用于保护数据的默认标签和策略

  • 项目

Microsoft 365 安全性与合规性许可指南

符合条件的客户可以为 Microsoft Purview 信息保护激活默认的标签和策略:

  • 敏感度标签和敏感度标签策略
  • 客户端自动标记
  • 服务端自动标记
  • Teams 和设备的数据丢失防护 (DLP) 策略

这些默认配置可帮助你使用适用于 Microsoft 365 的 Microsoft Purview 信息保护快速启动和运行。 可以按时使用,只需进行一些更改,也可以执行完全自定义,以更好地满足业务要求。

符合条件的客户包括具有 Microsoft Purview 免费试用版的客户以及一些已拥有Microsoft 365 E5计划的客户:

  • 新客户: 如果拥有 Microsoft Purview 少于 30 天,则租户可以激活列出的所有默认配置。 也可以始终对它们禁用、删除或编辑。

  • 现有客户: 如果拥有 Microsoft Purview 超过 30 天,则可以激活默认配置 (如果尚未配置等效配置):

    默认配置 等效
    敏感度标签和敏感度标签策略 已发布的敏感度标签
    客户端自动标记 配置为自动应用或向 (应用中) 应用的Office标签
    服务端自动标记 至少打开一个自动标记策略
    适用于 Teams 的 DLP 至少一个 DLP 策略用于Teams
    适用于设备的 DLP 设备至少有一个 DLP 策略

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

激活默认标签和策略

若要获取这些预配置的标签和策略,请执行以下操作:

  1. Microsoft Purview 合规门户导航到信息保护“概述”页。

  2. 如果你有资格使用Microsoft Purview 信息保护默认标签和策略,你将看到以下信息,你可以在其中激活默认标签和策略。 例如:

    对预配置标签和策略进行 Microsoft Purview 信息保护激活。

    如果未看到此信息与激活选项一起显示,则当前没有资格自动创建敏感度标签和策略。 可以稍后尝试重新检查,查看此状态是否已更改。 还可以使用下面的设置信息手动创建相同的标签和策略。

  3. 接下来,为 SharePoint 和 OneDrive 启用敏感度标签。 此步骤是使用 Office 网页版中的敏感度标签以及 SharePoint 和 OneDrive 的自动标记策略的先决条件。

    使用“信息保护>概述”页顶部的以下横幅,然后选择“立即打开”。 如果看不到此横幅,则已为租户启用 SharePoint 和 OneDrive 的敏感度标签。

    启用 SharePoint 和 OneDrive 横幅的敏感度标签。

    有关此功能的详细信息,请参阅 为 SharePoint 和 OneDrive 中的文件启用敏感度标签

默认敏感度标签

当没有发布的敏感度标签时,我们将创建以下标签:

标签名称 用户的标签说明 设置
个人 非业务数据,仅供个人使用。 范围:项目(文件、电子邮件)

内容标记:否

自动标记:否

组设置:否

网站设置:否

数据库列的自动标记:无
公开 专为公开使用准备和批准的业务数据。 范围:项目(文件、电子邮件)

内容标记:否

自动标记:否

组设置:否

网站设置:否

数据库列的自动标记:无
常规 不公开使用的业务数据。 但是,可以与外部合作伙伴共享此内容(如果需要)。 示例包括公司内部电话目录、组织结构图、内部标准和大多数内部通信。 范围:项目(文件、电子邮件)

内容标记:否

自动标记:否

组设置:否

网站设置:否

数据库列的自动标记:无
常规
\ 任何人 (无限制) 		不适合公开使用但可在适当时与外部合作伙伴共享的组织数据。 示例是不包括敏感信息或已发布营销材料的客户对话。 范围:项目(文件、电子邮件)

内容标记:否

自动标记:否

组设置:否

网站设置:否

数据库列的自动标记:无
常规
\ 所有员工 (无限制) 		不适合公开使用的组织数据。 如果需要与外部合作伙伴共享此内容,请与其他数据所有者确认可以共享,然后将标签更改为"常规"\"任何人 (不受限制) "。 示例包括公司内部电话目录、组织结构图、内部标准和大多数内部通信。 范围:项目(文件、电子邮件)

内容标记:否

自动标记:否

组设置:否

网站设置:否

数据库列的自动标记:无
机密 如果与未经授权的人员共享,可能会对业务造成损害的敏感业务数据。 示例包括合同、安全报告、预测摘要和销售帐户数据。 范围:项目(文件、电子邮件)

内容标记:否

自动标记:否

组设置:否

网站设置:否

数据库列的自动标记:无
机密
\ 任何人 (无限制) 		不需要加密的机密数据。 请谨慎使用此选项,并提供合适的业务理由。 已选择此 标签进行客户端自动标记 和服务器端 自动标记

范围:项目(文件、电子邮件)

内容标记:页脚:分类为机密

自动标记:建议用户应用标签

组设置:否

网站设置:否

数据库列的自动标记:无
机密
\ 所有员工		 需要保护的机密数据,允许所有员工拥有完全权限。 数据所有者可跟踪和撤销内容。 已选择此 标签进行客户端自动标记 和服务器端 自动标记

范围:项目(文件、电子邮件)

加密:组织中的所有用户和组:共同创作

内容标记:页脚:分类为机密

自动标记:建议用户应用标签

组设置:否

网站设置:否

数据库列的自动标记:无
机密
\ 受信任人		 可以与组织内外的受信任人共享的机密数据。 这些人员还可以根据需要重新共享数据。 范围:项目(文件、电子邮件)

加密:允许用户分配权限:
- 适用于 Outlook 的仅加密
- 在 Word、PowerPoint 和 Excel 中提示用户

内容标记:页脚:分类为机密

自动标记:否

组设置:否

网站设置:否

数据库列的自动标记:无
高度机密 非常敏感的业务数据,如果与未经授权的人员共享,则会对业务造成损害。 示例包括员工和客户信息、密码、源代码和预先宣布的财务报表。 范围:项目(文件、电子邮件)

内容标记: 水印:高度机密

自动标记:否

组设置:否

网站设置:否

数据库列的自动标记:无
高度机密
\ 所有员工		 高度机密的数据,允许所有员工查看、编辑和答复此内容的权限。 数据所有者可跟踪和撤销内容。 范围:项目(文件、电子邮件)

加密:组织中的所有用户和组:共同创作

内容标记:页脚:分类为高度机密

自动标记:否

组设置:否

网站设置:否

数据库列的自动标记:无
高度机密
\ 特定人员		 需要保护且只有你指定的人员以及你选择的权限级别才能查看的高度机密数据。 范围:项目(文件、电子邮件)

加密:允许用户分配权限:
- 不转发 Outlook
- 在 Word、PowerPoint 和 Excel 中提示用户

内容标记:页脚:分类为高度机密

自动标记:否

组设置:否

网站设置:否

数据库列的自动标记:无

注意

标签名称和说明自动适用于以下区域设置:美国英语、简体中文和繁体语言、法语、德语、意大利语、日语、韩语、葡萄牙语(巴西)、俄语和西班牙语。

如果需要其他语言,可以使用 PowerShell 指定翻译

有关这些配置设置以及敏感度标签可以执行哪些操作的详细信息,请参阅 敏感度标签可以执行哪些操作

如果需要编辑这些默认敏感度标签,请参阅创建和配置敏感度标签

默认敏感度标签策略

默认敏感度标签策略使用户可以使用敏感度标签开始标记文档和电子邮件。 它具有以下配置:

  • 向租户中的所有用户发布默认标签
  • 对于未标记的文档和电子邮件,默认标签为常规 \ 所有员工(无限制)
  • 用户必须提供删除标签或降低其分类的理由

有关这些策略设置和其他可用策略设置的信息,请参阅标签策略可以执行哪些操作

如果需要编辑这些默认策略设置,请参阅 通过创建标签策略发布敏感度标签

当你在 Windows、macOS、iOS 和 Android 上的 Office 应用中使用这些标签时,用户在刷新浏览器时在四小时内和一小时内看到 Word、Excel 和 PowerPoint web 版 的新标签。 但是,可能需要允许最多 24 小时将更改复制到所有应用和服务。

客户端自动标记

默认客户端自动标记配置会自动建议用户在检测到正在处理的文档或电子邮件中的信用卡号时应用敏感度标签。 作为一种推荐,而不是自动应用,此配置是突出显示有关内容的良好第一步,并向用户介绍给他们的文档和电子邮件标记的实践。

客户端自动标记仅适用于 Word、Office、Excel、PowerPoint 和 Outlook 应用程序使用的文档和Outlook。

默认客户端自动标记具有以下配置:

  • 如果在文档或电子邮件中找到 1-9 个信用卡号实例,建议用户应用敏感度标签机密 \ 任何人(不受限制)

  • 如果在文档或电子邮件中找到 10 个或多个信用卡号实例,建议用户应用敏感度标签机密 \ 所有员工

注意

如果我们检测到你已发布自己的敏感度标签,我们将提示选择你自己的一个标签进行自动标记,然后进行配置。

如果要编辑客户端自动标记配置,请参阅如何为应用配置 Office 标记

服务端自动标记

服务器端自动标记可帮助对处于其余位置的敏感文档和传输中的电子邮件进行标记。 默认服务器端自动标记策略为存储在所有 SharePoint 或 OneDrive 站点中的文档,以及通过 Exchange Online 发送的所有电子邮件创建在模拟模式下运行的策略。

在模拟模式下,在启用策略之前,不会实际标记项目。 可以手动打开策略。 或者,如果不更改默认设置,如果在模拟完成后的设定天数内没有对策略进行任何更改,则会自动打开策略。

在大多数情况下,自动启用未编辑策略之前的天数为 7。 但具体到 2022 年 6 月 23 日起的新客户,初始天数为 25 天,编辑策略后则为 7 天。

模拟模式允许预览打开策略时将标记哪些项,因此在将策略部署到租户进行实际标记之前,可以放心使用标记功能。

默认服务器端自动标记策略提供以下配置:

面向所有客户:

  • 如果在文档或电子邮件中找到 1-9 个信用卡号实例,将应用敏感度标签机密 \ 任何人(不受限制)

  • 如果在文档或电子邮件中找到 10 个或更多信用卡号实例,将应用敏感度标签机密 \ 所有员工

注意

如果我们检测到你已发布自己的敏感度标签,我们将提示为自动标记策略选择自己的一个标签。

对于 2022 年 6 月 23 日(其中 Microsoft 365 租户位于美国区域)的新客户:

  • 如果在文档或电子邮件中找到 1-9 个美国个人身份信息和全名实例,将应用敏感度标签 机密 \ 任何人(不受限制)

  • 如果在文档或电子邮件中找到 10 个或更多美国个人身份信息和全名实例,将应用敏感度标签 机密 \ 所有员工

2022 年 6 月 23 日以来的新客户对于每个设置可使用两个自动标记策略。 一个策略用于 Exchange 位置,另一个策略用于 SharePoint 和 OneDrive 位置。 虽然策略是同时创建的,但不会立即为 SharePoint 和 OneDrive 启用模拟:

  • Exchange 位置:创建自动标记策略,并立即启动模拟。
  • SharePoint 和 OneDrive 位置:创建自动标记策略,但需等待 25 天,然后自动开始模拟。 此延迟可确保有时间创建文件并将其保存到这些位置。

模拟完成后,查看结果。 如果对它们感到满意,请打开策略。

有关模拟模式的信息,请参阅 了解模拟模式

如果要编辑服务器端自动标记策略,请参阅如何为 SharePoint、OneDrive 和 Exchange 配置自动标记

适用于 Teams 的 DLP

Teams 的默认 DLP 策略检测所有 Teams 聊天和频道消息中是否存在信用卡号。 当检测到此敏感信息时,管理员将收到低严重性警报通知。

此策略不会向用户显示任何策略提示,并且不会阻止任何邮件,但管理员将在这些邮件中共享敏感信息的记录。 如果需要,可以编辑设置以更改此默认配置。

若要查看此策略的结果,请使用 DLP 活动资源管理器

如果要编辑 DLP 策略,请参阅Create和部署数据丢失防护策略

适用于设备的 DLP

设备的默认 DLP 策略检测已载入 Microsoft Purview 的Windows 10设备上是否存在信用卡号码。 然后,它会审核 (,但不阻止) 执行以下操作:

  • 上传到云服务域或使用不允许的浏览器访问

  • 复制到剪贴板、USB 或网络共享

  • 未经允许的应用访问

  • 打印

  • 使用未安装蓝牙应用复制或移动

  • 远程桌面服务

如果内容包含 10 个或多个信用卡实例,并且检测到一个或多个列出的活动,则向管理员发送中等严重性警报通知。

此策略不向用户显示任何策略提示,并且不会阻止任何操作,但管理员将记录所有可疑活动。 如果需要,可以编辑这些设置以更改此默认配置。

若要查看此策略的结果,请使用 DLP 活动资源管理器

如果要编辑 DLP 策略,请参阅Create和部署数据丢失防护策略

其他资源

若要了解有关敏感度标签、数据丢失防护以及 Microsoft Purview 信息保护所有可用功能,请参阅以下资源: