共用方式為

使用敏感度标签控制对 Microsoft Entra ID 中的资源的外部访问

使用敏感度标签来帮助控制对 Office 365 应用程序中的内容的访问,以及Microsoft Teams、Microsoft 365 组和 SharePoint 网站等容器中的内容。 它们保护内容而且不会妨碍用户协作。 使用敏感度标签跨设备、应用和服务发送组织范围的内容,同时保护数据。 敏感度标签可帮助组织满足合规性和安全策略。

请参见 了解敏感度标签

在您开始之前

本文是一系列 10 篇文章中的第 8 篇文章。 建议按顺序查看文章。 转到“后续步骤”部分查看整个系列。

分配分类并强制实施保护设置

无需添加任何保护设置即可对内容进行分类。 内容分类分配在内容使用和共享期间始终与内容保持一致。 分类生成包含敏感内容活动数据的使用情况报告。

强制实施保护设置,例如加密、水印和访问限制。 例如,用户向文档或电子邮件应用机密标签。 标签可以加密内容并添加机密水印。 此外,还可以将敏感度标签应用于 SharePoint 网站等容器,并帮助管理外部用户访问。

了解详细信息:

容器上的敏感度标签可以限制对容器的访问,但容器中的内容不会继承标签。 例如,用户从受保护的网站获取内容、下载内容,然后不受限制地共享内容,除非内容具有敏感度标签。

注释

若要应用敏感度标签,用户登录到其Microsoft工作或学校帐户。

创建和管理敏感度级别的权限

需要创建敏感度标签的团队成员需要拥有以下权限:

默认情况下, 全局管理员 有权访问管理中心,并且无需授予租户管理员权限即可提供访问权限。 对于此委派的有限管理员访问权限,请将用户添加到以下角色组:

  • 合规性数据管理员,
  • 合规性管理员,或
  • 安全管理员

敏感度标签策略

规划对内容的外部访问的治理时,请考虑内容、容器、电子邮件等。

高、中或低业务影响

若要为数据、网站和组定义高业务影响(HBI)、中等业务影响(MBI)或低业务影响(LBI),请在共享错误的内容类型时考虑对组织的影响。

  • 信用卡、护照、国家/地区 ID 号码
  • 公司管理人员创建的内容:合规性、财务、高管等。
  • 库或站点中的财务或战略数据。

请考虑外部用户无法访问的内容类别,例如容器和加密内容。 可以使用敏感度标签、强制加密或使用容器访问限制。

电子邮件和内容

敏感度标签可以自动或手动应用于内容。

请参阅 自动将敏感度标签应用于内容

电子邮件和内容的敏感度标签

文档或电子邮件中的敏感度标签可自定义、明文和持久。

  • 可自定义 - 为你的组织创建标签并确定生成的操作
  • 明文 - 合并在元数据中,可由应用程序和服务读取
  • 持久性 - 确保标签和关联的保护与内容保持一起,并帮助强制实施策略

注释

每个内容项可以应用一个敏感度标签。

容器

如果Microsoft 365 个组、Teams 或 SharePoint 网站受到敏感度标签的限制,请确定访问条件。 可以在容器中标记内容,或者对 SharePoint、OneDrive 等中的文件使用自动标记。

了解详细信息: 敏感度标签入门

容器上的敏感度标签

可以将敏感度标签应用于Microsoft 365 组、Microsoft Teams 和 SharePoint 网站等容器。 支持的容器上的敏感度标签将分类和保护设置应用于连接的站点或组。 这些容器上的敏感度标签可以控制:

  • 隐私 - 选择可以查看网站的用户

  • 外部用户访问 - 确定组所有者是否可以将来宾添加到组

  • 从非托管设备进行访问 - 决定非托管设备是否以及如何访问内容

    网站和组设置下的选项和条目的屏幕截图。

应用于容器(如 SharePoint 网站)的敏感度标签不会应用于容器中的内容;它们控制对容器中内容的访问。 标签可以自动应用于容器中的内容。 对于用户手动将标签应用于内容,请在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签。

了解详细信息:

实现敏感度标签

确定使用敏感度标签后,请参阅以下有关实现的文档。

后续步骤

请参阅以下系列文章,了解如何保护对资源的外部访问。 建议遵循列出的顺序。

  1. 使用 Microsoft Entra ID 确定外部访问的安全态势

  2. 发现组织中外部协作的当前状态

  3. 为外部资源访问创建安全性计划

  4. 使用 Microsoft Entra ID 和 Microsoft 365 中的组来保护外部访问

  5. 通过 Microsoft Entra B2B 协作过渡到受监管协作

  6. 使用 Microsoft Entra 权利管理来管理外部访问

  7. 使用条件访问策略管理对资源的外部访问

  8. 使用敏感度标签控制对 Microsoft Entra ID 中的资源的外部访问 (你在这里)

  9. 使用 Microsoft Entra ID 安全地从外部访问 Microsoft Teams、SharePoint 和 OneDrive for Business

  10. 将本地来宾帐户转换为 Microsoft Entra B2B 来宾帐户