Guia de Administração: Configurações personalizadas para o Azure Information Protection cliente clássico
Utilize as seguintes informações para as configurações avançadas que poderá precisar para cenários específicos ou um subconjunto de utilizadores ao gerir o cliente do Azure Information Protection.
Algumas destas definições requerem a edição do registo e algumas utilizam definições avançadas que tem de configurar no portal do Azure e, em seguida, publicar para os clientes transferirem.
Como configurar definições avançadas de configuração clássica do cliente no portal
Se ainda não o fez, numa nova janela do navegador, inscreva-se no portal do Azure e, em seguida, navegue para o painel Azure Information Protection.
A partir da opção menu classificações>labels : Selecione Políticas.
No painel Azure Information Protection - Políticas, selecione o menu de contexto (...) ao lado da política para conter as definições avançadas. Em seguida, selecione Definições avançadas.
Pode configurar as definições avançadas para a Política global, bem como para as políticas de âmbito.
No painel de definições Avançadas , digite o nome e valor de definição avançados e, em seguida, selecione Guardar e fechar.
Certifique-se de que os utilizadores para esta política reiniciam quaisquer Office aplicações que tenham aberto.
Se já não precisar da definição e quiser voltar ao comportamento predefinido: No painel de definições avançadas , selecione o menu de contexto (...) ao lado da definição que já não necessita e, em seguida, selecione Eliminar. Em seguida, clique em Guardar e fechar.
Configurações avançadas de clientes disponíveis
Impedir pedidos de início de sessão para computadores só com AD RMS
Por predefinição, o cliente do Azure Information Protection tenta automaticamente estabelecer ligação ao serviço Azure Information Protection. Para computadores que só comunicam com AD RMS, esta configuração pode resultar num pedido desnecessário de início de sessão aos utilizadores. Pode evitar este pedido de inscrição editando o registo.
Localize o nome do valor seguinte e, em seguida, defina os dados do valor como 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Independentemente desta configuração, o Azure Information Protection cliente ainda segue o processo padrão de descoberta de serviço RMS para encontrar o seu cluster AD RMS.
Iniciar sessão como um utilizador diferente
Num ambiente de produção, normalmente, os utilizadores não precisam de iniciar sessão como um utilizador diferente quando estão a utilizar o cliente do Azure Information Protection. No entanto, como administrador, poderá ter de iniciar sessão como um utilizador diferente durante uma fase de teste.
Pode verificar com que conta tem sessão iniciada atualmente através da caixa de diálogo do Microsoft Azure Information Protection: abra uma aplicação do Office e, no separador Base, no grupo Proteção, clique em Proteger e, em seguida, clique em Ajuda e comentários. O nome da sua conta é apresentado na secção Estado do cliente.
Confirme que também verifica o nome de domínio da conta com sessão iniciada que é apresentada. Pode não perceber que tem sessão iniciada com o nome da conta certo, mas com o domínio errado. Um sinal de utilização da conta errada inclui a impossibilidade de transferir a política do Azure Information Protection ou não ver as etiquetas ou o comportamento esperado.
Para iniciar sessão como um utilizador diferente:
Navegue para %localappdata%\Microsoft\MSIP e elimine o ficheiro TokenCache .
Reinicie as aplicações do Office abertas e inicie sessão com a sua conta de utilizador diferente. Se não vir um pedido na aplicação do Office para iniciar sessão no serviço Azure Information Protection, volte à caixa de diálogo do Microsoft Azure Information Protection e clique em Iniciar sessão na secção Estado do cliente atualizada.
Além disso,
Se o Azure Information Protection cliente ainda estiver inscrito na conta antiga depois de completar estes passos, elimine todos os cookies do Internet Explorer e repita os passos 1 e 2.
Se estiver a utilizar um único sinal de sing, tem de iniciar scontabilidade a partir de Windows e iniciar sôm-se na sua conta de utilizador diferente depois de eliminar o ficheiro token. O cliente do Azure Information Protection faz, em seguida, a autenticação automaticamente através da conta de utilizador com sessão iniciada.
esta solução é suportada para iniciar sessão como outro utilizador a partir do mesmo inquilino. Não é suportada para iniciar sessão como outro utilizador a partir de um inquilino diferente. Para testar o Azure Information Protection com vários inquilinos, utilize computadores diferentes.
Pode utilizar a opção de Definições Reset a partir de Ajuda e Feedback para assinar e eliminar a política de Information Protection Azure atualmente descarregada.
Imponha o modo de proteção apenas quando a sua organização tem uma mistura de licenças
Se a sua organização não tiver licenças para o Azure Information Protection, mas tiver licenças para Microsoft 365 que incluam o serviço Azure Rights Management para proteger dados, o cliente clássico da AIP funciona automaticamente em modo de proteção.
No entanto, se a sua organização tiver uma subscrição para a Azure Information Protection, por padrão todos os Windows computadores podem descarregar a política de Information Protection Azure. O Azure Information Protection cliente não faz verificação de licença e aplicação.
Se tiver alguns utilizadores que não têm licença para o Azure Information Protection mas que têm uma licença para Microsoft 365 que inclui o serviço Azure Rights Management, edite o registo nos computadores destes utilizadores para impedir que os utilizadores executem as funcionalidades de classificação e rotulagem não licenciadas do Azure Information Protection.
Localize o nome do valor seguinte e defina os dados do valor como 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Além disso, verifique se estes computadores não têm um ficheiro chamado Policy.msip na pasta %LocalAppData%\Microsoft\MSIP . Se este ficheiro existir, elimine-o. Este ficheiro contém a política de Information Protection Azure e pode ter sido descarregado antes de editar o registo, ou se o Azure Information Protection cliente foi instalado com a opção de demonstração.
Adicionar "Reportar um Problema" para os utilizadores
Esta configuração utiliza uma definição avançada de cliente que tem de configurar no portal do Azure.
Quando especificar a seguinte definição avançada do cliente, os utilizadores vêem uma opção Reportar uma opção de Problema que podem selecionar a partir da caixa de diálogo do cliente de Ajuda e Feedback . Especifique uma cadeia HTTP para o link. Por exemplo, uma página web personalizada que você tem para os utilizadores reportarem problemas, ou um endereço de e-mail que vai para o seu balcão de ajuda.
Para configurar esta definição avançada, introduza as cadeias seguintes:
Chave: ReportAnIssueLink
Valor: <cadeia> HTTP
Valor de exemplo para um website: https://support.contoso.com
Valor de exemplo para um endereço de e-mail: mailto:helpdesk@contoso.com
Ocultar a opção de menu Classificar e Proteger no Explorador de Ficheiros do Windows
Crie o nome do valor DWORD seguinte (com quaisquer dados do valor):
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable
Suporte para computadores desligados
Por predefinição, o cliente do Azure Information Protection tenta automaticamente estabelecer ligação ao serviço Azure Information Protection para transferir a política do Azure Information Protection mais recente. Se tiver computadores que sabe que não conseguirão ligar-se à internet por um período de tempo, pode impedir o cliente de tentar ligar-se ao serviço editando o registo.
Note que sem uma ligação à Internet, o cliente não pode aplicar proteção (ou remover proteção) utilizando a chave baseada na nuvem da sua organização. Em vez disso, o cliente limita-se a usar etiquetas que aplicam apenas classificação, ou proteção que usa HYOK.
Pode evitar uma solicitação de inscrição no serviço Azure Information Protection utilizando uma configuração avançada do cliente que deve configurar no portal do Azure e, em seguida, descarregar a política para computadores. Ou, pode impedir este pedido de inscrição editando o registo.
Para configurar a definição avançada do cliente:
Introduza as seguintes cordas:
Chave: PullPolicy
Valor: Falso
Descarregue a política com esta definição e instale-a nos computadores utilizando as instruções que se seguem.
Alternativamente, para editar o registo:
Localize o nome do valor seguinte e, em seguida, defina os dados do valor como 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
O cliente deve ter um ficheiro de política válido chamado Policy.msip, na pasta %LocalAppData%\Microsoft\MSIP .
Pode exportar a política global ou uma política de mira a partir do portal do Azure e copiar o ficheiro exportado para o computador cliente. Também pode utilizar este método para substituir um ficheiro de política desatualizado com a política mais recente. No entanto, a exportação da política não apoia o cenário em que um utilizador pertence a mais do que uma política de âmbito. Esteja também ciente de que, se os utilizadores selecionarem a opção Reset Definições a partir de Ajuda e feedback, esta ação elimina o ficheiro de política e torna o cliente inoperável até que substitua manualmente o ficheiro de política ou o cliente se conecte ao serviço para descarregar a apólice.
Ao exportar a política a partir do portal do Azure, é descarregado um ficheiro com fecho que contém várias versões da apólice. Estas versões de política correspondem a diferentes versões do cliente Azure Information Protection:
Desaperte o ficheiro e use a seguinte tabela para identificar qual o ficheiro de política de que necessita.
Nome de ficheiro Versão correspondente do cliente Política1.1.msip versão 1.2 Política1.2.msip versão 1.3 - 1.7 Política1.3.msip versão 1.8 - 1.29 Política1.4.msip versão 1.32 e mais tarde Mude o nome do ficheiro identificado para Policy.msip e, em seguida, copie-o para a pasta %LocalAppData%\Microsoft\MSIP em computadores que tenham o Azure Information Protection cliente instalado.
Se o computador desligado estiver a executar a versão ATUAL de GA do scanner Azure Information Protection, há passos de configuração adicionais que deve tomar. Para obter mais informações, consulte Restrição: O servidor do scanner não pode ter conectividade de internet nos pré-requisitos de implementação do scanner.
Esconda ou mostre o botão Não Encaminhar em Outlook
O método recomendado para configurar esta opção é utilizando a definição de políticaAdicione o botão Não Encaminhar à fita Outlook. No entanto, também pode configurar esta opção utilizando uma configuração avançada do cliente que configura no portal do Azure.
Quando configurar esta definição, ela esconde ou mostra o botão Não Encaminhar na fita Outlook. Esta definição não tem qualquer efeito na opção Não Encaminhar a partir de menus Office.
Para configurar esta definição avançada, introduza as cadeias seguintes:
Chave: DisableDNF
Valor: Verdadeiro para esconder o botão, ou Falso para mostrar o botão
Disponibilizar as opções de permissões personalizadas ou indisponíveis para os utilizadores
O método recomendado para configurar esta opção é utilizando a definição de políticaTornar a opção de permissões personalizadas disponível para os utilizadores. No entanto, também pode configurar esta opção utilizando uma configuração avançada do cliente que configura no portal do Azure.
Quando configura esta definição e publica a política para os utilizadores, as opções de permissões personalizadas tornam-se visíveis para os utilizadores selecionarem as suas próprias definições de proteção, ou estão escondidas para que os utilizadores não possam selecionar as suas próprias definições de proteção a menos que sejam solicitadas.
Para configurar esta definição avançada, introduza as cadeias seguintes:
Chave: EnableCustomPermissions
Valor: Verdadeiro para tornar visível a opção de permissões personalizadas, ou Falso para esconder esta opção
Para ficheiros protegidos com permissões personalizadas, exiba sempre permissões personalizadas para os utilizadores em Explorador de Ficheiros
Esta configuração utiliza uma definição avançada de cliente que tem de configurar no portal do Azure.
Quando configurar a definição de políticaTorne a opção de permissões personalizadas disponível para os utilizadores ou a configuração equivalente avançada do cliente na secção anterior, os utilizadores não são capazes de ver ou alterar permissões personalizadas que já estão definidas num documento protegido.
Quando cria e configura esta configuração avançada do cliente, os utilizadores podem ver e alterar permissões personalizadas para um documento protegido quando utilizam Explorador de Ficheiros e clicar no ficheiro com razão. A opção Permissões Personalizadas a partir do botão Proteger no Office fita permanece escondida.
Para configurar esta definição avançada, introduza as cadeias seguintes:
Chave: Ativar As Perguntas DoPermisForCustomProtectedFiles
Valor: Verdadeiro
Nota
Esta funcionalidade encontra-se atualmente em PREVIEW. Os Termos Complementares de Pré-visualização do Azure incluem termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não lançadas em disponibilidade geral.
Ocultar permanentemente a barra do Azure Information Protection
Esta configuração utiliza uma definição avançada de cliente que tem de configurar no portal do Azure. Utilize-a apenas quando a definição de políticaMostrar a barra de Information Protection na Office aplicações estiverem definidas para On.
Por predefinição, se um utilizador limpar a opção 'Barra de Exibição' do separador 'Casa', do grupo Proteção, do botão Protect, a barra de Information Protection já não aparece nesse aplicação do Office. No entanto, a barra volta a exibir-se da próxima vez que for aberta uma aplicação do Office.
Para evitar que a barra volte a exibir-se automaticamente depois de um utilizador ter optado por escondê-la, utilize esta definição do cliente. Esta definição não tem qualquer efeito caso o utilizador feche a barra através do ícone Fechar esta barra.
Mesmo que a barra de Information Protection Azure permaneça escondida, os utilizadores ainda podem selecionar uma etiqueta de uma barra temporariamente visualizada se tiver configurado a classificação recomendada, ou quando um documento ou e-mail deve ter uma etiqueta.
Para configurar esta definição avançada, introduza as cadeias seguintes:
Chave: EnableBarHiding
Valor: Verdadeiro
Permitir o suporte de encomenda para sublibulas em anexos
Esta configuração utiliza uma definição avançada de cliente que tem de configurar no portal do Azure.
Utilize esta definição quando tiver sublibulas e tiver configurado a seguinte definição de política:
- Para mensagens de e-mail com anexos, aplique uma etiqueta que corresponda à classificação mais elevada dos mesmos
Configure as seguintes cordas:
Chave: CompareSubLabelsInAttachmentAction
Valor: Verdadeiro
Sem esta definição, a primeira etiqueta encontrada a partir da etiqueta dos pais com a classificação mais alta é aplicada ao e-mail.
Com esta definição, o sublabelo que é encomendado por último da etiqueta dos pais com a classificação mais alta é aplicado ao e-mail. Se precisar de reencomendar as suas etiquetas para aplicar a etiqueta que deseja para este cenário, consulte Como eliminar ou reencomendar uma etiqueta para a Azure Information Protection.
Isentas Outlook mensagens da rotulagem obrigatória
Esta configuração utiliza uma definição avançada de cliente que tem de configurar no portal do Azure.
Por predefinição, quando ativar a definição de políticaTodos os documentos e e-mails devem ter uma etiqueta, todos os documentos guardados e e-mails enviados devem ter uma etiqueta aplicada. Ao configurar a seguinte definição avançada, a definição de política aplica-se apenas a documentos Office e a não Outlook mensagens.
Para configurar esta definição avançada, introduza as cadeias seguintes:
Chave: DisableMandatoryInOutlook
Valor: Verdadeiro
Permitir a classificação recomendada em Outlook
Esta configuração utiliza uma definição avançada de cliente que tem de configurar no portal do Azure.
Quando configurar uma etiqueta para a classificação recomendada, os utilizadores são solicitados a aceitar ou rejeitar a etiqueta recomendada no Word, Excel e PowerPoint. Esta definição alarga esta recomendação de etiqueta para exibir também em Outlook.
Para configurar esta definição avançada, introduza as cadeias seguintes:
Chave: OutlookRecommendationEnabled
Valor: Verdadeiro
Nota
Esta funcionalidade encontra-se atualmente em PREVIEW. Os Termos Complementares de Pré-visualização do Azure incluem termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não lançadas em disponibilidade geral.
Implementar mensagens pop-up em Outlook que avisam, justificam ou bloqueiam e-mails enviados
Esta configuração utiliza várias configurações avançadas do cliente que deve configurar no portal do Azure.
Quando cria e configura as seguintes definições avançadas do cliente, os utilizadores vêem mensagens pop-up em Outlook que podem avisá-las antes de enviar um e-mail, ou pedir-lhes que forneçam uma justificação do porquê de enviarem um e-mail, ou impedir que enviem um e-mail para qualquer um dos seguintes cenários:
O seu e-mail ou anexo para o e-mail tem uma etiqueta específica:
- O anexo pode ser qualquer tipo de ficheiro
O seu e-mail ou anexo para o e-mail não tem uma etiqueta:
- O anexo pode ser um documento Office ou documento PDF
Quando estas condições são satisfeitas, o utilizador vê uma mensagem pop-up com uma das seguintes ações:
Aviso: O utilizador pode confirmar e enviar ou cancelar.
Justificar: O utilizador é solicitado para justificação (opções predefinidas ou formulário livre). O utilizador pode então enviar ou cancelar o e-mail. O texto de justificação é escrito para o e-mail x-header, para que possa ser lido por outros sistemas. Por exemplo, serviços de prevenção de perda de dados (DLP).
Bloco: O utilizador está impedido de enviar o e-mail enquanto a condição permanece. A mensagem inclui o motivo para bloquear o e-mail, para que o utilizador possa resolver o problema. Por exemplo, remova destinatários específicos ou rotule o e-mail.
Quando as mensagens pop-up são para uma etiqueta específica, pode configurar exceções para destinatários por nome de domínio.
As ações resultantes das mensagens pop-up são registadas no registo local de Windows de eventos Aplicações e Registos de Serviços>Azure Information Protection:
Mensagens de aviso: ID informação 301
Justificar mensagens: ID informação 302
Mensagens de bloqueio: ID informação 303
Exemplo de entrada de evento a partir de uma mensagem de justificação:
Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Price list.msg
Item Name: Price list
Process Name: OUTLOOK
Action: Justify
User Justification: My manager approved sharing of this content
Action Source:
User Response: Confirmed
As seguintes secções contêm instruções de configuração para cada configuração avançada do cliente, e pode vê-las em ação por si mesma com Tutorial: Configure Azure Information Protection para controlar a sobrepartilhação de informações utilizando Outlook.
Para implementar o aviso, justificar ou bloquear mensagens pop-up para etiquetas específicas:
Para implementar as mensagens pop-up para etiquetas específicas, deve conhecer o ID da etiqueta para essas etiquetas. O valor de ID da etiqueta é apresentado no painel de etiquetas, quando vê ou configura a política de Information Protection Azure no portal do Azure. Para ficheiros que tenham etiquetas aplicadas, também pode executar o cmdlet Get-AIPFileStatus PowerShell para identificar o ID da etiqueta (MainLabelId ou SubLabelId). Quando uma etiqueta tiver sublibulas, especifique sempre a identificação de apenas um sublibrô e não da etiqueta dos pais.
Crie uma ou mais das seguintes definições avançadas do cliente com as seguintes teclas. Para os valores, especifique uma ou mais etiquetas pelos seus IDs, cada uma separada por uma vírgula.
Valor de exemplo para vários IDs de etiqueta como uma cadeia separada por vírgula: dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
Mensagens de aviso:
Chave: OutlookWarnUntrustedCollaborationLabel
Valor: <IDs de etiqueta, separados por vírgulas>
Mensagens de justificação:
Chave: OutlookJustifyUntrustedCollaborationLabel
Valor: <IDs de etiqueta, separados por vírgulas>
Bloquear mensagens:
Chave: OutlookBlockUntrustedCollaborationLabel
Valor: <IDs de etiqueta, separados por vírgulas>
Isentar nomes de domínio para mensagens pop-up configuradas para rótulos específicos
Para as etiquetas que especificou com estas mensagens pop-up, pode isentar nomes de domínio específicos para que os utilizadores não vejam as mensagens para destinatários que tenham esse nome de domínio incluído no seu endereço de e-mail. Neste caso, os e-mails são enviados sem interrupção. Para especificar vários domínios, adicione-os como uma única corda, separada por vírgulas.
Uma configuração típica é exibir as mensagens pop-up apenas para destinatários externos à sua organização ou que não sejam parceiros autorizados para a sua organização. Neste caso, especifique todos os domínios de e-mail utilizados pela sua organização e pelos seus parceiros.
Crie as seguintes definições avançadas do cliente e, pelo valor, especifique um ou mais domínios, cada um separado por uma vírgula.
Valor de exemplo para vários domínios como uma cadeia separada por vírgula: contoso.com,fabrikam.com,litware.com
Mensagens de aviso:
Chave: OutlookWarnTrustedDomains
Valor: <nomes de domínio, vírgula separada>
Mensagens de justificação:
Chave: OutlookJustifyTrustedDomains
Valor: <nomes de domínio, vírgula separada>
Bloquear mensagens:
Chave: OutlookBlockTrustedDomains
Valor: <nomes de domínio, vírgula separada>
Por exemplo, especificou a definição avançada de Clientes OutlookBlockUntrustedCollaboration Para a etiqueta Confidencial \ Todos os Colaboradores . Agora especifica a definição avançada adicional do cliente de OutlookBlockTrustedDomains e contoso.com. Como resultado, um utilizador pode enviar um e-mail para john@sales.contoso.com quando estiver rotulado Confidencial \ Todos os Colaboradores , mas será impedido de enviar um e-mail com a mesma etiqueta para uma conta Gmail.
Para implementar o aviso, justificar ou bloquear mensagens pop-up para e-mails ou anexos que não tenham uma etiqueta:
Crie a seguinte configuração avançada do cliente com um dos seguintes valores:
Mensagens de aviso:
Chave: OutlookUnlabeledCollaborationAction
Valor: Aviso
Mensagens de justificação:
Chave: OutlookUnlabeledCollaborationAction
Valor: Justificar
Bloquear mensagens:
Chave: OutlookUnlabeledCollaborationAction
Valor: Bloco
Desligue estas mensagens:
Chave: OutlookUnlabeledCollaborationAction
Valor: Off
Para definir extensões específicas de nome de ficheiro para o aviso, justificar ou bloquear mensagens pop-up para anexos de e-mail que não têm uma etiqueta
Por predefinição, o aviso, justifica ou bloqueia mensagens pop-up aplicam-se a todos os documentos Office e documentos PDF. Pode refinar esta lista especificando quais as extensões de nome de ficheiro que devem apresentar as mensagens de aviso, justificação ou bloqueio com uma propriedade avançada adicional do cliente e uma lista separada de vírgulas de extensões de nome de ficheiro.
Valor de exemplo para extensões de nome de ficheiros múltiplas para definir como uma cadeia separada por vírgula: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM
Neste exemplo, um documento PDF não rotulado não resultará em mensagens de aviso, justificação ou bloqueio.
Chave: OutlookOverrideUnlabeledCollaborationExtensions
Valor: <extensões de nome de ficheiro para exibir mensagens, vírgula separadas>
Para especificar uma ação diferente para mensagens de correio e-mail sem anexos
Por padrão, o valor que especifica para OutlookUnlabeledCollaborationAc para avisar, justificar ou bloquear mensagens pop-up aplica-se a e-mails ou anexos que não têm um rótulo. Pode refinar esta configuração especificando outra definição avançada do cliente para mensagens de correio e-mail que não tenham anexos.
Crie a seguinte configuração avançada do cliente com um dos seguintes valores:
Mensagens de aviso:
Chave: OutlookUnlabeledCollaborationAcoverrideMailBodyBehavior
Valor: Aviso
Mensagens de justificação:
Chave: OutlookUnlabeledCollaborationAcoverrideMailBodyBehavior
Valor: Justificar
Bloquear mensagens:
Chave: OutlookUnlabeledCollaborationAcoverrideMailBodyBehavior
Valor: Bloco
Desligue estas mensagens:
Chave: OutlookUnlabeledCollaborationAcoverrideMailBodyBehavior
Valor: Off
Se não especificar esta definição de cliente, o valor que especifica para OutlookUnlabeledCollaborationAction é utilizado para mensagens de correio de correio sem rótulo sem anexos, bem como mensagens de correio de correio não identificadas com anexos.
Desafine uma etiqueta padrão diferente para Outlook
Esta configuração utiliza uma definição avançada de cliente que tem de configurar no portal do Azure.
Ao configurar esta definição, Outlook não aplica a etiqueta predefinida que está configurada na política de Information Protection Azure para a definição Selecione a etiqueta predefinida. Em vez disso, Outlook pode aplicar uma etiqueta padrão diferente, ou nenhuma etiqueta.
Para aplicar uma etiqueta diferente, tem de especificar o ID do rótulo. O valor de ID da etiqueta é apresentado no painel de etiquetas, quando vê ou configura a política de Information Protection Azure no portal do Azure. Para ficheiros que tenham etiquetas aplicadas, também pode executar o cmdlet Get-AIPFileStatus PowerShell para identificar o ID da etiqueta (MainLabelId ou SubLabelId). Quando uma etiqueta tiver sublibulas, especifique sempre a identificação de apenas um sublibrô e não da etiqueta dos pais.
Para que Outlook não aplique a etiqueta padrão, especifique Nenhuma.
Para configurar esta definição avançada, introduza as cadeias seguintes:
Chave: OutlookDefaultLabel
Valor: <ID> da etiqueta ou nenhum
Configure um rótulo para aplicar a proteção S/MIME em Outlook
Esta configuração utiliza uma definição avançada de cliente que tem de configurar no portal do Azure.
Utilize esta definição apenas quando tiver uma implementação S/MIME em funcionamento e pretender que uma etiqueta aplique automaticamente este método de proteção para e-mails em vez de Rights Management proteção contra a Azure Information Protection. A proteção resultante é a mesma que quando um utilizador seleciona manualmente as opções S/MIME a partir de Outlook.
Esta configuração requer que especifique uma definição avançada de cliente chamada LabelToSMIME para cada etiqueta Azure Information Protection que pretende aplicar a proteção S/MIME. Em seguida, para cada entrada, desafine o valor utilizando a seguinte sintaxe:
[Azure Information Protection label ID];[S/MIME action]
O valor de ID da etiqueta é apresentado no painel de etiquetas, quando vê ou configura a política de Information Protection Azure no portal do Azure. Para utilizar s/MIME com um sublbel, especifique sempre o ID apenas do sublabel e não da etiqueta dos pais. Quando se especifica um sublabel, a etiqueta dos pais deve estar no mesmo âmbito ou na política global.
A ação S/MIME pode ser:
Sign;Encrypt: Aplicar uma assinatura digital e encriptação S/MIMEEncrypt: Para aplicar apenas encriptação S/MIMESign: Aplicar apenas uma assinatura digital
Valores de exemplo para um ID de etiqueta de dcf781ba-727f-4860-b3c1-73479e31912b:
Para aplicar uma assinatura digital e encriptação S/MIME:
DCF781ba-727f-4860-b3c1-73479e31912b; Assinar; Encriptar
Para aplicar apenas encriptação S/MIME:
DCF781ba-727f-4860-b3c1-73479e31912b; Encriptar
Para aplicar apenas uma assinatura digital:
DCF781ba-727f-4860-b3c1-73479e31912b; Sinal
Como resultado desta configuração, quando a etiqueta é solicitada para uma mensagem de e-mail, a proteção S/MIME é aplicada ao e-mail para além da classificação da etiqueta.
Se a etiqueta especificar estiver configurada para proteção Rights Management no portal do Azure, a proteção S/MIME substitui a proteção Rights Management apenas em Outlook. Para todos os outros cenários que suportam a rotulagem, será aplicada Rights Management proteção.
Se pretender que a etiqueta seja visível apenas em Outlook, configuure a etiqueta para aplicar a ação definida pelo utilizador único do "Não Encaminhar", como descrito no Quickstart: Configurar uma etiqueta para os utilizadores protegerem facilmente e-mails que contenham informações sensíveis.
Remova "Agora não" para documentos quando utilizar a rotulagem obrigatória
Esta configuração utiliza uma definição avançada de cliente que tem de configurar no portal do Azure.
Quando utiliza a definição de política de Todos os documentos e e-mails deve ter uma etiqueta, os utilizadores são solicitados a selecionar uma etiqueta quando guardam pela primeira vez um documento Office e quando enviam um e-mail. Para documentos, os utilizadores podem selecionar Não agora para descartar temporariamente a solicitação para selecionar uma etiqueta e voltar ao documento. No entanto, não podem fechar o documento guardado sem o rotular.
Ao configurar esta definição, remove a opção Não agora , para que os utilizadores selecionem uma etiqueta quando o documento é guardado pela primeira vez.
Para configurar esta definição avançada, introduza as cadeias seguintes:
Chave: AdiarMandatoryBeforeSave
Valor: Falso
Ligue a classificação para correr continuamente no fundo
Esta configuração utiliza uma definição avançada de cliente que tem de configurar no portal do Azure.
Ao configurar esta definição, altera o comportamento padrão de como o Azure Information Protection cliente aplica etiquetas automáticas e recomendadas a documentos:
Para Word, Excel e PowerPoint, a classificação automática é continuamente em segundo plano.
O comportamento não muda para Outlook.
Quando o Azure Information Protection cliente verifica periodicamente documentos para as regras da condição que especifica, este comportamento permite a classificação e proteção automática e recomendada para documentos que são armazenados no Microsoft SharePoint. Os ficheiros grandes também poupam mais rapidamente porque as regras da condição já foram executadas.
As regras da condição não são executadas em tempo real como tipos de utilizador. Em vez disso, funcionam periodicamente como uma tarefa de fundo se o documento for modificado.
Para configurar esta definição avançada, introduza as cadeias seguintes:
Chave: RunPolicyInBackground
Valor: Verdadeiro
Nota
Esta funcionalidade encontra-se atualmente em PREVIEW. Os Termos Complementares de Pré-visualização do Azure incluem termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não lançadas em disponibilidade geral.
Não proteja ficheiros PDF utilizando a norma ISO para encriptação PDF
Esta configuração utiliza uma definição avançada de cliente que tem de configurar no portal do Azure.
Quando a versão mais recente do Azure Information Protection cliente protege um ficheiro PDF, a extensão do nome do ficheiro resultante permanece como .pdf e adere à norma ISO para encriptação PDF. Para obter mais informações sobre esta norma, consulte a secção 7.6 Encriptação do documento derivado da ISO 32000-1 e publicada pela Adobe Systems Incorporated.
Se precisar que o cliente reverta para o comportamento em versões mais antigas do cliente que protegeu ficheiros PDF utilizando uma extensão de nome de ficheiro .ppdf, utilize a seguinte definição avançada introduzindo o seguinte fio:
Chave: EnablePDFv2Protetor
Valor: Falso
Por exemplo, pode precisar desta definição para todos os utilizadores se utilizar um leitor PDF que não suporte a norma ISO para encriptação PDF. Ou, pode ser necessário configurar para alguns utilizadores à medida que faseia gradualmente numa mudança de leitor de PDF que suporta o novo formato. Outra razão potencial para utilizar esta definição é se precisar de adicionar proteção aos documentos PDF assinados. Os documentos PDF assinados podem ser protegidos adicionalmente com o formato .ppdf porque esta proteção é implementada como invólucro para o ficheiro.
Para que o scanner Azure Information Protection utilize a nova definição, o serviço de scanner deve ser reiniciado. Além disso, o scanner deixará de proteger os documentos PDF por defeito. Se pretender que os documentos PDF sejam protegidos pelo scanner quando o EnablePDFv2Protection estiver definido como Falso, tem de editar o registo.
Para obter mais informações sobre a nova encriptação PDF, consulte o blog post Novo suporte para encriptação PDF com a Microsoft Information Protection.
Para obter uma lista de leitores PDF que suportam a norma ISO para encriptação PDF e leitores que suportam formatos mais antigos, consulte leitores PDF suportados para microsoft Information Protection.
Para converter ficheiros .ppdf existentes em ficheiros de .pdf protegidos
Quando o cliente Azure Information Protection tiver descarregado a política do cliente com a nova definição, pode utilizar comandos PowerShell para converter ficheiros .ppdf existentes para ficheiros de .pdf protegidos que utilizam a norma ISO para encriptação PDF.
Para utilizar as seguintes instruções para ficheiros que não se protegeu, tem de ter um direito de utilização Rights Management para remover a proteção dos ficheiros ou ser um super utilizador. Para ativar a funcionalidade do super utilizador e configurar a sua conta para ser um super utilizador, consulte configurar super utilizadores para Azure Rights Management e Serviços de Descoberta ou Recuperação de Dados.
Além disso, quando utiliza estas instruções para ficheiros que não se protegeu, torna-se o Emitente RMS. Neste cenário, o utilizador que originalmente protegeu o documento já não pode rastreá-lo e revogá-lo. Se os utilizadores precisarem de rastrear e revogar os seus documentos PDF protegidos, peça-lhes para remover manualmente e, em seguida, reaplicar a etiqueta utilizando Explorador de Ficheiros, clique à direita.
Para utilizar os comandos PowerShell para converter ficheiros .ppdf existentes para ficheiros .pdf protegidos que utilizam a norma ISO para encriptação PDF:
Utilize o Get-AIPFileStatus com o ficheiro .ppdf. Por exemplo:
Get-AIPFileStatus -Path \\Finance\Projectx\sales.ppdfA partir da saída, tome nota dos seguintes parâmetros:
O valor (GUID) para SubLabelId, se houver um. Se este valor estiver em branco, não foi utilizado um sublabel, por isso note o valor para o MainLabelId .
Nota: Se também não houver valor para o MainLabelId , o ficheiro não está rotulado. Neste caso, pode utilizar o comando Unprotect-RMSFile e protect-RMSFile em vez dos comandos nos passos 3 e 4.
O valor para RMSTemplateId. Se este valor for Acesso Restrito, um utilizador protegeu o ficheiro utilizando permissões personalizadas em vez das definições de proteção configuradas para a etiqueta. Se continuar, essas permissões personalizadas serão substituídas pelas definições de proteção da etiqueta. Decida se deve continuar ou pedir ao utilizador (valor apresentado para o RMSIssuer) para remover a etiqueta e reaplicar a etiqueta, juntamente com as suas permissões personalizadas originais.
Retire a etiqueta utilizando o Set-AIPFileLabel com o parâmetro RemoveLabel . Se estiver a utilizar a definição de política dos Utilizadores deve fornecer justificação para definir uma etiqueta de classificação inferior, remover um rótulo ou remover a proteção, também deve especificar o parâmetro justificação com a razão. Por exemplo:
Set-AIPFileLabel \\Finance\Projectx\sales.ppdf -RemoveLabel -JustificationMessage 'Removing .ppdf protection to replace with .pdf ISO standard'Recandidatar a etiqueta original, especificando o valor da etiqueta que identificou no passo 1. Por exemplo:
Set-AIPFileLabel \\Finance\Projectx\sales.pdf -LabelId d9f23ae3-1234-1234-1234-f515f824c57b
O ficheiro mantém a extensão .pdf nome de ficheiro, mas é classificado como antes, e está protegido usando a norma ISO para encriptação PDF.
Suporte para ficheiros protegidos pelas Ilhas Seguras
Se utilizar as Ilhas Seguras para proteger documentos, poderá ter ficheiros de texto e imagem protegidos e ficheiros protegidos genericamente como resultado desta proteção. Por exemplo, ficheiros que tenham uma extensão de nome de ficheiro de .ptxt, .pjpeg, ou .pfile. Quando edita o registo da seguinte forma, o Azure Information Protection pode desencriptar estes ficheiros:
Adicione o seguinte valor DWORD de EnableIQPFormats à seguinte trajetória de registo e desapedaque os dados de valor para 1:
Para uma versão de 64 bits de Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Para uma versão de 32 bits de Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIP
Como resultado desta edição de registo, são suportados os seguintes cenários:
O Azure Information Protection espectador pode abrir estes ficheiros protegidos.
O scanner Azure Information Protection pode inspecionar estes ficheiros para obter informações confidenciais.
Explorador de Ficheiros, PowerShell e o scanner Azure Information Protection podem rotular estes ficheiros. Como resultado, pode aplicar uma etiqueta Azure Information Protection que aplica uma nova proteção contra o Azure Information Protection, ou que remove a proteção existente das Ilhas Seguras.
Pode utilizar a personalização do cliente de migração de etiquetas para converter automaticamente a etiqueta Ilhas Seguras nestes ficheiros protegidos para uma etiqueta Azure Information Protection.
Nota
Esta funcionalidade encontra-se atualmente em PREVIEW. Os Termos Complementares de Pré-visualização do Azure incluem termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não lançadas em disponibilidade geral.
Migrar rótulos das Ilhas Seguras e outras soluções de rotulagem
Esta configuração utiliza uma definição avançada de cliente que tem de configurar no portal do Azure.
Esta configuração não é atualmente compatível com o novo comportamento padrão que protege os ficheiros PDF utilizando a norma ISO para encriptação PDF. Neste cenário, os ficheiros .ppdf não podem ser abertos por Explorador de Ficheiros, PowerShell ou pelo scanner. Para resolver isto, utilize a definição avançada do cliente para não utilizar a norma ISO para encriptação PDF.
Para Office documentos e documentos PDF que são rotulados por Ilhas Seguras, pode remarcar estes documentos com uma etiqueta Azure Information Protection utilizando um mapeamento que define. Também utiliza este método para reutilizar rótulos de outras soluções quando os seus rótulos estão em documentos Office.
Nota
Se tiver ficheiros diferentes de PDF e Office documentos protegidos por Ilhas Seguras, estes podem ser remarcados após a edição do registo, conforme descrito na secção anterior.
Como resultado desta opção de configuração, a nova etiqueta Azure Information Protection é aplicada pelo cliente Azure Information Protection da seguinte forma:
Para Office documentos: Quando o documento é aberto na aplicação de ambiente de trabalho, a nova etiqueta Azure Information Protection é apresentada como definida e é aplicada quando o documento é guardado.
Para Explorador de Ficheiros: Na caixa de diálogo Azure Information Protection, a nova etiqueta Azure Information Protection é apresentada como definida e é aplicada quando o utilizador seleciona Apply. Se o utilizador selecionar cancelar, a nova etiqueta não é aplicada.
Para PowerShell: Set-AIPFileLabel aplica a nova etiqueta Azure Information Protection. O Get-AIPFileStatus não apresenta a nova etiqueta Azure Information Protection até que seja definida por outro método.
Para o scanner Azure Information Protection: A Discovery informa quando a nova etiqueta Azure Information Protection será definida e esta etiqueta pode ser aplicada com o modo de execução.
Esta configuração requer que especifique uma definição avançada de cliente chamada LabelbyCustomProperty para cada Azure Information Protection etiqueta que pretende mapear para a etiqueta antiga. Em seguida, para cada entrada, desafine o valor utilizando a seguinte sintaxe:
[Azure Information Protection label ID],[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]
O valor de ID da etiqueta é apresentado no painel de etiquetas, quando vê ou configura a política de Information Protection Azure no portal do Azure. Para especificar um sublabel, a etiqueta dos pais deve estar no mesmo âmbito ou na política global.
Especifique a sua escolha de um nome de regra de migração. Utilize um nome descritivo que o ajude a identificar como uma ou mais etiquetas da sua solução de rotulagem anterior devem ser mapeadas para uma etiqueta Azure Information Protection. O nome aparece nos relatórios do scanner e em Visualizador de Eventos. Note que esta definição não remove a etiqueta original do documento ou quaisquer marcas visuais no documento que a etiqueta original possa ter aplicado. Para remover cabeçalhos e rodapés, consulte a secção seguinte, Retire os cabeçalhos e rodapés de outras soluções de rotulagem.
Exemplo 1: Mapeamento de um para um com o mesmo nome de rótulo
Requisito: Os documentos que tenham um rótulo "Confidencial" das Ilhas Seguras devem ser remarcados como "Confidenciais" pela Azure Information Protection.
Neste exemplo:
A etiqueta Azure Information Protection que pretende utilizar chama-se Confidencial e tem uma identificação de etiqueta de 1ace2cc3-14bc-4142-9125-bf946a70542c.
A etiqueta Ilhas Seguras é denominada Confidencial e armazenada na propriedade personalizada denominada Classificação.
A definição avançada do cliente:
| Name | Valor |
|---|---|
| LabelbyCustomProperty | 1ace2cc3-14bc-4142-9125-bf946a70542c"Etiqueta das Ilhas Seguras é Confidencial",Classificação,Confidencial |
Exemplo 2: Mapeamento um para um para um nome de etiqueta diferente
Requisito: Os documentos rotulados como "Sensíveis" pelas Ilhas Seguras devem ser remarcados como "Altamente Confidenciais" pela Azure Information Protection.
Neste exemplo:
O rótulo Azure Information Protection que pretende utilizar chama-se Alta Confidencial e tem uma identificação de etiqueta de 3e9df74d-3168-48af-8b11-037e3021813f.
A etiqueta Ilhas Seguras é denominada Sensitive e armazenada na propriedade personalizada denominada Classificação.
A definição avançada do cliente:
| Name | Valor |
|---|---|
| LabelbyCustomProperty | 3e9df74d-3168-48af-8b11-037e3021813f"Etiqueta das Ilhas Seguras é Sensível",Classificação,Sensível |
Exemplo 3: Mapeamento de muitos para um de nomes de etiquetas
Requisito: Tem duas etiquetas De Ilhas Seguras que incluem a palavra "Interno" e quer que documentos que tenham uma destas etiquetas de Ilhas Seguras sejam remarcados como "Geral" pela Azure Information Protection.
Neste exemplo:
A etiqueta Azure Information Protection que pretende utilizar chama-se General e tem uma identificação de etiqueta de 2beb8fe7-8293-444c-9768-7fdc6f75014d.
As etiquetas Das Ilhas Seguras incluem a palavra Interna e são armazenadas na propriedade personalizada denominada Classificação.
A definição avançada do cliente:
| Name | Valor |
|---|---|
| LabelbyCustomProperty | 2beb8fe7-8293-444c-9768-7fdc6f75014d,"Etiqueta das Ilhas Seguras contém Interna",Classificação,.*Interna.* |
Remover cabeçalhos e rodapés de outras soluções de rotulagem
Esta configuração utiliza várias configurações avançadas do cliente que deve configurar no portal do Azure.
As definições permitem remover ou substituir cabeçalhos ou rodapés baseados em texto de documentos quando essas marcas visuais tiverem sido aplicadas por outra solução de rotulagem. Por exemplo, o rodapé antigo contém o nome de uma etiqueta antiga que já emigrou para Azure Information Protection com um novo nome de etiqueta e seu próprio rodapé.
Quando o cliente obtém esta configuração na sua política, os cabeçalhos antigos e rodapés são removidos ou substituídos quando o documento é aberto no aplicação do Office e qualquer etiqueta Azure Information Protection é aplicada no documento.
Esta configuração não é suportada para Outlook, e esteja ciente de que quando a utiliza com o Word, Excel e PowerPoint, pode afetar negativamente o desempenho destas aplicações para os utilizadores. A configuração permite definir definições por aplicação, por exemplo, procurar texto nos cabeçalhos e rodapés dos documentos do Word, mas não Excel folhas de cálculo ou apresentações PowerPoint.
Uma vez que a correspondência de padrões afeta o desempenho dos utilizadores, recomendamos que limite os tipos de aplicação Office (Word, EXcel, PowerPoint) apenas àqueles que precisam de ser pesquisados:
Chave: RemoveExternalContentMarkingInApp
Valor: <Office tipos de aplicação WXP>
Exemplos:
Para pesquisar apenas documentos do Word, especifique W.
Para pesquisar documentos do Word e PowerPoint apresentações, especifique WP.
Em seguida, precisa de pelo menos mais uma configuração avançada do cliente, ExternalContentMarkingToRemove, para especificar o conteúdo do cabeçalho ou rodapé, e como removê-los ou substituí-los.
Nota
Esta funcionalidade encontra-se atualmente em PREVIEW. Os Termos Complementares de Pré-visualização do Azure incluem termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não lançadas em disponibilidade geral.
Como configurar externalContentMarkingToRemove
Quando especificar o valor de cadeia para a tecla ExternalContentMarkingToRemove , tem três opções que utilizam expressões regulares:
Correspondência parcial para remover tudo no cabeçalho ou rodapé.
Exemplo: Os cabeçalhos ou rodapés contêm o texto da corda para remover. Você quer remover completamente estes cabeçalhos ou rodapés. Especifica o valor:
*TEXT*.Correspondência completa para remover apenas palavras específicas no cabeçalho ou rodapé.
Exemplo: Os cabeçalhos ou rodapés contêm o texto da corda para remover. Deseja remover apenas a palavra SMS , que deixa o cabeçalho ou o fio do rodapé como REMOVER. Especifica o valor:
TEXT.Complete a correspondência para remover tudo no cabeçalho ou no rodapé.
Exemplo: Cabeçalhos ou rodapés têm o texto da corda para remover. Você quer remover cabeçalhos ou rodapés que têm exatamente esta corda. Especifica o valor:
^TEXT TO REMOVE$.
O padrão correspondente à corda que especifica é insensível a caso. O comprimento máximo da corda é de 255 caracteres.
Como alguns documentos podem incluir caracteres invisíveis ou diferentes tipos de espaços ou separadores, a cadeia que especifica para uma frase ou frase pode não ser detetada. Sempre que possível, especifique uma única palavra distintiva para o valor e certifique-se de testar os resultados antes de se implantar na produção.
Chave: ExternalContentMarkingToRemove
Valor: <cadeia a combinar, definida como expressão regular>
Cabeçalhos ou rodapés multiline
Se um texto de cabeçalho ou rodapé for mais do que uma única linha, crie uma chave e valor para cada linha. Por exemplo, tem o seguinte rodapé com duas linhas:
The file is classified as Confidential
Label applied manually
Para remover este rodapé multiline, cria as seguintes duas entradas:
Chave 1: ExternalContentMarkingToRemove
Valor chave 1: *Confidencial*
Chave 2: ExternalContentMarkingToRemove
Valor chave 2: *Etiqueta aplicada*
Otimização para PowerPoint
Os rodapés em PowerPoint são implementados como formas. Para evitar a remoção de formas que contenham o texto especificado mas que não são cabeçalhos ou rodapés, utilize uma definição avançada adicional de cliente chamada PowerPointShapeNameToRemove. Recomendamos também a utilização desta definição para evitar a verificação do texto em todas as formas, o que é um processo intensivo de recursos.
Se não especificar esta definição avançada adicional do cliente, e PowerPoint estiver incluído no valor da chave RemoveExternalContentMarkingInApp, todas as formas serão verificadas para o texto que especifica no valor ExternalContentMarkingToRemove.
Para encontrar o nome da forma que está a usar como cabeçalho ou rodapé:
Em PowerPoint, apresente o painel de seleção: separador de formato>Organize o painel de seleção do grupo>.
Selecione a forma no slide que contém o seu cabeçalho ou rodapé. O nome da forma selecionada está agora destacado no painel de seleção .
Utilize o nome da forma para especificar um valor de cadeia para a tecla PowerPointShapeNameToRemove .
Exemplo: O nome da forma é fc. Para remover a forma com este nome, especifique o valor: fc.
Chave: PowerPointShapeNameToRemove
Valor: <nome de forma PowerPoint>
Quando tiver mais de um PowerPoint forma para remover, crie tantas teclas PowerPointShapeNameToRemove como tiver formas para remover. Para cada entrada, especifique o nome da forma a remover.
Por defeito, apenas os slides Master são verificados para cabeçalhos e rodapés. Para estender esta pesquisa a todos os slides, que é um processo muito mais intensivo de recursos, utilize uma definição avançada adicional de cliente chamada RemoveExternalContentMarkingInAllSlides:
Chave: RemoveExternalContentMarkingInAllSlides
Valor: Verdadeiro
Marque um documento Office utilizando uma propriedade personalizada existente
Nota
Se utilizar esta configuração e a configuração para migrar rótulos das Ilhas Seguras e outras soluções de rotulagem, a definição de migração de rotulagem tem precedência.
Esta configuração utiliza uma definição avançada de cliente que tem de configurar no portal do Azure.
Ao configurar esta definição, pode classificar (e opcionalmente, proteger) um documento Office quando tiver uma propriedade personalizada existente com um valor que corresponda a um dos nomes da sua etiqueta. Esta propriedade personalizada pode ser definida a partir de outra solução de classificação, ou pode ser definida como uma propriedade por SharePoint.
Como resultado desta configuração, quando um documento sem um Azure Information Protection etiqueta é aberto e guardado por um utilizador num aplicação do Office, o documento é então rotulado para corresponder ao valor da propriedade correspondente.
Esta configuração requer que especifique duas definições avançadas que funcionam em conjunto. O primeiro chama-se SyncPropertyName, que é o nome de propriedade personalizado que foi definido a partir da outra solução de classificação, ou um imóvel que é definido pelo SharePoint. O segundo chama-se SyncPropertyState e deve ser definido para OneWay.
Para configurar esta definição avançada, introduza as cadeias seguintes:
Chave 1: SyncPropertyName
Chave 1 Valor: <nome da propriedade>
Chave 2: SyncPropertyState
Chave 2 Valor: OneWay
Utilize estas teclas e valores correspondentes para apenas uma propriedade personalizada.
Como exemplo, tem uma coluna SharePoint chamada Classificação que tem possíveis valores de Funcionários Públicos, Gerais e Altamente Confidenciais. Os documentos são armazenados no SharePoint e têm funcionários públicos, gerais ou altamente confidenciais como valores definidos para a propriedade de Classificação.
Para rotular um documento Office com um destes valores de classificação, desloise o Nome SyncProperty para a Classificação e o SyncPropertyState para oneWay.
Agora, quando um utilizador abre e guarda um destes documentos Office, é rotulado Public, General ou Altamente Confidencial \ Todos os Colaboradores se tiver etiquetas com estes nomes na sua política de Information Protection Azure. Se não tiver etiquetas com estes nomes, o documento permanece sem rótulo.
Desativar o envio de informações sensíveis descobertas em documentos para a Azure Information Protection análise
Nota
O registo de auditoria e analítica da AIP é anunciado a partir de 18 de março de 2022, com data de reforma completa de 31 de setembro de 2022.
Para mais informações, consulte os serviços removidos e aposentados.
Esta configuração utiliza uma definição avançada de cliente que tem de configurar no portal do Azure.
Quando o Azure Information Protection cliente é utilizado em aplicações Office, procura informações sensíveis nos documentos quando são guardadas pela primeira vez. Desde que o cliente não esteja configurado para não enviar informações de auditoria, quaisquer tipos de informação sensíveis encontrados (predefinidos ou personalizados) são então enviados para a Azure Information Protection análise.
A configuração que controla se o cliente envia informações de auditoria é a definição de política de Enviar dados de auditoria para a Azure Information Protection análise de registo. Quando esta definição de política estiver em funcionamento porque pretende enviar informações de auditoria que incluam ações de rotulagem, mas não pretende enviar tipos de informação sensíveis encontrados pelo cliente, introduza os seguintes cordões:
Chave: RunAuditInformationTypesDiscovery
Valor: Falso
Se definir esta configuração avançada do cliente, a informação de auditoria ainda pode ser enviada do cliente, mas a informação está limitada à atividade de rotulagem.
Por exemplo:
Com esta definição, pode ver que um utilizador acedeu Financial.docx que está rotulado Confidencial \ Vendas.
Sem esta definição, pode ver que Financial.docx contém 6 números de cartão de crédito.
- Se também ativar análises mais profundas nos seus dados sensíveis, poderá ainda ver quais são esses números de cartão de crédito.
Desativar os jogos do tipo de informação de envio para um subconjunto de utilizadores
Esta configuração utiliza uma definição avançada de cliente que tem de configurar no portal do Azure.
Quando seleciona a caixa de verificação do Azure Information Protection análise que permite análises mais profundas nos seus dados sensíveis recolhe os jogos de conteúdo para os seus tipos de informação sensíveis ou as suas condições personalizadas, por padrão, esta informação é enviada por todos os utilizadores, que inclui contas de serviço que executam o scanner Azure Information Protection. Se tiver alguns utilizadores que não devam enviar estes dados, crie a seguinte definição avançada de clientes numa política de âmbito para estes utilizadores:
Chave: LogMatchedContent
Valor: Desativar
Limitar o número de fios utilizados pelo scanner
Esta configuração utiliza uma definição avançada de cliente que tem de configurar no portal do Azure.
Por predefinição, o scanner utiliza todos os recursos do processador disponíveis no computador que executa o serviço de scanner. Se precisar limitar o consumo de CPU durante a digitalização deste serviço, crie a seguinte definição avançada.
Para o valor, especifique o número de fios simultâneos que o scanner pode executar em paralelo. O scanner utiliza um fio separado para cada ficheiro que digitaliza, pelo que esta configuração de estrangulamento também define o número de ficheiros que podem ser digitalizados em paralelo.
Quando configurar pela primeira vez o valor para os testes, recomendamos que especifique 2 por núcleo e, em seguida, monitorize os resultados. Por exemplo, se executar o scanner num computador que tenha 4 núcleos, primeiro desa um valor para 8. Se necessário, aumente ou diminua esse número, de acordo com o desempenho resultante que necessita para o computador do scanner e as suas taxas de digitalização.
Chave: ScannerConcurrencyLevel
Valor: <número de fios simultâneos>
Desative o baixo nível de integridade do scanner
Esta configuração utiliza uma definição avançada de cliente que tem de configurar no portal do Azure.
Por padrão, o scanner Azure Information Protection funciona com um baixo nível de integridade. Esta definição proporciona um maior isolamento de segurança, mas à custa do desempenho. Um baixo nível de integridade é adequado se executar o scanner com uma conta que tenha direitos privilegiados (como uma conta de administrador local) porque esta definição ajuda a proteger o computador que executa o scanner.
No entanto, quando a conta de serviço que executa o scanner tem apenas os direitos documentados nos pré-requisitos de implantação do scanner, o baixo nível de integridade não é necessário e não é recomendado porque afeta negativamente o desempenho.
Para obter mais informações sobre os níveis de integridade Windows, veja qual é o Mecanismo de Integridade Windows?
Para configurar esta definição avançada de modo a que o scanner seja executado com um nível de integridade que é automaticamente atribuído por Windows (uma conta de utilizador padrão funciona com um nível de integridade média), introduza as seguintes cordas:
Chave: ProcessUsingLowIntegrity
Valor: Falso
Alterar as definições de tempo limite para o scanner
Esta configuração utiliza configurações avançadas do cliente que deve configurar no portal do Azure.
Por padrão, o scanner Azure Information Protection tem um período de tempo limite de 00:15:00 (15 minutos) para inspecionar cada ficheiro para verificar se há tipos de informação sensível ou as expressões regex que configura para as condições personalizadas. Quando o período de tempo for atingido para este processo de extração de conteúdos, quaisquer resultados antes do intervalo são devolvidos e uma inspeção adicional para as paragens do ficheiro. Neste cenário, a seguinte mensagem de erro é registada em %localappdata%\Microsoft\MICROSOFT\Logs\MSIPScanner.iplog (fechado se houver vários registos): GetContentParts falhou com a operação foi cancelada nos detalhes.
Se experimentar este problema de tempo limite devido a ficheiros grandes, pode aumentar este período de tempo limite para a extração completa de conteúdos:
Chave: ContentExtractionTimeout
Valor: <hh:min:sec>
O tipo de ficheiro pode influenciar o tempo que leva a digitalizar um ficheiro. Tempos de digitalização de exemplo:
Um ficheiro típico de 100 MB Word: 0,5-5 minutos
Um ficheiro PDF típico de 100 MB: 5-20 minutos
Um ficheiro típico de 100 MB Excel: 12-30 minutos
Para alguns tipos de ficheiros muito grandes, como ficheiros de vídeo, considere excluí-los da digitalização adicionando a extensão do nome do ficheiro aos tipos de Ficheiro para digitalizar a opção no perfil do scanner.
Além disso, o scanner Azure Information Protection tem um período de tempo limite de 00:30:00 (30 minutos) para cada ficheiro que processa. Este valor tem em conta o tempo que pode levar para recuperar um ficheiro de um repositório e guardá-lo temporariamente localmente para ações que podem incluir desencriptação, extração de conteúdo para inspeção, rotulagem e encriptação.
Embora o scanner Azure Information Protection possa digitalizar dezenas a centenas de ficheiros por minuto, se tiver um repositório de dados que tenha um número elevado de ficheiros muito grandes, o scanner pode exceder este período de tempo padrão e no portal do Azure, parece parar após 30 minutos. Neste cenário, a seguinte mensagem de erro é registada em %localappdata%\Microsoft\MICROSOFT\Logs\MSIPS.iplog (fechado se houver vários registos) e o ficheiro de registo .csv scanner: A operação foi cancelada.
Um scanner com 4 processadores core por padrão tem 16 fios para digitalização e a probabilidade de encontrar 16 ficheiros grandes num período de tempo de 30 minutos depende da relação entre os grandes ficheiros. Por exemplo, se a taxa de digitalização for de 200 ficheiros por minuto e 1% dos ficheiros excederem o tempo limite de 30 minutos, existe uma probabilidade de mais de 85% de que o scanner irá encontrar a situação de intervalo de 30 minutos. Estes intervalos podem resultar em tempos de digitalização mais longos e num maior consumo de memória.
Nesta situação, se não conseguir adicionar mais processadores core ao computador do scanner, considere a redução do período de tempo para melhores taxas de digitalização e menor consumo de memória, mas com o reconhecimento de que alguns ficheiros serão excluídos. Em alternativa, considere aumentar o período de tempo para obter resultados de digitalização mais precisos, mas com o reconhecimento de que esta configuração provavelmente resultará em taxas de digitalização mais baixas e maior consumo de memória.
Para alterar o período de tempo limite para o processamento de ficheiros, configufique a seguinte definição avançada do cliente:
Chave: FileProcessingTimeout
Valor: <hh:min:sec>
Alterar o nível de registo local
Esta configuração utiliza uma definição avançada de cliente que tem de configurar no portal do Azure.
Por padrão, o cliente Azure Information Protection escreve ficheiros de registo de clientes para a pasta %localappdata%\Microsoft\MSIP. Estes ficheiros destinam-se a resolver problemas por Suporte da Microsoft.
Para alterar o nível de registo destes ficheiros, configufique a seguinte definição avançada do cliente:
Chave: LogLevel
Valor: <nível> de registo
Definir o nível de registo para um dos seguintes valores:
Off: Sem registo local.
Erro: Apenas erros.
Informação: Registo mínimo, que não inclui IDs de evento (a definição predefinição para o scanner).
Debug: Informação completa.
Trace: Registo detalhado (a definição predefinida para os clientes). Para o scanner, esta definição tem um impacto significativo de desempenho e só deve ser ativada para o scanner se solicitado por Suporte da Microsoft. Se tiver instruções para definir este nível de registo para o scanner, lembre-se de definir um valor diferente quando os registos relevantes tiverem sido recolhidos.
Esta configuração avançada do cliente não altera a informação enviada para a Azure Information Protection para reporte central, ou altera a informação que está escrita no registo de eventos local.
Integração com o legado Exchange classificação de mensagens
Outlook na Web agora suporta a rotulagem incorporada para Exchange Online, que é o método recomendado para rotular e-mails em Outlook na Web. No entanto, se precisar de rotular e-mails na OWA e estiver a usar Exchange Server, que ainda não suporta rótulos de sensibilidade, pode utilizar Exchange classificação de mensagens para estender as etiquetas de Information Protection Azure a Outlook na Web.
Outlook Mobile não suporta Exchange classificação de mensagens.
Para obter esta solução:
Utilize o cmdlet New-MessageClassification do Exchange PowerShell para criar classificações de mensagens com a propriedade Nome que mapeia os seus nomes de etiquetas na sua política do Azure Information Protection.
Criar uma regra de fluxo de correio Exchange para cada etiqueta: Aplicar a regra quando as propriedades da mensagem incluem a classificação que configuraste e modificar as propriedades da mensagem para definir um cabeçalho de mensagem.
Para o cabeçalho da mensagem, encontra as informações para especificar inspecionando os cabeçalhos de internet de um e-mail que enviou e classificou utilizando a sua etiqueta Azure Information Protection. Procure o cabeçalho msip_labels e a corda que imediatamente se segue, até e excluindo o ponto e vírgula. Por exemplo:
msip_labels: MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=Verdade
Em seguida, para o cabeçalho da mensagem na regra, especifique msip_labels para o cabeçalho e a parte restante da cadeia para o valor do cabeçalho. Por exemplo:
Nota: Quando a etiqueta é um sublbel, também deve especificar a etiqueta dos pais antes do sublibrente no valor do cabeçalho, utilizando o mesmo formato. Por exemplo, se o seu sublabel tem um GUID de 27efdf94-80a0-4d02-b88c-b615c12d69a9, o seu valor pode parecer o seguinte:
MSIP_Label_ab70158b-bdcc-42a3-8493-2a80736e9cbd_Enabled=True;MSIP_Label_27efdf94-80a0-4d02-b88c-b615c12d69a9_Enabled=True
Antes de testar esta configuração, lembre-se que muitas vezes há um atraso quando cria ou edita regras de fluxo de correio (por exemplo, aguarde uma hora). Quando a regra está em vigor, os seguintes acontecimentos acontecem agora quando os utilizadores usam Outlook na Web:
Os utilizadores selecionam a classificação de mensagens do Exchange e enviam o e-mail.
A regra do Exchange deteta a classificação do Exchange e modifica o cabeçalho da mensagem em conformidade para adicionar a classificação do Azure Information Protection.
Quando os destinatários internos vêem o e-mail em Outlook e têm o Azure Information Protection cliente instalado, vêem a etiqueta Azure Information Protection atribuída.
Se o seu Azure Information Protection etiquetas aplicar proteção, adicione esta proteção à configuração da regra: Selecionar a opção para modificar a segurança da mensagem, aplicar a proteção de direitos e, em seguida, selecionar o modelo de proteção ou não encaminhar.
Também pode configurar as regras de fluxo de correio para fazer o mapeamento inverso. Quando uma etiqueta do Azure Information Protection é detetada, é definida uma classificação de mensagens do Exchange correspondente:
- Para cada etiqueta Azure Information Protection: Crie uma regra de fluxo de correio que é aplicada quando o cabeçalho msip_labels inclui o nome da sua etiqueta (por exemplo, Geral), e aplique uma classificação de mensagem que mapeie para esta etiqueta.
Passos seguintes
Agora que personalizou o cliente do Azure Information Protection, veja os seguintes recursos para obter informações adicionais que poderá precisar para suportar este cliente: