Aktivera känslighetsetiketter för Office-filer i SharePoint och OneDrive
Licensieringsvägledning för Microsoft 365 för säkerhet och efterlevnad.
Aktivera inbyggda etiketter för filer som stöds Office i SharePoint och OneDrive så att användare kan använda dina känslighetsetiketter i Office för webben. När den här funktionen är aktiverad ser användare knappen Känslighet i menyfliksområdet så att de kan använda etiketter och se alla etikettnamn i statusfältet.
Om du aktiverar den här funktionen kan SharePoint och OneDrive även bearbeta innehållet i Office-filer som har krypterats med hjälp av en känslighetsetikett. Etiketten kan användas i Office för webben eller i Office och laddas upp eller sparas i SharePoint och OneDrive. Tills dess att du aktiverar den här funktionen kan tjänsterna inte bearbeta krypterade filer, vilket innebär att samtidig sökning, eDiscovery, skydd mot dataförlust, sökning och andra samarbetsfunktioner inte fungerar för dessa filer.
När du har aktivera känslighetsetiketter för Office-filer i SharePoint och OneDrive, för nya och ändrade filer som har en känslighetsetikett som tillämpar kryptering med en molnbaserad nyckel (och inte använder dubbelnyckelkryptering:
För Word Excel-, PowerPoint- och PowerPoint-filer känner SharePoint och OneDrive igen etiketten och kan nu bearbeta innehållet i den krypterade filen.
När användare laddar ned eller öppnar filerna från SharePoint eller OneDrive tillämpas känslighetsetiketten och alla krypteringsinställningar från etiketten och ligger kvar på filen oavsett var den lagras. Se till att ge användarvägledning att bara använda etiketter för att skydda dokument. Mer information finns i IRM-alternativ (Information Rights Management) och känslighetsetiketter.
När användare laddar upp etiketterade och krypterade filer SharePoint eller OneDrive måste de åtminstone ha visningsbehörighet till dessa filer. De kan till exempel öppna filerna utanför SharePoint. Om de inte har den här lägsta användningen rätt går överföringen, men tjänsten känner inte igen etiketten och kan inte bearbeta filinnehållet.
Använd Office för webben (Word, Excel, PowerPoint) för att öppna och Office filer som har känslighetsetiketter som använder kryptering. De behörigheter som tilldelades med krypteringen tillämpas. Du kan också använda automatisk etikett för dessa dokument.
Externa användare kan komma åt dokument som är märkta med kryptering med hjälp av gästkonton. Mer information finns i Stöd för externa användare och märkt innehåll.
Office 365 eDiscovery har stöd för fullständig textsökning för dessa filer och DLP-principer (Data Loss Prevention) stöder innehåll i dessa filer.
Anteckning
Om kryptering har använts med en lokal nyckel (en nyckelhanteringstopologi som ofta kallas "håll din egen nyckel" eller HYOK), eller med dubbel kryptering,ändras inte tjänstbeteendet för bearbetning av filinnehållet. Därför fungerar inte samtidig sökning, eDiscovery, skydd mot dataförlust, sökning och andra samarbetsfunktioner för dessa filer.
Beteendet SharePoint och OneDrive ändras inte heller för befintliga filer på dessa platser som är märkta med kryptering med en enda Azure-baserad nyckel. För att de här filerna ska dra nytta av de nya funktionerna när du har aktivera känslighetsetiketter för Office-filer i SharePoint och OneDrive måste filerna antingen laddas ned och laddas upp igen eller redigeras.
När du har aktivera känslighetsetiketter för Office-filer i SharePoint och OneDrive finns tre nya granskningshändelser tillgängliga för att övervaka känslighetsetiketter som tillämpas på dokument i SharePoint och OneDrive:
- Känslighetsetikett använd för fil
- Känslighetsetikett använd för fil är ändrad
- Känslighetsetikett borttagen från fil
Titta på följande video (inget ljud) om du vill se de nya funktionerna i praktiken:
Du kan alltid inaktivera känslighetsetiketter för Office i SharePoint och OneDrive(avanmäla)när som helst.
Om du för närvarande skyddar dokument i SharePoint med hjälp av SharePoint IRM (Information Rights Management) kontrollerar du avsnittet IRM (Information Rights Management) och känslighetsetiketter (SharePoint Information Rights Management) på den här sidan.
Krav
Dessa nya funktioner fungerar endast med känslighetsetiketter. Om du för närvarande har Azure Information Protection-etiketter ska du först migrera dem till känslighetsetiketter så att du kan aktivera de här funktionerna för nya filer som du laddar upp. Instruktioner finns i artikeln om hur du migrerar Azure Information Protection-etiketter till enhetliga känslighetsetiketter.
Använd OneDrive-synkronisering-appens version 19.002.0121.0008 eller senare på Windows och version 19.002.0107.0008 eller senare på Mac. Båda de här versionerna släpptes 28 januari 2019 och är för närvarande tillgängliga för alla ringar. Mer information finns i OneDrive viktig information. När du har aktivera känslighetsetiketter för Office filer i SharePoint och OneDrive uppmanas användare som kör en äldre version av synkroniseringsappen att uppdatera den.
Begränsningar
SharePoint och OneDrive kan inte bearbeta vissa filer som är märkta och krypterade från Office-skrivbordsprogram när dessa filer innehåller PowerQuery-data, data som lagrats med anpassade tillägg eller anpassade XML-delar som egenskaper för försättsblad, innehållstypscheman, anpassad dokumentinformationspanel och anpassade XSN. Den här begränsningen gäller även filer där ett dokument-ID läggs till när de överförs.
För de här filerna använder du antingen en etikett utan kryptering så att de senare kan öppnas i Office på webben eller instruera användarna att öppna filerna i sina skrivbordsappar. Filer som bara är etiketterade och krypterade i Office på webben påverkas inte.
SharePoint och OneDrive tillämpar inte automatiskt känslighetsetiketter på befintliga filer som du redan har krypterat med hjälp av Azure Information Protection-etiketter. För att funktionerna ska fungera när du har aktivera känslighetsetiketter för Office i SharePoint och OneDrive utför du följande uppgifter:
- Kontrollera att du har migrerat Azure Information Protection-etiketter till känslighetsetiketter och publicerat dem från Microsoft 365 Efterlevnadscenter.
- Ladda ned de etiketterade filerna och ladda sedan upp dem till sina ursprungliga platser SharePoint eller OneDrive.
SharePoint och OneDrive krypterade filer inte kan bearbeta krypterade filer när etiketten som tillämpat krypteringen har någon av följande konfigurationer för kryptering:
Låt användare tilldela behörigheter när de använder etiketten och kryssrutan Uppmana användare att ange behörigheter i Word, PowerPoint och Excel är markerad. Den här inställningen kallas ibland för "användardefinierade behörigheter".
Användaråtkomst till innehåll upphör har ställts in på ett annat värde än Aldrig.
Kryptering med dubbla nycklar har valts.
Etiketter med någon av dessa krypteringskonfigurationer visas inte etiketterna för användare i Office för webben. De nya funktionerna kan inte användas med etiketterade dokument som redan har de här krypteringsinställningarna. Exempelvis returneras de här dokumenten inte i sökresultat, även om de uppdateras.
Av prestandaskäl kan det ta en stund innan kolumnen Känslighet i dokumentbiblioteket kan visas när du överför eller sparar ett dokument till SharePoint och filens etikett inte använder kryptering. Faktor för den här fördröjningen om du använder skript eller automatisering som är beroende av etikettnamnet i den här kolumnen.
Om ett dokument är markerat när det är utcheckat i SharePoint visas inte etikettnamnet i kolumnen Känslighet i dokumentbiblioteket förrän dokumentet checkas inoch nästa öppnas i SharePoint.
Om ett etiketterat och krypterat dokument laddas ned från SharePoint eller OneDrive av en app eller tjänst som använder ett tjänsthuvudnamn och sedan laddas upp igen med en etikett som tillämpar olika krypteringsinställningar kommer överföringen att misslyckas. Ett exempelscenario är Microsoft Defender för Molnappar ändrar en känslighetsetikett på en fil från Konfidentiellt till Konfidentiellt eller från Konfidentiellt till Allmänt.
Överföringen misslyckas inte om appen eller tjänsten först kör cmdleten Unlock-SPOSensitivityLabelEncryptedFile, enligt beteckningarna i avsnittet Ta bort kryptering för ett etiketterat dokument. Eller så tas den ursprungliga filen bort innan överföringen eller filnamnet ändras.
Användare kan uppleva fördröjningar i att kunna öppna krypterade dokument i följande Spara som-scenario: Med en skrivbordsversion av Office väljer en användare Spara som för ett dokument som har en känslighetsetikett som tillämpar kryptering. Användaren väljer SharePoint eller OneDrive för platsen och försöker sedan direkt öppna det dokumentet i Office för webben. Om tjänsten fortfarande bearbetar krypteringen ser användaren ett meddelande om att dokumentet måste öppnas i skrivbordsprogrammet. Om de försöker igen om några minuter öppnas dokumentet om Office för webben.
För krypterade dokument stöds inte utskrift i Office för webben.
För krypterade dokument i Office för webben förhindras inte kopiering till Urklipp och skärmdumpar. Mer information finns i Kan rättighetshantering förhindra skärminspelningar?
Som standard Office datorprogram och mobilappar inte stöd för samtidig redigering för filer som är märkta med kryptering. Dessa appar fortsätter att öppna etiketterade och krypterade filer i exklusivt redigeringsläge.
Anteckning
Samtidig redigering stöds nu för både Windows och macOS. Mer information finns i Aktivera samtidig redigering för filer som krypteras med känslighetsetiketter.
Om en administratör ändrar inställningarna för en publicerad etikett som redan används på filer som laddats ned till användarnas synkroniseringsklient kanske användarna inte kan spara ändringar som de gör i filen i OneDrive-synkroniseringsmappen. Det här scenariot gäller filer som har etiketten med kryptering, och även när etikettändringen kommer från en etikett som inte använder kryptering på en etikett som tillämpar kryptering. Användarna ser en röd cirkel med ett felmeddelande med envit korsikon och uppmanas att spara nya ändringar som en separat kopia. I stället kan de stänga och öppna filen igen, eller använda Office för webben.
Användare kan få problem med att spara när de är offline eller i viloläge när de i stället för att använda Office för webben, använder skrivbords- och mobilapparna för Word, Excel eller PowerPoint. För dessa användare: när de återupptar sin Office-appen-session och försöker spara ändringarna visas ett meddelande om överföringsfel med ett alternativ för att spara en kopia i stället för att spara den ursprungliga filen.
Dokument som har krypterats på följande sätt kan inte öppnas i Office för webben:
- Kryptering som använder en lokal nyckel ("håll ned din egen nyckel" eller HYOK)
- Kryptering som tillämpats med Dubbel nyckelkryptering
- Kryptering som tillämpats oberoende av en etikett, till exempel genom att direkt tillämpa en mall för rättighetshanteringsskydd.
Etiketter som har konfigurerats för andra språk stöds inte och det visas endast det ursprungliga språket.
Om du tar bort en etikett som har använts på ett dokument i SharePoint eller OneDrive, i stället för att ta bort etiketten från den tillämpliga etikettprincipen, kommer dokumentet inte att märkas eller krypteras när det laddas ned. Om det etiketterade dokumentet lagras utanför SharePoint eller OneDrive krypteras dokumentet om etiketten tas bort. Observera att även om det kan hända att du tar bort etiketter under en testfas är det mycket ovanligt att en etikett tas bort i en produktionsmiljö.
Hur du aktiverar känslighetsetiketter för SharePoint och OneDrive (avanmälning)
Du kan aktivera de nya funktionerna med hjälp av Microsoft 365 Efterlevnadscenter eller med PowerShell. Precis som med alla konfigurationsändringar på klientorganisationsnivå för SharePoint och OneDrive tar det ca 15 minuter innan ändringen verkställs.
Använda efterlevnadscentret för att aktivera stöd för känslighetsetiketter
Det här alternativet är det enklaste sättet att aktivera känslighetsetiketter för SharePoint och OneDrive, men du måste logga in som global administratör för klientorganisationen.
Logga in på Microsoft 365 Efterlevnadscenter som global administratör och gå till Skydd mot > information om lösningar
Om du inte ser det här alternativet direkt väljer du först Visa alla.
Om du ser ett meddelande om att aktivera möjligheten att bearbeta innehåll i Office-filer väljer du Aktivera nu:

Kommandot körs direkt och när sidan uppdateras nästa gång visas inte längre meddelandet eller knappen.
Anteckning
Om du har Microsoft 365 Multi-Geo måste du använda PowerShell för att aktivera de här funktionerna för alla dina geoplatser. Se nästa avsnitt för mer information.
Använda PowerShell för att aktivera stöd för känslighetsetiketter
Som ett alternativ till att använda efterlevnadscentret kan du aktivera stöd för känslighetsetiketter med hjälp av cmdleten Set-SPOTenant från SharePoint Online PowerShell.
Om du har Microsoft 365 Multi-Geo måste du använda PowerShell för att aktivera det här stödet för alla dina geoplatser.
Förbereda SharePoint Online Management Shell
Innan du kör PowerShell-kommandot för att aktivera känslighetsetiketter för Office-filer i SharePoint och OneDrive bör du kontrollera att du kör SharePoint Online Management Shell version 16.0.19418.12000 eller senare. Om du redan har den senaste versionen kan du gå vidare till nästa procedur och köra PowerShell-kommandot.
Om du har installerat en tidigare version av SharePoint Online Management Shell från PowerShell-galleriet kan du uppdatera modulen genom att köra följande cmdlet.
Update-Module -Name Microsoft.Online.SharePoint.PowerShellOm du har installerat en tidigare version av SharePoint Online Management Shell från Microsoft Download Center kan du också gå till Lägga till eller ta bort program och avinstallera SharePoint Online Management Shell.
I en webbläsare går du till sidan Download Center och hämtar den senaste versionen SharePoint Online Management Shell.
Välj språk och klicka sedan på Ladda ned.
Välj mellan x64- och x86-.msi filen. Ladda ned x64-filen om du kör 64-bitarsversionen av Windows eller x86-filen om du kör 32-bitarsversionen. Om du inte vet vilken version av operativsystemet Windows använder jag?
När du har laddat ned filen kör du filen och följer anvisningarna i installationsguiden.
Kör PowerShell-kommandot för att aktivera stöd för känslighetsetiketter
För att aktivera de nya funktionerna använder du cmdleten Set-SPOTenant med parametern EnableAIPIntegration:
Använd ett arbets- eller skolkonto med global administratör SharePoint administratörsbehörighet i Microsoft 365 ansluta till SharePoint. Mer information finns i Komma igång med SharePoint Online Management Shell.
Anteckning
Om du har Microsoft 365 Multi-Geo kan du använda parametern -Url med Anslut-SPOServiceoch ange URL-adressen för SharePoint Online Administration Center för en av dina geoplatser.
Kör följande kommando och tryck på Y för att bekräfta:
Set-SPOTenant -EnableAIPIntegration $trueMer Microsoft 365 Multi-Geo: Upprepa steg 1 och 2 för var och en av dina återstående geoplatser.
Publicera och ändra känslighetsetiketter
När du använder känslighetsetiketter med SharePoint och OneDrive bör du tänka på att du måste tillåta replikeringstid när du publicerar nya känslighetsetiketter eller uppdaterar befintliga känslighetsetiketter. Det här är särskilt viktigt för nya etiketter som använder kryptering.
Till exempel: Du skapar och publicerar en ny känslighetsetikett som tillämpar kryptering och den visas mycket snabbt i en användares skrivbordsprogram. Användaren använder etiketten på ett dokument och laddar sedan upp det till SharePoint eller OneDrive. Om märkningsreplikeringen inte har slutförts för tjänsten kommer de nya funktionerna inte att tillämpas på det dokumentet vid uppladdning. Därför returneras inte dokumentet i sökningar eller efter eDiscovery och dokumentet kan inte öppnas i Office för webben.
Följande ändringar replikeras inom en timme: Nya och borttagna känslighetsetiketter och principinställningar för känslighetsetiketter som innehåller vilka etiketter som finns i principen.
Följande ändringar replikeras inom 24 timmar: Ändringar av inställningarna för känslighetsetikett för befintliga etiketter.
Eftersom replikeringsfördröjningen endast är en timme för nya känslighetsetiketter kommer du inte att köras på scenariot i exemplet. Men för att skydda den rekommenderar vi att du publicerar nya etiketter till bara några testanvändare först, väntar en timme och kontrollerar sedan etikettbeteendet på SharePoint och OneDrive. Det sista steget är att göra etiketten tillgänglig för fler användare genom att antingen lägga till fler användare i den befintliga etikettprincipen eller lägga till etiketten i en befintlig etikettprincip för standardanvändarna. När standardanvändarna ser etiketten har den redan synkroniserats med SharePoint och OneDrive.
SharePoint IRM (Information Rights Management) och känslighetsetiketter
SharePoint IRM (Information Rights Management) är en äldre teknik för att skydda filer på list- och biblioteksnivå genom att tillämpa kryptering och begränsningar när filer laddas ned. Den här äldre skyddstekniken har utformats för att förhindra obehöriga användare från att öppna filen medan den är utanför SharePoint.
Känslighetsetiketter tillhandahåller skyddsinställningar för visuella markeringar (sidhuvuden, sidfötter, vattenstämplar) utöver kryptering. Krypteringsinställningarna stödjer alla användningsrättigheter för att begränsa vad användare kan göra med innehållet, och samma känslighetsetiketter stöds för många scenarier. Om du använder samma skyddsmetod med konsekventa inställningar för olika arbetsbelastningar och appar får du en enhetlig skyddsstrategi.
Du kan emellertid använda båda skyddslösningarna tillsammans och beteendet är följande:
Om du laddar upp en fil med känslighetsetikett som tillämpar kryptering kan SharePoint inte bearbeta innehållet i filerna så samtidig sökning, eDiscovery, DLP och sökning stöds inte för dessa filer.
Om du etiketterar en Office för webben tillämpas alla krypteringsinställningar från etiketten. För dessa filer stöds samtidig sökning, eDiscovery, DLP och sökning.
Om du laddar ned en fil som märks med Office för webben behålls etiketten och alla krypteringsinställningar från etiketten tillämpas i stället för inställningarna för IRM-begränsning.
Om du laddar ned Office eller en PDF-fil som inte är krypterad med en känslighetsetikett används IRM-inställningar.
Om du har aktiverat någon av de ytterligare inställningarna för IRM-bibliotek, som omfattar att hindra användare från att ladda upp dokument som inte stöder IRM, tillämpas de här inställningarna.
Med detta beteende kan du vara säker på att alla Office- och PDF-filer skyddas från obehörig åtkomst om de laddas ned, även om de inte märks. Men etiketterade filer som laddas upp kommer inte att dra nytta av de nya funktionerna.
Söka efter dokument med känslighetsetikett
Använd den hanterade egenskapen InformationProtectionLabelId till att hitta alla dokument i SharePoint eller OneDrive som har en viss känslighetsetikett. Använd följande syntax: InformationProtectionLabelId:<GUID>
Om du till exempel vill söka efter alla dokument som har etiketterna "Konfidentiellt" och etiketten har GUID "8faca7b8-8d20-48a3-8ea2-0f96310a848e" skriver du:
InformationProtectionLabelId:8faca7b8-8d20-48a3-8ea2-0f96310a848e
Sökning hittar inte etiketterade dokument i en komprimerad fil, till exempel en .zip fil.
Om du vill få GUID:er för dina känslighetsetiketter använder du cmdleten Get-Label:
Först ansluter du till Office 365 Säkerhets- & PowerShell.
I en PowerShell-session som du kör som administratör kan du till exempel logga in med ett globalt administratörskonto.
Kör sedan följande kommando:
Get-Label |ft Name, Guid
Mer information om hur du använder hanterade egenskaper finns i Hantera sökschemat i SharePoint.
Ta bort kryptering för ett etiketterat dokument
Det kan hända sällsynta tillfällen när en SharePoint administratör behöver ta bort kryptering från ett dokument som lagras i SharePoint. Alla användare som har behörighetshanteringsanvändningen för Export eller Fullständig kontroll tilldelat till sig för dokumentet kan ta bort kryptering som tillämpats av Azure Rights Management-tjänsten från Azure Information Protection. Till exempel kan användare med någon av dessa användningsrättigheter ersätta en etikett som tillämpar kryptering med en etikett utan kryptering. En superanvändare kan också ladda ned filen och spara en lokal kopia utan kryptering.
Alternativt kan en global administratör eller SharePoint-administratör köra cmdleten Unlock-SPOSensitivityLabelEncryptedFile, som tar bort både känslighetsetiketten och krypteringen. Den här cmdleten körs även om administratören inte har åtkomstbehörighet till webbplatsen eller filen, eller om Azure Rights Management-tjänsten inte är tillgänglig.
Till exempel:
Unlock-SPOSensitivityLabelEncryptedFile -FileUrl "https://contoso.com/sites/Marketing/Shared Documents/Doc1.docx" -JustificationText "Need to decrypt this file"
Krav:
SharePoint Online Management Shell version 16.0.20616.12000 eller senare.
Krypteringen har tillämpats av en känslighetsetikett med administratörsdefinierade krypteringsinställningar (tilldela behörigheter nu etikettinställningar). Dubbelnyckelkryptering stöds inte för den här cmdleten.
Justeringstexten läggs till i granskningshändelsen för Tog bort känslighetsetikett från filen , och dekrypteringsåtgärden registreras också i skyddanvändningsloggning för Azure Information Protection.
Inaktivera känslighetsetiketter för SharePoint och OneDrive (avanmälning)
Om du inaktiverar de här nya funktionerna kommer filer som du har laddat upp efter att du aktiverat känslighetsetiketter för SharePoint och OneDrive att fortsätta att skyddas av etiketten eftersom etikettinställningarna fortsätter att tillämpas. När du tillämpar känslighetsetiketter på nya filer efter att du har inaktiverat de här nya funktionerna kommer fulltextsökning, eDiscovery och samtidig sökning inte längre att fungera.
Om du vill inaktivera de här nya funktionerna måste du använda PowerShell. Med hjälp av SharePoint Online Management Shell och Set-SPOTenant-cmdleten anger du samma EnableAIPIntegration-parameter som beskrivs i avsnittet Använda PowerShell för att aktivera stöd för känslighetsetiketter. Men den här gången anger du parametervärdet falskt och trycker på Y för att bekräfta:
Set-SPOTenant -EnableAIPIntegration $false
Om du har Microsoft 365 Multi-Geo måste du köra det här kommandot för var och en av dina geoplatser.
Nästa steg
När du har aktiverat känslighetsetiketter för Office filer i SharePoint och OneDrive kan du överväga att automatiskt märka dessa filer genom att använda principer för automatisk etikett. Mer information finns i Använd en känslighetsetikett på innehållet automatiskt.
Behöver du dela dina etiketterade och krypterade dokument med personer utanför organisationen? Se Dela krypterade dokument med externa användare.