Azure 信息保护 (AIP) 统一标记客户端支持的文件类型
备注
你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?
Azure 信息保护加载项已停用,并替换为 Microsoft 365 应用和服务中内置的标签。 详细了解其他 Azure 信息保护组件的支持状态。
新的 Microsoft 信息保护 客户端(不含加载项)目前为预览版,并计划正式发布。
本文列出了 Azure 信息保护 (AIP) 统一标记客户端支持的文件类型和大小。 对于列出的文件类型,WebDav 位置不受支持。
提示
若要保护没有内置保护支持的泛型文件类型,同时确保收件人能够按预期访问这些类型,建议将收件人定义为文件的共同所有者。 有关详细信息,请参阅保护泛型文件类型。
支持仅分类的文件类型
可对以下文件类型进行分类(即使在它们未受保护时也可)。
Adobe 可移植文档格式:pdf
Microsoft Project:.mpp、.mpt
Microsoft Publisher:.pub
Microsoft XPS:.xps .oxps
图像:.jpg、.jpe、.jpeg、.jif、.jfif、.jfi、 .png、.tif、.tiff
Autodesk Design Review 2013:.dwfx
Adobe Photoshop:.psd
数码底片:.dng
Microsoft Office:以下文件类型,包括 97-2003 文件格式和适用于 Word、Excel 和 PowerPoint 的 Office Open XML 格式:
.doc
.docm
.docx
.dot
.dotm
.dotx
.potm.potx
.pps
.ppsm
.ppsx
.ppt
.pptm
.pptx
.vdw.vsd
.vsdm
.vsdx
.vss
.vssm
.vst
.vstm
.vssx.vstx
.xls
.xlsb
.xlt
.xlsm
.xlsx
.xltm
.xltx
其他文件类型在受保护时也支持分类。 有关这些文件类型,请参阅支持分类和保护的文件类型部分。
示例:
如果“常规”敏感度标签应用了分类但未应用保护:你可以将“常规”标签应用于名为 sales.pdf 的文件,但不能将此标签应用于名为 sales.txt 的文件。
如果“机密\所有员工”敏感度标签应用了分类和保护:你可以将此标签应用于名为 sales.pdf 的文件和名为 sales.txt 的文件。 还可以只对这些文件应用保护,而不应用分类。
支持保护的文件类型
Azure 信息保护统一标记客户端支持在两个不同的级别进行保护,如下表所述。
| 保护类型 | 本机 | 泛型 |
|---|---|---|
| 说明 | 对于文本、图像、Microsoft Office(Word、Excel、PowerPoint)文件、pdf 文件和其他支持 Rights Management 服务的应用程序文件类型,本机保护提供了同时包括权限的加密和强制执行的强保护级别。 | 对于其他受支持的文件类型,通用保护提供了一定级别的保护,这包括使用 .pfile 文件类型进行文件封装,以及使用身份验证来验证用户是否已获打开该文件的授权。 |
| 保护 | 通过以下方式强制执行文件保护: - 必须在通过电子邮件接收文件的用户或通过文件或共享权限获得访问权限的用户成功通过身份验证之后,才能呈现受保护的内容。 - 此外,无论是使用 Azure 信息保护查看器(适用于受保护的文本和图像文件)还是使用关联的应用程序(适用于其他所有受支持的文件类型)呈现内容时,都会强制执行内容所有者在文件处于受保护状态时所设置的使用权限和策略。 |
通过以下方式强制执行文件保护: - 必须在经授权可打开文件的人员以及被授予访问权限的人员成功通过身份验证之后才能呈现受保护的内容。 如果授权失败,则文件不会打开。 - 将显示由内容所有者设置的使用权限和策略,以向授权用户通知预期使用策略。 - 将对已授权的用户打开和访问文件的操作执行审核日志记录。 但不强制执行使用权限。 |
| 文件类型默认值 | 针对以下文件类型提供的默认保护级别: - 文本和图像文件 - Microsoft Office(Word、Excel、PowerPoint)文件 - 可移植文档格式 (.pdf) 有关详细信息,请参阅以下部分:支持分类和保护的文件类型。 |
针对原生保护不支持的所有其他文件类型(例如 .vsdx、.rtf 等)提供的默认保护。 |
你不能更改 Azure 信息保护统一标记客户端或扫描程序应用的默认保护级别。 但是,你可以更改要保护的文件类型。 有关详细信息,请参阅更改要保护的文件类型。
可以在用户选择管理员已配置的某个敏感度标签时自动应用保护,也可以由用户使用权限级别指定自己的自定义保护设置。
支持用于分类和保护的文件类型
下表列出了一部分文件类型,这些文件类型支持 Azure 信息保护统一标记客户端提供的原生保护,还可以进行分类。
这些文件类型单独进行标识,因为它们受到本机保护时,原始文件扩展名将更改,这些文件将变为只读。 当文件受到常规方式的保护时,原始文件扩展名始终会变为 .p<file-type>。
警告
如果拥有可根据文件扩展名进行检查并采取操作的防火墙、Web 代理或者安全软件,你可能需要重新配置这些网络设备和软件以支持这些新的文件扩展名。
| 原始文件扩展名 | 受保护的文件扩展名 |
|---|---|
| .bmp | .pbmp |
| .gif | .pgif |
| .jfif | .pjfif |
| .jpe | .pjpe |
| .jpeg | .pjpeg |
| .jpg | .pjpg |
| .jt | .pjt |
| .png | .ppng |
| .tif | .ptif |
| .tiff | .ptiff |
| .txt | .ptxt |
| .xla | .pxla |
| .xlam | .pxlam |
| .xml | .pxml |
Office 支持的文件类型
下面的列表包括了支持 Azure 信息保护统一标记客户端提供的原生保护的其余文件类型,这些文件类型还可以进行分类。 会将它们识别为用于 Microsoft Office 应用的文件类型。 这些文件类型的受支持文件格式是以下 Office 程序的 97-2003 文件格式和 Office Open XML 格式:Word、Excel 和 PowerPoint。
就这些文件来说,在文件由 Rights Management 服务提供保护后,文件扩展名保持不变。
.doc
.docm
.docx
.dot
.dotm
.dotx
.potm
.potx
.pps
.ppsm
.ppsx
.ppt
.pptm
.pptx
.vsdm
.vsdx
.vssm
.vssx
.vstm
.vstx
.xls
.xlsb
.xlt
.xlsm
.xlsx
.xltm
.xltx
.xps
从分类和保护中排除的文件类型
为了帮助阻止用户更改对计算机操作至关重要的文件,某些文件类型和文件夹会自动从分类和保护中排除。 如果用户尝试使用 Azure 信息保护统一标记客户端对这些文件进行分类或保护,则会看到一条消息,显示这些文件被排除。
排除的文件类型:.lnk、.exe、.com、.cmd、.bat、.dll、.ini、.pst、.sca、.drm、.sys、.cpl、.inf、.drv、.dat、.tmp、.msp、.msi、.pdb、.jar
排除的文件夹:
- Windows
- Program Files(\Program Files 和 \Program Files (x86))
- \ProgramData
- \AppData(适用于所有用户)
Azure 信息保护扫描程序从分类和保护中排除的文件类型
默认情况下,扫描程序也会排除与 Azure 信息保护统一标记客户端相同的文件类型。
对于扫描程序,还会排除以下文件类型:.msg、.rtf 和 .rar
若要更改扫描程序在检查文件时包括或排除的文件类型,请在内容扫描作业中配置“要扫描的文件类型”。
注意
如果在扫描时包括了 .rtf 文件,建议你仔细监视扫描程序。 扫描程序无法成功检查某些 .rtf 文件,对于这些文件,未完成检查,必须重启服务。
默认情况下,扫描程序仅保护 Office 文件类型,以及 PDF 文件(使用 ISO PDF 加密标准进行保护时)。 若要更改扫描程序的此行为,请使用 PowerShell 高级设置 PFileSupportedExtensions。 有关详细信息,请参阅扫描程序部署说明中的使用 PowerShell 更改要保护的文件类型。
默认不受保护的文件
受密码保护的任何文件都不能由 Azure 信息保护统一标记客户端以原生方式提供保护,除非该文件当前已在应用保护的应用程序中打开。 最常看到的是受密码保护的 PDF 文件,但 Office 应用等其他应用程序也提供此功能。
容器文件(如 .zip 文件)的限制
有关详细信息,请参阅 Azure 信息保护已知问题。
支持检查的文件类型
无需进行任何额外配置,Azure 信息保护统一标记客户端即可使用 Windows IFilter 来检查文档内容。 Windows Search 使用 Windows IFilter 来编制索引。 因此,使用 Set-AIPFileClassification PowerShell 命令时,可以检查下列文件类型。
| 应用程序类型 | 文件类型 |
|---|---|
| Word | .doc;docx;.docm;.dot;.dotx |
| Excel | .xls;.xlt;.xlsx;.xlsm;.xlsb |
| PowerPoint | .ppt;.pps;.pot;.pptx |
| 文本 | .txt; .xml; .csv |
通过进行额外配置,还可以检查其他文件类型。 例如,你可以注册自定义文件扩展名以将现有 Windows 筛选器处理程序用于文本文件,并且可以安装软件供应商提供的其他筛选器。
若要检查安装了哪些筛选器,请参阅 Windows Search 开发人员指南中的查找给定文件扩展名的筛选器处理程序一节。
以下各节提供了检查 .zip 文件和 .tiff 文件的配置说明。
扫描 .zip 文件
扫描程序安装在 Windows 服务器计算机上时,还必须安装 Microsoft Office iFilter,以扫描 .zip 文件中的敏感信息类型。 有关详细信息,请参阅 Microsoft 下载站点。
可使用 AIP 扫描程序或 Set-AIPFileClassification PowerShell 命令来检查 .zip 文件。
在找到敏感信息后,如果要使用标签对 .zip 文件进行分类和保护,请使用 PowerShell 高级设置 PFileSupportedExtensions 指定 .zip 文件扩展名,如扫描程序部署说明中的使用 PowerShell 更改要保护的文件类型所述。
示例方案:
名为“accounts.zip”的文件包含带有信用卡号的 Excel 电子表格。 你有一个名为“机密\财务”的敏感度标签,为该标签配置的行为是发现信用卡号码并自动向其应用该标签以提供保护,仅允许财务组进行访问。
检查文件后,PowerShell 会话中的统一标记客户端会将此文件归类为“机密\财务”,并对该文件应用常规保护(仅允许财务组的成员解压缩将该文件),然后将该文件重命名 accounts.zip.pfile。
使用 OCR 扫描 .tiff 文件
当你在运行 PowerShell 会话的计算机上安装 Windows TIFF IFilter 功能并配置 Windows TIFF IFilter 设置后,Set-AIPFileClassification PowerShell 命令可以使用光学字符识别 (OCR) 检查具有 .tiff 文件扩展名的 TIFF 图像。
对于扫描程序:在找到敏感信息后,如果要使用标签对 .tiff 文件进行分类和保护,请使用 PowerShell 高级设置 PFileSupportedExtensions 指定此文件扩展名,如扫描程序部署说明中的使用 PowerShell 更改要保护的文件类型所述。
支持的文件大小
Office 加载项支持的文件大小
下表列出了使用带有 AIP 加载项的 Office 进行保护时支持的最大大小:
| Office 应用程序 | 支持的最大文件大小 |
|---|---|
| Word 2013 Word 2016 |
32 位:512 MB 64 位:512 MB |
| Excel 2013 Excel 2016 |
32 位:2 GB 64 位:仅受可用磁盘空间和内存限制 |
| PowerPoint 2013 PowerPoint 2016 |
32 位:仅受可用磁盘空间和内存限制 64 位:仅受可用磁盘空间和内存限制 |
非 Office 文件支持的文件大小
当保护非 Office 文件并使用 AIP 查看器打开它们时,最大文件大小仅受可用磁盘大小和 RAM(两者中较小的一个)的限制。
文件资源管理器和 PowerShell 支持的文件大小
下表列出了使用文件资源管理器和 PowerShell 进行加密和解密的最大大小支持:
| 操作 | 文件资源管理器 | PowerShell |
|---|---|---|
| 加密 | 2 GB | 2 GB |
| 解密 | 最大可用磁盘大小、RAM 或体系结构限制(三者中的最小值)。 | 最大可用磁盘大小或 RAM,两者中的最小值。 |
后续步骤
有关详细信息,请参阅:
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈