了解敏感度標籤

  • 文章

Microsoft 365 安全性與合規性的授權指引

注意事項

如果您要尋找在 Office 應用程式中看到的敏感度標籤相關資訊,請參閱在 Office 中將敏感度標籤適用於您的檔案和電子郵件

此頁面上的資訊適用於可建立及設定這些標籤的 IT 系統管理員。

為了完成工作,組織中的人員會與組織內外的其他人共同作業。 這表示內容不再停留在防火牆後方,它可以在裝置、應用程式和服務的任何地方漫遊。 而當漫遊時,您想要它以符合貴組織商務與合規性原則的安全、受保護方式來執行此動作。

Microsoft Purview 資訊保護的敏感度標籤可讓您分類並保護貴組織的資料,同時確保使用者生產力和進行共同作業的能力不受影響。

下列 Excel 範例顯示使用者如何從視窗列看到套用的敏感度標籤,以及使用者如何使用最新版 Office 提供的 敏感度列 輕鬆變更標籤。 卷標也可以從功能區 [常用] 索引標籤上的 [敏感度] 按鈕取得。

Excel 功能區和狀態列上的敏感度標籤。

若要套用敏感度標籤,使用者必須使用 Microsoft 365 公司或學校帳戶登入。

注意事項

如果是美國政府租用戶,所有平台都支援敏感度標籤。

如果您使用 Microsoft Purview 資訊保護 客戶端和掃描器,請參閱 Azure 資訊保護 進階政府服務描述。

您可以使用敏感度標籤來:

  • 提供包含加密和內容標記的保護設定。 例如,將「機密」標籤套用至文件或電子郵件,而該標籤會將內容加密並套用「機密」浮水印。 內容標記包括頁首、頁尾以及浮水印,而加密也可以限制授權人員可對內容採取的動作。

  • 保護不同平台和裝置之間 Office 應用程式中的內容。 Word、Excel、PowerPoint 和 Office 桌面應用程式和 Office 網頁版 Outlook 皆支援該功能。 支援 Windows、macOS、iOS 和 Android。

  • 使用 Microsoft Defender for Cloud Apps 保護第三方應用程式和服務中的內容。 使用適用於雲端應用程式的 Defender,您可以偵測、分類、標記及保護第三方應用程式和服務中的內容,例如 SalesForce、Box 或 DropBox,即使第三方應用程式或服務未讀取或支援敏感度標籤也一樣。

  • 保護容器,其中包括 Teams、Microsoft 365 群組和 SharePoint 網站。 例如,設定隱私權設定、外部使用者存取和外部共用、從非受控裝置存取,以及控制如何與其他小組共用頻道。

  • 由標示 (並選擇性地加密) 會議邀請和任何回應,並強制執行Teams專屬的會議和聊天選項,以保護會議和聊天。

  • 將敏感度標籤延伸至 Power BI:當您開啟此功能時,您可以套用和查看 Power BI 標籤,並在資料儲存在服務以外時加以保護。

  • 將敏感度標籤擴充至 Microsoft Purview 資料對應中的資產:當您開啟此功能時 (目前處於預覽狀態),您可以將敏感度標籤套用至 Microsoft Purview 資料對應中的架構化資料資產。 架構化的數據資產包括 SQL、Azure SQL、Azure Synapse、Azure Cosmos DB 和 AWS RDS。

  • 將敏感度標籤延伸至第三方應用程式和服務。 使用 Microsoft 資訊保護 SDK,第三方應用程式就可以讀取敏感度標籤以及套用保護設定。

  • 不使用任何保護設定來標記內容。 您也可以只套用標籤,以找出數據的敏感度。 此動作可為使用者提供貴組織數據敏感度的視覺對應,而標籤可以針對具有不同敏感度層級的數據產生使用量報告和活動數據。 根據這項資訊,您一律可以選擇稍後套用保護設定。

  • 將 適用於 Microsoft 365 的 Microsoft Copilot 指派給用戶時保護數據。 Copilot 會辨識敏感度標籤並將其整合到用戶互動中,以協助保護已加上標籤的數據。 如需詳細資訊,請參閱下一節敏感度標籤和 適用於 Microsoft 365 的 Microsoft Copilot

在上述情況下,來自 Microsoft Purview 的敏感度標籤可協助您對正確的內容採取適當的動作。 使用敏感度標籤,您可以識別整個組織的數據敏感度,而標籤可以強制執行適用於該數據敏感度的保護設定。 該保護接著會與內容依存。

如需有關這些和敏感度標籤支援之其他案例的詳細資訊,請參閱 敏感度標籤的常見案例。 我們目前正在開發支援敏感度標籤的新功能,因此您可能會認為 Microsoft 365 藍圖用於檢查資料非常有用。

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

敏感度標籤是什麼

當您將敏感度標籤指派給內容時,它就像一個套用的戳記,並且是:

  • 可自訂。 針對貴組織和商務需求,您可以針對組織中的不同敏感度內容之層級建立類別。 例如,個人、公開、一般、機密和高度機密。

  • 純文字。 由於標籤會以純文字形式儲存在檔案和電子郵件的中繼資料中,因此第三方應用程式和服務可以讀取它,然後套用自己的保護動作 (如必要)。

  • 持續性。 由於標籤會儲存在檔案和電子郵件的中繼資料中,因此無論儲存位置或存放處為何,標籤都會與內容相伴依存。 您組織特有的標籤會成為套用和強制執行您所設定原則的基礎。

當使用者進行查看貴組織時,敏感度標籤會以標籤形式顯示在所使用的應用程式上,並可輕鬆整合至現有的工作流程。 您的敏感度標籤 不會顯示在其他組織的使用者或來賓的應用程式中

每個支援敏感度標籤的專案都可以從您的組織套用單一敏感度標籤。 文件和電子郵件可以同時套用敏感度標籤和保留標籤

套用至電子郵件的敏感度標籤。

敏感度標籤的功能

將敏感度標籤套用至電子郵件、會議邀請或文件之後,該標籤的任何已設定保護設定都會在內容上強制執行。 您可以設定敏感度標籤以:

  • 使用電子郵件、會議邀請和檔的加密來控制內容的存取,以防止未經授權的人員存取此數據。 您可以另行選擇哪些使用者或群組可以擁有權限來執行哪些動作,以及執行多久。 例如,您可以選擇允許貴組織中的所有使用者修改文件,而另一個組織中的特定群組只能瀏覽該文件。 或者,可以讓使用者在套用標籤時,指派權限給內容,而不要使用系統管理員定義的權限。

    如需建立或編輯敏感度標籤時加密型存取控制設定的詳細資訊,請參閱 在敏感度標籤中使用加密來限制對內容的存取

  • 使用 Office 應用程式時標記內容,方法是將浮水印、頁首或頁尾新增至電子郵件、會議邀請或已套用標籤的檔。 浮浮浮水印可以套用至檔,但無法套用電子郵件或會議邀請。 頁首和浮水印範例:

    套用至文件的浮水印和頁首。

    使用變數也支援動態標記。 例如,將標籤名稱或文件名稱插入頁首、頁尾或浮水印。 如需詳細資訊,請參閱使用變數動態標記

    需要檢查何時套用內容標記? 請參閱 Office 應用程式何時套用內容標記和加密

    如果您的範本或工作流程是以特定文件為基礎,請先使用您所選擇的內容標記來測試那些文件,然後再為使用者提供標籤。 需要注意的一些字串長度限制:

    浮水印限制為 255 個字元。 頁首和頁尾均受限於 1024 個字元,但 Excel 除外。 對於頁首及頁尾,Excel 的總限制為 255 個字元,但此限制包含看不見的字元,例如格式代碼。 如果達到該限制,您輸入的字串就不會顯示在 Excel 中。

  • 當您啟用功能,以在 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站中使用敏感度標籤時,保護容器中的內容,例如網站和群組

    您無法設定群組和網站的保護設定,除非您啟用此功能。 此標籤設定並不會導致文件或電子郵件自動加標籤,相反的,標籤設定會透過控制可儲存內容所在容器的存取權,以保護內容。 這些設定包括隱私權設定、外部使用者存取和外部共用、來自非受控裝置的存取、私人小組的探索能力,以及頻道的共用控制。

  • 在檔案和電子郵件中自動套用標籤,或建議標籤。 選擇如何識別您想要加上標籤的敏感性資訊,而且標籤可以自動套用,或者您可以提示使用者使用原則提示套用您建議的標籤。 如果您建議使用標籤,您可以自訂提示,但下列範例會顯示自動產生的文字:

    使用者在 Excel 中指派必要敏感度標籤的預設提示。

    如需有關當您建立或編輯敏感度標籤時 自動標籤檔案和電子郵件設定的詳細資訊,請參閱針對 Office 應用程式自動將敏感度標籤套用到內容,和 在 Microsoft Purview 資料對應中加上標籤

  • 設定 SharePoint 網站和個別文件的預設共用連結類型。 若要協助防止使用者過度共用,請設定使用者從 SharePoint 和 OneDrive 共用文件時的預設範圍和權限

如需更多標籤設定,請 參閱管理 Office 應用程式的敏感度標籤

標籤範圍

當您建立敏感度標籤時,系統會要求您設定標籤的範圍,這會決定兩件事:

  • 您可以針對該標籤設定的標籤設定
  • 應用程式和服務的標籤可用性,包括使用者是否可以看到並選取標籤

此範圍設定可讓您有僅適用於諸如文件和電子郵件等項目的敏感度標籤,而無法為容器選取。 同樣地,僅適用於容器且無法針對文件和電子郵件選取的敏感度標籤。 您也可以選取 Microsoft Purview 結構描述化資料資產的資料對應的範圍:

顯示敏感度標籤範圍選項的螢幕快照。

[專案] 範圍可以進一步調整為檔案和電子郵件,以及包含行事曆活動、Teams 會議選項和小組聊天的會議。 例如,當您希望敏感度標籤僅適用於電子郵件時,請使用此精簡功能。

根據預設,一律會為新標籤選取 [專案 ] 範圍。 其他範圍則是在為您的租用戶啟用功能時預設選取:

如果您變更預設值,使得並未選取所有範圍,則會看到您未選取範圍之組態設定的第一頁,但您無法進行設定。 例如,如果未選取項目的範圍,您就無法在下一頁選取選項:

敏感度標籤的無法使用選項。

針對有無法使用選項的這些頁面,請選取 [下一步] 以繼續。 或者,選取 [上一步] 來變更標籤的範圍。

標籤優先順序 (順序很重要)

當您在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中建立敏感度標籤時,它們會出現在 [卷] 頁面上的清單中資訊保護。 在此清單中,標籤的順序很重要,因為它會設定其優先順序。 您希望最嚴格的敏感度標籤,例如高度機密,出現在清單 底部 ,而最不嚴格的敏感度標籤,例如個人或公用,會出現在 頂端

您只能將一個敏感度標籤套用至一個項目,例如文件、電子郵件或容器。 如果您使用要求使用者提供將標籤變更為專案敏感度較低的選項,則此清單的順序會識別較低的敏感度。 不過,此選項不適用於共用其父卷標優先順序的子捲標。

不過,子卷標的優先順序會與 自動標籤搭配使用。 當您設定自動套用標籤原則時,多個相符專案可能會導致多個標籤。 然後,選取最後一個敏感性標籤,然後如果適用,則選取最後一個子捲標。 當您 (設定子捲標本身,而不是自動套用卷標原則) 自動或建議的捲標時,當子捲標共用相同的父卷標時,行為會稍有不同。 例如,設定為自動套用卷標的子捲標會優先於針對建議卷標設定的子捲標。 如需詳細資訊,請 參閱多個條件套用至多個標籤時的評估方式。

子卷標的優先順序也會與 電子郵件附件的標籤繼承搭配使用。

當您選取敏感度標籤時,您可以使用選項來變更其優先順序,以在不是子捲標時將它移至清單的頂端或底部、將它向上或向下移動一個標籤,或直接指派優先順序號碼。

顯示變更敏感度標籤優先順序選項的螢幕快照。

子標籤 (分組標籤)

您可以使用子標籤將一或多個標籤分組在 Office 應用程式中的使用者可看到的上層標籤之下。 例如,在 [機密] 底下,您的組織可能會針對該敏感度的特定類型使用數個不同的標籤。 在此範例中,上層標籤 [機密文件] 只是沒有任何保護設定的文字標籤,且因為它有子標籤,所以無法套用至內容。 相反地,使用者必須選擇 [機密文件] 來查看子標籤,然後再選擇要套用到內容的子標籤。

子標籤是以邏輯群組方式向使用者呈現標籤的一個簡單方式。 子卷標不會繼承其父卷標中的任何設定,但其標籤色彩除外。 當您發佈使用者的子捲標時,該用戶接著可以將該子捲標套用至內容和容器,但無法只套用父卷標。

請勿將上層籤選為預設標籤,或將上層標籤設定為自動套用 (或建議使用)。 如果您這樣做,就無法套用父標籤。

子標籤如何對使用者顯示的範例:

敏感度卷標的子捲標範例。

編輯或刪除敏感度標籤

如果您從 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 刪除敏感度標籤,則不會自動從內容中移除標籤,而且會繼續對已套用該標籤的內容強制執行任何保護設定。

如果您編輯敏感度標籤,則當初套用至內容的標籤版本會在內容上強制執行。

標籤原則的功能

建立敏感度標籤之後,您必須發佈這些標籤,才能讓其可供組織中的人員和服務使用。 然後可以將敏感度標籤套用至 Office 文件和電子郵件,以及支援敏感度標籤的其他項目。

與會發佈到所有 Exchange 信箱之類位置的保留標籤不同,敏感度標籤會對使用者或群組發佈。 支援敏感度標籤的應用程式之後可以將這些標籤,以已套用的標籤或可套用的標籤形式向這些使用者和群組顯示。

當您設定標籤原則時,您可以:

  • 選擇可看見標籤的使用者和群組。 卷標可以發佈給任何特定使用者或啟用電子郵件的安全組、通訊群組或 Microsoft 365 群組 (,這些群組可以在 Microsoft Entra ID 中) 動態成員資格

  • 當您啟用 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站) 的敏感度標籤時,請指定未標記的文件、電子郵件和會議邀請、新容器 (的默認標籤,以及 Power BI 內容的預設卷標。 您可以為所有五種類型的專案或不同的標籤指定相同的標籤。 使用者可以變更套用的預設敏感度標籤,使其符合內容或容器的敏感度。

    注意事項

    雖然套用默認標籤至新檔已支援內建標籤一段時間,但最近支援對現有文件的支援。 若要識別支援的版本,請使用 capabilities資料表 和資料列 將預設標籤套用至現有檔

    請考慮使用預設標籤來設定您想套用到所有內容中的基本保護設定等級。 不過,若沒有使用者訓練和其他控制項,這項設定也可能導致不正確的標記。 選取將套用加密作為對文件之預設標籤的標籤並不是個好主意。 例如,許多組織需要將文件傳送與共用給外部使用者,而這些使用者可能沒有支援加密的應用程式,或可能不會使用可授權的帳戶。 如需此案例的詳細資訊,請參閱 與外部使用者共用加密檔

    重要事項

    當您有子標籤時,請小心不要將父標籤設定為預設標籤。

  • 需要變更標籤的理由。 對於專案,但不適用於小組和群組,如果使用者嘗試移除卷標,或以順序較低的標籤取代標籤,根據預設,用戶必須提供理由來執行此動作。 例如,使用者開啟標示為 [機密] (順序編號 3) 的文件,並將該標籤取代為 [公開] (順序編號 1)。 針對 Office 應用程式,此理由提示會在每個應用程式會話觸發一次。 當您使用 Microsoft Purview 資訊保護 用戶端時,會針對每個檔案觸發提示。 系統管理員可以閱讀 活動瀏覽器 中的理由及標籤變更。

    提示使用者輸入理由。

  • 要求使用者為 不同類型的專案以及支援敏感度標籤的容器套用標籤。 也稱為強制標籤,這些選項可確保必須先套用標籤,使用者才能儲存檔、傳送電子郵件或會議邀請、建立新的群組或網站,以及在Power BI 中使用未標記的內容時。

    若為文件和電子郵件,使用者可手動指派標籤、根據您設定的條件而自動指派,或依預設指派 (如上所述的預設標籤選項)。 當使用者需要指派標籤時的範例提示:

    Outlook 中的提示,要求使用者套用必要標籤。

    如需文件和電子郵件的強制標籤詳細資訊,請參閱要求使用者在電子郵件和文件中套用標籤

    若為容器,您必須在建立群組或網站時指派標籤。

    如需深入了解 Power BI 的強制標籤,請參閱 Power BI 的強制標籤原則

    請考慮使用此選項來協助增加您的標記涵蓋範圍。 不過,若沒有使用者訓練,這些設定可能導致不正確的標記。 此外,除非您也設定對應的預設標籤,否則強制標籤的常見提示可能會讓使用者感到無益。

  • 提供自訂說明頁面的說明連結。 如果您的使用者不確定敏感度標籤的意義或其使用方式,您可以提供 [深入瞭解 URL],該 URL 會出現在 Office 應用程式中可用的敏感度卷標清單之後。 例如:

    功能區中 [敏感度] 按鈕上的 [深入了解] 連結。

如需更多標籤原則設定,請 參閱管理 Office 應用程式的敏感度標籤

建立可將新敏感度標籤指派給使用者和群組的標籤原則之後,使用者會開始在他們的 Office 應用程式中看到這些標籤。 最多可獲得 24 小時的時間,在您的整個組織中複製最新的變更。

您可以建立和發佈的敏感度標籤上目沒有限制,但有一個例外:如果標籤套用可指定使用者和許可權的加密,則此設定所支援的每個租使用者最多可有500個標籤。 不過,為了降低系統管理負擔並為使用者減少複雜度,最佳做法是試著保持最少的標籤數量。

提示

實際情況的部署已證明,當使用者擁有五個以上的主要標籤,或每個主要標籤有超過五個子標籤時,效果會明顯地降低。 您也可能會發現,當太多應用程式發佈給相同的使用者時,某些應用程式無法顯示所有標籤。

標籤原則優先順序 (順序很重要)

您可以透過在敏感度標籤原則中發佈敏感度標籤,將其提供給使用者使用,而標籤會在 [標籤原則] 頁面上的清單中顯示。 就如同敏感度標籤 (請參閱 標籤優先順序 (順序很重要)),敏感度標籤原則的順序很重要,因為它反映出其優先順序:具備最低優先順序的標籤原則會以 最低的 順序號碼顯示在清單的最頂端,具備最高優先順序的標籤原則會以 最高的 順序號碼顯示在清單的最底部。

標籤原則包含:

  • 一組標籤。
  • 將獲指派具有標籤之原則的使用者和群組。
  • 該範圍的原則和原則設定的範圍 (例如檔案和電子郵件的預設標籤)。

您可以將使用者包含在多個標籤原則中,該使用者即會獲得來自這些原則的所有敏感度標籤和設定。 如果多個原則的設定發生衝突,則會套用優先順序最高 (順序數位) 之原則中的設定。 換句話說,每個設定的最高優先順序會優先套用。

如果您沒有看到使用者或群組應有的標籤原則設定行為,請檢查敏感度標籤原則的順序。 您可能需要將這個原則向下移動。 若要重新排序標籤原則,請選取敏感度標籤原則>,選擇該專案的 > [動作] 省略號 [下移] 或 [上移]。 例如:

敏感度標籤原則頁面上的移動選項。

從顯示三個標籤原則的螢幕快照範例中,所有用戶都會獲指派標準標籤原則,因此它具有最低優先順序 (最低的順序號碼 0) 。 只有 IT 部門中的使用者會獲指派順序號碼為 1 的第二個原則。 對於這些使用者而言,如果其原則與標準原則之間的設定有任何衝突,則其原則中的設定會優先,因為其順序號碼較高。

對於法務部門中的獲指派具有不同設定之第三個原則的使用者也是一樣。 這些使用者可能會有更嚴格的設定,因此其原則具有最高訂單數目是適當的。 法務部門的使用者不太可能在也指派給IT部門原則的群組中。 但如果是,訂單號碼 2 會 (最高訂單號碼) 確保在發生衝突時,法律部門的設定一律優先。

注意事項

請記住,如果獲指派多個原則的使用者設定發生衝突,則會套用具備最高順序號碼 (位置最低) 之獲指派原則的設定。

敏感度標籤和 適用於 Microsoft 365 的 Microsoft Copilot

您用來保護組織數據的敏感度標籤會由 適用於 Microsoft 365 的 Microsoft Copilot 辨識並使用,以提供額外的保護層。 例如,在可參考不同類型項目數據的 Microsoft Copilot Graph 式聊天交談中,具有最高優先順序的敏感度標籤通常 (使用者會看到限制最嚴格的標籤) 。 同樣地,當 Copilot 支援敏感度標籤繼承時,會選取優先順序最高的敏感度標籤。

如果標籤從 Microsoft Purview 資訊保護 套用加密,Copilot 會檢查用戶的許可權。 只有在授與使用者從專案複製 (EXTRACT 許可權) 的許可權時,Copilot 才會傳回該專案中的數據。

如需詳細資訊,請參 閱 Microsoft Copilot 的 Microsoft Purview 資料安全性和合規性保護

敏感度標籤和 Azure 資訊保護

舊版標籤用戶端 Azure 資訊保護 統一標籤客戶端現在會取代為 Microsoft Purview 資訊保護 客戶端,以將 Windows 上的標籤延伸至 檔案總管、PowerShell、內部部署掃描器,並提供加密檔案的查看器。

Office 應用程式支援具有 Office 訂閱版本的敏感度標籤,例如 Microsoft 365 Apps 企業版。

敏感度標籤和 Microsoft 資訊保護 SDK

由於敏感度標籤是儲存在文件的中繼資料中,因此協力廠商的應用程式和服務都可讀取和寫入此標籤中繼資料,以補充您的標籤部署。 此外,軟體開發人員可以使用 Microsoft 資訊保護 SDK,完全支援跨多個平臺的標籤和加密功能。 若要深入了解,請參閱技術社群部落格上的正式版本公告

您也可以了解 與 Microsoft Purview 資訊保護整合的合作夥伴解決方案

部署指導方針

如需部署規劃和指導方針,其中包含授權資訊、權限、部署策略,以及支援的案例和使用者文件的清單,請參閱開始使用敏感度標籤

若要了解如何使用敏感度標籤以符合資料隱私權法規,請參閱 使用 Microsoft 365 部署資料隱私權法規的資訊保護