嘿，这个问题问到点子上了，刚好戳中敏感度标签里发布范围和加密权限两个容易混淆的核心逻辑，我给你拆解清楚：

• 首先得明确：标签的发布范围和加密权限是完全独立的两个设置：
  • 发布范围管的是「哪些用户能在自己的应用里看到这个标签、并给文件贴上它」
  • 加密权限管的是「哪些用户能访问被这个标签加密后的文件」
• 回到你的场景：你给标签设置的加密规则是「仅组织内用户可访问」（也就是那100个全员），那剩下的90个用户，哪怕看不到这个标签没法主动应用它，但只要他们是组织内的合法用户，只要能拿到文件本身（比如别人共享给他们、或者通过邮件收到），就可以正常打开访问这个加密文件。
• 反过来，如果你的需求是「只有那10个能看到标签的用户才能访问加密文件」，那光设置发布范围不够，得修改标签的加密权限配置，把允许访问的用户直接指定为那10个人，而不是整个组织。

备注：内容来源于stack exchange，提问作者variable