Microsoft 365 安全性与合规性许可指南
。
从 Microsoft Purview 门户或 Microsoft Purview 合规性门户
发布
敏感度标签后,它们将开始显示在 Office 应用中,以便用户在创建或编辑数据时对其进行分类和保护。
使用本文中的信息可帮助你成功管理 Office 应用中的敏感度标签。 例如,特定标记功能的其他配置信息。
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从
Microsoft Purview 合规性门户试用中心
开始。 了解有关
注册和试用条款
的详细信息。
应用中的敏感度标记支持
若要在 Office 应用中使用敏感度标签,必须使用 Office 订阅版。 使用此页顶部的许可链接确定符合条件的计划。 独立版本的 Office 不支持敏感度标签,有时称为“Office 永久”。
对于 Outlook (Windows、macOS、iOS、Android 和 Web) ,邮箱必须托管在 Exchange Online 中。 本地托管的邮箱不支持敏感度标签。 这也适用于共享邮箱,即使访问这些邮箱的用户在 Exchange Online 中具有邮箱也是如此。
支持应用中的敏感度标签功能
使用
Office 应用中敏感度标签的最低版本中
的表,确定为 Office 应用中的敏感度标签引入了特定功能的最低 Office 版本。 或者,如果标签功能是公共预览版,或正在审查将来的版本。
除了列出 Windows、macOS、iOS 和 Android 的最低版本外,这些表还包括 Office 网页版是否支持该功能:
Word、Excel 和 PowerPoint 的功能表
Outlook 的功能表
Office for iOS 和 Office for Android:敏感度标签内置于
Office 应用
。
Azure 信息保护统一标记客户端中的 Windows Office 加载项现已
停用
,不再受支持。 它被内置于
支持标签
的 Office 应用中的敏感度标签所取代。
由于不再支持加载项,因此必须将 Office 策略设置
“使用 Azure 信息保护加载项进行敏感度标签
”设置为“
未配置
” (默认) 或
“已禁用
”。 如果为
“已启用”
配置了此设置,则无法在 Office 应用中使用敏感度标记。
若要检查此设置,请执行以下操作:
如果使用组策略,请使用最新的
Microsoft 365 企业应用版管理模板
,并从
用户配置/管理模板/Microsoft Office 2016/安全设置
导航到此设置。
如果使用
Microsoft 365 的云策略服务
,请按名称搜索设置。
Microsoft Purview 信息保护客户端支持此较旧标记客户端中的其他标记功能。 有关详细信息,请参阅
在 Windows 上扩展敏感度标记
。
如果需要在 Windows 上的 Office 应用中关闭内置标签
若要在 Office 应用中使用敏感度标签,必须从 Microsoft Purview 合规性门户向用户发布一个或多个
标签策略
,以及
受支持的 Office 版本
。
如果满足这两个条件,但需要在 Windows Office 应用中关闭敏感度标签,请使用 Office 策略设置
使用 Office 中的敏感度功能来应用和查看敏感度标签
。 选择“
已禁用
”,将值设置为 0。
对于组策略和
Microsoft 365 企业应用版管理模板
,请从
用户配置/管理模板/Microsoft Office 2016/安全设置导航到
此设置。 如果使用
Microsoft 365 的云策略服务
,请按名称搜索此设置。 这些设置将在这些 Office 应用重启时生效。
如果以后需要还原此配置,请选择“
已启用
”,将值更改为 1。 如果功能区上未按预期显示
“敏感度
”按钮,则可能还需要启用此设置。 例如,以前的管理员已关闭此标记设置。
由于此设置特定于 Windows Office 应用,因此它不会影响 Windows 上支持敏感度标签的其他应用(如 Power BI)或其他平台(如 macOS、移动设备和 Office 网页版)。 如果你不希望部分或所有用户在所有应用及所有平台上查看和使用敏感度标签,请不要为这些用户分配敏感度标签策略。
如果想要停止显示 Word、Excel 和 PowerPoint 的内置标签,并仅显示 Outlook 的内置标签,或者相反,可以通过按标签设置实现此结果。 有关详细信息,请参阅
将标签范围限定为文件或电子邮件
。
支持的 Office 文件类型
通常,具有 Word、Excel 和 PowerPoint 文件内置标签的 Office 应用支持 Open XML 格式 ((如 .docx 和 .xlsx) ),但不支持 Microsoft Office 97-2003 格式 ((例如 .doc 和 .xls) 、Open Document Format (,如 .odt 和 .ods) )或其他格式。
可以阻止用户在 Windows 中打开或保存 Word、Excel 和 PowerPoint 的旧文件类型。 有关说明,请参阅
在 Office 2016 中阻止特定文件格式类型
。
如果敏感度标签不支持文件类型,则 Office 应用中不提供
“敏感度
”按钮。
Windows、macOS、iOS 和 Android 上的 Office 应用支持的文件类型:
Word
:.docx、.docm、.dotx、.dotm
Excel
:.xlsx、.xlsb;.xlsm、.xltx
PowerPoint
:.pptx、.pptm、.potx、.potm、.ppsx、.ppsm
对于为敏感度标签启用这些服务时 SharePoint 和 OneDrive 支持的文件类型,请参阅
为 SharePoint 和 OneDrive 中的文件启用敏感度标签
。
对于 Office 应用之外的标记方案,请查看其文档,了解支持的文件类型。 例如,Microsoft Purview 信息保护客户端和扫描程序支持
的其他文件类型
。
保护模板和敏感度标签
使用内置标记时,管理员定义的
保护模板
(例如为 Microsoft Purview 邮件加密定义的模板)在 Office 应用中不可见。 这种简化的体验反映无需选择保护模板,因为启用了加密的敏感度标签中包含了相同的设置。
将
New-Label
cmdlet 与
EncryptionTemplateId
参数结合使用时,可以将现有模板转换为敏感度标签。
通过配置以应用加密的敏感度标签,可消除用户指定其加密设置的复杂性。 在 Office 应用中,用户可能仍可使用信息权限管理 (IRM) 选项手动配置这些单独的加密设置。 例如,对于 Windows 应用:
对于文档:
文件
>
信息
>
保护文档
>
限制访问
电子邮件:从
“选项
”选项卡
加密
>
最新的适用于 Windows 和 Mac 的 Word、Excel 和 PowerPoint 应用不再允许用户在具有敏感度标签时选择信息权限管理 (IRM) 选项。 相反,用户会看到一个对话框,提示他们使用敏感度标签来应用信息保护。 该消息还介绍了以后如何访问
敏感度栏
以选择和更改标签:
对于允许用户选择“信息权限管理”选项的 Outlook 和旧版 Office 应用,用户可以使用自己的加密设置覆盖应用的敏感度标签中的设置。 例如:
用户将"
\所有员工"
标签应用于文档,并且此标签配置为对组织中所有用户应用加密设置。 然后,此用户手动配置 IRM 设置以限制对组织外部用户的访问权限。 结果是一个标记为"机密
\所有员工
加密的文档,但您的组织中的用户无法如预期打开它。
用户向
应用"机密\收件人
标签,此电子邮件配置为应用"
请勿转发"
。 在 Outlook 应用中,此用户随后手动选择“仅加密的 IRM 设置”。 最终结果是虽然电子邮件确实保持加密状态,但收件人仍可以转发此邮件,尽管邮件具有“
机密\仅限收件人
”标签。
作为例外,对于 Outlook 网页版,在当前选定标签应用加密时,用户无法选择“
加密
”菜单中的选项。
用户将"
"
标签应用于文档,并且此标签未配置为应用加密。 然后,此用户手动配置 IRM 设置以限制对文档的访问。 结果是一个标记为"常规
文档
这也应用了加密,因此某些用户无法如预期打开它。
如果已标记文档或电子邮件,如果内容尚未加密,或者其具有"导出"或"完全控制"
或完全控制
,用户可以执行这些操作。
若要通过有意义的报告获得更一致的标签体验,请为用户提供适当的标签和指导,以便仅应用标签来保护文档和电子邮件。 例如:
对于用户必须分配自己的权限的例外情况,请提供标签
允许用户向用户分配
。
如果用户需要具有相同的分类而无加密标签,则用户无需在选择应用加密的标签后手动删除加密,而是提供子标记替代项。 如:
机密 \ 所有员工
机密 \ 任何人(无加密)
升级到不允许用户为 Word、Excel 和 PowerPoint 选择 IRM 设置的最新版本。 对于 Outlook,请考虑禁用 IRM 设置以防止用户选择它们:
Outlook for Windows:
-
注册表项
DWORD:00000001
DisableDNF
和
DisableEO
from
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\DRM
-
确保未配置组策略设置
配置“加密”按钮的默认加密选项
-
Outlook for Mac:
-
记录在
设置 Outlook for Mac 首选项
中的注册表项
DisableEncryptOnly
和
DisableDoNotForward
安全设置
-
Outlook 网页版:
-
为
Set-IRMConfiguration
记录的参数
SimplifiedClientAccessDoNotForwardDisabled
和
SimplifiedClientAccessEncryptOnlyDisabled
-
Outlook for iOS 和 Android:这些应用不支持用户在无标签的情况下应用加密,因此无需禁用任何项目。
如果用户从存储在SharePoint或OneDrive中的带标签文档中手动删除加密,并且已在
SharePoint和OneDrive中为Office文件启用了敏感性标签
,则下次访问或下载文档时,标签加密将自动恢复。
文档的基于加密的标签匹配
使用管理员定义的权限对文档进行加密后,加密策略将嵌入到文档中。 这与标记无关。 例如,当 Office 附件从电子邮件继承加密,或者用户在 Office 应用中使用信息权限管理 (IRM) 应用权限管理模板时。 如果租户中的敏感度标签与该加密策略匹配,Office 应用会自动将该匹配标签分配给文档。
在此方案中,匹配的敏感度标签可以标记未标记的文档,并替换不应用加密的现有标签。 例如,
将“常规
”标签替换为
“机密/所有员工
”。 不会自动应用匹配标签中的内容标记。
此方案有助于将较旧的加密解决方案从权限管理模板移动到通过权限管理应用加密的敏感度标签。
但是,在收件人打开电子邮件和会议附件时,你也会看到带有标记方案的行为。 例如:
-
用户创建一封电子邮件并附加未加密的 Office 文档,然后将标签应用于电子邮件。
标签使用管理员设置的权限(而不是“请勿转发”或“Encrypt-Only”选项)应用加密。 例如,对于标签配置,管理员选择“
立即分配权限
”,并指定所有员工都具有读取访问权限。
-
发送电子邮件时,
附件会自动继承带有权限管理的加密,但不会继承标签
。
-
当同一租户中的收件人打开加密文档时,将自动显示该文档管理员定义权限的匹配标签,如果文档已保存,则会保留。
作为在活动资源管理器中显示的审核事件,此用户应用了标签,而不是电子邮件发件人。
基于加密的标签匹配仅适用于租户,以下所有条件均适用:
-
文档未标记或现有标签未应用加密
-
文档使用管理员定义的权限进行加密
-
匹配的敏感度标签将发布到打开文档的用户
-
匹配敏感度标签的标签
范围
包括
文件
如果保存文档,匹配标签将保留。
敏感度标签兼容性
使用启用 RMS 的应用
:如果在支持) 技术 (RMS Microsoft权限管理但不支持敏感度标签的应用程序中打开带标签且加密的文档或电子邮件,则应用仍会强制实施加密和权限管理。
使用 Microsoft Purview 信息保护客户端:可以使用 Microsoft Purview 信息保护客户端
查看和更改通过 Office 应用应用于文档的敏感度标签,也可以采用另一种方式。
对于其他版本的 Office
:任何授权用户都可以在其他版本的 Office 中打开标记的文档和电子邮件。 但是,只能查看或更改支持的 Office 版本中的标签,或者通过使用 Microsoft Purview 信息保护客户端。 支持的 Office 应用版本列于上一节
一
。
支持通过敏感度标签保护的 SharePoint 和 OneDrive 文件
若要在 SharePoint 或 OneDrive 中将 Office 内置标签客户端与 Office 网页版配合使用,请确保已在
SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签
。
支持外部用户和标记的内容
标记文档或电子邮件时,标签会存储为包含租户和标签 GUID 的元数据。 支持敏感度标签的 Office 应用打开标记的文档或电子邮件时,只要用户属于同一租户,该标签才显示于其应用中。 例如,对于 Word、PowerPoint 和 Excel 的内置标签,标签名称显示在状态栏上。 用户排除来宾帐户。
此实现意味着,如果与使用不同标签名称的另一个组织共享文档,则每个组织都可以应用并查看应用于文档的自己的标签。 来宾用户不会在其应用中看到你的标签。
另一个组织无法应用其自己的敏感度标签的两个例外:
-
使用 Office 网页版,外部用户连接到 SharePoint 网站或 OneDrive 位置,并且看不到其敏感度标签,因为该网站归其他组织所有。
-
使用桌面应用或移动应用的共同创作,外部用户
将无法应用配置为应用加密的自己的敏感度标签
。
Outlook) 发送的电子邮件 (和标记日历事件也是如此。 但是,Outlook 以外的电子邮件客户端可能不会在电子邮件标头中保留标签元数据。 例如,用户从不使用 Outlook 的其他组织答复或转发可能会导致原始电子邮件标签不再对原始组织可见,因为标签元数据尚未保留。 如果该标签应用了加密,则加密将保留以保护内容。
应用标签中的以下元素对组织外部的用户可见:
-
标记的内容。 当标签应用页眉、页脚或水印时,这些内容将直接添加到内容中,在某人修改或删除它们之前保持可见。
-
应用加密的标签中的基础保护模板的名称和说明。 此信息显示在内容顶部的消息栏中,以提供有关有权查看内容的人员及其使用该内容的权限的信息。
与外部用户共享加密文档
虽然可以将访问权限限制为自己组织中的用户,但也可以将访问权限扩展到具有 Microsoft Entra ID 帐户的任何其他用户。 默认情况下,无需任何其他配置即可对这些外部用户进行身份验证。 但是,Microsoft Entra
External Identities 跨租户访问设置
和
条件访问
可能需要其他配置。
如果外部用户在 Microsoft Entra ID 中没有帐户,则可以使用租户中的来宾帐户进行身份验证。 如果为 SharePoint 和 OneDrive 中的 Office 文件启用了敏感度标签,则这些来宾帐户还可用于访问
SharePoint 或 OneDrive 中的共享文档
。
有关可选的 Microsoft Entra 功能和使用来宾帐户进行身份验证要求的详细信息,请参阅
Microsoft Entra 加密内容的配置
。
从Microsoft了解权限管理技术的所有 Office 应用和其他应用程序都可以在用户成功进行身份验证后打开加密文档。
Office 应用应用标记和加密时
Office 应用应用的内容标记和加密与敏感度标签不同,具体取决于你使用的应用。
将敏感度标签应用于 Office 应用外部文件的解决方案会通过向文件应用标签元数据来实现此限制。 在这种情况下,从标签的配置标记的内容不会插入文件,但会应用加密。 在 Office 应用中打开这些文档时,内容标记不会自动应用。 同样,在 Office 应用外部删除标签时,不会删除内容标记,即使这些文档稍后在 Office 应用中打开也是如此。
包括应用 Office 应用外部敏感度标签的方案包括:
-
Microsoft Purview 信息保护客户端中的扫描程序、文件资源管理器和 PowerShell
-
SharePoint 和 OneDrive 的自动标记策略
-
从 Power BI 导出标记和加密的数据
-
从 Microsoft Defender for Cloud Apps 自动应用标签
对于这些方案,使用其 Office 应用,用户可以通过暂时删除或替换当前标签,然后重新应用原始标签来应用标签的内容标记。
包含变量的内容标记
如果你的 Office 应用不支持此功能,其将标记应用为标签配置中指定的原始文本,而不是解决变量。 有关
Office 应用中的敏感度标签,请参阅最低版本中的
表。
为标记内容配置敏感度标签时,可以在文本字符串中为页眉、页脚或水印使用以下变量:
应用标签时的示例
${Event.DateTime}
标记内容的日期和时间,以应用 Microsoft 365 应用中应用标签的用户的本地时区,或 Office Online 和自动标签策略的 UTC(协调世界时)表示
2020/8/10 下午 1:30
动态水印
还支持插入用户的电子邮件地址。 但是,带有变量的内容标记使用应用标签的用户的电子邮件地址,该地址适用于问责。 动态水印显示当前正在打开文档的用户的电子邮件地址,该地址充当对数据泄露的视觉威慑。
其他注意事项:
-
所有带或不带变量的内容标记都可以与不应用加密的标签一起应用。 动态水印只能与应用管理员定义的加密的标签一起应用。
-
在将包含或不带动态变量的所有内容标记应用于已标记的内容后,用户可以更改或删除这些标记。 应用动态水印后,如果不删除标签或导出 ((如果允许) 内容),则不能更改或删除动态水印。
-
具有或不带动态变量的所有内容标记都可以使用不同的字体、颜色和方向进行自定义。 动态水印不支持此自定义。
动态水印附带的限制提供了更高的安全性,但也可能会阻止文档在不支持此功能的桌面版 Office 中打开。 仅当需要此级别的保护时,才使用动态水印,在不需要时使用标准内容标记。 有关详细信息,请参阅
动态水印
文档。
为 Word、Excel、PowerPoint 和 Outlook 设置不同的内容标记
作为附加变量,可以使用文本字符串中的“If.App”变量语句配置每个 Office 应用程序类型的内容标记,
并使用 Word、
Excel
、
PowerPoint
或
Outlook
值来标识应用程序类型。 如果要在同一个语句中指定多个值,也可缩简这些值,If.App 值。
使用以下语法:
${If.App.<application type>}<your visual markings text> ${If.End}
与其他内容标记一样,语法区分大小写,其中包括 WXPO) (每种应用程序类型的缩写。
仅设置 Word 文档的页眉文本:
${If.App.Word}This Word document is sensitive ${If.End}
标签仅应用于 Word 文档标题,可应用标题文本"此 Word 文档很敏感"。 标题文本不应用于其他 Office 应用程序。
为 Word、Excel 和 Outlook 设置页脚文本,以及 PowerPoint 的不同页脚文本:
${If.App.WXO}This content is confidential. ${If.End}${If.App.PowerPoint}This presentation is confidential. ${If.End}
在 Word、Excel 和 Outlook 中,标签应用页脚文本“此内容是机密的”。在 PowerPoint 中,标签应用页脚文本“此演示文稿是机密的”。
为 Word 和 PowerPoint 设置特定水印文本,然后为 Word、Excel 和 PowerPoint 设置水印文本:
${If.App.WP}This content is ${If.End}Confidential
在 Word 和 PowerPoint 中,标签将应用水印文本"此内容为机密"。 在 Excel 中,标签应用水印文字"机密"。 在 Outlook 中,标签不会应用任何水印文本,因为 Outlook 不支持水印作为内容标记。
要求用户为其电子邮件和文档应用标签
此配置有时称为强制标记。 若要检查支持的 Office 版本,请参阅 Office 应用中敏感度标签的最低版本中的表。
要对文档而不是电子邮件使用强制标签,请参阅下一节中说明如何配置 Outlook 特定选项的指示。
要对 Power BI 使用强制标签,请参阅 Power BI 的强制标签策略。
选择策略设置 “要求用户对其电子邮件和文档应用标签 ”时,分配了该策略的用户必须在其 Office 应用中选择并应用敏感度标签:
对于文档(Word、Excel、PowerPoint):打开或保存无标记的文档时。
对于电子邮件 (Outlook):用户发送无标记的电子邮件。 对于 Outlook Mobile,首次 撰写电子邮件时,可以将其更改为 。
其他信息:
未标记意味着从用户租户发布的敏感度标签不会应用于内容。 此策略设置将忽略 其他租户应用的 敏感度标签。
当系统提示用户添加敏感度标签时,因为他们打开了一个无标记的文档,他们可添加标签,或者选择在只读模式下打开文档。
当强制标签生效时,用户不能从文档中删除敏感度标签,但可以更改现有标签。
当强制标记生效时,如果文档被标记或加密,打印到 PDF 选项将不可用。 有关详细信息,请参阅此页上的 PDF 支持 部分。
有关何时使用此设置的指导,请参阅有关策略 设置。
如果要对文档和电子邮件使用默认标签策略设置以及强制标签设置:
默认标签始终优先于必需标签。 但是,如果使用的 Office 版本尚不支持现有文档的默认标签,系统会提示用户为每个新文档应用敏感度标签。
通过使用 功能表 和行将默认标签 应用于现有文档,确定支持现有文档的默认标签的最低版本的 Word、Excel 和 PowerPoint。
对于 Outlook Mobile,在提示用户输入标签时进行更改
此设置要求 Outlook for Android 和 Outlook for iOS 的最低版本为 4.2316.0。
可以使用 Microsoft Intune 托管应用应用配置策略 从 Intune 应用软件开发工具包 (SDK) 配置设置,当提示用户为 Outlook Mobile 选择敏感度标签时,该设置会更改。
在为电子邮件配置强制标签时,此配置会导致在用户首次撰写邮件时提示输入标签,而不是在发送时提示输入标签。
此配置要求在策略中将以下键/值对指定为常规配置设置:
Outlook 特定的默认标签和强制标签选项
通过使用 Outlook 的功能表和默认标签和强制标签的不同设置行,确定支持这些功能的 Outlook 的最低版本。
Outlook 应用支持的默认标签设置与文档的默认标签设置不同时:
- 在 Microsoft Purview 门户或 Microsoft Purview 合规性门户的标签策略配置中,在 “将默认标签应用于电子邮件” 页上:可以指定将应用于所有未标记电子邮件的敏感度标签,也可以指定无默认标签。 此设置独立于配置的之前 文档策略设置 页面上的 默认将此标签应用于文档 设置。
如果 Outlook 应用不支持与文档的默认标签设置不同的默认标签设置:Outlook 将始终使用你为标签策略配置的 文档策略设置 页面上 默认将此标签应用于文档 所指定的值。
当 Outlook 应用支持关闭强制标签时:
- 在 Microsoft Purview 门户或 Microsoft Purview 合规性门户中的标签策略配置中,在 “策略设置 ”页上:选择“ 要求用户对其电子邮件或文档应用标签”。 然后选择“下一步”>“下一步”,并清除复选框“要求用户向电子邮件应用标签”。 如果要对电子邮件和文档应用强制标签,请保持选中复选框。
当 Outlook 应用不支持关闭强制标签时:如果选择“要求用户向其电子邮件或文档应用标签”作为策略设置,Outlook 将始终提示用户为未标记的电子邮件选择标签。
将标签范围限定为仅文件或电子邮件
通过使用功能 表和行范围 标签到文件或电子邮件,确定支持此功能的最低版本。
除非用户使用的所有平台上都支持此功能,否则他们将具有不一致的标签体验。 例如,一个平台上的 Word 不会显示他们在其他平台上看到的标签。
在 Microsoft Purview 合规性门户中创建或编辑敏感度标签时,此配置是项目范围的扩展。 定义项目标签的范围时,可以进一步将范围细化为仅文件或电子邮件以及 会议:
- 若要将标签范围限定为 Word、Excel 和 PowerPoint:请确保选择了 “文件” 选项,而不是“ 电子邮件”选项。
- 若要将标签范围限定为 Outlook,请确保选择了 “电子邮件” 选项,而不是 “文件”选项。
尽管可以编辑现有标签并删除 “文件” 范围,但我们不建议这样做,因为现有配置可能不再按预期工作。 例如,SharePoint 网站管理员无法理解为什么他们选择为文档库的默认标签的敏感度标签不再应用该标签。
如果只想为电子邮件创建敏感度标签,请创建一个仅包含 “电子邮件 ”范围的新标签,而不是编辑现有标签。
如果不需要将标签范围限定为 Word、Excel 和 PowerPoint 或 Outlook,请确保选中这两个选项。
请记住,其他标签配置也会影响敏感度标签在应用中是否可见。 查看文档,了解使用的标签配置。
“ 文件” 选项可以包括支持此范围选项的其他项,例如 Power BI 文件。 查看应用程序的文档进行验证,并记住测试组织使用的所有标记应用和服务。
请注意,此配置会影响客户端应用和服务、手动标记和自动标记。 例如:
默认标签:
- 如果范围不包括电子邮件,则不会应用为电子邮件配置的默认标签。
- 如果范围不包括文件,则不会应用为文件配置的默认标签,并且不能选择作为 SharePoint 文档库的默认敏感度标签。
自动标记策略:
- 如果范围不包括电子邮件,则无法为包含 Exchange 位置的自动标记策略选择标签。
- 如果范围不包括文件,则无法为包含 SharePoint 和 OneDrive 位置的自动标记策略选择标签。
允许用户分配权限的加密:
- 如果范围不包括电子邮件,则无法选择“ 不转发 ”或“ 仅加密”加密选项。
- 如果范围不包括文件,则无法在 Word、PowerPoint 和 Excel 中选择加密选项,提示用户指定权限。
从电子邮件附件继承标签:
- 对于此配置,标签的范围必须同时限定为文件和电子邮件。
此外,如果之前已应用标签,但随后从其中一个范围中删除,则用户将不再在支持此功能的应用中看到该标签应用于范围。
由于将标签范围限定为文件或电子邮件的影响,某些现有标记配置将阻止删除文件和电子邮件的范围选项:
- 标签策略中的默认标签
- 在频道会议中应用的默认标签
- 为自动标记策略选择的标签
在将标签范围限定为文件或电子邮件之前,必须先将其配置为这些默认标签之一,然后将其从任何自动标记策略中删除。
目前,如果使用任何标签策略设置,该标签的敏感度标签范围仅限定为 “文件” 或“ 电子邮件”,则同一策略还必须包含至少一个包含这两个作用域选项的标签。
如果标签配置为一个或多个标签策略中的默认标签,并且 Outlook 未在同一策略中配置其自己的默认标签,则无法删除 电子邮件的范围。 解决方法是,首先删除此标签作为默认标签。 然后,你将能够删除电子邮件范围。 最后,重新选择“现在已修改的标签”作为文档的默认标签。
通过使用 Outlook 的功能表和行“应用 S/MIME 保护”,确定支持此功能的 Outlook 的最低版本。
如果将标签配置为应用 S/MIME 保护,但你的 Outlook for Windows 版本尚不支持它,则标签仍会显示并可以应用,但 S/MIME 设置将被忽略。 无法为 Exchange 自动标记策略选择此标签,也无法将其配置为 保护日历项目、Teams 会议和聊天。
此配置在 Microsoft Purview 门户或 Microsoft Purview 合规性门户中不可用。
连接到 Security & Compliance PowerShell 后,必须将 PowerShell 高级设置与 Set-Label 或 New-Label cmdlet 配合使用。
仅当具备有效的 S/MIME 部署并且希望标签自动对电子邮件应用此保护方法,而不是使用 Azure 信息保护中的 Rights Management 加密的默认保护时,才使用这些设置。 生成的保护将与用户从 Outlook 手动选择 S/MIME 选项时相同。
高级设置键/值
无需在 Microsoft Purview 门户或 Microsoft Purview 合规性门户中配置为这些设置配置的标签进行加密。 但如果是,S/MIME 保护将仅替换 Outlook 中的 Rights Management 加密。 对于其他应用,标签应用 Microsoft Purview 门户或 Microsoft Purview 合规性门户中指定的加密设置。
示例,其中敏感度标签 GUID 为 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeSign="True"}
Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeEncrypt="True"}
有关指定 PowerShell 高级设置的更多帮助,请参阅 用于指定高级设置的 PowerShell 提示。
通过使用 Outlook 的功能表和行“电子邮件附件中的标签继承”,确定支持此功能的 Outlook 的最低版本。
当用户将标记的文档附加到未手动标记的电子邮件时,请启用电子邮件继承。 使用此配置时,系统会根据应用于附件并发布到用户的敏感度标签,为电子邮件动态选择敏感度标签。 当 Outlook 支持 最高优先级标签 时,会动态选择该标签。
此标签继承是否会覆盖电子邮件上的现有标签:
手动标记电子邮件后,电子邮件附件中的标签继承不会替换该标签。
从电子邮件附件继承的标签将替换自动应用或作为默认标签应用的较低优先级敏感度标签,但不会覆盖优先级较高的标签。
可以在“ 电子邮件的默认设置 ”页上的敏感度标签策略中配置此设置。 对于“ 从附件继承标签”部分,选中“ 电子邮件从附件继承最高优先级标签”复选框。 附件必须是物理文件,不能是指向 (文件的链接,例如,指向 sharePoint 或 OneDrive) Microsoft 文件的链接。
选中此复选框后,可以进一步选择以下选项: 建议用户应用附件标签,而不是自动应用附件标签。 如果没有此项选择,将自动应用标签,但用户仍然可以在发送电子邮件之前删除标签或选择其他标签。
默认情况下,如果自动选择的标签应用加密,则会对电子邮件应用相同的加密。 例如,如果最高优先级标签对“市场营销”组应用“完全控制”加密,则“营销”组将采用“完全控制”保护电子邮件。 如果最高优先级标签应用了“请勿转发”加密选项,则电子邮件也会标记为“不要转发”并对其进行加密。
但是,当电子邮件客户端不支持已应用于附件的特定保护操作时,请考虑结果:
双密钥加密:行为取决于 Outlook 是否支持此加密方法。 使用 功能表 和行 双密钥加密 (DKE) 确认对版本的支持。
当 Outlook 支持 DKE 时:如果最高优先级标签立即应用双密钥加密和 分配权限的加密设置,Outlook for Windows 会将该标签和保护应用于电子邮件。 如果标签配置为 “允许用户在应用标签时分配权限”,则不会应用标签和保护。
当 Outlook 不支持 DKE 时:如果优先级最高的标签应用了双密钥加密,则 Outlook for Windows 中的电子邮件不会选择标签或加密。
Word、PowerPoint 和 Excel 的自定义权限:如果最高优先级标签仅对 Word、PowerPoint 和 Excel 应用用户定义的权限 (选项 “允许用户在应用标签时分配权限 ”选项, 并在 Word、PowerPoint 和 Excel 中提示用户指定权限) ,则不会为电子邮件选择任何标签或保护,因为 Outlook 不支持此标签配置。
PDF 支持
使用 Office 应用中敏感度标签的最低版本中 的表来标识支持的版本。
Office for Windows:Word、Excel 和 PowerPoint 支持以下方法将 Office 文档转换为 PDF 文档:
- 文件 > 另存为 > PDF
- 文件 > 导出 > PDF
- 共享 > 发送副本 > PDF
此操作使用“文件和页面活动”审核组中的“重命名文件”审核事件进行记录。 在 Microsoft Purview 门户或 Microsoft Purview 合规性门户的审核搜索结果中,你将看到此审核事件的详细信息,显示“活动”字段的 SensitivityLabeledFileRenamed。
Office for iOS:Word、Excel 和 PowerPoint 支持以下方法将 Office 文档转换为 PDF 文档:
- 导出 > PDF
- 发送副本 > 以 PDF 形式发送
Office for Android:Word、Excel 和 PowerPoint 支持以下方法将 Office 文档转换为 PDF 文档:
- 共享 > 发送副本 -> PDF
Office 网页版:必须从浏览器下载文件。 支持以下方法将 Office 联机文档转换为 PDF 文档:
- Web 上的 Word 和 PowerPoint: