Guía de administración: Configuraciones personalizadas para el cliente de etiquetado unificado de Azure Information Protection

Seaplica a: Azure Information Protection, Windows 11, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Si ha Windows 7 o Office 2010, vea AIP y versiones Windows y Office heredadas.

Relevante para:Cliente de etiquetado unificado de Azure Information Protection para Windows.

Use la siguiente información para las configuraciones avanzadas necesarias para escenarios específicos o usuarios al administrar el cliente de etiquetado unificado AIP.

Nota

Esta configuración requiere editar el Registro o especificar la configuración avanzada. La configuración avanzada usa Office 365 Centro de cumplimiento de seguridad de PowerShell.

Configurar la configuración avanzada para el cliente a través de PowerShell

Use powerShell Microsoft 365 centro de cumplimiento para configurar la configuración avanzada para personalizar las etiquetas y directivas de etiquetas.

En ambos casos, después de conectarse a powerShelldel Centro de cumplimiento de seguridad de Office 365, especifique el parámetro AdvancedSettings con la identidad (nombre o GUID) de la directiva o etiqueta, con pares de clave y valor en una tabla hash.

Para quitar una configuración avanzada, use la misma sintaxis del parámetro AdvancedSettings, pero especifique un valor de cadena null.

Importante

No use espacios en blanco en los valores de cadena. Las cadenas blancas de estos valores de cadena evitarán que se apliquen las etiquetas.

Para obtener más información, vea:

Sintaxis de configuración avanzada de directiva de etiquetas

Un ejemplo de una configuración avanzada de directiva de etiqueta es la configuración para mostrar la barra de protección de información en Office aplicaciones.

Para un único valor de cadena,use la sintaxis siguiente:

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key="value1,value2"}

Para un valor de cadena múltiple para la misma clave,use la sintaxis siguiente:

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

Sintaxis de la configuración avanzada de etiquetas

Un ejemplo de una configuración avanzada de etiqueta es la configuración para especificar un color de etiqueta.

Para un único valor de cadena,use la sintaxis siguiente:

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key="value1,value2"}

Para un valor de cadena múltiple para la misma clave,use la sintaxis siguiente:

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

Comprobar la configuración avanzada actual

Para comprobar la configuración avanzada actual en vigor, ejecute los siguientes comandos:

Para comprobar la configuración avanzada de la directiva de etiquetas,use la sintaxis siguiente:

Para una directiva de etiqueta denominada Global:

(Get-LabelPolicy -Identity Global).settings

Para comprobar la configuración avanzada de la etiqueta,use la sintaxis siguiente:

Para una etiqueta denominada Pública:

(Get-Label -Identity Public).settings

Ejemplos para configurar la configuración avanzada

Ejemplo 1:Establecer una configuración avanzada de directiva de etiqueta para un único valor de cadena:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

Ejemplo 2:Establecer una configuración avanzada de etiqueta para un único valor de cadena:

Set-Label -Identity Internal -AdvancedSettings @{smimesign="true"}

Ejemplo 3:Establecer una configuración avanzada de etiqueta para varios valores de cadena:

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

Ejemplo 4:Quitar una configuración avanzada de directiva de etiqueta especificando un valor de cadena null:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions=""}

Especificar la directiva de etiqueta o la identidad de etiqueta

Buscar el nombre de la directiva de etiqueta para el parámetro Identidad de PowerShell es sencillo porque solo hay un nombre de directiva en el Centro de cumplimiento de Microsoft 365.

Sin embargo, en el caso de las etiquetas, Centro de cumplimiento de Microsoft 365 el valor Nombre y Mostrar nombre. En algunos casos, estos valores serán los mismos, pero pueden ser diferentes. Para configurar la configuración avanzada de las etiquetas, use el valor Nombre.

Por ejemplo, para identificar la etiqueta en la siguiente imagen, use la sintaxis siguiente en el comando de -Identity "All Company" PowerShell:

Use

Si prefiere especificar el GUIDde etiqueta, este valor no se muestra en el Centro de cumplimiento de Microsoft 365. Use el comando Obtener etiqueta para buscar este valor, como se muestra a continuación:

Get-Label | Format-Table -Property DisplayName, Name, Guid

Para obtener más información sobre cómo etiquetar nombres y mostrar nombres:

  • Nombre es el nombre original de la etiqueta y es único en todas las etiquetas.

    Este valor sigue siendo el mismo aunque haya cambiado el nombre de la etiqueta más adelante. Para las etiquetas de confidencialidad que se migraron desde Azure Information Protection, es posible que vea el id. de etiqueta original desde Azure Portal.

  • Nombre para mostrar es el nombre que se muestra actualmente a los usuarios para la etiqueta y no necesita ser único en todas las etiquetas.

    Por ejemplo, es posible que tenga un nombre para mostrar de Todos los empleados para una submarca bajo la etiqueta Confidencial y otro nombre para mostrar de Todos los empleados para una subetiqueta bajo la etiqueta Altamente confidencial. Estas etiquetas submarcadas muestran el mismo nombre, pero no son la misma etiqueta y tienen una configuración diferente.

Orden de prioridad: cómo se resuelven los conflictos de configuración

Puede usar el Centro de cumplimiento de Microsoft 365 para configurar las siguientes opciones de directiva de etiquetas:

  • Aplicar esta etiqueta de forma predeterminada a documentos y correos electrónicos

  • Los usuarios deben proporcionar justificación para quitar una etiqueta o una etiqueta de clasificación inferior

  • Requerir que los usuarios apliquen una etiqueta a su correo electrónico o documento

  • Proporcionar a los usuarios un vínculo a una página de ayuda personalizada

Cuando se configura más de una directiva de etiquetas para un usuario, cada una con una configuración de directiva potencialmente diferente, la última configuración de directiva se aplica según el orden de las directivas de la Centro de cumplimiento de Microsoft 365. Para obtener más información, vea Prioridad de directiva de etiqueta (asuntos de pedido)

La configuración avanzada de directiva de etiquetas se aplica con la misma lógica, con la última configuración de directiva.

Referencias de configuración avanzada

En las siguientes secciones se muestra la configuración avanzada disponible para etiquetas y directivas de etiquetas:

Referencia de configuración avanzada por característica

En las secciones siguientes se incluyen las opciones avanzadas que se describen en esta página por integración de productos y características:

Característica Configuración avanzada
Outlook y configuración de correo electrónico - -
- -
- -
- -
- -
- -
- -
- -
- -
PowerPoint configuración - -
- -
- -
Configuración del Explorador de archivos - -
- -
- -
Configuración de mejoras de rendimiento - -
- -
- -
Configuración integraciones con otras soluciones de etiquetado - -
- -
Configuración de análisis AIP - -
- -
Configuración general - -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -

Referencia de configuración avanzada de directiva de etiquetas

Use el parámetro AdvancedSettings con New-LabelPolicy y Set-LabelPolicy para definir la siguiente configuración:

Configuración Escenario e instrucciones
AdditionalPPrefixExtensions Compatibilidad con el cambio de EXT > . PFILE a P < EXT mediante esta propiedad > avanzada
AttachmentAction Para los mensajes de correo electrónico con datos adjuntos, aplique una etiqueta que coincida con la clasificación más alta de esos datos adjuntos.
AttachmentActionTip Para los mensajes de correo electrónico con datos adjuntos, aplique una etiqueta que coincida con la clasificación más alta de esos datos adjuntos.
DisableMandatoryInOutlook Excluir Outlook mensajes de etiquetado obligatorio
EnableAudit Evitar que los datos de auditoría se envíen a AIP y Microsoft 365 análisis
EnableContainerSupport Habilitar la eliminación de la protección de archivos PST, rar, 7zip y MSG
EnableCustomPermissions Desactivar permisos personalizados en el Explorador de archivos
EnableCustomPermissionsForCustomProtectedFiles Para los archivos protegidos con permisos personalizados, muestre siempre permisos personalizados a los usuarios en el Explorador de archivos
EnableGlobalization Activar las características de globalización de clasificación
EnableLabelByMailHeader Migrar etiquetas de islas seguras y otras soluciones de etiquetado
EnableLabelBySharePointProperties Migrar etiquetas de islas seguras y otras soluciones de etiquetado
EnableOutlookDistributionListExpansion Expandir Outlook de distribución al buscar destinatarios de correo electrónico
EnableRevokeGuiSupport Desactivar la opción Revocar para los usuarios finales en Office aplicaciones
EnableTrackAndRevoke Desactivar las características de seguimiento de documentos
HideBarByDefault Mostrar la barra de protección de información en Office aplicaciones
JustificationTextForUserText Personalizar textos de solicitud de justificación para etiquetas modificadas
LogMatchedContent Enviar coincidencias de tipo de información a Azure Information Protection analytics
OfficeContentExtractionTimeout Configurar el tiempo de espera de autoetiqueta en Office archivos
OutlookBlockTrustedDomains Implementar mensajes emergentes en Outlook que advierten, justifican o bloquean los correos electrónicos que se envían
OutlookBlockUntrustedCollaborationLabel Implementar mensajes emergentes en Outlook que advierten, justifican o bloquean los correos electrónicos que se envían
OutlookCollaborationRule Personalizar Outlook emergentes
OutlookDefaultLabel Establecer una etiqueta predeterminada diferente para Outlook
OutlookGetEmailAddressesTimeOutMSProperty Modificar el tiempo de espera para expandir una lista de distribución en Outlook al implementar mensajes de bloque para destinatarios en listas de distribución )
OutlookJustifyTrustedDomains Implementar mensajes emergentes en Outlook que advierten, justifican o bloquean los correos electrónicos que se envían
OutlookJustifyUntrustedCollaborationLabel Implementar mensajes emergentes en Outlook que advierten, justifican o bloquean los correos electrónicos que se envían
OutlookRecommendationEnabled Habilitar la clasificación recomendada en Outlook
OutlookOverrideUnlabeledCollaborationExtensions Implementar mensajes emergentes en Outlook que advierten, justifican o bloquean los correos electrónicos que se envían
OutlookSkipSmimeOnReadingPaneEnabled Evitar Outlook problemas de rendimiento con los correos electrónicos S/MIME
OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Implementar mensajes emergentes en Outlook que advierten, justifican o bloquean los correos electrónicos que se envían
OutlookWarnTrustedDomains Implementar mensajes emergentes en Outlook que advierten, justifican o bloquean los correos electrónicos que se envían
OutlookWarnUntrustedCollaborationLabel Implementar mensajes emergentes en Outlook que advierten, justifican o bloquean los correos electrónicos que se envían
PFileSupportedExtensions Cambiar los tipos de archivo que se protegerán
PostponeMandatoryBeforeSave Quitar "Ahora no" para los documentos cuando se usa el etiquetado obligatorio
PowerPointRemoveAllShapesByShapeName Quitar todas las formas de un nombre de forma específico de los encabezados y pies de página, en lugar de quitar formas por texto dentro de la forma
PowerPointShapeNameToRemove Evite quitar formas de PowerPoint que contienen texto especificado y no son encabezados o pies de página
RemoveExternalContentMarkingInApp Quitar encabezados y pies de página de otras soluciones de etiquetado
RemoveExternalMarkingFromCustomLayouts Quitar explícitamente las marcas de contenido externo desde dentro PowerPoint diseños personalizados
ReportAnIssueLink Agregar "Informar de un problema" para los usuarios
RunPolicyInBackground Activar la clasificación para que se ejecute continuamente en segundo plano
ScannerMaxCPU Limitar el consumo de CPU
ScannerMinCPU Limitar el consumo de CPU
ScannerConcurrencyLevel Limitar el número de hilos usados por el escáner
ScannerFSAttributesToSkip Omitir o omitir archivos durante las exploraciones según los atributos del archivo
SharepointWebRequestTimeout Configurar SharePoint de espera
SharepointFileWebRequestTimeout Configurar SharePoint de espera
UseCopyAndPreserveNTFSOwner Conservar los propietarios ntfs durante el etiquetado

Referencia de configuración avanzada de etiquetas

Use el parámetro AdvancedSettings con New-Label y Set-Label.

Configuración Escenario e instrucciones
Color Especificar un color para la etiqueta
customPropertiesByLabel Aplicar una propiedad personalizada cuando se aplica una etiqueta
DefaultSubLabelId Especificar una subetiqueta predeterminada para una etiqueta principal
labelByCustomProperties Migrar etiquetas de islas seguras y otras soluciones de etiquetado
SMimeEncrypt Configurar una etiqueta para aplicar la protección S/MIME en Outlook
SMimeSign Configurar una etiqueta para aplicar la protección S/MIME en Outlook

Ocultar la opción de menú Clasificar y proteger en el Windows de archivos

Para ocultar la opción de menú Clasificar y proteger en el Explorador de archivos Windows, cree el siguiente nombre de valor DWORD (con cualquier dato de valor):

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable

Para obtener más información, vea Usar el Explorador de archivos para clasificar archivos.

Mostrar la barra de protección de información en Office aplicaciones

Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

De forma predeterminada, los usuarios deben seleccionar la opción Mostrar barra en el botón Confidencialidad para mostrar la barra de protección de información en Office aplicaciones. Use la tecla HideBarByDefault y establezca el valor en False para mostrar automáticamente esta barra para los usuarios de modo que puedan seleccionar etiquetas de la barra o del botón.

Para la directiva de etiqueta seleccionada, especifique las cadenas siguientes:

  • Clave: HideBarByDefault

  • Valor: Falso

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{HideBarByDefault="False"}

Excluir Outlook mensajes de etiquetado obligatorio

Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

De forma predeterminada, al habilitar la configuración de directiva de etiquetas de Todos los documentos y correos electrónicos debe tener una etiqueta,todos los documentos guardados y los correos electrónicos enviados deben tener una etiqueta aplicada. Al configurar la siguiente configuración avanzada, la configuración de directiva solo se aplica a Office documentos y no a Outlook mensajes.

Para la directiva de etiqueta seleccionada, especifique las cadenas siguientes:

  • Clave: DisableMandatoryInOutlook

  • Valor: Verdadero

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{DisableMandatoryInOutlook="True"}

Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

Al configurar una etiqueta para la clasificación recomendada, se pide a los usuarios que acepten o descarten la etiqueta recomendada en Word, Excel y PowerPoint. Esta configuración amplía esta recomendación de etiqueta para que también se muestre en Outlook.

Para la directiva de etiqueta seleccionada, especifique las cadenas siguientes:

  • Clave: OutlookRecommendationEnabled

  • Valor: Verdadero

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookRecommendationEnabled="True"}

Habilitar la eliminación de la protección de archivos comprimidos

Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

Al configurar esta configuración, el cmdlet de PowerShellSet-AIPFileLabel está habilitado para permitir la eliminación de la protección de archivos PST, rar y 7zip.

  • Clave: EnableContainerSupport

  • Valor: Verdadero

Ejemplo de comando de PowerShell en el que la directiva está habilitada:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}

Establecer una etiqueta predeterminada diferente para Outlook

Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

Al configurar esta configuración, Outlook no aplica la etiqueta predeterminada que está configurada como configuración de directiva para la opción Aplicar esta etiqueta de forma predeterminada a documentos y correos electrónicos. En su Outlook, puede aplicar una etiqueta predeterminada diferente o ninguna etiqueta.

Para la directiva de etiqueta seleccionada, especifique las cadenas siguientes:

  • Clave: OutlookDefaultLabel

  • Valor: <<> o >

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookDefaultLabel="None"}

Cambiar los tipos de archivo que se protegerán

Estas configuraciones usan una configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

De forma predeterminada, el cliente de etiquetado unificado de Azure Information Protection protege todos los tipos de archivo y el escáner del cliente solo protege Office tipos de archivo y archivos PDF.

Puede cambiar este comportamiento predeterminado para una directiva de etiqueta seleccionada especificando una de las siguientes opciones:

PFileSupportedExtension

  • Clave: PFileSupportedExtensions

  • Valor: valor > de cadena

Use la tabla siguiente para identificar el valor de cadena para especificar:

Valor de cadena Cliente Escáner
* Valor predeterminado: Aplicar protección a todos los tipos de archivo Aplicar protección a todos los tipos de archivo
ConvertTo-Json(".jpg", ".png") Además de Office archivos y archivos PDF, aplique protección a las extensiones de nombre de archivo especificadas Además de Office archivos y archivos PDF, aplique protección a las extensiones de nombre de archivo especificadas

Ejemplo 1:Comando de PowerShell para el escáner para proteger todos los tipos de archivo, donde la directiva de etiquetas se denomina "Escáner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Ejemplo 2:Comando de PowerShell para el escáner para proteger archivos .txt y archivos .csv además de archivos Office y archivos PDF, donde la directiva de etiqueta se denomina "Escáner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}

Con esta configuración, puede cambiar los tipos de archivo que están protegidos, pero no puede cambiar el nivel de protección predeterminado de nativo a genérico. Por ejemplo, para los usuarios que ejecutan el cliente de etiquetado unificado, puede cambiar la configuración predeterminada para que solo los archivos Office y los archivos PDF estén protegidos en lugar de todos los tipos de archivo. Pero no puede cambiar estos tipos de archivo para protegerse genéricamente con una extensión de nombre de archivo .pfile.

AdditionalPPrefixExtensions

El cliente de etiquetado unificado admite el cambio < de > EXT. PFILE a P < EXT mediante la propiedad ><. Esta propiedad avanzada es compatible con el Explorador de archivos, PowerShell y el escáner. Todas las aplicaciones tienen un comportamiento similar.

  • Clave: AdditionalPPrefixExtensions

  • Valor: valor > de cadena

Use la tabla siguiente para identificar el valor de cadena para especificar:

Valor de cadena Cliente y escáner
* Todas las extensiones de PFile se convierten en P < EXT>
<valor nulo> El valor predeterminado se comporta como el valor de protección predeterminado.
ConvertTo-Json(".dwg", ".zip") Además de la lista anterior, ".dwg" y ".zip" se convierten en EXT < P>

Con esta configuración, las siguientes extensiones siempre se convierten en P EXT: >".txt", ".xml", ".bmp", ".jt", ".jpg", ".jpeg", ".jpe", ".jif", ".jfif", ".jfi", ".png", ".tif", ".tiff", ".gif"). La exclusión notable es que "ptxt" no se convierte en "txt.pfile".

AdditionalPPrefixExtensions solo funciona si la protección de archivos P con la propiedad avanzada - PFileSupportedExtension está habilitada.

Ejemplo 1:Comando de PowerShell para comportarse como el comportamiento predeterminado en el que Proteger ".dwg" se convierte en ".dwg.pfile":

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}

Ejemplo 2:Comando de PowerShell para cambiar todas las extensiones de PFile de protección genérica (dwg.pfile) a protección nativa (.pdwg) cuando los archivos están protegidos:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}

Ejemplo 3:Comando de PowerShell para cambiar ".dwg" a ".pdwg" al usar este servicio proteger este archivo:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}

Quitar "Ahora no" para los documentos cuando se usa el etiquetado obligatorio

Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

Al usar la configuración de directiva de etiqueta de Todos los documentos y correos electrónicos debe tener una etiqueta,se le pedirá a los usuarios que seleccionen una etiqueta cuando guarden por primera vez un documento de Office y cuando envíen un correo electrónico desde Outlook.

En el caso de los documentos, los usuarios pueden seleccionar No ahora para descartar temporalmente el mensaje para seleccionar una etiqueta y volver al documento. Sin embargo, no pueden cerrar el documento guardado sin etiquetar.

Al configurar la configuración PostponeMandatoryBeforeSave, se quita la opción No ahora, de modo que los usuarios deben seleccionar una etiqueta cuando se guarde por primera vez el documento.

Sugerencia

La configuración PostponeMandatoryBeforeSave también garantiza que los documentos compartidos se etiquetan antes de que se envíen por correo electrónico.

De forma predeterminada, incluso si todos los documentos y correos electrónicos deben tener una etiqueta habilitada en la directiva, los usuarios solo se promocionan para etiquetar archivos adjuntos a correos electrónicos desde dentro de Outlook.

Para la directiva de etiqueta seleccionada, especifique las cadenas siguientes:

  • Clave: PostponeMandatoryBeforeSave

  • Valor: Falso

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{PostponeMandatoryBeforeSave="False"}

Quitar encabezados y pies de página de otras soluciones de etiquetado

Esta configuración usa la configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

Hay dos métodos para quitar clasificaciones de otras soluciones de etiquetado:

Configuración Descripción
WordShapeNameToRemove Quita cualquier forma de los documentos de Word en los que el nombre de la forma coincida con el nombre definido en la propiedad avanzada WordShapeNameToRemove.

Para obtener más información, vea Usar la propiedad avanzada WordShapeNameToRemove.
RemoveExternalContentMarkingInApp

ExternalContentMarkingToRemove
Le permite quitar o reemplazar encabezados o pies de página basados en texto de Word, Excel y PowerPoint documentos.

Para obtener más información, vea:
- -
- - .

Usar la propiedad avanzada WordShapeNameToRemove

La propiedad avanzada WordShapeNameToRemove es compatible con la versión 2.6.101.0 y posteriores

Esta configuración le permite quitar o reemplazar etiquetas basadas en formas de documentos de Word cuando otra solución de etiquetado haya aplicado esas marcas visuales. Por ejemplo, la forma contiene el nombre de una etiqueta antigua que ahora ha migrado a etiquetas de confidencialidad para usar un nuevo nombre de etiqueta y su propia forma.

Para usar esta propiedad avanzada, deberá buscar el nombre de la forma en el documento de Word y definirlos en la lista de propiedades avanzadas de WordShapeNameToRemove. El servicio quitará cualquier forma de Word que comience con un nombre definido en la lista de formas de esta propiedad avanzada.

Evite quitar formas que contengan el texto que desea ignorar definiendo el nombre de todas las formas para quitar y evite comprobar el texto en todas las formas, que es un proceso que consume muchos recursos.

Nota

En Microsoft Word, las formas se pueden quitar definiendo el nombre de las formas o el texto, pero no ambas. Si se define la propiedad WordShapeNameToRemove, se omitirán las configuraciones definidas por el valor ExternalContentMarkingToRemove.

Para buscar el nombre de la formaque está usando y desea excluir:

  1. En Word, muestre el panel Selección: Pestaña Inicio Grupo de edición Seleccionar opción Panel de selección.

  2. Seleccione la forma de la página que desea marcar para su eliminación. El nombre de la forma que marca ahora está resaltado en el panel Selección.

Use el nombre de la forma para especificar un valor de cadena para la clave WordShapeNameToRemove.

Ejemplo: El nombre de la forma es dc. Para quitar la forma con este nombre, especifique el valor: dc .

  • Clave: WordShapeNameToRemove

  • Valor: <<>

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{WordShapeNameToRemove="dc"}

Cuando tenga más de una forma de Word para quitar, especifique tantos valores como las formas que desea quitar.

Usar la propiedad avanzada RemoveExternalContentMarkingInApp

Esta configuración le permite quitar o reemplazar encabezados o pies de página basados en texto de los documentos cuando otra solución de etiquetado haya aplicado esas marcas visuales. Por ejemplo, el pie de página antiguo contiene el nombre de una etiqueta antigua que ahora ha migrado a etiquetas de confidencialidad para usar un nuevo nombre de etiqueta y su propio pie de página.

Cuando el cliente de etiquetado unificado obtiene esta configuración en su directiva, los encabezados y pies de página antiguos se quitan o reemplazan cuando el documento se abre en el Aplicación de Office y se aplica cualquier etiqueta de confidencialidad al documento.

Esta configuración no es compatible con Outlook y tenga en cuenta que, al usarla con Word, Excel y PowerPoint, puede afectar negativamente al rendimiento de estas aplicaciones para los usuarios. La configuración le permite definir la configuración por aplicación, por ejemplo, buscar texto en los encabezados y pies de página de los documentos de Word, pero no Excel hojas de cálculo ni PowerPoint presentaciones.

Dado que la coincidencia de patrones afecta al rendimiento de los usuarios, le recomendamos que limite los tipos de aplicación Office(Word, EXcel, PowerPoint) a solo aquellos que necesitan buscarse. Para la directiva de etiqueta seleccionada, especifique las cadenas siguientes:

  • Clave: RemoveExternalContentMarkingInApp

  • Valor: <<>

Ejemplos:

  • Para buscar solo documentos de Word, especifique W.

  • Para buscar documentos de Word y PowerPoint presentaciones, especifique WP.

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInApp="WX"}

A continuación, necesita al menos una configuración de cliente avanzada, ExternalContentMarkingToRemove, para especificar el contenido del encabezado o pie de página y cómo quitarlos o reemplazarlos.

Cómo configurar ExternalContentMarkingToRemove

Al especificar el valor de cadena para la clave ExternalContentMarkingToRemove, tiene tres opciones que usan expresiones regulares. Para cada uno de estos escenarios, use la sintaxis que se muestra en la columna Valor de ejemplo de la tabla siguiente:

Opción Descripción del ejemplo Valor de ejemplo
Coincidencia parcial para quitar todo el contenido del encabezado o pie de página Los encabezados o pies de página contienen la cadena TEXTO PARA QUITARy desea quitar por completo estos encabezados o pies de página. *TEXT*
Coincidencia completa para quitar solo palabras específicas en el encabezado o pie de página Los encabezados o pies de página contienen la cadena TEXTO PARAQUITAR y solo desea quitar la palabra TEXTO, dejando la cadena de encabezado o pie de página como PARA QUITAR. TEXT
Coincidencia completa para quitar todo el contenido del encabezado o pie de página Los encabezados o pies de página tienen la cadena TEXTO PARA QUITAR. Desea quitar encabezados o pies de página que tengan exactamente esta cadena. ^TEXT TO REMOVE$

La coincidencia de tramas para la cadena que especifique no tiene en cuenta mayúsculas de minúsculas. La longitud máxima de cadena es de 255 caracteres y no puede incluir espacios en blanco.

Dado que algunos documentos pueden incluir caracteres invisibles o diferentes tipos de espacios o pestañas, es posible que no se detecte la cadena que especifique para una frase o frase. Siempre que sea posible, especifique una sola palabra que distinga el valor y asegúrese de probar los resultados antes de implementar en producción.

Para la misma directiva de etiqueta, especifique las cadenas siguientes:

  • Clave: ExternalContentMarkingToRemove

  • Valor: <<>

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*TEXT*"}

Para obtener más información, vea:

Encabezados o pies de página de varias líneas

Si un texto de encabezado o pie de página es más de una sola línea, cree una clave y un valor para cada línea. Por ejemplo, si tiene el siguiente pie de página con dos líneas:

El archivo se clasifica como confidencial
Etiqueta aplicada manualmente

Para quitar este pie de página de varias líneas, cree las dos entradas siguientes para la misma directiva de etiquetas:

  • Clave: ExternalContentMarkingToRemove
  • Valor clave 1: *Confidencial
  • Valor clave 2: *Etiqueta aplicada

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove=ConvertTo-Json("Confidential","Label applied")}

Optimización para PowerPoint

Los encabezados y pies de página PowerPoint se implementan como formas. Para los tipos de formas msoTextBox, msoTextEffect, msoPlaceholdery msoAutoShape, la siguiente configuración avanzada proporciona optimizaciones adicionales:

Además, PowerPointRemoveAllShapesByShapeName puede quitar cualquier tipo de forma, según el nombre de la forma.

Para obtener más información, vea Buscar el nombre de la forma que usa como encabezado o pie de página.

Evite quitar formas de PowerPoint que contienen texto especificado y no son encabezados o pies de página

Para evitar quitar formas que contienen el texto que ha especificado, pero que no son encabezados o pies de página, use una configuración de cliente avanzada adicional denominada PowerPointShapeNameToRemove.

También se recomienda usar esta configuración para evitar comprobar el texto en todas las formas, que es un proceso que consume muchos recursos.

Por ejemplo:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
Extender la eliminación de marcas externas a diseños personalizados

Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

De forma predeterminada, la lógica que se usa para quitar marcas de contenido externo ignora los diseños personalizados configurados en PowerPoint. Para extender esta lógica a diseños personalizados, establezca la propiedad avanzada RemoveExternalMarkingFromCustomLayouts en True.

  • Clave: RemoveExternalMarkingFromCustomLayouts

  • Valor: Verdadero

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
Quitar todas las formas de un nombre de forma específico

Si usa diseños personalizados y desea quitar todas las formas de un nombre de forma específico de los encabezados y pies de página, use la configuración avanzada PowerPointRemoveAllShapesByShapeName, con el nombre de la forma que desea quitar. PowerPoint

El uso de la configuración PowerPointRemoveAllShapesByShapeName ignora el texto dentro de las formas y, en su lugar, usa el nombre de la forma para identificar las formas que desea quitar.

Por ejemplo:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointRemoveAllShapesByShapeName="Arrow: Right"}

Para obtener más información, vea:

  1. En PowerPoint, muestre el panel Selección:pestaña FormatoOrganizar panel de selección de grupo.

  2. Seleccione la forma de la diapositiva que contiene el encabezado o pie de página. El nombre de la forma seleccionada ahora está resaltado en el panel Selección.

Use el nombre de la forma para especificar un valor de cadena para la clave PowerPointShapeNameToRemove.

Ejemplo:El nombre de la forma es fc. Para quitar la forma con este nombre, especifique el valor: fc .

  • Clave: PowerPointShapeNameToRemove

  • Valor: <<>

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}

Cuando tenga más de una forma PowerPoint quitar, especifique tantos valores como las formas que desea quitar.

De forma predeterminada, solo las diapositivas patrón están activadas para los encabezados y pies de página. Para extender esta búsqueda a todas las diapositivas, que es un proceso mucho más intensivo de recursos, use una configuración de cliente avanzada adicional denominada RemoveExternalContentMarkingInAllSlides:

  • Clave: RemoveExternalContentMarkingInAllSlides

  • Valor: Verdadero

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInAllSlides="True"}
Quitar el marcado de contenido externo de los diseños personalizados en PowerPoint

Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

De forma predeterminada, la lógica que se usa para quitar marcas de contenido externo ignora los diseños personalizados configurados en PowerPoint. Para extender esta lógica a diseños personalizados, establezca la propiedad avanzada RemoveExternalMarkingFromCustomLayouts en True.

  • Clave: RemoveExternalMarkingFromCustomLayouts

  • Valor: Verdadero

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}

Desactivar permisos personalizados en el Explorador de archivos

Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

De forma predeterminada, los usuarios ven una opción denominada Proteger con permisos personalizados cuando hacen clic con el botón derecho en el Explorador de archivos y eligen Clasificar y proteger. Esta opción les permite establecer su propia configuración de protección que puede invalidar cualquier configuración de protección que pueda haber incluido con una configuración de etiqueta. Los usuarios también pueden ver una opción para quitar la protección. Al configurar esta configuración, los usuarios no ven estas opciones.

Para configurar esta configuración avanzada, escriba las cadenas siguientes para la directiva de etiquetas seleccionada:

  • Clave: EnableCustomPermissions

  • Valor: Falso

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

Para los archivos protegidos con permisos personalizados, muestre siempre permisos personalizados a los usuarios en el Explorador de archivos

Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

Al configurar la configuración de cliente avanzado para desactivar los permisos personalizados en el Explorador de archivos, de forma predeterminada, los usuarios no pueden ver ni cambiar los permisos personalizados que ya están establecidosen un documento protegido.

Sin embargo, hay otra configuración avanzada de cliente que puede especificar para que, en este escenario, los usuarios puedan ver y cambiar los permisos personalizados de un documento protegido cuando usen el Explorador de archivos y haga clic con el botón derecho en el archivo.

Para configurar esta configuración avanzada, escriba las cadenas siguientes para la directiva de etiquetas seleccionada:

  • Clave: EnableCustomPermissionsForCustomProtectedFiles

  • Valor: Verdadero

Comando de Ejemplo de PowerShell:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}

Para los mensajes de correo electrónico con datos adjuntos, aplique una etiqueta que coincida con la clasificación más alta de esos datos adjuntos.

Esta configuración usa la configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

Esta configuración es para cuando los usuarios adjuntan documentos etiquetados a un correo electrónico y no etiquetan el mensaje de correo electrónico en sí. En este escenario, se selecciona automáticamente una etiqueta para ellas, en función de las etiquetas de clasificación que se aplican a los datos adjuntos. Se selecciona la etiqueta de clasificación más alta.

Los datos adjuntos deben ser un archivo físico y no pueden ser un vínculo a un archivo (por ejemplo, un vínculo a un archivo en Microsoft SharePoint o OneDrive).

Puede configurar esta configuración en Recomendado,de modo que se pida a los usuarios que apliquen la etiqueta seleccionada a su mensaje de correo electrónico, con una información sobre herramientas personalizable. Los usuarios pueden aceptar la recomendación o descartarla. O bien, puede configurar esta configuración en Automático,donde la etiqueta seleccionada se aplica automáticamente, pero los usuarios pueden quitar la etiqueta o seleccionar otra etiqueta antes de enviar el correo electrónico.

Nota

Cuando los datos adjuntos con la etiqueta de clasificación más alta están configurados para la protección con la configuración de permisos definidos por el usuario:

  • Cuando los permisos definidos por el usuario de la etiqueta incluyen Outlook (No reenviar), esa etiqueta está seleccionada y la protección No reenviar se aplica al correo electrónico.
  • Cuando los permisos definidos por el usuario de la etiqueta son solo para Word, Excel, PowerPoint y explorador de archivos, esa etiqueta no se aplica al mensaje de correo electrónico y tampoco es protección.

Para configurar esta configuración avanzada, escriba las cadenas siguientes para la directiva de etiquetas seleccionada:

  • Clave 1: AttachmentAction

  • Valor de clave 1: Recomendado o Automático

  • Clave 2: AttachmentActionTip

  • Valor de clave 2: " < información sobre herramientas personalizada > "

La información sobre herramientas personalizada solo admite un solo idioma.

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{AttachmentAction="Automatic"}

Agregar "Informar de un problema" para los usuarios

Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

Al especificar la siguiente configuración avanzada de cliente, los usuarios ven una opción Informar de un problema que pueden seleccionar en el cuadro de diálogo Cliente de ayuda y comentarios. Especifique una cadena HTTP para el vínculo. Por ejemplo, una página web personalizada que tiene para que los usuarios informen de problemas o una dirección de correo electrónico que vaya a su servicio de ayuda.

Para configurar esta configuración avanzada, escriba las cadenas siguientes para la directiva de etiquetas seleccionada:

  • Clave: ReportAnIssueLink

  • Valor: cadena > HTTP

Valor de ejemplo para un sitio web: https://support.contoso.com

Valor de ejemplo para una dirección de correo electrónico: mailto:helpdesk@contoso.com

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}

Implementar mensajes emergentes en Outlook que advierten, justifican o bloquean los correos electrónicos que se envían

Esta configuración usa la configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

Al crear y configurar las siguientes opciones avanzadas de cliente, los usuarios ven mensajes emergentes en Outlook que pueden advertirles antes de enviar un correo electrónico, o pedirles que proporcionen una justificación de por qué envían un correo electrónico, o les impiden enviar un correo electrónico para cualquiera de los escenarios siguientes:

  • Su correo electrónico o datos adjuntos para el correo electrónico tiene una etiqueta específica:

    • Los datos adjuntos pueden ser cualquier tipo de archivo
  • Su correo electrónico o datos adjuntos para el correo electrónico no tiene una etiqueta:

    • Los datos adjuntos pueden ser un Office o un documento PDF

Cuando se cumplen estas condiciones, el usuario ve un mensaje emergente con una de las siguientes acciones:

Tipo Descripción
Avisar El usuario puede confirmar y enviar o cancelar.
Justificar Se le pide justificación al usuario (opciones predefinidas o formulario libre) y el usuario puede enviar o cancelar el correo electrónico.
El texto de justificación se escribe en el encabezado x del correo electrónico para que otros sistemas puedan leerlo, como los servicios de prevención de pérdida de datos (DLP).
Bloquear El usuario no puede enviar el correo electrónico mientras la condición permanece.
El mensaje incluye el motivo para bloquear el correo electrónico, para que el usuario pueda solucionar el problema.
Por ejemplo, quite destinatarios específicos o etiquete el correo electrónico.

Cuando los mensajes emergentes son para una etiqueta específica, puede configurar excepciones para los destinatarios por nombre de dominio.

Vea el vídeo Azure Information Protection Outlook Configuración emergente para obtener un ejemplo de tutorial sobre cómo configurar estas opciones.

Sugerencia

Para asegurarse de que las ventanas emergentes se muestran incluso cuando los documentos se comparten desde fuera de Outlook (adjuntar una copia del recurso compartido de > archivos),configure también la configuración avanzada >

Para obtener más información, vea:

Para implementar la advertencia, justificar o bloquear mensajes emergentes para etiquetas específicas

Para la directiva seleccionada, cree una o varias de las siguientes opciones de configuración avanzadas con las siguientes teclas. Para los valores, especifique una o más etiquetas por sus GUID, cada una separada por una coma.

Valor de ejemplo para varios GUID de etiqueta como una cadena separada por comas:

dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
Tipo de mensaje Clave/valor
Avisar Clave: OutlookWarnUntrustedCollaborationLabel

Valor: <<>
Justificar Clave: OutlookJustifyUntrustedCollaborationLabel

Valor: <<>
Bloquear Clave: OutlookBlockUntrustedCollaborationLabel

Valor: <<>

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e,b6d21387-5d34-4dc8-90ae-049453cec5cf,bb48a6cb-44a8-49c3-9102-2d2b017dcead,74591a94-1e0e-4b5d-b947-62b70fc0f53a,6c375a97-2b9b-4ccd-9c5b-e24e4fd67f73"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyUntrustedCollaborationLabel="dc284177-b2ac-4c96-8d78-e3e1e960318f,d8bb73c3-399d-41c2-a08a-6f0642766e31,750e87d4-0e91-4367-be44-c9c24c9103b4,32133e19-ccbd-4ff1-9254-3a6464bf89fd,74348570-5f32-4df9-8a6b-e6259b74085b,3e8d34df-e004-45b5-ae3d-efdc4731df24"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockUntrustedCollaborationLabel="0eb351a6-0c2d-4c1d-a5f6-caa80c9bdeec,40e82af6-5dad-45ea-9c6a-6fe6d4f1626b"}

Para más personalización, también puede excluir los nombres de dominio de los mensajes emergentes configurados para etiquetas específicas.

Nota

La configuración avanzada de esta sección (OutlookWarnUntrustedCollaborationLabel, OutlookJustifyUntrustedCollaborationLabely OutlookBlockUntrustedCollaborationLabel)son para cuando se usa una etiqueta específica.

Para implementar mensajes emergentes predeterminados para contenido no disponible, use la configuración avanzada OutlookUnlabeledCollaborationAction. Para personalizar los mensajes emergentes para el contenido sin etiquetar, use un archivo .json para definir la configuración avanzada.

Para obtener más información, vea Personalizar Outlook mensajes emergentes.

Sugerencia

Para asegurarse de que los mensajes de bloque se muestran según sea necesario, incluso para un destinatario ubicado dentro de una lista de distribución de Outlook, asegúrese de agregar la configuración avanzada EnableOutlookDistributionListExpansion.

Para excluir los nombres de dominio de los mensajes emergentes configurados para etiquetas específicas

Para las etiquetas que ha especificado con estos mensajes emergentes, puede excluir nombres de dominio específicos para que los usuarios no vean los mensajes de los destinatarios que tienen ese nombre de dominio incluido en su dirección de correo electrónico. En este caso, los correos electrónicos se envían sin interrupción. Para especificar varios dominios, agrégrelos como una única cadena, separada por comas.

Una configuración típica es mostrar los mensajes emergentes solo para los destinatarios que son externos a su organización o que no son partners autorizados para su organización. En este caso, especifique todos los dominios de correo electrónico que usan su organización y sus asociados.

Para la misma directiva de etiquetas, cree la siguiente configuración avanzada de cliente y, para el valor, especifique uno o varios dominios, cada uno separado por una coma.

Valor de ejemplo para varios dominios como una cadena separada por comas: contoso.com,fabrikam.com,litware.com

Tipo de mensaje Clave/valor
Avisar Clave: OutlookWarnTrustedDomains

Valor: nombres de dominio, separados por comas
Justificar Clave: OutlookJustifyTrustedDomains

Valor: nombres de dominio, separados por comas
Bloquear Clave: OutlookBlockTrustedDomains

Valor: nombres de dominio, separados por comas

Por ejemplo, supongamos que ha especificado la configuración avanzada de cliente OutlookBlockUntrustedCollaborationLabel para la etiqueta Confidencial \ Todos los empleados.

Ahora puede especificar la configuración de cliente avanzada adicional de OutlookBlockTrustedDomainscon contoso.com. Como resultado, un usuario puede enviar un correo electrónico cuando se etiqueta Confidencial \ Todos los empleados, pero se le bloqueará el envío de un correo electrónico con la misma etiqueta a una cuenta john@sales.contoso.com de Gmail. john@sales.contoso.com

Comandos de PowerShell de ejemplo, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockTrustedDomains="contoso.com"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyTrustedDomains="contoso.com,fabrikam.com,litware.com"}

Nota

Para asegurarse de que los mensajes de bloque se muestran según sea necesario, incluso para un destinatario ubicado dentro de una lista de distribución de Outlook, asegúrese de agregar la configuración avanzada EnableOutlookDistributionListExpansion.

Para implementar la advertencia, justificar o bloquear mensajes emergentes de correos electrónicos o datos adjuntos que no tienen una etiqueta

Para la misma directiva de etiquetas, cree la siguiente configuración avanzada de cliente con uno de los siguientes valores:

Tipo de mensaje Clave/valor
Avisar Clave: OutlookUnlabeledCollaborationAction

Valor: Avisar
Justificar Clave: OutlookUnlabeledCollaborationAction

Valor: Justificar
Bloquear Clave: OutlookUnlabeledCollaborationAction

Valor: Bloquear
Desactivar estos mensajes Clave: OutlookUnlabeledCollaborationAction

Valor: Desactivado

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Warn"}

Para obtener más personalización, vea:

Para definir extensiones de nombre de archivo específicas para las advertencias, justificar o bloquear mensajes emergentes para datos adjuntos de correo electrónico que no tienen una etiqueta

De forma predeterminada, los mensajes emergentes de advertencia, justificar o bloquear se aplican a todos Office documentos y documentos PDF. Puede restringir esta lista especificando qué extensiones de nombre de archivo deben mostrar la advertencia, justificar o bloquear mensajes con una configuración avanzada adicional y una lista separada por comas de extensiones de nombre de archivo.

Valor de ejemplo para varias extensiones de nombre de archivo para definir como una cadena separada por comas: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM

En este ejemplo, un documento PDF sin etiqueta no dará como resultado advertir, justificar ni bloquear mensajes emergentes.

Para la misma directiva de etiquetas, escriba las cadenas siguientes:

  • Clave: OutlookOverrideUnlabeledCollaborationExtensions

  • Valor: extensiones de nombre de archivo para mostrar mensajes separados por comas

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.PPT,.PPTX,.PPTM"}

Para especificar una acción diferente para mensajes de correo electrónico sin datos adjuntos

De forma predeterminada, el valor que especifique para OutlookUnlabeledCollaborationAction para advertir, justificar o bloquear mensajes emergentes se aplica a correos electrónicos o datos adjuntos que no tienen una etiqueta.

Puede refinar esta configuración especificando otra configuración avanzada para los mensajes de correo electrónico que no tienen datos adjuntos.

Cree la siguiente configuración avanzada de cliente con uno de los siguientes valores:

Tipo de mensaje Clave/valor
Avisar Clave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Valor: Avisar
Justificar Clave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Valor: Justificar
Bloquear Clave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Valor: Bloquear
Desactivar estos mensajes Clave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Valor: Desactivado

Si no especifica esta configuración de cliente, el valor que especifique para OutlookUnlabeledCollaborationAction se usa para mensajes de correo electrónico sin etiqueta sin datos adjuntos, así como mensajes de correo electrónico sin etiqueta con datos adjuntos.

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior="Warn"}

Expandir Outlook de distribución al buscar destinatarios de correo electrónico

Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

Para ampliar la compatibilidad de otras configuraciones avanzadas a los destinatarios dentro de Outlook listas de distribución, establezca la configuración avanzada EnableOutlookDistributionListExpansion en true.

  • Clave: EnableOutlookDistributionListExpansion
  • Valor: verdadero

Por ejemplo, si ha configurado la configuración avanzada de OutlookBlockTrustedDomains, OutlookBlockUntrustedCollaborationLabel y, a continuación, también configura la configuración EnableOutlookDistributionListExpansion, Outlook está habilitado para expandir la lista de distribución para asegurarse de que un mensaje de bloque aparezca según sea necesario.

El tiempo de espera predeterminado para expandir la lista de distribución es de 2000 milisegundos.

Para modificar este tiempo de espera, cree la siguiente configuración avanzada para la directiva seleccionada:

  • Clave: OutlookGetEmailAddressesTimeOutMSProperty
  • Valor: Entero, en milisegundos

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{
  EnableOutlookDistributionListExpansion="true"
  OutlookGetEmailAddressesTimeOutMSProperty="3000"
}

Evitar que los datos de auditoría se envíen a AIP y Microsoft 365 análisis

De forma predeterminada, el cliente de etiquetado unificado de Azure Information Protection admite informes centrales y envía sus datos de auditoría a:

Para cambiar este comportamiento, para que no se envíen datos de auditoría, haga lo siguiente:

  1. Agregue la siguiente configuración avanzada de directiva con powerShell Office 365 centro de cumplimiento de seguridad:

    • Clave: EnableAudit

    • Valor: Falso

    Por ejemplo, si la directiva de etiquetas se denomina "Global":

    Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}
    

    Nota

    De forma predeterminada, esta configuración avanzada no está presente en la directiva y se envían los registros de auditoría.

  2. En todos los equipos cliente de Azure Information Protection, elimine la carpeta siguiente: %localappdata%\Microsoft\MSIP\mip

Para permitir que el cliente vuelva a enviar datos del registro de auditoría, cambie el valor de configuración avanzada a Verdadero. No es necesario volver a crear manualmente la carpeta %localappdata%\Microsoft\MSIP\mip en los equipos cliente.

Enviar coincidencias de tipo de información a Azure Information Protection analytics

Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

De forma predeterminada, el cliente de etiquetado unificado no envía coincidencias de contenido para los tipos de información confidencial a Azure Information Protection analytics. Para obtener más información sobre esta información adicional que se puede enviar, vea la sección Coincidencias de contenido para un análisis más profundo de la documentación central de informes.

Para enviar coincidencias de contenido cuando se envían tipos de información confidencial, cree la siguiente configuración avanzada de cliente en una directiva de etiquetas:

  • Clave: LogMatchedContent

  • Valor: Verdadero

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}

Limitar el consumo de CPU

A partir de la versión 2.7.x.x del escáner, se recomienda limitar el consumo de CPU con las siguientes configuraciones avanzadas de ScannerMaxCPU y ScannerMinCPU.

Importante

Cuando se usa la siguiente directiva de limitación de subprocesos, se omiten las opciones avanzadas scannerMaxCPU y ScannerMinCPU. Para limitar el consumo de CPU mediante la configuración avanzada de ScannerMaxCPU y ScannerMinCPU, cancele el uso de directivas que limiten el número de hilos.

Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

Para limitar el consumo de CPU en el equipo del escáner, se puede administrar creando dos configuraciones avanzadas:

  • ScannerMaxCPU:

    Se establece en 100 de forma predeterminada, lo que significa que no hay ningún límite de consumo máximo de CPU. En este caso, el proceso del escáner intentará usar todo el tiempo de CPU disponible para maximizar las tasas de examen.

    Si establece ScannerMaxCPU en menos de 100, el escáner supervisará el consumo de CPU durante los últimos 30 minutos. Si la CPU media ha superado el límite establecido, empezará a reducir el número de subprocesos asignados para los nuevos archivos.

    El límite en el número de hilos continuará siempre que el consumo de CPU sea mayor que el límite establecido para ScannerMaxCPU.

  • ScannerMinCPU:

    Solo se comprueba si ScannerMaxCPU no es igual a 100 y no se puede establecer en un número superior al valor ScannerMaxCPU. Se recomienda mantener ScannerMinCPU establecido como mínimo 15 puntos inferior al valor de ScannerMaxCPU.

    Establecido en 50 de forma predeterminada, lo que significa que si el consumo de CPU en los últimos 30 minutos es inferior a este valor, el escáner empezará a agregar nuevos hilos para analizar más archivos en paralelo, hasta que el consumo de CPU alcance el nivel que ha establecido para ScannerMaxCPU-15.

Limitar el número de hilos usados por el escáner

Importante

Cuando se usa la siguiente directiva de limitación de subprocesos, se omiten las opciones avanzadas scannerMaxCPU y ScannerMinCPU. Para limitar el consumo de CPU con la configuración avanzada de ScannerMaxCPU y ScannerMinCPU, cancele el uso de directivas que limiten el número de hilos.

Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

De forma predeterminada, el escáner usa todos los recursos de procesador disponibles en el equipo que ejecuta el servicio de escáner. Si necesita limitar el consumo de CPU mientras este servicio está analizando, cree la siguiente configuración avanzada en una directiva de etiquetas.

Para el valor, especifique el número de hilos simultáneos que el escáner puede ejecutar en paralelo. El escáner usa una conversación independiente para cada archivo que examina, por lo que esta configuración de limitación también define el número de archivos que se pueden analizar en paralelo.

Cuando configure por primera vez el valor para las pruebas, le recomendamos que especifique 2 por núcleo y, después, supervise los resultados. Por ejemplo, si ejecuta el escáner en un equipo que tiene 4 núcleos, primero establezca el valor en 8. Si es necesario, aumente o disminuya ese número, según el rendimiento resultante que necesite para el equipo del escáner y las tasas de examen.

  • Clave: ScannerConcurrencyLevel

  • Valor: número de > hilos simultáneos

Comando de Ejemplo de PowerShell, donde la directiva de etiquetas se denomina "Escáner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}

Migrar etiquetas de islas seguras y otras soluciones de etiquetado

Esta configuración usa una configuración avanzada de etiqueta que debe configurar mediante powerShell Office 365 centro de cumplimiento de seguridad.

Esta configuración no es compatible con archivos PDF protegidos que tienen una extensión de nombre de archivo .ppdf. El cliente no puede abrir estos archivos con el Explorador de archivos o PowerShell.

Para Office documentos etiquetados por Islas seguras, puede volver a etiquetar estos documentos con una etiqueta de confidencialidad mediante una asignación que defina. También usa este método para reutilizar etiquetas de otras soluciones cuando sus etiquetas están en Office documentos.

Como resultado de esta opción de configuración, el cliente de etiquetado unificado de Azure Information Protection aplica la nueva etiqueta de confidencialidad de la siguiente manera:

  • Para Office:cuando el documento se abre en la aplicación de escritorio, la nueva etiqueta de confidencialidad se muestra como configurada y se aplica cuando se guarda el documento.

  • Para PowerShell:Set-AIPFileLabel y Set-AIPFileClassificiation pueden aplicar la nueva etiqueta de confidencialidad.

  • Para el Explorador dearchivos: en el cuadro de diálogo Azure Information Protection, se muestra la nueva etiqueta de confidencialidad, pero no está configurada.

Esta configuración requiere que especifique una configuración avanzada denominada labelByCustomProperties para cada etiqueta de confidencialidad que desee asignar a la etiqueta anterior. A continuación, para cada entrada, establezca el valor con la sintaxis siguiente:

[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]

Especifique la elección de un nombre de regla de migración. Use un nombre descriptivo que le ayude a identificar cómo una o más etiquetas de la solución de etiquetado anterior deben asignarse a etiquetas de confidencialidad.

Tenga en cuenta que esta configuración no quita la etiqueta original del documento ni las marcas visuales del documento que la etiqueta original haya aplicado. Para quitar encabezados y pies de página, vea Quitar encabezados y pies de página de otras soluciones de etiquetado.

Ejemplos:

Para obtener más personalización, vea:

Nota

Si va a migrar desde sus etiquetas a través de los inquilinos, por ejemplo, después de una fusión de empresa, le recomendamos que lea nuestra entrada de blog sobre fusiones y spinoffs para obtener más información.

Ejemplo 1: Asignación uno a uno del mismo nombre de etiqueta

Requisito: Azure Information Protection debe volver a etiquetar los documentos que tengan una etiqueta de Islas seguras como "Confidencial".

En este ejemplo:

  • La etiqueta Islas seguras se denomina Confidencial y se almacena en la propiedad personalizada denominada Clasificación.

La configuración avanzada:

  • Clave: labelByCustomProperties

  • Valor: La etiqueta Islas seguras es Confidencial, Clasificación, Confidencial

Ejemplo de comando de PowerShell, donde la etiqueta se denomina "Confidencial":

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Confidential,Classification,Confidential"}

Ejemplo 2: Asignación uno a uno para un nombre de etiqueta diferente

Requisito: Azure Information Protection debe volver a etiquetar los documentos etiquetados como "Confidenciales" por Islas seguras como "Altamente confidenciales".

En este ejemplo:

  • La etiqueta Islas seguras se denomina Confidencial y se almacena en la propiedad personalizada denominada Clasificación.

La configuración avanzada:

  • Clave: labelByCustomProperties

  • Valor: La etiqueta Islas seguras es Confidencial, Clasificación, Confidencial

Ejemplo de comando de PowerShell, donde la etiqueta se denomina "Altamente confidencial":

Set-Label -Identity "Highly Confidential" -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Sensitive,Classification,Sensitive"}

Ejemplo 3: Asignación de varios a uno de nombres de etiquetas

Requisito: tiene dos etiquetas de islas seguras que incluyen la palabra "Interno" y desea que los documentos que tienen cualquiera de estas etiquetas de islas seguras se vuelvan a etiquetar como "General" por el cliente de etiquetado unificado de Azure Information Protection.

En este ejemplo:

  • Las etiquetas islas seguras incluyen la palabra Interno y se almacenan en la propiedad personalizada denominada Clasificación.

La configuración avanzada del cliente:

  • Clave: labelByCustomProperties

  • Valor: La etiqueta Islas seguras contiene Interno,Clasificación,.*Interno.*

Ejemplo de comando de PowerShell, donde la etiqueta se denomina "General":

Set-Label -Identity General -AdvancedSettings @{labelByCustomProperties="Secure Islands label contains Internal,Classification,.*Internal.*"}

Ejemplo 4: Varias reglas para la misma etiqueta

Cuando necesite varias reglas para la misma etiqueta, defina varios valores de cadena para la misma clave.

En este ejemplo, las etiquetas de islas seguras denominadas "Confidencial" y "Secreto" se almacenan en la propiedad personalizada denominada Clasificación ydesea que el cliente de etiquetado unificado de Azure Information Protection aplique la etiqueta de confidencialidad denominada "Confidencial":

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

Extender las reglas de migración de etiquetas a los correos electrónicos

Puede usar la configuración que ha definido con la configuración avanzada labelByCustomProperties para los correos electrónicos Outlook, además de Office documentos, especificando una configuración avanzada de directiva de etiqueta adicional.

Sin embargo, esta configuración tiene un impacto negativo conocido en el rendimiento de Outlook, por lo que configure esta configuración adicional solo cuando tenga un requisito empresarial sólido para ella y recuerde establecerla en un valor de cadena null cuando haya completado la migración desde la otra solución de etiquetado.

Para configurar esta configuración avanzada, escriba las cadenas siguientes para la directiva de etiquetas seleccionada:

  • Clave: EnableLabelByMailHeader

  • Valor: Verdadero

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelByMailHeader="True"}

Extender las reglas de migración de etiquetas a SharePoint propiedades

Puede usar la configuración que ha definido con la configuración avanzada labelByCustomProperties para las propiedades SharePoint que puede exponer como columnas a los usuarios especificando una configuración avanzada de directiva de etiqueta adicional.

Esta configuración es compatible al usar Word, Excel y PowerPoint.

Para configurar esta configuración avanzada, escriba las cadenas siguientes para la directiva de etiquetas seleccionada:

  • Clave: EnableLabelBySharePointProperties

  • Valor: Verdadero

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelBySharePointProperties="True"}

Aplicar una propiedad personalizada cuando se aplica una etiqueta

Esta configuración usa una configuración avanzada de etiqueta que debe configurar mediante powerShell Office 365 centro de cumplimiento de seguridad.

Es posible que haya algunos escenarios en los que quiera aplicar una o más propiedades personalizadas a un documento o mensaje de correo electrónico, además de los metadatos aplicados por una etiqueta de confidencialidad.

Por ejemplo:

  • Está en proceso de migrar desde otra solución de etiquetado,como Islas seguras. Para la interoperabilidad durante la migración, quiere que las etiquetas de confidencialidad también apliquen una propiedad personalizada que usa la otra solución de etiquetado.

  • Para el sistema de administración de contenido (como SharePoint o una solución de administración de documentos de otro proveedor), desea usar un nombre de propiedad personalizado coherente con valores diferentes para las etiquetas y con nombres fáciles de usar en lugar del GUID de etiqueta.

Para Office documentos y Outlook que los usuarios etiquetan mediante el cliente de etiquetado unificado de Azure Information Protection, puede agregar una o más propiedades personalizadas que defina. También puede usar este método para que el cliente de etiquetado unificado muestre una propiedad personalizada como etiqueta de otras soluciones para contenido que aún no está etiquetado por el cliente de etiquetado unificado.

Como resultado de esta opción de configuración, el cliente de etiquetado unificado de Azure Information Protection aplica las propiedades personalizadas adicionales de la siguiente manera:

Entorno Descripción
Office documentos Cuando el documento se etiqueta en la aplicación de escritorio, las propiedades personalizadas adicionales se aplican cuando se guarda el documento.
Outlook de correo electrónico Cuando el mensaje de correo electrónico se etiqueta en Outlook, las propiedades adicionales se aplican al encabezado x cuando se envía el correo electrónico.
PowerShell Set-AIPFileLabel y Set-AIPFileClassificiation aplica las propiedades personalizadas adicionales cuando el documento se etiqueta y se guarda.

Get-AIPFileStatus muestra propiedades personalizadas como etiqueta asignada si no se aplica una etiqueta de confidencialidad.
Explorador de archivos Cuando el usuario hace clic con el botón derecho en el archivo y aplica la etiqueta, se aplican las propiedades personalizadas.

Esta configuración requiere que especifique una configuración avanzada denominada customPropertiesByLabel para cada etiqueta de confidencialidad que desee aplicar a las propiedades personalizadas adicionales. A continuación, para cada entrada, establezca el valor con la sintaxis siguiente:

[custom property name],[custom property value]

Importante

El uso de espacios en blanco en la cadena impedirá la aplicación de las etiquetas.

Por ejemplo:

Ejemplo 1: Agregar una sola propiedad personalizada para una etiqueta

Requisito: Los documentos etiquetados como "Confidenciales" por el cliente de etiquetado unificado de Azure Information Protection deben tener la propiedad personalizada adicional denominada "Clasificación" con el valor de "Secreto".

En este ejemplo:

  • La etiqueta de confidencialidad se denomina Confidencial y crea una propiedad personalizada denominada Clasificación con el valor de Secreto.

La configuración avanzada:

  • Clave: customPropertiesByLabel

  • Valor: Clasificación,Secreto

Ejemplo de comando de PowerShell, donde la etiqueta se denomina "Confidencial":

    Set-Label -Identity Confidential -AdvancedSettings @{customPropertiesByLabel="Classification,Secret"}

Ejemplo 2: Agregar varias propiedades personalizadas para una etiqueta

Para agregar más de una propiedad personalizada para la misma etiqueta, debe definir varios valores de cadena para la misma clave.

Comando de Ejemplo de PowerShell, donde la etiqueta se denomina "General" y desea agregar una propiedad personalizada denominada Clasificación con el valor General y una segunda propiedad personalizada denominada Confidencialidad con el valor interno:

Set-Label -Identity General -AdvancedSettings @{customPropertiesByLabel=ConvertTo-Json("Classification,General", "Sensitivity,Internal")}

Configurar una etiqueta para aplicar la protección S/MIME en Outlook

Esta configuración usa la configuración avanzada de etiquetas que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

Use esta configuración solo cuando tenga una implementación de S/MIME en funcionamiento y desee que una etiqueta aplique automáticamente este método de protección para los correos electrónicos en lugar de la protección de Rights Management de Azure Information Protection. La protección resultante es la misma que cuando un usuario selecciona manualmente las opciones de S/MIME de Outlook.

Configuración Clave/valor
Firma digital S/MIME Para configurar una configuración avanzada para una firma digital S/MIME, escriba las cadenas siguientes para la etiqueta seleccionada:

- Clave: SMimeSign

- Valor: Verdadero
Cifrado S/MIME Para configurar una configuración avanzada para el cifrado S/MIME, escriba las cadenas siguientes para la etiqueta seleccionada:

- Clave: SMimeEncrypt

- Valor: Verdadero

Si la etiqueta especificada está configurada para el cifrado, para el cliente de etiquetado unificado de Azure Information Protection, la protección S/MIME reemplaza la protección de Rights Management solo en Outlook. El cliente sigue utilizando la configuración de cifrado especificada para la etiqueta en el Centro de cumplimiento de Microsoft 365.

Para Office aplicaciones con etiquetado integrado, estas etiquetas no se muestran a los usuarios.

Si desea que la etiqueta esté visible solo en Outlook, configure la opción No reenviar cifrado de Permitir que los usuarios asignen permisos.

Comandos de PowerShell de ejemplo, donde la etiqueta se denomina "Solo destinatarios":

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeSign="True"}

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeEncrypt="True"}

Especificar una subetiqueta predeterminada para una etiqueta principal

Esta configuración usa una configuración avanzada de etiqueta que debe configurar mediante powerShell Office 365 centro de cumplimiento de seguridad.

Al agregar una subetiqueta a una etiqueta, los usuarios ya no pueden aplicar la etiqueta principal a un documento o correo electrónico. De forma predeterminada, los usuarios seleccionan la etiqueta principal para ver las subetiquetas que pueden aplicar y, a continuación, seleccionan una de esas subetiquetas. Si configura esta configuración avanzada, cuando los usuarios seleccionan la etiqueta principal, se selecciona automáticamente una subetiqueta y se les aplica:

  • Clave: DefaultSubLabelId

  • Valor: GUID > de subetiqueta

Ejemplo de comando de PowerShell, en el que la etiqueta principal se denomina "Confidencial" y la etiqueta "Todos los empleados" tiene un GUID de 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}

Activar la clasificación para que se ejecute continuamente en segundo plano

Esta configuración usa una configuración avanzada de etiqueta que debe configurar mediante powerShell Office 365 centro de cumplimiento de seguridad.

Al configurar esta configuración, cambia el comportamiento predeterminado de cómo el cliente de etiquetado unificado de Azure Information Protection aplica etiquetas automáticas y recomendadas a los documentos:

Para Word, Excel y PowerPoint, la clasificación automática se ejecuta continuamente en segundo plano.

El comportamiento no cambia para Outlook.

Cuando el cliente de etiquetado unificado de Azure Information Protection comprueba periódicamente los documentos para las reglas de condición que especifique, este comportamiento habilita la clasificación y protección automáticas y recomendadas para los documentos Office almacenados en SharePoint o OneDrive, siempre y cuando el guardado automático esté activado. Los archivos de gran tamaño también se guardaron más rápidamente porque las reglas de condición ya se han ejecutado.

Las reglas de condición no se ejecutan en tiempo real como tipos de usuario. En su lugar, se ejecutan periódicamente como una tarea en segundo plano si se modifica el documento.

Para configurar esta configuración avanzada, escriba las cadenas siguientes:

  • Clave: RunPolicyInBackground
  • Valor: Verdadero

Comando de Ejemplo de PowerShell:

Set-LabelPolicy -Identity PolicyName -AdvancedSettings @{RunPolicyInBackground = "true"}

Nota

Esta característica se encuentra actualmente en VISTA PREVIA. Los Términos complementarios de Azure Preview incluyen términos legales adicionales que se aplican a las características de Azure que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.

Especificar un color para la etiqueta

Esta configuración usa la configuración avanzada de etiquetas que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

Use esta configuración avanzada para establecer un color para una etiqueta. Para especificar el color, escriba un código de triplete hexadecimal para los componentes rojo, verde y azul (RGB) del color. Por ejemplo, #40e0d0 es el valor hexadecimal RGB para turquesa.

Si necesita una referencia para estos códigos, encontrará una tabla útil en la página de color > de los documentos web de MSDN. También encontrará estos códigos en muchas aplicaciones que le permiten editar imágenes. Por ejemplo, Microsoft Paint permite elegir un color personalizado de una paleta y los valores RGB se muestran automáticamente, que puede copiar.

Para configurar la configuración avanzada para el color de una etiqueta, escriba las cadenas siguientes para la etiqueta seleccionada:

  • Tecla: color

  • Valor: valor hexadecimal > RGB

Ejemplo de comando de PowerShell, donde la etiqueta se denomina "Pública":

Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}

Iniciar sesión como un usuario diferente

Iniciar sesión con varios usuarios no es compatible con AIP en producción. En este procedimiento se describe cómo iniciar sesión como un usuario diferente solo con fines de prueba.

Puede comprobar la cuenta en la que ha iniciado sesión actualmente con el cuadro de diálogo protección de información de Microsoft Azure: Abra una aplicación de Office y, en la pestaña Inicio, seleccione el botón Confidencialidad y, a continuación, seleccione Ayuda y comentarios. El nombre de la cuenta se muestra en la sección Estado del cliente.

Asegúrese también de comprobar el nombre de dominio de la cuenta que ha iniciado sesión que se muestra. Puede ser fácil perderse que haya iniciado sesión con el nombre de cuenta correcto, pero con un dominio incorrecto. Un síntoma de usar la cuenta incorrecta incluye no descargar las etiquetas o no ver las etiquetas o el comportamiento que espera.

Para iniciar sesión como un usuario diferente:

  1. Vaya a %localappdata%\Microsoft\MSIP y elimine el archivo TokenCache.

  2. Reinicie las aplicaciones Office abiertas e inicie sesión con su cuenta de usuario diferente. Si no ve un mensaje en la aplicación Office para iniciar sesión en el servicio Azure Information Protection, vuelva al cuadro de diálogo protección de información de Microsoft Azure y seleccione Iniciar sesión en la sección Estado del cliente actualizada.

Además:

Escenario Descripción
Todavía ha iniciado sesión en la cuenta antigua Si el cliente de etiquetado unificado de Azure Information Protection sigue iniciado sesión con la cuenta antigua después de completar estos pasos, elimine todas las cookies de Internet Explorer y repita los pasos 1 y 2.
Usar el inicio de sesión único Si usa el inicio de sesión único, debe cerrar sesión desde Windows e iniciar sesión con su cuenta de usuario diferente después de eliminar el archivo de token.

El cliente de etiquetado unificado de Azure Information Protection se autentica automáticamente con su cuenta de usuario que ha iniciado sesión actualmente.
Inquilinos diferentes Esta solución es compatible con el inicio de sesión como otro usuario del mismo inquilino. No se admite para iniciar sesión como otro usuario de un espacio empresarial diferente.

Para probar Azure Information Protection con varios inquilinos, use equipos diferentes.
Restablecer la configuración Puede usar la opción Restablecer configuración de ayuda y comentarios para cerrar sesión y eliminar las etiquetas y la configuración de directiva descargadas actualmente desde el Centro de cumplimiento de Microsoft 365.

Compatibilidad con equipos desconectados

Importante

Los equipos desconectados son compatibles con los siguientes escenarios de etiquetado: Explorador de archivos, PowerShell, Office aplicaciones y el escáner.

De forma predeterminada, el cliente de etiquetado unificado de Azure Information Protection intenta conectarse automáticamente a Internet para descargar las etiquetas y la configuración de directiva de etiquetas desde el Centro de cumplimiento de Microsoft 365.

Si tiene equipos que no pueden conectarse a Internet durante un período de tiempo, puede exportar y copiar archivos que administran manualmente la directiva para el cliente de etiquetado unificado.

Para admitir equipos desconectados del cliente de etiquetado unificado:

  1. Elija o cree una cuenta de usuario en Azure AD que usará para descargar etiquetas y la configuración de directiva que quiera usar en el equipo desconectado.

  2. Como configuración de directiva de etiqueta adicional para esta cuenta, desactive el envío de datos de auditoría a Azure Information Protection analytics.

    Se recomienda este paso porque si el equipo desconectado tiene conectividad periódica a Internet, enviará información de registro a Azure Information Protection analytics que incluye el nombre de usuario del paso 1. Esa cuenta de usuario puede ser diferente de la cuenta local que usa en el equipo desconectado.

  3. Desde un equipo con conectividad a Internet que tiene el cliente de etiquetado unificado instalado e iniciado sesión con la cuenta de usuario desde el paso 1, descargue las etiquetas y la configuración de directiva.

  4. Desde este equipo, exporte los archivos de registro.

    Por ejemplo, ejecute el cmdlet Export-AIPLogs o use la opción Exportar registros desde el cuadro de diálogo Ayuda y comentarios del cliente.

    Los archivos de registro se exportan como un único archivo comprimido.

  5. Abra el archivo comprimido y, desde la carpeta MSIP, copie los archivos que tengan .xml extensión de nombre de archivo.

  6. Pegue estos archivos en la carpeta %localappdata%\Microsoft\MSIP del equipo desconectado.

  7. Si la cuenta de usuario elegida es una que normalmente se conecta a Internet, habilite el envío de datos de auditoría de nuevo estableciendo el valor EnableAudit en True.

Tenga en cuenta que si un usuario de este equipo selecciona la opción Restablecer Configuración de ayuda y comentarios,esta acción elimina los archivos de directiva y hace que el cliente no esté disponible hasta que reemplace manualmente los archivos o el cliente se conecte a Internet y descargue los archivos.

Si el equipo desconectado ejecuta el escáner de Azure Information Protection, hay pasos de configuración adicionales que debe seguir. Para obtener más información, vea Restricción: el servidor de escáner no puede tener conectividad a Internet desde las instrucciones de implementación del escáner.

Cambiar el nivel de registro local

De forma predeterminada, el cliente de etiquetado unificado de Azure Information Protection escribe los archivos de registro de cliente en la carpeta %localappdata%\Microsoft\MSIP. El soporte técnico de Microsoft ha diseñado estos archivos para la solución de problemas.

Para cambiar el nivel de registro de estos archivos, busque el siguiente nombre de valor en el Registro y establezca los datos de valor en el nivel de registro necesario:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel

Establezca el nivel de registro en uno de los siguientes valores:

  • Desactivado:No hay registro local.

  • Error:solo errores.

  • Advertencia:Errores y advertencias.

  • Información:Registro mínimo, que no incluye ningún nombre de evento (la configuración predeterminada para el escáner).

  • Depurar:información completa.

  • Seguimiento:Registro detallado (la configuración predeterminada para los clientes).

Esta configuración del Registro no cambia la información que se envía a Azure Information Protection para informes centrales.

Omitir o omitir archivos durante las exploraciones según los atributos del archivo

Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

De forma predeterminada, el escáner de etiquetado unificado de Azure Information Protection examina todos los archivos relevantes. Sin embargo, es posible que desee definir archivos específicos que se omitirán, como los archivos archivados o los archivos que se han movido.

Habilite el escáner para omitir archivos específicos en función de sus atributos de archivo mediante la configuración avanzada ScannerFSAttributesToSkip. En el valor de configuración, haga una lista de los atributos de archivo que permitirán omitir el archivo cuando todos estén establecidos en verdadero. Esta lista de atributos de archivo usa la lógica Y.

Los siguientes comandos de PowerShell de ejemplo ilustran cómo usar esta configuración avanzada con una etiqueta denominada "Global".

Omitir archivos que son de solo lectura y archivados

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}

Omitir archivos que son de solo lectura o archivados

Para usar una lógica O, ejecute la misma propiedad varias veces. Por ejemplo:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}

Sugerencia

Le recomendamos que considere la posibilidad de permitir que el escáner omita archivos con los siguientes atributos:

  • FILE_ATTRIBUTE_SYSTEM
  • FILE_ATTRIBUTE_HIDDEN
  • FILE_ATTRIBUTE_DEVICE
  • FILE_ATTRIBUTE_OFFLINE
  • FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
  • FILE_ATTRIBUTE_RECALL_ON_OPEN
  • FILE_ATTRIBUTE_TEMPORARY

Para obtener una lista de todos los atributos de archivo que se pueden definir en la configuración avanzada ScannerFSAttributesToSkip, vea las constantes de atributo de archivo de Win32

Conservar los propietarios NTFS durante el etiquetado (versión preliminar pública)

Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

De forma predeterminada, el etiquetado de extensiones de escáner, PowerShell y Explorador de archivos no conserva el propietario NTFS definido antes del etiquetado.

Para asegurarse de que el valor de propietario NTFS se conserva, establezca la configuración avanzada UseCopyAndPreserveNTFSOwner en true para la directiva de etiqueta seleccionada.

Precaución

Defina esta configuración avanzada solo cuando pueda garantizar una conexión de red confiable y de baja latencia entre el escáner y el repositorio digitalizado. Un error de red durante el proceso de etiquetado automático puede hacer que se pierda el archivo.

Comando de PowerShell de ejemplo, cuando la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}

Nota

Esta característica se encuentra actualmente en VISTA PREVIA. Los Términos complementarios de Azure Preview incluyen términos legales adicionales que se aplican a las características de Azure que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.

Personalizar textos de solicitud de justificación para etiquetas modificadas

Personalice las solicitudes de justificación que se muestran tanto en Office como en el cliente AIP, cuando los usuarios finales cambian las etiquetas de clasificación en documentos y correos electrónicos.

Por ejemplo, como administrador, es posible que desee recordar a los usuarios que no agreguen ninguna información de identificación de cliente a este campo:

Texto del mensaje de justificación personalizado

Para modificar el texto predeterminado Otros que se muestra, use la propiedad avanzada JustificationTextForUserText con el cmdlet Set-LabelPolicy. Establezca el valor en el texto que desea usar en su lugar.

Comando de PowerShell de ejemplo, cuando la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}

Personalizar Outlook emergentes

Los administradores de AIP pueden personalizar los mensajes emergentes que aparecen para los usuarios finales en Outlook, como:

  • Mensajes de correos electrónicos bloqueados
  • Mensajes de advertencia que piden a los usuarios que comprueben el contenido que envían
  • Mensajes de justificación que solicitan a los usuarios que justifiquen el contenido que envían

Importante

Este procedimiento invalidará cualquier configuración que ya haya definido con la propiedad avanzada OutlookUnlabeledCollaborationAction.

En producción, se recomienda evitar complicaciones mediante la propiedad avanzada OutlookUnlabeledCollaborationAction para definir las reglas o definiendo reglas complejas con un archivo json como se define a continuación, pero no ambas.

Para personalizar los mensajes Outlook emergentes:

  1. Cree archivos .json, cada uno con una regla que configure cómo Outlook mensajes emergentes a los usuarios. Para obtener más información, vea Sintaxis .json del valor de regla y Código .json de personalización emergente de ejemplo.

  2. Use PowerShell para definir la configuración avanzada que controla los mensajes emergentes que está configurando. Ejecute un conjunto de comandos independiente para cada regla que desee configurar.

    Cada conjunto de comandos de PowerShell debe incluir el nombre de la directiva que está configurando, así como la clave y el valor que define la regla.

    Use la sintaxis siguiente:

    $filedata = Get-Content "<Path to json file>"
    Set-LabelPolicy -Identity <Policy name> -AdvancedSettings @{<Key> ="$filedata"}
    

    Dónde:

    • <Path to json file> es la ruta de acceso al archivo json que creó. Por ejemplo: C:\Users\msanchez\Desktop\ \dlp\OutlookCollaborationRule_1.json.

    • <Policy name> es el nombre de la directiva que desea configurar.

    • <Key> es un nombre para la regla. Use la sintaxis siguiente, donde # > es el número de serie de la regla:

      OutlookCollaborationRule_<x>

    Para obtener más información, vea Ordenar las reglas Outlook de personalización ySintaxis json de valor de regla.

Sugerencia

Para otra organización, asigne un nombre al archivo con la misma cadena que la clave usada en el comando de PowerShell. Por ejemplo, asigne un nombre al archivo OutlookCollaborationRule_1.jsony, a continuación, use OutlookCollaborationRule_1 como clave.

Para asegurarse de que las ventanas emergentes se muestran incluso cuando los documentos se comparten desde fuera de Outlook (adjuntar una copia del recurso compartido de > archivos),configure también la configuración avanzada >

Ordenar las Outlook de personalización

AIP usa el número de serie en la clave que escriba para determinar el orden en que se procesan las reglas. Al definir las claves usadas para cada regla, defina las reglas más restrictivas con números más bajos, seguidas de reglas menos restrictivas con números más altos.

Una vez que se encuentra una coincidencia de regla específica, AIP detiene el procesamiento de las reglas y realiza la acción asociada a la regla de coincidencia. (First match - Exit logic)

Ejemplo:

Diga que desea configurar todos los correos electrónicos internos con un mensaje de advertencia específico, pero generalmente no desea bloquearlos. Sin embargo, sí desea impedir que los usuarios envíen datos adjuntos clasificados como secretos, incluso como correos electrónicos internos.

En este escenario, ordene la clave de regla Bloquear secreto, que es la regla más específica, antes de advertir más genéricamente sobre la clave de regla interna:

  • Para el mensaje Bloquear: OutlookCollaborationRule_1
  • Para el mensaje Advertir:OutlookCollaborationRule_2

Sintaxis .json del valor de regla

Defina la sintaxis json de la regla de la siguiente manera:

"type" : "And",
"nodes" : []

Debe tener al menos dos nodos, el primero que represente la condición de la regla y el último que represente la acción de la regla. Para obtener más información, vea:

Sintaxis de condición de regla

Los nodos de condición de regla deben incluir el tipo de nodo y, a continuación, las propias condiciones.

Entre los tipos de nodo admitidos se incluyen:

Tipo de nodo Descripción
Y Realiza y en todos los nodos secundarios
O bien, Realiza o en todos los nodos secundarios
No No funciona para su propio hijo
Excepto Devuelve no para su propio hijo, lo que hace que se comporte como Todo
SentTo, seguido de Dominios: listOfDomains Comprueba una de las siguientes opciones:
- Si el elemento primario es Excepto, comprueba si todos los destinatarios están en uno de los dominios
- Si el elemento primario es cualquier otra cosa excepto Excepto, comprueba si alguno de los destinatarios se encuentra en uno de los dominios.
EMailLabel, seguido de etiqueta Una de las siguientes opciones:
- El id. de etiqueta
- null, si no está etiquetado
AttachmentLabel, seguido de Etiqueta y extensiones compatibles Una de las siguientes opciones:

verdadero:
- Si el elemento primario es Excepto, comprueba si todos los datos adjuntos con una extensión compatible existe dentro de la etiqueta
- Si el elemento primario es cualquier otra cosa, excepto Excepto, comprueba si alguno de los datos adjuntos con una extensión compatible existe dentro de la etiqueta
- Si no está etiquetada, y etiqueta = null

false:Para todos los demás casos

Nota:Si la propiedad Extensiones está vacía o falta, todos los tipos de archivo compatibles (extensiones) se incluyen en la regla.

Sintaxis de acción de regla

Las acciones de regla pueden ser una de las siguientes:

Acción Sintaxis Mensaje de ejemplo
Bloquear Block (List<language, [title, body]>) Correo electrónico bloqueado

Está a punto de enviar contenido clasificado como secreto a uno o varios destinatarios que no son de confianza:
rsinclair@contoso.com

La directiva de la organización no permite esta acción. Considere la posibilidad de quitar estos destinatarios o reemplazar el contenido.
Avisar Warn (List<language,[title,body]>) Confirmación obligatorio

Está a punto de enviar contenido clasificado como General a uno o varios destinatarios que no son de confianza:
rsinclair@contoso.com

La directiva de la organización requiere confirmación para que envíe este contenido.
Justificar Justify (numOfOptions, hasFreeTextOption, List<language, [Title, body, options1,options2….]> )

Incluye hasta tres opciones.
Justificación necesaria

La directiva de la organización requiere justificación para que envíe contenido clasificado como General a destinatarios que no son de confianza.

- Confirmo que los destinatarios están aprobados para compartir este contenido
- Mi administrador aprobó el uso compartido de este contenido
- Otros, como se explica
Parámetros de acción

Si no se proporcionan parámetros para una acción, los elementos emergentes tendrán el texto predeterminado.

Todos los textos admiten los siguientes parámetros dinámicos:

Parámetro Descripción
${MatchedRecipientsList} La última coincidencia de las condiciones SentTo
${MatchedLabelName} La etiqueta de correo o datos adjuntos, con el nombre localizado de la directiva
${MatchedAttachmentName} El nombre de los datos adjuntos de la última coincidencia de la condición AttachmentLabel

Nota

Todos los mensajes incluyen la opción Información más, así como los cuadros dediálogo Ayuda y Comentarios.

El idioma es culturename para el nombre de la configuración regional, como: inglés; Español

También se admiten nombres de idioma solo para padres, como en solo.

Código .json de personalización emergente de ejemplo

Los siguientes conjuntos de código .json muestran cómo puede definir una variedad de reglas que controlan cómo Outlook mensajes emergentes para los usuarios.

Ejemplo 1: Bloquear correos electrónicos internos o datos adjuntos

El siguiente código .json bloqueará los correos electrónicos o los datos adjuntos que se clasifiquen como Internos para que no se establezcan en destinatarios externos.

En este ejemplo, 89a453df-5df4-4976-8191-259d0cf9560a es el id. de la etiqueta Interna y los dominios internos incluyen contoso.com y microsoft.com.

Puesto que no se especifican extensiones específicas, se incluyen todos los tipos de archivo admitidos.

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			  "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel", 			
					"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a" 		
				},{ 					
                    "type" : "EmailLabel", 					
                    "LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a" 				
                }
			]
		},		
        { 			
            "type" : "Block", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Email Blocked", 				  
                    "Body": "The email or at least one of the attachments is classified as <Bold>${MatchedLabelName}</Bold>. Documents classified as <Bold> ${MatchedLabelName}</Bold> cannot be sent to external recipients (${MatchedRecipientsList}).<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance with classification requirements as per Contoso's policies." 				
                }, 				
                "es-es": { 				  
                    "Title": "Correo electrónico bloqueado", 				  
                    "Body": "El correo electrónico o al menos uno de los archivos adjuntos se clasifica como <Bold> ${MatchedLabelName}</Bold>." 				
                } 			
            }, 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

Ejemplo 2: Bloquear datos adjuntos sin clasificar Office datos adjuntos

El siguiente código .json bloquea los datos Office datos adjuntos o mensajes de correo electrónico que no se envían a destinatarios externos.

En el ejemplo siguiente, la lista de datos adjuntos que requiere etiquetado es: .doc,.docm,.docx,.dot,.dotm,.dotx,.potm,.potx,.pps,.ppsm,.ppsx,.ppt,.pptm,.pptx,.vdw ,.vsd,.vsdm,.vsdx,.vss,.vssm,.vst,.vstm,.vssx,.vstx,.xls,.xlsb,.xlt,.xlsm,.xlsx,.xltm,.xltx

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			        "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel",
					 "LabelId" : null,
					"Extensions": [
									".doc",
									".docm",
									".docx",
									".dot",
									".dotm",
									".dotx",
									".potm",
									".potx",
									".pps",
									".ppsm",
									".ppsx",
									".ppt",
									".pptm",
									".pptx",
									".vdw",
									".vsd",
									".vsdm",
									".vsdx",
									".vss",
									".vssm",
									".vst",
									".vstm",
									".vssx",
									".vstx",
									".xls",
									".xlsb",
									".xlt",
									".xlsm",
									".xlsx",
									".xltm",
									".xltx"
								 ]
					
				},{ 					
                    "type" : "EmailLabel",
					 "LabelId" : null
                }
			]
		},		
        { 			
            "type" : "Block", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Emailed Blocked", 				  
                    "Body": "Classification is necessary for attachments to be sent to external recipients.<br><br>List of attachments that are not classified:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br>For MS Office documents, classify and send again.<br><br>For PDF files, classify the document or classify the email (using the most restrictive classification level of any single attachment or the email content) and send again." 				
                }, 				
                "es-es": { 				  
                    "Title": "Correo electrónico bloqueado", 				  
                    "Body": "La clasificación es necesaria para que los archivos adjuntos se envíen a destinatarios externos." 				
                } 			
            }, 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

Ejemplo 3: Requerir que el usuario acepte el envío de un correo electrónico o datos adjuntos confidenciales

En el ejemplo siguiente, Outlook muestra un mensaje que advierte al usuario de que envía un correo electrónico confidencial o datos adjuntos a destinatarios externos y también requiere que el usuario seleccione Acepto.

Este tipo de mensaje de advertencia se considera técnicamente como una justificación, ya que el usuario debe seleccionar Acepto.

Puesto que no se especifican extensiones específicas, se incluyen todos los tipos de archivo admitidos.

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			        "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel", 			
					"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613" 		
				},{ 					
                    "type" : "EmailLabel", 					
                    "LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613" 				
                }
			]
		},		
        { 			
            "type" : "Justify", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Warning", 				  
                    "Body": "You are sending a document that is classified as <Bold>${MatchedLabelName}</Bold> to at least one external recipient. Please make sure that the content is correctly classified and that the recipients are entitled to receive this document.<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><Bold>List of external email addresses:</Bold><br>${MatchedRecipientsList})<br><br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br><Bold>Acknowledgement</Bold><br>By clicking <Bold>I accept</Bold> below, you confirm that the recipient is entitled to receive the content and the communication complies with CS Policies and Standards",
					"Options": [ 						
                        "I accept"			    
                    ] 
                }, 				
                "es-es": { 				  
                    "Title": "Advertencia", 				  
                    "Body": "Está enviando un documento clasificado como <Bold>${MatchedLabelName}</Bold> a al menos un destinatario externo. Asegúrese de que el contenido esté correctamente clasificado y que los destinatarios tengan derecho a recibir este documento.",
                    "Options": [ 						
                        "Acepto"				    
                    ] 					
                } 			
            }, 			
            "HasFreeTextOption":"false", 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

Ejemplo 4: Avisar por correo sin etiqueta y datos adjuntos con una etiqueta específica

El siguiente código .json hace que Outlook al usuario cuando envía un correo electrónico interno no tiene etiqueta, con datos adjuntos que tienen una etiqueta específica.

En este ejemplo, bcbef25a-c4db-446b-9496-1b558d9edd0e es el id. de la etiqueta del archivo adjunto y la regla se aplica .docx, .xlsx y .pptx archivos.

De forma predeterminada, los correos electrónicos con datos adjuntos etiquetados no reciben automáticamente la misma etiqueta.

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "EmailLabel",
					 "LabelId" : null			
        },
        {
          "type": "AttachmentLabel",
          "LabelId": "bcbef25a-c4db-446b-9496-1b558d9edd0e",
          "Extensions": [
                ".docx",
                ".xlsx",
                ".pptx"
             ]
        },
	{  			
            "type" : "SentTo",  			
            "Domains" : [  				
                "contoso.com", 				
            ]   		
        }, 		
        { 			
            "type" : "Warn"	
        } 	
    ] 
}

Ejemplo 5: Solicitar una justificación, con dos opciones predefinidas y una opción de texto libre adicional

El siguiente código .json hace que Outlook solicite al usuario una justificación para su acción. El texto de justificación incluye dos opciones predefinidas, así como una tercera opción de texto libre.

Puesto que no se especifican extensiones específicas, se incluyen todos los tipos de archivo admitidos.

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 									
                ]   			
            } 		
        }, 		
        { 			
            "type" : "EmailLabel", 			
            "LabelId" : "34b8beec-40df-4219-9dd4-553e1c8904c1" 		
        }, 		
        { 			
            "type" : "Justify", 			
            "LocalizationData": { 				
                "en-us": { 					
                    "Title": "Justification Required", 					
                    "Body": "Your organization policy requires justification for you to send content classified as <Bold> ${MatchedLabelName}</Bold>,to untrusted recipients:<br>Recipients are: ${MatchedRecipientsList}", 					
                    "Options": [ 						
                        "I confirm the recipients are approved for sharing this content", 					
                        "My manager approved sharing of this content", 						
                        "Other, as explained" 				    
                    ] 				
                }, 				
                "es-es": { 				    
                    "Title": "Justificación necesaria", 				    
                    "Body": "La política de su organización requiere una justificación para que envíe contenido clasificado como <Bold> ${MatchedLabelName}</Bold> a destinatarios que no sean de confianza.", 				    
                    "Options": [ 						
                        "Confirmo que los destinatarios están aprobados para compartir este contenido.",
                        "Mi gerente aprobó compartir este contenido",
                        "Otro, como se explicó" 					
                    ] 				
                } 			
            }, 			
            "HasFreeTextOption":"true", 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

Configurar SharePoint de espera

De forma predeterminada, el tiempo de espera para SharePoint interacciones es de dos minutos, después de los cuales se produce un error en la operación AIP intentada.

A partir de la versión 2.8.85.0, los administradores de AIP pueden controlar este tiempo de espera con las siguientes propiedades avanzadas, con una sintaxis hh:mm:ss para definir los tiempos de espera:

  • SharepointWebRequestTimeout. Determina el tiempo de espera para que todas las solicitudes web AIP SharePoint. Predeterminado = 2 minutos.

    Por ejemplo, si la directiva se denomina Global,el siguiente comando de PowerShell de ejemplo actualiza el tiempo de espera de la solicitud web a 5 minutos.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}
    
  • SharepointFileWebRequestTimeout. Determina el tiempo de espera específicamente para SharePoint a través de solicitudes web AIP. Predeterminado = 15 minutos

    Por ejemplo, si la directiva se denomina Global,el siguiente comando de PowerShell de ejemplo actualiza el tiempo de espera de la solicitud web de archivo a 10 minutos.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
    

Evite los tiempos de espera del escáner en SharePoint

Si tiene rutas de archivo largas en SharePoint versión 2013 o posterior, asegúrese de que el valor httpRuntime.maxUrlLength del servidor de SharePoint sea mayor que los 260 caracteres predeterminados.

Este valor se define en la clase HttpRuntimeSection de la configuración.

Para actualizar la clase HttpRuntimeSection:

  1. Una copia de seguridad deweb.config configuración.

  2. Actualice el valor maxUrlLength según sea necesario. Por ejemplo:

    <httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000"  />
    
  3. Reinicie el SharePoint web y compruebe que se cargue correctamente.

    Por ejemplo, en el administrador Windows Internet Information Servers (IIS), seleccione el sitio y, a continuación, en Administrar sitio web,seleccione Reiniciar.

Evitar Outlook problemas de rendimiento con los correos electrónicos S/MIME

Los problemas de rendimiento pueden ocurrir en Outlook cuando se abren los correos electrónicos de S/MIME en el panel de lectura. Para evitar estos problemas, habilite la propiedad avanzada OutlookSkipSmimeOnReadingPaneEnabled.

Habilitar esta propiedad impide que la barra AIP y las clasificaciones de correo electrónico se muestran en el panel de lectura.

Por ejemplo, si la directiva se denomina Global, el siguiente comando de PowerShell de ejemplo habilita la propiedad OutlookSkipSmimeOnReadingPaneEnabled:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookSkipSmimeOnReadingPaneEnabled="true"}

Desactivar las características de seguimiento de documentos

De forma predeterminada, las características de seguimiento de documentos están activadas para el inquilino. Para desactivarlos, como los requisitos de privacidad de su organización o región, establezca el valor EnableTrackAndRevoke en False.

Una vez desactivado, los datos de seguimiento de documentos ya no estarán disponibles en su organización y los usuarios ya no verán la opción de menú Revocar en sus Office aplicaciones.

Para la directiva de etiqueta seleccionada, especifique las cadenas siguientes:

  • Clave: EnableTrackAndRevoke

  • Valor: Falso

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableTrackAndRevoke="False"}

Después de establecer este valor en Falso,seguimiento y revocación se desactivará de la siguiente manera:

  • Al abrir documentos protegidos con el cliente de etiquetado unificado AIP, ya no se registrarán los documentos para realizar un seguimiento y revocarlo.
  • Los usuarios finales ya no verán la opción de menú Revocar en Office aplicaciones.

Sin embargo, los documentos protegidos que ya están registrados para el seguimiento seguirán controlando y los administradores pueden revocar el acceso desde PowerShell. Para desactivar completamente el seguimiento y revocar características, ejecute también el cmdlet Disable-AipServiceDocumentTrackingFeature.

Esta configuración usa una configuración avanzada de directiva que debe configurar mediante Office 365 Centro de cumplimiento de seguridad de PowerShell.

Sugerencia

Para activar y revocar el seguimiento, establezca enabletrackAndRevoke en Truey ejecute también el cmdlet Enable-AipServiceDocumentTrackingFeature.

Desactivar la opción Revocar para los usuarios finales en Office aplicaciones

Si no desea que los usuarios finales puedan revocar el acceso a documentos protegidos desde sus aplicaciones de Office, puede quitar la opción Revocar acceso de las aplicaciones Office usuario.

Nota

Al quitar la opción Revocar acceso, los documentos protegidos se seguirán controlando en segundo plano y se conserva la capacidad de administrador para revocar el acceso a documentos a través de PowerShell.

Para la directiva de etiqueta seleccionada, especifique las cadenas siguientes:

  • Clave: EnableRevokeGuiSupport

  • Valor: Falso

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}

Configurar el tiempo de espera de autoetiqueta en Office archivos

De forma predeterminada, el tiempo de espera de etiquetado automático del escáner en Office archivos es de 3 segundos.

Si tiene un archivo Excel con muchas hojas o filas, es posible que 3 segundos no sean suficientes para aplicar etiquetas automáticamente. Para aumentar este tiempo de espera para la directiva de etiquetas seleccionada, especifique las cadenas siguientes:

  • Clave: OfficeContentExtractionTimeout

  • Valor: Segundos, en el siguiente formato: hh:mm:ss .

Importante

Le recomendamos que no suba este tiempo de espera a más de 15 segundos.

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}

El tiempo de espera actualizado se aplica a la etiqueta automática en todos Office archivos.

Activar las características de globalización de clasificación (versión preliminar pública)

Características de globalización de clasificación,incluida una mayor precisión para idiomas de Asia Oriental y compatibilidad con caracteres de dos bytes. Estas mejoras solo se proporcionan para procesos de 64 bits y están desactivadas de forma predeterminada.

Activar estas características para la directiva especifique las cadenas siguientes:

  • Clave: EnableGlobalization

  • Valor: True

Ejemplo de comando de PowerShell, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}

Para desactivar la compatibilidad de nuevo y volver al valor predeterminado, establezca la configuración avanzada EnableGlobalization en una cadena vacía.

Pasos siguientes

Ahora que ha personalizado el cliente de etiquetado unificado de Azure Information Protection, consulte los siguientes recursos para obtener información adicional que podría necesitar para admitir este cliente: