Guida dell'amministratore: Configurazioni personalizzate per il client di etichettatura unificata di Azure Information Protection

Nota

Stai cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?

Il client di etichettatura unificata di Azure Information Protection è ora in modalità di manutenzione. È consigliabile usare etichette predefinite per le app e i servizi Office 365. Ulteriori informazioni

Usare le informazioni seguenti per le configurazioni avanzate necessarie per scenari specifici o utenti durante la gestione del client di etichettatura unificata AIP.

Nota

Queste impostazioni richiedono la modifica del Registro di sistema o la specifica delle impostazioni avanzate. Le impostazioni avanzate usano PowerShell del Centro conformità sicurezza&.

Configurazione di impostazioni avanzate per il client tramite PowerShell

Usare il Portale di conformità di Microsoft Purview PowerShell per configurare le impostazioni avanzate per personalizzare i criteri e le etichette delle etichette.

In entrambi i casi, dopo la connessione a Security & Compliance Center PowerShell, specificare il parametro AdvancedSettings con l'identità (nome o GUID) del criterio o dell'etichetta, con coppie chiave/valore in una tabella hash.

Per rimuovere un'impostazione avanzata, usare la stessa sintassi dei parametri AdvancedSettings , ma specificare un valore stringa Null.

Importante

Non usare spazi vuoti nei valori stringa. Le stringhe bianche in questi valori stringa impediranno l'applicazione delle etichette.

Per altre informazioni, vedere:

Sintassi delle impostazioni avanzate dei criteri di etichetta

Un esempio di impostazione avanzata dei criteri di etichetta è l'impostazione per visualizzare la barra Information Protection nelle app di Office.

Per un singolo valore stringa, usare la sintassi seguente:

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key="value1,value2"}

Per un valore di stringa multiplo per la stessa chiave, usare la sintassi seguente:

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

Sintassi delle impostazioni avanzate dell'etichetta

Un esempio di impostazione avanzata dell'etichetta è l'impostazione per specificare un colore dell'etichetta.

Per un singolo valore stringa, usare la sintassi seguente:

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key="value1,value2"}

Per un valore di stringa multiplo per la stessa chiave, usare la sintassi seguente:

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

Verifica delle impostazioni avanzate correnti

Per controllare le impostazioni avanzate correnti in effetti, eseguire i comandi seguenti:

Per controllare le impostazioni avanzate dei criteri di etichetta, usare la sintassi seguente:

Per un criterio di etichetta denominato Global:

(Get-LabelPolicy -Identity Global).settings

Per controllare le impostazioni avanzate dell'etichetta, usare la sintassi seguente:

Per un'etichetta denominata Public:

(Get-Label -Identity Public).settings

Esempi per l'impostazione di impostazioni avanzate

Esempio 1: Impostare un'impostazione avanzata dei criteri di etichetta per un singolo valore stringa:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

Esempio 2: Impostare un'impostazione avanzata dell'etichetta per un singolo valore stringa:

Set-Label -Identity Internal -AdvancedSettings @{smimesign="true"}

Esempio 3: Impostare un'impostazione avanzata dell'etichetta per più valori di stringa:

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

Esempio 4: Rimuovere un'impostazione avanzata dei criteri di etichetta specificando un valore stringa Null:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions=""}

Specifica dei criteri di etichetta o dell'identità dell'etichetta

Trovare il nome dei criteri di etichetta per il parametro PowerShell Identity è semplice perché nel Portale di conformità di Microsoft Purview è presente un solo nome di criterio.

Tuttavia, per le etichette, la Portale di conformità di Microsoft Purview mostra sia un valore Nome che Un nome visualizzato. In alcuni casi, questi valori saranno uguali, ma potrebbero essere diversi. Per configurare le impostazioni avanzate per le etichette, usare il valore Name .

Ad esempio, per identificare l'etichetta nell'immagine seguente, usare la sintassi seguente nel comando di PowerShell: -Identity "All Company"

Usare 'Name' anziché 'Display name' per identificare un'etichetta di riservatezza

Se si preferisce specificare il GUID dell'etichetta, questo valore non viene visualizzato nella Portale di conformità di Microsoft Purview. Usare il comando Get-Label per trovare questo valore, come indicato di seguito:

Get-Label | Format-Table -Property DisplayName, Name, Guid

Per altre informazioni sull'etichettatura dei nomi e sui nomi visualizzati:

  • Il nome è il nome originale dell'etichetta ed è univoco in tutte le etichette.

    Questo valore rimane lo stesso anche se è stato modificato il nome dell'etichetta più avanti. Per le etichette di riservatezza migrate da Azure Information Protection, potrebbe essere visualizzato l'ID etichetta originale dal portale di Azure.

  • Il nome visualizzato è il nome attualmente visualizzato agli utenti per l'etichetta e non deve essere univoco in tutte le etichette.

    Ad esempio, potrebbe essere presente un nome visualizzato di Tutti i dipendenti per una sottobele sotto l'etichetta Riservato e un altro nome visualizzato di Tutti i dipendenti per una sottobele sotto l'etichetta Alta riservatezza . Questi sottolabelli visualizzano entrambi lo stesso nome, ma non sono la stessa etichetta e hanno impostazioni diverse.

Ordine di precedenza: come vengono risolte le impostazioni in conflitto

È possibile usare la Portale di conformità di Microsoft Purview per configurare le impostazioni dei criteri di etichetta seguenti:

  • Applicare questa etichetta per impostazione predefinita a documenti e messaggi di posta elettronica

  • Gli utenti devono fornire giustificazione per rimuovere un'etichetta o un'etichetta di classificazione inferiore

  • Richiedere agli utenti di applicare un'etichetta alla posta elettronica o al documento

  • Fornire agli utenti un collegamento a una pagina della Guida personalizzata

Quando più criteri di etichetta sono configurati per un utente, ognuno con impostazioni di criteri potenzialmente diverse, l'ultima impostazione dei criteri viene applicata in base all'ordine dei criteri nell'Portale di conformità di Microsoft Purview. Per altre informazioni, vedere Priorità dei criteri di etichetta (ordine)

Le impostazioni avanzate dei criteri di etichetta vengono applicate usando la stessa logica, usando l'ultima impostazione di criteri.

Riferimenti all'impostazione avanzata

Le sezioni seguenti illustrano le impostazioni avanzate disponibili per i criteri e le etichette delle etichette:

Riferimento avanzato alle impostazioni per funzionalità

Le sezioni seguenti elencano le impostazioni avanzate descritte in questa pagina in base all'integrazione dei prodotti e delle funzionalità:

Funzionalità Impostazioni avanzate
Impostazioni di outlook e posta elettronica - Configurare un'etichetta per applicare la protezione S/MIME in Outlook
- Personalizzare i messaggi popup di Outlook
- Abilitare la classificazione consigliata in Outlook
- Esentare i messaggi di Outlook dall'etichettatura obbligatoria
- Per i messaggi di posta elettronica con allegati, applicare un'etichetta che corrisponde alla classificazione più alta di tali allegati
- Espandere elenchi di distribuzione di Outlook durante la ricerca di destinatari di posta elettronica
- Implementare messaggi popup in Outlook che avvisano, giustificano o bloccano l'invio di messaggi di posta elettronica
- Evitare problemi di prestazioni di Outlook con messaggi di posta elettronica S/MIME
- Impostare un'etichetta predefinita diversa per Outlook
Impostazioni di PowerPoint - Evitare di rimuovere forme da PowerPoint che contengono testo specificato e non sono intestazioni/piè di pagina
- Rimuovere in modo esplicito i contrassegni di contenuto esterni dall'interno dei layout personalizzati di PowerPoint
- Rimuovere tutte le forme di un nome di forma specifico dalle intestazioni e dai piè di pagina, anziché rimuovere forme in base al testo all'interno della forma
impostazioni Esplora file - Visualizzare sempre le autorizzazioni personalizzate per gli utenti in Esplora file
- Disattivare le autorizzazioni personalizzate in Esplora file
- Nascondere l'opzione di menu Classifica e Proteggi in Windows Esplora file
Impostazioni di miglioramento delle prestazioni - Limitare il consumo di CPU
- Limitare il numero di thread usati dallo scanner
- Evitare problemi di prestazioni di Outlook con messaggi di posta elettronica S/MIME
Impostazioni per le integrazioni con altre soluzioni di etichettatura - Eseguire la migrazione delle etichette da Isole sicure e altre soluzioni di etichettatura
- Rimuovere intestazioni e piè di pagina da altre soluzioni di etichettatura
Impostazioni di analisi di AIP - Impedire l'invio dei dati di controllo a AIP e Analisi di Microsoft 365
- Inviare corrispondenze di tipo di informazioni all'analisi di Information Protection di Azure
Impostazioni generali - Aggiungere "Segnala un problema" per gli utenti
- Applicare una proprietà personalizzata quando viene applicata un'etichetta
- Modificare il livello di registrazione locale
- Modificare i tipi di file da proteggere
- Configurare il timeout di compilazione automatica nei file di Office
- Configurare i timeout di SharePoint
- Personalizzare i testi di richiesta di giustificazione per le etichette modificate
- Visualizzare la barra Information Protection nelle app di Office
- Abilitare la rimozione della protezione dai file compressi
- Mantenere i proprietari NTFS durante l'etichettatura (anteprima pubblica)
- Rimuovere "Not now" per i documenti quando si usa l'etichettatura obbligatoria
- Ignorare o ignorare i file durante le analisi a seconda degli attributi di file
- Specificare un colore per l'etichetta
- Specificare un'etichetta secondaria predefinita per un'etichetta padre
- Supporto per la modifica <di EXT>. PFILE to P<EXT>
- Supporto per i computer disconnessi
- Attivare la classificazione per l'esecuzione continua in background
- Disattivare le funzionalità di rilevamento dei documenti
- Disattivare l'opzione Revoca per gli utenti finali nelle app di Office
- Attivare le funzionalità di globalizzazione della classificazione

Informazioni di riferimento sull'impostazione avanzata dei criteri di etichetta

Usare il parametro AdvancedSettings con New-LabelPolicy e Set-LabelPolicy per definire le impostazioni seguenti:

Impostazione Scenario e istruzioni
AltrePPrefixExtensions Supporto per la modifica <di EXT>. PFILE to P<EXT> usando questa proprietà avanzata
AttachmentAction Per i messaggi di posta elettronica con allegati, applica un'etichetta corrispondente alla classificazione più elevata di questi allegati
AttachmentActionTip Per i messaggi di posta elettronica con allegati, applica un'etichetta corrispondente alla classificazione più elevata di questi allegati
DisableMandatoryInOutlook Esentare i messaggi di Outlook dall'etichettatura obbligatoria
EnableAudit Impedire l'invio dei dati di controllo a AIP e Analisi di Microsoft 365
EnableContainerSupport Abilitare la rimozione della protezione dai file PST, rar, 7zip e MSG
EnableCustomPermissions Disattivare le autorizzazioni personalizzate in Esplora file
EnableCustomPermissionsForCustomProtectedFiles Per i file protetti con autorizzazioni personalizzate, rendere sempre le autorizzazioni personalizzate visualizzabili dagli utenti in Esplora file
EnableGlobalization Attivare le funzionalità di globalizzazione della classificazione
EnableLabelByMailHeader Eseguire la migrazione di etichette da Secure Islands e altre soluzioni per l'assegnazione di etichette
EnableLabelBySharePointProperties Eseguire la migrazione di etichette da Secure Islands e altre soluzioni per l'assegnazione di etichette
EnableOutlookDistributionListExpansion Espandere elenchi di distribuzione di Outlook durante la ricerca di destinatari di posta elettronica
EnableRevokeGuiSupport Disattivare l'opzione Revoca per gli utenti finali nelle app di Office
EnableTrackAndRevoke Disattivare le funzionalità di rilevamento dei documenti
HideBarByDefault Visualizza la barra di Information Protection nelle app Office
JustificationTextForUserText Personalizzare i testi di richiesta di giustificazione per le etichette modificate
LogMatchedContent Inviare corrispondenze di tipo di informazioni all'analisi di Information Protection di Azure
OfficeContentExtractionTimeout Configurare il timeout di compilazione automatica nei file di Office
OutlookBlockTrustedDomains Implementare messaggi popup in Outlook che avvisano, giustificano o bloccano l'invio di messaggi di posta elettronica
OutlookBlockUntrustedCollaborationLabel Implementare messaggi popup in Outlook che avvisano, giustificano o bloccano l'invio di messaggi di posta elettronica
OutlookCollaborationRule Personalizzare i messaggi popup di Outlook
OutlookDefaultLabel Impostare un'etichetta predefinita diversa per Outlook
OutlookGetEmailAddressesTimeOutMSProperty Modificare il timeout per espandere un elenco di distribuzione in Outlook quando si implementano messaggi di blocco per i destinatari negli elenchi di distribuzione )
OutlookJustifyTrustedDomains Implementare messaggi popup in Outlook che avvisano, giustificano o bloccano l'invio di messaggi di posta elettronica
OutlookJustifyUntrustedCollaborationLabel Implementare messaggi popup in Outlook che avvisano, giustificano o bloccano l'invio di messaggi di posta elettronica
OutlookRecommendationEnabled Abilitare la classificazione consigliata in Outlook
OutlookOverrideUnlabeledCollaborationExtensions Implementare messaggi popup in Outlook che avvisano, giustificano o bloccano l'invio di messaggi di posta elettronica
OutlookSkipSmimeOnReadingPaneEnabled Evitare problemi di prestazioni di Outlook con messaggi di posta elettronica S/MIME
OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Implementare messaggi popup in Outlook che avvisano, giustificano o bloccano l'invio di messaggi di posta elettronica
OutlookWarnTrustedDomains Implementare messaggi popup in Outlook che avvisano, giustificano o bloccano l'invio di messaggi di posta elettronica
OutlookWarnUntrustedCollaborationLabel Implementare messaggi popup in Outlook che avvisano, giustificano o bloccano l'invio di messaggi di posta elettronica
PFileSupportedExtensions Modificare i tipi di file da proteggere
PostponeMandatoryBeforeSave Rimuovere "Non ora" per i documenti quando si usa l'etichettatura obbligatoria
PowerPointRemoveAllShapesByShapeName Rimuovere tutte le forme di un nome di forma specifico dalle intestazioni e dai piè di pagina, anziché rimuovere forme in base al testo all'interno della forma
PowerPointShapeNameToRemove Evitare di rimuovere forme da PowerPoint che contengono testo specificato e non sono intestazioni/piè di pagina
RemoveExternalContentMarkingInApp Rimuovere intestazioni e piè di pagina da altre soluzioni di assegnazione etichette
RemoveExternalMarkingFromCustomLayouts Rimuovere in modo esplicito i contrassegni di contenuto esterni dall'interno dei layout personalizzati di PowerPoint
ReportAnIssueLink Aggiungere "Segnala un problema" per gli utenti
RunPolicyInBackground Attivare l'esecuzione continua della classificazione in background
ScannerMaxCPU Limitare il consumo di CPU
ScannerMinCPU Limitare il consumo di CPU
ScannerConcurrencyLevel Limitare il numero di thread usati dallo scanner
ScannerFSAttributesToSkip Ignorare o ignorare i file durante le analisi a seconda degli attributi di file
SharepointWebRequestTimeout Configurare i timeout di SharePoint
SharepointFileWebRequestTimeout Configurare i timeout di SharePoint
UseCopyAndPreserveNTFSOwner Mantenere i proprietari NTFS durante l'etichettatura

Informazioni di riferimento sull'impostazione avanzata dell'etichetta

Usare il parametro AdvancedSettings con New-Label e Set-Label.

Impostazione Scenario e istruzioni
color Specificare un colore per l'etichetta
customPropertiesByLabel Applicare una proprietà personalizzata quando viene applicata un'etichetta
DefaultSubLabelId Specificare un'etichetta secondaria predefinita per un'etichetta padre
labelByCustomProperties Eseguire la migrazione di etichette da Secure Islands e altre soluzioni per l'assegnazione di etichette
SMimeEncrypt Configurare un'etichetta per applicare la protezione S/MIME in Outlook
SMimeSign Configurare un'etichetta per applicare la protezione S/MIME in Outlook

Nascondere l'opzione di menu Classifica e proteggi in Esplora file di Windows

Per nascondere l'opzione di menu Classifica e Proteggi nella Esplora file di Windows, creare il nome di valore DWORD seguente (con qualsiasi valore dati):

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable

Per altre informazioni, vedere Uso di Esplora file per classificare i file.

Visualizza la barra di Information Protection nelle app Office

Questa configurazione usa un'impostazione avanzata dei criteri che è necessario configurare usando Il Centro conformità sicurezza & PowerShell.

Per impostazione predefinita, gli utenti devono selezionare l'opzione Mostra barra dal pulsante Riservatezza per visualizzare la barra Information Protection nelle app di Office. Usare la chiave HideBarByDefault e impostare il valore su False per visualizzare automaticamente questa barra per gli utenti in modo che possano selezionare le etichette dalla barra o dal pulsante.

Per i criteri di etichetta selezionati, specificare le stringhe seguenti:

  • Chiave: HideBarByDefault

  • Valore: False

Comando di PowerShell di esempio, in cui i criteri di etichetta sono denominati "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{HideBarByDefault="False"}

Esentare i messaggi di Outlook dall'etichettatura obbligatoria

Questa configurazione usa un'impostazione avanzata dei criteri che è necessario configurare usando Il Centro conformità sicurezza & PowerShell.

Per impostazione predefinita, quando si abilita l'impostazione dei criteri di etichetta di Tutti i documenti e i messaggi di posta elettronica devono avere un'etichetta, tutti i documenti salvati e i messaggi di posta elettronica inviati devono avere un'etichetta applicata. Quando si configura l'impostazione avanzata seguente, l'impostazione dei criteri si applica solo ai documenti di Office e non ai messaggi di Outlook.

Per i criteri di etichetta selezionati, specificare le stringhe seguenti:

  • Chiave: DisableMandatoryInOutlook

  • Valore: True

Comando di PowerShell di esempio, in cui i criteri di etichetta sono denominati "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{DisableMandatoryInOutlook="True"}

Questa configurazione usa un'impostazione avanzata dei criteri che è necessario configurare usando Il Centro conformità sicurezza & PowerShell.

Quando si configura un'etichetta per la classificazione consigliata, agli utenti viene richiesto di accettare o ignorare l'etichetta consigliata in Word, Excel e PowerPoint. Questa impostazione estende questa indicazione per l'etichetta anche per la visualizzazione in Outlook.

Per i criteri di etichetta selezionati, specificare le stringhe seguenti:

  • Chiave: OutlookRecommendationEnabled

  • Valore: True

Comando di PowerShell di esempio, in cui i criteri di etichetta sono denominati "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookRecommendationEnabled="True"}

Abilitare la rimozione della protezione dai file compressi

Questa configurazione usa un'impostazione avanzata dei criteri che è necessario configurare usando Il Centro conformità sicurezza & PowerShell.

Quando si configura questa impostazione, il cmdlet di PowerShellSet-AIPFileLabel è abilitato per consentire la rimozione della protezione da file PST, rar e 7zip.

  • Chiave: EnableContainerSupport

  • Valore: True

Comando di PowerShell di esempio in cui è abilitato il criterio:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}

Impostare un'etichetta predefinita diversa per Outlook

Questa configurazione usa un'impostazione avanzata dei criteri che è necessario configurare usando Il Centro conformità sicurezza & PowerShell.

Quando si configura questa impostazione, Outlook non applica l'etichetta predefinita configurata come impostazione dei criteri per l'opzione Applica questa etichetta per impostazione predefinita ai documenti e ai messaggi di posta elettronica. In alternativa, Outlook può applicare un'etichetta predefinita diversa o non applicare alcuna etichetta.

Per i criteri di etichetta selezionati, specificare le stringhe seguenti:

  • Chiave: OutlookDefaultLabel

  • Valore: < GUID >dell'etichetta o Nessuna

Comando di PowerShell di esempio, in cui i criteri di etichetta sono denominati "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookDefaultLabel="None"}

Modificare i tipi di file da proteggere

Queste configurazioni usano un'impostazione avanzata dei criteri che è necessario configurare usando Il Centro conformità sicurezza & PowerShell.

Per impostazione predefinita, il client di etichettatura unificata di Azure Information Protection protegge tutti i tipi di file e lo scanner dal client protegge solo i tipi di file di Office e i file PDF.

È possibile modificare questo comportamento predefinito per un criterio di etichetta selezionato specificando uno dei seguenti elementi:

PFileSupportedExtension

  • Chiave: PFileSupportedExtensions

  • Valore: <valore> stringa

Usare la tabella seguente per identificare il valore stringa da specificare:

Valore stringa Client Scanner
* Valore predefinito: applicare la protezione a tutti i tipi di file Applicare la protezione a tutti i tipi di file
ConvertTo-Json(".jpg", ".png") Oltre ai tipi di file di Office e ai file PDF, applicare la protezione alle estensioni del nome file specificate Oltre ai tipi di file di Office e ai file PDF, applicare la protezione alle estensioni del nome file specificate

Esempio 1: comando di PowerShell per lo scanner per proteggere tutti i tipi di file, in cui i criteri di etichetta sono denominati "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Esempio 2: comando di PowerShell per lo scanner per proteggere i file e .csv i file di .txt oltre ai file di Office e ai file PDF, in cui i criteri di etichetta sono denominati "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}

Con questa impostazione è possibile modificare i tipi di file protetti, ma non è possibile modificare il livello di protezione predefinito da nativo a generico. Ad esempio, per gli utenti che eseguono il client di etichettatura unificata, è possibile modificare l'impostazione predefinita in modo che solo i file di Office e i file PDF siano protetti anziché tutti i tipi di file. Tuttavia, non è possibile modificare questi tipi di file in modo generico con estensione pfile.

AltrePPrefixExtensions

Il client di etichettatura unificata supporta la modifica <di EXT>. PFILE to P<EXT> usando la proprietà avanzata , AdditionalPPrefixExtensions. Questa proprietà avanzata è supportata dal Esplora file, PowerShell e dallo scanner. Tutte le app hanno un comportamento simile.

  • Chiave: AggiuntivoPPrefixExtensions

  • Valore: <valore> stringa

Usare la tabella seguente per identificare il valore stringa da specificare:

Valore stringa Client e scanner
* Tutte le estensioni PFile diventano P<EXT>
<Valore Null> Il valore predefinito si comporta come il valore di protezione predefinito.
ConvertTo-Json(".dwg", ".zip") Oltre all'elenco precedente, ".dwg" e ".zip" diventano P<EXT>

Con questa impostazione, le estensioni seguenti diventano sempre P<EXT>: ".txt", ".xml", ".bmp", ".jt", ".jpg", ".jpeg", ".jpe", ".jif", ".jfif", "jfif", ".png", ".tif", ".tiff", ".gif"). L'esclusione significativa è che "ptxt" non diventa "txt.pfile".

AltrePPrefixExtensions funziona solo se la protezione di PFiles con la proprietà avanzata - PFileSupportedExtension è abilitata.

Esempio 1: il comando di PowerShell per comportarsi come il comportamento predefinito in cui Protect ".dwg" diventa ".dwg.pfile":

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}

Esempio 2: comando di PowerShell per modificare tutte le estensioni PFile dalla protezione generica (dwg.pfile) alla protezione nativa (con estensione pdwg) quando i file sono protetti:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}

Esempio 3: comando di PowerShell per modificare ".dwg" in ".pdwg" quando si usa questo servizio proteggere questo file:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}

Rimuovere "Non ora" per i documenti quando si usa l'etichettatura obbligatoria

Questa configurazione usa un'impostazione avanzata dei criteri che è necessario configurare usando Il Centro conformità sicurezza & PowerShell.

Quando si usa l'impostazione dei criteri di etichetta di Tutti i documenti e i messaggi di posta elettronica devono avere un'etichetta, gli utenti devono selezionare un'etichetta quando salvano prima un documento di Office e quando inviano un messaggio di posta elettronica da Outlook.

Per i documenti, gli utenti possono selezionare Non ora per chiudere temporaneamente la richiesta di selezionare un'etichetta e tornare al documento. Non possono però chiudere il documento salvato senza etichettarlo.

Quando si configura l'impostazione PostponeMandatoryBeforeSave , l'opzione Not now viene rimossa, in modo che gli utenti debbano selezionare un'etichetta quando il documento viene salvato per la prima volta.

Suggerimento

L'impostazione PostponeMandatoryBeforeSave garantisce anche che i documenti condivisi vengano etichettati prima che vengano inviati tramite posta elettronica.

Per impostazione predefinita, anche se tutti i documenti e i messaggi di posta elettronica devono avere un'etichetta abilitata nei criteri, gli utenti vengono promossi solo ai file di etichetta associati ai messaggi di posta elettronica da Outlook.

Per i criteri di etichetta selezionati, specificare le stringhe seguenti:

  • Chiave: PostponeMandatoryBeforeSave

  • Valore: False

Comando di PowerShell di esempio, in cui i criteri di etichetta sono denominati "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{PostponeMandatoryBeforeSave="False"}

Rimuovere intestazioni e piè di pagina da altre soluzioni di assegnazione etichette

Questa configurazione usa le impostazioni avanzate dei criteri che è necessario configurare tramite Il Centro conformità sicurezza & PowerShell.

Esistono due metodi per rimuovere le classificazioni da altre soluzioni di etichettatura:

Impostazione Descrizione
WordShapeNameToRemove Rimuove qualsiasi forma dai documenti di Word in cui il nome della forma corrisponde al nome definito nella proprietà avanzata WordShapeNameToRemove .

Per altre informazioni, vedere Usare la proprietà avanzata WordShapeNameToRemove.
RemoveExternalContentMarkingInApp

ExternalContentMarkingToRemove
Consente di rimuovere o sostituire intestazioni basate su testo o piè di pagina dai documenti di Word, Excel e PowerPoint.

Per altre informazioni, vedere:
- Usare la proprietà advanced RemoveExternalContentMarkingInApp
- Come configurare ExternalContentMarkingToRemove.

Usare la proprietà avanzata WordShapeNameToRemove

La proprietà avanzata WordShapeNameToRemove è supportata dalla versione 2.6.101.0 e successiva

Questa impostazione consente di rimuovere o sostituire etichette basate su forme dai documenti di Word quando tali contrassegni visivi sono stati applicati da un'altra soluzione di etichettatura. Ad esempio, la forma contiene il nome di un'etichetta precedente ora migrata alle etichette di riservatezza per usare un nuovo nome di etichetta e la propria forma.

Per usare questa proprietà avanzata, è necessario trovare il nome della forma nel documento di Word e quindi definirli nell'elenco di proprietà avanzate WordShapeNameToRemove avanzate delle forme. Il servizio rimuoverà qualsiasi forma in Word che inizia con un nome definito nell'elenco di forme in questa proprietà avanzata.

Evitare di rimuovere forme contenenti il testo che si desidera ignorare, definendo il nome di tutte le forme da rimuovere ed evitare di controllare il testo in tutte le forme, ovvero un processo a elevato utilizzo di risorse.

Nota

In Microsoft Word le forme possono essere rimosse definendo il nome delle forme o con il testo, ma non entrambi. Se la proprietà WordShapeNameToRemove è definita, le configurazioni definite dal valore ExternalContentMarkingToRemove vengono ignorate.

Per trovare il nome della forma che si sta usando e si desidera escludere:

  1. In Word visualizzare il riquadro Selezione : Home tab >Modifica gruppo >Seleziona opzione >Selezione riquadro selezione.

  2. Selezionare la forma nella pagina da contrassegnare per la rimozione. Il nome della forma contrassegnata è ora evidenziato nel riquadro Selezione .

Usare il nome della forma per specificare un valore stringa per la chiave WordShapeNameToRemove .

Esempio: il nome della forma è dc. Per rimuovere la forma con questo nome, specificare il valore: dc.

  • Chiave: WordShapeNameToRemove

  • Valore: <nome della forma di word>

Comando di PowerShell di esempio, in cui i criteri di etichetta sono denominati "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{WordShapeNameToRemove="dc"}

Quando si dispone di più forme di Word da rimuovere, specificare il numero di valori da rimuovere.

Usare la proprietà advanced RemoveExternalContentMarkingInApp

Questa impostazione consente di rimuovere o sostituire intestazioni basate su testo o piè di pagina dai documenti quando tali contrassegni visivi sono stati applicati da un'altra soluzione di etichettatura. Ad esempio, il piè di pagina precedente contiene il nome di un'etichetta precedente ora migrata alle etichette di riservatezza per usare un nuovo nome di etichetta e il proprio piè di pagina.

Quando il client di etichettatura unificata ottiene questa configurazione nei relativi criteri, le intestazioni e i piè di pagina precedenti vengono rimossi o sostituiti quando il documento viene aperto nell'app di Office e viene applicata qualsiasi etichetta di riservatezza al documento.

Questa configurazione non è supportata per Outlook e tenere presente che quando viene usata con Word, Excel e PowerPoint, può influire negativamente sulle prestazioni di queste app per gli utenti. La configurazione consente di definire le impostazioni per ogni applicazione, ad esempio la ricerca di testo nelle intestazioni e nei piè di pagina di documenti di Word, ma non nei fogli di calcolo di Excel o nelle presentazioni di PowerPoint.

Poiché la corrispondenza dei modelli influisce sulle prestazioni per gli utenti, è consigliabile limitare i tipi di applicazione di Office (Word, EXcel, PwerPoint) solo a quelli che devono essere cercati. Per i criteri di etichetta selezionati, specificare le stringhe seguenti:

  • Chiave: RemoveExternalContentMarkingInApp

  • Valore: <Tipi di applicazioni di Office WXP>

Esempi:

  • Per eseguire la ricerca solo in documenti di Word, specificare W.

  • Per eseguire la ricerca in documenti di Word e presentazioni di PowerPoint, specificare WP.

Comando di PowerShell di esempio, in cui i criteri di etichetta sono denominati "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInApp="WX"}

Sarà necessaria almeno un'altra impostazione client avanzata, ExternalContentMarkingToRemove, per specificare il contenuto dell'intestazione o del piè di pagina e il modo in cui rimuoverlo o sostituirlo.

Come configurare ExternalContentMarkingToRemove

Quando si specifica il valore stringa per la chiave ExternalContentMarkingToRemove , sono disponibili tre opzioni che usano espressioni regolari. Per ognuno di questi scenari, usare la sintassi illustrata nella colonna Valore di esempio nella tabella seguente:

Opzione Descrizione di esempio Valore di esempio
Corrispondenza parziale per rimuovere tutto nell'intestazione o nel piè di pagina Le intestazioni o i piè di pagina contengono la stringa TEXT TO REMOVE e si desidera rimuovere completamente queste intestazioni o piè di pagina. *TEXT*
Completare la corrispondenza per rimuovere solo parole specifiche nell'intestazione o nel piè di pagina Le intestazioni o i piè di pagina contengono la stringa TEXT TO REMOVE e si vuole rimuovere solo la parola TEXT , lasciando l'intestazione o la stringa piè di pagina come TO REMOVE. TEXT
Completare la corrispondenza per rimuovere tutto nell'intestazione o nel piè di pagina Le intestazioni o i piè di pagina hanno la stringa TEXT TO REMOVE. Per rimuovere le intestazioni o i piè di pagina che contengono esattamente questa stringa, ^TEXT TO REMOVE$

I criteri di ricerca per la stringa specificata non fanno distinzione tra maiuscole e minuscole. La lunghezza massima della stringa è di 255 caratteri e non può includere spazi vuoti.

Poiché alcuni documenti potrebbero includere caratteri invisibili o tipi diversi di spazi o tabulazioni, la stringa specificata per una frase potrebbe non essere rilevata. Quando possibile, specificare una singola parola distintiva per il valore e assicurarsi di testare i risultati prima della distribuzione nell'ambiente di produzione.

Per gli stessi criteri di etichetta, specificare le stringhe seguenti:

  • Chiave: ExternalContentMarkingToRemove

  • Valore: <stringa da trovare, definita come espressione regolare>

Esempio di comando di PowerShell, in cui il criterio dell'etichetta è denominato "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*TEXT*"}

Per altre informazioni, vedere:

Intestazioni o piè di pagina su più righe

Se il testo di un'intestazione o un piè di pagina è su più righe, creare una chiave e un valore per ogni riga. Ad esempio, se si dispone del piè di pagina seguente con due righe:

The file is classified as Confidential
Label applied manually

Per rimuovere questo piè di pagina su più righe, creare le due voci seguenti per gli stessi criteri di etichetta:

  • Chiave: ExternalContentMarkingToRemove
  • Valore chiave 1: *Riservato*
  • Valore chiave 2: *Etichetta applicata*

Esempio di comando di PowerShell, in cui il criterio dell'etichetta è denominato "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove=ConvertTo-Json("Confidential","Label applied")}

Ottimizzazione per PowerPoint

Le intestazioni e i piè di pagina in PowerPoint vengono implementati come forme. Per i tipi di forma msoTextBox, msoTextEffect, msoPlaceholder e msoAutoShape , le impostazioni avanzate seguenti forniscono ottimizzazioni aggiuntive:

Inoltre, PowerPointRemoveAllShapesByShapeName può rimuovere qualsiasi tipo di forma, in base al nome della forma.

Per altre informazioni, vedere Trovare il nome della forma usata come intestazione o piè di pagina.

Evitare di rimuovere forme da PowerPoint che contengono testo specificato e non sono intestazioni/piè di pagina

Per evitare di rimuovere forme contenenti il testo specificato, ma non intestazioni o piè di pagina, utilizzare un'impostazione client avanzata aggiuntiva denominata PowerPointShapeNameToRemove.

È consigliabile usare questa impostazione anche per evitare di controllare il testo in tutte le forme, essendo un processo a elevato utilizzo di risorse.

Ad esempio:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
Estendere la rimozione del contrassegno esterno ai layout personalizzati

Questa configurazione usa un'impostazione avanzata dei criteri che è necessario configurare tramite PowerShell del Centro sicurezza & conformità.

Per impostazione predefinita, la logica usata per rimuovere i contrassegni di contenuto esterno ignora i layout personalizzati configurati in PowerPoint. Per estendere questa logica ai layout personalizzati, impostare la proprietà avanzata RemoveExternalMarkingFromCustomLayouts su True.

  • Chiave: RemoveExternalMarkingFromCustomLayouts

  • Valore: True

Esempio di comando di PowerShell, in cui il criterio dell'etichetta è denominato "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
Rimuovere tutte le forme di un nome di forma specifico

Se si usano layout personalizzati di PowerPoint e si desidera rimuovere tutte le forme di un nome di forma specifico dalle intestazioni e dai piè di pagina, utilizzare l'impostazione avanzata PowerPointRemoveAllShapesByShapeName , con il nome della forma da rimuovere.

L'impostazione PowerPointRemoveAllShapesByShapeName ignora il testo all'interno delle forme e usa invece il nome della forma che identifica le forme da rimuovere.

Ad esempio:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointRemoveAllShapesByShapeName="Arrow: Right"}

Per altre informazioni, vedere:

  1. In PowerPoint visualizzare il riquadro Selezione: Scheda >Formato Riquadro Di selezionegruppo Disponi>.

  2. Selezionare la forma sulla diapositiva contenente l'intestazione o il piè di pagina. Il nome della forma selezionata viene evidenziato nel riquadro Selezione.

Usare il nome della forma per specificare un valore stringa per la chiave PowerPointShapeNameToRemove.

Esempio: il nome della forma è fc. Per rimuovere la forma con questo nome, specificare il valore: fc.

  • Chiave: PowerPointShapeNameToRemove

  • Valore: <nome forma di PowerPoint>

Esempio di comando di PowerShell, in cui il criterio dell'etichetta è denominato "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}

Quando sono presenti più forme di PowerPoint da rimuovere, specificare il numero di valori da rimuovere.

Per impostazione predefinita, il testo delle intestazioni e dei piè di pagina viene cercato solo negli schemi diapositiva. Per estendere la ricerca a tutte le diapositive, che è un processo con un utilizzo maggiore di risorse, usare un'impostazione client avanzata aggiuntiva denominata RemoveExternalContentMarkingInAllSlides:

  • Chiave: RemoveExternalContentMarkingInAllSlides

  • Valore: True

Esempio di comando di PowerShell, in cui il criterio dell'etichetta è denominato "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInAllSlides="True"}
Rimuovere il contrassegno del contenuto esterno dai layout personalizzati in PowerPoint

Questa configurazione usa un'impostazione avanzata dei criteri che è necessario configurare tramite PowerShell del Centro sicurezza & conformità.

Per impostazione predefinita, la logica usata per rimuovere i contrassegni di contenuto esterno ignora i layout personalizzati configurati in PowerPoint. Per estendere questa logica ai layout personalizzati, impostare la proprietà avanzata RemoveExternalMarkingFromCustomLayouts su True.

  • Chiave: RemoveExternalMarkingFromCustomLayouts

  • Valore: True

Esempio di comando di PowerShell, in cui il criterio dell'etichetta è denominato "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}

Disattivare le autorizzazioni personalizzate in Esplora file

Questa configurazione usa un'impostazione avanzata dei criteri che è necessario configurare tramite PowerShell del Centro sicurezza & conformità.

Per impostazione predefinita, gli utenti visualizzano un'opzione denominata Proteggi con autorizzazioni personalizzate quando fanno clic con il pulsante destro del mouse in Esplora file e scelgono Classifica e proteggi. Questa opzione consente di impostare le proprie impostazioni di protezione che possono eseguire l'override di tutte le impostazioni di protezione che potrebbero essere state incluse con una configurazione dell'etichetta. Gli utenti possono visualizzare anche un'opzione per rimuovere la protezione. Quando si configura questa impostazione, gli utenti non visualizzano queste opzioni.

Per configurare questa impostazione avanzata, immettere le stringhe seguenti per i criteri di etichetta selezionati:

  • Chiave: EnableCustomPermissions

  • Valore: False

Esempio di comando di PowerShell, in cui il criterio dell'etichetta è denominato "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

Per i file protetti con autorizzazioni personalizzate, rendere sempre le autorizzazioni personalizzate visualizzabili dagli utenti in Esplora file

Questa configurazione usa un'impostazione avanzata dei criteri che è necessario configurare tramite PowerShell del Centro sicurezza & conformità.

Quando si configura l'impostazione client avanzata per disattivare le autorizzazioni personalizzate in Esplora file, per impostazione predefinita, gli utenti non possono visualizzare o modificare le autorizzazioni personalizzate già impostate in un documento protetto.

Tuttavia, esiste un'altra impostazione client avanzata che è possibile specificare in modo che in questo scenario gli utenti possano visualizzare e modificare le autorizzazioni personalizzate per un documento protetto quando usano Esplora file e fare clic con il pulsante destro del mouse sul file.

Per configurare questa impostazione avanzata, immettere le stringhe seguenti per i criteri di etichetta selezionati:

  • Chiave: EnableCustomPermissionsForCustomProtectedFiles

  • Valore: True

Esempio di comando di PowerShell:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}

For email messages with attachments, apply a label that matches the highest classification of those attachments (Per i messaggi di posta elettronica con allegati, applica un'etichetta che corrisponda alla classificazione più elevata di tali allegati)

Questa configurazione usa le impostazioni avanzate dei criteri che è necessario configurare tramite PowerShell del Centro sicurezza & conformità.

Questa impostazione è per quando gli utenti allegano documenti etichettati a un messaggio di posta elettronica e non etichettano il messaggio di posta elettronica stesso. In questo scenario viene selezionata automaticamente un'etichetta in base alle etichette di classificazione applicate agli allegati. Viene selezionata l'etichetta di classificazione più alta.

L'allegato deve essere un file fisico e non può essere un collegamento a un file, ad esempio un collegamento a un file in Microsoft SharePoint o OneDrive.

È possibile configurare questa impostazione su Consigliato, in modo che agli utenti venga richiesto di applicare l'etichetta selezionata al messaggio di posta elettronica. Gli utenti possono quindi accettare la raccomandazione o ignorarla senza applicare l'etichetta. In alternativa, è possibile configurare questa impostazione su Automatico, in cui l'etichetta selezionata viene applicata automaticamente, ma gli utenti possono rimuovere l'etichetta o selezionare un'etichetta diversa prima di inviare il messaggio di posta elettronica. Entrambi gli scenari supportano un messaggio personalizzato.

Nota

Quando l'allegato con l'etichetta di classificazione più alta è configurato per la protezione con l'impostazione delle autorizzazioni definite dall'utente:

  • Quando le autorizzazioni definite dall'utente dell'etichetta includono Outlook (Non inoltrare), l'etichetta è selezionata e la protezione Non inoltrare viene applicata al messaggio di posta elettronica.
  • Quando le autorizzazioni definite dall'etichetta sono solo per Word, Excel, PowerPoint e Esplora file, tale etichetta non viene applicata al messaggio di posta elettronica e non è protezione.

Per configurare questa impostazione avanzata, immettere le stringhe seguenti per i criteri di etichetta selezionati:

  • Chiave 1: AttachmentAction

  • Valore chiave 1: consigliato o automatico

  • Chiave 2 (facoltativo): AttachmentActionTip

  • Valore chiave 2: "<Descrizione> comando personalizzata"

La descrizione comando personalizzata facoltativa supporta solo una singola lingua. Se questa impostazione non è specificata, vengono visualizzati i messaggi seguenti agli utenti:

  • Messaggio consigliato: è consigliabile etichettare questo messaggio di posta elettronica come <nome> etichetta
  • Messaggio automatico: questo messaggio di posta elettronica è stato etichettato automaticamente come <nome> etichetta

Comando di PowerShell di esempio, in cui i criteri di etichetta sono denominati "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{AttachmentAction="Automatic"}

Aggiungere "Segnala un problema" per gli utenti

Questa configurazione usa un'impostazione avanzata dei criteri che è necessario configurare usando Il Centro conformità sicurezza & PowerShell.

Quando si specifica la seguente impostazione client avanzata, gli utenti visualizzano l'opzione Segnala un problema, che può essere selezionata dalla finestra di dialogo Guida e commenti del client. Specificare una stringa HTTP per il collegamento. Ad esempio, una pagina Web personalizzata in cui gli utenti possono segnalare i problemi o un indirizzo di posta elettronica che rimanda all'help desk.

Per configurare questa impostazione avanzata, immettere le stringhe seguenti per i criteri di etichetta selezionati:

  • Chiave: ReportAnIssueLink

  • Valore: <stringa> HTTP

Valore di esempio per un sito Web: https://support.contoso.com

Valore di esempio per un indirizzo di posta elettronica: mailto:helpdesk@contoso.com

Comando di PowerShell di esempio, in cui i criteri di etichetta sono denominati "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}

Implementare messaggi popup in Outlook che avvisano, giustificano o bloccano l'invio di messaggi di posta elettronica

Questa configurazione usa le impostazioni avanzate dei criteri che è necessario configurare tramite Il Centro conformità sicurezza & PowerShell.

Quando si creano e configurano le impostazioni client avanzate seguenti, gli utenti visualizzano messaggi popup di Outlook che possono avvertirli prima dell'invio di un messaggio di posta elettronica, chiedere di giustificare il motivo dell'invio o impedire l'invio di un messaggio di posta elettronica per uno degli scenari seguenti:

  • Il messaggio di posta elettronica o un suo allegato hanno un'etichetta specifica:

    • L'allegato può essere qualsiasi tipo di file
  • Il messaggio di posta elettronica o l'allegato non hanno un'etichetta:

    • L'allegato può essere un documento di Office o un documento PDF

Quando vengono soddisfatte queste condizioni, l'utente visualizza un messaggio popup con una delle azioni seguenti:

Tipo Descrizione
Avvertire l'utente può confermare e inviare oppure annullare.
Giustificare L'utente viene richiesto di giustificare (opzioni predefinite o modulo gratuito) e l'utente può quindi inviare o annullare il messaggio di posta elettronica.
Il testo di giustificazione viene scritto nell'intestazione x di posta elettronica, in modo che possa essere letto da altri sistemi, ad esempio i servizi di prevenzione della perdita dei dati (DLP).
Bloccato all'utente viene impedito di inviare il messaggio di posta elettronica finché la condizione persiste.
Il messaggio include il motivo del blocco del messaggio di posta elettronica in modo che l'utente possa risolvere il problema,
ad esempio rimuovendo destinatari specifici o assegnando un'etichetta al messaggio di posta elettronica.

Quando i messaggi popup sono per un'etichetta specifica, è possibile configurare le eccezioni per i destinatari in base al nome di dominio.

Vedere il blog della community tecnologica Personalizzazione dei messaggi popup di Outlook per il client UL di AIP per un esempio di procedura dettagliata su come configurare queste impostazioni.

Suggerimento

Per assicurarsi che i popup vengano visualizzati anche quando i documenti vengono condivisi dall'esterno di Outlook (Condivisione file >> Allegare una copia), configurare anche l'impostazione PosticipataMandatoryBeforeSave avanzata.

Per altre informazioni, vedere:

Per implementare i messaggi popup di avviso, giustificazione o blocco per etichette specifiche

Per i criteri selezionati, creare una o più delle impostazioni avanzate seguenti con le chiavi seguenti. Per i valori, specificare una o più etichette in base al GUID, ognuna separata da una virgola.

Valore di esempio per più GUID di etichetta come stringa delimitata da virgole:

dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
Tipo di messaggio Chiave/valore
Avvertire Chiave: OutlookWarnUntrustedCollaborationLabel

Valore: <GUID etichetta, delimitato da virgole>
Giustificare Chiave: OutlookJustifyUntrustedCollaborationLabel

Valore: <GUID etichetta, delimitato da virgole>
Bloccato Chiave: OutlookBlockUntrustedCollaborationLabel

Valore: <GUID etichetta, delimitato da virgole>

Comando di PowerShell di esempio, in cui i criteri di etichetta sono denominati "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e,b6d21387-5d34-4dc8-90ae-049453cec5cf,bb48a6cb-44a8-49c3-9102-2d2b017dcead,74591a94-1e0e-4b5d-b947-62b70fc0f53a,6c375a97-2b9b-4ccd-9c5b-e24e4fd67f73"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyUntrustedCollaborationLabel="dc284177-b2ac-4c96-8d78-e3e1e960318f,d8bb73c3-399d-41c2-a08a-6f0642766e31,750e87d4-0e91-4367-be44-c9c24c9103b4,32133e19-ccbd-4ff1-9254-3a6464bf89fd,74348570-5f32-4df9-8a6b-e6259b74085b,3e8d34df-e004-45b5-ae3d-efdc4731df24"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockUntrustedCollaborationLabel="0eb351a6-0c2d-4c1d-a5f6-caa80c9bdeec,40e82af6-5dad-45ea-9c6a-6fe6d4f1626b"}

Per altre personalizzazioni, è anche possibile esentare i nomi di dominio per i messaggi popup configurati per etichette specifiche.

Nota

Le impostazioni avanzate in questa sezione (OutlookWarnUntrustedCollaborationLabel, OutlookJustifyUntrustedCollaborationLabel e OutlookBlockUntrustedCollaborationLabel) sono per quando un'etichetta specifica è in uso.

Per implementare i messaggi popup predefiniti per il contenuto non gestito , usare l'impostazione avanzata OutlookUnlabeledCollaborationAction . Per personalizzare i messaggi popup per il contenuto non etichettato, usare un file json per definire le impostazioni avanzate.

Per altre informazioni, vedere Personalizzare i messaggi popup di Outlook.

Suggerimento

Per assicurarsi che i messaggi di blocco vengano visualizzati in base alle esigenze, anche per un destinatario che si trova all'interno di un elenco di distribuzione di Outlook, assicurarsi di aggiungere l'impostazione avanzata EnableOutlookDistributionListExpansion .

Per esentare i nomi di dominio per i messaggi popup configurati per etichette specifiche

Per le etichette specificate con questi messaggi popup, è possibile esentare nomi di dominio specifici in modo che gli utenti non visualizzino i messaggi per i destinatari con tale nome di dominio incluso nell'indirizzo di posta elettronica. In questo caso, i messaggi di posta elettronica vengono inviati senza interruzioni. Per specificare più domini, aggiungerli come stringa singola, delimitata da virgole.

Una configurazione tipica consiste nel rendere visualizzabili i messaggi popup solo dai destinatari che sono esterni all'organizzazione o che non sono partner autorizzati dell'organizzazione. In questo caso, specificare tutti i domini di posta elettronica usati dall'organizzazione e dai partner.

Per gli stessi criteri di etichetta, creare le impostazioni client avanzate seguenti e per il valore, specificare uno o più domini, ognuno separato da una virgola.

Valore di esempio per più domini sotto forma di stringa delimitata da virgole: contoso.com,fabrikam.com,litware.com

Tipo di messaggio Chiave/valore
Avvertire Chiave: OutlookWarnTrustedDomains

Valore: nomi di<dominio, delimitati da virgole>
Giustificare Chiave: OutlookJustifyTrustedDomains

Valore: nomi di<dominio, delimitati da virgole>
Bloccato Chiave: OutlookBlockTrustedDomains

Valore: nomi di<dominio, delimitati da virgole>

Ad esempio, si supponga di aver specificato l'impostazione client avanzata OutlookBlockUntrustedCollaborationLabel per l'etichetta Confidential \ All Employees .

È ora possibile specificare l'impostazione client avanzata aggiuntiva di OutlookBlockTrustedDomains con contoso.com. Di conseguenza, un utente può inviare un messaggio di posta elettronica a john@sales.contoso.com quando è etichettato Riservato \ Tutti i dipendenti, ma verrà bloccato l'invio di un messaggio di posta elettronica con la stessa etichetta a un account Gmail.

Comandi di PowerShell di esempio, in cui i criteri di etichetta sono denominati "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockTrustedDomains="contoso.com"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyTrustedDomains="contoso.com,fabrikam.com,litware.com"}

Nota

Per assicurarsi che i messaggi di blocco vengano visualizzati in base alle esigenze, anche per un destinatario che si trova all'interno di un elenco di distribuzione di Outlook, assicurarsi di aggiungere l'impostazione avanzata EnableOutlookDistributionListExpansion .

Per implementare l'avviso, giustificare o bloccare i messaggi popup per messaggi di posta elettronica o allegati che non hanno un'etichetta

Per gli stessi criteri di etichetta, creare l'impostazione client avanzata seguente con uno dei valori seguenti:

Tipo di messaggio Chiave/valore
Avvertire Chiave: OutlookUnlabeledCollaborationAction

Valore: Avvisa
Giustificare Chiave: OutlookUnlabeledCollaborationAction

Valore: Giustifica
Bloccato Chiave: OutlookUnlabeledCollaborationAction

Valore: Blocca
Disattiva questi messaggi Chiave: OutlookUnlabeledCollaborationAction

Valore: Disattivato

Esempio di comando di PowerShell, in cui il criterio dell'etichetta è denominato "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Warn"}

Per altre personalizzazioni, vedere:

Per definire estensioni di file specifiche per l'avviso, la giustificazione o il blocco dei messaggi popup per gli allegati di posta elettronica che non hanno un'etichetta

Per impostazione predefinita, i messaggi popup di avviso, giustificazione o blocco si applicano a tutti i documenti di Office e i documenti PDF. È possibile perfezionare questo elenco specificando quali estensioni di file devono visualizzare i messaggi di avviso, giustificazione o blocco con un'impostazione avanzata aggiuntiva e un elenco delimitato da virgole di estensioni di file.

Valore di esempio per più estensioni di file da definire come stringa delimitata da virgole: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM

In questo esempio, un documento PDF senza etichetta non genera messaggi popup di avviso, giustificazione o blocco.

Per gli stessi criteri di etichetta, immettere le stringhe seguenti:

  • Chiave: OutlookOverrideUnlabeledCollaborationExtensions

  • Valore: <estensioni di file per visualizzare i messaggi, delimitati da virgole>

Esempio di comando di PowerShell, in cui il criterio dell'etichetta è denominato "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.PPT,.PPTX,.PPTM"}

Per specificare un'azione diversa per i messaggi di posta elettronica senza allegati

Per impostazione predefinita, il valore specificato per OutlookUnlabeledCollaborationAction per avvisare, giustificare o bloccare i messaggi popup si applica a messaggi di posta elettronica o allegati che non hanno un'etichetta.

È possibile perfezionare questa configurazione specificando un'altra impostazione avanzata per i messaggi di posta elettronica che non contengono allegati.

Creare l'impostazione client avanzata seguente con uno dei valori seguenti:

Tipo di messaggio Chiave/valore
Avvertire Chiave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Valore: Avvisa
Giustificare Chiave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Valore: Giustifica
Bloccato Chiave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Valore: Blocca
Disattiva questi messaggi Chiave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Valore: Disattivato

Se non si specifica questa impostazione client, il valore specificato per OutlookUnlabeledCollaborationAction viene usato per i messaggi di posta elettronica senza etichetta, nonché per i messaggi di posta elettronica senza allegati, nonché per i messaggi di posta elettronica senza etichetta con allegati.

Esempio di comando di PowerShell, in cui il criterio dell'etichetta è denominato "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior="Warn"}

Espandere le liste di distribuzione di Outlook durante la ricerca di destinatari di posta elettronica

Questa configurazione usa un'impostazione avanzata dei criteri che è necessario configurare tramite PowerShell del Centro sicurezza & conformità.

Per estendere il supporto da altre impostazioni avanzate ai destinatari all'interno delle liste di distribuzione di Outlook, impostare l'impostazione avanzata EnableOutlookDistributionListExpansion su true.

  • Chiave: EnableOutlookDistributionListExpansion
  • Valore: true

Ad esempio, se sono state configurate le impostazioni avanzate outlookBlockTrustedDomains, OutlookBlockUntrustedCollaborationLabel e quindi si configura anche l'impostazione EnableOutlookDistributionListExpansion , Outlook è abilitato per espandere la lista di distribuzione per garantire che venga visualizzato un messaggio di blocco in base alle esigenze.

Il timeout predefinito per l'espansione della lista di distribuzione è 2000 millisecondi.

Per modificare questo timeout, creare l'impostazione avanzata seguente per il criterio selezionato:

  • Chiave: OutlookGetEmailAddressesTimeOutMSProperty
  • Valore: Integer, in millisecondi

Esempio di comando di PowerShell, in cui il criterio dell'etichetta è denominato "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{
  EnableOutlookDistributionListExpansion="true"
  OutlookGetEmailAddressesTimeOutMSProperty="3000"
}

Impedire l'invio dei dati di controllo ad Analisi AIP e Microsoft 365

Per impostazione predefinita, il client di etichettatura unificata di Azure Information Protection supporta la creazione di report centrali e invia i dati di controllo a:

Per modificare questo comportamento, in modo che i dati di controllo non vengano inviati, eseguire le operazioni seguenti:

  1. Aggiungere l'impostazione avanzata dei criteri seguente usando PowerShell del Centro sicurezza & conformità:

    • Chiave: EnableAudit

    • Valore: False

    Ad esempio, se i criteri di etichetta sono denominati "Global":

    Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}
    

    Nota

    Per impostazione predefinita, questa impostazione avanzata non è presente nei criteri e i log di controllo vengono inviati.

  2. In tutti i computer client di Azure Information Protection eliminare la cartella seguente: %localappdata%\Microsoft\MSIP\mip

Per consentire al client di inviare nuovamente i dati del log di controllo, modificare il valore dell'impostazione avanzata su True. Non è necessario creare manualmente la cartella %localappdata%\Microsoft\MSIP\mip nei computer client.

Inviare corrispondenze del tipo di informazioni ad Analisi Information Protection di Azure

Questa configurazione usa un'impostazione avanzata dei criteri che è necessario configurare tramite PowerShell del Centro sicurezza & conformità.

Per impostazione predefinita, il client di etichettatura unificata non invia corrispondenze di contenuto per i tipi di informazioni sensibili ad Analisi Information Protection di Azure. Per altre informazioni su queste informazioni aggiuntive che è possibile inviare, vedere la sezione Corrispondenze di contenuto per un'analisi più approfondita della documentazione sulla creazione di report centrale.

Per inviare corrispondenze di contenuto quando vengono inviati i tipi di informazioni riservate, creare l'impostazione client avanzata seguente in un criterio di etichetta:

  • Chiave: LogMatchedContent

  • Valore: True

Esempio di comando di PowerShell, in cui il criterio dell'etichetta è denominato "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}

Limitare l'utilizzo della CPU

A partire dalla versione dello scanner 2.7.x.x, è consigliabile limitare il consumo di CPU usando le impostazioni avanzate scannerMaxCPU e ScannerMinCPU seguenti.

Importante

Quando vengono usati i criteri di limitazione dei thread seguenti, le impostazioni avanzate scannerMaxCPU e ScannerMinCPU vengono ignorate. Per limitare l'utilizzo della CPU usando le impostazioni avanzate ScannerMaxCPU e ScannerMinCPU , annullare l'uso dei criteri che limitano il numero di thread.

Questa configurazione usa un'impostazione avanzata dei criteri che è necessario configurare tramite PowerShell del Centro sicurezza & conformità.

Per limitare l'utilizzo della CPU nel computer scanner, è gestibile creando due impostazioni avanzate:

  • ScannerMaxCPU:

    Impostare su 100 per impostazione predefinita, ovvero non è previsto alcun limite di utilizzo massimo della CPU. In questo caso, il processo dello scanner tenterà di usare tutto il tempo di CPU disponibile per ottimizzare le frequenze di analisi.

    Se si imposta ScannerMaxCPU su meno di 100, lo scanner monitorerà il consumo della CPU negli ultimi 30 minuti. Se la CPU media ha superato il limite impostato, inizierà a ridurre il numero di thread allocati per i nuovi file.

    Il limite per il numero di thread continuerà purché il consumo della CPU sia superiore al limite impostato per ScannerMaxCPU.

  • ScannerMinCPU:

    Controllare solo se ScannerMaxCPU non è uguale a 100 e non può essere impostato su un numero maggiore del valore scannerMaxCPU . È consigliabile impostare ScannerMinCPU almeno 15 punti rispetto al valore di ScannerMaxCPU.

    Impostare su 50 per impostazione predefinita, ovvero se l'utilizzo della CPU negli ultimi 30 minuti quando è inferiore a questo valore, lo scanner inizierà ad aggiungere nuovi thread per analizzare più file in parallelo, fino a quando l'utilizzo della CPU raggiunge il livello impostato per ScannerMaxCPU-15.

Limitare il numero di thread usati dallo scanner

Importante

Quando il criterio di limitazione del thread seguente è in uso, vengono ignorate le impostazioni avanzate ScannerMaxCPU e ScannerMinCPU . Per limitare l'utilizzo della CPU tramite ScannerMaxCPU e ScannerMinCPU impostazioni avanzate, annullare l'uso dei criteri che limitano il numero di thread.

Questa configurazione usa un'impostazione avanzata dei criteri che è necessario configurare usando Il Centro conformità sicurezza & PowerShell.

Per impostazione predefinita, lo scanner usa tutte le risorse del processore disponibili nel computer che esegue il servizio scanner. Se è necessario limitare l'utilizzo della CPU durante l'analisi del servizio, creare l'impostazione avanzata seguente in un criterio di etichetta.

Come valore specificare il numero di thread simultanei che lo scanner può eseguire in parallelo. Lo scanner usa un thread separato per ogni file analizzato, quindi questa configurazione della limitazione definisce anche il numero di file che possono essere analizzati in parallelo.

Quando si configura il valore per il test per la prima volta, è consigliabile specificare 2 per ogni core e quindi monitorare i risultati. Se ad esempio si esegue lo scanner in un computer con 4 core, impostare prima il valore su 8. Se necessario, aumentare o diminuire questo numero, in base alle prestazioni risultanti richieste per il computer dello scanner e la velocità di analisi.

  • Chiave: ScannerConcurrencyLevel

  • Valore: <numero di thread simultanei>

Comando di PowerShell di esempio, in cui i criteri di etichetta sono denominati "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}

Eseguire la migrazione di etichette da Secure Islands e altre soluzioni per l'assegnazione di etichette

Questa configurazione usa un'impostazione avanzata dell'etichetta che è necessario configurare tramite Il Centro conformità sicurezza & PowerShell.

Questa configurazione non è compatibile con i file PDF protetti con estensione ppdf. Questi file non possono essere aperti dal client usando Esplora file o PowerShell.

Per i documenti di Office etichettati da Secure Islands, è possibile riassegnare un'etichetta di riservatezza a questi documenti usando un mapping definito. È anche possibile usare questo metodo per riutilizzare le etichette da altre soluzioni quando sono applicate a documenti di Office.

A seguito di questa opzione di configurazione, la nuova etichetta di riservatezza viene applicata dal client di etichettatura unificata di Azure Information Protection come indicato di seguito:

  • Per i documenti di Office: quando il documento viene aperto nell'app desktop, la nuova etichetta di riservatezza viene visualizzata come impostata e viene applicata quando il documento viene salvato.

  • Per PowerShell: Set-AIPFileLabel e Set-AIPFileClassificiation possono applicare la nuova etichetta di riservatezza.

  • Per Esplora file: nella finestra di dialogo Azure Information Protection viene visualizzata la nuova etichetta di riservatezza, ma non è impostata.

Questa configurazione richiede di specificare un'impostazione avanzata denominata labelByCustomProperties per ogni etichetta di riservatezza che si vuole eseguire il mapping all'etichetta precedente. Per ogni voce impostare quindi il valore usando la sintassi seguente:

[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]

Specificare un nome di regola di migrazione a propria scelta. Usare un nome descrittivo che consente di identificare il modo in cui una o più etichette della soluzione di etichettatura precedente devono essere mappate all'etichetta di riservatezza.

Si noti che questa impostazione non comporta la rimozione dell'etichetta originale dal documento o di tutti i contrassegni visivi nel documento che l'etichetta originale potrebbe aver applicato. Per rimuovere intestazioni e piè di pagina, vedere Rimuovere intestazioni e piè di pagina da altre soluzioni di etichettatura.

Esempi:

Per altre personalizzazioni, vedere:

Nota

Se si esegue la migrazione dalle etichette tra tenant, ad esempio dopo una fusione aziendale, è consigliabile leggere il post di blog sulle fusioni e sugli spinoff per altre informazioni.

Esempio 1: Mapping uno-a-uno con lo stesso nome di etichetta

Requisito: i documenti con un'etichetta Secure Islands di "Confidential" devono essere ribelati come "Riservato" da Azure Information Protection.

Esempio:

  • L'etichetta di Secure Islands è Riservato ed è archiviata nella proprietà personalizzata denominata Classificazione.

Impostazione avanzata:

  • Chiave: labelByCustomProperties

  • Valore: l'etichetta Secure Islands è Riservato, Classificazione, Riservato

Comando powerShell di esempio, in cui l'etichetta è denominata "Confidential":

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Confidential,Classification,Confidential"}

Esempio 2: Mapping uno-a-uno per un altro nome di etichetta

Requisito: i documenti etichettati come "Sensibili" da Secure Islands devono essere ribelati come "Altamente riservato" da Azure Information Protection.

Esempio:

  • L'etichetta di Secure Islands è Sensibile ed è archiviata nella proprietà personalizzata denominata Classificazione.

Impostazione avanzata:

  • Chiave: labelByCustomProperties

  • Valore: l'etichetta Delle isole sicure è sensibile, classificazione, sensibile

Comando powerShell di esempio, in cui l'etichetta è denominata "Alta riservatezza":

Set-Label -Identity "Highly Confidential" -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Sensitive,Classification,Sensitive"}

Esempio 3: Mapping molti-a-uno di nomi di etichetta

Requisito: sono disponibili due etichette Isole sicure che includono la parola "Internal" e si desidera che i documenti che dispongono di queste etichette Di Isole sicure vengano ribelizzate come "Generale" dal client di etichettatura unificata di Azure Information Protection.

Esempio:

  • Le etichette Secure Islands includono la parola Internal e vengono archiviate nella proprietà personalizzata denominata Classificazione.

L'impostazione client avanzata è la seguente:

  • Chiave: labelByCustomProperties

  • Valore: l'etichetta Isole sicure contiene Internal,Classification,.*Internal.*

Comando powerShell di esempio, in cui l'etichetta è denominata "Generale":

Set-Label -Identity General -AdvancedSettings @{labelByCustomProperties="Secure Islands label contains Internal,Classification,.*Internal.*"}

Esempio 4: Più regole per la stessa etichetta

Quando sono necessarie più regole per la stessa etichetta, definire più valori di stringa per la stessa chiave.

In questo esempio le etichette Secure Islands denominate "Confidential" e "Secret" vengono archiviate nella proprietà personalizzata denominata Classificazione e si vuole che il client di etichettatura unificata di Azure Information Protection applicare l'etichetta di riservatezza denominata "Confidential":

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

Estendere le regole di migrazione delle etichette ai messaggi di posta elettronica

È possibile usare la configurazione definita con l'impostazione avanzata labelByCustomProperties per i messaggi di posta elettronica di Outlook, oltre ai documenti di Office, specificando un'impostazione avanzata dei criteri di etichetta aggiuntivi.

Tuttavia, questa impostazione ha un impatto negativo noto sulle prestazioni di Outlook, quindi configurare questa impostazione aggiuntiva solo quando si dispone di un requisito aziendale sicuro per esso e ricordare di impostarlo su un valore stringa Null al termine della migrazione dall'altra soluzione di etichettatura.

Per configurare questa impostazione avanzata, immettere le stringhe seguenti per i criteri di etichetta selezionati:

  • Chiave: EnableLabelByMailHeader

  • Valore: True

Comando di PowerShell di esempio, in cui i criteri di etichetta sono denominati "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelByMailHeader="True"}

Estendere le regole di migrazione delle etichette alle proprietà di SharePoint

È possibile usare la configurazione definita con l'impostazione avanzata labelByCustomProperties per le proprietà di SharePoint che è possibile esporre come colonne agli utenti specificando un'impostazione avanzata dei criteri di etichetta aggiuntiva.

Questa impostazione è supportata quando si usa Word, Excel e PowerPoint.

Per configurare questa impostazione avanzata, immettere le stringhe seguenti per i criteri di etichetta selezionati:

  • Chiave: EnableLabelBySharePointProperties

  • Valore: True

Comando di PowerShell di esempio, in cui i criteri di etichetta sono denominati "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelBySharePointProperties="True"}

Applicare una proprietà personalizzata quando viene applicata un'etichetta

Questa configurazione usa un'impostazione avanzata dell'etichetta che è necessario configurare tramite Il Centro conformità sicurezza & PowerShell.

Potrebbero esserci alcuni scenari quando si desidera applicare una o più proprietà personalizzate a un documento o a un messaggio di posta elettronica oltre ai metadati applicati da un'etichetta di riservatezza.

Ad esempio:

  • Si sta eseguendo la migrazione da un'altra soluzione di etichettatura, ad esempio Isole sicure. Per l'interoperabilità durante la migrazione, si desidera che le etichette di riservatezza applichino anche una proprietà personalizzata usata dall'altra soluzione di etichettatura.

  • Per il sistema di gestione dei contenuti (ad esempio SharePoint o una soluzione di gestione documenti di un altro fornitore) si vuole usare un nome di proprietà personalizzato coerente con valori diversi per le etichette e con nomi descrittivi anziché il GUID dell'etichetta.

Per i documenti di Office e i messaggi di posta elettronica di Outlook etichettati dagli utenti usando il client di etichettatura unificata di Azure Information Protection, è possibile aggiungere una o più proprietà personalizzate definite. È anche possibile usare questo metodo per il client di etichettatura unificata per visualizzare una proprietà personalizzata come etichetta da altre soluzioni per il contenuto che non è ancora etichettato dal client di etichettatura unificata.

A seguito di questa opzione di configurazione, le proprietà personalizzate aggiuntive vengono applicate dal client di etichettatura unificata di Azure Information Protection come indicato di seguito:

Ambiente Descrizione
Documenti di Office Quando il documento viene etichettato nell'app desktop, le proprietà personalizzate aggiuntive vengono applicate quando il documento viene salvato.
Messaggi di posta elettronica di Outlook Quando il messaggio di posta elettronica viene etichettato in Outlook, le proprietà aggiuntive vengono applicate all'intestazione x quando viene inviato il messaggio di posta elettronica.
PowerShell Set-AIPFileLabel e Set-AIPFileClassificiation applica le proprietà personalizzate aggiuntive quando il documento viene etichettato e salvato.

Get-AIPFileStatus visualizza proprietà personalizzate come etichetta mappata se non viene applicata un'etichetta di riservatezza.
Esplora file Quando l'utente fa clic con il pulsante destro del mouse sul file e applica l'etichetta, vengono applicate le proprietà personalizzate.

Questa configurazione richiede di specificare un'impostazione avanzata denominata customPropertiesByLabel per ogni etichetta di riservatezza da applicare alle proprietà personalizzate aggiuntive. Per ogni voce impostare quindi il valore usando la sintassi seguente:

[custom property name],[custom property value]

Importante

L'uso di spazi vuoti nella stringa impedirà l'applicazione delle etichette.

Ad esempio:

Esempio 1: Aggiungere una singola proprietà personalizzata per un'etichetta

Requisito: i documenti etichettati come "Riservato" dal client di etichettatura unificata di Azure Information Protection devono avere la proprietà personalizzata aggiuntiva denominata "Classification" con il valore "Secret".

Esempio:

  • L'etichetta di riservatezza è denominata Confidential e crea una proprietà personalizzata denominata Classification con il valore Secret.

Impostazione avanzata:

  • Chiave: customPropertiesByLabel

  • Valore: classificazione, segreto

Esempio di comando di PowerShell, in cui l'etichetta è denominata "Confidential":

    Set-Label -Identity Confidential -AdvancedSettings @{customPropertiesByLabel="Classification,Secret"}

Esempio 2: Aggiungere più proprietà personalizzate per un'etichetta

Per aggiungere più proprietà personalizzate per la stessa etichetta, è necessario definire più valori stringa per la stessa chiave.

Esempio di comando di PowerShell, in cui l'etichetta è denominata "General" e si vuole aggiungere una proprietà personalizzata denominata Classification con il valore generale e una seconda proprietà personalizzata denominata Sensitivity con il valore Internal:

Set-Label -Identity General -AdvancedSettings @{customPropertiesByLabel=ConvertTo-Json("Classification,General", "Sensitivity,Internal")}

Configurare un'etichetta per applicare la protezione S/MIME in Outlook

Questa configurazione usa le impostazioni avanzate delle etichette che è necessario configurare usando PowerShell del Centro sicurezza & conformità.

Usare queste impostazioni solo quando si dispone di una distribuzione S/MIME funzionante e si vuole che un'etichetta applichi automaticamente questo metodo di protezione per i messaggi di posta elettronica anziché la protezione di Rights Management da Azure Information Protection. La protezione risultante è identica a quella applicata quando un utente seleziona manualmente le opzioni di S/MIME da Outlook.

Configurazione Chiave/valore
Firma digitale S/MIME Per configurare un'impostazione avanzata per una firma digitale S/MIME, immettere le stringhe seguenti per l'etichetta selezionata:

- Chiave: SMimeSign

- Valore: True
Crittografia S/MIME Per configurare un'impostazione avanzata per la crittografia S/MIME, immettere le stringhe seguenti per l'etichetta selezionata:

- Chiave: SMimeEncrypt

- Valore: True

Quando un utente seleziona l'etichetta in Outlook, vengono applicate le impostazioni S/MIME configurate. Se l'etichetta è configurata anche per la crittografia di Rights Management predefinita che è possibile specificare nella Portale di conformità di Microsoft Purview, le impostazioni S/MIME sostituiscono la protezione di Rights Management solo in Outlook. Per le altre app supportate dal client di etichettatura unificata, il client continua a usare le impostazioni di crittografia specificate nel portale di conformità.

Se si vuole che l'etichetta sia visibile solo in Outlook, configurare l'opzione di crittografia Non inoltrare in Consenti agli utenti di assegnare le autorizzazioni.

Comandi di PowerShell di esempio, in cui l'etichetta è denominata "Solo destinatari":

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeSign="True"}

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeEncrypt="True"}

Specificare un'etichetta secondaria predefinita per un'etichetta padre

Questa configurazione usa un'impostazione avanzata dell'etichetta che è necessario configurare tramite PowerShell del Centro sicurezza & conformità.

Quando si aggiunge un'etichetta secondaria a un'etichetta, gli utenti non possono più applicare l'etichetta padre a un documento o a un messaggio di posta elettronica. Per impostazione predefinita, gli utenti selezionano l'etichetta padre per visualizzare le etichette secondarie che possono applicare e quindi selezionare una di queste etichette secondarie. Se si configura questa impostazione avanzata, quando gli utenti selezionano l'etichetta padre, viene selezionata e applicata automaticamente un'etichetta secondaria:

  • Chiave: DefaultSubLabelId

  • Valore: <GUID> etichetta secondaria

Il comando powerShell di esempio, dove l'etichetta padre è denominata "Confidential" e la sottoetichetta "All Employees" ha un GUID di 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}

Attivare l'esecuzione continua della classificazione in background

Questa configurazione usa un'impostazione avanzata dell'etichetta che è necessario configurare tramite PowerShell del Centro sicurezza & conformità.

Quando si configura questa impostazione, viene modificato il comportamento predefinito del modo in cui il client di etichettatura unificata di Azure Information Protection applica etichette automatiche e consigliate ai documenti:

Per Word, Excel e PowerPoint, la classificazione automatica viene eseguita in modo continuo in background.

Il comportamento rimane invariato per Outlook.

Quando il client di etichettatura unificata di Azure Information Protection controlla periodicamente i documenti per le regole di condizione specificate, questo comportamento abilita la classificazione e la protezione automatica e consigliata per i documenti di Office archiviati in SharePoint o OneDrive, purché il salvataggio automatico sia attivato. Anche i file di grandi dimensioni sono stati salvati più rapidamente perché le regole delle condizioni sono già state eseguite.

Le regole di condizione non vengono eseguite in tempo reale durante la digitazione. Vengono eseguite periodicamente come attività in background se il documento viene modificato.

Per configurare questa impostazione avanzata, immettere le stringhe seguenti:

  • Chiave: RunPolicyInBackground
  • Valore: True

Esempio di comando di PowerShell:

Set-LabelPolicy -Identity PolicyName -AdvancedSettings @{RunPolicyInBackground = "true"}

Nota

Questa funzionalità è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Specificare un colore per l'etichetta

Questa configurazione usa le impostazioni avanzate delle etichette che è necessario configurare usando PowerShell del Centro sicurezza & conformità.

Usare questa impostazione avanzata per impostare un colore per un'etichetta. Per specificare il colore, immettere un codice triplo esadecimale per i componenti rosso, verde e blu (RGB) del colore. Ad esempio, #40e0d0 è il valore esadecimale RGB per turchese.

Se è necessario un riferimento per questi codici, è disponibile una tabella utile nella <pagina dei colori> della documentazione Web MSDN. Questi codici sono disponibili anche in molte applicazioni che consentono di modificare le immagini. Ad esempio quando in Microsoft Paint si sceglie un colore personalizzato in una tavolozza vengono visualizzati automaticamente i valori RGB corrispondenti ed è possibile copiarli.

Per configurare l'impostazione avanzata per il colore di un'etichetta, immettere le stringhe seguenti per l'etichetta selezionata:

  • Chiave: colore

  • Valore: <valore> esadecimale RGB

Esempio di comando di PowerShell, in cui l'etichetta è denominata "Public":

Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}

Accedere come utente diverso

L'accesso con più utenti non è supportato da AIP nell'ambiente di produzione. Questa procedura descrive come accedere come utente diverso solo a scopo di test.

È possibile verificare l'account attualmente connesso come usando la finestra di dialogo Microsoft Azure Information Protection: Aprire un'applicazione di Office e nella scheda Home selezionare il pulsante Riservatezza e quindi Guida e commenti. Il nome dell'account verrà visualizzato nella sezione Stato del client.

Assicurarsi di controllare anche il nome di dominio dell'account di accesso che viene visualizzato. Può essere facile non notare che è stato effettuato l'accesso con il nome dell'account giusto, ma con il dominio errato. Un sintomo dell'uso dell'account errato include l'errore di scaricare le etichette o non visualizzare le etichette o il comportamento previsto.

Per accedere come utente diverso:

  1. Passare a %localappdata%\Microsoft\MSIP ed eliminare il file TokenCache.

  2. Riavviare tutte le applicazioni Office aperte e accedere con l'account utente diverso. Se non viene visualizzato un prompt nell'applicazione office per accedere al servizio Azure Information Protection, tornare alla finestra di dialogo Information Protection di Microsoft Azure e selezionare Accedi dalla sezione Stato client aggiornato.

Inoltre:

Scenario Descrizione
Ancora connesso all'account precedente Se il client di etichettatura unificata di Azure Information Protection è ancora connesso con l'account precedente dopo aver completato questi passaggi, eliminare tutti i cookie da Internet Explorer e ripetere i passaggi 1 e 2.
Uso dell'accesso Single Sign-On Se si usa la funzione Single Sign-On, è necessario uscire da Windows e accedere con un account utente diverso dopo aver eliminato il file del token.

Azure Information Protection client di etichettatura unificata esegue quindi l'autenticazione automatica usando l'account utente attualmente connesso.
Tenant diversi Questa soluzione è supportata per l'accesso come utente diverso dallo stesso tenant. Non è supportata per l'accesso come utente diverso da un diverso tenant.

Per testare Azure Information Protection con più tenant, usare computer diversi.
Reimpostare le impostazioni È possibile usare l'opzione Reimposta impostazioni da Guida e commenti per disconnettersi ed eliminare le etichette e le impostazioni dei criteri attualmente scaricate dal Portale di conformità di Microsoft Purview.

Supporto per i computer disconnessi

Importante

I computer disconnessi sono supportati per gli scenari di etichettatura seguenti: Esplora file, PowerShell, le app di Office e lo scanner.

Per impostazione predefinita, il client di etichettatura unificata di Azure Information Protection tenta automaticamente di connettersi a Internet per scaricare le etichette e le impostazioni dei criteri di etichetta dal Portale di conformità di Microsoft Purview.

Se si dispone di computer che non possono connettersi a Internet per un periodo di tempo, è possibile esportare e copiare i file che gestiscono manualmente i criteri per il client di etichettatura unificata.

Per supportare i computer disconnessi dal client di etichettatura unificata:

  1. Scegliere o creare un account utente in Azure AD che verrà usato per scaricare etichette e impostazioni dei criteri da usare nel computer disconnesso.

  2. Come impostazione aggiuntiva dei criteri di etichetta per questo account, disattivare l'invio di dati di controllo ad Analisi Information Protection di Azure.

    È consigliabile eseguire questo passaggio perché se il computer disconnesso dispone di connettività Internet periodica, invierà le informazioni di registrazione ad Azure Information Protection analytics che include il nome utente del passaggio 1. L'account utente potrebbe essere diverso dall'account locale in uso nel computer disconnesso.

  3. Da un computer con connettività Internet con il client di etichettatura unificata installato e connesso con l'account utente del passaggio 1, scaricare le etichette e le impostazioni dei criteri.

  4. Da questo computer, esportare i file di log.

    Ad esempio, eseguire il cmdlet Export-AIPLogs oppure usare l'opzione Esporta log dalla finestra di dialogo Guida e feedback del client.

    I file di log vengono esportati come un singolo file compresso.

  5. Aprire il file compresso e dalla cartella MSIP copiare tutti i file con estensione .xml file.

  6. Incollare questi file nella cartella %localappdata%\Microsoft\MSIP nel computer disconnesso.

  7. Se l'account utente scelto è uno che in genere si connette a Internet, abilitare di nuovo l'invio dei dati di controllo impostando il valore EnableAudit su True.

Tenere presente che se un utente in questo computer seleziona l'opzione Ripristina impostazioni da Guida e commenti, questa azione elimina i file dei criteri e rende il client inoperabile fino a quando non si sostituiscono manualmente i file o il client si connette a Internet e scarica i file.

Se il computer disconnesso esegue lo scanner di Azure Information Protection, è necessario eseguire ulteriori passaggi di configurazione. Per altre informazioni, vedere Restrizione: il server scanner non può avere connettività Internet dalle istruzioni di distribuzione dello scanner.

Modificare il livello di registrazione locale

Per impostazione predefinita, il client di etichettatura unificata di Azure Information Protection scrive i file di log del client nella cartella %localappdata%\Microsoft\MSIP. Questi file sono destinati al supporto tecnico Microsoft per la risoluzione dei problemi.

Per modificare il livello di registrazione per questi file, individuare il nome del valore seguente nel Registro di sistema e impostare i dati del valore sul livello di registrazione richiesto:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel

Impostare il livello di registrazione su uno dei valori seguenti:

  • Disattivato: nessuna registrazione locale.

  • Errore: solo errori.

  • Avviso: errori e avvisi.

  • Info: registrazione minima, che non include ID evento (impostazione predefinita per lo scanner).

  • Debug: informazioni complete.

  • Traccia: registrazione dettagliata (impostazione predefinita per i client).

Questa impostazione del Registro di sistema non modifica le informazioni inviate ad Azure Information Protection per la creazione di report centrali.

Ignorare o ignorare i file durante le analisi a seconda degli attributi del file

Questa configurazione usa un'impostazione avanzata dei criteri che è necessario configurare tramite PowerShell del Centro sicurezza & conformità.

Per impostazione predefinita, lo scanner di etichettatura unificata di Azure Information Protection analizza tutti i file pertinenti. Tuttavia, è possibile definire file specifici da ignorare, ad esempio per i file archiviati o i file spostati.

Abilitare lo scanner per ignorare file specifici in base ai relativi attributi di file usando l'impostazione avanzata ScannerFSAttributesToSkip . Nel valore dell'impostazione elencare gli attributi del file che consentiranno di ignorare il file quando sono tutti impostati su true. Questo elenco di attributi di file usa la logica AND.

I comandi di PowerShell di esempio seguenti illustrano come usare questa impostazione avanzata con un'etichetta denominata "Global".

Ignorare i file che sono di sola lettura e archiviati

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}

Ignorare i file di sola lettura o archiviati

Per usare una logica OR, eseguire la stessa proprietà più volte. Ad esempio:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}

Suggerimento

È consigliabile abilitare lo scanner per ignorare i file con gli attributi seguenti:

  • FILE_ATTRIBUTE_SYSTEM
  • FILE_ATTRIBUTE_HIDDEN
  • FILE_ATTRIBUTE_DEVICE
  • FILE_ATTRIBUTE_OFFLINE
  • FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
  • FILE_ATTRIBUTE_RECALL_ON_OPEN
  • FILE_ATTRIBUTE_TEMPORARY

Per un elenco di tutti gli attributi di file che possono essere definiti nell'impostazione avanzata ScannerFSAttributesToSkip , vedere le costanti degli attributi dei file Win32

Mantenere i proprietari NTFS durante l'etichettatura (anteprima pubblica)

Questa configurazione usa un'impostazione avanzata dei criteri che è necessario configurare tramite PowerShell del Centro sicurezza & conformità.

Per impostazione predefinita, scanner, PowerShell e Esplora file l'etichettatura delle estensioni non mantiene il proprietario NTFS definito prima dell'etichettatura.

Per assicurarsi che il valore del proprietario NTFS venga mantenuto, impostare l'impostazione avanzata UseCopyAndPreserveNTFSOwner su true per i criteri di etichetta selezionati.

Attenzione

Definire questa impostazione avanzata solo quando è possibile garantire una connessione di rete affidabile e a bassa latenza tra lo scanner e il repository analizzato. Un errore di rete durante il processo di etichettatura automatica può causare la perdita del file.

Comando di PowerShell di esempio, quando i criteri di etichetta sono denominati "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}

Nota

Questa funzionalità è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Personalizzare i testi delle richieste di giustificazione per le etichette modificate

Personalizzare le richieste di giustificazione visualizzate sia in Office che nel client AIP, quando gli utenti finali modificano le etichette di classificazione nei documenti e nei messaggi di posta elettronica.

Ad esempio, come amministratore, è possibile ricordare agli utenti di non aggiungere informazioni di identificazione dei clienti in questo campo:

Testo personalizzato della richiesta di giustificazione

Per modificare il testo predefinito Visualizzato , utilizzare la proprietà avanzata JustificationTextForUserText con il cmdlet Set-LabelPolicy . Impostare invece il valore sul testo da usare.

Comando di PowerShell di esempio, quando i criteri di etichetta sono denominati "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}

Personalizzare i messaggi popup di Outlook

Gli amministratori di AIP possono personalizzare i messaggi popup visualizzati agli utenti finali in Outlook, ad esempio:

  • Messaggi per messaggi di posta elettronica bloccati
  • Messaggi di avviso che richiedono agli utenti di verificare il contenuto che stanno inviando
  • Messaggi di giustificazione che richiedono agli utenti di giustificare il contenuto che stanno inviando

Importante

Questa procedura sostituirà tutte le impostazioni già definite usando la proprietà avanzata OutlookUnlabeledCollaborationAction .

Nell'ambiente di produzione è consigliabile evitare complicazioni usando la proprietà avanzata OutlookUnlabeledCollaborationAction per definire le regole o definire regole complesse con un file JSON come definito di seguito, ma non entrambi.

Per personalizzare i messaggi popup di Outlook:

  1. Creare file json , ognuno con una regola che consente di configurare il modo in cui Outlook visualizza i messaggi popup agli utenti. Per altre informazioni, vedere Sintassi con estensione json del valore della regola e Codice JSON di personalizzazione popup di esempio.

  2. Usare PowerShell per definire impostazioni avanzate che controllano i messaggi popup configurati. Eseguire un set separato di comandi per ogni regola da configurare.

    Ogni set di comandi di PowerShell deve includere il nome del criterio che si sta configurando, nonché la chiave e il valore che definisce la regola.

    Usare la sintassi seguente:

    $filedata = Get-Content "<Path to json file>"
    Set-LabelPolicy -Identity <Policy name> -AdvancedSettings @{<Key> ="$filedata"}
    

    Dove:

    • <Path to json file> è il percorso del file JSON creato. Ad esempio : C:\Users\msanchez\Desktop\ \dlp\OutlookCollaborationRule_1.json.

    • <Policy name> è il nome del criterio che si vuole configurare.

    • <Key> è un nome per la regola. Usare la sintassi seguente, dove <#> è il numero di serie per la regola:

      OutlookCollaborationRule_<#>

    Per altre informazioni, vedere Ordinamento delle regole di personalizzazione di Outlook e sintassi JSON del valore della regola.

Suggerimento

Per un'organizzazione aggiuntiva, denominare il file con la stessa stringa della chiave usata nel comando di PowerShell. Ad esempio, denominare il file OutlookCollaborationRule_1.json e quindi usare anche OutlookCollaborationRule_1 come chiave.

Per assicurarsi che i popup vengano visualizzati anche quando i documenti vengono condivisi dall'esterno di Outlook (Condivisione file >> Allega una copia), configurare anche l'impostazione avanzata PostponeMandatoryBeforeSave .

Ordinamento delle regole di personalizzazione di Outlook

AIP usa il numero di serie nella chiave immessa per determinare l'ordine in cui vengono elaborate le regole. Quando si definiscono le chiavi usate per ogni regola, definire le regole più restrittive con numeri inferiori, seguiti da regole meno restrittive con numeri più elevati.

Dopo aver trovato una corrispondenza di regola specifica, AIP interrompe l'elaborazione delle regole ed esegue l'azione associata alla regola corrispondente. (Prima corrispondenza - > Logica di uscita )

Esempio:

Si supponga di voler configurare tutti i messaggi di posta elettronica interni con un messaggio di avviso specifico, ma non si vuole in genere bloccarli. Tuttavia, si vuole impedire agli utenti di inviare allegati classificati come segreti, anche come messaggi di posta elettronica interni .

In questo scenario ordinare la chiave della regola Blocca segreto , ovvero la regola più specifica, prima che la chiave della regola interna avvisi più generici:

  • Per il messaggio Blocca : OutlookCollaborationRule_1
  • Per il messaggio Di avviso : OutlookCollaborationRule_2

Sintassi del valore della regola .json

Definire la sintassi json della regola come indicato di seguito:

"type" : "And",
"nodes" : []

È necessario disporre di almeno due nodi, il primo che rappresenta la condizione della regola e l'ultima che rappresenta l'azione della regola. Per altre informazioni, vedere:

Sintassi della condizione della regola

I nodi della condizione della regola devono includere il tipo di nodo e quindi le condizioni stesse.

I tipi di nodo supportati includono:

Tipo di nodo Descrizione
And Esegue e in tutti i nodi figlio
Or Esegue o su tutti i nodi figlio
Not Esegue non per il proprio figlio
Tranne Restituisce non per il proprio figlio, causando il comportamento di Tutti
SentTo, seguito da Domini: listOfDomains Verifica una delle seguenti operazioni:
- Se l'elemento padre è tranne, verifica se tutti i destinatari si trovano in uno dei domini
- Se l'elemento padre è qualsiasi altro, ma tranne, verifica se uno dei destinatari si trova in uno dei domini.
EMailLabel, seguito dall'etichetta I tipi validi sono:
- ID etichetta
- Null, se non etichettato
AttachmentLabel, seguito da Label e estensioni supportate I tipi validi sono:

true:
- Se padre è tranne, verifica se tutti gli allegati con un'estensione supportata esistono all'interno dell'etichetta
- Se l'elemento padre è qualsiasi altro, ma tranne, verifica se uno degli allegati con un'estensione supportata esiste all'interno dell'etichetta
- Se non etichettato e etichetta = Null

false: per tutti gli altri casi

Nota: se la proprietà Extensions è vuota o mancante, tutti i tipi di file supportati (estensioni) sono inclusi nella regola.

Sintassi dell'azione regola

Le azioni delle regole possono essere una delle seguenti:

Azione Sintassi Messaggio di esempio
Bloccato Block (List<language, [title, body]>) Email bloccato

Si sta per inviare contenuto classificato come segreto a uno o più destinatari non attendibili:
rsinclair@contoso.com

I criteri dell'organizzazione non consentono questa azione. È consigliabile rimuovere questi destinatari o sostituire il contenuto.
Avvertire Warn (List<language,[title,body]>) Conferma richiesta

Si sta per inviare contenuto classificato come generale a uno o più destinatari non attendibili:
rsinclair@contoso.com

I criteri dell'organizzazione richiedono la conferma per l'invio di questo contenuto.
Giustificare Justify (numOfOptions, hasFreeTextOption, List<language, [Title, body, options1,options2….]> )

Incluse fino a tre opzioni.
Giustificazione necessaria

I criteri dell'organizzazione richiedono la giustificazione per l'invio di contenuto classificato come Generale ai destinatari non attendibili.

- Confermare che i destinatari siano approvati per la condivisione di questo contenuto
- Il mio manager ha approvato la condivisione di questo contenuto
- Altro, come spiegato
Parametri di azione

Se non vengono forniti parametri per un'azione, i popup avranno il testo predefinito.

Tutti i testi supportano i parametri dinamici seguenti:

Parametro Descrizione
${MatchedRecipientsList} Ultima corrispondenza per le condizioni SentTo
${MatchedLabelName} Etichetta di posta/allegato, con il nome localizzato dal criterio
${MatchedAttachmentName} Nome dell'allegato dall'ultima corrispondenza per la condizione AttachmentLabel

Nota

Tutti i messaggi includono l'opzione Tell Me More , nonché le finestre di dialogo Guida e Feedback .

La lingua è cultureName per il nome delle impostazioni locali, ad esempio: inglese = en-us; Spagnolo = es-es

I nomi di lingua solo padre sono supportati, ad esempio en solo.

Codice json di personalizzazione popup di esempio

I set seguenti di codice .json mostrano come è possibile definire un'ampia gamma di regole che controllano il modo in cui Outlook visualizza i messaggi popup per gli utenti.

Esempio 1: Bloccare messaggi di posta elettronica interni o allegati

Il codice .json seguente blocca i messaggi di posta elettronica o gli allegati classificati come Interni da impostare su destinatari esterni.

In questo esempio , 89a453df-5df4-4976-8191-259d0cf9560a è l'ID dell'etichetta interna e i domini interni includono contoso.com e microsoft.com.

Poiché non sono specificate estensioni specifiche, sono inclusi tutti i tipi di file supportati.

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			  "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel", 			
					"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a" 		
				},{ 					
                    "type" : "EmailLabel", 					
                    "LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a" 				
                }
			]
		},		
        { 			
            "type" : "Block", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Email Blocked", 				  
                    "Body": "The email or at least one of the attachments is classified as <Bold>${MatchedLabelName}</Bold>. Documents classified as <Bold> ${MatchedLabelName}</Bold> cannot be sent to external recipients (${MatchedRecipientsList}).<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance with classification requirements as per Contoso's policies." 				
                }, 				
                "es-es": { 				  
                    "Title": "Correo electrónico bloqueado", 				  
                    "Body": "El correo electrónico o al menos uno de los archivos adjuntos se clasifica como <Bold> ${MatchedLabelName}</Bold>." 				
                } 			
            }, 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

Esempio 2: Bloccare allegati di Office non classificati

Il codice .json seguente blocca gli allegati o i messaggi di posta elettronica di Office non classificati da inviare ai destinatari esterni.

Nell'esempio seguente, l'elenco di allegati che richiede l'etichettatura è: .doc,.docm,.docx,.dot,.dotm,.dotx,.potm,.potx,.ppsm,.ppsx,.ppt,.pptm,.pptx,.vdw,.vsd,.vsdm,.vsdx,.vssm,.vst,.vstm,.vssx,.vstx,.xls,.xlsb,.xlt,.xlsm,.xlsx,.xltm,.xltx

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			        "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel",
					 "LabelId" : null,
					"Extensions": [
									".doc",
									".docm",
									".docx",
									".dot",
									".dotm",
									".dotx",
									".potm",
									".potx",
									".pps",
									".ppsm",
									".ppsx",
									".ppt",
									".pptm",
									".pptx",
									".vdw",
									".vsd",
									".vsdm",
									".vsdx",
									".vss",
									".vssm",
									".vst",
									".vstm",
									".vssx",
									".vstx",
									".xls",
									".xlsb",
									".xlt",
									".xlsm",
									".xlsx",
									".xltm",
									".xltx"
								 ]
					
				},{ 					
                    "type" : "EmailLabel",
					 "LabelId" : null
                }
			]
		},		
        { 			
            "type" : "Block", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Emailed Blocked", 				  
                    "Body": "Classification is necessary for attachments to be sent to external recipients.<br><br>List of attachments that are not classified:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br>For MS Office documents, classify and send again.<br><br>For PDF files, classify the document or classify the email (using the most restrictive classification level of any single attachment or the email content) and send again." 				
                }, 				
                "es-es": { 				  
                    "Title": "Correo electrónico bloqueado", 				  
                    "Body": "La clasificación es necesaria para que los archivos adjuntos se envíen a destinatarios externos." 				
                } 			
            }, 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

Esempio 3: Richiedere all'utente di accettare l'invio di un messaggio di posta elettronica o un allegato riservato

L'esempio seguente causa la visualizzazione di un messaggio che avvisa l'utente che invia un messaggio di posta elettronica o allegato riservato ai destinatari esterni e richiede anche che l'utente seleziona L'accettazione.

Questo tipo di messaggio di avviso è considerato tecnicamente una giustificazione, perché l'utente deve selezionare Accetta.

Poiché non sono specificate estensioni specifiche, sono inclusi tutti i tipi di file supportati.

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			        "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel", 			
					"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613" 		
				},{ 					
                    "type" : "EmailLabel", 					
                    "LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613" 				
                }
			]
		},		
        { 			
            "type" : "Justify", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Warning", 				  
                    "Body": "You are sending a document that is classified as <Bold>${MatchedLabelName}</Bold> to at least one external recipient. Please make sure that the content is correctly classified and that the recipients are entitled to receive this document.<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><Bold>List of external email addresses:</Bold><br>${MatchedRecipientsList})<br><br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br><Bold>Acknowledgement</Bold><br>By clicking <Bold>I accept</Bold> below, you confirm that the recipient is entitled to receive the content and the communication complies with CS Policies and Standards",
					"Options": [ 						
                        "I accept"			    
                    ] 
                }, 				
                "es-es": { 				  
                    "Title": "Advertencia", 				  
                    "Body": "Está enviando un documento clasificado como <Bold>${MatchedLabelName}</Bold> a al menos un destinatario externo. Asegúrese de que el contenido esté correctamente clasificado y que los destinatarios tengan derecho a recibir este documento.",
                    "Options": [ 						
                        "Acepto"				    
                    ] 					
                } 			
            }, 			
            "HasFreeTextOption":"false", 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

Esempio 4: Avvisa sulla posta elettronica senza etichetta e un allegato con un'etichetta specifica

Il codice .json seguente causa l'avviso dell'utente quando invia un messaggio di posta elettronica interno senza etichetta, con un allegato con un'etichetta specifica.

In questo esempio bcbef25a-c4db-446b-9496-1b558d9edd0e è l'ID dell'etichetta dell'allegato e la regola si applica ai file .docx, .xlsx e .pptx.

Per impostazione predefinita, i messaggi di posta elettronica con etichetta non ricevono automaticamente la stessa etichetta.

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "EmailLabel",
					 "LabelId" : null			
        },
        {
          "type": "AttachmentLabel",
          "LabelId": "bcbef25a-c4db-446b-9496-1b558d9edd0e",
          "Extensions": [
                ".docx",
                ".xlsx",
                ".pptx"
             ]
        },
	{  			
            "type" : "SentTo",  			
            "Domains" : [  				
                "contoso.com", 				
            ]   		
        }, 		
        { 			
            "type" : "Warn"	
        } 	
    ] 
}

Esempio 5: Richiedere una giustificazione, con due opzioni predefinite e un'opzione di testo libero aggiuntivo

Il codice con estensione json seguente causa a Outlook di richiedere all'utente una giustificazione per l'azione. Il testo della giustificazione include due opzioni predefinite, oltre a una terza opzione di testo libero.

Poiché non sono specificate estensioni specifiche, sono inclusi tutti i tipi di file supportati.

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 									
                ]   			
            } 		
        }, 		
        { 			
            "type" : "EmailLabel", 			
            "LabelId" : "34b8beec-40df-4219-9dd4-553e1c8904c1" 		
        }, 		
        { 			
            "type" : "Justify", 			
            "LocalizationData": { 				
                "en-us": { 					
                    "Title": "Justification Required", 					
                    "Body": "Your organization policy requires justification for you to send content classified as <Bold> ${MatchedLabelName}</Bold>,to untrusted recipients:<br>Recipients are: ${MatchedRecipientsList}", 					
                    "Options": [ 						
                        "I confirm the recipients are approved for sharing this content", 					
                        "My manager approved sharing of this content", 						
                        "Other, as explained" 				    
                    ] 				
                }, 				
                "es-es": { 				    
                    "Title": "Justificación necesaria", 				    
                    "Body": "La política de su organización requiere una justificación para que envíe contenido clasificado como <Bold> ${MatchedLabelName}</Bold> a destinatarios que no sean de confianza.", 				    
                    "Options": [ 						
                        "Confirmo que los destinatarios están aprobados para compartir este contenido.",
                        "Mi gerente aprobó compartir este contenido",
                        "Otro, como se explicó" 					
                    ] 				
                } 			
            }, 			
            "HasFreeTextOption":"true", 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

Configurare i timeout di SharePoint

Per impostazione predefinita, il timeout per le interazioni di SharePoint è di due minuti, dopo il quale l'operazione AIP tentata ha esito negativo.

A partire dalla versione 2.8.85.0, gli amministratori di AIP possono controllare questo timeout usando le proprietà avanzate seguenti, usando una sintassi hh:mm:ss per definire i timeout:

  • SharepointWebRequestTimeout. Determina il timeout per tutte le richieste Web AIP a SharePoint. Impostazione predefinita = 2 minuti.

    Ad esempio, se il criterio è denominato Globale, il comando di PowerShell di esempio seguente aggiorna il timeout della richiesta Web a 5 minuti.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}
    
  • SharepointFileWebRequestTimeout. Determina il timeout specifico per i file di SharePoint tramite richieste Web AIP. Impostazione predefinita = 15 minuti

    Ad esempio, se il criterio è denominato Global, il comando di PowerShell di esempio seguente aggiorna il timeout della richiesta Web file a 10 minuti.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
    

Evitare timeout dello scanner in SharePoint

Se sono presenti percorsi di file lunghi in SharePoint versione 2013 o successiva, assicurarsi che il valore httpRuntime.maxUrlLength del server SharePoint sia maggiore dei 260 caratteri predefiniti.

Questo valore viene definito nella classe HttpRuntimeSection della ASP.NET configurazione.

Per aggiornare la classe HttpRuntimeSection:

  1. Eseguire il backup della configurazione diweb.config .

  2. Aggiornare il valore maxUrlLength in base alle esigenze. Ad esempio:

    <httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000"  />
    
  3. Riavviare il server Web di SharePoint e verificare che venga caricato correttamente.

    Ad esempio, in Windows Internet Information Server (IIS) Manager selezionare il sito e quindi in Gestisci sito Web selezionare Riavvia.

Evitare problemi di prestazioni di Outlook con messaggi di posta elettronica S/MIME

I problemi di prestazioni possono verificarsi in Outlook quando i messaggi di posta elettronica S/MIME vengono aperti nel riquadro di lettura. Per evitare questi problemi, abilitare la proprietà avanzata OutlookSkipSmimeOnReadingPaneEnabled .

L'abilitazione di questa proprietà impedisce la visualizzazione della barra AIP e delle classificazioni di posta elettronica nel riquadro di lettura.

Ad esempio, se il criterio è denominato Global, il comando di PowerShell di esempio seguente abilita la proprietà OutlookSkipSmimeOnReadingPaneEnabled :

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookSkipSmimeOnReadingPaneEnabled="true"}

Disattivare le funzionalità di rilevamento dei documenti

Per impostazione predefinita, le funzionalità di rilevamento dei documenti vengono attivate per il tenant. Per disattivarli, ad esempio per i requisiti di privacy nell'organizzazione o nell'area geografica, impostare il valore EnableTrackAndRevoke su False.

Dopo aver disattivato, i dati di rilevamento dei documenti non saranno più disponibili nell'organizzazione e gli utenti non visualizzeranno più l'opzione di menu Revoca nelle app di Office.

Per i criteri di etichetta selezionati, specificare le stringhe seguenti:

  • Chiave: EnableTrackAndRevoke

  • Valore: False

Comando di PowerShell di esempio, in cui i criteri di etichetta sono denominati "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableTrackAndRevoke="False"}

Dopo aver impostato questo valore su False, tenere traccia e revocare viene disattivato come segue:

  • L'apertura di documenti protetti con il client di etichettatura unificata AIP non registra più i documenti per tenere traccia e revocare.
  • Gli utenti finali non visualizzeranno più l'opzione di menu Revoca nelle app di Office.

Tuttavia, i documenti protetti già registrati per il rilevamento continueranno a essere tracciati e gli amministratori possono comunque revocare l'accesso da PowerShell. Per disattivare completamente le funzionalità di traccia e revoca, eseguire anche il cmdlet Disable-AipServiceDocumentingFeature .

Questa configurazione usa un'impostazione avanzata dei criteri che è necessario configurare usando Il Centro conformità sicurezza & PowerShell.

Suggerimento

Per attivare e revocare la traccia, impostare EnableTrackAndRevoke su True ed eseguire anche il cmdlet Enable-AipServiceDocumentingFeature .

Disattivare l'opzione Revoca per gli utenti finali nelle app di Office

Se non si vuole che gli utenti finali abbiano la possibilità di revocare l'accesso ai documenti protetti dalle app di Office, è possibile rimuovere l'opzione Revoca accesso dalle app di Office.

Nota

La rimozione dell'opzione Revoca accesso continua a tenere traccia dei documenti protetti in background e mantiene la possibilità di amministratore di revocare l'accesso ai documenti tramite PowerShell.

Per i criteri di etichetta selezionati, specificare le stringhe seguenti:

  • Chiave: EnableRevokeGuiSupport

  • Valore: False

Comando di PowerShell di esempio, in cui i criteri di etichetta sono denominati "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}

Configurare il timeout di compilazione automatica nei file di Office

Per impostazione predefinita, il timeout di compilazione automatica dello scanner nei file di Office è di 3 secondi.

Se si dispone di un file di Excel complesso con molti fogli o righe, 3 secondi potrebbero non essere sufficienti per applicare automaticamente le etichette. Per aumentare questo timeout per i criteri di etichetta selezionati, specificare le stringhe seguenti:

  • Chiave: OfficeContentExtractionTimeout

  • Valore: secondi, nel formato seguente: hh:mm:ss.

Importante

È consigliabile non generare questo timeout su un valore superiore a 15 secondi.

Comando di PowerShell di esempio, in cui i criteri di etichetta sono denominati "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}

Il timeout aggiornato si applica alla compilazione automatica in tutti i file di Office.

Attivare le funzionalità di globalizzazione della classificazione (anteprima pubblica)

Funzionalità di globalizzazione della classificazione, tra cui maggiore accuratezza per le lingue asiatiche orientali e il supporto per i caratteri a byte doppio. Questi miglioramenti vengono forniti solo per i processi a 64 bit e vengono disattivati per impostazione predefinita.

Attivare queste funzionalità per i criteri specificare le stringhe seguenti:

  • Chiave: EnableGlobalization

  • Valore: True

Comando di PowerShell di esempio, in cui i criteri di etichetta sono denominati "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}

Per disattivare di nuovo il supporto e ripristinare l'impostazione predefinita, impostare l'impostazione avanzata EnableGlobalization su una stringa vuota.

Passaggi successivi

Dopo aver personalizzato il client di etichettatura unificata di Azure Information Protection, vedere le risorse seguenti per informazioni aggiuntive che potrebbero essere necessarie per supportare questo client: