Настройка SharePoint с меткой конфиденциальности для расширения разрешений на скачанные документы
Руководство по лицензированию Microsoft 365 для обеспечения соответствия требованиям безопасности &
Примечание.
Следующие функции для расширения разрешений SharePoint постепенно развертываются в предварительной версии и могут быть изменены.
Если в SharePoint включены метки конфиденциальности, можно настроить библиотеки документов, чтобы расширить существующие разрешения сайта SharePoint на документы при их загрузке из библиотеки. Затем все ранее не помеченные файлы из этой библиотеки будут защищены с помощью текущих разрешений SharePoint для пользователя, даже если файлы покинули исходную границу SharePoint.
Например, для расширения разрешений для библиотеки документов в качестве метки конфиденциальности вы выбираете метку конфиденциальности \ доверенный Люди. В этой библиотеке сайт настроен так, чтобы разрешить только разрешения на чтение для конкретной группы пользователей. Пользователь из этой группы скачивает файл с сайта, и теперь этот файл помечается как Конфиденциальный \ Доверенный Люди. Несмотря на то, что файл больше не находится в SharePoint, этот пользователь по-прежнему может только просматривать и не изменять содержимое или удалять метку. Доступ к скачанму файлу имеют только пользователи, имеющие доступ к файлу в SharePoint. Пользователи, не имеющие доступа к файлу в SharePoint, не смогут открыть скачанный файл независимо от того, где он хранится.
Кроме того, файл имеет JIT-уровень защиты, так как пользователь, скачавший файл, также не сможет открыть его при следующих обстоятельствах:
- Разрешения для этого пользователя удаляются из файла
- Файл удаляется с сайта
- Сайт больше не активен
- Файл перемещается на другой сайт
Если разрешения SharePoint для пользователя изменены, эти изменения отражаются для скачаемого файла.
Если эти помеченные файлы находятся в библиотеке документов, они также защищены от действий копирования и перемещения:
- Файлы нельзя скопировать на другой сайт или переместить на другой сайт.
- Файлы можно скопировать или переместить в другую библиотеку документов на том же сайте, только если у пользователя есть разрешения SharePoint на создание или удаление списков.
Указанная метка конфиденциальности применяется ко всем файлам, которые не помечены, и к файлам, помеченным метками, но конфигурация меток не применяет шифрование. Файлы, синхронизированные с OneDrive, также получают метки.
Для существующих файлов, которые помечены, но не зашифрованы, примененная вручную метка также заменяется указанной меткой. Краткое описание возможных результатов см. в разделе Переопределение существующей метки на этой странице.
В настоящее время Microsoft 365 Copilot не могут получить доступ к неоткрытым файлам, помеченным этой конфигурацией.
Так как незашифрованные файлы можно повторно маркировать, эта конфигурация меток хорошо подходит для организаций, которые находятся на ранней стадии развертывания меток и еще не помечены файлами на сайтах SharePoint с помощью других методов.
Будет ли переопределяться существующая метка?
Сводка результатов:
| Существующая метка | Переопределение меткой библиотеки для расширения разрешений |
|---|---|
| Метка применяется с помощью любых методов (ручная, автоматическая, метка по умолчанию из политики) и конфигурация меток не применяет шифрование, какой-либо приоритет | Да |
| Метка применяется с помощью любых методов (вручную, автоматически, метка по умолчанию из политики) и конфигурация меток применяет шифрование, любой приоритет | Нет |
Требования
Вы создали и опубликовали метки конфиденциальности, опубликованные для пользователей, которые будут выбирать метку конфиденциальности для библиотеки документов SharePoint. Для меток требуется следующая конфигурация:
Метка областьфайлов и других ресурсов данных
Управление доступом выбирается с параметром шифрования Разрешить пользователям назначать разрешения при применении метки и флажок В Word, PowerPoint и Excel установлен запрос на указание разрешений. Этот параметр иногда называют "определяемыми пользователем разрешениями".
Примечание.
В этом приложении метки пользователям не будет предложено ввести разрешения, но их разрешения SharePoint будут автоматически применены при скачивании, копировании или перемещении файла с сайта.
Вы включили метки конфиденциальности для файлов Office в SharePoint и OneDrive. Чтобы проверка это состояние, можно выполнить команду
(Get-SPOTenant).EnableAIPIntegrationиз командной консоли SharePoint Online, чтобы убедиться, что для параметра задано значение True.Клиент совместно создает файлы, зашифрованные с помощью меток конфиденциальности.
Для поддержки меток конфиденциальности для PDF-файлов добавлена поддержка PDF-файлов в SharePoint. Чтобы проверка это состояние, можно выполнить команду
(Get-SPOTenant).EnableSensitivityLabelforPDFиз командной консоли SharePoint Online, чтобы убедиться, что для параметра задано значение True.Приложениям windows из Приложения Microsoft 365 для предприятий, которые загружают файлы, требуется не менее 2402 из Current Channel, Monthly Enterprise Channel или Semi-Annual Enterprise Channel.
Управление правами на доступ к данным SharePoint (IRM) не включено для библиотеки. Эта устаревшая технология несовместима с использованием метки конфиденциальности для библиотеки документов SharePoint. Если библиотека включена для IRM, вы не сможете выбрать метку конфиденциальности.
Разрешения администратора сайта необходимы для применения и изменения метки конфиденциальности в SharePoint.
Файлы должны содержать содержимое для маркировки.
Если вам нужно просмотреть список типов файлов, поддерживаемых метками конфиденциальности в SharePoint, см. раздел Поддерживаемые типы файлов.
Сопоставление разрешений SharePoint с правами на использование
Используйте следующую таблицу, чтобы понять, как разрешения SharePoint для пользователя распространяются на права и уровни разрешенийуправления правами при скачивании файла, копировании и перемещении за пределы сайта.
| Разрешение SharePoint | Применены права на использование | Уровни разрешений |
|---|---|---|
| Owner | Полный контроль над содержимым, всеми разрешениями и примененной меткой конфиденциальности: VIEW, EXTRACT, DOCEDIT, EDIT, EXPORT, COMMENT, PRINT, FORWARD, REPLYALL, VIEWRIGHTSDATA, EDITRIGHTSDATA, OBJMODEL *, OWNER * |
Владелец |
| Edit | Полный контроль над содержимым, но не может изменить примененную метку конфиденциальности: VIEW, EXTRACT, DOCEDIT, EDIT, EXPORT, COMMENT, PRINT, FORWARD, REPLY, REPLYALL, VIEWRIGHTSDATA |
Редактор |
| Read | Может просматривать содержимое, но не может изменить содержимое или примененную метку конфиденциальности: VIEW, VIEWRIGHTSDATA |
Просмотр |
* В настоящее время эти права на использование не применяются, и в результате пользователь может изменить метку конфиденциальности, но не может ее удалить.
Ограничения
При использовании этой конфигурации применяются следующие ограничения:
Пользователи не могут вручную применять метки конфиденциальности, которые не настроены для применения шифрования.
Пользователи не смогут открывать скачанные файлы в автономном режиме; они должны иметь возможность подключения к исходному сайту.
Пользователи не смогут открывать скачанные файлы, если исходный сайт, папка или файл SharePoint удален.
Файлы, помеченные этой конфигурацией, нельзя перемещать или копировать на другой сайт.
Файлы с такой конфигурацией можно перемещать или копировать в другую библиотеку документов на том же сайте, только если у пользователей есть разрешения SharePoint на создание или удаление списков. Метка не сохраняется для скопированного или перемещенного файла.
Эта конфигурация может переопределить ранее примененную вручную метку, если метка не настроена для применения шифрования.
Файлы с этой конфигурацией в настоящее время не отображаются как помеченные в обозревателе содержимого.
Microsoft 365 Copilot могут ссылаться на помеченные файлы, если у пользователей есть разрешения на чтение в SharePoint, но они не будут суммировать эти файлы. Так как файлы не могут быть суммированы, они также не могут использоваться Copilot для создания нового содержимого.
Примечание.
Как и все файлы, зашифрованные с помощью Azure Rights Management, суперпользовай может открывать зашифрованные документы, если это станет необходимым, так как исходное расположение больше не доступно.
Настройка библиотеки документов SharePoint для метки конфиденциальности, которая расширяет разрешения на скачанные документы
Для этой конфигурации сначала необходимо включить возможность для клиента с помощью PowerShell с командной консолью SharePoint Online. Затем для параметров библиотеки документов станет доступен новый флажок.
Выполните команду PowerShell, чтобы включить поддержку расширения разрешений SharePoint.
Убедитесь, что вы используете командную консоль SharePoint Online версии 16.0.25430.12000 или более поздней.
Чтобы включить новые возможности, используйте командлет Set-SPOTenant с параметром ExtendPermissionsToUnprotectedFiles :
С помощью рабочей или учебной учетной записи с правами администратора SharePoint в Microsoft 365 подключитесь к SharePoint. Сведения о том, как это сделать, см. в статье Начало работы с командной консолью SharePoint Online.
Примечание.
Если у вас есть Microsoft 365 Multi-Geo, используйте параметр -Url с Connect-SPOService и укажите URL-адрес сайта центра администрирования SharePoint Online для одного из своих географических расположений.
Выполните следующую команду и нажмите Y , чтобы подтвердить:
Set-SPOTenant -ExtendPermissionsToUnprotectedFiles $trueДля Microsoft 365 Multi-Geo: повторите шаги 1 и 2 для каждого из оставшихся географических расположений.
Как и в случае с всеми изменениями конфигурации на уровне клиента для SharePoint, для того чтобы изменения вступили в силу, потребуется около 15 минут.
Настройка библиотек документов SharePoint с меткой по умолчанию для расширения разрешений
Для каждой библиотеки документов SharePoint, в которой требуется такая конфигурация, следуйте инструкциям в разделе Добавление метки конфиденциальности в библиотеку документов SharePoint и установите флажок Расширить защиту при скачивании, копировании или перемещении.
Вы не увидите этот флажок, пока не будет выполнена предыдущая команда PowerShell.
Выбрав метку конфиденциальности, которая применяет шифрование с пользовательскими разрешениями, сохраните конфигурацию.
Примечание.
Эта функция является взаимоисключающей с возможностью выбора метки конфиденциальности по умолчанию для библиотеки документов SharePoint , которая поддерживает метки конфиденциальности без шифрования, и меток конфиденциальности, настроенных с помощью параметра Назначить разрешения сейчас (иногда называемые "разрешения, определяемые администратором").
Выбранная метка конфиденциальности будет применена ко всем файлам, которые не помечены, и к файлам с метками, но конфигурация меток не применяет шифрование. В столбце Конфиденциальность для библиотеки документов отображается выбранная метка для существующих, новых и измененных файлов. Пользователи видят выбранную метку, отображаемую при открытии файла для редактирования, но не будут испытывать никаких изменений в разрешениях в результате применения метки.
После настройки библиотеки с меткой конфиденциальности все существующие файлы будут повторно синхронизированы, если библиотека синхронизируется через клиент приложение синхронизации OneDrive. Процесс повторной синхронизации может занять некоторое время, и до его завершения расширенная защита не будет применена.
Важно!
В библиотеке документов SharePoint, настроенной для метки конфиденциальности, пользователи не могут удалить примененную метку конфиденциальности в приложениях Office и могут изменить ее только в том случае, если в заменяющей метке применяется шифрование.
Мониторинг применения метки конфиденциальности, которая расширяет разрешения SharePoint
Так как эта конфигурация расширяет функциональные возможности метки конфиденциальности по умолчанию для библиотеки документов, ее конфигурацию можно отслеживать аналогичным образом. GUID метки конфиденциальности определяет конфигурацию шифрования для пользовательских разрешений. Отдельное событие аудита меток при скачивании, копировании или перемещении файла отсутствует.
Отключение этой функции
Если вы хотите, чтобы определенная библиотека документов SharePoint больше не расширяла разрешения с помощью метки конфиденциальности, снимите флажок Расширить защиту при скачивании, копировании или перемещении в качестве параметра библиотеки документов SharePoint. Затем:
Файлы в библиотеке документов, которые ранее были помечены с помощью этой конфигурации, будут отменить изменения либо к исходной метке, которая не применяла шифрование, либо без метки, если это было их исходное состояние до того, как установлен флажок.
Файлы, синхронизированные с OneDrive, будут повторно выполняться и отменить изменения их предыдущее состояние метки. Процесс повторной синхронизации может занять некоторое время, и до его завершения расширенная защита останется.
Файлы с метками, которые теперь скачиваются, сохраняют свою метку.
Если вы хотите отключить эту функцию на уровне клиента, когда она была включена и настроена ранее, сначала снимите флажок Расширить защиту при скачивании, копировании или перемещении из всех библиотек документов, где она была выбрана. Затем используйте тот же командлет Set-SPOTenant с параметром ExtendPermissionsToUnprotectedFiles , но задайте для параметра значение false. Затем:
- Флажок Расширить защиту при скачивании, копировании или перемещении больше не отображается как параметр библиотеки документов SharePoint.
Если отключить функцию на уровне клиента, не снимая флажок для библиотеки документов, конфигурация останется, но без флажка для ее отключения.
В этом сценарии, чтобы отключить конфигурацию, выполните команду PowerShell, чтобы включить поддержку расширения разрешений SharePoint , чтобы снова отобразить флажок, чтобы вы могли снять его. Если вы не хотите повторно добавлять поддержку на уровне клиента, обратитесь к служба поддержки Майкрософт, чтобы поговорить с вами с помощью команд PowerShell, чтобы удалить конфигурацию для определенной библиотеки документов.
Дальнейшие действия
Хотя эта конфигурация обеспечивает немедленную защиту в большом масштабе для файлов, хранящихся в SharePoint, она не учитывает содержимое файлов, для которых может потребоваться более высокий уровень защиты. Рассмотрите возможность дополнения этого метода с автоматической маркировкой , которая использует проверку содержимого для применения меток конфиденциальности с шифрованием.