Beheer Handleiding: Aangepaste configuraties voor de geïntegreerde Azure Information Protection-labelclient
Notitie
Zoekt u Microsoft Purview Informatiebeveiliging, voorheen Microsoft Information Protection (MIP)?
De Azure Information Protection-invoegtoepassing wordt buiten gebruik gesteld en vervangen door labels die zijn ingebouwd in uw Microsoft 365-apps en -services. Meer informatie over de ondersteuningsstatus van andere Azure Information Protection-onderdelen.
De nieuwe Microsoft Information Protection-client (zonder de invoegtoepassing) is momenteel beschikbaar als preview-versie en is gepland voor algemene beschikbaarheid.
Gebruik de volgende informatie voor geavanceerde configuraties die nodig zijn voor specifieke scenario's of gebruikers bij het beheren van de geïntegreerde AIP-labelclient.
Notitie
Voor deze instellingen moet u het register bewerken of geavanceerde instellingen opgeven. De geavanceerde instellingen maken gebruik van Security & Compliance Center PowerShell.
Geavanceerde instellingen voor de client configureren via PowerShell
Gebruik Security & Compliance PowerShell om geavanceerde instellingen te configureren voor het aanpassen van labelbeleid en labels.
Nadat u verbinding hebt gemaakt met Security & Compliance PowerShell, geeft u in beide gevallen de parameter Advanced Instellingen op met de identiteit (naam of GUID) van het beleid of label, met sleutel-/waardeparen in een hash-tabel.
Als u een geavanceerde instelling wilt verwijderen, gebruikt u dezelfde syntaxis van de parameter Advanced Instellingen, maar geeft u een null-tekenreekswaarde op.
Belangrijk
Gebruik geen spaties in de tekenreekswaarden. Witte tekenreeksen in deze tekenreekswaarden verhinderen dat uw labels worden toegepast.
Zie voor meer informatie:
- Geavanceerde instellingenyntaxis voor labelbeleid
- Syntaxis van geavanceerde instellingen labelen
- Uw huidige geavanceerde instellingen controleren
- Voorbeelden voor het instellen van geavanceerde instellingen
- Het labelbeleid of de labelidentiteit opgeven
- Volgorde van prioriteit: hoe conflicterende instellingen worden opgelost
- Geavanceerde instellingsverwijzingen
Geavanceerde instellingenyntaxis voor labelbeleid
Een voorbeeld van een geavanceerde instelling voor labelbeleid is de instelling voor het weergeven van de Information Protection-balk in Office-app s.
Gebruik de volgende syntaxis voor één tekenreekswaarde:
Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key="value1,value2"}
Gebruik de volgende syntaxis voor een waarde voor meerdere tekenreeksen voor dezelfde sleutel:
Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}
Syntaxis van geavanceerde instellingen labelen
Een voorbeeld van een geavanceerde labelinstelling is de instelling om een labelkleur op te geven.
Gebruik de volgende syntaxis voor één tekenreekswaarde:
Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key="value1,value2"}
Gebruik de volgende syntaxis voor een waarde voor meerdere tekenreeksen voor dezelfde sleutel:
Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}
Uw huidige geavanceerde instellingen controleren
Voer de volgende opdrachten uit om de huidige geavanceerde instellingen te controleren:
Gebruik de volgende syntaxis om de geavanceerde instellingen voor het labelbeleid te controleren:
Voor een labelbeleid met de naam Global:
(Get-LabelPolicy -Identity Global).settings
Gebruik de volgende syntaxis om de geavanceerde instellingen van uw label te controleren:
Voor een label met de naam Openbaar:
(Get-Label -Identity Public).settings
Voorbeelden voor het instellen van geavanceerde instellingen
Voorbeeld 1: Stel een geavanceerde instelling voor labelbeleid in voor één tekenreekswaarde:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
Voorbeeld 2: Stel een geavanceerde instelling voor een label in voor één tekenreekswaarde:
Set-Label -Identity Internal -AdvancedSettings @{smimesign="true"}
Voorbeeld 3: Een geavanceerde instelling voor labels instellen voor meerdere tekenreekswaarden:
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}
Voorbeeld 4: Een geavanceerde instelling voor labelbeleid verwijderen door een null-tekenreekswaarde op te geven:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions=""}
Het labelbeleid of de labelidentiteit opgeven
Het vinden van de labelbeleidsnaam voor de PowerShell Identity-parameter is eenvoudig omdat er slechts één beleidsnaam in de Microsoft Purview-nalevingsportal is.
Voor labels geeft de Microsoft Purview-nalevingsportal echter zowel een naamals een weergavenaamwaarde weer. In sommige gevallen zijn deze waarden hetzelfde, maar kunnen ze verschillen. Als u geavanceerde instellingen voor labels wilt configureren, gebruikt u de waarde Naam .
Als u bijvoorbeeld het label in de volgende afbeelding wilt identificeren, gebruikt u de volgende syntaxis in de PowerShell-opdracht: -Identity "All Company"
Als u liever de label-GUID opgeeft, wordt deze waarde niet weergegeven in de Microsoft Purview-nalevingsportal. Gebruik de opdracht Label ophalen om deze waarde als volgt te vinden:
Get-Label | Format-Table -Property DisplayName, Name, Guid
Voor meer informatie over labelnamen en weergavenamen:
De naam is de oorspronkelijke naam van het label en is uniek voor al uw etiketten.
Deze waarde blijft hetzelfde, zelfs als u de labelnaam later hebt gewijzigd. Voor vertrouwelijkheidslabels die zijn gemigreerd vanuit Azure Information Protection, ziet u mogelijk de oorspronkelijke label-id van Azure Portal.
Weergavenaam is de naam die momenteel wordt weergegeven aan gebruikers voor het label en hoeft niet uniek te zijn voor al uw labels.
U hebt bijvoorbeeld een weergavenaam van Alle werknemers voor een sublabel onder het label Vertrouwelijk en een andere weergavenaam van Alle werknemers voor een sublabel onder het label Zeer vertrouwelijk. Deze sublabels geven beide dezelfde naam weer, maar zijn niet hetzelfde label en hebben verschillende instellingen.
Volgorde van prioriteit: hoe conflicterende instellingen worden opgelost
U kunt de Microsoft Purview-nalevingsportal gebruiken om de volgende labelbeleidsinstellingen te configureren:
Dit label standaard toepassen op documenten en e-mailberichten
Gebruikers moeten een reden opgeven om een label of een lager classificatielabel te verwijderen
Vereisen dat gebruikers een label toepassen op hun e-mail of document
Gebruikers voorzien van een koppeling naar een aangepaste Help-pagina
Wanneer er meer dan één labelbeleid is geconfigureerd voor een gebruiker, elk met mogelijk andere beleidsinstellingen, wordt de laatste beleidsinstelling toegepast op basis van de volgorde van het beleid in de Microsoft Purview-nalevingsportal. Zie Labelbeleidsprioriteit (volgorde van belang) voor meer informatie
Geavanceerde instellingen voor labelbeleid worden toegepast met dezelfde logica, met behulp van de laatste beleidsinstelling.
Geavanceerde instellingsverwijzingen
In de volgende secties vindt u de beschikbare geavanceerde instellingen voor labelbeleid en labels:
- Geavanceerde instellingsreferentie per functie
- Naslaginformatie over geavanceerde instellingen voor labelbeleid
- Naslaginformatie over geavanceerde instellingen voor labels
Geavanceerde instellingsreferentie per functie
De volgende secties bevatten de geavanceerde instellingen die op deze pagina worden beschreven op basis van product- en functieintegratie:
Naslaginformatie over geavanceerde instellingen voor labelbeleid
Gebruik de parameter Advanced Instellingen met New-LabelPolicy en Set-LabelPolicy om de volgende instellingen te definiëren:
Naslaginformatie over geavanceerde instellingen voor labels
Gebruik de parameter Advanced Instellingen met New-Label en Set-Label.
| Instelling | Scenario en instructies |
|---|---|
| Kleur | Een kleur voor het label opgeven |
| customPropertiesByLabel | Een aangepaste eigenschap toepassen wanneer een label wordt toegepast |
| DefaultSubLabelId | Een standaardsublabel opgeven voor een bovenliggend label |
| labelByCustomProperties | Labels migreren van Secure Islands en andere labeloplossingen |
| SMimeEncrypt | Een label configureren om S/MIME-beveiliging toe te passen in Outlook |
| SMimeSign | Een label configureren om S/MIME-beveiliging toe te passen in Outlook |
De menuoptie Classificeren en beveiligen verbergen in Windows Bestandenverkenner
Als u de menuoptie Classificeren en beveiligen in windows Bestandenverkenner wilt verbergen, maakt u de volgende DWORD-waardenaam (met waardegegevens):
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable
Zie Het gebruik van Bestandenverkenner voor het classificeren van bestanden voor meer informatie.
De Information Protection-balk weergeven in Office-app s
Deze configuratie maakt gebruik van een geavanceerde beleidsinstelling die u moet configureren met behulp van Security & Compliance Center PowerShell.
Standaard moeten gebruikers de optie Balk weergeven selecteren op de knop Gevoeligheid om de Information Protection-balk weer te geven in Office-app s. Gebruik de toets HideBarByDefault en stel de waarde in op False om deze balk automatisch weer te geven voor gebruikers, zodat ze labels kunnen selecteren op de balk of de knop.
Geef voor het geselecteerde labelbeleid de volgende tekenreeksen op:
Sleutel: HideBarByDefault
Waarde: Onwaar
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{HideBarByDefault="False"}
Outlook-berichten uitsluiten van verplichte labels
Deze configuratie maakt gebruik van een geavanceerde beleidsinstelling die u moet configureren met behulp van Security & Compliance Center PowerShell.
Wanneer u de labelbeleidsinstelling van alle documenten en e-mailberichten inschakelt, moet standaard een label zijn toegepast op alle opgeslagen documenten en verzonden e-mailberichten. Wanneer u de volgende geavanceerde instelling configureert, is de beleidsinstelling alleen van toepassing op Office-documenten en niet op Outlook-berichten.
Geef voor het geselecteerde labelbeleid de volgende tekenreeksen op:
Sleutel: DisableMandatoryInOutlook
Waarde: Waar
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{DisableMandatoryInOutlook="True"}
Aanbevolen classificatie inschakelen in Outlook
Deze configuratie maakt gebruik van een geavanceerde beleidsinstelling die u moet configureren met behulp van Security & Compliance Center PowerShell.
Wanneer u een label configureert voor aanbevolen classificatie, wordt gebruikers gevraagd het aanbevolen label in Word, Excel en PowerPoint te accepteren of te sluiten. Deze instelling breidt deze labelaanveling uit om ook weer te geven in Outlook.
Geef voor het geselecteerde labelbeleid de volgende tekenreeksen op:
Sleutel: OutlookRecommendationEnabled
Waarde: Waar
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookRecommendationEnabled="True"}
Verwijdering van beveiliging van gecomprimeerde bestanden inschakelen
Deze configuratie maakt gebruik van een geavanceerde beleidsinstelling die u moet configureren met behulp van Security & Compliance Center PowerShell.
Wanneer u deze instelling configureert, is de PowerShell-cmdletSet-AIPFileLabel ingeschakeld om het verwijderen van beveiliging van PST-, rar- en 7zip-bestanden toe te staan.
Sleutel: EnableContainerSupport
Waarde: Waar
Voorbeeld van een PowerShell-opdracht waarbij uw beleid is ingeschakeld:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}
Een ander standaardlabel instellen voor Outlook
Deze configuratie maakt gebruik van een geavanceerde beleidsinstelling die u moet configureren met behulp van Security & Compliance Center PowerShell.
Wanneer u deze instelling configureert, past Outlook niet het standaardlabel toe dat is geconfigureerd als beleidsinstelling voor de optie Dit label standaard toepassen op documenten en e-mailberichten. In plaats daarvan kan Outlook een ander standaardlabel of geen label toepassen.
Geef voor het geselecteerde labelbeleid de volgende tekenreeksen op:
Sleutel: OutlookDefaultLabel
Waarde: <label-GUID> of Geen
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookDefaultLabel="None"}
Wijzigen welke bestandstypen moeten worden beveiligd
Deze configuraties maken gebruik van een geavanceerde beleidsinstelling die u moet configureren met behulp van Security & Compliance Center PowerShell.
Standaard beveiligt de geïntegreerde Labelclient van Azure Information Protection alle bestandstypen en beveiligt de scanner alleen Office-bestandstypen en PDF-bestanden.
U kunt dit standaardgedrag voor een geselecteerd labelbeleid wijzigen door een van de volgende opties op te geven:
PFileSupportedExtension
Sleutel: PFileSupportedExtensions
Waarde: <tekenreekswaarde>
Gebruik de volgende tabel om de tekenreekswaarde op te geven:
| Tekenreekswaarde | Klant | Scanner |
|---|---|---|
| * | Standaardwaarde: Beveiliging toepassen op alle bestandstypen | Beveiliging toepassen op alle bestandstypen |
| ConvertTo-Json(".jpg", ".png") | Naast Office-bestandstypen en PDF-bestanden past u beveiliging toe op de opgegeven bestandsnaamextensies | Naast Office-bestandstypen en PDF-bestanden past u beveiliging toe op de opgegeven bestandsnaamextensies |
Voorbeeld 1: PowerShell-opdracht voor de scanner om alle bestandstypen te beveiligen, waarbij uw labelbeleid de naam Scanner heeft:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
Voorbeeld 2: PowerShell-opdracht voor de scanner voor het beveiligen van .txt bestanden en .csv bestanden naast Office-bestanden en PDF-bestanden, waarbij uw labelbeleid de naam Scanner heeft:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}
Met deze instelling kunt u wijzigen welke bestandstypen zijn beveiligd, maar u kunt het standaardbeveiligingsniveau niet wijzigen van systeemeigen naar algemeen. Voor gebruikers met de geïntegreerde labelclient kunt u bijvoorbeeld de standaardinstelling wijzigen, zodat alleen Office-bestanden en PDF-bestanden worden beveiligd in plaats van alle bestandstypen. U kunt deze bestandstypen echter niet wijzigen zodat ze algemeen worden beveiligd met de extensie .pfile.
AdditionalPPrefixExtensions
De geïntegreerde labelclient ondersteunt het wijzigen van <EXT>. PFILE naar P<EXT> met behulp van de geavanceerde eigenschap AdditionalPPrefixExtensions. Deze geavanceerde eigenschap wordt ondersteund vanuit de Bestandenverkenner, PowerShell en door de scanner. Alle apps hebben vergelijkbaar gedrag.
Sleutel: AdditionalPPrefixExtensions
Waarde: <tekenreekswaarde>
Gebruik de volgende tabel om de tekenreekswaarde op te geven:
| Tekenreekswaarde | Client en scanner |
|---|---|
| * | Alle PFile-extensies worden P<EXT> |
| <null-waarde> | De standaardwaarde gedraagt zich als de standaardbeveiligingswaarde. |
| ConvertTo-Json(".dwg", ".zip") | Naast de vorige lijst worden ".dwg" en ".zip" P<EXT> |
Met deze instelling worden de volgende extensies altijd P<EXT>: '.txt', '.xml', '.bmp', '.jt', '.jpg', '.jpeg', '.jpe', '.jif', '.jfif', '.jfi', '.png', '.tif', '.tiff', '.gif'). Opvallende uitsluiting is dat 'ptxt' niet 'txt.pfile' wordt.
AdditionalPPrefixExtensions werkt alleen als beveiliging van PFiles met de geavanceerde eigenschap - PFileSupportedExtension is ingeschakeld.
Voorbeeld 1: PowerShell-opdracht om zich te gedragen als het standaardgedrag waarbij '.dwg' beveiligen '.dwg.pfile' wordt:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}
Voorbeeld 2: PowerShell-opdracht om alle PFile-extensies te wijzigen van algemene beveiliging (dwg.pfile) naar systeemeigen beveiliging (.pdwg) wanneer de bestanden zijn beveiligd:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}
Voorbeeld 3: PowerShell-opdracht om '.dwg' te wijzigen in .pdwg wanneer u deze service gebruikt, beveiligt u dit bestand:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}
'Niet nu' verwijderen voor documenten wanneer u verplicht labelen gebruikt
Deze configuratie maakt gebruik van een geavanceerde beleidsinstelling die u moet configureren met behulp van Security & Compliance Center PowerShell.
Wanneer u de labelbeleidsinstelling van Alle documenten en e-mailberichten gebruikt, moeten ze een label hebben, worden gebruikers gevraagd een label te selecteren wanneer ze voor het eerst een Office-document opslaan en wanneer ze een e-mailbericht verzenden vanuit Outlook.
Voor documenten kunnen gebruikers Niet nu selecteren om de prompt om een label te selecteren tijdelijk te sluiten en terug te keren naar het document. Ze kunnen het opgeslagen document echter niet sluiten zonder het te labelen.
Wanneer u de instelling PostponeMandatoryBeforeSave configureert, wordt de optie Niet nu verwijderd, zodat gebruikers een label moeten selecteren wanneer het document voor het eerst wordt opgeslagen.
Tip
De instelling PostponeMandatoryBeforeSave zorgt er ook voor dat gedeelde documenten worden gelabeld voordat ze per e-mail worden verzonden.
Zelfs als alle documenten en e-mailberichten een label moeten hebben ingeschakeld in uw beleid, worden gebruikers alleen gepromoveerd naar labelbestanden die vanuit Outlook aan e-mailberichten zijn toegevoegd.
Geef voor het geselecteerde labelbeleid de volgende tekenreeksen op:
Sleutel: PostponeMandatoryBeforeSave
Waarde: Onwaar
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PostponeMandatoryBeforeSave="False"}
Kop- en voetteksten verwijderen uit andere labeloplossingen
Deze configuratie maakt gebruik van geavanceerde beleidsinstellingen die u moet configureren met behulp van Security & Compliance Center PowerShell.
Er zijn twee methoden om classificaties te verwijderen uit andere labeloplossingen:
| Instelling | Beschrijving |
|---|---|
| WordShapeNameToRemove | Hiermee verwijdert u een shape uit Word-documenten waarin de naam van de shape overeenkomt met de naam zoals gedefinieerd in de geavanceerde eigenschap WordShapeNameToRemove . Zie De geavanceerde eigenschap WordShapeNameToRemove gebruiken voor meer informatie. |
| RemoveExternalContentMarkingInApp ExternalContentMarkingToRemove |
Hiermee kunt u kop- of voetteksten op basis van tekst uit Word-, Excel- en PowerPoint-documenten verwijderen of vervangen. Zie voor meer informatie: - De geavanceerde eigenschap RemoveExternalContentMarkingInApp gebruiken - ExternalContentMarkingToRemove configureren. |
De geavanceerde eigenschap WordShapeNameToRemove gebruiken
De geavanceerde eigenschap WordShapeNameToRemove wordt ondersteund op basis van versie 2.6.101.0 en hoger
Met deze instelling kunt u labels op basis van vormen verwijderen of vervangen uit Word-documenten wanneer deze visuele markeringen zijn toegepast door een andere labeloplossing. De shape bevat bijvoorbeeld de naam van een oud label dat u nu hebt gemigreerd naar vertrouwelijkheidslabels om een nieuwe labelnaam en een eigen shape te gebruiken.
Als u deze geavanceerde eigenschap wilt gebruiken, moet u de naam van de shape vinden in het Word-document en deze vervolgens definiëren in de lijst met geavanceerde eigenschappen van WordShapeNameToRemove met shapes. De service verwijdert elke shape in Word die begint met een naam die is gedefinieerd in de lijst met shapes in deze geavanceerde eigenschap.
Vermijd het verwijderen van vormen die de tekst bevatten die u wilt negeren, door de naam van alle vormen te definiëren die u wilt verwijderen en te voorkomen dat u de tekst in alle vormen controleert. Dit is een resourceintensief proces.
Notitie
In Microsoft Word kunnen vormen worden verwijderd door de naam van de shapes of de bijbehorende tekst te definiëren, maar niet beide. Als de eigenschap WordShapeNameToRemove is gedefinieerd, worden configuraties die zijn gedefinieerd door de waarde ExternalContentMarkingToRemove genegeerd.
Ga als volgt te werk om de naam te vinden van de shape die u gebruikt en die u wilt uitsluiten:
Geef in Word het selectiedeelvenster weer: tabblad > Start, groep> Selectieoptie >selecteren.
Selecteer de shape op de pagina die u wilt markeren voor verwijdering. De naam van de shape die u markeert, is nu gemarkeerd in het selectiedeelvenster .
Gebruik de naam van de shape om een tekenreekswaarde op te geven voor de sleutel WordShapeNameToRemove.
Voorbeeld: De naam van de shape is dc. Als u de shape met deze naam wilt verwijderen, geeft u de waarde op: dc.
Sleutel: WordShapeNameToRemove
Waarde: <Word-shapenaam>
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{WordShapeNameToRemove="dc"}
Als u meer dan één Word-shape wilt verwijderen, geeft u zoveel waarden op als u shapes wilt verwijderen.
De geavanceerde eigenschap RemoveExternalContentMarkingInApp gebruiken
Met deze instelling kunt u op tekst gebaseerde kop- of voetteksten verwijderen uit documenten wanneer deze visuele markeringen zijn toegepast door een andere labeloplossing. De oude voettekst bevat bijvoorbeeld de naam van een oud label dat u nu hebt gemigreerd naar vertrouwelijkheidslabels om een nieuwe labelnaam en een eigen voettekst te gebruiken.
Wanneer de geïntegreerde labelclient deze configuratie in het beleid ophaalt, worden de oude kop- en voetteksten verwijderd of vervangen wanneer het document wordt geopend in de Office-app en eventuele vertrouwelijkheidslabels op het document worden toegepast.
Deze configuratie wordt niet ondersteund voor Outlook en houd er rekening mee dat wanneer u deze gebruikt met Word, Excel en PowerPoint, dit de prestaties van deze apps voor gebruikers negatief kan beïnvloeden. Met de configuratie kunt u instellingen per toepassing definiëren, bijvoorbeeld zoeken naar tekst in de kop- en voetteksten van Word-documenten, maar niet in Excel-spreadsheets of PowerPoint-presentaties.
Omdat de patroonkoppeling van invloed is op de prestaties voor gebruikers, raden we u aan om de Office-app licatietypen (Word, E Xcel, PowerPoint) te beperken tot alleen de typen die moeten worden doorzocht. Geef voor het geselecteerde labelbeleid de volgende tekenreeksen op:
Sleutel: RemoveExternalContentMarkingInApp
Waarde: <Office-app licatietypen WXP>
Voorbeelden:
Als u alleen in Word-documenten wilt zoeken, geeft u W op.
Als u wilt zoeken in Word-documenten en PowerPoint-presentaties, geeft u WP op.
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInApp="WX"}
Vervolgens hebt u ten minste één geavanceerdere clientinstelling, ExternalContentMarkingToRemove, nodig om de inhoud van de kop- of voettekst op te geven en hoe u deze kunt verwijderen of vervangen.
ExternalContentMarkingToRemove configureren
Wanneer u de tekenreekswaarde voor de sleutel ExternalContentMarkingToRemove opgeeft, hebt u drie opties die gebruikmaken van reguliere expressies. Gebruik voor elk van deze scenario's de syntaxis die wordt weergegeven in de kolom Voorbeeldwaarde in de volgende tabel:
| Optie | Voorbeeldbeschrijving | Voorbeeldwaarde |
|---|---|---|
| Gedeeltelijke overeenkomst om alles in de kop- of voettekst te verwijderen | De kop- of voetteksten bevatten de tekenreeksTEKST DIE U WILT VERWIJDEREN en u wilt deze kop- of voetteksten volledig verwijderen. | *TEXT* |
| Volledige overeenkomst om alleen specifieke woorden in de kop- of voettekst te verwijderen | De kop- of voetteksten bevatten de tekenreeks TEKST DIE U WILT VERWIJDEREN en u wilt alleen het woord TEKST verwijderen, waarbij de kop- of voetteksttekenreeks moet worden verwijderd. | TEXT |
| Volledige overeenkomst om alles in de kop- of voettekst te verwijderen | De kop- of voetteksten bevatten de tekenreeksTEKST DIE U WILT VERWIJDEREN. U wilt kop- of voetteksten verwijderen die precies deze tekenreeks hebben. | ^TEXT TO REMOVE$ |
Het patroon dat overeenkomt met de tekenreeks die u opgeeft, is niet hoofdlettergevoelig. De maximale tekenreekslengte is 255 tekens en mag geen spaties bevatten.
Omdat sommige documenten mogelijk onzichtbare tekens of verschillende soorten spaties of tabbladen bevatten, wordt de tekenreeks die u opgeeft voor een woordgroep of zin mogelijk niet gedetecteerd. Geef indien mogelijk één onderscheidwoord op voor de waarde en zorg ervoor dat u de resultaten test voordat u in productie implementeert.
Geef voor hetzelfde labelbeleid de volgende tekenreeksen op:
Sleutel: ExternalContentMarkingToRemove
Waarde: <tekenreeks die overeenkomt met, gedefinieerd als reguliere expressie>
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*TEXT*"}
Zie voor meer informatie:
Kop- of voetteksten met meerdere regels
Als een kop- of voettekst meer dan één regel is, maakt u een sleutel en waarde voor elke regel. Als u bijvoorbeeld de volgende voettekst hebt met twee regels:
Het bestand is geclassificeerd als Vertrouwelijk
Label handmatig toegepast
Als u deze voettekst met meerdere regels wilt verwijderen, maakt u de volgende twee vermeldingen voor hetzelfde labelbeleid:
- Sleutel: ExternalContentMarkingToRemove
- Sleutelwaarde 1: *Vertrouwelijk*
- Sleutelwaarde 2: *Label toegepast*
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove=ConvertTo-Json("Confidential","Label applied")}
Optimalisatie voor PowerPoint
Kop- en voetteksten in PowerPoint worden geïmplementeerd als shapes. Voor de shapetypen msoTextBox, msoTextEffect, msoPlaceholder en msoAutoShape bieden de volgende geavanceerde instellingen aanvullende optimalisaties:
Daarnaast kan powerPointRemoveAllShapesByShapeName elk vormtype verwijderen op basis van de naam van de shape.
Zie De naam zoeken van de shape die u gebruikt als kop- of voettekst voor meer informatie.
Vermijd het verwijderen van vormen uit PowerPoint die opgegeven tekst bevatten en geen kop- en voetteksten zijn
Gebruik een extra geavanceerde clientinstelling met de naam PowerPointShapeNameToRemove om te voorkomen dat u vormen verwijdert die de tekst bevatten die u hebt opgegeven, maar geen kop- of voetteksten zijn.
We raden u ook aan deze instelling te gebruiken om te voorkomen dat de tekst in alle vormen wordt gecontroleerd. Dit is een resource-intensief proces.
Als u deze extra geavanceerde clientinstelling niet opgeeft en PowerPoint is opgenomen in de sleutelwaarde RemoveExternalContentMarkingInApp, worden alle shapes gecontroleerd op de tekst die u opgeeft in de waarde ExternalContentMarkingToRemove.
Als deze waarde is opgegeven, worden alleen shapes verwijderd die voldoen aan de criteria voor de shapenaam en ook tekst die overeenkomt met de tekenreeks die is opgegeven met ExternalContentMarkingToRemove .
Voorbeeld:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
Externe markering verwijderen uitbreiden naar aangepaste indelingen
Deze configuratie maakt gebruik van een geavanceerde beleidsinstelling die u moet configureren met behulp van Security & Compliance Center PowerShell.
De logica die wordt gebruikt om externe inhoudsmarkeringen te verwijderen negeert standaard aangepaste indelingen die zijn geconfigureerd in PowerPoint. Als u deze logica wilt uitbreiden naar aangepaste indelingen, stelt u de geavanceerde eigenschap RemoveExternalMarkingFromCustomLayouts in op True.
Sleutel: RemoveExternalMarkingFromCustomLayouts
Waarde: Waar
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
Alle vormen van een specifieke shapenaam verwijderen
Als u aangepaste indelingen van PowerPoint gebruikt en alle vormen van een specifieke shapenaam uit uw kop- en voetteksten wilt verwijderen, gebruikt u de geavanceerde instelling PowerPointRemoveAllShapesByShapeName , met de naam van de shape die u wilt verwijderen.
Als u de instelling PowerPointRemoveAllShapesByShapeName gebruikt, wordt de tekst in uw shapes genegeerd en wordt in plaats daarvan de shapenaam gebruikt om de shapes te identificeren die u wilt verwijderen.
Voorbeeld:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointRemoveAllShapesByShapeName="Arrow: Right"}
Zie voor meer informatie:
- De naam zoeken van de shape die u gebruikt als kop- of voettekst
- Externe inhoudsmarkering verwijderen uit aangepaste indelingen in PowerPoint
De naam zoeken van de shape die u gebruikt als kop- of voettekst
In PowerPoint geeft u het selectiedeelvenster weer: tabblad> Groep schikken groep> selectiedeelvenster opmaken.
Selecteer de shape op de dia die de kop- of voettekst bevat. De naam van de geselecteerde shape is nu gemarkeerd in het selectiedeelvenster .
Gebruik de naam van de shape om een tekenreekswaarde op te geven voor de sleutel PowerPointShapeNameToRemove .
Voorbeeld: De naam van de shape is fc. Als u de shape met deze naam wilt verwijderen, geeft u de waarde op: fc.
Sleutel: PowerPointShapeNameToRemove
Waarde: <PowerPoint-shapenaam>
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
Als u meer dan één PowerPoint-shape wilt verwijderen, geeft u zoveel waarden op als u shapes wilt verwijderen.
Standaard worden alleen de hoofddia's gecontroleerd op kop- en voetteksten. Gebruik een extra geavanceerde clientinstelling met de naam RemoveExternalContentMarkingInAllSlides om deze zoekopdracht uit te breiden naar alle dia's. Dit is een veel meer resource-intensief proces:
Sleutel: RemoveExternalContentMarkingInAllSlides
Waarde: Waar
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInAllSlides="True"}
Externe inhoudsmarkering verwijderen uit aangepaste indelingen in PowerPoint
Deze configuratie maakt gebruik van een geavanceerde beleidsinstelling die u moet configureren met behulp van Security & Compliance Center PowerShell.
De logica die wordt gebruikt om externe inhoudsmarkeringen te verwijderen negeert standaard aangepaste indelingen die zijn geconfigureerd in PowerPoint. Als u deze logica wilt uitbreiden naar aangepaste indelingen, stelt u de geavanceerde eigenschap RemoveExternalMarkingFromCustomLayouts in op True.
Sleutel: RemoveExternalMarkingFromCustomLayouts
Waarde: Waar
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
Aangepaste machtigingen uitschakelen in Bestandenverkenner
Deze configuratie maakt gebruik van een geavanceerde beleidsinstelling die u moet configureren met behulp van Security & Compliance Center PowerShell.
Standaard zien gebruikers een optie met de naam Beveiligen met aangepaste machtigingen wanneer ze met de rechtermuisknop op Bestandenverkenner klikken en classificeren en beveiligen kiezen. Met deze optie kunnen ze hun eigen beveiligingsinstellingen instellen die alle beveiligingsinstellingen kunnen overschrijven die u mogelijk hebt opgenomen in een labelconfiguratie. Gebruikers kunnen ook een optie zien om beveiliging te verwijderen. Wanneer u deze instelling configureert, zien gebruikers deze opties niet.
Als u deze geavanceerde instelling wilt configureren, voert u de volgende tekenreeksen in voor het geselecteerde labelbeleid:
Sleutel: EnableCustomPermissions
Waarde: Onwaar
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
Voor bestanden die zijn beveiligd met aangepaste machtigingen, geeft u altijd aangepaste machtigingen weer voor gebruikers in Bestandenverkenner
Deze configuratie maakt gebruik van een geavanceerde beleidsinstelling die u moet configureren met behulp van Security & Compliance Center PowerShell.
Wanneer u de geavanceerde clientinstelling configureert om aangepaste machtigingen in Bestandenverkenner uit te schakelen, kunnen gebruikers standaard geen aangepaste machtigingen zien of wijzigen die al zijn ingesteld in een beveiligd document.
Er is echter een andere geavanceerde clientinstelling die u kunt opgeven, zodat gebruikers in dit scenario aangepaste machtigingen voor een beveiligd document kunnen zien en wijzigen wanneer ze Bestandenverkenner gebruiken en met de rechtermuisknop op het bestand klikken.
Als u deze geavanceerde instelling wilt configureren, voert u de volgende tekenreeksen in voor het geselecteerde labelbeleid:
Sleutel: EnableCustomPermissionsForCustomProtectedFiles
Waarde: Waar
Voorbeeld van PowerShell-opdracht:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}
Voor e-mailberichten met bijlagen past u een label toe dat overeenkomt met de hoogste classificatie van deze bijlagen
Deze configuratie maakt gebruik van geavanceerde beleidsinstellingen die u moet configureren met behulp van Security & Compliance Center PowerShell.
Deze instelling is bedoeld voor wanneer gebruikers gelabelde documenten aan een e-mailbericht toevoegen en het e-mailbericht zelf niet labelen. In dit scenario wordt automatisch een label geselecteerd op basis van de classificatielabels die op de bijlagen worden toegepast. Het hoogste classificatielabel is geselecteerd.
De bijlage moet een fysiek bestand zijn en kan geen koppeling naar een bestand zijn (bijvoorbeeld een koppeling naar een bestand in Microsoft SharePoint of OneDrive).
U kunt deze instelling configureren op Aanbevolen, zodat gebruikers wordt gevraagd het geselecteerde label toe te passen op hun e-mailbericht. Gebruikers kunnen de aanbeveling vervolgens accepteren of negeren zonder het label toe te passen. U kunt deze instelling ook configureren op Automatisch, waarbij het geselecteerde label automatisch wordt toegepast, maar gebruikers kunnen het label verwijderen of een ander label selecteren voordat ze het e-mailbericht verzenden. Beide scenario's ondersteunen een aangepast bericht.
Notitie
Wanneer de bijlage met het hoogste classificatielabel is geconfigureerd voor beveiliging met de instelling van door de gebruiker gedefinieerde machtigingen:
- Wanneer de door de gebruiker gedefinieerde machtigingen van het label Outlook (Niet doorsturen) bevatten, wordt dat label geselecteerd en wordt beveiliging niet doorsturen toegepast op het e-mailbericht.
- Wanneer de door de gebruiker gedefinieerde machtigingen van het label alleen gelden voor Word, Excel, PowerPoint en Bestandenverkenner, wordt dat label niet toegepast op het e-mailbericht en is geen van beide beveiliging.
Als u deze geavanceerde instelling wilt configureren, voert u de volgende tekenreeksen in voor het geselecteerde labelbeleid:
Sleutel 1: AttachmentAction
Sleutelwaarde 1: Aanbevolen of Automatisch
Sleutel 2 (optioneel): AttachmentActionTip
Sleutelwaarde 2: "<aangepaste knopinfo>"
De optionele aangepaste knopinfo ondersteunt slechts één taal. Als deze instelling niet is opgegeven, worden de volgende berichten weergegeven voor gebruikers:
- Aanbevolen bericht: het is raadzaam om dit e-mailbericht als <labelnaam te labelen>
- Automatisch bericht: Dit e-mailbericht is automatisch gelabeld als <labelnaam>
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{AttachmentAction="Automatic"}
Een probleem melden voor gebruikers toevoegen
Deze configuratie maakt gebruik van een geavanceerde beleidsinstelling die u moet configureren met behulp van Security & Compliance Center PowerShell.
Wanneer u de volgende geavanceerde clientinstelling opgeeft, zien gebruikers een optie Een probleem melden die ze kunnen selecteren in het dialoogvenster Help- en feedbackclient . Geef een HTTP-tekenreeks op voor de koppeling. Bijvoorbeeld een aangepaste webpagina die u voor gebruikers hebt om problemen te melden of een e-mailadres dat naar uw helpdesk gaat.
Als u deze geavanceerde instelling wilt configureren, voert u de volgende tekenreeksen in voor het geselecteerde labelbeleid:
Sleutel: ReportAnIssueLink
Waarde: <HTTP-tekenreeks>
Voorbeeldwaarde voor een website: https://support.contoso.com
Voorbeeldwaarde voor een e-mailadres: mailto:helpdesk@contoso.com
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}
Pop-upberichten implementeren in Outlook die e-mailberichten waarschuwen, uitvullen of blokkeren die worden verzonden
Deze configuratie maakt gebruik van geavanceerde beleidsinstellingen die u moet configureren met behulp van Security & Compliance Center PowerShell.
Wanneer u de volgende geavanceerde clientinstellingen maakt en configureert, zien gebruikers pop-upberichten in Outlook die hen kunnen waarschuwen voordat ze een e-mailbericht verzenden, of vragen om een reden op te geven waarom ze een e-mailbericht verzenden of voorkomen dat ze een e-mailbericht verzenden voor een van de volgende scenario's:
Hun e-mail of bijlage voor het e-mailbericht heeft een specifiek label:
- De bijlage kan elk bestandstype zijn
Hun e-mail of bijlage voor het e-mailbericht heeft geen label:
- De bijlage kan een Office-document of PDF-document zijn
Wanneer aan deze voorwaarden wordt voldaan, ziet de gebruiker een pop-upbericht met een van de volgende acties:
| Type | Description |
|---|---|
| Waarschuwen | De gebruiker kan bevestigen en verzenden of annuleren. |
| Rechtvaardigen | De gebruiker wordt gevraagd om een reden (vooraf gedefinieerde opties of vrije vorm) en de gebruiker kan vervolgens het e-mailbericht verzenden of annuleren. De redentekst wordt geschreven naar de x-header van het e-mailbericht, zodat deze kan worden gelezen door andere systemen, zoals DLP-services (Preventie van gegevensverlies). |
| Blokkade | De gebruiker kan de e-mail niet verzenden terwijl de voorwaarde blijft bestaan. Het bericht bevat de reden voor het blokkeren van het e-mailbericht, zodat de gebruiker het probleem kan oplossen. Verwijder bijvoorbeeld specifieke geadresseerden of label het e-mailbericht. |
Wanneer de pop-upberichten voor een specifiek label zijn, kunt u uitzonderingen configureren voor geadresseerden op domeinnaam.
Zie het tech community-blog Het aanpassen van pop-upberichten van Outlook voor de AIP UL-client voor een overzicht van het configureren van deze instellingen.
Tip
Om ervoor te zorgen dat pop-ups worden weergegeven, zelfs wanneer documenten worden gedeeld vanuit buiten Outlook (bestandsshare >> een kopie bijvoegen), configureert u ook de geavanceerde instelling PostponeMandatoryBeforeSave.
Zie voor meer informatie:
- Pop-upberichten voor specifieke labels implementeren, uitvullen of blokkeren
- Pop-upberichten implementeren, uitvullen of blokkeren voor e-mailberichten of bijlagen die geen label hebben
Pop-upberichten voor specifieke labels implementeren, uitvullen of blokkeren
Maak voor het geselecteerde beleid een of meer van de volgende geavanceerde instellingen met de volgende sleutels. Geef voor de waarden een of meer labels op op basis van hun GUID's, gescheiden door een komma.
Voorbeeldwaarde voor meerdere label-GUID's als een door komma's gescheiden tekenreeks:
dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
| Berichttype | Sleutel/waarde |
|---|---|
| Waarschuwen | Sleutel: OutlookWarnUntrustedCollaborationLabel Waarde: <label-GUID's, door komma's gescheiden> |
| Rechtvaardigen | Sleutel: OutlookJustifyUntrustedCollaborationLabel Waarde: <label-GUID's, door komma's gescheiden> |
| Blokkade | Sleutel: OutlookBlockUntrustedCollaborationLabel Waarde: <label-GUID's, door komma's gescheiden> |
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e,b6d21387-5d34-4dc8-90ae-049453cec5cf,bb48a6cb-44a8-49c3-9102-2d2b017dcead,74591a94-1e0e-4b5d-b947-62b70fc0f53a,6c375a97-2b9b-4ccd-9c5b-e24e4fd67f73"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyUntrustedCollaborationLabel="dc284177-b2ac-4c96-8d78-e3e1e960318f,d8bb73c3-399d-41c2-a08a-6f0642766e31,750e87d4-0e91-4367-be44-c9c24c9103b4,32133e19-ccbd-4ff1-9254-3a6464bf89fd,74348570-5f32-4df9-8a6b-e6259b74085b,3e8d34df-e004-45b5-ae3d-efdc4731df24"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockUntrustedCollaborationLabel="0eb351a6-0c2d-4c1d-a5f6-caa80c9bdeec,40e82af6-5dad-45ea-9c6a-6fe6d4f1626b"}
Voor verdere aanpassing kunt u ook domeinnamen uitsluiten voor pop-upberichten die zijn geconfigureerd voor specifieke labels.
Notitie
De geavanceerde instellingen in deze sectie (OutlookWarnUntrustedCollaborationLabel, OutlookJustifyUntrustedCollaborationLabel en OutlookBlockUntrustedCollaborationLabel) zijn bedoeld voor wanneer een specifiek label wordt gebruikt.
Gebruik de geavanceerde instelling OutlookUnlabeledCollaborationAction om standaard pop-upberichten voor niet-gelabde inhoud te implementeren. Als u uw pop-upberichten voor niet-gelabelde inhoud wilt aanpassen, gebruikt u een .json-bestand om uw geavanceerde instellingen te definiëren.
Zie Pop-upberichten in Outlook aanpassen voor meer informatie.
Tip
Om ervoor te zorgen dat uw blokberichten zo nodig worden weergegeven, zelfs voor een geadresseerde in een Outlook-distributielijst, moet u de geavanceerde instelling EnableOutlookDistributionListExpansion toevoegen.
Domeinnamen uitsluiten voor pop-upberichten die zijn geconfigureerd voor specifieke labels
Voor de labels die u hebt opgegeven met deze pop-upberichten, kunt u specifieke domeinnamen uitsluiten, zodat gebruikers de berichten niet zien voor geadresseerden die die domeinnaam hebben opgenomen in hun e-mailadres. In dit geval worden de e-mailberichten zonder onderbreking verzonden. Als u meerdere domeinen wilt opgeven, voegt u deze toe als één tekenreeks, gescheiden door komma's.
Een typische configuratie is om de pop-upberichten alleen weer te geven voor geadresseerden die zich buiten uw organisatie bevinden of die geen geautoriseerde partners voor uw organisatie zijn. In dit geval geeft u alle e-maildomeinen op die door uw organisatie en door uw partners worden gebruikt.
Maak voor hetzelfde labelbeleid de volgende geavanceerde clientinstellingen en geef voor de waarde een of meer domeinen op, die elk worden gescheiden door een komma.
Voorbeeldwaarde voor meerdere domeinen als een door komma's gescheiden tekenreeks: contoso.com,fabrikam.com,litware.com
| Berichttype | Sleutel/waarde |
|---|---|
| Waarschuwen | Sleutel: OutlookWarnTrustedDomains Waarde: <domeinnamen, door komma's gescheiden> |
| Rechtvaardigen | Sleutel: OutlookJustifyTrustedDomains Waarde: <domeinnamen, door komma's gescheiden> |
| Blokkade | Sleutel: OutlookBlockTrustedDomains Waarde: <domeinnamen, door komma's gescheiden> |
Stel dat u de geavanceerde clientinstelling OutlookBlockUntrustedCollaborationLabel hebt opgegeven voor het label Vertrouwelijk \ Alle werknemers .
U geeft nu de extra geavanceerde clientinstelling van OutlookBlockTrustedDomains op met contoso.com. Als gevolg hiervan kan een gebruiker een e-mailbericht john@sales.contoso.com verzenden naar het label Vertrouwelijk \ Alle werknemers, maar wordt het verzenden van een e-mailbericht met hetzelfde label naar een Gmail-account geblokkeerd.
Voorbeeld van PowerShell-opdrachten, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockTrustedDomains="contoso.com"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyTrustedDomains="contoso.com,fabrikam.com,litware.com"}
Notitie
Om ervoor te zorgen dat uw blokberichten zo nodig worden weergegeven, zelfs voor een geadresseerde in een Outlook-distributielijst, moet u de geavanceerde instelling EnableOutlookDistributionListExpansion toevoegen.
Pop-upberichten implementeren, uitvullen of blokkeren voor e-mailberichten of bijlagen die geen label hebben
Maak voor hetzelfde labelbeleid de volgende geavanceerde clientinstelling met een van de volgende waarden:
| Berichttype | Sleutel/waarde |
|---|---|
| Waarschuwen | Sleutel: OutlookUnlabeledCollaborationAction Waarde: Waarschuwen |
| Rechtvaardigen | Sleutel: OutlookUnlabeledCollaborationAction Waarde: Uitvullen |
| Blokkade | Sleutel: OutlookUnlabeledCollaborationAction Waarde: Blok |
| Deze berichten uitschakelen | Sleutel: OutlookUnlabeledCollaborationAction Waarde: Uit |
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Warn"}
Zie voor meer aanpassingen:
- Specifieke bestandsnaamextensies definiëren voor de waarschuwing, uitvullen of blokkeren van pop-upberichten voor e-mailbijlagen die geen label hebben
- Een andere actie opgeven voor e-mailberichten zonder bijlagen
- Pop-upberichten in Outlook aanpassen
Specifieke bestandsnaamextensies definiëren voor de waarschuwing, uitvullen of blokkeren van pop-upberichten voor e-mailbijlagen die geen label hebben
Standaard zijn de pop-upberichten waarschuwen, uitvullen of blokkeren van toepassing op alle Office-documenten en PDF-documenten. U kunt deze lijst verfijnen door op te geven welke bestandsnaamextensies de waarschuwing moeten weergeven, uitvullen of blokkeren met een extra geavanceerde instelling en een door komma's gescheiden lijst met bestandsnaamextensies.
Voorbeeldwaarde voor meerdere bestandsnaamextensies die moeten worden gedefinieerd als een door komma's gescheiden tekenreeks: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM
In dit voorbeeld resulteert een niet-gelabeld PDF-document niet in waarschuwings-, uitvullen of blokkeren van pop-upberichten.
Voer voor hetzelfde labelbeleid de volgende tekenreeksen in:
Sleutel: OutlookOverrideUnlabeledCollaborationExtensions
Waarde: <bestandsnaamextensies voor het weergeven van berichten, gescheiden door komma's>
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.PPT,.PPTX,.PPTM"}
Een andere actie opgeven voor e-mailberichten zonder bijlagen
Standaard is de waarde die u opgeeft voor OutlookUnlabeledCollaborationAction om pop-upberichten te waarschuwen, uit te vullen of te blokkeren van toepassing op e-mailberichten of bijlagen die geen label hebben.
U kunt deze configuratie verfijnen door een andere geavanceerde instelling op te geven voor e-mailberichten die geen bijlagen hebben.
Maak de volgende geavanceerde clientinstelling met een van de volgende waarden:
| Berichttype | Sleutel/waarde |
|---|---|
| Waarschuwen | Sleutel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Waarde: Waarschuwen |
| Rechtvaardigen | Sleutel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Waarde: Uitvullen |
| Blokkade | Sleutel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Waarde: Blok |
| Deze berichten uitschakelen | Sleutel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Waarde: Uit |
Als u deze clientinstelling niet opgeeft, wordt de waarde die u opgeeft voor OutlookUnlabeledCollaborationAction gebruikt voor niet-gelabelde e-mailberichten zonder bijlagen en niet-gelabelde e-mailberichten met bijlagen.
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior="Warn"}
Outlook-distributielijsten uitvouwen bij het zoeken naar e-mailontvangers
Deze configuratie maakt gebruik van een geavanceerde beleidsinstelling die u moet configureren met behulp van Security & Compliance Center PowerShell.
Als u ondersteuning wilt uitbreiden van andere geavanceerde instellingen naar geadresseerden in Outlook-distributielijsten, stelt u de geavanceerde instelling EnableOutlookDistributionListExpansion in op waar.
- Sleutel: EnableOutlookDistributionListExpansion
- Waarde: true
Als u bijvoorbeeld de geavanceerde instellingen van OutlookBlockTrustedDomains, OutlookBlockUntrustedCollaborationLabel hebt geconfigureerd en vervolgens ook de instelling EnableOutlookDistributionListExpansion hebt geconfigureerd, wordt outlook ingeschakeld om de distributielijst uit te vouwen om ervoor te zorgen dat een blokbericht zo nodig wordt weergegeven.
De standaardtime-out voor het uitbreiden van de distributielijst is 2000 milliseconden.
Als u deze time-out wilt wijzigen, maakt u de volgende geavanceerde instelling voor het geselecteerde beleid:
- Sleutel: OutlookGetEmailAddressesTimeOutMSProperty
- Waarde: Geheel getal, in milliseconden
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{
EnableOutlookDistributionListExpansion="true"
OutlookGetEmailAddressesTimeOutMSProperty="3000"
}
Voorkomen dat controlegegevens worden verzonden naar AIP- en Microsoft 365-analyses
Standaard ondersteunt de geïntegreerde Azure Information Protection-labelclient centrale rapportage en verzendt de controlegegevens naar:
- Azure Information Protection-analyse, als u een Log Analytics-werkruimte hebt geconfigureerd
- Microsoft 365, waar u ze kunt bekijken in De Activiteitenverkenner
Ga als volgt te werk om dit gedrag te wijzigen, zodat controlegegevens niet worden verzonden:
Voeg de volgende geavanceerde beleidsinstelling toe met behulp van Security & Compliance Center PowerShell:
Sleutel: EnableAudit
Waarde: Onwaar
Als uw labelbeleid bijvoorbeeld de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}Notitie
Deze geavanceerde instelling is standaard niet aanwezig in het beleid en de auditlogboeken worden verzonden.
Verwijder op alle Azure Information Protection-clientcomputers de volgende map: %localappdata%\Microsoft\MSIP\mip
Als u wilt dat de client auditlogboekgegevens opnieuw verzendt, wijzigt u de waarde van de geavanceerde instelling in Waar. U hoeft de map %localappdata%\Microsoft\MSIP\mip niet handmatig te maken op uw clientcomputers.
Gegevenstypeovereenkomsten verzenden naar Azure Information Protection-analyses
Deze configuratie maakt gebruik van een geavanceerde beleidsinstelling die u moet configureren met behulp van Security & Compliance Center PowerShell.
Standaard verzendt de geïntegreerde labelclient geen inhoudsovereenkomsten voor typen gevoelige informatie naar Azure Information Protection-analyses. Zie de inhoudsovereenkomsten voor uitgebreidere analyse in de centrale rapportagedocumentatie voor meer informatie over deze aanvullende informatie die kan worden verzonden.
Als u inhoudsovereenkomsten wilt verzenden wanneer typen gevoelige informatie worden verzonden, maakt u de volgende geavanceerde clientinstelling in een labelbeleid:
Sleutel: LogMatchedContent
Waarde: Waar
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}
CPU-verbruik beperken
Vanaf scannerversie 2.7.x.x wordt u aangeraden het CPU-verbruik te beperken met behulp van de volgende geavanceerde instellingen van ScannerMaxCPU en ScannerMinCPU .
Belangrijk
Wanneer het volgende threadbeperkingsbeleid wordt gebruikt, worden geavanceerde instellingen van ScannerMaxCPU en ScannerMinCPU genegeerd. Als u het CPU-verbruik wilt beperken met de geavanceerde instellingen ScannerMaxCPU en ScannerMinCPU , annuleert u het gebruik van beleidsregels waarmee het aantal threads wordt beperkt.
Deze configuratie maakt gebruik van een geavanceerde beleidsinstelling die u moet configureren met behulp van Security & Compliance Center PowerShell.
Als u het CPU-verbruik op de scannermachine wilt beperken, is het beheerbaar door twee geavanceerde instellingen te maken:
ScannerMaxCPU:
Standaard ingesteld op 100 , wat betekent dat er geen limiet is voor het maximale CPU-verbruik. In dit geval probeert het scannerproces alle beschikbare CPU-tijd te gebruiken om uw scansnelheden te maximaliseren.
Als u ScannerMaxCPU instelt op minder dan 100, controleert de scanner het CPU-verbruik in de afgelopen 30 minuten. Als de gemiddelde CPU de limiet overschrijdt die u hebt ingesteld, wordt het aantal threads dat is toegewezen voor nieuwe bestanden, verminderd.
De limiet voor het aantal threads blijft bestaan zolang het CPU-verbruik hoger is dan de limiet die is ingesteld voor ScannerMaxCPU.
ScannerMinCPU:
Alleen gecontroleerd als ScannerMaxCPU niet gelijk is aan 100 en niet kan worden ingesteld op een getal dat hoger is dan de waarde ScannerMaxCPU . U wordt aangeraden ScannerMinCPU ten minste 15 punten lager in te stellen dan de waarde van ScannerMaxCPU.
Standaard ingesteld op 50 , wat betekent dat als het CPU-verbruik in de afgelopen 30 minuten lager is dan deze waarde, de scanner nieuwe threads toevoegt om meer bestanden parallel te scannen, totdat het CPU-verbruik het niveau bereikt dat u hebt ingesteld voor ScannerMaxCPU-15.
Het aantal threads beperken dat door de scanner wordt gebruikt
Belangrijk
Wanneer het volgende threadbeperkingsbeleid wordt gebruikt, worden geavanceerde instellingen van ScannerMaxCPU en ScannerMinCPU genegeerd. Als u het CPU-verbruik wilt beperken met de geavanceerde instellingen ScannerMaxCPU en ScannerMinCPU , annuleert u het gebruik van beleidsregels die het aantal threads beperken.
Deze configuratie maakt gebruik van een geavanceerde beleidsinstelling die u moet configureren met behulp van Security & Compliance Center PowerShell.
De scanner gebruikt standaard alle beschikbare processorbronnen op de computer waarop de scannerservice wordt uitgevoerd. Als u het CPU-verbruik wilt beperken terwijl deze service wordt gescand, maakt u de volgende geavanceerde instelling in een labelbeleid.
Geef voor de waarde het aantal gelijktijdige threads op dat de scanner parallel kan uitvoeren. De scanner gebruikt een afzonderlijke thread voor elk bestand dat wordt gescand, dus met deze beperkingsconfiguratie wordt ook het aantal bestanden gedefinieerd dat parallel kan worden gescand.
Wanneer u de waarde voor het testen voor het eerst configureert, wordt u aangeraden 2 per kern op te geven en vervolgens de resultaten te controleren. Als u bijvoorbeeld de scanner uitvoert op een computer met 4 kernen, stelt u eerst de waarde in op 8. Indien nodig verhoogt of verlaagt u dat aantal, afhankelijk van de resulterende prestaties die u nodig hebt voor de scannercomputer en uw scanfrequenties.
Sleutel: ScannerConcurrencyLevel
Waarde: <aantal gelijktijdige threads>
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam Scanner heeft:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}
Labels migreren van Secure Islands en andere labeloplossingen
Deze configuratie maakt gebruik van een geavanceerde instelling voor labels die u moet configureren met behulp van Security & Compliance Center PowerShell.
Deze configuratie is niet compatibel met beveiligde PDF-bestanden met de extensie .ppdf. Deze bestanden kunnen niet worden geopend door de client met behulp van Bestandenverkenner of PowerShell.
Voor Office-documenten die zijn gelabeld door Secure Islands, kunt u deze documenten opnieuw labelen met een vertrouwelijkheidslabel met behulp van een toewijzing die u definieert. U gebruikt deze methode ook om labels van andere oplossingen opnieuw te gebruiken wanneer hun labels zich in Office-documenten bevinden.
Als gevolg van deze configuratieoptie wordt het nieuwe vertrouwelijkheidslabel als volgt toegepast door de geïntegreerde Labelclient van Azure Information Protection:
Voor Office-documenten: wanneer het document wordt geopend in de bureaublad-app, wordt het nieuwe vertrouwelijkheidslabel weergegeven als ingesteld en toegepast wanneer het document wordt opgeslagen.
Voor PowerShell: Set-AIPFileLabel en Set-AIPFileClassificiation kunnen het nieuwe vertrouwelijkheidslabel toepassen.
Voor Bestandenverkenner: In het dialoogvenster Azure Information Protection wordt het nieuwe vertrouwelijkheidslabel weergegeven, maar niet ingesteld.
Voor deze configuratie moet u een geavanceerde instelling opgeven met de naam labelByCustomProperties voor elk vertrouwelijkheidslabel dat u wilt toewijzen aan het oude label. Stel vervolgens voor elke vermelding de waarde in met behulp van de volgende syntaxis:
[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]
Geef uw keuze op voor de naam van een migratieregel. Gebruik een beschrijvende naam waarmee u kunt bepalen hoe een of meer labels van uw vorige labeloplossing moeten worden toegewezen aan een vertrouwelijkheidslabel.
Houd er rekening mee dat met deze instelling het oorspronkelijke label niet uit het document of visuele markeringen in het document wordt verwijderd die het oorspronkelijke label mogelijk heeft toegepast. Zie Kop- en voetteksten verwijderen uit andere labeloplossingen om kop- en voetteksten te verwijderen.
Voorbeelden:
- Voorbeeld 1: Een-op-een-toewijzing van dezelfde labelnaam
- Voorbeeld 2: Een-op-een-toewijzing voor een andere labelnaam
- Voorbeeld 3: Veel-op-een-toewijzing van labelnamen
- Voorbeeld 4: Meerdere regels voor hetzelfde label
Zie voor aanvullende aanpassingen:
- Regels voor labelmigratie uitbreiden naar e-mailberichten
- Uw labelmigratieregels uitbreiden naar SharePoint-eigenschappen
Notitie
Als u migreert van uw labels tussen tenants, zoals na een fusie van een bedrijf, raden we u aan onze blogpost te lezen over fusies en spin-offs voor meer informatie.
Voorbeeld 1: Een-op-een-toewijzing van dezelfde labelnaam
Vereiste: documenten met een label 'Vertrouwelijk' van Secure Islands moeten opnieuw worden gelabeld als Vertrouwelijk door Azure Information Protection.
In dit voorbeeld:
- Het label Secure Islands heet Vertrouwelijk en opgeslagen in de aangepaste eigenschap Classificatie.
De geavanceerde instelling:
Sleutel: labelByCustomProperties
Waarde: Het label Secure Islands is vertrouwelijk, classificatie, vertrouwelijk
Voorbeeld van de PowerShell-opdracht, waarbij uw label de naam Vertrouwelijk heeft:
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Confidential,Classification,Confidential"}
Voorbeeld 2: Een-op-een-toewijzing voor een andere labelnaam
Vereiste: documenten die zijn gelabeld als Gevoelig door Beveiligde eilanden, moeten opnieuw worden gelabeld als 'Zeer vertrouwelijk' door Azure Information Protection.
In dit voorbeeld:
- Het label Secure Islands heet Gevoelig en opgeslagen in de aangepaste eigenschap Classificatie.
De geavanceerde instelling:
Sleutel: labelByCustomProperties
Waarde: Secure Islands label is Gevoelig, Classificatie, Gevoelig
Voorbeeld van de PowerShell-opdracht, waarbij uw label de naam Zeer vertrouwelijk heeft:
Set-Label -Identity "Highly Confidential" -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Sensitive,Classification,Sensitive"}
Voorbeeld 3: Veel-op-een-toewijzing van labelnamen
Vereiste: U hebt twee Secure Islands-labels die het woord 'Intern' bevatten en u wilt dat documenten met een van deze Secure Islands-labels opnieuw worden gelabeld als Algemeen door de geïntegreerde Labelclient van Azure Information Protection.
In dit voorbeeld:
- De labels Secure Islands bevatten het woord Intern en worden opgeslagen in de aangepaste eigenschap Classificatie.
De geavanceerde clientinstelling:
Sleutel: labelByCustomProperties
Waarde: Het label Secure Islands bevat intern, classificatie,.*intern.*
Voorbeeld van de PowerShell-opdracht, waarbij uw label de naam 'Algemeen' heeft:
Set-Label -Identity General -AdvancedSettings @{labelByCustomProperties="Secure Islands label contains Internal,Classification,.*Internal.*"}
Voorbeeld 4: Meerdere regels voor hetzelfde label
Wanneer u meerdere regels voor hetzelfde label nodig hebt, definieert u meerdere tekenreekswaarden voor dezelfde sleutel.
In dit voorbeeld worden de labels Secure Islands met de naam Vertrouwelijk en Geheim opgeslagen in de aangepaste eigenschap Classificatie en wilt u dat de geïntegreerde Labelclient van Azure Information Protection het vertrouwelijkheidslabel met de naam Vertrouwelijk toepast:
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}
Regels voor labelmigratie uitbreiden naar e-mailberichten
U kunt de configuratie gebruiken die u hebt gedefinieerd met de geavanceerde instelling labelByCustomProperties voor e-mailberichten van Outlook, naast Office-documenten, door een extra instelling voor labelbeleid op te geven.
Deze instelling heeft echter een bekende negatieve invloed op de prestaties van Outlook, dus configureer deze extra instelling alleen als u een sterke bedrijfsvereiste hiervoor hebt en vergeet niet om deze in te stellen op een null-tekenreekswaarde wanneer u de migratie van de andere labeloplossing hebt voltooid.
Als u deze geavanceerde instelling wilt configureren, voert u de volgende tekenreeksen in voor het geselecteerde labelbeleid:
Sleutel: EnableLabelByMailHeader
Waarde: Waar
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelByMailHeader="True"}
Uw labelmigratieregels uitbreiden naar SharePoint-eigenschappen
U kunt de configuratie gebruiken die u hebt gedefinieerd met de geavanceerde instelling labelByCustomProperties voor SharePoint-eigenschappen die u mogelijk als kolommen beschikbaar maakt voor gebruikers door een extra geavanceerde instelling voor labelbeleid op te geven.
Deze instelling wordt ondersteund wanneer u Word, Excel en PowerPoint gebruikt.
Als u deze geavanceerde instelling wilt configureren, voert u de volgende tekenreeksen in voor het geselecteerde labelbeleid:
Sleutel: EnableLabelBySharePointProperties
Waarde: Waar
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelBySharePointProperties="True"}
Een aangepaste eigenschap toepassen wanneer een label wordt toegepast
Deze configuratie maakt gebruik van een geavanceerde instelling voor labels die u moet configureren met behulp van Security & Compliance Center PowerShell.
Er zijn mogelijk enkele scenario's waarin u een of meer aangepaste eigenschappen wilt toepassen op een document of e-mailbericht, naast de metagegevens die worden toegepast door een vertrouwelijkheidslabel.
Voorbeeld:
U bent bezig met het migreren van een andere labeloplossing, zoals Beveiligde eilanden. Voor interoperabiliteit tijdens de migratie wilt u dat vertrouwelijkheidslabels ook een aangepaste eigenschap toepassen die wordt gebruikt door de andere labeloplossing.
Voor uw inhoudsbeheersysteem (zoals SharePoint of een oplossing voor documentbeheer van een andere leverancier) wilt u een consistente aangepaste eigenschapsnaam gebruiken met verschillende waarden voor de labels en met gebruiksvriendelijke namen in plaats van de label-GUID.
Voor Office-documenten en Outlook-e-mailberichten die gebruikers labelen met behulp van de geïntegreerde Labelclient van Azure Information Protection, kunt u een of meer aangepaste eigenschappen toevoegen die u definieert. U kunt deze methode ook gebruiken voor de geïntegreerde labelclient om een aangepaste eigenschap weer te geven als een label van andere oplossingen voor inhoud die nog niet is gelabeld door de geïntegreerde labelclient.
Als gevolg van deze configuratieoptie worden eventuele aanvullende aangepaste eigenschappen als volgt toegepast door de geïntegreerde Azure Information Protection-labelclient:
| Environment | Beschrijving |
|---|---|
| Office-documenten | Wanneer het document is gelabeld in de bureaublad-app, worden de aanvullende aangepaste eigenschappen toegepast wanneer het document wordt opgeslagen. |
| E-mailberichten van Outlook | Wanneer het e-mailbericht is gelabeld in Outlook, worden de extra eigenschappen toegepast op de x-header wanneer het e-mailbericht wordt verzonden. |
| Powershell | Set-AIPFileLabel en Set-AIPFileClassificiation past de aanvullende aangepaste eigenschappen toe wanneer het document wordt gelabeld en opgeslagen. Get-AIPFileStatus geeft aangepaste eigenschappen weer als het toegewezen label als er geen vertrouwelijkheidslabel wordt toegepast. |
| Bestandenverkenner | Wanneer de gebruiker met de rechtermuisknop op het bestand klikt en het label toepast, worden de aangepaste eigenschappen toegepast. |
Voor deze configuratie moet u een geavanceerde instelling opgeven met de naam customPropertiesByLabel voor elk vertrouwelijkheidslabel dat u de aanvullende aangepaste eigenschappen wilt toepassen. Stel vervolgens voor elke vermelding de waarde in met behulp van de volgende syntaxis:
[custom property name],[custom property value]
Belangrijk
Het gebruik van witruimten in de tekenreeks voorkomt de toepassing van de labels.
Voorbeeld:
- Voorbeeld 1: Één aangepaste eigenschap voor een label toevoegen
- Voorbeeld 2: Meerdere aangepaste eigenschappen voor een label toevoegen
Voorbeeld 1: Één aangepaste eigenschap voor een label toevoegen
Vereiste: documenten die zijn gelabeld als Vertrouwelijk door de geïntegreerde Labelclient van Azure Information Protection, moeten de aanvullende aangepaste eigenschap 'Classificatie' hebben met de waarde 'Geheim'.
In dit voorbeeld:
- Het vertrouwelijkheidslabel heet Vertrouwelijk en maakt een aangepaste eigenschap met de naam Classificatie met de waarde geheim.
De geavanceerde instelling:
Sleutel: customPropertiesByLabel
Waarde: Classificatie,Geheim
Voorbeeld van de PowerShell-opdracht, waarbij uw label de naam Vertrouwelijk heeft:
Set-Label -Identity Confidential -AdvancedSettings @{customPropertiesByLabel="Classification,Secret"}
Voorbeeld 2: Meerdere aangepaste eigenschappen voor een label toevoegen
Als u meer dan één aangepaste eigenschap voor hetzelfde label wilt toevoegen, moet u meerdere tekenreekswaarden voor dezelfde sleutel definiëren.
Voorbeeld van de PowerShell-opdracht, waarbij uw label de naam Algemeen heeft en u één aangepaste eigenschap met de naam Classificatie wilt toevoegen met de waarde Algemeen en een tweede aangepaste eigenschap met de naam Vertrouwelijkheid met de waarde Intern:
Set-Label -Identity General -AdvancedSettings @{customPropertiesByLabel=ConvertTo-Json("Classification,General", "Sensitivity,Internal")}
Een label configureren om S/MIME-beveiliging toe te passen in Outlook
Deze configuratie maakt gebruik van geavanceerde labelinstellingen die u moet configureren met behulp van Security & Compliance Center PowerShell.
Gebruik deze instellingen alleen als u een werkende S/MIME-implementatie hebt en u wilt dat deze beveiligingsmethode automatisch wordt toegepast op e-mailberichten in plaats van Rights Management-beveiliging van Azure Information Protection. De resulterende beveiliging is hetzelfde als wanneer een gebruiker handmatig S/MIME-opties selecteert in Outlook.
| Configuratie | Sleutel/waarde |
|---|---|
| Digitale S/MIME-handtekening | Als u een geavanceerde instelling voor een digitale S/MIME-handtekening wilt configureren, voert u de volgende tekenreeksen in voor het geselecteerde label: - Sleutel: SMimeSign - Waarde: Waar |
| S/MIME-versleuteling | Als u een geavanceerde instelling voor S/MIME-versleuteling wilt configureren, voert u de volgende tekenreeksen in voor het geselecteerde label: - Sleutel: SMimeEncrypt - Waarde: Waar |
Wanneer een gebruiker het label selecteert in Outlook, worden de geconfigureerde S/MIME-instellingen toegepast. Als het label ook is geconfigureerd voor de standaard Rights Management-versleuteling die u in de Microsoft Purview-nalevingsportal kunt opgeven, vervangen uw S/MIME-instellingen de Rights Management-beveiliging alleen in Outlook. Voor de andere apps die door de geïntegreerde labelclient worden ondersteund, blijft de client de versleutelingsinstellingen gebruiken die zijn opgegeven in de complianceportal.
Als u wilt dat het label alleen zichtbaar is in Outlook, configureert u de optie Versleuteling niet doorsturen vanuit Toestaan dat gebruikers machtigingen toewijzen.
Voorbeeld van PowerShell-opdrachten, waarbij uw label de naam Alleen ontvangers heeft:
Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeSign="True"}
Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeEncrypt="True"}
Een standaardsublabel opgeven voor een bovenliggend label
Deze configuratie maakt gebruik van een geavanceerde instelling voor labels die u moet configureren met behulp van Security & Compliance Center PowerShell.
Wanneer u een sublabel aan een label toevoegt, kunnen gebruikers het bovenliggende label niet meer toepassen op een document of e-mailbericht. Standaard selecteren gebruikers het bovenliggende label om de sublabels te zien die ze kunnen toepassen en selecteren ze vervolgens een van deze sublabels. Als u deze geavanceerde instelling configureert wanneer gebruikers het bovenliggende label selecteren, wordt automatisch een sublabel geselecteerd en toegepast:
Sleutel: DefaultSubLabelId
Waarde: <sublabel-GUID>
Voorbeeld van de PowerShell-opdracht, waarbij uw bovenliggende label de naam Vertrouwelijk heeft en het sublabel Alle werknemers een GUID heeft van 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
Classificatie inschakelen om continu op de achtergrond uit te voeren
Deze configuratie maakt gebruik van een geavanceerde instelling voor labels die u moet configureren met behulp van Security & Compliance Center PowerShell.
Wanneer u deze instelling configureert, wordt het standaardgedrag gewijzigd van hoe de geïntegreerde Labelclient van Azure Information Protection automatische en aanbevolen labels toepast op documenten:
Voor Word, Excel en PowerPoint wordt automatische classificatie continu op de achtergrond uitgevoerd.
Het gedrag verandert niet voor Outlook.
Wanneer de geïntegreerde Labelclient van Azure Information Protection periodiek documenten controleert op de voorwaardenregels die u opgeeft, wordt met dit gedrag automatische en aanbevolen classificatie en beveiliging ingeschakeld voor Office-documenten die zijn opgeslagen in SharePoint of OneDrive, zolang automatisch opslaan is ingeschakeld. Grote bestanden worden ook sneller opgeslagen omdat de voorwaardenregels al zijn uitgevoerd.
De voorwaarderegels worden niet in realtime uitgevoerd als gebruikerstypen. In plaats daarvan worden ze periodiek uitgevoerd als achtergrondtaak als het document wordt gewijzigd.
Voer de volgende tekenreeksen in om deze geavanceerde instelling te configureren:
- Sleutel: RunPolicyInBackground
- Waarde: Waar
Voorbeeld van PowerShell-opdracht:
Set-LabelPolicy -Identity PolicyName -AdvancedSettings @{RunPolicyInBackground = "true"}
Notitie
Deze functie is momenteel beschikbaar als PREVIEW-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Een kleur voor het label opgeven
Deze configuratie maakt gebruik van geavanceerde labelinstellingen die u moet configureren met behulp van Security & Compliance Center PowerShell.
Gebruik deze geavanceerde instelling om een kleur voor een label in te stellen. Als u de kleur wilt opgeven, voert u een hex triplet-code in voor de rode, groene en blauwe (RGB)-onderdelen van de kleur. #40e0d0 is bijvoorbeeld de RGB-hexwaarde voor turquoise.
Als u een verwijzing voor deze codes nodig hebt, vindt u een nuttige tabel op de <kleurenpagina> van de MSDN-webdocumenten. U vindt deze codes ook in veel toepassingen waarmee u afbeeldingen kunt bewerken. Met Microsoft Paint kunt u bijvoorbeeld een aangepaste kleur kiezen uit een palet en worden de RGB-waarden automatisch weergegeven, die u vervolgens kunt kopiëren.
Als u de geavanceerde instelling voor de kleur van een label wilt configureren, voert u de volgende tekenreeksen in voor het geselecteerde label:
Sleutel: kleur
Waarde: <RGB-hexwaarde>
Voorbeeld van de PowerShell-opdracht, waarbij uw label de naam 'Openbaar' heeft:
Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}
Aanmelden als een andere gebruiker
Aanmelden met meerdere gebruikers wordt niet ondersteund door AIP in productie. In deze procedure wordt beschreven hoe u zich alleen kunt aanmelden als een andere gebruiker voor testdoeleinden.
U kunt controleren welk account u momenteel hebt aangemeld met behulp van het dialoogvenster Microsoft Azure Information Protection: Open een Office-app licatie en selecteer op hettabblad Start de knop Vertrouwelijkheid en selecteer vervolgens Help en feedback. Uw accountnaam wordt weergegeven in de sectie Clientstatus .
Controleer ook de domeinnaam van het aangemelde account dat wordt weergegeven. Het kan gemakkelijk zijn om te missen dat u bent aangemeld met de juiste accountnaam, maar het verkeerde domein. Een symptoom van het gebruik van het verkeerde account omvat het niet downloaden van de labels of het niet zien van de labels of het verwachte gedrag.
Aanmelden als een andere gebruiker:
Navigeer naar %localappdata%\Microsoft\MSIP en verwijder het TokenCache-bestand .
Start alle geopende Office-app licaties opnieuw en meld u aan met uw andere gebruikersaccount. Als u geen prompt ziet in uw Office-app licentie om u aan te melden bij de Azure Information Protection-service, gaat u terug naar het dialoogvenster Microsoft Azure Information Protection en selecteert u Aanmelden in de bijgewerkte sectie Clientstatus.
Bijkomend:
| Scenario | Beschrijving |
|---|---|
| Nog steeds aangemeld bij het oude account | Als de geïntegreerde Labelclient van Azure Information Protection nog steeds is aangemeld met het oude account nadat u deze stappen hebt voltooid, verwijdert u alle cookies uit Internet Explorer en herhaalt u stap 1 en 2. |
| Eenmalige aanmelding gebruiken | Als u eenmalige aanmelding gebruikt, moet u zich afmelden bij Windows en u aanmelden met uw andere gebruikersaccount nadat u het tokenbestand hebt verwijderd. De geïntegreerde Labelclient van Azure Information Protection wordt vervolgens automatisch geverifieerd met behulp van uw momenteel aangemelde gebruikersaccount. |
| Verschillende tenants | Deze oplossing wordt ondersteund voor het aanmelden als een andere gebruiker van dezelfde tenant. Het wordt niet ondersteund voor het aanmelden als een andere gebruiker van een andere tenant. Als u Azure Information Protection wilt testen met meerdere tenants, gebruikt u verschillende computers. |
| Instellingen opnieuw instellen | U kunt de optie Instellingen opnieuw instellen in Help en Feedback gebruiken om u af te melden en de momenteel gedownloade labels en beleidsinstellingen te verwijderen uit de Microsoft Purview-nalevingsportal. |
Ondersteuning voor niet-verbonden computers
Belangrijk
Niet-verbonden computers worden ondersteund voor de volgende labelscenario's: Bestandenverkenner, PowerShell, uw Office-app s en de scanner.
Standaard probeert de geïntegreerde labelclient van Azure Information Protection automatisch verbinding te maken met internet om de labels en labelbeleidsinstellingen van de Microsoft Purview-nalevingsportal te downloaden.
Als u computers hebt die gedurende een bepaalde periode geen verbinding kunnen maken met internet, kunt u bestanden exporteren en kopiëren waarmee het beleid voor de geïntegreerde labelclient handmatig wordt beheerd.
Ter ondersteuning van niet-verbonden computers van de geïntegreerde labelclient:
Kies of maak een gebruikersaccount in Microsoft Entra ID dat u gaat gebruiken om labels en beleidsinstellingen te downloaden die u wilt gebruiken op uw niet-verbonden computer.
Als extra labelbeleidsinstelling voor dit account schakelt u het verzenden van controlegegevens naar Azure Information Protection-analyses uit.
We raden deze stap aan omdat als de niet-verbonden computer periodieke internetverbinding heeft, logboekgegevens worden verzonden naar Azure Information Protection-analyses die de gebruikersnaam uit stap 1 bevatten. Dat gebruikersaccount kan afwijken van het lokale account dat u gebruikt op de niet-verbonden computer.
Download de labels en beleidsinstellingen vanaf een computer met internetverbinding waarop de geïntegreerde labelclient is geïnstalleerd en aangemeld met het gebruikersaccount van stap 1.
Exporteer de logboekbestanden vanaf deze computer.
Voer bijvoorbeeld de cmdlet Export-AIPLogs uit of gebruik de optie Logboeken exporteren in het dialoogvenster Help en feedback van de client.
De logboekbestanden worden geëxporteerd als één gecomprimeerd bestand.
Open het gecomprimeerde bestand en kopieer vanuit de MSIP-map alle bestanden met een .xml bestandsnaamextensie.
Plak deze bestanden in de map %localappdata%\Microsoft\MSIP op de niet-verbonden computer.
Als uw gekozen gebruikersaccount een account is dat meestal verbinding maakt met internet, schakelt u het verzenden van controlegegevens opnieuw in door de waarde EnableAudit in te stellen op True.
Als een gebruiker op deze computer de optie Opnieuw instellen Instellingen selecteert in Help en feedback, worden de beleidsbestanden verwijderd en wordt de client onbruikbaar totdat u de bestanden handmatig vervangt of de client verbinding maakt met internet en de bestanden downloadt.
Als op uw niet-verbonden computer de Azure Information Protection-scanner wordt uitgevoerd, zijn er aanvullende configuratiestappen die u moet uitvoeren. Zie Beperking voor meer informatie: De scannerserver kan geen internetverbinding hebben vanuit de instructies voor de implementatie van de scanner.
Het lokale logboekregistratieniveau wijzigen
De geïntegreerde Labelclient van Azure Information Protection schrijft standaard clientlogboekbestanden naar de map %localappdata%\Microsoft\MSIP . Deze bestanden zijn bedoeld voor het oplossen van problemen door Microsoft Ondersteuning.
Als u het logboekregistratieniveau voor deze bestanden wilt wijzigen, zoekt u de volgende waardenaam in het register en stelt u de waardegegevens in op het vereiste logboekregistratieniveau:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel
Stel het logboekregistratieniveau in op een van de volgende waarden:
Uit: Geen lokale logboekregistratie.
Fout: alleen fouten.
Waarschuwen: fouten en waarschuwingen.
Info: Minimale logboekregistratie, die geen gebeurtenis-id's bevat (de standaardinstelling voor de scanner).
Fouten opsporen: volledige informatie.
Trace: Gedetailleerde logboekregistratie (de standaardinstelling voor clients).
Deze registerinstelling wijzigt niet de informatie die naar Azure Information Protection wordt verzonden voor centrale rapportage.
Bestanden overslaan of negeren tijdens scans, afhankelijk van bestandskenmerken
Deze configuratie maakt gebruik van een geavanceerde beleidsinstelling die u moet configureren met behulp van Security & Compliance Center PowerShell.
Standaard scant de geïntegreerde labelscanner van Azure Information Protection alle relevante bestanden. U kunt echter specifieke bestanden definiëren die moeten worden overgeslagen, zoals voor gearchiveerde bestanden of bestanden die zijn verplaatst.
Schakel de scanner in om specifieke bestanden over te slaan op basis van hun bestandskenmerken met behulp van de geavanceerde instelling ScannerFSAttributesToSkip . Geef in de instellingswaarde de bestandskenmerken weer waarmee het bestand kan worden overgeslagen wanneer ze allemaal zijn ingesteld op waar. Deze lijst met bestandskenmerken maakt gebruik van de AND-logica.
In de volgende PowerShell-voorbeeldopdrachten ziet u hoe u deze geavanceerde instelling gebruikt met een label met de naam 'Global'.
Bestanden overslaan die zowel alleen-lezen als gearchiveerd zijn
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}
Bestanden overslaan die alleen-lezen of gearchiveerd zijn
Als u een OR-logica wilt gebruiken, voert u dezelfde eigenschap meerdere keren uit. Voorbeeld:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}
Tip
U wordt aangeraden de scanner in te schakelen om bestanden met de volgende kenmerken over te slaan:
- FILE_ATTRIBUTE_SYSTEM
- FILE_ATTRIBUTE_HIDDEN
- FILE_ATTRIBUTE_DEVICE
- FILE_ATTRIBUTE_OFFLINE
- FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
- FILE_ATTRIBUTE_RECALL_ON_OPEN
- FILE_ATTRIBUTE_TEMPORARY
NTFS-eigenaren behouden tijdens het labelen (openbare preview)
Deze configuratie maakt gebruik van een geavanceerde beleidsinstelling die u moet configureren met behulp van Security & Compliance Center PowerShell.
Standaard behouden scanners, PowerShell en Bestandenverkenner-extensielabels de NTFS-eigenaar die vóór het labelen is gedefinieerd, niet.
Als u ervoor wilt zorgen dat de waarde van de NTFS-eigenaar behouden blijft, stelt u de geavanceerde instelling UseCopyAndPreserveNTFSOwner in op waar voor het geselecteerde labelbeleid.
Let op
Definieer deze geavanceerde instelling alleen als u een betrouwbare netwerkverbinding met lage latentie tussen de scanner en de gescande opslagplaats kunt garanderen. Een netwerkfout tijdens het automatische labelproces kan ertoe leiden dat het bestand verloren gaat.
PowerShell-voorbeeldopdracht wanneer uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}
Notitie
Deze functie is momenteel beschikbaar als PREVIEW-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Tekst met redenprompt aanpassen voor gewijzigde labels
Pas de redenprompts aan die worden weergegeven in zowel Office als de AIP-client wanneer eindgebruikers classificatielabels voor documenten en e-mailberichten wijzigen.
Als beheerder wilt u uw gebruikers er bijvoorbeeld aan herinneren dat ze geen klantgegevens toevoegen aan dit veld:
Als u de standaardtekst wilt wijzigen die wordt weergegeven, gebruikt u de geavanceerde eigenschap JustificationTextForUserText met de cmdlet Set-LabelPolicy. Stel de waarde in op de tekst die u wilt gebruiken.
PowerShell-voorbeeldopdracht wanneer uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
Pop-upberichten in Outlook aanpassen
AIP-beheerders kunnen de pop-upberichten aanpassen die worden weergegeven aan eindgebruikers in Outlook, zoals:
- Berichten voor geblokkeerde e-mailberichten
- Waarschuwingsberichten waarin gebruikers wordt gevraagd om de inhoud te controleren die ze verzenden
- Redenberichten die gebruikers vragen om de inhoud te rechtvaardigen die ze verzenden
Belangrijk
Met deze procedure worden alle instellingen overschreven die u al hebt gedefinieerd met de geavanceerde eigenschap OutlookUnlabeledCollaborationAction .
In productie raden we u aan om complicaties te voorkomen door de geavanceerde eigenschap OutlookUnlabeledCollaborationAction te gebruiken om uw regels te definiëren ofcomplexe regels te definiëren met een json-bestand zoals hieronder is gedefinieerd, maar niet beide.
Uw outlook-pop-upberichten aanpassen:
Maak .json bestanden, elk met een regel waarmee wordt geconfigureerd hoe pop-upberichten in Outlook worden weergegeven aan uw gebruikers. Zie voor meer informatie regelwaarde .json syntaxis en voorbeeld van pop-upaanpassing .json code.
Gebruik PowerShell om geavanceerde instellingen te definiëren waarmee de pop-upberichten worden beheerd die u configureert. Voer een afzonderlijke set opdrachten uit voor elke regel die u wilt configureren.
Elke set PowerShell-opdrachten moet de naam bevatten van het beleid dat u configureert, evenals de sleutel en waarde die uw regel definieert.
Gebruik de volgende syntaxis:
$filedata = Get-Content "<Path to json file>" Set-LabelPolicy -Identity <Policy name> -AdvancedSettings @{<Key> ="$filedata"}Hierin:
<Path to json file>is het pad naar het json-bestand dat u hebt gemaakt. Bijvoorbeeld: C:\Users\msanchez\Desktop\ \dlp\OutlookCollaborationRule_1.json.<Policy name>is de naam van het beleid dat u wilt configureren.<Key>is een naam voor uw regel. Gebruik de volgende syntaxis, waarbij <#> het serienummer is voor uw regel:OutlookCollaborationRule_<#>
Zie De json-syntaxis van uw Outlook-aanpassingsregels en regelwaarde ordenen voor meer informatie.
Tip
Geef uw bestand een naam met dezelfde tekenreeks als de sleutel die wordt gebruikt in de PowerShell-opdracht voor extra organisatie. Geef uw bestand bijvoorbeeld een naam OutlookCollaborationRule_1.json en gebruik vervolgens ook OutlookCollaborationRule_1 als uw sleutel.
Om ervoor te zorgen dat pop-ups worden weergegeven, zelfs wanneer documenten worden gedeeld vanuit buiten Outlook (bestandsshare >> een kopie bijvoegen), configureert u ook de geavanceerde instelling PostponeMandatoryBeforeSave.
Uw Outlook-aanpassingsregels ordenen
AIP gebruikt het serienummer in de sleutel die u invoert om de volgorde te bepalen waarin de regels worden verwerkt. Wanneer u de sleutels definieert die voor elke regel worden gebruikt, definieert u uw meer beperkende regels met lagere getallen, gevolgd door minder beperkende regels met hogere getallen.
Zodra een specifieke regelovereenkomst is gevonden, stopt AIP met het verwerken van de regels en voert de actie uit die is gekoppeld aan de overeenkomende regel. (Eerste overeenkomst - > Afsluitlogica )
Voorbeeld:
Stel dat u alle interne e-mailberichten wilt configureren met een specifiek waarschuwingsbericht , maar u wilt ze over het algemeen niet blokkeren. U wilt echter voorkomen dat gebruikers bijlagen verzenden die zijn geclassificeerd als geheim, zelfs als interne e-mailberichten.
In dit scenario rangschikt u deregelsleutel Voor geheim blokkeren. Dit is de specifiekere regel voordat u een algemene waarschuwing krijgt voor de interne regelsleutel:
- Voor het bericht Blokkeren : OutlookCollaborationRule_1
- Voor het bericht Waarschuwen : OutlookCollaborationRule_2
Regelwaarde .json syntaxis
Definieer de json-syntaxis van uw regel als volgt:
"type" : "And",
"nodes" : []
U moet ten minste twee knooppunten hebben, de eerste die de voorwaarde van uw regel vertegenwoordigt en de laatste die de actie van de regel vertegenwoordigt. Zie voor meer informatie:
Syntaxis van regelvoorwaarde
Regelvoorwaardeknooppunten moeten het knooppunttype bevatten en vervolgens de voorwaarden zelf.
Ondersteunde knooppunttypen zijn:
| Soort knooppunt | Beschrijving |
|---|---|
| And | Voert en op alle onderliggende knooppunten |
| Of | Voert of op alle onderliggende knooppunten |
| Not | Voert niet uit voor een eigen onderliggend element |
| Behalve | Retourneert niet voor zijn eigen kind, waardoor het zich gedraagt als Alle |
| SentTo, gevolgd door domeinen: listOfDomains | Controleert een van de volgende opties: - Als het bovenliggende item behalve is, controleert u of alle geadresseerden zich in een van de domeinen bevinden - Als het bovenliggende item iets anders is dan behalve, controleert u of een van de geadresseerden zich in een van de domeinen bevindt. |
| EMailLabel, gevolgd door label | Een van de volgende opties: - De label-id - null, indien niet gelabeld |
| AttachmentLabel, gevolgd door Label en ondersteunde extensies | Een van de volgende opties: waar: - Als het bovenliggende item behalve is, controleert u of alle bijlagen met één ondersteunde extensie binnen het label aanwezig zijn - Als het bovenliggende item iets anders is, behalve, controleert u of een van de bijlagen met één ondersteunde extensie binnen het label bestaat - Indien niet gelabeld en label = null false: Voor alle andere gevallen Opmerking: als de eigenschap Extensies leeg is of ontbreekt, worden alle ondersteunde bestandstypen (extensies) opgenomen in de regel. |
Syntaxis van regelactie
Regelacties kunnen een van de volgende zijn:
| Actie | Syntaxis | Voorbeeldbericht |
|---|---|---|
| Blokkade | Block (List<language, [title, body]>) |
E-mail geblokkeerd U staat op het punt om inhoud te verzenden die is geclassificeerd als Geheim naar een of meer niet-vertrouwde geadresseerden: rsinclair@contoso.comUw organisatiebeleid staat deze actie niet toe. U kunt deze geadresseerden verwijderen of de inhoud vervangen. |
| Waarschuwen | Warn (List<language,[title,body]>) |
Bevestiging vereist U staat op het punt om inhoud te verzenden die als Algemeen is geclassificeerd aan een of meer niet-vertrouwde geadresseerden: rsinclair@contoso.comUw organisatiebeleid vereist bevestiging voor het verzenden van deze inhoud. |
| Rechtvaardigen | Justify (numOfOptions, hasFreeTextOption, List<language, [Title, body, options1,options2….]> ) Inclusief maximaal drie opties. |
Reden vereist Uw organisatiebeleid vereist een reden voor het verzenden van inhoud die is geclassificeerd als Algemeen naar niet-vertrouwde geadresseerden. - Ik bevestig dat de geadresseerden zijn goedgekeurd voor het delen van deze inhoud - Mijn manager heeft het delen van deze inhoud goedgekeurd - Overige, zoals uitgelegd |
Actieparameters
Als er geen parameters worden opgegeven voor een actie, bevat de pop-ups de standaardtekst.
Alle teksten ondersteunen de volgende dynamische parameters:
| Parameter | Description |
|---|---|
${MatchedRecipientsList} |
De laatste overeenkomst voor de SentTo-voorwaarden |
${MatchedLabelName} |
Het label voor e-mail/bijlage, met de gelokaliseerde naam van het beleid |
${MatchedAttachmentName} |
De naam van de bijlage uit de laatste overeenkomst voor de bijlagelabelvoorwaarde |
Notitie
Alle berichten bevatten de optie Meer informatie, evenals de dialoogvensters Help en Feedback .
De taal is de CultureName voor de landinstellingsnaam, zoals: Engels = en-us; Spaans = es-es
Namen van alleen-bovenliggende talen worden ook ondersteund, zoals en alleen.
Voorbeeld van pop-upaanpassing .json code
In de volgende sets met .json code ziet u hoe u verschillende regels kunt definiëren die bepalen hoe pop-upberichten voor uw gebruikers worden weergegeven in Outlook.
- Voorbeeld 1: Interne e-mailberichten of bijlagen blokkeren
- Voorbeeld 2: Niet-geclassificeerde Office-bijlagen blokkeren
- Voorbeeld 3: Vereisen dat de gebruiker het verzenden van een vertrouwelijk e-mailbericht of bijlage accepteert
- Voorbeeld 4: Waarschuwen voor e-mail zonder label en een bijlage met een specifiek label
- Voorbeeld 5: Vragen om een reden, met twee vooraf gedefinieerde opties en een extra optie voor vrije tekst
Voorbeeld 1: Interne e-mailberichten of bijlagen blokkeren
Met de volgende .json code worden e-mailberichten of bijlagen geblokkeerd die zijn geclassificeerd als Intern , zodat ze niet worden ingesteld op externe geadresseerden.
In dit voorbeeld is 89a453df-5df4-4976-8191-259d0cf9560a de id van het interne label en zijn interne domeinen contoso.com en microsoft.com.
Omdat er geen specifieke extensies zijn opgegeven, worden alle ondersteunde bestandstypen opgenomen.
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"
},{
"type" : "EmailLabel",
"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"
}
]
},
{
"type" : "Block",
"LocalizationData": {
"en-us": {
"Title": "Email Blocked",
"Body": "The email or at least one of the attachments is classified as <Bold>${MatchedLabelName}</Bold>. Documents classified as <Bold> ${MatchedLabelName}</Bold> cannot be sent to external recipients (${MatchedRecipientsList}).<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance with classification requirements as per Contoso's policies."
},
"es-es": {
"Title": "Correo electrónico bloqueado",
"Body": "El correo electrónico o al menos uno de los archivos adjuntos se clasifica como <Bold> ${MatchedLabelName}</Bold>."
}
},
"DefaultLanguage": "en-us"
}
]
}
Voorbeeld 2: Niet-geclassificeerde Office-bijlagen blokkeren
Met de volgende .json code wordt voorkomen dat niet-geclassificeerde Office-bijlagen of e-mailberichten naar externe geadresseerden worden verzonden.
In het volgende voorbeeld: de lijst met bijlagen waarvoor labeling is vereist, is: .doc,.docm,.docx,.dot,.dotm,.dotx,.potm,.potx,.pps,.ppsm,.ppsx,.ppt,.pptm,.pptx,.vdw,.vdw.vsd,.vsdm,.vsdx,.vss,.vssm,.vst,.vstm,.vssx,.vstx,.xls,.xlsb,.xlt,.xlsm,.xlsx,.xltm,.xltx
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : null,
"Extensions": [
".doc",
".docm",
".docx",
".dot",
".dotm",
".dotx",
".potm",
".potx",
".pps",
".ppsm",
".ppsx",
".ppt",
".pptm",
".pptx",
".vdw",
".vsd",
".vsdm",
".vsdx",
".vss",
".vssm",
".vst",
".vstm",
".vssx",
".vstx",
".xls",
".xlsb",
".xlt",
".xlsm",
".xlsx",
".xltm",
".xltx"
]
},{
"type" : "EmailLabel",
"LabelId" : null
}
]
},
{
"type" : "Block",
"LocalizationData": {
"en-us": {
"Title": "Emailed Blocked",
"Body": "Classification is necessary for attachments to be sent to external recipients.<br><br>List of attachments that are not classified:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br>For MS Office documents, classify and send again.<br><br>For PDF files, classify the document or classify the email (using the most restrictive classification level of any single attachment or the email content) and send again."
},
"es-es": {
"Title": "Correo electrónico bloqueado",
"Body": "La clasificación es necesaria para que los archivos adjuntos se envíen a destinatarios externos."
}
},
"DefaultLanguage": "en-us"
}
]
}
Voorbeeld 3: Vereisen dat de gebruiker het verzenden van een vertrouwelijk e-mailbericht of bijlage accepteert
In het volgende voorbeeld wordt in Outlook een bericht weergegeven dat de gebruiker waarschuwt dat hij of zij een vertrouwelijk e-mailbericht of bijlage naar externe geadresseerden verzendt. Daarnaast moet de gebruiker accepteren.
Dit soort waarschuwingsbericht wordt technisch gezien beschouwd als een reden, omdat de gebruiker moet selecteren dat ik ga accepteren.
Omdat er geen specifieke extensies zijn opgegeven, worden alle ondersteunde bestandstypen opgenomen.
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"
},{
"type" : "EmailLabel",
"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"
}
]
},
{
"type" : "Justify",
"LocalizationData": {
"en-us": {
"Title": "Warning",
"Body": "You are sending a document that is classified as <Bold>${MatchedLabelName}</Bold> to at least one external recipient. Please make sure that the content is correctly classified and that the recipients are entitled to receive this document.<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><Bold>List of external email addresses:</Bold><br>${MatchedRecipientsList})<br><br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br><Bold>Acknowledgement</Bold><br>By clicking <Bold>I accept</Bold> below, you confirm that the recipient is entitled to receive the content and the communication complies with CS Policies and Standards",
"Options": [
"I accept"
]
},
"es-es": {
"Title": "Advertencia",
"Body": "Está enviando un documento clasificado como <Bold>${MatchedLabelName}</Bold> a al menos un destinatario externo. Asegúrese de que el contenido esté correctamente clasificado y que los destinatarios tengan derecho a recibir este documento.",
"Options": [
"Acepto"
]
}
},
"HasFreeTextOption":"false",
"DefaultLanguage": "en-us"
}
]
}
Voorbeeld 4: Waarschuwen voor e-mail zonder label en een bijlage met een specifiek label
De volgende .json code zorgt ervoor dat Outlook de gebruiker waarschuwt wanneer een intern e-mailbericht geen label heeft, met een bijlage met een specifiek label.
In dit voorbeeld is bcbef25a-c4db-446b-9496-1b558d9edd0e de id van het label van de bijlage en is de regel van toepassing op .docx-, .xlsx- en .pptx-bestanden.
Standaard ontvangen e-mailberichten met gelabelde bijlagen niet automatisch hetzelfde label.
{
"type" : "And",
"nodes" : [
{
"type" : "EmailLabel",
"LabelId" : null
},
{
"type": "AttachmentLabel",
"LabelId": "bcbef25a-c4db-446b-9496-1b558d9edd0e",
"Extensions": [
".docx",
".xlsx",
".pptx"
]
},
{
"type" : "SentTo",
"Domains" : [
"contoso.com",
]
},
{
"type" : "Warn"
}
]
}
Voorbeeld 5: Vragen om een reden, met twee vooraf gedefinieerde opties en een extra optie voor vrije tekst
De volgende .json code zorgt ervoor dat Outlook de gebruiker om een reden voor de actie vraagt. De redentekst bevat twee vooraf gedefinieerde opties, evenals een derde optie voor vrije tekst.
Omdat er geen specifieke extensies zijn opgegeven, worden alle ondersteunde bestandstypen opgenomen.
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
]
}
},
{
"type" : "EmailLabel",
"LabelId" : "34b8beec-40df-4219-9dd4-553e1c8904c1"
},
{
"type" : "Justify",
"LocalizationData": {
"en-us": {
"Title": "Justification Required",
"Body": "Your organization policy requires justification for you to send content classified as <Bold> ${MatchedLabelName}</Bold>,to untrusted recipients:<br>Recipients are: ${MatchedRecipientsList}",
"Options": [
"I confirm the recipients are approved for sharing this content",
"My manager approved sharing of this content",
"Other, as explained"
]
},
"es-es": {
"Title": "Justificación necesaria",
"Body": "La política de su organización requiere una justificación para que envíe contenido clasificado como <Bold> ${MatchedLabelName}</Bold> a destinatarios que no sean de confianza.",
"Options": [
"Confirmo que los destinatarios están aprobados para compartir este contenido.",
"Mi gerente aprobó compartir este contenido",
"Otro, como se explicó"
]
}
},
"HasFreeTextOption":"true",
"DefaultLanguage": "en-us"
}
]
}
SharePoint-time-outs configureren
De time-out voor SharePoint-interacties is standaard twee minuten, waarna de geprobeerde AIP-bewerking mislukt.
Vanaf versie 2.8.85.0 kunnen AIP-beheerders deze time-out beheren met behulp van de volgende geavanceerde eigenschappen, met behulp van een syntaxis van uu:mm:ss om de time-outs te definiëren:
SharepointWebRequestTimeout. Hiermee bepaalt u de time-out voor alle AIP-webaanvragen voor SharePoint. Standaard = 2 minuten.
Als uw beleid bijvoorbeeld Global heet, wordt met de volgende PowerShell-voorbeeldopdracht de time-out van de webaanvraag bijgewerkt naar 5 minuten.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}SharepointFileWebRequestTimeout. Bepaalt de time-out specifiek voor SharePoint-bestanden via AIP-webaanvragen. Standaard = 15 minuten
Als uw beleid bijvoorbeeld Global heet, wordt met de volgende PowerShell-voorbeeldopdracht de time-out van de bestandswebaanvraag bijgewerkt naar 10 minuten.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
Time-outs van scanners voorkomen in SharePoint
Als u lange bestandspaden in SharePoint-versie 2013 of hoger hebt, moet u ervoor zorgen dat de waarde httpRuntime.maxUrlLength van uw SharePoint-server groter is dan de standaardwaarde van 260 tekens.
Deze waarde wordt gedefinieerd in de klasse HttpRuntimeSection van de ASP.NET configuratie.
De httpRuntimeSection-klasse bijwerken:
Maak een back-up van de configuratie van web.config .
Werk de waarde maxUrlLength indien nodig bij. Voorbeeld:
<httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000" />Start de SharePoint-webserver opnieuw op en controleer of deze correct wordt geladen.
Selecteer bijvoorbeeld in IiS-beheer (Windows Internet Information Servers) uw site en selecteer onder Website beheren opnieuw opstarten.
Prestatieproblemen met Outlook voorkomen met S/MIME-e-mailberichten
Prestatieproblemen kunnen optreden in Outlook wanneer de S/MIME-e-mailberichten worden geopend in het leesvenster. Als u deze problemen wilt voorkomen, schakelt u de geavanceerde eigenschap OutlookSkipSmimeOnReadingPaneEnabled in.
Als u deze eigenschap inschakelt, voorkomt u dat de AIP-balk en de e-mailclassificaties worden weergegeven in het leesvenster.
Als uw beleid bijvoorbeeld Global heet, wordt met de volgende PowerShell-voorbeeldopdracht de eigenschap OutlookSkipSmimeOnReadingPaneEnabled ingeschakeld:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookSkipSmimeOnReadingPaneEnabled="true"}
Functies voor documenttracking uitschakelen
Standaard zijn functies voor documenttracking ingeschakeld voor uw tenant. Als u ze wilt uitschakelen, bijvoorbeeld voor privacyvereisten in uw organisatie of regio, stelt u de waarde EnableTrackAndRevoke in op False.
Zodra deze optie is uitgeschakeld, zijn documenttrackinggegevens niet meer beschikbaar in uw organisatie en zien gebruikers de menuoptie Intrekken niet meer in hun Office-app s.
Geef voor het geselecteerde labelbeleid de volgende tekenreeksen op:
Sleutel: EnableTrackAndRevoke
Waarde: Onwaar
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableTrackAndRevoke="False"}
Nadat u deze waarde hebt ingesteld op False, wordt het bijhouden en intrekken als volgt uitgeschakeld:
- Als u beveiligde documenten opent met de geïntegreerde AIP-labelclient, worden de documenten niet meer geregistreerd voor bijhouden en intrekken.
- Eindgebruikers zien de menuoptie Intrekken niet meer in hun Office-app s.
Beveiligde documenten die al zijn geregistreerd voor het bijhouden, blijven echter bijhouden en beheerders kunnen de toegang vanuit PowerShell nog steeds intrekken. Als u functies voor het bijhouden en intrekken volledig wilt uitschakelen, voert u ook de cmdlet Disable-AipServiceDocumentTrackingFeature uit.
Deze configuratie maakt gebruik van een geavanceerde beleidsinstelling die u moet configureren met behulp van Security & Compliance Center PowerShell.
Tip
Als u het bijhouden en intrekken weer wilt inschakelen, stelt u EnableTrackAndRevoke in op True en voert u ook de cmdlet Enable-AipServiceDocumentTrackingFeature uit.
De optie Intrekken uitschakelen voor eindgebruikers in Office-app s
Als u niet wilt dat eindgebruikers de toegang tot beveiligde documenten uit hun Office-app s intrekken, kunt u de optie Toegang intrekken uit uw Office-app s verwijderen.
Notitie
Als u de optie Toegang intrekken verwijdert, blijven uw beveiligde documenten op de achtergrond bijgehouden en blijft de beheerder de toegang tot documenten intrekken via PowerShell.
Geef voor het geselecteerde labelbeleid de volgende tekenreeksen op:
Sleutel: EnableRevokeGuiSupport
Waarde: Onwaar
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}
De time-out voor automatisch labelen voor Office-bestanden configureren
De time-out voor automatisch labelen van de scanner op Office-bestanden is standaard 3 seconden.
Als u een complex Excel-bestand met veel bladen of rijen hebt, is 3 seconden mogelijk niet voldoende om automatisch labels toe te passen. Als u deze time-out voor het geselecteerde labelbeleid wilt verhogen, geeft u de volgende tekenreeksen op:
Sleutel: OfficeContentExtractionTimeout
Waarde: Seconden, in de volgende notatie:
hh:mm:ss.
Belangrijk
U wordt aangeraden deze time-out niet te verhogen naar meer dan 15 seconden.
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}
De bijgewerkte time-out is van toepassing op automatisch labelen op alle Office-bestanden.
Classificatieglobaliseringsfuncties inschakelen (openbare preview)
Classificatieglobaliseringsfuncties, waaronder verbeterde nauwkeurigheid voor Oost-Aziatische talen en ondersteuning voor dubbel-bytetekens. Deze verbeteringen zijn alleen beschikbaar voor 64-bits processen en zijn standaard uitgeschakeld.
Schakel deze functies voor uw beleid in: geef de volgende tekenreeksen op:
Sleutel: EnableGlobalization
Waarde:
True
Voorbeeld van de PowerShell-opdracht, waarbij uw labelbeleid de naam 'Globaal' heeft:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}
Als u de ondersteuning opnieuw wilt uitschakelen en wilt terugkeren naar de standaardinstelling, stelt u de geavanceerde instelling EnableGlobalization in op een lege tekenreeks.
Instellingen voor gegevensgrens inschakelen
Na de toezegging van Microsoft aan eu-gegevensgrens kunnen EU-klanten van de geïntegreerde Azure Information Protection-labelclient hun gegevens verzenden naar de EU die moeten worden opgeslagen en verwerkt.
Schakel deze functie in de AIP-client in door deze registersleutel te wijzigen waarmee de juiste locatie wordt opgegeven waarnaar gebeurtenissen moeten worden verzonden:
- Registersleutel: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\DataBoundary (DWORD)
- Waarden:
Default = 0North_America = 1European_Union = 2
Systeemstandaardbrowser inschakelen voor verificatie
Gebruik de standaardbrowser van het systeem voor verificatie in de AIP-client. Standaard opent de AIP-client Microsoft Edge voor verificatie.
Schakel deze functie in de AIP-client in door deze registersleutel in te schakelen:
- Registersleutel: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\MSALUseSytemDefaultBrowserAuth (DWORD)
- Waarden:
Disabled = 0Enabled = 1
Volgende stappen
Nu u de geïntegreerde Labelclient van Azure Information Protection hebt aangepast, raadpleegt u de volgende bronnen voor aanvullende informatie die u mogelijk nodig hebt om deze client te ondersteunen:
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor