建立及管理敏感度標籤

  • 8 分鐘

Microsoft Purview 資訊保護的敏感度標籤可讓您分類保護貴組織的資料,同時確保使用者生產力和進行共同作業的能力不受影響。 敏感度標籤允許 Teams 系統管理員保護和規範小組內共同作業期間所建立之敏感性組織內容的存取。

組織可以使用敏感度標籤來:

  • 提供包含加密和內容標記的保護設定。

  • 保護不同平台和裝置之間 Office 應用程式中的內容。

  • 使用 Microsoft Defender for Cloud Apps 保護第三方應用程式和服務中的內容。

  • 保護容器,其中包括 Teams、Microsoft 365 群組和 SharePoint 網站。

  • 將敏感度標籤延伸至 Power BI。

  • 將敏感度標籤延伸至 Microsoft Purview 資料對應中的資產。

  • 將敏感度標籤延伸至第三方應用程式和服務。

  • 不使用任何保護設定而將內容分類。

標籤範圍

當您建立敏感度標籤時,系統會要求您設定標籤的範圍,這會決定兩件事:

  • 您可以針對該標籤設定的標籤設定

  • 標籤將向使用者顯示的位置

您可以將敏感度標籤套用至以下範圍:

  • 檔案和電子郵件:電子郵件和 Office 檔案

  • 群組和網站:Microsoft Teams 網站,Microsoft 365 群組和 SharePoint 網站

  • 架構化資料資產

    敏感度標籤的 [範圍] 選項之螢幕擷取畫面。

群組和網站 (容器) 的敏感度標籤設定

除了使用 敏感度標籤 來保護文件和電子郵件,您也可以使用敏感度標籤來保護下列容器中的內容: Microsoft Teams 網站、Microsoft 365 群組 (之前的 Office 365 群組) 和 SharePoint 網站。 針對此容器層級保護,使用下列標籤設定:

  • 小組網站和 Microsoft 365 群組的隱私權 (公用或私人)
  • 外部使用者存取
  • 透過 SharePoint 網站進行外部共用
  • 從未受管理的裝置存取
  • 驗證內容
  • 防止針對具有此功能的使用者探索私人小組 (預覽)
  • 小組邀請的共用頻道控制 (預覽)
  • SharePoint 網站的預設共用連結 (僅限 PowerShell 設定)
  • 僅限 PowerShell 設定 (網站共用設定)
  • 頻道會議的預設標籤

隱私權和外部使用者存取設定

設定 [隱私權][外部使用者存取] 設定。

  • 隱私權:如果您希望組織中的所有人都能存取套用此標籤的小組網站或群組,請保留 公用 的預設值。

    如果您希望僅限組織中經核准的成員能存取,請選取 [私人]

    如果您想要使用敏感度標籤來保護容器中的內容,但仍讓使用者自行設定隱私權設定,則選取 [無]

    將此標籤套用至容器時,請選取 [公用] 或 [私人] 設定來設定和鎖定隱私權設定。 您選擇的設定會取代先前為小組或群組設定的任何隱私權設定,並鎖定隱私權值,因此必須先移除容器的敏感度標籤才能變更隱私權設定。 移除敏感度標籤後,標籤的隱私權設定會保留,使用者現在便可再次變更隱私權設定。

  • 外部使用者存取:控制群組擁有者是否可以將來賓新增至群組。

    隱私權和外部使用者存取設定螢幕擷取畫面。

裝置外部共用和裝置存取設定

若要設定 [從已套用標籤的 SharePoint 網站控制外部共用][使用 Azure AD 條件式存取來保護已套用標籤的 SharePoint 網站] 設定。

  • 從已套用標籤的 SharePoint 網站控制外部共用:選取這個選項,然後為任何人、新的及現有的來賓、現有的來賓,或僅限您組織中的人員選取外部共用。

  • 使用 Azure AD 條件式存取來保護已套用標籤的 SharePoint 網站:只有在您的組織已設定並使用 Azure Active Directory 條件式存取時,才選取此選項。 然後,請選取下列其中一個設定:

    • 決定使用者是否可以從未受管理的裝置存取 SharePoint 網站:此選項使用 Azure AD 條件式存取的 SharePoint 功能,或者封鎖或限制從未受管理的裝置存取 SharePoint 和 OneDrive 內容。

    • 選擇現有的驗證內容:此選項可讓您在使用者存取已套用此標籤的 SharePoint 網站時,強制執行更嚴格的存取條件。 當您選取已針對貴組織的條件式存取部署建立和發佈的現有驗證內容時,會強制執行這些條件。 如果使用者不符合已設定的條件,或者他們使用不支援驗證內容的應用程式,則拒絕他們存取。

      裝置外部共用和裝置存取設定的螢幕擷取畫面。

當您將此敏感度標籤套用至支援的容器時,標籤會自動將分類和保護設定套用至連線的網站或群組。 不過,這些容器中的內容不會繼承分類的標籤和設定 (如視覺標記或加密)。

  • 請確定已對 SharePoint 和 OneDrive 中的 Office 檔案啟用敏感度標籤,以便使用者可以為其在 SharePoint 網站或小組網站中的文件加上標籤。

    SharePoint 和 OneDrive 中 Office 檔案已啟用敏感度標籤的螢幕擷取畫面。

  • 您可以在該標籤符合您指定的條件時,自動將其指派給檔案和電子郵件。 如需更多資訊,請參閲 自動將敏感度標籤套用到內容

    當標籤符合條件時,自動將其指派至檔案和電子郵件的螢幕擷取畫面。

為群組和網站啟用敏感度標籤

在您啟用此功能之前,不會顯示 [網站和群組設定] 的設定選項。

注意事項

Azure AD 和 MSOnline PowerShell 模組已規劃淘汰,並移至 Microsoft Graph PowerShell。 下列命令已更新,以反映 Microsoft Graph PowerShell 的命令。

  1. 在您的電腦上開啟 Windows PowerShell 視窗。

  2. 聯機到 Microsoft Graph。

    Connect-MgGraph

  3. 擷取組織的目前群組設定。

    $Setting = Get-MgDirectorySetting -Id (Get-MgDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id

    注意事項

    如果尚未為此 Azure AD 組織建立任何群組設定,則必須先建立設定。 按照 用於設定群組設定的 Azure Active Directory cmdlet 中的步驟為此 Azure AD 組織建立群組設定。

  4. 啟用功能:

    $Setting["EnableMIPLabels"] = "True"

  5. 然後儲存變更並套用設定:

    Set-MgDirectorySetting -Id $Setting.Id -DirectorySetting $Setting

    注意事項

    如果您在 2019 年 9 月之前使用了敏感度標籤,您還需要將敏感度標籤與 Azure AD 同步。

如需詳細資訊和指示,請參閱 如何啟用容器的敏感度標籤並同步處理標籤

建立及發佈敏感度標籤

全域系統管理員可以從 Microsoft Purview 合規性入口網站網站建立和管理敏感度標籤。

如需其他指引和指示,請 參閱建立和發佈敏感度標籤

  1. 移至 Microsoft Purview 合規性入口網站>[資訊保護]

  2. 選取 [標籤] 索引標籤上的 [+ 建立標籤],以啟動 [新增敏感度標籤] 精靈。

  3. [為標籤命名並建立工具提示] 頁面上,提供資訊。

  4. [定義此標籤的範圍] 頁上,選取 [群組和網站] 或其他範圍。

    選取的選項會決定標籤的範圍,用於您可以設定的設定,以及它們在發佈時會顯示的位置

  5. 請遵循標籤設定精靈中的提示進行,以完成建立。

    網站和群組設定索引標籤的螢幕擷取畫面。

建立敏感度標籤後,您需要 透過建立標籤原則來發佈敏感度標籤。 包含此標籤、獲指派敏感度標籤原則的使用者將可以為網站和群組選取它。

將標籤套用至小組、群組或網站時,只有這些網站和群組設定會生效。 其他標籤設定,例如加密和內容標記,均不會套用至小組、群組或網站內的內容。

在 Teams 中使用敏感度標籤

系統管理員可以建立敏感度標籤,在小組建立期間套用該標籤時,允許使用者建立具有特定隱私權 (公開或私人) 設定的小組。

例如,系統管理員建立了名為「機密」的敏感度標籤,其原則是使用此標籤建立的任何小組都必須是私人團隊。 當使用者建立新小組並選取 [機密] 標籤時,使用者唯一可用的隱私權選項是 [私人]。 其他隱私權選項 (如 [公開] 和 [全組織]) 對使用者停用。

[機密] 敏感度標籤螢幕擷取畫面。

建立小組時,敏感度標籤在小組中頻道的右上方可見。

小組頻道視窗中敏感度標籤的螢幕擷取畫面。

小組擁有者可以隨時變更小組的敏感度標籤和隱私權設定,方法是移至小組,然後按一下 [編輯小組]

[編輯我的小組頻道] 頁面的螢幕擷取畫面。

注意事項

啟用容器的敏感度標籤之後,Microsoft 365 不再針對新的 Microsoft 365 群組和 SharePoint 網站支援舊分類。 不過,支援敏感度標籤的現有的群組和網站仍會顯示舊的分類值,直到您轉換它們以使用敏感度標籤為止。 如需詳細資訊,請參閱 Microsoft 365 群組的 Azure Active Directory 分類和敏感度標籤.

如需詳細資訊,請參閱:

敏感度標籤的範例案例

如何搭配組織中的Teams使用敏感度標籤的範例案例包括:

  • 為小組設定私人層級 (公開或私人)
  • 控制小組的來賓存取

控制小組的來賓存取

您可以使用敏感度標籤來控制您小組的來賓存取。 具有不允許來賓存取標籤所建立的小組僅適用於貴組織中的使用者。 組織外部的人員無法新增至小組。

Microsoft Teams 系統管理中心

當您在 Microsoft Teams 系統管理中心建立或編輯小組時,可以套用敏感度標籤。 敏感度標籤也會顯示在小組屬性中,以及在 Microsoft Teams 系統管理中心的 [管理小組] 頁面上的 [分類] 欄中。

限制

在您使用 Teams 的敏感度標籤之前,請注意下列限制:

  • Teams Graph API 和 PowerShell Cmdlet 不支援敏感度標籤

    使用者在直接透過 Teams 圖形 API 或 Teams PowerShell Cmdlet 建立小組時,將無法指定敏感度標籤。 不過,新式群組圖形 API 和 PowerShell Cmdlet 確實允許建立具有敏感度標籤的群組。 這表示您可以使用這些方法建立具有敏感度標籤的群組,然後將這些群組轉換成小組。

  • 支援私人頻道

    在小組中建立的私人頻道會繼承在小組上套用的敏感度標籤。 相同的標籤會自動套用至私人頻道的 SharePoint 網站集合。

    不過,如果使用者直接變更私人頻道的 SharePoint 網站上的敏感度標籤,則該標籤變更不會反映在 Teams 用戶端中。 在此案例中,用戶會繼續在私人頻道標頭中看到小組上套用的原始敏感度標籤。

如何建立和設定Teams的敏感度標籤

使用 Microsoft Purview 檔中的指示來建立和設定 Teams 的敏感度標籤:

管理員 原則對敏感度標籤和會議範本的影響

雖然某些系統管理員原則—例如大廳設定和出席者— 會指定會議召集人可以變更的預設值,但大部分的系統管理員原則會判斷使用者是否可以使用指定的功能。

敏感度標籤可以強制執行端對端加密、浮水印和自動錄製,即使會議召集人的相關管理原則已關閉也一般。 不過,範本無法這麼做。 管理員 原則優先於範本設定。

例如,如果您建立 高度敏感度 標籤,並將其設定為強制執行浮水印和端對端加密,即使系統管理原則中的會議召集人停用了浮浮水印和端對端加密,也會執行該強制執行。 不過,如果您使用範本為該相同的會議召集人開啟浮水印和端對端加密,這些功能將無法在會議中使用,因為系統管理員原則優先於這些功能。

當您規劃會議範本和敏感度標籤時,請務必在必要時,在系統管理原則中啟用您想要使用它們控制的設定。

敏感度標籤和範本在一起

某些設定僅適用於敏感度標籤,有些設定僅適用於範本。 下列兩者皆可使用:

  • 聊天
  • 端對端加密
  • 大廳設定
  • 會議錄製
  • 浮浮水印

每當使用敏感度標籤時,標籤設定的設定優先於任何範本或會議召集人設定。

建立標籤時,敏感度標籤中的設定可能會保持不受控制,讓範本或會議召集人控制這些設定。

敏感度標籤通常用於多種用途:為文件、網站和電子郵件加上標籤,以及會議。 您可以避免建立其他僅供會議使用的標籤,方法是使用範本和標籤來考慮特定會議類型內的變化。

例如,您的行銷部門對於敏感性會議的需求可能不同於研究部門。 您可以在敏感度標籤中設定兩者通用的設定,然後讓兩個群組可以使用個別的範本,進一步精簡該群組的會議設定。 這兩個範本都可以使用相同的標籤。

以用戶為基礎的原則和會議型原則

Teams 原則,包括會議原則,適用於使用者或群組層級。 敏感度標籤和範本設定適用於使用這些標籤和範本的個別會議層級。 請考慮在 Teams 系統管理原則與敏感度標籤或範本中設定設定的合理之處。

以下提供幾個範例:

如果您想要針對研究部門和行銷部門設定不同的預設大廳設定,您可以使用系統管理員原則來設定這些預設值,並使用標籤或範本進一步修改這些預設值。

如果您想要浮水印僅供治理人員使用,則只能針對使用系統管理原則的人員啟用浮水印。 然後,您可以有強制執行浮水印的範本,但浮浮浮浮水印只會在治理召集人組織的會議中使用。

具有相同敏感度的不同會議類型

如果您有不同類型的會議具有相同的敏感度,一起使用範本和標籤會很有用。 例如,如果您的某些敏感性會議是互動式的,而有些是出席者互動最少的簡報,您可以建立兩個範本:

  • 一個用於關閉出席者視訊和音訊的簡報。
  • 一個用於互動式會議,由會議召集人自行決定保留視訊和音訊。

這兩個範本都可以使用 敏感性 標籤,以控制其他設定,例如誰可以略過大廳,以及誰可以出席。

指定會議召集人可以變更的預設值

雖然標籤通常會強制執行特定設定,但範本可以強制執行設定,或允許會議召集人變更設定。 這可讓您實作符合合規性需求的預設設定,同時讓會議召集人選擇在適當時覆寫設定。

例如,針對基準保護層級,您可能想要使用敏感度標籤來關閉浮浮水印。 同時,您可以使用範本來設定誰可以略過大廳的預設值,但允許會議召集人視需要變更設定。

您可以將基準保護標籤指派給範本,以便在會議召集人選擇該範本時使用這兩者。

某些系統管理員原則也可以用來設定會議召集人可以變更的預設值。 這些包括大廳控件,以及可以展示的人員。

如需詳細資訊,請 參閱將 Teams 會議範本、敏感度標籤和系統管理原則一起用於敏感性會議

Microsoft Teams 進階版的敏感度標籤

Microsoft Teams 進階版 將敏感度標籤和原則與可設定的會議功能結合在一起。 根據組織設定標籤的方式而定,Teams 進階版 套用一組專為增強安全性與合規性而設計的範本化指定會議選項。

這些選項包括:

  • 誰需要在會議大廳等候
  • 誰需要要求加入會議
  • 行事曆標籤,例如「不要轉寄」
  • 強制執行自動錄製
  • 限制從會議聊天複製和貼上
  • 音訊視訊串流的進階加密控制
  • 實時內容和影片上的浮水印

如需詳細資訊,請 參閱使用敏感度標籤來保護行事歷專案、Teams 會議和聊天