Microsoft Purview Information Protection クライアントの詳細設定

この記事では、次のコマンドレットを使用する場合に Microsoft Purview Information Protection クライアントでサポートされるセキュリティ & コンプライアンス PowerShell の詳細設定について説明します。

• New-Label または Set-Label
• New-LabelPolicy または Set-LabelPolicy

Microsoft 365 アプリとサービスに組み込まれている秘密度ラベルでサポートされる詳細設定は、コマンドレット ページ自体に含まれています。 また、詳細設定を指定するための便利な PowerShell のヒントも見つかる場合があります。

ラベルの詳細設定	説明
Color	ラベルの色を指定する
DefaultSubLabelId	親ラベルの既定のサブラベルを指定する

ラベル ポリシーの詳細設定	説明
AdditionalPPrefixExtensions	<EXT> の変更のサポート。PFILE から P<EXT へ>
EnableAudit	監査データが Microsoft Purview に送信されないようにする
EnableContainerSupport	PST、rar、7zip、MSG ファイルからの暗号化の削除を有効にする
EnableCustomPermissions	エクスプローラーでカスタム アクセス許可をオフにする
EnableCustomPermissionsForCustomProtectedFiles	カスタムアクセス許可で暗号化されたファイルの場合は、エクスプローラーでユーザーに対するカスタムアクセス許可を常に表示します
EnableGlobalization	分類のグローバリゼーション機能を有効にする
JustificationTextForUserText	変更されたラベルの理由付けプロンプト テキストをカスタマイズする
LogMatchedContent	情報の種類の一致を Microsoft Purview に送信する
OfficeContentExtractionTimeout	Office ファイルの自動ラベル付けタイムアウトを構成する
PFileSupportedExtensions	保護するファイルの種類を変更する
ReportAnIssueLink	ユーザーの "問題の報告" を追加する
ScannerMaxCPU	CPU 使用量を制限する
ScannerMinCPU	CPU 使用量を制限する
ScannerConcurrencyLevel	スキャナーで使用されるスレッドの数を制限する
ScannerFSAttributesToSkip	ファイル属性に応じてスキャン中にファイルをスキップまたは無視する)
SharepointWebRequestTimeout	SharePoint タイムアウトの構成
SharepointFileWebRequestTimeout	SharePoint タイムアウトの構成
UseCopyAndPreserveNTFSOwner	ラベル付け中に NTFS 所有者を保持する

AdditionalPPrefixExtensions

<EXT>を変更するためのこの高度なプロパティ。PFILE から P<EXT> は、エクスプローラー、PowerShell、スキャナーでサポートされます。 すべてのアプリの動作は似ています。

• キー: AdditionalPPrefixExtensions

• 値: <string 値>

次の表を使用して、指定する文字列値を特定します。

文字列値	クライアントとスキャナー
*	すべての PFile 拡張機能が P<EXT になります>
<Null 値>	既定値は、既定の暗号化値と同様に動作します。
ConvertTo-Json(".dwg", ".zip")	前の一覧に加えて、".dwg" と ".zip" は P<EXT になります。>

この設定では、次の拡張機能は常に P<EXT>:".txt"、".xml"、".bmp"、".jt"、".jpg"、".jpeg"、".jpe"、".jif"、".jfif"、".jfi"、".png"、".tif"、".tiff"、".gif")。 注目すべき除外は、"ptxt" が "txt.pfile" にならないということです。

この設定では、 PFileSupportedExtension の詳細設定を有効にする必要があります。

例 1: 既定の動作のように動作する PowerShell コマンド。Protect ".dwg" が ".dwg.pfile" になります。

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}

例 2: ファイルのラベル付けと暗号化時にすべての PFile 拡張機能を汎用暗号化からネイティブ暗号化に変更する PowerShell コマンド:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}

例 3: このサービスを使用するときに ".dwg" を ".pdwg" に変更する PowerShell コマンドは、このファイルを保護します。

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}

色

この詳細設定を使用して、ラベルの色を設定します。 色を指定するには、色の赤、緑、青 (RGB) コンポーネントの 16 進トリプレット コードを入力します。 たとえば、＃40e0d0 はターコイズの RGB 16進数値です。

これらのコードのリファレンスが必要な場合は、MSDN Web ドキュメントの <color> ページから役立つテーブルが見つかります。これらのコードは、画像を編集できる多くのアプリケーションでも見つかります。 たとえば、Microsoft ペイントでは、パレットからカスタムカラーを選択すると、RGB値が自動的に表示され、コピーできます。

ラベルの色の詳細設定を構成するには、選択したラベルに次の文字列を入力します。

• キー: 色

• 値: RGB 16 進値

PowerShell コマンドの例。ラベルの名前は "Public"です。

Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}

DefaultSubLabelId

サブラベルをラベルに追加すると、ユーザーはドキュメントまたは電子メールに親ラベルを適用できなくなります。 既定では、ユーザーは親ラベルを選択して適用できるサブラベルを表示し、それらのサブラベルのいずれかを選択します。 この詳細設定を構成すると、ユーザーが親ラベルを選択すると、サブラベルが自動的に選択されて適用されます。

• キー: DefaultSubLabelId

• 値: <sublabel GUID>

PowerShell コマンドの例。親ラベルに "Confidential" という名前が付けられ、"すべての従業員" サブラベルに 8faca7b8-8d20-48a3-8ea2-0f96310a848e の GUID があります。

Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}

EnableAudit

既定では、情報保護クライアントは、 アクティビティ エクスプローラーでこのデータを表示できる監査データを Microsoft Purview に送信します。

この動作を変更するには、次の詳細設定を使用します。

• キー: EnableAudit

• 値: False

たとえば、ラベル ポリシーの名前が "Global" の場合は、次のようになります。

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}

次に、情報保護クライアントを実行するローカル コンピューターで、%localappdata%\Microsoft\MSIP\mip というフォルダーを削除します。

クライアントが監査ログ データを再度送信できるようにするには、詳細設定の値を True に変更 します。 クライアント コンピューターで %localappdata%\Microsoft\MSIP\mip フォルダーを手動で作成する必要はありません。

EnableContainerSupport

この設定により、情報保護クライアントは PST、rar、および 7zip ファイルから暗号化を削除できます。

• キー: EnableContainerSupport

• 値: True

たとえば、ラベル ポリシーの名前が "Global" の場合は、次のようになります。

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}

EnableCustomPermissions

既定では、ファイル ラベラーを使用してエクスプローラーで右クリックすると、[ カスタム アクセス許可を持つ保護 ] という名前のオプションがユーザーに表示されます。 このオプションを使用すると、ラベル構成に含まれている可能性がある暗号化設定をオーバーライドできる独自の暗号化設定を設定できます。 ユーザーは、暗号化を削除するオプションを表示することもできます。 この設定を構成すると、ユーザーにこれらのオプションは表示されません。

ユーザーにこれらのオプションが表示されないように、次の設定を使用します。

• キー: EnableCustomPermissions

• 値: False

ラベル ポリシーの名前が "Global" である PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

EnableCustomPermissionsForCustomProtectedFiles

エクスプローラーでカスタムアクセス許可をオフにするようにクライアントの詳細設定 EnableCustomPermissions を 構成すると、既定では、ユーザーは暗号化されたドキュメントで既に設定されているカスタムアクセス許可を表示または変更できません。

ただし、このシナリオでは、ユーザーがエクスプローラーを使用してファイルを右クリックしたときに、暗号化されたドキュメントのカスタム アクセス許可を表示および変更できるように、別の高度なクライアント設定を指定できます。

• キー: EnableCustomPermissionsForCustomProtectedFiles

• 値: True

ラベル ポリシーの名前が "Global" である PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}

EnableGlobalization

東アジア言語の精度の向上や 2 バイト文字のサポートなど、分類のグローバリゼーション機能。 これらの拡張機能は、64 ビット プロセスに対してのみ提供され、既定ではオフになっています。

ポリシーでこれらの機能を有効にするには、次の文字列を指定します。

• キー: EnableGlobalization

• 値: True

ラベル ポリシーの名前が "Global" である PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}

サポートをもう一度オフにし、既定値に戻すには、[ EnableGlobalization advanced]\(グローバル化の詳細設定\) を空の文字列に設定します。

JustificationTextForUserText

エンド ユーザーがファイルの秘密度ラベルを変更したときに表示される正当な理由のプロンプトをカスタマイズします。

たとえば、管理者として、このフィールドに顧客識別情報を追加しないようにユーザーに通知する必要がある場合があります。

ダイアログ ボックスでユーザーが選択できる既定の [その他 ] オプションを変更するには、 JustificationTextForUserText の詳細設定を使用します。 代わりに使用するテキストに値を設定します。

ラベル ポリシーの名前が "Global" である PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}

LogMatchedContent

既定では、情報保護クライアントは機密情報の種類のコンテンツの一致を Microsoft Purview に送信しません。これにより、 アクティビティ エクスプローラーに表示できます。 スキャナーは常にこの情報を送信します。 送信できるこの追加情報の詳細については、「 より詳細な分析のためのコンテンツの一致」を参照してください。

機密情報の種類が送信されたときにコンテンツの一致を送信するには、ラベル ポリシーで次の詳細設定を使用します。

• キー: LogMatchedContent

• 値: True

ラベル ポリシーの名前が "Global" である PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}

OfficeContentExtractionTimeout

既定では、Office ファイルでのスキャナーの自動ラベル付けタイムアウトは 3 秒です。

多数のシートまたは行を含む複雑な Excel ファイルがある場合、ラベルを自動的に適用するには 3 秒で十分でない可能性があります。 選択したラベル ポリシーのこのタイムアウトを増やすには、次の文字列を指定します。

• キー: OfficeContentExtractionTimeout

• 値: 秒。次の形式: hh:mm:ss。

重要

このタイムアウトを 15 秒より長くしないことをお勧めします。

ラベル ポリシーの名前が "Global" である PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}

更新されたタイムアウトは、すべての Office ファイルの自動ラベル付けに適用されます。

PFileSupportedExtensions

この設定では、暗号化されるファイルの種類を変更できますが、既定の暗号化レベルをネイティブからジェネリックに変更することはできません。 たとえば、ファイル ラベラーを実行しているユーザーの場合は、すべてのファイルの種類ではなく Office ファイルと PDF ファイルのみが暗号化されるように、既定の設定を変更できます。 ただし、これらのファイルの種類を .pfile ファイル名拡張子で一般的に暗号化するように変更することはできません。

• キー: PFileSupportedExtensions

• 値: <string 値>

次の表を使用して、指定する文字列値を特定します。

文字列値	クライアント	スキャナー
*	既定値: すべてのファイルの種類に暗号化を適用する	すべてのファイルの種類に暗号化を適用する
ConvertTo-Json(".jpg", ".png")	Office ファイルの種類と PDF ファイルに加えて、指定したファイル名拡張子に暗号化を適用します	Office ファイルの種類と PDF ファイルに加えて、指定したファイル名拡張子に暗号化を適用します

例 1: ラベル ポリシーの名前が "Scanner" であるすべてのファイルの種類を暗号化するスキャナーの PowerShell コマンド:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

例 2: スキャナーが Office ファイルと PDF ファイルに加えて .txt ファイルと .csv ファイルを暗号化するための PowerShell コマンド。ラベル ポリシーには "Scanner" という名前が付けられています。

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}

ReportAnIssueLink

次のクライアント詳細設定を指定すると、ファイル ラベラーの [ヘルプとフィードバック クライアント] ダイアログ ボックスから選択できる [問題の報告] オプションがユーザーに表示されます。 リンクの HTTP 文字列を指定します。 たとえば、ユーザーが問題を報告するためのカスタマイズされた Web ページや、ヘルプ デスクに送信されるメール アドレスなどです。

この詳細設定を構成するには、選択したラベル ポリシーに対して次の文字列を入力します。

• キー: ReportAnIssueLink

• 値: HTTP 文字列

Web サイトの値の例: https://support.contoso.com

電子メール アドレスの値の例: mailto:helpdesk@contoso.com

ラベル ポリシーの名前が "Global" である PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}

ScannerMaxCPU

重要

下位互換性のためにサポートされている ScannerConcurrencyLevel ではなく、高度な設定 ScannerMaxCPU と ScannerMinCPU を使用して CPU 消費量を制限することをお勧めします。

以前の詳細設定が指定されている場合、ScannerMaxCPU および ScannerMinCPU の詳細設定は無視されます。

スキャナー コンピューターの CPU 消費量を制限するには、この詳細設定を ScannerMinCPU と組み合わせて使用します。

• キー: ScannerMaxCPU

• 値: <number>**

この値は既定で 100 に設定されています。つまり、最大 CPU 消費量に制限はありません。 この場合、スキャナー プロセスは使用可能なすべての CPU 時間を使用してスキャン レートを最大化しようとします。

ScannerMaxCPU を 100 未満に設定すると、スキャナーは過去 30 分間の CPU 消費量を監視します。 平均 CPU が設定した制限を超えた場合、新しいファイルに割り当てられたスレッドの数が減り始めます。

スレッド数の制限は、CPU 消費量が ScannerMaxCPU に設定されている制限を超える限り継続されます。

ScannerMinCPU

重要

下位互換性のためにサポートされている ScannerConcurrencyLevel ではなく、高度な設定 ScannerMaxCPU と ScannerMinCPU を使用して CPU 消費量を制限することをお勧めします。

以前の詳細設定が指定されている場合、ScannerMaxCPU および ScannerMinCPU の詳細設定は無視されます。

ScannerMaxCPU が 100 に等しくなく、ScannerMaxCPU 値より大きい数値に設定できない場合にのみ使用されます。

ScannerMinCPU は、ScannerMaxCPU の値より少なくとも 15 ポイント低く設定しておくことをお勧めします。

この値は既定で 50 に設定されています。つまり、この値より小さい場合、過去 30 分間の CPU 消費量が、スキャナーの Cpu 消費量が ScannerMaxCPU-15 に設定したレベルに達するまで、新しいスレッドの追加を開始して並列でより多くのファイルをスキャンします。

ScannerConcurrencyLevel

重要

下位互換性のためにサポートされている ScannerConcurrencyLevel ではなく、高度な設定 ScannerMaxCPU と ScannerMinCPU を使用して CPU 消費量を制限することをお勧めします。

この以前の詳細設定を指定すると、ScannerMaxCPU および ScannerMinCPU の詳細設定は無視されます。

既定では、スキャナー はスキャナー サービスを実行しているコンピューターで使用可能なすべてのプロセッサ リソースを使用します。 このサービスのスキャン中に CPU 使用量を制限する必要がある場合は、スキャナーが並列で実行できる同時実行スレッドの数を指定します。 スキャナーはスキャンするファイルごとに個別のスレッドを使用するため、この調整構成では、並列スキャンできるファイルの数も定義されます。

最初にテスト用の値を構成するときは、コアごとに 2 を指定し、結果を監視することをお勧めします。 たとえば、4 コアのコンピューターでスキャナーを実行する場合は、最初に値を 8 に設定します。 必要に応じて、スキャナー コンピューターに必要な結果のパフォーマンスとスキャン速度に応じて、その数を増減します。

• キー: ScannerConcurrencyLevel

• 値: 同時実行スレッド<数です>

ラベル ポリシーの名前が "Scanner" である PowerShell コマンドの例:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}

ScannerFSAttributesToSkip

既定では、情報保護スキャナーは関連するすべてのファイルをスキャンします。 ただし、アーカイブされたファイルや移動されたファイルなど、スキップする特定のファイルを定義したい場合があります。

ScannerFSAttributesToSkip 詳細設定を使用して、スキャナーがファイル属性に基づいて特定のファイルをスキップできるようにします。 設定値に、すべて true に設定されている場合にファイルをスキップできるようにするファイル属性を一覧表示 します。 このファイル属性の一覧では、AND ロジックが使用されます。

ラベル ポリシーの名前が "Global" である PowerShell コマンドの例。

読み取り専用とアーカイブの両方のファイルをスキップする

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}

読み取り専用またはアーカイブされているファイルをスキップする

OR ロジックを使用するには、同じプロパティを複数回実行します。 例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}

ヒント

スキャナーで次の属性を持つファイルをスキップすることを検討することをお勧めします。

• FILE_ATTRIBUTE_SYSTEM
• FILE_ATTRIBUTE_HIDDEN
• FILE_ATTRIBUTE_DEVICE
• FILE_ATTRIBUTE_OFFLINE
• FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
• FILE_ATTRIBUTE_RECALL_ON_OPEN
• FILE_ATTRIBUTE_TEMPORARY

ScannerFSAttributesToSkip 詳細設定で定義できるすべてのファイル属性の一覧については、「Win32 ファイル属性定数」を参照してください。

SharepointWebRequestTimeout

既定では、SharePoint 操作のタイムアウトは 2 分で、その後、情報保護クライアントの操作が失敗します。 このタイムアウトを制御するには、hh:mm:ss 構文を使用して、SharepointWebRequestTimeout および SharepointFileWebRequestTimeout の詳細設定を使用します。

値を指定して、SharePoint に対するすべての情報保護クライアント Web 要求のタイムアウトを決定します。 既定値は分です。

たとえば、ポリシーの名前が Global の場合、次のサンプル PowerShell コマンドは Web 要求のタイムアウトを 5 分に更新します。

Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}

SharepointFileWebRequestTimeout

既定では、SharePoint 操作のタイムアウトは 2 分で、その後、情報保護クライアントの操作が失敗します。 このタイムアウトを制御するには、hh:mm:ss 構文を使用して、SharepointWebRequestTimeout および SharepointFileWebRequestTimeout の詳細設定を使用します。

情報保護クライアント Web 要求を使用して SharePoint ファイルのタイムアウト値を指定します。 既定値は 15 分です。

たとえば、ポリシーの名前が Global の場合、次のサンプル PowerShell コマンドは、ファイル Web 要求のタイムアウトを 10 分に更新します。

Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}

UseCopyAndPreserveNTFSOwner

注:

この機能は現在プレビュー段階です。 Azure プレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていない Azure 機能に適用される追加の法的条件が含まれています。

既定では、情報保護クライアントは、秘密度ラベルを適用する前に定義された NTFS 所有者を保持しません。

NTFS 所有者の値が確実に保持されるようにするには、選択したラベル ポリシーに対して UseCopyAndPreserveNTFSOwner の詳細設定を true に設定します。

注意

スキャナーの場合: スキャナーとスキャンされたリポジトリの間の待機時間が短く、信頼性の高いネットワーク接続を確保できる場合にのみ、この詳細設定を定義します。 自動ラベル付けプロセス中にネットワーク障害が発生すると、ファイルが失われる可能性があります。

ラベル ポリシーの名前が "Global" である PowerShell コマンドの例

Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}