Guia do administrador: configurações personalizadas para o cliente de rotulagem unificada da Proteção de Informações do Azure
Observação
Está procurando pela Proteção de Informações do Microsoft Purview, conhecida anteriormente como MIP (Proteção de Informações da Microsoft)?
O suplemento Proteção de Informações do Azure é desativado e substituído por rótulos internos aos seus aplicativos e serviços do Microsoft 365. Saiba mais sobre o status de suporte de outros componentes da Proteção de Informações do Azure.
O novo cliente da Proteção de Informações da Microsoft (sem o suplemento) está atualmente em visualização e agendado para disponibilidade geral.
Use as informações a seguir para configurações avançadas necessárias específicos no gerenciamento do cliente de rotulagem unificada do AIP para cenários ou usuários.
Observação
Essas configurações requerem a edição do registro ou especificação de configurações avançadas. As configurações avançadas usam o PowerShell do Centro de Conformidade de Segurança.
Definir configurações avançadas para o cliente via PowerShell
Use o PowerShell de Segurança e Conformidade para definir configurações avançadas para personalizar políticas e rótulos de rótulos.
Em ambos os casos, depois de se conectar ao PowerShell de Segurança e Conformidade, especifique o parâmetro AdvancedSettings com a identidade (nome ou GUID) da política ou rótulo, com pares chave/valor em uma tabela de hash.
Para remover uma configuração avançada, use a mesma sintaxe de parâmetro AdvancedSettings, mas especifique um valor de cadeia de caracteres nulo.
Importante
Não use espaços em branco nos seus valores da cadeia de caracteres. Cadeias de caracteres em branco nesses valores não permitirão que seus rótulos sejam aplicados.
Para saber mais, veja:
- Sintaxe de configurações avançadas da política de rótulo
- Sintaxe de configurações avançadas de rótulo
- Verificar as configurações avançadas atuais
- Exemplos para definir configurações avançadas
- Especificar a política de rótulo ou identidade do rótulo
- Ordem de precedência - como configurações conflitantes são resolvidas
- Referências de configuração avançada
Sintaxe de configurações avançadas da política de rótulo
Um exemplo de configuração avançada de política de rótulo é a definição para exibir a barra de Proteção de Informações nos aplicativos do Office.
Para um valor de cadeia de caracteres único, use a seguinte sintaxe:
Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key="value1,value2"}
Para um valor de cadeia de caracteres múltiplo para a mesma chave, use a seguinte sintaxe:
Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}
Sintaxe de configurações avançadas de rótulo
Um exemplo de configuração avançada de rótulo é a que especifica uma cor de rótulo.
Para um valor de cadeia de caracteres único, use a seguinte sintaxe:
Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key="value1,value2"}
Para um valor de cadeia de caracteres múltiplo para a mesma chave, use a seguinte sintaxe:
Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}
Verificar as configurações avançadas atuais
Para verificar as configurações avançadas atuais aplicadas, execute os seguintes comandos:
Para verificar as configurações avançadas da política de rótulo, use a seguinte sintaxe:
Para uma política de rótulo chamada Global:
(Get-LabelPolicy -Identity Global).settings
Para verificar as configurações avançadas de rótulo, use a seguinte sintaxe:
Para um rótulo chamado Público:
(Get-Label -Identity Public).settings
Exemplos para definir configurações avançadas
Exemplo 1: Definir uma configuração avançada de política de rótulo para um único valor de cadeia de caracteres:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
Exemplo 2: Definir uma configuração avançada de rótulo para um único valor de cadeia de caracteres:
Set-Label -Identity Internal -AdvancedSettings @{smimesign="true"}
Exemplo 3: Definir uma configuração avançada de rótulo para vários valores de cadeia de caracteres:
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}
Exemplo 4: Especificar um valor de cadeia de caracteres nulo para remover uma configuração avançada de política de rótulo:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions=""}
Especificar a política de rótulo ou identidade do rótulo
Como há apenas um nome de política no portal de conformidade do Microsoft Purview, é simples localizar o nome da política de rótulo para o parâmetro Identity do PowerShell.
No entanto, para rótulos, o portal de conformidade do Microsoft Purview mostra os valores para Name e Display name. Em alguns casos, esses valores serão os mesmos, mas podem ser diferentes. Para definir configurações avançadas para rótulos, use o valor Name.
Por exemplo, para identificar o rótulo na imagem abaixo, use a seguinte sintaxe no comando do PowerShell: -Identity "All Company"
Se preferir especificar o GUID do rótulo, esse valor não será exibido no portal de conformidade do Microsoft Purview. Use o comando Get-Label para encontrar esse valor, da seguinte forma:
Get-Label | Format-Table -Property DisplayName, Name, Guid
Para mais informações sobre como rotular nomes e nomes de exibição:
Name é o nome original do rótulo e é exclusivo em todos os seus rótulos.
Esse valor permanece igual, mesmo que o nome do rótulo seja alterado posteriormente. Para rótulos de confidencialidade migrados da Proteção de Informações do Azure, é possível ver a ID do rótulo original no portal do Azure.
Display name é o nome do rótulo exibido no momento aos usuários e não precisa ser exclusivo em todos os seus rótulos.
Por exemplo, um nome de exibição de All Employees pode ser usado para um subrótulo sob o rótulo Confidential e outro nome de exibição de All Employees para um subrótulo sob o rótulo Highly Confidential. Esses subrótulos exibem o mesmo nome, mas não são o mesmo rótulo e têm configurações diferentes.
Ordem de precedência - como configurações conflitantes são resolvidas
Você pode usar o portal de conformidade do Microsoft Purview para definir as seguintes configurações de política de rótulo:
Aplicar este rótulo como padrão a emails e documentos
Os usuários devem apresentar uma justificativa para remover um rótulo ou diminuir sua classificação
Exigir que os usuários apliquem um rótulo aos emails e documentos
Fornecer aos usuários um link para uma página de ajuda personalizada
Quando mais de uma política de rótulo for configurada para um usuário, cada uma com configurações de política potencialmente diferentes, a última configuração é aplicada de acordo com a ordem das políticas no portal de conformidade do Microsoft Purview. Para obter mais informações, confira Label policy priority (order matters)
As configurações avançadas da política de rótulo são aplicadas pela mesma lógica, usando a última configuração de política.
Referências de configuração avançada
As seções a seguir mostram as configurações avançadas disponíveis para políticas de rótulos e rótulos:
- Referência de configuração avançada por recurso
- Referência de configuração avançada da política de rótulo
- Referência de configuração avançada de rótulo
Referência de configuração avançada por recurso
As seções a seguir listam as configurações avançadas descritas nesta página por integração de produtos e recursos:
Referência de configuração avançada da política de rótulo
Use o parâmetro AdvancedSettings com New-LabelPolicy e Set-LabelPolicy para definir as seguintes configurações:
Referência de configuração avançada de rótulo
Use o parâmetro AdvancedSettings com New-LabelPolicy e Set-LabelPolicy.
| Configuração | Cenário e instruções |
|---|---|
| color | Especificar uma cor para o rótulo |
| customPropertiesByLabel | Usar uma propriedade personalizada ao aplicar um rótulo |
| DefaultSubLabelId | Especificar um sub-rótulo padrão para um rótulo pai |
| labelByCustomProperties | Migrar rótulos do Secure Islands e outras soluções de rotulagem |
| SMimeEncrypt | Configurar um rótulo para aplicar a proteção S/MIME no Outlook |
| SMimeSign | Configurar um rótulo para aplicar a proteção S/MIME no Outlook |
Ocultar a opção de menu Classifify and Protect no Explorador de Arquivos do Windows
Para ocultar a opção de menu Classify and Protect no Explorador de Arquivos do Windows, crie o seguinte nome de valor DWORD (com dados de valor):
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable
Para obter mais informações, confira Using File Explorer to classify files.
Exibir a barra da Proteção de Informações em aplicativos do Office
Essa configuração usa uma configuração avançada de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Como padrão, usuários devem selecionar a opção Show Bar no botão Sensitivity para exibir a barra de Proteção de Informações nos aplicativos do Office. Use a chave HideBarByDefault e defina o valor como False para exibir automaticamente essa barra para que os usuários possam selecionar rótulos a partir da barra ou do botão.
Para a política de rótulo selecionada, especifique as seguintes cadeias de caracteres:
Chave: HideBarByDefault
Valor: False
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{HideBarByDefault="False"}
Dispensar as mensagens do Outlook da rotulagem obrigatória
Essa configuração usa uma configuração avançada de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Por padrão, quando você habilita a configuração de política de rótulo de Todos os documentos e emails devem ter um rótulo, todos os documentos salvos e emails enviados devem ter um rótulo aplicado. Quando você define a seguinte configuração avançada, a configuração de política se aplica somente a documentos do Office, e não a mensagens do Outlook.
Para a política de rótulo selecionada, especifique as seguintes cadeias de caracteres:
Chave: DisableMandatoryInOutlook
Valor: True
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{DisableMandatoryInOutlook="True"}
Habilitar a classificação recomendada no Outlook
Essa configuração usa uma configuração avançada de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Quando você configura um rótulo para classificação recomendada, os usuários recebem uma solicitação para aceitar ou descartar o rótulo recomendado no Word, Excel e PowerPoint. Essa configuração amplia essa recomendação de rótulo para também ser exibida no Outlook.
Para a política de rótulo selecionada, especifique as seguintes cadeias de caracteres:
Chave: OutlookRecommendationEnabled
Valor: True
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookRecommendationEnabled="True"}
Ativar a remoção da proteção de arquivos compactados
Essa configuração usa uma configuração avançada de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Quando você define essa configuração, o cmdlet do PowerShellSet-AIPFileLabel é habilitado para permitir a remoção da proteção de arquivos PST, rar e 7zip.
Chave: EnableContainerSupport
Valor: True
Exemplo de comando do PowerShell em que sua política está habilitada:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}
Definir um rótulo padrão diferente para o Outlook
Essa configuração usa uma configuração avançada de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Quando você define essa configuração, o Outlook não aplica o rótulo padrão definido como uma configuração de política para a opção Aplicar este rótulo por padrão a documentos e emails. Em vez disso, o Outlook pode aplicar um rótulo padrão diferente ou nenhum rótulo.
Para a política de rótulo selecionada, especifique as seguintes cadeias de caracteres:
Chave: OutlookDefaultLabel
Valor: <label GUID> ou None
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookDefaultLabel="None"}
Alterar os tipos de arquivo a serem protegidos
Essas configurações usam uma configuração avançada de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Como padrão, o cliente de rotulagem unificada da Proteção de Informações do Azure protege todos os tipos de arquivo, e o scanner do cliente protege apenas os tipos de arquivo do Office e arquivos PDF.
Você pode alterar esse comportamento padrão para uma política de rótulo selecionada, especificando uma das seguintes opções:
PFileSupportedExtension
Chave: PFileSupportedExtensions
Valor: <string value>
Use a tabela a seguir para identificar o valor da cadeia de caracteres a ser especificada:
| Valor da cadeia de caracteres | Cliente | Scanner |
|---|---|---|
| * | Valor padrão: aplicar proteção a todos os tipos de arquivo | Aplicar proteção a todos os tipos de arquivo |
| ConvertTo-Json(".jpg", ".png") | Além dos tipos de arquivo do Office e arquivos PDF, aplique proteção às extensões de nome de arquivo especificadas | Além dos tipos de arquivo do Office e arquivos PDF, aplique proteção às extensões de nome de arquivo especificadas |
Exemplo 1: comando do PowerShell para o scanner proteger todos os tipos de arquivo, em que sua política de rótulo é chamada "Scanner":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
Exemplo 2: comando do PowerShell para o scanner proteger arquivos .txt e .csv, além de arquivos do Office e PDF, em que sua política de rótulo é chamada "Scanner":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}
Com essa configuração, você pode alterar quais tipos de arquivo estão protegidos, mas não pode alterar o nível de proteção padrão de nativo para genérico. Por exemplo, para usuários que executam o cliente de rotulagem unificada, é possível alterar a configuração padrão para que apenas arquivos do Office e arquivos PDF sejam protegidos, em vez de todos os tipos de arquivo. Mas é possível alterar esses tipos de arquivo para serem protegidos de forma genérica com uma extensão de nome de arquivo .pfile.
AdicionalPPrefixExtensions
O cliente de rotulagem unificada é compatível com alteração <de EXT>.PFILE para P<EXT> usando a propriedade avançada AdditionalPPrefixExtensions. Essa propriedade avançada é compatível com o Explorador de Arquivos, PowerShell e scanner. Todos os aplicativos têm comportamento semelhante.
Chave: AdditionalPPrefixExtensions
Valor: <string value>
Use a tabela a seguir para identificar o valor da cadeia de caracteres a ser especificada:
| Valor da cadeia de caracteres | Cliente e scanner |
|---|---|
| * | Todas as extensões PFile se tornam P<EXT> |
| <null value> | O valor padrão se comporta como o valor de proteção padrão. |
| ConvertTo-Json(".dwg", ".zip") | Além da lista anterior, ".dwg" e ".zip" se tornam P<EXT> |
Com essa configuração, as seguintes extensões sempre se tornam P<EXT>: ".txt", ".xml", ".bmp", ".jt", ".jpg", ".jpeg", ".jpe", ".jif", ".jfif", ".jfi", ".png", ".tif", ".tiff", ".gif"). Uma exceção importante é de que "ptxt" não se torna "txt.pfile".
AdditionalPPrefixExtensions só é compatível se a proteção de PFiles com a propriedade avançada - PFileSupportedExtension estiver habilitada.
Exemplo 1: comando do PowerShell deve comportar de forma padrão, em que Proteger ".dwg" se torna ".dwg.pfile":
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}
Exemplo 2: comando do PowerShell deve alterar todas as extensões do PFile de proteção genérica (dwg.pfile) para proteção nativa (.pdwg) quando os arquivos estiverem protegidos:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}
Exemplo 3: comando do PowerShell deve alterar ".dwg" para ".pdwg" ao usar esse serviço para proteger este arquivo:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}
Remover "Not now" para documentos quando a rotulagem obrigatória for usada
Essa configuração usa uma configuração avançada de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Quando você usa a configuração de política de rótulo Todos os documentos e emails devem ter um rótulo, os usuários recebem uma solicitação para selecionar um rótulo ao salvar um documento do Office pela primeira vez e ao enviar um email do Outlook.
Para documentos, os usuários podem selecionar Not now para descartar temporariamente a solicitação para selecionar um rótulo e retornar ao documento. No entanto, eles não podem fechar o documento salvo sem aplicar um rótulo.
Ao definir a configuração PostponeMandatoryBeforeSave, a opção Not now é removida, de modo que os usuários devem selecionar um rótulo quando o documento for salvo pela primeira vez.
Dica
A configuração PostponeMandatoryBeforeSave também garante que os documentos compartilhados sejam rotulados antes de serem enviados por email.
Por padrão, mesmo que você tenha a opção Todos os documentos e emails devem ter um rótulo habilitada em sua política, os usuários só passam a poder rotular arquivos anexados a emails de dentro do Outlook.
Para a política de rótulo selecionada, especifique as seguintes cadeias de caracteres:
Chave: PostponeMandatoryBeforeSave
Valor: False
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{PostponeMandatoryBeforeSave="False"}
Remover cabeçalhos e rodapés de outras soluções de rotulagem
Essa configuração usa configurações avançadas de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Há dois métodos para remover classificações de outras soluções de rotulagem:
| Configuração | Descrição |
|---|---|
| WordShapeNameToRemove | Remove formas de documentos do Word em que o nome da forma corresponda ao nome definido na propriedade avançada WordShapeNameToRemove. Para obter mais informações, veja Usar a propriedade avançada WordShapeNameToRemove. |
| RemoveExternalContentMarkingInApp ExternalContentMarkingToRemove |
Permite remover ou substituir cabeçalhos ou rodapés baseados em texto de documentos do Word, Excel e PowerPoint. Para obter mais informações, consulte: - Usar a propriedade avançada RemoveExternalContentMarkingInApp - Como configurar ExternalContentMarkingToRemove. |
Usar a propriedade avançada WordShapeNameToRemove
A propriedade avançada WordShapeNameToRemove é compatível com versões a partir da 2.6.101.0 e superior
Essa configuração permite remover ou substituir rótulos baseados em forma de documentos do Word quando essas marcas visuais tiverem sido aplicadas por outra solução de rotulagem. Por exemplo, a forma contém o nome de um rótulo antigo que agora foi migrado para rótulos de confidencialidade para usar um novo nome de rótulo e sua própria forma.
Para usar essa propriedade avançada, você precisará localizar o nome da forma no documento do Word e defini-lo na lista de propriedades avançadas de formas WordShapeNameToRemove. O serviço removerá toda forma no Word que comece com um nome definido na lista de formas nesta propriedade avançada.
Evite remover formas que contenham o texto que você deseja ignorar. Para isso, defina o nome de todas as formas a serem removidas e evite marcar o texto em todas as formas, o que consome muitos recursos.
Observação
No Microsoft Word, as formas podem ser removidas com a definição do nome das formas ou pelo texto, mas não ambos. Se a propriedade WordShapeNameToRemove estiver definida, todas as configurações definidas pelo valor ExternalContentMarkingToRemove serão ignoradas.
Para localizar o nome da forma que você está usando e deseja excluir:
No Word, exiba o painel de seleção: guia Página Inicial> Grupo de edição>Selecione a opção >Painel de seleção.
Selecione a forma na página para marcar para remoção. O nome da forma marcada agora está realçado no painel Seleção.
Use o nome da forma para especificar um valor de cadeia de caracteres para a chave WordShapeNameToRemove.
Exemplo: o nome da forma é dc. Para remover a forma com esse nome, especifique o valor: dc.
Chave: WordShapeNameToRemove
Valor: <nome da forma do Word>
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{WordShapeNameToRemove="dc"}
Quando tiver mais de uma forma do Word para remover, especifique tantos valores quanto as formas que tem para remover.
Usar a propriedade avançada RemoveExternalContentMarkingInApp
Essa configuração permite remover ou substituir cabeçalhos ou rodapés baseados em texto de documentos quando essas marcações visuais tiverem sido aplicadas por outra solução de rotulagem. Por exemplo, a forma contém o nome de um rótulo antigo que agora foi migrado para rótulos de confidencialidade para usar um novo nome de rótulo e seu próprio rodapé.
Quando o cliente de rotulagem unificada recebe essa configuração em sua política, os cabeçalhos e rodapés antigos são removidos ou substituídos quando o documento é aberto no aplicativo do Office, e qualquer rótulo de confidencialidade é aplicado ao documento.
Essa configuração não tem é compatível com o Outlook, e saiba que, ao usá-la com o Word, Excel e PowerPoint, ela pode afetar negativamente o desempenho desses aplicativos para os usuários. O ajuste permite definir configurações por aplicativo, por exemplo, pesquisar texto nos cabeçalhos e rodapés de documentos do Word, mas não em planilhas do Excel ou apresentações do PowerPoint.
Como a correspondência de padrões afeta o desempenho dos usuários, recomendamos que você limite os tipos de aplicativos do Office (Word, EXcel, PowerPoint) para apenas aqueles que precisam ser pesquisados. Para a política de rótulo selecionada, especifique as seguintes cadeias de caracteres:
Chave: RemoveExternalContentMarkingInApp
Valor: <Tipos de aplicativo do Office WXP>
Exemplos:
Para pesquisar somente documentos do Word, especifique W.
Para pesquisar documentos do Word e apresentações do PowerPoint, especifique WP.
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInApp="WX"}
Em seguida, é preciso pelo menos uma configuração de cliente mais avançada, ExternalContentMarkingToRemove, para especificar o conteúdo do cabeçalho ou rodapé e como removê-lo ou substituí-lo.
Como configurar ExternalContentMarkingToRemove
Ao especificar o valor da cadeia de caracteres para a chave ExternalContentMarkingToRemove, temos três opções que usam expressões regulares. Para cada um desses cenários, use a sintaxe exibida na coluna Valor de exemplo na tabela a seguir:
| Opção | Descrição de exemplo | Valor de exemplo |
|---|---|---|
| Correspondência parcial para remover tudo do cabeçalho ou rodapé | Seus cabeçalhos ou rodapés contêm a cadeia de caracteres TEXT TO REMOVE, e você deve remover completamente esses cabeçalhos ou rodapés. | *TEXT* |
| Correspondência total para remover apenas palavras específicas do cabeçalho ou rodapé | Seus cabeçalhos ou rodapés contêm a cadeia de caracteres TEXT TO REMOVE, e você deve remover somente a palavra TEXT, deixando a cadeia de caracteres de cabeçalho ou rodapé como TO REMOVE. | TEXT |
| Correspondência total para remover todo o conteúdo do cabeçalho ou rodapé | Seus cabeçalhos ou rodapés têm a cadeia de caracteres TEXT TO REMOVE. Você deve remover cabeçalhos ou rodapés que tenham exatamente essa cadeia de caracteres. | ^TEXT TO REMOVE$ |
A correspondência de padrão para a cadeia de caracteres especificada não diferencia maiúsculas de minúsculas. O comprimento máximo da cadeia de caracteres é de 255 caracteres e não pode incluir espaços em branco.
Como alguns documentos podem incluir caracteres invisíveis ou diferentes tipos de espaços ou guias, a cadeia de caracteres especificada para uma expressão ou frase pode não ser detectada. Sempre que possível, especifique uma única palavra para distinguir o valor e teste os resultados antes de implantar em produção.
Para a mesma política de rótulo, especifique as seguintes cadeias de caracteres:
Chave: ExternalContentMarkingToRemove
Valor: <cadeia de caracteres a ser combinada, definida como expressão regular>
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*TEXT*"}
Para saber mais, veja:
Cabeçalhos ou rodapés de várias linhas
Se um texto de cabeçalho ou rodapé for maior do que uma única linha, crie uma chave e um valor para cada linha. Por exemplo, se tiver o seguinte rodapé com duas linhas:
O arquivo é classificado como Confidencial
Rótulo aplicado manualmente
Para remover esse rodapé de várias linhas, crie as duas entradas a seguir para a mesma política de rótulo:
- Chave: ExternalContentMarkingToRemove
- Valor da chave 1: *Confidential*
- Valor da chave 2: *Label applied*
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove=ConvertTo-Json("Confidential","Label applied")}
Otimização para PowerPoint
Cabeçalhos e rodapés no PowerPoint são implementados como formas. Para os tipos de forma msoTextBox, msoTextEffect, msoPlaceholder e msoAutoShape, as seguintes configurações avançadas oferecem otimizações adicionais:
Além disso, o PowerPointRemoveAllShapesByShapeName pode remover todo tipo de forma com base no nome da forma.
Para obter mais informações, confira Localizar o nome da forma que você está usando como cabeçalho ou rodapé.
Evitar remover formas do PowerPoint que contenham texto especificado e não sejam cabeçalhos/rodapés
Para evitar a remoção de formas que contenham o texto especificado e não sejam cabeçalhos ou rodapés, use uma configuração de cliente avançada adicional chamada PowerPointShapeNameToRemove.
Também recomendamos usar essa configuração para evitar ter que verificar o texto em todas as formas, o que consome muitos recursos.
Se essa configuração avançada adicional de cliente não for especificada e o PowerPoint estiver incluído no valor da chave RemoveExternalContentMarkingInApp, o texto especificado no valor ExternalContentMarkingToRemove será verificado para todas as formas.
Se esse valor for especificado, somente as formas que atenderem aos critérios de nome e também tiverem texto que corresponda à cadeia de caracteres fornecida em ExternalContentMarkingToRemove serão removidas.
Por exemplo:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
Estender a remoção de marcação externa para layouts personalizados
Essa configuração usa uma configuração avançada de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Por padrão, a lógica usada para remover marcações de conteúdo externo ignora layouts personalizados configurados no PowerPoint. Para estender essa lógica a layouts personalizados, defina a propriedade avançada RemoveExternalMarkingFromCustomLayouts como Verdadeiro.
Chave: RemoveExternalMarkingFromCustomLayouts
Valor: True
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
Remover todas as formas de um nome de forma específico
Se estiver usando layouts personalizados do PowerPoint e quiser remover todas as formas de um nome específico de seus cabeçalhos e rodapés, use a configuração avançada PowerPointRemoveAllShapesByShapeName, com o nome da forma a ser removida.
Usar a configuração PowerPointRemoveAllShapesByShapeName ignora o texto que está dentro das suas formas e usa o nome da forma para identificar as formas a serem removidas.
Por exemplo:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointRemoveAllShapesByShapeName="Arrow: Right"}
Para saber mais, veja:
- Localizar o nome da forma usado como cabeçalho ou rodapé
- Remover marcação de conteúdo externo de layouts personalizados no PowerPoint
Localizar o nome da forma usado como cabeçalho ou rodapé
No PowerPoint, exiba o painel de Seleção: guia Formatar>grupo OrganizarPainel de Seleção.
Selecione a forma no slide que contém o cabeçalho ou rodapé. O nome da forma selecionada agora está realçado no painel de Seleção.
Use o nome da forma para especificar um valor de cadeia de caracteres para a chave PowerPointShapeNameToRemove.
Exemplo: o nome da forma é fc. Para remover a forma com esse nome, especifique o valor: fc.
Chave: PowerPointShapeNameToRemove
Valor: <nome da forma do PowerPoint>
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
Quando houver mais de uma forma do PowerPoint a ser removida, especifique a mesma quantidade de valores e de formas para remover.
Por padrão, é verificado se os slides mestres têm cabeçalhos e rodapés. Para estender essa pesquisa a todos os slides (um processo que consome muito mais recursos), use uma configuração de cliente avançada adicional chamada RemoveExternalContentMarkingInAllSlides:
Chave: RemoveExternalContentMarkingInAllSlides
Valor: True
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInAllSlides="True"}
Remover marcação de conteúdo externo de layouts personalizados no PowerPoint
Essa configuração usa uma configuração avançada de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Por padrão, a lógica usada para remover marcações de conteúdo externo ignora layouts personalizados configurados no PowerPoint. Para estender essa lógica a layouts personalizados, defina a propriedade avançada RemoveExternalMarkingFromCustomLayouts como Verdadeiro.
Chave: RemoveExternalMarkingFromCustomLayouts
Valor: True
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
Desativar permissões personalizadas no Explorador de Arquivos
Essa configuração usa uma configuração avançada de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Por padrão, os usuários veem uma opção chamada Proteger com permissões personalizadas ao clicar com o botão direito do mouse no Explorador de Arquivos e escolhem Classificar e proteger. Essa opção permite que eles definam suas próprias configurações de proteção que podem substituir outras que possam ter sido incluídas em uma configuração de rótulo. Os usuários também podem ver uma opção para remover a proteção. Quando essa configuração é definida, os usuários não veem essas opções.
Para definir essa configuração avançada, insira as seguintes cadeias de caracteres para a política de rótulo selecionada:
Chave: EnableCustomPermissions
Valor: False
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
Sempre exibir permissões personalizadas para usuários no Explorador de Arquivos para arquivos protegidos com permissões personalizadas
Essa configuração usa uma configuração avançada de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Quando você define a configuração avançada do cliente para desativar permissões personalizadas no Explorador de Arquivos, por padrão, os usuários não conseguem ver ou alterar permissões personalizadas que já estejam definidas em um documento protegido.
No entanto, há outra configuração avançada de cliente que você pode especificar para que, nesse cenário, os usuários possam ver e alterar permissões personalizadas para um documento protegido ao usar o Explorador de Arquivos e clicar com o botão direito do mouse no arquivo.
Para definir essa configuração avançada, insira as seguintes cadeias de caracteres para a política de rótulo selecionada:
Chave: EnableCustomPermissionsForCustomProtectedFiles
Valor: True
Exemplo de comando do PowerShell:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}
Um rótulo correspondente à classificação mais alta desses anexos deve ser aplicado a mensagens de email com anexos
Essa configuração usa configurações avançadas de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Essa configuração é para quando os usuários anexam documentos rotulados a um email e não rotulam a mensagem de email em si. Nesse cenário, um rótulo é selecionado automaticamente com base nos rótulos de classificação aplicados aos anexos. O rótulo de classificação mais alta é selecionado.
O anexo deve ser um arquivo físico. Não pode ser um link para um arquivo (por exemplo, um link para um arquivo no Microsoft SharePoint ou OneDrive).
Você pode definir essa configuração como Recommended, de modo que os usuários recebam uma solicitação para aplicar o rótulo selecionado à mensagem de email. Então, os usuários podem aceitar a recomendação ou rejeitá-la sem aplicar o rótulo. Ou é possível definir essa configuração como Automatic, assim o rótulo selecionado é aplicado automaticamente, mas os usuários podem removê-lo ou selecionar outro rótulo diferente antes de enviar o email. Os dois cenários são compatíveis com uma mensagem personalizada.
Observação
Quando o anexo com o rótulo de classificação mais alta é configurado para proteção com a configuração de permissões definidas pelo usuário:
- Quando as permissões definidas pelo usuário do rótulo incluem o Outlook (Não Encaminhar), esse rótulo é selecionado e a proteção Não Encaminhar é aplicada ao email.
- Quando as permissões definidas pelo usuário do rótulo são apenas para Word, Excel, PowerPoint e Explorador de Arquivos, esse rótulo não é aplicado à mensagem de email e nem a proteção.
Para definir essa configuração avançada, insira as seguintes cadeias de caracteres para a política de rótulo selecionada:
Chave 1: AttachmentAction
Valor da chave 1: Recommended ou Automatic
Chave 2 (opcional): AttachmentActionTip
Valor da chave 2: "<dica de ferramenta personalizada>"
A dica de ferramenta personalizada opcional é compatível com apenas um idioma. Se essa configuração não for especificada, as seguintes mensagens serão exibidas aos usuários:
- Mensagem de recomendação: Recomenda-se rotular este email como <nome do rótulo>
- Mensagem automática: Este email foi automaticamente rotulado como <nome do rótulo>
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{AttachmentAction="Automatic"}
Adicionar "Report an Issue" para usuários
Essa configuração usa uma configuração avançada de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Ao especificar a seguinte configuração de cliente avançada, os usuários veem uma opção Report an Issue que podem selecionar na caixa de diálogo cliente de Ajuda e Comentários. Especifique uma cadeia de caracteres HTTP para o link. Por exemplo, uma página da web personalizada que você tenha para usuários relatarem problemas ou um endereço de email atendido pelo suporte técnico.
Para definir essa configuração avançada, insira as seguintes cadeias de caracteres para a política de rótulo selecionada:
Chave: ReportAnIssueLink
Valor: <HTTP string>
Valor de exemplo para um site: https://support.contoso.com
Valor de exemplo para um endereço de email: mailto:helpdesk@contoso.com
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}
Implementar mensagens pop-up no Outlook que avisem, justifiquem ou bloqueiem o envio de emails
Essa configuração usa configurações avançadas de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Ao criar e definir as seguintes configurações avançadas de cliente, os usuários se deparam com mensagens pop-up no Outlook que podem avisar antes de enviar um email ou pedir uma justificativa para o envio de um email ou impedir o envio de um email para um dos seguintes cenários:
O email ou anexo do email tem um rótulo específico:
- O anexo pode ser qualquer tipo de arquivo
O email ou anexo do email não tem um rótulo:
- O anexo pode ser um documento do Office ou um documento PDF
Quando essas condições são atendidas, o usuário vê uma mensagem pop-up com uma das seguintes ações:
| Tipo | Descrição |
|---|---|
| Warn | O usuário pode confirmar e enviar, ou cancelar. |
| Justify | O usuário deve justificar (com opções predefinidas ou de forma livre), e pode enviar ou cancelar o email. O texto de justificativa é escrito no cabeçalho x do email para ser lido por outros sistemas, como serviços de prevenção de perda de dados (DLP). |
| Block | O usuário é impedido de enviar o email enquanto a condição permanecer. A mensagem inclui o motivo do bloqueio do email, para que o usuário possa resolver o problema. Por exemplo, remova destinatários específicos ou rotule o email. |
Quando as mensagens pop-up são para um rótulo específico, é possível configurar exceções para destinatários por nome de domínio.
Veja o blog da comunidade de tecnologia Personalizar mensagens pop-up do Outlook para o cliente AIP UL para consultar um exemplo passo a passo de como definir essas configurações.
Dica
Para garantir que os pop-ups sejam exibidos mesmo quando os documentos são compartilhados de fora do Outlook (Compartilhamento >de Arquivos > Anexar uma cópia), defina também a configuração avançada PostponeMandatoryBeforeSave.
Para saber mais, veja:
- Implementar as mensagens pop-up de aviso, justificativa ou bloqueio em rótulos específicos
- Para implementar as mensagens pop-up de aviso, justificativa e bloqueio em emails ou anexos sem um rótulo
Implementar as mensagens pop-up de aviso, justificativa ou bloqueio em rótulos específicos
Para a política selecionada, crie uma ou mais das seguintes configurações avançadas com as seguintes chaves. Para os valores, especifique um ou mais rótulos por seus GUIDs, cada um separado por vírgula.
Valor de exemplo para vários GUIDs como uma sequência separada por vírgula:
dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
| Tipo de mensagem | Chave/valor |
|---|---|
| Warn | Chave: OutlookWarnUntrustedCollaborationLabel Valor: <GUIDs de rótulo, separados por vírgulas> |
| Justify | Chave: OutlookJustifyUntrustedCollaborationLabel Valor: <GUIDs de rótulo, separados por vírgulas> |
| Block | Chave: OutlookBlockUntrustedCollaborationLabel Valor: <GUIDs de rótulo, separados por vírgulas> |
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e,b6d21387-5d34-4dc8-90ae-049453cec5cf,bb48a6cb-44a8-49c3-9102-2d2b017dcead,74591a94-1e0e-4b5d-b947-62b70fc0f53a,6c375a97-2b9b-4ccd-9c5b-e24e4fd67f73"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyUntrustedCollaborationLabel="dc284177-b2ac-4c96-8d78-e3e1e960318f,d8bb73c3-399d-41c2-a08a-6f0642766e31,750e87d4-0e91-4367-be44-c9c24c9103b4,32133e19-ccbd-4ff1-9254-3a6464bf89fd,74348570-5f32-4df9-8a6b-e6259b74085b,3e8d34df-e004-45b5-ae3d-efdc4731df24"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockUntrustedCollaborationLabel="0eb351a6-0c2d-4c1d-a5f6-caa80c9bdeec,40e82af6-5dad-45ea-9c6a-6fe6d4f1626b"}
Para personalizar ainda mais, você também pode colocar nomes de domínio para mensagens pop-up configuradas para rótulos específicos como exceção.
Observação
As configurações avançadas nesta seção (OutlookWarnUntrustedCollaborationLabel, OutlookJustifyUntrustedCollaborationLabel e OutlookBlockUntrustedCollaborationLabel) devem ser aplicadas quando um rótulo específico está em uso.
Para implementar mensagens pop-up padrão para conteúdo sem rótulo, use a configuração avançada OutlookUnlabeledCollaborationAction. Para personalizar suas mensagens pop-up para conteúdo sem rótulo, use um arquivo .json para definir suas configurações avançadas.
Para obter mais informações, confira Personalizar mensagens pop-up do Outlook.
Dica
Para garantir que as mensagens de bloqueio sejam exibidas como necessário, mesmo para um destinatário dentro de uma lista de distribuição do Outlook, adicione a configuração avançada EnableOutlookDistributionListExpansion.
Dispensar nomes de domínios para mensagens pop-up configuradas para rótulos específicos
Para os rótulos especificados com essas mensagens pop-up, é possível dispensar nomes de domínio específicos, de forma que os usuários não vejam as mensagens dos destinatários com esse nome de domínio incluído em seus endereços de email. Nesse caso, os emails são enviados sem interrupção. Para especificar vários domínios, adicione-os como uma única cadeia de caracteres, separados por vírgulas.
Uma configuração típica é exibir as mensagens pop-up apenas para destinatários externos à sua organização ou que não sejam parceiros autorizados. Nesse caso, especifique todos os domínios de email usados por sua organização e seus parceiros.
Para a mesma política de rótulo, crie as seguintes configurações avançadas de cliente, e para o valor, especifique um ou mais domínios, cada um separado por uma vírgula.
Valor de exemplo para vários domínios como uma sequência separada por vírgula: contoso.com,fabrikam.com,litware.com
| Tipo de mensagem | Chave/valor |
|---|---|
| Warn | Chave: OutlookWarnTrustedDomains Valor: <nomes de domínio, separados por vírgulas> |
| Justify | Chave: OutlookJustifyTrustedDomains Valor: <nomes de domínio, separados por vírgulas> |
| Block | Chave: OutlookBlockTrustedDomains Valor: <nomes de domínio, separados por vírgulas> |
Por exemplo, digamos que a configuração avançada de cliente OutlookBlockUntrustedCollaborationLabel seja especificada para o rótulo Confidential \ All Employees.
Agora, você especifica a configuração avançada adicional de cliente de OutlookBlockTrustedDomains com contoso.com. Como resultado, um usuário pode enviar um email para john@sales.contoso.com com o rótulo Confidential \ All Employees, mas não consegue enviar um email com o mesmo rótulo para uma conta do Gmail.
Exemplo de comandos do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockTrustedDomains="contoso.com"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyTrustedDomains="contoso.com,fabrikam.com,litware.com"}
Observação
Para garantir que as mensagens de bloqueio sejam exibidas como necessário, mesmo para um destinatário dentro de uma lista de distribuição do Outlook, adicione a configuração avançada EnableOutlookDistributionListExpansion.
Para implementar as mensagens pop-up de aviso, justificativa e bloqueio em emails ou anexos sem um rótulo
Para a mesma política de rótulo, crie a seguinte configuração avançada de cliente com um dos seguintes valores:
| Tipo de mensagem | Chave/valor |
|---|---|
| Warn | Chave: OutlookUnlabeledCollaborationAction Valor: Aviso |
| Justify | Chave: OutlookUnlabeledCollaborationAction Valor: Justificativa |
| Block | Chave: OutlookUnlabeledCollaborationAction Valor: Bloqueio |
| Desativar estas mensagens | Chave: OutlookUnlabeledCollaborationAction Valor: Off |
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Warn"}
Para personalizar ainda mais, veja:
- Para definir extensões de nome de arquivo específicas para mensagens pop-up de aviso, justificativa ou bloqueio para anexos de email sem um rótulo
- Especificar uma ação diferente para mensagens de email sem anexos
- Personalizar mensagens pop-up do Outlook
Para definir extensões de nome de arquivo específicas para mensagens pop-up de aviso, justificativa ou bloqueio para anexos de email sem um rótulo
Como padrão, as mensagens pop-up de aviso, justificativa ou bloqueio se aplicam a todos os documentos do Office e arquivos PDF. Você pode refinar essa lista especificando quais extensões de nome de arquivo devem exibir as mensagens de aviso, justificativa ou bloqueio com uma configuração avançada adicional e uma lista separada por vírgulas de extensões de nome de arquivo.
Valor de exemplo para várias extensões de nome de arquivo a serem definidas como uma sequência separada por vírgula: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM
Neste exemplo, um documento PDF sem rótulo não resultará em mensagem pop-up de aviso, justificativa ou bloqueio.
Para a mesma política de rótulo, insira as seguintes cadeias de caracteres:
Chave: OutlookOverrideUnlabeledCollaborationExtensions
Valor: <extensões de nome de arquivo para exibir mensagens, separadas por vírgulas>
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.PPT,.PPTX,.PPTM"}
Especificar uma ação diferente para mensagens de email sem anexos
Por padrão, o valor especificado para OutlookUnlabeledCollaborationAction para mensagens pop-up de aviso, justificativa ou bloqueio se aplica a emails ou anexos sem um rótulo.
Você pode refinar essa configuração especificando outra configuração avançada para mensagens de email sem anexos.
Crie a seguinte configuração avançada de cliente com um dos seguintes valores:
| Tipo de mensagem | Chave/valor |
|---|---|
| Warn | Chave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Valor: Aviso |
| Justify | Chave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Valor: Justificativa |
| Block | Chave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Valor: Bloqueio |
| Desativar estas mensagens | Chave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Valor: Off |
Se você não especificar essa configuração de cliente, o valor especificado para OutlookUnlabeledCollaborationAction será usado para mensagens de email sem rótulo e sem anexos, bem como para mensagens de email sem rótulo e com anexos.
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior="Warn"}
Ampliar listas de distribuição do Outlook ao procurar destinatários de email
Essa configuração usa uma configuração avançada de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Para ampliar a compatibilidade de outras configurações avançadas para destinatários dentro das listas de distribuição do Outlook, defina a configuração avançada EnableOutlookDistributionListExpansion como true.
- Chave: EnableOutlookDistributionListExpansion
- Valor: true
Por exemplo, se você tiver definido as configurações avançadas OutlookBlockTrustedDomains, OutlookBlockUntrustedCollaborationLabel e também a configuração EnableOutlookDistributionListExpansion, o Outlook estará habilitado para expandir a lista de distribuição e garantir que uma mensagem de bloqueio seja exibida conforme necessário.
O tempo limite padrão para expandir a lista de distribuição é de 2000 milissegundos.
Para modificar esse tempo limite, crie a seguinte configuração avançada para a política selecionada:
- Chave: OutlookGetEmailAddressesTimeOutMSProperty
- Valor: Inteiro, em milissegundos
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{
EnableOutlookDistributionListExpansion="true"
OutlookGetEmailAddressesTimeOutMSProperty="3000"
}
Impedir o envio de dados de auditoria para AIP e análise do Microsoft 365
Por padrão, o cliente de rotulagem unificada da Proteção de Informações do Azure é compatível com relatórios centrais e envia seus dados de auditoria para:
- Análise da Proteção de Informações do Azure, se um espaço de trabalho do Log Analytics estiver configurado
- Microsoft 365, onde é possível exibi-los no Gerenciador de atividades
Para alterar esse comportamento, de forma que os dados de auditoria não sejam enviados, faça o seguinte:
Adicione a seguinte configuração avançada de política usando o PowerShell do Centro de Conformidade de Segurança e Conformidade:
Chave: EnableAudit
Valor: False
Por exemplo, se sua política de rótulo tiver o nome "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}Observação
Por padrão, essa configuração avançada não está na política e os logs de auditoria são enviados.
Em todos as máquinas cliente da Proteção de Informações do Azure, exclua a seguinte pasta: %localappdata%\Microsoft\MSIP\mip
Para permitir que o cliente envie dados de log de auditoria novamente, altere o valor da configuração avançada para True. Não é necessário criar manualmente a pasta %localappdata%\Microsoft\MSIP\mip novamente nas máquinas cliente.
Enviar correspondências de tipo de informações para análise pela Proteção de Informações do Azure
Essa configuração usa uma configuração avançada de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Por padrão, o cliente de rotulagem unificada não envia correspondências de conteúdo de tipos de informações confidenciais para análise da Proteção de Informações do Azure. Para saber mais sobre essas informações adicionais que podem ser enviadas, veja a seção Correspondências de conteúdo para análise mais profunda da documentação central de relatórios.
Para enviar correspondências de conteúdo durante o envio de tipos de informações confidenciais, crie a seguinte configuração avançada de cliente em uma política de rótulo:
Chave: LogMatchedContent
Valor: True
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}
Limitar o consumo de CPU
A partir da versão 2.7.x.x do scanner, recomendamos limitar o consumo de CPU usando as seguintes configurações avançadas: ScannerMaxCPU e ScannerMinCPU.
Importante
Quando a política de limitação de thread a seguir estiver em uso, as configurações avançadas ScannerMaxCPU e ScannerMinCPU serão ignoradas. Cancele o uso de políticas que limitam o número de threads para limitar o consumo de CPU usando as configurações avançadas ScannerMaxCPU e ScannerMinCPU.
Essa configuração usa uma configuração avançada de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Para limitar o consumo de CPU na máquina de scanner, o gerenciamento é feito criando duas configurações avançadas:
ScannerMaxCPU:
Definir como 100 por padrão, o que significa que não há limite de consumo máximo de CPU. Nesse caso, o processo do scanner tentará usar todo o tempo de CPU disponível para maximizar suas taxas de varredura.
Se ScannerMaxCPU for definido como menos de 100, o scanner monitorará o consumo da CPU nos últimos 30 minutos. A CPU começará a reduzir o número de threads alocados para novos arquivos se seu uso médio ultrapassar o limite definido.
O limite no número de threads continuará enquanto o consumo de CPU for maior do que o limite definido para ScannerMaxCPU.
ScannerMinCPU:
Verificado somente se ScannerMaxCPU for diferente de 100 e não puder ser definido como um número maior que o valor de ScannerMaxCPU. Recomendamos manter ScannerMinCPU definido pelo menos 15 pontos abaixo do valor de ScannerMaxCPU.
Definir como 50 por padrão, o que significa que, se o consumo de CPU nos últimos 30 minutos for menor que esse valor, o scanner começará a adicionar novos threads para verificar mais arquivos em paralelo, até que o consumo de CPU atinja o nível definido para ScannerMaxCPU-15.
Limitar o número de threads usados pelo scanner
Importante
Quando a política de limitação de thread a seguir estiver em uso, as configurações avançadas ScannerMaxCPU e ScannerMinCPU serão ignoradas. Para limitar o consumo de CPU usando as configurações avançadas ScannerMaxCPU e ScannerMinCPU, cancele o uso de políticas que limitam o número de threads.
Essa configuração usa uma configuração avançada de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Por padrão, o scanner usa todos os recursos de processamento disponíveis na máquina que executa o serviço de varredura. Se precisar limitar o consumo de CPU durante a varredura desse serviço, crie a seguinte configuração avançada em uma política de rótulo.
Para o valor, especifique o número de threads simultâneos que o scanner varredura pode executar em paralelo. O scanner usa um thread separado para cada arquivo que verifica. Portanto, essa configuração de limitação também define o número de arquivos que podem ser verificados em paralelo.
Ao configurar o valor para teste pela primeira vez, recomendamos especificar 2 por núcleo e monitorar os resultados. Por exemplo, se o scanner for executado em uma máquina com 4 núcleos, primeiro defina o valor como 8. Se necessário, aumente ou diminua esse número, de acordo com o desempenho resultante necessário para a máquina scanner e suas taxas de digitalização.
Chave: ScannerConcurrencyLevel
Valor: <número de threads simultâneos>
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Scanner":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}
Migrar rótulos do Secure Islands e outras soluções de rotulagem
Essa configuração usa uma configuração avançada de rótulo que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Essa configuração não é compatível com arquivos PDF protegidos com uma extensão de nome .ppdf. Esses arquivos não podem ser abertos pelo cliente usando o Explorador de Arquivos ou o PowerShell.
Para documentos do Office com rótulos de Secure Islands, rotule-os novamente com um rótulo de confidencialidade usando um mapeamento que você definir. Você também deve usar esse método para reutilizar rótulos de outras soluções quando seus rótulos estão em documentos do Office.
Como resultado dessa opção de configuração, o novo rótulo de confidencialidade é aplicado pelo cliente de rotulagem unificada da Proteção de Informações do Azure da seguinte maneira:
Para documentos do Office: quando o documento é aberto no aplicativo da área de trabalho, o novo rótulo de confidencialidade é exibido conforme definido e aplicado ao salvar o documento.
Para PowerShell: Set-AIPFileLabel e Set-AIPFileClassificiation podem aplicar o novo rótulo de confidencialidade.
Para o Explorador de Arquivos: na caixa de diálogo Proteção de Informações do Azure, o novo rótulo de confidencialidade é exibido, porém não está definido.
Para essa configuração, é preciso especificar uma configuração avançada chamada labelByCustomProperties para cada rótulo de confidencialidade que você deseja mapear até o rótulo antigo. Em seguida, para cada entrada, defina o valor usando a seguinte sintaxe:
[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]
Especifique sua escolha de um nome de regra de migração. Use um nome descritivo que o ajude a identificar como um ou mais rótulos da solução de rotulagem anterior devem ser mapeados para o rótulo de confidencialidade.
Observe que essa configuração não remove o rótulo original ou marcas visuais no documento que o rótulo original possa ter aplicado. Para remover cabeçalhos e rodapés, veja Remover cabeçalhos e rodapés de outras soluções de rotulagem.
Exemplos:
- Exemplo 1: mapeamento um-para-um do mesmo nome de rótulo
- Exemplo 2: mapeamento um-para-um para um nome de rótulo diferente
- Exemplo 3: mapeamento de muitos para um de nomes de rótulos
- Exemplo 4: várias regras para o mesmo rótulo
Para mais personalização, veja:
- Estender as regras de migração de rótulos para emails
- Estender suas regras de migração de rótulo para propriedades do SharePoint
Observação
Se estiver migrando dos seus rótulos entre locatários, como ocorre após uma fusão de empresas, recomendamos que leia nossa postagem no blog sobre fusões e cisões para saber mais.
Exemplo 1: mapeamento um-para-um do mesmo nome de rótulo
Requisito: os documentos com um rótulo "Confidential" do Secure Islands devem ser rotulados novamente como "Confidential" pela Proteção de Informações do Azure.
Neste exemplo:
- O rótulo do Secure Islands é denominado Confidential e armazenado na propriedade personalizada chamada Classification.
A configuração avançada:
Chave: labelByCustomProperties
Valor: o rótulo do Secure Islands é Confidential, Classification, Confidential
Exemplo de comando do PowerShell em que seu rótulo é chamado "Confidential":
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Confidential,Classification,Confidential"}
Exemplo 2: mapeamento um-para-um para um nome de rótulo diferente
Requisito: os documentos com rótulo "Confidentials" no Secure Islands devem ser rotulados novamente como "Highly Confidential" pela Proteção de Informações do Azure.
Neste exemplo:
- O rótulo do Secure Islands é denominado Confidential e armazenado na propriedade personalizada chamada Classification.
A configuração avançada:
Chave: labelByCustomProperties
Valor: o rótulo do Secure Islands é Sensitive, Classification, Sensitive
Exemplo de comando do PowerShell em que seu rótulo é chamado "Highly Confidential":
Set-Label -Identity "Highly Confidential" -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Sensitive,Classification,Sensitive"}
Exemplo 3: mapeamento de muitos para um de nomes de rótulos
Requisito: você tem dois rótulos do Secure Islands com a palavra "Internal" e precisa que os documentos com um desses rótulos sejam rotulados novamente como "General" pelo cliente de rotulagem unificada da Proteção de Informações do Azure.
Neste exemplo:
- Os rótulos do Secure Islands incluem a palavra Internal e ficam armazenados na propriedade personalizada chamada Classification.
A configuração avançada do cliente:
Chave: labelByCustomProperties
Valor: O rótulo do Secure Islands contém Internal, Classification, *Internal*.
Exemplo de comando do PowerShell em que o rótulo é chamado "General":
Set-Label -Identity General -AdvancedSettings @{labelByCustomProperties="Secure Islands label contains Internal,Classification,.*Internal.*"}
Exemplo 4: várias regras para o mesmo rótulo
Quando precisar de várias regras para o mesmo rótulo, defina vários valores de cadeia de caracteres para a mesma chave.
Neste exemplo, os rótulos do Secure Islands chamados "Confidential" e "Secret" são armazenados na propriedade personalizada chamada Classification, e você quer que o cliente de rotulagem unificada da Proteção de Informações do Azure aplique o rótulo de confidencialidade chamado "Confidencial":
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}
Estender as regras de migração de rótulos para emails
O ajuste definido com a configuração avançada labelByCustomProperties pode ser usado para emails do Outlook, além de documentos do Office, especificando uma configuração avançada de política de rótulo adicional.
No entanto, essa configuração tem um real impacto negativo no desempenho do Outlook. Portanto, defina essa configuração adicional somente quando tiver um importante requisito comercial para ela, e lembre-se de defini-la como um valor de cadeia de caracteres nulo quando tiver concluído a migração da outra solução de rotulagem.
Para definir essa configuração avançada, insira as seguintes cadeias de caracteres para a política de rótulo selecionada:
Chave: EnableLabelByMailHeader
Valor: True
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelByMailHeader="True"}
Estender suas regras de migração de rótulo para propriedades do SharePoint
É possível usar o ajuste definido com a configuração avançada labelByCustomProperties para propriedades do SharePoint que você pode exibir como colunas aos usuários especificando uma configuração avançada de política de rótulo adicional.
Essa configuração é compatível quando usada com o Word, Excel e PowerPoint.
Para definir essa configuração avançada, insira as seguintes cadeias de caracteres para a política de rótulo selecionada:
Chave: EnableLabelBySharePointProperties
Valor: True
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelBySharePointProperties="True"}
Usar uma propriedade personalizada ao aplicar um rótulo
Essa configuração usa uma configuração avançada de rótulo que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Você pode se deparar com cenários em que deseje aplicar uma ou mais propriedades personalizadas a um documento ou mensagem de email, além dos metadados aplicados por um rótulo de confidencialidade.
Por exemplo:
Você está no processo de migração de outra solução de rotulagem, como o Secure Islands. Para interoperabilidade durante a migração, você quer que os rótulos de confidencialidade também apliquem uma propriedade personalizada usada pela outra solução de rotulagem.
Para seu sistema de gerenciamento de conteúdo (como o SharePoint ou uma solução de gerenciamento de documentos de outro fornecedor), a melhor opção é usar um nome de propriedade personalizado consistente, com valores diferentes para os rótulos e nomes amigáveis em vez do label GUID.
Para documentos do Office e emails do Outlook que os usuários rotulam usando o cliente de rotulagem unificada da Proteção de Informações do Azure, é possível adicionar uma ou mais propriedades personalizadas que você definir. É possível usar esse método também para fazer o cliente de rotulagem unificada exibir uma propriedade personalizada como um rótulo de outras soluções para conteúdo que ainda não foi rotulado pelo cliente de rotulagem unificada.
Como resultado dessa opção de configuração, todas as propriedades personalizadas adicionais são aplicadas pelo cliente de rotulagem unificada da Proteção de Informações do Azure da seguinte maneira:
| Environment | Descrição |
|---|---|
| Documentos do Office | Quando o documento é rotulado no aplicativo da área de trabalho, as propriedades personalizadas adicionais são aplicadas ao salvar o documento. |
| Emails do Outlook | Quando a mensagem de email é rotulada no Outlook, as propriedades adicionais são aplicadas ao cabeçalho x ao enviar o email. |
| PowerShell | Set-AIPFileLabel e Set-AIPFileClassificiation aplicam as propriedades personalizadas adicionais quando o documento é rotulado e salvo. Get-AIPFileStatus exibe propriedades personalizadas como o rótulo mapeado se um rótulo de confidencialidade não for aplicado. |
| Explorador de Arquivos | Quando o usuário clica com o botão direito do mouse no arquivo e aplica o rótulo, as propriedades personalizadas são aplicadas. |
Esse ajuste requer que uma configuração avançada chamada customPropertiesByLabel seja especificada para cada rótulo de confidencialidade em que você deseje aplicar as propriedades personalizadas adicionais. Em seguida, para cada entrada, defina o valor usando a seguinte sintaxe:
[custom property name],[custom property value]
Importante
O uso de espaços em branco na cadeia de caracteres impedirá a aplicação dos rótulos.
Por exemplo:
- Exemplo 1: Adicionar uma única propriedade personalizada a um rótulo
- Exemplo 2: Adicionar várias propriedades personalizadas a um rótulo
Exemplo 1: Adicionar uma única propriedade personalizada a um rótulo
Requisito: os documentos rotulados como "Confidential" pelo cliente de rotulagem unificada da Proteção de Informações do Azure devem aplicar o nome "Classification" à propriedade personalizada adicional com o valor de "Secret".
Neste exemplo:
- O rótulo de confidencialidade é chamado Confidential e cria uma propriedade personalizada chamada Classification com o valor de Secret.
A configuração avançada:
Chave: customPropertiesByLabel
Valor: Classificação,Segredo
Exemplo de comando do PowerShell em que seu rótulo é chamado "Confidential":
Set-Label -Identity Confidential -AdvancedSettings @{customPropertiesByLabel="Classification,Secret"}
Exemplo 2: Adicionar várias propriedades personalizadas a um rótulo
Para adicionar mais de uma propriedade personalizada ao mesmo rótulo, é preciso definir vários valores de cadeia de caracteres para a mesma chave.
Exemplo de comando do PowerShell, em que seu rótulo é chamado "General" e você deve adicionar uma propriedade personalizada chamada Classification com o valor de General e uma segunda propriedade personalizada chamada Sensitivity com o valor de Internal:
Set-Label -Identity General -AdvancedSettings @{customPropertiesByLabel=ConvertTo-Json("Classification,General", "Sensitivity,Internal")}
Configurar um rótulo para aplicar a proteção S/MIME no Outlook
Essa configuração usa as configurações avançadas de rótulo que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Use essas configurações somente quando tiver uma implantação S/MIME em funcionamento e quiser que um rótulo aplique automaticamente esse método de proteção a emails em vez da proteção do Rights Management da Proteção de Informações do Azure. A proteção resultante é a mesma de quando um usuário seleciona manualmente as opções S/MIME do Outlook.
| Configuração | Chave/valor |
|---|---|
| Assinatura digital S/MIME | Para definir uma configuração avançada para uma assinatura digital S/MIME, insira as seguintes cadeias de caracteres para o rótulo selecionado: - Chave: SMimeSign - Valor: True |
| Criptografia S/MIME | Para definir uma configuração avançada para criptografia S/MIME, insira as seguintes cadeias de caracteres para o rótulo selecionado: - Chave: SMimeEncrypt - Valor: True |
Quando um usuário seleciona o rótulo no Outlook, suas configurações S/MIME definidas são aplicadas. Se o rótulo também estiver configurado para a criptografia padrão do Rights Management que pode ser especificada no portal de conformidade do Microsoft Purview, suas configurações de S/MIME substituem a proteção do Rights Management somente no Outlook. Para os outros aplicativos compatíveis com o cliente de rotulagem unificada, o cliente continua usando as configurações de criptografia especificadas no portal de conformidade.
Se quiser que o rótulo seja visível somente no Outlook, configure a opção de criptografia Do Not Forward em Let users assign permissions.
Exemplo de comandos do PowerShell em que o rótulo é chamado "Recipients Only":
Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeSign="True"}
Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeEncrypt="True"}
Especificar um sub-rótulo padrão para um rótulo pai
Essa configuração usa uma configuração avançada de rótulo que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Ao adicionar um subrótulo a um rótulo, os usuários passam a não poder mais aplicar o rótulo pai a um documento ou email. Como padrão, os usuários selecionam o rótulo pai para ver os subrótulos que podem aplicar e, em seguida, selecionam um desses subrótulos. Se você definir essa configuração avançada, um subrótulo será automaticamente selecionado e aplicado quando os usuários selecionarem o rótulo pai:
Chave: DefaultSubLabelId
Valor: <GUID de subrótulo>
Exemplo de comando do PowerShell, em que o rótulo pai é chamado "Confidential" e o subrótulo "All Employees" tem um GUID de 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
Ativar a classificação para execução contínua em segundo plano
Essa configuração usa uma configuração avançada de rótulo que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Essa configuração, ao ser definida, altera o comportamento padrão de como o cliente de rotulagem unificada da Proteção de Informações do Azure aplica rótulos automáticos e recomendados a documentos:
Para Word, Excel e PowerPoint, a classificação automática é executada continuamente em segundo plano.
O comportamento não é alterado para o Outlook.
Quando o cliente de rotulagem unificada da Proteção de Informações do Azure verifica periodicamente os documentos quanto às regras de condição especificadas, esse comportamento habilita a classificação e a proteção automáticas e recomendadas para documentos do Office armazenados no SharePoint ou no OneDrive, desde que o salvamento automático esteja ativado. Arquivos grandes também são salvos mais rapidamente porque as regras de condição já foram executadas.
As regras de condição não são executadas em tempo real enquanto um usuário digita. Em vez disso, elas são executadas periodicamente como uma tarefa em segundo plano se o documento for modificado.
Para definir essa configuração avançada, insira as seguintes cadeias de caracteres:
- Chave: RunPolicyInBackground
- Valor: True
Exemplo de comando do PowerShell:
Set-LabelPolicy -Identity PolicyName -AdvancedSettings @{RunPolicyInBackground = "true"}
Observação
Esse recurso está em VERSÃO PRÉVIA no momento. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Especificar uma cor para o rótulo
Essa configuração usa as configurações avançadas de rótulo que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Use essa configuração avançada para definir uma cor para um rótulo. Para especificar a cor, insira um código tripleto hexadecimal para os componentes vermelho, verde e azul (RGB) da cor. Por exemplo, #40e0d0 é o valor hexadecimal RGB para turquesa.
Se você precisar de uma referência para esses códigos, encontrará uma tabela útil na <página de cores> dos documentos da Web do MSDN. Você também encontra esses códigos em muitos aplicativos que permitem editar imagens. Por exemplo, o Microsoft Paint permite que você escolha uma cor personalizada de uma paleta e os valores RGB são exibidos automaticamente, que é possível copiar.
Para definir uma configuração avançada para a cor do rótulo, insira as seguintes cadeias de caracteres para o rótulo selecionado:
Chave: color
Valor: <valor hexadecimal RGB>
Exemplo de comando do PowerShell em que o rótulo é chamado "Public":
Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}
Iniciar sessão como um usuário diferente
O AIP não é compatível com início de sessão de vários usuários em produção. Este procedimento descreve como iniciar sessão como um usuário diferente apenas para fins de teste.
Você pode verificar qual conta está conectada no momento usando a caixa de diálogo Proteção de Informações do Microsoft Azure: abra um aplicativo do Office e, na guia Home, selecione o botão Sensitivity e depois Help and feedback. O nome da sua conta é exibido na seção Client status.
Verifique também o nome de domínio da conta conectada que é exibida. Você pode não perceber que está conectado com o nome de conta certo, mas o domínio errado. Um dos sintomas de usar a conta errada inclui não baixar os rótulos ou não ver os rótulos ou o comportamento esperado.
Iniciar sessão como um usuário diferente:
Navegue até %localappdata%\Microsoft\MSIP e exclua o arquivo TokenCache.
Reinicie todos os aplicativos do Office abertos e entre com sua conta de usuário diferente. Se você não receber uma solicitação em seu aplicativo do Office para entrar no serviço Proteção de Informações do Azure, volte à caixa de diálogo Proteção de Informações do Microsoft Azure e selecione Sign in na seção Client status atualizada.
Além disso:
| Cenário | Descrição |
|---|---|
| Permanece conectado à conta antiga | Se o cliente de rotulagem unificada da Proteção de Informações do Azure ainda estiver conectado à conta antiga depois de concluir essas etapas, exclua todos os cookies do Internet Explorer e repita as etapas 1 e 2. |
| Confira "Usar o logon único" | Se estiver usando o logon único, você deve sair do Windows e entrar com sua conta de usuário diferente depois de excluir o arquivo de token. O cliente de rotulagem unificada da Proteção de Informações do Azure realiza uma autenticação automática usando sua conta de usuário conectada no momento. |
| Locatários diferentes | Esta solução é compatível para iniciar sessão como outro usuário do mesmo locatário. Não é permitido entrar como outro usuário de um locatário diferente. Para testar a Proteção de Informações do Azure com vários locatários, use máquinas diferentes. |
| Redefinir configurações | Você pode usar a opção Reset settings em Help and Feedback para encerrar uma sessão e excluir os rótulos e as configurações de política baixados atualmente do portal de conformidade do Microsoft Purview. |
Compatível com máquinas desconectadas
Importante
Compatível com máquinas desconectadas para os seguintes cenários de rotulagem: Explorador de Arquivos, PowerShell, seus aplicativos do Office e o scanner.
Como padrão, o cliente de rotulagem unificada da Proteção de Informações do Azure tenta se conectar automaticamente à Internet para baixar os rótulos e as configurações de política de rótulo do portal de conformidade do Microsoft Purview.
Se tiver máquinas sem conexão à internet por um período de tempo, você pode exportar e copiar arquivos que gerenciam manualmente a política para o cliente de rotulagem unificada.
Compatibilidade com máquinas desconectadas do cliente de rotulagem unificada:
Escolha ou crie uma conta de usuário no Microsoft Entra ID que será usada para baixar rótulos e configurações de política para sua máquina desconectada.
Como uma configuração de política de rótulo adicional para essa conta, desative o envio de dados de auditoria para a análise da Proteção de Informações do Azure.
Recomendamos esta etapa porque, se a máquina desconectada tiver conectividade periódica com a Internet, ele enviará informações de log para a análise da Proteção de Informações do Azure que inclui o nome de usuário da etapa 1. Essa conta de usuário pode ser diferente da conta local que está sendo usada na máquina desconectada.
Em uma máquina com conectividade à Internet e o cliente de rotulagem unificada instalado e conectado com a conta de usuário da etapa 1, baixe os rótulos e as configurações de política.
Use essa máquina para exportar os registros em log.
Por exemplo, execute o cmdlet Export-AIPLogs ou use a opção Export Logs na caixa de diálogo Help and Feedback do cliente.
Os arquivos de log são exportados como um único arquivo compactado.
Abra o arquivo compactado e, a partir da pasta MSIP, copie todos os arquivos com uma extensão de nome .xml.
Cole esses arquivos na pasta %localappdata%\Microsoft\MSIP na máquina desconectada.
Se a conta de usuário escolhida for uma que geralmente se conecta à internet, habilite o envio de dados de auditoria novamente, definindo o valor EnableAudit como True.
Lembre-se de que, se um usuário nessa máquina selecionar a opção Reset Settings em Help and Feedback, essa ação excluirá os arquivos de política e o cliente não poderá operar até que você substitua manualmente os arquivos ou o cliente se conecte à internet e baixe os arquivos.
Se a máquina desconectada estiver executando o scanner da Proteção de Informações do Azure, você deve executar algumas etapas de configuração adicionais. Para obter mais informações, veja Restrição: o servidor do scanner não pode estabelecer conexão com a internet nas instruções de implantação do scanner.
Alterar o nível de registros em log local
Como padrão, o cliente de rotulagem unificada da Proteção de Informações do Azure grava arquivos de log do cliente na pasta %localappdata%\Microsoft\MSIP. Esses arquivos são destinados à solução de problemas pelo Suporte da Microsoft.
Para alterar o nível de log desses arquivos, localize o seguinte nome de valor no registro e defina os dados de valor para o nível do registro em log necessário:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel
Defina o nível do registro em log para um dos seguintes valores:
Off: Sem registro local.
Error: Somente erros.
Warn: Erros e avisos.
Info: registro em log mínimo, que não inclui IDs de evento (a configuração padrão do scanner).
Debug: Informações completas.
Trace: registro em log detalhado (a configuração padrão para clientes).
Essa configuração do registro não altera as informações enviadas à Proteção de Informações do Azure para relatórios centrais.
Pular ou ignorar arquivos durante varreduras, dependendo dos atributos do arquivo
Essa configuração usa uma configuração avançada de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Como padrão, o scanner de rotulagem unificada da Proteção de Informações do Azure verifica todos os arquivos relevantes. No entanto, convém definir arquivos específicos a serem ignorados, como arquivos que foram movidos ou arquivados.
Habilite o scanner para ignorar arquivos específicos com base em seus atributos de arquivo usando a configuração avançada ScannerFSAttributesToSkip. No valor da configuração, liste os atributos de arquivo que permitirão que pular o arquivo quando todos estiverem definidos como true. Essa lista de atributos de arquivo usa a lógica AND.
Os comandos de exemplo do PowerShell a seguir ilustram como usar essa configuração avançada com um rótulo chamado "Global".
Ignorar arquivos somente leitura e arquivados
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}
Ignorar arquivos somente leitura ou arquivados
Para usar uma lógica OR, execute a mesma propriedade várias vezes. Por exemplo:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}
Dica
Recomendamos considerar habilitar o scanner para ignorar arquivos com os seguintes atributos:
- FILE_ATTRIBUTE_SYSTEM
- FILE_ATTRIBUTE_HIDDEN
- FILE_ATTRIBUTE_DEVICE
- FILE_ATTRIBUTE_OFFLINE
- FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
- FILE_ATTRIBUTE_RECALL_ON_OPEN
- FILE_ATTRIBUTE_TEMPORARY
Para obter uma lista de todos os atributos de arquivo que podem ser definidos na configuração avançada ScannerFSAttributesToSkip, veja as constantes de atributo do arquivo Win32
Preservar proprietários NTFS durante a rotulagem (visualização pública)
Essa configuração usa uma configuração avançada de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Como padrão, o scanner, o PowerShell e a rotulagem de extensão do Explorador de Arquivos não preservam o proprietário NTFS definido antes do rótulo.
Para garantir que o valor de proprietário NTFS seja preservado, defina a configuração avançada UseCopyAndPreserveNTFSOwner como true para a política de rótulo selecionada.
Cuidado
Defina essa configuração avançada somente quando puder garantir uma conexão de rede confiável e de baixa latência entre o scanner e o repositório digitalizado. Uma falha de rede durante o processo de rotulagem automática pode causar a perda do arquivo.
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}
Observação
Esse recurso está em VERSÃO PRÉVIA no momento. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Personalizar textos de solicitação de justificativa para rótulos modificados
Personalize os prompts de justificativa exibidos no Office e no cliente AIP, quando os usuários finais alterarem os rótulos de classificação em documentos e emails.
Por exemplo, como administrador, convém lembrar os usuários de não adicionar nenhuma informação de identificação do cliente neste campo:
Para modificar o texto padrão Other exibido, use a propriedade avançada JustificationTextForUserText com o cmdlet Set-LabelPolicy. Defina o valor para o texto a ser usado como modificação.
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
Personalizar mensagens pop-up do Outlook
Os administradores do AIP podem personalizar as mensagens pop-up que aparecem para os usuários finais no Outlook, como:
- Mensagens para emails bloqueados
- Mensagens de aviso solicitando que os usuários verifiquem o conteúdo que estão enviando
- Mensagens de justificativa solicitando que os usuários justifiquem o conteúdo que estão enviando
Importante
Esse procedimento substituirá configurações que você já definiu usando a propriedade avançada OutlookUnlabeledCollaborationAction.
Na produção, recomendamos evitar complicações usando a propriedade avançada OutlookUnlabeledCollaborationAction para definir suas regras ou definindo regras complexas com um arquivo json conforme definido abaixo, mas não ambos.
Para personalizar suas mensagens pop-up do Outlook:
Crie arquivos .json, cada um com uma regra que configura como o Outlook exibe mensagens pop-up para seus usuários. Para obter mais informações, veja Sintaxe .json do valor da regra e Exemplo de código .json de personalização pop-up.
Use o PowerShell para definir configurações avançadas que controlem as mensagens pop-up que você está configurando. Execute um conjunto separado de comandos para cada regra a ser configurada.
Cada conjunto de comandos do PowerShell deve incluir o nome da política que está sendo configurada, bem como a chave e o valor que definem sua regra.
Use a seguinte sintaxe:
$filedata = Get-Content "<Path to json file>" Set-LabelPolicy -Identity <Policy name> -AdvancedSettings @{<Key> ="$filedata"}Em que:
<Path to json file>é o caminho para o arquivo json criado por você. Por exemplo: C: \Users\msanchez\Desktop\ \dlp\OutlookCollaborationRule_1.json.<Policy name>é o nome da política que você quer configurar.<Key>é um nome para a sua regra. Use a sintaxe a seguir, em que <#> representa o número de série da regra:OutlookCollaborationRule_<#>
Para obter mais informações, confira Ordenar as regras de personalização do Outlook e Sintaxe json do valor da regra.
Dica
Para mais organização, nomeie seu arquivo com a mesma cadeia de caracteres usada para a chave do comando do PowerShell. Por exemplo, coloque em seu arquivo o nome OutlookCollaborationRule_1.json e, em seguida, use também OutlookCollaborationRule_1 como sua chave.
Para garantir que os pop-ups sejam exibidos mesmo quando os documentos são compartilhados de fora do Outlook (Compartilhamento >de Arquivos > Anexar uma cópia), defina também a configuração avançada PostponeMandatoryBeforeSave.
Ordenar as regras de personalização do Outlook
O AIP usa o número de série na chave inserida para determinar a ordem de processamento das regras. Quando for definir as chaves usadas para cada regra, defina suas regras mais restritivas com números mais baixos, seguidas por regras menos restritivas com números mais altos.
Quando uma correspondência de regra específica é encontrada, o AIP interrompe o processamento das regras e executa a ação associada à regra correspondente. (Primeira correspondência - > Sair da lógica)
Exemplo:
Se, por exemplo, você quiser configurar todos os emails Internal com uma mensagem de aviso específica, mas geralmente não desejar bloqueá-los. No entanto, você deve impedir que os usuários enviem anexos classificados como Secret, mesmo como emails Internal.
Nesse cenário, ordene sua chave de regra Block Secret, que é a regra mais específica, antes de sua chave de regra Warn on Internal mais genérica:
- Para a mensagem de bloqueio: OutlookCollaborationRule_1
- Para a mensagem de aviso: OutlookCollaborationRule_2
Sintaxe .json do valor da regra
Defina a sintaxe json da sua regra da seguinte maneira:
"type" : "And",
"nodes" : []
É preciso ter pelo menos dois nós, o primeiro representando a condição da regra e o último representando a ação da regra. Para saber mais, veja:
Sintaxe de condição da regra
Os nós de condição da regra devem incluir o tipo de nó e, em seguida, as próprias condições.
Os tipos compatíveis de nós incluem:
| Tipo de nó | Descrição |
|---|---|
| And | Executa and em todos os nós filho |
| Or | Executa or em todos os nós filho |
| Not | Executa not para seu próprio filho |
| Except | Retorna not para seu próprio filho, fazendo com que ele se comporte como All |
| SentTo, seguido por Domains: listOfDomains | Verifica uma das seguintes condições: - Se o pai for Except, ele verifica se todos os destinatários estão em um dos domínios - Se o pai for diferente de Except, verifique se algum dos destinatários está em um dos domínios. |
| EMailLabel, seguido do rótulo | Um dos seguintes: - O ID do rótulo - nulo, se não estiver rotulado |
| AttachmentLabel, seguido por Label e Extensions compatíveis | Um dos seguintes: true: - Se o pai for exceção, verifica se todos anexos com uma extensão compatível existem dentro do rótulo - Se o pai for algo que não exceção, verifique se algum dos anexos com uma extensão compatível existe dentro do rótulo - Se não estiver rotulado, e rótulo = nulo false: para todos os outros casos Nota: se a propriedade Extensions estiver vazia ou ausente, todos os tipos de arquivo (extensões) compatíveis serão incluídos na regra. |
Sintaxe da ação da regra
Ações da regra podem ser uma das seguintes:
| Ação | Sintaxe | Mensagem de exemplo |
|---|---|---|
| Block | Block (List<language, [title, body]>) |
Email bloqueado Você está prestes a enviar conteúdo classificado como Secret para um ou mais destinatários não confiáveis: rsinclair@contoso.comA política da sua organização não permite essa ação. Considere remover esses destinatários ou substituir o conteúdo. |
| Warn | Warn (List<language,[title,body]>) |
Confirmação necessária Você está prestes a enviar conteúdo classificado como General para um ou mais destinatários não confiáveis: rsinclair@contoso.comA política da sua organização requer confirmação para enviar esse conteúdo. |
| Justify | Justify (numOfOptions, hasFreeTextOption, List<language, [Title, body, options1,options2….]> ) Inclui até três opções. |
Justificativa necessária A política da sua organização exige justificativa para o envio de conteúdo classificado como General a destinatários não confiáveis. - Confirmo que os destinatários estão aprovados para o compartilhamento deste conteúdo - Meu gerente aprovou o compartilhamento deste conteúdo - Outro, conforme explicado |
Parâmetros de ação
Se nenhum parâmetro for fornecido para uma ação, as mensagens pop-ups terão o texto padrão.
Todos os textos são compatíveis com os seguintes parâmetros dinâmicos:
| Parâmetro | Descrição |
|---|---|
${MatchedRecipientsList} |
A última correspondência para as condições SentTo |
${MatchedLabelName} |
O rótulo de email/anexo, com o nome localizado da política |
${MatchedAttachmentName} |
O nome do anexo da última correspondência para a condição AttachmentLabel |
Observação
Todas as mensagens incluem a opção Diga-me mais, bem como as caixas de diálogo Ajuda e Feedback.
O idioma é o CultureName para o nome da localidade, como: inglês = en-us; espanhol = es-es
Nomes de idioma somente para pais também compatíveis, como somente en.
Exemplo de código .json de personalização de mensagem pop-up
Os seguintes conjuntos de código .json mostram como definir uma variedade de regras que controlam como o Outlook exibe mensagens pop-up para seus usuários.
- Exemplo 1: bloquear emails ou anexos internos
- Exemplo 2: bloquear anexos não classificados do Office
- Exemplo 3: exigir que o usuário aceite o envio de um email ou anexo confidencial
- Exemplo 4: avisar em emails sem rótulo, e um anexo com um rótulo específico
- Exemplo 5: solicitar uma justificativa, com duas opções predefinidas e uma opção extra de texto livre
Exemplo 1: bloquear emails ou anexos internos
O código .json a seguir bloqueará emails ou anexos classificados como Internal de serem definidos para destinatários externos.
Neste exemplo, 89a453df-5df4-4976-8191-259d0cf9560a é a ID do rótulo Internal e os domínios internos incluem contoso.com e microsoft.com.
Como nenhuma extensão específica é definida, todos os tipos de arquivo compatíveis são incluídos.
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"
},{
"type" : "EmailLabel",
"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"
}
]
},
{
"type" : "Block",
"LocalizationData": {
"en-us": {
"Title": "Email Blocked",
"Body": "The email or at least one of the attachments is classified as <Bold>${MatchedLabelName}</Bold>. Documents classified as <Bold> ${MatchedLabelName}</Bold> cannot be sent to external recipients (${MatchedRecipientsList}).<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance with classification requirements as per Contoso's policies."
},
"es-es": {
"Title": "Correo electrónico bloqueado",
"Body": "El correo electrónico o al menos uno de los archivos adjuntos se clasifica como <Bold> ${MatchedLabelName}</Bold>."
}
},
"DefaultLanguage": "en-us"
}
]
}
Exemplo 2: bloquear anexos não classificados do Office
O código .json a seguir bloqueia o envio de anexos ou emails não classificados do Office para destinatários externos.
No exemplo a seguir, a lista de anexos que requer rotulagem é: .doc,.docm,.docx,.dot,.dotm,.dotx,.potm,.potx,.pps,.ppsm,.ppsx,.ppt,.pptm,.pptx,.vdw,.vsd,.vsdm,.vsdx,.vss,.vssm,.vst,.vstm,.vssx,.vstx,.xls,.xlsb,.xlt,.xlsm,.xlsx,.xltm,.xltx
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : null,
"Extensions": [
".doc",
".docm",
".docx",
".dot",
".dotm",
".dotx",
".potm",
".potx",
".pps",
".ppsm",
".ppsx",
".ppt",
".pptm",
".pptx",
".vdw",
".vsd",
".vsdm",
".vsdx",
".vss",
".vssm",
".vst",
".vstm",
".vssx",
".vstx",
".xls",
".xlsb",
".xlt",
".xlsm",
".xlsx",
".xltm",
".xltx"
]
},{
"type" : "EmailLabel",
"LabelId" : null
}
]
},
{
"type" : "Block",
"LocalizationData": {
"en-us": {
"Title": "Emailed Blocked",
"Body": "Classification is necessary for attachments to be sent to external recipients.<br><br>List of attachments that are not classified:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br>For MS Office documents, classify and send again.<br><br>For PDF files, classify the document or classify the email (using the most restrictive classification level of any single attachment or the email content) and send again."
},
"es-es": {
"Title": "Correo electrónico bloqueado",
"Body": "La clasificación es necesaria para que los archivos adjuntos se envíen a destinatarios externos."
}
},
"DefaultLanguage": "en-us"
}
]
}
Exemplo 3: exigir que o usuário aceite o envio de um email ou anexo confidencial
No exemplo a seguir, o Outlook exibe uma mensagem que avisa ao usuário que ele está enviando um email ou anexo confidencial para destinatários externos e também exige que o usuário selecione I accept.
Esse tipo de mensagem de aviso é tecnicamente considerado uma justificativa, pois o usuário deve selecionar I accept.
Como nenhuma extensão específica é definida, todos os tipos de arquivo compatíveis são incluídos.
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"
},{
"type" : "EmailLabel",
"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"
}
]
},
{
"type" : "Justify",
"LocalizationData": {
"en-us": {
"Title": "Warning",
"Body": "You are sending a document that is classified as <Bold>${MatchedLabelName}</Bold> to at least one external recipient. Please make sure that the content is correctly classified and that the recipients are entitled to receive this document.<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><Bold>List of external email addresses:</Bold><br>${MatchedRecipientsList})<br><br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br><Bold>Acknowledgement</Bold><br>By clicking <Bold>I accept</Bold> below, you confirm that the recipient is entitled to receive the content and the communication complies with CS Policies and Standards",
"Options": [
"I accept"
]
},
"es-es": {
"Title": "Advertencia",
"Body": "Está enviando un documento clasificado como <Bold>${MatchedLabelName}</Bold> a al menos un destinatario externo. Asegúrese de que el contenido esté correctamente clasificado y que los destinatarios tengan derecho a recibir este documento.",
"Options": [
"Acepto"
]
}
},
"HasFreeTextOption":"false",
"DefaultLanguage": "en-us"
}
]
}
Exemplo 4: avisar em emails sem rótulo, e um anexo com um rótulo específico
O código .json a seguir faz com que o Outlook avise o usuário quando ele estiver enviando um email interno sem rótulo, com um anexo com um rótulo específico.
Neste exemplo, bcbef25a-c4db-446b-9496-1b558d9edd0e é a ID do rótulo do anexo, e a regra é aplicável a arquivos .docx, .xlsx e .pptx.
Como padrão, emails com anexos rotulados não recebem automaticamente o mesmo rótulo.
{
"type" : "And",
"nodes" : [
{
"type" : "EmailLabel",
"LabelId" : null
},
{
"type": "AttachmentLabel",
"LabelId": "bcbef25a-c4db-446b-9496-1b558d9edd0e",
"Extensions": [
".docx",
".xlsx",
".pptx"
]
},
{
"type" : "SentTo",
"Domains" : [
"contoso.com",
]
},
{
"type" : "Warn"
}
]
}
Exemplo 5: solicitar uma justificativa, com duas opções predefinidas e uma opção extra de texto livre
O código .json a seguir faz com que o Outlook solicite ao usuário uma justificativa para sua ação. O texto de justificativa inclui duas opções predefinidas, além de uma terceira opção de texto livre.
Como nenhuma extensão específica é definida, todos os tipos de arquivo compatíveis são incluídos.
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
]
}
},
{
"type" : "EmailLabel",
"LabelId" : "34b8beec-40df-4219-9dd4-553e1c8904c1"
},
{
"type" : "Justify",
"LocalizationData": {
"en-us": {
"Title": "Justification Required",
"Body": "Your organization policy requires justification for you to send content classified as <Bold> ${MatchedLabelName}</Bold>,to untrusted recipients:<br>Recipients are: ${MatchedRecipientsList}",
"Options": [
"I confirm the recipients are approved for sharing this content",
"My manager approved sharing of this content",
"Other, as explained"
]
},
"es-es": {
"Title": "Justificación necesaria",
"Body": "La política de su organización requiere una justificación para que envíe contenido clasificado como <Bold> ${MatchedLabelName}</Bold> a destinatarios que no sean de confianza.",
"Options": [
"Confirmo que los destinatarios están aprobados para compartir este contenido.",
"Mi gerente aprobó compartir este contenido",
"Otro, como se explicó"
]
}
},
"HasFreeTextOption":"true",
"DefaultLanguage": "en-us"
}
]
}
Configurar tempos limite do SharePoint
Como padrão, o tempo limite para interações do SharePoint é de dois minutos, após o qual a tentativa de operação AIP falha.
A partir da versão 2.8.85.0, os administradores do AIP podem controlar esse tempo limite com as seguintes propriedades avançadas, usando uma sintaxe hh:mm:ss para definir os tempos limite:
SharepointWebRequestTimeout. Determina o tempo limite para todas as solicitações da Web do AIP para o SharePoint. Padrão = 2 minutos.
Por exemplo, se sua política for chamada Global, o comando do PowerShell de exemplo a seguir atualizará o tempo limite da solicitação da Web para 5 minutos.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}SharepointFileWebRequestTimeout. Determina o tempo limite especificamente para arquivos do SharePoint por meio de solicitações da web do AIP. Padrão: 15 minutos
Por exemplo, se sua política for chamada Global, o comando de exemplo do PowerShell a seguir atualiza o tempo limite para a solicitação pela Web do arquivo para 10 minutos.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
Evitar tempos limite do scanner no SharePoint
Se você tiver caminhos de arquivo longos no SharePoint versão 2013 ou superior, verifique se o valor httpRuntime.maxUrlLength do servidor do SharePoint é maior que os 260 caracteres padrão.
Esse valor é definido na classe HttpRuntimeSection da configuração ASP.NET.
Para atualizar a classe HttpRuntimeSection:
Faça backup da configuração web.config.
Atualize o valor maxUrlLength conforme necessário. Por exemplo:
<httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000" />Reinicie o servidor web do SharePoint e verifique se ele carrega corretamente.
Por exemplo, no Gerenciador do IIS (Servidores de Informações da Internet) do Windows, selecione seu site e, em Manage Site, selecione Restart.
Evitar problemas de desempenho do Outlook com emails S/MIME
Problemas de desempenho podem ocorrer no Outlook quando os emails S/MIME são abertos no painel de leitura. Para evitar esses problemas, habilite a propriedade avançada OutlookSkipSmimeOnReadingPaneEnabled.
Habilitar essa propriedade impede que a barra do AIP e as classificações de email sejam exibidas no Painel de Leitura.
Por exemplo, se a política for chamada Global, o seguinte comando de exemplo do PowerShell habilitará a propriedade OutlookSkipSmimeOnReadingPaneEnabled.
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookSkipSmimeOnReadingPaneEnabled="true"}
Desativar recursos de rastreamento de documentos
Como padrão, os recursos de rastreamento de documentos estão ativados para seu locatário. Para desativá-los, por exemplo para requisitos de privacidade em sua organização ou região, defina o valor EnableTrackAndRevoke como False.
Depois de desativados, os dados de rastreamento de documentos não estarão mais disponíveis em sua organização e os usuários não verão mais a opção de menu Revoke em seus aplicativos do Office.
Para a política de rótulo selecionada, especifique as seguintes cadeias de caracteres:
Chave: EnableTrackAndRevoke
Valor: False
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableTrackAndRevoke="False"}
Depois de definir esse valor como False, a opção para rastrear e revogar é desativada da seguinte maneira:
- A abertura de documentos protegidos usando o cliente de rotulagem unificada do AIP não registra mais os documentos para a opção rastrear e revogar.
- Os usuários finais não verão mais a opção de menu Revogar em seus aplicativos do Office.
No entanto, os documentos protegidos já registrados para rastreamento continuarão a ser rastreados e os administradores ainda podem revogar o acesso do PowerShell. Para desativar totalmente o controle e revogar recursos, execute também o cmdlet Disable-AipServiceDocumentTrackingFeature.
Essa configuração usa uma configuração avançada de política que você deve configurar usando o PowerShell do Centro de Conformidade de Segurança.
Dica
Para ativar a opção rastrear e revogar novamente, defina EnableTrackAndRevoke como True e execute também o cmdlet Enable-AipServiceDocumentTrackingFeature.
Desativar a opção Revoke para usuários finais em aplicativos do Office
Se você não quiser que os usuários finais possam revogar o acesso a documentos protegidos de seus aplicativos do Office, remova a opção Revoke Access dos aplicativos do Office.
Observação
A remoção da opção Revoke Access ainda mantém seus documentos protegidos e rastreados em segundo plano, além de manter a capacidade do administrador de revogar o acesso a documentos usando do PowerShell.
Para a política de rótulo selecionada, especifique as seguintes cadeias de caracteres:
Chave: EnableRevokeGuiSupport
Valor: False
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}
Configurar o tempo limite de rotulagem automática em arquivos do Office
Por padrão, o tempo limite de rotulagem automática do scanner em arquivos do Office é de 3 segundos.
Se você tiver um arquivo do Excel complexo com muitas planilhas ou linhas, 3 segundos podem não ser suficientes para aplicar rótulos automaticamente. Para aumentar esse tempo limite para a política de rótulos selecionada, especifique as seguintes cadeias de caracteres:
Chave: OfficeContentExtractionTimeout
Valor: Segundos, no seguinte formato:
hh:mm:ss.
Importante
É recomendado que você não aumente esse tempo limite para mais de 15 segundos.
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}
O tempo limite atualizado é aplicável à rotulagem automática em todos os arquivos do Office.
Ativar recursos de globalização de classificação (Visualização Pública)
Recursos de globalização de classificação, incluindo maior precisão para idiomas do Leste Asiático e suporte para caracteres de byte duplo. Esses aprimoramentos são fornecidos apenas para processos de 64 bits e estão desativados como padrão.
Para ativar esses recursos para sua política, especifique as seguintes cadeias de caracteres:
Chave: EnableGlobalization
Valor:
True
Exemplo de comando do PowerShell em que sua política de rótulo é chamada "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}
Para desativar a compatibilidade novamente e reverter para o padrão, defina a configuração avançada EnableGlobalization como uma cadeia de caracteres vazia.
Habilitar configurações de limite de dados
De acordo com o compromisso da Microsoft com o limite de dados da UE, os clientes da UE do cliente de rotulagem unificada da Proteção de Informações do Azure podem enviar seus dados para a UE para armazenamento e processamento.
Ative esse recurso no Cliente AIP alterando essa chave do Registro que especifica o local apropriado para o qual os eventos devem ser enviados:
- Chave do registro: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\DataBoundary (DWORD)
- Valores:
Default = 0North_America = 1European_Union = 2
Habilitar o navegador padrão do sistema para autenticação
Use o navegador padrão do sistema para autenticação no Cliente AIP. Por padrão, o Cliente AIP abrirá o Microsoft Edge para autenticação.
Ative esse recurso no Cliente AIP habilitando esta chave do Registro:
- Chave do Registro: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\MSALUseSytemDefaultBrowserAuth (DWORD)
- Valores:
Disabled = 0Enabled = 1
Próximas etapas
Agora que você configurou o cliente unificado de rotulagem da Proteção de Informações do Azure, confira os seguintes recursos que talvez sejam necessários para ajudar esse cliente:
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de