Microsoft Purview 信息保护客户端的高级设置
本文包含以下 cmdlet 时,Microsoft Purview 信息保护客户端支持的安全 & 符合性 PowerShell 高级设置:
cmdlet 页面本身包含内置于 Microsoft 365 应用和服务中的敏感度标签支持的高级设置。 还可以找到 用于指定高级设置的有用 PowerShell 提示。
| 标签的高级设置 | 说明 |
|---|---|
| Color | 指定标签的颜色 |
| DefaultSubLabelId | 为父标签指定默认子标签 |
| 标签策略的高级设置 | 说明 |
|---|---|
| AdditionalPPrefixExtensions | 支持更改 <EXT>。PFILE 到 P<EXT> |
| EnableAudit | 阻止将审核数据发送到 Microsoft Purview |
| EnableContainerSupport | 启用从 PST、rar、7zip 和 MSG 文件中删除加密 |
| EnableCustomPermissions | 在文件资源管理器中关闭自定义权限 |
| EnableCustomPermissionsForCustomProtectedFiles | 对于使用自定义权限加密的文件,始终在文件资源管理器中向用户显示自定义权限 |
| EnableGlobalization | 启用分类全球化功能 |
| JustificationTextForUserText | 自定义已修改标签的理由提示文本 |
| LogMatchedContent | 将信息类型匹配发送到 Microsoft Purview |
| OfficeContentExtractionTimeout | 为 Office 文件配置自动标记超时 |
| PFileSupportedExtensions | 更改要保护的文件类型 |
| ReportAnIssueLink | 为用户添加“报告问题” |
| ScannerMaxCPU | 限制 CPU 消耗 |
| ScannerMinCPU | 限制 CPU 消耗 |
| ScannerConcurrencyLevel | 限制扫描程序使用的线程数 |
| ScannerFSAttributesToSkip | 在扫描过程中跳过或忽略文件,具体取决于文件属性) |
| SharepointWebRequestTimeout | 配置 SharePoint 超时 |
| SharepointFileWebRequestTimeout | 配置 SharePoint 超时 |
| UseCopyAndPreserveNTFSOwner | 在标记期间保留 NTFS 所有者 |
AdditionalPPrefixExtensions
此高级属性用于更改 <EXT>。文件资源管理器、PowerShell 和扫描程序支持 PFILE 到 P<EXT> 。 所有应用都有类似的行为。
键: AdditionalPPrefixExtensions
值: <字符串值>
使用下表标识要指定的字符串值:
| 字符串值 | 客户端和扫描程序 |
|---|---|
| * | 所有 PFile 扩展都变为 P<EXT> |
| <Null 值> | 默认值的行为类似于默认加密值。 |
| ConvertTo-Json (“.dwg”、“.zip”) | 除了前面的列表,“.dwg”和“.zip”将成为 P<EXT> |
使用此设置时,以下扩展始终变为 P<EXT>:“.txt”、“.xml”、“.bmp”、“.jt”、“.jpg”、“.jpeg”、“.jpe”、“.jif”、“.jfif”、“.jfif”、“.jfi”、“.png”、“.tif”、“.tiff”、“.gif”) 。 值得注意的排除是“ptxt”不会成为“txt.pfile”。
此设置需要启用 高级设置 PFileSupportedExtension 。
示例 1:PowerShell 命令的行为类似于默认行为,其中保护“.dwg”变为“.dwg.pfile”:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}
示例 2:PowerShell 命令,用于在标记和加密文件时将所有 PFile 扩展从通用加密更改为本机加密:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}
示例 3:使用此服务保护此文件时,用于将“.dwg”更改为“.pdwg”的 PowerShell 命令:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}
颜色
使用此高级设置为标签设置颜色。 若要指定颜色,请为颜色的红色、绿色和蓝色输入十六进制三元代码, (RGB) 分量。 例如,#40e0d0 是青绿色的 RGB 十六进制值。
如果需要这些代码的参考,可以从 MSDN Web 文档中的颜色>页中找到有用的表格<。还可以在许多可编辑图片的应用程序中找到这些代码。 例如,Microsoft 画图可以让你从调色板中选择自定义颜色,并将自动显示 RGB 值,因此你可以复制该颜色。
若要配置标签颜色的高级设置,请输入所选标签的以下字符串:
键: 颜色
值: <RGB 十六进制值>
示例 PowerShell 命令,其中标签名为“Public”:
Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}
DefaultSubLabelId
向标签添加子标签时,用户无法再将父标签应用于文档或电子邮件。 默认情况下,用户选择父标签以查看他们可以应用的子标签,然后选择其中一个子标签。 如果配置此高级设置,当用户选择父标签时,将自动选择子标签并为其应用:
键: DefaultSubLabelId
值: <子标签 GUID>
示例 PowerShell 命令,其中父标签名为“机密”,“所有员工”子标签的 GUID 为 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
EnableAudit
默认情况下,信息保护客户端会将审核数据发送到 Microsoft Purview,你可以在 其中在活动资源管理器中查看此数据。
若要更改此行为,请使用以下高级设置:
键: EnableAudit
值: False
例如,如果标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}
然后,在运行信息保护客户端的本地计算机上,删除以下文件夹: %localappdata%\Microsoft\MSIP\mip
若要使客户端能够再次发送审核日志数据,请将高级设置值更改为 True。 无需在客户端计算机上再次手动创建 %localappdata%\Microsoft\MSIP\mip 文件夹。
EnableContainerSupport
此设置使信息保护客户端能够从 PST、rar 和 7zip 文件中删除加密。
键: EnableContainerSupport
值: True
例如,如果标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}
EnableCustomPermissions
默认情况下,当用户使用文件标签器在文件资源管理器中右键单击时,会看到名为“ 使用自定义权限保护 ”的选项。 此选项允许他们设置自己的加密设置,这些设置可以替代你可能包含在标签配置中的任何加密设置。 用户还可以看到用于删除加密的选项。 配置此设置时,用户看不到这些选项。
使用以下设置,以便用户看不到这些选项:
键: EnableCustomPermissions
值: False
示例 PowerShell 命令,其中标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
EnableCustomPermissionsForCustomProtectedFiles
将高级客户端设置 EnableCustomPermissions 配置为在文件资源管理器中关闭自定义权限时,默认情况下,用户无法查看或更改已在加密文档中设置的自定义权限。
但是,可以指定另一个高级客户端设置,以便在此方案中,用户可以在使用文件资源管理器并右键单击该文件时查看和更改加密文档的自定义权限。
键: EnableCustomPermissionsForCustomProtectedFiles
值: True
示例 PowerShell 命令,其中标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}
EnableGlobalization
分类全球化功能,包括提高东亚语言的准确性,并支持双字节字符。 这些增强功能仅针对 64 位进程提供,默认情况下处于关闭状态。
为策略启用这些功能,请指定以下字符串:
键: EnableGlobalization
值:
True
示例 PowerShell 命令,其中标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}
若要再次关闭支持并恢复为默认值,请将 EnableGlobalization 高级设置设置为空字符串。
JustificationTextForUserText
自定义最终用户更改文件敏感度标签时显示的理由提示。
例如,作为管理员,你可能希望提醒用户不要将任何客户标识信息添加到此字段中。
若要修改用户可以在对话框中选择的默认 “其他 ”选项,请使用 JustificationTextForUserText 高级设置。 将值设置为要改用的文本。
示例 PowerShell 命令,其中标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
LogMatchedContent
默认情况下,信息保护客户端不会将敏感信息类型的内容匹配发送到 Microsoft Purview,然后可以在 活动资源管理器中显示。 扫描程序始终发送此信息。 有关此可发送的其他信息的详细信息,请参阅 内容匹配以便进行更深入的分析。
若要在发送敏感信息类型时发送内容匹配项,请在标签策略中使用以下高级设置:
键: LogMatchedContent
值: True
示例 PowerShell 命令,其中标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}
OfficeContentExtractionTimeout
默认情况下,扫描程序对 Office 文件的自动标记超时为 3 秒。
如果具有包含多个工作表或行的复杂 Excel 文件,则 3 秒可能不足以自动应用标签。 若要增加所选标签策略的此超时,请指定以下字符串:
键: OfficeContentExtractionTimeout
值:秒,采用以下格式:
hh:mm:ss。
重要
建议不要将此超时时间提高到 15 秒以上。
示例 PowerShell 命令,其中标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}
更新的超时适用于所有 Office 文件的自动标记。
PFileSupportedExtensions
使用此设置,可以更改加密的文件类型,但无法将默认加密级别从本机更改为通用。 例如,对于运行文件标签器的用户,可以更改默认设置,以便仅加密 Office 文件和 PDF 文件,而不是所有文件类型。 但是,不能将这些文件类型更改为使用 .pfile 文件扩展名进行通用加密。
键: PFileSupportedExtensions
值: <字符串值>
使用下表标识要指定的字符串值:
| 字符串值 | 客户端 | 扫描器 |
|---|---|---|
| * | 默认值:对所有文件类型应用加密 | 对所有文件类型应用加密 |
| ConvertTo-Json (“.jpg”、“.png”) | 除了 Office 文件类型和 PDF 文件外,还对指定的文件扩展名应用加密 | 除了 Office 文件类型和 PDF 文件外,还对指定的文件扩展名应用加密 |
示例 1:扫描程序的 PowerShell 命令,用于加密所有文件类型,其中标签策略名为“扫描程序”:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
示例 2:扫描程序的 PowerShell 命令,用于加密除 Office 文件和 PDF 文件之外的 .txt 文件和 .csv 文件,其中标签策略名为“扫描程序”:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}
ReportAnIssueLink
指定以下高级客户端设置时,用户会看到 “报告问题” 选项,用户可以从文件标签器中的“ 帮助和反馈 客户端”对话框中进行选择。 为链接指定 HTTP 字符串。 例如,你拥有的自定义网页供用户报告问题,或发送到技术支持的电子邮件地址。
若要配置此高级设置,请输入所选标签策略的以下字符串:
键: ReportAnIssueLink
值: <HTTP 字符串>
网站的示例值: https://support.contoso.com
电子邮件地址的示例值: mailto:helpdesk@contoso.com
示例 PowerShell 命令,其中标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}
ScannerMaxCPU
重要
建议使用高级设置 ScannerMaxCPU 和 ScannerMinCPU 来限制 CPU 消耗,而不是支持向后兼容性的 ScannerConcurrencyLevel 。
如果指定了较旧的高级设置,则忽略 ScannerMaxCPU 和 ScannerMinCPU 高级设置。
将此高级设置与 ScannerMinCPU 结合使用,以限制扫描程序计算机上的 CPU 消耗。
密钥: ScannerMaxCPU
值: <number>**
默认情况下,该值设置为 100 ,这意味着没有最大 CPU 消耗限制。 在这种情况下,扫描程序进程将尝试使用所有可用的 CPU 时间来最大化扫描速率。
如果将 ScannerMaxCPU 设置为小于 100,扫描程序将监视过去 30 分钟的 CPU 消耗量。 如果平均 CPU 超过设置的限制,它将开始减少为新文件分配的线程数。
只要 CPU 消耗高于 ScannerMaxCPU 设置的限制,线程数限制就会继续。
ScannerMinCPU
重要
建议使用高级设置 ScannerMaxCPU 和 ScannerMinCPU 来限制 CPU 消耗,而不是支持向后兼容性的 ScannerConcurrencyLevel 。
如果指定了较旧的高级设置,则忽略 ScannerMaxCPU 和 ScannerMinCPU 高级设置。
仅在 ScannerMaxCPU 不等于 100 且不能设置为高于 ScannerMaxCPU 值的数字时使用。
建议将 ScannerMinCPU 设置至少比 ScannerMaxCPU 的值低 15 磅。
默认情况下,该值设置为 50 ,这意味着,如果过去 30 分钟的 CPU 消耗低于此值,扫描程序将开始添加新线程以并行扫描更多文件,直到 CPU 消耗达到为 ScannerMaxCPU-15 设置的水平。
ScannerConcurrencyLevel
重要
建议使用高级设置 ScannerMaxCPU 和 ScannerMinCPU 来限制 CPU 消耗,而不是支持向后兼容性的 ScannerConcurrencyLevel 。
指定此较旧的高级设置后,将忽略 ScannerMaxCPU 和 ScannerMinCPU 高级设置。
默认情况下,扫描程序使用运行扫描程序服务的计算机上的所有可用处理器资源。 如果需要限制此服务扫描时的 CPU 消耗量,请指定扫描程序可以并行运行的并发线程数。 扫描程序对扫描的每个文件使用单独的线程,因此此限制配置还定义了可以并行扫描的文件数。
首次配置用于测试的值时,建议为每个核心指定 2 个,然后监视结果。 例如,如果在具有 4 个内核的计算机上运行扫描程序,请先将值设置为 8。 如有必要,请根据扫描程序计算机所需的性能以及扫描速率增加或减少该数字。
键: ScannerConcurrencyLevel
值:<并发线程>数
示例 PowerShell 命令,其中标签策略名为“扫描程序”:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}
ScannerFSAttributesToSkip
默认情况下,信息保护扫描程序会扫描所有相关文件。 但是,你可能希望定义要跳过的特定文件,例如已存档文件或已移动的文件。
通过使用 ScannerFSAttributesToSkip 高级设置,使扫描程序能够基于其文件属性跳过特定文件。 在设置值中,列出文件属性,当文件全部设置为 true 时,这些属性将允许跳过文件。 此文件属性列表使用 AND 逻辑。
示例 PowerShell 命令,其中标签策略名为“Global”。
跳过只读和存档的文件
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}
跳过只读或存档的文件
若要使用 OR 逻辑,请多次运行同一属性。 例如:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}
提示
建议考虑让扫描程序跳过具有以下属性的文件:
- FILE_ATTRIBUTE_SYSTEM
- FILE_ATTRIBUTE_HIDDEN
- FILE_ATTRIBUTE_DEVICE
- FILE_ATTRIBUTE_OFFLINE
- FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
- FILE_ATTRIBUTE_RECALL_ON_OPEN
- FILE_ATTRIBUTE_TEMPORARY
有关可在 ScannerFSAttributesToSkip 高级设置中定义的所有文件属性的列表,请参阅 Win32 文件属性常量
SharepointWebRequestTimeout
默认情况下,SharePoint 交互的超时为两分钟,此后尝试的信息保护客户端操作将失败。 使用 SharepointWebRequestTimeout 和 SharepointFileWebRequestTimeout 高级设置控制此超时,并使用 hh:mm:ss 语法来定义超时。
指定一个值,以确定向 SharePoint 发出的所有信息保护客户端 Web 请求的超时。 默认值为分钟。
例如,如果策略名为 Global,则以下示例 PowerShell 命令会将 Web 请求超时更新为 5 分钟。
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}
SharepointFileWebRequestTimeout
默认情况下,SharePoint 交互的超时为两分钟,此后尝试的信息保护客户端操作将失败。 使用 SharepointWebRequestTimeout 和 SharepointFileWebRequestTimeout 高级设置控制此超时,并使用 hh:mm:ss 语法来定义超时。
通过信息保护客户端 Web 请求指定 SharePoint 文件的超时值。 默认值为 15 分钟。
例如,如果策略名为 Global,则以下示例 PowerShell 命令会将文件 Web 请求超时更新为 10 分钟。
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
UseCopyAndPreserveNTFSOwner
注意
此功能目前为预览版。 Azure 预览版补充条款包括适用于处于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
默认情况下,信息保护客户端不会保留应用敏感度标签之前定义的 NTFS 所有者。
若要确保保留 NTFS 所有者值,请将所选标签策略的 UseCopyAndPreserveNTFSOwner 高级设置设置为 true 。
警告
对于扫描程序:仅当可以确保扫描程序与扫描的存储库之间建立低延迟、可靠的网络连接时,才定义此高级设置。 在自动标记过程中出现网络故障可能会导致文件丢失。
示例 PowerShell 命令,其中标签策略名为“全局”
Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}