Используйте метки конфиденциальности, чтобы защитить контент в Microsoft Teams, в группах Microsoft 365 и на сайтах SharePoint.

Руководство по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям.

Примечание

Microsoft 365 теперь называется Microsoft Purview, а решения в области соответствия были изменены. Дополнительные сведения о Microsoft Purview см. в объявлении блога.

Можно использовать метки конфиденциальности не только для классификации и защиты документов и сообщений электронной почты, но и для защиты содержимого в следующих контейнерах: сайты Microsoft Teams, группы Microsoft 365 (ранее — группы Office 365), сайты SharePoint.Для этой классификации и защиты на уровне контейнеров используйте следующие параметры меток:

  • Конфиденциальность сайтов команд и групп Microsoft 365
  • Доступ внешних пользователей
  • Внешний общий доступ с сайтов SharePoint
  • Доступ с неуправляемых устройств
  • Контексты проверки подлинности (предварительная версия)
  • Ссылка по умолчанию для общего доступа к сайту SharePoint (конфигурация только с PowerShell)
  • В предварительной версии: параметры общего доступа к сайту (только конфигурация PowerShell)

Важно!

Параметры для неуправляемых устройств и контекстов проверки подлинности работают вместе с условным доступом в Azure Active Directory. Чтобы использовать метку конфиденциальности для этих параметров, необходимо настроить эту зависимую функцию. Дополнительные сведения см. в приведенных ниже инструкциях.

При применении этой метки конфиденциальности к поддерживаемому контейнеру эта метка автоматически применяет параметры классификации и заданные параметры защиты к сайту или группе.

Тем не менее, содержимое этих контейнеров не наследует метки классификации и параметры файлов и электронных писем, такие как наглядная маркировка и шифрование. Необходимо включить метки конфиденциальности для файлов Office в SharePoint и OneDrive, чтобы пользователи могли маркировать свои документы на веб-сайтах SharePoint и сайтах команд.

Использование меток конфиденциальности для Microsoft Teams, групп Microsoft 365 и сайтов SharePoint

Перед включением меток конфиденциальности для контейнеров и их настройки для новых параметров пользователи могут просмотреть и применить метки конфиденциальности в своих приложениях. Например, в Word:

Метка конфиденциальности, отображаемая в классическом приложении Word.

После включения и настройки меток конфиденциальности для контейнеров пользователи также смогут просматривать и применять метки конфиденциальности к сайтам команд Microsoft Teams, группам Microsoft 365 и сайтам SharePoint. Например, при создании нового сайта группы в SharePoint:

Метка конфиденциальности при создании сайта группы в SharePoint.

Примечание

Метки конфиденциальности для контейнеров поддерживают общие каналы Teams, которые в настоящее время находятся в предварительной версии. Если у команды есть какие-либо общие каналы, они автоматически наследуют параметры метки конфиденциальности из родительской команды, и эту метку нельзя удалить или заменить другой меткой.

Включение меток конфиденциальности для контейнеров и синхронизация меток

Если вы еще не включили метки конфиденциальности для контейнеров, выполните следующие действия (это однократная процедура):

  1. Эта функция использует функциональность Azure AD, поэтому для включения поддержки меток конфиденциальности инструкциям из документации Azure AD: Назначение меток конфиденциальности группам Microsoft 365 в Azure Active Directory.

  2. Теперь нужно синхронизировать метки конфиденциальности с Azure AD. Сначала подключитесь к PowerShell Центра безопасности и соответствия требованиям

    Например, в сеансе PowerShell, который вы запускаете как администратор, войдите в систему с помощью учетной записи глобального администратора.

  3. Затем выполните следующую команду, чтобы можно было использовать метки конфиденциальности с группами Microsoft 365:

    Execute-AzureAdLabelSync
    

Настройка параметров групп и сайтов

После включения меток конфиденциальности для контейнеров, как описано в предыдущем разделе, можно настроить параметры защиты для групп и сайтов в конфигурации меток конфиденциальности. Пока метки конфиденциальности не включены для контейнеров, эти параметры отображаются, но вы не можете их настроить.

  1. Выполните общие инструкции по созданию или редактированию метки конфиденциальности и не забудьте выбрать Группы и сайты как область метки:

    Параметры области меток конфиденциальности для файлов и сообщений электронной почты.

    Если для метки выбрана только эта область, эта метка не будет отображаться в приложениях Office, которые поддерживают метки конфиденциальности, и ее нельзя будет применять к сообщениям электронной почты. Такое разделение меток может оказаться полезным как для пользователей, так и для администраторов, но это также может быть полезно и при развертывании меток.

    Например, необходимо тщательно проверить порядок меток, так как SharePoint обнаруживает передачу документа с меткой на сайт с меткой. В этом случае автоматически создается событие аудита и электронное письмо, если метка конфиденциальности документа обладает более высоким приоритетом, чем метка сайта. Дополнительные сведения см. в разделе Аудит действий с метками конфиденциальности на этой странице.

  2. Затем на странице Задайте параметры защиты для групп и сайтов выберите один из доступных вариантов:

    • Параметры конфиденциальности и доступа внешних пользователей, чтобы настроить параметры конфиденциальности и доступа внешних пользователей.
    • Параметры внешнего общего доступа и условного доступа для настройки параметров Управлять внешним общим доступом с сайтов SharePoint с метками и Использовать условный доступ Azure AD для защиты сайтов SharePoint с метками.
  3. Если вы выбрали Параметры конфиденциальности и доступа внешних пользователей, настройте следующие параметры:

    • Конфиденциальность: если нужно, чтобы все пользователи в организации имели доступ к сайту группы или группе, в которой применяется эта метка, оставьте параметр по умолчанию Общедоступный.

      Если вы хотите предоставить доступ только утвержденным пользователям в организации, выберите Закрытый.

      Выберите параметр Нет, если хотите защитить содержимое в контейнере с помощью метки конфиденциальности, но при этом разрешить пользователям самим настраивать параметры конфиденциальности.

      Параметры Общедоступный или Закрытый устанавливают и блокируют параметр конфиденциальности при применении этой метки к контейнеру. Выбранный вами параметр заменяет все прежние параметры конфиденциальности, которые могли быть настроены для команды или группы, и блокирует значение конфиденциальности: теперь его можно будет изменить только после удаления метки конфиденциальности из контейнера. После удаления метки чувствительности настройки конфиденциальности из метки остаются, и пользователи теперь могут изменить их снова.

    • Доступ внешних пользователей. Определяет, может ли владелец группы добавлять гостей в группу.

  4. Если вы выбрали Параметры внешнего общего доступа и условного доступа, настройте следующие параметры:

    • Управлять внешним общим доступом с помеченных сайтов SharePoint. Выберите этот параметр, чтобы затем выбрать внешний общий доступ для всех пользователей, новых и существующих гостей, существующих гостей или только для сотрудников вашей организации. Дополнительные сведения об этой конфигурации и параметрах см. в документе SharePoint Включение и отключение внешнего общего доступа для сайта.

    • Использование условного доступа Azure AD для защиты сайтов SharePoint с метками: выберите этот вариант только в случае, если в вашей организации настроен и используется условный доступ Azure Active Directory. Затем выберите один из следующих параметров:

      • Определите, могут ли пользователи получать доступ к сайтам SharePoint с неуправляемых устройств: этот параметр использует функцию SharePoint, использующую условный доступ Azure AD для блокировки или ограничения доступа к содержимому SharePoint и OneDrive с неуправляемых устройств. Дополнительные сведения см. в статье Управление доступом с неуправляемых устройств из документации по SharePoint. Параметр, который вы указываете для настройки этой метки, эквивалентен запуску команды PowerShell на сайте, как описано в шагах 3–5 раздела Блокировка или ограничение доступа к определенному сайту SharePoint или OneDrive инструкций по SharePoint.

        Дополнительные сведения о конфигурации см. по ссылке Подробнее о зависимостях для параметра неуправляемых устройств в конце этого раздела.

      • Выберите существующий контекст проверки подлинности: в настоящее время в предварительной версии этот параметр дает возможность применять более строгие условия доступа, когда пользователи получают доступ к сайтам SharePoint, к которым применена эта метка. Эти условия применяются, если выбрать существующий контекст проверки подлинности, созданный и опубликованный для развертывания условного доступа в вашей организации. Если пользователи не соответствуют настроенным условиям или используют приложения, не поддерживающие контексты проверки подлинности, то им отказывается в доступе.

        Дополнительные сведения о конфигурации см. по ссылке Подробнее о зависимостях для параметра контекста проверки подлинности в конце этого раздела.

        Примеры для этой конфигурации меток:

        • Вы выбираете контекст проверки подлинности, настроенный для обязательной многофакторной проверки подлинности (MFA). Затем эта метка применяется к сайту SharePoint, который содержит строго конфиденциальные элементы. В результате, когда пользователи из недоверенной сети пытаются получить доступ к документу на этом сайте, для пользователей отображается запрос на прохождение многофакторной проверки подлинности. Пользователи должны пройти эту проверку подлинности перед получением доступа к первоначальному документу.

        • Вы выбираете контекст проверки подлинности, настроенный для политик условий использования (ToU). Затем эта метка применяется к сайту SharePoint, содержащему материалы, требующие принятия условий использования по юридическим причинам или из соображений соответствия. Поэтому, когда пользователи пытаются получить доступ к документу с этого сайта, они видят документ с условиями использования, с которым они должны согласиться, чтобы получить доступ к исходному документу.

Важно!

Когда вы применяете метку к команде, группе или сайту, в силу вступают только эти параметры сайта и группы. Если область метки включает файлы и электронные письма, то другие параметры метки, например шифрование и маркировка контента, не применяются к содержимому в команде, группе или на сайте.

Если метка конфиденциальности еще не опубликована, опубликуйте ее, добавив в политику меток конфиденциальности. Пользователи, которым назначена политика меток конфиденциальности, включающая эту метку, смогут выбирать ее для сайтов и групп.

Подробнее о зависимостях для параметра неуправляемых устройств

Если не настроить зависимую политику условного доступа для SharePoint, как описано в разделе Использование принудительно применяемых ограничений приложения, то указанный вами параметр не будет действовать. Кроме того, он не будет работать, если он менее строгий, чем настроенный параметр на уровне клиента. Если вы настроили параметр на уровне организации для неуправляемых устройств, выберите такой же или более строгий параметр метки

Например, если в клиенте настроен параметр Разрешить только ограниченный веб-доступ, параметр метки, разрешающий полный доступ, не будет действовать, так как он менее строгий. Для этого параметра на уровне клиента выберите параметр метки, блокирующий доступ (более строгий) или ограничивающий доступ (соответствующий параметру клиента).

Поскольку параметры SharePoint можно настроить отдельно от конфигурации метки, в конфигурации меток конфиденциальности отсутствует проверка наличия зависимостей. Эти зависимости можно настраивать после создания и публикации метки и даже после ее применения. Однако если метка уже применена, параметр метки будет действовать только после следующей проверки подлинности пользователя.

Подробнее о зависимостях для параметра контекста проверки подлинности

Для отображения в раскрывающемся списке для выбора необходимо создать контексты проверки подлинности, настроить их и опубликовать в составе вашей конфигурации условного доступа Azure Active Directory. Дополнительные сведения и инструкции см. в разделе Настройка контекстов проверки подлинности в документации по условному доступу Azure AD.

Не все приложения поддерживают контексты проверки подлинности. Если пользователь с неподдерживаемым приложением подключается к сайту, настроенному для контекста проверки подлинности, то для такого пользователя отображается сообщение о запрещенном доступе или запрос на проверку подлинности (при этом попытка проверки подлинности отклоняется). В настоящее время следующие приложения поддерживают контексты проверки подлинности:

  • Пакет Office в Интернете, в состав которого входит Outlook в Интернете

  • Microsoft Teams для Windows и macOS (за исключением веб-приложения Teams)

  • Планировщик (Майкрософт)

  • Приложения Microsoft 365 для Word, Excel и PowerPoint; минимальные версии:

    • Windows: 2103
    • macOS: 16.45.1202
    • iOS: 2.48.303
    • Android: 16.0.13924.10000
  • Приложения Microsoft 365 для Outlook; минимальные версии:

    • Windows: 2103
    • macOS: 16.45.1202
    • iOS: 4.2109.0
    • Android: 4.2025.1
  • Приложение синхронизации OneDrive, минимальные версии:

    • Windows: 21.002
    • macOS: 21.002
    • iOS: развертывание в версии 12.30
    • Android: пока не поддерживается

Известные ограничения этой предварительной версии:

  • Для приложения синхронизации OneDrive поддержка доступна только для OneDrive, но не для других сайтов.

  • Следующие функции и приложения могут быть несовместимыми с контекстами проверки подлинности, поэтому мы рекомендуем убедиться, что эти приложения по-прежнему будут работать, когда пользователь успешно получит доступ к сайту с помощью контекста проверки подлинности.

    • Рабочие процессы, использующие PowerApps или Power Automate
    • Сторонние приложения

В дополнение к параметрам метки для сайтов и групп, которые можно настроить на портале соответствия Microsoft Purview, вы также можете настроить тип ссылки общего доступа по умолчанию для сайта. Метки конфиденциальности для документов также можно настроить для типа ссылки по умолчанию для общего доступа к сайту. Эти параметры для предотвращения излишнего общего доступа автоматически выбираются, когда пользователь нажимает кнопку Поделиться в приложениях Office.

Дополнительные сведения и инструкции см. в статье Использование меток конфиденциальности для настройки типа ссылки для общего доступа по умолчанию для сайтов и документов в SharePoint и OneDrive.

Настройка разрешений общего доступа к сайту с помощью расширенных параметров PowerShell

Примечание

Это предварительная версия этого параметра метки.

Другим дополнительным параметром PowerShell, который можно настроить для применения метки конфиденциальности к сайту SharePoint, является MembersCanShare. Этот параметр является эквивалентной конфигурацией, которую можно задать в центре администрирования SharePoint > Разрешения для сайта > Общий доступ к сайту > Настроить для участников права предоставления > разрешений на общий доступ.

Существует три возможности с эквивалентными значениями для дополнительных параметров PowerShell MembersCanShare:

Из центра администрирования SharePoint Эквивалентное значение PowerShell для MembersCanShare
Владельцы и участники могут обмениваться файлами, папками и сайтом. Пользователи с правами на редактирование могут обмениваться файлами и папками. MemberShareAll
Владельцы и участники, а также люди с разрешениями на редактирование могут предоставлять общий доступ к файлам и папкам, но только владельцы могут предоставлять общий доступ к сайту. MemberShareFileAndFolder
Только владельцы сайта могут предоставлять общий доступ к файлам, папкам и сайту. MemberShareNone

Дополнительные сведения об этих параметрах конфигурации см. в статье "Изменение способа совместного использования участников в документации"сообщества SharePoint.

Пример, где GUID метки конфиденциальности — 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{MembersCanShare="MemberShareNone"}

Дополнительные сведения об указании дополнительных параметров PowerShell см. в разделе "Советы PowerShell по указанию дополнительных параметров".

Управление метками конфиденциальности

При создании, изменении и удалении меток конфиденциальности, настроенных для сайтов и групп, используйте приведенные ниже рекомендации.

Создание и публикация меток, настроенных для сайтов и групп

Используйте следующие рекомендации, чтобы опубликовать метку для пользователей, если метка настроена для параметров сайта и группы:

  1. После создания и настройки метки конфиденциальности добавьте эту метку в политику меток, которая применяется только к нескольким тестовым пользователям.

  2. Подождите, пока изменение не будет реплицировано.

    • Новая метка: подождите хотя бы один час.
    • Существующая метка: подождите хотя бы 24 часа.

    Дополнительные сведения о периодах времени для меток см. в разделе Когда ожидать вступления в силу новых меток и изменений.

  3. После этого периода ожидания используйте одну из тестовых учетных записей пользователей для создания команды, группы Microsoft 365 или сайта SharePoint с меткой, созданной на шаге 1.

  4. Если в ходе этой операции создания не возникают ошибки, можно безопасно опубликовать метку для всех пользователей в клиенте.

Изменение опубликованных меток, настроенных для сайтов и групп

Рекомендуется не изменять параметры сайта и группы для метки конфиденциальности после ее применения к командам, группам или сайтам. Если вы изменяете параметры, помните, что для репликации изменений во всех контейнерах, к которым применена эта метка, нужно подождать хотя бы 24 часа.

Кроме того, если изменения затрагивают параметр Доступ внешних пользователей:

  • Новый параметр применяется к новым пользователям, но не применяется к существующим пользователям. Например, если ранее был выбран этот параметр, в результате чего гостевые пользователи получали доступ к сайту, эти гостевые пользователи по-прежнему смогут получать доступ к сайту после очистки этого параметра в конфигурации метки.

  • Параметры конфиденциальности для свойств группы hiddenMembership и roleEnabled не обновляются.

Удаление опубликованных наклеек, настроенных для сайтов и групп

Если удалить метку конфиденциальности с включенными настройками сайта и группы, а эта метка включена в одну или несколько политик меток, в результате могут возникнуть ошибки при создании новых команд, групп и сайтов.

  1. Удалите метку конфиденциальности из всех политик меток, содержащих ее.

  2. Подождите по крайней мере один час.

  3. После этого периода ожидания попробуйте создать команду, группу или сайт и убедитесь, что метка больше не отображается.

  4. Если метка конфиденциальности не отображается, теперь ее можно безопасно удалить ее.

Применение меток конфиденциальности к контейнерам

Теперь вы готовы к применению одной или нескольких меток конфиденциальности к следующим контейнерам:

При необходимости можно использовать PowerShell для применения метки конфиденциальности к нескольким сайтам.

Применение меток конфиденциальности к группам Microsoft 365

Теперь вы можете применить метки или метку конфиденциальности к группам Microsoft 365. Инструкции см. в документации Azure AD:

Применение метки конфиденциальности к новой команде

Пользователи могут выбирать метки конфиденциальности при создании новых команд в Microsoft Teams. При выборе метки в раскрывающемся списке Чувствительность параметр конфиденциальности может измениться, чтобы отразить конфигурацию метки. В зависимости от параметра доступа внешних пользователей, выбранного для метки, пользователи могут или не могут добавлять в команду людей из-за пределов организации.

Дополнительные сведения о метках конфиденциальности для Teams

Параметр конфиденциальности при создании новой команды.

После создания команды метка конфиденциальности отображается в правом верхнем углу всех каналов.

Отображение метки конфиденциальности в команде.

Служба автоматически применяет такую же метку конфиденциальности к группе Microsoft 365 и подключенному сайту команды SharePoint.

Применение метки конфиденциальности к новой группе в Outlook в Интернете

В Outlook в Интернете при создании группы можно выбрать или изменить параметр Конфиденциальность для опубликованных меток:

Создание группы и выбор параметра в разделе "Конфиденциальность".

Применение метки конфиденциальности к новому сайту

Администраторы и конечные пользователи могут выбирать метки чувствительности при создании современных сайтов групп и сайтов связи и расширять дополнительные параметры:

Создание сайта и выбор параметра в разделе "Конфиденциальность".

В раскрывающемся списке отображаются имена меток для выбора, а значок справки отображает все имена меток с их подсказкой, которая может помочь пользователям определить правильную метку для применения.

Когда метка применяется, и пользователи переходят на сайт, они видят название метки и применяемые политики. Например, этот сайт был помечен как конфиденциальный, а для параметра конфиденциальности установлено значение Личное:

Сайт с примененной меткой конфиденциальности.

Использование PowerShell для применения метки конфиденциальности к нескольким сайтам

Для применения метки конфиденциальности к нескольким сайтам можно использовать командлеты Set-SPOSite и Set-SPOTenant с параметром SensitivityLabel из текущей командной консоли SharePoint Online. Это касается любых семейств веб-сайтов SharePoint и сайтов OneDrive.

Убедитесь, что используется командная консоль SharePoint Online версии 16.0.19418.12000 или более поздней.

  1. Откройте сеанс PowerShell с параметром Запуск от имени администратора.

  2. Если вы не знаете GUID метки: подключитесь к PowerShell Центра безопасности и соответствия требованиям и получите список меток конфиденциальности с их идентификаторами GUID.

    Get-Label |ft Name, Guid
    
  3. Теперь подключитесь к Exchange Online PowerShell и сохраните GUID метки в качестве переменной. Например,

    $Id = [GUID]("e48058ea-98e8-4940-8db0-ba1310fd955e")
    
  4. Создайте новую переменную, идентифицирующую несколько сайтов, обладающих общей идентификационной строкой в URL-адресах. Например:

    $sites = Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like 'documents"
    
  5. Выполните следующую команду для применения метки к этим сайтам. С помощью наших примеров:

    $sites | ForEach-Object {Set-SPOTenant $_.url -SensitivityLabel $Id}
    

Эта серия команд позволяет пометить несколько сайтов клиента одинаковой меткой конфиденциальности, поэтому следует использовать командлет Set-SPOTenant, а не командлет Set-SPOSite, применяемый для конфигурации индивидуальных сайтов. Командлет Set-SPOSite можно использовать, когда для определенных сайтов требуется применить разные метки. В этом случае для каждого из сайтов необходимо повторить следующую команду: Set-SPOSite -Identity <URL> -SensitivityLabel "<labelguid>"

Просмотр и управление метками конфиденциальности в Центре администрирования SharePoint

Для просмотра, сортировки и поиска примененных меток конфиденциальности используйте Активные сайты в новом Центре администрирования SharePoint. Может потребоваться сначала добавить столбец Конфиденциальность:

Столбец "Конфиденциальность" на странице "Активные сайты".

Дополнительные сведения об управлении сайтами на странице "Активные сайты" и сведения о добавлении столбцов см. в статье Управление сайтами в новом Центре администрирования SharePoint.

На этой странице также можно изменить и применить метку:

  1. Выберите имя сайта, чтобы открыть панель сведений.

  2. Перейдите на вкладку Политики, выберите Изменить для параметра Конфиденциальность.

  3. В области Изменение параметра конфиденциальности выберите метку конфиденциальности, которую нужно применить к сайту. В отличие от приложений пользователей, где метки конфиденциальности можно назначать определенным пользователям, Центр администрирования отображает все метки конфиденциальности для клиента. После выбора метки нажмите Сохранить.

Поддержка меток конфиденциальности

При использовании центров администрирования, поддерживающих метки конфиденциальности (кроме портала Azure Active Directory), вы увидите все метки конфиденциальности для своего клиента. Для сравнения: приложения и службы пользователей, фильтрующие метки конфиденциальности в соответствии с политиками публикации, могут отображать лишь подмножество этих меток. Портал Azure Active Directory также фильтрует метки в соответствии с политиками публикации.

Следующие приложения и службы поддерживают метки конфиденциальности, настроенные для параметров сайтов и групп:

  • Центры администрирования:

    • Центр администрирования SharePoint
    • Центр администрирования Teams
    • Центр администрирования Microsoft 365
    • Портал соответствия требованиям Microsoft Purview
  • Пользовательские приложения и службы:

    • SharePoint
    • Teams
    • Outlook в Интернете и для Windows, macOS, iOS и Android
    • Forms
    • Stream
    • Планировщик

Следующие приложения и службы в настоящее время не поддерживают метки конфиденциальности, настроенные для параметров сайтов и групп:

  • Центры администрирования:

    • Центр администрирования Exchange
  • Пользовательские приложения и службы:

    • Dynamics 365
    • Yammer
    • Project
    • Power BI

Классическая классификация групп Azure AD

После включения меток конфиденциальности для контейнеров классификации групп из Azure AD больше не будут поддерживаться для Microsoft 365 и не будут отображаться на сайтах, поддерживающих метки конфиденциальности. Тем не менее, можно преобразовать прежние классификации и метки конфиденциальности.

В качестве примера использования старой классификации групп для SharePoint см. статью Классификация "современных" сайтов SharePoint.

Эти классификации были настроены с помощью Azure AD PowerShell или основной библиотеки PnP и определяют значения параметра ClassificationList. Если в вашем клиенте определены значения классификации, они отображаются при выполнении следующей команды из модуля AzureADPreview PowerShell:

($setting["ClassificationList"])

Чтобы преобразовать старые классификации для использования меток конфиденциальности, выполните одно из следующих действий:

  • Используйте существующие метки. Укажите нужные параметры меток для сайтов и групп, изменив опубликованные метки конфиденциальности.

  • Создайте новые метки. Укажите нужные параметры меток для сайтов и групп, создав и опубликовав новые метки конфиденциальности с такими же именами, как в существующих классификациях.

Затем:

  1. Используйте Windows PowerShell, чтобы применить метки конфиденциальности к существующим группам Microsoft 365 и сайтам SharePoint с помощью сопоставления имен. Соответствующие инструкции см. в следующем разделе.

  2. Удалите старые классификации из существующих групп и сайтов.

Хотя вы не можете запретить пользователям создавать группы в приложениях и службах, которые пока не поддерживают метки конфиденциальности, вы можете запустить повторяющийся скрипт PowerShell для поиска новых групп, созданных пользователями со старыми классификациями, и их преобразования для использования меток конфиденциальности.

Сведения об одновременном использовании меток конфиденциальности и классификаций Azure AD для сайтов и групп см. в статье Классификация Azure Active Directory и метки конфиденциальности для групп Microsoft 365.

Преобразование классификаций для групп Microsoft 365 в метки конфиденциальности с помощью PowerShell

  1. Сначала подключитесь к PowerShell Центра безопасности и соответствия требованиям

    Например, в сеансе PowerShell, который вы запускаете как администратор, войдите в систему с помощью учетной записи глобального администратора.

  2. Получите список меток конфиденциальности с их GUID с помощью командлета Get-Label.

    Get-Label |ft Name, Guid
    
  3. Запишите GUID для меток конфиденциальности, которые нужно применить к группам Microsoft 365.

  4. Теперь подключитесь к Exchange Online PowerShell в отдельном окне Windows PowerShell.

  5. Используйте следующую команду в качестве примера, чтобы получить список групп, использующих в настоящее время классификацию General (Общее).

    $Groups= Get-UnifiedGroup | Where {$_.classification -eq "General"}
    
  6. Для каждой группы добавьте GUID новой метки конфиденциальности. Пример:

    foreach ($g in $groups)
    {Set-UnifiedGroup -Identity $g.Identity -SensitivityLabelId "457fa763-7c59-461c-b402-ad1ac6b703cc"}
    
  7. Повторите действия 5 и 6 для остальных категорий групп.

Аудит действий с метками конфиденциальности

Важно!

Если используется разделение меток с помощью одной только области Группы и сайты для меток, защищающих контейнеры: поскольку генерируется событие аудита Обнаружено несоответствие конфиденциальности документа с электронным письмом, как описано в этом разделе, попробуйте разместить эти метки перед метками с областью Файлы и сообщения электронной почты.

Если пользователь отправляет документ на сайт, защищенный с помощью метки конфиденциальности, и метка конфиденциальности документа имеет более высокий приоритет, чем метка конфиденциальности, примененная к сайту, это действие не блокируется. Например, вы применили метку Общее к сайту SharePoint, а другой пользователь отправляет на этот сайт документ с меткой Конфиденциально. Так как метка конфиденциальности с более высоким приоритетом определяет более конфиденциальное содержимое, чем содержимое с меткой меньшего приоритета, эта ситуация может являться проблемой безопасности.

Хотя действие не блокируется, оно подвергается аудиту и по умолчанию автоматически создает письмо для пользователя, отправившего документ, и для администратора сайта. В результате пользователь и администраторы могут определить документы с таким несоответствием приоритетов меток и принять необходимые меры. Например, удалить или переместить отправленный документ с сайта.

Проблема безопасности не возникает, если метка конфиденциальности документа имеет более низкий приоритет, чем метка конфиденциальности, примененная к сайту. Например, документ с меткой Общее отправляется на сайт с меткой Конфиденциально. В этом сценарии событие аудита и письмо не формируются.

Примечание

Как и для параметра политики, требующего, чтобы пользователи предоставили обоснование для изменения метки на более низкую степень, все подчиненные метки одной той же родительской метки считаются имеющими одинаковый приоритет.

Чтобы найти это событие в журнале аудита, выполните поиск по запросу Обнаружено несоответствие конфиденциальности документа в категории Действия с файлами и страницами.

Автоматически созданное письмо получает тему Обнаружена несовместимая метка конфиденциальности, а текст письма разъясняет несоответствие примененных меток и содержит ссылку на отправленный документ и сайт. В нем также содержится ссылка на документацию, объясняющую, как пользователи могут изменить метку конфиденциальности. Эти автоматические письма невозможно настроить, но вы можете запретить их отправку при использовании следующей команды PowerShell из Set-SPOTenant:

Set-SPOTenant -BlockSendLabelMismatchEmail $True

Когда кто-нибудь добавляет или удаляет метку конфиденциальности на сайте или в группе, такие действия также подвергаются аудиту, но без автоматического создания письма.

Все эти события аудита можно найти в категории Действия с метками конфиденциальности. Инструкции по поиску в журнале аудита см. в статье Поиск по журналу аудита в Центре безопасности и соответствия требованиям.

Отключение меток конфиденциальности для контейнеров

Можно отключить метки конфиденциальности для Microsoft Teams, групп Microsoft 365 и сайтов SharePoint, выполнив те же инструкции из раздела Включение поддержки меток конфиденциальности в PowerShell. Для того, чтобы отключить функцию из шага 5, укажите $setting["EnableMIPLabels"] = "False".

После выполнения этого действия все настройки станут недоступными для групп и сайтов при создании или изменении меток конфиденциальности, а также изменяется свойство, используемое контейнерами для конфигурации. При включении меток конфиденциальности для Microsoft Teams, групп Microsoft 365 и веб-сайтов SharePoint используемое свойство Классификация (для классификации групп Azure AD) изменяется на Конфиденциальность. При отключении меток конфиденциальности для контейнеров свойство "Конфиденциальность" игнорируется, снова используется свойство "Классификация".

Это означает, что все параметры меток сайтов и групп, примененных ранее к контейнерам, не будут принудительно применяться; метки не будут отображаться для контейнеров.

Если к этим контейнерам применены значения классификации Azure AD, то контейнеры снова переключаются на использование классификации. Обратите внимание, что у всех новых сайтов и групп, созданных после включения этой функции, не будет отображаться метка и не будет классификации. Теперь можно применять значения классификации для этих контейнеров и для всех новых контейнеров. Дополнительные сведения см. в статьях Классификация "современных" сайтов SharePoint и Создание классификаций для групп Office в вашей организации.

Дополнительные ресурсы

Просмотрите запись вебинара и ответы на вопросы об использовании меток конфиденциальности в Microsoft Teams, группах Office 365 и сайтах SharePoint Online.

Этот веб-семинар был записан, когда описываемая функция еще находилась на стадии предварительной версии, поэтому пользовательский интерфейс может немного отличаться. Тем не менее, информация об этой функции по-прежнему точная, а все новые возможности задокументированы на этой страницы.

Дополнительные сведения об управлении сайтами, подключенными к Teams, и сайтами каналов см. в статье Управление сайтами, подключенными к Teams, и сайтами каналов.