使用敏感度標籤來保護 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站中的內容

  • 發行項

Microsoft 365 安全性與合規性的授權指引

除了使用 敏感度標籤 來保護文件和電子郵件,您也可以使用敏感度標籤來保護下列容器中的內容: Microsoft Teams 網站、Microsoft 365 群組 (之前的 Office 365 群組) 和 SharePoint 網站。 針對此容器層級保護,使用下列標籤設定:

  • 小組網站和 Microsoft 365 群組的隱私權 (公用或私人)
  • 外部使用者存取
  • 透過 SharePoint 網站進行外部共用
  • 從未受管理的裝置存取
  • 驗證內容
  • 防止探索具有這項功能之使用者的私人小組
  • 小組邀請的共用頻道控制
  • SharePoint 網站的預設共用連結 (僅限 PowerShell 設定)
  • 僅限 PowerShell 設定 (網站共用設定)
  • 頻道會議的預設標籤

重要事項

Unmanaged 裝置和驗證內容的設定會與 Microsoft Entra 條件式存取搭配運作。 如果您想要針對這些設定使用敏感度標籤,必須設定此相依功能。 下列指示中包含其他資訊。

當您將此敏感度標籤套用至支援的容器時,標籤會自動將敏感度類別和配置的保護設定套用至網站或群組。

請注意,某些標籤選項可以將組態設定延伸至其他限制為系統管理員的網站擁有者。 當您設定及發佈外部共用選項和驗證內容的標籤設定時,網站擁有者現在可以套用或變更小組或網站的敏感度標籤,來設定及變更網站的這些選項。 如果您不想讓網站擁有者進行這些變更,請勿設定這些特定標籤設定。

不過,這些容器中的內容不會繼承敏感度類別的標籤或檔案和電子郵件的設定 (如內容標記或加密)。 因此,使用者可以為其在 SharePoint 網站或小組網站中的文件加上標籤,請確定已對 SharePoint 和 OneDrive 中的 Office 檔案啟用敏感度標籤

容器標籤不支援顯示 其他語言 ,而且只會針對標籤名稱和描述顯示原始語言。

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

在對 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站使用敏感度標籤時遇到問題嗎?

啟用容器的敏感度標籤並設定新設定的敏感度標籤前,使用者可在其應用程式中查看並套用敏感度標籤。 例如,在 Word 中:

Word 桌面應用程式中顯示的敏感度標籤。

啟用並設定容器的敏感度標籤後,使用者可進一步查看並將敏感度標籤套用至 Microsoft 小組網站、Microsoft 365 群組和 SharePoint 網站。 例如,從 SharePoint 建立新的小組網站時:

從 SharePoint 建立小組網站時的敏感度標籤。

將敏感度標籤套用至網站之後,您必須具備下列角色,才能在 SharePoint 或 Teams 中變更該標籤:

注意事項

容器適用的敏感度標籤支援 Teams 共用頻道。 如果小組有任何共用頻道,他們會自動繼承上層小組的靈敏度標籤設定,而且無法移除該標籤或將之取代為不同的標籤。

如何為容器啟用敏感度標籤以及同步處理標籤

如果您尚未啟用容器的敏感度標籤,請以單次程序執行下列一組步驟:

  1. 因為此功能使用 Microsoft Entra 功能,請遵循 Microsoft Entra 檔中的指示來啟用敏感度標籤支援:在 Microsoft Entra ID 中將敏感度標籤指派給 Microsoft 365 群組

  2. 您現在必須將敏感度標籤同步至 Microsoft Entra ID。 首先,連線至安全性與合規性 PowerShell

    例如,在您以系統管理員身分執行的 PowerShell 工作階段中,使用全域系統管理員帳戶登入。

  3. 然後執行下列命令,以確保您的敏感度標籤可以搭配 Microsoft 365 群組使用:

    Execute-AzureAdLabelSync

如何設定網站和群組設定

如上節所述啟用容器的敏感度標籤之後,您可以在 [敏感度標籤] 設定中設定群組和網站的保護設定。 在啟用容器的敏感度標籤之前,系統會顯示這些設定,但無法進行設定。

  1. 遵循一般指示以建立或編輯敏感度標籤,並確認已針對標籤的範圍選取 [群組和網站]

    群組 & 網站的敏感度標籤範圍選項。

    若標籤只選取這個範圍時,標籤就不會顯示在支援靈敏度標籤的 Office 應用程式中,且無法套用到檔案和電子郵件。 將標籤分開可讓使用者和系統管理員使用,但也會增加標籤部署的複雜程度。

    例如,您必須仔細地檢查您的標籤排序,因為 SharePoint 會在標示的文件上傳到標示的網站時進行偵測。 在此案例中,當文件具有較網站的標籤更高的優先順序敏感度標籤時,系統會自動產生稽核事件和電子郵件。 如需詳細資訊,請參閱本頁面上的稽核敏感度標籤活動一節。

  2. 然後,在 [ 定義群組和網站的保護設定 ] 頁面上,選取您要設定的選項:

    • [隱私權和外部使用者存取權設定] 可設定 [隱私權] 和 [外部使用者存取] 設定。
    • 外部共享和條件式存取設定,可設定 [從已標記的 SharePoint 網站控制外部共用] 和 [使用 Microsoft Entra 條件式存取來保護已加上標籤的 SharePoint 網站] 設定。
    • 私人小組的可探索性和共用頻道控 件,可設定設定,以防止可探索私人小組的使用者尋找已套用此敏感度標籤的私人小組,以及針對邀請給其他小組的通道共用控件。

    此外,如果您要編輯範圍包含專案和會議的現有標籤,而且您已設定標籤 來保護會議,您可以選取頻道會議和所有頻道聊天的預設標籤。 針對非頻道會議,您可以選取預設標籤作為原則設定。

  3. 如果已選取 [隱私權和外部使用者存取權設定],請設定下列設定:

    • 隱私權:如果您希望組織中的所有人都能存取套用此標籤的小組網站或群組,請保留 公用 的預設值。

      如果您希望僅限組織中經核准的成員能存取,請選取 [私人]

      如果您想要使用敏感度標籤來保護容器中的內容,但仍讓使用者自行設定隱私權設定,則選取 [無]

      將此標籤套用至容器時,請選取 [公用] 或 [私人] 設定來設定和鎖定隱私權設定。 您選擇的設定會取代先前為小組或群組設定的任何隱私權設定,並鎖定隱私權值,因此必須先移除容器的敏感度標籤才能變更隱私權設定。 移除敏感度標籤後,標籤的隱私權設定會保留,使用者現在便可再次變更隱私權設定。

    • 外部使用者存取權:控制群組擁有者是否可以將來賓新增至群組

  4. 如果您已選取 [外部共用和條件式存取設定],現在請考慮下列設定:

    • 從已套用標籤的 SharePoint 網站控制外部共用:選取這個選項,然後為任何人、新的及現有的來賓、現有的來賓,或僅限您組織中的人員選取外部共用。 如需有關此組態和設定的詳細資訊,請參閱 SharePoint 文件:開啟或關閉網站的外部共用

    • 使用 Microsoft Entra 條件式存取來保護已加上標籤的 SharePoint 網站:只有在您的組織已設定並使用 Microsoft Entra 條件式存取時,才選取此選項。 然後,請選取下列其中一個設定:

      • 判斷使用者是否可以從非受控裝置存取 SharePoint 網站:此選項會使用使用 Microsoft Entra 條件式存取的 SharePoint 功能,封鎖或限制從非受控裝置存取 SharePoint 和 OneDrive 內容。 如需詳細資訊,請參閱 SharePoint 文件中的控制從未受管理的裝置存取。 您為此標籤設定所指定的選項相當於執行網站的 PowerShell 命令,如 SharePoint 指示的封鎖或限制存取特定 SharePoint 網站或 OneDrive 一節中的步驟 3-5 所述。

        如需其他設定資訊,請參閱本節結尾的有關未受管理裝置選項相依性的詳細資訊

      • 選擇現有的驗證內容:此選項可讓您在使用者存取已套用此標籤的 SharePoint 網站時,強制執行更嚴格的存取條件。 當您選取已針對貴組織的條件式存取部署建立和發佈的現有驗證內容時,會強制執行這些條件。 如果使用者不符合已設定的條件,或者他們使用不支援驗證內容的應用程式,則拒絕他們存取。

        如需其他設定資訊,請參閱本節結尾的有關驗證內容選項相依性的詳細資訊

        此標籤設定的範例:

        • 您選擇設定為需要多重要素驗證 (MFA) 的驗證內容。 接著,此標籤會套用到包含高度機密項目的 SharePoint 網站。 因此,當來自不受信任網路的使用者嘗試存取此網站中的文件時,會看到 MFA 提示,要求他們必須完成才能存取文件。

        • 您可以選擇針對 使用規定 (ToU) 設定的驗證內容。 接著,此標籤會套用到包含因法律或合規性理由而需要接受使用條款之項目的 SharePoint 網站。 因此,當使用者嘗試存取此網站中的文件時,會看到使用規定文件,要求他們必須接受才能存取原始文件。

  5. 如果您選取 [私人小組探索能力] 和 [共用頻道控件]

    • 針對私人小組的可探索性,當您已設定允許私人小組探索的Teams原則時,請使用[允許使用者探索已套用此標籤的私人小組] 複選框:

      • 在預設設定) (選取複選框時,可以為允許探索私人小組的使用者探索已套用敏感度標籤的私人小組。
      • 清除複選框時,套用敏感度標籤的私人小組會保持隱藏狀態,而且無法為所有使用者探索。

    • 針對 Teams 共用頻道,當小組套用敏感度標籤時,您可以允許或防止其他小組受邀加入原始團隊的共用頻道。 如需共用頻道的詳細資訊,請參閱 Microsoft Teams 中的共用頻道

      重要事項

      Teams 共用頻道的這些選項相依於先前 [隱私權] 和 [外部使用者存取] 頁面上的設定。 如果您選取的選項與上述設定不相容,您會看到驗證訊息來變更您的選取專案。 或者,您可以回到組態來變更相依設定。

      選項包括 [僅限內部]、 [僅相同標籤] 和 [ 僅限私人小組]。 只有最後一個選項可能會移除先前受邀的小組,而且沒有任何選項會影響個別用戶的邀請。

當您將標籤套用至小組、群組或網站時,網站和群組設定會生效。 假如 標籤範圍 包含檔案和電子郵件,其他標籤設定例如加密和內容標記,均不會套用至小組、群組或網站內的內容。

如果您的敏感度標籤尚未發佈,現在請將標籤新增至敏感度標籤原則以進行發佈。 包含此標籤、獲指派敏感度標籤原則的使用者將可以為網站和群組選取它。

關於 [未受管理裝置] 選項的詳細資訊

如果您未設定 SharePoint 相關條件式存取原則如 使用應用程式強制性限制 中所述,您在此處指定的選項將不會產生任何影響。 此外,如果其限制低於租用戶層級所設定的設定,則不會產生任何影響。 如果您已為非受管理的裝置設定全組織的設定,請選擇相同或具有更多限制的標籤設定。

例如,如果您的租使用者設定為 允許有限的、僅限網頁存取,則允許完全存取的標籤設定將不會產生任何影響,因為其限制較少。 針對此租使用者層級設定,請選擇標籤設定,以封鎖存取 (具有更多限制) 或限制存取 (與租使用者設定相同) 的標籤設定。

由於您可以在標籤設定外獨立設定 SharePoint 設定,因此在敏感度標籤設定中依存關係部分不會顯示為勾選。 您可以在建立和發佈標籤之後,甚至在套用標籤之後設定這些相關性。 不過,如果已經套用標籤,在使用者下次驗證之前,標籤設定將不會生效。

關於驗證內容選項相依性的詳細資訊

若要顯示在選取專案的下拉式清單中,驗證內容必須建立、設定及發佈為 Microsoft Entra 條件式存取設定的一部分。 如需詳細資訊和指示,請參閱 Microsoft Entra 條件式存取檔中的設定驗證內容一節。

並非所有應用程式都支援驗證內容。 如果應用程式不受支援的使用者連線到針對驗證內容所設定的網站,他們會看到拒絕存取的訊息,或提示他們進行驗證但遭到拒絕。 目前支援驗證內容的應用程式:

  • Office 網頁版,其中包含 Outlook 網頁版

  • 適用於 Windows 和 macOS 的 Microsoft Teams (Teams Web 應用程式除外)

  • Microsoft Planner

  • 適用於 Word、Excel 和 PowerPoint 的 Microsoft 365 Apps;最低版本:

    • Windows:2103
    • macOS:16.45.1202
    • iOS:2.48.303
    • Android:16.0.13924.10000

  • 適用於 Outlook 的 Microsoft 365 Apps;最低版本:

    • Windows:2103
    • macOS:16.45.1202
    • iOS:4.2109.0
    • Android:4.2025.1

  • OneDrive 同步處理應用程式,最低版本:

    • Windows:21.002
    • macOS:21.002
    • iOS:12.30
    • Android:尚未支援

已知限制:

  • 針對 OneDrive 同步處理應用程式,僅支援 OneDrive,不支援其他網站。

  • 下列功能和應用程式可能與驗證內容不相容,因此,建議您在使用者使用驗證內容成功存取網站之後,檢查這些功能是否繼續運作:

    • 使用 PowerApps 或 Power Automate 的工作流程
    • 協力廠商應用程式

除了您可以從 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 設定的網站和群組標籤設定之外,您也可以設定網站的預設共用連結類型。 文件的敏感度標籤也可以設定為預設的共用連結類型。 當使用者在其 Office 應用程式中選取 [共用] 按鈕時,系統會自動選取這些可協助阻止過度共用的設定。

如需詳細資訊和指示,請參閱使用敏感度標籤在 SharePoint 和 OneDrive 中設定網站和文件的預設共用連結類型

使用 PowerShell 進一步設定來設定網站共用權限

另一個您可以設定敏感度標籤以套用至 SharePoint 網站的 PowerShell 進階設定為 MembersCanShare。 此設定是您可以從 SharePoint 系統管理中心>網站>許可權網站共用>變更成員共用權>限方式設定的對等組

這三個選項會搭配與 PowerShell 進階設定 MembersCanShare 對等的值列出:

SharePoint 系統管理中心的選項 MembersCanShare 的對等 PowerShell 值
網站擁有者和成員可以共用檔案、資料夾和網站。 具有 [編輯] 權限的 人員 可以共用檔案和資料夾。 MemberShareAll
網站擁有者和成員,以及擁有編輯權限的人員可以共用檔案與資料夾,但只有網站擁有者可以共用網站 MemberShareFileAndFolder
只有網站擁有者可以共用檔案、資料夾和網站 MemberShareNone

如需這些設定選項的詳細資訊,請參閱 SharePoint 社群文件中的變更成員共用方式

例如,敏感度標籤 GUID 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{MembersCanShare="MemberShareNone"}

如需指定 PowerShell 進階設定的詳細說明,請參閱 指定進階設定的 PowerShell 提示

敏感度標籤管理

建立、修改或刪除為網站和群組設定的敏感度標籤時,請使用下列指導方針。

建立及發佈針對網站和群組設定的標籤

當標籤時是針對網站和群組進行設定時,請使用下列指導方針來為您的使用者發佈該標籤:

  1. 建立及設定敏感度標籤之後,請將此標籤新增至只適用一些測試使用者的標籤原則。

  2. 等候複寫變更:

    • 新增標籤:除非您設定的設定包含 Teams 共用通道控件,否則請至少等候一小時。 如果是這種情況,請至少等候 24 小時。
    • 現有標籤:至少等候 24 小時。

    如需標籤時間表的詳細資訊,請參閱新標籤和變更何時會生效

  3. 在此等候期間之後,請使用其中一個測試使用者帳戶來建立小組、Microsoft 365 群組或 SharePoint 網站,並搭配您在步驟 1 中建立的標籤。

  4. 如果在此建立作業期間沒有發生任何錯誤,您便知道可以安全地將標籤發佈給租用戶中的所有使用者。

修改針對網站和群組設定的已發佈標籤

最佳做法是,不要在將標籤套用至小組、群組或網站之後,變更敏感度標籤的網站和群組設定。 如果您這樣做,請記得等待至少 24 小時,讓變更復寫到已套用標籤的所有容器。

此外,如果您的變更包括 [外部使用者存取] 設定:

  • 新設定會套用至新使用者,但不會套用至現有使用者。 例如,如果先前已選取此設定,且因此來賓使用者可存取網站,在標籤設定中清除此設定之後,這些來賓使用者仍然可以存取網站。

  • 群組屬性 hiddenMembership 和 roleEnabled 的隱私權設定不會更新。

刪除針對網站和群組設定的已發佈標籤

如果您刪除已啟用網站和群組設定的敏感度標籤,且該標籤包含在一或多個標籤原則中,此動作可能會導致新小組、群組和網站建立失敗。 若要避免此情況,請使用下列指導方針:

  1. 從包含標籤的所有標籤原則中移除敏感度標籤。

  2. 至少等候一小時。

  3. 在此等候期間之後,請嘗試建立小組、群組或網站,並確認標籤已不再顯示。

  4. 如果敏感度標籤未顯示,您現在可以放心地刪除標籤。

如何將敏感度標籤套用至容器

您現在可以將敏感度標籤或標籤套用至下列容器:

如果您需要將敏感度標籤套用至多個網站,您可以使用 PowerShell。

將敏感度標籤套用至 Microsoft 365 群組

您現在可以將敏感度標籤或標籤套用至 Microsoft 365 群組。 如需指示,請返回 Microsoft Entra 檔:

將敏感度標籤套用至新的小組

當使用者在 Microsoft Teams 中建立新小組時,可選取敏感度標籤。 當使用者從 [敏感度] 下拉式功能表中選取標籤時,隱私權設定可能會變更以反映標籤設定。 根據您為標籤選取的外部使用者存取設定,使用者可以或無法將組織外部的人員新增至小組。

深入了解 Teams 的敏感度標籤

建立新小組時的隱私權設定。

建立小組之後,敏感度標籤會顯示在所有頻道的右上角。

敏感度標籤顯示在小組上。

服務自動將相同的敏感度標籤套用至 Microsoft 365 群組和連線的 SharePoint 小組網站。

在 Outlook 網頁版中將敏感度標籤套用至新的群組

在 Outlook 網頁版中,當您建立新的群組時,您可以選取或變更已發佈標籤的敏感度選項:

建立群組並選取 [敏感度] 底下的選項。

將敏感度標籤套用至新的網站

系統管理員和使用者可以在建立新式小組網站和通訊網站時選取敏感度標籤,然後展開 [進階設定]

建立網站並選取 [敏感度] 底下的選項。

下拉式方塊會顯示所選項目的標籤名稱,[說明] 圖示則會顯示所有標籤名稱及其工具提示,以協助使用者判斷所要套用的正確標籤。

當標籤已套用,且使用者瀏覽至網站時,其便可看到標籤的名稱和所套用的原則。 例如,此網站已加上 [機密] 標籤,且隱私權設定設為 [私人]

已套用敏感度標籤的網站。

使用 PowerShell 將敏感度標籤套用至多個網站

您可以從目前的 SharePoint Online 管理命令介面 使用 Set-SPOSiteSet-SPOTenant Cmdlet 搭配 SensitivityLabel 參數,將敏感度標籤套用至許多網站。 您可以使用相同的程式來取代現有的標籤。 網站可以是任何 SharePoint 網站集合,或 OneDrive 網站。

確定您有 SharePoint Online 管理命令介面的版本 16.0.19418.12000 或更新版本。

  1. 使用 [以系統管理員身分執行] 選項開啟 PowerShell 工作階段。

  2. 如果您不知道標籤 GUID:連線至安全性與合規性 PowerShell,並取得敏感度標籤及其 GUID 的清單。

    Get-Label |ft Name, Guid

  3. 現在連線至 SharePoint Online PowerShell,並將標籤 GUID 儲存為變數。 例如:

    $Id = [GUID]("e48058ea-98e8-4940-8db0-ba1310fd955e")

  4. 建立可找出在其 URL 中有共同識別字串的多個網站的新變數。 例如:

    $sites = Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like 'documents"

  5. 執行下列命令,將標籤套用至這些網站。 使用我們的範例:

    $sites | ForEach-Object {Set-SPOTenant $_.url -SensitivityLabel $Id}

這一系列命令可讓您以相同的敏感度標籤為租用戶中的多個網站標籤,這就是使用 Set-SPOTenant Cmdlet 的原因,而不是針對每個網站設定的 Set-SPOSite Cmdlet。 不過,當您需要針對每個網站重複下列命令,將不同的標籤套用至特定網站時,請使用 Set-SPOSite Cmdlet:Set-SPOSite -Identity <URL> -SensitivityLabel "<labelguid>"

在 SharePoint 系統管理中心檢視和管理敏感度標籤

若要檢視、排序和搜尋套用的敏感度標籤,請使用新 SharePoint 系統管理中心的 [使用中網站] 頁面。 您可能需要先新增 [敏感度] 欄:

[使用中網站] 頁面上的 [敏感度] 欄。

如需從 [作用中網站] 頁面管理網站的詳細資訊,包括如何新增欄,請參閱在新的 SharePoint 系統管理中心管理網站

您也可以從本頁面變更及套用標籤:

  1. 選取網站名稱以開啟詳細資料窗格。

  2. 選取 [原則] 索引標籤,然後選取 [敏感度] 設定的 [編輯]

  3. 從 [編輯敏感度設定] 窗格中,選取您要套用到網站的敏感度標籤。 不同於使用者應用程式,敏感度標籤可以指派給特定使用者,系統管理中心會顯示租使用者的所有容器卷標。 選擇敏感度標籤之後,請選取 [ 儲存]

敏感度標籤的支援

當您使用支援敏感度標籤的系統管理中心時,除了 Microsoft Entra 系統管理中心,您會看到租使用者的所有敏感度標籤。 相比之下,根據發佈原則篩選敏感度標籤的使用者應用程式和服務,可能會導致您看到這些標籤的子集。 Microsoft Entra 系統管理中心 也會根據發佈原則篩選標籤。

下列應用程式與服務支援針對網站和群組進行設定的敏感度標籤:

  • 系統管理中心:

    • SharePoint 系統管理中心
    • Teams 系統管理中心
    • Microsoft 365 系統管理中心
    • Microsoft Purview 入口網站
    • Microsoft Purview 合規性入口網站

  • 使用者應用程式與服務:

    • SharePoint
    • Teams
    • Outlook 網頁版和 Windows 版、macOS 版、iOS 版及 Android 版
    • Forms
    • Stream
    • Planner

下列應用程式與服務目前不支援針對網站和群組進行設定的敏感度標籤:

  • 系統管理中心:

    • Exchange 系統管理中心

  • 使用者應用程式與服務:

    • Dynamics 365
    • Viva Engage
    • Project
    • Power BI
    • [我的應用程式] 入口網站

傳統 Microsoft Entra 群組分類

啟用容器的敏感度標籤之後,Microsoft 365 不再支援來自 Microsoft Entra ID 的群組分類,且不會顯示在支援敏感度標籤的網站上。 不過,您可以將舊的分類轉換成敏感度標籤。

如需您先前可能使用的 SharePoint 舊群組分類範例,請參閱 SharePoint 新式網站分類

這些分類是使用 Microsoft Graph PowerShell 或 PnP Core 連結庫來設定,並定義設定的 ClassificationList 值。

($setting["ClassificationList"])

若要將舊分類轉換成敏感度標籤,請執行下列其中一項動作:

  • 使用現有的標籤:編輯已發佈的現有敏感度標籤,以指定網站和群組需要的標籤設定。

  • 建立新標籤:建立及發佈與現有分類名稱相同的新敏感度標籤,以指定網站和群組需要的標籤設定。

然後:

  1. 使用 PowerShell,利用名稱對應將敏感度標籤套用至現有的 Microsoft 365 群組和 SharePoint 網站。 請參閱下一節的指示。

  2. 移除現有群組和網站的舊分類。

雖然您無法防止使用者在尚未支援敏感度標籤的應用程式和服務中建立新群組,但您可以執行週期性 PowerShell 指令碼來尋找使用者使用舊分類建立的新群組,並將它們轉換成使用敏感度標籤。

若要協助您管理網站和群組的敏感度標籤和 Microsoft Entra 分類共存,請參閱 Microsoft Entra Microsoft 365 群組的分類和敏感度標籤

使用 PowerShell 將 Microsoft 365 群組的分類轉換成敏感度標籤

  1. 首先,連線至安全性與合規性 PowerShell

    例如,在您以系統管理員身分執行的 PowerShell 工作階段中,使用全域系統管理員帳戶登入:

  2. 透過使用 Get-Label Cmdlet,取得敏感度標籤和其 GUID 的清單:

    Get-Label |ft Name, Guid

  3. 記下您要套用至 Microsoft 365 群組的敏感度標籤 GUID。

  4. 現在,在不同的 Windows PowerShell 視窗中 連線到 Exchange Online PowerShell

  5. 使用下列命令做為範例,以取得目前具有「一般」分類的群組清單:

    $Groups= Get-UnifiedGroup | Where {$_.classification -eq "General"}

  6. 針對每個群組,新增新的敏感度標籤 GUID。 例如:

    foreach ($g in $groups)
{Set-UnifiedGroup -Identity $g.Identity -SensitivityLabelId "457fa763-7c59-461c-b402-ad1ac6b703cc"}

  7. 針對其餘的群組分類重複步驟 5 和 6。

稽核敏感度標籤活動

重要事項

如果您只針對保護容器的標籤選取 [群組和網站] 範圍來使用標籤區隔:由於 [偵測到的檔案敏感度不符合] 本章節所述的稽核活動及電子郵件,在標籤具有 [項目] 範圍的標籤之前,請先考慮 [排序標籤]

若某使用者將文件上傳到受敏感度標籤保護的網站,且文件的敏感度標籤優先於網站的敏感度標籤,則不會封鎖此動作。 例如,您已將一般標籤套用至 SharePoint 網站,而某使用者上傳到此網站的文件標示為機密。 由於優先順序較高的敏感度標籤會識別比優先順序較低的內容更具敏感度的內容,因此可能會造成安全性問題。

儘管系統不會封鎖該動作,但會稽核,且預設會自動產生電子郵件給上傳文件的人員和網站系統管理員。 因此使用者和系統管理員可以找出與標籤優先順序不一致的文件,並視需要採取行動。 例如,從網站刪除或移動已上傳的文件。

如果文件套用的敏感度標籤,其優先順序低於網站所套用的敏感度標籤,則不會造成安全性問題。 例如,套用「一般」標籤的文件上傳到標記為「機密」的網站。 在此案例中,不會產生稽核事件和電子郵件。

注意事項

就像要求使用者提供將標籤變更為較低分類的理由一樣,相同父標籤的子標籤都被視為具有相同的優先順序。

若要搜尋此事件的稽核記錄,請尋找 [檔案與頁面活動] 類別中的 [偵測到的文件敏感度不相符]

自動產生電子郵件的 [主旨] 為偵測到不相容敏感度標籤,而電子郵件訊息則會有上傳文件和網站連結的標記不相符說明。 它也包含您自己的內部文件行: HelpLink:疑難解答指南。 您必須使用 Set-SPOTenant Cmdlet 搭配 LabelMismatchEmailHelpLink 參數來設定疑難解答指南的超連結。 例如:

Set-SPOTenant –LabelMismatchEmailHelpLink "https://support.contoso.com"

電子郵件訊息也有 Microsoft 檔連結,可為使用者提供變更敏感度標籤的基本資訊:將 敏感度標籤套用至 Office 中的檔案和電子郵件

除了您必須指定的內部 URL 之外,無法自定義這些自動化電子郵件。 不過,當您從 Set-SPOTenant 使用下列 PowerShell 命令時,可以防止傳送它們:

Set-SPOTenant -BlockSendLabelMismatchEmail $True

當某人在網站或群組間新增或移除敏感度標籤時,系統也會稽核這些活動,但不會自動產生電子郵件。

所有這些稽核事件都可以在稽核記錄活動檔的 [敏感度卷標活動 ] 區段中找到。

如何停用容器的敏感度標籤

您可以使用來自啟用 PowerShell 中的敏感度標籤支援中的相同指示來關閉 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站的敏感度標籤。 不過,若要停用此功能,請在步驟 5 中指定 $setting["EnableMIPLabels"] = "False"

除了在建立或編輯敏感度標籤時隱藏所有的群組和網站設定 ,此動作會還原容器用於其設定的屬性。 啟用 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站的敏感度標籤,會將用於Microsoft Entra 群組分類的分類 (使用的屬性切換為 [敏感度) 。 停用容器的敏感度標籤時,容器會忽略 [敏感度] 屬性,並再次使用 [分類] 屬性。

這表示來自網站和群組、先前套用至容器的任何標籤設定都不會強制執行,而容器則不再顯示標籤。

如果這些容器已套用 Microsoft Entra 分類值,容器會還原為再次使用分類。 請注意,啟用功能之後所建立的任何新網站或群組都不會顯示標籤或具有分類。 針對這些容器以及任何新容器,您現在可以套用分類值。 如需詳細資訊,請參閱 SharePoint「新式」網站分類為組織中的 Office 群組建立分類

其他資源

如需有關管理 Teams 連線網站和頻道網站的詳細資訊,請參閱管理 Teams 連線網站和頻道網站