管理員 指南:Azure 資訊保護 統一卷標用戶端的自定義設定
注意
您要尋找 Microsoft Purview 資訊保護,前身為 Microsoft 資訊保護 (MIP)?
Azure 資訊保護 載入宏已淘汰,並以 Microsoft 365 應用程式和服務內建的標籤取代。 深入瞭解其他 Azure 資訊保護元件的支持狀態。
新的 Microsoft Purview 資訊保護 用戶端(不含載入宏)目前處於預覽狀態,並排程正式運作。
在管理 AIP 統一標籤客戶端時,針對特定案例或使用者所需的進階設定使用下列資訊。
注意
這些設定需要編輯登錄或指定進階設定。 進階設定使用 安全性與合規性中心 PowerShell。
透過PowerShell設定客戶端的進階設定
使用安全性與合規性 PowerShell 來設定自定義標籤原則和標籤原則和標籤的進階設定。
在這兩種情況下,當您連線到安全性與合規性 PowerShell 之後,請使用哈希表中的索引鍵/值組,使用原則或標籤的身分識別(名稱或 GUID) 指定 Advanced 設定 參數。
若要移除進階設定,請使用相同的 Advanced 設定 參數語法,但指定 null 字串值。
重要
請勿在字串值中使用空格符。 這些字串值的白色字串會防止套用您的標籤。
如需詳細資訊,請參閱
卷標原則進階設定語法
卷標原則進階設定的範例是顯示 Office 應用程式 中 資訊保護 列的設定。
針對單一字串值,請使用下列語法:
Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key="value1,value2"}
針對相同索引鍵的多個字串值,請使用下列語法:
Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}
標籤進階設定語法
標籤進階設定的範例是指定標籤色彩的設定。
針對單一字串值,請使用下列語法:
Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key="value1,value2"}
針對相同索引鍵的多個字串值,請使用下列語法:
Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}
檢查您目前的進階設定
若要檢查目前有效的進階設定,請執行下列命令:
若要檢查您的標籤原則進階設定,請使用下列語法:
針對名為 Global 的標籤原則:
(Get-LabelPolicy -Identity Global).settings
若要檢查標籤的進階設定,請使用下列語法:
針對名為 Public 的標籤:
(Get-Label -Identity Public).settings
設定進階設定的範例
範例 1:設定單一字串值的標籤原則進階設定:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
範例 2:設定單一字串值的標籤進階設定:
Set-Label -Identity Internal -AdvancedSettings @{smimesign="true"}
範例 3:設定多個字串值的標籤進階設定:
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}
範例 4:藉由指定 Null 字串值來移除卷標原則進階設定:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions=""}
指定標籤原則或標籤身分識別
尋找 PowerShell Identity 參數的標籤原則名稱很簡單,因為 Microsoft Purview 合規性入口網站 中只有一個原則名稱。
不過,對於標籤,Microsoft Purview 合規性入口網站 同時顯示 [名稱] 和 [顯示名稱] 值。 在某些情況下,這些值會相同,但可能不同。 若要設定標籤的進階設定,請使用 Name 值。
例如,若要識別下圖中的標籤,請在 PowerShell 命令中使用下列語法: -Identity "All Company"
如果您想要指定標籤 GUID,則不會在 Microsoft Purview 合規性入口網站 中顯示此值。 使用 Get-Label 命令來尋找此值,如下所示:
Get-Label | Format-Table -Property DisplayName, Name, Guid
如需標記名稱與顯示名稱的詳細資訊:
Name 是標籤的原始名稱,而且在所有標籤中都是唯一的。
即使您稍後已變更標籤名稱,這個值仍維持不變。 針對從 Azure 資訊保護 移轉的敏感度標籤,您可能會看到來自 Azure 入口網站 的原始標籤標識碼。
顯示名稱 是目前向使用者顯示標籤的名稱,且不需要在所有標籤中是唯一的。
例如,您可能會有 [機密] 卷標下子捲標的 [所有員工] 顯示名稱,以及 [高度機密] 卷標下子卷標的 [所有員工] 顯示名稱。 這些子捲標都會顯示相同的名稱,但不是相同的標籤,而且有不同的設定。
優先順序順序 - 如何解決衝突的設定
您可以使用 Microsoft Purview 合規性入口網站 來設定下列標籤原則設定:
預設將此標籤套用至文件和電子郵件
用戶必須提供理由來移除標籤或較低分類標籤
要求使用者將標籤套用至其電子郵件或檔
為使用者提供自定義說明頁面的連結
為使用者設定多個標籤原則時,每個都有可能不同的原則設定,則會根據 Microsoft Purview 合規性入口網站 中的原則順序套用最後一個原則設定。 如需詳細資訊,請參閱 卷標原則優先順序(順序很重要)
使用相同邏輯來套用標籤原則進階設定,並使用最後一個原則設定。
進階設定參考
下列各節適用於標籤原則和標籤的可用進階設定:
依功能進階設定參考
下列各節列出依產品與功能整合在此頁面上所述的進階設定:
卷標原則進階設定參考
使用 Advanced 設定 参数搭配 New-LabelPolicy 和 Set-LabelPolicy 來定義下列設定:
| 設定 | 案例和指示 |
|---|---|
| AdditionalPPrefixExtensions | 支援變更<EXT>。使用這個進階屬性將 PFILE 移至 P<EXT> |
| AttachmentAction | 針對具有附件的電子郵件訊息,套用符合這些附件最高分類的標籤 |
| AttachmentActionTip | 針對具有附件的電子郵件訊息,套用符合這些附件最高分類的標籤 |
| DisableMandatoryInOutlook | 免除 Outlook 郵件的強制標籤 |
| EnableAudit | 防止稽核數據傳送至 AIP 和 Microsoft 365 分析 |
| EnableContainerSupport | 啟用從 PST、rar、7zip 和 MSG 檔案移除保護功能 |
| EnableCustomPermissions | 在 檔案總管 中關閉自定義許可權 |
| EnableCustomPermissionsForCustomProtectedFiles | 針對使用自定義許可權保護的檔案,請一律對 檔案總管 中的用戶顯示自定義許可權 |
| EnableGlobalization | 開啟分類全球化功能 |
| EnableLabelByMailHeader | 從 Secure Islands 和其他標籤解決方案移轉標籤 |
| EnableLabelBySharePointProperties | 從 Secure Islands 和其他標籤解決方案移轉標籤 |
| EnableOutlookDistributionListExpansion | 搜尋電子郵件收件者時,展開 Outlook 通訊組清單 |
| EnableRevokeGuiSupport | 關閉 Office 應用程式 中終端使用者的 [撤銷] 選項 |
| EnableTrackAndRevoke | 關閉檔案追蹤功能 |
| HideBarByDefault | 在 Office 應用程式 中顯示 資訊保護 列 |
| JustificationTextForUserText | 自定義修改標籤的理由提示文字 |
| LogMatchedContent | 將資訊類型比對傳送至 Azure 資訊保護 分析 |
| OfficeContentExtractionTimeout | 設定 Office 檔案的自動標記逾時 |
| OutlookBlockTrustedDomains | 在 Outlook 中實作快顯訊息,以警告、證明或封鎖傳送的電子郵件 |
| OutlookBlockUntrustedCollaborationLabel | 在 Outlook 中實作快顯訊息,以警告、證明或封鎖傳送的電子郵件 |
| OutlookCollaborationRule | 自訂 Outlook 快顯訊息 |
| OutlookDefaultLabel | 為 Outlook 設定不同的預設標籤 |
| OutlookGetEmailAddressesTimeOutMSProperty | 在通訊組清單中實作收件者的封鎖郵件時,修改在 Outlook 中展開通訊組清單 的逾時。 |
| OutlookJustifyTrustedDomains | 在 Outlook 中實作快顯訊息,以警告、證明或封鎖傳送的電子郵件 |
| OutlookJustifyUntrustedCollaborationLabel | 在 Outlook 中實作快顯訊息,以警告、證明或封鎖傳送的電子郵件 |
| OutlookRecommendationEnabled | 在 Outlook 中啟用建議分類 |
| OutlookOverrideUnlabeledCollaborationExtensions | 在 Outlook 中實作快顯訊息,以警告、證明或封鎖傳送的電子郵件 |
| OutlookSkipSmimeOnReadingPaneEnabled | 防止 S/MIME 電子郵件的 Outlook 效能問題 |
| OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior | 在 Outlook 中實作快顯訊息,以警告、證明或封鎖傳送的電子郵件 |
| OutlookWarnTrustedDomains | 在 Outlook 中實作快顯訊息,以警告、證明或封鎖傳送的電子郵件 |
| OutlookWarnUntrustedCollaborationLabel | 在 Outlook 中實作快顯訊息,以警告、證明或封鎖傳送的電子郵件 |
| PFileSupportedExtensions | 變更要保護的文件類型 |
| PostponeMandatoryBeforeSave | 當您使用強制標籤時,請移除檔的「立即」 |
| PowerPointRemoveAllShapesByShapeName | 從頁首和頁尾移除特定圖形名稱的所有圖形,而不是透過圖形內的文字移除圖形 |
| PowerPointShapeNameToRemove | 避免從包含指定文字的PowerPoint 移除圖形,且不是頁首/頁尾 |
| RemoveExternalContentMarkingInApp | 從其他標籤解決方案移除頁首和頁尾 |
| RemoveExternalMarkingFromCustomLayouts | 從 PowerPoint 自定義版面配置內明確移除外部內容標記 |
| ReportAnIssueLink | 為使用者新增「回報問題」 |
| RunPolicyInBackground | 開啟分類以在背景持續執行 |
| ScannerMaxCPU | 限制CPU耗用量 |
| ScannerMinCPU | 限制CPU耗用量 |
| ScannerConcurrencyLevel | 限制掃描器所使用的線程數目 |
| ScannerFSAttributesToSkip | 視檔案屬性而定,在掃描期間略過或忽略檔案 |
| SharepointWebRequestTimeout | 設定 SharePoint 逾時 |
| SharepointFileWebRequestTimeout | 設定 SharePoint 逾時 |
| UseCopyAndPreserveNTFSOwner | 在標籤期間保留NTFS擁有者 |
標籤進階設定參考
搭配 New-Label 和 Set-Label 使用 Advanced 設定 參數。
| 設定 | 案例和指示 |
|---|---|
| color | 指定標籤的色彩 |
| customPropertiesByLabel | 套用標籤時套用自訂屬性 |
| DefaultSubLabelId | 指定父卷標的預設子捲標 |
| labelByCustomProperties | 從 Secure Islands 和其他標籤解決方案移轉標籤 |
| SMimeEncrypt | 設定標籤以在 Outlook 中套用 S/MIME 保護 |
| SMimeSign | 設定標籤以在 Outlook 中套用 S/MIME 保護 |
隱藏 Windows 檔案總管 中的 [分類與保護] 選單選項
若要隱藏 Windows 檔案總管 中的 [分類及保護] 功能表選項,請建立下列 DWORD 值名稱(含任何值數據):
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable
如需詳細資訊,請參閱使用 檔案總管 來分類檔案。
在 Office 應用程式 中顯示 資訊保護 列
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
根據預設,用戶必須從 [敏感度] 按鈕選取 [顯示列] 選項,才能在 Office 應用程式 中顯示 資訊保護 列。 使用HideBarByDefault機碼,並將值設定為 False,讓用戶能夠從列或按鈕選取標籤。
針對選取的標籤原則,指定下列字串:
機碼: HideBarByDefault
值: False
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{HideBarByDefault="False"}
免除 Outlook 郵件的強制標籤
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
根據預設,當您啟用 [所有文件和電子郵件] 的 標籤原則設定時,所有已儲存的檔和已傳送的電子郵件都必須套用標籤。 當您設定下列進階設定時,原則設定僅適用於 Office 檔,不適用於 Outlook 訊息。
針對選取的標籤原則,指定下列字串:
機碼: DisableMandatoryInOutlook
值: True
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{DisableMandatoryInOutlook="True"}
在 Outlook 中啟用建議分類
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
當您設定建議分類的標籤時,系統會提示使用者在 Word、Excel 和 PowerPoint 中接受或關閉建議的標籤。 此設定會將此標籤建議延伸為也會顯示在 Outlook 中。
針對選取的標籤原則,指定下列字串:
機碼: OutlookRecommendationEnabled
值: True
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookRecommendationEnabled="True"}
啟用從壓縮檔移除保護
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
當您設定此設定時, 會啟用PowerShell Cmdlet Set-AIPFileLabel ,以允許從 PST、rar和 7zip 檔案移除保護。
機碼: EnableContainerSupport
值: True
啟用原則的 PowerShell 命令範例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}
為 Outlook 設定不同的預設標籤
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
當您設定此設定時,Outlook 不會套用設定為原則設定的預設標籤,選項 預設將此標籤套用至檔案和電子郵件。 相反地,Outlook 可以套用不同的默認標籤,或沒有標籤。
針對選取的標籤原則,指定下列字串:
機碼: OutlookDefaultLabel
值: <標籤 GUID> 或 無
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookDefaultLabel="None"}
變更要保護的文件類型
這些設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
根據預設,Azure 資訊保護 統一標籤客戶端會保護所有文件類型,而掃描器則僅保護 Office 檔類型和 PDF 檔案。
您可以藉由指定下列其中一項來變更所選標籤原則的預設行為:
PFileSupportedExtension
機碼: PFileSupportedExtensions
值: <字串值>
使用下表來識別要指定的字串值:
| [字串值] | 用戶端 | 掃描器 |
|---|---|---|
| * | 預設值:將保護套用至所有文件類型 | 將保護套用至所有文件類型 |
| ConvertTo-Json(“.jpg”、“.png”) | 除了 Office 檔類型和 PDF 檔案,請將保護套用至指定的擴展名 | 除了 Office 檔類型和 PDF 檔案,請將保護套用至指定的擴展名 |
範例 1:掃描器的 PowerShell 命令可保護所有文件類型,其中您的標籤原則名為 「掃描器」:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
範例 2:掃描器的 PowerShell 命令,除了 Office 檔案和 PDF 檔案之外,還保護.txt檔案和.csv檔案,其中您的卷標原則稱為「掃描儀」:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}
透過此設定,您可以變更哪些文件類型受到保護,但無法將默認保護層級從原生變更為泛型。 例如,對於執行統一標籤客戶端的使用者,您可以變更預設設定,讓只有 Office 檔案和 PDF 檔案受到保護,而不是所有文件類型。 但是,您無法將這些文件類型變更為以 .pfile 擴展名一般保護。
AdditionalPPrefixExtensions
統一標籤支援變更 <EXT>。使用進階屬性 AdditionalPPrefixExtensions 將 PFILE 移至 P<EXT>。 掃描器支援 檔案總管、PowerShell 和這個進階屬性。 所有應用程式都有類似的行為。
機碼: AdditionalPPrefixExtensions
值: <字串值>
使用下表來識別要指定的字串值:
| [字串值] | 用戶端和掃描器 |
|---|---|
| * | 所有 PFile 延伸模組都會變成 P<EXT> |
| <null 值> | 預設值的行為就像預設保護值。 |
| ConvertTo-Json(“.dwg”、“.zip”) | 除了上一個清單外,“.dwg” 和 “.zip” 也會成為 P<EXT> |
使用此設定時,下列延伸模組一律會變成 P<EXT>:“.txt”、“.xml”、“.bmp”、“.bmp”、“.jpg”、“.jpeg”、“.jpe”、“.jif”、“.jfif”、“.jfi”、“.png”、“.tif”、“.tiff”、“.gif”。 值得注意的排除是 「ptxt」 不會變成 「txt.pfile」。
只有在使用進階屬性保護 PFiles 時,AdditionalPPrefixExtensions 才有效 - 已啟用 PFileSupportedExtension 。
範例 1:P owerShell 命令的行為就像保護 “.dwg” 變成 “.dwg.pfile” 的默認行為:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}
範例 2:P owerShell 命令,在檔案受到保護時,將所有 PFile 延伸模組從一般保護 (dwg.pfile) 變更為原生保護 (.pdwg):
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}
範例 3:使用此服務保護此檔案時,將 “.dwg” 變更為 “.pdwg” 的 PowerShell 命令:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}
當您使用強制標籤時,請移除檔的「立即」
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
當您使用 [所有文件和電子郵件] 的 標籤原則設定必須有標籤時,系統會提示使用者在第一次儲存 Office 檔案時選取標籤,以及從 Outlook 傳送電子郵件時選取標籤。
針對文件,使用者可以選取 [立即 不要] 暫時關閉提示以選取標籤並返回檔。 不過,若未加上標籤,就無法關閉儲存的檔。
當您設定 PostponeMandatoryBeforeSave 設定時, 會移除 [立即 不] 選項,讓使用者在檔第一次儲存時必須選取卷標。
提示
PostponeMandatoryBeforeSave 設定也會確保共用檔會在透過電子郵件傳送之前加上標籤。
根據預設,即使您在原則中啟用 [所有文件和電子郵件] 都必須啟用標籤 ,使用者仍只會升級為從 Outlook 內附加至電子郵件的檔案加上標籤。
針對選取的標籤原則,指定下列字串:
機碼: PostponeMandatoryBeforeSave
值: False
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PostponeMandatoryBeforeSave="False"}
從其他標籤解決方案移除頁首和頁尾
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
有兩種方法可從其他標籤解決方案中移除分類:
| 設定 | 描述 |
|---|---|
| WordShapeNameToRemove | 從 Word 檔中移除任何圖形,其中圖形名稱符合 WordShapeNameToRemove 進階屬性中所定義的名稱。 如需詳細資訊,請參閱 使用 WordShapeNameToRemove 進階屬性。 |
| RemoveExternalContentMarkingInApp ExternalContentMarkingToRemove |
可讓您從 Word、Excel 和 PowerPoint 檔移除或取代以文字為基礎的頁首或頁尾。 如需詳細資訊,請參閱: - 使用 RemoveExternalContentMarkingInApp 進階屬性 - 如何設定 ExternalContentMarkingToRemove。 |
使用 WordShapeNameToRemove 進階屬性
從 2.6.101.0 版和更新版本支援 WordShapeNameToRemove 進階屬性
此設定可讓您在其他標籤解決方案套用這些視覺標記時,從 Word 檔案移除或取代圖形型標籤標。 例如,圖形包含您現在已移轉至敏感度標籤的舊標籤名稱,以使用新的標籤名稱和它自己的圖形。
若要使用此進階屬性,您必須在 Word 檔案中尋找圖形名稱,然後在圖形的 WordShapeNameToRemove 進階屬性清單中定義它們。 服務會移除 Word 中以這個進階屬性中圖形清單中定義的名稱開頭的任何圖形。
藉由定義要移除的所有圖形名稱,並避免檢查所有圖形中的文字,也就是需要大量資源的程式,以避免移除包含您想要忽略之文字的圖形。
注意
在 Microsoft Word 中,可以藉由定義圖形名稱或其文字來移除圖形,但不能同時移除圖形。 如果已定義 WordShapeNameToRemove 屬性,則會忽略 ExternalContentMarkingToRemove 值所定義的任何組態。
若要尋找您正在使用的圖形名稱,並想要排除:
在 Word 中,顯示 [選取範圍] 窗格:[首頁>] 索引標籤 [編輯] 群組> [選取選項>選取窗格]。
選取您想要標示要移除之頁面上的圖形。 您標記的圖形名稱現在會在 [ 選取範圍 ] 窗格中反白顯示。
使用圖形的名稱來指定 WordShapeNameToRemove 索引鍵的字串值。
範例:圖形名稱為 dc。 若要移除具有此名稱的圖形,請指定值: dc。
機碼: WordShapeNameToRemove
值: <文字圖形名稱>
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{WordShapeNameToRemove="dc"}
當您要移除多個 Word 圖形時,請指定要移除的圖形數量。
使用 RemoveExternalContentMarkingInApp 進階屬性
此設定可讓您在其他標籤解決方案套用這些視覺標記時,從檔中移除或取代文字型頁首或頁尾。 例如,舊頁尾包含您現在已移轉至敏感度標籤的舊標籤名稱,以使用新的標籤名稱和自己的頁尾。
當統一卷標用戶端在其原則中取得此設定時,當檔在 Office 應用程式 中開啟,且將任何敏感度標籤套用至檔時,會移除或取代舊的頁首和頁尾。
Outlook 不支援此設定,而且請注意,當您搭配 Word、Excel 和 PowerPoint 使用它時,可能會對使用者的這些應用程式效能造成負面影響。 組態可讓您定義每個應用程式的設定,例如,在 Word 檔案的頁首和頁尾搜尋文字,而不是 Excel 電子表格或 PowerPoint 簡報。
因為模式比對會影響使用者的效能,我們建議您將 Office 應用程式 數據列類型(Word、EXcel、PowerPoint)限制為只需要搜尋的型別。 針對選取的標籤原則,指定下列字串:
機碼: RemoveExternalContentMarkingInApp
值:<Office 應用程式 lication 類型 WXP>
範例:
若要只搜尋 Word 檔,請指定 W。
若要搜尋 Word 檔和 PowerPoint 簡報,請指定 WP。
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInApp="WX"}
接著,您需要至少一個進階用戶端設定 ExternalContentMarkingToRemove,以指定頁首或頁尾的內容,以及如何移除或取代它們。
如何設定 ExternalContentMarkingToRemove
當您指定 ExternalContentMarkingToRemove 索引鍵的字串值時,您有三個選項會使用正則表示式。 針對上述每個案例,請使用下表中 [範例值] 數據行中顯示的語法:
| 選項 | 範例描述 | 範例值 |
|---|---|---|
| 部分比對以移除頁首或頁尾的所有專案 | 您的頁首或頁尾包含字串 TEXT TO REMOVE,而且您想要完全移除這些頁首或頁尾。 | *TEXT* |
| 完整比對,只移除頁首或頁尾中的特定單字 | 您的頁首或頁尾包含字串 TEXT TO REMOVE,而且您想要只移除 TEXT 一字,並將頁首或頁尾字串保留為 TO REMOVE。 | TEXT |
| 完成比對以移除頁首或頁尾中的所有內容 | 您的頁首或頁尾具有字串 TEXT TO REMOVE。 您要移除具有此字串的頁首或頁尾。 | ^TEXT TO REMOVE$ |
您指定的字串模式比對不區分大小寫。 字串長度上限為 255 個字元,且不能包含空格符。
由於某些檔可能包含不可見字元或不同類型的空格或索引卷標,因此您為片語或句子指定的字串可能無法偵測到。 盡可能指定值的單一辨別字,並請務必在生產環境中部署之前先測試結果。
針對相同的標籤原則,指定下列字串:
機碼: ExternalContentMarkingToRemove
值: <要比對的字串,定義為正則表達式>
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*TEXT*"}
如需詳細資訊,請參閱
多行頁首或頁尾
如果頁首或頁尾文字超過單行,請為每個行建立索引鍵和值。 例如,如果您的頁尾有兩行:
檔案分類為機密
手動套用標籤
若要移除此多行頁尾,請為相同的標籤原則建立下列兩個專案:
- 機碼: ExternalContentMarkingToRemove
- 索引鍵值 1: *機密*
- 索引鍵值 2: *套用標籤*
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove=ConvertTo-Json("Confidential","Label applied")}
PowerPoint 優化
PowerPoint 中的頁首和頁尾會實作為圖形。 針對 msoTextBox、msoTextEffect、msoPlaceholder 和 msoAutoShape 圖形類型,下列進階設定提供額外的優化:
此外, PowerPointRemoveAllShapesByShapeName 可以根據圖形名稱移除任何圖形類型。
如需詳細資訊,請參閱 尋找您作為頁首或頁尾所使用的圖形名稱。
避免從包含指定文字的PowerPoint 移除圖形,且不是頁首/頁尾
若要避免移除包含您指定但不是頁首或頁尾之文字的圖形,請使用名為 PowerPointShapeNameToRemove的其他進階客戶端設定。
我們也建議您使用此設定,以避免檢查所有圖形中的文字,這是需要大量資源的程式。
如果您未指定這個額外的進階用戶端設定,而且 PowerPoint 會包含在 RemoveExternalContentMarkingInApp 機碼值中,則會檢查所有圖形是否有您在 ExternalContentMarkingToRemove 值中指定的文字。
如果指定這個值,則只會移除符合圖形名稱準則的圖形,而且也會移除符合 ExternalContentMarkingToRemove 所提供字串的文字。
例如:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
將外部標記移除延伸至自定義版面配置
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
根據預設,用來移除外部內容標記的邏輯會忽略PowerPoint中設定的自定義版面配置。 若要將此邏輯延伸至自定義版面配置,請將 RemoveExternalMarkingFromCustomLayouts 進階屬性設定為 True。
機碼: RemoveExternalMarkingFromCustomLayouts
值: True
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
拿掉特定圖形名稱的所有圖形
如果您使用PowerPoint自定義版面配置,而且想要從頁首和頁尾移除特定圖案名稱的所有圖形,請使用 PowerPointRemoveAllShapesByShapeName 進階設定,以及您想要移除的圖形名稱。
使用 PowerPointRemoveAllShapesByShapeName 設定會忽略圖形內的文字,而是改用圖形名稱來識別您想要移除的圖形。
例如:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointRemoveAllShapesByShapeName="Arrow: Right"}
如需詳細資訊,請參閱
尋找您用來做為頁首或頁尾的圖形名稱
在 PowerPoint 中,顯示 [ 選取範圍 ] 窗格: [格式化] 索引卷標 > [排列 群組 >選取窗格]。
選取包含頁首或頁尾的投影片上的圖案。 選取圖形的名稱現在會在 [選取範圍] 窗格中反白顯示。
使用圖形的名稱來指定PowerPointShapeNameToRemove 索引鍵的字串值。
範例:圖形名稱為 fc。 若要移除具有此名稱的圖形,請指定值: fc。
機碼: PowerPointShapeNameToRemove
值: <PowerPoint 圖形名稱>
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
當您要移除多個 PowerPoint 圖形時,請指定要移除的圖形數量。
根據預設,只會檢查主版投影片的頁首和頁尾。 若要將此搜尋延伸至所有投影片,這是耗用更多資源的程式,請使用名為 RemoveExternalContentMarkingInAllSlides 的其他進階用戶端設定:
機碼: RemoveExternalContentMarkingInAllSlides
值: True
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInAllSlides="True"}
從 PowerPoint 中的自訂版面配置移除外部內容標記
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
根據預設,用來移除外部內容標記的邏輯會忽略PowerPoint中設定的自定義版面配置。 若要將此邏輯延伸至自定義版面配置,請將 RemoveExternalMarkingFromCustomLayouts 進階屬性設定為 True。
機碼: RemoveExternalMarkingFromCustomLayouts
值: True
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
在 檔案總管 中關閉自定義許可權
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
根據預設,當使用者以滑鼠右鍵按兩下 檔案總管 並選擇 [分類及保護] 時,會看到名為 [使用自定義許可權保護] 的選項。 此選項可讓他們設定自己的保護設定,以覆寫您可能隨附於標籤的任何保護設定。 使用者也可以看到移除保護的選項。 當您設定此設定時,使用者不會看到這些選項。
若要設定此進階設定,請輸入所選卷標原則的下列字串:
機碼: EnableCustomPermissions
值: False
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
針對使用自定義許可權保護的檔案,請一律在 檔案總管 中向用戶顯示自定義許可權
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
當您設定進階客戶端設定來關閉 檔案總管 中的自定義許可權時,根據預設,用戶無法查看或變更已在受保護檔中設定的自定義許可權。
不過,您可以指定另一個進階用戶端設定,以便在此案例中,使用者在使用 檔案總管 並用滑鼠右鍵按兩下檔案時,可以看到並變更受保護檔的自定義許可權。
若要設定此進階設定,請輸入所選卷標原則的下列字串:
機碼: EnableCustomPermissionsForCustomProtectedFiles
值: True
範例 PowerShell 命令:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}
針對具有附件的電子郵件訊息,套用符合這些附件最高分類的標籤
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
此設定適用於使用者將已標記的檔附加至電子郵件,且不會標記電子郵件訊息本身。 在此案例中,系統會根據套用至附件的分類標籤,自動為其選取標籤。 已選取最高分類標籤。
附件必須是實體檔案,而且不能是檔案的連結(例如,Microsoft SharePoint 或 OneDrive 上的檔案連結)。
您可以將此設定設定設定為 [建議],以便提示使用者將選取的標籤套用至其電子郵件訊息。 然後,用戶可以接受建議或關閉,而不套用標籤。 或者,您可以將此設定設定設定為 [自動],其中會自動套用選取的標籤,但使用者可以移除標籤,或在傳送電子郵件之前選取不同的標籤。 這兩種案例都支援自定義訊息。
注意
當具有最高分類標籤的附件設定為使用使用者定義權限設定的保護時:
- 當標籤的使用者定義許可權包含 Outlook(不要轉寄),該標籤已選取,且 [不要轉寄保護] 會套用至電子郵件。
- 當標籤的使用者定義許可權僅適用於 Word、Excel、PowerPoint 和 檔案總管 時,該標籤不會套用至電子郵件訊息,且兩者都不是保護。
若要設定此進階設定,請輸入所選卷標原則的下列字串:
機碼 1: AttachmentAction
索引鍵值 1: 建議 或 自動
機碼 2 (選擇性): AttachmentActionTip
索引鍵值 2:“<自定義工具提示>”
選用的自定義工具提示僅支援單一語言。 如果未指定此設定,則會向使用者顯示下列訊息:
- 建議的訊息: 建議將此電子郵件標記為 <標籤名稱>
- 自動訊息: 此電子郵件會自動標示為 <標籤名稱>
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{AttachmentAction="Automatic"}
為使用者新增「回報問題」
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
當您指定下列進階用戶端設定時,使用者會看到 [回報問題] 選項,他們可以從 [說明及意見 反應] 用戶端對話框中選取。 指定連結的 HTTP 字串。 例如,您擁有的自定義網頁可供用戶回報問題,或傳送至技術支援中心的電子郵件位址。
若要設定此進階設定,請輸入所選卷標原則的下列字串:
機碼: ReportAnIssueLink
值: <HTTP 字串>
網站的範例值: https://support.contoso.com
電子郵件地址的範例值: mailto:helpdesk@contoso.com
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}
在 Outlook 中實作快顯訊息,以警告、證明或封鎖傳送的電子郵件
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
當您建立並設定下列進階用戶端設定時,使用者會看到 Outlook 中的快顯訊息,這些訊息可以在傳送電子郵件之前發出警告,或要求他們提供他們傳送電子郵件的理由,或防止他們針對下列任一案例傳送電子郵件:
電子郵件的電子郵件或附件具有特定的標籤:
- 附件可以是任何文件類型
電子郵件的電子郵件或附件沒有標籤:
- 附件可以是 Office 檔或 PDF 檔
符合這些條件時,使用者會看到具有下列其中一個動作的快顯訊息:
| 類型 | 描述 |
|---|---|
| 警告 | 用戶可以確認和傳送或取消。 |
| 證明 | 系統會提示使用者提供理由(預先定義的選項或自由格式),然後使用者可以傳送或取消電子郵件。 理由文字會寫入電子郵件 x 標頭,以便其他系統讀取,例如數據外洩防護 (DLP) 服務。 |
| 區塊 | 在條件維持時,用戶無法傳送電子郵件。 此訊息包含封鎖電子郵件的原因,讓使用者可以解決問題。 例如,移除特定收件者,或為電子郵件加上標籤。 |
當快顯訊息適用於特定標籤時,您可以依功能變數名稱設定收件者的例外狀況。
如需如何設定這些設定的逐步解說範例,請參閱技術社群部落格 自定義 AIP UL 用戶端 的 Outlook 快顯訊息。
提示
若要確保即使從 Outlook 外部共用檔時也會顯示彈出視窗(檔案 > 共用 > 附加複本),也請設定 PostponeMandatoryBeforeSave 進階設定。
如需詳細資訊,請參閱
實作警告、合理化或封鎖特定標籤的快顯訊息
針對選取的原則,使用下列索引鍵建立下列一或多個進階設定。 針對這些值,依其 GUID 指定一或多個標籤,每個標籤都以逗號分隔。
多個標籤的 GUID 作為逗號分隔字串的範例值:
dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
| 訊息類型 | 索引鍵/值 |
|---|---|
| 警告 | 機碼: OutlookWarnUntrustedCollaborationLabel 值: <標籤 GUID,以逗號分隔> |
| 證明 | 機碼: OutlookJustifyUntrustedCollaborationLabel 值: <標籤 GUID,以逗號分隔> |
| 區塊 | 機碼: OutlookBlockUntrustedCollaborationLabel 值: <標籤 GUID,以逗號分隔> |
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e,b6d21387-5d34-4dc8-90ae-049453cec5cf,bb48a6cb-44a8-49c3-9102-2d2b017dcead,74591a94-1e0e-4b5d-b947-62b70fc0f53a,6c375a97-2b9b-4ccd-9c5b-e24e4fd67f73"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyUntrustedCollaborationLabel="dc284177-b2ac-4c96-8d78-e3e1e960318f,d8bb73c3-399d-41c2-a08a-6f0642766e31,750e87d4-0e91-4367-be44-c9c24c9103b4,32133e19-ccbd-4ff1-9254-3a6464bf89fd,74348570-5f32-4df9-8a6b-e6259b74085b,3e8d34df-e004-45b5-ae3d-efdc4731df24"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockUntrustedCollaborationLabel="0eb351a6-0c2d-4c1d-a5f6-caa80c9bdeec,40e82af6-5dad-45ea-9c6a-6fe6d4f1626b"}
若要進一步自定義,您也可以 針對針對特定標籤設定的快顯訊息豁免功能變數名稱。
注意
本節中的進階設定(OutlookWarnUntrustedCollaborationLabel、OutlookJustifyUntrustedCollaborationLabel 和 OutlookBlockUntrustedCollaborationLabel)適用於使用中的特定標籤。
若要實作未填入內容的預設快顯訊息,請使用 OutlookUnlabeledCollaborationAction 進階設定。 若要自定義未標記內容的快顯訊息,請使用 .json 檔案來定義進階設定。
如需詳細資訊,請參閱 自定義 Outlook 快顯訊息。
提示
為了確保您的封鎖郵件會視需要顯示,即使是位於 Outlook 通訊組清單內的收件者,請務必新增 EnableOutlookDistributionListExpansion 進階設定。
針對針對特定標籤設定的快顯訊息豁免功能變數名稱
針對您使用這些快顯訊息指定的標籤,您可以豁免特定功能變數名稱,讓使用者看不到電子郵件位址中包含該功能變數名稱的收件者的郵件。 在此情況下,電子郵件不會中斷傳送。 若要指定多個網域,請將它們新增為單一字串,並以逗號分隔。
一般設定是僅針對組織外部或貴組織未獲授權合作夥伴的收件者顯示快顯訊息。 在此情況下,您可以指定組織與合作夥伴所使用的所有電子郵件網域。
針對相同的標籤原則,建立下列進階客戶端設定,並針對值指定一或多個網域,每一個都以逗號分隔。
多個網域的範例值,以逗號分隔字串: contoso.com,fabrikam.com,litware.com
| 訊息類型 | 索引鍵/值 |
|---|---|
| 警告 | 機碼: OutlookWarnTrustedDomains 值: <功能變數名稱、逗號分隔> |
| 證明 | 機碼: OutlookJustifyTrustedDomains 值: <功能變數名稱、逗號分隔> |
| 區塊 | 機碼: OutlookBlockTrustedDomains 值: <功能變數名稱、逗號分隔> |
例如,假設您已指定機密 \ 所有員工卷標的 OutlookBlockUntrustedCollaborationLabel 進階客戶端設定。
您現在使用 contoso.com 指定 OutlookBlockTrustedDomains 的其他進階客戶端設定。 因此,當用戶標示為機密 \ 所有員工時,可以將電子郵件john@sales.contoso.com傳送至 ,但會封鎖將具有相同卷標的電子郵件傳送至 Gmail 帳戶。
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockTrustedDomains="contoso.com"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyTrustedDomains="contoso.com,fabrikam.com,litware.com"}
注意
為了確保您的封鎖郵件會視需要顯示,即使是位於 Outlook 通訊組清單內的收件者,請務必新增 EnableOutlookDistributionListExpansion 進階設定。
實作警告、合理化或封鎖沒有卷標的電子郵件或附件的快顯訊息
針對相同的標籤原則,使用下列其中一個值建立下列進階客戶端設定:
| 訊息類型 | 索引鍵/值 |
|---|---|
| 警告 | 機碼: OutlookUnlabeledCollaborationAction 值: 警告 |
| 證明 | 機碼: OutlookUnlabeledCollaborationAction 值: 合理化 |
| 區塊 | 機碼: OutlookUnlabeledCollaborationAction 值: 區塊 |
| 關閉這些訊息 | 機碼: OutlookUnlabeledCollaborationAction 值: 關閉 |
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Warn"}
如需進一步自定義,請參閱:
為沒有標籤的電子郵件附件定義警告、合理性或封鎖快顯訊息的特定擴展名
根據預設,警告、合理化或封鎖快顯訊息會套用至所有 Office 檔和 PDF 檔。 您可以指定應該顯示警告、合理化或封鎖具有其他進階設定和擴展名逗號分隔清單的訊息,以精簡此清單。
多個擴展名的範例值,以定義為逗號分隔字串: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM
在此範例中,未標記的 PDF 檔不會產生警告、合理化或封鎖快顯訊息。
針對相同的標籤原則,輸入下列字串:
機碼: OutlookOverrideUnlabeledCollaborationExtensions
值: <顯示訊息的擴展名,以逗號分隔>
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.PPT,.PPTX,.PPTM"}
為沒有附件的電子郵件訊息指定不同的動作
根據預設,您為 OutlookUnlabeledCollaborationAction 指定的值會警告、證明或封鎖快顯訊息適用於沒有捲標的電子郵件或附件。
您可以為沒有附件的電子郵件訊息指定另一個進階設定,以精簡此設定。
使用下列其中一個值建立下列進階客戶端設定:
| 訊息類型 | 索引鍵/值 |
|---|---|
| 警告 | 機碼: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior 值: 警告 |
| 證明 | 機碼: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior 值: 合理化 |
| 區塊 | 機碼: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior 值: 區塊 |
| 關閉這些訊息 | 機碼: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior 值: 關閉 |
如果您未指定此用戶端設定,您為 OutlookUnlabeledCollaborationAction 指定的值會用於沒有附件的未標記電子郵件訊息,以及具有附件的未標記電子郵件訊息。
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior="Warn"}
搜尋電子郵件收件者時,展開 Outlook 通訊組清單
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
若要將其他進階設定的支援延伸至 Outlook 通訊組清單內的收件者,請將 EnableOutlookDistributionListExpansion 進階設定設為 true。
- 機碼: EnableOutlookDistributionListExpansion
- 值:True
例如,如果您已設定 OutlookBlockTrustedDomains、OutlookBlockUntrustedCollaborationLabel 進階設定,然後同時設定 EnableOutlookDistributionListExpansion 設定,則 Outlook 會啟用以展開通訊組清單,以確保區塊訊息視需要出現。
展開通訊組清單的預設逾時為 2000 毫秒。
若要修改此逾時,請為選取的原則建立下列進階設定:
- 機碼: OutlookGetEmailAddressesTimeOutMSProperty
- 值: 整數,以毫秒為單位
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{
EnableOutlookDistributionListExpansion="true"
OutlookGetEmailAddressesTimeOutMSProperty="3000"
}
防止稽核數據傳送至 AIP 和 Microsoft 365 分析
根據預設,Azure 資訊保護 統一標籤客戶端支援集中報告,並將其稽核數據傳送至:
- 如果您已設定Log Analytics工作區,則 Azure 資訊保護 分析
- Microsoft 365,您可以在活動總 管中檢視它們
若要變更此行為,因此不會傳送稽核數據,請執行下列動作:
使用安全性與合規性中心 PowerShell 新增下列原則 進階設定 :
機碼: EnableAudit
值: False
例如,如果您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}注意
根據預設,此進階設定不存在於原則中,而且會傳送稽核記錄。
在所有 Azure 資訊保護 用戶端電腦中,刪除下列資料夾: %localappdata%\Microsoft\MSIP\mip
若要讓用戶端再次傳送稽核記錄數據,請將進階設定值變更為 True。 您不需要在用戶端電腦上手動建立 %localappdata%\Microsoft\MSIP\mip 資料夾。
將資訊類型比對傳送至 Azure 資訊保護 分析
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
根據預設,統一卷標用戶端不會將敏感性資訊類型的內容比對傳送至 Azure 資訊保護 分析。 如需可傳送之這項其他資訊的詳細資訊,請參閱 中央報告文件中的內容比對以取得更深入的分析 一節。
若要在傳送敏感性資訊類型時傳送內容相符專案,請在標籤原則中建立下列進階客戶端設定:
機碼: LogMatchedContent
值: True
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}
限制CPU耗用量
從掃描器 2.7.x.x 版開始,建議您使用下列 ScannerMaxCPU 和 ScannerMinCPU 進階設定來限制 CPU 耗用量。
重要
當下列線程限制原則正在使用中時, 會忽略 ScannerMaxCPU 和 ScannerMinCPU 進階設定。 若要使用 ScannerMaxCPU 和 ScannerMinCPU 進階設定來限制 CPU 耗用量,請取消使用限制線程數目的原則。
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
若要限制掃描器電腦上的CPU耗用量,可藉由建立兩個進階設定來管理它:
ScannerMaxCPU:
默認設定為 100 ,這表示 CPU 耗用量上限沒有限制。 在此情況下,掃描器程式會嘗試使用所有可用的CPU時間,將掃描速率最大化。
如果您將 ScannerMaxCPU 設定為小於 100,掃描器會監視過去 30 分鐘內的 CPU 耗用量。 如果平均 CPU 超過您設定的限制,它會開始減少為新檔案配置的線程數目。
只要 CPU 耗用量高於 ScannerMaxCPU 所設定的限制,線程數目的限制就會繼續。
ScannerMinCPU:
只有檢查 ScannerMaxCPU 不等於 100,且無法設定為高於 ScannerMaxCPU 值的數位。 我們建議讓 ScannerMinCPU 設定至少比 ScannerMaxCPU 的值低 15 點。
默認設定為 50 ,這表示如果過去 30 分鐘內的 CPU 耗用量低於此值,掃描器會開始新增新的線程以平行掃描更多檔案,直到 CPU 耗用量達到您為 ScannerMaxCPU-15 設定的層級為止。
限制掃描器所使用的線程數目
重要
當下列線程限制原則正在使用中時, 會忽略 ScannerMaxCPU 和 ScannerMinCPU 進階設定。 若要使用 ScannerMaxCPU 和 ScannerMinCPU 進階設定來限制 CPU 耗用量,請取消使用限制線程數目的原則。
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
根據預設,掃描器會在執行掃描器服務的計算機上使用所有可用的處理器資源。 如果您需要在掃描此服務時限制 CPU 耗用量,請在標籤原則中建立下列進階設定。
針對 值,指定掃描器可以平行執行的並行線程數目。 掃描器會針對掃描的每個檔案使用不同的線程,因此此節流設定也會定義可平行掃描的檔案數目。
當您第一次設定測試值時,建議您為每個核心指定 2 個,然後監視結果。 例如,如果您在具有 4 個核心的電腦上執行掃描器,請先將值設定為 8。 如有必要,請根據掃描器計算機和掃描速率所需的結果效能,增加或減少該數目。
機碼: ScannerConcurrencyLevel
值: <並行線程數目>
範例 PowerShell 命令,其中您的標籤原則名為 「掃描器」:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}
從 Secure Islands 和其他標籤解決方案移轉標籤
此設定會使用標籤 進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
此設定與擴展名為 .ppdf 的受保護 PDF 檔案不相容。 用戶端無法使用 檔案總管 或 PowerShell 開啟這些檔案。
針對由 Secure Islands 加上標籤的 Office 檔,您可以使用您定義的對應,以敏感度標籤這些檔。 您也可以使用此方法,在標籤位於 Office 檔時,重複使用其他解決方案的標籤。
由於此組態選項,Azure 資訊保護 統一卷標用戶端會套用新的敏感度標籤,如下所示:
Office 檔:當檔在傳統型應用程式中開啟時,新的敏感度標籤會顯示為已設定,並在儲存檔時套用。
針對 PowerShell: Set-AIPFileLabel 和 Set-AIPFileClassificiation 可以套用新的敏感度標籤。
針對 檔案總管:在 [Azure 資訊保護] 對話框中,會顯示新的敏感度標籤,但未設定。
此組態會要求您為每個要對應至舊標籤的敏感度標籤指定名為 labelByCustomProperties 的進階設定。 然後,針對每個專案,使用下列語法來設定值:
[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]
指定您選擇的移轉規則名稱。 使用描述性名稱,協助您識別先前標籤解決方案中的一或多個標籤應該如何對應至敏感度標籤。
請注意,此設定不會從檔或檔中套用原始標籤的任何視覺標記中移除原始標籤。 若要移除頁首和頁尾,請參閱 從其他標籤解決方案移除頁首和頁尾。
範例:
如需其他自定義,請參閱:
注意
如果您要從租使用者之間的標籤移轉,例如在公司合併之後,建議您閱讀有關 合併和分拆的 部落格文章,以取得詳細資訊。
範例 1:相同標籤名稱的一對一對應
需求:具有「機密」安全島嶼卷標的文件,應該由 Azure 資訊保護 重新標記為「機密」。
在此範例中:
- Secure Islands 標籤為 機密 ,並儲存在名為 Classification 的自定義屬性中。
進階設定:
機碼: labelByCustomProperties
值: 安全島嶼卷標為機密,分類,機密
範例 PowerShell 命令,其中您的標籤名為 「機密」:
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Confidential,Classification,Confidential"}
範例 2:不同標籤名稱的一對一對應
需求:安全島嶼標示為「敏感性」的檔應重新標示為 Azure 資訊保護 的「高度機密」。
在此範例中:
- Secure Islands 標籤的名稱為 敏感性 ,並儲存在名為 Classification 的自定義屬性中。
進階設定:
機碼: labelByCustomProperties
值: 安全島嶼標籤為敏感性、分類、敏感性
範例 PowerShell 命令,其中您的標籤名為「高度機密」:
Set-Label -Identity "Highly Confidential" -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Sensitive,Classification,Sensitive"}
範例 3:標籤名稱的多對一對應
需求:您有兩個 Secure Islands 標籤,其中包含 “Internal” 一詞,而且您想要讓其中一個安全島嶼卷標的檔由 Azure 資訊保護 統一卷標用戶端重新標記為「一般」。
在此範例中:
- Secure Islands 標籤包含 Internal 一字,並儲存在名為 Classification 的自定義屬性中。
進階客戶端設定:
機碼: labelByCustomProperties
值: Secure Islands 標籤包含內部、分類、.*Internal.*
範例 PowerShell 命令,其中您的標籤名為 “General”:
Set-Label -Identity General -AdvancedSettings @{labelByCustomProperties="Secure Islands label contains Internal,Classification,.*Internal.*"}
範例 4:相同標籤的多個規則
當您需要相同標籤的多個規則時,請為相同的索引鍵定義多個字串值。
在此範例中,名為 “Confidential” 和 “Secret” 的安全 Islands 標籤會儲存在名為 Classification 的自定義屬性中,而您希望 Azure 資訊保護 統一卷標用戶端套用名為 “Confidential” 的敏感度卷標:
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}
將您的標籤移轉規則延伸至電子郵件
除了 Office 檔之外,您還可以藉由指定其他標籤原則進階設定,使用 Outlook 電子郵件的 labelByCustomProperties 進階設定所定義的組態。
不過,此設定對 Outlook 效能有已知的負面影響,因此只有在您有強大的商務需求時設定此額外設定,並記得在完成從其他標籤解決方案移轉時將其設定為 Null 字串值。
若要設定此進階設定,請輸入所選卷標原則的下列字串:
機碼: EnableLabelByMailHeader
值: True
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelByMailHeader="True"}
將您的標籤移轉規則延伸至 SharePoint 屬性
您可以藉由指定其他標籤原則進階設定,使用 SharePoint 屬性的 labelByCustomProperties 進階設定所定義的組態,這些設定可能會公開為使用者的數據行。
當您使用 Word、Excel 和 PowerPoint 時,支援此設定。
若要設定此進階設定,請輸入所選卷標原則的下列字串:
機碼: EnableLabelBySharePointProperties
值: True
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelBySharePointProperties="True"}
套用標籤時套用自訂屬性
此設定會使用標籤 進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
除了敏感度標籤所套用的元數據之外,您可能還想要將一或多個自定義屬性套用至檔或電子郵件訊息。
例如:
您正從 另一個標籤解決方案移轉,例如 Secure Islands。 為了在移轉期間互操作性,您希望敏感度標籤也套用其他標籤解決方案所使用的自定義屬性。
針對您的內容管理系統(例如 SharePoint 或另一個廠商的檔管理解決方案),您想要使用具有不同標籤的一致自定義屬性名稱,以及具有使用者易記名稱,而不是使用標籤 GUID。
對於使用 Azure 資訊保護 統一標籤客戶端來標記使用者的 Office 檔和 Outlook 電子郵件,您可以新增一或多個您定義的自定義屬性。 您也可以針對統一標籤用戶端使用這個方法,針對尚未由統一標籤端標記的內容,將自定義屬性顯示為來自其他解決方案的標籤。
由於此組態選項,Azure 資訊保護 統一卷標用戶端會套用任何其他自定義屬性,如下所示:
| Environment | 描述 |
|---|---|
| Office 檔 | 當檔案在傳統型應用程式中加上標籤時,儲存檔時會套用其他自訂屬性。 |
| Outlook 電子郵件 | 在 Outlook 中標記電子郵件訊息時,其他屬性會在傳送電子郵件時套用至 x 標頭。 |
| PowerShell | Set-AIPFileLabel 和 Set-AIPFileClassificiation 會在檔加上標籤並儲存時套用額外的自定義屬性。 如果未套用敏感度標籤,Get-AIPFileStatus 會將自定義屬性顯示為對應的標籤。 |
| 檔案總管 | 當使用者以滑鼠右鍵按下檔案並套用標籤時,就會套用自定義屬性。 |
此組態會要求您為每個要套用其他自定義屬性的敏感度標籤指定名為 customPropertiesByLabel 的進階設定。 然後,針對每個專案,使用下列語法來設定值:
[custom property name],[custom property value]
重要
在字串中使用空格符會防止標籤的套用。
例如:
範例 1:新增標籤的單一自定義屬性
需求:Azure 資訊保護 統一標籤客戶端標示為「機密」的檔,應具有名為「分類」且值為「秘密」的其他自定義屬性。
在此範例中:
- 敏感度標籤名為 [機密 ],並建立名為 Classification 的 自定義屬性,其值為 Secret。
進階設定:
機碼: customPropertiesByLabel
值: 分類、秘密
範例 PowerShell 命令,其中您的標籤名為 「機密」:
Set-Label -Identity Confidential -AdvancedSettings @{customPropertiesByLabel="Classification,Secret"}
範例 2:為標籤新增多個自訂屬性
若要為相同的標籤新增多個自訂屬性,您必須為相同的索引鍵定義多個字串值。
範例 PowerShell 命令,其中您的標籤名為 “General”,而您想要新增一個名為 Classification 的自定義屬性,其值為 [一般],而第二個自定義屬性名為 Sensitivity,其值為 Internal:
Set-Label -Identity General -AdvancedSettings @{customPropertiesByLabel=ConvertTo-Json("Classification,General", "Sensitivity,Internal")}
設定標籤以在 Outlook 中套用 S/MIME 保護
此設定使用標籤 進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
只有在您有運作中的 S/MIME 部署,且想要標籤自動套用電子郵件保護方法,而不是 Azure 資訊保護 的 Rights Management 保護時,才使用這些設定。 產生的保護與使用者從 Outlook 手動選取 S/MIME 選項時相同。
| 組態 | 索引鍵/值 |
|---|---|
| S/MIME 數字簽名 | 若要設定 S/MIME 數位簽名的進階設定,請輸入所選標籤的下列字串: - 機碼: SMimeSign - 值: True |
| S/MIME 加密 | 若要設定 S/MIME 加密的進階設定,請輸入所選標籤的下列字串: - 機碼: SMimeEncrypt - 值: True |
當使用者在 Outlook 中選取標籤時,會套用您設定的 S/MIME 設定。 如果標籤也針對您可以在 Microsoft Purview 合規性入口網站 中指定的預設 Rights Management 加密設定,您的 S/MIME 設定只會取代 Outlook 中的 Rights Management 保護。 對於統一卷標用戶端支援的其他應用程式,用戶端會繼續使用合規性入口網站中指定的加密設定。
如果您想要只在 Outlook 中顯示標籤,請從 [讓使用者指派許可權] 設定 [不要轉寄加密] 選項。
範例 PowerShell 命令,其中您的標籤名為「僅限收件者」:
Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeSign="True"}
Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeEncrypt="True"}
指定父卷標的預設子捲標
此設定會使用標籤 進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
當您將子卷標新增至標籤時,使用者就無法再將父卷標套用至文件或電子郵件。 根據預設,用戶選取父卷標以查看可以套用的子捲標,然後選取其中一個子捲標。 如果您設定此進階設定,當使用者選取父標籤時,系統會自動選取子捲標並為其套用:
機碼: DefaultSubLabelId
值: <子卷標 GUID>
範例 PowerShell 命令,其中您的父卷標名為 “Confidential” 且 “All Employees” 子捲標的 GUID 為 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
開啟分類以在背景持續執行
此設定會使用標籤 進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
當您設定此設定時,它會變更 Azure 資訊保護 統一標籤客戶端將自動和建議標籤套用至檔案的預設行為:
針對 Word、Excel 和 PowerPoint,自動分類會在背景中持續執行。
Outlook 的行為不會變更。
當 Azure 資訊保護 統一卷標用戶端定期檢查檔是否有您指定的條件規則時,只要開啟自動儲存,此行為就會為儲存在 SharePoint 或 OneDrive 中的 Office 檔啟用自動建議的分類和保護。 大型檔案也會更快儲存,因為條件規則已經執行。
條件規則不會以使用者類型實時執行。 相反地,如果修改檔,它們會定期以背景工作的形式執行。
若要設定此進階設定,請輸入下列字串:
- 機碼: RunPolicyInBackground
- 值: True
範例 PowerShell 命令:
Set-LabelPolicy -Identity PolicyName -AdvancedSettings @{RunPolicyInBackground = "true"}
注意
這項功能目前為「預覽」狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
指定標籤的色彩
此設定使用標籤 進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
使用此進階設定來設定標籤的色彩。 若要指定色彩,請輸入紅色、綠色和藍色 (RGB) 元件的十六進位三元代碼。 例如,#40e0d0 是綠松石的 RGB 十六進位值。
如果您需要這些程式代碼的參考,您可以從 MSDN Web 檔的色彩頁面找到有用的表格<。>您也可以在許多應用程式中找到這些程式碼,讓您編輯圖片。 例如,Microsoft 小畫家 可讓您從調色盤選擇自定義色彩,並自動顯示 RGB 值,然後您可以複製這些色彩。
若要設定標籤色彩的進階設定,請輸入所選標籤的下列字串:
索引鍵: 色彩
值: <RGB 十六進位值>
範例 PowerShell 命令,其中您的標籤名為 “Public”:
Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}
以不同的使用者身分登入
在生產環境中,AIP 不支援使用多個使用者登入。 此程式描述如何以不同的使用者身分登入,僅供測試之用。
您可以使用 [Microsoft Azure 資訊保護] 對話框:開啟 Office 應用程式 lication,然後在 [首頁] 索引卷標上選取 [敏感度] 按鈕,然後選取 [說明與意見反應] 來確認您目前登入的帳戶。 您的帳戶名稱會顯示在 [客戶端狀態 ] 區段中。
請務必也檢查顯示的已登入帳戶功能變數名稱。 很容易錯過您以正確的帳戶名稱登入,但網域錯誤。 使用錯誤帳戶的徵兆包括無法下載標籤,或看不到您預期的標籤或行為。
若要以不同的使用者身分登入:
流覽至 %localappdata%\Microsoft\MSIP 並刪除 TokenCache 檔案。
重新啟動任何開啟的 Office 應用程式 lications,並使用不同的用戶帳戶登入。 如果您在登入 Azure 資訊保護 服務的 Office 應用程式 中沒有看到提示,請返回 [Microsoft Azure 資訊保護] 對話框,然後從更新的 [客戶端狀態] 區段中選取 [登入]。
此外:
| 案例 | 描述 |
|---|---|
| 仍然登入舊帳戶 | 如果 Azure 資訊保護 統一卷標用戶端在完成這些步驟之後仍使用舊帳戶登入,請從 Internet Explorer 刪除所有 Cookie,然後重複步驟 1 和 2。 |
| 使用單一登錄 | 如果您使用單一登錄,您必須從 Windows 註銷,並在刪除令牌檔案之後,使用不同的使用者帳戶登入。 Azure 資訊保護 統一標籤端接著會使用您目前登入的使用者帳戶自動進行驗證。 |
| 不同的租使用者 | 此解決方案支援以相同租使用者中的其他使用者身分登入。 不支援以來自不同租使用者的其他使用者身分登入。 若要使用多個租用戶測試 Azure 資訊保護,請使用不同的電腦。 |
| 重設設定 | 您可以使用 [說明] 和 [意見反應] 中的 [重設設定] 選項,從 Microsoft Purview 合規性入口網站 註銷和刪除目前下載的標籤和原則設定。 |
支援已中斷連線的電腦
重要
下列標籤案例支援已中斷連線的電腦:檔案總管、PowerShell、您的 Office 應用程式和掃描器。
根據預設,Azure 資訊保護 統一卷標用戶端會自動嘗試連線到因特網,以從 Microsoft Purview 合規性入口網站 下載標籤原則設定。
如果您有一段時間無法連線到因特網的計算機,您可以匯出和複製手動管理統一卷標客戶端原則的檔案。
若要支援已中斷連線的計算機與統一標籤用戶端:
在 Microsoft Entra ID 中選擇或建立使用者帳戶,您將用來下載您想要在已中斷連線的電腦上使用的標籤和原則設定。
作為此帳戶的其他標籤原則設定,請關閉將稽核數據傳送至 Azure 資訊保護 分析。
我們建議此步驟,因為如果已中斷連線的計算機有定期因特網連線,它會將記錄資訊傳送至包含步驟 1 中使用者名稱的 Azure 資訊保護 分析。 該用戶帳戶可能與您在已中斷連線的電腦上所使用的本機帳戶不同。
從具有因特網連線能力的計算機,安裝統一卷標用戶端,並使用步驟 1 中的使用者帳戶登入,下載標籤和原則設定。
從這部電腦導出記錄檔。
例如,執行 Export-AIPLogs Cmdlet,或使用用戶端 [說明及意見反應] 對話方塊中的 [匯出記錄] 選項。
記錄檔會匯出為單一壓縮檔案。
開啟壓縮檔案,然後從 MSIP 資料夾複製任何擴展名為.xml的檔案。
將這些檔案貼到 已中斷連線計算機上的 %localappdata%\Microsoft\MSIP 資料夾。
如果您選擇的用戶帳戶通常是連線到因特網的用戶帳戶,請將 EnableAudit 值設定為 True,以再次啟用傳送稽核數據。
請注意,如果這部計算機上的使用者從 [說明] 和 [意見反應] 中選取 [重設 設定] 選項,此動作會刪除原則檔案,並轉譯用戶端無法操作,直到您手動取代檔案或用戶端連線到因特網並下載檔案為止。
如果您的已中斷連線的計算機正在執行 Azure 資訊保護 掃描器,您必須採取其他設定步驟。 如需詳細資訊,請參閱 限制:掃描儀伺服器無法從掃描器部署指示進行因特網 連線。
變更本機記錄層級
根據預設,Azure 資訊保護 統一卷標用戶端會將客戶端記錄檔寫入 %localappdata%\Microsoft\MSIP 資料夾。 這些檔案適用於 Microsoft 支援服務 進行疑難解答。
若要變更這些檔案的記錄層級,請在登錄中找出下列值名稱,並將值數據設定為必要的記錄層級:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel
將記錄層級設定為下列其中一個值:
關閉:沒有本機記錄。
錯誤:僅限錯誤。
警告:錯誤和警告。
資訊:最小記錄,其中不含事件標識碼(掃描器的預設設定)。
偵錯:完整資訊。
追蹤:詳細記錄(客戶端的預設設定)。
此登錄設定不會變更傳送至 Azure 資訊保護 以進行集中報告的資訊。
視檔案屬性而定,在掃描期間略過或忽略檔案
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
根據預設,Azure 資訊保護 統一卷標掃描器會掃描所有相關檔案。 不過,您可能想要定義要略過的特定檔案,例如已移動的封存盤案或檔案。
使用 ScannerFSAttributesToSkip 進階設定,讓掃描器根據檔案屬性略過特定檔案。 在設定值中,列出當檔案全部設定為 true 時,將會略過檔案的檔案屬性。 此檔案屬性清單會使用 AND 邏輯。
下列範例 PowerShell 命令說明如何使用此進階設定搭配名為 “Global” 的標籤。
略過只讀和封存的檔案
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}
略過只讀或封存的檔案
若要使用 OR 邏輯,請多次執行相同的屬性。 例如:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}
提示
建議您考慮讓掃描器略過具有下列屬性的檔案:
- FILE_ATTRIBUTE_SYSTEM
- FILE_ATTRIBUTE_HIDDEN
- FILE_ATTRIBUTE_DEVICE
- FILE_ATTRIBUTE_OFFLINE
- FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
- FILE_ATTRIBUTE_RECALL_ON_OPEN
- FILE_ATTRIBUTE_TEMPORARY
如需可在 ScannerFSAttributesToSkip 進階設定中定義的所有檔案屬性清單,請參閱 Win32 檔案屬性常數
在標籤期間保留 NTFS 擁有者 (公開預覽)
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
根據預設,掃描器、PowerShell 和 檔案總管 延伸模組標籤不會保留標籤之前定義的NTFS擁有者。
若要確保保留NTFS擁有者值,請將所選標籤原則的 UseCopyAndPreserveNTFSOwner 進階設定 設為 true 。
警告
只有在您可以確保掃描器與掃描存放庫之間的低延遲可靠網路連線時,才定義此進階設定。 自動套用標籤程式期間的網路失敗可能會導致檔案遺失。
範例 PowerShell 命令,當您的標籤原則名為 “Global” 時:
Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}
注意
這項功能目前為「預覽」狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
自定義修改標籤的理由提示文字
當使用者變更檔和電子郵件上的分類標籤時,自訂 Office 和 AIP 用戶端中顯示的理由提示。
例如,身為系統管理員,您可能想要提醒使用者不要在此欄位中新增任何識別資訊的客戶:
若要修改預設 顯示的其他 文字,請使用 JustificationTextForUserText 進階屬性搭配 Set-LabelPolicy Cmdlet。 將值設定為您想要改用的文字。
範例 PowerShell 命令,當您的標籤原則名為 “Global” 時:
Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
自訂 Outlook 快顯訊息
AIP 系統管理員可以自訂 Outlook 中向使用者顯示的快顯訊息,例如:
- 封鎖電子郵件的郵件
- 提示使用者確認他們正在傳送內容的警告訊息
- 要求用戶證明所傳送內容的理由訊息
重要
此程式將會覆寫您已使用 OutlookUnlabeledCollaborationAction 進階屬性定義的任何設定。
在生產環境中,建議您避免使用 OutlookUnlabeledCollaborationAction 進階屬性來定義規則,或使用下面定義的 json 檔案定義複雜規則,但不要同時定義複雜規則。
若要自定義 Outlook 快顯訊息:
建立 .json 檔案,每個檔案都有一個規則,可設定 Outlook 向用戶顯示快顯訊息的方式。 如需詳細資訊,請參閱 規則值.json語法 和 範例快顯自定義.json程序代碼。
使用PowerShell定義進階設定,以控制您要設定的快顯訊息。 針對您想要設定的每個規則執行一組個別的命令。
每個 PowerShell 命令集都必須包含您要設定的原則名稱,以及定義規則的索引鍵和值。
使用下列語法:
$filedata = Get-Content "<Path to json file>" Set-LabelPolicy -Identity <Policy name> -AdvancedSettings @{<Key> ="$filedata"}其中:
<Path to json file>是您所建立 JSON 檔案的路徑。 例如: C:\Users\msanchez\Desktop\ \dlp\OutlookCollaborationRule_1.json。<Policy name>是您想要設定的原則名稱。<Key>是規則的名稱。 使用下列語法,其中 <#> 是規則的序號:OutlookCollaborationRule_<#>
如需詳細資訊,請參閱 排序 Outlook 自定義規則 和 規則值 json 語法。
提示
針對其他組織,請使用與 PowerShell 命令中使用的金鑰相同的字串來命名您的檔案。 例如,將檔案 命名為OutlookCollaborationRule_1.json,然後使用 OutlookCollaborationRule_1 作為密鑰。
若要確保即使從 Outlook 外部共用檔時也會顯示彈出視窗(檔案 > 共用 > 附加複本),也請設定 PostponeMandatoryBeforeSave 進階設定。
訂購 Outlook 自定義規則
AIP 會使用您輸入的索引鍵中的序號來判斷規則的處理順序。 定義每個規則所使用的索引鍵時,請以較低的數位定義更嚴格的規則,後面接著具有較高數位的限制性規則。
找到特定規則比對之後,AIP 會停止處理規則,並執行與比對規則相關聯的動作。 (第一個比對 - > 結束 邏輯)
範例:
假設您想要設定具有特定警告訊息的所有內部電子郵件,但通常不想封鎖這些電子郵件。 不過,您確實想要封鎖使用者傳送分類為秘密的附件,即使是內部電子郵件也一樣。
在此案例中,排序您的封鎖秘密規則金鑰,也就是更具體的規則,再排序您在內部規則金鑰上更一般警告:
- 針對 [ 封鎖 ] 訊息: OutlookCollaborationRule_1
- 針對警告訊息:OutlookCollaborationRule_2
規則值.json語法
定義規則的 json 語法,如下所示:
"type" : "And",
"nodes" : []
您必須至少有兩個節點,第一個節點代表規則的條件,最後一個代表規則動作。 如需詳細資訊,請參閱
規則條件語法
規則條件節點必須包含節點類型,然後是條件本身。
支援節點型態包括:
| 節點類型 | 描述 |
|---|---|
| And | 在所有子節點上執行和 |
| Or | 在所有子節點上執行 或 |
| Not | 針對自己的子項執行 |
| 除了 | 針對自己的子系傳回 ,導致其行為為All |
| SentTo,後面接著 網域:listOfDomains | 檢查下列其中一項: - 如果 Parent 為 Except,檢查所有收件者是否位於其中一個網域中 - 如果 Parent 是任何其他專案,但 Except,會檢查任一收件者是否位於其中一個網域中。 |
| EMailLabel,後面接著標籤 | 下列其中之一: - 標籤標識碼 - null,如果未加上標籤 |
| AttachmentLabel,後面接著 Label 和支援的 延伸模組 | 下列其中之一: true: - 如果 Parent 為 Except,檢查標籤中是否 存在具有一個支援延伸模組的所有 附件 - 如果 Parent 是任何其他專案,但 Except,檢查標籤中是否有 任何 具有一個支援延伸模組的附件 - 如果未加上標籤,且 label = null false:針對所有其他情況 注意:如果 Extensions 屬性是空的或遺失的,則規則中包含所有支援的檔類型(擴展名)。 |
規則動作語法
規則動作可以是下列其中一項:
| 動作 | 語法 | 範例訊息 |
|---|---|---|
| 區塊 | Block (List<language, [title, body]>) |
已封鎖電子郵件 您即將將分類為 秘密 的內容傳送給一或多個不受信任的收件者: rsinclair@contoso.com您的組織原則不允許此動作。 請考慮移除這些收件者或取代內容。 |
| 警告 | Warn (List<language,[title,body]>) |
需要確認 您即將將分類為 [一般 ] 的內容傳送給一或多個不受信任的收件者: rsinclair@contoso.com您的組織原則需要確認,才能傳送此內容。 |
| 證明 | Justify (numOfOptions, hasFreeTextOption, List<language, [Title, body, options1,options2….]> ) 包含最多三個選項。 |
必要理由 您的組織原則需要理由,才能將分類為 [一般 ] 的內容傳送給不受信任的收件者。 - 我確認已核准收件者共用此內容 - 我的經理核准共用此內容 - 其他,如所述 |
動作參數
如果沒有針對動作提供任何參數,彈出視窗將會有預設文字。
所有文字都支援下列動態參數:
| 參數 | 描述 |
|---|---|
${MatchedRecipientsList} |
SentTo 條件的最後一個相符專案 |
${MatchedLabelName} |
郵件/附件 標籤,來自原則的當地語系化名稱 |
${MatchedAttachmentName} |
AttachmentLabel 條件上一個相符專案之附件的名稱 |
注意
所有訊息都包含 [ 告訴我更多] 選項,以及 [說明 ] 和 [意見反應 ] 對話方塊。
Language 是地區設定名稱的 CultureName,例如:英文 = ; en-us西班牙文 = es-es
也支援僅限父語言名稱,例如 en 僅支援。
範例快顯自定義.json程序代碼
下列一組 .json 程式代碼會示範如何定義各種規則,以控制 Outlook 如何為您的使用者顯示快顯訊息。
- 範例 1:封鎖內部電子郵件或附件
- 範例 2:封鎖未分類的 Office 附件
- 範例 3:要求使用者接受傳送機密電子郵件或附件
- 範例 4:在沒有標籤的郵件上發出警告,以及具有特定標籤的附件
- 範例 5:提示理由,並包含兩個預先定義的選項,以及額外的自由文字選項
範例 1:封鎖內部電子郵件或附件
下列 .json 程式代碼會封鎖分類為 內部 的電子郵件或附件,將設定為外部收件者。
在此範例中,89a453df-5df4-4976-8191-259d0cf9560a 是內部捲標的標識符,而內部網域包括 contoso.com 和 microsoft.com。
由於未指定任何特定擴展名,因此會包含所有支援的檔案類型。
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"
},{
"type" : "EmailLabel",
"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"
}
]
},
{
"type" : "Block",
"LocalizationData": {
"en-us": {
"Title": "Email Blocked",
"Body": "The email or at least one of the attachments is classified as <Bold>${MatchedLabelName}</Bold>. Documents classified as <Bold> ${MatchedLabelName}</Bold> cannot be sent to external recipients (${MatchedRecipientsList}).<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance with classification requirements as per Contoso's policies."
},
"es-es": {
"Title": "Correo electrónico bloqueado",
"Body": "El correo electrónico o al menos uno de los archivos adjuntos se clasifica como <Bold> ${MatchedLabelName}</Bold>."
}
},
"DefaultLanguage": "en-us"
}
]
}
範例 2:封鎖未分類的 Office 附件
下列 .json程式 代碼會封鎖未分類的 Office 附件或電子郵件傳送給外部收件者。
在下列範例中, 需要標籤的附件清單是: .doc,.docm,.docx,.dot,.dotm,.dotx,.potm,.potx,.pps,.ppsm,.ppt,.pptm,.pptx,.vdw,.vsd,.vsdm,.vsdx,.vssm,.vst,.vstm,.vstm,.vssx,.vstx,.xls,.xlsb,.xlt,.xlsm,.xlsx,.xltm,.xltx
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : null,
"Extensions": [
".doc",
".docm",
".docx",
".dot",
".dotm",
".dotx",
".potm",
".potx",
".pps",
".ppsm",
".ppsx",
".ppt",
".pptm",
".pptx",
".vdw",
".vsd",
".vsdm",
".vsdx",
".vss",
".vssm",
".vst",
".vstm",
".vssx",
".vstx",
".xls",
".xlsb",
".xlt",
".xlsm",
".xlsx",
".xltm",
".xltx"
]
},{
"type" : "EmailLabel",
"LabelId" : null
}
]
},
{
"type" : "Block",
"LocalizationData": {
"en-us": {
"Title": "Emailed Blocked",
"Body": "Classification is necessary for attachments to be sent to external recipients.<br><br>List of attachments that are not classified:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br>For MS Office documents, classify and send again.<br><br>For PDF files, classify the document or classify the email (using the most restrictive classification level of any single attachment or the email content) and send again."
},
"es-es": {
"Title": "Correo electrónico bloqueado",
"Body": "La clasificación es necesaria para que los archivos adjuntos se envíen a destinatarios externos."
}
},
"DefaultLanguage": "en-us"
}
]
}
範例 3:要求使用者接受傳送機密電子郵件或附件
下列範例會讓 Outlook 顯示警告使用者傳送 機密 電子郵件或附件給外部收件者的郵件,也要求使用者選取 [我接受]。
這種警告訊息在技術上被視為理由,因為用戶必須選取 [ 我接受]。
由於未指定任何特定擴展名,因此會包含所有支援的檔案類型。
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"
},{
"type" : "EmailLabel",
"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"
}
]
},
{
"type" : "Justify",
"LocalizationData": {
"en-us": {
"Title": "Warning",
"Body": "You are sending a document that is classified as <Bold>${MatchedLabelName}</Bold> to at least one external recipient. Please make sure that the content is correctly classified and that the recipients are entitled to receive this document.<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><Bold>List of external email addresses:</Bold><br>${MatchedRecipientsList})<br><br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br><Bold>Acknowledgement</Bold><br>By clicking <Bold>I accept</Bold> below, you confirm that the recipient is entitled to receive the content and the communication complies with CS Policies and Standards",
"Options": [
"I accept"
]
},
"es-es": {
"Title": "Advertencia",
"Body": "Está enviando un documento clasificado como <Bold>${MatchedLabelName}</Bold> a al menos un destinatario externo. Asegúrese de que el contenido esté correctamente clasificado y que los destinatarios tengan derecho a recibir este documento.",
"Options": [
"Acepto"
]
}
},
"HasFreeTextOption":"false",
"DefaultLanguage": "en-us"
}
]
}
範例 4:在沒有標籤的郵件上發出警告,以及具有特定標籤的附件
下列 .json程式代碼 會導致 Outlook 在傳送內部電子郵件時警告使用者沒有標籤,且具有特定標籤的附件。
在此範例中, bcbef25a-c4db-446b-9496-1b558d9edd0e 是附件捲標的標識符,而規則適用於.docx、.xlsx和.pptx檔案。
根據預設,已加上標籤附件的電子郵件不會自動收到相同的標籤。
{
"type" : "And",
"nodes" : [
{
"type" : "EmailLabel",
"LabelId" : null
},
{
"type": "AttachmentLabel",
"LabelId": "bcbef25a-c4db-446b-9496-1b558d9edd0e",
"Extensions": [
".docx",
".xlsx",
".pptx"
]
},
{
"type" : "SentTo",
"Domains" : [
"contoso.com",
]
},
{
"type" : "Warn"
}
]
}
範例 5:提示理由,並包含兩個預先定義的選項,以及額外的自由文字選項
下列 .json 程式代碼會導致 Outlook 提示使用者提供其動作的理由。 理由文字包含兩個預先定義的選項,以及第三個自由文字選項。
由於未指定任何特定擴展名,因此會包含所有支援的檔案類型。
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
]
}
},
{
"type" : "EmailLabel",
"LabelId" : "34b8beec-40df-4219-9dd4-553e1c8904c1"
},
{
"type" : "Justify",
"LocalizationData": {
"en-us": {
"Title": "Justification Required",
"Body": "Your organization policy requires justification for you to send content classified as <Bold> ${MatchedLabelName}</Bold>,to untrusted recipients:<br>Recipients are: ${MatchedRecipientsList}",
"Options": [
"I confirm the recipients are approved for sharing this content",
"My manager approved sharing of this content",
"Other, as explained"
]
},
"es-es": {
"Title": "Justificación necesaria",
"Body": "La política de su organización requiere una justificación para que envíe contenido clasificado como <Bold> ${MatchedLabelName}</Bold> a destinatarios que no sean de confianza.",
"Options": [
"Confirmo que los destinatarios están aprobados para compartir este contenido.",
"Mi gerente aprobó compartir este contenido",
"Otro, como se explicó"
]
}
},
"HasFreeTextOption":"true",
"DefaultLanguage": "en-us"
}
]
}
設定 SharePoint 逾時
根據預設,SharePoint 互動的逾時是兩分鐘,之後嘗試的AIP作業會失敗。
從 2.8.85.0 版開始,AIP 系統管理員可以使用下列進階屬性來控制此逾時,使用 hh:mm:ss 語法來定義逾時:
SharepointWebRequestTimeout。 判斷 SharePoint 的所有 AIP Web 要求逾時。 預設值 = 2 分鐘。
例如,如果您的原則名為 Global,下列範例 PowerShell 命令會將 Web 要求逾時更新為 5 分鐘。
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}SharepointFileWebRequestTimeout。 決定透過 AIP Web 要求特別針對 SharePoint 檔案的逾時。 預設值 = 15 分鐘
例如,如果您的原則名為 Global,下列範例 PowerShell 命令會將檔案 Web 要求逾時更新為 10 分鐘。
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
避免 SharePoint 中的掃描器逾時
如果您在 SharePoint 2013 版或更新版本中有很長的檔案路徑,請確定 SharePoint 伺服器的 httpRuntime.maxUrlLength 值大於預設的 260 個字符。
此值定義於組態的 ASP.NET HttpRuntimeSection 類別中。
若要更新 HttpRuntimeSection 類別:
備份您的 web.config 組態 。
視需要更新 maxUrlLength 值。 例如:
<httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000" />重新啟動您的 SharePoint 網頁伺服器,並確認其已正確載入。
例如,在 Windows Internet Information Servers (IIS) 管理員中,選取您的網站,然後在 [管理網站] 底下,選取 [重新啟動]。
防止 S/MIME 電子郵件的 Outlook 效能問題
在讀取窗格中開啟 S/MIME 電子郵件時,Outlook 中可能會發生效能問題。 若要避免這些問題,請啟用 OutlookSkipSmimeOnReadingPaneEnabled 進階屬性。
啟用此屬性可防止 AIP 列和電子郵件分類顯示在 [閱讀窗格] 中。
例如,如果您的原則名為 Global,下列範例 PowerShell 命令會啟用 OutlookSkipSmimeOnReadingPaneEnabled 屬性:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookSkipSmimeOnReadingPaneEnabled="true"}
關閉檔案追蹤功能
根據預設,您的租用戶會開啟文件追蹤功能。 若要關閉它們,例如針對組織或區域中的隱私權需求,請將 EnableTrackAndRevoke 值設定為 False。
關閉之後,您的組織中將不再提供文件追蹤數據,而且使用者將不再在其 Office 應用程式 中看到 [撤銷] 功能表選項。
針對選取的標籤原則,指定下列字串:
機碼: EnableTrackAndRevoke
值: False
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableTrackAndRevoke="False"}
將此值設定為 False 之後,會關閉追蹤和撤銷,如下所示:
- 使用 AIP 統一標籤客戶端開啟受保護的檔,不再註冊用於追蹤和撤銷的檔。
- 終端使用者將不再在其 Office 應用程式 中看到 [撤銷] 功能表選項。
不過,已註冊追蹤的受保護檔將會繼續追蹤,而且系統管理員仍然可以撤銷 PowerShell 的存取權。 若要完全關閉追蹤和撤銷功能,也請執行 Disable-AipServiceDocumentTrackingFeature Cmdlet。
此設定會使用 原則進階設定 ,您必須使用安全性與合規性中心 PowerShell 進行設定。
提示
若要開啟追蹤並撤銷,請將 EnableTrackAndRevoke 設定為 True,同時執行 Enable-AipServiceDocumentTrackingFeature Cmdlet。
關閉 Office 應用程式 中終端使用者的 [撤銷] 選項
如果您不希望終端用戶能夠從其 Office 應用程式 撤銷受保護檔的存取權,您可以從 Office 應用程式 中移除 [撤銷存取權] 選項。
注意
移除 [撤銷存取權] 選項會繼續在背景中追蹤受保護的檔,並保留系統管理員透過PowerShell撤銷檔存取權的能力。
針對選取的標籤原則,指定下列字串:
機碼: EnableRevokeGuiSupport
值: False
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}
設定 Office 檔案的自動標記逾時
根據預設,掃描器在 Office 檔案上的自動標記逾時為 3 秒。
如果您有含有許多工作表或數據列的複雜 Excel 檔案,3 秒可能不足以自動套用標籤。 若要為選取的標籤原則增加此逾時,請指定下列字串:
機碼: OfficeContentExtractionTimeout
值:秒,格式如下:
hh:mm:ss。
重要
我們建議您不要將此逾時提高到超過15秒。
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}
更新的逾時適用於所有 Office 檔案的自動標籤。
開啟分類全球化功能 (公開預覽)
分類全球化功能,包括提高東亞語言的正確性,以及對雙位元組位元的支援。 這些增強功能僅針對 64 位進程提供,且預設為關閉。
為您的原則開啟這些功能,請指定下列字串:
機碼: EnableGlobalization
值:
True
範例 PowerShell 命令,其中您的標籤原則名為 「Global」:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}
若要再次關閉支援並還原為預設值,請將 EnableGlobalization 進階設定設為空字串。
啟用數據界限設定
遵循 Microsoft 對歐盟數據界限的承諾,Azure 資訊保護 統一卷標客戶端的歐盟客戶可以將數據傳送至歐盟進行儲存和處理。
變更此登錄機碼,指定事件應該傳送至的適當位置,以在 AIP 用戶端中開啟此功能:
- 登錄機碼: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\DataBoundary (DWORD)
- 值:
Default = 0North_America = 1European_Union = 2
啟用系統預設瀏覽器以進行驗證
在 AIP 用戶端中使用系統預設瀏覽器進行驗證。 根據預設,AIP 用戶端會開啟 Microsoft Edge 進行驗證。
啟用此登入機碼,在 AIP 用戶端開啟此功能:
- 登錄機碼: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\MSALUseSytemDefaultBrowserAuth (DWORD)
- 值:
Disabled = 0Enabled = 1
下一步
既然您已自定義 Azure 資訊保護 統一卷標用戶端,請參閱下列資源,以取得您可能需要支援此用戶端的其他資訊:
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應