Panduan Admin: Konfigurasi kustom untuk klien klasik Perlindungan Informasi Azure
Gunakan informasi berikut untuk konfigurasi tingkat lanjut yang mungkin Anda butuhkan untuk skenario tertentu atau subkumpulan pengguna saat Anda mengelola klien Perlindungan Informasi Azure.
Beberapa pengaturan ini memerlukan pengeditan registri dan beberapa menggunakan pengaturan tingkat lanjut yang harus Anda konfigurasi di portal Azure, lalu terbitkan agar klien dapat mengunduh.
Cara mengonfigurasi pengaturan konfigurasi klien klasik tingkat lanjut di portal
Jika Anda belum melakukannya, di jendela browser baru, masuk ke portal Azure, lalu navigasikan ke panel Perlindungan Informasi Azure.
Dari opsi menuLabel Klasifikasi>: Pilih Kebijakan.
Pada panel Perlindungan Informasi Azure - Kebijakan , pilih menu konteks (...) di samping kebijakan untuk berisi pengaturan tingkat lanjut. Lalu pilih Pengaturan tingkat lanjut.
Anda dapat mengonfigurasi pengaturan tingkat lanjut untuk kebijakan Global, serta untuk kebijakan terlingkup.
Pada panel Pengaturan tingkat lanjut , ketik nama dan nilai pengaturan tingkat lanjut, lalu pilih Simpan dan tutup.
Pastikan bahwa pengguna untuk kebijakan ini memulai ulang aplikasi Office apa pun yang telah mereka buka.
Jika Anda tidak lagi memerlukan pengaturan dan ingin kembali ke perilaku default: Pada panel Pengaturan tingkat lanjut , pilih menu konteks (...) di samping pengaturan yang tidak lagi Anda perlukan, lalu pilih Hapus. Lalu klik Simpan dan tutup.
Pengaturan klien klasik tingkat lanjut yang tersedia
Mencegah perintah masuk hanya untuk komputer AD RMS
Secara default, klien Perlindungan Informasi Azure secara otomatis mencoba menyambungkan ke layanan Perlindungan Informasi Azure. Untuk komputer yang hanya berkomunikasi dengan AD RMS, konfigurasi ini dapat mengakibatkan permintaan masuk untuk pengguna yang tidak diperlukan. Anda dapat mencegah perintah masuk ini dengan mengedit registri.
Temukan nama nilai berikut, lalu atur data nilai ke 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Terlepas dari pengaturan ini, klien Perlindungan Informasi Azure masih mengikuti proses penemuan layanan RMS standar untuk menemukan kluster AD RMS-nya.
Masuk sebagai pengguna lain
Di lingkungan produksi, pengguna biasanya tidak perlu masuk sebagai pengguna yang berbeda saat mereka menggunakan klien Perlindungan Informasi Azure. Namun, sebagai administrator, Anda mungkin perlu masuk sebagai pengguna yang berbeda selama fase pengujian.
Anda dapat memverifikasi akun mana yang saat ini Anda masuki dengan menggunakan kotak dialog perlindungan informasi Microsoft Azure: Buka aplikasi Office dan pada tab Beranda, di grup Perlindungan, klik Lindungi, lalu klik Bantuan dan umpan balik. Nama akun Anda ditampilkan di bagian Status klien .
Pastikan juga untuk memeriksa nama domain akun masuk yang ditampilkan. Sangat mudah untuk melewatkan bahwa Anda masuk dengan nama akun yang tepat tetapi domain yang salah. Gejala menggunakan akun yang salah termasuk gagal mengunduh kebijakan Perlindungan Informasi Azure, atau tidak melihat label atau perilaku yang Anda harapkan.
Untuk masuk sebagai pengguna lain:
Navigasi ke %localappdata%\Microsoft\MSIP dan hapus file TokenCache .
Mulai ulang aplikasi Office yang terbuka dan masuk dengan akun pengguna Anda yang berbeda. Jika Anda tidak melihat perintah di aplikasi Office Anda untuk masuk ke layanan Perlindungan Informasi Azure, kembali ke kotak dialog perlindungan informasi Microsoft Azure dan klik Masuk dari bagian status Klien yang diperbarui.
Selain itu:
Jika klien Perlindungan Informasi Azure masih masuk dengan akun lama setelah menyelesaikan langkah-langkah ini, hapus semua cookie dari Internet Explorer, lalu ulangi langkah 1 dan 2.
Jika Anda menggunakan akses menyeluruh, Anda harus keluar dari Windows dan masuk dengan akun pengguna yang berbeda setelah menghapus file token. Klien Perlindungan Informasi Azure kemudian secara otomatis mengautentikasi dengan menggunakan akun pengguna Anda yang saat ini masuk.
Solusi ini didukung untuk masuk sebagai pengguna lain dari penyewa yang sama. Ini tidak didukung untuk masuk sebagai pengguna lain dari penyewa yang berbeda. Untuk menguji Perlindungan Informasi Azure dengan beberapa penyewa, gunakan komputer yang berbeda.
Anda dapat menggunakan opsi Reset pengaturan dari Bantuan dan Umpan Balik untuk keluar dan menghapus kebijakan Perlindungan Informasi Azure yang saat ini diunduh.
Menerapkan mode khusus perlindungan saat organisasi Anda memiliki campuran lisensi
Jika organisasi Anda tidak memiliki lisensi apa pun untuk Perlindungan Informasi Azure, tetapi memiliki lisensi untuk Microsoft 365 yang menyertakan layanan Azure Rights Management untuk melindungi data, klien klasik AIP secara otomatis berjalan dalam mode khusus perlindungan.
Namun, jika organisasi Anda memiliki langganan untuk Perlindungan Informasi Azure, secara default semua komputer Windows dapat mengunduh kebijakan Perlindungan Informasi Azure. Klien Perlindungan Informasi Azure tidak melakukan pemeriksaan dan penerapan lisensi.
Jika Anda memiliki beberapa pengguna yang tidak memiliki lisensi untuk Perlindungan Informasi Azure tetapi memiliki lisensi untuk Microsoft 365 yang menyertakan layanan Azure Rights Management, edit registri di komputer pengguna ini untuk mencegah pengguna menjalankan fitur klasifikasi dan pelabelan tanpa lisensi dari Perlindungan Informasi Azure.
Temukan nama nilai berikut dan atur data nilai ke 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Selain itu, periksa apakah komputer ini tidak memiliki file bernama Policy.msip di folder %LocalAppData%\Microsoft\MSIP . Jika file ini ada, hapus file tersebut. File ini berisi kebijakan Perlindungan Informasi Azure dan mungkin telah diunduh sebelum Anda mengedit registri, atau jika klien Perlindungan Informasi Azure diinstal dengan opsi demo.
Menambahkan "Laporkan Masalah" untuk pengguna
Konfigurasi ini menggunakan pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure.
Saat Anda menentukan pengaturan klien tingkat lanjut berikut, pengguna akan melihat opsi Laporkan Masalah yang bisa mereka pilih dari kotak dialog klien Bantuan dan Umpan Balik . Tentukan string HTTP untuk tautan. Misalnya, halaman web kustomisasi yang Anda miliki bagi pengguna untuk melaporkan masalah, atau alamat email yang masuk ke staf dukungan Anda.
Untuk mengonfigurasi pengaturan tingkat lanjut ini, masukkan string berikut:
Kunci: ReportAnIssueLink
Nilai: <String> HTTP
Contoh nilai untuk situs web: https://support.contoso.com
Contoh nilai untuk alamat email: mailto:helpdesk@contoso.com
Sembunyikan opsi menu Klasifikasikan dan Lindungi di Windows File Explorer
Buat nama nilai DWORD berikut (dengan data nilai apa pun):
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable
Dukungan untuk komputer yang terputus
Secara default, klien Perlindungan Informasi Azure secara otomatis mencoba menyambungkan ke layanan Perlindungan Informasi Azure untuk mengunduh kebijakan Perlindungan Informasi Azure terbaru. Jika Anda memiliki komputer yang Anda tahu tidak akan dapat terhubung ke internet untuk jangka waktu tertentu, Anda dapat mencegah klien mencoba terhubung ke layanan dengan mengedit registri.
Perhatikan bahwa tanpa koneksi internet, klien tidak dapat menerapkan perlindungan (atau menghapus perlindungan) dengan menggunakan kunci berbasis cloud organisasi Anda. Sebaliknya, klien terbatas pada penggunaan label yang hanya menerapkan klasifikasi, atau perlindungan yang menggunakan HYOK.
Anda dapat mencegah perintah masuk ke layanan Perlindungan Informasi Azure dengan menggunakan pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure lalu mengunduh kebijakan untuk komputer. Atau, Anda dapat mencegah perintah masuk ini dengan mengedit registri.
Untuk mengonfigurasi pengaturan klien tingkat lanjut:
Masukkan string berikut:
Kunci: PullPolicy
Nilai: False
Unduh kebijakan dengan pengaturan ini dan instal di komputer dengan menggunakan instruksi berikut.
Atau, untuk mengedit registri:
Temukan nama nilai berikut, lalu atur data nilai ke 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Klien harus memiliki file kebijakan yang valid bernama Policy.msip, di folder %LocalAppData%\Microsoft\MSIP .
Anda dapat mengekspor kebijakan global atau kebijakan terlingkup dari portal Azure, dan menyalin file yang diekspor ke komputer klien. Anda juga dapat menggunakan metode ini untuk mengganti file kebijakan yang sudah kedaluarsa dengan kebijakan terbaru. Namun, mengekspor kebijakan tidak mendukung skenario di mana pengguna termasuk dalam lebih dari satu kebijakan terlingkup. Perlu diketahui juga bahwa jika pengguna memilih opsi Reset Pengaturan dari Bantuan dan umpan balik, tindakan ini menghapus file kebijakan dan membuat klien tidak dapat dioperasikan sampai Anda mengganti file kebijakan secara manual atau klien terhubung ke layanan untuk mengunduh kebijakan.
Saat Anda mengekspor kebijakan dari portal Azure, file zip diunduh yang berisi beberapa versi kebijakan. Versi kebijakan ini sesuai dengan versi klien Perlindungan Informasi Azure yang berbeda:
Unzip file dan gunakan tabel berikut untuk mengidentifikasi file kebijakan mana yang Anda butuhkan.
Nama file Versi klien yang sesuai Policy1.1.msip versi 1.2 Policy1.2.msip versi 1.3 - 1.7 Policy1.3.msip versi 1.8 - 1.29 Policy1.4.msip versi 1.32 dan yang lebih baru Ganti nama file yang diidentifikasi menjadi Policy.msip, lalu salin ke folder %LocalAppData%\Microsoft\MSIP di komputer yang menginstal klien Perlindungan Informasi Azure.
Jika komputer Anda yang terputus menjalankan versi GA pemindai Perlindungan Informasi Azure saat ini, ada langkah-langkah konfigurasi tambahan yang harus Anda ambil. Untuk informasi selengkapnya, lihat Pembatasan: Server pemindai tidak dapat memiliki konektivitas internet dalam prasyarat penyebaran pemindai.
Sembunyikan atau tampilkan tombol Jangan Teruskan di Outlook
Metode yang disarankan untuk mengonfigurasi opsi ini adalah dengan menggunakan pengaturan kebijakanTambahkan tombol Jangan Teruskan ke pita Outlook. Namun, Anda juga dapat mengonfigurasi opsi ini dengan menggunakan pengaturan klien tingkat lanjut yang Anda konfigurasi di portal Azure.
Saat Anda mengonfigurasi pengaturan ini, pengaturan akan menyembunyikan atau memperlihatkan tombol Jangan Teruskan pada pita di Outlook. Pengaturan ini tidak berpengaruh pada opsi Jangan Teruskan dari menu Office.
Untuk mengonfigurasi pengaturan tingkat lanjut ini, masukkan string berikut:
Kunci: DisableDNF
Nilai: True untuk menyembunyikan tombol, atau False untuk menampilkan tombol
Membuat opsi izin kustom tersedia atau tidak tersedia untuk pengguna
Metode yang disarankan untuk mengonfigurasi opsi ini adalah dengan menggunakan pengaturan kebijakanBuat opsi izin kustom tersedia untuk pengguna. Namun, Anda juga dapat mengonfigurasi opsi ini dengan menggunakan pengaturan klien tingkat lanjut yang Anda konfigurasi di portal Azure.
Saat Anda mengonfigurasi pengaturan ini dan menerbitkan kebijakan untuk pengguna, opsi izin kustom menjadi terlihat bagi pengguna untuk memilih pengaturan perlindungan mereka sendiri, atau mereka disembunyikan sehingga pengguna tidak dapat memilih pengaturan perlindungan mereka sendiri kecuali diminta.
Untuk mengonfigurasi pengaturan tingkat lanjut ini, masukkan string berikut:
Kunci: EnableCustomPermissions
Nilai: True untuk membuat opsi izin kustom terlihat, atau False untuk menyembunyikan opsi ini
Untuk file yang dilindungi dengan izin kustom, selalu tampilkan izin kustom kepada pengguna di File Explorer
Konfigurasi ini menggunakan pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure.
Saat Anda mengonfigurasi pengaturan kebijakanBuat opsi izin kustom tersedia untuk pengguna atau pengaturan klien tingkat lanjut yang setara di bagian sebelumnya, pengguna tidak dapat melihat atau mengubah izin kustom yang sudah diatur dalam dokumen yang dilindungi.
Saat Anda membuat dan mengonfigurasi pengaturan klien tingkat lanjut ini, pengguna dapat melihat dan mengubah izin kustom untuk dokumen yang dilindungi saat mereka menggunakan File Explorer, dan mengklik kanan file. Opsi Izin Kustom dari tombol Proteksi pada pita Office tetap tersembunyi.
Untuk mengonfigurasi pengaturan tingkat lanjut ini, masukkan string berikut:
Kunci: EnableCustomPermissionsForCustomProtectedFiles
Nilai: True
Catatan
Fitur ini sedang dalam Pratinjau. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Menyembunyikan bilah Perlindungan Informasi Azure secara permanen
Konfigurasi ini menggunakan pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure. Gunakan hanya saat pengaturan kebijakanTampilkan bilah Perlindungan Informasi di aplikasi Office diatur ke Aktif.
Secara default, jika pengguna menghapus opsi Perlihatkan Bilah dari tab Beranda, grup Perlindungan, tombol Lindungi, bilah Perlindungan Informasi tidak lagi ditampilkan di aplikasi Office tersebut. Namun, bilah secara otomatis ditampilkan lagi saat aplikasi Office dibuka lagi.
Untuk mencegah bilah ditampilkan lagi secara otomatis setelah pengguna memilih untuk menyembunyikannya, gunakan pengaturan klien ini. Pengaturan ini tidak berpengaruh jika pengguna menutup bilah dengan menggunakan ikon Tutup bilah ini .
Meskipun bilah Perlindungan Informasi Azure tetap tersembunyi, pengguna masih dapat memilih label dari bilah yang ditampilkan sementara jika Anda telah mengonfigurasi klasifikasi yang direkomendasikan, atau saat dokumen atau email harus memiliki label.
Untuk mengonfigurasi pengaturan tingkat lanjut ini, masukkan string berikut:
Kunci: EnableBarHiding
Nilai: True
Mengaktifkan dukungan pesanan untuk sublabel pada lampiran
Konfigurasi ini menggunakan pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure.
Gunakan pengaturan ini saat Anda memiliki sublabel dan Anda telah mengonfigurasi pengaturan kebijakan berikut:
- Untuk pesan email dengan lampiran, terapkan label yang cocok dengan klasifikasi tertinggi lampiran tersebut
Konfigurasikan string berikut:
Kunci: CompareSubLabelsInAttachmentAction
Nilai: True
Tanpa pengaturan ini, label pertama yang ditemukan dari label induk dengan klasifikasi tertinggi diterapkan ke email.
Dengan pengaturan ini, sublabel yang diurutkan terakhir dari label induk dengan klasifikasi tertinggi diterapkan ke email. Jika Anda perlu menyusun ulang label Anda untuk menerapkan label yang Anda inginkan untuk skenario ini, lihat Cara menghapus atau menyusun ulang label untuk Perlindungan Informasi Azure.
Mengecualikan pesan Outlook dari pelabelan wajib
Konfigurasi ini menggunakan pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure.
Secara default, saat Anda mengaktifkan pengaturan kebijakanSemua dokumen dan email harus memiliki label, semua dokumen yang disimpan dan email yang dikirim harus memiliki label yang diterapkan. Saat Anda mengonfigurasi pengaturan tingkat lanjut berikut, pengaturan kebijakan hanya berlaku untuk dokumen Office dan tidak Outlook pesan.
Untuk mengonfigurasi pengaturan tingkat lanjut ini, masukkan string berikut:
Kunci: DisableMandatoryInOutlook
Nilai: True
Aktifkan klasifikasi yang direkomendasikan di Outlook
Konfigurasi ini menggunakan pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure.
Saat Anda mengonfigurasi label untuk klasifikasi yang direkomendasikan, pengguna diminta untuk menerima atau menutup label yang direkomendasikan di Word, Excel, dan PowerPoint. Pengaturan ini memperluas rekomendasi label ini untuk juga ditampilkan di Outlook.
Untuk mengonfigurasi pengaturan tingkat lanjut ini, masukkan string berikut:
Kunci: OutlookRecommendationEnabled
Nilai: True
Catatan
Fitur ini sedang dalam Pratinjau. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Menerapkan pesan pop-up di Outlook yang memperingatkan, membenarkan, atau memblokir email yang dikirim
Konfigurasi ini menggunakan beberapa pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure.
Saat Anda membuat dan mengonfigurasi pengaturan klien tingkat lanjut berikut, pengguna melihat pesan pop-up di Outlook yang dapat memperingatkan mereka sebelum mengirim email, atau meminta mereka untuk memberikan pembenaran mengapa mereka mengirim email, atau mencegah mereka mengirim email untuk salah satu skenario berikut:
Email atau lampiran mereka untuk email memiliki label tertentu:
- Lampiran dapat berupa jenis file apa pun
Email atau lampiran mereka untuk email tidak memiliki label:
- Lampiran dapat berupa dokumen Office atau dokumen PDF
Ketika kondisi ini terpenuhi, pengguna melihat pesan pop-up dengan salah satu tindakan berikut:
Peringatan: Pengguna dapat mengonfirmasi dan mengirim, atau membatalkan.
Justify: Pengguna diminta untuk justifikasi (opsi yang telah ditentukan atau bentuk bebas). Pengguna kemudian dapat mengirim atau membatalkan email. Teks pembenaran ditulis ke email x-header, sehingga dapat dibaca oleh sistem lain. Misalnya, layanan pencegahan kehilangan data (DLP).
Blokir: Pengguna dicegah untuk mengirim email saat kondisi tetap ada. Pesan ini mencakup alasan pemblokiran email, sehingga pengguna dapat mengatasi masalah tersebut. Misalnya, hapus penerima tertentu, atau beri label email.
Saat pesan popup adalah untuk label tertentu, Anda dapat mengonfigurasi pengecualian untuk penerima berdasarkan nama domain.
Tindakan yang dihasilkan dari pesan pop-up dicatat ke log peristiwa Windows lokal PerlindunganInformasi AzureLog> Aplikasi dan Layanan:
Pesan peringatan: ID Informasi 301
Rata kanan: ID Informasi 302
Memblokir pesan: ID Informasi 303
Contoh entri peristiwa dari pesan justify:
Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Price list.msg
Item Name: Price list
Process Name: OUTLOOK
Action: Justify
User Justification: My manager approved sharing of this content
Action Source:
User Response: Confirmed
Bagian berikut berisi instruksi konfigurasi untuk setiap pengaturan klien tingkat lanjut, dan Anda dapat melihatnya beraksi sendiri dengan Tutorial: Mengonfigurasi Perlindungan Informasi Azure untuk mengontrol berbagi informasi secara berlebihan menggunakan Outlook.
Untuk mengimplementasikan pesan pop-up peringatan, justifikasi, atau blokir untuk label tertentu:
Untuk menerapkan pesan pop-up untuk label tertentu, Anda harus mengetahui ID label untuk label tersebut. Nilai ID label ditampilkan di panel Label, saat Anda menampilkan atau mengonfigurasi kebijakan Perlindungan Informasi Azure di portal Azure. Untuk file yang memiliki label yang diterapkan, Anda juga dapat menjalankan cmdlet PowerShell Get-AIPFileStatus untuk mengidentifikasi ID label (MainLabelId atau SubLabelId). Ketika label memiliki sublabel, selalu tentukan ID hanya sublabel dan bukan label induk.
Buat satu atau beberapa pengaturan klien tingkat lanjut berikut ini dengan kunci berikut. Untuk nilai, tentukan satu atau beberapa label menurut ID mereka, masing-masing dipisahkan oleh koma.
Contoh nilai untuk beberapa ID label sebagai string yang dipisahkan koma: dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
Pesan peringatan:
Kunci: OutlookWarnUntrustedCollaborationLabel
Nilai: <ID label, dipisahkan koma>
Pesan justifikasi:
Kunci: OutlookJustifyUntrustedCollaborationLabel
Nilai: <ID label, dipisahkan koma>
Memblokir pesan:
Kunci: OutlookBlockUntrustedCollaborationLabel
Nilai: <ID label, dipisahkan koma>
Untuk mengecualikan nama domain untuk pesan pop-up yang dikonfigurasi untuk label tertentu
Untuk label yang telah Anda tentukan dengan pesan pop-up ini, Anda dapat mengecualikan nama domain tertentu sehingga pengguna tidak melihat pesan untuk penerima yang memiliki nama domain tersebut termasuk dalam alamat email mereka. Dalam hal ini, email dikirim tanpa gangguan. Untuk menentukan beberapa domain, tambahkan sebagai string tunggal, dipisahkan dengan koma.
Konfigurasi umumnya adalah menampilkan pesan pop-up hanya untuk penerima yang berada di luar organisasi Anda atau yang bukan mitra yang berwenang untuk organisasi Anda. Dalam hal ini, Anda menentukan semua domain email yang digunakan oleh organisasi Anda dan oleh mitra Anda.
Buat pengaturan klien tingkat lanjut berikut dan untuk nilainya, tentukan satu atau beberapa domain, masing-masing dipisahkan oleh koma.
Contoh nilai untuk beberapa domain sebagai string yang dipisahkan koma: contoso.com,fabrikam.com,litware.com
Pesan peringatan:
Kunci: OutlookWarnTrustedDomains
Nilai: <nama domain, dipisahkan koma>
Pesan justifikasi:
Kunci: OutlookJustifyTrustedDomains
Nilai: <nama domain, dipisahkan koma>
Memblokir pesan:
Kunci: OutlookBlockTrustedDomains
Nilai: <nama domain, dipisahkan koma>
Misalnya, Anda telah menentukan pengaturan klien tingkat lanjut OutlookBlockUntrustedCollaborationLabel untuk label Rahasia \ Semua Karyawan . Anda sekarang menentukan pengaturan klien tingkat lanjut tambahan outlookBlockTrustedDomains dan contoso.com. Akibatnya, pengguna dapat mengirim email ke john@sales.contoso.com ketika berlabel Rahasia \ Semua Karyawan tetapi akan diblokir agar tidak mengirim email dengan label yang sama ke akun Gmail.
Untuk mengimplementasikan peringatan, membenarkan, atau memblokir pesan pop-up untuk email atau lampiran yang tidak memiliki label:
Buat pengaturan klien tingkat lanjut berikut dengan salah satu nilai berikut:
Pesan peringatan:
Kunci: OutlookUnlabeledCollaborationAction
Nilai: Peringatkan
Pesan justifikasi:
Kunci: OutlookUnlabeledCollaborationAction
Nilai: Rata Kanan Kanan Kiri
Memblokir pesan:
Kunci: OutlookUnlabeledCollaborationAction
Nilai: Blokir
Nonaktifkan pesan ini:
Kunci: OutlookUnlabeledCollaborationAction
Nilai: Nonaktif
Untuk menentukan ekstensi nama file tertentu untuk pesan pop-up peringatan, justifikasi, atau blokir untuk lampiran email yang tidak memiliki label
Secara default, pesan pop-up peringatan, justifikasi, atau blokir berlaku untuk semua dokumen Office dan dokumen PDF. Anda dapat memperbaiki daftar ini dengan menentukan ekstensi nama file mana yang harus menampilkan pesan peringatan, justifikasi, atau blokir dengan properti klien tingkat lanjut tambahan dan daftar ekstensi nama file yang dipisahkan koma.
Contoh nilai untuk beberapa ekstensi nama file untuk didefinisikan sebagai string yang dipisahkan koma: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM
Dalam contoh ini, dokumen PDF yang tidak berlabel tidak akan menghasilkan pesan pop-up peringatan, justifikasi, atau blokir.
Kunci: OutlookOverrideUnlabeledCollaborationExtensions
Nilai: <ekstensi nama file untuk menampilkan pesan, dipisahkan koma>
Untuk menentukan tindakan yang berbeda untuk pesan email tanpa lampiran
Secara default, nilai yang Anda tentukan untuk OutlookUnlabeledCollaborationAction untuk memperingatkan, membenarkan, atau memblokir pesan pop-up berlaku untuk email atau lampiran yang tidak memiliki label. Anda dapat memperbaiki konfigurasi ini dengan menentukan pengaturan klien tingkat lanjut lain untuk pesan email yang tidak memiliki lampiran.
Buat pengaturan klien tingkat lanjut berikut dengan salah satu nilai berikut:
Pesan peringatan:
Kunci: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Nilai: Peringatkan
Pesan justifikasi:
Kunci: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Nilai: Rata Kanan Kanan Kiri
Memblokir pesan:
Kunci: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Nilai: Blokir
Nonaktifkan pesan ini:
Kunci: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Nilai: Nonaktif
Jika Anda tidak menentukan pengaturan klien ini, nilai yang Anda tentukan untuk OutlookUnlabeledCollaborationAction digunakan untuk pesan email tanpa label tanpa lampiran serta pesan email tanpa label dengan lampiran.
Mengatur label default yang berbeda untuk Outlook
Konfigurasi ini menggunakan pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure.
Saat Anda mengonfigurasi pengaturan ini, Outlook tidak menerapkan label default yang dikonfigurasi dalam kebijakan Perlindungan Informasi Azure untuk pengaturan Pilih label default. Sebagai gantinya, Outlook dapat menerapkan label default yang berbeda, atau tanpa label.
Untuk menerapkan label yang berbeda, Anda harus menentukan ID label. Nilai ID label ditampilkan di panel Label, saat Anda menampilkan atau mengonfigurasi kebijakan Perlindungan Informasi Azure di portal Azure. Untuk file yang memiliki label yang diterapkan, Anda juga dapat menjalankan cmdlet PowerShell Get-AIPFileStatus untuk mengidentifikasi ID label (MainLabelId atau SubLabelId). Ketika label memiliki sublabel, selalu tentukan ID hanya sublabel dan bukan label induk.
Sehingga Outlook tidak menerapkan label default, tentukan Tidak Ada.
Untuk mengonfigurasi pengaturan tingkat lanjut ini, masukkan string berikut:
Kunci: OutlookDefaultLabel
Nilai: <ID> label atau Tidak Ada
Mengonfigurasi label untuk menerapkan perlindungan S/MIME di Outlook
Konfigurasi ini menggunakan pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure.
Gunakan pengaturan ini hanya saat Anda memiliki penyebaran S/MIME yang berfungsi dan ingin label menerapkan metode perlindungan ini secara otomatis untuk email daripada Rights Management perlindungan dari Perlindungan Informasi Azure. Perlindungan yang dihasilkan sama seperti ketika pengguna secara manual memilih opsi S/MIME dari Outlook.
Konfigurasi ini mengharuskan Anda menentukan pengaturan klien tingkat lanjut bernama LabelToSMIME untuk setiap label Perlindungan Informasi Azure yang ingin Anda terapkan perlindungan S/MIME. Kemudian untuk setiap entri, atur nilai dengan menggunakan sintaks berikut:
[Azure Information Protection label ID];[S/MIME action]
Nilai ID label ditampilkan di panel Label, saat Anda menampilkan atau mengonfigurasi kebijakan Perlindungan Informasi Azure di portal Azure. Untuk menggunakan S/MIME dengan sublabel, selalu tentukan ID hanya sublabel dan bukan label induk. Saat Anda menentukan sublabel, label induk harus berada dalam cakupan yang sama, atau dalam kebijakan global.
Tindakan S/MIME dapat berupa:
Sign;Encrypt: Untuk menerapkan tanda tangan digital dan enkripsi S/MIMEEncrypt: Untuk menerapkan enkripsi S/MIME sajaSign: Untuk menerapkan tanda tangan digital saja
Contoh nilai untuk ID label dcf781ba-727f-4860-b3c1-73479e31912b:
Untuk menerapkan tanda tangan digital dan enkripsi S/MIME:
dcf781ba-727f-4860-b3c1-73479e31912b; Tanda tangani; Mengenkripsi
Untuk menerapkan enkripsi S/MIME saja:
dcf781ba-727f-4860-b3c1-73479e31912b; Mengenkripsi
Untuk menerapkan tanda tangan digital saja:
dcf781ba-727f-4860-b3c1-73479e31912b; Tanda
Sebagai hasil dari konfigurasi ini, ketika label diterapkan untuk pesan email, perlindungan S/MIME diterapkan ke email selain klasifikasi label.
Jika label yang Anda tentukan dikonfigurasi untuk perlindungan Rights Management di portal Azure, perlindungan S/MIME menggantikan perlindungan Rights Management hanya di Outlook. Untuk semua skenario lain yang mendukung pelabelan, perlindungan Rights Management akan diterapkan.
Jika Anda ingin label terlihat di Outlook saja, konfigurasikan label untuk menerapkan tindakan tunggal yang ditentukan pengguna dari Jangan Teruskan, seperti yang dijelaskan dalam Mulai Cepat: Mengonfigurasi label bagi pengguna untuk dengan mudah melindungi email yang berisi informasi sensitif.
Hapus "Tidak sekarang" untuk dokumen saat Anda menggunakan pelabelan wajib
Konfigurasi ini menggunakan pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure.
Saat Anda menggunakan pengaturan kebijakanSemua dokumen dan email harus memiliki label, pengguna diminta untuk memilih label saat pertama kali menyimpan dokumen Office dan kapan mereka mengirim email. Untuk dokumen, pengguna dapat memilih Tidak sekarang untuk menutup sementara perintah untuk memilih label dan kembali ke dokumen. Namun, mereka tidak dapat menutup dokumen yang disimpan tanpa melabelinya.
Saat Anda mengonfigurasi pengaturan ini, pengaturan akan menghapus opsi Tidak sekarang sehingga pengguna harus memilih label saat dokumen pertama kali disimpan.
Untuk mengonfigurasi pengaturan tingkat lanjut ini, masukkan string berikut:
Kunci: PostponeMandatoryBeforeSave
Nilai: False
Aktifkan klasifikasi untuk berjalan terus menerus di latar belakang
Konfigurasi ini menggunakan pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure.
Saat Anda mengonfigurasi pengaturan ini, pengaturan ini mengubah perilaku default tentang bagaimana klien Perlindungan Informasi Azure menerapkan label otomatis dan yang direkomendasikan ke dokumen:
Untuk Word, Excel, dan PowerPoint, klasifikasi otomatis berjalan terus-menerus di latar belakang.
Perilaku tidak berubah untuk Outlook.
Saat klien Perlindungan Informasi Azure secara berkala memeriksa dokumen untuk aturan kondisi yang Anda tentukan, perilaku ini memungkinkan klasifikasi dan perlindungan otomatis dan direkomendasikan untuk dokumen yang disimpan di Microsoft SharePoint. File besar juga lebih cepat disimpan karena aturan kondisi telah berjalan.
Aturan kondisi tidak berjalan secara real time sebagai jenis pengguna. Sebaliknya, mereka berjalan secara berkala sebagai tugas latar belakang jika dokumen dimodifikasi.
Untuk mengonfigurasi pengaturan tingkat lanjut ini, masukkan string berikut:
Kunci: RunPolicyInBackground
Nilai: True
Catatan
Fitur ini sedang dalam Pratinjau. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Jangan lindungi file PDF dengan menggunakan standar ISO untuk enkripsi PDF
Konfigurasi ini menggunakan pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure.
Ketika versi terbaru klien Perlindungan Informasi Azure melindungi file PDF, ekstensi nama file yang dihasilkan tetap sebagai .pdf dan mematuhi standar ISO untuk enkripsi PDF. Untuk informasi selengkapnya tentang standar ini, lihat bagian 7.6 Enkripsi dari dokumen yang berasal dari ISO 32000-1 dan diterbitkan oleh Adobe Systems Incorporated.
Jika Anda memerlukan klien untuk kembali ke perilaku dalam versi klien yang lebih lama yang melindungi file PDF dengan menggunakan ekstensi nama file .ppdf, gunakan pengaturan tingkat lanjut berikut dengan memasukkan string berikut:
Kunci: EnablePDFv2Protection
Nilai: False
Misalnya, Anda mungkin memerlukan pengaturan ini untuk semua pengguna jika Anda menggunakan pembaca PDF yang tidak mendukung standar ISO untuk enkripsi PDF. Atau, Anda mungkin perlu mengonfigurasinya untuk beberapa pengguna saat Anda secara bertahap melakukan perubahan pembaca PDF yang mendukung format baru. Alasan potensial lain untuk menggunakan pengaturan ini adalah jika Anda perlu menambahkan perlindungan ke dokumen PDF yang ditandatangani. Dokumen PDF yang ditandatangani juga dapat dilindungi dengan format .ppdf karena perlindungan ini diimplementasikan sebagai pembungkus untuk file.
Agar pemindai Perlindungan Informasi Azure menggunakan pengaturan baru, layanan pemindai harus dimulai ulang. Selain itu, pemindai tidak akan lagi melindungi dokumen PDF secara default. Jika Anda ingin dokumen PDF dilindungi oleh pemindai saat EnablePDFv2Protection diatur ke False, Anda harus mengedit registri.
Untuk informasi selengkapnya tentang enkripsi PDF baru, lihat posting blog Dukungan baru untuk enkripsi PDF dengan Perlindungan Informasi Microsoft.
Untuk daftar pembaca PDF yang mendukung standar ISO untuk enkripsi PDF, dan pembaca yang mendukung format yang lebih lama, lihat Pembaca PDF yang didukung untuk Perlindungan Informasi Microsoft.
Untuk mengonversi file .ppdf yang ada ke file .pdf yang dilindungi
Ketika klien Perlindungan Informasi Azure telah mengunduh kebijakan klien dengan pengaturan baru, Anda dapat menggunakan perintah PowerShell untuk mengonversi file .ppdf yang ada ke file .pdf yang dilindungi yang menggunakan standar ISO untuk enkripsi PDF.
Untuk menggunakan instruksi berikut untuk file yang tidak Anda lindungi sendiri, Anda harus memiliki hak penggunaan Rights Management untuk menghapus perlindungan dari file, atau menjadi pengguna super. Untuk mengaktifkan fitur pengguna super dan mengonfigurasi akun Anda untuk menjadi pengguna super, lihat Mengonfigurasi pengguna super untuk Azure Rights Management dan Discovery Services atau Pemulihan Data.
Selain itu, ketika Anda menggunakan instruksi ini untuk file yang tidak Anda lindungi sendiri, Anda menjadi Penerbit RMS. Dalam skenario ini, pengguna yang awalnya melindungi dokumen tidak dapat lagi melacak dan mencabutnya. Jika pengguna perlu melacak dan mencabut dokumen PDF yang dilindungi, minta mereka untuk menghapus secara manual lalu menerapkan kembali label dengan menggunakan File Explorer, klik kanan.
Untuk menggunakan perintah PowerShell untuk mengonversi file .ppdf yang ada ke file .pdf terlindungi yang menggunakan standar ISO untuk enkripsi PDF:
Gunakan Get-AIPFileStatus dengan file .ppdf. Contohnya:
Get-AIPFileStatus -Path \\Finance\Projectx\sales.ppdfDari output, catat nilai parameter berikut:
Nilai (GUID) untuk SubLabelId, jika ada. Jika nilai ini kosong, sublabel tidak digunakan, jadi perhatikan nilai untuk MainLabelId sebagai gantinya.
Catatan: Jika tidak ada nilai untuk MainLabelId , file tidak diberi label. Dalam hal ini, Anda dapat menggunakan perintah Unprotect-RMSFile dan perintah Protect-RMSFile alih-alih perintah di langkah 3 dan 4.
Nilai untuk RMSTemplateId. Jika nilai ini adalah Akses Terbatas, pengguna telah melindungi file menggunakan izin kustom daripada pengaturan perlindungan yang dikonfigurasi untuk label. Jika Anda melanjutkan, izin kustom tersebut akan ditimpa oleh pengaturan perlindungan label. Putuskan apakah akan melanjutkan atau meminta pengguna (nilai yang ditampilkan untuk RMSIssuer) untuk menghapus label dan menerapkannya kembali, bersama dengan izin kustom asli mereka.
Hapus label dengan menggunakan Set-AIPFileLabel dengan parameter RemoveLabel . Jika Anda menggunakan pengaturan kebijakanPengguna harus memberikan pembenaran untuk mengatur label klasifikasi yang lebih rendah, menghapus label, atau menghapus perlindungan, Anda juga harus menentukan parameter Justifikasi dengan alasan tersebut. Contohnya:
Set-AIPFileLabel \\Finance\Projectx\sales.ppdf -RemoveLabel -JustificationMessage 'Removing .ppdf protection to replace with .pdf ISO standard'Terapkan ulang label asli, dengan menentukan nilai untuk label yang Anda identifikasi di langkah 1. Contohnya:
Set-AIPFileLabel \\Finance\Projectx\sales.pdf -LabelId d9f23ae3-1234-1234-1234-f515f824c57b
File mempertahankan ekstensi nama file .pdf tetapi diklasifikasikan seperti sebelumnya, dan dilindungi dengan menggunakan standar ISO untuk enkripsi PDF.
Dukungan untuk file yang dilindungi oleh Secure Islands
Jika Anda menggunakan Pulau Aman untuk melindungi dokumen, Anda mungkin telah melindungi file teks dan gambar, dan file yang dilindungi secara umum sebagai akibat dari perlindungan ini. Misalnya, file yang memiliki ekstensi nama file .ptxt, .pjpeg, atau .pfile. Saat Anda mengedit registri sebagai berikut, Perlindungan Informasi Azure dapat mendekripsi file-file ini:
Tambahkan nilai DWORD enableIQPFormats berikut ke jalur registri berikut, dan atur data nilai ke 1:
Untuk versi 64-bit Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Untuk versi Windows 32-bit: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIP
Sebagai hasil dari pengeditan registri ini, skenario berikut didukung:
Penampil Perlindungan Informasi Azure dapat membuka file yang dilindungi ini.
Pemindai Perlindungan Informasi Azure dapat memeriksa file-file ini untuk informasi sensitif.
File Explorer, PowerShell, dan pemindai Perlindungan Informasi Azure dapat memberi label file-file ini. Akibatnya, Anda dapat menerapkan label Perlindungan Informasi Azure yang menerapkan perlindungan baru dari Perlindungan Informasi Azure, atau yang menghapus perlindungan yang ada dari Pulau Aman.
Anda dapat menggunakan kustomisasi klien migrasi pelabelan untuk mengonversi label Secure Islands secara otomatis pada file yang dilindungi ini ke label Perlindungan Informasi Azure.
Catatan
Fitur ini sedang dalam Pratinjau. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Memigrasikan label dari Kepulauan Aman dan solusi pelabelan lainnya
Konfigurasi ini menggunakan pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure.
Konfigurasi ini saat ini tidak kompatibel dengan perilaku default baru yang melindungi file PDF dengan menggunakan standar ISO untuk enkripsi PDF. Dalam skenario ini, file .ppdf tidak dapat dibuka dengan File Explorer, PowerShell, atau pemindai. Untuk mengatasinya, gunakan pengaturan klien tingkat lanjut untuk tidak menggunakan standar ISO untuk enkripsi PDF.
Untuk dokumen Office dan dokumen PDF yang diberi label oleh Secure Islands, Anda dapat melabeli ulang dokumen-dokumen ini dengan label Perlindungan Informasi Azure dengan menggunakan pemetaan yang Anda tentukan. Anda juga menggunakan metode ini untuk menggunakan kembali label dari solusi lain saat labelnya berada di dokumen Office.
Catatan
Jika Anda memiliki file selain PDF dan Office dokumen yang dilindungi oleh Secure Islands, ini dapat diberi label ulang setelah Anda mengedit registri seperti yang dijelaskan di bagian sebelumnya.
Sebagai hasil dari opsi konfigurasi ini, label Perlindungan Informasi Azure baru diterapkan oleh klien Perlindungan Informasi Azure sebagai berikut:
Untuk dokumen Office: Saat dokumen dibuka di aplikasi desktop, label Perlindungan Informasi Azure baru ditampilkan sebagai diatur dan diterapkan saat dokumen disimpan.
Untuk File Explorer: Dalam kotak dialog Perlindungan Informasi Azure, label Perlindungan Informasi Azure baru ditampilkan sebagai diatur dan diterapkan saat pengguna memilih Terapkan. Jika pengguna memilih Batal, label baru tidak diterapkan.
Untuk PowerShell: Set-AIPFileLabel menerapkan label Perlindungan Informasi Azure baru. Get-AIPFileStatus tidak menampilkan label Perlindungan Informasi Azure baru hingga diatur oleh metode lain.
Untuk pemindai Perlindungan Informasi Azure: Penemuan melaporkan kapan label Perlindungan Informasi Azure baru akan diatur dan label ini dapat diterapkan dengan mode terapkan.
Konfigurasi ini mengharuskan Anda menentukan pengaturan klien tingkat lanjut bernama LabelbyCustomProperty untuk setiap label Perlindungan Informasi Azure yang ingin Anda petakan ke label lama. Kemudian untuk setiap entri, atur nilai dengan menggunakan sintaks berikut:
[Azure Information Protection label ID],[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]
Nilai ID label ditampilkan di panel Label, saat Anda menampilkan atau mengonfigurasi kebijakan Perlindungan Informasi Azure di portal Azure. Untuk menentukan sublabel, label induk harus berada dalam cakupan yang sama, atau dalam kebijakan global.
Tentukan pilihan nama aturan migrasi Anda. Gunakan nama deskriptif yang membantu Anda mengidentifikasi bagaimana satu atau beberapa label dari solusi pelabelan Sebelumnya harus dipetakan ke label Perlindungan Informasi Azure. Nama ditampilkan dalam laporan pemindai dan di Pemantau Peristiwa. Perhatikan bahwa pengaturan ini tidak menghapus label asli dari dokumen atau tanda visual apa pun dalam dokumen yang mungkin diterapkan label asli. Untuk menghapus header dan footer, lihat bagian berikutnya, Menghapus header dan footer dari solusi pelabelan lainnya.
Contoh 1: Pemetaan satu-ke-satu dengan nama label yang sama
Persyaratan: Dokumen yang memiliki label Kepulauan Aman "Rahasia" harus diberi label "Rahasia" oleh Perlindungan Informasi Azure.
Dalam contoh ini:
Label Perlindungan Informasi Azure yang ingin Anda gunakan diberi nama Rahasia dan memiliki ID label 1ace2cc3-14bc-4142-9125-bf946a70542c.
Label Kepulauan Aman diberi nama Rahasia dan disimpan di properti kustom bernama Klasifikasi.
Pengaturan klien tingkat lanjut:
| Nama | Nilai |
|---|---|
| LabelbyCustomProperty | 1ace2cc3-14bc-4142-9125-bf946a70542c,"Secure Islands label is Confidential",Classification,Confidential |
Contoh 2: Pemetaan satu-ke-satu untuk nama label yang berbeda
Persyaratan: Dokumen berlabel "Sensitif" oleh Secure Islands harus diberi label sebagai "Sangat Rahasia" oleh Perlindungan Informasi Azure.
Dalam contoh ini:
Label Perlindungan Informasi Azure yang ingin Anda gunakan diberi nama Sangat Rahasia dan memiliki ID label 3e9df74d-3168-48af-8b11-037e3021813f.
Label Kepulauan Aman diberi nama Sensitif dan disimpan di properti kustom bernama Klasifikasi.
Pengaturan klien tingkat lanjut:
| Nama | Nilai |
|---|---|
| LabelbyCustomProperty | 3e9df74d-3168-48af-8b11-037e3021813f,"Secure Islands label is Sensitive",Classification,Sensitive |
Contoh 3: Pemetaan banyak ke satu nama label
Persyaratan: Anda memiliki dua label Kepulauan Aman yang menyertakan kata "Internal" dan Anda ingin dokumen yang memiliki salah satu label Kepulauan Aman ini diberi label sebagai "Umum" oleh Perlindungan Informasi Azure.
Dalam contoh ini:
Label Perlindungan Informasi Azure yang ingin Anda gunakan diberi nama Umum dan memiliki ID label 2beb8fe7-8293-444c-9768-7fdc6f75014d.
Label Kepulauan Aman menyertakan kata Internal dan disimpan dalam properti kustom bernama Klasifikasi.
Pengaturan klien tingkat lanjut:
| Nama | Nilai |
|---|---|
| LabelbyCustomProperty | 2beb8fe7-8293-444c-9768-7fdc6f75014d,"Label Kepulauan Aman berisi Internal",Klasifikasi,.*Internal.* |
Menghapus header dan footer dari solusi pelabelan lainnya
Konfigurasi ini menggunakan beberapa pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure.
Pengaturan memungkinkan Anda menghapus atau mengganti header atau footer berbasis teks dari dokumen saat penandaan visual tersebut telah diterapkan oleh solusi pelabelan lain. Misalnya, footer lama berisi nama label lama yang sekarang telah Anda migrasikan ke Perlindungan Informasi Azure dengan nama label baru dan footernya sendiri.
Ketika klien mendapatkan konfigurasi ini dalam kebijakannya, header dan footer lama dihapus atau diganti saat dokumen dibuka di aplikasi Office dan label Perlindungan Informasi Azure diterapkan ke dokumen.
Konfigurasi ini tidak didukung untuk Outlook, dan ketahuilah bahwa ketika Anda menggunakannya dengan Word, Excel, dan PowerPoint, itu dapat berdampak negatif pada performa aplikasi ini untuk pengguna. Konfigurasi memungkinkan Anda menentukan pengaturan per aplikasi, misalnya, mencari teks di header dan footer dokumen Word tetapi tidak Excel lembar bentang atau presentasi PowerPoint.
Karena pencocokan pola memengaruhi performa bagi pengguna, kami sarankan Anda membatasi jenis aplikasi Office (Word, EXcel, PowerPoint) hanya untuk yang perlu dicari:
Kunci: RemoveExternalContentMarkingInApp
Nilai: <Office jenis aplikasi WXP>
Contoh:
Untuk mencari dokumen Word saja, tentukan W.
Untuk mencari dokumen Word dan presentasi PowerPoint, tentukan WP.
Anda kemudian memerlukan setidaknya satu pengaturan klien tingkat lanjut lagi, ExternalContentMarkingToRemove, untuk menentukan konten header atau footer, dan cara menghapus atau menggantinya.
Catatan
Fitur ini sedang dalam Pratinjau. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Cara mengonfigurasi ExternalContentMarkingToRemove
Saat Anda menentukan nilai string untuk kunci ExternalContentMarkingToRemove , Anda memiliki tiga opsi yang menggunakan ekspresi reguler:
Kecocokan parsial untuk menghapus semuanya di header atau footer.
Contoh: Header atau footer berisi string TEXT TO REMOVE. Anda ingin menghapus header atau footer ini sepenuhnya. Anda menentukan nilai:
*TEXT*.Selesaikan kecocokan untuk menghapus kata-kata tertentu saja di header atau footer.
Contoh: Header atau footer berisi string TEXT TO REMOVE. Anda ingin menghapus kata TEKS saja, yang meninggalkan string header atau footer sebagai TO REMOVE. Anda menentukan nilai:
TEXT.Selesaikan kecocokan untuk menghapus semuanya di header atau footer.
Contoh: Header atau footer memiliki string TEXT TO REMOVE. Anda ingin menghapus header atau footer yang memiliki string ini. Anda menentukan nilai:
^TEXT TO REMOVE$.
Pencocokan pola untuk string yang Anda tentukan tidak peka huruf besar/kecil. Panjang string maksimum adalah 255 karakter.
Karena beberapa dokumen mungkin menyertakan karakter yang tidak terlihat atau jenis spasi atau tab yang berbeda, string yang Anda tentukan untuk frasa atau kalimat mungkin tidak terdeteksi. Jika memungkinkan, tentukan satu kata pembeda untuk nilai dan pastikan untuk menguji hasilnya sebelum Anda menyebarkan dalam produksi.
Kunci: ExternalContentMarkingToRemove
Nilai: <string yang cocok, didefinisikan sebagai ekspresi reguler>
Header atau footer multibaris
Jika teks header atau footer lebih dari satu baris, buat kunci dan nilai untuk setiap baris. Misalnya, Anda memiliki footer berikut dengan dua baris:
The file is classified as Confidential
Label applied manually
Untuk menghapus footer multibaris ini, Anda membuat dua entri berikut:
Kunci 1: ExternalContentMarkingToRemove
Nilai Kunci 1: *Rahasia*
Kunci 2: ExternalContentMarkingToRemove
Nilai Kunci 2: *Label diterapkan*
Pengoptimalan untuk PowerPoint
Footer di PowerPoint diimplementasikan sebagai bentuk. Untuk menghindari penghapusan bentuk yang berisi teks yang telah Anda tentukan tetapi bukan header atau footer, gunakan pengaturan klien tingkat lanjut tambahan bernama PowerPointShapeNameToRemove. Sebaiknya gunakan pengaturan ini untuk menghindari pemeriksaan teks dalam semua bentuk, yang merupakan proses intensif sumber daya.
Jika Anda tidak menentukan pengaturan klien tingkat lanjut tambahan ini, dan PowerPoint disertakan dalam nilai kunci RemoveExternalContentMarkingInApp, semua bentuk akan diperiksa untuk teks yang Anda tentukan di nilai ExternalContentMarkingToRemove.
Untuk menemukan nama bentuk yang Anda gunakan sebagai header atau footer:
Di PowerPoint, tampilkan panel Pilihan: Tab FormatSusun>Panel Pilihan grup>.
Pilih bentuk pada slide yang berisi header atau footer Anda. Nama bentuk yang dipilih sekarang disorot di panel Pilihan .
Gunakan nama bentuk untuk menentukan nilai string untuk kunci PowerPointShapeNameToRemove .
Contoh: Nama bentuk adalah fc. Untuk menghapus bentuk dengan nama ini, Anda menentukan nilai: fc.
Kunci: PowerPointShapeNameToRemove
Nilai: <nama bentuk PowerPoint>
Saat Anda memiliki lebih dari satu bentuk PowerPoint untuk dihapus, buat sebanyak mungkin tombol PowerPointShapeNameToRemove karena Anda memiliki bentuk untuk dihapus. Untuk setiap entri, tentukan nama bentuk yang akan dihapus.
Secara default, hanya slide Master yang diperiksa untuk header dan footer. Untuk memperluas pencarian ini ke semua slide, yang merupakan proses yang jauh lebih intensif sumber daya, gunakan pengaturan klien tingkat lanjut tambahan bernama RemoveExternalContentMarkingInAllSlides:
Kunci: RemoveExternalContentMarkingInAllSlides
Nilai: Benar
Memberi label dokumen Office dengan menggunakan properti kustom yang sudah ada
Catatan
Jika Anda menggunakan konfigurasi ini dan konfigurasi untuk memigrasikan label dari Kepulauan Aman dan solusi pelabelan lainnya, pengaturan migrasi pelabelan diutamakan.
Konfigurasi ini menggunakan pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure.
Saat mengonfigurasi pengaturan ini, Anda dapat mengklasifikasikan (dan secara opsional, melindungi) dokumen Office saat memiliki properti kustom yang sudah ada dengan nilai yang cocok dengan salah satu nama label Anda. Properti kustom ini dapat diatur dari solusi klasifikasi lain, atau dapat ditetapkan sebagai properti dengan SharePoint.
Sebagai hasil dari konfigurasi ini, ketika dokumen tanpa label Perlindungan Informasi Azure dibuka dan disimpan oleh pengguna dalam aplikasi Office, dokumen kemudian diberi label agar sesuai dengan nilai properti yang sesuai.
Konfigurasi ini mengharuskan Anda menentukan dua pengaturan tingkat lanjut yang bekerja sama. Yang pertama bernama SyncPropertyName, yang merupakan nama properti kustom yang telah diatur dari solusi klasifikasi lainnya, atau properti yang diatur oleh SharePoint. Yang kedua bernama SyncPropertyState dan harus diatur ke OneWay.
Untuk mengonfigurasi pengaturan tingkat lanjut ini, masukkan string berikut:
Kunci 1: SyncPropertyName
Nilai Kunci 1: <nama properti>
Kunci 2: SyncPropertyState
Nilai Kunci 2: OneWay
Gunakan kunci ini dan nilai terkait hanya untuk satu properti kustom.
Sebagai contoh, Anda memiliki kolom SharePoint bernama Klasifikasi yang memiliki kemungkinan nilai Publik, Umum, dan Sangat Rahasia Semua Karyawan. Dokumen disimpan dalam SharePoint dan memiliki Publik, Umum, atau Sangat Rahasia Semua Karyawan sebagai nilai yang ditetapkan untuk properti Klasifikasi.
Untuk memberi label dokumen Office dengan salah satu nilai klasifikasi ini, atur SyncPropertyName ke Klasifikasi, dan SyncPropertyState ke OneWay.
Sekarang, ketika pengguna membuka dan menyimpan salah satu dokumen Office ini, pengguna diberi label Publik, Umum, atau Sangat Rahasia \ Semua Karyawan jika Anda memiliki label dengan nama-nama ini dalam kebijakan Perlindungan Informasi Azure Anda. Jika Anda tidak memiliki label dengan nama-nama ini, dokumen tetap tidak berlabel.
Menonaktifkan pengiriman informasi sensitif yang ditemukan dalam dokumen ke analitik Perlindungan Informasi Azure
Catatan
Log audit AIP dan matahari terbenam analitik diumumkan per 18 Maret 2022, dengan tanggal penghentian penuh 31 September 2022.
Untuk informasi lebih lanjut, lihat Layanan yang dihapus dan dihentikan.
Konfigurasi ini menggunakan pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure.
Saat klien Perlindungan Informasi Azure digunakan di aplikasi Office, klien mencari informasi sensitif dalam dokumen saat pertama kali disimpan. Menyediakan klien tidak dikonfigurasi untuk tidak mengirim informasi audit, jenis informasi sensitif apa pun yang ditemukan (telah ditentukan atau kustom) kemudian dikirim ke analitik Perlindungan Informasi Azure.
Konfigurasi yang mengontrol apakah klien mengirim informasi audit adalah pengaturan kebijakanKirim data audit ke analitik log Perlindungan Informasi Azure. Ketika pengaturan kebijakan ini Aktif karena Anda ingin mengirim informasi audit yang menyertakan tindakan pelabelan tetapi Anda tidak ingin mengirim jenis informasi sensitif yang ditemukan oleh klien, masukkan string berikut:
Kunci: RunAuditInformationTypesDiscovery
Nilai: False
Jika Anda mengatur pengaturan klien tingkat lanjut ini, informasi audit masih dapat dikirim dari klien tetapi informasinya terbatas pada aktivitas pelabelan.
Contohnya:
Dengan pengaturan ini, Anda dapat melihat bahwa pengguna mengakses Financial.docx yang berlabel Confidential \ Sales.
Tanpa pengaturan ini, Anda dapat melihat bahwa Financial.docx berisi 6 nomor kartu kredit.
- Jika Anda juga mengaktifkan analitik yang lebih dalam ke dalam data sensitif, Anda juga akan dapat melihat nomor kartu kredit tersebut.
Menonaktifkan pengiriman kecocokan jenis informasi untuk subset pengguna
Konfigurasi ini menggunakan pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure.
Saat Anda memilih kotak centang untuk analitik Perlindungan Informasi Azure yang memungkinkan analitik yang lebih dalam ke dalam data sensitif Anda mengumpulkan kecocokan konten untuk jenis informasi sensitif atau kondisi kustom Anda, secara default, informasi ini dikirim oleh semua pengguna, yang mencakup akun layanan yang menjalankan pemindai Perlindungan Informasi Azure. Jika Anda memiliki beberapa pengguna yang tidak boleh mengirim data ini, buat pengaturan klien tingkat lanjut berikut dalam kebijakan tercakup untuk pengguna ini:
Kunci: LogMatchedContent
Nilai: Nonaktifkan
Membatasi jumlah utas yang digunakan oleh pemindai
Konfigurasi ini menggunakan pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure.
Secara default, pemindai menggunakan semua sumber daya prosesor yang tersedia pada komputer yang menjalankan layanan pemindai. Jika Anda perlu membatasi konsumsi CPU saat layanan ini memindai, buat pengaturan lanjutan berikut.
Untuk nilai , tentukan jumlah utas bersamaan yang dapat dijalankan pemindai secara paralel. Pemindai menggunakan utas terpisah untuk setiap file yang dipindainya, sehingga konfigurasi pembatasan ini juga menentukan jumlah file yang dapat dipindai secara paralel.
Ketika Anda pertama kali mengonfigurasi nilai untuk pengujian, kami sarankan Anda menentukan 2 per inti, lalu memantau hasilnya. Misalnya, jika Anda menjalankan pemindai di komputer yang memiliki 4 core, pertama-tama atur nilainya menjadi 8. Jika perlu, tingkatkan atau kurangi angka tersebut, sesuai dengan performa yang dihasilkan yang Anda butuhkan untuk komputer pemindai dan tingkat pemindaian Anda.
Kunci: ScannerConcurrencyLevel
Nilai: <jumlah utas bersamaan>
Menonaktifkan tingkat integritas rendah untuk pemindai
Konfigurasi ini menggunakan pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure.
Secara default, pemindai Perlindungan Informasi Azure berjalan dengan tingkat integritas rendah. Pengaturan ini memberikan isolasi keamanan yang lebih tinggi tetapi dengan biaya performa. Tingkat integritas rendah cocok jika Anda menjalankan pemindai dengan akun yang memiliki hak istimewa (seperti akun administrator lokal) karena pengaturan ini membantu melindungi komputer yang menjalankan pemindai.
Namun, ketika akun layanan yang menjalankan pemindai hanya memiliki hak yang didokumentasikan dalam prasyarat penyebaran pemindai, tingkat integritas rendah tidak diperlukan dan tidak disarankan karena berdampak negatif pada performa.
Untuk informasi selengkapnya tentang tingkat integritas Windows, lihat Apa itu Mekanisme Integritas Windows?
Untuk mengonfigurasi pengaturan tingkat lanjut ini sehingga pemindai berjalan dengan tingkat integritas yang secara otomatis ditetapkan oleh Windows (akun pengguna standar berjalan dengan tingkat integritas sedang), masukkan string berikut:
Kunci: ProcessUsingLowIntegrity
Nilai: False
Mengubah pengaturan waktu habis untuk pemindai
Konfigurasi ini menggunakan pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure.
Secara default, pemindai Perlindungan Informasi Azure memiliki periode waktu habis 00:15:00 (15 menit) untuk memeriksa setiap file untuk jenis informasi sensitif atau ekspresi regex yang telah Anda konfigurasi untuk kondisi kustom. Ketika periode batas waktu tercapai untuk proses ekstraksi konten ini, hasil apa pun sebelum batas waktu dikembalikan dan inspeksi lebih lanjut untuk file berhenti. Dalam skenario ini, pesan kesalahan berikut dicatat di %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (di-zip jika ada beberapa log): GetContentParts gagal dengan Operasi dibatalkan dalam detail.
Jika Anda mengalami masalah batas waktu ini karena file besar, Anda dapat meningkatkan periode waktu habis ini untuk ekstraksi konten penuh:
Kunci: ContentExtractionTimeout
Nilai: <hh:min:sec>
Jenis file dapat memengaruhi berapa lama waktu yang diperlukan untuk memindai file. Contoh waktu pemindaian:
File Word 100 MB yang khas: 0,5-5 menit
File PDF khas 100 MB: 5-20 menit
File Excel 100 MB yang khas: 12-30 menit
Untuk beberapa jenis file yang sangat besar, seperti file video, pertimbangkan untuk mengecualikannya dari pemindaian dengan menambahkan ekstensi nama file ke opsi Jenis file untuk dipindai di profil pemindai.
Selain itu, pemindai Perlindungan Informasi Azure memiliki periode waktu habis 00:30:00 (30 menit) untuk setiap file yang diprosesnya. Nilai ini memperhitungkan waktu yang diperlukan untuk mengambil file dari repositori dan menyimpannya sementara secara lokal untuk tindakan yang dapat mencakup dekripsi, ekstraksi konten untuk inspeksi, pelabelan, dan enkripsi.
Meskipun pemindai Perlindungan Informasi Azure dapat memindai lusinan hingga ratusan file per menit, jika Anda memiliki repositori data yang memiliki jumlah file yang sangat besar, pemindai dapat melebihi periode batas waktu default ini dan di portal Azure, tampaknya berhenti setelah 30 menit. Dalam skenario ini, pesan kesalahan berikut dicatat di %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (di-zip jika ada beberapa log) dan pemindai .csv file log: Operasi dibatalkan.
Pemindai dengan 4 prosesor inti secara default memiliki 16 utas untuk pemindaian dan probabilitas menemukan 16 file besar dalam periode waktu 30 menit tergantung pada rasio file besar. Misalnya, jika tingkat pemindaian adalah 200 file per menit, dan 1% file melebihi batas waktu 30 menit, ada kemungkinan lebih dari 85% bahwa pemindai akan mengalami situasi batas waktu 30 menit. Batas waktu ini dapat mengakibatkan waktu pemindaian yang lebih lama dan konsumsi memori yang lebih tinggi.
Dalam situasi ini, jika Anda tidak dapat menambahkan lebih banyak prosesor inti ke komputer pemindai, pertimbangkan untuk mengurangi periode waktu habis untuk tingkat pemindaian yang lebih baik dan konsumsi memori yang lebih rendah, tetapi dengan pengakuan bahwa beberapa file akan dikecualikan. Atau, pertimbangkan untuk meningkatkan periode batas waktu untuk hasil pemindaian yang lebih akurat tetapi dengan pengakuan bahwa konfigurasi ini kemungkinan akan menghasilkan tingkat pemindaian yang lebih rendah dan konsumsi memori yang lebih tinggi.
Untuk mengubah periode waktu habis untuk pemrosesan file, konfigurasikan pengaturan klien tingkat lanjut berikut:
Kunci: FileProcessingTimeout
Nilai: <hh:min:sec>
Mengubah tingkat pengelogan lokal
Konfigurasi ini menggunakan pengaturan klien tingkat lanjut yang harus Anda konfigurasi di portal Azure.
Secara default, klien Perlindungan Informasi Azure menulis file log klien ke folder %localappdata%\Microsoft\MSIP . File-file ini ditujukan untuk pemecahan masalah oleh Dukungan Microsoft.
Untuk mengubah tingkat pengelogan untuk file-file ini, konfigurasikan pengaturan klien tingkat lanjut berikut:
Kunci: LogLevel
Nilai: <tingkat> pengelogan
Atur tingkat pengelogan ke salah satu nilai berikut ini:
Nonaktif: Tidak ada pengelogan lokal.
Kesalahan: Hanya kesalahan.
Info: Pengelogan minimum, yang tidak mencakup ID peristiwa (pengaturan default untuk pemindai).
Debug: Informasi lengkap.
Jejak: Pengelogan terperinci (pengaturan default untuk klien). Untuk pemindai, pengaturan ini memiliki dampak performa yang signifikan dan harus diaktifkan untuk pemindai hanya jika diminta oleh Dukungan Microsoft. Jika Anda diinstruksikan untuk mengatur tingkat pengelogan ini untuk pemindai, ingatlah untuk mengatur nilai yang berbeda ketika log yang relevan telah dikumpulkan.
Pengaturan klien tingkat lanjut ini tidak mengubah informasi yang dikirim ke Perlindungan Informasi Azure untuk pelaporan pusat, atau mengubah informasi yang ditulis ke log peristiwa lokal.
Integrasi dengan klasifikasi pesan Exchange warisan
Outlook di web sekarang mendukung pelabelan bawaan untuk Exchange Online, yang merupakan metode yang direkomendasikan untuk memberi label email di Outlook di web. Namun, jika Anda perlu memberi label email di OWA dan menggunakan Server Exchange, yang belum mendukung label sensitivitas, Anda dapat menggunakan klasifikasi pesan Exchange untuk memperluas label Perlindungan Informasi Azure ke Outlook di web.
Outlook Mobile tidak mendukung klasifikasi pesan Exchange.
Untuk mencapai solusi ini:
Gunakan cmdlet New-MessageClassification Exchange PowerShell untuk membuat klasifikasi pesan dengan properti Nama yang memetakan ke nama label Anda dalam kebijakan Perlindungan Informasi Azure Anda.
Membuat aturan alur email Exchange untuk setiap label: Terapkan aturan saat properti pesan menyertakan klasifikasi yang Anda konfigurasi, dan ubah properti pesan untuk mengatur header pesan.
Untuk header pesan, Anda menemukan informasi yang akan ditentukan dengan memeriksa header internet email yang Anda kirim dan klasifikasikan dengan menggunakan label Perlindungan Informasi Azure Anda. Cari header msip_labels dan string yang segera mengikuti, hingga dan tidak termasuk titik koma. Contohnya:
msip_labels: MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True
Kemudian, untuk header pesan dalam aturan, tentukan msip_labels untuk header , dan sisa string ini untuk nilai header. Contohnya:
Catatan: Saat label adalah sublabel, Anda juga harus menentukan label induk sebelum sublabel dalam nilai header, menggunakan format yang sama. Misalnya, jika sublabel Anda memiliki GUID 27efdf94-80a0-4d02-b88c-b615c12d69a9, nilai Anda mungkin terlihat seperti berikut:
MSIP_Label_ab70158b-bdcc-42a3-8493-2a80736e9cbd_Enabled=True;MSIP_Label_27efdf94-80a0-4d02-b88c-b615c12d69a9_Enabled=True
Sebelum Anda menguji konfigurasi ini, ingatlah bahwa sering terjadi penundaan saat Anda membuat atau mengedit aturan alur email (misalnya, tunggu satu jam). Saat aturan berlaku, peristiwa berikut sekarang terjadi saat pengguna menggunakan Outlook di web:
Pengguna memilih klasifikasi pesan Exchange dan mengirim email.
Aturan Exchange mendeteksi klasifikasi Exchange dan dengan demikian memodifikasi header pesan untuk menambahkan klasifikasi Perlindungan Informasi Azure.
Saat penerima internal melihat email di Outlook dan mereka telah menginstal klien Perlindungan Informasi Azure, mereka melihat label Perlindungan Informasi Azure yang ditetapkan.
Jika label Perlindungan Informasi Azure Anda menerapkan perlindungan, tambahkan perlindungan ini ke konfigurasi aturan: Memilih opsi untuk mengubah keamanan pesan, menerapkan perlindungan hak, lalu pilih templat perlindungan atau opsi Jangan Teruskan.
Anda juga dapat mengonfigurasi aturan alur email untuk melakukan pemetaan terbalik. Saat label Perlindungan Informasi Azure terdeteksi, atur klasifikasi pesan Exchange terkait:
- Untuk setiap label Perlindungan Informasi Azure: Buat aturan alur email yang diterapkan saat header msip_labels menyertakan nama label Anda (misalnya, Umum), dan terapkan klasifikasi pesan yang memetakan ke label ini.
Langkah berikutnya
Sekarang setelah Anda mengkustomisasi klien Perlindungan Informasi Azure, lihat sumber daya berikut ini untuk informasi tambahan yang mungkin Anda perlukan untuk mendukung klien ini: