Microsoft Purview 情報保護 クライアントの詳細設定
この記事には、次のコマンドレットを使用するときにMicrosoft Purview 情報保護 クライアントでサポートされるセキュリティ & コンプライアンス PowerShell の詳細設定が含まれています。
Microsoft 365 アプリとサービスに組み込まれている秘密度ラベルでサポートされる詳細設定は、コマンドレット ページ自体に含まれています。 また、詳細設定を指定するための便利な PowerShell のヒントも見つかる場合があります。
| ラベルの詳細設定 | 説明 |
|---|---|
| Color | ラベルの色を指定する |
| DefaultSubLabelId | 親ラベルの既定のサブラベルを指定する |
| ラベル ポリシーの詳細設定 | 説明 |
|---|---|
| AdditionalPPrefixExtensions | EXT> の変更<のサポート。PFILE から P<EXT へ> |
| EnableAudit | 監査データが Microsoft Purview に送信されないようにする |
| EnableContainerSupport | PST、rar、7zip、MSG ファイルからの暗号化の削除を有効にする |
| EnableCustomPermissions | エクスプローラーでカスタム アクセス許可をオフにする |
| EnableCustomPermissionsForCustomProtectedFiles | カスタムアクセス許可で暗号化されたファイルの場合は、常にエクスプローラーでユーザーにカスタムアクセス許可を表示します |
| EnableGlobalization | 分類のグローバリゼーション機能を有効にする |
| JustificationTextForUserText | 変更されたラベルの理由付けプロンプト テキストをカスタマイズする |
| LogMatchedContent | 情報の種類の一致を Microsoft Purview に送信する |
| OfficeContentExtractionTimeout | Office ファイルの自動ラベル付けタイムアウトを構成する |
| PFileSupportedExtensions | 保護するファイルの種類を変更する |
| ReportAnIssueLink | ユーザーの "問題の報告" を追加する |
| ScannerMaxCPU | CPU 使用量を制限する |
| ScannerMinCPU | CPU 使用量を制限する |
| ScannerConcurrencyLevel | スキャナーで使用されるスレッドの数を制限する |
| ScannerFSAttributesToSkip | ファイル属性に応じてスキャン中にファイルをスキップまたは無視する) |
| SharepointWebRequestTimeout | SharePoint タイムアウトの構成 |
| SharepointFileWebRequestTimeout | SharePoint タイムアウトの構成 |
| UseCopyAndPreserveNTFSOwner | ラベル付け中に NTFS 所有者を保持する |
AdditionalPPrefixExtensions
EXT を変更<するには、この高度なプロパティを使用します>。PFILE から P<EXT> は、エクスプローラー、PowerShell、スキャナーによってサポートされます。 すべてのアプリの動作は似ています。
キー: AdditionalPPrefixExtensions
値: <文字列値>
次の表を使用して、指定する文字列値を特定します。
| 文字列値 | クライアントとスキャナー |
|---|---|
| * | すべての PFile 拡張機能が P<EXT になります> |
| <Null 値> | 既定値は、既定の暗号化値と同様に動作します。 |
| ConvertTo-Json(".dwg", ".zip") | 前の一覧に加えて、".dwg" と ".zip" が P<EXT になります> |
この設定では、次の拡張機能は常に P<EXT> になります:".txt"、".xml"、".bmp"、".jt"、".jpg"、".jpeg"、"jpe"、".jif"、".jfif"、".jfi"、".png"、".tif"、".tiff"、".gif")。 注目すべき除外は、"ptxt" が "txt.pfile" にならないということです。
この設定では、 PFileSupportedExtension の詳細設定を有効にする必要があります。
例 1: 既定の動作のように動作する PowerShell コマンド。Protect ".dwg" が ".dwg.pfile" になります。
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}
例 2: ファイルのラベル付けと暗号化時にすべての PFile 拡張機能を汎用暗号化からネイティブ暗号化に変更する PowerShell コマンド:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}
例 3: このサービスを使用するときに ".dwg" を ".pdwg" に変更する PowerShell コマンドは、このファイルを保護します。
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}
色
この詳細設定を使用して、ラベルの色を設定します。 色を指定するには、色の赤、緑、青 (RGB) コンポーネントの 16 進トリプレット コードを入力します。 たとえば、#40e0d0 はターコイズの RGB 16進数値です。
これらのコードのリファレンスが必要な場合は、MSDN Web ドキュメントの <カラー> ページから役立つテーブルが表示されます。これらのコードは、画像を編集できる多くのアプリケーションでも見つかります。 たとえば、Microsoft ペイントでは、パレットからカスタムカラーを選択すると、RGB値が自動的に表示され、コピーできます。
ラベルの色の詳細設定を構成するには、選択したラベルに次の文字列を入力します。
キー: 色
値: <RGB 16 進値>
PowerShell コマンドの例。ラベルの名前は "Public"です。
Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}
DefaultSubLabelId
サブラベルをラベルに追加すると、ユーザーはドキュメントまたは電子メールに親ラベルを適用できなくなります。 既定では、ユーザーは親ラベルを選択して適用できるサブラベルを表示し、それらのサブラベルのいずれかを選択します。 この詳細設定を構成すると、ユーザーが親ラベルを選択すると、サブラベルが自動的に選択されて適用されます。
キー: DefaultSubLabelId
値: <サブラベル GUID>
PowerShell コマンドの例。親ラベルに "Confidential" という名前が付けられ、"すべての従業員" サブラベルに 8faca7b8-8d20-48a3-8ea2-0f96310a848e の GUID があります。
Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
EnableAudit
既定では、情報保護クライアントは、 アクティビティ エクスプローラーでこのデータを表示できる監査データを Microsoft Purview に送信します。
この動作を変更するには、次の詳細設定を使用します。
キー: EnableAudit
値: False
たとえば、ラベル ポリシーの名前が "Global" の場合は、次のようになります。
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}
次に、情報保護クライアントを実行するローカル コンピューターで、%localappdata%\Microsoft\MSIP\mip というフォルダーを削除します。
クライアントが監査ログ データを再度送信できるようにするには、詳細設定の値を True に変更 します。 クライアント コンピューターで %localappdata%\Microsoft\MSIP\mip フォルダーを手動で作成する必要はありません。
EnableContainerSupport
この設定により、情報保護クライアントは PST、rar、および 7zip ファイルから暗号化を削除できます。
キー: EnableContainerSupport
値: True
たとえば、ラベル ポリシーの名前が "Global" の場合は、次のようになります。
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}
EnableCustomPermissions
既定では、ユーザーは、ファイル ラベラーを使用してエクスプローラーを右クリックすると、[カスタム アクセス許可を持つ保護] という名前のオプションが表示されます。 このオプションを使用すると、ラベル構成に含まれている可能性がある暗号化設定をオーバーライドできる独自の暗号化設定を設定できます。 ユーザーは、暗号化を削除するオプションを表示することもできます。 この設定を構成すると、ユーザーにこれらのオプションは表示されません。
ユーザーにこれらのオプションが表示されないように、次の設定を使用します。
キー: EnableCustomPermissions
値: False
ラベル ポリシーの名前が "Global" である PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
EnableCustomPermissionsForCustomProtectedFiles
クライアントの詳細設定 EnableCustomPermissions を構成してエクスプローラーでカスタム アクセス許可をオフにすると、既定では、ユーザーは暗号化されたドキュメントで既に設定されているカスタム アクセス許可を表示または変更できません。
ただし、このシナリオでは、ユーザーがエクスプローラーを使用してファイルを右クリックしたときに、暗号化されたドキュメントのカスタム アクセス許可を表示および変更できるように、別の高度なクライアント設定を指定できます。
キー: EnableCustomPermissionsForCustomProtectedFiles
値: True
ラベル ポリシーの名前が "Global" である PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}
EnableGlobalization
東アジア言語の精度の向上や 2 バイト文字のサポートなど、分類のグローバリゼーション機能。 これらの拡張機能は、64 ビット プロセスに対してのみ提供され、既定ではオフになっています。
ポリシーでこれらの機能を有効にするには、次の文字列を指定します。
キー: EnableGlobalization
値:
True
ラベル ポリシーの名前が "Global" である PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}
サポートをもう一度オフにし、既定値に戻すには、[ EnableGlobalization advanced]\(グローバル化の詳細設定\) を空の文字列に設定します。
JustificationTextForUserText
エンド ユーザーがファイルの秘密度ラベルを変更したときに表示される正当な理由のプロンプトをカスタマイズします。
たとえば、管理者として、このフィールドに顧客識別情報を追加しないようにユーザーに通知する必要がある場合があります。
ダイアログ ボックスでユーザーが選択できる既定の [その他 ] オプションを変更するには、 JustificationTextForUserText の詳細設定を使用します。 代わりに使用するテキストに値を設定します。
ラベル ポリシーの名前が "Global" である PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
LogMatchedContent
既定では、情報保護クライアントは機密情報の種類のコンテンツの一致を Microsoft Purview に送信しません。これにより、 アクティビティ エクスプローラーに表示できます。 スキャナーは常にこの情報を送信します。 送信できるこの追加情報の詳細については、「 より詳細な分析のためのコンテンツの一致」を参照してください。
機密情報の種類が送信されたときにコンテンツの一致を送信するには、ラベル ポリシーで次の詳細設定を使用します。
キー: LogMatchedContent
値: True
ラベル ポリシーの名前が "Global" である PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}
OfficeContentExtractionTimeout
既定では、Office ファイルでのスキャナーの自動ラベル付けタイムアウトは 3 秒です。
多数のシートまたは行を含む複雑な Excel ファイルがある場合、ラベルを自動的に適用するには 3 秒で十分でない可能性があります。 選択したラベル ポリシーのこのタイムアウトを増やすには、次の文字列を指定します。
キー: OfficeContentExtractionTimeout
値: 秒、次の形式:
hh:mm:ss。
重要
このタイムアウトを 15 秒より長くしないことをお勧めします。
ラベル ポリシーの名前が "Global" である PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}
更新されたタイムアウトは、すべての Office ファイルの自動ラベル付けに適用されます。
PFileSupportedExtensions
この設定では、暗号化されるファイルの種類を変更できますが、既定の暗号化レベルをネイティブからジェネリックに変更することはできません。 たとえば、ファイル ラベラーを実行しているユーザーの場合は、すべてのファイルの種類ではなく Office ファイルと PDF ファイルのみが暗号化されるように、既定の設定を変更できます。 ただし、これらのファイルの種類を .pfile ファイル名拡張子で一般的に暗号化するように変更することはできません。
キー: PFileSupportedExtensions
値: <文字列値>
次の表を使用して、指定する文字列値を特定します。
| 文字列値 | クライアント | スキャナー |
|---|---|---|
| * | 既定値: すべてのファイルの種類に暗号化を適用する | すべてのファイルの種類に暗号化を適用する |
| ConvertTo-Json(".jpg", ".png") | Office ファイルの種類と PDF ファイルに加えて、指定したファイル名拡張子に暗号化を適用します | Office ファイルの種類と PDF ファイルに加えて、指定したファイル名拡張子に暗号化を適用します |
例 1: ラベル ポリシーの名前が "Scanner" であるすべてのファイルの種類を暗号化するスキャナーの PowerShell コマンド:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
例 2: スキャナーが Office ファイルと PDF ファイルに加えて .txt ファイルと .csv ファイルを暗号化するための PowerShell コマンド。ラベル ポリシーには "Scanner" という名前が付けられています。
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}
ReportAnIssueLink
次のクライアント詳細設定を指定すると、ファイル ラベラーの [ヘルプとフィードバック クライアント] ダイアログ ボックスから選択できる [問題の報告] オプションがユーザーに表示されます。 リンクの HTTP 文字列を指定します。 たとえば、ユーザーが問題を報告するためのカスタマイズされた Web ページや、ヘルプ デスクに送信されるメール アドレスなどです。
この詳細設定を構成するには、選択したラベル ポリシーに対して次の文字列を入力します。
キー: ReportAnIssueLink
値: <HTTP 文字列>
Web サイトの値の例: https://support.contoso.com
電子メール アドレスの値の例: mailto:helpdesk@contoso.com
ラベル ポリシーの名前が "Global" である PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}
ScannerMaxCPU
重要
下位互換性のためにサポートされている ScannerConcurrencyLevel ではなく、高度な設定 ScannerMaxCPU と ScannerMinCPU を使用して CPU 消費量を制限することをお勧めします。
以前の詳細設定が指定されている場合、ScannerMaxCPU および ScannerMinCPU の詳細設定は無視されます。
スキャナー コンピューターの CPU 消費量を制限するには、この詳細設定を ScannerMinCPU と組み合わせて使用します。
キー: ScannerMaxCPU
値: <number>**
この値は既定で 100 に設定されています。つまり、最大 CPU 消費量に制限はありません。 この場合、スキャナー プロセスは使用可能なすべての CPU 時間を使用してスキャン レートを最大化しようとします。
ScannerMaxCPU を 100 未満に設定すると、スキャナーは過去 30 分間の CPU 消費量を監視します。 平均 CPU が設定した制限を超えた場合、新しいファイルに割り当てられたスレッドの数が減り始めます。
スレッド数の制限は、CPU 消費量が ScannerMaxCPU に設定されている制限を超える限り継続されます。
ScannerMinCPU
重要
下位互換性のためにサポートされている ScannerConcurrencyLevel ではなく、高度な設定 ScannerMaxCPU と ScannerMinCPU を使用して CPU 消費量を制限することをお勧めします。
以前の詳細設定が指定されている場合、ScannerMaxCPU および ScannerMinCPU の詳細設定は無視されます。
ScannerMaxCPU が 100 に等しくなく、ScannerMaxCPU 値より大きい数値に設定できない場合にのみ使用されます。
ScannerMinCPU は、ScannerMaxCPU の値より少なくとも 15 ポイント低く設定しておくことをお勧めします。
この値は既定で 50 に設定されています。つまり、この値より小さい場合、過去 30 分間の CPU 消費量が、スキャナーの Cpu 消費量が ScannerMaxCPU-15 に設定したレベルに達するまで、新しいスレッドの追加を開始して並列でより多くのファイルをスキャンします。
ScannerConcurrencyLevel
重要
下位互換性のためにサポートされている ScannerConcurrencyLevel ではなく、高度な設定 ScannerMaxCPU と ScannerMinCPU を使用して CPU 消費量を制限することをお勧めします。
この以前の詳細設定を指定すると、ScannerMaxCPU および ScannerMinCPU の詳細設定は無視されます。
既定では、スキャナー はスキャナー サービスを実行しているコンピューターで使用可能なすべてのプロセッサ リソースを使用します。 このサービスのスキャン中に CPU 使用量を制限する必要がある場合は、スキャナーが並列で実行できる同時実行スレッドの数を指定します。 スキャナーはスキャンするファイルごとに個別のスレッドを使用するため、この調整構成では、並列スキャンできるファイルの数も定義されます。
最初にテスト用の値を構成するときは、コアごとに 2 を指定し、結果を監視することをお勧めします。 たとえば、4 コアのコンピューターでスキャナーを実行する場合は、最初に値を 8 に設定します。 必要に応じて、スキャナー コンピューターに必要な結果のパフォーマンスとスキャン速度に応じて、その数を増減します。
キー: ScannerConcurrencyLevel
値: <同時実行スレッド>の数
ラベル ポリシーの名前が "Scanner" である PowerShell コマンドの例:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}
ScannerFSAttributesToSkip
既定では、情報保護スキャナーは関連するすべてのファイルをスキャンします。 ただし、アーカイブされたファイルや移動されたファイルなど、スキップする特定のファイルを定義したい場合があります。
ScannerFSAttributesToSkip 詳細設定を使用して、スキャナーがファイル属性に基づいて特定のファイルをスキップできるようにします。 設定値に、すべて true に設定されている場合にファイルをスキップできるようにするファイル属性を一覧表示 します。 このファイル属性の一覧では、AND ロジックが使用されます。
ラベル ポリシーの名前が "Global" である PowerShell コマンドの例。
読み取り専用とアーカイブの両方のファイルをスキップする
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}
読み取り専用またはアーカイブされているファイルをスキップする
OR ロジックを使用するには、同じプロパティを複数回実行します。 以下に例を示します。
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}
ヒント
スキャナーで次の属性を持つファイルをスキップすることを検討することをお勧めします。
- FILE_ATTRIBUTE_SYSTEM
- FILE_ATTRIBUTE_HIDDEN
- FILE_ATTRIBUTE_DEVICE
- FILE_ATTRIBUTE_OFFLINE
- FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
- FILE_ATTRIBUTE_RECALL_ON_OPEN
- FILE_ATTRIBUTE_TEMPORARY
ScannerFSAttributesToSkip 詳細設定で定義できるすべてのファイル属性の一覧については、「Win32 ファイル属性定数」を参照してください。
SharepointWebRequestTimeout
既定では、SharePoint 操作のタイムアウトは 2 分で、その後、情報保護クライアントの操作が失敗します。 このタイムアウトを制御するには、hh:mm:ss 構文を使用して、SharepointWebRequestTimeout および SharepointFileWebRequestTimeout の詳細設定を使用します。
値を指定して、SharePoint に対するすべての情報保護クライアント Web 要求のタイムアウトを決定します。 既定値は分です。
たとえば、ポリシーの名前が Global の場合、次のサンプル PowerShell コマンドは Web 要求のタイムアウトを 5 分に更新します。
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}
SharepointFileWebRequestTimeout
既定では、SharePoint 操作のタイムアウトは 2 分で、その後、情報保護クライアントの操作が失敗します。 このタイムアウトを制御するには、hh:mm:ss 構文を使用して、SharepointWebRequestTimeout および SharepointFileWebRequestTimeout の詳細設定を使用します。
情報保護クライアント Web 要求を使用して SharePoint ファイルのタイムアウト値を指定します。 既定値は 15 分です。
たとえば、ポリシーの名前が Global の場合、次のサンプル PowerShell コマンドは、ファイル Web 要求のタイムアウトを 10 分に更新します。
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
UseCopyAndPreserveNTFSOwner
注:
この機能は現在プレビュー段階です。 Azure プレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていない Azure 機能に適用される追加の法的条件が含まれています。
既定では、情報保護クライアントは、秘密度ラベルを適用する前に定義された NTFS 所有者を保持しません。
NTFS 所有者の値が確実に保持されるようにするには、選択したラベル ポリシーに対して UseCopyAndPreserveNTFSOwner の詳細設定を true に設定します。
注意
スキャナーの場合: スキャナーとスキャンされたリポジトリの間の待機時間が短く、信頼性の高いネットワーク接続を確保できる場合にのみ、この詳細設定を定義します。 自動ラベル付けプロセス中にネットワーク障害が発生すると、ファイルが失われる可能性があります。
ラベル ポリシーの名前が "Scanner" である PowerShell コマンドの例
Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示