Guide de l’administrateur : Configurations personnalisées pour le client d’étiquetage unifié Azure Information Protection

*s’applique à: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 *

Si vous utilisez Windows 7 ou Office 2010, consultez AIP et versions héritées Windows et Office.

*Concerne : Azure information protection client d’étiquetage unifié pour Windows. *

Utilisez les informations suivantes pour les configurations avancées nécessaires pour des scénarios ou des utilisateurs spécifiques lors de la gestion du client d’étiquetage unifié AIP.

Notes

Ces paramètres requièrent la modification du registre ou la spécification de paramètres avancés. les paramètres avancés utilisent Office 365 Security & Compliance Center PowerShell.

Configuration des paramètres avancés pour le client via PowerShell

utilisez la Microsoft 365 Security & Compliance Center PowerShell pour configurer des paramètres avancés pour la personnalisation des étiquettes et des stratégies d’étiquette.

dans les deux cas, une fois que vous êtes connecté à Office 365 Security & Compliance Center PowerShell, spécifiez le paramètre AdvancedSettings avec l’identité (nom ou GUID) de la stratégie ou de l’étiquette, avec des paires clé/valeur dans une table de hachage.

Pour supprimer un paramètre avancé, utilisez la même syntaxe de paramètre AdvancedSettings , mais spécifiez une valeur de chaîne NULL.

Important

N’utilisez pas d’espaces blancs dans vos valeurs de chaîne. Les chaînes blanches dans ces valeurs de chaîne empêcheront l’application de vos étiquettes.

Pour plus d'informations, consultez les pages suivantes :

Syntaxe des paramètres avancés de la stratégie d’étiquette

un exemple de paramètre avancé de stratégie d’étiquette est le paramètre permettant d’afficher la barre d’Information Protection dans Office applications.

Pour une valeur de chaîne unique, utilisez la syntaxe suivante :

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key="value1,value2"}

Pour une valeur de chaîne multiple pour la même clé, utilisez la syntaxe suivante :

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

Syntaxe des paramètres avancés des étiquettes

Un exemple de paramètre avancé d’étiquette est le paramètre permettant de spécifier une couleur d’étiquette.

Pour une valeur de chaîne unique, utilisez la syntaxe suivante :

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key="value1,value2"}

Pour une valeur de chaîne multiple pour la même clé, utilisez la syntaxe suivante :

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

Vérification de vos paramètres avancés actuels

Pour vérifier les paramètres avancés actuels en vigueur, exécutez les commandes suivantes :

Pour vérifier les paramètres avancés de votre stratégie d’étiquette, utilisez la syntaxe suivante :

Pour une stratégie d’étiquette nommée Global:

(Get-LabelPolicy -Identity Global).settings

Pour vérifier les paramètres avancés de votre étiquette, utilisez la syntaxe suivante :

Pour une étiquette nommée public:

(Get-Label -Identity Public).settings

Exemples de paramétrage des paramètres avancés

Exemple 1: définir une stratégie d’étiquette paramètre avancé pour une valeur de chaîne unique :

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

Exemple 2: définir un paramètre avancé pour une étiquette pour une valeur de chaîne unique :

Set-Label -Identity Internal -AdvancedSettings @{smimesign="true"}

Exemple 3: définir un paramètre avancé pour les étiquettes pour plusieurs valeurs de chaîne :

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

Exemple 4: supprimer un paramètre avancé de stratégie d’étiquette en spécifiant une valeur de chaîne NULL :

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions=""}

Spécification de la stratégie d’étiquette ou de l’identité de l’étiquette

la recherche du nom de la stratégie d’étiquette pour le paramètre d' identité PowerShell est simple, car il n’existe qu’un seul nom de stratégie dans le Centre de conformité Microsoft 365.

toutefois, pour les étiquettes, les Centre de conformité Microsoft 365 afficher un nom et une valeur de nom complet . Dans certains cas, ces valeurs sont les mêmes, mais elles peuvent être différentes. Pour configurer les paramètres avancés des étiquettes, utilisez la valeur nom .

Par exemple, pour identifier l’étiquette dans l’image suivante, utilisez la syntaxe suivante dans votre commande PowerShell : -Identity "All Company" :

Utiliser’name’plutôt que’Display Name’pour identifier une étiquette de sensibilité

si vous préférez spécifier le GUID de l’étiquette, cette valeur n’est pas affichée dans la Centre de conformité Microsoft 365. Utilisez la commande « obtenir une étiquette » pour rechercher cette valeur, comme suit :

Get-Label | Format-Table -Property DisplayName, Name, Guid

Pour plus d’informations sur les noms d’étiquettes et les noms d’affichage :

  • Nom est le nom d’origine de l’étiquette et il est unique pour toutes vos étiquettes.

    Cette valeur reste la même, même si vous avez modifié votre nom d’étiquette par la suite. Pour les étiquettes de sensibilité qui ont été migrées à partir de Azure Information Protection, vous pouvez voir l’ID d’étiquette d’origine à partir du Portail Azure.

  • Nom complet est le nom actuellement affiché pour les utilisateurs de l’étiquette et n’a pas besoin d’être unique sur toutes vos étiquettes.

    Par exemple, vous pouvez avoir un nom d’affichage de tous les employés pour une sous-étiquette sous l’étiquette confidentiel , et un autre nom d’affichage de tous les employés pour une sous-étiquette sous l’étiquette hautement confidentiel . Ces sous-étiquettes affichent le même nom, mais elles ne sont pas de la même étiquette et présentent des paramètres différents.

Ordre de priorité-mode de résolution des paramètres en conflit

vous pouvez utiliser la Centre de conformité Microsoft 365 pour configurer les paramètres de stratégie d’étiquette suivants :

  • Appliquer cette étiquette par défaut aux documents et aux e-mails

  • Les utilisateurs doivent fournir une justification pour supprimer une étiquette ou une étiquette de classification inférieure

  • Demander aux utilisateurs d’appliquer une étiquette à leur adresse de messagerie ou à leur document

  • Fournir aux utilisateurs un lien vers une page d’aide personnalisée

lorsque plusieurs stratégies d’étiquette sont configurées pour un utilisateur, chacune avec des paramètres de stratégie potentiellement différents, le dernier paramètre de stratégie est appliqué en fonction de l’ordre des stratégies dans la Centre de conformité Microsoft 365. Pour plus d’informations, consultez priorité de la stratégie d’étiquette (ordre important) .

Les paramètres avancés de la stratégie d’étiquette sont appliqués à l’aide de la même logique, à l’aide du dernier paramètre de stratégie.

Références de paramètres avancés

Les sections suivantes présentent les paramètres avancés disponibles pour les étiquettes et les stratégies d’étiquette :

Référence des paramètres avancés par fonctionnalité

Les sections suivantes répertorient les paramètres avancés décrits sur cette page par l’intégration de produits et de fonctionnalités :

Fonctionnalité Paramètres avancés
paramètres de Outlook et de messagerie - Configurer une étiquette pour appliquer la protection S/MIME dans Outlook
- personnaliser Outlook messages contextuels
- Activer la classification recommandée dans Outlook
- exempter les messages Outlook de l’étiquetage obligatoire
- Pour les courriers électroniques avec pièces jointes, appliquez une étiquette qui correspond à la classification la plus élevée de ces pièces jointes.
- développer les listes de distribution Outlook lors de la recherche de destinataires de courrier électronique
- implémenter des messages contextuels dans Outlook qui avertissent, justifient ou bloquent les courriers électroniques envoyés
- empêcher Outlook problèmes de performances avec les e-mails S/MIME
- Définir une autre étiquette par défaut pour Outlook
paramètres de PowerPoint - évitez de supprimer des formes de PowerPoint qui contiennent du texte spécifié, et qui ne sont pas des en-têtes et des pieds de page
- supprimer explicitement les marquages de contenu externe à l’intérieur de vos dispositions personnalisées PowerPoint
- Supprimer toutes les formes d’un nom de forme spécifique de vos en-têtes et pieds de page, au lieu de supprimer des formes par du texte à l’intérieur de la forme
Paramètres de l’Explorateur de fichiers - Toujours afficher les autorisations personnalisées pour les utilisateurs dans l’Explorateur de fichiers
- Désactiver les autorisations personnalisées dans l’Explorateur de fichiers
- masquer l’option de menu classifier et protéger dans l’explorateur de fichiers Windows
Paramètres d’amélioration des performances - Limiter la consommation de l’UC
- Limiter le nombre de threads utilisés par le scanneur
- empêcher Outlook problèmes de performances avec les e-mails S/MIME
Paramètres pour les intégrations à d’autres solutions d’étiquetage - Migrer des étiquettes à partir d’îlots sécurisés et d’autres solutions d’étiquetage
- Supprimer les en-têtes et les pieds de page d’autres solutions d’étiquetage
Paramètres d’analyse AIP - empêcher l’envoi de données d’audit à AIP et Microsoft 365 analytics
- Envoyer les correspondances de type d’informations à Azure Information Protection Analytics
Paramètres généraux : - Ajouter « signaler un problème » pour les utilisateurs
- Appliquer une propriété personnalisée lorsqu’une étiquette est appliquée
- Modifier le niveau de journalisation locale
- Changer les types de fichiers à protéger
- configurer le délai d’étiquetage automatique des fichiers Office
- configurer des délais d’expiration de SharePoint
- Personnaliser les textes d’invite de justification pour les étiquettes modifiées
- afficher la barre de Information Protection dans les applications Office
- Activer la suppression de la protection des fichiers compressés
- Conserver les propriétaires NTFS lors de l’étiquetage (version préliminaire publique)
- Supprimer « pas maintenant » pour les documents lorsque vous utilisez l’étiquetage obligatoire
- Ignorer ou ignorer les fichiers lors des analyses en fonction des attributs de fichier
- Spécifier une couleur pour l’étiquette
- Spécifier une sous-étiquette par défaut pour une étiquette parent
- Prise en charge de la modification <EXT> . PFILE à P<EXT>
- Prise en charge des ordinateurs déconnectés
- Activer la classification pour qu’elle s’exécute en continu en arrière-plan
- Désactiver les fonctionnalités de suivi des documents
- désactivez l’option Revoke pour les utilisateurs finaux dans les applications Office

Référence des paramètres avancés de la stratégie d’étiquette

Utilisez le paramètre AdvancedSettings avec New-LabelPolicy et Set-LabelPolicy pour définir les paramètres suivants :

Paramètre Scénario et instructions
AdditionalPPrefixExtensions Prise en charge de la modification <EXT> . PFILE à P à <EXT> l’aide de cette propriété avancée
AttachmentAction Pour les e-mails avec pièces jointes, appliquez une étiquette correspondant à la classification la plus élevée de ces pièces jointes
AttachmentActionTip Pour les e-mails avec pièces jointes, appliquez une étiquette correspondant à la classification la plus élevée de ces pièces jointes
DisableMandatoryInOutlook exempter les messages Outlook de l’étiquetage obligatoire
EnableAudit empêcher l’envoi de données d’audit à AIP et Microsoft 365 analytics
EnableContainerSupport Activer la suppression de la protection des fichiers PST, rar, 7zip et MSG
EnableCustomPermissions Désactiver les autorisations personnalisées dans l’Explorateur de fichiers
EnableCustomPermissionsForCustomProtectedFiles Pour les fichiers protégés avec des autorisations personnalisées, toujours afficher des autorisations personnalisées aux utilisateurs dans l’Explorateur de fichiers
EnableLabelByMailHeader Migrer des étiquettes de Secure Islands et autres solutions d’étiquetage
EnableLabelBySharePointProperties Migrer des étiquettes de Secure Islands et autres solutions d’étiquetage
EnableOutlookDistributionListExpansion développer les listes de distribution Outlook lors de la recherche de destinataires de courrier électronique
EnableRevokeGuiSupport désactivez l’option Revoke pour les utilisateurs finaux dans les applications Office
EnableTrackAndRevoke Désactiver les fonctionnalités de suivi des documents
HideBarByDefault Afficher la barre Information Protection dans les applications Office
JustificationTextForUserText Personnaliser les textes d’invite de justification pour les étiquettes modifiées
LogMatchedContent Envoyer les correspondances de type d’informations à Azure Information Protection Analytics
OfficeContentExtractionTimeout configurer le délai d’étiquetage automatique des fichiers Office
OutlookBlockTrustedDomains Implémenter des messages contextuels dans Outlook qui avertissent, demandent une justification ou bloquent l’envoi des e-mails
OutlookBlockUntrustedCollaborationLabel Implémenter des messages contextuels dans Outlook qui avertissent, demandent une justification ou bloquent l’envoi des e-mails
OutlookCollaborationRule personnaliser Outlook messages contextuels
OutlookDefaultLabel Définir une autre étiquette par défaut pour Outlook
OutlookGetEmailAddressesTimeOutMSProperty modifier le délai d’attente pour le développement d’une liste de distribution dans Outlook lors de l’implémentation de messages de blocage pour les destinataires dans les listes de distribution )
OutlookJustifyTrustedDomains Implémenter des messages contextuels dans Outlook qui avertissent, demandent une justification ou bloquent l’envoi des e-mails
OutlookJustifyUntrustedCollaborationLabel Implémenter des messages contextuels dans Outlook qui avertissent, demandent une justification ou bloquent l’envoi des e-mails
OutlookRecommendationEnabled Activer la classification recommandée dans Outlook
OutlookOverrideUnlabeledCollaborationExtensions Implémenter des messages contextuels dans Outlook qui avertissent, demandent une justification ou bloquent l’envoi des e-mails
OutlookSkipSmimeOnReadingPaneEnabled empêcher Outlook problèmes de performances avec les e-mails S/MIME
OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Implémenter des messages contextuels dans Outlook qui avertissent, demandent une justification ou bloquent l’envoi des e-mails
OutlookWarnTrustedDomains Implémenter des messages contextuels dans Outlook qui avertissent, demandent une justification ou bloquent l’envoi des e-mails
OutlookWarnUntrustedCollaborationLabel Implémenter des messages contextuels dans Outlook qui avertissent, demandent une justification ou bloquent l’envoi des e-mails
PFileSupportedExtensions Changer les types de fichiers à protéger
PostponeMandatoryBeforeSave Supprimer « Pas maintenant » pour les documents quand vous utilisez l’étiquetage obligatoire
PowerPointRemoveAllShapesByShapeName Supprimer toutes les formes d’un nom de forme spécifique de vos en-têtes et pieds de page, au lieu de supprimer des formes par du texte à l’intérieur de la forme
PowerPointShapeNameToRemove évitez de supprimer des formes de PowerPoint qui contiennent du texte spécifié, et qui ne sont pas des en-têtes et des pieds de page
RemoveExternalContentMarkingInApp Supprimer les en-têtes et les pieds de page d’autres solutions d’étiquetage
RemoveExternalMarkingFromCustomLayouts supprimer explicitement les marquages de contenu externe à l’intérieur de vos dispositions personnalisées PowerPoint
ReportAnIssueLink Ajouter « Signaler un problème » pour les utilisateurs
RunPolicyInBackground Activer la classification pour qu’elle s’exécute en continu en arrière-plan
ScannerMaxCPU Limiter la consommation de l’UC
ScannerMinCPU Limiter la consommation de l’UC
ScannerConcurrencyLevel Limiter le nombre de threads utilisés par le scanneur
ScannerFSAttributesToSkip Ignorer ou ignorer les fichiers lors des analyses en fonction des attributs de fichier
SharepointWebRequestTimeout configurer des délais d’expiration de SharePoint
SharepointFileWebRequestTimeout configurer des délais d’expiration de SharePoint
UseCopyAndPreserveNTFSOwner Conserver les propriétaires NTFS pendant l’étiquetage

Référence des paramètres avancés des étiquettes

Utilisez le paramètre AdvancedSettings avec New-label et Set-label.

Paramètre Scénario et instructions
color Spécifier une couleur pour l’étiquette
customPropertiesByLabel Appliquer une propriété personnalisée lorsqu’une étiquette est appliquée
DefaultSubLabelId Spécifier une sous-étiquette par défaut pour une étiquette parent
labelByCustomProperties Migrer des étiquettes de Secure Islands et autres solutions d’étiquetage
SMimeEncrypt Configurer une étiquette pour appliquer la protection S/MIME dans Outlook
SMimeSign Configurer une étiquette pour appliquer la protection S/MIME dans Outlook

Masquer l’option de menu Classifier et protéger dans l’Explorateur de fichiers Windows

pour masquer l’option de menu classifier et protéger dans l’explorateur de fichiers Windows, créez le nom de valeur DWORD suivant (avec toutes les données de la valeur) :

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable

Pour plus d’informations, consultez utilisation de l’Explorateur de fichiers pour classifier des fichiers.

Afficher la barre Information Protection dans les applications Office

cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

par défaut, les utilisateurs doivent sélectionner l’option afficher la barre à partir du bouton sensibilité pour afficher la barre de Information Protection dans Office applications. Utilisez la clé HideBarByDefault et définissez la valeur sur false pour afficher automatiquement cette barre pour les utilisateurs afin qu’ils puissent sélectionner des étiquettes à partir de la barre ou du bouton.

Pour la stratégie d’étiquette sélectionnée, spécifiez les chaînes suivantes :

  • Clé : HideBarByDefault

  • Valeur : False

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{HideBarByDefault="False"}

exempter les messages Outlook de l’étiquetage obligatoire

cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Par défaut, lorsque vous activez le paramètre de stratégie étiquette tous les documents et e-mails doivent avoir une étiquette, tous les documents enregistrés et les e-mails envoyés doivent avoir une étiquette appliquée. quand vous configurez le paramètre avancé suivant, le paramètre de stratégie s’applique uniquement aux documents Office et non aux messages Outlook.

Pour la stratégie d’étiquette sélectionnée, spécifiez les chaînes suivantes :

  • Clé : DisableMandatoryInOutlook

  • Valeur : true

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{DisableMandatoryInOutlook="True"}

cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Quand vous configurez une étiquette pour la classification recommandée, les utilisateurs sont invités à accepter ou ignorer l’étiquette recommandée dans Word, Excel et PowerPoint. Ce paramètre affiche également cette recommandation d’étiquette dans Outlook.

Pour la stratégie d’étiquette sélectionnée, spécifiez les chaînes suivantes :

  • Clé : OutlookRecommendationEnabled

  • Valeur : true

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookRecommendationEnabled="True"}

Activer la suppression de la protection des fichiers compressés

cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Quand vous configurez ce paramètre, l’applet de commande PowerShell Set-AIPFileLabel est activée pour permettre la suppression de la protection des fichiers PST, rar et 7zip.

  • Clé : EnableContainerSupport

  • Valeur : true

Exemple de commande PowerShell dans laquelle votre stratégie est activée :

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}

Définir une autre étiquette par défaut pour Outlook

cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

quand vous configurez ce paramètre, Outlook n’applique pas l’étiquette par défaut qui est configurée en tant que paramètre de stratégie pour l’option appliquer cette étiquette par défaut aux documents et aux e-mails. Au lieu de cela, Outlook peut appliquer une autre étiquette par défaut ou ne rien appliquer.

Pour la stratégie d’étiquette sélectionnée, spécifiez les chaînes suivantes :

  • Clé : OutlookDefaultLabel

  • Valeur : <label GUID> ou aucun

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookDefaultLabel="None"}

Changer les types de fichiers à protéger

ces configurations utilisent un paramètre avancé de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

par défaut, le Azure Information Protection client d’étiquetage unifié protège tous les types de fichiers, et le scanneur du client protège uniquement Office types de fichiers et les fichiers PDF.

Vous pouvez modifier ce comportement par défaut pour une stratégie d’étiquette sélectionnée, en spécifiant l’un des éléments suivants :

PFileSupportedExtension

  • Clé : PFileSupportedExtensions

  • Ajoutée <string value>

Utilisez le tableau suivant pour identifier la valeur de chaîne à spécifier :

Valeur de chaîne Client Scanneur
* Valeur par défaut : appliquer la protection à tous les types de fichiers Appliquer la protection à tous les types de fichiers
ConvertTo-JSON (« .jpg », « .png ») en plus de Office types de fichiers et des fichiers PDF, appliquer la protection aux extensions de nom de fichier spécifiées en plus de Office types de fichiers et des fichiers PDF, appliquer la protection aux extensions de nom de fichier spécifiées

Exemple 1: commande PowerShell pour le scanneur afin de protéger tous les types de fichiers, où votre stratégie d’étiquette est nommée « scanner » :

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

exemple 2: commande PowerShell pour le scanneur afin de protéger les fichiers de .txt et les fichiers de .csv en plus des fichiers de Office et des fichiers PDF, où votre stratégie d’étiquette est nommée « scanner » :

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}

Ce paramètre vous permet de modifier les types de fichiers protégés, mais vous ne pouvez pas modifier le niveau de protection par défaut de natif à générique. par exemple, pour les utilisateurs qui exécutent le client d’étiquetage unifié, vous pouvez modifier le paramètre par défaut afin que seuls les fichiers Office et les fichiers PDF soient protégés au lieu de tous les types de fichiers. Toutefois, vous ne pouvez pas modifier ces types de fichiers pour qu’ils soient protégés de manière générique avec l’extension de nom de fichier. pfile.

AdditionalPPrefixExtensions

Le client d’étiquetage unifié prend en charge la modification <EXT> . PFILE à P à <EXT> l’aide de la propriété Advanced, AdditionalPPrefixExtensions. Cette propriété avancée est prise en charge à partir de l’Explorateur de fichiers, de PowerShell et du scanneur. Toutes les applications ont un comportement similaire.

  • Clé : AdditionalPPrefixExtensions

  • Ajoutée <string value>

Utilisez le tableau suivant pour identifier la valeur de chaîne à spécifier :

Valeur de chaîne Client et scanneur
* Toutes les extensions PFile deviennent P<EXT>
<null value> La valeur par défaut se comporte comme la valeur de protection par défaut.
ConvertTo-JSON (". DWG", ".zip") En plus de la liste précédente, « . dwg » et « .zip » deviennent P<EXT>

Avec ce paramètre, les extensions suivantes deviennent toujours P <EXT>: « .txt », « .xml », « .bmp », « . JT », « .jpg », « . jpeg », « . jpe », « . JIF », « . jfif », « . JFI », « .png », « . TIF », « . TIFF », « .gif »). L’exclusion notable est que « PTXT » ne devient pas « txt. pfile ».

AdditionalPPrefixExtensions fonctionne uniquement si la protection de fichiers pfile avec la propriété Advanced- PFileSupportedExtension est activée.

Exemple 1: une commande PowerShell se comporte comme le comportement par défaut où protéger « . DWG » devient « . dwg. pfile » :

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}

Exemple 2: commande PowerShell permettant de remplacer toutes les extensions PFile de la protection générique (DWG. PFile) par la protection native (. PDWG) lorsque les fichiers sont protégés :

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}

Exemple 3: commande PowerShell pour modifier « . dwg » en « . PDWG » lors de l’utilisation de ce service, Protégez ce fichier :

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}

Supprimer « Pas maintenant » pour les documents quand vous utilisez l’étiquetage obligatoire

cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

quand vous utilisez le paramètre de stratégie étiquette de tous les documents et e-mails doit avoir une étiquette, les utilisateurs sont invités à sélectionner une étiquette lorsqu’ils enregistrent pour la première fois un document Office et lorsqu’ils envoient un message électronique à partir de Outlook.

Pour les documents, les utilisateurs peuvent sélectionner Pas maintenant pour ignorer temporairement l’invite à sélectionner une étiquette et revenir au document. En revanche, ils ne peuvent pas fermer le document enregistré sans l’étiqueter.

Quand vous configurez le paramètre PostponeMandatoryBeforeSave , l’option Not Now est supprimée, de sorte que les utilisateurs doivent sélectionner une étiquette lorsque le document est enregistré pour la première fois.

Conseil

Le paramètre PostponeMandatoryBeforeSave garantit également que les documents partagés sont étiquetés avant d’être envoyés par courrier électronique.

Par défaut, même si tous les documents et e-mails doivent avoir une étiquette activée dans votre stratégie, les utilisateurs sont promus uniquement vers des fichiers d’étiquette associés à des messages électroniques à partir de Outlook.

Pour la stratégie d’étiquette sélectionnée, spécifiez les chaînes suivantes :

  • Clé : PostponeMandatoryBeforeSave

  • Valeur : False

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{PostponeMandatoryBeforeSave="False"}

Supprimer les en-têtes et les pieds de page d’autres solutions d’étiquetage

cette configuration utilise des paramètres avancés de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Il existe deux méthodes pour supprimer des classifications d’autres solutions d’étiquetage :

Paramètre Description
WordShapeNameToRemove Supprime toute forme des documents Word où le nom de la forme correspond au nom défini dans la propriété avancée WordShapeNameToRemove .

Pour plus d’informations, consultez utiliser la propriété avancée WordShapeNameToRemove.
RemoveExternalContentMarkingInApp

ExternalContentMarkingToRemove
vous permet de supprimer ou de remplacer des en-têtes ou des pieds de page textuels à partir de documents Word, Excel et PowerPoint.

Pour plus d'informations, consultez les pages suivantes :
- Utiliser la propriété avancée RemoveExternalContentMarkingInApp
- Comment configurer ExternalContentMarkingToRemove.

Utiliser la propriété avancée WordShapeNameToRemove

La propriété avancée WordShapeNameToRemove est prise en charge à partir de la version 2.6.101.0 et supérieure

Ce paramètre vous permet de supprimer ou de remplacer des étiquettes basées sur des formes de documents Word lorsque ces marquages visuels ont été appliqués par une autre solution d’étiquetage. Par exemple, la forme contient le nom d’une ancienne étiquette que vous avez maintenant migrée vers des étiquettes de sensibilité pour utiliser un nouveau nom d’étiquette et sa propre forme.

Pour utiliser cette propriété avancée, vous devez rechercher le nom de la forme dans le document Word, puis les définir dans la liste de propriétés avancées WordShapeNameToRemove des formes. Le service supprime toutes les formes dans Word qui commencent par un nom défini dans la liste des formes de cette propriété avancée.

Évitez de supprimer les formes qui contiennent le texte que vous souhaitez ignorer, en définissant le nom de toutes les formes à supprimer et évitez de vérifier le texte dans toutes les formes, ce qui est un processus gourmand en ressources.

Notes

dans Microsoft Word, les formes peuvent être supprimées soit en définissant le nom des formes, soit par son texte, mais pas les deux. Si la propriété WordShapeNameToRemove est définie, toutes les configurations définies par la valeur de ExternalContentMarkingToRemove sont ignorées.

Pour rechercher le nom de la forme que vous utilisez et souhaitez exclure:

  1. Dans Word, affichez le volet de sélection : onglet dossier de démarrage > groupe édition > Sélectionnez l’option > volet sélection.

  2. Sélectionnez la forme sur la page que vous souhaitez marquer pour suppression. Le nom de la forme que vous marquez est maintenant mis en surbrillance dans le volet de sélection .

Utilisez le nom de la forme pour spécifier une valeur de chaîne pour la clé * * * * WordShapeNameToRemove * * * *.

Exemple : le nom de la forme est DC. Pour supprimer la forme portant ce nom, spécifiez la valeur : dc.

  • Clé : WordShapeNameToRemove

  • Valeur : <Word shape name>

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{WordShapeNameToRemove="dc"}

Lorsque vous avez plusieurs formes de mot à supprimer, spécifiez autant de valeurs que vous avez de formes à supprimer.

Utiliser la propriété avancée RemoveExternalContentMarkingInApp

Ce paramètre vous permet de supprimer ou de remplacer des en-têtes ou des pieds de page textuels dans des documents lorsque ces marquages visuels ont été appliqués par une autre solution d’étiquetage. Par exemple, l’ancien pied de page contient le nom d’une ancienne étiquette que vous avez maintenant migrée vers des étiquettes de sensibilité pour utiliser un nouveau nom d’étiquette et son propre pied de page.

lorsque le client d’étiquetage unifié obtient cette configuration dans sa stratégie, les anciens en-têtes et pieds de page sont supprimés ou remplacés lorsque le document est ouvert dans la application Office et toute étiquette de sensibilité est appliquée au document.

Cette configuration n’est pas prise en charge pour Outlook. Sachez également que quand vous l’utilisez avec Word, Excel et PowerPoint, elle peut affecter négativement les performances de ces applications pour les utilisateurs. La configuration vous permet de définir des paramètres par application, par exemple, rechercher du texte dans les en-têtes et les pieds de page des documents Word, mais pas dans les feuilles de calcul Excel ni dans les présentations PowerPoint.

étant donné que les critères spéciaux affectent les performances pour les utilisateurs, nous vous recommandons de limiter les types d’application Office (W ord, E X cel, P owerPoint) à ceux qui doivent être recherchés. Pour la stratégie d’étiquette sélectionnée, spécifiez les chaînes suivantes :

  • Clé : RemoveExternalContentMarkingInApp

  • Valeur : <Office application types WXP>

Exemples :

  • Pour rechercher dans des documents Word uniquement, spécifiez W.

  • Pour rechercher dans des documents Word et des présentations PowerPoint, spécifiez WP.

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInApp="WX"}

Ensuite, vous avez besoin d’au moins un paramètre client avancé de plus, ExternalContentMarkingToRemove, pour spécifier le contenu de l’en-tête ou du pied de page et comment les supprimer ou les remplacer.

Comment configurer ExternalContentMarkingToRemove

Lorsque vous spécifiez la valeur de chaîne pour la clé ExternalContentMarkingToRemove , vous disposez de trois options qui utilisent des expressions régulières. Pour chacun de ces scénarios, utilisez la syntaxe indiquée dans la colonne exemple de valeur dans le tableau suivant :

Option Exemple de description Valeur d'exemple
Correspondance partielle pour supprimer tous les éléments dans l’en-tête ou le pied de page Vos en-têtes ou pieds de page contiennent le texte de chaîne à supprimer et vous souhaitez supprimer complètement ces en-têtes ou pieds de page. *TEXT*
Terminer la correspondance pour supprimer uniquement des mots spécifiques dans l’en-tête ou le pied de page Vos en-têtes ou pieds de page contiennent le texte de chaîne à supprimer, et vous souhaitez supprimer le texte Word uniquement, en laissant la chaîne d’en-tête ou de pied de page comme à supprimer. TEXT
Terminer la correspondance pour supprimer tous les éléments de l’en-tête ou du pied de page Vos en-têtes ou pieds de page ont le texte de chaîne à supprimer. Vous voulez supprimer les en-têtes ou les pieds de page qui ont exactement cette chaîne. ^TEXT TO REMOVE$

Les caractères génériques de la chaîne que vous spécifiez sont sensibles à la casse. La longueur de chaîne maximale est de 255 caractères et ne peut pas contenir d’espaces blancs.

Étant donné que des documents peuvent contenir des caractères invisibles ou différents types d’espaces ou des tabulations, la chaîne que vous spécifiez pour une expression ou une phrase peut ne pas être détectée. Si possible, spécifiez un seul mot distinctif pour la valeur et veillez à tester les résultats avant de procéder au déploiement en production.

Pour la même stratégie d’étiquette, spécifiez les chaînes suivantes :

  • Clé : ExternalContentMarkingToRemove

  • Valeur : <string to match, defined as regular expression>

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*TEXT*"}

Pour plus d'informations, consultez les pages suivantes :

En-têtes ou pieds de page multilignes

Si un texte d’en-tête ou de pied de page prend plus d’une ligne, créez une clé et une valeur pour chaque ligne. Par exemple, si vous avez le pied de page suivant avec deux lignes :

Le fichier est classé confidentiel
Étiquette appliquée manuellement

Pour supprimer ce pied de page multiligne, vous créez les deux entrées suivantes pour la même stratégie d’étiquette :

  • Clé : ExternalContentMarkingToRemove
  • Valeur de clé 1 : * confidentiel*
  • Valeur de clé 2 : * étiquette appliquée*

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove=ConvertTo-Json("Confidential","Label applied")}

Optimisation pour PowerPoint

les en-têtes et les pieds de page de PowerPoint sont implémentés en tant que formes. Pour les types de formes msoTextBox, msoTextEffect, msoPlaceholder et msoAutoShape , les paramètres avancés suivants fournissent des optimisations supplémentaires :

En outre, le PowerPointRemoveAllShapesByShapeName peut supprimer n’importe quel type de forme, en fonction du nom de la forme.

Pour plus d’informations, consultez Rechercher le nom de la forme que vous utilisez comme en-tête ou pied de page.

évitez de supprimer des formes de PowerPoint qui contiennent du texte spécifié, et qui ne sont pas des en-têtes et des pieds de page

Pour éviter de supprimer des formes qui contiennent le texte que vous avez spécifié, mais qui ne sont pas des en-têtes ou des pieds de page, utilisez un paramètre client avancé supplémentaire nommé PowerPointShapeNameToRemove.

Nous recommandons également d’utiliser ce paramètre pour éviter de vérifier le texte dans toutes les formes, qui est un processus gourmand en ressources.

  • Si vous ne spécifiez pas ce paramètre client avancé supplémentaire et si PowerPoint est inclus dans la valeur de la clé RemoveExternalContentMarkingInApp, toutes les formes sont vérifiées à la recherche du texte que vous spécifiez dans la valeur ExternalContentMarkingToRemove.

  • Si cette valeur est spécifiée, seules les formes qui remplissent les critères de nom de forme et ont également un texte qui correspond à la chaîne fournie avec ExternalContentMarkingToRemove sera supprimée.

Par exemple :

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
Étendre la suppression du marquage externe aux dispositions personnalisées

cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Par défaut, la logique utilisée pour supprimer des marquages de contenu externes ignore les dispositions personnalisées configurées dans PowerPoint. Pour étendre cette logique aux dispositions personnalisées, affectez la valeur true à la propriété avancée RemoveExternalMarkingFromCustomLayouts .

  • Clé : RemoveExternalMarkingFromCustomLayouts

  • Valeur : true

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
Supprimer toutes les formes d’un nom de forme spécifique

si vous utilisez PowerPoint des dispositions personnalisées et que vous souhaitez supprimer toutes les formes d’un nom de forme spécifique de vos en-têtes et pieds de page, utilisez le paramètre avancé PowerPointRemoveAllShapesByShapeName , avec le nom de la forme que vous souhaitez supprimer.

L’utilisation du paramètre PowerPointRemoveAllShapesByShapeName ignore le texte à l’intérieur de vos formes et utilise à la place le nom de la forme pour identifier les formes que vous souhaitez supprimer.

Par exemple :

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointRemoveAllShapesByShapeName="Arrow: Right"}

Pour plus d'informations, consultez les pages suivantes :

  1. Dans PowerPoint, affichez le volet Sélection : onglet Mise en forme > groupe Organiser > volet sélection.

  2. Sélectionnez la forme sur la diapositive qui contient votre en-tête ou votre pied de page. Le nom de la forme sélectionnée est maintenant en surbrillance dans le volet Sélection.

Utilisez le nom de la forme afin de spécifier une valeur de chaîne pour la clé PowerPointShapeNameToRemove.

Exemple: le nom de la forme est FC. Pour supprimer la forme portant ce nom, spécifiez la valeur : fc.

  • Clé : PowerPointShapeNameToRemove

  • Valeur : <PowerPoint shape name>

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}

lorsque vous avez plusieurs formes de PowerPoint à supprimer, spécifiez autant de valeurs que vous le souhaitez pour les formes à supprimer.

Par défaut, seuls les en-têtes et les pieds de page qui se trouvent dans les diapositives principales sont recherchés. Pour étendre cette recherche à toutes les diapositives, processus beaucoup plus gourmand en ressources, utilisez un paramètre client avancé supplémentaire nommé RemoveExternalContentMarkingInAllSlides:

  • Clé : RemoveExternalContentMarkingInAllSlides

  • Valeur : true

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInAllSlides="True"}
Supprimer le marquage de contenu externe des dispositions personnalisées dans PowerPoint

cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Par défaut, la logique utilisée pour supprimer des marquages de contenu externes ignore les dispositions personnalisées configurées dans PowerPoint. Pour étendre cette logique aux dispositions personnalisées, affectez la valeur true à la propriété avancée RemoveExternalMarkingFromCustomLayouts .

  • Clé : RemoveExternalMarkingFromCustomLayouts

  • Valeur : true

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}

Désactiver les autorisations personnalisées dans l’Explorateur de fichiers

cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Par défaut, les utilisateurs voient une option nommée protéger avec des autorisations personnalisées lorsqu’ils cliquent avec le bouton droit dans l’Explorateur de fichiers et choisissent classer et protéger. Cette option permet de définir leurs propres paramètres de protection qui peuvent remplacer tous les paramètres de protection que vous pouvez avoir inclus dans une configuration d’étiquette. Les utilisateurs peuvent voir également une option pour supprimer la protection. Quand vous configurez ce paramètre, les utilisateurs ne voient pas ces options.

Pour configurer ce paramètre avancé, entrez les chaînes suivantes pour la stratégie d’étiquette sélectionnée :

  • Clé : EnableCustomPermissions

  • Valeur : False

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

Pour les fichiers protégés avec des autorisations personnalisées, toujours afficher des autorisations personnalisées aux utilisateurs dans l’Explorateur de fichiers

cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Quand vous configurez le paramètre client avancé pour Désactiver les autorisations personnalisées dans l’Explorateur de fichiers, par défaut, les utilisateurs ne sont pas en mesure d’afficher ou de modifier les autorisations personnalisées qui sont déjà définies dans un document protégé.

Toutefois, il existe un autre paramètre de client avancé que vous pouvez spécifier afin que dans ce scénario, les utilisateurs puissent afficher et modifier des autorisations personnalisées pour un document protégé lorsqu’ils utilisent l’Explorateur de fichiers et cliquer avec le bouton droit sur le fichier.

Pour configurer ce paramètre avancé, entrez les chaînes suivantes pour la stratégie d’étiquette sélectionnée :

  • Clé : EnableCustomPermissionsForCustomProtectedFiles

  • Valeur : true

Exemple de commande PowerShell :

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}

Pour les e-mails avec des pièces jointes, appliquez une étiquette qui correspond à la classification la plus élevée de ces pièces jointes

cette configuration utilise des paramètres avancés de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Ce paramètre est destiné aux utilisateurs qui joignent des documents étiquetés à un courrier électronique et n’étiquettent pas le message électronique lui-même. Dans ce scénario, une étiquette est automatiquement sélectionnée pour eux, en fonction des étiquettes de classification appliquées aux pièces jointes. L’étiquette classification la plus élevée est sélectionnée.

la pièce jointe doit être un fichier physique et ne peut pas être un lien vers un fichier (par exemple, un lien vers un fichier sur Microsoft SharePoint ou OneDrive).

Vous pouvez configurer ce paramètre sur recommandé, afin que les utilisateurs soient invités à appliquer l’étiquette sélectionnée à leur message électronique, avec une info-bulle personnalisable. Les utilisateurs peuvent accepter la recommandation ou l’ignorer. Ou bien, vous pouvez configurer ce paramètre sur automatique, où l’étiquette sélectionnée est automatiquement appliquée, mais les utilisateurs peuvent supprimer l’étiquette ou sélectionner une autre étiquette avant d’envoyer l’e-mail.

Notes

Lorsque la pièce jointe avec l’étiquette de classification la plus élevée est configurée pour la protection avec le paramètre des autorisations définies par l’utilisateur :

  • lorsque les autorisations définies par l’utilisateur de l’étiquette incluent Outlook (ne pas transférer), cette étiquette est sélectionnée et la protection ne pas transférer est appliquée à l’e-mail.
  • lorsque les autorisations définies par l’utilisateur de l’étiquette sont uniquement pour Word, Excel, PowerPoint et l’explorateur de fichiers, cette étiquette n’est pas appliquée au message électronique et aucune n’est la protection.

Pour configurer ce paramètre avancé, entrez les chaînes suivantes pour la stratégie d’étiquette sélectionnée :

  • Clé 1 : AttachmentAction

  • Valeur de clé 1 : recommandé ou automatique

  • Clé 2 : AttachmentActionTip

  • Valeur de clé 2 : « <customized tooltip> »

L’info-bulle personnalisée ne prend en charge qu’une seule langue.

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{AttachmentAction="Automatic"}

Ajouter « Signaler un problème » pour les utilisateurs

cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Quand vous spécifiez le paramètre client avancé suivant, les utilisateurs voient une option Signaler un problème qu’ils peuvent sélectionner dans la boîte de dialogue Aide et commentaires du client. Spécifiez une chaîne HTTP pour le lien. (par exemple, une page web personnalisée permettant aux utilisateurs de signaler des problèmes, ou une adresse e-mail qui pointe vers votre support technique).

Pour configurer ce paramètre avancé, entrez les chaînes suivantes pour la stratégie d’étiquette sélectionnée :

  • Clé : ReportAnIssueLink

  • Ajoutée <HTTP string>

Exemple de valeur pour un site web : https://support.contoso.com

Exemple de valeur pour une adresse e-mail : mailto:helpdesk@contoso.com

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}

Implémenter des messages contextuels dans Outlook qui avertissent, demandent une justification ou bloquent l’envoi des e-mails

cette configuration utilise des paramètres avancés de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Quand vous créez et que vous configurez les paramètres client avancés suivants, les utilisateurs voient des messages contextuels dans Outlook qui peuvent les avertir avant d’envoyer un e-mail, leur demander de justifier la raison pour laquelle ils envoient un e-mail ou les empêcher d’envoyer un e-mail pour un des scénarios suivants :

  • Leur e-mail ou la pièce jointe à leur e-mail a une étiquette spécifique :

    • La pièce jointe peut être n’importe quel type de fichier
  • Leur e-mail ou leur pièce jointe à l’e-mail n’a pas d’étiquette :

    • La pièce jointe peut être un document Office ou un document PDF

Lorsque ces conditions sont remplies, l’utilisateur voit un message contextuel avec l’une des actions suivantes :

Type Description
Viendra L’utilisateur peut confirmer et envoyer, ou bien annuler.
Prouver L’utilisateur est invité à confirmer la justification (options prédéfinies ou formulaire libre) et l’utilisateur peut alors envoyer ou annuler l’e-mail.
Le texte de la justification est écrit dans l’en-tête x de l’e-mail, afin qu’il puisse être lu par d’autres systèmes, tels que les services de protection contre la perte de données (DLP).
Bloquer L’utilisateur ne peut pas envoyer l’e-mail tant que la condition perdure.
Le message contient la raison du blocage de l’e-mail pour que l’utilisateur puisse résoudre le problème,
par exemple supprimer des destinataires spécifiques ou appliquer une étiquette à l’e-mail.

Quand les messages contextuels concernent une étiquette spécifique, vous pouvez configurer des exceptions pour les destinataires par nom de domaine.

pour obtenir un exemple de procédure pas à pas de configuration de ces paramètres, consultez la vidéo Azure Information Protection Outlook Configuration contextuelle .

Conseil

pour garantir l’affichage des fenêtres contextuelles même lorsque les documents sont partagés en dehors de Outlook (fichier > partage > joindre une copie), configurez également le paramètre avancé PostponeMandatoryBeforeSave .

Pour plus d'informations, consultez les pages suivantes :

Pour implémenter les messages contextuels avertir, justifier ou bloquer pour des étiquettes spécifiques

Pour la stratégie sélectionnée, créez un ou plusieurs des paramètres avancés suivants avec les clés suivantes. Pour les valeurs, spécifiez une ou plusieurs étiquettes par leur GUID, chacune séparée par une virgule.

Exemple de valeur pour plusieurs GUID d’étiquette sous la forme d’une chaîne séparée par des virgules :

dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
type de message Clé/valeur
Viendra Clé : OutlookWarnUntrustedCollaborationLabel

Valeur : <label GUIDs, comma-separated>
Prouver Clé : OutlookJustifyUntrustedCollaborationLabel

Valeur : <label GUIDs, comma-separated>
Bloquer Clé : OutlookBlockUntrustedCollaborationLabel

Valeur : <label GUIDs, comma-separated>

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e,b6d21387-5d34-4dc8-90ae-049453cec5cf,bb48a6cb-44a8-49c3-9102-2d2b017dcead,74591a94-1e0e-4b5d-b947-62b70fc0f53a,6c375a97-2b9b-4ccd-9c5b-e24e4fd67f73"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyUntrustedCollaborationLabel="dc284177-b2ac-4c96-8d78-e3e1e960318f,d8bb73c3-399d-41c2-a08a-6f0642766e31,750e87d4-0e91-4367-be44-c9c24c9103b4,32133e19-ccbd-4ff1-9254-3a6464bf89fd,74348570-5f32-4df9-8a6b-e6259b74085b,3e8d34df-e004-45b5-ae3d-efdc4731df24"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockUntrustedCollaborationLabel="0eb351a6-0c2d-4c1d-a5f6-caa80c9bdeec,40e82af6-5dad-45ea-9c6a-6fe6d4f1626b"}

Pour une personnalisation plus poussée, vous pouvez également exempter les noms de domaine pour les messages contextuels configurés pour des étiquettes spécifiques.

Notes

Les paramètres avancés de cette section (OutlookWarnUntrustedCollaborationLabel, OutlookJustifyUntrustedCollaborationLabel et OutlookBlockUntrustedCollaborationLabel) concernent le moment où une étiquette spécifique est en cours d’utilisation.

Pour implémenter des messages contextuels par défaut pour le contenu unlabled , utilisez le paramètre avancé OutlookUnlabeledCollaborationAction . Pour personnaliser vos messages contextuels pour un contenu sans étiquette, utilisez un fichier . JSON pour définir vos paramètres avancés.

pour plus d’informations, consultez personnaliser Outlook messages contextuels.

Conseil

pour vous assurer que vos messages de bloc s’affichent en fonction des besoins, même pour un destinataire situé à l’intérieur d’une liste de distribution Outlook, veillez à ajouter le paramètre avancé EnableOutlookDistributionListExpansion .

Pour exempter les noms de domaine pour les messages contextuels configurés pour des étiquettes spécifiques

Pour les étiquettes que vous avez spécifiées avec ces messages contextuels, vous pouvez exempter des noms de domaine spécifiques afin que les utilisateurs ne voient pas les messages pour les destinataires qui ont ce nom de domaine inclus dans leur adresse de messagerie. Dans ce cas, les e-mails sont envoyés sans qu’un message interrompe le processus. Pour spécifier plusieurs domaines, ajoutez-les sous la forme d’une seule chaîne, en les séparant par des virgules.

Une configuration typique consiste à afficher les messages contextuels seulement pour les destinataires qui sont externes à votre organisation ou qui ne sont pas des partenaires autorisés de votre organisation. Dans ce cas, vous spécifiez tous les domaines de messagerie utilisés par votre organisation et par vos partenaires.

Pour la même stratégie d’étiquette, créez les paramètres client avancés suivants et, pour la valeur, spécifiez un ou plusieurs domaines, chacun étant séparé par une virgule.

Exemple de valeur pour plusieurs domaines sous forme de chaîne séparée par des virgules : contoso.com,fabrikam.com,litware.com

type de message Clé/valeur
Viendra Clé : OutlookWarnTrustedDomains

Ajoutée <domain names, comma separated>
Prouver Clé : OutlookJustifyTrustedDomains

Ajoutée <domain names, comma separated>
Bloquer Clé : OutlookBlockTrustedDomains

Ajoutée <domain names, comma separated>

Par exemple, supposons que vous avez spécifié le paramètre client avancé OutlookBlockUntrustedCollaborationLabel pour l’étiquette confidentiel \ tous les employés .

Vous spécifiez maintenant le paramètre de client avancé supplémentaire OutlookBlockTrustedDomains avec contoso.com. Par conséquent, un utilisateur peut envoyer un e-mail à john@sales.contoso.com lorsqu’il est étiqueté confidentiel \ tous les employés, mais qu’il ne pourra pas envoyer un e-mail avec la même étiquette à un compte gmail.

Exemples de commandes PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockTrustedDomains="contoso.com"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyTrustedDomains="contoso.com,fabrikam.com,litware.com"}

Notes

pour vous assurer que vos messages de bloc s’affichent en fonction des besoins, même pour un destinataire situé à l’intérieur d’une liste de distribution Outlook, veillez à ajouter le paramètre avancé EnableOutlookDistributionListExpansion .

Pour implémenter les messages contextuels d’avertissement, de justification ou de blocage pour les e-mails ou les pièces jointes qui n’ont pas d’étiquette

Pour la même stratégie d’étiquette, créez le paramètre de client avancé suivant avec l’une des valeurs suivantes :

type de message Clé/valeur
Viendra Clé : OutlookUnlabeledCollaborationAction

Valeur : avertir
Prouver Clé : OutlookUnlabeledCollaborationAction

Valeur : justifier
Bloquer Clé : OutlookUnlabeledCollaborationAction

Valeur : bloquer
Désactiver ces messages Clé : OutlookUnlabeledCollaborationAction

Valeur : désactivé

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Warn"}

Pour plus d’informations sur la personnalisation, consultez :

Pour définir des extensions de nom de fichier spécifiques pour les messages contextuels avertir, justifier ou bloquer pour les pièces jointes qui n’ont pas d’étiquette

par défaut, les messages contextuels avertir, justifier ou bloquer s’appliquent à tous les documents Office et documents PDF. Vous pouvez affiner cette liste en spécifiant les extensions de nom de fichier qui doivent afficher les messages d’avertissement, justifier ou bloquer avec un paramètre avancé supplémentaire et une liste séparée par des virgules des extensions de nom de fichier.

Exemple de valeur pour plusieurs extensions de nom de fichier à définir en tant que chaîne séparée par des virgules : .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM

Dans cet exemple, un document PDF sans étiquette n’a pas pour effet d’avertir, de justifier ou de bloquer les messages contextuels.

Pour la même stratégie d’étiquette, entrez les chaînes suivantes :

  • Clé : OutlookOverrideUnlabeledCollaborationExtensions

  • Ajoutée <file name extensions to display messages, comma separated>

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.PPT,.PPTX,.PPTM"}

Pour spécifier une action différente pour les messages électroniques sans pièces jointes

Par défaut, la valeur que vous spécifiez pour OutlookUnlabeledCollaborationAction pour avertir, justifier ou bloquer les messages contextuels s’applique aux e-mails ou pièces jointes qui n’ont pas d’étiquette.

Vous pouvez affiner cette configuration en spécifiant un autre paramètre avancé pour les messages électroniques qui n’ont pas de pièces jointes.

Créez le paramètre client avancé suivant avec une des valeurs suivantes :

type de message Clé/valeur
Viendra Clé : OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Valeur : avertir
Prouver Clé : OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Valeur : justifier
Bloquer Clé : OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Valeur : bloquer
Désactiver ces messages Clé : OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Valeur : désactivé

Si vous ne spécifiez pas ce paramètre client, la valeur que vous spécifiez pour OutlookUnlabeledCollaborationAction est utilisée pour les messages électroniques sans étiquette, et les messages électroniques sans étiquette avec pièces jointes.

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior="Warn"}

développer les listes de distribution Outlook lors de la recherche de destinataires de courrier électronique

cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

pour étendre la prise en charge d’autres paramètres avancés aux destinataires dans Outlook listes de distribution, définissez le paramètre avancé EnableOutlookDistributionListExpansion sur true.

  • Clé : EnableOutlookDistributionListExpansion
  • Valeur : true

par exemple, si vous avez configuré les paramètres OutlookBlockTrustedDomains, OutlookBlockUntrustedCollaborationLabel advanced, et que vous configurez également le paramètre EnableOutlookDistributionListExpansion , Outlook est activé pour étendre la liste de distribution afin de garantir qu’un message de blocage s’affiche si nécessaire.

Le délai d’expiration par défaut pour le développement de la liste de distribution est de 2000 millisecondes.

Pour modifier ce délai d’attente, créez le paramètre avancé suivant pour la stratégie sélectionnée :

  • Clé : OutlookGetEmailAddressesTimeOutMSProperty
  • Valeur : entier, en millisecondes

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{
  EnableOutlookDistributionListExpansion="true"
  OutlookGetEmailAddressesTimeOutMSProperty="3000"
}

empêcher l’envoi de données d’audit à AIP et Microsoft 365 analytics

Par défaut, le client d’étiquetage unifié Azure Information Protection prend en charge la création de rapports centraux et envoie ses données d’audit à :

Pour modifier ce comportement, afin que les données d’audit ne soient pas envoyées, procédez comme suit :

  1. ajoutez le paramètre avancé de stratégie suivant à l’aide de la Office 365 Security & Compliance Center PowerShell :

    • Clé : EnableAudit

    • Valeur : False

    Par exemple, si votre stratégie d’étiquette est nommée « global » :

    Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}
    

    Notes

    Par défaut, ce paramètre avancé n’est pas présent dans la stratégie et les journaux d’audit sont envoyés.

  2. Dans tous les ordinateurs clients Azure Information Protection, supprimez le dossier suivant : %LocalAppData%\Microsoft\MSIP\mip

Pour permettre au client de renvoyer les données du journal d’audit, attribuez la valeur true au paramètre avancé. Vous n’avez pas besoin de créer manuellement le dossier %LocalAppData%\Microsoft\MSIP\mip sur vos ordinateurs clients.

Envoyer les correspondances de type d’informations à Azure Information Protection Analytics

cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Par défaut, le client d’étiquetage unifié n’envoie pas de correspondances de contenu pour les types d’informations sensibles à Azure information protection Analytics. Pour plus d’informations sur ces informations supplémentaires qui peuvent être envoyées, consultez la section correspondances de contenu pour une analyse plus poussée dans la documentation du centre de création de rapports.

Pour envoyer des correspondances de contenu lors de l’envoi de types d’informations sensibles, créez le paramètre de client avancé suivant dans une stratégie d’étiquette :

  • Clé : LogMatchedContent

  • Valeur : true

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}

Limiter la consommation de l’UC

Depuis la version 2.7. x. x du scanner, nous vous recommandons de limiter la consommation de l’UC à l’aide des paramètres avancés ScannerMaxCPU et ScannerMinCPU suivants.

Important

Lorsque la stratégie de limitation de threads suivante est utilisée, les paramètres avancés ScannerMaxCPU et ScannerMinCPU sont ignorés. Pour limiter la consommation de l’UC à l’aide des paramètres avancés ScannerMaxCPU et ScannerMinCPU , annulez l’utilisation des stratégies qui limitent le nombre de threads.

cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Pour limiter la consommation de l’UC sur l’ordinateur du scanneur, il est gérable en créant deux paramètres avancés :

  • ScannerMaxCPU:

    Défini sur 100 par défaut, ce qui signifie qu’il n’y a pas de limite de consommation maximale de l’UC. Dans ce cas, le processus du scanneur essaiera d’utiliser tout le temps processeur disponible pour optimiser les taux d’analyse.

    Si vous affectez à ScannerMaxCPU une valeur inférieure à 100, le scanneur surveille la consommation du processeur au cours des 30 dernières minutes. Si le processeur moyen a dépassé la limite que vous avez définie, il va commencer à réduire le nombre de threads alloués aux nouveaux fichiers.

    La limite du nombre de threads se poursuit tant que la consommation du processeur est supérieure à la limite définie pour ScannerMaxCPU.

  • ScannerMinCPU:

    Activé uniquement si ScannerMaxCPU n’est pas égal à 100 et ne peut pas être défini sur un nombre supérieur à la valeur ScannerMaxCPU . Nous vous recommandons de laisser ScannerMinCPU définir au moins 15 points inférieurs à la valeur de ScannerMaxCPU.

    Défini sur 50 par défaut, ce qui signifie que si la consommation du processeur au cours des 30 dernières minutes est inférieure à cette valeur, le scanneur commence à ajouter de nouveaux threads pour analyser plus de fichiers en parallèle, jusqu’à ce que la consommation du processeur atteigne le niveau que vous avez défini pour ScannerMaxCPU-15.

Limiter le nombre de threads utilisés par le scanneur

Important

Lorsque la stratégie de limitation de threads suivante est utilisée, les paramètres avancés ScannerMaxCPU et ScannerMinCPU sont ignorés. Pour limiter la consommation de l’UC à l’aide des paramètres avancés ScannerMaxCPU et ScannerMinCPU , annulez l’utilisation des stratégies qui limitent le nombre de threads.

cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Par défaut, le scanneur utilise toutes les ressources du processeur disponibles sur l’ordinateur exécutant le service du scanneur. Si vous devez limiter la consommation du processeur pendant l’analyse de ce service, créez le paramètre avancé suivant dans une stratégie d’étiquette.

Pour la valeur, spécifiez le nombre de threads simultanés que le scanneur peut exécuter en parallèle. Comme le scanneur utilise un thread distinct pour chaque fichier qu’il analyse, cette configuration de limitation définit donc le nombre de fichiers pouvant être analysés en parallèle.

Lorsque vous configurez tout d’abord la valeur pour le test, nous vous recommandons de spécifier 2 par cœur, puis de surveiller les résultats. Par exemple, si vous exécutez le scanneur sur un ordinateur disposant de 4 cœurs, définissez tout d’abord la valeur 8. Si nécessaire, augmentez ou diminuez ce nombre, selon les performances qui vous sont nécessaires pour l’ordinateur du scanneur et votre fréquence d’analyse.

  • Clé : ScannerConcurrencyLevel

  • Ajoutée <number of concurrent threads>

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « scanner » :

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}

Migrer des étiquettes de Secure Islands et d’autres solutions d’étiquetage

cette configuration utilise un paramètre avancé d’étiquette que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Cette configuration n’est pas compatible avec les fichiers PDF protégés qui ont une extension de nom de fichier. ppdf. Ces fichiers ne peuvent pas être ouverts par le client à l’aide de l’Explorateur de fichiers ou de PowerShell.

pour les documents Office qui sont étiquetés par des îlots sécurisés, vous pouvez réétiqueter ces documents avec une étiquette de sensibilité à l’aide d’un mappage que vous définissez. Cette méthode permet également de réutiliser les étiquettes d’autres solutions qui se trouvent sur des documents Office.

À la suite de cette option de configuration, la nouvelle étiquette de sensibilité est appliquée par le client d’étiquetage unifié Azure Information Protection comme suit :

  • pour les documents Office: quand le document est ouvert dans l’application de bureau, la nouvelle étiquette de sensibilité est indiquée comme définie et appliquée lorsque le document est enregistré.

  • Pour PowerShell: Set-AIPFileLabel et Set-AIPFileClassificiation peuvent appliquer la nouvelle étiquette de sensibilité.

  • Pour l’Explorateur de fichiers: dans la boîte de dialogue Azure information protection, la nouvelle étiquette de sensibilité est affichée, mais n’est pas définie.

Cette configuration nécessite que vous spécifiiez un paramètre avancé nommé labelByCustomProperties pour chaque étiquette de sensibilité que vous souhaitez mapper à l’ancienne étiquette. Ensuite, définissez la valeur à utiliserpour chaque entrée avec la syntaxe suivante :

[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]

Spécifiez votre choix d’un nom de règle de migration. Utilisez un nom descriptif qui vous aide à identifier la manière dont une ou plusieurs étiquettes de votre solution d’étiquetage précédente doivent être mappées à l’étiquette de sensibilité.

Notez que ce paramètre ne supprime pas l’étiquette d’origine du document ni les marquages visuels du document que l’étiquette d’origine a éventuellement appliqués. Pour supprimer des en-têtes et des pieds de page, consultez Supprimer les en-têtes et les pieds de page d’autres solutions d’étiquetage.

Exemples :

Pour une personnalisation supplémentaire, consultez :

Notes

Si vous effectuez une migration à partir de vos étiquettes à travers les locataires, par exemple après une fusion d’entreprise, nous vous recommandons de lire notre billet de blog sur fusions et Spinoffs pour plus d’informations.

Exemple 1 : mappage du même nom d’étiquette

Exigence : les documents qui ont une étiquette des îlots sécurisés « confidentiel » doivent être réétiquetés comme « confidentiels » par Azure Information Protection.

Dans cet exemple :

  • L’étiquette Secure Islands s’appelle Confidentiel et est stockée dans la propriété personnalisée nommée Classification.

Paramètre avancé :

  • Clé : labelByCustomProperties

  • Valeur : l' étiquette des îlots sécurisés est confidentielle, classification, confidentiel

Exemple de commande PowerShell, où votre étiquette est nommée « Confidential » :

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Confidential,Classification,Confidential"}

Exemple 2 : un mappage pour un autre nom d’étiquette

Exigence : les documents intitulés « sensibles » par les îles sécurisées doivent être renommés comme « hautement confidentiels » par Azure Information Protection.

Dans cet exemple :

  • L’étiquette Secure Islands s’appelle Sensible et est stockée dans la propriété personnalisée nommée Classification.

Paramètre avancé :

  • Clé : labelByCustomProperties

  • Valeur : l' étiquette des îlots sécurisés est sensible, classification, sensible

Exemple de commande PowerShell, où votre étiquette est nommée « hautement confidentiel » :

Set-Label -Identity "Highly Confidential" -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Sensitive,Classification,Sensitive"}

Exemple 3 : mappage de plusieurs noms d’étiquettes en un

Exigence : vous avez deux étiquettes de îles sécurisées qui incluent le mot « Internal » et vous souhaitez que les documents qui ont l’une de ces étiquettes des îlots sécurisés soient réétiquetés comme « général » par le client d’étiquetage unifié Azure Information Protection.

Dans cet exemple :

  • L’étiquette Secure Islands inclut le mot Interne et est stockée dans la propriété personnalisée nommée Classification.

Le paramètre client avancé :

  • Clé : labelByCustomProperties

  • Valeur : l' étiquette des îlots sécurisés contient Internal, classification. * Interne. *

Exemple de commande PowerShell, où votre étiquette est nommée « général » :

Set-Label -Identity General -AdvancedSettings @{labelByCustomProperties="Secure Islands label contains Internal,Classification,.*Internal.*"}

Exemple 4 : plusieurs règles pour la même étiquette

Lorsque vous avez besoin de plusieurs règles pour la même étiquette, définissez plusieurs valeurs de chaîne pour la même clé.

Dans cet exemple, les étiquettes des îles sécurisées nommées « confidentiel » et « secret » sont stockées dans la propriété personnalisée nommée classification et vous souhaitez que le Azure information protection client d’étiquetage unifié applique l’étiquette de sensibilité nommée « confidentiel » :

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

Étendre vos règles de migration d’étiquette aux e-mails

vous pouvez utiliser la configuration que vous avez définie avec le paramètre avancé labelByCustomProperties pour les e-mails Outlook, en plus des documents Office, en spécifiant un paramètre avancé de stratégie d’étiquette supplémentaire.

toutefois, ce paramètre a un impact négatif connu sur les performances de Outlook. par conséquent, configurez ce paramètre supplémentaire uniquement si vous avez une forte exigence pour l’entreprise et n’oubliez pas de le définir sur une valeur de chaîne null lorsque vous avez terminé la migration à partir de l’autre solution d’étiquetage.

Pour configurer ce paramètre avancé, entrez les chaînes suivantes pour la stratégie d’étiquette sélectionnée :

  • Clé : EnableLabelByMailHeader

  • Valeur : true

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelByMailHeader="True"}

étendre vos règles de migration d’étiquette à des propriétés de SharePoint

vous pouvez utiliser la configuration que vous avez définie avec le paramètre avancé labelByCustomProperties pour les propriétés de SharePoint que vous pouvez exposer en tant que colonnes aux utilisateurs en spécifiant un paramètre avancé de stratégie d’étiquette supplémentaire.

ce paramètre est pris en charge lorsque vous utilisez Word, Excel et PowerPoint.

Pour configurer ce paramètre avancé, entrez les chaînes suivantes pour la stratégie d’étiquette sélectionnée :

  • Clé : EnableLabelBySharePointProperties

  • Valeur : true

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelBySharePointProperties="True"}

Appliquer une propriété personnalisée lorsqu’une étiquette est appliquée

cette configuration utilise un paramètre avancé d’étiquette que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Il peut y avoir des scénarios lorsque vous souhaitez appliquer une ou plusieurs propriétés personnalisées à un document ou à un message électronique en plus des métadonnées appliquées par une étiquette de sensibilité.

Par exemple :

  • Vous êtes en train de migrer à partir d’une autre solution d’étiquetage, telle que des îlots sécurisés. Pour l’interopérabilité au cours de la migration, vous souhaitez que les étiquettes de sensibilité appliquent également une propriété personnalisée utilisée par l’autre solution d’étiquetage.

  • pour votre système de gestion de contenu (par exemple, SharePoint ou une solution de gestion de documents d’un autre fournisseur), vous souhaitez utiliser un nom de propriété personnalisée cohérent avec des valeurs différentes pour les étiquettes et des noms conviviaux au lieu du GUID de l’étiquette.

pour les documents Office et Outlook les e-mails que les utilisateurs enlibellént à l’aide du client d’étiquetage unifié Azure Information Protection, vous pouvez ajouter une ou plusieurs propriétés personnalisées que vous définissez. Vous pouvez également utiliser cette méthode pour le client d’étiquetage unifié pour afficher une propriété personnalisée sous la forme d’une étiquette à partir d’autres solutions pour le contenu qui n’est pas encore étiqueté par le client d’étiquetage unifié.

À la suite de cette option de configuration, toutes les propriétés personnalisées supplémentaires sont appliquées par le client d’étiquetage unifié Azure Information Protection, comme suit :

Environnement Description
documents Office Lorsque le document est étiqueté dans l’application de bureau, les propriétés personnalisées supplémentaires sont appliquées lors de l’enregistrement du document.
e-mails Outlook lorsque le message électronique est libellé dans Outlook, les propriétés supplémentaires sont appliquées à l’en-tête x lors de l’envoi de l’e-mail.
PowerShell Set-AIPFileLabel et Set-AIPFileClassificiation appliquent les propriétés personnalisées supplémentaires lorsque le document est étiqueté et enregistré.

La fonction AIPFileStatus affiche les propriétés personnalisées en tant qu’étiquette mappée si une étiquette de sensibilité n’est pas appliquée.
Explorateur de fichiers Quand l’utilisateur clique avec le bouton droit sur le fichier et applique l’étiquette, les propriétés personnalisées sont appliquées.

Cette configuration nécessite que vous spécifiiez un paramètre avancé nommé customPropertiesByLabel pour chaque étiquette de sensibilité à laquelle vous souhaitez appliquer les propriétés personnalisées supplémentaires. Ensuite, définissez la valeur à utiliserpour chaque entrée avec la syntaxe suivante :

[custom property name],[custom property value]

Important

L’utilisation d’espaces blancs dans la chaîne empêche l’application des étiquettes.

Par exemple :

Exemple 1 : ajouter une seule propriété personnalisée pour une étiquette

Exigence : les documents étiquetés comme étant « confidentiels » par le client d’étiquetage unifié Azure Information Protection doivent avoir la propriété personnalisée supplémentaire nommée « classification » avec la valeur « secret ».

Dans cet exemple :

  • L’étiquette sensibilité est nommée confidentiel et crée une propriété personnalisée nommée classification avec la valeur secret.

Paramètre avancé :

  • Clé : customPropertiesByLabel

  • Valeur : classification, secret

Exemple de commande PowerShell, où votre étiquette est nommée « Confidential » :

    Set-Label -Identity Confidential -AdvancedSettings @{customPropertiesByLabel="Classification,Secret"}

Exemple 2 : ajouter plusieurs propriétés personnalisées pour une étiquette

Pour ajouter plusieurs propriétés personnalisées pour la même étiquette, vous devez définir plusieurs valeurs de chaîne pour la même clé.

Exemple de commande PowerShell, où votre étiquette est nommée « General » et que vous souhaitez ajouter une propriété personnalisée nommée classification avec la valeur General et une deuxième propriété personnalisée nommée Sensitivity avec la valeur Internal:

Set-Label -Identity General -AdvancedSettings @{customPropertiesByLabel=ConvertTo-Json("Classification,General", "Sensitivity,Internal")}

Configurer une étiquette pour appliquer la protection S/MIME dans Outlook

cette configuration utilise des paramètres avancés d’étiquette que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Utilisez ces paramètres uniquement lorsque vous disposez d’un déploiement S/MIME opérationnel et que vous souhaitez qu’une étiquette applique automatiquement cette méthode de protection pour les e-mails plutôt que Rights Management protection à partir de Azure information protection. La protection qui en résulte est la même que lorsque l’utilisateur sélectionne manuellement les options S/MIME dans Outlook.

Configuration Clé/valeur
Signature numérique S/MIME Pour configurer un paramètre avancé pour une signature numérique S/MIME, entrez les chaînes suivantes pour l’étiquette sélectionnée :

-Clé : SMimeSign

-Valeur : true
Chiffrement S/MIME Pour configurer un paramètre avancé pour le chiffrement S/MIME, entrez les chaînes suivantes pour l’étiquette sélectionnée :

-Clé : SMimeEncrypt

-Valeur : true

Si l’étiquette que vous spécifiez est configurée pour le chiffrement, pour le client d’étiquetage unifié Azure Information Protection, la protection S/MIME remplace la protection Rights Management uniquement dans Outlook. le client continue d’utiliser les paramètres de chiffrement spécifiés pour l’étiquette dans la Centre de conformité Microsoft 365.

pour les applications Office avec étiquetage intégré, ces étiquettes ne s’affichent pas pour les utilisateurs.

si vous souhaitez que l’étiquette soit visible uniquement dans Outlook, configurez l’option ne pas transférer le chiffrement à partir de permettre aux utilisateurs d’attribuer des autorisations.

Exemples de commandes PowerShell, où votre étiquette est nommée « destinataires uniquement » :

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeSign="True"}

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeEncrypt="True"}

Spécifier une sous-étiquette par défaut pour une étiquette parent

cette configuration utilise un paramètre avancé d’étiquette que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Lorsque vous ajoutez une sous-étiquette à une étiquette, les utilisateurs ne peuvent plus appliquer l’étiquette parent à un document ou à un e-mail. Par défaut, les utilisateurs sélectionnent l’étiquette parente pour afficher les sous-étiquettes qu’elles peuvent appliquer, puis sélectionnent l’une de ces sous-étiquettes. Si vous configurez ce paramètre avancé, lorsque les utilisateurs sélectionnent l’étiquette parent, une sous-étiquette est automatiquement sélectionnée et appliquée :

  • Clé : DefaultSubLabelId

  • Ajoutée <sublabel GUID>

Exemple de commande PowerShell, où votre étiquette parente est nommée « Confidential » et la sous-étiquette « all employees » a le GUID 8faca7b8-8d20-48A3-8ea2-0f96310a848e :

Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}

Activer la classification pour qu’elle s’exécute en continu en arrière-plan

cette configuration utilise un paramètre avancé d’étiquette que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Quand vous configurez ce paramètre, il modifie le comportement par défaut de la façon dont le Azure Information Protection client d’étiquetage unifié applique les étiquettes automatiques et recommandées aux documents :

Pour Word, Excel et PowerPoint, la classification automatique s’exécute en continu en arrière-plan.

Le comportement ne change pas pour Outlook.

lorsque le Azure Information Protection client d’étiquetage unifié vérifie régulièrement les règles de condition que vous spécifiez, ce comportement active la classification et la Protection automatiques et recommandées pour les documents Office stockés dans SharePoint ou OneDrive, tant que l’enregistrement automatique est activé. Les fichiers volumineux sont également enregistrés plus rapidement, car les règles de condition ont déjà été exécutées.

Les règles des conditions ne s’exécutent pas en temps réel pendant la saisie de l’utilisateur. Elles s’exécutent plutôt à intervalles réguliers sous la forme d’une tâche en arrière-plan si le document est modifié.

Pour configurer ce paramètre avancé, entrez les chaînes suivantes :

  • Clé : RunPolicyInBackground
  • Valeur : true

Exemple de commande PowerShell :

Set-LabelPolicy -Identity PolicyName -AdvancedSettings @{RunPolicyInBackground = "true"}

Notes

Cette fonctionnalité est actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Spécifier une couleur pour l’étiquette

cette configuration utilise des paramètres avancés d’étiquette que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Utilisez ce paramètre avancé pour définir la couleur d’une étiquette. Pour spécifier la couleur, entrez un code d’triplement hexadécimal pour les composants rouge, vert et bleu (RVB) de la couleur. Par exemple, #40e0d0 est la valeur hexadécimale RVB pour turquoise.

Si vous avez besoin d’une référence pour ces codes, vous trouverez une table utile à partir de la <color> page des documents Web MSDN. Vous trouverez également ces codes dans de nombreuses applications qui vous permettent de modifier des images. Par exemple, Microsoft Paint vous permet de choisir une couleur personnalisée dans une palette et de copier les valeurs RVB qui sont automatiquement affichées.

Pour configurer le paramètre avancé pour la couleur d’un contrôle Label, entrez les chaînes suivantes pour l’étiquette sélectionnée :

  • Clé : couleur

  • Ajoutée <RGB hex value>

Exemple de commande PowerShell, où votre étiquette est nommée « public » :

Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}

Se connecter avec l’identité d’un autre utilisateur

La connexion avec plusieurs utilisateurs n’est pas prise en charge par AIP en production. Cette procédure décrit comment se connecter en tant qu’utilisateur différent à des fins de test uniquement.

vous pouvez vérifier le compte auquel vous êtes actuellement connecté à l’aide de la boîte de dialogue Microsoft Azure Information Protection : ouvrez une application Office et, sous l’onglet dossier de démarrage , sélectionnez le bouton sensibilité , puis sélectionnez aide et commentaires. Votre nom de votre compte s’affiche dans la section État du client.

Pensez à vérifier le nom de domaine du compte connecté. En effet, vous pouvez accidentellement vous connecter avec le bon nom de compte, mais avec le mauvais domaine. Un symptôme de l’utilisation d’un compte incorrect comprend l’échec du téléchargement des étiquettes ou l’affichage des étiquettes ou du comportement que vous attendez.

Pour vous connecter en tant qu’autre utilisateur:

  1. Accédez à %localappdata%\Microsoft\MSIP et supprimez le fichier TokenCache.

  2. Redémarrez les applications Office ouvertes et connectez-vous avec votre autre compte d’utilisateur. si vous ne voyez pas d’invite dans votre application Office pour vous connecter au service Azure Information Protection, revenez à la boîte de dialogue Information Protection de Microsoft Azure et sélectionnez se connecter à partir de la section état du Client mis à jour.

De plus :

Scénario Description
Toujours connecté à l’ancien compte Si le client d’étiquetage unifié Azure Information Protection est toujours connecté avec l’ancien compte après avoir effectué ces étapes, supprimez tous les cookies d’Internet Explorer, puis répétez les étapes 1 et 2.
Utilisation de l’authentification unique Si vous utilisez l’authentification unique, vous devrez vous déconnecter de Windows et vous reconnecter avec votre autre compte d’utilisateur après avoir supprimé le fichier de jeton.

Le Azure Information Protection client d’étiquetage unifié s’authentifie ensuite automatiquement à l’aide de votre compte d’utilisateur actuellement connecté.
Différents locataires Cette solution prend en charge la connexion sous un nom d’utilisateur différent à partir du même locataire. Elle ne prend en pas charge la connexion sous un nom d’utilisateur différent à partir d’un autre locataire.

Pour tester Azure Information Protection avec plusieurs locataires, utilisez des ordinateurs différents.
Réinitialiser les paramètres vous pouvez utiliser l’option réinitialiser les paramètres dans aide et commentaires pour vous déconnecter et supprimer les étiquettes et les paramètres de stratégie actuellement téléchargés à partir de la Centre de conformité Microsoft 365.

Prise en charge des ordinateurs déconnectés

Important

les ordinateurs déconnectés sont pris en charge pour les scénarios d’étiquetage suivants : explorateur de fichiers, PowerShell, vos applications Office et le scanneur.

par défaut, le Azure Information Protection client d’étiquetage unifié tente automatiquement de se connecter à internet pour télécharger les étiquettes et les paramètres de stratégie d’étiquette à partir du Centre de conformité Microsoft 365.

Si vous avez des ordinateurs qui ne peuvent pas se connecter à Internet pendant un certain temps, vous pouvez exporter et copier des fichiers qui gèrent manuellement la stratégie du client d’étiquetage unifié.

Pour prendre en charge les ordinateurs déconnectés du client d’étiquetage unifié:

  1. Choisissez ou créez un compte d’utilisateur dans Azure AD que vous allez utiliser pour télécharger des étiquettes et des paramètres de stratégie que vous souhaitez utiliser sur votre ordinateur déconnecté.

  2. En tant que paramètre de stratégie d’étiquette supplémentaire pour ce compte, désactivez l’envoi des données d’audit à Azure information protection Analytics.

    Nous vous recommandons d’effectuer cette étape, car si l’ordinateur déconnecté dispose d’une connectivité Internet périodique, il envoie les informations de journalisation à Azure Information Protection Analytics qui comprend le nom d’utilisateur de l’étape 1. Ce compte d’utilisateur peut être différent du compte local que vous utilisez sur l’ordinateur déconnecté.

  3. À partir d’un ordinateur connecté à Internet et sur lequel le client d’étiquetage unifié est installé et connecté avec le compte d’utilisateur de l’étape 1, téléchargez les étiquettes et les paramètres de stratégie.

  4. À partir de cet ordinateur, exportez les fichiers journaux.

    Par exemple, exécutez l’applet de commande Export-AIPLogs ou utilisez l’option Exporter les journaux de la boîte de dialogue aide et commentaires du client.

    Les fichiers journaux sont exportés sous la forme d’un fichier compressé unique.

  5. Ouvrez le fichier compressé et, à partir du dossier MSIP, copiez tous les fichiers qui ont une extension de nom de fichier .xml.

  6. Collez ces fichiers dans le dossier %LocalAppData%\Microsoft\MSIP sur l’ordinateur déconnecté.

  7. Si le compte d’utilisateur choisi est un compte qui se connecte généralement à Internet, activez à nouveau l’envoi des données d’audit en affectant à la valeur EnableAudit la valeur true.

sachez que si un utilisateur de cet ordinateur sélectionne l’option de réinitialisation Paramètres dans aide et commentaires, cette action supprime les fichiers de stratégie et rend le client inutilisable jusqu’à ce que vous remplaçiez manuellement les fichiers ou que le client se connecte à internet et télécharge les fichiers.

Si votre ordinateur déconnecté exécute le scanneur Azure Information Protection, vous devez effectuer des étapes de configuration supplémentaires. Pour plus d’informations, voir restriction : le serveur du scanneur ne peut pas disposer d’une connexion Internet à partir des instructions de déploiement de l’analyseur.

Modifier le niveau de journalisation local

Par défaut, le Azure Information Protection client d’étiquetage unifié écrit les fichiers journaux du client dans le dossier %LocalAppData%\Microsoft\MSIP . Ces fichiers servent à la résolution des problèmes par le Support Microsoft.

Pour modifier le niveau de journalisation de ces fichiers, localisez le nom de la valeur suivante dans le registre et définissez les données de la valeur sur le niveau de journalisation requis :

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel

Définissez le niveau de journalisation sur l'une des valeurs suivantes :

  • Off: aucune journalisation locale.

  • Erreur: erreurs uniquement.

  • WARN: erreurs et avertissements.

  • Info: journalisation minimale, qui n’indique aucun ID d’événement (paramètre par défaut pour le scanneur).

  • Débogage: informations complètes.

  • Trace: journalisation détaillée (paramètre par défaut pour les clients).

Ce paramètre de registre ne modifie pas les informations qui sont envoyées à Azure Information Protection pour la création de rapports centraux.

Ignorer ou ignorer les fichiers lors des analyses en fonction des attributs de fichier

cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Par défaut, le Azure Information Protection scanneur d’étiquetage unifié analyse tous les fichiers appropriés. Toutefois, vous pouvez définir des fichiers spécifiques à ignorer, par exemple pour les fichiers archivés ou les fichiers qui ont été déplacés.

Activez le scanneur pour ignorer des fichiers spécifiques en fonction de leurs attributs de fichier à l’aide du paramètre avancé ScannerFSAttributesToSkip . Dans la valeur de paramètre, répertoriez les attributs de fichier qui permettront d’ignorer le fichier lorsqu’ils sont tous définis sur true. Cette liste d’attributs de fichier utilise la logique et.

Les exemples de commandes PowerShell suivants illustrent l’utilisation de ce paramètre avancé avec une étiquette nommée « global ».

Ignorer les fichiers qui sont en lecture seule et archivés

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}

Ignorer les fichiers qui sont en lecture seule ou archivés

Pour utiliser une logique ou, exécutez la même propriété plusieurs fois. Par exemple :

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}

Conseil

Nous vous recommandons d’activer le scanneur pour qu’il ignore les fichiers avec les attributs suivants :

  • FILE_ATTRIBUTE_SYSTEM
  • FILE_ATTRIBUTE_HIDDEN
  • FILE_ATTRIBUTE_DEVICE
  • FILE_ATTRIBUTE_OFFLINE
  • FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
  • FILE_ATTRIBUTE_RECALL_ON_OPEN
  • FILE_ATTRIBUTE_TEMPORARY

Pour obtenir la liste de tous les attributs de fichier qui peuvent être définis dans le paramètre avancé ScannerFSAttributesToSkip , consultez constantes d’attribut de fichier Win32 .

Conserver les propriétaires NTFS lors de l’étiquetage (version préliminaire publique)

cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Par défaut, les étiquettes scanner, PowerShell et de l’extension de l’Explorateur de fichiers ne conservent pas le propriétaire NTFS qui a été défini avant l’étiquetage.

Pour vous assurer que la valeur de propriétaire NTFS est préservée, affectez la valeur true au paramètre avancé UseCopyAndPreserveNTFSOwner pour la stratégie d’étiquette sélectionnée.

Attention

Définissez ce paramètre avancé uniquement lorsque vous pouvez garantir une connexion réseau fiable et à faible latence entre le scanneur et le référentiel analysé. Une défaillance du réseau pendant le processus d’étiquetage automatique peut entraîner la perte du fichier.

Exemple de commande PowerShell, lorsque votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}

Notes

Cette fonctionnalité est actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Personnaliser les textes d’invite de justification pour les étiquettes modifiées

personnaliser les invites de justification affichées à la fois dans Office et le client AIP, lorsque les utilisateurs finaux modifient les étiquettes de classification sur les documents et les e-mails.

Par exemple, en tant qu’administrateur, il se peut que vous souhaitiez rappeler à vos utilisateurs de ne pas ajouter les informations d’identification du client dans ce champ :

Texte d’invite de justification personnalisé

Pour modifier le texte par défaut affiché, utilisez la propriété avancée JustificationTextForUserText avec l’applet de commande Set-LabelPolicy . Définissez la valeur sur le texte que vous souhaitez utiliser à la place.

Exemple de commande PowerShell, lorsque votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}

personnaliser Outlook messages contextuels

les administrateurs AIP peuvent personnaliser les messages contextuels qui s’affichent pour les utilisateurs finaux dans Outlook, par exemple :

  • Messages pour les e-mails bloqués
  • Messages d’avertissement invitant les utilisateurs à vérifier le contenu qu’ils envoient
  • Messages de justification qui demandent aux utilisateurs de justifier le contenu qu’ils envoient

Important

Cette procédure remplacera tous les paramètres que vous avez déjà définis à l’aide de la propriété avancée OutlookUnlabeledCollaborationAction .

En production, nous vous recommandons d’éviter les complications en utilisant la propriété avancée OutlookUnlabeledCollaborationAction pour définir vos règles, ou en définissant des règles complexes avec un fichier JSON tel que défini ci-dessous, mais pas les deux.

pour personnaliser votre Outlook messages contextuels:

  1. créez des fichiers . json , chacun avec une règle qui configure la façon dont Outlook affiche des messages contextuels à vos utilisateurs. Pour plus d’informations, consultez Syntaxe de la règle. JSON et exemple de personnalisation contextuelle. code JSON.

  2. Utilisez PowerShell pour définir des paramètres avancés qui contrôlent les messages contextuels que vous configurez. Exécutez un ensemble de commandes distinct pour chaque règle que vous souhaitez configurer.

    Chaque ensemble de commandes PowerShell doit inclure le nom de la stratégie que vous configurez, ainsi que la clé et la valeur qui définissent votre règle.

    Utilisez la syntaxe suivante :

    $filedata = Get-Content "<Path to json file>"
    Set-LabelPolicy -Identity <Policy name> -AdvancedSettings @{<Key> ="$filedata"}
    

    Où :

    • <Path to json file> est le chemin d’accès au fichier JSON que vous avez créé. Par exemple : C:\Users\msanchez\Desktop\ \dlp\ OutlookCollaborationRule_1. JSON.

    • <Policy name> nom de la stratégie que vous souhaitez configurer.

    • <Key> est le nom de votre règle. Utilisez la syntaxe suivante, où <#> est le numéro de série de votre règle :

      OutlookCollaborationRule_<x>

    pour plus d’informations, consultez classement de vos règles de personnalisation Outlook et syntaxe jsonde la valeur de règle.

Conseil

Pour une organisation supplémentaire, nommez votre fichier avec la même chaîne que la clé utilisée dans votre commande PowerShell. Par exemple, nommez votre fichier OutlookCollaborationRule_1. JSON, puis utilisez OutlookCollaborationRule_1 comme clé.

pour garantir l’affichage des fenêtres contextuelles même lorsque les documents sont partagés en dehors de Outlook (fichier > partage > joindre une copie), configurez également le paramètre avancé PostponeMandatoryBeforeSave .

classement de vos règles de personnalisation Outlook

AIP utilise le numéro de série de la clé que vous entrez pour déterminer l’ordre de traitement des règles. Lors de la définition des clés utilisées pour chaque règle, définissez vos règles plus restrictives avec des nombres inférieurs, suivies de règles moins restrictives avec des nombres plus élevés.

Une fois qu’une correspondance de règle spécifique a été trouvée, AIP arrête le traitement des règles et effectue l’action associée à la règle de correspondance. (Logique de sortie de la première correspondance > )

Exemple :

Imaginons que vous souhaitiez configurer tous les courriers électroniques internes avec un message d' Avertissement spécifique, mais que vous ne souhaitez généralement pas les bloquer. Toutefois, vous souhaitez empêcher les utilisateurs d’envoyer des pièces jointes classées comme secrets, même en tant qu’e-mails internes .

Dans ce scénario, classez votre clé de règle de secret de bloc , qui est la règle la plus spécifique, avant d’obtenir une clé de règle d’avertissement en interne plus générique :

  • Pour le message de blocage : OutlookCollaborationRule_1
  • Pour le message d' Avertissement : OutlookCollaborationRule_2

Syntaxe de la valeur de la règle. JSON

Définissez la syntaxe JSON de votre règle comme suit :

"type" : "And",
"nodes" : []

Vous devez avoir au moins deux nœuds, le premier représentant la condition de la règle et le dernier représentant l’action de la règle. Pour plus d'informations, consultez les pages suivantes :

Syntaxe de condition de règle

Les nœuds de condition de règle doivent inclure le type de nœud, puis les conditions elles-mêmes.

Les types de nœuds pris en charge sont les suivants :

Type de nœud Description
And Effectue et sur tous les nœuds enfants
Ou Effectue ou sur tous les nœuds enfants
Not N’effectue pas pour son propre enfant
Mais Retourne la valeur not pour son propre enfant, provoquant son comportement comme All
SentTo, suivi des domaines : listOfDomains Vérifie l’un des éléments suivants :
-Si le parent est except, vérifie si tous les destinataires se trouvent dans l’un des domaines.
-Si le parent est autre que, à l’exception de, vérifie si l’un des destinataires est dans l’un des domaines.
EMailLabel, suivi de l’étiquette Celui-ci peut avoir l'une des valeurs suivantes :
-ID d’étiquette
-NULL, s’il n’est pas étiqueté
AttachmentLabel, suivi par l' étiquette et les Extensions prises en charge Celui-ci peut avoir l'une des valeurs suivantes :

vrai:
-Si le parent est except, vérifie si toutes les pièces jointes avec une extension prise en charge existent dans l’étiquette
-Si le parent est autre que, à l’exception de, vérifie si l' une des pièces jointes avec une extension prise en charge existe dans l’étiquette
-S’il n’est pas étiqueté et étiquette = null

false: pour tous les autres cas

Remarque: si la propriété Extensions est vide ou manquante, tous les types de fichiers pris en charge (extensions) sont inclus dans la règle.

Syntaxe de l’action de règle

Les actions de règle peuvent être l’une des suivantes :

Action Syntaxe Exemple de message
Bloquer Block (List<language, [title, body]>) *E-mail bloqué _

_You êtes sur le paragraphe de l’envoi d’un contenu classifié comme secret à un ou plusieurs destinataires non approuvés :
rsinclair@contoso.com

la stratégie de votre organisation n’autorise pas cette action. Envisagez de supprimer ces destinataires ou de remplacer le contenu. *
Viendra Warn (List<language,[title,body]>) *Confirmation obligatoire _

_You êtes sur le paragraphe de l’envoi d’un contenu classifié comme général à un ou plusieurs destinataires non approuvés :
rsinclair@contoso.com

la stratégie de votre organisation nécessite une confirmation pour l’envoi de ce contenu. *
Prouver Justify (numOfOptions, hasFreeTextOption, List<language, [Title, body, options1,options2….]> )

Y compris jusqu’à trois options.
*Justification obligatoire _

_Your stratégie d’organisation nécessite une justification pour envoyer le contenu classé comme général à des destinataires non approuvés.

-Je confirme que les destinataires sont approuvés pour partager ce contenu
-mon responsable a approuvé le partage de ce contenu
-autre, comme expliqué *
Paramètres d’action

Si aucun paramètre n’est fourni pour une action, les fenêtres contextuelles comporteront le texte par défaut.

Tous les textes prennent en charge les paramètres dynamiques suivants :

Paramètre Description
${MatchedRecipientsList} La dernière correspondance pour les conditions SentTo
${MatchedLabelName} Étiquette de messagerie/pièce jointe, avec le nom localisé de la stratégie
${MatchedAttachmentName} Nom de la pièce jointe à partir de la dernière correspondance pour la condition AttachmentLabel

Notes

Tous les messages incluent l’option en savoir plus , ainsi que les boîtes de dialogue aide et Commentaires .

La langue est le cultureName pour le nom des paramètres régionaux, par exemple : anglais = en-us ; Espagnol = es-es

Les noms de langue parent uniquement sont également pris en charge, par exemple en uniquement.

Exemple de personnalisation de la fenêtre contextuelle. code JSON

les jeux de code . json suivants montrent comment vous pouvez définir une série de règles qui contrôlent la façon dont Outlook affiche des messages contextuels pour vos utilisateurs.

Exemple 1 : bloquer les e-mails internes ou les pièces jointes

Le code . JSON suivant bloque les messages électroniques ou les pièces jointes qui sont classés comme internes , de la définition de destinataires externes.

Dans cet exemple, 89a453df-5df4-4976-8191-259d0cf9560a est l’ID de l’étiquette interne , et les domaines internes incluent contoso.com et Microsoft.com.

Dans la mesure où aucune extension spécifique n’est spécifiée, tous les types de fichiers pris en charge sont inclus.

{   
    "type" : "And",     
    "nodes" : [         
        {           
            "type" : "Except" ,             
            "node" :{               
                "type" : "SentTo",                  
                "Domains" : [                   
                    "contoso.com",                  
              "microsoft.com"
                ]               
            }       
        },
        {           
            "type" : "Or",          
            "nodes" : [                 
                {           
                    "type" : "AttachmentLabel",             
                    "LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"      
                },{                     
                    "type" : "EmailLabel",                  
                    "LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"              
                }
            ]
        },      
        {           
            "type" : "Block",           
            "LocalizationData": {               
                "en-us": {                
                    "Title": "Email Blocked",                 
                    "Body": "The email or at least one of the attachments is classified as <Bold>${MatchedLabelName}</Bold>. Documents classified as <Bold> ${MatchedLabelName}</Bold> cannot be sent to external recipients (${MatchedRecipientsList}).<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance with classification requirements as per Contoso's policies."               
                },              
                "es-es": {                
                    "Title": "Correo electrónico bloqueado",                  
                    "Body": "El correo electrónico o al menos uno de los archivos adjuntos se clasifica como <Bold> ${MatchedLabelName}</Bold>."                
                }           
            },          
            "DefaultLanguage": "en-us"      
        }   
    ] 
}

exemple 2 : bloquer les pièces jointes de Office non classifiées

le code . json suivant bloque l’envoi de pièces jointes Office non classifiées à des destinataires externes.

Dans l’exemple suivant, la liste de pièces jointes qui requiert l’étiquetage est : .doc,. docm, .docx,. dot,. dotm,. dotx,. potm,. potx,. PPS,. PPSM,. ppsx, .ppt,. pptm, .pptx,. vdw,. VSD,. VSDM,. vsdx,. VSS,. VSSM,. VST,. vstm,. vssx,. vstx, .xls,. xlsb,. xlt,. xlsm, .xlsx,. xltm ,. xltx

{   
    "type" : "And",     
    "nodes" : [         
        {           
            "type" : "Except" ,             
            "node" :{               
                "type" : "SentTo",                  
                "Domains" : [                   
                    "contoso.com",                  
                    "microsoft.com"
                ]               
            }       
        },
        {           
            "type" : "Or",          
            "nodes" : [                 
                {           
                    "type" : "AttachmentLabel",
                     "LabelId" : null,
                    "Extensions": [
                                    ".doc",
                                    ".docm",
                                    ".docx",
                                    ".dot",
                                    ".dotm",
                                    ".dotx",
                                    ".potm",
                                    ".potx",
                                    ".pps",
                                    ".ppsm",
                                    ".ppsx",
                                    ".ppt",
                                    ".pptm",
                                    ".pptx",
                                    ".vdw",
                                    ".vsd",
                                    ".vsdm",
                                    ".vsdx",
                                    ".vss",
                                    ".vssm",
                                    ".vst",
                                    ".vstm",
                                    ".vssx",
                                    ".vstx",
                                    ".xls",
                                    ".xlsb",
                                    ".xlt",
                                    ".xlsm",
                                    ".xlsx",
                                    ".xltm",
                                    ".xltx"
                                 ]
                    
                },{                     
                    "type" : "EmailLabel",
                     "LabelId" : null
                }
            ]
        },      
        {           
            "type" : "Block",           
            "LocalizationData": {               
                "en-us": {                
                    "Title": "Emailed Blocked",                   
                    "Body": "Classification is necessary for attachments to be sent to external recipients.<br><br>List of attachments that are not classified:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br>For MS Office documents, classify and send again.<br><br>For PDF files, classify the document or classify the email (using the most restrictive classification level of any single attachment or the email content) and send again."               
                },              
                "es-es": {                
                    "Title": "Correo electrónico bloqueado",                  
                    "Body": "La clasificación es necesaria para que los archivos adjuntos se envíen a destinatarios externos."              
                }           
            },          
            "DefaultLanguage": "en-us"      
        }   
    ] 
}

Exemple 3 : demander à l’utilisateur d’accepter l’envoi d’un e-mail ou d’une pièce jointe confidentiel

dans l’exemple suivant, Outlook affiche un message qui avertit l’utilisateur qu’il envoie un courrier électronique ou une pièce jointe confidentielles à des destinataires externes, et exige également que l’utilisateur sélectionne j’accepte.

Ce type de message d’avertissement est techniquement considéré comme une justification, car l’utilisateur doit sélectionner J’accepte.

Dans la mesure où aucune extension spécifique n’est spécifiée, tous les types de fichiers pris en charge sont inclus.

{   
    "type" : "And",     
    "nodes" : [         
        {           
            "type" : "Except" ,             
            "node" :{               
                "type" : "SentTo",                  
                "Domains" : [                   
                    "contoso.com",                  
                    "microsoft.com"
                ]               
            }       
        },
        {           
            "type" : "Or",          
            "nodes" : [                 
                {           
                    "type" : "AttachmentLabel",             
                    "LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"      
                },{                     
                    "type" : "EmailLabel",                  
                    "LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"              
                }
            ]
        },      
        {           
            "type" : "Justify",             
            "LocalizationData": {               
                "en-us": {                
                    "Title": "Warning",                   
                    "Body": "You are sending a document that is classified as <Bold>${MatchedLabelName}</Bold> to at least one external recipient. Please make sure that the content is correctly classified and that the recipients are entitled to receive this document.<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><Bold>List of external email addresses:</Bold><br>${MatchedRecipientsList})<br><br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br><Bold>Acknowledgement</Bold><br>By clicking <Bold>I accept</Bold> below, you confirm that the recipient is entitled to receive the content and the communication complies with CS Policies and Standards",
                    "Options": [                        
                        "I accept"              
                    ] 
                },              
                "es-es": {                
                    "Title": "Advertencia",                   
                    "Body": "Está enviando un documento clasificado como <Bold>${MatchedLabelName}</Bold> a al menos un destinatario externo. Asegúrese de que el contenido esté correctamente clasificado y que los destinatarios tengan derecho a recibir este documento.",
                    "Options": [                        
                        "Acepto"                    
                    ]                   
                }           
            },          
            "HasFreeTextOption":"false",            
            "DefaultLanguage": "en-us"      
        }   
    ] 
}

Exemple 4 : signaler un message sans étiquette, et une pièce jointe avec une étiquette spécifique

le code. json suivant oblige Outlook à avertir l’utilisateur lorsqu’il envoie un e-mail interne n’a pas d’étiquette, avec une pièce jointe qui a une étiquette spécifique.

Dans cet exemple, bcbef25a-c4db-446b-9496-1b558d9edd0e est l’ID de l’étiquette de la pièce jointe, et la règle s’applique aux fichiers .docx, .xlsx et .pptx.

Par défaut, les e-mails qui ont des pièces jointes étiquetées ne reçoivent pas automatiquement la même étiquette.

{   
    "type" : "And",     
    "nodes" : [         
        {           
            "type" : "EmailLabel",
                     "LabelId" : null           
        },
        {
          "type": "AttachmentLabel",
          "LabelId": "bcbef25a-c4db-446b-9496-1b558d9edd0e",
          "Extensions": [
                ".docx",
                ".xlsx",
                ".pptx"
             ]
        },
    {           
            "type" : "SentTo",              
            "Domains" : [               
                "contoso.com",              
            ]           
        },      
        {           
            "type" : "Warn" 
        }   
    ] 
}

Exemple 5 : demander une justification, avec deux options prédéfinies et une option de texte libre supplémentaire

le code . json suivant amène Outlook à inviter l’utilisateur à justifier son action. Le texte de la justification comprend deux options prédéfinies, ainsi qu’une troisième option de texte libre.

Dans la mesure où aucune extension spécifique n’est spécifiée, tous les types de fichiers pris en charge sont inclus.

{   
    "type" : "And",     
    "nodes" : [         
        {           
            "type" : "Except" ,             
            "node" :{               
                "type" : "SentTo",                  
                "Domains" : [                   
                    "contoso.com",                                  
                ]               
            }       
        },      
        {           
            "type" : "EmailLabel",          
            "LabelId" : "34b8beec-40df-4219-9dd4-553e1c8904c1"      
        },      
        {           
            "type" : "Justify",             
            "LocalizationData": {               
                "en-us": {                  
                    "Title": "Justification Required",                  
                    "Body": "Your organization policy requires justification for you to send content classified as <Bold> ${MatchedLabelName}</Bold>,to untrusted recipients:<br>Recipients are: ${MatchedRecipientsList}",                     
                    "Options": [                        
                        "I confirm the recipients are approved for sharing this content",                   
                        "My manager approved sharing of this content",                      
                        "Other, as explained"                   
                    ]               
                },              
                "es-es": {                  
                    "Title": "Justificación necesaria",                     
                    "Body": "La política de su organización requiere una justificación para que envíe contenido clasificado como <Bold> ${MatchedLabelName}</Bold> a destinatarios que no sean de confianza.",                  
                    "Options": [                        
                        "Confirmo que los destinatarios están aprobados para compartir este contenido.",
                        "Mi gerente aprobó compartir este contenido",
                        "Otro, como se explicó"                     
                    ]               
                }           
            },          
            "HasFreeTextOption":"true",             
            "DefaultLanguage": "en-us"      
        }   
    ] 
}

configurer des délais d’expiration de SharePoint

par défaut, le délai d’attente pour les interactions de SharePoint est de deux minutes, après quoi l’opération de tentative AIP échoue.

À partir de la version 2.8.85.0, les administrateurs AIP peuvent contrôler ce délai d’attente à l’aide des propriétés avancées suivantes, à l’aide d’une syntaxe hh : mm : SS pour définir les délais d’attente :

  • SharepointWebRequestTimeout. Détermine le délai d’expiration de toutes les demandes Web AIP à SharePoint. Valeur par défaut = 2 minutes.

    Par exemple, si votre stratégie est nommée Global, l’exemple de commande PowerShell suivant met à jour le délai d’expiration de la demande Web à 5 minutes.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}
    
  • SharepointFileWebRequestTimeout. détermine le délai d’expiration spécifiquement pour les fichiers de SharePoint par le biais de requêtes web AIP. Valeur par défaut = 15 minutes

    Par exemple, si votre stratégie est nommée Global, l’exemple de commande PowerShell suivant met à jour le délai d’expiration de la demande Web de fichier à 10 minutes.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
    

Éviter les délais d’attente du scanneur dans SharePoint

si vous disposez de chemins d’accès de fichiers longs dans SharePoint version 2013 ou ultérieure, assurez-vous que la valeur httpRuntime. maxUrlLength de votre serveur SharePoint est supérieure à la valeur par défaut 260 caractères.

Cette valeur est définie dans la classe HttpRuntimeSection de la ASP.NET Configuration.

Pour mettre à jour la classe HttpRuntimeSection:

  1. Sauvegardez votre configuration de web.config .

  2. Mettez à jour la valeur maxUrlLength en fonction des besoins. Par exemple :

    <httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000"  />
    
  3. redémarrez votre serveur web SharePoint et vérifiez qu’il se charge correctement.

    par exemple, dans Windows gestionnaire internet Information server (IIS), sélectionnez votre site, puis sous gérer le site web, sélectionnez redémarrer.

empêcher Outlook problèmes de performances avec les e-mails S/MIME

des problèmes de performances peuvent se produire dans Outlook lorsque les e-mails S/MIME sont ouverts dans le volet de lecture. Pour éviter ces problèmes, activez la propriété avancée OutlookSkipSmimeOnReadingPaneEnabled .

L’activation de cette propriété empêche l’affichage de la barre AIP et des classifications de courrier électronique dans le volet de lecture.

Par exemple, si votre stratégie est nommée Global, l’exemple de commande PowerShell suivant active la propriété OutlookSkipSmimeOnReadingPaneEnabled :

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookSkipSmimeOnReadingPaneEnabled="true"}

Désactiver les fonctionnalités de suivi des documents

Par défaut, les fonctionnalités de suivi des documents sont activées pour votre locataire. Pour les désactiver, par exemple pour les besoins de confidentialité dans votre organisation ou région, affectez la valeur false à EnableTrackAndRevoke .

une fois désactivé, les données de suivi de document ne sont plus disponibles dans votre organisation et les utilisateurs ne voient plus l’option de menu révoquer dans leurs applications Office.

Pour la stratégie d’étiquette sélectionnée, spécifiez les chaînes suivantes :

  • Clé : EnableTrackAndRevoke

  • Valeur : False

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableTrackAndRevoke="False"}

Une fois cette valeur définie sur false, le suivi et la révocation sont désactivés comme suit :

  • L’ouverture de documents protégés avec le client d’étiquetage unifié AIP n’enregistre plus les documents pour le suivi et la révocation.
  • les utilisateurs finaux ne voient plus l’option de menu révoquer dans leurs applications Office.

Toutefois, les documents protégés qui sont déjà enregistrés pour le suivi continueront d’être suivis, et les administrateurs pourront tout de même révoquer l’accès à partir de PowerShell. Pour désactiver complètement les fonctionnalités suivre et révoquer, exécutez également l’applet de commande Disable-AipServiceDocumentTrackingFeature .

cette configuration utilise un paramètre avancé de stratégie que vous devez configurer à l’aide de Office 365 Security & Compliance Center PowerShell.

Conseil

Pour activer le suivi et la révocation, affectez la valeur true à EnableTrackAndRevoke et exécutez également l’applet de commande Enable-AipServiceDocumentTrackingFeature .

désactivez l’option Revoke pour les utilisateurs finaux dans les applications Office

si vous ne souhaitez pas que les utilisateurs finaux puissent révoquer l’accès aux documents protégés à partir de leurs applications Office, vous pouvez supprimer l’option révoquer l’accès de vos applications Office.

Notes

La suppression de l’option révoquer l’accès permet de conserver les documents protégés suivis en arrière-plan, et de conserver la possibilité d’administrateur de révoquer l’accès aux documents via PowerShell.

Pour la stratégie d’étiquette sélectionnée, spécifiez les chaînes suivantes :

  • Clé : EnableRevokeGuiSupport

  • Valeur : False

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}

configurer le délai d’étiquetage automatique des fichiers Office

par défaut, le délai d’étiquetage automatique de l’analyseur sur Office fichiers est de 3 secondes.

si vous avez un fichier de Excel complexe contenant de nombreuses feuilles ou lignes, il se peut que 3 secondes ne soient pas suffisantes pour appliquer automatiquement des étiquettes. Pour augmenter ce délai d’attente pour la stratégie d’étiquette sélectionnée, spécifiez les chaînes suivantes :

  • Clé : OfficeContentExtractionTimeout

  • Valeur : secondes, au format suivant : hh:mm:ss .

Important

Nous vous recommandons de ne pas augmenter ce délai d’attente à une valeur supérieure à 15 secondes.

Exemple de commande PowerShell, où votre stratégie d’étiquette est nommée « global » :

Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}

le délai d’expiration mis à jour s’applique à l’étiquetage automatique de tous les fichiers de Office.

Étapes suivantes

Maintenant que vous avez personnalisé le client d’étiquetage unifié Azure Information Protection, consultez les ressources suivantes pour obtenir des informations supplémentaires dont vous pouvez avoir besoin pour prendre en charge ce client :