Podręcznik administratora: Konfiguracje niestandardowe klienta ujednoliconego etykietowania usługi Azure Information Protection

Dotyczy: Azure Information Protection,Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Jeśli masz wersję Windows 7 lub Office 2010, zobacz AIP and legacy Windows and Office versions (AIPi starsze wersje Windows i Office wersji).

Dotyczy: Azure Information Protection ujednoliconego klienta etykietowania dla Windows.

Poniższe informacje zawierają informacje dotyczące zaawansowanych konfiguracji wymaganych dla określonych scenariuszy lub użytkowników podczas zarządzania ujednoliconym klientem etykietowania usługi AIP.

Uwaga

Te ustawienia wymagają edytowania rejestru lub określania ustawień zaawansowanych. Ustawienia zaawansowane korzystają z programu Office 365 Security & Compliance Center programu PowerShell.

Konfigurowanie ustawień zaawansowanych klienta za pomocą programu PowerShell

Użyj programu PowerShell Microsoft 365 Security & Compliance Center, aby skonfigurować zaawansowane ustawienia dostosowywania zasad i etykiet.

W obu przypadkach po nawiązania połączenia z programem PowerShellcentrum zgodności usługi Office 365 Security & określ parametr AdvancedSettings z tożsamością (nazwą lub identyfikatorem GUID) zasad lub etykiety, przy użyciu par klucz/wartość w tabeli skrótów.

Aby usunąć ustawienie zaawansowane, użyj tej samej składni parametrów AdvancedSettings, ale określ wartość ciągu null.

Ważne

Nie używaj białych znaków w wartościach ciągu. Białe ciągi w tych wartościach ciągów uniemożliwią zastosowanie etykiet.

Aby uzyskać więcej informacji, zobacz:

Składnia ustawień zaawansowanych zasad etykiet

Przykładem zaawansowanego ustawienia zasad etykiety jest ustawienie wyświetlania paska Information Protection w Office aplikacji.

Dla pojedynczej wartości ciągu użyj następującej składni:

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key="value1,value2"}

W przypadku wielu wartości ciągu dla tego samego klucza użyj następującej składni:

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

Etykieta składni ustawień zaawansowanych

Przykładem zaawansowanego ustawienia etykiety jest ustawienie określające kolor etykiety.

Dla pojedynczej wartości ciągu użyj następującej składni:

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key="value1,value2"}

W przypadku wielu wartości ciągu dla tego samego klucza użyj następującej składni:

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

Sprawdzanie bieżących ustawień zaawansowanych

Aby sprawdzić bieżące ustawienia zaawansowane, uruchom następujące polecenia:

Aby sprawdzić zaawansowane ustawienia zasad etykiet, użyj następującej składni:

W przypadku zasad etykiety o nazwie Globalne:

(Get-LabelPolicy -Identity Global).settings

Aby sprawdzić ustawienia zaawansowane etykiety, użyj następującej składni:

Dla etykiety o nazwie Public:

(Get-Label -Identity Public).settings

Przykłady ustawiania ustawień zaawansowanych

Przykład 1: ustaw zaawansowane ustawienie zasad etykiety dla pojedynczej wartości ciągu:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

Przykład 2: ustaw zaawansowane ustawienie etykiety dla pojedynczej wartości ciągu:

Set-Label -Identity Internal -AdvancedSettings @{smimesign="true"}

Przykład 3: ustaw zaawansowane ustawienie etykiety dla wielu wartości ciągu:

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

Przykład 4: Usuwanie zaawansowanego ustawienia zasad etykiety przez określenie wartości ciągu null:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions=""}

Określanie zasad etykiety lub tożsamości etykiety

Znajdowanie nazwy zasad etykiety dla parametru tożsamości programu PowerShell jest proste, ponieważ w nazwie Centrum zgodności platformy Microsoft 365.

Jednak w przypadku etykiet wartość Centrum zgodności platformy Microsoft 365 wartość Nazwa i Nazwa wyświetlana. W niektórych przypadkach te wartości będą takie same, ale mogą się różnić. Aby skonfigurować zaawansowane ustawienia etykiet, użyj wartości Nazwa.

Aby na przykład zidentyfikować etykietę na poniższej ilustracji, użyj następującej składni w poleceniu programu -Identity "All Company" PowerShell:

Użyj nazwy "Name" zamiast "Nazwa wyświetlana", aby zidentyfikować etykietę czułości

Jeśli wolisz określić identyfikator GUID etykiety, ta wartość nie jest wyświetlana w Centrum zgodności platformy Microsoft 365. Użyj polecenia Get-Label, aby znaleźć tę wartość w następujący sposób:

Get-Label | Format-Table -Property DisplayName, Name, Guid

Aby uzyskać więcej informacji na temat etykietowania nazw i nazw wyświetlanych:

  • Nazwa jest oryginalną nazwą etykiety i jest unikatowa we wszystkich etykietach.

    Ta wartość pozostaje taka sama, nawet jeśli nazwa etykiety zostanie później zmieniona. W przypadku etykiet czułości, które zostały zmigrowane z Azure Information Protection, może zostać wyświetlony oryginalny identyfikator etykiety z Azure Portal.

  • Nazwa wyświetlana to nazwa aktualnie wyświetlana użytkownikom etykiety i nie musi być unikatowa we wszystkich etykietach.

    Na przykład możesz mieć nazwę wyświetlaną Wszyscy pracownicy dla etykiety podrzędnej Pod etykietą Poufne i inną nazwę wyświetlaną Wszyscy pracownicy dla etykiety podrzędnej pod etykietą Wysoce poufne. Obie etykiety podrzędne mają taką samą nazwę, ale nie są tymi samymi etykietami i mają różne ustawienia.

Kolejność pierwszeństwa — sposób rozwiązywania konfliktów ustawień

Za pomocą Centrum zgodności platformy Microsoft 365 skonfigurować następujące ustawienia zasad etykiety:

  • Zastosuj tę etykietę domyślnie do dokumentów i wiadomości e-mail

  • Użytkownicy muszą podać uzasadnienie usunięcia etykiety lub niższej etykiety klasyfikacji

  • Wymaganie od użytkowników zastosowania etykiety do wiadomości e-mail lub dokumentu

  • Udostępnij użytkownikom link do niestandardowej strony pomocy

Jeśli dla użytkownika skonfigurowano więcej niż jedną zasady etykiety, każda z potencjalnie różnymi ustawieniami zasad, ostatnie ustawienie zasad jest stosowane zgodnie z kolejnością zasad w Centrum zgodności platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Priorytet zasad etykiet (kolejność ma znaczenie)

Zaawansowane ustawienia zasad etykiet są stosowane przy użyciu tej samej logiki, przy użyciu ostatniego ustawienia zasad.

Odwołania do ustawień zaawansowanych

W poniższych sekcjach przedstawiono dostępne zaawansowane ustawienia zasad i etykiet etykiet:

Informacje o ustawieniach zaawansowanych według funkcji

W poniższych sekcjach przedstawiono ustawienia zaawansowane opisane na tej stronie według integracji produktów i funkcji:

Cecha Ustawienia zaawansowane
Outlook i ustawienia poczty e-mail - Konfigurowanie etykiety w celu zastosowania ochrony S/MIME w Outlook
- Dostosowywanie Outlook wyskakujących okienek
- Włączanie zalecanej klasyfikacji w Outlook
- Wyklucz Outlook komunikatów z obowiązkowego etykietowania
- W przypadku wiadomości e-mail z załącznikami zastosuj etykietę, która odpowiada najwyższej klasyfikacji tych załączników
- Rozwiń Outlook list dystrybucyjnych podczas wyszukiwania adresatów wiadomości e-mail
- Implementowanie wyskakujących wiadomości w Outlook, które ostrzegają, uzasadniają lub blokują wysyłane wiadomości e-mail
- Zapobieganie Outlook problemów z wydajnością przy użyciu wiadomości e-mail S/MIME
- Ustaw inną etykietę domyślną dla Outlook
PowerPoint ustawień - Unikaj usuwania kształtów z PowerPoint, które zawierają określony tekst i nie są nagłówkami/stopkami
- Jawne usuwanie zewnętrznych oznaczeń zawartości z PowerPoint układów niestandardowych
- Usuń wszystkie kształty o określonej nazwie kształtu z nagłówków i stopek zamiast usuwać kształty według tekstu wewnątrz kształtu
Eksplorator plików ustawień - Zawsze wyświetlaj uprawnienia niestandardowe użytkownikom w Eksplorator plików
- Wyłączanie uprawnień niestandardowych w programie Eksplorator plików
- Ukryj opcję menu Klasyfikuj i chroń w Windows Eksplorator plików
Ustawienia ulepszeń wydajności - Ograniczanie użycia procesora CPU
- Ograniczanie liczby wątków używanych przez skaner
- Zapobieganie Outlook problemów z wydajnością przy użyciu wiadomości e-mail S/MIME
Ustawienia integracji z innymi rozwiązaniami do etykietowania - Migrowanie etykiet z bezpiecznych wysp i innych rozwiązań do etykietowania
- Usuwanie nagłówków i stopek z innych rozwiązań do etykietowania
Ustawienia analizy usługi AIP - Zapobieganie wysłaniu danych inspekcji do usługi AIP i Microsoft 365 analizy
- Wysyłanie dopasowania typu informacji do analizy Azure Information Protection danych
Ustawienia ogólne - Dodawanie aplikacji "Zgłoś problem" dla użytkowników
- Stosowanie właściwości niestandardowej po zastosowaniu etykiety
- Zmienianie lokalnego poziomu rejestrowania
- Zmienianie typów plików do ochrony
- Konfigurowanie limitu czasu automatycznego na etykietach Office plików
- Konfigurowanie SharePoint limitów czasu
- Dostosowywanie tekstów monitów o uzasadnienie dla zmodyfikowanych etykiet
- Wyświetlanie paska Information Protection aplikacji Office aplikacji
- Włączanie usuwania ochrony skompresowanych plików
- Zachowywanie właścicieli systemu plików NTFS podczas etykietowania (publiczna wersja zapoznawcza)
- Usuń oznaczenie "Nie teraz" dla dokumentów, jeśli używasz obowiązkowego etykietowania
- Pomijanie lub ignorowanie plików podczas skanowania w zależności od atrybutów pliku
- Określanie koloru etykiety
- Określanie domyślnej etykiety podrzędnej dla etykiety nadrzędnej
- Obsługa zmiany <EXT> . PFILE do P<EXT>
- Obsługa odłączonych komputerów
- Włączanie klasyfikacji w celu ciągłego uruchamiania w tle
- Wyłączanie funkcji śledzenia dokumentów
- Wyłącz opcję Odwołaj dla użytkowników końcowych w Office aplikacji

Zaawansowane informacje o ustawieniach zasad etykiet

Użyj parametru AdvancedSettings z parametrami New-LabelPolicy i Set-LabelPolicy, aby zdefiniować następujące ustawienia:

Ustawienie Scenariusz i instrukcje
AdditionalPPrefixExtensions Obsługa zmiany <EXT> . PFILE do P <EXT> przy użyciu tej właściwości zaawansowanej
AttachmentAction W przypadku wiadomości e-mail z załącznikami należy stosować etykiety odpowiadające najwyższej klasyfikacji tych załączników
AttachmentActionTip W przypadku wiadomości e-mail z załącznikami należy stosować etykiety odpowiadające najwyższej klasyfikacji tych załączników
DisableMandatoryInOutlook Wyklucz Outlook komunikatów z obowiązkowego etykietowania
EnableAudit Zapobieganie wysłaniu danych inspekcji do usługi AIP i Microsoft 365 analizy
EnableContainerSupport Włączanie usuwania ochrony z plików PST, rar, 7zip i MSG
EnableCustomPermissions Wyłączanie uprawnień niestandardowych w Eksplorator plików
EnableCustomPermissionsForCustomProtectedFiles W przypadku plików chronionych przy użyciu uprawnień niestandardowych zawsze wyświetlaj uprawnienia niestandardowe użytkownikom w Eksplorator plików
EnableLabelByMailHeader Migrowanie etykiet z bezpiecznych wysp i innych rozwiązań do etykietowania
EnableLabelBySharePointProperties Migrowanie etykiet z bezpiecznych wysp i innych rozwiązań do etykietowania
EnableOutlookDistributionListExpansion Rozwiń Outlook list dystrybucyjnych podczas wyszukiwania adresatów wiadomości e-mail
EnableRevokeGuiSupport Wyłącz opcję Odwołaj dla użytkowników końcowych w Office aplikacji
EnableTrackAndRevoke Wyłączanie funkcji śledzenia dokumentów
HideBarByDefault Wyświetlanie paska Information Protection aplikacji Office aplikacji
JustificationTextForUserText Dostosowywanie tekstów monitów o uzasadnienie dla zmodyfikowanych etykiet
LogMatchedContent Wysyłanie dopasowania typu informacji do Azure Information Protection danych
OfficeContentExtractionTimeout Konfigurowanie limitu czasu automatycznego na etykietach Office plików
OutlookBlockTrustedDomains Implementowanie wyskakujących wiadomości w Outlook, które ostrzegają, uzasadniają lub blokują wysyłane wiadomości e-mail
OutlookBlockUntrustedCollaborationLabel Implementowanie wyskakujących wiadomości w Outlook, które ostrzegają, uzasadniają lub blokują wysyłane wiadomości e-mail
OutlookCollaborationRule Dostosowywanie Outlook wyskakujących okienek
OutlookDefaultLabel Ustaw inną etykietę domyślną dla Outlook
OutlookGetEmailAddressesTimeOutMSProperty Zmodyfikuj limit czasu rozwijania listy dystrybucyjnej w programie Outlook podczas implementowania komunikatów blokowych dla adresatów na listach dystrybucyjnych )
OutlookJustifyTrustedDomains Implementowanie wyskakujących wiadomości w Outlook, które ostrzegają, uzasadniają lub blokują wysyłane wiadomości e-mail
OutlookJustifyUntrustedCollaborationLabel Implementowanie wyskakujących wiadomości w Outlook, które ostrzegają, uzasadniają lub blokują wysyłane wiadomości e-mail
OutlookRecommendationEnabled Włączanie zalecanej klasyfikacji w Outlook
OutlookOverrideUnlabeledCollaborationExtensions Implementowanie wyskakujących wiadomości w Outlook, które ostrzegają, uzasadniają lub blokują wysyłane wiadomości e-mail
OutlookSkipSmimeOnReadingPaneEnabled Zapobieganie Outlook problemów z wydajnością wiadomości e-mail S/MIME
OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Implementowanie wyskakujących wiadomości w Outlook, które ostrzegają, uzasadniają lub blokują wysyłane wiadomości e-mail
OutlookWarnTrustedDomains Implementowanie wyskakujących wiadomości w Outlook, które ostrzegają, uzasadniają lub blokują wysyłane wiadomości e-mail
OutlookWarnUntrustedCollaborationLabel Implementowanie wyskakujących wiadomości w Outlook, które ostrzegają, uzasadniają lub blokują wysyłane wiadomości e-mail
PFileSupportedExtensions Zmienianie typów plików do ochrony
PostponeMandatoryBeforeSave Usuń oznaczenie "Nie teraz" dla dokumentów, jeśli używasz obowiązkowego etykietowania
PowerPointRemoveAllShapesByShapeName Usuń wszystkie kształty o określonej nazwie kształtu z nagłówków i stopek zamiast usuwać kształty według tekstu wewnątrz kształtu
PowerPointShapeNameToRemove Unikaj usuwania kształtów z PowerPoint zawierających określony tekst i nie są nagłówkami/stopkami
RemoveExternalContentMarkingInApp Usuwanie nagłówków i stopek z innych rozwiązań do etykietowania
RemoveExternalMarkingFromCustomLayouts Jawne usuwanie zewnętrznych oznaczeń zawartości z PowerPoint układów niestandardowych
ReportAnIssueLink Dodawanie "Zgłoś problem" dla użytkowników
RunPolicyInBackground Włączanie klasyfikacji w celu ciągłego uruchamiania w tle
ScannerMaxCPU Ograniczanie użycia procesora CPU
ScannerMinCPU Ograniczanie użycia procesora CPU
ScannerConcurrencyLevel Ograniczanie liczby wątków używanych przez skaner
ScannerFSAttributesToSkip Pomijanie lub ignorowanie plików podczas skanowania w zależności od atrybutów pliku
SharepointWebRequestTimeout Konfigurowanie SharePoint limitów czasu
SharepointFileWebRequestTimeout Konfigurowanie SharePoint limitów czasu
UseCopyAndPreserveNTFSOwner Zachowywanie właścicieli systemu plików NTFS podczas etykietowania

Etykieta : informacje o ustawieniach zaawansowanych

Użyj parametru AdvancedSettings z parametrami New-Label i Set-Label.

Ustawienie Scenariusz i instrukcje
Kolor Określanie koloru etykiety
customPropertiesByLabel Stosowanie właściwości niestandardowej po zastosowaniu etykiety
DefaultSubLabelId Określanie domyślnej etykiety podrzędnej dla etykiety nadrzędnej
labelByCustomProperties Migrowanie etykiet z bezpiecznych wysp i innych rozwiązań do etykietowania
SMimeEncrypt Konfigurowanie etykiety w celu zastosowania ochrony S/MIME w Outlook
SMimeSign Konfigurowanie etykiety w celu zastosowania ochrony S/MIME w Outlook

Ukryj opcję menu Klasyfikuj i chroń w Eksploratorze plików systemu Windows

Aby ukryć opcję menu Klasyfikuj i chroń w Windows Eksplorator plików, utwórz następującą nazwę wartości DWORD (z dowolnymi danymi wartości):

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable

Aby uzyskać więcej informacji, zobacz Using Eksplorator plików to classify files (Używanie Eksplorator plików do klasyfikowania plików).

Wyświetlanie paska Information Protection aplikacji Office aplikacji

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Domyślnie użytkownicy muszą wybrać opcję Pokaż pasek na przycisku Czułość, aby wyświetlić pasek Information Protection w Office aplikacji. Użyj klucza HideBarByDefault i ustaw wartość False, aby automatycznie wyświetlać ten pasek dla użytkowników, dzięki czemu mogą oni wybrać etykiety z paska lub przycisku.

Dla wybranych zasad etykiety określ następujące ciągi:

  • Klucz: HideBarByDefault

  • Wartość: Fałsz

Przykładowe polecenie programu PowerShell, w którym zasady etykiet mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{HideBarByDefault="False"}

Wyklucz Outlook komunikatów z obowiązkowego etykietowania

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Domyślnie po włączeniu ustawienia zasad etykiet Wszystkie dokumenty i wiadomości e-mail musi mieć etykietę , wszystkie zapisane dokumenty i wysłane wiadomości e-mail muszą mieć etykietę. Po skonfigurowaniu następującego ustawienia zaawansowanego ustawienie zasad ma zastosowanie tylko do dokumentów Office, a nie do komunikatów Outlook wiadomości.

Dla wybranych zasad etykiety określ następujące ciągi:

  • Klucz: DisableMandatoryInOutlook

  • Wartość: True

Przykładowe polecenie programu PowerShell, w którym zasady etykiet mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{DisableMandatoryInOutlook="True"}

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Podczas konfigurowania etykiety dla zalecanej klasyfikacji użytkownicy są monitowane o zaakceptowanie lub odrzucenie zalecanej etykiety w programie Word, Excel i PowerPoint. To ustawienie rozszerza to zalecenie dotyczące etykiety tak, aby było również wyświetlane w Outlook.

Dla wybranych zasad etykiety określ następujące ciągi:

  • Klucz: OutlookRecommendationEnabled

  • Wartość: True

Przykładowe polecenie programu PowerShell, w którym zasady etykiet mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookRecommendationEnabled="True"}

Włącz usuwanie ochrony skompresowanych plików

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Po skonfigurowaniu tego ustawienia polecenie cmdlet programu PowerShell Set-AIPFileLabel jest włączone, aby umożliwić usuwanie ochrony z plików PST, rar i 7zip.

  • Klucz: EnableContainerSupport

  • Wartość: True

Przykładowe polecenie programu PowerShell z włączonymi zasadami:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}

Ustaw inną etykietę domyślną dla Outlook

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Po skonfigurowaniu tego ustawienia Outlook nie zastosuje etykiety domyślnej skonfigurowanej jako ustawienie zasad dla opcji Zastosuj tę etykietę domyślnie do dokumentów i wiadomości e-mail. Zamiast tego Outlook zastosować inną etykietę domyślną lub brak etykiety.

Dla wybranych zasad etykiety określ następujące ciągi:

  • Klucz: OutlookDefaultLabel

  • Wartość: <label GUID> lub Brak

Przykładowe polecenie programu PowerShell, w którym zasady etykiet mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookDefaultLabel="None"}

Zmienianie typów plików do ochrony

Te konfiguracje używają zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Domyślnie klient Azure Information Protection ujednoliconego etykietowania chroni wszystkie typy plików, a skaner od klienta chroni tylko typy plików Office i pliki PDF.

To domyślne zachowanie dla wybranych zasad etykiety można zmienić, określając jedną z następujących wartości:

PFileSupportedExtension

  • Klucz: PFileSupportedExtensions

  • Wartość: <string value>

Użyj poniższej tabeli, aby określić wartość ciągu:

Wartość ciągu Klient Skaner
* Wartość domyślna: Zastosuj ochronę do wszystkich typów plików Stosowanie ochrony do wszystkich typów plików
ConvertTo-Json(".jpg", ".png") Oprócz typów Office plików i plików PDF, zastosuj ochronę do określonych rozszerzeń nazw plików Oprócz typów Office plików i plików PDF, zastosuj ochronę do określonych rozszerzeń nazw plików

Przykład 1: polecenie programu PowerShell dla skanera w celu ochrony wszystkich typów plików, w których zasady etykiet mają nazwę "Skaner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Przykład 2: polecenie programu PowerShell dla skanera w celu ochrony plików .txt i plików .csv oprócz plików Office i plików PDF, gdzie zasady etykiet mają nazwę "Skaner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}

To ustawienie umożliwia zmianę typów plików chronionych, ale nie można zmienić domyślnego poziomu ochrony z natywnego na ogólny. Na przykład w przypadku użytkowników z uruchomionym ujednoliconym klientem etykietowania można zmienić ustawienie domyślne, aby chronić tylko pliki Office i pliki PDF, a nie wszystkie typy plików. Nie można jednak zmienić tych typów plików tak, aby były objęte ochroną ogólną za pomocą rozszerzenia nazwy pliku pfile.

AdditionalPPrefixExtensions

Ujednolicony klient etykietowania obsługuje <EXT> zmienianie . PFILE do P <EXT> przy użyciu zaawansowanej właściwości AdditionalPPrefixExtensions. Ta zaawansowana właściwość jest obsługiwana przez Eksplorator plików, programu PowerShell i skanera. Wszystkie aplikacje podobne zachowanie.

  • Klucz: AdditionalPPrefixExtensions

  • Wartość: <string value>

Użyj poniższej tabeli, aby zidentyfikować wartość ciągu do określenia:

Wartość ciągu Klient i skaner
* Wszystkie rozszerzenia PFile stają się P<EXT>
<null value> Wartość domyślna zachowuje się jak domyślna wartość ochrony.
ConvertTo-Json(".dwg", ".zip") Oprócz poprzedniej listy "dwg" i ".zip" stają się P<EXT>

W przypadku tego ustawienia następujące rozszerzenia zawsze stają się P: <EXT>".txt", ".xml", ".bmp", ".jt", ".jpg", ".jpeg", ".jpe", ".jif", ".jfif", ".jfi", ".png", ".tif", ".tiff", ".gif"). Należy pamiętać, że "ptxt" nie staje się plikiem "txt.pfile".

Funkcja AdditionalPPrefixExtensions działa tylko wtedy, gdy ochrona plików PFiles przy użyciu właściwości zaawansowanej jest włączona.

Przykład 1: polecenie programu PowerShell zachowuje się jak domyślne zachowanie, w którym opcja Chroń ".dwg" staje się wartością ".dwg.pfile":

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}

Przykład 2: polecenie programu PowerShell służące do zmiany wszystkich rozszerzeń PFile z ochrony ogólnej (dwg.pfile) na ochronę natywną (.pdwg), gdy pliki są chronione:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}

Przykład 3: polecenie programu PowerShell w celu zmiany pliku ".dwg" na ".pdwg" podczas korzystania z tej usługi chroni ten plik:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}

Usuń oznaczenie "Nie teraz" dla dokumentów, jeśli używasz obowiązkowego etykietowania

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Jeśli używasz ustawienia zasad etykiety Wszystkie dokumenty i wiadomości e-mail muszą mieć etykietę , użytkownicy są monitowane o wybranie etykiety podczas pierwszego zapisywania dokumentu usługi Office i wysyłania wiadomości e-mail z Outlook.

W przypadku dokumentów użytkownicy mogą wybrać pozycję Nie teraz, aby tymczasowo odrzucić monit o wybranie etykiety i powrót do dokumentu. Nie mogą jednak zamknąć zapisanego dokumentu bez jego etykietowania.

Po skonfigurowaniu ustawienia PostponeMandatoryBeforeSave opcja Nie teraz jest usuwana, dzięki czemu użytkownicy muszą wybrać etykietę podczas pierwszego zapisania dokumentu.

Porada

Ustawienie PostponeMandatoryBeforeSave gwarantuje również, że udostępnione dokumenty są oznaczone etykietami przed ich wysłaniem pocztą e-mail.

Domyślnie, nawet jeśli w zasadach musi być włączona etykieta Wszystkie dokumenty i wiadomości e-mail, użytkownicy mają tylko etykietę plików dołączonych do wiadomości e-mail z poziomu Outlook.

Dla wybranych zasad etykiet określ następujące ciągi:

  • Klucz: PostponeMandatoryBeforeSave

  • Wartość: Fałsz

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{PostponeMandatoryBeforeSave="False"}

Usuwanie nagłówków i stopek z innych rozwiązań do etykietowania

Ta konfiguracja używa zaawansowanych ustawień zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Istnieją dwie metody usuwania klasyfikacji z innych rozwiązań do etykietowania:

Ustawienie Opis
WordShapeNameToRemove Usuwa dowolny kształt z dokumentów programu Word, w których nazwa kształtu odpowiada nazwie zdefiniowanej we właściwości Zaawansowane WordShapeNameToRemove.

Aby uzyskać więcej informacji, zobacz Używanie właściwości zaawansowanej WordShapeNameToRemove.
RemoveExternalContentMarkingInApp

ExternalContentMarkingToRemove
Umożliwia usuwanie lub zastępowanie nagłówków lub stopek tekstowych z programu Word, Excel i PowerPoint dokumentów.

Aby uzyskać więcej informacji, zobacz:
- Używanie zaawansowanej właściwości RemoveExternalContentMarkingInApp
- Jak skonfigurować externalContentMarkingToRemove.

Używanie zaawansowanej właściwości WordShapeNameToRemove

Zaawansowana właściwość WordShapeNameToRemove jest obsługiwana w wersji 2.6.101.0 lub nowszej

To ustawienie umożliwia usuwanie lub zastępowanie etykiet opartych na kształtach z dokumentów programu Word, gdy te oznaczenia wizualne zostały zastosowane przez inne rozwiązanie do etykietowania. Na przykład kształt zawiera nazwę starej etykiety, która jest teraz migrowana do etykiet czułości w celu użycia nowej nazwy etykiety i jej własnego kształtu.

Aby użyć tej właściwości zaawansowanej, należy znaleźć nazwę kształtu w dokumencie programu Word, a następnie zdefiniować je na liście kształtów WordShapeNameToRemove advanced property list. Usługa usunie dowolny kształt w programie Word, który rozpoczyna się od nazwy zdefiniowanej na liście kształtów w tej właściwości zaawansowanej.

Unikaj usuwania kształtów zawierających tekst, który chcesz zignorować, definiując nazwy wszystkich kształtów do usunięcia, i unikaj sprawdzania tekstu we wszystkich kształtach, co jest procesem intensywnie korzystającym z zasobów.

Uwaga

W Microsoft Word można usunąć kształty, definiując nazwę kształtów lub tekst, ale nie oba. Jeśli zdefiniowano właściwość WordShapeNameToRemove, wszystkie konfiguracje zdefiniowane przez wartość ExternalContentMarkingToRemove są ignorowane.

Aby znaleźć nazwę kształtu, z których korzystasz, i chcesz wykluczyć :

  1. W programie Word wyświetl okienko Wybór: karta Narzędzia główne > Edytowanie > wybierz opcję > okienku wyboru.

  2. Wybierz kształt na stronie, który chcesz oznaczyć do usunięcia. Nazwa oznaczania kształtu jest teraz wyróżniona w okienku Wybór.

Użyj nazwy kształtu, aby określić wartość ciągu dla klucza *WordShapeNameToRemove".

Przykład: Nazwa kształtu to dc. Aby usunąć kształt o tej nazwie, należy określić wartość: dc .

  • Klucz: WordShapeNameToRemove

  • Wartość: <Word shape name>

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{WordShapeNameToRemove="dc"}

Jeśli masz więcej niż jeden kształt programu Word do usunięcia, określ tyle wartości, ile masz kształtów do usunięcia.

Używanie zaawansowanej właściwości RemoveExternalContentMarkingInApp

To ustawienie umożliwia usuwanie lub zastępowanie nagłówków lub stopek tekstowych z dokumentów, gdy te oznaczenia wizualne zostały zastosowane przez inne rozwiązanie do etykietowania. Na przykład stara stopka zawiera nazwę starej etykiety, która jest teraz migrowana do etykiet czułości w celu użycia nowej nazwy etykiety i jej własnej stopki.

Gdy ujednolicony klient etykietowania pobiera tę konfigurację w swoich zasadach, stare nagłówki i stopki są usuwane lub zastępowane po otwarciu dokumentu w oknie aplikacja pakietu Office i zastosowaniu wszelkich etykiet czułości do dokumentu.

Ta konfiguracja nie jest obsługiwana w Outlook i należy pamiętać, że użycie jej w programach Word, Excel i PowerPoint może negatywnie wpłynąć na wydajność tych aplikacji dla użytkowników. Konfiguracja umożliwia definiowanie ustawień dla aplikacji, na przykład wyszukiwanie tekstu w nagłówkach i stopach dokumentów programu Word, ale nie Excel arkuszy kalkulacyjnych ani PowerPoint prezentacji.

Ponieważ dopasowanie wzorca wpływa na wydajność dla użytkowników, zalecamy ograniczenie typów aplikacji Office (W ord, E X cel, P owerPoint) tylko do tych, które muszą być przeszukiwane. Dla wybranych zasad etykiet określ następujące ciągi:

  • Klucz: RemoveExternalContentMarkingInApp

  • Wartość: <Office application types WXP>

Przykłady:

  • Aby wyszukiwać tylko dokumenty programu Word, określ W.

  • Aby wyszukiwać dokumenty programu Word PowerPoint prezentacji, określ WP.

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInApp="WX"}

Następnie musisz mieć co najmniej jedno bardziej zaawansowane ustawienie klienta ExternalContentMarkingToRemove,aby określić zawartość nagłówka lub stopki oraz sposób ich usuwania lub zastępowania.

Jak skonfigurować externalContentMarkingToRemove

Po określeniu wartości ciągu dla klucza ExternalContentMarkingToRemove dostępne są trzy opcje, które używają wyrażeń regularnych. Dla każdego z tych scenariuszy użyj składni przedstawionej w kolumnie Wartość przykładowa w poniższej tabeli:

Opcja Przykładowy opis Przykładowa wartość
Częściowe dopasowanie w celu usunięcia wszystkiego w nagłówku lub stopce Nagłówki lub stopki zawierają ciąg TEKST DO USUNIĘCIA i chcesz całkowicie usunąć te nagłówki lub stopki. *TEXT*
Pełne dopasowanie w celu usunięcia tylko określonych wyrazów w nagłówku lub stopce Nagłówki lub stopki zawierają ciąg TEKST DO USUNIĘCIA. Chcesz usunąć tylko wyraz TEKST, pozostawiając ciąg nagłówka lub stopki jako TO REMOVE. TEXT
Pełne dopasowanie w celu usunięcia wszystkiego w nagłówku lub stopce Nagłówki lub stopki mają ciąg TEKST DO USUNIĘCIA. Chcesz usunąć nagłówki lub stopki, które mają dokładnie ten ciąg. ^TEXT TO REMOVE$

We wzorcu zgodnym z ciągiem, który określisz, nie jest uwzględniania liter. Maksymalna długość ciągu wynosi 255 znaków i nie może zawierać białych znaków.

Ponieważ niektóre dokumenty mogą zawierać niewidoczne znaki lub różne rodzaje spacji lub kart, ciąg określony dla frazy lub zdania może nie zostać wykryty. Jeśli to możliwe, określ pojedynczy wyraz wyróżniający dla wartości i pamiętaj, aby przetestować wyniki przed wdrożeniem w środowisku produkcyjnym.

Dla tych samych zasad etykiet określ następujące ciągi:

  • Klucz: ExternalContentMarkingToRemove

  • Wartość: <string to match, defined as regular expression>

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*TEXT*"}

Aby uzyskać więcej informacji, zobacz:

Wieloliniowe nagłówki lub stopki

Jeśli tekst nagłówka lub stopki jest więcej niż jednym wierszem, utwórz klucz i wartość dla każdego wiersza. Jeśli na przykład masz następującą stopkę z dwoma liniami:

Plik jest sklasyfikowany jako poufny
Etykieta zastosowana ręcznie

Aby usunąć tę wieloliniową stopkę, należy utworzyć następujące dwa wpisy dla tych samych zasad etykiety:

  • Klucz: ExternalContentMarkingToRemove
  • Wartość klucza 1: * poufne*
  • Wartość klucza 2: * zastosowana etykieta*

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove=ConvertTo-Json("Confidential","Label applied")}

Optymalizacja pod kątem PowerPoint

Nagłówki i stopki w PowerPoint są implementowane jako kształty. W przypadku typów kształtów msoTextBox, msoTextEffect, msoPlaceholder i msoAutoShape następujące ustawienia zaawansowane zapewniają dodatkowe optymalizacje:

Ponadto element PowerPointRemoveAllShapesByShapeName może usunąć dowolny typ kształtu na podstawie nazwy kształtu.

Aby uzyskać więcej informacji, zobacz Znajdowanie nazwy kształtu, który jest używasz jako nagłówka lub stopki.

Unikaj usuwania kształtów z PowerPoint zawierających określony tekst i nie są nagłówkami/stopkami

Aby uniknąć usuwania kształtów zawierających określony tekst, ale nie są nagłówkami ani stopkami, użyj dodatkowego zaawansowanego ustawienia klienta o nazwie PowerPointShapeNameToRemove.

Zalecamy również użycie tego ustawienia, aby uniknąć sprawdzania tekstu we wszystkich kształtach, co jest procesem intensywnie korzystającym z zasobów.

  • Jeśli to dodatkowe zaawansowane ustawienie klienta nie zostanie określone, PowerPoint zostanie uwzględnione w wartości klucza RemoveExternalContentMarkingInApp, wszystkie kształty będą sprawdzane pod kątem tekstu, który zostanie określony w wartości ExternalContentMarkingToRemove.

  • Jeśli ta wartość jest określona, zostaną usunięte tylko kształty, które spełniają kryteria nazwy kształtu, a także tekst, który pasuje do ciągu dostarczonego z ExternalContentMarkingToRemove.

Na przykład:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
Rozszerzanie usuwania oznaczenia zewnętrznego na układy niestandardowe

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Domyślnie logika używana do usuwania zewnętrznych oznaczeń zawartości ignoruje niestandardowe układy skonfigurowane w PowerPoint. Aby rozszerzyć tę logikę do układów niestandardowych, ustaw właściwość zaawansowaną RemoveExternalMarkingFromCustomLayouts na wartość True.

  • Klucz: RemoveExternalMarkingFromCustomLayouts

  • Wartość: True

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
Usuwanie wszystkich kształtów o określonej nazwie kształtu

Jeśli używasz układów niestandardowych usługi PowerPoint i chcesz usunąć wszystkie kształty określonej nazwy kształtu z nagłówków i stopek, użyj zaawansowanego ustawienia PowerPointRemoveAllShapesByShapeName z nazwą kształtu, który chcesz usunąć.

Ustawienie PowerPointRemoveAllShapesByShapeName ignoruje tekst w kształtach, a zamiast tego używa nazwy kształtu identyfikującej kształty, które chcesz usunąć.

Na przykład:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointRemoveAllShapesByShapeName="Arrow: Right"}

Aby uzyskać więcej informacji, zobacz:

  1. W PowerPoint okienku Wybór: Formatowanie wyświetl kartę > Rozmieść grupę > wybór.

  2. Wybierz kształt na slajdzie, który zawiera nagłówek lub stopkę. Nazwa wybranego kształtu jest teraz wyróżniona w okienku Wybór.

Użyj nazwy kształtu, aby określić wartość ciągu dla klucza PowerPointShapeNameToRemove.

Przykład: Nazwa kształtu to fc. Aby usunąć kształt o tej nazwie, należy określić wartość: fc .

  • Klucz: PowerPointShapeNameToRemove

  • Wartość: <PowerPoint shape name>

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}

Jeśli masz więcej niż jeden PowerPoint do usunięcia, określ tyle wartości, ile masz kształtów do usunięcia.

Domyślnie tylko slajdy główne są sprawdzane pod kątem nagłówków i stopek. Aby rozszerzyć to wyszukiwanie na wszystkie slajdy, co jest procesem intensywniej obciążanym zasobami, użyj dodatkowego zaawansowanego ustawienia klienta o nazwie RemoveExternalContentMarkingInAllSlides:

  • Klucz: RemoveExternalContentMarkingInAllSlides

  • Wartość: True

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInAllSlides="True"}
Usuwanie zewnętrznego oznaczania zawartości z układów niestandardowych w PowerPoint

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Domyślnie logika używana do usuwania zewnętrznych oznaczeń zawartości ignoruje niestandardowe układy skonfigurowane w PowerPoint. Aby rozszerzyć tę logikę do układów niestandardowych, ustaw właściwość zaawansowaną RemoveExternalMarkingFromCustomLayouts na wartość True.

  • Klucz: RemoveExternalMarkingFromCustomLayouts

  • Wartość: True

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}

Wyłączanie uprawnień niestandardowych w Eksplorator plików

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Domyślnie użytkownicy widzą opcję o nazwie Chroń przy użyciu uprawnień niestandardowych po kliknięciu prawym przyciskiem myszy Eksplorator plików i wybraniu opcji Klasyfikuj i chroń. Ta opcja umożliwia ustawienie własnych ustawień ochrony, które mogą zastąpić wszystkie ustawienia ochrony, które mogły zostać dołączone do konfiguracji etykiety. Użytkownicy mogą również zobaczyć opcję usunięcia ochrony. Po skonfigurowaniu tego ustawienia użytkownicy nie będą widzieć tych opcji.

Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące ciągi dla wybranych zasad etykiet:

  • Klucz: EnableCustomPermissions

  • Wartość: Fałsz

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

W przypadku plików chronionych przy użyciu uprawnień niestandardowych zawsze wyświetlaj uprawnienia niestandardowe użytkownikom w Eksplorator plików

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Po skonfigurowaniu zaawansowanego ustawienia klienta w celu wyłączenia uprawnień niestandardowych w programie Eksplorator plikówdomyślnie użytkownicy nie mogą zobaczyć ani zmienić uprawnień niestandardowych, które zostały już ustawione w chronionym dokumencie.

Istnieje jednak inne zaawansowane ustawienie klienta, które można określić, aby w tym scenariuszu użytkownicy mieli możliwość zobaczenia i zmiany uprawnień niestandardowych dla chronionego dokumentu, gdy korzystają Eksplorator plików i klikali plik prawym przyciskiem myszy.

Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące ciągi dla wybranych zasad etykiet:

  • Klucz: EnableCustomPermissionsForCustomProtectedFiles

  • Wartość: True

Przykładowe polecenie programu PowerShell:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}

W przypadku wiadomości e-mail z załącznikami należy stosować etykiety odpowiadające najwyższej klasyfikacji tych załączników

Ta konfiguracja używa zaawansowanych ustawień zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

To ustawienie dotyczy sytuacji, gdy użytkownicy dołączają dokumenty z etykietami do wiadomości e-mail i nie oznaczą samej wiadomości e-mail etykietą. W tym scenariuszu etykieta jest automatycznie wybierana na podstawie etykiet klasyfikacji, które są stosowane do załączników. Wybrana jest etykieta najwyższej klasyfikacji.

Załącznik musi być plikiem fizycznym i nie może być linkiem do pliku (na przykład linkiem do pliku w witrynie Microsoft SharePoint lub OneDrive).

To ustawienie można skonfigurować na zalecane, aby użytkownicy monitować użytkowników o zastosowanie wybranej etykiety do wiadomości e-mail z dostosowywaną etykietką narzędzia. Użytkownicy mogą zaakceptować zalecenie lub odrzucić je. Możesz też skonfigurować to ustawienie na Automatyczne, w którym wybrana etykieta jest stosowana automatycznie, ale użytkownicy mogą usunąć etykietę lub wybrać inną etykietę przed wysłaniem wiadomości e-mail.

Uwaga

Gdy załącznik z etykietą najwyższej klasyfikacji jest skonfigurowany do ochrony przy użyciu ustawienia uprawnień zdefiniowanych przez użytkownika:

  • Gdy uprawnienia zdefiniowane przez użytkownika etykiety obejmują Outlook (Nie przesyłaj dalej), ta etykieta jest zaznaczona i ochrona nie przesyłaj dalej jest stosowana do wiadomości e-mail.
  • Gdy zdefiniowane przez użytkownika uprawnienia etykiety są tylko dla programu Word, Excel, PowerPoint i Eksplorator plików, ta etykieta nie jest stosowana do wiadomości e-mail i żadna z nich nie jest ochroną.

Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące ciągi dla wybranych zasad etykiet:

  • Klucz 1: AttachmentAction

  • Wartość klucza 1: zalecana lub automatyczna

  • Klucz 2: AttachmentActionTip

  • Wartość klucza 2: " <customized tooltip> "

Dostosowana etykietka narzędzia obsługuje tylko jeden język.

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{AttachmentAction="Automatic"}

Dodawanie aplikacji "Zgłoś problem" dla użytkowników

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Po określeniu następującego zaawansowanego ustawienia klienta użytkownicy zobaczą opcję Zgłoś problem, która będzie dostępna w oknie dialogowym Klient pomocy i opinii. Określ ciąg HTTP dla linku. Może to być na przykład dostosowana strona internetowa, która umożliwia użytkownikom zgłaszanie problemów, lub adres e-mail, który trafia do działu pomocy technicznej.

Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące ciągi dla wybranych zasad etykiety:

  • Klucz: ReportAnIssueLink

  • Wartość: <HTTP string>

Przykładowa wartość witryny internetowej: https://support.contoso.com

Przykładowa wartość adresu e-mail: mailto:helpdesk@contoso.com

Przykładowe polecenie programu PowerShell, w którym zasady etykiet mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}

Implementowanie wyskakujących wiadomości w Outlook, które ostrzegają, uzasadniają lub blokują wysyłane wiadomości e-mail

Ta konfiguracja używa zaawansowanych ustawień zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Po utworzeniu i skonfigurowaniu następujących zaawansowanych ustawień klienta użytkownicy zobaczą wyskakujące wiadomości w aplikacji Outlook, które mogą ich ostrzec przed wysłaniem wiadomości e-mail lub poprosić o uzasadnienie, dlaczego wysyłają wiadomość e-mail, lub uniemożliwią im wysłanie wiadomości e-mail w przypadku jednego z następujących scenariuszy:

  • Adres e-mail lub załącznik wiadomości e-mail mają określoną etykietę:

    • Załącznik może być dowolnym typem pliku
  • Wiadomość e-mail lub załącznik wiadomości e-mail nie ma etykiety:

    • Załącznik może być dokumentem Office dokumentem PDF

Gdy te warunki zostaną spełnione, użytkownik zobaczy komunikat podręczny z jedną z następujących akcji:

Typ Opis
Ostrzec Użytkownik może potwierdzić, wysłać lub anulować.
Uzasadnić Użytkownik jest monitowany o uzasadnienie (wstępnie zdefiniowane opcje lub formularz bezpłatny), a następnie użytkownik może wysłać lub anulować wiadomość e-mail.
Tekst uzasadnienia jest zapisywany w nagłówku x-wiadomości e-mail, dzięki czemu może być odczytywany przez inne systemy, takie jak usługi ochrony przed utratą danych (DLP).
Zablokuj Użytkownik nie może wysłać wiadomości e-mail, gdy warunek pozostaje niezmieniony.
Komunikat zawiera przyczynę blokowania wiadomości e-mail, dzięki czemu użytkownik może rozwiązać problem.
Na przykład usuń określonych adresatów lub oznacz etykietą wiadomość e-mail.

Gdy komunikaty podręczne mają określoną etykietę, można skonfigurować wyjątki dla adresatów według nazwy domeny.

Zobacz film wideo Azure Information Protection Outlook Popup Configuration (Konfiguracja okien podręcznych), aby uzyskać przykład sposobu konfigurowania tych ustawień.

Porada

Aby upewnić się, że wyskakujące okienka są wyświetlane nawet wtedy, gdy dokumenty są udostępniane spoza programu Outlook (Udział plików > > Dołącz kopię), skonfiguruj również ustawienie zaawansowane PostponeMandatoryBeforeSave.

Aby uzyskać więcej informacji, zobacz:

Aby zaimplementować komunikaty wyskakujące z ostrzeżeniem, uzasadnieniem lub blokowaniem określonych etykiet

Dla wybranych zasad utwórz co najmniej jedno z następujących ustawień zaawansowanych z następującymi kluczami. Dla wartości określ co najmniej jedną etykietę według identyfikatorów GUID, z których każda jest oddzielona przecinkiem.

Przykładowa wartość dla wielu identyfikatorów GUID etykiet jako ciąg rozdzielany przecinkami:

dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
Typ wiadomości Klucz/wartość
Ostrzec Klucz: OutlookWarnUntrustedCollaborationLabel

Wartość: <label GUIDs, comma-separated>
Uzasadnić Klucz: OutlookJustifyUntrustedCollaborationLabel

Wartość: <label GUIDs, comma-separated>
Zablokuj Klucz: OutlookBlockUntrustedCollaborationLabel

Wartość: <label GUIDs, comma-separated>

Przykładowe polecenie programu PowerShell, w którym zasady etykiet mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e,b6d21387-5d34-4dc8-90ae-049453cec5cf,bb48a6cb-44a8-49c3-9102-2d2b017dcead,74591a94-1e0e-4b5d-b947-62b70fc0f53a,6c375a97-2b9b-4ccd-9c5b-e24e4fd67f73"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyUntrustedCollaborationLabel="dc284177-b2ac-4c96-8d78-e3e1e960318f,d8bb73c3-399d-41c2-a08a-6f0642766e31,750e87d4-0e91-4367-be44-c9c24c9103b4,32133e19-ccbd-4ff1-9254-3a6464bf89fd,74348570-5f32-4df9-8a6b-e6259b74085b,3e8d34df-e004-45b5-ae3d-efdc4731df24"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockUntrustedCollaborationLabel="0eb351a6-0c2d-4c1d-a5f6-caa80c9bdeec,40e82af6-5dad-45ea-9c6a-6fe6d4f1626b"}

W celu dalszego dostosowania można również zwolnić nazwy domen dla komunikatów podręcznych skonfigurowanych dla określonych etykiet.

Uwaga

Ustawienia zaawansowane w tej sekcji (OutlookWarnUntrustedCollaborationLabel, OutlookJustifyUntrustedCollaborationLabel i OutlookBlockUntrustedCollaborationLabel) są dostępne w przypadku używania określonej etykiety.

Aby zaimplementować domyślne komunikaty podręczne dla nienaprawionych zawartości, użyj ustawienia zaawansowanego OutlookUnlabeledCollaborationAction. Aby dostosować komunikaty podręczne dla zawartości bez etykiet, zdefiniuj ustawienia zaawansowane za pomocą pliku json.

Aby uzyskać więcej informacji, zobacz Customize Outlook popup messages (Dostosowywanie wyskakujących komunikatów).

Porada

Aby upewnić się, że komunikaty blokowe są wyświetlane zgodnie z potrzebami, nawet w przypadku adresata znajdującego się na liście dystrybucyjnej programu Outlook, pamiętaj o dodaniu zaawansowanego ustawienia EnableOutlookDistributionListExpansion.

Aby zwolnić nazwy domen dla komunikatów podręcznych skonfigurowanych dla określonych etykiet

W przypadku etykiet określonych za pomocą tych wyskakujących okienek można wyklucz określone nazwy domen, aby użytkownicy nie widzili wiadomości dla adresatów, których nazwa domeny znajduje się w ich adresie e-mail. W takim przypadku wiadomości e-mail są wysyłane bez zakłóceń. Aby określić wiele domen, dodaj je jako pojedynczy ciąg rozdzielony przecinkami.

Typową konfiguracją jest wyświetlanie wyskakujących wiadomości tylko dla adresatów zewnątrz organizacji lub którzy nie są autoryzowanymi partnerami w organizacji. W tym przypadku należy określić wszystkie domeny poczty e-mail, które są używane przez organizację i partnerów.

Dla tych samych zasad etykiet należy utworzyć następujące zaawansowane ustawienia klienta i dla wartości określić jedną lub więcej domen, z których każda jest oddzielona przecinkami.

Przykładowa wartość dla wielu domen jako ciąg rozdzielany przecinkami: contoso.com,fabrikam.com,litware.com

Typ wiadomości Klucz/wartość
Ostrzec Klucz: OutlookWarnTrustedDomains

Wartość: <domain names, comma separated>
Uzasadnić Klucz: OutlookJustifyTrustedDomains

Wartość: <domain names, comma separated>
Zablokuj Klucz: OutlookBlockTrustedDomains

Wartość: <domain names, comma separated>

Załóżmy na przykład, że określono zaawansowane ustawienie klienta OutlookBlockUntrustedCollaborationLabel dla etykiety Poufne \Wszyscy pracownicy.

Teraz możesz określić dodatkowe zaawansowane ustawienie klienta OutlookBlockTrustedDomains za pomocą contoso.com. W związku z tym użytkownik może wysłać wiadomość e-mail na adres , gdy będzie ona oznaczona etykietą john@sales.contoso.com Poufne \Wszyscy pracownicy, ale będzie mieć zablokowaną możliwość wysyłania wiadomości e-mail z taką samą etykietą na konto usługi Gmail.

Przykładowe polecenia programu PowerShell, w których zasady etykiet mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockTrustedDomains="contoso.com"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyTrustedDomains="contoso.com,fabrikam.com,litware.com"}

Uwaga

Aby upewnić się, że komunikaty blokowe są wyświetlane zgodnie z potrzebami, nawet w przypadku adresata znajdującego się na liście dystrybucyjnej programu Outlook, pamiętaj o dodaniu zaawansowanego ustawienia EnableOutlookDistributionListExpansion.

Aby zaimplementować ostrzeżenia, uzasadnienie lub zablokowanie wyskakujących wiadomości e-mail lub załączników, które nie mają etykiety

Dla tych samych zasad etykiet utwórz następujące zaawansowane ustawienie klienta z jedną z następujących wartości:

Typ wiadomości Klucz/wartość
Ostrzec Klucz: OutlookUnlabeledCollaborationAction

Wartość: Ostrzegaj
Uzasadnić Klucz: OutlookUnlabeledCollaborationAction

Wartość: Uzasadnienie
Zablokuj Klucz: OutlookUnlabeledCollaborationAction

Wartość: Blokuj
Wyłącz te komunikaty Klucz: OutlookUnlabeledCollaborationAction

Wartość: Wył.

Przykładowe polecenie programu PowerShell, w którym zasady etykiet mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Warn"}

Aby uzyskać więcej informacji na temat dostosowywania, zobacz:

Aby zdefiniować określone rozszerzenia nazw plików dla komunikatów podręcznych ostrzegawczych, uzasadniających lub blokujących załączniki wiadomości e-mail, które nie mają etykiety

Domyślnie komunikaty podręczne ostrzegania, uzasadniania lub blokowania mają zastosowanie do wszystkich Office dokumentów i dokumentów PDF. Tę listę można uściślić, określając rozszerzenia nazw plików, które mają wyświetlać komunikaty ostrzegające, uzasadniające lub blokujące z dodatkowym ustawieniem zaawansowanym i rozdzielaną przecinkami listą rozszerzeń nazw plików.

Przykładowa wartość dla wielu rozszerzeń nazw plików do zdefiniowania jako ciąg rozdzielany przecinkami: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM

W tym przykładzie dokument PDF bez etykiety nie spowoduje ostrzeżenia, uzasadnienia ani zablokowania wyskakujących komunikatów.

Dla tych samych zasad etykiet wprowadź następujące ciągi:

  • Klucz: OutlookOverrideUnlabeledCollaborationExtensions

  • Wartość: <file name extensions to display messages, comma separated>

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.PPT,.PPTX,.PPTM"}

Aby określić inną akcję dla wiadomości e-mail bez załączników

Domyślnie wartość określana dla akcji OutlookUnlabeledCollaborationAction w celu ostrzeżenia, uzasadnienia lub zablokowania wyskakujących wiadomości ma zastosowanie do wiadomości e-mail lub załączników, które nie mają etykiety.

Tę konfigurację można uściślić, określając inne zaawansowane ustawienie dla wiadomości e-mail, które nie mają załączników.

Utwórz następujące zaawansowane ustawienie klienta z jedną z następujących wartości:

Typ wiadomości Klucz/wartość
Ostrzec Klucz: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Wartość: Ostrzegaj
Uzasadnić Klucz: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Wartość: Uzasadnienie
Zablokuj Klucz: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Wartość: Blokuj
Wyłącz te komunikaty Klucz: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

Wartość: Wył.

Jeśli to ustawienie klienta nie zostanie określone, wartość określana dla akcji OutlookUnlabeledCollaborationAction będzie używana w przypadku wiadomości e-mail bez etykiet bez załączników oraz wiadomości e-mail bez etykiet z załącznikami.

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior="Warn"}

Rozwiń Outlook list dystrybucyjnych podczas wyszukiwania adresatów wiadomości e-mail

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Aby rozszerzyć obsługę z innych ustawień zaawansowanych na adresatów na listach dystrybucyjnych Outlook, ustaw zaawansowane ustawienie EnableOutlookDistributionListExpansion na wartość true.

  • Klucz: EnableOutlookDistributionListExpansion
  • Wartość: true

Jeśli na przykład skonfigurowano ustawienia zaawansowane OutlookBlockTrustedDomains, OutlookBlockUntrustedCollaborationLabel, a następnie skonfigurowano ustawienie EnableOutlookDistributionListExpansion, program Outlook zostanie włączony w celu rozwinięcia listy dystrybucyjnej w celu zapewnienia, że komunikat blokady będzie wyświetlany zgodnie z potrzebami.

Domyślny limit czasu rozwijania listy dystrybucyjnej to 2000 milisekund.

Aby zmodyfikować ten limit czasu, utwórz następujące zaawansowane ustawienie dla wybranych zasad:

  • Klucz: OutlookGetEmailAddressesTimeOutMSProperty
  • Wartość: liczba całkowita w milisekundach

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{
  EnableOutlookDistributionListExpansion="true"
  OutlookGetEmailAddressesTimeOutMSProperty="3000"
}

Zapobieganie wysłaniu danych inspekcji do usługi AIP i Microsoft 365 analizy

Domyślnie klient ujednoliconego etykietowania Azure Information Protection obsługuje centralne raportowanie i wysyła dane inspekcji do:

Aby zmienić to zachowanie, aby dane inspekcji nie były wysyłane, wykonaj następujące czynności:

  1. Dodaj następujące zaawansowane ustawienie zasad przy użyciu programu PowerShell Office 365 Security & Compliance Center:

    • Klucz: EnableAudit

    • Wartość: Fałsz

    Jeśli na przykład zasady etykiet mają nazwę "Global":

    Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}
    

    Uwaga

    Domyślnie to ustawienie zaawansowane nie jest obecne w zasadach, a dzienniki inspekcji są wysyłane.

  2. Na wszystkich Azure Information Protection klienckich usuń następujący folder: %localappdata%\Microsoft\MSIP\mip

Aby umożliwić klientowi wysyłanie danych dziennika inspekcji ponownie, zmień wartość ustawienia zaawansowanego na True. Nie trzeba ponownie ręcznie tworzyć folderu %localappdata%\Microsoft\MSIP\mip na maszynach klienckich.

Wysyłanie dopasowania typu informacji do Azure Information Protection danych

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Domyślnie ujednolicony klient etykietowania nie wysyła dopasowania zawartości dla typów informacji poufnych do usługi Azure Information Protection analizy. Aby uzyskać więcej informacji na temat tych dodatkowych informacji, które można wysłać, zobacz sekcję Dopasowania zawartości do bardziej szczegółowej analizy w dokumentacji centralnego raportowania.

Aby wysyłać dopasowania zawartości podczas wysyłania typów informacji poufnych, utwórz następujące zaawansowane ustawienie klienta w zasadach etykiet:

  • Klucz: LogMatchedContent

  • Wartość: True

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}

Ograniczanie użycia procesora CPU

Począwszy od skanera w wersji 2.7.x.x, zalecamy ograniczenie użycia procesora CPU przy użyciu następujących zaawansowanych ustawień ScannerMaxCPU i ScannerMinCPU.

Ważne

Gdy są w użyciu następujące zasady ograniczania wątków, ustawienia zaawansowane ScannerMaxCPU i ScannerMinCPU są ignorowane. Aby ograniczyć użycie procesora CPU przy użyciu zaawansowanych ustawień ScannerMaxCPU i ScannerMinCPU, anuluj użycie zasad, które ograniczają liczbę wątków.

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Aby ograniczyć użycie procesora CPU na maszynie skanera, można nim zarządzać, tworząc dwa ustawienia zaawansowane:

  • ScannerMaxCPU:

    Domyślnie ustawiono wartość 100, co oznacza, że nie ma żadnego limitu maksymalnego użycia procesora CPU. W takim przypadku proces skanera spróbuje wykorzystać cały dostępny czas procesora CPU w celu zmaksymalizowania częstotliwości skanowania.

    Jeśli ustawisz wartość ScannerMaxCPU mniejszą niż 100, skaner będzie monitorować użycie procesora CPU w ciągu ostatnich 30 minut. Jeśli średni procesor przekroczy ustawiony limit, rozpocznie się zmniejszanie liczby wątków przydzielonych do nowych plików.

    Limit liczby wątków będzie kontynuowany, o ile użycie procesora CPU jest wyższe niż limit ustawiony dla skaneraMaxCPU.

  • ScannerMinCPU:

    Sprawdzane tylko wtedy, gdy wartość ScannerMaxCPU nie jest równa 100 i nie można jej ustawić na liczbę większą niż wartość ScannerMaxCPU. Zalecamy, aby ustawienie ScannerMinCPU było co najmniej o 15 punktów niższe niż wartość właściwości ScannerMaxCPU.

    Domyślnie ustaw wartość 50, co oznacza, że jeśli użycie procesora CPU w ciągu ostatnich 30 minut będzie niższe niż ta wartość, skaner rozpocznie dodawanie nowych wątków w celu równoległego skanowania większej liczby plików, dopóki użycie procesora CPU nie osiągnie poziomu ustawionego dla skaneraMaxCPU-15.

Ograniczanie liczby wątków używanych przez skaner

Ważne

Gdy są w użyciu następujące zasady ograniczania wątków, ustawienia zaawansowane ScannerMaxCPU i ScannerMinCPU są ignorowane. Aby ograniczyć użycie procesora CPU przy użyciu zaawansowanych ustawień ScannerMaxCPU i ScannerMinCPU, anuluj użycie zasad, które ograniczają liczbę wątków.

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Domyślnie skaner używa wszystkich dostępnych zasobów procesora na komputerze z usługą skanera. Jeśli chcesz ograniczyć użycie procesora CPU podczas skanowania tej usługi, utwórz następujące zaawansowane ustawienie w zasadach etykiet.

Dla wartości określ liczbę współbieżnych wątków, które skaner może uruchamiać równolegle. Skaner używa oddzielnego wątku dla każdego skanowanego pliku, więc ta konfiguracja ograniczania definiuje również liczbę plików, które mogą być skanowane równolegle.

Przy pierwszym konfigurowaniu wartości do testowania zalecamy określenie 2 na rdzeń, a następnie monitorowanie wyników. Jeśli na przykład skaner zostanie uruchomiony na komputerze z 4 rdzeniami, najpierw ustaw wartość na 8. W razie potrzeby zwiększ lub zmniejsz liczbę, odpowiednio do wynikowej wydajności wymaganej dla komputera skanera i wskaźników skanowania.

  • Klucz: ScannerConcurrencyLevel

  • Wartość: <number of concurrent threads>

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Skaner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}

Migrowanie etykiet z bezpiecznych wysp i innych rozwiązań do etykietowania

Ta konfiguracja używa zaawansowanego ustawienia etykiety, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Ta konfiguracja nie jest zgodna z chronionymi plikami PDF, które mają rozszerzenie nazwy pliku ppdf. Te pliki nie mogą być otwierane przez klienta przy użyciu Eksplorator plików programu PowerShell.

W Office dokumentów, które są oznaczone etykietą Secure Islands, można ponownie określić etykietę czułości tych dokumentów przy użyciu mapowania, które definiujesz. Ta metoda służy również do ponownego używania etykiet z innych rozwiązań, gdy ich etykiety znajdują się Office dokumentów.

W wyniku tej opcji konfiguracji nowa etykieta czułości jest stosowana przez Azure Information Protection ujednoliconego etykietowania w następujący sposób:

  • W Office dokumentów: po otwarciu dokumentu w aplikacji klasycznej nowa etykieta czułości jest wyświetlana jako ustawiona i jest stosowana po zapisaniu dokumentu.

  • W przypadku programu PowerShell: polecenia Set-AIPFileLabel i Set-AIPFileClassificiation mogą stosować nową etykietę czułości.

  • W Eksplorator plików: w Azure Information Protection dialogowym Azure Information Protection wyświetlana jest nowa etykieta czułości, ale nie jest ustawiona.

Ta konfiguracja wymaga określenia zaawansowanego ustawienia o nazwie labelByCustomProperties dla każdej etykiety czułości, którą chcesz zamapować na starą etykietę. Następnie dla każdego wpisu ustaw wartość przy użyciu następującej składni:

[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]

Określ nazwę reguły migracji. Użyj nazwy opisowej, która pomaga określić, jak co najmniej jedna etykieta z poprzedniego rozwiązania do etykietowania powinna być mapowana na etykietę czułości.

To ustawienie nie powoduje usunięcia oryginalnej etykiety z dokumentu ani żadnych oznaczeń wizualnych w dokumencie, które mogły zostać zastosowane przez oryginalną etykietę. Aby usunąć nagłówki i stopki, zobacz Usuwanie nagłówków i stopek z innych rozwiązań do etykietowania.

Przykłady:

Aby uzyskać dodatkowe informacje na temat dostosowywania, zobacz:

Uwaga

Jeśli migrujesz ze swoich etykiet między dzierżawami, na przykład po zakończeniu koncentracji firmy, zalecamy przeczytanie naszego wpisu w blogu na temat fuzjów i spinoffów, aby uzyskać więcej informacji.

Przykład 1: Mapowanie jeden do jednego o tej samej nazwie etykiety

Wymaganie: dokumenty, które mają etykietę Secure Islands "Poufne", powinny być oznaczone etykietą "Poufne" przez Azure Information Protection.

W tym przykładzie:

  • Etykieta Secure Islands ma nazwę Poufne i jest przechowywana we właściwości niestandardowej o nazwie Classification.

Ustawienie zaawansowane:

  • Klucz: labelByCustomProperties

  • Wartość: Etykieta Secure Islands to Poufne,Klasyfikacja,Poufne

Przykładowe polecenie programu PowerShell, w którym etykieta ma nazwę "Poufne":

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Confidential,Classification,Confidential"}

Przykład 2: Mapowanie jeden do jednego dla innej nazwy etykiety

Wymaganie: Dokumenty oznaczone przez Secure Islands jako "Poufne" powinny być oznaczone etykietą "Wysoce poufne" przez Azure Information Protection.

W tym przykładzie:

  • Etykieta Secure Islands nosi nazwę Sensitive i jest przechowywana we właściwości niestandardowej o nazwie Classification.

Ustawienie zaawansowane:

  • Klucz: labelByCustomProperties

  • Wartość: etykieta Secure Islands jest wrażliwa, klasyfikacja, wrażliwa

Przykładowe polecenie programu PowerShell, w którym etykieta ma nazwę "Wysoce poufne":

Set-Label -Identity "Highly Confidential" -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Sensitive,Classification,Sensitive"}

Przykład 3: Mapowanie wiele do jednego nazw etykiet

Wymaganie: masz dwie etykiety Secure Islands, które zawierają wyraz "Internal" (Wewnętrzny) i chcesz, aby dokumenty, które mają jedną z tych etykiet Secure Islands, zostały ponownie oznaczone jako "Ogólne" przez Azure Information Protection ujednoliconego klienta etykietowania.

W tym przykładzie:

  • Etykiety Secure Islands zawierają wyraz Internal (Wewnętrzny) i są przechowywane we właściwości niestandardowej o nazwie Classification (Klasyfikacja).

Zaawansowane ustawienie klienta:

  • Klucz: labelByCustomProperties

  • Wartość: Etykieta Secure Islands zawiera wartości Wewnętrzne,Klasyfikacja,. * Wewnętrzne. *

Przykładowe polecenie programu PowerShell, w którym etykieta ma nazwę "Ogólne":

Set-Label -Identity General -AdvancedSettings @{labelByCustomProperties="Secure Islands label contains Internal,Classification,.*Internal.*"}

Przykład 4: wiele reguł dla tej samej etykiety

Jeśli potrzebujesz wielu reguł dla tej samej etykiety, zdefiniuj wiele wartości ciągu dla tego samego klucza.

W tym przykładzie etykiety Secure Islands o nazwach "Poufne" i "Tajne" są przechowywane we właściwości niestandardowej o nazwie Classification i chcesz, aby ujednolicony klient etykietowania usługi Azure Information Protection stosować etykietę poufności o nazwie "Poufne":

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

Rozszerzanie reguł migracji etykiet na wiadomości e-mail

Możesz użyć konfiguracji zdefiniowanej za pomocą zaawansowanego ustawienia labelByCustomProperties dla wiadomości e-mail usługi Outlook, oprócz dokumentów usługi Office, określając zaawansowane ustawienie dodatkowych zasad etykiet.

Jednak to ustawienie ma znany negatywny wpływ na wydajność usługi Outlook, więc skonfiguruj to dodatkowe ustawienie tylko wtedy, gdy jest to silne wymaganie biznesowe, i pamiętaj o ustawieniu dla niego wartości ciągu o wartości null po zakończeniu migracji z innego rozwiązania do etykietowania.

Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące ciągi dla wybranych zasad etykiety:

  • Klucz: EnableLabelByMailHeader

  • Wartość: True

Przykładowe polecenie programu PowerShell, w którym zasady etykiet mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelByMailHeader="True"}

Rozszerzanie reguł migracji etykiet w celu SharePoint właściwości

Możesz użyć konfiguracji zdefiniowanej za pomocą zaawansowanego ustawienia labelByCustomProperties dla właściwości usługi SharePoint, które mogą być uwidocznione jako kolumny dla użytkowników, określając zaawansowane ustawienie dodatkowych zasad etykiet.

To ustawienie jest obsługiwane w przypadku korzystania z programu Word, Excel i PowerPoint.

Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące ciągi dla wybranych zasad etykiety:

  • Klucz: EnableLabelBySharePointProperties

  • Wartość: True

Przykładowe polecenie programu PowerShell, w którym zasady etykiet mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelBySharePointProperties="True"}

Stosowanie właściwości niestandardowej po zastosowaniu etykiety

Ta konfiguracja używa zaawansowanego ustawienia etykiety, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Mogą wystąpić pewne scenariusze, w których oprócz metadanych zastosowanych przez etykietę czułości chcesz zastosować co najmniej jedną niestandardową właściwości do dokumentu lub wiadomości e-mail.

Na przykład:

  • Trwa proces migracji z innegorozwiązania do etykietowania, takiego jak Secure Islands. W celu współdziałania podczas migracji etykiety czułości mają również stosować właściwość niestandardową używaną przez inne rozwiązanie do etykietowania.

  • W przypadku systemu zarządzania zawartością (takiego jak SharePoint lub rozwiązanie do zarządzania dokumentami od innego dostawcy) chcesz użyć spójnej niestandardowej nazwy właściwości z różnymi wartościami etykiet i z przyjaznymi dla użytkownika nazwami, a nie identyfikatorem GUID etykiety.

W Office i wiadomości e-mail Outlook, które użytkownicy oznaczą za pomocą ujednoliconego klienta etykietowania usługi Azure Information Protection, można dodać co najmniej jedną zdefiniowaną przez Ciebie właściwości niestandardowe. Można również użyć tej metody dla ujednoliconego klienta etykietowania, aby wyświetlić właściwość niestandardową jako etykietę z innych rozwiązań dla zawartości, która nie jest jeszcze oznaczona przez ujednoliconego klienta etykietowania.

W wyniku tej opcji konfiguracji wszelkie dodatkowe właściwości niestandardowe są stosowane przez Azure Information Protection ujednoliconego etykietowania w następujący sposób:

Środowisko Opis
Office dokumentów Gdy dokument jest oznaczony etykietą w aplikacji klasycznej, dodatkowe właściwości niestandardowe są stosowane podczas jego zapisania.
Outlook e-mail Gdy wiadomość e-mail jest oznaczona w Outlook, dodatkowe właściwości są stosowane do nagłówka x podczas wysłania wiadomości e-mail.
Program PowerShell Set-AIPFileLabel i Set-AIPFileClassificiation stosuje dodatkowe właściwości niestandardowe, gdy dokument jest oznaczony etykietą i zapisany.

Get-AIPFileStatus wyświetla właściwości niestandardowe jako zamapowane etykiety, jeśli etykieta czułości nie jest stosowana.
Eksplorator plików Gdy użytkownik kliknie plik prawym przyciskiem myszy i nałoi etykietę, zostaną zastosowane właściwości niestandardowe.

Ta konfiguracja wymaga określenia zaawansowanego ustawienia o nazwie customPropertiesByLabel dla każdej etykiety czułości, którą chcesz zastosować dodatkowe właściwości niestandardowe. Następnie dla każdego wpisu ustaw wartość przy użyciu następującej składni:

[custom property name],[custom property value]

Ważne

Użycie białych znaków w ciągu uniemożliwi zastosowanie etykiet.

Na przykład:

Przykład 1: Dodawanie pojedynczej właściwości niestandardowej dla etykiety

Wymaganie: Dokumenty oznaczone jako "Poufne" przez ujednoliconego klienta etykietowania usługi Azure Information Protection powinny mieć dodatkową właściwość niestandardową o nazwie "Classification" z wartością "Tajne".

W tym przykładzie:

  • Etykieta poufności ma nazwę Poufne i tworzy niestandardową właściwość o nazwie Klasyfikacja z wartością Tajne.

Ustawienie zaawansowane:

  • Klucz: customPropertiesByLabel

  • Wartość: Klasyfikacja, Tajne

Przykładowe polecenie programu PowerShell, w którym etykieta ma nazwę "Poufne":

    Set-Label -Identity Confidential -AdvancedSettings @{customPropertiesByLabel="Classification,Secret"}

Przykład 2: Dodawanie wielu właściwości niestandardowych dla etykiety

Aby dodać więcej niż jedną właściwość niestandardową dla tej samej etykiety, należy zdefiniować wiele wartości ciągu dla tego samego klucza.

Przykładowe polecenie programu PowerShell, w którym etykieta ma nazwę "Ogólne" i chcesz dodać jedną właściwość niestandardową o nazwie Classification z wartością Ogólne i drugą właściwością niestandardową o nazwie Sensitivity z wartością Internal:

Set-Label -Identity General -AdvancedSettings @{customPropertiesByLabel=ConvertTo-Json("Classification,General", "Sensitivity,Internal")}

Konfigurowanie etykiety w celu zastosowania ochrony S/MIME w Outlook

Ta konfiguracja używa zaawansowanych ustawień etykiet, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Użyj tych ustawień tylko wtedy, gdy masz robocze wdrożenie S/MIME i chcesz, aby etykieta automatycznie stosować tę metodę ochrony dla wiadomości e-mail zamiast Rights Management ochrony przed Azure Information Protection. Wynikowa ochrona jest taka sama jak w przypadku ręcznego wybrania opcji S/MIME z Outlook.

Konfiguracja Klucz/wartość
Podpis cyfrowy S/MIME Aby skonfigurować zaawansowane ustawienie podpisu cyfrowego S/MIME, wprowadź następujące ciągi dla wybranej etykiety:

- Klucz: SMimeSign

- Wartość: True
Szyfrowanie S/MIME Aby skonfigurować zaawansowane ustawienie szyfrowania S/MIME, wprowadź następujące ciągi dla wybranej etykiety:

- Klucz: SMimeEncrypt

- Wartość: True

Jeśli dla klienta ujednoliconego etykietowania usługi Azure Information Protection skonfigurowano szyfrowanie, ochrona za pomocą szyfrowania S/MIME zastępuje ochronę Rights Management tylko w Outlook. Klient nadal używa ustawień szyfrowania określonych dla etykiety w Centrum zgodności platformy Microsoft 365.

W Office z wbudowanym etykietowaniem te etykiety nie są wyświetlane użytkownikom.

Jeśli chcesz, aby etykieta była widoczna tylko w Outlook, skonfiguruj opcję szyfrowania Nie przesyłaj dalej z listy Pozwól użytkownikom na przypisywanie uprawnień.

Przykładowe polecenia programu PowerShell, w których etykieta nosi nazwę "Tylko adresaci":

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeSign="True"}

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeEncrypt="True"}

Określanie domyślnej etykiety podrzędnej dla etykiety nadrzędnej

Ta konfiguracja używa zaawansowanego ustawienia etykiety, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Po dodaniu etykiety podrzędnej do etykiety użytkownicy nie mogą już stosować etykiety nadrzędnej do dokumentu lub wiadomości e-mail. Domyślnie użytkownicy wybierają etykietę nadrzędną, aby wyświetlić etykiety podrzędne, które mogą zastosować, a następnie wybieraj jedną z tych etykiet podrzędnych. Jeśli skonfigurujesz to ustawienie zaawansowane, gdy użytkownicy wybierzą etykietę nadrzędną, etykieta podrzędna zostanie automatycznie wybrana i zastosowana do nich:

  • Klucz: DefaultSubLabelId

  • Wartość: <sublabel GUID>

Przykładowe polecenie programu PowerShell, w którym etykieta nadrzędna ma nazwę "Poufne", a etykieta podrzędna "Wszyscy pracownicy" ma identyfikator GUID 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}

Włączanie klasyfikacji w celu ciągłego uruchamiania w tle

Ta konfiguracja używa zaawansowanego ustawienia etykiety, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Skonfigurowanie tego ustawienia powoduje zmianę domyślnego zachowania sposobu, w jaki Azure Information Protection ujednoliconego etykietowania stosuje automatyczne i zalecane etykiety do dokumentów:

W przypadku programu Word, Excel i PowerPoint automatyczna klasyfikacja jest uruchamiana w tle w sposób ciągły.

Zachowanie nie zmienia się dla Outlook.

Gdy klient ujednoliconego etykietowania usługi Azure Information Protection okresowo sprawdza dokumenty pod SharePoint lub OneDrive, to zachowanie umożliwia automatyczną i zalecaną klasyfikację i ochronę dokumentów programu Office przechowywanych w programie SharePoint lub OneDrive, o ile jest włączone automatyczne zapisywanie. Duże pliki są również zapisywane szybciej, ponieważ reguły warunku zostały już uruchomione.

Reguły warunku nie są uruchamiane w czasie rzeczywistym jako typy użytkowników. Zamiast tego są uruchamiane okresowo jako zadanie w tle, jeśli dokument zostanie zmodyfikowany.

Aby skonfigurować to ustawienie zaawansowane, wprowadź następujące parametry:

  • Klucz: RunPolicyInBackground
  • Wartość: True

Przykładowe polecenie programu PowerShell:

Set-LabelPolicy -Identity PolicyName -AdvancedSettings @{RunPolicyInBackground = "true"}

Uwaga

Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Postanowienia uzupełniające dotyczące platformy Azure w wersji zapoznawczej obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

Określanie koloru etykiety

Ta konfiguracja używa zaawansowanych ustawień etykiet, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Użyj tego ustawienia zaawansowanego, aby ustawić kolor etykiety. Aby określić kolor, wprowadź kod kropki dla czerwonych, zielonych i niebieskich składników koloru (RGB). Na przykład #40e0d0 jest wartością hex RGB dla turquoise.

Jeśli potrzebujesz odwołania do tych kodów, znajdziesz pomocną tabelę na stronie z dokumentów <color> internetowych MSDN. Te kody można również znaleźć w wielu aplikacjach, które umożliwiają edytowanie obrazów. Na przykład Microsoft Paint można wybrać kolor niestandardowy z palety, a wartości RGB są automatycznie wyświetlane, które można następnie skopiować.

Aby skonfigurować zaawansowane ustawienie koloru etykiety, wprowadź następujące ciągi dla wybranej etykiety:

  • Klucz: kolor

  • Wartość: <RGB hex value>

Przykładowe polecenie programu PowerShell, w którym etykieta ma nazwę "Public":

Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}

Zaloguj się jako inny użytkownik

Logowanie się przy użyciu wielu użytkowników nie jest obsługiwane przez program AIP w środowisku produkcyjnym. Ta procedura opisuje sposób logowania się jako inny użytkownik tylko do celów testowych.

Obecnie zalogowane konto możesz sprawdzić za pomocą okna dialogowego Microsoft Azure Information Protection: Otwórz aplikację usługi Office i na karcie Narzędzia główne wybierz przycisk Czułość, a następnie wybierz pozycję Pomoc i opinie. Nazwa konta jest widoczna w sekcji Stan klienta.

Pamiętaj także o sprawdzeniu wyświetlonej nazwy domeny konta użytego do zalogowania. Fakt, że logowanie następuje przy użyciu prawidłowej nazwy konta, ale niewłaściwej domeny, można łatwo przeoczyć. Objawem używania niewłaściwego konta jest niepowodzenie pobierania etykiet lub brak etykiet bądź spodziewanych zachowań.

Aby zalogować się jako inny użytkownik:

  1. Przejdź do folderu %localappdata%\Microsoft\MSIP i usuń plik TokenCache.

  2. Uruchom ponownie wszystkie otwarte aplikacje pakietu Office i zaloguj się przy użyciu innego konta użytkownika. Jeśli w aplikacji usługi Office nie widzisz monitu o zalogowanie się do usługi Azure Information Protection, wróć do okna dialogowego Microsoft Azure Information Protection i wybierz pozycję Zaloguj się w zaktualizowanej sekcji Stan klienta.

Dodatkowo:

Scenariusz Opis
Nadal zalogowany na starym koncie Jeśli Azure Information Protection ujednoliconego etykietowania nadal jest zalogowany przy użyciu starego konta po wykonaniu tych kroków, usuń wszystkie pliki cookie z usługi Internet Explorer, a następnie powtórz kroki 1 i 2.
Korzystanie z logowania pojedynczego Jeśli używasz logowania pojedynczego, musisz wylogować się z usługi Windows zalogować się przy użyciu innego konta użytkownika po usunięciu pliku tokenu.

Klient Azure Information Protection ujednoliconego etykietowania jest następnie automatycznie uwierzytelniany przy użyciu aktualnie zalogowaonego konta użytkownika.
Różne dzierżawy To rozwiązanie jest obsługiwane w przypadku logowania się jako inny użytkownik z tej samej dzierżawy. Nie jest ono obsługiwane w przypadku logowania się jako inny użytkownik z innej dzierżawy.

Do testowania usługi Azure Information Protection z wieloma dzierżawami użyj różnych komputerów.
Resetowanie ustawień Możesz użyć opcji Resetuj ustawienia z pomocy i opinii, aby wylogować się i usunąć aktualnie pobrane etykiety i ustawienia zasad z Centrum zgodności platformy Microsoft 365.

Obsługa odłączonych komputerów

Ważne

Odłączone komputery są obsługiwane w następujących scenariuszach etykietowania: Eksplorator plików, PowerShell, aplikacje Office i skaner.

Domyślnie klient ujednoliconego etykietowania Azure Information Protection automatycznie próbuje połączyć się z Internetem w celu pobrania etykiet i ustawień zasad etykiet z Centrum zgodności platformy Microsoft 365.

Jeśli masz komputery, które przez określony czas nie mogą łączyć się z Internetem, możesz wyeksportować i skopiować pliki, które ręcznie zarządzają zasadami ujednoliconego klienta etykietowania.

Aby obsługiwać odłączone komputery od ujednoliconego klienta etykietowania:

  1. Wybierz lub utwórz konto użytkownika w usłudze Azure AD, którego będziesz używać do pobierania etykiet i ustawień zasad, których chcesz użyć na rozłączonym komputerze.

  2. Jako dodatkowe ustawienie zasad etykiet dla tego konta wyłącz wysyłanie danych inspekcji do usługi Azure Information Protection analizy.

    Zalecamy ten krok, ponieważ jeśli odłączony komputer ma okresową łączność z Internetem, wysyła informacje rejestrowania do usługi Azure Information Protection Analytics, która zawiera nazwę użytkownika z kroku 1. To konto użytkownika może różnić się od konta lokalnego, które jest na odłączonym komputerze.

  3. Z komputera z łącznością z Internetem z zainstalowanym i zalogowanym przy użyciu konta użytkownika ujednoliconym klientem etykietowania z kroku 1 pobierz etykiety i ustawienia zasad.

  4. Z tego komputera wyeksportuj pliki dziennika.

    Na przykład uruchom polecenie cmdlet Export-AIPLogs lub użyj opcji Eksportuj dzienniki w oknie dialogowym Pomoc i opinie klienta.

    Pliki dziennika są eksportowane jako pojedynczy skompresowany plik.

  5. Otwórz skompresowany plik, a następnie z folderu MSIP skopiuj wszystkie pliki, które mają .xml rozszerzenie nazwy pliku.

  6. Wklej te pliki do folderu %localappdata%\Microsoft\MSIP na odłączonym komputerze.

  7. Jeśli wybrane konto użytkownika zazwyczaj łączy się z Internetem, włącz wysyłanie danych inspekcji ponownie, ustawiając wartość EnableAudit na True.

Należy pamiętać,że jeśli użytkownik na tym komputerze wybierze opcję Resetuj Ustawienia z pomocy i opinii, ta akcja spowoduje usunięcie plików zasad i uniemożliwi działanie klienta do momentu ręcznego zastąpienia plików lub gdy klient połączy się z Internetem i pobierze pliki.

Jeśli na rozłączonym komputerze jest uruchomiony Azure Information Protection skanera, należy wykonać dodatkowe czynności konfiguracyjne. Aby uzyskać więcej informacji, zobacz Ograniczenie: serwer skanera nie może mieć łączności z Internetem z instrukcji wdrażania skanera.

Zmienianie lokalnego poziomu rejestrowania

Domyślnie klient Azure Information Protection ujednoliconego etykietowania zapisuje pliki dziennika klienta w folderze %localappdata%\Microsoft\MSIP. Te pliki są przeznaczone do rozwiązywania problemów przez Pomoc techniczna Microsoft.

Aby zmienić poziom rejestrowania dla tych plików, znajdź następującą nazwę wartości w rejestrze i ustaw dla danych wartości wymagany poziom rejestrowania:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel

Ustaw poziom rejestrowania na jedną z następujących wartości:

  • Wyłączone: brak rejestrowania lokalnego.

  • Błąd: Tylko błędy.

  • Ostrzegaj: Błędy i ostrzeżenia.

  • Informacje: minimalne rejestrowanie, które nie zawiera żadnych identyfikatorów zdarzeń (ustawienie domyślne skanera).

  • Debugowanie: pełne informacje.

  • Śledzenie: szczegółowe rejestrowanie (ustawienie domyślne dla klientów).

To ustawienie rejestru nie zmienia informacji wysyłanych do firmy Azure Information Protection do centralnego raportowania.

Pomijanie lub ignorowanie plików podczas skanowania w zależności od atrybutów pliku

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Domyślnie skaner ujednoliconego Azure Information Protection etykietowania skanuje wszystkie odpowiednie pliki. Można jednak zdefiniować określone pliki do pominięcia, takie jak zarchiwizowane pliki lub pliki, które zostały przeniesione.

Włącz skanerowi pomijanie określonych plików na podstawie ich atrybutów przy użyciu zaawansowanego ustawienia ScannerFSAttributesToSkip. W wartości ustawienia wyliczysz atrybuty pliku, które umożliwią pominięcie pliku, gdy wszystkie mają ustawioną wartość true. Ta lista atrybutów pliku używa logiki AND.

Następujące przykładowe polecenia programu PowerShell ilustrują sposób używania tego zaawansowanego ustawienia z etykietą o nazwie "Global".

Pomiń pliki, które są tylko do odczytu i zarchiwizowane

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}

Pomiń pliki tylko do odczytu lub zarchiwizowane

Aby użyć logiki OR, należy uruchomić tę samą właściwość wiele razy. Na przykład:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}

Porada

Zalecamy rozważenie włączenia skanera w celu pominięcia plików z następującymi atrybutami:

  • FILE_ATTRIBUTE_SYSTEM
  • FILE_ATTRIBUTE_HIDDEN
  • FILE_ATTRIBUTE_DEVICE
  • FILE_ATTRIBUTE_OFFLINE
  • FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
  • FILE_ATTRIBUTE_RECALL_ON_OPEN
  • FILE_ATTRIBUTE_TEMPORARY

Aby uzyskać listę wszystkich atrybutów plików, które można zdefiniować w zaawansowanym ustawieniu ScannerFSAttributesToSkip, zobacz Stałe atrybutu pliku Win32

Zachowywanie właścicieli systemu plików NTFS podczas etykietowania (publiczna wersja zapoznawcza)

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Domyślnie skaner, program PowerShell i Eksplorator plików rozszerzenia nie zachowują właściciela systemu plików NTFS zdefiniowanego przed etykietowaniem.

Aby upewnić się, że wartość właściciela systemu plików NTFS jest zachowana, ustaw zaawansowane ustawienie UseCopyAndPreserveNTFSOwner na wartość true dla wybranych zasad etykiety.

Przestroga

Zdefiniuj to ustawienie zaawansowane tylko wtedy, gdy możesz zapewnić małe opóźnienia i niezawodne połączenie sieciowe między skanerem a zeskanowanym repozytorium. Awaria sieci podczas procesu automatycznego etykietowania może spowodować utracenie pliku.

Przykładowe polecenie programu PowerShell, gdy zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}

Uwaga

Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Postanowienia uzupełniające dotyczące platformy Azure w wersji zapoznawczej obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

Dostosowywanie tekstów monitów o uzasadnienie dla zmodyfikowanych etykiet

Dostosuj monity o uzasadnienie, które są wyświetlane zarówno w Office, jak i w kliencie usługi AIP, gdy użytkownicy końcowi zmienią etykiety klasyfikacji dokumentów i wiadomości e-mail.

Na przykład jako administrator możesz przypominać użytkownikom, aby nie dodali żadnych informacji identyfikujących klientów do tego pola:

Dostosowany tekst monitu o uzasadnienie

Aby zmodyfikować domyślny wyświetlany tekst Other, użyj zaawansowanej właściwości JustificationTextForUserText z poleceniem cmdlet Set-LabelPolicy. Ustaw wartość na tekst, którego chcesz użyć.

Przykładowe polecenie programu PowerShell, gdy zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}

Dostosowywanie Outlook wyskakujących okienek

Administratorzy usługi AIP mogą dostosowywać wyskakujące komunikaty wyświetlane użytkownikom Outlook, takie jak:

  • Wiadomości dla zablokowanych wiadomości e-mail
  • Komunikaty ostrzegawcze, które monitują użytkowników o zweryfikowanie wysyłanej zawartości
  • Komunikaty z uzasadnieniem, które żądają od użytkowników uzasadnienia wysyłanej zawartości

Ważne

Ta procedura spowoduje zastąpienie wszystkich ustawień, które zostały już zdefiniowane przy użyciu zaawansowanej właściwości OutlookUnlabeledCollaborationAction.

W środowisku produkcyjnym zaleca się unikanie komplikacji przez użycie zaawansowanej właściwości OutlookUnlabeledCollaborationAction do zdefiniowania reguł lub zdefiniowanie złożonych reguł za pomocą pliku json zgodnie z definicją poniżej, ale nie obu tych reguł.

Aby dostosować Outlook wyskakujących komunikatów:

  1. Utwórz pliki json, z których każdy zawiera regułę, która Outlook wyświetlanie wyskakujących komunikatów dla użytkowników. Aby uzyskać więcej informacji, zobacz Składnia json wartości reguły i Przykładowy kod JSONdostosowywania okna podręcznego .

  2. Użyj programu PowerShell, aby zdefiniować ustawienia zaawansowane kontrolujące konfigurowane komunikaty podręczne. Uruchom oddzielny zestaw poleceń dla każdej reguły, którą chcesz skonfigurować.

    Każdy zestaw poleceń programu PowerShell musi zawierać nazwę konfigurowanych zasad, a także klucz i wartość definiującą regułę.

    Użyj następującej składni:

    $filedata = Get-Content "<Path to json file>"
    Set-LabelPolicy -Identity <Policy name> -AdvancedSettings @{<Key> ="$filedata"}
    

    Gdzie:

    • <Path to json file> to ścieżka do utworzonego pliku JSON. Na przykład: C:\Users\msanchez\Desktop\ \dlp\OutlookCollaborationRule_1.json.

    • <Policy name> to nazwa zasad, które chcesz skonfigurować.

    • <Key> to nazwa reguły. Użyj następującej składni, <#> gdzie jest numerem seryjnym reguły:

      OutlookCollaborationRule_<x>

    Aby uzyskać więcej informacji, zobacz Ordering your Outlook customization rules (Kolejność reguł dostosowywania) i Rule value json syntax (Składnia pliku JSON wartości reguły).

Porada

W przypadku dodatkowej organizacji nadaj plikowi taką samą nazwę jak klucz używany w poleceniu programu PowerShell. Na przykład nadaj plikowi nazwę OutlookCollaborationRule_1.json, a następnie użyj OutlookCollaborationRule_1 jako klucza.

Aby upewnić się, że wyskakujące okienka są wyświetlane nawet wtedy, gdy dokumenty są udostępniane spoza programu Outlook (Udział plików > > Dołącz kopię), należy również skonfigurować ustawienie zaawansowane PostponeMandatoryBeforeSave.

Zamawianie reguł Outlook dostosowywania

Program AIP używa numeru seryjnego w wprowadzanych kluczach, aby określić kolejność przetwarzania reguł. Podczas definiowania kluczy używanych dla każdej reguły należy zdefiniować bardziej restrykcyjne reguły z niższymi liczbami, a następnie mniej restrykcyjne reguły z wyższymi liczbami.

Po znalezionym dopasowaniu określonej reguły program AIP przestaje przetwarzać reguły i wykonuje akcję skojarzoną z regułą dopasowywania. (Pierwsze dopasowanie — > logika zakończenia)

Przykład:

Załóżmy, że chcesz skonfigurować wszystkie wewnętrzne wiadomości e-mail przy użyciu określonej wiadomości ostrzegawczej, ale zwykle nie chcesz ich blokować. Chcesz jednak zablokować użytkownikom wysyłanie załączników sklasyfikowanych jako Tajne, nawet jako wewnętrzne wiadomości e-mail.

W tym scenariuszu należy uporządkować klucz reguły bloku klucza tajnego, który jest bardziej konkretną regułą, przed bardziej ogólnym ostrzeżeniem o kluczu reguły wewnętrznej:

  • W przypadku komunikatu Blokuj: OutlookCollaborationRule_1
  • Komunikat Ostrzegaj: OutlookCollaborationRule_2

Składnia wartości reguły w .json

Zdefiniuj składnię JSON reguły w następujący sposób:

"type" : "And",
"nodes" : []

Musisz mieć co najmniej dwa węzły: pierwszy reprezentujący warunek reguły i ostatni reprezentujący akcję reguły. Aby uzyskać więcej informacji, zobacz:

Składnia warunku reguły

Węzły warunku reguły muszą zawierać typ węzła, a następnie same warunki.

Obsługiwane typy węzłów obejmują:

Typ węzła Opis
I Wykonuje operacje i na wszystkich węzłach podrzędnych
Lub Wykonuje operacje lub na wszystkich węzłach podrzędnych
Nie Wykonuje nie dla własnego podrzędnego
Oprócz Zwraca wartość nie dla własnego podrzędnego, co powoduje, że działa ona jako Wszystkie
SentTo, a następnie domeny: listOfDomains Sprawdza jedną z następujących czynności:
- Jeśli element nadrzędny jest z wyjątkiem, sprawdza, czy wszyscy adresaci znajdują się w jednej z domen
- Jeśli element nadrzędny jest inny niż , z wyjątkiem , sprawdza, czy dowolny z adresatów znajduje się w jednej z domen.
EMailLabel, po którym następuje etykieta Jeden z poniższych programów:
- Identyfikator etykiety
— wartość null, jeśli nie jest oznaczona etykietą
AttachmentLabel, a po nim etykieta i obsługiwane rozszerzenia Jeden z poniższych programów:

true:
- Jeśli element nadrzędny jest z wyjątkiem, sprawdza, czy w etykiecie istnieje wszystkie załączniki z jednym obsługiwanym rozszerzeniem
-Jeśli element nadrzędny jest inny niż , oprócz , sprawdza, czy w etykiecie istnieje dowolny z załączników z jednym obsługiwanym rozszerzeniem
- Jeśli etykieta nie jest oznaczona, a etykieta = null

false: dla wszystkich innych przypadków

Uwaga: jeśli właściwość Extensions jest pusta lub nie istnieje, wszystkie obsługiwane typy plików (rozszerzenia) są uwzględniane w regułę.

Składnia akcji reguły

Akcje reguły mogą być jedną z następujących czynności:

Akcja Składnia Przykładowy komunikat
Zablokuj Block (List<language, [title, body]>) Wiadomość e-mail zablokowana _

_You mają wysyłać zawartość sklasyfikowaną jako Tajne do co najmniej jednego niezaufanego adresata: Zasady organizacji nie zezwalają
rsinclair@contoso.com

na tę akcję. Rozważ usunięcie tych adresatów lub zastąpienie zawartości.
Ostrzec Warn (List<language,[title,body]>) Wymagane potwierdzenie _

_You wysyłać zawartość sklasyfikowaną jako Ogólna do co najmniej jednego niezaufanego adresata: Zasady organizacji wymagają potwierdzenia wysłania
rsinclair@contoso.com

tej zawartości.
Uzasadnić Justify (numOfOptions, hasFreeTextOption, List<language, [Title, body, options1,options2….]> )

Łącznie z maksymalnie trzema opcjami.
Wymagane uzasadnienie _

_Your organizacji wymaga uzasadnienia wysłania zawartości sklasyfikowanej jako Ogólna do niezaufanych adresatów.

- Potwierdzam, że adresaci są zatwierdzeni do udostępniania tej zawartości — Mój menedżer zatwierdził udostępnianie tej zawartości

— inne, zgodnie z objaśnioną zawartością
Parametry akcji

Jeśli dla akcji nie podano żadnych parametrów, wyskakujące okienka będą mieć tekst domyślny.

Wszystkie teksty obsługują następujące parametry dynamiczne:

Parametr Opis
${MatchedRecipientsList} Ostatnie dopasowanie warunków SentTo
${MatchedLabelName} Etykieta wiadomości e-mail/załącznika o zlokalizowanej nazwie z zasad
${MatchedAttachmentName} Nazwa załącznika z ostatniego dopasowania warunku AttachmentLabel

Uwaga

Wszystkie komunikaty zawierają opcję Powiedz mi więcej, a także okna dialogowe Pomoc i opinie.

Language to nazwa CultureName dla nazwy ustawieniach regionalnych, na przykład: angielski = en-us ; Hiszpański = es-es

Obsługiwane są również nazwy języków tylko dla elementu nadrzędnego, takie en jak .

Przykładowy kod JSON dostosowywania okien podręcznych

Poniższe zestawy kodu JSON pokazują, jak można zdefiniować różne reguły, które kontrolują sposób Outlook wyskakujących komunikatów dla użytkowników.

Przykład 1: Blokowanie wewnętrznych wiadomości e-mail lub załączników

Poniższy kod JSON zablokuje możliwość ustawienia wiadomości e-mail lub załączników sklasyfikowanych jako wewnętrzne na adresatów zewnętrznych.

W tym przykładzie 89a453df-5df4-4976-8191-259d0cf9560a jest identyfikatorem etykiety Wewnętrzne, a domeny wewnętrzne obejmują contoso.com i microsoft.com.

Ponieważ nie określono żadnych określonych rozszerzeń, uwzględniane są wszystkie obsługiwane typy plików.

{   
    "type" : "And",     
    "nodes" : [         
        {           
            "type" : "Except" ,             
            "node" :{               
                "type" : "SentTo",                  
                "Domains" : [                   
                    "contoso.com",                  
              "microsoft.com"
                ]               
            }       
        },
        {           
            "type" : "Or",          
            "nodes" : [                 
                {           
                    "type" : "AttachmentLabel",             
                    "LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"      
                },{                     
                    "type" : "EmailLabel",                  
                    "LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"              
                }
            ]
        },      
        {           
            "type" : "Block",           
            "LocalizationData": {               
                "en-us": {                
                    "Title": "Email Blocked",                 
                    "Body": "The email or at least one of the attachments is classified as <Bold>${MatchedLabelName}</Bold>. Documents classified as <Bold> ${MatchedLabelName}</Bold> cannot be sent to external recipients (${MatchedRecipientsList}).<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance with classification requirements as per Contoso's policies."               
                },              
                "es-es": {                
                    "Title": "Correo electrónico bloqueado",                  
                    "Body": "El correo electrónico o al menos uno de los archivos adjuntos se clasifica como <Bold> ${MatchedLabelName}</Bold>."                
                }           
            },          
            "DefaultLanguage": "en-us"      
        }   
    ] 
}

Przykład 2: Blokowanie niesklasyfikowanych Office załączników

Poniższy kod JSON blokuje niesklasyfikowane Office wiadomości e-mail i załączników wiadomości e-mail do adresatów zewnętrznych.

W poniższym przykładzie: lista załączników, która wymaga etykietowania, to: .doc,.docm,.docx,.dot,.dotm,.dotx,.potm,.potx,.pps,.ppsm,.ppsx,.ppt,.pptm,.pptx,.vdw,.vsd,.vsdm,.vsdx,.vss,.vssm,.vst,.vstm,.vssx,.vstx,.xls,.xlsb,.xlt,.xlsm,.xlsx,.xltm,.xltx

{   
    "type" : "And",     
    "nodes" : [         
        {           
            "type" : "Except" ,             
            "node" :{               
                "type" : "SentTo",                  
                "Domains" : [                   
                    "contoso.com",                  
                    "microsoft.com"
                ]               
            }       
        },
        {           
            "type" : "Or",          
            "nodes" : [                 
                {           
                    "type" : "AttachmentLabel",
                     "LabelId" : null,
                    "Extensions": [
                                    ".doc",
                                    ".docm",
                                    ".docx",
                                    ".dot",
                                    ".dotm",
                                    ".dotx",
                                    ".potm",
                                    ".potx",
                                    ".pps",
                                    ".ppsm",
                                    ".ppsx",
                                    ".ppt",
                                    ".pptm",
                                    ".pptx",
                                    ".vdw",
                                    ".vsd",
                                    ".vsdm",
                                    ".vsdx",
                                    ".vss",
                                    ".vssm",
                                    ".vst",
                                    ".vstm",
                                    ".vssx",
                                    ".vstx",
                                    ".xls",
                                    ".xlsb",
                                    ".xlt",
                                    ".xlsm",
                                    ".xlsx",
                                    ".xltm",
                                    ".xltx"
                                 ]
                    
                },{                     
                    "type" : "EmailLabel",
                     "LabelId" : null
                }
            ]
        },      
        {           
            "type" : "Block",           
            "LocalizationData": {               
                "en-us": {                
                    "Title": "Emailed Blocked",                   
                    "Body": "Classification is necessary for attachments to be sent to external recipients.<br><br>List of attachments that are not classified:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br>For MS Office documents, classify and send again.<br><br>For PDF files, classify the document or classify the email (using the most restrictive classification level of any single attachment or the email content) and send again."               
                },              
                "es-es": {                
                    "Title": "Correo electrónico bloqueado",                  
                    "Body": "La clasificación es necesaria para que los archivos adjuntos se envíen a destinatarios externos."              
                }           
            },          
            "DefaultLanguage": "en-us"      
        }   
    ] 
}

Przykład 3: Wymaganie od użytkownika zaakceptowania wysłania poufnej wiadomości e-mail lub załącznika

Poniższy przykład powoduje wyświetlanie Outlook, który ostrzega użytkownika, że wysyła poufne wiadomości e-mail lub załączniki do adresatów zewnętrznych, a także wymaga, aby użytkownik wybierał opcję Akceptuję.

Tego rodzaju komunikat ostrzegawczy jest technicznie uznawany za uzasadnienie, ponieważ użytkownik musi wybrać pozycję Akceptuję.

Ponieważ nie określono żadnych określonych rozszerzeń, uwzględniane są wszystkie obsługiwane typy plików.

{   
    "type" : "And",     
    "nodes" : [         
        {           
            "type" : "Except" ,             
            "node" :{               
                "type" : "SentTo",                  
                "Domains" : [                   
                    "contoso.com",                  
                    "microsoft.com"
                ]               
            }       
        },
        {           
            "type" : "Or",          
            "nodes" : [                 
                {           
                    "type" : "AttachmentLabel",             
                    "LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"      
                },{                     
                    "type" : "EmailLabel",                  
                    "LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"              
                }
            ]
        },      
        {           
            "type" : "Justify",             
            "LocalizationData": {               
                "en-us": {                
                    "Title": "Warning",                   
                    "Body": "You are sending a document that is classified as <Bold>${MatchedLabelName}</Bold> to at least one external recipient. Please make sure that the content is correctly classified and that the recipients are entitled to receive this document.<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><Bold>List of external email addresses:</Bold><br>${MatchedRecipientsList})<br><br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br><Bold>Acknowledgement</Bold><br>By clicking <Bold>I accept</Bold> below, you confirm that the recipient is entitled to receive the content and the communication complies with CS Policies and Standards",
                    "Options": [                        
                        "I accept"              
                    ] 
                },              
                "es-es": {                
                    "Title": "Advertencia",                   
                    "Body": "Está enviando un documento clasificado como <Bold>${MatchedLabelName}</Bold> a al menos un destinatario externo. Asegúrese de que el contenido esté correctamente clasificado y que los destinatarios tengan derecho a recibir este documento.",
                    "Options": [                        
                        "Acepto"                    
                    ]                   
                }           
            },          
            "HasFreeTextOption":"false",            
            "DefaultLanguage": "en-us"      
        }   
    ] 
}

Przykład 4. Ostrzeganie o wiadomości e-mail bez etykiety oraz załącznik z określoną etykietą

Poniższy kod json powoduje, że Outlook ostrzegać użytkownika, gdy wysyła wewnętrzną wiadomość e-mail, nie ma etykiety z załącznikiem, który ma określoną etykietę.

W tym przykładzie bcbef25a-c4db-446b-9496-1b558d9edd0e jest identyfikatorem etykiety załącznika, a reguła ma zastosowanie do plików .docx, .xlsx i .pptx.

Domyślnie wiadomości e-mail z etykietami załączników nie otrzymują automatycznie tej samej etykiety.

{   
    "type" : "And",     
    "nodes" : [         
        {           
            "type" : "EmailLabel",
                     "LabelId" : null           
        },
        {
          "type": "AttachmentLabel",
          "LabelId": "bcbef25a-c4db-446b-9496-1b558d9edd0e",
          "Extensions": [
                ".docx",
                ".xlsx",
                ".pptx"
             ]
        },
    {           
            "type" : "SentTo",              
            "Domains" : [               
                "contoso.com",              
            ]           
        },      
        {           
            "type" : "Warn" 
        }   
    ] 
}

Przykład 5: Monituj o uzasadnienie, z dwiema wstępnie zdefiniowanymi opcjami i dodatkową opcją tekstu bezpłatnego

Poniższy kod json powoduje, Outlook monitować użytkownika o uzasadnienie jego działania. Tekst uzasadnienia zawiera dwie wstępnie zdefiniowane opcje, a także trzecią opcję z tekstem swobodnym.

Ponieważ nie określono żadnych określonych rozszerzeń, uwzględniane są wszystkie obsługiwane typy plików.

{   
    "type" : "And",     
    "nodes" : [         
        {           
            "type" : "Except" ,             
            "node" :{               
                "type" : "SentTo",                  
                "Domains" : [                   
                    "contoso.com",                                  
                ]               
            }       
        },      
        {           
            "type" : "EmailLabel",          
            "LabelId" : "34b8beec-40df-4219-9dd4-553e1c8904c1"      
        },      
        {           
            "type" : "Justify",             
            "LocalizationData": {               
                "en-us": {                  
                    "Title": "Justification Required",                  
                    "Body": "Your organization policy requires justification for you to send content classified as <Bold> ${MatchedLabelName}</Bold>,to untrusted recipients:<br>Recipients are: ${MatchedRecipientsList}",                     
                    "Options": [                        
                        "I confirm the recipients are approved for sharing this content",                   
                        "My manager approved sharing of this content",                      
                        "Other, as explained"                   
                    ]               
                },              
                "es-es": {                  
                    "Title": "Justificación necesaria",                     
                    "Body": "La política de su organización requiere una justificación para que envíe contenido clasificado como <Bold> ${MatchedLabelName}</Bold> a destinatarios que no sean de confianza.",                  
                    "Options": [                        
                        "Confirmo que los destinatarios están aprobados para compartir este contenido.",
                        "Mi gerente aprobó compartir este contenido",
                        "Otro, como se explicó"                     
                    ]               
                }           
            },          
            "HasFreeTextOption":"true",             
            "DefaultLanguage": "en-us"      
        }   
    ] 
}

Konfigurowanie SharePoint limitów czasu

Domyślnie limit czasu dla interakcji SharePoint wynosi dwie minuty, po których próba operacji AIP kończy się niepowodzeniem.

Począwszy od wersji 2.8.85.0 administratorzy usługi AIP mogą kontrolować ten limit czasu przy użyciu następujących zaawansowanych właściwości, używając składni hh:mm:ss do definiowania limitów czasu:

  • SharepointWebRequestTimeout. Określa limit czasu dla wszystkich żądań internetowych usługi AIP do SharePoint. Wartość domyślna: 2 minuty.

    Jeśli na przykład zasady mają nazwę Globalne, następujące przykładowe polecenie programu PowerShell aktualizuje limit czasu żądania internetowego do 5 minut.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}
    
  • SharepointFileWebRequestTimeout. Określa limit czasu przeznaczony dla plików SharePoint za pośrednictwem żądań internetowych usługi AIP. Wartość domyślna: 15 minut

    Jeśli na przykład zasady mają nazwę Globalne, następujące przykładowe polecenie programu PowerShell aktualizuje limit czasu żądania internetowego pliku do 10 minut.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
    

Unikaj przekierowywów skanera w SharePoint

Jeśli masz długie ścieżki plików w wersji SharePoint 2013 lub wyższej, upewnij się, że wartość httpRuntime.maxUrlLength serwera SharePoint jest większa niż domyślna wartość 260 znaków.

Ta wartość jest zdefiniowana w klasie HttpRuntimeSection ASP.NET konfiguracji.

Aby zaktualizować klasę HttpRuntimeSection:

  1. Kopii zapasowej web.config konfiguracji.

  2. Zaktualizuj wartość maxUrlLength zgodnie z potrzebami. Na przykład:

    <httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000"  />
    
  3. Uruchom ponownie SharePoint sieci Web i sprawdź, czy jest on poprawnie ładowany.

    Na przykład w menedżerze Windows internetowych serwerów informacyjnych (IIS) wybierz lokację, a następnie w obszarze Zarządzaj witryną internetową wybierz pozycję Uruchom ponownie.

Zapobieganie Outlook wydajności przy użyciu wiadomości e-mail S/MIME

Problemy z wydajnością mogą wystąpić Outlook, gdy wiadomości e-mail S/MIME są otwierane w okienku odczytu. Aby uniknąć tych problemów, włącz zaawansowaną właściwość OutlookSkipSmimeOnReadingPaneEnabled.

Włączenie tej właściwości zapobiega pokazywaniu klasyfikacji wiadomości e-mail i paska usługi AIP w okienku odczytu.

Jeśli na przykład zasady mają nazwę Globalne, następujące przykładowe polecenie programu PowerShell włącza właściwość OutlookSkipSmimeOnReadingPaneEnabled:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookSkipSmimeOnReadingPaneEnabled="true"}

Wyłączanie funkcji śledzenia dokumentów

Domyślnie funkcje śledzenia dokumentów są włączone dla dzierżawy. Aby je wyłączyć, na przykład w przypadku wymagań dotyczących prywatności w organizacji lub regionie, ustaw wartość EnableTrackAndRevoke na wartość False.

Po jej włączeniu dane śledzenia dokumentów nie będą już dostępne w organizacji, a użytkownicy nie będą już widzieć opcji menu Odwołaj w Office aplikacji.

Dla wybranych zasad etykiet określ następujące ciągi:

  • Klucz: EnableTrackAndRevoke

  • Wartość: Fałsz

Przykładowe polecenie programu PowerShell, w którym zasady etykiety mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableTrackAndRevoke="False"}

Po ustawieniu tej wartości na Fałsz śledzenie i odwoływanie jest wyłączone w następujący sposób:

  • Otwieranie chronionych dokumentów za pomocą ujednoliconego klienta etykietowania usługi AIP nie rejestruje już dokumentów w celu śledzenia i odwoływania.
  • Użytkownicy końcowi nie będą już widzieć opcji menu Odwołaj w swoich Office aplikacji.

Jednak chronione dokumenty, które są już zarejestrowane do śledzenia, będą nadal śledzone, a administratorzy nadal mogą odwołać dostęp z programu PowerShell. Aby całkowicie wyłączyć śledzenie i odwoływanie funkcji, uruchom również polecenie cmdlet Disable-AipServiceDocumentTrackingFeature.

Ta konfiguracja używa zaawansowanego ustawienia zasad, które należy skonfigurować przy użyciu programu Office 365 Security & Compliance Center programu PowerShell.

Porada

Aby ponownie włączyć śledzenie i odwoływanie, ustaw wartość True dla ustawienia EnableTrackAndRevoke, a także uruchom polecenie cmdlet Enable-AipServiceDocumentTrackingFeature.

Wyłącz opcję Odwołaj dla użytkowników końcowych w Office aplikacji

Jeśli nie chcesz, aby użytkownicy końcowi mieli możliwość odwoływania dostępu do chronionych dokumentów z aplikacji usługi Office, możesz usunąć opcję Odwołaj dostęp z aplikacji Office internetowych.

Uwaga

Usunięcie opcji Odwołaj dostęp w dalszym ciągu zapewnia śledzenie chronionych dokumentów w tle i zachowuje uprawnienia administratora do odwoływania dostępu do dokumentów za pośrednictwem programu PowerShell.

Dla wybranych zasad etykiety określ następujące ciągi:

  • Klucz: EnableRevokeGuiSupport

  • Wartość: Fałsz

Przykładowe polecenie programu PowerShell, w którym zasady etykiet mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}

Konfigurowanie limitu czasu automatycznego Office plików

Domyślnie limit czasu automatycznej etykiety skanera dla plików Office wynosi 3 sekundy.

Jeśli masz złożony plik Excel z wieloma arkuszami lub wierszami, 3 sekundy mogą nie wystarczyć do automatycznego zastosowania etykiet. Aby zwiększyć ten limit czasu dla wybranych zasad etykiety, określ następujące ciągi:

  • Klucz: OfficeContentExtractionTimeout

  • Wartość: Sekundy w następującym formacie: hh:mm:ss .

Ważne

Zalecamy, aby nie zwiększyć tego limitu czasu do więcej niż 15 sekund.

Przykładowe polecenie programu PowerShell, w którym zasady etykiet mają nazwę "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}

Zaktualizowany limit czasu dotyczy automatycznej etykiety dla wszystkich Office plików.

Następne kroki

Po dostosowaniu klienta Azure Information Protection ujednoliconego etykietowania zapoznaj się z następującymi zasobami, aby uzyskać dodatkowe informacje, które mogą być potrzebne do obsługi tego klienta: