Administratörsguide: Anpassade konfigurationer för den klassiska Azure Information Protection-klienten
Använd följande information för de avancerade konfigurationer som du kan behöva vid specifika scenarier eller en delmängd användare när du hanterar Azure Information Protection-klienten.
Vissa av inställningarna kräver att du redigerar registret och vissa använder avancerade inställningar som du måste konfigurera i Azure-portalen och sedan publicera för hämtning av klienterna.
Så här konfigurerar du avancerade klassiska klientkonfigurationsinställningar i portalen
Om du inte redan har gjort det loggar du in på Azure Portal i ett nytt webbläsarfönster och går sedan till fönstret Azure Information Protection.
Från menyalternativet Klassificeringsetiketter>: Välj Principer.
I fönstret Azure Information Protection – Principer väljer du snabbmenyn (...) bredvid principen för att innehålla de avancerade inställningarna. Välj därefter avancerade inställningar.
Du kan konfigurera avancerade inställningar för den globala principen samt begränsade principer.
I fönstret Avancerade inställningar skriver du det avancerade inställningsnamnet och värdet och väljer sedan Spara och stäng.
Se till att användarna för den här principen startar om alla Office program som de hade öppna.
Om du inte längre behöver inställningen och vill återgå till standardbeteendet: I fönstret Avancerade inställningar väljer du snabbmenyn (...) bredvid den inställning som du inte längre behöver och väljer sedan Ta bort. Klicka sedan på Spara och stäng.
Tillgängliga avancerade klassiska klientinställningar
Förhindra att dialogruta för inloggning visas för datorer med endast AD RMS
Som standard försöker Azure Information Protection-klienten ansluta automatiskt till Azure Information Protection-tjänsten. För datorer som endast kommunicerar med AD RMS kan den här konfigurationen resultera i en onödig inloggningsdialog för användare. Du kan förhindra den här inloggningsprompten genom att redigera registret.
Leta upp följande värdenamn och ange sedan värdet 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Oavsett den här inställningen följer Azure Information Protection-klienten fortfarande rms-tjänstens standardidentifieringsprocess för att hitta sitt AD RMS-kluster.
Logga in som en annan användare
I en produktionsmiljö behöver användarna vanligtvis inte logga in som en annan användare när de använder Azure Information Protection-klienten. Som administratör kan du dock behöva logga in som en annan användare under en testfas.
Du kan verifiera vilket konto som du är inloggad på för tillfället genom att använda dialogrutan Microsoft Azure Information Protection: öppna ett Office-program och sedan på Start-fliken i Skydd-gruppen, klickar du på Skydda och sedan på Hjälp och feedback. Ditt kontonamn visas i avsnittet Klientstatus.
Var även noga med att kontrollera domännamnet för det inloggade konto som visas. Det kan vara lätt att missa att du har loggat in med rätt kontonamn men fel domän. Ett symtom av att använda fel konto kan vara att det inte går att hämta Azure Information Protection-principen, eller att du inte ser de etiketter eller det beteenden som du förväntar dig.
Så här loggar du in som en annan användare:
Gå till %localappdata%\Microsoft\MSIP och ta bort TokenCache-filen .
Starta om alla öppna Office-program och logga in med ditt andra användarkonto. Om du inte ser en uppmaning i ditt Office-program för att logga in på Azure Information Protection-tjänsten, går du tillbaka till dialogrutan Microsoft Azure Information Protection och klickar på Logga in från det uppdaterade Klientstatus avsnittet.
Dessutom:
Om Azure Information Protection-klienten fortfarande är inloggad med det gamla kontot när du har slutfört de här stegen tar du bort alla cookies från Internet Explorer och upprepar sedan steg 1 och 2.
Om du använder enkel inloggning måste du logga ut från Windows och logga in med ditt andra användarkonto när du har raderat tokenfilen. Azure Information Protection-klienten autentiserar då automatiskt med hjälp av ditt inloggade användarkonto.
Den här lösningen stöds för att logga in som en annan användare från samma klient. Den stöds inte för att logga in som en annan användare från en annan klient. Om du vill testa Azure Information Protection med flera innehavare, måste du använda olika datorer.
Du kan använda alternativet Återställ inställningar från Hjälp och feedback för att logga ut och ta bort den aktuella nedladdade Azure-Information Protection-principen.
Framtvinga skyddsläge när din organisation har en blandning av licenser
Om din organisation inte har några licenser för Azure Information Protection, men har licenser för Microsoft 365 som inkluderar Azure Rights Management-tjänsten för att skydda data, körs den klassiska AIP-klienten automatiskt i skyddsläge.
Men om din organisation har en prenumeration på Azure Information Protection kan alla Windows datorer som standard ladda ned Azure Information Protection-principen. Azure Information Protection-klienten utför inte licenskontroll och tillämpning.
Om du har vissa användare som inte har någon licens för Azure Information Protection men har en licens för Microsoft 365 som innehåller Tjänsten Azure Rights Management redigerar du registret på dessa användares datorer för att förhindra användare från att köra de olicensierade klassificerings- och etiketteringsfunktionerna från Azure Information Protection.
Leta upp följande värdenamn och ange värdet 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Kontrollera dessutom att dessa datorer inte har en fil med namnet Policy.msip i mappen %LocalAppData%\Microsoft\MSIP . Om den här filen finns tar du bort den. Den här filen innehåller Azure Information Protection-principen och kan ha laddats ned innan du redigerade registret, eller om Azure Information Protection-klienten installerades med demoalternativet.
Lägg till "Rapportera ett problem" för användare
Den här konfigurationen använder en avancerad klientinställning som måste konfigureras i Azure-portalen.
När du anger följande avancerade klientinställning ser användarna alternativet Rapportera ett problem som de kan välja i dialogrutan Hjälp och feedback-klient . Ange en HTTP-sträng för länken. Till exempel en anpassad webbsida som du har för användare att rapportera problem, eller en e-postadress som går till supportavdelningen.
För att konfigurera den här avancerade inställningen, anger du följande strängar:
Nyckel: ReportAnIssueLink
Värde: <HTTP-sträng>
Exempelvärde för en webbplats: https://support.contoso.com
Exempelvärde för en e-postadress: mailto:helpdesk@contoso.com
Dölj menyalternativet Klassificera och skydda i Utforskaren
Skapa följande DWORD-värdenamn (med valfria värdedata):
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable
Stöd för frånkopplade datorer
Som standard försöker Azure Information Protection-klienten ansluta automatiskt till Azure Information Protection-tjänsten för att ladda ned den senaste Azure Information Protection-principen. Om du har datorer som du vet inte kommer att kunna ansluta till Internet under en viss tidsperiod kan du förhindra att klienten försöker ansluta till tjänsten genom att redigera registret.
Observera att utan en Internetanslutning kan klienten inte tillämpa skydd (eller ta bort skydd) med hjälp av organisationens molnbaserade nyckel. Klienten är i stället begränsad till att använda etiketter som endast tillämpar klassificering eller skydd som använder HYOK.
Du kan förhindra en inloggningsprompt till Azure Information Protection-tjänsten med hjälp av en avancerad klientinställning som du måste konfigurera i Azure Portal och sedan ladda ned principen för datorer. Eller så kan du förhindra den här inloggningsprompten genom att redigera registret.
Så här konfigurerar du den avancerade klientinställningen:
Ange följande strängar:
Nyckel: PullPolicy
Värde: False
Ladda ned principen med den här inställningen och installera den på datorer med hjälp av anvisningarna nedan.
Du kan också redigera registret:
Leta upp följande värdenamn och ange sedan värdet 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Klienten måste ha en giltig principfil med namnet Policy.msip i mappen %LocalAppData%\Microsoft\MSIP .
Du kan exportera den globala principen eller en principomfattning från Azure Portal och kopiera den exporterade filen till klientdatorn. Du kan också använda den här metoden för att ersätta en inaktuell principfil med den senaste principen. Export av principen stöder dock inte scenariot där en användare tillhör mer än en princip med omfång. Tänk också på att om användarna väljer alternativet Återställ Inställningar från Hjälp och feedback, tar den här åtgärden bort principfilen och återger klienten obrukbar tills du manuellt ersätter principfilen eller klienten ansluter till tjänsten för att ladda ned principen.
När du exporterar principen från Azure Portal hämtas en zippad fil som innehåller flera versioner av principen. Dessa principversioner motsvarar olika versioner av Azure Information Protection-klienten:
Packa upp filen och använd följande tabell för att identifiera vilken principfil du behöver.
Filnamn Motsvarande klientversion Policy1.1.msip version 1.2 Policy1.2.msip version 1.3 – 1.7 Policy1.3.msip version 1.8 – 1.29 Policy1.4.msip version 1.32 och senare Byt namn på den identifierade filen till Policy.msip och kopiera den sedan till mappen %LocalAppData%\Microsoft\MSIP på datorer som har Azure Information Protection-klienten installerad.
Om den frånkopplade datorn kör den aktuella GA-versionen av Azure Information Protection-skannern finns det ytterligare konfigurationssteg som du måste vidta. Mer information finns i Begränsning: Skannerservern kan inte ha internetanslutning i krav för skannerdistribution.
Dölj eller visa knappen Vidarebefordra inte i Outlook
Den rekommenderade metoden för att konfigurera det här alternativet är att använda principinställningenLägg till knappen Vidarebefordra inte i menyfliksområdet Outlook. Du kan dock också konfigurera det här alternativet med hjälp av en avancerad klientinställning som du konfigurerar i Azure Portal.
När du konfigurerar den här inställningen döljs eller visas knappen Vidarebefordra inte i menyfliksområdet i Outlook. Den här inställningen påverkar inte alternativet Vidarebefordra inte från Office menyer.
För att konfigurera den här avancerade inställningen, anger du följande strängar:
Nyckel: DisableDNF
Värde: Sant för att dölja knappen eller Falskt för att visa knappen
Gör alternativen för anpassade behörigheter tillgängliga eller otillgängliga för användare
Den rekommenderade metoden för att konfigurera det här alternativet är genom att använda principinställningenGör alternativet för anpassade behörigheter tillgängligt för användare. Du kan dock också konfigurera det här alternativet med hjälp av en avancerad klientinställning som du konfigurerar i Azure Portal.
När du konfigurerar den här inställningen och publicerar principen för användare blir alternativen för anpassade behörigheter synliga för användare att välja sina egna skyddsinställningar, eller så är de dolda så att användarna inte kan välja sina egna skyddsinställningar om de inte uppmanas att göra det.
För att konfigurera den här avancerade inställningen, anger du följande strängar:
Nyckel: EnableCustomPermissions
Värde: Sant för att göra alternativet för anpassade behörigheter synligt eller Falskt för att dölja det här alternativet
Visa alltid anpassade behörigheter för användare i Utforskaren för filer som skyddas med anpassade behörigheter
Den här konfigurationen använder en avancerad klientinställning som måste konfigureras i Azure-portalen.
När du konfigurerar principinställningenGör alternativet anpassade behörigheter tillgängligt för användare eller motsvarande avancerade klientinställning i föregående avsnitt kan användarna inte se eller ändra anpassade behörigheter som redan har angetts i ett skyddat dokument.
När du skapar och konfigurerar den här avancerade klientinställningen kan användarna se och ändra anpassade behörigheter för ett skyddat dokument när de använder Utforskaren och högerklicka på filen. Alternativet Anpassade behörigheter från knappen Skydda i menyfliksområdet Office förblir dolt.
För att konfigurera den här avancerade inställningen, anger du följande strängar:
Nyckel: EnableCustomPermissionsForCustomProtectedFiles
Värde: Sant
Anteckning
Den här funktionen är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Dölj permanent Azure Information Protection-fältet
Den här konfigurationen använder en avancerad klientinställning som måste konfigureras i Azure-portalen. Använd den bara när principinställningenVisa Information Protection-fältet i Office appar är inställt på På.
Om en användare som standard avmarkerar alternativet Visa stapel från fliken Start, Gruppen Skydd, Knappen Skydda visas inte längre Information Protection fältet i Office-appen. Fältet visas dock automatiskt igen nästa gång en Office-appen öppnas.
Om du vill förhindra att fältet visas igen automatiskt när en användare har valt att dölja det använder du den här klientinställningen. Den här inställningen har ingen effekt om användaren stänger fältet med hjälp av ikonen stänga det här fältet.
Även om Azure Information Protection-fältet förblir dolt kan användarna fortfarande välja en etikett från ett tillfälligt fält som visas om du har konfigurerat rekommenderad klassificering, eller när ett dokument eller e-postmeddelande måste ha en etikett.
För att konfigurera den här avancerade inställningen, anger du följande strängar:
Nyckel: EnableBarHiding
Värde: Sant
Aktivera orderstöd för underetiketter på bifogade filer
Den här konfigurationen använder en avancerad klientinställning som måste konfigureras i Azure-portalen.
Använd den här inställningen när du har underetiketter och du har konfigurerat följande principinställning:
- För e-postmeddelanden med bifogade filer använder du en etikett som matchar den högsta klassificeringen av de bifogade filerna
Konfigurera följande strängar:
Nyckel: CompareSubLabelsInAttachmentAction
Värde: Sant
Utan den här inställningen tillämpas den första etiketten som hittas från den överordnade etiketten med den högsta klassificeringen på e-postmeddelandet.
Med den här inställningen tillämpas den underetikett som sorteras sist från den överordnade etiketten med den högsta klassificeringen på e-postmeddelandet. Om du behöver ordna om etiketterna för att tillämpa den etikett som du vill använda för det här scenariot läser du Så här tar du bort eller ändrar ordning på en etikett för Azure Information Protection.
Undanta Outlook meddelanden från obligatorisk etikettering
Den här konfigurationen använder en avancerad klientinställning som måste konfigureras i Azure-portalen.
När du aktiverar principinställningenAlla dokument och e-postmeddelanden måste som standard ha en etikett måste alla sparade dokument och skickade e-postmeddelanden ha en etikett tillämpad. När du konfigurerar följande avancerade inställning gäller principinställningen endast för Office dokument och inte för att Outlook meddelanden.
För att konfigurera den här avancerade inställningen, anger du följande strängar:
Nyckel: DisableMandatoryInOutlook
Värde: Sant
Aktivera rekommenderad klassificering i Outlook
Den här konfigurationen använder en avancerad klientinställning som måste konfigureras i Azure-portalen.
När du konfigurerar en etikett för rekommenderad klassificering uppmanas användarna att acceptera eller stänga den rekommenderade etiketten i Word, Excel och PowerPoint. Den här inställningen utökar den här etikettrekommendationsen så att den även visas i Outlook.
För att konfigurera den här avancerade inställningen, anger du följande strängar:
Nyckel: OutlookRecommendationEnabled
Värde: Sant
Anteckning
Den här funktionen är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Implementera popup-meddelanden i Outlook som varnar, motiverar eller blockerar e-postmeddelanden som skickas
Den här konfigurationen använder flera avancerade klientinställningar som du måste konfigurera i Azure Portal.
När du skapar och konfigurerar följande avancerade klientinställningar ser användarna popup-meddelanden i Outlook som kan varna dem innan de skickar ett e-postmeddelande, eller be dem att ange en motivering till varför de skickar ett e-postmeddelande eller hindra dem från att skicka ett e-postmeddelande för något av följande scenarier:
E-post eller bifogad fil för e-postmeddelandet har en specifik etikett:
- Den bifogade filen kan vara vilken filtyp som helst
E-post eller bifogad fil för e-postmeddelandet har ingen etikett:
- Den bifogade filen kan vara ett Office dokument eller PDF-dokument
När dessa villkor uppfylls ser användaren ett popup-meddelande med någon av följande åtgärder:
Varna: Användaren kan bekräfta och skicka eller avbryta.
Justera: Användaren uppmanas att ange en motivering (fördefinierade alternativ eller kostnadsfritt formulär). Användaren kan sedan skicka eller avbryta e-postmeddelandet. Motiveringstexten skrivs till e-postmeddelandet x-header, så att den kan läsas av andra system. Till exempel DLP-tjänster (Data Loss Prevention).
Blockera: Användaren hindras från att skicka e-postmeddelandet medan villkoret kvarstår. Meddelandet innehåller orsaken till att e-postmeddelandet blockeras, så att användaren kan åtgärda problemet. Ta till exempel bort specifika mottagare eller märk e-postmeddelandet.
När popup-meddelandena är för en specifik etikett kan du konfigurera undantag för mottagare efter domännamn.
De resulterande åtgärderna från popup-meddelanden loggas till den lokala Windows händelseloggen Program- och tjänstloggar>i Azure Information Protection:
Varningsmeddelanden: Informations-ID 301
Justera meddelanden: Informations-ID 302
Blockera meddelanden: Informations-ID 303
Exempel på händelseinmatning från ett justeringsmeddelande:
Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Price list.msg
Item Name: Price list
Process Name: OUTLOOK
Action: Justify
User Justification: My manager approved sharing of this content
Action Source:
User Response: Confirmed
Följande avsnitt innehåller konfigurationsinstruktioner för varje avancerad klientinställning, och du kan se dem i praktiken själv med Självstudie: Konfigurera Azure Information Protection för att styra överdelning av information med hjälp av Outlook.
Så här implementerar du popup-meddelanden för varning, justering eller blockering för specifika etiketter:
Om du vill implementera popup-meddelanden för specifika etiketter måste du känna till etikett-ID:t för dessa etiketter. Etikett-ID-värdet visas i fönstret Etikett när du visar eller konfigurerar Azure Information Protection-principen i Azure Portal. För filer som har etiketter kan du också köra PowerShell-cmdleten Get-AIPFileStatus för att identifiera etikett-ID :t (MainLabelId eller SubLabelId). När en etikett har underetiketter anger du alltid ID för bara en underetikett och inte den överordnade etiketten.
Skapa en eller flera av följande avancerade klientinställningar med följande nycklar. För värdena anger du en eller flera etiketter med sina ID:n, var och en avgränsad med kommatecken.
Exempelvärde för flera etikett-ID:t som en kommaavgränsad sträng: dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
Varna meddelanden:
Nyckel: OutlookWarnUntrustedCollaborationLabel
Värde: <etikett-ID:t, kommaavgränsade>
Motiveringsmeddelanden:
Nyckel: OutlookJustifyUntrustedCollaborationLabel
Värde: <etikett-ID:t, kommaavgränsade>
Blockera meddelanden:
Nyckel: OutlookBlockUntrustedCollaborationLabel
Värde: <etikett-ID:t, kommaavgränsade>
Så här undantar du domännamn för popup-meddelanden som konfigurerats för specifika etiketter
För de etiketter som du har angett med dessa popup-meddelanden kan du undanta specifika domännamn så att användarna inte ser meddelandena för mottagare som har det domännamnet inkluderat i sin e-postadress. I det här fallet skickas e-postmeddelandena utan avbrott. Om du vill ange flera domäner lägger du till dem som en enda sträng, avgränsade med kommatecken.
En typisk konfiguration är att visa popup-meddelanden endast för mottagare som är externa för din organisation eller som inte är auktoriserade partner för din organisation. I det här fallet anger du alla e-postdomäner som används av din organisation och av dina partner.
Skapa följande avancerade klientinställningar och för värdet anger du en eller flera domäner, var och en avgränsad med kommatecken.
Exempelvärde för flera domäner som en kommaavgränsad sträng: contoso.com,fabrikam.com,litware.com
Varna meddelanden:
Nyckel: OutlookWarnTrustedDomains
Värde: <domännamn, kommaavgränsade>
Motiveringsmeddelanden:
Nyckel: OutlookJustifyTrustedDomains
Värde: <domännamn, kommaavgränsade>
Blockera meddelanden:
Nyckel: OutlookBlockTrustedDomains
Värde: <domännamn, kommaavgränsade>
Du har till exempel angett den avancerade klientinställningen OutlookBlockUntrustedCollaborationLabel för etiketten Konfidentiellt \ Alla anställda . Nu anger du den ytterligare avancerade klientinställningen för OutlookBlockTrustedDomains och contoso.com. Därför kan en användare skicka ett e-postmeddelande till john@sales.contoso.com när det är märkt Konfidentiellt \ Alla anställda men blockeras från att skicka ett e-postmeddelande med samma etikett till ett Gmail-konto.
Implementera varningsmeddelanden, motivera eller blockera popup-meddelanden för e-postmeddelanden eller bifogade filer som inte har någon etikett:
Skapa följande avancerade klientinställning med något av följande värden:
Varna meddelanden:
Nyckel: OutlookUnlabeledCollaborationAction
Värde: Varna
Motiveringsmeddelanden:
Nyckel: OutlookUnlabeledCollaborationAction
Värde: Justera
Blockera meddelanden:
Nyckel: OutlookUnlabeledCollaborationAction
Värde: Blockera
Inaktivera dessa meddelanden:
Nyckel: OutlookUnlabeledCollaborationAction
Värde: Av
Definiera specifika filnamnstillägg för varningen, justera eller blockera popup-meddelanden för e-postbilagor som inte har en etikett
Som standard gäller popup-meddelandena varna, justera eller blockera för alla Office dokument och PDF-dokument. Du kan förfina den här listan genom att ange vilka filnamnstillägg som ska visa varnings-, justerings- eller blockmeddelanden med ytterligare en avancerad klientegenskap och en kommaavgränsad lista över filnamnstillägg.
Exempelvärde för flera filnamnstillägg som ska definieras som en kommaavgränsad sträng: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM
I det här exemplet resulterar inte ett omärkt PDF-dokument i popup-meddelanden för att varna, motivera eller blockera.
Nyckel: OutlookOverrideUnlabeledCollaborationExtensions
Värde: <filnamnstillägg för att visa meddelanden, kommaavgränsade>
Ange en annan åtgärd för e-postmeddelanden utan bifogade filer
Som standard gäller det värde som du anger för OutlookUnlabeledCollaborationAction för att varna, motivera eller blockera popup-meddelanden för e-postmeddelanden eller bifogade filer som inte har någon etikett. Du kan förfina den här konfigurationen genom att ange en annan avancerad klientinställning för e-postmeddelanden som inte har bifogade filer.
Skapa följande avancerade klientinställning med något av följande värden:
Varna meddelanden:
Nyckel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Värde: Varna
Motiveringsmeddelanden:
Nyckel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Värde: Justera
Blockera meddelanden:
Nyckel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Värde: Blockera
Inaktivera dessa meddelanden:
Nyckel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Värde: Av
Om du inte anger den här klientinställningen används det värde som du anger för OutlookUnlabeledCollaborationAction för omärkta e-postmeddelanden utan bifogade filer samt omärkta e-postmeddelanden med bifogade filer.
Ange en annan standardetikett för Outlook
Den här konfigurationen använder en avancerad klientinställning som måste konfigureras i Azure-portalen.
När du konfigurerar den här inställningen använder Outlook inte standardetiketten som konfigureras i Azure Information Protection-principen för inställningen Välj standardetiketten. I stället kan Outlook använda en annan standardetikett eller ingen etikett.
Om du vill använda en annan etikett måste du ange etikett-ID:t. Etikett-ID-värdet visas i fönstret Etikett när du visar eller konfigurerar Azure Information Protection-principen i Azure Portal. För filer som har tillämpade etiketter kan du också köra PowerShell-cmdleten Get-AIPFileStatus för att identifiera etikett-ID :t (MainLabelId eller SubLabelId). När en etikett har underetiketter anger du alltid ID:t för bara en underetikett och inte den överordnade etiketten.
Så att Outlook inte använder standardetiketten anger du Ingen.
För att konfigurera den här avancerade inställningen, anger du följande strängar:
Nyckel: OutlookDefaultLabel
Värde: <etikett-ID> eller Ingen
Konfigurera en etikett för att tillämpa S/MIME-skydd i Outlook
Den här konfigurationen använder en avancerad klientinställning som måste konfigureras i Azure-portalen.
Använd bara den här inställningen när du har en fungerande S/MIME-distribution och vill att en etikett automatiskt ska använda den här skyddsmetoden för e-postmeddelanden i stället för att Rights Management skydd från Azure Information Protection. Det resulterande skyddet är detsamma som när en användare manuellt väljer S/MIME-alternativ från Outlook.
Den här konfigurationen kräver att du anger en avancerad klientinställning med namnet LabelToSMIME för varje Azure Information Protection etikett som du vill använda S/MIME-skydd. För varje post anger du sedan värdet med hjälp av följande syntax:
[Azure Information Protection label ID];[S/MIME action]
Etikett-ID-värdet visas i fönstret Etikett när du visar eller konfigurerar Azure Information Protection-principen i Azure Portal. Om du vill använda S/MIME med en underetikett anger du alltid ID:t för bara underetiketten och inte den överordnade etiketten. När du anger en underetikett måste den överordnade etiketten finnas i samma omfång eller i den globala principen.
S/MIME-åtgärden kan vara:
Sign;Encrypt: Tillämpa en digital signatur och S/MIME-krypteringEncrypt: Tillämpa endast S/MIME-krypteringSign: Så här tillämpar du endast en digital signatur
Exempelvärden för ett etikett-ID för dcf781ba-727f-4860-b3c1-73479e31912b:
Så här tillämpar du en digital signatur och S/MIME-kryptering:
dcf781ba-727f-4860-b3c1-73479e31912b; Signera; Kryptera
Så här tillämpar du endast S/MIME-kryptering:
dcf781ba-727f-4860-b3c1-73479e31912b; Kryptera
Så här tillämpar du endast en digital signatur:
dcf781ba-727f-4860-b3c1-73479e31912b; Tecken
Som ett resultat av den här konfigurationen tillämpas S/MIME-skydd på e-postmeddelandet utöver etikettens klassificering när etiketten används för ett e-postmeddelande.
Om etiketten som du anger har konfigurerats för Rights Management skydd i Azure Portal ersätter S/MIME-skyddet endast Rights Management skydd i Outlook. För alla andra scenarier som stöder etikettering tillämpas Rights Management skydd.
Om du vill att etiketten ska visas endast i Outlook konfigurerar du etiketten så att den tillämpar den användardefinierade åtgärden Vidarebefordra inte, enligt beskrivningen i Snabbstart: Konfigurera en etikett för användare för att enkelt skydda e-postmeddelanden som innehåller känslig information.
Ta bort "Inte nu" för dokument när du använder obligatorisk etikettering
Den här konfigurationen använder en avancerad klientinställning som måste konfigureras i Azure-portalen.
När du använder principinställningenAlla dokument och e-postmeddelanden måste ha en etikett uppmanas användarna att välja en etikett när de först sparar ett Office dokument och när de skickar ett e-postmeddelande. För dokument kan användarna välja Inte nu för att tillfälligt stänga prompten för att välja en etikett och återgå till dokumentet. De kan dock inte stänga det sparade dokumentet utan att märka det.
När du konfigurerar den här inställningen tas alternativet Inte nu bort så att användarna måste välja en etikett när dokumentet först sparas.
För att konfigurera den här avancerade inställningen, anger du följande strängar:
Nyckel: PostponeMandatoryBeforeSave
Värde: False
Aktivera klassificering för att köras kontinuerligt i bakgrunden
Den här konfigurationen använder en avancerad klientinställning som måste konfigureras i Azure-portalen.
När du konfigurerar den här inställningen ändras standardbeteendet för hur Azure Information Protection-klienten tillämpar automatiska och rekommenderade etiketter på dokument:
För Word, Excel och PowerPoint körs automatisk klassificering kontinuerligt i bakgrunden.
Beteendet ändras inte för Outlook.
När Azure Information Protection-klienten regelbundet söker i dokument efter villkorsregler som du anger aktiverar det här beteendet automatisk och rekommenderad klassificering och skydd för dokument som lagras i Microsoft SharePoint. Stora filer sparas också snabbare eftersom villkorsreglerna redan har körts.
Villkorsreglerna körs inte i realtid som användartyper. I stället körs de regelbundet som en bakgrundsaktivitet om dokumentet ändras.
För att konfigurera den här avancerade inställningen, anger du följande strängar:
Nyckel: RunPolicyInBackground
Värde: Sant
Anteckning
Den här funktionen är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som på annat sätt ännu inte har släppts till allmän tillgänglighet.
Skydda inte PDF-filer med ISO-standarden för PDF-kryptering
Den här konfigurationen använder en avancerad klientinställning som måste konfigureras i Azure-portalen.
När den senaste versionen av Azure Information Protection-klienten skyddar en PDF-fil förblir det resulterande filnamnstillägget som .pdf och följer ISO-standarden för PDF-kryptering. Mer information om den här standarden finns i avsnitt 7.6 Kryptering från dokumentet som härleds från ISO 32000-1 och publiceras av Adobe Systems Incorporated.
Om du behöver klienten för att återgå till beteendet i äldre versioner av klienten som skyddade PDF-filer med filnamnstillägget .ppdf använder du följande avancerade inställning genom att ange följande sträng:
Nyckel: EnablePDFv2Protection
Värde: False
Du kan till exempel behöva den här inställningen för alla användare om du använder en PDF-läsare som inte stöder ISO-standarden för PDF-kryptering. Eller så kan du behöva konfigurera det för vissa användare när du gradvis fasar in en ändring av PDF-läsaren som stöder det nya formatet. En annan möjlig orsak till att använda den här inställningen är om du behöver lägga till skydd i signerade PDF-dokument. Signerade PDF-dokument kan dessutom skyddas med .ppdf-formatet eftersom det här skyddet implementeras som en omslutning för filen.
För att Azure Information Protection skannern ska använda den nya inställningen måste skannertjänsten startas om. Dessutom skyddar skannern inte längre PDF-dokument som standard. Om du vill att PDF-dokument ska skyddas av skannern när EnablePDFv2Protection är inställt på Falskt måste du redigera registret.
Mer information om den nya PDF-krypteringen finns i blogginlägget Nytt stöd för PDF-kryptering med Microsoft Information Protection.
En lista över PDF-läsare som stöder ISO-standarden för PDF-kryptering och läsare som stöder äldre format finns i PDF-läsare som stöds för Microsoft Information Protection.
Konvertera befintliga .ppdf-filer till skyddade .pdf filer
När Azure Information Protection-klienten har hämtat klientprincipen med den nya inställningen kan du använda PowerShell-kommandon för att konvertera befintliga .ppdf-filer till skyddade .pdf filer som använder ISO-standarden för PDF-kryptering.
Om du vill använda följande instruktioner för filer som du inte har skyddat själv måste du ha en Rights Management användningsbehörighet för att ta bort skyddet från filer eller vara en superanvändare. Information om hur du aktiverar superanvändarfunktionen och konfigurerar ditt konto som en superanvändare finns i Konfigurera superanvändare för Azure Rights Management och Discovery Services eller Data Recovery.
När du använder de här anvisningarna för filer som du inte har skyddat själv blir du dessutom RMS-utfärdare. I det här scenariot kan den användare som ursprungligen skyddade dokumentet inte längre spåra och återkalla det. Om användarna behöver spåra och återkalla sina skyddade PDF-dokument ber du dem att manuellt ta bort och sedan använda etiketten igen med hjälp av Utforskaren, högerklicka.
Så här använder du PowerShell-kommandon för att konvertera befintliga .ppdf-filer till skyddade .pdf filer som använder ISO-standarden för PDF-kryptering:
Använd Get-AIPFileStatus med .ppdf-filen. Exempel:
Get-AIPFileStatus -Path \\Finance\Projectx\sales.ppdfAnteckna följande parametervärden från utdata:
Värdet (GUID) för SubLabelId, om det finns ett. Om det här värdet är tomt användes inte en underetikett, så notera värdet för MainLabelId i stället.
Obs! Om det inte heller finns något värde för MainLabelId är filen inte märkt. I det här fallet kan du använda kommandot Unprotect-RMSFile och kommandot Protect-RMSFile i stället för kommandona i steg 3 och 4.
Värdet för RMSTemplateId. Om det här värdet är Begränsad åtkomst har en användare skyddat filen med anpassade behörigheter i stället för de skyddsinställningar som har konfigurerats för etiketten. Om du fortsätter skrivs dessa anpassade behörigheter över av etikettens skyddsinställningar. Bestäm om du vill fortsätta eller be användaren (värdet som visas för RMSIssuer) att ta bort etiketten och tillämpa den igen, tillsammans med deras ursprungliga anpassade behörigheter.
Ta bort etiketten med hjälp av Set-AIPFileLabel med parametern RemoveLabel . Om du använder principinställningenAnvändare måste ange en motivering för att ange en lägre klassificeringsetikett, ta bort en etikett eller ta bort skyddet, måste du också ange parametern Justering med orsaken. Exempel:
Set-AIPFileLabel \\Finance\Projectx\sales.ppdf -RemoveLabel -JustificationMessage 'Removing .ppdf protection to replace with .pdf ISO standard'Använd den ursprungliga etiketten igen genom att ange värdet för den etikett som du identifierade i steg 1. Exempel:
Set-AIPFileLabel \\Finance\Projectx\sales.pdf -LabelId d9f23ae3-1234-1234-1234-f515f824c57b
Filen behåller filnamnstillägget .pdf men klassificeras som tidigare och skyddas med iso-standarden för PDF-kryptering.
Stöd för filer som skyddas av Secure Islands
Om du använde Säkra öar för att skydda dokument kan du ha skyddade text- och bildfiler och allmänt skyddade filer som ett resultat av det här skyddet. Till exempel filer som har filnamnstillägget .ptxt, .pjpeg eller .pfile. När du redigerar registret på följande sätt kan Azure Information Protection dekryptera dessa filer:
Lägg till följande DWORD-värde för EnableIQPFormats i följande registersökväg och ange värdedata till 1:
För en 64-bitarsversion av Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
För en 32-bitarsversion av Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIP
Som ett resultat av den här registerredigeringen stöds följande scenarier:
Visningsprogrammet för Azure Information Protection kan öppna dessa skyddade filer.
Azure Information Protection-skannern kan söka efter känslig information i dessa filer.
Utforskaren, PowerShell och Azure Information Protection-skannern kan märka dessa filer. Därför kan du använda en Azure Information Protection-etikett som tillämpar nytt skydd från Azure Information Protection, eller som tar bort det befintliga skyddet från Säkra öar.
Du kan använda klientanpassningen för etiketteringsmigrering för att automatiskt konvertera etiketten Säkra öar på dessa skyddade filer till en Azure-Information Protection etikett.
Anteckning
Den här funktionen är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som på annat sätt ännu inte har släppts till allmän tillgänglighet.
Migrera etiketter från Säkra öar och andra etiketteringslösningar
Den här konfigurationen använder en avancerad klientinställning som måste konfigureras i Azure-portalen.
Den här konfigurationen är för närvarande inte kompatibel med det nya standardbeteendet som skyddar PDF-filer med hjälp av ISO-standarden för PDF-kryptering. I det här scenariot kan inte .ppdf-filer öppnas av Utforskaren, PowerShell eller skannern. Lös detta genom att använda den avancerade klientinställningen för att inte använda ISO-standarden för PDF-kryptering.
För Office dokument och PDF-dokument som är märkta med Secure Islands kan du märka om dessa dokument med en Azure Information Protection-etikett med hjälp av en mappning som du definierar. Du kan också använda den här metoden för att återanvända etiketter från andra lösningar när deras etiketter finns på Office dokument.
Anteckning
Om du har andra filer än PDF och Office dokument som skyddas av Säkra öar kan dessa etiketteras om när du har redigerat registret enligt beskrivningen i föregående avsnitt.
Som ett resultat av det här konfigurationsalternativet tillämpas den nya Azure Information Protection-etiketten av Azure Information Protection-klienten på följande sätt:
För Office dokument: När dokumentet öppnas i skrivbordsappen visas den nya Azure Information Protection-etiketten som angivet och används när dokumentet sparas.
För Utforskaren: I dialogrutan Azure Information Protection visas den nya Etiketten Azure Information Protection som inställd och tillämpas när användaren väljer Använd. Om användaren väljer Avbryt tillämpas inte den nya etiketten.
För PowerShell: Set-AIPFileLabel tillämpar den nya Etiketten Azure Information Protection. Get-AIPFileStatus visar inte den nya Azure Information Protection-etiketten förrän den har angetts med en annan metod.
För Azure Information Protection-skannern: Identifiering rapporterar när den nya Etiketten för Azure Information Protection skulle anges och den här etiketten kan användas med tvingande läge.
Den här konfigurationen kräver att du anger en avancerad klientinställning med namnet LabelbyCustomProperty för varje Azure Information Protection etikett som du vill mappa till den gamla etiketten. För varje post anger du sedan värdet med hjälp av följande syntax:
[Azure Information Protection label ID],[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]
Etikett-ID-värdet visas i fönstret Etikett när du visar eller konfigurerar Azure Information Protection-principen i Azure Portal. Om du vill ange en underetikett måste den överordnade etiketten finnas i samma omfång eller i den globala principen.
Ange val av namn på migreringsregel. Använd ett beskrivande namn som hjälper dig att identifiera hur en eller flera etiketter från din tidigare etikettlösning ska mappas till en Azure Information Protection-etikett. Namnet visas i skannerrapporterna och i Loggboken. Observera att den här inställningen inte tar bort den ursprungliga etiketten från dokumentet eller visuella markeringar i dokumentet som den ursprungliga etiketten kan ha tillämpat. Om du vill ta bort sidhuvuden och sidfötter läser du nästa avsnitt Ta bort sidhuvuden och sidfötter från andra etiketteringslösningar.
Exempel 1: En-till-en-mappning med samma etikettnamn
Krav: Dokument som har etiketten "Konfidentiellt" på Secure Islands ska märkas om som "Konfidentiellt" av Azure Information Protection.
I det här exemplet:
Etiketten Azure Information Protection som du vill använda heter Konfidentiellt och har etikett-ID:t 1ace2cc3-14bc-4142-9125-bf946a70542c.
Etiketten Secure Islands heter Konfidentiellt och lagras i den anpassade egenskapen med namnet Klassificering.
Den avancerade klientinställningen:
| Name | Värde |
|---|---|
| LabelbyCustomProperty | 1ace2cc3-14bc-4142-9125-bf946a70542c,"Secure Islands label is Confidential",Classification,Confidential |
Exempel 2: En-till-en-mappning för ett annat etikettnamn
Krav: Dokument som är märkta som "känsliga" av Säkra öar ska märkas om som "Strikt konfidentiellt" av Azure Information Protection.
I det här exemplet:
Etiketten Azure Information Protection som du vill använda heter Strikt konfidentiellt och har ett etikett-ID på 3e9df74d-3168-48af-8b11-037e3021813f.
Etiketten Secure Islands heter Sensitive (Känslig) och lagras i den anpassade egenskapen med namnet Classification (Klassificering).
Den avancerade klientinställningen:
| Name | Värde |
|---|---|
| LabelbyCustomProperty | 3e9df74d-3168-48af-8b11-037e3021813f,"Secure Islands label is Sensitive",Classification,Sensitive |
Exempel 3: Många-till-en-mappning av etikettnamn
Krav: Du har två secure islands-etiketter som innehåller ordet "Intern" och du vill att dokument som har någon av dessa Secure Islands-etiketter ska etiketteras om som "Allmänt" av Azure Information Protection.
I det här exemplet:
Etiketten Azure Information Protection som du vill använda heter Allmänt och har ett etikett-ID på 2beb8fe7-8293-444c-9768-7fdc6f75014d.
Secure Islands-etiketterna innehåller ordet Internt och lagras i den anpassade egenskapen med namnet Klassificering.
Den avancerade klientinställningen:
| Name | Värde |
|---|---|
| LabelbyCustomProperty | 2beb8fe7-8293-444c-9768-7fdc6f75014d,"Secure Islands label contains Internal",Classification,.*Internal.* |
Ta bort sidhuvuden och sidfötter från andra etiketteringslösningar
Den här konfigurationen använder flera avancerade klientinställningar som du måste konfigurera i Azure Portal.
Med inställningarna kan du ta bort eller ersätta textbaserade sidhuvuden eller sidfötter från dokument när dessa visuella markeringar har tillämpats av en annan etikettlösning. Den gamla sidfoten innehåller till exempel namnet på en gammal etikett som du nu har migrerat till Azure Information Protection med ett nytt etikettnamn och en egen sidfot.
När klienten får den här konfigurationen i sin princip tas de gamla sidhuvudena och sidfötterna bort eller ersätts när dokumentet öppnas i Office-appen och alla Azure Information Protection-etiketter tillämpas på dokumentet.
Den här konfigurationen stöds inte för Outlook och tänk på att när du använder den med Word, Excel och PowerPoint kan den påverka prestandan för dessa appar negativt för användarna. Med konfigurationen kan du definiera inställningar per program, till exempel söka efter text i sidhuvuden och sidfötter i Word-dokument, men inte Excel kalkylblad eller PowerPoint presentationer.
Eftersom mönstermatchningen påverkar användarnas prestanda rekommenderar vi att du begränsar Office programtyper (Word, EXcel, PowerPoint) till bara de som behöver genomsökas:
Nyckel: RemoveExternalContentMarkingInApp
Värde: <Office programtyper WXP>
Exempel:
Om du bara vill söka i Word-dokument anger du W.
Om du vill söka i Word-dokument och PowerPoint presentationer anger du WP.
Du behöver sedan minst en mer avancerad klientinställning, ExternalContentMarkingToRemove, för att ange innehållet i sidhuvudet eller sidfoten och hur du tar bort eller ersätter dem.
Anteckning
Den här funktionen är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som på annat sätt ännu inte har släppts till allmän tillgänglighet.
Så här konfigurerar du ExternalContentMarkingToRemove
När du anger strängvärdet för nyckeln ExternalContentMarkingToRemove har du tre alternativ som använder reguljära uttryck:
Partiell matchning för att ta bort allt i sidhuvudet eller sidfoten.
Exempel: Sidhuvuden eller sidfötter innehåller strängen TEXT ATT TA BORT. Du vill ta bort dessa sidhuvuden eller sidfötter helt. Du anger värdet:
*TEXT*.Fullständig matchning för att ta bort bara specifika ord i sidhuvudet eller sidfoten.
Exempel: Sidhuvuden eller sidfötter innehåller strängen TEXT ATT TA BORT. Du vill bara ta bort ordet TEXT , vilket lämnar sidhuvuds- eller sidfotssträngen som ATT TA BORT. Du anger värdet:
TEXT.Fullständig matchning för att ta bort allt i sidhuvudet eller sidfoten.
Exempel: Sidhuvuden eller sidfötter har strängen TEXT ATT TA BORT. Du vill ta bort sidhuvuden eller sidfötter som har exakt den här strängen. Du anger värdet:
^TEXT TO REMOVE$.
Mönstermatchningen för strängen som du anger är skiftlägesokänslig. Den maximala stränglängden är 255 tecken.
Eftersom vissa dokument kan innehålla osynliga tecken eller olika typer av blanksteg eller flikar kan det hända att strängen som du anger för en fras eller mening inte identifieras. När det är möjligt anger du ett enda särskiljande ord för värdet och ser till att testa resultaten innan du distribuerar i produktion.
Nyckel: ExternalContentMarkingToRemove
Värde: <sträng som ska matcha, definierad som reguljärt uttryck>
Sidhuvuden eller sidfötter med flera ledningar
Om en sidhuvuds- eller sidfotstext är mer än en enda rad skapar du en nyckel och ett värde för varje rad. Du har till exempel följande sidfot med två rader:
The file is classified as Confidential
Label applied manually
Om du vill ta bort den här sidfoten med flera rader skapar du följande två poster:
Nyckel 1: ExternalContentMarkingToRemove
Nyckelvärde 1: *Konfidentiellt*
Nyckel 2: ExternalContentMarkingToRemove
Nyckelvärde 2: *Etikett tillämpad*
Optimering för PowerPoint
Sidfötter i PowerPoint implementeras som former. Om du vill undvika att ta bort former som innehåller den text som du har angett men inte är sidhuvuden eller sidfötter använder du en ytterligare avancerad klientinställning med namnet PowerPointShapeNameToRemove. Vi rekommenderar också att du använder den här inställningen för att undvika att kontrollera texten i alla former, vilket är en resurskrävande process.
Om du inte anger den här ytterligare avancerade klientinställningen och PowerPoint ingår i nyckelvärdet RemoveExternalContentMarkingInApp kontrolleras alla former efter den text som du anger i värdet ExternalContentMarkingToRemove.
Så här hittar du namnet på formen som du använder som sidhuvud eller sidfot:
I PowerPoint visar du markeringsfönstret: fliken Format fliken >Ordnagruppmarkeringsfönster>.
Välj den form på bilden som innehåller sidhuvud eller sidfot. Namnet på den markerade formen är nu markerat i markeringsfönstret .
Använd formens namn för att ange ett strängvärde för nyckeln PowerPointShapeNameToRemove .
Exempel: Formnamnet är fc. Om du vill ta bort formen med det här namnet anger du värdet: fc.
Nyckel: PowerPointShapeNameToRemove
Värde: <PowerPoint formnamn>
När du har fler än en PowerPoint form att ta bort skapar du lika många PowerPointShapeNameToRemove-nycklar som du har former att ta bort. För varje post anger du namnet på formen som ska tas bort.
Som standard kontrolleras endast huvudbilderna efter sidhuvuden och sidfötter. Om du vill utöka sökningen till alla bilder, vilket är en mycket mer resursintensiv process, använder du ytterligare en avancerad klientinställning med namnet RemoveExternalContentMarkingInAllSlides:
Nyckel: RemoveExternalContentMarkingInAllSlides
Värde: Sant
Märka ett Office dokument med hjälp av en befintlig anpassad egenskap
Anteckning
Om du använder den här konfigurationen och konfigurationen för att migrera etiketter från Säkra öar och andra etiketteringslösningar har inställningen för etiketteringsmigrering företräde.
Den här konfigurationen använder en avancerad klientinställning som måste konfigureras i Azure-portalen.
När du konfigurerar den här inställningen kan du klassificera (och eventuellt skydda) ett Office dokument när det har en befintlig anpassad egenskap med ett värde som matchar ett av dina etikettnamn. Den här anpassade egenskapen kan anges från en annan klassificeringslösning eller anges som en egenskap av SharePoint.
Som ett resultat av den här konfigurationen, när ett dokument utan en Azure-Information Protection etikett öppnas och sparas av en användare i en Office-appen, etiketteras dokumentet sedan för att matcha motsvarande egenskapsvärde.
Den här konfigurationen kräver att du anger två avancerade inställningar som fungerar tillsammans. Den första heter SyncPropertyName, som är det anpassade egenskapsnamnet som har angetts från den andra klassificeringslösningen, eller en egenskap som anges av SharePoint. Den andra heter SyncPropertyState och måste anges till OneWay.
För att konfigurera den här avancerade inställningen, anger du följande strängar:
Nyckel 1: SyncPropertyName
Nyckel 1 Värde: <egenskapsnamn>
Nyckel 2: SyncPropertyState
Nyckel 2-värde: OneWay
Använd dessa nycklar och motsvarande värden för endast en anpassad egenskap.
Du har till exempel en SharePoint kolumn med namnet Klassificering som har möjliga värden för Offentliga, Allmänna och Strikt konfidentiella alla anställda. Dokument lagras i SharePoint och har offentliga, allmänna eller strikt konfidentiella alla anställda som värden som angetts för egenskapen Klassificering.
Om du vill märka ett Office dokument med något av dessa klassificeringsvärden anger du SyncPropertyName till Klassificering och SyncPropertyState till OneWay.
När en användare öppnar och sparar något av dessa Office dokument, är den nu märkt Offentlig, Allmän eller Strikt konfidentiell \ Alla anställda om du har etiketter med dessa namn i din Azure Information Protection-princip. Om du inte har etiketter med dessa namn förblir dokumentet omärkt.
Inaktivera sändning av identifierad känslig information i dokument till Azure Information Protection Analytics
Anteckning
AIP-granskningsloggen och analysavgången tillkännages den 18 mars 2022, med ett fullständigt pensionsdatum den 31 september 2022.
Mer information finns i Borttagna och tillbakadragna tjänster.
Den här konfigurationen använder en avancerad klientinställning som måste konfigureras i Azure-portalen.
När Azure Information Protection-klienten används i Office appar letar den efter känslig information i dokument när de först sparas. Förutsatt att klienten inte har konfigurerats för att inte skicka granskningsinformation skickas alla typer av känslig information som hittas (fördefinierade eller anpassade) till Azure Information Protection analytics.
Konfigurationen som styr om klienten skickar granskningsinformation är principinställningenSkicka granskningsdata till Azure Information Protection log analytics. När den här principinställningen är På eftersom du vill skicka granskningsinformation som innehåller etiketteringsåtgärder men inte vill skicka typer av känslig information som hittas av klienten anger du följande strängar:
Nyckel: RunAuditInformationTypesDiscovery
Värde: False
Om du anger den här avancerade klientinställningen kan granskningsinformation fortfarande skickas från klienten, men informationen är begränsad till märkningsaktivitet.
Exempel:
Med den här inställningen kan du se att en användare som nås Financial.docx som är märkt Konfidentiellt \ Försäljning.
Utan den här inställningen kan du se att Financial.docx innehåller 6 kreditkortsnummer.
- Om du även aktiverar djupare analys av dina känsliga data kan du dessutom se vad dessa kreditkortsnummer är.
Inaktivera att informationstypmatchningar skickas för en delmängd av användarna
Den här konfigurationen använder en avancerad klientinställning som måste konfigureras i Azure-portalen.
När du markerar kryssrutan för Azure Information Protection analys som möjliggör djupare analys av känsliga data samlar in innehållsmatchningar för dina typer av känslig information eller dina anpassade villkor, som standard skickas den här informationen av alla användare, vilket inkluderar tjänstkonton som kör Azure Information Protection-skannern. Om du har några användare som inte ska skicka dessa data skapar du följande avancerade klientinställning i en principomfattning för dessa användare:
Nyckel: LogMatchedContent
Värde: Inaktivera
Begränsa antalet trådar som skannern använder
Den här konfigurationen använder en avancerad klientinställning som måste konfigureras i Azure-portalen.
Som standard använder skannern alla tillgängliga processorresurser på datorn som kör skannertjänsten. Om du behöver begränsa CPU-förbrukningen medan den här tjänsten genomsöker skapar du följande avancerade inställning.
För värdet anger du antalet samtidiga trådar som skannern kan köra parallellt. Skannern använder en separat tråd för varje fil som genomsöks, så den här begränsningskonfigurationen definierar också antalet filer som kan genomsökas parallellt.
När du först konfigurerar värdet för testning rekommenderar vi att du anger 2 per kärna och sedan övervakar resultatet. Om du till exempel kör skannern på en dator som har 4 kärnor anger du först värdet till 8. Om det behövs kan du öka eller minska antalet enligt den prestanda du behöver för skannerdatorn och genomsökningshastigheten.
Nyckel: ScannerConcurrencyLevel
Värde: <antal samtidiga trådar>
Inaktivera den låga integritetsnivån för skannern
Den här konfigurationen använder en avancerad klientinställning som måste konfigureras i Azure-portalen.
Som standard körs Azure Information Protection-skannern med låg integritetsnivå. Den här inställningen ger högre säkerhetsisolering men på bekostnad av prestanda. En låg integritetsnivå är lämplig om du kör skannern med ett konto som har privilegierade rättigheter (till exempel ett lokalt administratörskonto) eftersom den här inställningen hjälper till att skydda datorn som kör skannern.
Men när tjänstkontot som kör skannern bara har de rättigheter som dokumenteras i kraven för skannerdistributionen är den låga integritetsnivån inte nödvändig och rekommenderas inte eftersom den påverkar prestanda negativt.
Mer information om Windows integritetsnivåer finns i Vad är Windows Integritetsmekanism?
Om du vill konfigurera den här avancerade inställningen så att skannern körs med en integritetsnivå som automatiskt tilldelas av Windows (ett standardanvändarkonto körs med medelhög integritetsnivå) anger du följande strängar:
Nyckel: ProcessUsingLowIntegrity
Värde: False
Ändra timeout-inställningarna för skannern
Den här konfigurationen använder avancerade klientinställningar som du måste konfigurera i Azure Portal.
Som standard har Azure Information Protection-skannern en tidsgräns på 00:15:00 (15 minuter) för att granska varje fil efter typer av känslig information eller de regex-uttryck som du har konfigurerat för anpassade villkor. När tidsgränsen nås för den här innehållsextraheringen returneras eventuella resultat innan tidsgränsen returneras och ytterligare kontroll av filen stoppas. I det här scenariot loggas följande felmeddelande i %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zippad om det finns flera loggar): GetContentParts misslyckades med Åtgärden avbröts i informationen.
Om det här tidsgränsproblemet uppstår på grund av stora filer kan du öka tidsgränsen för fullständig extrahering av innehåll:
Nyckel: ContentExtractionTimeout
Värde: <hh:min:sek>
Filtypen kan påverka hur lång tid det tar att skanna en fil. Exempel på genomsökningstider:
En vanlig Word-fil på 100 MB: 0,5–5 minuter
En typisk PDF-fil på 100 MB: 5–20 minuter
En typisk fil på 100 MB Excel: 12–30 minuter
För vissa filtyper som är mycket stora, till exempel videofiler, bör du överväga att undanta dem från genomsökningen genom att lägga till filnamnstillägget i filtyperna för att genomsöka alternativet i skannerprofilen.
Dessutom har Azure Information Protection-skannern en tidsgräns på 00:30:00 (30 minuter) för varje fil som den bearbetar. Det här värdet tar hänsyn till den tid det kan ta att hämta en fil från en lagringsplats och sparar den tillfälligt lokalt för åtgärder som kan inkludera dekryptering, extrahering av innehåll för inspektion, etikettering och kryptering.
Även om Azure Information Protection-skannern kan skanna dussintals till hundratals filer per minut, kan skannern överskrida den här standardtidsgränsen och i Azure Portal sluta efter 30 minuter om du har en datalagringsplats som har ett stort antal mycket stora filer. I det här scenariot loggas följande felmeddelande i %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zippad om det finns flera loggar) och skannern .csv loggfil: Åtgärden avbröts.
En skanner med processorer med 4 kärnor har som standard 16 trådar för genomsökning och sannolikheten för att stöta på 16 stora filer under en 30-minuters tidsperiod beror på förhållandet mellan de stora filerna. Om genomsökningshastigheten till exempel är 200 filer per minut och 1 % av filerna överskrider tidsgränsen på 30 minuter finns det en sannolikhet på mer än 85 % att skannern stöter på tidsgränsen på 30 minuter. Dessa timeouter kan resultera i längre genomsökningstider och högre minnesförbrukning.
Om du i den här situationen inte kan lägga till fler kärnprocessorer på skannerdatorn kan du överväga att minska tidsgränsen för bättre genomsökning och lägre minnesförbrukning, men med bekräftelsen att vissa filer kommer att undantas. Alternativt kan du överväga att öka tidsgränsen för mer exakta genomsökningsresultat, men med bekräftelsen att den här konfigurationen sannolikt kommer att resultera i lägre genomsökningshastigheter och högre minnesförbrukning.
Om du vill ändra tidsgränsen för filbearbetning konfigurerar du följande avancerade klientinställning:
Nyckel: FileProcessingTimeout
Värde: <hh:min:sek>
Ändra den lokala loggningsnivån
Den här konfigurationen använder en avancerad klientinställning som måste konfigureras i Azure-portalen.
Som standard skriver Azure Information Protection-klienten klientloggfiler till mappen %localappdata%\Microsoft\MSIP. De här filerna är avsedda för felsökning av Microsoft Support.
Om du vill ändra loggningsnivån för dessa filer konfigurerar du följande avancerade klientinställning:
Nyckel: LogLevel
Värde: <loggningsnivå>
Ange loggningsnivån till något av följande värden:
Av: Ingen lokal loggning.
Fel: Endast fel.
Info: Minsta loggning, som inte innehåller några händelse-ID:n (standardinställningen för skannern).
Felsökning: Fullständig information.
Spårning: Detaljerad loggning (standardinställningen för klienter). För skannern har den här inställningen en betydande prestandapåverkan och bör endast aktiveras för skannern om den begärs av Microsoft Support. Om du uppmanas att ange den här loggningsnivån för skannern måste du komma ihåg att ange ett annat värde när relevanta loggar har samlats in.
Den här avancerade klientinställningen ändrar inte den information som skickas till Azure Information Protection för central rapportering eller ändrar informationen som skrivs till den lokala händelseloggen.
Integrering med äldre Exchange meddelandeklassificering
Outlook på webben har nu stöd för inbyggd etikettering för Exchange Online, vilket är den rekommenderade metoden för att märka e-postmeddelanden i Outlook på webben. Men om du behöver etikettera e-postmeddelanden i OWA och använder Exchange Server, som ännu inte stöder känslighetsetiketter, kan du använda Exchange meddelandeklassificering för att utöka Azure Information Protection-etiketter till Outlook på webben.
Outlook Mobile stöder inte Exchange meddelandeklassificering.
För att skapa denna lösning:
Använd Exchange PowerShell-cmdlet:en New-MessageClassification för att skapa meddelandeklassificeringar med den namnegenskap som mappar till dina etikettnamn i din Azure Information Protection-princip.
Skapa en Exchange e-postflödesregel för varje etikett: Tillämpa regeln när meddelandeegenskaperna innehåller den klassificering som du har konfigurerat och ändra meddelandeegenskaperna för att ange ett meddelandehuvud.
För meddelandehuvudet hittar du den information som ska anges genom att granska Internetrubrikerna för ett e-postmeddelande som du har skickat och klassificerat med hjälp av din Azure-Information Protection etikett. Leta efter rubriken msip_labels och strängen som omedelbart följer upp till och exklusive semikolonet. Exempel:
msip_labels: MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True
Ange sedan msip_labels för meddelandehuvudet i regeln och resten av strängen för huvudets värde. Exempel:
Obs! När etiketten är en underetikett måste du också ange den överordnade etiketten före underetiketten i rubrikvärdet med samma format. Om underetiketten till exempel har GUID 27efdf94-80a0-4d02-b88c-b615c12d69a9 kan värdet se ut så här:
MSIP_Label_ab70158b-bdcc-42a3-8493-2a80736e9cbd_Enabled=True;MSIP_Label_27efdf94-80a0-4d02-b88c-b615c12d69a9_Enabled=True
Innan du testar den här konfigurationen bör du komma ihåg att det ofta uppstår en fördröjning när du skapar eller redigerar e-postflödesregler (till exempel vänta en timme). När regeln tillämpas inträffar nu följande händelser när användarna använder Outlook på webben:
Användare väljer klassificering för Exchange-meddelandet och skickar e-postmeddelandet.
Exchange-regeln identifierar Exchange-klassificeringen och ändrar meddelandehuvudet enligt detta för att lägga till Azure Information Protection-klassificering.
När interna mottagare visar e-postmeddelandet i Outlook och de har Azure Information Protection-klienten installerad, ser de den tilldelade Etiketten Azure Information Protection.
Om dina Azure Information Protection-etiketter tillämpar skydd lägger du till det här skyddet i regelkonfigurationen: Välj alternativet för att ändra meddelandesäkerheten, tillämpa rättighetsskydd och välj sedan skyddsmallen eller alternativet Vidarebefordra inte.
Du kan också konfigurera e-postflödesregler för att utföra omvänd mappning. Konfigurera en motsvarande Exchange-meddelandeklassificering när en Azure Information Protection-etikett upptäcks:
- För varje Azure Information Protection-etikett: Skapa en e-postflödesregel som tillämpas när msip_labels-rubriken innehåller namnet på din etikett (till exempel Allmänt) och tillämpa en meddelandeklassificering som mappar till den här etiketten.
Nästa steg
När du nu har anpassat Azure Information Protection-klienten kan du se följande resurser för att få ytterligare information som kan behövas för att stödja klienten: