Microsoft 365 安全 & 合规性指南

项目
04/13/2024

就本文而言，租户级服务是一种联机服务， (独立许可证和/或作为 Microsoft 365 或 Office 365 计划) 的一部分或全部激活租户中的所有用户。客户使用联机服务需要适当的订阅许可证。若要查看授权用户从 Microsoft 365 合规性功能中受益的选项，请下载适用于企业和一线员工计划的 Microsoft 365 比较表或适用于中小型企业计划的 Microsoft 365 比较表。

有关允许用户使用 Microsoft 365 合规性功能的订阅的详细计划信息，并且目前在欧洲经济区 (欧洲经济区) 国家/地区和瑞士提供，请参阅适用于欧洲经济区的 Microsoft 365 商业计划比较和适用于欧洲经济区的Microsoft 365 企业版计划比较。

某些租户服务目前无法将权益限制为特定用户。若要查看有关使用通过 Microsoft 许可计划获得的 Microsoft 产品和专业服务的条款和条件，请参阅产品条款。

Microsoft Entra ID 治理

Microsoft Entra ID 治理使你能够在组织对安全性和员工工作效率的需求与正确的流程和可见性之间取得平衡。它使用权利管理、访问评审、特权标识管理和使用条款策略来确保合适的人员有权访问正确的资源。

用户如何从服务中受益？

Microsoft Entra ID 治理可以更轻松地在一个访问包中请求对应用、组和 Microsoft Teams 的访问权限，从而提高用户的工作效率。还可以将用户配置为审批者，而无需管理员参与。对于访问评审，用户可以使用智能建议查看组的成员身份，以定期执行操作。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft Entra ID 治理功能目前在 Microsoft Entra ID 治理和 Microsoft Entra ID 治理 Step Up for Microsoft Entra ID P2 中提供。这两种产品为购买的席位的尽可能多的用户提供具有标识治理功能的权限。 Microsoft Entra ID 治理要求租户还具有Microsoft Entra ID P1 (以前称为 Azure Active Directory Premium P1) 或 Microsoft Entra ID P2 (以前称为的活动订阅Azure Active Directory Premium P2) 或包含 Microsoft Entra ID P1 或 P2 的订阅。 Microsoft Entra ID 治理 Microsoft Entra ID P2 的 Step Up 要求租户还具有Microsoft Entra ID P2 的活动订阅或包含 Microsoft Entra ID P2 的订阅。

如何预配/部署服务？

Microsoft Entra ID 治理功能在租户级别启用，但按用户实现。有关Microsoft Entra ID 治理的信息，请参阅什么是Microsoft Entra ID 治理？

如何只能将服务应用于租户中获得服务许可的用户？

管理员应确保他们有足够的Microsoft Entra ID 治理席位，供Microsoft Entra ID 治理功能范围内或受益于Microsoft Entra ID 治理功能（包括访问包、访问评审、生命周期工作流和特权标识管理）的所有员工。有关如何确定部署Microsoft Entra ID 治理范围的说明，请参阅：

Microsoft Entra ID 保护

Microsoft Entra ID 保护是 Microsoft Entra ID P2 计划的一项功能，可用于检测影响组织标识的潜在漏洞，配置自动响应以检测出与组织标识相关的可疑操作，并调查可疑事件并采取适当措施解决这些问题。

用户如何从服务中受益？

SecOps 分析师和安全专业人员受益于基于机器学习算法的已标记用户和风险事件的合并视图。最终用户受益于通过基于风险的条件访问提供的自动保护，以及通过对漏洞采取行动提供的改进的安全性。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft 365 E5/A5/G5、企业移动性 & 安全性 A5/E5/G5、Microsoft 365 A5/E5/F5/G5 安全性以及 Microsoft 365 F5 安全性 & 符合性

有关不同可用计划中包含的功能的详细信息，请参阅什么是Microsoft Entra ID 保护？

如何预配/部署服务？

默认情况下，Microsoft Entra ID 保护功能在租户级别为租户中的所有用户启用。有关Microsoft Entra ID 保护的信息，请参阅什么是标识保护？

如何只能将服务应用于租户中获得服务许可的用户？

管理员可以通过分配风险策略来限定Microsoft Entra ID 保护范围，这些策略定义密码重置的级别并仅允许许可用户访问。有关如何确定部署Microsoft Entra ID 保护范围的说明，请参阅如何配置和启用风险策略。

Microsoft Cloud 合规性计划

Microsoft Cloud 合规性计划旨在提供个性化的客户支持、教育和网络机会。通过加入该计划，客户将获得独特的机会，直接与安全、合规性和隐私领域的监管机构、行业同行和 Microsoft 专家接触。此计划取代了 2013 年创建的现有金融服务行业 (FSI) 合规性计划。

谁可以访问Microsoft Cloud 合规性计划？

Microsoft Cloud 合规性计划适用于具有 Microsoft 365 和Office 365许可证的组织。

当前已注册 FSI 合规性计划的客户需要购买新Microsoft Cloud 合规性计划的订阅。有关详细信息，请参阅 Microsoft Cloud 合规性计划。

用户如何从服务中受益？

希望 Microsoft 在其云旅程中提供帮助的企业组织，如风险评估员、合规性官员、内部审核员、隐私官员、法规事务/法律、CSO 将受益于此服务。下面是客户可以获得的可用权益的示例方案：

持续的风险和合规性协助，用于加入和使用 Microsoft 云服务的风险评估。
对 Microsoft 云服务的 Microsoft 和客户管理的控件的支持。
有关使用第三方云服务的内部审核、监管机构或董事会级批准方面的帮助。
支持与使用云服务时的复杂风险和合规性要求相关的持续技术问题。
直接协助填写固定数量的客户风险和合规性问卷。
与监管机构和行业专家联系，帮助解决合规过程中的问题。

如何预配/部署服务？

默认情况下，在租户级别为受益于该服务的所有用户启用Microsoft Cloud 合规性计划。有关详细信息，请参阅 Microsoft Cloud 合规性计划。

Microsoft Defender 商业版

Microsoft Defender 商业版是一种终结点安全解决方案，专为 (最多 300 名员工) 的中小型企业设计。 Defender for Business 作为独立解决方案提供，也包含在Microsoft 365 商业高级版中。借助此终结点安全解决方案，中小企业 (SMB) 组织设备可以更好地抵御勒索软件、恶意软件、钓鱼和其他威胁。

有关详细信息，请参阅 Microsoft Defender 商业版。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft Defender 商业版包含在Microsoft 365 商业高级版订阅计划中。

独立版本的 Defender for Business 也可用作中小型企业 (SMB) 最多 300 名员工的选项。若要了解详细信息，请参阅如何获取Microsoft Defender 商业版。

用户如何从服务中受益？

将Microsoft Defender 商业版添加到 Microsoft 365 商业高级版通过终结点检测和响应以及自动调查和修正等技术添加跨平台终结点保护和复杂的勒索软件防御功能，增强了 Business Premium 的现有生产力和安全性。

Defender for Business 的独立版本为拥有最多 300 名员工的中小型企业提供了一个选项，以实惠的价格获取企业级终结点安全技术。

如何预配/部署服务？

如果有Microsoft 365 商业高级版，可以通过Microsoft Defender门户访问 Defender for Business。

默认情况下，Microsoft Defender 商业版功能在租户级别为租户中的所有用户启用。有关如何设置和配置 Defender for Business 的信息，请参阅 Microsoft Defender 商业版文档 |Microsoft Docs。

什么是适用于Microsoft Defender 商业版的 Defender for Business 服务器加载项？

Microsoft Defender 商业版服务器为中小型企业的 Windows 和 Linux 服务器提供终结点安全性。 Defender for Business 服务器体验在 Defender for Business 内的单个管理员体验中为客户端和服务器提供相同级别的保护，从而帮助你在一个位置保护所有终结点。

有关详细信息，请参阅获取Microsoft Defender 商业版服务器 |Microsoft Learn。

请注意，对于 Defender for Business 服务器，每个客户的最大数量/席位上限为 60 个许可证。如果客户需要超过 60 个服务器许可证，请参阅服务器Microsoft Defender。

哪些许可证为用户提供了从服务中受益的权利？

Defender for Business 服务器作为加载项提供给组织，其功能如下：

Microsoft Defender 商业版 (独立)
Microsoft 365 商业高级版

客户必须至少拥有一个Microsoft 365 商业高级版或Microsoft Defender 商业版许可证才能购买和使用Microsoft Defender 商业版服务器。

有关详细信息和指向更多资源的链接，请查看Microsoft Defender 商业版常见问题解答。

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps是一个云访问安全代理 (CASB) 解决方案，可让客户灵活地实现核心功能并支持多种类型的部署。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft Defender for Cloud Apps作为独立许可证提供，也可作为以下计划的一部分提供：

企业移动性 + 安全性 E5
Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 安全性
Microsoft 365 E5/A5/G5/F5 合规性
Microsoft 365 F5 安全性 & 合规性
Microsoft 365 E5/F5/G5 信息保护和治理

若要从 Defender for Cloud Apps 中的条件访问应用控制功能中受益，用户还必须获得Microsoft Entra ID P1 的许可，该许可包含在企业移动性 + 安全性 F1/F3/E3/A3/G3、企业移动性 + 安全性 E5、Microsoft 365 E3/A3/G3 中，Microsoft 365 E5/A5/G5 和 Microsoft 365 E5/A5/G5/F5 安全性和 Microsoft 365 F5 安全 & 合规性。

若要从客户端自动标记中受益，用户必须获得 Azure 信息保护 P2 的许可，企业移动性 + 安全性 E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 符合性、Microsoft 365 F5 安全性 & 合规性以及Microsoft 365 E5/F5/G5 信息保护和治理。

注意：自动服务器端标记需要信息保护Office 365 - 高级许可证 (MIP_S_CLP2 或 efb0351d-3b08-4503-993d-383af8de41e3) 。有关参考，请参阅用于许可的产品名称和服务计划标识符。

如何预配/部署服务？

默认情况下，在租户级别为租户中的所有用户启用Microsoft Defender for Cloud Apps。

如何只能将服务应用于租户中获得服务许可的用户？

管理员可以使用服务中可用的作用域部署功能，将Microsoft Defender for Cloud Apps部署范围限定为许可用户。有关详细信息，请参阅作用域内部署。

什么是应用治理？

应用治理是一种安全和策略管理功能，专为在 Microsoft Entra ID 上注册的已启用 OAuth 的应用而设计。它通过可操作的见解和自动策略警报和操作，提供对这些应用及其用户如何访问、使用和共享存储在 Microsoft 365 中的敏感数据的完整可见性、修正和治理。

哪些许可证为用户提供了从此功能中受益的权利？

应用治理包含在包含 Defender for Cloud Apps 的Microsoft Defender for Cloud Apps和产品产品/服务中：

Microsoft Defender for Cloud Apps (独立)
企业移动性 + 安全性 E5/A5/G5
Microsoft 365 E5/A5/G5
Microsoft 365 安全版 E5/A5/F5/G5
Microsoft 365 合规性 E5/A5/F5/G5
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Microsoft 365 F5 安全性 + 合规性

有关详细信息，请参阅 Microsoft 365 中的应用治理和应用治理入门。

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint是一种终结点安全解决方案，包括：

基于风险的漏洞管理和评估
攻击面减少功能
基于行为和云驱动的下一代保护
终结点检测和响应 (EDR)
自动调查和修正
托管搜寻服务

有关详细信息，请参阅 Microsoft Defender for Endpoint。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft Defender for Endpoint计划 1 (P1)

Microsoft Defender for Endpoint P1 提供核心终结点保护功能，例如下一代反恶意软件、攻击面减少规则、设备控制、终结点防火墙、网络保护等。有关详细信息，请参阅Microsoft Defender for Endpoint计划 1 和计划 2。

Microsoft Defender for Endpoint P1 作为独立用户订阅许可证和 Microsoft 365 E3/A3/G3 的一部分提供。

Microsoft Defender for Endpoint 计划 2 (P2)

Microsoft Defender for Endpoint P2 提供全面的终结点保护功能，包括Microsoft Defender for Endpoint P1 的所有功能，以及终结点检测和响应、自动调查和修正、危险和漏洞管理、威胁情报、沙盒和 Microsoft 威胁专家。有关详细信息，请参阅Microsoft Defender for Endpoint文档。

Microsoft Defender for Endpoint P2 作为独立许可证和以下计划的一部分提供：

Windows 11 企业版 E5/A5
Windows 10 企业版 E5/A5
Microsoft 365 E5/A5/G5（包括 Windows 10 或 Windows 11 企业版 E5）
Microsoft 365 E5/A5/G5/F5 安全性
Microsoft 365 F5 安全性 & 合规性

Microsoft Defender for Endpoint服务器

服务器Microsoft Defender针对传统的本地服务器工作负载进行了优化，但也支持 Windows 和 Linux 服务器。服务器或虚拟机的每个操作系统环境 (OSE) 所需的单独许可证。

适用于 IoT 的Microsoft Defender – 企业 IoT 安全性

Microsoft Defender IoT – 企业 IoT 安全性与Microsoft Defender for Endpoint集成，通过单一体验发现、持续监视和管理企业 IoT 设备中的漏洞。

适用于 IoT 的Microsoft Defender – Microsoft 365 E5和Microsoft 365 E5 安全性订阅随附的企业 IoT 安全性

Microsoft Defender IoT – 企业 IoT 安全性包含在Microsoft 365 E5和Microsoft 365 E5 安全性订阅中。拥有这些订阅的客户有权Microsoft Defender IoT - 企业 IoT 安全覆盖范围，每个符合条件的用户许可证最多支持 5 个 eIoT 设备。

适用于 IoT 的Microsoft Defender - 每个设备附加产品的企业 IoT 安全性

Microsoft Defender IoT – 每个设备企业 IoT 安全性加载项适用于Microsoft Defender for Endpoint P2 或包含 Microsoft Defender for Endpoint P2 的订阅的客户：

Microsoft 365 A5/E5
Microsoft 365 A5/E5/F5 安全性
Microsoft 365 F5 安全性和合规性
Windows 10/11 企业版 A5/E5。

Microsoft Defender IoT – 企业 IoT 安全性每个设备附加许可证涵盖每个许可证一个 eIoT 设备。

有关详细信息，请参阅使用 Defender for Endpoint 在 Microsoft 365 中启用企业 IoT 安全性 - Microsoft Defender for IoT |Microsoft Learn。

Microsoft Defender 漏洞管理

Microsoft Defender漏洞管理作为独立用户订阅许可证和Microsoft Defender for Endpoint计划 2 客户的附加产品提供。

Defender 漏洞管理为 Windows、macOS、Linux、Android、iOS 和网络设备提供资产可见性、智能评估和内置修正工具。 Defender 漏洞管理利用 Microsoft 威胁情报、违规可能性预测、业务上下文和设备评估，快速且持续地确定最关键资产上最大的漏洞的优先级，并提供安全建议来降低风险。

Defender 漏洞管理独立： 没有 Defender for Endpoint 计划 2 的客户可以使用 Defender 漏洞管理独立解决方案补充其终结点检测和响应 (EDR) 解决方案，以满足其漏洞管理计划需求。

Defender 漏洞管理加载项：Microsoft Defender for Endpoint 计划 2 包括漏洞管理功能，可通过添加Microsoft Defender 漏洞管理加载项附带的新高级漏洞管理工具来增强这些功能。

Microsoft Defender 漏洞管理服务器Microsoft Defender for Endpoint加载项：为具有服务器Microsoft Defender for Endpoint的客户提供高级漏洞管理功能。

服务器计划 1 和 Defender for Servers 计划 2 的Microsoft Defender还包括对漏洞管理功能的访问。

有关详细信息，请参阅 Microsoft Defender 漏洞管理 |Microsoft Learn 和比较Microsoft Defender 漏洞管理计划和功能 |Microsoft Learn。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft Defender漏洞作为独立用户订阅许可证提供给商业、教育和政府云客户。
Defender 漏洞管理作为附加组件提供给组织，其功能包括：

Microsoft Defender for Endpoint计划 2 (独立)
Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/F5/G5 安全性
Microsoft 365 F5 安全性和合规性加载项
Windows 11 企业版 E5/A5/G5
Windows 10 企业版 E5/A5/G5

服务器Microsoft Defender for Endpoint Microsoft Defender 漏洞管理加载项可供具有服务器Microsoft Defender for Endpoint的组织使用。有关包含的功能的详细信息，请参阅比较Microsoft Defender 漏洞管理计划和功能 |Microsoft Learn。

Microsoft Defender for Identity

Microsoft Defender for Identity (以前是 Azure 高级威胁防护) ，是一项云服务，可帮助保护企业混合环境免受多种类型的高级定向网络攻击和内部威胁。 Microsoft Defender for Identity是按用户订阅许可证。

用户如何从服务中受益？

SecOp 分析师和安全专业人员受益于Microsoft Defender for Identity检测和调查高级威胁、泄露的标识和恶意内部操作的能力。最终用户通过Microsoft Defender for Identity监视其数据而受益。

哪些许可证为用户提供了从服务中受益的权利？

企业移动性 + 安全性 E5/A5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 安全性、Microsoft F5 安全 & 合规性和用户Microsoft Defender for Identity提供从中受益的权利Microsoft Defender for Identity。

如何预配/部署服务？

Microsoft Defender for Identity功能在租户级别为租户中的所有用户启用。有关配置Microsoft Defender for Identity的信息，请参阅创建Microsoft Defender for Identity实例。

如何只能将服务应用于租户中获得服务许可的用户？

某些租户服务（例如Microsoft Defender for Identity）目前无法将权益限制为特定用户。若要查看有关使用通过 Microsoft 许可计划获得的 Microsoft 产品和专业服务的条款和条件，请参阅产品条款。

Microsoft Defender for Office 365

Microsoft Defender for Office 365 (以前Office 365高级威胁防护) 可帮助保护组织免受网络钓鱼和零时差恶意软件等复杂攻击。 Microsoft Defender for Office 365还通过关联来自各种数据的信号来提供可操作的见解，以帮助识别、确定优先级并提供有关如何应对潜在威胁的建议。

用户如何从服务中受益？

Microsoft Defender for Office 365保护用户免受网络钓鱼和零日恶意软件等复杂攻击。有关计划 1 和计划 2 中提供的服务的完整列表，请参阅Microsoft Defender for Office 365。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft Defender for Office 365计划 1 和 2、Office 365 E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 安全性、Microsoft 365 F5 安全 & 符合性和Microsoft 365 商业高级版为用户提供从Microsoft Defender for Office 365中受益的权限。

此快速参考将帮助你了解每个Microsoft Defender for Office 365订阅附带的功能。结合对 EOP 功能的了解，可以帮助业务决策者确定最适合需要的 Microsoft Defender for Office 365。

Microsoft Defender for Office 365 计划 1与计划 2 备忘单

Defender for Office 365 计划 1	Defender for Office 365 计划 2
配置、保护和检测功能：安全附件安全链接用于 SharePoint、OneDrive 和 Microsoft Teams 的安全附件 Defender for Office 365 中的防钓鱼保护实时检测	Defender for Office 365计划 1 功能 ---以及--- 自动化、调查、修正和教育功能：威胁跟踪器威胁资源管理器自动调查和响应攻击模拟培训

有关详细信息，请转到Office 365安全性，包括Microsoft Defender for Office 365和Exchange Online Protection - Office 365 |Microsoft Docs。

如何预配/部署服务？

默认情况下，Microsoft Defender for Office 365功能在租户级别为租户中的所有用户启用。有关为许可用户配置Microsoft Defender for Office 365策略的信息，请参阅 Microsoft Defender for Office 365。

有关为许可用户配置安全链接的信息，请参阅 Microsoft Defender for Office 365 中的安全链接。
有关为许可用户配置安全附件的信息，请参阅 Microsoft Defender for Office 365 中的安全附件。

信息保护：Microsoft Purview 高级消息加密

Microsoft Purview 高级邮件加密可帮助客户履行合规性义务，这些义务要求对外部收件人及其对加密电子邮件的访问进行更灵活的控制。借助 Purview 高级邮件加密，管理员可以使用自动策略来控制组织外部共享的敏感电子邮件，这些策略可以检测敏感信息类型 (例如个人身份信息、财务或健康 ID) ，或者通过使用关键字通过安全 Web 门户应用自定义电子邮件模板和过期对加密电子邮件的访问权限来增强保护。此外，管理员可以随时撤销访问权限，从而进一步控制通过安全 Web 门户在外部访问的加密电子邮件。

用户如何从服务中受益？

邮件发件人受益于高级邮件加密提供的对敏感电子邮件的增强控制。

哪些许可证为用户提供了从服务中受益的权利？

Office 365 E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 符合性和 F5 安全 & 合规性，以及 Microsoft 365 E5/A5/F5/G5 信息保护和治理为用户提供从高级邮件加密中受益的权限。

如何预配/部署服务？

管理员在 Exchange 管理中心的邮件流>规则下创建和管理高级邮件加密策略。默认情况下，这些规则适用于租户中的所有用户。有关设置新的邮件加密功能的详细信息，请参阅设置新的Office 365消息加密功能。

如何只能将服务应用于租户中获得服务许可的用户？

管理员应仅对许可用户应用高级邮件加密的邮件流规则。有关定义邮件流规则的详细信息，请参阅定义邮件流规则以在 Office 365 中加密电子邮件。

信息保护：Microsoft Purview 邮件加密

Microsoft Purview 邮件加密是一项基于 Azure Rights Management (Azure RMS) 构建的服务，可用于向组织内部或外部的人员发送加密电子邮件，而不管目标电子邮件地址 (Gmail、Yahoo！ Mail、Outlook.com 等 ) 。

若要查看加密邮件，收件人可以使用一次性密码、通过 Microsoft 帐户登录或使用与 Office 365 关联的工作或学校帐户登录。此外，收件人也可发送加密回复。他们不需要订阅即可查看加密邮件或发送加密答复。

用户如何从服务中受益？

邮件发件人受益于对Office 365邮件加密提供的敏感电子邮件的控制。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft 365 F3/E3/A3/G3/E5/A5/G5 和 Microsoft 商业高级版
Office 365 A1/E3/A3/G3/E5/A5/G5
Azure 信息保护计划 1 还向组织提供了在添加到以下计划时从Office 365消息加密中受益的权限：Exchange Online Kiosk、Exchange Online计划 1、Exchange Online计划 2、Office 365 F3、Microsoft 365 商业基础版、Microsoft 365 商业标准版或 Office 365 企业版 E1

如何预配/部署服务？

管理员在 Exchange 管理中心的邮件流>规则下创建和管理Office 365邮件加密策略。默认情况下，这些规则适用于租户中的所有用户。有关设置新的Office 365消息加密功能的详细信息，请参阅设置新的邮件加密功能。

如何只能将服务应用于租户中获得服务许可的用户？

管理员应仅对许可用户应用Office 365邮件加密的邮件流规则。有关定义邮件流规则的详细信息，请参阅定义邮件流规则以加密电子邮件。

Microsoft Priva

有关详细信息，请参阅 Microsoft Priva。

Office 365 中的 Privileged Access Management

特权访问管理 (PAM) 提供对 Office 365 中特权管理员任务的精细访问控制。启用 PAM 后，若要完成提升和特权任务，用户需要通过具有高度范围和时间限制的审批工作流请求实时访问。

用户如何从服务中受益？

启用 PAM 可让组织以零长期权限运行。用户可以从额外的防御层中受益，该层可抵御由长期管理访问引起的漏洞，这些访问提供不受约束地访问其数据。

哪些许可证为用户提供了从服务中受益的权利？

Office 365 E5/A5、Microsoft 365 E5/A5、Microsoft 365 E5/A5/F5 符合性和 F5 安全 & 合规性，以及 Microsoft 365 E5/A5/F5 内部风险管理为用户提供从 PAM 中受益的权限。

如何预配/部署服务？

默认情况下，在租户级别为租户中的所有用户启用 PAM 功能。有关配置 PAM 策略的信息，请参阅特权访问管理入门。

如何只能将服务应用于租户中获得服务许可的用户？

客户可以通过审批者组和访问策略（可应用于许可用户）按用户管理 PAM。

Microsoft Purview 审核

有关详细信息，请参阅 Microsoft Purview 服务说明

Microsoft Purview 通信合规性

有关详细信息，请参阅 Microsoft Purview 服务说明

Microsoft Purview 合规性管理器

合规性管理器是Microsoft Purview 合规门户中的一项功能，可帮助你更轻松、更方便地管理组织的合规性要求。合规性管理器可以帮助你完成合规性之旅，从清查数据保护风险到管理实现控制的复杂性、及时了解最新法规和认证、以及向审核员报告。

合规性管理器通过提供以下功能来帮助简化合规性并降低风险：

针对常见行业和区域标准和法规的预生成评估。
工作流功能通过单一工具帮助你有效完成风险评估。
有关建议的改进操作的详细分步指南，可帮助你遵守与组织最相关的标准和法规。对于 Microsoft 管理的操作，你将看到实现详细信息和审核结果。
基于风险的合规性分数，通过衡量完成改进操作的进度，帮助你了解合规性状况。

谁可以访问合规性管理器？

合规性管理器适用于具有 Office 365 和 Microsoft 365 许可证的组织，以及美国政府社区云 (GCC) 、GCC High 和国防部 (DoD) 客户。评估可用性和管理功能取决于许可协议。

什么是高级模板？

高级模板是合规性管理器的附加价值和帮助：

将复杂的法规要求转换为特定控制措施
建议的改进操作
根据法规提供可量化的合规性度量值

合规性管理器提供 300 多个高级评估，客户可以使用这些评估来评估其是否符合各种全球、区域和行业法规和标准。

具有包含 Microsoft Exchange Online 许可证的订阅的任何客户均可购买 Compliance Manager 高级模板。

哪些高级模板可用？

下面是高级模板的列表。

默认情况下，包括哪些模板 (免费) ？

某些评估包含在合规性管理器和客户许可证类型中。有关详细信息，请参阅下表和常见问题解答：

许可证类型	评估模板 (默认包含) ¹
Microsoft 365 或 Office 365 A1/E1/F1/G1 Microsoft 365 或 Office 365 A3/E3/F3/G3	数据保护基线
Microsoft 365 或 Office 365 A5/E5/G5 Microsoft 365 A5/E5/F5/G5 合规性 Microsoft 365 A5/E5/F5/G5 电子数据展示和审核 Microsoft 365 A5/E5/F5/G5 内部风险管理 Microsoft 365 A5/E5/F5/G5 信息保护和治理	选择任意 3 个高级模板² 数据保护基线 CMMC 级别 1-5 (仅适用于 G5) 自定义评估

¹ 与法规相对应的模板现在将全部组合在一起，并被视为单个模板。例如，CMMC - 级别 1 和 CMMC - 级别 2 现在将计为一个模板。当该法规具有多个级别或版本时，无需为同一法规购买多个模板。
² 所有用户都需要获得许可。

Microsoft Purview 客户密码箱

有关详细信息，请参阅 Microsoft Purview 服务说明

Microsoft Purview 数据连接器

Microsoft 提供可在Microsoft Purview 合规门户中配置的第三方数据连接器。有关 Microsoft 提供的数据连接器列表，请参阅第三方数据连接器表。此表还汇总了在 Microsoft 365 中导入和存档数据后可应用于第三方数据的合规性解决方案，以及指向每个连接器的分步说明的链接。

用户如何从服务中受益？

使用数据连接器 (以前名为 Microsoft 365 数据连接器) 在 Microsoft 365 中导入和存档第三方数据的主要好处是，可以在导入数据后对数据应用各种 Microsoft Purview 解决方案。这有助于确保组织的非 Microsoft 数据符合影响组织的法规和标准。

哪些许可证为用户提供了从服务中受益的权利？

以下许可证为用户提供了从数据连接器中受益的权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/F5/G5 信息保护 &治理
Microsoft 365 E5/A5/G5/F5 合规性
Microsoft 365 F5 安全性 & 合规性
Microsoft 365 E5/A5/F5/G5 内部风险管理
Microsoft 365 E5/A5/F5/G5 电子数据展示和审核
Office 365 E5/A5/G5

对于 Microsoft 合作伙伴提供的Microsoft Purview 合规门户中的数据连接器，组织需要与合作伙伴建立业务关系，然后才能部署这些连接器。

如何预配/部署服务？

使用Microsoft Purview 合规门户和连接器目录配置连接器。

如何只能将服务应用于租户中获得服务许可的用户？

数据连接器服务是租户级值。每个打算从此服务中受益的用户都必须获得许可。

Microsoft Purview 数据生命周期管理和 Microsoft Purview 记录管理

Microsoft Purview 数据生命周期管理 (以前的 Microsoft 信息治理) 和Microsoft Purview 记录管理为你提供工具和功能来保留需要保留的内容并删除不需要的内容。组织通常会保留和删除内容以满足合规性和数据法规要求。删除不再具有业务价值的内容还有助于管理风险和责任。

数据生命周期管理和记录管理都使用保留策略、保留标签和保留标签策略来强制实施保留和删除设置。此外，此区域包括电子邮件存档功能。

保留策略的许可

对于组织范围、位置范围或包含/排除保留策略，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5/E3/A3/G3、商业高级版
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5/E3/A3/G3

如果保留策略位置是 Exchange 邮箱，则以下许可证还提供用户权限：

Exchange 计划 2
Exchange Online Archiving

如果保留策略位置为 SharePoint 或 OneDrive for Business，则以下许可证还提供用户权限：

SharePoint 计划 2

如果保留策略位置是 Microsoft Teams 聊天、频道或专用频道，则以下许可证还提供用户权限。对于 带下划线的计划，保留或删除期必须超过 30 天：

Microsoft 365 E5/G5/A5/E3/G3/A3/F3/F1、Business Basic、Business Standard 和 Business Premium
Office 365 E5/G5/A5/E3/G3/A3/F3/E1/G1
Microsoft 365 F5 合规性和 Microsoft 365 F5 安全性和合规性附加计划

如果保留策略使用自适应策略范围，则需要以下许可证之一来提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Office 365 E5/A5/G5
Microsoft 365 E5/A5/F5/G5 信息保护和治理

如果保留策略适用于 Microsoft 365 Copilot 交互，则以下许可证提供用户权限：

Microsoft 365 E3/E5 + Microsoft 365 Copilot
Microsoft 365 E3 + Microsoft E5 合规性 + Microsoft 365 Copilot
Microsoft 365 E3 + Microsoft E5 信息保护和治理 + Microsoft 365 Copilot

保留标签的许可

对于保留标签创建，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5/E3/A3/G3/F3/F1/Business Premium
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5/E3/A3/G3/F3/E1/A1/G1

以下保留标签创建设置：

基于事件类型启动保留期
在保留期结束时触发处置评审
在保留期内，将项目标记为记录或法规记录
保留期过后，自动更改保留标签，

需要以下特定许可证来提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Office 365 E5/A5/G5
Microsoft 365 E5/A5/F5/G5 信息保护和治理

保留标签策略的许可

保留标签通过以下三种方式之一应用于文件和电子邮件：

发布标签，以便最终用户可以使用它们进行手动标记。
通过保留标签策略配置自动应用它们。
通过其他应用程序方法（例如默认标签）。

若要发布保留标签，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5/E3/A3/G3/F3/F1/Business Premium
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5/E3/A3/G3/F3/E1/A1/G1

如果发布位置是 Exchange 邮箱，则Exchange Online计划 1 和计划 2 许可证提供用户权限。

如果发布位置为 SharePoint Online 或 OneDrive，则 SharePoint Online 计划 1 和计划 2 许可证提供用户权限。

保留标签的以下部署方法需要特定的许可：

自动应用于包含敏感信息的内容
自动应用于包含特定字词、短语或属性的内容
将默认保留标签应用于 SharePoint 文档库、文件夹或文档集
在保留标签策略中使用自适应策略范围

以下许可证为这些部署方法提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5

若要使用可训练的分类器自动应用保留标签，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理

其他保留标签应用程序方法

若要使用 Outlook 规则或 Outlook 默认文件夹策略应用标签，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5/E3/A3/G3/F3/F1/Business Premium
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5/E3/A3/G3/F3/E1/A1/G1

若要使用 SharePoint Syntex 模型应用保留标签，以下许可证提供用户权限。此外，还需要购买相应的 SharePoint Syntex 许可证。

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5

若要使用文件计划来维护保留标签（包括导入和导出），以下许可证提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5

若要使用自适应策略范围将适用于 Microsoft 365 的 Microsoft Copilot交互保留策略动态定位到特定用户和/或保留 Microsoft 365 Copilot 交互中共享的文档的确切版本，以下许可证提供用户权限：

Microsoft 365 E5 + Microsoft 365 Copilot
Microsoft 365 E3 + Microsoft E5 合规性 + Microsoft 365 Copilot
Microsoft 365 E3 + Microsoft 365 E5 信息保护和治理 + Microsoft 365 Copilot

Email存档

若要将 PST 文件批量导入到Exchange Online邮箱，以下许可证提供用户权限：

Exchange Online P2
Microsoft 365 E5/A5/G5/E3/A3/G3
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5/E3/A3/G3

若要启用存档邮箱和自动扩展存档，以下许可证提供用户权限：

存档邮箱限制为 50 GB
- Exchange Online 计划 1
- Office 365 E1
存档邮箱限制为 1.5 TB
- Exchange Online Archiving
- Exchange Online 计划 2
- Microsoft 365 E5/A5/G5/E3/A3/G3
- Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
- Microsoft 365 E5/A5/F5/G5 信息保护和治理
- Office 365 E5/A5/G5/E3/A3/G3
- Microsoft 365 商业高级版

哪些用户需要许可证？

从服务中受益的任何用户都需要许可证。有关服务条款 & 条件的详细信息，请参阅产品条款。下面是用户从服务中受益的示例：

Microsoft Purview 合规门户中分配了以下角色的用户：处置管理、记录管理、保留管理、View-Only 记录管理 View-Only 保留管理。
在网站上使用保留策略或保留标签策略时，SharePoint 网站所有者和成员。网站访问者不需要许可证。
当对网站、邮箱或 Teams 邮件使用保留策略或保留标签策略时，Microsoft 365 组所有者和成员。
对于用户邮箱，用户必须分配所需的许可证。
自适应策略范围中包含的用户、SharePoint 网站和Microsoft 365 组。

对于许多功能，共享邮箱或资源邮箱不需要分配许可证。对于需要以下许可证之一的功能，共享或资源邮箱确实需要分配许可证来提供使用权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5

非活动邮箱不需要使用许可证。

此外，共享邮箱限制为 50 GB，无需 Exchange 加载项。若要将大小限制增加到 100 GB，共享邮箱需要Exchange Online计划 2 或 Exchange Online Archiving + Exchange Online 计划 1。

Microsoft Purview 数据丢失防护：终结点数据丢失保护 (DLP)

组织可以使用Microsoft Purview 数据丢失防护 (DLP) 来检测确定为敏感项的活动，并帮助防止意外共享这些项目。有关 DLP 的更多详细信息，请参阅了解数据丢失防护（预览版）。

终结点数据丢失防护 (Endpoint DLP) 将 DLP 的活动检测和保护功能扩展到物理存储在 Windows 10、Windows 11 和 macOS (Catalina 10.15 及更高) 设备上的敏感项。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/F5/G5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护 &治理

如何预配/部署服务？

有关详细信息，请参阅终结点数据丢失防护入门 - Microsoft Purview (合规性) |Microsoft Docs和了解数据丢失防护 - Microsoft Purview (合规性) |Microsoft Docs。

使用 Microsoft Purview 合规门户，可将终结点 DLP 策略的范围限定为登录到已载入设备的用户。当限定范围的用户登录到已载入的设备时，将评估策略。有关更多详细信息，请查看适用于设备的 Microsoft Endpoint DLP 交互式指南。

用户能够将其加密数据迁移到云，从而受益于双密钥加密，只要密钥仍控制用户，就可以阻止第三方访问。用户可以保护和使用双密钥加密内容，类似于任何其他敏感度标签受保护内容。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/F5/G5 符合性和 Microsoft 365 F5 安全 & 合规性、Microsoft 365 E5/A5/G5 信息保护和治理，EMS E5 为用户提供从双密钥加密中受益的权限。

以下许可证提供 (DKE) 应用双密钥加密的权限，以防止 Copilot 访问敏感数据：

Microsoft 365 E5 + Microsoft 365 Copilot
Microsoft 365 E3 + Microsoft E5 合规性 + Microsoft 365 Copilot
Microsoft 365 E3 + Microsoft 365 E5 信息保护和治理 + Microsoft 365 Copilot

如何预配/部署服务？

双密钥加密支持桌面版 Microsoft Office for Windows。

如何只能将服务应用于租户中获得服务许可的用户？

若要为许可用户向Office 365和/或 Microsoft 365 组织中的数据分配加密密钥，请按照双密钥加密部署说明进行操作。

Microsoft Purview 数据丢失防护：针对 Exchange Online、SharePoint Online 和 OneDrive for Business 的数据丢失防护 (DLP)

使用 Exchange Online 的 Microsoft Purview 数据丢失防护、SharePoint Online 和以前名为 Microsoft Office 365 的OneDrive for Business (数据丢失防护) ，组织可以跨电子邮件和文件识别、监视和自动保护敏感信息， (包括存储在 Microsoft Teams 文件存储库) 中的文件。

用户如何从服务中受益？

在检查电子邮件和文件时，用户可以从 DLP for Exchange Online、SharePoint Online 和 OneDrive for Business中受益，如组织的 DLP 策略中配置的那样。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft 365 E5/A5/G5/E3/A3/G3、Microsoft 365 商业高级版、SharePoint Online 计划 2、OneDrive for Business（计划 2）、Exchange Online计划 2
Office 365 E5/A5/G5/E3/A3/G3
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理

如何预配/部署服务？

默认情况下，Exchange Online电子邮件、SharePoint 网站和 OneDrive 帐户是启用位置， (工作负荷) 租户中的所有用户使用这些 DLP 功能。有关使用 DLP 策略的详细信息，请参阅数据丢失防护概述。

如何只能将服务应用于租户中获得服务许可的用户？

管理员可以自定义 (工作负载的位置) 、包括用户，以及排除Microsoft Purview 合规门户中的用户。

Microsoft Purview 数据丢失防护：Teams 的数据丢失防护 (DLP)

使用 DLP for Teams，组织可以阻止包含敏感信息的聊天和频道消息，例如财务信息、个人身份信息、运行状况相关信息或其他机密信息。

哪些用户受益于该服务？

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5

用户如何从服务中受益？

发件人可以通过检查其传出聊天和频道消息中的敏感信息来获取敏感信息，如组织的 DLP 策略中配置的那样。

如何预配/部署服务？

默认情况下，Teams 聊天和频道消息是租户中所有用户的这些 DLP 功能的 已启用位置 (工作负载) 。若要为 Teams 启用数据丢失防护，必须在 Microsoft 365 管理门户中的上述许可证之一下选择“Microsoft 通信 DLP”服务。有关使用 DLP 策略的详细信息，请参阅数据丢失防护概述。

如何只能将服务应用于租户中获得服务许可的用户？

管理员可以自定义 (工作负载的位置，) 、包括用户和Microsoft Purview 合规门户中排除的用户。

Microsoft Purview 数据丢失防护：用于 Teams 数据丢失防护 (DLP) 和 Teams 导出的图形 API

这些 API 使开发人员可以构建安全与合规性应用，这些应用可以近乎实时地“侦听”Microsoft Teams 消息，或在 1：1/群组聊天或 Teams 频道中导出团队消息。这些 API 为客户和 ISV 启用 DLP 和其他信息保护和治理方案。此外，Microsoft Graph 修补程序 API 允许将 DLP 操作应用于 Teams 消息。

用户如何从服务中受益？

数据丢失防护 (DLP) 功能在 Microsoft Teams 中广泛使用，尤其是在组织转向远程工作时。如果组织具有 DLP，现在可以定义阻止用户在 Microsoft Teams 频道或聊天会话中共享敏感信息的策略。

信息保护和治理功能在 Microsoft Teams 中广泛使用，尤其是在组织转向远程工作时。使用 Teams 导出 API，可将数据导出到第三方电子数据展示或合规性存档应用程序，以确保符合性做法。

哪些许可证为用户提供了从服务中受益的权利？

Office 365 E5/A5/G5
Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/F5/G5 合规性和 Microsoft 365 F5 安全 & 符合性
Microsoft 365 E5/A5/F5/G5 信息保护和治理

如何预配/部署服务？

API 访问是在租户级别配置的。若要为 Teams DLP 启用 Microsoft Graph API，必须在 Microsoft 365 管理中的上述许可证之一下选择“Microsoft Communications DLP”服务。

如何只能将服务应用于租户中获得服务许可的用户？

适用于 Teams DLP 和 Teams 导出的 Microsoft Graph API 提供租户级值。每个打算从此服务中受益的用户都必须获得许可。作为一种附加价值，我们将为每个许可用户添加种子容量，每月计算，并在租户级别聚合。对于超出种子容量的使用，应用所有者将按 API 使用量计费。

有关种子设定容量和消耗费用的详细信息，请参阅访问聊天消息的图形要求。

Microsoft Purview 电子数据展示

有关详细信息，请参阅 Microsoft Purview 服务说明

Microsoft Purview 信息屏障

信息屏障是管理员可以配置的策略，以防止个人或组相互通信。例如，如果一个部门正在处理不应与其他部门共享的信息，或者需要阻止某个组与外部联系人通信，则这很有用。信息屏障策略还会阻止查找和发现。这意味着，如果尝试与不应与之通信的人通信，则无法在人员选取器中找到该用户。

用户如何从服务中受益？

当用户被限制与他人通信时，他们受益于信息屏障的高级合规性功能。可以定义信息屏障策略，以防止某些用户段与每个用户通信，或允许特定段仅与某些其他段通信。有关定义信息屏障策略的详细信息，请参阅定义信息屏障 (IB) 策略。定义 IB 策略 (阻止或允许) 时，属于“已分配段”下定义的段的用户需要许可证。 下面是两个示例方案：

应用场景	谁需要许可证？
1. IB 阻止策略 - 组 1 和组 2 (两个组) 无法相互通信 (即组 1 用户限制与组 2 用户通信，组 2 用户被限制与组 1 用户通信。) 示例： New-InformationBarrierPolicy-Name“Group1-Group2” -AssignedSegment“Group1”-SegmentsBlocked“Group2” New-InformationBarrierPolicy-Name“Group2-Group1” -AssignedSegment“Group2”-SegmentsBlocked“Group1”	组 1 和组 2 中的用户
2. IB 允许策略 - 三个组 (组 1、组 2 & 组 3) 只允许与组 4 和组 5 通信。示例： New-InformationBarrierPolicy-Name“Group1-Group4 Group5” -AssignedSegment“Group1”-SegmentsAllowed“Group4，Group5” New-InformationBarrierPolicy-Name“Group2-Group4 Group5” -AssignedSegment“Group2”-SegmentsAllowed“Group4，Group5” New-InformationBarrierPolicy-Name“Group3-Group4 Group5” -AssignedSegment“Group3”-SegmentsAllowed“Group4，Group5”	组 1、组 2 & 组 3 中的用户

应用场景

谁需要许可证？

1. IB 阻止策略 - 组 1 和组 2 (两个组) 无法相互通信 (即组 1 用户限制与组 2 用户通信，组 2 用户被限制与组 1 用户通信。)

示例：

New-InformationBarrierPolicy-Name“Group1-Group2” -AssignedSegment“Group1”-SegmentsBlocked“Group2”

New-InformationBarrierPolicy-Name“Group2-Group1” -AssignedSegment“Group2”-SegmentsBlocked“Group1”

组 1 和组 2 中的用户

2. IB 允许策略 - 三个组 (组 1、组 2 & 组 3) 只允许与组 4 和组 5 通信。

示例：

New-InformationBarrierPolicy-Name“Group1-Group4 Group5” -AssignedSegment“Group1”-SegmentsAllowed“Group4，Group5”

New-InformationBarrierPolicy-Name“Group2-Group4 Group5” -AssignedSegment“Group2”-SegmentsAllowed“Group4，Group5”

New-InformationBarrierPolicy-Name“Group3-Group4 Group5” -AssignedSegment“Group3”-SegmentsAllowed“Group4，Group5”

组 1、组 2 & 组 3 中的用户

哪些许可证为用户提供了从服务中受益的权利？

Microsoft 365 E5/G5/A5/A3/A1
Office 365 E5/A5/A3/A1
Microsoft 365 E5/F5 合规性
Microsoft 365 E5/G5/A5 内部风险管理
Microsoft 365 F5 安全性 + 合规性
Office 365 E3 + 企业移动性 & 安全性 E3 + E5 合规性
Office 365 E3 + 企业移动性 & 安全性 E3 + 内部风险管理
Office 365 高级合规版加载项 (不再可用于新订阅)

如何预配/部署服务？

管理员使用Microsoft Purview 合规门户中的 PowerShell cmdlet 创建和管理信息屏障策略。必须为管理员分配Microsoft 365 企业版全局管理员、Office 365全局管理员或合规性管理员角色才能创建信息屏障策略。默认情况下，这些策略适用于租户中的所有用户。有关信息屏障的详细信息，请参阅 Microsoft Teams 中的信息屏障。

如何只能将服务应用于租户中获得服务许可的用户？

管理员可以自定义 (工作负载的位置，) 、包括用户和Microsoft Purview 合规门户中排除的用户。有关详细信息，请参阅 Teams中的信息屏障。

Microsoft Purview 信息保护：客户密钥

使用客户密钥 (以前名为 Microsoft 365) 的客户密钥，可以控制组织的加密密钥，并将 Microsoft 365 配置为使用它们加密 Microsoft 数据中心内的静态数据。换句话说，客户密钥允许你使用自己的密钥添加属于你的加密层。客户密钥通过 Microsoft 365 静态数据加密服务为多个 Microsoft 365 工作负载提供静态数据加密支持。此外，客户密钥为 SharePoint Online 和OneDrive for Business数据提供加密，以及Exchange Online邮箱级别加密。

用户如何从服务中受益？

通过使用由自己的组织提供、控制和管理的加密密钥，在应用程序层对静态数据进行加密，用户可以从客户密钥中受益。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 符合性、365 F5 安全 & 合规性、Microsoft 365 E5/A5/G5/F5 信息保护和治理以及 Office 365 E5/A5/G5 为用户提供从客户密钥中受益的权限。若要获得客户密钥的全部权益，还必须拥有 Azure 密钥保管库订阅。

如何预配/部署服务？

设置客户密钥一文介绍了创建和配置所需 Azure 资源所需的步骤，然后提供了设置客户密钥的步骤。

如何只能将服务应用于租户中获得服务许可的用户？

提供多工作负载加密支持的 Microsoft 365 静态数据服务是租户级别的服务。尽管从技术上讲，某些未授权的用户可能能够访问该服务，但你打算从服务中受益的任何用户都需要许可证。对于Exchange Online邮箱级别加密，用户邮箱需要获得许可才能分配数据加密策略。

Microsoft Purview 信息保护：数据分类分析：内容 & 活动资源管理器概述

Microsoft Purview 合规门户内提供数据分类分析功能。概述显示数字内容的位置以及最常见的敏感信息类型和标签。内容资源管理器提供敏感数据的数量和类型的可见性，并允许用户按标签或敏感度类型进行筛选，以获取存储敏感数据的位置的详细视图。活动资源管理器显示与敏感数据和标签相关的活动，例如标签降级或可能使内容面临风险的外部共享。

活动资源管理器为管理员提供了一个单一管理平台，用于了解与最终用户正在使用的敏感信息相关的活动。这些数据包括标签活动、数据丢失防护 (DLP) 日志、自动标记、终结点 DLP 等。

通过内容资源管理器，管理员可以为存储在受支持的 Microsoft 365 工作负载中的敏感文档编制索引，并识别他们存储的敏感信息。此外，内容资源管理器还有助于识别使用敏感度和保留标签进行分类的文档。

用户如何从服务中受益？

信息保护和合规性管理员可以访问服务来访问这些日志和索引数据，以了解敏感数据的存储位置，以及哪些活动与此数据相关并由最终用户执行。

哪些许可证为用户提供了从服务中受益的权利？

Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5 合规性、Microsoft 365 E5/A5/G5 信息保护 &治理和Office 365 E5的许可用户可以从 Microsoft 365 数据分类分析中受益。

Microsoft 365 E3/A3/G3 和 Office 365 E3/A3/G3 仅允许用户从内容资源管理器数据聚合中受益。

如何预配/部署服务？

默认情况下，在租户级别为租户中的所有用户启用概述内容和活动资源管理器功能。有关为许可用户配置数据分类分析的信息，请参阅：

内容资源管理器：内容资源管理器入门。
活动资源管理器：活动资源管理器入门。
数据分类发行说明：数据分类发行说明。

如何只能将服务应用于租户中获得服务许可的用户？

此功能的范围需要限定为在 Microsoft Purview 合规门户内主动使用该解决方案的用户。

Microsoft Purview 信息保护：双密钥加密

双密钥加密 (以前名为 Microsoft 365) 的双密钥加密可让你保护高度敏感的数据，以满足专用要求，并保持对加密密钥的完全控制。双密钥加密使用两个密钥来保护数据，其中一个密钥在控制中，第二个密钥由 Microsoft Azure 安全存储。若要查看数据，必须有权访问这两个密钥。由于 Microsoft 只能访问一个密钥，因此你的密钥和数据对 Microsoft 不可用，从而确保你完全控制数据的隐私和安全。

用户如何从服务中受益？

哪些许可证为用户提供了从服务中受益的权利？

如何预配/部署服务？

双密钥加密支持桌面版 Microsoft Office for Windows。

如何只能将服务应用于租户中获得服务许可的用户？

若要为许可用户向Office 365和/或 Microsoft 365 组织中的数据分配加密密钥，请按照双密钥加密部署说明进行操作。

Microsoft Purview 信息保护：敏感度标记

信息保护可帮助组织发现、分类、标记和保护敏感文档、电子邮件和会议以及组和网站。管理员可以定义规则和条件以自动应用标签，用户可以手动应用标签，也可以使用这两者的组合，其中向用户提供应用标签的建议。

用户如何从服务中受益？

用户能够创建、手动应用或自动应用敏感度标签，并使用应用敏感度标签的内容，从而受益匪浅。

哪些许可证为用户提供了从服务中受益的权利？

对于 手动敏感度标记，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5/E3/A3/G3/F1/F3/Business Premium/OneDrive for Business（计划 2）
企业移动性 + 安全性 E3/E5
Office 365 E5/A5/E3/A3
AIP 计划 1
AIP 计划 2

对于 计划的会议的手动敏感度标记，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性
Microsoft E5/A5/G5/F5 信息保护和治理
Microsoft 365 F5 安全性 & 合规性
Office 365 E5/A5

对于 Teams 联机会议的手动敏感度标记，以下附加许可证提供用户权限：

Microsoft 365 E5/A5/G5 + Teams 高级版
Microsoft 365 E5/A5/G5/F5 合规性 + Teams 高级版
Microsoft E5/A5/F5/G5 信息保护和治理 + Teams 高级版
Microsoft 365 F5 安全性 & 合规性 + Teams 高级版
Office 365 E5/A5 + Teams 高级版

为了 将 Microsoft 365 Copilot 的标签从输入继承到输出，以下附加许可证提供用户权限：

Microsoft 365 E3/E5 + Microsoft 365 Copilot

对于 Microsoft 365 Copilot 生成的内容的敏感度标签，以下附加许可证提供用户权限：

Microsoft 365 E5 + Microsoft 365 Copilot
Microsoft 365 E3 + Microsoft E5 合规性 + Microsoft 365 Copilot
Microsoft 365 E3 + Microsoft E5 信息保护和治理 + Microsoft 365 Copilot

对于 客户端和服务端自动敏感度标记，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft E5/F5 合规性
Microsoft F5 安全性 & 合规性
Microsoft 365 E5/A5/G5 信息保护和治理
Office 365 E5/A5/G5

仅对于客户端自动敏感度标记，以下许可证提供用户权限：

企业移动性 + 安全性 E5/A5/G5
AIP 计划 2

若要 在 Power BI 中应用和查看敏感度标签，并在数据从 Power BI 导出到 Excel、PowerPoint 或 PDF 时保护数据，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5/E3/A3/G3/F1/F3/Business Premium
企业移动性 + 安全性 E3/E5
AIP 计划 1
AIP 计划 2

若要 将默认敏感度标签应用于 SharePoint 文档库，以下许可证提供用户权限：

Microsoft Syntex - SharePoint 高级管理
Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性
Microsoft 365 F5 安全性和合规性
Microsoft 365 E5/A5/G5/F5 信息保护和治理
Office 365 E5/A5/G5

为了使用敏感度标签通过身份验证上下文将条件访问策略应用于 SharePoint 网站，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5 信息保护和治理
Office 365 E5/A5/G5

注意

还可以通过 Set-SPOSite PowerShell cmdlet 直接通过身份验证上下文将条件访问策略应用到 SharePoint 网站，以下许可证提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/F5 合规性
Microsoft 365 E5 信息保护和治理
Office 365 E5/A5/G5
Microsoft Syntex - SharePoint 高级管理

若要了解有关这些功能的详细信息，请参阅 SharePoint 网站和 OneDrive 的条件访问策略 - Microsoft 365 中的 SharePoint |Microsoft Learn。

有关用户如何从 AIPService PowerShell 模块中受益以管理 Azure 信息保护的 Azure Rights Management 保护服务的信息，请参阅 Azure 信息保护。

注意

除了上述许可信息：

除了高级/P2 许可证之外，还必须分配标准/计划 1 许可证，以便用户有权访问 Office 365 和 AIP 信息保护的敏感度标签，即使分配了高级许可证/计划 2 也是如此。例如，如果将 Office 365 Premium 的信息保护分配给用户，则该用户还必须信息保护为 Office 365 Standard 分配，以便提供敏感度标记。如果将 AIP P2 分配给用户，该用户还必须分配 AIP P1。
Power BI 包含在 Microsoft 365 E5/A5/G5 中;在所有其他计划中，Power BI 必须单独获得许可。
有关基于机器学习的自动分类的用户权益信息， (可训练的分类器) ，请参阅信息治理和/或记录管理。
(MIP) 不支持或不适用于Office 365应用的基于设备的许可的敏感度按钮。

如何预配/部署服务？

默认情况下，在租户级别为租户中的所有用户启用信息保护功能。有关为许可用户配置策略的信息，请参阅激活 Azure Rights Management。

如何只能将服务应用于租户中获得服务许可的用户？

除非使用 Microsoft Purview 信息保护扫描程序 (以前称为 AIP 扫描程序，现在可通过 Purview 合规性门户) 功能进行访问，否则策略可以限定为特定组或用户，并且可以编辑注册表以防止未经许可的用户运行分类或标记功能。

对于 Microsoft Purview 信息保护扫描程序功能，Microsoft 不承诺向未获得许可的用户提供文件分类、标记或保护功能。

有关更多信息，请参阅：

Microsoft Purview 内部风险管理

有关详细信息，请参阅 Microsoft Purview 服务说明

内部风险管理取证证据

内部风险管理的取证证据加载项是什么？

取证证据是 Microsoft Purview 内部风险管理中的一项选择加入容量附加功能，可让安全团队直观地洞察潜在的内部数据安全事件，并内置了用户隐私。

哪个许可证为客户提供了从服务中受益的权利？

具有 Microsoft 365 E5/G5、Microsoft 365 E5/G5 合规性或Microsoft 365 E5/G5 预览体验成员风险管理许可证的组织可以使用适用于预览体验计划风险管理的取证证据加载项。

客户可以每月 100 GB 的单位购买取证证据加载项。对于管理员配置的取证证据策略中限定的用户，将根据租户级别的取证证据引入对购买的容量进行计量。

客户如何访问该服务？

客户可以在Microsoft Purview 合规门户访问服务。可以在我们的技术文档中了解有关法医证据的详细信息。