系統管理指南:Azure 資訊保護 傳統用戶端支援的檔案類型
Azure 資訊保護傳統用戶端可以將下列內容套用至檔和電子郵件:
僅分類
分類和保護
僅保護
Azure 資訊保護用戶端也可以使用您定義的已知敏感性資訊類型或規則運算式,檢查某些檔案類型的內容。
使用下列資訊來檢查 Azure 資訊保護用戶端支援哪些檔案類型、了解不同的保護層級與如何變更預設保護層級,並識別哪些檔案會從分類和保護中自動排除 (略過)。
針對列出的檔案類型,不支援 WebDav 位置。
僅支援分類的檔案類型
下列檔案類型即使未受保護也可以進行分類。
Adobe 可攜式文件格式:.pdf
Microsoft Project:.mpp、.mpt
Microsoft Publisher:.pub
Microsoft XPS:.xps、.oxps
影像:.jpg、.jpe、.jpeg、.jif、.jfif、.jfi。 png、.tif、.tiff
Autodesk Design Review 2013:.dwfx
Adobe Photoshop:.psd
Digital Negative:.dng
Microsoft Office:下表中的檔案類型。
針對這些檔案類型支援的檔案格式為下列 Office 程式的 97-2003 檔案格式與 Office Open XML 格式:Word、Excel 與 PowerPoint。
Office 檔案類型 Office 檔案類型 .doc
.docm
.docx
.dot
.dotm
.dotx
.potm
.potx
.pps
.ppsm
.ppsx
.ppt
.pptm
.pptx
.vdw
.vsd.vsdm
.vsdx
.vss
.vssm
.vst
.vstm
.vssx
.vstx
.xls
.xlsb
.xlt
.xlsm
.xlsx
.xltm
.xltx
其他檔案類型在受保護同時也支援分類。 如需這些檔案類型,請參閱支援分類及保護的檔案類型一節。
例如,在目前預設原則中,[一般] 標籤會套用分類,但不會套用保護。 您可以將 [一般] 標籤套用至名為 sales.pdf 的檔案,但無法將此標籤套用至名為 sales.txt 的檔案。
而且,在目前預設原則中,[機密\所有員工] 會套用分類和保護。 您可以將此標籤套用至名為 sales.pdf 的檔案和名為 sales.txt 的檔案。 您也可以只將保護套用至這些檔案,而不進行分類。
支援保護的檔案類型
Azure 資訊保護用戶端支援兩個不同層級的保護,如下表所述。
| 保護類型 | 原生 | 泛型 |
|---|---|---|
| 描述 | 針對文字、影像、Microsoft Office (Word、Excel、PowerPoint) 檔案、.pdf 檔案與其他支援 Rights Management 服務的應用程式檔案類型,原生保護提供了包含加密和強制執行權限的強力層級保護。 | 對於其他支援的檔案類型,一般保護提供一種保護層級,其中包含使用 .pfile 檔案類型的檔案封裝,以及驗證,以確認使用者是否有權開啟檔案。 |
| 保護 | 檔案保護的強制執行方式如下: 受保護的內容轉譯之前,透過電子郵件收到檔案或是透過檔案或共用權限存取檔案的人,必須成功通過驗證。 - 此外,當檔案受到保護時,若要在 Azure 資訊保護檢視器中 (對於受保護的文字與影像檔) 或已建立關聯的應用程式中 (對於所有其他支援的檔案類型) 轉譯內容時,將強制執行內容擁有者所設定的使用權限與原則。 |
檔案保護會以下列方式強制執行: - 受保護的內容在轉譯之前,獲得開啟檔案授權和獲得檔案存取權的人員,必須成功通過驗證。 如果授權失敗,則檔案無法開啟。 系統會顯示內容擁有者所設定的使用權限與原則,以通知授權使用者其預定使用原則。 - 授權使用者開啟及存取檔案時,即進行稽核記錄。 不過,不會強制使用權限。 |
| 檔案類型的預設值 | 這是下列檔案類型的預設保護層級: - 文字和影像檔案 - Microsoft Office (Word、Excel、PowerPoint) 檔案 - 可攜式文件格式 (.pdf) 如需詳細資訊,請參閱下一節支援分類及保護的檔案類型。 |
這是為原生保護不支援的其他所有檔案類型 (如 .vsdx、.rtf 等等) 而提供的預設保護。 |
您可以變更 Azure 資訊保護用戶端套用的預設保護層級。 您可以將預設的原生層級變更為一般、從一般變更為原生,甚至阻止 Azure 資訊保護用戶端套用保護。 如需詳細資訊,請參閱本文章中的變更檔案的預設保護層級一節。
當使用者選取系統管理員已設定的標籤時,會自動套用資料保護,或使用者可以使用權限層級來指定自己的自訂保護設定。
支援保護的檔案大小
Azure 資訊保護用戶端支援保護的檔案大小上限。
針對Office檔案:
Office 應用程式 支援的檔案大小上限 Word 2007 (僅 AD RMS 支援)
Word 2010
Word 2013
Word 201632 位元:512 MB
64 位元:512 MBExcel 2007 (僅 AD RMS 支援)
Excel 2010
Excel 2013
Excel 201632 位元:2 GB
64 位元:只受限於可用磁碟空間和記憶體PowerPoint 2007 (僅 AD RMS 支援)
PowerPoint 2010
PowerPoint 2013
PowerPoint 201632 位元:只受限於可用磁碟空間和記憶體
64 位元:只受限於可用磁碟空間和記憶體對於所有其他檔案:
若要保護其他檔案類型,而且想要在 Azure 資訊保護檢視器中開啟這些檔案類型:檔案大小上限僅受限於可用磁碟空間與記憶體。
若要使用 Unprotect-RMSFile Cmdlet 來解除保護檔案:支援的 .pst 檔案大小上限為 5 GB。 其他檔案類型只受限於可用磁碟空間與記憶體
提示
如果您需要在大型 .pst 檔案中搜尋或復原受保護的專案,請參閱 移除 PST 檔案的保護。
支援分類及保護的檔案類型
下表列出一組支援 Azure 資訊保護用戶端進行原生保護、而且可以分類的檔案類型。
由於這些檔案類型在受原生保護時,原始副檔名會變更,而這些檔案會變成唯讀,因此類型會分別識別。 請注意,當檔案受到一般保護時,原始副檔名一律會變更為 .pfile。
警告
如果您有防火牆、Web proxy 或會檢查並根據副檔名採取動作的安全性軟體,可能需要重新設定這些網路裝置及軟體以支援這些新的副檔名。
| 原始副檔名 | 受保護的副檔名 |
|---|---|
| .txt | .ptxt |
| .xml | .pxml |
| .jpg | .pjpg |
| .jpeg | .pjpeg |
| .ppdf [1] | |
| .png | .ppng |
| .tif | .ptif |
| .tiff | .ptiff |
| .bmp | .pbmp |
| .gif | .pgif |
| .jpe | .pjpe |
| .jfif | .pjfif |
| .jt | .pjt |
註腳 1
使用最新版本的 Azure 資訊保護用戶端時,根據預設,受保護 PDF 文件的副檔名依然是 .pdf。
下表列出其餘支援 Azure 資訊保護用戶端進行原生保護、而且可以分類的檔案類型。 您會發現這些檔案類型用於 Microsoft Office 應用程式。 針對這些檔案類型支援的檔案格式為下列 Office 程式的 97-2003 檔案格式與 Office Open XML 格式:Word、Excel 與 PowerPoint。
這些檔案受 Rights Management Service 保護後副檔名維持不變。
| Office 支援的檔案類型 | Office 支援的檔案類型 |
|---|---|
| .doc .docm .docx .dot .dotm .dotx .potm .potx .pps .ppsm .ppsx .ppt .pptm .pptx .vsdm |
.vsdx .vssm .vssx .vstm .vstx .xla .xlam .xls .xlsb .xlt .xlsm .xlsx .xltm .xltx .xps |
變更檔案的預設保護層級
您可以編輯登錄來變更 Azure 資訊保護用戶端對檔案的保護方式。 例如,您可以強制讓 Azure 資訊保護用戶端以一般保護方式來保護支援原生保護的檔案。
您可能會這麼做的原因:
如果所有使用者沒有支援原生保護的應用程式,請確定所有使用者都可以開啟檔案。
配合依據檔案的副檔名而採取動作,並且可針對原生保護而重新設定為配合 .pfile 副檔名,但無法重新設定為配合多個副檔名的安全性系統。
同樣地,您可以強制 Azure 資訊保護用戶端對預設會套用一般保護的檔案套用原生保護。 如果您有支援 RMS API 的應用程式,就適合執行這個動作。 例如,內部開發人員撰寫的企業營運應用程式或向獨立軟體廠商 (ISV) 購買的應用程式。
您也可以強制 Azure 資訊保護用戶端封鎖檔案的保護 (不套用原生保護或一般保護)。 例如,當您有必須能夠開啟特定檔案來處理其內容的自動化應用程式或服務時,可能必須執行這個動作。 當您封鎖某個檔案類型的保護時,使用者無法使用 Azure 資訊保護用戶端來保護該檔案類型的檔案。 當使用者嘗試這麼做時,會看到一個系統管理員已防止保護的訊息,而且他們必須取消其保護檔案的動作。
若要設定 Azure 資訊保護用戶端對預設會套用原生保護的所有檔案套用一般保護,請進行以下登錄編輯。 請注意,如果 FileProtection 機碼不存在,您必須手動建立它。
為下列登錄路徑建立名為 * 的新機碼,其代表具有任何副檔名的檔案︰
若為 32 位元版本的 Windows:HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection
若為 64 位版本的 Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\FileProtection和HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection
例如,在新增的金鑰 (中,HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\*), (REG_SZ) 名為 Encryption 的新字串值,其資料值為 Pfile。
此設定會使 Azure 資訊保護用戶端套用一般保護。
這兩個設定會使 Azure 資訊保護用戶端將一般保護套用至具有副檔名的所有檔案。 如果這是您的目標,則不需要進一步的設定。 不過,您可以針對特定檔案類型定義例外狀況,讓它們仍然受到原生保護。 若要這樣做,您必須為每種檔案類型進行 3 個 (針對 32 位元 Windows) 或 6 個 (針對 64 位元 Windows) 額外的登錄編輯:
針對 適用) HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection和 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\FileProtection (:新增具有副檔名 (名稱的新索引鍵,而不) 。
例如,對於副檔名為 .docx 的檔案,建立名為 DOCX 的機碼。
在新增的檔案類型機碼 (例如,HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\DOCX) 中,建立名為 AllowPFILEEncryption 的新 DWORD 值,並將其值設定為 0。
在新增的檔案類型機碼 (例如,HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\DOCX) 中,建立名為 Encryption 的新字串值,並將其值設定為 Native。
進行這些設定後,所有檔案都會受到一般保護,但副檔名為 .docx 的檔案除外。 這些檔案會受到 Azure 資訊保護用戶端的原生保護。
針對您想要定義為例外的其他檔案類型重複這三個步驟,因為它們支援原生保護,而您不要它們受 Azure 資訊保護用戶端的一般保護。
針對其他情況,您可以進行類似的登錄編輯,方法是變更支援下列值的 Encryption 字串:
Pfile:一般保護
Native:原生保護
Off:封鎖保護
變更這些登錄之後,不需要重新啟動電腦。 不過,若您使用 PowerShell 命令來保護檔案,您必須啟動新的 PowerShell 工作階段,變更才會生效。
在適用於開發人員的此文件中,一般保護稱為 "PFile"。
從分類和保護中排除的檔案類型
為了協助防止使用者變更對電腦作業而言非常重要的檔案,系統會自動將某些檔案類型和資料夾從分類和保護中排除。 如果使用者嘗試透過使用 Azure 資訊保護用戶端分類或保護這些檔案,他們會看到指出已排除那些檔案的訊息。
已排除的檔案類型:.lnk、.exe、.com、.cmd、.bat、.dll、.ini、.pst、.sca、.drm、.sys、.cpl、.inf、.drv、.dat、.tmp、.msg、.msp、.msi、.pdb、.jar
已排除的資料夾:
- Windows
- Program Files (\Program Files 和 \Program Files (x86))
- \ProgramData
- \AppData (對於所有使用者)
從 Azure 資訊保護掃描器的分類和保護中排除的檔案類型
根據預設,掃描器還會排除與 Azure 資訊保護用戶端相同的檔案類型,除了下列例外:
- 也會排除 .rtf 與 .rar
您可以變更掃描器進行檔案檢查時所包含或排除的檔案類型:
- 使用Azure 入口網站,將檔案類型設定為在掃描器設定檔中掃描。
注意
如果您包含 .rtf 檔案以進行掃描,請小心監視掃描器。 掃描器無法成功檢查某些 .rtf 檔案,對於這些檔案來說,檢查並未完成,因此必須重新啟動服務。
根據預設,掃描器只會保護 Office 檔案類型,以及使用 ISO 標準進行 PDF 加密而受到保護的 PDF 檔案。 若要變更掃描器的此行為,請編輯登錄,並指定您想要保護的其他檔案類型。 如需指示,請參閱 使用登錄來變更哪些檔案類型受到 掃描器部署指示的保護。
檔案依預設不受保護
受密碼保護的任何檔案都無法由 Azure 資訊保護用戶端原生地保護,除非檔案目前在套用保護的應用程式中開啟。 您最常看到的是受密碼保護的 PDF 檔案,但其他應用程式,例如 Office 應用程式,也提供這項功能。
若您變更 Azure 資訊保護用戶端的預設行為使其以 .ppdf 副檔名的方式保護 PDF 檔案,用戶端在下列任一狀況中無法以原生方式保護或取消保護PDF 檔案:
以表單為基礎的 PDF 檔案。
副檔名為 .pdf 的受保護 PDF 檔案。
Azure 資訊保護用戶端可以保護未受保護的 PDF 檔案,以及取消保護並重新保護副檔名為 .ppdf 的受保護 PDF 檔案。
容器檔案的限制 (例如 .zip 檔案)
如需詳細資訊,請參閱Azure 資訊保護限制的集合。
支援檢查的檔案類型
無須進行任何額外設定,Azure 資訊保護用戶端就會使用 Windows IFilter 檢查文件內容。 Windows Search 會使用 Windows IFilter 編製索引。 如此一來,當使用 Azure 資訊保護掃描器或 Set-AIPFileClassification PowerShell 命令時,就可檢查以下檔案類型。
| 應用程式類型 | 檔案類型 |
|---|---|
| Word | .doc;docx; .docm; .dot; .dotm; .dotx |
| Excel | .xls; .xlt; .xlsx; .xltx; .xltm; .xlsm; .xlsb |
| PowerPoint | .ppt; .pps; .pot; .pptx; .ppsx; .pptm; .ppsm; .potx; .potm |
| Text | .txt; .xml; .csv |
進行其他設定後,即可檢查其他檔案類型。 例如,您可登錄自訂副檔名,以對文字檔使用現有的 Windows 篩選處理常式,也可以安裝軟體廠商提供的其他篩選。
若要檢查安裝了哪些篩選,請參閱 Windows Search 開發人員指南的 Finding a Filter Handler for a Given File Extension (尋找指定副檔名的篩選處理常式) 一節。
以下章節有檢查 .zip 檔案及 .tiff 檔案的設定指示。
檢查 .zip 檔案
當您遵循以下指示時,Azure 資訊保護掃描器及 Set-AIPFileClassification PowerShell 命令就可以檢查 .zip 檔案:
若為執行掃描器或 PowerShell 工作階段的電腦,請安裝 Office 2010 Filter Pack SP2。
針對掃描器:尋找敏感性資訊之後,如果應該使用標籤分類和保護.zip檔案,請新增此副檔名的登錄專案,讓此副檔名具有泛型保護 (pfile) ,如 使用登錄來變更哪些檔案類型受到 掃描器部署指示的保護。
執行這些步驟後的範例案例:
名為 accounts.zip 的檔案包含內有信用卡號碼的 Excel 試算表。 您的 Azure 資訊保護原則具有名為 Confidential \ Finance 的標籤,其已設為探索信用卡號碼,並自動套用具備保護的標籤,限制存取 Finance 群組。
在檢查完檔案後,掃描器會將檔案分類為 Confidential \ Finance,將一般保護套用到檔案,僅限 Finance 群組的成員才能解壓縮它,並將檔案重新命名為 accounts.zip.pfile。
使用 OCR 檢查 .tiff 檔案
在您安裝了 Windows TIFF IFilter 功能,然後在執行掃描器或 PowerShell 工作階段的電腦上進行 Windows TIFF IFilter 設定後,Azure 資訊保護掃描器及 Set-AIPFileClassiciation PowerShell 指令就可以使用光學字元辨識 (OCR) 檢查具有 .tiff 副檔名的 TIFF 影像。
針對掃描器:尋找敏感性資訊之後,如果應該使用標籤分類並保護 .tiff 檔案,請新增此副檔名的登錄專案以擁有原生保護,如使用登錄來變更掃描器部署指示 所保護的檔案類型 中所述。
後續步驟
現在您已經辨別了 Azure 資訊保護用戶端支援的檔案類型,請參閱下列資源以了解要支援此用戶端可能需要的其他資訊: