如需敏感度標籤為何及其如何可協助您保護組織資料的相關資訊,請參閱了解敏感度標籤。
當您準備好要開始使用敏感度標籤來保護組織的資料時:
建立標籤。 根據貴組織用於不同內容敏感度層級的分類法,建立您的敏感度標籤並加以命名。 使用對您的使用者有意義的一般名稱或字詞。 如果您還沒有建立分類法,請考慮從 [個人]、[公用]、[一般]、[機密] 和 [高度機密] 等標籤名稱著手。 您可以接著使用子標籤,依類別將類似的標籤群組。
每個標籤請指定提示,幫助使用者選擇合適的標籤,並考慮包含具體範例。 不過,不要讓提示太長讓使用者看不懂,也要注意有些應用程式可能會截斷冗長的提示。
注意事項
關於一些推薦範例,請參閱 預設敏感度標籤的標籤名稱與描述。 關於定義分類分類法的更多指引,請參見 資料分類 & 敏感性標籤分類法。
務必測試並調整敏感度標籤名稱與工具提示,與需要套用的人溝通。
定義每個標籤的功能。 設定您想要與每個標籤相關聯的保護設定。 例如,您可能希望將較低敏感度內容 (如「一般」標籤) 僅套用到頁首或頁尾,而較高敏感度內容 (如「機密」標籤) 則具有浮水印和加密。
發佈標籤。 設定好敏感度標籤之後,請使用標籤原則加以發佈。 決定哪些使用者和群組應具有標籤,以及所要使用的原則設定。 單一標籤可重複使用;您只要定義一次,就可以將它納入指派給不同使用者的數個標籤原則中。 例如,您可以將標籤原則指派給少數幾個使用者來試驗您的敏感度標籤。 當您準備好在整個組織推出標籤時,您可以為標籤建立新的標籤原則,而這次指定所有使用者。
提示
您可能符合自動建立預設標籤和預設標籤原則, 為您維護步驟 1-3。 如需詳細資訊, 請參閱 Microsoft Purview 資訊保護的預設標籤和原則。
部署與套用敏感性標籤的基本流程總結如下圖。 它識別管理員、終端使用者,以及分別建立標籤、套用標籤並執行標籤設定的 Office 或第三方應用程式或服務的角色與操作。
敏感標籤的授權與帳單要求
多種不同的用戶訂閱支援 Microsoft 365 應用程式與服務的敏感度標籤,使用者的授權要求依你所使用的功能而定。 管理員也需要授權來管理敏感性標籤。
若要查看授權使用者使用 Microsoft Purview 功能的選項,請參閱 Microsoft 365 安全性與合規性的授權指引。 針對敏感度標籤,請參閱 資訊保護:敏感度標籤 一節,以及相關的功能層級授權需求的 PDF 下載。
針對非 Microsoft 365 資料來源,若要在資料地圖中套用敏感性標籤並使用保護政策,則需在組織內設定 隨用付費計費 。
提示
由於這些解決方案的功能使用隨用付費計費或 Microsoft Purview 的每位用戶授權,你可能會覺得使用 使用 中心有助於理解和管理使用狀況。 欲了解更多資訊,請參閱 「管理隨用付費及每位使用者授權使用」。
建立和管理敏感度標籤所需的權限
重要事項
Microsoft 建議您使用權限最少的角色。 以全域管理員角色最小化使用者數量,有助於提升組織的安全。 了解更多關於 Microsoft Purview 角色與權限的資訊。
負責建立與敏感性標籤的合規團隊成員需要取得 Microsoft Purview 入口網站的權限。 你可以使用以下角色群組:
- 資訊保護
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
關於每個角色及其包含的角色說明,請在 Microsoft Purview 入口網站選擇角色群組,然後在飛出視窗中查看描述。 或者,請參閱 Microsoft Defender 中的角色群組,了解 Office 365 和 Microsoft Purview 合規性。
或者,除了使用預設的角色群組外,你也可以建立一個新的角色群組,並將 敏感度標籤管理員 角色加入該群組。 唯讀角色請使用 [敏感度標籤讀取器]。
另一個選項是將使用者加入 合規資料管理員、 合規管理員或 安全管理員 角色群組。
關於設定說明,請參閱 Microsoft Purview 入口網站的權限。
只有建立及設定敏感度標籤及其標籤原則時,才需要這些權限。 您不需要在應用程式或服務中套用這些標籤。 如果與敏感度標籤相關的特定設定需要其他權限,則這些權限會列在個別的文件指示中。
行政單位支援
敏感性標籤支援已在 Microsoft Entra ID 中設定的管理單元:
你可以將管理單位指派給使用 Microsoft Purview 資訊保護的角色群組成員。 編輯這些角色群組並選擇個別成員,然後選擇「指派管理單位」選項,從 Microsoft Entra ID 中選擇管理單位。 這些管理員現在只能管理這些行政單位中的使用者。
你可以在建立或編輯敏感標籤政策和自動標籤政策時,定義這些政策的初始範圍。 當您選擇 Exchange 和 OneDrive 的管理單元時,只有這些管理單元內的使用者才有資格申請該政策。 當您選擇 SharePoint 的管理單位時,只有該管理單位內的站點才符合該政策的適用資格。
保護政策 不支持行政單位。
管理單元的配置及其成員資格的準確性是 Microsoft Entra ID 的相依關係。 雖然管理單元的主要目的是確保最小權限的安全最佳實踐,但使用管理單元來管理標籤政策可以簡化其設定與維護。
例如,您的組織已為特定國家設定行政單位,您需要為法國用戶發布新的敏感度標籤,並為這些使用者指派特定的政策設定:
你登入 Microsoft Purview 入口網站。 您的帳號是資訊保護管理員角色群組的成員,且您在該角色群組中的帳戶已被分配到法國、德國和西班牙的行政單位。
當你建立敏感度標籤政策時,只會看到三個管理單位,並選擇法國的一個,保留所有使用者和群組的預設值。
此設定會自動將政策範圍涵蓋法國所有使用者。 你不必擔心要選擇哪些群組或手動選擇使用者。 當法國有新用戶時,你也不用擔心政策變更,因為這項變更由 Microsoft Entra 的管理單位負責處理。
欲了解更多關於 Microsoft Purview 如何支援管理單位的資訊,請參見「行政單位」。
敏感度標籤的部署策略
為組織部署敏感度標籤的成功策略是建立工作虛擬小組,以識別及管理業務和技術需求、概念驗證、測試、內部檢查點和核准,以及生產環境的最後部署。
建議使用下一章的表格,確定與影響最大的業務需求對應的前兩種情況。 部署這些案例之後,請回到清單以確定下一個或下兩個部署的優先順序。
提示
為了加速部署,請使用 Microsoft Purview 入口網站資訊保護的概覽頁面,查看貴組織專屬的標籤建議與報告,以及更多資訊。
敏感度標籤的常見案例
所有案例均會要求您建立及設定敏感度標籤及其原則。
| 我想要... | 文件 |
|---|---|
| 管理 Office 應用程式的敏感度標籤,讓內容標示為已建立 — 包括在所有平台上的手動標籤支援 | 在 Office 應用程式中使用敏感度標籤 |
| 將標籤延伸至 Windows 檔案總管與 PowerShell | 在 Windows 上延伸敏感度標籤 |
| 使用敏感度標籤加密文件和電子郵件,並限制能夠存取該內容的人員以及使用方式 | 使用敏感度標籤來套用加密以限制存取內容 |
| 確保 SharePoint 網站的文件在下載檔案時仍保留現有權限,並保護文件免於移動與複製 | 設定帶有敏感性標籤的 SharePoint 以擴展權限至已下載的文件 |
| 保護 Teams 會議,從會議邀請與回應,到會議本身及相關聊天內容的保護 | 使用敏感度標籤來保護行事曆項目、Teams 會議和聊天 |
| 保護 Teams 語音信箱訊息 | 在您的組織中啟用受保護的語音信箱 |
| 啟用 Office 網頁版敏感性標籤,支援共同撰寫、電子發現、資料遺失防止及搜尋——即使文件已加密 | 對 SharePoint 和 OneDrive 中的檔案啟用敏感度標籤 |
| 使用敏感標籤搭配 Microsoft Loop 來保護 Loop 內容 | 使用敏感度標籤搭配 Microsoft Loop |
| SharePoint 中要使用預設敏感度標籤自動加上標籤的檔案 | 設定 SharePoint 文件庫的預設敏感度標籤 |
| 當檔案加密時,在 Office 桌面應用程式中使用共同撰寫和自動儲存 | 針對使用敏感度標籤加密的檔案啟用共同撰寫 |
| 自動將敏感度標籤套用至文件和電子郵件 | 自動對 Microsoft 365 資料套用敏感標籤 |
| 使用敏感度標籤來保護 Teams 和 SharePoint 中的內容 | 對 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站使用敏感度標籤 |
| 使用敏感度標籤設定 SharePoint 和 OneDrive 中的網站和個別文件的預設共用連結類型 | 使用敏感度標籤,在 SharePoint 和 OneDrive 中設定網站和文件的預設共用連結 |
| 將敏感度標籤套用至文件瞭解模型, 以自動分類及保護 SharePoint 文件庫中已識別的文件 | 在 Microsoft Syntex 中對模型套用敏感標籤 |
| 防止或警告使用者共用具有特定敏感度標籤的檔案或電子郵件 | 在 DLP 原則中使用敏感度標籤做為條件 |
| 當我收到包含個人資料的內容正在共用且需要保護的警示時,將敏感度標籤套用至檔案。 | 調查及修復隱私權風險管理中的警示 |
| 使用保留標籤來保留或刪除具有特定敏感度標籤的檔案或電子郵件 | 自動套用保留標籤以保留或刪除內容 |
| 探索、標記和保護儲存在內部部署資料存放區中的檔案 | 部署資訊保護掃描器以自動分類與保護檔案 |
| 探索、標記和保護儲存在雲端的資料存放區中的檔案 | 探索、分類、標記和保護儲存在雲端中的控管和敏感性資料 |
| 使用具有與檔案和電子郵件敏感度標籤相同的敏感度標籤為 SQL 資料庫資料行加上標籤,讓組織擁有統一的標籤解決方案,可在匯出此結構化資料時持續保護 |
適用於 Azure SQL 資料庫、Azure SQL 受控執行個體和 Azure Synapse Analytics 的資料探索和分類 適用於 SQL Server 內部部署的 SQL 的資料探索和分類 |
| 在 Power BI 中套用和檢視標籤,並在服務外儲存該資料時加以保護 | 在 Power BI 套用敏感度標籤 |
| 在 Microsoft Fabric 中標註項目,以限制存取權限並授予使用者唯讀或完全控制權限 | 建立並管理 Fabric 的保護政策 |
| 監視並了解組織中使用敏感度標籤的方法 |
報告概述 此外,請參閱 Microsoft Purview 入口網站的資訊保護報告 |
| 我所在組織的審計敏感性標籤 | 稽核日誌活動- 敏感性標籤活動 |
| 根據所適用的敏感性標籤,如機密與高度機密,識別電子發現案件的內容 | 使用條件建構器在電子發現中建立搜尋查詢 |
| 將敏感度標籤延伸至第三方應用程式和服務 | Microsoft 資訊保護 SDK |
| 將敏感度標籤延伸到 Microsoft Purview 資料對應資產中的內容,例如 Azure Blob 儲存體、Azure 檔案、Azure Data Lake Storage 和多雲端資料來源 | Microsoft Purview 資料對應中的標籤 |
敏感度標籤的使用者文件
最有效的使用者文件會是您為所選的標籤名稱和組態提供的自訂指導方針和指示。 您可以使用標籤原則設定為使用者提供自訂說明頁面的連結,以指定本文件的內部連結。
在 Office 應用程式中,使用者可以輕鬆從 敏感度 按鈕的 「了解更多」 選單中存取自訂的幫助。 如果你在政策設定中沒有指定連結,使用者在他們的應用程式中就不會看到這個選單選項。
從 Windows 檔案總管的 Microsoft Purview 資訊保護檔案說明欄,使用者可以在檔案標籤框中存取「幫助與回饋>告訴我更多」的自訂說明。
你可以使用以下資源來獲取基本指示:
如果您的敏感度標籤為 PDF 文件套用加密,則可在 Windows 或 Mac 上使用 Microsoft Edge 開啟這些文件。 欲了解更多資訊,請參閱「 使用 Windows 或 Mac 上的 Microsoft Edge 查看受保護 PDF」。