通过

将父敏感度标签迁移到标签组

Microsoft 365 安全性与合规性许可指南

注意

标签迁移以预览版推出,可能会发生更改。

如果自 2025 年 10 月 1 日起拥有新租户,则会自动迁移。 敏感度标签将自动使用新式标签方案,从更好的组织中受益,并降低部署复杂性。

以前,父标签用于在两层层次结构中组织 敏感度标签 。 为了降低复杂性,其替换项、标签组不支持名称、说明、颜色和优先级以外的设置。

有关父标签和标签组的详细信息,请参阅 使用父标签或标签组的子标签

若要将父敏感度标签迁移到敏感度标签组,请使用 Microsoft Purview 门户 (如果看到以下说明中显示的信息横幅)。

警告

标签迁移是不可逆的。 强烈建议首先使用与生产租户具有相同敏感度标签配置的测试租户来测试迁移。

开始之前

首先,请确保你有权创建和管理敏感度标签。 有关详细信息,请参阅 创建和管理敏感度标签所需的权限

然后,了解父标签的影响,如果适用,除了标签组之外,还将迁移到具有相同名称的子标签。 如果此方案适用于你,则必须决定是在迁移后保留这些新子标签的发布,还是要取消发布它们:

  • 如果决定取消发布这些新的子标签,可以手动执行此作, 或使用 PowerShell 脚本自动取消发布它们
  • 如果保持这些新子标签的发布状态,请决定是否需要在迁移后以及用户选择它们之前对其进行编辑。

这种新的子标签创建可确保可能已作为独立标签访问父标签的所有用户和服务在迁移后继续能够访问父标签。 如果满足以下任何条件,则父标签被视为适用:

  • 它针对包括加密、内容标记、自动标记和 PowerShell 高级设置的标签作配置。
  • 它的标签范围与其子标签不同。 父标签及其所有子标签必须具有相同的标签范围,才能使父标签被视为不适用。
  • 它包含在与其子标签不同的发布策略中。

创建的结果子标签的名称、标签 GUID 和设置与原始父标签相同。 如果不重新配置,此新子标签将可用于在以前无法将其选择为父标签的策略中。

注意

由于标签 GUID 在租户中是唯一的,因此后端服务和配置会使用这些 GUID 来可靠地标识敏感度标签。 例如,建议 使用 GUID 而不是标签名称来配置高级设置

为确保迁移后的业务连续性,新的子标签从适用的父标签继承 GUID,并为新标签组提供新的 GUID。

在迁移过程中查看建议的新标签方案时,可以在迁移标签之前确认是否有适用的父标签。 在以下示例中,将父标签 “机密 ”标识为适用的父标签,因此将创建同名的新子标签:

迁移过程显示适用的父标签,该标签将生成同名的新子标签。

用于从适用的父标签取消发布子标签的 PowerShell 脚本

这些 PowerShell 命令使用 安全性 & 合规性 PowerShell

脚本 1: 在迁移之前,运行以下命令以提取发布父标签的所有策略。

$parents = (Get-Label | ? { $_.ParentId -ne $null } | %{ echo $_.ParentId } | Sort-Object -Unique)
$parentLabels = ($parents | % { Get-Label -Identity $_.Guid })
$policyPublishingParent = @{}
$policies = Get-LabelPolicy; $parentLabels | % { $parent = $_.Name; $policies | ? { $_.Labels -contains $parent } | 
% { echo "$($_.Name) policy has published $parent"; $(If ($policyPublishingParent.Keys -notcontains $_.Name) { 
$policyPublishingParent[$_.Name] = @() }); $policyPublishingParent[$_.Name] += $parent } }

请勿关闭 PowerShell 会话,但在标签迁移期间保持打开状态。

脚本二: 迁移完成后,立即运行以下脚本,从适用的父标签中取消发布新创建的子标签:

$policyPublishingParent.Keys | % { $policyToRemove = $_; $policyPublishingParent.Item($policyToRemove) | % { 
Set-LabelPolicy -Identity $policyToRemove -RemoveLabels $_ }

迁移到新式标签方案

迁移正在逐步推出,因此,将父标签迁移到标签组可能尚不适用于你的租户。

  1. 登录到 Microsoft Purview 门户>解决 方案>>信息保护敏感度标签

  2. “敏感度标签 ”页上,如果看到信息横幅 “迁移到新式标签方案”,则租户可以使用标签迁移。 在此横幅中,选择“ 开始 ”以开始迁移:

    要迁移到新式标签方案的“敏感度标签”页上的信息横幅。

  3. “迁移到新式标签方案 ”浮出控件窗格中,可以看到迁移前后敏感度标签的摘要。 有关更多详细信息,请选择窗格底部的“ 查看新方案 ”按钮。 例如:

    标签迁移浮出控件窗格从“敏感度标签”页迁移到新式标签方案。

  4. 新建标签方案 ”页显示迁移的标签在 Microsoft Purview 门户中的外观,其中文件夹图标位于以前是父标签的旁边。 此页还会提醒你在迁移之前需要解决的任何命名冲突。 例如, “常规 ”父标签具有一个名为“ 常规”的子标签。 所有子标签都必须具有其父标签中的唯一名称。

    如果看到命名冲突,则必须退出迁移并更改其中一个标签名称。 然后再次运行迁移。

    可以使用“ 下载 ”按钮将副本保存到 CSV 文件。 默认名称为 NewLabelSchemecsv.csv。

    重要

    即使没有要解决的警报,也可以利用此机会仔细查看标签,并考虑在迁移之前对其进行更改,以便可以删除或最小化 适用的父标签,这些父标签将在不需要时创建新的子标签 。 进行更改后,请重启迁移,并从此页面再次检查迁移后的信息。

    例如,你可能具有从未用作独立标签但配置为加密或内容标记的父标签。 标签作是迁移创建你可能不需要的新子标签的原因之一。

  5. 准备好迁移标签后,选择“ 迁移 ”按钮。

    注意

    如果你有将创建新的子标签的适用父标签,并且你决定使用脚本自动取消发布它们,请在选择“迁移”之前运行“脚本一”。

    迁移过程不会花费很长时间,通常只需几分钟到一小时。 但是,作为预防措施,最多允许 24 小时。 迁移正在进行中,我们不建议对标签配置进行任何更改,因为这些更改可能会丢失。

    迁移完成后,浏览器将刷新,并显示新的标签方案,并显示一条消息,确认迁移已完成。

    注意

    如果你有 将创建新的子标签的适用父标签 ,并且你决定使用脚本自动取消发布它们,则现在运行 脚本二

后续步骤

有关管理已迁移标签的说明,请参阅 创建和配置敏感度标签。 查看新的标签组和迁移的标签,并进行任何所需的更改。 例如,重新配置或取消发布从父标签创建的任何新标签。

对于已迁移到标签组的父标签,以及现有子标签,用户不会看到或体验其应用中的任何更改。 例如, 优先级排序 行为相同,并且 默认子标签 将继续得到遵守。

  • Last updated on