Przewodnik administratora: typy plików obsługiwane przez klienta klasycznego usługi Azure Information Protection

  • Artykuł

Klient klasyczny usługi Azure Information Protection może zastosować następujące elementy do dokumentów i wiadomości e-mail:

  • Tylko klasyfikacja

  • Klasyfikacja i ochrona

  • Tylko ochrona

Klient usługi Azure Information Protection może również sprawdzić zawartość niektórych typów plików przy użyciu dobrze znanych typów informacji poufnych lub zdefiniowanych wyrażeń regularnych.

Skorzystaj z poniższych informacji, aby sprawdzić, które typy plików obsługuje klient usługi Azure Information Protection, zrozumieć różne poziomy ochrony i jak zmienić domyślny poziom ochrony oraz określić, które pliki są automatycznie wykluczane (pomijane) z klasyfikacji i ochrony.

W przypadku wymienionych typów plików lokalizacje WebDav nie są obsługiwane.

Typy plików, dla których jest obsługiwana tylko klasyfikacja

Następujące typy plików można sklasyfikować nawet wtedy, gdy nie są chronione.

  • Adobe Portable Document Format: .pdf

  • Microsoft Project: .mpp, .mpt

  • Microsoft Publisher: .pub

  • Microsoft XPS: .xps .oxps

  • Obrazy: .jpg, .jpe, .jpeg, .jif, .jfif, .jfif. png, .tif, .tiff

  • Autodesk Design Review 2013: .dwfx

  • Adobe Photoshop: .psd

  • Digital Negative: .dng

  • Microsoft Office: Typy plików w poniższej tabeli.

    Obsługiwane formaty plików dla tych typów plików to formaty plików 97-2003 i formaty Office Open XML dla następujących programów Office: Word, Excel i PowerPoint.

    typ pliku Office typ pliku Office
    doc

    docm

    docx

    dot

    dotm

    dotx

    potm

    potx

    pps

    ppsm

    ppsx

    ppt

    pptm

    pptx

    .vdw

    .vsd    		 .vsdm

    .vsdx

    .vss

    .vssm

    .vst

    .vstm

    .vssx

    .vstx

    xls

    xlsb

    xlt

    xlsm

    xlsx

    xltm

    xltx

Dodatkowe typy plików obsługują klasyfikację, gdy są one również chronione. Aby uzyskać informacje o tych typach plików, zobacz sekcję Obsługiwane typy plików dla klasyfikacji i ochrony .

Na przykład w bieżących zasadach domyślnych etykieta Ogólna stosuje klasyfikację i nie stosuje ochrony. Można zastosować etykietę Ogólne do pliku o nazwie sales.pdf, ale nie można zastosować tej etykiety do pliku o nazwie sales.txt.

Również w bieżących zasadach domyślnych poufne \ Wszyscy pracownicy stosuje klasyfikację i ochronę. Tę etykietę można zastosować do pliku o nazwie sales.pdf i pliku o nazwie sales.txt. Można również zastosować tylko ochronę do tych plików bez klasyfikacji.

Typy plików, dla których jest obsługiwana ochrona

Klient usługi Azure Information Protection obsługuje ochronę na dwóch różnych poziomach, jak opisano w poniższej tabeli.

Typ ochrony Natywna Ogólny
Opis W przypadku plików tekstowych, obrazów, plików pakietu Microsoft Office (Word, Excel, PowerPoint), plików pdf oraz innych typów plików aplikacji obsługujących usługę Rights Management ochrona natywna zapewnia silny poziom ochrony obejmujący szyfrowanie i wymuszanie praw (uprawnień). W przypadku innych obsługiwanych typów plików ogólna ochrona zapewnia poziom ochrony, który obejmuje hermetyzację plików przy użyciu typu pliku pfile i uwierzytelniania w celu sprawdzenia, czy użytkownik ma uprawnienia do otwierania pliku.
Ochrona Ochrona plików jest wymuszana w następujący sposób:

— Przed wyświetleniem chronionej zawartości musi nastąpić pomyślne uwierzytelnienie użytkowników odbierających plik pocztą e-mail lub mających dostęp do niego za pośrednictwem uprawnień do pliku lub uprawnień udziału.

— Ponadto prawa użytkowania i zasady ustawione przez właściciela zawartości, gdy pliki były chronione, są wymuszane, gdy zawartość jest renderowana w przeglądarce usługi Azure Information Protection (dla chronionych plików tekstowych i obrazów) lub skojarzonej aplikacji (dla wszystkich innych obsługiwanych typów plików).		 Ochrona plików jest wymuszana w następujący sposób:

- Przed renderowaniem chronionej zawartości musi nastąpić pomyślne uwierzytelnienie dla osób, które mają uprawnienia do otwierania pliku i uzyskiwania do niego dostępu. W przypadku niepowodzenia autoryzacji plik nie jest otwierany.

— Prawa do użytkowania i zasady ustawiane przez właściciela zawartości są wyświetlane, aby informować autoryzowanych użytkowników o zamierzonych zasadach użytkowania.

— Rejestrowana jest inspekcja autoryzowanych użytkowników otwierających pliki i uzyskujących do nich dostęp. Jednak prawa użytkowania nie są wymuszane.
Domyślny dla typów plików Jest to domyślny poziom ochrony dla następujących typów plików:

— Pliki tekstowe i pliki obrazów

— Pliki pakietu Microsoft Office (programów Word, Excel i PowerPoint)

— Pliki w formacie Portable Document Format (pdf)

Więcej informacji znajduje się w sekcji Typy plików, dla których jest obsługiwana klasyfikacja i ochrona.		 Jest to domyślna ochrona dla wszystkich pozostałych typów plików (takich jak vsdx, rtf itd.), które nie są obsługiwane w ramach ochrony natywnej.

Domyślny poziom ochrony stosowany przez klienta usługi Azure Information Protection można zmienić. Poziom domyślny można zmienić z natywnego na ogólny, z ogólnego na natywny, a nawet zupełnie uniemożliwić ochronę ze strony klienta usługi Azure Information Protection. Aby uzyskać więcej informacji, zobacz sekcję Zmiana domyślnego poziomu ochrony plików w tym artykule.

Tę ochronę danych można zastosować automatycznie po wybraniu etykiety, która została skonfigurowana przez administratora, lub można określić własne ustawienia ochrony za pomocą poziomów uprawnień.

Rozmiary plików, dla których jest obsługiwana ochrona

Istnieją określone maksymalne rozmiary plików, dla których klient usługi Azure Information Protection obsługuje funkcje ochrony.

  • W przypadku plików Office:

    Aplikacje pakietu Office Maksymalny rozmiar obsługiwanego pliku
    Word 2007 (obsługiwane tylko przez usługi AD RMS)

    Word 2010

    Word 2013

    Word 2016    		 32-bitowe: 512 MB

    64-bitowe: 512 MB
    Excel 2007 (obsługiwane tylko przez usługi AD RMS)

    Excel 2010

    Excel 2013

    Excel 2016    		 32-bitowe: 2 GB

    64-bitowe: ograniczony tylko ilością dostępnego miejsca na dysku i pamięci
    PowerPoint 2007 (obsługiwane tylko przez usługi AD RMS)

    PowerPoint 2010

    PowerPoint 2013

    PowerPoint 2016    		 32-bitowe: ograniczony tylko ilością dostępnego miejsca na dysku i pamięci

    64-bitowe: ograniczony tylko ilością dostępnego miejsca na dysku i pamięci

  • Wszystkie inne pliki:

    • Aby chronić inne typy plików i otworzyć te typy plików w przeglądarce usługi Azure Information Protection: Maksymalny rozmiar pliku jest ograniczony tylko przez dostępne miejsce na dysku i pamięć.

    • Aby wyłączyć ochronę plików przy użyciu polecenia cmdlet Unprotect-RMSFile : maksymalny rozmiar pliku obsługiwany dla plików pst wynosi 5 GB. Inne typy plików są ograniczone tylko przez dostępne miejsce na dysku i pamięć

      Porada

      Jeśli musisz wyszukać lub odzyskać chronione elementy w dużych plikach pst, zobacz Usuwanie ochrony w plikach PST.

Typy plików, dla których jest obsługiwana klasyfikacja i ochrona

W poniższej tabeli wymieniono podzbiór typów plików, które obsługują ochronę natywną przez klienta usługi Azure Information Protection oraz które także mogą być klasyfikowane.

Te typy plików są identyfikowane oddzielnie, ponieważ jeśli są objęte ochroną natywną, oryginalne rozszerzenie nazwy pliku jest zmieniane, a pliki stają się plikami tylko do odczytu. W przypadku plików objętych ochroną ogólną oryginalne rozszerzenie nazwy pliku w każdej sytuacji zostaje zmienione na pfile.

Ostrzeżenie

Jeśli masz zapory, serwery proxy sieci Web lub oprogramowanie zabezpieczające, które sprawdza i podejmuje działania zgodnie z rozszerzeniami nazw plików, może być konieczne ponowne skonfigurowanie tych urządzeń sieciowych i oprogramowania w celu obsługi tych nowych rozszerzeń nazw plików.

Oryginalne rozszerzenie nazwy pliku Chronione rozszerzenie nazwy pliku
txt ptxt
xml pxml
jpg pjpg
jpeg pjpeg
pdf .ppdf [1]
png ppng
tif ptif
tiff ptiff
bmp pbmp
gif pgif
jpe pjpe
jfif pjfif
jt pjt
Przypis 1

Najnowsza wersja klienta usługi Azure Information Protection domyślnie rozszerzenie nazwy pliku chronionego dokumentu PDF pozostaje .pdf.

W poniższej tabeli wymieniono pozostałe typy plików, które obsługują ochronę natywną przez klienta usługi Azure Information Protection oraz które także mogą być klasyfikowane. Są to typy plików aplikacji pakietu Microsoft Office. Obsługiwane formaty plików dla tych typów plików to formaty plików 97-2003 i formaty Office Open XML dla następujących programów Office: Word, Excel i PowerPoint.

Rozszerzenia nazw tych plików nie zmieniają się po objęciu plików ochroną przez usługę Rights Management.

Typy plików obsługiwanych przez pakiet Office Typy plików obsługiwanych przez pakiet Office
doc

docm

docx

dot

dotm

dotx

potm

potx

pps

ppsm

ppsx

ppt

pptm

pptx

.vsdm		 .vsdx

.vssm

.vssx

.vstm

.vstx

xla

xlam

xls

xlsb

xlt

xlsm

xlsx

xltm

xltx

xps

Zmiana domyślnego poziomu ochrony plików

Edytując rejestr, możesz zmienić sposób ochrony plików przez klienta usługi Azure Information Protection. Możesz na przykład wymusić, aby pliki obsługujące ochronę natywną były objęte ochroną ogólną przez klienta usługi Azure Information Protection.

W jakich sytuacjach warto to zrobić:

  • Aby upewnić się, że wszyscy użytkownicy mogą otworzyć plik, jeśli nie mają aplikacji obsługującej ochronę natywną.

  • Jeśli chcesz rozwiązać problem dotyczący systemów zabezpieczeń, które podejmują działania względem plików na podstawie ich rozszerzeń nazw i które można tak skonfigurować, aby uwzględniały rozszerzenie nazwy pliku pfile, ale nie wiele rozszerzeń nazw plików w ramach ochrony natywnej.

Analogicznie można wymusić stosowanie przez klienta usługi Azure Information Protection do ochrony natywnej plików, które domyślnie byłyby chronione w sposób ogólny. Ta akcja może być odpowiednia, jeśli masz aplikację, która obsługuje interfejsy API usługi RMS. Na przykład aplikacja biznesowa napisana przez deweloperów wewnętrznych lub aplikację kupioną od niezależnego dostawcy oprogramowania (ISV).

Możesz też wymusić blokowanie ochrony plików przez klienta usługi Azure Information Protection. Wówczas nie jest stosowana ani ochrona natywna, ani ogólna. Na przykład ta akcja może być wymagana, jeśli masz zautomatyzowaną aplikację lub usługę, która musi mieć możliwość otwarcia określonego pliku w celu przetworzenia jego zawartości. Jeśli zablokujesz ochronę określonego typu plików, użytkownicy nie mogą ochronić plików tego typu za pomocą klienta usługi Azure Information Protection. Jeśli ktoś spróbuje to zrobić, zobaczy komunikat informujący o zablokowaniu przez administratora możliwości ochrony i będzie musiał zrezygnować z tego działania.

W celu skonfigurowania klienta usługi Azure Information Protection w taki sposób, aby była stosowana ogólna ochrona wszystkich plików, które domyślnie są chronione natywnie, wprowadź w rejestrze następujące zmiany. Jeśli klucz FileProtection nie istnieje, należy utworzyć go ręcznie.

  1. Utwórz nowy klucz o nazwie * dla następującej ścieżki rejestru, który oznacza pliki z dowolnym rozszerzeniem nazwy:

    • Dla 32-bitowych wersji systemu Windows: HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection

    • W przypadku 64-bitowej wersji Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\FileProtection i HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection

  2. W nowo dodanym kluczu (na przykład HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\*) utwórz nową wartość ciągu (REG_SZ) o nazwie Encryption z wartością danych Pfile.

    To ustawienie powoduje stosowanie ochrony ogólnej przez klienta usługi Azure Information Protection.

Te dwa ustawienia powodują, że klient usługi Azure Information Protection stosuje ochronę ogólną do wszystkich plików mających rozszerzenie nazwy pliku. Jeśli taki był Twój cel, nie trzeba już nic konfigurować. Możesz jednak zdefiniować wyjątki dla określonych typów plików, aby nadal były objęte ochroną natywną. W tym celu należy wprowadzić trzy (dla 32-bitowej Windows) lub 6 (dla 64-bitowej Windows) dodatkowe zmiany rejestru dla każdego typu pliku:

  1. W przypadku HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection i HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\FileProtection (jeśli dotyczy): dodaj nowy klucz, który ma nazwę rozszerzenia nazwy pliku (bez wcześniejszego okresu).

    Na przykład w przypadku plików z rozszerzeniem nazwy pliku docx utwórz klucz o nazwie DOCX.

  2. W nowo dodanym kluczu typu pliku (np. HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\DOCX) utwórz nową wartość DWORD o nazwie AllowPFILEEncryption z wartością 0.

  3. W nowo dodanym kluczu typu pliku (np. HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\DOCX) utwórz nową wartość ciągu o nazwie Encryption z wartością Native.

W wyniku tych ustawień wszystkie pliki są objęte ochroną ogólną, z wyjątkiem plików, które mają rozszerzenie nazwy pliku .docx. Te pliki są natywnie chronione przez klienta usługi Azure Information Protection.

Powtórz te trzy kroki dla innych typów plików, które chcesz zdefiniować jako wyjątki objęte ochronę natywną i nie chcesz, aby były objęte ochroną ogólną przez klienta usługi Azure Information Protection.

Podobne zmiany w rejestrze możesz wprowadzić w innych sytuacjach, zmieniając wartość ciągu Encryption obsługującego następujące wartości:

  • Pfile: ogólna ochrona

  • Native: ochrona natywna

  • Off: blokowanie ochrony

Po wprowadzeniu tych zmian rejestru nie ma potrzeby ponownego uruchamiania komputera. Jeśli jednak używasz poleceń programu PowerShell do ochrony plików, musisz uruchomić nową sesję programu PowerShell, aby zmiany zaczęły obowiązywać.

W tej dokumentacji dla deweloperów ochrona ogólna jest określana jako „PFile”.

Typy plików wykluczone z klasyfikacji i ochrony

Aby uniemożliwić użytkownikom zmianę plików, które są krytyczne dla działania komputera, niektóre typy plików i folderów są automatycznie wykluczone z ochrony i klasyfikacji. Jeśli użytkownicy spróbują sklasyfikować lub chronić te pliki przy użyciu klienta usługi Azure Information Protection, zobaczą komunikat o wykluczeniu.

  • Wykluczone typy plików: lnk, .exe, .com, .cmd, .bat, .dll, .ini, pst, .sca, .drm, .sys, .cpl, .inf, .drv, .dat, .tmp, .msg,.msp, .msi, .pdb, .jar

  • Wykluczone foldery :

    • Windows
    • Program Files (\Program Files i \Program Files (x86))
    • \ProgramData
    • \AppData (dla wszystkich użytkowników)

Typy plików wykluczone z klasyfikacji i ochrony przez skaner usługi Azure Information Protection

Domyślnie skaner wyklucza również te same typy plików co klient usługi Azure Information Protection z następującymi wyjątkami:

  • Pliki rtf i .rar również są wykluczane

Można zmienić typy plików dołączone lub wykluczone do inspekcji plików przez skaner:

Uwaga

Jeśli dołączysz pliki rtf do skanowania, uważnie monitoruj skaner. Niektórych plików rtf nie można pomyślnie sprawdzić za pomocą skanera i w przypadku tych plików inspekcja nie została ukończona i należy ponownie uruchomić usługę.

Domyślnie skaner chroni tylko Office typów plików i plików PDF, gdy są chronione przy użyciu standardu ISO szyfrowania PDF. Aby zmienić to zachowanie skanera, zmodyfikuj rejestr i określ dodatkowe typy plików, które mają być chronione. Aby uzyskać instrukcje, zobacz Używanie rejestru do zmiany typów plików chronionych za pomocą instrukcji wdrażania skanera.

Pliki, których nie można chronić domyślnie

Żaden plik chroniony hasłem nie może być natywnie chroniony przez klienta usługi Azure Information Protection, chyba że plik jest obecnie otwarty w aplikacji, która stosuje ochronę. Najczęściej widzisz pliki PDF chronione hasłem, ale inne aplikacje, takie jak aplikacje Office, również oferują tę funkcję.

Jeśli zmienisz domyślne zachowanie klienta usługi Azure Information Protection tak, aby chroniło pliki PDF przy użyciu rozszerzenia nazwy pliku ppdf, klient nie może natywnie chronić ani wyłączać ochrony plików PDF w jednej z następujących sytuacji:

  • Plik PDF, który jest oparty na formularzach.

  • Chroniony plik PDF z rozszerzeniem nazwy pliku .pdf.

    Klient usługi Azure Information Protection może chronić niechroniony plik PDF i może wyłączyć ochronę chronionego pliku PDF i ponownie go włączyć, gdy ma rozszerzenie nazwy pliku ppdf.

Ograniczenia dotyczące plików kontenera, takich jak pliki .zip

Aby uzyskać więcej informacji, zobacz kolekcję ograniczeń usługi Azure Information Protection.

Typy plików obsługiwane do inspekcji

Bez dodatkowej konfiguracji klient usługi Azure Information Protection używa Windows IFilter do sprawdzania zawartości dokumentów. Windows IFilter jest używany przez usługę Windows Wyszukiwanie indeksowania. W związku z tym następujące typy plików można sprawdzić podczas korzystania ze skanera usługi Azure Information Protection lub polecenia Set-AIPFileClassification programu PowerShell.

Typ aplikacji Typ pliku
Word .doc; docx; .docm; .dot; .dotm; .dotx
Excel .xls; .xlt; .xlsx; .xltx; .xltm; .xlsm; .xlsb
PowerPoint .ppt; pps; .pot; .pptx; ppsx; pptm; ppsm; .potx; .potm
PDF pdf
Tekst .txt; .xml; .csv

W przypadku dodatkowej konfiguracji można również sprawdzić inne typy plików. Można na przykład zarejestrować niestandardowe rozszerzenie nazwy pliku, aby użyć istniejącego programu obsługi filtrów Windows dla plików tekstowych, a także zainstalować dodatkowe filtry od dostawców oprogramowania.

Aby sprawdzić, jakie filtry są zainstalowane, zobacz sekcję Znajdowanie programu obsługi filtrów dla danego rozszerzenia pliku w przewodniku dewelopera wyszukiwania Windows.

Poniższe sekcje zawierają instrukcje konfiguracji dotyczące inspekcji plików .zip i plików tiff.

Aby sprawdzić pliki .zip

Skaner usługi Azure Information Protection i polecenie Set-AIPFileClassification programu PowerShell mogą sprawdzać .zip plików, wykonując następujące instrukcje:

  1. Na komputerze z uruchomionym skanerem lub sesją programu PowerShell zainstaluj pakiet filtrów programu Office 2010 z dodatkiem SP2.

  2. W przypadku skanera: po znalezieniu informacji poufnych, jeśli plik .zip powinien zostać sklasyfikowany i chroniony etykietą, dodaj wpis rejestru dla tego rozszerzenia nazwy pliku, aby mieć ochronę ogólną (pfile), zgodnie z opisem w temacie Używanie rejestru do zmiany typów plików chronionych przez instrukcje wdrażania skanera.

Przykładowy scenariusz po wykonaniu tych kroków:

Plik o nazwie accounts.zip zawiera arkusze kalkulacyjne Excel z numerami kart kredytowych. Zasady usługi Azure Information Protection mają etykietę o nazwie Poufne \ Finanse, która jest skonfigurowana do odnajdywania numerów kart kredytowych i automatycznie stosuje etykietę z ochroną, która ogranicza dostęp do grupy Finanse.

Po sprawdzeniu pliku skaner klasyfikuje ten plik jako Poufne \ Finanse, stosuje ochronę ogólną do pliku, tak aby tylko członkowie grup finanse mogli go rozpakuć i zmieniać nazwę pliku accounts.zip.pfile.

Aby sprawdzić pliki tiff przy użyciu optycznego rozpoznawania znaków

Skaner usługi Azure Information Protection i polecenie Set-AIPFileClassiciation programu PowerShell mogą używać optycznego rozpoznawania znaków (OCR) do inspekcji obrazów TIFF z rozszerzeniem nazwy pliku tiff podczas instalowania funkcji Windows TIFF IFilter, a następnie skonfigurować Windows TIFF IFilter Ustawienia na komputerze z uruchomionym skanerem lub sesją programu PowerShell.

W przypadku skanera: po znalezieniu poufnych informacji, jeśli plik tiff powinien zostać sklasyfikowany i chroniony etykietą, dodaj wpis rejestru dla tego rozszerzenia nazwy pliku, aby zapewnić ochronę natywną, zgodnie z opisem w temacie Używanie rejestru do zmiany typów plików chronionych przez instrukcje wdrażania skanera.

Następne kroki

Po zidentyfikowaniu typów plików obsługiwanych przez klienta usługi Azure Information Protection zapoznaj się z następującymi zasobami, aby uzyskać dodatkowe informacje, które mogą być potrzebne do obsługi tego klienta: