在 SharePoint 和 OneDrive 中啟用支援的 Office 檔案和 PDF 內建標籤功能,讓使用者能在 Office 網頁版中套用敏感度標籤。 啟用此功能後,使用者會看到功能區上的 敏感 度按鈕,以便套用標籤,並在狀態列上查看任何已套用的標籤名稱。
在 SharePoint 上,使用者也可以從細節窗格查看並套用敏感度標籤。 此方法也可在 Teams 的 檔案 標籤中使用。
啟用此功能後,SharePoint 與 OneDrive 也能處理 Office 檔案內容,並可選擇性地處理已使用敏感性標籤加密的 PDF 文件。 標籤可在 Office 網頁版或 Office 桌面應用程式中套用,並上傳或儲存在 SharePoint 和 OneDrive。 在啟用此功能之前,這些服務無法處理加密檔案,這表示共同作者、電子發現、資料遺失防護、搜尋及其他協作功能無法對這些檔案有效。
在 SharePoint 和 OneDrive 啟用這些檔案的敏感度標籤後,對於新建或變更的檔案,這些檔案的敏感標籤是用雲端金鑰 (加密且不使用 雙重金鑰加密 的,) :
對於 Word、Excel 和 PowerPoint 檔案,以及已上傳的 PDF 檔案,SharePoint 和 OneDrive 都能辨識標籤,現在可以處理加密檔案的內容。
當使用者從 SharePoint 或 OneDrive 下載或存取這些檔案時,會強制執行敏感度標籤和標籤中的任何加密設定,並和檔案一起保留在檔案的儲存位置。 務必提供使用者指引,只使用標籤來保護文件。 如需詳細資訊,請參閱 資訊版權管理 (IRM) 選項和敏感度標籤。
當使用者上傳標籤且加密的檔案到 SharePoint 或 OneDrive 時,至少必須擁有這些檔案的 檢視使用權限 。 例如,他們可以在 SharePoint 外部開啟檔案。 如果他們沒有此最小使用權限,則雖上傳成功,但服務會無法識別標籤,也無法處理檔案內容。
使用 Office 網頁版 (Word、Excel、PowerPoint) 開啟和編輯具有套用加密之敏感度標籤的 Office 檔案。 系統會強制執行使用加密指派的權限。 你也可以使用 自動標籤 來處理這些文件。
外部使用者可以使用來賓帳戶存取標示為加密的文件。 如需詳細資訊,請參閱 支援外部使用者和已套用標籤的內容。
電子文件探索支援這些檔案的全文檢索搜索,而資料外洩防護 (DLP) 原則支援這些檔案中的內容。
注意事項
如果已使用內部部署金鑰 (通常稱為「保存您自己的金鑰」或 HYOK 的金鑰管理拓撲),或藉由使用 雙重金鑰加密 套用加密,則處理檔案內容的服務行為不會變更。 因此,這些檔案的共同作者、電子發現、資料遺失防止、搜尋及其他協作功能都無法運作。
針對在這些位置中使用單一 Azure 金鑰標示加密的現有檔案,SharePoint 和 OneDrive 行為也不會變更。 為了讓這些檔案在您於 SharePoint 和 OneDrive 中啟用 Office 檔案的敏感度標籤後,受益於新功能,您必須再次下載並上傳這些檔案,或編輯這些檔案。
在 SharePoint 與 OneDrive 啟用 Office 檔案敏感度標籤後,將有三個新的 稽核事件 可用來監控套用於 SharePoint 與 OneDrive 文件的敏感度標籤:
- 已將敏感度標籤套用到檔案
- 已變更套用到檔案的敏感度標籤
- 已將敏感度標籤從檔案移除
你隨時可以選擇在 SharePoint 和 OneDrive 中關閉 Office 檔案的敏感度標籤 (選擇退出) 。
如果您目前正在使用 SharePoint 資訊權限管理 (IRM) 來保護文件,請務必查看本頁的 SharePoint 資訊權利管理 (IRM) 與敏感性標籤 區塊。
需求
這些新功能僅 適用於敏感度標籤 。
在 Windows 上使用版本 19.002.0121.0008 或更新版的 OneDrive 同步處理應用程式,Mac 則使用版本 19.002.0107.0008 或更新版本。 這兩個版本均於2019年1月28日發行,目前已在所有戒指上架。 更多資訊請參閱 OneDrive 發布說明。 在 SharePoint 和 OneDrive 啟用 Office 檔案的敏感度標籤後,執行舊版同步應用程式的使用者會被提示更新。
支援的檔案類型
啟用 SharePoint 和 OneDrive 的敏感度標籤後,以下 Office 檔案類型將支援用於敏感度標籤的情境。
在 Office 網頁版或 SharePoint 中套用敏感標籤:
- Word:.docx,.docm
- Excel:.xlsx、.xlsm、.xlsb
- PowerPoint:.pptx,.ppsx
上傳已套用標籤的文件,然後擷取並顯示該敏感度標籤:
- Word:doc、.docx、.docm、.dot、.dotx、.dotm
- Excel:.xls、.xlt、.xla、.xlc、.xlm、.xlw、.xlsx、.xltx、.xlsm、.xltm、.xlam、.xlsb
- PowerPoint:.ppt、.pot、.pps、.ppa、.pptx、.ppsx、.ppsxm、.potx、.ppam、.pptm、.potm、.ppsm
新增對 PDF 的支援
您可以針對下列案例啟用 PDF 支援:
敏感度標籤不支援簽名的 PDF。
重要事項
請注意,啟用 PDF 支援可能會增加自動標註現有自動標籤政策的檔案數量,該政策每天最多支援 100,000 個檔案。
要開啟 Microsoft Purview 入口網站的支援:
登入 Microsoft Purview 入口網站>解決方案>資訊保護>敏感性標籤>政策自動>標註政策
然後,如果你看到 「用自動標籤保護 PDF」的訊息,請點選此橫幅確認你想為 SharePoint 和 OneDrive 的檔案開啟 PDF 保護。
或者,你也可以在使用 Set-SPOTenant cmdlet 搭配 EnableSensitivityLabelforPDF 參數時,使用 PowerShell 開啟 PDF 支援:
Set-SPOTenant -EnableSensitivityLabelforPDF $true
此 PDF 參數要求 SharePoint Online 管理命令介面的最低版本為 16.0.24211.12000。 如果你需要更多關於如何安裝此 PowerShell 模組或執行 cmdlet 的資訊,請參閱 本頁中啟用敏感性標籤支援的章節。
針對 Microsoft 365 多地理:與執行 PowerShell 指令以啟用敏感性標籤支援的指示類似,你必須連接每個地理位置,然後執行該指令以啟用 PDF 支援。
支援以使用者自訂權限設定的標籤
使用者自訂權限指的是一種加密設定,並設定:使用者在套用標籤時可分配權限,並在 Word、PowerPoint 和 Excel 中選擇使用者指定權限的勾選框。
啟用 SharePoint 和 OneDrive 的敏感性標籤後,可以檢查以使用者自訂權限標示的內容,進行搜尋、資料遺失防止及電子發現。 此功能僅適用於新上傳及編輯的檔案。
以下動作支援為使用者自訂權限設定的標籤:
當文件被標記為使用者自訂權限並上傳至 SharePoint 或 OneDrive,這些服務即可處理該文件,使其能在 Office 網頁版中開啟與編輯,標籤名稱也會顯示在敏感度欄位。
採用此配置的標籤現在會在 Office 網頁版中顯示。 然而,目前使用者無法在 Office 網頁版中套用這些標籤,若選擇這些標籤,使用者會看到指示他們使用桌面應用程式套用標籤的訊息。
如果使用者需要更改設定為使用者自訂權限的標籤,請確保你 已啟用以敏感標籤加密的檔案的共同作者功能。
若要支援自動儲存及共用這些加密檔案,使用桌面應用程式,您必須 啟用以敏感標籤加密的檔案共著功能。
此功能伴隨著加密行為的以下改變:
- 如果一個標有使用者自訂權限的現有檔案被重新標籤為不加加密的敏感性標籤,原始加密會被移除而非保留。 欲了解更多資訊,請參閱「 標籤套用時現有加密會發生什麼事」。
限制
SharePoint 和 OneDrive 無法處理某些從 Office 桌面應用程式中標記並加密的檔案,當這些檔案包含 PowerQuery 資料、自訂外掛儲存的資料,或自訂 XML 部分(如封面頁面屬性、內容類型架構、自訂文件資訊面板和自訂 XSN)時。 此限制同樣適用於包含 參考書目的文件,以及上傳時新增 文件 ID 的檔案。
對於這些檔案,可以套用未加密的標籤,以便之後能在 Office 網頁版中開啟,或指示使用者在桌面應用程式中開啟檔案。 只有在 Office 網頁版中有標籤和加密的檔案不會受到影響。
如果標籤是在啟用這些敏感度標籤服務之前就套用的,SharePoint 和 OneDrive 就不支援敏感度標籤。 標籤不會被辨識,如果標籤被加密,內容也不會被處理。 為了讓 SharePoint 和 OneDrive 支援標籤和加密,請先下載這些檔案,然後上傳到原始位置。
使用者在使用 Office 網頁版時,無法套用自訂權限的敏感度標籤。
當施加加密的標籤有以下任一 加密設定時,SharePoint 和 OneDrive 無法處理加密檔案:
使用者的內容存取權到期日 設定為 永不 以外的值。
使用雙重金鑰加密 已選取。
對於採用上述加密配置的標籤,Office 網頁版中不會顯示給使用者看。 如果它們是父標籤,這表示使用者不會看到該標籤的子標籤,即使子標籤沒有設定為加密。
此外,這些新功能無法用於已經有這些加密設定的標籤文件。 例如,這些文件即使更新後,也不會被回傳到搜尋結果中。
當文件有密碼保護時,SharePoint 和 OneDrive 無法讀取或套用敏感度標籤。
出於效能考量,當你上傳或儲存文件到 SharePoint 時,檔案標籤沒有加密,文件庫中的 敏感度 欄位顯示標籤名稱可能會花一段時間。 如果你使用依賴本欄標籤名稱的腳本或自動化,請考慮這個延遲。
如果文件在 SharePoint 中結 出時有標籤,文件庫中的 敏感 度欄位不會顯示標籤名稱,直到文件簽入並下一次在 SharePoint 開啟時才會顯示。
如果一個使用服務主體名稱的應用程式或服務從 SharePoint 或 OneDrive 下載了一份標籤且加密的文件,然後再上傳並加上不同加密設定的標籤,上傳就會失敗。 例如,Microsoft Defender for Cloud Apps 將檔案上的敏感性標籤從機密改為高度機密,或從機密改為一般。
如果應用程式或服務先執行 Unlock-SPOSensitivityLabelEncryptedFile 指令檔,上傳不會失敗,如 「移除標籤文件 加密」章節所述。 或者,在上傳前,原始檔案會被刪除,或是檔案名稱被更改。
使用者在以下「另存為」情境下,可能會遇到開啟加密文件的延遲:在桌面版 Office 中,使用者選擇「另存為」來處理帶有敏感標籤且會加密的文件。 使用者選擇 SharePoint 或 OneDrive 作為該地點,然後立即嘗試在 Office 網頁版中開啟該文件。 如果服務仍在處理加密,使用者會看到訊息表示必須在桌面應用程式中開啟該文件。 如果幾分鐘後再試一次,文件就能在 Office 網頁版成功開啟。
對於加密文件,Office 網頁版不支援列印、下載、匯出和建立副本。
在 Office 網頁版中,加密文件不會被禁止截圖。 然而,當文件有標籤且加密,且未授予複製使用權時,Office 網頁版會阻止複製到剪貼簿,就像桌面應用程式防止複製一樣。
預設情況下,Office 桌面版和行動版應用程式不支援對標示為加密的檔案進行共同作者。 這些應用程式仍以專屬編輯模式開啟標籤且加密的檔案。 要更改預設行為,請參見 啟用以敏感標籤加密的檔案共著。
如果管理員更改已套用到使用者同步客戶端檔案的已發佈標籤設定,使用者可能無法將他們對檔案所做的更改存入 OneDrive Sync 資料夾。 這種情況適用於標有加密的檔案,以及當標籤變更是從未加加密的標籤變成有加密的標籤時。 使用者會看到 一個紅色圓圈,並出現白色十字圖示錯誤,並被要求將新變更儲存為獨立副本。 相反地,他們可以關閉並重新開啟檔案,或使用 Office 網頁版。
當條件標籤設定僅針對敏感資訊類型時,則支援自動標籤的敏感標籤,適用於 Office 網頁版。 當條件包含可訓練分類器時,Office 網頁版不支援自動標籤。
使用者在離線或進入睡眠模式後,若不是使用 Office 網頁版,而是使用 Word、Excel 或 PowerPoint 的桌面與行動應用程式,可能會遇到儲存問題。 這些使用者在恢復 Office 應用程式並嘗試儲存變更時,會看到上傳失敗訊息,並有選擇儲存副本而非原始檔案的選項。
以下加密方式的文件無法在 Office 網頁版中開啟:
- 使用本地金鑰 (「持有自己的金鑰」或 HYOK)
- 採用雙重金鑰加密所施加的加密
- 例如,透過直接套用權利管理保護範本,獨立於標籤套用加密。
其他 語言 的標籤不支援,且只顯示原始語言。
如果你刪除了在 SharePoint 或 OneDrive 中套用到文件上的標籤,而不是從適用的標籤政策中移除該標籤,那麼下載後的文件就不會被標記或加密。 相比之下,若標籤文件存放於 SharePoint 或 OneDrive 之外,刪除標籤後文件仍保持加密狀態。 請注意,雖然測試階段可能會刪除標籤,但在生產環境中刪除標籤的情況非常罕見。
當一個標記且加密的 Office 檔案大於 12 MB 被複製或移至其他網站時,SharePoint 將無法再處理該檔案。 因此,敏感度欄位不會顯示標籤名稱,使用者無法使用 Office 網頁版開啟檔案。 使用者在使用 Office 用戶端應用程式時可以成功開啟該檔案。
如何啟用 SharePoint 和 OneDrive 的敏感度標籤 (選擇加入)
注意事項
啟用 SharePoint 與 OneDrive 的敏感度標籤,也同時啟用 Loop 元件與頁面的敏感度標籤。 欲了解更多資訊,請參閱使用 Microsoft Loop 的敏感標籤。
你可以透過 Microsoft Purview 入口網站或使用 PowerShell 來啟用這些新功能。 請參考以下章節的說明。
如同 SharePoint 和 OneDrive 的所有租用戶層級設定變更,該變更大約需要 15 分鐘的時間才會生效。
利用入口網站啟用敏感性標籤的支援
這個選項是啟用 SharePoint 和 OneDrive 敏感度標籤最簡單的方法,你必須以全域管理員身份登入租戶。
登入 Microsoft Purview 入口網站>解決方案>資訊保護>敏感標籤。
如果你看到訊息要開啟 Office 線上檔案中處理內容的功能,請選擇 立即開啟:
指令會立即執行,下一次重新整理頁面時,你就看不到訊息或按鈕了。
注意事項
如果您有 Microsoft 365 多地理位置,則必須使用 PowerShell 為所有地理位置啟用這些功能。 如需詳細資料,請參閱下一節。
使用 PowerShell 來啟用敏感性標籤的支援
作為使用 Microsoft Purview 入口網站的替代方案,你可以使用 SharePoint Online PowerShell 中的 Set-SPOTenant 指令檔來啟用敏感性標籤的支援。
如果您有 Microsoft 365 多地理位置,則必須使用 PowerShell 來啟用所有地理位置的這項支援。
準備 SharePoint Online 管理命令介面
在您執行 PowerShell 命令以在 SharePoint 和 OneDrive 中啟用 Office 檔案的敏感度標籤之前,請確定您執行的是 SharePoint Online 管理命令介面 16.0.19418.12000 版或更新版本。 如果你已經有最新版本,可以跳到 下一個程序 執行 PowerShell 指令。
如果您已安裝來自 PowerShell 資源庫的舊版 SharePoint Online 管理命令介面,您可以執行下列 Cmdlet 來更新模組。
Update-Module -Name Microsoft.Online.SharePoint.PowerShell另外,如果你已從 Microsoft 下載中心安裝過 SharePoint Online 管理命令介面的舊版本,也可以選擇新增或移除程式,並卸載 SharePoint Online 管理命令介面。
在網頁瀏覽器中,移至下載中心頁面,並下載最新的 SharePoint Online 管理命令介面。
選取語言,然後按一下 [下載]。
在 x64 和 x86 .msi 檔案之間選擇。 如果您執行的是 64 位元版本的 Windows,請下載 x64 檔案;或如果您執行的是 32 位元版本,請下載 x86 檔案。 如果您不知道,請參閱 我正在執行哪個版本的 Windows 作業系統?
下載完檔案後,執行該檔案並依照設定設定中的步驟操作。
執行 PowerShell 指令以啟用敏感度標籤的支援
要啟用新功能,請使用 Set-SPOTenant 指令檔搭配 EnableAIPIntegration 參數:
使用在 Microsoft 365 中擁有 SharePoint 管理員權限的工作或學校帳號,連接 SharePoint。 若要了解如何進行,請參閱開始使用 SharePoint Online 管理命令介面。
注意事項
如果您有 Microsoft 365 多地理位置,請使用 -Url 參數,搭配 Connect-SPOService,並為其中一個地理位置指定 SharePoint Online 系統管理中心網站 URL。
執行以下指令並按 Y 鍵確認:
Set-SPOTenant -EnableAIPIntegration $true針對 Microsoft 365 多地理:對剩餘的每個地理位置重複步驟 1 和 2。
發佈與變更敏感標籤
當你在 SharePoint 和 OneDrive 使用敏感度標籤時,請記得在發布新的敏感度標籤或更新現有敏感度標籤時,需要預留複製時間。 這對於新標籤採用加密尤其重要。
舉例來說:你建立並發布一個新的敏感性標籤,該標籤會套用加密,然後它很快就會出現在使用者的桌面應用程式中。 使用者將此標籤套用到文件上,然後上傳到 SharePoint 或 OneDrive。 如果服務的標籤複製尚未完成,上傳時新功能不會套用到該文件上。 因此,該文件不會在搜尋或電子發現中被回傳,且無法在 Office 網頁版中開啟。
如需標籤時間表的詳細資訊,請參閱新標籤和變更何時會生效。
作為保障,我們建議先將新標籤發布給少數測試用戶,等待至少一小時,然後在 SharePoint 和 OneDrive 上驗證標籤行為。 至少等一天,才能讓更多使用者使用該標籤,方法是新增更多使用者到現有標籤政策,或是把標籤加入標準使用者的現有標籤政策。 當你的標準使用者看到標籤時,它已經同步到 SharePoint 和 OneDrive。
SharePoint 資訊權利管理 (IRM) 與敏感性標籤
SharePoint 資訊權利管理 (IRM) 是一項較舊的技術,透過在檔案下載時施加加密與限制,保護清單與函式庫層級的檔案。 這種較舊的保護技術設計目的是防止未經授權的使用者在檔案在 SharePoint 外時打開。
相比之下,敏感性標籤除了加密外,還提供視覺標記 (標題、頁腳、浮水印) 的保護設定。 加密設定支援完整的 使用權限 ,限制使用者對內容的使用權限,且 在許多情境下也支援相同的敏感度標籤。 使用相同的防護方法,並在不同工作負載和應用程式間設定一致,能產生一致的防護策略。
不過,你可以同時使用兩種保護方案,其行為如下:
如果你上傳帶有敏感標籤且加密的檔案,SharePoint 無法處理這些檔案的內容,因此這些檔案不支援共同作者、電子發現、資料移除(DLP)和搜尋功能。
如果你用 Office 網頁版標籤檔案,標籤上的加密設定都會被強制執行。 這些檔案支援共同撰寫、電子發現、資料資料處理(DLP)及搜尋功能。
如果你下載的檔案是用 Office 網頁版標註的,標籤會保留,且標籤上的加密設定會被強制執行,而不是 IRM 限制設定。
如果你下載的 Office 或 PDF 檔案沒有加密並附上敏感度標籤,就會套用 IRM 設定。
如果你啟用了任何額外的 IRM 函式庫設定,包括防止使用者上傳不支援 IRM 的文件,這些設定都會被強制執行。
透過這種行為,你可以放心所有 Office 和 PDF 檔案如果被下載,即使沒有標示,都會受到未經授權的存取保護。 然而,已上傳的標籤檔案將無法享受新功能。
依敏感度標籤搜尋文件
使用受管理屬性 InformationProtectionLabelId 來尋找 SharePoint 或 OneDrive 中所有具有特定敏感標籤的文件。 請使用以下語法: InformationProtectionLabelId:<GUID>
例如,要搜尋所有標示為「機密」且該標籤的 GUID 為「8faca7b8-8d20-48a3-8ea2-0f96310a848e」的文件,請在搜尋框輸入:
InformationProtectionLabelId:8faca7b8-8d20-48a3-8ea2-0f96310a848e
搜尋在壓縮檔案(如 .zip 檔案)中找不到有標籤的文件。
要取得敏感標籤的 GUID,請使用 Get-Label 指令檔:
首先,連接Office 365安全 & 合規 PowerShell。
例如,在你以管理員身份執行的 PowerShell 工作階段中,請用合規管理員帳號登入。
接著執行以下指令:
Get-Label |ft Name, Guid
欲了解更多使用受管理屬性的資訊,請參閱 SharePoint 中的搜尋結構管理。
移除標籤文件的加密
偶爾 SharePoint 管理員需要移除儲存在 SharePoint 文件中的加密功能。 任何擁有該文件「匯出」或「完全控制權」的權利管理使用權的使用者,都可以移除 Azure 權利管理服務對 Microsoft Purview 資訊保護所施加的加密。 例如,擁有上述任一使用權的使用者,可以將帶有加密的標籤替換為未加密的標籤。 超級使用者也可以下載檔案並儲存本地副本,無需加密。
作為替代方案, SharePoint 管理員 可以執行 Unlock-SPOSensitivityLabelEncryptedFile 指令檔,移除敏感標籤與加密。 即使管理員沒有網站或檔案的存取權限,或 Azure 權利管理服務無法使用,這個 cmdlet 也會執行。
例如:
Unlock-SPOSensitivityLabelEncryptedFile -FileUrl "https://contoso.com/sites/Marketing/Shared Documents/Doc1.docx" -JustificationText "Need to decrypt this file"
要求:
SharePoint Online 管理命令介面版本為 16.0.20616.12000 或更新版本。
加密是透過敏感性標籤套用,管理員定義加密設定 (「 立即分配權限 」標籤設定) 。 此 cmdlet 不支援雙重金鑰加密。
對齊文字會被加入「從檔案移除敏感標籤」的稽核事件中,解密動作也會記錄在 Azure 權利管理服務的使用日誌中。
如何停用 SharePoint 和 OneDrive 的敏感度標籤 (選擇退出)
如果你停用這些新功能,啟用 SharePoint 和 OneDrive 敏感度標籤後上傳的檔案仍會受到標籤保護,因為標籤設定仍會被強制執行。 當你在關閉這些新功能後,對新檔案套用敏感度標籤,全文搜尋、電子發現和共同撰寫將不再有效。
要停用這些新功能,必須使用 PowerShell。 使用 SharePoint Online 管理命令介面與 Set-SPOTenant 指令檔,指定與「使用 PowerShell 以啟用敏感度標籤」區塊中描述的相同 EnableAIPIntegration 參數。 但這次,將參數值設為 false,並按 Y 確認:
Set-SPOTenant -EnableAIPIntegration $false
如果你有 Microsoft 365 Multi-Geo,你必須對每個地理位置執行這個指令。
後續步驟
在您啟用 SharePoint 和 OneDrive 檔案敏感度標籤後,請考慮使用以下其中一種或兩種標籤方式自動標註檔案:
- 為文件庫、新建及編輯的 SharePoint 檔案套用預設敏感度標籤。 如需詳細資訊,請參閱 設定 SharePoint 文件庫的預設敏感度標籤。
- 自動標註政策,使用內容檢查功能來檢視 SharePoint 和 OneDrive 中的檔案。 欲了解更多資訊,請參閱 「自動套用敏感標籤於 Microsoft 365 資料」。
需要與組織外的人員共用您的已套用標籤且加密之文件嗎? 請參閱與外部用戶共用加密文件。