如何调整敏感度标签的离线访问期限

更改敏感度标签的离线访问期限

离线访问让Outlook等客户端能够处理受保护内容

使用Microsoft Purview敏感度标签保护机密文件和消息似乎越来越普遍。尽管微软没有公布使用敏感度标签的Microsoft 365租户数量，或者受敏感度标签保护的SharePoint Online和OneDrive for Business中文件的比例，但我猜测过去几年的使用量一直在稳步增长。微软确实通过在不同地方增加使用来鼓励使用敏感度标签。

对受保护内容的离线访问

通过分配敏感度标签应用加密来保护文件是核心功能。加密由Azure Rights Management服务管理，该服务控制通过敏感度标签设置分配给用户的访问权限的解释和执行。

当经过身份验证的用户尝试访问受保护项目时，他们会从Azure Rights Management服务获取使用许可证。使用许可证是一个证书，包含项目的访问权限（如用户是否可以打印项目）、用于加密内容的加密密钥，以及访问是否在任何时间点过期。重要的是，使用许可证的有效期是有限的。

如果对项目的访问没有日期限制，服务会根据敏感度标签中包含的离线访问设置（默认为30天）发出具有有效期的使用许可证。有效期控制用户下次必须重新进行身份验证以继续访问项目的时间。实际上，在有效期内，使用许可证的存在意味着用户无需证明其访问内容的权利。这就是Outlook等客户端对受保护内容进行离线访问的基础。

为敏感度标签设置访问期限

您可以按标签或租户范围限制离线访问的最长期限。要更改标签的有效期，请编辑"允许离线访问"设置（图1）并选择离线访问的天数。"始终"表示标签使用租户的最大有效期。"从不"表示受该标签保护的项目无法离线访问。

图1：设置敏感度标签的有效期

更改租户的最大有效期

敏感度标签的离线访问期限不能超过租户的最大有效期。虽然30天在频繁的用户重新授权和维护离线内容安全性之间取得了良好平衡，但有些人认为较短的时间更好，因为它限制了离开组织的人员访问敏感信息的能力。

无论如何，租户管理员可以使用PowerShell通过AIPService模块中的Set-AipServiceMaxUseLicenseValidityTime cmdlet更改租户的有效期设置。AIPService模块仅支持Windows PowerShell（5.1）。不要在PowerShell 7上尝试运行它。以下是将期限设置为14天的示例：

Import-Module AIPService
Connect-AipService
Set-AipServiceMaxUseLicenseValidityTime 14

WARNING: The MaxUseLicenseValidityTime will be updated by this operation.

Confirm
Are you sure you want to perform this action?
Performing the operation "Set-AipServiceMaxUseLicenseValidityTime" on target "current organization".
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): y

The MaxUseLicenseValidityTime for the Azure Information Protection service has been successfully set to 14.

Get-AipServiceMaxUseLicenseValidityTime
14

调整后的有效期仅适用于新发布的使用许可证。新值可以是0到65535天之间的任何值（这对任何人来说都应该足够了）。

部署前测试

与往常一样，最好在测试租户中更改最大有效期等设置，以评估更改是否会破坏任何内容。我认为不会，但最好先测试、评估，然后再部署。