Administratorhandbuch: Benutzerdefinierte Konfigurationen für den Azure Information Protection-Client für einheitliche Bezeichnungen
Hinweis
Suchen Sie nach Microsoft Purview Information Protection, ehemals Microsoft Information Protection (MIP)?
Das Azure Information Protection-Add-In für Office befindet sich jetzt im Wartungsmodus, und es wird empfohlen, Bezeichnungen zu verwenden, die in Ihre Office 365 Apps und Dienste integriert sind. Erfahren Sie mehr über den Supportstatus anderer Azure Information Protection-Komponenten.
Verwenden Sie die folgenden Informationen für erweiterte Konfigurationen, die für bestimmte Szenarien oder Benutzer beim Verwalten des AIP-einheitlichen Bezeichnungs-Assistenten erforderlich sind.
Hinweis
Diese Einstellungen erfordern die Bearbeitung der Registrierung oder das Angeben erweiterter Einstellungen. Die erweiterten Einstellungen verwenden Security & Compliance Center PowerShell.
Konfigurieren erweiterter Einstellungen für den Client über PowerShell
Verwenden Sie die Microsoft Purview-Complianceportal PowerShell, um erweiterte Einstellungen zum Anpassen von Bezeichnungsrichtlinien und Bezeichnungen zu konfigurieren.
Geben Sie nach der Verbindung mit Security & Compliance Center PowerShell in beiden Fällen den AdvancedSettings-Parameter mit der Identität (Name oder GUID) der Richtlinie oder Bezeichnung mit Schlüssel-Wert-Paaren in einer Hashtabelle an.
Um eine erweiterte Einstellung zu entfernen, verwenden Sie dieselbe Syntax wie für den Parameter AdvancedSettings, geben aber einen Null-String-Wert an.
Wichtig
Verwenden Sie keine Leerzeichen in Ihren Zeichenfolgenwerten. Weiße Zeichenfolgen in diesen Zeichenfolgenwerten verhindern, dass Ihre Bezeichnungen angewendet werden.
Weitere Informationen finden Sie unter
- Syntax der erweiterten Einstellungen der Bezeichnungsrichtlinie
- Etikett erweiterte Einstellungen Syntax
- Überprüfen der aktuellen erweiterten Einstellungen
- Beispiele für erweiterte Einstellungen
- Spezifizierung der Bezeichnungsrichtlinie oder Bezeichnungsidentität
- Vorrangfolge - wie widersprüchliche Einstellungen aufgelöst werden
- Erweiterte Einstellungshinweise
Syntax für erweiterte Einstellungen der Bezeichnungsrichtlinie
Ein Beispiel für eine erweiterte Bezeichnungsrichtlinie ist die Einstellung zum Anzeigen der Information Protection Leiste in Office Apps.
Für einen einzelnen Zeichenkettenwert verwenden Sie die folgende Syntax:
Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key="value1,value2"}
Für mehrere Zeichenkettenwerte für denselben Schlüssel ist die folgende Syntax zu verwenden:
Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}
Syntax für erweiterte Einstellungen
Ein Beispiel für eine erweiterte Bezeichnungseinstellung ist die Einstellung, um eine Bezeichnungsfarbe anzugeben.
Für einen einzelnen Zeichenkettenwert verwenden Sie die folgende Syntax:
Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key="value1,value2"}
Für mehrere Zeichenkettenwerte für denselben Schlüssel ist die folgende Syntax zu verwenden:
Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}
Überprüfen Der aktuellen erweiterten Einstellungen
Führen Sie zum Überprüfen der aktuellen erweiterten Einstellungen die folgenden Befehle aus:
Um die erweiterten Einstellungen Ihrer Bezeichnungsrichtlinie zu überprüfen, verwenden Sie die folgende Syntax:
Für eine Kennzeichnungsrichtlinie mit dem Namen Global:
(Get-LabelPolicy -Identity Global).settings
Um Ihre erweiterten Bezeichnungseinstellungen zu überprüfen, verwenden Sie die folgende Syntax:
Für ein Etikett mit dem Namen Public:
(Get-Label -Identity Public).settings
Beispiele für die Einstellung erweiterter Einstellungen
Beispiel 1: Legen Sie eine erweiterte Einstellung der Bezeichnungsrichtlinie für einen einzelnen Zeichenfolgenwert fest:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
Beispiel 2: Legen Sie eine erweiterte Einstellung für ein Etikett mit einem einzelnen Zeichenfolgenwert fest:
Set-Label -Identity Internal -AdvancedSettings @{smimesign="true"}
Beispiel 3: Legen Sie eine erweiterte Einstellung für mehrere Zeichenkettenwerte fest:
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}
Beispiel 4: Entfernen Sie eine erweiterte Einstellung der Kennzeichnungsrichtlinie, indem Sie einen Null-String-Wert angeben:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions=""}
Angeben der Bezeichnungsrichtlinie oder Bezeichnungsidentität
Die Suche nach dem Namen der Bezeichnungsrichtlinie für den PowerShell Identity-Parameter ist einfach, da im Microsoft Purview-Complianceportal nur ein Richtlinienname vorhanden ist.
Für Bezeichnungen zeigen die Microsoft Purview-Complianceportal jedoch sowohl den Wert Name als auch den Anzeigenamen an. In einigen Fällen werden diese Werte gleich sein, aber sie können unterschiedlich sein. Um erweiterte Einstellungen für Etiketten zu konfigurieren, verwenden Sie den Wert Name.
Um beispielsweise das Etikett in der folgenden Abbildung zu identifizieren, verwenden Sie die folgende Syntax in Ihrem PowerShell-Befehl: -Identity "All Company":
Wenn Sie die Bezeichnungs-GUID angeben möchten, wird dieser Wert nicht im Microsoft Purview-Complianceportal angezeigt. Verwenden Sie den Befehl Get-Etikett, um diesen Wert zu ermitteln, wie folgt:
Get-Label | Format-Table -Property DisplayName, Name, Guid
Weitere Informationen zum Beschriften von Namen und Anzeigenamen:
Name ist der ursprüngliche Name des Etiketts und ist für alle Ihre Etiketten eindeutig.
Dieser Wert bleibt auch dann identisch, wenn Sie ihren Bezeichnungsnamen später geändert haben. Bei Vertraulichkeitsbezeichnungen, die von Azure Information Protection migriert wurden, werden möglicherweise ursprüngliche Bezeichnungs-ID aus dem Azure-Portal angezeigt.
Anzeigename ist der Name, der den Benutzern derzeit für das Etikett angezeigt wird, und muss nicht für alle Ihre Etiketten eindeutig sein.
Sie könnten zum Beispiel einen Anzeigenamen Alle Mitarbeiter für ein Sublabel unter dem Etikett Vertraulich und einen anderen Anzeigenamen Alle Mitarbeiter für ein Sublabel unter dem Etikett Streng vertraulich haben. Diese Unterbezeichnungen zeigen beide denselben Namen an, sind aber nicht die gleiche Bezeichnung und weisen unterschiedliche Einstellungen auf.
Reihenfolge der Rangfolge – Wie widersprüchliche Einstellungen aufgelöst werden
Sie können die Microsoft Purview-Complianceportal verwenden, um die folgenden Bezeichnungsrichtlinieneinstellungen zu konfigurieren:
Diese Kennzeichnung wird standardmäßig auf Dokumente und E-Mails angewendet
Der Benutzer muss die Entfernung eines Etiketts oder einer niedrigeren Klassifizierung begründen
Benutzer auffordern, ihre E-Mail oder ihr Dokument mit einem Etikett zu versehen
Benutzer mit einem Link zu einer benutzerdefinierten Hilfeseite versorgen
Wenn mehr als eine Bezeichnungsrichtlinie für einen Benutzer konfiguriert ist, von denen jede potenziell andere Richtlinieneinstellungen aufweist, wird die letzte Richtlinieneinstellung entsprechend der Reihenfolge der Richtlinien im Microsoft Purview-Complianceportal angewendet. Weitere Informationen finden Sie unter Priorität der Richtlinienbezeichnungen (Reihenfolge wesentlich)
Die erweiterten Einstellungen der Bezeichnungsrichtlinie werden mithilfe derselben Logik angewendet, indem Sie die letzte Richtlinieneinstellung verwenden.
Erweiterte Einstellungsbezüge
In den folgenden Abschnitten sind die verfügbaren erweiterten Einstellungen für Bezeichnungsrichtlinien und Bezeichnungen aufgeführt:
- Erweiterte Einstellungsreferenz nach Feature
- Erweiterten Einstellungsreferenz der Bezeichnungsrichtlinie
- Etikett Erweiterte Einstellung Referenz
Erweiterte Einstellungsreferenz nach Feature
In den folgenden Abschnitten werden die erweiterten Einstellungen aufgeführt, die auf dieser Seite nach Produkt- und Featureintegration beschrieben werden:
Referenz zur erweiterten Einstellung der Bezeichnungsrichtlinie
Verwenden Sie den Parameter AdvancedSettings mit New-LabelPolicy und Set-LabelPolicy, um die folgenden Einstellungen zu definieren:
Referenz zur erweiterten Bezeichnungseinstellung
Verwenden Sie den Parameter AdvancedSettings mit New-Label und Set-Label.
| Einstellung | Szenario und Anweisungen |
|---|---|
| color | Festlegen einer Farbe für die Bezeichnung |
| customPropertiesByLabel | Eine benutzerdefinierte Eigenschaft anwenden, wenn ein Etikett angebracht wird |
| DefaultSubLabelId | Festlegen einer standardmäßigen untergeordneten Bezeichnung für eine übergeordnete Bezeichnung |
| labelByCustomProperties | Bezeichnungen von Secure Islands und anderen Bezeichnungslösungen migrieren |
| SMimeEncrypt | Konfigurieren einer Bezeichnung, um die S/MIME-Schutz in Outlook anzuwenden |
| SMimeSign | Konfigurieren einer Bezeichnung, um die S/MIME-Schutz in Outlook anzuwenden |
Ausblenden der Menüoption „Klassifizieren und schützen“ im Windows-Dateiexplorer
Um die Menüoption Klassifizieren und Schützen im Windows Datei-Explorer auszublenden, erstellen Sie den folgenden DWORD-Wertnamen (mit beliebigen Wertdaten):
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable
Weitere Informationen finden Sie unter Verwendung des Datei-Explorers zur Klassifizierung von Dateien.
Information Protection-Leiste in Office-Apps anzeigen
Diese Konfiguration verwendet eine erweiterte Richtlinieneinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Standardmäßig müssen Benutzer die Option Leiste anzeigen auf der Schaltfläche Empfindlichkeit wählen, um die Informationsschutzleiste in Office-Anwendungen anzuzeigen. Verwenden Sie den Schlüssel HideBarByDefault und setzen Sie den Wert auf False, um diese Leiste automatisch für die Benutzer anzuzeigen, so dass sie Etiketten entweder aus der Leiste oder der Schaltfläche auswählen können.
Geben Sie für die ausgewählte Bezeichnungsrichtlinie die folgenden Zeichenfolgen an:
Key: HideBarByDefault
Wert: FALSE
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{HideBarByDefault="False"}
Ausgenommen Outlook Nachrichten von obligatorischer Bezeichnung
Diese Konfiguration verwendet eine erweiterte Richtlinieneinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Wenn Sie die Standardeinstellung Alle Dokumente und E-Mails müssen ein Etikett haben aktivieren, müssen alle gespeicherten Dokumente und gesendeten E-Mails mit einem Etikett versehen werden. Wenn Sie die folgende erweiterte Einstellung konfigurieren, gilt die Richtlinieneinstellung nur für Office Dokumente und nicht für Outlook Nachrichten.
Geben Sie für die ausgewählte Bezeichnungsrichtlinie die folgenden Zeichenfolgen an:
Key: DisableMandatoryInOutlook
Wert: True
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{DisableMandatoryInOutlook="True"}
Aktivieren der empfohlenen Klassifizierung in Outlook
Diese Konfiguration verwendet eine erweiterte Richtlinieneinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Wenn Sie eine Bezeichnung für die empfohlene Klassifizierung konfigurieren, werden Benutzer dazu aufgefordert, die empfohlene Bezeichnung in Word, Excel und PowerPoint anzunehmen oder abzulehnen. Diese Einstellung erweitert diese Bezeichnungsempfehlung, sodass sie auch in Outlook angezeigt wird.
Geben Sie für die ausgewählte Bezeichnungsrichtlinie die folgenden Zeichenfolgen an:
Schlüssel: OutlookRecommendationEnabled
Wert: True
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookRecommendationEnabled="True"}
Entfernen des Schutzes vor komprimierten Dateien aktivieren
Diese Konfiguration verwendet eine erweiterte Richtlinieneinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Wenn Sie diese Einstellung konfigurieren, wird das Cmdlet PowerShellSet-AIPFileLabel aktiviert, um die Entfernung des Schutzes von PST-, RAR- und 7zip-Dateien zu ermöglichen.
Key: EnableContainerSupport
Wert: True
Beispiel-PowerShell-Befehl, in dem Ihre Richtlinie aktiviert ist:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}
Festlegen anderer Standardbezeichnung für Outlook
Diese Konfiguration verwendet eine erweiterte Richtlinieneinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Wenn Sie diese Einstellung konfigurieren, wendet Outlook nicht das Standardetikett an, das als Richtlinieneinstellung für die Option Dieses Etikett standardmäßig auf Dokumente und E-Mails anwenden konfiguriert ist. Stattdessen kann Outlook eine andere Standardbezeichnung oder gar keine Bezeichnung anwenden.
Geben Sie für die ausgewählte Bezeichnungsrichtlinie die folgenden Zeichenfolgen an:
Schlüssel: OutlookDefaultLabel
Wert: <Etikett GUID> oder Keine
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookDefaultLabel="None"}
Ändern der zu schützenden Dateitypen
Diese Konfigurationen verwenden eine erweiterte Richtlinieneinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Standardmäßig schützt der Azure Information Protection einheitlichen Bezeichnungs-Assistenten alle Dateitypen, und der Scanner vom Client schützt nur Office Dateitypen und PDF-Dateien.
Sie können dieses Standardverhalten für eine ausgewählte Bezeichnungsrichtlinie ändern, indem Sie eine der folgenden Optionen angeben:
PFileSupportedExtension
Key: PFileSupportedExtensions
Wert: <Zeichenfolgewert>
Verwenden Sie die folgende Tabelle, um den Zeichenfolgenwert zu identifizieren, der angegeben werden soll:
| Zeichenfolgenwert | Client | Scanner |
|---|---|---|
| * | Standardwert: Anwenden des Schutzes auf alle Dateitypen | Anwenden des Schutzes auf alle Dateitypen |
| ConvertTo-Json(".jpg", ".png") | Zusätzlich zu Office Dateitypen und PDF-Dateien wenden Sie den Schutz auf die angegebenen Dateinamenerweiterungen an. | Zusätzlich zu Office Dateitypen und PDF-Dateien wenden Sie den Schutz auf die angegebenen Dateinamenerweiterungen an. |
Beispiel 1: PowerShell-Befehl für den Scanner, um alle Dateitypen zu schützen, wobei Ihre Etikett-Richtlinie den Namen "Scanner" trägt:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
Beispiel 2: PowerShell-Befehl für den Scanner, um neben Office- und PDF-Dateien auch .txt- und .csv-Dateien zu schützen, wobei Ihre Etikett-Richtlinie den Namen "Scanner" trägt:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}
Mit dieser Einstellung können Sie ändern, welche Dateitypen geschützt sind, aber Sie können die Standardschutzstufe nicht von systemeigener in generischer Ebene ändern. Beispielsweise können Sie für Benutzer, die den einheitlichen Bezeichnungs-Assistenten ausführen, die Standardeinstellung ändern, sodass nur Office Dateien und PDF-Dateien anstelle aller Dateitypen geschützt sind. Sie können diese Dateitypen jedoch nicht ändern, um generisch mit einer Pfile-Dateinamenerweiterung geschützt zu werden.
AdditionalPPrefixExtensions
Der einheitliche Bezeichnungs-Assistent unterstützt die Änderung von <EXT>.PFILE in P<EXT> durch Verwendung der erweiterten Eigenschaft AdditionalPPrefixExtensions. Diese erweiterte Eigenschaft wird von der Explorer, PowerShell und vom Scanner unterstützt. Alle Apps weisen ein ähnliches Verhalten auf.
Schlüssel: AdditionalPPrefixExtensions
Wert: <Zeichenfolgewert>
Verwenden Sie die folgende Tabelle, um den Zeichenfolgenwert zu identifizieren, der angegeben werden soll:
| Zeichenfolgenwert | Client und Scanner |
|---|---|
| * | Alle PFile-Erweiterungen werden zu P<EXT> |
| <NULL-Wert> | Der Standardwert verhält sich wie der Standardwert. |
| ConvertTo-Json(".dwg", ".zip") | Zusätzlich zur vorherigen Liste werden ".dwg" und ".zip" zu P<EXT> |
Mit dieser Einstellung werden die folgenden Erweiterungen immer zu P<EXT>: ".txt", ".xml", ".bmp", ".jt", ".jpg", ".jpeg", ".jpe", ".jif", ".jfif", ".jfi", ".png", ".tif", ".tiff", ".gif"). Ein bemerkenswerter Ausschluss ist, dass "ptxt" nicht zu "txt.pfile" wird.
AdditionalPPrefixExtensions funktioniert nur, wenn der Schutz von PFiles mit der erweiterten Eigenschaft - PFileSupportedExtension aktiviert ist.
Beispiel 1: PowerShell-Befehl, damit er sich wie das Standardverhalten verhält, bei dem Protect ".dwg" zu ".dwg.pfile" wird:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}
Beispiel 2: PowerShell-Befehl zum Ändern aller PFile-Erweiterungen von generischem Schutz (dwg.pfile) in nativen Schutz (.pdwg), wenn die Dateien geschützt sind:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}
Beispiel 3: PowerShell-Befehl zum Ändern von ".dwg" in ".pdwg", wenn Sie diesen Dienst verwenden, um diese Datei zu schützen:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}
„Not now“ („Nicht jetzt“) für Dokumente bei Verwendung der obligatorischen Bezeichnung entfernen
Diese Konfiguration verwendet eine erweiterte Richtlinieneinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Wenn Sie die Richtlinieneinstellung Alle Dokumente und E-Mails müssen ein Etikett haben verwenden, werden die Benutzer beim ersten Speichern eines Office-Dokuments und beim Senden einer E-Mail aus Outlook aufgefordert, ein Etikett auszuwählen.
Bei Office-Dokumenten können Benutzer Not now (nicht jetzt) wählen, um die Aufforderung zum Auswählen einer Bezeichnung vorübergehend zu schließen und zum Dokument zurückzukehren. Sie können das gespeicherte Dokument jedoch nicht schließen, ohne es zu bezeichnen.
Wenn Sie die Einstellung PostponeMandatoryBeforeSave konfigurieren, wird die Option Not now entfernt, so dass Benutzer beim ersten Speichern des Dokuments ein Etikett auswählen müssen.
Tipp
Die Einstellung PostponeMandatoryBeforeSave stellt außerdem sicher, dass freigegebene Dokumente gekennzeichnet werden, bevor sie per E-Mail versendet werden.
Selbst wenn Sie in Ihrer Richtlinie die Option Alle Dokumente und E-Mails müssen mit einem Etikett versehen werden aktiviert haben, werden Benutzer standardmäßig nur dazu aufgefordert, Dateien, die an E-Mails angehängt sind, aus Outlook heraus zu kennzeichnen.
Geben Sie für die ausgewählte Bezeichnungsrichtlinie die folgenden Zeichenfolgen an:
Schlüssel: PostponeMandatoryBeforeSave
Wert: FALSE
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PostponeMandatoryBeforeSave="False"}
Entfernen von Kopf- und Fußzeilen aus anderen Bezeichnungslösungen
Diese Konfiguration verwendet erweiterte Richtlinieneinstellungen , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Es gibt zwei Methoden zum Entfernen von Klassifizierungen aus anderen Bezeichnungslösungen:
| Einstellung | Beschreibung |
|---|---|
| WordShapeNameToRemove | Entfernt alle Formen aus Word-Dokumenten, bei denen der Name der Form mit dem in der erweiterten Eigenschaft WordShapeNameToRemove definierten Namen übereinstimmt. Weitere Informationen finden Sie unter Verwenden der erweiterten Eigenschaft WordShapeNameToRemove. |
| RemoveExternalContentMarkingInApp ExternalContentMarkingToRemove |
Ermöglicht das Entfernen oder Ersetzen von textbasierten Kopf- oder Fußzeilen aus Word, Excel und PowerPoint Dokumenten. Weitere Informationen finden Sie unter - Verwenden Sie die erweiterte Eigenschaft RemoveExternalContentMarkingInApp - So konfigurieren Sie ExternalContentMarkingToRemove. |
Verwenden der erweiterten WordShapeNameToRemove-Eigenschaft
Die erweiterte Eigenschaft WordShapeNameToRemove wird ab Version 2.6.101.0 und höher unterstützt
Mit dieser Einstellung können Sie formbasierte Bezeichnungen aus Word-Dokumenten entfernen oder ersetzen, wenn diese visuellen Markierungen von einer anderen Bezeichnungslösung angewendet wurden. Zum Beispiel enthält die Form den Namen eines alten Etiketts, das Sie jetzt auf Vertraulichkeitsbezeichnungen migriert haben, um einen neuen Etikettennamen und eine eigene Form zu verwenden.
Um diese erweiterte Eigenschaft zu verwenden, müssen Sie den Namen der Form im Word-Dokument finden und sie dann in der Liste der erweiterten Eigenschaft WordShapeNameToRemove der Formen definieren. Der Dienst entfernt jedes Shape in Word, das mit einem Namen beginnt, der in einer Liste von Shapes in dieser erweiterten Eigenschaft definiert ist.
Vermeiden Sie das Entfernen von Shapes, die den Text enthalten, den Sie ignorieren möchten, indem Sie den Namen aller Shapes definieren, um den Text in allen Formen zu entfernen und zu vermeiden, was ein ressourcenintensiver Prozess ist.
Hinweis
In Microsoft Word können Shapes entweder durch Definieren des Formnamens oder durch den Text entfernt werden, aber nicht beides. Wenn die Eigenschaft WordShapeNameToRemove definiert ist, werden alle durch den Wert ExternalContentMarkingToRemove definierten Konfigurationen ignoriert.
Um den Namen der Form zu finden, die Sie verwenden und die Sie ausschließen möchten:
Zeigen Sie in Word das Fenster Auswahl an: Registerkarte>Bearbeiten Gruppe >Auswahl Option >Auswahlfenster.
Wählen Sie das Shape auf dem Zeichenblatt aus, das Sie zum Entfernen markieren möchten. Der Name der markierten Form ist nun im Auswahl-Fenster hervorgehoben.
Verwenden Sie den Namen der Form, um einen String-Wert für den Schlüssel WordShapeNameToRemove anzugeben.
Beispiel: Der Name der Form lautet dc. Geben Sie den Wert dc an, um die Form mit diesem Namen zu entfernen.
Key: WordShapeNameToRemove
Wert: <Wortformname>
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{WordShapeNameToRemove="dc"}
Wenn Sie mehr als eine Word-Form zu entfernen haben, geben Sie so viele Werte an, wie Sie Formen zu entfernen haben.
Verwenden der erweiterten Eigenschaft RemoveExternalContentMarkingInApp
Mit dieser Einstellung können Sie textbasierte Kopf- oder Fußzeilen aus Dokumenten entfernen oder ersetzen, wenn diese visuellen Markierungen von einer anderen Bezeichnungslösung angebracht wurden. Zum Beispiel enthält die alte Fußzeile den Namen eines alten Etiketts, das Sie jetzt auf Vertraulichkeitsbezeichnungen migriert haben, um einen neuen Etikettennamen und eine eigene Fußzeile zu verwenden.
Wenn der einheitliche Bezeichnungs-Assistent diese Konfiguration in seiner Richtlinie erhält, werden die alten Kopf- und Fußzeilen entfernt oder ersetzt, wenn das Dokument in der Office-Anwendung geöffnet und eine Vertraulichkeitsbezeichnung auf das Dokument angewendet wird.
Diese Konfiguration wird für Outlook nicht unterstützt. Beachten Sie außerdem, dass die Verwendung mit Word, Excel und PowerPoint sich negativ auf die Leistung dieser Apps für Benutzer auswirken kann. Mithilfe der Konfiguration können Sie Einstellungen für jede einzelne Anwendung definieren, z.B. die Suche nach Text in Kopf- oder Fußzeilen von Word-Dokumenten, jedoch nicht von Excel-Tabellen oder PowerPoint-Präsentationen.
Da der Musterabgleich die Leistung für die Benutzer beeinträchtigt, empfehlen wir, die Office-Anwendungstypen (Word, EXcel, PowerPoint) auf diejenigen zu beschränken, die durchsucht werden müssen. Geben Sie für die ausgewählte Bezeichnungsrichtlinie die folgenden Zeichenfolgen an:
Key: RemoveExternalContentMarkingInApp
Wert: <Büroanwendungstypen WXP>
Beispiele:
Geben Sie W an, um nur Word-Dokumente zu durchsuchen.
Geben Sie WP an, um Word-Dokumente und PowerPoint-Präsentationen zu durchsuchen.
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInApp="WX"}
Sie benötigen dann mindestens eine weitere erweiterte Clienteinstellung, ExternalContentMarkingToRemove, um die Inhalte der Kopf- oder Fußzeile anzugeben und diese zu entfernen oder zu ersetzen.
Konfigurieren von ExternalContentMarkingToRemove
Wenn Sie den Zeichenfolgenwert für den Schlüssel ExternalContentMarkingToRemove angeben, haben Sie drei Optionen, die reguläre Ausdrücke verwenden. Verwenden Sie für jedes dieser Szenarien die in der Spalte Beispielwert in der folgenden Tabelle angegebene Syntax:
| Option | Beispielbeschreibung | Beispielwert |
|---|---|---|
| Teilweise Übereinstimmung, um alles in der Kopf- oder Fußzeile zu entfernen | Ihre Kopf- oder Fußzeilen enthalten die Zeichenfolge ZU ENTFERNENDER TEXT, und Sie möchten diese Kopf- oder Fußzeilen vollständig entfernen. | *TEXT* |
| Vollständige Übereinstimmung, um nur bestimmte Wörter in der Kopf- oder Fußzeile zu entfernen | Ihre Kopf- oder Fußzeilen enthalten die Zeichenfolge ZU ENTFERNENDER TEXT, und Sie möchten nur das Wort TEXT entfernen, so dass die Kopf- oder Fußzeilenzeichenfolge ZU ENTFERNEN lautet. | TEXT |
| Vollständige Übereinstimmung, um alles in der Kopf- oder Fußzeile zu entfernen | Ihre Kopf- oder Fußzeilen haben die Zeichenfolge ZU ENTFERNENDER TEXT. Sie möchten die Kopf- oder Fußzeilen entfernen, die genau diese Zeichenfolge enthalten. | ^TEXT TO REMOVE$ |
Der Musterabgleich für die angegebene Zeichenfolge berücksichtigt keine Groß- und Kleinschreibung. Die maximale Zeichenfolgenlänge beträgt 255 Zeichen und darf keine Leerzeichen enthalten.
Da einige Dokumente unsichtbare Zeichen oder andere Arten von Leerzeichen oder Tabstopps enthalten können, wird die Zeichenfolge, die Sie für einen Begriff oder einen Satz angeben, möglicherweise nicht erkannt. Geben Sie nach Möglichkeit immer ein einzelnes unterscheidendes Wort für den Wert an, und testen Sie die Ergebnisse, bevor Sie diese für die Produktion bereitstellen.
Geben Sie für dieselbe Bezeichnungsrichtlinie die folgenden Zeichenfolgen an:
Key: ExternalContentMarkingToRemove
Wert: <zu übereinstimmende Zeichenfolge, definiert als regulärer Ausdruck>
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*TEXT*"}
Weitere Informationen finden Sie unter
Mehrzeilige Kopf- oder Fußzeilen
Wenn der Text in einer Kopf- oder Fußzeile mehr als eine Zeile umfasst, erstellen Sie einen Schlüssel und einen Wert für jede Zeile. Wenn Sie zum Beispiel die folgende Fußzeile mit zwei Zeilen haben:
The file is classified as Confidential
Label applied manually
Um diese mehrzeilige Fußzeile zu entfernen, erstellen Sie die folgenden zwei Einträge für dieselbe Bezeichnungsrichtlinie:
- Key: ExternalContentMarkingToRemove
- Schlüsselwert 1: *Confidential*
- Schlüsselwert 2: *Etikett angebracht*
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove=ConvertTo-Json("Confidential","Label applied")}
Optimierung für PowerPoint
Kopf- und Fußzeilen in PowerPoint werden als Shapes implementiert. Für die Formtypen msoTextBox, msoTextEffect, msoPlaceholder, und msoAutoShape bieten die folgenden erweiterten Einstellungen zusätzliche Optimierungen:
Zusätzlich kann die Funktion PowerPointRemoveAllShapesByShapeName jeden Formtyp auf der Grundlage des Formnamens entfernen.
Weitere Informationen finden Sie unter Finden Sie den Namen der Form, die Sie als Kopf- oder Fußzeile verwenden.
Vermeiden Sie das Entfernen von Shapes aus PowerPoint, die angegebenen Text enthalten, und sind keine Kopf-/Fußzeilen
Um zu verhindern, dass Formen entfernt werden, die den von Ihnen angegebenen Text enthalten, aber keine Kopf- oder Fußzeilen sind, verwenden Sie eine zusätzliche erweiterte Client-Einstellung namens PowerPointShapeNameToRemove.
Es wird empfohlen, diese Einstellung ebenfalls zu verwenden, um zu verhindern, dass der Text in allen Formen überprüft wird, denn dieser Prozess ist sehr ressourcenintensiv.
Wenn Sie diese zusätzliche erweiterte Clienteinstellung nicht angeben und PowerPoint im Schlüsselwert RemoveExternalContentMarkingInApp eingeschlossen ist, werden alle Formen auf den Text überprüft, den Sie im Wert ExternalContentMarkingToRemove angeben.
Wenn dieser Wert angegeben wird, werden nur Formen entfernt, die die Kriterien für den Formnamen erfüllen und außerdem einen Text aufweisen, der mit der in ExternalContentMarkingToRemove angegebenen Zeichenfolge übereinstimmt.
Beispiel:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
Erweitern der Entfernung externer Markierungen auf benutzerdefinierte Layouts
Diese Konfiguration verwendet eine erweiterte Richtlinieneinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Standardmäßig ignoriert die Logik zum Entfernen externer Inhaltsmarkierungen benutzerdefinierte Layouts, die in PowerPoint konfiguriert sind. Um diese Logik auf benutzerdefinierte Layouts auszuweiten, setzen Sie die erweiterte Eigenschaft RemoveExternalMarkingFromCustomLayouts auf True.
Schlüssel: RemoveExternalMarkingFromCustomLayouts
Wert: True
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
Entfernen aller Shapes eines bestimmten Shape-Namens
Wenn Sie benutzerdefinierte PowerPoint-Layouts verwenden und alle Formen eines bestimmten Formnamens aus Ihren Kopf- und Fußzeilen entfernen möchten, verwenden Sie die erweiterte Einstellung PowerPointRemoveAllShapesByShapeName mit dem Namen der Form, die Sie entfernen möchten.
Mit der Einstellung PowerPointRemoveAllShapesByShapeName wird der Text innerhalb der Formen ignoriert und stattdessen der Name der Form verwendet, um die zu entfernenden Formen zu identifizieren.
Beispiel:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointRemoveAllShapesByShapeName="Arrow: Right"}
Weitere Informationen finden Sie unter
- Finden Sie den Namen der Form, die Sie als Kopf- oder Fußzeile verwenden
- Entfernen der Markierung externer Inhalte aus benutzerdefinierten Layouts in PowerPoint
Suchen Sie den Namen der Form, die Sie als Kopf- oder Fußzeile verwenden
Zeigen Sie in PowerPoint das Fenster Auswahl an: Registerkarte Format>Bereich Gruppe >Auswahlfenster.
Wählen Sie die Form auf der Folie aus, die die Kopf- oder Fußzeile enthält. Der Name der ausgewählten Form wird nun im Bereich Auswahl hervorgehoben.
Verwenden Sie den Namen der Form, um einen Zeichenfolgenwert für den Schlüssel PowerPointShapeNameToRemove anzugeben.
Beispiel: Der Name der Form ist fc. Geben Sie den Wert fc an, um die Form mit diesem Namen zu entfernen.
Key: PowerPointShapeNameToRemove
Wert: <PowerPoint-Formname>
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
Wenn Sie mehr als eine PowerPoint-Form zu entfernen haben, geben Sie so viele Werte an, wie Sie Formen zu entfernen haben.
Standardmäßig werden nur die Masterfolien auf Kopf- oder Fußzeilen überprüft. Wenn Sie diese Suche auf alle Folien ausweiten möchten (dieser Prozess ist jedoch wesentlich ressourcenintensiver), verwenden Sie eine zusätzliche erweiterte Clienteinstellung namens RemoveExternalContentMarkingInAllSlides:
Key: RemoveExternalContentMarkingInAllSlides
Wert: True
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInAllSlides="True"}
Entfernen der externen Inhaltsmarkierung aus benutzerdefinierten Layouts in PowerPoint
Diese Konfiguration verwendet eine erweiterte Richtlinieneinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Standardmäßig ignoriert die Logik zum Entfernen externer Inhaltsmarkierungen benutzerdefinierte Layouts, die in PowerPoint konfiguriert sind. Um diese Logik auf benutzerdefinierte Layouts auszuweiten, setzen Sie die erweiterte Eigenschaft RemoveExternalMarkingFromCustomLayouts auf True.
Schlüssel: RemoveExternalMarkingFromCustomLayouts
Wert: True
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
Deaktivieren von benutzerdefinierten Berechtigungen in Explorer
Diese Konfiguration verwendet eine erweiterte Richtlinieneinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Standardmäßig sehen Benutzer eine Option namens Schützen mit benutzerdefinierten Rechten, wenn sie im Datei-Explorer mit der rechten Maustaste klicken und Klassifizieren und schützen wählen. Mit dieser Option können sie ihre eigenen Schutzeinstellungen festlegen, die alle Schutzeinstellungen außer Kraft setzen können, die Sie möglicherweise in einer Etikettenkonfiguration enthalten haben. Benutzer können außerdem eine Option zum Entfernen des Schutzes sehen. Wenn Sie diese Einstellung konfigurieren, werden diese Optionen den Benutzern nicht angezeigt.
Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen für die ausgewählte Bezeichnungsrichtlinie ein:
Schlüssel: EnableCustomPermissions
Wert: FALSE
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
Ständiges Anzeigen von benutzerdefinierten Berechtigungen für Benutzer im Dateiexplorer für mit benutzerdefinierten Berechtigungen geschützte Dateien
Diese Konfiguration verwendet eine erweiterte Richtlinieneinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Wenn Sie die erweiterte Client-Einstellung Ausschalten der benutzerdefinierten Berechtigungen im Datei-Explorer konfigurieren, sind Benutzer standardmäßig nicht in der Lage, benutzerdefinierte Berechtigungen, die bereits in einem geschützten Dokument gesetzt sind, zu sehen oder zu ändern.
Es gibt jedoch eine weitere erweiterte Clienteinstellung, die Sie angeben können, damit Benutzer in diesem Szenario benutzerdefinierte Berechtigungen für ein geschütztes Dokument anzeigen und ändern können, wenn sie Explorer verwenden und mit der rechten Maustaste auf die Datei klicken.
Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen für die ausgewählte Bezeichnungsrichtlinie ein:
Schlüssel: EnableCustomPermissionsForCustomProtectedFiles
Wert: True
Beispiel-PowerShell-Befehl:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}
Wenden Sie für E-Mail-Nachrichten mit Anlagen eine Bezeichnung an, die der höchsten Einstufung dieser Anlagen entspricht
Diese Konfiguration verwendet erweiterte Richtlinieneinstellungen , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Diese Einstellung gilt, wenn Benutzer beschriftete Dokumente an eine E-Mail anfügen und die E-Mail nicht selbst beschriftet. In diesem Szenario wird eine Bezeichnung automatisch für sie ausgewählt, basierend auf den Klassifizierungsbezeichnungen, die auf die Anlagen angewendet werden. Die höchste Klassifizierungsbezeichnung ist ausgewählt.
Bei der Anlage muss es sich um eine physische Datei handeln, nicht um einen Link zu einer Datei (z. B. einen Link zu einer Datei auf Microsoft SharePoint oder OneDrive).
Sie können diese Einstellung auf Empfohlen konfigurieren, sodass Benutzer aufgefordert werden, die ausgewählte Bezeichnung auf ihre E-Mail-Nachricht anzuwenden. Benutzer können dann die Empfehlung annehmen oder verwerfen, ohne die Bezeichnung anzuwenden. Alternativ können Sie diese Einstellung auf Automatisch konfigurieren, wobei die ausgewählte Bezeichnung automatisch angewendet wird. Benutzer können die Bezeichnung jedoch entfernen oder eine andere Bezeichnung auswählen, bevor sie die E-Mail senden. Beide Szenarien unterstützen eine angepasste Nachricht.
Hinweis
Wenn der Anhang mit dem höchsten Klassifizierungsbezeichnung für den Schutz mit der Einstellung von benutzerdefinierten Berechtigungen konfiguriert ist:
- Wenn die benutzerdefinierten Berechtigungen des Etiketts Outlook (Nicht weiterleiten) umfassen, wird dieses Etikett ausgewählt und der Schutz "Nicht weiterleiten" wird auf die E-Mail angewendet.
- Wenn die benutzerdefinierten Berechtigungen des Etiketts nur für Word, Excel, PowerPoint und den Datei-Explorer gelten, wird das Etikett nicht auf die E-Mail-Nachricht angewendet, und auch der Schutz ist nicht vorhanden.
Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen für die ausgewählte Bezeichnungsrichtlinie ein:
Taste 1: AttachmentAction
Schlüsselwert 1: Empfohlen oder Automatisch
Schlüssel 2 (optional): AttachmentActionTipTip
Schlüsselwert 2: „<Angepasster Tooltip>“
Die optionale benutzerdefinierte QuickInfo unterstützt nur eine einzelne Sprache. Wenn diese Einstellung nicht angegeben ist, werden den Benutzern die folgenden Meldungen angezeigt:
- Empfohlene Nachricht: Es wird empfohlen, diese E-Mail als <Bezeichnungsname> zu bezeichnen.
- Automatische Nachricht: Diese E-Mail wurde automatisch als <Bezeichnungsname> bezeichnet.
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{AttachmentAction="Automatic"}
Add "Report an Issue" for users ("Problem melden" für Benutzer hinzufügen)
Diese Konfiguration verwendet eine erweiterte Richtlinieneinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Wenn Sie die folgende erweiterte Clienteinstellung angeben, wird Benutzern die Option Problem melden angezeigt, die sie aus dem Clientdialogfeld Hilfe und Feedback auswählen können. Geben Sie eine HTTP-Zeichenfolge für den Link an. Beispiele dafür sind eine benutzerdefinierte Webseite, über die Benutzer Probleme melden, oder eine E-Mail-Adresse, die E-Mails an Ihren Helpdesk weiterleitet.
Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen für die ausgewählte Bezeichnungsrichtlinie ein:
Key: ReportAnIssueLink
Wert: <HTTP-String>
Beispielwert für eine Website: https://support.contoso.com
Beispielwert für eine E-Mail-Adresse: mailto:helpdesk@contoso.com
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}
Implementieren von Popupmeldungen in Outlook, die E-Mails während des Sendens legitimieren, blockieren oder Warnungen für sie ausgeben
Diese Konfiguration verwendet erweiterte Richtlinieneinstellungen , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Wenn Sie die folgenden erweiterten Clienteinstellungen erstellen und konfigurieren, werden Benutzern Popupmeldungen in Outlook angezeigt, die sie vor dem Senden einer E-Mail warnen können, oder sie nach einer Legitimierung fragen, warum sie eine E-Mail versenden, oder sie aus folgenden Gründen davon abhalten, eine E-Mail zu senden:
Die E-Mail oder der E-Mail-Anhang hat eine bestimmte Bezeichnung:
- Der Anhang kann einen beliebigen Dateityp haben
Die E-Mail oder der E-Mail-Anhang hat keine bestimmte Bezeichnung:
- Der Anhang kann ein Office-Dokument oder ein PDF-Dokument sein
Wenn diese Bedingungen erfüllt sind, wird dem Benutzer eine Popupnachricht mit einer der folgenden Aktionen angezeigt:
| Type | Beschreibung |
|---|---|
| Warnen | Der Benutzer kann bestätigen und senden, oder abbrechen. |
| Im Blocksatz ausrichten | Der Benutzer wird zur Begründung aufgefordert (vordefinierte Optionen oder Freihandform), und der Benutzer kann dann die E-Mail senden oder abbrechen. Der Rechtfertigungstext wird in den x-Header der E-Mail geschrieben, so dass er von anderen Systemen, wie z. B. DLP-Diensten (Data Loss Prevention), gelesen werden kann. |
| Blockieren | Der Benutzer wird davon abgehalten, die E-Mail zu senden, solange die Bedingung besteht. Die Nachricht beinhaltet den Grund dafür, warum die E-Mail blockiert wird, sodass der Benutzer das Problem aufheben kann. So kann er z.B. bestimmte Empfänger entfernen, oder der E-Mail eine Bezeichnung hinzufügen. |
Wenn sich die Popupnachrichten für eine bestimmte Bezeichnung befinden, können Sie Ausnahmen für Empfänger nach Domänennamen konfigurieren.
Ein exemplarliches Beispiel zum Konfigurieren dieser Einstellungen finden Sie im Tech Community-Blog Anpassen von Outlook-Popupnachrichten für den AIP UL-Client .
Tipp
Um sicherzustellen, dass Popups auch dann angezeigt werden, wenn Dokumente von außerhalb von Outlook (Datei > Freigeben > Kopie anhängen) freigegeben werden, konfigurieren Sie auch die erweiterte Einstellung PostponeMandatoryBeforeSave.
Weitere Informationen finden Sie unter
- Zur Implementierung der Pop-up-Meldungen "Warnen", "Rechtfertigen" oder "Blockieren" für bestimmte Etiketten
- Um Pop-up-Meldungen für E-Mails oder Anhänge, die keine Kennzeichnung haben, zu warnen, zu rechtfertigen oder zu blockieren
So implementieren Sie die Popup-Meldungen "Warnen", "Rechtfertigen" oder "Blockieren" für bestimmte Etiketten
Erstellen Sie für die ausgewählte Richtlinie mindestens eine der folgenden erweiterten Einstellungen mit den folgenden Schlüsseln. Für die Werte geben Sie eine oder mehrere Bezeichnungen durch ihre GUIDs an, die jeweils durch ein Komma getrennt sind.
Beispielwert für mehrere Etiketten-GUIDs als kommagetrennte Zeichenfolge:
dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
| Nachrichtentyp | Schlüssel/Wert |
|---|---|
| Warnen | Schlüssel: OutlookWarnUntrustedCollaborationLabel Wert: <Etikett-GUIDs, Komma-getrennt> |
| Im Blocksatz ausrichten | Schlüssel: OutlookJustifyUntrustedCollaborationLabel Wert: <Etikett-GUIDs, Komma-getrennt> |
| Blockieren | Schlüssel: OutlookBlockUntrustedCollaborationLabel Wert: <Etikett-GUIDs, Komma-getrennt> |
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e,b6d21387-5d34-4dc8-90ae-049453cec5cf,bb48a6cb-44a8-49c3-9102-2d2b017dcead,74591a94-1e0e-4b5d-b947-62b70fc0f53a,6c375a97-2b9b-4ccd-9c5b-e24e4fd67f73"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyUntrustedCollaborationLabel="dc284177-b2ac-4c96-8d78-e3e1e960318f,d8bb73c3-399d-41c2-a08a-6f0642766e31,750e87d4-0e91-4367-be44-c9c24c9103b4,32133e19-ccbd-4ff1-9254-3a6464bf89fd,74348570-5f32-4df9-8a6b-e6259b74085b,3e8d34df-e004-45b5-ae3d-efdc4731df24"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockUntrustedCollaborationLabel="0eb351a6-0c2d-4c1d-a5f6-caa80c9bdeec,40e82af6-5dad-45ea-9c6a-6fe6d4f1626b"}
Für weitere Anpassungen können Sie auch Domänennamen für Popup-Meldungen ausschließen, die für bestimmte Etiketten konfiguriert sind.
Hinweis
Die erweiterten Einstellungen in diesem Abschnitt (OutlookWarnUntrustedCollaborationLabel, OutlookJustifyUntrustedCollaborationLabel und OutlookBlockUntrustedCollaborationLabel) sind für den Fall, dass ein spezifisches Etikett verwendet wird.
Um Standard-Popup-Meldungen für nicht aktivierte Inhalte zu implementieren, verwenden Sie die erweiterte Einstellung OutlookUnlabeledCollaborationAction. Um Ihre Popup-Meldungen für nicht beschriftete Inhalte anzupassen, verwenden Sie eine .json-Datei, um Ihre erweiterten Einstellungen zu definieren.
Weitere Informationen finden Sie unter Anpassen von Outlook-Popup-Nachrichten.
Tipp
Um sicherzustellen, dass Ihre Blocknachrichten bei Bedarf angezeigt werden, auch wenn sich der Empfänger in einer Outlook-Verteilerliste befindet, sollten Sie die erweiterte Einstellung OutlookDistributionListExpansion aktivieren hinzufügen.
So löschen Sie Domänennamen für Popupnachrichten, die für bestimmte Bezeichnungen konfiguriert sind
Für die Bezeichnungen, die Sie mit diesen Popupnachrichten angegeben haben, können Sie bestimmte Domänennamen ausnehmen, damit Benutzer die Nachrichten für Empfänger, die diesen Domänennamen in ihrer E-Mail-Adresse enthalten haben, nicht sehen. In diesem Fall werden die E-Mails problemlos gesendet. Wenn Sie mehrere Domänen angeben möchten, fügen Sie sie kommagetrennt als einzelne Zeichenfolge hinzu.
Eine übliche Konfiguration ist es, die Popupmeldungen nur für die Empfänger anzuzeigen, die nicht zu Ihrer Organisation gehören, oder die keine für Ihre Organisation autorisierte Partner sind. In diesem Fall geben Sie alle E-Mail-Domänen an, die von Ihrer Organisation und von Ihren Partnern verwendet werden.
Erstellen Sie für dieselbe Bezeichnungsrichtlinie die folgenden erweiterten Clienteinstellungen und geben Sie für den Wert eine oder mehrere Domänen an, die jeweils durch ein Komma getrennt sind.
Beispielwert für mehrere Domänen als kommagetrennte Zeichenfolge: contoso.com,fabrikam.com,litware.com
| Nachrichtentyp | Schlüssel/Wert |
|---|---|
| Warnen | Schlüssel: OutlookWarnTrustedDomains Wert: <Domänennamen, durch Komma getrennt> |
| Im Blocksatz ausrichten | Key: OutlookJustifyTrustedDomains Wert: <Domänennamen, durch Komma getrennt> |
| Blockieren | Schlüssel: OutlookBlockTrustedDomains Wert: <Domänennamen, durch Komma getrennt> |
Angenommen, Sie haben die erweiterte Client-Einstellung OutlookBlockUntrustedCollaborationLabel für das Etikett Vertraulich/Alle Mitarbeiter festgelegt.
Sie geben nun die zusätzliche erweiterte Client-Einstellung von OutlookBlockTrustedDomains mit contoso.com an. Infolgedessen kann ein Benutzer eine E-Mail an john@sales.contoso.com senden, wenn sie mit Vertraulich gekennzeichnet ist, wird aber daran gehindert, eine E-Mail mit der gleichen Kennzeichnung an ein Google Mail-Konto zu senden.
Beispiel für PowerShell-Befehle, bei denen Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockTrustedDomains="contoso.com"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyTrustedDomains="contoso.com,fabrikam.com,litware.com"}
Hinweis
Um sicherzustellen, dass Ihre Blocknachrichten bei Bedarf angezeigt werden, auch wenn sich der Empfänger in einer Outlook-Verteilerliste befindet, sollten Sie die erweiterte Einstellung OutlookDistributionListExpansion aktivieren hinzufügen.
So implementieren Sie Popup-Meldungen für E-Mails oder Anhänge, die keine Kennzeichnung haben, als Warnung, Rechtfertigung oder Blockierung
Erstellen Sie für dieselbe Bezeichnungsrichtlinie die folgende erweiterte Clienteinstellung mit einem der folgenden Werte:
| Nachrichtentyp | Schlüssel/Wert |
|---|---|
| Warnen | Schlüssel: OutlookUnlabeledCollaborationAction Wert: Warnen |
| Im Blocksatz ausrichten | Schlüssel: OutlookUnlabeledCollaborationAction Wert: Begründen |
| Blockieren | Schlüssel: OutlookUnlabeledCollaborationAction Wert: Block |
| Diese Meldungen abschalten | Schlüssel: OutlookUnlabeledCollaborationAction Wert: Aus |
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Warn"}
Weitere Anpassungen finden Sie unter:
- Um bestimmte Dateinamenserweiterungen für die Warn-, Rechtfertigungs- oder Blockierungs-Popup-Meldungen für E-Mail-Anhänge zu definieren, die keine Kennzeichnung haben
- Zur Festlegung einer anderen Aktion für E-Mail-Nachrichten ohne Anhänge
- Anpassen der Outlook-Popup-Meldungen
So definieren Sie bestimmte Dateinamenerweiterungen für die Warn-, Rechtfertigungs- oder Block-Popupnachrichten für E-Mail-Anlagen, die keine Bezeichnung haben
Standardmäßig gelten die Warn-, Rechtfertigungs- oder Block-Popupnachrichten für alle Office Dokumente und PDF-Dokumente. Sie können diese Liste verfeinern, indem Sie angeben, welche Dateinamenerweiterungen warnungen, rechtfertigen oder Blockieren von Nachrichten mit einer zusätzlichen erweiterten Einstellung und einer durch Trennzeichen getrennten Liste von Dateinamenerweiterungen angezeigt werden sollen.
Beispielwert für mehrere Dateinamenerweiterungen, die als kommagetrennte Zeichenfolge zu definieren sind: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM
In diesem Beispiel führt ein unbeschriftetes PDF-Dokument nicht zu Warnungen, Rechtfertigungen oder Blockieren von Popupnachrichten.
Geben Sie für dieselbe Bezeichnungsrichtlinie die folgenden Zeichenfolgen ein:
Key: OutlookOverrideUnlabeledCollaborationExtensions
Wert: <Dateinamenerweiterungen zur Anzeige von Meldungen, kommagetrennt>
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.PPT,.PPTX,.PPTM"}
So geben Sie eine andere Aktion für E-Mail-Nachrichten ohne Anlagen an
Standardmäßig gilt der Wert, den Sie für OutlookUnlabeledCollaborationAction angeben, um Popup-Nachrichten zu warnen, zu rechtfertigen oder zu blockieren, für E-Mails oder Anhänge, die keine Bezeichnung haben.
Sie können diese Konfiguration verfeinern, indem Sie eine weitere erweiterte Einstellung für E-Mail-Nachrichten angeben, die keine Anlagen besitzen.
Erstellen Sie die folgende erweiterte Clienteinstellung mit einem der folgenden Werte:
| Nachrichtentyp | Schlüssel/Wert |
|---|---|
| Warnen | Schlüssel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Wert: Warnen |
| Im Blocksatz ausrichten | Schlüssel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Wert: Im Blocksatz ausrichten |
| Blockieren | Schlüssel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Wert: Block |
| Diese Meldungen abschalten | Schlüssel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Wert: Aus |
Wenn Sie diese Client-Einstellung nicht angeben, wird der Wert, den Sie für OutlookUnlabeledCollaborationAction angeben, sowohl für unbeschriftete E-Mail-Nachrichten ohne Anhänge als auch für unbeschriftete E-Mail-Nachrichten mit Anhängen verwendet.
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior="Warn"}
Erweitern Outlook Verteilerlisten beim Suchen nach E-Mail-Empfängern
Diese Konfiguration verwendet eine erweiterte Richtlinieneinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Um die Unterstützung von anderen erweiterten Einstellungen auf Empfänger in Outlook-Verteilerlisten auszuweiten, setzen Sie die erweiterte Einstellung EnableOutlookDistributionListExpansion auf true.
- Key: EnableOutlookDistributionListExpansion
- Wert: true
Wenn Sie beispielsweise die erweiterten Einstellungen OutlookBlockTrustedDomains, OutlookBlockUntrustedCollaborationLabel konfiguriert haben und dann auch die Einstellung EnableOutlookDistributionListExpansion konfigurieren, ist Outlook in der Lage, die Verteilerliste zu erweitern, um sicherzustellen, dass bei Bedarf eine Blocknachricht angezeigt wird.
Der Standard-Timeout für die Erweiterung der Verteilerliste beträgt 2000 Millisekunden.
Um dieses Timeout zu ändern, erstellen Sie die folgende erweiterte Einstellung für die ausgewählte Richtlinie:
- Schlüssel: OutlookGetEmailAddressesTimeOutMSProperty
- Wert: Ganzzahl, in Millisekunden
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{
EnableOutlookDistributionListExpansion="true"
OutlookGetEmailAddressesTimeOutMSProperty="3000"
}
Verhindern, dass Überwachungsdaten an AIP und Microsoft 365 Analysen gesendet werden
Standardmäßig unterstützt der Azure Information Protection Unified Labeling Client zentrale Berichte und sendet seine Überwachungsdaten an:
- Azure Information Protection-Analysen, wenn Sie einen Log Analytics-Arbeitsbereich konfiguriert haben
- Microsoft 365, wo Sie sie im Activity Explorer betrachten können
Gehen Sie wie folgt vor, um dieses Verhalten zu ändern, damit Überwachungsdaten nicht gesendet werden:
Fügen Sie die folgende erweiterte Richtlinieneinstellung mithilfe von Security & Compliance Center PowerShell hinzu:
Key: EnableAudit
Wert: FALSE
Wenn Ihre Bezeichnungsrichtlinie zum Beispiel "Global" heißt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}Hinweis
Standardmäßig ist diese erweiterte Einstellung in der Richtlinie nicht vorhanden, und die Überwachungsprotokolle werden gesendet.
Löschen Sie auf allen Azure Information Protection-Clientcomputern den folgenden Ordner: %localappdata%\Microsoft\MSIP\mip
Um den Client wieder in die Lage zu versetzen, Überwachungsprotokolldaten zu senden, ändern Sie den Wert der erweiterten Einstellung auf True. Sie müssen den Ordner %localappdata%\Microsoft\MSIP\mip auf Ihren Client-Rechnern nicht erneut manuell erstellen.
Senden von Informationstyp-Übereinstimmungen an Azure Information Protection-Analysen
Diese Konfiguration verwendet eine erweiterte Richtlinieneinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Standardmäßig sendet der Unified Labeling Client keine Inhaltsübereinstimmungen für sensible Informationstypen an Azure Information Protection-Analysen. Weitere Informationen über diese zusätzlichen Informationen, die gesendet werden können, finden Sie im Abschnitt Inhaltsübereinstimmungen für tiefergehende Analysen in der zentralen Berichtsdokumentation.
Um Inhaltszustimmungen zu senden, wenn vertrauliche Informationstypen gesendet werden, erstellen Sie die folgende erweiterte Clienteinstellung in einer Bezeichnungsrichtlinie:
Key: LogMatchedContent
Wert: True
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}
CPU-Gesamtverbrauch
Ab der Scannerversion 2.7.x.x empfehlen wir, den CPU-Verbrauch mit den folgenden erweiterten Einstellungen zu begrenzen: ScannerMaxCPU und ScannerMinCPU.
Wichtig
Wenn die folgende Richtlinie zur Thread-Begrenzung verwendet wird, werden die erweiterten Einstellungen ScannerMaxCPU und ScannerMinCPU ignoriert. Um den CPU-Verbrauch mit den erweiterten Einstellungen ScannerMaxCPU und ScannerMinCPU zu begrenzen, heben Sie die Verwendung von Richtlinien auf, die die Anzahl der Threads begrenzen.
Diese Konfiguration verwendet eine erweiterte Richtlinieneinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Um den CPU-Verbrauch auf dem Scannercomputer zu begrenzen, ist sie durch Erstellen von zwei erweiterten Einstellungen verwaltbar:
ScannerMaxCPU:
Standardmäßig auf 100 eingestellt, was bedeutet, dass es keine Begrenzung des maximalen CPU-Verbrauchs gibt. In diesem Fall versucht der Scannerprozess, alle verfügbaren CPU-Zeit zu verwenden, um Ihre Scanraten zu maximieren.
Wenn Sie ScannerMaxCPU auf weniger als 100 einstellen, überwacht der Scanner den CPU-Verbrauch der letzten 30 Minuten. Wenn die durchschnittliche CPU den von Ihnen festgelegten Grenzwert überschritten hat, wird die Anzahl der für neue Dateien zugewiesenen Threads reduziert.
Die Begrenzung der Anzahl der Threads bleibt bestehen, solange der CPU-Verbrauch höher ist als die für ScannerMaxCPU festgelegte Grenze.
ScannerMinCPU:
Wird nur geprüft, wenn ScannerMaxCPU ungleich 100 ist, und kann nicht auf eine Zahl gesetzt werden, die höher ist als der Wert ScannerMaxCPU. Es wird empfohlen, ScannerMinCPU mindestens 15 Punkte niedriger als den Wert von ScannerMaxCPU einzustellen.
Standardmäßig auf 50 eingestellt, d.h. wenn der CPU-Verbrauch in den letzten 30 Minuten unter diesem Wert liegt, beginnt der Scanner, neue Threads hinzuzufügen, um mehr Dateien parallel zu scannen, bis der CPU-Verbrauch den Wert erreicht, den Sie für ScannerMaxCPU-15 eingestellt haben.
Begrenzen der Anzahl der von der Überprüfung verwendeten Threads
Wichtig
Wenn die folgende Richtlinie zur Thread-Begrenzung verwendet wird, werden die erweiterten Einstellungen ScannerMaxCPU und ScannerMinCPU ignoriert. Um den CPU-Verbrauch mit den erweiterten Einstellungen ScannerMaxCPU und ScannerMinCPU zu begrenzen, heben Sie die Verwendung von Richtlinien auf, die die Anzahl der Threads begrenzen.
Diese Konfiguration verwendet eine erweiterte Richtlinieneinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Standardmäßig verwendet die Überprüfung alle verfügbaren Prozessorressourcen des Computers, auf dem der Überprüfungsdienst ausgeführt wird. Wenn Sie den CPU-Verbrauch während des Scannens dieses Dienstes begrenzen müssen, erstellen Sie die folgende erweiterte Einstellung in einer Etikett-Richtlinie.
Geben Sie als Wert die Anzahl von gleichzeitigen Threads an, die von der Überprüfung parallel ausgeführt werden dürfen. Die Überprüfung verwendet für jede Datei, die überprüft wird, einen separaten Thread, daher definiert diese Drosselungskonfiguration auch die Anzahl von Dateien, die parallel überprüft werden können.
Wenn Sie den Wert zu Testzwecken zum ersten Mal konfigurieren, empfehlen wir Ihnen, „2 pro Kern“ anzugeben und die Ergebnisse zu überwachen. Wenn Sie die Überprüfung z.B. auf einem Computer mit vier Kernen ausführen, legen Sie den Wert auf „8“ fest. Erhöhen oder verringern Sie den Wert nach Bedarf – je nachdem, welche Leistung Sie für den Überprüfungscomputer und die Überprüfungshäufigkeit benötigen.
Key: ScannerConcurrencyLevel
Wert: <Anzahl der gleichzeitigen Threads>
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Scanner" trägt:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}
Bezeichnungen von Secure Islands und anderen Bezeichnungslösungen migrieren
Diese Konfiguration verwendet eine erweiterte Bezeichnungseinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Diese Konfiguration ist nicht mit geschützten PDF-Dateien kompatibel, die über eine PPDF-Dateinamenerweiterung verfügen. Diese Dateien können vom Client nicht mit Explorer oder PowerShell geöffnet werden.
Für Office-Dokumente, die mit Secure Islands gekennzeichnet sind, können Sie diese Dokumente mithilfe einer von Ihnen definierten Zuordnung mit einer Vertraulichkeitsbezeichnung neu kennzeichnen. Mit dieser Methode können Sie auch Bezeichnungen aus anderen Lösungen wiederverwenden, wenn diese Bezeichnungen sich in Office-Dokumenten befinden.
Als Ergebnis dieser Konfigurationsoption wird die neue Sensibilitätskennzeichnung durch den Azure Information Protection Unified Labeling Client wie folgt angewendet:
Für Office-Dokumente: Wenn das Dokument in der Desktop-Anwendung geöffnet wird, wird die neue Vertraulichkeitsbezeichnung als gesetzt angezeigt und beim Speichern des Dokuments übernommen.
Für PowerShell: mit Set-AIPFileLabel und Set-AIPFileClassificiation kann die neue Vertraulichkeitsbezeichnung angewendet werden.
Für den Datei-Explorer: Im Dialogfeld Azure-Informationsschutz wird die neue Vertraulichkeitsbezeichnung angezeigt, ist aber nicht festgelegt.
Bei dieser Konfiguration müssen Sie eine erweiterte Einstellung namens labelByCustomProperties für jede Vertraulichkeitsbezeichnung angeben, das Sie dem alten Etikett zuordnen möchten. Geben Sie dann für jeden Eintrag mithilfe der folgenden Syntax den Wert an:
[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]
Geben Sie einen Namen für die Migrationsregel an. Verwenden Sie einen beschreibenden Namen, der Ihnen hilft zu erkennen, wie ein oder mehrere Etiketten aus Ihrer vorherigen Bezeichnungslösung der Vertraulichkeitsbezeichnung zugeordnet werden sollen.
Beachten Sie, dass durch diese Einstellung keine ursprüngliche Bezeichnung aus dem Dokument bzw. keine optische Kennzeichnung im Dokument entfernt wird, die von der ursprünglichen Bezeichnung möglicherweise angewendet wurde. Um Kopf- und Fußzeilen zu entfernen, siehe Kopf- und Fußzeilen aus anderen Beschriftungslösungen entfernen.
Beispiele:
- Beispiel 1: Eine 1:1-Zuordnung des gleichen Bezeichnungsnamens
- Beispiel 2: Eine 1:1-Zuordnung für einen anderen Bezeichnungsnamen
- Beispiel 3: n:1-Zuordnung von Bezeichnungsnamen
- Beispiel 4: Mehrere Regeln für dasselbe Etikett
Weitere Anpassungen finden Sie unter:
- Erweitern Sie Ihre Regeln für die Etikettenmigration auf E-Mails
- Erweitern Sie Ihre Regeln für die Migration von Etiketten auf SharePoint-Eigenschaften
Hinweis
Wenn Sie von Ihren Etiketten auf andere Mandant migrieren, z. B. nach einer Unternehmensfusion, empfehlen wir Ihnen, unseren Blogbeitrag über Fusionen und Abspaltungen zu lesen, um weitere Informationen zu erhalten.
Beispiel 1: Eine 1:1-Zuordnung des gleichen Bezeichnungsnamens
Erfordernis: Dokumente, die auf Secure Islands als "vertraulich" gekennzeichnet sind, sollten von Azure Information Protection in "vertraulich" umbenannt werden.
In diesem Beispiel:
- Die Secure Islands-Bezeichnung lautet Vertraulich und ist in der benutzerdefinierten Eigenschaft Classification (Klassifizierung) gespeichert.
Die erweiterte Einstellung:
Schlüssel: labelByCustomProperties
Wert: Die Kennzeichnung der Secure Islands lautet Vertraulich, Klassifizierung, Vertraulich
Beispiel für einen PowerShell-Befehl, bei dem das Etikett den Namen "Confidential" trägt:
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Confidential,Classification,Confidential"}
Beispiel 2: Eine 1:1-Zuordnung für einen anderen Bezeichnungsnamen
Erfordernis: Dokumente, die von Secure Islands als "sensibel" eingestuft wurden, sollten von Azure Information Protection in "streng vertraulich" umbenannt werden.
In diesem Beispiel:
- Die Secure Islands-Bezeichnung lautet Sensitive (Sensibel) und ist in der benutzerdefinierten Eigenschaft Classification (Klassifizierung) gespeichert.
Die erweiterte Einstellung:
Schlüssel: labelByCustomProperties
Wert: Secure Islands mit der Kennzeichnung Sensitiv,Klassifizierung,Sensitiv
Beispiel für einen PowerShell-Befehl, bei dem die Bezeichnung "Streng vertraulich" lautet:
Set-Label -Identity "Highly Confidential" -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Sensitive,Classification,Sensitive"}
Beispiel 3: n:1-Zuordnung von Bezeichnungsnamen
Erfordernis: Sie haben zwei Secure Islands-Etiketten, die das Wort "Intern" enthalten, und Sie möchten, dass Dokumente, die eine dieser Secure Islands-Etiketten tragen, vom Azure Information Protection Unified Labeling Client in "Allgemein" umetikettiert werden.
In diesem Beispiel:
- Die Bezeichnungen der Secure Islands enthalten das Wort Intern und werden in der benutzerdefinierten Eigenschaft Klassifizierung gespeichert.
Erweiterte Clienteinstellung:
Schlüssel: labelByCustomProperties
Wert: Das Etikett "Secure Islands" enthält "Intern", "Klassifizierung", "*Intern", "*
Beispiel für einen PowerShell-Befehl, bei dem die Bezeichnung "General" lautet:
Set-Label -Identity General -AdvancedSettings @{labelByCustomProperties="Secure Islands label contains Internal,Classification,.*Internal.*"}
Beispiel 4: Mehrere Regeln für dieselbe Bezeichnung
Wenn Sie mehrere Regeln für dieselbe Bezeichnung benötigen, definieren Sie mehrere Zeichenfolgenwerte für denselben Schlüssel.
In diesem Beispiel sind die Secure Islands-Kennzeichnungen "Vertraulich" und "Geheim" in der benutzerdefinierten Eigenschaft Klassifizierung gespeichert, und Sie möchten, dass der Azure Information Protection Unified Labeling Client die Sensibilitätskennzeichnung "Vertraulich" anwendet:
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}
Erweitern ihrer Bezeichnungsmigrationsregeln auf E-Mails
Sie können die Konfiguration, die Sie mit der erweiterten Einstellung labelByCustomProperties definiert haben, nicht nur für Office-Dokumente, sondern auch für Outlook-E-Mails verwenden, indem Sie eine zusätzliche erweiterte Einstellung für die Etikettenrichtlinie angeben.
Diese Einstellung hat jedoch eine bekannte negative Auswirkung auf die Leistung von Outlook. Konfigurieren Sie diese zusätzliche Einstellung also nur, wenn Sie eine starke Geschäftsanforderung dafür haben, und denken Sie daran, sie auf einen Null-Zeichenfolgenwert festzulegen, wenn Sie die Migration aus der anderen Bezeichnungslösung abgeschlossen haben.
Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen für die ausgewählte Bezeichnungsrichtlinie ein:
Schlüssel: EnableLabelByMailHeader
Wert: True
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelByMailHeader="True"}
Erweitern der Bezeichnungsmigrationsregeln auf SharePoint-Eigenschaften
Sie können die Konfiguration, die Sie mit der erweiterten Einstellung labelByCustomProperties definiert haben, für SharePoint-Eigenschaften verwenden, die Sie möglicherweise als Spalten für Benutzer freigeben, indem Sie eine zusätzliche erweiterte Einstellung der Beschriftungsrichtlinie angeben.
Diese Einstellung wird unterstützt, wenn Sie Word, Excel und PowerPoint verwenden.
Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen für die ausgewählte Bezeichnungsrichtlinie ein:
Schlüssel: EnableLabelBySharePointProperties
Wert: True
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelBySharePointProperties="True"}
Anwenden einer benutzerdefinierten Eigenschaft, wenn eine Bezeichnung angewendet wird
Diese Konfiguration verwendet eine erweiterte Bezeichnungseinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Möglicherweise gibt es einige Szenarien, wenn Sie zusätzlich zu den Metadaten, die von einer Vertraulichkeitsbezeichnung angewendet werden, eine oder mehrere benutzerdefinierte Eigenschaften auf ein Dokument oder eine E-Mail-Nachricht anwenden möchten.
Beispiel:
Sie sind dabei, von einer anderen Bezeichnungslösung, wie z. B. Secure Islands, umzusteigen. Für die Interoperabilität während der Migration möchten Sie, dass Vertraulichkeitsbezeichnungen auch eine benutzerdefinierte Eigenschaft anwenden, die von der anderen Bezeichnungslösung verwendet wird.
Für Ihr Inhaltsverwaltungssystem (z. B. SharePoint oder eine Dokumentverwaltungslösung von einem anderen Anbieter) möchten Sie einen konsistenten benutzerdefinierten Eigenschaftennamen mit unterschiedlichen Werten für die Bezeichnungen und mit benutzerfreundlichen Namen anstelle der Bezeichnungs-GUID verwenden.
Für Office Dokumente und Outlook E-Mails, die Benutzer mithilfe des Azure Information Protection einheitlichen Bezeichnungs-Assistenten bezeichnen, können Sie eine oder mehrere benutzerdefinierte Eigenschaften hinzufügen, die Sie definieren. Sie können diese Methode auch für den einheitlichen Bezeichnungs-Assistenten verwenden, um eine benutzerdefinierte Eigenschaft als Bezeichnung aus anderen Lösungen für Inhalte anzuzeigen, die noch nicht vom einheitlichen Bezeichnungs-Assistenten gekennzeichnet sind.
Aufgrund dieser Konfigurationsoption werden alle zusätzlichen benutzerdefinierten Eigenschaften vom Azure Information Protection Unified Labeling Client wie folgt angewendet:
| Environment | BESCHREIBUNG |
|---|---|
| Office-Dokumente | Wenn das Dokument in der Desktop-App bezeichnet wird, werden die zusätzlichen benutzerdefinierten Eigenschaften angewendet, wenn das Dokument gespeichert wird. |
| Outlook-E-Mails | Wenn die E-Mail-Nachricht in Outlook bezeichnet wird, werden die zusätzlichen Eigenschaften auf den X-Header angewendet, wenn die E-Mail gesendet wird. |
| PowerShell | mit Set-AIPFileLabel und Set-AIPFileClassificiation werden die zusätzlichen benutzerdefinierten Eigenschaften angewendet, wenn das Dokument beschriftet und gespeichert wird. Get-AIPFileStatus zeigt benutzerdefinierte Eigenschaften als zugeordnete Bezeichnung an, wenn keine Vertraulichkeitsbezeichnung angewendet wird. |
| Datei-Explorer | Wenn der Benutzer mit der rechten Maustaste auf die Datei klickt und die Bezeichnung anwendet, werden die benutzerdefinierten Eigenschaften angewendet. |
Bei dieser Konfiguration müssen Sie eine erweiterte Einstellung mit dem Namen customPropertiesByEtikett für jede Vertraulichkeitsbezeichnung angeben, auf das Sie die zusätzlichen benutzerdefinierten Eigenschaften anwenden möchten. Geben Sie dann für jeden Eintrag mithilfe der folgenden Syntax den Wert an:
[custom property name],[custom property value]
Wichtig
Die Verwendung von Leerzeichen in der Zeichenfolge verhindert die Anwendung der Bezeichnungen.
Beispiel:
- Beispiel 1: Hinzufügen einer einzelnen benutzerdefinierten Eigenschaft für ein Etikett
- Beispiel 2: Mehrere benutzerdefinierte Eigenschaften für ein Etikett hinzufügen
Beispiel 1: Hinzufügen einer einzelnen benutzerdefinierten Eigenschaft für eine Bezeichnung
Erfordernis: Dokumente, die vom Azure Information Protection Unified Labeling Client als "vertraulich" gekennzeichnet werden, sollten die zusätzliche benutzerdefinierte Eigenschaft "Klassifizierung" mit dem Wert "Geheim" haben.
In diesem Beispiel:
- Die Sensibilitätskennzeichnung heißt Vertraulich und erstellt eine benutzerdefinierte Eigenschaft namens Klassifizierung mit dem Wert Geheim.
Die erweiterte Einstellung:
Schlüssel: customPropertiesByLabel
Wert: Klassifizierung, Geheimnis
Beispiel für einen PowerShell-Befehl, bei dem das Etikett den Namen "Confidential" trägt:
Set-Label -Identity Confidential -AdvancedSettings @{customPropertiesByLabel="Classification,Secret"}
Beispiel 2: Hinzufügen mehrerer benutzerdefinierter Eigenschaften für eine Bezeichnung
Um mehrere benutzerdefinierte Eigenschaft für dieselbe Bezeichnung hinzuzufügen, müssen Sie mehrere Zeichenfolgenwerte für denselben Schlüssel definieren.
Beispiel für einen PowerShell-Befehl, bei dem das Etikett "General" heißt und Sie eine benutzerdefinierte Eigenschaft namens Klassifizierung mit dem Wert General und eine zweite benutzerdefinierte Eigenschaft namens Sensitivity mit dem Wert Internal hinzufügen möchten:
Set-Label -Identity General -AdvancedSettings @{customPropertiesByLabel=ConvertTo-Json("Classification,General", "Sensitivity,Internal")}
Konfigurieren einer Bezeichnung, um die S/MIME-Schutz in Outlook anzuwenden
Diese Konfiguration verwendet erweiterte Bezeichnungseinstellungen , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Verwenden Sie diese Einstellungen nur, wenn Sie eine funktionierende S/MIME-Bereitstellung haben und möchten, dass ein Etikett automatisch diese Schutzmethode für E-Mails anstelle des Rights Management-Schutzes von Azure Information Protection anwendet. Der resultierende Schutz ist derselbe wie bei der manuellen Auswahl von S/MIME-Optionen in Outlook.
| Konfiguration | Schlüssel/Wert |
|---|---|
| S/MIME digitale Signatur | Um eine erweiterte Einstellung für eine digitale S/MIME-Signatur zu konfigurieren, geben Sie die folgenden Zeichenfolgen für die ausgewählte Bezeichnung ein: - Schlüssel: SMimeSign - Wert: True |
| S/MIME-Verschlüsselung | Um eine erweiterte Einstellung für die S/MIME-Verschlüsselung zu konfigurieren, geben Sie die folgenden Zeichenfolgen für die ausgewählte Bezeichnung ein: - Schlüssel: SMimeEncrypt - Wert: True |
Wenn ein Benutzer die Bezeichnung in Outlook auswählt, werden Ihre konfigurierten S/MIME-Einstellungen angewendet. Wenn die Bezeichnung auch für die standardmäßige Rights Management-Verschlüsselung konfiguriert ist, die Sie im Microsoft Purview-Complianceportal angeben können, ersetzen Ihre S/MIME-Einstellungen den Rights Management-Schutz nur in Outlook. Für die anderen Apps, die vom Client für einheitliche Bezeichnungen unterstützt werden, verwendet der Client weiterhin die im Complianceportal angegebenen Verschlüsselungseinstellungen.
Wenn Sie möchten, dass das Etikett nur in Outlook sichtbar ist, konfigurieren Sie die Verschlüsselungsoption Nicht weiterleiten unter Benutzerrechte zuweisen.
Beispiel für PowerShell-Befehle, bei denen Ihr Etikett den Namen "Nur Empfänger" trägt:
Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeSign="True"}
Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeEncrypt="True"}
Festlegen einer standardmäßigen untergeordneten Bezeichnung für eine übergeordnete Bezeichnung
Für diese Konfiguration wird eine Erweiterte Bezeichnungseinstellung verwendet, die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Wenn Sie einer Bezeichnung eine Unterbezeichnung hinzufügen, können Benutzer die übergeordnete Bezeichnung nicht mehr auf ein Dokument oder eine E-Mail anwenden. Standardmäßig wählen Benutzer die übergeordnete Bezeichnung aus, um die Unterbezeichnungen anzuzeigen, die sie anwenden können, und wählen Sie dann eine dieser Unterbezeichnungen aus. Wenn Sie diese erweiterte Einstellung konfigurieren, wenn Benutzer die übergeordnete Bezeichnung auswählen, wird automatisch eine Unterbezeichnung ausgewählt und für sie angewendet:
Schlüssel: DefaultSubLabelId
Wert: <sublabel GUID>
Beispiel für einen PowerShell-Befehl, bei dem das übergeordnete Etikett den Namen "Vertraulich" und das Sublabel "Alle Mitarbeiter" die GUID 8faca7b8-8d20-48a3-8ea2-0f96310a848e hat:
Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
Aktivieren der dauerhaft im Hintergrund ausgeführten Klassifizierung
Für diese Konfiguration wird eine Erweiterte Bezeichnungseinstellung verwendet, die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Wenn Sie diese Einstellung konfigurieren, ändern Sie das Standardverhalten, wie der Azure Information Protection Unified Labeling Client automatische und empfohlene Kennzeichnungen auf Dokumente anwendet:
Für Word, Excel und PowerPoint wird die automatische Klassifizierung für Dokumente ständig im Hintergrund ausgeführt.
Das Verhalten für Outlook ändert sich nicht.
Wenn der Azure Information Protection Unified Labeling Client Dokumente regelmäßig auf die von Ihnen angegebenen Bedingungsregeln überprüft, ermöglicht dieses Verhalten eine automatische und empfohlene Klassifizierung und Schutz für Office-Dokumente, die in SharePoint oder OneDrive gespeichert sind, sofern die automatische Speicherung aktiviert ist. Auch große Dateien werden schneller gespeichert, da die Bedingungsregeln bereits ausgeführt wurden.
Diese Bedingungsregeln werden nicht in Echtzeit, während der Benutzer tippt, ausgeführt. Stattdessen werden sie regelmäßig als Hintergrundaufgabe ausgeführt, wenn das Dokument geändert wird.
Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:
- Schlüssel: RunPolicyInBackground
- Wert: True
Beispiel-PowerShell-Befehl:
Set-LabelPolicy -Identity PolicyName -AdvancedSettings @{RunPolicyInBackground = "true"}
Hinweis
Dieses Feature befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Festlegen einer Farbe für die Bezeichnung
Diese Konfiguration verwendet erweiterte Bezeichnungseinstellungen , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Verwenden Sie diese erweiterte Einstellung, um eine Farbe für eine Bezeichnung festzulegen. Zur Angabe der Farbe geben Sie einen Hexadezimalcode für die Rot-, Grün- und Blaukomponenten (RGB) der Farbe ein. Beispielsweise ist #40e0d0 der RGB-Hexwert für Türkis.
Wenn Sie eine Referenz für diese Codes benötigen, finden Sie eine hilfreiche Tabelle auf der Seite <color> in den MSDN Web Docs. Sie finden diese Codes auch in vielen Anwendungen, mit denen Sie Bilder bearbeiten können. Beispielsweise können Sie bei Microsoft Paint eine benutzerdefinierte Farbe aus einer Palette auswählen, wobei die RGB-Werte automatisch angezeigt werden, die Sie dann kopieren können.
Geben Sie zum Konfigurieren der erweiterten Einstellung für die Farbe einer Bezeichnung die folgenden Zeichenfolgen für die ausgewählte Bezeichnung ein:
Schlüssel: Farbe
Wert: <RGB-Hex-Wert>
Beispiel für einen PowerShell-Befehl, bei dem Ihr Etikett "Public" heißt:
Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}
Anmelden als ein anderer Benutzer
Die Anmeldung mit mehreren Benutzern wird von AIP in der Produktion nicht unterstützt. In diesem Verfahren wird beschrieben, wie Sie sich nur für Testzwecke als ein anderer Benutzer anmelden.
Sie können überprüfen, mit welchem Konto Sie derzeit angemeldet sind, indem Sie das Dialogfeld Microsoft Azure Information Protection verwenden: Öffnen Sie eine Office-Anwendung und wählen Sie auf der Registerkarte Start die Schaltfläche Sensibilität und dann die Option Hilfe und Feedback. Ihr Kontoname wird im Abschnitt Clientstatus angezeigt.
Überprüfen Sie auf jeden Fall auch den Domänennamen des angezeigten angemeldeten Kontos. Es lässt sich leicht übersehen, dass Sie mit dem richtigen Kontonamen, aber bei der falschen Domäne angemeldet sind. Ein Symptom für die Verwendung des falschen Kontos ist, dass die Etiketten nicht heruntergeladen werden oder nicht die erwarteten Etiketten oder Verhaltensweisen angezeigt werden.
Als anderer Benutzer anmelden:
Navigieren Sie zu %localappdata%\Microsoft\MSIP, und löschen Sie die Datei TokenCache.
Starten Sie alle offenen Office-Anwendungen neu, und melden Sie sich mit einem anderen Benutzerkonto an. Wenn in Ihrer Office-Anwendung keine Aufforderung zur Anmeldung beim Azure-Informationsschutzdienst angezeigt wird, kehren Sie zum Dialogfeld Microsoft Azure Information Protection zurück und wählen Sie Anmelden im aktualisierten Abschnitt Clientstatus.
Außerdem zu beachten:
| Szenario | Beschreibung |
|---|---|
| Im alten Konto noch angemeldet | Wenn der Azure Information Protection Unified Labeling Client nach Abschluss dieser Schritte immer noch mit dem alten Konto angemeldet ist, löschen Sie alle Cookies aus dem Internet Explorer und wiederholen Sie dann die Schritte 1 und 2. |
| Verwenden der Funktion für Einmaliges Anmelden | Wenn Sie einmaliges Anmelden nutzen, müssen Sie sich bei Windows abmelden und mit einem anderen Benutzerkonto erneut anmelden, nachdem Sie die Tokendatei gelöscht haben. Der Azure Information Protection Unified Labeling Client authentifiziert sich dann automatisch mit Ihrem aktuell angemeldeten Benutzerkonto. |
| Verschiedene Mandant | Diese Lösung wird unterstützt, wenn Sie sich als anderer Benutzer des gleichen Mandanten anmelden möchten. Diese Lösung wird nicht unterstützt, wenn Sie sich als anderer Benutzer eines anderen Mandanten anmelden möchten. Um Azure Information Protection mit mehreren Mandanten zu testen, verwenden Sie verschiedene Computer. |
| Zurücksetzen von Einstellungen | Sie können die Option Einstellungen zurücksetzen aus Hilfe und Feedback verwenden, um sich abzumelden und die aktuell heruntergeladenen Bezeichnungen und Richtlinieneinstellungen aus dem Microsoft Purview-Complianceportal zu löschen. |
Unterstützung für getrennte Computer
Wichtig
Getrennte Computer werden für die folgenden Bezeichnungsszenarien unterstützt: Explorer, PowerShell, Ihre Office Apps und der Scanner.
Standardmäßig versucht der Azure Information Protection-Client für einheitliche Bezeichnungen automatisch, eine Verbindung mit dem Internet herzustellen, um die Bezeichnungs- und Bezeichnungsrichtlinieneinstellungen aus dem Microsoft Purview-Complianceportal herunterzuladen.
Wenn Sie Computer haben, die keine Verbindung mit dem Internet für einen Zeitraum herstellen können, können Sie Dateien exportieren und kopieren, die die Richtlinie manuell für den einheitlichen Bezeichnungs-Assistent verwaltet.
Zur Unterstützung von Computern, die nicht mit dem Unified Labeling Client verbunden sind:
Wählen Oder erstellen Sie ein Benutzerkonto in Azure AD, mit dem Sie Bezeichnungen und Richtlinieneinstellungen herunterladen, die Sie auf Ihrem getrennten Computer verwenden möchten.
Schalten Sie als zusätzliche Etikett-Richtlinieneinstellung für dieses Konto das Senden von Überwachungsdaten an Azure Information Protection-Analysen aus.
Wir empfehlen diesen Schritt, da wenn der getrennte Computer über regelmäßige Internetkonnektivität verfügt, die Protokollierungsinformationen an Azure Information Protection Analysen senden, die den Benutzernamen aus Schritt 1 enthalten. Dieses Benutzerkonto unterscheidet sich möglicherweise von dem lokalen Konto, das Sie auf dem getrennten Computer verwenden.
Laden Sie auf einem Computer mit Internetkonnektivität, der den einheitlichen Bezeichnungs-Assistent installiert und mit dem Benutzerkonto angemeldet ist, aus Schritt 1 die Bezeichnungen und Richtlinieneinstellungen herunter.
Exportieren Sie auf diesem Computer die Protokolldateien.
Führen Sie beispielsweise das Cmdlet Export-AIPLogs aus, oder verwenden Sie die Option Export Logs im Dialogfeld Hilfe und Feedback des Clients.
Die Protokolldateien werden als einzelne komprimierte Datei exportiert.
Öffnen Sie die komprimierte Datei, und kopieren Sie alle Dateien, die über eine .xml Dateinamenerweiterung verfügen.
Fügen Sie diese Dateien in den Ordner %localappdata%\Microsoft\MSIP auf dem nicht angeschlossenen Computer ein.
Wenn Ihr gewähltes Benutzerkonto eines ist, das normalerweise mit dem Internet verbunden ist, aktivieren Sie das Senden von Überwachungsdaten wieder, indem Sie den Wert EnableAudit auf True setzen.
Beachten Sie, dass, wenn ein Benutzer auf diesem Computer die Option Einstellungen zurücksetzen aus Hilfe und Feedback wählt, diese Aktion die Richtliniendateien löscht und den Client funktionsunfähig macht, bis Sie die Dateien manuell ersetzen oder der Client sich mit dem Internet verbindet und die Dateien herunterlädt.
Wenn auf Ihrem getrennten Computer der Azure Information Protection-Scanner ausgeführt wird, müssen Sie zusätzliche Konfigurationsschritte durchführen. Für weitere Informationen siehe Einschränkung: Der Scannerserver kann nicht über eine Internetverbindung verfügen, wie in den Anweisungen zur Scannerinstallation angegeben.
Ändern des lokalen Protokolliergrads
Standardmäßig schreibt der Azure Information Protection Unified Labeling Client Client-Protokolldateien in den Ordner %localappdata%\Microsoft\MSIP. Diese Dateien dienen zur Problembehandlung durch den Microsoft-Support.
Um die Protokollierungsebene für diese Dateien zu ändern, suchen Sie den folgenden Wertnamen in der Registrierung, und legen Sie die Wertdaten auf die erforderliche Protokollierungsebene fest:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel
Legen Sie den Protokolliergrad auf einen der folgenden Werte fest:
Aus: Keine lokale Protokollierung.
Fehler: Nur Fehler.
Warnung: Anzeigen von Fehlern und Warnungen
Info: Minimale Protokollierung, die keine Ereignis-IDs enthält (die Standardeinstellung für den Scanner).
Debug: Vollständige Informationen.
Trace: Detaillierte Protokollierung (die Standardeinstellung für Clients).
Diese Registrierungseinstellung ändert nicht die Informationen, die an Azure Information Protection für zentrales Reporting gesendet werden.
Überspringen oder Ignorieren von Dateien während Scans abhängig von Dateiattributen
Diese Konfiguration verwendet eine erweiterte Richtlinieneinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Standardmäßig überprüft der Azure Information Protection einheitlichen Bezeichnungsscanner alle relevanten Dateien. Möglicherweise möchten Sie jedoch bestimmte Dateien definieren, die übersprungen werden sollen, z. B. für archivierte Dateien oder Dateien, die verschoben wurden.
Aktivieren Sie den Scanner, um bestimmte Dateien auf der Grundlage ihrer Dateiattribute zu überspringen, indem Sie die erweiterte Einstellung ScannerFSAttributesToSkip verwenden. Führen Sie im Einstellungswert die Dateiattribute auf, die das Überspringen der Datei ermöglichen, wenn sie alle auf true gesetzt sind. Diese Liste der Dateiattribute verwendet die AND-Logik.
Die folgenden PowerShell-Beispielbefehle veranschaulichen, wie diese erweiterte Einstellung mit einer Bezeichnung namens "Global" verwendet werden kann.
Überspringen von Dateien, die sowohl schreibgeschützt als auch archiviert sind
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}
Überspringen von Dateien, die entweder schreibgeschützt oder archiviert sind
Wenn Sie eine OR-Logik verwenden möchten, führen Sie dieselbe Eigenschaft mehrmals aus. Beispiel:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}
Tipp
Es wird empfohlen, den Scanner zu aktivieren, Dateien mit den folgenden Attributen zu überspringen:
- FILE_ATTRIBUTE_SYSTEM
- FILE_ATTRIBUTE_HIDDEN
- FILE_ATTRIBUTE_DEVICE
- FILE_ATTRIBUTE_OFFLINE
- FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
- FILE_ATTRIBUTE_RECALL_ON_OPEN
- FILE_ATTRIBUTE_TEMPORARY
Eine Liste aller Dateiattribute, die in der erweiterten Einstellung ScannerFSAttributesToSkip definiert werden können, finden Sie im Abschnitt Win32 File Attribute Constants
Beibehalten von NTFS-Besitzern während der Bezeichnung (öffentliche Vorschau)
Diese Konfiguration verwendet eine erweiterte Richtlinieneinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Standardmäßig behalten Scanner, PowerShell und Explorer Erweiterungsbezeichnung nicht den NTFS-Besitzer bei, der vor der Bezeichnung definiert wurde.
Um sicherzustellen, dass der NTFS-Besitzerwert erhalten bleibt, setzen Sie die erweiterte Einstellung UseCopyAndPreserveNTFSOwner für die gewählte Kennzeichnungsrichtlinie auf true.
Achtung
Definieren Sie diese erweiterte Einstellung nur, wenn Sie eine zuverlässige Netzwerkverbindung zwischen dem Scanner und dem gescannten Repository sicherstellen können. Ein Netzwerkfehler während des automatischen Bezeichnungsprozesses kann dazu führen, dass die Datei verloren geht.
Beispiel für einen PowerShell-Befehl, wenn Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}
Hinweis
Dieses Feature befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Anpassen von Begründungsaufforderungstexten für geänderte Bezeichnungen
Passen Sie die Begründungsaufforderungen an, die sowohl in Office als auch im AIP-Client angezeigt werden, wenn Endbenutzer Klassifizierungsbezeichnungen für Dokumente und E-Mails ändern.
Beispielsweise möchten Sie als Administrator Ihre Benutzer daran erinnern, keine kundenidentifizierenden Informationen zu diesem Feld hinzuzufügen:
Um den standardmäßig angezeigten Anderen Text zu ändern, verwenden Sie die erweiterte Eigenschaft JustificationTextForUserText mit dem Cmdlet Set-LabelPolicy. Legen Sie stattdessen den Wert auf den Text fest, den Sie verwenden möchten.
Beispiel für einen PowerShell-Befehl, wenn Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
Anpassen Outlook Popupnachrichten
AIP-Administratoren können die Popupnachrichten anpassen, die Endbenutzern in Outlook angezeigt werden, z. B.:
- Nachrichten für blockierte E-Mails
- Warnmeldungen, die Benutzer auffordern, den Inhalt zu überprüfen, den sie senden
- Begründung von Nachrichten, die Benutzer auffordern, die Inhalte zu rechtfertigen, die sie senden
Wichtig
Dieses Verfahren setzt alle Einstellungen außer Kraft, die Sie bereits mit der erweiterten Eigenschaft OutlookUnlabeledCollaborationAction definiert haben.
In der Produktion empfiehlt es sich, Komplikationen zu vermeiden, indem Sie entweder die erweiterte OutlookUnlabeledCollaborationAction-Eigenschaft verwenden, um Ihre Regeln zu definieren, oder komplexe Regeln mit einer JSON-Datei definieren (wie unten beschrieben), jedoch nicht beides.
Zur Anpassung Ihrer Outlook-Popup-Nachrichten:
Erstellen Sie .json Dateien, jede mit einer Regel, die konfiguriert, wie Outlook Popup-Nachrichten für Ihre Benutzer anzeigt. Weitere Informationen finden Sie unter Regelwert .json-Syntax und Beispiel Popup-Anpassung .json-Code.
Verwenden Sie PowerShell, um erweiterte Einstellungen zu definieren, die die Popupnachrichten steuern, die Sie konfigurieren. Führen Sie einen separaten Satz von Befehlen für jede Regel aus, die Sie konfigurieren möchten.
Jeder Satz von PowerShell-Befehlen muss den Namen der Richtlinie enthalten, die Sie konfigurieren, sowie den Schlüssel und Wert, der Ihre Regel definiert.
Verwenden Sie die folgende Syntax:
$filedata = Get-Content "<Path to json file>" Set-LabelPolicy -Identity <Policy name> -AdvancedSettings @{<Key> ="$filedata"}Hierbei gilt:
<Path to json file>ist der Pfad zu der von Ihnen erstellten json-Datei. Zum Beispiel: C:\Users\msanchez\Desktop\ \dlp\OutlookCollaborationRule_1.json.<Policy name>ist der Name der Richtlinie, die Sie konfigurieren möchten.<Key>ist ein Name für Ihre Regel. Verwenden Sie die folgende Syntax, wobei <#> die Seriennummer für Ihre Regel ist:OutlookCollaborationRule_<#>
Weitere Informationen finden Sie unter Anordnung Ihrer Outlook-Anpassungsregeln und Regelwert-Json-Syntax.
Tipp
Benennen Sie ihre Datei für weitere Organisationen mit derselben Zeichenfolge wie der schlüssel, der in Ihrem PowerShell-Befehl verwendet wird. Nennen Sie zum Beispiel Ihre Datei OutlookCollaborationRule_1.json, und verwenden Sie dann auch OutlookCollaborationRule_1 als Schlüssel.
Um sicherzustellen, dass Popups auch dann angezeigt werden, wenn Dokumente von außerhalb von Outlook (Datei > Freigeben > Kopie anhängen) freigegeben werden, konfigurieren Sie auch die erweiterte Einstellung PostponeMandatoryBeforeSave.
Sortieren ihrer Outlook Anpassungsregeln
AIP verwendet die Seriennummer im Schlüssel, den Sie eingeben, um die Reihenfolge zu bestimmen, in der die Regeln verarbeitet werden. Definieren Sie beim Definieren der schlüssel, die für jede Regel verwendet werden, Ihre restriktiveren Regeln mit niedrigeren Zahlen, gefolgt von weniger restriktiven Regeln mit höheren Zahlen.
Sobald eine bestimmte Regelabgleich gefunden wurde, beendet AIP die Verarbeitung der Regeln und führt die aktion aus, die der übereinstimmenden Regel zugeordnet ist. (Erste Übereinstimmung - > Beenden Logik)
Beispiel:
Nehmen wir an, Sie möchten alle internen E-Mails mit einer bestimmten Warnmeldung konfigurieren, aber Sie möchten sie nicht generell blockieren. Sie möchten jedoch verhindern, dass Benutzer als Geheim eingestufte Anhänge versenden, selbst wenn es sich um interne E-Mails handelt.
In diesem Szenario ordnen Sie Ihren Regelschlüssel Geheimnis sperren, der die spezifischere Regel ist, vor Ihrem allgemeineren Regelschlüssel Warnung bei Intern an:
- Für die Nachricht Block: OutlookCollaborationRule_1
- Für die Meldung Warn: OutlookCollaborationRule_2
Syntax des Regelwerts .json
Definieren Sie die JSON-Syntax Ihrer Regel wie folgt:
"type" : "And",
"nodes" : []
Sie müssen mindestens zwei Knoten haben, die erste Darstellung der Bedingung Ihrer Regel und die letzte Darstellung der Aktion der Regel. Weitere Informationen finden Sie unter
Syntax der Regelbedingung
Regelbedingungsknoten müssen den Knotentyp enthalten, und dann die Bedingungen selbst.
Folgende Knotentypen werden unterstützt:
| Knotentyp | Beschreibung |
|---|---|
| Und | Führt und auf allen untergeordneten Knoten aus |
| Oder | Führt oder auf allen untergeordneten Knoten aus |
| Not | Führt nicht für sein eigenes untergeordnetes Element aus |
| Except | Gibt nicht für sein untergeordnetes Element, wodurch es sich wie Alle verhält |
| SentTo, gefolgt von Domains: listOfDomains | Markiert eine der folgenden Möglichkeiten: - Wenn das übergeordnete Element Except ist, wird geprüft, ob Alle der Empfänger in einer der Domänen sind - Wenn das übergeordnete Element etwas anderes als Except ist, wird geprüft, ob Any der Empfänger in einer der Domänen sind. |
| EMailLabel, gefolgt von Etikett | Einer der folgenden: - Die Bezeichnungs-ID - NULL, wenn nicht beschriftet |
| AttachmentLabel, gefolgt von Etikett und unterstützten Extensions | Einer der folgenden: TRUE: - Wenn das übergeordnete Element Except ist, wird geprüft, ob Alle der Anhänge mit einer unterstützten Erweiterung innerhalb des Etiketten existieren - Wenn das übergeordnete Element etwas anderes als Except ist, wird geprüft, ob Any der Anhänge mit einer unterstützten Erweiterung innerhalb des Etiketten existiert - Wenn nicht beschriftet und label = null false: Für alle anderen Fälle Hinweis: Wenn die Eigenschaft Erweiterungen leer ist oder fehlt, werden alle unterstützten Dateitypen (Erweiterungen) in die Regel aufgenommen. |
Syntax der Regelaktion
Regelaktionen können eine der folgenden Sein:
| Aktion | Syntax | Beispielnachricht |
|---|---|---|
| Blockieren | Block (List<language, [title, body]>) |
E-Mail blockiert Sie sind im Begriff, als Geheimnis klassifizierte Inhalte an mindestens einen nicht vertrauenswürdigen Empfänger zu senden: rsinclair@contoso.comIhre Organisationsrichtlinie lässt diese Aktion nicht zu. Erwägen Sie, diese Empfänger zu entfernen, oder ersetzen Sie den Inhalt. |
| Warnen | Warn (List<language,[title,body]>) |
Bestätigung erforderlich Sie sind im Begriff, als Allgemein klassifizierte Inhalte an mindestens einen nicht vertrauenswürdigen Empfänger zu senden: rsinclair@contoso.comIhre Organisationsrichtlinie erfordert eine Bestätigung, damit Sie diese Inhalte senden dürfen. |
| Im Blocksatz ausrichten | Justify (numOfOptions, hasFreeTextOption, List<language, [Title, body, options1,options2….]> ) Einschließlich bis zu drei Optionen. |
Begründung erforderlich Ihre Organisationsrichtlinie erfordert eine Begründung, damit Sie als Allgemein klassifizierte Inhalte an nicht vertrauenswürdige Empfänger senden dürfen. Ich bestätige, dass die Empfänger für die Freigabe dieser Inhalte genehmigt wurden Mein Vorgesetzter hat die Freigabe dieser Inhalte genehmigt Sonstiges, siehe Erklärung |
Aktionsparameter
Wenn keine Parameter für eine Aktion bereitgestellt werden, weist das Popup den Standardtext auf.
Alle Texte unterstützen die folgenden dynamischen Parameter:
| Parameter | Beschreibung |
|---|---|
${MatchedRecipientsList} |
Die letzte Übereinstimmung mit den Bedingungen SentTo |
${MatchedLabelName} |
Das Mail/Attachment Etikett, mit dem lokalisierten Namen aus der Richtlinie |
${MatchedAttachmentName} |
Der Name der Anlage aus der letzten Übereinstimmung mit der Bedingung AttachmentLabel |
Hinweis
Alle Meldungen enthalten die Option Erzähle mir mehr sowie die Dialoge Hilfe und Feedback.
Die Sprache ist der Kulturname für den Namen des Gebietsschemas, z. B.: English = en-us; Spanish = es-es
Es werden auch Namen für übergeordnete Sprachen unterstützt, z. B. nur en.
Beispiel für Popupanpassung .json-Code
Die folgenden Codesätze von .json zeigen, wie Sie eine Vielzahl von Regeln definieren können, die steuern, wie Outlook Popup-Nachrichten für Ihre Benutzer anzeigt.
- Beispiel 1: Interne E-Mails oder Anhänge blockieren
- Beispiel 2: Blockieren von nicht klassifizierten Office-Anhängen
- Beispiel 3: Den Benutzer auffordern, das Senden einer vertraulichen E-Mail oder eines Anhangs zu akzeptieren
- Beispiel 4: Warnung bei Mails ohne Etikett und einem Anhang mit einem bestimmten Etikett
- Beispiel 5: Aufforderung zur Eingabe einer Begründung, mit zwei vordefinierten Optionen und einer zusätzlichen Freitextoption
Beispiel 1: Blockieren interner E-Mails oder Anlagen
Der folgende .json-Code verhindert, dass E-Mails oder Anhänge, die als Intern klassifiziert sind, an externe Empfänger gesendet werden.
In diesem Beispiel ist 89a453df-5df4-4976-8191-259d0cf9560a die ID des Etiketten Intern, und zu den internen Domänen gehören contoso.com und microsoft.com.
Da keine bestimmten Erweiterungen angegeben werden, sind alle unterstützten Dateitypen enthalten.
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"
},{
"type" : "EmailLabel",
"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"
}
]
},
{
"type" : "Block",
"LocalizationData": {
"en-us": {
"Title": "Email Blocked",
"Body": "The email or at least one of the attachments is classified as <Bold>${MatchedLabelName}</Bold>. Documents classified as <Bold> ${MatchedLabelName}</Bold> cannot be sent to external recipients (${MatchedRecipientsList}).<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance with classification requirements as per Contoso's policies."
},
"es-es": {
"Title": "Correo electrónico bloqueado",
"Body": "El correo electrónico o al menos uno de los archivos adjuntos se clasifica como <Bold> ${MatchedLabelName}</Bold>."
}
},
"DefaultLanguage": "en-us"
}
]
}
Beispiel 2: Blockieren nicht klassifizierter Office Anlagen
Der folgende Code .json verhindert, dass nicht klassifizierte Office-Anhänge oder -E-Mails an externe Empfänger gesendet werden.
Im folgenden Beispiel ist die Liste der Anhänge, die beschriftet werden müssen, wie folgt: .doc,.docm,.docx,.dot,.dotm,.dotx,.potm,.potx,.pps,.ppsm,.ppsx,.ppt,.pptm,.pptx,.vdw,.vsd,.vsdm,.vsdx,.vss,.vssm,.vst,.vstm,.vssx,.vstx,.xls,.xlsb,.xlt,.xlsm,.xlsx,.xltm,.xltx
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : null,
"Extensions": [
".doc",
".docm",
".docx",
".dot",
".dotm",
".dotx",
".potm",
".potx",
".pps",
".ppsm",
".ppsx",
".ppt",
".pptm",
".pptx",
".vdw",
".vsd",
".vsdm",
".vsdx",
".vss",
".vssm",
".vst",
".vstm",
".vssx",
".vstx",
".xls",
".xlsb",
".xlt",
".xlsm",
".xlsx",
".xltm",
".xltx"
]
},{
"type" : "EmailLabel",
"LabelId" : null
}
]
},
{
"type" : "Block",
"LocalizationData": {
"en-us": {
"Title": "Emailed Blocked",
"Body": "Classification is necessary for attachments to be sent to external recipients.<br><br>List of attachments that are not classified:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br>For MS Office documents, classify and send again.<br><br>For PDF files, classify the document or classify the email (using the most restrictive classification level of any single attachment or the email content) and send again."
},
"es-es": {
"Title": "Correo electrónico bloqueado",
"Body": "La clasificación es necesaria para que los archivos adjuntos se envíen a destinatarios externos."
}
},
"DefaultLanguage": "en-us"
}
]
}
Beispiel 3: Erfordern, dass der Benutzer das Senden einer vertraulichen E-Mail oder Anlage akzeptiert
Das folgende Beispiel veranlasst Outlook, eine Meldung anzuzeigen, die den Benutzer warnt, dass er eine vertrauliche E-Mail oder Anlage an externe Empfänger sendet, und verlangt außerdem, dass der Benutzer Ich akzeptiere wählt.
Diese Art von Warnmeldung wird technisch gesehen als Rechtfertigung betrachtet, da der Benutzer Ich akzeptiere wählen muss.
Da keine bestimmten Erweiterungen angegeben werden, sind alle unterstützten Dateitypen enthalten.
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"
},{
"type" : "EmailLabel",
"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"
}
]
},
{
"type" : "Justify",
"LocalizationData": {
"en-us": {
"Title": "Warning",
"Body": "You are sending a document that is classified as <Bold>${MatchedLabelName}</Bold> to at least one external recipient. Please make sure that the content is correctly classified and that the recipients are entitled to receive this document.<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><Bold>List of external email addresses:</Bold><br>${MatchedRecipientsList})<br><br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br><Bold>Acknowledgement</Bold><br>By clicking <Bold>I accept</Bold> below, you confirm that the recipient is entitled to receive the content and the communication complies with CS Policies and Standards",
"Options": [
"I accept"
]
},
"es-es": {
"Title": "Advertencia",
"Body": "Está enviando un documento clasificado como <Bold>${MatchedLabelName}</Bold> a al menos un destinatario externo. Asegúrese de que el contenido esté correctamente clasificado y que los destinatarios tengan derecho a recibir este documento.",
"Options": [
"Acepto"
]
}
},
"HasFreeTextOption":"false",
"DefaultLanguage": "en-us"
}
]
}
Beispiel 4: Warnen Sie bei E-Mails ohne Bezeichnung und einer Anlage mit einer bestimmten Bezeichnung
Der folgende Code .json veranlasst Outlook, den Benutzer zu warnen, wenn er eine interne E-Mail ohne Kennzeichnung mit einer Anlage sendet, die eine bestimmte Kennzeichnung hat.
In diesem Beispiel ist bcbef25a-c4db-446b-9496-1b558d9edd0e die ID der Bezeichnung des Anhangs, und die Regel gilt für .docx-, .xlsx- und .pptx-Dateien.
Standardmäßig erhalten E-Mails, die beschriftete Anlagen haben, nicht automatisch dieselbe Bezeichnung.
{
"type" : "And",
"nodes" : [
{
"type" : "EmailLabel",
"LabelId" : null
},
{
"type": "AttachmentLabel",
"LabelId": "bcbef25a-c4db-446b-9496-1b558d9edd0e",
"Extensions": [
".docx",
".xlsx",
".pptx"
]
},
{
"type" : "SentTo",
"Domains" : [
"contoso.com",
]
},
{
"type" : "Warn"
}
]
}
Beispiel 5: Eingabeaufforderung für eine Begründung mit zwei vordefinierten Optionen und einer zusätzlichen Freitextoption
Der folgende Code .json veranlasst Outlook, den Benutzer nach einer Begründung für seine Aktion zu fragen. Der Begründungstext enthält zwei vordefinierte Optionen sowie eine dritte, Freitextoption.
Da keine bestimmten Erweiterungen angegeben werden, sind alle unterstützten Dateitypen enthalten.
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
]
}
},
{
"type" : "EmailLabel",
"LabelId" : "34b8beec-40df-4219-9dd4-553e1c8904c1"
},
{
"type" : "Justify",
"LocalizationData": {
"en-us": {
"Title": "Justification Required",
"Body": "Your organization policy requires justification for you to send content classified as <Bold> ${MatchedLabelName}</Bold>,to untrusted recipients:<br>Recipients are: ${MatchedRecipientsList}",
"Options": [
"I confirm the recipients are approved for sharing this content",
"My manager approved sharing of this content",
"Other, as explained"
]
},
"es-es": {
"Title": "Justificación necesaria",
"Body": "La política de su organización requiere una justificación para que envíe contenido clasificado como <Bold> ${MatchedLabelName}</Bold> a destinatarios que no sean de confianza.",
"Options": [
"Confirmo que los destinatarios están aprobados para compartir este contenido.",
"Mi gerente aprobó compartir este contenido",
"Otro, como se explicó"
]
}
},
"HasFreeTextOption":"true",
"DefaultLanguage": "en-us"
}
]
}
Konfigurieren von SharePoint Timeouts
Standardmäßig ist das Timeout für SharePoint Interaktionen zwei Minuten, nach denen der versuchte AIP-Vorgang fehlschlägt.
Ab Version 2.8.85.0 können AIP-Administratoren diese Zeitüberschreitung mit den folgenden erweiterten Eigenschaften steuern, wobei eine hh:mm:ss-Syntax zur Definition der Zeitüberschreitung verwendet wird:
SharepointWebRequestTimeout. Bestimmt das Timeout für alle AIP-Webanforderungen für SharePoint. Standardwert: 2 Minuten
Wenn Ihre Richtlinie beispielsweise Global heißt, aktualisiert der folgende PowerShell-Beispielbefehl das Zeitlimit für Webanforderungen auf 5 Minuten.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}SharepointFileWebRequestTimeout. Bestimmt das Timeout speziell für SharePoint Dateien über AIP-Webanforderungen. Standardwert: 15 Minuten
Wenn Ihre Richtlinie beispielsweise Global heißt, aktualisiert der folgende PowerShell-Beispielbefehl das Zeitlimit für Dateianfragen im Web auf 10 Minuten.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
Vermeiden von Scanner-Timeouts in SharePoint
Wenn Sie lange Dateipfade in SharePoint Version 2013 oder höher haben, stellen Sie sicher, dass der Wert httpRuntime.maxUrlLength Ihres SharePoint-Servers größer ist als die standardmäßigen 260 Zeichen.
Dieser Wert ist in der Klasse HttpRuntimeSection der ASP.NET Konfiguration definiert.
Zur Aktualisierung der HttpRuntimeSection-Klasse:
Sichern Sie Ihre web.config-Konfiguration.
Aktualisieren Sie den Wert maxUrlLength nach Bedarf. Beispiel:
<httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000" />Starten Sie Ihren SharePoint Webserver neu, und überprüfen Sie, ob sie ordnungsgemäß geladen wird.
Wählen Sie beispielsweise im Windows Internet Information Servers (IIS)-Manager Ihre Website und dann unter Website verwalten die Option Neustart.
Verhindern Outlook Leistungsprobleme mit S/MIME-E-Mails
Leistungsprobleme können in Outlook auftreten, wenn die S/MIME-E-Mails im Lesebereich geöffnet werden. Um diese Probleme zu vermeiden, aktivieren Sie die erweiterte Eigenschaft OutlookSkipSmimeOnReadingPaneEnabled.
Durch Aktivieren dieser Eigenschaft wird verhindert, dass die AIP-Leiste und die E-Mail-Klassifizierungen im Lesebereich angezeigt werden.
Wenn Ihre Richtlinie beispielsweise Global heißt, aktiviert der folgende PowerShell-Beispielbefehl die Eigenschaft OutlookSkipSmimeOnReadingPaneEnabled:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookSkipSmimeOnReadingPaneEnabled="true"}
Deaktivieren von Dokumentverfolgungsfeatures
Standardmäßig sind Dokumentverfolgungsfeatures für Ihren Mandanten aktiviert. Um sie zu deaktivieren, z. B. aufgrund von Datenschutzanforderungen in Ihrer Organisation oder Region, setzen Sie den Wert EnableTrackAndRevoke auf False.
Nach der Deaktivierung sind die Dokumentverfolgungsdaten in Ihrer Organisation nicht mehr verfügbar, und die Benutzer sehen die Menüoption Rückgängig in ihren Office-Anwendungen nicht mehr.
Geben Sie für die ausgewählte Bezeichnungsrichtlinie die folgenden Zeichenfolgen an:
Schlüssel: EnableTrackAndRevoke
Wert: FALSE
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableTrackAndRevoke="False"}
Nach der Einstellung dieses Wertes auf Falsch wird die Verfolgung und der Widerruf wie folgt ausgeschaltet:
- Das Öffnen geschützter Dokumente mit dem AIP-einheitlichen Bezeichnungs-Assistent registriert die Dokumente nicht mehr für den Nachverfolgen und Widerrufen.
- Endbenutzer werden die Menüoption Rückgängig in ihren Office-Anwendungen nicht mehr sehen.
Geschützte Dokumente, die bereits für die Nachverfolgung registriert sind, werden jedoch weiterhin nachverfolgt, und Administratoren können den Zugriff auf PowerShell weiterhin widerrufen. Um die Verfolgungs- und Widerrufsfunktionen vollständig zu deaktivieren, führen Sie auch das Cmdlet Disable-AipServiceDocumentTrackingFeature aus.
Diese Konfiguration verwendet eine erweiterte Richtlinieneinstellung , die Sie mithilfe von Security & Compliance Center PowerShell konfigurieren müssen.
Tipp
Um Tracking und Widerruf wieder zu aktivieren, setzen Sie EnableTrackAndRevoke auf True, und führen Sie außerdem das Cmdlet Enable-AipServiceDocumentTrackingFeature aus.
Deaktivieren der Option "Widerrufen" für Endbenutzer in Office Apps
Wenn Sie nicht möchten, dass Endbenutzer die Möglichkeit haben, den Zugriff auf geschützte Dokumente aus ihren Office-Anwendungen zu widerrufen, können Sie die Option Zugriff widerrufen aus Ihren Office-Anwendungen entfernen.
Hinweis
Wenn Sie die Option Zugriff widerrufen entfernen, werden Ihre geschützten Dokumente weiterhin im Hintergrund verfolgt, und der Administrator hat weiterhin die Möglichkeit, den Zugriff auf Dokumente über PowerShell zu widerrufen.
Geben Sie für die ausgewählte Bezeichnungsrichtlinie die folgenden Zeichenfolgen an:
Schlüssel: EnableRevokeGuiSupport
Wert: FALSE
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}
Konfigurieren des Autolabeling-Timeouts auf Office Dateien
Standardmäßig ist das automatisch gekennzeichnete Timeout des Scanners für Office Dateien 3 Sekunden.
Wenn Sie über eine komplexe Excel Datei mit vielen Blatten oder Zeilen verfügen, sind möglicherweise 3 Sekunden nicht genug, um Bezeichnungen automatisch anzuwenden. Um dieses Timeout für die ausgewählte Bezeichnungsrichtlinie zu erhöhen, geben Sie die folgenden Zeichenfolgen an:
Schlüssel: OfficeContentExtractionTimeout
Wert: Sekunden, in folgendem Format:
hh:mm:ss.
Wichtig
Es wird empfohlen, dieses Timeout nicht auf höher als 15 Sekunden zu erhöhen.
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}
Das aktualisierte Timeout gilt für die automatische Bezeichnung aller Office Dateien.
Aktivieren von Klassifizierungs-Globalisierungsfeatures (öffentliche Vorschau)
Globalisierungsfunktionen für die Klassifizierung, einschließlich erhöhter Genauigkeit für ostasiatische Sprachen und Unterstützung für Doppelbyte-Zeichen. Diese Verbesserungen werden nur für 64-Bit-Prozesse bereitgestellt und sind standardmäßig deaktiviert.
Aktivieren Sie diese Features für Ihre Richtlinie, um die folgenden Zeichenfolgen anzugeben:
Schlüssel: EnableGlobalization
Wert:
True
Beispiel für einen PowerShell-Befehl, bei dem Ihre Beschriftungsrichtlinie den Namen "Global" trägt:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}
Um die Unterstützung wieder zu deaktivieren und zur Standardeinstellung zurückzukehren, setzen Sie die erweiterte Einstellung EnableGlobalization auf eine leere Zeichenfolge.
Aktivieren von Datenbegrenzungseinstellungen
Gemäß der Verpflichtung von Microsoft zur EU-Datengrenze können EU-Kunden des Azure-Information Protection-Clients für einheitliche Bezeichnungen ihre Daten zur Speicherung und Verarbeitung an die EU senden.
Aktivieren Sie dieses Feature im AIP-Client, indem Sie diesen Registrierungsschlüssel ändern, der den richtigen Speicherort angibt, an den Ereignisse gesendet werden sollen:
- Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\DataBoundary (DWORD)
- Werte:
Default = 0North_America = 1European_Union = 2
Nächste Schritte
Nachdem Sie nun den Azure Information Protection Unified Labeling Client angepasst haben, finden Sie in den folgenden Ressourcen zusätzliche Informationen, die Sie zur Unterstützung dieses Clients benötigen könnten: