Дополнительные параметры для клиента Защита информации Microsoft Purview
В этой статье содержатся дополнительные параметры PowerShell для обеспечения безопасности & соответствия требованиям, которые поддерживаются клиентом Защита информации Microsoft Purview при использовании следующих командлетов:
Дополнительные параметры, поддерживаемые метками конфиденциальности, встроенными в приложения и службы Microsoft 365, включены на самой странице командлета. Вы также можете найти полезные советы PowerShell по указанию дополнительных параметров.
| Дополнительные параметры для меток | Описание |
|---|---|
| Color | Указание цвета для метки |
| DefaultSubLabelId | Указание вложенной метки по умолчанию для родительской метки |
| Дополнительные параметры для политик меток | Описание |
|---|---|
| AdditionalPPrefixExtensions | Поддержка изменения <EXT>. PFILE в P<EXT> |
| EnableAudit | Запретить отправку данных аудита в Microsoft Purview |
| EnableContainerSupport | Включение удаления шифрования из файлов PST, rar, 7zip и MSG |
| EnableCustomPermissions | Отключение пользовательских разрешений в проводник |
| EnableCustomPermissionsForCustomProtectedFiles | Для файлов, зашифрованных с помощью пользовательских разрешений, всегда отображайте пользовательские разрешения для пользователей в проводник |
| EnableGlobalization | Включение функций глобализации классификации |
| JustificationTextForUserText | Настройка текста запроса на обоснование для измененных меток |
| LogMatchedContent | Отправка совпадений типов информации в Microsoft Purview |
| OfficeContentExtractionTimeout | Настройка времени ожидания автоматической маркировки для файлов Office |
| PFileSupportedExtensions | Изменение типов файлов для защиты |
| ReportAnIssueLink | Добавление сообщения о проблеме для пользователей |
| ScannerMaxCPU | Ограничение потребления ЦП |
| ScannerMinCPU | Ограничение потребления ЦП |
| ScannerConcurrencyLevel | Ограничение количества потоков, используемых сканером |
| ScannerFSAttributesToSkip | Пропускать или игнорировать файлы во время сканирования в зависимости от атрибутов файла) |
| SharepointWebRequestTimeout | Настройка времени ожидания SharePoint |
| SharepointFileWebRequestTimeout | Настройка времени ожидания SharePoint |
| UseCopyAndPreserveNTFSOwner | Сохранение владельцев NTFS во время маркировки |
AdditionalPPrefixExtensions
Это расширенное свойство для изменения <EXT>. PFILE to P<EXT> поддерживается проводник, PowerShell и сканером. Все приложения имеют одинаковое поведение.
Ключ: AdditionalPPrefixExtensions
Значение: <строковое значение>
Используйте следующую таблицу, чтобы определить указанное строковое значение:
| Строковое значение | Клиент и сканер |
|---|---|
| * | Все расширения PFile становятся P<EXT> |
| <Значение NULL> | Значение по умолчанию ведет себя как значение шифрования по умолчанию. |
| ConvertTo-Json(".dwg", ".zip") | В дополнение к предыдущему списку, ".dwg" и ".zip" становятся P<EXT> |
При использовании этого параметра следующие расширения всегда становятся P<EXT>: ".txt", ".xml", ".bmp", "jt", ".jpg", ".jpeg", ".jpe", ".jif", ".jfif", "jfif", ".png", ".tif", ".tiff", ".gif"). Примечательное исключение заключается в том, что ptxt не становится txt.pfile.
Для этого параметра требуется включить дополнительный параметр PFileSupportedExtension .
Пример 1. Команда PowerShell ведет себя так же, как поведение по умолчанию, в котором параметр Protect ".dwg" становится ".dwg.pfile":
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}
Пример 2. Команда PowerShell для изменения всех расширений PFile с универсального шифрования на собственное шифрование, когда файлы помечены и зашифрованы:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}
Пример 3. Команда PowerShell для изменения ".dwg" на ".pdwg" при использовании этой службы защищает этот файл:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}
Цвет
Используйте этот дополнительный параметр, чтобы задать цвет метки. Чтобы указать цвет, введите шестнадцатеричный код триплета для красного, зеленого и синего (RGB) компонентов цвета. Например, #40e0d0 — шестнадцатеричное RGB-значение для бирюзового цвета.
Если вам нужна ссылка на эти коды, вы найдете полезную таблицу на цветной<> странице веб-документации MSDN. Эти коды также можно найти во многих приложениях, которые позволяют редактировать изображения. Например, Microsoft Paint позволяет выбрать собственный цвет из палитры и автоматически отображает значения RGB, которые вы можете скопировать.
Чтобы настроить дополнительный параметр для цвета метки, введите следующие строки для выбранной метки:
Ключ: цвет
Значение: <шестнадцатеричное значение> RGB
Пример команды PowerShell, где метка называется "Public":
Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}
DefaultSubLabelId
При добавлении вложенной метки в метку пользователи больше не могут применять родительскую метку к документу или электронной почте. По умолчанию пользователи выбирают родительскую метку, чтобы просмотреть вложенные метки, которые они могут применить, а затем выбрать одну из этих вложенных меток. При настройке этого расширенного параметра, когда пользователи выбирают родительскую метку, вложенная метка автоматически выбирается и применяется к ним:
Ключ: DefaultSubLabelId
Значение: <GUID> вложенной метки
Пример команды PowerShell, где родительская метка называется Конфиденциально, а вложенная метка "Все сотрудники" имеет идентификатор GUID 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
EnableAudit
По умолчанию клиент защиты информации отправляет данные аудита в Microsoft Purview, где эти данные можно просмотреть в обозревателе действий.
Чтобы изменить это поведение, используйте следующий дополнительный параметр:
Ключ: EnableAudit
Значение: False
Например, если политика меток называется "Глобальная":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}
Затем на локальных компьютерах с клиентом защиты информации удалите следующую папку: %localappdata%\Microsoft\MSIP\mip
Чтобы клиент снова отправлял данные журнала аудита, измените значение дополнительного параметра на True. Вам не нужно вручную создавать папку %localappdata%\Microsoft\MSIP\mip на клиентских компьютерах.
EnableContainerSupport
Этот параметр позволяет клиенту защиты информации удалять шифрование из файлов PST, RAR и 7ZIP.
Ключ: EnableContainerSupport
Значение: True
Например, если политика меток называется "Глобальная":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}
EnableCustomPermissions
По умолчанию при щелчке правой кнопкой мыши в проводник с помощью средства метки файлов пользователи видят параметр "Защитить с помощью пользовательских разрешений". Этот параметр позволяет задать собственные параметры шифрования, которые могут переопределить любые параметры шифрования, которые вы могли включить в конфигурацию метки. Пользователи также могут увидеть параметр для удаления шифрования. При настройке этого параметра пользователи не видят эти параметры.
Используйте следующий параметр, чтобы пользователи не видели эти параметры:
Ключ: EnableCustomPermissions
Значение: False
Пример команды PowerShell, в которой политика меток называется "Глобальная":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
EnableCustomPermissionsForCustomProtectedFiles
При настройке расширенного параметра клиента EnableCustomPermissions для отключения настраиваемых разрешений в проводник пользователи по умолчанию не могут видеть или изменять пользовательские разрешения, которые уже заданы в зашифрованном документе.
Однако существует еще один расширенный параметр клиента, который можно указать, чтобы в этом сценарии пользователи могли просматривать и изменять пользовательские разрешения для зашифрованного документа при использовании проводник и щелчке файла правой кнопкой мыши.
Ключ: EnableCustomPermissionsForCustomProtectedFiles
Значение: True
Пример команды PowerShell, в которой политика меток называется "Глобальная":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}
EnableGlobalization
Особенности глобализации классификации, включая повышенную точность для восточноазиатских языков и поддержку двухбайтовых символов. Эти улучшения предоставляются только для 64-разрядных процессов и отключены по умолчанию.
Включите эти функции для политики, указав следующие строки:
Ключ: EnableGlobalization
Значение:
True
Пример команды PowerShell, в которой политика меток называется "Глобальная":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}
Чтобы снова отключить поддержку и отменить изменения значение по умолчанию, задайте для дополнительного параметра EnableGlobalization пустую строку.
JustificationTextForUserText
Настройте запросы на обоснование, которые отображаются при изменении конечными пользователями меток конфиденциальности для файлов.
Например, администратор может напомнить пользователям, что не следует добавлять в это поле сведения, идентифицирующие клиента.
Чтобы изменить параметр по умолчанию Другое , который пользователи могут выбрать в диалоговом окне, используйте дополнительный параметр JustificationTextForUserText . Присвойте значение тексту, который вы хотите использовать.
Пример команды PowerShell, в которой политика меток называется "Глобальная":
Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
LogMatchedContent
По умолчанию клиент защиты информации не отправляет совпадения содержимого для типов конфиденциальной информации в Microsoft Purview, который затем может отображаться в обозревателе действий. Сканер всегда отправляет эти сведения. Дополнительные сведения об этих дополнительных сведениях, которые можно отправить, см. в статье Соответствие содержимого для более глубокого анализа.
Чтобы отправлять совпадения содержимого при отправке типов конфиденциальной информации, используйте следующий расширенный параметр в политике меток:
Ключ: LogMatchedContent
Значение: True
Пример команды PowerShell, в которой политика меток называется "Глобальная":
Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}
OfficeContentExtractionTimeout
По умолчанию время ожидания автоматической маркировки сканера для файлов Office составляет 3 секунды.
Если у вас есть сложный файл Excel с большим количеством листов или строк, 3 секунды может быть недостаточно для автоматического применения меток. Чтобы увеличить это время ожидания для выбранной политики меток, укажите следующие строки:
Ключ: OfficeContentExtractionTimeout
Значение: Секунды в следующем формате:
hh:mm:ss.
Важно!
Не рекомендуется повышать это время ожидания до 15 секунд.
Пример команды PowerShell, в которой политика меток называется "Глобальная":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}
Обновленное время ожидания применяется к автоматическому присвоению меток во всех файлах Office.
PFileSupportedExtensions
С помощью этого параметра можно изменить типы файлов, которые шифруются, но нельзя изменить уровень шифрования по умолчанию с собственного на универсальный. Например, для пользователей, работающих с меткой файлов, можно изменить параметр по умолчанию, чтобы шифроваться только файлы Office и PDF-файлы, а не все типы файлов. Но вы не можете изменить эти типы файлов, чтобы они были зашифрованы с расширением PFILE.
Ключ: PFileSupportedExtensions
Значение: <строковое значение>
Используйте следующую таблицу, чтобы определить указанное строковое значение:
| Строковое значение | Клиент | Сканер |
|---|---|---|
| * | Значение по умолчанию: применение шифрования ко всем типам файлов | Применение шифрования ко всем типам файлов |
| ConvertTo-Json(".jpg", ".png") | Помимо типов файлов Office и PDF-файлов, примените шифрование к указанным расширениям имен файлов. | Помимо типов файлов Office и PDF-файлов, примените шифрование к указанным расширениям имен файлов. |
Пример 1. Команда PowerShell для сканера для шифрования файлов всех типов, где политика меток называется "Сканер":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
Пример 2. Команда PowerShell для сканера для шифрования файлов .txt и .csv файлов в дополнение к файлам Office и PDF-файлам, где политика меток называется "Сканер":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}
ReportAnIssueLink
При указании следующего расширенного параметра клиента пользователи увидят параметр Сообщить о проблеме , который можно выбрать в диалоговом окне Клиент справки и отзывов в средстве метки файлов. Укажите строку HTTP для ссылки. Например, настроенная веб-страница, на которую пользователи могут сообщать о проблемах, или адрес электронной почты, который отправляется в службу поддержки.
Чтобы настроить этот дополнительный параметр, введите следующие строки для выбранной политики меток:
Ключ: ReportAnIssueLink
Значение: <строка> HTTP
Пример значения веб-сайта: https://support.contoso.com
Пример значения для адреса электронной почты: mailto:helpdesk@contoso.com
Пример команды PowerShell, в которой политика меток называется "Глобальная":
Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}
ScannerMaxCPU
Важно!
Рекомендуется ограничить потребление ЦП с помощью дополнительных параметров ScannerMaxCPU и ScannerMinCPU вместо ScannerConcurrencyLevel , поддерживаемых для обратной совместимости.
Если указан более старый дополнительный параметр, дополнительные параметры ScannerMaxCPU и ScannerMinCPU игнорируются.
Используйте этот дополнительный параметр в сочетании со СканеромMinCPU , чтобы ограничить потребление ресурсов ЦП на компьютере сканера.
Ключ: ScannerMaxCPU
Значение: <число>**
Значение по умолчанию равно 100 , что означает отсутствие ограничения на максимальное потребление ЦП. В этом случае процесс проверки будет пытаться использовать все доступное время ЦП, чтобы максимально увеличить скорость сканирования.
Если для параметра ScannerMaxCPU задано значение менее 100, сканер будет отслеживать потребление ЦП за последние 30 минут. Если средняя загрузка ЦП пересекла установленное ограничение, начнется сокращение количества потоков, выделенных для новых файлов.
Ограничение на количество потоков будет продолжаться до тех пор, пока потребление ЦП превышает ограничение, установленное для ScannerMaxCPU.
ScannerMinCPU
Важно!
Рекомендуется ограничить потребление ЦП с помощью дополнительных параметров ScannerMaxCPU и ScannerMinCPU вместо ScannerConcurrencyLevel , поддерживаемых для обратной совместимости.
Если указан более старый дополнительный параметр, дополнительные параметры ScannerMaxCPU и ScannerMinCPU игнорируются.
Используется только в том случае, если scannerMaxCPU не равен 100 и не может быть задано число, превышающее значение ScannerMaxCPU .
Рекомендуется, чтобы параметр ScannerMinCPU был установлен по крайней мере на 15 пунктов ниже значения ScannerMaxCPU.
Значение по умолчанию равно 50 . Это означает, что если потребление ЦП за последние 30 минут меньше этого значения, средство проверки начнет добавлять новые потоки для параллельного сканирования большего количества файлов, пока потребление ЦП не достигнет уровня, установленного для ScannerMaxCPU-15.
ScannerConcurrencyLevel
Важно!
Рекомендуется ограничить потребление ЦП с помощью дополнительных параметров ScannerMaxCPU и ScannerMinCPU вместо ScannerConcurrencyLevel , поддерживаемых для обратной совместимости.
Если указан этот более старый расширенный параметр, дополнительные параметры ScannerMaxCPU и ScannerMinCPU игнорируются.
По умолчанию средство проверки использует все доступные ресурсы процессора на компьютере, на котором запущена служба проверки. Если необходимо ограничить потребление ЦП во время сканирования этой службы, укажите количество параллельных потоков, которые сканер может выполнять параллельно. Сканер использует отдельный поток для каждого файла, который он сканирует, поэтому эта конфигурация регулирования также определяет количество файлов, которые можно сканировать параллельно.
При первой настройке значения для тестирования рекомендуется указать 2 на ядро, а затем отслеживать результаты. Например, если средство проверки запущено на компьютере с 4 ядрами, сначала задайте значение 8. При необходимости увеличьте или уменьшите это число в соответствии с производительностью, необходимой для компьютера сканера и частоты сканирования.
Ключ: ScannerConcurrencyLevel
Значение: <количество параллельных> потоков
Пример команды PowerShell, где политика меток называется "Сканер":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}
ScannerFSAttributesToSkip
По умолчанию сканер защиты информации сканирует все соответствующие файлы. Однако может потребоваться определить конкретные файлы, которые будут пропущены, например для архивных файлов или файлов, которые были перемещены.
Включите средство проверки для пропуска определенных файлов на основе их атрибутов с помощью дополнительного параметра ScannerFSAttributesToSkip . В значении параметра перечислите атрибуты файла, которые позволят пропускать файл, если для них задано значение true. В этом списке атрибутов файла используется логика AND.
Примеры команд PowerShell, где политика меток называется "Глобальная".
Пропускать файлы, которые доступны только для чтения и архивируются
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}
Пропускать файлы, которые доступны только для чтения или архивируются
Чтобы использовать логику OR, выполните одно и то же свойство несколько раз. Например:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}
Совет
Рекомендуется включить средство проверки для пропуска файлов со следующими атрибутами:
- FILE_ATTRIBUTE_SYSTEM
- FILE_ATTRIBUTE_HIDDEN
- FILE_ATTRIBUTE_DEVICE
- FILE_ATTRIBUTE_OFFLINE
- FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
- FILE_ATTRIBUTE_RECALL_ON_OPEN
- FILE_ATTRIBUTE_TEMPORARY
Список всех атрибутов файла, которые можно определить в расширенном параметре ScannerFSAttributesToSkip, см. в разделе Константы атрибутов файлов Win32.
SharepointWebRequestTimeout
По умолчанию время ожидания для взаимодействий с SharePoint составляет две минуты, после чего операция клиента защиты информации завершается сбоем. Управляйте этим временем ожидания с помощью дополнительных параметров SharepointWebRequestTimeout и SharepointFileRequestTimeout , используя синтаксис hh:mm:ss для определения времени ожидания.
Укажите значение, чтобы определить время ожидания для всех клиентских веб-запросов защиты информации к SharePoint. Значение по умолчанию — minutes.
Например, если политика называется Глобальной, следующий пример команды PowerShell обновляет время ожидания веб-запроса до 5 минут.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}
SharepointFileWebRequestTimeout
По умолчанию время ожидания для взаимодействий с SharePoint составляет две минуты, после чего операция клиента защиты информации завершается сбоем. Управляйте этим временем ожидания с помощью дополнительных параметров SharepointWebRequestTimeout и SharepointFileRequestTimeout , используя синтаксис hh:mm:ss для определения времени ожидания.
Укажите значение времени ожидания для файлов SharePoint с помощью клиентских веб-запросов защиты информации. Значение по умолчанию — 15 минут.
Например, если политика называется Глобальной, следующий пример команды PowerShell обновляет время ожидания веб-запроса файла до 10 минут.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
UseCopyAndPreserveNTFSOwner
Примечание.
Сейчас эта функция доступна в предварительной версии. Дополнительные условия предварительной версии Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступную версию.
По умолчанию клиент защиты информации не сохраняет владельца NTFS, определенного перед применением метки конфиденциальности.
Чтобы гарантировать сохранение значения владельца NTFS, задайте для параметра UseCopyAndPreserveNTFSOwner значение true для выбранной политики меток.
Предостережение
Для сканера: определите этот дополнительный параметр только в том случае, если вы можете обеспечить надежное сетевое подключение между сканером и проверяемого репозиторием с низкой задержкой. Сбой сети во время процесса автоматической маркировки может привести к потере файла.
Пример команды PowerShell, где политика меток называется "Сканер"
Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по