Microsoft 365 安全 & 合规性指南

项目
04/27/2024

就本文而言，租户级服务是一种联机服务， (独立许可证和/或作为 Microsoft 365 或 Office 365 计划) 的一部分或全部激活租户中的所有用户。客户使用联机服务需要适当的订阅许可证。若要查看授权用户从 Microsoft 365 合规性功能中受益的选项，请下载适用于企业和一线员工计划的 Microsoft 365 比较表或适用于中小型企业计划的 Microsoft 365 比较表。

有关允许用户使用 Microsoft 365 合规性功能的订阅的详细计划信息，并且目前在欧洲经济区 (欧洲经济区) 国家/地区和瑞士提供，请参阅适用于欧洲经济区的 Microsoft 365 商业计划比较和适用于欧洲经济区的Microsoft 365 企业版计划比较。

某些租户服务目前无法将权益限制为特定用户。若要查看有关使用通过 Microsoft 许可计划获得的 Microsoft 产品和专业服务的条款和条件，请参阅产品条款。

Microsoft Entra ID 治理

Microsoft Entra ID 治理使你能够在组织对安全性和员工工作效率的需求与正确的流程和可见性之间取得平衡。它使用权利管理、访问评审、特权标识管理和使用条款策略来确保合适的人员有权访问正确的资源。

用户如何从服务中受益？

Microsoft Entra ID 治理可以更轻松地在一个访问包中请求对应用、组和 Microsoft Teams 的访问权限，从而提高用户的工作效率。还可以将用户配置为审批者，而无需管理员参与。对于访问评审，用户可以使用智能建议查看组的成员身份，以定期执行操作。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft Entra ID 治理功能目前在 Microsoft Entra ID 治理和 Microsoft Entra ID 治理 Step Up for Microsoft Entra ID P2 中提供。这两种产品为购买的席位的尽可能多的用户提供具有标识治理功能的权限。 Microsoft Entra ID 治理要求租户还具有Microsoft Entra ID P1 (以前称为 Azure Active Directory Premium P1) 或 Microsoft Entra ID P2 (以前称为的活动订阅Azure Active Directory Premium P2) 或包含 Microsoft Entra ID P1 或 P2 的订阅。 Microsoft Entra ID 治理 Microsoft Entra ID P2 的 Step Up 要求租户还具有Microsoft Entra ID P2 的活动订阅或包含 Microsoft Entra ID P2 的订阅。

如何预配/部署服务？

Microsoft Entra ID 治理功能在租户级别启用，但按用户实现。有关Microsoft Entra ID 治理的信息，请参阅什么是Microsoft Entra ID 治理？

如何只能将服务应用于租户中获得服务许可的用户？

管理员应确保他们有足够的Microsoft Entra ID 治理席位，供Microsoft Entra ID 治理功能范围内或受益于Microsoft Entra ID 治理功能（包括访问包、访问评审、生命周期工作流和特权标识管理）的所有员工。有关如何确定部署Microsoft Entra ID 治理范围的说明，请参阅：

Microsoft Entra ID 保护

Microsoft Entra ID 保护是 Microsoft Entra ID P2 计划的一项功能，可用于检测影响组织标识的潜在漏洞，配置自动响应以检测出与组织标识相关的可疑操作，并调查可疑事件并采取适当措施解决这些问题。

用户如何从服务中受益？

SecOps 分析师和安全专业人员受益于基于机器学习算法的已标记用户和风险事件的合并视图。最终用户受益于通过基于风险的条件访问提供的自动保护，以及通过对漏洞采取行动提供的改进的安全性。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft 365 E5/A5/G5、企业移动性 & 安全性 A5/E5/G5、Microsoft 365 A5/E5/F5/G5 安全性以及 Microsoft 365 F5 安全性 & 符合性

有关不同可用计划中包含的功能的详细信息，请参阅什么是Microsoft Entra ID 保护？

如何预配/部署服务？

默认情况下，Microsoft Entra ID 保护功能在租户级别为租户中的所有用户启用。有关Microsoft Entra ID 保护的信息，请参阅什么是标识保护？

如何只能将服务应用于租户中获得服务许可的用户？

管理员可以通过分配风险策略来限定Microsoft Entra ID 保护范围，这些策略定义密码重置的级别并仅允许许可用户访问。有关如何确定部署Microsoft Entra ID 保护范围的说明，请参阅如何配置和启用风险策略。

Microsoft Cloud 合规性计划

Microsoft Cloud 合规性计划旨在提供个性化的客户支持、教育和网络机会。通过加入该计划，客户将获得独特的机会，直接与安全、合规性和隐私领域的监管机构、行业同行和 Microsoft 专家接触。此计划取代了 2013 年创建的现有金融服务行业 (FSI) 合规性计划。

谁可以访问Microsoft Cloud 合规性计划？

Microsoft Cloud 合规性计划适用于具有 Microsoft 365 和Office 365许可证的组织。

当前已注册 FSI 合规性计划的客户需要购买新Microsoft Cloud 合规性计划的订阅。有关详细信息，请参阅 Microsoft Cloud 合规性计划。

用户如何从服务中受益？

希望 Microsoft 在其云旅程中提供帮助的企业组织，如风险评估员、合规性官员、内部审核员、隐私官员、法规事务/法律、CSO 将受益于此服务。下面是客户可以获得的可用权益的示例方案：

持续的风险和合规性协助，用于加入和使用 Microsoft 云服务的风险评估。
对 Microsoft 云服务的 Microsoft 和客户管理的控件的支持。
有关使用第三方云服务的内部审核、监管机构或董事会级批准方面的帮助。
支持与使用云服务时的复杂风险和合规性要求相关的持续技术问题。
直接协助填写固定数量的客户风险和合规性问卷。
与监管机构和行业专家联系，帮助解决合规过程中的问题。

如何预配/部署服务？

默认情况下，在租户级别为受益于该服务的所有用户启用Microsoft Cloud 合规性计划。有关详细信息，请参阅 Microsoft Cloud 合规性计划。

Microsoft Defender 商业版

Microsoft Defender 商业版是一种终结点安全解决方案，专为 (最多 300 名员工) 的中小型企业设计。 Defender for Business 作为独立解决方案提供，也包含在Microsoft 365 商业高级版中。借助此终结点安全解决方案，中小企业 (SMB) 组织设备可以更好地抵御勒索软件、恶意软件、钓鱼和其他威胁。

有关详细信息，请参阅 Microsoft Defender 商业版。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft Defender 商业版包含在Microsoft 365 商业高级版订阅计划中。

独立版本的 Defender for Business 也可用作中小型企业 (SMB) 最多 300 名员工的选项。若要了解详细信息，请参阅如何获取Microsoft Defender 商业版。

用户如何从服务中受益？

将Microsoft Defender 商业版添加到 Microsoft 365 商业高级版通过终结点检测和响应以及自动调查和修正等技术添加跨平台终结点保护和复杂的勒索软件防御功能，增强了 Business Premium 的现有生产力和安全性。

Defender for Business 的独立版本为拥有最多 300 名员工的中小型企业提供了一个选项，以实惠的价格获取企业级终结点安全技术。

如何预配/部署服务？

如果有Microsoft 365 商业高级版，可以通过Microsoft Defender门户访问 Defender for Business。

默认情况下，Microsoft Defender 商业版功能在租户级别为租户中的所有用户启用。有关如何设置和配置 Defender for Business 的信息，请参阅 Microsoft Defender 商业版文档 |Microsoft Docs。

什么是适用于Microsoft Defender 商业版的 Defender for Business 服务器加载项？

Microsoft Defender 商业版服务器为中小型企业的 Windows 和 Linux 服务器提供终结点安全性。 Defender for Business 服务器体验在 Defender for Business 内的单个管理员体验中为客户端和服务器提供相同级别的保护，从而帮助你在一个位置保护所有终结点。

有关详细信息，请参阅获取Microsoft Defender 商业版服务器 |Microsoft Learn。

请注意，对于 Defender for Business 服务器，每个客户的最大数量/席位上限为 60 个许可证。如果客户需要超过 60 个服务器许可证，请参阅服务器Microsoft Defender。

哪些许可证为用户提供了从服务中受益的权利？

Defender for Business 服务器作为加载项提供给组织，其功能如下：

Microsoft Defender 商业版 (独立)
Microsoft 365 商业高级版

客户必须至少拥有一个Microsoft 365 商业高级版或Microsoft Defender 商业版许可证才能购买和使用Microsoft Defender 商业版服务器。

有关详细信息和指向更多资源的链接，请查看Microsoft Defender 商业版常见问题解答。

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps是一个云访问安全代理 (CASB) 解决方案，可让客户灵活地实现核心功能并支持多种类型的部署。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft Defender for Cloud Apps作为独立许可证提供，也可作为以下计划的一部分提供：

企业移动性 + 安全性 E5
Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 安全性
Microsoft 365 E5/A5/G5/F5 合规性
Microsoft 365 F5 安全性 & 合规性
Microsoft 365 E5/F5/G5 信息保护和治理

若要从 Defender for Cloud Apps 中的条件访问应用控制功能中受益，用户还必须获得Microsoft Entra ID P1 的许可，该许可包含在企业移动性 + 安全性 F1/F3/E3/A3/G3、企业移动性 + 安全性 E5、Microsoft 365 E3/A3/G3 中，Microsoft 365 E5/A5/G5 和 Microsoft 365 E5/A5/G5/F5 安全性和 Microsoft 365 F5 安全 & 合规性。

若要从客户端自动标记中受益，用户必须获得 Azure 信息保护 P2 的许可，企业移动性 + 安全性 E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 符合性、Microsoft 365 F5 安全性 & 合规性以及Microsoft 365 E5/F5/G5 信息保护和治理。

注意：自动服务器端标记需要信息保护Office 365 - 高级许可证 (MIP_S_CLP2 或 efb0351d-3b08-4503-993d-383af8de41e3) 。有关参考，请参阅用于许可的产品名称和服务计划标识符。

如何预配/部署服务？

默认情况下，在租户级别为租户中的所有用户启用Microsoft Defender for Cloud Apps。

如何只能将服务应用于租户中获得服务许可的用户？

管理员可以使用服务中可用的作用域部署功能，将Microsoft Defender for Cloud Apps部署范围限定为许可用户。有关详细信息，请参阅作用域内部署。

什么是应用治理？

应用治理是一种安全和策略管理功能，专为在 Microsoft Entra ID 上注册的已启用 OAuth 的应用而设计。它通过可操作的见解和自动策略警报和操作，提供对这些应用及其用户如何访问、使用和共享存储在 Microsoft 365 中的敏感数据的完整可见性、修正和治理。

哪些许可证为用户提供了从此功能中受益的权利？

应用治理包含在包含 Defender for Cloud Apps 的Microsoft Defender for Cloud Apps和产品产品/服务中：

Microsoft Defender for Cloud Apps (独立)
企业移动性 + 安全性 E5/A5/G5
Microsoft 365 E5/A5/G5
Microsoft 365 安全版 E5/A5/F5/G5
Microsoft 365 合规性 E5/A5/F5/G5
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Microsoft 365 F5 安全性 + 合规性

有关详细信息，请参阅 Microsoft 365 中的应用治理和应用治理入门。

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint是一种终结点安全解决方案，包括：

基于风险的漏洞管理和评估
攻击面减少功能
基于行为和云驱动的下一代保护
终结点检测和响应 (EDR)
自动调查和修正
托管搜寻服务

有关详细信息，请参阅 Microsoft Defender for Endpoint。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft Defender for Endpoint计划 1 (P1)

Microsoft Defender for Endpoint P1 提供核心终结点保护功能，例如下一代反恶意软件、攻击面减少规则、设备控制、终结点防火墙、网络保护等。有关详细信息，请参阅Microsoft Defender for Endpoint计划 1 和计划 2。

Microsoft Defender for Endpoint P1 作为独立用户订阅许可证和 Microsoft 365 E3/A3/G3 的一部分提供。

Microsoft Defender for Endpoint 计划 2 (P2)

Microsoft Defender for Endpoint P2 提供全面的终结点保护功能，包括Microsoft Defender for Endpoint P1 的所有功能，以及终结点检测和响应、自动调查和修正、危险和漏洞管理、威胁情报、沙盒和 Microsoft 威胁专家。有关详细信息，请参阅Microsoft Defender for Endpoint文档。

Microsoft Defender for Endpoint P2 作为独立许可证和以下计划的一部分提供：

Windows 11 企业版 E5/A5
Windows 10 企业版 E5/A5
Microsoft 365 E5/A5/G5（包括 Windows 10 或 Windows 11 企业版 E5）
Microsoft 365 E5/A5/G5/F5 安全性
Microsoft 365 F5 安全性 & 合规性

Microsoft Defender for Endpoint服务器

服务器Microsoft Defender针对传统的本地服务器工作负载进行了优化，但也支持 Windows 和 Linux 服务器。服务器或虚拟机的每个操作系统环境 (OSE) 所需的单独许可证。

适用于 IoT 的Microsoft Defender – 企业 IoT 安全性

Microsoft Defender IoT – 企业 IoT 安全性与Microsoft Defender for Endpoint集成，通过单一体验发现、持续监视和管理企业 IoT 设备中的漏洞。

适用于 IoT 的Microsoft Defender – Microsoft 365 E5和Microsoft 365 E5 安全性订阅随附的企业 IoT 安全性

Microsoft Defender IoT – 企业 IoT 安全性包含在Microsoft 365 E5和Microsoft 365 E5 安全性订阅中。拥有这些订阅的客户有权Microsoft Defender IoT - 企业 IoT 安全覆盖范围，每个符合条件的用户许可证最多支持 5 个 eIoT 设备。

适用于 IoT 的Microsoft Defender - 每个设备附加产品的企业 IoT 安全性

Microsoft Defender IoT – 每个设备企业 IoT 安全性加载项适用于Microsoft Defender for Endpoint P2 或包含 Microsoft Defender for Endpoint P2 的订阅的客户：

Microsoft 365 A5/E5
Microsoft 365 A5/E5/F5 安全性
Microsoft 365 F5 安全性和合规性
Windows 10/11 企业版 A5/E5。

Microsoft Defender IoT – 企业 IoT 安全性每个设备附加许可证涵盖每个许可证一个 eIoT 设备。

有关详细信息，请参阅使用 Defender for Endpoint 在 Microsoft 365 中启用企业 IoT 安全性 - Microsoft Defender for IoT |Microsoft Learn。

Microsoft Defender 漏洞管理

Microsoft Defender漏洞管理作为独立用户订阅许可证和Microsoft Defender for Endpoint计划 2 客户的附加产品提供。

Defender 漏洞管理为 Windows、macOS、Linux、Android、iOS 和网络设备提供资产可见性、智能评估和内置修正工具。 Defender 漏洞管理利用 Microsoft 威胁情报、违规可能性预测、业务上下文和设备评估，快速且持续地确定最关键资产上最大的漏洞的优先级，并提供安全建议来降低风险。

Defender 漏洞管理独立： 没有 Defender for Endpoint 计划 2 的客户可以使用 Defender 漏洞管理独立解决方案补充其终结点检测和响应 (EDR) 解决方案，以满足其漏洞管理计划需求。

Defender 漏洞管理加载项：Microsoft Defender for Endpoint 计划 2 包括漏洞管理功能，可通过添加Microsoft Defender 漏洞管理加载项附带的新高级漏洞管理工具来增强这些功能。

Microsoft Defender 漏洞管理服务器Microsoft Defender for Endpoint加载项：为具有服务器Microsoft Defender for Endpoint的客户提供高级漏洞管理功能。

服务器计划 1 和 Defender for Servers 计划 2 的Microsoft Defender还包括对漏洞管理功能的访问。

有关详细信息，请参阅 Microsoft Defender 漏洞管理 |Microsoft Learn 和比较Microsoft Defender 漏洞管理计划和功能 |Microsoft Learn。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft Defender漏洞作为独立用户订阅许可证提供给商业、教育和政府云客户。
Defender 漏洞管理作为附加组件提供给组织，其功能包括：

Microsoft Defender for Endpoint计划 2 (独立)
Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/F5/G5 安全性
Microsoft 365 F5 安全性和合规性加载项
Windows 11 企业版 E5/A5/G5
Windows 10 企业版 E5/A5/G5

服务器Microsoft Defender for Endpoint Microsoft Defender 漏洞管理加载项可供具有服务器Microsoft Defender for Endpoint的组织使用。有关包含的功能的详细信息，请参阅比较Microsoft Defender 漏洞管理计划和功能 |Microsoft Learn。

Microsoft Defender for Identity

Microsoft Defender for Identity (以前是 Azure 高级威胁防护) ，是一项云服务，可帮助保护企业混合环境免受多种类型的高级定向网络攻击和内部威胁。 Microsoft Defender for Identity是按用户订阅许可证。

用户如何从服务中受益？

SecOp 分析师和安全专业人员受益于Microsoft Defender for Identity检测和调查高级威胁、泄露的标识和恶意内部操作的能力。最终用户通过Microsoft Defender for Identity监视其数据而受益。

哪些许可证为用户提供了从服务中受益的权利？

企业移动性 + 安全性 E5/A5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 安全性、Microsoft F5 安全 & 合规性和用户Microsoft Defender for Identity提供从中受益的权利Microsoft Defender for Identity。

如何预配/部署服务？

Microsoft Defender for Identity功能在租户级别为租户中的所有用户启用。有关配置Microsoft Defender for Identity的信息，请参阅Create Microsoft Defender for Identity实例。

如何只能将服务应用于租户中获得服务许可的用户？

某些租户服务（例如Microsoft Defender for Identity）目前无法将权益限制为特定用户。若要查看有关使用通过 Microsoft 许可计划获得的 Microsoft 产品和专业服务的条款和条件，请参阅产品条款。

Microsoft Defender for Office 365

Microsoft Defender for Office 365 (以前Office 365高级威胁防护) 可帮助保护组织免受网络钓鱼和零时差恶意软件等复杂攻击。 Microsoft Defender for Office 365还通过关联来自各种数据的信号来提供可操作的见解，以帮助识别、确定优先级并提供有关如何应对潜在威胁的建议。

用户如何从服务中受益？

Microsoft Defender for Office 365保护用户免受网络钓鱼和零日恶意软件等复杂攻击。有关计划 1 和计划 2 中提供的服务的完整列表，请参阅Microsoft Defender for Office 365。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft Defender for Office 365计划 1 和 2、Office 365 E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 安全性、Microsoft 365 F5 安全 & 符合性和Microsoft 365 商业高级版为用户提供从Microsoft Defender for Office 365中受益的权限。

此快速参考将帮助你了解每个Microsoft Defender for Office 365订阅附带的功能。结合对 EOP 功能的了解，可以帮助业务决策者确定最适合需要的 Microsoft Defender for Office 365。

Microsoft Defender for Office 365 计划 1与计划 2 备忘单

Defender for Office 365 计划 1	Defender for Office 365 计划 2
配置、保护和检测功能：安全附件安全链接用于 SharePoint、OneDrive 和 Microsoft Teams 的安全附件 Defender for Office 365 中的防钓鱼保护实时检测	Defender for Office 365计划 1 功能 ---以及--- 自动化、调查、修正和教育功能：威胁跟踪器威胁资源管理器自动调查和响应攻击模拟培训

有关详细信息，请转到Office 365安全性，包括Microsoft Defender for Office 365和Exchange Online Protection - Office 365 |Microsoft Docs。

如何预配/部署服务？

默认情况下，Microsoft Defender for Office 365功能在租户级别为租户中的所有用户启用。有关为许可用户配置Microsoft Defender for Office 365策略的信息，请参阅 Microsoft Defender for Office 365。

有关为许可用户配置安全链接的信息，请参阅 Microsoft Defender for Office 365 中的安全链接。
有关为许可用户配置安全附件的信息，请参阅 Microsoft Defender for Office 365 中的安全附件。

信息保护：Microsoft Purview 高级消息加密

Microsoft Purview 高级邮件加密可帮助客户履行合规性义务，这些义务要求对外部收件人及其对加密电子邮件的访问进行更灵活的控制。借助 Purview 高级邮件加密，管理员可以使用自动策略来控制组织外部共享的敏感电子邮件，这些策略可以检测敏感信息类型 (例如个人身份信息、财务或健康 ID) ，或者通过使用关键字通过安全 Web 门户应用自定义电子邮件模板和过期对加密电子邮件的访问权限来增强保护。此外，管理员可以随时撤销访问权限，从而进一步控制通过安全 Web 门户在外部访问的加密电子邮件。

用户如何从服务中受益？

邮件发件人受益于高级邮件加密提供的对敏感电子邮件的增强控制。

哪些许可证为用户提供了从服务中受益的权利？

Office 365 E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 符合性和 F5 安全 & 合规性，以及 Microsoft 365 E5/A5/F5/G5 信息保护和治理为用户提供从高级邮件加密中受益的权限。

如何预配/部署服务？

管理员在 Exchange 管理中心的邮件流>规则下创建和管理高级邮件加密策略。默认情况下，这些规则适用于租户中的所有用户。有关设置新的邮件加密功能的详细信息，请参阅设置新的Office 365消息加密功能。

如何只能将服务应用于租户中获得服务许可的用户？

管理员应仅对许可用户应用高级邮件加密的邮件流规则。有关定义邮件流规则的详细信息，请参阅定义邮件流规则以在 Office 365 中加密电子邮件。

信息保护：Microsoft Purview 邮件加密

Microsoft Purview 邮件加密是一项基于 Azure Rights Management (Azure RMS) 构建的服务，可用于向组织内部或外部的人员发送加密电子邮件，而不管目标电子邮件地址 (Gmail、Yahoo！ Mail、Outlook.com 等 ) 。

若要查看加密邮件，收件人可以使用一次性密码、通过 Microsoft 帐户登录或使用与 Office 365 关联的工作或学校帐户登录。此外，收件人也可发送加密回复。他们不需要订阅即可查看加密邮件或发送加密答复。

用户如何从服务中受益？

邮件发件人受益于对Office 365邮件加密提供的敏感电子邮件的控制。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft 365 F3/E3/A3/G3/E5/A5/G5 和 Microsoft 商业高级版
Office 365 A1/E3/A3/G3/E5/A5/G5
Azure 信息保护计划 1 还向组织提供了在添加到以下计划时从Office 365消息加密中受益的权限：Exchange Online Kiosk、Exchange Online计划 1、Exchange Online计划 2、Office 365 F3、Microsoft 365 商业基础版、Microsoft 365 商业标准版或 Office 365 企业版 E1

如何预配/部署服务？

管理员在 Exchange 管理中心的邮件流>规则下创建和管理Office 365邮件加密策略。默认情况下，这些规则适用于租户中的所有用户。有关设置新的Office 365消息加密功能的详细信息，请参阅设置新的邮件加密功能。

如何只能将服务应用于租户中获得服务许可的用户？

管理员应仅对许可用户应用Office 365邮件加密的邮件流规则。有关定义邮件流规则的详细信息，请参阅定义邮件流规则以加密电子邮件。

Microsoft Priva

有关详细信息，请参阅 Microsoft Priva。

Office 365 中的 Privileged Access Management

特权访问管理 (PAM) 提供对 Office 365 中特权管理员任务的精细访问控制。启用 PAM 后，若要完成提升和特权任务，用户需要通过具有高度范围和时间限制的审批工作流请求实时访问。

用户如何从服务中受益？

启用 PAM 可让组织以零长期权限运行。用户可以从额外的防御层中受益，该层可抵御由长期管理访问引起的漏洞，这些访问提供不受约束地访问其数据。

哪些许可证为用户提供了从服务中受益的权利？

Office 365 E5/A5、Microsoft 365 E5/A5、Microsoft 365 E5/A5/F5 符合性和 F5 安全 & 合规性，以及 Microsoft 365 E5/A5/F5 内部风险管理为用户提供从 PAM 中受益的权限。

如何预配/部署服务？

默认情况下，在租户级别为租户中的所有用户启用 PAM 功能。有关配置 PAM 策略的信息，请参阅特权访问管理入门。

如何只能将服务应用于租户中获得服务许可的用户？

客户可以通过审批者组和访问策略（可应用于许可用户）按用户管理 PAM。

Microsoft Purview 审核

有关详细信息，请参阅Microsoft Purview 审核服务说明

Microsoft Purview 通信合规性

有关详细信息，请参阅 Microsoft Purview 通信合规性

Microsoft Purview 合规性管理器

有关详细信息，请参阅 Microsoft Purview 合规性管理器

Microsoft Purview 客户密码箱

有关详细信息，请参阅 Microsoft Purview 客户密码箱

Microsoft Purview 数据连接器

有关详细信息，请参阅 Microsoft Purview 数据连接器

Microsoft Purview 数据生命周期管理和 Microsoft Purview 记录管理

Microsoft Purview 数据生命周期管理 (以前的 Microsoft 信息治理) 和Microsoft Purview 记录管理为你提供工具和功能来保留需要保留的内容并删除不需要的内容。组织通常会保留和删除内容以满足合规性和数据法规要求。删除不再具有业务价值的内容还有助于管理风险和责任。

数据生命周期管理和记录管理都使用保留策略、保留标签和保留标签策略来强制实施保留和删除设置。此外，此区域包括电子邮件存档功能。

保留策略的许可

对于组织范围、位置范围或包含/排除保留策略，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5/E3/A3/G3、商业高级版
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5/E3/A3/G3

如果保留策略位置是 Exchange 邮箱，则以下许可证还提供用户权限：

Exchange 计划 2
Exchange Online Archiving

如果保留策略位置为 SharePoint 或 OneDrive for Business，则以下许可证还提供用户权限：

SharePoint 计划 2

如果保留策略位置是 Microsoft Teams 聊天、频道或专用频道，则以下许可证还提供用户权限。对于 带下划线的计划，保留或删除期必须超过 30 天：

Microsoft 365 E5/G5/A5/E3/G3/A3/F3/F1、Business Basic、Business Standard 和 Business Premium
Office 365 E5/G5/A5/E3/G3/A3/F3/E1/G1
Microsoft 365 F5 合规性和 Microsoft 365 F5 安全性和合规性附加计划

如果保留策略使用自适应策略范围，则需要以下许可证之一来提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Office 365 E5/A5/G5
Microsoft 365 E5/A5/F5/G5 信息保护和治理

如果保留策略适用于 Microsoft 365 Copilot 交互，则以下许可证提供用户权限：

Microsoft 365 E3/E5 + Microsoft 365 Copilot
Microsoft 365 E3 + Microsoft E5 合规性 + Microsoft 365 Copilot
Microsoft 365 E3 + Microsoft E5 信息保护和治理 + Microsoft 365 Copilot

保留标签的许可

对于保留标签创建，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5/E3/A3/G3/F3/F1/Business Premium
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5/E3/A3/G3/F3/E1/A1/G1

以下保留标签创建设置：

基于事件类型启动保留期
在保留期结束时触发处置评审
在保留期内，将项目标记为记录或法规记录
保留期过后，自动更改保留标签，

需要以下特定许可证来提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Office 365 E5/A5/G5
Microsoft 365 E5/A5/F5/G5 信息保护和治理

保留标签策略的许可

保留标签通过以下三种方式之一应用于文件和电子邮件：

发布标签，以便最终用户可以使用它们进行手动标记。
通过保留标签策略配置自动应用它们。
通过其他应用程序方法（例如默认标签）。

若要发布保留标签，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5/E3/A3/G3/F3/F1/Business Premium
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5/E3/A3/G3/F3/E1/A1/G1

如果发布位置是 Exchange 邮箱，则Exchange Online计划 1 和计划 2 许可证提供用户权限。

如果发布位置为 SharePoint Online 或 OneDrive，则 SharePoint Online 计划 1 和计划 2 许可证提供用户权限。

保留标签的以下部署方法需要特定的许可：

自动应用于包含敏感信息的内容
自动应用于包含特定字词、短语或属性的内容
将默认保留标签应用于 SharePoint 文档库、文件夹或文档集
在保留标签策略中使用自适应策略范围

以下许可证为这些部署方法提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5

若要使用可训练的分类器自动应用保留标签，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理

其他保留标签应用程序方法

若要使用 Outlook 规则或 Outlook 默认文件夹策略应用标签，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5/E3/A3/G3/F3/F1/Business Premium
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5/E3/A3/G3/F3/E1/A1/G1

若要使用 SharePoint Syntex 模型应用保留标签，以下许可证提供用户权限。此外，还需要购买相应的 SharePoint Syntex 许可证。

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5

若要使用文件计划来维护保留标签（包括导入和导出），以下许可证提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5

若要使用自适应策略范围将适用于 Microsoft 365 的 Microsoft Copilot交互保留策略动态定位到特定用户和/或保留 Microsoft 365 Copilot 交互中共享的文档的确切版本，以下许可证提供用户权限：

Microsoft 365 E5 + Microsoft 365 Copilot
Microsoft 365 E3 + Microsoft E5 合规性 + Microsoft 365 Copilot
Microsoft 365 E3 + Microsoft 365 E5 信息保护和治理 + Microsoft 365 Copilot

Email存档

若要将 PST 文件批量导入到Exchange Online邮箱，以下许可证提供用户权限：

Exchange Online P2
Microsoft 365 E5/A5/G5/E3/A3/G3
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5/E3/A3/G3

若要启用存档邮箱和自动扩展存档，以下许可证提供用户权限：

存档邮箱限制为 50 GB
- Exchange Online 计划 1
- Office 365 E1
存档邮箱限制为 1.5 TB
- Exchange Online Archiving
- Exchange Online 计划 2
- Microsoft 365 E5/A5/G5/E3/A3/G3
- Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
- Microsoft 365 E5/A5/F5/G5 信息保护和治理
- Office 365 E5/A5/G5/E3/A3/G3
- Microsoft 365 商业高级版

哪些用户需要许可证？

从服务中受益的任何用户都需要许可证。有关服务条款 & 条件的详细信息，请参阅产品条款。下面是用户从服务中受益的示例：

Microsoft Purview 合规门户中分配了以下角色的用户：处置管理、记录管理、保留管理、View-Only 记录管理 View-Only 保留管理。
在网站上使用保留策略或保留标签策略时，SharePoint 网站所有者和成员。网站访问者不需要许可证。
当对网站、邮箱或 Teams 邮件使用保留策略或保留标签策略时，Microsoft 365 组所有者和成员。
对于用户邮箱，用户必须分配所需的许可证。
自适应策略范围中包含的用户、SharePoint 网站和Microsoft 365 组。

对于许多功能，共享邮箱或资源邮箱不需要分配许可证。对于需要以下许可证之一的功能，共享或资源邮箱确实需要分配许可证来提供使用权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5

非活动邮箱不需要使用许可证。

此外，共享邮箱限制为 50 GB，无需 Exchange 加载项。若要将大小限制增加到 100 GB，共享邮箱需要Exchange Online计划 2 或 Exchange Online Archiving + Exchange Online 计划 1。

Microsoft Purview 数据丢失防护：终结点数据丢失保护 (DLP)

有关详细信息，请参阅 Microsoft Purview 数据丢失防护：Endpoint Data Loss Protection (DLP)

Microsoft Purview 数据丢失防护：针对 Exchange Online、SharePoint Online 和 OneDrive for Business 的数据丢失防护 (DLP)

使用 Exchange Online 的 Microsoft Purview 数据丢失防护、SharePoint Online 和以前名为 Microsoft Office 365 的OneDrive for Business (数据丢失防护) ，组织可以跨电子邮件和文件识别、监视和自动保护敏感信息， (包括存储在 Microsoft Teams 文件存储库) 中的文件。

用户如何从服务中受益？

在检查电子邮件和文件时，用户可以从 DLP for Exchange Online、SharePoint Online 和 OneDrive for Business中受益，如组织的 DLP 策略中配置的那样。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft 365 E5/A5/G5/E3/A3/G3、Microsoft 365 商业高级版、SharePoint Online 计划 2、OneDrive for Business（计划 2）、Exchange Online计划 2
Office 365 E5/A5/G5/E3/A3/G3
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理

如何预配/部署服务？

默认情况下，Exchange Online电子邮件、SharePoint 网站和 OneDrive 帐户是启用位置， (工作负荷) 租户中的所有用户使用这些 DLP 功能。有关使用 DLP 策略的详细信息，请参阅数据丢失防护概述。

如何只能将服务应用于租户中获得服务许可的用户？

管理员可以自定义 (工作负载的位置) 、包括用户，以及排除Microsoft Purview 合规门户中的用户。

Microsoft Purview 数据丢失防护：Teams 的数据丢失防护 (DLP)

有关详细信息，请参阅Microsoft Purview 数据丢失防护：Teams 的数据丢失防护 (DLP)

Microsoft Purview 数据丢失防护：用于 Teams 数据丢失防护 (DLP) 和 Teams 导出的图形 API

有关详细信息，请参阅Microsoft Purview 数据丢失防护：用于 Teams 数据丢失防护的图形 API (DLP) 和 Teams 导出

Microsoft Purview 电子数据展示

有关详细信息，请参阅 Microsoft Purview 电子数据展示

Microsoft Purview 信息屏障

有关详细信息，请参阅 Microsoft Purview 信息屏障

Microsoft Purview 信息保护：客户密钥

有关详细信息，请参阅 Microsoft Purview 信息保护：客户密钥

Microsoft Purview 信息保护：数据分类分析：内容 & 活动资源管理器概述

Microsoft Purview 合规门户内提供数据分类分析功能。概述显示数字内容的位置以及最常见的敏感信息类型和标签。内容资源管理器提供敏感数据的数量和类型的可见性，并允许用户按标签或敏感度类型进行筛选，以获取存储敏感数据的位置的详细视图。活动资源管理器显示与敏感数据和标签相关的活动，例如标签降级或可能使内容面临风险的外部共享。

活动资源管理器为管理员提供了一个单一管理平台，用于了解与最终用户正在使用的敏感信息相关的活动。这些数据包括标签活动、数据丢失防护 (DLP) 日志、自动标记、终结点 DLP 等。

通过内容资源管理器，管理员可以为存储在受支持的 Microsoft 365 工作负载中的敏感文档编制索引，并识别他们存储的敏感信息。此外，内容资源管理器还有助于识别使用敏感度和保留标签进行分类的文档。