Tworzenie i konfigurowanie etykiet poufności i ich zasad

Wskazówki dotyczące licencjonowania platformy Microsoft 365 dotyczące zgodności & zabezpieczeń.

Wszystkie rozwiązania Microsoft Purview Information Protection są implementowane przy użyciu etykiet poufności. Aby utworzyć i opublikować te etykiety, przejdź do portal zgodności Microsoft Purview.

Najpierw utwórz i skonfiguruj etykiety poufności, które chcesz udostępnić aplikacjom i innym usługom. Na przykład etykiety, które użytkownicy mają wyświetlać i stosować z aplikacji pakietu Office.

Następnie utwórz co najmniej jedną zasadę etykiet zawierającą skonfigurowane etykiety i ustawienia zasad. To zasady etykiet publikują etykiety i ustawienia dla wybranych użytkowników i lokalizacji.

Porada

Jeśli nie masz jeszcze żadnych etykiet poufności, możesz kwalifikować się do automatycznego tworzenia etykiet domyślnych i domyślnych zasad etykiet. Nawet jeśli masz jakieś etykiety, może okazać się przydatne wyświetlenie konfiguracji tych etykiet domyślnych, które tworzymy dla nowych klientów. Możesz na przykład wykonać te same konfiguracje ręczne, aby przyspieszyć wdrażanie własnej etykiety.

Aby uzyskać więcej informacji, zobacz Domyślne etykiety i zasady dla Microsoft Purview Information Protection.

Przed rozpoczęciem

Administrator globalny organizacji ma pełne uprawnienia do tworzenia wszystkich aspektów etykiet poufności i zarządzania nimi. Jeśli nie logujesz się jako administrator globalny, zobacz Uprawnienia wymagane do tworzenia etykiet poufności i zarządzania nimi.

Tworzenie i konfigurowanie etykiet poufności

  1. Z portal zgodności Microsoft Purview wybierz pozycję Rozwiązania Etykiety > ochrony > informacji

  2. Na stronie Etykiety wybierz pozycję + Utwórz etykietę , aby rozpocząć nową konfigurację etykiet poufności:

    Utwórz etykietę poufności.

    Uwaga

    Domyślnie dzierżawy nie mają żadnych etykiet i musisz je utworzyć. Etykiety na przykładowym obrazie pokazują etykiety domyślne, które zostały zmigrowane z usługi Azure Information Protection.

  3. Na stronie Definiowanie zakresu dla tej etykiety wybrane opcje określają zakres etykiety dla ustawień, które można skonfigurować i gdzie będą widoczne po opublikowaniu:

    Zakresy etykiet poufności.

    • W przypadku wybrania pozycji Elementy można skonfigurować ustawienia, które mają zastosowanie do aplikacji obsługujące etykiety poufności, takie jak Office Word i Outlook. Jeśli ta opcja nie zostanie wybrana, zobaczysz pierwszą stronę tych ustawień, ale nie możesz ich skonfigurować, a etykiety nie będą dostępne dla użytkowników do wybrania w tych aplikacjach.

    • Jeśli wybrano opcję Grupy & witryn , możesz skonfigurować ustawienia dotyczące grup platformy Microsoft 365 i witryn dla aplikacji Teams i SharePoint. Jeśli ta opcja nie zostanie wybrana, zobaczysz pierwszą stronę tych ustawień, ale nie możesz ich skonfigurować, a etykiety nie będą dostępne dla użytkowników do wybrania dla grup i witryny.

    Aby uzyskać informacje o zakresie schematyzowanych zasobów danych, zobacz Automatyczne etykietowanie zawartości w Mapa danych w Microsoft Purview.

  4. Postępuj zgodnie z monitami o konfigurację ustawień etykiety.

    Aby uzyskać więcej informacji na temat ustawień etykiet, zobacz Co etykiety poufności mogą zrobić z informacji przeglądowych i skorzystaj z pomocy interfejsu użytkownika dla poszczególnych ustawień.

  5. Powtórz te kroki, aby utworzyć więcej etykiet. Jeśli jednak chcesz utworzyć etykietę podrzędną, najpierw wybierz etykietę nadrzędną i wybierz pozycję ... w polu Więcej akcji, a następnie wybierz pozycję Dodaj etykietę podrzędną.

  6. Po utworzeniu wszystkich potrzebnych etykiet przejrzyj ich kolejność i w razie potrzeby przenieś je w górę lub w dół. Aby zmienić kolejność etykiety, wybierz pozycję ... w polu Więcej akcji, a następnie wybierz pozycję Przenieś w górę lub Przenieś w dół. Aby uzyskać więcej informacji, zobacz Priorytet etykiety (kolejność ma znaczenie) z informacji przeglądowych.

Aby edytować istniejącą etykietę, wybierz ją, a następnie wybierz przycisk Edytuj etykietę :

Przycisk Edytuj etykietę, aby edytować etykietę poufności.

Ten przycisk uruchamia konfigurację Edytuj etykietę poufności , która umożliwia zmianę wszystkich ustawień etykiety w kroku 4.

Nie usuwaj etykiety, chyba że rozumiesz wpływ na użytkowników. Aby uzyskać więcej informacji, zobacz sekcję Usuwanie i usuwanie etykiet .

Uwaga

Jeśli edytujesz etykietę, która została już opublikowana przy użyciu zasad etykiety, po zakończeniu konfiguracji nie są wymagane żadne dodatkowe kroki. Na przykład nie trzeba dodawać ich do nowych zasad etykiet, aby zmiany stały się dostępne dla tych samych użytkowników. Zaczekaj jednak na replikację zmian do wszystkich aplikacji i usług przez maksymalnie 24 godziny.

Dopóki nie opublikujesz etykiet, nie będą one dostępne do wybrania w aplikacjach lub usługach. Aby opublikować etykiety, należy je dodać do zasad etykiet.

Ważne

Na tej karcie Etykiety nie wybieraj karty Publikuj etykiety (ani przycisku Publikuj etykietę podczas edytowania etykiety), chyba że musisz utworzyć nowe zasady etykiet. Wiele zasad etykiet jest potrzebnych tylko wtedy, gdy użytkownicy potrzebują różnych etykiet lub różnych ustawień zasad. Dążyć do posiadania jak najmniejszej liczby zasad etykiet — nierzadko należy mieć tylko jedną zasadę etykiet dla organizacji.

Dodatkowe ustawienia etykiet za pomocą programu PowerShell security & Compliance

Dodatkowe ustawienia etykiety są dostępne za pomocą polecenia cmdlet Set-Label z programu PowerShell Security & Compliance.

Przykład:

  • Użyj parametru LocaleSettings dla wdrożeń międzynarodowych, aby użytkownicy widzieli nazwę etykiety i etykietkę narzędzia w języku lokalnym. Poniższa sekcja zawiera przykładową konfigurację, która określa nazwę etykiety i tekst etykietki narzędzia dla języka francuskiego, włoskiego i niemieckiego.

  • Ustawienia zaawansowane obsługiwane przez wbudowane etykietowanie są zawarte w dokumentacji programu PowerShell. Aby uzyskać więcej pomocy w określaniu tych ustawień zaawansowanych programu PowerShell, zobacz porady programu PowerShell dotyczące określania ustawień zaawansowanych . Aby uzyskać dodatkowe zaawansowane ustawienia obsługiwane przez klienta ujednoliconego etykietowania usługi Azure Information Protection, zapoznaj się z dokumentacją przewodnika administratora tego klienta.

Przykładowa konfiguracja umożliwiająca skonfigurowanie etykiety poufności dla różnych języków

W poniższym przykładzie przedstawiono konfigurację programu PowerShell dla etykiety o nazwie "Public" z tekstem zastępczym etykietki narzędzia. W tym przykładzie nazwa etykiety i tekst etykietki narzędzia są skonfigurowane dla języka francuskiego, włoskiego i niemieckiego.

W wyniku tej konfiguracji użytkownicy, którzy mają aplikacje pakietu Office korzystające z tych języków wyświetlania, widzą nazwy etykiet i etykietki narzędzi w tym samym języku. Podobnie jeśli masz zainstalowanego klienta ujednoliconego etykietowania usługi Azure Information Protection w celu etykietowania plików z Eksplorator plików, użytkownicy, którzy mają te wersje językowe systemu Windows, widzą nazwy etykiet i etykietki narzędzi w języku lokalnym, gdy używają akcji kliknięcia prawym przyciskiem myszy do etykietowania.

W przypadku języków, które należy obsługiwać, użyj identyfikatorów języka pakietu Office (znanych również jako tagi języka) i określ własne tłumaczenie nazwy etykiety i etykietki narzędzia.

Przed uruchomieniem poleceń w programie PowerShell należy najpierw nawiązać połączenie z programem PowerShell security & Compliance.

$Languages = @("fr-fr","it-it","de-de")
$DisplayNames=@("Publique","Publico","Oeffentlich")
$Tooltips = @("Texte Français","Testo italiano","Deutscher text")
$label = "Public"
$DisplayNameLocaleSettings = [PSCustomObject]@{LocaleKey='DisplayName';
Settings=@(
@{key=$Languages[0];Value=$DisplayNames[0];}
@{key=$Languages[1];Value=$DisplayNames[1];}
@{key=$Languages[2];Value=$DisplayNames[2];})}
$TooltipLocaleSettings = [PSCustomObject]@{LocaleKey='Tooltip';
Settings=@(
@{key=$Languages[0];Value=$Tooltips[0];}
@{key=$Languages[1];Value=$Tooltips[1];}
@{key=$Languages[2];Value=$Tooltips[2];})}
Set-Label -Identity $Label -LocaleSettings (ConvertTo-Json $DisplayNameLocaleSettings -Depth 3 -Compress),(ConvertTo-Json $TooltipLocaleSettings -Depth 3 -Compress)

Porady programu PowerShell dotyczące określania ustawień zaawansowanych

Mimo że można określić etykietę poufności według jej nazwy, zalecamy użycie identyfikatora GUID etykiety, aby uniknąć potencjalnych pomyłek dotyczących określania nazwy etykiety lub nazwy wyświetlanej. Nazwa etykiety jest unikatowa w dzierżawie, więc możesz mieć pewność, że konfigurujesz poprawną etykietę. Nazwa wyświetlana nie jest unikatowa i może spowodować skonfigurowanie nieprawidłowej etykiety. Aby znaleźć identyfikator GUID i potwierdzić zakres etykiety:

Get-Label | Format-Table -Property DisplayName, Name, Guid, ContentType

Aby usunąć ustawienie zaawansowane z etykiety poufności, użyj tej samej składni parametrów AdvancedSettings, ale określ wartość ciągu o wartości null. Przykład:

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{DefaultSharingScope=""}

Aby sprawdzić konfigurację etykiety, w tym ustawienia zaawansowane, użyj następującej składni z własnym identyfikatorem GUID etykiety:

(Get-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e).settings

Publikowanie etykiet poufności przez utworzenie zasad etykiet

  1. Z portal zgodności Microsoft Purview wybierz pozycję RozwiązaniaZasady > etykiet ochrony informacji >

  2. Na stronie Zasady etykiet wybierz pozycję Publikuj etykietę , aby rozpocząć konfigurację tworzenia zasad :

    Publikowanie etykiet.

    Uwaga

    Domyślnie dzierżawy nie mają żadnych zasad etykiet i musisz je utworzyć.

  3. Na stronie Wybieranie etykiet poufności do opublikowania wybierz link Wybierz etykiety poufności do opublikowania . Wybierz etykiety, które chcesz udostępnić w aplikacjach i usługach, a następnie wybierz pozycję Dodaj.

    Ważne

    Jeśli wybierzesz etykietę podrzędną, upewnij się, że wybrano również jej etykietę nadrzędną.

  4. Przejrzyj wybrane etykiety i aby wprowadzić wszelkie zmiany, wybierz pozycję Edytuj. W przeciwnym razie wybierz pozycję Dalej.

  5. Postępuj zgodnie z monitami, aby skonfigurować ustawienia zasad.

    Wyświetlane ustawienia zasad są zgodne z zakresem wybranych etykiet. Jeśli na przykład wybrano etykiety, które mają tylko zakres Elementy , ustawienia zasad Domyślnie zastosuj tę etykietę do grup i witryn oraz Wymagają od użytkowników zastosowania etykiety do ich grup i witryn.

    Aby uzyskać więcej informacji na temat tych ustawień, zobacz Jakie zasady etykiet można zrobić z informacji przeglądowych i skorzystaj z pomocy w interfejsie użytkownika dla poszczególnych ustawień.

    W przypadku etykiet skonfigurowanych dla zasobów Mapa danych w Microsoft Purview (wersja zapoznawcza): etykiety te nie mają żadnych skojarzonych ustawień zasad.

  6. Powtórz te kroki, jeśli potrzebujesz różnych ustawień zasad dla różnych użytkowników lub zakresów. Na przykład chcesz mieć dodatkowe etykiety dla grupy użytkowników lub inną etykietę domyślną dla podzestawu użytkowników. Lub jeśli skonfigurowano etykiety tak, aby miały różne zakresy.

  7. Jeśli utworzysz więcej niż jedną zasadę etykiety, która może spowodować konflikt użytkownika, przejrzyj kolejność zasad i w razie potrzeby przenieś je w górę lub w dół. Aby zmienić kolejność zasad etykiet, wybierz pozycję ... w polu Więcej akcji, a następnie wybierz pozycję Przenieś w górę lub Przenieś w dół. Aby uzyskać więcej informacji, zobacz Priorytet zasad etykiety (kolejność ma znaczenie) z informacji przeglądowych.

Ukończenie konfiguracji tworzenia zasad powoduje automatyczne opublikowanie zasad etykiety. Aby wprowadzić zmiany w opublikowanych zasadach, po prostu edytuj je. Nie ma określonej akcji publikowania ani ponownego publikowania do wybrania.

Aby edytować istniejące zasady etykiet, wybierz je, a następnie wybierz przycisk Edytuj zasady :

Edytowanie etykiety poufności.

Ten przycisk uruchamia konfigurację tworzenia zasad , która umożliwia edytowanie etykiet, które są dołączone, oraz ustawień etykiet. Po zakończeniu konfiguracji wszelkie zmiany są automatycznie replikowane do wybranych użytkowników i usług.

Dodatkowe ustawienia zasad etykiet za pomocą programu PowerShell & zgodności z zabezpieczeniami

Dodatkowe ustawienia zasad etykiet są dostępne za pomocą polecenia cmdlet Set-LabelPolicy z programu PowerShell Security & Compliance.

Ta dokumentacja zawiera zaawansowane ustawienia, które są obsługiwane przez wbudowane etykietowanie. Aby uzyskać dodatkowe zaawansowane ustawienia obsługiwane przez klienta ujednoliconego etykietowania usługi Azure Information Protection, zapoznaj się z dokumentacją przewodnika administratora tego klienta.

Kiedy należy spodziewać się wprowadzenia nowych etykiet i zmian

W przypadku ustawień zasad etykiet i etykiet zezwalaj na propagację zmian za pośrednictwem usług przez 24 godziny. Istnieje wiele zależności zewnętrznych, z których każda ma własne cykle chronometrażu, dlatego warto odczekać ten 24-godzinny okres, zanim spędzisz czas na rozwiązywaniu problemów z etykietami i zasadami etykiet dla ostatnich zmian.

Istnieją jednak pewne scenariusze, w których zmiany zasad etykiet i etykiet mogą obowiązywać znacznie szybciej lub trwać dłużej niż 24 godziny. Na przykład w przypadku nowych i usuniętych etykiet poufności dla programów Word, Excel i PowerPoint w sieci Web aktualizacje mogą być replikowane w ciągu godziny. Jednak w przypadku konfiguracji, które zależą od wprowadzenia nowych zmian członkostwa w grupie i grupie, lub ograniczeń opóźnienia replikacji sieci i przepustowości, te zmiany mogą potrwać od 24 do 48 godzin.

Używanie programu PowerShell na potrzeby etykiet poufności i ich zasad

Teraz możesz użyć programu PowerShell security & Compliance , aby utworzyć i skonfigurować wszystkie ustawienia widoczne w centrum administracyjnym etykietowania. Oznacza to, że oprócz używania programu PowerShell do ustawień, które nie są dostępne w centrach administracyjnych etykietowania, można teraz w pełni utworzyć skrypt tworzenia i konserwacji etykiet poufności i zasad etykiet poufności.

Zapoznaj się z następującą dokumentacją dotyczącą obsługiwanych parametrów i wartości:

Porada

Podczas konfigurowania ustawień zaawansowanych etykiety poufności warto odwołać się do porad programu PowerShell dotyczących określania sekcji ustawień zaawansowanych na tej stronie.

Możesz również użyć funkcji Remove-Label i Remove-LabelPolicy , jeśli musisz wykonać skrypt usuwania etykiet poufności lub zasad etykiet poufności. Jednak przed usunięciem etykiet poufności upewnij się, że przeczytano następną sekcję.

Usuwanie i usuwanie etykiet

W środowisku produkcyjnym jest mało prawdopodobne, że konieczne będzie usunięcie etykiet poufności z zasad etykiet lub usunięcie etykiet poufności. Jest bardziej prawdopodobne, że może być konieczne przeprowadzenie jednej lub jednej z tych akcji w początkowej fazie testowania. Upewnij się, że rozumiesz, co się stanie, gdy wykonasz jedną z tych akcji.

Usunięcie etykiety z zasad etykiety jest mniej ryzykowne niż usunięcie tej etykiety i zawsze można ją dodać później, jeśli zajdzie taka potrzeba. Nie będzie można usunąć etykiety, jeśli jest ona nadal w zasadach etykiet.

Gdy usuniesz etykietę z zasad etykiety, aby etykieta nie była już publikowana dla pierwotnie określonych użytkowników, następnym razem, gdy zasady etykiet zostaną odświeżone, użytkownicy nie będą już widzieć tej etykiety do wybrania w aplikacjach pakietu Office. Jeśli ta etykieta jest już zastosowana, etykieta nie zostanie usunięta z zawartości ani kontenera. Na przykład użytkownicy, którzy używają wbudowanego etykietowania w aplikacjach klasycznych dla programów Word, Excel i PowerPoint, nadal widzą nazwę zastosowanej etykiety na pasku stanu. Zastosowana etykieta kontenera nadal chroni witrynę usługi Teams lub SharePoint.

Dla porównania po usunięciu etykiety:

  • Jeśli etykieta zastosowała szyfrowanie, bazowy szablon ochrony jest archiwizowany, aby można było nadal otwierać wcześniej chronioną zawartość. Z powodu tego zarchiwizowanego szablonu ochrony nie będzie można utworzyć nowej etykiety o tej samej nazwie. Mimo że można usunąć szablon ochrony przy użyciu programu PowerShell, nie rób tego, chyba że na pewno nie musisz otwierać zawartości zaszyfrowanej za pomocą zarchiwizowanego szablonu.

  • W przypadku dokumentów przechowywanych w programie SharePoint lub OneDrive włączono etykiety poufności dla plików pakietu Office: po otwarciu dokumentu w Office dla sieci web etykieta nie zostanie zastosowana w aplikacji, a nazwa etykiety nie będzie już wyświetlana w kolumnie Czułość w programie SharePoint. Jeśli usunięta etykieta zastosowała szyfrowanie, a usługi mogą przetwarzać zaszyfrowaną zawartość, szyfrowanie zostanie usunięte. Akcje ruchu wychodzącego z tych usług powodują taki sam wynik. Na przykład pobierz, skopiuj do, przejdź do i otwórz za pomocą aplikacji klasycznej lub mobilnej pakietu Office. Mimo że informacje o etykiecie pozostają w metadanych pliku, aplikacje nie mogą już mapować identyfikatora etykiety na nazwę wyświetlaną, więc użytkownicy zakładają, że plik nie jest oznaczony etykietą.

  • W przypadku dokumentów przechowywanych poza programami SharePoint i OneDrive lub nie włączono etykiet poufności dla plików pakietu Office i wiadomości e-mail: Po otwarciu zawartości informacje o etykietach w metadanych pozostają, ale bez identyfikatora etykiety mapowania nazw użytkownicy nie widzą wyświetlanej zastosowanej nazwy etykiety (na przykład na pasku stanu dla aplikacji klasycznych). Jeśli usunięta etykieta zastosowała szyfrowanie, szyfrowanie pozostanie, a użytkownicy nadal będą widzieć nazwę i opis zarchiwizowanego szablonu ochrony.

  • W przypadku kontenerów, takich jak witryny w programach SharePoint i Teams: etykieta jest usuwana, a wszystkie ustawienia skonfigurowane przy użyciu tej etykiety nie są już wymuszane. Ta akcja zwykle trwa od 48 do 72 godzin w witrynach programu SharePoint i może być szybsza w przypadku aplikacji Teams i Grupy Microsoft 365.

Podobnie jak w przypadku wszystkich zmian etykiet, usunięcie etykiety poufności z zasad etykiety lub usunięcie etykiety poufności wymaga czasu na replikację do wszystkich użytkowników i usług.

Następne kroki

Aby skonfigurować i używać etykiet poufności dla określonych scenariuszy, skorzystaj z następujących artykułów:

Aby monitorować sposób użycia etykiet, zobacz Wprowadzenie do klasyfikacji danych.