Microsoft Purview Information Protection 用戶端的進階設定
本文包含當您使用下列 Cmdlet 時,Microsoft Purview 資訊保護客戶端所支援的安全性 & 合規性 PowerShell 進階設定:
Microsoft 365 應用程式和服務內建的敏感度標籤所支援的進階設定會包含在 Cmdlet 頁面本身。 您也可以找到用於 指定進階設定的實用 PowerShell 秘訣。
| 卷標的進階設定 | 描述 |
|---|---|
| Color | 指定標籤的色彩 |
| DefaultSubLabelId | 指定父卷標的預設子捲標 |
| 卷標原則的進階設定 | 描述 |
|---|---|
| AdditionalPPrefixExtensions | 支援變更 <EXT>。PFILE 至 P<EXT> |
| EnableAudit | 防止將稽核數據傳送至 Microsoft Purview |
| EnableContainerSupport | 啟用從 PST、rar、7zip 和 MSG 檔案移除加密的功能 |
| EnableCustomPermissions | 關閉檔案總管中的自定義許可權 |
| EnableCustomPermissionsForCustomProtectedFiles | 針對使用自定義許可權加密的檔案,一律在檔案總管中向用戶顯示自定義許可權 |
| EnableGlobalization | 開啟分類全球化功能 |
| JustificationTextForUserText | 自定義已修改標籤的理由提示文字 |
| LogMatchedContent | 將資訊類型相符項目傳送至 Microsoft Purview |
| OfficeContentExtractionTimeout | 設定 Office 檔案的自動套用標籤逾時 |
| PFileSupportedExtensions | 變更要保護的文件類型 |
| ReportAnIssueLink | 為使用者新增「回報問題」 |
| ScannerMaxCPU | 限制CPU耗用量 |
| ScannerMinCPU | 限制CPU耗用量 |
| ScannerConcurrencyLevel | 限制掃描器使用的線程數目 |
| ScannerFSAttributesToSkip | 視檔屬性而定,在掃描期間略過或忽略檔案) |
| SharepointWebRequestTimeout | 設定 SharePoint 逾時 |
| SharepointFileWebRequestTimeout | 設定 SharePoint 逾時 |
| UseCopyAndPreserveNTFSOwner | 在標記期間保留NTFS擁有者 |
AdditionalPPrefixExtensions
要變更 <EXT> 的進階屬性。檔案總管、PowerShell 和掃描器支援 PFILE 到 P<EXT> 。 所有應用程式都有類似的行為。
索引鍵: AdditionalPPrefixExtensions
值: <字串值>
使用下表來識別要指定的字串值:
| 字串值 | 用戶端和掃描器 |
|---|---|
| * | 所有 PFile 延伸模組都會變成 P<EXT> |
| <null 值> | 預設值的行為與預設加密值類似。 |
| ConvertTo-Json (“.dwg”、“.zip”) | 除了上一個清單之外,“.dwg” 和 “.zip” 也會變成 P<EXT> |
使用此設定, 下列延伸模組一律會變成 P<EXT>:“.txt”、“.xml”、“.bmp”、“.jt”、“.jpg”、“.jpeg”、“.jpe”、“.jif”、“.jfif”、“.jfif”、“.jfi”、“.png”、“.tif”、“.tiff”、“.gif”) 。 值得注意的排除是“ptxt” 不會變成 “txt.pfile”。
此設定需要啟用進階設定 PFileSupportedExtension 。
範例 1:P owerShell 命令的行為與保護 “.dwg” 變成 “.dwg.pfile” 的默認行為類似:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}
範例 2:當檔案加上標籤並加密時,將所有 PFile 延伸模組從一般加密變更為原生加密的 PowerShell 命令:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}
範例 3:使用此服務保護此檔案時,將 “.dwg” 變更為 “.pdwg” 的 PowerShell 命令:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}
色彩
使用此進階設定來設定標籤的色彩。 若要指定色彩,請輸入色彩的紅色、綠色和藍色 (RGB) 元件的十六進位三進位程序代碼。 例如,#40e0d0 是青綠色的 RGB 十六進位值。
如果您需要這些程式代碼的參考,您會從 MSDN Web 檔的 <色彩> 頁面中找到實用的數據表。您也會在許多可讓您編輯圖片的應用程式中找到這些程式代碼。 例如,Microsoft 小畫家可讓您從調色板選擇自訂色彩,並自動顯示 RGB 值,然後您可以複製該色彩。
若要設定標籤色彩的進階設定,請為選取的標籤輸入下列字串:
索引鍵: 色彩
值: <RGB 十六進位值>
PowerShell 命令範例,您的標籤命名為 “Public”:
Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}
DefaultSubLabelId
當您將子卷標新增至標籤時,用戶無法再將父標籤套用至檔案或電子郵件。 根據預設,用戶會選取父卷標來查看可以套用的子捲標,然後選取其中一個子捲標。 如果您設定此進階設定,當使用者選取父標籤時,系統會自動為其選取並套用子捲標:
機碼: DefaultSubLabelId
值: <子卷標 GUID>
範例 PowerShell 命令,其中您的父卷標命名為「機密」,而「所有員工」子捲標的 GUID 為 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
EnableAudit
根據預設,資訊保護用戶端會將稽核數據傳送至 Purview Microsoft,您可以在 活動總管中檢視此數據。
若要變更此行為,請使用下列進階設定:
密鑰: EnableAudit
值: False
例如,如果您的標籤原則命名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}
然後在執行資訊保護用戶端的本機計算機上,刪除下列資料夾: %localappdata%\Microsoft\MSIP\mip
若要讓用戶端再次傳送稽核記錄數據,請將進階設定值變更為 True。 您不需要在用戶端電腦上再次手動建立 %localappdata%\Microsoft\MSIP\mip 資料夾。
EnableContainerSupport
此設定可讓資訊保護用戶端從 PST、rar 和 7zip 檔案中移除加密。
密鑰: EnableContainerSupport
值: True
例如,如果您的標籤原則命名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}
EnableCustomPermissions
根據預設,用戶在檔案總管中以滑鼠右鍵按下檔案捲標器時,會看到名為 [ 使用自定義 許可權保護] 的選項。 此選項可讓他們設定自己的加密設定,以覆寫標籤業態中可能包含的任何加密設定。 使用者也可以看到移除加密的選項。 當您設定此設定時,使用者不會看到這些選項。
使用下列設定,讓使用者看不到這些選項:
機碼: EnableCustomPermissions
值: False
範例 PowerShell 命令,您的標籤原則命名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
EnableCustomPermissionsForCustomProtectedFiles
當您設定進階用戶端設定 EnableCustomPermissions 以關閉檔案總管中的自定義許可權時,根據預設,用戶無法查看或變更已在加密文件中設定的自定義許可權。
不過,您可以指定另一個進階用戶端設定,讓在此案例中,用戶可以在使用 [檔案總管] 並以滑鼠右鍵按兩下檔案時,查看並變更加密檔的自定義許可權。
機碼: EnableCustomPermissionsForCustomProtectedFiles
值: True
範例 PowerShell 命令,您的標籤原則命名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}
EnableGlobalization
分類全球化功能,包括提高東亞語言的精確度,以及支援雙位元組位元。 這些增強功能僅針對 64 位進程提供,預設會關閉。
為您的原則開啟這些功能,請指定下列字串:
索引鍵: EnableGlobalization
值:
True
範例 PowerShell 命令,您的標籤原則命名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}
若要再次關閉支援並還原為預設值,請將 EnableGlobalization 進階設定設為空字串。
JustificationTextForUserText
自定義使用者變更檔案上的敏感度標籤時所顯示的理由提示。
例如,身為系統管理員,您可能想要提醒使用者不要在此欄位中新增任何客戶識別資訊。
若要修改使用者可以在對話框中選取的預設 [ 其他 ] 選項,請使用 JustificationTextForUserText 進階設定。 將值設定為您想要改用的文字。
範例 PowerShell 命令,您的標籤原則命名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
LogMatchedContent
根據預設,資訊保護用戶端不會將敏感性資訊類型的內容相符專案傳送至 Microsoft Purview,然後可以在 活動總管中顯示。 掃描器一律會傳送這項資訊。 如需可傳送之其他資訊的詳細資訊,請參閱 內容相符專案以進行更深入的分析。
若要在傳送敏感性資訊類型時傳送內容相符專案,請在標籤原則中使用下列進階設定:
索引鍵: LogMatchedContent
值: True
範例 PowerShell 命令,您的標籤原則命名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}
OfficeContentExtractionTimeout
根據預設,掃描器在 Office 檔案上的自動套用標籤逾時為 3 秒。
如果您有包含許多工作表或數據列的複雜 Excel 檔案,3 秒可能不足以自動套用標籤。 若要針對選取的標籤原則增加此逾時,請指定下列字串:
密鑰: OfficeContentExtractionTimeout
值:秒,格式如下:
hh:mm:ss。
重要事項
建議您不要將此逾時時間提高至15秒以上。
範例 PowerShell 命令,您的標籤原則命名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}
更新的逾時適用於所有 Office 檔案上的自動套用標籤。
PFileSupportedExtensions
使用此設定,您可以變更要加密的文件類型,但無法將預設加密層級從原生變更為泛型。 例如,對於執行檔案捲標器的使用者,您可以變更預設設定,只加密 Office 檔案和 PDF 檔案,而不是所有文件類型。 但您無法將這些文件類型變更為以 .pfile 擴展名進行一般加密。
機碼: PFileSupportedExtensions
值: <字串值>
使用下表來識別要指定的字串值:
| 字串值 | 用戶端 | 掃描器 |
|---|---|---|
| * | 預設值:將加密套用至所有文件類型 | 將加密套用至所有文件類型 |
| ConvertTo-Json (“.jpg”、“.png”) | 除了 Office 檔類型和 PDF 檔案,請將加密套用至指定的擴展名 | 除了 Office 檔類型和 PDF 檔案,請將加密套用至指定的擴展名 |
範例 1:掃描器的 PowerShell 命令,可加密所有文件類型,其中您的卷標原則命名為 “Scanner”:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
範例 2:掃描器的 PowerShell 命令,除了 Office 檔案和 PDF 檔案之外,.txt 檔案和 .csv 檔案加密,其中卷標原則命名為 “Scanner”:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}
ReportAnIssueLink
當您指定下列進階用戶端設定時,使用者會看到 [ 回報問題 ] 選項,他們可以從檔案捲標器的 [ 說明和意見 反應] 用戶端對話框中選取此選項。 指定連結的 HTTP 字串。 例如,您擁有供使用者回報問題的自定義網頁,或傳送至技術支援中心的電子郵件位址。
若要設定此進階設定,請針對選取的標籤原則輸入下列字串:
機碼: ReportAnIssueLink
值: <HTTP 字串>
網站的範例值: https://support.contoso.com
電子郵件地址的範例值: mailto:helpdesk@contoso.com
範例 PowerShell 命令,您的標籤原則命名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}
ScannerMaxCPU
重要事項
建議您使用 ScannerMaxCPU 和 ScannerMinCPU 進階設定來限制 CPU 耗用量,而不是支援回溯相容性的 ScannerConcurrencyLevel 。
如果指定較舊的進階設定,則會忽略 ScannerMaxCPU 和 ScannerMinCPU 進階設定。
使用此進階設定搭配 ScannerMinCPU 來限制掃描器電腦上的 CPU 耗用量。
機碼: ScannerMaxCPU
值: <數位>**
值預設為 100 ,這表示沒有 CPU 耗用量上限。 在此情況下,掃描器程式會嘗試使用所有可用的CPU時間,將掃描速率最大化。
如果您將 ScannerMaxCPU 設定為小於 100,掃描器會監視過去 30 分鐘的 CPU 耗用量。 如果平均 CPU 超過您設定的限制,它就會開始減少配置給新檔案的線程數目。
只要 CPU 耗用量高於 ScannerMaxCPU 所設定的限制,線程數目的限制就會繼續。
ScannerMinCPU
重要事項
建議您使用 ScannerMaxCPU 和 ScannerMinCPU 進階設定來限制 CPU 耗用量,而不是支援回溯相容性的 ScannerConcurrencyLevel 。
如果指定較舊的進階設定,則會忽略 ScannerMaxCPU 和 ScannerMinCPU 進階設定。
只有在 ScannerMaxCPU 不等於 100,而且無法設定為高於 ScannerMaxCPU 值的數位時才使用。
建議您將 ScannerMinCPU 設定至少低於 ScannerMaxCPU 值 15 點。
值預設為 50,這表示如果過去 30 分鐘內的 CPU 耗用量低於此值,掃描器就會開始新增線程以平行方式掃描更多檔案,直到 CPU 耗用量達到您為 ScannerMaxCPU-15 設定的層級為止。
ScannerConcurrencyLevel
重要事項
建議您使用 ScannerMaxCPU 和 ScannerMinCPU 進階設定來限制 CPU 耗用量,而不是支援回溯相容性的 ScannerConcurrencyLevel 。
指定這個較舊的進階設定時,會忽略 ScannerMaxCPU 和 ScannerMinCPU 進階設定。
根據預設,掃描器會使用執行掃描器服務之計算機上所有可用的處理器資源。 如果您需要在掃描此服務時限制 CPU 耗用量,請指定掃描器可以平行執行的並行線程數目。 掃描器會針對掃描的每個檔案使用個別的線程,因此此節流設定也會定義可平行掃描的檔案數目。
當您第一次設定測試的值時,建議您為每個核心指定 2 個,然後監視結果。 例如,如果您在具有 4 個核心的電腦上執行掃描器,請先將值設定為 8。 如有必要,請根據掃描器計算機所需的效能和掃描速率,增加或減少該數目。
機碼: ScannerConcurrencyLevel
值:<並行線程數>目
範例 PowerShell 命令,其中您的標籤原則命名為 “Scanner”:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}
ScannerFSAttributesToSkip
根據預設,資訊保護掃描器會掃描所有相關的檔案。 不過,您可能想要定義要略過的特定檔案,例如已封存的檔案或已移動的檔案。
讓掃描儀使用 ScannerFSAttributesToSkip 進階設定,根據檔案屬性略過特定檔案。 在設定值中,列出當檔案全部設定為 true 時,可略過檔案的文件屬性。 此檔案屬性清單使用 AND 邏輯。
範例 PowerShell 命令,其中您的標籤原則命名為 「Global」。。
略過只讀和封存的檔案
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}
略過只讀或封存的檔案
若要使用 OR 邏輯,請多次執行相同的屬性。 例如:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}
提示
建議您考慮讓掃描器略過具有下列屬性的檔案:
- FILE_ATTRIBUTE_SYSTEM
- FILE_ATTRIBUTE_HIDDEN
- FILE_ATTRIBUTE_DEVICE
- FILE_ATTRIBUTE_OFFLINE
- FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
- FILE_ATTRIBUTE_RECALL_ON_OPEN
- FILE_ATTRIBUTE_TEMPORARY
如需所有可在 ScannerFSAttributesToSkip 進階設定中定義的文件屬性清單,請參閱 Win32 檔屬性常數
SharepointWebRequestTimeout
根據預設,SharePoint 互動的逾時是兩分鐘,之後嘗試的信息保護客戶端作業就會失敗。 使用 SharepointWebRequestTimeout 和 SharepointFileWebRequestTimeout 進階設定來控制此逾時,使用 hh:mm:ss 語法來定義逾時。
指定值,以判斷 SharePoint 的所有資訊保護用戶端 Web 要求逾時。 預設值為分鐘數。
例如,如果您的原則名為 Global,下列範例 PowerShell 命令會將 Web 要求逾時更新為 5 分鐘。
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}
SharepointFileWebRequestTimeout
根據預設,SharePoint 互動的逾時是兩分鐘,之後嘗試的信息保護客戶端作業就會失敗。 使用 SharepointWebRequestTimeout 和 SharepointFileWebRequestTimeout 進階設定來控制此逾時,使用 hh:mm:ss 語法來定義逾時。
透過資訊保護用戶端 Web 要求指定 SharePoint 檔案的逾時值。 預設值為15分鐘。
例如,如果您的原則名為 Global,下列範例 PowerShell 命令會將檔案 Web 要求逾時更新為 10 分鐘。
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
UseCopyAndPreserveNTFSOwner
注意事項
這項功能目前為預覽狀態。 Azure 預覽補充條款包含適用於 Beta、預覽或尚未正式發行之 Azure 功能的其他法律條款。
根據預設,資訊保護用戶端不會保留套用敏感度標籤之前所定義的NTFS擁有者。
若要確保保留NTFS擁有者值,請將所選標籤原則的 UseCopyAndPreserveNTFSOwner 進階設定設為 true 。
注意
掃描器:只有當您可以確保掃描器與掃描存放庫之間的低延遲、可靠網路連線時,才定義此進階設定。 在自動標記程式期間發生網路失敗,可能會導致檔案遺失。
PowerShell 命令範例,您的卷標原則命名為 “Global”
Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}