Azure 信息保护支持的文件类型 (AIP) 统一标签客户端

适用于Azure信息保护、Windows 11、Windows 10、Windows 8.1、Windows 8、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

如果 2010 Windows 7 或 Office,请参阅AIP和旧版 Windows Office 版本。

相关:仅 AIP 统一标签客户端

本文列出了 Azure 信息保护和 AIP 支持的文件类型和大小 (AIP) 统一标签客户端

注意

对于列出的文件类型,不支持 WebDav 位置。

提示

若要保护没有内置保护支持的一般文件类型,同时确保收件人能够如期访问它们,建议将收件人定义为文件共同所有者。 有关详细信息,请参阅 保护泛型文件类型

仅分类支持的文件类型

即使以下文件类型不受保护,也可以分类它们。

  • Adobe Portable 文档格式:.pdf

  • Microsoft Project:.mpp、.mpt

  • Microsoft Publisher:.pub

  • MicrosoftXPS:.xps .oxps

  • 图像:.jpg、.jpe、.jpeg、.jif、.jfif、.jfi。 png、.tif、.tiff

  • Autodesk Design Review 2013:.dwfx

  • Adobe Photoshop:.psd

  • 数字负值:.dng

  • Microsoft Office:以下文件类型,包括 97-2003 文件格式Office Word、Excel 和 PowerPoint:

    .doc
    .docm
    .docx
    .dot
    .dotm
    .dotx
    .potm

    .potx
    .pps
    .ppsm
    .ppsx
    .ppt
    .pptm
    .pptx
    .vdw

    .vsd
    .vsdm
    .vsdx
    .vss
    .vssm
    .vst
    .vstm
    .vssx

    .vstx
    .xls
    .xlsb
    .xlt
    .xlsm
    .xlsx
    .xltm
    .xltx

其他文件类型也受保护时支持分类。 有关这些文件类型,请参阅 分类和保护支持的文件类型 部分。

示例:

  • 如果"常规敏感度"标签应用了分类,但没有应用保护:你可以将"常规"标签应用于名为 sales.pdf 但无法将此标签应用到名为 sales.txt 的文件。

  • 如果 "机密 \ 所有员工 敏感度"标签应用分类和保护:可对此标签应用于名为 sales.pdf 的文件和名为 sales.txt。 也可以只对这些文件应用保护,而不应用分类。

支持保护的文件类型

Azure 信息保护统一标签客户端支持两个不同级别的保护,如下表所述。

保护类型 本机 泛型
说明 对于支持权限管理服务的文本、图像、Microsoft Office (Word、Excel、PowerPoint) 文件、.pdf 文件和其他应用程序文件类型,本机保护提供了强大的保护级别,包括权限 (权限) 的加密和强制执行。 对于其他受支持的文件类型,通用保护提供一个级别的保护,其中包括使用 .pfile 文件类型进行的文件封装和身份验证,以验证用户是否有权打开该文件。
保护 通过以下方式强制实施文件保护:

- 在呈现受保护的内容之前,必须成功对通过电子邮件接收文件或通过文件或共享权限访问该文件的用户进行身份验证。

- 此外,当内容在 Azure 信息保护查看器 (中为受保护的文本和图像文件) 或针对所有其他受支持的文件类型) 的关联应用程序 (中呈现时,将强制实施内容所有者在文件受保护时设置的使用权限和策略。
通过以下方式强制实施文件保护:

- 在呈现受保护的内容之前,必须成功对有权打开文件并有权访问该文件的人员进行身份验证。 如果授权失败,文件不会打开。

- 显示内容所有者设置的使用权限和策略,以通知授权用户预期使用策略。

- 审核已授权用户打开和访问文件的日志记录。 但是,不会强制使用权限。
文件类型的默认值 以下文件类型的默认保护级别:

- 文本和图像文件

- Microsoft Office (Word、Excel、PowerPoint) 文件

- 可移植文档格式 (.pdf)

有关详细信息,请参阅以下部分:分类 和保护支持的文件类型
其他所有文件类型的默认保护 (例如 .vsdx、.rtf 等) 本机保护不支持。

无法更改 Azure 信息保护统一标签客户端或扫描程序应用的默认保护级别。 但是,可以更改受保护的文件类型。 有关详细信息,请参阅 更改要保护的文件类型

当用户选择管理员配置的敏感度标签时,可以自动应用保护,或者用户可以使用权限级别 指定自己的自定义 保护设置

分类和保护支持的文件类型

下表列出了支持 Azure 信息保护统一标签客户端本机保护的文件类型子集,这些文件类型也可以分类。

这些文件类型是单独标识的,因为当它们受到本机保护时,原始文件扩展名会发生更改,并且这些文件将变为只读。 当文件受到一般保护时,原始文件扩展名将始终更改为 .p<file-type>

警告

如果防火墙、Web 代理或安全软件根据文件扩展进行检查和采取措施,可能需要重新配置这些网络设备和软件以支持这些新的文件扩展名。

原始文件扩展名 受保护的文件扩展名
.bmp .pbmp
.gif .pgif
.jfif .pjfif
.jpe .pjpe
.jpeg .pjpeg
.jpg .pjpg
.jt .pjt
.png .ppng
.tif .ptif
.tiff .ptiff
.txt .ptxt
.xla .pxla
.xlam .pxlam
.xml .pxml

文件支持的Office

以下列表包括支持 Azure 信息保护统一标签客户端本机保护的剩余文件类型,这些类型也可以分类。 你将这些类型识别为应用Microsoft Office类型。 这些文件类型支持的文件格式是 97-2003 文件格式和 Office Open XML 格式,适用于以下 Office 程序:Word、Excel 和 PowerPoint。

对于这些文件, 文件扩展名 在文件受权限管理服务保护后保持不变。

.doc

.docm

.docx

.dot

.dotm

.dotx

.potm

.potx

.pps

.ppsm

.ppsx

.ppt

.pptm

.pptx

.vsdm

.vsdx

.vssm

.vssx

.vstm

.vstx

.xls

.xlsb

.xlt

.xlsm

.xlsx

.xltm

.xltx

.xps

从分类和保护中排除的文件类型

为了帮助防止用户更改对计算机操作至关重要的文件,某些文件类型和文件夹会自动从分类和保护中排除。 如果用户尝试使用 Azure 信息保护统一标签客户端对这些文件进行分类或保护,他们将看到一条消息,指出它们已被排除。

  • 排除的文件类型:.lnk、.exe、.com、.cmd、.bat、.dll、.ini、.pst、.sca、.drm、.sys、.cpl、.inf、.drv、.dat、.tmp、.msp、.msi、.pdb、.jar

  • 排除的文件夹

    • Windows
    • Program Files (\Program Files and \Program Files (x86) )
    • \ProgramData
    • \AppData (所有用户)

从 Azure 信息保护扫描程序分类和保护中排除的文件类型

默认情况下,扫描程序还会排除与 Azure 信息保护统一标签客户端相同的文件类型。

对于扫描仪,还会排除以下文件类型:.msg、.rtf 和 .rar

若要更改扫描程序用于文件检查包括或排除的文件类型,请配置文件类型以在内容扫描作业 中扫描

注意

如果包含用于扫描的 .rtf 文件,建议仔细监视扫描仪。 扫描程序无法成功检查某些 .rtf 文件,对于这些文件,检查无法完成,必须重新启动服务。

默认情况下,在使用 ISO 标准进行 PDF 加密Office,扫描程序仅保护这些文件类型和 PDF 文件。 若要更改扫描仪的此行为,请使用 PowerShell 高级设置PFileSupportedExtensions。 有关详细信息,请参阅使用 PowerShell 更改 扫描程序部署说明中保护的文件类型。

默认情况下无法保护的文件

任何受密码保护的文件不能由 Azure 信息保护统一标签客户端进行本机保护,除非该文件当前在应用保护的应用程序中打开。 通常会看到受密码保护的 PDF 文件,但其他应用程序(例如 Office 应用)也提供此功能。

容器文件的限制,例如.zip文件

有关详细信息,请参阅 Azure 信息保护已知问题

支持检查的文件类型

无需任何额外的配置,Azure 信息保护统一标签客户端Windows IFilter 检查文档的内容。 Windows搜索索引时Windows IFilter。 因此,使用 Set-AIPFileClassification PowerShell 命令时,可以检查以下文件类型。

应用程序类型 文件类型
Word .doc;docx; .docm; .dot; .dotx
Excel .xls; .xlt;.xlsx; .xlsm; .xlsb
PowerPoint .ppt;.pps;.pot;.pptx
PDF .pdf
文本 .txt;.xml;.csv

使用额外配置时,还可以检查其他文件类型。 例如,可以注册自定义文件扩展名以使用文本文件的现有 Windows筛选器处理程序,也可以安装软件供应商提供的其他筛选器。

若要检查安装了哪些筛选器,请参阅搜索开发人员指南Windows查找给定文件扩展名的筛选器处理程序部分。

以下部分提供用于检查.zip和 .tiff 文件的配置说明。

扫描.zip文件

当扫描仪安装在 Windows 服务器上时,还必须安装 Microsoft Office iFilter 才能扫描.zip文件的敏感信息类型。 有关详细信息,请参阅 Microsoft 下载网站

可以使用 AIP 扫描程序或 Set-AIPFileClassification PowerShell 命令检查.zip文件。

找到敏感信息后,如果 .zip 文件应该分类并使用标签进行保护,请使用 PowerShell 高级设置 PFileSupportedExtensions指定 .zip 文件扩展名,如使用 PowerShell 更改哪些文件类型受扫描程序部署说明的保护中所述。

示例方案

名为accounts.zip的文件Excel信用卡号的电子表格。 你有一个名为 "机密 \ 财务"的敏感度标签,该标签配置为发现信用卡号并自动应用带有保护的标签,以限制对财务组的访问。

检查文件后,PowerShell 会话中的统一标签客户端将此文件分类为"机密\财务",对文件应用通用保护,以便只有财务组的成员可以解压缩该文件,并重命名文件accounts.zip.pfile。

使用 OCR 扫描 .tiff 文件

Set-AIPFileClassiciation PowerShell 命令可以使用光学字符识别 (OCR) 在安装 Windows TIFF IFilter 功能时检查具有 .tiff 文件扩展名的 TIFF 图像,然后在运行 PowerShell 会话的计算机上配置Windows TIFF IFilter 设置。

对于扫描程序:找到敏感信息后,如果 .tiff 文件应该分类并使用标签进行保护,请使用 PowerShell 高级设置 PFileSupportedExtensions指定此文件扩展名,如使用 PowerShell 更改哪些文件类型受扫描程序部署说明的保护中所述。

支持的文件大小

加载项支持的Office大小

下表列出了使用 AIP 加载项Office保护支持的最大大小:

Office应用程序 支持的最大文件大小
Word 2010

Word 2013

Word 2016
32 位:512 MB

64 位:512 MB
2010 Excel 2010

2013 Excel 2013 年 1 月

Excel 2016
32 位:2 GB

64 位:仅受可用磁盘空间和内存限制
2010 PowerPoint 2010

2013 PowerPoint 2013 年 1 月

PowerPoint 2016
32 位:仅受可用磁盘空间和内存限制

64 位:仅受可用磁盘空间和内存限制

重要

Office 2010 扩展支持于 2020 年 10 月 13 日结束。 有关详细信息,请参阅AIP 和旧版 Windows Office 版本

非活动文件支持的Office大小

当保护非Office文件,以及使用AIP查看器打开它们时,最大文件大小仅受可用磁盘大小和 RAM(这两者中的下半部分)限制。

文件资源管理器和 PowerShell 支持的文件大小

下表列出了使用文件资源管理器和 PowerShell 加密和解密的最大大小支持:

操作 文件资源管理器 PowerShell
加密 2 GB 2 GB
解密 在三个磁盘中,最多达到可用磁盘大小、RAM 或 (限制) 。 最多为可用磁盘大小或 RAM,即两者中的下半部分。

下一步

有关详细信息,请参阅: