Podręcznik administratora: Konfiguracje niestandardowe klienta ujednoliconego etykietowania usługi Azure Information Protection

Uwaga

Szukasz Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?

Klient ujednoliconego etykietowania platformy Azure Information Protection jest teraz w trybie konserwacji. Zalecamy używanie etykiet wbudowanych w aplikacje i usługi Office 365. Dowiedz się więcej

Skorzystaj z poniższych informacji, aby uzyskać zaawansowane konfiguracje wymagane dla określonych scenariuszy lub użytkowników podczas zarządzania klientem ujednoliconego etykietowania usługi AIP.

Uwaga

Te ustawienia wymagają edytowania rejestru lub określania ustawień zaawansowanych. Ustawienia zaawansowane korzystają z programu PowerShell Centrum zgodności zabezpieczeń&.

Konfigurowanie ustawień zaawansowanych dla klienta za pomocą programu PowerShell

Użyj portal zgodności Microsoft Purview programu PowerShell, aby skonfigurować zaawansowane ustawienia dostosowywania zasad i etykiet etykiet.

W obu przypadkach po nawiązaniu połączenia z usługą Security & Compliance Center PowerShell określ parametr AdvancedSettings z tożsamością (nazwą lub identyfikatorem GUID) zasad lub etykiety z parami klucz/wartość w tabeli skrótów.

Aby usunąć ustawienie zaawansowane, użyj tej samej składni parametru AdvancedSettings , ale określ wartość ciągu o wartości null.

Ważne

Nie używaj białych spacji w wartościach ciągu. Białe ciągi w tych wartościach ciągu uniemożliwią stosowanie etykiet.

Aby uzyskać więcej informacji, zobacz:

Składnia ustawień zaawansowanych zasad etykiet

Przykładem zaawansowanego ustawienia zasad etykiety jest ustawienie wyświetlania paska Information Protection w aplikacjach pakietu Office.

W przypadku pojedynczej wartości ciągu użyj następującej składni:

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key="value1,value2"}

Dla wielu wartości ciągu dla tego samego klucza użyj następującej składni:

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

Składnia ustawień zaawansowanych etykiet

Przykładem zaawansowanego ustawienia etykiety jest ustawienie określające kolor etykiety.

W przypadku pojedynczej wartości ciągu użyj następującej składni:

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key="value1,value2"}

Dla wielu wartości ciągu dla tego samego klucza użyj następującej składni:

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

Sprawdzanie bieżących ustawień zaawansowanych

Aby sprawdzić bieżące ustawienia zaawansowane, uruchom następujące polecenia:

Aby sprawdzić zaawansowane ustawienia zasad etykiet, użyj następującej składni:

W przypadku zasad etykiet o nazwie Global:

(Get-LabelPolicy -Identity Global).settings

Aby sprawdzić zaawansowane ustawienia etykiety, użyj następującej składni:

Dla etykiety o nazwie Public:

(Get-Label -Identity Public).settings

Przykłady ustawiania ustawień zaawansowanych

Przykład 1: Ustawianie zaawansowanego ustawienia zasad etykiet dla pojedynczej wartości ciągu:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

Przykład 2: Ustawianie zaawansowanego ustawienia etykiety dla pojedynczej wartości ciągu:

Set-Label -Identity Internal -AdvancedSettings @{smimesign="true"}

Przykład 3: Ustawianie zaawansowanego ustawienia etykiety dla wielu wartości ciągów:

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

Przykład 4. Usuwanie zaawansowanego ustawienia zasad etykiet przez określenie wartości ciągu o wartości null:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions=""}

Określanie zasad etykiety lub tożsamości etykiety

Znajdowanie nazwy zasad etykiet dla parametru Tożsamości programu PowerShell jest proste, ponieważ w portal zgodności Microsoft Purview istnieje tylko jedna nazwa zasad.

Jednak w przypadku etykiet portal zgodności Microsoft Purview wyświetlać zarówno wartość Nazwa, jak i Nazwa wyświetlana. W niektórych przypadkach te wartości będą takie same, ale mogą być różne. Aby skonfigurować zaawansowane ustawienia etykiet, użyj wartości Nazwa .

Aby na przykład zidentyfikować etykietę na poniższej ilustracji, użyj następującej składni w poleceniu programu PowerShell: : -Identity "All Company"

Użyj nazwy, a nie nazwy wyświetlanej, aby zidentyfikować etykietę poufności

Jeśli wolisz określić identyfikator GUID etykiety, ta wartość nie jest wyświetlana w portal zgodności Microsoft Purview. Użyj polecenia Get-Label , aby znaleźć tę wartość w następujący sposób:

Get-Label | Format-Table -Property DisplayName, Name, Guid

Aby uzyskać więcej informacji na temat etykietowania nazw i nazw wyświetlanych:

  • Nazwa jest oryginalną nazwą etykiety i jest unikatowa we wszystkich etykietach.

    Ta wartość pozostaje taka sama, nawet jeśli później zmieniono nazwę etykiety. W przypadku etykiet poufności, które zostały zmigrowane z usługi Azure Information Protection, może zostać wyświetlony oryginalny identyfikator etykiety z Azure Portal.

  • Nazwa wyświetlana to nazwa wyświetlana obecnie dla użytkowników etykiety i nie musi być unikatowa dla wszystkich etykiet.

    Na przykład może być wyświetlana nazwa wszyscy pracownicy pod etykietą Poufne , a inna nazwa wyświetlana etykiety Wszyscy pracownicy pod etykietą Wysoce poufne . Oba te etykiety podrzędne mają taką samą nazwę, ale nie są tą samą etykietą i mają różne ustawienia.

Kolejność pierwszeństwa — jak są rozwiązywane ustawienia powodujące konflikt

Za pomocą portal zgodności Microsoft Purview można skonfigurować następujące ustawienia zasad etykiety:

  • Zastosuj tę etykietę domyślnie do dokumentów i wiadomości e-mail

  • Użytkownicy muszą uzasadnić usunięcie etykiety lub niższej etykiety klasyfikacji

  • Wymaganie od użytkowników zastosowania etykiety do wiadomości e-mail lub dokumentu

  • Udostępnianie użytkownikom linku do niestandardowej strony pomocy

Jeśli dla użytkownika skonfigurowano więcej niż jedną zasadę etykiety, każde z potencjalnie różnymi ustawieniami zasad, ostatnie ustawienie zasad jest stosowane zgodnie z kolejnością zasad w portal zgodności Microsoft Purview. Aby uzyskać więcej informacji, zobacz Temat Priorytet zasad etykiet (sprawy dotyczące kolejności)

Zaawansowane ustawienia zasad etykiet są stosowane przy użyciu tej samej logiki przy użyciu ostatniego ustawienia zasad.

Odwołania do ustawień zaawansowanych

Poniższe sekcje zawierają dostępne zaawansowane ustawienia zasad i etykiet etykiet:

Dokumentacja ustawień zaawansowanych według funkcji

W poniższych sekcjach wymieniono zaawansowane ustawienia opisane na tej stronie według integracji produktów i funkcji:

Cecha Ustawienia zaawansowane
Ustawienia programu Outlook i poczty e-mail - Konfigurowanie etykiety w celu zastosowania ochrony za pomocą protokołu S/MIME w programie Outlook
- Dostosowywanie komunikatów podręcznych programu Outlook
- Włączanie zalecanej klasyfikacji w programie Outlook
- Wyklucz komunikaty programu Outlook z obowiązkowego etykietowania
- W przypadku wiadomości e-mail z załącznikami zastosuj etykietę zgodną z najwyższą klasyfikacją tych załączników
- Rozwiń listy dystrybucyjne programu Outlook podczas wyszukiwania adresatów wiadomości e-mail
- Zaimplementuj wyskakujące wiadomości w programie Outlook, które ostrzegają, uzasadniają lub blokują wysyłanie wiadomości e-mail
- Zapobieganie problemom z wydajnością programu Outlook w przypadku wiadomości e-mail S/MIME
- Ustawianie innej etykiety domyślnej dla programu Outlook
Ustawienia programu PowerPoint - Unikaj usuwania kształtów z programu PowerPoint zawierających określony tekst i nie są nagłówkami/stopkami
- Jawne usuwanie oznaczeń zawartości zewnętrznej z układów niestandardowych programu PowerPoint
- Usuń wszystkie kształty określonej nazwy kształtu z nagłówków i stopek zamiast usuwać kształty według tekstu wewnątrz kształtu
ustawienia Eksplorator plików - Zawsze wyświetlaj uprawnienia niestandardowe dla użytkowników w Eksplorator plików
- Wyłączanie uprawnień niestandardowych w Eksplorator plików
- Ukryj opcję menu Klasyfikuj i chroń w systemie Windows Eksplorator plików
Ustawienia ulepszeń wydajności - Ograniczanie użycia procesora CPU
- Ograniczanie liczby wątków używanych przez skaner
- Zapobieganie problemom z wydajnością programu Outlook w przypadku wiadomości e-mail S/MIME
Ustawienia integracji z innymi rozwiązaniami do etykietowania - Migrowanie etykiet z bezpiecznych wysp i innych rozwiązań etykietowania
- Usuwanie nagłówków i stopek z innych rozwiązań etykietowania
Ustawienia analizy usługi AIP - Zapobieganie wysyłaniu danych inspekcji do analizy usług AIP i Microsoft 365
- Wysyłanie dopasowań typu informacji do analizy usługi Azure Information Protection
Ustawienia ogólne - Dodawanie polecenia "Zgłoś problem" dla użytkowników
- Stosowanie właściwości niestandardowej po zastosowaniu etykiety
- Zmienianie poziomu rejestrowania lokalnego
- Zmienianie typów plików do ochrony
- Konfigurowanie limitu czasu automatycznego etykietowania w plikach pakietu Office
- Konfigurowanie limitów czasu programu SharePoint
- Dostosowywanie tekstu monitu o uzasadnienie dla zmodyfikowanych etykiet
- Wyświetlanie paska Information Protection w aplikacjach pakietu Office
- Włączanie usuwania ochrony ze skompresowanych plików
- Zachowywanie właścicieli systemu plików NTFS podczas etykietowania (publiczna wersja zapoznawcza)
- Usuń element "Nie teraz" dla dokumentów, gdy używasz obowiązkowego etykietowania
- Pomijanie lub ignorowanie plików podczas skanowania w zależności od atrybutów plików
- Określanie koloru etykiety
- Określanie domyślnego etykiety podrzędnej dla etykiety nadrzędnej
- Obsługa zmiany <EXT>. Plik PFILE do P<EXT>
- Obsługa odłączonych komputerów
- Włączanie klasyfikacji w celu ciągłego uruchamiania w tle
- Wyłączanie funkcji śledzenia dokumentów
- Wyłącz opcję Odwoływanie dla użytkowników końcowych w aplikacjach pakietu Office
- Włączanie funkcji globalizacji klasyfikacji

Dokumentacja zaawansowanych ustawień zasad etykiet

Użyj parametru AdvancedSettings z zasadami New-LabelPolicy i Set-LabelPolicy , aby zdefiniować następujące ustawienia:

Ustawienie Scenariusz i instrukcje
AdditionalPPrefixExtensions Obsługa zmiany <EXT>. PFILE do P<EXT> przy użyciu tej właściwości zaawansowanej
AttachmentAction W przypadku wiadomości e-mail z załącznikami należy stosować etykiety odpowiadające najwyższej klasyfikacji tych załączników
AttachmentActionTip W przypadku wiadomości e-mail z załącznikami należy stosować etykiety odpowiadające najwyższej klasyfikacji tych załączników
DisableMandatoryInOutlook Wyklucz komunikaty programu Outlook z obowiązkowego etykietowania
EnableAudit Zapobieganie wysyłaniu danych inspekcji do analizy usług AIP i Microsoft 365
EnableContainerSupport Włączanie usuwania ochrony z plików PST, rar, 7zip i MSG
EnableCustomPermissions Wyłączanie uprawnień niestandardowych w Eksplorator plików
EnableCustomPermissionsForCustomProtectedFiles W przypadku plików chronionych uprawnieniami niestandardowymi zawsze wyświetlaj uprawnienia niestandardowe dla użytkowników w Eksplorator plików
Włącz globalizację Włączanie funkcji globalizacji klasyfikacji
EnableLabelByMailHeader Migrowanie etykiet z bezpiecznych wysp i innych rozwiązań etykietowania
EnableLabelBySharePointProperties Migrowanie etykiet z bezpiecznych wysp i innych rozwiązań etykietowania
EnableOutlookDistributionListExpansion Rozwiń listy dystrybucyjne programu Outlook podczas wyszukiwania adresatów wiadomości e-mail
EnableRevokeGuiSupport Wyłącz opcję Odwoływanie dla użytkowników końcowych w aplikacjach pakietu Office
EnableTrackAndRevoke Wyłączanie funkcji śledzenia dokumentów
HideBarByDefault Wyświetlanie paska Information Protection w aplikacjach pakietu Office
JustificationTextForUserText Dostosowywanie tekstu monitu o uzasadnienie dla zmodyfikowanych etykiet
LogMatchedContent Wysyłanie dopasowań typu informacji do analizy usługi Azure Information Protection
OfficeContentExtractionTimeout Konfigurowanie limitu czasu automatycznego etykietowania w plikach pakietu Office
OutlookBlockTrustedDomains Zaimplementuj wyskakujące wiadomości w programie Outlook, które ostrzegają, uzasadniają lub blokują wysyłanie wiadomości e-mail
OutlookBlockUntrustedCollaborationLabel Zaimplementuj wyskakujące wiadomości w programie Outlook, które ostrzegają, uzasadniają lub blokują wysyłanie wiadomości e-mail
OutlookCollaborationRule Dostosowywanie komunikatów podręcznych programu Outlook
OutlookDefaultLabel Ustawianie innej etykiety domyślnej dla programu Outlook
OutlookGetEmailAddressesTimeOutMSProperty Modyfikowanie limitu czasu rozszerzania listy dystrybucyjnej w programie Outlook podczas implementowania komunikatów zablokowanych dla adresatów na listach dystrybucyjnych )
OutlookJustifyTrustedDomains Zaimplementuj wyskakujące wiadomości w programie Outlook, które ostrzegają, uzasadniają lub blokują wysyłanie wiadomości e-mail
OutlookJustifyUntrustedCollaborationLabel Zaimplementuj wyskakujące wiadomości w programie Outlook, które ostrzegają, uzasadniają lub blokują wysyłanie wiadomości e-mail
OutlookRecommendationEnabled Włączanie zalecanej klasyfikacji w programie Outlook
OutlookOverrideUnlabeledCollaborationExtensions Zaimplementuj wyskakujące wiadomości w programie Outlook, które ostrzegają, uzasadniają lub blokują wysyłanie wiadomości e-mail
OutlookSkipSmimeOnReadingPaneEnabled Zapobieganie problemom z wydajnością programu Outlook w przypadku wiadomości e-mail S/MIME
OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Zaimplementuj wyskakujące wiadomości w programie Outlook, które ostrzegają, uzasadniają lub blokują wysyłanie wiadomości e-mail
OutlookWarnTrustedDomains Zaimplementuj wyskakujące wiadomości w programie Outlook, które ostrzegają, uzasadniają lub blokują wysyłanie wiadomości e-mail
OutlookWarnUntrustedCollaborationLabel Zaimplementuj wyskakujące wiadomości w programie Outlook, które ostrzegają, uzasadniają lub blokują wysyłanie wiadomości e-mail
Rozszerzenia PFileSupportedExtensions Zmienianie typów plików do ochrony
PostponeMandatoryBeforeSave Usuń element "Nie teraz" dla dokumentów, gdy używasz obowiązkowego etykietowania
PowerPointRemoveAllShapesByShapeName Usuń wszystkie kształty określonej nazwy kształtu z nagłówków i stopek zamiast usuwać kształty według tekstu wewnątrz kształtu
PowerPointShapeNameToRemove Unikaj usuwania kształtów z programu PowerPoint zawierających określony tekst i nie są nagłówkami/stopkami
RemoveExternalContentMarkingInApp Usuwanie nagłówków i stopek z innych rozwiązań etykietowania
RemoveExternalMarkingFromCustomLayouts Jawne usuwanie oznaczeń zawartości zewnętrznej z układów niestandardowych programu PowerPoint
ReportAnIssueLink Dodawanie polecenia "Zgłoś problem" dla użytkowników
RunPolicyInBackground Włączanie klasyfikacji w celu ciągłego uruchamiania w tle
SkanerMaxCPU Ograniczanie użycia procesora CPU
SkanerMinCPU Ograniczanie użycia procesora CPU
ScannerConcurrencyLevel Ograniczanie liczby wątków używanych przez skaner
SkanerFSAttributesToSkip Pomijanie lub ignorowanie plików podczas skanowania w zależności od atrybutów plików
SharepointWebRequestTimeout Konfigurowanie limitów czasu programu SharePoint
SharepointFileWebRequestTimeout Konfigurowanie limitów czasu programu SharePoint
UseCopyAndPreserveNTFSOwner Zachowywanie właścicieli systemu plików NTFS podczas etykietowania

Dokumentacja ustawień zaawansowanych etykiet

Użyj parametru AdvancedSettings z etykietami New-Label i Set-Label.

Ustawienie Scenariusz i instrukcje
Kolor Określanie koloru etykiety
customPropertiesByLabel Stosowanie właściwości niestandardowej po zastosowaniu etykiety
DefaultSubLabelId Określanie domyślnego etykiety podrzędnej dla etykiety nadrzędnej
labelByCustomProperties Migrowanie etykiet z bezpiecznych wysp i innych rozwiązań etykietowania
SMimeEncrypt Konfigurowanie etykiety w celu zastosowania ochrony za pomocą protokołu S/MIME w programie Outlook
SMimeSign Konfigurowanie etykiety w celu zastosowania ochrony za pomocą protokołu S/MIME w programie Outlook

Ukryj opcję menu Klasyfikuj i chroń w Eksploratorze plików systemu Windows

Aby ukryć opcję menu Klasyfikuj i chroń w Eksplorator plików systemu Windows, utwórz następującą nazwę wartości DWORD (z dowolnymi danymi wartości):

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable

Aby uzyskać więcej informacji, zobacz Używanie Eksplorator plików do klasyfikowania plików.

Wyświetlanie paska Information Protection w aplikacjach pakietu Office

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu PowerShell Centrum zgodności zabezpieczeń & .

Domyślnie użytkownicy muszą wybrać opcję Pokaż pasek z przycisku Ważność, aby wyświetlić pasek Information Protection w aplikacjach pakietu Office. Użyj klucza HideBarByDefault i ustaw wartość False , aby automatycznie wyświetlać ten pasek dla użytkowników, aby mogli wybierać etykiety z paska lub przycisku.

Dla wybranych zasad etykiet określ następujące ciągi:

  • Klucz: HideBarByDefault

  • Wartość: Fałsz

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{HideBarByDefault="False"}

Wyklucz komunikaty programu Outlook z obowiązkowego etykietowania

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu PowerShell Centrum zgodności zabezpieczeń & .

Domyślnie po włączeniu ustawienia zasad etykiety Wszystkie dokumenty i wiadomości e-mail muszą mieć etykietę, wszystkie zapisane dokumenty i wysłane wiadomości e-mail muszą mieć zastosowaną etykietę. Po skonfigurowaniu następującego ustawienia zaawansowanego ustawienie zasad ma zastosowanie tylko do dokumentów pakietu Office, a nie do wiadomości programu Outlook.

Dla wybranych zasad etykiet określ następujące ciągi:

  • Klucz: DisableMandatoryInOutlook

  • Wartość: True

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{DisableMandatoryInOutlook="True"}

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu PowerShell Centrum zgodności zabezpieczeń & .

Po skonfigurowaniu etykiety dla zalecanej klasyfikacji użytkownicy są monitowani o zaakceptowanie lub odrzucenie zalecanej etykiety w programach Word, Excel i PowerPoint. To ustawienie rozszerza to zalecenie dotyczące etykiety, aby było również wyświetlane w programie Outlook.

Dla wybranych zasad etykiet określ następujące ciągi:

  • Klucz: OutlookRecommendationEnabled

  • Wartość: True

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookRecommendationEnabled="True"}

Włączanie usuwania ochrony ze skompresowanych plików

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu PowerShell Centrum zgodności zabezpieczeń & .

Po skonfigurowaniu tego ustawienia polecenie cmdlet programu PowerShellSet-AIPFileLabel jest włączone, aby umożliwić usunięcie ochrony z plików PST, rar i 7zip.

  • Klucz: EnableContainerSupport

  • Wartość: True

Przykładowe polecenie programu PowerShell, w którym są włączone zasady:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}

Ustawianie innej etykiety domyślnej dla programu Outlook

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu PowerShell Centrum zgodności zabezpieczeń & .

Po skonfigurowaniu tego ustawienia program Outlook nie stosuje domyślnej etykiety skonfigurowanej jako ustawienie zasad dla opcji Zastosuj tę etykietę domyślnie do dokumentów i wiadomości e-mail. Zamiast tego program Outlook może zastosować inną etykietę domyślną lub bez etykiety.

Dla wybranych zasad etykiet określ następujące ciągi:

  • Klucz: OutlookDefaultLabel

  • Wartość: <identyfikator GUID> etykiety lub brak

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookDefaultLabel="None"}

Zmienianie typów plików do ochrony

Te konfiguracje używają zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu PowerShell Centrum zgodności zabezpieczeń & .

Domyślnie klient ujednoliconego etykietowania platformy Azure Information Protection chroni wszystkie typy plików, a skaner z klienta chroni tylko typy plików pakietu Office i pliki PDF.

To domyślne zachowanie dla wybranych zasad etykiet można zmienić, określając jedną z następujących opcji:

PFileSupportedExtension

  • Klucz: PFileSupportedExtensions

  • Wartość: <wartość> ciągu

Użyj poniższej tabeli, aby zidentyfikować wartość ciągu do określenia:

Wartość ciągu Klient Skaner
* Wartość domyślna: Stosowanie ochrony do wszystkich typów plików Stosowanie ochrony do wszystkich typów plików
ConvertTo-Json(".jpg", ".png") Oprócz typów plików pakietu Office i plików PDF należy zastosować ochronę do określonych rozszerzeń nazw plików Oprócz typów plików pakietu Office i plików PDF należy zastosować ochronę do określonych rozszerzeń nazw plików

Przykład 1: Polecenie programu PowerShell dla skanera w celu ochrony wszystkich typów plików, gdzie zasady etykiet mają nazwę "Skaner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Przykład 2: polecenie programu PowerShell dla skanera w celu ochrony plików .txt i .csv plików oprócz plików pakietu Office i plików PDF, gdzie zasady etykiety mają nazwę "Skaner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}

Za pomocą tego ustawienia można zmienić typy plików, które są chronione, ale nie można zmienić domyślnego poziomu ochrony z natywnego na ogólny. Na przykład w przypadku użytkowników korzystających z klienta ujednoliconego etykietowania można zmienić ustawienie domyślne, tak aby tylko pliki pakietu Office i pliki PDF są chronione zamiast wszystkich typów plików. Nie można jednak zmienić tych typów plików, aby były ogólnie chronione za pomocą rozszerzenia nazwy pliku pfile.

AdditionalPPrefixExtensions

Klient ujednoliconego etykietowania obsługuje zmianę <ext>. PFILE do P<EXT> przy użyciu właściwości advanced AdditionalPPrefixExtensions. Ta właściwość zaawansowana jest obsługiwana z poziomu Eksplorator plików, programu PowerShell i skanera. Wszystkie aplikacje mają podobne zachowanie.

  • Klucz: AdditionalPPrefixExtensions

  • Wartość: <wartość> ciągu

Użyj poniższej tabeli, aby zidentyfikować wartość ciągu do określenia:

Wartość ciągu Klient i skaner
* Wszystkie rozszerzenia PFile stają się P<EXT>
<wartość null> Wartość domyślna zachowuje się jak domyślna wartość ochrony.
ConvertTo-Json(".dwg", ".zip") Oprócz poprzedniej listy pliki ".dwg" i ".zip" stają się elementami P<EXT>

Dzięki temu ustawieniu następujące rozszerzenia zawsze stają się rozszerzeniami P<EXT>: ".txt", ".xml", ".bmp", ".jt", ".jpg", ".jpeg", ".jpe", ".jif", ".jfif", ".jfi", ".png", ".tif", ".tiff", ".gif"). Godne uwagi wykluczenie polega na tym, że "ptxt" nie staje się "txt.pfile".

Funkcja AdditionalPPrefixExtensions działa tylko wtedy, gdy włączono ochronę plików PFile z właściwością advanced — PFileSupportedExtension .

Przykład 1: Polecenie programu PowerShell tak, aby zachowywało się jak domyślne zachowanie, w którym właściwość Protect ".dwg" staje się ".dwg.pfile":

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}

Przykład 2: Polecenie programu PowerShell, aby zmienić wszystkie rozszerzenia PFile z ochrony ogólnej (dwg.pfile) na ochronę natywną (pdwg), gdy pliki są chronione:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}

Przykład 3: polecenie programu PowerShell w celu zmiany ciągu ".dwg" na ".pdwg" podczas korzystania z tej usługi chroni ten plik:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}

Usuń element "Nie teraz" dla dokumentów, gdy używasz obowiązkowego etykietowania

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu PowerShell Centrum zgodności zabezpieczeń & .

Jeśli używasz ustawienia zasad etykiety Wszystkie dokumenty i wiadomości e-mail muszą mieć etykietę, użytkownicy będą monitowani o wybranie etykiety podczas pierwszego zapisywania dokumentu pakietu Office i wysyłania wiadomości e-mail z programu Outlook.

W przypadku dokumentów użytkownicy mogą wybrać pozycję Nie teraz , aby tymczasowo odrzucić monit o wybranie etykiety i powrót do dokumentu. Nie mogą jednak zamknąć zapisanego dokumentu bez etykietowania.

Po skonfigurowaniu ustawienia PostponeMandatoryBeforeSave opcja Nie teraz zostanie usunięta, aby użytkownicy musieli wybrać etykietę po pierwszym zapisaniu dokumentu.

Porada

Ustawienie PostponeMandatoryBeforeSave zapewnia również, że dokumenty udostępnione są oznaczone etykietą przed wysłaniem ich pocztą e-mail.

Domyślnie, nawet jeśli w zasadach jest włączona etykieta Wszystkie dokumenty i wiadomości e-mail , użytkownicy są promowane tylko do plików etykiet dołączonych do wiadomości e-mail z programu Outlook.

Dla wybranych zasad etykiet określ następujące ciągi:

  • Klucz: PostponeMandatoryBeforeSave

  • Wartość: Fałsz

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{PostponeMandatoryBeforeSave="False"}

Usuwanie nagłówków i stopek z innych rozwiązań etykietowania

Ta konfiguracja korzysta z ustawień zaawansowanych zasad, które należy skonfigurować przy użyciu programu PowerShell Centrum zgodności zabezpieczeń & .

Istnieją dwie metody usuwania klasyfikacji z innych rozwiązań etykietowania:

Ustawienie Opis
WordShapeNameToRemove Usuwa dowolny kształt z dokumentów programu Word, w których nazwa kształtu jest zgodna z nazwą zdefiniowaną we właściwości zaawansowanej WordShapeNameToRemove .

Aby uzyskać więcej informacji, zobacz Use the WordShapeNameToRemove advanced property (Używanie właściwości zaawansowanej WordShapeNameToRemove).
RemoveExternalContentMarkingInApp

ExternalContentMarkingToRemove
Umożliwia usuwanie lub zastępowanie nagłówków lub stopek opartych na tekście z dokumentów programów Word, Excel i PowerPoint.

Aby uzyskać więcej informacji, zobacz:
- Używanie właściwości zaawansowanej RemoveExternalContentMarkingInApp
- Jak skonfigurować externalContentMarkingToRemove.

Używanie właściwości zaawansowanej WordShapeNameToRemove

Właściwość zaawansowana WordShapeNameToRemove jest obsługiwana w wersji 2.6.101.0 lub nowszej

To ustawienie umożliwia usuwanie lub zastępowanie etykiet opartych na kształtach z dokumentów programu Word po zastosowaniu tych oznaczeń wizualnych przez inne rozwiązanie do etykietowania. Na przykład kształt zawiera nazwę starej etykiety, która została teraz zmigrowana do etykiet poufności w celu użycia nowej nazwy etykiety i jej własnego kształtu.

Aby użyć tej właściwości zaawansowanej, należy znaleźć nazwę kształtu w dokumencie programu Word, a następnie zdefiniować je na liście właściwości zaawansowanych WordShapeNameToRemove zaawansowanych kształtów. Usługa usunie dowolny kształt w programie Word rozpoczynający się od nazwy zdefiniowanej na liście kształtów w tej właściwości zaawansowanej.

Unikaj usuwania kształtów zawierających tekst, który chcesz zignorować, definiując nazwę wszystkich kształtów do usunięcia i unikając sprawdzania tekstu we wszystkich kształtach, co jest procesem intensywnie korzystającym z zasobów.

Uwaga

W programie Microsoft Word kształty można usunąć, definiując nazwę kształtów lub tekst, ale nie oba te elementy. Jeśli właściwość WordShapeNameToRemove jest zdefiniowana, wszystkie konfiguracje zdefiniowane przez wartość ExternalContentMarkingToRemove są ignorowane.

Aby znaleźć nazwę kształtu, którego używasz, i chcesz wykluczyć:

  1. W programie Word wyświetl okienko Wybór: grupa>Edycja na karcie Narzędzia główne >Wybierzokienko> wyboru.

  2. Wybierz kształt na stronie, który chcesz oznaczyć do usunięcia. Nazwa zaznaczonego kształtu jest teraz wyróżniona w okienku Wybór .

Użyj nazwy kształtu, aby określić wartość ciągu dla klucza WordShapeNameToRemove .

Przykład: nazwa kształtu to dc. Aby usunąć kształt o tej nazwie, należy określić wartość: dc.

  • Klucz: WordShapeNameToRemove

  • Wartość: <nazwa kształtu programu Word>

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{WordShapeNameToRemove="dc"}

Jeśli masz więcej niż jeden kształt programu Word do usunięcia, określ dowolną liczbę wartości do usunięcia.

Używanie właściwości zaawansowanej RemoveExternalContentMarkingInApp

To ustawienie umożliwia usunięcie lub zastąpienie nagłówków lub stopek opartych na tekście z dokumentów, gdy te oznaczenia wizualne zostały zastosowane przez inne rozwiązanie do etykietowania. Na przykład stara stopka zawiera nazwę starej etykiety, która została teraz zmigrowana do etykiet poufności w celu użycia nowej nazwy etykiety i jej własnej stopki.

Gdy klient ujednoliconego etykietowania pobiera tę konfigurację w zasadach, stare nagłówki i stopki są usuwane lub zastępowane po otwarciu dokumentu w aplikacji pakietu Office i zastosowaniu etykiety poufności do dokumentu.

Ta konfiguracja nie jest obsługiwana w programie Outlook i należy pamiętać, że w przypadku używania jej z programami Word, Excel i PowerPoint może negatywnie wpłynąć na wydajność tych aplikacji dla użytkowników. Konfiguracja umożliwia definiowanie ustawień dla aplikacji, na przykład wyszukiwanie tekstu w nagłówkach i stopkach dokumentów programu Word, ale nie w arkuszach kalkulacyjnych programu Excel lub prezentacjach programu PowerPoint.

Ponieważ dopasowanie wzorca wpływa na wydajność użytkowników, zalecamy ograniczenie typów aplikacji pakietu Office (Word, EXcel, PowerPoint) tylko do tych, które należy przeszukać. Dla wybranych zasad etykiet określ następujące ciągi:

  • Klucz: RemoveExternalContentMarkingInApp

  • Wartość: <Typy aplikacji pakietu Office WXP>

Przykłady:

  • Aby wyszukiwać tylko dokumenty programu Word, określ wartość W.

  • Aby wyszukać dokumenty programu Word i prezentacje programu PowerPoint, określ wp.

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInApp="WX"}

Następnie potrzebne jest co najmniej jedno zaawansowane ustawienie klienta ExternalContentMarkingToRemove, aby określić zawartość nagłówka lub stopki oraz sposób ich usuwania lub zastępowania.

Jak skonfigurować externalContentMarkingToRemove

Po określeniu wartości ciągu dla klucza ExternalContentMarkingToRemove dostępne są trzy opcje używające wyrażeń regularnych. Dla każdego z tych scenariuszy użyj składni pokazanej w kolumnie Przykładowa wartość w poniższej tabeli:

Opcja Przykładowy opis Przykładowa wartość
Częściowe dopasowanie w celu usunięcia wszystkiego w nagłówku lub stopce Nagłówki lub stopki zawierają ciąg TEKST DO USUNIĘCIA i chcesz całkowicie usunąć te nagłówki lub stopki. *TEXT*
Pełne dopasowanie, aby usunąć tylko określone wyrazy w nagłówku lub stopce Nagłówki lub stopki zawierają ciąg TEXT TO REMOVE i chcesz usunąć tylko słowo TEXT , pozostawiając nagłówek lub ciąg stopki jako ABY USUNĄĆ. TEXT
Pełne dopasowanie, aby usunąć wszystko w nagłówku lub stopce Nagłówki lub stopki mają ciąg TEKST DO USUNIĘCIA. Chcesz usunąć nagłówki lub stopki, które mają dokładnie ten ciąg. ^TEXT TO REMOVE$

Wzorzec pasujący do określonego ciągu jest bez uwzględniania wielkości liter. Maksymalna długość ciągu wynosi 255 znaków i nie może zawierać białych spacji.

Ponieważ niektóre dokumenty mogą zawierać niewidoczne znaki lub różne rodzaje spacji lub kart, ciąg określony dla frazy lub zdania może nie zostać wykryty. Jeśli to możliwe, określ pojedyncze słowo wyróżniające dla wartości i przed wdrożeniem w środowisku produkcyjnym należy przetestować wyniki.

W przypadku tych samych zasad etykiet określ następujące ciągi:

  • Klucz: ExternalContentMarkingToRemove

  • Wartość: <ciąg do dopasowania, zdefiniowany jako wyrażenie regularne>

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*TEXT*"}

Aby uzyskać więcej informacji, zobacz:

Nagłówki lub stopki wielowierszowe

Jeśli tekst nagłówka lub stopki jest większy niż jeden wiersz, utwórz klucz i wartość dla każdego wiersza. Jeśli na przykład masz następującą stopkę z dwoma wierszami:

Plik jest klasyfikowany jako poufny
Etykieta zastosowana ręcznie

Aby usunąć tę stopkę wielowierszową, należy utworzyć następujące dwa wpisy dla tych samych zasad etykiet:

  • Klucz: ExternalContentMarkingToRemove
  • Wartość klucza 1: *Poufne*
  • Wartość klucza 2: *Zastosowano etykietę*

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove=ConvertTo-Json("Confidential","Label applied")}

Optymalizacja dla programu PowerPoint

Nagłówki i stopki w programie PowerPoint są implementowane jako kształty. W przypadku typów kształtów msoTextEffect, msoPlaceholder i msoAutoShape następujące ustawienia zaawansowane zapewniają dodatkowe optymalizacje:

Ponadto program PowerPointRemoveAllShapesByShapeName może usunąć dowolny typ kształtu na podstawie nazwy kształtu.

Aby uzyskać więcej informacji, zobacz Znajdowanie nazwy kształtu, którego używasz jako nagłówka lub stopki.

Unikaj usuwania kształtów z programu PowerPoint zawierających określony tekst i nie są nagłówkami/stopkami

Aby uniknąć usuwania kształtów zawierających określony tekst, ale nie są nagłówkami ani stopkami, użyj dodatkowego zaawansowanego ustawienia klienta o nazwie PowerPointShapeNameToRemove.

Zalecamy również użycie tego ustawienia, aby uniknąć sprawdzania tekstu we wszystkich kształtach, który jest procesem intensywnie korzystającym z zasobów.

  • Jeśli nie określisz tego dodatkowego zaawansowanego ustawienia klienta, a program PowerPoint zostanie uwzględniony w wartości klucza RemoveExternalContentMarkingInApp , wszystkie kształty zostaną sprawdzone pod kątem tekstu określonego w wartości ExternalContentMarkingToRemove .

  • Jeśli ta wartość jest określona, zostaną usunięte tylko kształty spełniające kryteria nazwy kształtu, a także tekst zgodny z ciągiem podanym w parametrze ExternalContentMarkingToRemove .

Przykład:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
Rozszerzanie usuwania oznaczeń zewnętrznych na układy niestandardowe

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu PowerShell centrum zgodności zabezpieczeń & .

Domyślnie logika używana do usuwania oznaczeń zawartości zewnętrznej ignoruje niestandardowe układy skonfigurowane w programie PowerPoint. Aby rozszerzyć tę logikę na układy niestandardowe, ustaw właściwość zaawansowaną RemoveExternalMarkingFromCustomLayouts na true.

  • Klucz: RemoveExternalMarkingFromCustomLayouts

  • Wartość: Prawda

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
Usuń wszystkie kształty określonej nazwy kształtu

Jeśli używasz niestandardowych układów programu PowerPoint i chcesz usunąć wszystkie kształty określonej nazwy kształtu z nagłówków i stopek, użyj zaawansowanego ustawienia PowerPointRemoveAllShapesByShapeName z nazwą kształtu, który chcesz usunąć.

Przy użyciu ustawienia PowerPointRemoveAllShapesByShapeName ignoruje tekst wewnątrz kształtów, a zamiast tego używa nazwy kształtu identyfikują kształty, które chcesz usunąć.

Przykład:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointRemoveAllShapesByShapeName="Arrow: Right"}

Aby uzyskać więcej informacji, zobacz:

  1. W programie PowerPoint wyświetl okienko Wybór: karta> Formatowanie Rozmieszczanieokienka wyboru grupy>.

  2. Wybierz kształt na slajdzie zawierający nagłówek lub stopkę. Nazwa wybranego kształtu jest teraz wyróżniona w okienku Wybór .

Użyj nazwy kształtu, aby określić wartość ciągu dla klucza PowerPointShapeNameToRemove .

Przykład: nazwa kształtu to fc. Aby usunąć kształt o tej nazwie, należy określić wartość: fc.

  • Klucz: PowerPointShapeNameToRemove

  • Wartość: <nazwa kształtu programu PowerPoint>

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}

Jeśli masz więcej niż jeden kształt programu PowerPoint do usunięcia, określ dowolną liczbę wartości do usunięcia.

Domyślnie tylko slajdy wzorca są sprawdzane pod kątem nagłówków i stopek. Aby rozszerzyć to wyszukiwanie na wszystkie slajdy, czyli proces intensywnie korzystający z zasobów, użyj dodatkowego zaawansowanego ustawienia klienta o nazwie RemoveExternalContentMarkingInAllSlides:

  • Klucz: RemoveExternalContentMarkingInAllSlides

  • Wartość: Prawda

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInAllSlides="True"}
Usuwanie oznaczania zawartości zewnętrznej z układów niestandardowych w programie PowerPoint

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu PowerShell centrum zgodności zabezpieczeń & .

Domyślnie logika używana do usuwania oznaczeń zawartości zewnętrznej ignoruje niestandardowe układy skonfigurowane w programie PowerPoint. Aby rozszerzyć tę logikę na układy niestandardowe, ustaw właściwość zaawansowaną RemoveExternalMarkingFromCustomLayouts na true.

  • Klucz: RemoveExternalMarkingFromCustomLayouts

  • Wartość: Prawda

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}

Wyłączanie uprawnień niestandardowych w Eksplorator plików

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu PowerShell centrum zgodności zabezpieczeń & .

Domyślnie użytkownicy widzą opcję Chroń z uprawnieniami niestandardowymi po kliknięciu prawym przyciskiem myszy Eksplorator plików i wybraniu pozycji Klasyfikuj i chroń. Ta opcja pozwala ustawić własne ustawienia ochrony, które mogą zastąpić wszystkie ustawienia ochrony, które mogły zostać dołączone do konfiguracji etykiety. Użytkownicy mogą również zobaczyć opcję usunięcia ochrony. Po skonfigurowaniu tego ustawienia użytkownicy nie widzą tych opcji.

Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące ciągi dla wybranych zasad etykiet:

  • Klucz: EnableCustomPermissions

  • Wartość: Fałsz

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

W przypadku plików chronionych uprawnieniami niestandardowymi zawsze wyświetlaj uprawnienia niestandardowe dla użytkowników w Eksplorator plików

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu PowerShell centrum zgodności zabezpieczeń & .

Po skonfigurowaniu zaawansowanego ustawienia klienta, aby wyłączyć uprawnienia niestandardowe w Eksplorator plików, domyślnie użytkownicy nie będą mogli wyświetlać ani zmieniać uprawnień niestandardowych, które są już ustawione w chronionym dokumencie.

Istnieje jednak inne zaawansowane ustawienie klienta, które można określić, aby w tym scenariuszu użytkownicy mogli wyświetlać i zmieniać uprawnienia niestandardowe dla chronionego dokumentu, gdy używają Eksplorator plików i kliknąć plik prawym przyciskiem myszy.

Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące ciągi dla wybranych zasad etykiet:

  • Klucz: EnableCustomPermissionsForCustomProtectedFiles

  • Wartość: Prawda

Przykładowe polecenie programu PowerShell:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}

W przypadku wiadomości e-mail z załącznikami należy stosować etykiety odpowiadające najwyższej klasyfikacji tych załączników

Ta konfiguracja używa zaawansowanych ustawień zasad, które należy skonfigurować przy użyciu programu PowerShell centrum zgodności zabezpieczeń & .

To ustawienie jest przeznaczone dla użytkowników, którzy dołączają dokumenty oznaczone etykietą do wiadomości e-mail i nie oznaczają samej wiadomości e-mail. W tym scenariuszu etykieta jest automatycznie wybierana na podstawie etykiet klasyfikacji zastosowanych do załączników. Wybrana jest najwyższa etykieta klasyfikacji.

Załącznik musi być plikiem fizycznym i nie może być linkiem do pliku (na przykład linkiem do pliku w programie Microsoft SharePoint lub OneDrive).

To ustawienie można skonfigurować na wartość Zalecane, aby użytkownicy mogli zastosować wybraną etykietę do wiadomości e-mail. Użytkownicy mogą następnie zaakceptować zalecenie lub odrzucić je bez stosowania etykiety. Możesz też skonfigurować to ustawienie na Wartość Automatyczna, gdzie wybrana etykieta jest automatycznie stosowana, ale użytkownicy mogą usunąć etykietę lub wybrać inną etykietę przed wysłaniem wiadomości e-mail. Oba scenariusze obsługują dostosowany komunikat.

Uwaga

Gdy załącznik z najwyższą etykietą klasyfikacji jest skonfigurowany do ochrony z ustawieniem uprawnień zdefiniowanych przez użytkownika:

  • Gdy uprawnienia zdefiniowane przez użytkownika etykiety obejmują program Outlook (Nie przesyłaj dalej), ta etykieta jest zaznaczona, a do wiadomości e-mail jest stosowana ochrona Nie przesyłaj dalej.
  • Gdy uprawnienia zdefiniowane przez użytkownika etykiety są przeznaczone tylko dla programów Word, Excel, PowerPoint i Eksplorator plików, ta etykieta nie jest stosowana do wiadomości e-mail, a żadna z nich nie jest ochroną.

Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące ciągi dla wybranych zasad etykiet:

  • Klucz 1: ZałącznikAction

  • Wartość klucza 1: zalecana lub automatyczna

  • Klucz 2 (opcjonalnie): AttachmentActionTip

  • Wartość klucza 2: "<niestandardowa etykietka> narzędzia"

Opcjonalna niestandardowa etykietka narzędzia obsługuje tylko jeden język. Jeśli to ustawienie nie zostanie określone, dla użytkowników są wyświetlane następujące komunikaty:

  • Zalecana wiadomość: zaleca się oznaczenie tej wiadomości e-mail jako <nazwy> etykiety
  • Automatyczna wiadomość: ta wiadomość e-mail została automatycznie oznaczona jako <nazwa> etykiety

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{AttachmentAction="Automatic"}

Dodawanie polecenia "Zgłoś problem" dla użytkowników

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu PowerShell centrum zgodności zabezpieczeń & .

Po określeniu następującego zaawansowanego ustawienia klienta użytkownicy zobaczą opcję Zgłoś problem , którą mogą wybrać w oknie dialogowym Pomoc i opinie klienta. Określ ciąg HTTP dla linku. Na przykład niestandardowa strona internetowa, która ma być przeznaczona dla użytkowników do zgłaszania problemów, lub adres e-mail, który przechodzi do działu pomocy technicznej.

Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące ciągi dla wybranych zasad etykiet:

  • Klucz: ReportAnIssueLink

  • Wartość: <ciąg> HTTP

Przykładowa wartość witryny internetowej: https://support.contoso.com

Przykładowa wartość adresu e-mail: mailto:helpdesk@contoso.com

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}

Implementowanie wyskakujących komunikatów w programie Outlook, które ostrzegają, uzasadniają lub blokują wysyłanie wiadomości e-mail

Ta konfiguracja używa zaawansowanych ustawień zasad, które należy skonfigurować przy użyciu programu PowerShell centrum zgodności zabezpieczeń & .

Podczas tworzenia i konfigurowania następujących zaawansowanych ustawień klienta użytkownicy zobaczą wyskakujące wiadomości w programie Outlook, które mogą je ostrzegać przed wysłaniem wiadomości e-mail lub poprosić o uzasadnienie wysłania wiadomości e-mail lub uniemożliwić im wysyłanie wiadomości e-mail dla jednego z następujących scenariuszy:

  • Ich wiadomość e-mail lub załącznik wiadomości e-mail ma określoną etykietę:

    • Załącznik może być dowolnym typem pliku
  • Ich wiadomość e-mail lub załącznik wiadomości e-mail nie ma etykiety:

    • Załącznik może być dokumentem pakietu Office lub dokumentem PDF

Po spełnieniu tych warunków użytkownik zobaczy wyskakujące komunikat z jedną z następujących akcji:

Typ Opis
Ostrzec Użytkownik może potwierdzić i wysłać lub anulować.
Uzasadnić Użytkownik jest monitowany o uzasadnienie (wstępnie zdefiniowane opcje lub dowolny formularz), a użytkownik może następnie wysłać lub anulować wiadomość e-mail.
Tekst uzasadnienia jest zapisywany w nagłówku x-header wiadomości e-mail, dzięki czemu może być odczytywany przez inne systemy, takie jak usługi ochrony przed utratą danych (DLP).
Zablokuj Użytkownik nie może wysłać wiadomości e-mail, gdy warunek pozostanie.
Wiadomość zawiera przyczynę blokowania wiadomości e-mail, dzięki czemu użytkownik może rozwiązać ten problem.
Na przykład usuń określonych adresatów lub oznacz adres e-mail etykietą.

Gdy wyskakujące komunikaty są przeznaczone dla określonej etykiety, można skonfigurować wyjątki dla adresatów według nazwy domeny.

Zobacz blog społeczności technicznej Dostosowywanie wyskakujących komunikatów programu Outlook dla klienta AIP UL , aby zapoznać się z przykładem konfigurowania tych ustawień.

Porada

Aby upewnić się, że wyskakujące okienka są wyświetlane nawet wtedy, gdy dokumenty są udostępniane spoza programu Outlook (Udział > plików > Dołączanie kopii), skonfiguruj również ustawienie zaawansowane OdroczMandatoryBeforeZapisz.

Aby uzyskać więcej informacji, zobacz:

Aby zaimplementować ostrzeżenia, uzasadnić lub zablokować wyskakujące komunikaty dla określonych etykiet

W przypadku wybranych zasad utwórz co najmniej jedno z następujących ustawień zaawansowanych z następującymi kluczami. W przypadku wartości określ co najmniej jedną etykietę według identyfikatorów GUID, z których każdy jest oddzielony przecinkiem.

Przykładowa wartość dla wielu identyfikatorów GUID etykiet jako ciąg rozdzielony przecinkami:

dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
Typ wiadomości Klucz/wartość
Ostrzec Klucz: OutlookWarnUntrustedCollaborationLabel

Wartość: <identyfikatory GUID etykiet, rozdzielane przecinkami>
Uzasadnić Klucz: OutlookJustifyUntrustedCollaborationLabel

Wartość: <identyfikatory GUID etykiet, rozdzielane przecinkami>
Zablokuj Klucz: OutlookBlockUntrustedCollaborationLabel

Wartość: <identyfikatory GUID etykiet, rozdzielane przecinkami>

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e,b6d21387-5d34-4dc8-90ae-049453cec5cf,bb48a6cb-44a8-49c3-9102-2d2b017dcead,74591a94-1e0e-4b5d-b947-62b70fc0f53a,6c375a97-2b9b-4ccd-9c5b-e24e4fd67f73"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyUntrustedCollaborationLabel="dc284177-b2ac-4c96-8d78-e3e1e960318f,d8bb73c3-399d-41c2-a08a-6f0642766e31,750e87d4-0e91-4367-be44-c9c24c9103b4,32133e19-ccbd-4ff1-9254-3a6464bf89fd,74348570-5f32-4df9-8a6b-e6259b74085b,3e8d34df-e004-45b5-ae3d-efdc4731df24"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockUntrustedCollaborationLabel="0eb351a6-0c2d-4c1d-a5f6-caa80c9bdeec,40e82af6-5dad-45ea-9c6a-6fe6d4f1626b"}

W celu dalszego dostosowywania można również wykluczyć nazwy domen dla wyskakujących komunikatów skonfigurowanych dla określonych etykiet.

Uwaga

Ustawienia zaawansowane w tej sekcji (OutlookWarnUntrustedCollaborationLabel, OutlookJustifyUntrustedCollaborationLabel i OutlookBlockUntrustedCollaborationLabel) są przeznaczone dla określonej etykiety.

Aby zaimplementować domyślne komunikaty podręczne dla nienablowanej zawartości, użyj ustawienia zaawansowanego OutlookUnlabeledCollaborationAction . Aby dostosować komunikaty wyskakujące dla zawartości nieoznaczonej, użyj pliku json do zdefiniowania ustawień zaawansowanych.

Aby uzyskać więcej informacji, zobacz Dostosowywanie komunikatów podręcznych programu Outlook.

Porada

Aby upewnić się, że komunikaty blokowe są wyświetlane zgodnie z potrzebami, nawet dla adresata znajdującego się na liście dystrybucyjnej programu Outlook, pamiętaj o dodaniu ustawienia zaawansowanego EnableOutlookDistributionListExpansion .

Aby wykluczyć nazwy domen dla wyskakujących komunikatów skonfigurowanych dla określonych etykiet

W przypadku etykiet określonych przy użyciu tych wyskakujących wiadomości można wykluczyć określone nazwy domen, aby użytkownicy nie widzieli wiadomości dla adresatów, którzy mają tę nazwę domeny dołączoną do ich adresu e-mail. W takim przypadku wiadomości e-mail są wysyłane bez zakłóceń. Aby określić wiele domen, dodaj je jako jeden ciąg rozdzielony przecinkami.

Typowa konfiguracja polega na wyświetlaniu wyskakujących komunikatów tylko dla adresatów zewnętrznych w organizacji lub osób, które nie są autoryzowanymi partnerami w organizacji. W takim przypadku należy określić wszystkie domeny poczty e-mail używane przez organizację i partnerów.

W przypadku tych samych zasad etykiet utwórz następujące zaawansowane ustawienia klienta i dla wartości, określ co najmniej jedną domenę, z których każda jest oddzielona przecinkiem.

Przykładowa wartość dla wielu domen jako ciąg rozdzielony przecinkami: contoso.com,fabrikam.com,litware.com

Typ wiadomości Klucz/wartość
Ostrzec Klucz: OutlookWarnTrustedDomains

Wartość: <nazwy domen, rozdzielone przecinkami>
Uzasadnić Klucz: OutlookJustifyTrustedDomains

Wartość: <nazwy domen, rozdzielone przecinkami>
Zablokuj Klucz: OutlookBlockTrustedDomains

Wartość: <nazwy domen, rozdzielone przecinkami>

Załóżmy na przykład, że określono ustawienie zaawansowanego klienta OutlookBlockUntrustedCollaborationLabel dla etykiety Poufne \ Wszyscy pracownicy .

Teraz należy określić dodatkowe zaawansowane ustawienie klienta programu OutlookBlockTrustedDomains z contoso.com. W związku z tym użytkownik może wysłać wiadomość e-mail na john@sales.contoso.com adres, gdy ma etykietę Poufne \ Wszyscy pracownicy, ale nie będzie mógł wysyłać wiadomości e-mail z tą samą etykietą do konta Gmaila.

Przykładowe polecenia programu PowerShell, w których zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockTrustedDomains="contoso.com"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyTrustedDomains="contoso.com,fabrikam.com,litware.com"}

Uwaga

Aby upewnić się, że komunikaty blokowe są wyświetlane zgodnie z potrzebami, nawet dla adresata znajdującego się na liście dystrybucyjnej programu Outlook, pamiętaj o dodaniu ustawienia zaawansowanego EnableOutlookDistributionListExpansion .

Aby zaimplementować ostrzeżenie, uzasadnić lub zablokować wyskakujące wiadomości e-mail lub załączniki, które nie mają etykiety

Dla tych samych zasad etykiet utwórz następujące zaawansowane ustawienie klienta z jedną z następujących wartości:

Typ wiadomości Klucz/wartość
Ostrzec Klucz: OutlookUnlabeledCollaborationAction

Wartość: Ostrzegaj
Uzasadnić Klucz: OutlookUnlabeledCollaborationAction

Wartość: Wyjustuj
Zablokuj Klucz: OutlookUnlabeledCollaborationAction

Wartość: Blokuj
Wyłącz te komunikaty Klucz: OutlookUnlabeledCollaborationAction

Wartość: Wyłączone

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Warn"}

Aby uzyskać więcej informacji na temat dostosowywania, zobacz:

Aby zdefiniować określone rozszerzenia nazw plików dla ostrzeżenia, uzasadnić lub zablokować wyskakujące wiadomości podręczne dla załączników wiadomości e-mail, które nie mają etykiety

Domyślnie ostrzeżenia, wyjustuj lub blokuj wyskakujące komunikaty dotyczą wszystkich dokumentów pakietu Office i dokumentów PDF. Tę listę można uściślić, określając rozszerzenia nazw plików, które powinny wyświetlać ostrzeżenia, uzasadnić lub blokować komunikaty z dodatkowym ustawieniem zaawansowanym i rozdzielaną przecinkami listę rozszerzeń nazw plików.

Przykładowa wartość dla wielu rozszerzeń nazw plików do zdefiniowania jako ciąg rozdzielany przecinkami: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM

W tym przykładzie nieoznakowany dokument PDF nie spowoduje ostrzeżenia, uzasadnienia ani zablokowania wyskakujących komunikatów.

Dla tych samych zasad etykiet wprowadź następujące ciągi:

  • Klucz: OutlookOverrideUnlabeledCollaborationExtensions

  • Wartość: <rozszerzenia nazw plików do wyświetlania komunikatów, rozdzielane przecinkami>

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.PPT,.PPTX,.PPTM"}

Aby określić inną akcję dla wiadomości e-mail bez załączników

Domyślnie wartość określona dla aplikacji OutlookUnlabeledCollaborationAction w celu ostrzeżenia, uzasadnienia lub blokowania wyskakujących wiadomości dotyczy wiadomości e-mail lub załączników, które nie mają etykiety.

Tę konfigurację można uściślić, określając inne zaawansowane ustawienie wiadomości e-mail, które nie mają załączników.

Utwórz następujące zaawansowane ustawienie klienta z jedną z następujących wartości:

Typ wiadomości Klucz/wartość
Ostrzec Klucz: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Wartość: Ostrzegaj
Uzasadnić Klucz: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Wartość: Wyjustuj
Zablokuj Klucz: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Wartość: Blokuj
Wyłącz te komunikaty Klucz: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Wartość: Wyłączone

Jeśli to ustawienie klienta nie zostanie określone, zostanie użyta wartość programu OutlookUnlabeledCollaborationAction dla wiadomości e-mail bez etykiet, a także wiadomości e-mail bez załączników, a także wiadomości e-mail bez etykiet z załącznikami.

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior="Warn"}

Rozwiń listy dystrybucyjne programu Outlook podczas wyszukiwania adresatów wiadomości e-mail

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu PowerShell Centrum zgodności zabezpieczeń & .

Aby rozszerzyć obsługę z innych ustawień zaawansowanych na adresatów na listach dystrybucyjnych programu Outlook, ustaw ustawienie zaawansowane EnableOutlookDistributionListExpansion na wartość true.

  • Klucz: EnableOutlookDistributionListExpansion
  • Wartość: true

Jeśli na przykład skonfigurowano ustawienia zaawansowane OutlookBlockTrustedDomains, OutlookBlockUntrustedCollaborationLabel zaawansowane ustawienia, a następnie skonfigurować ustawienie EnableOutlookDistributionListExpansion , program Outlook jest włączony, aby rozwinąć listę dystrybucyjną, aby upewnić się, że komunikat bloku jest wyświetlany zgodnie z potrzebami.

Domyślny limit czasu rozszerzania listy dystrybucyjnej wynosi 2000 milisekund.

Aby zmodyfikować ten limit czasu, utwórz następujące ustawienie zaawansowane dla wybranych zasad:

  • Klucz: OutlookGetEmailAddressesTimeOutMSProperty
  • Wartość: Liczba całkowita, w milisekundach

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{
  EnableOutlookDistributionListExpansion="true"
  OutlookGetEmailAddressesTimeOutMSProperty="3000"
}

Zapobieganie wysyłaniu danych inspekcji do analizy usług AIP i Microsoft 365

Domyślnie klient ujednoliconego etykietowania usługi Azure Information Protection obsługuje centralne raportowanie i wysyła dane inspekcji do:

Aby zmienić to zachowanie, aby dane inspekcji nie zostały wysłane, wykonaj następujące czynności:

  1. Dodaj następujące zaawansowane ustawienie zasad przy użyciu programu PowerShell centrum zgodności zabezpieczeń & :

    • Klucz: EnableAudit

    • Wartość: Fałsz

    Jeśli na przykład zasady etykiet mają nazwę "Global":

    Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}
    

    Uwaga

    Domyślnie to ustawienie zaawansowane nie jest obecne w zasadach, a dzienniki inspekcji są wysyłane.

  2. Na wszystkich maszynach klienckich usługi Azure Information Protection usuń następujący folder: %localappdata%\Microsoft\MSIP\mip

Aby umożliwić klientowi ponowne wysyłanie danych dziennika inspekcji, zmień wartość ustawienia zaawansowanego na True. Nie trzeba ręcznie tworzyć folderu %localappdata%\Microsoft\MSIP\mip ponownie na maszynach klienckich.

Wysyłanie dopasowań typu informacji do analizy usługi Azure Information Protection

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu PowerShell Centrum zgodności zabezpieczeń & .

Domyślnie klient ujednoliconego etykietowania nie wysyła dopasowań zawartości dla typów informacji poufnych do analizy usługi Azure Information Protection. Aby uzyskać więcej informacji na temat tych dodatkowych informacji, które można wysłać, zobacz sekcję Zawartość pasuje do dokładniejszej analizy w centralnej dokumentacji raportowania.

Aby wysyłać dopasowania zawartości w przypadku wysyłania typów informacji poufnych, utwórz następujące zaawansowane ustawienie klienta w zasadach etykiet:

  • Klucz: LogMatchedContent

  • Wartość: True

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}

Ograniczanie użycia procesora CPU

Począwszy od skanera w wersji 2.7.x.x, zalecamy ograniczenie użycia procesora CPU przy użyciu następujących ustawień zaawansowanych ScannerMaxCPU i ScannerMinCPU .

Ważne

Jeśli są używane następujące zasady ograniczania wątków, ustawienia zaawansowane ScannerMaxCPU i ScannerMinCPU są ignorowane. Aby ograniczyć użycie procesora CPU przy użyciu ustawień zaawansowanych ScannerMaxCPU i ScannerMinCPU , anuluj użycie zasad, które ograniczają liczbę wątków.

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu PowerShell Centrum zgodności zabezpieczeń & .

Aby ograniczyć użycie procesora CPU na maszynie skanera, można nim zarządzać przez utworzenie dwóch ustawień zaawansowanych:

  • SkanerMaxCPU:

    Domyślnie ustawiono wartość 100 , co oznacza, że nie ma limitu maksymalnego użycia procesora CPU. W takim przypadku proces skanera spróbuje użyć całego dostępnego czasu procesora CPU w celu zmaksymalizowania szybkości skanowania.

    Jeśli ustawisz wartość ScannerMaxCPU na mniej niż 100, skaner będzie monitorować użycie procesora w ciągu ostatnich 30 minut. Jeśli średni procesor przekroczył ustawiony limit, zacznie zmniejszać liczbę wątków przydzielonych dla nowych plików.

    Limit liczby wątków będzie kontynuowany tak długo, jak użycie procesora CPU jest wyższe niż limit ustawiony dla ScannerMaxCPU.

  • SkanerMinCPU:

    Sprawdzane tylko wtedy, gdy wartość ScannerMaxCPU nie jest równa 100 i nie można jej ustawić na liczbę wyższą niż wartość ScannerMaxCPU . Zalecamy utrzymanie wartości ScannerMinCPU ustawionej co najmniej 15 punktów poniżej wartości SkanerMaxCPU.

    Domyślnie ustawiono wartość 50 , co oznacza, że jeśli użycie procesora CPU w ciągu ostatnich 30 minut, gdy wartość jest niższa niż ta, skaner rozpocznie dodawanie nowych wątków w celu równoległego skanowania większej liczby plików, dopóki użycie procesora CPU nie osiągnie poziomu ustawionego dla scannerMaxCPU-15.

Ograniczanie liczby wątków używanych przez skaner

Ważne

Jeśli są używane następujące zasady ograniczania wątków, ustawienia zaawansowane ScannerMaxCPU i ScannerMinCPU są ignorowane. Aby ograniczyć użycie procesora CPU przy użyciu ustawień zaawansowanych ScannerMaxCPU i ScannerMinCPU , anuluj użycie zasad, które ograniczają liczbę wątków.

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu PowerShell centrum zgodności zabezpieczeń & .

Domyślnie skaner używa wszystkich dostępnych zasobów procesora na komputerze z uruchomioną usługą skanera. Jeśli musisz ograniczyć użycie procesora CPU podczas skanowania tej usługi, utwórz następujące zaawansowane ustawienie w zasadach etykiet.

Dla wartości określ liczbę współbieżnych wątków, które skaner może uruchomić równolegle. Skaner używa oddzielnego wątku dla każdego skanowanego pliku, dlatego ta konfiguracja ograniczania definiuje również liczbę plików, które można skanować równolegle.

Podczas pierwszego konfigurowania wartości do testowania zalecamy określenie 2 na rdzeń, a następnie monitorowanie wyników. Jeśli na przykład uruchomisz skaner na komputerze z 4 rdzeniami, najpierw ustaw wartość na 8. W razie potrzeby zwiększ lub zmniejsz liczbę, zgodnie z wynikającą wydajnością wymaganą dla komputera skanera i szybkości skanowania.

  • Klucz: SkanerConcurrencyLevel

  • Wartość: <liczba współbieżnych wątków>

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Skaner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}

Migrowanie etykiet z bezpiecznych wysp i innych rozwiązań etykietowania

Ta konfiguracja używa zaawansowanego ustawienia etykiety, które należy skonfigurować przy użyciu programu PowerShell centrum zgodności zabezpieczeń & .

Ta konfiguracja nie jest zgodna z chronionymi plikami PDF, które mają rozszerzenie nazwy pliku ppdf. Nie można otworzyć tych plików przez klienta przy użyciu Eksplorator plików lub programu PowerShell.

W przypadku dokumentów pakietu Office oznaczonych etykietą Secure Islands można ponownie oznaczyć te dokumenty etykietą poufności przy użyciu zdefiniowanego mapowania. Ta metoda służy również do ponownego używania etykiet z innych rozwiązań, gdy ich etykiety znajdują się w dokumentach pakietu Office.

W wyniku tej opcji konfiguracji nowa etykieta poufności jest stosowana przez klienta ujednoliconego etykietowania platformy Azure Information Protection w następujący sposób:

  • W przypadku dokumentów pakietu Office: po otwarciu dokumentu w aplikacji klasycznej nowa etykieta poufności jest wyświetlana jako ustawiona i stosowana podczas zapisywania dokumentu.

  • W przypadku programu PowerShell: właściwość Set-AIPFileLabel i Set-AIPFileClassificiation może zastosować nową etykietę poufności.

  • W przypadku Eksplorator plików: w oknie dialogowym Azure Information Protection jest wyświetlana nowa etykieta poufności, ale nie jest ustawiona.

Ta konfiguracja wymaga określenia zaawansowanego ustawienia o nazwie labelByCustomProperties dla każdej etykiety poufności, którą chcesz zamapować na starą etykietę. Następnie dla każdego wpisu ustaw wartość przy użyciu następującej składni:

[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]

Określ wybraną nazwę reguły migracji. Użyj opisowej nazwy, która pomaga określić, jak należy mapować co najmniej jedną etykietę z poprzedniego rozwiązania do etykietowania na etykietę poufności.

Należy pamiętać, że to ustawienie nie usuwa oryginalnej etykiety z dokumentu ani żadnych oznaczeń wizualnych w dokumencie, które mogły zostać zastosowane do oryginalnej etykiety. Aby usunąć nagłówki i stopki, zobacz Usuwanie nagłówków i stopek z innych rozwiązań etykietowania.

Przykłady:

Aby uzyskać dodatkowe dostosowania, zobacz:

Uwaga

Jeśli przeprowadzasz migrację z etykiet w różnych dzierżawach, takich jak po fuzji firmy, zalecamy przeczytanie naszego wpisu w blogu na temat fuzji i spinoffs , aby uzyskać więcej informacji.

Przykład 1: jedno-jedno mapowanie tej samej nazwy etykiety

Wymaganie: Dokumenty z etykietą "Poufne" powinny być ponownie oznaczone jako "Poufne" przez usługę Azure Information Protection.

W tym przykładzie:

  • Etykieta Secure Islands nosi nazwę Poufne i jest przechowywana we właściwości niestandardowej o nazwie Classification( Klasyfikacja).

Ustawienie zaawansowane:

  • Klucz: labelByCustomProperties

  • Wartość: Etykieta Bezpiecznych Wysp to Poufne, Klasyfikacja, Poufne

Przykładowe polecenie programu PowerShell, w którym etykieta nosi nazwę "Poufne":

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Confidential,Classification,Confidential"}

Przykład 2. Mapowanie jeden do jednego dla innej nazwy etykiety

Wymaganie: Dokumenty oznaczone jako "Poufne" przez bezpieczne wyspy powinny być ponownie oznaczone jako "Wysoce poufne" przez usługę Azure Information Protection.

W tym przykładzie:

  • Etykieta Secure Islands nosi nazwę Sensitive (Poufne ) i jest przechowywana we właściwości niestandardowej o nazwie Classification (Klasyfikacja).

Ustawienie zaawansowane:

  • Klucz: labelByCustomProperties

  • Wartość: Etykieta bezpiecznych wysp jest wrażliwa, klasyfikacja, wrażliwa

Przykładowe polecenie programu PowerShell, w którym etykieta nosi nazwę "Wysoce poufne":

Set-Label -Identity "Highly Confidential" -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Sensitive,Classification,Sensitive"}

Przykład 3. Mapowanie wiele-do-jednego nazw etykiet

Wymaganie: masz dwie etykiety bezpiecznych wysp, które zawierają słowo "Internal" i chcesz, aby dokumenty, które mają jedną z tych etykiet Secure Islands, mają być ponownie oznaczone jako "Ogólne" przez klienta ujednoliconego etykietowania platformy Azure Information Protection ujednoliconego.

W tym przykładzie:

  • Etykiety bezpiecznych wysp zawierają słowo Wewnętrzne i są przechowywane we właściwości niestandardowej o nazwie Classification.

Zaawansowane ustawienie klienta:

  • Klucz: labelByCustomProperties

  • Wartość: Etykieta Secure Islands zawiera etykietę Internal,Classification,.*Internal.*

Przykładowe polecenie programu PowerShell, w którym etykieta nosi nazwę "Ogólne":

Set-Label -Identity General -AdvancedSettings @{labelByCustomProperties="Secure Islands label contains Internal,Classification,.*Internal.*"}

Przykład 4. Wiele reguł dla tej samej etykiety

Jeśli potrzebujesz wielu reguł dla tej samej etykiety, zdefiniuj wiele wartości ciągu dla tego samego klucza.

W tym przykładzie etykiety Secure Islands o nazwie "Poufne" i "Tajne" są przechowywane we właściwości niestandardowej o nazwie Classification i chcesz, aby klient ujednoliconego etykietowania platformy Azure Information Protection zastosować etykietę poufności o nazwie "Poufne":

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

Rozszerzanie reguł migracji etykiet do wiadomości e-mail

Możesz użyć konfiguracji zdefiniowanej za pomocą ustawienia zaawansowanego labelByCustomProperties dla wiadomości e-mail programu Outlook, oprócz dokumentów pakietu Office, określając dodatkowe ustawienie zaawansowane zasad etykiety.

Jednak to ustawienie ma znany negatywny wpływ na wydajność programu Outlook, dlatego skonfiguruj to dodatkowe ustawienie tylko wtedy, gdy masz dla niego silne wymaganie biznesowe i pamiętaj, aby ustawić ją na wartość ciągu null po zakończeniu migracji z innego rozwiązania do etykietowania.

Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące ciągi dla wybranych zasad etykiet:

  • Klucz: EnableLabelByMailHeader

  • Wartość: Prawda

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelByMailHeader="True"}

Rozszerzanie reguł migracji etykiet do właściwości programu SharePoint

Możesz użyć konfiguracji zdefiniowanej za pomocą ustawienia zaawansowanego labelByCustomProperties dla właściwości programu SharePoint, które można uwidocznić jako kolumny dla użytkowników, określając dodatkowe ustawienie zaawansowane zasad etykiety.

To ustawienie jest obsługiwane w przypadku korzystania z programów Word, Excel i PowerPoint.

Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące ciągi dla wybranych zasad etykiet:

  • Klucz: EnableLabelBySharePointProperties

  • Wartość: Prawda

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelBySharePointProperties="True"}

Stosowanie właściwości niestandardowej po zastosowaniu etykiety

Ta konfiguracja używa zaawansowanego ustawienia etykiety, które należy skonfigurować przy użyciu programu PowerShell centrum zgodności zabezpieczeń & .

Niektóre scenariusze mogą wystąpić, gdy chcesz zastosować co najmniej jedną właściwość niestandardową do dokumentu lub wiadomości e-mail oprócz metadanych stosowanych przez etykietę poufności.

Przykład:

  • Trwa migracja z innego rozwiązania do etykietowania, takiego jak Bezpieczne wyspy. W przypadku współdziałania podczas migracji etykiety poufności mają również stosować właściwość niestandardową, która jest używana przez inne rozwiązanie do etykietowania.

  • W przypadku systemu zarządzania zawartością (takiego jak program SharePoint lub rozwiązanie do zarządzania dokumentami od innego dostawcy) chcesz użyć spójnej niestandardowej nazwy właściwości z różnymi wartościami etykiet oraz z przyjaznymi dla użytkownika nazwami zamiast identyfikatora GUID etykiety.

W przypadku dokumentów pakietu Office i wiadomości e-mail programu Outlook oznaczonych etykietami przy użyciu klienta Information Protection ujednoliconego etykietowania platformy Azure można dodać co najmniej jedną zdefiniowaną właściwość niestandardową. Można również użyć tej metody dla ujednoliconego klienta etykietowania, aby wyświetlić właściwość niestandardową jako etykietę z innych rozwiązań dla zawartości, która nie jest jeszcze oznaczona przez ujednoliconego klienta etykietowania.

W wyniku tej opcji konfiguracji wszelkie dodatkowe właściwości niestandardowe są stosowane przez klienta ujednoliconego etykietowania platformy Azure Information Protection w następujący sposób:

Środowisko Opis
Dokumenty pakietu Office Gdy dokument jest oznaczony etykietą w aplikacji klasycznej, dodatkowe właściwości niestandardowe są stosowane po zapisaniu dokumentu.
Wiadomości e-mail programu Outlook Gdy wiadomość e-mail jest oznaczona etykietą w programie Outlook, dodatkowe właściwości są stosowane do nagłówka x po wysłaniu wiadomości e-mail.
Program PowerShell Polecenie Set-AIPFileLabel i Set-AIPFileClassificiation stosuje dodatkowe właściwości niestandardowe po oznaczeniu i zapisaniu dokumentu.

Polecenie Get-AIPFileStatus wyświetla właściwości niestandardowe jako etykietę mapowanej, jeśli etykieta poufności nie jest stosowana.
Eksplorator plików Gdy użytkownik kliknie prawym przyciskiem myszy plik i zastosuje etykietę, zostaną zastosowane właściwości niestandardowe.

Ta konfiguracja wymaga określenia zaawansowanego ustawienia o nazwie customPropertiesByLabel dla każdej etykiety poufności, które chcesz zastosować dodatkowe właściwości niestandardowe. Następnie dla każdego wpisu ustaw wartość przy użyciu następującej składni:

[custom property name],[custom property value]

Ważne

Użycie białych spacji w ciągu uniemożliwi stosowanie etykiet.

Przykład:

Przykład 1. Dodawanie pojedynczej właściwości niestandardowej dla etykiety

Wymaganie: Dokumenty oznaczone jako "Poufne" przez klienta ujednoliconego etykietowania platformy Azure Information Protection powinny mieć dodatkową właściwość niestandardową o nazwie "Classification" z wartością "Secret".

W tym przykładzie:

  • Etykieta poufności ma nazwę Poufne i tworzy właściwość niestandardową o nazwie Classification z wartością Wpisu tajnego.

Ustawienie zaawansowane:

  • Klucz: customPropertiesByLabel

  • Wartość: Klasyfikacja, Wpis tajny

Przykładowe polecenie programu PowerShell, w którym etykieta nosi nazwę "Poufne":

    Set-Label -Identity Confidential -AdvancedSettings @{customPropertiesByLabel="Classification,Secret"}

Przykład 2. Dodawanie wielu właściwości niestandardowych dla etykiety

Aby dodać więcej niż jedną właściwość niestandardową dla tej samej etykiety, należy zdefiniować wiele wartości ciągów dla tego samego klucza.

Przykładowe polecenie programu PowerShell, w którym etykieta ma nazwę "Ogólne" i chcesz dodać jedną właściwość niestandardową o nazwie Classification z wartością General i drugą właściwością niestandardową o nazwie Czułość z wartością Internal:

Set-Label -Identity General -AdvancedSettings @{customPropertiesByLabel=ConvertTo-Json("Classification,General", "Sensitivity,Internal")}

Konfigurowanie etykiety w celu zastosowania ochrony za pomocą protokołu S/MIME w programie Outlook

Ta konfiguracja używa ustawień zaawansowanych etykiet, które należy skonfigurować przy użyciu programu PowerShell centrum zgodności zabezpieczeń & .

Użyj tych ustawień tylko wtedy, gdy masz działające wdrożenie S/MIME i chcesz, aby etykieta automatycznie zastosować tę metodę ochrony dla wiadomości e-mail, a nie ochrony usługi Rights Management z poziomu usługi Azure Information Protection. Wynikowa ochrona jest taka sama, jak w przypadku ręcznego wybrania opcji S/MIME przez użytkownika z programu Outlook.

Konfiguracja Klucz/wartość
Podpis cyfrowy S/MIME Aby skonfigurować zaawansowane ustawienie podpisu cyfrowego S/MIME, wprowadź następujące ciągi dla wybranej etykiety:

- Klucz: SMimeSign

- Wartość: Prawda
Szyfrowanie S/MIME Aby skonfigurować zaawansowane ustawienie szyfrowania S/MIME, wprowadź następujące ciągi dla wybranej etykiety:

- Klucz: SMimeEncrypt

- Wartość: Prawda

Gdy użytkownik wybierze etykietę w programie Outlook, zostaną zastosowane skonfigurowane ustawienia protokołu S/MIME. Jeśli etykieta jest również skonfigurowana dla domyślnego szyfrowania usługi Rights Management, które można określić w portal zgodności Microsoft Purview, ustawienia S/MIME zastępują ochronę usługi Rights Management tylko w programie Outlook. W przypadku innych aplikacji, które obsługuje klient ujednoliconego etykietowania, klient nadal używa ustawień szyfrowania określonych w portalu zgodności.

Jeśli etykieta ma być widoczna tylko w programie Outlook, skonfiguruj opcję Nie przesyłaj dalej z pozycji Zezwalaj użytkownikom na przypisywanie uprawnień.

Przykładowe polecenia programu PowerShell, w których etykieta nosi nazwę "Tylko adresaci":

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeSign="True"}

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeEncrypt="True"}

Określanie domyślnego etykiety podrzędnej dla etykiety nadrzędnej

Ta konfiguracja używa zaawansowanego ustawienia etykiety, które należy skonfigurować przy użyciu programu PowerShell centrum zgodności zabezpieczeń & .

Po dodaniu etykiety podrzędnej użytkownicy nie mogą już stosować etykiety nadrzędnej do dokumentu ani wiadomości e-mail. Domyślnie użytkownicy wybierają etykietę nadrzędną, aby wyświetlić etykiety podrzędne, które mogą zastosować, a następnie wybrać jedną z tych etykiet podrzędnych. W przypadku skonfigurowania tego zaawansowanego ustawienia po wybraniu etykiety nadrzędnej zostanie automatycznie wybrany podbel podrzędny i zastosowany dla nich:

  • Klucz: DefaultSubLabelId

  • Wartość: <identyfikator GUID> podbela

Przykładowe polecenie programu PowerShell, w którym etykieta nadrzędna nosi nazwę "Poufne", a podlanie "Wszyscy pracownicy" ma identyfikator GUID 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}

Włączanie klasyfikacji w celu ciągłego uruchamiania w tle

Ta konfiguracja używa zaawansowanego ustawienia etykiety, które należy skonfigurować przy użyciu programu PowerShell centrum zgodności zabezpieczeń & .

Podczas konfigurowania tego ustawienia zmienia domyślne zachowanie sposobu, w jaki klient ujednoliconego etykietowania platformy Azure Information Protection stosuje etykiety automatyczne i zalecane do dokumentów:

W przypadku programów Word, Excel i PowerPoint automatyczna klasyfikacja jest stale uruchamiana w tle.

Zachowanie nie zmienia się dla programu Outlook.

Gdy klient ujednoliconego etykietowania platformy Azure Information Protection okresowo sprawdza dokumenty dla określonych reguł warunku, to zachowanie umożliwia automatyczną i zalecaną klasyfikację i ochronę dokumentów pakietu Office przechowywanych w programie SharePoint lub OneDrive, o ile automatyczne zapisywanie jest włączone. Duże pliki są również zapisywane szybciej, ponieważ reguły warunku zostały już uruchomione.

Reguły warunku nie są uruchamiane w czasie rzeczywistym jako typy użytkowników. Zamiast tego są one uruchamiane okresowo jako zadanie w tle, jeśli dokument zostanie zmodyfikowany.

Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące parametry:

  • Klucz: RunPolicyInBackground
  • Wartość: Prawda

Przykładowe polecenie programu PowerShell:

Set-LabelPolicy -Identity PolicyName -AdvancedSettings @{RunPolicyInBackground = "true"}

Uwaga

Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub nie zostały jeszcze wydane w ogólnej dostępności.

Określanie koloru etykiety

Ta konfiguracja używa ustawień zaawansowanych etykiet, które należy skonfigurować przy użyciu programu PowerShell centrum zgodności zabezpieczeń & .

Użyj tego zaawansowanego ustawienia, aby ustawić kolor etykiety. Aby określić kolor, wprowadź kod szesnastkowy dla składników koloru czerwonego, zielonego i niebieskiego (RGB). Na przykład #40e0d0 jest wartością szesnastkową RGB dla turkusu.

Jeśli potrzebujesz odwołania do tych kodów, znajdziesz pomocną tabelę ze <strony kolorów> z dokumentacji internetowej MSDN. Te kody można również znaleźć w wielu aplikacjach, które umożliwiają edytowanie obrazów. Na przykład Microsoft Paint umożliwia wybranie niestandardowego koloru z palety, a wartości RGB są automatycznie wyświetlane, co można następnie skopiować.

Aby skonfigurować ustawienie zaawansowane dla koloru etykiety, wprowadź następujące ciągi dla wybranej etykiety:

  • Klucz: kolor

  • Wartość: <wartość> szesnastkowy RGB

Przykładowe polecenie programu PowerShell, w którym etykieta nosi nazwę "Public":

Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}

Zaloguj się jako inny użytkownik

Logowanie przy użyciu wielu użytkowników nie jest obsługiwane przez usługę AIP w środowisku produkcyjnym. W tej procedurze opisano sposób logowania się jako inny użytkownik tylko do celów testowych.

Możesz sprawdzić, które konto jest obecnie zalogowane przy użyciu okna dialogowego Microsoft Azure Information Protection: Otwórz aplikację pakietu Office i na karcie Narzędzia główne, wybierz przycisk Czułość, a następnie wybierz pozycję Pomoc i opinie. Nazwa konta jest widoczna w sekcji Stan klienta.

Pamiętaj także o sprawdzeniu wyświetlonej nazwy domeny konta użytego do zalogowania. Fakt, że logowanie następuje przy użyciu prawidłowej nazwy konta, ale niewłaściwej domeny, można łatwo przeoczyć. Objaw użycia niewłaściwego konta obejmuje niepowodzenie pobierania etykiet lub wyświetlanie oczekiwanych etykiet lub zachowania.

Aby zalogować się jako inny użytkownik:

  1. Przejdź do folderu %localappdata%\Microsoft\MSIP i usuń plik TokenCache .

  2. Uruchom ponownie wszystkie otwarte aplikacje pakietu Office i zaloguj się przy użyciu innego konta użytkownika. Jeśli w aplikacji pakietu Office nie zostanie wyświetlony monit o zalogowanie się do usługi Azure Information Protection, wróć do okna dialogowego Microsoft Azure Information Protection i wybierz pozycję Zaloguj się w zaktualizowanej sekcji Stan klienta.

Dodatkowo:

Scenariusz Opis
Nadal zalogowane do starego konta Jeśli klient ujednoliconego etykietowania platformy Azure Information Protection jest nadal zalogowany przy użyciu starego konta po wykonaniu tych kroków, usuń wszystkie pliki cookie z programu Internet Explorer, a następnie powtórz kroki 1 i 2.
Korzystanie z logowania jednokrotnego Jeśli używasz logowania jednokrotnego, musisz wylogować się z systemu Windows i zalogować się przy użyciu innego konta użytkownika po usunięciu pliku tokenu.

Klient ujednoliconego etykietowania platformy Azure Information Protection następnie automatycznie uwierzytelnia się przy użyciu aktualnie zalogowanego konta użytkownika.
Różne dzierżawy To rozwiązanie jest obsługiwane w przypadku logowania się jako inny użytkownik z tej samej dzierżawy. Nie jest ono obsługiwane w przypadku logowania się jako inny użytkownik z innej dzierżawy.

Do testowania usługi Azure Information Protection z wieloma dzierżawami użyj różnych komputerów.
Resetowanie ustawień Możesz użyć opcji Resetuj ustawienia z pozycji Pomoc i opinia, aby wylogować się i usunąć aktualnie pobrane etykiety i ustawienia zasad z portal zgodności Microsoft Purview.

Obsługa odłączonych komputerów

Ważne

Odłączone komputery są obsługiwane w następujących scenariuszach etykietowania: Eksplorator plików, PowerShell, aplikacje pakietu Office i skaner.

Domyślnie klient ujednoliconego etykietowania platformy Azure Information Protection automatycznie próbuje połączyć się z Internetem, aby pobrać etykiety i ustawienia zasad etykiet z portal zgodności Microsoft Purview.

Jeśli masz komputery, które nie mogą łączyć się z Internetem przez pewien czas, możesz wyeksportować i skopiować pliki, które ręcznie zarządzają zasadami dla klienta ujednoliconego etykietowania.

Aby obsługiwać odłączone komputery od klienta ujednoliconego etykietowania:

  1. Wybierz lub utwórz konto użytkownika w Azure AD, którego będziesz używać do pobierania etykiet i ustawień zasad, których chcesz użyć na odłączonym komputerze.

  2. Jako dodatkowe ustawienie zasad etykiet dla tego konta wyłącz wysyłanie danych inspekcji do usługi Azure Information Protection Analytics.

    Zalecamy wykonanie tego kroku, ponieważ jeśli odłączony komputer ma okresową łączność z Internetem, będzie wysyłać informacje rejestrowania do usługi Azure Information Protection analizy zawierającej nazwę użytkownika z kroku 1. To konto użytkownika może różnić się od konta lokalnego, którego używasz na odłączonym komputerze.

  3. Z komputera z łącznością internetową z zainstalowanym klientem ujednoliconego etykietowania i zalogowanym przy użyciu konta użytkownika z kroku 1 pobierz etykiety i ustawienia zasad.

  4. Z tego komputera wyeksportuj pliki dziennika.

    Na przykład uruchom polecenie cmdlet Export-AIPLogs lub użyj opcji Eksportuj dzienniki z okna dialogowego Pomoc i opinie klienta.

    Pliki dziennika są eksportowane jako pojedynczy skompresowany plik.

  5. Otwórz skompresowany plik, a następnie z folderu MSIP skopiuj wszystkie pliki z rozszerzeniem nazwy pliku .xml.

  6. Wklej te pliki do folderu %localappdata%\Microsoft\MSIP na odłączonym komputerze.

  7. Jeśli wybrane konto użytkownika jest kontem, które zwykle łączy się z Internetem, włącz ponowne wysyłanie danych inspekcji, ustawiając wartość EnableAudit na True.

Należy pamiętać, że jeśli użytkownik na tym komputerze wybierze opcję Resetuj ustawienia z Pomocy i opinii, ta akcja usuwa pliki zasad i renderuje klienta niedziałające do momentu ręcznego zastąpienia plików lub klient łączy się z Internetem i pobiera pliki.

Jeśli odłączony komputer korzysta ze skanera usługi Azure Information Protection, należy wykonać dodatkowe czynności konfiguracyjne. Aby uzyskać więcej informacji, zobacz Ograniczenie: serwer skanera nie może mieć łączności z Internetem z instrukcji wdrażania skanera.

Zmienianie poziomu rejestrowania lokalnego

Domyślnie klient ujednoliconego etykietowania platformy Azure Information Protection zapisuje pliki dziennika klienta w folderze %localappdata%\Microsoft\MSIP. Te pliki są przeznaczone do rozwiązywania problemów przez pomoc techniczna firmy Microsoft.

Aby zmienić poziom rejestrowania dla tych plików, znajdź następującą nazwę wartości w rejestrze i ustaw dane wartości na wymagany poziom rejestrowania:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel

Ustaw poziom rejestrowania na jedną z następujących wartości:

  • Wyłączone: brak rejestrowania lokalnego.

  • Błąd: Tylko błędy.

  • Ostrzegaj: błędy i ostrzeżenia.

  • Informacje: Minimalne rejestrowanie, które nie zawiera identyfikatorów zdarzeń (ustawienie domyślne skanera).

  • Debugowanie: pełne informacje.

  • Śledzenie: szczegółowe rejestrowanie (ustawienie domyślne dla klientów).

To ustawienie rejestru nie zmienia informacji wysyłanych do usługi Azure Information Protection na potrzeby centralnego raportowania.

Pomijanie lub ignorowanie plików podczas skanowania w zależności od atrybutów plików

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu PowerShell Centrum zgodności zabezpieczeń & .

Domyślnie skaner ujednoliconego etykietowania platformy Azure Information Protection skanuje wszystkie odpowiednie pliki. Można jednak zdefiniować określone pliki, które mają zostać pominięte, na przykład dla zarchiwizowanych plików lub plików, które zostały przeniesione.

Włącz skaner, aby pominąć określone pliki na podstawie atrybutów plików przy użyciu zaawansowanego ustawienia ScannerFSAttributesToSkip . W wartości ustawienia wyświetl listę atrybutów pliku, które umożliwią pomijanie pliku, gdy wszystkie są ustawione na wartość true. Ta lista atrybutów pliku używa logiki AND.

Następujące przykładowe polecenia programu PowerShell ilustrują sposób użycia tego ustawienia zaawansowanego z etykietą o nazwie "Global".

Pomiń pliki, które są zarówno tylko do odczytu, jak i zarchiwizowane

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}

Pomiń pliki, które są tylko do odczytu lub zarchiwizowane

Aby użyć logiki OR, uruchom tę samą właściwość wiele razy. Przykład:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}

Porada

Zalecamy włączenie skanera w celu pomijania plików z następującymi atrybutami:

  • FILE_ATTRIBUTE_SYSTEM
  • FILE_ATTRIBUTE_HIDDEN
  • FILE_ATTRIBUTE_DEVICE
  • FILE_ATTRIBUTE_OFFLINE
  • FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
  • FILE_ATTRIBUTE_RECALL_ON_OPEN
  • FILE_ATTRIBUTE_TEMPORARY

Aby uzyskać listę wszystkich atrybutów pliku, które można zdefiniować w ustawieniu zaawansowanym ScannerFSAttributesToSkip , zobacz Stałe atrybutu pliku Win32

Zachowywanie właścicieli systemu plików NTFS podczas etykietowania (publiczna wersja zapoznawcza)

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu PowerShell Centrum zgodności zabezpieczeń & .

Domyślnie etykietowanie skanera, programu PowerShell i Eksplorator plików rozszerzenia nie zachowuje właściciela systemu plików NTFS zdefiniowanego przed etykietowaniem.

Aby upewnić się, że wartość właściciela systemu plików NTFS jest zachowana, ustaw zaawansowane ustawienie UseCopyAndPreserveNTFSOwner na wartość true dla wybranych zasad etykiety.

Przestroga

Zdefiniuj to ustawienie zaawansowane tylko wtedy, gdy możliwe jest zapewnienie małego opóźnienia i niezawodnego połączenia sieciowego między skanerem a zeskanowanym repozytorium. Awaria sieci podczas procesu automatycznego etykietowania może spowodować utratę pliku.

Przykładowe polecenie programu PowerShell, gdy zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}

Uwaga

Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Dostosowywanie tekstu monitu o uzasadnienie dla zmodyfikowanych etykiet

Dostosuj monity uzasadnienia wyświetlane zarówno w pakiecie Office, jak i kliencie usługi AIP, gdy użytkownicy końcowi zmieniają etykiety klasyfikacji w dokumentach i wiadomościach e-mail.

Na przykład jako administrator możesz przypomnieć użytkownikom, aby nie dodawali żadnych informacji identyfikujących klientów do tego pola:

Dostosowany tekst monitu o uzasadnienie

Aby zmodyfikować domyślny wyświetlany tekst Inne , użyj właściwości advanced JustificationTextForUserText z poleceniem cmdlet Set-LabelPolicy . Ustaw wartość na tekst, którego chcesz użyć.

Przykładowe polecenie programu PowerShell, gdy zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}

Dostosowywanie komunikatów podręcznych programu Outlook

Administratorzy usługi AIP mogą dostosować wyskakujące komunikaty wyświetlane użytkownikom końcowym w programie Outlook, takie jak:

  • Wiadomości dotyczące zablokowanych wiadomości e-mail
  • Komunikaty ostrzegawcze, które monitują użytkowników o zweryfikowanie wysyłanej zawartości
  • Komunikaty uzasadnienia, które żądają od użytkowników uzasadnienia wysyłanej zawartości

Ważne

Ta procedura spowoduje zastąpienie wszystkich ustawień zdefiniowanych już przy użyciu właściwości zaawansowanej OutlookUnlabeledCollaborationAction .

W środowisku produkcyjnym zalecamy unikanie komplikacji przy użyciu właściwości zaawansowanej OutlookUnlabeledCollaborationAction w celu zdefiniowania reguł lub definiowania złożonych reguł przy użyciu pliku json zdefiniowanego poniżej, ale nie obu tych reguł.

Aby dostosować komunikaty podręczne programu Outlook:

  1. Utwórz pliki json , z których każda ma regułę, która konfiguruje sposób wyświetlania przez program Outlook wyskakujących komunikatów dla użytkowników. Aby uzyskać więcej informacji, zobacz Składnia json wartości reguły i Przykładowy kod json dostosowywania wyskakującego.

  2. Użyj programu PowerShell, aby zdefiniować zaawansowane ustawienia kontrolujące konfigurowane komunikaty podręczne. Uruchom oddzielny zestaw poleceń dla każdej reguły, którą chcesz skonfigurować.

    Każdy zestaw poleceń programu PowerShell musi zawierać nazwę konfigurowanych zasad, a także klucz i wartość definiującą regułę.

    Użyj następującej składni:

    $filedata = Get-Content "<Path to json file>"
    Set-LabelPolicy -Identity <Policy name> -AdvancedSettings @{<Key> ="$filedata"}
    

    Gdzie:

    • <Path to json file> to ścieżka do utworzonego pliku JSON. Na przykład: C:\Users\msanchez\Desktop\ \dlp\OutlookCollaborationRule_1.json.

    • <Policy name> to nazwa zasad, które chcesz skonfigurować.

    • <Key> to nazwa reguły. Użyj następującej składni, gdzie <#> jest numerem seryjnym reguły:

      OutlookCollaborationRule_<#>

    Aby uzyskać więcej informacji, zobacz Porządkowanie reguł dostosowywania programu Outlook i Składnia wartości reguły json.

Porada

W przypadku dodatkowej organizacji nadaj plikowi nazwę z tym samym ciągiem co klucz używany w poleceniu programu PowerShell. Na przykład nadaj plikowi nazwę OutlookCollaborationRule_1.json, a następnie użyj OutlookCollaborationRule_1 jako klucza.

Aby upewnić się, że wyskakujące okienka są wyświetlane nawet wtedy, gdy dokumenty są udostępniane spoza programu Outlook (dołączanie udziału > plików > do kopii), skonfiguruj również ustawienie zaawansowane PostponeMandatoryBeforeSave.

Porządkowanie reguł dostosowywania programu Outlook

Usługa AIP używa numeru seryjnego w wprowadzonym kluczu w celu określenia kolejności przetwarzania reguł. Podczas definiowania kluczy używanych dla każdej reguły zdefiniuj bardziej restrykcyjne reguły z niższymi liczbami, a następnie mniej restrykcyjne reguły z wyższymi liczbami.

Po znalezieniu dopasowania określonej reguły usługa AIP przestaje przetwarzać reguły i wykonuje akcję skojarzona z regułą dopasowania. (Pierwsze dopasowanie — > logika zakończenia )

Przykład:

Załóżmy, że chcesz skonfigurować wszystkie wewnętrzne wiadomości e-mail z określonym komunikatem ostrzegawczym , ale zazwyczaj nie chcesz ich blokować. Jednak chcesz zablokować użytkownikom wysyłanie załączników sklasyfikowanych jako tajne, nawet jako wewnętrzne wiadomości e-mail.

W tym scenariuszu porządkuj klucz reguły Blokuj klucz reguły wpisu tajnego , który jest bardziej szczegółową regułą, przed bardziej ogólnym ostrzeżeniem o kluczu reguły wewnętrznej:

  • W przypadku komunikatu Blokuj : OutlookCollaborationRule_1
  • W przypadku komunikatu Ostrzegaj : OutlookCollaborationRule_2

Składnia .json wartości reguły

Zdefiniuj składnię json reguły w następujący sposób:

"type" : "And",
"nodes" : []

Musisz mieć co najmniej dwa węzły, pierwszy reprezentujący warunek reguły, a ostatni reprezentujący akcję reguły. Aby uzyskać więcej informacji, zobacz:

Składnia warunku reguły

Węzły warunku reguły muszą zawierać typ węzła, a następnie same warunki.

Obsługiwane typy węzłów obejmują:

Typ węzła Opis
I Wykonuje operacje i we wszystkich węzłach podrzędnych
Lub Wykonuje operacje lub we wszystkich węzłach podrzędnych
Nie Wykonuje nie dla własnego elementu podrzędnego
Oprócz Zwraca wartość nie dla własnego elementu podrzędnego, co powoduje, że zachowuje się jako Wszystkie
SentTo, a następnie Domeny: listOfDomains Sprawdza jedną z następujących czynności:
- Jeśli element nadrzędny jest z wyjątkiem, sprawdza, czy wszyscy adresaci znajdują się w jednej z domen
- Jeśli element nadrzędny jest czymkolwiek innym, ale z wyjątkiem, sprawdza, czy którykolwiek z adresatów znajduje się w jednej z domen.
EMailLabel, a następnie etykieta Jeden z poniższych programów:
- Identyfikator etykiety
— wartość null, jeśli nie jest oznaczona etykietą
AttachmentLabel, a następnie Etykieta i obsługiwane rozszerzenia Jeden z poniższych programów:

true:
- Jeśli element nadrzędny jest z wyjątkiem, sprawdza, czy wszystkie załączniki z jednym obsługiwanym rozszerzeniem istnieje w etykiecie
- Jeśli element nadrzędny jest czymkolwiek innym, ale z wyjątkiem, sprawdza, czy w etykiecie istnieje dowolny z załączników z jednym obsługiwanym rozszerzeniem
- Jeśli nie ma etykiety, i etykieta = null

false: w przypadku wszystkich innych przypadków

Uwaga: jeśli właściwość Extensions jest pusta lub jej brakuje, wszystkie obsługiwane typy plików (rozszerzenia) są uwzględnione w regule.

Składnia akcji reguły

Akcje reguły mogą być jedną z następujących czynności:

Akcja Składnia Przykładowy komunikat
Zablokuj Block (List<language, [title, body]>) zablokowane Email

Chcesz wysłać zawartość sklasyfikowaną jako Wpis tajny do co najmniej jednego niezaufanego adresata:
rsinclair@contoso.com

Zasady organizacji nie zezwalają na tę akcję. Rozważ usunięcie tych adresatów lub zastąpienie zawartości.
Ostrzec Warn (List<language,[title,body]>) Wymagane potwierdzenie

Chcesz wysłać zawartość sklasyfikowaną jako Ogólne do co najmniej jednego niezaufanego adresata:
rsinclair@contoso.com

Zasady organizacji wymagają potwierdzenia wysłania tej zawartości.
Uzasadnić Justify (numOfOptions, hasFreeTextOption, List<language, [Title, body, options1,options2….]> )

Obejmuje maksymalnie trzy opcje.
Wymagane uzasadnienie

Zasady organizacji wymagają uzasadnienia wysyłania zawartości sklasyfikowanej jako Ogólne dla niezaufanych adresatów.

- Potwierdzam, że adresaci są zatwierdzani do udostępniania tej zawartości
- Mój menedżer zatwierdził udostępnianie tej zawartości
- Inne, jak wyjaśniono
Parametry akcji

Jeśli dla akcji nie podano żadnych parametrów, wyskakujące okienka będą miały tekst domyślny.

Wszystkie teksty obsługują następujące parametry dynamiczne:

Parametr Opis
${MatchedRecipientsList} Ostatnie dopasowanie warunków SentTo
${MatchedLabelName} Etykieta poczty/załącznika z zlokalizowaną nazwą z zasad
${MatchedAttachmentName} Nazwa załącznika z ostatniego dopasowania warunku AttachmentLabel

Uwaga

Wszystkie komunikaty obejmują opcję Powiedz mi więcej , a także okna dialogowe Pomoc i opinie .

Language to cultureName dla nazwy ustawień regionalnych, na przykład: angielski = en-us; Hiszpański = es-es

Obsługiwane są również nazwy języków tylko dla elementów nadrzędnych, takie jak en tylko.

Przykładowy kod json dostosowywania wyskakującego okienka

Poniższe zestawy kodu json pokazują, jak można zdefiniować różne reguły kontrolujące sposób wyświetlania komunikatów podręcznych przez program Outlook dla użytkowników.

Przykład 1: Blokowanie wewnętrznych wiadomości e-mail lub załączników

Poniższy kod json spowoduje zablokowanie wiadomości e-mail lub załączników sklasyfikowanych jako Wewnętrzne przed ustawieniem adresatów zewnętrznych.

W tym przykładzie 89a453df-5df4-4976-8191-259d0cf9560a jest identyfikatorem etykiety Wewnętrznej , a domeny wewnętrzne obejmują contoso.com i microsoft.com.

Ponieważ nie określono żadnych określonych rozszerzeń, uwzględniane są wszystkie obsługiwane typy plików.

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			  "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel", 			
					"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a" 		
				},{ 					
                    "type" : "EmailLabel", 					
                    "LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a" 				
                }
			]
		},		
        { 			
            "type" : "Block", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Email Blocked", 				  
                    "Body": "The email or at least one of the attachments is classified as <Bold>${MatchedLabelName}</Bold>. Documents classified as <Bold> ${MatchedLabelName}</Bold> cannot be sent to external recipients (${MatchedRecipientsList}).<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance with classification requirements as per Contoso's policies." 				
                }, 				
                "es-es": { 				  
                    "Title": "Correo electrónico bloqueado", 				  
                    "Body": "El correo electrónico o al menos uno de los archivos adjuntos se clasifica como <Bold> ${MatchedLabelName}</Bold>." 				
                } 			
            }, 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

Przykład 2. Blokowanie niesklasyfikowanych załączników pakietu Office

Poniższy kod json blokuje wysyłanie niesklasyfikowanych załączników pakietu Office lub wiadomości e-mail do adresatów zewnętrznych.

W poniższym przykładzie: lista załączników, która wymaga etykietowania: .doc,.docm,.docx,.dot,.dotm,.dotx,.potm,.potx,.pps,.ppsm,.ppsx,.ppt,.pptm,.pptx,.vdw,.vsd,.vsdm,.vsdx,.vss,.vssm,.vst,.vstm,.vssx,.vstx,.xls,.xlsb,.xlt,.xlsm,.xlsx,.xltm,.xltx

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			        "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel",
					 "LabelId" : null,
					"Extensions": [
									".doc",
									".docm",
									".docx",
									".dot",
									".dotm",
									".dotx",
									".potm",
									".potx",
									".pps",
									".ppsm",
									".ppsx",
									".ppt",
									".pptm",
									".pptx",
									".vdw",
									".vsd",
									".vsdm",
									".vsdx",
									".vss",
									".vssm",
									".vst",
									".vstm",
									".vssx",
									".vstx",
									".xls",
									".xlsb",
									".xlt",
									".xlsm",
									".xlsx",
									".xltm",
									".xltx"
								 ]
					
				},{ 					
                    "type" : "EmailLabel",
					 "LabelId" : null
                }
			]
		},		
        { 			
            "type" : "Block", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Emailed Blocked", 				  
                    "Body": "Classification is necessary for attachments to be sent to external recipients.<br><br>List of attachments that are not classified:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br>For MS Office documents, classify and send again.<br><br>For PDF files, classify the document or classify the email (using the most restrictive classification level of any single attachment or the email content) and send again." 				
                }, 				
                "es-es": { 				  
                    "Title": "Correo electrónico bloqueado", 				  
                    "Body": "La clasificación es necesaria para que los archivos adjuntos se envíen a destinatarios externos." 				
                } 			
            }, 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

Przykład 3. Wymaganie od użytkownika zaakceptowania wysyłania poufnej wiadomości e-mail lub załącznika

Poniższy przykład powoduje, że program Outlook wyświetli komunikat ostrzegający użytkownika o wysłaniu poufnej wiadomości e-mail lub załącznika do adresatów zewnętrznych, a także wymaga, aby użytkownik wybrał opcję Akceptuję.

Ten rodzaj komunikatu ostrzegawczego jest technicznie uważany za uzasadnienie, ponieważ użytkownik musi wybrać pozycję Akceptuję.

Ponieważ nie określono żadnych określonych rozszerzeń, uwzględniane są wszystkie obsługiwane typy plików.

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			        "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel", 			
					"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613" 		
				},{ 					
                    "type" : "EmailLabel", 					
                    "LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613" 				
                }
			]
		},		
        { 			
            "type" : "Justify", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Warning", 				  
                    "Body": "You are sending a document that is classified as <Bold>${MatchedLabelName}</Bold> to at least one external recipient. Please make sure that the content is correctly classified and that the recipients are entitled to receive this document.<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><Bold>List of external email addresses:</Bold><br>${MatchedRecipientsList})<br><br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br><Bold>Acknowledgement</Bold><br>By clicking <Bold>I accept</Bold> below, you confirm that the recipient is entitled to receive the content and the communication complies with CS Policies and Standards",
					"Options": [ 						
                        "I accept"			    
                    ] 
                }, 				
                "es-es": { 				  
                    "Title": "Advertencia", 				  
                    "Body": "Está enviando un documento clasificado como <Bold>${MatchedLabelName}</Bold> a al menos un destinatario externo. Asegúrese de que el contenido esté correctamente clasificado y que los destinatarios tengan derecho a recibir este documento.",
                    "Options": [ 						
                        "Acepto"				    
                    ] 					
                } 			
            }, 			
            "HasFreeTextOption":"false", 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

Przykład 4. Ostrzegaj pocztą bez etykiety i załącznik z określoną etykietą

Poniższy kod json powoduje, że program Outlook ostrzega użytkownika, gdy wysyła wewnętrzną wiadomość e-mail, nie ma etykiety z załącznikiem, który ma określoną etykietę.

W tym przykładzie bcbef25a-c4db-446b-9496-1b558d9edd0e jest identyfikatorem etykiety załącznika, a reguła dotyczy plików .docx, .xlsx i .pptx.

Domyślnie wiadomości e-mail z etykietami załączników nie otrzymują automatycznie tej samej etykiety.

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "EmailLabel",
					 "LabelId" : null			
        },
        {
          "type": "AttachmentLabel",
          "LabelId": "bcbef25a-c4db-446b-9496-1b558d9edd0e",
          "Extensions": [
                ".docx",
                ".xlsx",
                ".pptx"
             ]
        },
	{  			
            "type" : "SentTo",  			
            "Domains" : [  				
                "contoso.com", 				
            ]   		
        }, 		
        { 			
            "type" : "Warn"	
        } 	
    ] 
}

Przykład 5: Monituj o uzasadnienie z dwiema wstępnie zdefiniowanymi opcjami i dodatkową opcją wolnego tekstu

Poniższy kod json powoduje, że program Outlook monituje użytkownika o uzasadnienie swojej akcji. Tekst uzasadnienia zawiera dwie wstępnie zdefiniowane opcje, a także trzecią opcję wolnego tekstu.

Ponieważ nie określono żadnych określonych rozszerzeń, uwzględniane są wszystkie obsługiwane typy plików.

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 									
                ]   			
            } 		
        }, 		
        { 			
            "type" : "EmailLabel", 			
            "LabelId" : "34b8beec-40df-4219-9dd4-553e1c8904c1" 		
        }, 		
        { 			
            "type" : "Justify", 			
            "LocalizationData": { 				
                "en-us": { 					
                    "Title": "Justification Required", 					
                    "Body": "Your organization policy requires justification for you to send content classified as <Bold> ${MatchedLabelName}</Bold>,to untrusted recipients:<br>Recipients are: ${MatchedRecipientsList}", 					
                    "Options": [ 						
                        "I confirm the recipients are approved for sharing this content", 					
                        "My manager approved sharing of this content", 						
                        "Other, as explained" 				    
                    ] 				
                }, 				
                "es-es": { 				    
                    "Title": "Justificación necesaria", 				    
                    "Body": "La política de su organización requiere una justificación para que envíe contenido clasificado como <Bold> ${MatchedLabelName}</Bold> a destinatarios que no sean de confianza.", 				    
                    "Options": [ 						
                        "Confirmo que los destinatarios están aprobados para compartir este contenido.",
                        "Mi gerente aprobó compartir este contenido",
                        "Otro, como se explicó" 					
                    ] 				
                } 			
            }, 			
            "HasFreeTextOption":"true", 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

Konfigurowanie limitów czasu programu SharePoint

Domyślnie limit czasu interakcji programu SharePoint wynosi dwie minuty, po którym próba wykonania operacji usługi AIP kończy się niepowodzeniem.

Począwszy od wersji 2.8.85.0, administratorzy usługi AIP mogą kontrolować ten limit czasu przy użyciu następujących właściwości zaawansowanych, używając składni hh:mm:ss do definiowania limitów czasu:

  • SharepointWebRequestTimeout. Określa limit czasu dla wszystkich żądań internetowych usługi AIP do programu SharePoint. Wartość domyślna : 2 minuty.

    Jeśli na przykład zasady mają nazwę Global, następujące przykładowe polecenie programu PowerShell aktualizuje limit czasu żądania internetowego do 5 minut.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}
    
  • SharepointFileWebRequestTimeout. Określa limit czasu dla plików programu SharePoint za pośrednictwem żądań sieci Web usługi AIP. Wartość domyślna : 15 minut

    Jeśli na przykład zasady mają nazwę Global, następujące przykładowe polecenie programu PowerShell aktualizuje limit czasu żądania internetowego pliku do 10 minut.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
    

Unikanie przekroczenia limitu czasu skanera w programie SharePoint

Jeśli masz długie ścieżki plików w programie SharePoint w wersji 2013 lub nowszej, upewnij się, że wartość httpRuntime.maxUrlLength serwera SharePoint jest większa niż domyślna 260 znaków.

Ta wartość jest zdefiniowana w klasie ASP.NETHttpRuntimeSection konfiguracji.

Aby zaktualizować klasę HttpRuntimeSection:

  1. Tworzenie kopii zapasowej konfiguracji web.config .

  2. Zaktualizuj wartość maxUrlLength zgodnie z potrzebami. Przykład:

    <httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000"  />
    
  3. Uruchom ponownie serwer sieci Web programu SharePoint i sprawdź, czy ładuje się poprawnie.

    Na przykład w Menedżerze internetowych serwerów informacji systemu Windows (IIS) wybierz witrynę, a następnie w obszarze Zarządzanie witryną sieci Web wybierz pozycję Uruchom ponownie.

Zapobieganie problemom z wydajnością programu Outlook w przypadku wiadomości e-mail S/MIME

Problemy z wydajnością mogą wystąpić w programie Outlook, gdy wiadomości e-mail S/MIME są otwierane w okienku odczytu. Aby zapobiec tym problemom, włącz właściwość zaawansowaną OutlookSkipSmimeOnReadingPaneEnabled .

Włączenie tej właściwości uniemożliwia pokazywanie paska usługi AIP i klasyfikacji wiadomości e-mail w okienku odczytu.

Jeśli na przykład zasady mają nazwę Global, następujące przykładowe polecenie programu PowerShell włącza właściwość OutlookSkipSmimeOnReadingPaneEnabled :

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookSkipSmimeOnReadingPaneEnabled="true"}

Wyłączanie funkcji śledzenia dokumentów

Domyślnie funkcje śledzenia dokumentów są włączone dla dzierżawy. Aby je wyłączyć, na przykład w przypadku wymagań dotyczących prywatności w organizacji lub regionie, ustaw wartość EnableTrackAndRevoke na wartość False.

Po wyłączeniu dane śledzenia dokumentów nie będą już dostępne w organizacji, a użytkownicy nie będą już widzieć opcji menu Odwołaj w aplikacjach pakietu Office.

Dla wybranych zasad etykiet określ następujące ciągi:

  • Klucz: EnableTrackAndRevoke

  • Wartość: Fałsz

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableTrackAndRevoke="False"}

Po ustawieniu tej wartości na Fałsz śledzenie i odwoływanie jest wyłączone w następujący sposób:

  • Otwieranie chronionych dokumentów za pomocą klienta ujednoliconego etykietowania usługi AIP nie rejestruje już dokumentów do śledzenia i odwoływanie.
  • Użytkownicy końcowi nie będą już widzieć opcji menu Odwoływanie w swoich aplikacjach pakietu Office.

Jednak chronione dokumenty, które są już zarejestrowane do śledzenia, będą nadal śledzone, a administratorzy nadal mogą odwołać dostęp z programu PowerShell. Aby w pełni wyłączyć funkcje śledzenia i odwoływać, uruchom również polecenie cmdlet Disable-AipServiceDocumentTrackingFeature .

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu PowerShell Centrum zgodności zabezpieczeń & .

Porada

Aby włączyć śledzenie i odwoływanie, ustaw właściwość EnableTrackAndRevoke na wartość True, a także uruchom polecenie cmdlet Enable-AipServiceDocumentTrackingFeature .

Wyłącz opcję Odwoływanie dla użytkowników końcowych w aplikacjach pakietu Office

Jeśli nie chcesz, aby użytkownicy końcowi mogli odwoływać dostęp do chronionych dokumentów z aplikacji pakietu Office, możesz usunąć opcję Odwołaj dostęp z aplikacji pakietu Office.

Uwaga

Usunięcie opcji Odwoływanie dostępu nadal zachowuje chronione dokumenty śledzone w tle i zachowuje możliwość odwołania dostępu do dokumentów za pomocą programu PowerShell.

Dla wybranych zasad etykiet określ następujące ciągi:

  • Klucz: EnableRevokeGuiSupport

  • Wartość: Fałsz

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}

Konfigurowanie limitu czasu automatycznego etykietowania w plikach pakietu Office

Domyślnie limit czasu automatycznego etykietowania skanera w plikach pakietu Office wynosi 3 sekundy.

Jeśli masz złożony plik programu Excel z wieloma arkuszami lub wierszami, 3 sekundy może nie wystarczyć do automatycznego stosowania etykiet. Aby zwiększyć ten limit czasu dla wybranych zasad etykiet, określ następujące ciągi:

  • Klucz: OfficeContentExtractionTimeout

  • Wartość: Sekundy w następującym formacie: hh:mm:ss.

Ważne

Zalecamy, aby ten limit czasu nie przekraczał 15 sekund.

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}

Zaktualizowany limit czasu dotyczy automatycznego etykietowania wszystkich plików pakietu Office.

Włączanie funkcji globalizacji klasyfikacji (publiczna wersja zapoznawcza)

Funkcje globalizacji klasyfikacji, w tym zwiększona dokładność języków wschodnioazjatyckich i obsługa znaków dwubajtowych. Te ulepszenia są udostępniane tylko dla procesów 64-bitowych i są domyślnie wyłączone.

Włącz te funkcje dla zasad, aby określić następujące ciągi:

  • Klucz: Włączanie globalizacji

  • Wartość: True

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}

Aby ponownie wyłączyć obsługę i przywrócić wartość domyślną, ustaw ustawienie zaawansowane EnableGlobalization na pusty ciąg.

Następne kroki

Po dostosowaniu klienta ujednoliconego etykietowania usługi Azure Information Protection zapoznaj się z następującymi zasobami, aby uzyskać dodatkowe informacje, które mogą być potrzebne do obsługi tego klienta: