Guia de Administração: Tipos de ficheiros suportados pelo Azure Information Protection cliente clássico
O Azure Information Protection cliente clássico pode aplicar o seguinte a documentos e e-mails:
Apenas classificação
Classificação e proteção
Apenas proteção
O Azure Information Protection cliente também pode inspecionar o conteúdo de alguns tipos de ficheiros usando tipos de informação sensíveis bem conhecidos ou expressões regulares que você define.
Utilize as seguintes informações para verificar quais os tipos de ficheiros que o Azure Information Protection suporte ao cliente, compreender os diferentes níveis de proteção e como alterar o nível de proteção predefinido, e identificar quais os ficheiros que são automaticamente excluídos (ignorados) da classificação e proteção.
Para os tipos de ficheiros listados, as localizações do WebDav não são suportadas.
Tipos de ficheiro suportados apenas para classificação
Os seguintes tipos de ficheiros podem ser classificados mesmo quando não estão protegidos.
Formato Adobe Portable Document Format: .pdf
Microsoft Project: .mpp, .mpt
Microsoft Publisher: .pub
Microsoft XPS: .xps .oxps
Imagens: .jpg, .jpe, .jpeg, .jif, .jfif, .jfi. png, .tif, .tiff
Design Review 2013 da Autodesk: .dwfx
Adobe Photoshop: .psd
Digital Negative: .dng
Microsoft Office: Tipos de ficheiros na tabela seguinte.
Os formatos de ficheiros suportados para estes tipos de ficheiros são os formatos de ficheiros 97-2003 e Office formatos Open XML para os seguintes programas de Office: Word, Excel e PowerPoint.
Office tipo de ficheiro Office tipo de ficheiro .doc
.docm
.docx
.dot
.dotm
.dotx
.potm
.potx
.pps
.ppsm
.ppsx
.ppt
.pptm
.pptx
.vdw
.vsd.vsdm
.vsdx
.vss
.vssm
.vst
.vstm
.vssx
.vstx
.xls
.xlsb
.xlt
.xlsm
.xlsx
.xltm
.xltx
Tipos de ficheiros adicionais suportam classificação quando também estão protegidos. Para estes tipos de ficheiros, consulte os tipos de ficheiros suportados para a secção de classificação e proteção .
Por exemplo, na atual política de incumprimento, o rótulo geral aplica a classificação e não aplica proteção. Pode aplicar a etiqueta Geral a um ficheiro chamado sales.pdf mas não pode aplicar esta etiqueta num ficheiro denominado sales.txt.
Também na política de incumprimento atual, a Confidencial \ Todos os Colaboradores aplica classificação e proteção. Pode aplicar esta etiqueta a um ficheiro chamado sales.pdf e a um ficheiro chamado sales.txt. Também pode aplicar apenas proteção a estes ficheiros, sem classificação.
Tipos de ficheiro suportados para proteção
O cliente do Azure Information Protection suporta a proteção em dois níveis diferentes, conforme descrito na tabela seguinte.
| Tipo de proteção | Nativa | Genérica |
|---|---|---|
| Descrição | Para texto, imagem, ficheiros do Microsoft Office (Word, Excel, PowerPoint), ficheiros .pdf e outros tipos de ficheiro de aplicação que suportam o serviço Rights Management, a proteção nativa fornece um elevado nível de proteção que inclui encriptação e imposição dos direitos (permissões). | Para outros tipos de ficheiros suportados, a proteção genérica fornece um nível de proteção que inclui ambos os encapsulamentos de ficheiros utilizando o tipo de ficheiro .pfile e a autenticação para verificar se um utilizador está autorizado a abrir o ficheiro. |
| Proteção | A proteção de ficheiros é imposta das seguintes formas: - Antes da composição do conteúdo protegido, os utilizadores que recebem o ficheiro por e-mail ou aos quais é dado acesso ao mesmo através de permissões de ficheiro ou de partilha têm de se autenticar com êxito. - Além disso, os direitos de utilização e a política que foram definidos pelo titular do conteúdo quando os ficheiros foram protegidos são aplicados quando o conteúdo é prestado no Azure Information Protection espectador (para ficheiros de texto e imagem protegidos) ou na aplicação associada (para todos os outros tipos de ficheiros suportados). |
A proteção do ficheiro é imposta da seguinte forma: - Antes de o conteúdo protegido ser prestado, deve ocorrer uma autenticação bem sucedida para pessoas autorizadas a abrir o ficheiro e ter acesso ao mesmo. Se a autorização falhar, o ficheiro não abre. - A política e os direitos de utilização definidos pelo proprietário do conteúdo são apresentados para informar os utilizadores autorizados acerca da política de utilização prevista. - Existe um registo de auditoria dos utilizadores autorizados que abrem e acedem aos ficheiros. No entanto, os direitos de utilização não são impostos. |
| Predefinição para tipos de ficheiro | Este é o nível de proteção predefinida para os seguintes tipos de ficheiro: - Ficheiros de texto e imagem - Ficheiros do Microsoft Office (Word, Excel, PowerPoint) - Formato Portable Document Dormat (.pdf) Para obter mais informações, consulte a secção seguinte, Tipos de ficheiros suportados para a classificação e proteção. |
Esta é a proteção predefinida para todos os outros tipos de ficheiro (tal como .vsdx, .rtf, entre outros) que não são suportados pela proteção nativa. |
Pode alterar o nível de proteção predefinido que o cliente do Azure Information Protection aplica. Pode alterar o nível predefinido de nativo para genérico, de genérico para nativo e até mesmo impedir que o cliente do Azure Information Protection aplique proteção. Para obter mais informações, consulte a secção Alterar o nível de proteção predefinido dos ficheiros neste artigo.
Esta proteção de dados pode ser aplicada automaticamente quando um utilizador seleciona uma etiqueta que um administrador tenha configurado ou, em alternativa, os utilizadores podem especificar as suas próprias definições de proteção personalizadas ao utilizar níveis de permissão.
Tamanhos de ficheiro suportados para proteção
Há tamanhos de ficheiro máximos que o cliente do Azure Information Protection suporta para proteção.
Para Office ficheiros:
Aplicação do Office Tamanho máximo do ficheiro suportado Word 2007 (suportado apenas pelo AD RMS)
Word 2010
Word 2013
Word 201632 bits: 512 MB
64 bits: 512 MBExcel 2007 (suportado apenas pelo AD RMS)
Excel 2010
Excel 2013
Excel 201632 bits: 2 GB
64 bits: limitado apenas pela memória e espaço disponível no discoPowerPoint 2007 (suportado apenas pelo AD RMS)
PowerPoint 2010
PowerPoint 2013
PowerPoint 201632 bits: limitado apenas pela memória e espaço disponível no disco
64 bits: limitado apenas pela memória e espaço disponível no discoPara todos os outros ficheiros:
Para proteger outros tipos de ficheiros e para abrir estes tipos de ficheiros no Azure Information Protection visualização: O tamanho máximo do ficheiro é limitado apenas pelo espaço e memória do disco disponíveis.
Para desprotegir ficheiros utilizando o cmdlet Unprotect-RMSFile : O tamanho máximo do ficheiro suportado para ficheiros .pst é de 5 GB. Outros tipos de ficheiros são limitados apenas pelo espaço e memória do disco disponível
Dica
Se precisar de pesquisar ou recuperar itens protegidos em ficheiros grandes .pst, consulte remover a proteção em ficheiros PST.
Tipos de ficheiros suportados para a classificação e proteção
A seguinte tabela lista um subconjunto de tipos de ficheiro que suportam a proteção nativa pelo cliente do Azure Information Protection e que também podem ser classificados.
Estes tipos de ficheiro são identificados separadamente, uma vez que, quando são protegidos nativamente, a extensão de nome de ficheiro original é alterada e estes ficheiros passam a ser só de leitura. Tenha em atenção que, quando os ficheiros são protegidos genericamente, a extensão de nome de ficheiro original é sempre alterada para .pfile.
Aviso
Se tiver firewalls, proxies web ou software de segurança que inspecionem e tomem medidas de acordo com as extensões de nome de ficheiros, poderá ser necessário reconfigurar estes dispositivos de rede e software para suportar estas novas extensões de nome de ficheiros.
| Extensão de nome de ficheiro original | Extensão de nome de ficheiro protegido |
|---|---|
| .txt | .ptxt |
| .xml | .pxml |
| .jpg | .pjpg |
| .jpeg | .pjpeg |
| .ppdf [1] | |
| .png | .ppng |
| .tif | .ptif |
| .tiff | .ptiff |
| .bmp | .pbmp |
| .gif | .pgif |
| .jpe | .pjpe |
| .jfif | .pjfif |
| .jt | .pjt |
Nota de rodapé 1
Com a versão mais recente do Azure Information Protection cliente, por padrão, a extensão do nome de ficheiro do documento PDF protegido permanece como .pdf.
A seguinte tabela apresenta os tipos de ficheiros restantes que suportam a proteção nativa pelo cliente do Azure Information Protection e que também podem ser classificados. Irá reconhecê-los como tipos de ficheiro das aplicações do Microsoft Office. Os formatos de ficheiros suportados para estes tipos de ficheiros são os formatos de ficheiros 97-2003 e Office formatos Open XML para os seguintes programas de Office: Word, Excel e PowerPoint.
Nestes ficheiros, a extensão de nome de ficheiro permanece igual depois de o ficheiro ser protegido pelo serviço Rights Management.
| Tipos de ficheiros suportados pelo Office | Tipos de ficheiros suportados pelo Office |
|---|---|
| .doc .docm .docx .dot .dotm .dotx .potm .potx .pps .ppsm .ppsx .ppt .pptm .pptx .vsdm |
.vsdx .vssm .vssx .vstm .vstx .xla .xlam .xls .xlsb .xlt .xlsm .xlsx .xltm .xltx .xps |
Alterar o nível de proteção predefinida dos ficheiros
Pode alterar a forma como o cliente do Azure Information Protection protege os ficheiros ao editar o registo. Por exemplo, pode forçar os ficheiros que suportam a proteção nativa a serem protegidos genericamente pelo cliente do Azure Information Protection.
Motivos pelos quais poderá escolher esta opção:
Para garantir que todos os utilizadores podem abrir o ficheiro se não tiverem uma aplicação que suporte a proteção nativa.
Para alojar sistemas de segurança que tomam ações em ficheiros com base na extensão de nome de ficheiro e podem ser reconfigurados para alojar a extensão de nome de ficheiro .pfile, mas não podem ser reconfigurados para alojar múltiplas extensões de nome de ficheiro para proteção nativa.
Da mesma forma, pode forçar o cliente do Azure Information Protection a aplicar proteção nativa aos ficheiros aos quais seria aplicada proteção genérica por predefinição. Esta ação poderá ser apropriada se tiver uma aplicação que suporte as APIs de RMS. Por exemplo, uma aplicação de linha de negócios escrita pelos seus desenvolvedores internos ou uma aplicação adquirida a um fornecedor de software independente (ISV).
Pode também forçar o cliente do Azure Information Protection a bloquear a proteção dos ficheiros (ou seja, não aplicar proteção nativa nem proteção genérica). Por exemplo, esta ação poderá ser necessária se tiver uma aplicação ou serviço automatizado que deve ser capaz de abrir um ficheiro específico para processar o seu conteúdo. Quando bloqueia a proteção de um tipo de ficheiro, os utilizadores não podem utilizar o cliente do Azure Information Protection para proteger um ficheiro desse tipo. Quando tentam, aparece uma mensagem a indicar que o administrador impediu a proteção e têm de cancelar a ação para proteger o ficheiro.
Para configurar o cliente do Azure Information Protection para aplicar uma proteção genérica a todos os ficheiros que, por predefinição, teriam uma proteção nativa aplicada, realize as seguintes edições de registo. Tenha em atenção que, se a chave FileProtection não existir, terá de a criar manualmente.
Crie uma nova chave com o nome * para o seguinte caminho de registo, que indica ficheiros com qualquer extensão de nome de ficheiro:
Para a versão de 32 bits do Windows: HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection
Para versão de 64 bits de Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\FileProtection e HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection
Na tecla recém-adicionada (por exemplo, HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\*), crie um novo valor de cadeia (REG_SZ) denominado Encriptação que tenha o valor de dados de Pfile.
Esta definição faz com que o cliente do Azure Information Protection aplique proteção genérica.
Estas duas definições fazem com que o cliente do Azure Information Protection aplique proteção genérica a todos os ficheiros que tenham uma extensão de nome de ficheiro. Se for este o objetivo, não é necessário efetuar mais configurações. Contudo, pode definir exceções para tipos de ficheiro específicos, para que ainda fiquem protegidos nativamente. Para isso, tem de fazer três edições adicionais de Windows registo para cada tipo de ficheiro de 32 bits (para 64 bits de Windows) para cada tipo de ficheiro:
Para HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection e HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\FileProtection (se aplicável): Adicione uma nova chave que tenha o nome da extensão do nome do ficheiro (sem o período anterior).
Por exemplo, para os ficheiros que tenham uma extensão de nome de ficheiro .docx, crie uma chave denominada DOCX.
Na chave do tipo de ficheiro recém-adicionada (por exemplo, HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\DOCX), crie um novo Valor DWORD com o nome AllowPFILEEncryption com um valor de 0.
Na chave do tipo de ficheiro recém-adicionada (por exemplo, HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\DOCX), crie um novo Valor de Cadeia com o nome Encriptação com o valor Nativo.
Como resultado destas definições, todos os ficheiros estão genericamente protegidos, exceto ficheiros que têm uma extensão de nome de ficheiro .docx. Estes ficheiros estão protegidos de forma nativa pelo cliente Information Protection Azure.
Repita estes três passos para os outros tipos de ficheiro que pretenda definir como exceções, uma vez que suportam a proteção nativa e não pretende que sejam protegidos genericamente pelo cliente do Azure Information Protection.
Pode efetuar edições de registo semelhantes para outros cenários ao alterar o valor da cadeia Encriptação que suporta os seguintes valores:
Pfile: proteção genérica
Nativo: proteção nativa
Desativado: bloquear proteção
Depois de fazer estas alterações de registo, não há necessidade de reiniciar o computador. No entanto, se estiver a utilizar comandos PowerShell para proteger ficheiros, tem de iniciar uma nova sessão PowerShell para que as alterações produzam efeitos.
Nesta documentação para programadores, a proteção genérica é referida como "PFile".
Tipos de ficheiros excluídos da classificação e proteção
Para ajudar a impedir que os utilizadores alterem os ficheiros que são críticos para operações informáticas, alguns tipos de ficheiro e pastas são automaticamente excluídos da proteção e da classificação. Se os utilizadores tentarem classificar ou proteger estes ficheiros utilizando o cliente Azure Information Protection, vêem uma mensagem de que estão excluídos.
Tipos de ficheiros excluídos: .lnk, .exe, .com, .cmd, .bat, .dll, .ini, .pst, .sca, .drm, .sys, .cpl, .inf, .drv, .dat, .tmp, .msg,.msp, .msi, .pdb, .jar
Pastas excluídas:
- Windows
- Programas (\Programas e \Programas (x86))
- \ProgramData
- \AppData (para todos os utilizadores)
Tipos de ficheiros excluídos da classificação e proteção pelo scanner Azure Information Protection
Por padrão, o scanner também exclui os mesmos tipos de ficheiros que o Azure Information Protection cliente com as seguintes exceções:
- .rtf, e .rar, também estão excluídos
Pode alterar os tipos de ficheiros incluídos ou excluídos para inspeção de ficheiros pelo scanner:
- Configurar os tipos de ficheiros para digitalizar o perfil do scanner, utilizando o portal do Azure.
Nota
Se incluir .rtf ficheiros para digitalização, monitorize cuidadosamente o scanner. Alguns ficheiros .rtf não podem ser inspecionados com sucesso pelo scanner e para estes ficheiros, a inspeção não está completa e o serviço deve ser reiniciado.
Por padrão, o scanner protege apenas Office tipos de ficheiros e ficheiros PDF quando estão protegidos utilizando a norma ISO para encriptação PDF. Para alterar este comportamento para o scanner, edite o registo e especifique os tipos de ficheiros adicionais que pretende proteger. Para obter instruções, consulte utilize o registo para alterar quais os tipos de ficheiros protegidos das instruções de implantação do scanner.
Ficheiros que não podem ser protegidos por defeito
Qualquer ficheiro protegido por palavra-passe não pode ser protegido de forma nativa pelo cliente Azure Information Protection, a menos que o ficheiro esteja atualmente aberto no pedido que aplica a proteção. A maioria das vezes vê ficheiros PDF protegidos por palavra-passe, mas outras aplicações, como Office aplicações, também oferecem esta funcionalidade.
Se alterar o comportamento padrão do cliente Azure Information Protection de modo a proteger ficheiros PDF com uma extensão de nome de ficheiro .ppdf, o cliente não pode proteger ou desprotegir ficheiros PDF em qualquer uma das seguintes circunstâncias:
Um ficheiro PDF que é baseado em formulários.
Um ficheiro PDF protegido que tem uma extensão de nome de ficheiro .pdf.
O Azure Information Protection cliente pode proteger um ficheiro PDF desprotegido, e pode desprotegir e reprotegir um ficheiro PDF protegido quando tem uma extensão de nome de ficheiro .ppdf.
Limitações para ficheiros de contentores, tais como ficheiros .zip
Para mais informações, consulte a recolha de limitações Information Protection Azure.
Tipos de ficheiros suportados para inspeção
Sem qualquer configuração adicional, o cliente Azure Information Protection utiliza Windows IFilter para inspecionar o conteúdo dos documentos. Windows IFilter é usado pela Windows Search for indexing. Como resultado, os seguintes tipos de ficheiros podem ser inspecionados quando utilizar o scanner Azure Information Protection ou o comando Set-AIPFileClassification PowerShell.
| Tipo de aplicação | Tipo de arquivo |
|---|---|
| Word | .doc; docx; .docm; .dot; .dotm; .dotx |
| Excel | .xls; .xlt; .xlsx; .xltx; .xltm; .xlsm; .xlsb |
| PowerPoint | .ppt; .pps; .pot; .pptx; .ppsx; .pptm; .ppsm; .potx; .potm |
| Texto | .txt; .xml; .csv |
Com configuração adicional, outros tipos de ficheiros também podem ser inspecionados. Por exemplo, pode registar uma extensão de nome de ficheiro personalizado para utilizar o manipulador de filtros Windows existente para ficheiros de texto, e pode instalar filtros adicionais a partir de fornecedores de software.
Para verificar que filtros estão instalados, consulte o Manipulador de Filtros para uma secção de extensão de ficheiro dada a partir do Guia do Programador de Pesquisa de Windows.
As seguintes secções têm instruções de configuração para inspecionar ficheiros .zip e .tiff ficheiros.
Para inspecionar ficheiros .zip
O scanner Azure Information Protection e o comando Set-AIPFileClassification PowerShell podem inspecionar ficheiros .zip quando segue estas instruções:
Para o computador que executa o scanner ou a sessão PowerShell, instale o filter Pack SP2 Office 2010.
Para o scanner: Depois de encontrar informações sensíveis, se o ficheiro .zip deve ser classificado e protegido com uma etiqueta, adicione uma entrada de registo para esta extensão de nome de ficheiro para ter proteção genérica (pfile), conforme descrito em Utilizar o registo para alterar quais os tipos de ficheiros que estão protegidos das instruções de implantação do scanner.
Cenário de exemplo depois de fazer estes passos:
Um ficheiro chamado accounts.zip contém folhas de cálculo Excel com números de cartão de crédito. A sua política de Information Protection Azure tem uma etiqueta chamada Confidencial \ Finanças, que está configurada para descobrir números de cartões de crédito, e aplicar automaticamente o rótulo com proteção que restringe o acesso ao grupo Finanças.
Após a inspeção do ficheiro, o scanner classifica este ficheiro como Confidencial \ Finanças, aplica proteção genérica ao ficheiro para que apenas os membros dos grupos Financeiros possam desapertá-lo e renomear o ficheiro accounts.zip.pfile.
Para inspecionar .tiff ficheiros utilizando o OCR
O scanner Azure Information Protection e o comando Set-AIPFileClassiciation PowerShell podem utilizar o reconhecimento de caracteres óticos (OCR) para inspecionar imagens TIFF com uma extensão de nome de ficheiro .tiff quando instalar a função Windows TIFF IFilter e, em seguida, configurar Windows IFilter TIFF Definições no computador que executa o scanner ou a sessão PowerShell.
Para o scanner: Depois de encontrar informações sensíveis, se o ficheiro .tiff deve ser classificado e protegido com uma etiqueta, adicione uma entrada de registo para esta extensão de nome de ficheiro para ter proteção nativa, conforme descrito no Registo para alterar quais os tipos de ficheiros protegidos das instruções de implantação do scanner.
Passos seguintes
Agora que identificou os tipos de ficheiros suportados pelo cliente Azure Information Protection, consulte os seguintes recursos para obter informações adicionais que poderá necessitar para apoiar este cliente: