Включение меток конфиденциальности для файлов Office в SharePoint и OneDrive

Руководство по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям.

Примечание

Центр соответствия требованиям Microsoft 365 теперь называется Microsoft Purview, а названия решений в области соответствия требованиям были изменены. Дополнительные сведения о Microsoft Purview см. в объявлении блога и в статье "Что такое Microsoft Purview?".

Включите встроенные метки для Office файлов SharePoint и OneDrive, чтобы пользователи могли применять метки конфиденциальности в Office для Интернета. Если эта функция включена, пользователи будут видеть кнопку "Конфиденциальность" на ленте, чтобы они могли применять метки, и видеть любое примененное имя метки в строке состояния.

Включение этой функции также SharePoint и OneDrive возможность обработки содержимого Office файлов, зашифрованных с помощью метки конфиденциальности. Метку можно применять в Office для Интернета или Office классических приложениях, а также отправлять или сохранять в SharePoint и OneDrive. Пока вы не включите эту функцию, эти службы не смогут обрабатывать зашифрованные файлы, что означает, что совместное редактирование, обнаружение электронных данных, Microsoft Purview защиты от потери данных, поиск и другие функции совместной работы не будут работать для этих файлов.

После включения меток конфиденциальности для файлов Office в SharePoint и OneDrive для новых и измененных файлов с меткой конфиденциальности, которая применяет шифрование с помощью облачного ключа (и не использует шифрование с двойным ключом:

  • Для файлов Word, Excel и PowerPoint, SharePoint и OneDrive распознают метку и теперь могут обрабатывать содержимое зашифрованного файла.

  • Когда пользователи скачиваются или имеют доступ к этим файлам из SharePoint или OneDrive, метка конфиденциальности и любые параметры шифрования из метки применяются и остаются с файлом, где бы он ни был сохранен. Убедитесь, что вы предоставляете пользователю рекомендации по использованию только меток для защиты документов. Дополнительные сведения см. в разделе Rights Management (IRM) и метках конфиденциальности.

  • Когда пользователи отправляют помеченные и зашифрованные файлы в SharePoint или OneDrive, они должны иметь по крайней мере права на просмотр этих файлов. Например, они могут открывать файлы за пределами SharePoint. Если у них нет этого права на минимальное использование, отправка выполнена успешно, но служба не распознает метку и не может обработать содержимое файла.

  • Используйте Office для Интернета (Word, Excel, PowerPoint) для открытия и редактирования Office с метками конфиденциальности, которые применяют шифрование. Применяются разрешения, назначенные с помощью шифрования. Для этих документов также можно использовать автоматическое присвоение меток.

  • Внешние пользователи могут получать доступ к документам, помеченным шифрованием, с помощью гостевых учетных записей. Дополнительные сведения см. в разделе "Поддержка внешних пользователей и содержимого с меткой".

  • Office 365 eDiscovery поддерживает полнотекстовый поиск этих файлов, а политики защиты от потери данных (DLP) — содержимое этих файлов.

Примечание

Если шифрование было применено с помощью локального ключа (топология управления ключами, часто называемая "удержанием собственного ключа" или HYOK) или с помощью двойного шифрования ключей , поведение службы для обработки содержимого файла не изменяется. Поэтому для этих файлов совместное редактирование, обнаружение электронных данных, защита от потери данных, поиск и другие функции для совместной работы не будут работать.

Поведение SharePoint и OneDrive также не изменяется для существующих файлов в этих расположениях, помеченных шифрованием с помощью одного ключа на основе Azure. Чтобы использовать новые возможности этих файлов после включения меток конфиденциальности для Office-файлов в SharePoint и OneDrive, файлы должны быть загружены и загружены повторно или изменены.

После включения меток конфиденциальности для файлов Office в SharePoint и OneDrive доступны три новых события аудита для мониторинга меток конфиденциальности, применяемых к документам в SharePoint и OneDrive:

  • Метка конфиденциальности применена к файлу
  • Метка конфиденциальности, примененная к файлу, изменена
  • Метка конфиденциальности, примененная к файлу, удалена

Просмотрите следующее видео (без звука), чтобы увидеть новые возможности в действии:

Вы всегда можете отключить метки конфиденциальности для Office файлов в SharePoint и OneDrive (отказ) в любое время.

Если вы в настоящее время защищаете документы в SharePoint с помощью SharePoint Information Rights Management (IRM), обязательно проверьте раздел SharePoint Information Rights Management (IRM) и метки конфиденциальности на этой странице.

Требования

Эти новые возможности работают только с метками конфиденциальности . Если у вас есть метки Azure Information Protection, сначала перенесите их на метки конфиденциальности, чтобы включить эти функции для новых файлов, которые вы отправляете. Дополнительные сведения об этом процессе см. в статье Перенос меток Azure Information Protection на платформу унифицированных меток конфиденциальности.

Используйте приложение приложение синхронизации OneDrive версии 19.002.0121.0008 или более поздней версии Windows и версии 19.002.0107.0008 или более поздней на Компьютере Mac. Обе эти версии были выпущены 28 января 2019 г. и в настоящее время выпущены для всех кругов. Дополнительные сведения см. в OneDrive выпуске. После включения меток конфиденциальности для Office файлов в SharePoint и OneDrive пользователям, которые запускают более раннюю версию приложения синхронизации, будет предложено обновить его.

Ограничения

  • SharePoint и OneDrive не могут обрабатывать некоторые файлы, помеченные и зашифрованные из классических приложений Office, если эти файлы содержат данные PowerQuery, данные, хранящиеся в пользовательских надстройках, или пользовательские XML-части, такие как свойства титульной страницы, схемы типов контента, настраиваемая панель сведений о документе и пользовательский XSN. Это ограничение также распространяется на файлы, включаемые в список литературы, и на файлы с добавленным идентификатором документа при отправке.

    Для этих файлов либо примените метку без шифрования, чтобы их можно было позже открыть в Office в Интернете, либо попросите пользователей открыть файлы в классических приложениях. Файлы, помеченные и зашифрованные только в Office в Интернете, не затрагиваются.

  • SharePoint и OneDrive не применяйте автоматически метки конфиденциальности к существующим файлам, которые вы уже зашифрованы с помощью меток Azure Information Protection. Вместо этого для работы функций после включения меток конфиденциальности для Office файлов в SharePoint и OneDrive выполните следующие задачи:

    1. Убедитесь, что вы перенесите метки Azure Information Protection метки конфиденциальности и опубликовали их из Портал соответствия требованиям Microsoft Purview.
    2. Скачайте помеченные файлы и отправьте их в исходное расположение в SharePoint или OneDrive.
  • SharePoint и OneDrive не могут обрабатывать зашифрованные файлы, если метка, которая применила шифрование, имеет любую из следующих конфигураций для шифрования:

    • Разрешить пользователям назначать разрешения при применении метки и если выбран флажок предлагать пользователям указать разрешения в Word, PowerPoint и Excel. Этот параметр иногда называют "пользовательскими разрешениями".

    • Для параметра Срок действия доступа пользователей к содержимому истекает установлено значение, отличное от никогда.

    • Выбрано: Шифрование с двойным ключом.

      Метки с любой из этих конфигураций шифрования не отображаются пользователям в Office для Интернета. Кроме того, новые возможности нельзя использовать с помеченными документами, которые уже имеют эти параметры шифрования. Например, эти документы не будут возвращены в результатах поиска, даже если они обновлены.

  • Из соображений производительности при отправке или сохранении документа в SharePoint метка файла не применяет шифрование, столбец Конфиденциальности в библиотеке документов может занять некоторое время, чтобы отобразить имя метки. Учитывать эту задержку при использовании скриптов или автоматизации, которые зависят от имени метки в этом столбце.

  • Если документ помечен во время извлечения в SharePoint, столбец "Конфиденциальность" в библиотеке документов не будет отображать имя метки, пока документ не будет извлечен и открыт в SharePoint.

  • Если помеченный и зашифрованный документ скачивается из SharePoint или OneDrive приложением или службой, использующей имя субъекта-службы, а затем снова отправляется с меткой, которая применяет различные параметры шифрования, отправка завершится ошибкой. Пример сценария— Microsoft Defender for Cloud Apps метку конфиденциальности для файла с конфиденциальной на строго конфиденциальную или с конфиденциальной на общую.

    Отправка не завершается ошибкой, если приложение или служба сначала запускает командлет Unlock-SPOSensitivityLabelEncryptedFile, как описано в разделе "Удаление шифрования для помеченного документа". Или перед отправкой исходный файл удаляется или имя файла меняется.

  • У пользователей могут возникнуть задержки при открытии зашифрованных документов в следующем сценарии сохранения как: используя классическую версию Office, пользователь выбирает команду "Сохранить как" для документа с меткой конфиденциальности, которая применяет шифрование. Пользователь выбирает SharePoint или OneDrive для расположения, а затем немедленно пытается открыть этот документ в Office для Интернета. Если служба по-прежнему обрабатывает шифрование, пользователь видит сообщение о том, что документ должен быть открыт в своем настольном приложении. Если повторить попытку через несколько минут, документ успешно откроется в Office для Интернета.

  • Для зашифрованных документов печать в Office для Интернета.

  • Для зашифрованных документов в Office для Интернета копирование в буфер обмена и снимки экрана не предотвращаются. Дополнительные сведения см. в разделе Rights Management предотвращения захвата экрана?

  • По умолчанию Office классические приложения и мобильные приложения не поддерживают совместное редактирование файлов, помеченных шифрованием. Эти приложения продолжают открывать помеченные и зашифрованные файлы в монопольном режиме редактирования.

    Примечание

    Совместное редактирование теперь поддерживается для Windows и macOS, а также в предварительной версии для iOS и Android. Дополнительные сведения см. в разделе "Включение совместного редактирования для файлов, зашифрованных с помощью меток конфиденциальности".

  • Если администратор изменяет параметры опубликованной метки, которая уже применена к файлам, загруженным в клиент синхронизации пользователей, пользователи не смогут сохранить изменения, внесенные в файл, в папке OneDrive Sync. Этот сценарий применяется к файлам, помеченным с помощью шифрования, а также при изменении метки с метки, которая не применяла шифрование к метке, применяемой к шифрованию. Пользователи видят красный круг с ошибкой с белым значком крестика, и им предлагается сохранить новые изменения в виде отдельной копии. Вместо этого они могут закрыть и снова открыть файл или использовать Office для Интернета.

  • Пользователи могут создавать проблемы с сохранением после перехода в автономный или спящий режим, когда вместо использования Office для Интернета они используют классические и мобильные приложения для Word, Excel или PowerPoint. Когда эти пользователи возобновляют сеанс Приложение Office и пытаются сохранить изменения, они видят сообщение о сбое отправки с возможностью сохранить копию вместо сохранения исходного файла.

  • Документы, зашифрованные следующими способами, невозможно открыть в Office для Интернета:

    • Шифрование, использующее локальный ключ (хранение собственного ключа или HYOK)
    • Шифрование, примененное с помощью двойного шифрования ключей
    • Шифрование, которое применялось независимо от метки, например путем непосредственного применения Rights Management защиты.
  • Метки, настроенные для других языков , не поддерживаются и отображают только исходный язык.

  • Если удалить метку, примененную к документу в SharePoint или OneDrive, а не удалить метку из применимой политики меток, документ при загрузке не будет помечен или зашифрован. Для сравнения, если документ с меткой хранится вне SharePoint или OneDrive, документ остается зашифрованным при удалении метки. Обратите внимание, что несмотря на то, что метки могут удаляться на этапе тестирования, очень редко можно удалить метку в рабочей среде.

Включение меток конфиденциальности для SharePoint и OneDrive (согласие)

Новые возможности можно включить с помощью Портал соответствия требованиям Microsoft Purview или PowerShell. Как и все изменения конфигурации на уровне клиента для SharePoint и OneDrive, для внесения изменений в силу требуется около 15 минут.

Используйте Портал соответствия требованиям Microsoft Purview, чтобы включить поддержку меток конфиденциальности

Это самый простой способ включить метки конфиденциальности для SharePoint и OneDrive, но необходимо войти в систему в качестве глобального администратора клиента.

  1. Войдите в Портал соответствия требованиям Microsoft Purview в качестве глобального администратора и перейдите к разделу "Метки защиты > > информации о решениях".

  2. Если вы видите сообщение о включении возможности обработки содержимого в Office файлов, нажмите кнопку "Включить":

    Включите кнопку "Сейчас", чтобы включить метки конфиденциальности для Office Online.

    Команда выполняется немедленно, и при следующем обновлении страницы сообщение или кнопка больше не отображаются.

Примечание

Если у вас Microsoft 365 с поддержкой нескольких регионов, необходимо использовать PowerShell, чтобы включить эти возможности для всех географических расположений. Подробнее см. в следующем разделе.

Включение поддержки меток конфиденциальности с помощью PowerShell

В качестве альтернативы использованию Портал соответствия требованиям Microsoft Purview можно включить поддержку меток конфиденциальности с помощью командлета Set-SPOTenant из SharePoint Online PowerShell.

Если у вас Microsoft 365 с поддержкой нескольких регионов, необходимо использовать PowerShell, чтобы включить эту поддержку для всех географических расположений.

Подготовка SharePoint online Management Shell

Перед выполнением команды PowerShell для включения меток конфиденциальности для файлов Office в SharePoint и OneDrive убедитесь, что вы используете командную консоль SharePoint Online версии 16.0.19418.12000 или более поздней. Если у вас уже есть последняя версия, можно перейти к следующей процедуре , чтобы выполнить команду PowerShell.

  1. Если у вас установлена предыдущая версия командной консоли SharePoint Online из коллекции PowerShell, вы можете обновить модуль, выполнив следующий командлет.

    Update-Module -Name Microsoft.Online.SharePoint.PowerShell
    
  2. Кроме того, если вы установили предыдущую версию командной консоли SharePoint Online из Центра загрузки Майкрософт, вы также можете перейти к добавлению или удалению программ и удалить командную консоль SharePoint Online.

  3. В веб-браузере перейдите на страницу Центра загрузки и скачайте последнюю версию командной консоли SharePoint Online.

  4. Выберите язык и нажмите кнопку Скачать.

  5. Выберите разрядность файла MSI (x64 или x86). Скачайте x64-файл, если вы запустите 64-разрядную версию Windows или x86-разрядный файл, если вы запустите 32-разрядную версию. Если вы не знаете, какую версию операционной Windows я выполняю?

  6. Скачав файл, запустите его и выполните действия, описанные в мастере установки.

Выполните команду PowerShell, чтобы включить поддержку меток конфиденциальности.

Чтобы включить новые возможности, используйте командлет Set-SPOTenant с параметром EnableAIPIntegration :

  1. Используя рабочую или учебную учетную запись с правами глобального администратора или SharePoint администратора в Microsoft 365, подключитесь к SharePoint. Сведения о том, как это сделать, см. в статье Начало работы с командной консолью SharePoint Online.

    Примечание

    Если вы используете Microsoft 365-geo, используйте параметр -Url с Подключение-SPOService и укажите URL-адрес сайта SharePoint Online Administration Center для одного из географических расположений.

  2. Выполните следующую команду и нажмите клавишу Y , чтобы подтвердить:

    Set-SPOTenant -EnableAIPIntegration $true
    
  3. Для Microsoft 365 нескольких регионов: повторите шаги 1 и 2 для каждого из оставшихся географических расположений.

Публикация и изменение меток конфиденциальности

При использовании меток конфиденциальности с SharePoint и OneDrive следует помнить, что необходимо разрешить время репликации при публикации новых меток конфиденциальности или обновлении существующих меток конфиденциальности. Это особенно важно для новых меток, которые применяют шифрование.

Например, вы создаете и публикуете новую метку конфиденциальности, которая применяет шифрование, и она очень быстро появляется в настольном приложении пользователя. Пользователь применяет эту метку к документу, а затем передает ее в SharePoint или OneDrive. Если репликация меток для службы не завершена, новые возможности не будут применены к документу при отправке. В результате документ не будет возвращен при поиске или обнаружении электронных данных, а документ не будет открыт в Office для Интернета.

Дополнительные сведения о периодах времени для меток см. в разделе Когда ожидать вступления в силу новых меток и изменений.

В качестве меры безопасности рекомендуется сначала опубликовать новые метки для нескольких тестовых пользователей, подождать по крайней мере один час, а затем проверить поведение меток на SharePoint и OneDrive. Подождите по крайней мере один день, прежде чем сделать метку доступной для большего число пользователей, добавив дополнительных пользователей в существующую политику меток или добавив метку в существующую политику меток для стандартных пользователей. К моменту, когда стандартные пользователи видят метку, она уже синхронизирована с SharePoint и OneDrive.

SharePoint сведений Rights Management (IRM) и меток конфиденциальности

SharePoint information Rights Management (IRM) — это более старая технология для защиты файлов на уровне списка и библиотеки путем применения шифрования и ограничений при скачии файлов. Эта старая технология защиты предназначена для предотвращения открытия файла неавторизованными пользователями, когда он находится за пределами SharePoint.

Для сравнения метки конфиденциальности предоставляют параметры защиты визуальных разметок (колонтитулов, подложек) в дополнение к шифрованию. Параметры шифрования поддерживают полный диапазон прав на использование, чтобы ограничить действия пользователей с содержимым, и одинаковые метки конфиденциальности поддерживаются во многих сценариях. Использование одного и того же метода защиты с согласованными параметрами для рабочих нагрузок и приложений приводит к согласованной стратегии защиты.

Однако вы можете использовать оба решения защиты вместе, и поведение будет следующим:

  • Если вы отправляете файл с меткой конфиденциальности, которая применяет шифрование, SharePoint не сможет обработать содержимое этих файлов, поэтому совместное редактирование, обнаружение электронных данных, защита от потери данных и поиск для этих файлов не поддерживаются.

  • Если вы помечите файл Office для Интернета, применяются все параметры шифрования из метки. Для этих файлов поддерживается совместное редактирование, обнаружение электронных данных, защита от потери данных и поиск.

  • При загрузке файла, помеченного с помощью Office для Интернета, метка сохраняется и применяются все параметры шифрования из метки, а не параметры ограничения IRM.

  • При скачии Office или PDF-файла, который не зашифрован с меткой конфиденциальности, применяются параметры IRM.

  • Если вы включили какие-либо дополнительные параметры библиотеки IRM, которые запрещают пользователям отправлять документы, которые не поддерживают IRM, эти параметры применяются.

В этом случае вы можете быть уверены, что все Office и PDF-файлы защищены от несанкционированного доступа, если они скачиваются, даже если они не помечены. Однако отправленные файлы с меткой не будут пользоваться преимуществами новых возможностей.

Поиск документов по метке конфиденциальности

Используйте управляемое свойство InformationProtectionLabelId для поиска всех документов в SharePoint или OneDrive с определенной меткой конфиденциальности. Используйте следующий синтаксис: InformationProtectionLabelId:<GUID>

Например, чтобы найти все документы, помеченные как "Конфиденциальные", с идентификатором GUID "8faca7b8-8d20-48a3-8ea2-0f96310a848e" в поле поиска введите:

InformationProtectionLabelId:8faca7b8-8d20-48a3-8ea2-0f96310a848e

Поиск не находит помеченные документы в сжатом файле, например .zip файле.

Чтобы получить идентификаторы GUID для меток конфиденциальности, используйте командлет Get-Label :

  1. Сначала подключитесь к Office 365 Security & Compliance PowerShell.

    Например, в сеансе PowerShell, который вы запускаете как администратор, войдите в систему с помощью учетной записи глобального администратора.

  2. Затем выполните следующую команду:

    Get-Label |ft Name, Guid
    

Дополнительные сведения об использовании управляемых свойств см. в разделе "Управление схемой поиска" SharePoint.

Удаление шифрования для помеченного документа

В редких случаях администратору SharePoint удалить шифрование из документа, хранимого в SharePoint. Любой пользователь, которому Rights Management права на экспорт или полный доступ для этого документа, может удалить шифрование, примененное службой Azure Rights Management из Azure Information Protection. Например, пользователи с одним из этих прав на использование могут заменить метку, применяя шифрование меткой без шифрования. Суперпользователя также можно скачать файл и сохранить локальную копию без шифрования.

В качестве альтернативы глобальный администратор или администратор SharePoint может запустить командлет Unlock-SPOSensitivityLabelEncryptedFile, который удаляет метку конфиденциальности и шифрование. Этот командлет выполняется, даже если у администратора нет разрешений на доступ к сайту или файлу или если служба Azure Rights Management недоступна.

Например:

Unlock-SPOSensitivityLabelEncryptedFile -FileUrl "https://contoso.com/sites/Marketing/Shared Documents/Doc1.docx" -JustificationText "Need to decrypt this file"

Требования:

  • SharePoint Online Management Shell версии 16.0.20616.12000 или более поздней.

  • Шифрование было применено меткой конфиденциальности с параметрами шифрования, определенными администратором (параметры метки "Назначить разрешения" теперь помечены). Для этого командлета не поддерживается двойное шифрование ключей.

Текст обоснования добавляется в событие аудита удаленной метки конфиденциальности из файла, а действие расшифровки также записывается в журнал использования защиты для Azure Information Protection.

Отключение меток конфиденциальности для SharePoint и OneDrive (отказ)

Если отключить эти новые возможности, файлы, отправленные после включения меток конфиденциальности для SharePoint и OneDrive, будут по-прежнему защищены меткой, так как параметры метки продолжают применяться. При применении меток конфиденциальности к новым файлам после отключения этих новых возможностей полнотекстовый поиск, обнаружение электронных данных и совместное редактирование больше не будут работать.

Чтобы отключить эти новые возможности, необходимо использовать PowerShell. С помощью командлета SharePoint Online Management Shell и Set-SPOTenant укажите тот же параметр EnableAIPIntegration, который описан в разделе "Использование PowerShell для включения поддержки меток конфиденциальности". Но на этот раз задайте для параметра значение false и нажмите клавишу Y , чтобы подтвердить:

Set-SPOTenant -EnableAIPIntegration $false

Если у вас Microsoft 365 с поддержкой нескольких регионов, необходимо выполнить эту команду для каждого географического расположения.

Дальнейшие действия

После включения меток конфиденциальности для Office файлов в SharePoint и OneDrive рекомендуется автоматически пометить эти файлы с помощью политик автоматического применения меток. Подробнее см. в статье Автоматическое применение метки конфиденциальности к содержимому

Требуется предоставить общий доступ к помеченным зашифрованным документам пользователям за пределами вашей организации? См. раздел Совместное использование зашифрованных документов с внешними пользователями.