Руководство администратора. Пользовательские конфигурации для классического клиента Azure Information Protection
Используйте следующие сведения для расширенных конфигураций, которые могут понадобиться для определенных сценариев или групп пользователей при управлении клиентом Azure Information Protection.
Для одних параметров требуется изменение реестра, а для других используются расширенные настройки, которые нужно указать на портале Azure, а затем опубликовать для скачивания клиентами.
Настройка расширенных классических параметров конфигурации клиента на портале
Если вы еще этого не сделали, в новом окне браузера войдите в портал Azure и перейдите на панель Information Protection Azure.
В меню"Метки классификаций>" выберите "Политики".
На панели "Azure Information Protection — политики" выберите контекстное меню (...) рядом с политикой, чтобы содержать дополнительные параметры. Затем выберите Расширенные параметры.
Вы можете настроить расширенные параметры для глобальной политики и политик в области.
В области "Дополнительные параметры" введите имя и значение расширенного параметра, а затем нажмите кнопку "Сохранить и закрыть".
Убедитесь, что пользователи этой политики перезапустили все открытые приложения Office.
Если вам больше не нужен параметр и вы хотите вернуться к поведению по умолчанию: на панели "Дополнительные параметры " выберите контекстное меню (...) рядом с параметром, который больше не нужен, и нажмите кнопку "Удалить". Затем щелкните Сохранить и закрыть.
Доступные расширенные классические параметры клиента
Запрет запросов на вход только на компьютерах AD RMS
По умолчанию клиент Azure Information Protection автоматически пытается подключиться к службе Azure Information Protection. На компьютерах, которые обмениваются данными только с AD RMS, такая конфигурация может привести к появлению ненужного запроса на вход. Отображение этого запроса на вход можно предотвратить, отредактировав реестр.
Найдите приведенное ниже имя параметра и задайте ему значение 0.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Независимо от этого параметра клиент Azure Information Protection по-прежнему следует стандартному процессу обнаружения службы RMS для поиска своего кластера AD RMS.
Вход от имени другого пользователя
При использовании клиента Azure Information Protection в рабочей среде обычно не требуется входить от имени другого пользователя. Тем не менее на этапе тестирования администратору может понадобится войти от имени другого пользователя.
В диалоговом окне Microsoft Azure Information Protection можно увидеть учетную запись, с помощью которой выполнен вход. Откройте приложение Office и на вкладке Главная в группе Защита щелкните Защитить, а затем — Справка и отзывы. Имя учетной записи отображается в разделе Статус клиента.
Обязательно проверьте доменное имя отображаемой учетной записи. Легко не заметить, что вы вошли в систему, используя правильное имя учетной записи, но неверный домен. Если вы не можете скачать политику Azure Information Protection, не видите метки или не получаете ожидаемые результаты других действий, возможно, вы используете неправильную учетную запись.
Чтобы войти от имени другого пользователя, сделайте следующее:
Перейдите к папке %localappdata%\Microsoft\MSIP и удалите файл TokenCache.
Перезапустите все открытые приложения Office и войдите с помощью учетной записи другого пользователя. Если в приложении Office не отображается запрос для входа в службу Azure Information Protection, вернитесь в диалоговое окно Microsoft Azure Information Protection и нажмите кнопку Войти в обновленном разделе Статус клиента.
Дополнительно:
Если после выполнения этих действий клиент Azure Information Protection по-прежнему выполняет вход с использованием старой учетной записи, удалите все файлы cookie из Internet Explorer и повторите шаги 1 и 2.
Если вы используете единый вход, после удаления файла токена вам нужно выйти из Windows и войти с помощью другой учетной записи. Клиент Azure Information Protection автоматически выполнит аутентификацию с помощью учетной записи, под которой пользователь вошел в систему.
Это решение поддерживает вход от имени другого пользователя из того же клиента, но не поддерживает вход от имени другого пользователя из другого клиента. Протестировать Azure Information Protection с использованием нескольких клиентов можно на разных компьютерах.
Можно использовать сброс параметров на странице Справка и обратная связь, чтобы выйти из системы и удалить загруженные политики Azure Information Protection.
Принудительное применение режима "Только защита", когда организация использует несколько лицензий
Если в вашей организации нет лицензий для Azure Information Protection, но есть лицензии для Microsoft 365, включающих службу Azure Rights Management для защиты данных, классический клиент AIP автоматически выполняется в режиме защиты.
Но если у вашей организации есть подписка на службу Azure Information Protection, по умолчанию политику Azure Information Protection можно скачать на все компьютеры. Для запуска клиента Azure Information Protection не требуется проверка лицензии и принудительное применение.
Если у вас есть некоторые пользователи, у которых нет лицензии для Azure Information Protection но есть лицензия на Microsoft 365, которая включает службу Azure Rights Management, измените реестр на компьютерах этих пользователей, чтобы запретить пользователям запускать нелицензированные функции классификации и меток из Azure. Information Protection.
Найдите приведенное ниже имя параметра и задайте ему значение 0.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Кроме того, убедитесь, что на этих компьютерах в папке %LocalAppData%\Microsoft\MSIP нет файла с именем Policy.msip. Если этот файл существует, удалите его. Этот файл содержит политику Azure Information Protection. Он мог быть скачан перед изменением реестра или установлен вместе с клиентом Azure Information Protection в режиме демоверсии.
Добавление элемента "Сообщить о проблеме" для пользователей
В этой конфигурации используется расширенный клиентский параметр, который нужно настроить на портале Azure.
Если указать следующий дополнительный параметр клиента, пользователи видят параметр Сообщить о проблеме, который можно выбрать в диалоговом окне клиента Справка и отзывы. Укажите HTTP-строку для ссылки. Например, это может быть настроенная веб-страница, с которой пользователи могут сообщить о проблеме, или адрес электронной почты службы поддержки.
Чтобы настроить этот расширенный параметр, введите следующие строки:
Ключ: ReportAnIssueLink
Значение: <СТРОКА> HTTP
Пример значения для веб-сайта: https://support.contoso.com
Пример значения для адреса электронной почты: mailto:helpdesk@contoso.com
Скрытие пункта меню "Классификация и защита" в проводнике Windows
Создайте следующее имя параметра DWORD (с любыми связанными данными):
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable.
Поддержка отключенных компьютеров
По умолчанию клиент Azure Information Protection автоматически пытается подключиться к службе Azure Information Protection, чтобы скачать последнюю политику Azure Information Protection. Если у вас есть компьютеры, которые вы знаете, не смогут подключаться к Интернету в течение определенного периода времени, вы можете запретить клиенту пытаться подключиться к службе, изменив реестр.
Обратите внимание, что без подключения к Интернету клиент не может применить защиту (или удалить защиту) с помощью облачного ключа вашей организации. Клиент сможет использовать метки только для классификации или защиты через HYOK.
Появление запроса на вход в службу Azure Information Protection можно предотвратить с помощью расширенного клиентского параметра. Необходимо настроить этот параметр на портале Azure, а затем загрузить политику для компьютеров. Отображение этого запроса на вход можно также предотвратить, отредактировав реестр.
Чтобы настроить расширенный клиентский параметр:
Введите следующие строки:
Ключ: PullPolicy.
значение: False.
Загрузите политику с этим параметром и установите ее на компьютерах с помощью следующих инструкций.
Кроме того, чтобы внести правки в реестр:
Найдите приведенное ниже имя параметра и задайте ему значение 0.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Клиент должен иметь действительный файл политики с именем Policy.msip в папке %LocalAppData%\Microsoft\MSIP.
Глобальную политику или политику с заданной областью можно экспортировать с портала Azure, а затем скопировать экспортированный файл на клиентский компьютер. Этот метод также позволяет заменить устаревший файл политики последним файлом. Но экспорт политики не удастся выполнить, если пользователь принадлежит к одной или нескольким политикам с заданной областью. Также имейте в виду, что если пользователи выбирают параметр Сбросить параметры в разделе справки и обратной связи, это действие удаляет файл политики и делает клиент неработоспособным до тех пор, пока вы не замените файл политики вручную или клиент не подключится к службе для загрузки политики.
Когда вы экспортируете политику с портала Azure, загружается ZIP-файл, содержащий несколько версий политики. Эти версии политики соответствуют различным версиям клиента Azure Information Protection:
Распакуйте файл и воспользуйтесь сведениями в следующей таблице, чтобы определить необходимый вам файл политики.
Имя файла Соответствующая версия клиента Policy1.1.msip версия 1.2 Policy1.2.msip версия 1.3–1.7 Policy1.3.msip версия 1.8–1.29 Policy1.4.msip версия 1.32 и более поздние Переименуйте нужный файл на Policy.msip, а затем скопируйте его в папку %LocalAppData%\Microsoft\MSIP на компьютерах, где установлен клиент Azure Information Protection.
Если отключенный компьютер работает под управлением текущей общедоступной версии сканера azure Information Protection, необходимо выполнить дополнительные действия по настройке. Дополнительные сведения см. в разделе "Ограничение". Сервер сканера не может иметь подключение к Интернету в предварительных требованиях к развертыванию сканера.
Скрытие или отображение кнопки "Не пересылать" в Outlook
Чтобы настроить этот параметр, рекомендуется воспользоваться параметром политикиAdd the Do Not Forward button to the Outlook ribbon (Добавить кнопку "Не пересылать" на ленту Outlook). Однако этот параметр также можно настроить с помощью дополнительного параметра клиента, настраиваемого на портале Azure.
При настройке этого параметра будет скрыта или показана кнопка Не пересылать на ленте в Outlook. Этот параметр не влияет на пункт "Не пересылать" в меню Office.
Чтобы настроить этот расширенный параметр, введите следующие строки:
ключ: DisableDNF;
значение: True для скрытия кнопки или False для отображения кнопки.
Включение или отключение параметров настраиваемых разрешений для пользователей
Чтобы настроить этот параметр, рекомендуется воспользоваться параметром политикиMake the custom permissions option available for users (Включить параметр настраиваемых разрешений для пользователей). Однако этот параметр также можно настроить с помощью дополнительного параметра клиента, настраиваемого на портале Azure.
После настройки этого параметра и публикации политики для пользователей параметры настраиваемых разрешений становятся доступны пользователям для самостоятельного выбора параметров защиты либо недоступны, чтобы пользователи не могли выбирать собственные параметры защиты, если не будет выведен соответствующий запрос.
Чтобы настроить этот расширенный параметр, введите следующие строки:
ключ: EnableCustomPermissions;
Значение: True, чтобы отобразить параметр настраиваемых разрешений или False, чтобы скрыть этот параметр
Для файлов, защищенных с помощью настраиваемых разрешений, всегда отображать настраиваемые разрешения у пользователей в проводнике
В этой конфигурации используется расширенный клиентский параметр, который нужно настроить на портале Azure.
При настройке политикиСделать доступным параметр настраиваемых разрешений для пользователей или эквивалентного расширенного параметр клиента в предыдущем разделе пользователи не смогут просмотреть или изменить настраиваемые разрешения, которые уже заданы в защищенном документе.
Если вы создали и настроили этот расширенный параметр клиента, пользователи смогут просматривать и изменять настраиваемые разрешения защищенного документа при использовании проводника, щелкнув файл правой кнопкой мыши. Команда Настраиваемые разрешения в составе кнопки Защита на ленте Office не отображается.
Чтобы настроить этот расширенный параметр, введите следующие строки:
Ключ: EnableCustomPermissionsForCustomProtectedFiles
Значение: True
Примечание
Сейчас эта функция доступна в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Окончательное скрытие панели Azure Information Protection
В этой конфигурации используется расширенный клиентский параметр, который нужно настроить на портале Azure. Используйте его, только если для параметра политикиDisplay the Information Protection bar in Office apps (Отображать панель Information Protection в приложениях Office) задано значение Вкл.
По умолчанию, если пользователь снимает флажок Отображать панель на вкладке Главная в группе Защита под кнопкой Защита, панель Information Protection больше не отображается в таком приложении Office. Тем не менее, она автоматически отображается снова при очередном открытии приложения Office.
Для предотвращения автоматического отображения строки после того, как пользователь решает скрыть ее, используйте этот параметр клиента. Этот параметр не действует, если пользователь закрыл панель с помощью значка Закрыть панель.
Хотя панель Azure Information Protection остается скрытой, пользователи смогут выбрать метку на временно отображаемой панели, если вы настроили рекомендуемую классификацию или документ либо сообщение электронной почты должны содержать метку.
Чтобы настроить этот расширенный параметр, введите следующие строки:
ключ: EnableBarHiding;
Значение: True
Включение поддержки упорядочения вложенных меток с вложениями
В этой конфигурации используется расширенный клиентский параметр, который нужно настроить на портале Azure.
Используйте этот параметр, если у вас есть вложенные метки и вы настроили следующий параметр политики:
- For email messages with attachments, apply a label that matches the highest classification of those attachments (Для сообщений электронной почты с вложениями применять метку, соответствующую наивысшей классификации для этих вложений)
Настройте следующие строки:
Ключ: CompareSubLabelsInAttachmentAction
Значение: True
Без этого параметра первая метка в родительской метке с наивысшей классификацией применяется к сообщению электронной почты.
Без этого параметра первая метка в родительской метке с наивысшей классификацией применяется к сообщению электронной почты. Если требуется изменить порядок меток, чтобы применить нужную метку для этого сценария, см. руководство по удалению или упорядочиванию меток для Azure Information Protection.
Исключение Outlook сообщений из обязательных меток
В этой конфигурации используется расширенный клиентский параметр, который нужно настроить на портале Azure.
По умолчанию при включении параметра политикивсе документы и сообщения электронной почты должны иметь метку, все сохраненные документы и отправленные сообщения должны иметь примененную метку. При настройке следующего расширенного параметра параметр политики применяется только к Office документам, а не к Outlook сообщениям.
Чтобы настроить этот расширенный параметр, введите следующие строки:
Ключ: DisableMandatoryInOutlook
Значение: True
Включение рекомендуемой классификации в Outlook
В этой конфигурации используется расширенный клиентский параметр, который нужно настроить на портале Azure.
При настройке метки для рекомендуемой классификации пользователям предлагается принять или отклонить рекомендуемую метку в Word, Excel и PowerPoint. Этот параметр расширяет рекомендацию до отображения метки в Outlook.
Чтобы настроить этот расширенный параметр, введите следующие строки:
Ключ: OutlookRecommendationEnabled
Значение: True
Примечание
Сейчас эта функция доступна в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Реализация всплывающих сообщений в Outlook, позволяющих предупреждать, обосновывать или блокировать отправку сообщений электронной почты
В этой конфигурации используются несколько дополнительных параметров клиента, которые нужно настроить на портале Azure.
Если вы создали и настроили этот расширенный параметр клиента, пользователи смогут видеть всплывающие сообщения в Outlook, которые могут содержать предупреждение перед отправкой сообщения электронной почты, запрашивать причину, по которой они отправляют сообщения электронной почты, или предотвратить отправку сообщений в каких-либо из следующих сценариев.
Их сообщения или вложения электронной почты имеют определенную метку:
- вложения могут иметь любой тип файла
Их сообщения или вложения электронной почты не имеют определенной метки:
- вложение может быть документом Office или PDF-документом
При выполнении этих условий пользователь видит всплывающее сообщение с одним из следующих действий:
Предупреждение: пользователь может подтвердить и отправить или отменить.
Обоснование: пользователю предлагается обоснование (предопределенные параметры или свободная форма). Пользователь может затем отправить или отменить сообщение электронной почты. Обоснование письма заносится в его x-заголовок; таким образом, он может быть прочитан другими системами. Например, это могут быть службы предотвращения потери данных.
Блокировать: пользователю запрещено отправлять сообщение электронной почты во время сохранения условия. Сообщение содержит причину блокировки сообщения электронной почты, поэтому пользователь может решить проблему. Например, он может удалить некоторых получателей или отметить сообщение электронной почты меткой.
Если всплывающие сообщения предназначены для определенной метки, можно настроить исключения для получателей по доменному имени.
Полученные действия из всплывающих сообщений записываются в локальный журнал событий Windows приложения и журналы> службAzure Information Protection:
Сообщения с предупреждениями: Идентификатор информации 301
Сообщения с обоснованиями: Идентификатор информации 302
Сообщения о блокировке: Идентификатор информации 303
Пример записи события из сообщения с обоснованием:
Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Price list.msg
Item Name: Price list
Process Name: OUTLOOK
Action: Justify
User Justification: My manager approved sharing of this content
Action Source:
User Response: Confirmed
В следующих разделах содержатся инструкции по настройке каждого расширенного параметра клиента, и их можно увидеть самостоятельно с помощью руководства. Настройка Azure Information Protection для управления доступом к информации с помощью Outlook.
Чтобы реализовать всплывающие сообщения для предупреждения, обоснования или блокировки для определенных меток:
Чтобы реализовать всплывающие сообщения для определенных меток, необходимо знать идентификатор метки. Значение идентификатора метки отображается на панели меток при просмотре или настройке политики Information Protection Azure в портал Azure. Для файлов, к которым применены метки, можно также выполнить командлет PowerShell Get-AIPFileStatus, чтобы определить идентификатор метки (MainLabelId или SubLabelId). Если метка имеет вложенные метки, всегда указывайте идентификатор вложенной метки, а не родительской.
Создайте приведенные ниже расширенные параметры (один или несколько) клиента со следующими ключами. Для значений укажите метки по идентификаторам, разделяя их запятой.
Пример значения для нескольких идентификаторов меток в виде строки с разделителями-запятыми: dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
Сообщения с предупреждениями:
Ключ: OutlookWarnUntrustedCollaborationLabel
Значение: <идентификаторы меток, разделенные запятыми>
Сообщения с обоснованиями:
Ключ: OutlookJustifyUntrustedCollaborationLabel
Значение: <идентификаторы меток, разделенные запятыми>
Сообщения о блокировке:
Ключ: OutlookBlockUntrustedCollaborationLabel
Значение: <идентификаторы меток, разделенные запятыми>
Исключение доменных имен для всплывающих сообщений, настроенных для определенных меток
Для меток, указанных в этих всплывающих сообщениях, можно исключить определенные доменные имена, чтобы пользователи не видели сообщения для получателей с таким доменным именем, включенным в свой адрес электронной почты. В этом случае сообщения будут отправляться без прерывания. Чтобы указать несколько доменов, добавьте их в виде одной строки, разделяя запятыми.
Типичная конфигурация — отображение всплывающих сообщений только для получателей, которые являются внешними по отношению к вашей организации или которые не входят в число авторизованных партнеров вашей организации. В этом случае указываются все домены электронной почты, которые используются в вашей организации и у ваших партнеров.
Создайте следующие расширенные параметры клиента и для значения укажите один или несколько доменов, каждый из которых отделен запятой.
Пример значения для нескольких доменов в виде строки с разделителями-запятыми: contoso.com,fabrikam.com,litware.com
Сообщения с предупреждениями:
Ключ: OutlookWarnTrustedDomains
Значение: <доменные имена, разделенные запятыми>
Сообщения с обоснованиями:
Ключ: OutlookJustifyTrustedDomains
Значение: <доменные имена, разделенные запятыми>
Сообщения о блокировке:
Ключ: OutlookBlockTrustedDomains
Значение: <доменные имена, разделенные запятыми>
Например, вы указали расширенный параметр клиента OutlookBlockUntrustedCollaborationLabel для метки "Конфиденциально\ Все сотрудники ". Теперь вы указываете дополнительный дополнительный параметр клиента OutlookBlockTrustedDomains и contoso.com. В результате пользователь может отправить сообщение электронной почты, когда оно помечено как конфиденциальное \ Все сотрудники, но будет заблокировано отправлять сообщение john@sales.contoso.com электронной почты с той же меткой в учетную запись Gmail.
Чтобы реализовать всплывающие сообщения для предупреждения, обоснования или блокировки для сообщений и вложений, у которых нет метки:
Создайте приведенные ниже расширенные параметры клиента со следующими значениями.
Сообщения с предупреждениями:
Ключ: OutlookUnlabeledCollaborationAction
Значение: Предупреждение
Сообщения с обоснованиями:
Ключ: OutlookUnlabeledCollaborationAction
Значение: "Оправдание"
Сообщения о блокировке:
Ключ: OutlookUnlabeledCollaborationAction
Значение: блокировать
Отключите эти сообщения:
Ключ: OutlookUnlabeledCollaborationAction
Значение: off
Определение определенных расширений имен файлов для предупреждений, оправданий или блокирования всплывающих сообщений для вложений электронной почты без метки
По умолчанию предупреждения, обоснования или блокировки всплывающих сообщений применяются ко всем Office документам и PDF-документам. Этот список можно уточнить, указав, какие расширения имен файлов должны отображать предупреждения, оправдать или блокировать сообщения с дополнительным расширенным свойством клиента и разделенным запятыми расширениями имен файлов.
Пример значения для нескольких расширений имен файлов для определения в виде строки, разделенной запятыми: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM
В этом примере документ PDF без метки не приведет к предупреждению, оправданию или блокировке всплывающих сообщений.
Ключ: OutlookOverrideUnlabeledCollaborationExtensions
Значение: <расширения имени файла для отображения сообщений, разделенные запятыми>
Указание другого действия для сообщений электронной почты без вложений
По умолчанию значение, указываемое для OutlookUnlabeledCollaborationAction для предупреждения, обоснования или блокировки всплывающих сообщений, применяется к сообщениям электронной почты или вложениям, у которых нет метки. Эту конфигурацию можно уточнить, указав еще один дополнительный параметр клиента для сообщений электронной почты без вложений.
Создайте приведенные ниже расширенные параметры клиента со следующими значениями.
Сообщения с предупреждениями:
Ключ: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Значение: Предупреждение
Сообщения с обоснованиями:
Ключ: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Значение: "Оправдание"
Сообщения о блокировке:
Ключ: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Значение: блокировать
Отключите эти сообщения:
Ключ: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Значение: off
Если этот параметр клиента не указан, значение, указанное для OutlookUnlabeledCollaborationAction, используется для неназначенных сообщений электронной почты без вложений, а также для сообщений электронной почты без меток с вложениями.
Установка другой метки по умолчанию для Outlook
В этой конфигурации используется расширенный клиентский параметр, который нужно настроить на портале Azure.
При настройке этого параметра Outlook не применяет метку по умолчанию, настроенную в политике Azure Information Protection, для параметра Выберите метку по умолчанию. Вместо этого Outlook может применить другую метку по умолчанию или не применять никакую.
Чтобы применить другую метку, необходимо указать идентификатор метки. Значение идентификатора метки отображается на панели меток при просмотре или настройке политики Information Protection Azure в портал Azure. Для файлов, к которым применены метки, можно также выполнить командлет PowerShell Get-AIPFileStatus, чтобы определить идентификатор метки (MainLabelId или SubLabelId). Если метка имеет вложенные метки, всегда указывайте идентификатор вложенной метки, а не родительской.
Чтобы приложение Outlook не применяло метку по умолчанию, укажите Нет.
Чтобы настроить этот расширенный параметр, введите следующие строки:
Ключ: OutlookDefaultLabel
Значение: < идентификатор >метки или none
Настройка метки для применения защиты S/MIME в Outlook
В этой конфигурации используется расширенный клиентский параметр, который нужно настроить на портале Azure.
Используйте этот параметр, только если у вас есть работающее развертывание S/MIME и вы хотите, чтобы метка автоматически применяла для сообщений электронной почты этот метод защиты, а не защиту Rights Management из службы Azure Information Protection. Итоговая защита будет такой же, как в случае, когда пользователь вручную выбирает параметры S/MIME в Outlook.
Эта конфигурация требует указания расширенного клиентского параметра LabelToSMIME для каждой метки Azure Information Protection, которая должна применять защиту S/MIME. Затем укажите для каждой записи значение, используя следующий синтаксис:
[Azure Information Protection label ID];[S/MIME action]
Значение идентификатора метки отображается на панели меток при просмотре или настройке политики Information Protection Azure в портал Azure. Чтобы использовать S/MIME c вложенной меткой, всегда указывайте идентификатор вложенной метки, а не родительской. При указании вложенной метки родительская метка должна быть включена в ту же область или глобальную политику.
Действие S/MIME может быть таким:
Sign;Encrypt: для применения цифровой подписи и шифрования S/MIME.Encrypt: для применения только шифрования S/MIME.Sign: для применения только цифровой подписи.
Примеры значений для идентификатора метки dcf781ba-727f-4860-b3c1-73479e31912b:
Для применения цифровой подписи и шифрования S/MIME:
dcf781ba-727f-4860-b3c1-73479e31912b;Sign;Encrypt
Для применения только шифрования S/MIME:
dcf781ba-727f-4860-b3c1-73479e31912b;Encrypt
Для применения только цифровой подписи:
dcf781ba-727f-4860-b3c1-73479e31912b;Sign
В результате этой настройки при применении метки для сообщения электронной почты в дополнение к конфигурации метки к нему также применяется защита S/MIME.
Если указанная метка настроена для защиты Rights Management на портале Azure, защита S/MIME заменяет защиту Rights Management только в Outlook. Для всех других сценариев, которые поддерживают метки, будет применяться защита Rights Management.
Если вы хотите, чтобы метка отображалась только в Outlook, настройте метку так, чтобы она применяла единое определяемое пользователем действие Не пересылать, как описано в статье Краткое руководство. Настройка метки, позволяющей пользователям защищать сообщения электронной почты с конфиденциальными сведениями.
При использовании обязательной маркировки, удалите параметр "Не сейчас" для документов
В этой конфигурации используется расширенный клиентский параметр, который нужно настроить на портале Azure.
При использовании Параметр политикиУ всех документов и электронных писем должна быть метка, пользователям предлагается выбрать метку в момент их первого сохранения документа Office или в момент отправки электронной почти. Для документов пользователи могут выбрать параметр Не сейчас, чтобы временно отключить строку, в которой можно выбрать метку и вернуться к документу. Тем не менее они не могут закрыть сохраненный документ без маркировки.
При настройке этого параметра он удалит параметр Не сейчас, чтобы пользователь смог выбрать метку при первом сохранении документа.
Чтобы настроить этот расширенный параметр, введите следующие строки:
Ключ: PostponeMandatoryBeforeSave
значение: False.
Чтобы выполнение непрерывно проходило в фоновом режиме включите классификацию
В этой конфигурации используется расширенный клиентский параметр, который нужно настроить на портале Azure.
При настройке этого параметра изменяется поведение по умолчанию в отношении того, как клиент Azure Information Protection применяет автоматические и рекомендуемые метки к документам:
Для Word, Excel и PowerPoint автоматическая классификация непрерывно выполняется в фоновом режиме.
Это поведение не меняется для Outlook.
Когда клиент Azure Information Protection периодически проверяет документы на наличие указанных правил условий, это поведение обеспечивает автоматическую и рекомендуемую классификацию и защиту документов, хранящихся в Microsoft SharePoint. Кроме того, обеспечивается более быстрое сохранение больших файлов, так как условное правило уже было выполнено.
Условные правила не выполняются в режиме реального времени как пользовательские типы. В случае изменения документа они выполняются периодически как фоновая задача.
Чтобы настроить этот расширенный параметр, введите следующие строки:
Ключ: RunPolicyInBackground
Значение: True
Примечание
Сейчас эта функция доступна в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Не защищайте PDF-файлы с помощью стандарта ISO для шифрования PDF
В этой конфигурации используется расширенный клиентский параметр, который нужно настроить на портале Azure.
При защите PDF-файла с помощью текущей версии клиента Azure Information Protection расширение полученного файла остается прежним (PDF), а файл соответствует стандарту ISO для шифрования PDF. Дополнительные сведения об этом стандарте см. в разделе 7.6. Шифрование из документа, который является производным от ISO 32000-1 и опубликован Adobe Systems Incorporated.
Если необходимо, чтобы клиент работал как в прежних своих версиях, т. е. защищал PDF-файлы, используя расширение PPDF, используйте следующий дополнительный параметр, добавив такую строку.
Ключ: EnablePDFv2Protection
значение: False.
Например, этот параметр может потребоваться настроить для всех пользователей, если применяется средство чтения PDF-файлов, которое не поддерживает стандарт ISO для шифрования PDF. Или же вы можете настроить его для некоторых пользователей в случае поэтапной смены средства чтения PDF для поддержки нового формата. Другой возможной причиной использования этого параметра является необходимость добавить защиту к подписываемым PDF-документам. К подписанным PDF-документам можно применить дополнительную защиту с помощью формата PPDF, которая реализуется в виде оболочки для файла.
Чтобы средство проверки Azure Information Protection использовало новый параметр, необходимо перезапустить службу средства проверки. Кроме того, средство проверки больше не будет защищать документы PDF по умолчанию. Если вы хотите, чтобы pdf-документы были защищены сканером, если параметру EnablePDFv2Protection присвоено значение False, необходимо изменить реестр.
Дополнительные сведения о новом шифровании формата PDF см. в записи блога, посвященной новой поддержке шифрования формата PDF с помощью Microsoft Information Protection.
Список модулей чтения PDF, поддерживающих стандарт ISO для шифрования PDF, и модулей чтения, которые поддерживают старые форматы, см. в разделе Модули чтения PDF, поддерживаемые Microsoft Information Protection.
Преобразование существующих PPDF-файлов в защищенные PDF-файлы
После скачивания клиентом Azure Information Protection политики клиента с новым параметром вы можете использовать команды PowerShell для преобразования существующих PPDF-файлов в защищенные PDF-файлы, которые используют стандарт ISO для шифрования формата PDF.
Чтобы использовать следующие инструкции для файлов, которые вы не защитили, необходимо иметь право на использование Rights Management для снятия защиты с файлов либо быть суперпользователем. Чтобы включить функцию суперпользователя и настроить учетную запись для нее, обратитесь к статье Настройка суперпользователей для Azure Rights Management, служб обнаружения и восстановления данных.
Кроме того, если вы используете эти инструкции для файлов, которые защитили не вы, вы становитесь издателем RMS. В этом сценарии пользователь, первоначально защитивший документ, больше не может отслеживать и отзывать его. Если пользователям нужно отслеживать и отзывать свои защищенные PDF-документы, попросите их вручную удалить, а затем повторно применить метку с помощью проводника, щелкнув файл правой кнопкой мыши.
Чтобы выполнить команды PowerShell для преобразования существующих PPDF-файлов в защищенные PDF-файлы, использующие стандарт ISO для шифрования формата PDF:
Используйте Get-AIPFileStatus с PPDF-файлом. Пример:
Get-AIPFileStatus -Path \\Finance\Projectx\sales.ppdfИз выходных данных запишите следующие значения параметров:
Значение (GUID) для SubLabelId, если таковое имеется. Если это значение пустое, значит вложенная метка не используется, поэтому вместо этого запишите значение для MainLabelId.
Примечание. Если значение для MainLabelId также отсутствует, значит у файла нет метки. В этом случае можно использовать команды Unprotect-RMSFile и Protect-RMSFile вместо команд на шаге 3 и 4.
Значение для RMSTemplateId. Если это значение — Ограниченный доступ, значит пользователь защитил файл с помощью пользовательских разрешений, а не параметров защиты, настроенных для метки. Если вы продолжите, эти пользовательские разрешения будут перезаписаны параметрами защиты метки. Решите, следует ли продолжить или попросить пользователя (значение, отображаемое для RMSIssuer), удалить метку и повторно применить ее вместе с их исходными пользовательскими разрешениями.
Удалите метку с помощью команды Set-AIPFileLabel с параметром RemoveLabel. Если вы используете параметр политикиUsers must provide justification to set a lower classification label, remove a label, or remove protection (Пользователи обязаны предоставлять основание для понижения уровня метки классификации, для удаления метки и для снятия защиты), то необходимо также указать причину в параметре Justification (Обоснование). Пример:
Set-AIPFileLabel \\Finance\Projectx\sales.ppdf -RemoveLabel -JustificationMessage 'Removing .ppdf protection to replace with .pdf ISO standard'Повторно примените первоначальную метку, указав значение для метки, определенное на шаге 1. Пример:
Set-AIPFileLabel \\Finance\Projectx\sales.pdf -LabelId d9f23ae3-1234-1234-1234-f515f824c57b
Файл сохраняется в формате PDF, но классифицируется как и раньше, и он защищен с использованием стандарта ISO для шифрования PDF.
Поддержка файлов, защищенных Secure Islands
Если вы использовали Secure Islands для защиты документов, вы могли защитить текстовые файлы и изображения, а также файлы с универсальной защитой. Это могут быть файлы, имеющие расширение .ptxt, .pjpeg или .pfile. При редактировании реестра следующим образом Azure Information Protection сможет расшифровать эти файлы.
Добавьте следующее значение DWORD EnableIQPFormats по следующему пути реестра и задайте для него значение 1:
Для 64-разрядной версии Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Для 32-разрядной версии Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIP
В результате данного изменения реестра поддерживаются следующие сценарии.
Просмотр защищенных файлов с помощью средства просмотра Azure Information Protection.
Средство проверки Azure Information Protection сможет проанализировать эти файлы на наличие конфиденциальных сведений.
Проводник, PowerShell и средство проверки Azure Information Protection смогут помечать эти файлы. После этого вы можете использовать метку Azure Information Protection, которая позволяет применить новые средства Azure Information Protection или удалить существующие средства защиты Secure Islands.
С помощью меток настройки для клиента миграции можно автоматически преобразовать метки Secure Islands этих защищенных файлов в метки Azure Information Protection.
Примечание
Сейчас эта функция доступна в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Перенос меток из Secure Islands и другие решения для меток
В этой конфигурации используется расширенный клиентский параметр, который нужно настроить на портале Azure.
Сейчас эта конфигурация несовместима с новым поведением по умолчанию, когда PDF-файлы защищаются с помощью стандарта ISO для шифрования PDF. В этом сценарии PPDF-файлы невозможно открыть с помощью проводника, PowerShell или средства проверки. Для устранения проблемы используйте дополнительный параметр клиента, чтобы не использовать стандарт ISO для шифрования PDF.
Для документов Office и PDF с метками Secure Islands можно повторно назначить метку Azure Information Protection, используя определенное вами сопоставление. Этот метод можно также использовать для повторного использования меток из других решений, когда их метки используются в документах Office.
Примечание
Если у вас есть файлы, не являющиеся документами PDF или Office, которые защищены с помощью Secure Islands, их можно повторно разметить после редактирования реестра, как описано в предыдущем разделе.
Этот вариант настройки позволяет применять новую метку Azure Information Protection клиентом Azure Information Protection следующим образом:
Для документов Office: при открытии документа в классическом приложении новая метка для Azure Information Protection отображается в виде набора и применяется, когда документ сохраняется.
Для проводника: в диалоговом окне Azure Information Protection новая метка для Azure Information Protection отображается в виде набора и применяется, когда пользователь выбирает Применить. Если пользователь выбирает Отмена, новая метка не применяется.
Для PowerShell: Set-AIPFileLabel применяет новую метку Azure Information Protection. Get-AIPFileStatus не отображает новую метку для Azure Information Protection до ее установки с помощью другого метода.
Для сканера Azure Information Protection: обнаружение сообщает, когда будет установлена новая метка Azure Information Protection и когда эта метка сможет применяться в принудительном режиме.
Эта конфигурация требует указания расширенного клиентского параметра LabelbyCustomProperty для каждой метки Azure Information Protection, которую нужно сопоставить со старой меткой. Затем укажите для каждой записи значение, используя следующий синтаксис:
[Azure Information Protection label ID],[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]
Значение идентификатора метки отображается на панели меток при просмотре или настройке политики Information Protection Azure в портал Azure. Для указания вложенной метки родительская метка должна быть включена в ту же область или глобальную политику.
Укажите имя правила миграции. Используйте описательное имя, которое определит, как одна или несколько меток из предыдущего решения меток будут сопоставлены с метками Azure Information Protection. Имя отображается в отчетах сканера и в средстве "Просмотр событий". Обратите внимание, что этот параметр не удаляет из документа исходную метку и какую-либо визуальную маркировку, которая могла быть применена в связи с исходной меткой. Чтобы удалить заголовки и нижние колонтитулы, ознакомьтесь со следующим разделом: Удаление заголовков и нижних колонтитулов из других решений меток.
Пример 1. Сопоставление "один к одному" для меток с одним именем
Требование. Документы с меткой Secure Islands "Конфиденциально" должны быть помечены как "Конфиденциальные" в Azure Information Protection.
В этом примере:
Нужная метка Azure Information Protection называется Конфиденциально и имеет следующий идентификатор: 1ace2cc3-14bc-4142-9125-bf946a70542c.
Метка Secure Islands имеет имя Конфиденциально и хранится в пользовательском свойстве с именем Классификация.
Расширенный клиентский параметр:
| Имя | Значение |
|---|---|
| LabelbyCustomProperty | 1ace2cc3-14bc-4142-9125-bf946a70542c,"Secure Islands label is Confidential",Classification,Confidential |
Пример 2. Сопоставление "один к одному" для меток с разными именами
Требование. Документы, помеченные как "Конфиденциальные" безопасными островами, должны быть помечены как "Строго конфиденциальные" в Azure Information Protection.
В этом примере:
Нужная метка Azure Information Protection называется Строго конфиденциально и имеет следующий идентификатор: 3e9df74d-3168-48af-8b11-037e3021813f.
Метка Secure Islands имеет имя Строго конфиденциально и хранится в пользовательском свойстве с именем Классификация.
Расширенный клиентский параметр:
| Имя | Значение |
|---|---|
| LabelbyCustomProperty | 3e9df74d-3168-48af-8b11-037e3021813f,"Secure Islands label is Sensitive",Classification,Sensitive |
Пример 3. Сопоставление "многие к одному" для меток с именами
Требование. У вас есть две метки Secure Islands, которые включают слово "Внутренний" и вы хотите, чтобы документы, имеющие любую из этих меток Secure Islands, были перемечены как "Общие" в Azure Information Protection.
В этом примере:
Нужная метка Azure Information Protection называется Общее и имеет следующий идентификатор: 2beb8fe7-8293-444c-9768-7fdc6f75014d.
Метки Secure Islands включают слово Internal и хранятся в настраиваемом свойстве "Классификация".
Расширенный клиентский параметр:
| Имя | Значение |
|---|---|
| LabelbyCustomProperty | 2beb8fe7-8293-444c-9768-7fdc6f75014d,"Secure Islands label contains Internal",Classification,.*Internal.* |
Удаление заголовков и нижних колонтитулов из других решений для меток
В этой конфигурации используются несколько дополнительных параметров клиента, которые нужно настроить на портале Azure.
С помощью этих параметров можно удалить текстовые верхние или нижние колонтитулы из документов или заменить их, если визуальные маркировки были применены другим решением для меток. Например, старый нижний колонтитул содержит имя старой метки, которую вы перенесли в Azure Information Protection, указав новое имя и собственный нижний колонтитул.
Когда клиент получает эту конфигурацию в политике, старые заголовки и нижние колонтитулы удаляются или заменяются при открытии документа в приложении Office, и к документу применяется любая метка Azure Information Protection.
Эта конфигурация не поддерживается в Outlook. Обратите внимание, что при использовании ее в Word, Excel и PowerPoint она может снизить производительность этих приложений для пользователей. Конфигурация позволяет задать параметры для каждого приложения, например, для поиска в заголовках и нижних колонтитулах документов Word, но не в таблицах Excel и не в презентациях PowerPoint.
Так как сопоставление шаблонов влияет на производительность пользователей, рекомендуется ограничить типы приложений Office (Word, EXcel, PowerPoint) только теми, которые необходимо искать:
Ключ: RemoveExternalContentMarkingInApp
Значение: <Office типов приложений WXP>
Примеры:
Чтобы выполнить поиск только в документах Word, укажите W.
Для поиска в документах Word и презентациях PowerPoint укажите WP.
После нужен как минимум еще один дополнительный параметр клиента (ExternalContentMarkingToRemove), чтобы указать содержимое заголовка или нижнего колонтитула и способ их удаления или замены.
Примечание
Сейчас эта функция доступна в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Настройка ExternalContentMarkingToRemove
При указании строкового значения для ключа ExternalContentMarkingToRemove вам доступны три варианта, в которых используются регулярные выражения:
Частичное соответствие для удаления всего содержимого заголовка или нижнего колонтитула.
Пример: заголовки или нижние колонтитулы содержат строку ТЕКСТ ДЛЯ УДАЛЕНИЯ. Вам нужно полностью удалить их. Вы указываете значение
*TEXT*.Полное соответствие для удаления только конкретных слов в заголовке или нижнем колонтитуле.
Пример: заголовки или нижние колонтитулы содержат строку ТЕКСТ ДЛЯ УДАЛЕНИЯ. Вам нужно удалить только слово TEXT, чтобы в заголовке или нижнем колонтитуле осталась строка ДЛЯ УДАЛЕНИЯ. Вы указываете значение
TEXT.Полное соответствие для удаления всего заголовка или нижнего колонтитула.
Пример: заголовки или нижние колонтитулы содержат строку ТЕКСТ ДЛЯ УДАЛЕНИЯ. Вам нужно удалить заголовки или нижние колонтитулы с этой строкой. Вы указываете значение
^TEXT TO REMOVE$.
В сопоставлении шаблонов для указанной строки не учитывается регистр. Максимальная длина строки — 255 символов.
Так как в некоторых документах могут использоваться невидимые символы или разные типы пробелов или табуляций, возможно, указанную строку из фразы или предложения не удастся найти. По возможности указывайте отдельное слово и проверяйте результаты перед развертыванием в рабочей среде.
Ключ: ExternalContentMarkingToRemove
Значение: <строка для сопоставления, определенная как регулярное выражение>
Заголовки или нижние колонтитулы с несколькими строками
Если текст заголовка или нижнего колонтитула содержит больше одной строки, создайте ключ для каждой строки. Например, у вас есть следующий нижний колонтитул с двумя строками:
The file is classified as Confidential
Label applied manually
Чтобы удалить нижний колонтитул с несколькими строками, создайте две следующие записи:
Ключ 1: ExternalContentMarkingToRemove
Значение ключа 1. *Конфиденциально*
Ключ 2: ExternalContentMarkingToRemove
Значение ключа 2: *Применена метка*
Оптимизация для PowerPoint
Нижние колонтитулы в PowerPoint реализуются как фигуры. Чтобы не удалять фигуры с указанным текстом, которые не являются заголовками или нижними колонтитулами, используйте дополнительный параметр клиента PowerPointShapeNameToRemove. Также рекомендуется использовать этот параметр, чтобы не искать текст во всех фигурах, так как это ресурсоемкий процесс.
Если вы не укажете этот дополнительный параметр клиента и включите PowerPoint в значение ключа RemoveExternalContentMarkingInApp, поиск текста, указанного в значении ExternalContentMarkingToRemove, будет выполняться во всех фигурах.
Чтобы найти имя фигуры, которую вы используете как заголовок или нижний колонтитул, сделайте следующее.
В PowerPoint отобразится область выбора: вкладка "Формат" "Упорядочить область >выбора группы>".
Выберите фигуру на слайде с заголовком или нижним колонтитулом. Имя выбранной фигуры станет выделенным на панели Выделение.
Используйте имя фигуры, чтобы указать строковое значение ключа PowerPointShapeNameToRemove.
Пример: имя фигуры — fc. Чтобы удалить фигуру с таким именем, укажите значение fc.
Ключ: PowerPointShapeNameToRemove
Значение: <PowerPoint имя фигуры>
Если вам нужно удалить больше одной фигуры PowerPoint, создайте столько же ключей PowerPointShapeNameToRemove, сколько нужно удалить фигур. Для каждой записи укажите имя удаляемой фигуры.
По умолчанию наличие заголовков и нижних колонтитулов проверяется только на образцах слайдов. Чтобы применить поиск ко всем слайдам, что является более ресурсоемким процессом, используйте дополнительный параметр клиента RemoveExternalContentMarkingInAllSlides:
Ключ: RemoveExternalContentMarkingInAllSlides
Значение: True
Применение метки к документу Office с помощью существующего пользовательского свойства
Примечание
При использовании этой конфигурации и конфигурации для переноса меток из Secure Islands и других решений для меток, приоритет имеет параметр переноса меток.
В этой конфигурации используется расширенный клиентский параметр, который нужно настроить на портале Azure.
При настройке этого параметра можно классифицировать (и при необходимости защитить) документ Office, имеющий существующее пользовательское свойство, значение которого совпадает с одним из имен метки. Это пользовательское свойство можно задать из другого решения для классификации или задать в качестве свойства в SharePoint.
В результате этой конфигурации после открытия документа без метки Azure Information Protection и его сохранения пользователем в приложении Office к документу применяется метка в соответствии с соответствующим значением свойства.
Для этой конфигурации необходимо указать два дополнительных работающих вместе параметра. Первый называется SyncPropertyName — это имя пользовательского свойства, заданное из другого решения по классификации, или свойство, заданное в SharePoint. Второй называется SyncPropertyState и ему должно быть присвоено OneWay.
Чтобы настроить этот расширенный параметр, введите следующие строки:
Ключ 1: SyncPropertyName
Ключ 1 Значение: <имя свойства>
Ключ 2: SyncPropertyState
Значение ключа 2: OneWay
Используйте эти ключи и соответствующие значения только для одного настраиваемого свойства.
Например, есть столбец SharePoint с именем Классификация с возможными значениями Открытый, Общий и Строго конфиденциальный для всех сотрудников. Документы хранятся в SharePoint и свойству "Конфигурация" задано одно из этих значений (Открытый, Общий или Строго конфиденциальный для всех сотрудников).
Чтобы пометить документ Office с помощью одного из этих значений классификации, задайте для SyncPropertyName значение Классификация, а для SyncPropertyState — OneWay.
Теперь, когда пользователь открывает и сохраняет один из этих документов Office, он помечается как общедоступный, общий или строго конфиденциальный \ Все сотрудники, если у вас есть метки с этими именами в политике Information Protection Azure. Если метки с этими именами отсутствуют, документ остается без метки.
Отключение отправки обнаруженных конфиденциальных данных в документах в аналитику Information Protection Azure
Примечание
Журнал аудита AIP и закат аналитики объявлены 18 марта 2022 года с полной датой выхода на пенсию 31 сентября 2022 года.
Дополнительные сведения см. в статье Удаленные и снятые с учета службы.
В этой конфигурации используется расширенный клиентский параметр, который нужно настроить на портале Azure.
Когда клиент Azure Information Protection используется в приложениях Office, он ищет конфиденциальную информацию в документах при первом сохранении. Если клиент не настроен на отправку сведений аудита, все обнаруженные типы конфиденциальной информации (предопределенные или настраиваемые) затем отправляются в Azure Information Protection аналитике.
Конфигурация, которая определяет, отправляет ли клиент сведения об аудите, является параметром политикиотправки данных аудита в Azure Information Protection Log Analytics. Если этот параметр политики включен, так как вы хотите отправить сведения аудита, включающие действия по маркировке, но не хотите отправлять типы конфиденциальной информации, найденные клиентом, введите следующие строки:
Ключ: RunAuditInformationTypesDiscovery
значение: False.
Если задать этот расширенный параметр клиента, данные аудита по-прежнему могут отправляться от клиента, но эти сведения ограничены действиями по маркировке.
Пример:
С помощью этого параметра можно увидеть, что пользователь обращается к Financial.docx с меткой Confidential \ Sales.
Без этого параметра можно увидеть, что Financial.docx содержит 6 номеров кредитных карт.
- Если вы также включите более глубокую аналитику конфиденциальных данных, вы также сможете увидеть, что такое номера кредитных карт.
Отключение отправки совпадений типов сведений для подмножества пользователей
В этой конфигурации используется расширенный клиентский параметр, который нужно настроить на портале Azure.
Если установить флажок для аналитики Azure Information Protection, которая обеспечивает более глубокую аналитику конфиденциальных данных, собирает содержимое, соответствующее вашим типам конфиденциальной информации или пользовательским условиям, по умолчанию эти сведения отправляются всеми пользователями, включая учетные записи служб, которые запускают сканер Azure Information Protection. Если у вас есть пользователи, которым не следует отправлять эти данные, создайте для них следующий расширенный параметр клиента в политике области:
Ключ: LogMatchedContent
Значение: Отключить
Ограничение числа потоков, используемых средством проверки
В этой конфигурации используется расширенный клиентский параметр, который нужно настроить на портале Azure.
По умолчанию средство проверки использует все ресурсы процессора, доступные на компьютере, на котором запущена служба средства проверки. Если вам нужно ограничить потребление ресурсов ЦП, когда служба выполняет проверку, создайте следующий дополнительный параметр.
В качестве значения укажите число параллельных потоков, которые могут одновременно выполняться средством проверки. Средство проверки использует отдельный поток для каждого файла, поэтому такое регулирование также определяет количество файлов, которые могут быть проверены в параллельном режиме.
При первой настройке этого значения в целях тестирования рекомендуется задать по два потока на ядро и отследить результаты. Например, при запуске средства проверки на компьютере с четырьмя ядрами задайте сначала значение 8. При необходимости увеличьте или уменьшите это значение в зависимости от итоговой производительности, требуемой от компьютера со средством проверки, и нужной скорости проверки.
Ключ: ScannerConcurrencyLevel
Значение: <количество параллельных> потоков
Отключение низкого уровня целостности для средства проверки
В этой конфигурации используется расширенный клиентский параметр, который нужно настроить на портале Azure.
По умолчанию средство проверки Azure Information Protection запускается с низким уровнем целостности. Этот параметр предоставляет более высокую изоляцию для обеспечения безопасности, но за счет производительности. Низкий уровень целостности подходит, если для запуска средства проверки используется учетная запись с привилегированными правами (например, учетная запись локального администратора), так как этот параметр помогает защитить компьютер, на котором работает средство проверки.
Однако если учетная запись службы, на которой запущен сканер, имеет только права, описанные в предварительных требованиях к развертыванию сканера, низкий уровень целостности не является обязательным и не рекомендуется, так как он отрицательно влияет на производительность.
Дополнительные сведения об уровнях целостности Windows см. в статье What is the Windows Integrity Mechanism? (Что такое механизм интеграции Windows).
Чтобы настроить этот дополнительный параметр для запуска средства проверки с уровнем целостности, назначенным системой Windows (учетная запись обычного пользователя со средним уровнем целостности), введите следующие строки:
ключ: ProcessUsingLowIntegrity;
значение: False.
Изменение параметров времени ожидания для средства проверки
В этой конфигурации используются дополнительные параметры клиента, которые необходимо настроить в портал Azure.
По умолчанию сканер Azure Information Protection имеет период ожидания 00:15:00 (15 минут) для проверки каждого файла на наличие типов конфиденциальной информации или выражений регулярных выражений, настроенных для пользовательских условий. Когда период ожидания достигается для этого процесса извлечения содержимого, все результаты перед возвратом времени ожидания и дальнейшие проверки файлов будут остановлены. В этом сценарии следующее сообщение об ошибке регистрируется в папке %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zippped при наличии нескольких журналов): сбой GetContentParts сбоем при отмене операции в деталях.
Если возникла эта проблема времени ожидания из-за больших файлов, можно увеличить этот период ожидания для полного извлечения содержимого:
Ключ: ContentExtractionTimeout
Значение: <hh:min:sec>
Тип файла может повлиять на то, сколько времени занимает сканирование файла. Пример времени сканирования:
Типичный файл Word размером 100 МБ: 0,5–5 минут
Типичный PDF-файл размером 100 МБ: 5–20 минут
Типичный файл Excel 100 МБ: 12–30 минут
Для некоторых типов файлов, которые очень большие, например видеофайлы, рекомендуется исключить их из сканирования, добавив расширение имени файла в типы файлов для проверки в профиле сканера.
Кроме того, сканер Azure Information Protection имеет период ожидания 00:30:00 (30 минут) для каждого файла, который он обрабатывает. Это значение учитывает время, необходимое для извлечения файла из репозитория и временного сохранения его локально для действий, которые могут включать расшифровку, извлечение содержимого для проверки, маркировки и шифрования.
Хотя сканер Azure Information Protection может сканировать десятки до сотен файлов в минуту, если у вас есть репозиторий данных с большим количеством очень больших файлов, сканер может превысить этот период времени ожидания по умолчанию и в портал Azure, кажется, остановится через 30 минут. В этом сценарии следующее сообщение об ошибке регистрируется в папке %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zippped при наличии нескольких журналов) и в файле журнала сканера .csv: операция отменена.
Сканер с 4 ядрами процессоров по умолчанию имеет 16 потоков для сканирования, а вероятность обнаружения 16 больших файлов в течение 30 минут зависит от соотношения больших файлов. Например, если скорость сканирования составляет 200 файлов в минуту, а 1 % файлов превышает 30 минут времени ожидания, существует вероятность более 85 % того, что сканер столкнется с 30-минутным временем ожидания. Это может привести к большему времени сканирования и повышению потребления памяти.
В этой ситуации, если вы не можете добавить дополнительные ядра процессоров на компьютер сканера, рассмотрите возможность уменьшения времени ожидания для повышения скорости сканирования и снижения потребления памяти, но с подтверждением того, что некоторые файлы будут исключены. Кроме того, рассмотрите возможность увеличения времени ожидания для более точных результатов сканирования, но с подтверждением того, что эта конфигурация, скорее всего, приведет к снижению скорости сканирования и увеличению потребления памяти.
Чтобы изменить период ожидания обработки файлов, настройте следующий расширенный параметр клиента:
Ключ: FileProcessingTimeout
Значение: <hh:min:sec>
Изменение уровня локального ведения журнала
В этой конфигурации используется расширенный клиентский параметр, который нужно настроить на портале Azure.
По умолчанию клиент Azure Information Protection записывает файлы журналов клиента в папку %localappdata%\Microsoft\MSIP. Эти файлы предназначены для устранения неполадок службой поддержки Майкрософт.
Чтобы изменить уровень ведения журнала для этих файлов, настройте следующие расширенные параметры клиента:
Ключ: LogLevel
Значение: <уровень> ведения журнала
Присвойте уровню ведения журнала одно из следующих значений:
Выкл. Нет локального ведения журнала.
Ошибка: только ошибки.
Сведения: минимальное ведение журнала, включающее идентификаторы событий (параметр по умолчанию для сканера).
Отладка: полная информация.
Трассировка: подробное ведение журнала (параметр по умолчанию для клиентов). Этот параметр оказывает значительное влияние на производительность средства проверки, поэтому включайте его для средства проверки только если этого потребует служба поддержки Майкрософт. Если вам будет предложено выбрать этот уровень ведения журнала для средства проверки, не забудьте указать другое значение после сбора соответствующих журналов.
Этот расширенный параметр клиента не изменяет сведения, передаваемые в Azure Information Protection для централизованной отчетности, также как и сведения, записываемые в локальный журнал событий.
Интеграция с устаревшей классификацией сообщений Exchange
Outlook в Интернете теперь поддерживает встроенные метки для Exchange Online, что является рекомендуемом способом пометки сообщений электронной почты в Outlook в Интернете. Однако если вам нужно пометить сообщения электронной почты в OWA и использовать Exchange Server, которая пока не поддерживает метки конфиденциальности, можно использовать классификацию сообщений Exchange для расширения меток Azure Information Protection до Outlook в Интернете.
Outlook Mobile не поддерживает классификацию сообщений Exchange.
Чтобы обеспечить такое решение, выполните указанные ниже действия.
С помощью командлета PowerShell New-MessageClassification для Exchange создайте классификации сообщений со свойством Name, которое соответствует именам меток в политике Azure Information Protection.
Создайте правило для потока обработки почты Exchange для каждой метки: правило должно применяться, если свойства сообщения включают настроенную классификацию. Кроме того, измените свойства сообщения, задав его заголовок.
Для заголовка сообщения вы найдете сведения, которые необходимо указать, проверив заголовки электронной почты, отправленные и классифицированные с помощью метки Azure Information Protection. Найдите заголовок msip_labels и строку, которая сразу же следует, вплоть до и исключая точку с запятой. Пример:
msip_labels: MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True
После в значении заголовка сообщения правила укажите msip_labels и оставшуюся строку. Пример:
Примечание. Если метка вложенная, в значении заголовка также нужно указать перед ней родительскую метку в таком же формате. Например, если GUID вложенной метки 27efdf94-80a0-4d02-b88c-b615c12d69a9, значение может выглядеть так:
MSIP_Label_ab70158b-bdcc-42a3-8493-2a80736e9cbd_Enabled=True;MSIP_Label_27efdf94-80a0-4d02-b88c-b615c12d69a9_Enabled=True.
Перед тестированием этой конфигурации обратите внимание, что создание или изменение правил для потока обработки почты часто выполняется с задержкой (например, иногда нужно подождать час). Когда пользователи работают с Outlook в Интернете и применяется правило, происходит следующее:
Пользователь выбирает классификацию сообщения Exchange и отправляет сообщение.
Правило Exchange определяет классификацию Exchange и соответствующим образом изменяет заголовок сообщения, добавляя классификацию Azure Information Protection.
Когда получатели, которые установили клиент Azure Information Protection, просматривают сообщение в Outlook, они видят присвоенную метку Azure Information Protection.
Если метки Azure Information Protection применяют защиту, добавьте эту защиту в конфигурацию правила: выберите параметр для изменения безопасности сообщений, применения защиты прав, а затем выберите шаблон защиты или параметр "Не пересылать".
Вы также можете настроить в правилах для потока обработки почты обратное сопоставление. При обнаружении метки Azure Information Protection определите соответствующую классификацию для сообщения Exchange:
- Для каждой метки Azure Information Protection создайте правило для потока обработки почты, которое будет применяться, если заголовок msip_labels содержит название метки (например, Общие). Затем примените классификацию сообщений, которая должна быть сопоставлена с этой меткой.
Дальнейшие действия
Теперь, когда клиент Azure Information Protection настроен, см. дополнительные сведения в приведенных ниже статьях. Это поможет вам дальше работать с клиентом.