启用 SharePoint 和 OneDrive 中 Office 文件的敏感度标签

Microsoft 365 安全性与合规性许可指南。

在 SharePoint 和 OneDrive 中为受支持的 Office 文件启用内置标签，以便用户可以在Office 网页版中应用敏感度标签。 启用此功能后，用户将在功能区上看到 “敏感度 ”按钮，以便他们可以应用标签，并在状态栏上查看任何应用的标签名称。

启用此功能还会导致 SharePoint 和 OneDrive 能够使用敏感度标签处理已加密的 Office 文件的内容。 标签可在 Office 网页版 或 Office 桌面应用中应用，并上传或保存在 SharePoint 和 OneDrive 中。 在启用此功能之前，这些服务无法处理加密文件，这意味着共同创作、电子数据展示、Microsoft Purview 数据丢失防护、搜索和其他协作功能将不适用于这些文件。

在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签后，对于具有敏感度标签的新文件和已更改文件，这些文件使用基于云的密钥 (进行加密，并且不使用 双键加密：

• 对于 Word、Excel 和 PowerPoint 文件，SharePoint 和 OneDrive 可识别标签，现在可以处理加密文件的内容。

• 当用户从 SharePoint 或 OneDrive 下载或访问这些文件时，将强制实施敏感度标签和标签中的任何加密设置，并将其保留在文件中，无论它存储在何处。 请确保提供用户指南，以便仅使用标签来保护文档。 有关详细信息，请参阅 信息权限管理 (IRM) 选项和敏感度标签。

• 当用户将标记和加密的文件上传到 SharePoint 或 OneDrive 时，他们必须至少拥有这些文件的查看权限。 例如，他们可以在 SharePoint 外部打开文件。 如果他们没有此最小使用权限，则上传成功，但服务无法识别标签，无法处理文件内容。

• 使用 Office 网页版 (Word、Excel、PowerPoint) 打开和编辑具有应用加密的敏感度标签的 Office 文件。 使用加密分配的权限会强制执行。 还可以对这些文档使用 自动标记 。

• 外部用户可以使用来宾帐户访问标记为加密的文档。 有关详细信息，请参阅 对外部用户和标记内容的支持。

• Office 365电子数据展示支持对这些文件进行全文搜索，数据丢失防护 (DLP) 策略支持这些文件中的内容。

备注

如果对本地密钥应用了加密， (通常称为“保存自己的密钥”或 HYOK) 的密钥管理拓扑，或者使用 双密钥加密处理文件内容的服务行为不会改变。 因此，对于这些文件，共同创作、电子数据展示、数据丢失防护、搜索和其他协作功能将不起作用。

对于使用单个基于 Azure 的密钥进行加密标记的这些位置中的现有文件，SharePoint 和 OneDrive 行为也不会更改。 若要使这些文件在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签后从新功能中受益，必须再次下载和上传或编辑这些文件。

在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签后，有三个新的 审核事件 可用于监视应用于 SharePoint 和 OneDrive 中的文档的敏感度标签：

• 已向文件应用敏感度标签
• 已更改应用于文件的敏感度标签
• 已从文件除敏感度标签

观看以下视频 (没有音频) ，以查看新功能的运行情况：

始终可以选择在 SharePoint 和 OneDrive 中禁用 Office 文件的敏感度标签， (随时选择退出) 。

如果当前使用 SharePoint 信息权限管理 (IRM) 保护 SharePoint 中的文档，请务必在此页上查看 SharePoint 信息权限管理 (IRM) 和敏感度标签 部分。

要求

这些新功能仅适用于 敏感度标签 。 如果当前有 Azure 信息保护标签，请先将它们迁移到敏感度标签，以便可以为上传的新文件启用这些功能。 有关说明，请参阅 Azure 信息保护标签迁移到统一敏感度标签。

在 Windows 上使用OneDrive 同步应用版本 19.002.0121.0008 或更高版本，在 Mac 上使用版本 19.002.0107.0008 或更高版本。 这两个版本均于 2019 年 1 月 28 日发布，目前已发布到所有环。 有关详细信息，请参阅 OneDrive 发行说明。 在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签后，系统会提示运行较旧版本的同步应用的用户更新它。

限制

• 当这些文件包含 PowerQuery 数据、自定义加载项存储的数据或自定义 XML 部件（如封面属性、内容类型架构、自定义文档信息面板和自定义 XSN）时，SharePoint 和 OneDrive 无法处理从 Office 桌面应用标记和加密的某些文件。 此限制也适用于包含 书目的文件，以及上传文档 ID 时添加了文 档 ID 的文件。

  对于这些文件，请在不加密的情况下应用标签，以便以后可以在Office web 版中打开标签，或者指示用户在其桌面应用中打开文件。 仅在Office web 版中标记和加密的文件不会受到影响。

• SharePoint 和 OneDrive 不会自动将敏感度标签应用于已使用 Azure 信息保护标签加密的现有文件。 相反，若要在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签后要使用的功能，请完成以下任务：

  1. 请确保已将 Azure 信息保护 标签迁移到敏感度标签，并将其从Microsoft Purview 合规门户发布。
  2. 下载标记的文件，然后将其上传到 SharePoint 或 OneDrive 中的原始位置。

• 当应用加密的标签具有以下任何加密 配置时，SharePoint 和 OneDrive 无法处理加密文件：

  • 允许用户在应用标签权限 Word、PowerPoint 和 Excel 复选框时分配权限，提示用户 权限。 此设置有时称为“用户定义的权限”。

  • 将内容的访问权限设置为 一个值，则对内容 从不。

  • 选择了双 加密技术。

    对于具有上述任何加密配置的标签，标签不会显示给Office 网页版中的用户。 此外，新功能不能与已具有这些加密设置的标签文档一起使用。 例如，即使更新了这些文档，也不会在搜索结果中返回这些文档。

• 出于性能原因，将文档上载或保存到 SharePoint 且文件标签不应用加密时，文档库中的 “敏感度 ”列可能需要一段时间才能显示标签名称。 如果使用依赖于此列中的标签名称的脚本或自动化，则此延迟的因素。

• 如果在 SharePoint 中签出文档时标记了文档，则文档库中的 “敏感度 ”列将不会显示标签名称，直到在 SharePoint 中签入和下一次打开该文档。

• 如果使用服务主体名称的应用或服务从 SharePoint 或 OneDrive 下载已标记和加密的文档，然后使用应用不同加密设置的标签再次上传，则上传将失败。 示例方案是Microsoft Defender for Cloud Apps将文件上的敏感度标签从 “机密”更改为 “高度机密”或“机密”更改为 “常规”。

  如果应用或服务首次运行 Unlock-SPOSensitivityLabelEncryptedFile cmdlet，上传不会失败，如已标记文档节的 “删除加密 ”部分中所述。 或者，在上传之前，将删除原始文件或更改文件名。

• 用户在以下“另存为”方案中打开加密文档时可能会遇到延迟：使用桌面版 Office 时，用户会为具有应用加密的敏感度标签的文档选择“另存为”。 用户选择 SharePoint 或 OneDrive 作为位置，然后立即尝试在Office 网页版中打开该文档。 如果服务仍在处理加密，用户会看到一条消息，指出文档必须在其桌面应用中打开。 如果他们在几分钟内重试，文档将在Office 网页版中成功打开。

• 对于加密的文档，Office 网页版不支持打印。

• 对于Office 网页版中的加密文档，不会阻止复制到剪贴板和屏幕捕获。 有关详细信息，请参阅 Rights Management 是否可以阻止屏幕捕获？

• 默认情况下，Office 桌面应用和移动应用不支持共同创作标记为加密的文件。 这些应用继续在独占编辑模式下打开已标记和加密的文件。

  备注

  现在，Windows 和 macOS 以及 iOS 和 Android 的预览版都支持共同创作。 有关详细信息，请参阅 为使用敏感度标签加密的文件启用共同创作。

• 如果管理员更改已发布标签的设置，该标签已应用于下载到用户同步客户端的文件，则用户可能无法保存他们在 OneDrive Sync 文件夹中对文件所做的更改。 此方案适用于使用加密标记的文件，以及标签更改来自未对应用加密的标签应用加密的标签时。 用户看到红色 圆圈出现白色交叉图标错误，系统要求他们将新更改另存为单独的副本。 相反，他们可以关闭并重新打开文件，或使用Office 网页版。

• 用户在脱机或进入睡眠模式后可能会遇到保存问题，而无需使用Office 网页版，而是将桌面和移动应用用于 Word、Excel 或 PowerPoint。 对于这些用户，当他们恢复其 Office 应用会话并尝试保存更改时，他们会看到一条上传失败消息，其中包含保存副本而不是保存原始文件的选项。

• 无法在Office 网页版中打开以以下方式加密的文档：

  • 使用本地密钥的加密 (“保存自己的密钥”或 HYOK)
  • 使用双键加密应用的加密
  • 独立于标签应用的加密，例如，直接应用 Rights Management 保护模板。

• 不支持为 其他语言 配置的标签，仅显示原始语言。

• 如果删除已应用于 SharePoint 或 OneDrive 中的文档的标签，而不是从适用的标签策略中删除标签，则下载后的文档不会标记或加密。 相比之下，如果标记的文档存储在 SharePoint 或 OneDrive 之外，则如果删除标签，文档将保持加密状态。 请注意，尽管可能会在测试阶段删除标签，但很少会在生产环境中删除标签。

如何为 SharePoint 和 OneDrive 启用敏感度标签 (选择加入)

可以使用Microsoft Purview 合规门户或使用 PowerShell 来启用新功能。 有关说明，请参阅以下部分。

与 SharePoint 和 OneDrive 的所有租户级配置更改一样，更改大约需要 15 分钟才能生效。

使用Microsoft Purview 合规门户启用对敏感度标签的支持

此选项是为 SharePoint 和 OneDrive 启用敏感度标签的最简单方法，但必须以租户的全局管理员身份登录。

1. 以全局管理员身份登录 到Microsoft Purview 合规门户，并导航到 解决方案 > 信息保护 > 标签

2. 如果看到一条消息来启用在 Office 联机文件中处理内容的功能，请选择 “立即打开”：

   

   该命令立即运行，下次刷新页面时，你将不再看到消息或按钮。

备注

如果拥有 Microsoft 365 多地理位置，则必须使用 PowerShell 为所有地理位置启用这些功能。 有关详细信息，请参阅下一节。

使用 PowerShell 启用对敏感度标签的支持

作为使用Microsoft Purview 合规门户的替代方法，可以使用 SharePoint Online PowerShell 中的 Set-SPOTenant cmdlet 启用对敏感度标签的支持。

如果拥有 Microsoft 365 多地理位置，则必须使用 PowerShell 为所有地理位置启用此支持。

准备 SharePoint Online Management Shell

在运行 PowerShell 命令以在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签之前，请确保运行 SharePoint Online Management Shell 版本 16.0.19418.12000 或更高版本。 如果已有最新版本，则可以跳到 下一个过程 来运行 PowerShell 命令。

1. 如果已从 PowerShell 库安装早期版本的 SharePoint Online 命令行管理程序，可通过运行以下 cmdlet 来更新模块。

   Update-Module -Name Microsoft.Online.SharePoint.PowerShell
   

2. 或者，如果已从 Microsoft 下载中心安装了以前版本的 SharePoint Online Management Shell，也可以转到 “添加或删除程序 ”并卸载 SharePoint Online Management Shell。

3. 在 Web 浏览器中，转到“下载中心”页面，下载最新的 SharePoint Online 命令行管理程序。

4. 选择语言，然后单击“下载”。

5. 在 x64 和 x86.msi 文件之间进行选择。 如果运行 64 位版本的 Windows 或 x86 文件（如果运行 32 位版本），请下载 x64 文件。 如果不知道，请参阅 我正在运行哪个版本的 Windows 操作系统？

6. 下载文件后，运行该文件并按照安装向导中的步骤操作。

运行 PowerShell 命令以启用对敏感度标签的支持

若要启用新功能，请将 Set-SPOTenant cmdlet 与 EnableAIPIntegration 参数配合 使用：

1. 使用在 Microsoft 365 中具有全局管理员或 SharePoint 管理员权限的工作或学校帐户，连接到 SharePoint。 若要了解具体操作步骤，请参阅 SharePoint 在线管理壳入门。

   备注

   如果有 Microsoft 365 多地理位置，请将 -Url 参数与 Connect-SPOService 配合使用，并为其中一个地理位置指定 SharePoint Online 管理中心站点 URL。

2. 运行以下命令并按 Y 确认：

   Set-SPOTenant -EnableAIPIntegration $true
   

3. 对于 Microsoft 365 多地理位置：针对剩余的每个地理位置重复步骤 1 和 2。

发布和更改敏感度标签

将敏感度标签与 SharePoint 和 OneDrive 配合使用时，请记住，在发布新的敏感度标签或更新现有敏感度标签时，需要允许复制时间。 对于应用加密的新标签，这一点尤为重要。

例如：创建并发布应用加密的新敏感度标签，并且它很快出现在用户的桌面应用中。 用户将此标签应用于文档，然后将其上传到 SharePoint 或 OneDrive。 如果服务的标签复制尚未完成，则上传时不会将新功能应用到该文档。 因此，文档不会在搜索或电子数据展示中返回，并且无法在Office 网页版中打开文档。

有关标签计时详细信息，请参阅何时预期新标签和更改生效。

作为保护措施，我们建议先将新标签发布到几个测试用户，等待至少一小时，然后在 SharePoint 和 OneDrive 上验证标签行为。 请等待至少一天，然后通过将更多用户添加到现有标签策略，或将标签添加到标准用户的现有标签策略，使标签可供更多用户使用。 当标准用户看到标签时，它已同步到 SharePoint 和 OneDrive。

(IRM) 和敏感度标签的 SharePoint 信息权限管理

SharePoint 信息权限管理 (IRM) 是一种较旧的技术，通过在下载文件时应用加密和限制来保护列表和库级别的文件。 这种较旧的保护技术旨在防止未经授权的用户在 SharePoint 外部打开文件。

相比之下，除了加密之外，敏感度标签还提供视觉标记 (页眉、页脚、水印) 的保护设置。 加密设置支持各种 使用权限 ，以限制用户可以对内容执行的操作， 并且许多方案都支持相同的敏感度标签。 在工作负荷和应用中使用具有一致设置的相同保护方法可实现一致的保护策略。

但是，可以同时使用这两种保护解决方案，其行为如下所示：

• 如果上传具有应用加密的敏感度标签的文件，则 SharePoint 无法处理这些文件的内容，因此这些文件不支持共同创作、电子数据展示、DLP 和搜索。

• 如果使用Office 网页版标记文件，则会强制执行标签中的任何加密设置。 对于这些文件，支持共同创作、电子数据展示、DLP 和搜索。

• 如果下载使用Office 网页版标记的文件，则会保留标签，并强制执行标签中的任何加密设置，而不是 IRM 限制设置。

• 如果下载未使用敏感度标签加密的 Office 或 PDF 文件，则会应用 IRM 设置。

• 如果已启用任何其他 IRM 库设置（包括阻止用户上传不支持 IRM 的文档），则会强制执行这些设置。

通过此行为，可以确保所有 Office 和 PDF 文件在下载时都不受未经授权的访问保护，即使这些文件未标记。 但是，上传的标签文件不会从新功能中受益。

按敏感度标签搜索文档

使用托管属性 InformationProtectionLabelId 查找 SharePoint 或 OneDrive 中具有特定敏感度标签的所有文档。 使用以下语法： InformationProtectionLabelId:<GUID>

例如，若要搜索标记为“机密”且该标签的 GUID 为“8faca7b8-8d20-48a3-8ea2-0f96310a848e”的所有文档，请在搜索框中键入：

InformationProtectionLabelId:8faca7b8-8d20-48a3-8ea2-0f96310a848e

搜索不会在压缩文件中找到标记的文档，例如.zip文件。

若要获取敏感度标签的 GUID，请使用 Get-Label cmdlet：

1. 首先，连接到Office 365安全&合规性 PowerShell。

   例如，在以管理员身份运行的 PowerShell 会话中，使用全局管理员帐户登录。

2. 然后运行以下命令：

   Get-Label |ft Name, Guid
   

有关使用托管属性的详细信息，请参阅 SharePoint 中的“管理搜索架构”。

删除标记文档的加密

在极少数情况下，SharePoint 管理员需要从存储在 SharePoint 中的文档中删除加密。 拥有为该文档分配了“导出”或“完全控制”权限的任何用户都可以从 Azure 信息保护中删除 Azure Rights Management 服务应用的加密。 例如，具有上述任一使用权限的用户可以将应用加密的标签替换为不加密的标签。 超级用户还可以下载文件并保存本地副本，而无需加密。

作为替代方法，全局管理员或 SharePoint 管理员 可以运行 Unlock-SPOSensitivityLabelEncryptedFile cmdlet，它同时删除敏感度标签和加密。 即使管理员对站点或文件没有访问权限，或者 Azure Rights Management 服务不可用，此 cmdlet 也运行。

例如：

Unlock-SPOSensitivityLabelEncryptedFile -FileUrl "https://contoso.com/sites/Marketing/Shared Documents/Doc1.docx" -JustificationText "Need to decrypt this file"

要求：

• SharePoint Online Management Shell 版本 16.0.20616.12000 或更高版本。

• 敏感度标签应用了加密，该标签具有管理员定义的加密设置 (分配权限 现在 标签设置) 。 此 cmdlet 不支持双键加密。

理由文本将添加到 从文件中删除敏感度标签 的 审核事件，解密操作也会记录在 Azure 信息保护的保护使用情况日志记录中。

如何禁用 SharePoint 和 OneDrive 的敏感度标签 (选择退出)

如果禁用这些新功能，则在为 SharePoint 和 OneDrive 启用敏感度标签后上传的文件将继续受到标签的保护，因为标签设置将继续强制执行。 禁用这些新功能后，将敏感度标签应用于新文件时，全文搜索、电子数据展示和共同创作将不再有效。

若要禁用这些新功能，必须使用 PowerShell。 使用 SharePoint Online Management Shell 和 Set-SPOTenant cmdlet，指定与使用 PowerShell 中所述的相同 EnableAIPIntegration 参数 ，以启用对敏感度标签部分的支持 。 但这一次，将参数值设置为 false，然后按 Y 确认：

Set-SPOTenant -EnableAIPIntegration $false

如果有 Microsoft 365 多地理位置，则必须为每个地理位置运行此命令。

后续步骤

在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签后，请考虑使用以下两种标记方法自动标记文件：

• 对 SharePoint 中的新文件和编辑的文件应用文档库的默认敏感度标签。 有关详细信息，请参阅 为 SharePoint 文档库配置默认敏感度标签。
• 对 SharePoint 和 OneDrive 中的文件使用内容检查的自动标记策略。 有关详细信息，请参阅 将敏感度标签自动应用于内容。

需要与组织外的人员共享你的标记和加密文档吗？ 请参阅与外部用户共享加密文档。