Microsoft 信息保护框架中的敏感度标签允许你对组织的数据进行分类和保护,同时确保用户的工作效率和协作能力不受阻碍。敏感度标签允许Teams管理员管理对在 Teams 内协作期间创建的敏感组织内容的访问。
组织可以使用敏感度标签来:
- 提供包含加密和内容标记的保护设置。
- 跨不同平台和设备保护 Office 应用中的内容。
- 使用 Microsoft 云应用安全保护第三方应用和服务中的内容。
- 保护包含Teams团队、Microsoft 365 组和 SharePoint 网站的容器。
- 将敏感度标签扩展到 Power BI。
- 将敏感度标签扩展到 Azure 权限中的资产。
- 将敏感度标签扩展到第三方应用和服务。
- 在不使用任何保护设置的情况下对内容进行分类。
标签范围
创建敏感度标签时,系统会要求你配置标签的作用域,以确定两件事:
- 您可以为该标签配置哪些标签设置
- 标签对用户可见的位置
可以将敏感度标签应用于以下范围:
- 文件和电子邮件:电子邮件和办公室文件
- 组和网站:Microsoft Teams网站、Microsoft 365 组和 SharePoint 网站
- Azure 权限资产(预览版)
组和站点(容器)的敏感度标签设置
敏感度标签可以应用于项目级别(文件和电子邮件)或容器级别,如 Microsoft Teams 网站、Microsoft 365 组和 SharePoint 网站。对于容器级分类和保护,可以使用以下标签设置:
- 工作组网站和 Microsoft 365 组的隐私(公共或专用)
- 外部用户访问
- 从 SharePoint 网站进行外部共享
- 从非托管设备访问
- 身份验证上下文(预览版)
隐私和外部用户访问设置
配置“隐私”和”外部用户”访问设置。
- 隐私:如果希望组织中的任何人访问应用了此标签的团队网站或组,请保留默认值”公共“。
- 如果您希望将访问权限限制为组织中已批准的成员,请选择私有。
- 如果要使用敏感度标签保护容器中的内容,但仍允许用户自行配置隐私设置,请选择”无“。
- “公共“或”专用”的设置在将此标签应用于容器时设置并锁定隐私设置。所选的设置将替换以前可能为团队或组配置的任何隐私设置,并锁定隐私值,以便只能通过首先从容器中删除敏感度标签来更改它。删除敏感度标签后,标签中的隐私设置将保留,用户现在可以再次更改它。
- 外部用户访问权限:控制组所有者是否可以将来宾添加到组。
设备外部共享和设备访问设置
配置”控制来自标记的 SharePoint 网站的外部共享“和”使用 Azure AD 条件访问保护标记的 SharePoint 网站“设置。
- 控制来自标记为 SharePoint 网站的外部共享:选择此选项可为任何人、新来宾和现有来宾、现有来宾或仅为组织中的人员选择外部共享。
- 使用 Azure AD 条件访问保护标记为 SharePoint 的网站:仅当组织已配置并使用Azure Active Directory 条件访问时,才选择此选项。然后,选择以下设置之一:
将此敏感度标签应用于受支持的容器时,标签会自动将分类和保护设置应用于连接的网站或组。但是,这些容器中的内容不会继承分类和设置(如视觉标记或加密)的标签。
- 确保已在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签,以便用户可以在 SharePoint 网站或工作组网站中标记其文档。
- 当该标签与您指定的条件匹配时,您可以自动将该标签分配给文件和电子邮件。有关详细信息,请参阅自动将敏感度标签应用于内容.
为组和站点启用敏感度标签
在启用此功能之前,站点和组设置的配置选项不会显示。按照步骤在 Azure AD 中启用该功能。
1.在计算机上打开Windows PowerShell窗口。
2.使用管理员凭据连接到 Azure AD。
Import-Module AzureADPreview Connect-AzureAD
3.获取 Azure AD 组织的当前组设置。
$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id
如果尚未为此 Azure AD 组织创建组设置,则必须先创建设置。按照 Azure Active Directory cmdlet 中的步骤配置组设置,为此 Azure AD 组织创建组设置。
4.启用该功能:
PowerShell$Setting["EnableMIPLabels"] = "True"
5.然后保存更改并应用设置:
Set-AzureADDirectorySetting -Id $Setting.Id -DirectorySetting $Setting
如果在 2019 年 9 月之前使用敏感度标签,则还需要将敏感度标签同步到 Azure AD。有关说明,请参阅如何为容器启用敏感度标签和同步标签.
创建和发布敏感度标签
全局管理员可以从 Microsoft 365 合规性中心创建和管理敏感度标签。请参阅创建和发布敏感度标签中的说明.
- 转到Microsoft 365 合规性中心>信息保护.
- 在“信息保护“页上,选择“+ 创建标签”以启动”新建敏感度标签”向导。
- 在“名称并为标签创建工具提示“页上,提供信息。
- 在“定义此标签的作用域“页上,选择”组和站点“或其他作用域。所选选项确定标签的范围,用于您可以配置的设置,以及它们在发布时的可见位置
- 按照向导中的标签设置提示完成创建。
创建敏感度标签后,需要通过创建标签策略来发布敏感度标签。分配了包含此标签的敏感度标签策略的用户将能够为网站和组选择该策略。
只有这些网站和组设置在您将标签应用于工作组、组或网站时生效。其他标签设置(如加密和内容标记)不会应用于 Teams 、组或网站中的内容。
将敏感度标签与Teams一起使用
管理员可以创建敏感度标签,在 Teams 创建期间应用该标签时,允许用户创建具有特定隐私(公共或私有)设置的 Teams 。
例如,管理员创建一个名为”机密”的敏感度标签,其策略是使用此标签创建的任何团队都必须是专用团队。当用户创建新 Teams 并选择”机密“标签时,用户唯一可用的隐私选项是“专用“。其他隐私选项(如”公共”和”组织范围”)已对用户禁用。
创建 Teams 时,敏感度标签显示在 Teams 中通道的右上角。
Teams 所有者可以随时更改 Teams 的敏感度标签和隐私设置,方法是转到 Teams ,然后单击”编辑团队“.
为容器启用敏感度标签后,Microsoft 365 不再支持新 Microsoft 365 组和 SharePoint 网站的旧分类。但是,支持敏感度标签的现有组和网站仍会显示旧的分类值,直到将其转换为使用敏感度标签。有关详细信息,请参阅Microsoft 365 组的 Azure Active Directory 分类和敏感度标签.
有关详细信息,请参阅:
