Przewodnik administratora: konfiguracje niestandardowe dla klasycznego klienta usługi Azure Information Protection
Poniższe informacje służą do tworzenia zaawansowanych konfiguracji, które mogą być wymagane w przypadku określonych scenariuszy lub podzbiorów użytkowników podczas zarządzania klientem usługi Azure Information Protection.
Niektóre z tych ustawień wymagają edycji rejestru. Inne korzystają z ustawień zaawansowanych, które należy skonfigurować w witrynie Azure Portal, a następnie opublikować do pobrania przez klientów.
Jak skonfigurować zaawansowane ustawienia konfiguracji klasycznej klienta w portalu
Jeśli jeszcze tego nie zrobiono, w nowym oknie przeglądarki zaloguj się do Azure Portal, a następnie przejdź do okienka Azure Information Protection.
W menu Etykiety klasyfikacji> wybierz pozycję Zasady.
W okienku Azure Information Protection — Zasady wybierz menu kontekstowe (...) obok zasad, aby zawierały ustawienia zaawansowane. Następnie wybierz opcję Ustawienia zaawansowane.
Możesz skonfigurować ustawienia zaawansowane dla zasad globalnych i zasad z określonym zakresem.
W okienku Ustawienia zaawansowane wpisz nazwę i wartość ustawienia zaawansowanego, a następnie wybierz pozycję Zapisz i zamknij.
Upewnij się, że użytkownicy dla tych zasad ponownie uruchamiają wszystkie aplikacje Office, które zostały otwarte.
Jeśli ustawienie nie jest już potrzebne i chcesz przywrócić domyślne zachowanie: w okienku Ustawienia zaawansowane wybierz menu kontekstowe (...) obok ustawienia, którego już nie potrzebujesz, a następnie wybierz pozycję Usuń. Następnie kliknij przycisk Zapisz i zamknij.
Dostępne zaawansowane ustawienia klasyczne klienta
Zapobieganie monitom o logowanie dla komputerów korzystających tylko z usługi AD RMS
Domyślnie klient usługi Azure Information Protection automatycznie próbuje połączyć się z usługą Azure Information Protection. W przypadku komputerów, które komunikują się tylko z usługą AD RMS, ta konfiguracja może powodować wyświetlanie użytkownikom zbędnego monitu o logowanie. Możesz zapobiec temu monitowi logowania, edytując rejestr.
Znajdź następującą nazwę wartości, a następnie ustaw dane wartości na 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Niezależnie od tego ustawienia klient usługi Azure Information Protection nadal jest zgodny ze standardowym procesem odnajdywania usług RMS w celu znalezienia klastra usług AD RMS.
Zaloguj się jako inny użytkownik
W środowisku produkcyjnym użytkownik nie ma zazwyczaj potrzeby logowania się jako inny użytkownik w przypadku korzystania z klienta usługi Azure Information Protection. Jednak jako administrator możesz potrzebować możliwości zalogowania się jako inny użytkownik podczas fazy testowania.
Aby sprawdzić, za pomocą którego konta nastąpiło logowanie, otwórz okno dialogowe Microsoft Azure Information Protection, uruchom aplikację pakietu Office i na karcie Narzędzia główne w grupie Ochrona kliknij opcję Chroń, a następnie kliknij przycisk Pomoc i opinie. Nazwa konta jest widoczna w sekcji Stan klienta.
Pamiętaj także o sprawdzeniu wyświetlonej nazwy domeny konta użytego do zalogowania. Fakt, że logowanie następuje przy użyciu prawidłowej nazwy konta, ale niewłaściwej domeny, można łatwo przeoczyć. W przypadku użycia niewłaściwego konta może wystąpić problem z pobraniem zasad usługi Azure Information Protection albo nie będą widoczne oczekiwane etykiety lub zachowania.
Aby zalogować się jako inny użytkownik:
Przejdź do folderu %localappdata%\Microsoft\MSIP i usuń plik TokenCache .
Uruchom ponownie wszystkie otwarte aplikacje pakietu Office i zaloguj się przy użyciu innego konta użytkownika. Jeśli w aplikacji pakietu Office nie został wyświetlony monit o zalogowanie się do usługi Azure Information Protection, wróć do okna dialogowego Microsoft Azure Information Protection i kliknij przycisk Zaloguj w zaktualizowanej sekcji Stan klienta.
Dodatkowo:
Jeśli klient usługi Azure Information Protection jest nadal zalogowany przy użyciu starego konta po wykonaniu tych kroków, usuń wszystkie pliki cookie z programu Internet Explorer, a następnie powtórz kroki 1 i 2.
Jeśli używasz logowania jednokrotnego, musisz wylogować się z Windows i zalogować się przy użyciu innego konta użytkownika po usunięciu pliku tokenu. Klient usługi Azure Information Protection przeprowadzi automatyczne uwierzytelnienie przy użyciu aktualnie zalogowanego konta użytkownika.
To rozwiązanie jest obsługiwane w przypadku logowania się jako inny użytkownik z tej samej dzierżawy. Nie jest ono obsługiwane w przypadku logowania się jako inny użytkownik z innej dzierżawy. Do testowania usługi Azure Information Protection z wieloma dzierżawami użyj różnych komputerów.
Możesz użyć opcji Resetuj ustawienia w obszarze Pomoc i opinie, aby wylogować się i usunąć aktualnie pobrane zasady usługi Azure Information Protection.
Wymuszanie trybu tylko ochrony, gdy organizacja ma kombinację licencji
Jeśli Twoja organizacja nie ma żadnych licencji na usługę Azure Information Protection, ale ma licencje dla Microsoft 365, które obejmują usługę Azure Rights Management do ochrony danych, klasyczny klient usługi AIP jest automatycznie uruchamiany w trybie tylko do ochrony.
Jeśli jednak Organizacja ma subskrypcję usługi Azure Information Protection, domyślnie wszystkie komputery Windows mogą pobrać zasady usługi Azure Information Protection. Klient usługi Azure Information Protection nie sprawdza i wymusza licencji.
Jeśli masz niektórych użytkowników, którzy nie mają licencji na usługę Azure Information Protection, ale mają licencję na Microsoft 365 obejmującą usługę Azure Rights Management, edytuj rejestr na komputerach tych użytkowników, aby uniemożliwić użytkownikom uruchamianie funkcji klasyfikacji bez licencji i etykietowania z platformy Azure Information Protection.
Znajdź następującą nazwę wartości i ustaw dane wartości 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Ponadto sprawdź, czy te komputery nie mają pliku o nazwie Policy.msip w folderze %LocalAppData%\Microsoft\MSIP . Jeśli ten plik istnieje, usuń go. Ten plik zawiera zasady usługi Azure Information Protection i mógł zostać pobrany przed rozpoczęciem edycji rejestru lub jeśli klient usługi Azure Information Protection został zainstalowany z opcją demonstracyjną.
Dodawanie polecenia "Zgłoś problem" dla użytkowników
Ta konfiguracja korzysta z zaawansowanych ustawień klienta, które należy skonfigurować w witrynie Azure Portal.
Po określeniu następującego zaawansowanego ustawienia klienta użytkownicy zobaczą opcję Zgłoś problem , którą mogą wybrać w oknie dialogowym Pomoc i opinie klienta. Określ ciąg HTTP dla linku. Na przykład dostosowana strona internetowa, którą użytkownicy mogą zgłaszać problemy, lub adres e-mail, który trafia do działu pomocy technicznej.
Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące parametry:
Klucz: ReportAnIssueLink
Wartość: <ciąg> HTTP
Przykładowa wartość witryny internetowej: https://support.contoso.com
Przykładowa wartość adresu e-mail: mailto:helpdesk@contoso.com
Ukryj opcję menu Klasyfikuj i chroń w Eksploratorze plików systemu Windows
Utwórz następującą nazwę wartości DWORD (z dowolnymi danymi wartości):
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable
Obsługa odłączonych komputerów
Domyślnie klient usługi Azure Information Protection automatycznie próbuje połączyć się z usługą Azure Information Protection, aby pobrać najnowsze zasady usługi Azure Information Protection. Jeśli masz komputery, o których wiesz, że nie będzie można połączyć się z Internetem przez pewien czas, możesz uniemożliwić klientowi próbę nawiązania połączenia z usługą, edytując rejestr.
Należy pamiętać, że bez połączenia internetowego klient nie może zastosować ochrony (ani usunąć ochrony) przy użyciu klucza opartego na chmurze organizacji. Zamiast tego klient jest ograniczony do używania etykiet, które stosują tylko klasyfikację, lub ochrony, która używa hyOK.
Możesz zapobiec monitowi logowania do usługi Azure Information Protection przy użyciu zaawansowanego ustawienia klienta, które należy skonfigurować w Azure Portal, a następnie pobrać zasady dla komputerów. Możesz też zapobiec wyświetlaniu tego monitu logowania, edytując rejestr.
Aby skonfigurować zaawansowane ustawienie klienta:
Wprowadź następujące ciągi:
Klucz: PullPolicy
Wartość: Fałsz
Pobierz zasady z tym ustawieniem i zainstaluj je na komputerach, korzystając z poniższych instrukcji.
Alternatywnie, aby edytować rejestr:
Znajdź następującą nazwę wartości, a następnie ustaw dane wartości na 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Klient musi mieć prawidłowy plik zasad o nazwie Policy.msip w folderze %LocalAppData%\Microsoft\MSIP .
Zasady globalne lub zasady o określonym zakresie można wyeksportować z Azure Portal i skopiować wyeksportowany plik na komputer kliencki. Możesz również użyć tej metody, aby zastąpić nieaktualny plik zasad najnowszymi zasadami. Jednak eksportowanie zasad nie obsługuje scenariusza, w którym użytkownik należy do więcej niż jednej zasady o określonym zakresie. Należy również pamiętać, że jeśli użytkownicy wybirą opcję Resetuj Ustawienia z Pozycji Pomoc i opinie, ta akcja spowoduje usunięcie pliku zasad i renderowanie klienta nieobsługiwalnego do momentu ręcznego zastąpienia pliku zasad lub połączenie klienta z usługą w celu pobrania zasad.
Podczas eksportowania zasad z Azure Portal pobierany jest spakowany plik zawierający wiele wersji zasad. Te wersje zasad odpowiadają różnym wersjom klienta usługi Azure Information Protection:
Rozpakuj plik i użyj poniższej tabeli, aby zidentyfikować potrzebny plik zasad.
Nazwa pliku Odpowiednia wersja klienta Policy1.1.msip wersja 1.2 Policy1.2.msip wersja 1.3 — 1.7 Policy1.3.msip wersja 1.8 — 1.29 Policy1.4.msip wersja 1.32 lub nowsza Zmień nazwę zidentyfikowanego pliku na Policy.msip, a następnie skopiuj go do folderu %LocalAppData%\Microsoft\MSIP na komputerach z zainstalowanym klientem usługi Azure Information Protection.
Jeśli odłączony komputer korzysta z bieżącej wersji ogólnie dostępnej skanera usługi Azure Information Protection, należy wykonać dodatkowe czynności konfiguracyjne. Aby uzyskać więcej informacji, zobacz Ograniczenie: serwer skanera nie może mieć łączności z Internetem w wymaganiach wstępnych dotyczących wdrażania skanera.
Ukryj lub pokaż przycisk Nie przekazuj w Outlook
Zalecaną metodą konfigurowania tej opcji jest użycie ustawienia zasadDodaj przycisk Nie przekazuj do wstążki Outlook. Można jednak również skonfigurować tę opcję przy użyciu zaawansowanego ustawienia klienta skonfigurowanego w Azure Portal.
Po skonfigurowaniu tego ustawienia powoduje ukrycie lub wyświetlenie przycisku Nie przekazuj na wstążce na Outlook. To ustawienie nie ma wpływu na opcję Nie przekazuj z menu Office.
Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące parametry:
Klucz: DisableDNF
Wartość: prawda, aby ukryć przycisk lub wartość False , aby wyświetlić przycisk
Udostępnianie niestandardowych opcji uprawnień użytkownikom lub ich niedostępnie
Zalecaną metodą konfigurowania tej opcji jest użycie ustawienia zasadUstaw opcję uprawnień niestandardowych dla użytkowników. Można jednak również skonfigurować tę opcję przy użyciu zaawansowanego ustawienia klienta skonfigurowanego w Azure Portal.
Po skonfigurowaniu tego ustawienia i opublikowaniu zasad dla użytkowników opcje uprawnień niestandardowych staną się widoczne dla użytkowników w celu wybrania własnych ustawień ochrony lub są ukryte, aby użytkownicy nie mogli wybierać własnych ustawień ochrony, chyba że zostanie wyświetlony monit.
Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące parametry:
Klucz: EnableCustomPermissions
Wartość: wartość True powoduje, że opcja uprawnień niestandardowych jest widoczna lub Fałsz , aby ukryć tę opcję
W przypadku plików chronionych uprawnieniami niestandardowymi zawsze wyświetlaj uprawnienia niestandardowe dla użytkowników w Eksplorator plików
Ta konfiguracja korzysta z zaawansowanych ustawień klienta, które należy skonfigurować w witrynie Azure Portal.
Po skonfigurowaniu ustawienia zasadOpcja Ustaw uprawnienia niestandardowe dla użytkowników lub równoważne zaawansowane ustawienie klienta w poprzedniej sekcji, użytkownicy nie będą mogli wyświetlać ani zmieniać uprawnień niestandardowych, które są już ustawione w chronionym dokumencie.
Podczas tworzenia i konfigurowania tego zaawansowanego ustawienia klienta użytkownicy mogą wyświetlać i zmieniać uprawnienia niestandardowe dla chronionego dokumentu podczas korzystania z Eksplorator plików, a następnie kliknąć plik prawym przyciskiem myszy. Opcja Uprawnienia niestandardowe z przycisku Chroń na wstążce Office pozostaje ukryta.
Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące parametry:
Klucz: EnableCustomPermissionsForCustomProtectedFiles
Wartość: True
Uwaga
Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Trwałe ukrycie paska usługi Azure Information Protection
Ta konfiguracja korzysta z zaawansowanych ustawień klienta, które należy skonfigurować w witrynie Azure Portal. Używaj go tylko wtedy, gdy ustawienie zasadWyświetl pasek Information Protection w aplikacjach Office jest ustawione na włączone.
Jeśli domyślnie użytkownik czyści opcję Pokaż pasekna karcie Narzędzia główne, grupa Ochrona, przycisk Chroń, pasek Information Protection nie będzie już wyświetlany w tym aplikacja pakietu Office. Jednak pasek automatycznie wyświetla się ponownie przy następnym otwarciu aplikacja pakietu Office.
Aby zapobiec ponownemu wyświetlaniu paska po wybraniu przez użytkownika opcji ukrycia go, użyj tego ustawienia klienta. To ustawienie nie daje efektu, jeśli użytkownik zamknie pasek za pomocą ikony Zamknij ten pasek.
Mimo że pasek usługi Azure Information Protection pozostaje ukryty, użytkownicy nadal mogą wybrać etykietę z tymczasowo wyświetlanego paska, jeśli skonfigurowano zalecaną klasyfikację lub gdy dokument lub wiadomość e-mail musi mieć etykietę.
Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące parametry:
Klucz: EnableBarHiding
Wartość: Prawda
Włączanie obsługi zamówień dla podlabel w załącznikach
Ta konfiguracja korzysta z zaawansowanych ustawień klienta, które należy skonfigurować w witrynie Azure Portal.
Użyj tego ustawienia, jeśli masz podlabie i skonfigurowano następujące ustawienie zasad:
- W przypadku wiadomości e-mail z załącznikami należy stosować etykiety odpowiadające najwyższej klasyfikacji tych załączników
Skonfiguruj następujące ciągi:
Klucz: CompareSubLabelsInAttachmentAction
Wartość: Prawda
Bez tego ustawienia pierwsza etykieta znaleziona z etykiety nadrzędnej o najwyższej klasyfikacji jest stosowana do wiadomości e-mail.
Dzięki temu ustawieniu etykieta podrzędna uporządkowana ostatnio z etykiety nadrzędnej o najwyższej klasyfikacji jest stosowana do wiadomości e-mail. Jeśli musisz zmienić kolejność etykiet, aby zastosować odpowiednią etykietę w tym scenariuszu, zobacz How to delete or reorder a label for Azure Information Protection (Jak usunąć lub zmienić kolejność etykiety dla usługi Azure Information Protection).
Wyklucz Outlook wiadomości z obowiązkowego etykietowania
Ta konfiguracja korzysta z zaawansowanych ustawień klienta, które należy skonfigurować w witrynie Azure Portal.
Domyślnie po włączeniu ustawienia zasadWszystkie dokumenty i wiadomości e-mail muszą mieć etykietę, wszystkie zapisane dokumenty i wysłane wiadomości e-mail muszą mieć zastosowaną etykietę. Podczas konfigurowania następującego ustawienia zaawansowanego ustawienie zasad ma zastosowanie tylko do Office dokumentów, a nie do Outlook komunikatów.
Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące parametry:
Klucz: DisableMandatoryInOutlook
Wartość: Prawda
Włączanie zalecanej klasyfikacji w Outlook
Ta konfiguracja korzysta z zaawansowanych ustawień klienta, które należy skonfigurować w witrynie Azure Portal.
Podczas konfigurowania etykiety dla zalecanej klasyfikacji użytkownicy są monitowani o zaakceptowanie lub odrzucenie zalecanej etykiety w programie Word, Excel i PowerPoint. To ustawienie rozszerza to zalecenie dotyczące etykiety, aby było również wyświetlane w Outlook.
Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące parametry:
Klucz: OutlookRecommendationEnabled
Wartość: Prawda
Uwaga
Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub nie zostały jeszcze wydane w ogólnej dostępności.
Implementowanie wyskakujących komunikatów w Outlook, które ostrzegają, uzasadniają lub blokują wysyłanie wiadomości e-mail
Ta konfiguracja używa wielu zaawansowanych ustawień klienta, które należy skonfigurować w Azure Portal.
Podczas tworzenia i konfigurowania następujących zaawansowanych ustawień klienta użytkownicy widzą wyskakujące wiadomości w Outlook, które mogą je ostrzegać przed wysłaniem wiadomości e-mail lub poprosić ich o uzasadnienie, dlaczego wysyłają wiadomość e-mail lub uniemożliwiają wysyłanie wiadomości e-mail dla jednego z następujących scenariuszy:
Ich wiadomość e-mail lub załącznik wiadomości e-mail ma określoną etykietę:
- Załącznik może być dowolnym typem pliku
Ich wiadomość e-mail lub załącznik wiadomości e-mail nie ma etykiety:
- Załącznik może być dokumentem Office lub dokumentem PDF
Po spełnieniu tych warunków użytkownik zobaczy wyskakujące komunikat z jedną z następujących akcji:
Ostrzegaj: użytkownik może potwierdzić i wysłać lub anulować.
Uzasadnienie: użytkownik jest monitowany o uzasadnienie (wstępnie zdefiniowane opcje lub dowolny formularz). Następnie użytkownik może wysłać lub anulować wiadomość e-mail. Tekst uzasadnienia jest zapisywany w nagłówku x-header wiadomości e-mail, dzięki czemu może być odczytywany przez inne systemy. Na przykład usługi ochrony przed utratą danych (DLP).
Blokuj: użytkownik nie może wysłać wiadomości e-mail, gdy warunek pozostanie. Wiadomość zawiera przyczynę blokowania wiadomości e-mail, dzięki czemu użytkownik może rozwiązać ten problem. Na przykład usuń określonych adresatów lub oznacz adres e-mail etykietą.
Gdy wyskakujące komunikaty są przeznaczone dla określonej etykiety, można skonfigurować wyjątki dla adresatów według nazwy domeny.
Wynikowe akcje z wyskakujących komunikatów są rejestrowane w lokalnym dzienniku zdarzeń Windows Dzienniki aplikacji i usług>platformy Azure Information Protection:
Ostrzegaj komunikaty: identyfikator informacji 301
Wyjustuj komunikaty: identyfikator informacji 302
Blokuj komunikaty: identyfikator informacji 303
Przykładowy wpis zdarzenia z komunikatu uzasadnienie:
Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Price list.msg
Item Name: Price list
Process Name: OUTLOOK
Action: Justify
User Justification: My manager approved sharing of this content
Action Source:
User Response: Confirmed
W poniższych sekcjach znajdują się instrukcje konfiguracji dla każdego zaawansowanego ustawienia klienta i można je zobaczyć w akcji dla siebie za pomocą samouczka: Konfigurowanie usługi Azure Information Protection do kontrolowania udostępniania informacji przy użyciu Outlook.
Aby zaimplementować ostrzeżenia, uzasadnić lub zablokować wyskakujące komunikaty dla określonych etykiet:
Aby zaimplementować wyskakujące komunikaty dla określonych etykiet, musisz znać identyfikator etykiety dla tych etykiet. Wartość identyfikatora etykiety jest wyświetlana w okienku Etykieta podczas wyświetlania lub konfigurowania zasad usługi Azure Information Protection w Azure Portal. W przypadku plików, które mają zastosowane etykiety, można również uruchomić polecenie cmdlet Get-AIPFileStatus programu PowerShell, aby zidentyfikować identyfikator etykiety (MainLabelId lub SubLabelId). Gdy etykieta ma etykiety podrzędne, zawsze określ identyfikator tylko etykiety podrzędnej, a nie etykietę nadrzędną.
Utwórz co najmniej jedno z następujących zaawansowanych ustawień klienta przy użyciu następujących kluczy. W przypadku wartości określ co najmniej jedną etykietę według identyfikatorów, z których każdy jest oddzielony przecinkiem.
Przykładowa wartość dla wielu identyfikatorów etykiet jako ciąg rozdzielony przecinkami: dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
Ostrzegaj komunikaty:
Klucz: OutlookWarnUntrustedCollaborationLabel
Wartość: <identyfikatory etykiet, rozdzielane przecinkami>
Komunikaty z uzasadnieniem:
Klucz: OutlookJustifyUntrustedCollaborationLabel
Wartość: <identyfikatory etykiet, rozdzielane przecinkami>
Blokuj komunikaty:
Klucz: OutlookBlockUntrustedCollaborationLabel
Wartość: <identyfikatory etykiet, rozdzielane przecinkami>
Aby wykluczyć nazwy domen dla wyskakujących komunikatów skonfigurowanych dla określonych etykiet
W przypadku etykiet określonych przy użyciu tych wyskakujących wiadomości można wykluczyć określone nazwy domen, aby użytkownicy nie widzieli wiadomości dla adresatów, którzy mają tę nazwę domeny dołączoną do ich adresu e-mail. W takim przypadku wiadomości e-mail są wysyłane bez zakłóceń. Aby określić wiele domen, dodaj je jako jeden ciąg rozdzielony przecinkami.
Typowa konfiguracja polega na wyświetlaniu wyskakujących komunikatów tylko dla adresatów zewnętrznych w organizacji lub osób, które nie są autoryzowanymi partnerami w organizacji. W takim przypadku należy określić wszystkie domeny poczty e-mail używane przez organizację i partnerów.
Utwórz następujące zaawansowane ustawienia klienta i dla wartości określ co najmniej jedną domenę, z których każda jest oddzielona przecinkiem.
Przykładowa wartość dla wielu domen jako ciąg rozdzielony przecinkami: contoso.com,fabrikam.com,litware.com
Ostrzegaj komunikaty:
Klucz: OutlookWarnTrustedDomains
Wartość: <nazwy domen, rozdzielone przecinkami>
Komunikaty z uzasadnieniem:
Klucz: OutlookJustifyTrustedDomains
Wartość: <nazwy domen, rozdzielone przecinkami>
Blokuj komunikaty:
Klucz: OutlookBlockTrustedDomains
Wartość: <nazwy domen, rozdzielone przecinkami>
Na przykład określono ustawienie zaawansowanego klienta OutlookBlockUntrustedCollaborationLabel dla etykiety Poufne \ Wszyscy pracownicy . Teraz należy określić dodatkowe zaawansowane ustawienie klienta programu OutlookBlockTrustedDomains i contoso.com. W związku z tym użytkownik może wysłać wiadomość e-mail na adres, gdy john@sales.contoso.com ma etykietę Poufne \ Wszyscy pracownicy , ale nie będzie mógł wysyłać wiadomości e-mail z tą samą etykietą do konta gmaila.
Aby zaimplementować ostrzeżenie, uzasadnić lub zablokować wyskakujące wiadomości e-mail lub załączniki, które nie mają etykiety:
Utwórz następujące zaawansowane ustawienie klienta z jedną z następujących wartości:
Ostrzegaj komunikaty:
Klucz: OutlookUnlabeledCollaborationAction
Wartość: Ostrzegaj
Komunikaty z uzasadnieniem:
Klucz: OutlookUnlabeledCollaborationAction
Wartość: Wyjustuj
Blokuj komunikaty:
Klucz: OutlookUnlabeledCollaborationAction
Wartość: Blokuj
Wyłącz następujące komunikaty:
Klucz: OutlookUnlabeledCollaborationAction
Wartość: Wyłączone
Aby zdefiniować określone rozszerzenia nazw plików dla ostrzeżenia, uzasadnić lub zablokować wyskakujące wiadomości podręczne dla załączników wiadomości e-mail, które nie mają etykiety
Domyślnie ostrzeżenie, wyjustowanie lub blokowanie wyskakujących komunikatów ma zastosowanie do wszystkich dokumentów Office i dokumentów PDF. Tę listę można dostosować, określając rozszerzenia nazw plików, które powinny wyświetlać ostrzeżenia, uzasadnić lub blokować komunikaty z dodatkową zaawansowaną właściwością klienta i rozdzielaną przecinkami listę rozszerzeń nazw plików.
Przykładowa wartość dla wielu rozszerzeń nazw plików do zdefiniowania jako ciąg rozdzielany przecinkami: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM
W tym przykładzie nieoznakowany dokument PDF nie spowoduje ostrzeżenia, uzasadnienia ani zablokowania wyskakujących komunikatów.
Klucz: OutlookOverrideUnlabeledCollaborationExtensions
Wartość: <rozszerzenia nazw plików do wyświetlania komunikatów, rozdzielane przecinkami>
Aby określić inną akcję dla wiadomości e-mail bez załączników
Domyślnie wartość określona dla aplikacji OutlookUnlabeledCollaborationAction w celu ostrzeżenia, uzasadnienia lub blokowania wyskakujących wiadomości dotyczy wiadomości e-mail lub załączników, które nie mają etykiety. Tę konfigurację można dostosować, określając inne zaawansowane ustawienie klienta dla wiadomości e-mail, które nie mają załączników.
Utwórz następujące zaawansowane ustawienie klienta z jedną z następujących wartości:
Ostrzegaj komunikaty:
Klucz: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Wartość: Ostrzegaj
Komunikaty uzasadnienia:
Klucz: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Wartość: Wyjustuj
Blokuj komunikaty:
Klucz: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Wartość: Blokuj
Wyłącz następujące komunikaty:
Klucz: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Wartość: Wyłączone
Jeśli to ustawienie klienta nie zostanie określone, zostanie użyta wartość programu OutlookUnlabeledCollaborationAction dla wiadomości e-mail bez etykiet, a także wiadomości e-mail bez załączników, a także wiadomości e-mail bez etykiet z załącznikami.
Ustawianie innej etykiety domyślnej dla Outlook
Ta konfiguracja korzysta z zaawansowanych ustawień klienta, które należy skonfigurować w witrynie Azure Portal.
Po skonfigurowaniu tego ustawienia Outlook nie stosuje etykiety domyślnej skonfigurowanej w zasadach usługi Azure Information Protection dla ustawienia Wybierz etykietę domyślną. Zamiast tego Outlook można zastosować inną etykietę domyślną lub bez etykiety.
Aby zastosować inną etykietę, należy określić identyfikator etykiety. Wartość identyfikatora etykiety jest wyświetlana w okienku Etykieta podczas wyświetlania lub konfigurowania zasad usługi Azure Information Protection w Azure Portal. W przypadku plików, które mają zastosowane etykiety, można również uruchomić polecenie cmdlet Get-AIPFileStatus programu PowerShell, aby zidentyfikować identyfikator etykiety (MainLabelId lub SubLabelId). Gdy etykieta ma etykiety podrzędne, zawsze określ identyfikator tylko etykiety podrzędnej, a nie etykietę nadrzędną.
Dlatego Outlook nie stosuje etykiety domyślnej, określ wartość Brak.
Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące parametry:
Klucz: OutlookDefaultLabel
Wartość: <identyfikator> etykiety lub brak
Konfigurowanie etykiety w celu zastosowania ochrony S/MIME w Outlook
Ta konfiguracja korzysta z zaawansowanych ustawień klienta, które należy skonfigurować w witrynie Azure Portal.
Użyj tego ustawienia tylko wtedy, gdy masz działające wdrożenie S/MIME i chcesz, aby etykieta automatycznie zastosowała tę metodę ochrony dla wiadomości e-mail, a nie Rights Management ochrony przed usługą Azure Information Protection. Wynikowa ochrona jest taka sama, jak wtedy, gdy użytkownik ręcznie wybiera opcje S/MIME z Outlook.
Ta konfiguracja wymaga określenia zaawansowanego ustawienia klienta o nazwie LabelToSMIME dla każdej etykiety usługi Azure Information Protection, którą chcesz zastosować ochronę za pomocą protokołu S/MIME. Następnie dla każdego wpisu ustaw wartość przy użyciu następującej składni:
[Azure Information Protection label ID];[S/MIME action]
Wartość identyfikatora etykiety jest wyświetlana w okienku Etykieta podczas wyświetlania lub konfigurowania zasad usługi Azure Information Protection w Azure Portal. Aby użyć protokołu S/MIME z etykietą podrzędną, zawsze określ identyfikator tylko etykiety podrzędnej, a nie etykiety nadrzędnej. Po określeniu etykiety podrzędnej etykieta nadrzędna musi znajdować się w tym samym zakresie lub w zasadach globalnych.
Akcja S/MIME może być:
Sign;Encrypt: Aby zastosować podpis cyfrowy i szyfrowanie S/MIMEEncrypt: Aby zastosować tylko szyfrowanie S/MIMESign: Aby zastosować tylko podpis cyfrowy
Przykładowe wartości dla identyfikatora etykiety dcf781ba-727f-4860-b3c1-73479e31912b:
Aby zastosować podpis cyfrowy i szyfrowanie S/MIME:
dcf781ba-727f-4860-b3c1-73479e31912b; Znak; Szyfrowania
Aby zastosować tylko szyfrowanie S/MIME:
dcf781ba-727f-4860-b3c1-73479e31912b; Szyfrowania
Aby zastosować tylko podpis cyfrowy:
dcf781ba-727f-4860-b3c1-73479e31912b; Znak
W wyniku tej konfiguracji, gdy etykieta jest stosowana do wiadomości e-mail, ochrona za pomocą protokołu S/MIME jest stosowana do wiadomości e-mail oprócz klasyfikacji etykiety.
Jeśli określona etykieta jest skonfigurowana do ochrony Rights Management w Azure Portal, ochrona za pomocą protokołu S/MIME zastępuje ochronę Rights Management tylko w Outlook. W przypadku wszystkich innych scenariuszy obsługujących etykietowanie zostanie zastosowana ochrona Rights Management.
Jeśli etykieta ma być widoczna tylko w Outlook, skonfiguruj etykietę tak, aby zastosować akcję Nie przesyłaj dalej przez jednego użytkownika, zgodnie z opisem w przewodniku Szybki start: Konfigurowanie etykiety dla użytkowników w celu łatwej ochrony wiadomości e-mail zawierających poufne informacje.
Usuń element "Nie teraz" dla dokumentów, gdy używasz obowiązkowego etykietowania
Ta konfiguracja korzysta z zaawansowanych ustawień klienta, które należy skonfigurować w witrynie Azure Portal.
Jeśli używasz ustawienia zasadWszystkie dokumenty i wiadomości e-mail, muszą mieć etykietę, użytkownicy są monitowani o wybranie etykiety podczas pierwszego zapisywania dokumentu Office i wysyłania wiadomości e-mail. W przypadku dokumentów użytkownicy mogą wybrać pozycję Nie teraz , aby tymczasowo odrzucić monit o wybranie etykiety i powrót do dokumentu. Nie mogą jednak zamknąć zapisanego dokumentu bez etykietowania.
Po skonfigurowaniu tego ustawienia zostanie usunięta opcja Nie teraz , aby użytkownicy musieli wybrać etykietę po pierwszym zapisaniu dokumentu.
Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące parametry:
Klucz: PostponeMandatoryBeforeSave
Wartość: Fałsz
Włączanie klasyfikacji w celu ciągłego uruchamiania w tle
Ta konfiguracja korzysta z zaawansowanych ustawień klienta, które należy skonfigurować w witrynie Azure Portal.
Podczas konfigurowania tego ustawienia zmienia domyślne zachowanie sposobu, w jaki klient usługi Azure Information Protection stosuje automatyczne i zalecane etykiety do dokumentów:
W przypadku programu Word, Excel i PowerPoint automatyczna klasyfikacja działa w tle w sposób ciągły.
Zachowanie nie zmienia się dla Outlook.
Gdy klient usługi Azure Information Protection okresowo sprawdza dokumenty pod kątem podanych reguł warunku, to zachowanie umożliwia automatyczną i zalecaną klasyfikację i ochronę dokumentów przechowywanych w usłudze Microsoft SharePoint. Duże pliki są również zapisywane szybciej, ponieważ reguły warunku zostały już uruchomione.
Reguły warunków nie są uruchamiane w czasie rzeczywistym jako typy użytkowników. Zamiast tego są one uruchamiane okresowo jako zadanie w tle, jeśli dokument jest modyfikowany.
Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące parametry:
Klucz: RunPolicyInBackground
Wartość: True
Uwaga
Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Nie chroń plików PDF przy użyciu standardu ISO na potrzeby szyfrowania PLIKÓW PDF
Ta konfiguracja korzysta z zaawansowanych ustawień klienta, które należy skonfigurować w witrynie Azure Portal.
Gdy najnowsza wersja klienta usługi Azure Information Protection chroni plik PDF, wynikowe rozszerzenie nazwy pliku pozostaje .pdf i jest zgodne ze standardem ISO szyfrowania PLIKÓW PDF. Aby uzyskać więcej informacji na temat tego standardu, zobacz sekcję 7.6 Szyfrowanie z dokumentu pochodzącego z iso 32000-1 i opublikowane przez firmę Adobe Systems Incorporated.
Jeśli potrzebujesz klienta, aby przywrócić zachowanie w starszych wersjach klienta, który chronił pliki PDF przy użyciu rozszerzenia nazwy pliku ppdf, użyj następującego ustawienia zaawansowanego, wprowadzając następujący ciąg:
Klucz: EnablePDFv2Protection
Wartość: Fałsz
Na przykład może być potrzebne to ustawienie dla wszystkich użytkowników, jeśli używasz czytnika plików PDF, który nie obsługuje standardu ISO na potrzeby szyfrowania PLIKÓW PDF. Może być też konieczne skonfigurowanie go dla niektórych użytkowników w miarę stopniowego etapu zmiany czytnika plików PDF obsługującego nowy format. Innym potencjalnym powodem użycia tego ustawienia jest dodanie ochrony do podpisanych dokumentów PDF. Podpisane dokumenty PDF mogą być dodatkowo chronione za pomocą formatu ppdf, ponieważ ta ochrona jest implementowana jako otoka pliku.
Aby skaner usługi Azure Information Protection używał nowego ustawienia, należy ponownie uruchomić usługę skanera. Ponadto skaner nie będzie już domyślnie chronić dokumentów PDF. Jeśli chcesz, aby dokumenty PDF mogły być chronione przez skaner, gdy ustawienie EnablePDFv2Protection ma wartość False, musisz edytować rejestr.
Aby uzyskać więcej informacji na temat nowego szyfrowania PLIKÓW PDF, zobacz wpis w blogu New support for PDF encryption with Microsoft Information Protection (Nowa obsługa szyfrowania plików PDF w usłudze Microsoft Information Protection).
Aby uzyskać listę czytników plików PDF, które obsługują standard ISO dla szyfrowania PLIKÓW PDF, oraz czytników obsługujących starsze formaty, zobacz Obsługiwane czytniki plików PDF dla platformy Microsoft Information Protection.
Aby przekonwertować istniejące pliki ppdf na chronione pliki .pdf
Gdy klient usługi Azure Information Protection pobrał zasady klienta przy użyciu nowego ustawienia, możesz użyć poleceń programu PowerShell, aby przekonwertować istniejące pliki ppdf na chronione pliki .pdf, które używają standardu ISO do szyfrowania PLIKÓW PDF.
Aby użyć poniższych instrukcji dotyczących plików, które nie zostały chronione samodzielnie, musisz mieć Rights Management prawa użytkowania, aby usunąć ochronę z plików lub być administratorem. Aby włączyć funkcję administratora i skonfigurować konto jako administratora, zobacz Konfigurowanie superu użytkowników dla usług Azure Rights Management i Discovery Services lub Data Recovery.
Ponadto w przypadku korzystania z tych instrukcji dotyczących plików, które nie były chronione samodzielnie, stajesz się wystawcą usługi RMS. W tym scenariuszu użytkownik, który pierwotnie chronił dokument, nie może go już śledzić i odwoływać. Jeśli użytkownicy muszą śledzić i odwoływać chronione dokumenty PDF, poproś ich o ręczne usunięcie, a następnie ponowne zastosowanie etykiety przy użyciu Eksplorator plików, kliknij prawym przyciskiem myszy.
Aby użyć poleceń programu PowerShell do konwertowania istniejących plików ppdf na chronione pliki .pdf, które używają standardu ISO do szyfrowania PLIKÓW PDF:
Użyj polecenia Get-AIPFileStatus z plikiem ppdf. Przykład:
Get-AIPFileStatus -Path \\Finance\Projectx\sales.ppdfZ danych wyjściowych zanotuj następujące wartości parametrów:
Wartość (GUID) dla identyfikatora SubLabelId, jeśli istnieje. Jeśli ta wartość jest pusta, nie użyto etykiety podrzędnej, więc zanotuj wartość MainLabelId .
Uwaga: jeśli nie ma żadnej wartości parametru MainLabelId , plik nie jest oznaczony etykietą. W takim przypadku można użyć polecenia Unprotect-RMSFile i protect-RMSFile zamiast poleceń w kroku 3 i 4.
Wartość rmsTemplateId. Jeśli ta wartość ma ograniczony dostęp, użytkownik zabezpieczył plik przy użyciu uprawnień niestandardowych, a nie ustawień ochrony skonfigurowanych dla etykiety. W przypadku kontynuowania te uprawnienia niestandardowe zostaną zastąpione przez ustawienia ochrony etykiety. Zdecyduj, czy kontynuować, czy poprosić użytkownika (wartość wyświetlaną dla usługi RMSIssuer) o usunięcie etykiety i ponowne zastosowanie jej wraz z oryginalnymi uprawnieniami niestandardowymi.
Usuń etykietę przy użyciu polecenia Set-AIPFileLabel z parametrem RemoveLabel . Jeśli używasz ustawienia zasadUżytkownicy muszą podać uzasadnienie, aby ustawić niższą etykietę klasyfikacji, usunąć etykietę lub usunąć ochronę, musisz również określić parametr Uzasadnienie z przyczyną. Przykład:
Set-AIPFileLabel \\Finance\Projectx\sales.ppdf -RemoveLabel -JustificationMessage 'Removing .ppdf protection to replace with .pdf ISO standard'Ponownie zastosuj oryginalną etykietę, określając wartość etykiety zidentyfikowanej w kroku 1. Przykład:
Set-AIPFileLabel \\Finance\Projectx\sales.pdf -LabelId d9f23ae3-1234-1234-1234-f515f824c57b
Plik zachowuje rozszerzenie nazwy pliku .pdf, ale jest klasyfikowany tak jak wcześniej, i jest chroniony przy użyciu standardu ISO szyfrowania PDF.
Obsługa plików chronionych przez bezpieczne wyspy
Jeśli do ochrony dokumentów użyto bezpiecznych wysp, w wyniku tej ochrony mogą istnieć chronione pliki tekstowe i pliki obrazów oraz pliki objęte ochroną ogólną. Na przykład pliki, które mają rozszerzenie nazwy pliku ptxt, pjpeg lub pfile. Podczas edytowania rejestru w następujący sposób usługa Azure Information Protection może odszyfrować następujące pliki:
Dodaj następującą wartość DWORD EnableIQPFormats do następującej ścieżki rejestru i ustaw dane wartości na 1:
W przypadku 64-bitowej wersji Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
W przypadku 32-bitowej wersji Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIP
W wyniku tej edycji rejestru obsługiwane są następujące scenariusze:
Przeglądarka usługi Azure Information Protection może otwierać te chronione pliki.
Skaner usługi Azure Information Protection może sprawdzić te pliki pod kątem informacji poufnych.
Eksplorator plików, program PowerShell i skaner usługi Azure Information Protection mogą oznaczać te pliki. W związku z tym można zastosować etykietę usługi Azure Information Protection, która stosuje nową ochronę z usługi Azure Information Protection lub usuwa istniejącą ochronę z bezpiecznych wysp.
Dostosowanie klienta migracji etykiet umożliwia automatyczne konwertowanie etykiety Secure Islands na te chronione pliki na etykietę usługi Azure Information Protection.
Uwaga
Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Migrowanie etykiet z bezpiecznych wysp i innych rozwiązań etykietowania
Ta konfiguracja korzysta z zaawansowanych ustawień klienta, które należy skonfigurować w witrynie Azure Portal.
Ta konfiguracja nie jest obecnie zgodna z nowym zachowaniem domyślnym, które chroni pliki PDF przy użyciu standardu ISO na potrzeby szyfrowania PLIKÓW PDF. W tym scenariuszu pliki ppdf nie mogą być otwierane przez Eksplorator plików, program PowerShell lub skaner. Aby rozwiązać ten problem, użyj zaawansowanego ustawienia klienta, aby nie używać standardu ISO do szyfrowania PLIKÓW PDF.
W przypadku Office dokumentów i dokumentów PDF oznaczonych etykietą Secure Islands można ponownie oznaczyć te dokumenty etykietą usługi Azure Information Protection przy użyciu zdefiniowanego mapowania. Ta metoda służy również do ponownego używania etykiet z innych rozwiązań, gdy ich etykiety znajdują się w dokumentach Office.
Uwaga
Jeśli masz pliki inne niż PDF i Office dokumenty chronione przez bezpieczne wyspy, można je ponownie zastosować po zmodyfikowaniu rejestru zgodnie z opisem w poprzedniej sekcji.
W wyniku tej opcji konfiguracji nowa etykieta usługi Azure Information Protection jest stosowana przez klienta usługi Azure Information Protection w następujący sposób:
W przypadku Office dokumentów: po otwarciu dokumentu w aplikacji klasycznej nowa etykieta usługi Azure Information Protection jest wyświetlana jako ustawiona i stosowana podczas zapisywania dokumentu.
W przypadku Eksplorator plików: w oknie dialogowym Azure Information Protection nowa etykieta usługi Azure Information Protection jest wyświetlana jako ustawiona i stosowana po wybraniu przez użytkownika pozycji Zastosuj. Jeśli użytkownik wybierze pozycję Anuluj, nowa etykieta nie zostanie zastosowana.
W przypadku programu PowerShell: ustawienie Set-AIPFileLabel stosuje nową etykietę usługi Azure Information Protection. Polecenie Get-AIPFileStatus nie wyświetla nowej etykiety usługi Azure Information Protection, dopóki nie zostanie ustawiona przez inną metodę.
W przypadku skanera usługi Azure Information Protection: raporty odnajdywania, gdy zostanie ustawiona nowa etykieta usługi Azure Information Protection, a etykieta ta może być stosowana w trybie wymuszania.
Ta konfiguracja wymaga określenia zaawansowanego ustawienia klienta o nazwie LabelbyCustomProperty dla każdej etykiety usługi Azure Information Protection, którą chcesz zamapować na starą etykietę. Następnie dla każdego wpisu ustaw wartość przy użyciu następującej składni:
[Azure Information Protection label ID],[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]
Wartość identyfikatora etykiety jest wyświetlana w okienku Etykieta podczas wyświetlania lub konfigurowania zasad usługi Azure Information Protection w Azure Portal. Aby określić etykietę podrzędną, etykieta nadrzędna musi znajdować się w tym samym zakresie lub w zasadach globalnych.
Określ wybraną nazwę reguły migracji. Użyj nazwy opisowej, która ułatwia określenie, jak należy mapować co najmniej jedną etykietę z poprzedniego rozwiązania do etykietowania na etykietę usługi Azure Information Protection. Nazwa jest wyświetlana w raportach skanera i w Podgląd zdarzeń. Należy pamiętać, że to ustawienie nie usuwa oryginalnej etykiety z dokumentu ani żadnych oznaczeń wizualnych w dokumencie, które mogły zostać zastosowane w oryginalnej etykiecie. Aby usunąć nagłówki i stopki, zobacz następną sekcję Usuwanie nagłówków i stopek z innych rozwiązań etykietowania.
Przykład 1: mapowanie jeden-do-jednego o tej samej nazwie etykiety
Wymaganie: Dokumenty z etykietą "Poufne" powinny być ponownie oznaczone etykietą "Poufne" przez usługę Azure Information Protection.
W tym przykładzie:
Etykieta usługi Azure Information Protection, której chcesz użyć, nosi nazwę Poufne i ma identyfikator etykiety 1ace2cc3-14bc-4142-9125-bf946a70542c.
Etykieta Secure Islands ma nazwę Poufne i jest przechowywana we właściwości niestandardowej o nazwie Classification.
Zaawansowane ustawienie klienta:
| Nazwa | Wartość |
|---|---|
| LabelbyCustomProperty | 1ace2cc3-14bc-4142-9125-bf946a70542c,"Etykieta bezpiecznych wysp jest poufne",Klasyfikacja,Poufne |
Przykład 2. Mapowanie jeden do jednego dla innej nazwy etykiety
Wymaganie: Dokumenty oznaczone jako "Poufne" przez bezpieczne wyspy powinny być ponownie oznaczone jako "Wysoce poufne" przez usługę Azure Information Protection.
W tym przykładzie:
Etykieta usługi Azure Information Protection, której chcesz użyć, nosi nazwę Wysoce poufne i ma identyfikator etykiety 3e9df74d-3168-48af-8b11-037e3021813f.
Etykieta Secure Islands ma nazwę Sensitive (Poufne ) i jest przechowywana we właściwości niestandardowej o nazwie Classification (Klasyfikacja).
Zaawansowane ustawienie klienta:
| Nazwa | Wartość |
|---|---|
| LabelbyCustomProperty | 3e9df74d-3168-48af-8b11-037e3021813f,"Etykieta bezpiecznych wysp jest wrażliwa",Klasyfikacja,Poufne |
Przykład 3. Mapowanie etykiet wiele do jednego
Wymaganie: Masz dwie etykiety bezpiecznych wysp, które zawierają słowo "Wewnętrzne" i chcesz, aby dokumenty, które mają jedną z tych etykiet Secure Islands, mają być ponownie oznaczone jako "Ogólne" przez usługę Azure Information Protection.
W tym przykładzie:
Etykieta usługi Azure Information Protection, której chcesz użyć, nosi nazwę Ogólne i ma identyfikator etykiety 2beb8fe7-8293-444c-9768-7fdc6f75014d.
Etykiety bezpiecznych wysp zawierają słowo Wewnętrzne i są przechowywane we właściwości niestandardowej o nazwie Classification.
Zaawansowane ustawienie klienta:
| Nazwa | Wartość |
|---|---|
| LabelbyCustomProperty | 2beb8fe7-8293-444c-9768-7fdc6f75014d,"Etykieta Secure Islands zawiera wewnętrzną", Klasyfikacja,.*Wewnętrzny.* |
Usuwanie nagłówków i stopek z innych rozwiązań etykietowania
Ta konfiguracja używa wielu zaawansowanych ustawień klienta, które należy skonfigurować w Azure Portal.
Ustawienia umożliwiają usunięcie lub zastąpienie nagłówków lub stopek tekstowych z dokumentów po zastosowaniu tych oznaczeń wizualnych przez inne rozwiązanie do etykietowania. Na przykład stara stopka zawiera nazwę starej etykiety, która została teraz zmigrowana do usługi Azure Information Protection z nową nazwą etykiety i własną stopką.
Gdy klient uzyska tę konfigurację w zasadach, stare nagłówki i stopki zostaną usunięte lub zastąpione po otwarciu dokumentu w aplikacja pakietu Office, a etykieta usługi Azure Information Protection zostanie zastosowana do dokumentu.
Ta konfiguracja nie jest obsługiwana w przypadku Outlook i należy pamiętać, że jeśli używasz jej z programem Word, Excel i PowerPoint, może to negatywnie wpłynąć na wydajność tych aplikacji dla użytkowników. Konfiguracja umożliwia definiowanie ustawień dla aplikacji, na przykład wyszukiwanie tekstu w nagłówkach i stopkach dokumentów programu Word, ale nie Excel arkuszach kalkulacyjnych lub PowerPoint prezentacji.
Ponieważ dopasowanie wzorca wpływa na wydajność użytkowników, zalecamy ograniczenie typów aplikacji Office (Word, EXcel, PowerPoint) tylko do tych, które muszą być wyszukiwane:
Klucz: RemoveExternalContentMarkingInApp
Wartość: <Office typów aplikacji WXP>
Przykłady:
Aby wyszukać tylko dokumenty programu Word, określ wartość W.
Aby wyszukać dokumenty programu Word i PowerPoint prezentacje, określ wp.
Następnie potrzebne jest co najmniej jedno zaawansowane ustawienie klienta ExternalContentMarkingToRemove, aby określić zawartość nagłówka lub stopki oraz sposób ich usuwania lub zastępowania.
Uwaga
Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub nie zostały jeszcze wydane w ogólnej dostępności.
Jak skonfigurować externalContentMarkingToRemove
Po określeniu wartości ciągu klucza ExternalContentMarkingToRemove dostępne są trzy opcje, które używają wyrażeń regularnych:
Częściowe dopasowanie, aby usunąć wszystko w nagłówku lub stopce.
Przykład: nagłówki lub stopki zawierają ciąg TEKST DO USUNIĘCIA. Chcesz całkowicie usunąć te nagłówki lub stopki. Należy określić wartość:
*TEXT*.Ukończ dopasowanie, aby usunąć tylko określone wyrazy w nagłówku lub stopce.
Przykład: nagłówki lub stopki zawierają ciąg TEKST DO USUNIĘCIA. Chcesz usunąć tylko tekst tekstowy, który pozostawia ciąg nagłówka lub stopki jako TO REMOVE. Należy określić wartość:
TEXT.Ukończ dopasowanie, aby usunąć wszystko w nagłówku lub stopce.
Przykład: nagłówki lub stopki mają ciąg TEKST DO USUNIĘCIA. Chcesz usunąć nagłówki lub stopki, które mają dokładnie ten ciąg. Należy określić wartość:
^TEXT TO REMOVE$.
Wzorzec pasujący do określonego ciągu jest bez uwzględniania wielkości liter. Maksymalna długość ciągu to 255 znaków.
Ponieważ niektóre dokumenty mogą zawierać niewidoczne znaki lub różne rodzaje spacji lub kart, ciąg określony dla frazy lub zdania może nie zostać wykryty. Jeśli to możliwe, określ pojedyncze słowo wyróżniające dla wartości i przed wdrożeniem w środowisku produkcyjnym należy przetestować wyniki.
Klucz: ExternalContentMarkingToRemove
Wartość: <ciąg do dopasowania, zdefiniowany jako wyrażenie regularne>
Nagłówki lub stopki wielowierszowe
Jeśli tekst nagłówka lub stopki jest większy niż jeden wiersz, utwórz klucz i wartość dla każdego wiersza. Na przykład masz następującą stopkę z dwoma wierszami:
The file is classified as Confidential
Label applied manually
Aby usunąć tę stopkę wielowierszową, należy utworzyć następujące dwa wpisy:
Klucz 1: ExternalContentMarkingToRemove
Wartość klucza 1: *Poufne*
Klucz 2: ExternalContentMarkingToRemove
Wartość klucza 2: *Zastosowano etykietę*
Optymalizacja PowerPoint
Stopki w PowerPoint są implementowane jako kształty. Aby uniknąć usuwania kształtów zawierających określony tekst, ale nie są nagłówkami ani stopkami, użyj dodatkowego zaawansowanego ustawienia klienta o nazwie PowerPointShapeNameToRemove. Zalecamy również użycie tego ustawienia, aby uniknąć sprawdzania tekstu we wszystkich kształtach, który jest procesem intensywnie korzystającym z zasobów.
Jeśli nie określisz tego dodatkowego zaawansowanego ustawienia klienta, a PowerPoint zostanie uwzględniona w wartości klucza RemoveExternalContentMarkingInApp, wszystkie kształty zostaną sprawdzone pod kątem tekstu określonego w wartości ExternalContentMarkingToRemove.
Aby znaleźć nazwę kształtu, którego używasz jako nagłówka lub stopki:
W PowerPoint wyświetl okienko Wybór: karta >FormatowanieRozmieszczanieokienka wyboru grupy>.
Wybierz kształt na slajdzie zawierający nagłówek lub stopkę. Nazwa wybranego kształtu jest teraz wyróżniona w okienku Wybór .
Użyj nazwy kształtu, aby określić wartość ciągu dla klucza PowerPointShapeNameToRemove .
Przykład: nazwa kształtu to fc. Aby usunąć kształt o tej nazwie, należy określić wartość: fc.
Klucz: PowerPointShapeNameToRemove
Wartość: <nazwa kształtu PowerPoint>
Jeśli masz więcej niż jeden kształt PowerPoint do usunięcia, utwórz dowolną liczbę kluczy PowerPointShapeNameToRemove, ponieważ masz kształty do usunięcia. Dla każdego wpisu określ nazwę kształtu do usunięcia.
Domyślnie tylko slajdy wzorca są sprawdzane pod kątem nagłówków i stopek. Aby rozszerzyć to wyszukiwanie na wszystkie slajdy, czyli proces intensywnie korzystający z zasobów, użyj dodatkowego zaawansowanego ustawienia klienta o nazwie RemoveExternalContentMarkingInAllSlides:
Klucz: RemoveExternalContentMarkingInAllSlides
Wartość: Prawda
Etykietowanie dokumentu Office przy użyciu istniejącej właściwości niestandardowej
Uwaga
Jeśli używasz tej konfiguracji i konfiguracji do migrowania etykiet z bezpiecznych wysp i innych rozwiązań etykietowania, ustawienie migracji etykietowania ma pierwszeństwo.
Ta konfiguracja korzysta z zaawansowanych ustawień klienta, które należy skonfigurować w witrynie Azure Portal.
Po skonfigurowaniu tego ustawienia można sklasyfikować (i opcjonalnie chronić) dokument Office, gdy ma istniejącą właściwość niestandardową z wartością zgodną z jedną z nazw etykiet. Tę właściwość niestandardową można ustawić z innego rozwiązania klasyfikacji lub można ustawić jako właściwość przez SharePoint.
W wyniku tej konfiguracji, gdy dokument bez etykiety usługi Azure Information Protection jest otwierany i zapisywany przez użytkownika w aplikacja pakietu Office, dokument jest następnie oznaczony etykietą zgodną z odpowiednią wartością właściwości.
Ta konfiguracja wymaga określenia dwóch ustawień zaawansowanych, które współpracują ze sobą. Pierwsza jest o nazwie SyncPropertyName, która jest niestandardową nazwą właściwości, która została ustawiona z innego rozwiązania klasyfikacji lub właściwości ustawionej przez SharePoint. Druga jest o nazwie SyncPropertyState i musi być ustawiona na OneWay.
Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące parametry:
Klucz 1: SyncPropertyName
Wartość klucza 1: <nazwa właściwości>
Klucz 2: SyncPropertyState
Wartość klucza 2: OneWay
Użyj tych kluczy i odpowiednich wartości tylko dla jednej właściwości niestandardowej.
Na przykład masz kolumnę SharePoint o nazwie Classification (Klasyfikacja), która ma możliwe wartości publiczne, ogólne i wysoce poufne dla wszystkich pracowników. Dokumenty są przechowywane w SharePoint i mają publiczne, ogólne lub wysoce poufne wszystkie pracownicy jako wartości ustawione dla właściwości Klasyfikacja.
Aby oznaczyć dokument Office z jedną z tych wartości klasyfikacji, ustaw wartość SyncPropertyName na Klasyfikacja i SyncPropertyState na OneWay.
Teraz, gdy użytkownik otworzy i zapisze jeden z tych Office dokumentów, ma etykietę Publiczna, Ogólne lub Wysoce poufne \ Wszyscy pracownicy, jeśli masz etykiety z tymi nazwami w zasadach usługi Azure Information Protection. Jeśli nie masz etykiet o tych nazwach, dokument pozostanie niezaznaczone.
Wyłączanie wysyłania odnalezionych poufnych informacji w dokumentach do analizy usługi Azure Information Protection
Uwaga
Dziennik inspekcji i analiza usługi AIP zostanie ogłoszony od 18 marca 2022 r. z pełną datą wycofania z dnia 31 września 2022 r.
Aby uzyskać więcej informacji, zobacz Usunięte i wycofane usługi.
Ta konfiguracja korzysta z zaawansowanych ustawień klienta, które należy skonfigurować w witrynie Azure Portal.
Gdy klient usługi Azure Information Protection jest używany w aplikacjach Office, szuka informacji poufnych w dokumentach po pierwszym zapisaniu. Jeśli klient nie jest skonfigurowany do wysyłania informacji inspekcji, żadne poufne typy informacji odnalezione (wstępnie zdefiniowane lub niestandardowe) są następnie wysyłane do usługi Azure Information Protection Analytics.
Konfiguracja, która kontroluje, czy klient wysyła informacje inspekcji, to ustawienie zasadWysyłanie danych inspekcji do usługi Azure Information Protection log analytics. Gdy to ustawienie zasad jest włączone , ponieważ chcesz wysłać informacje inspekcji, które obejmują akcje etykietowania, ale nie chcesz wysyłać typów informacji poufnych znalezionych przez klienta, wprowadź następujące ciągi:
Klucz: RunAuditInformationTypesDiscovery
Wartość: Fałsz
Jeśli ustawisz to zaawansowane ustawienie klienta, informacje inspekcji nadal można wysyłać od klienta, ale informacje są ograniczone do działania etykietowania.
Przykład:
Dzięki temu ustawieniu można zobaczyć, że użytkownik uzyskiwał dostęp do Financial.docx z etykietą Poufne \ Sales.
Bez tego ustawienia widać, że Financial.docx zawiera 6 numerów kart kredytowych.
- Jeśli włączysz również bardziej szczegółowe analizy danych poufnych, dodatkowo będziesz mieć możliwość sprawdzenia, jakie są te numery kart kredytowych.
Wyłączanie dopasowania typu informacji do podzestawu użytkowników
Ta konfiguracja korzysta z zaawansowanych ustawień klienta, które należy skonfigurować w witrynie Azure Portal.
Po zaznaczeniu pola wyboru dla analizy usługi Azure Information Protection, która umożliwia dokładniejsze analizowanie poufnych danych, zbiera zawartość zgodną z typami informacji poufnych lub warunkami niestandardowymi, domyślnie te informacje są wysyłane przez wszystkich użytkowników, w tym konta usług uruchamiające skaner usługi Azure Information Protection. Jeśli masz niektórych użytkowników, którzy nie powinni wysyłać tych danych, utwórz następujące zaawansowane ustawienie klienta w zasadach o określonym zakresie dla następujących użytkowników:
Klucz: LogMatchedContent
Wartość: Wyłącz
Ograniczanie liczby wątków używanych przez skaner
Ta konfiguracja korzysta z zaawansowanych ustawień klienta, które należy skonfigurować w witrynie Azure Portal.
Domyślnie skaner używa wszystkich dostępnych zasobów procesora na komputerze z uruchomioną usługą skanera. Jeśli musisz ograniczyć użycie procesora CPU podczas skanowania tej usługi, utwórz następujące zaawansowane ustawienie.
Dla wartości określ liczbę współbieżnych wątków, które skaner może uruchomić równolegle. Skaner używa oddzielnego wątku dla każdego skanowanego pliku, dlatego ta konfiguracja ograniczania definiuje również liczbę plików, które można skanować równolegle.
Podczas pierwszego konfigurowania wartości do testowania zalecamy określenie 2 na rdzeń, a następnie monitorowanie wyników. Jeśli na przykład uruchomisz skaner na komputerze z 4 rdzeniami, najpierw ustaw wartość na 8. W razie potrzeby zwiększ lub zmniejsz liczbę, zgodnie z wynikającą wydajnością wymaganą dla komputera skanera i szybkości skanowania.
Klucz: SkanerConcurrencyLevel
Wartość: <liczba współbieżnych wątków>
Wyłączanie niskiego poziomu integralności skanera
Ta konfiguracja korzysta z zaawansowanych ustawień klienta, które należy skonfigurować w witrynie Azure Portal.
Domyślnie skaner usługi Azure Information Protection działa z niskim poziomem integralności. To ustawienie zapewnia wyższą izolację zabezpieczeń, ale kosztem wydajności. Niski poziom integralności jest odpowiedni, jeśli uruchamiasz skaner z kontem z uprawnieniami (takimi jak konto administratora lokalnego), ponieważ to ustawienie pomaga chronić komputer z uruchomionym skanerem.
Jeśli jednak konto usługi uruchamiające skaner ma tylko prawa udokumentowane w wymaganiach wstępnych dotyczących wdrażania skanera, niski poziom integralności nie jest konieczny i nie jest zalecany, ponieważ negatywnie wpływa na wydajność.
Aby uzyskać więcej informacji na temat poziomów integralności Windows, zobacz Co to jest mechanizm integralności Windows?
Aby skonfigurować to ustawienie zaawansowane tak, aby skaner był uruchamiany z poziomem integralności, który jest automatycznie przypisywany przez Windows (konto użytkownika standardowego działa z średnim poziomem integralności), wprowadź następujące ciągi:
Klucz: ProcessUsingLowIntegrity
Wartość: Fałsz
Zmienianie ustawień limitu czasu skanera
Ta konfiguracja używa zaawansowanych ustawień klienta, które należy skonfigurować w Azure Portal.
Domyślnie skaner usługi Azure Information Protection ma limit czasu 00:15:00 (15 minut), aby sprawdzić każdy plik pod kątem typów informacji poufnych lub wyrażeń regularnych skonfigurowanych pod kątem warunków niestandardowych. Po osiągnięciu limitu czasu dla tego procesu wyodrębniania zawartości wszelkie wyniki przed zwróceniem limitu czasu i dalszą inspekcją pliku zostaną zatrzymane. W tym scenariuszu następujący komunikat o błędzie jest rejestrowany w folderze %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (spakowany, jeśli istnieje wiele dzienników): Polecenie GetContentParts nie powiodło się , a operacja została anulowana w szczegółach.
Jeśli wystąpi ten problem z przekroczeniem limitu czasu z powodu dużych plików, możesz zwiększyć ten limit czasu na pełne wyodrębnianie zawartości:
Klucz: ContentExtractionTimeout
Wartość: <hh:min:s>
Typ pliku może mieć wpływ na czas skanowania pliku. Przykładowe czasy skanowania:
Typowy plik programu Word o rozmiarze 100 MB: 0,5–5 minut
Typowy plik PDF o rozmiarze 100 MB: 5–20 minut
Typowy plik Excel o rozmiarze 100 MB: 12–30 minut
W przypadku niektórych typów plików, które są bardzo duże, takie jak pliki wideo, rozważ wykluczenie ich ze skanowania przez dodanie rozszerzenia nazwy pliku do opcji Typy plików do skanowania w profilu skanera.
Ponadto skaner usługi Azure Information Protection ma limit czasu 00:30:00 (30 minut) dla każdego pliku, który przetwarza. Ta wartość uwzględnia czas potrzebny na pobranie pliku z repozytorium i tymczasowe zapisanie go lokalnie w przypadku akcji, które mogą obejmować odszyfrowywanie, wyodrębnianie zawartości do inspekcji, etykietowania i szyfrowania.
Mimo że skaner usługi Azure Information Protection może skanować dziesiątki do setek plików na minutę, jeśli masz repozytorium danych z dużą liczbą bardzo dużych plików, skaner może przekroczyć ten domyślny limit czasu i w Azure Portal, wydaje się zatrzymać po 30 minutach. W tym scenariuszu następujący komunikat o błędzie jest rejestrowany w folderze %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (spakowany, jeśli istnieje wiele dzienników) i skaner .csv pliku dziennika: Operacja została anulowana.
Skaner z 4 rdzeniowymi procesorami domyślnie ma 16 wątków do skanowania i prawdopodobieństwo napotkania 16 dużych plików w okresie 30 minut zależy od stosunku dużych plików. Jeśli na przykład szybkość skanowania wynosi 200 plików na minutę, a 1% plików przekracza limit czasu 30 minut, istnieje prawdopodobieństwo ponad 85%, że skaner napotka 30-minutową sytuację przekroczenia limitu czasu. Te przekroczenia limitu czasu mogą spowodować dłuższe skanowanie i większe zużycie pamięci.
W takiej sytuacji, jeśli nie można dodać więcej procesorów rdzeni do komputera skanera, rozważ zmniejszenie limitu czasu w celu zwiększenia szybkości skanowania i mniejszego zużycia pamięci, ale z potwierdzeniem, że niektóre pliki zostaną wykluczone. Alternatywnie rozważ zwiększenie limitu czasu w celu uzyskania bardziej dokładnych wyników skanowania, ale z potwierdzeniem, że ta konfiguracja prawdopodobnie spowoduje obniżenie szybkości skanowania i wyższe zużycie pamięci.
Aby zmienić limit czasu przetwarzania plików, skonfiguruj następujące zaawansowane ustawienie klienta:
Klucz: FileProcessingTimeout
Wartość: <hh:min:s>
Zmienianie poziomu rejestrowania lokalnego
Ta konfiguracja korzysta z zaawansowanych ustawień klienta, które należy skonfigurować w witrynie Azure Portal.
Domyślnie klient usługi Azure Information Protection zapisuje pliki dziennika klienta w folderze %localappdata%\Microsoft\MSIP. Te pliki są przeznaczone do rozwiązywania problemów przez pomoc techniczna firmy Microsoft.
Aby zmienić poziom rejestrowania dla tych plików, skonfiguruj następujące zaawansowane ustawienie klienta:
Klucz: LogLevel
Wartość: <poziom> rejestrowania
Ustaw poziom rejestrowania na jedną z następujących wartości:
Wyłączone: brak rejestrowania lokalnego.
Błąd: Tylko błędy.
Informacje: Minimalne rejestrowanie, które nie zawiera identyfikatorów zdarzeń (ustawienie domyślne skanera).
Debugowanie: pełne informacje.
Śledzenie: szczegółowe rejestrowanie (ustawienie domyślne dla klientów). W przypadku skanera to ustawienie ma znaczący wpływ na wydajność i powinno być włączone dla skanera tylko w przypadku żądania pomoc techniczna firmy Microsoft. Jeśli zostanie wyświetlony monit o ustawienie tego poziomu rejestrowania dla skanera, pamiętaj, aby ustawić inną wartość po zebraniu odpowiednich dzienników.
To zaawansowane ustawienie klienta nie zmienia informacji wysyłanych do usługi Azure Information Protection na potrzeby centralnego raportowania ani nie zmienia informacji zapisanych w lokalnym dzienniku zdarzeń.
Integracja ze starszą klasyfikacją komunikatów Exchange
Outlook w sieci Web obsługuje teraz wbudowane etykietowanie dla Exchange Online, która jest zalecaną metodą etykietowania wiadomości e-mail w Outlook w sieci Web. Jeśli jednak musisz oznaczyć wiadomości e-mail w usłudze OWA i używać Exchange Server, która nie obsługuje jeszcze etykiet poufności, możesz użyć Exchange klasyfikacji komunikatów, aby rozszerzyć etykiety usługi Azure Information Protection na Outlook w sieci Web.
Outlook Mobile nie obsługuje klasyfikacji komunikatów Exchange.
W tym celu:
Użyj polecenia cmdlet New-MessageClassification środowiska PowerShell programu Exchange w celu utworzenia klasyfikacji wiadomości z właściwością Name, która mapuje do nazw etykiet użytkownika w zasadach usługi Azure Information Protection.
Utwórz regułę przepływu poczty Exchange dla każdej etykiety: zastosuj regułę, gdy właściwości wiadomości zawierają skonfigurowaną klasyfikację i zmodyfikuj właściwości wiadomości, aby ustawić nagłówek wiadomości.
W nagłówku wiadomości znajdują się informacje, które należy określić, sprawdzając nagłówki internetowe wysłanej i sklasyfikowanej wiadomości e-mail przy użyciu etykiety usługi Azure Information Protection. Wyszukaj nagłówek msip_labels i ciąg, który bezpośrednio następuje, aż do i z wyłączeniem średnika. Przykład:
msip_labels: MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True
Następnie dla nagłówka wiadomości w regule określ element msip_labels dla nagłówka oraz pozostałe elementy ciągu dla wartości nagłówka. Przykład:
Uwaga: gdy etykieta jest etykietą podrzędną, należy również określić etykietę nadrzędną przed etykietą podrzędną w wartości nagłówka przy użyciu tego samego formatu. Jeśli na przykład podbel ma identyfikator GUID 27efdf94-80a0-4d02-b88c-b615c12d69a9, wartość może wyglądać następująco:
MSIP_Label_ab70158b-bdcc-42a3-8493-2a80736e9cbd_Enabled=True;MSIP_Label_27efdf94-80a0-4d02-b88c-b615c12d69a9_Enabled=True
Przed przetestowaniem tej konfiguracji należy pamiętać, że często podczas tworzenia lub edytowania reguł przepływu poczty (na przykład odczekaj godzinę). Gdy reguła będzie obowiązywać, w przypadku używania Outlook w sieci Web użytkownicy będą teraz korzystać z następujących zdarzeń:
Użytkownicy wybierają klasyfikację wiadomości programu Exchange i wysyłają wiadomość e-mail.
Reguła programu Exchange wykrywa klasyfikację programu Exchange i odpowiednio modyfikuje nagłówek wiadomości w celu dodania klasyfikacji usługi Azure Information Protection.
Gdy adresaci wewnętrzni wyświetlają wiadomość e-mail w Outlook i mają zainstalowanego klienta usługi Azure Information Protection, widzą przypisaną etykietę usługi Azure Information Protection.
Jeśli etykiety usługi Azure Information Protection mają zastosowanie do ochrony, dodaj tę ochronę do konfiguracji reguły: wybierz opcję modyfikowania zabezpieczeń wiadomości, zastosuj ochronę praw, a następnie wybierz szablon ochrony lub opcję Nie przesyłaj dalej.
Możesz również skonfigurować reguły przepływu poczty, aby wykonać mapowanie odwrotne. Po wykryciu etykiety usługi Azure Information Protection ustaw odpowiednią klasyfikację wiadomości programu Exchange:
- Dla każdej etykiety usługi Azure Information Protection: utwórz regułę przepływu poczty, która jest stosowana, gdy nagłówek msip_labels zawiera nazwę etykiety (na przykład Ogólne) i zastosuj klasyfikację komunikatów, która mapuje tę etykietę.
Następne kroki
Po dostosowaniu klienta usługi Azure Information Protection zapoznaj się z poniższymi informacjami dodatkowymi, które mogą być przydatne podczas obsługi tego klienta: