如何在 Microsoft 365 中标记网站

我无法告诉您有多少次客户询问我是否可以帮助他们将敏感度标签大规模应用于 SharePoint Online 中的静态数据。不幸的是，我不得不告诉他们，实际上只有一种选择，而且它并不漂亮。迄今为止，还没有 API 允许最终用户直接将敏感度标签应用到 SharePoint Online 网站中的文件，因此唯一真正的选择是在本地下载文件，应用标签，然后上传文件。我可能不需要探究导致这种方法不太理想的无数原因，例如出口成本和延迟问题。

幸运的是，还有另一种选择。 Microsoft 发布了一项预览版功能，允许您向 Microsoft 团队、Microsoft 365 组和 SharePoint 网站分配敏感度标签。这提供了容器级别的标签保护，将分类和配置的保护设置应用于站点或组。首先值得注意的一件事是，今天，这些容器中的内容不会继承文件和电子邮件的分类或设置标签。但是，MIP 首席 PM 经理 Tony Themelis 表示，Microsoft计划添加站点标签功能，以自动标记站点内的所有文件。

在这篇博文中，我将引导您了解如何通过 UI 和使用 PowerShell 将敏感度标签应用到 SharePoint Online 网站。

敏感度标签简要概述

敏感度标签已经存在相当长一段时间了，已经从曾经的信息权限管理发展到 Azure 信息保护，再到现在位于 Microsoft 365 安全与合规中心。这些标签的目的是帮助确保只有授权人员才能查看和访问受保护的内容。标签还可以提供额外的保护，包括标记内容、设置保留策略和禁用离线访问

您的许可证级别将决定标签是否必须由最终用户手动应用，或者是否可以根据定义的敏感信息类型自动应用。在我们的博客文章中详细了解如何创建标签并根据信息类型对内容进行分类。

在我们深入探讨之前，我认为值得注意的是，微软已将每个租户的每个应用程序的每日应用标签操作设置为 100 次应用标签操作，以防止客户错误地将标签应用到大量应用程序上。文件。此限制可以调整，但您必须开具支持票证才能进行调整。

将敏感度标签应用于容器

为了使用 Microsoft 365 将标签应用到容器，您首先需要管理员在 Azure AD 中启用预览。这可以通过 PowerShell 使用以下步骤来实现。

如何启用 AzureADPreview 并创建目录级设置

• 步骤 1.卸载以前版本的 AzureADPreview 模块：

Uninstall-Module AzureADPreview

• 步骤 2.安装 AzureADPreview 模块：

Install-Module AzureADPreview -AllowClobberx`
Import-Module AzureADPreview

• 步骤 3.连接到 Azure 租户并在目录级别创建设置。需要管理员凭据才能完成此步骤。

Connect-AzureAD
Get-AzureADDirectorySettingTemplate
$TemplateId = (Get-AzureADDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value 
$TemplateId -EQ
$Setting = $Template.CreateDirectorySetting()
$Setting["EnableMIPLabels"] = "True"
New-AzureADDirectorySetting -DirectorySetting $Setting
$Setting.Values

启用附加配置选项

启用此功能后，当您在 Microsoft 365 安全与合规中心中创建或编辑现有敏感度标签时，您将看到以下附加配置选项：

• 范围：新的“组和站点”选项，允许在容器级别应用敏感度标签：

图片 1：敏感度标签范围

• 保护设置：仅适用于 Microsoft 团队、群组和网站的特定保护设置：

图 2：团队、群组和站点的保护设置

• 隐私设置：仅适用于带标签的团队和 Microsoft 365 组的隐私设置：

图 3：隐私和外部用户访问设置

• 共享设置：适用于标记网站的特定外部共享设置：

图 4：外部共享和设备访问设置

将标签应用到站点

手动应用标签

配置可在容器级别应用的标签后，您可以使用站点设置轻松将它们应用到现有站点或您正在创建的新站点。 敏感度下拉列表将显示所有可用的容器级敏感度标签：

图 5：将敏感度标签应用到网站

以编程方式应用标签

要使用 PowerShell 以编程方式将敏感度标签应用到网站，请执行以下步骤：

• 步骤 1.使用管理员帐户连接到 SharePoint Online 租户：

Connect-SPOService -Url ‘https://TENANT-admin.sharepoint.com’

• 步骤 2.使用管理员帐户连接到安全与合规中心：

连接-IPPSSession -UserPrincipalName [email protected]

• 步骤 3.运行 Get-Label 命令以检索可用标签列表：

PS C:Windowssystem32> Get-Label |ft 名称、Guid、ContentType

Name Guid ContentType
---- ---- ----------- 
HIPAA 9da4a767-6a34-4345-a2bd-a60d841bdcce File, Email 
Internal Only 78576ad9-1724-48b3-b915-00b8c9d23323 File, Email 
GDPR - IP Constraint 9085e9a5-8d63-4498-a7a8-e63ae1d3cecd File, Email  
IsSensitive f23e934d-7df0-4964-a85e-512fa1893fad File, Email 
Test 2ca82bb8-364a-4878-bb2b-ee6229b5a380 File, Email 
Confidential 61f58b80-cb9d-457f-a2c2-f4d870e415de File, Email, Site, UnifiedGroup
936bffcc-298b-440f-84d3-1b0f839b0a73 936bffcc-298b-440f-84d3-1b0f839b0a73 File, Email 
2a341499-bcbe-47e5-ad00-de254ed4bf45 2a341499-bcbe-47e5-ad00-de254ed4bf45 File, Email 
66a5a032-508e-45ee-861f-2a7887180b60 66a5a032-508e-45ee-861f-2a7887180b60 File, Email 
d95145c9-3f29-4ed1-ad28-5abc75c9aa29 d95145c9-3f29-4ed1-ad28-5abc75c9aa29 File, Email

新创建的标签的 ContentType 为“文件、电子邮件、站点、UnifiedGroup”。

• 步骤 4.使用标签指南将标签应用到网站：

Set-SPOSite -身份 “ https://TENANT.sharepoint.com/sites/SupportTeam” -敏感度标签 '61f58b80 -cb9d-457f-a2c2-f4d870e415de'

请务必使用 Get-SPOSite 命令来验证是否应用了敏感度标签：

PS C:Windowssystem32> get-sposite "https://TENANT.sharepoint.com/teams/SupportTeam" | Select SensitivityLabel
SensitivityLabel 
---------------- 
61f58b80-cb9d-457f-a2c2-f4d870e415de

标签如何呈现给最终用户

站点被标记后，最终用户在浏览站点时将看到该标签：

图 6：如何向最终用户显示敏感度标签

管理员如何查看站点和敏感度标签

您可以使用 SharePoint 管理中心的“活动网站”页面查看网站列表和关联的敏感度标签：

图 7：在 SharePoint 管理中心查看网站和敏感度标签

结束语

对于一直在 Microsoft 365 中努力分类和保护静态数据的任何人来说，此预览功能是一个巨大的福音。虽然最终目标是实现文件级别的保护，但容器级别标签使组织能够应用分类和配置保护针对特定站点和组进行精细设置，以避免可能妨碍生产力和安全性的不必要的限制。

希望根据数据敏感性标记和保护 SharePoint Online 中的内容的组织（尤其是缺乏提供自动标记功能的 E5 许可证的组织）应考虑利用 StealthAUDIT 等平台，该平台可以帮助识别 SharePoint 中的敏感内容并应用适当的敏感度标签大规模的网站和团体。