Przewodnik administratora: typy plików obsługiwane przez klienta klasycznego usługi Azure Information Protection
Klient klasyczny usługi Azure Information Protection może zastosować następujące elementy do dokumentów i wiadomości e-mail:
Tylko klasyfikacja
Klasyfikacja i ochrona
Tylko ochrona
Klient usługi Azure Information Protection może również sprawdzić zawartość niektórych typów plików przy użyciu dobrze znanych typów informacji poufnych lub zdefiniowanych wyrażeń regularnych.
Skorzystaj z poniższych informacji, aby sprawdzić, które typy plików obsługuje klient usługi Azure Information Protection, zrozumieć różne poziomy ochrony i jak zmienić domyślny poziom ochrony oraz określić, które pliki są automatycznie wykluczane (pomijane) z klasyfikacji i ochrony.
W przypadku wymienionych typów plików lokalizacje WebDav nie są obsługiwane.
Typy plików, dla których jest obsługiwana tylko klasyfikacja
Następujące typy plików można sklasyfikować nawet wtedy, gdy nie są chronione.
Adobe Portable Document Format: .pdf
Microsoft Project: .mpp, .mpt
Microsoft Publisher: .pub
Microsoft XPS: .xps .oxps
Obrazy: .jpg, .jpe, .jpeg, .jif, .jfif, .jfif. png, .tif, .tiff
Autodesk Design Review 2013: .dwfx
Adobe Photoshop: .psd
Digital Negative: .dng
Microsoft Office: Typy plików w poniższej tabeli.
Obsługiwane formaty plików dla tych typów plików to formaty plików 97-2003 i formaty Office Open XML dla następujących programów Office: Word, Excel i PowerPoint.
typ pliku Office typ pliku Office doc
docm
docx
dot
dotm
dotx
potm
potx
pps
ppsm
ppsx
ppt
pptm
pptx
.vdw
.vsd.vsdm
.vsdx
.vss
.vssm
.vst
.vstm
.vssx
.vstx
xls
xlsb
xlt
xlsm
xlsx
xltm
xltx
Dodatkowe typy plików obsługują klasyfikację, gdy są one również chronione. Aby uzyskać informacje o tych typach plików, zobacz sekcję Obsługiwane typy plików dla klasyfikacji i ochrony .
Na przykład w bieżących zasadach domyślnych etykieta Ogólna stosuje klasyfikację i nie stosuje ochrony. Można zastosować etykietę Ogólne do pliku o nazwie sales.pdf, ale nie można zastosować tej etykiety do pliku o nazwie sales.txt.
Również w bieżących zasadach domyślnych poufne \ Wszyscy pracownicy stosuje klasyfikację i ochronę. Tę etykietę można zastosować do pliku o nazwie sales.pdf i pliku o nazwie sales.txt. Można również zastosować tylko ochronę do tych plików bez klasyfikacji.
Typy plików, dla których jest obsługiwana ochrona
Klient usługi Azure Information Protection obsługuje ochronę na dwóch różnych poziomach, jak opisano w poniższej tabeli.
Typ ochrony | Natywna | Ogólny |
---|---|---|
Opis | W przypadku plików tekstowych, obrazów, plików pakietu Microsoft Office (Word, Excel, PowerPoint), plików pdf oraz innych typów plików aplikacji obsługujących usługę Rights Management ochrona natywna zapewnia silny poziom ochrony obejmujący szyfrowanie i wymuszanie praw (uprawnień). | W przypadku innych obsługiwanych typów plików ogólna ochrona zapewnia poziom ochrony, który obejmuje hermetyzację plików przy użyciu typu pliku pfile i uwierzytelniania w celu sprawdzenia, czy użytkownik ma uprawnienia do otwierania pliku. |
Ochrona | Ochrona plików jest wymuszana w następujący sposób: — Przed wyświetleniem chronionej zawartości musi nastąpić pomyślne uwierzytelnienie użytkowników odbierających plik pocztą e-mail lub mających dostęp do niego za pośrednictwem uprawnień do pliku lub uprawnień udziału. — Ponadto prawa użytkowania i zasady ustawione przez właściciela zawartości, gdy pliki były chronione, są wymuszane, gdy zawartość jest renderowana w przeglądarce usługi Azure Information Protection (dla chronionych plików tekstowych i obrazów) lub skojarzonej aplikacji (dla wszystkich innych obsługiwanych typów plików). |
Ochrona plików jest wymuszana w następujący sposób: - Przed renderowaniem chronionej zawartości musi nastąpić pomyślne uwierzytelnienie dla osób, które mają uprawnienia do otwierania pliku i uzyskiwania do niego dostępu. W przypadku niepowodzenia autoryzacji plik nie jest otwierany. — Prawa do użytkowania i zasady ustawiane przez właściciela zawartości są wyświetlane, aby informować autoryzowanych użytkowników o zamierzonych zasadach użytkowania. — Rejestrowana jest inspekcja autoryzowanych użytkowników otwierających pliki i uzyskujących do nich dostęp. Jednak prawa użytkowania nie są wymuszane. |
Domyślny dla typów plików | Jest to domyślny poziom ochrony dla następujących typów plików: — Pliki tekstowe i pliki obrazów — Pliki pakietu Microsoft Office (programów Word, Excel i PowerPoint) — Pliki w formacie Portable Document Format (pdf) Więcej informacji znajduje się w sekcji Typy plików, dla których jest obsługiwana klasyfikacja i ochrona. |
Jest to domyślna ochrona dla wszystkich pozostałych typów plików (takich jak vsdx, rtf itd.), które nie są obsługiwane w ramach ochrony natywnej. |
Domyślny poziom ochrony stosowany przez klienta usługi Azure Information Protection można zmienić. Poziom domyślny można zmienić z natywnego na ogólny, z ogólnego na natywny, a nawet zupełnie uniemożliwić ochronę ze strony klienta usługi Azure Information Protection. Aby uzyskać więcej informacji, zobacz sekcję Zmiana domyślnego poziomu ochrony plików w tym artykule.
Tę ochronę danych można zastosować automatycznie po wybraniu etykiety, która została skonfigurowana przez administratora, lub można określić własne ustawienia ochrony za pomocą poziomów uprawnień.
Rozmiary plików, dla których jest obsługiwana ochrona
Istnieją określone maksymalne rozmiary plików, dla których klient usługi Azure Information Protection obsługuje funkcje ochrony.
W przypadku plików Office:
Aplikacje pakietu Office Maksymalny rozmiar obsługiwanego pliku Word 2007 (obsługiwane tylko przez usługi AD RMS)
Word 2010
Word 2013
Word 201632-bitowe: 512 MB
64-bitowe: 512 MBExcel 2007 (obsługiwane tylko przez usługi AD RMS)
Excel 2010
Excel 2013
Excel 201632-bitowe: 2 GB
64-bitowe: ograniczony tylko ilością dostępnego miejsca na dysku i pamięciPowerPoint 2007 (obsługiwane tylko przez usługi AD RMS)
PowerPoint 2010
PowerPoint 2013
PowerPoint 201632-bitowe: ograniczony tylko ilością dostępnego miejsca na dysku i pamięci
64-bitowe: ograniczony tylko ilością dostępnego miejsca na dysku i pamięciWszystkie inne pliki:
Aby chronić inne typy plików i otworzyć te typy plików w przeglądarce usługi Azure Information Protection: Maksymalny rozmiar pliku jest ograniczony tylko przez dostępne miejsce na dysku i pamięć.
Aby wyłączyć ochronę plików przy użyciu polecenia cmdlet Unprotect-RMSFile : maksymalny rozmiar pliku obsługiwany dla plików pst wynosi 5 GB. Inne typy plików są ograniczone tylko przez dostępne miejsce na dysku i pamięć
Porada
Jeśli musisz wyszukać lub odzyskać chronione elementy w dużych plikach pst, zobacz Usuwanie ochrony w plikach PST.
Typy plików, dla których jest obsługiwana klasyfikacja i ochrona
W poniższej tabeli wymieniono podzbiór typów plików, które obsługują ochronę natywną przez klienta usługi Azure Information Protection oraz które także mogą być klasyfikowane.
Te typy plików są identyfikowane oddzielnie, ponieważ jeśli są objęte ochroną natywną, oryginalne rozszerzenie nazwy pliku jest zmieniane, a pliki stają się plikami tylko do odczytu. W przypadku plików objętych ochroną ogólną oryginalne rozszerzenie nazwy pliku w każdej sytuacji zostaje zmienione na pfile.
Ostrzeżenie
Jeśli masz zapory, serwery proxy sieci Web lub oprogramowanie zabezpieczające, które sprawdza i podejmuje działania zgodnie z rozszerzeniami nazw plików, może być konieczne ponowne skonfigurowanie tych urządzeń sieciowych i oprogramowania w celu obsługi tych nowych rozszerzeń nazw plików.
Oryginalne rozszerzenie nazwy pliku | Chronione rozszerzenie nazwy pliku |
---|---|
txt | ptxt |
xml | pxml |
jpg | pjpg |
jpeg | pjpeg |
.ppdf [1] | |
png | ppng |
tif | ptif |
tiff | ptiff |
bmp | pbmp |
gif | pgif |
jpe | pjpe |
jfif | pjfif |
jt | pjt |
Przypis 1
Najnowsza wersja klienta usługi Azure Information Protection domyślnie rozszerzenie nazwy pliku chronionego dokumentu PDF pozostaje .pdf.
W poniższej tabeli wymieniono pozostałe typy plików, które obsługują ochronę natywną przez klienta usługi Azure Information Protection oraz które także mogą być klasyfikowane. Są to typy plików aplikacji pakietu Microsoft Office. Obsługiwane formaty plików dla tych typów plików to formaty plików 97-2003 i formaty Office Open XML dla następujących programów Office: Word, Excel i PowerPoint.
Rozszerzenia nazw tych plików nie zmieniają się po objęciu plików ochroną przez usługę Rights Management.
Typy plików obsługiwanych przez pakiet Office | Typy plików obsługiwanych przez pakiet Office |
---|---|
doc docm docx dot dotm dotx potm potx pps ppsm ppsx ppt pptm pptx .vsdm |
.vsdx .vssm .vssx .vstm .vstx xla xlam xls xlsb xlt xlsm xlsx xltm xltx xps |
Zmiana domyślnego poziomu ochrony plików
Edytując rejestr, możesz zmienić sposób ochrony plików przez klienta usługi Azure Information Protection. Możesz na przykład wymusić, aby pliki obsługujące ochronę natywną były objęte ochroną ogólną przez klienta usługi Azure Information Protection.
W jakich sytuacjach warto to zrobić:
Aby upewnić się, że wszyscy użytkownicy mogą otworzyć plik, jeśli nie mają aplikacji obsługującej ochronę natywną.
Jeśli chcesz rozwiązać problem dotyczący systemów zabezpieczeń, które podejmują działania względem plików na podstawie ich rozszerzeń nazw i które można tak skonfigurować, aby uwzględniały rozszerzenie nazwy pliku pfile, ale nie wiele rozszerzeń nazw plików w ramach ochrony natywnej.
Analogicznie można wymusić stosowanie przez klienta usługi Azure Information Protection do ochrony natywnej plików, które domyślnie byłyby chronione w sposób ogólny. Ta akcja może być odpowiednia, jeśli masz aplikację, która obsługuje interfejsy API usługi RMS. Na przykład aplikacja biznesowa napisana przez deweloperów wewnętrznych lub aplikację kupioną od niezależnego dostawcy oprogramowania (ISV).
Możesz też wymusić blokowanie ochrony plików przez klienta usługi Azure Information Protection. Wówczas nie jest stosowana ani ochrona natywna, ani ogólna. Na przykład ta akcja może być wymagana, jeśli masz zautomatyzowaną aplikację lub usługę, która musi mieć możliwość otwarcia określonego pliku w celu przetworzenia jego zawartości. Jeśli zablokujesz ochronę określonego typu plików, użytkownicy nie mogą ochronić plików tego typu za pomocą klienta usługi Azure Information Protection. Jeśli ktoś spróbuje to zrobić, zobaczy komunikat informujący o zablokowaniu przez administratora możliwości ochrony i będzie musiał zrezygnować z tego działania.
W celu skonfigurowania klienta usługi Azure Information Protection w taki sposób, aby była stosowana ogólna ochrona wszystkich plików, które domyślnie są chronione natywnie, wprowadź w rejestrze następujące zmiany. Jeśli klucz FileProtection nie istnieje, należy utworzyć go ręcznie.
Utwórz nowy klucz o nazwie * dla następującej ścieżki rejestru, który oznacza pliki z dowolnym rozszerzeniem nazwy:
Dla 32-bitowych wersji systemu Windows: HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection
W przypadku 64-bitowej wersji Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\FileProtection i HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection
W nowo dodanym kluczu (na przykład HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\*) utwórz nową wartość ciągu (REG_SZ) o nazwie Encryption z wartością danych Pfile.
To ustawienie powoduje stosowanie ochrony ogólnej przez klienta usługi Azure Information Protection.
Te dwa ustawienia powodują, że klient usługi Azure Information Protection stosuje ochronę ogólną do wszystkich plików mających rozszerzenie nazwy pliku. Jeśli taki był Twój cel, nie trzeba już nic konfigurować. Możesz jednak zdefiniować wyjątki dla określonych typów plików, aby nadal były objęte ochroną natywną. W tym celu należy wprowadzić trzy (dla 32-bitowej Windows) lub 6 (dla 64-bitowej Windows) dodatkowe zmiany rejestru dla każdego typu pliku:
W przypadku HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection i HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\FileProtection (jeśli dotyczy): dodaj nowy klucz, który ma nazwę rozszerzenia nazwy pliku (bez wcześniejszego okresu).
Na przykład w przypadku plików z rozszerzeniem nazwy pliku docx utwórz klucz o nazwie DOCX.
W nowo dodanym kluczu typu pliku (np. HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\DOCX) utwórz nową wartość DWORD o nazwie AllowPFILEEncryption z wartością 0.
W nowo dodanym kluczu typu pliku (np. HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\DOCX) utwórz nową wartość ciągu o nazwie Encryption z wartością Native.
W wyniku tych ustawień wszystkie pliki są objęte ochroną ogólną, z wyjątkiem plików, które mają rozszerzenie nazwy pliku .docx. Te pliki są natywnie chronione przez klienta usługi Azure Information Protection.
Powtórz te trzy kroki dla innych typów plików, które chcesz zdefiniować jako wyjątki objęte ochronę natywną i nie chcesz, aby były objęte ochroną ogólną przez klienta usługi Azure Information Protection.
Podobne zmiany w rejestrze możesz wprowadzić w innych sytuacjach, zmieniając wartość ciągu Encryption obsługującego następujące wartości:
Pfile: ogólna ochrona
Native: ochrona natywna
Off: blokowanie ochrony
Po wprowadzeniu tych zmian rejestru nie ma potrzeby ponownego uruchamiania komputera. Jeśli jednak używasz poleceń programu PowerShell do ochrony plików, musisz uruchomić nową sesję programu PowerShell, aby zmiany zaczęły obowiązywać.
W tej dokumentacji dla deweloperów ochrona ogólna jest określana jako „PFile”.
Typy plików wykluczone z klasyfikacji i ochrony
Aby uniemożliwić użytkownikom zmianę plików, które są krytyczne dla działania komputera, niektóre typy plików i folderów są automatycznie wykluczone z ochrony i klasyfikacji. Jeśli użytkownicy spróbują sklasyfikować lub chronić te pliki przy użyciu klienta usługi Azure Information Protection, zobaczą komunikat o wykluczeniu.
Wykluczone typy plików: lnk, .exe, .com, .cmd, .bat, .dll, .ini, pst, .sca, .drm, .sys, .cpl, .inf, .drv, .dat, .tmp, .msg,.msp, .msi, .pdb, .jar
Wykluczone foldery :
- Windows
- Program Files (\Program Files i \Program Files (x86))
- \ProgramData
- \AppData (dla wszystkich użytkowników)
Typy plików wykluczone z klasyfikacji i ochrony przez skaner usługi Azure Information Protection
Domyślnie skaner wyklucza również te same typy plików co klient usługi Azure Information Protection z następującymi wyjątkami:
- Pliki rtf i .rar również są wykluczane
Można zmienić typy plików dołączone lub wykluczone do inspekcji plików przez skaner:
- Skonfiguruj typy plików do skanowania w profilu skanera przy użyciu Azure Portal.
Uwaga
Jeśli dołączysz pliki rtf do skanowania, uważnie monitoruj skaner. Niektórych plików rtf nie można pomyślnie sprawdzić za pomocą skanera i w przypadku tych plików inspekcja nie została ukończona i należy ponownie uruchomić usługę.
Domyślnie skaner chroni tylko Office typów plików i plików PDF, gdy są chronione przy użyciu standardu ISO szyfrowania PDF. Aby zmienić to zachowanie skanera, zmodyfikuj rejestr i określ dodatkowe typy plików, które mają być chronione. Aby uzyskać instrukcje, zobacz Używanie rejestru do zmiany typów plików chronionych za pomocą instrukcji wdrażania skanera.
Pliki, których nie można chronić domyślnie
Żaden plik chroniony hasłem nie może być natywnie chroniony przez klienta usługi Azure Information Protection, chyba że plik jest obecnie otwarty w aplikacji, która stosuje ochronę. Najczęściej widzisz pliki PDF chronione hasłem, ale inne aplikacje, takie jak aplikacje Office, również oferują tę funkcję.
Jeśli zmienisz domyślne zachowanie klienta usługi Azure Information Protection tak, aby chroniło pliki PDF przy użyciu rozszerzenia nazwy pliku ppdf, klient nie może natywnie chronić ani wyłączać ochrony plików PDF w jednej z następujących sytuacji:
Plik PDF, który jest oparty na formularzach.
Chroniony plik PDF z rozszerzeniem nazwy pliku .pdf.
Klient usługi Azure Information Protection może chronić niechroniony plik PDF i może wyłączyć ochronę chronionego pliku PDF i ponownie go włączyć, gdy ma rozszerzenie nazwy pliku ppdf.
Ograniczenia dotyczące plików kontenera, takich jak pliki .zip
Aby uzyskać więcej informacji, zobacz kolekcję ograniczeń usługi Azure Information Protection.
Typy plików obsługiwane do inspekcji
Bez dodatkowej konfiguracji klient usługi Azure Information Protection używa Windows IFilter do sprawdzania zawartości dokumentów. Windows IFilter jest używany przez usługę Windows Wyszukiwanie indeksowania. W związku z tym następujące typy plików można sprawdzić podczas korzystania ze skanera usługi Azure Information Protection lub polecenia Set-AIPFileClassification programu PowerShell.
Typ aplikacji | Typ pliku |
---|---|
Word | .doc; docx; .docm; .dot; .dotm; .dotx |
Excel | .xls; .xlt; .xlsx; .xltx; .xltm; .xlsm; .xlsb |
PowerPoint | .ppt; pps; .pot; .pptx; ppsx; pptm; ppsm; .potx; .potm |
Tekst | .txt; .xml; .csv |
W przypadku dodatkowej konfiguracji można również sprawdzić inne typy plików. Można na przykład zarejestrować niestandardowe rozszerzenie nazwy pliku, aby użyć istniejącego programu obsługi filtrów Windows dla plików tekstowych, a także zainstalować dodatkowe filtry od dostawców oprogramowania.
Aby sprawdzić, jakie filtry są zainstalowane, zobacz sekcję Znajdowanie programu obsługi filtrów dla danego rozszerzenia pliku w przewodniku dewelopera wyszukiwania Windows.
Poniższe sekcje zawierają instrukcje konfiguracji dotyczące inspekcji plików .zip i plików tiff.
Aby sprawdzić pliki .zip
Skaner usługi Azure Information Protection i polecenie Set-AIPFileClassification programu PowerShell mogą sprawdzać .zip plików, wykonując następujące instrukcje:
Na komputerze z uruchomionym skanerem lub sesją programu PowerShell zainstaluj pakiet filtrów programu Office 2010 z dodatkiem SP2.
W przypadku skanera: po znalezieniu informacji poufnych, jeśli plik .zip powinien zostać sklasyfikowany i chroniony etykietą, dodaj wpis rejestru dla tego rozszerzenia nazwy pliku, aby mieć ochronę ogólną (pfile), zgodnie z opisem w temacie Używanie rejestru do zmiany typów plików chronionych przez instrukcje wdrażania skanera.
Przykładowy scenariusz po wykonaniu tych kroków:
Plik o nazwie accounts.zip zawiera arkusze kalkulacyjne Excel z numerami kart kredytowych. Zasady usługi Azure Information Protection mają etykietę o nazwie Poufne \ Finanse, która jest skonfigurowana do odnajdywania numerów kart kredytowych i automatycznie stosuje etykietę z ochroną, która ogranicza dostęp do grupy Finanse.
Po sprawdzeniu pliku skaner klasyfikuje ten plik jako Poufne \ Finanse, stosuje ochronę ogólną do pliku, tak aby tylko członkowie grup finanse mogli go rozpakuć i zmieniać nazwę pliku accounts.zip.pfile.
Aby sprawdzić pliki tiff przy użyciu optycznego rozpoznawania znaków
Skaner usługi Azure Information Protection i polecenie Set-AIPFileClassiciation programu PowerShell mogą używać optycznego rozpoznawania znaków (OCR) do inspekcji obrazów TIFF z rozszerzeniem nazwy pliku tiff podczas instalowania funkcji Windows TIFF IFilter, a następnie skonfigurować Windows TIFF IFilter Ustawienia na komputerze z uruchomionym skanerem lub sesją programu PowerShell.
W przypadku skanera: po znalezieniu poufnych informacji, jeśli plik tiff powinien zostać sklasyfikowany i chroniony etykietą, dodaj wpis rejestru dla tego rozszerzenia nazwy pliku, aby zapewnić ochronę natywną, zgodnie z opisem w temacie Używanie rejestru do zmiany typów plików chronionych przez instrukcje wdrażania skanera.
Następne kroki
Po zidentyfikowaniu typów plików obsługiwanych przez klienta usługi Azure Information Protection zapoznaj się z następującymi zasobami, aby uzyskać dodatkowe informacje, które mogą być potrzebne do obsługi tego klienta: