Beheerdershandleiding: Aangepaste configuraties voor de klassieke Azure Information Protection-client
Gebruik de volgende informatie voor geavanceerde configuraties die u mogelijk nodig hebt voor specifieke scenario's of een subset gebruikers wanneer u de Azure Information Protection-client beheert.
Voor sommige van deze instellingen moet het register worden bewerkt en voor sommige zijn geavanceerde instellingen nodig die u moet configureren in Azure Portal. Daarna moet u publiceren zodat clients kunnen downloaden.
Geavanceerde instellingen voor klassieke clientconfiguratie configureren in de portal
Als u dit nog niet hebt gedaan, meldt u zich in een nieuw browservenster aan bij de Azure Portal en gaat u naar het deelvenster Azure Information Protection.
Selecteer beleidsregels in het menuoptie Classificatielabels>.
Selecteer in het deelvenster Azure Information Protection - Beleid het contextmenu (...) naast het beleid dat de geavanceerde instellingen bevat. Selecteer vervolgens Geavanceerde instellingen.
U kunt geavanceerde instellingen voor het globale beleid of voor beleidsregels met bereik configureren.
Typ in het deelvenster Geavanceerde instellingen de naam en waarde van de geavanceerde instelling en selecteer Opslaan en sluiten.
Zorg ervoor dat gebruikers voor dit beleid alle Office toepassingen die ze hadden geopend, opnieuw opstarten.
Als u de instelling niet meer nodig hebt en het standaardgedrag wilt herstellen: selecteer in het deelvenster Geavanceerde instellingen het contextmenu (...) naast de instelling die u niet meer nodig hebt en selecteer Vervolgens Verwijderen. Klik vervolgens op Opslaan en sluiten.
Beschikbare geavanceerde klassieke clientinstellingen
Aanmeldingsprompts voorkomen op alleen AD RMS-computers
De Azure Information Protection-client probeert standaard automatisch verbinding te maken met de Azure Information Protection-service. Voor computers die alleen met AD RMS communiceren, kan deze configuratie resulteren in een overbodige aanmeldingsprompt voor gebruikers. U kunt deze aanmeldingsprompt voorkomen door het register te bewerken.
Zoek de naam van de volgende waarde en stel de waardegegevens in op 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Ongeacht deze instelling volgt de Azure Information Protection-client nog steeds het standaard detectieproces van de RMS-service om het AD RMS-cluster te vinden.
Aanmelden als een andere gebruiker
In een productieomgeving hoeft u zich meestal niet als een andere gebruiker aan te melden wanneer u de Azure Information Protection-client gebruikt. Als beheerder moet u zich tijdens een testfase echter mogelijk aanmelden als een andere gebruiker.
Met het dialoogvenster Microsoft Azure Information Protection kunt u controleren met welk account u momenteel bent aangemeld: open een Office-toepassing en klik op het tabblad Start, klik in de groep Beveiliging op Beveiligen en klik vervolgens op Help en feedback. Uw accountnaam wordt weergegeven in de sectie Clientstatus.
Controleer ook de weergegeven domeinnaam van het aangemelde account. U kunt gemakkelijk over het hoofd zien, dat u weliswaar met de juiste accountnaam bent aangemeld maar met het verkeerde domein. Als gevolg van het gebruik van het verkeerde account kan het downloaden van het Azure Information Protection-beleid mislukken of ziet u de verwachte labels of het verwachte gedrag niet.
Aanmelden als een andere gebruiker:
Navigeer naar %localappdata%\Microsoft\MSIP en verwijder het TokenCache-bestand .
Start alle geopende Office-toepassingen opnieuw en meld u aan met uw andere gebruikersaccount. Als u in uw Office-toepassing geen prompt voor aanmelding bij de Azure Information Protection-service ziet, gaat u terug naar het dialoogvenster Microsoft Azure Information Protection en klikt u in de bijgewerkte sectie Clientstatus op Aanmelden.
Aanvullend:
Als de Azure Information Protection-client nog steeds is aangemeld met het oude account nadat u deze stappen hebt voltooid, verwijdert u alle cookies uit Internet Explorer en herhaalt u stap 1 en 2.
Als u eenmalige aanmelding gebruikt, moet u zich afmelden bij Windows en u aanmelden met uw andere gebruikersaccount nadat u het tokenbestand hebt verwijderd. De Azure Information Protection-client wordt dan automatisch geverifieerd met het momenteel aangemelde gebruikersaccount.
Deze oplossing wordt ondersteund voor aanmelden als een andere gebruiker vanuit dezelfde tenant. De oplossing wordt niet ondersteund voor aanmelden als een andere gebruiker vanuit een andere tenant. Gebruik voor het testen van Azure Information Protection met meerdere tenants verschillende computers.
U kunt de optie Instellingen opnieuw instellen in Help en Feedback gebruiken om u af te melden en het momenteel gedownloade Azure Information Protection-beleid te verwijderen.
Modus Alleen-beveiliging afdwingen wanneer uw organisatie een combinatie van licenties heeft
Als uw organisatie geen licenties heeft voor Azure Information Protection, maar wel licenties heeft voor Microsoft 365 met de Azure Rights Management-service voor het beveiligen van gegevens, wordt de klassieke AIP-client automatisch uitgevoerd in de modus alleen-beveiliging.
Als uw organisatie echter een abonnement op Azure Information Protection heeft, kunnen standaard alle Windows computers het Azure Information Protection-beleid downloaden. De Azure Information Protection-client voert geen licentiecontrole en afdwinging uit.
Als u een aantal gebruikers hebt die geen licentie voor Azure Information Protection hebben, maar wel een licentie hebben voor Microsoft 365 die de Azure Rights Management-service bevat, bewerkt u het register op de computers van deze gebruikers om te voorkomen dat gebruikers de classificatie- en labelfuncties zonder licentie uitvoeren vanuit Azure Information Protection.
Zoek de naam van de volgende waarde en stel de waardegegevens in op 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Controleer bovendien of deze computers geen bestand met de naam Policy.msip hebben in de map %LocalAppData%\Microsoft\MSIP . Als dit bestand bestaat, verwijdert u het. Dit bestand bevat het Azure Information Protection-beleid en is mogelijk gedownload voordat u het register hebt bewerkt, of als de Azure Information Protection-client is geïnstalleerd met de demooptie.
Een probleem melden voor gebruikers toevoegen
Bij deze configuratie wordt een geavanceerde clientinstelling gebruikt die u moet configureren in Azure Portal.
Wanneer u de volgende geavanceerde clientinstelling opgeeft, zien gebruikers een optie Een probleem melden die ze kunnen selecteren in het dialoogvenster Help en Feedback-client . Geef een HTTP-tekenreeks op voor de koppeling. Bijvoorbeeld een aangepaste webpagina die u hebt voor gebruikers om problemen te melden, of een e-mailadres dat naar uw helpdesk gaat.
Voer de volgende tekenreeksen in om deze geavanceerde instelling te configureren:
Sleutel: ReportAnIssueLink
Waarde: <HTTP-tekenreeks>
Voorbeeldwaarde voor een website: https://support.contoso.com
Voorbeeldwaarde voor een e-mailadres: mailto:helpdesk@contoso.com
De menuoptie Classificeren en beveiligen in de Bestandenverkenner van Windows verbergen
Maak de volgende DWORD-waardenaam (met waardegegevens):
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable
Ondersteuning voor niet-verbonden computers
De Azure Information Protection-client probeert standaard automatisch verbinding te maken met de Azure Information Protection-service om het meest recente Azure Information Protection-beleid te downloaden. Als u computers hebt waarvan u weet dat u gedurende een bepaalde periode geen verbinding met internet kunt maken, kunt u voorkomen dat de client verbinding probeert te maken met de service door het register te bewerken.
Houd er rekening mee dat de client zonder internetverbinding geen beveiliging kan toepassen (of de beveiliging kan verwijderen) met behulp van de cloudsleutel van uw organisatie. In plaats daarvan is de client beperkt tot het gebruik van labels die alleen classificatie toepassen, of beveiliging die gebruikmaakt van HYOK.
U kunt een aanmeldingsprompt naar de Azure Information Protection-service voorkomen met behulp van een geavanceerde clientinstelling die u moet configureren in de Azure Portal en vervolgens het beleid voor computers downloaden. U kunt deze aanmeldingsprompt ook voorkomen door het register te bewerken.
De geavanceerde clientinstelling configureren:
Voer de volgende tekenreeksen in:
Sleutel: PullPolicy
Waarde: False
Download het beleid met deze instelling en installeer het op computers met behulp van de instructies die volgen.
U kunt het register ook bewerken:
Zoek de naam van de volgende waarde en stel de waardegegevens in op 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
De client moet een geldig beleidsbestand met de naam Policy.msip hebben in de map %LocalAppData%\Microsoft\MSIP .
U kunt het globale beleid of een scoped beleid exporteren vanuit de Azure Portal en het geëxporteerde bestand naar de clientcomputer kopiëren. U kunt deze methode ook gebruiken om een verouderd beleidsbestand te vervangen door het meest recente beleid. Het exporteren van het beleid biedt echter geen ondersteuning voor het scenario waarin een gebruiker deel uitmaakt van meer dan één scoped beleid. Houd er ook rekening mee dat als gebruikers de optie Opnieuw instellen Instellingen selecteren in Help en feedback, het beleidsbestand wordt verwijderd en de client onbruikbaar wordt totdat u handmatig het beleidsbestand vervangt of de client verbinding maakt met de service om het beleid te downloaden.
Wanneer u het beleid uit de Azure Portal exporteert, wordt een gezipt bestand gedownload dat meerdere versies van het beleid bevat. Deze beleidsversies komen overeen met verschillende versies van de Azure Information Protection-client:
Pak het bestand uit en gebruik de volgende tabel om te bepalen welk beleidsbestand u nodig hebt.
Bestandsnaam Bijbehorende clientversie Policy1.1.msip versie 1.2 Policy1.2.msip versie 1.3 - 1.7 Policy1.3.msip versie 1.8 - 1.29 Policy1.4.msip versie 1.32 en hoger Wijzig de naam van het geïdentificeerde bestand in Policy.msip en kopieer het vervolgens naar de map %LocalAppData%\Microsoft\MSIP op computers waarop de Azure Information Protection-client is geïnstalleerd.
Als op uw niet-verbonden computer de huidige GA-versie van de Azure Information Protection-scanner wordt uitgevoerd, zijn er extra configuratiestappen die u moet uitvoeren. Zie Beperking voor meer informatie : De scannerserver kan geen internetverbinding hebben in de vereisten voor de implementatie van de scanner.
De knop Niet doorsturen verbergen of weergeven in Outlook
De aanbevolen methode voor het configureren van deze optie is met de beleidsinstellingDe knop Niet doorsturen toevoegen aan het Outlook lint. U kunt deze optie echter ook configureren met behulp van een geavanceerde clientinstelling die u in de Azure Portal configureert.
Wanneer u deze instelling configureert, wordt de knop Niet doorsturen op het lint in Outlook verborgen of weergegeven. Deze instelling heeft geen effect op de optie Niet doorsturen vanuit Office menu's.
Voer de volgende tekenreeksen in om deze geavanceerde instelling te configureren:
Sleutel: DisableDNF
Waarde: Waar om de knop te verbergen of Onwaar om de knop weer te geven
De opties voor aangepaste machtigingen beschikbaar maken of niet beschikbaar maken voor gebruikers
De aanbevolen methode voor het configureren van deze optie is met behulp van de beleidsinstellingDe optie Aangepaste machtigingen beschikbaar maken voor gebruikers. U kunt deze optie echter ook configureren met behulp van een geavanceerde clientinstelling die u in de Azure Portal configureert.
Wanneer u deze instelling configureert en het beleid publiceert voor gebruikers, worden de opties voor aangepaste machtigingen zichtbaar voor gebruikers om hun eigen beveiligingsinstellingen te selecteren of zijn ze verborgen zodat gebruikers hun eigen beveiligingsinstellingen niet kunnen selecteren, tenzij hierom wordt gevraagd.
Voer de volgende tekenreeksen in om deze geavanceerde instelling te configureren:
Sleutel: EnableCustomPermissions
Waarde: Waar om de optie voor aangepaste machtigingen zichtbaar te maken of Onwaar om deze optie te verbergen
Voor bestanden die zijn beveiligd met aangepaste machtigingen, geeft u altijd aangepaste machtigingen weer voor gebruikers in Bestandenverkenner
Bij deze configuratie wordt een geavanceerde clientinstelling gebruikt die u moet configureren in Azure Portal.
Wanneer u de beleidsinstellingConfigureer de optie Aangepaste machtigingen beschikbaar maken voor gebruikers of de equivalente geavanceerde clientinstelling in de vorige sectie, kunnen gebruikers aangepaste machtigingen die al zijn ingesteld in een beveiligd document niet zien of wijzigen.
Wanneer u deze geavanceerde clientinstelling maakt en configureert, kunnen gebruikers aangepaste machtigingen voor een beveiligd document zien en wijzigen wanneer ze Bestandenverkenner gebruiken en met de rechtermuisknop op het bestand klikken. De optie Aangepaste machtigingen van de knop Beveiligen op het lint Office blijft verborgen.
Voer de volgende tekenreeksen in om deze geavanceerde instelling te configureren:
Sleutel: EnableCustomPermissionsForCustomProtectedFiles
Waarde: Waar
Notitie
Deze functie is momenteel beschikbaar als preview-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
De Azure Information Protection-balk blijvend verbergen
Bij deze configuratie wordt een geavanceerde clientinstelling gebruikt die u moet configureren in Azure Portal. Gebruik deze alleen wanneer de beleidsinstellingde Information Protection balk in Office-apps is ingesteld op Aan.
Als een gebruiker standaard de optie Balk weergeven wist op het tabblad Start, groep Beveiliging, knop Beveiligen, wordt de Information Protection balk niet meer weergegeven in die Office-app. De balk wordt echter automatisch opnieuw weergegeven wanneer een Office-app wordt geopend.
Als u wilt voorkomen dat de balk automatisch wordt weergegeven nadat een gebruiker ervoor heeft gekozen deze te verbergen, gebruikt u deze clientinstelling. Deze instelling heeft geen gevolgen als de gebruiker de balk sluit met het pictogram Deze balk sluiten.
Hoewel de Azure Information Protection-balk verborgen blijft, kunnen gebruikers nog steeds een label selecteren op een tijdelijk weergegeven balk als u aanbevolen classificatie hebt geconfigureerd of wanneer een document of e-mailbericht een label moet hebben.
Voer de volgende tekenreeksen in om deze geavanceerde instelling te configureren:
Sleutel: EnableBarHiding
Waarde: Waar
Ondersteuning voor bestellingen inschakelen voor sublabels in bijlagen
Bij deze configuratie wordt een geavanceerde clientinstelling gebruikt die u moet configureren in Azure Portal.
Gebruik deze instelling wanneer u sublabels hebt en u de volgende beleidsinstelling hebt geconfigureerd:
- Voor e-mailberichten met bijlagen past u een label toe dat overeenkomt met de hoogste classificatie voor die bijlagen
Configureer de volgende tekenreeksen:
Sleutel: CompareSubLabelsInAttachmentAction
Waarde: Waar
Zonder deze instelling wordt het eerste label dat is gevonden van het bovenliggende label met de hoogste classificatie toegepast op het e-mailbericht.
Met deze instelling wordt het sublabel dat als laatste is besteld van het bovenliggende label met de hoogste classificatie toegepast op het e-mailbericht. Als u de volgorde van uw labels wilt wijzigen om het gewenste label voor dit scenario toe te passen, raadpleegt u Een label verwijderen of opnieuw ordenen voor Azure Information Protection.
Outlook-berichten uitsluiten van verplichte labeling
Bij deze configuratie wordt een geavanceerde clientinstelling gebruikt die u moet configureren in Azure Portal.
Wanneer u de beleidsinstellingAlle documenten en e-mailberichten inschakelt, moet standaard een label zijn toegepast op alle opgeslagen documenten en verzonden e-mailberichten. Wanneer u de volgende geavanceerde instelling configureert, is de beleidsinstelling alleen van toepassing op Office documenten en niet op Outlook berichten.
Voer de volgende tekenreeksen in om deze geavanceerde instelling te configureren:
Sleutel: DisableMandatoryInOutlook
Waarde: Waar
Aanbevolen classificatie inschakelen in Outlook
Bij deze configuratie wordt een geavanceerde clientinstelling gebruikt die u moet configureren in Azure Portal.
Wanneer u een label configureert voor aanbevolen classificatie, wordt gebruikers gevraagd het aanbevolen label in Word, Excel en PowerPoint te accepteren of te sluiten. Deze instelling breidt deze aanbeveling voor labels uit om ook weer te geven in Outlook.
Voer de volgende tekenreeksen in om deze geavanceerde instelling te configureren:
Sleutel: OutlookRecommendationEnabled
Waarde: Waar
Notitie
Deze functie is momenteel beschikbaar als preview-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Pop-upberichten implementeren in Outlook die e-mailberichten waarschuwen, uitvullen of blokkeren die worden verzonden
Deze configuratie maakt gebruik van meerdere geavanceerde clientinstellingen die u moet configureren in de Azure Portal.
Wanneer u de volgende geavanceerde clientinstellingen maakt en configureert, zien gebruikers pop-upberichten in Outlook die hen kunnen waarschuwen voordat ze een e-mailbericht verzenden, of vragen om een reden op te geven waarom ze een e-mailbericht verzenden of voorkomen dat ze een e-mailbericht verzenden voor een van de volgende scenario's:
Hun e-mail of bijlage voor het e-mailbericht heeft een specifiek label:
- De bijlage kan elk bestandstype zijn
Hun e-mail of bijlage voor het e-mailbericht heeft geen label:
- De bijlage kan een Office document of PDF-document zijn
Wanneer aan deze voorwaarden wordt voldaan, ziet de gebruiker een pop-upbericht met een van de volgende acties:
Waarschuwen: de gebruiker kan bevestigen en verzenden of annuleren.
Uitvullen: De gebruiker wordt om reden gevraagd (vooraf gedefinieerde opties of vrije vorm). De gebruiker kan het e-mailbericht vervolgens verzenden of annuleren. De tekst van de reden wordt naar de x-header van de e-mail geschreven, zodat deze door andere systemen kan worden gelezen. Bijvoorbeeld DLP-services (Preventie van gegevensverlies).
Blokkeren: De gebruiker kan het e-mailbericht niet verzenden terwijl de voorwaarde blijft bestaan. Het bericht bevat de reden voor het blokkeren van het e-mailbericht, zodat de gebruiker het probleem kan oplossen. Verwijder bijvoorbeeld specifieke geadresseerden of label het e-mailbericht.
Wanneer de pop-upberichten voor een specifiek label zijn, kunt u uitzonderingen configureren voor geadresseerden op domeinnaam.
De resulterende acties uit de pop-upberichten worden vastgelegd in het lokale Windows gebeurtenislogboektoepassingen en -serviceslogboeken>van Azure Information Protection:
Berichten waarschuwen: Informatie-id 301
Berichten uitvullen: informatie-id 302
Berichten blokkeren: Informatie-id 303
Voorbeeld van gebeurtenisvermelding uit een uitvullend bericht:
Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Price list.msg
Item Name: Price list
Process Name: OUTLOOK
Action: Justify
User Justification: My manager approved sharing of this content
Action Source:
User Response: Confirmed
De volgende secties bevatten configuratie-instructies voor elke geavanceerde clientinstelling en u kunt deze voor uzelf zien in actie met zelfstudie: Azure Information Protection configureren om de oversharing van informatie te beheren met behulp van Outlook.
Pop-upberichten voor specifieke labels implementeren, uitvullen of blokkeren:
Als u de pop-upberichten voor specifieke labels wilt implementeren, moet u de label-id voor deze labels weten. De label-id-waarde wordt weergegeven in het deelvenster Label wanneer u het Azure Information Protection-beleid in de Azure Portal bekijkt of configureert. Voor bestanden waarop labels zijn toegepast, kunt u ook de Get-AIPFileStatus PowerShell-cmdlet uitvoeren om de label-id (MainLabelId of SubLabelId) te identificeren. Wanneer een label sublabels bevat, geeft u altijd de id op van alleen een sublabel en niet van het bovenliggende label.
Maak een of meer van de volgende geavanceerde clientinstellingen met de volgende sleutels. Geef voor de waarden een of meer labels op op basis van hun id's, gescheiden door een komma.
Voorbeeldwaarde voor meerdere label-id's als een door komma's gescheiden tekenreeks: dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
Berichten waarschuwen:
Sleutel: OutlookWarnUntrustedCollaborationLabel
Waarde: <label-id's, door komma's gescheiden>
Redenberichten:
Sleutel: OutlookJustifyUntrustedCollaborationLabel
Waarde: <label-id's, door komma's gescheiden>
Berichten blokkeren:
Sleutel: OutlookBlockUntrustedCollaborationLabel
Waarde: <label-id's, door komma's gescheiden>
Domeinnamen uitsluiten voor pop-upberichten die zijn geconfigureerd voor specifieke labels
Voor de labels die u hebt opgegeven met deze pop-upberichten, kunt u specifieke domeinnamen uitsluiten zodat gebruikers de berichten niet zien voor geadresseerden die die domeinnaam hebben opgenomen in hun e-mailadres. In dit geval worden de e-mailberichten zonder onderbreking verzonden. Als u meerdere domeinen wilt opgeven, voegt u deze toe als één tekenreeks, gescheiden door komma's.
Een typische configuratie is het weergeven van pop-upberichten alleen voor geadresseerden die zich buiten uw organisatie bevinden of die geen geautoriseerde partners voor uw organisatie zijn. In dit geval geeft u alle e-maildomeinen op die door uw organisatie en door uw partners worden gebruikt.
Maak de volgende geavanceerde clientinstellingen en geef voor de waarde een of meer domeinen op, die worden gescheiden door een komma.
Voorbeeldwaarde voor meerdere domeinen als een door komma's gescheiden tekenreeks: contoso.com,fabrikam.com,litware.com
Berichten waarschuwen:
Sleutel: OutlookWarnTrustedDomains
Waarde: <domeinnamen, door komma's gescheiden>
Redenberichten:
Sleutel: OutlookJustifyTrustedDomains
Waarde: <domeinnamen, door komma's gescheiden>
Berichten blokkeren:
Sleutel: OutlookBlockTrustedDomains
Waarde: <domeinnamen, door komma's gescheiden>
U hebt bijvoorbeeld de geavanceerde clientinstelling OutlookBlockUntrustedCollaborationLabel opgegeven voor het label Vertrouwelijk \ Alle werknemers . U geeft nu de aanvullende geavanceerde clientinstelling van OutlookBlockTrustedDomains en contoso.com op. Als gevolg hiervan kan een gebruiker een e-mailbericht verzenden naar john@sales.contoso.com het label Vertrouwelijk \ Alle werknemers , maar wordt het verzenden van een e-mailbericht met hetzelfde label naar een Gmail-account geblokkeerd.
Pop-upberichten implementeren, uitvullen of blokkeren voor e-mailberichten of bijlagen die geen label hebben:
Maak de volgende geavanceerde clientinstelling met een van de volgende waarden:
Berichten waarschuwen:
Sleutel: OutlookUnlabeledCollaborationAction
Waarde: Waarschuwen
Redenberichten:
Sleutel: OutlookUnlabeledCollaborationAction
Waarde: Uitvullen
Berichten blokkeren:
Sleutel: OutlookUnlabeledCollaborationAction
Waarde: Blok
Schakel deze berichten uit:
Sleutel: OutlookUnlabeledCollaborationAction
Waarde: uit
Specifieke bestandsnaamextensies definiëren voor waarschuwingen, uitvullen of pop-upberichten blokkeren voor e-mailbijlagen die geen label hebben
De pop-upberichten waarschuwen, uitvullen of blokkeren zijn standaard van toepassing op alle Office documenten en PDF-documenten. U kunt deze lijst verfijnen door op te geven welke bestandsnaamextensies de waarschuwing, uitvullen of blokkeren van berichten moeten weergeven met een extra geavanceerde clienteigenschap en een door komma's gescheiden lijst met bestandsnaamextensies.
Voorbeeldwaarde voor meerdere bestandsnaamextensies die moeten worden gedefinieerd als een door komma's gescheiden tekenreeks: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM
In dit voorbeeld leidt een niet-gelabeld PDF-document niet tot waarschuwingen, uitvullen of pop-upberichten blokkeren.
Sleutel: OutlookOverrideUnlabeledCollaborationExtensions
Waarde: <bestandsnaamextensies om berichten weer te geven, door komma's gescheiden>
Een andere actie opgeven voor e-mailberichten zonder bijlagen
Standaard is de waarde die u opgeeft voor OutlookUnlabeledCollaborationAction om pop-upberichten te waarschuwen, uit te rechtvaardigen of te blokkeren, van toepassing op e-mailberichten of bijlagen die geen label hebben. U kunt deze configuratie verfijnen door een andere geavanceerde clientinstelling op te geven voor e-mailberichten die geen bijlagen hebben.
Maak de volgende geavanceerde clientinstelling met een van de volgende waarden:
Berichten waarschuwen:
Sleutel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Waarde: Waarschuwen
Redenberichten:
Sleutel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Waarde: Uitvullen
Berichten blokkeren:
Sleutel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Waarde: Blok
Schakel deze berichten uit:
Sleutel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Waarde: uit
Als u deze clientinstelling niet opgeeft, wordt de waarde die u opgeeft voor OutlookUnlabeledCollaborationAction gebruikt voor niet-gelabelde e-mailberichten zonder bijlagen en niet-gelabelde e-mailberichten met bijlagen.
Een ander standaardlabel instellen voor Outlook
Bij deze configuratie wordt een geavanceerde clientinstelling gebruikt die u moet configureren in Azure Portal.
Wanneer u deze instelling configureert, past Outlook niet het standaardlabel toe dat is geconfigureerd in het Azure Information Protection-beleid voor de instelling Selecteer het standaardlabel. In plaats daarvan kan Outlook een ander standaardlabel of geen label toepassen.
Als u een ander label wilt toepassen, moet u de label-id opgeven. De label-id-waarde wordt weergegeven in het deelvenster Label wanneer u het Azure Information Protection-beleid in de Azure Portal bekijkt of configureert. Voor bestanden waarop labels zijn toegepast, kunt u ook de Get-AIPFileStatus PowerShell-cmdlet uitvoeren om de label-id (MainLabelId of SubLabelId) te identificeren. Wanneer een label sublabels bevat, geeft u altijd de id op van alleen een sublabel en niet van het bovenliggende label.
Geef geen op, zodat Outlook het standaardlabel niet toepast.
Voer de volgende tekenreeksen in om deze geavanceerde instelling te configureren:
Sleutel: OutlookDefaultLabel
Waarde: <label-id> of Geen
Een label configureren om S/MIME-beveiliging toe te passen in Outlook
Bij deze configuratie wordt een geavanceerde clientinstelling gebruikt die u moet configureren in Azure Portal.
Gebruik deze instelling alleen als u een werkende S/MIME-implementatie hebt en u wilt dat deze beveiligingsmethode automatisch wordt toegepast op e-mailberichten in plaats van Rights Management beveiliging van Azure Information Protection. De resulterende beveiliging is hetzelfde als wanneer een gebruiker handmatig S/MIME-opties selecteert in Outlook.
Voor deze configuratie moet u een geavanceerde clientinstelling opgeven met de naam LabelToSMIME voor elk Azure Information Protection-label dat u S/MIME-beveiliging wilt toepassen. Stel vervolgens voor elke vermelding de waarde in met behulp van de volgende syntaxis:
[Azure Information Protection label ID];[S/MIME action]
De label-id-waarde wordt weergegeven in het deelvenster Label wanneer u het Azure Information Protection-beleid in de Azure Portal bekijkt of configureert. Als u S/MIME wilt gebruiken met een sublabel, geeft u altijd de id op van alleen het sublabel en niet van het bovenliggende label. Wanneer u een sublabel opgeeft, moet het bovenliggende label zich in hetzelfde bereik of in het globale beleid bevinden.
De S/MIME-actie kan het volgende zijn:
Sign;Encrypt: Een digitale handtekening en S/MIME-versleuteling toepassenEncrypt: Alleen S/MIME-versleuteling toepassenSign: Alleen een digitale handtekening toepassen
Voorbeeldwaarden voor een label-id van dcf781ba-727f-4860-b3c1-73479e31912b:
Een digitale handtekening en S/MIME-versleuteling toepassen:
dcf781ba-727f-4860-b3c1-73479e31912b; Ondertekenen; Coderen
Alleen S/MIME-versleuteling toepassen:
dcf781ba-727f-4860-b3c1-73479e31912b; Coderen
Alleen een digitale handtekening toepassen:
dcf781ba-727f-4860-b3c1-73479e31912b; Teken
Als gevolg van deze configuratie, wanneer het label wordt toegepast voor een e-mailbericht, wordt S/MIME-beveiliging toegepast op het e-mailbericht, naast de classificatie van het label.
Als het label dat u opgeeft is geconfigureerd voor Rights Management beveiliging in de Azure Portal, vervangt S/MIME-beveiliging de Rights Management-beveiliging alleen in Outlook. Voor alle andere scenario's die ondersteuning bieden voor labelen, wordt Rights Management beveiliging toegepast.
Als u wilt dat het label alleen zichtbaar is in Outlook, configureert u het label om de door de gebruiker gedefinieerde actie Do Not Forward toe te passen, zoals wordt beschreven in de quickstart: Een label configureren voor gebruikers om eenvoudig e-mailberichten te beveiligen die gevoelige informatie bevatten.
'Niet nu' verwijderen voor documenten wanneer u verplicht labelen gebruikt
Bij deze configuratie wordt een geavanceerde clientinstelling gebruikt die u moet configureren in Azure Portal.
Wanneer u de beleidsinstelling van Alle documenten en e-mailberichten gebruikt, moeten ze een label hebben, wordt gebruikers gevraagd een label te selecteren wanneer ze voor het eerst een Office document opslaan en wanneer ze een e-mailbericht verzenden. Voor documenten kunnen gebruikers niet nu selecteren om de prompt om een label te selecteren tijdelijk te sluiten en terug te keren naar het document. Ze kunnen het opgeslagen document echter niet sluiten zonder het te labelen.
Wanneer u deze instelling configureert, wordt de optie Niet nu verwijderd, zodat gebruikers een label moeten selecteren wanneer het document voor het eerst wordt opgeslagen.
Voer de volgende tekenreeksen in om deze geavanceerde instelling te configureren:
Sleutel: PostponeMandatoryBeforeSave
Waarde: False
Classificatie inschakelen om continu op de achtergrond uit te voeren
Bij deze configuratie wordt een geavanceerde clientinstelling gebruikt die u moet configureren in Azure Portal.
Wanneer u deze instelling configureert, wordt het standaardgedrag gewijzigd van hoe de Azure Information Protection-client automatische en aanbevolen labels toepast op documenten:
Voor Word, Excel en PowerPoint wordt automatische classificatie continu op de achtergrond uitgevoerd.
Het gedrag verandert niet voor Outlook.
Wanneer de Azure Information Protection-client regelmatig documenten controleert op de voorwaarderegels die u opgeeft, maakt dit gedrag automatische en aanbevolen classificatie en beveiliging mogelijk voor documenten die zijn opgeslagen in Microsoft SharePoint. Grote bestanden worden ook sneller opgeslagen omdat de voorwaardenregels al zijn uitgevoerd.
De voorwaarderegels worden niet in realtime uitgevoerd als gebruikerstypen. In plaats daarvan worden ze periodiek uitgevoerd als achtergrondtaak als het document wordt gewijzigd.
Voer de volgende tekenreeksen in om deze geavanceerde instelling te configureren:
Sleutel: RunPolicyInBackground
Waarde: Waar
Notitie
Deze functie is momenteel beschikbaar als preview-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
PDF-bestanden niet beveiligen met behulp van de ISO-standaard voor PDF-versleuteling
Bij deze configuratie wordt een geavanceerde clientinstelling gebruikt die u moet configureren in Azure Portal.
Wanneer de nieuwste versie van de Azure Information Protection-client een PDF-bestand beveiligt, blijft de resulterende bestandsnaamextensie ongewijzigd .pdf en voldoet aan de ISO-standaard voor PDF-versleuteling. Zie sectie 7.6 Encryption uit het document dat is afgeleid van ISO 32000-1 en gepubliceerd door Adobe Systems Incorporated voor meer informatie over deze standaard.
Als u de client nodig hebt om terug te keren naar het gedrag in oudere versies van de client die PDF-bestanden heeft beveiligd met de extensie .ppdf, gebruikt u de volgende geavanceerde instelling door de volgende tekenreeks in te voeren:
Sleutel: EnablePDFv2Protection
Waarde: False
U hebt deze instelling bijvoorbeeld nodig voor alle gebruikers als u een PDF-lezer gebruikt die de ISO-standaard voor PDF-versleuteling niet ondersteunt. Of misschien moet u deze configureren voor sommige gebruikers wanneer u geleidelijk een wijziging van pdf-lezer maakt die ondersteuning biedt voor de nieuwe indeling. Een andere mogelijke reden om deze instelling te gebruiken, is als u beveiliging moet toevoegen aan ondertekende PDF-documenten. Ondertekende PDF-documenten kunnen ook worden beveiligd met de .ppdf-indeling, omdat deze beveiliging wordt geïmplementeerd als wrapper voor het bestand.
Als u de nieuwe instelling wilt gebruiken voor de Azure Information Protection-scanner, moet de scannerservice opnieuw worden opgestart. Bovendien beveiligt de scanner standaard geen PDF-documenten meer. Als u wilt dat PDF-documenten worden beveiligd door de scanner wanneer EnablePDFv2Protection is ingesteld op False, moet u het register bewerken.
Zie het blogbericht Nieuwe ondersteuning voor PDF-versleuteling met Microsoft Information Protection voor meer informatie over de nieuwe PDF-versleuteling.
Zie Ondersteunde PDF-lezers voor Microsoft Information Protection voor een lijst met PDF-lezers die ondersteuning bieden voor de ISO-standaard voor PDF-versleuteling en lezers die ondersteuning bieden voor oudere indelingen.
Bestaande .ppdf-bestanden converteren naar beveiligde .pdf-bestanden
Wanneer de Azure Information Protection-client het clientbeleid met de nieuwe instelling heeft gedownload, kunt u PowerShell-opdrachten gebruiken om bestaande .ppdf-bestanden te converteren naar beveiligde .pdf bestanden die gebruikmaken van de ISO-standaard voor PDF-versleuteling.
Als u de volgende instructies wilt gebruiken voor bestanden die u niet zelf hebt beveiligd, moet u een Rights Management gebruiksrecht hebben om de beveiliging van bestanden te verwijderen of een supergebruiker te zijn. Als u de functie supergebruiker wilt inschakelen en uw account wilt configureren als supergebruiker, raadpleegt u Supergebruikers configureren voor Azure Rights Management en Discovery Services of Gegevensherstel.
Wanneer u deze instructies gebruikt voor bestanden die u niet zelf hebt beveiligd, wordt u bovendien de RMS-verlener. In dit scenario kan de gebruiker die het document oorspronkelijk heeft beveiligd, het document niet meer bijhouden en intrekken. Als gebruikers hun beveiligde PDF-documenten moeten bijhouden en intrekken, vraagt u hen om het label handmatig te verwijderen en opnieuw toe te passen met behulp van Bestandenverkenner, klikt u met de rechtermuisknop.
Als u PowerShell-opdrachten wilt gebruiken om bestaande .ppdf-bestanden te converteren naar beveiligde .pdf bestanden die gebruikmaken van de ISO-standaard voor PDF-versleuteling:
Gebruik Get-AIPFileStatus met het .ppdf-bestand. Bijvoorbeeld:
Get-AIPFileStatus -Path \\Finance\Projectx\sales.ppdfNoteer de volgende parameterwaarden in de uitvoer:
De waarde (GUID) voor SubLabelId, als er een is. Als deze waarde leeg is, is er geen sublabel gebruikt, dus noteer in plaats daarvan de waarde voor MainLabelId .
Opmerking: als er geen waarde voor MainLabelId is, wordt het bestand niet gelabeld. In dit geval kunt u de opdracht Beveiliging RMSFile opheffen en de opdracht RMSFile beveiligen in plaats van de opdrachten in stap 3 en 4 gebruiken.
De waarde voor RMSTemplateId. Als deze waarde beperkte toegang is, heeft een gebruiker het bestand beveiligd met aangepaste machtigingen in plaats van de beveiligingsinstellingen die zijn geconfigureerd voor het label. Als u doorgaat, worden deze aangepaste machtigingen overschreven door de beveiligingsinstellingen van het label. Bepaal of u wilt doorgaan of de gebruiker wilt vragen (de waarde die wordt weergegeven voor de RMSIssuer) om het label te verwijderen en opnieuw toe te passen, samen met de oorspronkelijke aangepaste machtigingen.
Verwijder het label met set-AIPFileLabel met de parameter RemoveLabel . Als u de beleidsinstelling van Gebruikers gebruikt , moet u een reden opgeven om een lager classificatielabel in te stellen, een label te verwijderen of beveiliging te verwijderen, moet u ook de parameter Reden opgeven met de reden. Bijvoorbeeld:
Set-AIPFileLabel \\Finance\Projectx\sales.ppdf -RemoveLabel -JustificationMessage 'Removing .ppdf protection to replace with .pdf ISO standard'U kunt het oorspronkelijke label opnieuw toepassen door de waarde op te geven voor het label dat u in stap 1 hebt geïdentificeerd. Bijvoorbeeld:
Set-AIPFileLabel \\Finance\Projectx\sales.pdf -LabelId d9f23ae3-1234-1234-1234-f515f824c57b
Het bestand behoudt de .pdf bestandsnaamextensie, maar wordt geclassificeerd als voorheen en wordt beveiligd met behulp van de ISO-standaard voor PDF-versleuteling.
Ondersteuning voor bestanden die worden beveiligd door Beveiligde eilanden
Als u Beveiligde eilanden hebt gebruikt om documenten te beveiligen, hebt u mogelijk beveiligde tekstbestanden en afbeeldingsbestanden en algemeen beveiligde bestanden als gevolg van deze beveiliging. Bestanden met bijvoorbeeld de bestandsnaamextensie .ptxt, .pjpeg of .pfile. Wanneer u het register als volgt bewerkt, kan Azure Information Protection deze bestanden ontsleutelen:
Voeg de volgende DWORD-waarde van EnableIQPFormats toe aan het volgende registerpad en stel de waardegegevens in op 1:
Voor een 64-bits versie van Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Voor een 32-bits versie van Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIP
Als gevolg van deze registerbewerking worden de volgende scenario's ondersteund:
De Azure Information Protection-viewer kan deze beveiligde bestanden openen.
De Azure Information Protection-scanner kan deze bestanden controleren op gevoelige informatie.
Bestandenverkenner, PowerShell en de Azure Information Protection-scanner kunnen deze bestanden labelen. Als gevolg hiervan kunt u een Azure Information Protection-label toepassen waarmee nieuwe beveiliging van Azure Information Protection wordt toegepast of waarmee de bestaande beveiliging van Beveiligde eilanden wordt verwijderd.
U kunt de aanpassing van de labelmigratieclient gebruiken om het label Secure Islands op deze beveiligde bestanden automatisch te converteren naar een Azure Information Protection-label.
Notitie
Deze functie is momenteel beschikbaar in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Labels migreren van Secure Islands en andere labeloplossingen
Bij deze configuratie wordt een geavanceerde clientinstelling gebruikt die u moet configureren in Azure Portal.
Deze configuratie is momenteel niet compatibel met het nieuwe standaardgedrag dat PDF-bestanden beveiligt met behulp van de ISO-standaard voor PDF-versleuteling. In dit scenario kunnen .ppdf-bestanden niet worden geopend door Bestandenverkenner, PowerShell of de scanner. U kunt dit oplossen door de geavanceerde clientinstelling te gebruiken om de ISO-standaard voor PDF-versleuteling niet te gebruiken.
Voor Office documenten en PDF-documenten die zijn gelabeld door Secure Islands, kunt u deze documenten opnieuw labelen met een Azure Information Protection label met behulp van een toewijzing die u definieert. U gebruikt deze methode ook om labels van andere oplossingen opnieuw te gebruiken wanneer de labels zich op Office documenten bevinden.
Notitie
Als u andere bestanden dan PDF en Office documenten hebt die zijn beveiligd door Beveiligde eilanden, kunnen deze opnieuw worden gelabeld nadat u het register hebt bewerkt zoals beschreven in de vorige sectie.
Als gevolg van deze configuratieoptie wordt het nieuwe Azure Information Protection-label als volgt toegepast door de Azure Information Protection-client:
Voor Office documenten: wanneer het document wordt geopend in de bureaublad-app, wordt het nieuwe Azure Information Protection-label weergegeven als ingesteld en toegepast wanneer het document wordt opgeslagen.
Voor Bestandenverkenner: In het dialoogvenster Azure Information Protection wordt het nieuwe Azure Information Protection-label weergegeven als ingesteld en toegepast wanneer de gebruiker Toepassen selecteert. Als de gebruiker Annuleren selecteert, wordt het nieuwe label niet toegepast.
Voor PowerShell: Set-AIPFileLabel past het nieuwe Azure Information Protection-label toe. Get-AIPFileStatus geeft het nieuwe Azure Information Protection-label pas weer als deze is ingesteld door een andere methode.
Voor de Scanner van Azure Information Protection: Detectie meldt wanneer het nieuwe Azure Information Protection-label is ingesteld en dit label kan worden toegepast met de afdwingingsmodus.
Voor deze configuratie moet u een geavanceerde clientinstelling met de naam LabelbyCustomProperty opgeven voor elk Azure Information Protection-label dat u wilt toewijzen aan het oude label. Stel vervolgens voor elke vermelding de waarde in met behulp van de volgende syntaxis:
[Azure Information Protection label ID],[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]
De waarde van de label-id wordt weergegeven in het deelvenster Label, wanneer u het Azure Information Protection-beleid in de Azure Portal weergeeft of configureert. Als u een sublabel wilt opgeven, moet het bovenliggende label zich in hetzelfde bereik of in het globale beleid bevinden.
Geef uw keuze op voor de naam van een migratieregel. Gebruik een beschrijvende naam waarmee u kunt bepalen hoe een of meer labels van uw vorige labeloplossing moeten worden toegewezen aan een Azure Information Protection-label. De naam wordt weergegeven in de scannerrapporten en in Logboeken. Houd er rekening mee dat met deze instelling het oorspronkelijke label niet wordt verwijderd uit het document of visuele markeringen in het document dat het oorspronkelijke label mogelijk heeft toegepast. Als u kop- en voetteksten wilt verwijderen, raadpleegt u de volgende sectie, Kop- en voetteksten verwijderen uit andere labeloplossingen.
Voorbeeld 1: Een-op-een-toewijzing van dezelfde labelnaam
Vereiste: Documenten met een label 'Vertrouwelijk' moeten opnieuw worden gelabeld als Vertrouwelijk door Azure Information Protection.
In dit voorbeeld:
Het Azure Information Protection-label dat u wilt gebruiken, heet Vertrouwelijk en heeft een label-id van 1ace2cc3-14bc-4142-9125-bf946a70542c.
Het label Secure Islands heet Vertrouwelijk en opgeslagen in de aangepaste eigenschap Classificatie.
De geavanceerde clientinstelling:
| Name | Waarde |
|---|---|
| LabelbyCustomProperty | 1ace2cc3-14bc-4142-9125-bf946a70542c,"Secure Islands label is vertrouwelijk", Classificatie, Vertrouwelijk |
Voorbeeld 2: Een-op-een-toewijzing voor een andere labelnaam
Vereiste: documenten met het label 'Gevoelig' door Beveiligde eilanden moeten opnieuw worden gelabeld als 'Zeer vertrouwelijk' door Azure Information Protection.
In dit voorbeeld:
Het Azure Information Protection-label dat u wilt gebruiken, heet Zeer vertrouwelijk en heeft een label-id van 3e9df74d-3168-48af-8b11-037e3021813f.
Het label Secure Islands heet Gevoelig en opgeslagen in de aangepaste eigenschap Classificatie.
De geavanceerde clientinstelling:
| Name | Waarde |
|---|---|
| LabelbyCustomProperty | 3e9df74d-3168-48af-8b11-037e3021813f,"Secure Islands label is Gevoelig",Classificatie,Gevoelig |
Voorbeeld 3: Veel-op-een-toewijzing van labelnamen
Vereiste: u hebt twee labels voor beveiligde eilanden met het woord 'Intern' en u wilt dat documenten met een van deze Secure Islands-labels opnieuw worden gelabeld als 'Algemeen' door Azure Information Protection.
In dit voorbeeld:
Het Azure Information Protection-label dat u wilt gebruiken, heet Algemeen en heeft een label-id van 2beb8fe7-8293-444c-9768-7fdc6f75014d.
De labels Secure Islands bevatten het woord Intern en worden opgeslagen in de aangepaste eigenschap Classificatie.
De geavanceerde clientinstelling:
| Name | Waarde |
|---|---|
| LabelbyCustomProperty | 2beb8fe7-8293-444c-9768-7fdc6f75014d,"Secure Islands label contains Internal",Classification,.*Internal.* |
Kop- en voetteksten verwijderen uit andere labeloplossingen
Deze configuratie maakt gebruik van meerdere geavanceerde clientinstellingen die u moet configureren in de Azure Portal.
Met de instellingen kunt u kop- of voetteksten op basis van tekst uit documenten verwijderen of vervangen wanneer deze visuele markeringen zijn toegepast door een andere labeloplossing. De oude voettekst bevat bijvoorbeeld de naam van een oud label dat u nu hebt gemigreerd naar Azure Information Protection met een nieuwe labelnaam en een eigen voettekst.
Wanneer de client deze configuratie in het beleid ophaalt, worden de oude kop- en voetteksten verwijderd of vervangen wanneer het document wordt geopend in de Office-app en wordt een Azure Information Protection-label toegepast op het document.
Deze configuratie wordt niet ondersteund voor Outlook en houd er rekening mee dat wanneer u deze gebruikt met Word, Excel en PowerPoint, deze de prestaties van deze apps voor gebruikers negatief kan beïnvloeden. Met de configuratie kunt u instellingen per toepassing definiëren, bijvoorbeeld zoeken naar tekst in de kop- en voetteksten van Word-documenten, maar niet Excel spreadsheets of PowerPoint presentaties.
Omdat de patroonkoppeling van invloed is op de prestaties van gebruikers, raden we u aan om de Office toepassingstypen (Word, EXcel, PowerPoint) te beperken tot alleen de typen die moeten worden doorzocht:
Sleutel: RemoveExternalContentMarkingInApp
Waarde: <Office toepassingstypen WXP>
Voorbeelden:
Als u alleen in Word-documenten wilt zoeken, geeft u W op.
Als u wilt zoeken in Word-documenten en PowerPoint presentaties, geeft u WP op.
Vervolgens hebt u ten minste één geavanceerdere clientinstelling, ExternalContentMarkingToRemove, nodig om de inhoud van de kop- of voettekst op te geven en hoe u deze kunt verwijderen of vervangen.
Notitie
Deze functie is momenteel beschikbaar als preview-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
ExternalContentMarkingToRemove configureren
Wanneer u de tekenreekswaarde voor de sleutel ExternalContentMarkingToRemove opgeeft, hebt u drie opties die gebruikmaken van reguliere expressies:
Gedeeltelijke overeenkomst om alles in de kop- of voettekst te verwijderen.
Voorbeeld: Kop- of voetteksten bevatten de tekenreeksTEKST DIE U WILT VERWIJDEREN. U wilt deze kop- of voetteksten volledig verwijderen. U geeft de waarde op:
*TEXT*.Volledige overeenkomst om alleen specifieke woorden in de kop- of voettekst te verwijderen.
Voorbeeld: Kop- of voetteksten bevatten de tekenreeksTEKST DIE U WILT VERWIJDEREN. U wilt alleen het woord TEKST verwijderen, waardoor de kop- of voetteksttekenreeks moet worden verwijderd. U geeft de waarde op:
TEXT.Volledige overeenkomst om alles in de kop- of voettekst te verwijderen.
Voorbeeld: Kop- of voetteksten bevatten de tekenreeksTEKST DIE U WILT VERWIJDEREN. U wilt kop- of voetteksten met exact deze tekenreeks verwijderen. U geeft de waarde op:
^TEXT TO REMOVE$.
Het patroon dat overeenkomt met de tekenreeks die u opgeeft, is niet hoofdlettergevoelig. De maximale tekenreekslengte is 255 tekens.
Omdat sommige documenten mogelijk onzichtbare tekens of verschillende soorten spaties of tabbladen bevatten, wordt de tekenreeks die u opgeeft voor een woordgroep of zin mogelijk niet gedetecteerd. Geef waar mogelijk één onderscheidwoord op voor de waarde en zorg ervoor dat u de resultaten test voordat u in productie implementeert.
Sleutel: ExternalContentMarkingToRemove
Waarde: <tekenreeks die overeenkomt, gedefinieerd als reguliere expressie>
Kop- of voetteksten met meerdere regels
Als een kop- of voettekst meer dan één regel is, maakt u een sleutel en waarde voor elke regel. U hebt bijvoorbeeld de volgende voettekst met twee regels:
The file is classified as Confidential
Label applied manually
Als u deze voettekst met meerdere regels wilt verwijderen, maakt u de volgende twee vermeldingen:
Sleutel 1: ExternalContentMarkingToRemove
Sleutelwaarde 1: *Vertrouwelijk*
Sleutel 2: ExternalContentMarkingToRemove
Sleutelwaarde 2: *Label toegepast*
Optimalisatie voor PowerPoint
Voetteksten in PowerPoint worden geïmplementeerd als shapes. Gebruik een extra geavanceerde clientinstelling met de naam PowerPointShapeNameToRemove om te voorkomen dat u vormen verwijdert die de tekst bevatten die u hebt opgegeven, maar geen kop- of voetteksten zijn. We raden u ook aan deze instelling te gebruiken om te voorkomen dat de tekst in alle vormen wordt gecontroleerd. Dit is een resource-intensief proces.
Als u deze aanvullende geavanceerde clientinstelling niet opgeeft en PowerPoint is opgenomen in de sleutelwaarde RemoveExternalContentMarkingInApp, worden alle shapes gecontroleerd op de tekst die u opgeeft in de waarde ExternalContentMarkingToRemove.
Ga als volgt te werk om de naam te vinden van de shape die u gebruikt als kop- of voettekst:
Geef in PowerPoint het selectiedeelvenster weer: tabblad >Groepschikken.>
Selecteer de shape op de dia die de kop- of voettekst bevat. De naam van de geselecteerde shape is nu gemarkeerd in het selectiedeelvenster .
Gebruik de naam van de shape om een tekenreekswaarde op te geven voor de sleutel PowerPointShapeNameToRemove .
Voorbeeld: De naam van de shape is fc. Als u de shape met deze naam wilt verwijderen, geeft u de waarde op: fc.
Sleutel: PowerPointShapeNameToRemove
Waarde: <PowerPoint shapenaam>
Wanneer u meer dan één PowerPoint vorm hebt om te verwijderen, maakt u zoveel PowerPointShapeNameToRemove-sleutels als u shapes hebt om te verwijderen. Geef voor elke vermelding de naam op van de shape die u wilt verwijderen.
Standaard worden alleen de hoofddia's gecontroleerd op kop- en voetteksten. Gebruik een extra geavanceerde clientinstelling met de naam RemoveExternalContentMarkingInAllSlides om deze zoekopdracht uit te breiden naar alle dia's. Dit is een veel meer resource-intensief proces:
Sleutel: RemoveExternalContentMarkingInAllSlides
Waarde: Waar
Een Office document labelen met behulp van een bestaande aangepaste eigenschap
Notitie
Als u deze configuratie en de configuratie gebruikt om labels te migreren van Secure Islands en andere labeloplossingen, heeft de instelling voor labelmigratie voorrang.
Bij deze configuratie wordt een geavanceerde clientinstelling gebruikt die u moet configureren in Azure Portal.
Wanneer u deze instelling configureert, kunt u een Office document classificeren (en optioneel beveiligen) wanneer deze een bestaande aangepaste eigenschap heeft met een waarde die overeenkomt met een van uw labelnamen. Deze aangepaste eigenschap kan worden ingesteld vanuit een andere classificatieoplossing of kan worden ingesteld als een eigenschap door SharePoint.
Als gevolg van deze configuratie, wanneer een document zonder een Azure Information Protection-label wordt geopend en opgeslagen door een gebruiker in een Office-app, wordt het document vervolgens gelabeld om overeen te komen met de bijbehorende eigenschapswaarde.
Voor deze configuratie moet u twee geavanceerde instellingen opgeven die samenwerken. De eerste heet SyncPropertyName, de naam van de aangepaste eigenschap die is ingesteld vanuit de andere classificatieoplossing, of een eigenschap die is ingesteld door SharePoint. De tweede heet SyncPropertyState en moet worden ingesteld op OneWay.
Voer de volgende tekenreeksen in om deze geavanceerde instelling te configureren:
Sleutel 1: SyncPropertyName
Sleutel 1 Waarde: <eigenschapsnaam>
Sleutel 2: SyncPropertyState
Sleutel 2-waarde: OneWay
Gebruik deze sleutels en bijbehorende waarden voor slechts één aangepaste eigenschap.
Als voorbeeld hebt u een SharePoint kolom met de naam Classificatie die mogelijke waarden van Openbaar, Algemeen en Zeer vertrouwelijk alle werknemers heeft. Documenten worden opgeslagen in SharePoint en hebben openbare, algemene of zeer vertrouwelijke alle werknemers als waarden die zijn ingesteld voor de eigenschap Classificatie.
Als u een Office document met een van deze classificatiewaarden wilt labelen, stelt u SyncPropertyName in op Classification en SyncPropertyState op OneWay.
Wanneer een gebruiker een van deze Office documenten opent en opslaat, wordt deze gelabeld als Openbaar, Algemeen of Zeer vertrouwelijk \ Alle werknemers als u labels hebt met deze namen in uw Azure Information Protection-beleid. Als u geen labels met deze namen hebt, blijft het document ongelabeld.
Het verzenden van gedetecteerde gevoelige informatie in documenten naar Azure Information Protection analytics uitschakelen
Notitie
De zonsondergang van het AIP-auditlogboek en de analyse wordt aangekondigd vanaf 18 maart 2022, met een volledige buitengebruikstellingsdatum van 31 september 2022.
Zie Verwijderde en buiten gebruik gestelde services voor meer informatie.
Bij deze configuratie wordt een geavanceerde clientinstelling gebruikt die u moet configureren in Azure Portal.
Wanneer de Azure Information Protection-client wordt gebruikt in Office-apps, zoekt deze naar gevoelige informatie in documenten wanneer ze voor het eerst worden opgeslagen. Als de client niet is geconfigureerd om geen controlegegevens te verzenden, worden alle gevonden typen gevoelige informatie (vooraf gedefinieerd of aangepast) verzonden naar Azure Information Protection analytics.
De configuratie die bepaalt of de client controlegegevens verzendt, is de beleidsinstelling van Controlegegevens verzenden naar Azure Information Protection Log Analytics. Wanneer deze beleidsinstelling is ingeschakeld omdat u controlegegevens wilt verzenden die labelacties bevatten, maar u geen typen gevoelige informatie wilt verzenden die door de client zijn gevonden, voert u de volgende tekenreeksen in:
Sleutel: RunAuditInformationTypesDiscovery
Waarde: False
Als u deze geavanceerde clientinstelling instelt, kunnen controlegegevens nog steeds worden verzonden vanaf de client, maar de informatie is beperkt tot labelactiviteit.
Bijvoorbeeld:
Met deze instelling ziet u dat een gebruiker toegang heeft tot Financial.docx met het label Vertrouwelijk \ Verkoop.
Zonder deze instelling ziet u dat Financial.docx 6 creditcardnummers bevat.
- Als u ook diepere analyses in uw gevoelige gegevens inschakelt, kunt u ook zien wat deze creditcardnummers zijn.
Schakel overeenkomsten voor het verzenden van informatietypen uit voor een subset van gebruikers
Bij deze configuratie wordt een geavanceerde clientinstelling gebruikt die u moet configureren in Azure Portal.
Wanneer u het selectievakje voor Azure Information Protection-analyses inschakelt waarmee diepere analyses in uw gevoelige gegevens worden gemaakt, worden de inhoudsovereenkomsten voor uw typen gevoelige informatie of uw aangepaste voorwaarden standaard verzonden door alle gebruikers, waaronder serviceaccounts waarop de Azure Information Protection-scanner wordt uitgevoerd. Als u bepaalde gebruikers hebt die deze gegevens niet mogen verzenden, maakt u de volgende geavanceerde clientinstelling in een scoped beleid voor deze gebruikers:
Sleutel: LogMatchedContent
Waarde: Uitschakelen
Het aantal threads beperken dat door de scanner wordt gebruikt
Bij deze configuratie wordt een geavanceerde clientinstelling gebruikt die u moet configureren in Azure Portal.
De scanner gebruikt standaard alle beschikbare processorbronnen op de computer waarop de scannerservice wordt uitgevoerd. Als u het CPU-verbruik wilt beperken terwijl deze service wordt gescand, maakt u de volgende geavanceerde instelling.
Geef voor de waarde het aantal gelijktijdige threads op dat de scanner parallel kan uitvoeren. De scanner gebruikt een afzonderlijke thread voor elk bestand dat wordt gescand, dus deze beperkingsconfiguratie definieert ook het aantal bestanden dat parallel kan worden gescand.
Wanneer u de waarde voor het testen voor het eerst configureert, wordt u aangeraden 2 per kern op te geven en vervolgens de resultaten te controleren. Als u bijvoorbeeld de scanner uitvoert op een computer met 4 kernen, stelt u eerst de waarde in op 8. Indien nodig verhoogt of verlaagt u dat aantal, afhankelijk van de resulterende prestaties die u nodig hebt voor de scannercomputer en uw scansnelheden.
Sleutel: ScannerConcurrencyLevel
Waarde: <aantal gelijktijdige threads>
Het lage integriteitsniveau voor de scanner uitschakelen
Bij deze configuratie wordt een geavanceerde clientinstelling gebruikt die u moet configureren in Azure Portal.
De Azure Information Protection-scanner wordt standaard uitgevoerd met een laag integriteitsniveau. Deze instelling biedt een hogere beveiligingsisolatie, maar ten koste van de prestaties. Een laag integriteitsniveau is geschikt als u de scanner uitvoert met een account met bevoegde rechten (zoals een lokaal beheerdersaccount) omdat deze instelling helpt de computer waarop de scanner wordt uitgevoerd te beveiligen.
Wanneer het serviceaccount waarop de scanner wordt uitgevoerd echter alleen de rechten heeft die zijn gedocumenteerd in de vereisten voor de implementatie van de scanner, is het lage integriteitsniveau niet nodig en wordt het niet aanbevolen omdat dit de prestaties negatief beïnvloedt.
Zie Wat is het Windows integriteitsmechanisme voor meer informatie over de Windows integriteitsniveaus?
Als u deze geavanceerde instelling zo wilt configureren dat de scanner wordt uitgevoerd met een integriteitsniveau dat automatisch wordt toegewezen door Windows (een standaardgebruikersaccount dat wordt uitgevoerd met een gemiddeld integriteitsniveau), voert u de volgende tekenreeksen in:
Sleutel: ProcessUsingLowIntegrity
Waarde: False
De time-outinstellingen voor de scanner wijzigen
Deze configuratie maakt gebruik van geavanceerde clientinstellingen die u moet configureren in de Azure Portal.
De Azure Information Protection-scanner heeft standaard een time-outperiode van 00:15:00 (15 minuten) om elk bestand te controleren op typen gevoelige informatie of de regex-expressies die u hebt geconfigureerd voor aangepaste voorwaarden. Wanneer de time-outperiode voor dit proces voor inhoudextractie is bereikt, worden eventuele resultaten vóór de time-out geretourneerd en worden verdere inspectie voor het bestand gestopt. In dit scenario wordt het volgende foutbericht vastgelegd in %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zipped als er meerdere logboeken zijn): GetContentParts is mislukt met de bewerking is geannuleerd in de details.
Als u dit time-outprobleem ondervindt vanwege grote bestanden, kunt u deze time-outperiode voor volledige inhoudextractie verhogen:
Sleutel: ContentExtractionTimeout
Waarde: <uu:min:sec>
Het bestandstype kan van invloed zijn op hoe lang het duurt om een bestand te scannen. Voorbeeld van scantijden:
Een typisch Word-bestand van 100 MB: 0,5-5 minuten
Een typisch PDF-bestand van 100 MB: 5-20 minuten
Een typisch bestand van 100 MB Excel: 12-30 minuten
Voor sommige bestandstypen die zeer groot zijn, zoals videobestanden, kunt u deze uitsluiten van de scan door de bestandsnaamextensie toe te voegen aan de bestandstypen om de optie te scannen in het scannerprofiel.
Bovendien heeft de Azure Information Protection-scanner een time-outperiode van 00:30:00 (30 minuten) voor elk bestand dat wordt verwerkt. Deze waarde houdt rekening met de tijd die nodig is om een bestand op te halen uit een opslagplaats en deze tijdelijk lokaal op te slaan voor acties die ontsleuteling, extractie van inhoud voor inspectie, labels en versleuteling kunnen bevatten.
Hoewel de Azure Information Protection-scanner tientallen tot honderden bestanden per minuut kan scannen, lijkt het erop dat als u een gegevensopslagplaats hebt met een groot aantal zeer grote bestanden, de scanner deze standaardtime-outperiode kan overschrijden en in de Azure Portal lijkt te stoppen na 30 minuten. In dit scenario wordt het volgende foutbericht vastgelegd in %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zipped als er meerdere logboeken zijn) en de scanner .csv logboekbestand: de bewerking is geannuleerd.
Een scanner met 4 kernprocessors heeft standaard 16 threads voor het scannen en de kans op het tegenkomen van 16 grote bestanden in een periode van 30 minuten is afhankelijk van de verhouding van de grote bestanden. Als de scansnelheid bijvoorbeeld 200 bestanden per minuut is en 1% van de bestanden de time-out van 30 minuten overschrijdt, is er een kans van meer dan 85% dat de scanner de time-outsituatie van 30 minuten ondervindt. Deze time-outs kunnen leiden tot langere scantijden en een hoger geheugenverbruik.
Als u in deze situatie niet meer kernprocessors aan de scannercomputer kunt toevoegen, kunt u overwegen de time-outperiode te verlagen voor betere scansnelheden en een lager geheugenverbruik, maar met de bevestiging dat sommige bestanden worden uitgesloten. U kunt ook overwegen om de time-outperiode voor nauwkeurigere scanresultaten te verhogen, maar met de bevestiging dat deze configuratie waarschijnlijk leidt tot lagere scansnelheden en een hoger geheugenverbruik.
Als u de time-outperiode voor bestandsverwerking wilt wijzigen, configureert u de volgende geavanceerde clientinstelling:
Sleutel: FileProcessingTimeout
Waarde: <uu:min:sec>
Het lokale logboekregistratieniveau wijzigen
Bij deze configuratie wordt een geavanceerde clientinstelling gebruikt die u moet configureren in Azure Portal.
De Azure Information Protection-client schrijft standaard logboekbestanden van de client naar de map %localappdata%\Microsoft\MSIP. Deze bestanden zijn bedoeld voor het oplossen van problemen door Microsoft Ondersteuning.
Als u het logboekregistratieniveau voor deze bestanden wilt wijzigen, configureert u de volgende geavanceerde clientinstelling:
Sleutel: LogLevel
Waarde: <logboekregistratieniveau>
Stel het logboekregistratieniveau in op een van de volgende waarden:
Uit: Geen lokale logboekregistratie.
Fout: alleen fouten.
Info: Minimale logboekregistratie, die geen gebeurtenis-id's bevat (de standaardinstelling voor de scanner).
Fouten opsporen: volledige informatie.
Tracering: Gedetailleerde logboekregistratie (de standaardinstelling voor clients). Voor de scanner heeft deze instelling een aanzienlijke invloed op de prestaties en moet deze alleen worden ingeschakeld voor de scanner als deze wordt aangevraagd door Microsoft Ondersteuning. Als u wordt geïnstrueerd om dit niveau van logboekregistratie voor de scanner in te stellen, moet u een andere waarde instellen wanneer de relevante logboeken zijn verzameld.
Deze geavanceerde clientinstelling wijzigt niet de informatie die naar Azure Information Protection wordt verzonden voor centrale rapportage of wijzigt de informatie die naar het lokale gebeurtenislogboek wordt geschreven.
Integratie met de verouderde Exchange berichtclassificatie
webversie van Outlook ondersteunt nu ingebouwde labels voor Exchange Online. Dit is de aanbevolen methode om e-mailberichten in webversie van Outlook te labelen. Als u echter e-mailberichten in OWA wilt labelen en Exchange Server gebruikt, die nog geen vertrouwelijkheidslabels ondersteunt, kunt u Exchange berichtclassificatie gebruiken om Azure Information Protection-labels uit te breiden naar webversie van Outlook.
Outlook Mobile biedt geen ondersteuning voor Exchange berichtclassificatie.
U gaat hiervoor als volgt te werk:
Gebruik de PowerShell-cmdlet voor Exchange New-MessageClassification om berichtclassificaties te maken met de eigenschap Name, die wordt toegewezen aan de labelnamen in uw Azure Information Protection-beleid.
Maak een Exchange e-mailstroomregel voor elk label: Pas de regel toe wanneer de berichteigenschappen de classificatie bevatten die u hebt geconfigureerd en wijzig de berichteigenschappen om een berichtkop in te stellen.
Voor de berichtkop vindt u de informatie die u wilt opgeven door de internetkopteksten te controleren van een e-mailbericht dat u hebt verzonden en geclassificeerd met behulp van uw Azure Information Protection-label. Zoek naar de koptekst msip_labels en de tekenreeks die direct volgt, tot en met uitzondering van de puntkomma. Bijvoorbeeld:
msip_labels: MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True
Geef vervolgens msip_labels voor de berichtkop op en de rest van deze tekenreeks voor de waarde van de kop. Bijvoorbeeld:
Opmerking: Wanneer het label een sublabel is, moet u ook het bovenliggende label opgeven vóór het sublabel in de headerwaarde, met dezelfde indeling. Als uw sublabel bijvoorbeeld een GUID heeft van 27efdf94-80a0-4d02-b88c-b615c12d69a9, kan uw waarde er als volgt uitzien:
MSIP_Label_ab70158b-bdcc-42a3-8493-2a80736e9cbd_Enabled=True;MSIP_Label_27efdf94-80a0-4d02-b88c-b615c12d69a9_Enabled=True
Voordat u deze configuratie test, moet u er rekening mee houden dat er vaak een vertraging is wanneer u regels voor de e-mailstroom maakt of bewerkt (bijvoorbeeld een uur wachten). Wanneer de regel van kracht is, treden de volgende gebeurtenissen nu op wanneer gebruikers webversie van Outlook gebruiken:
Gebruikers selecteren de Exchange-berichtclassificatie en verzenden het e-mailbericht.
De Exchange-regel detecteert de Exchange-classificatie en wijzigt dienovereenkomstig de berichtkop om de Azure Information Protection-classificatie toe te voegen.
Wanneer interne geadresseerden het e-mailbericht in Outlook bekijken en de Azure Information Protection-client hebben geïnstalleerd, zien ze het label Azure Information Protection toegewezen.
Als uw Azure Information Protection-labels beveiliging toepassen, voegt u deze beveiliging toe aan de regelconfiguratie: selecteer de optie voor het wijzigen van de berichtbeveiliging, pas rechtenbeveiliging toe en selecteer vervolgens de beveiligingssjabloon of de optie Niet doorsturen.
U kunt ook regels voor de e-mailstroom configureren om de omgekeerde toewijzing uit te voeren. Wanneer een Azure Information Protection-label wordt gedetecteerd, stelt u een overeenkomstige Exchange-berichtclassificatie in:
- Voor elk Azure Information Protection-label: Maak een e-mailstroomregel die wordt toegepast wanneer de msip_labels koptekst de naam van uw label bevat (bijvoorbeeld Algemeen) en pas een berichtclassificatie toe die aan dit label is toegewezen.
Volgende stappen
Nu u de Azure Information Protection-client hebt aangepast, kunt u de volgende informatie doornemen die u mogelijk nodig hebt om de client te ondersteunen: