Guide de l’administrateur : Configurations personnalisées pour le client d’étiquetage unifié Azure Information Protection
Notes
Recherchez-vous Microsoft Purview Information Protection, anciennement Microsoft Information Protection (MIP) ?
Le complément Azure Information Protection pour Office est désormais en mode maintenance et sera mis hors service en avril 2024. Au lieu de cela, nous vous recommandons d’utiliser des étiquettes intégrées à vos applications et services Office 365. En savoir plus sur la prise en charge status d’autres composants azure Information Protection.
Utilisez les informations suivantes pour les configurations avancées requises pour des scénarios ou des utilisateurs spécifiques lors de la gestion du client d’étiquetage unifié AIP.
Notes
Ces paramètres nécessitent la modification du Registre ou la spécification de paramètres avancés. Les paramètres avancés utilisent Le Centre de conformité de sécurité & PowerShell.
Configuration des paramètres avancés pour le client via PowerShell
Utilisez la portail de conformité Microsoft Purview PowerShell pour configurer des paramètres avancés pour la personnalisation des stratégies et des étiquettes d’étiquettes.
Dans les deux cas, après vous être connecté à PowerShell du Centre de conformité de la sécurité&, spécifiez le paramètre AdvancedSettings avec l’identité (nom ou GUID) de la stratégie ou de l’étiquette, avec des paires clé/valeur dans une table de hachage.
Pour supprimer un paramètre avancé, utilisez la même syntaxe de paramètre AdvancedSettings , mais spécifiez une valeur de chaîne null.
Important
N’utilisez pas d’espaces blancs dans vos valeurs de chaîne. Les chaînes blanches dans ces valeurs de chaîne empêchent l’application de vos étiquettes.
Pour plus d'informations, consultez les pages suivantes :
- Syntaxe des paramètres avancés de stratégie d’étiquette
- Syntaxe des paramètres avancés d’étiquette
- Vérification de vos paramètres avancés actuels
- Exemples de définition de paramètres avancés
- Spécification de la stratégie d’étiquette ou de l’identité d’étiquette
- Ordre de priorité : comment les paramètres en conflit sont résolus
- Références de paramètres avancés
Syntaxe des paramètres avancés de stratégie d’étiquette
Un exemple de paramètre avancé de stratégie d’étiquette est le paramètre permettant d’afficher la barre de Information Protection dans les applications Office.
Pour une valeur de chaîne unique, utilisez la syntaxe suivante :
Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key="value1,value2"}
Pour une valeur de chaîne multiple pour la même clé, utilisez la syntaxe suivante :
Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}
Syntaxe des paramètres avancés d’étiquette
Un exemple de paramètre avancé d’étiquette est le paramètre permettant de spécifier une couleur d’étiquette.
Pour une valeur de chaîne unique, utilisez la syntaxe suivante :
Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key="value1,value2"}
Pour une valeur de chaîne multiple pour la même clé, utilisez la syntaxe suivante :
Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}
Vérification de vos paramètres avancés actuels
Pour case activée les paramètres avancés actuels en vigueur, exécutez les commandes suivantes :
Pour case activée vos paramètres avancés de stratégie d’étiquette, utilisez la syntaxe suivante :
Pour une stratégie d’étiquette nommée Global :
(Get-LabelPolicy -Identity Global).settings
Pour case activée vos paramètres avancés d’étiquette, utilisez la syntaxe suivante :
Pour une étiquette nommée Public :
(Get-Label -Identity Public).settings
Exemples de définition de paramètres avancés
Exemple 1 : Définissez un paramètre avancé de stratégie d’étiquette pour une valeur de chaîne unique :
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
Exemple 2 : Définissez un paramètre avancé d’étiquette pour une valeur de chaîne unique :
Set-Label -Identity Internal -AdvancedSettings @{smimesign="true"}
Exemple 3 : Définir un paramètre avancé d’étiquette pour plusieurs valeurs de chaîne :
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}
Exemple 4 : Supprimez un paramètre avancé de stratégie d’étiquette en spécifiant une valeur de chaîne Null :
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions=""}
Spécification de la stratégie d’étiquette ou de l’identité d’étiquette
La recherche du nom de la stratégie d’étiquette pour le paramètre PowerShell Identity est simple, car il n’existe qu’un seul nom de stratégie dans le portail de conformité Microsoft Purview.
Toutefois, pour les étiquettes, le portail de conformité Microsoft Purview afficher les valeurs Nom et Nom d’affichage. Dans certains cas, ces valeurs sont les mêmes, mais elles peuvent être différentes. Pour configurer des paramètres avancés pour les étiquettes, utilisez la valeur Nom .
Par exemple, pour identifier l’étiquette dans l’image suivante, utilisez la syntaxe suivante dans votre commande PowerShell : -Identity "All Company"
Si vous préférez spécifier le GUID d’étiquette, cette valeur n’est pas affichée dans le portail de conformité Microsoft Purview. Utilisez la commande Get-Label pour rechercher cette valeur, comme suit :
Get-Label | Format-Table -Property DisplayName, Name, Guid
Pour plus d’informations sur l’étiquetage des noms et des noms complets :
Name est le nom d’origine de l’étiquette et il est unique sur toutes vos étiquettes.
Cette valeur reste la même même si vous avez modifié le nom de votre étiquette par la suite. Pour les étiquettes de confidentialité qui ont été migrées à partir d’Azure Information Protection, vous pouvez voir l’ID d’étiquette d’origine du Portail Azure.
Nom d’affichage est le nom actuellement affiché aux utilisateurs pour l’étiquette, et il n’a pas besoin d’être unique dans toutes vos étiquettes.
Par exemple, vous pouvez avoir un nom d’affichage Tous les employés pour une sous-étiquette sous l’étiquette Confidentiel , et un autre nom complet De tous les employés pour une sous-étiquette sous l’étiquette Hautement confidentiel . Ces sous-étiquettes affichent le même nom, mais ne sont pas la même étiquette et ont des paramètres différents.
Ordre de priorité : comment les paramètres en conflit sont résolus
Vous pouvez utiliser la portail de conformité Microsoft Purview pour configurer les paramètres de stratégie d’étiquette suivants :
Appliquer cette étiquette par défaut aux documents et aux e-mails
Les utilisateurs doivent fournir une justification pour supprimer une étiquette ou une étiquette de classification inférieure
Demander aux utilisateurs d’appliquer une étiquette à leur e-mail ou document
Fournir aux utilisateurs un lien vers une page d’aide personnalisée
Lorsque plusieurs stratégies d’étiquettes sont configurées pour un utilisateur, chacune avec des paramètres de stratégie potentiellement différents, le dernier paramètre de stratégie est appliqué selon l’ordre des stratégies dans le portail de conformité Microsoft Purview. Pour plus d’informations, consultez Priorité de la stratégie d’étiquette (questions de commande)
Les paramètres avancés de stratégie d’étiquette sont appliqués à l’aide de la même logique, à l’aide du dernier paramètre de stratégie.
Références de paramètres avancés
Les sections suivantes décrivent les paramètres avancés disponibles pour les stratégies et étiquettes d’étiquettes :
- Référence des paramètres avancés par fonctionnalité
- Référence des paramètres avancés de stratégie d’étiquette
- Référence des paramètres avancés d’étiquette
Référence des paramètres avancés par fonctionnalité
Les sections suivantes répertorient les paramètres avancés décrits sur cette page par intégration de produits et de fonctionnalités :
Référence des paramètres avancés de stratégie d’étiquette
Utilisez le paramètre AdvancedSettings avec New-LabelPolicy et Set-LabelPolicy pour définir les paramètres suivants :
Référence des paramètres avancés d’étiquette
Utilisez le paramètre AdvancedSettings avec New-Label et Set-Label.
| Paramètre | Scénario et instructions |
|---|---|
| color | Spécifier une couleur pour l’étiquette |
| customPropertiesByLabel | Appliquer une propriété personnalisée lors de l’application d’une étiquette |
| DefaultSubLabelId | Spécifier une sous-étiquette par défaut pour une étiquette parent |
| labelByCustomProperties | Migrer des étiquettes de Secure Islands et autres solutions d’étiquetage |
| SMimeEncrypt | Configurer une étiquette pour appliquer la protection S/MIME dans Outlook |
| SMimeSign | Configurer une étiquette pour appliquer la protection S/MIME dans Outlook |
Masquer l’option de menu Classifier et protéger dans l’Explorateur de fichiers Windows
Pour masquer l’option de menu Classifier et protéger dans le Explorateur de fichiers Windows, créez le nom de valeur DWORD suivant (avec toutes les données de valeur) :
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable
Pour plus d’informations, consultez Utilisation de Explorateur de fichiers pour classifier des fichiers.
Afficher la barre Information Protection dans les applications Office
Cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Par défaut, les utilisateurs doivent sélectionner l’option Afficher la barre dans le bouton Sensibilité pour afficher la barre Information Protection dans les applications Office. Utilisez la clé HideBarByDefault et définissez la valeur sur False pour afficher automatiquement cette barre pour les utilisateurs afin qu’ils puissent sélectionner des étiquettes à partir de la barre ou du bouton.
Pour la stratégie d’étiquette sélectionnée, spécifiez les chaînes suivantes :
Clé : HideBarByDefault
Valeur : False
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{HideBarByDefault="False"}
Exempter les messages Outlook de l’étiquetage obligatoire
Cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Par défaut, lorsque vous activez le paramètre de stratégie d’étiquette de Tous les documents et e-mails doivent avoir une étiquette, une étiquette doit être appliquée à tous les documents enregistrés et aux e-mails envoyés. Lorsque vous configurez le paramètre avancé suivant, le paramètre de stratégie s’applique uniquement aux documents Office et non aux messages Outlook.
Pour la stratégie d’étiquette sélectionnée, spécifiez les chaînes suivantes :
Clé : DisableMandatoryInOutlook
Valeur : True
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{DisableMandatoryInOutlook="True"}
Activer la classification recommandée dans Outlook
Cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Quand vous configurez une étiquette pour la classification recommandée, les utilisateurs sont invités à accepter ou ignorer l’étiquette recommandée dans Word, Excel et PowerPoint. Ce paramètre affiche également cette recommandation d’étiquette dans Outlook.
Pour la stratégie d’étiquette sélectionnée, spécifiez les chaînes suivantes :
Clé : OutlookRecommendationEnabled
Valeur : True
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookRecommendationEnabled="True"}
Activer la suppression de la protection des fichiers compressés
Cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Lorsque vous configurez ce paramètre, l’applet de commande PowerShellSet-AIPFileLabel est activée pour permettre la suppression de la protection des fichiers PST, rar et 7zip.
Clé : EnableContainerSupport
Valeur : True
Exemple de commande PowerShell dans laquelle votre stratégie est activée :
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}
Définir une autre étiquette par défaut pour Outlook
Cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Lorsque vous configurez ce paramètre, Outlook n’applique pas l’étiquette par défaut configurée en tant que paramètre de stratégie pour l’option Appliquer cette étiquette par défaut aux documents et aux e-mails. Au lieu de cela, Outlook peut appliquer une autre étiquette par défaut ou ne rien appliquer.
Pour la stratégie d’étiquette sélectionnée, spécifiez les chaînes suivantes :
Clé : OutlookDefaultLabel
Valeur : < GUID >d’étiquette ou Aucun
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookDefaultLabel="None"}
Modifier les types de fichiers à protéger
Ces configurations utilisent un paramètre avancé de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Par défaut, le client d’étiquetage unifié Azure Information Protection protège tous les types de fichiers, et le scanneur du client protège uniquement les types de fichiers Office et les fichiers PDF.
Vous pouvez modifier ce comportement par défaut pour une stratégie d’étiquette sélectionnée en spécifiant l’une des options suivantes :
PFileSupportedExtension
Clé : PFileSupportedExtensions
Valeur : <valeur de> chaîne
Utilisez le tableau suivant pour identifier la valeur de chaîne à spécifier :
| Valeur de chaîne | Client | Scanneur |
|---|---|---|
| * | Valeur par défaut : Appliquer la protection à tous les types de fichiers | Appliquer la protection à tous les types de fichiers |
| ConvertTo-Json(« .jpg », « .png ») | En plus des types de fichiers Office et des fichiers PDF, appliquez la protection aux extensions de nom de fichier spécifiées | En plus des types de fichiers Office et des fichiers PDF, appliquez la protection aux extensions de nom de fichier spécifiées |
Exemple 1 : commande PowerShell pour le scanneur afin de protéger tous les types de fichiers, où votre stratégie d’étiquette est nommée « Scanneur » :
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
Exemple 2 : commande PowerShell pour le scanneur afin de protéger .txt fichiers et fichiers .csv en plus des fichiers Office et PDF, où votre stratégie d’étiquette est nommée « Scanneur » :
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}
Avec ce paramètre, vous pouvez modifier les types de fichiers protégés, mais vous ne pouvez pas modifier le niveau de protection par défaut de natif à générique. Par exemple, pour les utilisateurs exécutant le client d’étiquetage unifié, vous pouvez modifier le paramètre par défaut afin que seuls les fichiers Office et les fichiers PDF soient protégés au lieu de tous les types de fichiers. Mais vous ne pouvez pas modifier ces types de fichiers pour qu’ils soient protégés de manière générique avec une extension de nom de fichier .pfile.
AdditionalPPrefixExtensions
Le client d’étiquetage unifié prend en charge la modification d’EXT<>. PFILE à P<EXT> à l’aide de la propriété avancée AdditionalPPrefixExtensions. Cette propriété avancée est prise en charge par le Explorateur de fichiers, PowerShell et par le scanneur. Toutes les applications ont un comportement similaire.
Clé : AdditionalPPrefixExtensions
Valeur : <valeur de> chaîne
Utilisez le tableau suivant pour identifier la valeur de chaîne à spécifier :
| Valeur de chaîne | Client et scanneur |
|---|---|
| * | Toutes les extensions PFile deviennent P<EXT> |
| <Valeur null> | La valeur par défaut se comporte comme la valeur de protection par défaut. |
| ConvertTo-Json(« .dwg », « .zip ») | En plus de la liste précédente, « .dwg » et « .zip » deviennent P<EXT> |
Avec ce paramètre, les extensions suivantes deviennent toujours P<EXT> : « .txt », « .xml », « .bmp », « .jt », « .jpg », « .jpeg », « .jpe », « .jif », « .jfif », « .jfif », « .jfi », « .png », « .tif », « .tiff », « .gif »). L’exclusion notable est que « ptxt » ne devient pas « txt.pfile ».
AdditionalPPrefixExtensions fonctionne uniquement si la protection des PFiles avec la propriété avancée PFileSupportedExtension est activée.
Exemple 1 : commande PowerShell pour se comporter comme le comportement par défaut où Protéger .dwg » devient . dwg.pfile » :
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}
Exemple 2 : commande PowerShell pour remplacer toutes les extensions PFile de la protection générique (dwg.pfile) à la protection native (.pdwg) lorsque les fichiers sont protégés :
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}
Exemple 3 : commande PowerShell pour remplacer .dwg » par .pdwg » lors de l’utilisation de ce service, protégez ce fichier :
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}
Supprimer « Pas maintenant » pour les documents quand vous utilisez l’étiquetage obligatoire
Cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Lorsque vous utilisez le paramètre de stratégie d’étiquette de Tous les documents et e-mails doivent avoir une étiquette, les utilisateurs sont invités à sélectionner une étiquette lorsqu’ils enregistrent un document Office pour la première fois et lorsqu’ils envoient un e-mail à partir d’Outlook.
Pour les documents, les utilisateurs peuvent sélectionner Pas maintenant pour ignorer temporairement l’invite à sélectionner une étiquette et revenir au document. En revanche, ils ne peuvent pas fermer le document enregistré sans l’étiqueter.
Lorsque vous configurez le paramètre PostponeMandatoryBeforeSave , l’option Pas maintenant est supprimée, de sorte que les utilisateurs doivent sélectionner une étiquette lors de la première enregistrement du document.
Conseil
Le paramètre PostponeMandatoryBeforeSave garantit également que les documents partagés sont étiquetés avant d’être envoyés par e-mail.
Par défaut, même si tous les documents et e-mails doivent avoir une étiquette activée dans votre stratégie, les utilisateurs sont uniquement promus pour étiqueter les fichiers joints aux e-mails à partir d’Outlook.
Pour la stratégie d’étiquette sélectionnée, spécifiez les chaînes suivantes :
Clé : PostponeMandatoryBeforeSave
Valeur : False
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{PostponeMandatoryBeforeSave="False"}
Supprimer les en-têtes et les pieds de page d’autres solutions d’étiquetage
Cette configuration utilise des paramètres avancés de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Il existe deux méthodes pour supprimer les classifications d’autres solutions d’étiquetage :
| Paramètre | Description |
|---|---|
| WordShapeNameToRemove | Supprime toute forme de Word documents où le nom de la forme correspond au nom tel que défini dans la propriété avancée WordShapeNameToRemove. Pour plus d’informations, consultez Utiliser la propriété avancée WordShapeNameToRemove. |
| RemoveExternalContentMarkingInApp ExternalContentMarkingToRemove |
Vous permet de supprimer ou de remplacer des en-têtes ou des pieds de page basés sur du texte de documents Word, Excel et PowerPoint. Pour plus d'informations, consultez les pages suivantes : - Utiliser la propriété avancée RemoveExternalContentMarkingInApp - Comment configurer ExternalContentMarkingToRemove. |
Utiliser la propriété avancée WordShapeNameToRemove
La propriété avancée WordShapeNameToRemove est prise en charge à partir des versions 2.6.101.0 et ultérieures
Ce paramètre vous permet de supprimer ou de remplacer des étiquettes basées sur des formes de Word documents lorsque ces marquages visuels ont été appliqués par une autre solution d’étiquetage. Par exemple, la forme contient le nom d’une ancienne étiquette que vous avez migrée vers des étiquettes de confidentialité pour utiliser un nouveau nom d’étiquette et sa propre forme.
Pour utiliser cette propriété avancée, vous devez rechercher le nom de la forme dans le document Word, puis le définir dans la liste des propriétés avancées WordShapeNameToRemove des formes. Le service supprime toute forme dans Word qui commence par un nom défini dans la liste des formes de cette propriété avancée.
Évitez de supprimer des formes qui contiennent le texte que vous souhaitez ignorer, en définissant le nom de toutes les formes à supprimer et en évitant de vérifier le texte dans toutes les formes, ce qui est un processus gourmand en ressources.
Notes
Dans Microsoft Word, les formes peuvent être supprimées soit en définissant le nom des formes, soit par son texte, mais pas les deux. Si la propriété WordShapeNameToRemove est définie, toutes les configurations définies par la valeur ExternalContentMarkingToRemove sont ignorées.
Pour rechercher le nom de la forme que vous utilisez et que vous souhaitez exclure :
Dans Word, affichez le volet Sélection : onglet >AccueilGroupe d’édition>Sélectionner l’option>Volet Sélection.
Sélectionnez la forme sur la page que vous souhaitez marquer pour suppression. Le nom de la forme que vous marquez est maintenant mis en surbrillance dans le volet Sélection .
Utilisez le nom de la forme pour spécifier une valeur de chaîne pour la clé WordShapeNameToRemove .
Exemple : le nom de la forme est dc. Pour supprimer la forme portant ce nom, spécifiez la valeur : dc.
Clé : WordShapeNameToRemove
Valeur : <Word nom de forme>
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{WordShapeNameToRemove="dc"}
Lorsque vous avez plusieurs Word forme à supprimer, spécifiez autant de valeurs que de formes à supprimer.
Utiliser la propriété avancée RemoveExternalContentMarkingInApp
Ce paramètre vous permet de supprimer ou de remplacer des en-têtes ou des pieds de page textuels de documents lorsque ces marquages visuels ont été appliqués par une autre solution d’étiquetage. Par exemple, l’ancien pied de page contient le nom d’une ancienne étiquette que vous avez migrée vers des étiquettes de confidentialité pour utiliser un nouveau nom d’étiquette et son propre pied de page.
Lorsque le client d’étiquetage unifié obtient cette configuration dans sa stratégie, les anciens en-têtes et pieds de page sont supprimés ou remplacés lorsque le document est ouvert dans l’application Office et que toute étiquette de confidentialité est appliquée au document.
Cette configuration n’est pas prise en charge pour Outlook. Sachez également que quand vous l’utilisez avec Word, Excel et PowerPoint, elle peut affecter négativement les performances de ces applications pour les utilisateurs. La configuration vous permet de définir des paramètres par application, par exemple, rechercher du texte dans les en-têtes et les pieds de page des documents Word, mais pas dans les feuilles de calcul Excel ni dans les présentations PowerPoint.
Étant donné que la correspondance de modèle affecte les performances des utilisateurs, nous vous recommandons de limiter les types d’applications Office (Word, EXcel, PowerPoint) uniquement à ceux qui doivent faire l’objet d’une recherche. Pour la stratégie d’étiquette sélectionnée, spécifiez les chaînes suivantes :
Clé : RemoveExternalContentMarkingInApp
Valeur : <types d’application Office WXP>
Exemples :
Pour rechercher dans des documents Word uniquement, spécifiez W.
Pour rechercher dans des documents Word et des présentations PowerPoint, spécifiez WP.
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInApp="WX"}
Ensuite, vous avez besoin d’au moins un paramètre client avancé de plus, ExternalContentMarkingToRemove, pour spécifier le contenu de l’en-tête ou du pied de page et comment les supprimer ou les remplacer.
Comment configurer ExternalContentMarkingToRemove
Lorsque vous spécifiez la valeur de chaîne pour la clé ExternalContentMarkingToRemove, vous disposez de trois options qui utilisent des expressions régulières. Pour chacun de ces scénarios, utilisez la syntaxe indiquée dans la colonne Exemple de valeur du tableau suivant :
| Option | Exemple de description | Valeur d'exemple |
|---|---|---|
| Correspondance partielle pour supprimer tout ce qui se trouve dans l’en-tête ou le pied de page | Vos en-têtes ou pieds de page contiennent la chaîne TEXT TO REMOVE, et vous souhaitez supprimer complètement ces en-têtes ou pieds de page. | *TEXT* |
| Correspondance complète pour supprimer uniquement des mots spécifiques dans l’en-tête ou le pied de page | Vos en-têtes ou pieds de page contiennent la chaîne TEXT TO REMOVE et vous souhaitez supprimer le mot TEXTE uniquement, en laissant la chaîne d’en-tête ou de pied de page TO REMOVE. | TEXT |
| Correspondance complète pour supprimer tout ce qui se trouve dans l’en-tête ou le pied de page | Vos en-têtes ou pieds de page ont la chaîne TEXT TO REMOVE. Vous voulez supprimer les en-têtes ou les pieds de page qui ont exactement cette chaîne. | ^TEXT TO REMOVE$ |
Les caractères génériques de la chaîne que vous spécifiez sont sensibles à la casse. La longueur maximale de chaîne est de 255 caractères et ne peut pas inclure d’espaces blancs.
Étant donné que des documents peuvent contenir des caractères invisibles ou différents types d’espaces ou des tabulations, la chaîne que vous spécifiez pour une expression ou une phrase peut ne pas être détectée. Si possible, spécifiez un seul mot distinctif pour la valeur et veillez à tester les résultats avant de procéder au déploiement en production.
Pour la même stratégie d’étiquette, spécifiez les chaînes suivantes :
Clé : ExternalContentMarkingToRemove
Valeur : <chaîne à mettre en correspondance, définie comme expression régulière>
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*TEXT*"}
Pour plus d'informations, consultez les pages suivantes :
En-têtes ou pieds de page multilignes
Si un texte d’en-tête ou de pied de page prend plus d’une ligne, créez une clé et une valeur pour chaque ligne. Par exemple, si vous avez le pied de page suivant avec deux lignes :
Le fichier est classé confidentiel
Étiquette appliquée manuellement
Pour supprimer ce pied de page multiligne, vous créez les deux entrées suivantes pour la même stratégie d’étiquette :
- Clé : ExternalContentMarkingToRemove
- Valeur de clé 1 : *Confidentiel*
- Valeur de clé 2 : *Étiquette appliquée*
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove=ConvertTo-Json("Confidential","Label applied")}
Optimisation pour PowerPoint
Les en-têtes et pieds de page dans PowerPoint sont implémentés sous forme de formes. Pour les types de formes msoTextBox, msoTextEffect, msoPlaceholder et msoAutoShape , les paramètres avancés suivants fournissent des optimisations supplémentaires :
En outre, PowerPointRemoveAllShapesByShapeName peut supprimer n’importe quel type de forme, en fonction du nom de la forme.
Évitez de supprimer des formes de PowerPoint qui contiennent du texte spécifié et qui ne sont pas des en-têtes/pieds de page
Pour éviter de supprimer des formes qui contiennent le texte que vous avez spécifié, mais qui ne sont pas des en-têtes ou des pieds de page, utilisez un paramètre client avancé supplémentaire nommé PowerPointShapeNameToRemove.
Nous recommandons également d’utiliser ce paramètre pour éviter de vérifier le texte dans toutes les formes, qui est un processus gourmand en ressources.
Si vous ne spécifiez pas ce paramètre client avancé supplémentaire et si PowerPoint est inclus dans la valeur de la clé RemoveExternalContentMarkingInApp, toutes les formes sont vérifiées à la recherche du texte que vous spécifiez dans la valeur ExternalContentMarkingToRemove.
Si cette valeur est spécifiée, seules les formes qui répondent aux critères de nom de forme et qui ont également du texte correspondant à la chaîne fournie avec ExternalContentMarkingToRemove seront supprimées.
Par exemple :
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
Étendre la suppression du marquage externe aux dispositions personnalisées
Cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Par défaut, la logique utilisée pour supprimer les marquages de contenu externe ignore les dispositions personnalisées configurées dans PowerPoint. Pour étendre cette logique aux dispositions personnalisées, définissez la propriété avancée RemoveExternalMarkingFromCustomLayouts sur True.
Clé : RemoveExternalMarkingFromCustomLayouts
Valeur : True
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
Supprimer toutes les formes d’un nom de forme spécifique
Si vous utilisez des dispositions personnalisées PowerPoint et que vous souhaitez supprimer toutes les formes d’un nom de forme spécifique de vos en-têtes et pieds de page, utilisez le paramètre avancé PowerPointRemoveAllShapesByShapeName , avec le nom de la forme à supprimer.
L’utilisation du paramètre PowerPointRemoveAllShapesByShapeName ignore le texte à l’intérieur de vos formes et utilise plutôt le nom de la forme pour identifier les formes que vous souhaitez supprimer.
Par exemple :
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointRemoveAllShapesByShapeName="Arrow: Right"}
Pour plus d'informations, consultez les pages suivantes :
- Recherchez le nom de la forme que vous utilisez comme en-tête ou pied de page
- Supprimer le marquage de contenu externe des dispositions personnalisées dans PowerPoint
Recherchez le nom de la forme que vous utilisez comme en-tête ou pied de page
Dans PowerPoint, affichez le volet Sélection : Onglet> Format Organiser levolet Sélection du groupe>.
Sélectionnez la forme sur la diapositive qui contient votre en-tête ou votre pied de page. Le nom de la forme sélectionnée est maintenant en surbrillance dans le volet Sélection.
Utilisez le nom de la forme afin de spécifier une valeur de chaîne pour la clé PowerPointShapeNameToRemove.
Exemple : Le nom de la forme est fc. Pour supprimer la forme portant ce nom, spécifiez la valeur : fc.
Clé : PowerPointShapeNameToRemove
Valeur : <nom de forme PowerPoint>
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
Lorsque vous avez plusieurs formes PowerPoint à supprimer, spécifiez autant de valeurs que de formes à supprimer.
Par défaut, seuls les en-têtes et les pieds de page qui se trouvent dans les diapositives principales sont recherchés. Pour étendre cette recherche à toutes les diapositives, processus beaucoup plus gourmand en ressources, utilisez un paramètre client avancé supplémentaire nommé RemoveExternalContentMarkingInAllSlides:
Clé : RemoveExternalContentMarkingInAllSlides
Valeur : True
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInAllSlides="True"}
Supprimer le marquage de contenu externe des dispositions personnalisées dans PowerPoint
Cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Par défaut, la logique utilisée pour supprimer les marquages de contenu externe ignore les dispositions personnalisées configurées dans PowerPoint. Pour étendre cette logique aux dispositions personnalisées, définissez la propriété avancée RemoveExternalMarkingFromCustomLayouts sur True.
Clé : RemoveExternalMarkingFromCustomLayouts
Valeur : True
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
Désactiver les autorisations personnalisées dans Explorateur de fichiers
Cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Par défaut, les utilisateurs voient une option nommée Protéger avec des autorisations personnalisées lorsqu’ils cliquent avec le bouton droit dans Explorateur de fichiers et choisissent Classifier et protéger. Cette option leur permet de définir leurs propres paramètres de protection qui peuvent remplacer tous les paramètres de protection que vous avez pu inclure dans une configuration d’étiquette. Les utilisateurs peuvent voir également une option pour supprimer la protection. Lorsque vous configurez ce paramètre, les utilisateurs ne voient pas ces options.
Pour configurer ce paramètre avancé, entrez les chaînes suivantes pour la stratégie d’étiquette sélectionnée :
Clé : EnableCustomPermissions
Valeur : False
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
Pour les fichiers protégés avec des autorisations personnalisées, toujours afficher des autorisations personnalisées aux utilisateurs dans l’Explorateur de fichiers
Cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Lorsque vous configurez le paramètre client avancé pour désactiver les autorisations personnalisées dans Explorateur de fichiers, par défaut, les utilisateurs ne peuvent pas voir ou modifier les autorisations personnalisées déjà définies dans un document protégé.
Toutefois, il existe un autre paramètre client avancé que vous pouvez spécifier afin que dans ce scénario, les utilisateurs puissent voir et modifier les autorisations personnalisées pour un document protégé lorsqu’ils utilisent Explorateur de fichiers et qu’ils cliquent avec le bouton droit sur le fichier.
Pour configurer ce paramètre avancé, entrez les chaînes suivantes pour la stratégie d’étiquette sélectionnée :
Clé : EnableCustomPermissionsForCustomProtectedFiles
Valeur : True
Exemple de commande PowerShell :
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}
Pour les e-mails avec des pièces jointes, appliquez une étiquette qui correspond à la classification la plus élevée de ces pièces jointes
Cette configuration utilise des paramètres avancés de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Ce paramètre s’adresse aux utilisateurs qui joignent des documents étiquetés à un e-mail et ne étiquetent pas le message électronique lui-même. Dans ce scénario, une étiquette est automatiquement sélectionnée pour eux, en fonction des étiquettes de classification appliquées aux pièces jointes. L’étiquette de classification la plus élevée est sélectionnée.
La pièce jointe doit être un fichier physique et ne peut pas être un lien vers un fichier (par exemple, un lien vers un fichier sur Microsoft SharePoint ou OneDrive).
Vous pouvez configurer ce paramètre sur Recommandé, afin que les utilisateurs soient invités à appliquer l’étiquette sélectionnée à leur message électronique. Les utilisateurs peuvent ensuite accepter la recommandation ou l’ignorer sans appliquer l’étiquette. Vous pouvez également configurer ce paramètre sur Automatique, où l’étiquette sélectionnée est automatiquement appliquée, mais les utilisateurs peuvent supprimer l’étiquette ou sélectionner une autre étiquette avant d’envoyer l’e-mail. Les deux scénarios prennent en charge un message personnalisé.
Notes
Lorsque la pièce jointe avec l’étiquette de classification la plus élevée est configurée pour la protection avec le paramètre d’autorisations définies par l’utilisateur :
- Lorsque les autorisations définies par l’utilisateur de l’étiquette incluent Outlook (Ne pas transférer), cette étiquette est sélectionnée et la protection Ne pas transférer est appliquée à l’e-mail.
- Lorsque les autorisations définies par l’utilisateur de l’étiquette concernent uniquement Word, Excel, PowerPoint et Explorateur de fichiers, cette étiquette n’est pas appliquée au message électronique et la protection n’est pas non plus appliquée.
Pour configurer ce paramètre avancé, entrez les chaînes suivantes pour la stratégie d’étiquette sélectionnée :
Clé 1 : AttachmentAction
Valeur de clé 1 : recommandé ou automatique
Clé 2 (facultative) : AttachmentActionTip
Valeur de clé 2 : «< info-bulle> personnalisée »
L’info-bulle personnalisée facultative prend en charge une seule langue. Si ce paramètre n’est pas spécifié, les messages suivants s’affichent pour les utilisateurs :
- Message recommandé : il est recommandé d’étiqueter cet e-mail comme nom> d’étiquette <
- Message automatique : cet e-mail a été automatiquement étiqueté comme <nom> d’étiquette
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{AttachmentAction="Automatic"}
Ajouter « Signaler un problème » pour les utilisateurs
Cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Quand vous spécifiez le paramètre client avancé suivant, les utilisateurs voient une option Signaler un problème qu’ils peuvent sélectionner dans la boîte de dialogue Aide et commentaires du client. Spécifiez une chaîne HTTP pour le lien. (par exemple, une page web personnalisée permettant aux utilisateurs de signaler des problèmes, ou une adresse e-mail qui pointe vers votre support technique).
Pour configurer ce paramètre avancé, entrez les chaînes suivantes pour la stratégie d’étiquette sélectionnée :
Clé : ReportAnIssueLink
Valeur : <chaîne> HTTP
Exemple de valeur pour un site web : https://support.contoso.com
Exemple de valeur pour une adresse e-mail : mailto:helpdesk@contoso.com
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}
Implémenter des messages contextuels dans Outlook qui avertissent, demandent une justification ou bloquent l’envoi des e-mails
Cette configuration utilise des paramètres avancés de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Quand vous créez et que vous configurez les paramètres client avancés suivants, les utilisateurs voient des messages contextuels dans Outlook qui peuvent les avertir avant d’envoyer un e-mail, leur demander de justifier la raison pour laquelle ils envoient un e-mail ou les empêcher d’envoyer un e-mail pour un des scénarios suivants :
Leur e-mail ou la pièce jointe à leur e-mail a une étiquette spécifique :
- La pièce jointe peut être n’importe quel type de fichier
Leur e-mail ou leur pièce jointe à l’e-mail n’a pas d’étiquette :
- La pièce jointe peut être un document Office ou un document PDF
Lorsque ces conditions sont remplies, l’utilisateur voit un message contextuel avec l’une des actions suivantes :
| Type | Description |
|---|---|
| Avertir | L’utilisateur peut confirmer et envoyer, ou bien annuler. |
| Justifier | L’utilisateur est invité à fournir une justification (options prédéfinies ou en forme libre) et l’utilisateur peut ensuite envoyer ou annuler l’e-mail. Le texte de justification est écrit dans l’en-tête x de l’e-mail, afin qu’il puisse être lu par d’autres systèmes, tels que les services de protection contre la perte de données (DLP). |
| Bloquer | L’utilisateur ne peut pas envoyer l’e-mail tant que la condition perdure. Le message contient la raison du blocage de l’e-mail pour que l’utilisateur puisse résoudre le problème, par exemple supprimer des destinataires spécifiques ou appliquer une étiquette à l’e-mail. |
Lorsque les messages contextuels concernent une étiquette spécifique, vous pouvez configurer des exceptions pour les destinataires par nom de domaine.
Pour obtenir un exemple de procédure pas à pas sur la configuration de ces paramètres, consultez le blog de la communauté technique Personnalisation des messages contextuels Outlook pour le client UL AIP .
Conseil
Pour vous assurer que les fenêtres contextuelles s’affichent même lorsque les documents sont partagés à partir de l’extérieur d’Outlook (File > Share > Joindre une copie), configurez également le paramètre avancé PostponeMandatoryBeforeSave .
Pour plus d'informations, consultez les pages suivantes :
- Pour implémenter les messages contextuels d’avertissement, de justification ou de blocage pour des étiquettes spécifiques
- Pour implémenter les messages d’avertissement, de justification ou de blocage des messages contextuels pour les e-mails ou les pièces jointes qui n’ont pas d’étiquette
Pour implémenter les messages contextuels d’avertissement, de justification ou de blocage pour des étiquettes spécifiques
Pour la stratégie sélectionnée, créez un ou plusieurs des paramètres avancés suivants avec les clés suivantes. Pour les valeurs, spécifiez une ou plusieurs étiquettes par leurs GUID, chacune séparée par une virgule.
Exemple de valeur pour plusieurs GUID d’étiquettes en tant que chaîne séparée par des virgules :
dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
| type de message | Clé/valeur |
|---|---|
| Avertir | Clé : OutlookWarnUntrustedCollaborationLabel Valeur : <GUID d’étiquette, séparés par des virgules> |
| Justifier | Clé : OutlookJustifyUntrustedCollaborationLabel Valeur : <GUID d’étiquette, séparés par des virgules> |
| Bloquer | Clé : OutlookBlockUntrustedCollaborationLabel Valeur : <GUID d’étiquette, séparés par des virgules> |
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e,b6d21387-5d34-4dc8-90ae-049453cec5cf,bb48a6cb-44a8-49c3-9102-2d2b017dcead,74591a94-1e0e-4b5d-b947-62b70fc0f53a,6c375a97-2b9b-4ccd-9c5b-e24e4fd67f73"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyUntrustedCollaborationLabel="dc284177-b2ac-4c96-8d78-e3e1e960318f,d8bb73c3-399d-41c2-a08a-6f0642766e31,750e87d4-0e91-4367-be44-c9c24c9103b4,32133e19-ccbd-4ff1-9254-3a6464bf89fd,74348570-5f32-4df9-8a6b-e6259b74085b,3e8d34df-e004-45b5-ae3d-efdc4731df24"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockUntrustedCollaborationLabel="0eb351a6-0c2d-4c1d-a5f6-caa80c9bdeec,40e82af6-5dad-45ea-9c6a-6fe6d4f1626b"}
Pour plus de personnalisation, vous pouvez également exempter les noms de domaine pour les messages contextuels configurés pour des étiquettes spécifiques.
Notes
Les paramètres avancés de cette section (OutlookWarnUntrustedCollaborationLabel, OutlookJustifyUntrustedCollaborationLabel et OutlookBlockUntrustedCollaborationLabel) sont utilisés lorsqu’une étiquette spécifique est utilisée.
Pour implémenter des messages contextuels par défaut pour le contenu non enlabré , utilisez le paramètre avancé OutlookUnlabeledCollaborationAction . Pour personnaliser vos messages contextuels pour le contenu non étiqueté, utilisez un fichier .json pour définir vos paramètres avancés.
Pour plus d’informations, consultez Personnaliser les messages contextuels Outlook.
Conseil
Pour vous assurer que vos messages de blocage sont affichés en fonction des besoins, même pour un destinataire situé dans une liste de distribution Outlook, veillez à ajouter le paramètre avancé EnableOutlookDistributionListExpansion .
Pour exempter les noms de domaine pour les messages contextuels configurés pour des étiquettes spécifiques
Pour les étiquettes que vous avez spécifiées avec ces messages contextuels, vous pouvez exempter les noms de domaine spécifiques afin que les utilisateurs ne voient pas les messages des destinataires qui ont ce nom de domaine inclus dans leur adresse e-mail. Dans ce cas, les e-mails sont envoyés sans qu’un message interrompe le processus. Pour spécifier plusieurs domaines, ajoutez-les sous la forme d’une seule chaîne, en les séparant par des virgules.
Une configuration typique consiste à afficher les messages contextuels seulement pour les destinataires qui sont externes à votre organisation ou qui ne sont pas des partenaires autorisés de votre organisation. Dans ce cas, vous spécifiez tous les domaines de messagerie utilisés par votre organisation et par vos partenaires.
Pour la même stratégie d’étiquette, créez les paramètres client avancés suivants et, pour la valeur, spécifiez un ou plusieurs domaines, chacun séparé par une virgule.
Exemple de valeur pour plusieurs domaines sous forme de chaîne séparée par des virgules : contoso.com,fabrikam.com,litware.com
| type de message | Clé/valeur |
|---|---|
| Avertir | Clé : OutlookWarnTrustedDomains Valeur : <noms de domaine, séparés par des virgules> |
| Justifier | Clé : OutlookJustifyTrustedDomains Valeur : <noms de domaine, séparés par des virgules> |
| Bloquer | Clé : OutlookBlockTrustedDomains Valeur : <noms de domaine, séparés par des virgules> |
Par exemple, supposons que vous avez spécifié le paramètre client avancé OutlookBlockUntrustedCollaborationLabel pour l’étiquette Confidentiel \ Tous les employés .
Vous spécifiez maintenant le paramètre client avancé supplémentaire d’OutlookBlockTrustedDomains avec contoso.com. Par conséquent, un utilisateur peut envoyer un e-mail à john@sales.contoso.com lorsqu’il est étiqueté Confidentiel \ Tous les employés, mais il ne peut pas envoyer un e-mail avec la même étiquette à un compte Gmail.
Exemples de commandes PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockTrustedDomains="contoso.com"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyTrustedDomains="contoso.com,fabrikam.com,litware.com"}
Notes
Pour vous assurer que vos messages de blocage sont affichés en fonction des besoins, même pour un destinataire situé dans une liste de distribution Outlook, veillez à ajouter le paramètre avancé EnableOutlookDistributionListExpansion .
Pour implémenter l’avertissement, justifier ou bloquer les messages contextuels pour les e-mails ou les pièces jointes qui n’ont pas d’étiquette
Pour la même stratégie d’étiquette, créez le paramètre client avancé suivant avec l’une des valeurs suivantes :
| type de message | Clé/Valeur |
|---|---|
| Avertir | Clé : OutlookUnlabeledCollaborationAction Valeur : Avertir |
| Justifier | Clé : OutlookUnlabeledCollaborationAction Valeur : Justifier |
| Bloquer | Clé : OutlookUnlabeledCollaborationAction Valeur : Bloquer |
| Désactiver ces messages | Clé : OutlookUnlabeledCollaborationAction Valeur : Désactivé |
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Warn"}
Pour plus de personnalisation, consultez :
- Pour définir des extensions de nom de fichier spécifiques pour les messages contextuels d’avertissement, de justification ou de blocage pour les pièces jointes qui n’ont pas d’étiquette
- Pour spécifier une action différente pour les messages électroniques sans pièces jointes
- Personnaliser les messages contextuels Outlook
Pour définir des extensions de nom de fichier spécifiques pour les messages contextuels d’avertissement, de justification ou de blocage pour les pièces jointes qui n’ont pas d’étiquette
Par défaut, les messages contextuels d’avertissement, de justification ou de blocage s’appliquent à tous les documents Office et documents PDF. Vous pouvez affiner cette liste en spécifiant les extensions de nom de fichier qui doivent afficher les messages d’avertissement, de justification ou de blocage avec un paramètre avancé supplémentaire et une liste d’extensions de nom de fichier séparées par des virgules.
Exemple de valeur pour plusieurs extensions de nom de fichier à définir en tant que chaîne séparée par des virgules : .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM
Dans cet exemple, un document PDF sans étiquette n’entraîne pas d’avertissement, de justification ou de blocage des messages contextuels.
Pour la même stratégie d’étiquette, entrez les chaînes suivantes :
Clé : OutlookOverrideUnlabeledCollaborationExtensions
Valeur : <extensions de nom de fichier pour afficher les messages, séparées par des virgules>
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.PPT,.PPTX,.PPTM"}
Pour spécifier une action différente pour les messages électroniques sans pièces jointes
Par défaut, la valeur que vous spécifiez pour OutlookUnlabeledCollaborationAction pour avertir, justifier ou bloquer les messages contextuels s’applique aux e-mails ou pièces jointes qui n’ont pas d’étiquette.
Vous pouvez affiner cette configuration en spécifiant un autre paramètre avancé pour les messages électroniques qui n’ont pas de pièces jointes.
Créez le paramètre client avancé suivant avec une des valeurs suivantes :
| type de message | Clé/Valeur |
|---|---|
| Avertir | Clé : OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Valeur : Avertir |
| Justifier | Clé : OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Valeur : Justifier |
| Bloquer | Clé : OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Valeur : Bloquer |
| Désactiver ces messages | Clé : OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Valeur : Désactivé |
Si vous ne spécifiez pas ce paramètre client, la valeur que vous spécifiez pour OutlookUnlabeledCollaborationAction est utilisée pour les messages électroniques sans étiquette sans pièces jointes, ainsi que pour les messages électroniques sans étiquette avec pièces jointes.
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior="Warn"}
Développer les listes de distribution Outlook lors de la recherche de destinataires d’e-mail
Cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Pour étendre la prise en charge d’autres paramètres avancés aux destinataires dans les listes de distribution Outlook, définissez le paramètre avancé EnableOutlookDistributionListExpansion sur true.
- Clé : EnableOutlookDistributionListExpansion
- Valeur : true
Par exemple, si vous avez configuré les paramètres avancés OutlookBlockTrustedDomains, OutlookBlockUntrustedCollaborationLabel , puis configurez également le paramètre EnableOutlookDistributionListExpansion , Outlook est activé pour développer la liste de distribution pour s’assurer qu’un message de blocage s’affiche en fonction des besoins.
Le délai d’expiration par défaut pour développer la liste de distribution est de 2 000 millisecondes.
Pour modifier ce délai d’expiration, créez le paramètre avancé suivant pour la stratégie sélectionnée :
- Clé : OutlookGetEmailAddressesTimeOutMSProperty
- Valeur : Entier, en millisecondes
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{
EnableOutlookDistributionListExpansion="true"
OutlookGetEmailAddressesTimeOutMSProperty="3000"
}
Empêcher l’envoi de données d’audit à AIP et à Microsoft 365 Analytics
Par défaut, le client d’étiquetage unifié Azure Information Protection prend en charge la création de rapports centralisées et envoie ses données d’audit à :
- Azure Information Protection Analytics, si vous avez configuré un espace de travail Log Analytics
- Microsoft 365, où vous pouvez les afficher dans le Explorer d’activité
Pour modifier ce comportement afin que les données d’audit ne soient pas envoyées, procédez comme suit :
Ajoutez le paramètre avancé de stratégie suivant à l’aide du Centre de conformité de sécurité & PowerShell :
Clé : EnableAudit
Valeur : False
Par exemple, si votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}Notes
Par défaut, ce paramètre avancé n’est pas présent dans la stratégie et les journaux d’audit sont envoyés.
Dans toutes les machines clientes Azure Information Protection, supprimez le dossier suivant : %localappdata%\Microsoft\MSIP\mip
Pour permettre au client d’envoyer à nouveau des données de journal d’audit, remplacez la valeur du paramètre avancé par True. Vous n’avez pas besoin de créer manuellement le dossier %localappdata%\Microsoft\MSIP\mip sur vos ordinateurs clients.
Envoyer des correspondances de type d’informations à Azure Information Protection Analytics
Cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Par défaut, le client d’étiquetage unifié n’envoie pas de correspondances de contenu pour les types d’informations sensibles à Azure Information Protection Analytics. Pour plus d’informations sur ces informations supplémentaires qui peuvent être envoyées, consultez la section Correspondances de contenu pour une analyse plus approfondie de la documentation de création de rapports centralisée.
Pour envoyer des correspondances de contenu lorsque des types d’informations sensibles sont envoyés, créez le paramètre client avancé suivant dans une stratégie d’étiquette :
Clé : LogMatchedContent
Valeur : True
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}
Limiter la consommation du processeur
À partir de la version 2.7.x.x du scanneur, nous vous recommandons de limiter la consommation du processeur à l’aide des paramètres avancés ScannerMaxCPU et ScannerMinCPU suivants.
Important
Lorsque la stratégie de limitation de thread suivante est en cours d’utilisation, les paramètres avancés ScannerMaxCPU et ScannerMinCPU sont ignorés. Pour limiter la consommation du processeur à l’aide des paramètres avancés ScannerMaxCPU et ScannerMinCPU , annulez l’utilisation de stratégies qui limitent le nombre de threads.
Cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Pour limiter la consommation du processeur sur l’ordinateur scanneur, il est gérable en créant deux paramètres avancés :
ScannerMaxCPU :
Défini sur 100 par défaut, ce qui signifie qu’il n’existe aucune limite de consommation maximale du processeur. Dans ce cas, le processus d’analyse essaiera d’utiliser tout le temps processeur disponible pour optimiser vos taux d’analyse.
Si vous définissez ScannerMaxCPU sur moins de 100, le scanneur surveille la consommation du processeur au cours des 30 dernières minutes. Si le processeur moyen a dépassé la limite que vous avez définie, il commence à réduire le nombre de threads alloués pour les nouveaux fichiers.
La limite du nombre de threads continue tant que la consommation du processeur est supérieure à la limite définie pour ScannerMaxCPU.
ScannerMinCPU :
Activé uniquement si ScannerMaxCPU n’est pas égal à 100 et ne peut pas être défini sur un nombre supérieur à la valeur ScannerMaxCPU . Nous vous recommandons de conserver scannerMinCPU défini au moins 15 points inférieur à la valeur de ScannerMaxCPU.
Défini sur 50 par défaut, ce qui signifie que si la consommation du processeur au cours des 30 dernières minutes est inférieure à cette valeur, le scanneur commence à ajouter de nouveaux threads pour analyser davantage de fichiers en parallèle, jusqu’à ce que la consommation du processeur atteigne le niveau que vous avez défini pour ScannerMaxCPU-15.
Limiter le nombre de threads utilisés par le scanneur
Important
Lorsque la stratégie de limitation de thread suivante est en cours d’utilisation, les paramètres avancés ScannerMaxCPU et ScannerMinCPU sont ignorés. Pour limiter la consommation du processeur à l’aide des paramètres avancés ScannerMaxCPU et ScannerMinCPU , annulez l’utilisation de stratégies qui limitent le nombre de threads.
Cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Par défaut, le scanneur utilise toutes les ressources du processeur disponibles sur l’ordinateur exécutant le service du scanneur. Si vous devez limiter la consommation du processeur pendant l’analyse de ce service, créez le paramètre avancé suivant dans une stratégie d’étiquette.
Pour la valeur, spécifiez le nombre de threads simultanés que le scanneur peut exécuter en parallèle. Comme le scanneur utilise un thread distinct pour chaque fichier qu’il analyse, cette configuration de limitation définit donc le nombre de fichiers pouvant être analysés en parallèle.
Lorsque vous configurez tout d’abord la valeur pour le test, nous vous recommandons de spécifier 2 par cœur, puis de surveiller les résultats. Par exemple, si vous exécutez le scanneur sur un ordinateur disposant de 4 cœurs, définissez tout d’abord la valeur 8. Si nécessaire, augmentez ou diminuez ce nombre, selon les performances qui vous sont nécessaires pour l’ordinateur du scanneur et votre fréquence d’analyse.
Clé : ScannerConcurrencyLevel
Valeur : <nombre de threads simultanés>
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Scanneur » :
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}
Migrer des étiquettes de Secure Islands et d’autres solutions d’étiquetage
Cette configuration utilise un paramètre avancé d’étiquette que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Cette configuration n’est pas compatible avec les fichiers PDF protégés qui ont une extension de nom de fichier .ppdf. Ces fichiers ne peuvent pas être ouverts par le client à l’aide de Explorateur de fichiers ou de PowerShell.
Pour les documents Office étiquetés par Secure Islands, vous pouvez réétiqueter ces documents avec une étiquette de confidentialité à l’aide d’un mappage que vous définissez. Cette méthode permet également de réutiliser les étiquettes d’autres solutions qui se trouvent sur des documents Office.
Grâce à cette option de configuration, la nouvelle étiquette de confidentialité est appliquée par le client d’étiquetage unifié Azure Information Protection comme suit :
Pour les documents Office : lorsque le document est ouvert dans l’application de bureau, la nouvelle étiquette de confidentialité s’affiche comme définie et est appliquée lors de l’enregistrement du document.
Pour PowerShell : Set-AIPFileLabel et Set-AIPFileClassificiation peuvent appliquer la nouvelle étiquette de confidentialité.
Pour Explorateur de fichiers : dans la boîte de dialogue Azure Information Protection, la nouvelle étiquette de confidentialité s’affiche, mais n’est pas définie.
Cette configuration vous oblige à spécifier un paramètre avancé nommé labelByCustomProperties pour chaque étiquette de confidentialité que vous souhaitez mapper à l’ancienne étiquette. Ensuite, définissez la valeur à utiliserpour chaque entrée avec la syntaxe suivante :
[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]
Spécifiez votre choix d’un nom de règle de migration. Utilisez un nom descriptif qui vous permet d’identifier la façon dont une ou plusieurs étiquettes de votre solution d’étiquetage précédente doivent être mappées à l’étiquette de confidentialité.
Notez que ce paramètre ne supprime pas l’étiquette d’origine du document ni les marquages visuels du document que l’étiquette d’origine a éventuellement appliqués. Pour supprimer des en-têtes et des pieds de page, consultez Supprimer les en-têtes et pieds de page d’autres solutions d’étiquetage.
Exemples :
- Exemple 1 : mappage du même nom d’étiquette
- Exemple 2 : un mappage pour un autre nom d’étiquette
- Exemple 3 : mappage de plusieurs noms d’étiquettes en un
- Exemple 4 : Plusieurs règles pour la même étiquette
Pour plus de personnalisation, consultez :
- Étendre vos règles de migration d’étiquettes aux e-mails
- Étendre vos règles de migration d’étiquettes aux propriétés SharePoint
Notes
Si vous migrez à partir de vos étiquettes entre locataires, par exemple après une fusion d’entreprise, nous vous recommandons de lire notre billet de blog sur les fusions et les spinoffs pour plus d’informations.
Exemple 1 : mappage du même nom d’étiquette
Condition requise : Les documents dont l’étiquette « Confidentiel » est « Confidentiel » doivent être réétiquetés par Azure Information Protection.
Dans cet exemple :
- L’étiquette Secure Islands s’appelle Confidentiel et est stockée dans la propriété personnalisée nommée Classification.
Le paramètre avancé :
Clé : labelByCustomProperties
Valeur : l’étiquette Secure Islands est Confidentiel,Classification,Confidentiel
Exemple de commande PowerShell, où votre étiquette est nommée « Confidentiel » :
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Confidential,Classification,Confidential"}
Exemple 2 : un mappage pour un autre nom d’étiquette
Condition requise : Les documents étiquetés comme « Sensibles » par Secure Islands doivent être réétiquetés comme « Hautement confidentiels » par Azure Information Protection.
Dans cet exemple :
- L’étiquette Secure Islands s’appelle Sensible et est stockée dans la propriété personnalisée nommée Classification.
Le paramètre avancé :
Clé : labelByCustomProperties
Valeur : L’étiquette Secure Islands est Sensible,Classification,Sensible
Exemple de commande PowerShell, où votre étiquette est nommée « Hautement confidentiel » :
Set-Label -Identity "Highly Confidential" -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Sensitive,Classification,Sensitive"}
Exemple 3 : mappage de plusieurs noms d’étiquettes en un
Condition requise : vous avez deux étiquettes Secure Islands qui incluent le mot « Interne » et vous souhaitez que les documents qui ont l’une de ces étiquettes Secure Islands soient réétiquetés comme « Général » par le client d’étiquetage unifié Azure Information Protection.
Dans cet exemple :
- Les étiquettes Secure Islands incluent le mot Interne et sont stockées dans la propriété personnalisée nommée Classification.
Le paramètre client avancé :
Clé : labelByCustomProperties
Valeur : l’étiquette Secure Islands contient Internal,Classification,.*Internal.*
Exemple de commande PowerShell, où votre étiquette est nommée « Général » :
Set-Label -Identity General -AdvancedSettings @{labelByCustomProperties="Secure Islands label contains Internal,Classification,.*Internal.*"}
Exemple 4 : Plusieurs règles pour la même étiquette
Lorsque vous avez besoin de plusieurs règles pour la même étiquette, définissez plusieurs valeurs de chaîne pour la même clé.
Dans cet exemple, les étiquettes Secure Islands nommées « Confidentiel » et « Secret » sont stockées dans la propriété personnalisée nommée Classification, et vous souhaitez que le client d’étiquetage unifié Azure Information Protection applique l’étiquette de confidentialité nommée « Confidentiel » :
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}
Étendre vos règles de migration d’étiquettes aux e-mails
Vous pouvez utiliser la configuration que vous avez définie avec le paramètre avancé labelByCustomProperties pour les e-mails Outlook, en plus des documents Office, en spécifiant un paramètre avancé de stratégie d’étiquette supplémentaire.
Toutefois, ce paramètre a un impact négatif connu sur les performances d’Outlook. Par conséquent, configurez ce paramètre supplémentaire uniquement lorsque vous avez des besoins métier forts et n’oubliez pas de le définir sur une valeur de chaîne null lorsque vous avez terminé la migration à partir de l’autre solution d’étiquetage.
Pour configurer ce paramètre avancé, entrez les chaînes suivantes pour la stratégie d’étiquette sélectionnée :
Clé : EnableLabelByMailHeader
Valeur : True
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelByMailHeader="True"}
Étendre vos règles de migration d’étiquettes aux propriétés SharePoint
Vous pouvez utiliser la configuration que vous avez définie avec le paramètre avancé labelByCustomProperties pour les propriétés SharePoint que vous pouvez exposer en tant que colonnes aux utilisateurs en spécifiant un paramètre avancé de stratégie d’étiquette supplémentaire.
Ce paramètre est pris en charge lorsque vous utilisez Word, Excel et PowerPoint.
Pour configurer ce paramètre avancé, entrez les chaînes suivantes pour la stratégie d’étiquette sélectionnée :
Clé : EnableLabelBySharePointProperties
Valeur : True
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelBySharePointProperties="True"}
Appliquer une propriété personnalisée lorsqu’une étiquette est appliquée
Cette configuration utilise un paramètre avancé d’étiquette que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Il peut arriver que vous souhaitiez appliquer une ou plusieurs propriétés personnalisées à un document ou à un message électronique en plus des métadonnées appliquées par une étiquette de confidentialité.
Par exemple :
Vous êtes en train de migrer à partir d’une autre solution d’étiquetage, telle que Secure Islands. Pour l’interopérabilité pendant la migration, vous souhaitez que les étiquettes de confidentialité appliquent également une propriété personnalisée utilisée par l’autre solution d’étiquetage.
Pour votre système de gestion de contenu (tel que SharePoint ou une solution de gestion de documents d’un autre fournisseur), vous souhaitez utiliser un nom de propriété personnalisé cohérent avec des valeurs différentes pour les étiquettes et des noms conviviaux au lieu du GUID d’étiquette.
Pour les documents Office et les e-mails Outlook étiquetés par les utilisateurs à l’aide du client d’étiquetage unifié Azure Information Protection, vous pouvez ajouter une ou plusieurs propriétés personnalisées que vous définissez. Vous pouvez également utiliser cette méthode pour le client d’étiquetage unifié afin d’afficher une propriété personnalisée en tant qu’étiquette à partir d’autres solutions pour le contenu qui n’est pas encore étiqueté par le client d’étiquetage unifié.
Grâce à cette option de configuration, toutes les propriétés personnalisées supplémentaires sont appliquées par le client d’étiquetage unifié Azure Information Protection comme suit :
| Environnement | Description |
|---|---|
| Documents Office | Lorsque le document est étiqueté dans l’application de bureau, les propriétés personnalisées supplémentaires sont appliquées lors de l’enregistrement du document. |
| E-mails Outlook | Lorsque l’e-mail est étiqueté dans Outlook, les propriétés supplémentaires sont appliquées à l’en-tête x lors de l’envoi de l’e-mail. |
| PowerShell | Set-AIPFileLabel et Set-AIPFileClassificiation appliquent les propriétés personnalisées supplémentaires lorsque le document est étiqueté et enregistré. Get-AIPFileStatus affiche les propriétés personnalisées en tant qu’étiquette mappée si aucune étiquette de confidentialité n’est appliquée. |
| Explorateur de fichiers | Lorsque l’utilisateur clique avec le bouton droit sur le fichier et applique l’étiquette, les propriétés personnalisées sont appliquées. |
Pour cette configuration, vous devez spécifier un paramètre avancé nommé customPropertiesByLabel pour chaque étiquette de confidentialité que vous souhaitez appliquer aux propriétés personnalisées supplémentaires. Ensuite, définissez la valeur à utiliserpour chaque entrée avec la syntaxe suivante :
[custom property name],[custom property value]
Important
L’utilisation d’espaces blancs dans la chaîne empêche l’application des étiquettes.
Par exemple :
- Exemple 1 : Ajouter une seule propriété personnalisée pour une étiquette
- Exemple 2 : Ajouter plusieurs propriétés personnalisées pour une étiquette
Exemple 1 : Ajouter une seule propriété personnalisée pour une étiquette
Condition requise : Les documents étiquetés comme « Confidentiels » par le client d’étiquetage unifié Azure Information Protection doivent avoir la propriété personnalisée supplémentaire nommée « Classification » avec la valeur « Secret ».
Dans cet exemple :
- L’étiquette de confidentialité est nommée Confidentiel et crée une propriété personnalisée nommée Classification avec la valeur Secret.
Le paramètre avancé :
Clé : customPropertiesByLabel
Valeur : Classification,Secret
Exemple de commande PowerShell, où votre étiquette est nommée « Confidentiel » :
Set-Label -Identity Confidential -AdvancedSettings @{customPropertiesByLabel="Classification,Secret"}
Exemple 2 : Ajouter plusieurs propriétés personnalisées pour une étiquette
Pour ajouter plusieurs propriétés personnalisées pour la même étiquette, vous devez définir plusieurs valeurs de chaîne pour la même clé.
Exemple de commande PowerShell, où votre étiquette est nommée « Général » et vous souhaitez ajouter une propriété personnalisée nommée Classification avec la valeur Général et une deuxième propriété personnalisée nommée Sensitivity avec la valeur Interne :
Set-Label -Identity General -AdvancedSettings @{customPropertiesByLabel=ConvertTo-Json("Classification,General", "Sensitivity,Internal")}
Configurer une étiquette pour appliquer la protection S/MIME dans Outlook
Cette configuration utilise des paramètres avancés d’étiquette que vous devez configurer à l’aide de PowerShell du Centre de conformité de la sécurité & .
Utilisez ces paramètres uniquement lorsque vous avez un déploiement S/MIME opérationnel et que vous souhaitez qu’une étiquette applique automatiquement cette méthode de protection pour les e-mails plutôt que la protection Rights Management à partir d’Azure Information Protection. La protection qui en résulte est la même que lorsque l’utilisateur sélectionne manuellement les options S/MIME dans Outlook.
| Configuration | Clé/Valeur |
|---|---|
| Signature numérique S/MIME | Pour configurer un paramètre avancé pour une signature numérique S/MIME, entrez les chaînes suivantes pour l’étiquette sélectionnée : - Clé : SMimeSign - Valeur : True |
| Chiffrement S/MIME | Pour configurer un paramètre avancé pour le chiffrement S/MIME, entrez les chaînes suivantes pour l’étiquette sélectionnée : - Clé : SMimeEncrypt - Valeur : True |
Lorsqu’un utilisateur sélectionne l’étiquette dans Outlook, vos paramètres S/MIME configurés sont appliqués. Si l’étiquette est également configurée pour le chiffrement Rights Management par défaut que vous pouvez spécifier dans le portail de conformité Microsoft Purview, vos paramètres S/MIME remplacent la protection Rights Management uniquement dans Outlook. Pour les autres applications que le client d’étiquetage unifié prend en charge, le client continue d’utiliser les paramètres de chiffrement spécifiés dans le portail de conformité.
Si vous souhaitez que l’étiquette soit visible uniquement dans Outlook, configurez l’option Ne pas transférer le chiffrement dans Autoriser les utilisateurs à attribuer des autorisations.
Exemples de commandes PowerShell, où votre étiquette est nommée « Destinataires uniquement » :
Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeSign="True"}
Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeEncrypt="True"}
Spécifier une sous-étiquette par défaut pour une étiquette parent
Cette configuration utilise un paramètre avancé d’étiquette que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Lorsque vous ajoutez une sous-étiquette à une étiquette, les utilisateurs ne peuvent plus appliquer l’étiquette parente à un document ou à un e-mail. Par défaut, les utilisateurs sélectionnent l’étiquette parente pour afficher les sous-étiquettes qu’ils peuvent appliquer, puis sélectionnent l’une de ces sous-étiquettes. Si vous configurez ce paramètre avancé, lorsque les utilisateurs sélectionnent l’étiquette parente, une sous-étiquette est automatiquement sélectionnée et appliquée pour eux :
Clé : DefaultSubLabelId
Valeur : <GUID> de sous-étiquette
Exemple de commande PowerShell, où votre étiquette parente est nommée « Confidentiel » et la sous-étiquette « Tous les employés » a un GUID de 8faca7b8-8d20-48a3-8ea2-0f96310a848e :
Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
Activer la classification pour qu’elle s’exécute en continu en arrière-plan
Cette configuration utilise un paramètre avancé d’étiquette que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Lorsque vous configurez ce paramètre, il modifie le comportement par défaut de la façon dont le client d’étiquetage unifié Azure Information Protection applique des étiquettes automatiques et recommandées aux documents :
Pour Word, Excel et PowerPoint, la classification automatique s’exécute en continu en arrière-plan.
Le comportement ne change pas pour Outlook.
Lorsque le client d’étiquetage unifié Azure Information Protection recherche régulièrement dans les documents les règles de condition que vous spécifiez, ce comportement active la classification et la protection automatiques et recommandées pour les documents Office stockés dans SharePoint ou OneDrive, tant que l’enregistrement automatique est activé. Les fichiers volumineux sont également enregistrés plus rapidement, car les règles de condition ont déjà été exécutées.
Les règles des conditions ne s’exécutent pas en temps réel pendant la saisie de l’utilisateur. Elles s’exécutent plutôt à intervalles réguliers sous la forme d’une tâche en arrière-plan si le document est modifié.
Pour configurer ce paramètre avancé, entrez les chaînes suivantes :
- Clé : RunPolicyInBackground
- Valeur : True
Exemple de commande PowerShell :
Set-LabelPolicy -Identity PolicyName -AdvancedSettings @{RunPolicyInBackground = "true"}
Notes
Cette fonctionnalité est actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Spécifier une couleur pour l’étiquette
Cette configuration utilise des paramètres avancés d’étiquette que vous devez configurer à l’aide de PowerShell du Centre de conformité de la sécurité & .
Utilisez ce paramètre avancé pour définir une couleur pour une étiquette. Pour spécifier la couleur, entrez un code triplet hexadécimal pour les composants rouge, vert et bleu (RVB) de la couleur. Par exemple, #40e0d0 est la valeur hexadécimale RVB pour turquoise.
Si vous avez besoin d’une référence pour ces codes, vous trouverez un tableau utile dans la <page de couleurs> des documents web MSDN. Vous trouverez également ces codes dans de nombreuses applications qui vous permettent de modifier des images. Par exemple, Microsoft Paint vous permet de choisir une couleur personnalisée dans une palette et de copier les valeurs RVB qui sont automatiquement affichées.
Pour configurer le paramètre avancé pour la couleur d’une étiquette, entrez les chaînes suivantes pour l’étiquette sélectionnée :
Clé : couleur
Valeur : <valeur hexadécimale> RVB
Exemple de commande PowerShell, où votre étiquette est nommée « Public » :
Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}
Se connecter avec l’identité d’un autre utilisateur
La connexion avec plusieurs utilisateurs n’est pas prise en charge par AIP en production. Cette procédure décrit comment se connecter en tant qu’utilisateur différent à des fins de test uniquement.
Vous pouvez vérifier le compte sous lequel vous êtes actuellement connecté à l’aide de la boîte de dialogue Microsoft Azure Information Protection : Ouvrez une application Office et, sous l’onglet Accueil, sélectionnez le bouton Confidentialité, puis sélectionnez Aide et commentaires. Votre nom de votre compte s’affiche dans la section État du client.
Pensez à vérifier le nom de domaine du compte connecté. En effet, vous pouvez accidentellement vous connecter avec le bon nom de compte, mais avec le mauvais domaine. Un symptôme de l’utilisation d’un compte incorrect inclut l’échec du téléchargement des étiquettes, ou le fait de ne pas voir les étiquettes ou le comportement que vous attendez.
Pour vous connecter en tant qu’utilisateur différent :
Accédez à %localappdata%\Microsoft\MSIP et supprimez le fichier TokenCache.
Redémarrez les applications Office ouvertes et connectez-vous avec votre autre compte d’utilisateur. Si vous ne voyez pas d’invite dans votre application Office pour vous connecter au service Azure Information Protection, revenez à la boîte de dialogue Microsoft Azure Information Protection et sélectionnez Se connecter dans la section status client mise à jour.
De plus :
| Scénario | Description |
|---|---|
| Toujours connecté à l’ancien compte | Si le client d’étiquetage unifié Azure Information Protection est toujours connecté avec l’ancien compte après avoir effectué ces étapes, supprimez tous les cookies d’Internet Explorer, puis répétez les étapes 1 et 2. |
| Utilisation de l’authentification unique | Si vous utilisez l’authentification unique, vous devrez vous déconnecter de Windows et vous reconnecter avec votre autre compte d’utilisateur après avoir supprimé le fichier de jeton. Azure Information Protection client d’étiquetage unifié s’authentifie alors automatiquement à l’aide de votre compte d’utilisateur actuellement connecté. |
| Différents locataires | Cette solution prend en charge la connexion sous un nom d’utilisateur différent à partir du même locataire. Elle ne prend en pas charge la connexion sous un nom d’utilisateur différent à partir d’un autre locataire. Pour tester Azure Information Protection avec plusieurs locataires, utilisez des ordinateurs différents. |
| Réinitialiser les paramètres | Vous pouvez utiliser l’option Réinitialiser les paramètres de l’aide et des commentaires pour vous déconnecter et supprimer les étiquettes et les paramètres de stratégie actuellement téléchargés du portail de conformité Microsoft Purview. |
Prise en charge des ordinateurs déconnectés
Important
Les ordinateurs déconnectés sont pris en charge pour les scénarios d’étiquetage suivants : Explorateur de fichiers, PowerShell, vos applications Office et le scanneur.
Par défaut, le client d’étiquetage unifié Azure Information Protection tente automatiquement de se connecter à Internet pour télécharger les paramètres de stratégie d’étiquettes et d’étiquettes à partir du portail de conformité Microsoft Purview.
Si vous avez des ordinateurs qui ne peuvent pas se connecter à Internet pendant un certain temps, vous pouvez exporter et copier des fichiers qui gèrent manuellement la stratégie pour le client d’étiquetage unifié.
Pour prendre en charge les ordinateurs déconnectés du client d’étiquetage unifié :
Choisissez ou créez un compte d’utilisateur dans Azure AD que vous utiliserez pour télécharger les étiquettes et les paramètres de stratégie que vous souhaitez utiliser sur votre ordinateur déconnecté.
En tant que paramètre de stratégie d’étiquette supplémentaire pour ce compte, désactivez l’envoi de données d’audit à Azure Information Protection Analytics.
Nous vous recommandons cette étape, car si l’ordinateur déconnecté dispose d’une connectivité Internet périodique, il envoie des informations de journalisation à Azure Information Protection analytics qui incluent le nom d’utilisateur de l’étape 1. Ce compte d’utilisateur peut être différent du compte local que vous utilisez sur l’ordinateur déconnecté.
À partir d’un ordinateur avec connectivité Internet sur lequel le client d’étiquetage unifié est installé et connecté avec le compte d’utilisateur à l’étape 1, téléchargez les étiquettes et les paramètres de stratégie.
À partir de cet ordinateur, exportez les fichiers journaux.
Par exemple, exécutez l’applet de commande Export-AIPLogs ou utilisez l’option Exporter les journaux à partir de la boîte de dialogue Aide et commentaires du client.
Les fichiers journaux sont exportés sous la forme d’un seul fichier compressé.
Ouvrez le fichier compressé et, à partir du dossier MSIP, copiez tous les fichiers qui ont une extension de nom de fichier .xml.
Collez ces fichiers dans le dossier %localappdata%\Microsoft\MSIP sur l’ordinateur déconnecté.
Si le compte d’utilisateur choisi se connecte généralement à Internet, activez à nouveau l’envoi de données d’audit, en définissant la valeur EnableAudit sur True.
N’oubliez pas que si un utilisateur sur cet ordinateur sélectionne l’option Réinitialiser les paramètres dans Aide et commentaires, cette action supprime les fichiers de stratégie et rend le client inopérable jusqu’à ce que vous remplacez manuellement les fichiers ou que le client se connecte à Internet et télécharge les fichiers.
Si votre ordinateur déconnecté exécute le scanneur Azure Information Protection, vous devez effectuer des étapes de configuration supplémentaires. Pour plus d’informations, consultez Restriction : Le serveur d’analyse ne peut pas disposer d’une connectivité Internet à partir des instructions de déploiement du scanneur.
Modifier le niveau de journalisation local
Par défaut, le client d’étiquetage unifié Azure Information Protection écrit les fichiers journaux client dans le dossier %localappdata%\Microsoft\MSIP. Ces fichiers servent à la résolution des problèmes par le Support Microsoft.
Pour modifier le niveau de journalisation de ces fichiers, recherchez le nom de valeur suivant dans le Registre et définissez les données de valeur sur le niveau de journalisation requis :
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel
Définissez le niveau de journalisation sur l'une des valeurs suivantes :
Désactivé : aucune journalisation locale.
Erreur : erreurs uniquement.
Avertir : erreurs et avertissements.
Informations : Journalisation minimale, qui ne comprend aucun ID d’événement (paramètre par défaut pour le scanneur).
Déboguer : informations complètes.
Trace : journalisation détaillée (paramètre par défaut pour les clients).
Ce paramètre de Registre ne modifie pas les informations envoyées à Azure Information Protection pour la création de rapports centralisés.
Ignorer ou ignorer des fichiers pendant les analyses en fonction des attributs de fichier
Cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Par défaut, l’analyseur d’étiquetage unifié Azure Information Protection analyse tous les fichiers pertinents. Toutefois, vous pouvez définir des fichiers spécifiques à ignorer, par exemple pour les fichiers archivés ou les fichiers qui ont été déplacés.
Permettre au scanneur d’ignorer des fichiers spécifiques en fonction de leurs attributs de fichier à l’aide du paramètre avancé ScannerFSAttributesToSkip . Dans la valeur du paramètre, répertoriez les attributs de fichier qui permettront d’ignorer le fichier lorsqu’ils sont tous définis sur true. Cette liste d’attributs de fichier utilise la logique AND.
Les exemples de commandes PowerShell suivants illustrent comment utiliser ce paramètre avancé avec une étiquette nommée « Global ».
Ignorer les fichiers en lecture seule et archivés
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}
Ignorer les fichiers en lecture seule ou archivés
Pour utiliser une logique OR, exécutez la même propriété plusieurs fois. Par exemple :
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}
Conseil
Nous vous recommandons d’envisager d’autoriser le scanneur à ignorer les fichiers avec les attributs suivants :
- FILE_ATTRIBUTE_SYSTEM
- FILE_ATTRIBUTE_HIDDEN
- FILE_ATTRIBUTE_DEVICE
- FILE_ATTRIBUTE_OFFLINE
- FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
- FILE_ATTRIBUTE_RECALL_ON_OPEN
- FILE_ATTRIBUTE_TEMPORARY
Pour obtenir la liste de tous les attributs de fichier qui peuvent être définis dans le paramètre avancé ScannerFSAttributesToSkip , consultez constantes d’attribut de fichier Win32
Conserver les propriétaires NTFS pendant l’étiquetage (préversion publique)
Cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Par défaut, le scanneur, PowerShell et l’étiquetage des extensions Explorateur de fichiers ne conservent pas le propriétaire NTFS qui a été défini avant l’étiquetage.
Pour vous assurer que la valeur du propriétaire NTFS est conservée, définissez le paramètre avancé UseCopyAndPreserveNTFSOwner sur true pour la stratégie d’étiquette sélectionnée.
Attention
Définissez ce paramètre avancé uniquement lorsque vous pouvez garantir une connexion réseau fiable et à faible latence entre le scanneur et le dépôt analysé. Une défaillance réseau pendant le processus d’étiquetage automatique peut entraîner la perte du fichier.
Exemple de commande PowerShell, lorsque votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}
Notes
Cette fonctionnalité est actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Personnaliser les textes d’invite de justification pour les étiquettes modifiées
Personnalisez les invites de justification qui s’affichent à la fois dans Office et le client AIP, lorsque les utilisateurs finaux modifient les étiquettes de classification sur les documents et les e-mails.
Par exemple, en tant qu’administrateur, vous pouvez rappeler à vos utilisateurs de ne pas ajouter d’informations d’identification de client dans ce champ :
Pour modifier le texte par défaut Autre qui s’affiche, utilisez la propriété avancée JustificationTextForUserText avec l’applet de commande Set-LabelPolicy . Définissez la valeur sur le texte que vous souhaitez utiliser à la place.
Exemple de commande PowerShell, lorsque votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
Personnaliser les messages contextuels Outlook
Les administrateurs AIP peuvent personnaliser les messages contextuels qui s’affichent aux utilisateurs finaux dans Outlook, par exemple :
- Messages pour les e-mails bloqués
- Messages d’avertissement qui invitent les utilisateurs à vérifier le contenu qu’ils envoient
- Messages de justification qui demandent aux utilisateurs de justifier le contenu qu’ils envoient
Important
Cette procédure remplace tous les paramètres que vous avez déjà définis à l’aide de la propriété avancée OutlookUnlabeledCollaborationAction .
En production, nous vous recommandons d’éviter les complications en utilisant la propriété avancée OutlookUnlabeledCollaborationAction pour définir vos règles , ou en définissant des règles complexes avec un fichier json comme défini ci-dessous, mais pas les deux.
Pour personnaliser vos messages contextuels Outlook :
Créez des fichiers .json , chacun avec une règle qui configure la façon dont Outlook affiche les messages contextuels à vos utilisateurs. Pour plus d’informations, consultez Syntaxe .json de la valeur de règle et Exemple de code .json de personnalisation de la fenêtre contextuelle.
Utilisez PowerShell pour définir des paramètres avancés qui contrôlent les messages contextuels que vous configurez. Exécutez un ensemble distinct de commandes pour chaque règle que vous souhaitez configurer.
Chaque ensemble de commandes PowerShell doit inclure le nom de la stratégie que vous configurez, ainsi que la clé et la valeur qui définissent votre règle.
Utilisez la syntaxe suivante :
$filedata = Get-Content "<Path to json file>" Set-LabelPolicy -Identity <Policy name> -AdvancedSettings @{<Key> ="$filedata"}Où :
<Path to json file>est le chemin d’accès au fichier json que vous avez créé. Par exemple : C:\Users\msanchez\Desktop\ \dlp\OutlookCollaborationRule_1.json.<Policy name>est le nom de la stratégie que vous souhaitez configurer.<Key>est un nom pour votre règle. Utilisez la syntaxe suivante, où <#> est le numéro de série de votre règle :OutlookCollaborationRule_<#>
Pour plus d’informations, consultez Classement de vos règles de personnalisation Outlook et Syntaxe json de la valeur de règle.
Conseil
Pour obtenir des organization supplémentaires, nommez votre fichier avec la même chaîne que la clé utilisée dans votre commande PowerShell. Par exemple, nommez votre fichier OutlookCollaborationRule_1.json, puis utilisez également OutlookCollaborationRule_1 comme clé.
Pour vous assurer que les fenêtres contextuelles s’affichent même lorsque les documents sont partagés à partir de l’extérieur d’Outlook (File > Share > Joindre une copie), configurez également le paramètre avancé PostponeMandatoryBeforeSave .
Classement de vos règles de personnalisation Outlook
AIP utilise le numéro de série dans la clé que vous entrez pour déterminer l’ordre dans lequel les règles sont traitées. Lorsque vous définissez les clés utilisées pour chaque règle, définissez vos règles plus restrictives avec des nombres inférieurs, puis des règles moins restrictives avec des nombres plus élevés.
Une fois qu’une correspondance de règle spécifique est trouvée, AIP cesse de traiter les règles et effectue l’action associée à la règle de correspondance. (Première correspondance - > Logique de sortie )
Exemple :
Supposons que vous souhaitiez configurer tous les e-mails internes avec un message d’avertissement spécifique, mais que vous ne souhaitez généralement pas les bloquer. Toutefois, vous souhaitez empêcher les utilisateurs d’envoyer des pièces jointes classées comme secrètes, même en tant qu’e-mails internes .
Dans ce scénario, commandez votre clé de règle de secret de bloc, qui est la règle la plus spécifique, avant votre clé de règle plus générique Avertir sur la clé de règle interne :
- Pour le message Bloquer : OutlookCollaborationRule_1
- Pour le message Avertir : OutlookCollaborationRule_2
Syntaxe .json de la valeur de règle
Définissez la syntaxe json de votre règle comme suit :
"type" : "And",
"nodes" : []
Vous devez avoir au moins deux nœuds, le premier représentant la condition de votre règle et le dernier représentant l’action de la règle. Pour plus d'informations, consultez les pages suivantes :
Syntaxe des conditions de règle
Les nœuds de condition de règle doivent inclure le type de nœud, puis les conditions elles-mêmes.
Les types de nœuds pris en charge sont les suivants :
| Type de nœud | Description |
|---|---|
| And | Effectue et sur tous les nœuds enfants |
| Ou | Effectue ou sur tous les nœuds enfants |
| Not | N’effectue pas pour son propre enfant |
| Except | Retourne non pour son propre enfant, ce qui l’amène à se comporter comme Tous |
| SentTo, suivi de Domains: listOfDomains | Vérifie l’une des opérations suivantes : - Si le parent a la valeur Except, vérifie si tous les destinataires se trouvent dans l’un des domaines - Si le parent est autre chose que Sauf, vérifie si l’un des destinataires se trouve dans l’un des domaines. |
| EMailLabel, suivi de l’étiquette | Celui-ci peut avoir l'une des valeurs suivantes : - ID d’étiquette - Null, s’il n’est pas étiqueté |
| AttachmentLabel, suivi de Label et extensions prises en charge | Celui-ci peut avoir l'une des valeurs suivantes : true : - Si le parent a la valeur Except, vérifie si toutes les pièces jointes avec une extension prise en charge existent dans l’étiquette - Si le parent est autre chose que Sauf, vérifie si l’une des pièces jointes avec une extension prise en charge existe dans l’étiquette - S’il n’est pas étiqueté, et label = null false : pour tous les autres cas Remarque : Si la propriété Extensions est vide ou manquante, tous les types de fichiers (extensions) pris en charge sont inclus dans la règle. |
Syntaxe de l’action de règle
Les actions de règle peuvent être l’une des suivantes :
| Action | Syntaxe | Exemple de message |
|---|---|---|
| Bloquer | Block (List<language, [title, body]>) |
Email bloqué Vous êtes sur le point d’envoyer du contenu classé secret à un ou plusieurs destinataires non approuvés : rsinclair@contoso.comVotre stratégie de organization n’autorise pas cette action. Envisagez de supprimer ces destinataires ou de remplacer le contenu. |
| Avertir | Warn (List<language,[title,body]>) |
Confirmation requise Vous êtes sur le point d’envoyer du contenu classé Général à un ou plusieurs destinataires non approuvés : rsinclair@contoso.comVotre stratégie de organization nécessite une confirmation pour vous permettre d’envoyer ce contenu. |
| Justifier | Justify (numOfOptions, hasFreeTextOption, List<language, [Title, body, options1,options2….]> ) Y compris jusqu’à trois options. |
Justification requise Votre stratégie de organization nécessite une justification pour que vous envoyiez du contenu classé comme général à des destinataires non approuvés. - Je confirme que les destinataires sont approuvés pour le partage de ce contenu - Mon responsable a approuvé le partage de ce contenu - Autres, comme expliqué |
Paramètres d’action
Si aucun paramètre n’est fourni pour une action, les fenêtres contextuelles ont le texte par défaut.
Tous les textes prennent en charge les paramètres dynamiques suivants :
| Paramètre | Description |
|---|---|
${MatchedRecipientsList} |
Dernière correspondance pour les conditions SentTo |
${MatchedLabelName} |
Étiquette de courrier/pièce jointe, avec le nom localisé de la stratégie |
${MatchedAttachmentName} |
Nom de la pièce jointe de la dernière correspondance pour la condition AttachmentLabel |
Notes
Tous les messages incluent l’option En savoir plus , ainsi que les boîtes de dialogue Aide et Commentaires .
La langue est cultureName pour le nom des paramètres régionaux, par exemple : Anglais = en-us ; Espagnol = es-es
Les noms de langue parent uniquement sont également pris en charge, par en exemple uniquement.
Exemple de code .json de personnalisation de la fenêtre contextuelle
Les ensembles de code .json suivants montrent comment définir diverses règles qui contrôlent la façon dont Outlook affiche les messages contextuels pour vos utilisateurs.
- Exemple 1 : Bloquer les e-mails internes ou les pièces jointes
- Exemple 2 : Bloquer les pièces jointes Office non classifiées
- Exemple 3 : Demander à l’utilisateur d’accepter l’envoi d’un e-mail confidentiel ou d’une pièce jointe
- Exemple 4 : Avertir sur un courrier sans étiquette et une pièce jointe avec une étiquette spécifique
- Exemple 5 : Demander une justification, avec deux options prédéfinies et une option de texte libre supplémentaire
Exemple 1 : Bloquer les e-mails internes ou les pièces jointes
Le code .json suivant empêche les e-mails ou les pièces jointes classés comme internes d’être définis sur des destinataires externes.
Dans cet exemple, 89a453df-5df4-4976-8191-259d0cf9560a est l’ID de l’étiquette Interne , et les domaines internes incluent contoso.com et microsoft.com.
Étant donné qu’aucune extension spécifique n’est spécifiée, tous les types de fichiers pris en charge sont inclus.
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"
},{
"type" : "EmailLabel",
"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"
}
]
},
{
"type" : "Block",
"LocalizationData": {
"en-us": {
"Title": "Email Blocked",
"Body": "The email or at least one of the attachments is classified as <Bold>${MatchedLabelName}</Bold>. Documents classified as <Bold> ${MatchedLabelName}</Bold> cannot be sent to external recipients (${MatchedRecipientsList}).<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance with classification requirements as per Contoso's policies."
},
"es-es": {
"Title": "Correo electrónico bloqueado",
"Body": "El correo electrónico o al menos uno de los archivos adjuntos se clasifica como <Bold> ${MatchedLabelName}</Bold>."
}
},
"DefaultLanguage": "en-us"
}
]
}
Exemple 2 : Bloquer les pièces jointes Office non classifiées
Le code .json suivant empêche l’envoi de pièces jointes ou d’e-mails Office non classifiés à des destinataires externes.
Dans l’exemple suivant, la liste de pièces jointes qui nécessite un étiquetage est : .doc,.docm,.docx,.dot,.dotm,.dotx,.potm,.potx,.pps,.ppsm,.ppsx,.ppt,.pptm,.pptx,.vdw .vsd,.vsdm,.vsdx,.vss,.vssm,.vst,.vstm,.vssx,.vstx,.xls,.xlsb,.xlt,.xlsm,.xlsx,.xltm,.xltx
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : null,
"Extensions": [
".doc",
".docm",
".docx",
".dot",
".dotm",
".dotx",
".potm",
".potx",
".pps",
".ppsm",
".ppsx",
".ppt",
".pptm",
".pptx",
".vdw",
".vsd",
".vsdm",
".vsdx",
".vss",
".vssm",
".vst",
".vstm",
".vssx",
".vstx",
".xls",
".xlsb",
".xlt",
".xlsm",
".xlsx",
".xltm",
".xltx"
]
},{
"type" : "EmailLabel",
"LabelId" : null
}
]
},
{
"type" : "Block",
"LocalizationData": {
"en-us": {
"Title": "Emailed Blocked",
"Body": "Classification is necessary for attachments to be sent to external recipients.<br><br>List of attachments that are not classified:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br>For MS Office documents, classify and send again.<br><br>For PDF files, classify the document or classify the email (using the most restrictive classification level of any single attachment or the email content) and send again."
},
"es-es": {
"Title": "Correo electrónico bloqueado",
"Body": "La clasificación es necesaria para que los archivos adjuntos se envíen a destinatarios externos."
}
},
"DefaultLanguage": "en-us"
}
]
}
Exemple 3 : Demander à l’utilisateur d’accepter l’envoi d’un e-mail confidentiel ou d’une pièce jointe
Dans l’exemple suivant, Outlook affiche un message qui avertit l’utilisateur qu’il envoie un e-mail confidentiel ou une pièce jointe à des destinataires externes, et exige également que l’utilisateur sélectionne J’accepte.
Ce type de message d’avertissement est techniquement considéré comme une justification, car l’utilisateur doit sélectionner J’accepte.
Étant donné qu’aucune extension spécifique n’est spécifiée, tous les types de fichiers pris en charge sont inclus.
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"
},{
"type" : "EmailLabel",
"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"
}
]
},
{
"type" : "Justify",
"LocalizationData": {
"en-us": {
"Title": "Warning",
"Body": "You are sending a document that is classified as <Bold>${MatchedLabelName}</Bold> to at least one external recipient. Please make sure that the content is correctly classified and that the recipients are entitled to receive this document.<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><Bold>List of external email addresses:</Bold><br>${MatchedRecipientsList})<br><br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br><Bold>Acknowledgement</Bold><br>By clicking <Bold>I accept</Bold> below, you confirm that the recipient is entitled to receive the content and the communication complies with CS Policies and Standards",
"Options": [
"I accept"
]
},
"es-es": {
"Title": "Advertencia",
"Body": "Está enviando un documento clasificado como <Bold>${MatchedLabelName}</Bold> a al menos un destinatario externo. Asegúrese de que el contenido esté correctamente clasificado y que los destinatarios tengan derecho a recibir este documento.",
"Options": [
"Acepto"
]
}
},
"HasFreeTextOption":"false",
"DefaultLanguage": "en-us"
}
]
}
Exemple 4 : Avertir sur un courrier sans étiquette et une pièce jointe avec une étiquette spécifique
Le code .json suivant amène Outlook à avertir l’utilisateur lorsqu’il envoie un e-mail interne sans étiquette, avec une pièce jointe qui a une étiquette spécifique.
Dans cet exemple, bcbef25a-c4db-446b-9496-1b558d9edd0e est l’ID de l’étiquette de la pièce jointe, et la règle s’applique aux fichiers .docx, .xlsx et .pptx.
Par défaut, les e-mails qui ont des pièces jointes étiquetées ne reçoivent pas automatiquement la même étiquette.
{
"type" : "And",
"nodes" : [
{
"type" : "EmailLabel",
"LabelId" : null
},
{
"type": "AttachmentLabel",
"LabelId": "bcbef25a-c4db-446b-9496-1b558d9edd0e",
"Extensions": [
".docx",
".xlsx",
".pptx"
]
},
{
"type" : "SentTo",
"Domains" : [
"contoso.com",
]
},
{
"type" : "Warn"
}
]
}
Exemple 5 : Demander une justification, avec deux options prédéfinies et une option de texte libre supplémentaire
Le code .json suivant amène Outlook à demander à l’utilisateur de justifier son action. Le texte de justification comprend deux options prédéfinies, ainsi qu’une troisième option de texte libre.
Étant donné qu’aucune extension spécifique n’est spécifiée, tous les types de fichiers pris en charge sont inclus.
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
]
}
},
{
"type" : "EmailLabel",
"LabelId" : "34b8beec-40df-4219-9dd4-553e1c8904c1"
},
{
"type" : "Justify",
"LocalizationData": {
"en-us": {
"Title": "Justification Required",
"Body": "Your organization policy requires justification for you to send content classified as <Bold> ${MatchedLabelName}</Bold>,to untrusted recipients:<br>Recipients are: ${MatchedRecipientsList}",
"Options": [
"I confirm the recipients are approved for sharing this content",
"My manager approved sharing of this content",
"Other, as explained"
]
},
"es-es": {
"Title": "Justificación necesaria",
"Body": "La política de su organización requiere una justificación para que envíe contenido clasificado como <Bold> ${MatchedLabelName}</Bold> a destinatarios que no sean de confianza.",
"Options": [
"Confirmo que los destinatarios están aprobados para compartir este contenido.",
"Mi gerente aprobó compartir este contenido",
"Otro, como se explicó"
]
}
},
"HasFreeTextOption":"true",
"DefaultLanguage": "en-us"
}
]
}
Configurer des délais d’attente SharePoint
Par défaut, le délai d’attente pour les interactions SharePoint est de deux minutes, après quoi l’opération AIP tentée échoue.
À partir de la version 2.8.85.0, les administrateurs AIP peuvent contrôler ce délai d’attente à l’aide des propriétés avancées suivantes, à l’aide d’une syntaxe hh:mm:ss pour définir les délais d’expiration :
SharepointWebRequestTimeout. Détermine le délai d’expiration de toutes les requêtes web AIP adressées à SharePoint. Valeur par défaut = 2 minutes.
Par exemple, si votre stratégie est nommée Global, l’exemple de commande PowerShell suivant met à jour le délai d’expiration de la requête web à 5 minutes.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}SharepointFileWebRequestTimeout. Détermine le délai d’expiration spécifiquement pour les fichiers SharePoint via les requêtes web AIP. Valeur par défaut = 15 minutes
Par exemple, si votre stratégie est nommée Global, l’exemple de commande PowerShell suivant met à jour le délai d’expiration de la requête web du fichier à 10 minutes.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
Éviter les délais d’expiration du scanneur dans SharePoint
Si vous avez des chemins de fichiers longs dans SharePoint version 2013 ou ultérieure, vérifiez que la valeur httpRuntime.maxUrlLength de votre serveur SharePoint est supérieure aux 260 caractères par défaut.
Cette valeur est définie dans la classe HttpRuntimeSection de la ASP.NET configuration.
Pour mettre à jour la classe HttpRuntimeSection :
Sauvegardez votre configuration web.config .
Mettez à jour la valeur maxUrlLength en fonction des besoins. Par exemple :
<httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000" />Redémarrez votre serveur web SharePoint et vérifiez qu’il se charge correctement.
Par exemple, dans le Gestionnaire des serveurs Internet (IIS) Windows, sélectionnez votre site, puis sous Gérer le site web, sélectionnez Redémarrer.
Éviter les problèmes de performances Outlook avec les e-mails S/MIME
Des problèmes de performances peuvent se produire dans Outlook lorsque les e-mails S/MIME sont ouverts dans le volet de lecture. Pour éviter ces problèmes, activez la propriété avancée OutlookSkipSmimeOnReadingPaneEnabled .
L’activation de cette propriété empêche l’affichage de la barre AIP et des classifications d’e-mail dans le volet de lecture.
Par exemple, si votre stratégie est nommée Global, l’exemple de commande PowerShell suivant active la propriété OutlookSkipSmimeOnReadingPaneEnabled :
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookSkipSmimeOnReadingPaneEnabled="true"}
Désactiver les fonctionnalités de suivi des documents
Par défaut, les fonctionnalités de suivi des documents sont activées pour votre locataire. Pour les désactiver, par exemple pour les exigences de confidentialité dans votre organization ou région, définissez la valeur EnableTrackAndRevoke sur False.
Une fois désactivées, les données de suivi des documents ne seront plus disponibles dans votre organization et les utilisateurs ne verront plus l’option de menu Révoquer dans leurs applications Office.
Pour la stratégie d’étiquette sélectionnée, spécifiez les chaînes suivantes :
Clé : EnableTrackAndRevoke
Valeur : False
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableTrackAndRevoke="False"}
Après avoir défini cette valeur sur False, le suivi et la révocation sont désactivés comme suit :
- L’ouverture de documents protégés avec le client d’étiquetage unifié AIP n’enregistre plus les documents pour le suivi et la révocation.
- Les utilisateurs finaux ne verront plus l’option de menu Révoquer dans leurs applications Office.
Toutefois, les documents protégés qui sont déjà inscrits pour le suivi continueront d’être suivis et les administrateurs peuvent toujours révoquer l’accès à partir de PowerShell. Pour désactiver complètement le suivi et révoquer les fonctionnalités, exécutez également l’applet de commande Disable-AipServiceDocumentTrackingFeature .
Cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide du Centre de conformité de sécurité & PowerShell.
Conseil
Pour réactiver le suivi et la révocation, définissez EnableTrackAndRevoke sur True et exécutez également l’applet de commande Enable-AipServiceDocumentTrackingFeature .
Désactiver l’option Révoquer pour les utilisateurs finaux dans les applications Office
Si vous ne souhaitez pas que les utilisateurs finaux aient la possibilité de révoquer l’accès aux documents protégés à partir de leurs applications Office, vous pouvez supprimer l’option Révoquer l’accès de vos applications Office.
Notes
La suppression de l’option Révoquer l’accès continue à maintenir le suivi de vos documents protégés en arrière-plan et conserve la possibilité d’administrateur de révoquer l’accès aux documents via PowerShell.
Pour la stratégie d’étiquette sélectionnée, spécifiez les chaînes suivantes :
Clé : EnableRevokeGuiSupport
Valeur : False
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}
Configurer le délai d’expiration de l’étiquetage automatique sur les fichiers Office
Par défaut, le délai d’expiration de l’étiquetage automatique du scanneur sur les fichiers Office est de 3 secondes.
Si vous avez un fichier Excel complexe avec de nombreuses feuilles ou lignes, 3 secondes peuvent ne pas suffire pour appliquer automatiquement des étiquettes. Pour augmenter ce délai d’expiration pour la stratégie d’étiquette sélectionnée, spécifiez les chaînes suivantes :
Clé : OfficeContentExtractionTimeout
Valeur : secondes, au format suivant :
hh:mm:ss.
Important
Nous vous recommandons de ne pas augmenter ce délai d’attente à plus de 15 secondes.
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}
Le délai d’attente mis à jour s’applique à l’étiquetage automatique sur tous les fichiers Office.
Activer les fonctionnalités de globalisation de la classification (préversion publique)
Fonctionnalités de globalisation de la classification, notamment une précision accrue pour les langues d’Asie de l’Est et la prise en charge des caractères codés sur deux octets. Ces améliorations sont fournies uniquement pour les processus 64 bits et sont désactivées par défaut.
Activez ces fonctionnalités pour votre stratégie, spécifiez les chaînes suivantes :
Clé : EnableGlobalization
Valeur:
True
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}
Pour désactiver à nouveau la prise en charge et revenir à la valeur par défaut, définissez le paramètre avancé EnableGlobalization sur une chaîne vide.
Activer les paramètres de limite de données
Suite à l’engagement de Microsoft envers la limite de données de l’UE, les clients de l’UE du client d’étiquetage unifié Azure Information Protection peuvent envoyer leurs données à l’UE pour qu’elles soient stockées et traitées.
Activez cette fonctionnalité dans le client AIP en modifiant cette clé de Registre qui spécifie l’emplacement approprié vers lequel les événements doivent être envoyés :
- Clé de Registre : HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\DataBoundary (DWORD)
- Valeurs :
Default = 0North_America = 1European_Union = 2
Étapes suivantes
Maintenant que vous avez personnalisé le client d’étiquetage unifié Azure Information Protection, consultez les ressources suivantes pour obtenir des informations supplémentaires dont vous pourriez avoir besoin pour prendre en charge ce client :