Definições avançadas para o cliente do Microsoft Purview Information Protection
Este artigo contém as definições avançadas do PowerShell de Conformidade do & de Segurança que são suportadas pelo cliente do Microsoft Purview Information Protection quando utiliza os seguintes cmdlets:
As definições avançadas que são suportadas por etiquetas de confidencialidade incorporadas nas aplicações e serviços do Microsoft 365 estão incluídas na própria página do cmdlet. Também poderá encontrar sugestões úteis do PowerShell para especificar as definições avançadas.
| Definições avançadas para etiquetas | Descrição |
|---|---|
| Color | Especificar uma cor para a etiqueta |
| DefaultSubLabelId | Especificar uma sub-etiqueta predefinida para uma etiqueta principal |
| Definições avançadas para políticas de etiquetas | Descrição |
|---|---|
| AdditionalPPrefixExtensions | Suporte para alterar <EXT>. PFILE para P<EXT> |
| EnableAudit | Impedir que os dados de auditoria sejam enviados para o Microsoft Purview |
| EnableContainerSupport | Ativar a remoção da encriptação de ficheiros PST, rar, 7zip e MSG |
| EnableCustomPermissions | Desativar permissões personalizadas no Explorador de Ficheiros |
| EnableCustomPermissionsForCustomProtectedFiles | Para ficheiros encriptados com permissões personalizadas, apresente sempre permissões personalizadas aos utilizadores no Explorador de Ficheiros |
| EnableGlobalization | Ativar as funcionalidades de globalização de classificação |
| JustificationTextForUserText | Personalizar textos de pedido de justificação para etiquetas modificadas |
| LogMatchedContent | Enviar correspondências de tipo de informação para o Microsoft Purview |
| OfficeContentExtractionTimeout | Configurar o tempo limite de etiquetagem automática para ficheiros do Office |
| PFileSupportedExtensions | Alterar os tipos de ficheiro a proteger |
| ReportAnIssueLink | Adicionar "Comunicar um Problema" aos utilizadores |
| ScannerMaxCPU | Limitar o consumo da CPU |
| ScannerMinCPU | Limitar o consumo da CPU |
| ScannerConcurrencyLevel | Limitar o número de threads utilizados pelo scanner |
| ScannerFSAttributesToSkip | Ignorar ou ignorar ficheiros durante as análises consoante os atributos de ficheiro) |
| SharepointWebRequestTimeout | Configurar tempos limite do SharePoint |
| SharepointFileWebRequestTimeout | Configurar tempos limite do SharePoint |
| UseCopyAndPreserveNTFSOwner | Preservar os proprietários do NTFS durante a etiquetagem |
AdditionalPPrefixExtensions
Esta propriedade avançada para alterar <EXT>. O PFILE para P<EXT> é suportado pelo Explorador de Ficheiros, pelo PowerShell e pelo scanner. Todas as aplicações têm um comportamento semelhante.
Chave: AdditionalPPrefixExtensions
Valor: <valor> da cadeia
Utilize a tabela seguinte para identificar o valor da cadeia para especificar:
| Valor da cadeia | Cliente e scanner |
|---|---|
| * | Todas as extensões PFile tornam-se P<EXT> |
| <Valor nulo> | O valor predefinido comporta-se como o valor de encriptação predefinido. |
| ConvertTo-Json(".dwg", ".zip") | Além da lista anterior, ".dwg" e ".zip" tornam-se P<EXT> |
Com esta definição, as seguintes extensões tornam-se sempre P<EXT>: ".txt", ".xml", ".bmp", ".jt", ".jpg", ".jpeg", ".jpe", ".jif", ".jfif", ".jfi", ".png", ".tif", ".tiff", ".gif"). A exclusão notável é que "ptxt" não se torna "txt.pfile".
Esta definição requer que a definição avançada PFileSupportedExtension esteja ativada.
Exemplo 1: o comando do PowerShell para se comportar como o comportamento predefinido em que Proteger ".dwg" torna-se ".dwg.pfile":
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}
Exemplo 2: comando do PowerShell para alterar todas as extensões PFile da encriptação genérica para a encriptação nativa quando os ficheiros são etiquetados e encriptados:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}
Exemplo 3: comando do PowerShell para alterar ".dwg" para ".pdwg" ao utilizar este serviço para proteger este ficheiro:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}
Cor
Utilize esta definição avançada para definir uma cor para uma etiqueta. Para especificar a cor, introduza um código hexadecimal para os componentes vermelho, verde e azul (RGB) da cor. Por exemplo, #40e0d0 é o valor hexadecimal RGB para turquesa.
Se precisar de uma referência para estes códigos, encontrará uma tabela útil na <página de cores> dos documentos Web da MSDN. Também pode encontrar estes códigos em muitas aplicações que lhe permitem editar imagens. Por exemplo, o Microsoft Paint permite que você escolha uma cor personalizada de uma paleta e os valores RGB são exibidos automaticamente, os quais você pode então copiar.
Para configurar a definição avançada para a cor de uma etiqueta, introduza as seguintes cadeias para a etiqueta selecionada:
Chave: cor
Valor: <valor hexadecimal> RGB
Comando do PowerShell de exemplo, no qual a sua etiqueta se chama "Público":
Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}
DefaultSubLabelId
Quando adiciona uma sub-etiqueta a uma etiqueta, os utilizadores já não podem aplicar a etiqueta principal a um documento ou e-mail. Por predefinição, os utilizadores selecionam a etiqueta principal para ver as sub-etiquetas que podem aplicar e, em seguida, selecionam uma dessas sub-etiquetas. Se configurar esta definição avançada, quando os utilizadores selecionarem a etiqueta principal, é selecionada automaticamente uma sub-etiqueta e aplicada às mesmas:
Chave: DefaultSubLabelId
Valor: <GUID> de sub-etiqueta
Comando do PowerShell de exemplo, em que a etiqueta principal é denominada "Confidencial" e a sub-etiqueta "Todos os Funcionários" tem um GUID de 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
EnableAudit
Por predefinição, o cliente de proteção de informações envia dados de auditoria para o Microsoft Purview, onde pode ver estes dados no explorador de atividades.
Para alterar este comportamento, utilize a seguinte definição avançada:
Chave: EnableAudit
Valor: Falso
Por exemplo, se a política de etiquetas tiver o nome "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}
Em seguida, em computadores locais que executam o cliente de proteção de informações, elimine a seguinte pasta: %localappdata%\Microsoft\MSIP\mip
Para permitir que o cliente envie dados de registo de auditoria novamente, altere o valor de definição avançada para Verdadeiro. Não é necessário criar manualmente a pasta %localappdata%\Microsoft\MSIP\mip nos computadores cliente.
EnableContainerSupport
Esta definição permite ao cliente de proteção de informações remover a encriptação de ficheiros PST, rar e 7zip.
Chave: EnableContainerSupport
Valor: Verdadeiro
Por exemplo, se a política de etiquetas tiver o nome "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}
EnableCustomPermissions
Por predefinição, os utilizadores veem uma opção denominada Proteger com permissões personalizadas quando clicam com o botão direito do rato no Explorador de Ficheiros com a etiqueta de ficheiros. Esta opção permite-lhes definir as suas próprias definições de encriptação que podem substituir quaisquer definições de encriptação que possa ter incluído com uma configuração de etiqueta. Os utilizadores também podem ver uma opção para remover a encriptação. Quando configura esta definição, os utilizadores não veem estas opções.
Utilize a seguinte definição para que os utilizadores não vejam estas opções:
Chave: EnableCustomPermissions
Valor: Falso
Comando do PowerShell de exemplo, em que a política de etiquetas tem o nome "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
EnableCustomPermissionsForCustomProtectedFiles
Quando configura a definição avançada do cliente EnableCustomPermissions para desativar as permissões personalizadas no Explorador de Ficheiros, por predefinição, os utilizadores não conseguem ver ou alterar permissões personalizadas que já estão definidas num documento encriptado.
No entanto, existe outra definição de cliente avançada que pode especificar para que, neste cenário, os utilizadores possam ver e alterar as permissões personalizadas de um documento encriptado quando utilizam o Explorador de Ficheiros e clicar com o botão direito do rato no ficheiro.
Chave: EnableCustomPermissionsForCustomProtectedFiles
Valor: Verdadeiro
Comando do PowerShell de exemplo, em que a política de etiquetas tem o nome "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}
EnableGlobalization
Funcionalidades de globalização de classificação, incluindo maior precisão para idiomas da Ásia Oriental e suporte para carateres de byte duplo. Estas melhorias são fornecidas apenas para processos de 64 bits e estão desativadas por predefinição.
Ative estas funcionalidades para a sua política especifique as seguintes cadeias:
Chave: AtivarGlobalização
Valor:
True
Comando do PowerShell de exemplo, em que a política de etiquetas tem o nome "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}
Para desativar novamente o suporte e reverter para a predefinição, defina a definição avançada EnableGlobalization para uma cadeia vazia.
JustificationTextForUserText
Personalize os pedidos de justificação que são apresentados quando os utilizadores finais alteram as etiquetas de confidencialidade nos ficheiros.
Por exemplo, como administrador, poderá querer lembrar os seus utilizadores para não adicionarem informações de identificação de clientes a este campo.
Para modificar a predefinição Outra opção que os utilizadores podem selecionar na caixa de diálogo, utilize a definição avançada JustificationTextForUserText . Defina o valor como o texto que pretende utilizar.
Comando do PowerShell de exemplo, em que a política de etiquetas tem o nome "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
LogMatchedContent
Por predefinição, o cliente de proteção de informações não envia correspondências de conteúdo para tipos de informações confidenciais para o Microsoft Purview, que depois podem ser apresentados no explorador de atividades. O scanner envia sempre estas informações. Para obter mais informações sobre estas informações adicionais que podem ser enviadas, veja Correspondências de conteúdo para uma análise mais aprofundada.
Para enviar correspondências de conteúdo quando são enviados tipos de informações confidenciais, utilize a seguinte definição avançada numa política de etiqueta:
Chave: LogMatchedContent
Valor: Verdadeiro
Comando do PowerShell de exemplo, em que a política de etiquetas tem o nome "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}
OfficeContentExtractionTimeout
Por predefinição, o tempo limite de etiquetagem automática do scanner em ficheiros do Office é de 3 segundos.
Se tiver um ficheiro complexo do Excel com muitas folhas ou linhas, 3 segundos poderão não ser suficientes para aplicar etiquetas automaticamente. Para aumentar este tempo limite para a política de etiquetas selecionada, especifique as seguintes cadeias:
Chave: OfficeContentExtractionTimeout
Valor: Segundos, no seguinte formato:
hh:mm:ss.
Importante
Recomendamos que não aumente este tempo limite para mais de 15 segundos.
Comando do PowerShell de exemplo, em que a política de etiquetas tem o nome "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}
O tempo limite atualizado aplica-se à etiquetagem automática em todos os ficheiros do Office.
PFileSupportedExtensions
Com esta definição, pode alterar os tipos de ficheiro encriptados, mas não pode alterar o nível de encriptação predefinido de nativo para genérico. Por exemplo, para os utilizadores que executam o identificador de ficheiros, pode alterar a predefinição para que apenas os ficheiros do Office e ficheiros PDF sejam encriptados em vez de todos os tipos de ficheiro. No entanto, não pode alterar estes tipos de ficheiro para serem encriptados genericamente com uma extensão de nome de ficheiro .pfile.
Chave: PFileSupportedExtensions
Valor: <valor> da cadeia
Utilize a tabela seguinte para identificar o valor da cadeia para especificar:
| Valor da cadeia | Cliente | Scanner |
|---|---|---|
| * | Valor predefinido: Aplicar encriptação a todos os tipos de ficheiro | Aplicar encriptação a todos os tipos de ficheiro |
| ConvertTo-Json(".jpg", ".png") | Além dos tipos de ficheiros do Office e ficheiros PDF, aplique encriptação às extensões de nome de ficheiro especificadas | Além dos tipos de ficheiros do Office e ficheiros PDF, aplique encriptação às extensões de nome de ficheiro especificadas |
Exemplo 1: comando do PowerShell para o scanner encriptar todos os tipos de ficheiro, em que a política de etiquetas é denominada "Scanner":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
Exemplo 2: comando do PowerShell para o scanner encriptar ficheiros .txt e .csv ficheiros, além de ficheiros do Office e ficheiros PDF, em que a sua política de etiquetas tem o nome "Scanner":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}
ReportAnIssueLink
Quando especificar a seguinte definição avançada de cliente, os utilizadores veem uma opção Comunicar um Problema que podem selecionar na caixa de diálogo Cliente de Ajuda e Comentários na etiqueta de ficheiros. Especifique uma cadeia HTTP para a ligação. Por exemplo, uma página Web personalizada que tem para os utilizadores reportarem problemas ou um endereço de e-mail que vai para o suporte técnico.
Para configurar esta definição avançada, introduza as seguintes cadeias de carateres para a política de etiquetas selecionada:
Chave: ReportAnIssueLink
Valor: cadeia <HTTP>
Valor de exemplo para um site: https://support.contoso.com
Valor de exemplo para um endereço de e-mail: mailto:helpdesk@contoso.com
Comando do PowerShell de exemplo, em que a política de etiquetas tem o nome "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}
ScannerMaxCPU
Importante
Recomendamos que limite o consumo da CPU através das definições avançadas ScannerMaxCPU e ScannerMinCPU em vez de ScannerConcurrencyLevel que é suportado para retrocompatibilidade.
Se for especificada a definição avançada mais antiga, as definições avançadas scannerMaxCPU e ScannerMinCPU são ignoradas.
Utilize esta definição avançada em conjunto com ScannerMinCPU para limitar o consumo de CPU no computador scanner.
Chave: ScannerMaxCPU
Valor: <número>**
O valor está definido como 100 por predefinição, o que significa que não há limite de consumo máximo de CPU. Neste caso, o processo do analisador tentará utilizar todo o tempo de CPU disponível para maximizar as taxas de análise.
Se definir ScannerMaxCPU para menos de 100, o scanner monitorizará o consumo da CPU nos últimos 30 minutos. Se a CPU média ultrapassar o limite que definiu, começará a reduzir o número de threads alocados para novos ficheiros.
O limite do número de threads continuará, desde que o consumo da CPU seja superior ao limite definido para ScannerMaxCPU.
ScannerMinCPU
Importante
Recomendamos que limite o consumo da CPU através das definições avançadas ScannerMaxCPU e ScannerMinCPU em vez de ScannerConcurrencyLevel que é suportado para retrocompatibilidade.
Se for especificada a definição avançada mais antiga, as definições avançadas scannerMaxCPU e ScannerMinCPU são ignoradas.
Utilizado apenas se ScannerMaxCPU não for igual a 100 e não puder ser definido como um número superior ao valor ScannerMaxCPU .
Recomendamos que mantenha ScannerMinCPU definido pelo menos 15 pontos abaixo do valor de ScannerMaxCPU.
O valor está definido como 50 por predefinição, o que significa que, se o consumo da CPU nos últimos 30 minutos for inferior a este valor, o scanner começará a adicionar novos threads para analisar mais ficheiros em paralelo, até que o consumo da CPU atinja o nível que definiu para ScannerMaxCPU-15.
ScannerConcurrencyLevel
Importante
Recomendamos que limite o consumo da CPU através das definições avançadas ScannerMaxCPU e ScannerMinCPU em vez de ScannerConcurrencyLevel que é suportado para retrocompatibilidade.
Quando esta definição avançada mais antiga é especificada, as definições avançadas scannerMaxCPU e ScannerMinCPU são ignoradas.
Por predefinição, o analisador utiliza todos os recursos de processador disponíveis no computador que executa o serviço de scanner. Se precisar de limitar o consumo da CPU enquanto este serviço está a analisar, especifique o número de threads simultâneos que o scanner pode executar em paralelo. O scanner utiliza um thread separado para cada ficheiro que analisa, pelo que esta configuração de limitação também define o número de ficheiros que podem ser analisados em paralelo.
Quando configurar o valor para teste pela primeira vez, recomendamos que especifique 2 por núcleo e, em seguida, monitorize os resultados. Por exemplo, se executar o scanner num computador com 4 núcleos, primeiro defina o valor como 8. Se necessário, aumente ou diminua esse número, de acordo com o desempenho resultante necessário para o computador scanner e as taxas de análise.
Chave: ScannerConcurrencyLevel
Valor: <número de threads simultâneos>
Comando do PowerShell de exemplo, em que a política de etiquetas tem o nome "Scanner":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}
ScannerFSAttributesToSkip
Por predefinição, o analisador do Information Protection analisa todos os ficheiros relevantes. No entanto, poderá querer definir ficheiros específicos para serem ignorados, como ficheiros arquivados ou ficheiros que tenham sido movidos.
Ative o scanner para ignorar ficheiros específicos com base nos respetivos atributos de ficheiro através da definição avançada ScannerFSAttributesToSkip . No valor de definição, liste os atributos de ficheiro que irão permitir que o ficheiro seja ignorado quando todos estiverem definidos como verdadeiros. Esta lista de atributos de ficheiro utiliza a lógica E.
Exemplo de comandos do PowerShell, em que a política de etiquetas tem o nome "Global".
Ignorar ficheiros que são só de leitura e arquivados
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}
Ignorar ficheiros que são só de leitura ou arquivados
Para utilizar uma lógica OR, execute a mesma propriedade várias vezes. Por exemplo:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}
Dica
Recomendamos que considere ativar o scanner para ignorar ficheiros com os seguintes atributos:
- FILE_ATTRIBUTE_SYSTEM
- FILE_ATTRIBUTE_HIDDEN
- FILE_ATTRIBUTE_DEVICE
- FILE_ATTRIBUTE_OFFLINE
- FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
- FILE_ATTRIBUTE_RECALL_ON_OPEN
- FILE_ATTRIBUTE_TEMPORARY
Para obter uma lista de todos os atributos de ficheiro que podem ser definidos na definição avançada ScannerFSAttributesToSkip , veja As Constantes de Atributos de Ficheiro Win32
SharepointWebRequestTimeout
Por predefinição, o tempo limite das interações do SharePoint é de dois minutos, após o qual a operação do cliente de proteção de informações tentada falha. Controle este tempo limite com as definições avançadas sharepointWebRequestTimeout e SharepointFileWebRequestTimeout com uma sintaxe hh:mm:ss para definir os tempos limite.
Especifique um valor para determinar o tempo limite de todos os pedidos Web do cliente de proteção de informações para o SharePoint. A predefinição é minutos.
Por exemplo, se a sua política for denominada Global, o seguinte comando do PowerShell de exemplo atualiza o tempo limite do pedido Web para 5 minutos.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}
SharepointFileWebRequestTimeout
Por predefinição, o tempo limite das interações do SharePoint é de dois minutos, após o qual a operação do cliente de proteção de informações tentada falha. Controle este tempo limite com as definições avançadas sharepointWebRequestTimeout e SharepointFileWebRequestTimeout com uma sintaxe hh:mm:ss para definir os tempos limite.
Especifique o valor de tempo limite para ficheiros do SharePoint através de pedidos Web de cliente de proteção de informações. A predefinição é de 15 minutos.
Por exemplo, se a sua política for denominada Global, o comando do PowerShell de exemplo seguinte atualiza o tempo limite do pedido Web do ficheiro para 10 minutos.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
UseCopyAndPreserveNTFSOwner
Observação
Esta funcionalidade está atualmente em PRÉ-VISUALIZAÇÃO. Os Termos Suplementares de Pré-visualização do Azure incluem termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Por predefinição, o cliente de proteção de informações não preserva o proprietário do NTFS que foi definido antes de aplicar uma etiqueta de confidencialidade.
Para garantir que o valor de proprietário do NTFS é preservado, defina a definição avançada UseCopyAndPreserveNTFSOwner como verdadeiro para a política de etiqueta selecionada.
Cuidado
Para o scanner: defina esta definição avançada apenas quando pode garantir uma ligação de rede fiável e de baixa latência entre o scanner e o repositório analisado. Uma falha de rede durante o processo de etiquetagem automática pode fazer com que o ficheiro se perca.
Comando do PowerShell de exemplo, em que a política de etiquetas tem o nome "Global"
Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}