Руководство администратора. Пользовательские конфигурации для клиента унифицированных меток Azure Information Protection
Примечание.
Ищете информацию о Microsoft Purview Information Protection (прежнее название — Microsoft Information Protection, MIP)?
Надстройка Azure Information Protection отменяется и заменяется метками, встроенными в приложения и службы Microsoft 365. Дополнительные сведения о состоянии поддержки других компонентов Azure Information Protection.
Новый клиент Microsoft Information Protection (без надстройки) в настоящее время находится в предварительной версии и планируется для общедоступной доступности.
Используйте следующие сведения для расширенных конфигураций, необходимых для определенных сценариев или пользователей при управлении клиентом унифицированных меток AIP.
Примечание.
Эти параметры требуют редактирования реестра или указания дополнительных параметров. Дополнительные параметры используют PowerShell центра безопасности и соответствия требованиям.
Настройка дополнительных параметров для клиента с помощью PowerShell
Используйте PowerShell безопасности и соответствия требованиям, чтобы настроить дополнительные параметры для настройки политик меток и меток.
В обоих случаях после подключения к PowerShell безопасности и соответствия требованиям укажите параметр Advanced Параметры с удостоверением (именем или GUID) политики или метки с парами "ключ-значение" в хэш-таблице.
Чтобы удалить расширенный параметр, используйте тот же синтаксис параметра Advanced Параметры, но укажите значение строки NULL.
Внимание
Не используйте пробелы в строковых значениях. Белые строки в этих строковых значениях препятствуют применению меток.
Дополнительные сведения см. в разделе:
- Синтаксис расширенных параметров политики меток
- Синтаксис расширенных параметров метки
- Проверка текущих дополнительных параметров
- Примеры настройки дополнительных параметров
- Указание политики меток или удостоверения метки
- Порядок приоритета — разрешение конфликтующих параметров
- Дополнительные ссылки на параметры
Синтаксис расширенных параметров политики меток
Пример расширенного параметра политики меток — это параметр для отображения панели Information Protection в Приложение Office.
Для одного строкового значения используйте следующий синтаксис:
Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key="value1,value2"}
Для нескольких строковых значений для одного и того же ключа используйте следующий синтаксис:
Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}
Синтаксис расширенных параметров метки
Пример расширенного параметра метки — это параметр для указания цвета метки.
Для одного строкового значения используйте следующий синтаксис:
Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key="value1,value2"}
Для нескольких строковых значений для одного и того же ключа используйте следующий синтаксис:
Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}
Проверка текущих дополнительных параметров
Чтобы проверка текущих расширенных параметров, выполните следующие команды:
Чтобы проверка расширенные параметры политики меток, используйте следующий синтаксис:
Для политики меток с именем Global:
(Get-LabelPolicy -Identity Global).settings
Чтобы проверка расширенных параметров метки, используйте следующий синтаксис:
Для метки с именем Public:
(Get-Label -Identity Public).settings
Примеры настройки дополнительных параметров
Пример 1. Настройка расширенного параметра политики меток для одного строкового значения:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
Пример 2. Задание дополнительного параметра метки для одного строкового значения:
Set-Label -Identity Internal -AdvancedSettings @{smimesign="true"}
Пример 3. Задание дополнительного параметра метки для нескольких строковых значений:
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}
Пример 4. Удаление расширенного параметра политики меток путем указания значения строки NULL:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions=""}
Указание политики меток или удостоверения метки
Поиск имени политики меток для параметра удостоверений PowerShell прост, так как в Портал соответствия требованиям Microsoft Purview существует только одно имя политики.
Однако для меток Портал соответствия требованиям Microsoft Purview отображать значение имени и отображаемого имени. В некоторых случаях эти значения будут одинаковыми, но они могут отличаться. Чтобы настроить дополнительные параметры для меток, используйте значение Name .
Например, чтобы определить метку на следующем рисунке, используйте следующий синтаксис в команде PowerShell: -Identity "All Company"
Если вы предпочитаете указать GUID метки, это значение не отображается в Портал соответствия требованиям Microsoft Purview. Используйте команду Get-Label, чтобы найти это значение следующим образом:
Get-Label | Format-Table -Property DisplayName, Name, Guid
Дополнительные сведения об именах меток и отображаемых именах:
Имя — это исходное имя метки, и оно уникально для всех ваших меток.
Это значение остается неизменным, даже если вы изменили имя метки позже. Для меток конфиденциальности, перенесенных из Azure Information Protection, можно увидеть исходный идентификатор метки из портал Azure.
Отображаемое имя в настоящее время отображается пользователям для метки и не должно быть уникальным для всех меток.
Например, у вас может быть отображаемое имя всех сотрудников для подметки "Конфиденциальный" и другое отображаемое имя всех сотрудников для подметки "Строго конфиденциальный". Эти вложенные метки отображают одно и то же имя, но не одинаковые и имеют разные параметры.
Порядок приоритета — разрешение конфликтующих параметров
Вы можете использовать Портал соответствия требованиям Microsoft Purview для настройки следующих параметров политики меток:
Применение этой метки по умолчанию к документам и электронным письмам
Пользователи должны предоставить обоснование для удаления метки или нижней метки классификации
Требовать, чтобы пользователи применяли метку к электронной почте или документу
Предоставление пользователям ссылки на настраиваемую страницу справки
Если для пользователя настроено несколько политик меток, каждый из которых имеет потенциально разные параметры политики, последний параметр политики применяется в соответствии с порядком политик в Портал соответствия требованиям Microsoft Purview. Дополнительные сведения см. в разделе "Приоритет политики меток" (вопросы заказа)
Дополнительные параметры политики меток применяются с помощью той же логики, используя последний параметр политики.
Дополнительные ссылки на параметры
В следующих разделах перечислены доступные дополнительные параметры для политик меток и меток:
- Дополнительные ссылки на параметры по компоненту
- Справочник по расширенным параметрам политики меток
- Справочник по дополнительным параметрам метки
Дополнительные ссылки на параметры по компоненту
В следующих разделах перечислены дополнительные параметры, описанные на этой странице по продуктам и интеграции компонентов:
Справочник по расширенным параметрам политики меток
Используйте параметр Advanced Параметры с New-LabelPolicy и Set-LabelPolicy, чтобы определить следующие параметры:
Справочник по дополнительным параметрам метки
Используйте параметр Advanced Параметры с new-Label и Set-Label.
| Параметр | Сценарий и инструкции |
|---|---|
| color | Указание цвета метки |
| customPropertiesByLabel | Применение настраиваемого свойства при применении метки |
| DefaultSubLabelId | Указание вложенной метки по умолчанию для родительской метки |
| labelByCustomProperties | Перенос меток из Secure Islands и других решений по маркировке |
| SMimeEncrypt | Настройка метки для применения защиты S/MIME в Outlook |
| SMimeSign | Настройка метки для применения защиты S/MIME в Outlook |
Скрытие параметра меню "Классификация и защита" в Windows проводник
Чтобы скрыть параметр меню Classify и Protect в Windows проводник, создайте следующее имя значения DWORD (с любыми данными о значении):
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable
Дополнительные сведения см. в разделе "Использование проводник для классификации файлов".
Отображать панель Information Protection в приложениях Office
Эта конфигурация использует расширенный параметр политики, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
По умолчанию пользователи должны выбрать параметр "Показать панель" в кнопке "Конфиденциальность", чтобы отобразить панель Information Protection в Приложение Office. Используйте ключ HideBarByDefault и задайте значение False, чтобы автоматически отобразить эту панель для пользователей, чтобы они могли выбрать метки из панели или кнопки.
Для выбранной политики меток укажите следующие строки:
Ключ: HideBarByDefault
Значение: False
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{HideBarByDefault="False"}
Исключение сообщений Outlook из обязательной метки
Эта конфигурация использует расширенный параметр политики, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
По умолчанию при включении параметра политики меток всех документов и сообщений электронной почты должна быть метка, все сохраненные документы и отправленные сообщения электронной почты должны применяться. При настройке следующего дополнительного параметра параметр политики применяется только к документам Office, а не к сообщениям Outlook.
Для выбранной политики меток укажите следующие строки:
Ключ: DisableMandatoryInOutlook
Значение: True
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{DisableMandatoryInOutlook="True"}
Включение рекомендуемой классификации в Outlook
Эта конфигурация использует расширенный параметр политики, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
При настройке метки для рекомендуемой классификации пользователям предлагается принять или закрыть рекомендуемую метку в Word, Excel и PowerPoint. Этот параметр расширяет эту рекомендацию по метке, чтобы также отображаться в Outlook.
Для выбранной политики меток укажите следующие строки:
Ключ: OutlookRecommendationEnabled
Значение: True
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookRecommendationEnabled="True"}
Включение удаления защиты из сжатых файлов
Эта конфигурация использует расширенный параметр политики, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
При настройке этого параметра командлет PowerShell Set-AIPFileLabel включен, чтобы разрешить удаление защиты от PST, rar и 7zip-файлов.
Ключ: EnableContainerSupport
Значение: True
Пример команды PowerShell, в которой включена политика:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}
Установка другой метки по умолчанию для Outlook
Эта конфигурация использует расширенный параметр политики, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
При настройке этого параметра Outlook не применяет метку по умолчанию, настроенную как параметр политики для параметра Применить эту метку по умолчанию к документам и сообщениям электронной почты. Вместо этого Outlook может применять другую метку по умолчанию или нет метки.
Для выбранной политики меток укажите следующие строки:
Ключ: OutlookDefaultLabel
Значение: <guid> метки или none
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookDefaultLabel="None"}
Изменение типов файлов для защиты
Эти конфигурации используют расширенный параметр политики, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
По умолчанию клиент унифицированных меток Azure Information Protection защищает все типы файлов, а сканер от клиента защищает только типы файлов Office и PDF-файлы.
Это поведение по умолчанию для выбранной политики меток можно изменить, указав одно из следующих значений:
PFileSupportedExtension
Ключ: PFileSupportedExtensions
Значение: <строковое значение>
Чтобы определить строковое значение, используйте следующую таблицу, чтобы указать следующее:
| «Строковое значение» | Клиент | Сканер |
|---|---|---|
| * | Значение по умолчанию: применение защиты ко всем типам файлов | Применение защиты ко всем типам файлов |
| ConvertTo-Json(".jpg", ".png") | Помимо типов файлов Office и PDF-файлов, примените защиту к указанным расширениям имени файла. | Помимо типов файлов Office и PDF-файлов, примените защиту к указанным расширениям имени файла. |
Пример 1. Команда PowerShell для сканера для защиты всех типов файлов, где политика меток называется "Сканер":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
Пример 2. Команда PowerShell для сканера для защиты .txt файлов и .csv файлов в дополнение к файлам Office и PDF-файлам, где политика меток называется Сканером:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}
С помощью этого параметра можно изменить, какие типы файлов защищены, но вы не можете изменить уровень защиты по умолчанию с собственного на универсальный. Например, для пользователей, работающих с клиентом унифицированных меток, можно изменить параметр по умолчанию, чтобы только файлы Office и PDF-файлы были защищены вместо всех типов файлов. Но вы не можете изменить эти типы файлов для универсальной защиты с расширением PFILE-файла.
ДополнительныеPPrefixExtensions
Клиент унифицированных меток поддерживает изменение <EXT>. PFILE к P<EXT> с помощью расширенного свойства , AdditionalPPrefixExtensions. Это дополнительное свойство поддерживается из проводник, PowerShell и сканера. Все приложения имеют аналогичное поведение.
Ключ: AdditionalPPrefixExtensions
Значение: <строковое значение>
Чтобы определить строковое значение, используйте следующую таблицу, чтобы указать следующее:
| «Строковое значение» | Клиент и сканер |
|---|---|
| * | Все расширения PFile становятся P<EXT> |
| <Значение NULL> | Значение по умолчанию действует как значение защиты по умолчанию. |
| ConvertTo-Json(".dwg", ".zip") | Помимо предыдущего списка, ".dwg" и ".zip" становятся P<EXT> |
При использовании этого параметра следующие расширения всегда становятся P<EXT>: ".txt", ".xml", ".bmp", "jt", ".jpg", ".jpeg", ".jpe", ".jif", ".jfif", ".jfi", ".png", ".tif", ".tiff", ".gif"). Важное исключение заключается в том, что "ptxt" не становится "txt.pfile".
AdditionalPPrefixExtensions работает только в том случае, если защита PFiles с расширенным свойством — PFileSupportedExtension включена.
Пример 1. Команда PowerShell для поведения по умолчанию, в которой защита ".dwg" становится ".dwg.pfile":
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}
Пример 2. Команда PowerShell для изменения всех расширений PFile с универсальной защиты (dwg.pfile) на собственную защиту (PDWG) при защите файлов:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}
Пример 3. Команда PowerShell для изменения ".dwg" на ".pdwg" при использовании этой службы защищает этот файл:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}
Удалите "Не сейчас" для документов при использовании обязательной метки
Эта конфигурация использует расширенный параметр политики, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
При использовании параметра политики меток всех документов и сообщений электронной почты должно быть метка, пользователям предлагается выбрать метку при первом сохранении документа Office и при отправке сообщения электронной почты из Outlook.
Для документов пользователи могут временно отключить запрос на выбор метки и вернуться к документу. Однако они не могут закрыть сохраненный документ без метки.
При настройке параметра PostponeMandatoryBeforeSave параметр Not now удаляется, чтобы пользователи должны выбрать метку при первом сохранении документа.
Совет
Параметр PostponeMandatoryBeforeSave также гарантирует, что общие документы помечены перед отправкой по электронной почте.
По умолчанию, даже если у вас есть все документы и сообщения электронной почты, в политике должна быть включена метка , пользователи получают доступ только к файлам меток, вложенным в сообщения электронной почты из Outlook.
Для выбранной политики меток укажите следующие строки:
Ключ: PostponeMandatoryBeforeSave
Значение: False
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{PostponeMandatoryBeforeSave="False"}
Удаление верхних и нижних колонтитулов из других решений по маркировке
В этой конфигурации используются расширенные параметры политики, которые необходимо настроить с помощью PowerShell центра безопасности и соответствия требованиям.
Существует два метода удаления классификаций из других решений маркировки:
| Параметр | Description |
|---|---|
| WordShapeNameToRemove | Удаляет любую фигуру из документов Word, где имя фигуры соответствует имени, как определено в расширенном свойстве WordShapeNameToRemove . Дополнительные сведения см. в разделе "Использование расширенного свойства WordShapeNameToRemove". |
| RemoveExternalContentMarkingInApp ExternalContentMarkingToRemove |
Позволяет удалять или заменять текстовые колонтитулы из документов Word, Excel и PowerPoint. Для получения дополнительной информации см. - Использование расширенного свойства RemoveExternalContentMarkingInApp - Настройка ExternalContentMarkingToRemove. |
Использование расширенного свойства WordShapeNameToRemove
Расширенное свойство WordShapeNameToRemove поддерживается с версии 2.6.101.0 и выше
Этот параметр позволяет удалять или заменять метки на основе фигур из документов Word, когда эти визуальные маркировки были применены другим решением по маркировке. Например, фигура содержит имя старой метки, которая теперь перенесена на метки конфиденциальности, чтобы использовать новое имя метки и ее собственную фигуру.
Чтобы использовать это расширенное свойство, необходимо найти имя фигуры в документе Word, а затем определить их в списке расширенных свойств WordShapeNameToRemove фигур. Служба удаляет любую фигуру в Word, которая начинается с имени, определенного в списке фигур в этом расширенном свойстве.
Не удаляйте фигуры, содержащие текст, который вы хотите игнорировать, определив имя всех фигур для удаления и избегая проверка проверка текста во всех фигурах, который является ресурсоемким процессом.
Примечание.
В Microsoft Word фигуры можно удалить, определив имя фигур или текст, но не оба. Если свойство WordShapeNameToRemove определено, все конфигурации, определенные значением ExternalContentMarkingToRemove, игнорируются.
Чтобы найти имя используемой фигуры и хотите исключить следующее:
В Word отобразится область выбора: панель выбора вкладки "Главная вкладка>", область >выбора выбора.>
Выберите фигуру на странице, которую вы хотите пометить для удаления. Имя пометки фигуры теперь выделено в области выбора .
Используйте имя фигуры, чтобы указать строковое значение для ключа WordShapeNameToRemove.
Пример: имя фигуры — dc. Чтобы удалить фигуру с таким именем, укажите значение: dc
Ключ: WordShapeNameToRemove
Значение: <имя фигуры Word>
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{WordShapeNameToRemove="dc"}
При удалении нескольких фигур Word укажите столько значений, сколько нужно удалить.
Использование расширенного свойства RemoveExternalContentMarkingInApp
Этот параметр позволяет удалять или заменять текстовые заголовки или нижние колонтитулы из документов, когда эти визуальные маркировки были применены другим решением по маркировке. Например, старый нижний колонтитул содержит имя старой метки, которая теперь перенесена на метки конфиденциальности, чтобы использовать новое имя метки и собственный нижний колонтитул.
Когда клиент унифицированных меток получает эту конфигурацию в своей политике, старые верхние и нижние колонтитулы удаляются или заменяются при открытии документа в Приложение Office и к документу применяется любая метка конфиденциальности.
Эта конфигурация не поддерживается для Outlook, и помните, что при использовании с Word, Excel и PowerPoint это может негативно повлиять на производительность этих приложений для пользователей. Конфигурация позволяет определять параметры для каждого приложения, например, искать текст в верхних и нижних колонтитулах документов Word, но не в электронных таблицах Excel или презентациях PowerPoint.
Так как сопоставление шаблонов влияет на производительность пользователей, рекомендуется ограничить типы Приложение Office ликации (Word, EXcel, PowerPoint) только тем, которые необходимо искать. Для выбранной политики меток укажите следующие строки:
Ключ: RemoveExternalContentMarkingInApp
Значение: <Приложение Office ликации типов WXP>
Примеры:
Чтобы искать только документы Word, укажите W.
Чтобы найти документы Word и презентации PowerPoint, укажите WP.
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInApp="WX"}
Затем вам потребуется по крайней мере один дополнительный дополнительный параметр клиента ExternalContentMarkingToRemove, чтобы указать содержимое верхнего или нижнего колонтитула, а также как удалить или заменить их.
Настройка ExternalContentMarkingToRemove
При указании строкового значения для ключа ExternalContentMarkingToRemove есть три варианта, которые используют регулярные выражения. Для каждого из этих сценариев используйте синтаксис, показанный в столбце "Пример значения " в следующей таблице:
| Вариант | Описание примера | Пример значения |
|---|---|---|
| Частичное совпадение для удаления всего в верхнем или нижнем колонтитуле | Верхние или нижние колонтитулы содержат строку TEXT TO REMOVE, и вы хотите полностью удалить эти верхние или нижние колонтитулы. | *TEXT* |
| Полное соответствие, чтобы удалить только определенные слова в верхнем или нижнем колонтитуле | Верхние или нижние колонтитулы содержат строку TEXT TO REMOVE, и вы хотите удалить только слово TEXT , оставив строку верхнего или нижнего колонтитула как TO REMOVE. | TEXT |
| Полное соответствие, чтобы удалить все в верхнем или нижнем колонтитуле | Верхние или нижние колонтитулы имеют строку TEXT TO REMOVE. Вы хотите удалить верхние или нижние колонтитулы, которые имеют именно эту строку. | ^TEXT TO REMOVE$ |
Шаблон, соответствующий указанной строке, не учитывает регистр. Максимальная длина строки составляет 255 символов и не может содержать пробелы.
Так как некоторые документы могут включать невидимые символы или различные типы пробелов или вкладок, строка, указанная для фразы или предложения, может не быть обнаружена. По возможности укажите одно различающееся слово для значения и обязательно протестируйте результаты перед развертыванием в рабочей среде.
Для той же политики меток укажите следующие строки:
Ключ: ExternalContentMarkingToRemove
Значение: <строка для сопоставления, определяемая как регулярное выражение>
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*TEXT*"}
Дополнительные сведения см. в разделе:
Многостроковые верхние или нижние колонтитулы
Если текст верхнего или нижнего колонтитула превышает одну строку, создайте ключ и значение для каждой строки. Например, если у вас есть следующий нижний колонтитул с двумя строками:
Файл классифицируется как конфиденциальный
Метка применена вручную
Чтобы удалить этот многостроевой нижний колонтитул, создайте следующие две записи для одной политики меток:
- Ключ: ExternalContentMarkingToRemove
- Значение ключа 1: *Конфиденциально*
- Значение ключа 2: *Метка применена*
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove=ConvertTo-Json("Confidential","Label applied")}
Оптимизация для PowerPoint
Верхние и нижние колонтитулы в PowerPoint реализуются в виде фигур. Для типов фигур msoTextBox, msoTextEffect, msoPlaceholder и msoAutoShape следующие расширенные параметры обеспечивают дополнительную оптимизацию:
Кроме того, PowerPointRemoveAllShapesByShapeName может удалить любой тип фигуры на основе имени фигуры.
Дополнительные сведения см. в разделе "Поиск имени фигуры", используемой в качестве колонтитула.
Избегайте удаления фигур из PowerPoint, содержащих указанный текст, и не являются верхними и нижними колонтитулами
Чтобы избежать удаления фигур, содержащих указанный текст, но не колонтитулы, используйте дополнительный расширенный параметр клиента с именем PowerPointShapeNameToRemove.
Мы также рекомендуем использовать этот параметр, чтобы избежать проверка текста во всех фигурах, что является ресурсоемким процессом.
Если этот дополнительный дополнительный параметр клиента не указан, а PowerPoint включен в значение ключа RemoveExternalContentMarkingInApp, все фигуры будут проверка для текста, указанного в значении ExternalContentMarkingToRemove.
Если это значение указано, будут удалены только фигуры, соответствующие критериям имени фигуры, а также текст, соответствующий строке, предоставленной ExternalContentMarkingToRemove .
Например:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
Расширение удаления внешней маркировки на пользовательские макеты
Эта конфигурация использует расширенный параметр политики, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
По умолчанию логика, используемая для удаления внешних пометок содержимого, игнорирует пользовательские макеты, настроенные в PowerPoint. Чтобы расширить эту логику до пользовательских макетов, задайте для расширенного свойства RemoveExternalMarkingFromCustomLayouts значение True.
Ключ: RemoveExternalMarkingFromCustomLayouts
Значение: True
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
Удаление всех фигур определенного имени фигуры
Если вы используете пользовательские макеты PowerPoint и хотите удалить все фигуры определенного имени фигуры из верхних и нижних колонтитулов, используйте расширенный параметр PowerPointRemoveAllShapesByShapeName с именем фигуры, которую вы хотите удалить.
При использовании параметра PowerPointRemoveAllShapesByShapeName текст в фигурах игнорируется и вместо этого используется имя фигуры, которые нужно удалить.
Например:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointRemoveAllShapesByShapeName="Arrow: Right"}
Дополнительные сведения см. в разделе:
- Найдите имя фигуры, используемой в качестве верхнего или нижнего колонтитула.
- Удаление маркировки внешнего содержимого из пользовательских макетов в PowerPoint
Найдите имя фигуры, используемой в качестве верхнего или нижнего колонтитула.
В PowerPoint отобразится область выбора: вкладка> "Форматирование" в области выбора группы>.
Выберите фигуру на слайде, содержащей верхний или нижний колонтитул. Имя выбранной фигуры теперь выделено в области выбора .
Используйте имя фигуры, чтобы указать строковое значение для ключа PowerPointShapeNameToRemove .
Пример: имя фигуры — fc. Чтобы удалить фигуру с таким именем, укажите значение: fc
Ключ: PowerPointShapeNameToRemove
Значение: <имя фигуры PowerPoint>
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
При удалении нескольких фигур PowerPoint укажите столько значений, сколько фигур нужно удалить.
По умолчанию только главные слайды проверка для верхних и нижних колонтитулов. Чтобы расширить этот поиск ко всем слайдам, который является гораздо более ресурсоемким процессом, используйте дополнительный расширенный параметр клиента RemoveExternalContentMarkingInAllSlides:
Ключ: RemoveExternalContentMarkingInAllSlides
Значение: True
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInAllSlides="True"}
Удаление маркировки внешнего содержимого из пользовательских макетов в PowerPoint
Эта конфигурация использует расширенный параметр политики, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
По умолчанию логика, используемая для удаления внешних пометок содержимого, игнорирует пользовательские макеты, настроенные в PowerPoint. Чтобы расширить эту логику до пользовательских макетов, задайте для расширенного свойства RemoveExternalMarkingFromCustomLayouts значение True.
Ключ: RemoveExternalMarkingFromCustomLayouts
Значение: True
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
Отключение пользовательских разрешений в проводник
Эта конфигурация использует расширенный параметр политики, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
По умолчанию пользователи видят параметр "Защитить с пользовательскими разрешениями" при щелчке правой кнопкой мыши в проводник и выборе классификации и защиты. Этот параметр позволяет задать собственные параметры защиты, которые могут переопределить любые параметры защиты, которые могут быть включены в конфигурацию метки. Пользователи также могут видеть возможность удаления защиты. При настройке этого параметра пользователи не видят эти параметры.
Чтобы настроить этот дополнительный параметр, введите следующие строки для выбранной политики меток:
Ключ: EnableCustomPermissions
Значение: False
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
Для файлов, защищенных пользовательскими разрешениями, всегда отображайте пользовательские разрешения пользователям в проводник
Эта конфигурация использует расширенный параметр политики, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
При настройке расширенного параметра клиента для отключения пользовательских разрешений в проводник по умолчанию пользователи не могут видеть или изменять пользовательские разрешения, которые уже установлены в защищенном документе.
Однако существует еще один расширенный параметр клиента, который можно указать, чтобы в этом сценарии пользователи могли видеть и изменять пользовательские разрешения для защищенного документа при использовании проводник и щелкните файл правой кнопкой мыши.
Чтобы настроить этот дополнительный параметр, введите следующие строки для выбранной политики меток:
Ключ: EnableCustomPermissionsForCustomProtectedFiles
Значение: True
Пример команды PowerShell:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}
Для сообщений электронной почты с вложениями примените метку, соответствующую наивысшей классификации этих вложений
В этой конфигурации используются расширенные параметры политики, которые необходимо настроить с помощью PowerShell центра безопасности и соответствия требованиям.
Этот параметр предназначен для того, когда пользователи присоединяют помеченные документы к электронной почте и не помечают само сообщение электронной почты. В этом сценарии метка автоматически выбирается для них на основе меток классификации, применяемых к вложениям. Выбрана самая высокая метка классификации.
Вложение должно быть физическим файлом и не может быть ссылкой на файл (например, ссылка на файл в Microsoft SharePoint или OneDrive).
Этот параметр можно настроить на "Рекомендуется", чтобы пользователи могли применить выбранную метку к сообщению электронной почты. Затем пользователи могут принять рекомендацию или закрыть ее, не применяя метку. Кроме того, вы можете настроить этот параметр в значение "Автоматически", где выбранная метка автоматически применяется, но пользователи могут удалить метку или выбрать другую метку перед отправкой сообщения электронной почты. Оба сценария поддерживают настраиваемое сообщение.
Примечание.
Если вложение с самой высокой меткой классификации настроено для защиты с помощью параметра пользовательских разрешений:
- Если определяемые пользователем разрешения метки включают Outlook (Не пересылать), эта метка выбрана, и к электронной почте применяется защита от не переадресации.
- Если определяемые пользователем разрешения метки предназначены только для Word, Excel, PowerPoint и проводник, эта метка не применяется к сообщению электронной почты и не является защитой.
Чтобы настроить этот дополнительный параметр, введите следующие строки для выбранной политики меток:
Ключ 1. AttachmentAction
Значение ключа 1. Рекомендуемый или автоматический
Key 2 (необязательно): AttachmentActionTip
Значение ключа 2: "<настраиваемая подсказка>"
Необязательная настраиваемая подсказка поддерживает только один язык. Если этот параметр не указан, для пользователей отображаются следующие сообщения:
- Рекомендуемое сообщение: рекомендуется пометить это сообщение как <имя метки.>
- Автоматическое сообщение: это сообщение было автоматически помечено как <имя метки>
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{AttachmentAction="Automatic"}
Добавление сообщения о проблеме для пользователей
Эта конфигурация использует расширенный параметр политики, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
При указании следующего расширенного параметра клиента пользователи видят параметр "Сообщить о проблеме ", который можно выбрать в диалоговом окне "Справка и отзыв ". Укажите строку HTTP для ссылки. Например, настраиваемая веб-страница, которую пользователи могут сообщать о проблемах, или адрес электронной почты, который отправляется в службу технической поддержки.
Чтобы настроить этот дополнительный параметр, введите следующие строки для выбранной политики меток:
Ключ: ReportAnIssueLink
Значение: <СТРОКА HTTP>
Пример значения для веб-сайта: https://support.contoso.com
Пример значения адреса электронной почты: mailto:helpdesk@contoso.com
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}
Реализуйте всплывающие сообщения в Outlook, которые предупреждают, оправдывают или блокируют отправку сообщений электронной почты.
В этой конфигурации используются расширенные параметры политики, которые необходимо настроить с помощью PowerShell центра безопасности и соответствия требованиям.
При создании и настройке следующих расширенных параметров клиента пользователи видят всплывающие сообщения в Outlook, которые могут предупреждать их перед отправкой сообщения электронной почты или попросить их указать причину отправки сообщения электронной почты или запретить отправку сообщения электронной почты для любого из следующих сценариев:
Их электронная почта или вложение для сообщения электронной почты имеет определенную метку:
- Вложение может быть любым типом файла
Их сообщение электронной почты или вложение для сообщения электронной почты не имеет метки:
- Вложение может быть документом Office или PDF-документом
При выполнении этих условий пользователь видит всплывающее сообщение с одним из следующих действий:
| Тип | Описание |
|---|---|
| Предупредить | Пользователь может подтвердить и отправить или отменить. |
| Оправдать | Пользователю предлагается обоснование (предопределенные параметры или бесплатная форма), а затем пользователь может отправить или отменить сообщение электронной почты. Текст обоснования записывается в заголовок электронной почты x, чтобы его можно было считывать другими системами, например службами защиты от потери данных (DLP). |
| Block | Пользователь не может отправлять сообщение электронной почты, пока условие остается. Сообщение содержит причину блокировки сообщения электронной почты, поэтому пользователь может решить проблему. Например, удалите конкретных получателей или пометите сообщение электронной почты. |
Если всплывающие сообщения предназначены для определенной метки, можно настроить исключения для получателей по имени домена.
Пример настройки этих параметров см. в блоге технического сообщества по настройке всплывающих сообщений Outlook для клиента UL AIP.
Совет
Чтобы убедиться, что всплывающие окна отображаются даже при совместном использовании документов извне Outlook (>> присоединение общей папки к копии) также настройте расширенный параметр PostponeMandatoryBeforeSave.
Дополнительные сведения см. в разделе:
- Реализация предупреждений, оправданий или блокирования всплывающих сообщений для определенных меток
- Реализация предупреждения, оправдания или блокировки всплывающих сообщений для сообщений электронной почты или вложений, у которых нет метки
Реализация предупреждений, оправданий или блокирования всплывающих сообщений для определенных меток
Для выбранной политики создайте один или несколько следующих дополнительных параметров со следующими ключами. Для значений укажите одну или несколько меток по идентификаторам GUID, каждая из которых разделена запятой.
Пример значения для нескольких идентификаторов GUID меток в виде строки, разделенной запятыми:
dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
| Тип сообщения | Ключ/значение |
|---|---|
| Предупредить | Ключ: OutlookWarnUntrustedCollaborationLabel Значение: <идентификаторы GUID меток, разделенные запятыми> |
| Оправдать | Ключ: OutlookJustifyUntrustedCollaborationLabel Значение: <идентификаторы GUID меток, разделенные запятыми> |
| Block | Ключ: OutlookBlockUntrustedCollaborationLabel Значение: <идентификаторы GUID меток, разделенные запятыми> |
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e,b6d21387-5d34-4dc8-90ae-049453cec5cf,bb48a6cb-44a8-49c3-9102-2d2b017dcead,74591a94-1e0e-4b5d-b947-62b70fc0f53a,6c375a97-2b9b-4ccd-9c5b-e24e4fd67f73"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyUntrustedCollaborationLabel="dc284177-b2ac-4c96-8d78-e3e1e960318f,d8bb73c3-399d-41c2-a08a-6f0642766e31,750e87d4-0e91-4367-be44-c9c24c9103b4,32133e19-ccbd-4ff1-9254-3a6464bf89fd,74348570-5f32-4df9-8a6b-e6259b74085b,3e8d34df-e004-45b5-ae3d-efdc4731df24"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockUntrustedCollaborationLabel="0eb351a6-0c2d-4c1d-a5f6-caa80c9bdeec,40e82af6-5dad-45ea-9c6a-6fe6d4f1626b"}
Для дальнейшей настройки можно также исключить доменные имена для всплывающих сообщений, настроенных для определенных меток.
Примечание.
Дополнительные параметры в этом разделе (OutlookWarnUntrustedCollaborationLabel, OutlookJustifyUntrustedCollaborationLabel и OutlookBlockUntrustedCollaborationLabel) предназначены для использования определенной метки.
Чтобы реализовать всплывающие сообщения по умолчанию для ненаблированного содержимого, используйте расширенный параметр OutlookUnlabeledCollaborationAction. Чтобы настроить всплывающие сообщения для неназначимого содержимого, используйте файл .json для определения дополнительных параметров.
Дополнительные сведения см. в разделе "Настройка всплывающих сообщений Outlook".
Совет
Чтобы убедиться, что сообщения блокировок отображаются по мере необходимости, даже для получателя, расположенного в списке рассылки Outlook, обязательно добавьте расширенный параметр EnableOutlookDistributionListExpansion .
Исключение доменных имен для всплывающих сообщений, настроенных для определенных меток
Для меток, указанных в этих всплывающих сообщениях, можно исключить определенные доменные имена, чтобы пользователи не видели сообщения для получателей, у которых это доменное имя включено в адрес электронной почты. В этом случае сообщения электронной почты отправляются без прерывания. Чтобы указать несколько доменов, добавьте их в виде одной строки, разделенной запятыми.
Типичная конфигурация заключается в отображении всплывающих сообщений только для получателей, которые являются внешними для вашей организации или не являются авторизованными партнерами для вашей организации. В этом случае вы указываете все домены электронной почты, используемые вашей организацией и партнерами.
Для одной и той же политики меток создайте следующие расширенные параметры клиента и для значения, укажите один или несколько доменов, разделенных запятой.
Пример значения для нескольких доменов в виде строки, разделенной запятыми: contoso.com,fabrikam.com,litware.com
| Тип сообщения | Ключ/значение |
|---|---|
| Предупредить | Ключ: OutlookWarnTrustedDomains Значение: <доменные имена, разделенные запятыми> |
| Оправдать | Ключ: OutlookJustifyTrustedDomains Значение: <доменные имена, разделенные запятыми> |
| Block | Ключ: OutlookBlockTrustedDomains Значение: <доменные имена, разделенные запятыми> |
Например, предположим, что вы указали расширенный параметр клиента OutlookBlockUntrustedCollaborationLabel для метки "Конфиденциально" \ "Все сотрудники".
Теперь можно указать дополнительный расширенный параметр клиента OutlookBlockTrustedDomains с contoso.com. В результате пользователь может отправить сообщение электронной почты john@sales.contoso.com , когда оно помечено как "Конфиденциально" \ Все сотрудники, но будет заблокировано от отправки сообщения электронной почты с той же меткой в учетную запись Gmail.
Примеры команд PowerShell, в которых политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockTrustedDomains="contoso.com"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyTrustedDomains="contoso.com,fabrikam.com,litware.com"}
Примечание.
Чтобы убедиться, что сообщения блокировок отображаются по мере необходимости, даже для получателя, расположенного в списке рассылки Outlook, обязательно добавьте расширенный параметр EnableOutlookDistributionListExpansion .
Реализация предупреждения, оправдания или блокировки всплывающих сообщений для сообщений электронной почты или вложений, у которых нет метки
Для той же политики меток создайте следующий расширенный параметр клиента с одним из следующих значений:
| Тип сообщения | Ключ/значение |
|---|---|
| Предупредить | Ключ: OutlookUnlabeledCollaborationAction Значение: Предупреждение |
| Оправдать | Ключ: OutlookUnlabeledCollaborationAction Значение: оправдание |
| Block | Ключ: OutlookUnlabeledCollaborationAction Значение: блокировать |
| Отключение этих сообщений | Ключ: OutlookUnlabeledCollaborationAction Значение: выключение |
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Warn"}
Дополнительные сведения о настройке см. в статье:
- Определение определенных расширений имени файла для предупреждения, оправдания или блокировки всплывающих сообщений для вложений электронной почты, у которых нет метки
- Указание другого действия для сообщений электронной почты без вложений
- Настройка всплывающих сообщений Outlook
Определение определенных расширений имени файла для предупреждения, оправдания или блокировки всплывающих сообщений для вложений электронной почты, у которых нет метки
По умолчанию предупреждения, оправдание или блокировка всплывающих сообщений применяются ко всем документам Office и PDF-документам. Этот список можно уточнить, указав, какие расширения имени файла должны отображать предупреждения, оправдание или блокировать сообщения с дополнительным расширенным параметром и разделенным запятыми расширениями имен файлов.
Пример значения для нескольких расширений имен файлов, которые определяются как строка, разделенная запятыми: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM
В этом примере документ PDF не приведет к предупреждению, оправданию или блокировке всплывающих сообщений.
Для той же политики меток введите следующие строки:
Ключ: OutlookOverrideUnlabeledCollaborationExtensions
Значение: <расширения имени файла для отображения сообщений, разделенных запятыми>
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.PPT,.PPTX,.PPTM"}
Указание другого действия для сообщений электронной почты без вложений
По умолчанию значение, указанное для OutlookUnlabeledCollaborationAction для предупреждения, оправдания или блокировки всплывающих сообщений, применяется к сообщениям электронной почты или вложениям, которые не имеют метки.
Эту конфигурацию можно уточнить, указав еще один дополнительный параметр для сообщений электронной почты, у которых нет вложений.
Создайте следующий расширенный параметр клиента с одним из следующих значений:
| Тип сообщения | Ключ/значение |
|---|---|
| Предупредить | Ключ: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Значение: Предупреждение |
| Оправдать | Ключ: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Значение: оправдание |
| Block | Ключ: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Значение: блокировать |
| Отключение этих сообщений | Ключ: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Значение: выключение |
Если этот параметр клиента не указан, значение, указанное для OutlookUnlabeledCollaborationAction, используется для неназначенных сообщений электронной почты без вложений, а также для неназначенных сообщений электронной почты с вложениями.
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior="Warn"}
Развертывание списков рассылки Outlook при поиске получателей электронной почты
Эта конфигурация использует расширенный параметр политики, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
Чтобы расширить поддержку других дополнительных параметров получателям в списках рассылки Outlook, задайте для расширенного параметра EnableOutlookDistributionListExpansion значение true.
- Ключ: EnableOutlookDistributionListExpansion
- Значение: true
Например, если вы настроили outlookBlockTrustedDomains, OutlookBlockUntrustedCollaborationLabel advanced settings, а затем настройте параметр EnableOutlookDistributionListExpansion, Outlook включен для расширения списка рассылки, чтобы убедиться, что при необходимости появится сообщение блока.
Время ожидания по умолчанию для расширения списка рассылки составляет 2000 миллисекунда.
Чтобы изменить это время ожидания, создайте следующий расширенный параметр для выбранной политики:
- Ключ: OutlookGetEmailAddressesTimeOutMSProperty
- Значение: целое число в миллисекундах
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{
EnableOutlookDistributionListExpansion="true"
OutlookGetEmailAddressesTimeOutMSProperty="3000"
}
Предотвращение отправки данных аудита в аналитику AIP и Microsoft 365
По умолчанию клиент унифицированных меток Azure Information Protection поддерживает централизованные отчеты и отправляет данные аудита в:
- Аналитика Azure Information Protection, если вы настроили рабочую область Log Analytics
- Microsoft 365, где их можно просмотреть в Обозреватель действий
Чтобы изменить это поведение, чтобы данные аудита не отправлялись, сделайте следующее:
Добавьте следующий расширенный параметр политики с помощью PowerShell центра безопасности и соответствия требованиям:
Ключ: EnableAudit
Значение: False
Например, если политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}Примечание.
По умолчанию этот расширенный параметр не присутствует в политике, а журналы аудита отправляются.
На всех клиентских компьютерах Azure Information Protection удалите следующую папку: %localappdata%\Microsoft\MSIP\mip
Чтобы разрешить клиенту снова отправлять данные журнала аудита, измените значение расширенного параметра на True. Вам не нужно вручную создать папку %localappdata%\Microsoft\MSIP\mip на клиентских компьютерах.
Отправка совпадений типов данных в аналитику Azure Information Protection
Эта конфигурация использует расширенный параметр политики, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
По умолчанию клиент унифицированных меток не отправляет совпадения содержимого для типов конфиденциальной информации в аналитику Azure Information Protection. Дополнительные сведения об этих дополнительных сведениях, которые можно отправить, см . в разделе "Содержимое" для более глубокого анализа из центральной документации по отчетам.
Чтобы отправить совпадения содержимого при отправке типов конфиденциальной информации, создайте следующий расширенный параметр клиента в политике меток:
Ключ: LogMatchedContent
Значение: True
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}
Ограничение потребления ЦП
Начиная с сканера версии 2.7.x.x.x рекомендуется ограничить потребление ЦП с помощью следующих расширенных параметров сканера ScannerMaxCPU и СканераMinCPU.
Внимание
Если используется следующая политика ограничения потоков, дополнительные параметры СканераMaxCPU и СканераMinCPU игнорируются. Чтобы ограничить потребление ЦП с помощью advanced settings ScannerMaxCPU и СканераMinCPU , отмените использование политик, ограничивающих количество потоков.
Эта конфигурация использует расширенный параметр политики, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
Чтобы ограничить потребление ЦП на компьютере сканера, можно управлять путем создания двух дополнительных параметров:
СканерMaxCPU:
Установите значение 100 по умолчанию, что означает, что максимальное потребление ЦП не ограничено. В этом случае процесс проверки попытается использовать все доступное время ЦП для максимальной скорости сканирования.
Если параметр ScannerMaxCPU меньше 100, сканер будет отслеживать потребление ЦП за последние 30 минут. Если средний ЦП пересек установленный предел, он начнет уменьшать количество потоков, выделенных для новых файлов.
Ограничение на количество потоков будет продолжаться до тех пор, пока потребление ЦП превышает ограничение, заданное для сканераMaxCPU.
СканерMinCPU:
Только проверка, если сканерMaxCPU не равен 100, и не может быть задано число, превышающее значение СканераMaxCPU. Рекомендуется установить по крайней мере 15 точек, чем значение сканераMaxCPU.
Установите значение 50 по умолчанию, что означает, что если потребление ЦП за последние 30 минут меньше этого значения, сканер начнет добавлять новые потоки для параллельного сканирования большего объема файлов, пока потребление ЦП не достигнет уровня, заданного для СканераMaxCPU-15.
Ограничение количества потоков, используемых сканером
Внимание
Если используется следующая политика ограничения потоков, дополнительные параметры СканераMaxCPU и СканераMinCPU игнорируются. Чтобы ограничить потребление ЦП с помощью СканераMaxCPU и СканераMinCPU расширенных параметров, отмените использование политик, ограничивающих количество потоков.
Эта конфигурация использует расширенный параметр политики, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
По умолчанию сканер использует все доступные ресурсы процессора на компьютере под управлением службы сканера. Если необходимо ограничить потребление ЦП во время сканирования этой службы, создайте следующий расширенный параметр в политике меток.
Для значения укажите количество параллельных потоков, которые сканер может выполнять параллельно. Сканер использует отдельный поток для каждого файла, который он сканирует, поэтому эта конфигурация регулирования также определяет количество файлов, которые можно сканировать параллельно.
При первой настройке значения для тестирования рекомендуется указать 2 на ядро, а затем отслеживать результаты. Например, если запустить сканер на компьютере с 4 ядрами, сначала задайте значение 8. При необходимости увеличьте или уменьшите это число в соответствии с результирующей производительностью, необходимой для компьютера сканера и скорости сканирования.
Ключ: СканерConcurrencyLevel
Значение: <количество параллельных потоков>
Пример команды PowerShell, в которой политика меток называется "Сканер":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}
Перенос меток из Secure Islands и других решений по маркировке
Эта конфигурация использует расширенный параметр метки, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
Эта конфигурация несовместима с защищенными PDF-файлами с расширением ИМЕНИ ФАЙЛА PPDF. Эти файлы невозможно открыть клиентом с помощью проводник или PowerShell.
Для документов Office, помеченных Secure Islands, эти документы можно изменить с помощью определенного сопоставления. Этот метод также используется для повторного использования меток из других решений, когда их метки находятся в документах Office.
В результате этого параметра конфигурации новая метка конфиденциальности применяется клиентом унифицированных меток Azure Information Protection следующим образом:
Для документов Office: при открытии документа в классическом приложении новая метка конфиденциальности отображается как заданная и применяется при сохранении документа.
Для PowerShell: Set-AIPFileLabel и Set-AIPFileClassificiation могут применять новую метку конфиденциальности.
Для проводник. В диалоговом окне Azure Information Protection отображается новая метка конфиденциальности, но не задана.
Для этой конфигурации необходимо указать расширенный параметр с именем labelByCustomProperties для каждой метки конфиденциальности, которую требуется сопоставить со старой меткой. Затем для каждой записи задайте значение с помощью следующего синтаксиса:
[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]
Укажите имя правила миграции. Используйте описательное имя, которое помогает определить, как одна или несколько меток из предыдущего решения маркировки должна быть сопоставлена с меткой конфиденциальности.
Обратите внимание, что этот параметр не удаляет исходную метку из документа или никаких визуальных пометок в документе, примененных исходной меткой. Чтобы удалить верхние и нижние колонтитулы, см. статью "Удалить верхние и нижние колонтитулы" из других решений по маркировке.
Примеры:
- Пример 1. Сопоставление одного и того же имени метки
- Пример 2. Сопоставление "один к одному" для другого имени метки
- Пример 3. Сопоставление имен меток "многие к одному"
- Пример 4. Несколько правил для одной и той же метки
Дополнительные сведения о настройке см. в статье:
- Расширение правил миграции меток на электронные письма
- Расширение правил миграции меток в свойства SharePoint
Примечание.
Если вы переносите метки между клиентами, например после слияния компании, рекомендуется ознакомиться с нашей записью блога о слияниях и спин-офф для получения дополнительной информации.
Пример 1. Сопоставление одного и того же имени метки
Требование. Документы с меткой Secure Islands "Конфиденциально" должны быть перемечены как "Конфиденциальные" в Azure Information Protection.
В этом примере:
- Метка Secure Islands называется Конфиденциальной и хранится в пользовательском свойстве с именем Классификация.
Дополнительный параметр:
Ключ: labelByCustomProperties
Значение: метка Secure Islands является конфиденциальной, классификацией, конфиденциальной
Пример команды PowerShell, где метка называется "Конфиденциально":
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Confidential,Classification,Confidential"}
Пример 2. Сопоставление "один к одному" для другого имени метки
Требование. Документы, помеченные как "Конфиденциальные" безопасными островами, должны быть перемечены как "Строго конфиденциальные" в Azure Information Protection.
В этом примере:
- Метка Secure Islands называется Конфиденциальной и хранится в пользовательском свойстве с именем Классификация.
Дополнительный параметр:
Ключ: labelByCustomProperties
Значение: метка Secure Islands является конфиденциальной, классификацией, конфиденциальной
Пример команды PowerShell, в которой метка называется "Строго конфиденциально":
Set-Label -Identity "Highly Confidential" -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Sensitive,Classification,Sensitive"}
Пример 3. Сопоставление имен меток "многие к одному"
Требование. У вас есть две метки Secure Islands, которые включают слово "Internal" и вы хотите, чтобы документы, имеющие любой из этих меток Secure Islands, должны быть перемечены как "Общие" клиентом унифицированных меток Azure Information Protection.
В этом примере:
- Метки Secure Islands включают слово Internal и хранятся в пользовательском свойстве с именем Классификация.
Расширенный параметр клиента:
Ключ: labelByCustomProperties
Значение: метка Secure Islands содержит внутреннюю,классификацию,*Internal.*
Пример команды PowerShell, где метка называется "Общие":
Set-Label -Identity General -AdvancedSettings @{labelByCustomProperties="Secure Islands label contains Internal,Classification,.*Internal.*"}
Пример 4. Несколько правил для одной и той же метки
Если требуется несколько правил для одной и той же метки, определите несколько строковых значений для одного и того же ключа.
В этом примере метки Secure Islands с именем "Конфиденциально" и "Секрет" хранятся в пользовательском свойстве с именем Классификация, и требуется, чтобы клиент унифицированных меток Azure Information Protection применял метку конфиденциальности с именем "Конфиденциально".
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}
Расширение правил миграции меток на электронные письма
Вы можете использовать конфигурацию, определенную с расширенным параметром labelByCustomProperties для электронных писем Outlook, помимо документов Office, указав дополнительный параметр политики меток.
Однако этот параметр имеет известное негативное влияние на производительность Outlook, поэтому настройте этот дополнительный параметр только в том случае, если у вас есть строгое бизнес-требование для него и не забудьте задать для него значение NULL строковое значение при завершении миграции из другого решения маркировки.
Чтобы настроить этот дополнительный параметр, введите следующие строки для выбранной политики меток:
Ключ: EnableLabelByMailHeader
Значение: True
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelByMailHeader="True"}
Расширение правил миграции меток в свойства SharePoint
Вы можете использовать конфигурацию, определяемую с расширенным параметром labelByCustomProperties для свойств SharePoint, которые могут предоставляться пользователям в качестве столбцов, указав дополнительный параметр политики меток.
Этот параметр поддерживается при использовании Word, Excel и PowerPoint.
Чтобы настроить этот дополнительный параметр, введите следующие строки для выбранной политики меток:
Ключ: EnableLabelBySharePointProperties
Значение: True
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelBySharePointProperties="True"}
Применение настраиваемого свойства при применении метки
Эта конфигурация использует расширенный параметр метки, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
В некоторых сценариях может возникнуть возможность применения одного или нескольких настраиваемых свойств к документу или сообщению электронной почты в дополнение к метаданным, применяемым меткой конфиденциальности.
Например:
Вы находитесь в процессе миграции из другого решения по маркировке, например Secure Islands. Для взаимодействия во время миграции необходимо, чтобы метки конфиденциальности также применяли пользовательское свойство, используемое другим решением по маркировке.
Для системы управления контентом (например, SharePoint или решения для управления документами от другого поставщика) вы хотите использовать согласованное имя пользовательского свойства с различными значениями меток и с понятными именами вместо GUID метки.
Для документов Office и сообщений Электронной почты Outlook, которые пользователи наклеит с помощью клиента унифицированных меток Azure Information Protection, можно добавить одно или несколько настраиваемых свойств, которые вы определили. Этот метод также можно использовать для клиента унифицированных меток для отображения настраиваемого свойства в виде метки из других решений для содержимого, который еще не помечен клиентом унифицированных меток.
В результате этого параметра конфигурации все дополнительные настраиваемые свойства применяются клиентом унифицированных меток Azure Information Protection следующим образом:
| Environment | Description |
|---|---|
| Документы Office | Если документ помечен в классическом приложении, при сохранении документа применяются дополнительные настраиваемые свойства. |
| Сообщения электронной почты Outlook | Когда сообщение электронной почты помечено в Outlook, дополнительные свойства применяются к заголовку x при отправке сообщения электронной почты. |
| PowerShell | Set-AIPFileLabel и Set-AIPFileClassificiation применяют дополнительные настраиваемые свойства, если документ помечен и сохранен. Get-AIPFileStatus отображает пользовательские свойства в виде сопоставленной метки, если метка конфиденциальности не применяется. |
| Проводник | Когда пользователь щелкает файл правой кнопкой мыши и применяет метку, применяются настраиваемые свойства. |
Для этой конфигурации необходимо указать расширенный параметр с именем customPropertiesByLabel для каждой метки конфиденциальности, которую необходимо применить к дополнительным настраиваемым свойствам. Затем для каждой записи задайте значение с помощью следующего синтаксиса:
[custom property name],[custom property value]
Внимание
Использование пробелов в строке будет препятствовать применению меток.
Например:
- Пример 1. Добавление одного настраиваемого свойства для метки
- Пример 2. Добавление нескольких настраиваемых свойств для метки
Пример 1. Добавление одного настраиваемого свойства для метки
Требование. Документы, помеченные как "Конфиденциальные" клиентом унифицированных меток Azure Information Protection, должны иметь дополнительное пользовательское свойство с именем "Классификация" со значением Secret.
В этом примере:
- Метка конфиденциальности называется Конфиденциальной и создает настраиваемое свойство с именем Классификация со значением Secret.
Дополнительный параметр:
Ключ: customPropertiesByLabel
Значение: классификация, секрет
Пример команды PowerShell, где метка называется "Конфиденциально":
Set-Label -Identity Confidential -AdvancedSettings @{customPropertiesByLabel="Classification,Secret"}
Пример 2. Добавление нескольких настраиваемых свойств для метки
Чтобы добавить несколько настраиваемых свойств для одной и той же метки, необходимо определить несколько строковых значений для одного ключа.
Пример команды PowerShell, в которой метка называется "Общие", и вы хотите добавить одно пользовательское свойство с именем "Классификация" со значением "Общие" и вторым настраиваемым свойством с именем "Конфиденциальность" со значением Internal:
Set-Label -Identity General -AdvancedSettings @{customPropertiesByLabel=ConvertTo-Json("Classification,General", "Sensitivity,Internal")}
Настройка метки для применения защиты S/MIME в Outlook
В этой конфигурации используются расширенные параметры меток, которые необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
Используйте эти параметры только в том случае, если у вас есть рабочее развертывание S/MIME и требуется, чтобы метка автоматически применяла этот метод защиты для сообщений электронной почты, а не защиты Rights Management от Azure Information Protection. Результирующая защита аналогична тому, когда пользователь вручную выбирает параметры S/MIME из Outlook.
| Настройка | Ключ/значение |
|---|---|
| Цифровая подпись S/MIME | Чтобы настроить расширенный параметр для цифровой подписи S/MIME, введите следующие строки для выбранной метки: — Ключ: SMimeSign - Значение: True |
| Шифрование S/MIME | Чтобы настроить расширенный параметр для шифрования S/MIME, введите следующие строки для выбранной метки: — Ключ: SMimeEncrypt - Значение: True |
Когда пользователь выбирает метку в Outlook, применяются настроенные параметры S/MIME. Если метка также настроена для шифрования Rights Management по умолчанию, которое можно указать в Портал соответствия требованиям Microsoft Purview, параметры S/MIME заменяют защиту Rights Management только в Outlook. Для других приложений, поддерживаемых клиентом унифицированных меток, клиент продолжает использовать параметры шифрования, указанные на портале соответствия требованиям.
Если вы хотите, чтобы метка отображалось только в Outlook, настройте параметр шифрования "Не пересылать " из "Разрешить пользователям назначать разрешения".
Примеры команд PowerShell, в которых метка называется "Только получатели":
Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeSign="True"}
Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeEncrypt="True"}
Указание вложенной метки по умолчанию для родительской метки
Эта конфигурация использует расширенный параметр метки, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
При добавлении вложенной метки пользователи больше не могут применять родительскую метку к документу или электронной почте. По умолчанию пользователи выбирают родительскую метку, чтобы увидеть вложенные метки, которые они могут применить, а затем выберите одну из этих подметок. Если настроить этот расширенный параметр, когда пользователи выбирают родительскую метку, она автоматически выбирается и применяется для них:
Ключ: DefaultSubLabelId
Значение: <GUID вложенной метки>
Пример команды PowerShell, в которой родительская метка называется "Конфиденциально" и вложенная метка "Все сотрудники" имеет GUID 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
Включение классификации для непрерывного выполнения в фоновом режиме
Эта конфигурация использует расширенный параметр метки, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
При настройке этого параметра он изменяет поведение по умолчанию о том, как клиент унифицированных меток Azure Information Protection применяет автоматические и рекомендуемые метки к документам:
Для Word, Excel и PowerPoint автоматическая классификация выполняется непрерывно в фоновом режиме.
Поведение не изменяется для Outlook.
Когда клиент унифицированных меток Azure Information Protection периодически проверка документы для указанных правил условий, это поведение позволяет автоматически и рекомендуемой классификации и защиты документов Office, хранящихся в SharePoint или OneDrive, при включении автоматического сохранения. Большие файлы также сохраняются быстрее, так как правила условий уже выполняются.
Правила условий не выполняются в режиме реального времени в качестве типов пользователей. Вместо этого они периодически выполняются в качестве фоновой задачи, если документ изменяется.
Чтобы настроить этот дополнительный параметр, введите следующие строки:
- Ключ: RunPolicyInBackground
- Значение: True
Пример команды PowerShell:
Set-LabelPolicy -Identity PolicyName -AdvancedSettings @{RunPolicyInBackground = "true"}
Примечание.
Эта функция сейчас доступна в режиме предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Указание цвета метки
В этой конфигурации используются расширенные параметры меток, которые необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
Используйте этот расширенный параметр, чтобы задать цвет для метки. Чтобы указать цвет, введите шестнадцатеричный код для компонентов цвета красного, зеленого и синего (RGB). Например, #40e0d0 — это шестнадцатеричное значение RGB для бирюза.
Если вам нужна ссылка на эти коды, вы найдете полезную таблицу на цветовой> странице из <веб-документации MSDN. Эти коды также находятся во многих приложениях, которые позволяют редактировать изображения. Например, Microsoft Paint позволяет выбрать настраиваемый цвет из палитры и автоматически отображаются значения RGB, которые можно скопировать.
Чтобы настроить расширенный параметр цвета метки, введите следующие строки для выбранной метки:
Ключ: цвет
Значение: <шестнадцатеричное значение RGB>
Пример команды PowerShell, где метка называется "Public":
Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}
Вход от имени другого пользователя
Вход с несколькими пользователями не поддерживается AIP в рабочей среде. В этой процедуре описывается, как войти в систему в качестве другого пользователя только для тестирования.
Вы можете проверить, какую учетную запись вы вошли в систему с помощью диалогового окна Microsoft Azure Information Protection: откройте Приложение Office ликацию и на вкладке "Главная", нажмите кнопку "Конфиденциальность", а затем нажмите кнопку "Справка" и "Обратная связь". Имя учетной записи отображается в разделе состояния клиента.
Не забудьте также проверка доменное имя учетной записи, отображаемой вошедшего в систему. Это может быть легко пропустить, что вы вошли с правильным именем учетной записи, но неправильным доменом. Симптом использования неправильной учетной записи включает в себя неспособность скачать метки или не видеть метки или поведение, которое вы ожидаете.
Чтобы войти в систему в качестве другого пользователя, выполните приведенные действия.
Перейдите в папку %localappdata%\Microsoft\MSIP и удалите файл TokenCache .
Перезапустите все открытые Приложение Office ликации и войдите с помощью другой учетной записи пользователя. Если в Приложение Office ликации не отображается запрос на вход в службу Azure Information Protection, вернитесь в диалоговое окно Microsoft Azure Information Protection и выберите вход из обновленного раздела состояния клиента.
Кроме того:
| Сценарий | Description |
|---|---|
| По-прежнему войдите в старую учетную запись | Если клиент унифицированных меток Azure Information Protection по-прежнему входит в систему со старой учетной записью после выполнения этих действий, удалите все файлы cookie из Интернета Обозреватель, а затем повторите шаги 1 и 2. |
| Использование единого входа | При использовании единого входа необходимо выйти из Windows и войти с другой учетной записью пользователя после удаления файла маркера. Клиент унифицированных меток Azure Information Protection автоматически проходит проверку подлинности с помощью учетной записи пользователя, вошедшего в систему. |
| Разные клиенты | Это решение поддерживается для входа в систему в качестве другого пользователя из того же клиента. Он не поддерживается для входа в качестве другого пользователя из другого клиента. Чтобы протестировать Azure Information Protection с несколькими клиентами, используйте разные компьютеры. |
| Сброс параметров | Вы можете использовать параметр "Сброс параметров" из справки и обратной связи для выхода и удаления загруженных меток и параметров политики из Портал соответствия требованиям Microsoft Purview. |
Поддержка отключенных компьютеров
Внимание
Отключенные компьютеры поддерживаются для следующих сценариев маркировки: проводник, PowerShell, Приложение Office и сканера.
По умолчанию клиент унифицированных меток Azure Information Protection автоматически пытается подключиться к Интернету, чтобы скачать метки и параметры политики меток из Портал соответствия требованиям Microsoft Purview.
Если у вас есть компьютеры, которые не могут подключаться к Интернету в течение определенного периода времени, вы можете экспортировать и копировать файлы, которые вручную управляют политикой для клиента унифицированных меток.
Для поддержки отключенных компьютеров от клиента унифицированных меток:
Выберите или создайте учетную запись пользователя в идентификаторе Microsoft Entra, который будет использоваться для скачивания меток и параметров политики, которые вы хотите использовать на отключенном компьютере.
В качестве дополнительного параметра политики меток для этой учетной записи отключите отправку данных аудита в аналитику Azure Information Protection.
Мы рекомендуем этот шаг, так как если у отключенного компьютера есть периодическое подключение к Интернету, он будет отправлять данные ведения журнала в аналитику Azure Information Protection, содержащую имя пользователя из шага 1. Эта учетная запись пользователя может отличаться от локальной учетной записи, которую вы используете на отключенном компьютере.
На компьютере с подключением к Интернету с установленным и вошедшего в систему с учетной записью пользователя с шага 1 скачайте метки и параметры политики.
Экспортируйте файлы журналов с этого компьютера.
Например, запустите командлет Export-AIPLogs или используйте параметр "Экспорт журналов" в диалоговом окне справки и обратной связи клиента.
Файлы журнала экспортируются в виде одного сжатого файла.
Откройте сжатый файл и из папки MSIP скопируйте все файлы с расширением имени файла .xml.
Вставьте эти файлы в папку %localappdata%\Microsoft\MSIP на отключенном компьютере.
Если выбранная учетная запись пользователя является одной из них, которая обычно подключается к Интернету, включите отправку данных аудита еще раз, задав значение EnableAudit значение True.
Помните, что если пользователь на этом компьютере выбирает параметр "Сброс Параметры" из справки и обратной связи, это действие удаляет файлы политики и отрисовывает клиент неработоспособен, пока не будет вручную заменены файлы или клиент подключается к Интернету и загружает файлы.
Если отключенный компьютер работает с сканером Azure Information Protection, необходимо выполнить дополнительные действия по настройке. Дополнительные сведения см. в разделе "Ограничение": сервер сканера не может иметь подключение к Интернету из инструкций по развертыванию сканера.
Изменение локального уровня ведения журнала
По умолчанию клиент унифицированных меток Azure Information Protection записывает файлы журналов клиента в папку %localappdata%\Microsoft\MSIP . Эти файлы предназначены для устранения неполадок с помощью служба поддержки Майкрософт.
Чтобы изменить уровень ведения журнала для этих файлов, найдите в реестре следующее имя значения и задайте для них необходимый уровень ведения журнала:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel
Задайте для уровня ведения журнала одно из следующих значений:
Выкл. Нет локального ведения журнала.
Ошибка: только ошибки.
Предупреждение: ошибки и предупреждения.
Сведения: минимальное ведение журнала, включающее идентификаторы событий (параметр по умолчанию для сканера).
Отладка: полная информация.
Трассировка: подробное ведение журнала (параметр по умолчанию для клиентов).
Этот параметр реестра не изменяет сведения, отправляемые в Azure Information Protection для централизованной отчетности.
Пропуск или пропуск файлов во время сканирования в зависимости от атрибутов файла
Эта конфигурация использует расширенный параметр политики, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
По умолчанию средство проверки унифицированных меток Azure Information Protection сканирует все соответствующие файлы. Однако может потребоваться определить определенные файлы, которые будут пропущены, например для архивированных файлов или файлов, которые были перемещены.
Включите сканер для пропуска определенных файлов на основе их атрибутов файлов с помощью расширенного параметра ScannerFSAttributesToSkip . В значении параметра выведите список атрибутов файла, которые позволят пропускать файл, когда все они имеют значение true. Этот список атрибутов файла использует логику AND.
В следующем примере команд PowerShell показано, как использовать этот расширенный параметр с меткой "Global".
Пропускать файлы, которые доступны только для чтения и архивируются
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}
Пропустить файлы, которые доступны только для чтения или архивируются
Чтобы использовать логику OR, выполните одно и то же свойство несколько раз. Например:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}
Совет
Рекомендуется включить средство проверки для пропуска файлов со следующими атрибутами:
- FILE_ATTRIBUTE_SYSTEM
- FILE_ATTRIBUTE_HIDDEN
- FILE_ATTRIBUTE_DEVICE
- FILE_ATTRIBUTE_OFFLINE
- FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
- FILE_ATTRIBUTE_RECALL_ON_OPEN
- FILE_ATTRIBUTE_TEMPORARY
Список всех атрибутов файла, которые можно определить в расширенном параметре ScannerFSAttributesToSkip , см. в разделе Константы атрибутов Win32 File
Сохранение владельцев NTFS во время маркировки (общедоступная предварительная версия)
Эта конфигурация использует расширенный параметр политики, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
По умолчанию метки расширения сканера, PowerShell и проводник не сохраняют владельца NTFS, определенного перед меткой.
Чтобы убедиться, что значение владельца NTFS сохранено, задайте для расширенного параметра UseCopyAndPreserveNTFSOwner значение true для выбранной политики меток.
Внимание
Определите этот дополнительный параметр, только если можно обеспечить низкую задержку, надежное сетевое подключение между сканером и сканированным репозиторием. Сбой сети во время автоматического процесса маркировки может привести к потере файла.
Пример команды PowerShell, когда политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}
Примечание.
Эта функция сейчас доступна в режиме предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Настройка текста запроса на обоснование для измененных меток
Настройте запросы на обоснование, отображаемые как в Office, так и в клиенте AIP, когда конечные пользователи изменяют метки классификации на документах и сообщениях электронной почты.
Например, администратором может потребоваться напомнить пользователям не добавлять в это поле какие-либо сведения об идентификации клиентов:
Чтобы изменить отображаемый текст по умолчанию, используйте расширенное свойство JustificationTextForUserText с командлетом Set-LabelPolicy. Задайте вместо него значение текста, который вы хотите использовать.
Пример команды PowerShell, когда политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
Настройка всплывающих сообщений Outlook
Администраторы AIP могут настроить всплывающие сообщения, которые отображаются конечным пользователям в Outlook, например:
- Сообщения для заблокированных сообщений электронной почты
- Предупреждающие сообщения, которые побудят пользователей проверить содержимое, которое они отправляют
- Сообщения об оправдании, запрашивающие пользователей оправдывать содержимое, которое они отправляют
Внимание
Эта процедура переопределит все параметры, которые вы уже определили с помощью расширенного свойства OutlookUnlabeledCollaborationAction .
В рабочей среде рекомендуется избежать осложнений с помощью расширенного свойства OutlookUnlabeledCollaborationAction для определения правил или определения сложных правил с помощью json-файла, как определено ниже, но не обоих.
Чтобы настроить всплывающие сообщения Outlook, выполните приведенные действия.
Создайте .json файлы с правилом, которое настраивает отображение всплывающих сообщений пользователям в Outlook. Дополнительные сведения см. в разделе "Значение правила" .json синтаксиса и пример настройки всплывающего окна .json кода.
Используйте PowerShell для определения дополнительных параметров, которые управляют всплывающими сообщениями, которые вы настраиваете. Выполните отдельный набор команд для каждого правила, которое требуется настроить.
Каждый набор команд PowerShell должен содержать имя настраиваемой политики, а также ключ и значение, определяющее правило.
Используйте следующий синтаксис:
$filedata = Get-Content "<Path to json file>" Set-LabelPolicy -Identity <Policy name> -AdvancedSettings @{<Key> ="$filedata"}Где:
<Path to json file>— это путь к созданному файлу JSON. Например: C:\Users\msanchez\Desktop\ \dlp\OutlookCollaborationRule_1.json.<Policy name>— имя политики, которую требуется настроить.<Key>— это имя правила. Используйте следующий синтаксис, где <#> является серийным номером для правила:OutlookCollaborationRule_<#>
Дополнительные сведения см. в разделе "Упорядочивание правил настройки Outlook" и синтаксис json значения правила.
Совет
Для дополнительной организации назовите файл с той же строкой, что и ключ, используемый в команде PowerShell. Например, присвойте файлу имя OutlookCollaborationRule_1.json, а затем используйте OutlookCollaborationRule_1 в качестве ключа.
Чтобы убедиться, что всплывающие окна отображаются даже при совместном использовании документов извне Outlook (>> присоединение общей папки к копии) также настройте расширенный параметр PostponeMandatoryBeforeSave.
Упорядочивание правил настройки Outlook
AIP использует серийный номер в вводе ключа, чтобы определить порядок обработки правил. При определении ключей, используемых для каждого правила, определите более строгие правила с меньшими числами, за которыми следует менее строгие правила с более высокими числами.
После обнаружения определенного соответствия правил AIP останавливает обработку правил и выполняет действие, связанное с соответствующим правилом. (Первое совпадение — > логика выхода )
Пример:
Предположим, что вы хотите настроить все внутренние сообщения электронной почты с определенным предупреждением , но обычно не хотите блокировать их. Однако вы хотите запретить пользователям отправлять вложения, классифицируемые как секрет, даже как внутренние сообщения электронной почты.
В этом сценарии укажите ключ правила block Secret , который является более конкретным правилом перед более универсальным предупреждением по ключу внутреннего правила:
- Для сообщения о блокировке: OutlookCollaborationRule_1
- Предупреждение: OutlookCollaborationRule_2
Значение правила .json синтаксисе
Определите синтаксис json правила следующим образом:
"type" : "And",
"nodes" : []
Необходимо иметь по крайней мере два узла, первое, представляющее условие правила, и последнее, представляющее действие правила. Дополнительные сведения см. в разделе:
Синтаксис условия правила
Узлы условий правила должны включать тип узла, а затем сами условия.
Поддерживаемые типы узлов:
| Тип узла | Description |
|---|---|
| And | Выполняет и на всех дочерних узлах |
| Or | Выполняет или на всех дочерних узлах |
| Not | Выполняется не для собственного ребенка |
| Except | Возвращает не для собственного ребенка, вызывая его вести себя как Все |
| SentTo, за которым следует Домены: listOfDomains | Проверяет одно из следующих элементов: — Если родительский элемент за исключением, проверка указывает, находятся ли все получатели в одном из доменов. — Если родительский элемент является чем-либо другим, кроме того, проверка указывает, находятся ли получатели в одном из доменов. |
| EMailLabel, за которым следует метка | Одно из следующих элементов: — идентификатор метки — null, если метка не помечена |
| AttachmentLabel, а затем метка и поддерживаемые расширения | Одно из следующих элементов: true: — Если родительский элемент за исключением, проверка указывает, существуют ли все вложения с одним поддерживаемым расширением в метках. — Если родительский объект имеет что-либо другое, кроме того, проверка указывает, существует ли любое из вложений с одним поддерживаемым расширением в метках. — Если метка не помечена, и метка = NULL false: для всех остальных случаев Примечание. Если свойство Extensions пусто или отсутствует, все поддерживаемые типы файлов (расширения) включены в правило. |
Синтаксис действия правила
Действия правила могут быть одним из следующих:
| Действие | Синтаксис | Пример сообщения |
|---|---|---|
| Block | Block (List<language, [title, body]>) |
Сообщение электронной почты заблокировано Вы будете отправлять содержимое, классифицированное как секрет , одному или нескольким недоверенным получателям: rsinclair@contoso.comПолитика организации не разрешает это действие. Рассмотрите возможность удаления этих получателей или замены содержимого. |
| Предупредить | Warn (List<language,[title,body]>) |
Обязательное подтверждение Вы будете отправлять содержимое, классифицированное как общее , одному или нескольким недоверенным получателям: rsinclair@contoso.comПолитика организации требует подтверждения для отправки этого содержимого. |
| Оправдать | Justify (numOfOptions, hasFreeTextOption, List<language, [Title, body, options1,options2….]> ) Включая до трех вариантов. |
Обязательное обоснование Для политики организации требуется обоснование отправки содержимого, классифицированного как общее , ненадежным получателям. — Я подтверждаю, что получатели утверждены для предоставления общего доступа к этому содержимому — Мой менеджер одобрил общий доступ к этому содержимому - Другие, как описано |
Параметры действия
Если для действия нет параметров, всплывающие окна будут иметь текст по умолчанию.
Все тексты поддерживают следующие динамические параметры:
| Параметр | Описание |
|---|---|
${MatchedRecipientsList} |
Последнее совпадение для условий SentTo |
${MatchedLabelName} |
Метка почты или вложения с локализованным именем из политики |
${MatchedAttachmentName} |
Имя вложения из последнего совпадения для условия AttachmentLabel |
Примечание.
Все сообщения включают параметр "Сообщить мне больше" , а также диалоговые окна справки и отзывов .
Язык — это cultureName для имени языкового стандарта, например английский; = en-usИспанский = es-es
Кроме того, поддерживаются только имена языков, en доступных только для родителей.
Пример настройки всплывающего окна .json кода
В следующих наборах кода .json показано, как определить различные правила, управляющие отображением всплывающих сообщений для пользователей Outlook.
- Пример 1. Блокировка внутренних сообщений электронной почты или вложений
- Пример 2. Блокировка неклассифицированных вложений Office
- Пример 3. Требовать от пользователя принять отправку конфиденциальной электронной почты или вложения
- Пример 4. Предупреждение по почте без метки и вложение с определенной меткой
- Пример 5. Запрос на обоснование с двумя предопределенными параметрами и дополнительным вариантом свободного текста
Пример 1. Блокировка внутренних сообщений электронной почты или вложений
Следующий .json код блокирует сообщения электронной почты или вложения, классифицируемые как внутренние, от задания внешним получателям.
В этом примере 89a453df-5df4-4976-8191-259d0cf9560a является идентификатором внутренней метки, а внутренние домены включают contoso.com и microsoft.com.
Так как не указаны определенные расширения, включены все поддерживаемые типы файлов.
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"
},{
"type" : "EmailLabel",
"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"
}
]
},
{
"type" : "Block",
"LocalizationData": {
"en-us": {
"Title": "Email Blocked",
"Body": "The email or at least one of the attachments is classified as <Bold>${MatchedLabelName}</Bold>. Documents classified as <Bold> ${MatchedLabelName}</Bold> cannot be sent to external recipients (${MatchedRecipientsList}).<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance with classification requirements as per Contoso's policies."
},
"es-es": {
"Title": "Correo electrónico bloqueado",
"Body": "El correo electrónico o al menos uno de los archivos adjuntos se clasifica como <Bold> ${MatchedLabelName}</Bold>."
}
},
"DefaultLanguage": "en-us"
}
]
}
Пример 2. Блокировка неклассифицированных вложений Office
Следующий .json код блокирует неклассифицированные вложения Office или сообщения электронной почты от отправки внешним получателям.
В следующем примере Список вложений, требующий маркировки: .doc,.docm,.docx,.dot,.dotm,.dotx,.potm,.pps,.ppsm,.ppsx,.ppt,.pptm,.pptx,.vdw,.vsd,.vsdm,.vsdx,.vssm,.vst,.vstm,.vssx,.vstx,.xls,.xlsb,.xlt,.xlsm,.xlsx,.xltm,xltx
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : null,
"Extensions": [
".doc",
".docm",
".docx",
".dot",
".dotm",
".dotx",
".potm",
".potx",
".pps",
".ppsm",
".ppsx",
".ppt",
".pptm",
".pptx",
".vdw",
".vsd",
".vsdm",
".vsdx",
".vss",
".vssm",
".vst",
".vstm",
".vssx",
".vstx",
".xls",
".xlsb",
".xlt",
".xlsm",
".xlsx",
".xltm",
".xltx"
]
},{
"type" : "EmailLabel",
"LabelId" : null
}
]
},
{
"type" : "Block",
"LocalizationData": {
"en-us": {
"Title": "Emailed Blocked",
"Body": "Classification is necessary for attachments to be sent to external recipients.<br><br>List of attachments that are not classified:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br>For MS Office documents, classify and send again.<br><br>For PDF files, classify the document or classify the email (using the most restrictive classification level of any single attachment or the email content) and send again."
},
"es-es": {
"Title": "Correo electrónico bloqueado",
"Body": "La clasificación es necesaria para que los archivos adjuntos se envíen a destinatarios externos."
}
},
"DefaultLanguage": "en-us"
}
]
}
Пример 3. Требовать от пользователя принять отправку конфиденциальной электронной почты или вложения
В следующем примере Outlook выводит сообщение, предупреждающее пользователя о отправке конфиденциальной электронной почты или вложения внешним получателям, а также требуется, чтобы пользователь принял его.
Это предупреждение технически считается обоснованием, так как пользователь должен выбрать меня.
Так как не указаны определенные расширения, включены все поддерживаемые типы файлов.
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"
},{
"type" : "EmailLabel",
"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"
}
]
},
{
"type" : "Justify",
"LocalizationData": {
"en-us": {
"Title": "Warning",
"Body": "You are sending a document that is classified as <Bold>${MatchedLabelName}</Bold> to at least one external recipient. Please make sure that the content is correctly classified and that the recipients are entitled to receive this document.<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><Bold>List of external email addresses:</Bold><br>${MatchedRecipientsList})<br><br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br><Bold>Acknowledgement</Bold><br>By clicking <Bold>I accept</Bold> below, you confirm that the recipient is entitled to receive the content and the communication complies with CS Policies and Standards",
"Options": [
"I accept"
]
},
"es-es": {
"Title": "Advertencia",
"Body": "Está enviando un documento clasificado como <Bold>${MatchedLabelName}</Bold> a al menos un destinatario externo. Asegúrese de que el contenido esté correctamente clasificado y que los destinatarios tengan derecho a recibir este documento.",
"Options": [
"Acepto"
]
}
},
"HasFreeTextOption":"false",
"DefaultLanguage": "en-us"
}
]
}
Пример 4. Предупреждение по почте без метки и вложение с определенной меткой
Следующий .json код заставляет Outlook предупреждать пользователя о том, что при отправке внутренней электронной почты нет метки, с вложением с определенной меткой.
В этом примере bcbef25a-c4db-446b-9496-1b558d9d0e — это идентификатор метки вложения, а правило применяется к файлам .docx, .xlsx и .pptx файлам.
По умолчанию сообщения электронной почты с метками не получают той же метки.
{
"type" : "And",
"nodes" : [
{
"type" : "EmailLabel",
"LabelId" : null
},
{
"type": "AttachmentLabel",
"LabelId": "bcbef25a-c4db-446b-9496-1b558d9edd0e",
"Extensions": [
".docx",
".xlsx",
".pptx"
]
},
{
"type" : "SentTo",
"Domains" : [
"contoso.com",
]
},
{
"type" : "Warn"
}
]
}
Пример 5. Запрос на обоснование с двумя предопределенными параметрами и дополнительным вариантом свободного текста
Следующий .json код заставляет Outlook запрашивать у пользователя обоснование их действия. Текст обоснования включает два предопределенных варианта, а также третий вариант свободного текста.
Так как не указаны определенные расширения, включены все поддерживаемые типы файлов.
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
]
}
},
{
"type" : "EmailLabel",
"LabelId" : "34b8beec-40df-4219-9dd4-553e1c8904c1"
},
{
"type" : "Justify",
"LocalizationData": {
"en-us": {
"Title": "Justification Required",
"Body": "Your organization policy requires justification for you to send content classified as <Bold> ${MatchedLabelName}</Bold>,to untrusted recipients:<br>Recipients are: ${MatchedRecipientsList}",
"Options": [
"I confirm the recipients are approved for sharing this content",
"My manager approved sharing of this content",
"Other, as explained"
]
},
"es-es": {
"Title": "Justificación necesaria",
"Body": "La política de su organización requiere una justificación para que envíe contenido clasificado como <Bold> ${MatchedLabelName}</Bold> a destinatarios que no sean de confianza.",
"Options": [
"Confirmo que los destinatarios están aprobados para compartir este contenido.",
"Mi gerente aprobó compartir este contenido",
"Otro, como se explicó"
]
}
},
"HasFreeTextOption":"true",
"DefaultLanguage": "en-us"
}
]
}
Настройка времени ожидания SharePoint
По умолчанию время ожидания взаимодействия SharePoint составляет две минуты, после чего выполнена попытка выполнить операцию AIP.
Начиная с версии 2.8.85.0 администраторы AIP могут управлять этим временем ожидания с помощью следующих расширенных свойств, используя синтаксис hh:mm:ss для определения времени ожидания:
SharepointWebRequestTimeout. Определяет время ожидания для всех веб-запросов AIP в SharePoint. Значение по умолчанию = 2 минуты.
Например, если политика называется Global, следующая пример команды PowerShell обновляет время ожидания веб-запроса до 5 минут.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}SharepointFileWebRequestTimeout. Определяет время ожидания для файлов SharePoint с помощью веб-запросов AIP. По умолчанию = 15 минут
Например, если политика называется Global, следующая пример команды PowerShell обновляет время ожидания веб-запроса файла до 10 минут.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
Избегайте времени ожидания сканера в SharePoint
Если у вас есть длинные пути к файлам в SharePoint версии 2013 или более поздней, убедитесь, что значение httpRuntime.maxUrlLength сервера SharePoint больше 260 символов по умолчанию.
Это значение определяется в классе ASP.NET HttpRuntimeSection конфигурации.
Чтобы обновить класс HttpRuntimeSection, выполните следующие действия.
Создайте резервную копию конфигурации web.config .
При необходимости обновите значение maxUrlLength. Например:
<httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000" />Перезапустите веб-сервер SharePoint и убедитесь, что он загружается правильно.
Например, в диспетчере windows Internet Information Servers (IIS) выберите свой сайт, а затем в разделе "Управление веб-сайтом" выберите "Перезапустить".
Предотвращение проблем с производительностью Outlook с помощью сообщений электронной почты S/MIME
Проблемы с производительностью могут возникнуть в Outlook при открытии сообщений электронной почты S/MIME в области чтения. Чтобы предотвратить эти проблемы, включите расширенное свойство OutlookSkipSmimeOnReadingPaneEnabled .
Включение этого свойства предотвращает отображение строк AIP и классификаций электронной почты в области чтения.
Например, если политика называется Global, то следующая пример команды PowerShell включает свойство OutlookSkipSmimeOnReadingPaneEnabled :
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookSkipSmimeOnReadingPaneEnabled="true"}
Отключение функций отслеживания документов
По умолчанию функции отслеживания документов включены для клиента. Чтобы отключить их, например для требований к конфиденциальности в организации или регионе, задайте для параметра EnableTrackAndRevoke значение False.
После отключения данные отслеживания документов больше не будут доступны в вашей организации, и пользователи больше не увидят параметр меню "Отмена" в своих Приложение Office.
Для выбранной политики меток укажите следующие строки:
Ключ: EnableTrackAndRevoke
Значение: False
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableTrackAndRevoke="False"}
После установки этого значения значение false, отслеживание и отмена отключается следующим образом:
- Открытие защищенных документов с помощью клиента унифицированных меток AIP больше не регистрирует документы для отслеживания и отзыва.
- Конечные пользователи больше не увидят параметр меню "Отзыв" в своих Приложение Office.
Однако защищенные документы, уже зарегистрированные для отслеживания, будут отслеживаться, а администраторы по-прежнему могут отозвать доступ из PowerShell. Чтобы полностью отключить функции отслеживания и отзыва, также выполните командлет Disable-AipServiceDocumentTrackingFeature .
Эта конфигурация использует расширенный параметр политики, который необходимо настроить с помощью Центра безопасности и соответствия требованиям PowerShell.
Совет
Чтобы включить и отменить обратное отслеживание, задайте для enableTrackAndRevoke значение True, а также выполните командлет Enable-AipServiceDocumentTrackingFeature.
Отключение параметра "Отмена" для конечных пользователей в Приложение Office
Если вы не хотите, чтобы конечные пользователи могли отозвать доступ к защищенным документам из своих Приложение Office, можно удалить параметр "Отозвать доступ" из Приложение Office.
Примечание.
Удаление параметра "Отозвать доступ" продолжает отслеживать защищенные документы в фоновом режиме и сохраняет возможность администратора отменять доступ к документам с помощью PowerShell.
Для выбранной политики меток укажите следующие строки:
Ключ: EnableRevokeGuiSupport
Значение: False
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}
Настройка времени ожидания автоматической маркировки в файлах Office
По умолчанию время ожидания автоматической маркировки сканера в файлах Office составляет 3 секунды.
Если у вас есть сложный файл Excel со многими листами или строками, 3 секунды могут быть недостаточно для автоматического применения меток. Чтобы увеличить это время ожидания для выбранной политики меток, укажите следующие строки:
Ключ: OfficeContentExtractionTimeout
Значение: секунды в следующем формате:
hh:mm:ss
Внимание
Рекомендуется не вызывать это время ожидания до более чем 15 секунд.
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}
Обновленное время ожидания применяется к автоматической маркировке всех файлов Office.
Включение функций глобализации классификации (общедоступная предварительная версия)
Функции глобализации классификации, включая повышенную точность для языков Восточной Азии и поддержку двухбайтовых символов. Эти улучшения предоставляются только для 64-разрядных процессов и отключены по умолчанию.
Включите эти функции для политики, указав следующие строки:
Ключ: EnableGlobalization
Значение:
True
Пример команды PowerShell, где политика меток называется "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}
Чтобы снова отключить поддержку и отменить изменения по умолчанию, задайте для расширенного параметра EnableGlobalization пустую строку.
Включение параметров границ данных
После выполнения обязательств Корпорации Майкрософт по границе данных ЕС клиенты ЕС единой маркировки Azure Information Protection могут отправлять свои данные в ЕС для хранения и обработки.
Включите эту функцию в клиенте AIP, изменив этот раздел реестра, который указывает правильное расположение, в которое должны отправляться события:
- Раздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\DataBoundary (DWORD)
- Значения:
Default = 0North_America = 1European_Union = 2
Включение системного браузера по умолчанию для проверки подлинности
Используйте системный браузер по умолчанию для проверки подлинности в клиенте AIP. По умолчанию клиент AIP откроет Microsoft Edge для проверки подлинности.
Включите эту функцию в клиенте AIP, включив этот раздел реестра:
- Раздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\MSALUseSytemDefaultBrowserAuth (DWORD)
- Значения:
Disabled = 0Enabled = 1
Следующие шаги
Теперь, когда вы настроили клиент унифицированных меток Azure Information Protection, ознакомьтесь со следующими ресурсами для получения дополнительных сведений, которые могут потребоваться для поддержки этого клиента:
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по