共用方式為


Microsoft Purview Information Protection 用戶端的進階設定

本文包含當您使用下列 Cmdlet 時,Microsoft Purview 資訊保護客戶端所支援的安全性 & 合規性 PowerShell 進階設定:

Microsoft 365 應用程式和服務內建的敏感度標籤所支援的進階設定會包含在 Cmdlet 頁面本身。 您也可以找到用於 指定進階設定的實用 PowerShell 秘訣

卷標的進階設定 描述
Color 指定標籤的色彩
DefaultSubLabelId 指定父卷標的預設子捲標
卷標原則的進階設定 描述
AdditionalPPrefixExtensions 支援變更 <EXT>。PFILE 至 P<EXT>
EnableAudit 防止將稽核數據傳送至 Microsoft Purview
EnableContainerSupport 啟用從 PST、rar、7zip 和 MSG 檔案移除加密的功能
EnableCustomPermissions 關閉檔案總管中的自定義許可權
EnableCustomPermissionsForCustomProtectedFiles 針對使用自定義許可權加密的檔案,一律在檔案總管中向用戶顯示自定義許可權
EnableGlobalization 開啟分類全球化功能
JustificationTextForUserText 自定義已修改標籤的理由提示文字
LogMatchedContent 將資訊類型相符項目傳送至 Microsoft Purview
OfficeContentExtractionTimeout 設定 Office 檔案的自動套用標籤逾時
PFileSupportedExtensions 變更要保護的文件類型
ReportAnIssueLink 為使用者新增「回報問題」
ScannerMaxCPU 限制CPU耗用量
ScannerMinCPU 限制CPU耗用量
ScannerConcurrencyLevel 限制掃描器使用的線程數目
ScannerFSAttributesToSkip 視檔屬性而定,在掃描期間略過或忽略檔案)
SharepointWebRequestTimeout 設定 SharePoint 逾時
SharepointFileWebRequestTimeout 設定 SharePoint 逾時
UseCopyAndPreserveNTFSOwner 在標記期間保留NTFS擁有者

AdditionalPPrefixExtensions

要變更 <EXT> 的進階屬性。檔案總管、PowerShell 和掃描器支援 PFILE 到 P<EXT> 。 所有應用程式都有類似的行為。

  • 索引鍵: AdditionalPPrefixExtensions

  • 值: <字串值>

使用下表來識別要指定的字串值:

字串值 用戶端和掃描器
* 所有 PFile 延伸模組都會變成 P<EXT>
<null 值> 預設值的行為與預設加密值類似。
ConvertTo-Json (“.dwg”、“.zip”) 除了上一個清單之外,“.dwg” 和 “.zip” 也會變成 P<EXT>

使用此設定, 下列延伸模組一律會變成 P<EXT>:“.txt”、“.xml”、“.bmp”、“.jt”、“.jpg”、“.jpeg”、“.jpe”、“.jif”、“.jfif”、“.jfif”、“.jfi”、“.png”、“.tif”、“.tiff”、“.gif”) 。 值得注意的排除是“ptxt” 不會變成 “txt.pfile”。

此設定需要啟用進階設定 PFileSupportedExtension

範例 1:P owerShell 命令的行為與保護 “.dwg” 變成 “.dwg.pfile” 的默認行為類似:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}

範例 2:當檔案加上標籤並加密時,將所有 PFile 延伸模組從一般加密變更為原生加密的 PowerShell 命令:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}

範例 3:使用此服務保護此檔案時,將 “.dwg” 變更為 “.pdwg” 的 PowerShell 命令:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}

色彩

使用此進階設定來設定標籤的色彩。 若要指定色彩,請輸入色彩的紅色、綠色和藍色 (RGB) 元件的十六進位三進位程序代碼。 例如,#40e0d0 是青綠色的 RGB 十六進位值。

如果您需要這些程式代碼的參考,您會從 MSDN Web 檔的 <色彩> 頁面中找到實用的數據表。您也會在許多可讓您編輯圖片的應用程式中找到這些程式代碼。 例如,Microsoft 小畫家可讓您從調色板選擇自訂色彩,並自動顯示 RGB 值,然後您可以複製該色彩。

若要設定標籤色彩的進階設定,請為選取的標籤輸入下列字串:

  • 索引鍵: 色彩

  • 值: <RGB 十六進位值>

PowerShell 命令範例,您的標籤命名為 “Public”:

Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}

DefaultSubLabelId

當您將子卷標新增至標籤時,用戶無法再將父標籤套用至檔案或電子郵件。 根據預設,用戶會選取父卷標來查看可以套用的子捲標,然後選取其中一個子捲標。 如果您設定此進階設定,當使用者選取父標籤時,系統會自動為其選取並套用子捲標:

  • 機碼: DefaultSubLabelId

  • 值: <子卷標 GUID>

範例 PowerShell 命令,其中您的父卷標命名為「機密」,而「所有員工」子捲標的 GUID 為 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}

EnableAudit

根據預設,資訊保護用戶端會將稽核數據傳送至 Purview Microsoft,您可以在 活動總管中檢視此數據。

若要變更此行為,請使用下列進階設定:

  • 密鑰: EnableAudit

  • 值: False

例如,如果您的標籤原則命名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}

然後在執行資訊保護用戶端的本機計算機上,刪除下列資料夾: %localappdata%\Microsoft\MSIP\mip

若要讓用戶端再次傳送稽核記錄數據,請將進階設定值變更為 True。 您不需要在用戶端電腦上再次手動建立 %localappdata%\Microsoft\MSIP\mip 資料夾。

EnableContainerSupport

此設定可讓資訊保護用戶端從 PST、rar 和 7zip 檔案中移除加密。

  • 密鑰: EnableContainerSupport

  • 值: True

例如,如果您的標籤原則命名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}

EnableCustomPermissions

根據預設,用戶在檔案總管中以滑鼠右鍵按下檔案捲標器時,會看到名為 [ 使用自定義 許可權保護] 的選項。 此選項可讓他們設定自己的加密設定,以覆寫標籤業態中可能包含的任何加密設定。 使用者也可以看到移除加密的選項。 當您設定此設定時,使用者不會看到這些選項。

使用下列設定,讓使用者看不到這些選項:

  • 機碼: EnableCustomPermissions

  • 值: False

範例 PowerShell 命令,您的標籤原則命名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

EnableCustomPermissionsForCustomProtectedFiles

當您設定進階用戶端設定 EnableCustomPermissions 以關閉檔案總管中的自定義許可權時,根據預設,用戶無法查看或變更已在加密文件中設定的自定義許可權。

不過,您可以指定另一個進階用戶端設定,讓在此案例中,用戶可以在使用 [檔案總管] 並以滑鼠右鍵按兩下檔案時,查看並變更加密檔的自定義許可權。

  • 機碼: EnableCustomPermissionsForCustomProtectedFiles

  • 值: True

範例 PowerShell 命令,您的標籤原則命名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}

EnableGlobalization

分類全球化功能,包括提高東亞語言的精確度,以及支援雙位元組位元。 這些增強功能僅針對 64 位進程提供,預設會關閉。

為您的原則開啟這些功能,請指定下列字串:

  • 索引鍵: EnableGlobalization

  • 值:True

範例 PowerShell 命令,您的標籤原則命名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}

若要再次關閉支援並還原為預設值,請將 EnableGlobalization 進階設定設為空字串。

JustificationTextForUserText

自定義使用者變更檔案上的敏感度標籤時所顯示的理由提示。

例如,身為系統管理員,您可能想要提醒使用者不要在此欄位中新增任何客戶識別資訊。

若要修改使用者可以在對話框中選取的預設 [ 其他 ] 選項,請使用 JustificationTextForUserText 進階設定。 將值設定為您想要改用的文字。

範例 PowerShell 命令,您的標籤原則命名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}

LogMatchedContent

根據預設,資訊保護用戶端不會將敏感性資訊類型的內容相符專案傳送至 Microsoft Purview,然後可以在 活動總管中顯示。 掃描器一律會傳送這項資訊。 如需可傳送之其他資訊的詳細資訊,請參閱 內容相符專案以進行更深入的分析

若要在傳送敏感性資訊類型時傳送內容相符專案,請在標籤原則中使用下列進階設定:

  • 索引鍵: LogMatchedContent

  • 值: True

範例 PowerShell 命令,您的標籤原則命名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}

OfficeContentExtractionTimeout

根據預設,掃描器在 Office 檔案上的自動套用標籤逾時為 3 秒。

如果您有包含許多工作表或數據列的複雜 Excel 檔案,3 秒可能不足以自動套用標籤。 若要針對選取的標籤原則增加此逾時,請指定下列字串:

  • 密鑰: OfficeContentExtractionTimeout

  • 值:秒,格式如下: hh:mm:ss

重要事項

建議您不要將此逾時時間提高至15秒以上。

範例 PowerShell 命令,您的標籤原則命名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}

更新的逾時適用於所有 Office 檔案上的自動套用標籤。

PFileSupportedExtensions

使用此設定,您可以變更要加密的文件類型,但無法將預設加密層級從原生變更為泛型。 例如,對於執行檔案捲標器的使用者,您可以變更預設設定,只加密 Office 檔案和 PDF 檔案,而不是所有文件類型。 但您無法將這些文件類型變更為以 .pfile 擴展名進行一般加密。

  • 機碼: PFileSupportedExtensions

  • 值: <字串值>

使用下表來識別要指定的字串值:

字串值 用戶端 掃描器
* 預設值:將加密套用至所有文件類型 將加密套用至所有文件類型
ConvertTo-Json (“.jpg”、“.png”) 除了 Office 檔類型和 PDF 檔案,請將加密套用至指定的擴展名 除了 Office 檔類型和 PDF 檔案,請將加密套用至指定的擴展名

範例 1:掃描器的 PowerShell 命令,可加密所有文件類型,其中您的卷標原則命名為 “Scanner”:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

範例 2:掃描器的 PowerShell 命令,除了 Office 檔案和 PDF 檔案之外,.txt 檔案和 .csv 檔案加密,其中卷標原則命名為 “Scanner”:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}

當您指定下列進階用戶端設定時,使用者會看到 [ 回報問題 ] 選項,他們可以從檔案捲標器的 [ 說明和意見 反應] 用戶端對話框中選取此選項。 指定連結的 HTTP 字串。 例如,您擁有供使用者回報問題的自定義網頁,或傳送至技術支援中心的電子郵件位址。

若要設定此進階設定,請針對選取的標籤原則輸入下列字串:

  • 機碼: ReportAnIssueLink

  • 值: <HTTP 字串>

網站的範例值: https://support.contoso.com

電子郵件地址的範例值: mailto:helpdesk@contoso.com

範例 PowerShell 命令,您的標籤原則命名為 「Global」:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}

ScannerMaxCPU

重要事項

建議您使用 ScannerMaxCPUScannerMinCPU 進階設定來限制 CPU 耗用量,而不是支援回溯相容性的 ScannerConcurrencyLevel

如果指定較舊的進階設定,則會忽略 ScannerMaxCPUScannerMinCPU 進階設定。

使用此進階設定搭配 ScannerMinCPU 來限制掃描器電腦上的 CPU 耗用量。

  • 機碼: ScannerMaxCPU

  • 值: <數位>**

值預設為 100 ,這表示沒有 CPU 耗用量上限。 在此情況下,掃描器程式會嘗試使用所有可用的CPU時間,將掃描速率最大化。

如果您將 ScannerMaxCPU 設定為小於 100,掃描器會監視過去 30 分鐘的 CPU 耗用量。 如果平均 CPU 超過您設定的限制,它就會開始減少配置給新檔案的線程數目。

只要 CPU 耗用量高於 ScannerMaxCPU 所設定的限制,線程數目的限制就會繼續。

ScannerMinCPU

重要事項

建議您使用 ScannerMaxCPUScannerMinCPU 進階設定來限制 CPU 耗用量,而不是支援回溯相容性的 ScannerConcurrencyLevel

如果指定較舊的進階設定,則會忽略 ScannerMaxCPUScannerMinCPU 進階設定。

只有在 ScannerMaxCPU 不等於 100,而且無法設定為高於 ScannerMaxCPU 值的數位時才使用。

建議您將 ScannerMinCPU 設定至少低於 ScannerMaxCPU 值 15 點。

值預設為 50,這表示如果過去 30 分鐘內的 CPU 耗用量低於此值,掃描器就會開始新增線程以平行方式掃描更多檔案,直到 CPU 耗用量達到您為 ScannerMaxCPU-15 設定的層級為止。

ScannerConcurrencyLevel

重要事項

建議您使用 ScannerMaxCPUScannerMinCPU 進階設定來限制 CPU 耗用量,而不是支援回溯相容性的 ScannerConcurrencyLevel

指定這個較舊的進階設定時,會忽略 ScannerMaxCPUScannerMinCPU 進階設定。

根據預設,掃描器會使用執行掃描器服務之計算機上所有可用的處理器資源。 如果您需要在掃描此服務時限制 CPU 耗用量,請指定掃描器可以平行執行的並行線程數目。 掃描器會針對掃描的每個檔案使用個別的線程,因此此節流設定也會定義可平行掃描的檔案數目。

當您第一次設定測試的值時,建議您為每個核心指定 2 個,然後監視結果。 例如,如果您在具有 4 個核心的電腦上執行掃描器,請先將值設定為 8。 如有必要,請根據掃描器計算機所需的效能和掃描速率,增加或減少該數目。

  • 機碼: ScannerConcurrencyLevel

  • 值:<並行線程數>目

範例 PowerShell 命令,其中您的標籤原則命名為 “Scanner”:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}

ScannerFSAttributesToSkip

根據預設,資訊保護掃描器會掃描所有相關的檔案。 不過,您可能想要定義要略過的特定檔案,例如已封存的檔案或已移動的檔案。

讓掃描儀使用 ScannerFSAttributesToSkip 進階設定,根據檔案屬性略過特定檔案。 在設定值中,列出當檔案全部設定為 true 時,可略過檔案的文件屬性。 此檔案屬性清單使用 AND 邏輯。

範例 PowerShell 命令,其中您的標籤原則命名為 「Global」。。

略過只讀和封存的檔案

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}

略過只讀或封存的檔案

若要使用 OR 邏輯,請多次執行相同的屬性。 例如:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}

提示

建議您考慮讓掃描器略過具有下列屬性的檔案:

  • FILE_ATTRIBUTE_SYSTEM
  • FILE_ATTRIBUTE_HIDDEN
  • FILE_ATTRIBUTE_DEVICE
  • FILE_ATTRIBUTE_OFFLINE
  • FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
  • FILE_ATTRIBUTE_RECALL_ON_OPEN
  • FILE_ATTRIBUTE_TEMPORARY

如需所有可在 ScannerFSAttributesToSkip 進階設定中定義的文件屬性清單,請參閱 Win32 檔屬性常數

SharepointWebRequestTimeout

根據預設,SharePoint 互動的逾時是兩分鐘,之後嘗試的信息保護客戶端作業就會失敗。 使用 SharepointWebRequestTimeoutSharepointFileWebRequestTimeout 進階設定來控制此逾時,使用 hh:mm:ss 語法來定義逾時。

指定值,以判斷 SharePoint 的所有資訊保護用戶端 Web 要求逾時。 預設值為分鐘數。

例如,如果您的原則名為 Global,下列範例 PowerShell 命令會將 Web 要求逾時更新為 5 分鐘。

Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}

SharepointFileWebRequestTimeout

根據預設,SharePoint 互動的逾時是兩分鐘,之後嘗試的信息保護客戶端作業就會失敗。 使用 SharepointWebRequestTimeoutSharepointFileWebRequestTimeout 進階設定來控制此逾時,使用 hh:mm:ss 語法來定義逾時。

透過資訊保護用戶端 Web 要求指定 SharePoint 檔案的逾時值。 預設值為15分鐘。

例如,如果您的原則名為 Global,下列範例 PowerShell 命令會將檔案 Web 要求逾時更新為 10 分鐘。

Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}

UseCopyAndPreserveNTFSOwner

注意事項

這項功能目前為預覽狀態。 Azure 預覽補充條款包含適用於 Beta、預覽或尚未正式發行之 Azure 功能的其他法律條款。

根據預設,資訊保護用戶端不會保留套用敏感度標籤之前所定義的NTFS擁有者。

若要確保保留NTFS擁有者值,請將所選標籤原則的 UseCopyAndPreserveNTFSOwner 進階設定設為 true

注意

掃描器:只有當您可以確保掃描器與掃描存放庫之間的低延遲、可靠網路連線時,才定義此進階設定。 在自動標記程式期間發生網路失敗,可能會導致檔案遺失。

PowerShell 命令範例,您的卷標原則命名為 “Global”

Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}