管理员指南:Azure 信息保护统一标签客户端的自定义配置

适用于:Azure 信息保护、Windows 11、Windows 10、Windows 8.1、Windows 8、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

如果 2010 Windows 7 或 Office,请参阅AIP和旧版 Windows Office 版本。

相关:Azure信息保护统一标签客户端,适用于 Windows。

对于管理 AIP 统一标签客户端时特定方案或用户所需的高级配置,请使用以下信息。

注意

这些设置需要编辑注册表或指定高级设置。 高级设置使用安全Office 365 中心 PowerShell。

通过 PowerShell 配置客户端的高级设置

使用Microsoft 365中心 PowerShell 配置用于自定义标签策略和标签的高级设置。

在这两种情况下,在连接到 Office 365 安全合规中心 PowerShell后,使用策略或标签的标识 (名称或 GUID) 指定AdvancedSettings参数,在哈希表中指定键/值对。

若要删除高级设置,请使用相同的 AdvancedSettings 参数 语法,但指定 null 字符串值。

重要

请勿在字符串值中使用空格。 这些字符串值中的白色字符串将阻止应用标签。

有关详细信息,请参阅:

标签策略高级设置语法

标签策略高级设置的一个示例是在应用内显示信息保护Office的设置。

对于单个字符串值,请使用以下语法:

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key="value1,value2"}

对于同一键的多个字符串值,请使用以下语法:

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

标签高级设置语法

标签高级设置的一个示例是指定标签颜色的设置。

对于单个字符串值,请使用以下语法:

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key="value1,value2"}

对于同一键的多个字符串值,请使用以下语法:

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

检查当前高级设置

若要检查当前高级设置是否生效,请运行以下命令:

若要检查标签 策略 高级设置,请使用以下语法:

对于名为"全局" 的标签策略

(Get-LabelPolicy -Identity Global).settings

若要检查 标签 高级设置,请使用以下语法:

对于名为 Public 的标签

(Get-Label -Identity Public).settings

设置高级设置的示例

示例 1:为单个字符串值设置标签策略高级设置:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

示例 2:为单个字符串值设置标签高级设置:

Set-Label -Identity Internal -AdvancedSettings @{smimesign="true"}

示例 3:为多个字符串值设置标签高级设置:

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

示例 4:通过指定 null 字符串值删除标签策略高级设置:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions=""}

指定标签策略或标签标识

查找PowerShell标识参数的标签策略名称非常简单,因为此参数中只有一个Microsoft 365 合规中心。

但是,对于标签,Microsoft 365 合规中心显示"名称"和"显示名称"值。 在某些情况下,这些值将相同,但它们可能不同。 若要配置标签的高级设置,请使用"名称 " 值。

例如,若要标识下图中的标签,请使用 PowerShell 命令中的以下语法 -Identity "All Company"

使用

如果希望指定标签GUID,此值不会显示在Microsoft 365 合规中心。 使用 Get-Label 命令查找此值,如下所示:

Get-Label | Format-Table -Property DisplayName, Name, Guid

有关标记名称和显示名称的信息:

  • 名称 是标签的原始名称,在所有标签中是唯一的。

    即使以后更改了标签名称,此值也保持不变。 对于从 Azure 信息保护迁移的敏感度标签,可能会看到 Azure 门户中的原始标签 ID。

  • 显示 名称是当前向用户显示标签的名称,不需要在所有标签中是唯一的。

    例如,"机密"显示名称下可能有一个"所有员工"标签,"显示名称"标签下有另一个"所有员工"子标签 这些子标签显示的名称相同,但标签不同,设置也不同。

优先顺序 - 如何解决冲突的设置

可以使用以下Microsoft 365 合规中心配置以下标签策略设置:

  • 默认情况下,将此标签应用于文档和电子邮件

  • 用户必须提供删除标签或较低分类标签的理由

  • 要求用户向电子邮件或文档应用标签

  • 为用户提供指向自定义帮助页的链接

为一个用户配置多个标签策略时,每个标签策略可能具有不同的策略设置,则根据策略中策略的顺序应用最后一个Microsoft 365 合规中心。 有关详细信息,请参阅 标签策略优先级 (订单重要)

使用最后一个策略设置使用相同的逻辑应用标签策略高级设置。

高级设置引用

以下部分提供标签策略和标签的高级设置:

按功能的高级设置引用

以下部分按产品和功能集成列出了此页面上介绍的高级设置:

功能 高级设置
Outlook和电子邮件设置 - -
- -
- -
- -
- -
- -
- -
- -
- -
PowerPoint设置 - -
- -
- -
文件资源管理器设置 - -
- -
- -
性能改进设置 - -
- -
- -
设置与其他标签解决方案的集成 - -
- -
AIP 分析设置 - -
- -
常规设置 - -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -

标签策略高级设置参考

AdvancedSettings 参数New-LabelPolicy 和Set-LabelPolicy 一起 用于定义以下设置:

设置 方案和说明
AdditionalPPrefixExtensions 支持更改 EXT > 。使用此高级属性从 PFILE 到 P < EXT >
AttachmentAction 对于带附件的电子邮件,应用与这些附件的最高分类相匹配的标签
AttachmentActionTip 对于带附件的电子邮件,应用与这些附件的最高分类相匹配的标签
DisableMandatoryInOutlook 免除Outlook强制标记的邮件
EnableAudit 防止审核数据发送到 AIP Microsoft 365分析
EnableContainerSupport 启用从 PST、rar、7zip 和 MSG 文件删除保护
EnableCustomPermissions 在文件资源管理器中关闭自定义权限
EnableCustomPermissionsForCustomProtectedFiles 对于使用自定义权限保护的文件,始终在文件资源管理器中向用户显示自定义权限
EnableGlobalization 启用分类全球化功能
EnableLabelByMailHeader 从安全群岛和其他标签解决方案迁移标签
EnableLabelBySharePointProperties 从安全群岛和其他标签解决方案迁移标签
EnableOutlookDistributionListExpansion 在Outlook电子邮件收件人时展开通讯组列表
EnableRevokeGuiSupport 关闭应用应用中最终用户的"撤销"Office选项
EnableTrackAndRevoke 关闭文档跟踪功能
HideBarByDefault 在应用内显示信息Office栏
JustificationTextForUserText 为修改的标签自定义理由提示文本
LogMatchedContent 将信息类型与 Azure 信息保护分析匹配
OfficeContentExtractionTimeout 在文件上配置自动标记Office超时
OutlookBlockTrustedDomains 在通知中实现弹出Outlook警告、证明或阻止发送的电子邮件
OutlookBlockUntrustedCollaborationLabel 在通知中实现弹出Outlook警告、证明或阻止发送的电子邮件
OutlookCollaborationRule 自定义Outlook弹出消息
OutlookDefaultLabel 为应用设置不同的默认Outlook
OutlookGetEmailAddressesTimeOutMSProperty 修改为通讯组列表中的收件人实现阻止邮件时,Outlook中展开通讯组列表的超时)
OutlookJustifyTrustedDomains 在通知中实现弹出Outlook警告、证明或阻止发送的电子邮件
OutlookJustifyUntrustedCollaborationLabel 在通知中实现弹出Outlook警告、证明或阻止发送的电子邮件
OutlookRecommendationEnabled 启用建议分类Outlook
OutlookOverrideUnlabeledCollaborationExtensions 在通知中实现弹出Outlook警告、证明或阻止发送的电子邮件
OutlookSkipSmimeOnReadingPaneEnabled 防止Outlook S/MIME 电子邮件出现性能问题
OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior 在通知中实现弹出Outlook警告、证明或阻止发送的电子邮件
OutlookWarnTrustedDomains 在通知中实现弹出Outlook警告、证明或阻止发送的电子邮件
OutlookWarnUntrustedCollaborationLabel 在通知中实现弹出Outlook警告、证明或阻止发送的电子邮件
PFileSupportedExtensions 更改要保护的文件类型
PostponeMandatoryBeforeSave 使用强制标签时,删除文档的"Not now"
PowerPointRemoveAllShapesByShapeName 从页眉和页脚中删除特定形状名称的所有形状,而不是按形状内的文本删除形状
PowerPointShapeNameToRemove 避免从包含指定PowerPoint且不是页眉/页脚的形状中删除形状
RemoveExternalContentMarkingInApp 从其他标签解决方案中删除页眉和页脚
RemoveExternalMarkingFromCustomLayouts 从自定义布局内显式PowerPoint内容标记
ReportAnIssueLink 为用户添加"报告问题"
RunPolicyInBackground 打开分类以在后台连续运行
ScannerMaxCPU 限制 CPU 消耗
ScannerMinCPU 限制 CPU 消耗
ScannerConcurrencyLevel 限制扫描仪使用的线程数
ScannerFSAttributesToSkip 根据文件属性,在扫描过程中跳过或忽略文件
SharepointWebRequestTimeout 配置SharePoint超时
SharepointFileWebRequestTimeout 配置SharePoint超时
UseCopyAndPreserveNTFSOwner 在标记期间保留 NTFS 所有者

标签高级设置参考

AdvancedSettings 参数New-Label 和Set-Label 一同使用

设置 方案和说明
颜色 指定标签的颜色
customPropertiesByLabel 应用标签时应用自定义属性
DefaultSubLabelId 指定父标签的默认子标签
labelByCustomProperties 从安全群岛和其他标签解决方案迁移标签
SMimeEncrypt 配置一个标签以在 Outlook 中应用 S/MIME 保护
SMimeSign 配置一个标签以在 Outlook 中应用 S/MIME 保护

隐藏文件资源管理器中的"分类和保护"Windows选项

若要在文件资源管理器中隐藏"分类和保护Windows选项,请创建以下 DWORD 值名称 (包含任何值) :

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable

有关详细信息,请参阅使用 文件资源管理器对文件进行分类

在应用内显示信息Office栏

此配置使用必须使用安全合规中心PowerShell 配置Office 365 策略高级设置。

默认情况下,用户必须从"敏感度"按钮中选择"显示栏"选项,以在应用中Office栏。 使用 HideBarByDefault 键,将值设置为 False 以自动为用户显示此栏,以便用户可以从条形图或按钮中选择标签。

对于所选标签策略,请指定以下字符串:

  • 密钥 :HideBarByDefault

  • :False

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{HideBarByDefault="False"}

免除Outlook强制标记的邮件

此配置使用必须使用安全合规中心PowerShell 配置Office 365 策略高级设置。

默认情况下,启用"所有文档和电子邮件"的标签策略设置时,必须应用标签 ,所有已保存文档和已发送电子邮件都必须应用标签。 配置以下高级设置时,策略设置仅适用于Office文档,而应用于Outlook消息。

对于所选标签策略,请指定以下字符串:

  • 密钥 :DisableMandatoryInOutlook

  • :True

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{DisableMandatoryInOutlook="True"}

此配置使用必须使用安全合规中心PowerShell 配置Office 365 策略高级设置。

为建议分类配置标签时,系统会提示用户在 Word、Excel 和 PowerPoint 中接受或PowerPoint。 此设置扩展了此标签建议,以也显示在Outlook。

对于所选标签策略,请指定以下字符串:

  • 密钥 :OutlookRecommendationEnabled

  • :True

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookRecommendationEnabled="True"}

启用从压缩文件删除保护

此配置使用必须使用安全合规中心PowerShell 配置Office 365 策略高级设置。

配置此设置时,将启用 PowerShell cmdlet Set-AIPFileLabel, 以允许从 PST、rar 和 7zip 文件删除保护。

  • 密钥 :EnableContainerSupport

  • :True

启用了策略的示例 PowerShell 命令:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}

为应用设置不同的默认Outlook

此配置使用必须使用安全合规中心PowerShell 配置Office 365 策略高级设置。

配置此设置时,Outlook不会为"默认将此标签应用于文档和电子邮件"选项应用配置为策略设置的默认标签。 相反,Outlook应用其他默认标签或无标签。

对于所选标签策略,请指定以下字符串:

  • 密钥 :OutlookDefaultLabel

  • 值: <<> 或>

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookDefaultLabel="None"}

更改要保护的文件类型

这些配置使用必须使用安全合规中心PowerShell 配置Office 365策略 高级设置。

默认情况下,Azure 信息保护统一标签客户端保护所有文件类型,来自客户端的扫描程序仅保护Office和 PDF 文件。

可以通过指定以下选项之一,更改所选标签策略的此默认行为:

PFileSupportedExtension

  • 密钥 :PFileSupportedExtensions

  • 值: 字符串值 >

使用下表标识要指定的字符串值:

字符串值 客户端 扫描仪
* 默认值:将保护应用于所有文件类型 将保护应用于所有文件类型
ConvertTo-Json (".jpg"、".png") 除了使用Office和 PDF 文件外,请对指定的文件扩展名应用保护 除了使用Office和 PDF 文件外,请对指定的文件扩展名应用保护

示例 1:用于扫描程序保护所有文件类型的 PowerShell 命令,其中标签策略名为"Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

示例 2:用于保护 .txt 文件和 .csv 文件的扫描仪的 PowerShell 命令,以及 Office 文件和 PDF 文件,其中标签策略名为"Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}

使用此设置,可以更改受保护的文件类型,但不能将默认保护级别从本机更改为通用。 例如,对于运行统一标签客户端的用户,可以更改默认设置,以便仅保护Office文件和 PDF 文件,而不是所有文件类型。 但是,不能更改这些文件类型,以使用 .pfile 文件扩展名进行一般保护。

AdditionalPPrefixExtensions

统一标签客户端支持更改 <> EXT。使用高级属性 <><将 PFILE 到 P EXT。 文件资源管理器、PowerShell 和扫描程序支持此高级属性。 所有应用都有类似的行为。

  • 密钥 :AdditionalPPrefixExtensions

  • 值: 字符串值 >

使用下表标识要指定的字符串值:

字符串值 客户端和扫描仪
* 所有 PFile 扩展都变为 P < EXT>
<null 值> 默认值的行为类似于默认保护值。
ConvertTo-Json (".dwg"、".zip") 除了上一列表,".dwg"和".zip"成为 P < EXT>

使用此设置,以下扩展始终变为 P > EXT:".txt"、".xml"、".bmp"、".jt"、".jpg"、".jpeg"、".jpe"、".jif"、".jfif"、".jfi"、".jfi"、".png"、".tif"、".tiff"、".gif"、") "。 值得注意的排除是"ptxt"不会变为"txt.pfile"。

AdditionalPPrefixExtensions 仅在启用了使用高级属性 PFileSupportedExtension 保护 PFile 时有效。

示例 1:PowerShell命令的行为类似于保护".dwg"变为".dwg.pfile"的默认行为:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}

示例 2:PowerShell命令,在文件受保护时,将所有 PFile 扩展从通用保护 (dwg.pfile) 更改为本机保护 (.pdwg) :

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}

示例 3:使用此服务保护此文件时将".dwg"更改为".pdwg"的 PowerShell 命令:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}

使用强制标签时,删除文档的"Not now"

此配置使用必须使用安全合规中心PowerShell 配置Office 365 策略高级设置。

使用"所有文档和电子邮件"的标签策略设置时,当用户首次保存 Office 文档以及从 Outlook 发送电子邮件时,系统会提示用户选择标签。

对于文档, 用户可以选择" 现在不"以暂时关闭提示以选择标签并返回到文档。 但是,如果不标记已保存的文档,它们将无法关闭它。

配置PostponeMandatoryBeforeSave设置时,将删除"现在不"选项,以便用户必须在首次保存文档时选择标签。

提示

PostponeMandatoryBeforeSave设置还可确保在通过电子邮件发送共享文档之前标记共享文档。

默认情况下,即使"所有文档和电子邮件"必须在策略中启用标签,用户也只会提升为附加到电子邮件(来自 Outlook)的文件。

对于所选标签策略,请指定以下字符串:

  • :PostponeMandatoryBeforeSave

  • :False

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{PostponeMandatoryBeforeSave="False"}

从其他标签解决方案中删除页眉和页脚

此配置使用必须使用安全合规中心 PowerShell Office 365配置的策略高级设置。

有两种方法可删除其他标签解决方案的分类:

设置 说明
WordShapeNameToRemove 从 Word 文档中删除形状名称与 WordShapeNameToRemove 高级属性中定义的名称匹配的任何形状。

有关详细信息,请参阅使用 WordShapeNameToRemove 高级属性
RemoveExternalContentMarkingInApp

ExternalContentMarkingToRemove
允许您从 Word、文档或文档中删除或替换Excel或PowerPoint页眉或页脚。

有关详细信息,请参阅:
- -
- -

使用 WordShapeNameToRemove 高级属性

版本 2.6.101.0 及以上版本支持 WordShapeNameToRemove 高级属性

当其他标签解决方案应用了基于形状的标签时,此设置允许您从 Word 文档中删除或替换这些视觉标记。 例如,形状包含现已迁移到敏感度标签的旧标签的名称,以使用新的标签名称和自己的形状。

若要使用此高级属性,需要在 Word 文档中找到形状名称,然后在 WordShapeNameToRemove 形状的高级属性列表中定义形状名称。 该服务将删除 Word 中以此高级属性中的形状列表中定义的名称开头的任何形状。

通过定义要删除的所有形状的名称,避免删除包含要忽略的文本的形状,并避免检查所有形状中的文本,这是一个资源密集型过程。

注意

在Microsoft Word中,可以通过定义形状名称或其文本来删除形状,但不能同时删除两者。 如果 定义了 WordShapeNameToRemove 属性, 则忽略 ExternalContentMarkingToRemove 值定义的任何配置。

查找你正在使用的形状的名称并要排除:

  1. 在 Word 中,显示"选择"窗格:"开始"选项卡 "编辑组"选择选项选择窗格"。

  2. 选择要标记要删除的页面上的形状。 标记的形状的名称现在在"选择"窗格中 突出显示

使用形状的名称指定 WordShapeNameToRemove 键的字符串值。

示例:形状名称为dc。 若要删除具有此名称的形状,请指定值 dc :。

  • :WordShapeNameToRemove

  • 值 <<>

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{WordShapeNameToRemove="dc"}

当要删除多个 Word 形状时,请指定要删除的形状数。

使用 RemoveExternalContentMarkingInApp 高级属性

当其他标签解决方案应用了基于文本的页眉或页脚时,可以使用此设置从文档中删除或替换这些视觉标记。 例如,旧页脚包含现已迁移到敏感度标签的旧标签的名称,以使用新的标签名称和自己的页脚。

当统一标签客户端在其策略中获取此配置时,在 Office 应用 中打开文档时,将删除或替换旧的页眉和页脚,并且会向文档应用任何敏感度标签。

Outlook不支持此配置,并且请注意,在 Word、Excel 和 PowerPoint 中使用它时,可能会对用户这些应用的性能产生负面影响。 使用配置可以定义每个应用程序的设置,例如,在 Word 文档的页眉和页脚中搜索文本,但不搜索Excel或PowerPoint文本。

由于模式匹配会影响用户的性能,因此建议将 Office 应用程序类型 (W或d、EXPowerPoint) 限制为仅需要搜索的应用程序类型。 对于所选标签策略,请指定以下字符串:

  • 密钥 :RemoveExternalContentMarkingInApp

  • 值 <<>

示例:

  • 若要仅搜索 Word 文档,请指定W。

  • 若要搜索 Word 文档PowerPoint演示文稿,请指定WP。

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInApp="WX"}

然后,至少需要一个高级客户端设置 ExternalContentMarkingToRemove来指定页眉或页脚的内容,以及如何删除或替换它们。

如何配置 ExternalContentMarkingToRemove

指定 ExternalContentMarkingToRemove 键的字符串值时,有三个使用正则表达式的选项。 对于上述每种方案,请使用下表中"示例 "列中所示的语法:

Option 示例说明 示例值
部分匹配以删除页眉或页脚中所有内容 页眉或页脚包含要删除的 字符串 TEXT,并且你想要完全删除这些页眉或页脚。 *TEXT*
完全匹配以仅删除页眉或页脚中的特定字词 页眉或页脚包含要删除的字符串TEXT,并且只想删除文本一词,将页眉或页脚字符串保留为"要删除"。 TEXT
完全匹配以删除页眉或页脚中所有内容 页眉或页脚具有要删除的字符串 TEXT。 要删除正好包含此字符串的页眉或页脚。 ^TEXT TO REMOVE$

指定的字符串的模式匹配不区分大小写。 最大字符串长度为 255 个字符,不能包含空格。

由于某些文档可能包含不可见字符或不同类型的空格或制表符,因此可能无法检测到为短语或句子指定的字符串。 如果可能,请为值指定一个区分词,并确保在生产中部署之前测试结果。

对于同一标签策略,请指定以下字符串:

  • :ExternalContentMarkingToRemove

  • 值: <<>

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*TEXT*"}

有关详细信息,请参阅:

多行页眉或页脚

如果页眉或页脚文本超过一行,请为每个行创建一个键和值。 例如,如果以下页脚有两行:

该文件分类为"机密"
手动应用的标签

若要删除此多行页脚,请为同一标签策略创建以下两个条目:

  • :ExternalContentMarkingToRemove
  • 密钥值 1:*机密
  • 键值 2:*已应用标签

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove=ConvertTo-Json("Confidential","Label applied")}

优化PowerPoint

形状中的页眉PowerPoint页脚作为形状实现。 对于msoTextBox、msoTextEffect、msoPlaceholder 和msoAutoShape形状类型,以下高级设置提供其他优化:

此外 ,PowerPointRemoveAllShapesByShapeName 可以基于形状名称删除任何形状类型。

有关详细信息,请参阅查找用作页眉或页脚的形状 的名称

避免从包含指定PowerPoint且不是页眉/页脚的形状中删除形状

若要避免删除包含指定文本的形状,但不包含页眉或页脚的形状,请使用名为 PowerPointShapeNameToRemove的其他高级客户端设置。

我们还建议使用此设置以避免检查所有形状中的文本,这是一个资源密集型过程。

例如:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
将外部标记删除扩展到自定义布局

此配置使用必须使用安全合规中心PowerShell 配置Office 365 策略高级设置。

默认情况下,用于删除外部内容标记的逻辑将忽略在 PowerPoint 中配置的自定义PowerPoint。 若要将此逻辑扩展到自定义布局,将RemoveExternalMarkingFromCustomLayouts 高级属性设置为True。

  • :RemoveExternalMarkingFromCustomLayouts

  • :True

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
删除特定形状名称的所有形状

如果使用 PowerPoint 自定义布局,并且想要从页眉和页脚中删除特定形状名称的所有形状,请使用PowerPointRemoveAllShapesByShapeName高级设置,以及要删除的形状的名称。

使用 PowerPointRemoveAllShapesByShapeName 设置将忽略形状内的文本,而是使用形状名称标识要删除的形状。

例如:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointRemoveAllShapesByShapeName="Arrow: Right"}

有关详细信息,请参阅:

  1. 在PowerPoint中,显示"选择窗格格式"选项卡 "排列组选择窗格"。

  2. 选择幻灯片上包含页眉或页脚的形状。 所选形状的名称现在在"选择"窗格中 突出显示

使用形状的名称指定 PowerPointShapeNameToRemove 键的字符串值。

示例:形状名称为fc。 若要删除具有此名称的形状,请指定值 fc :。

  • :PowerPointShapeNameToRemove

  • 值 <<>

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}

当要删除多个形状PowerPoint,请指定要删除的形状时要删除的值。

默认情况下,仅检查母版幻灯片的页眉和页脚。 若要将此搜索扩展到所有幻灯片,这是一个资源密集型过程,请使用名为 RemoveExternalContentMarkingInAllSlides的其他高级客户端设置:

  • 密钥 :RemoveExternalContentMarkingInAllSlides

  • :True

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInAllSlides="True"}
从自定义布局中删除外部内容标记PowerPoint

此配置使用必须使用安全合规中心PowerShell 配置Office 365 策略高级设置。

默认情况下,用于删除外部内容标记的逻辑将忽略在 PowerPoint 中配置的自定义PowerPoint。 若要将此逻辑扩展到自定义布局,将RemoveExternalMarkingFromCustomLayouts 高级属性设置为True。

  • :RemoveExternalMarkingFromCustomLayouts

  • :True

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}

在文件资源管理器中关闭自定义权限

此配置使用必须使用安全合规中心PowerShell 配置Office 365 策略高级设置。

默认情况下,当用户在文件资源管理器中右键单击并选择"分类和保护"时,会看到名为"使用自定义权限保护"的选项。 此选项允许他们设置自己的保护设置,以替代标签配置中可能包含的任何保护设置。 用户还可以看到删除保护的选项。 配置此设置时,用户看不到这些选项。

若要配置此高级设置,请为所选标签策略输入以下字符串:

  • 密钥 :EnableCustomPermissions

  • :False

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

对于使用自定义权限保护的文件,始终在文件资源管理器中向用户显示自定义权限

此配置使用必须使用安全合规中心PowerShell 配置Office 365 策略高级设置。

将高级客户端设置配置为在文件资源管理器中关闭自定义权限时,默认情况下,用户无法查看或更改已在受保护文档中设置的自定义权限。

但是,可以指定另一个高级客户端设置,以便在此方案中,用户使用文件资源管理器并右键单击该文件时,可以看到并更改受保护文档的自定义权限。

若要配置此高级设置,请为所选标签策略输入以下字符串:

  • 密钥 :EnableCustomPermissionsForCustomProtectedFiles

  • :True

PowerShell 命令示例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}

对于带附件的电子邮件,应用与这些附件的最高分类相匹配的标签

此配置使用必须使用安全合规中心 PowerShell Office 365配置的策略高级设置。

当用户将带有标签的文档附加到电子邮件,并且不标记电子邮件本身时,此设置适用于 。 在此方案中,根据应用于附件的分类标签,自动为它们选择标签。 选择最高的分类标签。

附件必须是物理文件,不能是指向文件的链接 (例如,指向 Microsoft SharePoint 或 OneDrive) 。

可以将此设置配置为"建议 ",以便提示用户使用可自定义的工具提示将所选标签应用于其电子邮件。 用户可以接受或消除建议。 或者,可以将此设置配置为"自动",其中会自动应用所选标签,但用户可以在发送电子邮件之前删除标签或选择其他标签。

注意

将具有最高分类标签的附件配置为使用用户定义的权限设置进行保护时:

  • 当标签的用户定义权限包括"不转发"Outlook (") ,将选中该标签,并且"不转发"保护将应用于电子邮件。
  • 当标签的用户定义权限仅适用于 Word、Excel、PowerPoint 和文件资源管理器时,该标签不会应用于电子邮件,也不应用于保护。

若要配置此高级设置,请为所选标签策略输入以下字符串:

  • 密钥 1:AttachmentAction

  • 密钥值 1:推荐或自动

  • 密钥 2:AttachmentActionTip

  • 键值 2:" < 自定义工具提示 > "

自定义的工具提示仅支持单种语言。

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{AttachmentAction="Automatic"}

为用户添加"报告问题"

此配置使用必须使用安全合规中心PowerShell 配置Office 365策略 高级设置。

指定以下高级客户端设置时,用户会看到"报告问题"选项,用户可以从"帮助和反馈客户端"对话框中选择该选项。 指定链接的 HTTP 字符串。 例如,用户可报告的自定义网页,或转到技术支持的电子邮件地址。

若要配置此高级设置,请为所选标签策略输入以下字符串:

  • :ReportAnIssueLink

  • :HTTP > 字符串

网站的示例值: https://support.contoso.com

电子邮件地址的示例值: mailto:helpdesk@contoso.com

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}

在通知中实现弹出Outlook警告、证明或阻止发送的电子邮件

此配置使用必须使用安全合规中心 PowerShell Office 365配置 的策略高级设置。

创建和配置以下高级客户端设置时,用户在 Outlook 中会看到弹出消息,这些弹出消息可以在发送电子邮件之前警告他们,或者要求他们提供发送电子邮件的理由,或者阻止他们针对以下方案之一发送电子邮件:

  • 其电子邮件或电子邮件附件具有特定标签

    • 附件可以是任何文件类型
  • 他们的电子邮件或电子邮件附件没有标签

    • 附件可以是文档Office PDF 文档

满足这些条件时,用户会看到一条包含以下操作之一的弹出消息:

类型 说明
警告 用户可以确认并发送或取消。
两端对齐 系统会提示用户 (预定义选项或自由格式) ,然后用户可以发送或取消电子邮件。
理由文本将写入电子邮件 x-header,以便其他系统(例如 DLP 服务中的数据丢失防护 (读取) 文本。
阻止 在条件仍然存在时,阻止用户发送电子邮件。
该消息包括阻止电子邮件的原因,以便用户可以解决问题。
例如,删除特定收件人或标记电子邮件。

当弹出消息用于特定标签时,可以按域名为收件人配置例外。

请参阅 Azure信息保护Outlook弹出窗口配置"视频,了解如何配置这些设置的演练示例。

提示

为了确保即使文档从外部共享,Outlook (文件共享附加副本) ,也请配置>高级设置。 >

有关详细信息,请参阅:

实现特定标签的警告、两端对齐或阻止弹出消息

对于所选策略,使用以下键创建以下一个或多个高级设置。 对于值,按 GUID 指定一个或多个标签,每个标签用逗号分隔。

作为逗号分隔字符串的多个标签 GUID 的示例值:

dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
消息类型 键/值
警告 密钥 :OutlookWarnUntrustedCollaborationLabel

值: <<>
两端对齐 密钥 :OutlookJustifyUntrustedCollaborationLabel

值: <<>
阻止 密钥 :OutlookBlockUntrustedCollaborationLabel

值: <<>

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e,b6d21387-5d34-4dc8-90ae-049453cec5cf,bb48a6cb-44a8-49c3-9102-2d2b017dcead,74591a94-1e0e-4b5d-b947-62b70fc0f53a,6c375a97-2b9b-4ccd-9c5b-e24e4fd67f73"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyUntrustedCollaborationLabel="dc284177-b2ac-4c96-8d78-e3e1e960318f,d8bb73c3-399d-41c2-a08a-6f0642766e31,750e87d4-0e91-4367-be44-c9c24c9103b4,32133e19-ccbd-4ff1-9254-3a6464bf89fd,74348570-5f32-4df9-8a6b-e6259b74085b,3e8d34df-e004-45b5-ae3d-efdc4731df24"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockUntrustedCollaborationLabel="0eb351a6-0c2d-4c1d-a5f6-caa80c9bdeec,40e82af6-5dad-45ea-9c6a-6fe6d4f1626b"}

对于进一步自定义,还可以免除为特定标签配置的弹出 消息的域名

注意

本部分中的高级设置 (OutlookWarnUntrustedCollaborationLabel、OutlookJustifyUntrustedCollaborationLabelOutlookBlockUntrustedCollaborationLabel) 适用于使用特定标签时。

若要为未标记的内容实现默认 弹出消息, 请使用 OutlookUnlabeledCollaborationAction 高级设置。 若要自定义未标记内容的弹出消息,请使用 .json 文件来定义高级设置。

有关详细信息,请参阅自定义Outlook消息

提示

为确保根据需要显示阻止邮件,即使对于位于 Outlook 通讯组列表中的收件人,请确保添加EnableOutlookDistributionListExpansion高级设置。

免除为特定标签配置的弹出消息的域名

对于使用这些弹出邮件指定的标签,您可以免除特定域名,以便用户看不到其电子邮件地址中包含该域名的收件人的邮件。 在这种情况下,发送电子邮件时不会中断。 若要指定多个域,请将它们添加为单个字符串,用逗号分隔。

典型的配置是仅为组织外部的收件人或者不是组织的授权合作伙伴的收件人显示弹出消息。 在这种情况下,指定组织和合作伙伴使用的所有电子邮件域。

对于相同的标签策略,请创建以下高级客户端设置,并针对 值指定一个或多个域,每个域用逗号分隔。

作为逗号分隔字符串的多个域的示例值: contoso.com,fabrikam.com,litware.com

消息类型 键/值
警告 密钥 :OutlookWarnTrustedDomains

值:域名,逗号分隔
两端对齐 密钥 :OutlookJustifyTrustedDomains

值:域名,逗号分隔
阻止 密钥 :OutlookBlockTrustedDomains

值:域名,逗号分隔

例如,假设你已指定"机密 \所有员工"标签的 OutlookBlockUntrustedCollaborationLabel 高级 客户端 设置。

现在,使用 contoso.com 指定OutlookBlockTrustedDomains的其他高级客户端 contoso.com。 因此,当标记为"机密 \ 所有员工"时,用户可以向 发送电子邮件,但会阻止向 Gmail 帐户发送带有相同标签 john@sales.contoso.com 的电子邮件。 john@sales.contoso.com

PowerShell 命令示例,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockTrustedDomains="contoso.com"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyTrustedDomains="contoso.com,fabrikam.com,litware.com"}

注意

为确保根据需要显示阻止邮件,即使对于位于 Outlook 通讯组列表中的收件人,请确保添加EnableOutlookDistributionListExpansion高级设置。

为没有标签的电子邮件或附件实现警告、两端对齐或阻止弹出消息

对于相同的标签策略,使用以下值之一创建以下高级客户端设置:

消息类型 键/值
警告 密钥 :OutlookUnlabeledCollaborationAction

值: 警告
两端对齐 密钥 :OutlookUnlabeledCollaborationAction

值: 两端对齐
阻止 密钥 :OutlookUnlabeledCollaborationAction

值:
关闭这些消息 密钥 :OutlookUnlabeledCollaborationAction

值: 关闭

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Warn"}

有关进一步自定义,请参阅:

定义没有标签的电子邮件附件的警告、两端对齐或阻止弹出邮件的特定文件扩展名

默认情况下,警告、两端对齐或阻止弹出消息适用于所有Office和 PDF 文档。 可以通过指定应该显示警告、两端对齐或阻止消息的文件扩展名来优化此列表,该扩展名具有其他高级设置和以逗号分隔的文件扩展名列表。

要定义为逗号分隔字符串的多个文件扩展名的示例值: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM

此示例中,未标记的 PDF 文档不会生成警告、两端对齐或阻止弹出消息。

对于同一标签策略,请输入以下字符串:

  • 密钥 :OutlookOverrideUnlabeledCollaborationExtensions

  • :用于显示消息的文件扩展名,逗号分隔

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.PPT,.PPTX,.PPTM"}

为没有附件的电子邮件指定其他操作

默认情况下, 为 OutlookUnlabeledCollaborationAction 指定的用于警告、两端对齐或阻止弹出邮件的值适用于没有标签的电子邮件或附件。

可以通过为没有附件的电子邮件指定另一个高级设置来优化此配置。

使用以下值之一创建以下高级客户端设置:

消息类型 键/值
警告 密钥 :OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

值: 警告
两端对齐 密钥 :OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

值: 两端对齐
阻止 密钥 :OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

值:
关闭这些消息 密钥 :OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

值: 关闭

如果未指定此客户端设置, 则为 OutlookUnlabeledCollaborationAction 指定的值用于不带附件的未标记电子邮件以及带附件的未标记电子邮件。

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior="Warn"}

搜索Outlook收件人时展开通讯组列表

此配置使用必须使用安全合规中心PowerShell 配置Office 365 策略高级设置。

若要将支持从其他高级设置扩展到通讯Outlook内的收件人,将EnableOutlookDistributionListExpansion高级设置设置为true。

  • 密钥 :EnableOutlookDistributionListExpansion
  • :true

例如,如果已配置OutlookBlockTrustedDomains、OutlookBlockUntrustedCollaborationLabel高级设置,并配置EnableOutlookDistributionListExpansion设置,则启用 Outlook 以展开通讯组列表,以确保根据需要显示阻止消息。

展开通讯组列表的默认超时为 2000 毫秒。

若要修改此超时,请为所选策略创建以下高级设置:

  • 密钥 :OutlookGetEmailAddressesTimeOutMSProperty
  • 值: 整数(以毫秒为单位)

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{
  EnableOutlookDistributionListExpansion="true"
  OutlookGetEmailAddressesTimeOutMSProperty="3000"
}

防止审核数据发送到 AIP Microsoft 365分析

默认情况下,Azure 信息保护统一标签客户端支持中心报告,并将其审核数据发送到:

若要更改此行为,以便不发送审核数据,请执行下列操作:

  1. 使用安全合规中心 PowerShell Office 365策略高级设置:

    • 密钥 :EnableAudit

    • :False

    例如,如果标签策略名为"全局":

    Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}
    

    注意

    默认情况下,此高级设置不在策略中,并且会发送审核日志。

  2. 在所有 Azure 信息保护客户端计算机中,删除以下 文件夹:%localappdata%\Microsoft\MSIP\mip

若要使客户端能够再次审核日志数据,请将高级设置值更改为True。 无需在客户端计算机上再次手动创建 %localappdata%\Microsoft\MSIP\mip 文件夹。

将信息类型与 Azure 信息保护分析匹配

此配置使用必须使用安全合规中心PowerShell 配置Office 365 策略高级设置。

默认情况下,统一标签客户端不会将敏感信息类型的内容匹配项发送到 Azure 信息保护分析。 有关可发送的其他信息,请参阅中心报告文档中的内容匹配项进行更深入的分析部分。

若要在发送敏感信息类型时发送内容匹配项,在标签策略中创建以下高级客户端设置:

  • 密钥 :LogMatchedContent

  • :True

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}

限制 CPU 消耗

从扫描仪版本 2.7.x.x 开始,我们建议使用以下 ScannerMaxCPUScannerMinCPU 高级设置限制 CPU 消耗。

重要

使用以下线程限制策略时,将忽略 ScannerMaxCPUScannerMinCPU 高级设置。 若要使用 ScannerMaxCPUScannerMinCPU 高级设置限制 CPU 消耗,请取消使用限制线程数的策略。

此配置使用必须使用安全合规中心PowerShell 配置Office 365 策略高级设置。

若要限制扫描程序计算机上 CPU 的消耗,可创建两个高级设置来管理它:

  • ScannerMaxCPU:

    默认设置 为 100, 这意味着最大 CPU 消耗没有限制。 在这种情况下,扫描程序进程将尝试使用所有可用的 CPU 时间来最大化扫描速率。

    如果将 ScannerMaxCPU 设置为小于 100,扫描仪将监视过去 30 分钟的 CPU 消耗。 如果平均 CPU 超过你设置的限制,它将开始减少分配给新文件的线程数。

    只要 CPU 消耗高于 ScannerMaxCPU 设置的限制,线程 数限制就会继续

  • ScannerMinCPU:

    仅在 ScannerMaxCPU 不等于 100 且不能设置为高于 ScannerMaxCPU 值的数量时选中。 我们建议使 ScannerMinCPU 设置至少比 ScannerMaxCPU的值低 15 个点。

    默认设置 为 50, 这意味着如果过去 30 分钟的 CPU 消耗量低于此值,扫描程序将开始添加新线程以并行扫描更多文件,直到 CPU 消耗达到 为 ScannerMaxCPU-15 设置的级别。

限制扫描仪使用的线程数

重要

使用以下线程限制策略时,将忽略 ScannerMaxCPUScannerMinCPU 高级设置。 若要使用 ScannerMaxCPUScannerMinCPU 高级设置限制 CPU 消耗,请取消使用限制线程数的策略。

此配置使用必须使用安全合规中心PowerShell 配置Office 365 策略高级设置。

默认情况下,扫描仪使用运行扫描仪服务的计算机上所有可用的处理器资源。 如果需要在此服务扫描时限制 CPU 消耗,在标签策略中创建以下高级设置。

对于 值,指定扫描程序可以并行运行的并发线程数。 扫描程序对扫描的每个文件使用单独的线程,因此此限制配置还定义了可以并行扫描的文件数。

首次配置用于测试的值时,建议为每个核心指定 2 个,然后监视结果。 例如,如果在具有 4 个核心的计算机上运行扫描仪,则首先将值设置为 8。 如有必要,请根据扫描程序计算机和扫描率所需的最终性能增加或减少该数字。

  • :ScannerConcurrencyLevel

  • 值: 并发线程数 >

PowerShell 命令示例,其中标签策略名为"Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}

从安全群岛和其他标签解决方案迁移标签

此配置使用必须使用安全合规中心 PowerShell Office 365标签高级设置。

此配置与具有 .p pdf 文件扩展名的受保护 PDF 文件不兼容。 客户端无法使用文件资源管理器或 PowerShell 打开这些文件。

对于Office安全群岛标记的文档,可以使用定义的映射重新标记这些具有敏感度标签的文档。 当其他解决方案的标签位于文档上时,还可使用此方法重复使用Office标签。

由于此配置选项,Azure 信息保护统一标签客户端会应用新的敏感度标签,如下所示:

  • 对于Office文档:在桌面应用中打开文档时,新的敏感度标签显示为已设置,在保存文档时应用。

  • 对于PowerShell:Set-AIPFileLabelSet-AIPFileClassificiation可以应用新的敏感度标签。

  • 对于文件资源管理器:在"Azure 信息保护"对话框中,将显示新的敏感度标签,但未设置。

此配置要求为要映射到旧标签的每个敏感度标签指定名为 labelByCustomProperties 的高级设置。 然后,对于每个条目,使用以下语法设置值:

[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]

指定选择的迁移规则名称。 使用一个描述性名称,帮助确定如何将以前的标签解决方案中的一个或多个标签映射到敏感度标签。

请注意,此设置不会从文档中删除原始标签,也不删除文档中原始标签可能应用的任何视觉标记。 若要删除页眉和页脚,请参阅 从其他标签解决方案中删除页眉和页脚

示例:

有关其他自定义,请参阅:

注意

如果跨租户(例如公司合并后)从标签迁移,建议阅读有关合并和调整的博客 文章,了解 详细信息。

示例 1:相同标签名称的一对一映射

要求:Azure 信息保护应重新将安全群岛标签为"机密"的文档标记为"机密"。

本示例:

  • 安全群岛标签名为 "机密 ",并存储在名为"分类"的自定义 属性中

高级设置:

  • :labelByCustomProperties

  • 值: 安全群岛标签为"机密、分类、机密"

PowerShell 命令示例,其中标签名为"机密":

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Confidential,Classification,Confidential"}

示例 2:不同标签名称的一对一映射

要求:Azure 信息保护应重新将安全群岛标记为"敏感"的文档标记为"高度机密"。

本示例:

  • 安全群岛标签名为 "敏感 ",存储在名为"分类"的自定义 属性中

高级设置:

  • :labelByCustomProperties

  • 值: 安全群岛标签是敏感、分类、敏感

PowerShell 命令示例,其中标签名为"高度机密":

Set-Label -Identity "Highly Confidential" -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Sensitive,Classification,Sensitive"}

示例 3:标签名称的多对一映射

要求:有两个包含"内部"一词的安全群岛标签,并且希望 Azure 信息保护统一标签客户端将具有这些安全群岛标签之一的文档重新标记为"常规"。

本示例:

  • 安全群岛标签包含单词 "内部 ",并存储在名为"分类"的自定义 属性中

高级客户端设置:

  • :labelByCustomProperties

  • 值: 安全群岛标签包含 Internal,Classification,.*Internal。*

PowerShell 命令示例,其中标签名为"常规":

Set-Label -Identity General -AdvancedSettings @{labelByCustomProperties="Secure Islands label contains Internal,Classification,.*Internal.*"}

示例 4:同一标签的多个规则

如果同一标签需要多个规则,请为同一个键定义多个字符串值。

此示例中,名为"机密"和"机密"的安全群岛标签存储在名为 "分类"的自定义属性中,希望 Azure 信息保护统一标签客户端应用名为"机密"的敏感度标签:

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

将标签迁移规则扩展到电子邮件

除了 Office 文档外,还可以指定其他标签策略高级设置,使用通过 Outlook 电子邮件的labelByCustomProperties高级设置定义的配置。

但是,此设置对 Outlook 的性能有已知的负面影响,因此,只有在对此设置有很强的业务要求并记得在从另一个标签解决方案完成迁移时,才配置此附加设置,并记住将其设置为 null 字符串值。

若要配置此高级设置,请为所选标签策略输入以下字符串:

  • 密钥 :EnableLabelByMailHeader

  • :True

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelByMailHeader="True"}

将标签迁移规则扩展到SharePoint属性

可以使用通过labelByCustomProperties高级设置为 SharePoint 属性定义的配置,通过指定其他标签策略高级设置,可以将这些属性作为列公开给用户。

使用 Word、Excel 和 PowerPoint 时,支持PowerPoint。

若要配置此高级设置,请为所选标签策略输入以下字符串:

  • 密钥 :EnableLabelBySharePointProperties

  • :True

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelBySharePointProperties="True"}

应用标签时应用自定义属性

此配置使用必须使用安全合规中心 PowerShell Office 365标签高级设置。

在某些情况下,你可能想要将一个或多个自定义属性应用到文档或电子邮件,以及敏感度标签所应用的元数据。

例如:

  • 正在从另一个标签解决方案(如安全群岛)迁移。 为了在迁移期间实现互操作性,希望敏感度标签也应用其他标签解决方案使用的自定义属性。

  • 对于内容管理系统 (例如 SharePoint 或其他供应商的文档管理解决方案) 你想要对标签使用不同的值,并使用用户友好名称而不是标签 GUID 使用一致的自定义属性名称。

若要Office文档Outlook使用 Azure 信息保护统一标签客户端标记的电子邮件,可以添加定义的一个或多个自定义属性。 还可以对统一标签客户端使用此方法,将自定义属性显示为其他解决方案中尚未由统一标签客户端标记的内容的标签。

由于此配置选项,Azure 信息保护统一标签客户端会应用任何其他自定义属性,如下所示:

环境 说明
Office文档 在桌面应用中标记文档时,保存文档时将应用其他自定义属性。
Outlook电子邮件 当电子邮件在电子邮件Outlook时,其他属性将应用于发送电子邮件时 x-header。
PowerShell 在标记并保存文档时,Set-AIPFileLabelSet-AIPFileClassificiation 将应用其他自定义属性。

如果未应用敏感度标签,Get-AIPFileStatus 将自定义属性显示为映射的标签。
文件资源管理器 当用户右单击文件并应用标签时,将应用自定义属性。

此配置要求为要应用其他自定义属性的每个敏感度标签指定名为 customPropertiesByLabel 的高级设置。 然后,对于每个条目,使用以下语法设置值:

[custom property name],[custom property value]

重要

在字符串中使用空格将阻止应用标签。

例如:

示例 1:为标签添加单个自定义属性

要求:Azure 信息保护统一标签客户端标记为"机密"的文档应具有名为"Classification"且值为"Secret"的附加自定义属性。

本示例:

  • 敏感度标签名为"机密",并创建名为Classification的自定义属性,其值为"机密"。

高级设置:

  • :customPropertiesByLabel

  • 值: 分类、机密

PowerShell 命令示例,其中标签名为"机密":

    Set-Label -Identity Confidential -AdvancedSettings @{customPropertiesByLabel="Classification,Secret"}

示例 2:为标签添加多个自定义属性

若要为同一标签添加多个自定义属性,需要为同一个键定义多个字符串值。

示例 PowerShell 命令,其中标签名为"常规",并且想要添加一个名为 Classification 且值为 General 的自定义属性,以及名为 Sensitivity 且值为 Internal的第二个自定义属性:

Set-Label -Identity General -AdvancedSettings @{customPropertiesByLabel=ConvertTo-Json("Classification,General", "Sensitivity,Internal")}

配置一个标签以在 Outlook 中应用 S/MIME 保护

配置使用必须使用安全合规中心 PowerShell Office 365标签高级 设置。

只有当有一个正常工作的 S/MIME 部署并且希望标签自动将此保护方法应用于电子邮件而不是来自 Azure 信息保护的 Rights Management 保护时,才使用这些设置。 生成的保护与用户从用户手动选择 S/MIME 选项时Outlook。

配置 键/值
S/MIME 数字签名 若要为 S/MIME 数字签名配置高级设置,请为所选标签输入以下字符串:

- 密钥 :SMimeSign

- 值 :True
S/MIME 加密 若要为 S/MIME 加密配置高级设置,请为所选标签输入以下字符串:

- 密钥 :SMimeEncrypt

- 值 :True

如果指定的标签已配置为加密,则对于 Azure 信息保护统一标签客户端,S/MIME 保护将仅在 Outlook。 客户端继续使用为密码中的标签指定的加密Microsoft 365 合规中心。

对于Office标签的应用,这些标签不会向用户显示。

如果希望标签仅在 Outlook中可见,请从"允许用户分配权限"中配置"不转发加密"选项

PowerShell 命令示例,其中标签名为"仅收件人":

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeSign="True"}

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeEncrypt="True"}

指定父标签的默认子标签

此配置使用必须使用安全合规中心 PowerShell Office 365标签高级设置。

向标签添加子标签时,用户无法再将父标签应用于文档或电子邮件。 默认情况下,用户选择父标签以查看可应用子标签,然后选择其中一个子标签。 如果配置此高级设置,当用户选择父标签时,会自动选择子标签并应用该子标签:

  • :DefaultSubLabelId

  • 值: 子标签 GUID >

示例 PowerShell 命令,其中父标签名为"机密","所有员工"子标签的 GUID 为 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}

打开分类以在后台连续运行

此配置使用必须使用安全合规中心 PowerShell Office 365标签高级设置。

配置此设置时,它会更改 Azure 信息保护统一标签客户端对文档应用自动标签和推荐标签的默认行为:

对于 Word、Excel和PowerPoint,自动分类在后台持续运行。

此行为不会更改Outlook。

当 Azure 信息保护统一标签客户端定期检查文档中的指定条件规则时,此行为为存储在 SharePoint 或 OneDrive 中的 Office 文档启用自动和推荐分类和保护,只要自动保存已打开。 大型文件保存速度也更快,因为条件规则已运行。

条件规则不会以用户类型实时运行。 相反,如果修改了文档,则它们定期作为后台任务运行。

若要配置此高级设置,请输入以下字符串:

  • :RunPolicyInBackground
  • :True

PowerShell 命令示例:

Set-LabelPolicy -Identity PolicyName -AdvancedSettings @{RunPolicyInBackground = "true"}

注意

此功能目前以预览版提供。 Azure 预览版补充条款包括适用于以 beta 版、预览版或尚未正式版发布的 Azure 功能的其他法律条款。

指定标签的颜色

配置使用必须使用安全合规中心 PowerShell Office 365标签高级 设置。

使用此高级设置设置标签的颜色。 若要指定颜色,请输入红色、绿色和蓝色三重代码, (RGB) 颜色的组成部分。 例如,#40e0d0是青绿色 RGB 十六进制值。

如果需要这些代码的参考,MSDN > Web 文档的颜色页中会提供有用的表格。还可以在允许编辑图片的许多应用程序中找到这些代码。 例如,Microsoft 画图面板中选择自定义颜色,RGB 值会自动显示,然后可以复制这些值。

若要为标签的颜色配置高级设置,请为所选标签输入以下字符串:

  • 键: 颜色

  • :RGB 十六 > 进制值

PowerShell 命令示例,其中标签名为"Public":

Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}

以其他用户登录

在生产环境中,AIP 不支持使用多个用户登录。 此过程介绍如何仅出于测试目的以其他用户登录。

可以使用"Microsoft Azure信息保护"对话框验证当前登录的帐户:打开 Office 应用程序,然后在"开始"选项卡上选择"敏感度"按钮,然后选择"帮助和反馈"。 帐户名称显示在"客户端状态 " 部分中。

另请确保检查显示的已登录帐户的域名。 使用正确的帐户名称登录但域错误很容易被遗漏。 使用错误帐户的症状包括无法下载标签,或者看不到预期的标签或行为。

以其他用户登录

  1. 导航到 %localappdata%\Microsoft\MSIP 并删除 TokenCache 文件。

  2. 重启任何Office应用程序,然后使用不同的用户帐户登录。 如果在 Office 应用程序中未看到登录 Azure 信息保护服务的提示,请返回到"Microsoft Azure 信息保护"对话框,然后从更新的"客户端状态"部分选择"登录"。

此外:

方案 说明
仍登录到旧帐户 如果 Azure 信息保护统一标签客户端在完成这些步骤后仍使用旧帐户登录,请从 Internet Explorer 中删除所有 cookie,然后重复步骤 1 和 2。
使用单一登录 如果使用单一登录,则必须从 Windows,并删除令牌文件后使用不同的用户帐户登录。

然后,Azure 信息保护统一标签客户端使用当前登录的用户帐户自动进行身份验证。
不同的租户 此解决方案支持以同一租户中的其他用户登录。 不支持以另一用户从另一租户登录。

若要使用多个租户测试 Azure 信息保护,请使用不同的计算机。
重置设置 可以使用"帮助和反馈"中的"重置设置"选项注销,并删除当前下载的标签和策略Microsoft 365 合规中心。

对断开连接的计算机的支持

重要

以下标记方案支持断开连接的计算机:文件资源管理器、PowerShell、Office应用和扫描仪。

默认情况下,Azure 信息保护统一标签客户端会自动尝试连接到 Internet,从客户端下载标签和标签策略Microsoft 365 合规中心。

如果有一段时间无法连接到 Internet 的计算机,可以导出和复制手动管理统一标签客户端策略的文件。

若要支持从统一标签客户端断开连接的计算机,

  1. 选择或创建用户帐户Azure AD,用于下载要用于断开连接计算机的标签和策略设置。

  2. 作为此帐户的附加标签策略设置,请关闭向 Azure 信息保护分析 发送审核数据

    我们建议执行此步骤,因为如果断开连接的计算机具有定期 Internet 连接,它将日志记录信息发送到包含步骤 1 中用户名的 Azure 信息保护分析。 该用户帐户可能不同于在断开连接的计算机上使用的本地帐户。

  3. 从具有 Internet 连接的计算机(已安装统一标签客户端,并且使用步骤 1 中的用户帐户登录)下载标签和策略设置。

  4. 从此计算机导出日志文件。

    例如,运行Export-AIPLogs cmdlet,或使用客户端的"帮助和反馈"对话框中的"导出日志"选项。

    日志文件导出为单个压缩文件。

  5. 打开压缩文件,然后从 MSIP 文件夹复制扩展名.xml文件。

  6. 将这些文件粘贴到已断开连接计算机的 %localappdata%\Microsoft\MSIP 文件夹中。

  7. 如果选择的用户帐户通常是连接到 Internet 的帐户,请再次启用发送审核数据,将EnableAudit值设置为True。

请注意,如果此计算机上用户从"帮助和反馈"中选择"重置设置"选项,此操作将删除策略文件,使客户端不可操作,直到手动替换文件或客户端连接到 Internet 并下载文件。

如果断开连接的计算机正在运行 Azure 信息保护扫描程序,则必须执行其他配置步骤。 有关详细信息,请参阅 限制:扫描程序服务器无法通过扫描 程序部署说明建立 Internet 连接。

更改本地日志记录级别

默认情况下,Azure 信息保护统一标签客户端将客户端日志文件写入 %localappdata%\Microsoft\MSIP 文件夹。 这些文件旨在由 Microsoft 支持人员进行故障排除。

若要更改这些文件的日志记录级别,请在注册表中查找以下值名称,将值数据设置为所需的日志记录级别:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel

将日志记录级别设置为以下值之一:

  • 关闭:无本地日志记录。

  • 错误:仅错误。

  • 警告:错误和警告。

  • 信息:最小日志记录,包括没有事件 (扫描程序设置的默认设置) 。

  • 调试:完整信息。

  • 跟踪:详细日志记录 (客户端日志的默认设置) 。

此注册表设置不会更改发送到 Azure 信息保护以用于中心 报告的信息

根据文件属性,在扫描过程中跳过或忽略文件

此配置使用必须使用安全合规中心PowerShell 配置Office 365策略 高级设置。

默认情况下,Azure 信息保护统一标签扫描程序会扫描所有相关文件。 但是,你可能想要定义要跳过的特定文件,例如,用于存档文件或已移动的文件。

使用 ScannerFSAttributesToSkip 高级设置,使扫描程序能够根据文件属性跳过特定文件。 在设置值中,列出文件属性,当所有属性都设置为 true 时,将允许跳过 该文件。 此文件属性列表使用 AND 逻辑。

以下示例 PowerShell 命令演示了如何将此高级设置与名为"Global"的标签一起使用。

跳过只读和存档的文件

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}

跳过只读或存档的文件

若要使用 OR 逻辑,请多次运行同一属性。 例如:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}

提示

建议考虑启用扫描程序以跳过具有以下属性的文件:

  • FILE_ATTRIBUTE_SYSTEM
  • FILE_ATTRIBUTE_HIDDEN
  • FILE_ATTRIBUTE_DEVICE
  • FILE_ATTRIBUTE_OFFLINE
  • FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
  • FILE_ATTRIBUTE_RECALL_ON_OPEN
  • FILE_ATTRIBUTE_TEMPORARY

有关可在 ScannerFSAttributesToSkip 高级设置中定义的所有文件属性的列表,请参阅 Win32 文件属性常量

在标记公共预览版 (期间保留 NTFS)

此配置使用必须使用安全合规中心PowerShell 配置Office 365策略 高级设置。

默认情况下,扫描仪、PowerShell 和文件资源管理器扩展名标签不会保留标签之前定义的 NTFS 所有者。

若要确保保留 NTFS 所有者值,请为所选标签策略将UseCopyAndPreserveNTFSOwner高级设置设置为 true。

警告

只有在可以确保扫描程序与扫描存储库之间的低延迟、可靠的网络连接时,才定义此高级设置。 自动标记过程中的网络故障可能导致文件丢失。

标签策略名为"全局"时的示例 PowerShell 命令:

Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}

注意

此功能目前以预览版提供。 Azure 预览版补充条款包括适用于以 beta 版、预览版或尚未正式版发布的 Azure 功能的其他法律条款。

为修改的标签自定义理由提示文本

自定义最终用户更改文档和电子邮件上的分类标签时,Office AIP 客户端中显示的理由提示。

例如,作为管理员,你可能希望提醒用户不要向此字段添加任何客户标识信息:

自定义理由提示文本

若要修改显示的默认"其他"文本,请使用具有Set-LabelPolicy cmdlet的 JustificationTextForUserText高级属性。 将值设置为要改为使用的文本。

标签策略名为"全局"时的示例 PowerShell 命令:

Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}

自定义Outlook弹出消息

AIP 管理员可以自定义向用户中的最终用户显示Outlook消息,例如:

  • 阻止的电子邮件的邮件
  • 提示用户验证其正在发送的内容的警告消息
  • 请求用户证明所发送内容的理由消息

重要

此过程将覆盖已使用 OutlookUnlabeledCollaborationAction 高级属性定义的任何设置。

在生产环境中,我们建议使用OutlookUnlabeledCollaborationAction高级属性定义规则,或者使用下面定义的json文件定义复杂规则,但不要同时定义这两者,避免复杂情况。

若要自定义Outlook消息:

  1. 创建.json文件,每个文件都有一个规则,用于Outlook向用户显示弹出消息。 有关详细信息,请参阅规则 值 .json 语法示例弹出窗口自定义 .json 代码

  2. 使用 PowerShell 定义用于控制要配置的弹出消息的高级设置。 为要配置的每个规则运行一组单独的命令。

    每组 PowerShell 命令必须包含要配置的策略的名称,以及定义规则的键和值。

    使用以下语法:

    $filedata = Get-Content "<Path to json file>"
    Set-LabelPolicy -Identity <Policy name> -AdvancedSettings @{<Key> ="$filedata"}
    

    其中:

    • <Path to json file> 是所创建的 json 文件的路径。 例如:C:\Users\msanchez\Desktop\ \dlp\OutlookCollaborationRule_1.json。

    • <Policy name> 是要配置的策略的名称。

    • <Key> 是规则的名称。 使用以下语法,其中 # >是规则的序列号:

      OutlookCollaborationRule_<x>

    有关详细信息,请参阅对自定义规则Outlook规则值json语法排序。

提示

对于其他组织,使用与 PowerShell 命令中使用的密钥相同的字符串命名文件。 例如,将文件 OutlookCollaborationRule_1.json,然后使用 OutlookCollaborationRule_1 作为密钥

若要确保即使文档从外部共享Outlook (文件共享附加副本>) ,也请配置>高级设置。

为自定义Outlook排序

AIP 使用输入的密钥中的序列号来确定规则的处理顺序。 定义用于每个规则的键时,使用较低的数字定义限制性更高的规则,然后定义限制性较低的规则,使用较高的数字。

找到特定规则匹配后,AIP 停止处理规则,并执行与匹配规则关联的操作。 (第一个匹配项 - 退出 逻辑)

示例

假设你想要配置具有特定警告消息的所有内部电子邮件,但通常不希望阻止它们。 但是,你想要阻止用户发送分类为 "机密"的附件,即使这些附件是 内部 电子邮件。

在此方案中,在更通用的"针对内部规则键发出警告"之前,对"阻止机密"规则密钥(更具体的规则)排序:

  • 对于" 阻止" 消息 :OutlookCollaborationRule_1
  • 对于" 警告" 消息 :OutlookCollaborationRule_2

规则值 .json 语法

定义规则的 json 语法,如下所示:

"type" : "And",
"nodes" : []

必须至少有两个节点,第一个节点表示规则的条件,最后一个节点表示规则的操作。 有关详细信息,请参阅:

规则条件语法

规则条件节点必须包括节点类型,然后包括条件本身。

支持的节点类型包括:

节点类型 说明
And 在所有 节点上执行 和
执行 在所有子节点上执行
Not 针对 其自己的子级执行
Except 返回自己的子级,导致其行为为All
SentTo,后跟 域:listOfDomains 检查下列操作之一:
- 如果父级 为"例外",则检查 所有 收件人是否位于其中一个域中
- 如果父级是除 之外的任何 内容,则检查 任何 收件人是否位于其中一个域中。
EMailLabel,后跟标签 下列其中一项:
- 标签 ID
- null(如果未标记)
AttachmentLabel,后跟标签和支持的扩展 下列其中一项:

true:
- 如果"父级" 为"除外", 则检查标签 中是否存在具有一个受支持扩展的所有附件
- 如果父文件是除之外的任何附件,则检查标签中是否存在具有一个受支持扩展的任何附件
- 如果未标记,则 label = null

false:对于所有其他情况

注意:如果 Extensions 属性为空或缺失,则所有受支持的文件类型 (扩展) 包含在规则中。

规则操作语法

规则操作可以是下列操作之一:

操作 语法 示例消息
阻止 Block (List<language, [title, body]>) 电子邮件被阻止

你即将将分类为 机密 的内容发送给一个或多个不受信任的收件人:
rsinclair@contoso.com

组织策略不允许此操作。 请考虑删除这些收件人或替换内容。
警告 Warn (List<language,[title,body]>) 需要确认

你即将将分类为"常规 " 的内容发送给一个或多个不受信任的收件人:
rsinclair@contoso.com

组织策略要求确认你发送此内容。
两端对齐 Justify (numOfOptions, hasFreeTextOption, List<language, [Title, body, options1,options2….]> )

最多包含三个选项。
所需理由

组织策略要求你提供将分类为"常规 " 的内容发送给不受信任的收件人的理由。

- 我确认收件人已批准共享此内容
- 我的经理批准共享此内容
- 其他,如说明
操作参数

如果未为操作提供参数,则弹出窗口将具有默认文本。

所有文本都支持以下动态参数:

参数 说明
${MatchedRecipientsList} SentTo 条件的最后一个匹配项
${MatchedLabelName} 邮件/附件 标签,其本地化名称来自策略
${MatchedAttachmentName} AttachmentLabel条件最后一个匹配项中的附件名称

注意

所有消息包括"操作方法""更多"选项,以及"帮助反馈"对话框。

语言区域设置名称的 CultureName,例如:英语 ;西班牙语

也支持仅父语言名称,例如 en 仅支持 。

示例弹出窗口自定义 .json 代码

以下.json代码集展示了如何定义各种规则来控制如何Outlook用户显示弹出消息。

示例 1:阻止内部电子邮件或附件

以下 .json 代码将阻止归类为 " 内部"的电子邮件或附件设置为外部收件人。

本示例中,89a453df-5df4-4976-8191-259d0cf9560a是内部标签的ID,内部域包括 contoso.com 和microsoft.com。

由于未指定特定扩展名,因此将包含所有受支持的文件类型。

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			  "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel", 			
					"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a" 		
				},{ 					
                    "type" : "EmailLabel", 					
                    "LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a" 				
                }
			]
		},		
        { 			
            "type" : "Block", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Email Blocked", 				  
                    "Body": "The email or at least one of the attachments is classified as <Bold>${MatchedLabelName}</Bold>. Documents classified as <Bold> ${MatchedLabelName}</Bold> cannot be sent to external recipients (${MatchedRecipientsList}).<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance with classification requirements as per Contoso's policies." 				
                }, 				
                "es-es": { 				  
                    "Title": "Correo electrónico bloqueado", 				  
                    "Body": "El correo electrónico o al menos uno de los archivos adjuntos se clasifica como <Bold> ${MatchedLabelName}</Bold>." 				
                } 			
            }, 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

示例 2:阻止未分类Office附件

以下.json代码阻止Office收件人发送未分类的附件或电子邮件。

在下面的示例中, 需要标记的附件列表为 :.doc,.docm,.docx,.dot,.dotm,.dotx,.potm,.potx,.pps,.ppsm,.ppsx,.ppt,.pptm,.pptx,.vdw。vsd,.vsdm,.vsdx,.vss,.vssm,.vst,.vstm,.vssx,.vstx,.xls,.xlsb,.xlt,.xlsm,.xlsx,.xltm,.xltx

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			        "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel",
					 "LabelId" : null,
					"Extensions": [
									".doc",
									".docm",
									".docx",
									".dot",
									".dotm",
									".dotx",
									".potm",
									".potx",
									".pps",
									".ppsm",
									".ppsx",
									".ppt",
									".pptm",
									".pptx",
									".vdw",
									".vsd",
									".vsdm",
									".vsdx",
									".vss",
									".vssm",
									".vst",
									".vstm",
									".vssx",
									".vstx",
									".xls",
									".xlsb",
									".xlt",
									".xlsm",
									".xlsx",
									".xltm",
									".xltx"
								 ]
					
				},{ 					
                    "type" : "EmailLabel",
					 "LabelId" : null
                }
			]
		},		
        { 			
            "type" : "Block", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Emailed Blocked", 				  
                    "Body": "Classification is necessary for attachments to be sent to external recipients.<br><br>List of attachments that are not classified:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br>For MS Office documents, classify and send again.<br><br>For PDF files, classify the document or classify the email (using the most restrictive classification level of any single attachment or the email content) and send again." 				
                }, 				
                "es-es": { 				  
                    "Title": "Correo electrónico bloqueado", 				  
                    "Body": "La clasificación es necesaria para que los archivos adjuntos se envíen a destinatarios externos." 				
                } 			
            }, 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

示例 3:要求用户接受发送机密电子邮件或附件

以下示例导致Outlook显示一条消息,警告用户他们向外部收件人发送机密电子邮件或附件,同时要求用户选择"我接受"。

从技术上来说,此类警告消息被视为理由,因为用户必须选择"我接受"。

由于未指定特定扩展名,因此将包含所有受支持的文件类型。

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			        "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel", 			
					"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613" 		
				},{ 					
                    "type" : "EmailLabel", 					
                    "LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613" 				
                }
			]
		},		
        { 			
            "type" : "Justify", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Warning", 				  
                    "Body": "You are sending a document that is classified as <Bold>${MatchedLabelName}</Bold> to at least one external recipient. Please make sure that the content is correctly classified and that the recipients are entitled to receive this document.<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><Bold>List of external email addresses:</Bold><br>${MatchedRecipientsList})<br><br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br><Bold>Acknowledgement</Bold><br>By clicking <Bold>I accept</Bold> below, you confirm that the recipient is entitled to receive the content and the communication complies with CS Policies and Standards",
					"Options": [ 						
                        "I accept"			    
                    ] 
                }, 				
                "es-es": { 				  
                    "Title": "Advertencia", 				  
                    "Body": "Está enviando un documento clasificado como <Bold>${MatchedLabelName}</Bold> a al menos un destinatario externo. Asegúrese de que el contenido esté correctamente clasificado y que los destinatarios tengan derecho a recibir este documento.",
                    "Options": [ 						
                        "Acepto"				    
                    ] 					
                } 			
            }, 			
            "HasFreeTextOption":"false", 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

示例 4:对没有标签的邮件以及带有特定标签的附件发出警告

以下.json代码Outlook发送没有标签、带有特定标签的附件时警告用户。

本示例中 ,bcbef25a-c4db-446b-9496-1b558d9edd0e 是附件标签的 ID,规则适用于 .docx、.xlsx 和 .pptx 文件。

默认情况下,带有标签附件的电子邮件不会自动收到相同的标签。

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "EmailLabel",
					 "LabelId" : null			
        },
        {
          "type": "AttachmentLabel",
          "LabelId": "bcbef25a-c4db-446b-9496-1b558d9edd0e",
          "Extensions": [
                ".docx",
                ".xlsx",
                ".pptx"
             ]
        },
	{  			
            "type" : "SentTo",  			
            "Domains" : [  				
                "contoso.com", 				
            ]   		
        }, 		
        { 			
            "type" : "Warn"	
        } 	
    ] 
}

示例 5:提示提供理由,包含两个预定义选项和一个额外的自由文本选项

以下.json代码Outlook提示用户说明其操作的理由。 理由文本包括两个预定义选项,以及第三个自由文本选项。

由于未指定特定扩展名,因此将包含所有受支持的文件类型。

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 									
                ]   			
            } 		
        }, 		
        { 			
            "type" : "EmailLabel", 			
            "LabelId" : "34b8beec-40df-4219-9dd4-553e1c8904c1" 		
        }, 		
        { 			
            "type" : "Justify", 			
            "LocalizationData": { 				
                "en-us": { 					
                    "Title": "Justification Required", 					
                    "Body": "Your organization policy requires justification for you to send content classified as <Bold> ${MatchedLabelName}</Bold>,to untrusted recipients:<br>Recipients are: ${MatchedRecipientsList}", 					
                    "Options": [ 						
                        "I confirm the recipients are approved for sharing this content", 					
                        "My manager approved sharing of this content", 						
                        "Other, as explained" 				    
                    ] 				
                }, 				
                "es-es": { 				    
                    "Title": "Justificación necesaria", 				    
                    "Body": "La política de su organización requiere una justificación para que envíe contenido clasificado como <Bold> ${MatchedLabelName}</Bold> a destinatarios que no sean de confianza.", 				    
                    "Options": [ 						
                        "Confirmo que los destinatarios están aprobados para compartir este contenido.",
                        "Mi gerente aprobó compartir este contenido",
                        "Otro, como se explicó" 					
                    ] 				
                } 			
            }, 			
            "HasFreeTextOption":"true", 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

配置SharePoint超时

默认情况下,尝试的 AIP SharePoint超时为两分钟。

从版本 2.8.85.0 开始,AIP 管理员可以使用以下高级属性控制此超时,使用 hh:mm:ss 语法定义超时:

  • SharepointWebRequestTimeout。 确定所有 AIP Web 请求的超时SharePoint。 默认值 = 2 分钟。

    例如,如果策略名为 "全局",则以下示例 PowerShell 命令将 Web 请求超时更新为 5 分钟。

    Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}
    
  • SharepointFileWebRequestTimeout。 专门确定通过 AIP SharePoint文件超时。 默认值 = 15 分钟

    例如,如果策略名为 "全局",以下示例 PowerShell 命令将文件 Web 请求超时更新为 10 分钟。

    Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
    

避免扫描程序超时SharePoint

如果在 SharePoint 版本 2013 或更高版本中具有长文件路径,请确保 SharePoint 服务器的httpRuntime.maxUrlLength值大于默认 260 个字符。

此值在配置的 HttpRuntimeSection 中定义。

更新 HttpRuntimeSection 类

  1. 备份 web.config 配置。

  2. 根据需要 更新 maxUrlLength 值。 例如:

    <httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000"  />
    
  3. 重启SharePoint Web 服务器,并验证其是否正确加载。

    例如,在 II) S Windows管理器Windows Internet Information Servers (,选择站点,然后在"管理网站"下选择"重启"。

防止Outlook S/MIME 电子邮件出现任何性能问题

在阅读窗格中打开 S/MIME Outlook时,可能会出现性能问题。 若要避免这些问题,请启用 OutlookSkipSmimeOnReadingPaneEnabled 高级属性。

启用此属性可防止 AIP 栏和电子邮件分类显示在阅读窗格中。

例如,如果策略名为 Global,则以下示例 PowerShell 命令将启用 OutlookSkipSmimeOnReadingPaneEnabled 属性:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookSkipSmimeOnReadingPaneEnabled="true"}

关闭文档跟踪功能

默认情况下,为租户启用文档跟踪功能。 若要关闭它们(例如,针对组织或区域的隐私要求,将EnableTrackAndRevoke值设置为False。

关闭后,文档跟踪数据将不再在你的组织中可用,并且用户将不再看到其应用Office选项。

对于所选标签策略,请指定以下字符串:

  • 密钥 :EnableTrackAndRevoke

  • :False

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableTrackAndRevoke="False"}

将此值设置为 False后,跟踪和撤销将关闭,如下所示:

  • 使用 AIP 统一标签客户端打开受保护的文档不再注册文档进行跟踪和撤销。
  • 最终用户将不再看到其应用或应用中的"撤消"Office选项。

但是,将继续跟踪已注册用于跟踪的受保护文档,管理员仍可从 PowerShell 撤消访问权限。 若要完全关闭跟踪和撤销功能,还要运行 Disable-AipServiceDocumentTrackingFeature cmdlet。

此配置使用必须使用安全合规中心PowerShell 配置Office 365 策略高级设置。

提示

若要打开跟踪和撤销,将 EnableTrackAndRevoke 设置为 True,并运行 Enable-AipServiceDocumentTrackingFeature cmdlet。

关闭应用应用中最终用户的"撤销"Office选项

如果不希望最终用户能够撤消其 Office 应用中对受保护文档的访问权限,可以从应用中删除"撤消访问权限"Office选项。

注意

删除" 撤消访问权限 "选项会继续在后台跟踪受保护的文档,并保留管理员通过 PowerShell 撤消对文档的访问权限

对于所选标签策略,请指定以下字符串:

  • 密钥 :EnableRevokeGuiSupport

  • :False

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}

在文件上配置自动标记Office超时

默认情况下,扫描程序对文件自动标记超时Office 3 秒。

如果你有一个包含Excel行的复杂工作表文件,则 3 秒可能不足以自动应用标签。 若要增加所选标签策略的此超时,请指定以下字符串:

  • 密钥 :OfficeContentExtractionTimeout

  • 值:秒,采用以下格式 hh:mm:ss :。

重要

建议不要将此超时时间提高至 15 秒以上。

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}

更新的超时适用于自动标记所有Office文件。

在公共预览版中 (分类全球化)

分类全球化功能,包括东亚语言的准确性提高,并支持双字节字符。 这些增强功能仅针对 64 位进程提供,默认情况下已关闭。

为策略启用这些功能时,请指定以下字符串:

  • 密钥 :EnableGlobalization

  • 值: True

示例 PowerShell 命令,其中标签策略名为"全局":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}

若要再次关闭支持并还原为默认值,将 EnableGlobalization 高级设置设置为空字符串。

下一步

自定义 Azure 信息保护统一标签客户端后,请参阅以下资源,了解支持此客户端可能需要的其他信息: