Příručka pro správu: Typy souborů podporované klientem Azure Information Protection Classic

  • Článek

Klasický klient Azure Information Protection může použít následující dokumenty a e-maily:

  • Jenom klasifikace

  • Klasifikace a ochrana

  • Jenom ochrana

Klient Azure Information Protection může také zkontrolovat obsah některých typů souborů pomocí známých typů citlivých informací nebo regulárních výrazů, které definujete.

Následující informace vám pomůžou zkontrolovat, které typy souborů klient Azure Information Protection podporuje, porozumět různým úrovním ochrany a jak změnit výchozí úroveň ochrany a zjistit, které soubory jsou automaticky vyloučené (přeskočeny) z klasifikace a ochrany.

Pro uvedené typy souborů nejsou umístění WebDav podporována.

Typy souborů podporované jenom pro klasifikaci

Následující typy souborů lze klasifikovat i v případě, že nejsou chráněné.

  • Formát Adobe PDF (Portable Document Format): .pdf

  • Microsoft Project: .mpp, .mpt

  • Microsoft Publisher: .pub

  • Microsoft XPS: .xps .oxps

  • Obrázky: .jpg, .jpe, .jpeg, .jif, .jfif, .jfi. png, .tif, .tiff

  • Autodesk Design Review 2013: .dwfx

  • Adobe Photoshop: .psd

  • Digital Negative: .dng

  • Microsoft Office: Typy souborů v následující tabulce

    Podporované formáty souborů pro tyto typy souborů jsou formáty souborů 97–2003 a Office formáty Open XML pro následující Office programy: Word, Excel a PowerPoint.

    typ souboru Office typ souboru Office
    .doc

    .docm

    .docx

    .dot

    .dotm

    .dotx

    .potm

    .potx

    .pps

    .ppsm

    .ppsx

    .ppt

    .pptm

    .pptx

    .vdw

    Vsd    		 .vsdm

    .vsdx

    .vss

    .vssm

    .vst

    .vstm

    .vssx

    .vstx

    .xls

    .xlsb

    .xlt

    .xlsm

    .xlsx

    .xltm

    .xltx

Další typy souborů podporují klasifikaci, pokud jsou také chráněny. Tyto typy souborů najdete v části Podporované typy souborů pro klasifikaci a ochranu .

Například v aktuální výchozí zásadě použije obecný popisek klasifikaci a nepoužije ochranu. Obecný popisek můžete použít u souboru s názvem sales.pdf ale tento popisek nelze použít u souboru s názvem sales.txt.

V aktuálních výchozích zásadách platí také klasifikace a ochrana důvěrné \ Všichni zaměstnanci . Tento popisek můžete použít u souboru s názvem sales.pdf a souboru s názvem sales.txt. Můžete také použít pouze ochranu u těchto souborů bez klasifikace.

Typy souborů podporované pro ochranu

Klient služby Azure Information Protection podporuje ochranu na dvou různých úrovních, jak popisuje následující tabulka.

Typ ochrany Nativní Obecné
Popis Pro textové a obrázkové soubory, soubory Microsoft Office (Word, Excel, PowerPoint), soubory .pdf a typy souborů jiných aplikací, které podporují službu Rights Management, poskytuje nativní ochrana silnou úroveň ochrany, která zahrnuje jak šifrování, tak prosazování práv (oprávnění). U jiných podporovaných typů souborů poskytuje obecná ochrana úroveň ochrany, která zahrnuje zapouzdření souborů pomocí typu souboru .pfile a ověřování k ověření, jestli má uživatel oprávnění k otevření souboru.
Ochrana Ochrana souborů se prosazuje těmito způsoby:

– U uživatelů, kteří soubor dostanou e-mailem nebo kteří k němu mají přístup prostřednictvím oprávnění k souboru nebo ke sdílení, musí dojít k úspěšnému ověření, než se chráněný obsah zobrazí.

– Kromě toho se práva na používání a zásady nastavené vlastníkem obsahu, když byly chráněné soubory vynucené, když se obsah vykreslí v prohlížeči Azure Information Protection (pro chráněné textové soubory a soubory obrázků) nebo přidruženou aplikaci (pro všechny ostatní podporované typy souborů).		 Ochrana souboru se prosazuje těmito způsoby:

– Před vykresleným chráněným obsahem musí dojít k úspěšnému ověření pro osoby, které mají oprávnění k otevření souboru a udělený přístup k němu. Pokud autorizace selže, soubor se neotevře.

– Zobrazí se práva k používání a zásady nastavené vlastníkem, které autorizované uživatele informují o zamýšlených zásadách používání.

– Provádí se protokolování auditu otevírání a přístupu k souborům autorizovanými uživateli. Práva k používání se však nevynucují.
Výchozí pro typy souborů Toto je výchozí úroveň ochrany pro následující typy souborů:

– Textové a obrázkové soubory

– Soubory Microsoft Office (Word, Excel, PowerPoint)

– Soubory .pdf (Portable Document Format)

Další informace najdete v následující kapitole Podporované typy souborů pro klasifikaci a ochranu.		 Toto je výchozí ochrana pro všechny ostatní typy souborů (například .vsdx, .rtf atd.), u kterých není podporovaná nativní ochrana.

Výchozí úroveň ochrany, kterou klient Azure Information Protection používá, se dá změnit. Výchozí úroveň můžete změnit z nativní na obecnou nebo z obecné na nativní. Dokonce můžete v klientovi Azure Information Protection zakázat použití ochrany. Další informace naleznete v kapitole Změna výchozí úrovně ochrany souborů v tomto článku.

Ochrana dat se může použít automaticky, když uživatel vybere popisek nakonfigurovaný správcem, anebo můžou uživatelé pomocí úrovní oprávnění určit vlastní nastavení ochrany.

Velikosti souborů, které lze ochránit

Existují maximální velikosti souborů, které klient Azure Information Protection dokáže ochránit.

  • Soubory Office:

    Aplikace Office Maximální podporovaná velikost souboru
    Word 2007 (podporovaný pouze službou AD RMS)

    Word 2010

    Word 2013

    Word 2016    		 32bitový: 512 MB

    64bitový: 512 MB
    Excel 2007 (podporovaný pouze službou AD RMS)

    Excel 2010

    Excel 2013

    Excel 2016    		 32bitový: 2 GB

    64bitový: omezený pouze volným místem na disku a v paměti
    PowerPoint 2007 (podporovaný pouze službou AD RMS)

    PowerPoint 2010

    PowerPoint 2013

    PowerPoint 2016    		 32bitový: omezený pouze volným místem na disku a v paměti

    64bitový: omezený pouze volným místem na disku a v paměti

  • Všechny ostatní soubory:

    • Chcete-li chránit jiné typy souborů a otevřít tyto typy souborů v prohlížeči Azure Information Protection: Maximální velikost souboru je omezená pouze dostupným místem na disku a pamětí.

    • Pokud chcete zrušit ochranu souborů pomocí rutiny Unprotect-RMSFile : Maximální velikost souboru podporovaná pro soubory .pst je 5 GB. Jiné typy souborů jsou omezené pouze dostupným místem na disku a pamětí.

      Tip

      Pokud potřebujete vyhledat nebo obnovit chráněné položky ve velkých souborech .pst, přečtěte si téma Odebrání ochrany u souborů PST.

Podporované typy souborů pro klasifikaci a ochranu

Následující tabulka uvádí podmnožinu typů souborů, které podporují nativní ochranu klienta Azure Information Protection a které se můžou také klasifikovat.

Tyto typy souborů se identifikují samostatně, protože když jsou chráněné nativně, původní přípona názvu souboru se změní a tyto soubory pak jsou jen pro čtení. Upozorňujeme, že u obecně chráněných souborů se původní přípona názvu souboru vždy změní na .pfile.

Upozornění

Pokud máte brány firewall, webové proxy servery nebo software zabezpečení, který kontroluje a provádí akce podle přípon názvů souborů, budete možná muset tato síťová zařízení a software překonfigurovat tak, aby podporovala tyto nové přípony názvů souborů.

Původní přípona názvu souboru Přípona názvu chráněného souboru
.txt .ptxt
.xml .pxml
.jpg .pjpg
.jpeg .pjpeg
.pdf .ppdf [1]
.png .ppng
.tif .ptif
.tiff .ptiff
.bmp .pbmp
.gif .pgif
.jpe .pjpe
.jfif .pjfif
.jt .pjt
Poznámka pod čarou 1

S nejnovější verzí klienta Azure Information Protection ve výchozím nastavení zůstane přípona názvu souboru chráněného dokumentu PDF jako .pdf.

Další tabulka uvádí zbývající typy souborů, které podporují nativní ochranu klienta Azure Information Protection a které se můžou také klasifikovat. Rozpoznáte je jako typy souborů pro aplikace Microsoft Office. Podporované formáty souborů pro tyto typy souborů jsou formáty souborů 97–2003 a Office formáty Open XML pro následující Office programy: Word, Excel a PowerPoint.

U těchto souborů zůstává přípona názvu souboru stejná i poté, co soubor ochrání služba Rights Management.

Typy souborů, které podporuje Office Typy souborů, které podporuje Office
.doc

.docm

.docx

.dot

.dotm

.dotx

.potm

.potx

.pps

.ppsm

.ppsx

.ppt

.pptm

.pptx

.vsdm		 .vsdx

.vssm

.vssx

.vstm

.vstx

.xla

.xlam

.xls

.xlsb

.xlt

.xlsm

.xlsx

.xltm

.xltx

.xps

Změna výchozí úrovně ochrany souborů

Úpravou registru můžete změnit, jakým způsobem klient služby Azure Information Protection chrání soubory. Můžete třeba vynutit obecnou ochranu klienta služby Azure Information Protection pro soubory podporující nativní ochranu.

Můžete to chtít z těchto důvodů:

  • Chcete-li zajistit, aby všichni uživatelé mohli soubor otevřít, pokud nemají aplikaci, která podporuje nativní ochranu.

  • Abyste vyhověli požadavkům systémů zabezpečení, které provádějí akce se soubory na základě přípony názvu souboru a které se dají nakonfigurovat tak, aby přijaly příponu .pfile, ale nejdou nakonfigurovat tak, aby přijaly pro nativní ochranu víc než jednu příponu názvu souboru.

Podobně můžete u klienta služby Azure Information Protection vynutit používání nativní ochrany u souborů, které by ve výchozím nastavení podléhaly obecné ochraně. Tato akce může být vhodná, pokud máte aplikaci, která podporuje rozhraní RMS API. Například obchodní aplikace napsaná interními vývojáři nebo aplikací zakoupenou nezávislým dodavatelem softwaru (ISV).

U klienta služby Azure Information Protection je možné vynutit také blokování ochrany souborů (aby nepoužíval nativní ani obecnou ochranu). Tato akce může být například vyžadována, pokud máte automatizovanou aplikaci nebo službu, která musí být schopna otevřít konkrétní soubor pro zpracování jeho obsahu. Když pro určitý typ souboru zablokujete ochranu, nemůžou uživatelé soubory tohoto typu pomocí klienta služby Azure Information Protection chránit. Pokud to zkusí, zobrazí se jim zpráva, že správce ochraně zabránil, a musí akci ochrany souboru zrušit.

Pokud chcete klienta služby Azure Information Protection nakonfigurovat tak, aby se u všech souborů, které by ve výchozím nastavení používaly nativní ochranu, použila obecná ochrana, proveďte následující změny registru. Nezapomeňte, že pokud neexistuje klíč FileProtection, musíte ho ručně vytvořit.

  1. Pro následující cestu k registru vytvořte nový klíč s názvem *, který označuje soubory s libovolnou příponou jejich názvu:

    • Pro 32bitovou verzi Windows: HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection

    • Pro 64bitovou verzi Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\FileProtection a HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection

  2. V nově přidaném klíči (například HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\*) vytvořte novou řetězcovou hodnotu (REG_SZ ), která má datovou hodnotu Pfile.

    Výsledkem tohoto nastavení je použití obecné ochrany klientem služby Azure Information Protection.

Výsledkem těchto dvou nastavení je, že klient služby Azure Information Protection bude u všech souborů, které mají příponu názvu, používat obecnou ochranu. Pokud jste tohle chtěli, nemusíte nic dalšího konfigurovat. Můžete ale taky definovat výjimky pro konkrétní typy souborů, aby byly dál chráněné nativně. Chcete-li to provést, musíte vytvořit tři (pro 32bitové Windows) nebo 6 (pro 64bitové Windows) další úpravy registru pro každý typ souboru:

  1. Pro HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection a HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\FileProtection (pokud je to možné): Přidejte nový klíč, který má název přípony názvu souboru (bez předchozího období).

    Například, pro soubory s příponou názvu .docx vytvořte klíč pojmenovaný jako DOCX.

  2. V nově přidaném klíči typu souboru (například HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\DOCX) vytvořte novou hodnotu DWORD s názvem AllowPFILEEncryption a hodnotou 0.

  3. V nově přidaném klíči typu souboru (například HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\DOCX) vytvořte novou řetězcovou hodnotu s názvem Encryption a hodnotou Native.

V důsledku těchto nastavení jsou všechny soubory obecně chráněné kromě souborů, které mají příponu názvu souboru .docx. Tyto soubory jsou nativně chráněné klientem Azure Information Protection.

Tyto tři kroky opakujte u dalších typů souborů, které chcete definovat jako výjimky, protože podporují nativní ochranu, a nechcete, aby je klient služby Azure Information Protection chránil obecně.

Podobné úpravy registru můžete provádět i v jiných případech. Můžete změnit hodnotu řetězce Šifrování, který podporuje následující hodnoty:

  • Pfile: Obecná ochrana

  • Nativní: Nativní ochrana

  • Off: Blokování ochrany

Po provedení těchto změn registru není nutné restartovat počítač. Pokud ale k ochraně souborů používáte příkazy PowerShellu, musíte spustit novou relaci PowerShellu, aby se změny projevily.

V této dokumentaci pro vývojáře se obecná ochrana označuje jako PFile.

Typy souborů vyloučené z klasifikace a ochrany

Aby nemohli uživatelé měnit soubory, které jsou důležité pro činnost počítače, jsou některé typy souborů a složky z klasifikace a ochrany automaticky vyloučené. Pokud se uživatelé pokusí tyto soubory klasifikovat nebo chránit pomocí klienta Azure Information Protection, zobrazí se jim zpráva, že jsou vyloučené.

  • Vyloučené typy souborů: .lnk, .exe, .com, .cmd, .bat, .dll, .ini, .pst, .sca, .drm, .sys, .cpl, .inf, .drv, .dat, .tmp, .msg,.msp, .msi, .pdb, .jar

  • Vyloučené složky:

    • Windows
    • Program Files (\Program Files a \Program Files (x86))
    • \ProgramData
    • \AppData (pro všechny uživatele)

Typy souborů vyloučené z klasifikace a ochrany skenerem Azure Information Protection

Skener ve výchozím nastavení také vylučuje stejné typy souborů jako klient Azure Information Protection s následujícími výjimkami:

  • Jsou vyloučeny také .rtf a .rar.

Můžete změnit typy souborů zahrnuté nebo vyloučené pro kontrolu souborů skenerem:

  • Pomocí Azure Portal nakonfigurujte typy souborů pro kontrolu v profilu skeneru.

Poznámka

Pokud k prohledávání zahrnete soubory .rtf, pečlivě monitorujte skener. Některé soubory .rtf nelze úspěšně zkontrolovat skenerem a u těchto souborů se kontrola nedokončí a služba se musí restartovat.

Skener ve výchozím nastavení chrání pouze Office typy souborů a soubory PDF, pokud jsou chráněné pomocí standardu ISO pro šifrování PDF. Chcete-li toto chování pro skener změnit, upravte registr a zadejte další typy souborů, které chcete chránit. Pokyny najdete v tématu Použití registru ke změně typů souborů chráněných podle pokynů pro nasazení skeneru.

Soubory, které nelze ve výchozím nastavení chránit

Jakýkoli soubor, který je chráněný heslem, nemůže být nativně chráněn klientem Azure Information Protection, pokud není soubor aktuálně otevřen v aplikaci, která používá ochranu. Nejčastěji se zobrazují soubory PDF, které jsou chráněné heslem, ale jiné aplikace, jako jsou Office aplikace, také nabízejí tuto funkci.

Pokud změníte výchozí chování klienta Azure Information Protection tak, aby chránil soubory PDF s příponou názvu souboru .ppdf, klient nemůže nativně chránit nebo zrušit ochranu souborů PDF za některé z následujících okolností:

  • Soubor PDF, který je založený na formuláři.

  • Chráněný soubor PDF, který má příponu názvu souboru .pdf.

    Klient Azure Information Protection může chránit nechráněný soubor PDF a může odemknout a znovu chránit chráněný soubor PDF, pokud má příponu názvu souboru .ppdf.

Omezení souborů kontejneru, jako jsou soubory .zip

Další informace najdete v kolekci omezení azure Information Protection.

Typy souborů podporované pro kontrolu

Bez jakékoli další konfigurace používá klient Azure Information Protection Windows IFilter ke kontrole obsahu dokumentů. Windows IFilter používá Windows Vyhledávání indexování. V důsledku toho je možné zkontrolovat následující typy souborů při použití skeneru Azure Information Protection nebo příkazu Set-AIPFileClassification PowerShellu.

Typ aplikace Typ souboru
Word .doc; docx; .docm; .dot; .dotm; .dotx
Excel .xls; .xlt; .xlsx; .xltx; .xltm; .xlsm; .xlsb
PowerPoint .ppt; .pps; .pot; .pptx; .ppsx; .pptm; .ppsm; .potx; .potm
PDF .pdf
Text .txt; .xml; .csv

S další konfigurací je možné také zkontrolovat jiné typy souborů. Můžete například zaregistrovat příponu vlastního názvu souboru pro použití existující obslužné rutiny filtru Windows pro textové soubory a můžete nainstalovat další filtry od dodavatelů softwaru.

Pokud chcete zkontrolovat, jaké filtry jsou nainstalované, přečtěte si část Hledání obslužné rutiny filtru pro danou příponu souboru v průvodci vývojářem vyhledávání Windows.

Následující části obsahují pokyny ke konfiguraci ke kontrole .zip souborů a souborů .tiff.

Kontrola souborů .zip

Skener Azure Information Protection a příkaz Set-AIPFileClassification PowerShellu můžou kontrolovat .zip soubory, když budete postupovat podle těchto pokynů:

  1. Pro počítač se skenerem nebo relací PowerShellu nainstalujte Office 2010 Filter Pack SP2.

  2. Pro skener: Pokud by měl být soubor .zip klasifikovaný a chráněný popiskem, přidejte položku registru pro tuto příponu názvu souboru, která má obecnou ochranu (pfile), jak je popsáno v registru ke změně typů souborů chráněných podle pokynů pro nasazení skeneru.

Příklad scénáře po provedení těchto kroků:

Soubor s názvem accounts.zip obsahuje tabulky Excel s čísly platebních karet. Vaše zásada Azure Information Protection má popisek s názvem Důvěrné \ Finance, který je nakonfigurovaný pro zjišťování čísel platebních karet, a automaticky použije popisek s ochranou, která omezuje přístup ke skupině Finance.

Po kontrole souboru skener klasifikuje tento soubor jako Důvěrné \ Finance, použije obecnou ochranu na soubor, aby ho mohli rozbalit pouze členové skupiny Finance a přejmenovat soubor accounts.zip.pfile.

Kontrola souborů .tiff pomocí OCR

Skener Azure Information Protection a příkaz Set-AIPFileClassiciation PowerShellu může pomocí optického rozpoznávání znaků (OCR) zkontrolovat obrázky TIFF s příponou názvu souboru TIFF při instalaci funkce Windows TIFF IFilter a potom nakonfigurovat Windows TIFF IFilter Nastavení v počítači, na kterém běží skener nebo relace PowerShellu.

Pro skener: Pokud by měl být soubor .tiff klasifikovaný a chráněný popiskem, přidejte položku registru pro tuto příponu názvu souboru, aby měla nativní ochranu, jak je popsáno v registru ke změně typů souborů chráněných podle pokynů pro nasazení skeneru.

Další kroky

Teď, když jste identifikovali typy souborů podporované klientem Azure Information Protection, najdete v následujících zdrojích informací, které možná budete potřebovat k podpoře tohoto klienta: