Paramètres avancés pour le client Microsoft Purview Information Protection
Cet article contient les paramètres avancés PowerShell sécurité & conformité qui sont pris en charge par le client Microsoft Purview Information Protection lorsque vous utilisez les applets de commande suivantes :
Les paramètres avancés pris en charge par les étiquettes de confidentialité intégrées aux applications et services Microsoft 365 sont inclus dans la page d’applet de commande elle-même. Vous pouvez également trouver des conseils PowerShell utiles pour spécifier les paramètres avancés.
Paramètres avancés pour les étiquettes | Description |
---|---|
Color | Spécifier une couleur pour l’étiquette |
DefaultSubLabelId | Spécifier une sous-étiquette par défaut pour une étiquette parente |
Paramètres avancés pour les stratégies d’étiquette | Description |
---|---|
AdditionalPPrefixExtensions | Prise en charge de la modification d’EXT<>. PFILE vers P<EXT> |
EnableAudit | Empêcher l’envoi de données d’audit à Microsoft Purview |
EnableContainerSupport | Activer la suppression du chiffrement des fichiers PST, rar, 7zip et MSG |
EnableCustomPermissions | Désactiver les autorisations personnalisées dans l’Explorateur de fichiers |
EnableCustomPermissionsForCustomProtectedFiles | Pour les fichiers chiffrés avec des autorisations personnalisées, toujours afficher les autorisations personnalisées pour les utilisateurs dans l’Explorateur de fichiers |
EnableGlobalization | Activer les fonctionnalités de globalisation de la classification |
JustificationTextForUserText | Personnaliser les textes d’invite de justification pour les étiquettes modifiées |
LogMatchedContent | Envoyer des correspondances de type d’informations à Microsoft Purview |
OfficeContentExtractionTimeout | Configurer le délai d’expiration de l’étiquetage automatique pour les fichiers Office |
PFileSupportedExtensions | Modifier les types de fichiers à protéger |
ReportAnIssueLink | Ajouter « Signaler un problème » pour les utilisateurs |
ScannerMaxCPU | Limiter la consommation du processeur |
ScannerMinCPU | Limiter la consommation du processeur |
ScannerConcurrencyLevel | Limiter le nombre de threads utilisés par le scanneur |
ScannerFSAttributesToSkip | Ignorer ou ignorer les fichiers pendant les analyses en fonction des attributs de fichier) |
SharepointWebRequestTimeout | Configurer des délais d’expiration SharePoint |
SharepointFileWebRequestTimeout | Configurer des délais d’expiration SharePoint |
UseCopyAndPreserveNTFSOwner | Conserver les propriétaires NTFS pendant l’étiquetage |
AdditionalPPrefixExtensions
Cette propriété avancée pour modifier <EXT>. PFILE vers P<EXT> est pris en charge par l’Explorateur de fichiers, PowerShell et le scanneur. Toutes les applications ont un comportement similaire.
Clé : AdditionalPPrefixExtensions
Valeur : <valeur de> chaîne
Utilisez le tableau suivant pour identifier la valeur de chaîne à spécifier :
Valeur de chaîne | Client et scanneur |
---|---|
* | Toutes les extensions PFile deviennent P<EXT> |
<Valeur Null> | La valeur par défaut se comporte comme la valeur de chiffrement par défaut. |
ConvertTo-Json(« .dwg », « .zip ») | En plus de la liste précédente, « .dwg » et « .zip » deviennent P<EXT> |
Avec ce paramètre, les extensions suivantes deviennent toujours P<EXT> : « .txt », « .xml », « .bmp », « .jt », « .jpg », « .jpeg », « .jpe », « .jif », « .jfif », « .jfif », « .jfi », « .png », « .tif », « .tiff », « .gif »). L’exclusion notable est que « ptxt » ne devient pas « txt.pfile ».
Ce paramètre nécessite l’activation du paramètre avancé PFileSupportedExtension .
Exemple 1 : Commande PowerShell pour se comporter comme le comportement par défaut où Protéger « .dwg » devient « .dwg.pfile » :
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}
Exemple 2 : commande PowerShell pour modifier toutes les extensions PFile du chiffrement générique au chiffrement natif lorsque les fichiers sont étiquetés et chiffrés :
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}
Exemple 3 : Commande PowerShell pour remplacer « .dwg » par « .pdwg » lors de l’utilisation de ce service, protégez ce fichier :
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}
Couleur
Utilisez ce paramètre avancé pour définir une couleur pour une étiquette. Pour spécifier la couleur, entrez un code triplet hexadécimal pour les composants rouge, vert et bleu (RVB) de la couleur. Par exemple, #40e0d0 est la valeur hexadécimale RVB pour la couleur turquoise.
Si vous avez besoin d’une référence pour ces codes, vous trouverez un tableau utile dans la <page de couleurs> de la documentation web MSDN. Vous trouverez également ces codes dans de nombreuses applications qui vous permettent de modifier des images. Par exemple, Microsoft Paint vous permet de choisir une couleur personnalisée dans une palette et les valeurs RVB s’affichent automatiquement. Vous pouvez ensuite les copier.
Pour configurer le paramètre avancé pour la couleur d’une étiquette, entrez les chaînes suivantes pour l’étiquette sélectionnée :
Clé : couleur
Valeur : <valeur hexadécimale> RVB
Exemple de commande PowerShell, où votre étiquette est nommée « Public » :
Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}
DefaultSubLabelId
Lorsque vous ajoutez une sous-étiquette à une étiquette, les utilisateurs ne peuvent plus appliquer l’étiquette parente à un document ou un e-mail. Par défaut, les utilisateurs sélectionnent l’étiquette parente pour afficher les sous-étiquettes qu’ils peuvent appliquer, puis sélectionnent l’une de ces sous-étiquettes. Si vous configurez ce paramètre avancé, lorsque les utilisateurs sélectionnent l’étiquette parente, une sous-étiquette est automatiquement sélectionnée et appliquée pour eux :
Clé : DefaultSubLabelId
Valeur : <GUID> de sous-étiquette
Exemple de commande PowerShell, où votre étiquette parente est nommée « Confidentiel » et la sous-étiquette « Tous les employés » a un GUID de 8faca7b8-8d20-48a3-8ea2-0f96310a848e :
Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
EnableAudit
Par défaut, le client de protection des informations envoie des données d’audit à Microsoft Purview où vous pouvez afficher ces données dans l’Explorateur d’activités.
Pour modifier ce comportement, utilisez le paramètre avancé suivant :
Clé : EnableAudit
Valeur : False
Par exemple, si votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}
Ensuite, sur les ordinateurs locaux qui exécutent le client Information Protection, supprimez le dossier suivant : %localappdata%\Microsoft\MSIP\mip
Pour permettre au client d’envoyer à nouveau des données de journal d’audit, remplacez la valeur du paramètre avancé par True. Vous n’avez pas besoin de créer manuellement le dossier %localappdata%\Microsoft\MSIP\mip sur vos ordinateurs clients.
EnableContainerSupport
Ce paramètre permet au client Information Protection de supprimer le chiffrement des fichiers PST, rar et 7zip.
Clé : EnableContainerSupport
Valeur : True
Par exemple, si votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}
EnableCustomPermissions
Par défaut, les utilisateurs voient une option nommée Protéger avec des autorisations personnalisées lorsqu’ils cliquent avec le bouton droit dans l’Explorateur de fichiers avec l’étiqueteur de fichiers. Cette option leur permet de définir leurs propres paramètres de chiffrement qui peuvent remplacer tous les paramètres de chiffrement que vous avez peut-être inclus dans une configuration d’étiquette. Les utilisateurs peuvent également voir une option pour supprimer le chiffrement. Lorsque vous configurez ce paramètre, les utilisateurs ne voient pas ces options.
Utilisez le paramètre suivant pour que les utilisateurs ne voient pas ces options :
Clé : EnableCustomPermissions
Valeur : False
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
EnableCustomPermissionsForCustomProtectedFiles
Lorsque vous configurez le paramètre client avancé EnableCustomPermissions pour désactiver les autorisations personnalisées dans l’Explorateur de fichiers, par défaut, les utilisateurs ne peuvent pas voir ou modifier les autorisations personnalisées qui sont déjà définies dans un document chiffré.
Toutefois, il existe un autre paramètre client avancé que vous pouvez spécifier afin que dans ce scénario, les utilisateurs puissent voir et modifier les autorisations personnalisées pour un document chiffré lorsqu’ils utilisent l’Explorateur de fichiers et cliquer avec le bouton droit sur le fichier.
Clé : EnableCustomPermissionsForCustomProtectedFiles
Valeur : True
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}
EnableGlobalization
Fonctionnalités de globalisation de la classification, notamment une précision accrue pour les langues d’Asie de l’Est et la prise en charge des caractères codés sur deux octets. Ces améliorations sont fournies uniquement pour les processus 64 bits et sont désactivées par défaut.
Activez ces fonctionnalités pour votre stratégie, spécifiez les chaînes suivantes :
Clé : EnableGlobalization
Valeur :
True
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}
Pour désactiver à nouveau la prise en charge et revenir à la valeur par défaut, définissez le paramètre Avancé EnableGlobalization sur une chaîne vide.
JustificationTextForUserText
Personnalisez les invites de justification qui s’affichent lorsque les utilisateurs finaux modifient les étiquettes de confidentialité sur les fichiers.
Par exemple, en tant qu’administrateur, vous pouvez rappeler à vos utilisateurs de ne pas ajouter d’informations d’identification client dans ce champ.
Pour modifier l’option par défaut Autre que les utilisateurs peuvent sélectionner dans la boîte de dialogue, utilisez le paramètre avancé JustificationTextForUserText . Définissez la valeur sur le texte que vous souhaitez utiliser à la place.
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
LogMatchedContent
Par défaut, le client de protection des informations n’envoie pas de correspondances de contenu pour les types d’informations sensibles à Microsoft Purview, qui peuvent ensuite être affichées dans l’Explorateur d’activités. Le scanneur envoie toujours ces informations. Pour plus d’informations sur ces informations supplémentaires qui peuvent être envoyées, consultez Correspondances de contenu pour une analyse plus approfondie.
Pour envoyer des correspondances de contenu lorsque des types d’informations sensibles sont envoyés, utilisez le paramètre avancé suivant dans une stratégie d’étiquette :
Clé : LogMatchedContent
Valeur : True
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}
OfficeContentExtractionTimeout
Par défaut, le délai d’expiration de l’étiquetage automatique du scanneur sur les fichiers Office est de 3 secondes.
Si vous avez un fichier Excel complexe avec de nombreuses feuilles ou lignes, 3 secondes peuvent ne pas suffire pour appliquer automatiquement des étiquettes. Pour augmenter ce délai d’expiration pour la stratégie d’étiquette sélectionnée, spécifiez les chaînes suivantes :
Clé : OfficeContentExtractionTimeout
Valeur : secondes, au format suivant :
hh:mm:ss
.
Importante
Nous vous recommandons de ne pas augmenter ce délai d’expiration à plus de 15 secondes.
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}
Le délai d’expiration mis à jour s’applique à l’étiquetage automatique sur tous les fichiers Office.
PFileSupportedExtensions
Avec ce paramètre, vous pouvez modifier les types de fichiers chiffrés, mais vous ne pouvez pas modifier le niveau de chiffrement par défaut de natif à générique. Par exemple, pour les utilisateurs exécutant l’étiqueteur de fichiers, vous pouvez modifier le paramètre par défaut afin que seuls les fichiers Office et les fichiers PDF soient chiffrés au lieu de tous les types de fichiers. Toutefois, vous ne pouvez pas modifier ces types de fichiers pour qu’ils soient chiffrés de manière générique avec une extension de nom de fichier .pfile.
Clé : PFileSupportedExtensions
Valeur : <valeur de> chaîne
Utilisez le tableau suivant pour identifier la valeur de chaîne à spécifier :
Valeur de chaîne | Client | Scanneur |
---|---|---|
* | Valeur par défaut : Appliquer le chiffrement à tous les types de fichiers | Appliquer le chiffrement à tous les types de fichiers |
ConvertTo-Json(« .jpg », « .png ») | Outre les types de fichiers Office et les fichiers PDF, appliquez le chiffrement aux extensions de nom de fichier spécifiées. | Outre les types de fichiers Office et les fichiers PDF, appliquez le chiffrement aux extensions de nom de fichier spécifiées. |
Exemple 1 : commande PowerShell pour le scanneur afin de chiffrer tous les types de fichiers, où votre stratégie d’étiquette est nommée « Scanneur » :
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
Exemple 2 : commande PowerShell permettant au scanneur de chiffrer .txt fichiers et .csv fichiers en plus des fichiers Office et PDF, où votre stratégie d’étiquette est nommée « Scanneur » :
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}
ReportAnIssueLink
Lorsque vous spécifiez le paramètre client avancé suivant, les utilisateurs voient une option Signaler un problème qu’ils peuvent sélectionner dans la boîte de dialogue client Aide et commentaires dans l’étiqueteur de fichiers. Spécifiez une chaîne HTTP pour le lien. Par exemple, une page web personnalisée que vous avez pour permettre aux utilisateurs de signaler des problèmes, ou une adresse e-mail qui est envoyée à votre support technique.
Pour configurer ce paramètre avancé, entrez les chaînes suivantes pour la stratégie d’étiquette sélectionnée :
Clé : ReportAnIssueLink
Valeur : <chaîne> HTTP
Exemple de valeur pour un site web : https://support.contoso.com
Exemple de valeur pour une adresse e-mail : mailto:helpdesk@contoso.com
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}
ScannerMaxCPU
Importante
Nous vous recommandons de limiter la consommation du processeur à l’aide des paramètres avancés ScannerMaxCPU et ScannerMinCPU au lieu de ScannerConcurrencyLevel pris en charge pour la compatibilité descendante.
Si l’ancien paramètre avancé est spécifié, les paramètres avancés ScannerMaxCPU et ScannerMinCPU sont ignorés.
Utilisez ce paramètre avancé conjointement avec ScannerMinCPU pour limiter la consommation du processeur sur l’ordinateur scanneur.
Clé : ScannerMaxCPU
Valeur : <nombre>**
La valeur est définie sur 100 par défaut, ce qui signifie qu’il n’existe aucune limite de consommation maximale du processeur. Dans ce cas, le processus du scanneur tente d’utiliser tout le temps processeur disponible pour optimiser vos taux d’analyse.
Si vous définissez ScannerMaxCPU sur moins de 100, le scanneur surveille la consommation du processeur au cours des 30 dernières minutes. Si le processeur moyen a dépassé la limite que vous avez définie, il commence à réduire le nombre de threads alloués pour les nouveaux fichiers.
La limite du nombre de threads continue tant que la consommation du processeur est supérieure à la limite définie pour ScannerMaxCPU.
ScannerMinCPU
Importante
Nous vous recommandons de limiter la consommation du processeur à l’aide des paramètres avancés ScannerMaxCPU et ScannerMinCPU au lieu de ScannerConcurrencyLevel pris en charge pour la compatibilité descendante.
Si l’ancien paramètre avancé est spécifié, les paramètres avancés ScannerMaxCPU et ScannerMinCPU sont ignorés.
Utilisé uniquement si ScannerMaxCPU n’est pas égal à 100 et ne peut pas être défini sur un nombre supérieur à la valeur ScannerMaxCPU .
Nous vous recommandons de conserver ScannerMinCPU défini au moins 15 points plus bas que la valeur de ScannerMaxCPU.
La valeur est définie sur 50 par défaut, ce qui signifie que si la consommation du processeur au cours des 30 dernières minutes est inférieure à cette valeur, le scanneur commence à ajouter de nouveaux threads pour analyser plus de fichiers en parallèle, jusqu’à ce que la consommation du processeur atteigne le niveau que vous avez défini pour ScannerMaxCPU-15.
ScannerConcurrencyLevel
Importante
Nous vous recommandons de limiter la consommation du processeur à l’aide des paramètres avancés ScannerMaxCPU et ScannerMinCPU au lieu de ScannerConcurrencyLevel pris en charge pour la compatibilité descendante.
Lorsque cet ancien paramètre avancé est spécifié, les paramètres avancés ScannerMaxCPU et ScannerMinCPU sont ignorés.
Par défaut, le scanneur utilise toutes les ressources processeur disponibles sur l’ordinateur exécutant le service de scanneur. Si vous devez limiter la consommation du processeur pendant l’analyse de ce service, spécifiez le nombre de threads simultanés que le scanneur peut exécuter en parallèle. Le scanneur utilise un thread distinct pour chaque fichier qu’il analyse, de sorte que cette configuration de limitation définit également le nombre de fichiers pouvant être analysés en parallèle.
Lorsque vous configurez la valeur pour le test pour la première fois, nous vous recommandons de spécifier 2 par cœur, puis de surveiller les résultats. Par exemple, si vous exécutez le scanneur sur un ordinateur qui a 4 cœurs, définissez d’abord la valeur sur 8. Si nécessaire, augmentez ou diminuez ce nombre en fonction des performances obtenues pour l’ordinateur du scanneur et de vos taux d’analyse.
Clé : ScannerConcurrencyLevel
Valeur : <nombre de threads simultanés>
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Scanneur » :
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}
ScannerFSAttributesToSkip
Par défaut, le scanneur de protection des informations analyse tous les fichiers pertinents. Toutefois, vous pouvez définir des fichiers spécifiques à ignorer, par exemple pour les fichiers archivés ou les fichiers qui ont été déplacés.
Permet au scanneur d’ignorer des fichiers spécifiques en fonction de leurs attributs de fichier à l’aide du paramètre avancé ScannerFSAttributesToSkip . Dans la valeur du paramètre, répertoriez les attributs de fichier qui permettent d’ignorer le fichier lorsqu’ils sont tous définis sur true. Cette liste d’attributs de fichier utilise la logique AND.
Exemples de commandes PowerShell, où votre stratégie d’étiquette est nommée « Global ».
Ignorer les fichiers en lecture seule et archivés
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}
Ignorer les fichiers en lecture seule ou archivés
Pour utiliser une logique OR, exécutez la même propriété plusieurs fois. Par exemple :
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}
Conseil
Nous vous recommandons d’envisager d’activer le scanneur pour ignorer les fichiers avec les attributs suivants :
- FILE_ATTRIBUTE_SYSTEM
- FILE_ATTRIBUTE_HIDDEN
- FILE_ATTRIBUTE_DEVICE
- FILE_ATTRIBUTE_OFFLINE
- FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
- FILE_ATTRIBUTE_RECALL_ON_OPEN
- FILE_ATTRIBUTE_TEMPORARY
Pour obtenir la liste de tous les attributs de fichier qui peuvent être définis dans le paramètre avancé ScannerFSAttributesToSkip , consultez constantes d’attribut de fichier Win32
SharepointWebRequestTimeout
Par défaut, le délai d’attente pour les interactions SharePoint est de deux minutes, après quoi l’opération cliente de protection des informations échoue. Contrôlez ce délai d’expiration à l’aide des paramètres avancés SharepointWebRequestTimeout et SharepointFileWebRequestTimeout , à l’aide d’une syntaxe hh :mm :ss pour définir les délais d’expiration.
Spécifiez une valeur pour déterminer le délai d’expiration de toutes les demandes web du client de protection des informations à SharePoint. La valeur par défaut est minutes.
Par exemple, si votre stratégie est nommée Global, l’exemple de commande PowerShell suivant met à jour le délai d’expiration de la requête web sur 5 minutes.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}
SharepointFileWebRequestTimeout
Par défaut, le délai d’attente pour les interactions SharePoint est de deux minutes, après quoi l’opération cliente de protection des informations échoue. Contrôlez ce délai d’expiration à l’aide des paramètres avancés SharepointWebRequestTimeout et SharepointFileWebRequestTimeout , à l’aide d’une syntaxe hh :mm :ss pour définir les délais d’expiration.
Spécifiez la valeur de délai d’expiration pour les fichiers SharePoint via les demandes web du client de protection des informations. La valeur par défaut est 15 minutes.
Par exemple, si votre stratégie est nommée Global, l’exemple de commande PowerShell suivant met à jour le délai d’expiration de la demande web de fichier sur 10 minutes.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
UseCopyAndPreserveNTFSOwner
Remarque
Cette fonctionnalité est actuellement en préversion. Les conditions supplémentaires de la préversion Azure incluent des conditions juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.
Par défaut, le client information protection ne conserve pas le propriétaire NTFS qui a été défini avant d’appliquer une étiquette de confidentialité.
Pour vous assurer que la valeur du propriétaire NTFS est conservée, définissez le paramètre avancé UseCopyAndPreserveNTFSOwner sur true pour la stratégie d’étiquette sélectionnée.
Attention
Pour le scanneur : définissez ce paramètre avancé uniquement lorsque vous pouvez garantir une connexion réseau fiable et à faible latence entre le scanneur et le dépôt analysé. Une défaillance réseau pendant le processus d’étiquetage automatique peut entraîner la perte du fichier.
Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « Global »
Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}