Configurações avançadas para Proteção de Informações do Microsoft Purview cliente
Este artigo contém as configurações avançadas do PowerShell de conformidade & segurança com suporte por Proteção de Informações do Microsoft Purview cliente quando você usa os seguintes cmdlets:
As configurações avançadas com suporte por rótulos de confidencialidade integrados aos aplicativos e serviços do Microsoft 365 estão incluídas na própria página do cmdlet. Você também pode encontrar dicas úteis do PowerShell para especificar as configurações avançadas.
| Configurações avançadas para rótulos | Descrição |
|---|---|
| Color | Especificar uma cor para o rótulo |
| DefaultSubLabelId | Especificar um sub-rótulo padrão para um rótulo pai |
| Configurações avançadas para políticas de rótulo | Descrição |
|---|---|
| AdicionalPPrefixExtensions | Suporte para alteração <do EXT>. PFILE para P<EXT> |
| EnableAudit | Impedir que dados de auditoria sejam enviados ao Microsoft Purview |
| EnableContainerSupport | Habilitar a remoção da criptografia dos arquivos PST, rar, 7zip e MSG |
| EnableCustomPermissions | Desativar permissões personalizadas no Explorador de Arquivos |
| EnableCustomPermissionsForCustomProtectedFiles | Para arquivos criptografados com permissões personalizadas, sempre exiba permissões personalizadas para usuários em Explorador de Arquivos |
| HabilitarGlobalização | Ativar recursos de globalização de classificação |
| JustificationTextForUserText | Personalizar textos de prompt de justificativa para rótulos modificados |
| LogMatchedContent | Enviar correspondências de tipo de informação para o Microsoft Purview |
| OfficeContentExtractionTimeout | Configurar o tempo limite de rotulagem automática para arquivos do Office |
| PFileSupportedExtensions | Alterar quais tipos de arquivo proteger |
| ReportAnIssueLink | Adicionar "Relatar um problema" para usuários |
| ScannerMaxCPU | Limitar o consumo de CPU |
| ScannerMinCPU | Limitar o consumo de CPU |
| ScannerConcurrencyLevel | Limitar o número de threads usados pelo scanner |
| ScannerFSAttributesToSkip | Ignorar ou ignorar arquivos durante as verificações, dependendo dos atributos do arquivo) |
| SharepointWebRequestTimeout | Configurar tempos limite do SharePoint |
| SharepointFileWebRequestTimeout | Configurar tempos limite do SharePoint |
| UseCopyAndPreserveNTFSOwner | Preservar proprietários do NTFS durante a rotulagem |
AdicionalPPrefixExtensions
Essa propriedade avançada para alterar <o EXT>. O PFILE para P<EXT> é compatível com Explorador de Arquivos, PowerShell e pelo scanner. Todos os aplicativos têm um comportamento semelhante.
Chave: AdditionalPPrefixExtensions
Valor: <valor da cadeia de caracteres>
Use a tabela a seguir para identificar o valor da cadeia de caracteres para especificar:
| Valor da cadeia de caracteres | Cliente e scanner |
|---|---|
| * | Todas as extensões PFile tornam-se P<EXT> |
| <Valor nulo> | O valor padrão se comporta como o valor de criptografia padrão. |
| ConvertTo-Json(".dwg", ".zip") | Além da lista anterior, ".dwg" e ".zip" tornam-se P<EXT> |
Com essa configuração, as seguintes extensões sempre se tornam P<EXT>: ".txt", ".xml", ".bmp", ".jt", ".jpg", ".jpeg", ".jpe", ".jif", ".jfif", ".jfi", ".png", ".tif", ".tiff", ".gif"). A exclusão notável é que "ptxt" não se torna "txt.pfile".
Essa configuração requer que a configuração avançada PFileSupportedExtension seja habilitada.
Exemplo 1: o comando do PowerShell para se comportar como o comportamento padrão em que Proteger ".dwg" se torna ".dwg.pfile":
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}
Exemplo 2: o comando do PowerShell para alterar todas as extensões PFile da criptografia genérica para a criptografia nativa quando os arquivos são rotulados e criptografados:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}
Exemplo 3: comando do PowerShell para alterar ".dwg" para ".pdwg" ao usar esse serviço para proteger este arquivo:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}
Cor
Use essa configuração avançada para definir uma cor para um rótulo. Para especificar a cor, insira um código trigêmeo hex para os componentes RGB (vermelho, verde e azul) da cor. Por exemplo, #40e0d0 é o valor hexadecimal RGB para turquesa.
Se você precisar de uma referência para esses códigos, encontrará uma tabela útil da <página de cores> dos documentos web do MSDN. Você também encontra esses códigos em muitos aplicativos que permitem editar imagens. Por exemplo, o Microsoft Paint permite que você escolha uma cor personalizada de uma paleta e os valores RGB são exibidos automaticamente, os quais você pode então copiar.
Para configurar a configuração avançada para a cor de um rótulo, insira as seguintes cadeias de caracteres para o rótulo selecionado:
Chave: cor
Valor: <valor> hex RGB
Exemplo de comando do PowerShell, em que seu rótulo é chamado de "Public":
Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}
DefaultSubLabelId
Quando você adiciona um sub-rótulo a um rótulo, os usuários não podem mais aplicar o rótulo pai a um documento ou email. Por padrão, os usuários selecionam o rótulo pai para ver os sub-rótulos que podem ser aplicados e selecionem um desses sub-rótulos. Se você configurar essa configuração avançada, quando os usuários selecionarem o rótulo pai, um sub-rótulo será selecionado automaticamente e aplicado a eles:
Chave: DefaultSubLabelId
Valor: <GUID> de sub-rótulo
Exemplo de comando do PowerShell, em que seu rótulo pai é chamado de "Confidencial" e o sub-rótulo "Todos os Funcionários" tem um GUID de 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
EnableAudit
Por padrão, o cliente de proteção de informações envia dados de auditoria para o Microsoft Purview, onde você pode exibir esses dados no gerenciador de atividades.
Para alterar esse comportamento, use a seguinte configuração avançada:
Chave: EnableAudit
Valor: False
Por exemplo, se sua política de rótulo for chamada de "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}
Em seguida, em computadores locais que executam o cliente de proteção de informações, exclua a seguinte pasta: %localappdata%\Microsoft\MSIP\mip
Para permitir que o cliente envie dados de log de auditoria novamente, altere o valor de configuração avançada para True. Você não precisa criar manualmente a pasta %localappdata%\Microsoft\MSIP\mip novamente em seus computadores cliente.
EnableContainerSupport
Essa configuração permite que o cliente de proteção de informações remova a criptografia dos arquivos PST, rar e 7zip.
Chave: EnableContainerSupport
Valor: True
Por exemplo, se sua política de rótulo for chamada de "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}
EnableCustomPermissions
Por padrão, os usuários veem uma opção chamada Proteger com permissões personalizadas quando clicam com o botão direito do mouse em Explorador de Arquivos com o rotulador de arquivo. Essa opção permite que eles definam suas próprias configurações de criptografia que podem substituir quaisquer configurações de criptografia que você possa ter incluído com uma configuração de rótulo. Os usuários também podem ver uma opção para remover a criptografia. Quando você configura essa configuração, os usuários não veem essas opções.
Use a seguinte configuração para que os usuários não vejam estas opções:
Chave: EnableCustomPermissions
Valor: False
Exemplo de comando do PowerShell, em que sua política de rótulo é chamada de "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
EnableCustomPermissionsForCustomProtectedFiles
Ao configurar a configuração avançada do cliente EnableCustomPermissions para desativar permissões personalizadas em Explorador de Arquivos, por padrão, os usuários não poderão ver ou alterar permissões personalizadas que já estão definidas em um documento criptografado.
No entanto, há outra configuração avançada do cliente que você pode especificar para que, nesse cenário, os usuários possam ver e alterar permissões personalizadas para um documento criptografado quando usarem Explorador de Arquivos e clicar com o botão direito do mouse no arquivo.
Chave: EnableCustomPermissionsForCustomProtectedFiles
Valor: True
Exemplo de comando do PowerShell, em que sua política de rótulo é chamada de "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}
HabilitarGlobalização
Recursos de globalização de classificação, incluindo maior precisão para idiomas do Leste Asiático e suporte para caracteres de bytes duplos. Essas melhorias são fornecidas apenas para processos de 64 bits e são desativadas por padrão.
Ative esses recursos para sua política especifique as seguintes cadeias de caracteres:
Chave: Habilitar aGlobalização
Valor:
True
Exemplo de comando do PowerShell, em que sua política de rótulo é chamada de "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}
Para desativar o suporte novamente e reverter para o padrão, defina a configuração avançada EnableGlobalization como uma cadeia de caracteres vazia.
JustificationTextForUserText
Personalize os prompts de justificativa exibidos quando os usuários finais alteram rótulos de confidencialidade em arquivos.
Por exemplo, como administrador, talvez você queira lembrar seus usuários de não adicionarem informações de identificação do cliente a esse campo.
Para modificar a opção padrão Outra opção que os usuários podem selecionar na caixa de diálogo, use a configuração avançada JustificationTextForUserText . Defina o valor como o texto que você deseja usar.
Exemplo de comando do PowerShell, em que sua política de rótulo é chamada de "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
LogMatchedContent
Por padrão, o cliente de proteção de informações não envia correspondências de conteúdo para tipos de informações confidenciais para o Microsoft Purview, que pode ser exibido no gerenciador de atividades. O scanner sempre envia essas informações. Para obter mais informações sobre essas informações adicionais que podem ser enviadas, consulte Correspondências de conteúdo para uma análise mais profunda.
Para enviar correspondências de conteúdo quando tipos de informações confidenciais forem enviados, use a seguinte configuração avançada em uma política de rótulo:
Chave: LogMatchedContent
Valor: True
Exemplo de comando do PowerShell, em que sua política de rótulo é chamada de "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}
OfficeContentExtractionTimeout
Por padrão, o tempo limite de rotulagem automática do scanner nos arquivos do Office é de 3 segundos.
Se você tiver um arquivo complexo do Excel com muitas planilhas ou linhas, talvez 3 segundos não sejam suficientes para aplicar rótulos automaticamente. Para aumentar esse tempo limite para a política de rótulo selecionada, especifique as seguintes cadeias de caracteres:
Chave: OfficeContentExtractionTimeout
Valor: Segundos, no seguinte formato:
hh:mm:ss.
Importante
Recomendamos que você não aumente esse tempo limite para mais de 15 segundos.
Exemplo de comando do PowerShell, em que sua política de rótulo é chamada de "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}
O tempo limite atualizado se aplica à rotulagem automática em todos os arquivos do Office.
PFileSupportedExtensions
Com essa configuração, você pode alterar quais tipos de arquivo são criptografados, mas não é possível alterar o nível de criptografia padrão de nativo para genérico. Por exemplo, para usuários que executam o rotulador de arquivo, você pode alterar a configuração padrão para que apenas arquivos do Office e arquivos PDF sejam criptografados em vez de todos os tipos de arquivo. Mas você não pode alterar esses tipos de arquivo para serem criptografados genericamente com uma extensão de nome de arquivo .pfile.
Chave: PFileSupportedExtensions
Valor: <valor da cadeia de caracteres>
Use a tabela a seguir para identificar o valor da cadeia de caracteres para especificar:
| Valor da cadeia de caracteres | Cliente | Scanner |
|---|---|---|
| * | Valor padrão: aplicar criptografia a todos os tipos de arquivo | Aplicar criptografia a todos os tipos de arquivo |
| ConvertTo-Json(".jpg", ".png") | Além dos tipos de arquivo do Office e arquivos PDF, aplique criptografia às extensões de nome de arquivo especificadas | Além dos tipos de arquivo do Office e arquivos PDF, aplique criptografia às extensões de nome de arquivo especificadas |
Exemplo 1: comando do PowerShell para o scanner criptografar todos os tipos de arquivo, em que sua política de rótulo é chamada de "Scanner":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
Exemplo 2: comando do PowerShell para o scanner criptografar arquivos .txt e arquivos .csv além de arquivos do Office e arquivos PDF, em que sua política de rótulo é chamada de "Scanner":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}
ReportAnIssueLink
Quando você especifica a seguinte configuração avançada do cliente, os usuários veem uma opção Relatar um problema que podem selecionar na caixa de diálogo Cliente de Ajuda e Comentários no rotulador de arquivo. Especifique uma cadeia de caracteres HTTP para o link. Por exemplo, uma página da Web personalizada que você tem para que os usuários denunciem problemas ou um endereço de email que vá para o seu balcão de ajuda.
Para configurar essa configuração avançada, insira as seguintes cadeias de caracteres para a política de rótulo selecionada:
Chave: ReportAnIssueLink
Valor: <cadeia de caracteres> HTTP
Valor de exemplo para um site: https://support.contoso.com
Valor de exemplo para um endereço de email: mailto:helpdesk@contoso.com
Exemplo de comando do PowerShell, em que sua política de rótulo é chamada de "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}
ScannerMaxCPU
Importante
Recomendamos limitar o consumo de CPU usando as configurações avançadas ScannerMaxCPU e ScannerMinCPU em vez de ScannerConcurrencyLevel com suporte para compatibilidade com versões anteriores.
Se a configuração avançada mais antiga for especificada, as configurações avançadas ScannerMaxCPU e ScannerMinCPU serão ignoradas.
Use essa configuração avançada em conjunto com o ScannerMinCPU para limitar o consumo de CPU no computador scanner.
Chave: ScannerMaxCPU
Valor: <número>**
O valor é definido como 100 por padrão, o que significa que não há limite de consumo máximo de CPU. Nesse caso, o processo de scanner tentará usar todo o tempo de CPU disponível para maximizar suas taxas de verificação.
Se você definir ScannerMaxCPU como menor que 100, o scanner monitorará o consumo de CPU nos últimos 30 minutos. Se a CPU média cruzou o limite definido, ela começará a reduzir o número de threads alocados para novos arquivos.
O limite no número de threads continuará desde que o consumo de CPU seja maior do que o limite definido para ScannerMaxCPU.
ScannerMinCPU
Importante
Recomendamos limitar o consumo de CPU usando as configurações avançadas ScannerMaxCPU e ScannerMinCPU em vez de ScannerConcurrencyLevel com suporte para compatibilidade com versões anteriores.
Se a configuração avançada mais antiga for especificada, as configurações avançadas ScannerMaxCPU e ScannerMinCPU serão ignoradas.
Usado somente se ScannerMaxCPU não for igual a 100 e não puder ser definido como um número maior que o valor do ScannerMaxCPU .
Recomendamos manter o ScannerMinCPU definido pelo menos 15 pontos abaixo do valor de ScannerMaxCPU.
O valor é definido como 50 por padrão, o que significa que, se o consumo de CPU nos últimos 30 minutos, quando menor que esse valor, o scanner começará a adicionar novos threads para verificar mais arquivos em paralelo, até que o consumo de CPU atinja o nível definido para ScannerMaxCPU-15.
ScannerConcurrencyLevel
Importante
Recomendamos limitar o consumo de CPU usando as configurações avançadas ScannerMaxCPU e ScannerMinCPU em vez de ScannerConcurrencyLevel com suporte para compatibilidade com versões anteriores.
Quando essa configuração avançada mais antiga é especificada, as configurações avançadas ScannerMaxCPU e ScannerMinCPU são ignoradas.
Por padrão, o scanner usa todos os recursos de processador disponíveis no computador que executa o serviço de scanner. Se você precisar limitar o consumo de CPU enquanto esse serviço estiver verificando, especifique o número de threads simultâneos que o scanner pode executar em paralelo. O scanner usa um thread separado para cada arquivo que ele examina, de modo que essa configuração de limitação também define o número de arquivos que podem ser verificados em paralelo.
Quando você configurar o valor para teste pela primeira vez, recomendamos que você especifique 2 por núcleo e monitore os resultados. Por exemplo, se você executar o scanner em um computador com quatro núcleos, primeiro defina o valor como 8. Se necessário, aumente ou diminua esse número, de acordo com o desempenho resultante necessário para o computador scanner e suas taxas de verificação.
Chave: ScannerConcurrencyLevel
Valor: <número de threads simultâneos>
Comando do PowerShell de exemplo, em que sua política de rótulo é chamada de "Scanner":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}
ScannerFSAttributesToSkip
Por padrão, o scanner de proteção de informações examina todos os arquivos relevantes. No entanto, talvez você queira definir arquivos específicos a serem ignorados, como para arquivos arquivados ou arquivos que foram movidos.
Habilite o scanner a ignorar arquivos específicos com base em seus atributos de arquivo usando a configuração avançada ScannerFSAttributesToSkip . No valor de configuração, liste os atributos de arquivo que permitirão que o arquivo seja ignorado quando todos eles estiverem definidos como true. Essa lista de atributos de arquivo usa a lógica AND.
Exemplo de comandos do PowerShell, em que sua política de rótulo é chamada de "Global".
Ignorar arquivos que são somente leitura e arquivados
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}
Ignorar arquivos que são somente leitura ou arquivados
Para usar uma lógica OR, execute a mesma propriedade várias vezes. Por exemplo:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}
Dica
Recomendamos que você considere habilitar o scanner para ignorar arquivos com os seguintes atributos:
- FILE_ATTRIBUTE_SYSTEM
- FILE_ATTRIBUTE_HIDDEN
- FILE_ATTRIBUTE_DEVICE
- FILE_ATTRIBUTE_OFFLINE
- FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
- FILE_ATTRIBUTE_RECALL_ON_OPEN
- FILE_ATTRIBUTE_TEMPORARY
Para obter uma lista de todos os atributos de arquivo que podem ser definidos na configuração avançada ScannerFSAttributesToSkip , consulte as Constantes de Atributo do Arquivo Win32
SharepointWebRequestTimeout
Por padrão, o tempo limite para interações do SharePoint é de dois minutos, após o qual a operação de cliente de proteção de informações tentada falha. Controle esse tempo limite usando as configurações avançadas SharepointWebRequestTimeout e SharepointFileWebRequestTimeout , usando uma sintaxe hh:mm:ss para definir os tempos limite.
Especifique um valor para determinar o tempo limite para todas as solicitações web do cliente de proteção de informações ao SharePoint. O padrão é minutos.
Por exemplo, se sua política se chamar Global, o comando do PowerShell de exemplo a seguir atualizará o tempo limite de solicitação da Web para 5 minutos.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}
SharepointFileWebRequestTimeout
Por padrão, o tempo limite para interações do SharePoint é de dois minutos, após o qual a operação de cliente de proteção de informações tentada falha. Controle esse tempo limite usando as configurações avançadas SharepointWebRequestTimeout e SharepointFileWebRequestTimeout , usando uma sintaxe hh:mm:ss para definir os tempos limite.
Especifique o valor de tempo limite para arquivos do SharePoint por meio de solicitações da Web do cliente de proteção de informações. O padrão é de 15 minutos.
Por exemplo, se sua política se chamar Global, o comando do PowerShell de exemplo a seguir atualizará o tempo limite de solicitação da Web do arquivo para 10 minutos.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
UseCopyAndPreserveNTFSOwner
Observação
Esse recurso está atualmente em VERSÃO PRÉVIA. Os Termos Complementares de Visualização do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em beta, versão prévia ou ainda não lançados em disponibilidade geral.
Por padrão, o cliente de proteção de informações não preserva o proprietário do NTFS definido antes de aplicar um rótulo de confidencialidade.
Para garantir que o valor do proprietário do NTFS seja preservado, defina a configuração avançada UseCopyAndPreserveNTFSOwner como true para a política de rótulo selecionada.
Cuidado
Para o scanner: defina essa configuração avançada somente quando você puder garantir uma conexão de rede confiável e de baixa latência entre o scanner e o repositório verificado. Uma falha de rede durante o processo de rotulagem automática pode fazer com que o arquivo seja perdido.
Comando do PowerShell de exemplo, em que sua política de rótulo é chamada de "Scanner"
Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de