系統管理員指南:Azure 資訊保護傳統用戶端的自訂設定
管理 Azure 資訊保護用戶端時,請針對您對於特定案例或使用者子集可能會需要的進階設定使用下列資訊。
其中某些設定需要編輯登錄,某些則會使用必須在 Azure 入口網站中設定的進階設定,並發佈給用戶端下載。
如何在入口網站中設定進階傳統用戶端組態設定
如果您尚未這麼做,請在新的瀏覽器視窗中登入Azure 入口網站,然後流覽至[Azure 資訊保護]窗格。
從 [分類標籤]> 功能表選項:選取[原則]。
在[Azure 資訊保護 - 原則] 窗格中,選取原則旁邊的操作功能表 (...) ,以包含進階設定。 然後選取 [進階設定]。
您可以針對全域原則及有範圍的原則設定進階設定。
在 [ 進階設定] 窗格中,輸入進階設定名稱和值,然後選取 [ 儲存並關閉]。
確定適用此原則的使用者會重新啟動任何已開啟的 Office 應用程式。
如果您不再需要設定,而且想要還原為預設行為:在 [ 進階設定 ] 窗格中,選取您不再需要設定旁邊的操作功能表 (...) ,然後選取 [ 刪除]。 然後按一下 [儲存後關閉]。
可用的進階傳統用戶端設定
| 設定 | 案例和指示 |
|---|---|
| DisableDNF | 隱藏或顯示 Outlook 中的 [不可轉寄] 按鈕 |
| DisableMandatoryInOutlook | 豁免強制標籤Outlook郵件 |
| CompareSubLabelsInAttachmentAction | 啟用子標籤的順序支援 |
| ContentExtractionTimeout | 變更掃描器的逾時設定 |
| EnableBarHiding | 永久隱藏 Azure 資訊保護列 |
| EnableCustomPermissions | 讓使用者可以或無法使用自訂權限選項 |
| EnableCustomPermissionsForCustomProtectedFiles | 對於使用自訂權限保護的檔案,一律在檔案總管中向使用者顯示自訂權限 |
| EnablePDFv2Protection | 不要使用 PDF 加密的 ISO 標準來保護 PDF 檔案 |
| FileProcessingTimeout | 變更掃描器的逾時設定 |
| LabelbyCustomProperty | 從 Secure Islands 和其他標籤解決方案移轉標籤 |
| LabelToSMIME | 在 Outlook 中設定標籤以套用 S/MIME 保護 |
| LogLevel | 變更本機記錄層級 |
| LogMatchedContent | 停止傳送使用者子集的資訊類型相符項目 |
| OutlookBlockTrustedDomains | 在 Outlook 中實作快顯訊息,以警告、封鎖傳送的電子郵件,或證實其正當性 |
| OutlookBlockUntrustedCollaborationLabel | 在 Outlook 中實作快顯訊息,以警告、封鎖傳送的電子郵件,或證實其正當性 |
| OutlookDefaultLabel | 為 Outlook 設定不同的預設標籤 |
| OutlookJustifyTrustedDomains | 在 Outlook 中實作快顯訊息,以警告、封鎖傳送的電子郵件,或證實其正當性 |
| OutlookJustifyUntrustedCollaborationLabel | 在 Outlook 中實作快顯訊息,以警告、封鎖傳送的電子郵件,或證實其正當性 |
| OutlookRecommendationEnabled | 在 Outlook 中啟用建議分類 |
| OutlookOverrideUnlabeledCollaborationExtensions | 在 Outlook 中實作快顯訊息,以警告、封鎖傳送的電子郵件,或證實其正當性 |
| OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior | 在 Outlook 中實作快顯訊息,以警告、封鎖傳送的電子郵件,或證實其正當性 |
| OutlookWarnTrustedDomains | 在 Outlook 中實作快顯訊息,以警告、封鎖傳送的電子郵件,或證實其正當性 |
| OutlookWarnUntrustedCollaborationLabel | 在 Outlook 中實作快顯訊息,以警告、封鎖傳送的電子郵件,或證實其正當性 |
| PostponeMandatoryBeforeSave | 當您使用強制標示時針對文件移除「現在不要」 |
| ProcessUsingLowIntegrity | 停用掃描器的低完整性層級 |
| PullPolicy | 支援已中斷連線的電腦 |
| RemoveExternalContentMarkingInApp | 移除來自其他標籤解決方案的頁首和頁尾 |
| ReportAnIssueLink | 為使用者新增 [回報問題] |
| RunAuditInformationTypesDiscovery | 停用將檔中探索到的敏感性資訊傳送至 Azure 資訊保護分析 |
| RunPolicyInBackground | 開啟分類以持續在背景執行 |
| ScannerConcurrencyLevel | 限制掃描器所使用的執行緒數目 |
| SyncPropertyName | 使用現有的自訂屬性標記 Office 文件 |
| SyncPropertyState | 使用現有的自訂屬性標記 Office 文件 |
避免僅使用 AD RMS 電腦的登入提示
根據預設,Azure Information Protection 用戶端會自動嘗試連線到 Azure Information Protection 服務。 針對只使用 AD RMS 進行通訊的電腦,此設定可能會對使用者造成不必要的登入提示。 您可以編輯登錄來避免出現此登入提示。
找出下列值名稱,然後將數值資料設為 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
無論這項設定為何,Azure 資訊保護用戶端都會遵循標準的 RMS 服務探索處理程序尋找其 AD RMS 叢集。
以不同的使用者身分登入
在生產環境中,當使用者使用 Azure 資訊保護用戶端時,他們通常不需要以其他使用者身分登入。 不過,身為系統管理員,您在測試階段可能需要以不同的使用者身分登入。
您可以使用 [Microsoft Azure 資訊保護] 對話方塊來確認您目前是以哪個帳戶登入:開啟一個 Office 應用程式,然後在 [常用] 索引標籤上的 [保護] 群組中,按一下 [保護],再按一下 [說明與意見反應]。 您的帳戶名稱會顯示在 [用戶端狀態] 區段中。
請務必同時檢查所顯示已登入帳戶的網域名稱。 使用者很容易在確認帳戶名稱為正確的同時,沒有注意到後方的網域是錯誤的。 使用錯誤帳戶的徵兆包括無法下載「Azure 資訊保護」原則,或是看不到您預期的標籤或行為。
以不同使用者身分登入︰
巡覽至 %localappdata%\Microsoft\MSIP,刪除 TokenCache 檔案。
重新啟動任何已開啟的 Office 應用程式,然後以不同的使用者帳戶登入。 如果您在 Office 應用程式中沒有看到登入「Azure 資訊保護」服務的提示,請回到 [Microsoft Azure 資訊保護] 對話方塊,然後從已更新的 [用戶端狀態] 區段中按一下 [登入]。
此外:
如果在完成這些步驟之後,Azure 資訊保護用戶端仍使用舊帳戶登入,請從 Internet Explorer 刪除所有 Cookie,然後重複步驟 1 與 2。
如果您是使用單一登入,則必須在刪除權杖檔案之後登出 Windows,並使用不同的使用者帳戶登入。 Azure 資訊保護用戶端接著會使用您目前登入的使用者帳戶自動進行驗證。
此解決方案支援以來自相同租用戶的其他使用者身分進行登入。 它不支援以來自不同租用戶的其他使用者身分進行登入。 若要以多個租用戶測試 Azure 資訊保護,請使用不同的電腦。
您可以使用 [說明與意見反應] 的 [重設設定] 選項,以登出並刪除目前已下載的 Azure 資訊保護原則。
當組織有混合的授權時,強制執行僅限保護模式
如果您的組織沒有 Azure 資訊保護的任何授權,但具有包含 Azure Rights Management 服務來保護資料的 Azure Microsoft 365授權,則 AIP 傳統用戶端會自動以僅限保護模式執行。
不過,若組織擁有 Azure 資訊保護的訂用帳戶,則所有 Windows 電腦預設皆會下載 Azure 資訊保護原則。 Azure 資訊保護用戶端不會執行授權檢查和強制執行原則。
如果您有一些使用者沒有 Azure 資訊保護的授權,但有包含 Azure Rights Management服務的Microsoft 365授權,請編輯這些使用者電腦上的登錄,以防止使用者從 Azure 資訊保護執行未經授權的分類和標籤功能。
找出下列值名稱,並將數值資料設定為 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
此外,請檢查這些電腦的 %LocalAppData%\Microsoft\MSIP 資料夾中並沒有名為 Policy.msip 的檔案。 如果有此檔案,請將檔案刪除。 此檔案包含 Azure 資訊保護原則,且可能在您編輯登錄之前便已下載,或是 Azure 資訊保護用戶端是以示範選項來安裝。
為使用者新增 [回報問題]
此設定會使用必須在 Azure 入口網站中設定的進階用戶端設定。
當您指定下列進階用戶端設定時,使用者會看到 [回報問題] 選項,可從 [說明與意見反應] 用戶端對話方塊來選取。 指定連結的 HTTP 字串。 例如,您可以讓使用者回報問題的自訂網頁,或可連至您技術支援中心的電子郵件地址。
若要設定此進階設定,請輸入下列字串:
機碼:ReportAnIssueLink
值:< HTTP 字串 >
網站的範例值:https://support.contoso.com
電子郵件地址的範例值:mailto:helpdesk@contoso.com
隱藏 Windows 檔案總管中的 [分類並保護] 功能表選項
建立下列 DWORD 值名稱 (使用任何數值資料):
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable
支援已中斷連線的電腦
根據預設,Azure 資訊保護用戶端會自動嘗試連線到 Azure 資訊保護服務以下載最新的 Azure 資訊保護原則。 如果您有知道的電腦將無法連線到網際網路一段時間,您可以編輯登錄來防止用戶端嘗試連線到服務。
請注意,如果沒有網際網路連線,用戶端就無法使用組織的雲端式金鑰套用保護 (或移除保護) 。 相反地,用戶端會被限制為只會套用分類的標籤,或使用 HYOK 的保護。
您可以使用進階用戶端設定來避免 Azure 資訊保護服務的登入提示 (您必須在 Azure 入口網站中設定,然後為電腦下載原則)。 或者,您可以編輯登錄來避免出現此登入提示。
若要設定進階用戶端設定:
輸入下列字串:
機碼:PullPolicy
值:False
下載含有此設定的原則,並使用下列指示將它安裝在電腦上。
或者,編輯登錄:
找出下列值名稱,然後將數值資料設為 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
在 %LocalAppData%\Microsoft\MSIP 資料夾中,用戶端必須有名稱為 Policy.msip 的有效原則檔。
您可以從 Azure 入口網站匯出全域原則或已設定範圍的原則,並將匯出的檔案複製到用戶端電腦。 您也可以使用這個方法,以最新的原則來取代過時的原則檔。 不過,匯出原則不支援使用者屬於多個已限定範圍支援原則的情節。 此外,請注意,若使用者從 說明與意見反應 選取[重設設定] 選項,此動作會刪除原則檔案並讓用戶端無法運作,直到您手動取代該原則檔案或用戶端連線到服務以下載該原則。
當您從 Azure 入口網站匯出原則時,會下載壓縮的檔案,其中包含多個版本的原則。 這些原則版本對應到不同的 Azure 資訊保護用戶端版本:
請解壓縮檔案,並使用下表來識別您需要的原則檔。
檔案名稱 對應的用戶端版本 Policy1.1.msip 1.2 版 Policy1.2.msip 1.3 - 1.7 版 Policy1.3.msip 1.8 - 1.29 版 Policy1.4.msip 1.32 版和更新版本 將識別的檔案重新命名為Policy.msip,然後將它複製到已安裝 Azure 資訊保護 用戶端之電腦上的%LocalAppData%\Microsoft\MSIP資料夾。
如果您的已中斷連線的電腦正在執行 Azure 資訊保護掃描器的目前 GA 版本,您必須採取其他設定步驟。 如需詳細資訊,請參閱 限制:掃描器伺服器無法在 掃描器部署必要條件中具有網際網路連線能力。
隱藏或顯示 Outlook 中的 [不可轉寄] 按鈕
設定此選項的建議方法,是使用原則設定 [在 Outlook 功能區中新增 [不可轉寄] 按鈕]。 不過,您也可以使用在 Azure 入口網站中設定的進階用戶端設定來設定此選項。
當您進行此設定時,會在 Outlook 中的功能區上隱藏或顯示 [不可轉寄] 按鈕。 此設定對 Office 功能表的 [不可轉寄] 選項並沒有任何作用。
若要設定此進階設定,請輸入下列字串:
索引鍵:DisableDNF
值:設為 True 以隱藏按鈕,或設為 False 以顯示按鈕
讓使用者可以或無法使用自訂權限選項
設定此選項的建議方法,是使用原則設定 [讓使用者可以使用自訂權限選項]。 不過,您也可以使用在 Azure 入口網站中設定的進階用戶端設定來設定此選項。
當您進行此設定並為使用者發佈原則時,使用者便可以看到自訂權限選項來選取自己的保護設定,否則會隱藏,讓使用者除非收到提示,否則無法選取自己的保護設定。
若要設定此進階設定,請輸入下列字串:
索引鍵:EnableCustomPermissions
值:True 會顯示自訂權限選項,False 則隱藏此選項
對於使用自訂權限保護的檔案,一律在檔案總管中向使用者顯示自訂權限
此設定會使用必須在 Azure 入口網站中設定的進階用戶端設定。
當您進行原則設定 [讓使用者能夠使用自訂權限選項],或上一節中同等的進階用戶端設定時,使用者無法查看或變更已在受保護文件中設定的自訂權限。
當您建立及進行此進階用戶端設定時,使用者便可藉由使用檔案總管並以滑鼠右鍵按一下檔案,來查看及變更受保護文件的自訂權限。 按下 Office 功能區上 [保護] 按鈕顯示的 [自訂權限] 選項會保持隱藏狀態。
若要設定此進階設定,請輸入下列字串:
機碼: EnableCustomPermissionsForCustomProtectedFiles
值: True
注意
這項功能目前為「預覽」狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
永久隱藏 Azure 資訊保護列
此設定會使用必須在 Azure 入口網站中設定的進階用戶端設定。 請在原則設定 [在 Office 應用程式中顯示資訊保護列] 設定為 [開啟] 時才使用此設定。
根據預設,如果使用者從 [首頁] 索引標籤、[保護] 群組、[保護] 按鈕清除 [顯示列] 選項,該 Office 應用程式中不會再顯示資訊保護列。 不過,在下次開啟 Office 應用程式時,會自動顯示該列。
若要在使用者已選擇要隱藏該列之後,防止自動重新顯示該列,請使用此用戶端設定。 此設定在使用者透過 [關閉此列] 圖示關閉列的情況下並不會有任何作用。
就算在 Azure 資訊保護列保持隱藏的情況下,如果您已設定建議的分類,或是當文件或電子郵件必須有標籤時,使用者仍然可以從暫時顯示的列中選取標籤。
若要設定此進階設定,請輸入下列字串:
機碼:EnableBarHiding
值: True
啟用附件上的子標籤順序支援
此設定會使用必須在 Azure 入口網站中設定的進階用戶端設定。
當您有子標籤,而且您已設定下列原則設定時,使用此設定:
- 對於有附件的電子郵件訊息,請套用符合這些附件最高分類的標籤
設定下列字串:
機碼: CompareSubLabelsInAttachmentAction
值: True
若沒有此設定,系統會將從父標籤找到,且擁有最高分類的第一個標籤套用到電子郵件。
若有此設定,系統會將父標籤中排在最後一個,且擁有最高分類的子標籤套用到電子郵件。 如果您需要重新排序標籤以套用您要用於此案例的標籤,請參閱如何刪除或重新排序 Azure 資訊保護的標籤。
豁免Outlook郵件不套用標籤
此設定會使用必須在 Azure 入口網站中設定的進階用戶端設定。
根據預設,當您啟用原則設定[所有檔和電子郵件都必須有標籤],所有已儲存的檔和傳送的電子郵件都必須套用標籤。 當您設定下列進階設定時,原則設定僅適用于Office檔,不適用於Outlook訊息。
若要設定此進階設定,請輸入下列字串:
機碼: DisableMandatoryInOutlook
值: True
在 Outlook 中啟用建議分類
此設定會使用必須在 Azure 入口網站中設定的進階用戶端設定。
當您設定建議分類的標籤時,系統會提示使用者接受或關閉 Word、Excel 和 PowerPoint 中的建議標籤。 此設定可延伸為在 Outlook 中也顯示此標籤建議。
若要設定此進階設定,請輸入下列字串:
機碼:OutlookRecommendationEnabled
值: True
注意
這項功能目前為「預覽」狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
在 Outlook 中實作快顯訊息,以警告、封鎖傳送的電子郵件,或證實其正當性
此設定會使用多個進階用戶端設定,您必須在 Azure 入口網站中加以設定。
當您建立及進行下列進階用戶端設定時,使用者可在 Outlook 中查看快顯訊息,這些訊息可在傳送電子郵件前警告他們、要求他們提供傳送此電子郵件的正當理由,或防止他們在下列其中一個情況下傳送電子郵件:
他們的電子郵件或其附件具有特定標籤:
- 附件可為任意檔案類型
他們的電子郵件或其附件沒有標籤:
- 附件可為 Office 文件或 PDF 文件
符合這些條件時,使用者會看到具有下列其中一個動作的快顯訊息:
警告:使用者可以確認和傳送或取消。
合理:系統會提示使用者提供理由, (預先定義的選項或自由格式) 。 接著使用者可傳送或取消電子郵件。 提供正當理由的文字會寫在電子郵件的 X 標頭,以便其他系統讀取。 例如,資料外洩防護 (DLP) 服務。
封鎖:使用者無法在條件維持時傳送電子郵件。 訊息包含封鎖電子郵件的原因,以便使用者可以解決問題。 例如,移除特定收件者,或標記電子郵件。
當快顯訊息適用于特定標籤時,您可以依功能變數名稱為收件者設定例外狀況。
快顯訊息所產生的動作會記錄到本機Windows事件記錄檔應用程式和服務記錄>Azure 資訊保護:
警告訊息:資訊識別碼 301
證實訊息正當性:資訊識別碼 302
封鎖訊息:資訊識別碼 303
證實訊息正當性的範例事件項目:
Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Price list.msg
Item Name: Price list
Process Name: OUTLOOK
Action: Justify
User Justification: My manager approved sharing of this content
Action Source:
User Response: Confirmed
下列各節包含每個進階用戶端設定的組態指示,您可以使用教學課程:設定 Azure 資訊保護,以使用Outlook控制資訊的共用。
針對特定標籤實作警告、證實正當性或封鎖快顯訊息:
若要實作特定標籤的快顯訊息,就必須知道這些標籤的標籤識別碼。 當您在 [標籤] 窗格中檢視或設定 Azure 資訊保護原則時,標籤識別碼值會顯示在 Azure 入口網站 [標籤] 窗格上。 對於已套用標籤的檔案,您也可以執行 Get-AIPFileStatus PowerShell Cmdlet 來識別標籤識別碼 (MainLabelId 或 SubLabelId)。 當標籤有子標籤時,請一律只指定子標籤的識別碼,而不要指定父標籤的識別碼。
使用下列索引鍵建立下列一或多個進階用戶端設定。 在值的部分,請依其識別碼指定一或多個標籤,各以逗點分隔。
以逗點分隔字串表示多個標籤識別碼的範例值如下:dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
警告訊息:
機 碼:OutlookWarnUntrustedCollaborationLabel
值: <標籤識別碼、逗號分隔>
正當理由訊息:
機碼: OutlookJustifyUntrustedCollaborationLabel
值: <標籤識別碼、逗號分隔>
封鎖訊息:
機碼: OutlookBlockUntrustedCollaborationLabel
值: <標籤識別碼、逗號分隔>
為特定標籤設定的快顯訊息豁免功能變數名稱
針對您使用這些快顯郵件指定的標籤,您可以豁免特定功能變數名稱,讓使用者看不到其電子郵件地址中包含該功能變數名稱的收件者的郵件。 在此情況下,便可傳送電子郵件而不中斷。 若要指定多個網域,請以單一字串的形式來新增,並以逗點分隔。
一般設定僅用來對您組織外部或非組織授權夥伴的收件者顯示快顯訊息。 在此情況下,您可指定您組織及夥伴使用的所有電子郵件網域。
建立下列進階用戶端設定,並針對值指定一或多個網域,每個網域都以逗號分隔。
以逗點分隔字串表示多個網域的範例值如下:contoso.com,fabrikam.com,litware.com
警告訊息:
機 碼:OutlookWarnTrustedDomains
值:<功能變數名稱、逗號分隔>
正當理由訊息:
機碼: OutlookJustifyTrustedDomains
值:<功能變數名稱、逗號分隔>
封鎖訊息:
機碼: OutlookBlockTrustedDomains
值:<功能變數名稱、逗號分隔>
例如,您已為[機密\ 所有員工] 標籤指定OutlookBlockUntrustedCollaborationLabel進階用戶端設定。 您現在指定 OutlookBlockTrustedDomains 和 contoso.com的其他進階用戶端設定。 因此,當使用者標示為機密 \ 所有員工時,可以將電子郵件 john@sales.contoso.com 傳送至 ,但會封鎖將具有相同標籤的電子郵件傳送至 Gmail 帳戶。
針對沒有標籤的電子郵件或附件實作警告、證實正當性或封鎖快顯訊息:
使用下列其中一個值建立下列進階用戶端設定:
警告訊息:
機碼: OutlookUnlabeledCollaborationAction
值: 警告
正當理由訊息:
機碼: OutlookUnlabeledCollaborationAction
值: 合理化
封鎖訊息:
機碼: OutlookUnlabeledCollaborationAction
值: 區塊
關閉這些訊息:
機碼: OutlookUnlabeledCollaborationAction
值: 關閉
為沒有標籤的電子郵件附件定義警告、合理化或封鎖快顯訊息的特定副檔名
根據預設,警告、合理化或封鎖快顯訊息會套用至所有Office檔和 PDF 檔。 您可以藉由指定哪些副檔名應該顯示警告、合理化或封鎖具有其他進階用戶端屬性和逗號分隔副檔名清單的訊息,來精簡此清單。
多個副檔名的範例值,定義為逗號分隔字串: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM
在此範例中,未標記的 PDF 檔不會產生警告、合理化或封鎖快顯訊息。
機碼: OutlookOverrideUnlabeledCollaborationExtensions
值:<用來顯示訊息的副檔名,以逗號分隔>
為沒有附件的電子郵件訊息指定不同的動作
根據預設,您為 OutlookUnlabeledCollaborationAction 指定的值會警告、證明或封鎖快顯郵件適用于沒有標籤的電子郵件或附件。 您可以為沒有附件的電子郵件訊息指定另一個進階用戶端設定,以精簡此設定。
使用下列其中一個值建立下列進階用戶端設定:
警告訊息:
機碼: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
值: 警告
正當理由訊息:
機碼: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
值: 合理化
封鎖訊息:
機碼: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
值: 區塊
關閉這些訊息:
機碼: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
值: 關閉
如果您未指定此用戶端設定,您為 OutlookUnlabeledCollaborationAction 指定的值會用於沒有附件的未標記電子郵件訊息,以及具有附件的未標記電子郵件訊息。
為 Outlook 設定不同的預設標籤
此設定會使用必須在 Azure 入口網站中設定的進階用戶端設定。
當您設定此設定時,Outlook 不會為 [選取預設標籤] 設定套用在 Azure 資訊保護原則中設定的預設標籤。 相反地,Outlook 可以套用不同的預設標籤或是沒有標籤。
若要套用不同的標籤,您必須指定標籤識別碼。 當您在 [標籤] 窗格中檢視或設定 Azure 資訊保護原則時,標籤識別碼值會顯示在 Azure 入口網站 [標籤] 窗格上。 對於已套用標籤的檔案,您也可以執行 Get-AIPFileStatus PowerShell Cmdlet 來識別標籤識別碼 (MainLabelId 或 SubLabelId)。 當標籤有子標籤時,請一律只指定子標籤的識別碼,而不要指定父標籤的識別碼。
如要 Outlook 不套用預設標籤,請指定 None。
若要設定此進階設定,請輸入下列字串:
機碼:OutlookDefaultLabel
值: <標籤識別碼> 或無
在 Outlook 中設定標籤以套用 S/MIME 保護
此設定會使用必須在 Azure 入口網站中設定的進階用戶端設定。
只有當您有正在運作的 S/MIME 部署,並且想要標籤來針對電子郵件自動套用此保護方法,而不使用 Azure 資訊保護的 Rights Management 保護時,才使用此設定。 產生的保護與使用者從 Outlook 中手動選取 S/MIME 選項是相同的。
此設定需要您針對每個要對應到 S/MIME 選項的 Azure 資訊保護標籤,都指定名為 LabelToSMIME 的進階用戶端設定。 然後針對每個項目,使用以下語法來設定值:
[Azure Information Protection label ID];[S/MIME action]
當您在 [標籤] 窗格中檢視或設定 Azure 資訊保護原則時,標籤識別碼值會顯示在 Azure 入口網站 [標籤] 窗格上。 若要搭配使用 S/MIME 與子標籤,請一律只指定子標籤的識別碼,而不要指定父標籤的識別碼。 當指定子標籤時,父標籤必須位在相同的範圍中,或在全域原則中。
S/MIME 動作可以是:
Sign;Encrypt:套用數位簽章和 S/MIME 加密Encrypt:僅套用 S/MIME 加密Sign:僅套用數位簽章
標籤識別碼的範例值為 dcf781ba-727f-4860-b3c1-73479e31912b:
若要套用數位簽章和 S/MIME 加密:
dcf781ba-727f-4860-b3c1-73479e31912b;Sign;Encrypt
若要僅套用 S/MIME 加密:
dcf781ba-727f-4860-b3c1-73479e31912b;Encrypt
若要僅套用數位簽章:
dcf781ba-727f-4860-b3c1-73479e31912b;Sign
由於此設定的結果,當針對電子郵件訊息套用標籤時,S/MIME 保護除了套用至標籤的分類外,也會套用至電子郵件。
如果您指定的標籤已在 Azure 入口網站中設定使用 Rights Management 保護,S/MIME 保護只會取代 Outlook 中的 Rights Management 保護。 針對所有其他支援標籤的案例,仍會套用 Rights Management 保護。
如果您想讓標籤只顯示在 Outlook 中,請設定標籤以套用單一使用者定義的 [不可轉寄] 動作,如快速入門:為使用者設定標籤,以便輕鬆地保護包含機密資訊的電子郵件中所述。
當您使用強制標示時針對文件移除「現在不要」
此設定會使用必須在 Azure 入口網站中設定的進階用戶端設定。
當您使用所有文件和電子郵件都必須有標籤的原則設定時,系統會在使用者第一次儲存 Office 文件時以及當他們傳送電子郵件時,提示他們選取標籤。 針對文件,使用者可以選取 [現在不要],暫時關閉選取標籤的提示並返回文件。 不過,使用者無法在不為文件加上標籤的情況下,關閉已儲存的文件。
當您設定此設定時,它會移除 [現在不要] 選項,如此一來,使用者就必須在第一次儲存文件時選取標籤。
若要設定此進階設定,請輸入下列字串:
機碼:PostponeMandatoryBeforeSave
值:False
開啟分類以持續在背景執行
此設定會使用必須在 Azure 入口網站中設定的進階用戶端設定。
當您設定此設定時,它會變更 Azure 資訊保護用戶端如何套用自動與建議標籤到文件的預設行為:
針對 Word、Excel 與 PowerPoint,自動分類會在背景持續執行。
針對 Outlook,此行為不會變更。
當 Azure 資訊保護 用戶端定期檢查檔是否有您指定的條件規則時,此行為會針對儲存在 Microsoft SharePoint 中的檔啟用自動且建議的分類和保護。 因為已經執行過條件規則,所以大型檔案的儲存速度也會較快。
條件規則不會即時執行為使用者類型。 相反地,如果修改過文件,則它們會定期執行為背景工作。
若要設定此進階設定,請輸入下列字串:
機碼:RunPolicyInBackground
值: True
注意
這項功能目前為「預覽」狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
不要使用 PDF 加密的 ISO 標準來保護 PDF 檔案
此設定會使用必須在 Azure 入口網站中設定的進階用戶端設定。
當最新版的 Azure 資訊保護用戶端保護 PDF 檔案時,產生的檔案名稱副檔名仍會維持為 .pdf,而且會遵循 PDF 加密的 ISO 標準。 如需這項標準的詳細資訊,請參閱衍生自 ISO 32000-1 且由 Adobe Systems Incorporated 所發佈之文件中的 7.6 加密一節。
若想要讓用戶端還原為舊版用戶端使用 .ppdf 副檔名保護 PDF 檔案的行為,請透過輸入下列字串以使用下列進階設定:
機碼:EnablePDFv2Protection
值:False
例如,如果您使用之 PDF 閱讀程式不支援 PDF 加密的 ISO 標準,您可能針對所有使用者需要這項設定。 或者,在您逐漸分階段引入支援新格式的 PDF 閱讀程式變更時,您可能需要為某些使用者進行設定。 使用此設定的另一個可能原因是,您需要為已簽署的 PDF 文件新增保護。 因為這項保護會實作為檔案的包裝函式,所以已簽署的 PDF 文件可以使用 .ppdf 格式來額外加以保護。
若要讓 Azure 資訊保護掃描器使用新的設定,則必須重新啟動掃描器服務。 此外,掃描器預設不再保護 PDF 文件。 如果當 EnablePDFv2Protection 設定為 False時,您希望掃描器保護 PDF 檔,您必須 編輯登錄。
如需新 PDF 加密的詳細資訊,請參閱部落格文章:新增 Microsoft 資訊保護對 PDF 加密的支援 \(英文\)。
如需支援 PDF 加密 ISO 標準之 PDF 閱讀程式及支援較舊格式之閱讀程式的清單,請參閱 Microsoft 資訊保護的支援 PDF 閱讀程式。
將現有的 .ppdf 檔案轉換成受保護的 .pdf 檔案
當 Azure 資訊保護用戶端已下載具有新設定的用戶端原則時,您可以使用 PowerShell 命令,將現有的 .ppdf 檔案轉換成受保護 .pdf 檔案 (使用 PDF 加密的 ISO 標準)。
若要針對您無法自行保護的檔案使用下列指示,您必須擁有 Rights Management 使用權限,或是成為進階使用者,才能從檔案移除保護。 若要啟用進階使用者功能並將您的帳戶設定為進階使用者,請參閱設定 Azure Rights Management 和探索服務或資料復原的進階使用者。
此外,當您針對無法自行保護的檔案使用這些指示時,您會成為 RMS 簽發者。 在此情況下,原始保護文件的使用者將無法再對其進行追蹤和撤銷。 如果使用者必須追蹤及撤銷其受保護的 PDF 文件,請要求他們手動移除,然後使用檔案總管並按一下滑鼠右鍵以重新套用標籤。
若要使用 PowerShell 命令,將現有的 .ppdf 檔案轉換成受保護 .pdf 檔案 (使用 PDF 加密的 ISO 標準):
對 .ppdf 檔案使用 Get-AIPFileStatus。 例如:
Get-AIPFileStatus -Path \\Finance\Projectx\sales.ppdf記下輸出中的下列參數值:
SubLabelId 的值 (GUID) (如果有的話)。 如果此值為空白,則未使用子標籤,因此請改記下 MainLabelId 的值。
注意:如果 MainLabelId 沒有值,則檔案未加註任何標籤。 在此情況下,您可以使用 Unprotect-RMSFile 命令和 Protect-RMSFile 命令,而不是步驟 3 和 4 中的命令。
RMSTemplateId 的值。 如果此值為 [限制存取],則使用者已使用自訂參數 (而不是專為標籤設定的保護設定) 來保護檔案。 如果您繼續,標籤的保護設定將會覆寫這些自訂權限。 決定是否要繼續或要求使用者 (值,讓 RMSIssuer) 移除標籤並重新套用標籤,以及其原始自訂許可權。
使用 Set-AIPFileLabel 搭配 RemoveLabel 參數來移除標籤。 如果您使用 [使用者必須提供理由才能降低分類標籤、移除標籤或移除保護] 的原則設定,您也必須在 [理由] 參數中指定理由。 例如:
Set-AIPFileLabel \\Finance\Projectx\sales.ppdf -RemoveLabel -JustificationMessage 'Removing .ppdf protection to replace with .pdf ISO standard'為您在步驟 1 中識別的標籤指定值,以重新套用原始標籤。 例如:
Set-AIPFileLabel \\Finance\Projectx\sales.pdf -LabelId d9f23ae3-1234-1234-1234-f515f824c57b
檔案會保留副檔名 .pdf 但依照先前分類,而且會使用 PDF 加密的 ISO 標準提供保護。
支援受 Secure Islands 保護的檔案
如果您使用 Secure Islands 來保護文件,可能會因為這項保護而有受保護的文字和圖片檔,以及一般受保護的檔案。 例如,檔案的副檔名為 .ptxt、.pjpeg 或 .pfile。 如下所示編輯登錄時,Azure 資訊保護可以解密這些檔案:
將 EnableIQPFormats 的下列 DWORD 值新增至下列登錄路徑,並將值資料設定為 1:
若為 64 位版本的 Windows:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
若為 32 位版本的 Windows:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIP
由於這項登錄編輯之故,支援下列情況:
Azure 資訊保護檢視器可以開啟這些受保護的檔案。
Azure 資訊保護掃描器可以檢查這些檔案是否有機密資訊。
檔案總管、PowerShell 和 Azure 資訊保護掃描器可以標示這些檔案。 因此,您可以套用 Azure 資訊保護標籤,此標籤會套用來自 Azure 資訊保護的新保護措施,或移除來自 Secure Islands 的現有保護。
您可以使用標示移轉用戶端自訂自動將這些受保護檔案的 Secure Islands 標籤轉換為 Azure 資訊保護標籤。
注意
這項功能目前為「預覽」狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
從 Secure Islands 和其他標籤解決方案移轉標籤
此設定會使用必須在 Azure 入口網站中設定的進階用戶端設定。
此設定目前與使用 PDF 加密之 ISO 標準來保護 PDF 檔案的新預設行為不相容。 在此情況下,無法使用檔案總管、PowerShell 或掃描器來開啟 .ppdf 檔案。 若要解決此問題,請使用進階用戶端設定:不要使用 PDF 加密的 ISO 標準。
針對使用 Secure Islands 加上標籤的 Office 文件與 PDF 文件,您可以使用自行定義的對應,來為這些文件重新加上 Azure 資訊保護標籤。 當其他解決方案的標籤是在 Office 文件上時,您也可以使用此方法來重複使用來自其他解決方案的標籤。
注意
如果您擁有受 Secure Islands 保護之非 PDF 和 Office 文件的檔案,則可以在您編輯登錄之後重新標示這些檔案,如上一節中所述。
此設定選項會使 Azure 資訊保護用戶端根據以下方式套用新的 Azure 資訊保護標籤:
針對 Office 文件:當文件是在傳統型應用程式中開啟時,新的 Azure 資訊保護標籤會顯示為已設定並在儲存文件時套用。
針對檔案總管:在 [Azure 資訊保護] 對話方塊中,新的 Azure 資訊保護標籤會顯示為已設定,並在使用者選取 [套用] 時套用。 如果使用者選取 [取消],則不會套用新標籤。
針對 PowerShell:Set-AIPFileLabel 會套用新的 Azure 資訊保護標籤。 Get-AIPFileStatus 不會顯示新的 Azure 資訊保護標籤,直到以其他方法設定才會顯示。
針對 Azure 資訊保護掃描程式:當會設定新的 Azure 資訊保護標籤,且此標籤可以使用強制模式套用時,會探索報告。
此設定需要您針對每個要對應到舊標籤的 Azure 資訊保護標籤,都指定名為 LabelbyCustomProperty 的進階用戶端設定。 然後針對每個項目,使用以下語法來設定值:
[Azure Information Protection label ID],[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]
當您在 [標籤] 窗格中檢視或設定 Azure 資訊保護原則時,標籤識別碼值會顯示在 Azure 入口網站 [標籤] 窗格上。 若要指定子標籤,父標籤必須位在相同的範圍中,或在全域原則中。
指定您選擇的移轉規則名稱。 使用描述性名稱,以協助您識別來自先前標籤解決方案的一或多個標籤對應到 Azure 資訊保護標籤的方式。 名稱會顯示在掃描程式報告中和事件檢視器中。 請注意,此設定不會移除文件的原始標籤,或文件中原始標籤可能已套用的任何視覺標記。 若要移除頁首和頁尾,請參閱下一節:移除來自其他標籤解決方案的頁首和頁尾。
範例 1:相同標籤名稱的一對一對應
需求:具有「機密」安全島標籤的檔應該由 Azure 資訊保護重新標示為「機密」。
在此範例中:
您要使用的 Azure 資訊保護標籤名為機密,且具有 1ace2cc3-14bc-4142-9125-bf946a70542c 的標籤識別碼。
Secure Islands 標籤名為機密,且儲存在名為分類的自訂屬性中。
進階用戶端設定:
| 名稱 | 值 |
|---|---|
| LabelbyCustomProperty | 1ace2cc3-14bc-4142-9125-bf946a70542c、「Secure Islands 標籤是機密」、分類、機密 |
範例 2:不同標籤名稱的一對一對應
需求:安全島標示為「敏感性」的檔應該由 Azure 資訊保護重新標示為「高度機密」。
在此範例中:
您要使用的 Azure 資訊保護標籤名為高度機密,且具有 3e9df74d-3168-48af-8b11-037e3021813f 的標籤識別碼。
Secure Islands 標籤名為敏感,且儲存在名為分類的自訂屬性中。
進階用戶端設定:
| 名稱 | 值 |
|---|---|
| LabelbyCustomProperty | 3e9df74d-3168-48af-8b11-037e3021813f、「Secure Islands 標籤是敏感性」、分類、敏感性 |
範例 3:標籤名稱的多對一對應
需求:您有兩個 Secure Islands 標籤包含「Internal」 一詞,而且您想要讓 Azure 資訊保護將其中一個安全島標籤重新標示為「一般」的檔。
在此範例中:
您要使用的 Azure 資訊保護標籤名為一般,且具有 2beb8fe7-8293-444c-9768-7fdc6f75014d 的標籤識別碼。
Secure Islands 標籤包含 Internal 一詞,並儲存在名為 Classification的自訂屬性中。
進階用戶端設定:
| Name | 值 |
|---|---|
| LabelbyCustomProperty | 2beb8fe7-8293-444c-9768-7fdc6f75014d,「Secure Islands 標籤包含 Internal」,Classification,.*Internal.* |
移除來自其他標籤解決方案的頁首和頁尾
此設定會使用多個進階用戶端設定,您必須在 Azure 入口網站中加以設定。
這些設定可讓您在另一個標籤解決方案套用那些視覺標記時,移除或取代文件中的文字型頁首或頁尾。 例如,包含舊標籤名稱的舊頁尾,現已移轉至 Azure 資訊保護,具有全新的標籤名稱和獨立頁尾。
當用戶端在其原則中取得這項設定時,舊的頁首和頁尾便會在文件於 Office 應用程式中開啟時受到移除或取代,且所有 Azure 資料保護標籤都會套用至文件。
Outlook 不支援此設定,並請注意當您搭配 Word、Excel 及 PowerPoint 使用此項目時,可能會在使用者使用這些應用程式時產生負面效能影響。 設定可讓您針對每個應用程式定義設定。例如:在 Word 文件的頁首和頁尾中搜尋文字,而不在 Excel 試算表或 PowerPoint 簡報中搜尋。
因為模式比對會影響使用者的效能,我們建議您將Office應用程式類型限制 (為 Word、EXcel、P) ,只限制為需要搜尋的應用程式類型:
機碼:RemoveExternalContentMarkingInApp
值: <Office應用程式類型 WXP>
範例:
若只要搜尋 Word 文件,請指定 W。
若要搜尋 Word 文件和 PowerPoint 簡報,請指定 WP。
然後,您還需要至少一項進階用戶端設定 (ExternalContentMarkingToRemove) 來指定頁首或頁尾的內容,以及移除或取代它們的方式。
注意
這項功能目前為「預覽」狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
如何設定 ExternalContentMarkingToRemove
當您指定 ExternalContentMarkingToRemove 機碼的字串值時,有三個使用規則運算式的選項可供選擇:
部分相符,以移除頁首或頁尾中的所有內容。
例如:包含字串 TEXT TO REMOVE 的頁首或頁尾。 您若要完全移除這些頁首或頁尾, 就必須指定值:
*TEXT*。完全相符,以移除頁首或頁尾中的特定字組。
例如:包含字串 TEXT TO REMOVE 的頁首或頁尾。 您若只想移除文字 TEXT,留下頁首或頁尾字串為 TO REMOVE, 就必須指定值:
TEXT。完全相符,以移除頁首或頁尾中的所有內容。
例如:具有字串 TEXT TO REMOVE 的頁首或頁尾。 您若想要移除完整包含此字串的頁首或頁尾, 就必須指定值:
^TEXT TO REMOVE$。
您指定字串的模式比對不會區分大小寫。 字串長度上限為 255 個字元。
因為部分文件可能包含不可見的字元,或是不同種類的空格或定位字元,所以可能無法偵測您為片語或句子指定的字串。 可能的話,請為值指定單一區分字組,並務必在於生產中部署前測試結果。
機碼:ExternalContentMarkingToRemove
值: <要比對的字串,定義為正則運算式>
多行頁首或頁尾
若頁首或頁尾文字超過一行,請為每一行都建立機碼與值。 例如,下列頁尾包含兩行文字:
The file is classified as Confidential
Label applied manually
若要移除此多行頁尾,請建立以下兩個項目:
機碼 1:ExternalContentMarkingToRemove
機碼值 1: *機密*
機碼 2:ExternalContentMarkingToRemove
機碼值 2: *套用標籤*
針對 PowerPoint 最佳化
PowerPoint 中的頁尾會實作為圖形。 若要避免移除包含您所指定的文字,但並非頁首或頁尾的圖形,請使用名為 PowerPointShapeNameToRemove的額外進階用戶端設定。 我們也建議使用此設定來避免檢查所有圖形中的文字,因為檢查過程會耗費大量的資源。
若您並未指定此額外進階用戶端設定,並且 PowerPoint 有包含在 RemoveExternalContentMarkingInApp 機碼值中,則會對所有圖形檢查您在 ExternalContentMarkingToRemove值中指定的文字。
若要尋找您正用來作為頁首或頁尾的圖形名稱:
在 [PowerPoint] 中,顯示 [選取] 窗格:[格式化] 索引標籤 >[排列群組 >選取窗格]。
選取投影片上包含您頁首或頁尾的圖形。 選取的圖形名稱現在會在 [選取項目] 窗格中以醒目提示呈現。
使用圖形名稱來指定 PowerPointShapeNameToRemove 機碼的字串值。
範例:圖形名稱為 fc。 若要移除具有此名稱的圖形,您需要指定值:fc。
機碼:PowerPointShapeNameToRemove
值: <PowerPoint圖形名稱>
當您要移除的 PowerPoint 圖形超過一個時,請建立與欲移除圖形數相同數量的 PowerPointShapeNameToRemove 機碼。 針對每個項目,指定要移除的圖形名稱。
根據預設,只會針對母片投影片檢查頁首和頁尾。 若要將此搜尋範圍延伸至所有投影片 (更耗費資源的程序),請使用名為 RemoveExternalContentMarkingInAllSlides 的額外進階用戶端設定:
索引鍵:RemoveExternalContentMarkingInAllSlides
值: True
使用現有的自訂屬性標記 Office 文件
注意
若您使用此設定與移轉來自 Secure Islands 和其他標籤解決方案的標籤所用的設定,則標籤移轉設定會取得較高的優先順序。
此設定會使用必須在 Azure 入口網站中設定的進階用戶端設定。
當您進行這項設定時,可以在 Office 文件現有的自訂屬性值與您的其中一個標籤名稱相符時,予以分類 (或保護)。 這個自訂屬性可以從另一個分類解決方案進行設定,也可由 SharePoint 設為屬性。
這項設定的結果是,如果開啟了沒有 Azure 資訊保護標籤的文件,Office 應用程式中的使用者再加以儲存,文件就會標記為符合對應的屬性值。
您必須為這項設定指定兩項一併運作的進階設定。 第一個是已從其他分類解決方案設定的自訂屬性名稱 SyncPropertyName,或是由 SharePoint 設定的屬性。 第二個名為 SyncPropertyState,且必須設為 OneWay。
若要設定此進階設定,請輸入下列字串:
機碼 1:SyncPropertyName
機碼 1 值: <屬性名稱>
機碼 2:SyncPropertyState
機碼 2 的值:OneWay
請只對一個自訂屬性使用這些索引鍵與對應值。
舉例來說,您有一個名稱為 Classification 的 SharePoint 資料行,其可能的值為公開、一般和高度機密 \ 所有員工。 文件是儲存在 SharePoint 中,而且其 Classification 屬性的值設為公開、一般或高度機密 \ 所有員工。
若要以其中一個分類值標記 Office 文件,請將 SyncPropertyName 設為 Classification,並將 SyncPropertyState 設為 OneWay。
現在,當使用者開啟並儲存其中一份Office檔時,如果您的 Azure 資訊保護原則中有這些名稱的標籤,則會標示為[公用]、[一般] 或[高度機密] \ [所有員工]。 如果您的標籤不具這些名稱,文件就會維持在未標記狀態。
停用將檔中探索到的敏感性資訊傳送至 Azure 資訊保護分析
此設定會使用必須在 Azure 入口網站中設定的進階用戶端設定。
當 Azure 資訊保護 用戶端用於Office應用程式中時,它會在第一次儲存時尋找檔中的敏感性資訊。 如果用戶端未設定為未傳送稽核資訊,則會將預先定義或自訂) (找到的任何敏感性資訊類型傳送至Azure 資訊保護分析。
控制用戶端是否傳送稽核資訊的組態是將稽核資料傳送至 Azure 資訊保護記錄分析的原則設定。 當此原則設定為 [開啟 ] 時,因為您想要傳送包含標籤動作的稽核資訊,但不想傳送用戶端找到的敏感性資訊類型,請輸入下列字串:
機碼: RunAuditInformationTypesDiscovery
值:False
如果您設定此進階用戶端設定,仍然可以從用戶端傳送稽核資訊,但資訊僅限於標記活動。
例如:
使用此設定,您可以看到使用者已存取標示為 機密 \ Sales Financial.docx。
如果沒有此設定,您可以看到Financial.docx包含 6 個信用卡號碼。
- 如果您也對 敏感性資料啟用更深入的分析,您也將能夠查看這些信用卡號碼是什麼。
停止傳送使用者子集的資訊類型相符項目
此設定會使用必須在 Azure 入口網站中設定的進階用戶端設定。
當您選取Azure 資訊保護分析的核取方塊時,可讓您更深入地分析敏感性資料,以收集敏感性資訊類型或自訂條件的內容相符專案,根據預設,這項資訊會由所有使用者傳送,其中包含執行 Azure 資訊保護 掃描器的服務帳戶。 如果部分使用者不應收到此資料,請在限制範圍原則中為這些使用者建立以下進階用戶端設定:
機碼: LogMatchedContent
值: 停用
限制掃描器所使用的執行緒數目
此設定會使用必須在 Azure 入口網站中設定的進階用戶端設定。
根據預設,掃描器會在電腦上使用所有可用的處理器資源執行掃描器服務。 如果需要在執行掃描服務時限制 CPU 使用量,請建立下列進階設定。
針對值,請指定掃描器可以平行執行的並行執行緒數目。 掃描器會針對掃描的每個檔案使用個別執行緒,因此此節流設定也會定義可以平行掃描的檔案數目。
第一次設定測試值,建議您針對每一核心指定 2,然後監視結果。 例如,如果您在配備 4 個核心的電腦上執行掃描器,請先將值設定為 8。 如有必要,可依據對掃描器電腦要求的效能和掃描速率來增加或減少該數字。
機碼: ScannerConcurrencyLevel
值:< 平行線程 > 數目
停用掃描器的低完整性層級
此設定會使用必須在 Azure 入口網站中設定的進階用戶端設定。
根據預設,Azure 資訊保護掃描器會以低完整性層級執行。 此設定提供更高的安全性隔離,但會犧牲效能。 如果您以具有特殊權限的帳戶 (例如本機系統管理員帳戶) 執行掃描器時,非常適合使用低完整性層級,因為此設定能協助保護執行掃描器的電腦。
不過,當執行掃描器的服務帳戶只有 掃描器部署必要條件中記載的許可權時,不需要低完整性層級,不建議這麼做,因為它會對效能造成負面影響。
如需 Windows 完整性層級的詳細資訊,請參閱什麼是 Windows 完整性機制? \(英文\)
若要設定此進階設定,讓掃描器以 Windows 自動指派 (標準使用者帳戶以中等完整性層級執行) 的完整性層級執行,請輸入以下字串:
Key: ProcessUsingLowIntegrity
值:False
變更掃描器的逾時設定
此組態會使用您必須在Azure 入口網站中設定的進階用戶端設定。
根據預設,Azure 資訊保護掃描器的逾時期限為 00:15:00 (15 分鐘,) 檢查每個檔案是否有敏感性資訊類型或您已針對自訂條件設定的 RegEx 運算式。 當達到此內容擷取程式的逾時期間時,會傳回逾時之前的任何結果,並進一步檢查檔案停止。 在此案例中,如果有多個記錄) ,下列錯誤訊息會記錄在 %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (壓縮: GetContentParts 在 詳細資料中 取消作業失敗 。
如果您因為大型檔案而遇到此逾時問題,您可以增加此逾時期間來擷取完整內容:
索引鍵: ContentExtractionTimeout
值:< hh:min:sec >
檔案類型可能會影響掃描檔案所需的時間。 掃描時間範例:
典型的 100 MB Word 檔案:0.5-5 分鐘
典型的 100 MB PDF 檔案:5-20 分鐘
典型的 100 MB Excel 檔案:12-30 分鐘
對於非常大型的某些檔案類型,例如視訊檔案,請考慮將副檔名新增至掃描器設定檔中的 [要掃描的檔案類型] 選項,將其從 掃描 中排除。
此外,Azure 資訊保護掃描器的每個檔案都有逾時期間 00:30:00 (30 分鐘) 。 此值會考慮從存放庫擷取檔案所需的時間,並暫時將它儲存在本機,以進行可包含解密、檢查、標記和加密的內容擷取。
雖然 Azure 資訊保護掃描器每分鐘可以掃描數十到數百個檔案,但如果您有具有大量非常大型檔案的資料存放庫,掃描器可能會超過此預設逾時期間,而且在Azure 入口網站中,似乎會在 30 分鐘後停止。 在此案例中,如果有多個記錄) 且掃描器.csv記錄檔,下列錯誤訊息會記錄在 %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (壓縮: 作業已取消。
根據預設,具有 4 個核心處理器的掃描器有 16 個執行緒可供掃描,而且在 30 分鐘內遇到 16 個大型檔案的機率取決於大型檔案的比例。 例如,如果掃描速率是每分鐘 200 個檔案,而 1% 的檔案超過 30 分鐘逾時,則掃描器遇到 30 分鐘逾時情況的機率超過 85%。 這些逾時可能會導致較長的掃描時間和更高的記憶體耗用量。
在此情況下,如果您無法將更多核心處理器新增至掃描器電腦,請考慮減少逾時期間,以取得較佳的掃描速率和較低的記憶體耗用量,但會確認將排除某些檔案。 或者,請考慮增加逾時期間,以取得更精確的掃描結果,但確認此設定可能會導致較低的掃描速率和較高的記憶體耗用量。
若要變更檔案處理的逾時期限,請設定下列進階用戶端設定:
機碼: FileProcessingTimeout
值:< hh:min:sec >
變更本機記錄層級
此設定會使用必須在 Azure 入口網站中設定的進階用戶端設定。
根據預設,Azure 資訊保護用戶端會將用戶端記錄檔寫入到 %localappdata%\Microsoft\MSIP 資料夾。 這些檔案的目的是供 Microsoft 支援服務進行疑難排解。
若要變更這些檔案的記錄層級,請設定下列進階用戶端設定:
機碼: LogLevel
值:< 記錄層級 >
將記錄層級設定為下列其中一個值:
關閉:沒有本機記錄。
錯誤:僅限錯誤。
資訊:最小記錄,其中不含事件識別碼 (掃描器的預設設定) 。
偵錯:完整資訊。
追蹤:詳細的記錄 (用戶端) 的預設設定。 針對掃描器,此設定有明顯效能影響,只有在收到 Microsoft 支援服務專員 要求時才應該為掃描器啟用。 若您被要求為掃描器設定此層級的記錄,收集到相關記錄之後,請記得設定為不同的值。
此進階用戶端設定不會變更傳送到 Azure 資訊保護以進行集中報告的資訊,也不會變更寫入到本機事件記錄檔的資訊。
與舊版Exchange郵件分類整合
Outlook 網頁版現在支援Exchange Online的內建標籤,這是在Outlook 網頁版中標記電子郵件的建議方法。 不過,如果您需要在 OWA 中標記電子郵件,並使用尚未支援敏感度標籤的 Exchange Server,您可以使用Exchange郵件分類來將 Azure 資訊保護 標籤延伸至Outlook 網頁版。
Outlook Mobile 不支援 Exchange 郵件分類。
若要達成此解決方案︰
使用 New-MessageClassification Exchange PowerShell Cmdlet 搭配對應至您 Azure 資訊保護原則中標籤名稱的 Name 屬性來建立郵件分類。
針對每個標籤建立 Exchange 郵件流程規則︰當郵件屬性包含您所設定的分類時套用規則,並修改郵件屬性以設定郵件標頭。
針對郵件標頭,您可以檢查您使用 Azure 資訊保護 標籤傳送和分類的電子郵件網際網路標頭,以尋找要指定的資訊。 尋找標頭 msip_labels 和緊接著的字串,最多和排除分號。 例如:
msip_labels:MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True
然後,對於規則中的郵件標頭,指定 msip_labels 為標頭,這個字串的其餘部分則為標頭值。 例如:
注意:當標籤是子標籤時,還必須使用相同的格式在標頭值的子標籤之前指定父標籤。 例如,如果您的子標籤 GUID 為 27efdf94-80a0-4d02-b88c-b615c12d69a9,則您的值看起來可能如下所示:
MSIP_Label_ab70158b-bdcc-42a3-8493-2a80736e9cbd_Enabled=True;MSIP_Label_27efdf94-80a0-4d02-b88c-b615c12d69a9_Enabled=True
在測試這項設定之前,請記住在您建立或編輯郵件流程規則時通常會發生延遲 (例如等候一小時)。 當規則作用中時,當使用者使用 Outlook 網頁版時,現在會發生下列事件:
使用者選取 Exchange 郵件分類並傳送電子郵件。
Exchange 規則會偵測 Exchange 分類,並據此修改郵件標頭以新增 Azure 資訊保護分類。
當已安裝 Azure 資訊保護用戶端的內部收件者檢視 Outlook 中的電子郵件時,他們會看到指派的 Azure 資訊保護標籤。
如果您的 Azure 資訊保護標籤套用保護,請將此保護新增至規則設定:選取選項以修改訊息安全性、套用許可權保護,然後選取保護範本或 [不可轉寄] 選項。
您也可以設定郵件流程規則以執行反向對應。 在偵測到 Azure 資訊保護標籤時,設定對應的 Exchange 郵件分類:
- 對於每個 Azure 資訊保護標籤:建立在 msip_labels 標頭包含標籤名稱 (例如,一般) 時套用的郵件流程規則,並套用對應到此標籤的郵件分類。
後續步驟
既然您已經自訂 Azure 資訊保護用戶端,請參閱下列資源以取得支援此用戶端可能需要的其他資訊: