Tworzenie i konfigurowanie etykiet poufności i ich zasad

Microsoft 365 wskazówki dotyczące licencjonowania dotyczące zgodności & zabezpieczeń.

Uwaga

Microsoft 365 zgodność jest teraz nazywana usługą Microsoft Purview, a rozwiązania w obszarze zgodności zostały przemianowane. Aby uzyskać więcej informacji na temat usługi Microsoft Purview, zobacz ogłoszenie w blogu.

Wszystkie rozwiązania Microsoft Purview Information Protection są implementowane przy użyciu etykiet poufności. Aby utworzyć i opublikować te etykiety, przejdź do portal zgodności Microsoft Purview.

Najpierw utwórz i skonfiguruj etykiety poufności, które chcesz udostępnić aplikacjom i innym usługom. Na przykład etykiety, które użytkownicy mają wyświetlać i stosować z Office aplikacji.

Następnie utwórz co najmniej jedną zasadę etykiet zawierającą skonfigurowane etykiety i ustawienia zasad. To zasady etykiet publikują etykiety i ustawienia dla wybranych użytkowników i lokalizacji.

Przed rozpoczęciem

Administrator globalny organizacji ma pełne uprawnienia do tworzenia wszystkich aspektów etykiet poufności i zarządzania nimi. Jeśli nie logujesz się jako administrator globalny, zobacz Uprawnienia wymagane do tworzenia etykiet poufności i zarządzania nimi.

Tworzenie i konfigurowanie etykiet poufności

  1. Z portal zgodności Microsoft Purview wybierz pozycję SolutionsInformation > protectionLabels >

  2. Na stronie Etykiety wybierz pozycję + Utwórz etykietę , aby rozpocząć nową konfigurację etykiet poufności:

    Utwórz etykietę poufności.

    Uwaga

    Domyślnie dzierżawy nie mają żadnych etykiet i musisz je utworzyć. Etykiety na przykładowym obrazie pokazują etykiety domyślne, które zostały zmigrowane z usługi Azure Information Protection.

  3. Na stronie Definiowanie zakresu dla tej etykiety wybrane opcje określają zakres etykiety dla ustawień, które można skonfigurować i gdzie będą widoczne po opublikowaniu:

    Zakresy etykiet poufności.

    • Jeśli wybrano opcję Pliki & wiadomości e-mail, możesz skonfigurować ustawienia dotyczące aplikacji obsługujące etykiety poufności, takie jak Office Word i Outlook. Jeśli ta opcja nie zostanie wybrana, zobaczysz pierwszą stronę tych ustawień, ale nie możesz ich skonfigurować, a etykiety nie będą dostępne dla użytkowników do wybrania w tych aplikacjach.

    • Jeśli wybrano opcję Grupy & lokacje, można skonfigurować ustawienia dotyczące grup Microsoft 365 i witryn dla Teams i SharePoint. Jeśli ta opcja nie zostanie wybrana, zobaczysz pierwszą stronę tych ustawień, ale nie możesz ich skonfigurować, a etykiety nie będą dostępne dla użytkowników do wybrania dla grup i witryny.

    Aby uzyskać informacje o zakresie schematyzowanych zasobów danych, zobacz Automatyczne etykietowanie zawartości w Microsoft Purview Mapowanie danych.

  4. Postępuj zgodnie z monitami o konfigurację ustawień etykiety.

    Aby uzyskać więcej informacji na temat ustawień etykiet, zobacz Co etykiety poufności mogą zrobić z informacji przeglądowych i skorzystaj z pomocy interfejsu użytkownika dla poszczególnych ustawień.

  5. Powtórz te kroki, aby utworzyć więcej etykiet. Jeśli jednak chcesz utworzyć etykietę podrzędną, najpierw wybierz etykietę nadrzędną i wybierz pozycję ... w polu Więcej akcji, a następnie wybierz pozycję Dodaj etykietę podrzędną.

  6. Po utworzeniu wszystkich potrzebnych etykiet przejrzyj ich kolejność i w razie potrzeby przenieś je w górę lub w dół. Aby zmienić kolejność etykiety, wybierz pozycję ... w polu Więcej akcji, a następnie wybierz pozycję Przenieś w górę lub Przenieś w dół. Aby uzyskać więcej informacji, zobacz Priorytet etykiety (kolejność ma znaczenie) z informacji przeglądowych.

Aby edytować istniejącą etykietę, wybierz ją, a następnie wybierz przycisk Edytuj etykietę :

Przycisk Edytuj etykietę, aby edytować etykietę poufności.

Ten przycisk uruchamia konfigurację Edytuj etykietę poufności , która umożliwia zmianę wszystkich ustawień etykiety w kroku 4.

Nie usuwaj etykiety, chyba że rozumiesz wpływ na użytkowników. Aby uzyskać więcej informacji, zobacz sekcję Usuwanie i usuwanie etykiet .

Uwaga

Jeśli edytujesz etykietę, która została już opublikowana przy użyciu zasad etykiety, po zakończeniu konfiguracji nie są wymagane żadne dodatkowe kroki. Na przykład nie trzeba dodawać ich do nowych zasad etykiet, aby zmiany stały się dostępne dla tych samych użytkowników. Zaczekaj jednak na replikację zmian do wszystkich aplikacji i usług przez maksymalnie 24 godziny.

Dopóki nie opublikujesz etykiet, nie będą one dostępne do wybrania w aplikacjach lub usługach. Aby opublikować etykiety, należy je dodać do zasad etykiet.

Ważne

Na tej karcie Etykiety nie wybieraj karty Publikuj etykiety (ani przycisku Publikuj etykietę podczas edytowania etykiety), chyba że musisz utworzyć nowe zasady etykiet. Wiele zasad etykiet jest potrzebnych tylko wtedy, gdy użytkownicy potrzebują różnych etykiet lub różnych ustawień zasad. Dążyć do posiadania jak najmniejszej liczby zasad etykiet — nierzadko należy mieć tylko jedną zasadę etykiet dla organizacji.

Dodatkowe ustawienia etykiet za pomocą programu PowerShell Centrum zgodności usługi Security &

Dodatkowe ustawienia etykiety są dostępne za pomocą polecenia cmdlet Set-Label z programu PowerShell Centrum zgodności usługi Security &.

Przykład:

  • Użyj parametru LocaleSettings dla wdrożeń międzynarodowych, aby użytkownicy widzieli nazwę etykiety i etykietkę narzędzia w języku lokalnym. Poniższa sekcja zawiera przykładową konfigurację, która określa nazwę etykiety i tekst etykietki narzędzia dla języka francuskiego, włoskiego i niemieckiego.

  • Klient ujednoliconego etykietowania platformy Azure Information Protection obsługuje obszerną listę zaawansowanych ustawień, które obejmują ustawianie koloru etykiety i stosowanie właściwości niestandardowej po zastosowaniu etykiety. Aby uzyskać pełną listę, zobacz Dostępne ustawienia zaawansowane dla etykiet z tego przewodnika administratora klienta.

Przykładowa konfiguracja umożliwiająca skonfigurowanie etykiety poufności dla różnych języków

W poniższym przykładzie przedstawiono konfigurację programu PowerShell dla etykiety o nazwie "Public" z tekstem zastępczym etykietki narzędzia. W tym przykładzie nazwa etykiety i tekst etykietki narzędzia są skonfigurowane dla języka francuskiego, włoskiego i niemieckiego.

W wyniku tej konfiguracji użytkownicy, którzy mają Office aplikacje korzystające z tych języków wyświetlania, widzą nazwy etykiet i etykietki narzędzi w tym samym języku. Podobnie, jeśli masz zainstalowanego klienta ujednoliconego etykietowania usługi Azure Information Protection w celu etykietowania plików z Eksplorator plików, użytkownicy, którzy mają te wersje językowe Windows widzą nazwy etykiet i etykietki narzędzi w języku lokalnym, gdy używają akcji kliknięcia prawym przyciskiem myszy do etykietowania.

W przypadku języków, które należy obsługiwać, użyj identyfikatorów języka Office (znanych również jako tagi języka) i określ własne tłumaczenie nazwy etykiety i etykietki narzędzia.

Przed uruchomieniem poleceń w programie PowerShell należy najpierw nawiązać połączenie z programem PowerShell & Security & Compliance Center.

$Languages = @("fr-fr","it-it","de-de")
$DisplayNames=@("Publique","Publico","Oeffentlich")
$Tooltips = @("Texte Français","Testo italiano","Deutscher text")
$label = "Public"
$DisplayNameLocaleSettings = [PSCustomObject]@{LocaleKey='DisplayName';
Settings=@(
@{key=$Languages[0];Value=$DisplayNames[0];}
@{key=$Languages[1];Value=$DisplayNames[1];}
@{key=$Languages[2];Value=$DisplayNames[2];})}
$TooltipLocaleSettings = [PSCustomObject]@{LocaleKey='Tooltip';
Settings=@(
@{key=$Languages[0];Value=$Tooltips[0];}
@{key=$Languages[1];Value=$Tooltips[1];}
@{key=$Languages[2];Value=$Tooltips[2];})}
Set-Label -Identity $Label -LocaleSettings (ConvertTo-Json $DisplayNameLocaleSettings -Depth 3 -Compress),(ConvertTo-Json $TooltipLocaleSettings -Depth 3 -Compress)

Publikowanie etykiet poufności przez utworzenie zasad etykiet

  1. Z portal zgodności Microsoft Purview wybierz pozycję RozwiązaniaZasadyinformacjiZasady > > etykiet

  2. Na stronie Zasady etykiet wybierz pozycję Publikuj etykietę , aby rozpocząć konfigurację tworzenia zasad :

    Publikowanie etykiet.

    Uwaga

    Domyślnie dzierżawy nie mają żadnych zasad etykiet i musisz je utworzyć.

  3. Na stronie Wybieranie etykiet poufności do opublikowania wybierz link Wybierz etykiety poufności do opublikowania . Wybierz etykiety, które chcesz udostępnić w aplikacjach i usługach, a następnie wybierz pozycję Dodaj.

    Ważne

    Jeśli wybierzesz etykietę podrzędną, upewnij się, że wybrano również jej etykietę nadrzędną.

  4. Przejrzyj wybrane etykiety i aby wprowadzić wszelkie zmiany, wybierz pozycję Edytuj. W przeciwnym razie wybierz pozycję Dalej.

  5. Postępuj zgodnie z monitami, aby skonfigurować ustawienia zasad.

    Wyświetlane ustawienia zasad są zgodne z zakresem wybranych etykiet. Jeśli na przykład wybrano etykiety z zakresem Pliki & wiadomości e-mail , ustawienia zasad Domyślnie zastosuj tę etykietę do grup i witryn oraz Wymagaj od użytkowników zastosowania etykiety do ich grup i witryn.

    Aby uzyskać więcej informacji na temat tych ustawień, zobacz Jakie zasady etykiet można zrobić z informacji przeglądowych i skorzystaj z pomocy w interfejsie użytkownika dla poszczególnych ustawień.

    W przypadku etykiet skonfigurowanych dla zasobów Microsoft Purview Data Map (wersja zapoznawcza): etykiety te nie mają żadnych skojarzonych ustawień zasad.

  6. Powtórz te kroki, jeśli potrzebujesz różnych ustawień zasad dla różnych użytkowników lub zakresów. Na przykład chcesz mieć dodatkowe etykiety dla grupy użytkowników lub inną etykietę domyślną dla podzestawu użytkowników. Lub jeśli skonfigurowano etykiety tak, aby miały różne zakresy.

  7. Jeśli utworzysz więcej niż jedną zasadę etykiety, która może spowodować konflikt użytkownika, przejrzyj kolejność zasad i w razie potrzeby przenieś je w górę lub w dół. Aby zmienić kolejność zasad etykiet, wybierz pozycję ... w polu Więcej akcji, a następnie wybierz pozycję Przenieś w górę lub Przenieś w dół. Aby uzyskać więcej informacji, zobacz Priorytet zasad etykiety (kolejność ma znaczenie) z informacji przeglądowych.

Ukończenie konfiguracji tworzenia zasad powoduje automatyczne opublikowanie zasad etykiety. Aby wprowadzić zmiany w opublikowanych zasadach, po prostu edytuj je. Nie ma określonej akcji publikowania ani ponownego publikowania do wybrania.

Aby edytować istniejące zasady etykiet, wybierz je, a następnie wybierz przycisk Edytuj zasady :

Edytowanie etykiety poufności.

Ten przycisk uruchamia konfigurację tworzenia zasad , która umożliwia edytowanie etykiet, które są dołączone, oraz ustawień etykiet. Po zakończeniu konfiguracji wszelkie zmiany są automatycznie replikowane do wybranych użytkowników i usług.

Dodatkowe ustawienia zasad etykiet za pomocą programu PowerShell Centrum zgodności & zabezpieczeń

Dodatkowe ustawienia zasad etykiet są dostępne za pomocą polecenia cmdlet Set-LabelPolicy z programu PowerShell Security & Compliance Center.

Klient ujednoliconego etykietowania platformy Azure Information Protection obsługuje wiele zaawansowanych ustawień, które obejmują migrowanie z innych rozwiązań do etykietowania oraz wyskakujące komunikaty w Outlook, które ostrzegają, uzasadniają lub blokują wysyłanie wiadomości e-mail. Aby uzyskać pełną listę, zobacz Dostępne ustawienia zaawansowane dla zasad etykiet w przewodniku administratora tego klienta.

Kiedy należy spodziewać się wprowadzenia nowych etykiet i zmian

W przypadku ustawień zasad etykiet i etykiet zezwalaj na propagację zmian za pośrednictwem usług przez 24 godziny. Istnieje wiele zależności zewnętrznych, z których każda ma własne cykle chronometrażu, dlatego warto odczekać ten 24-godzinny okres, zanim spędzisz czas na rozwiązywaniu problemów z etykietami i zasadami etykiet dla ostatnich zmian.

Istnieją jednak pewne scenariusze, w których zmiany zasad etykiet i etykiet mogą obowiązywać znacznie szybciej lub trwać dłużej niż 24 godziny. Na przykład w przypadku nowych i usuniętych etykiet poufności dla programów Word, Excel i PowerPoint w sieci Web aktualizacje mogą być replikowane w ciągu godziny. Jednak w przypadku konfiguracji, które zależą od wprowadzenia nowych zmian członkostwa w grupie i grupie, lub ograniczeń opóźnienia replikacji sieci i przepustowości, te zmiany mogą potrwać od 24 do 48 godzin.

Używanie programu PowerShell na potrzeby etykiet poufności i ich zasad

Teraz możesz użyć programu PowerShell Security & Compliance Center , aby utworzyć i skonfigurować wszystkie ustawienia widoczne w centrum administracyjnym etykietowania. Oznacza to, że oprócz używania programu PowerShell do ustawień, które nie są dostępne w centrach administracyjnych etykietowania, można teraz w pełni utworzyć skrypt tworzenia i konserwacji etykiet poufności i zasad etykiet poufności.

Zapoznaj się z następującą dokumentacją dotyczącą obsługiwanych parametrów i wartości:

Możesz również użyć funkcji Remove-Label i Remove-LabelPolicy , jeśli musisz wykonać skrypt usuwania etykiet poufności lub zasad etykiet poufności. Jednak przed usunięciem etykiet poufności upewnij się, że przeczytano następującą sekcję.

Usuwanie i usuwanie etykiet

W środowisku produkcyjnym jest mało prawdopodobne, że konieczne będzie usunięcie etykiet poufności z zasad etykiet lub usunięcie etykiet poufności. Jest bardziej prawdopodobne, że może być konieczne przeprowadzenie jednej lub jednej z tych akcji w początkowej fazie testowania. Upewnij się, że rozumiesz, co się stanie, gdy wykonasz jedną z tych akcji.

Usunięcie etykiety z zasad etykiety jest mniej ryzykowne niż usunięcie tej etykiety i zawsze można ją dodać później, jeśli zajdzie taka potrzeba. Nie będzie można usunąć etykiety, jeśli jest ona nadal w zasadach etykiet.

Po usunięciu etykiety z zasad etykiety, aby etykieta nie była już publikowana dla pierwotnie określonych użytkowników, przy następnym odświeżeniu zasad etykiety użytkownicy nie widzą już tej etykiety do wybrania w swoich aplikacjach Office. Jeśli ta etykieta jest już zastosowana, etykieta nie zostanie usunięta z zawartości ani kontenera. Na przykład użytkownicy korzystający z wbudowanych etykiet w aplikacjach klasycznych dla programu Word, Excel i PowerPoint nadal widzą nazwę zastosowanej etykiety na pasku stanu. Zastosowana etykieta kontenera nadal chroni witrynę Teams lub SharePoint.

Dla porównania po usunięciu etykiety:

  • Jeśli etykieta zastosowała szyfrowanie, bazowy szablon ochrony jest archiwizowany, aby można było nadal otwierać wcześniej chronioną zawartość. Z powodu tego zarchiwizowanego szablonu ochrony nie będzie można utworzyć nowej etykiety o tej samej nazwie. Mimo że można usunąć szablon ochrony przy użyciu programu PowerShell, nie rób tego, chyba że na pewno nie musisz otwierać zawartości zaszyfrowanej za pomocą zarchiwizowanego szablonu.

  • W przypadku dokumentów przechowywanych w SharePoint lub OneDrive i włączono etykiety poufności dla plików Office: po otwarciu dokumentu w Office dla sieci web etykieta nie zostanie zastosowana w aplikacji, a nazwa etykiety nie będzie już wyświetlana w kolumnie Czułość w SharePoint. Jeśli usunięta etykieta zastosowała szyfrowanie, a usługi mogą przetwarzać zaszyfrowaną zawartość, szyfrowanie zostanie usunięte. Egress akcje z tych usług powodują taki sam wynik. Na przykład pobierz, skopiuj do, przejdź do i otwórz za pomocą Office aplikacji klasycznej lub mobilnej. Mimo że informacje o etykiecie pozostają w metadanych pliku, aplikacje nie mogą już mapować identyfikatora etykiety na nazwę wyświetlaną, więc użytkownicy zakładają, że plik nie jest oznaczony etykietą.

  • W przypadku dokumentów przechowywanych poza SharePoint i OneDrive lub nie włączono etykiet poufności dla plików Office i wiadomości e-mail: Po otwarciu zawartości informacje o etykiecie w metadanych pozostają, ale bez identyfikatora etykiety mapowania nazw użytkownicy nie widzą wyświetlanej zastosowanej nazwy etykiety (na przykład na pasku stanu dla aplikacji klasycznych). Jeśli usunięta etykieta zastosowała szyfrowanie, szyfrowanie pozostanie, a użytkownicy nadal będą widzieć nazwę i opis zarchiwizowanego szablonu ochrony.

  • W przypadku kontenerów, takich jak witryny w SharePoint i Teams: etykieta jest usuwana, a wszystkie ustawienia skonfigurowane przy użyciu tej etykiety nie są już wymuszane. Ta akcja zwykle trwa od 48 do 72 godzin dla SharePoint witryn i może być szybsza w przypadku Teams i Grupy Microsoft 365.

Podobnie jak w przypadku wszystkich zmian etykiet, usunięcie etykiety poufności z zasad etykiety lub usunięcie etykiety poufności wymaga czasu na replikację do wszystkich użytkowników i usług.

Następne kroki

Aby skonfigurować i używać etykiet poufności dla określonych scenariuszy, skorzystaj z następujących artykułów:

Aby monitorować sposób użycia etykiet, zobacz Wprowadzenie z klasyfikacją danych.