Handbuch für Administratoren: Benutzerdefinierte Konfigurationen für den einheitlichen Azure Information Protection-Client

Giltfür : Azure Information Protection, Windows 11, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Wenn Sie über Windows 7 oder Office 2010 verfügen, lesen Sie AIP und legacy-Windows und Office Versionen.

Relevant für:Einheitlicher Azure Information Protection-Beschriftungsclient für Windows.

Verwenden Sie die folgenden Informationen für erweiterte Konfigurationen, die für bestimmte Szenarien oder Benutzer beim Verwalten des einheitlichen AIP-Beschriftungsclients erforderlich sind.

Hinweis

Diese Einstellungen erfordern das Bearbeiten der Registrierung oder die Angabe erweiterter Einstellungen. Für die erweiterten Einstellungen Office 365 Security Compliance Center PowerShell verwendet.

Konfigurieren erweiterter Einstellungen für den Client über PowerShell

Verwenden Sie Microsoft 365 Compliance Center PowerShell, um erweiterte Einstellungen zum Anpassen von Bezeichnungsrichtlinien und Bezeichnungen zu konfigurieren.

Geben Sie in beiden Fällen nach dem Herstellen einer Verbindung mit Office 365 Security Compliance Center-PowerShellden AdvancedSettings-Parameter mit der Identität (Name oder GUID) der Richtlinie oder Bezeichnung an, und geben Sie Schlüssel-Wert-Paare in einer Hashtabelle an.

Verwenden Sie zum Entfernen einer erweiterten Einstellung dieselbe AdvancedSettings-Parametersyntax, aber geben Sie einen Null-Zeichenfolgenwert an.

Wichtig

Verwenden Sie in den Zeichenfolgenwerten keine Leerzeichen. Weiße Zeichenfolgen in diesen Zeichenfolgenwerten verhindern die Anwendung von Beschriftungen.

Weitere Informationen finden Sie unter:

Syntax für erweiterte Einstellungen für Bezeichnungsrichtlinien

Ein Beispiel für eine erweiterte Einstellung für Bezeichnungsrichtlinien ist die Einstellung zum Anzeigen der Informationsschutzleiste in Office Apps.

Verwenden Sie für einen einzelnen Zeichenfolgenwertdie folgende Syntax:

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key="value1,value2"}

Verwenden Sie für einen Wert aus mehreren Zeichenfolgen fürdenselben Schlüssel die folgende Syntax:

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

Syntax für erweiterte Einstellungen für Bezeichnungen

Ein Beispiel für eine erweiterte Einstellung für Bezeichnungen ist die Einstellung zum Angeben einer Beschriftungsfarbe.

Verwenden Sie für einen einzelnen Zeichenfolgenwertdie folgende Syntax:

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key="value1,value2"}

Verwenden Sie für einen Wert aus mehreren Zeichenfolgen fürdenselben Schlüssel die folgende Syntax:

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

Überprüfen der aktuellen erweiterten Einstellungen

Führen Sie die folgenden Befehle aus, um die aktuellen erweiterten Einstellungen zu überprüfen:

Verwenden Sie die folgende Syntax, umdie erweiterten Einstellungen der Bezeichnungsrichtlinie zu überprüfen:

Für eine Bezeichnungsrichtlinie mit dem Namen Global:

(Get-LabelPolicy -Identity Global).settings

Verwenden Sie die folgende Syntax, um die erweiterten Einstellungenfür Bezeichnungen zu überprüfen:

Für eine Bezeichnung mit dem Namen Public:

(Get-Label -Identity Public).settings

Beispiele für das Festlegen erweiterter Einstellungen

Beispiel 1:Festlegen einer erweiterten Einstellung für eine Bezeichnungsrichtlinie für einen einzelnen Zeichenfolgenwert:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

Beispiel 2:Festlegen einer erweiterten Bezeichnungseinstellung für einen einzelnen Zeichenfolgenwert:

Set-Label -Identity Internal -AdvancedSettings @{smimesign="true"}

Beispiel 3:Festlegen einer erweiterten Bezeichnungseinstellung für mehrere Zeichenfolgenwerte:

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

Beispiel 4:Entfernen Sie eine erweiterte Einstellung für eine Bezeichnungsrichtlinie, indem Sie einen Null-Zeichenfolgenwert angeben:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions=""}

Angeben der Bezeichnungsrichtlinie oder Bezeichnungsidentität

Das Suchen des Bezeichnungsrichtliniennamens für den Parameter PowerShell Identity ist einfach, da die Richtlinie nur einen Namen Microsoft 365 Compliance Center.

Bei Beschriftungen werden jedoch Microsoft 365 Compliance Center Name- und Anzeigename-Wert angezeigt. In einigen Fällen sind diese Werte identisch, können aber unterschiedlich sein. Verwenden Sie zum Konfigurieren erweiterter Einstellungen für Bezeichnungen den Wert Name.

Um beispielsweise die Bezeichnung in der folgenden Abbildung zu identifizieren, verwenden Sie die folgende Syntax in Ihrem PowerShell-Befehl: -Identity "All Company"

Verwenden von

Wenn Sie die Bezeichnungs-GUID angeben möchten,wird dieser Wert nicht in der Microsoft 365 Compliance Center. Verwenden Sie den Befehl Get-Label, um diesen Wert wie folgt zu finden:

Get-Label | Format-Table -Property DisplayName, Name, Guid

Weitere Informationen zum Beschriften von Namen und Anzeigenamen finden Sie unter:

  • Name ist der ursprüngliche Name des Etiketts und auf allen Ihren Etiketten eindeutig.

    Dieser Wert bleibt derselbe, auch wenn Sie den Bezeichnungsnamen später geändert haben. Bei Vertraulichkeitsbeschriftungen, die aus Azure Information Protection migriert wurden, wird möglicherweise die ursprüngliche Bezeichnungs-ID aus dem Azure-Portal angezeigt.

  • Anzeigename ist der Name, der den Benutzern für das Etikett zurzeit angezeigt wird und nicht auf allen Etiketten eindeutig sein muss.

    Sie können z. B. den Anzeigenamen Alle Mitarbeiter für ein Unterzeichen unter dem Etikett Vertraulich und einen anderen Anzeigenamen Für alle Mitarbeiter für ein Unterzeichen unter dem Etikett "Streng vertraulich" verwenden. Diese Unterbezeichnungen zeigen beide denselben Namen an, haben aber nicht dieselbe Bezeichnung und haben unterschiedliche Einstellungen.

Rangfolge – Wie Konflikte bei Einstellungen gelöst werden

Sie können das -Microsoft 365 Compliance Center verwenden, um die folgenden Bezeichnungsrichtlinieneinstellungen zu konfigurieren:

  • Diese Bezeichnung standardmäßig auf Dokumente und E-Mails anwenden

  • Benutzer müssen eine Begründung für das Entfernen einer Bezeichnung oder einer niedrigeren Klassifizierungsbezeichnung bereitstellen.

  • Benutzer müssen eine Bezeichnung auf ihre E-Mails oder Ihr Dokument anwenden

  • Bereitstellen eines Links zu einer benutzerdefinierten Hilfeseite für Benutzer

Wenn mehrere Bezeichnungsrichtlinien für einen Benutzer konfiguriert sind, von denen jede potenziell unterschiedliche Richtlinieneinstellungen hat, wird die letzte Richtlinieneinstellung entsprechend der Reihenfolge der Richtlinien im Microsoft 365 Compliance Center. Weitere Informationen finden Sie unter Bezeichnungsrichtlinienpriorität (Reihenfolge ist wichtig).

Erweiterte Einstellungen für Bezeichnungsrichtlinien werden auf dieselbe Logik angewendet, indem die letzte Richtlinieneinstellung verwendet wird.

Verweise auf erweiterte Einstellungen

In den folgenden Abschnitten sind die verfügbaren erweiterten Einstellungen für Bezeichnungsrichtlinien und Bezeichnungen enthalten:

Verweis auf erweiterte Einstellungen nach Feature

In den folgenden Abschnitten sind die auf dieser Seite beschriebenen erweiterten Einstellungen nach Produkt- und Featureintegration aufgeführt:

Feature Erweiterte Einstellungen
Outlook und E-Mail-Einstellungen - -
- -
- -
- -
- -
- -
- -
- -
- -
PowerPoint-Einstellungen - -
- -
- -
Datei-Explorer-Einstellungen - -
- -
- -
Einstellungen für Leistungsverbesserungen - -
- -
- -
Einstellungen zur Integration in andere Etikettenlösungen - -
- -
AIP-Analyseeinstellungen - -
- -
Allgemeine Einstellungen - -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -

Verweis auf erweiterte Einstellungen für Bezeichnungsrichtlinien

Verwenden Sie den Parameter AdvancedSettings mit New-LabelPolicy und Set-LabelPolicy, um die folgenden Einstellungen zu definieren:

Einstellung Szenario und Anweisungen
AdditionalPPrefixExtensions Unterstützung für das Ändern von > EXT. PFILE zu P < EXT > mithilfe dieser erweiterten Eigenschaft
AttachmentAction Wenden Sie für E-Mail-Nachrichten mit Anlagen eine Bezeichnung an, die der höchsten Klassifizierung dieser Anlagen entspricht.
AttachmentActionTip Wenden Sie für E-Mail-Nachrichten mit Anlagen eine Bezeichnung an, die der höchsten Klassifizierung dieser Anlagen entspricht.
DisableMandatoryInOutlook Aus Outlook Nachrichten von der obligatorischen Kennzeichnung ausgenommen
EnableAudit Verhindern, dass Überwachungsdaten an AIP gesendet und Microsoft 365 werden
EnableContainerSupport Entfernen des Schutzes von PST-, Rar-, 7zip- und MSG-Dateien aktivieren
EnableCustomPermissions Deaktivieren von benutzerdefinierten Berechtigungen im Datei-Explorer
EnableCustomPermissionsForCustomProtectedFiles Zeigen Sie für Dateien, die mit benutzerdefinierten Berechtigungen geschützt sind, immer benutzerdefinierte Berechtigungen für Benutzer im Datei-Explorer an.
EnableGlobalization Aktivieren von Globalisierungsfeatures für Klassifizierungen
EnableLabelByMailHeader Migrieren von Bezeichnungen aus sicheren Inseln und anderen Etikettenlösungen
EnableLabelBySharePointProperties Migrieren von Bezeichnungen aus sicheren Inseln und anderen Etikettenlösungen
EnableOutlookDistributionListExpansion Erweitern Outlook von Verteilerlisten bei der Suche nach E-Mail-Empfängern
EnableRevokeGuiSupport Deaktivieren der Option "Widerrufen" für Endbenutzer in Office Apps
EnableTrackAndRevoke Deaktivieren der Features für die Dokumentnachverfolgung
HideBarByDefault Anzeigen der Informationsschutzleiste in Office Apps
JustificationTextForUserText Anpassen von Rechtfertigungsaufforderungstexten für geänderte Etiketten
LogMatchedContent Senden von Übereinstimmungen mit dem Informationstyp an Azure Information Protection-Analysen
OfficeContentExtractionTimeout Konfigurieren des Timeouts für die automatische Office von Dateien
OutlookBlockTrustedDomains Implementieren von Popupnachrichten in einer Outlook, in der gesendete E-Mails gewarnt, im Blockierungs- oder Blockierungsfenster angezeigt werden
OutlookBlockUntrustedCollaborationLabel Implementieren von Popupnachrichten in einer Outlook, in der gesendete E-Mails gewarnt, im Blockierungs- oder Blockierungsfenster angezeigt werden
OutlookCollaborationRule Anpassen Outlook von Popupnachrichten
OutlookDefaultLabel Festlegen einer anderen Standardbezeichnung für Outlook
OutlookGetEmailAddressesTimeOutMSProperty Ändern des Timeouts für das Erweitern einer Verteilerliste in Outlook implementieren von Sperrnachrichten für Empfänger in Verteilerlisten )
OutlookJustifyTrustedDomains Implementieren von Popupnachrichten in einer Outlook, in der gesendete E-Mails gewarnt, im Blockierungs- oder Blockierungsfenster angezeigt werden
OutlookJustifyUntrustedCollaborationLabel Implementieren von Popupnachrichten in einer Outlook, in der gesendete E-Mails gewarnt, im Blockierungs- oder Blockierungsfenster angezeigt werden
OutlookRecommendationEnabled Aktivieren der empfohlenen Klassifizierung in Outlook
OutlookOverrideUnlabeledCollaborationExtensions Implementieren von Popupnachrichten in einer Outlook, in der gesendete E-Mails gewarnt, im Blockierungs- oder Blockierungsfenster angezeigt werden
OutlookSkipSmimeOnReadingPaneEnabled Verhindern Outlook Leistungsproblemen bei S/MIME-E-Mails
OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Implementieren von Popupnachrichten in einer Outlook, in der gesendete E-Mails gewarnt, im Blockierungs- oder Blockierungsfenster angezeigt werden
OutlookWarnTrustedDomains Implementieren von Popupnachrichten in einer Outlook, in der gesendete E-Mails gewarnt, im Blockierungs- oder Blockierungsfenster angezeigt werden
OutlookWarnUntrustedCollaborationLabel Implementieren von Popupnachrichten in einer Outlook, in der gesendete E-Mails gewarnt, im Blockierungs- oder Blockierungsfenster angezeigt werden
PFileSupportedExtensions Ändern der zu schützende Dateitypen
PostponeMandatoryBeforeSave Entfernen von "Nicht jetzt" für Dokumente, wenn Sie die obligatorische Beschriftung verwenden
PowerPointRemoveAllShapesByShapeName Entfernen aller Formen eines bestimmten Shape-Namens aus den Kopf- und Fußzeilen, statt Formen nach Text in der Form zu entfernen
PowerPointShapeNameToRemove Vermeiden Sie das Entfernen von Shapes PowerPoint, die angegebenen Text enthalten und keine Kopf- und Fußzeilen sind
RemoveExternalContentMarkingInApp Entfernen von Kopf- und Fußzeilen aus anderen Bezeichnungslösungen
RemoveExternalMarkingFromCustomLayouts Explizites Entfernen von Markierungen für externe Inhalte innerhalb PowerPoint Benutzerdefinierten Layouts
ReportAnIssueLink Hinzufügen von "Problem melden" für Benutzer
RunPolicyInBackground Aktivieren der Klassifizierung, damit sie kontinuierlich im Hintergrund ausgeführt wird
ScannerMaxCPU CPU-Verbrauch einschränken
ScannerMinCPU CPU-Verbrauch einschränken
ScannerConcurrencyLevel Begrenzen der Vom Scanner verwendeten Threads
ScannerFSAttributesToSkip Überspringen oder Ignorieren von Dateien während Scans je nach Dateiattributen
SharepointWebRequestTimeout Konfigurieren SharePoint Timeouts
SharepointFileWebRequestTimeout Konfigurieren SharePoint Timeouts
UseCopyAndPreserveNTFSOwner BEIBEHALTEN von NTFS-Besitzern während der Bezeichnung

Verweis auf erweiterte Bezeichnungseinstellungen

Verwenden Sie den Parameter AdvancedSettings mit New-Label und Set-Label.

Einstellung Szenario und Anweisungen
Farbe Angeben einer Farbe für die Beschriftung
customPropertiesByLabel Anwenden einer benutzerdefinierten Eigenschaft, wenn eine Bezeichnung angewendet wird
DefaultSubLabelId Angeben eines Standardunterbezeichnungszeichens für eine übergeordnete Bezeichnung
labelByCustomProperties Migrieren von Bezeichnungen aus sicheren Inseln und anderen Etikettenlösungen
SMimeEncrypt Konfigurieren einer Bezeichnung zum Anwenden von S/MIME-Schutz in Outlook
SMimeSign Konfigurieren einer Bezeichnung zum Anwenden von S/MIME-Schutz in Outlook

Ausblenden der Menüoption "Klassifizieren und schützen" Windows Datei-Explorer

Um die Menüoption Klassifizieren und schützen im Datei Windows-Explorer auszublenden, erstellen Sie den folgenden DWORD-Wertnamen (mit beliebigen Wertdaten):

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable

Weitere Informationen finden Sie unter Verwenden des Datei-Explorers zum Klassifizieren von Dateien.

Anzeigen der Informationsschutzleiste in Office Apps

Für diese Konfiguration wird eine erweiterte Einstellung der Richtlinie verwendet, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Standardmäßig müssen Benutzer auf der Schaltfläche Vertraulichkeit die Option Leiste anzeigen auswählen, um die Informationsschutzleiste in Office anzeigen. Verwenden Sie die HideBarByDefault-Taste, und legen Sie den Wert auf False fest, damit diese Leiste automatisch für Benutzer angezeigt wird, sodass sie Bezeichnungen entweder über die Leiste oder über die Schaltfläche auswählen können.

Geben Sie für die ausgewählte Bezeichnungsrichtlinie die folgenden Zeichenfolgen an:

  • Schlüssel: HideBarByDefault

  • Wert: False

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{HideBarByDefault="False"}

Aus Outlook Nachrichten von der obligatorischen Kennzeichnung ausgenommen

Für diese Konfiguration wird eine erweiterte Einstellung der Richtlinie verwendet, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Wenn Sie die Bezeichnungsrichtlinieneinstellung Alle Dokumente und E-Mails aktivieren,müssen standardmäßig alle gespeicherten Dokumente und gesendeten E-Mails mit einer Bezeichnung versehen sein. Wenn Sie die folgende erweiterte Einstellung konfigurieren, gilt die Richtlinieneinstellung nur für alle Office und nicht für Outlook Nachrichten.

Geben Sie für die ausgewählte Bezeichnungsrichtlinie die folgenden Zeichenfolgen an:

  • Schlüssel: DisableMandatoryInOutlook

  • Wert: True

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{DisableMandatoryInOutlook="True"}

Für diese Konfiguration wird eine erweiterte Einstellung der Richtlinie verwendet, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Wenn Sie eine Bezeichnung für die empfohlene Klassifizierung konfigurieren, werden Benutzer aufgefordert, die empfohlene Bezeichnung in Word, Excel und PowerPoint. Mit dieser Einstellung wird diese Bezeichnungsempfehlung erweitert, damit sie auch in Outlook.

Geben Sie für die ausgewählte Bezeichnungsrichtlinie die folgenden Zeichenfolgen an:

  • Schlüssel: OutlookRecommendationEnabled

  • Wert: True

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookRecommendationEnabled="True"}

Entfernen des Schutzes von komprimierten Dateien aktivieren

Für diese Konfiguration wird eine erweiterte Einstellung der Richtlinie verwendet, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Wenn Sie diese Einstellung konfigurieren, ist das PowerShell-CmdletSet-AIPFileLabel aktiviert, um das Entfernen des Schutzes von PST-, Rar- und 7zip-Dateien zu ermöglichen.

  • Schlüssel: EnableContainerSupport

  • Wert: True

PowerShell-Beispielbefehl mit aktivierter Richtlinie:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}

Festlegen einer anderen Standardbezeichnung für Outlook

Für diese Konfiguration wird eine erweiterte Einstellung der Richtlinie verwendet, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Wenn Sie diese Einstellung konfigurieren, Outlook die Standardbezeichnung, die als Richtlinieneinstellung konfiguriert ist, für die Option Diese Bezeichnung standardmäßig auf Dokumente und E-Mails anwenden angewendet. Stattdessen können Outlook eine andere Standardbeschriftung oder keine Beschriftung anwenden.

Geben Sie für die ausgewählte Bezeichnungsrichtlinie die folgenden Zeichenfolgen an:

  • Schlüssel: OutlookDefaultLabel

  • Wert: <<> oder >

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookDefaultLabel="None"}

Ändern der zu schützende Dateitypen

Diese Konfigurationen verwenden eine erweiterte Einstellung für Richtlinien, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Standardmäßig schützt der einheitliche Azure Information Protection-Beschriftungsclient alle Dateitypen, und der Scanner vom Client schützt nur Office Dateitypen und PDF-Dateien.

Sie können dieses Standardverhalten für eine ausgewählte Bezeichnungsrichtlinie ändern, indem Sie eine der folgenden Optionen angeben:

PFileSupportedExtension

  • Schlüssel: PFileSupportedExtensions

  • Wert: Zeichenfolgenwert >

Verwenden Sie die folgende Tabelle, um den Zeichenfolgenwert zu identifizieren, der angegeben werden soll:

Zeichenfolgenwert Client Scanner
* Standardwert: Schutz auf alle Dateitypen anwenden Anwenden des Schutzes auf alle Dateitypen
ConvertTo-Json(".jpg"; ".png") Wenden Sie zusätzlich Office PDF-Dateitypen und PDF-Dateien Schutz auf die angegebenen Dateinamenerweiterungen an. Wenden Sie zusätzlich Office PDF-Dateitypen und PDF-Dateien Schutz auf die angegebenen Dateinamenerweiterungen an.

Beispiel 1:PowerShell-Befehl für den Scanner zum Schützen aller Dateitypen, bei denen Ihre Bezeichnungsrichtlinie den Namen "Scanner" hat:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Beispiel 2:PowerShell-Befehl für den Scanner, um .txt- und .csv-Dateien zusätzlich zu Office- und PDF-Dateien zu schützen, wobei Ihre Bezeichnungsrichtlinie den Namen "Scanner" hat:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}

Mit dieser Einstellung können Sie ändern, welche Dateitypen geschützt sind, aber Sie können die Standardschutzebene nicht von systemeigene in generisch ändern. Beispielsweise können Sie für Benutzer, die den einheitlichen Beschriftungsclient ausführen, die Standardeinstellung so ändern, dass nur Office-Dateien und PDF-Dateien anstelle aller Dateitypen geschützt werden. Sie können diese Dateitypen jedoch nicht so ändern, dass sie generisch mit der Dateinamenerweiterung PFILE geschützt werden.

AdditionalPPrefixExtensions

Der einheitliche Beschriftungsclient unterstützt das Ändern von <> EXT. PFILE zu P < EXT > mithilfe der erweiterten <. Diese erweiterte Eigenschaft wird vom Datei-Explorer, von PowerShell und vom Scanner unterstützt. Alle Apps haben ein ähnliches Verhalten.

  • Schlüssel: AdditionalPPrefixExtensions

  • Wert: Zeichenfolgenwert >

Verwenden Sie die folgende Tabelle, um den Zeichenfolgenwert zu identifizieren, der angegeben werden soll:

Zeichenfolgenwert Client und Scanner
* Alle PFile-Erweiterungen werden zu P < EXT>
<Nullwert> Der Standardwert verhält sich wie der Standardwert für den Schutz.
ConvertTo-Json(".dwg"; ".zip") Zusätzlich zur vorherigen Liste werden ".dwg" und ".zip" zu P < EXT>

Mit dieser Einstellung werden die folgenden Erweiterungen immer zu P EXT: >".txt", ".xml", ".bmp", ".jt", ".jpg", ".jpeg", ".jpe", ".jif", ".jfif", ".jfi", ".png", ".tif", ".tiff", ".gif"). Der wichtige Ausschluss ist, dass "ptxt" nicht zu "txt.pfile" wird.

AdditionalPPrefixExtensions funktioniert nur, wenn der Schutz von PFiles mit der erweiterten Eigenschaft PFileSupportedExtension aktiviert ist.

Beispiel 1:Der PowerShell-Befehl verhält sich wie das Standardverhalten, bei dem ".dwg" schützen zu ".dwg.pfile" wird:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}

Beispiel 2:PowerShell-Befehl zum Ändern aller PFile-Erweiterungen vom allgemeinen Schutz (DWG.pfile) in systemeigenen Schutz (PDWG), wenn die Dateien geschützt sind:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}

Beispiel 3:PowerShell-Befehl zum Ändern von ".dwg" in ".pdwg", wenn Sie diesen Dienst verwenden, schützen Sie diese Datei:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}

Entfernen von "Nicht jetzt" für Dokumente, wenn Sie die obligatorische Beschriftung verwenden

Für diese Konfiguration wird eine erweiterte Richtlinieneinstellung verwendet, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Wenn Sie die Bezeichnungsrichtlinieneinstellung Alle Dokumente und E-Mails müssen eine Bezeichnung haben, werden Die Benutzer beim ersten Speichern eines Office-Dokuments und beim Senden einer E-Mail von ihrem Konto aufgefordert, eine Bezeichnung Outlook.

Bei Dokumenten können Benutzer Nicht jetzt auswählen, um die Aufforderung zum Auswählen einer Bezeichnung vorübergehend zu schließen und zum Dokument zurückzukehren. Sie können das gespeicherte Dokument jedoch nicht schließen, ohne es mit einer Bezeichnung zu versehen.

Wenn Sie die Einstellung PostponeMandatoryBeforeSave konfigurieren, wird die Option Nicht jetzt entfernt, sodass Benutzer beim ersten Speichern des Dokuments eine Bezeichnung auswählen müssen.

Tipp

Mit der Einstellung PostponeMandatoryBeforeSave wird außerdem sichergestellt, dass freigegebene Dokumente beschriftet werden, bevor sie per E-Mail gesendet werden.

Standardmäßig werden Benutzer nur dann beschriftet, wenn Sie alle Dokumente und E-Mails in Ihrer Richtlinie aktiviert haben müssen, die Bezeichnungsdateien, die an E-Mails innerhalb der Richtlinie Outlook.

Geben Sie für die ausgewählte Bezeichnungsrichtlinie die folgenden Zeichenfolgen an:

  • Schlüssel: PostponeMandatoryBeforeSave

  • Wert: False

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PostponeMandatoryBeforeSave="False"}

Entfernen von Kopf- und Fußzeilen aus anderen Bezeichnungslösungen

Diese Konfiguration verwendet erweiterte Einstellungen für Richtlinien, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Es gibt zwei Methoden zum Entfernen von Klassifizierungen aus anderen Etikettenlösungen:

Einstellung Beschreibung
WordShapeNameToRemove Entfernt alle Formen aus Word-Dokumenten, bei denen der Shape-Name dem Namen entspricht, der in der erweiterten WordShapeNameToRemove-Eigenschaft definiert ist.

Weitere Informationen finden Sie unter Verwenden der erweiterten WordShapeNameToRemove-Eigenschaft.
RemoveExternalContentMarkingInApp

ExternalContentMarkingToRemove
Ermöglicht es Ihnen, textbasierte Kopf- oder Fußzeilen aus Word, Excel Und PowerPoint zu ersetzen.

Weitere Informationen finden Sie unter:
- -
- -

Verwenden der erweiterten WordShapeNameToRemove-Eigenschaft

Die erweiterte WordShapeNameToRemove-Eigenschaft wird ab Version 2.6.101.0 unterstützt.

Mit dieser Einstellung können Sie formbasierte Beschriftungen aus Word-Dokumenten entfernen oder ersetzen, wenn diese visuellen Markierungen durch eine andere Etikettenlösung angewendet wurden. Beispielsweise enthält das Shape den Namen einer alten Beschriftung, die Sie jetzt zu Vertraulichkeitsbeschriftungen migriert haben, um einen neuen Bezeichnungsnamen und eine eigene Form zu verwenden.

Um diese erweiterte Eigenschaft zu verwenden, müssen Sie den Shape-Namen im Word-Dokument suchen und dann in der erweiterten Eigenschaftenliste von Shapes WordShapeNameToRemove definieren. Der Dienst entfernt jedes Shape in Word, das mit einem Namen beginnt, der in der Liste der Shapes in dieser erweiterten Eigenschaft definiert ist.

Vermeiden Sie das Entfernen von Shapes, die den zu ignorierenden Text enthalten. Definieren Sie dazu den Namen aller zu entfernenden Shapes, und vermeiden Sie die Überprüfung des Texts in allen Shapes. Dies ist ein ressourcenintensiver Prozess.

Hinweis

In Microsoft Word können Shapes entweder durch Definieren des Shapesnamens oder durch ihren Text entfernt werden, jedoch nicht durch beides. Wenn die WordShapeNameToRemove-Eigenschaft definiert ist, werden alle durch den Wert ExternalContentMarkingToRemove definierten Konfigurationen ignoriert.

So suchen Sie den Namen des verwendetenShapes und möchten ausschließen:

  1. Anzeigen des Auswahlbereichs inWord: Gruppe 'Bearbeiten' auf der Registerkarte 'Start' Auswählen der Option 'Auswahlbereich'

  2. Wählen Sie das Shape auf dem Zeichenblatt aus, das Sie zum Entfernen markieren möchten. Der Name der markierten Form wird jetzt im Auswahlbereich hervorgehoben.

Verwenden Sie den Namen der Form, um einen Zeichenfolgenwert für den WordShapeNameToRemove-Schlüssel anzugeben.

Beispiel: Der Shape-Name ist dc. Um das Shape mit diesem Namen zu entfernen, geben Sie den Wert an: dc .

  • Schlüssel: WordShapeNameToRemove

  • Wert: <<>

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{WordShapeNameToRemove="dc"}

Wenn Sie mehrere Word-Shapes entfernen möchten, geben Sie so viele Werte an, wie sie entfernt werden müssen.

Verwenden der erweiterten RemoveExternalContentMarkingInApp-Eigenschaft

Mit dieser Einstellung können Sie textbasierte Kopf- oder Fußzeilen aus Dokumenten entfernen oder ersetzen, wenn diese visuellen Markierungen durch eine andere Bezeichnungslösung angewendet wurden. Die alte Fußzeile enthält z. B. den Namen eines alten Etiketts, das Sie jetzt zu Vertraulichkeitsbeschriftungen migriert haben, um einen neuen Bezeichnungsnamen und eine eigene Fußzeile zu verwenden.

Wenn der einheitliche Beschriftungsclient diese Konfiguration in seiner Richtlinie erhält, werden die alten Kopf- und Fußzeilen entfernt oder ersetzt, wenn das Dokument im Office-App geöffnet wird und alle Vertraulichkeitsbeschriftungen auf das Dokument angewendet werden.

Diese Konfiguration wird für Outlook nicht unterstützt, und beachten Sie, dass sich die Verwendung mit Word, Excel und PowerPoint negativ auf die Leistung dieser Apps für Benutzer auswirken kann. Mit der Konfiguration können Sie Einstellungen pro Anwendung definieren, z. B. nach Text in den Kopf- und Fußzeilen von Word-Dokumenten, aber nicht in Excel oder PowerPoint Präsentationen.

Da sich der Musterabgleich auf die Leistung für die Benutzer auswirkt, empfehlen wir, die Office-Anwendungstypen(Word, EXcel, PowerPoint) auf diejenigen zu beschränken, die durchsucht werden müssen. Geben Sie für die ausgewählte Bezeichnungsrichtlinie die folgenden Zeichenfolgen an:

  • Schlüssel: RemoveExternalContentMarkingInApp

  • Wert: <<>

Beispiele:

  • Um nur Word-Dokumente zu durchsuchen, geben Sie W an.

  • Zum Durchsuchen von Word-Dokumenten und PowerPoint-Präsentationen geben Sie WP an.

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInApp="WX"}

Sie benötigen dann mindestens eine erweiterte Clienteinstellung, ExternalContentMarkingToRemove,um die Inhalte der Kopf- oder Fußzeile anzugeben und zu erfahren, wie sie entfernt oder ersetzt werden.

Konfigurieren von ExternalContentMarkingToRemove

Wenn Sie den Zeichenfolgenwert für den Schlüssel ExternalContentMarkingToRemove angeben, haben Sie drei Optionen, die reguläre Ausdrücke verwenden. Verwenden Sie für jedes dieser Szenarien die in der Spalte Beispielwert in der folgenden Tabelle gezeigte Syntax:

Option Beispielbeschreibung Beispielwert
Teilweise Übereinstimmung, um alle Inhalte in der Kopf- oder Fußzeile zu entfernen Ihre Kopf- oder Fußzeilen enthalten die Zeichenfolge TEXT TO REMOVE, und Sie möchten diese Kopf- oder Fußzeilen vollständig entfernen. *TEXT*
Vollständige Übereinstimmung, um nur bestimmte Wörter in der Kopf- oder Fußzeile zu entfernen Ihre Kopf- oder Fußzeilen enthalten die Zeichenfolge TEXT ZUENTFERNEN, und Sie möchten nur das Wort TEXT entfernen, und die Kopf- oder Fußzeilenzeichenfolge wird als ZU ENTFERNEN belässt. TEXT
Vollständige Übereinstimmung, um alles in der Kopf- oder Fußzeile zu entfernen Ihre Kopf- oder Fußzeilen enthalten die Zeichenfolge TEXT, DIE ENTFERNT WERDEN SOLL. Sie möchten kopf- oder fußzeilen entfernen, die genau diese Zeichenfolge enthalten. ^TEXT TO REMOVE$

Beim Musterabgleich für die von Ihnen festgelegte Zeichenfolge wird die Groß-/Kleinschreibung nicht beachtet. Die maximale Zeichenfolgenlänge beträgt 255 Zeichen und darf keine Leerzeichen enthalten.

Da einige Dokumente unsichtbare Zeichen oder andere Arten von Leerzeichen oder Tabstopps enthalten können, wird die zeichenfolge, die Sie für einen Ausdruck oder Satz angeben, möglicherweise nicht erkannt. Geben Sie möglichst ein einzelnes Unterscheidungswort für den Wert an, und testen Sie die Ergebnisse, bevor Sie sie in der Produktion bereitstellen.

Geben Sie für dieselbe Bezeichnungsrichtlinie die folgenden Zeichenfolgen an:

  • Schlüssel: ExternalContentMarkingToRemove

  • Wert: <<>

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*TEXT*"}

Weitere Informationen finden Sie unter:

Mehrstufige Kopf- oder Fußzeilen

Wenn ein Kopf- oder Fußzeilentext mehr als eine einzelne Zeile ist, erstellen Sie einen Schlüssel und einen Wert für jede Zeile. Wenn Sie beispielsweise über die folgende Fußzeile mit zwei Zeilen verfügen:

Die Datei wird als "Vertraulich" klassifiziert
Manuell angewendete Bezeichnung

Um diese mehrstufige Fußzeile zu entfernen, erstellen Sie die folgenden beiden Einträge für dieselbe Bezeichnungsrichtlinie:

  • Schlüssel: ExternalContentMarkingToRemove
  • Schlüsselwert 1: *Vertraulich
  • Schlüsselwert 2: *Bezeichnung angewendet

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove=ConvertTo-Json("Confidential","Label applied")}

Optimierung für PowerPoint

Kopf- und Fußzeilen in PowerPoint werden als Shapes implementiert. Für die Formentypen msoTextBox,msoTextEffect,msoPlaceholderund msoAutoShape bieten die folgenden erweiterten Einstellungen zusätzliche Optimierungen:

Darüber hinaus kann powerPointRemoveAllShapesByShapeName jeden beliebigen Formtyp entfernen, der auf dem Namen der Form basiert.

Weitere Informationen finden Sie unter Suchen des Namens des Shapes, das Sie als Kopf- oder Fußzeile verwenden.

Vermeiden Sie das Entfernen von Shapes PowerPoint, die angegebenen Text enthalten und keine Kopf- und Fußzeilen sind

Um zu vermeiden, dass Formen entfernt werden, die den von Ihnen angegebenen Text enthalten, aber keine Kopf- oder Fußzeilen sind, verwenden Sie eine zusätzliche erweiterte Clienteinstellung namens PowerPointShapeNameToRemove.

Außerdem wird empfohlen, diese Einstellung zu verwenden, um die Überprüfung des Texts in allen Shapes zu vermeiden, was einen ressourcenintensiven Prozess ist.

Zum Beispiel:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
Erweitern der Entfernung von externen Markierungen auf benutzerdefinierte Layouts

Für diese Konfiguration wird eine erweiterte Richtlinieneinstellung verwendet, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Die zum Entfernen von Markierungen für externe Inhalte verwendete Logik ignoriert standardmäßig benutzerdefinierte Layouts, die in einer PowerPoint. Um diese Logik auf benutzerdefinierte Layouts zu erweitern, legen Sie die erweiterte RemoveExternalMarkingFromCustomLayouts-Eigenschaft auf True (wahr) festgelegt.

  • Schlüssel: RemoveExternalMarkingFromCustomLayouts

  • Wert: True

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
Entfernen aller Formen eines bestimmten Shape-Namens

Wenn Sie PowerPoint benutzerdefinierte Layouts verwenden und alle Formen eines bestimmten Shape-Namens aus den Kopf- und Fußzeilen entfernen möchten, verwenden Sie die erweiterte Einstellung PowerPointRemoveAllShapesByShapeName mit dem Namen der Form, die Sie entfernen möchten.

Bei Verwendung der Einstellung PowerPointRemoveAllShapesByShapeName wird der Text in den Formen ignoriert, und stattdessen wird der Shape-Name verwendet, um die zu entfernenden Formen zu identifizieren.

Zum Beispiel:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointRemoveAllShapesByShapeName="Arrow: Right"}

Weitere Informationen finden Sie unter:

  1. Zeigen PowerPoint Auswahlbereich an: Registerkarte Format,GruppeAnordnen, Auswahlbereich.

  2. Wählen Sie die Form auf der Folie aus, die Ihre Kopf- oder Fußzeile enthält. Der Name der ausgewählten Form wird jetzt im Auswahlbereich hervorgehoben.

Verwenden Sie den Namen des Shapes, um einen Zeichenfolgenwert für den PowerPointShapeNameToRemove-Schlüssel anzugeben.

Beispiel:Der Shape-Name ist fc. Um das Shape mit diesem Namen zu entfernen, geben Sie den Wert an: fc .

  • Schlüssel: PowerPointShapeNameToRemove

  • Wert: <<>

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}

Wenn Sie mehr als ein Shape PowerPoint, geben Sie so viele Werte wie zu entfernende Shapes an.

Standardmäßig sind nur die Masterfolien auf Kopf- und Fußzeilen überprüft. Um diese Suche auf alle Folien zu erweitern, was einen viel ressourcenintensiven Prozess ist, verwenden Sie eine zusätzliche erweiterte Clienteinstellung namens RemoveExternalContentMarkingInAllSlides:

  • Schlüssel: RemoveExternalContentMarkingInAllSlides

  • Wert: True

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInAllSlides="True"}
Entfernen der Markierung von externen Inhalten aus benutzerdefinierten Layouts in PowerPoint

Für diese Konfiguration wird eine erweiterte Richtlinieneinstellung verwendet, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Die zum Entfernen von Markierungen für externe Inhalte verwendete Logik ignoriert standardmäßig benutzerdefinierte Layouts, die in einer PowerPoint. Um diese Logik auf benutzerdefinierte Layouts zu erweitern, legen Sie die erweiterte RemoveExternalMarkingFromCustomLayouts-Eigenschaft auf True (wahr) festgelegt.

  • Schlüssel: RemoveExternalMarkingFromCustomLayouts

  • Wert: True

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}

Deaktivieren von benutzerdefinierten Berechtigungen im Datei-Explorer

Für diese Konfiguration wird eine erweiterte Richtlinieneinstellung verwendet, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Standardmäßig wird Benutzern die Option Mit benutzerdefinierten Berechtigungen schützen angezeigt, wenn sie mit der rechten Maustaste im Datei-Explorer klicken und Klassifizieren und schützen auswählen. Mit dieser Option können sie ihre eigenen Schutzeinstellungen festlegen, die alle Schutzeinstellungen außer Kraft setzen können, die Sie möglicherweise in einer Bezeichnungskonfiguration enthalten haben. Benutzern wird auch eine Option zum Entfernen des Schutzes angezeigt. Wenn Sie diese Einstellung konfigurieren, werden diese Optionen für die Benutzer nicht angezeigt.

Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen für die ausgewählte Bezeichnungsrichtlinie ein:

  • Schlüssel: EnableCustomPermissions

  • Wert: False

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

Zeigen Sie für Dateien, die mit benutzerdefinierten Berechtigungen geschützt sind, immer benutzerdefinierte Berechtigungen für Benutzer im Datei-Explorer an.

Für diese Konfiguration wird eine erweiterte Richtlinieneinstellung verwendet, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Wenn Sie die erweiterte Clienteinstellung so konfigurieren, dass benutzerdefinierte Berechtigungen im Datei-Explorerdeaktiviert werden, können Benutzer benutzerdefinierte Berechtigungen, die in einem geschützten Dokument bereits festgelegt sind, standardmäßig nicht anzeigen oder ändern.

Es gibt jedoch eine weitere erweiterte Clienteinstellung, die Sie angeben können, damit Benutzer in diesem Szenario benutzerdefinierte Berechtigungen für ein geschütztes Dokument anzeigen und ändern können, wenn sie den Datei-Explorer verwenden und mit der rechten Maustaste auf die Datei klicken.

Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen für die ausgewählte Bezeichnungsrichtlinie ein:

  • Schlüssel: EnableCustomPermissionsForCustomProtectedFiles

  • Wert: True

PowerShell-Beispielbefehl:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}

Wenden Sie für E-Mail-Nachrichten mit Anlagen eine Bezeichnung an, die der höchsten Klassifizierung dieser Anlagen entspricht.

Diese Konfiguration verwendet erweiterte Einstellungen für Richtlinien, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Diese Einstellung gilt, wenn Benutzer gekennzeichnete Dokumente an eine E-Mail anfügen und die E-Mail-Nachricht selbst nicht beschriften. In diesem Szenario wird automatisch eine Bezeichnung für sie ausgewählt, basierend auf den Klassifizierungsbezeichnungen, die auf die Anlagen angewendet werden. Die höchste Klassifizierungsbezeichnung ist ausgewählt.

Die Anlage muss eine physische Datei sein und darf keine Verknüpfung zu einer Datei sein (z. B. ein Link zu einer Datei auf Microsoft SharePoint oder OneDrive).

Sie können diese Einstellung auf Empfohlen konfigurieren,damit Benutzer mit einer anpassbaren QuickInfo aufgefordert werden, die ausgewählte Bezeichnung auf ihre E-Mail-Nachricht anzuwenden. Benutzer können die Empfehlung annehmen oder sie schließen. Sie können diese Einstellung auch auf Automatisch konfigurieren,wobei die ausgewählte Bezeichnung automatisch angewendet wird, benutzer jedoch die Bezeichnung entfernen oder eine andere Bezeichnung auswählen können, bevor sie die E-Mail senden.

Hinweis

Wenn die Anlage mit der höchsten Klassifizierungsbezeichnung für den Schutz mit der Einstellung von benutzerdefinierten Berechtigungen konfiguriert ist:

  • Wenn die benutzerdefinierten Berechtigungen der Bezeichnung einen Namen Outlook (Nicht weiterleiten) enthalten, wird diese Bezeichnung ausgewählt, und auf die E-Mail wird Schutz nicht weiterleiten angewendet.
  • Wenn die benutzerdefinierten Berechtigungen der Bezeichnung nur für Word, Excel, PowerPoint und den Datei-Explorer gelten, wird diese Bezeichnung nicht auf die E-Mail-Nachricht angewendet und ist auch nicht geschützt.

Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen für die ausgewählte Bezeichnungsrichtlinie ein:

  • Schlüssel 1: AttachmentAction

  • Schlüsselwert 1: Empfohlen oderAutomatisch

  • Schlüssel 2: AttachmentActionTip

  • Schlüsselwert 2: " < angepasste QuickInfo > "

Die angepasste QuickInfo unterstützt nur eine Sprache.

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{AttachmentAction="Automatic"}

Hinzufügen von "Problem melden" für Benutzer

Für diese Konfiguration wird eine erweiterte Einstellung der Richtlinie verwendet, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Wenn Sie die folgende erweiterte Clienteinstellung angeben, wird den Benutzern die Option Problem melden angezeigt, die sie im Dialogfeld "Hilfe- und Feedbackclient" auswählen können. Geben Sie eine HTTP-Zeichenfolge für den Link an. Beispielsweise eine angepasste Webseite, über die Benutzer Probleme melden können, oder eine E-Mail-Adresse, die an Ihren Helpdesk gesendet wird.

Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen für die ausgewählte Bezeichnungsrichtlinie ein:

  • Schlüssel: ReportAnIssueLink

  • Wert: HTTP-Zeichenfolge >

Beispielwert für eine Website: https://support.contoso.com

Beispielwert für eine E-Mail-Adresse: mailto:helpdesk@contoso.com

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}

Implementieren von Popupnachrichten in einer Outlook, die eine Benachrichtigung, Blockierung oder Blockierung von gesendeten E-Mails enthalten

Diese Konfiguration verwendet erweiterte Einstellungen für Richtlinien, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Wenn Sie die folgenden erweiterten Clienteinstellungen erstellen und konfigurieren, sehen Benutzer Popupnachrichten in Outlook, die sie vor dem Senden einer E-Mail warnen können, oder sie bitten, eine Begründung für das Senden einer E-Mail zu geben oder zu verhindern, dass sie in einem der folgenden Szenarien eine E-Mail senden:

  • Die E-Mail-Adresse oder die Anlage der E-Mail hat eine bestimmte Bezeichnung:

    • Die Anlage kann ein beliebiger Dateityp sein.
  • Die E-Mail-Adresseoder die Anlage der E-Mail hat keine Bezeichnung:

    • Bei der Anlage kann es sich um Office Oder PDF-Dokument um eine Anlage oder um ein PDF-Dokument um eine E-Mail-Datei oder um ein PDF-Dokument.

Wenn diese Bedingungen erfüllt sind, wird dem Benutzer eine Popupmeldung mit einer der folgenden Aktionen angezeigt:

Typ Beschreibung
Warnen Der Benutzer kann den Vorgang bestätigen und senden oder abbrechen.
Justify Der Benutzer wird zur Rechtfertigung aufgefordert (vordefinierte Optionen oder Freiform), und der Benutzer kann die E-Mail senden oder abbrechen.
Der Rechtfertigungstext wird in den X-Header für E-Mails geschrieben, sodass er von anderen Systemen wie DLP-Diensten (Data Loss Prevention, Verhinderung von Datenverlust) gelesen werden kann.
Blockieren Der Benutzer wird am Senden der E-Mail gehindert, während die Bedingung weiterhin besteht.
Die Nachricht enthält den Grund für das Blockieren der E-Mail, damit der Benutzer das Problem beheben kann.
Entfernen Sie beispielsweise bestimmte Empfänger, oder versehen Sie die E-Mail mit einer Bezeichnung.

Wenn die Popupnachrichten für eine bestimmte Bezeichnung gelten, können Sie Ausnahmen für Empfänger nach Domänennamen konfigurieren.

Im Video Azure Information Protection Outlook Popupkonfiguration finden Sie ein exemplarische Beispiel für das Konfigurieren dieser Einstellungen.

Tipp

Um sicherzustellen, dass Popups auch dann angezeigt werden, wenn Dokumente von außerhalb von Outlook (Dateifreigabe eine Kopie > anfügen)freigegeben werden, konfigurieren Sie auch die erweiterte Einstellung >

Weitere Informationen finden Sie unter:

So implementieren Sie Das Warn-, Blockieren oder Blockieren von Popupnachrichten für bestimmte Bezeichnungen

Erstellen Sie für die ausgewählte Richtlinie eine oder mehrere der folgenden erweiterten Einstellungen mit den folgenden Schlüsseln. Geben Sie für die Werte eine oder mehrere Beschriftungen durch ihre GUIDs an, die jeweils durch ein Komma getrennt sind.

Beispielwert für mehrere Bezeichnungs-GUIDs als durch Kommas getrennte Zeichenfolge:

dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
Nachrichtentyp Schlüssel/Wert
Warnen Schlüssel: OutlookWarnUntrustedCollaborationLabel

Wert: <<>
Justify Schlüssel: OutlookJustifyUntrustedCollaborationLabel

Wert: <<>
Blockieren Schlüssel: OutlookBlockUntrustedCollaborationLabel

Wert: <<>

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e,b6d21387-5d34-4dc8-90ae-049453cec5cf,bb48a6cb-44a8-49c3-9102-2d2b017dcead,74591a94-1e0e-4b5d-b947-62b70fc0f53a,6c375a97-2b9b-4ccd-9c5b-e24e4fd67f73"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyUntrustedCollaborationLabel="dc284177-b2ac-4c96-8d78-e3e1e960318f,d8bb73c3-399d-41c2-a08a-6f0642766e31,750e87d4-0e91-4367-be44-c9c24c9103b4,32133e19-ccbd-4ff1-9254-3a6464bf89fd,74348570-5f32-4df9-8a6b-e6259b74085b,3e8d34df-e004-45b5-ae3d-efdc4731df24"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockUntrustedCollaborationLabel="0eb351a6-0c2d-4c1d-a5f6-caa80c9bdeec,40e82af6-5dad-45ea-9c6a-6fe6d4f1626b"}

Für weitere Anpassungen können Sie Domänennamen für Popupnachrichten, die für bestimmte Bezeichnungen konfiguriert sind, auch aus der Freistellung aus versehen.

Hinweis

Die erweiterten Einstellungen in diesem Abschnitt(OutlookWarnUntrustedCollaborationLabel,OutlookJustifyUntrustedCollaborationLabelund OutlookBlockUntrustedCollaborationLabel)sind für den Fall festgelegt, dass eine bestimmte Bezeichnung verwendet wird.

Verwenden Sie die erweiterte OutlookUnlabeledCollaborationAction-Einstellung, um Popup-Standardnachrichten für unlabled-Inhalte zu implementieren. Um Ihre Popupnachrichten für unbeschriftete Inhalte anzupassen, verwenden Sie eine JSON-Datei, um Ihre erweiterten Einstellungen zu definieren.

Weitere Informationen finden Sie unter Anpassen Outlook Popupnachrichten.

Tipp

Um sicherzustellen, dass Ihre Blocknachrichten nach Bedarf angezeigt werden, auch für einen Empfänger, der sich in einer Outlook-Verteilerliste befindet, stellen Sie sicher, dass Sie die erweiterte Einstellung EnableOutlookDistributionListExpansion hinzufügen.

So ausgenommen werden Domänennamen für Popupnachrichten, die für bestimmte Bezeichnungen konfiguriert sind

Für die Bezeichnungen, die Sie mit diesen Popupnachrichten angegeben haben, können Sie bestimmte Domänennamen davon ausgenommen, damit die Benutzer die Nachrichten für Empfänger, deren Domänenname in ihrer E-Mail-Adresse enthalten ist, nicht sehen können. In diesem Fall werden die E-Mails ohne Unterbrechung gesendet. Wenn Sie mehrere Domänen angeben möchten, fügen Sie sie als einzelne, durch Kommas getrennte Zeichenfolge hinzu.

Eine typische Konfiguration besteht in der Anzeige der Popupnachrichten nur für Empfänger, die sich außerhalb Ihrer Organisation befinden oder keine autorisierten Partner für Ihre Organisation sind. In diesem Fall geben Sie alle E-Mail-Domänen an, die von Ihrer Organisation und von Ihren Partnern verwendet werden.

Erstellen Sie für dieselbe Bezeichnungsrichtlinie die folgenden erweiterten Clienteinstellungen, und geben Sie für den Wert eine oder mehrere Durch Kommas getrennte Domänen an.

Beispielwert für mehrere Domänen als durch Kommas getrennte Zeichenfolge: contoso.com,fabrikam.com,litware.com

Nachrichtentyp Schlüssel/Wert
Warnen Schlüssel: OutlookWarnTrustedDomains

Wert: Domänennamen, durch Kommas getrennt
Justify Schlüssel: OutlookJustifyTrustedDomains

Wert: Domänennamen, durch Kommas getrennt
Blockieren Schlüssel: OutlookBlockTrustedDomains

Wert: Domänennamen, durch Kommas getrennt

Angenommen, Sie haben die erweiterte Clienteinstellung OutlookBlockUntrustedCollaborationLabel für die Bezeichnung Vertraulich \ Alle Mitarbeiter angegeben.

Sie geben jetzt die zusätzliche erweiterte Clienteinstellung von OutlookBlockTrustedDomainsmitcontoso.com. Daher kann ein Benutzer eine E-Mail an senden, wenn diese als Vertraulich \ Alle Mitarbeiter gekennzeichnet ist, wird aber am Senden einer E-Mail mit derselben Bezeichnung an ein john@sales.contoso.com Gmail-Konto john@sales.contoso.comblockiert.

PowerShell-Beispielbefehle, bei denen Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockTrustedDomains="contoso.com"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyTrustedDomains="contoso.com,fabrikam.com,litware.com"}

Hinweis

Um sicherzustellen, dass Ihre Blocknachrichten nach Bedarf angezeigt werden, auch für einen Empfänger, der sich in einer Outlook-Verteilerliste befindet, stellen Sie sicher, dass Sie die erweiterte Einstellung EnableOutlookDistributionListExpansion hinzufügen.

So implementieren Sie das Popupfenster "Warn", "Blockieren" oder "Blockieren" für E-Mails oder Anlagen, die keine Bezeichnung haben

Erstellen Sie für dieselbe Bezeichnungsrichtlinie die folgende erweiterte Clienteinstellung mit einem der folgenden Werte:

Nachrichtentyp Schlüssel/Wert
Warnen Schlüssel: OutlookUnlabeledCollaborationAction

Wert: Warnen
Justify Schlüssel: OutlookUnlabeledCollaborationAction

Wert: Justify
Blockieren Schlüssel: OutlookUnlabeledCollaborationAction

Wert: Block
Deaktivieren dieser Nachrichten Schlüssel: OutlookUnlabeledCollaborationAction

Wert: Aus

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Warn"}

Weitere Anpassungen finden Sie unter:

So definieren Sie bestimmte Dateinamenerweiterungen für Das Warn-, Blockieren oder Blockieren von Popupnachrichten für E-Mail-Anlagen, die keine Bezeichnung haben

Standardmäßig gelten Popupnachrichten mit Warn- oder Blockierungseinstellungen für alle Office und PDF-Dokumente. Sie können diese Liste verfeinern, indem Sie angeben, welche Dateinamenerweiterungen mit einer zusätzlichen erweiterten Einstellung und einer durch Kommas getrennten Liste von Dateinamenerweiterungen warnen, im Blockieren oder Blockieren von Nachrichten angezeigt werden sollen.

Beispielwert für mehrere Dateinamenerweiterungen zum Definieren als durch Kommas getrennte Zeichenfolge: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM

In diesem Beispiel führt ein unbeschriftetes PDF-Dokument nicht zu einer Benachrichtigung, Blockierung oder Blockierung von Popupnachrichten.

Geben Sie für dieselbe Bezeichnungsrichtlinie die folgenden Zeichenfolgen ein:

  • Schlüssel: OutlookOverrideUnlabeledCollaborationExtensions

  • Wert: Dateinamenerweiterungen zum Anzeigen von Meldungen, durch Kommas getrennt

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.PPT,.PPTX,.PPTM"}

So geben Sie eine andere Aktion für E-Mail-Nachrichten ohne Anlagen an

Standardmäßig gilt der Wert, den Sie für OutlookUnlabeledCollaborationAction zum Warnen, Im Blockieren oder Blockieren von Popupnachrichten angeben, für E-Mails oder Anlagen, die keine Bezeichnung haben.

Sie können diese Konfiguration verfeinern, indem Sie eine weitere erweiterte Einstellung für E-Mail-Nachrichten ohne Anlagen angeben.

Erstellen Sie die folgende erweiterte Clienteinstellung mit einem der folgenden Werte:

Nachrichtentyp Schlüssel/Wert
Warnen Schlüssel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Wert: Warnen
Justify Schlüssel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Wert: Justify
Blockieren Schlüssel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Wert: Block
Deaktivieren dieser Nachrichten Schlüssel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Wert: Aus

Wenn Sie diese Clienteinstellung nicht angeben, wird der Wert, den Sie für OutlookUnlabeledCollaborationAction angeben, für unbeschriftete E-Mail-Nachrichten ohne Anlagen sowie für unbeschriftete E-Mail-Nachrichten mit Anlagen verwendet.

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior="Warn"}

Erweitern Outlook von Verteilerlisten bei der Suche nach E-Mail-Empfängern

Für diese Konfiguration wird eine erweiterte Einstellung der Richtlinie verwendet, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Wenn Sie die Unterstützung von anderen erweiterten Einstellungen auf Empfänger innerhalb Outlook Verteilerlisten erweitern möchten, legen Sie die erweiterte Einstellung EnableOutlookDistributionListExpansion auf true .

  • Schlüssel: EnableOutlookDistributionListExpansion
  • Wert: true

Wenn Sie beispielsweise die erweiterten Einstellungen OutlookBlockTrustedDomains, OutlookBlockUntrustedCollaborationLabel und dann auch die Einstellung EnableOutlookDistributionListExpansion konfiguriert haben, wird Outlook aktiviert, um die Verteilerliste zu erweitern, um sicherzustellen, dass eine Blocknachricht bei Bedarf angezeigt wird.

Das Standardtimeout zum Erweitern der Verteilerliste beträgt 2.000 Millisekunden.

Erstellen Sie zum Ändern dieses Timeouts die folgende erweiterte Einstellung für die ausgewählte Richtlinie:

  • Schlüssel: OutlookGetEmailAddressesTimeOutMSProperty
  • Wert: Integer (ganze Zahl) in Millisekunden

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{
  EnableOutlookDistributionListExpansion="true"
  OutlookGetEmailAddressesTimeOutMSProperty="3000"
}

Verhindern, dass Überwachungsdaten an AIP gesendet und Microsoft 365 werden

Standardmäßig unterstützt der einheitliche Azure Information Protection-Beschriftungsclient zentrale Berichterstellung und sendet seine Überwachungsdaten an:

Gehen Sie wie folgt vor, um dieses Verhalten so zu ändern, dass keine Überwachungsdaten gesendet werden:

  1. Fügen Sie die folgende erweiterte Einstellung für die Richtlinie mithilfe Office 365 Security Compliance Center PowerShell hinzu:

    • Schlüssel: EnableAudit

    • Wert: False

    Wenn Ihre Bezeichnungsrichtlinie beispielsweise den Namen "Global" hat:

    Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}
    

    Hinweis

    Standardmäßig ist diese erweiterte Einstellung in der Richtlinie nicht vorhanden, und die Überwachungsprotokolle werden gesendet.

  2. Löschen Sie auf allen Azure Information Protection-Clientcomputern den folgenden Ordner: %localappdata%\Microsoft\MSIP\mip

Damit der Client erneut Überwachungsprotokolldaten senden kann, ändern Sie den Wert für die erweiterte Einstellung in True. Sie müssen den Ordner "%localappdata%\Microsoft\MSIP\mip" nicht erneut auf Ihren Clientcomputern erstellen.

Senden von Übereinstimmungen mit dem Informationstyp an Azure Information Protection-Analysen

Für diese Konfiguration wird eine erweiterte Einstellung der Richtlinie verwendet, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Standardmäßig sendet der vereinheitlichte Beschriftungsclient keine Inhaltsenteinungen für vertrauliche Informationstypen an Azure Information Protection-Analysen. Weitere Informationen zu diesen zusätzlichen Informationen, die gesendet werden können, finden Sie in der zentralen Dokumentation zur Berichterstellung im Abschnitt Übereinstimmungen mit Inhalten zur tieferen Analyse.

Wenn beim Senden vertraulicher Informationstypen Übereinstimmungen mit Inhalten gesendet werden sollen, erstellen Sie die folgende erweiterte Clienteinstellung in einer Bezeichnungsrichtlinie:

  • Schlüssel: LogMatchedContent

  • Wert: True

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}

CPU-Verbrauch einschränken

Ab Scanner Version 2.7.x.x empfehlen wir, die CPU-Auslastung mit den folgenden erweiterten Einstellungen ScannerMaxCPU und ScannerMinCPU zu beschränken.

Wichtig

Wenn die folgende Threadbegrenzungsrichtlinie verwendet wird, werden die erweiterten Einstellungen ScannerMaxCPU und ScannerMinCPU ignoriert. Um die CPU-Auslastung mit den erweiterten Einstellungen ScannerMaxCPU und ScannerMinCPU zu beschränken, brechen Sie die Verwendung von Richtlinien ab, die die Anzahl von Threads begrenzen.

Für diese Konfiguration wird eine erweiterte Einstellung der Richtlinie verwendet, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Um den CPU-Verbrauch auf dem Scannercomputer zu beschränken, kann er durch Erstellen von zwei erweiterten Einstellungen überschaubar werden:

  • ScannerMaxCPU:

    Standardmäßig auf 100 festgelegt, d. h., es gibt kein Limit für die maximale CPU-Auslastung. In diesem Fall versucht der Scannerprozess, alle verfügbare CPU-Zeit zu verwenden, um Ihre Scanraten zu maximieren.

    Wenn Sie ScannerMaxCPU auf weniger als 100 festlegen, überwacht der Scanner den CPU-Verbrauch während der letzten 30 Minuten. Wenn die durchschnittliche CPU das von Ihnen festgelegte Limit überschritten hat, verringert sich damit die Anzahl der Threads, die neuen Dateien zugeordnet wurden.

    Der Grenzwert für die Anzahl der Threads wird fortgesetzt, solange die CPU-Auslastung höher als die für ScannerMaxCPU festgelegte Beschränkung ist.

  • ScannerMinCPU:

    Nur aktiviert, wenn "ScannerMaxCPU" nicht gleich 100 ist und nicht auf eine Zahl festgelegt werden kann, die höher als der Wert "ScannerMaxCPU" ist. Wir empfehlen, ScannerMinCPU mindestens 15 Punkte kleiner als der Wert von ScannerMaxCPU zu halten.

    Standardmäßig auf 50 festgelegt, d. h., wenn die CPU-Auslastung in den letzten 30 Minuten unter diesem Wert liegt, beginnt der Scanner, neue Threads zum parallelen Scannen von weiteren Dateien zu hinzufügen, bis die CPU-Auslastung den für ScannerMaxCPU-15 festgelegten Wert erreicht hat.

Begrenzen der Vom Scanner verwendeten Threads

Wichtig

Wenn die folgende Threadbegrenzungsrichtlinie verwendet wird, werden die erweiterten Einstellungen ScannerMaxCPU und ScannerMinCPU ignoriert. Um die CPU-Auslastung mithilfe der erweiterten Einstellungen ScannerMaxCPU und ScannerMinCPU zu beschränken, brechen Sie die Verwendung von Richtlinien ab, die die Anzahl von Threads begrenzen.

Für diese Konfiguration wird eine erweiterte Einstellung der Richtlinie verwendet, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Standardmäßig verwendet der Scanner alle verfügbaren Prozessorressourcen auf dem Computer, auf dem der Scannerdienst ausgeführt wird. Wenn Sie die CPU-Auslastung während der Überprüfung dieses Diensts einschränken müssen, erstellen Sie die folgende erweiterte Einstellung in einer Bezeichnungsrichtlinie.

Geben Sie als Wert die Anzahl gleichzeitiger Threads an, die der Scanner parallel ausführen kann. Da der Scanner für jede Datei, die überprüft wird, einen separaten Thread verwendet, definiert diese Einschränkungskonfiguration auch die Anzahl der Dateien, die parallel durchsucht werden können.

Wenn Sie den Wert zum Testen zum ersten Mal konfigurieren, empfehlen wir, 2 pro Kern anzugeben und dann die Ergebnisse zu überwachen. Wenn Sie den Scanner beispielsweise auf einem Computer mit vier Kernen ausführen, legen Sie zuerst den Wert auf 8 fest. Erhöhen oder verringern Sie diese Anzahl bei Bedarf entsprechend der für den Scannercomputer erforderlichen Leistung und den Scanraten.

  • Schlüssel: ScannerConcurrencyLevel

  • Wert: Anzahl paralleler Threads >

PowerShell-Beispielbefehl mit dem Bezeichnungsrichtliniennamen "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}

Migrieren von Bezeichnungen aus sicheren Inseln und anderen Etikettenlösungen

Für diese Konfiguration wird eine erweiterte Einstellung für Bezeichnungen verwendet, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Diese Konfiguration ist nicht kompatibel mit geschützten PDF-Dateien mit der Dateinamenerweiterung PPDF. Diese Dateien können vom Client nicht mit dem Datei-Explorer oder mit PowerShell geöffnet werden.

Für Office, die mit Secure Islands bezeichnet sind, können Sie diese Dokumente mithilfe einer von Ihnen definierten Zuordnung mit einer Vertraulichkeitsbezeichnung neu versehen. Sie verwenden diese Methode auch, um Bezeichnungen aus anderen Lösungen wiederzuverwenden, wenn sich deren Etiketten auf Office befinden.

Als Ergebnis dieser Konfigurationsoption wird die neue Vertraulichkeitsbezeichnung vom einheitlichen Azure Information Protection-Client wie folgt angewendet:

  • Für Office:Wenn das Dokument in der Desktop-App geöffnet wird, wird die neue Vertraulichkeitsbezeichnung als festgelegt angezeigt und beim Speichern des Dokuments angewendet.

  • Für PowerShell:Set-AIPFileLabel und Set-AIPFileClassificiation kann die neue Vertraulichkeitsbezeichnung angewendet werden.

  • Für den Datei-Explorer:Im Dialogfeld Azure Information Protection wird die neue Vertraulichkeitsbezeichnung angezeigt, aber nicht festgelegt.

Für diese Konfiguration müssen Sie für jede Vertraulichkeitsbeschriftung, die Sie der alten Bezeichnung zuordnungen möchten, eine erweiterte Einstellung namens labelByCustomProperties angeben. Legen Sie dann für jeden Eintrag den Wert mithilfe der folgenden Syntax ein:

[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]

Geben Sie den Namen einer Migrationsregel an. Verwenden Sie einen aussagekräftigen Namen, mit dem Sie erkennen können, wie eine oder mehrere Beschriftungen aus der vorherigen Beschriftungslösung der Vertraulichkeitsbeschriftung zugeordnet werden sollen.

Beachten Sie, dass durch diese Einstellung weder das ursprüngliche Etikett aus dem Dokument noch visuelle Markierungen im Dokument entfernt werden, die auf das ursprüngliche Etikett angewendet wurden. Informationen zum Entfernen von Kopf- und Fußzeilen finden Sie unter Entfernen von Kopf- und Fußzeilen aus anderen Bezeichnungslösungen.

Beispiele:

Weitere Anpassungen finden Sie unter:

Hinweis

Wenn Sie Mandantenübergreifend von Ihren Etiketten migrieren, z. B. nach einer Firmen zusammenführung, empfehlen wir Ihnen, weitere Informationen in unserem Blogbeitrag zu Fusionen und Spinoffs zu lesen.

Beispiel 1: 1: 1:1-Zuordnung desselben Bezeichnungsnamens

Anforderung: Dokumente mit der Bezeichnung Sichere Inseln mit der Bezeichnung "Vertraulich" sollten von Azure Information Protection als "Vertraulich" umbeschriftet werden.

In diesem Beispiel:

  • Die Bezeichnung Sichere Inseln hat den Namen Vertraulich und wird in der benutzerdefinierten Eigenschaft Klassifizierung gespeichert.

Die erweiterte Einstellung:

  • Schlüssel: labelByCustomProperties

  • Wert: Bezeichnung für sichere Inseln ist vertraulich,Klassifizierung,Vertraulich

PowerShell-Beispielbefehl mit dem Namen "Vertraulich":

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Confidential,Classification,Confidential"}

Beispiel 2: 1:1-Zuordnung für einen anderen Bezeichnungsnamen

Anforderung: Dokumente, die von Secure Islands mit "Vertraulich" gekennzeichnet sind, sollten von Azure Information Protection mit "Hochgradig vertraulich" versehen werden.

In diesem Beispiel:

  • Die Bezeichnung Sichere Inseln hat den Namen Vertraulich und wird in der benutzerdefinierten Eigenschaft Classification gespeichert.

Die erweiterte Einstellung:

  • Schlüssel: labelByCustomProperties

  • Wert: Bezeichnung für sichere Inseln ist vertraulich,Klassifizierung, Vertraulich

PowerShell-Beispielbefehl mit dem Namen "Streng vertraulich":

Set-Label -Identity "Highly Confidential" -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Sensitive,Classification,Sensitive"}

Beispiel 3: n:1-Zuordnung von Bezeichnungsnamen

Anforderung: Sie haben zwei Bezeichnungen für sichere Inseln, die das Wort "Intern" enthalten, und Möchten, dass Dokumente mit einer dieser Secure Islands-Bezeichnungen vom einheitlichen Azure Information Protection-Client als "Allgemein" neu beschriftet werden.

In diesem Beispiel:

  • Die Bezeichnungen für sichere Inseln enthalten das Wort "Intern" und werden in der benutzerdefinierten Eigenschaft "Classification" gespeichert.

Die erweiterte Clienteinstellung:

  • Schlüssel: labelByCustomProperties

  • Wert: Secure Islands label contains Internal,Classification,.*Internal.*

Beispiel für einen PowerShell-Befehl mit der Bezeichnung "Allgemein":

Set-Label -Identity General -AdvancedSettings @{labelByCustomProperties="Secure Islands label contains Internal,Classification,.*Internal.*"}

Beispiel 4: Mehrere Regeln für dieselbe Bezeichnung

Wenn Sie mehrere Regeln für dieselbe Bezeichnung benötigen, definieren Sie mehrere Zeichenfolgenwerte für denselben Schlüssel.

In diesem Beispiel werden die Secure Islands-Bezeichnungen "Vertraulich" und "Geheim" in der benutzerdefinierten Eigenschaft Klassifizierunggespeichert, und Sie möchten, dass der einheitliche Azure Information Protection-Client die Vertraulichkeitsbezeichnung "Vertraulich" verwendet:

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

Erweitern der Migrationsregeln für Bezeichnungen auf E-Mails

Sie können die von Ihnen mit der erweiterten Einstellung "LabelByCustomProperties" für Outlook-E-Mails definierte Konfiguration zusätzlich zu Office-Dokumenten verwenden, indem Sie eine zusätzliche erweiterte Einstellung für die Bezeichnungsrichtlinie angeben.

Diese Einstellung hat jedoch bekannte negative Auswirkungen auf die Leistung von Outlook. Konfigurieren Sie diese zusätzliche Einstellung daher nur, wenn es eine hohe Geschäftsanforderung gibt, und denken Sie daran, sie auf einen NULL-Zeichenfolgenwert zu setzen, wenn Sie die Migration von der anderen Bezeichnungslösung abgeschlossen haben.

Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen für die ausgewählte Bezeichnungsrichtlinie ein:

  • Schlüssel: EnableLabelByMailHeader

  • Wert: True

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelByMailHeader="True"}

Erweitern ihrer Bezeichnungsmigrationsregeln auf SharePoint Eigenschaften

Sie können die konfiguration verwenden, die Sie mit der erweiterten Einstellung labelByCustomProperties für SharePoint-Eigenschaften definiert haben, die Sie möglicherweise als Spalten für Benutzer verfügbar machen, indem Sie eine zusätzliche erweiterte Einstellung für die Bezeichnungsrichtlinie angeben.

Diese Einstellung wird unterstützt, wenn Sie Word, Excel und PowerPoint.

Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen für die ausgewählte Bezeichnungsrichtlinie ein:

  • Schlüssel: EnableLabelBySharePointProperties

  • Wert: True

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelBySharePointProperties="True"}

Anwenden einer benutzerdefinierten Eigenschaft, wenn eine Bezeichnung angewendet wird

Für diese Konfiguration wird eine erweiterte Einstellung für Bezeichnungen verwendet, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Möglicherweise gibt es einige Szenarien, in denen Sie zusätzlich zu den Metadaten, die von einer Vertraulichkeitsbezeichnung angewendet werden, eine oder mehrere benutzerdefinierte Eigenschaften auf ein Dokument oder eine E-Mail-Nachricht anwenden möchten.

Zum Beispiel:

  • Sie sind dabei, von einer anderen Beschriftungslösung,z. B. sicheren Inseln, zu migrieren. Für die Interoperabilität während der Migration möchten Sie, dass Vertraulichkeitsbeschriftungen auch eine benutzerdefinierte Eigenschaft anwenden, die von der anderen Bezeichnungslösung verwendet wird.

  • Für Ihr Inhaltsverwaltungssystem (z. B. SharePoint oder eine Dokumentverwaltungslösung von einem anderen Anbieter) möchten Sie einen einheitlichen benutzerdefinierten Eigenschaftsnamen mit unterschiedlichen Werten für die Bezeichnungen und mit benutzerfreundlichen Namen anstelle der Bezeichnungs-GUID verwenden.

Für Office-Dokumente und Outlook-Mails, die von Benutzern mithilfe des einheitlichen Azure Information Protection-Beschriftungsclients gekennzeichnet werden, können Sie eine oder mehrere benutzerdefinierte Eigenschaften hinzufügen, die Sie definieren. Sie können diese Methode auch für den einheitlichen Beschriftungsclient verwenden, um eine benutzerdefinierte Eigenschaft als Bezeichnung aus anderen Lösungen für Inhalte anzuzeigen, die noch nicht vom einheitlichen Beschriftungsclient beschriftet sind.

Als Ergebnis dieser Konfigurationsoption werden alle zusätzlichen benutzerdefinierten Eigenschaften vom einheitlichen Azure Information Protection-Client wie folgt angewendet:

Umgebung Beschreibung
Office von Dokumenten Wenn das Dokument in der Desktop-App beschriftet ist, werden die zusätzlichen benutzerdefinierten Eigenschaften beim Speichern des Dokuments angewendet.
Outlook E-Mails Wenn die E-Mail-Nachricht in einer E-Outlook, werden die zusätzlichen Eigenschaften auf den X-Header angewendet, wenn die E-Mail gesendet wird.
PowerShell Set-AIPFileLabel und Set-AIPFileClassificiation wendet die zusätzlichen benutzerdefinierten Eigenschaften an, wenn das Dokument beschriftet und gespeichert wird.

Get-AIPFileStatus zeigt benutzerdefinierte Eigenschaften als zugeordnete Bezeichnung an, wenn keine Vertraulichkeitsbeschriftung angewendet wurde.
Datei-Explorer Wenn der Benutzer mit der rechten Maustaste auf die Datei klickt und die Bezeichnung angibt, werden die benutzerdefinierten Eigenschaften angewendet.

Für diese Konfiguration müssen Sie eine erweiterte Einstellung mit dem Namen customPropertiesByLabel für jede Vertraulichkeitsbezeichnung angeben, die Sie die zusätzlichen benutzerdefinierten Eigenschaften anwenden möchten. Legen Sie dann für jeden Eintrag den Wert mithilfe der folgenden Syntax ein:

[custom property name],[custom property value]

Wichtig

Die Verwendung von Leerzeichen in der Zeichenfolge verhindert die Anwendung der Bezeichnungen.

Zum Beispiel:

Beispiel 1: Hinzufügen einer einzelnen benutzerdefinierten Eigenschaft für eine Bezeichnung

Anforderung: Dokumente, die vom einheitlichen Azure Information Protection-Client als "Vertraulich" gekennzeichnet sind, sollten über die zusätzliche benutzerdefinierte Eigenschaft "Klassifizierung" mit dem Wert "Geheim" verfügen.

In diesem Beispiel:

  • Die Vertraulichkeitsbeschriftung hat den Namen Vertraulich und erstellt eine benutzerdefinierte Eigenschaft namens Classification mit dem Wert Secret.

Die erweiterte Einstellung:

  • Schlüssel: customPropertiesByLabel

  • Wert: Klassifizierung,Geheim

PowerShell-Beispielbefehl mit dem Namen "Vertraulich":

    Set-Label -Identity Confidential -AdvancedSettings @{customPropertiesByLabel="Classification,Secret"}

Beispiel 2: Hinzufügen mehrerer benutzerdefinierter Eigenschaften für eine Bezeichnung

Wenn Sie mehrere benutzerdefinierte Eigenschaften für dieselbe Bezeichnung hinzufügen möchten, müssen Sie für denselben Schlüssel mehrere Zeichenfolgenwerte definieren.

PowerShell-Beispielbefehl mit dem Namen "Allgemein" und dem Hinzufügen einer benutzerdefinierten Eigenschaft namens Classification mit dem Wert "General" und einer zweiten benutzerdefinierten Eigenschaft namens Sensitivity mit dem Wert Internal:

Set-Label -Identity General -AdvancedSettings @{customPropertiesByLabel=ConvertTo-Json("Classification,General", "Sensitivity,Internal")}

Konfigurieren einer Bezeichnung zur Anwendung des S/MIME-Schutzes in Outlook

Diese Konfiguration verwendet erweiterte Einstellungen für Bezeichnungen, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Verwenden Sie diese Einstellungen nur, wenn Sie eine funktionierende S/MIME-Bereitstellung haben und möchten, dass diese Schutzmethode automatisch auf E-Mails angewendet wird, anstatt auf Rights Management Protection von Azure Information Protection. Der resultierende Schutz ist derselbe wie beim manuellen Auswählen der S/MIME-Optionen Outlook.

Konfiguration Schlüssel/Wert
Digitale S/MIME-Signatur Wenn Sie eine erweiterte Einstellung für eine digitale S/MIME-Signatur konfigurieren möchten, geben Sie die folgenden Zeichenfolgen für die ausgewählte Bezeichnung ein:

- Schlüssel: SMimeSign

- Wert: True
S/MIME-Verschlüsselung Um eine erweiterte Einstellung für die S/MIME-Verschlüsselung zu konfigurieren, geben Sie die folgenden Zeichenfolgen für die ausgewählte Bezeichnung ein:

- Schlüssel: SMimeEncrypt

- Wert: True

Wenn die von Ihnen festgelegte Bezeichnung für die Verschlüsselung konfiguriert ist, ersetzt S/MIME-Schutz für den einheitlichen Azure Information Protection-Client den Rechteverwaltungsschutz nur in Outlook. Der Client verwendet weiterhin die Verschlüsselungseinstellungen, die für die Bezeichnung in der Datei Microsoft 365 Compliance Center.

Bei Office mit integrierter Beschriftung werden diese Bezeichnungen Benutzern nicht angezeigt.

Wenn die Bezeichnung nur in der Gruppe angezeigt Outlook, konfigurieren Sie die Verschlüsselungsoption Nicht weiterleiten unter Benutzern das Zuweisen von Berechtigungen gestatten.

PowerShell-Beispielbefehle mit der Bezeichnung "Nur Empfänger":

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeSign="True"}

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeEncrypt="True"}

Angeben eines Standardunterbezeichnungszeichens für eine übergeordnete Bezeichnung

Diese Konfiguration verwendet eine erweiterte Einstellung für Bezeichnungen, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Wenn Sie einem Etikett ein Unterzeichen hinzufügen, können Benutzer die übergeordnete Bezeichnung nicht mehr auf ein Dokument oder eine E-Mail anwenden. Standardmäßig wählen Benutzer das übergeordnete Etikett aus, um die Unterbezeichnungen zu sehen, die sie anwenden können, und wählen sie dann eines dieser Unterbezeichnungen aus. Wenn Sie diese erweiterte Einstellung konfigurieren und benutzer die übergeordnete Bezeichnung auswählen, wird automatisch ein Unterzeichen ausgewählt und angewendet:

  • Schlüssel: DefaultSubLabelId

  • Value: sublabel > GUID

Beispiel für einen PowerShell-Befehl mit der übergeordneten Bezeichnung "Vertraulich" und dem Unterbezeichnung "Alle Mitarbeiter" mit der GUID 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}

Aktivieren der Klassifizierung, damit sie kontinuierlich im Hintergrund ausgeführt wird

Diese Konfiguration verwendet eine erweiterte Einstellung für Bezeichnungen, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Wenn Sie diese Einstellung konfigurieren, wird das Standardverhalten der Art und Weise geändert, wie der einheitliche Azure Information Protection-Beschriftungsclient automatische und empfohlene Bezeichnungen auf Dokumente wendet:

Bei Word, Excel und PowerPoint wird die automatische Klassifizierung kontinuierlich im Hintergrund ausgeführt.

Das Verhalten ändert sich bei Outlook.

Wenn der einheitliche Azure Information Protection-Beschriftungsclient Dokumente regelmäßig auf die von Ihnen angegebenen Bedingungsregeln überprüft, ermöglicht dieses Verhalten die automatische und empfohlene Klassifizierung und den Schutz für Office-Dokumente, die in SharePoint oder OneDrive gespeichert sind, solange das automatische Speichern aktiviert ist. Große Dateien können auch schneller gespeichert werden, da die Bedingungsregeln bereits ausgeführt wurden.

Die Bedingungsregeln werden nicht in Echtzeit ausgeführt, während ein Benutzer etwas ein gibt. Stattdessen werden sie regelmäßig als Hintergrundaufgabe ausgeführt, wenn das Dokument geändert wird.

Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:

  • Schlüssel: RunPolicyInBackground
  • Wert: True

PowerShell-Beispielbefehl:

Set-LabelPolicy -Identity PolicyName -AdvancedSettings @{RunPolicyInBackground = "true"}

Hinweis

Dieses Feature befindet sich derzeit in der VORSCHAU. Die ergänzenden Bedingungen für Azure Preview enthalten zusätzliche gesetzliche Bedingungen, die für Azure-Features gelten, die in der Betaversion, in der Vorschau oder auf andere Weise noch nicht zur allgemeinen Verfügbarkeit veröffentlicht wurden.

Angeben einer Farbe für die Beschriftung

Diese Konfiguration verwendet erweiterte Einstellungen für Bezeichnungen, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Mithilfe dieser erweiterten Einstellung können Sie eine Farbe für eine Beschriftung festlegen. Um die Farbe anzugeben, geben Sie einen Hexadezimal-Dreifachcode für die Rot-, Grün- und Blaukomponenten (RGB) der Farbe ein. Beispielsweise ist #40e0d0 der RGB-Hexadezimalwert für Türkis.

Wenn Sie eine Referenz zu diesen Codes benötigen, > finden Sie eine hilfreiche Tabelle auf der Farbseite aus den MSDN-Web-Dokumenten. Sie finden diese Codes auch in vielen Anwendungen, in der Sie Bilder bearbeiten können. Beispielsweise können Microsoft Paint eine benutzerdefinierte Farbe aus einer Palette auswählen, und die RGB-Werte werden automatisch angezeigt, die Sie dann kopieren können.

Um die erweiterte Einstellung für die Farbe einer Beschriftung zu konfigurieren, geben Sie die folgenden Zeichenfolgen für die ausgewählte Beschriftung ein:

  • Schlüssel: Farbe

  • Wert: RGB-Hexadezimalwert >

Beispiel für einen PowerShell-Befehl mit der Bezeichnung "Öffentlich":

Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}

Anmelden als anderer Benutzer

Das Anmelden bei mehreren Benutzern wird von AIP in der Produktion nicht unterstützt. Dieses Verfahren beschreibt, wie Sie sich nur zu Testzwecken als anderer Benutzer anmelden.

Mithilfe des Dialogfelds Microsoft Azure Information Protection können Sie überprüfen, mit welchem Konto Sie derzeit angemeldet sind: Öffnen Sie eine Office-Anwendung, wählen Sie auf der Registerkarte Start die Schaltfläche Vertraulichkeit und dann Hilfe und Feedback aus. Der Name Ihres Kontos wird im Abschnitt Clientstatus angezeigt.

Überprüfen Sie auch den Domänennamen des angezeigten angemeldeten Kontos. Es kann leicht übersehen werden, dass Sie mit dem richtigen Kontonamen, aber der falschen Domäne angemeldet sind. Ein Symptom für die Verwendung des falschen Kontos besteht unter anderem daran, dass die Bezeichnungen nicht heruntergeladen werden oder die von Ihnen erwarteten Bezeichnungen oder das Verhalten nicht angezeigt werden.

So melden Sie sich als anderer Benutzer an:

  1. Navigieren Sie zu %localappdata%\Microsoft\MSIP, und löschen Sie die TokenCache-Datei.

  2. Starten Sie alle geöffneten Office neu, und melden Sie sich mit Ihrem anderen Benutzerkonto an. Wenn in Ihrer Office-Anwendung keine Aufforderung zum Anmelden beim Azure Information Protection-Dienst angezeigt wird, kehren Sie zum Dialogfeld Microsoft Azure Information Protection zurück, und wählen Sie im aktualisierten Abschnitt Clientstatus die Option Anmelden aus.

Darüber hinaus:

Szenario Beschreibung
Noch beim alten Konto angemeldet Wenn der einheitliche Azure Information Protection-Beschriftungsclient nach Abschluss dieser Schritte immer noch mit dem alten Konto angemeldet ist, löschen Sie alle Cookies in Internet Explorer, und wiederholen Sie dann die Schritte 1 und 2.
Verwenden von einmaligem Anmelden Wenn Sie einmaliges Anmelden verwenden, müssen Sie sich bei Windows abmelden und sich mit Ihrem anderen Benutzerkonto anmelden, nachdem Sie die Tokendatei gelöscht haben.

Der einheitliche Azure Information Protection-Beschriftungsclient authentifiziert sich dann automatisch mithilfe Ihres derzeit angemeldeten Benutzerkontos.
Verschiedene Mandanten Diese Lösung wird für die Anmeldung als ein anderer Benutzer aus demselben Mandanten unterstützt. Die Anmeldung als anderer Benutzer eines anderen Mandanten wird nicht unterstützt.

Verwenden Sie verschiedene Computer, um Azure Information Protection mit mehreren Mandanten zu testen.
Zurücksetzen der Einstellungen Mithilfe der Option Einstellungen zurücksetzen aus Hilfe und Feedback können Sie sich abmelden und die aktuell heruntergeladenen Bezeichnungen und Richtlinieneinstellungen aus dem Microsoft 365 Compliance Center.

Unterstützung für nicht angeschlossene Computer

Wichtig

Nicht angeschlossene Computer werden in folgenden Bezeichnungsszenarien unterstützt: Datei-Explorer, PowerShell, Ihre Office und Scanner.

Standardmäßig versucht der einheitliche Azure Information Protection-Beschriftungsclient automatisch, eine Verbindung mit dem Internet herzustellen, um die Bezeichnungs- und Bezeichnungsrichtlinieneinstellungen von der App Microsoft 365 Compliance Center.

Wenn Sie Computer haben, die eine Zeit nicht mit dem Internet verbunden sein können, können Sie Dateien exportieren und kopieren, die die Richtlinie für den einheitlichen Bezeichnungsclient manuell verwalten.

So unterstützen Sie getrennte Computer vom einheitlichen Bezeichnungsclient:

  1. Wählen oder erstellen Sie ein Benutzerkonto in Azure AD, das Sie zum Herunterladen von Bezeichnungen und Richtlinieneinstellungen verwenden möchten, die Sie auf dem getrennten Computer verwenden möchten.

  2. Deaktivieren Sie als zusätzliche Bezeichnungsrichtlinieneinstellung für dieses Konto das Senden von Überwachungsdaten an Azure Information Protection-Analysen.

    Wir empfehlen diesen Schritt, denn wenn der getrennte Computer über eine regelmäßige Internetverbindung verfügt, sendet er Protokollierungsinformationen an Azure Information Protection-Analysen, die den Benutzernamen aus Schritt 1 enthalten. Dieses Benutzerkonto kann sich von dem lokalen Konto unterscheiden, das Sie auf dem getrennten Computer verwenden.

  3. Laden Sie die Bezeichnungen und Richtlinieneinstellungen von einem Computer mit Internetverbindung herunter, auf dem der einheitliche Beschriftungsclient aus Schritt 1 installiert und mit dem Benutzerkonto angemeldet ist.

  4. Exportieren Sie die Protokolldateien von diesem Computer aus.

    Führen Sie z. B. das Cmdlet Export-AIPLogs aus, oder verwenden Sie die Option Protokolle exportieren aus dem Dialogfeld Hilfe und Feedback des Clients.

    Die Protokolldateien werden als einzelne komprimierte Datei exportiert.

  5. Öffnen Sie die komprimierte Datei, und kopieren Sie alle Dateien mit der .xml Dateinamenerweiterung aus dem Ordner MSIP.

  6. Fügen Sie diese Dateien in den Ordner "%localappdata%\Microsoft\MSIP" auf dem getrennten Computer ein.

  7. Wenn das ausgewählte Benutzerkonto normalerweise eine Verbindung mit dem Internet herstellt, aktivieren Sie das Senden von Überwachungsdaten erneut, indem Sie den Wert EnableAudit auf True festlegen.

Wenn ein Benutzer auf diesem Computer die Option Einstellungen zurücksetzen aus Hilfe und Feedback auswählt, löscht diese Aktion die Richtliniendateien und rendert den Client so lange inoperierbar, bis Sie die Dateien manuell ersetzen oder der Client eine Verbindung mit dem Internet herstellt und die Dateien herunterlädet.

Wenn auf Ihrem getrennten Computer der Azure Information Protection-Scanner ausgeführt wird, müssen Sie weitere Konfigurationsschritte ausführen. Weitere Informationen finden Sie unter Einschränkung: Der Scannerserver kann über die Anweisungen zur Scannerbereitstellung keine Internetverbindung herstellen.

Ändern des lokalen Protokollierstands

Standardmäßig schreibt der einheitliche Azure Information Protection-Beschriftungsclient Clientprotokolldateien in den Ordner "%localappdata%\Microsoft\MSIP". Diese Dateien sind zur Problembehandlung durch den Microsoft-Support vorgesehen.

Um den Protokollierwert für diese Dateien zu ändern, suchen Sie den folgenden Wertnamen in der Registrierung, und legen Sie die Wertdaten auf den erforderlichen Protokollierwert festgelegt:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel

Legen Sie den Protokollierwert auf einen der folgenden Werte dar:

  • Aus:Keine lokale Protokollierung.

  • Fehler:Nur Fehler.

  • Warnung:Fehler und Warnungen.

  • Informationen:Minimale Protokollierung, die keine Ereignis-IDs enthält (die Standardeinstellung für den Scanner).

  • Debuggen:Vollständige Informationen.

  • Ablaufverfolgung:Detaillierte Protokollierung (die Standardeinstellung für Clients).

Diese Registrierungseinstellung ändert nicht die Informationen, die für die zentrale Berichterstellung an Azure Information Protection gesendet werden.

Überspringen oder Ignorieren von Dateien während Scans je nach Dateiattributen

Für diese Konfiguration wird eine erweiterte Richtlinieneinstellung verwendet, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Standardmäßig überprüft der einheitliche Azure Information Protection-Scanner alle relevanten Dateien. Es kann jedoch sein, dass Sie bestimmte zu überspringende Dateien definieren möchten, z. B. für archivierte Dateien oder verschobene Dateien.

Ermöglichen Sie es Scannern, bestimmte Dateien basierend auf ihren Dateiattributen mithilfe der erweiterten Einstellung ScannerFSAttributesToSkip zu überspringen. Listen Sie im Einstellungswert die Dateiattribute auf, mit denen die Datei übersprungen werden kann, wenn alle auf "true" festgelegt sind. In dieser Liste der Dateiattribute wird die LOGIK UND verwendet.

Die folgenden PowerShell-Beispielbefehle veranschaulichen die Verwendung dieser erweiterten Einstellung mit einer Bezeichnung namens "Global".

Schreibgeschützte und archivierte Dateien überspringen

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}

Schreibgeschützte oder archivierte Dateien überspringen

Wenn Sie eine ODER-Logik verwenden möchten, führen Sie dieselbe Eigenschaft mehrmals aus. Zum Beispiel:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}

Tipp

Es wird empfohlen, den Scanner so zu aktivieren, dass Dateien mit den folgenden Attributen übersprungen werden:

  • FILE_ATTRIBUTE_SYSTEM
  • FILE_ATTRIBUTE_HIDDEN
  • FILE_ATTRIBUTE_DEVICE
  • FILE_ATTRIBUTE_OFFLINE
  • FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
  • FILE_ATTRIBUTE_RECALL_ON_OPEN
  • FILE_ATTRIBUTE_TEMPORARY

Eine Liste aller Dateiattribute, die in der erweiterten Einstellung ScannerFSAttributesToSkip definiert werden können, finden Sie in den Win32-Dateiattributkonstante.

BEIBEHALTEN von NTFS-Besitzern während der Bezeichnung (öffentliche Vorschau)

Für diese Konfiguration wird eine erweiterte Richtlinieneinstellung verwendet, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Standardmäßig wird bei der Bezeichnung der Erweiterungen Scanner, PowerShell und Datei-Explorer der NTFS-Besitzer, der vor der Bezeichnung definiert wurde, nicht beibehalten.

Um sicherzustellen, dass der NTFS-Besitzerwert beibehalten wird, legen Sie die erweiterte Einstellung UseCopyAndPreserveNTFSOwner für die ausgewählte Bezeichnungsrichtlinie auf true fest.

Vorsicht

Definieren Sie diese erweiterte Einstellung nur, wenn Sie eine zuverlässige Netzwerkverbindung mit geringer Wartezeit zwischen dem Scanner und dem gescannten Repository sicherstellen können. Ein Netzwerkfehler während der automatischen Bezeichnung kann dazu führen, dass die Datei verloren geht.

PowerShell-Beispielbefehl, wenn Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}

Hinweis

Dieses Feature befindet sich derzeit in der VORSCHAU. Die ergänzenden Bedingungen für Azure Preview enthalten zusätzliche gesetzliche Bedingungen, die für Azure-Features gelten, die in der Betaversion, in der Vorschau oder auf andere Weise noch nicht zur allgemeinen Verfügbarkeit veröffentlicht wurden.

Anpassen von Rechtfertigungsaufforderungstexten für geänderte Etiketten

Passen Sie die Rechtfertigungsaufforderungen an, die sowohl in Office als auch im AIP-Client angezeigt werden, wenn Endbenutzer Klassifizierungsbezeichnungen für Dokumente und E-Mails ändern.

Beispielsweise möchten Sie als Administrator die Benutzer möglicherweise daran erinnern, diesem Feld keine Informationen zur Identifizierung von Kunden hinzuzufügen:

Angepasster Rechtfertigungs-Eingabeaufforderungstext

Wenn Sie den angezeigten Standardtext Anderer Text ändern möchten, verwenden Sie die erweiterte Eigenschaft JustificationTextForUserText mit dem Cmdlet Set-LabelPolicy. Legen Sie den Wert stattdessen auf den Text, den Sie verwenden möchten.

PowerShell-Beispielbefehl, wenn Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}

Anpassen Outlook von Popupnachrichten

AIP-Administratoren können die Popupnachrichten anpassen, die Endbenutzern in einer Outlook angezeigt werden, z. B.:

  • Nachrichten für blockierte E-Mails
  • Warnmeldungen, in der Benutzer aufgefordert werden, den zu sendenden Inhalt zu bestätigen
  • Rechtfertigung für Nachrichten, die fordern, die Inhalte, die sie senden, im Rechtfertigungsgrund zu rechtfertigen

Wichtig

Dieses Verfahren überschreibt alle Einstellungen, die Sie bereits mithilfe der erweiterten OutlookUnlabeledCollaborationAction-Eigenschaft definiert haben.

In der Produktion empfiehlt es sich, Komplikationen zu vermeiden, indem Sie entweder die erweiterte OutlookUnlabeledCollaborationAction-Eigenschaft verwenden, um Ihre Regeln zu definieren, oder indem Sie komplexe Regeln mit einer json-Datei wie unten definiert definieren, jedoch nicht beides.

So passen Sie Outlook Popupnachrichten an:

  1. Erstellen Sie JSON-Dateien mit jeweils einer Regel, die konfiguriert, wie Outlook Popupnachrichten für Ihre Benutzer anzeigen. Weitere Informationen finden Sie unter JSON-Syntax für Regelwerte und JSON-Code für Beispiel für Popupanpassungen.

  2. Verwenden Sie PowerShell, um erweiterte Einstellungen zu definieren, die die Popupnachrichten steuern, die Sie konfigurieren. Führen Sie für jede Regel, die Sie konfigurieren möchten, einen separaten Satz von Befehlen aus.

    Jede Gruppe von PowerShell-Befehlen muss den Namen der Richtlinie, die Sie konfigurieren möchten, sowie den Schlüssel und Wert enthalten, der die Regel definiert.

    Verwenden Sie die folgende Syntax:

    $filedata = Get-Content "<Path to json file>"
    Set-LabelPolicy -Identity <Policy name> -AdvancedSettings @{<Key> ="$filedata"}
    

    Dabei:

    • <Path to json file> ist der Pfad zu der von Ihnen erstellten JSON-Datei. Beispiel: C:\Benutzer\msa aus\Desktop\ \dlp\OutlookCollaborationRule_1.json.

    • <Policy name> ist der Name der Richtlinie, die Sie konfigurieren möchten.

    • <Key> ist ein Name für Ihre Regel. Verwenden Sie die folgende Syntax, wobei # > die fortlaufende Zahl für die Regel ist:

      OutlookCollaborationRule_<x>

    Weitere Informationen finden Sie unter Ordering your Outlook customization rules and Rule value json syntax.

Tipp

Benennen Sie die Datei für eine weitere Organisation mit derselben Zeichenfolge wie der Schlüssel, der im PowerShell-Befehl verwendet wird. Geben Sie der Datei beispielsweise den Namen OutlookCollaborationRule_1.json, und verwenden Sie dann OutlookCollaborationRule_1 -Schlüssel.

Um sicherzustellen, dass Popups auch dann angezeigt werden, wenn Dokumente von außerhalb von Outlook (Dateifreigabe eine Kopie > anfügen)freigegeben werden, konfigurieren Sie auch die erweiterte Einstellung >

Sortierung der Outlook Anpassungsregeln

AIP verwendet die Seriennummer des von Ihnen eingaben Schlüssels, um die Reihenfolge zu bestimmen, in der die Regeln verarbeitet werden. Definieren Sie beim Definieren der für die einzelnen Regeln verwendeten Schlüssel Ihre restriktiveren Regeln mit niedrigeren Zahlen, gefolgt von weniger restriktiven Regeln mit höheren Zahlen.

Sobald eine bestimmte Regelabgleich gefunden wurde, beendet AIP die Verarbeitung der Regeln und führt die Aktion aus, die der Abgleichsregel zugeordnet ist. (Erste Übereinstimmung – Ausgangslogik)

Beispiel:

Sie möchten z. B. alle internen E-Mails mit einer bestimmten Warnmeldung konfigurieren, aber in der Regel nicht blockieren. Sie möchten jedoch blockieren, dass Benutzer Anlagen senden, die als geheim klassifiziert wurden,auch von internen E-Mails.

In diesem Szenario sollten Sie den geheimen Regelschlüssel (die spezifischere Regel) vor dem allgemeineren Regelschlüssel Vor internem Regelschlüssel warnen bestellen:

  • Für die Meldung Blockieren:OutlookCollaborationRule_1
  • Für die Warnmeldung warnen:OutlookCollaborationRule_2

Syntax des Regelwerts .json

Definieren Sie die json-Syntax der Regel wie folgt:

"type" : "And",
"nodes" : []

Sie müssen über mindestens zwei Knoten verfügen, von dem der erste die Bedingung der Regel darstellt, und der letzte, der die Aktion der Regel darstellt. Weitere Informationen finden Sie unter:

Syntax der Regelbedingung

Bedingungsknoten für Regeln müssen den Knotentyp und dann die Bedingungen selbst enthalten.

Zu den unterstützten Knotentypen gehören:

Knotentyp Beschreibung
Und Führt und für alle untergeordneten Knoten aus.
Oder Führt oder für alle untergeordneten Knoten aus.
Nicht Führt dies nicht für sein eigenes untergeordnetes Kind aus.
Außer Gibt nicht für sein eigenes untergeordnetes Kind zurück, was dazu führt, dass es sich als Alle verhält.
SentTo,gefolgt von Domains: listOfDomains Überprüft eine der folgenden Optionen:
– Wenn das übergeordnete Element except ist, wirdüberprüft, ob sich alle Empfänger in einer der Domänen befinden.
– Wenn das übergeordnete Element etwas anderes als außer ist, wirdüberprüft, ob einer der Empfänger in einer der Domänen enthalten ist.
EMailLabel,gefolgt von Bezeichnung Eine der folgenden Optionen:
- Die Etiketten-ID
- NULL, wenn nicht beschriftet
AttachmentLabel,gefolgt von Label und unterstützten Erweiterungen Eine der folgenden Optionen:

true:
– Wenn das übergeordnete Element except ist,wird überprüft, ob alle Anlagen mit einer unterstützten Erweiterung in der Bezeichnung vorhanden sind.
– Wenn das übergeordnete Element eine andere Bezeichnung als außer ist,wird überprüft, ob eine der Anlagen mit einer unterstützten Erweiterung in der Bezeichnung vorhanden ist.
- Wenn nicht beschriftet, und Bezeichnung = Null

false:In allen anderen Fällen

Hinweis:Wenn die Extensions-Eigenschaft leer ist oder fehlt, sind alle unterstützten Dateitypen (Erweiterungen) in der Regel enthalten.

Syntax für Regelaktion

Regelaktionen können eine der folgenden Sein:

Aktion Syntax Beispielnachricht
Blockieren Block (List<language, [title, body]>) Blockierte E-Mail

Sie senden Inhalte, die als "Geheim" klassifiziert wurden, an einen oder mehrere nicht vertrauenswürdige Empfänger:
rsinclair@contoso.com

Ihre Organisationsrichtlinie lässt diese Aktion nicht zu. Erwägen Sie, diese Empfänger zu entfernen oder den Inhalt zu ersetzen.
Warnen Warn (List<language,[title,body]>) Bestätigung erforderlich

Sie sind dabei, Inhalte, die als Allgemein klassifiziert wurden, an einen oder mehrere nicht vertrauenswürdige Empfänger zu senden:
rsinclair@contoso.com

Ihre Organisationsrichtlinie erfordert eine Bestätigung, dass Sie diese Inhalte senden.
Justify Justify (numOfOptions, hasFreeTextOption, List<language, [Title, body, options1,options2….]> )

Einschließlich von bis zu drei Optionen.
Rechtfertigung erforderlich

Ihre Organisationsrichtlinie erfordert, dass Sie Inhalte, die als allgemein klassifiziert wurden, an nicht vertrauenswürdige Empfänger senden müssen.

– Ich bestätige, dass die Empfänger für die Freigabe dieser Inhalte genehmigt wurden
– Mein Vorgesetzter hat die Freigabe dieses Inhalts genehmigt.
- Sonstiges, wie erläutert
Aktionsparameter

Wenn für eine Aktion keine Parameter angegeben sind, haben die Popups den Standardtext.

Alle Texte unterstützen die folgenden dynamischen Parameter:

Parameter Beschreibung
${MatchedRecipientsList} Die letzte Übereinstimmung für die SentTo-Bedingungen
${MatchedLabelName} Die Bezeichnung für E-Mail/Anlage mit dem lokalisierten Namen aus der Richtlinie
${MatchedAttachmentName} Der Name der Anlage aus der letzten Übereinstimmung für die AttachmentLabel-Bedingung

Hinweis

Alle Nachrichten enthalten die Option Weitere Informationen sowie die Dialogfelder Hilfe und Feedback.

Bei "Language" handelt es sich um den Namen "CultureName" für das Land/die Region, z. B.: Englisch ; Spanisch

Namen nur für Eltern werden ebenfalls unterstützt, z. en B. nur.

Beispiel für Popupanpassungs-JSON-Code

Die folgenden JSON-Codesätze zeigen, wie Sie eine Vielzahl von Regeln definieren können, die steuern, Outlook Popupnachrichten für Ihre Benutzer angezeigt werden.

Beispiel 1: Blockieren interner E-Mails oder Anlagen

Der folgende JSON-Code blockiert E-Mails oder Anlagen, die als "Intern" klassifiziert wurden, für externe Empfänger.

In diesem Beispiel ist 89a453df-5df4-4976-8191-259d0cf9560a die ID der Bezeichnung "Intern", und interne Domänen umfassen "contoso.com" und "microsoft.com".

Da keine bestimmten Erweiterungen angegeben sind, sind alle unterstützten Dateitypen enthalten.

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			  "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel", 			
					"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a" 		
				},{ 					
                    "type" : "EmailLabel", 					
                    "LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a" 				
                }
			]
		},		
        { 			
            "type" : "Block", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Email Blocked", 				  
                    "Body": "The email or at least one of the attachments is classified as <Bold>${MatchedLabelName}</Bold>. Documents classified as <Bold> ${MatchedLabelName}</Bold> cannot be sent to external recipients (${MatchedRecipientsList}).<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance with classification requirements as per Contoso's policies." 				
                }, 				
                "es-es": { 				  
                    "Title": "Correo electrónico bloqueado", 				  
                    "Body": "El correo electrónico o al menos uno de los archivos adjuntos se clasifica como <Bold> ${MatchedLabelName}</Bold>." 				
                } 			
            }, 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

Beispiel 2: Blockieren von nicht klassifizierten Office Anlagen

Der folgende JSON-Code blockiert nicht klassifizierte Office oder E-Mails werden nicht an externe Empfänger gesendet.

Im folgenden Beispiel die Anlagenliste, für die eine Bezeichnung erforderlich ist: .doc,.docm,.docx,.dot,.dotm,.dotx,.potm,.potx,.pps,.ppsm,.ppsx,.ppt,.pptm,.pptx,.vdw,. vsd,.vsdm,.vsdx,.vss,.vssm,.vst,.vstm,.vssx,.vstx,.xls,.xlsb,.xlt,.xlsm,.xlsx,.xltm,.xltx

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			        "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel",
					 "LabelId" : null,
					"Extensions": [
									".doc",
									".docm",
									".docx",
									".dot",
									".dotm",
									".dotx",
									".potm",
									".potx",
									".pps",
									".ppsm",
									".ppsx",
									".ppt",
									".pptm",
									".pptx",
									".vdw",
									".vsd",
									".vsdm",
									".vsdx",
									".vss",
									".vssm",
									".vst",
									".vstm",
									".vssx",
									".vstx",
									".xls",
									".xlsb",
									".xlt",
									".xlsm",
									".xlsx",
									".xltm",
									".xltx"
								 ]
					
				},{ 					
                    "type" : "EmailLabel",
					 "LabelId" : null
                }
			]
		},		
        { 			
            "type" : "Block", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Emailed Blocked", 				  
                    "Body": "Classification is necessary for attachments to be sent to external recipients.<br><br>List of attachments that are not classified:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br>For MS Office documents, classify and send again.<br><br>For PDF files, classify the document or classify the email (using the most restrictive classification level of any single attachment or the email content) and send again." 				
                }, 				
                "es-es": { 				  
                    "Title": "Correo electrónico bloqueado", 				  
                    "Body": "La clasificación es necesaria para que los archivos adjuntos se envíen a destinatarios externos." 				
                } 			
            }, 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

Beispiel 3: Verlangen, dass der Benutzer das Senden einer vertraulichen E-Mail oder Anlage akzeptiert

Im folgenden Beispiel wird Outlook eine Meldung angezeigt, die den Benutzer darauf warnt, eine vertrauliche E-Mail oder Anlage an externe Empfänger zu senden, und erfordert außerdem, dass der Benutzer Ich akzeptiere auswählt.

Diese Art von Warnmeldung wird technisch als Rechtfertigung angesehen, da der Benutzer ich akzeptiere auswählen muss.

Da keine bestimmten Erweiterungen angegeben sind, sind alle unterstützten Dateitypen enthalten.

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			        "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel", 			
					"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613" 		
				},{ 					
                    "type" : "EmailLabel", 					
                    "LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613" 				
                }
			]
		},		
        { 			
            "type" : "Justify", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Warning", 				  
                    "Body": "You are sending a document that is classified as <Bold>${MatchedLabelName}</Bold> to at least one external recipient. Please make sure that the content is correctly classified and that the recipients are entitled to receive this document.<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><Bold>List of external email addresses:</Bold><br>${MatchedRecipientsList})<br><br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br><Bold>Acknowledgement</Bold><br>By clicking <Bold>I accept</Bold> below, you confirm that the recipient is entitled to receive the content and the communication complies with CS Policies and Standards",
					"Options": [ 						
                        "I accept"			    
                    ] 
                }, 				
                "es-es": { 				  
                    "Title": "Advertencia", 				  
                    "Body": "Está enviando un documento clasificado como <Bold>${MatchedLabelName}</Bold> a al menos un destinatario externo. Asegúrese de que el contenido esté correctamente clasificado y que los destinatarios tengan derecho a recibir este documento.",
                    "Options": [ 						
                        "Acepto"				    
                    ] 					
                } 			
            }, 			
            "HasFreeTextOption":"false", 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

Beispiel 4: Warnen bei E-Mails ohne Etikett und einer Anlage mit einem bestimmten Etikett

Der folgende JSON-Code Outlook, dass der Benutzer gewarnt wird, wenn er eine interne E-Mail sendet, die keine Bezeichnung hat und eine Anlage mit einer bestimmten Bezeichnung enthält.

In diesem Beispiel ist bcbef25a-c4db-446b-9496-1b558d9edd0e die ID der Bezeichnung der Anlage, und die Regel gilt für .docx-, .xlsx- und .pptx-Dateien.

Standardmäßig erhalten E-Mails, die mit Anlagen beschriftet sind, nicht automatisch dieselbe Bezeichnung.

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "EmailLabel",
					 "LabelId" : null			
        },
        {
          "type": "AttachmentLabel",
          "LabelId": "bcbef25a-c4db-446b-9496-1b558d9edd0e",
          "Extensions": [
                ".docx",
                ".xlsx",
                ".pptx"
             ]
        },
	{  			
            "type" : "SentTo",  			
            "Domains" : [  				
                "contoso.com", 				
            ]   		
        }, 		
        { 			
            "type" : "Warn"	
        } 	
    ] 
}

Beispiel 5: Eingabeaufforderung zur Begründung mit zwei vordefinierten Optionen und einer zusätzlichen Freitextoption

Der folgende JSON-Code Outlook Benutzer zur Begründung für seine Aktion auf. Der Rechtfertigungstext enthält zwei vordefinierte Optionen sowie eine dritte Option für freien Text.

Da keine bestimmten Erweiterungen angegeben sind, sind alle unterstützten Dateitypen enthalten.

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 									
                ]   			
            } 		
        }, 		
        { 			
            "type" : "EmailLabel", 			
            "LabelId" : "34b8beec-40df-4219-9dd4-553e1c8904c1" 		
        }, 		
        { 			
            "type" : "Justify", 			
            "LocalizationData": { 				
                "en-us": { 					
                    "Title": "Justification Required", 					
                    "Body": "Your organization policy requires justification for you to send content classified as <Bold> ${MatchedLabelName}</Bold>,to untrusted recipients:<br>Recipients are: ${MatchedRecipientsList}", 					
                    "Options": [ 						
                        "I confirm the recipients are approved for sharing this content", 					
                        "My manager approved sharing of this content", 						
                        "Other, as explained" 				    
                    ] 				
                }, 				
                "es-es": { 				    
                    "Title": "Justificación necesaria", 				    
                    "Body": "La política de su organización requiere una justificación para que envíe contenido clasificado como <Bold> ${MatchedLabelName}</Bold> a destinatarios que no sean de confianza.", 				    
                    "Options": [ 						
                        "Confirmo que los destinatarios están aprobados para compartir este contenido.",
                        "Mi gerente aprobó compartir este contenido",
                        "Otro, como se explicó" 					
                    ] 				
                } 			
            }, 			
            "HasFreeTextOption":"true", 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

Konfigurieren SharePoint Timeouts

Standardmäßig beträgt das Timeout für SharePoint-Interaktionen zwei Minuten, danach schlägt der AIP-Versuch fehl.

Ab Version 2.8.85.0 können AIP-Administratoren dieses Timeout mithilfe der folgenden erweiterten Eigenschaften steuern und eine hh:mm:ss-Syntax zum Definieren der Timeouts verwenden:

  • SharepointWebRequestTimeout. Bestimmt das Timeout für alle AIP-Webanforderungen für SharePoint. Standardwert = 2 Minuten.

    Wenn Ihre Richtlinie z. B. Globalheißt, wird das Timeout für Webanforderung mit dem folgenden PowerShell-Beispielbefehl auf 5 Minuten aktualisiert.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}
    
  • SharepointFileWebRequestTimeout. Bestimmt das Timeout speziell für SharePoint Dateien über AIP-Webanforderungen. Standardwert = 15 Minuten

    Wenn Ihre Richtlinie z. B. Globalheißt, wird das Timeout für Dateiwebanforderung mit dem folgenden PowerShell-Beispielbefehl auf 10 Minuten aktualisiert.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
    

Vermeiden Sie Scannertimeouts in SharePoint

Wenn Sie über lange Dateipfade in SharePoint Version 2013 oder höher verfügen, stellen Sie sicher, dass der Wert "httpRuntime.maxUrlLength" Ihres SharePoint-Servers größer als der Standardwert von 260 Zeichen ist.

Dieser Wert wird in der HttpRuntimeSection-Klasse der Konfiguration definiert.

So aktualisieren Sie die HttpRuntimeSection-Klasse:

  1. Sichern Sie Ihreweb.config-Konfiguration.

  2. Aktualisieren Sie den Wert "maxUrlLength" nach Bedarf. Zum Beispiel:

    <httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000"  />
    
  3. Starten Sie den SharePoint neu, und vergewissern Sie sich, dass er ordnungsgemäß geladen wird.

    Wählen Sie beispielsweise in Windows Internet Information Servers (IIS) Manager Ihre Website aus, und wählen Sie dann unter Websiteverwalten die Option Restart aus.

Verhindern Outlook Leistungsproblemen bei S/MIME-E-Mails

Es können Leistungsprobleme auftreten, Outlook S/MIME-E-Mails im Lesebereich geöffnet werden. Um diese Probleme zu verhindern, aktivieren Sie die erweiterte OutlookSkipSmimeOnReadingPaneEnabled-Eigenschaft.

Durch Aktivieren dieser Eigenschaft wird verhindert, dass die AIP-Leiste und die E-Mail-Klassifizierungen im Lesebereich angezeigt werden.

Wenn Ihre Richtlinie z. B. "Global"heißt, aktiviert der folgende PowerShell-Beispielbefehl die OutlookSkipSmimeOnReadingPaneEnabled-Eigenschaft:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookSkipSmimeOnReadingPaneEnabled="true"}

Deaktivieren der Features für die Dokumentnachverfolgung

Standardmäßig sind die Features zur Dokumentnachverfolgung für Ihren Mandanten aktiviert. Um sie zu deaktivieren, z. B. für Datenschutzanforderungen in Ihrer Organisation oder Region, legen Sie den Wert EnableTrackAndRevoke auf False .

Nachdem die Option deaktiviert wurde, stehen die Nachverfolgungsdaten für Dokumente in Ihrer Organisation nicht mehr zur Verfügung, und Benutzern wird die Menüoption Widerrufen in ihren Apps Office angezeigt.

Geben Sie für die ausgewählte Bezeichnungsrichtlinie die folgenden Zeichenfolgen an:

  • Schlüssel: EnableTrackAndRevoke

  • Wert: False

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableTrackAndRevoke="False"}

Nachdem Sie diesen Wert auf False festgelegt haben,werden Nachverfolgen und Widerrufen wie folgt deaktiviert:

  • Durch das Öffnen geschützter Dokumente mit dem einheitlichen AIP-Beschriftungsclient werden die Dokumente nicht mehr zum Nachverfolgen und Widerrufen registriert.
  • Endbenutzern wird die Menüoption Widerrufen in ihren Apps Office angezeigt.

Geschützte Dokumente, die bereits für die Nachverfolgung registriert sind, werden jedoch weiterhin nachverfolgt, und Administratoren können den Zugriff über PowerShell weiterhin widerrufen. Führen Sie auch das Cmdlet Disable-AipServiceDocumentTrackingFeature aus, um Features zum Nachverfolgen und Widerrufen vollständig zu deaktivieren.

Für diese Konfiguration wird eine erweiterte Richtlinieneinstellung verwendet, die Sie mithilfe von Office 365 Security Compliance Center PowerShell konfigurieren müssen.

Tipp

Um die Nachverfolgung zu aktivieren und wieder zu widerrufen, legen Sie EnableTrackAndRevoke auf True, und führen Sie außerdem das Cmdlet Enable-AipServiceDocumentTrackingFeature aus.

Deaktivieren der Option "Widerrufen" für Endbenutzer in Office Apps

Wenn Sie nicht möchten, dass Endbenutzer den Zugriff auf geschützte Dokumente aus ihren Office-Apps widerrufen können, können Sie die Option Zugriff widerrufen aus Ihren Office-Apps entfernen.

Hinweis

Durch das Entfernen der Option Zugriff widerrufen bleiben Ihre geschützten Dokumente weiterhin im Hintergrund verfolgt, und der Administrator hat weiterhin die Möglichkeit, den Zugriff auf Dokumente über PowerShell zu widerrufen.

Geben Sie für die ausgewählte Bezeichnungsrichtlinie die folgenden Zeichenfolgen an:

  • Schlüssel: EnableRevokeGuiSupport

  • Wert: False

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}

Konfigurieren des Timeouts für die automatische Office von Dateien

Standardmäßig beträgt das Timeout für die automatische Beschriftung des Scanners für Office Dateien drei Sekunden.

Wenn Sie eine komplexe Excel mit vielen Blättern oder Zeilen haben, sind 3 Sekunden möglicherweise nicht ausreichend, um Etiketten automatisch anzuwenden. Um dieses Timeout für die ausgewählte Bezeichnungsrichtlinie zu erhöhen, geben Sie die folgenden Zeichenfolgen an:

  • Schlüssel: OfficeContentExtractionTimeout

  • Wert: Sekunden im folgenden Format: hh:mm:ss .

Wichtig

Wir empfehlen, dieses Timeout nicht auf einen Wert von mehr als 15 Sekunden zu erhöhen.

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}

Das aktualisierte Timeout gilt für die automatische Kennzeichnung für alle Office Dateien.

Aktivieren von Globalisierungsfeatures für Klassifizierungen (Public Preview)

Klassifizierungs-Globalisierungsfeatures,einschließlich erhöhter Genauigkeit für ostasiatische Sprachen und Unterstützung für Double-Byte-Zeichen. Diese Verbesserungen werden nur für 64-Bit-Prozesse bereitgestellt und standardmäßig deaktiviert.

Aktivieren Sie diese Features für Die Richtlinie geben Sie die folgenden Zeichenfolgen an:

  • Schlüssel: EnableGlobalization

  • Wert: True

PowerShell-Beispielbefehl, in dem Ihre Bezeichnungsrichtlinie den Namen "Global" hat:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}

Um die Unterstützung wieder zu deaktivieren und zur Standardeinstellung zurückwiederherstellen, legen Sie die erweiterte Einstellung EnableGlobalization auf eine leere Zeichenfolge.

Nächste Schritte

Nachdem Sie den einheitlichen Azure Information Protection-Beschriftungsclient angepasst haben, finden Sie in den folgenden Ressourcen weitere Informationen, die Sie möglicherweise zur Unterstützung dieses Clients benötigen: