系統管理員指南:Azure 資訊保護統一標籤用戶端的自訂設定

注意

您要尋找先前Microsoft 資訊保護 (MIP) Microsoft Purview 資訊保護嗎?

Azure 資訊保護統一標籤用戶端現在處於維護模式。 建議您使用內建在Office 365應用程式和服務的標籤。 瞭解更多資訊

在管理 AIP 統一標籤用戶端時,針對特定案例或使用者所需的進階設定使用下列資訊。

注意

這些設定需要編輯登錄或指定進階設定。 進階設定會使用 資訊安全 & 合規性中心 PowerShell

透過 PowerShell 設定用戶端的進階設定

使用 Microsoft Purview 合規性入口網站 PowerShell 來設定自訂標籤原則和標籤的進階設定。

在這兩種情況下,當您 連線到資訊安全 & 合規性中心 PowerShell之後,請使用原則或標籤的身分識別 (名稱或 GUID) 指定 AdvancedSettings 參數,並在 雜湊表中指定索引鍵/值組。

若要移除進階設定,請使用相同的 AdvancedSettings 參數語法,但指定 Null 字串值。

重要

請勿在字串值中使用空白字元。 這些字串值中的白色字串會防止套用您的標籤。

如需詳細資訊,請參閱

標籤原則進階設定語法

標籤原則進階設定的範例是顯示 Office 應用程式中資訊保護列的設定。

針對單一字串值,請使用下列語法:

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key="value1,value2"}

針對相同索引鍵的多個字串值,請使用下列語法:

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

標籤進階設定語法

標籤進階設定的範例是指定標籤色彩的設定。

針對單一字串值,請使用下列語法:

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key="value1,value2"}

針對相同索引鍵的多個字串值,請使用下列語法:

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

檢查您目前的進階設定

若要檢查目前的進階設定生效,請執行下列命令:

若要檢查卷 標原則 進階設定,請使用下列語法:

針對名為 Global的標籤原則:

(Get-LabelPolicy -Identity Global).settings

若要檢查卷 進階設定,請使用下列語法:

針對名為 Public的標籤:

(Get-Label -Identity Public).settings

設定進階設定的範例

範例 1:設定單一字串值的標籤原則進階設定:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

範例 2:設定單一字串值的標籤進階設定:

Set-Label -Identity Internal -AdvancedSettings @{smimesign="true"}

範例 3:設定多個字串值的標籤進階設定:

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

範例 4:藉由指定 Null 字串值來移除標籤原則進階設定:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions=""}

指定標籤原則或標籤身分識別

尋找 PowerShell Identity參數的標籤原則名稱很簡單,因為Microsoft Purview 合規性入口網站中只有一個原則名稱。

不過,對於標籤,Microsoft Purview 合規性入口網站同時顯示[名稱] 和 [顯示名稱]值。 在某些情況下,這些值會相同,但可能不同。 若要設定標籤的進階設定,請使用 Name 值。

例如,若要在下圖中識別標籤,請在 PowerShell 命令中使用下列語法: -Identity "All Company"

使用 'Name' 而不是 'Display name' 來識別敏感度標籤

如果您想要指定標籤GUID,這個值不會顯示在Microsoft Purview 合規性入口網站中。 使用 Get-Label 命令來尋找此值,如下所示:

Get-Label | Format-Table -Property DisplayName, Name, Guid

如需標籤名稱和顯示名稱的詳細資訊:

  • Name 是標籤的原始名稱,而且在所有標籤中都是唯一的。

    即使您稍後已變更標籤名稱,這個值仍維持不變。 針對從 Azure 資訊保護移轉的敏感度標籤,您可能會看到來自Azure 入口網站的原始標籤識別碼。

  • 顯示名稱 是目前向使用者顯示標籤的名稱,而且不需要在所有標籤中是唯一的。

    例如,您可能在[機密] 標籤底下有 [所有員工]的顯示名稱,而[高度機密] 標籤下之子標籤的 [所有員工] 顯示名稱則為另一個顯示名稱。 這些子標籤都會顯示相同的名稱,但不是相同的標籤,而且有不同的設定。

優先順序順序 - 如何解決衝突的設定

您可以使用Microsoft Purview 合規性入口網站來設定下列標籤原則設定:

  • 預設將此標籤套用至檔和電子郵件

  • 使用者必須提供理由來移除標籤或較低分類標籤

  • 要求使用者將標籤套用至其電子郵件或檔

  • 為使用者提供自訂說明頁面的連結

為使用者設定多個標籤原則時,每個原則設定可能不同,則會根據Microsoft Purview 合規性入口網站中原則的順序套用最後一個原則設定。 如需詳細資訊,請參閱 標籤原則優先順序 (順序)

標籤原則進階設定會使用相同的邏輯來套用,並使用最後一個原則設定。

進階設定參考

下列各節適用于標籤原則和標籤的可用進階設定:

依功能進階設定參考

下列各節會依產品和功能整合列出此頁面所述的進階設定:

功能 進階設定
Outlook 和電子郵件設定 - 設定標籤以在 Outlook 中套用 S/MIME 保護
- 自訂 Outlook 快顯訊息
- 在 Outlook 中啟用建議分類
- 豁免 Outlook 郵件的強制標籤
- 針對具有附件的電子郵件,套用符合這些附件最高分類的標籤
- 搜尋電子郵件收件者時展開 Outlook 通訊群組清單
- 在 Outlook 中實作快顯訊息,以警告、證明或封鎖正在傳送的電子郵件
- 防止 S/MIME 電子郵件的 Outlook 效能問題
- 設定 Outlook 的不同預設標籤
PowerPoint 設定 - 避免從包含指定文字的 PowerPoint 移除圖形,而且不是頁首/頁尾
- 從 PowerPoint 自訂版面配置內明確移除外部內容標記
- 從頁首和頁尾移除特定圖形名稱的所有圖形,而不是透過圖形內的文字移除圖形
檔案總管設定 - 一律在 檔案總管 中向使用者顯示自訂許可權
- 關閉檔案總管中的自訂許可權
- 隱藏 Windows 檔案總管中的 [分類與保護] 功能表選項
效能改善設定 - 限制 CPU 耗用量
- 限制掃描器所使用的執行緒數目
- 防止 S/MIME 電子郵件的 Outlook 效能問題
與其他標籤解決方案整合的設定 - 從 Secure Islands 和其他標籤解決方案移轉標籤
- 從其他標籤解決方案移除頁首和頁尾
AIP 分析設定 - 防止稽核資料傳送至 AIP 和 Microsoft 365 分析
- 將資訊類型比對傳送至 Azure 資訊保護分析
一般設定 - 為使用者新增「回報問題」
- 套用標籤時套用自訂屬性
- 變更本機記錄層級
- 變更要保護的檔案類型
- 在 Office 檔案上設定自動標籤逾時
- 設定 SharePoint 逾時
- 自訂修改標籤的對齊提示文字
- 在 Office 應用程式中顯示資訊保護列
- 啟用從壓縮檔案移除保護
- 在標籤 (公開預覽期間保留 NTFS 擁有者)
- 當您使用強制標籤時,請移除檔的「立即不」
- 視檔案屬性而定,略過或忽略掃描期間的檔案
- 指定標籤的色彩
- 指定父標籤的預設子標籤
- 支援變更 < EXT > 。PFILE 至 P < EXT>
- 支援已中斷連線的電腦
- 開啟分類以在背景持續執行
- 關閉檔追蹤功能
- 關閉 Office 應用程式中終端使用者的 Revoke 選項
- 開啟分類全球化功能

標籤原則進階設定參考

搭配New-LabelPolicySet-LabelPolicy使用AdvancedSettings參數來定義下列設定:

設定 案例和指示
AdditionalPPrefixExtensions 支援變更 < EXT > 。使用這個進階屬性將 PFILE 移至 P < EXT >
AttachmentAction 對於有附件的電子郵件訊息,請套用符合這些附件最高分類的標籤
AttachmentActionTip 對於有附件的電子郵件訊息,請套用符合這些附件最高分類的標籤
DisableMandatoryInOutlook 豁免 Outlook 郵件不受強制標籤
EnableAudit 防止稽核資料傳送至 AIP 和 Microsoft 365 分析
EnableContainerSupport 允許從 PST、rar、7zip 和 MSG 檔案移除保護
EnableCustomPermissions 關閉檔案總管中的自訂許可權
EnableCustomPermissionsForCustomProtectedFiles 對於使用自訂權限保護的檔案,一律在檔案總管中向使用者顯示自訂權限
EnableGlobalization 開啟分類全球化功能
EnableLabelByMailHeader 從 Secure Islands 和其他標籤解決方案移轉標籤
EnableLabelBySharePointProperties 從 Secure Islands 和其他標籤解決方案移轉標籤
EnableOutlookDistributionListExpansion 搜尋電子郵件收件者時,展開 Outlook 通訊群組清單
EnableRevokeGuiSupport 關閉 Office 應用程式中終端使用者的 Revoke 選項
EnableTrackAndRevoke 關閉檔追蹤功能
HideBarByDefault 在 Office 應用程式中顯示資訊保護列
JustificationTextForUserText 自訂修改標籤的對齊提示文字
LogMatchedContent 將資訊類型比對傳送至 Azure 資訊保護分析
OfficeContentExtractionTimeout 在 Office 檔案上設定自動標籤逾時
OutlookBlockTrustedDomains 在 Outlook 中實作快顯訊息,以警告、封鎖傳送的電子郵件,或證實其正當性
OutlookBlockUntrustedCollaborationLabel 在 Outlook 中實作快顯訊息,以警告、封鎖傳送的電子郵件,或證實其正當性
OutlookCollaborationRule 自訂 Outlook 快顯訊息
OutlookDefaultLabel 為 Outlook 設定不同的預設標籤
OutlookGetEmailAddressesTimeOutMSProperty 在實作通訊群組清單中的收件者封鎖郵件時,修改 Outlook 中展開通訊群組清單的逾 時)
OutlookJustifyTrustedDomains 在 Outlook 中實作快顯訊息,以警告、封鎖傳送的電子郵件,或證實其正當性
OutlookJustifyUntrustedCollaborationLabel 在 Outlook 中實作快顯訊息,以警告、封鎖傳送的電子郵件,或證實其正當性
OutlookRecommendationEnabled 在 Outlook 中啟用建議分類
OutlookOverrideUnlabeledCollaborationExtensions 在 Outlook 中實作快顯訊息,以警告、封鎖傳送的電子郵件,或證實其正當性
OutlookSkipSmimeOnReadingPaneEnabled 防止 S/MIME 電子郵件的 Outlook 效能問題
OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior 在 Outlook 中實作快顯訊息,以警告、封鎖傳送的電子郵件,或證實其正當性
OutlookWarnTrustedDomains 在 Outlook 中實作快顯訊息,以警告、封鎖傳送的電子郵件,或證實其正當性
OutlookWarnUntrustedCollaborationLabel 在 Outlook 中實作快顯訊息,以警告、封鎖傳送的電子郵件,或證實其正當性
PFileSupportedExtensions 變更要保護的檔案類型
PostponeMandatoryBeforeSave 當您使用強制標示時針對文件移除「現在不要」
PowerPointRemoveAllShapesByShapeName 從頁首和頁尾移除特定圖形名稱的所有圖形,而不是透過圖形內的文字移除圖形
PowerPointShapeNameToRemove 避免從包含指定文字的 PowerPoint 移除圖形,而且不是頁首/頁尾
RemoveExternalContentMarkingInApp 移除來自其他標籤解決方案的頁首和頁尾
RemoveExternalMarkingFromCustomLayouts 從 PowerPoint 自訂版面配置內明確移除外部內容標記
ReportAnIssueLink 為使用者新增 [回報問題]
RunPolicyInBackground 開啟分類以持續在背景執行
ScannerMaxCPU 限制 CPU 耗用量
ScannerMinCPU 限制 CPU 耗用量
ScannerConcurrencyLevel 限制掃描器所使用的執行緒數目
ScannerFSAttributesToSkip 視檔案屬性而定,略過或忽略掃描期間的檔案
SharepointWebRequestTimeout 設定 SharePoint 逾時
SharepointFileWebRequestTimeout 設定 SharePoint 逾時
UseCopyAndPreserveNTFSOwner 在標籤期間保留 NTFS 擁有者

標籤進階設定參考

搭配New-LabelSet-Label使用AdvancedSettings參數。

設定 案例和指示
color 為標籤指定色彩
customPropertiesByLabel 套用標籤時套用自訂屬性
DefaultSubLabelId 為父標籤指定預設子標籤
labelByCustomProperties 從 Secure Islands 和其他標籤解決方案移轉標籤
SMimeEncrypt 在 Outlook 中設定標籤以套用 S/MIME 保護
SMimeSign 在 Outlook 中設定標籤以套用 S/MIME 保護

隱藏 Windows 檔案總管中的 [分類並保護] 功能表選項

若要隱藏 Windows 檔案總管中的[分類及保護] 功能表選項,請使用任何值資料建立下列 DWORD 值名稱 () :

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable

如需詳細資訊,請參閱使用檔案總管來分類檔案

在 Office 應用程式中顯示資訊保護列

此設定會使用您必須使用資訊安全 & 合規性中心 PowerShell 設定的原則進階設定

根據預設,使用者必須從[敏感度] 按鈕選取 [顯示列] 選項,才能在 Office 應用程式中顯示資訊保護列。 使用 HideBarByDefault 機碼,並將值設定為 False ,讓使用者能夠從列或按鈕選取標籤。

針對選取的標籤原則,指定下列字串:

  • 機碼: HideBarByDefault

  • 值:False

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{HideBarByDefault="False"}

豁免 Outlook 郵件的強制標籤

此設定會使用您必須使用資訊安全 & 合規性中心 PowerShell 設定的原則進階設定

根據預設,當您啟用 [所有檔和電子郵件] 的標籤原則設定時,必須有標籤,所有已儲存的檔和傳送的電子郵件都必須套用標籤。 當您設定下列進階設定時,原則設定僅適用于 Office 檔,不適用於 Outlook 郵件。

針對選取的標籤原則,指定下列字串:

  • 機碼: DisableMandatoryInOutlook

  • 值: True

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{DisableMandatoryInOutlook="True"}

此設定會使用您必須使用資訊安全 & 合規性中心 PowerShell 設定的原則進階設定

當您設定建議分類的標籤時,系統會提示使用者接受或關閉 Word、Excel 和 PowerPoint 中的建議標籤。 此設定可延伸為在 Outlook 中也顯示此標籤建議。

針對選取的標籤原則,指定下列字串:

  • 機碼:OutlookRecommendationEnabled

  • 值: True

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookRecommendationEnabled="True"}

啟用從壓縮檔移除保護

此設定會使用您必須使用資訊安全 & 合規性中心 PowerShell 設定的原則進階設定

當您設定此設定時,已啟用 PowerShell Cmdlet Set-AIPFileLabel ,以允許從 PST、rar 和 7zip 檔案移除保護。

  • 機碼: EnableContainerSupport

  • 值: True

啟用原則的 PowerShell 命令範例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}

為 Outlook 設定不同的預設標籤

此設定會使用您必須使用資訊安全 & 合規性中心 PowerShell 設定的原則進階設定

當您設定此設定時,Outlook 不會套用設定為原則設定的預設標籤,選項 預設將此標籤套用至檔和電子郵件。 相反地,Outlook 可以套用不同的預設標籤或是沒有標籤。

針對選取的標籤原則,指定下列字串:

  • 機碼:OutlookDefaultLabel

  • 值: <標籤 GUID> 或

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookDefaultLabel="None"}

變更要保護的檔案類型

這些設定會使用您必須使用資訊安全 & 合規性中心 PowerShell 設定的原則進階設定

根據預設,Azure 資訊保護統一標籤用戶端會保護所有檔案類型,而掃描器則僅保護 Office 檔案類型和 PDF 檔案。

您可以指定下列其中一項,以變更所選標籤原則的預設行為:

PFileSupportedExtension

  • 機碼: PFileSupportedExtensions

  • 值:< 字串值 >

使用下表來識別要指定的字串值:

字串值 Client 掃描器
* 預設值:將保護套用至所有檔案類型 將保護套用至所有檔案類型
ConvertTo-Json (「.jpg」、「.png」) 除了 Office 檔案類型和 PDF 檔案之外,將保護套用至指定的副檔名 除了 Office 檔案類型和 PDF 檔案之外,將保護套用至指定的副檔名

範例 1:掃描器的 PowerShell 命令可保護所有檔案類型,其中您的標籤原則命名為「掃描器」:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

範例 2:掃描器的 PowerShell 命令除了 Office 檔案和 PDF 檔案之外,還會保護.txt檔案和.csv檔案,其中您的標籤原則名為 「Scanner」:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}

透過此設定,您可以變更哪些檔案類型受到保護,但您無法將預設保護層級從原生變更為泛型。 例如,對於執行統一標籤用戶端的使用者,您可以變更預設設定,讓只有 Office 檔案和 PDF 檔案受到保護,而不是所有檔案類型。 但您無法將這些檔案類型變更為以 .pfile 副檔名一般保護。

AdditionalPPrefixExtensions

統一標籤用戶端支援變更 < EXT > 。使用Advanced 屬性 AdditionalPPrefixExtensions,將 PFILE 移至 P < EXT > 。 掃描器支援檔案總管、PowerShell 和這個進階屬性。 所有應用程式都有類似的行為。

  • 機碼: AdditionalPPrefixExtensions

  • 值:< 字串值 >

使用下表來識別要指定的字串值:

字串值 用戶端和掃描器
* 所有 PFile 延伸模組都會變成 P < EXT>
<null 值> 預設值的行為就像預設保護值一樣。
ConvertTo-Json (「.dwg」、「.zip」) 除了先前的清單之外,「.dwg」 和 「.zip」 也會變成 P < EXT>

使用此設定時,下列延伸模組一律會變成P < EXT >:「.txt」、「.xml」、「.bmp」、「.jpg」、「.jpeg」、「.jpe」、「.jif」、「.jfif」、「.jfif」、「.png」、「.tif」、「.tiff」、「.gif」) 。 值得注意的排除是 「ptxt」 不會變成 「txt.pfile」。

只有在使用進階屬性保護 PFiles 時,AdditionalPPrefixExtension才會運作 - 已啟用PFileSupportedExtension

範例 1:PowerShell 命令的行為就像保護 「.dwg」 變成 「.dwg.pfile」 的預設行為:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}

範例 2:PowerShell 命令,將所有 PFile 延伸模組從一般保護 (dwg.pfile) 變更為受保護檔案時的原生保護 (.pdwg) :

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}

範例 3:使用此服務保護此檔案時,將 「.dwg」 變更為 「.pdwg」 的 PowerShell 命令:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}

當您使用強制標示時針對文件移除「現在不要」

此設定會使用您必須使用資訊安全 & 合規性中心 PowerShell 設定的原則進階設定

當您使用 [所有檔和電子郵件] 的標籤原則設定必須有標籤時,系統會提示使用者在第一次儲存 Office 檔時以及從 Outlook 傳送電子郵件時選取標籤。

針對文件,使用者可以選取 [現在不要],暫時關閉選取標籤的提示並返回文件。 不過,使用者無法在不為文件加上標籤的情況下,關閉已儲存的文件。

當您設定 PostponeMandatoryBeforeSave 設定時,會移除 [ 立即 不要] 選項,讓使用者在檔第一次儲存時必須選取標籤。

秘訣

PostponeMandatoryBeforeSave設定也可確保共用檔在透過電子郵件傳送之前加上標籤。

根據預設,即使您在原則中啟用 [所有檔和電子郵件] 必須 啟用標籤,使用者仍只會升級為從 Outlook 內附加至電子郵件的檔案加上標籤。

針對選取的標籤原則,指定下列字串:

  • 機碼:PostponeMandatoryBeforeSave

  • 值:False

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PostponeMandatoryBeforeSave="False"}

移除來自其他標籤解決方案的頁首和頁尾

此設定使用您必須使用資訊安全 & 合規性中心 PowerShell 設定的原則進階設定

有兩種方法可從其他標籤解決方案中移除分類:

設定 描述
WordShapeNameToRemove 從 Word 檔中移除任何圖形,其中圖形名稱符合 WordShapeNameToRemove 進階屬性中所定義的名稱。

如需詳細資訊,請參閱 使用 WordShapeNameToRemove 進階屬性
RemoveExternalContentMarkingInApp

ExternalContentMarkingToRemove
可讓您從 Word、Excel 和 PowerPoint 檔中移除或取代文字型頁首或頁尾。

如需詳細資訊,請參閱
- 使用 RemoveExternalContentMarkingInApp 進階屬性
- 如何設定 ExternalContentMarkingToRemove

使用 WordShapeNameToRemove 進階屬性

2.6.101.0 版和更新版本支援 WordShapeNameToRemove 進階屬性

此設定可讓您移除或取代 Word 檔中的圖形型標籤,這些視覺標記已由另一個標籤解決方案套用。 例如,圖形包含您現在已移轉至敏感度標籤的舊標籤名稱,以使用新的標籤名稱和它自己的圖形。

若要使用此進階屬性,您必須在 Word 檔中尋找圖形名稱,然後在 圖形的 WordShapeNameToRemove 進階屬性清單中定義它們。 此服務會移除 Word 中以這個進階屬性中圖形清單中定義的名稱開頭的任何圖形。

藉由定義要移除的所有圖形名稱,避免移除包含您想要忽略之文字的圖形,並避免檢查所有圖案中的文字,這是需要大量資源的流程。

注意

在 Microsoft Word 中,您可以藉由定義圖形名稱或其文字來移除圖形,但不能同時移除兩者。 如果已定義 WordShapeNameToRemove 屬性, 則會忽略 ExternalContentMarkingToRemove 值所定義的任何組態。

若要尋找您所使用的圖形名稱,並想要排除

  1. 在 Word 中,顯示 [選取範圍] 窗格:[首頁> ] 索引標籤編輯群組 >[選取] 選項 >[選取窗格]。

  2. 選取您想要標示要移除之頁面上的圖形。 您標記的圖形名稱現在會在 [ 選取範圍 ] 窗格中反白顯示。

使用圖形的名稱來指定 WordShapeNameToRemove 索引鍵的字串值。

範例:圖形名稱為 dc。 若要移除具有此名稱的圖形,您需要指定值:dc

  • 機碼: WordShapeNameToRemove

  • 值: <Word 圖形名稱>

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{WordShapeNameToRemove="dc"}

當您有多個要移除的 Word 圖形時,請指定要移除的圖形數目。

使用 RemoveExternalContentMarkingInApp 進階屬性

當其他標籤解決方案套用這些視覺標記時,此設定可讓您從檔中移除或取代文字型頁首或頁尾。 例如,舊頁尾包含您現在已移轉至敏感度標籤的舊標籤名稱,以使用新的標籤名稱和自己的頁尾。

當統一標籤用戶端在其原則中取得此設定時,當檔在 Office 應用程式中開啟,且任何敏感度標籤都會套用至檔時,移除或取代舊的頁首和頁尾。

Outlook 不支援此設定,並請注意當您搭配 Word、Excel 及 PowerPoint 使用此項目時,可能會在使用者使用這些應用程式時產生負面效能影響。 設定可讓您針對每個應用程式定義設定。例如:在 Word 文件的頁首和頁尾中搜尋文字,而不在 Excel 試算表或 PowerPoint 簡報中搜尋。

因為模式比對會影響使用者的效能,我們建議您將 Office 應用程式類型限制為 (Word、EXcel、PowrPoint) ,只限制為需要搜尋的 Office 應用程式類型。 針對選取的標籤原則,指定下列字串:

  • 機碼:RemoveExternalContentMarkingInApp

  • 值: <Office 應用程式類型 WXP>

範例:

  • 若只要搜尋 Word 文件,請指定 W

  • 若要搜尋 Word 文件和 PowerPoint 簡報,請指定 WP

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInApp="WX"}

然後,您還需要至少一項進階用戶端設定 (ExternalContentMarkingToRemove) 來指定頁首或頁尾的內容,以及移除或取代它們的方式。

如何設定 ExternalContentMarkingToRemove

當您指定 ExternalContentMarkingToRemove 索引鍵的字串值時,您有三個選項使用正則運算式。 針對上述每個案例,請使用下表中 [ 範例值 ] 資料行中顯示的語法:

選項 範例說明 範例值
部分相符專案可移除頁首或頁尾中的所有內容 您的頁首或頁尾包含字串 TEXT TO REMOVE,而您想要完全移除這些頁首或頁尾。 *TEXT*
完成比對以移除頁首或頁尾中的特定單字 您的頁首或頁尾包含字串 TEXT TO REMOVE,而且您想要只移除 TEXT 一詞,並將頁首或頁尾字串保留為 TO REMOVE TEXT
完成比對以移除頁首或頁尾中的所有內容 您的頁首或頁尾具有字串 TEXT TO REMOVE。 您若想要移除完整包含此字串的頁首或頁尾, ^TEXT TO REMOVE$

您指定字串的模式比對不會區分大小寫。 字串長度上限為 255 個字元,且不能包含空白字元。

因為部分文件可能包含不可見的字元,或是不同種類的空格或定位字元,所以可能無法偵測您為片語或句子指定的字串。 可能的話,請為值指定單一區分字組,並務必在於生產中部署前測試結果。

針對相同的標籤原則,指定下列字串:

  • 機碼:ExternalContentMarkingToRemove

  • 值: <要比對的字串,定義為正則運算式>

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*TEXT*"}

如需詳細資訊,請參閱

多行頁首或頁尾

若頁首或頁尾文字超過一行,請為每一行都建立機碼與值。 例如,如果您有具有兩行的下列頁尾:

The file is classified as Confidential
Label applied manually

若要移除此多行頁尾,請為相同的標籤原則建立下列兩個專案:

  • 機碼:ExternalContentMarkingToRemove
  • 機碼值 1: *機密*
  • 機碼值 2: *套用標籤*

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove=ConvertTo-Json("Confidential","Label applied")}

針對 PowerPoint 最佳化

PowerPoint 中的頁首和頁尾會實作為圖形。 針對 msoTextBoxmsoTextEffectmsoPlaceholdermsoAutoShape 圖形類型,下列進階設定會提供額外的優化:

此外, PowerPointRemoveAllShapesByShapeName 可以根據圖形名稱移除任何圖形類型。

如需詳細資訊,請參閱 尋找您用來做為頁首或頁尾的圖形名稱

避免從包含指定文字的 PowerPoint 中移除圖形,而且不是頁首/頁尾

若要避免移除包含您所指定但不是頁首或頁尾之文字的圖形,請使用名為 PowerPointShapeNameToRemove的其他進階用戶端設定。

我們也建議使用此設定來避免檢查所有圖形中的文字,因為檢查過程會耗費大量的資源。

例如:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
將外部標記移除延伸至自訂版面配置

此設定會使用原則 進階設定 ,您必須使用資訊安全 & 合規性中心 PowerShell 進行設定。

根據預設,用來移除外部內容標記的邏輯會忽略 PowerPoint 中設定的自訂版面配置。 若要將此邏輯擴充至自訂版面配置,請將 RemoveExternalMarkingFromCustomLayouts 進階屬性設定為 True

  • 機碼: RemoveExternalMarkingFromCustomLayouts

  • 值: True

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
移除特定圖形名稱的所有圖形

如果您使用 PowerPoint 自訂版面配置,而且想要從頁首和頁尾移除特定圖形名稱的所有圖形,請使用 PowerPointRemoveAllShapesByShapeName 進階設定,以及您想要移除的圖形名稱。

使用 PowerPointRemoveAllShapesByShapeName 設定會忽略圖形內的文字,而會改用圖形名稱來識別您想要移除的圖形。

例如:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointRemoveAllShapesByShapeName="Arrow: Right"}

如需詳細資訊,請參閱

  1. 在 PowerPoint 中,顯示 [選取範圍] 窗格:[格式化] 索引標籤 >[排列群組 >選取窗格]。

  2. 選取投影片上包含您頁首或頁尾的圖形。 選取的圖形名稱現在會在 [選取項目] 窗格中以醒目提示呈現。

使用圖形名稱來指定 PowerPointShapeNameToRemove 機碼的字串值。

範例:圖形名稱為 fc。 若要移除具有此名稱的圖形,您需要指定值:fc

  • 機碼:PowerPointShapeNameToRemove

  • 值: <PowerPoint 圖形名稱>

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}

當您有多個要移除的 PowerPoint 圖形時,請指定要移除的圖形數目。

根據預設,只會針對母片投影片檢查頁首和頁尾。 若要將此搜尋範圍延伸至所有投影片 (更耗費資源的程序),請使用名為 RemoveExternalContentMarkingInAllSlides 的額外進階用戶端設定:

  • 索引鍵:RemoveExternalContentMarkingInAllSlides

  • 值: True

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInAllSlides="True"}
從 PowerPoint 中的自訂版面配置移除外部內容標記

此設定會使用原則 進階設定 ,您必須使用資訊安全 & 合規性中心 PowerShell 進行設定。

根據預設,用來移除外部內容標記的邏輯會忽略 PowerPoint 中設定的自訂版面配置。 若要將此邏輯擴充至自訂版面配置,請將 RemoveExternalMarkingFromCustomLayouts 進階屬性設定為 True

  • 機碼: RemoveExternalMarkingFromCustomLayouts

  • 值: True

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}

關閉檔案總管中的自訂許可權

此設定會使用原則 進階設定 ,您必須使用資訊安全 & 合規性中心 PowerShell 進行設定。

根據預設,當使用者以滑鼠右鍵按一下檔案總管並選擇[分類和保護] 時,會看到名為[使用自訂許可權保護] 的選項。 此選項可讓他們設定自己的保護設定,以覆寫您可能隨附于標籤組態的任何保護設定。 使用者也可以看到移除保護的選項。 當您設定此設定時,使用者不會看到這些選項。

若要設定此進階設定,請輸入所選標籤原則的下列字串:

  • 索引鍵:EnableCustomPermissions

  • 值:False

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

對於使用自訂權限保護的檔案,一律在檔案總管中向使用者顯示自訂權限

此設定會使用原則 進階設定 ,您必須使用資訊安全 & 合規性中心 PowerShell 進行設定。

當您設定進階用戶端設定來關閉檔案總管中的自訂許可權時,根據預設,使用者將無法查看或變更已在受保護檔中設定的自訂許可權。

不過,您可以指定另一個進階用戶端設定,如此一來,在此案例中,當使用者使用 檔案總管 並以滑鼠右鍵按一下檔案時,就可以查看並變更受保護檔的自訂許可權。

若要設定此進階設定,請輸入所選標籤原則的下列字串:

  • 機碼: EnableCustomPermissionsForCustomProtectedFiles

  • 值: True

範例 PowerShell 命令:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}

針對具有附件的電子郵件訊息,套用符合這些附件之最高分類的標籤

此設定會使用您必須使用資訊安全 & 合規性中心 PowerShell 設定的原則進階設定

當使用者將標籤的檔附加至電子郵件時,這項設定適用于,而且不會標記電子郵件訊息本身。 在此案例中,系統會根據套用至附件的分類標籤,自動為其選取標籤。 已選取最高分類標籤。

附件必須是實體檔案,而且不能是檔案的連結 (例如,Microsoft SharePoint 或 OneDrive 上的檔案連結) 。

您可以將此設定設定設定為 [建議],以便提示使用者將選取的標籤套用至其電子郵件訊息。 然後,使用者可以接受建議或關閉它,而不套用標籤。 或者,您可以將此設定設定設定為 [自動],其中會自動套用選取的標籤,但使用者可以移除標籤,或在傳送電子郵件之前選取不同的標籤。 這兩種案例都支援自訂訊息。

注意

當具有最高分類標籤的附件設定為使用使用者定義許可權的設定來保護時:

  • 當標籤的使用者定義許可權包括 Outlook ([不可轉寄]) 時,該標籤已選取,且 [不要轉寄] 保護會套用至電子郵件。
  • 當標籤的使用者定義許可權僅適用于 Word、Excel、PowerPoint 和檔案總管時,該標籤不會套用至電子郵件訊息,而且兩者都不是保護。

若要設定此進階設定,請輸入所選標籤原則的下列字串:

  • 機碼 1: AttachmentAction

  • 機碼值 1: 建議自動

  • 索引鍵 2 (選擇性) : AttachmentActionTip

  • 機碼值 2:「 < 自訂工具提示 > 」

選擇性自訂工具提示僅支援單一語言。 如果未指定此設定,則會向使用者顯示下列訊息:

  • 建議的訊息:建議將此電子郵件標示為 < 標籤名稱 >
  • 自動訊息:此電子郵件已自動標示為 < 標籤名稱 >

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{AttachmentAction="Automatic"}

為使用者新增 [回報問題]

此設定會使用原則 進階設定 ,您必須使用資訊安全 & 合規性中心 PowerShell 進行設定。

當您指定下列進階用戶端設定時,使用者會看到 [回報問題] 選項,可從 [說明與意見反應] 用戶端對話方塊來選取。 指定連結的 HTTP 字串。 例如,您可以讓使用者回報問題的自訂網頁,或可連至您技術支援中心的電子郵件地址。

若要設定此進階設定,請輸入所選標籤原則的下列字串:

  • 機碼:ReportAnIssueLink

  • 值:< HTTP 字串 >

網站的範例值:https://support.contoso.com

電子郵件地址的範例值:mailto:helpdesk@contoso.com

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}

在 Outlook 中實作快顯訊息,以警告、封鎖傳送的電子郵件,或證實其正當性

此設定會使用您必須使用資訊安全 & 合規性中心 PowerShell 設定的原則進階設定

當您建立及進行下列進階用戶端設定時,使用者可在 Outlook 中查看快顯訊息,這些訊息可在傳送電子郵件前警告他們、要求他們提供傳送此電子郵件的正當理由,或防止他們在下列其中一個情況下傳送電子郵件:

  • 他們的電子郵件或其附件具有特定標籤

    • 附件可為任意檔案類型
  • 他們的電子郵件或其附件沒有標籤

    • 附件可為 Office 文件或 PDF 文件

符合這些條件時,使用者會看到具有下列其中一個動作的快顯訊息:

類型 描述
警告 使用者可確認並傳送,或取消。
證明 系統會提示使用者提供理由, (預先定義的選項或自由格式) ,然後使用者可以傳送或取消電子郵件。
理由文字會寫入電子郵件 x 標頭,以便其他系統讀取,例如資料外泄防護 (DLP) 服務。
封鎖 在情況持續存在時,防止使用者傳送電子郵件。
訊息包含封鎖電子郵件的原因,以便使用者可以解決問題。
例如,移除特定收件者,或標記電子郵件。

當快顯訊息適用于特定標籤時,您可以依功能變數名稱為收件者設定例外狀況。

如需如何設定這些設定的逐步解說範例,請參閱 Azure 資訊保護 Outlook 快顯設定影片。

秘訣

若要確保即使從 Outlook 外部共用檔,還是會顯示快顯 (檔案 > 共用 > 附加複本) ,也請設定 PostponeMandatoryBeforeSave 進階設定。

如需詳細資訊,請參閱

實作特定標籤的警告、理由或封鎖快顯訊息

針對選取的原則,使用下列索引鍵建立下列一或多個進階設定。 針對這些值,依其 GUID 指定一或多個標籤,每個標籤都以逗號分隔。

多個標籤 GUID 的範例值,以逗號分隔字串:

dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
訊息類型 索引鍵/值
警告 碼:OutlookWarnUntrustedCollaborationLabel

值: <標籤 GUID、逗號分隔>
證明 機碼: OutlookJustifyUntrustedCollaborationLabel

值: <標籤 GUID、逗號分隔>
封鎖 機碼: OutlookBlockUntrustedCollaborationLabel

值: <標籤 GUID、逗號分隔>

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e,b6d21387-5d34-4dc8-90ae-049453cec5cf,bb48a6cb-44a8-49c3-9102-2d2b017dcead,74591a94-1e0e-4b5d-b947-62b70fc0f53a,6c375a97-2b9b-4ccd-9c5b-e24e4fd67f73"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyUntrustedCollaborationLabel="dc284177-b2ac-4c96-8d78-e3e1e960318f,d8bb73c3-399d-41c2-a08a-6f0642766e31,750e87d4-0e91-4367-be44-c9c24c9103b4,32133e19-ccbd-4ff1-9254-3a6464bf89fd,74348570-5f32-4df9-8a6b-e6259b74085b,3e8d34df-e004-45b5-ae3d-efdc4731df24"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockUntrustedCollaborationLabel="0eb351a6-0c2d-4c1d-a5f6-caa80c9bdeec,40e82af6-5dad-45ea-9c6a-6fe6d4f1626b"}

若要進一步自訂,您也可以 為針對特定標籤設定的快顯訊息豁免功能變數名稱

注意

本節中的進階設定 (OutlookWarnUntrustedCollaborationLabelOutlookJustifyUntrustedCollaborationLabelOutlookBlockUntrustedCollaborationLabel) 適用于 使用特定 標籤時。

若要實作 未標記 內容的預設快顯訊息,請使用 OutlookUnlabeledCollaborationAction 進階設定。 若要自訂未標記內容的快顯訊息,請使用 .json 檔案來定義進階設定。

如需詳細資訊,請參閱 自訂 Outlook 快顯訊息

秘訣

為了確保您的封鎖郵件會視需要顯示,即使是在 Outlook 通訊群組清單內的收件者,請務必新增 EnableOutlookDistributionListExpansion 進階設定。

為特定標籤設定的快顯訊息豁免功能變數名稱

針對您使用這些快顯郵件指定的標籤,您可以豁免特定功能變數名稱,讓使用者看不到其電子郵件地址中包含該功能變數名稱的收件者的郵件。 在此情況下,便可傳送電子郵件而不中斷。 若要指定多個網域,請以單一字串的形式來新增,並以逗點分隔。

一般設定僅用來對您組織外部或非組織授權夥伴的收件者顯示快顯訊息。 在此情況下,您可指定您組織及夥伴使用的所有電子郵件網域。

針對相同的標籤原則,建立下列進階用戶端設定,並針對值指定一或多個網域,每個網域都以逗號分隔。

以逗點分隔字串表示多個網域的範例值如下:contoso.com,fabrikam.com,litware.com

訊息類型 索引鍵/值
警告 碼:OutlookWarnTrustedDomains

值:<功能變數名稱、逗號分隔>
證明 機碼: OutlookJustifyTrustedDomains

值:<功能變數名稱、逗號分隔>
封鎖 機碼: OutlookBlockTrustedDomains

值:<功能變數名稱、逗號分隔>

例如,假設您已為[機密\ 所有員工] 標籤指定OutlookBlockUntrustedCollaborationLabel進階用戶端設定。

您現在使用contoso.com指定OutlookBlockTrustedDomains的其他進階用戶端設定。 因此,當使用者標示為機密 \ 所有員工時,可以將電子郵件傳送至 john@sales.contoso.com ,但會封鎖將具有相同標籤的電子郵件傳送至 Gmail 帳戶。

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockTrustedDomains="contoso.com"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyTrustedDomains="contoso.com,fabrikam.com,litware.com"}

注意

為了確保您的封鎖郵件會視需要顯示,即使是在 Outlook 通訊群組清單內的收件者,請務必新增 EnableOutlookDistributionListExpansion 進階設定。

為沒有標籤的電子郵件或附件實作警告、合理化或封鎖快顯訊息

針對相同的標籤原則,使用下列其中一個值建立下列進階用戶端設定:

訊息類型 索引鍵/值
警告 機碼: OutlookUnlabeledCollaborationAction

值: 警告
證明 機碼: OutlookUnlabeledCollaborationAction

值: 合理化
封鎖 機碼: OutlookUnlabeledCollaborationAction

值: 區塊
關閉這些訊息 機碼: OutlookUnlabeledCollaborationAction

值: 關閉

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Warn"}

如需進一步自訂,請參閱:

為沒有標籤的電子郵件附件定義警告、合理化或封鎖快顯訊息的特定副檔名

根據預設,警告、合理化或封鎖快顯訊息會套用至所有 Office 檔和 PDF 檔。 您可以藉由指定哪些副檔名應該顯示警告、合理化或封鎖具有其他進階設定和逗號分隔副檔名清單的訊息,來精簡此清單。

多個副檔名的範例值,定義為逗號分隔字串: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM

在此範例中,未標記的 PDF 檔不會產生警告、合理化或封鎖快顯訊息。

針對相同的標籤原則,輸入下列字串:

  • 機碼: OutlookOverrideUnlabeledCollaborationExtensions

  • 值:<用來顯示訊息的副檔名,以逗號分隔>

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.PPT,.PPTX,.PPTM"}

為沒有附件的電子郵件訊息指定不同的動作

根據預設,您為 OutlookUnlabeledCollaborationAction 指定的值會警告、證明或封鎖快顯郵件適用于沒有標籤的電子郵件或附件。

您可以為沒有附件的電子郵件訊息指定另一個進階設定,以精簡此設定。

使用下列其中一個值建立下列進階用戶端設定:

訊息類型 索引鍵/值
警告 機碼: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

值: 警告
證明 機碼: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

值: 合理化
封鎖 機碼: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

值: 區塊
關閉這些訊息 機碼: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

值: 關閉

如果您未指定此用戶端設定,您為 OutlookUnlabeledCollaborationAction 指定的值會用於沒有附件的未標記電子郵件訊息,以及具有附件的未標記電子郵件訊息。

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior="Warn"}

搜尋電子郵件收件者時,展開 Outlook 通訊群組清單

此設定會使用原則 進階設定 ,您必須使用資訊安全 & 合規性中心 PowerShell 進行設定。

若要將其他進階設定的支援延伸到 Outlook 通訊群組清單內的收件者,請將 EnableOutlookDistributionListExpansion 進階設定設為 true

  • 機碼: EnableOutlookDistributionListExpansion
  • 值: true

例如,如果您已設定 OutlookBlockTrustedDomainsOutlookBlockUntrustedCollaborationLabel 進階設定,然後同時設定 EnableOutlookDistributionListExpansion 設定,則會啟用 Outlook 來展開通訊群組清單,以確保區塊訊息視需要出現。

展開通訊群組清單的預設逾時為 2000 毫秒。

若要修改此逾時,請為選取的原則建立下列進階設定:

  • 機碼: OutlookGetEmailAddressesTimeOutMSProperty
  • 值: 整數,以毫秒為單位

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{
  EnableOutlookDistributionListExpansion="true"
  OutlookGetEmailAddressesTimeOutMSProperty="3000"
}

防止稽核資料傳送至 AIP 和 Microsoft 365 分析

根據預設,Azure 資訊保護統一標籤用戶端支援集中報告,並將其稽核資料傳送至:

若要變更此行為,因此不會傳送稽核資料,請執行下列動作:

  1. 使用安全性 & 合規性中心 PowerShell 新增下列原則進階設定

    • 機碼: EnableAudit

    • 值:False

    例如,如果您的標籤原則名為 「Global」:

    Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}
    

    注意

    根據預設,此進階設定不會出現在原則中,而且會傳送稽核記錄。

  2. 在所有 Azure 資訊保護用戶端電腦中,刪除下列資料夾: %localappdata%\Microsoft\MSIP\mip

若要讓用戶端再次傳送稽核記錄資料,請將進階設定值變更為 True。 您不需要在用戶端電腦上再次手動建立 %localappdata%\Microsoft\MSIP\mip 資料夾。

將資訊類型比對傳送至 Azure 資訊保護分析

此設定會使用原則 進階設定 ,您必須使用資訊安全 & 合規性中心 PowerShell 進行設定。

根據預設,統一標籤用戶端不會將敏感性資訊類型的內容相符專案傳送至Azure 資訊保護分析。 如需可傳送之額外資訊的詳細資訊,請參閱中央報告檔中 的內容比對以取得更深入的分析 一節。

若要在傳送敏感性資訊類型時傳送內容相符專案,請在標籤原則中建立下列進階用戶端設定:

  • 機碼: LogMatchedContent

  • 值: True

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}

限制 CPU 耗用量

從掃描器 2.7.x.x 版開始,建議您使用下列 ScannerMaxCPUScannerMinCPU 進階設定來限制 CPU 耗用量。

重要

當使用下列執行緒限制原則時, 會忽略 ScannerMaxCPUScannerMinCPU 進階設定。 若要使用 ScannerMaxCPUScannerMinCPU 進階設定來限制 CPU 耗用量,請取消使用限制執行緒數目的原則。

此設定會使用原則 進階設定 ,您必須使用資訊安全 & 合規性中心 PowerShell 進行設定。

若要限制掃描器電腦上的 CPU 耗用量,可藉由建立兩個進階設定來管理:

  • ScannerMaxCPU

    預設設定為 100 ,這表示 CPU 耗用量上限沒有限制。 在此情況下,掃描器程式會嘗試使用所有可用的 CPU 時間,將掃描速率最大化。

    如果您將 ScannerMaxCPU 設定為小於 100,掃描器將會監視過去 30 分鐘內的 CPU 耗用量。 如果平均 CPU 超出您設定的限制,它就會開始減少為新檔案配置的執行緒數目。

    只要 CPU 耗用量高於 ScannerMaxCPU所設定的限制,執行緒數目的限制就會繼續。

  • ScannerMinCPU

    只有檢查 ScannerMaxCPU 不等於 100,而且無法設定為高於 ScannerMaxCPU 值的數位。 我們建議將 ScannerMinCPU 設定至少 15 點低於 ScannerMaxCPU的值。

    預設設定為 50 ,這表示如果過去 30 分鐘內的 CPU 耗用量低於此值,掃描器就會開始平行掃描更多檔案,直到 CPU 耗用量達到您為 ScannerMaxCPU-15設定的層級為止。

限制掃描器所使用的執行緒數目

重要

當使用下列執行緒限制原則時, 會忽略 ScannerMaxCPUScannerMinCPU 進階設定。 若要使用 ScannerMaxCPUScannerMinCPU 進階設定來限制 CPU 耗用量,請取消使用限制執行緒數目的原則。

此設定會使用原則 進階設定 ,您必須使用資訊安全 & 合規性中心 PowerShell 進行設定。

根據預設,掃描器會在電腦上使用所有可用的處理器資源執行掃描器服務。 如果您需要在掃描此服務時限制 CPU 耗用量,請在標籤原則中建立下列進階設定。

針對值,請指定掃描器可以平行執行的並行執行緒數目。 掃描器會針對掃描的每個檔案使用個別執行緒,因此此節流設定也會定義可以平行掃描的檔案數目。

第一次設定測試值,建議您針對每一核心指定 2,然後監視結果。 例如,如果您在配備 4 個核心的電腦上執行掃描器,請先將值設定為 8。 如有必要,可依據對掃描器電腦要求的效能和掃描速率來增加或減少該數字。

  • 機碼: ScannerConcurrencyLevel

  • 值:< 平行線程 > 數目

範例 PowerShell 命令,其中您的標籤原則名為 「Scanner」:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}

從 Secure Islands 和其他標籤解決方案移轉標籤

此設定會使用標籤 進階設定 ,您必須使用安全性 & 合規性中心 PowerShell 進行設定。

此組態與副檔名為 .ppdf 的受保護 PDF 檔案不相容。 用戶端無法使用 檔案總管 或 PowerShell 來開啟這些檔案。

對於由 Secure Islands 加上標籤的 Office 檔,您可以使用您定義的對應,以敏感度標籤來重新標記這些檔。 當其他解決方案的標籤是在 Office 文件上時,您也可以使用此方法來重複使用來自其他解決方案的標籤。

由於此設定選項,Azure 資訊保護統一標籤用戶端會套用新的敏感度標籤,如下所示:

  • 對於 Office 檔:當檔在傳統型應用程式中開啟時,新的敏感度標籤會顯示為已設定,並在儲存檔時套用。

  • 針對 PowerShellSet-AIPFileLabelSet-AIPFileClassificiation 可以套用新的敏感度標籤。

  • 針對檔案總管:在 [Azure 資訊保護] 對話方塊中,會顯示新的敏感度標籤,但未設定。

此組態需要針對您想要對應至舊標籤的每個敏感度標籤指定名為 labelByCustomProperties 的進階設定。 然後針對每個項目,使用以下語法來設定值:

[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]

指定您選擇的移轉規則名稱。 使用描述性名稱,協助您識別先前標籤解決方案中的一或多個標籤應該如何對應至敏感度標籤。

請注意,此設定不會移除文件的原始標籤,或文件中原始標籤可能已套用的任何視覺標記。 若要移除頁首和頁尾,請參閱 從其他標籤解決方案移除頁首和頁尾

範例:

如需其他自訂,請參閱:

注意

如果您要從租使用者之間的標籤移轉,例如在公司合併之後,建議您閱讀有關 合併和微調的部落格文章 ,以取得詳細資訊。

範例 1:相同標籤名稱的一對一對應

需求:具有「機密」安全島標籤的檔應該由 Azure 資訊保護重新標示為「機密」。

在此範例中:

  • Secure Islands 標籤名為機密,且儲存在名為分類的自訂屬性中。

進階設定:

  • 機碼: labelByCustomProperties

  • 值: 安全島標籤為機密、分類、機密

範例 PowerShell 命令,其中您的標籤名為 「Confidential」:

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Confidential,Classification,Confidential"}

範例 2:不同標籤名稱的一對一對應

需求:安全島標示為「敏感性」的檔應該由 Azure 資訊保護重新標示為「高度機密」。

在此範例中:

  • Secure Islands 標籤名為敏感,且儲存在名為分類的自訂屬性中。

進階設定:

  • 機碼: labelByCustomProperties

  • 值: 安全島標籤為敏感性、分類、敏感性

範例 PowerShell 命令,其中您的標籤名為「高度機密」:

Set-Label -Identity "Highly Confidential" -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Sensitive,Classification,Sensitive"}

範例 3:標籤名稱的多對一對應

需求:您有兩個安全島標籤包含 「Internal」 一詞,而且您想要讓 Azure 資訊保護統一標籤用戶端將其中一個安全島標籤重新標示為「一般」的檔。

在此範例中:

  • Secure Islands 標籤包含 Internal 一詞,並儲存在名為 Classification的自訂屬性中。

進階用戶端設定:

  • 機碼: labelByCustomProperties

  • 值: Secure Islands 標籤包含內部、分類、.*Internal.*

範例 PowerShell 命令,其中您的標籤名為 「General」:

Set-Label -Identity General -AdvancedSettings @{labelByCustomProperties="Secure Islands label contains Internal,Classification,.*Internal.*"}

範例 4:相同標籤的多個規則

當您需要相同標籤的多個規則時,請為相同的索引鍵定義多個字串值。

在此範例中,名為「機密」和「秘密」的安全島標籤會儲存在名為Classification的自訂屬性中,而您希望 Azure 資訊保護統一標籤用戶端套用名為 「Confidential」 的敏感度標籤:

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

將標籤移轉規則延伸至電子郵件

除了 Office 檔之外,您還可以藉由指定其他標籤原則進階設定,使用 Outlook 電子郵件的 labelByCustomProperties 進階設定所定義的組態。

不過,此設定對 Outlook 效能有已知的負面影響,因此只有在您有強大的商務需求時,才設定此額外設定,並記得在完成從其他標籤解決方案移轉時將其設定為 Null 字串值。

若要設定此進階設定,請輸入所選標籤原則的下列字串:

  • 機碼: EnableLabelByMailHeader

  • 值: True

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelByMailHeader="True"}

將標籤移轉規則延伸至 SharePoint 屬性

您可以使用 SharePoint 屬性的 labelByCustomProperties 進階設定所定義的組態,您可以藉由指定其他標籤原則進階設定,將它公開為使用者的資料行。

當您使用 Word、Excel 和 PowerPoint 時,支援此設定。

若要設定此進階設定,請輸入所選標籤原則的下列字串:

  • 機碼: EnableLabelBySharePointProperties

  • 值: True

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelBySharePointProperties="True"}

套用標籤時套用自訂屬性

此設定會使用標籤 進階設定 ,您必須使用安全性 & 合規性中心 PowerShell 進行設定。

除了敏感度標籤所套用的中繼資料之外,您可能還想要將一或多個自訂屬性套用至檔或電子郵件訊息。

例如:

  • 您正在 從另一個標籤解決方案移轉,例如 Secure Islands。 若要在移轉期間進行互通性,您希望敏感度標籤也套用其他標籤解決方案所使用的自訂屬性。

  • 針對您的內容管理系統, (例如 SharePoint 或其他廠商的檔管理解決方案,) 您想要針對標籤使用不同的值使用一致的自訂屬性名稱,以及具有使用者易記的名稱,而不是標籤 GUID。

對於使用 Azure 資訊保護統一標籤用戶端來標記使用者的 Office 檔和 Outlook 電子郵件,您可以新增一或多個您定義的自訂屬性。 您也可以針對統一標籤用戶端使用這個方法,針對尚未由統一標籤用戶端標記的內容,將自訂屬性顯示為來自其他解決方案的標籤。

由於此設定選項,Azure 資訊保護統一標籤用戶端會套用任何其他自訂屬性,如下所示:

環境 描述
Office 檔 當檔在傳統型應用程式中加上標籤時,會在儲存檔時套用其他自訂屬性。
Outlook 電子郵件 當電子郵件訊息在 Outlook 中加上標籤時,其他屬性會在傳送電子郵件時套用至 x 標頭。
PowerShell Set-AIPFileLabelSet-AIPFileClassificiation 會在標示並儲存檔時套用其他自訂屬性。

如果未套用敏感度標籤,Get-AIPFileStatus會顯示自訂屬性做為對應的標籤。
檔案總管 當使用者以滑鼠右鍵按一下檔案並套用標籤時,會套用自訂屬性。

此組態需要針對您想要套用其他自訂屬性的每個敏感度標籤指定名為 customPropertiesByLabel 的進階設定。 然後針對每個項目,使用以下語法來設定值:

[custom property name],[custom property value]

重要

在字串中使用空白字元會防止套用標籤。

例如:

範例 1:為標籤新增單一自訂屬性

需求:Azure 資訊保護統一標籤用戶端標示為「機密」的檔,應具有名為「分類」且值為「秘密」的其他自訂屬性。

在此範例中:

  • 敏感度標籤名為 機密 ,並建立名為 Classification 的自訂屬性,其值為 Secret

進階設定:

  • 機碼: customPropertiesByLabel

  • 值: 分類,秘密

範例 PowerShell 命令,其中您的標籤名為 「Confidential」:

    Set-Label -Identity Confidential -AdvancedSettings @{customPropertiesByLabel="Classification,Secret"}

範例 2:為標籤新增多個自訂屬性

若要為相同的標籤新增多個自訂屬性,您必須為相同的索引鍵定義多個字串值。

範例 PowerShell 命令,其中您的標籤名為 「General」,而您想要新增一個名為 Classification 的自訂屬性,其值為 General ,而第二個自訂屬性名為 Sensitivity ,其值為 Internal

Set-Label -Identity General -AdvancedSettings @{customPropertiesByLabel=ConvertTo-Json("Classification,General", "Sensitivity,Internal")}

在 Outlook 中設定標籤以套用 S/MIME 保護

此組態會使用您必須使用安全性 & 合規性中心 PowerShell 設定的標籤進階設定

只有在您有可運作的 S/MIME 部署時,才使用這些設定,而且希望標籤自動將此保護方法套用至電子郵件,而不是 Azure 資訊保護的 Rights Management 保護。 產生的保護與使用者從 Outlook 中手動選取 S/MIME 選項是相同的。

設定 索引鍵/值
S/MIME 數位簽章 若要設定 S/MIME 數位簽章的進階設定,請輸入所選標籤的下列字串:

- 機碼: SMimeSign

- 值: True
S/MIME 加密 若要設定 S/MIME 加密的進階設定,請輸入所選標籤的下列字串:

- 機碼: SMimeEncrypt

- 值: True

當使用者在 Outlook 中選取標籤時,會套用您設定的 S/MIME 設定。 如果標籤也設定為您可以在 Microsoft Purview 合規性入口網站 中指定的預設 Rights Management 加密,您的 S/MIME 設定只會取代 Outlook 中的 Rights Management 保護。 對於統一標籤用戶端支援的其他應用程式,用戶端會繼續使用合規性入口網站中指定的加密設定。

如果您只想在 Outlook 中看到標籤,請從[讓使用者指派許可權] 設定 [不要轉寄加密] 選項。

範例 PowerShell 命令,其中您的標籤名為「僅限收件者」:

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeSign="True"}

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeEncrypt="True"}

為父標籤指定預設子標籤

此設定會使用標籤 進階設定 ,您必須使用安全性 & 合規性中心 PowerShell 進行設定。

當您將子標籤新增至標籤時,使用者就無法再將父標籤套用至檔或電子郵件。 根據預設,使用者選取父標籤以查看其可套用的子標籤,然後選取其中一個子標籤。 如果您設定此進階設定,當使用者選取父標籤時,系統會自動選取子標籤,並為其套用:

  • 機碼: DefaultSubLabelId

  • 值:< 子標籤 GUID >

範例 PowerShell 命令,其中您的父標籤名為 「Confidential」 且 「All Employees」 子標籤的 GUID 為 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}

開啟分類以持續在背景執行

此設定會使用標籤 進階設定 ,您必須使用安全性 & 合規性中心 PowerShell 進行設定。

當您設定此設定時,它會變更 Azure 資訊保護統一標籤用戶端將自動和建議標籤套用至檔的預設行為:

針對 Word、Excel 與 PowerPoint,自動分類會在背景持續執行。

針對 Outlook,此行為不會變更。

當 Azure 資訊保護統一標籤用戶端定期檢查檔是否有您指定的條件規則時,只要開啟自動儲存,此行為就會為儲存在 SharePoint 或 OneDrive 中的 Office 檔啟用自動且建議的分類和保護。 大型檔案也會更快速地儲存,因為條件規則已經執行。

條件規則不會即時執行為使用者類型。 相反地,如果修改過文件,則它們會定期執行為背景工作。

若要設定此進階設定,請輸入下列字串:

  • 機碼:RunPolicyInBackground
  • 值: True

範例 PowerShell 命令:

Set-LabelPolicy -Identity PolicyName -AdvancedSettings @{RunPolicyInBackground = "true"}

注意

這項功能目前為「預覽」狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

為標籤指定色彩

此組態會使用您必須使用安全性 & 合規性中心 PowerShell 設定的標籤進階設定

使用此進階設定可設定標籤的色彩。 若要指定色彩,請為色彩的紅色、綠色和藍色 (RGB) 元件輸入十六進位三元碼。 例如,#40e0d0是藍綠色的 RGB 十六進位值。

如果您需要這些程式碼的參考,您會從< MSDN Web 檔的色彩 >頁面找到有用的表格。您也可以在許多可讓您編輯圖片的應用程式中找到這些程式碼。 例如,[Microsoft 小畫家] 可讓您從調色盤選擇自訂色彩,並且會自動顯示 RGB 值,您可以加以複製。

若要設定標籤色彩的進階設定,請輸入所選標籤的下列字串:

  • 索引鍵: 色彩

  • 值:< RGB 十六進位值 >

範例 PowerShell 命令,其中您的標籤名為 「Public」:

Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}

以不同的使用者身分登入

在生產環境中,AIP 不支援使用多個使用者登入。 此程式描述如何以不同的使用者身分登入,僅供測試之用。

您可以使用[Microsoft Azure 資訊保護] 對話方塊來確認您目前登入的帳戶:開啟 Office 應用程式,然後在 [常用] 索引標籤上選取 [敏感度] 按鈕,然後選取 [說明與意見反應]。 您的帳戶名稱會顯示在 [用戶端狀態] 區段中。

請務必同時檢查所顯示已登入帳戶的網域名稱。 使用者很容易在確認帳戶名稱為正確的同時,沒有注意到後方的網域是錯誤的。 使用錯誤的帳戶徵兆包括無法下載標籤,或看不到您預期的標籤或行為。

若要以不同的使用者身分登入

  1. 巡覽至 %localappdata%\Microsoft\MSIP,刪除 TokenCache 檔案。

  2. 重新啟動任何已開啟的 Office 應用程式,然後以不同的使用者帳戶登入。 如果您在 Office 應用程式中看不到登入 Azure 資訊保護 服務的提示,請返回[Microsoft Azure 資訊保護] 對話方塊,然後從更新的[用戶端狀態] 區段中選取 [登入]。

此外:

狀況 描述
仍然登入舊帳戶 如果在完成這些步驟之後,Azure 資訊保護統一標籤用戶端仍使用舊帳戶登入,請從 Internet Explorer 刪除所有 Cookie,然後重複步驟 1 和 2。
使用單一登入 如果您是使用單一登入,則必須在刪除權杖檔案之後登出 Windows,並使用不同的使用者帳戶登入。

Azure 資訊保護統一標籤用戶端接著會使用您目前登入的使用者帳戶自動進行驗證。
不同的租使用者 此解決方案支援以來自相同租用戶的其他使用者身分進行登入。 它不支援以來自不同租用戶的其他使用者身分進行登入。

若要以多個租用戶測試 Azure 資訊保護,請使用不同的電腦。
重設設定 您可以使用 [說明與意見反應] 中的 [重設設定] 選項,從Microsoft Purview 合規性入口網站登出並刪除目前下載的標籤和原則設定。

支援已中斷連線的電腦

重要

下列標籤案例支援已中斷連線的電腦:檔案總管、PowerShell、Office 應用程式和掃描器。

根據預設,Azure 資訊保護統一標籤用戶端會自動嘗試連線到網際網路,以從Microsoft Purview 合規性入口網站下載標籤和標籤原則設定。

如果您有一段時間無法連線到網際網路的電腦,您可以匯出並複製手動管理統一標籤用戶端原則的檔案。

若要支援已中斷連線的電腦與統一標籤用戶端

  1. 選擇或建立 Azure AD 中的使用者帳戶,您將用來下載您想要在中斷連線的電腦上使用的標籤和原則設定。

  2. 作為此帳戶的其他標籤原則設定,請關閉將稽核資料傳送至 Azure 資訊保護分析

    建議您執行此步驟,因為如果中斷連線的電腦有定期網際網路連線,它會將記錄資訊傳送至包含步驟 1 中使用者名稱的 Azure 資訊保護分析。 該使用者帳戶可能與您在已中斷連線的電腦上所使用的本機帳戶不同。

  3. 從具有網際網路連線能力的電腦,其中已安裝統一標籤用戶端,並使用步驟 1 中的使用者帳戶登入,下載標籤和原則設定。

  4. 從這部電腦匯出記錄檔。

    例如,執行Export-AIPLogs Cmdlet,或使用用戶端 [說明與意見反應] 對話方塊中的 [匯出記錄] 選項。

    記錄檔會匯出為單一壓縮檔。

  5. 開啟壓縮檔案,然後從 MSIP 資料夾複製任何副檔名為.xml的檔案。

  6. 將這些檔案貼到已中斷連線之電腦上的 %localappdata%\Microsoft\MSIP 資料夾。

  7. 如果您選擇的使用者帳戶通常是連線到網際網路的使用者帳戶,請將 EnableAudit 值設定為 True,再次啟用傳送稽核資料。

請注意,如果此電腦上的使用者從[說明與意見反應] 中選取 [重設設定] 選項,此動作會刪除原則檔案,並轉譯用戶端無法運作,直到您手動取代檔案或用戶端連線到網際網路並下載檔案為止。

如果您的已中斷連線的電腦正在執行 Azure 資訊保護掃描器,您必須採取其他設定步驟。 如需詳細資訊,請參閱 限制:掃描器伺服器無法 從掃描器部署指示取得網際網路連線。

變更本機記錄層級

根據預設,Azure 資訊保護統一標籤用戶端會將用戶端記錄檔寫入%localappdata%\Microsoft\MSIP資料夾。 這些檔案的目的是供 Microsoft 支援服務進行疑難排解。

若要變更這些檔案的記錄層級,請在登錄中找出下列值名稱,並將值資料設定為必要的記錄層級:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel

將記錄層級設定為下列其中一個值:

  • 關閉:沒有本機記錄。

  • 錯誤:僅限錯誤。

  • 警告:錯誤和警告。

  • 資訊:最小記錄,其中未包含任何事件識別碼, (掃描器的預設設定) 。

  • 偵錯:完整資訊。

  • 追蹤:詳細的記錄 (用戶端) 的預設設定。

此登錄設定不會變更傳送至 Azure 資訊保護以進行集中報告的資訊。

視檔案屬性而定,略過或忽略掃描期間的檔案

此設定會使用您必須使用資訊安全 & 合規性中心 PowerShell 設定的原則進階設定

根據預設,Azure 資訊保護統一標籤掃描器會掃描所有相關檔案。 不過,您可能想要定義要略過的特定檔案,例如已移動的封存檔案或檔案。

使用 ScannerFSAttributesToSkip 進階設定,讓掃描器根據檔案屬性略過特定檔案。 在設定值中,列出可讓檔案在全部設定為 true時略過檔案的檔案屬性。 此檔案屬性清單會使用 AND 邏輯。

下列範例 PowerShell 命令說明如何使用此進階設定搭配名為 「Global」 的標籤。

略過唯讀和封存的檔案

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}

略過唯讀或封存的檔案

若要使用 OR 邏輯,請多次執行相同的屬性。 例如:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}

提示

建議您考慮讓掃描器略過具有下列屬性的檔案:

  • FILE_ATTRIBUTE_SYSTEM
  • FILE_ATTRIBUTE_HIDDEN
  • FILE_ATTRIBUTE_DEVICE
  • FILE_ATTRIBUTE_OFFLINE
  • FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
  • FILE_ATTRIBUTE_RECALL_ON_OPEN
  • FILE_ATTRIBUTE_TEMPORARY

如需可在 ScannerFSAttributesToSkip 進階設定中定義的所有檔案屬性清單,請參閱 Win32 檔案屬性常數

在標籤 (公開預覽期間保留 NTFS 擁有者)

此設定會使用您必須使用資訊安全 & 合規性中心 PowerShell 設定的原則進階設定

根據預設,掃描器、PowerShell 和檔案總管延伸模組標籤不會保留標籤之前定義的 NTFS 擁有者。

若要確保保留 NTFS 擁有者值,請將所選標籤原則的 UseCopyAndPreserveNTFSOwner 進階設定設為 true

警告

只有在您可以確保掃描器與掃描存放庫之間的低延遲、可靠網路連線時,才定義此進階設定。 自動套用標籤程式期間的網路失敗可能會導致檔案遺失。

範例 PowerShell 命令,當您的標籤原則命名為 「Global」 時:

Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}

注意

這項功能目前為「預覽」狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

自訂已修改標籤的理由提示文字

當使用者變更檔和電子郵件上的分類標籤時,自訂 Office 和 AIP 用戶端中顯示的理由提示。

例如,身為系統管理員,您可能想要提醒使用者不要將任何識別資訊的客戶新增到此欄位中:

自訂理由提示文字

若要修改預設顯示 的其他 文字,請使用 JustificationTextForUserText 進階屬性搭配 Set-LabelPolicy Cmdlet。 將值設定為您想要改用的文字。

範例 PowerShell 命令,當您的標籤原則命名為 「Global」 時:

Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}

自訂 Outlook 快顯訊息

AIP 系統管理員可以自訂 Outlook 中向使用者顯示的快顯訊息,例如:

  • 封鎖電子郵件的郵件
  • 提示使用者確認正在傳送內容的警告訊息
  • 要求使用者證明所傳送內容的理由訊息

重要

此程式會覆寫您已使用 OutlookUnlabeledCollaborationAction 進階屬性定義的任何設定。

在生產環境中,建議您避免使用OutlookUnlabeledCollaborationAction進階屬性來定義規則,或使用下面定義的json檔案定義複雜規則,但不要同時使用這兩者。

若要自訂 Outlook 快顯訊息

  1. 建立 .json 檔案,每個檔案都有一個規則,可設定 Outlook 向使用者顯示快顯訊息的方式。 如需詳細資訊,請參閱 規則值 .json 語法範例快顯自訂 .json 程式碼

  2. 使用 PowerShell 定義進階設定,以控制您要設定的快顯訊息。 針對您想要設定的每個規則執行個別的命令集。

    每個 PowerShell 命令集合都必須包含您要設定的原則名稱,以及定義規則的索引鍵和值。

    使用下列語法:

    $filedata = Get-Content "<Path to json file>"
    Set-LabelPolicy -Identity <Policy name> -AdvancedSettings @{<Key> ="$filedata"}
    

    其中:

    • <Path to json file> 是您所建立 json 檔案的路徑。 例如: C:\Users\msanchez\Desktop\ \dlp\OutlookCollaborationRule_1.json

    • <Policy name> 是您想要設定的原則名稱。

    • <Key> 是您規則的名稱。 使用下列語法,其中< # >是您規則的序號:

      OutlookCollaborationRule_<#>

    如需詳細資訊,請參閱 排序 Outlook 自訂規則規則值 json 語法

秘訣

針對其他組織,請將檔案命名為與 PowerShell 命令中使用的金鑰相同的字串。 例如,將檔案命名 為 OutlookCollaborationRule_1.json,然後使用 OutlookCollaborationRule_1 作為金鑰。

若要確保即使從 Outlook 外部共用檔,仍會顯示快顯 (檔案 > 共用 > 附加 複本) ,也會設定 PostponeMandatoryBeforeSave 進階設定。

訂購 Outlook 自訂規則

AIP 會使用您輸入的索引鍵中的序號來判斷規則的處理順序。 定義用於每個規則的索引鍵時,請以較低的數位定義更嚴格的規則,後面接著具有較高數位的限制規則。

找到特定規則比對之後,AIP 會停止處理規則,並執行與比對規則相關聯的動作。 (第一個比對 - > 結束 邏輯)

範例

假設您想要設定所有具有特定警告訊息的內部電子郵件,但通常不想封鎖這些電子郵件。 不過,您確實想要封鎖使用者傳送分類為 秘密的附件,甚至是 內部 電子郵件。

在此案例中,請先排序您的 封鎖秘密 規則金鑰,這是更特定的規則,再排序更一般的 內部 規則金鑰警告:

  • 針對 封鎖 訊息: OutlookCollaborationRule_1
  • 針對 警告 訊息: OutlookCollaborationRule_2

規則值 .json 語法

定義規則的 json 語法,如下所示:

"type" : "And",
"nodes" : []

您必須至少有兩個節點,第一個節點代表規則的條件,最後一個代表規則的動作。 如需詳細資訊,請參閱

規則條件語法

規則條件節點必須包含節點類型,然後包含條件本身。

支援的節點類型包括:

節點類型 描述
在所有子節點上執行
Or 在所有子節點上執行
Not 針對自己的 子系執行
除了 針對自己的子系 傳回 , 導致其行為為 All
SentTo,後面接著 Domains:listOfDomains 檢查下列其中一項:
- 如果父系為 Except,檢查 所有 收件者是否位於其中一個網域中
- 如果父系是任何其他專案, 但 Except,會檢查 任何 收件者是否位於其中一個網域中。
EMailLabel,後面接著標籤 下列其中之一:
- 標籤識別碼
- null,如果未加上標籤
AttachmentLabel,後面接著 Label 和支援的 延伸模組 下列其中之一:

true
- 如果父系為 Except,檢查標籤中是否有一個支援延伸模組 的所有 附件
- 如果父系是任何其他專案, 但例外,檢查標籤中是否有 任何 具有一個支援延伸模組的附件
- 如果未加上標籤,且 label = null

false:針對所有其他案例

注意:如果 Extensions 屬性是空的或遺失的,規則中會包含所有 支援的檔案類型 (副檔名)

規則動作語法

規則動作可以是下列其中一項:

動作 Syntax 範例訊息
封鎖 Block (List<language, [title, body]>) 已封鎖Email

您即將將分類為 秘密 的內容傳送給一或多個不受信任的收件者:
rsinclair@contoso.com

您的組織原則不允許此動作。 請考慮移除這些收件者或取代內容。
警告 Warn (List<language,[title,body]>) 需要確認

您即將將分類為 一般 的內容傳送給一或多個不受信任的收件者:
rsinclair@contoso.com

您的組織原則需要確認,才能傳送此內容。
證明 Justify (numOfOptions, hasFreeTextOption, List<language, [Title, body, options1,options2….]> )

最多包含三個選項。
必要理由

您的組織原則需要理由,才能將分類為 一般 的內容傳送給不受信任的收件者。

- 我確認收件者已核准共用此內容
- 我的經理已核准共用此內容
- 其他,如所述
動作參數

如果未提供動作的參數,快顯將會有預設文字。

所有文字都支援下列動態參數:

參數 描述
${MatchedRecipientsList} SentTo條件的最後一個相符專案
${MatchedLabelName} 郵件/附件 標籤,具有來自原則的當地語系化名稱
${MatchedAttachmentName} AttachmentLabel條件最後一個相符專案的附件名稱

注意

所有訊息都包含 [ 告知我更多 ] 選項,以及 [ 說明 ] 和 [ 意見 反應] 對話方塊。

Language是地區設定名稱的 CultureName,例如:英文 = en-us ;西班牙文 = es-es

也支援僅父語言名稱,例如 en 僅支援。

範例快顯自訂 .json 程式碼

下列 .json 程式碼集示範如何定義各種規則,以控制 Outlook 如何為您的使用者顯示快顯訊息。

範例 1:封鎖內部電子郵件或附件

下列 .json 程式碼會封鎖分類為 內部 的電子郵件或附件,而無法設定為外部收件者。

在此範例中, 89a453df-5df4-4976-8191-259d0cf9560a內部 標籤的識別碼,而內部網域包括 contoso.commicrosoft.com

由於未指定任何特定副檔名,因此會包含所有支援的檔案類型。

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			  "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel", 			
					"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a" 		
				},{ 					
                    "type" : "EmailLabel", 					
                    "LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a" 				
                }
			]
		},		
        { 			
            "type" : "Block", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Email Blocked", 				  
                    "Body": "The email or at least one of the attachments is classified as <Bold>${MatchedLabelName}</Bold>. Documents classified as <Bold> ${MatchedLabelName}</Bold> cannot be sent to external recipients (${MatchedRecipientsList}).<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance with classification requirements as per Contoso's policies." 				
                }, 				
                "es-es": { 				  
                    "Title": "Correo electrónico bloqueado", 				  
                    "Body": "El correo electrónico o al menos uno de los archivos adjuntos se clasifica como <Bold> ${MatchedLabelName}</Bold>." 				
                } 			
            }, 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

範例 2:封鎖未分類的 Office 附件

下列 .json 程式碼會封鎖未分類的 Office 附件或電子郵件傳送給外部收件者。

在下列範例中, 需要標記的附件清單為: .doc,.docm,.docx,.dot,.dotm,.dotx,.potm,.potx,.pps,.ppsm,.ppsx,.ppt,.pptm,.pptx,.vdw,.vsd,.vsdm,.vsdx,.vssm,.vst,.vstm,.vssx,.vstx,.xls,.xlsb,.xlt,.xlsm,.xlsx,.xltm,.xltx

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			        "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel",
					 "LabelId" : null,
					"Extensions": [
									".doc",
									".docm",
									".docx",
									".dot",
									".dotm",
									".dotx",
									".potm",
									".potx",
									".pps",
									".ppsm",
									".ppsx",
									".ppt",
									".pptm",
									".pptx",
									".vdw",
									".vsd",
									".vsdm",
									".vsdx",
									".vss",
									".vssm",
									".vst",
									".vstm",
									".vssx",
									".vstx",
									".xls",
									".xlsb",
									".xlt",
									".xlsm",
									".xlsx",
									".xltm",
									".xltx"
								 ]
					
				},{ 					
                    "type" : "EmailLabel",
					 "LabelId" : null
                }
			]
		},		
        { 			
            "type" : "Block", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Emailed Blocked", 				  
                    "Body": "Classification is necessary for attachments to be sent to external recipients.<br><br>List of attachments that are not classified:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br>For MS Office documents, classify and send again.<br><br>For PDF files, classify the document or classify the email (using the most restrictive classification level of any single attachment or the email content) and send again." 				
                }, 				
                "es-es": { 				  
                    "Title": "Correo electrónico bloqueado", 				  
                    "Body": "La clasificación es necesaria para que los archivos adjuntos se envíen a destinatarios externos." 				
                } 			
            }, 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

範例 3:要求使用者接受傳送機密電子郵件或附件

下列範例會讓 Outlook 顯示一則訊息,警告使用者他們傳送 機密 電子郵件或附件給外部收件者,而且也需要使用者選取 [我接受]。

這種警告訊息在技術上被視為理由,因為使用者必須選取 [我接受]。

由於未指定任何特定副檔名,因此會包含所有支援的檔案類型。

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			        "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel", 			
					"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613" 		
				},{ 					
                    "type" : "EmailLabel", 					
                    "LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613" 				
                }
			]
		},		
        { 			
            "type" : "Justify", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Warning", 				  
                    "Body": "You are sending a document that is classified as <Bold>${MatchedLabelName}</Bold> to at least one external recipient. Please make sure that the content is correctly classified and that the recipients are entitled to receive this document.<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><Bold>List of external email addresses:</Bold><br>${MatchedRecipientsList})<br><br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br><Bold>Acknowledgement</Bold><br>By clicking <Bold>I accept</Bold> below, you confirm that the recipient is entitled to receive the content and the communication complies with CS Policies and Standards",
					"Options": [ 						
                        "I accept"			    
                    ] 
                }, 				
                "es-es": { 				  
                    "Title": "Advertencia", 				  
                    "Body": "Está enviando un documento clasificado como <Bold>${MatchedLabelName}</Bold> a al menos un destinatario externo. Asegúrese de que el contenido esté correctamente clasificado y que los destinatarios tengan derecho a recibir este documento.",
                    "Options": [ 						
                        "Acepto"				    
                    ] 					
                } 			
            }, 			
            "HasFreeTextOption":"false", 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

範例 4:在沒有標籤的郵件上發出警告,以及具有特定標籤的附件

下列 .json 程式碼 會導致 Outlook 在傳送內部電子郵件時警告使用者沒有標籤,且附件具有特定標籤。

在此範例中, bcbef25a-c4db-446b-9496-1b558d9edd0e 是附件標籤的識別碼,而規則適用于.docx、.xlsx和.pptx檔案。

根據預設,具有標籤附件的電子郵件不會自動收到相同的標籤。

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "EmailLabel",
					 "LabelId" : null			
        },
        {
          "type": "AttachmentLabel",
          "LabelId": "bcbef25a-c4db-446b-9496-1b558d9edd0e",
          "Extensions": [
                ".docx",
                ".xlsx",
                ".pptx"
             ]
        },
	{  			
            "type" : "SentTo",  			
            "Domains" : [  				
                "contoso.com", 				
            ]   		
        }, 		
        { 			
            "type" : "Warn"	
        } 	
    ] 
}

範例 5:提示輸入理由,其中包含兩個預先定義的選項,以及額外的自由文字選項

下列 .json 程式碼會導致 Outlook 提示使用者提出其動作的理由。 理由文字包含兩個預先定義的選項,以及第三個自由文字選項。

由於未指定任何特定副檔名,因此會包含所有支援的檔案類型。

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 									
                ]   			
            } 		
        }, 		
        { 			
            "type" : "EmailLabel", 			
            "LabelId" : "34b8beec-40df-4219-9dd4-553e1c8904c1" 		
        }, 		
        { 			
            "type" : "Justify", 			
            "LocalizationData": { 				
                "en-us": { 					
                    "Title": "Justification Required", 					
                    "Body": "Your organization policy requires justification for you to send content classified as <Bold> ${MatchedLabelName}</Bold>,to untrusted recipients:<br>Recipients are: ${MatchedRecipientsList}", 					
                    "Options": [ 						
                        "I confirm the recipients are approved for sharing this content", 					
                        "My manager approved sharing of this content", 						
                        "Other, as explained" 				    
                    ] 				
                }, 				
                "es-es": { 				    
                    "Title": "Justificación necesaria", 				    
                    "Body": "La política de su organización requiere una justificación para que envíe contenido clasificado como <Bold> ${MatchedLabelName}</Bold> a destinatarios que no sean de confianza.", 				    
                    "Options": [ 						
                        "Confirmo que los destinatarios están aprobados para compartir este contenido.",
                        "Mi gerente aprobó compartir este contenido",
                        "Otro, como se explicó" 					
                    ] 				
                } 			
            }, 			
            "HasFreeTextOption":"true", 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

設定 SharePoint 逾時

根據預設,SharePoint 互動的逾時是兩分鐘,之後嘗試的 AIP 作業就會失敗。

從 2.8.85.0 版開始,AIP 系統管理員可以使用下列進階屬性來控制此逾時,使用 hh:mm:ss 語法來定義逾時:

  • SharepointWebRequestTimeout。 決定對 SharePoint 的所有 AIP Web 要求逾時。 預設值 = 2 分鐘。

    例如,如果您的原則命名為 Global,下列範例 PowerShell 命令會將 Web 要求逾時更新為 5 分鐘。

    Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}
    
  • SharepointFileWebRequestTimeout。 決定透過 AIP Web 要求特別針對 SharePoint 檔案的逾時。 預設值 = 15 分鐘

    例如,如果您的原則命名為 Global,下列範例 PowerShell 命令會將檔案 Web 要求逾時更新為 10 分鐘。

    Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
    

避免 SharePoint 中的掃描器逾時

如果您在 SharePoint 2013 版或更新版本中有長檔案路徑,請確定 SharePoint 伺服器的 HTTPRuntime.maxUrlLength 值大於預設的 260 個字元。

此值定義于組態的 ASP.NETHttpRuntimeSection類別中。

若要更新 HttpRuntimeSection 類別

  1. 備份 您的web.config 組態。

  2. 視需要更新 maxUrlLength 值。 例如:

    <httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000"  />
    
  3. 重新開機您的 SharePoint 網頁伺服器,並確認它是否已正確載入。

    例如,在 Windows Internet Information Servers (IIS) Manager 中,選取您的網站,然後在 [ 管理網站] 底下,選取 [ 重新開機]。

防止 S/MIME 電子郵件的 Outlook 效能問題

當 S/MIME 電子郵件在讀取窗格中開啟時,Outlook 可能會發生效能問題。 若要避免這些問題,請啟用 OutlookSkipSmimeOnReadingPaneEnabled 進階屬性。

啟用此屬性可防止 AIP 列和電子郵件分類顯示在 [讀取窗格] 中。

例如,如果您的原則命名為 Global,下列範例 PowerShell 命令會啟用 OutlookSkipSmimeOnReadingPaneEnabled 屬性:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookSkipSmimeOnReadingPaneEnabled="true"}

關閉檔追蹤功能

根據預設,您的租使用者會開啟檔追蹤功能。 若要關閉它們,例如貴組織或區域中的隱私權需求,請將 EnableTrackAndRevoke 值設定為 False

關閉之後,您的組織將不再提供檔追蹤資料,而且使用者將不再在其 Office 應用程式中看到 [撤銷 ] 功能表選項。

針對選取的標籤原則,指定下列字串:

  • 機碼: EnableTrackAndRevoke

  • 值:False

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableTrackAndRevoke="False"}

將此值設定為 False之後,會關閉追蹤和撤銷,如下所示:

  • 使用 AIP 統一標籤用戶端開啟受保護的檔,不再註冊用於追蹤和撤銷的檔。
  • 終端使用者將不再在其 Office 應用程式中看到 [撤銷 ] 功能表選項。

不過,已註冊追蹤的受保護檔將會繼續追蹤,而且系統管理員仍然可以撤銷 PowerShell 的存取權。 若要完全關閉追蹤和撤銷功能,請同時執行 Disable-AipServiceDocumentTrackingFeature Cmdlet。

此設定會使用您必須使用資訊安全 & 合規性中心 PowerShell 設定的原則進階設定

秘訣

若要重新開啟追蹤並撤銷,請將 EnableTrackAndRevoke 設定為 True,同時執行 Enable-AipServiceDocumentTrackingFeature Cmdlet。

關閉 Office 應用程式中終端使用者的 [撤銷] 選項

如果您不想讓使用者能夠撤銷其 Office 應用程式的受保護檔存取權,您可以從 Office 應用程式移除 [撤銷存取 權] 選項。

注意

移除 [撤銷存取 權] 選項會繼續在背景追蹤受保護的檔,並保留系統管理員透過 PowerShell撤銷檔的存取權。

針對選取的標籤原則,指定下列字串:

  • 機碼: EnableRevokeGuiSupport

  • 值:False

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}

在 Office 檔案上設定自動標記逾時

根據預設,掃描器在 Office 檔案上的自動標籤逾時為 3 秒。

如果您有含有許多工作表或資料列的複雜 Excel 檔案,則 3 秒可能不足以自動套用標籤。 若要增加所選標籤原則的這個逾時,請指定下列字串:

  • 機碼: OfficeContentExtractionTimeout

  • 值:秒,格式如下: hh:mm:ss

重要

我們建議您不要將此逾時提升為高於 15 秒。

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}

更新的逾時適用于所有 Office 檔案的自動標籤。

開啟公開預覽版 (分類全球化功能)

分類全球化功能,包括增加東亞語言的精確度,以及雙位元組字元的支援。 這些增強功能僅適用于 64 位進程,預設會關閉。

為您的原則開啟這些功能,請指定下列字串:

  • 機碼: EnableGlobalization

  • 值:True

範例 PowerShell 命令,其中您的標籤原則名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}

若要再次關閉支援並還原為預設值,請將 EnableGlobalization 進階設定設為空字串。

下一步

既然您已自訂 Azure 資訊保護統一標籤用戶端,請參閱下列資源,以取得您可能需要支援此用戶端的其他資訊: