管理 Office 应用中的敏感度标签
从 Microsoft Purview 合规性门户 发布 敏感度标签后,它们将开始显示在 Office 应用中,以便用户在创建或编辑数据时对其进行分类和保护。
使用本文中的信息帮助你成功管理 Office 应用中的敏感度标签。例如,确定特定于内置标签的功能所需的应用最低版本、这些功能的任何其他配置信息,并了解与 Azure 信息保护统一标记客户端及其他应用和服务的交互。
桌面应用的标签客户端
若要使用 Windows 和 Mac 版 Office 桌面应用中内置的敏感度标签,必须使用 Office 订阅版本。 此标记客户端不支持 Office 的独立版本(有时称为“Office 永久”版本)。
如果无法升级到适用于 Office 订阅版本的 Microsoft 365 企业应用 (仅适用于 Windows 计算机) 则可以使用 Azure 信息保护 (AIP) 统一标记客户端。 但是,此客户端现在处于 维护模式,我们不建议使用适用于 Office 应用的 AIP 加载项,除非必须这样做。 有关详细信息,请参阅 为什么选择内置标签,而不是 Office 应用的 AIP 加载项。
支持应用中的敏感度标签功能
下表列出了为 Office 应用内置的敏感度标签引入特定功能的最低 Office 版本。 或者,如果标签功能是公共预览版,或正在审查将来的版本。 使用 Microsoft 365 路线图了解有关计划用于未来版本的新功能的详细信息。
不同更新频道在不同时间提供新版本的 Office 应用。 对于 Windows,当使用当前频道或每月企业频道而不是半年企业频道时,将更早地获得新功能。 一个更新频道与下一个更新频道的最低版本号也可能不同。 有关详细信息,请参阅 Microsoft 365 应用版的更新频道概述和Microsoft 365 应用版更新历史记录。
表中不包括专用预览版中的新功能,但通过选择组织参加 Microsoft 信息保护专用预览计划,。
Office for iOS 和 Office for Android:敏感度标签内置于 Office 应用。
提示
将表格中的最小版本与所拥有的版本进行比较时,请记住发布版本的常见做法是省略前导零。
例如,有 4.2128.0 版本,并读取到 4.7.1 以上是最低版本。 为便于比较,请将 4.7.1 (无前导零) 读取为 4.0007.1 (而不是 4.7000.1)。 4.2128.0 版本高于 4.0007.1,因此支持本版本。
Word、Excel 和 PowerPoint 中的敏感度标签功能
列出的数字是每个功能所需的最低 Office 应用程序版本。
备注
对于 Windows 和半年企业频道,支持的最低版本号可能尚未发布。了解更多
| 功能 | Windows | Mac | iOS | Android | Web |
|---|---|---|---|---|---|
| 手动应用、更改或删除标签 | 当前频道:1910+ 每月企业频道:1910+ 半年企业频道:2002+ |
16.21+ | 2.21+ | 16.0.11231+ | 支持 - 选择加入 |
| 多语言支持 | 当前频道:1910+ 每月企业频道:1910+ 半年企业频道:2002+ |
16.21+ | 2.21+ | 16.0.11231+ | 审阅中 |
| 将默认标签应用于 新建文档 | 当前频道:1910+ 每月企业频道:1910+ 半年企业频道:2002+ |
16.21+ | 2.21+ | 16.0.11231+ | 支持 - 选择加入 |
| <将默认标签应用于 已有文档 | 预览:即将于 当前频道(预览) 中推出 | 预览:即将于当前频道(预览)中退出 | 审阅中 | 审阅中 | 支持 - 选择加入 |
| 需要两端对齐来更改标签 | 当前频道:1910+ 每月企业频道:1910+ 半年企业频道:2002+ |
16.21+ | 2.21+ | 16.0.11231+ | 支持 - 选择加入 |
| 提供指向自定义帮助页面的帮助链接 | 当前频道:1910+ 每月企业频道:1910+ 半年企业频道:2002+ |
16.21+ | 2.21+ | 16.0.11231+ | 支持 - 选择加入 |
| 标记内容 | 当前频道:1910+ 每月企业频道:1910+ 半年企业频道:2002+ |
16.21+ | 2.21+ | 16.0.11231+ | 支持 - 选择加入 |
| 带变量的动态标记 | 当前频道:2010+ 每月企业频道:2010+ 半年企业频道:2102+ |
16.42+ | 2.42+ | 16.0.13328+ | 支持 - 选择加入 |
| 现在分配权限 | 当前频道:1910+ 每月企业频道:1910+ 半年企业频道:2002+ |
16.21+ | 2.21+ | 16.0.11231+ | 支持 - 选择加入 |
| 让用户分配权限: - 提示用户输入自定义权限(用户和组) |
当前频道:2004+ 每月企业频道:2004+ 半年企业频道:2008+ |
16.35+ | 审阅中 | 审阅中 | 审阅中 |
| 让用户分配权限: - 提示用户输入自定义权限(用户、组和组织) |
预览版:推出到 Beta 版频道 | 审阅中 | 审阅中 | 审阅中 | 审阅中 |
| 审核标签相关的用户活动 | 当前频道:2011+ 每月企业频道:2011+ 半年企业频道:2108+ |
16.43+ | 2.46+ | 16.0.13628+ | 是 |
| 要求用户将标签应用于其电子邮件和文档 | 当前频道:2101+ 每月企业频道:2101+ 半年企业频道:2108+ |
16.45+ | 2.47+ | 16.0.13628+ | 支持 - 选择加入 |
| 将敏感度标签自动应用于内容 - 使用敏感信息类型 |
当前频道:2009+ 每月企业频道:2009+ 半年企业频道:2102+ |
16.44+ | 审阅中 | 审阅中 | 支持 - 选择加入 |
| 将敏感度标签自动应用于内容 - 使用可训练分类器 |
当前频道:2105+ 每月企业频道:2105+ 半年企业频道:2108+ |
16.49+ | 审阅中 | 审阅中 | 支持 - 选择加入 |
| 支持对标记文档和加密 创作和自动保存 | 当前频道:2107+ 每月企业频道:2107+ 半年企业频道:2202+ |
16.51+ | 预览:在 选择加入 时为 2.58+ | 预览:在 选择加入 时为 16.0.14931+ | 支持 - 选择加入 |
| PDF 支持 | 预览: Beta 频道 | 审阅中 | 审阅中 | 审阅中 | 审阅中 |
Outlook 中的敏感度标签功能
列出的数字是每个功能所需的最低 Office 应用程序版本。
备注
对于 Windows 和半年企业频道,支持的最低版本号可能尚未发布。了解更多
| 功能 | Outlook for Windows | Outlook for Mac | iOS 版 Outlook | Android 版 Outlook | Outlook 网页版 |
|---|---|---|---|---|---|
| 手动应用、更改或删除标签 | 当前频道:1910+ 每月企业频道:1910+ 半年企业频道:2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | 是 |
| 多语言支持 | 当前频道:1910+ 每月企业频道:1910+ 半年企业频道:2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | 是 |
| 应用默认标签 | 当前频道:1910+ 每月企业频道:1910+ 半年企业频道:2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | 是 |
| 需要两端对齐来更改标签 | 当前频道:1910+ 每月企业频道:1910+ 半年企业频道:2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | 是 |
| 提供指向自定义帮助页面的帮助链接 | 当前频道:1910+ 每月企业频道:1910+ 半年企业频道:2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | 是 |
| 标记内容 | 当前频道:1910+ 每月企业频道:1910+ 半年企业频道:2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | 是 |
| 带变量的动态标记 | 当前频道:1910+ 每月企业频道:1910+ 半年企业频道:2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | 是 |
| 现在分配权限 | 当前频道:1910+ 每月企业频道:1910+ 半年企业频道:2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | 是 |
| 允许用户分配权限: - 不转发 |
当前频道:1910+ 每月企业频道:1910+ 半年企业频道:2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | 是 |
| 允许用户分配权限: - 仅加密 |
当前频道:2011+ 每月企业频道:2011+ 半年企业频道:2108+ |
16.48+ * | 4.2112.0+ | 4.2112.0+ | 是 |
| 要求用户将标签应用于其电子邮件和文档 | 当前频道:2101+ 每月企业频道:2101+ 半年企业频道:2108+ |
16.43+ * | 4.2111+ | 4.2111+ | 是 |
| 审核标签相关的用户活动 | 当前频道:2011+ 每月企业频道:2011+ 半年企业频道:2108+ |
16.51+ * | 4.2126+ | 4.2126+ | 是 |
| 将敏感度标签自动应用于内容 - 使用敏感信息类型 |
当前频道:2009+ 每月企业频道:2009+ 半年企业频道:2102+ |
16.44+ * | 审阅中 | 审阅中 | 是 |
| 将敏感度标签自动应用于内容 - 使用可训练分类器 |
当前频道:2105+ 每月企业频道:2105+ 半年企业频道:2108+ |
16.49+ | 审阅中 | 审阅中 | 是 |
| 默认标签和强制标签的不同设置 | 当前频道:2105+ 每月企业频道:2105+ 半年企业频道:2108+ |
16.43+ * | 4.2111+ | 4.2111+ | 是 |
| PDF 支持 | 预览版:推出到 Beta 版频道 | 审阅中 | 审阅中 | 审阅中 | 审阅中 |
| 应用 S/MIME 保护 | 审阅中 | 即将推出:16.61 及以上 * | 即将推出:4.2226 及以上 | 即将推出:4.2203 及以上 | 审阅中 |
Footnotes:
* 需要新的 Outlook for Mac
Office 内置标签客户端和 Azure 信息保护客户端
如果用户在其 Windows 计算机上安装了 Azure 信息保护 (AIP) 客户端,则默认情况下将在在 支持这些标签的 Windows Office 应用 中禁用内置标签。 由于内置标签不使用由 AIP 客户端使用的 Office 加载项,因此这些标签具有更高的稳定性和更好的性能。 这些内置标签还支持最新功能,例如高级分类器。
备注
如果在 Windows 计算机上看不到预期的标签功能,尽管已确认 Office 更新通道支持的最低版本,也可能是因为需要 禁用 AIP 外接程序。
要详细了解通过 AIP 客户端实现标记支持,以及如何仅在 Office 应用中禁用此客户端,请参阅 通过 Office 应用的 AIP 加载项选择内置标签。
如果需要在 Windows 上的 Office 应用中关闭内置标签
Office 内置标签客户端从 Microsoft Purview 合规性门户下载敏感度标签和敏感度标签策略设置。
若要使用 Office 内置标签客户端,必须将一个或多个 标签策略发布 Microsoft Purview 合规性门户中的用户,以及 支持的 Office 版本。
如果满足以上两个条件,但需要关闭 Windows Office 应用中的内置标签,请使用以下组策略设置:
导航到 /管理模板/Microsoft Office 2016/安全设置。
设置 使用 Office 中的敏感度功能来应用和查看 0 标签 0。
如果以后需要还原此配置,请将值更改为 1。 如果功能区上未按预期显示 敏感度 按钮,则可能还需要将此值更改为 1。 例如,以前的管理员已关闭此标记设置。
通过使用组策略或 Office 云策略服务中的 部署此设置。 这些设置将在这些 Office 应用重启时生效。
由于此设置特定于 Windows Office 应用,因此它不会影响 Windows 上支持敏感度标签的其他应用(如 Power BI)或其他平台(如 macOS、移动设备和 Office 网页版)。 如果你不希望部分或所有用户在所有应用及所有平台上查看和使用敏感度标签,请不要为这些用户分配敏感度标签策略。
支持的 Office 文件类型
具有 Word、Excel 和 PowerPoint 文件的内置标签的 Office 应用支持开放 XML 格式(如 .docx 和 .xlsx),但不支持 Microsoft Office 97-2003 格式(如 .doc 和 .xls)、开放文档格式(如 .odt 和 .ods)或其他格式。当文件类型不支持使用内置标签进行标记时,“敏感度”按钮在 Office 应用中不可用。
Azure 信息保护统一标签客户端同时支持 Open XML 格式和 Microsoft Office 97-2003 格式。 有关详细信息,请参阅 azure 保护统一标签客户端 管理员指南中支持的类型。
有关其他标签解决方案,请查看其文档,了解支持的文件类型。
保护模板和敏感度标签
当你使用内置 时,Office 应用中不会显示管理员定义的保护模板,例如为 Office 365 邮件加密定义的模板。 这种简化的体验反映无需选择保护模板,因为启用了加密的敏感度标签中包含了相同的设置。
将 New-Label cmdlet 与 EncryptionTemplateId 参数结合使用时,可以将现有模板转换为敏感度标签。
信息权限管理 (IRM) 选项和敏感度标签
通过配置以应用加密的敏感度标签,可消除用户指定其加密设置的复杂性。 在许多 Office 应用中,用户仍可使用信息权限管理 (IRM) 选项手动配置这些单独的加密设置。 例如,对于 Windows 应用:
- 对于文档:文件 > 信息 > 保护 > 限制访问
- 电子邮件:"从" 选项 选项卡 > 加密
当用户最初标记文档或电子邮件时,他们可以使用自己的加密设置替代标签配置设置。例如:
用户将" \所有员工" 标签应用于文档,并且此标签配置为对组织中所有用户应用加密设置。 然后,此用户手动配置 IRM 设置以限制对组织外部用户的访问权限。 结果是一个标记为"机密 \所有员工 加密的文档,但您的组织中的用户无法如预期打开它。
用户向 应用"机密\收件人 标签,此电子邮件配置为应用" 请勿转发"。 在 Outlook 应用中,此用户随后手动选择“仅加密的 IRM 设置”。 最终结果是虽然电子邮件确实保持加密状态,但收件人仍可以转发此邮件,尽管邮件具有“机密\仅限收件人”标签。
作为例外,对于 Outlook 网页版,在当前选定标签应用加密时,用户无法选择“加密”菜单中的选项。
用户将" " 标签应用于文档,并且此标签未配置为应用加密。 然后,此用户手动配置 IRM 设置以限制对文档的访问。 结果是一个标记为"常规 文档 这也应用了加密,因此某些用户无法如预期打开它。
如果已标记文档或电子邮件,如果内容尚未加密,或者其具有"导出"或"完全控制" 或完全控制 ,用户可以执行这些操作。
为获得更一致的标签体验和有意义的报告,向用户提供合适的标签和指南,以便仅应用标签以保护文档。例如:
对于用户必须分配自己的权限的例外情况,请提供标签 允许用户向用户分配。
如果用户需要具有相同的分类而无加密标签,则用户无需在选择应用加密的标签后手动删除加密,而是提供子标记替代项。例如:
- 机密 \ 所有员工
- 机密 \ 任何人(无加密)
请考虑禁用 IRM 设置以防止用户选择这些设置:
- Outlook for Windows:
- 来自
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\DRM的注册表项DWORD:00000001DisableDNF 和 DisableEO - 确保未配置组策略设置 配置“加密”按钮的默认加密选项
- 来自
- Outlook for Mac:
- 记录在 设置 Outlook for Mac 首选项 中的注册表项 DisableEncryptOnly 和 DisableDoNotForward 安全设置
- Outlook 网页版:
- 为 Set-IRMConfiguration 记录的参数 SimplifiedClientAccessDoNotForwardDisabled 和 SimplifiedClientAccessEncryptOnlyDisabled
- Outlook for iOS 和 Android:这些应用不支持用户在无标签的情况下应用加密,因此无需禁用任何项目。
- Outlook for Windows:
备注
如果用户从存储在SharePoint或OneDrive中的带标签文档中手动删除加密,并且已在SharePoint和OneDrive中为Office文件启用了敏感性标签,则下次访问或下载文档时,标签加密将自动恢复。
对文件、电子邮件和附件应用敏感度标签
用户一次只能为一个文档或电子邮件应用一个标签。
为包含附件的电子邮件添加标签时,只有当应用于电子邮件的标签应用加密且附件为 Office 文档时,附件才继承此标签。由于继承的标签应用加密,附件将采用新加密方式。
当应用于电子邮件的标签不应用加密或附件已加密时,附件不会继承电子邮件的标签。
标签继承示例,其中标签 机密 加密,"常规" 标签 不适用加密:
用户创建新电子邮件,并对此邮件 机密 标签。 然后,他们添加未标记或加密的 Word 文档。 继承后,文档新标记 机密 标签中应用加密。
用户创建新电子邮件,并对此邮件 机密 标签。 然后,他们添加一个标记为"常规 的 Word 并且此文件未进行加密。 继承后,文档将重新标记为机密 标签 已应用加密。
敏感度标签兼容性
使用 RMS 标记的应用:如果在 RMS 支持的应用程序 中打开标签和加密的文档或电子邮件但不支持敏感度标签,则应用仍实施加密和权限管理。
使用 Azure 信息保护客户端:可以使用 Azure 信息保护客户端及其他方式,通过 Office 内置标签客户端查看和更改应用于文档和电子邮件的敏感度标签。
对于其他版本的 Office:任何授权用户都可以在其他版本的 Office 中打开标记的文档和电子邮件。 但是,你只能使用 Azure 信息保护客户端查看或更改受支持 Office 版本中的标签。 支持的 Office 应用版本列于上一节 一。
支持通过敏感度标签保护的 SharePoint 和 OneDrive 文件
若要对 SharePoint 或 OneDrive 中的文档使用 Office 网页内置标签客户端,请确保对 SharePoint 和 OneDrive 中 Office 文件启用了敏感度标签。
支持外部用户和标记的内容
标记文档或电子邮件时,标签会存储为包含租户和标签 GUID 的元数据。 支持敏感度标签的 Office 应用打开标记的文档或电子邮件时,只要用户属于同一租户,该标签才显示于其应用中。 例如,对于 Word、PowerPoint 和 Excel 的内置标签,标签名称显示在状态栏上。
这意味着如果与使用不同标签名称的组织共享文档,则每个组织可应用并查看应用于文档的标签。 但是,应用标签中的以下元素对组织外部用户可见:
内容标记。当标签应用页眉、页脚或水印时,这些内容将直接添加到内容中,在某人修改或删除它们之前保持可见。
应用加密的标签中的基础保护模板的名称和说明。 此信息显示在文档顶部的消息栏中,提供有关谁有权打开该文档以及其针对该文档的使用权限的信息。
与外部用户共享加密文档
除了限制自己组织中用户的访问权限,还可以扩展对 Azure Active Directory 中拥有帐户的其他用户的访问权限。 但是,如果你的组织使用条件访问策略,请参阅 部分 了解其他注意事项。
所有 Office 应用 RMS 型应用程序 用户成功验证后,可打开加密文档。
如果外部用户在 Azure Active Directory 中没有帐户,他们可以通过在租户中使用来宾帐户进行身份验证。 当对 SharePoint 和 OneDrive 中的 Office 文件启用了 敏感度标签时,这些来宾帐户也可用于访问 SharePoint 或 OneDrive 中的共享:
一个选择是自己创建这些来宾帐户。 你可以指定这些用户已使用的任何电子邮件地址。 例如,他们的 Gmail 地址。
此选项的优点是,可在加密设置中指定特定用户的电子邮件地址,从而限制特定用户的访问和权限。 其费用表示创建帐户和管理标签配置时的管理开销。
另一个选项是使用 SharePoint 和 OneDrive 与 Azure AD B2B 的集成,以便用户共享链接时自动创建来宾帐户。
此选项的优点是最低管理开销,因为会自动创建帐户,并且标签配置更简单。 对于此方案,必须先选择加密 添加任何经过身份验证的用户 因为事先不知道电子邮件地址。 请注意,此设置不允许限制特定用户的访问和使用权限。
使用 Windows 和 Microsoft 365 应用(以前Office 365 应用)或 Office 2019 独立版本时,外部用户也可使用 Microsoft 帐户打开加密文档。 最近支持在其他平台中打开加密文档,Microsoft 帐户也支持在 macOS(Microsoft 365 应用,版本 16.42+)、Android(版本 16.0.13029+)和 iOS(版本 2.42+)上打开加密文档。 例如,组织中用户与组织外部的用户共享加密文档,并且加密设置为外部用户指定 Gmail 电子邮件地址。 此外部用户可以创建自己的使用其 Gmail 电子邮件地址的 Microsoft 帐户。 然后,在登录此帐户后,可根据指定的使用限制打开并编辑该文档。 有关此方案的演练示例,请参阅 并编辑受保护的文档。
备注
Microsoft 帐户的电子邮件地址必须匹配指定用于限制加密设置访问的电子邮件地址。
当具有 Microsoft 帐户的用户如此打开加密文档时,如果同名来宾帐户不存在,将自动为租户创建来宾帐户。 当来宾帐户存在时,除了从支持的桌面和移动 Office 应用打开加密文档外,它还可在 SharePoint 和 OneDrive 中利用 Office 网页版打开文档。
但由于复制延迟,此方案不会立即创建自动来宾帐户。 如果指定个人电子邮件地址作为标签加密设置的一部分,建议在 Azure Active Directory 中创建相应的来宾帐户。 然后告知这些用户必须使用此帐户从组织打开加密文档。
提示
因为不能确保外部用户将使用受支持的 Office 客户端应用,因此在创建来宾帐户(适用于特定用户)之后或者在使用 SharePoint 和 OneDrive 与 Azure AD B2B (任何经过身份验证的用户)集成时,共享 SharePoint 和 OneDrive 中的链接是支持与外部用户安全协作的更可靠方法。
条件访问策略
如果你的组织已实施 Microsoft Azure Active Directory 条件访问策略,请检查相应策略的配置。如果策略包括 Microsoft Azure 信息保护 并且该策略扩展到外部用户,则这些外部用户在租户中必须具有来宾帐户,即使他们在其自己的租户中拥有 Azure AD 帐户。
如不使用该访客帐户,则他们无法打开加密的文档并看到错误消息。消息文本可能会告知他们需要将其帐户添加为租户中的外部用户,且此方案说明不正确 请注销,然后使用不同的 Azure Active Directory 用户帐户。
如果无法针对需要打开通过标签加密的文档的外部用户,在租户中创建和配置来宾帐户,则必须从条件访问策略中删除 Azure 信息保护,或者从策略中排除外部用户。
有关条件访问和 Azure 信息保护(敏感度标签使用的加密服务)详细信息,请参阅常见问题 "Azure 信息保护"列为可用于条件访问的可用云应用 - 此应用是如何工作的?
Office 应用应用标记和加密时
Office 应用应用的内容标记和加密与敏感度标签不同,具体取决于你使用的应用。
| 应用 | 内容标记 | 加密 |
|---|---|---|
| 所有平台上的 Word、Excel 和 PowerPoint | 立即 | 立即 |
| Outlook for PC 和 Outlook for Mac | Exchange Online 发送电子邮件后 | 立即 |
| 网页版、iOS 版和 Android 版 Outlook | Exchange Online 发送电子邮件后 | Exchange Online 发送电子邮件后 |
将敏感度标签应用于 Office 应用外部文件的解决方案会通过向文件应用标签元数据来实现此限制。 在这种情况下,从标签的配置标记的内容不会插入文件,但会应用加密。
在 Office 桌面应用中打开这些文件时,首次保存文件时,Azure 信息保护统一标签客户端将自动应用标记的内容。 对桌面、移动或 Web 应用使用内置标签时,标记的内容不会自动应用。
包括应用 Office 应用外部敏感度标签的方案包括:
来自 Azure 信息保护统一标签客户端的扫描仪、文件资源管理器和 PowerShell
SharePoint 和 OneDrive 的自动标记策略
从 Power BI 导出标记和加密的数据
Microsoft Defender for Cloud Apps
对于这些方案,使用 Office 应用时,具有内置标签的用户可以通过临时删除或替换当前标签,然后重新应用原始标签来应用标签的内容。
带变量的动态标记
重要
如果你的 Office 应用不支持此功能,其将标记应用为标签配置中指定的原始文本,而不是解决变量。
Azure 信息保护统一标签客户端支持动态标记。对于内置于 Office 应用的标签,请参阅此页面上功能中的表格,了解支持的最低版本。
为标记内容配置敏感度标签时,可以在文本字符串中为页眉、页脚或水印使用以下变量:
| 变量 | 说明 | 应用标签时的示例 |
|---|---|---|
${Item.Label} |
已应用的标签的显示名称 | 常规 |
${Item.Name} |
被标签内容的文件名或电子邮件主题 | Sales.docx |
${Item.Location} |
被标签的文档的路径和文件名,或者标记的电子邮件的电子邮件主题 | \\Sales\2020\Q3\Report.docx |
${User.Name} |
显示应用标签的用户名称 | Richard Simone |
${User.PrincipalName} |
应用标签的用户的 Azure AD 用户主体名称 (UPN) | rsimone@contoso.com |
${Event.DateTime} |
标记内容的日期和时间,以应用 Microsoft 365 应用中应用标签的用户的本地时区,或 Office Online 和自动标签策略的 UTC(协调世界时)表示 | 2020/8/10 下午 1:30 |
备注
这些变量的语法区分大小写。
为 Word、Excel、PowerPoint 和 Outlook 设置不同的视觉标记
作为一个附加变量,您可以通过在文本字符串中使用"If.App"变量语句来配置每个 Office 应用程序类型的视觉标记,并且使用值 Word、 Excel、 PowerPoint 或 Outlook 来标识应用程序类型。 如果要在同一个语句中指定多个值,也可缩简这些值,If.App 值。
使用以下语法:
${If.App.<application type>}<your visual markings text> ${If.End}
与其他动态视觉标记一样,语法区分大小写,其中包括每个应用程序类型 (WEPO) 的缩写。
示例:
仅设置 Word 文档的页眉文本:
${If.App.Word}This Word document is sensitive ${If.End}标签仅应用于 Word 文档标题,可应用标题文本"此 Word 文档很敏感"。 标题文本不应用于其他 Office 应用程序。
为 Word、Excel 和 Outlook 设置页脚文本,以及 PowerPoint 的不同页脚文本:
${If.App.WXO}This content is confidential. ${If.End}${If.App.PowerPoint}This presentation is confidential. ${If.End}在 Word、Excel 和 Outlook 中,标签将应用页脚文本"此内容是机密的"。 在 PowerPoint 中,标签将应用页脚文本"此演示文稿是机密的"。
为 Word 和 PowerPoint 设置特定水印文本,然后为 Word、Excel 和 PowerPoint 设置水印文本:
${If.App.WP}This content is ${If.End}Confidential在 Word 和 PowerPoint 中,标签将应用水印文本"此内容为机密"。 在 Excel 中,标签应用水印文字"机密"。 在 Outlook 中,标签不应用任何水印文本,因为 Outlook 不支持水印作为视觉标记。
要求用户为其电子邮件和文档应用标签
重要
Azure 信息保护统一标签客户端支持该配置(也称为“必需标签”)。对于内置于 Office 应用的标签,请参阅此页面上的功能部分中的表格,了解最低版本要求。
要对文档而不是电子邮件使用强制标签,请参阅下一节中说明如何配置 Outlook 特定选项的指示。
要对 Power BI 使用强制标签,请参阅 Power BI 的强制标签策略。
选择 要求用户将标签应用于其电子邮件和文档 策略设置后,分配了策略的用户必须在以下情况下选择并应用敏感度标签:
对于 Azure 信息保护统一标签客户端:
- 对于文档(Word、Excel、PowerPoint):保存未标记的文档时或用户关闭该文档时。
- 对于电子邮件 (Outlook):用户发送无标记的邮件。
对于内置 Office 应用的标签:
- 对于文档(Word、Excel、PowerPoint):打开或保存无标记的文档时。
- 对于电子邮件 (Outlook):用户发送无标记的电子邮件。
内置标签的其他信息:
当系统提示用户添加敏感度标签时,因为他们打开了一个无标记的文档,他们可添加标签,或者选择在只读模式下打开文档。
当强制标签生效时,用户不能从文档中删除敏感度标签,但可以更改现有标签。
当强制标记生效时,如果文档被标记或加密,打印到 PDF 选项将不可用。 有关详细信息,请参阅此页上的 PDF 支持 部分。
有关何时使用此设置的指导,请参阅有关策略 设置。
备注
如果要对文档和电子邮件使用默认标签策略设置以及强制标签设置:
默认标签始终优先于必需标签。 但是,对于文档,Azure 信息保护统一标签客户端将默认标签应用于所有无标记的文档,而内置标签将默认标签应用于新文档,而非未标记的现有文档。 此行为差异意味着在将强制标签用于默认标签设置时,系统可能提示用户在使用内置标签时比使用 Azure 信息保护统一标签客户端时更频繁地应用敏感度标签。
现在推出:使用内置标签并支持现有文档使用默认标签的 Office 应用。 有关详细信息,请参阅 word、Excel 和 PowerPoint 的 功能表。
Outlook 特定的默认标签和强制标签选项
对于内置标签,请使用此页上的 Outlook 功能表以及 默认标签和强制标签的不同设置 行来标识支持这些功能的最低版本 Outlook。Azure 信息保护统一标签客户端的所有版本均支持这些特定于 Outlook 的选项。
Outlook 应用支持的默认标签设置与文档的默认标签设置不同时:
- 在 Microsoft Purview 合规性门户的标签策略配置中,在 将默认标签应用于电子邮件 页面上:可指定将应用于所有未标记电子邮件的敏感度标签选项,或指定为无默认标签。 此设置独立于配置的之前 文档策略设置 页面上的 默认将此标签应用于文档 设置。
如果 Outlook 应用不支持与文档的默认标签设置不同的默认标签设置:Outlook 将始终使用你为标签策略配置的 文档策略设置 页面上 默认将此标签应用于文档 所指定的值。
当 Outlook 应用支持关闭强制标签时:
- 在 Microsoft Purview 合规性门户中心的标签策略配置中,在 策略设置 页面上: 选择 要求用户向其电子邮件或文档应用标签。 然后选择“下一步” > “下一步”,并清除复选框“要求用户向电子邮件应用标签”。 如果要对电子邮件和文档应用强制标签,请保持选中复选框。
当 Outlook 应用不支持关闭强制标签时:如果选择“要求用户向其电子邮件或文档应用标签”作为策略设置,Outlook 将始终提示用户为未标记的电子邮件选择标签。
备注
如果已通过使用 Set-LabelPolicy 或 New-LabelPolicy cmdlet 配置 PowerShell 高级设置 OutlookDefaultLabel 和 DisableMandatoryInOutlook:
你为这些 PowerShell 设置选择的值反映在 Microsoft Purview 合规性门户的标签策略配置中,并且它们自动适用于支持这些设置的 Outlook 应用。 其他 PowerShell 高级设置仍然仅支持 Azure 信息保护统一标签客户端。
配置标签以在 Outlook 中应用 S/MIME 保护
备注
此功能目前正在推出以进行内置标记。 使用此页上 Outlook 的 功能表 和“应用 S/MIME 保护”行,确定支持此功能的 Outlook 的最低版本。
如果将标签配置为应用 S/MIME 保护,但 Outlook 应用尚不支持它,则该标签仍会显示在 Outlook 中并可应用,但 S/MIME 设置将被忽略。 你将无法为 Exchange 自动标记策略选择此标签。
此配置在 Microsoft Purview 合规中心不可用。 连接到 Office 365 安全和合规中心 PowerShell 后,必须将 PowerShell 高级设置与 Set-Label 或 New-Label cmd 配合使用。
仅当具备有效的 S/MIME 部署并且希望标签自动对电子邮件应用此保护方法,而不是使用 Azure 信息保护中的 Rights Management 加密的默认保护时,才使用这些设置。 生成的保护将与用户从 Outlook 手动选择 S/MIME 选项时相同。
| 配置 | 高级设置键/值 |
|---|---|
| S/MIME 数字签名 | SMimeSign=“True” |
| S/MIME 加密 | SMimeEncrypt=“True” |
无需在合规性门户中为这些设置配置标签进行加密。 但如果是,S/MIME 保护将仅替换 Outlook 中的 Rights Management 加密。 对于其他应用,标签应用 Microsoft Purview 合规门户中指定的加密设置。
示例,其中敏感度标签 GUID 为 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeSign="True"}
Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeEncrypt="True"}
有关指定 PowerShell 高级设置的更多帮助,请参阅 用于指定高级设置的 PowerShell 提示。
PDF 支持
对于内置标记,请使用此页上 功能 部分中的表来标识支持的最低版本。 Azure 信息保护统一标记客户端不支持 Office 应用中的 PDF。
Word、Excel 和 PowerPoint 支持以下方法将 Office 文档转换为 PDF 文档:
- 文件 > 另存为 > PDF
- 文件 > 导出 > PDF
- 共享 > 发送副本 > PDF
此操作使用“文件和页面活动”审核组中的“重命名文件”审核事件进行记录。 在合规性门户中的审核搜索结果中,你将看到此审核事件的详细信息,其中显示了“活动”字段的“SensitivityLabeledFileRenamed”。
创建 PDF 时,它将继承具有任何内容标记和加密的标签。 可在 Windows 或 Mac 上使用 Microsoft Edge 打开加密的 PDF。 有关详细信息和备选阅读器,请参阅受保护的 PDF 支持哪些 PDF 阅读器?
Outlook 当前不支持从标记的邮件继承加密的 PDF 附件。 但是,Outlook 现在支持警告或阻止用户打印到 PDF,如下所述。
不支持 PDF 方案:
打印为 PDF
如果用户选择此选项,则会警告他们文档或邮件将失去标签保护和加密(如果已应用),并且必须确认才能继续。 如果敏感度标签策略需要删除标签或降低其分类的理由,用户会看到此提示。
由于此选项会删除敏感度标签,因此,如果使用强制标记,则用户将无法使用此选项。 此配置是指敏感度标签策略设置,要求用户对其电子邮件和文档应用标签。
PDF/A 格式和加密
当标签应用加密时,不支持此专为长期存档设计的 PDF 格式,并且会阻止用户将 Office 文档转换为 PDF。 有关配置信息,请参阅组策略文档,了解如何 使用 ISO 19005-1 (PDF/A) 强制执行 PDF 符合性。
密码保护和加密
文档标签应用加密时,不支持“文件 > 信息 > 保护文档 > 使用密码加密”选项。 在此方案中,用户将无法使用密码加密选项。
有关此功能的详细信息,请参阅公告将 敏感度标签应用于使用 Office 应用创建的 PDF。
审核标签活动
有关敏感度标签活动生成的审核事件的信息,请参阅 在 Microsoft Purview 合规性门户搜索审核日志 中的 敏感度标签活动 部分。
此审核信息在 内容浏览器 和 活动资源管理器 中直观地表示,以帮助你了解敏感度标签的使用方式以及此标签内容的位置。
在 导出并配置审核日志记录 时,还可以使用所选安全信息和事件管理 (SIEM) 软件创建自定义报表。有关更大规模的报表解决方案,请参阅 Office 365 管理活动 API 参考。
提示
要帮助创建自定义报表,请参阅以下博客文章: