Guía del administrador: Configuraciones personalizadas del cliente de etiquetado unificado de Azure Information Protection
Nota:
¿Está buscando Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?
El complemento de Azure Information Protection se retira y reemplaza por etiquetas integradas en las aplicaciones y servicios de Microsoft 365. Obtenga más información sobre el estado de soporte técnico de otros componentes de Azure Information Protection.
El nuevo cliente de Microsoft Information Protection (sin el complemento) está actualmente en versión preliminar y está programado para disponibilidad general.
Use la siguiente información para configuraciones avanzadas necesarias para escenarios o usuarios específicos al administrar el cliente de etiquetado unificado de AIP.
Nota:
Esta configuración requiere editar el Registro o especificar la configuración avanzada. La configuración avanzada usa PowerShell del Centro de seguridad y cumplimiento.
Configuración de opciones avanzadas para el cliente mediante PowerShell
Use Security & Compliance PowerShell para configurar opciones avanzadas para personalizar las directivas y etiquetas de etiquetas.
En ambos casos, después de conectarse a Security & Compliance PowerShell, especifique el parámetro Advanced Configuración con la identidad (nombre o GUID) de la directiva o etiqueta, con pares clave-valor en una tabla hash.
Para quitar una configuración avanzada, use la misma sintaxis de parámetro AdvancedSettings, pero especifique un valor de cadena NULL.
Importante
No use espacios en blanco en los valores de cadena. Las cadenas blancas de estos valores de cadena impedirán que se apliquen las etiquetas.
Para más información, vea:
- Sintaxis de configuración avanzada de la directiva de etiquetas
- Sintaxis de configuración avanzada de etiqueta
- Comprobación de la configuración avanzada actual
- Ejemplos de configuración avanzada
- Especificación de la directiva de etiqueta o la identidad de etiqueta
- Orden de prioridad: cómo se resuelve la configuración en conflicto
- Referencias de configuración avanzadas
Sintaxis de configuración avanzada de la directiva de etiquetas
Un ejemplo de una configuración avanzada de directiva de etiquetas es la configuración para mostrar la barra de protección de información en las aplicaciones de Office.
Para un único valor de cadena, utilice la siguiente sintaxis:
Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key="value1,value2"}
Para un valor de cadena múltiple para la misma clave, use la sintaxis siguiente:
Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}
Sintaxis de configuración avanzada de etiqueta
Un ejemplo de una configuración avanzada de etiqueta es la configuración para especificar un color de etiqueta.
Para un único valor de cadena, utilice la siguiente sintaxis:
Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key="value1,value2"}
Para un valor de cadena múltiple para la misma clave, use la sintaxis siguiente:
Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}
Comprobación de la configuración avanzada actual
Para comprobar la configuración avanzada vigente, ejecute los siguientes comandos:
Para comprobar la configuración avanzada de la directiva de etiquetas, use la sintaxis siguiente:
Para una directiva de etiqueta denominada Global:
(Get-LabelPolicy -Identity Global).settings
Para comprobar la configuración avanzada de la etiqueta, use la sintaxis siguiente:
Para una etiqueta denominada Pública:
(Get-Label -Identity Public).settings
Ejemplos de configuración avanzada
Ejemplo 1: Establecer una configuración avanzada de directiva de etiqueta para un valor de cadena único:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
Ejemplo 2: Establecer una configuración avanzada de etiqueta para un valor de cadena único:
Set-Label -Identity Internal -AdvancedSettings @{smimesign="true"}
Ejemplo 3: Establecer una configuración avanzada de etiqueta para varios valores de cadena:
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}
Ejemplo 4: Quitar una configuración avanzada de directiva de etiqueta especificando un valor de cadena NULL:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions=""}
Especificación de la directiva de etiqueta o la identidad de etiqueta
Buscar el nombre de la directiva de etiqueta para el parámetro Identidad de PowerShell es sencillo porque solo hay un nombre de directiva en el portal de cumplimiento Microsoft Purview.
Sin embargo, para las etiquetas, el portal de cumplimiento Microsoft Purview muestra un valor nombre y nombre para mostrar. En algunos casos, estos valores serán los mismos, pero pueden ser diferentes. Para configurar opciones avanzadas para las etiquetas, use el valor Nombre.
Por ejemplo, para identificar la etiqueta en la imagen siguiente, use la sintaxis siguiente en el comando de PowerShell: -Identity "All Company":
Si prefiere especificar la etiqueta GUID, este valor no se muestra en el portal de cumplimiento Microsoft Purview. Utilice el comando Get-Label para encontrar este valor, como se indica a continuación:
Get-Label | Format-Table -Property DisplayName, Name, Guid
Para obtener más información sobre el etiquetado de nombres y nombres para mostrar:
Nombre es el nombre original de la etiqueta y es único en todas las etiquetas.
Este valor sigue siendo el mismo aunque haya cambiado el nombre de la etiqueta más adelante. En el caso de las etiquetas de confidencialidad que se migraron desde Azure Information Protection, es posible que vea el identificador de etiqueta original de Azure Portal.
El nombre para mostrar es el nombre que se muestra actualmente a los usuarios para la etiqueta y no es necesario que sea único en todas las etiquetas.
Por ejemplo, puede tener un nombre para mostrar de Todos los empleados para una subetiqueta bajo la etiqueta Confidencial y otro nombre para mostrar de Todos los empleados para una subetiqueta bajo la etiqueta Extremadamente confidencial. Estas subetiquetas muestran el mismo nombre, pero no son la misma etiqueta y tienen configuraciones diferentes.
Orden de prioridad: cómo se resuelve la configuración en conflicto
Puede usar el portal de cumplimiento Microsoft Purview para configurar las siguientes opciones de directiva de etiqueta:
Aplique esta etiqueta por defecto a los documentos y correos electrónicos
Los usuarios deben aportar una justificación para eliminar una etiqueta o una etiqueta de clasificación inferior
Exija a los usuarios que apliquen una etiqueta a su correo electrónico o documento
Proporcionar a los usuarios un vínculo a una página de ayuda personalizada
Cuando se configura más de una directiva de etiqueta para un usuario, cada una con una configuración de directiva potencialmente diferente, la última configuración de directiva se aplica según el orden de las directivas de la portal de cumplimiento Microsoft Purview. Para más información, consulte Prioridad de la directiva de etiquetas (el orden importa)
La configuración avanzada de la directiva de etiqueta se aplica con la misma lógica, con la última configuración de directiva.
Referencias de configuración avanzadas
En las secciones siguientes se muestra la configuración avanzada disponible para las directivas de etiqueta y las etiquetas:
- Referencia de configuración avanzada por característica
- Referencia de configuración avanzada de la directiva de etiquetas
- Referencia de configuración avanzada de etiqueta
Referencia de configuración avanzada por característica
En las secciones siguientes se enumeran las opciones avanzadas que se describen en esta página por integración de características y productos:
Referencia de configuración avanzada de la directiva de etiquetas
Utilice el parámetro AdvancedSettings con New-LabelPolicy y Set-LabelPolicy para definir los siguientes ajustes:
Referencia de configuración avanzada de etiqueta
Utilice el parámetro AdvancedSettings con New-Label y Set-Label.
| Configuración | Escenario e instrucciones |
|---|---|
| color | Especificación de un color para la etiqueta |
| customPropertiesByLabel | Aplicar una propiedad personalizada cuando se aplica una etiqueta |
| DefaultSubLabelId | Especificación de una subetiqueta predeterminada para una etiqueta primaria |
| labelByCustomProperties | Migración de etiquetas de Secure Islands y otras soluciones de etiquetado |
| SMimeEncrypt | Configuración de una etiqueta para aplicar la protección S/MIME en Outlook |
| SMimeSign | Configuración de una etiqueta para aplicar la protección S/MIME en Outlook |
Ocultar la opción de menú Clasificar y proteger en el Explorador de archivos de Windows
Para ocultar la opción de menú Clasificar y proteger en el Explorador de archivos de Windows, cree el siguiente nombre de valor DWORD (con cualquier dato de valor):
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable
Para obtener más información, consulte Uso de Explorador de archivos para clasificar archivos.
Mostrar la barra de Information Protection en las aplicaciones de Office
Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Security & Compliance Center PowerShell.
De forma predeterminada, los usuarios deben seleccionar la opción Mostrar barra en el botón Confidencialidad para mostrar la barra de protección de información en las aplicaciones de Office. Use la clave HideBarByDefault y establezca el valor en False para mostrar automáticamente esta barra para que los usuarios puedan seleccionar etiquetas de la barra o el botón.
Para la directiva de etiqueta seleccionada, especifique las siguientes cadenas:
Clave: HideBarByDefault
Valor = False
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{HideBarByDefault="False"}
Excluir mensajes de Outlook del etiquetado obligatorio
Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Security & Compliance Center PowerShell.
De forma predeterminada, al habilitar la configuración de directiva de etiqueta de Todos los documentos y correos electrónicos debe tener una etiqueta, todos los documentos guardados y los correos electrónicos enviados deben tener aplicada una etiqueta. Al configurar la siguiente configuración avanzada, la configuración de directiva solo se aplica a los documentos de Office y no a los mensajes de Outlook.
Para la directiva de etiqueta seleccionada, especifique las siguientes cadenas:
Clave: DisableMandatoryInOutlook
Valor: true
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{DisableMandatoryInOutlook="True"}
Habilitar la clasificación recomendada en Outlook
Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Security & Compliance Center PowerShell.
Al configurar una etiqueta para la clasificación recomendada, se pide a los usuarios que acepten o descarten la etiqueta recomendada en Word, Excel y PowerPoint. Esta configuración amplía esta recomendación de etiqueta para que también se muestre en Outlook.
Para la directiva de etiqueta seleccionada, especifique las siguientes cadenas:
Clave: OutlookRecommendationEnabled
Valor: true
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookRecommendationEnabled="True"}
Habilitación de la eliminación de la protección de archivos comprimidos
Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Security & Compliance Center PowerShell.
Al configurar esta opción, el cmdlet de PowerShellSet-AIPFileLabel está habilitado para permitir la eliminación de la protección de archivos PST, rar y 7zip.
Clave: EnableContainerSupport
Valor: true
Comando de PowerShell de ejemplo en el que está habilitada la directiva:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}
Establecer una etiqueta predeterminada diferente para Outlook
Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Security & Compliance Center PowerShell.
Al configurar esta opción, Outlook no aplica la etiqueta predeterminada configurada como una configuración de directiva para la opción Aplicar esta etiqueta de forma predeterminada a documentos y correos electrónicos. En su lugar, Outlook puede aplicar una etiqueta predeterminada diferente o ninguna etiqueta.
Para la directiva de etiqueta seleccionada, especifique las siguientes cadenas:
Clave: OutlookDefaultLabel
Valor: <etiqueta GUID> o Ninguna
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookDefaultLabel="None"}
Cambio de los tipos de archivo que se van a proteger
Estas configuraciones usan una configuración avanzada de directiva que debe configurar mediante PowerShell del Centro de seguridad y cumplimiento.
De forma predeterminada, el cliente de etiquetado unificado de Azure Information Protection protege todos los tipos de archivos y el analizador del cliente protege solo los tipos de archivos de Office y los archivos PDF.
Puede cambiar este comportamiento predeterminado para una directiva de etiqueta seleccionada especificando una de las siguientes opciones:
PFileSupportedExtension
Clave: PFileSupportedExtensions
Valor: <valor de cadena>
Use la tabla siguiente para identificar el valor de cadena que se va a especificar:
| Valor de cadena | Remoto | Escáner |
|---|---|---|
| * | Valor predeterminado: Aplicar protección a todos los tipos de archivo | Aplicar protección a todos los tipos de archivo |
| ConvertTo-Json(".jpg", ".png") | Además de los tipos de archivo de Office y los archivos PDF, aplique protección a las extensiones de nombre de archivo especificadas. | Además de los tipos de archivo de Office y los archivos PDF, aplique protección a las extensiones de nombre de archivo especificadas. |
Ejemplo 1: comando de PowerShell para que el analizador proteja todos los tipos de archivo, donde el nombre de la directiva de etiqueta es "Analizador":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
Ejemplo 2: comando de PowerShell para que el analizador proteja archivos .txt y archivos .csv, además de archivos de Office y archivos PDF, donde la directiva de etiqueta se denomina "Analizador:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}
Con esta configuración, puede cambiar qué tipos de archivo están protegidos, pero no puede cambiar el nivel de protección predeterminado de nativo a genérico. Por ejemplo, para los usuarios que ejecutan el cliente de etiquetado unificado, puede cambiar la configuración predeterminada para que solo los archivos de Office y los archivos PDF estén protegidos en lugar de todos los tipos de archivo. Pero no puede cambiar estos tipos de archivo para que estén protegidos genéricamente con una extensión de nombre de archivo .pfile.
AdditionalPPrefixExtensions
El cliente de etiquetado unificado admite el cambio de <EXT>. PFILE a P<EXT> mediante la propiedad avanzada AdditionalPPrefixExtensions. Esta propiedad avanzada es compatible con la Explorador de archivos, PowerShell y el analizador. Todas las aplicaciones tienen un comportamiento similar.
Clave: AdditionalPPrefixExtensions
Valor: <valor de cadena>
Use la tabla siguiente para identificar el valor de cadena que se va a especificar:
| Valor de cadena | Cliente y escáner |
|---|---|
| * | Todas las extensiones de PFile se convierten en P<EXT> |
| <Valor null> | El valor predeterminado se comporta como el valor de protección predeterminado. |
| ConvertTo-Json(".dwg", ".zip") | Además de la lista anterior, ".dwg" y ".zip" se convierten en P<EXT.> |
Con esta configuración, las siguientes extensiones siempre se convierten en P<EXT>: ".txt", ".xml", ".bmp", ".jt", ".jpg", ".jpeg", ".jpe", ".jif", ".jfif", ".jfi", ".png", ".tif", ".tiff", ".gif"). La exclusión notable es que "ptxt" no se convierte en "txt.pfile".
AdditionalPPrefixExtensions solo funciona si la protección de PFiles con la propiedad avanzada - PFileSupportedExtension está habilitada.
Ejemplo 1: comando de PowerShell para comportarse como el comportamiento predeterminado donde Protect ".dwg" se convierte en ".dwg.pfile":
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}
Ejemplo 2: comando de PowerShell para cambiar todas las extensiones de PFile de protección genérica (dwg.pfile) a protección nativa (.pdwg) cuando los archivos están protegidos:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}
Ejemplo 3: Comando de PowerShell para cambiar ".dwg" a ".pdwg" al usar este servicio protege este archivo:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}
Quitar "No ahora" para los documentos cuando se usa el etiquetado obligatorio
Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Security & Compliance Center PowerShell.
Cuando use la configuración de directiva de etiqueta de Todos los documentos y correos electrónicos debe tener una etiqueta, se pedirá a los usuarios que seleccionen una etiqueta cuando guarden un documento de Office por primera vez y cuando envíen un correo electrónico desde Outlook.
En el caso de los documentos, los usuarios pueden seleccionar No ahora para descartar temporalmente la solicitud para seleccionar una etiqueta y volver al documento. Sin embargo, no pueden cerrar el documento guardado sin etiquetarlo.
Al configurar la opción PosponerMandatoryBeforeSave, se quita la opción No ahora para que los usuarios deban seleccionar una etiqueta cuando el documento se guarde por primera vez.
Sugerencia
La configuración PosponerMandatoryBeforeSave también garantiza que los documentos compartidos se etiqueten antes de que se envíen por correo electrónico.
De forma predeterminada, incluso si tiene todos los documentos y correos electrónicos debe tener una etiqueta habilitada en la directiva, los usuarios solo se promueven a etiquetar los archivos adjuntos a los correos electrónicos desde Outlook.
Para la directiva de etiqueta seleccionada, especifique las siguientes cadenas:
Clave: PostponeMandatoryBeforeSave
Valor = False
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{PostponeMandatoryBeforeSave="False"}
Eliminación de encabezados y pies de página de otras soluciones de etiquetado
Esta configuración usa opciones avanzadas de directiva que debe configurar mediante Security & Compliance Center PowerShell.
Hay dos métodos para quitar clasificaciones de otras soluciones de etiquetado:
| Configuración | Descripción |
|---|---|
| WordShapeNameToRemove | Quita cualquier forma de documentos de Word donde el nombre de la forma coincide con el nombre tal y como se define en la propiedad avanzada WordShapeNameToRemove. Para obtener más información, vea Usar la propiedad avanzada WordShapeNameToRemove. |
| RemoveExternalContentMarkingInApp ExternalContentMarkingToRemove |
Permite quitar o reemplazar encabezados o pies de página basados en texto de documentos de Word, Excel y PowerPoint. Para obtener más información, consulte: - Usar la propiedad avanzada RemoveExternalContentMarkingInApp - Cómo configurar ExternalContentMarkingToRemove. |
Usar la propiedad avanzada WordShapeNameToRemove
La propiedad avanzada WordShapeNameToRemove es compatible con la versión 2.6.101.0 y posteriores.
Esta configuración le permite quitar o reemplazar etiquetas basadas en formas de documentos de Word cuando otra solución de etiquetado haya aplicado esas marcas visuales. Por ejemplo, la forma contiene el nombre de una etiqueta antigua que ahora ha migrado a etiquetas de confidencialidad para usar un nuevo nombre de etiqueta y su propia forma.
Para usar esta propiedad avanzada, deberá buscar el nombre de la forma en el documento de Word y, a continuación, definirlos en la lista de propiedades avanzadas WordShapeNameToRemove de formas. El servicio quitará cualquier forma de Word que comience por un nombre definido en la lista de formas de esta propiedad avanzada.
Evite quitar formas que contengan el texto que desea omitir, definiendo el nombre de todas las formas que se van a quitar y evitando comprobar el texto de todas las formas, que es un proceso que consume muchos recursos.
Nota:
En Microsoft Word, las formas se pueden quitar definiendo el nombre de las formas o por su texto, pero no ambos. Si se define la propiedad WordShapeNameToRemove, se omiten las configuraciones definidas por el valor ExternalContentMarkingToRemove.
Para buscar el nombre de la forma que está usando y desea excluir:
En Word, muestra el panel Selección: Pestaña Inicio>Grupo de edición>Opción de selección>Panel de selección.
Seleccione la forma de la página que desea marcar para su eliminación. El nombre de la forma que marque ahora está resaltado en el panel Selección.
Use el nombre de la forma para especificar un valor de cadena para la clave WordShapeNameToRemove.
Ejemplo: el nombre de la forma es dc. Para quitar la forma con este nombre, especifique el valor: dc.
Clave: WordShapeNameToRemove
Valor: <Nombre de la forma de Word>
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{WordShapeNameToRemove="dc"}
Cuando tenga más de una forma de Word para quitar, especifique tantos valores como tenga formas para quitar.
Usar la propiedad avanzada RemoveExternalContentMarkingInApp
Esta configuración le permite quitar o reemplazar encabezados o pies de página basados en texto de documentos cuando otra solución de etiquetado haya aplicado esas marcas visuales. Por ejemplo, el pie de página antiguo contiene el nombre de una etiqueta antigua que ahora ha migrado a etiquetas de confidencialidad para usar un nuevo nombre de etiqueta y su propio pie de página.
Cuando el cliente de etiquetado unificado obtiene esta configuración en su directiva, los encabezados y pies de página antiguos se quitan o reemplazan cuando el documento se abre en la aplicación de Office y se aplica cualquier etiqueta de confidencialidad al documento.
Esta configuración no es compatible con Outlook y tenga en cuenta que cuando se usa con Word, Excel y PowerPoint, puede afectar negativamente al rendimiento de estas aplicaciones para los usuarios. La configuración le permite definir la configuración por aplicación, por ejemplo, buscar texto en los encabezados y pies de página de documentos de Word, pero no hojas de cálculo de Excel o presentaciones de PowerPoint.
Dado que la coincidencia de patrones afecta al rendimiento de los usuarios, se recomienda limitar los tipos de aplicación de Office lication (Word, EXcel, PowerPoint) a solo aquellos que deben buscarse. Para la directiva de etiqueta seleccionada, especifique las siguientes cadenas:
Clave: RemoveExternalContentMarkingInApp
Valor: <tipos de aplicaciones Office WXP>
Ejemplos:
Para buscar solo documentos de Word, especifique W.
Para buscar documentos de Word y presentaciones de PowerPoint, especifique WP.
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInApp="WX"}
A continuación, necesita al menos una configuración de cliente más avanzada, ExternalContentMarkingToRemove, para especificar el contenido del encabezado o pie de página, y cómo quitarlos o reemplazarlos.
Cómo configurar ExternalContentMarkingToRemove
Al especificar el valor de cadena para la clave ExternalContentMarkingToRemove , tiene tres opciones que usan expresiones regulares. Para cada uno de estos escenarios, use la sintaxis que se muestra en la columna Valor de ejemplo de la tabla siguiente:
| Opción | Descripción de ejemplo | Valor de ejemplo |
|---|---|---|
| Coincidencia parcial para quitar todo lo que hay en el encabezado o pie de página | Los encabezados o pies de página contienen la cadena TEXT TO REMOVE y desea quitar completamente estos encabezados o pies de página. | *TEXT* |
| Coincidencia completa para quitar solo palabras específicas en el encabezado o pie de página | Los encabezados o pies de página contienen la cadena TEXT TO REMOVE y solo desea quitar la palabra TEXT, dejando el encabezado o la cadena de pie de página como TO REMOVE. | TEXT |
| Coincidencia completa para quitar todo lo que hay en el encabezado o pie de página | Los encabezados o pies de página tienen la cadena TEXT TO REMOVE. Desea quitar encabezados o pies de página que tienen exactamente esta cadena. | ^TEXT TO REMOVE$ |
La coincidencia de patrones para la cadena que especifique no distingue mayúsculas de minúsculas. La longitud máxima de la cadena es de 255 caracteres y no puede incluir espacios en blanco.
Dado que algunos documentos pueden incluir caracteres invisibles o diferentes tipos de espacios o pestañas, es posible que no se detecte la cadena que especifique para una frase o frase. Siempre que sea posible, especifique una sola palabra distintiva para el valor y asegúrese de probar los resultados antes de implementar en producción.
Para la misma directiva de etiqueta, especifique las siguientes cadenas:
Clave: ExternalContentMarkingToRemove
Valor: <cadena que debe coincidir, definida como expresión regular>
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*TEXT*"}
Para más información, vea:
Encabezados o pies de página de varias líneas
Si un texto de encabezado o pie de página es superior a una sola línea, cree una clave y un valor para cada línea. Por ejemplo, si tiene el pie de página siguiente con dos líneas:
El archivo se clasifica como Confidencial
Etiqueta aplicada manualmente
Para quitar este pie de página de varias líneas, cree las dos entradas siguientes para la misma directiva de etiqueta:
- Clave: ExternalContentMarkingToRemove
- Valor de clave 1: *Confidencial*
- Valor de clave 2: *Etiqueta aplicada*
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove=ConvertTo-Json("Confidential","Label applied")}
Optimización para PowerPoint
Los encabezados y pies de página de PowerPoint se implementan como formas. Para los tipos de formas msoTextBox, msoTextEffect, msoPlaceholder y msoAutoShape, la siguiente configuración avanzada proporciona optimizaciones adicionales:
Además, PowerPointRemoveAllShapesByShapeName puede quitar cualquier tipo de forma, en función del nombre de la forma.
Para obtener más información, vea Buscar el nombre de la forma que usa como encabezado o pie de página.
Evitar quitar formas de PowerPoint que contengan texto especificado y no sean encabezados o pies de página
Para evitar quitar formas que contengan el texto especificado, pero no son encabezados o pies de página, use una configuración de cliente avanzada adicional denominada PowerPointShapeNameToRemove.
También se recomienda usar esta opción para evitar comprobar el texto de todas las formas, que es un proceso que consume muchos recursos.
Si no especifica esta configuración de cliente avanzada adicional y PowerPoint se incluye en el valor de clave RemoveExternalContentMarkingInApp, se comprobarán todas las formas para el texto que especifique en el valor ExternalContentMarkingToRemove.
Si se especifica este valor, solo se quitarán las formas que cumplen los criterios de nombre de forma y que también tengan texto que coincida con la cadena proporcionada con ExternalContentMarkingToRemove.
Por ejemplo:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
Extensión de la eliminación de marcado externo a diseños personalizados
Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Security & Compliance Center PowerShell.
De forma predeterminada, la lógica usada para quitar marcas de contenido externo omite los diseños personalizados configurados en PowerPoint. Para ampliar esta lógica a diseños personalizados, establezca la propiedad avanzada RemoveExternalMarkingFromCustomLayouts en True.
Clave: RemoveExternalMarkingFromCustomLayouts
Valor: true
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
Quitar todas las formas de un nombre de forma específico
Si usa diseños personalizados de PowerPoint y desea quitar todas las formas de un nombre de forma específico de los encabezados y pies de página, use la configuración avanzada PowerPointRemoveAllShapesByShapeName, con el nombre de la forma que desea quitar.
El uso de la configuración PowerPointRemoveAllShapesByShapeName omite el texto dentro de las formas y, en su lugar, usa el nombre de la forma para identificar las formas que desea quitar.
Por ejemplo:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointRemoveAllShapesByShapeName="Arrow: Right"}
Para más información, vea:
- Busque el nombre de la forma que está usando como encabezado o pie de página.
- Quitar el marcado de contenido externo de diseños personalizados en PowerPoint
Busque el nombre de la forma que está usando como encabezado o pie de página.
En PowerPoint, muestre el panel Selección: Pestaña Formato>Organizar grupo >Selección de panel.
Seleccione la forma de la diapositiva que contiene el encabezado o pie de página. El nombre de la forma seleccionada ahora está resaltado en el panel Selección.
Use el nombre de la forma para especificar un valor de cadena para la clave PowerPointShapeNameToRemove.
Ejemplo: el nombre de la forma es fc. Para quitar la forma con este nombre, especifique el valor: fc.
Clave: PowerPointShapeNameToRemove
Valor: <Nombre de forma de PowerPoint>
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
Cuando tenga más de una forma de PowerPoint que se va a quitar, especifique tantos valores como tenga formas para quitar.
De forma predeterminada, solo se comprueban las diapositivas maestras para encabezados y pies de página. Para ampliar esta búsqueda a todas las diapositivas, que es un proceso mucho más intensivo de recursos, use una configuración de cliente avanzada adicional denominada RemoveExternalContentMarkingInAllSlides:
Clave: RemoveExternalContentMarkingInAllSlides
Valor: true
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInAllSlides="True"}
Quitar el marcado de contenido externo de diseños personalizados en PowerPoint
Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Security & Compliance Center PowerShell.
De forma predeterminada, la lógica usada para quitar marcas de contenido externo omite los diseños personalizados configurados en PowerPoint. Para ampliar esta lógica a diseños personalizados, establezca la propiedad avanzada RemoveExternalMarkingFromCustomLayouts en True.
Clave: RemoveExternalMarkingFromCustomLayouts
Valor: true
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
Desactivar los permisos personalizados en Explorador de archivos
Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Security & Compliance Center PowerShell.
De forma predeterminada, los usuarios ven una opción denominada Proteger con permisos personalizados cuando hacen clic con el botón derecho en Explorador de archivos y eligen Clasificar y proteger. Esta opción les permite establecer sus propias opciones de protección que pueden invalidar cualquier configuración de protección que pueda haber incluido con una configuración de etiqueta. Los usuarios también pueden ver una opción para quitar la protección. Al configurar esta opción, los usuarios no ven estas opciones.
Para configurar esta configuración avanzada, escriba las siguientes cadenas para la directiva de etiqueta seleccionada:
Clave: EnableCustomPermissions
Valor = False
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
En el caso de los archivos protegidos con permisos personalizados, muestre siempre los permisos personalizados a los usuarios en Explorador de archivos
Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Security & Compliance Center PowerShell.
Al configurar la configuración de cliente avanzada para desactivar los permisos personalizados en Explorador de archivos, de forma predeterminada, los usuarios no pueden ver ni cambiar los permisos personalizados que ya están establecidos en un documento protegido.
Sin embargo, hay otra configuración de cliente avanzada que puede especificar para que, en este escenario, los usuarios puedan ver y cambiar los permisos personalizados de un documento protegido cuando usen Explorador de archivos y haga clic con el botón derecho en el archivo.
Para configurar esta configuración avanzada, escriba las siguientes cadenas para la directiva de etiqueta seleccionada:
Clave: EnableCustomPermissionsForCustomProtectedFiles
Valor: true
Comando de PowerShell de ejemplo:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}
En el caso de los mensajes de correo electrónico con datos adjuntos, aplique una etiqueta que coincida con su clasificación más alta
Esta configuración usa opciones avanzadas de directiva que debe configurar mediante Security & Compliance Center PowerShell.
Esta configuración es para cuando los usuarios adjuntan documentos etiquetados a un correo electrónico y no etiquetan el propio mensaje de correo electrónico. En este escenario, se selecciona automáticamente una etiqueta para ellas, en función de las etiquetas de clasificación que se aplican a los datos adjuntos. Se selecciona la etiqueta de clasificación más alta.
Los datos adjuntos deben ser un archivo físico y no pueden ser un vínculo a un archivo (por ejemplo, un vínculo a un archivo en Microsoft SharePoint o OneDrive).
Puede configurar esta opción en Recomendado para que se pida a los usuarios que apliquen la etiqueta seleccionada a su mensaje de correo electrónico. A continuación, los usuarios pueden aceptar la recomendación o descartarla sin aplicar la etiqueta. O bien, puede configurar esta opción en Automático, donde se aplica automáticamente la etiqueta seleccionada, pero los usuarios pueden quitar la etiqueta o seleccionar una etiqueta diferente antes de enviar el correo electrónico. Ambos escenarios admiten un mensaje personalizado.
Nota:
Cuando los datos adjuntos con la etiqueta de clasificación más alta se configuran para la protección con la configuración de permisos definidos por el usuario:
- Cuando los permisos definidos por el usuario de la etiqueta incluyen Outlook (no reenviar), esa etiqueta está seleccionada y no reenviar la protección se aplica al correo electrónico.
- Cuando los permisos definidos por el usuario de la etiqueta son solo para Word, Excel, PowerPoint y Explorador de archivos, esa etiqueta no se aplica al mensaje de correo electrónico y tampoco es protección.
Para configurar esta configuración avanzada, escriba las siguientes cadenas para la directiva de etiqueta seleccionada:
Clave 1: AttachmentAction
Valor de clave 1: recomendado o automático
Clave 2 (opcional): AttachmentActionTip
Valor de clave 2: "<información sobre herramientas personalizada>"
La información sobre herramientas personalizada opcional solo admite un solo idioma. Si no se especifica esta configuración, se muestran los mensajes siguientes a los usuarios:
- Mensaje recomendado: se recomienda etiquetar este correo electrónico como <nombre de etiqueta.>
- Mensaje automático: este correo electrónico se etiquetó automáticamente como <nombre de etiqueta.>
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{AttachmentAction="Automatic"}
Agregar "Notificar un problema" para los usuarios
Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Security & Compliance Center PowerShell.
Al especificar la siguiente configuración de cliente avanzada, los usuarios ven una opción Notificar un problema que pueden seleccionar en el cuadro de diálogo del cliente Ayuda y comentarios. Especifique una cadena HTTP para el vínculo. Por ejemplo, una página web personalizada que tiene para que los usuarios notifiquen problemas o una dirección de correo electrónico que vaya al departamento de soporte técnico.
Para configurar esta configuración avanzada, escriba las siguientes cadenas para la directiva de etiqueta seleccionada:
Clave: ReportAnIssueLink
Valor: <cadena HTTP>
Valor de ejemplo para un sitio web: https://support.contoso.com
Valor de ejemplo para una dirección de correo electrónico: mailto:helpdesk@contoso.com
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}
Implementar mensajes emergentes en Outlook que advierten, justifican o bloquean el envío de correos electrónicos
Esta configuración usa opciones avanzadas de directiva que debe configurar mediante Security & Compliance Center PowerShell.
Al crear y configurar las siguientes opciones de cliente avanzadas, los usuarios ven mensajes emergentes en Outlook que pueden advertirlos antes de enviar un correo electrónico, o pedirles que proporcionen justificación por qué envían un correo electrónico o impiden que envíen un correo electrónico para cualquiera de los escenarios siguientes:
Su correo electrónico o datos adjuntos para el correo electrónico tiene una etiqueta específica:
- Los datos adjuntos pueden ser cualquier tipo de archivo.
Su correo electrónico o datos adjuntos para el correo electrónico no tiene una etiqueta:
- Los datos adjuntos pueden ser un documento de Office o un documento PDF.
Cuando se cumplen estas condiciones, el usuario ve un mensaje emergente con una de las siguientes acciones:
| Tipo | Descripción |
|---|---|
| Advertir | El usuario puede confirmar y enviar o cancelar. |
| Justificar | Se solicita al usuario justificación (opciones predefinidas o forma libre) y, a continuación, el usuario puede enviar o cancelar el correo electrónico. El texto de justificación se escribe en el encabezado x de correo electrónico, de modo que otros sistemas puedan leerlo, como los servicios de prevención de pérdida de datos (DLP). |
| Bloquear | El usuario no puede enviar el correo electrónico mientras permanece la condición. El mensaje incluye el motivo para bloquear el correo electrónico, por lo que el usuario puede solucionar el problema. Por ejemplo, quite destinatarios específicos o etiquete el correo electrónico. |
Cuando los mensajes emergentes son para una etiqueta específica, puede configurar excepciones para destinatarios por nombre de dominio.
Consulte el blog de la comunidad técnica Personalización de los mensajes emergentes de Outlook para el cliente AIP UL para ver un ejemplo de cómo configurar estos ajustes.
Sugerencia
Para asegurarse de que los elementos emergentes se muestran incluso cuando los documentos se comparten desde fuera de Outlook (archivo > compartir > adjuntar copia), configure también la configuración avanzada PosponerMandatoryBeforeSave.
Para más información, vea:
- Para implementar los mensajes emergentes de advertencia, justificación o bloqueo para etiquetas específicas
- Para implementar los mensajes emergentes de advertencia, justificación o bloqueo para correos electrónicos o datos adjuntos que no tienen una etiqueta
Para implementar los mensajes emergentes de advertencia, justificación o bloqueo para etiquetas específicas
Para la directiva seleccionada, cree una o varias de las siguientes opciones de configuración avanzadas con las siguientes claves. Para los valores, especifique una o varias etiquetas por sus GUID, cada una separada por una coma.
Valor de ejemplo para varios GUID de etiqueta como una cadena separada por comas:
dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
| Tipo de mensaje | Valor de clave |
|---|---|
| Advertir | Clave: OutlookWarnUntrustedCollaborationLabel Valor: <GUID de etiqueta, separados por comas> |
| Justificar | Clave: OutlookJustifyUntrustedCollaborationLabel Valor: <GUID de etiqueta, separados por comas> |
| Bloquear | Clave: OutlookBlockUntrustedCollaborationLabel Valor: <GUID de etiqueta, separados por comas> |
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e,b6d21387-5d34-4dc8-90ae-049453cec5cf,bb48a6cb-44a8-49c3-9102-2d2b017dcead,74591a94-1e0e-4b5d-b947-62b70fc0f53a,6c375a97-2b9b-4ccd-9c5b-e24e4fd67f73"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyUntrustedCollaborationLabel="dc284177-b2ac-4c96-8d78-e3e1e960318f,d8bb73c3-399d-41c2-a08a-6f0642766e31,750e87d4-0e91-4367-be44-c9c24c9103b4,32133e19-ccbd-4ff1-9254-3a6464bf89fd,74348570-5f32-4df9-8a6b-e6259b74085b,3e8d34df-e004-45b5-ae3d-efdc4731df24"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockUntrustedCollaborationLabel="0eb351a6-0c2d-4c1d-a5f6-caa80c9bdeec,40e82af6-5dad-45ea-9c6a-6fe6d4f1626b"}
Para una mayor personalización, también puede excluir los nombres de dominio de los mensajes emergentes configurados para etiquetas específicas.
Nota:
La configuración avanzada de esta sección (OutlookWarnUntrustedCollaborationLabel, OutlookJustifyUntrustedCollaborationLabel y OutlookBlockUntrustedCollaborationLabel) son para cuando se usa una etiqueta específica.
Para implementar mensajes emergentes predeterminados para contenido no etiquetado, utilice la configuración avanzada OutlookUnlabeledCollaborationAction. Para personalizar los mensajes emergentes para el contenido sin etiquetar, use un archivo .json para definir la configuración avanzada.
Para más información, consulte Personalizar los mensajes emergentes de Outlook.
Sugerencia
Para asegurarse de que los mensajes de bloqueo se muestran según sea necesario, incluso para un destinatario ubicado dentro de una lista de distribución de Outlook, asegúrese de agregar la configuración avanzada EnableOutlookDistributionListExpansion.
Para excluir los nombres de dominio de los mensajes emergentes configurados para etiquetas específicas
Para las etiquetas que ha especificado con estos mensajes emergentes, puede excluir nombres de dominio específicos para que los usuarios no vean los mensajes de los destinatarios que tengan ese nombre de dominio incluido en su dirección de correo electrónico. En este caso, los correos electrónicos se envían sin interrupción. Para especificar varios dominios, agréguelos como una sola cadena, separados por comas.
Una configuración típica es mostrar los mensajes emergentes solo para los destinatarios externos a su organización o que no son asociados autorizados para su organización. En este caso, especificará todos los dominios de correo electrónico que usa su organización y sus asociados.
Para la misma directiva de etiqueta, cree la siguiente configuración de cliente avanzada y, para el valor, especifique uno o varios dominios, cada uno separado por una coma.
Valor de ejemplo para varios dominios como una cadena separada por comas: contoso.com,fabrikam.com,litware.com
| Tipo de mensaje | Valor de clave |
|---|---|
| Advertir | Clave: OutlookWarnTrustedDomains Valor: <nombres de dominio, separados por comas> |
| Justificar | Clave: OutlookJustifyTrustedDomains Valor: <nombres de dominio, separados por comas> |
| Bloquear | Clave: OutlookBlockTrustedDomains Valor: <nombres de dominio, separados por comas> |
Por ejemplo, supongamos que ha especificado la configuración de cliente avanzada OutlookBlockUntrustedCollaborationLabel para la etiqueta Confidencial \ Todos los empleados.
Ahora se especifica la configuración de cliente avanzada adicional de OutlookBlockTrustedDomains con contoso.com. Como resultado, un usuario puede enviar un correo electrónico a john@sales.contoso.com cuando se etiqueta Confidencial \ Todos los empleados, pero se bloqueará el envío de un correo electrónico con la misma etiqueta a una cuenta de Gmail.
Comandos de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockTrustedDomains="contoso.com"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyTrustedDomains="contoso.com,fabrikam.com,litware.com"}
Nota:
Para asegurarse de que los mensajes de bloqueo se muestran según sea necesario, incluso para un destinatario ubicado dentro de una lista de distribución de Outlook, asegúrese de agregar la configuración avanzada EnableOutlookDistributionListExpansion.
Para implementar los mensajes emergentes de advertencia, justificación o bloqueo para correos electrónicos o datos adjuntos que no tienen una etiqueta
Para la misma directiva de etiqueta, cree la siguiente configuración de cliente avanzada con uno de los siguientes valores:
| Tipo de mensaje | Valor de clave |
|---|---|
| Advertir | Clave: OutlookUnlabeledCollaborationAction Valor: advertir |
| Justificar | Clave: OutlookUnlabeledCollaborationAction Valor: justificar |
| Bloquear | Clave: OutlookUnlabeledCollaborationAction Valor: Bloquear |
| Desactivar estos mensajes | Clave: OutlookUnlabeledCollaborationAction Valor: Desactivado |
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Warn"}
Para una mayor personalización, consulte:
- Para definir extensiones de nombre de archivo específicas para los mensajes emergentes de advertencia, justificación o bloqueo para los datos adjuntos de correo electrónico que no tienen una etiqueta
- Para especificar una acción diferente para los mensajes de correo electrónico sin datos adjuntos
- Personalizar mensajes emergentes de Outlook
Para definir extensiones de nombre de archivo específicas para los mensajes emergentes de advertencia, justificación o bloqueo para los datos adjuntos de correo electrónico que no tienen una etiqueta
De forma predeterminada, los mensajes emergentes de advertencia, justificación o bloqueo se aplican a todos los documentos de Office y documentos PDF. Puede refinar esta lista especificando qué extensiones de nombre de archivo deben mostrar los mensajes de advertencia, justificación o bloqueo con una configuración avanzada adicional y una lista separada por comas de extensiones de nombre de archivo.
Valor de ejemplo para varias extensiones de nombre de archivo para definir como una cadena separada por comas: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM
En este ejemplo, un documento PDF sin etiqueta no dará lugar a mensajes emergentes de advertencia, justificación o bloqueo.
Para la directiva de etiqueta seleccionada, especifique las siguientes cadenas:
Clave: OutlookOverrideUnlabeledCollaborationExtensions
Valor: <extensiones de nombre de archivo para mostrar mensajes, separados por comas>
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.PPT,.PPTX,.PPTM"}
Para especificar una acción diferente para los mensajes de correo electrónico sin datos adjuntos
De forma predeterminada, el valor especificado para OutlookUnlabeledCollaborationAction para advertir, justificar o bloquear mensajes emergentes se aplica a los correos electrónicos o datos adjuntos que no tienen una etiqueta.
Puede refinar esta configuración especificando otra configuración avanzada para los mensajes de correo electrónico que no tienen datos adjuntos.
Cree la siguiente configuración de cliente avanzada con uno de los siguientes valores:
| Tipo de mensaje | Valor de clave |
|---|---|
| Advertir | Clave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Valor: advertir |
| Justificar | Clave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Valor: justificar |
| Bloquear | Clave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Valor: Bloquear |
| Desactivar estos mensajes | Clave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Valor: Desactivado |
Si no especifica esta configuración de cliente, el valor que especifique para OutlookUnlabeledCollaborationAction se usa para mensajes de correo electrónico sin etiquetar sin datos adjuntos, así como mensajes de correo electrónico sin etiquetar con datos adjuntos.
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior="Warn"}
Expandir listas de distribución de Outlook al buscar destinatarios de correo electrónico
Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Security & Compliance Center PowerShell.
Para ampliar la compatibilidad desde otras configuraciones avanzadas a los destinatarios dentro de las listas de distribución de Outlook, establezca la configuración avanzada EnableOutlookDistributionListExpansion en true.
- Clave: EnableOutlookDistributionListExpansion
- Valor: true
Por ejemplo, si ha configurado las opciones avanzadas OutlookBlockTrustedDomains, OutlookBlockUntrustedCollaborationLabel y, a continuación, configura la opción EnableOutlookDistributionListExpansion, Outlook está habilitado para expandir la lista de distribución para garantizar que un mensaje de bloque aparezca según sea necesario.
El tiempo de espera predeterminado para expandir la lista de distribución es de 2000 milisegundos.
Para modificar este tiempo de espera, cree la siguiente configuración avanzada para la directiva seleccionada:
- Clave: OutlookGetEmailAddressesTimeOutMSProperty
- Valor: entero, en milisegundos
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{
EnableOutlookDistributionListExpansion="true"
OutlookGetEmailAddressesTimeOutMSProperty="3000"
}
Impedir que los datos de auditoría se envíen a AIP y análisis de Microsoft 365
De forma predeterminada, el cliente de etiquetado unificado de Azure Information Protection admite informes centrales y envía sus datos de auditoría a:
- Análisis de Azure Information Protection, si ha configurado un área de trabajo de Log Analytics
- Microsoft 365, donde puede verlos en el Explorador de actividades
Para cambiar este comportamiento, para que no se envíen datos de auditoría, haga lo siguiente:
Agregue la siguiente configuración avanzada de directiva mediante Security & Compliance Center PowerShell:
Clave: EnableAudit
Valor = False
Por ejemplo, si la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}Nota:
De forma predeterminada, esta configuración avanzada no está presente en la directiva y se envían los registros de auditoría.
En todas las máquinas cliente de Azure Information Protection, elimine la carpeta siguiente: %localappdata%\Microsoft\MSIP\mip
Para permitir que el cliente envíe datos de registro de auditoría de nuevo, cambie el valor de configuración avanzado a True. No es necesario crear manualmente la carpeta %localappdata%\Microsoft\MSIP\mip de nuevo en las máquinas cliente.
Envío de coincidencias de tipo de información a análisis de Azure Information Protection
Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Security & Compliance Center PowerShell.
De forma predeterminada, el cliente de etiquetado unificado no envía coincidencias de contenido para tipos de información confidencial al análisis de Azure Information Protection. Para obtener más información sobre esta información adicional que se puede enviar, consulte la sección Coincidencias de contenido para un análisis más profundo de la documentación central de informes.
Para enviar coincidencias de contenido cuando se envían tipos de información confidencial, cree la siguiente configuración de cliente avanzada en una directiva de etiqueta:
Clave: LogMatchedContent
Valor: true
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}
Limitar el consumo de CPU
A partir de la versión 2.7.x.x.x del escáner, se recomienda limitar el consumo de CPU mediante la siguiente configuración avanzada ScannerMaxCPU y ScannerMinCPU.
Importante
Cuando se usa la siguiente directiva de limitación de subprocesos, se omiten la configuración avanzada ScannerMaxCPU y ScannerMinCPU. Para limitar el consumo de CPU mediante ScannerMaxCPU y la configuración avanzada ScannerMinCPU, cancele el uso de directivas que limiten el número de subprocesos.
Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Security & Compliance Center PowerShell.
Para limitar el consumo de CPU en la máquina del escáner, se puede administrar mediante la creación de dos opciones avanzadas:
ScannerMaxCPU:
Se establece en 100 de forma predeterminada, lo que significa que no hay ningún límite de consumo máximo de CPU. En este caso, el proceso del escáner intentará usar todo el tiempo de CPU disponible para maximizar las tasas de examen.
Si establece ScannerMaxCPU en menos de 100, el escáner supervisará el consumo de CPU en los últimos 30 minutos. Si la CPU media ha superado el límite establecido, comenzará a reducir el número de subprocesos asignados para los nuevos archivos.
El límite del número de subprocesos continuará siempre que el consumo de CPU sea mayor que el límite establecido para ScannerMaxCPU.
ScannerMinCPU:
Solo se comprueba si ScannerMaxCPU no es igual a 100 y no se puede establecer en un número superior al valor ScannerMaxCPU. Se recomienda mantener ScannerMinCPU establecido al menos 15 puntos por debajo del valor de ScannerMaxCPU.
Se establece en 50 de forma predeterminada, lo que significa que si el consumo de CPU en los últimos 30 minutos cuando sea inferior a este valor, el analizador comenzará a agregar nuevos subprocesos para examinar más archivos en paralelo, hasta que el consumo de CPU alcance el nivel establecido para ScannerMaxCPU-15.
Limitar el número de subprocesos usados por el analizador
Importante
Cuando se usa la siguiente directiva de limitación de subprocesos, se omiten la configuración avanzada ScannerMaxCPU y ScannerMinCPU. Para limitar el consumo de CPU mediante ScannerMaxCPU y la configuración avanzada ScannerMinCPU, cancele el uso de directivas que limiten el número de subprocesos.
Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Security & Compliance Center PowerShell.
De forma predeterminada, el analizador usa todos los recursos de procesador disponibles en el equipo que ejecuta el servicio de escáner. Si necesita limitar el consumo de CPU mientras se examina este servicio, cree la siguiente configuración avanzada en una directiva de etiqueta.
Para el valor, especifique el número de subprocesos simultáneos que el analizador puede ejecutar en paralelo. El analizador usa un subproceso independiente para cada archivo que examina, por lo que esta configuración de limitación también define el número de archivos que se pueden examinar en paralelo.
Cuando configure por primera vez el valor de las pruebas, se recomienda especificar 2 por núcleo y, a continuación, supervisar los resultados. Por ejemplo, si ejecuta el analizador en un equipo que tiene 4 núcleos, establezca primero el valor en 8. Si es necesario, aumente o disminuya ese número, según el rendimiento resultante que necesite para el equipo del escáner y las tasas de exploración.
Clave: ScannerConcurrencyLevel
Valor: <número de subprocesos simultáneos>
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Scanner":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}
Migración de etiquetas de Secure Islands y otras soluciones de etiquetado
Esta configuración usa una configuración avanzada de etiqueta que debe configurar mediante Security & Compliance Center PowerShell.
Esta configuración no es compatible con los archivos PDF protegidos que tienen una extensión de nombre de archivo .ppdf. El cliente no puede abrir estos archivos mediante Explorador de archivos o PowerShell.
En el caso de los documentos de Office etiquetados por Secure Islands, puede volver a etiquetar estos documentos con una etiqueta de confidencialidad mediante una asignación que defina. También se usa este método para reutilizar etiquetas de otras soluciones cuando estas están en documentos de Office.
Como resultado de esta opción de configuración, el cliente de etiquetado unificado de Azure Information Protection aplica la nueva etiqueta de confidencialidad como se indica a continuación:
Para documentos de Office: cuando se abre el documento en la aplicación de escritorio, la nueva etiqueta de confidencialidad se muestra como establecida y se aplica cuando se guarda el documento.
Para PowerShell: Set-AIPFileLabel y Set-AIPFileClassificiation pueden aplicar la nueva etiqueta de confidencialidad.
Para Explorador de archivos: en el cuadro de diálogo Azure Information Protection, se muestra la nueva etiqueta de confidencialidad, pero no se establece.
Esta configuración requiere que especifique una configuración avanzada denominada labelByCustomProperties para cada etiqueta de confidencialidad que quiera asignar a la etiqueta anterior. A continuación, para cada entrada, establezca el valor mediante la sintaxis siguiente:
[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]
Especifique su elección de un nombre de regla de migración. Use un nombre descriptivo que le ayude a identificar cómo se deben asignar una o varias etiquetas de la solución de etiquetado anterior a la etiqueta de confidencialidad.
Tenga en cuenta que esta configuración no quita la etiqueta original del documento ni las marcas visuales del documento que la etiqueta original podría haber aplicado. Para eliminar encabezados y pies de página, consulte Eliminar encabezados y pies de página de otras soluciones de etiquetado.
Ejemplos:
- Ejemplo 1: asignación uno a uno del mismo nombre de etiqueta
- Ejemplo 2: asignación uno a uno para un nombre de etiqueta diferente
- Ejemplo 3: asignación de varios a uno de nombres de etiqueta
- Ejemplo 4: varias reglas para la misma etiqueta
Para obtener personalización adicional, consulte:
- Extensión de las reglas de migración de etiquetas a correos electrónicos
- Ampliar las reglas de migración de etiquetas a las propiedades de SharePoint
Nota:
Si va a migrar desde las etiquetas entre inquilinos, como después de una fusión de empresa, le recomendamos que lea nuestra entrada de blog sobre fusiones y spinoffs para obtener más información.
Ejemplo 1: asignación uno a uno del mismo nombre de etiqueta
Requisito: Los documentos que tienen una etiqueta Secure Islands de "Confidencial" deben volver a etiquetarse como "Confidencial" de Azure Information Protection.
En este ejemplo:
- La etiqueta Secure Islands se denomina Confidencial y se almacena en la propiedad personalizada denominada Clasificación.
La configuración avanzada:
Clave: labelByCustomProperties
Valor: La etiqueta Secure Islands es Confidencial,Clasificación,Confidencial
Ejemplo de comando de PowerShell, donde la etiqueta se denomina "Confidencial":
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Confidential,Classification,Confidential"}
Ejemplo 2: asignación uno a uno para un nombre de etiqueta diferente
Requisito: Los documentos etiquetados como "confidenciales" de Secure Islands deben volver a etiquetarse como "Extremadamente confidenciales" de Azure Information Protection.
En este ejemplo:
- La etiqueta Secure Islands se denomina Confidencial y se almacena en la propiedad personalizada denominada Clasificación.
La configuración avanzada:
Clave: labelByCustomProperties
Valor: la etiqueta Secure Islands es Confidencial,Clasificación,Confidencial
Comando de PowerShell de ejemplo, donde la etiqueta se denomina "Extremadamente confidencial":
Set-Label -Identity "Highly Confidential" -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Sensitive,Classification,Sensitive"}
Ejemplo 3: asignación de varios a uno de nombres de etiqueta
Requisito: tiene dos etiquetas de Secure Islands que incluyen la palabra "Interno" y desea que los documentos que tengan cualquiera de estas etiquetas de Secure Islands se vuelvan a etiquetar como "General" por el cliente de etiquetado unificado de Azure Information Protection.
En este ejemplo:
- Las etiquetas Secure Islands incluyen la palabra Interna y se almacenan en la propiedad personalizada denominada Clasificación.
Configuración avanzada del cliente:
Clave: labelByCustomProperties
Valor: la etiqueta Secure Islands contiene Internal,Classification,.*Internal.*
Comando de PowerShell de ejemplo, donde la etiqueta se denomina "General":
Set-Label -Identity General -AdvancedSettings @{labelByCustomProperties="Secure Islands label contains Internal,Classification,.*Internal.*"}
Ejemplo 4: varias reglas para la misma etiqueta
Cuando necesite varias reglas para la misma etiqueta, defina varios valores de cadena para la misma clave.
En este ejemplo, las etiquetas de Secure Islands denominadas "Confidencial" y "Secreto" se almacenan en la propiedad personalizada denominada Clasificación y desea que el cliente de etiquetado unificado de Azure Information Protection aplique la etiqueta de confidencialidad denominada "Confidencial":
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}
Extensión de las reglas de migración de etiquetas a correos electrónicos
Puede usar la configuración que ha definido con la configuración avanzada labelByCustomProperties para correos electrónicos de Outlook, además de los documentos de Office, especificando una configuración avanzada de directiva de etiquetas adicional.
Sin embargo, esta configuración tiene un impacto negativo conocido en el rendimiento de Outlook, por lo que configure esta configuración adicional solo cuando tenga un requisito empresarial seguro para él y recuerde establecerlo en un valor de cadena null cuando haya completado la migración desde la otra solución de etiquetado.
Para configurar esta configuración avanzada, escriba las siguientes cadenas para la directiva de etiqueta seleccionada:
Clave: EnableLabelByMailHeader
Valor: true
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelByMailHeader="True"}
Ampliar las reglas de migración de etiquetas a las propiedades de SharePoint
Puede usar la configuración que ha definido con la configuración avanzada labelByCustomProperties para las propiedades de SharePoint que podría exponer como columnas a los usuarios especificando una configuración avanzada de directiva de etiquetas adicional.
Esta configuración se admite cuando se usa Word, Excel y PowerPoint.
Para configurar esta configuración avanzada, escriba las siguientes cadenas para la directiva de etiqueta seleccionada:
Clave: EnableLabelBySharePointProperties
Valor: true
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelBySharePointProperties="True"}
Aplicar una propiedad personalizada cuando se aplica una etiqueta
Esta configuración usa una configuración avanzada de etiqueta que debe configurar mediante Security & Compliance Center PowerShell.
Puede haber algunos escenarios en los que quiera aplicar una o varias propiedades personalizadas a un documento o mensaje de correo electrónico además de los metadatos aplicados por una etiqueta de confidencialidad.
Por ejemplo:
Está en proceso de migración desde otra solución de etiquetado, como Secure Islands. Para la interoperabilidad durante la migración, quiere que las etiquetas de confidencialidad también apliquen una propiedad personalizada que use la otra solución de etiquetado.
Para el sistema de administración de contenido (como SharePoint o una solución de administración de documentos de otro proveedor), quiere usar un nombre de propiedad personalizado coherente con valores diferentes para las etiquetas y con nombres descriptivos en lugar del GUID de etiqueta.
Para documentos de Office y correos electrónicos de Outlook que los usuarios etiquetan mediante el cliente de etiquetado unificado de Azure Information Protection, puede agregar una o varias propiedades personalizadas que defina. También puede usar este método para que el cliente de etiquetado unificado muestre una propiedad personalizada como una etiqueta de otras soluciones para el contenido que aún no está etiquetado por el cliente de etiquetado unificado.
Como resultado de esta opción de configuración, el cliente de etiquetado unificado de Azure Information Protection aplica las propiedades personalizadas adicionales de la siguiente manera:
| Environment | Descripción |
|---|---|
| Documentos de Office | Cuando el documento está etiquetado en la aplicación de escritorio, se aplican las propiedades personalizadas adicionales cuando se guarda el documento. |
| Correos electrónicos de Outlook | Cuando el mensaje de correo electrónico se etiqueta en Outlook, las propiedades adicionales se aplican al encabezado x cuando se envía el correo electrónico. |
| PowerShell | Set-AIPFileLabel y Set-AIPFileClassificiation aplica las propiedades personalizadas adicionales cuando el documento está etiquetado y guardado. Get-AIPFileStatus muestra propiedades personalizadas como etiqueta asignada si no se aplica una etiqueta de confidencialidad. |
| Explorador de archivos | Cuando el usuario hace clic con el botón derecho en el archivo y aplica la etiqueta, se aplican las propiedades personalizadas. |
Esta configuración requiere que especifique una configuración avanzada denominada customPropertiesByLabel para cada etiqueta de confidencialidad que quiera aplicar las propiedades personalizadas adicionales. A continuación, para cada entrada, establezca el valor mediante la sintaxis siguiente:
[custom property name],[custom property value]
Importante
El uso de espacios en blanco en la cadena impedirá la aplicación de las etiquetas.
Por ejemplo:
- Ejemplo 1: agregar una sola propiedad personalizada para una etiqueta
- Ejemplo 2: agregar varias propiedades personalizadas para una etiqueta
Ejemplo 1: agregar una sola propiedad personalizada para una etiqueta
Requisito: los documentos etiquetados como "Confidenciales" del cliente de etiquetado unificado de Azure Information Protection deben tener la propiedad personalizada adicional denominada "Clasificación" con el valor de "Secreto".
En este ejemplo:
- La etiqueta de confidencialidad se denomina Confidencial y crea una propiedad personalizada denominada Clasificación con el valor de Secreto.
La configuración avanzada:
Clave: customPropertiesByLabel
Valor: Clasificación,Secreto
Ejemplo de comando de PowerShell, donde la etiqueta se denomina "Confidencial":
Set-Label -Identity Confidential -AdvancedSettings @{customPropertiesByLabel="Classification,Secret"}
Ejemplo 2: agregar varias propiedades personalizadas para una etiqueta
Para agregar más de una propiedad personalizada para la misma etiqueta, debe definir varios valores de cadena para la misma clave.
Comando de PowerShell de ejemplo, donde la etiqueta se denomina "General" y desea agregar una propiedad personalizada denominada Clasificación con el valor de General y una segunda propiedad personalizada denominada Confidencialidad con el valor de Interno:
Set-Label -Identity General -AdvancedSettings @{customPropertiesByLabel=ConvertTo-Json("Classification,General", "Sensitivity,Internal")}
Configuración de una etiqueta para aplicar la protección S/MIME en Outlook
Esta configuración usa opciones avanzadas de etiqueta que debe configurar mediante Security & Compliance Center PowerShell.
Use esta configuración solo cuando tenga una implementación de S/MIME en funcionamiento y desee que una etiqueta aplique automáticamente este método de protección para correos electrónicos en lugar de protección de Rights Management de Azure Information Protection. La protección resultante es la misma que cuando un usuario selecciona manualmente las opciones S/MIME de Outlook.
| Configuración | Valor de clave |
|---|---|
| Firma digital S/MIME | Para configurar una configuración avanzada para una firma digital S/MIME, escriba las siguientes cadenas para la etiqueta seleccionada: - Clave: SMimeSign - Valor: true |
| Cifrado S/MIME | Para configurar una configuración avanzada para el cifrado S/MIME, escriba las siguientes cadenas para la etiqueta seleccionada: - Clave: SMimeEncrypt - Valor: true |
Cuando un usuario selecciona la etiqueta en Outlook, se aplican las opciones de S/MIME configuradas. Si la etiqueta también está configurada para el cifrado predeterminado de Rights Management que puede especificar en la portal de cumplimiento Microsoft Purview, la configuración de S/MIME reemplaza la protección de Rights Management solo en Outlook. Para las demás aplicaciones que admite el cliente de etiquetado unificado, el cliente sigue usando la configuración de cifrado especificada en el portal de cumplimiento.
Si desea que la etiqueta solo esté visible en Outlook, configure la opción No reenviar cifrado de Permitir que los usuarios asignen permisos.
Comandos de PowerShell de ejemplo, donde la etiqueta se denomina "Solo destinatarios":
Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeSign="True"}
Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeEncrypt="True"}
Especificación de una subetiqueta predeterminada para una etiqueta primaria
Esta configuración usa una configuración avanzada de etiqueta que debe configurar mediante Security & Compliance Center PowerShell.
Al agregar una subetiqueta a una etiqueta, los usuarios ya no pueden aplicar la etiqueta primaria a un documento o correo electrónico. De forma predeterminada, los usuarios seleccionan la etiqueta primaria para ver las subetiquetas que pueden aplicar y, a continuación, seleccionan una de esas subetiquetas. Si configura esta configuración avanzada, cuando los usuarios seleccionan la etiqueta primaria, se selecciona automáticamente una subetiqueta y se aplica a ellas:
Clave: DefaultSubLabelId
Valor: <subetiqueta GUID>
Comando de PowerShell de ejemplo, donde la etiqueta principal se denomina "Confidencial" y la subetiqueta "Todos los empleados" tiene un GUID de 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
Activar la clasificación para ejecutarse continuamente en segundo plano
Esta configuración usa una configuración avanzada de etiqueta que debe configurar mediante Security & Compliance Center PowerShell.
Al configurar esta opción, cambia el comportamiento predeterminado de cómo el cliente de etiquetado unificado de Azure Information Protection aplica etiquetas automáticas y recomendadas a los documentos:
Para Word, Excel y PowerPoint, la clasificación automática se ejecuta continuamente en segundo plano.
El comportamiento no cambia para Outlook.
Cuando el cliente de etiquetado unificado de Azure Information Protection comprueba periódicamente los documentos de las reglas de condición que especifique, este comportamiento permite la clasificación y protección automática y recomendada para los documentos de Office almacenados en SharePoint o OneDrive, siempre y cuando se active el guardado automático. Los archivos grandes también se guardaron más rápidamente porque las reglas de condición ya se han ejecutado.
Las reglas de condición no se ejecutan en tiempo real como tipos de usuario. En su lugar, se ejecutan periódicamente como una tarea en segundo plano si se modifica el documento.
Para configurar esta configuración avanzada, escriba las siguientes cadenas:
- Clave: RunPolicyInBackground
- Valor: true
Comando de PowerShell de ejemplo:
Set-LabelPolicy -Identity PolicyName -AdvancedSettings @{RunPolicyInBackground = "true"}
Nota:
Esta característica actualmente está en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Especificación de un color para la etiqueta
Esta configuración usa opciones avanzadas de etiqueta que debe configurar mediante Security & Compliance Center PowerShell.
Use esta configuración avanzada para establecer un color para una etiqueta. Para especificar el color, escriba un código triple hexadecimal para los componentes rojo, verde y azul (RGB) del color. Por ejemplo, #40e0d0 es el valor hexadecimal RGB para turquesa.
Si necesita una referencia para estos códigos, encontrará una tabla útil en la página de <colores> de la documentación web de MSDN. También encontrará estos códigos en muchas aplicaciones que le permiten editar imágenes. Por ejemplo, Microsoft Paint le permite elegir un color personalizado de una paleta y los valores RGB se muestran automáticamente, que después puede copiar.
Para configurar la configuración avanzada para el color de una etiqueta, escriba las siguientes cadenas para la etiqueta seleccionada:
Clave: color
Valor: <valor hexadecimal RGB>
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Pública":
Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}
Iniciar sesión como otro usuario
El inicio de sesión con varios usuarios no es compatible con AIP en producción. En este procedimiento se describe cómo iniciar sesión como un usuario diferente solo con fines de prueba.
Puede verificar con qué cuenta ha iniciado sesión utilizando el cuadro de diálogo Protección de la información de Microsoft Azure: Abra una aplicación de Office y, en la pestaña Inicio, seleccione el botón Confidencialidad y, a continuación, Ayuda y comentarios. El nombre de la cuenta se muestra en la sección Estado del cliente.
Asegúrese de comprobar también el nombre de dominio de la cuenta que ha iniciado sesión que se muestra. Puede ser fácil de perder que ha iniciado sesión con el nombre de cuenta correcto, pero un dominio incorrecto. Un síntoma del uso de la cuenta incorrecta incluye errores al descargar las etiquetas o no ver las etiquetas o el comportamiento que espera.
Para iniciar sesión como un usuario diferente:
Vaya a %localappdata%\Microsoft\MSIP y elimine el archivo TokenCache.
Reinicie las aplicaciones de Office abiertas e inicie sesión con su cuenta de usuario diferente. Si no ve un mensaje en la aplicación de Office para iniciar sesión en el servicio Azure Information Protection, vuelva al cuadro de diálogo Microsoft Azure Information Protection y seleccione Iniciar sesión en la sección Estado de cliente actualizado.
Además:
| Escenario | Descripción |
|---|---|
| Todavía ha iniciado sesión en la cuenta anterior | Si el cliente de etiquetado unificado de Azure Information Protection sigue iniciando sesión con la cuenta anterior después de completar estos pasos, elimine todas las cookies de Internet Explorer y repita los pasos 1 y 2. |
| Uso del inicio de sesión único | Si usa el inicio de sesión único, debe cerrar sesión en Windows e iniciar sesión con su cuenta de usuario diferente después de eliminar el archivo de token. El cliente de etiquetado unificado de Azure Information Protection se autentica automáticamente mediante la cuenta de usuario que ha iniciado sesión actualmente. |
| Diferentes inquilinos | Esta solución se admite para iniciar sesión como otro usuario del mismo inquilino. No se admite para iniciar sesión como otro usuario de otro inquilino. Para probar Azure Information Protection con varios inquilinos, use equipos diferentes. |
| Restablecer la configuración | Puede usar la opción Restablecer configuración de Ayuda y comentarios para cerrar la sesión y eliminar las etiquetas y la configuración de directiva descargadas actualmente de la portal de cumplimiento Microsoft Purview. |
Soporte para ordenadores desconectados
Importante
Los equipos desconectados son compatibles con los siguientes escenarios de etiquetado: Explorador de archivos, PowerShell, los aplicación de Office y el analizador.
De forma predeterminada, el cliente de etiquetado unificado de Azure Information Protection intenta conectarse automáticamente a Internet para descargar las etiquetas y la configuración de directiva de etiquetas de la portal de cumplimiento Microsoft Purview.
Si tiene equipos que no se pueden conectar a Internet durante un período de tiempo, puede exportar y copiar archivos que administran manualmente la directiva para el cliente de etiquetado unificado.
Para admitir equipos desconectados del cliente de etiquetado unificado:
Elija o cree una cuenta de usuario en el identificador de Entra de Microsoft que usará para descargar etiquetas y configuraciones de directiva que quiera usar en el equipo desconectado.
Como configuración de directiva de etiqueta adicional para esta cuenta, desactive el envío de datos de auditoría a análisis de Azure Information Protection.
Se recomienda este paso porque si el equipo desconectado tiene conectividad periódica a Internet, enviará información de registro al análisis de Azure Information Protection que incluye el nombre de usuario del paso 1. Esa cuenta de usuario puede ser diferente de la cuenta local que usa en el equipo desconectado.
Desde un equipo con conectividad a Internet con el cliente de etiquetado unificado instalado e iniciado sesión con la cuenta de usuario del paso 1, descargue las etiquetas y la configuración de directiva.
Desde este equipo, exporte los archivos de registro.
Por ejemplo, ejecute el cmdlet Export-AIPLogs o use la opción Exportar registros del cuadro de diálogo Ayuda y comentarios del cliente.
Los archivos de registro se exportan como un único archivo comprimido.
Abra el archivo comprimido y, desde la carpeta MSIP, copie los archivos que tengan una extensión de nombre de archivo .xml.
Pegue estos archivos en la carpeta %localappdata%\Microsoft\MSIP del equipo desconectado.
Si la cuenta de usuario elegida es aquella que normalmente se conecta a Internet, habilite de nuevo el envío de datos de auditoría estableciendo el valor EnableAudit en True.
Tenga en cuenta que si un usuario de este equipo selecciona la opción Restablecer Configuración de Ayuda y comentarios, esta acción elimina los archivos de directiva y representa al cliente inoperable hasta que reemplaza manualmente los archivos o el cliente se conecta a Internet y descarga los archivos.
Si el equipo desconectado ejecuta el analizador de Azure Information Protection, debe realizar pasos de configuración adicionales. Para obtener más información, vea Restricción: el servidor de escáner no puede tener conectividad a Internet desde las instrucciones de implementación del analizador.
Cambiar el nivel de registro local
De forma predeterminada, el cliente de etiquetado unificado de Azure Information Protection escribe archivos de registro de cliente en la carpeta %localappdata%\Microsoft\MSIP. Estos archivos están diseñados para solucionar problemas Soporte técnico de Microsoft.
Para cambiar el nivel de registro de estos archivos, busque el siguiente nombre de valor en el Registro y establezca los datos de valor en el nivel de registro necesario:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel
Establecer el nivel de registro a uno de los siguientes valores:
Desactivado: no hay registro local.
Error: solo errores.
Advertir: Errores y advertencias.
Información: registro mínimo, que no incluye identificadores de evento (la configuración predeterminada para el analizador).
Depurar: Información completa.
Seguimiento: registro detallado (la configuración predeterminada para los clientes).
Esta configuración del registro no cambia la información que se envía a Azure Information Protection para informes centrales.
Omitir o ignorar archivos durante los exámenes en función de los atributos de archivo
Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Security & Compliance Center PowerShell.
De forma predeterminada, el analizador de etiquetado unificado de Azure Information Protection examina todos los archivos pertinentes. Sin embargo, es posible que desee definir archivos específicos que se omitirán, como para archivos archivados o archivos que se han movido.
Habilite el analizador para omitir archivos específicos en función de sus atributos de archivo mediante la configuración avanzada ScannerFSAttributesToSkip . En el valor de configuración, enumere los atributos de archivo que permitirán omitir el archivo cuando todos estén establecidos en true. Esta lista de atributos de archivo usa la lógica AND.
Los siguientes comandos de PowerShell de ejemplo muestran cómo usar esta configuración avanzada con una etiqueta denominada "Global".
Omitir archivos que son de solo lectura y archivados
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}
Omitir archivos que son de solo lectura o archivados
Para usar una lógica OR, ejecute la misma propiedad varias veces. Por ejemplo:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}
Sugerencia
Se recomienda habilitar el analizador para omitir archivos con los atributos siguientes:
- FILE_ATTRIBUTE_SYSTEM
- FILE_ATTRIBUTE_HIDDEN
- FILE_ATTRIBUTE_DEVICE
- FILE_ATTRIBUTE_OFFLINE
- FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
- FILE_ATTRIBUTE_RECALL_ON_OPEN
- FILE_ATTRIBUTE_TEMPORARY
Para obtener una lista de todos los atributos de archivo que se pueden definir en la configuración avanzada ScannerFSAttributesToSkip, consulte las constantes de atributo de archivo Win32.
Conservar los propietarios NTFS durante el etiquetado (versión preliminar pública)
Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Security & Compliance Center PowerShell.
De forma predeterminada, el analizador, PowerShell y Explorador de archivos etiquetado de extensiones no conservan el propietario NTFS definido antes del etiquetado.
Para asegurarse de que se conserva el valor del propietario NTFS, establezca la configuración avanzada UseCopyAndPreserveNTFSOwner en true para la directiva de etiqueta seleccionada.
Precaución
Defina esta configuración avanzada solo cuando pueda garantizar una conexión de red confiable y de baja latencia entre el analizador y el repositorio examinado. Un error de red durante el proceso de etiquetado automático puede hacer que el archivo se pierda.
Comando de PowerShell de ejemplo, cuando la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}
Nota:
Esta característica actualmente está en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Personalización de textos de solicitud de justificación para etiquetas modificadas
Personalice las indicaciones de justificación que se muestran tanto en Office como en el cliente de AIP, cuando los usuarios finales cambien las etiquetas de clasificación en documentos y correos electrónicos.
Por ejemplo, como administrador, es posible que quiera recordar a los usuarios que no agreguen información de identificación de clientes en este campo:
Para modificar el texto predeterminado Other que se muestra, use la propiedad avanzada JustificationTextForUserText con el cmdlet Set-LabelPolicy. Establezca el valor en el texto que desea usar en su lugar.
Comando de PowerShell de ejemplo, cuando la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
Personalizar mensajes emergentes de Outlook
Los administradores de AIP pueden personalizar los mensajes emergentes que aparecen para los usuarios finales en Outlook, como:
- Mensajes para correos electrónicos bloqueados
- Mensajes de advertencia que solicitan a los usuarios que comprueben el contenido que envían
- Mensajes de justificación que solicitan a los usuarios que justifican el contenido que envían
Importante
Este procedimiento reemplazará cualquier configuración que ya tenga definida con la propiedad avanzada OutlookUnlabeledCollaborationAction.
En producción, se recomienda que evite cualquier complicación ya sea mediante el uso de la propiedad avanzada OutlookUnlabeledCollaborationAction para definir las reglas o mediante la definición de reglas complejas con un archivo json tal como se define a continuación, pero no con ambas opciones.
Para personalizar los mensajes emergentes de Outlook:
Cree archivos .json , cada uno con una regla que configure cómo Outlook muestra los mensajes emergentes a los usuarios. Para obtener más información, consulte Sintaxis .json de valor de regla y Código .json de personalización de elementos emergentes de ejemplo.
Use PowerShell para definir opciones avanzadas que controlan los mensajes emergentes que está configurando. Ejecute un conjunto independiente de comandos para cada regla que quiera configurar.
Cada conjunto de comandos de PowerShell debe incluir el nombre de la directiva que está configurando, así como la clave y el valor que define la regla.
Use la sintaxis siguiente:
$filedata = Get-Content "<Path to json file>" Set-LabelPolicy -Identity <Policy name> -AdvancedSettings @{<Key> ="$filedata"}Donde:
<Path to json file>es la ruta al archivo json que ha creado. Por ejemplo: C:\Users\msanchez\Desktop\ \dlp\OutlookCollaborationRule_1.json.<Policy name>es el nombre de la política que desea configurar.<Key>es un nombre para la regla. Use la sintaxis siguiente, donde <#> es el número de serie de la regla:OutlookCollaborationRule_<#>
Para obtener más información, vea Ordenar las reglas de personalización de Outlook y la sintaxis json de valor de regla.
Sugerencia
En el caso de organizaciones adicionales, asigne un nombre al archivo con la misma cadena que la clave usada en el comando de PowerShell. Por ejemplo, asigne un nombre al archivo OutlookCollaborationRule_1.json y, a continuación, use también OutlookCollaborationRule_1 como clave.
Para asegurarse de que los elementos emergentes se muestran incluso cuando los documentos se comparten desde fuera de Outlook (archivo > compartir > adjuntar copia), configure también la configuración avanzada PosponerMandatoryBeforeSave.
Ordenar las reglas de personalización de Outlook
AIP usa el número de serie en la clave que escriba para determinar el orden en el que se procesan las reglas. Al definir las claves usadas para cada regla, defina las reglas más restrictivas con números más bajos, seguidas de reglas menos restrictivas con números más altos.
Una vez que se encuentra una coincidencia de regla específica, AIP deja de procesar las reglas y realiza la acción asociada a la regla de coincidencia. (Primera coincidencia: lógica de salida>)
Ejemplo:
Supongamos que quiere configurar todos los correos electrónicos internos con un mensaje de advertencia específico, pero por lo general no quiere bloquearlos. Sin embargo, quiere impedir que los usuarios envíen datos adjuntos clasificados como secretos, incluso como correos electrónicos internos.
En este escenario, ordene su clave de regla Bloquear Secreto, que es la regla más específica, antes que su clave de regla más genérica Advertir en Interno:
- Para el mensaje Bloquear: OutlookCollaborationRule_1
- Para el mensaje Advertir: OutlookCollaborationRule_2
Sintaxis .json del valor de regla
Defina la sintaxis json de la regla de la siguiente manera:
"type" : "And",
"nodes" : []
Debe tener al menos dos nodos, la primera que representa la condición de la regla y la última que representa la acción de la regla. Para más información, vea:
Sintaxis de la condición de la regla
Los nodos de condición de regla deben incluir el tipo de nodo y, a continuación, las propias condiciones.
Los tipos de nodos admitidos son:
| Tipo de nodo | Descripción |
|---|---|
| Y | Realiza y en todos los nodos secundarios |
| O | Realiza o en todos los nodos secundarios |
| Not | No realiza para su propio elemento secundario |
| Except | No devuelve para su propio elemento secundario, lo que hace que se comporte como All |
| SentTo, seguido de Dominios: listOfDomains | Marque una de las siguientes opciones: - Si el elemento primario es Excepto, comprueba si todos los destinatarios están en uno de los dominios. - Si el elemento primario es algo más pero excepto, comprueba si alguno de los destinatarios está en uno de los dominios. |
| EMailLabel, seguido de etiqueta | Uno de los siguientes: - Identificador de la etiqueta. - NULL, si no está etiquetado |
| AttachmentLabel, seguido de Label y Extensiones admitidas | Uno de los siguientes: true: - Si el elemento primario es Excepto, comprueba si todos los datos adjuntos con una extensión admitida existen dentro de la etiqueta. - Si el elemento primario es algo más pero excepto, comprueba si cualquiera de los datos adjuntos con una extensión admitida existe dentro de la etiqueta. - Si no está etiquetado y label = null false: para todos los demás casos Nota: Si la propiedad Extensions está vacía o falta, todos los tipos de archivo admitidos (extensiones) se incluyen en la regla. |
Sintaxis de acción de regla
Las acciones de la regla pueden ser una de las siguientes:
| Action | Sintaxis | Mensaje de ejemplo |
|---|---|---|
| Bloquear | Block (List<language, [title, body]>) |
Correo electrónico bloqueado Está a punto de enviar contenido clasificado como secreto a uno o varios destinatarios que no son de confianza: rsinclair@contoso.comLa directiva de la organización no permite esta acción. Considere la posibilidad de quitar estos destinatarios o reemplazar el contenido. |
| Advertir | Warn (List<language,[title,body]>) |
¿Se requiere confirmación? Está a punto de enviar contenido clasificado como General a uno o varios destinatarios que no son de confianza: rsinclair@contoso.comLa directiva de la organización requiere confirmación para que envíe este contenido. |
| Justificar | Justify (numOfOptions, hasFreeTextOption, List<language, [Title, body, options1,options2….]> ) Incluye hasta tres opciones. |
Justificación requerida. La directiva de su organización requiere justificación para enviar contenido clasificado como General a destinatarios que no son de confianza. - Confirmo que los destinatarios están aprobados para compartir este contenido - Mi administrador ha aprobado el uso compartido de este contenido. - Otros, como se explica |
Parámetros de acción
Si no se proporciona ningún parámetro para una acción, los elementos emergentes tendrán el texto predeterminado.
Todos los textos admiten los siguientes parámetros dinámicos:
| Parámetro | Descripción |
|---|---|
${MatchedRecipientsList} |
La última coincidencia para las condiciones de SentTo |
${MatchedLabelName} |
Etiqueta de correo o datos adjuntos, con el nombre localizado de la directiva |
${MatchedAttachmentName} |
Nombre de los datos adjuntos de la última coincidencia para la condición AttachmentLabel |
Nota:
Todos los mensajes incluyen la opción Más información, así como los cuadros de diálogo Ayuda y comentarios.
El Idioma es el CultureName del nombre de la configuración regional, como por ejemplo: Inglés = ; en-usEspañol = es-es
También se admiten nombres de idioma solo primarios, como solo en.
Código .json de personalización emergente de ejemplo
Los siguientes conjuntos de código .json muestran cómo puede definir una variedad de reglas que controlan cómo Outlook muestra mensajes emergentes para los usuarios.
- Ejemplo 1: Bloquear correos electrónicos internos o datos adjuntos
- Ejemplo 2: Bloquear datos adjuntos de Office sin clasificar
- Ejemplo 3: Requerir al usuario que acepte el envío de un correo electrónico confidencial o datos adjuntos
- Ejemplo 4: Advertir al correo sin etiqueta y datos adjuntos con una etiqueta específica
- Ejemplo 5: Solicitar una justificación, con dos opciones predefinidas y una opción de texto libre adicional
Ejemplo 1: Bloquear correos electrónicos internos o datos adjuntos
El código .json siguiente bloqueará los correos electrónicos o los datos adjuntos que se clasifican como Internos de establecerse en destinatarios externos.
En este ejemplo, 89a453df-5df4-4976-8191-259d0cf9560a es el identificador de la etiqueta Internal y los dominios internos incluyen contoso.com y microsoft.com.
Dado que no se especifican extensiones específicas, se incluyen todos los tipos de archivo admitidos.
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"
},{
"type" : "EmailLabel",
"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"
}
]
},
{
"type" : "Block",
"LocalizationData": {
"en-us": {
"Title": "Email Blocked",
"Body": "The email or at least one of the attachments is classified as <Bold>${MatchedLabelName}</Bold>. Documents classified as <Bold> ${MatchedLabelName}</Bold> cannot be sent to external recipients (${MatchedRecipientsList}).<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance with classification requirements as per Contoso's policies."
},
"es-es": {
"Title": "Correo electrónico bloqueado",
"Body": "El correo electrónico o al menos uno de los archivos adjuntos se clasifica como <Bold> ${MatchedLabelName}</Bold>."
}
},
"DefaultLanguage": "en-us"
}
]
}
Ejemplo 2: Bloquear datos adjuntos de Office sin clasificar
El código .json siguiente impide que los datos adjuntos o correos electrónicos de Office no clasificados se envíen a destinatarios externos.
En el ejemplo siguiente, la lista de datos adjuntos que requiere etiquetado es: .doc,.docm,.docx,.dot,.dotm,.dotx,.potm,.potx,.pps,.ppsm,.ppsx,.ppt,.pptm,.pptx,.vdw,.vsd,.vsdm,.vsdx,.vss,.vssm,.vst,.vstm,.vssx,.vstx,.xls,.xlsb,.xlt,.xlsm,.xlsx,.xltm,.xltx
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : null,
"Extensions": [
".doc",
".docm",
".docx",
".dot",
".dotm",
".dotx",
".potm",
".potx",
".pps",
".ppsm",
".ppsx",
".ppt",
".pptm",
".pptx",
".vdw",
".vsd",
".vsdm",
".vsdx",
".vss",
".vssm",
".vst",
".vstm",
".vssx",
".vstx",
".xls",
".xlsb",
".xlt",
".xlsm",
".xlsx",
".xltm",
".xltx"
]
},{
"type" : "EmailLabel",
"LabelId" : null
}
]
},
{
"type" : "Block",
"LocalizationData": {
"en-us": {
"Title": "Emailed Blocked",
"Body": "Classification is necessary for attachments to be sent to external recipients.<br><br>List of attachments that are not classified:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br>For MS Office documents, classify and send again.<br><br>For PDF files, classify the document or classify the email (using the most restrictive classification level of any single attachment or the email content) and send again."
},
"es-es": {
"Title": "Correo electrónico bloqueado",
"Body": "La clasificación es necesaria para que los archivos adjuntos se envíen a destinatarios externos."
}
},
"DefaultLanguage": "en-us"
}
]
}
Ejemplo 3: Requerir al usuario que acepte el envío de un correo electrónico confidencial o datos adjuntos
En el ejemplo siguiente, Outlook muestra un mensaje que advierte al usuario de que envía un correo electrónico confidencial o datos adjuntos a destinatarios externos, y también requiere que el usuario seleccione Acepto.
Este tipo de mensaje de advertencia se considera técnicamente una justificación, ya que el usuario debe seleccionar Acepto.
Dado que no se especifican extensiones específicas, se incluyen todos los tipos de archivo admitidos.
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"
},{
"type" : "EmailLabel",
"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"
}
]
},
{
"type" : "Justify",
"LocalizationData": {
"en-us": {
"Title": "Warning",
"Body": "You are sending a document that is classified as <Bold>${MatchedLabelName}</Bold> to at least one external recipient. Please make sure that the content is correctly classified and that the recipients are entitled to receive this document.<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><Bold>List of external email addresses:</Bold><br>${MatchedRecipientsList})<br><br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br><Bold>Acknowledgement</Bold><br>By clicking <Bold>I accept</Bold> below, you confirm that the recipient is entitled to receive the content and the communication complies with CS Policies and Standards",
"Options": [
"I accept"
]
},
"es-es": {
"Title": "Advertencia",
"Body": "Está enviando un documento clasificado como <Bold>${MatchedLabelName}</Bold> a al menos un destinatario externo. Asegúrese de que el contenido esté correctamente clasificado y que los destinatarios tengan derecho a recibir este documento.",
"Options": [
"Acepto"
]
}
},
"HasFreeTextOption":"false",
"DefaultLanguage": "en-us"
}
]
}
Ejemplo 4: Advertir al correo sin etiqueta y datos adjuntos con una etiqueta específica
El siguiente código .json hace que Outlook avise al usuario cuando envía un correo electrónico interno no tiene ninguna etiqueta, con un archivo adjunto que tiene una etiqueta específica.
En este ejemplo, bcbef25a-c4db-446b-9496-1b558d9edd0e es el identificador de la etiqueta de los datos adjuntos y la regla se aplica a los archivos .docx, .xlsx y .pptx.
De forma predeterminada, los correos electrónicos que tienen datos adjuntos etiquetados no reciben automáticamente la misma etiqueta.
{
"type" : "And",
"nodes" : [
{
"type" : "EmailLabel",
"LabelId" : null
},
{
"type": "AttachmentLabel",
"LabelId": "bcbef25a-c4db-446b-9496-1b558d9edd0e",
"Extensions": [
".docx",
".xlsx",
".pptx"
]
},
{
"type" : "SentTo",
"Domains" : [
"contoso.com",
]
},
{
"type" : "Warn"
}
]
}
Ejemplo 5: Solicitar una justificación, con dos opciones predefinidas y una opción de texto libre adicional
El código .json siguiente hace que Outlook solicite al usuario una justificación para su acción. El texto de la justificación incluye dos opciones predefinidas, así como una tercera opción de texto libre.
Dado que no se especifican extensiones específicas, se incluyen todos los tipos de archivo admitidos.
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
]
}
},
{
"type" : "EmailLabel",
"LabelId" : "34b8beec-40df-4219-9dd4-553e1c8904c1"
},
{
"type" : "Justify",
"LocalizationData": {
"en-us": {
"Title": "Justification Required",
"Body": "Your organization policy requires justification for you to send content classified as <Bold> ${MatchedLabelName}</Bold>,to untrusted recipients:<br>Recipients are: ${MatchedRecipientsList}",
"Options": [
"I confirm the recipients are approved for sharing this content",
"My manager approved sharing of this content",
"Other, as explained"
]
},
"es-es": {
"Title": "Justificación necesaria",
"Body": "La política de su organización requiere una justificación para que envíe contenido clasificado como <Bold> ${MatchedLabelName}</Bold> a destinatarios que no sean de confianza.",
"Options": [
"Confirmo que los destinatarios están aprobados para compartir este contenido.",
"Mi gerente aprobó compartir este contenido",
"Otro, como se explicó"
]
}
},
"HasFreeTextOption":"true",
"DefaultLanguage": "en-us"
}
]
}
Configurar SharePoint
De forma predeterminada, el tiempo de espera de las interacciones de SharePoint es de dos minutos, después del cual se produce un error en la operación de AIP intentado.
A partir de la versión 2.8.85.0, los administradores de AIP pueden controlar este tiempo de espera mediante las siguientes propiedades avanzadas, mediante una sintaxis hh:mm:ss para definir los tiempos de espera:
SharepointWebRequestTimeout. Determina el tiempo de espera de todas las solicitudes web de AIP a SharePoint. Valor predeterminado: 2 minutos
Por ejemplo, si la directiva se denomina Global, el siguiente comando de PowerShell de ejemplo actualiza el tiempo de espera de la solicitud web a 5 minutos.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}SharepointFileWebRequestTimeout. Determina el tiempo de espera específicamente para los archivos de SharePoint a través de solicitudes web de AIP. Valor predeterminado: 15 minutos.
Por ejemplo, si la directiva se denomina Global, el siguiente comando de PowerShell de ejemplo actualiza el tiempo de espera de la solicitud web de archivo a 10 minutos.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
Evitar tiempos de espera del analizador en SharePoint
Si tiene rutas de acceso de archivo largas en sharePoint versión 2013 o posterior, asegúrese de que el valor httpRuntime.maxUrlLength del servidor de SharePoint sea mayor que los 260 caracteres predeterminados.
Este valor se define en la clase HttpRuntimeSection de la configuración ASP.NET.
Para actualizar la clase HttpRuntimeSection:
Realice una copia de seguridad de la configuración de web.config.
Actualice el valor maxUrlLength según sea necesario. Por ejemplo:
<httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000" />Reinicie el servidor web de SharePoint y compruebe que se carga correctamente.
Por ejemplo, en el Administrador de Servidores de Internet Information Server (IIS) de Windows, seleccione el sitio y, después, en Administrar sitio web, seleccione Reiniciar.
Evitar problemas de rendimiento de Outlook con correos electrónicos S/MIME
Los problemas de rendimiento pueden producirse en Outlook cuando los correos electrónicos S/MIME se abren en el panel de lectura. Para evitar estos problemas, habilite la propiedad avanzada OutlookSkipSmimeOnReadingPaneEnabled.
Al habilitar esta propiedad, se impide que la barra de AIP y las clasificaciones de correo electrónico se muestren en el panel de lectura.
Por ejemplo, si la directiva se denomina Global, el siguiente comando de PowerShell de ejemplo habilita la propiedad OutlookSkipSmimeOnReadingPaneEnabled:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookSkipSmimeOnReadingPaneEnabled="true"}
Desactivar las características de seguimiento de documentos
De forma predeterminada, las características de seguimiento de documentos están activadas para el inquilino. Para desactivarlos, como para los requisitos de privacidad de su organización o región, establezca el valor EnableTrackAndRevoke en False.
Una vez desactivado, los datos de seguimiento de documentos ya no estarán disponibles en su organización y los usuarios ya no verán la opción de menú Revocar en sus aplicación de Office.
Para la directiva de etiqueta seleccionada, especifique las siguientes cadenas:
Clave: EnableTrackAndRevoke
Valor = False
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableTrackAndRevoke="False"}
Después de establecer este valor en False, el seguimiento y la revocación se desactivan de la siguiente manera:
- Al abrir documentos protegidos con el cliente de etiquetado unificado de AIP, ya no se registran los documentos para realizar un seguimiento y revocarlos.
- Los usuarios finales ya no verán la opción de menú Revocar en sus aplicaciones de Office.
Sin embargo, los documentos protegidos que ya están registrados para el seguimiento seguirán siendo de seguimiento y los administradores todavía pueden revocar el acceso desde PowerShell. Para desactivar completamente las características de seguimiento y revocación, ejecute también el cmdlet Disable-AipServiceDocumentTrackingFeature.
Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Security & Compliance Center PowerShell.
Sugerencia
Para volver a activar el seguimiento y la revocación, establezca EnableTrackAndRevoke en True y ejecute también el cmdlet Enable-AipServiceDocumentTrackingFeature.
Desactivar la opción Revocar para los usuarios finales en aplicaciones de Office
Si no desea que los usuarios finales tengan la capacidad de revocar el acceso a los documentos protegidos de sus aplicaciones de Office, puede quitar la opción Revocar acceso de las aplicaciones de Office.
Nota:
Al quitar la opción Revocar acceso, se sigue realizando un seguimiento de los documentos protegidos en segundo plano y se conserva la capacidad del administrador de revocar el acceso a los documentos a través de PowerShell.
Para la directiva de etiqueta seleccionada, especifique las siguientes cadenas:
Clave: EnableRevokeGuiSupport
Valor = False
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}
Configurar el tiempo de espera de etiquetado automático en los archivos de Office
De forma predeterminada, el tiempo de espera de etiquetado automático del analizador en los archivos de Office es de 3 segundos.
Si tiene un archivo complejo de Excel con muchas hojas o filas, es posible que 3 segundos no sean suficientes para aplicar etiquetas automáticamente. Para aumentar este tiempo de espera para la directiva de etiqueta seleccionada, especifique las siguientes cadenas:
Clave: OfficeContentExtractionTimeout
Valor: Segundos, con el formato siguiente:
hh:mm:ss.
Importante
Se recomienda no aumentar este tiempo de espera a más de 15 segundos.
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}
El tiempo de espera actualizado se aplica a la etiqueta automática en todos los archivos de Office.
Activar las características de globalización de clasificación (versión preliminar pública)
Características de globalización de clasificación, incluida una mayor precisión para los idiomas asiáticos orientales y compatibilidad con caracteres de doble byte. Estas mejoras solo se proporcionan para procesos de 64 bits y están desactivadas de forma predeterminada.
Active estas características para la directiva y especifique las siguientes cadenas:
Clave: EnableGlobalization
Valor:
True
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}
Para desactivar la compatibilidad de nuevo y revertir al valor predeterminado, establezca la configuración avanzada EnableGlobalization en una cadena vacía.
Habilitación de la configuración de límites de datos
Después del compromiso de Microsoft con el límite de datos de la UE, los clientes de la UE del cliente de etiquetado unificado de Azure Information Protection pueden enviar sus datos a la UE para que se almacenen y procesen.
Active esta característica en el cliente de AIP cambiando esta clave del Registro que especifica la ubicación adecuada a la que se deben enviar los eventos:
- Clave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\DataBoundary (DWORD)
- Valores:
Default = 0North_America = 1European_Union = 2
Habilitación del explorador predeterminado del sistema para la autenticación
Use el explorador predeterminado del sistema para la autenticación en el cliente de AIP. De forma predeterminada, el cliente de AIP abrirá Microsoft Edge para la autenticación.
Active esta característica en el cliente de AIP habilitando esta clave del Registro:
- Clave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\MSALUseSytemDefaultBrowserAuth (DWORD)
- Valores:
Disabled = 0Enabled = 1
Pasos siguientes
Ahora que ha personalizado el cliente de etiquetado unificado de Azure Information Protection, consulte los siguientes recursos para obtener información adicional que puede necesitar para dar soporte a este cliente:
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de