Включение меток конфиденциальности для файлов Office в SharePoint и OneDriveEnable sensitivity labels for Office files in SharePoint and OneDrive

Руководство по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям.Microsoft 365 licensing guidance for security & compliance.

Внесите метки конфиденциальности для Office файлов в SharePoint и OneDrive, чтобы пользователи могли применять метки конфиденциальности Office в Интернете.Enable sensitivity labels for Office files in SharePoint and OneDrive so that users can apply your sensitivity labels in Office for the web. Когда эта функция включена, пользователи увидят кнопку "Чувствительность" на ленте, чтобы они могли применять метки, и увидеть любое примененное имя метки на панели состояния.When this feature is enabled, users will see the Sensitivity button on the ribbon so they can apply labels, and see any applied label name on the status bar.

Включение этой функции также SharePoint и OneDrive возможность обработки содержимого файлов, зашифрованных с помощью метки конфиденциальности.Enabling this feature also results in SharePoint and OneDrive being able to process the contents of files that have been encrypted by using a sensitivity label. Метка может применяться в Office веб Office или в настольных приложениях, а также загружаться или SharePoint и OneDrive.The label can be applied in Office for the web, or in Office desktop apps and uploaded or saved in SharePoint and OneDrive. Пока эта функция не включается, эти службы не могут обрабатывать зашифрованные файлы, что означает, что совместное открытие, eDiscovery, предотвращение потери данных, поиск и другие функции совместной работы не будут работать для этих файлов.Until you enable this feature, these services can't process encrypted files, which means that coauthoring, eDiscovery, Data Loss Prevention, search, and other collaborative features won't work for these files.

После ввести метки конфиденциальности для Office файлов в SharePoint и OneDrive, для новых и измененных файлов с меткой чувствительности, применяемой шифрованием с облачным ключом (и не используемое шифрование двойныхключей):After you enable sensitivity labels for Office files in SharePoint and OneDrive, for new and changed files that have a sensitivity label that applies encryption with a cloud-based key (and doesn't use Double Key Encryption):

  • Для Word Excel и PowerPoint файлы SharePoint и OneDrive распознают метку и теперь могут обрабатывать содержимое зашифрованного файла.For Word, Excel, and PowerPoint files, SharePoint and OneDrive recognize the label and can now process the contents of the encrypted file.

  • При загрузке или доступе к этим файлам из SharePoint или OneDrive, метка конфиденциальности и любые параметры шифрования с метки применяются и остаются с файлом, где бы он ни хранился.When users download or access these files from SharePoint or OneDrive, the sensitivity label and any encryption settings from the label are enforced and remain with the file, wherever it is stored. Убедитесь, что вы предоставляете пользователю рекомендации по использованию только меток для защиты документов.Ensure you provide user guidance to use only labels to protect documents. Дополнительные сведения см. в меню Параметры управления правами на информацию (IRM) и метки конфиденциальности.For more information, see Information Rights Management (IRM) options and sensitivity labels.

  • Когда пользователи загружают помеченные и зашифрованные файлы в SharePoint или OneDrive, они должны иметь по крайней мере права просмотра этих файлов.When users upload labeled and encrypted files to SharePoint or OneDrive, they must have at least view rights to those files. Например, они могут открывать файлы за пределами SharePoint.For example, they can open the files outside SharePoint. Если они не имеют этого права на минимальное использование, загрузка успешно, но служба не распознает метку и не может обрабатывать содержимое файла.If they don't have this minimum usage right, the upload is successful but the service doesn't recognize the label and can't process the file contents.

  • Используйте Office веб-страницы (Word, Excel, PowerPoint) для открытия и редактирования Office с метами конфиденциальности, которые применяют шифрование.Use Office for the web (Word, Excel, PowerPoint) to open and edit Office files that have sensitivity labels that apply encryption. Разрешения, которые были назначены с помощью шифрования, применяются.The permissions that were assigned with the encryption are enforced. Для этих документов также можно использовать автометку.You can also use auto-labeling for these documents.

  • Внешние пользователи могут получать доступ к документам, помеченным шифрованием, с помощью учетных записей гостей.External users can access documents that are labeled with encryption by using guest accounts. Дополнительные сведения см. в материалах Support for external users and labeled content.For more information, see Support for external users and labeled content.

  • Office 365 eDiscovery поддерживает полнотексовое поиск этих файлов, а политики предотвращения потери данных (DLP) поддерживают контент в этих файлах.Office 365 eDiscovery supports full-text search for these files and Data Loss Prevention (DLP) policies support content in these files.

Примечание

Если шифрование было применено с помощью локального ключа (топология управления ключом, часто именуемая "удержание собственного ключа" или HYOK), или с помощью шифрования двойных ключей, поведение службы для обработки содержимого файла не меняется.If encryption has been applied with an on-premises key (a key management topology often referred to as "hold your own key" or HYOK), or by using Double Key Encryption, the service behavior for processing the file contents doesn't change. Поэтому для этих файлов совместная работа, поиск, открытие электронных данных, предотвращение потери данных, поиск и другие функции совместной работы не будут работать.So for these files, coauthoring, eDiscovery, Data Loss Prevention, search, and other collaborative features won't work.

Поведение SharePoint и OneDrive также не меняется для существующих файлов в этих расположениях, помеченных шифрованием с помощью одного ключа на основе Azure.The SharePoint and OneDrive behavior also doesn't change for existing files in these locations that are labeled with encryption using a single Azure-based key. Чтобы эти файлы могли воспользоваться новыми возможностями после добавления меток конфиденциальности для Office файлов SharePoint и OneDrive, файлы должны быть загружены и загружены повторно или изменены.For these files to benefit from the new capabilities after you enable sensitivity labels for Office files in SharePoint and OneDrive, the files must be either downloaded and uploaded again, or edited.

После ввести метки конфиденциальности для Office файлов в SharePoint и OneDrive доступны три новых события аудита для мониторинга меток чувствительности, применяемых к документам в SharePoint и OneDrive:After you enable sensitivity labels for Office files in SharePoint and OneDrive, three new audit events are available for monitoring sensitivity labels that are applied to documents in SharePoint and OneDrive:

  • Метка конфиденциальности применена к файлуApplied sensitivity label to file
  • Метка конфиденциальности, примененная к файлу, измененаChanged sensitivity label applied to file
  • Метка конфиденциальности, примененная к файлу, удаленаRemoved sensitivity label from file

Просмотрите следующее видео (без звука), чтобы увидеть новые возможности в действии:Watch the following video (no audio) to see the new capabilities in action:

У вас всегда есть выбор, чтобы отключить метки конфиденциальности для Office файловв SharePoint и OneDrive (отказ) в любое время.You always have the choice to disable sensitivity labels for Office files in SharePoint and OneDrive (opt-out) at any time.

Если в настоящее время вы защищаете документы в SharePoint с помощью SharePoint управления правами на информацию (IRM), обязательно ознакомьтесь с разделом управления правами на SharePoint информации (IRM) и меток конфиденциальности на этой странице.If you are currently protecting documents in SharePoint by using SharePoint Information Rights Management (IRM), be sure to check the SharePoint Information Rights Management (IRM) and sensitivity labels section on this page.

ТребованияRequirements

Эти новые возможности работают только с метами конфиденциальности.These new capabilities work with sensitivity labels only. Если в настоящее время у вас есть метки Azure Information Protection, сначала перенаселите их на метки конфиденциальности, чтобы включить эти функции для новых файлов, которые вы загружаете.If you currently have Azure Information Protection labels, first migrate them to sensitivity labels so that you can enable these features for new files that you upload. Дополнительные сведения об этом процессе см. в статье Перенос меток Azure Information Protection на платформу унифицированных меток конфиденциальности.For instructions, see How to migrate Azure Information Protection labels to unified sensitivity labels.

Используйте OneDrive синхронизацию версии приложения 19.002.0121.0008 или более поздней версии Windows и версии 19.002.0107.0008 или более поздней версии на Mac.Use the OneDrive sync app version 19.002.0121.0008 or later on Windows, and version 19.002.0107.0008 or later on Mac. Обе эти версии были выпущены 28 января 2019 г. и в настоящее время выпущены для всех колец.Both these versions were released January 28, 2019, and are currently released to all rings. Дополнительные сведения см. в OneDrive заметки о выпуске.For more information, see the OneDrive release notes. После включить метки конфиденциальности для Office файлов в SharePoint и OneDrive, пользователям, которые запускают более старую версию приложения синхронизации, будет предложено обновить его.After you enable sensitivity labels for Office files in SharePoint and OneDrive, users who run an older version of the sync app are prompted to update it.

ОграниченияLimitations

  • Power Query и настраиваемые надстройки с Excel в Интернете. Если эти файлы зашифрованы меткой конфиденциальности, SharePoint и OneDrive не могут обрабатывать файлы, чтобы пользователи не могли открыть их в Office в Интернете.Power Query and custom add-ins with Excel on the web: If these files are encrypted with a sensitivity label, SharePoint and OneDrive can't process the files so users won't be able to open them in Office on the web. Для этих файлов либо нанесите метку без шифрования, чтобы их можно было открыть в Office в Интернете, либо поручить пользователям открывать файлы в своих настольных приложениях.For these files, either apply a label without encryption so that they can be opened in Office on the web, or instruct users to open the files in their desktop apps.

  • Если у вас возникли проблемы с открытием помеченных и зашифрованных файлов в Office в Интернете, попробуйте следующее:If you experience problems opening labeled and encrypted files in Office on the web, try the following:

    1. Откройте файл в Office настольном приложении.Open the file in the Office desktop app.
    2. Удалите метку, применяемую для шифрования.Remove the label that applies encryption.
    3. Сохраните файл в исходном расположении (SharePoint или OneDrive) и закроите настольное приложение.Save the file in the original location (SharePoint or OneDrive), and close the desktop app.
    4. Откройте файл в Office в Интернете и повторно откройте оригинальную метку, которая применяет шифрование.Open the file in Office on the web, and reapply the original label that applies encryption.
  • SharePoint и OneDrive автоматически не применяйте метки конфиденциальности к существующим файлам, которые вы уже зашифрованы с помощью меток Azure Information Protection.SharePoint and OneDrive don't automatically apply sensitivity labels to existing files that you've already encrypted using Azure Information Protection labels. Вместо этого, чтобы функции работали после того, как вы включаете метки конфиденциальности для Office файлов в SharePoint и OneDrive, выполните эти задачи:Instead, for the features to work after you enable sensitivity labels for Office files in SharePoint and OneDrive, complete these tasks:

    1. Убедитесь, что вы переназначили метки Azure Information Protection на метки конфиденциальности и опубликовали их из центра Microsoft 365 соответствия требованиям или центра администрирования эквивалентной маркировки.Make sure you have migrated the Azure Information Protection labels to sensitivity labels and published them from the Microsoft 365 compliance center, or equivalent labeling admin center.
    2. Скачайте файлы и загрузите их в SharePoint.Download the files and then upload them to SharePoint.
  • SharePoint и OneDrive не могут обрабатывать зашифрованные файлы, если метка, которая применяла шифрование, имеет любую из следующих конфигураций для шифрования:SharePoint and OneDrive can't process encrypted files when the label that applied the encryption has any of the following configurations for encryption:

    • Разрешить пользователям назначать разрешения при применении метки и если выбран флажок предлагать пользователям указать разрешения в Word, PowerPoint и Excel.Let users assign permissions when they apply the label and the checkbox In Word, PowerPoint, and Excel, prompt users to specify permissions is selected. Этот параметр иногда называют "пользовательскими разрешениями".This setting is sometimes referred to as "user-defined permissions".
    • Для параметра Срок действия доступа пользователей к содержимому истекает установлено значение, отличное от никогда.User access to content expires is set to a value other than Never.
    • Выбрано: Шифрование с двойным ключом.Double Key Encryption is selected.

    Для меток с любой из этих конфигураций шифрования метки не отображаются пользователям в Office веб-сайта.For labels with any of these encryption configurations, the labels aren't displayed to users in Office for the web. Кроме того, новые возможности нельзя использовать с помеченными документами, которые уже имеют эти параметры шифрования.Additionally, the new capabilities can't be used with labeled documents that already have these encryption settings. Например, эти документы не будут возвращены в результатах поиска, даже если они обновлены.For example, these documents won't be returned in search results, even if they are updated.

  • Пользователи могут испытывать задержки с открытием зашифрованных документов в следующем сценарии Save As: Using a desktop version of Office, пользователь выбирает save As для документа с меткой конфиденциальности, применяемой шифрованием.Users might experience delays in being able to open encrypted documents in the following Save As scenario: Using a desktop version of Office, a user chooses Save As for a document that has a sensitivity label that applies encryption. Пользователь выбирает SharePoint или OneDrive для расположения, а затем немедленно пытается открыть этот документ Office веб-страницы.The user selects SharePoint or OneDrive for the location, and then immediately tries to open that document in Office for the web. Если служба по-прежнему обрабатывает шифрование, пользователь видит сообщение о том, что документ должен быть открыт в своем настольном приложении.If the service is still processing the encryption, the user sees a message that the document must be opened in their desktop app. Если они попытаются повторить попытку через пару минут, документ успешно откроется Office веб-страницы.If they try again in a couple of minutes, the document successfully opens in Office for the web.

  • Для зашифрованных документов печать не поддерживается.For encrypted documents, printing is not supported.

  • Для зашифрованного документа, который предоставляет пользователю разрешения на редактирование, копирование не может быть заблокировано в веб-версиях Office приложений.For an encrypted document that grants edit permissions to a user, copying can't be blocked in the web versions of the Office apps.

  • По умолчанию Office и мобильные приложения не поддерживают совместное авторство файлов, помеченных шифрованием.By default, Office desktop apps and mobile apps don't support co-authoring for files that are labeled with encryption. Эти приложения продолжают открывать помеченные и зашифрованные файлы в эксклюзивном режиме редактирования.These apps continue to open labeled and encrypted files in exclusive editing mode.

    Примечание

    Теперь совместное авторство поддерживается в предварительном просмотре.Co-authoring is now supported in preview. Дополнительные сведения см. в публикации Enable co-authoring for files encrypted with sensitivity labels.For more information, see Enable co-authoring for files encrypted with sensitivity labels.

  • Если администратор изменяет параметры опубликованных меток, которые уже применяются к файлам, скачамым для клиента синхронизации пользователей, пользователи не смогут сохранить изменения, внесенные в файл в папке OneDrive Sync.If an admin changes settings for a published label that's already applied to files downloaded to users' sync client, users might be unable to save changes they make to the file in their OneDrive Sync folder. Этот сценарий применяется к файлам, помеченным шифрованием, а также при изменении метки с метки, которая не применяла шифрование к мете, применяемой шифрованием.This scenario applies to files that are labeled with encryption, and also when the label change is from a label that didn't apply encryption to a label that does apply encryption. Пользователи видят красный круг сошибкой с белым крестом и просят сохранить новые изменения в виде отдельной копии.Users see a red circle with a white cross icon error, and they are asked to save new changes as a separate copy. Вместо этого они могут закрыть и открыть файл или Office веб-страницу.Instead, they can close and reopen the file, or use Office for the web.

  • Если помеченный документ загружается в SharePoint или OneDrive и метка применяется шифрование с помощью учетной записи с основным именем службы, документ не может быть открыт в Office для веб-сайта.If a labeled document is uploaded to SharePoint or OneDrive and the label applied encryption by using an account from a service principal name, the document can't be opened in Office for the web. Примеры сценариев включают Microsoft Cloud App Security и файл, отправленный Teams по электронной почте.Example scenarios include Microsoft Cloud App Security and a file sent to Teams by email.

  • Пользователи могут испытывать проблемы с сохранением после отключения или в режиме сна, когда вместо использования Office в Интернете, они используют настольные и мобильные приложения для Word, Excel или PowerPoint.Users can experience save problems after going offline or into a sleep mode when instead of using Office for the web, they use the desktop and mobile apps for Word, Excel, or PowerPoint. Для этих пользователей, когда они возобновляют сеанс Приложение Office и пытаются сохранить изменения, они видят сообщение о сбое отправки с возможностью сохранить копию вместо сохранения исходного файла.For these users, when they resume their Office app session and try to save changes, they see an upload failure message with an option to save a copy instead of saving the original file.

  • Документы, зашифрованные следующими способами, не могут быть открыты Office веб-сайте:Documents that have been encrypted in the following ways can't be opened in Office for the web:

    • Шифрование с локальной клавишей ("удерживайте собственный ключ" или HYOK)Encryption that uses an on-premises key ("hold your own key" or HYOK)
    • Шифрование, примененное с помощью шифрования двойных ключейEncryption that was applied by using Double Key Encryption
    • Шифрование, которое применялось независимо от метки, например, путем непосредственного применения шаблона защиты управления правами.Encryption that was applied independently from a label, for example, by directly applying a Rights Management protection template.
  • Метки, настроенные для других языков, не поддерживаются и отображают только исходный язык.Labels configured for other languages are not supported and display the original language only.

  • Захваты экрана не могут быть предотвращены для зашифрованных документов.Screen captures can't be prevented for encrypted documents. Дополнительные сведения см. в статью Can Rights Management prevent screen captures?For more information, see Can Rights Management prevent screen captures?

  • Если удалить метку, которая была применена к документу в SharePoint или OneDrive, а не удалить метку из применимой политики меток, документ при загрузке не будет помечен или зашифрован.If you delete a label that's been applied to a document in SharePoint or OneDrive, rather than remove the label from the applicable label policy, the document when downloaded won't be labeled or encrypted. Для сравнения, если помеченный документ хранится за пределами SharePoint или OneDrive, документ остается зашифрованным, если метка удалена.In comparison, if the labeled document is stored outside SharePoint or OneDrive, the document remains encrypted if the label is deleted. Обратите внимание, что хотя метки можно удалить на этапе тестирования, удаление метки в производственной среде очень редко.Note that although you might delete labels during a testing phase, it's very rare to delete a label in a production environment.

Как включить метки конфиденциальности для SharePoint и OneDrive (в)How to enable sensitivity labels for SharePoint and OneDrive (opt-in)

Новые возможности можно включить с помощью центра Microsoft 365 соответствия требованиям или с помощью PowerShell.You can enable the new capabilities by using the Microsoft 365 compliance center, or by using PowerShell. Как и во всех изменениях конфигурации на уровне клиента для SharePoint и OneDrive, для внесения изменений требуется около 15 минут.As with all tenant-level configuration changes for SharePoint and OneDrive, it takes about 15 minutes for the change to take effect.

Используйте центр соответствия требованиям, чтобы включить поддержку меток конфиденциальностиUse the compliance center to enable support for sensitivity labels

Этот параметр является самым простым способом включить метки конфиденциальности для SharePoint и OneDrive, но вы должны войти в качестве глобального администратора для клиента.This option is the easiest way to enable sensitivity labels for SharePoint and OneDrive, but you must sign in as a global administrator for your tenant.

  1. Войдите в центр Microsoft 365 в качестве глобального администратора и перейдите к защите информации > решенийSign in to the Microsoft 365 compliance center as a global administrator, and navigate to Solutions > Information protection

    Если этот параметр не отображается сразу, сначала выберите пункт Показать все.If you don't immediately see this option, first select Show all.

  2. Если вы видите сообщение, которое включит возможность обработки контента в Office файлах, выберите Включить сейчас:If you see a message to turn on the ability to process content in Office online files, select Turn on now:

    Включаем кнопку теперь, чтобы включить метки конфиденциальности для Office Online

    Команда запускается немедленно, и когда страница будет обновлена, сообщение или кнопку больше не будут видеть.The command runs immediately and when the page is next refreshed, you no longer see the message or button.

Примечание

Если у вас Microsoft 365 multi-Geo, необходимо использовать PowerShell, чтобы включить эти возможности для всех географических местоположений.If you have Microsoft 365 Multi-Geo, you must use PowerShell to enable these capabilities for all your geo-locations. Подробнее см. в следующем разделе.See the next section for details.

Использование PowerShell для поддержки меток конфиденциальностиUse PowerShell to enable support for sensitivity labels

В качестве альтернативы использованию центра соответствия требованиям можно включить поддержку меток конфиденциальности с помощью комлета Set-SPOTenant из SharePoint PowerShell.As an alternative to using the compliance center, you can enable support for sensitivity labels by using the Set-SPOTenant cmdlet from SharePoint Online PowerShell.

Если у вас Microsoft 365-Geo, необходимо использовать PowerShell, чтобы включить эту поддержку для всех географических местоположений.If you have Microsoft 365 Multi-Geo, you must use PowerShell to enable this support for all your geo-locations.

Подготовка SharePoint сетевой оболочки управленияPrepare the SharePoint Online Management Shell

Перед запуском команды PowerShell, чтобы включить метки конфиденциальности для Office файлов в SharePoint и OneDrive, убедитесь, что вы запустите SharePoint версии Online Management Shell 16.0.0.19418.12000 или более поздней версии.Before you run the PowerShell command to enable sensitivity labels for Office files in SharePoint and OneDrive, ensure that you're running SharePoint Online Management Shell version 16.0.19418.12000 or later. Если у вас уже есть последняя версия, можно перейти к следующей процедуре для запуска команды PowerShell.If you already have the latest version, you can skip to next procedure to run the PowerShell command.

  1. Если у вас установлена предыдущая версия командной консоли SharePoint Online из коллекции PowerShell, вы можете обновить модуль, выполнив следующий командлет.If you have installed a previous version of the SharePoint Online Management Shell from PowerShell gallery, you can update the module by running the following cmdlet.

    Update-Module -Name Microsoft.Online.SharePoint.PowerShell
    
  2. Кроме того, если вы установили предыдущую версию SharePoint online Management Shell из Центра загрузки Майкрософт, вы также можете перейти к добавлению или удалению программ и удалить SharePoint online Management Shell.Alternatively, if you have installed a previous version of the SharePoint Online Management Shell from the Microsoft Download Center, you can also go to Add or remove programs and uninstall the SharePoint Online Management Shell.

  3. В веб-браузере перейдите на страницу Центра загрузки и скачайте последнюю версию командной консоли SharePoint Online.In a web browser, go to the Download Center page and Download the latest SharePoint Online Management Shell.

  4. Выберите язык и нажмите кнопку Скачать.Select your language and then click Download.

  5. Выберите разрядность файла MSI (x64 или x86).Choose between the x64 and x86 .msi file. Скачайте файл x64, если вы запустите 64-битную версию Windows или файл x86 при запуске 32-битной версии.Download the x64 file if you run the 64-bit version of Windows or the x86 file if you run the 32-bit version. Если вы не знаете, см. в Windows версии операционной системы?If you don’t know, see Which version of Windows operating system am I running?

  6. После скачивания файла запустите файл и выполните действия мастера настройки.After you have downloaded the file, run the file and follow the steps in the Setup Wizard.

Запустите команду PowerShell, чтобы включить поддержку меток конфиденциальностиRun the PowerShell command to enable support for sensitivity labels

Чтобы включить новые возможности, используйте комлет Set-SPOTenant с параметром EnableAIPIntegration:To enable the new capabilities, use the Set-SPOTenant cmdlet with the EnableAIPIntegration parameter:

  1. С помощью учетной записи работы или учебного заведения с глобальными привилегиями администратора SharePoint администратора в Microsoft 365 подключите SharePoint.Using a work or school account that has global administrator or SharePoint admin privileges in Microsoft 365, connect to SharePoint. Сведения о том, как это сделать, см. в статье Начало работы с командной консолью SharePoint Online.To learn how, see Getting started with SharePoint Online Management Shell.

    Примечание. Если у вас Microsoft 365 Multi-Geo, используйте параметр -URL с Подключение-SPOServiceи укажите URL-адрес SharePoint Центра администрирования для одного из ваших геолокационных местоположений.Note: If you have Microsoft 365 Multi-Geo, use the -Url parameter with Connect-SPOService, and specify the SharePoint Online Administration Center site URL for one of your geo-locations.

  2. Запустите следующую команду и нажмите кнопку Y, чтобы подтвердить:Run the following command and press Y to confirm:

    Set-SPOTenant -EnableAIPIntegration $true
    
  3. Для Microsoft 365 Multi-Geo: повторите шаги 1 и 2 для каждого из оставшихся геолокационных объектов.For Microsoft 365 Multi-Geo: Repeat steps 1 and 2 for each of your remaining geo-locations.

Публикация и изменение меток конфиденциальностиPublishing and changing sensitivity labels

При использовании меток конфиденциальности с SharePoint и OneDrive следует помнить, что необходимо разрешить время репликации при публикации новых меток чувствительности или обновлении существующих меток чувствительности.When you use sensitivity labels with SharePoint and OneDrive, keep in mind that you need to allow for replication time when you publish new sensitivity labels or update existing sensitivity labels. Это особенно важно для новых меток, которые применяют шифрование.This is especially important for new labels that apply encryption.

Например: вы создаете и публикуете новую метку конфиденциальности, которая применяет шифрование, и она очень быстро появляется в настольном приложении пользователя.For example: You create and publish a new sensitivity label that applies encryption and it very quickly appears in a user's desktop app. Пользователь применяет эту метку к документу, а затем загружает его в SharePoint или OneDrive.The user applies this label to a document and then uploads it to SharePoint or OneDrive. Если репликация меток не завершена для службы, новые возможности не будут применены к этому документу при загрузке.If the label replication hasn't completed for the service, the new capabilities won't be applied to that document on upload. В результате документ не будет возвращен в поиске или для поиска электронной почты, а документ не может быть открыт Office веб-сайте.As a result, the document won't be returned in search or for eDiscovery and the document can't be opened in Office for the web.

Следующие изменения реплицируется в течение одного часа: новые и удаленные метки конфиденциальности, а также параметры политики меток чувствительности, которые включают в политику метки.The following changes replicate within one hour: New and deleted sensitivity labels, and sensitivity label policy settings that include which labels are in the policy.

Следующие изменения реплицируется в течение 24 часов. Изменения параметров меток чувствительности для существующих меток.The following changes replicate within 24 hours: Changes to sensitivity label settings for existing labels.

Поскольку задержка репликации для новых меток конфиденциальности составляет всего один час, маловероятно, что в этом примере вы сможете запустить сценарий.Because the replication delay is only one hour for new sensitivity labels, you are unlikely to run into the scenario in the example. Но в качестве гарантии рекомендуется сначала опубликовать новые метки нескольким пользователям тестирования, подождать час, а затем проверить поведение меток в SharePoint и OneDrive.But as a safeguard, we recommend publishing new labels to just a few test users first, wait for an hour, and then verify the label behavior on SharePoint and OneDrive. В качестве последнего шага сделайте метку доступной для большего пользователей, добавив больше пользователей в существующую политику меток или добавьте метку в существующую политику меток для стандартных пользователей.As the final step, make the label available to more users by either adding more users to the existing label policy, or add the label to an existing label policy for your standard users. На момент, когда стандартные пользователи видят метку, она уже синхронизирована с SharePoint и OneDrive.At the time your standard users see the label, it has already synchronized to SharePoint and OneDrive.

SharePoint Метки управления правами на информацию (IRM) и метки конфиденциальностиSharePoint Information Rights Management (IRM) and sensitivity labels

SharePoint управления правами на информацию (IRM) — это более старая технология для защиты файлов на уровне списка и библиотеки путем применения шифрования и ограничений при загрузке файлов.SharePoint Information Rights Management (IRM) is an older technology to protect files at the list and library level by applying encryption and restrictions when files are downloaded. Эта более старая технология защиты предназначена для предотвращения открытия файла несанкционированными пользователями во время его SharePoint.This older protection technology is designed to prevent unauthorized users from opening the file while it's outside SharePoint.

Для сравнения, метки чувствительности помимо шифрования предоставляют параметры защиты визуальных разметок (заготки, подножки, водяные знаки).In comparison, sensitivity labels provide the protection settings of visual markings (headers, footers, watermarks) in addition to encryption. Параметры шифрования поддерживают полный диапазон прав на использование, чтобы ограничить то, что пользователи могут делать с содержимым, и для многих сценариев поддерживаются одинаковые метки конфиденциальности.The encryption settings support the full range of usage rights to restrict what users can do with the content, and the same sensitivity labels are supported for many scenarios. Использование того же метода защиты с согласованными настройками между рабочими нагрузками и приложениями приводит к последовательной стратегии защиты.Using the same protection method with consistent settings across workloads and apps results in a consistent protection strategy.

Тем не менее, вы можете использовать оба решения защиты вместе, и поведение будет следующим образом:However, you can use both protection solutions together and the behavior is as follows:

  • Если вы загрузите файл с меткой конфиденциальности, которая применяет шифрование, SharePoint не сможет обрабатывать содержимое этих файлов, поэтому совместное, eDiscovery, DLP и поиск не поддерживаются для этих файлов.If you upload a file with a sensitivity label that applies encryption, SharePoint can't process the content of these files so coauthoring, eDiscovery, DLP, and search are not supported for these files.

  • Если вы маркировали файл с Office веб-сайта, применяются все параметры шифрования с метки.If you label a file using Office for the web, any encryption settings from the label are enforced. Для этих файлов поддерживаются совместное, электронное открытие, DLP и поиск.For these files, coauthoring, eDiscovery, DLP, and search are supported.

  • Если вы скачиваете файл, помеченный с помощью Office веб-сайта, метка сохраняется, а все параметры шифрования из метки применяются, а не параметры ограничений IRM.If you download a file that's labeled by using Office for the web, the label is retained and any encryption settings from the label are enforced rather than the IRM restriction settings.

  • Если вы скачиваете Office или PDF-файл, который не шифруется с меткой конфиденциальности, применяются параметры IRM.If you download an Office or PDF file that isn't encrypted with a sensitivity label, IRM settings are applied.

  • Если вы включили любой из дополнительных параметров библиотеки IRM, которые включают предотвращение отправки пользователями документов, не поддерживаюющих IRM, эти параметры применяются.If you have enabled any of the additional IRM library settings, which include preventing users from uploading documents that don't support IRM, these settings are enforced.

При таком поведении вы можете быть уверены, что все Office и PDF-файлы защищены от несанкционированного доступа, если они загружены, даже если они не помечены.With this behavior, you can be assured that all Office and PDF files are protected from unauthorized access if they are downloaded, even if they aren't labeled. Однако загруженные файлы с меткой не будут пользоваться преимуществами новых возможностей.However, labeled files that are uploaded won't benefit from the new capabilities.

Поиск документов с помощью метки конфиденциальностиSearch for documents by sensitivity label

Используйте управляемое свойство InformationProtectionLabelId, чтобы найти все документы в SharePoint или OneDrive с определенной меткой конфиденциальности.Use the managed property InformationProtectionLabelId to find all documents in SharePoint or OneDrive that have a specific sensitivity label. Используйте следующий синтаксис: InformationProtectionLabelId:<GUID>Use the following syntax: InformationProtectionLabelId:<GUID>

Например, для поиска всех документов, помеченных как "Конфиденциальные", и эта метка имеет GUID "8faca7b8-8d20-48a3-8ea2-0f96310a848e", в поле поиска введите:For example, to search for all documents that have been labeled as "Confidential", and that label has a GUID of "8faca7b8-8d20-48a3-8ea2-0f96310a848e", in the search box, type:

InformationProtectionLabelId: 8faca7b8-8d20-48a3-8ea2-0f96310a848e

Чтобы получить GUID-коды для меток конфиденциальности, используйте кодлет Get-Label:To get the GUIDs for your sensitivity labels, use the Get-Label cmdlet:

  1. Сначала подключитесь к PowerShell Центра безопасности и соответствия требованиям Office 365.First, connect to Office 365 Security & Compliance Center PowerShell.

    Например, в сеансе PowerShell, который вы запускаете как администратор, войдите в систему с помощью учетной записи глобального администратора.For example, in a PowerShell session that you run as administrator, sign in with a global administrator account.

  2. Затем запустите следующую команду:Then run the following command:

    Get-Label |ft Name, Guid    
    

Дополнительные сведения об использовании управляемых свойств см. в SharePoint.For more information about using managed properties, see Manage the search schema in SharePoint.

Удаление шифрования для помеченного документаRemove encryption for a labeled document

Могут быть редкие случаи, когда администратору SharePoint удалить шифрование из документа, хранимом в SharePoint.There might be rare occasions when a SharePoint administrator needs to remove encryption from a document stored in SharePoint. Любой пользователь, которому назначено право управления правами на экспорт или полный контроль для этого документа, может удалить шифрование, примененное службой управления правами Azure из Azure Information Protection.Any user who has the Rights Management usage right of Export or Full Control assigned to them for that document can remove encryption that was applied by the Azure Rights Management service from Azure Information Protection. Например, пользователи с одним из этих прав на использование могут заменить метку, применяемую шифрование, меткой без шифрования.For example, users with either of these usage rights can replace a label that applies encryption with a label without encryption. Кроме того, супер-пользователь может скачать файл и сохранить локализованную копию без шифрования.Alternatively, a super user could download the file and save a local copy without the encryption.

В качестве альтернативы глобальный администратор или администратор SharePoint может запустить команды Unlock-SPOSensitivityLabelEncryptedFile, которые удаляют метку конфиденциальности и шифрование. As an alternative, a global admin or SharePoint admin can run the Unlock-SPOSensitivityLabelEncryptedFile cmdlet, which removes both the sensitivity label and the encryption. Этот комдлет выполняется, даже если у администратора нет разрешений на доступ к сайту или файлу, или если служба управления правами Azure недоступна.This cmdlet runs even if the admin doesn't have access permissions to the site or file, or if the Azure Rights Management service is unavailable.

Пример:For example:

Unlock-SPOSensitivityLabelEncryptedFile -FileUrl "https://contoso.com/sites/Marketing/Shared Documents/Doc1.docx" -JustificationText "Need to decrypt this file"

Требования:Requirements:

  • SharePoint Online Management Shell версии 16.0.20616.12000 или более поздней версии.SharePoint Online Management Shell version 16.0.20616.12000 or later.

  • Шифрование было применено меткой конфиденциальности с настройками шифрования, определенными администратором (параметры Присвоения разрешений теперь помечены).The encryption has been applied by a sensitivity label with admin-defined encryption settings (the Assign permissions now label settings). Шифрование двойных ключей не поддерживается для этого комлета.Double Key Encryption is not supported for this cmdlet.

Текст обоснования добавляется в событие аудита метки Удаленная чувствительность из файла, а действие расшифровки также записываются в журнале использования защиты для Azure Information Protection.The justification text is added to the audit event of Removed sensitivity label from file, and the decryption action is also recorded in the protection usage logging for Azure Information Protection.

Отключение меток конфиденциальности для SharePoint и OneDrive (отказ)How to disable sensitivity labels for SharePoint and OneDrive (opt-out)

Если отключить эти новые возможности, файлы, загруженные после включения меток конфиденциальности для SharePoint и OneDrive, по-прежнему будут защищены меткой, так как параметры метки продолжают применяться.If you disable these new capabilities, files that you uploaded after you enabled sensitivity labels for SharePoint and OneDrive continue to be protected by the label because the label settings continue to be enforced. При применении меток конфиденциальности к новым файлам после отключения этих новых возможностей полный текст поиска, поиска электронных данных и совместной работы больше не будет.When you apply sensitivity labels to new files after you disable these new capabilities, full-text search, eDiscovery, and coauthoring will no longer work.

Чтобы отключить эти новые возможности, необходимо использовать PowerShell.To disable these new capabilities, you must use PowerShell. С помощью SharePoint online Management Shell и команды Set-SPOTenant укажите тот же параметр EnableAIPIntegration, как описано в разделе Use PowerShell, чтобы включить поддержку меток конфиденциальности.Using the SharePoint Online Management Shell and the Set-SPOTenant cmdlet, specify the same EnableAIPIntegration parameter as described in the Use PowerShell to enable support for sensitivity labels section. Но на этот раз установите значение параметра false и нажмите Y, чтобы подтвердить:But this time, set the parameter value to false and press Y to confirm:

Set-SPOTenant -EnableAIPIntegration $false

Если у вас Microsoft 365 multi-Geo, необходимо выполнить эту команду для каждого из ваших геолокационных местоположений.If you have Microsoft 365 Multi-Geo, you must run this command for each of your geo-locations.

Дальнейшие действияNext steps

После включения меток конфиденциальности для Office файлов в SharePoint и OneDrive, рассмотрите возможность автоматической маркировки этих файлов с помощью политик автоматической маркировки.After you've enabled sensitivity labels for Office files in SharePoint and OneDrive, consider automatically labeling these files by using auto-labeling policies. Дополнительные сведения см. в материалах Apply a sensitivity label to content automatically.For more information, see Apply a sensitivity label to content automatically.

Требуется предоставить общий доступ к помеченным зашифрованным документам пользователям за пределами вашей организации?Need to share your labeled and encrypted documents with people outside your organization? См. раздел Совместное использование зашифрованных документов с внешними пользователями.See Sharing encrypted documents with external users.