Příručka pro správu: Vlastní konfigurace pro klienta Azure Information Protection Classic
Následující informace použijte pro pokročilé konfigurace, které můžou být potřeba v určitých situacích nebo u části uživatelů při správě klienta Azure Information Protection.
Některá z těchto nastavení vyžadují úpravu registru a určitá upřesňující nastavení, která se musí konfigurovat na portálu Azure Portal a následně publikovat, aby si je klienti mohli stáhnout.
Konfigurace upřesňujícího nastavení konfigurace klasického klienta na portálu
Pokud jste to ještě neudělali, přihlaste se do Azure Portal v novém okně prohlížeče a přejděte do podokna Azure Information Protection.
V nabídce Popisky> klasifikace: Vyberte zásady.
V podokně Azure Information Protection – Zásady vyberte místní nabídku (...) vedle zásady, která bude obsahovat upřesňující nastavení. Pak vyberte Upřesnit nastavení.
Upřesňující nastavení můžete nakonfigurovat jak pro globální zásady, tak pro zásady s vymezeným oborem.
V podokně Upřesnit nastavení zadejte název a hodnotu upřesňujícího nastavení a pak vyberte Uložit a zavřít.
Ujistěte se, že uživatelé pro tuto zásadu restartují všechny Office aplikace, které měli otevřené.
Pokud už nastavení nepotřebujete a chcete se vrátit k výchozímu chování: V podokně Upřesnit nastavení vyberte místní nabídku (...) vedle nastavení, které už nepotřebujete, a pak vyberte Odstranit. Potom klikněte na Uložit a zavřít.
Dostupná rozšířená nastavení klasického klienta
Zabránění výzvám k přihlášení u počítačů jenom s AD RMS
Klient Azure Information Protection se ve výchozím nastavení pokouší připojit ke službě Azure Information Protection. U počítačů, které komunikují jenom se službou AD RMS, může tato konfigurace vést ke zbytečné výzvě k přihlášení uživatelů. Tuto výzvu k přihlášení můžete zabránit úpravou registru.
Najděte následující název hodnoty a pak nastavte data hodnoty na 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Bez ohledu na toto nastavení klient Azure Information Protection stále sleduje standardní proces zjišťování služby RMS, aby našel svůj cluster AD RMS.
Přihlášení jako jiný uživatel
Pokud uživatelé používají v produkčním prostředí klienta Azure Information Protection, nepotřebují se obvykle přihlásit jako jiný uživatel. Jako správce se ale zřejmě budete během testování muset přihlásit jako jiný uživatel.
To, ke kterému účtu jste právě přihlášení, můžete ověřit v dialogovém okně Microsoft Azure Information Protection: Otevřete aplikaci Office a na kartě Domů ve skupině Ochrana kliknete na Zamknout a potom kliknete na Nápověda a zpětná vazba. Název účtu se zobrazí v části Stav klienta.
Nezapomeňte taky zkontrolovat název domény přihlášeného účtu, který se zobrazí. Snadno se může stát, že se přihlásíte se správným účtem, ale nesprávnou doménou. Špatný účet můžete poznat například podle toho, že se vám nedaří stáhnout zásady Azure Information Protection nebo že nevidíte popisky nebo chování, které jste očekávali.
Postup přihlášení jako jiný uživatel:
Přejděte na %localappdata%\Microsoft\MSIP a odstraňte soubor TokenCache .
Restartujte všechny spuštěné aplikace Office a přihlaste se pomocí jiného uživatelského účtu. Pokud se v aplikaci Office nezobrazí výzva k přihlášení ke službě Azure Information Protection, vraťte se do dialogového okna Microsoft Azure Information Protection a klikněte na možnost pro přihlášení v aktualizované části Stav klienta.
Dále:
Pokud je klient Azure Information Protection po dokončení těchto kroků stále přihlášený pomocí starého účtu, odstraňte všechny soubory cookie z Internet Exploreru a opakujte kroky 1 a 2.
Pokud používáte jednotné přihlašování, musíte se po odstranění souboru tokenu odhlásit z Windows a přihlásit se pomocí jiného uživatelského účtu. Klient Azure Information Protection se pak automaticky ověří pomocí aktuálního účtu, přes který jste přihlášení.
Toto řešení je podporováno při přihlášení jako jiný uživatel ze stejného tenanta. Není naopak podporováno při přihlášení jako jiný uživatel z jiného tenanta. K otestování Azure Information Protection s více tenanty použijte různé počítače.
Pomocí možnosti Nastavení resetování z nápovědy a zpětné vazby se můžete odhlásit a odstranit aktuálně stažené zásady Azure Information Protection.
Vynucení režimu jen pro ochranu v případech, kdy má vaše organizace kombinaci licencí
Pokud vaše organizace nemá žádné licence pro Azure Information Protection, ale má licence pro Microsoft 365, které zahrnují službu Azure Rights Management pro ochranu dat, klasický klient AIP se automaticky spouští v režimu jen pro ochranu.
Pokud ale vaše organizace má předplatné pro Azure Information Protection, můžou si ve výchozím nastavení stáhnout zásady Azure Information Protection všechny Windows počítače. Klient Azure Information Protection neprovádí kontrolu a vynucování licencí.
Pokud máte některé uživatele, kteří nemají licenci pro Azure Information Protection ale mají licenci pro Microsoft 365, která zahrnuje službu Azure Rights Management, upravte registr na počítačích těchto uživatelů, aby uživatelé nemohli spouštět nelicencované funkce klasifikace a označování z Azure. Information Protection.
Najděte následující název hodnoty a nastavte data hodnoty na 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Kromě toho zkontrolujte, jestli tyto počítače nemají soubor s názvem Policy.msip ve složce %LocalAppData%\Microsoft\MSIP . Pokud tento soubor existuje, odstraňte ho. Tento soubor obsahuje zásady Azure Information Protection a mohly se stáhnout před úpravou registru nebo pokud se klient Azure Information Protection nainstaloval s možností ukázky.
Přidání zprávy o problému pro uživatele
Tato konfigurace využívá upřesňující nastavení klienta, které se musí konfigurovat na portálu Azure Portal.
Když zadáte následující upřesňující nastavení klienta, zobrazí se uživatelům možnost Nahlásit problém , kterou můžou vybrat z dialogového okna Nápověda a Váš názor . Zadejte řetězec HTTP pro odkaz. Například přizpůsobená webová stránka, kterou máte pro uživatele k nahlášení problémů, nebo e-mailovou adresu, která přejde na helpdesk.
Toto upřesňující nastavení nakonfigurujete zadáním následujících řetězců:
Klíč: ReportAnIssueLink
Hodnota: <Řetězec> HTTP
Příklad hodnoty webu: https://support.contoso.com
Příklad hodnoty pro e-mailovou adresu: mailto:helpdesk@contoso.com
Skrytí možnosti nabídky Klasifikovat a chránit v Průzkumníkovi souborů Windows
Vytvořte tento název hodnoty DWORD (s případnými daty hodnoty):
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable
Podpora odpojených počítačů
Klient Azure Information Protection se ve výchozím nastavení pokouší připojit ke službě Azure Information Protection a stáhnout si nejnovější zásady Azure Information Protection. Pokud máte počítače, o kterých víte, že se nebudete moct připojit k internetu po určitou dobu, můžete zabránit tomu, aby se klient pokusil připojit ke službě úpravou registru.
Mějte na paměti, že bez připojení k internetu nemůže klient použít ochranu (nebo odebrat ochranu) pomocí cloudového klíče vaší organizace. Místo toho je klient omezen na použití popisků, které používají pouze klasifikaci, nebo ochranu, která používá HYOK.
Můžete zabránit přihlášení ke službě Azure Information Protection pomocí rozšířeného nastavení klienta, které musíte nakonfigurovat v Azure Portal a pak stáhnout zásady pro počítače. Nebo můžete této výzvě pro přihlášení zabránit úpravou registru.
Konfigurace rozšířeného nastavení klienta:
Zadejte následující řetězce:
Klíč: PullPolicy
Hodnota: False
Stáhněte si zásadu s tímto nastavením a nainstalujte ji do počítačů pomocí následujících pokynů.
Případně můžete upravit registr:
Najděte následující název hodnoty a pak nastavte data hodnoty na 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Klient musí mít platný soubor zásad s názvem Policy.msip ve složce %LocalAppData%\Microsoft\MSIP .
Globální zásady nebo vymezené zásady můžete exportovat z Azure Portal a zkopírovat exportovaný soubor do klientského počítače. Tuto metodu můžete také použít k nahrazení zastaralého souboru zásad nejnovějšími zásadami. Export zásad však nepodporuje scénář, kdy uživatel patří do více než jedné vymezené zásady. Mějte také na paměti, že pokud uživatelé vyberou možnost Obnovit Nastavení v nápovědě a zpětné vazbě, tato akce odstraní soubor zásad a vykreslí klienta nepoužitelný, dokud ručně nenahradíte soubor zásad nebo se klient připojí ke službě, aby si stáhl zásadu.
Při exportu zásad z Azure Portal se stáhne soubor zip, který obsahuje více verzí zásad. Tyto verze zásad odpovídají různým verzím klienta Azure Information Protection:
Rozbalte soubor a pomocí následující tabulky určete, který soubor zásad potřebujete.
Název souboru Odpovídající verze klienta Policy1.1.msip verze 1.2 Policy1.2.msip verze 1.3 – 1.7 Policy1.3.msip verze 1.8 – 1.29 Policy1.4.msip verze 1.32 a novější Přejmenujte identifikovaný soubor na Policy.msip a zkopírujte ho do složky %LocalAppData%\Microsoft\MSIP na počítačích s nainstalovaným klientem Azure Information Protection.
Pokud váš odpojený počítač používá aktuální verzi ga skeneru Azure Information Protection, musíte provést další kroky konfigurace. Další informace naleznete v tématu Omezení: Server skeneru nemůže mít v požadavcích nasazení skeneru připojení k internetu .
Skrytí nebo zobrazení tlačítka Nepřeposílat v Outlook
Doporučená metoda konfigurace této možnosti spočívá v nastavení zásadPřidat tlačítko Nepřeposílat na pás karet Outlook. Tuto možnost ale můžete nakonfigurovat také pomocí rozšířeného nastavení klienta, které nakonfigurujete v Azure Portal.
Když toto nastavení nakonfigurujete, skryje se nebo zobrazí tlačítko Nepřeposílat na pásu karet v Outlook. Toto nastavení nemá žádný vliv na možnost Nepřeposílat z nabídek Office.
Toto upřesňující nastavení nakonfigurujete zadáním následujících řetězců:
Klíč: DisableDNF
Hodnota: Pravda , pokud chcete tlačítko skrýt, nebo Nepravda , aby se zobrazilo tlačítko
Zpřístupnění nebo nedostupnost vlastních oprávnění uživatelům
Doporučená metoda konfigurace této možnosti je pomocí nastavení zásadNastavit vlastní oprávnění k dispozici pro uživatele. Tuto možnost ale můžete nakonfigurovat také pomocí rozšířeného nastavení klienta, které nakonfigurujete v Azure Portal.
Když nakonfigurujete toto nastavení a publikujete zásady pro uživatele, zobrazí se možnosti vlastních oprávnění uživatelům, aby vybrali vlastní nastavení ochrany nebo jsou skryté, aby uživatelé nemohli vybrat vlastní nastavení ochrany, pokud se nezobrazí výzva.
Toto upřesňující nastavení nakonfigurujete zadáním následujících řetězců:
Klíč: EnableCustomPermissions
Hodnota: Pravda , pokud chcete, aby byla možnost vlastní oprávnění viditelná nebo Nepravda pro skrytí této možnosti
U souborů chráněných vlastními oprávněními vždy zobrazovat vlastní oprávnění uživatelům v Průzkumník souborů
Tato konfigurace využívá upřesňující nastavení klienta, které se musí konfigurovat na portálu Azure Portal.
Když nakonfigurujete nastavení zásad, zpřístupníte možnost vlastní oprávnění uživatelům nebo ekvivalentnímu rozšířenému nastavení klienta v předchozí části, uživatelé nebudou moct zobrazit nebo změnit vlastní oprávnění, která už jsou nastavená v chráněném dokumentu.
Při vytváření a konfiguraci tohoto rozšířeného nastavení klienta můžou uživatelé při použití Průzkumník souborů zobrazit a změnit vlastní oprávnění pro chráněný dokument a kliknou na soubor pravým tlačítkem myši. Možnost Vlastní oprávnění z tlačítka Zamknout na pásu karet Office zůstane skrytá.
Toto upřesňující nastavení nakonfigurujete zadáním následujících řetězců:
Klíč: EnableCustomPermissionsForCustomProtectedFiles
Hodnota: True
Poznámka
Tato funkce je aktuálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, Preview nebo jinak ještě nejsou vydány do obecné dostupnosti.
Trvalé skrytí panelu Azure Information Protection
Tato konfigurace využívá upřesňující nastavení klienta, které se musí konfigurovat na portálu Azure Portal. Použijte ho jenom v případě, že nastavení zásadZobrazuje panel Information Protection v aplikacích Officezapnuto.
Pokud uživatel ve výchozím nastavení vymaže možnost Zobrazit pruh na kartě Domů, skupina Ochrana, tlačítko Zamknout, panel Information Protection se už v této aplikace Office nezobrazí. Při příštím otevření aplikace Office se ale panel automaticky zobrazí znovu.
Pokud chcete zabránit automatickému zobrazení pruhu poté, co se uživatel rozhodl ho skrýt, použijte toto nastavení klienta. Toto nastavení nemá žádný vliv, pokud uživatel tento panel zavře pomocí ikony Zavřít tento panel.
I když panel Azure Information Protection zůstane skrytý, můžou uživatelé stále vybrat popisek z dočasně zobrazeného pruhu, pokud jste nakonfigurovali doporučenou klasifikaci nebo když dokument nebo e-mail musí mít popisek.
Toto upřesňující nastavení nakonfigurujete zadáním následujících řetězců:
Klíč: EnableBarHiding
Hodnota: True
Povolení podpory objednávek pro podlabely u příloh
Tato konfigurace využívá upřesňující nastavení klienta, které se musí konfigurovat na portálu Azure Portal.
Toto nastavení použijte, pokud máte podlabely a nakonfigurovali jste následující nastavení zásad:
- E-mailovým zprávám s přílohami přiřaďte popisek, který odpovídá nejvyšší klasifikaci daných příloh
Nakonfigurujte následující řetězce:
Klíč: CompareSubLabelsInAttachmentAction
Hodnota: True
Bez tohoto nastavení se u e-mailu použije první popisek nalezený z nadřazeného popisku s nejvyšší klasifikací.
Při tomto nastavení se u e-mailu použije podnabídka, která je seřazená od nadřazeného popisku s nejvyšší klasifikací. Pokud potřebujete změnit pořadí štítků, abyste použili požadovaný popisek pro tento scénář, přečtěte si článek Jak odstranit nebo změnit pořadí popisku pro Azure Information Protection.
Vyloučení Outlook zpráv z povinného popisování
Tato konfigurace využívá upřesňující nastavení klienta, které se musí konfigurovat na portálu Azure Portal.
Když ve výchozím nastavení povolíte nastavení zásadyVšechny dokumenty a e-maily musí mít popisek, musí mít všechny uložené dokumenty a odeslané e-maily použitý popisek. Když nakonfigurujete následující upřesňující nastavení, nastavení zásad se vztahuje pouze na Office dokumenty a ne na Outlook zprávy.
Toto upřesňující nastavení nakonfigurujete zadáním následujících řetězců:
Klíč: DisableMandatoryInOutlook
Hodnota: True
Povolení doporučené klasifikace v Outlook
Tato konfigurace využívá upřesňující nastavení klienta, které se musí konfigurovat na portálu Azure Portal.
Když nakonfigurujete popisek pro doporučenou klasifikaci, zobrazí se uživatelům výzva k přijetí nebo zavření doporučeného popisku ve Wordu, Excel a PowerPoint. Toto nastavení rozšiřuje toto doporučení popisku, aby se také zobrazovala v Outlook.
Toto upřesňující nastavení nakonfigurujete zadáním následujících řetězců:
Klíč: OutlookRecommendationEnabled
Hodnota: True
Poznámka
Tato funkce je aktuálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo jinak ještě nebyly vydány do obecné dostupnosti.
Implementace automaticky otevíraných zpráv v Outlook, které varují, odůvodňují nebo blokují posílání e-mailů
Tato konfigurace používá několik upřesňujících nastavení klienta, která musíte nakonfigurovat v Azure Portal.
Když vytvoříte a nakonfigurujete následující upřesňující nastavení klienta, zobrazí se uživatelům automaticky otevírané zprávy v Outlook, které je mohou upozornit před odesláním e-mailu, nebo požádat o odůvodnění, proč posílá e-mail, nebo jim brání v odesílání e-mailů pro některý z následujících scénářů:
E-mail nebo příloha e-mailu mají určitý popisek:
- Příloha může být libovolný typ souboru.
E-mail nebo příloha e-mailu nemají popisek:
- Přílohou může být dokument Office nebo dokument PDF.
Po splnění těchto podmínek se uživateli zobrazí automaticky otevíraná zpráva s jednou z následujících akcí:
Upozornění: Uživatel může potvrdit a odeslat nebo zrušit.
Do bloku: Uživateli se zobrazí výzva k odůvodnění (předdefinované možnosti nebo volný formulář). Uživatel pak může e-mail odeslat nebo zrušit. Text odůvodnění se zapíše do záhlaví x-e-mailu, aby ho mohly číst jiné systémy. Například služby ochrany před únikem informací (DLP).
Blokovat: Uživateli se zabrání v odesílání e-mailu, dokud podmínka zůstane. Zpráva obsahuje důvod blokování e-mailu, aby uživatel mohl problém vyřešit. Odeberte například konkrétní příjemce nebo označte e-mail.
Pokud jsou místní zprávy určené pro určitý popisek, můžete nakonfigurovat výjimky pro příjemce podle názvu domény.
Výsledné akce z automaticky otevíraných zpráv se protokolují do místního protokolu událostí Windows Protokoly> aplikací a služebAzure Information Protection:
Upozornění zpráv: ID informací 301
Odůvodnění zpráv: ID informací 302
Blokování zpráv: ID informací 303
Příklad položky události ze zprávy bloku:
Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Price list.msg
Item Name: Price list
Process Name: OUTLOOK
Action: Justify
User Justification: My manager approved sharing of this content
Action Source:
User Response: Confirmed
Následující části obsahují pokyny ke konfiguraci pro každé pokročilé nastavení klienta a můžete je zobrazit v akci sami pomocí kurzu: Konfigurace Azure Information Protection pro kontrolu nadsdílení informací pomocí Outlook.
Pokud chcete implementovat upozornění, ospravedlnit nebo blokovat automaticky otevírané zprávy pro konkrétní popisky:
Pokud chcete implementovat automaticky otevírané zprávy pro konkrétní popisky, musíte znát ID popisku těchto popisků. Hodnota ID popisku se zobrazí v podokně Popisek, když v Azure Portal zobrazíte nebo nakonfigurujete zásady Information Protection Azure. U souborů, které mají použité popisky, můžete také spustit rutinu Get-AIPFileStatus PowerShellu k identifikaci ID popisku (MainLabelId nebo SubLabelId). Pokud má popisek podlabely, vždy zadejte ID pouze podlabelu, nikoli nadřazeného popisku.
Vytvořte jedno nebo několik následujících pokročilých nastavení klienta s následujícími klíči. Pro hodnoty zadejte jeden nebo více popisků podle jejich ID, každý popisek oddělený čárkou.
Příklad hodnoty pro více ID popisků jako řetězec oddělený čárkami: dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
Upozornění na zprávy:
Klíč: OutlookWarnUntrustedCollaborationLabel
Hodnota: <ID popisků, oddělené čárkami>
Zprávy odůvodnění:
Klíč: OutlookJustifyUntrustedCollaborationLabel
Hodnota: <ID popisků, oddělené čárkami>
Blokovat zprávy:
Klíč: OutlookBlockUntrustedCollaborationLabel
Hodnota: <ID popisků, oddělené čárkami>
Vyloučení názvů domén pro automaticky otevírané zprávy nakonfigurované pro konkrétní popisky
U popisků, které jste zadali pomocí těchto automaticky otevíraných zpráv, můžete vyloučit konkrétní názvy domén, aby uživatelé neviděli zprávy příjemcům, kteří mají tento název domény zahrnutý do jejich e-mailové adresy. V takovém případě se e-maily odesílají bez přerušení. Pokud chcete zadat více domén, přidejte je jako jeden řetězec oddělený čárkami.
Typickou konfigurací je zobrazení automaticky otevíraných zpráv jenom pro příjemce, kteří jsou mimo vaši organizaci nebo kteří nejsou autorizovanými partnery pro vaši organizaci. V takovém případě zadáte všechny e-mailové domény, které vaše organizace používá a které používají vaši partneři.
Vytvořte následující upřesňující nastavení klienta a pro hodnotu zadejte jednu nebo více domén oddělených čárkami.
Příklad hodnoty pro více domén jako řetězec oddělený čárkami: contoso.com,fabrikam.com,litware.com
Upozornění na zprávy:
Klíč: OutlookWarnTrustedDomains
Hodnota: <názvy domén, oddělené čárkami>
Zprávy odůvodnění:
Klíč: OutlookJustifyTrustedDomains
Hodnota: <názvy domén, oddělené čárkami>
Blokovat zprávy:
Klíč: OutlookBlockTrustedDomains
Hodnota: <názvy domén, oddělené čárkami>
Například jste zadali rozšířené nastavení klienta OutlookBlockUntrustedCollaborationLabel pro popisek Důvěrné \ Všichni zaměstnanci . Teď zadáte další rozšířené nastavení klienta OutlookBlockTrustedDomains a contoso.com. V důsledku toho může uživatel odeslat e-mail, když john@sales.contoso.com je označen jako Důvěrné \ Všichni zaměstnanci , ale bude zablokován odeslání e-mailu se stejným popiskem na účet Gmail.
Pokud chcete implementovat upozornění, ospravedlnit nebo blokovat automaticky otevírané zprávy pro e-maily nebo přílohy, které nemají popisek:
Vytvořte následující upřesňující nastavení klienta s jednou z následujících hodnot:
Upozornění na zprávy:
Klíč: OutlookUnlabeledCollaborationAction
Hodnota: Upozornit
Zprávy odůvodnění:
Klíč: OutlookUnlabeledCollaborationAction
Hodnota: Zarovnat do bloku
Blokovat zprávy:
Klíč: OutlookUnlabeledCollaborationAction
Hodnota: Blok
Vypněte tyto zprávy:
Klíč: OutlookUnlabeledCollaborationAction
Hodnota: Vypnuto
Definování konkrétních přípon názvů souborů pro upozornění, zarovnání nebo blokování automaticky otevíraných zpráv pro e-mailové přílohy, které nemají popisek
Ve výchozím nastavení se upozornění, zarovná nebo zablokuje automaticky otevírané zprávy u všech Office dokumentů a dokumentů PDF. Tento seznam můžete upřesnit zadáním přípon názvů souborů, které by měly zobrazovat upozornění, zarovnat nebo blokovat zprávy s další rozšířenou vlastností klienta a seznamem přípon názvů souborů oddělených čárkami.
Příklad hodnoty pro více přípon názvů souborů, které se definují jako řetězec oddělený čárkami: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM
V tomto příkladu neoznačené dokumenty PDF nebudou mít za následek upozornění, zarovnání nebo blokování automaticky otevíraných zpráv.
Klíč: OutlookOverrideUnlabeledCollaborationExtensions
Hodnota: <přípony názvů souborů pro zobrazení zpráv, oddělené čárkami>
Určení jiné akce pro e-mailové zprávy bez příloh
Ve výchozím nastavení se hodnota, kterou zadáte pro OutlookUnlabeledCollaborationAction, ve výchozím nastavení varuje, odůvodňuje nebo blokuje automaticky otevírané zprávy pro e-maily nebo přílohy, které nemají popisek. Tuto konfiguraci můžete upřesnit zadáním dalšího upřesňujícího nastavení klienta pro e-mailové zprávy, které nemají přílohy.
Vytvořte následující upřesňující nastavení klienta s jednou z následujících hodnot:
Upozornění na zprávy:
Klíč: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Hodnota: Upozornit
Zprávy odůvodnění:
Klíč: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Hodnota: Zarovnat do bloku
Blokovat zprávy:
Klíč: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Hodnota: Blok
Vypněte tyto zprávy:
Klíč: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Hodnota: Vypnuto
Pokud toto nastavení klienta nezadáte, použije se hodnota, kterou zadáte pro OutlookUnlabeledCollaborationAction, pro neoznačené e-mailové zprávy bez příloh i pro neoznačené e-mailové zprávy s přílohami.
Nastavení jiného výchozího popisku pro Outlook
Tato konfigurace využívá upřesňující nastavení klienta, které se musí konfigurovat na portálu Azure Portal.
Při konfiguraci tohoto nastavení Outlook nepoužije výchozí popisek nakonfigurovaný v zásadách Azure Information Protection pro nastavení Vybrat výchozí popisek. Místo toho Outlook může použít jiný výchozí popisek nebo žádný popisek.
Pokud chcete použít jiný popisek, musíte zadat ID popisku. Hodnota ID popisku se zobrazí v podokně Popisek, když v Azure Portal zobrazíte nebo nakonfigurujete zásady Information Protection Azure. U souborů, které mají použité popisky, můžete také spustit rutinu Get-AIPFileStatus PowerShellu k identifikaci ID popisku (MainLabelId nebo SubLabelId). Pokud má popisek podlabely, vždy zadejte ID pouze podlabelu, nikoli nadřazeného popisku.
Aby Outlook nepoužádá výchozí popisek, zadejte Žádné.
Toto upřesňující nastavení nakonfigurujete zadáním následujících řetězců:
Klíč: OutlookDefaultLabel
Hodnota: < ID >štítku nebo Žádné
Konfigurace popisku pro použití ochrany S/MIME v Outlook
Tato konfigurace využívá upřesňující nastavení klienta, které se musí konfigurovat na portálu Azure Portal.
Toto nastavení použijte jenom v případě, že máte funkční nasazení S/MIME a chcete, aby popisek automaticky použil tuto metodu ochrany pro e-maily, a ne Rights Management ochranu z Azure Information Protection. Výsledná ochrana je stejná jako při ručním výběru možností S/MIME z Outlook.
Tato konfigurace vyžaduje zadání rozšířeného nastavení klienta s názvem LabelToSMIME pro každý popisek Azure Information Protection, který chcete použít ochranu S/MIME. Potom pro každou položku nastavte hodnotu pomocí následující syntaxe:
[Azure Information Protection label ID];[S/MIME action]
Hodnota ID popisku se zobrazí v podokně Popisek, když v Azure Portal zobrazíte nebo nakonfigurujete zásady Information Protection Azure. Pokud chcete použít S/MIME s dílčím popiskem, vždy zadejte ID pouze podlabelu, nikoli nadřazeného popisku. Když zadáte dílčí popisek, musí být nadřazený popisek ve stejném oboru nebo v globálních zásadách.
Akce S/MIME může být:
Sign;Encrypt: Použití digitálního podpisu a šifrování S/MIMEEncrypt: Použití šifrování S/MIME pouzeSign: Použití digitálního podpisu
Příklad hodnot pro ID popisku dcf781ba-727f-4860-b3c1-73479e31912b:
Použití digitálního podpisu a šifrování S/MIME:
dcf781ba-727f-4860-b3c1-73479e31912b; Znaménko; Šifrování
Použití šifrování S/MIME:
dcf781ba-727f-4860-b3c1-73479e31912b; Šifrování
Použití digitálního podpisu:
dcf781ba-727f-4860-b3c1-73479e31912b; Znamení
V důsledku této konfigurace se při použití popisku pro e-mailovou zprávu použije ochrana S/MIME u e-mailu kromě klasifikace popisku.
Pokud je zadaný popisek nakonfigurovaný pro ochranu Rights Management v Azure Portal, ochrana S/MIME nahradí ochranu Rights Management pouze v Outlook. Pro všechny ostatní scénáře, které podporují označování, se použije ochrana Rights Management.
Pokud chcete, aby popisek byl viditelný jenom v Outlook, nakonfigurujte ho tak, aby použil jednu uživatelem definovanou akci Nepřeposílat, jak je popsáno v rychlém startu: Nakonfigurujte popisek pro uživatele, aby mohli snadno chránit e-maily obsahující citlivé informace.
Pokud používáte povinné popisování, odeberte u dokumentů text "Teď není".
Tato konfigurace využívá upřesňující nastavení klienta, které se musí konfigurovat na portálu Azure Portal.
Když použijete nastavení zásadpro všechny dokumenty a e-maily musí mít popisek, zobrazí se uživatelům výzva k výběru štítku při prvním uložení Office dokumentu a při odeslání e-mailu. U dokumentů můžou uživatelé dočasně zavřít výzvu, aby vybrali popisek a vrátili se do dokumentu. Nelze však zavřít uložený dokument bez jeho popisku.
Když toto nastavení nakonfigurujete, odebere se možnost Není nyní , aby uživatelé při prvním uložení dokumentu museli vybrat popisek.
Toto upřesňující nastavení nakonfigurujete zadáním následujících řetězců:
Klíč: PostponeMandatoryBeforeSave
Hodnota: False
Zapnutí průběžného spouštění klasifikace na pozadí
Tato konfigurace využívá upřesňující nastavení klienta, které se musí konfigurovat na portálu Azure Portal.
Když toto nastavení nakonfigurujete, změní se výchozí chování způsobu, jakým klient Azure Information Protection použije u dokumentů automatické a doporučené popisky:
Pro Word, Excel a PowerPoint se automatická klasifikace spouští nepřetržitě na pozadí.
Chování se u Outlook nezmění.
Když klient Azure Information Protection pravidelně kontroluje dokumenty pro zadaná pravidla podmínek, toto chování umožňuje automatickou a doporučenou klasifikaci a ochranu dokumentů uložených v Microsoft SharePoint. Velké soubory se také ukládají rychleji, protože už jsou spuštěná pravidla podmínek.
Pravidla podmínek se nespouštějí v reálném čase jako typy uživatelů. Místo toho se při úpravě dokumentu pravidelně spouští jako úloha na pozadí.
Toto upřesňující nastavení nakonfigurujete zadáním následujících řetězců:
Klíč: RunPolicyInBackground
Hodnota: True
Poznámka
Tato funkce je aktuálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo jinak ještě nebyly vydány do obecné dostupnosti.
Nechrání souborů PDF pomocí standardu ISO pro šifrování PDF
Tato konfigurace využívá upřesňující nastavení klienta, které se musí konfigurovat na portálu Azure Portal.
Když nejnovější verze klienta Azure Information Protection chrání soubor PDF, výsledná přípona názvu souboru zůstane .pdf a dodržuje standard ISO pro šifrování PDF. Další informace o této normě naleznete v části 7.6 Šifrování z dokumentu odvozeného od ISO 32000-1 a publikováno společností Adobe Systems Incorporated.
Pokud potřebujete, aby se klient vrátil k chování ve starších verzích klienta, který chránil soubory PDF pomocí přípony názvu souboru .ppdf, použijte následující upřesňující nastavení zadáním následujícího řetězce:
Klíč: EnablePDFv2Protection
Hodnota: False
Toto nastavení můžete například potřebovat pro všechny uživatele, pokud používáte čtečku PDF, která nepodporuje standard ISO pro šifrování PDF. Nebo ho možná budete muset nakonfigurovat pro některé uživatele, protože postupně měníte čtečku PDF, která podporuje nový formát. Dalším potenciálním důvodem použití tohoto nastavení je, že potřebujete přidat ochranu k podepsaným dokumentům PDF. Podepsané dokumenty PDF mohou být navíc chráněny formátem .ppdf, protože tato ochrana je implementována jako obálka souboru.
Aby skener Azure Information Protection používal nové nastavení, musí se služba skeneru restartovat. Skener už navíc nebude ve výchozím nastavení chránit dokumenty PDF. Pokud chcete, aby byly dokumenty PDF chráněné skenerem při nastavení EnablePDFv2Protection na Hodnotu False, musíte registr upravit.
Další informace o novém šifrování PDF najdete v blogovém příspěvku Nová podpora šifrování PDF pomocí Microsoft Information Protection.
Seznam čteček PDF, které podporují standard ISO pro šifrování PDF, a čtečky, které podporují starší formáty, najdete v tématu Podporované čtečky PDF pro Microsoft Information Protection.
Převod existujících souborů .ppdf na chráněné soubory .pdf
Když klient Azure Information Protection stáhl zásadu klienta s novým nastavením, můžete pomocí příkazů PowerShellu převést existující soubory .ppdf na chráněné soubory .pdf, které používají standard ISO pro šifrování PDF.
Pokud chcete použít následující pokyny pro soubory, které jste sami nechránili, musíte mít Rights Management právo na použití odebrat ochranu ze souborů nebo být superuživatelem. Pokud chcete povolit funkci superuživatele a nakonfigurovat svůj účet jako superuživatele, přečtěte si téma Konfigurace superuživatelů pro Azure Rights Management a Discovery Services nebo Data Recovery.
Kromě toho se při použití těchto pokynů pro soubory, které jste sami nechránili, stanete se vystavitelem RMS. V tomto scénáři už uživatel, který dokument původně chránil, nemůže sledovat a odvolat. Pokud uživatelé potřebují sledovat a odvolat chráněné dokumenty PDF, požádejte je, aby ručně odebrali popisek a potom ho znovu mohli použít pomocí Průzkumník souborů, klikněte pravým tlačítkem myši.
Pokud chcete pomocí příkazů PowerShellu převést existující soubory .ppdf na chráněné soubory .pdf, které používají standard ISO pro šifrování PDF:
Použijte Get-AIPFileStatus se souborem .ppdf. Příklad:
Get-AIPFileStatus -Path \\Finance\Projectx\sales.ppdfVe výstupu si poznamenejte následující hodnoty parametrů:
Hodnota (GUID) pro SubLabelId, pokud existuje. Pokud je tato hodnota prázdná, nepoužívala se podlabel, takže místo toho poznamenejte hodnotu MainLabelId .
Poznámka: Pokud pro MainLabelId není žádná hodnota, soubor není označený. V tomto případě můžete místo příkazů v kroku 3 a 4 použít příkaz Unprotect-RMSFile a Protect-RMSFile .
Hodnota RMSTemplateId. Pokud je tato hodnota omezený přístup, uživatel soubor chránil pomocí vlastních oprávnění místo nastavení ochrany nakonfigurovaných pro popisek. Pokud budete pokračovat, tato vlastní oprávnění se přepíšou nastavením ochrany popisku. Rozhodněte se, jestli chcete pokračovat nebo požádat uživatele (hodnota zobrazená pro RMSIssuer), aby popisek odebral a znovu ho použít společně s původními vlastními oprávněními.
Odeberte popisek pomocí Set-AIPFileLabel s parametrem RemoveLabel . Pokud používáte nastavení zásaduživatele, musíte zadat odůvodnění pro nastavení popisku nižší klasifikace, odebrání popisku nebo odebrání ochrany, musíte také zadat parametr Odůvodnění s důvodem. Příklad:
Set-AIPFileLabel \\Finance\Projectx\sales.ppdf -RemoveLabel -JustificationMessage 'Removing .ppdf protection to replace with .pdf ISO standard'Znovu použít původní popisek zadáním hodnoty popisku, který jste identifikovali v kroku 1. Příklad:
Set-AIPFileLabel \\Finance\Projectx\sales.pdf -LabelId d9f23ae3-1234-1234-1234-f515f824c57b
Soubor uchovává příponu názvu souboru .pdf, ale je klasifikovaná jako předtím a je chráněna pomocí standardu ISO pro šifrování PDF.
Podpora souborů chráněných zabezpečenými ostrovy
Pokud jste k ochraně dokumentů použili zabezpečené ostrovy, můžete mít chráněné textové a obrázkové soubory a obecně chráněné soubory v důsledku této ochrany. Například soubory, které mají příponu názvu souboru .ptxt, .pjpeg nebo .pfile. Když registr upravíte následujícím způsobem, azure Information Protection může tyto soubory dešifrovat:
Do následující cesty registru přidejte následující hodnotu DWORD EnableIQPFormats a nastavte data hodnoty na 1:
Pro 64bitovou verzi Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Pro 32bitovou verzi Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIP
V důsledku této úpravy registru jsou podporovány následující scénáře:
Prohlížeč azure Information Protection může tyto chráněné soubory otevřít.
Skener Azure Information Protection může tyto soubory zkontrolovat, jestli se jedná o citlivé informace.
Průzkumník souborů, PowerShellu a skeneru Azure Information Protection můžou tyto soubory označit. V důsledku toho můžete použít popisek Azure Information Protection, který použije novou ochranu z Azure Information Protection nebo který odebere stávající ochranu ze zabezpečených ostrovů.
Přizpůsobení klienta migrace popisků můžete použít k automatickému převodu popisku Secure Islands na tyto chráněné soubory na popisek Azure Information Protection.
Poznámka
Tato funkce je aktuálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, Preview nebo jinak ještě nejsou vydány do obecné dostupnosti.
Migrace popisků ze zabezpečených ostrovů a dalších řešení popisků
Tato konfigurace využívá upřesňující nastavení klienta, které se musí konfigurovat na portálu Azure Portal.
Tato konfigurace v současné době není kompatibilní s novým výchozím chováním, které chrání soubory PDF pomocí standardu ISO pro šifrování PDF. V tomto scénáři nelze soubory .ppdf otevřít pomocí Průzkumník souborů, PowerShellu nebo skeneru. Pokud chcete tento problém vyřešit, použijte rozšířené nastavení klienta k tomu, abyste pro šifrování PDF nepoužíli standard ISO.
U Office dokumentů a dokumentů PDF, které jsou označené zabezpečenými ostrovy, můžete tyto dokumenty znovu oznamovat pomocí popisku Azure Information Protection pomocí mapování, které definujete. Tuto metodu použijete také k opakovanému použití popisků z jiných řešení, když jsou jejich popisky na Office dokumentech.
Poznámka
Pokud máte jiné soubory než PDF a Office dokumenty chráněné zabezpečenými ostrovy, můžete je po úpravě registru znovu oznamovat, jak je popsáno v předchozí části.
V důsledku této možnosti konfigurace se nový popisek Azure Information Protection použije klient Azure Information Protection následujícím způsobem:
Pro Office dokumenty: Když se dokument otevře v desktopové aplikaci, nový popisek Azure Information Protection se zobrazí jako nastavený a použije se při uložení dokumentu.
Pro Průzkumník souborů: V dialogovém okně Azure Information Protection se nový popisek Azure Information Protection zobrazí jako nastavený a použije se, když uživatel vybere Použít. Pokud uživatel vybere tlačítko Storno, nový popisek se nepoužije.
Pro PowerShell: Set-AIPFileLabel použije nový popisek Azure Information Protection. Get-AIPFileStatus nezobrazuje nový popisek Azure Information Protection, dokud ho nenastaví jiná metoda.
Pro skener Azure Information Protection: Sestavy zjišťování, kdy se nastaví nový popisek Azure Information Protection a tento popisek se dá použít v režimu vynucení.
Tato konfigurace vyžaduje zadání rozšířeného nastavení klienta s názvem LabelbyCustomProperty pro každý popisek Azure Information Protection, který chcete namapovat na starý popisek. Pak pro každou položku nastavte hodnotu pomocí následující syntaxe:
[Azure Information Protection label ID],[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]
Hodnota ID popisku se zobrazí v podokně Popisek při zobrazení nebo konfiguraci zásad Azure Information Protection v Azure Portal. Aby bylo možné zadat dílčí popisek, musí být nadřazený popisek ve stejném oboru nebo v globální zásadě.
Zadejte název pravidla migrace. Použijte popisný název, který vám pomůže identifikovat, jak se má jeden nebo více popisků z předchozího řešení popisků mapovat na popisek Azure Information Protection. Název se zobrazí v sestavách skeneru a v Prohlížeč událostí. Všimněte si, že toto nastavení neodebere původní popisek z dokumentu ani žádné vizuální označení v dokumentu, které by původní popisek mohl použít. Pokud chcete odebrat záhlaví a zápatí, přečtěte si další část Odebrání záhlaví a zápatí z jiných řešení popisků.
Příklad 1: Mapování jednoho na jeden název popisku
Požadavek: Dokumenty, které mají popisek "Důvěrné", by měly být znovu označeny jako důvěrné službou Azure Information Protection.
V tomto příkladu:
Popisek Azure Information Protection, který chcete použít, má název Důvěrné a má ID popisku 1ace2cc3-14bc-4142-9125-bf946a70542c.
Popisek Secure Islands má název Důvěrné a uložen ve vlastní vlastnosti s názvem Classification.
Upřesňující nastavení klienta:
| Name | Hodnota |
|---|---|
| LabelbyCustomProperty | 1ace2cc3-14bc-4142-9125-bf946a70542c,"Secure Islands label is Confidential",Classification,Confidential |
Příklad 2: Mapování 1:1 pro jiný název popisku
Požadavek: Dokumenty označené jako citlivé podle zabezpečených ostrovů by měly být znovu označeny jako "Vysoce důvěrné" službou Azure Information Protection.
V tomto příkladu:
Popisek azure Information Protection, který chcete použít, má název Vysoce důvěrné a má ID popisku 3e9df74d-3168-48af-8b11-037e3021813f.
Popisek Secure Islands má název Citlivá a uložená ve vlastní vlastnosti s názvem Classification.
Upřesňující nastavení klienta:
| Name | Hodnota |
|---|---|
| LabelbyCustomProperty | 3e9df74d-3168-48af-8b11-037e3021813f,"Popisek Secure Islands is Sensitive",Classification,Sensitive |
Příklad 3: Mapování názvů popisků M:1
Požadavek: Máte dva popisky Zabezpečených ostrovů, které obsahují slovo "Interní" a chcete, aby některé z těchto popisků Secure Islands byly znovu označeny jako "Obecné" v Azure Information Protection.
V tomto příkladu:
Popisek azure Information Protection, který chcete použít, má název Obecné a má ID popisku 2beb8fe7-8293-444c-9768-7fdc6f75014d.
Popisky Secure Islands obsahují slovo Interní a jsou uloženy ve vlastní vlastnosti s názvem Klasifikace.
Upřesňující nastavení klienta:
| Name | Hodnota |
|---|---|
| LabelbyCustomProperty | 2beb8fe7-8293-444c-9768-7fdc6f75014d,"Popisek Secure Islands obsahuje interní",Klasifikace,.*Internal.* |
Odebrání záhlaví a zápatí z jiných řešení popisků
Tato konfigurace používá více pokročilých nastavení klienta, která je nutné nakonfigurovat v Azure Portal.
Nastavení vám umožní odebrat nebo nahradit textová záhlaví nebo zápatí z dokumentů, když se tato vizuální označení použila jiným řešením popisků. Starý zápatí například obsahuje název starého popisku, který jste teď migrovali do Azure Information Protection s novým názvem štítku a vlastním zápatím.
Když klient získá tuto konfiguraci ve svých zásadách, staré hlavičky a zápatí se odeberou nebo nahradí při otevření dokumentu v aplikace Office a u dokumentu se použije popisek Azure Information Protection.
Tato konfigurace není podporovaná pro Outlook a mějte na paměti, že když ji používáte s Wordem, Excel a PowerPoint, může negativně ovlivnit výkon těchto aplikací pro uživatele. Konfigurace umožňuje definovat nastavení pro aplikaci, například hledat text v záhlavích a zápatí wordových dokumentů, ale ne Excel tabulkách nebo PowerPoint prezentacích.
Vzhledem k tomu, že porovnávání vzorů ovlivňuje výkon uživatelů, doporučujeme omezit Office typů aplikací (Word, EXcel, PowerPoint) jenom na ty, které je potřeba prohledávat:
Klíč: RemoveExternalContentMarkingInApp
Hodnota: <Office typy aplikací WXP>
Příklady:
Pokud chcete hledat jenom wordové dokumenty, zadejte W.
Pokud chcete hledat wordové dokumenty a PowerPoint prezentace, zadejte WP.
Pak potřebujete aspoň jedno pokročilejší nastavení klienta ExternalContentMarkingToRemove, určit obsah záhlaví nebo zápatí a jak je odebrat nebo nahradit.
Poznámka
Tato funkce je aktuálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, Preview nebo jinak ještě nejsou vydány do obecné dostupnosti.
Konfigurace ExternalContentMarkingToRemove
Když zadáte hodnotu řetězce pro klíč ExternalContentMarkingToRemove , máte tři možnosti, které používají regulární výrazy:
Částečná shoda pro odebrání všeho v záhlaví nebo zápatí
Příklad: Záhlaví nebo zápatí obsahují řetězec TEXT, KTERÝ CHCETE ODEBRAT. Chcete úplně odebrat tato záhlaví nebo zápatí. Zadáte hodnotu:
*TEXT*.Úplná shoda pro odebrání jenom konkrétních slov v záhlaví nebo zápatí
Příklad: Záhlaví nebo zápatí obsahují řetězec TEXT, KTERÝ CHCETE ODEBRAT. Chcete odebrat pouze slovo TEXT , které ponechá řetězec záhlaví nebo zápatí jako ODEBRAT. Zadáte hodnotu:
TEXT.Dokončete shodu a odeberte vše v záhlaví nebo zápatí.
Příklad: Záhlaví nebo zápatí mají řetězec TEXT PRO ODEBRÁNÍ. Chcete odebrat záhlaví nebo zápatí, které mají přesně tento řetězec. Zadáte hodnotu:
^TEXT TO REMOVE$.
Vzor odpovídající zadanému řetězci je nerozlišující malá a velká písmena. Maximální délka řetězce je 255 znaků.
Vzhledem k tomu, že některé dokumenty můžou obsahovat neviditelné znaky nebo různé druhy mezer nebo tabulátorů, nemusí být zjištěn řetězec, který zadáte pro frázi nebo větu. Kdykoli je to možné, zadejte jedno rozlišující slovo hodnoty a před nasazením v produkčním prostředí nezapomeňte výsledky otestovat.
Klíč: ExternalContentMarkingToRemove
Hodnota: <řetězec, který se má shodovat, definovaný jako regulární výraz>
Víceřádkové záhlaví nebo zápatí
Pokud je záhlaví nebo zápatí více než jeden řádek, vytvořte klíč a hodnotu pro každý řádek. Máte například následující zápatí se dvěma řádky:
The file is classified as Confidential
Label applied manually
Chcete-li odebrat tento víceřádkový zápatí, vytvoříte následující dvě položky:
Klíč 1: ExternalContentMarkingToRemove
Hodnota klíče 1: *Důvěrné*
Klíč 2: ExternalContentMarkingToRemove
Hodnota klíče 2: *Použitý popisek*
Optimalizace pro PowerPoint
Zápatí v PowerPoint jsou implementovány jako obrazce. Chcete-li zabránit odebrání obrazců obsahujících zadaný text, ale nejsou záhlaví ani zápatí, použijte další rozšířené nastavení klienta s názvem PowerPointShapeNameToRemove. Toto nastavení také doporučujeme použít, abyste se vyhnuli kontrole textu ve všech obrazci, což je proces náročný na prostředky.
Pokud toto další rozšířené nastavení klienta nezadáte a PowerPoint je součástí hodnoty klíče RemoveExternalContentMarkingInApp, budou všechny obrazce zaškrtnuté pro text, který zadáte v hodnotě ExternalContentMarkingToRemove.
Pokud chcete najít název obrazce, který používáte jako záhlaví nebo zápatí:
V PowerPoint zobrazte podokno Výběr: Formát karty>Uspořádatpodokno výběru skupiny.>
Vyberte obrazec na snímku, který obsahuje záhlaví nebo zápatí. Název vybraného obrazce je teď zvýrazněný v podokně Výběr .
Název obrazce použijte k určení řetězcové hodnoty pro klíč PowerPointShapeNameToRemove .
Příklad: Název obrazce je fc. Chcete-li odebrat obrazec s tímto názvem, zadejte hodnotu: fc.
Klíč: PowerPointShapeNameToRemove
Hodnota: <PowerPoint název obrazce>
Pokud máte více než jeden PowerPoint obrazec k odebrání, vytvořte tolik klíčů PowerPointShapeNameToRemove, kolik obrazců chcete odebrat. Pro každou položku zadejte název obrazce, který chcete odebrat.
Ve výchozím nastavení se u záhlaví a zápatí kontrolují jenom snímky předlohy. Chcete-li toto hledání rozšířit na všechny snímky, což je mnohem náročnější proces prostředků, použijte další rozšířené nastavení klienta s názvem RemoveExternalContentMarkingInAllSlides:
Klíč: RemoveExternalContentMarkingInAllSlides
Hodnota: True
Označení dokumentu Office pomocí existující vlastní vlastnosti
Poznámka
Pokud tuto konfiguraci a konfiguraci použijete k migraci popisků ze zabezpečených ostrovů a dalších řešení popisků, bude mít přednost nastavení migrace popisků.
Tato konfigurace využívá upřesňující nastavení klienta, které se musí konfigurovat na portálu Azure Portal.
Při konfiguraci tohoto nastavení můžete klasifikovat (a volitelně chránit) dokument Office, pokud má existující vlastní vlastnost s hodnotou, která odpovídá jednomu z názvů štítků. Tuto vlastní vlastnost lze nastavit z jiného klasifikačního řešení nebo ji můžete nastavit jako vlastnost SharePoint.
V důsledku této konfigurace se dokument bez popisku Azure Information Protection otevře a uloží uživatel v aplikace Office, dokument se pak označí tak, aby odpovídal odpovídající hodnotě vlastnosti.
Tato konfigurace vyžaduje, abyste zadali dvě upřesňující nastavení, která spolupracují. První má název SyncPropertyName, což je název vlastní vlastnosti, který byl nastaven z jiného klasifikačního řešení, nebo vlastnost nastavenou SharePoint. Druhá má název SyncPropertyState a musí být nastavena na OneWay.
Toto upřesňující nastavení nakonfigurujete zadáním následujících řetězců:
Klíč 1: SyncPropertyName
Hodnota klíče 1: <název vlastnosti>
Klíč 2: SyncPropertyState
Hodnota klíče 2: OneWay
Tyto klíče a odpovídající hodnoty použijte pouze pro jednu vlastní vlastnost.
Například máte sloupec SharePoint s názvem Klasifikace, který má možné hodnoty Veřejné, Obecné a Vysoce důvěrné všichni zaměstnanci. Dokumenty jsou uložené v SharePoint a mají veřejné, obecné nebo vysoce důvěrné všechny zaměstnance jako hodnoty nastavené pro vlastnost Klasifikace.
Pokud chcete označit dokument Office jednou z těchto hodnot klasifikace, nastavte SyncPropertyName na Classification a SyncPropertyState na OneWay.
Když se teď uživatel otevře a uloží některý z těchto Office dokumentů, bude označený jako Veřejný, Obecný nebo Vysoce důvěrný \ Všichni zaměstnanci, pokud máte v zásadách Azure Information Protection popisky s těmito názvy. Pokud nemáte popisky s těmito názvy, dokument zůstane neoznačené.
Zakázání odesílání zjištěných citlivých informací v dokumentech do analýz azure Information Protection
Poznámka
Od 18. března 2022 se oznámí vypršení platnosti protokolu auditu a analýzy AIP s úplným datem vyřazení ze dne 31. září 2022.
Další informace najdete v tématu Odebrání a vyřazení služeb.
Tato konfigurace využívá upřesňující nastavení klienta, které se musí konfigurovat na portálu Azure Portal.
Když se klient Azure Information Protection používá v aplikacích Office, hledá citlivé informace v dokumentech při jejich prvním uložení. Za předpokladu, že klient není nakonfigurovaný tak, aby neodesílal informace o auditu, žádné typy citlivých informací (předdefinované nebo vlastní) se pak odesílají do analýzy Azure Information Protection.
Konfigurace, která řídí, jestli klient odesílá informace o auditu, je nastavení zásadodesílání dat auditu do Azure Information Protection log Analytics. Pokud je toto nastavení zásad zapnuté , protože chcete odeslat informace o auditu, které zahrnují akce označování, ale nechcete odesílat typy citlivých informací nalezené klientem, zadejte následující řetězce:
Klíč: RunAuditInformationTypesDiscovery
Hodnota: False
Pokud nastavíte toto upřesňující nastavení klienta, dají se informace o auditování dál odesílat z klienta, ale informace jsou omezené na aktivitu popisování.
Příklad:
Pomocí tohoto nastavení uvidíte, že uživatel získal přístup k Financial.docx, který má popisek Důvěrné \ Prodej.
Bez tohoto nastavení vidíte, že Financial.docx obsahuje 6 čísel platebních karet.
- Pokud také povolíte hlubší analýzu citlivých dat, budete moct zjistit, co jsou tato čísla platebních karet.
Zakázání shody typu informací pro podmnožinu uživatelů
Tato konfigurace využívá upřesňující nastavení klienta, které se musí konfigurovat na portálu Azure Portal.
Když zaškrtnete políčko pro analýzu Azure Information Protection, která umožňuje hlubší analýzu citlivých dat, shromažďuje obsah odpovídající vašim typům citlivých informací nebo vašim vlastním podmínkám, ve výchozím nastavení se tyto informace odesílají všem uživatelům, včetně účtů služeb, které spouští skener Azure Information Protection. Pokud máte některé uživatele, kteří by tato data neměli odesílat, vytvořte pro tyto uživatele následující pokročilé nastavení klienta v rámci zásad s vymezeným oborem :
Klíč: LogMatchedContent
Hodnota: Zakázat
Omezení počtu vláken používaných skenerem
Tato konfigurace využívá upřesňující nastavení klienta, které se musí konfigurovat na portálu Azure Portal.
Ve výchozím nastavení skener používá všechny dostupné prostředky procesoru v počítači se službou skeneru. Pokud potřebujete omezit spotřebu procesoru při kontrole této služby, vytvořte následující upřesňující nastavení.
Jako hodnotu zadejte počet souběžných vláken, které může skener spustit paralelně. Skener používá pro každý soubor, který prohledává, samostatné vlákno, takže tato konfigurace omezování také definuje počet souborů, které lze prohledávat paralelně.
Při první konfiguraci hodnoty pro testování doporučujeme zadat 2 na jádro a pak monitorovat výsledky. Pokud například spustíte skener na počítači se 4 jádry, nejprve nastavte hodnotu na 8. V případě potřeby toto číslo zvyšte nebo snižte podle výsledného výkonu, který potřebujete pro počítač skeneru a rychlost skenování.
Klíč: ScannerConcurrencyLevel
Hodnota: <počet souběžných> vláken
Zakázání nízké úrovně integrity skeneru
Tato konfigurace využívá upřesňující nastavení klienta, které se musí konfigurovat na portálu Azure Portal.
Ve výchozím nastavení se skener Azure Information Protection spouští s nízkou úrovní integrity. Toto nastavení poskytuje vyšší izolaci zabezpečení, ale za cenu výkonu. Úroveň nízké integrity je vhodná, pokud spustíte skener s účtem s privilegovanými právy (například účtem místního správce), protože toto nastavení pomáhá chránit počítač se skenerem.
Pokud však účet služby, který spouští skener, má pouze práva zdokumentovaná v požadavcích nasazení skeneru, nízká úroveň integrity není nutná a nedoporučuje se, protože má negativní vliv na výkon.
Další informace o úrovních integrity Windows najdete v tématu Co je mechanismus integrity Windows?
Pokud chcete toto upřesňující nastavení nakonfigurovat tak, aby skener běžel s úrovní integrity, která je automaticky přiřazena Windows (standardní uživatelský účet běží se střední úrovní integrity), zadejte následující řetězce:
Klíč: ProcessUsingLowIntegrity
Hodnota: False
Změna nastavení časového limitu pro skener
Tato konfigurace používá upřesňující nastavení klienta, která musíte nakonfigurovat v Azure Portal.
Ve výchozím nastavení má skener Azure Information Protection časový limit 00:15:00 (15 minut) pro kontrolu jednotlivých souborů pro typy citlivých informací nebo výrazy regulárních výrazů, které jste nakonfigurovali pro vlastní podmínky. Po dosažení časového limitu pro tento proces extrakce obsahu se všechny výsledky před vypršením časového limitu vrátí a další kontrola souboru se zastaví. V tomto scénáři se do souboru %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog zaprotokoluje následující chybová zpráva: Operace GetContentParts selhala v podrobnostech.
Pokud dochází k tomuto problému s vypršením časového limitu kvůli velkým souborům, můžete prodloužit toto období časového limitu pro extrakci úplného obsahu:
Klíč: ContentExtractionTimeout
Hodnota: <hh:min:sec>
Typ souboru může ovlivnit, jak dlouho trvá prohledávání souboru. Příklady časů kontroly:
Typický wordový soubor o velikosti 100 MB: 0,5 až 5 minut
Typický soubor PDF o velikosti 100 MB: 5–20 minut
Typický soubor Excel o velikosti 100 MB: 12–30 minut
U některých typů souborů, které jsou velmi velké, jako jsou videosoubory, zvažte jejich vyloučení z kontroly přidáním přípony názvu souboru do typů souborů pro kontrolu v profilu skeneru.
Kromě toho má skener Azure Information Protection časový limit 00:30:00 (30 minut) pro každý soubor, který zpracovává. Tato hodnota bere v úvahu dobu, kterou může trvat načtení souboru z úložiště a jeho dočasné uložení dočasně pro akce, které můžou zahrnovat dešifrování, extrakci obsahu pro kontrolu, označování a šifrování.
I když skener Azure Information Protection může prohledávat desítky až stovky souborů za minutu, pokud máte úložiště dat s vysokým počtem velmi velkých souborů, může skener překročit toto výchozí časové limity a v Azure Portal se zdá, že se po 30 minutách zastaví. V tomto scénáři se do souboru %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zazipované v případě více protokolů) zaprotokoluje následující chybová zpráva a soubor protokolu skeneru .csv: Operace byla zrušena.
Skener se 4 jádry procesorů má ve výchozím nastavení 16 vláken pro kontrolu a pravděpodobnost, že během 30minutového časového období narazíte na 16 velkých souborů, závisí na poměru velkých souborů. Pokud je například rychlost skenování 200 souborů za minutu a 1 % souborů překročí časový limit 30 minut, existuje pravděpodobnost, že skener narazí na situaci 30minutového časového limitu. Tyto časové limity můžou mít za následek delší dobu skenování a vyšší spotřebu paměti.
V této situaci, pokud nemůžete přidat další procesory jádra do počítače skeneru, zvažte snížení časového limitu pro lepší rychlost skenování a nižší spotřebu paměti, ale s potvrzením, že některé soubory budou vyloučeny. Případně zvažte zvýšení časového limitu pro přesnější výsledky kontroly, ale s potvrzením, že tato konfigurace pravděpodobně povede ke snížení míry skenování a vyšší spotřebě paměti.
Pokud chcete změnit dobu časového limitu pro zpracování souborů, nakonfigurujte následující upřesňující nastavení klienta:
Klíč: FileProcessingTimeout
Hodnota: <hh:min:sec>
Změna místní úrovně protokolování
Tato konfigurace využívá upřesňující nastavení klienta, které se musí konfigurovat na portálu Azure Portal.
Ve výchozím nastavení klient Azure Information Protection zapisuje soubory protokolu klienta do složky %localappdata%\Microsoft\MSIP. Tyto soubory jsou určené pro řešení potíží podpora Microsoftu.
Pokud chcete změnit úroveň protokolování pro tyto soubory, nakonfigurujte následující upřesňující nastavení klienta:
Klíč: LogLevel
Hodnota: <úroveň> protokolování
Nastavte úroveň protokolování na jednu z následujících hodnot:
Vypnuto: Žádné místní protokolování.
Chyba: Pouze chyby.
Informace: Minimální protokolování, které neobsahuje id událostí (výchozí nastavení skeneru).
Ladění: Úplné informace.
Trasování: Podrobné protokolování (výchozí nastavení pro klienty). U skeneru má toto nastavení významný dopad na výkon a měl by být pro skener povolen pouze v případě, že to podpora Microsoftu požaduje. Pokud jste vyzváni k nastavení této úrovně protokolování pro skener, nezapomeňte nastavit jinou hodnotu, pokud byly shromážděny příslušné protokoly.
Toto upřesňující nastavení klienta nemění informace odeslané do Azure Information Protection pro centrální vytváření sestav ani nemění informace zapsané do místního protokolu událostí.
Integrace se starší klasifikací zpráv Exchange
Outlook na webu teď podporuje integrované popisování pro Exchange Online, což je doporučená metoda označování e-mailů v Outlook na webu. Pokud ale potřebujete označit e-maily v OWA a používáte Exchange Server, které zatím popisky citlivosti nepodporují, můžete pomocí klasifikace zpráv Exchange rozšířit popisky Information Protection Azure na Outlook na webu.
Outlook Mobile nepodporuje klasifikaci zpráv Exchange.
Jak dosáhnout tohoto řešení:
Pomocí rutiny New-MessageClassification Exchange PowerShellu vytvořte klasifikace zpráv s vlastností Name (Název), která bude mapovaná na názvy popisků ve vašich zásadách služby Azure Information Protection.
Vytvořte pravidlo toku pošty Exchange pro každý popisek: Pravidlo použijte, pokud vlastnosti zprávy zahrnují klasifikaci, kterou jste nakonfigurovali, a upravte vlastnosti zprávy tak, aby nastavily záhlaví zprávy.
V záhlaví zprávy najdete informace, které určíte kontrolou internetových záhlaví e-mailu, který jste odeslali a klasifikujete pomocí popisku Azure Information Protection. Vyhledejte záhlaví msip_labels a řetězec, který bezprostředně následuje, až do středníku a s výjimkou. Příklad:
msip_labels: MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True
Pro toto záhlaví zprávy potom v pravidle zadejte jako záhlaví msip_labels a jako hodnotu záhlaví zbývající část tohoto řetězce. Příklad:
Poznámka: Pokud je popisek dílčím popiskem, musíte také zadat nadřazený popisek před dílčím popiskem v hodnotě záhlaví pomocí stejného formátu. Pokud má například podlabel identifikátor GUID 27efdf94-80a0-4d02-b88c-b615c12d69a9, může vaše hodnota vypadat takto:
MSIP_Label_ab70158b-bdcc-42a3-8493-2a80736e9cbd_Enabled=True;MSIP_Label_27efdf94-80a0-4d02-b88c-b615c12d69a9_Enabled=True
Než tuto konfiguraci otestujete, nezapomeňte, že při vytváření nebo úpravě pravidel toku pošty dochází často ke zpoždění (například čekání na hodinu). Pokud je pravidlo účinné, při použití Outlook na webu uživatelů dochází k následujícím událostem:
Uživatelé vyberou klasifikaci zprávy Exchange a odešlou e-mail.
Pravidlo Exchange zjistí klasifikaci Exchange a patřičně změní záhlaví zprávy přidáním klasifikace Azure Information Protection.
Když si interní příjemci zobrazí e-mail v Outlook a mají nainstalovaného klienta Azure Information Protection, uvidí přiřazený popisek Azure Information Protection.
Pokud popisky Azure Information Protection používají ochranu, přidejte tuto ochranu do konfigurace pravidla: Výběrem možnosti upravit zabezpečení zprávy, použít ochranu práv a pak vyberte šablonu ochrany nebo možnost Nepřeposílat.
Pravidla toku pošty můžete také nakonfigurovat tak, aby postupovat při zpětném mapování. Pokud je detekován popisek Azure Information Protection, nastavte odpovídající klasifikaci zpráv Exchange:
- Pro každý popisek Azure Information Protection: Vytvořte pravidlo toku pošty, které se použije, když záhlaví msip_labels obsahuje název vašeho štítku (například Obecné) a použije klasifikaci zpráv, která se na tento popisek mapuje.
Další kroky
Teď, když jste klienta Azure Information Protection přizpůsobili, si přečtěte následující materiály, kde najdete další informace, které můžete potřebovat pro podporu tohoto klienta: