密的敏感標籤,我們也建議將「 允許離線存取 」加密選項設為 「永不」。 與其他加密設定一樣,動態浮水印支援跨租戶使用。 用它來處理你最敏感的文件,作為視覺上的威懾,防止開啟文件的人截圖。 不過,請注意以下幾點。
在 Office 中尚未支援動態浮水印的限制,導致文件開啟時未套用浮水印:
- Outlook 附件的檔案預覽
- Microsoft Teams 中的 PowerPoint Live
除非開啟文件符合上述例外,否則開啟帶有標籤的文件並套用動態浮水印,必須滿足以下其中一項為真:
使用者是權利管理的擁有者,這通常意味著他們自己套用了標籤。 如需詳細資訊,請參閱 Rights Management 簽發者和 Rights Management 擁有者。
使用者會用一個能理解動態浮水印的應用程式開啟文件。 使用 功能表 和 動態浮水印 列來確認支援的版本。
使用者在 Office 網頁版中開啟文件。
如果使用者在 Office 應用程式中開啟文件時,這些條件都不符合,且這些條件又不在列出的例外中,文件就無法開啟。 在使用這個標籤設定之前,務必了解這個限制。
注意
除了上述限制外,Microsoft Office 應用程式若不支援動態浮水印,則會拒絕存取,若支援則強制使用動態浮水印。
先前標示文件的注意事項:
和所有更改的加密設定一樣,新設定的動態浮水印不會在你已經擁有有效 Rights Management 使用授權 時立即套用。 使用授權到期後,你必須重新驗證到 Azure 權利管理服務才能開啟文件,然後才會套用動態浮水印設定。
如果敏感標籤先前已將標準浮水印作為內容標記,則無法自動偵測與解析。
雙重金鑰加密
注意事項
內建標記時,利用 能力表 及 DKE) 的雙金鑰加密 列來識別所需的最小版本 (。
只有在您設定雙重金鑰加密服務後,且您需要對將套用此標籤的檔案和電子郵件使用此雙鍵加密後,才選擇雙 重金鑰加密 標籤選項。 標籤設定並儲存後,你就無法再編輯它。
如需詳細資訊、先決條件及設定指示,請參閱雙金鑰加密 (DKE)。
讓使用者指派權限
重要事項
並非所有的標籤用戶端都支援讓使用者自行指派權限的所有選項。 使用本章節深入瞭解。
這些通常稱為「使用者自訂權限」,你可以使用以下選項,讓使用者在手動為內容套用敏感度標籤時分配權限:
在 Outlook 中,使用者可以針對所選的收件者選取等同於 [不可轉寄] 選項或 [僅加密] 的限制。
所有支援敏感度標籤的電子郵件用戶端都支援 [不可轉寄] 選項。 不過,僅 加密 選項搭配敏感標籤則是較新的版本。 對於不支援此功能的電子郵件用戶端,將不會顯示標籤。
若要檢查使用內建標籤的 Outlook 應用程式最小版本,以支援透過敏感度標籤套用僅加密選項,請使用 Outlook 的功能表格 和 [讓使用者指派權限:- 僅加密] 列。
在 Word、PowerPoint 和 Excel 中,除非標籤設定以擴展 SharePoint 文件庫的權限,否則使用者會被提示為特定使用者、群組或組織選擇自己的權限。
對於不支援此功能的 Office 應用程式,標籤要麼對使用者看不到,要麼為了保持一致性而顯示標籤,但無法附上說明訊息給使用者。
要查詢哪些 Office 應用程式支援此選項,請使用Word、Excel和PowerPoint的功能表,以及讓使用者分配權限的列。
注意事項
如果標籤範圍排除了電子郵件 ((請勿轉寄)和僅加密的) ,或排除 Word、PowerPoint 和 Excel) 中提示使用者的檔案 (,你將無法使用這些設定。 欲了解更多資訊,請參閱 「僅限檔案或電子郵件的範圍標籤」。
支援這些選項時,請使用下表來識別使用者何時可看到敏感度標籤:
| 設定 | 標籤在 Outlook 中顯示 | 標籤在 Word、Excel、PowerPoint 中顯示 |
|---|---|---|
| 在 Outlook 中,強制執行限制 [不可轉寄] 或 [僅加密] 選項 | 是 | 否 |
| 在 Word、PowerPoint 與 Excel 中提示使用者指定權限 | 否 | 是 |
同時選取這兩個設定時,標籤會因此同時在 Outlook 和 Word、Excel 和 PowerPoint 中顯示。
可以推薦一個敏感性標籤,讓使用者分配權限,但只能自動套用給「請勿轉發」和「Encrypt-Only」選項。
設定使用者指派的權限:
Outlook 限制
在 Outlook 中,當使用者套用的敏感標籤可允許他們指派郵件的權限時,您可選擇 [不可轉寄] 選項或 [僅加密]。 使用者會在郵件頂端看到標籤名稱和描述,指出內容已受到保護。 與 Word、PowerPoint 和 Excel 不同的是 (請參閱下一節),使用者不會收到選取特定權限的提示。 在此配置中,管理員控制權限,但不控制誰有權限。
當其中一個選項套用至電子郵件時,電子郵件會加密且收件者必須經過驗證。 然後,收件者會自動擁有受限的使用權利:
不可轉寄:收件者無法轉寄、列印或複製電子郵件。 例如,在 Outlook 用戶端中,無法使用 [轉寄] 按鈕、[另存新檔] 和 [列印] 功能表選項,且您無法在 [收件人]、[副本] 或 [密件副本] 方塊中新增或變更收件者。
若需更多資訊說明此選項運作的方式,請參閱電子郵件的不可轉寄選項。
僅加密:收件者擁有除了另存新檔、匯出及完全控制以外的所有使用權利。 此使用權利的組合表示除非收件者無法移除保護,否則沒有限制。 例如,收件者可以從電子郵件複製、列印,然後轉寄。
若需更多資訊說明此選項運作的方式,請參閱電子郵件的僅加密選項。
附在電子郵件或會議邀請函上的未加密 Office 文件會自動繼承相同的限制。 針對 [不可轉寄],套用至這些文件的使用權限是 [編輯內容]、[編輯];[儲存];[檢視]、[開啟]、[讀取];和 [允許巨集]。 如果使用者想要對附件擁有不同的使用權限,或該附件不是支援這種繼承保護的 Office 文件,使用者需要先加密檔案,才能附加到電子郵件或會議邀請函。
Word、PowerPoint 和 Excel 權限
在 Word、PowerPoint 和 Excel 中,當使用者套用可讓他們對文件指派權限的敏感度標籤時,系統會提示他們指定套用加密時的所選使用者和權限。 在此設定中,使用者而非管理員控制誰能存取文件,以及他們擁有哪些權限。
支援全組織自訂權限
在 Windows 內建標籤功能中,使用者在被要求指定使用者選擇與權限時,還能指定網域名稱。 當輸入網域名稱時,權限會套用給擁有該網域且該網域在 Microsoft Entra ID 中的組織中的所有使用者。 要識別支援此設定的最小版本,請使用 能力表 及「 讓使用者指派權限」列:- 提示使用者自訂權限 (使用者、群組與組織) 。
注意事項
顯示的對話框在最新版本的 Office 應用程式中會更新,但當輸入網域名稱時,組織範圍內的自訂權限支援仍然存在。 有關此支援的資訊已包含在彈出資訊框中。
例如,使用者輸入 @contoso.com (或 contoso.com) 並授予讀取權限。 由於 Contoso 公司擁有 contoso.com 網域,該網域內的所有使用者以及該組織在Microsoft Entra ID擁有的其他網域內的使用者都將獲得讀取權限。
注意事項
當你指定這些數值時,不要用引號包圍它們。
請務必讓使用者知道存取權不僅限於指定網域中的使用者。 例如,@sales.contoso.com 不會只限制銷售子網域的使用者存取,還會授權 marketing.contoso.com 網域的使用者,甚至同一Microsoft Entra租戶中命名空間不相連的使用者。
加密設定的範例組態
以下每個範例,請在選擇「配置存取控制設定」選項時,從存取控制頁面進行設定:
範例 1:套用 [不可轉寄] 標籤,以傳送加密的電子郵件傳送至 Gmail 帳戶
此標籤只會在 Outlook 和 Outlook 網頁版中顯示,因此您必須使用 Exchange Online。 當使用者需要傳送加密的電子郵件給使用 Gmail 帳戶 (或您組織外部的任何其他電子郵件帳戶)的人員時,指示使用者選取此標籤。
您的使用者在 [收件者] 方塊中輸入 Gmail 電子郵件地址。 然後選取標籤,而 [不可轉寄] 選項會自動新增至電子郵件中。 結果會是收件者無法轉寄電子郵件、或列印、複製其內容,或使用 [另存新檔] 選項將電子郵件儲存在信箱外部。
在 存取控制 頁面:現在 指派權限還是讓使用者自行決定? 選擇 讓使用者在套用標籤時分配權限。
選取核取方塊:[在 Outlook 中,強制限制等於 [不可轉寄] 選項]。
如果已選取,請清除此核取方塊:[在 Word、PowerPoint 與 Excel 中提示使用者指定權限]。
選取 [下一步] 並完成設定。
範例 2:會對其他組織中的所有使用者限制唯讀權限的標籤
此標籤適用於以唯讀方式共用的非常敏感文件,以及一律需要網際網路連線才能檢視的文件。
此標籤不適合用於電子郵件。
在 *存取控制 頁面:立即 分配權限還是讓使用者自行決定? 選擇 立即分配權限。
針對 [允許離線存取],選取 [從不]。
選取 [指派權限]。
在 [指派權限] 窗格中,選取 [新增特定電子郵件地址或網域]。
在文字方塊中,輸入來自另一個組織的網域名稱,例如,fabrikam.com。 然後選取 [新增]。
選取 [選擇許可權]。
在 [選擇權限] 窗格中,選取下拉式方塊,選取 [檢視器],然後選取 [儲存]。
回到 [指派權限] 窗格,選取 [儲存]。
在 存取控制 頁面,選擇 「下一步 」並完成設定。
範例 3:將外部使用者新增至可加密內容的現有標籤
您新增的新使用者將能夠開啟已使用此標籤保護的文件和電子郵件。 您授與這些使用者的權限可以與現有使用者所擁有的權限不同。
在 存取控制 頁面:立即 分配權限還是讓使用者自行決定? 請確定已選擇 「立即分配權限 」。
選取 [指派權限]。
在 [指派權限] 窗格中,選取 [新增特定電子郵件地址或網域]。
在文字方塊中,輸入要新增的第一個使用者 (或群組) 的電子郵件地址,然後選取 [新增]。
選取 [選擇許可權]。
在 [選擇權限] 窗格中,選取此使用者 (或群組) 的權限,然後選取 [儲存]。
回到 [指派權限] 窗格,針對您要新增至此標籤的每個使用者 (或群組) 重複步驟 3 到 6。 然後按一下 [儲存]。
在 存取控制 頁面,選擇 「下一步 」並完成設定。
範例 4:加密內容但不會限制能夠存取內容人員的標籤
此組態的優點在於您不需要指定使用者、群組或網域來加密電子郵件或文件。 內容仍會加密,您仍然可以指定使用權限、到期日期和離線存取。
僅當您不需要限制能開啟受保護文件或電子郵件的人員時,才使用此組態。 請參閱 有關此設定的詳細資訊。
在 存取控制 頁面:立即 分配權限還是讓使用者自行決定? 請確定已選擇 「立即分配權限 」。
視需要設定 [使用者存取內容的期限] 和 [允許離線存取] 設定。
選取 [指派權限]。
在 [指派權限] 窗格中,選取 [新增所有經過驗證的使用者]。
針對 [使用者和群組],您會看到 [授權的使用者] 已自動新增。 您無法變更此值,只能刪除它,這會取消 [新增所有經過驗證的使用者] 選取範圍。
選取 [選擇許可權]。
在 [選擇權限] 窗格中,選取下拉式方塊,選取您要的權限,然後選取 [儲存]。
回到 [指派權限] 窗格,選取 [儲存]。
在 存取控制 頁面,選擇 「下一步 」並完成設定。
加密內容的考量事項
加密您最機密的文件和電子郵件,可協助確保只有獲授權的人員可以存取此資料。 不過,有一些事項需要納入考量:
如果您與組織外部人員共用加密文件,您可能需要建立來賓帳戶並修改條件式存取原則。 如需詳細資訊,請參閱 與外部使用者共用加密文件。
當授權使用者開啟其 Office 應用程式中的加密文件時, 他們會在應用程式頂端的黃色訊息列看到標籤名稱和描述。 當加密權限延伸至組織外部人員時, 請仔細檢視開啟文件時, 將會顯示在此訊息列的標籤名稱和描述。
若要讓多位使用者同時編輯加密的檔案,他們必須全部使用 Office 網頁版,或為使用敏感度標籤加密的檔案啟用共同撰寫,而且所有使用者都擁有支援此功能的 Office 應用程式。 如果未這麼做,而且檔案已經開啟:
- 在 Office 應用程式 (Windows、Mac、Android 和 iOS) 中,使用者會看到 [檔案使用中] 訊息,其中包含已簽出檔案的人員名稱。 然後,他們可以檢視唯讀複本,或儲存並編輯檔案的複本,並在檔案可用時收到通知。
- 在 Office 網頁版中,使用者會看到錯誤訊息,指出他們無法與其他人一起編輯該文件。 然後他們可以選取 [在閱讀檢視中開啟]。
若尚未對 使用敏感度標籤加密的檔案啟用共同撰寫,自動儲存功能也會隨之對 Windows 版和 Mac 版的加密檔案停用。 使用者會看到一則訊息,指出檔案具有必須移除的權限限制,之後才可以開啟「自動儲存」。
Windows 版 Office 支援在使用者未連線到網際網路時套用加密的標籤。 但對於其他平台 (macOS,iOS Android) 而言,使用者必須在線上,才能在Office 應用程式中套用這些標籤。 Microsoft Purview 資訊保護用戶端也必須在線,才能在檔案總管和 PowerShell 中套用這些標籤。 使用者不需要在線上以開啟加密的內容。 如需關於離線存取的詳細資訊, 請參閱用於離線存取的 Rights Management 使用授權章節。
在 Office 應用程式 (Windows、Mac、Android 和 iOS) 中開啟加密的檔案可能需要較長的時間才能開啟。
如果在 SharePoint 中簽出檔案時使用 Office 應用程式新增了套用了加密標籤,然後使用者放弃了簽出,則檔案將保持標記和加密狀態。
除非你啟用了對 帶有敏感標籤加密檔案的共同作者功能,否則以下加密檔案的操作在 Windows、Mac、Android 和 iOS) (Office 應用程式中不支援,使用者會看到錯誤訊息表示出錯。 不過,您可以使用 SharePoint 功能做為替代:
- 檢視、還原和儲存舊版的複本。 作為替代方案,使用者可透過 Office 網頁版啟用並設定清單或函式庫的版本控制來執行這些操作。
- 變更檔案的名稱或位置。 或者,使用者可以在 SharePoint 中重新命名文件庫中的檔案、資料夾或連結。
若要獲得使用敏感度標籤加密之檔案的最佳共同作業體驗,建議您為 SharePoint 和 OneDrive 中的 Office 檔案中使用敏感度標籤和 Office 網頁版。
後續步驟
需要與組織外的人員共用您的已套用標籤且加密之文件嗎? 請參閱與外部用戶共用加密文件。
若要使用敏感度標籤來加密 Teams 會議的視訊與音訊串流,請參見 使用敏感度標籤保護行事曆項目、Teams 會議及聊天。