管理员指南:Azure 信息保护统一标记客户端的自定义配置
备注
你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?
适用于 Office 的 Azure 信息保护加载项现在处于维护模式,建议使用内置于 Office 365 应用和服务中的标签。 详细了解其他 Azure 信息保护组件的支持状态。
管理 AIP 统一标记客户端时,请参考以下信息来指定适用于特定方案或用户的高级配置。
注意
这些设置要求编辑注册表或指定高级设置。 高级设置使用安全与合规中心 PowerShell。
通过 PowerShell 配置客户端的高级设置
使用安全性和符合性 PowerShell 配置用于自定义标签策略和标签的高级设置。
在这两种情况下,请在连接到安全性和符合性 PowerShell 后,使用策略或标签的标识(名称或 GUID)以及在哈希表中的键/值对指定 AdvancedSettings 参数。
若要删除高级设置,请使用相同的 AdvancedSettings 参数语法,但要指定 null 字符串值。
重要
不要在字符串值中使用空格。 在这些字符串值中使用空格会导致无法应用标签。
有关详情,请参阅:
标签策略高级设置语法
用于在 Office 应用中显示“信息保护”栏的设置就是标签策略高级设置的一个例子。
对于单字符串值,请使用以下语法:
Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key="value1,value2"}
对于同一个键的多字符串值,请使用以下语法:
Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}
标签高级设置语法
用于指定标签颜色的设置就是标签高级设置的一个例子。
对于单字符串值,请使用以下语法:
Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key="value1,value2"}
对于同一个键的多字符串值,请使用以下语法:
Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}
检查当前高级设置
若要检查当前高级设置是否生效,请运行以下命令:
若要检查标签策略高级设置,请使用以下语法:
对于名为 Global 的标签策略:
(Get-LabelPolicy -Identity Global).settings
若要检查标签高级设置,请使用以下语法:
对于名为 Public 的标签:
(Get-Label -Identity Public).settings
指定高级设置的示例
示例 1:为单字符串值指定标签策略高级设置:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
示例 2:为单字符串值指定标签高级设置:
Set-Label -Identity Internal -AdvancedSettings @{smimesign="true"}
示例 3:为多字符串值指定标签高级设置:
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}
示例 4:通过指定 null 字符串值删除标签策略高级设置:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions=""}
指定标签策略或标签标识
很容易就能找到 PowerShell Identity 参数的标签策略名称,因为在 Microsoft Purview 合规性门户中只有一个策略名称。
但对于标签,Microsoft Purview 合规性门户将同时显示“名称”和“显示名称”值。 这些值有时相同,有时不同。 若要为标签配置高级设置,请使用“名称”值。
例如,若要标识下图中的标签,请在 PowerShell 命令中使用以下语法:-Identity "All Company":
如果你希望指定标签的 GUID,则此值不会显示在 Microsoft Purview 合规性门户中。 请使用 Get-Label 命令查找此值,如下所示:
Get-Label | Format-Table -Property DisplayName, Name, Guid
有关标签名称和显示名称的详细信息:
“名称”是标签的原始名称,在所有标签中是唯一的。
即使以后更改了标签名称,此值也仍会保持不变。 对于从 Azure 信息保护迁移的敏感度标签,Azure 门户中可能会显示原始标签 ID。
“显示名称”是当前向用户显示的标签名称,不需要在所有标签中保持唯一。
例如,可以对“保密”标签下的某个子标签使用“所有员工”作为显示名称,对“高度保密”标签下的某个子标签也使用“所有员工”作为显示名称。 这两个子标签都以相同的名称显示,但它们是不同的标签,并且其设置也不同。
优先顺序 - 如何解决有冲突的设置
可以使用 Microsoft Purview 合规性门户配置以下标签策略设置:
默认将此标签应用于文档和电子邮件
用户必须提供理由才能删除某个标签或分类较低的标签
要求用户将标签应用于其电子邮件或文档
为用户提供自定义帮助页的链接
如果为用户配置了多个标签策略,而每个策略可能采用不同的策略设置,那么将根据 Microsoft Purview 合规性门户中的策略顺序应用最后一个策略设置。 有关详细信息,请参阅标签策略优先级(顺序非常重要)
运用相同的逻辑使用最后一个策略设置来应用标签策略高级设置。
高级设置参考
以下部分介绍标签策略和标签的可用高级设置:
按功能提供的高级设置参考
以下部分按产品和功能集成列出了本页所述的高级设置:
标签策略高级设置参考
将 AdvancedSettings 参数与 LabelPolicy 和 LabelPolicy 结合使用可定义以下设置:
| 设置 | 应用场景和说明 |
|---|---|
| AdditionalPPrefixExtensions | 支持使用此高级属性将 <EXT>.PFILE 更改为 P<EXT> |
| AttachmentAction | 对于带有附件的电子邮件,使用与这些附件的最高等级相匹配的标签 |
| AttachmentActionTip | 对于带有附件的电子邮件,使用与这些附件的最高等级相匹配的标签 |
| DisableMandatoryInOutlook | 使 Outlook 消息免于强制标记 |
| EnableAudit | 防止将审核数据发送到 AIP 和 Microsoft 365 分析 |
| EnableContainerSupport | 启用从 PST、rar、7zip 和 MSG 文件中删除保护 |
| EnableCustomPermissions | 在文件资源管理器中禁用自定义权限 |
| EnableCustomPermissionsForCustomProtectedFiles | 对于受自定义权限保护的文件,始终在文件资源管理器中向用户显示自定义权限 |
| EnableGlobalization | 启用分类全球化功能 |
| EnableLabelByMailHeader | 从 Secure Islands 和其他标记解决方案迁移标签 |
| EnableLabelBySharePointProperties | 从 Secure Islands 和其他标记解决方案迁移标签 |
| EnableOutlookDistributionListExpansion | 搜索电子邮件收件人时展开 Outlook 通讯组列表 |
| EnableRevokeGuiSupport | 在 Office 应用中关闭最终用户的“撤销”选项 |
| EnableTrackAndRevoke | 禁用文档跟踪功能 |
| HideBarByDefault | 在 Office 应用程序中显示“信息保护”栏 |
| JustificationTextForUserText | 自定义已修改标签的理由提示文本 |
| LogMatchedContent | 将信息类型匹配项发送到 Azure 信息保护分析 |
| OfficeContentExtractionTimeout | 配置针对 Office 文件的自动标记超时 |
| OutlookBlockTrustedDomains | 在 Outlook 中实现弹出消息,针对正在发送的电子邮件发出警告、进行验证或阻止 |
| OutlookBlockUntrustedCollaborationLabel | 在 Outlook 中实现弹出消息,针对正在发送的电子邮件发出警告、进行验证或阻止 |
| OutlookCollaborationRule | 自定义 Outlook 弹出消息 |
| OutlookDefaultLabel | 为 Outlook 设置不同的默认标签 |
| OutlookGetEmailAddressesTimeOutMSProperty | 修改在 Outlook 中针对通讯组列表中的收件人实现阻止消息时展开通讯组列表的超时 |
| OutlookJustifyTrustedDomains | 在 Outlook 中实现弹出消息,针对正在发送的电子邮件发出警告、进行验证或阻止 |
| OutlookJustifyUntrustedCollaborationLabel | 在 Outlook 中实现弹出消息,针对正在发送的电子邮件发出警告、进行验证或阻止 |
| OutlookRecommendationEnabled | 在 Outlook 中启用建议的分类 |
| OutlookOverrideUnlabeledCollaborationExtensions | 在 Outlook 中实现弹出消息,针对正在发送的电子邮件发出警告、进行验证或阻止 |
| OutlookSkipSmimeOnReadingPaneEnabled | 防止 S/MIME 电子邮件导致 Outlook 性能问题 |
| OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior | 在 Outlook 中实现弹出消息,针对正在发送的电子邮件发出警告、进行验证或阻止 |
| OutlookWarnTrustedDomains | 在 Outlook 中实现弹出消息,针对正在发送的电子邮件发出警告、进行验证或阻止 |
| OutlookWarnUntrustedCollaborationLabel | 在 Outlook 中实现弹出消息,针对正在发送的电子邮件发出警告、进行验证或阻止 |
| PFileSupportedExtensions | 更改要保护的文件类型 |
| PostponeMandatoryBeforeSave | 使用强制标签时,删除文档的“以后再说” |
| PowerPointRemoveAllShapesByShapeName | 删除页眉和页脚中具有特定形状名称的所有形状,而不要按形状内部的文本删除形状 |
| PowerPointShapeNameToRemove | 避免从 PowerPoint 中删除包含指定文本且不是页眉/页脚的形状 |
| RemoveExternalContentMarkingInApp | 删除其他标记解决方案中的页眉和页脚 |
| RemoveExternalMarkingFromCustomLayouts | 从 PowerPoint 自定义布局内部显式删除外部内容标记 |
| ReportAnIssueLink | 为用户添加“报告问题” |
| RunPolicyInBackground | 开启在后台持续运行的分类 |
| ScannerMaxCPU | 限制 CPU 使用率 |
| ScannerMinCPU | 限制 CPU 使用率 |
| ScannerConcurrencyLevel | 限制扫描程序使用的线程数 |
| ScannerFSAttributesToSkip | 在扫描期间根据文件特性跳过或忽略文件 |
| SharepointWebRequestTimeout | 配置 SharePoint 超时 |
| SharepointFileWebRequestTimeout | 配置 SharePoint 超时 |
| UseCopyAndPreserveNTFSOwner | 在标记期间保留 NTFS 所有者 |
标签高级设置参考
将 AdvancedSettings 参数与 New-Label 和 Set-Label 结合使用。
| 设置 | 应用场景和说明 |
|---|---|
| color | 指定标签的颜色 |
| customPropertiesByLabel | 应用标签时应用自定义属性 |
| DefaultSubLabelId | 为父标签指定默认子标签 |
| labelByCustomProperties | 从 Secure Islands 和其他标记解决方案迁移标签 |
| SMimeEncrypt | 将标签配置为在 Outlook 中应用 S/MIME 保护 |
| SMimeSign | 将标签配置为在 Outlook 中应用 S/MIME 保护 |
隐藏 Windows 文件资源管理器中的“分类和保护”菜单选项
若要隐藏 Windows 文件资源管理器中的“分类和保护”菜单选项,请创建以下 DWORD 值名称(包含任何值数据):
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable
有关详细信息,请参阅使用文件资源管理器对文件进行分类。
在 Office 应用中显示“信息保护”栏
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
默认情况下,用户必须通过“敏感度”按钮选择“显示栏”选项,才能在 Office 应用中显示“信息保护”栏。 使用 HideBarByDefault 键并将值设置为 False,以便为用户自动显示此栏,使他们可以通过此栏或按钮选择标签。
对于所选的标签策略,请指定以下字符串:
键:HideBarByDefault
值:False
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{HideBarByDefault="False"}
使 Outlook 消息免于强制标记
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
默认情况下,在启用标签策略设置“所有文档和电子邮件必须具有标签”时,必须为所有保存的文档和发送的电子邮件应用标签。 配置以下高级设置时,策略设置仅应用于 Office 文档,而不应用于 Outlook 邮件。
对于所选的标签策略,请指定以下字符串:
键:DisableMandatoryInOutlook
值:True
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{DisableMandatoryInOutlook="True"}
在 Outlook 中启用建议的分类
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
为建议的分类配置标签时,系统将提示用户接受或关闭 Word、Excel 和 PowerPoint 中建议的标签。 此设置将此标签建议扩展到也在 Outlook 中显示。
对于所选的标签策略,请指定以下字符串:
键:OutlookRecommendationEnabled
值:True
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookRecommendationEnabled="True"}
启用从压缩文件中删除保护
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
配置此设置时,将启用 PowerShell cmdlet Set-AIPFileLabel,以便能够从 PST、rar 和 7zip 文件中删除保护。
键:EnableContainerSupport
值:True
用于启用策略的示例 PowerShell 命令:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}
为 Outlook 设置不同的默认标签
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
配置此设置时,对于选项“默认将此标签应用于文档和电子邮件”,Outlook 不会应用已配置为策略设置的默认标签。 相反,Outlook 可应用不同的默认标签,也可不应用标签。
对于所选的标签策略,请指定以下字符串:
键:OutlookDefaultLabel
值:<标签 GUID> 或者无
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookDefaultLabel="None"}
更改要保护的文件类型
这些配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
默认情况下,Azure 信息保护统一标记客户端会保护所有文件类型,而客户端中的扫描程序仅保护 Office 文件类型和 PDF 文件。
可以通过指定以下设置之一来更改所选标签策略的此默认行为:
PFileSupportedExtension
键:PFileSupportedExtensions
值:<字符串值>
使用下表来确定要指定的字符串值:
| 字符串值 | 客户端 | 扫描仪 |
|---|---|---|
| * | 默认值:对所有文件类型应用保护 | 对所有文件类型应用保护 |
| ConvertTo-Json(".jpg", ".png") | 除了 Office 文件类型和 PDF 文件外,还对指定的文件扩展名应用保护 | 除了 Office 文件类型和 PDF 文件外,还对指定的文件扩展名应用保护 |
示例 1:供扫描程序用来保护所有文件类型的 PowerShell 命令,其中的标签策略名为“Scanner”:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
示例 2:供扫描程序用来保护 Office 文件和 PDF 文件再加上 .txt 文件和 .csv 文件的 PowerShell 命令,其中的标签策略名为“Scanner”:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}
使用此设置可以更改要保护的文件类型,但无法将默认保护级别从本机更改为通用。 例如,对于运行统一标记客户端的用户,可以更改默认设置,以便仅保护 Office 文件和 PDF 文件,而不是保护所有文件类型。 但是,无法使用 .pfile 文件扩展名更改这些文件类型,使其通通受到保护。
AdditionalPPrefixExtensions
统一标记客户端支持使用高级属性 AdditionalPPrefixExtensions 将 <EXT>.PFILE 更改为 P<EXT>。 支持通过文件资源管理器、PowerShell 和扫描程序使用此高级属性。 所有应用具有类似的行为。
键:AdditionalPPrefixExtensions
值:<字符串值>
使用下表来确定要指定的字符串值:
| 字符串值 | 客户端和扫描程序 |
|---|---|
| * | 所有 PFile 扩展都变为 P<EXT> |
| <null 值> | 默认值的行为类似于默认保护值。 |
| ConvertTo-Json(".dwg", ".zip") | 除了上一个列表,“.dwg”和“.zip”也会变为 P<EXT> |
使用此设置时,以下扩展名始终变为 P<EXT>:“.txt”、“.xml”、“.bmp”、“.jt”、“.jpg”、“.jpeg”、“.jpe”、“.jif”、“.jfif”、“.jfi”、“.png”、“.tif”、“.tiff”、“.gif”。 值得注意的是,上面未列出的“ptxt”不会变为“txt.pfile”。
仅当在启用了高级属性 PFileSupportedExtension 的情况下保护 PFile 时,AdditionalPPrefixExtensions 才起作用。
示例 1:行为类似于默认行为(受保护的“.dwg”变为“.pfile”)的 PowerShell 命令:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}
示例 2:在文件受到保护时,将所有 PFile 扩展名从通用保护 (dwg.pfile) 更改为本机保护 (.pdwg) 的 PowerShell 命令:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}
示例 3:在使用此服务保护此文件时,将“.dwg”更改为“.pdwg”的 PowerShell 命令:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}
使用强制标签时,删除文档的“以后再说”
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
如果使用标签策略设置“所有文档和电子邮件必须具有标签”,当用户首次保存 Office 文档以及从 Outlook 发送电子邮件时,系统会提示他们选择标签。
对于文档,用户可以选择“以后再说”暂时关闭提示以选择标签,并返回到文档。 但是不能在未选择标签的情况下关闭已保存的文档。
配置 PostponeMandatoryBeforeSave 设置时,将删除“以后再说”选项,这样,用户在首次保存文档时必须选择一个标签。
提示
PostponeMandatoryBeforeSave 设置还确保在通过电子邮件发送共享文档之前先对其进行标记。
默认情况下,即使在策略中启用了“所有文档和电子邮件必须具有标签”,系统也只会提示用户在 Outlook 内部标记已附加到电子邮件的文件。
对于所选的标签策略,请指定以下字符串:
键:PostponeMandatoryBeforeSave
值:False
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PostponeMandatoryBeforeSave="False"}
删除其他标记解决方案中的页眉和页脚
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
可通过两种方法删除其他标记解决方案中的分类:
| 设置 | 说明 |
|---|---|
| WordShapeNameToRemove | 删除 Word 文档中其名称与 WordShapeNameToRemove 高级属性中所定义的名称相匹配的任何形状。 有关详细信息,请参阅使用 WordShapeNameToRemove 高级属性。 |
| RemoveExternalContentMarkingInApp ExternalContentMarkingToRemove |
用于删除或替换 Word、Excel 和 PowerPoint 文档中基于文本的页眉或页脚。 有关详细信息,请参阅: - 使用 RemoveExternalContentMarkingInApp 高级属性 - 如何配置 ExternalContentMarkingToRemove。 |
使用 WordShapeNameToRemove 高级属性
2.6.101.0 和更高版本支持 WordShapeNameToRemove 高级属性
当其他标记解决方案在 Word 文档中应用了基于形状的标签时,此设置可让你删除或替换这些视觉标记。 例如,形状包含旧标签的名称,而你现在已将该标签迁移到敏感度标签,以使用新标签名称及其自身的形状。
若要使用此高级属性,需要在 Word 文档中找到该形状的名称,然后在 WordShapeNameToRemove 高级属性形状列表中定义该名称。 服务将删除 Word 中以此高级属性中的形状列表内定义的名称开头的任何形状。
通过定义要删除的所有形状的名称并避免在所有形状中检查文本(这是一种消耗大量资源的过程),避免删除包含要忽略的文本的形状。
注意
在 Microsoft Word 中,可通过定义形状名称或其文本(不能两者兼有)来删除形状。 如果定义了 WordShapeNameToRemove 属性,则由 ExternalContentMarkingToRemove 值定义的任何配置都将被忽略。
若要查找你正在使用的、但想要排除的形状名称:
在 Word 中显示“选择窗格”:“主页”选项卡 >“编辑”组 >“选择”选项 >“选择窗格”。
选择页面中要标记为删除的形状。 已标记的形状名称随即会突出显示在“选择”窗格中。
使用形状名称为 WordShapeNameToRemove 键指定字符串值。
示例:形状名称为 dc。 若要删除具有此名称的形状,则指定值:dc。
键:WordShapeNameToRemove
值:<Word 形状名称>
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{WordShapeNameToRemove="dc"}
若要删除多个 Word 形状,要删除的形状数有多少,就请指定多少个值。
使用 RemoveExternalContentMarkingInApp 高级属性
当其他标记解决方案在文档中应用了基于文本的页眉或页脚时,此设置可让你删除或替换这些视觉标记。 例如,旧页脚包含旧标签的名称,而你现在已将该标签迁移到敏感度标签,以使用新标签名称及其自身的页脚。
如果统一标记客户端在其策略中获取此配置,在 Office 应用中打开文档并将任何敏感度标签应用于该文档时,将删除或替换旧的页眉和页脚。
Outlook 不支持此配置,并且请注意,在 Word、Excel 和 PowerPoint 中使用它时,会对这些应用的性能产生负面影响。 该配置允许你根据应用程序来定义设置,例如,搜索 Word 文档页眉和页脚中的文本,而不是 Excel 电子表格或 PowerPoint 演示文稿中的。
由于模式匹配会影响用户的性能,我们建议将 Office 应用程序类型(Word、EXcel、PowerPoint)限制为仅需要在其中进行搜索的那些类型。 对于所选的标签策略,请指定以下字符串:
键:RemoveExternalContentMarkingInApp
值:<Office 应用程序类型 WXP>
示例:
若要仅搜索 Word 文档,请指定 W。
若要搜索 Word 文档和 PowerPoint 演示文稿,请指定 WP。
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInApp="WX"}
然后需要至少一个高级客户端设置 ExternalContentMarkingToRemove,指定页眉或页脚的内容以及如何删除或替换它们。
如何配置 ExternalContentMarkingToRemove
为 ExternalContentMarkingToRemove 键指定字符串值时,有三个使用正则表达式的选项可供选择。 对于上述每种情况,请使用下表的“示例值”列中所示的语法:
| 选项 | 示例说明 | 示例值 |
|---|---|---|
| 用于删除页眉或页脚中所有内容的部分匹配 | 页眉或页脚包含字符串 TEXT TO REMOVE,而你想要完全删除这些页眉或页脚。 | *TEXT* |
| 用于仅删除页眉或页脚中特定单词的完全匹配 | 页眉或页脚包含字符串 TEXT TO REMOVE,而你只想删除单词 TEXT,并将页眉或页脚字符串保留为 TO REMOVE。 | TEXT |
| 用于删除页眉或页脚中所有内容的完全匹配 | 页眉或页脚包含字符串 TEXT TO REMOVE。 想要删除其字符串为 TEXT TO REMOVE 的页眉或页脚。 | ^TEXT TO REMOVE$ |
指定的字符串的匹配模式不区分大小写。 最大字符串长度为 255 个字符,不能包含空格。
因为某些文档可能包括不可见字符或者不同类型的空格或制表符,可能检测不到指定的短语或句子的字符串。 只要有可能,指定单个易区分的单词作为值,并确保在生产环境中部署之前测试结果。
对于同一标签策略指定以下字符串:
键:ExternalContentMarkingToRemove
值:<要匹配的字符串,定义为正则表达式>
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*TEXT*"}
有关详情,请参阅:
多行页眉或页脚
如果页眉或页脚文本不只一行,则为每行创建一个键和值。 例如,如果你有以下两行页脚:
The file is classified as Confidential
Label applied manually
若要删除这个多行页脚,请为同一标签策略创建以下两个条目:
- 键:ExternalContentMarkingToRemove
- 键值 1:机密*
- 键值 2:应用的标签*
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove=ConvertTo-Json("Confidential","Label applied")}
针对 PowerPoint 的优化
PowerPoint 中的页眉和页脚是作为形状实现的。 对于 msoTextBox、msoTextEffect、msoPlaceholder 和 msoAutoShape 形状类型,以下高级设置可提供进一步的优化:
此外,PowerPointRemoveAllShapesByShapeName 可以基于形状名称删除任何形状类型。
有关详细信息,请参阅查找用作页眉或页脚的形状的名称。
避免从 PowerPoint 中删除包含指定文本且不是页眉/页脚的形状
若要避免删除包含指定的文本但不是页眉或页脚的形状,请使用名为 PowerPointShapeNameToRemove 的附加高级客户端设置。
我们还建议使用此设置来避免检查所有形状中的文本,因为这将占用大量资源。
如果未指定这项附加的高级客户端设置,并且 PowerPoint 包括在 RemoveExternalContentMarkingInApp 键值中,将对所有形状检查你在 ExternalContentMarkingToRemove 值中指定的文本。
如果指定了此值,则只会删除符合形状名称条件的、其中的文本与 ExternalContentMarkingToRemove 中提供的字符串相匹配的形状。
例如:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
将外部标记删除扩展到自定义布局
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
默认情况下,用于删除外部内容标记的逻辑将忽略 PowerPoint 中配置的自定义布局。 若要将此逻辑扩展到自定义布局,请将 RemoveExternalMarkingFromCustomLayouts 高级属性设置为 True。
键:RemoveExternalMarkingFromCustomLayouts
值:True
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
删除具有特定形状名称的所有形状
如果你使用的是 PowerPoint 自定义布局,并想要从页眉和页脚中删除具有特定形状名称的所有形状,请结合要删除的形状的名称使用 PowerPointRemoveAllShapesByShapeName 高级设置。
使用 PowerPointRemoveAllShapesByShapeName 设置会忽略形状内部的文本,而改用形状名称来标识要删除的形状。
例如:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointRemoveAllShapesByShapeName="Arrow: Right"}
有关详细信息,请参阅:
查找用作页眉或页脚的形状的名称
在 PowerPoint 中,显示“选择窗格”:“格式”选项卡 >“排列”组 >“选择窗格”。
选择幻灯片上包含页眉或页脚的形状。 所选形状的名称现在突出显示在“选择”窗格中。
使用形状的名称为 PowerPointShapeNameToRemove 键指定一个字符串字。
示例:形状名称为 fc。 若要删除具有此名称的形状,则指定值:fc。
键:PowerPointShapeNameToRemove
值:<PowerPoint 形状名称>
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
若要删除多个 PowerPoint 形状,要删除的形状数有多少,就请指定多少个值。
默认情况下,只检查主幻灯片的页眉和页脚。 若要将检查范围扩展到所有幻灯片,将占用大量资源,则可以使用 RemoveExternalContentMarkingInAllSlides 附加高级客户端设置:
键:RemoveExternalContentMarkingInAllSlides
值:True
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInAllSlides="True"}
删除 PowerPoint 自定义布局中的外部内容标记
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
默认情况下,用于删除外部内容标记的逻辑将忽略 PowerPoint 中配置的自定义布局。 若要将此逻辑扩展到自定义布局,请将 RemoveExternalMarkingFromCustomLayouts 高级属性设置为 True。
键:RemoveExternalMarkingFromCustomLayouts
值:True
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
在文件资源管理器中禁用自定义权限
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
默认情况下,当用户在文件资源管理器中右键单击并选择“分类和保护”时,会看到名为“使用自定义权限进行保护”的选项。 此选项可让用户指定自己的保护设置,这些设置可以替代标签配置中可能包含的任何保护设置。 用户还能看到一个用于删除保护的选项。 如果你配置了此设置,则用户将看不到这些选项。
若要配置此高级设置,请为所选标签策略输入以下字符串:
键:EnableCustomPermissions
值:False
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
对于受自定义权限保护的文件,始终在文件资源管理器中向用户显示自定义权限
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
将高级客户端设置配置为在文件资源管理器中禁用自定义权限时,默认情况下,用户无法查看或更改已在受保护文档中设置的自定义权限。
但是,可以指定另一个高级客户端设置,在这种情况下,用户可以在使用文件资源管理器并右键单击文件时,查看并更改受保护文档的自定义权限。
若要配置此高级设置,请为所选标签策略输入以下字符串:
键:EnableCustomPermissionsForCustomProtectedFiles
值:True
示例 PowerShell 命令:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}
对于带有附件的电子邮件,使用与这些附件的最高等级相匹配的标签
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
此设置适用于用户将已标记的文档附加到电子邮件,但不标记电子邮件本身的情况。 在这种情况下,将根据应用于附件的分类标签为用户自动选择标签。 将选择分类最高的标签。
附件必须是实际文件,而不能是文件的链接(例如,Microsoft SharePoint 或 OneDrive 中的文件的链接)。
可将此设置配置为“建议”,以提示用户将所选标签应用于其电子邮件。 然后,用户可以接受或消除该建议,而无需应用标签。 或者,可将此设置配置为“自动”,在这种情况下,将自动应用所选的标签,但用户可以在发送电子邮件之前删除该标签或选择另一个标签。 这两种方案都支持自定义邮件。
注意
使用用户定义的权限设置为带有最高分类标签的附件配置保护时:
- 如果该标签的用户定义权限包括 Outlook(“不要转发”),则会选择该标签,并对电子邮件应用“不要转发”保护。
- 如果该标签的用户定义权限仅用于 Word、Excel、PowerPoint 和文件资源管理器,则该标签不会应用于电子邮件,也不用于保护。
若要配置此高级设置,请为所选标签策略输入以下字符串:
键 1:AttachmentAction
键值 1:Recommended 或 Automatic
键 2(可选):AttachmentActionTip
键值 2:"<自定义工具提示>"
可选的自定义工具提示仅支持一种语言。 如果未指定此设置,则会向用户显示以下消息:
- 建议邮件:建议将此电子邮件标记为 <标签名称>
- 自动邮件:此电子邮件已自动标记为 <标签名称>
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{AttachmentAction="Automatic"}
为用户添加“报告问题”
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
当指定以下高级客户端设置时,用户将看到一个“报告问题”选项,他们可以从“帮助和反馈”客户端对话框中选择该选项。 为链接指定 HTTP 字符串。 例如,为用户报告问题设置的自定义 Web 页面,或者发送给支持人员的电子邮件地址。
若要配置此高级设置,请为所选标签策略输入以下字符串:
密钥:ReportAnIssueLink
值:HTTP 字符串>
网站示例值:https://support.contoso.com
电子邮件地址示例值:mailto:helpdesk@contoso.com
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}
在 Outlook 中实施弹出消息,警告、证明或阻止发送电子邮件
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
当创建并配置以下高级客户端设置时,用户可以在 Outlook 中看到弹出消息,这些消息可以在发送电子邮件之前警告他们,或者要求他们提供发送电子邮件的理由,或者在存在以下任何一种情况时阻止他们发送电子邮件:
其电子邮件或电子邮件附件有一个特定的标签:
- 附件可以是任何文件类型
其电子邮件或电子邮件的附件没有标签:
- 附件可以是 Office 文档或 PDF 文档
满足这些条件时,用户将看到一个弹出消息,其中包含以下操作之一:
| 类型 | 说明 |
|---|---|
| 警告 | 用户可以确认、发送或取消。 |
| 理由 | 提示用户给出理由(预定义的选项或任意形式),然后用户可以发送或取消电子邮件。 理由文本将写入到电子邮件的 x-header,以便可供数据丢失防护 (DLP) 等其他系统读取。 |
| 阻止 | 如果上述情况持续,将阻止用户发送电子邮件。 该消息包括阻止电子邮件的原因,以便用户可以解决问题。 例如,删除特定收件人或标记电子邮件。 |
如果弹出消息针对特定的标签,你可以按域名配置收件人例外。
请参阅技术社区博客自定义适用于 AIP UL 客户端的 Outlook 弹出消息,了解有关如何配置这些设置的演练示例。
提示
为了确保即使在从 Outlook 外部共享文档(“文件”>“共享”>“附加副本”)时也会显示弹出消息,另请配置 PostponeMandatoryBeforeSave 高级设置。
有关详情,请参阅:
针对特定的标签实现警告、理由或阻止弹出消息
对于所选策略,使用以下键创建以下一个或多个高级设置。 对于值,请按 GUID 指定一个或多个标签,用逗号分隔每个标签。
以逗号的分隔字符串表示的多个标签 GUID 示例值:
dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
| 消息类型 | 键/值 |
|---|---|
| 警告 | 键:OutlookWarnUntrustedCollaborationLabel 值:<标签 GUID,以逗号分隔> |
| 理由 | 键:OutlookJustifyUntrustedCollaborationLabel 值:<标签 GUID,以逗号分隔> |
| 阻止 | 键:OutlookBlockUntrustedCollaborationLabel 值:<标签 GUID,以逗号分隔> |
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e,b6d21387-5d34-4dc8-90ae-049453cec5cf,bb48a6cb-44a8-49c3-9102-2d2b017dcead,74591a94-1e0e-4b5d-b947-62b70fc0f53a,6c375a97-2b9b-4ccd-9c5b-e24e4fd67f73"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyUntrustedCollaborationLabel="dc284177-b2ac-4c96-8d78-e3e1e960318f,d8bb73c3-399d-41c2-a08a-6f0642766e31,750e87d4-0e91-4367-be44-c9c24c9103b4,32133e19-ccbd-4ff1-9254-3a6464bf89fd,74348570-5f32-4df9-8a6b-e6259b74085b,3e8d34df-e004-45b5-ae3d-efdc4731df24"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockUntrustedCollaborationLabel="0eb351a6-0c2d-4c1d-a5f6-caa80c9bdeec,40e82af6-5dad-45ea-9c6a-6fe6d4f1626b"}
要进一步自定义,还可以在为特定标签配置的弹出消息中免于提供域名。
注意
本部分所述的高级设置(OutlookWarnUntrustedCollaborationLabel、OutlookJustifyUntrustedCollaborationLabel 和 OutlookBlockUntrustedCollaborationLabel)适用于使用了特定标签的情况。
若要对未标记的内容实现默认弹出消息,请使用 OutlookUnlabeledCollaborationAction 高级设置。 若要对未标记的内容自定义弹出消息,请使用一个 .json 文件来定义高级设置。
有关详细信息,请参阅自定义 Outlook 弹出消息。
提示
为了确保根据需要显示阻止消息(即使是对于 Outlook 通讯组列表中的收件人),请务必添加 EnableOutlookDistributionListExpansion 高级设置。
在为特定标签配置的弹出消息中免于提供域名
对于已经为这些弹出消息指定的标签,可以豁免特定域名,这样用户就看不到域名包含在电子邮件地址中的收件人的邮件。 在这种情况下,发送电子邮件时不会受消息干扰。 若要指定多个域,将其添加为单个字符串,以逗号分隔。
典型配置是仅针对组织外部的收件人或并非组织授权合作伙伴的收件人显示弹出消息。 在这种情况下,可以指定组织和合作伙伴使用的所有电子邮件域。
对于同一标签策略,请创建以下高级客户端设置,并为值指定一个或多个域(用逗号分隔每个域)。
多个域的示例值,以逗号分隔的字符串表示:contoso.com,fabrikam.com,litware.com
| 消息类型 | 键/值 |
|---|---|
| 警告 | 键:OutlookWarnTrustedDomains 值:<域名,以逗号分隔> |
| 理由 | 键:OutlookJustifyTrustedDomains 值:<域名,以逗号分隔> |
| 阻止 | 键:OutlookBlockTrustedDomains 值:<域名,以逗号分隔> |
例如,假设你为“保密”\“所有员工”标签指定了 OutlookBlockUntrustedCollaborationLabel 高级客户端设置。
现在可以指定值为 contoso.com 的 OutlookBlockTrustedDomains 的附加高级客户端设置。 因此,用户可向 john@sales.contoso.com 发送标记为“保密”\“所有员工”的电子邮件,但被阻止向 Gmail 帐户发送具有相同标签的电子邮件。
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockTrustedDomains="contoso.com"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyTrustedDomains="contoso.com,fabrikam.com,litware.com"}
注意
为了确保根据需要显示阻止消息(即使是对于 Outlook 通讯组列表中的收件人),请务必添加 EnableOutlookDistributionListExpansion 高级设置。
针对没有标签的电子邮件或附件实现警告、理由或阻止弹出消息
对于同一标签策略,请创建使用以下值之一的以下高级客户端设置:
| 消息类型 | 键/值 |
|---|---|
| 警告 | 键:OutlookUnlabeledCollaborationAction 值:Warn |
| 理由 | 键:OutlookUnlabeledCollaborationAction 值:Justify |
| 阻止 | 键:OutlookUnlabeledCollaborationAction 值:Block |
| 关闭这些消息 | 键:OutlookUnlabeledCollaborationAction 值:Off |
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Warn"}
若要进一步自定义,请参阅:
定义特定的文件扩展名以针对没有标签的电子邮件附件显示警告、理由或阻止弹出消息
默认情况下,警告、理由或阻止弹出消息适用于所有 Office 文档和 PDF 文档。 可以使用一个附加高级设置和逗号分隔的文件扩展名列表,通过指定哪些文件扩展名应显示警告、理由或阻止消息,来具体化此列表。
以逗号分隔字符串形式定义的多个文件扩展名的示例值:.XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM
在此示例中,发送未标记的 PDF 文档不会导致出现警告、理由或阻止弹出消息。
对于同一标签策略,请输入以下字符串:
键:OutlookOverrideUnlabeledCollaborationExtensions
值:<用于显示消息的文件扩展名,以逗号分隔>
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.PPT,.PPTX,.PPTM"}
针对不包含附件的电子邮件指定不同的操作
默认情况下,为 OutlookUnlabeledCollaborationAction 指定的、用于显示警告、理由或阻止弹出消息的值将应用于没有标签的电子邮件或附件。
可以通过为不包含附件的电子邮件指定另一个高级设置来具体化此配置。
使用以下值之一创建高级客户端设置:
| 消息类型 | 键/值 |
|---|---|
| 警告 | 键:OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior 值:Warn |
| 理由 | 键:OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior 值:Justify |
| 阻止 | 键:OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior 值:Block |
| 关闭这些消息 | 键:OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior 值:Off |
如果不指定此客户端设置,则为 OutlookUnlabeledCollaborationAction 指定的值将用于不包含附件的未标记电子邮件,以及包含附件的未标记电子邮件。
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior="Warn"}
搜索电子邮件收件人时展开 Outlook 通讯组列表
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
若要将其他高级设置提供的支持扩展到 Outlook 通讯组列表中的收件人,请将 EnableOutlookDistributionListExpansion 高级设置指定为 true。
- 键:EnableOutlookDistributionListExpansion
- 值:true
例如,如果你已配置 OutlookBlockTrustedDomains、OutlookBlockUntrustedCollaborationLabel 高级设置,则另请配置 EnableOutlookDistributionListExpansion 设置,这样,便可以在 Outlook 中展开通讯组列表,确保根据需要显示阻止消息。
展开通讯组列表的默认超时为 2000 毫秒。
若要修改此超时,请为所选策略创建以下高级设置:
- 键:OutlookGetEmailAddressesTimeOutMSProperty
- 值:以毫秒为单位的整数
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{
EnableOutlookDistributionListExpansion="true"
OutlookGetEmailAddressesTimeOutMSProperty="3000"
}
防止将审核数据发送到 AIP 和 Microsoft 365 分析
默认情况下,Azure 信息保护统一标记客户端支持中心报告,并将其审核数据发送到:
- Azure 信息保护分析(如果已配置 Log Analytics 工作区)
- Microsoft 365(可以在活动资源管理器中查看这些数据)
若要更改此行为以便不发送审核数据,请执行以下操作:
使用安全与合规中心 PowerShell 添加以下策略高级设置:
键:EnableAudit
值:False
例如,如果标签策略命名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}注意
默认情况下,策略中没有此高级设置,因此会发送审核日志。
在所有 Azure 信息保护客户端计算机中删除以下文件夹:%localappdata%\Microsoft\MSIP\mip
若要使客户端能够再次发送审核日志数据,请将高级设置值更改为 True。 无需在客户端计算机上再次手动创建 %localappdata%\Microsoft\MSIP\mip 文件夹。
将信息类型匹配项发送到 Azure 信息保护分析
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
默认情况下,统一标记客户端不会将敏感信息类型的内容匹配项发送到 Azure 信息保护分析。 有关可以发送的其他此类信息的详细信息,请参阅中心报告文档中的用于更深入分析的内容匹配项部分。
若要在发送敏感信息类型时发送内容匹配项,请在标签策略中创建以下高级客户端设置:
键:LogMatchedContent
值:True
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}
限制 CPU 使用率
从扫描程序版本 2.7.x.x 开始,我们建议使用以下 ScannerMaxCPU 和 ScannerMinCPU 高级设置来限制 CPU 使用率 。
重要
当使用了以下线程限制策略时,将忽略 ScannerMaxCPU 和 ScannerMinCPU 高级设置。 若要使用 ScannerMaxCPU 和 ScannerMinCPU 高级设置限制 CPU 使用率,请取消使用限制线程数的策略。
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
若要限制扫描程序计算机上的 CPU 使用率,创建两个高级设置会更方便:
ScannerMaxCPU:
默认设置为 100,即,最大 CPU 使用率没有限制。 在这种情况下,扫描程序进程会尝试使用所有可用 CPU 时间来最大化扫描速率。
如果将 ScannerMaxCPU 设置为低于 100,则扫描程序将监视过去 30 分钟的 CPU 使用率。 如果平均 CPU 超过所设置的限制,它将开始减少分配给新文件的线程数。
只要 CPU 使用率高于 ScannerMaxCPU 的设置限制,就会继续实施线程数限制。
ScannerMinCPU:
仅检查 ScannerMaxCPU 是否不等于 100,不能设置为大于 ScannerMaxCPU 值的数字。 我们建议将 ScannerMinCPU 设置为至少比 ScannerMaxCPU 值小 15 个点。
默认设置为 50,即,如果过去 30 分钟的 CPU 使用率低于此值,则扫描程序将开始添加新线程来并行扫描更多文件,直至 CPU 使用率达到你为 ScannerMaxCPU 设置的水平再减 15。
限制扫描程序使用的线程数
重要
当使用了以下线程限制策略时,将忽略 ScannerMaxCPU 和 ScannerMinCPU 高级设置。 若要使用 ScannerMaxCPU 和 ScannerMinCPU 高级设置限制 CPU 使用率,请取消使用限制线程数的策略。
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
默认情况下,扫描程序使用运行扫描程序服务的计算机上的所有可用处理器资源。 如果需要在此服务正扫描时限制 CPU 使用率,请在标签策略中创建以下高级设置。
对于该值,请指定扫描程序可以并行运行的并发线程数。 扫描程序为其扫描的每个文件使用单独的线程,因此此限制配置还定义了可以并行扫描的文件数。
首次配置测试值时,建议为每个核心指定 2 个,然后监视结果。 例如,如果在具有 4 个核心的计算机上运行扫描程序,请先将值设置为 8。 如有必要,请根据扫描程序计算机所需的最终性能和扫描速率相应增减该数量。
键:ScannerConcurrencyLevel
值:<并发线程数>
示例 PowerShell 命令,其中的标签策略名为“Scanner”:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}
从 Secure Islands 和其他标记解决方案迁移标签
此配置使用必须通过安全与合规中心 PowerShell 进行配置的标签高级设置。
此配置与文件扩展名为 .ppdf 的受保护 PDF 文件不兼容。 客户端无法使用文件资源管理器或 PowerShell 打开这些文件。
对于已由 Secure Islands 标记的 Office 文档,可以通过定义的映射使用敏感度标签来重新标记这些文档。 此外,这种方法还可用于重用其他解决方案对 Office 文档标记的标签。
使用此配置选项后,Azure 信息保护统一标记客户端将按如下所述应用新的敏感度标签:
对于 Office 文档:在桌面应用中打开该文档时,新的敏感度标签将显示为已设置,并在保存该文档时应用。
对于 PowerShell:Set-AIPFileLabel 和 Set-AIPFileClassificiation 可以应用新的敏感度标签。
对于文件资源管理器:在“Azure 信息保护”对话框中,新的敏感度标签将会显示,但未经过设置。
此配置要求你为要映射到旧标签的每个敏感度标签指定名为 labelByCustomProperties 的高级设置。 然后,使用以下语法设置每个条目的值:
[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]
指定所选的迁移规则名称。 使用描述性的名称,以帮助确定应如何将旧标记解决方案中的一个或多个标签映射到敏感度标签。
请注意,此设置不会从文档中删除原始标签,也不会删除可能已应用原始标签的文档中的任何视觉标记。 若要删除页眉和页脚,请参阅删除其他标记解决方案中的页眉和页脚。
示例:
要进一步自定义,请参阅:
注意
如果要从跨租户的标签进行迁移(例如,在公司合并之后),我们建议阅读我们的有关公司合并与分拆的博客文章了解详细信息。
示例 1:相同标签名称的一对一映射
要求:对于已由 Secure Islands 标记为“保密”的文档,应由 Azure 信息保护重新标记为“保密”。
在此示例中:
- Secure Islands 标签名为“Confidential”,存储在名为“Classification”的自定义属性中。
高级设置:
键:labelByCustomProperties
值:Secure Islands label is Confidential,Classification,Confidential
示例 PowerShell 命令,其中的标签名为“Confidential”:
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Confidential,Classification,Confidential"}
示例 2:不同标签名称的一对一映射
要求:对于已由 Secure Islands 标记为“敏感”的文档,应由 Azure 信息保护重新标记为“高度保密”。
在此示例中:
- Secure Islands 标签名为“Sensitive”,存储在名为“Classification”的自定义属性中。
高级设置:
键:labelByCustomProperties
值:Secure Islands label is Sensitive,Classification,Sensitive
示例 PowerShell 命令,其中的标签名为“Highly Confidential”:
Set-Label -Identity "Highly Confidential" -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Sensitive,Classification,Sensitive"}
示例 3:标签名称的多对一映射
要求:有两个 Secure Islands 标签均包含“内部”一词,你希望 Azure 信息保护统一标记客户端将带有这两个 Secure Islands 标签之一的文档重新标记为“常规”。
在此示例中:
- Secure Islands 标签包含单词 Internal,存储在名为 Classification 的自定义属性中。
高级客户端设置:
键:labelByCustomProperties
值:Secure Islands 标签包含 Internal、Classification,.*Internal.*
示例 PowerShell 命令,其中的标签名为“General”:
Set-Label -Identity General -AdvancedSettings @{labelByCustomProperties="Secure Islands label contains Internal,Classification,.*Internal.*"}
示例 4:同一标签的多个规则
需要对同一标签应用多个规则时,请为同一键定义多个字符串值。
在此示例中,名为“Confidential”和“Secret”的 Secure Islands 标签存储在名为 Classification 的自定义属性中,你希望 Azure 信息保护统一标记客户端应用名为“Confidential”的敏感度标签:
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}
将标签迁移规则扩展到电子邮件
除了对 Office 文档之外,还可以通过指定附加标签策略高级设置,对 Outlook 电子邮件使用通过 labelByCustomProperties 高级设置定义的配置。
但是,此设置已知会对 Outlook 的性能造成负面影响,因此,请仅在你的业务迫切需要此项附加设置时才配置此设置,并记得在完成从其他标记解决方案的迁移后将其设置为 null 字符串值。
若要配置此高级设置,请为所选标签策略输入以下字符串:
键:EnableLabelByMailHeader
值:True
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelByMailHeader="True"}
将标签迁移规则扩展到 SharePoint 属性
可以通过指定附加标签策略高级设置,对可作为列公开给用户的 SharePoint 属性使用通过 labelByCustomProperties 高级设置定义的配置。
使用 Word、Excel 和 PowerPoint 时支持此设置。
若要配置此高级设置,请为所选标签策略输入以下字符串:
键:EnableLabelBySharePointProperties
值:True
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelBySharePointProperties="True"}
应用标签时应用自定义属性
此配置使用必须通过安全与合规中心 PowerShell 进行配置的标签高级设置。
在某些情况下,除了对敏感标签所应用的元数据之外,你还可能想要对文档或电子邮件应用一个或多个自定义属性。
例如:
你正在从另一个标记解决方案迁移(例如,从 Secure Islands 迁移)。 为了在迁移过程中实现互操作性,你希望敏感度标签还应用一个由其他标记解决方案使用的自定义属性。
对于内容管理系统(例如 SharePoint,或其他供应商的文档管理解决方案),你希望使用一致的自定义属性名称,并为标签使用不同的值和易记的名称,而不使用标签 GUID。
对于用户使用 Azure 信息保护统一标记客户端标记的 Office 文档和 Outlook 电子邮件,可以添加你定义的一个或多个自定义属性。 对于尚未由统一标记客户端标记的内容,还可以使用此方法来让统一标记客户端将自定义属性显示为来自其他解决方案的标签。
使用此配置选项后,Azure 信息保护统一标记客户端将按如下所述应用所有附加的自定义属性:
| 环境 | 说明 |
|---|---|
| Office 文档 | 在桌面应用中标记文档后,将在保存该文档时应用附加的自定义属性。 |
| Outlook 电子邮件 | 在 Outlook 中标记电子邮件后,将在发送该电子邮件时向 x-header 应用附加属性。 |
| PowerShell | Set-AIPFileLabel 和 Set-AIPFileClassificiation 在标记和保存文档时应用附加的自定义属性。 如果未应用敏感度标签,Get-AIPFileStatus 会将自定义属性显示为映射的标签。 |
| 文件资源管理器 | 当用户右键单击文件并应用标签时,将应用自定义属性。 |
此配置要求你为要应用附加自定义属性的每个敏感度标签指定名为 customPropertiesByLabel 的高级设置。 然后,使用以下语法设置每个条目的值:
[custom property name],[custom property value]
重要
在字符串中使用空格将导致不会应用标签。
例如:
示例 1:为标签添加单个自定义属性
要求:由 Azure 信息保护统一标记客户端标记为“保密”的文档应具有名为“Classification”、值为“Secret”的附加自定义属性。
在此示例中:
- 敏感度标签名为 Confidential,将创建名为 Classification、值为 Secret 的自定义属性。
高级设置:
键:customPropertiesByLabel
值:Classification,Secret
示例 PowerShell 命令,其中的标签名为“Confidential”:
Set-Label -Identity Confidential -AdvancedSettings @{customPropertiesByLabel="Classification,Secret"}
示例 2:为标签添加多个自定义属性
若要为同一个标签添加多个自定义属性,需要为同一个键定义多个字符串值。
示例 PowerShell 命令,其中的标签名为“General”;你想要添加一个名为 Classification、值为 General 的自定义属性,以及名为 Sensitivity、值为 Internal 的另一个自定义属性:
Set-Label -Identity General -AdvancedSettings @{customPropertiesByLabel=ConvertTo-Json("Classification,General", "Sensitivity,Internal")}
将标签配置为在 Outlook 中应用 S/MIME 保护
此配置使用必须通过安全与合规中心 PowerShell 进行配置的标签高级设置。
仅当你有有效的 S/MIME 部署并且希望标签自动对电子邮件应用此保护方法(而不是 Azure 信息保护提供的 Rights Management 保护)时,才使用这些设置。 应用的保护与用户通过在 Outlook 中手动选择 S/MIME 选项应用的保护一样。
| 配置 | 键/值 |
|---|---|
| S/MIME 数字签名 | 若要配置用于 S/MIME 数字签名的高级设置,请为所选标签输入以下字符串: - 键:SMimeSign - 值:True |
| S/MIME 加密 | 若要配置用于 S/MIME 加密的高级设置,请为所选标签输入以下字符串: - 键:SMimeEncrypt - 值:True |
当用户在 Outlook 中选择标签时,将应用已配置的 S/MIME 设置。 如果同时为默认 Rights Management 加密(可在 Microsoft Purview 合规性门户中指定)配置了该标签,则 S/MIME 设置只会替换 Outlook 中的 Rights Management 保护。 对于统一标记客户端支持的其他应用,客户端将继续使用合规性门户中指定的加密设置。
如果希望标签仅在 Outlook 中可见,请从让用户分配权限配置“不要转发”加密选项。
示例 PowerShell 命令,其中的标签名为“Recipients Only”:
Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeSign="True"}
Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeEncrypt="True"}
为父标签指定默认子标签
此配置使用必须通过安全与合规中心 PowerShell 进行配置的标签高级设置。
当你将子标签添加到标签时,用户不再可以对文档或电子邮件应用父标签。 默认情况下,用户会选择父标签来查看他们可以应用的子标签,然后选择其中一个子标签。 如果你配置了此高级设置,当用户选择父标签时,系统会自动为其选择并应用一个子标签:
键:DefaultSubLabelId
值:<子标签 GUID>
示例 PowerShell 命令,其中的父标签名为“Confidential”,“All Employees”子标签的 GUID 为 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
开启在后台持续运行的分类
此配置使用必须通过安全与合规中心 PowerShell 进行配置的标签高级设置。
配置此设置时,它会更改 Azure 信息保护统一标记客户端对文档应用自动和建议标签的默认行为:
对于 Word、Excel 和 PowerPoint,自动分类在后台持续运行。
此行为不会对 Outlook 变化。
当 Azure 信息保护统一标记客户端根据指定的条件规则定期检查文档时,此行为将为存储在 SharePoint 或 OneDrive 中的 Office 文档启用自动和建议的分类与保护,前提是已启用自动保存。 由于条件规则已运行,因此还可以更快保存大型文件。
条件规则不会作为用户类型实时运行。 而会在文档发生修改时作为后台任务定期运行。
若要配置此高级设置,请输入以下字符串:
- 键:RunPolicyInBackground
- 值:True
示例 PowerShell 命令:
Set-LabelPolicy -Identity PolicyName -AdvancedSettings @{RunPolicyInBackground = "true"}
注意
此功能目前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
指定标签的颜色
此配置使用必须通过安全与合规中心 PowerShell 进行配置的标签高级设置。
使用此高级设置可以设置标签的颜色。 若要指定颜色,请输入红色、绿色和蓝色 (RGB) 颜色成分的十六进制三联代码。 例如,#40e0d0 是青绿色的 RGB 十六进制值。
如果需要这些代码的引用,则从 MSDN Web 文档的<颜色>页可以找到有用的表。还可以在许多应用程序中找到这些代码,这些代码可让你编辑图片。 例如,通过 Microsoft 画图,从调色板中选择自定义颜色,系统将自动显示 RGB 值,该值可供复制。
若要配置标签颜色的高级设置,请为所选标签输入以下字符串:
键:color
值:<RGB 十六进制值>
示例 PowerShell 命令,其中的标签名为“Public”:
Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}
以其他用户身份登录
生产环境中的 AIP 不支持以多个用户的身份登录。 本过程说明如何以不同用户的身份登录(仅出于测试目的)。
可以使用“Azure 信息保护”对话框来验证当前使用了哪个帐户登录:打开 Office 应用程序,在“主页”选项卡上选择“敏感度”按钮,然后选择“帮助和反馈”。 帐户名称会显示在“客户端状态”部分中。
请确保还要检查所显示的登录帐户的域名。 很容易忽视的一点是,使用正确的帐户名登录,但域不正确。 使用错误帐户出现的症状包括无法下载标签,或者看不到预期的标签或行为。
若要以其他用户的身份登录:
导航到 %localappdata%\Microsoft\MSIP 并删除 TokenCache 文件。
重新启动任何打开的 Office 应用程序,并使用其他用户帐户登录。 如果 Office 应用程序中未显示登录到 Azure 信息保护服务的提示,请返回“Azure 信息保护”对话框,并在已更新的“客户端状态”部分选择“登录”。
此外:
| 场景 | 说明 |
|---|---|
| 仍已登录到旧帐户 | 如果在完成这些步骤后仍已使用旧帐户在 Azure 信息保护统一标记客户端中登录,请从 Internet Explorer 中删除所有 Cookie,然后重复步骤 1 至 2。 |
| 正在使用单一登录 | 如果使用的是单一登录,必须在删除令牌文件后注销 Windows,再使用其他用户帐户登录。 然后,Azure 信息保护统一标记客户端会使用当前已登录的用户帐户自动进行身份验证。 |
| 不同的租户 | 此解决方案支持以同一租户中的其他用户身份登录。 不支持以不同租户中的其他用户身份登录。 若要使用多个租户测试 Azure 信息保护,请使用不同的计算机。 |
| 重置设置 | 可使用“帮助和反馈”中的“重置设置”选项注销,然后从 Microsoft Purview 合规性门户中删除当前已下载的标签和策略设置。 |
对断开连接的计算机的支持
重要
以下标记方案支持已断开连接的计算机:文件资源管理器、PowerShell、Office 应用和扫描程序。
默认情况下,Azure 信息保护统一标记客户端会自动尝试连接到 Internet,以从 Microsoft Purview 合规性门户下载标签和标签策略设置。
如果计算机在一段时间内无法连接到 Internet,你可以导出并复制用于手动管理统一标记客户端策略的文件。
若要支持在统一标记客户端中使用已断开连接的计算机,请执行以下操作:
在 Microsoft Entra ID 中选择或创建一个用户帐户,用于下载要在已断开连接的计算机上使用的标签和策略设置。
作为此帐户的附加标签策略设置,请禁用向 Azure 信息保护分析发送审核数据。
我们建议执行此步骤,因为如果已断开连接的计算机能够间歇性地建立 Internet 连接,则它会将包含步骤 1 中所述用户名的日志记录信息发送到 Azure 信息保护分析。 该用户帐户可能不同于在已断开连接的计算机上使用的本地帐户。
在已建立 Internet 连接、装有统一标记客户端并且你已使用步骤 1 中所述用户帐户登录到的计算机中,下载标签和策略设置。
从此计算机导出日志文件。
例如,运行 Export-AIPLogs cmdlet,或使用客户端的“帮助和反馈”对话框中的“导出日志”选项。
日志文件将作为单个压缩文件导出。
打开压缩文件,然后复制 MSIP 文件夹中带有 .xml 扩展名的所有文件。
将这些文件粘贴到已断开连接的计算机上的 %localappdata%\Microsoft\MSIP 文件夹中。
如果所选的用户帐户是平时用于连接 Internet 的帐户,请通过将 EnableAudit 值设置为 True,再次启用审核数据发送。
请注意,如果此计算机上的用户在“帮助和反馈”中选择了“重置设置”选项,此操作将删除策略文件,从而导致在你手动替换这些文件,或者在客户端连接到 Internet 并下载这些文件之前,客户端无法正常运行。
如果已断开连接的计算机正在运行 Azure 信息保护扫描程序,则必须执行额外的配置步骤。 有关详细信息,请参阅扫描程序部署说明中的限制:扫描程序服务器无法连接到 Internet。
更改本地日志记录级别
默认情况下,Azure 信息保护统一标记客户端会将客户端日志文件写入 %localappdata%\Microsoft\MSIP 文件夹中。 这些文件供 Microsoft 支持部门用来排除故障。
若要更改这些文件的日志记录级别,请在注册表中找到以下值名称,并将值数据设置为所需的日志记录级别:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel
将日志记录级别设置为以下值之一:
Off:不记录本地日志。
Error:仅记录错误。
Warn:记录错误和警告。
Info:记录最少量的信息,不包括事件 ID(扫描程序的默认设置)。
Debug:记录完整信息。
Trace:详细日志记录(客户端的默认设置)。
此注册表设置不会更改发送到 Azure 信息保护进行集中报告的信息。
在扫描期间根据文件特性跳过或忽略文件
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
默认情况下,Azure 信息保护统一标记扫描程序会扫描所有相关文件。 但是,你可能希望定义要跳过的特定文件,例如,已存档的文件或已移动的文件。
使用 ScannerFSAttributesToSkip 高级设置可使扫描程序根据文件特性跳过特定的文件。 在设置值中,列出当其全部设置为 true 时可以跳过特定文件的文件特性。 此文件特性列表使用 AND 逻辑。
以下示例 PowerShell 命令演示如何对名为“Global”的标签使用此高级设置。
跳过只读文件和已存档的文件
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}
跳过只读文件或已存档的文件
若要使用 OR 逻辑,请多次运行同一属性。 例如:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}
提示
建议考虑让扫描程序跳过具有以下特性的文件:
- FILE_ATTRIBUTE_SYSTEM
- FILE_ATTRIBUTE_HIDDEN
- FILE_ATTRIBUTE_DEVICE
- FILE_ATTRIBUTE_OFFLINE
- FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
- FILE_ATTRIBUTE_RECALL_ON_OPEN
- FILE_ATTRIBUTE_TEMPORARY
有关可在 ScannerFSAttributesToSkip 高级设置中定义的所有文件特性的列表,请参阅 Win32 文件特性常量
在标记期间保留 NTFS 所有者(公共预览版)
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
默认情况下,扫描程序、PowerShell 和文件资源管理器扩展名标记不会保留进行标记之前定义的 NTFS 所有者。
若要确保保留 NTFS 所有者值,请将所选标签策略的 UseCopyAndPreserveNTFSOwner 高级设置指定为 true。
注意
仅当可以确保在扫描程序与扫描的存储库之间保持低延迟且可靠的网络连接时,才定义此高级设置。 在自动标记过程中发生网络故障可能会导致文件丢失。
标签策略名为“Global”时的示例 PowerShell 命令:
Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}
注意
此功能目前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
自定义已修改标签的理由提示文本
自定义当最终用户更改文档和电子邮件的分类标签时,在 Office 和 AIP 客户端中显示的理由提示。
例如,管理员可能想要提醒用户不要将任何客户身份信息添加到此字段:
若要修改显示的默认“其他”文本,请将 JustificationTextForUserText 高级属性与 Set-LabelPolicy cmdlet 结合使用。 将值设置为要改用的文本。
标签策略名为“Global”时的示例 PowerShell 命令:
Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
自定义 Outlook 弹出消息
AIP 管理员可以自定义向 Outlook 中的最终用户显示的弹出消息,例如:
- 有关已阻止电子邮件的消息
- 用于提示用户验证其正在发送的内容的警告消息
- 用于请求用户为其发送的内容给出理由的理由消息
重要
此过程将替代你已使用 OutlookUnlabeledCollaborationAction 高级属性定义的任何设置。
在生产环境中,我们建议使用 OutlookUnlabeledCollaborationAction 高级属性定义规则,或使用下面定义的 json 文件来定义复杂规则,而不要同时使用这两种方法,以避免将问题复杂化。
若要自定义 Outlook 弹出消息,请执行以下操作:
创建 .json 文件,每个文件包含一个用于配置 Outlook 如何向用户显示弹出消息的规则。 有关详细信息,请参阅规则值 .json 语法和用于自定义弹出消息的 .json 示例代码。
使用 PowerShell 来定义用于控制所要配置的弹出消息的高级设置。 针对要配置的每个规则单独运行一组命令。
每组 PowerShell 命令必须包含要配置的策略的名称,以及用于定义规则的键和值。
使用以下语法:
$filedata = Get-Content "<Path to json file>" Set-LabelPolicy -Identity <Policy name> -AdvancedSettings @{<Key> ="$filedata"}其中:
<Path to json file>是创建的 json 文件的路径。 例如:C:\Users\msanchez\Desktop\\dlp\OutlookCollaborationRule_1.json。<Policy name>是要配置的策略的名称。<Key>是规则的名称。 使用以下语法,其中 <#> 是规则的序列号:OutlookCollaborationRule_<#>
有关详细信息,请参阅对 Outlook 自定义规则进行排序和规则值 json 语法。
提示
为进一步方便进行组织,请使用与 PowerShell 命令中的键所用的同一字符串来命名文件。 例如,将文件命名为 OutlookCollaborationRule_1.json,然后同样使用 OutlookCollaborationRule_1 作为键。
为了确保即使在从 Outlook 外部共享文档(“文件”>“共享”>“附加副本”)时也会显示弹出消息,另请配置 PostponeMandatoryBeforeSave 高级设置。
对 Outlook 自定义规则进行排序
AIP 使用输入的键中的序列号来确定规则的处理顺序。 定义用于每个规则的键时,请使用较小的数字来定义较严格的规则,接着使用较大的数字来定义不太严格的规则。
找到特定的规则匹配项后,AIP 将停止处理规则,并执行与匹配规则关联的操作。 (“找到第一个匹配项即退出”逻辑)
示例:
假设你要在所有“内部”电子邮件中配置特定的“警告”消息,但一般情况下你不希望阻止这些电子邮件。 不过,你确实想要阻止用户发送分类为“机密”的附件,即使是在“内部”电子邮件中。
在这种情况下,请将更具体规则的“阻止机密”规则键排序在更宽泛的“在内部邮件中警告”规则键的前面:
- 对于“阻止”消息:OutlookCollaborationRule_1
- 对于“警告”消息:OutlookCollaborationRule_2
规则值 .json 语法
按如下所示定义规则的 json 语法:
"type" : "And",
"nodes" : []
必须至少有两个节点,第一个节点表示规则的条件,最后一个节点表示规则的操作。 有关详情,请参阅:
规则条件语法
规则条件节点必须包含节点类型,然后包含条件本身。
支持的文件类型包括:
| 节点类型 | 描述 |
|---|---|
| And | 对所有子节点执行 and |
| Or | 对所有子节点执行 or |
| Not | 对自身的子节点执行 not |
| Except | 对自身的子节点返回 not,导致其行为如同指定了 All |
| SentTo 后接 Domains: listOfDomains | 执行以下检查之一: - 如果父节点为 Except,则检查是否所有 (All) 收件人都在某一个域中 - 如果父节点是除 Except 以外的其他任何节点,则检查是否有任何 (Any) 收件人在某一个域中。 |
| EMailLabel 后接标签 | 以下项之一: - 标签 ID - null,如果未标记 |
| AttachmentLabel 后接标签和支持的扩展名 | 以下项之一: true: - 如果父节点是 Except,则检查标签中是否存在所有使用某个受支持扩展名的附件 - 如果父节点是除 Except 以外的其他任何节点,则检查标签中是否存在任何使用某个受支持扩展名的附件 - 如果未标记,并且 label = null false:对于所有其他情况 注意: 如果 Extensions 属性为空或缺失,则规则中包含所有受支持的文件类型(扩展名)。 |
规则操作语法
规则操作可以是下列其中一项:
| 操作 | 语法 | 示例消息 |
|---|---|---|
| 阻止 | Block (List<language, [title, body]>) |
已阻止的电子邮件 即将向一个或多个不受信任的收件人发送分类为机密的内容: rsinclair@contoso.com组织的策略不允许执行此操作。 请考虑删除这些收件人,或替换内容。 |
| 警告 | Warn (List<language,[title,body]>) |
需要确认 即将向一个或多个不受信任的收件人发送分类为常规的内容: rsinclair@contoso.com组织的策略要求,必须经过确认,才能发送此内容。 |
| 理由 | Justify (numOfOptions, hasFreeTextOption, List<language, [Title, body, options1,options2….]> ) 最多包括三个选项。 |
必须提供理由 组织的策略要求,必须提供理由,才能向不受信任的收件人发送分类为常规的内容。 - 我确认收件人已被批准分享此内容 - 管理员已批准共享此内容 - 其他,如下所述 |
操作参数
如果未为操作提供任何参数,弹出消息将包含默认文本。
所有文本都支持以下动态参数:
| 参数 | 说明 |
|---|---|
${MatchedRecipientsList} |
SentTo 条件的最后一个匹配项 |
${MatchedLabelName} |
邮件/附件标签,以及策略中的本地化名称 |
${MatchedAttachmentName} |
AttachmentLabel 条件的最后一个匹配项中的附件名称 |
注意
所有消息附带“告知详情”选项以及“帮助”和“反馈”对话框。
Language 是区域设置名称的 CultureName,例如:英语 = en-us;西班牙语 = es-es
还支持仅限父级的语言名称,例如仅输入 en。
用于自定义弹出消息的 .json 示例代码
以下 .json 代码集演示如何定义用于控制 Outlook 如何向用户显示弹出消息的各种规则。
- 示例 1:阻止内部电子邮件或附件
- 示例 2:阻止未分类的 Office 附件
- 示例 3:要求用户接受发送保密电子邮件或附件
- 示例 4:针对没有标签的邮件以及具有特定标签的附件发出警告
- 示例 5:提示通过两个预定义的选项以及一个额外的自由文本选项给出理由
示例 1:阻止内部电子邮件或附件
以下 .json 代码阻止将已分类为“内部”的电子邮件或附件发送到外部收件人。
在此示例中,89a453df-5df4-4976-8191-259d0cf9560a 是“内部”标签的 ID,内部域包括 contoso.com 和 microsoft.com。
由于未指定特定的扩展名,因此包括所有受支持的文件类型。
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"
},{
"type" : "EmailLabel",
"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"
}
]
},
{
"type" : "Block",
"LocalizationData": {
"en-us": {
"Title": "Email Blocked",
"Body": "The email or at least one of the attachments is classified as <Bold>${MatchedLabelName}</Bold>. Documents classified as <Bold> ${MatchedLabelName}</Bold> cannot be sent to external recipients (${MatchedRecipientsList}).<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance with classification requirements as per Contoso's policies."
},
"es-es": {
"Title": "Correo electrónico bloqueado",
"Body": "El correo electrónico o al menos uno de los archivos adjuntos se clasifica como <Bold> ${MatchedLabelName}</Bold>."
}
},
"DefaultLanguage": "en-us"
}
]
}
示例 2:阻止未分类的 Office 附件
以下 .json 代码阻止将未分类的 Office 附件或电子邮件发送到外部收件人。
在以下示例中,需要标记的附件列表为: .doc,.docm,.docx,.dot,.dotm,.dotx,.potm,.potx,.pps,.ppsm,.ppsx,.ppt,.pptm,.pptx,.vdw,.vsd,.vsdm,.vsdx,.vss,.vssm,.vst,.vstm,.vssx,.vstx,.xls,.xlsb,.xlt,.xlsm,.xlsx,.xltm,.xltx
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : null,
"Extensions": [
".doc",
".docm",
".docx",
".dot",
".dotm",
".dotx",
".potm",
".potx",
".pps",
".ppsm",
".ppsx",
".ppt",
".pptm",
".pptx",
".vdw",
".vsd",
".vsdm",
".vsdx",
".vss",
".vssm",
".vst",
".vstm",
".vssx",
".vstx",
".xls",
".xlsb",
".xlt",
".xlsm",
".xlsx",
".xltm",
".xltx"
]
},{
"type" : "EmailLabel",
"LabelId" : null
}
]
},
{
"type" : "Block",
"LocalizationData": {
"en-us": {
"Title": "Emailed Blocked",
"Body": "Classification is necessary for attachments to be sent to external recipients.<br><br>List of attachments that are not classified:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br>For MS Office documents, classify and send again.<br><br>For PDF files, classify the document or classify the email (using the most restrictive classification level of any single attachment or the email content) and send again."
},
"es-es": {
"Title": "Correo electrónico bloqueado",
"Body": "La clasificación es necesaria para que los archivos adjuntos se envíen a destinatarios externos."
}
},
"DefaultLanguage": "en-us"
}
]
}
示例 3:要求用户接受发送保密电子邮件或附件
以下示例会使 Outlook 显示一条消息,警告用户他们正在向外部收件人发送“保密”电子邮件或附件,同时还要求用户选择“I accept”(我接受)。
此类警告消息在技术上被视为理由,因为用户必须选择“I accept”。
由于未指定特定的扩展名,因此包括所有受支持的文件类型。
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"
},{
"type" : "EmailLabel",
"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"
}
]
},
{
"type" : "Justify",
"LocalizationData": {
"en-us": {
"Title": "Warning",
"Body": "You are sending a document that is classified as <Bold>${MatchedLabelName}</Bold> to at least one external recipient. Please make sure that the content is correctly classified and that the recipients are entitled to receive this document.<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><Bold>List of external email addresses:</Bold><br>${MatchedRecipientsList})<br><br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br><Bold>Acknowledgement</Bold><br>By clicking <Bold>I accept</Bold> below, you confirm that the recipient is entitled to receive the content and the communication complies with CS Policies and Standards",
"Options": [
"I accept"
]
},
"es-es": {
"Title": "Advertencia",
"Body": "Está enviando un documento clasificado como <Bold>${MatchedLabelName}</Bold> a al menos un destinatario externo. Asegúrese de que el contenido esté correctamente clasificado y que los destinatarios tengan derecho a recibir este documento.",
"Options": [
"Acepto"
]
}
},
"HasFreeTextOption":"false",
"DefaultLanguage": "en-us"
}
]
}
示例 4:针对没有标签的邮件以及具有特定标签的附件发出警告
以下 .json 代码会使 Outlook 警告用户他们正在发送一封没有标签的内部电子邮件,以及一个具有特定标签的附件。
在此示例中,bcbef25a-c4db-446b-9496-1b558d9edd0e 是附件标签的 ID,规则应用于 .docx、.xlsx 和 .pptx 文件。
默认情况下,包含带标签的附件的电子邮件不会自动获得相同的标签。
{
"type" : "And",
"nodes" : [
{
"type" : "EmailLabel",
"LabelId" : null
},
{
"type": "AttachmentLabel",
"LabelId": "bcbef25a-c4db-446b-9496-1b558d9edd0e",
"Extensions": [
".docx",
".xlsx",
".pptx"
]
},
{
"type" : "SentTo",
"Domains" : [
"contoso.com",
]
},
{
"type" : "Warn"
}
]
}
示例 5:提示通过两个预定义的选项以及一个额外的自由文本选项给出理由
以下 .json 代码使 Outlook 提示用户提供其操作理由。 理由文本包含两个预定义的选项,以及一个自由文本选项(第三个选项)。
由于未指定特定的扩展名,因此包括所有受支持的文件类型。
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
]
}
},
{
"type" : "EmailLabel",
"LabelId" : "34b8beec-40df-4219-9dd4-553e1c8904c1"
},
{
"type" : "Justify",
"LocalizationData": {
"en-us": {
"Title": "Justification Required",
"Body": "Your organization policy requires justification for you to send content classified as <Bold> ${MatchedLabelName}</Bold>,to untrusted recipients:<br>Recipients are: ${MatchedRecipientsList}",
"Options": [
"I confirm the recipients are approved for sharing this content",
"My manager approved sharing of this content",
"Other, as explained"
]
},
"es-es": {
"Title": "Justificación necesaria",
"Body": "La política de su organización requiere una justificación para que envíe contenido clasificado como <Bold> ${MatchedLabelName}</Bold> a destinatarios que no sean de confianza.",
"Options": [
"Confirmo que los destinatarios están aprobados para compartir este contenido.",
"Mi gerente aprobó compartir este contenido",
"Otro, como se explicó"
]
}
},
"HasFreeTextOption":"true",
"DefaultLanguage": "en-us"
}
]
}
配置 SharePoint 超时
SharePoint 交互的超时默认为两分钟,超过此时间后,尝试的 AIP 操作将会失败。
从版本 2.8.85.0 开始,AIP 管理员可以使用 hh:mm:ss 语法来定义超时,并使用以下高级属性控制此超时:
SharepointWebRequestTimeout。 确定向 SharePoint 发送所有 AIP Web 请求的超时。 默认值 = 2 分钟。
例如,如果策略名为 Global,则以下 PowerShell 命令示例会将 Web 请求超时更新为 5 分钟。
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}SharepointFileWebRequestTimeout。 确定专用通过 AIP Web 请求发送 SharePoint 文件的超时。 默认值 = 15 分钟
例如,如果策略名为 Global,则以下 PowerShell 命令示例会将文件 Web 请求超时更新为 10 分钟。
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
避免 SharePoint 中的扫描程序超时
如果 SharePoint 2013 或更高版本中存在很长的文件路径,请确保 SharePoint 服务器的 httpRuntime.maxUrlLength 值大于默认的 260 个字符。
此值是在 ASP.NET 配置的 HttpRuntimeSection 类中定义的。
若要更新 HttpRuntimeSection 类,请执行以下操作:
备份 web.config 配置。
根据需要更新 maxUrlLength 值。 例如:
<httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000" />重启 SharePoint Web 服务器,并验证它是否可正常加载。
例如,在 Windows Internet Information Servers (IIS) 管理器中选择你的站点,然后在“管理网站”下选择“重启”。
防止 S/MIME 电子邮件导致 Outlook 性能问题
如果在阅读窗格中打开 S/MIME 电子邮件,Outlook 可能会出现性能问题。 若要防止这些问题,请启用 OutlookSkipSmimeOnReadingPaneEnabled 高级属性。
启用此属性可防止 AIP 栏和电子邮件分类显示在阅读窗格中。
例如,如果策略名为 Global,以下 PowerShell 命令示例将启用 OutlookSkipSmimeOnReadingPaneEnabled 属性:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookSkipSmimeOnReadingPaneEnabled="true"}
禁用文档跟踪功能
默认已经为租户启用了文档跟踪功能。 若要将其禁用(例如,出于组织或所在区域的隐私保护要求),请将“EnableTrackAndRevoke”值设置为“False” 。
禁用后,将不再在您的组织中提供文档跟踪数据,而用户将不再会在其 Office 应用中看到“撤销”菜单选项。
对于所选的标签策略,请指定以下字符串:
键:EnableTrackAndRevoke
值:False
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableTrackAndRevoke="False"}
将此值设置为 False 后,将会禁用跟踪和撤销,如下所述:
- 使用 AIP 统一标记客户端打开受保护的文档将不再注册文档跟踪和撤销功能。
- 最终用户不再会在其 Office 应用中看到“撤销”菜单选项。
但是,已注册跟踪功能的受保护文档将继续受到跟踪,而管理员仍可以通过 PowerShell 撤销访问权限。 若要彻底禁用跟踪和撤销功能,另请运行 Disable-AipServiceDocumentTrackingFeature cmdlet。
此配置使用必须通过安全与合规中心 PowerShell 进行配置的策略高级设置。
提示
若要重新启用跟踪和撤销,请将“EnableTrackAndRevoke”设置为“True”,并运行 Enable-AipServiceDocumentTrackingFeature cmdlet 。
在 Office 应用中关闭最终用户的“撤销”选项
如果你不希望最终用户能够从其 Office 应用中撤销对受保护文档的访问权限,可以从 Office 应用中删除“撤销访问权限”选项。
注意
删除“撤销访问权限”选项后会继续在后台跟踪受保护的文档,并保留管理员通过 PowerShell 撤销对文档的访问权限的能力。
对于所选的标签策略,请指定以下字符串:
键:EnableRevokeGuiSupport
值:False
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}
配置针对 Office 文件的自动标记超时
扫描程序针对 Office 文件的自动标记超时默认为 3 秒。
如果你的 Excel 文件比较复杂,其中包含多个工作表或行,3 秒时间可能并不足以自动完成应用标签的操作。 若要根据所选标签策略增大此超时,请指定以下字符串:
键:OfficeContentExtractionTimeout
值:采用以下格式的秒数:
hh:mm:ss。
重要
建议不要将此超时提高到 15 秒以上。
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}
更新的超时将应用于针对所有 Office 文件的自动标记操作。
启用分类全球化功能(公共预览版)
分类全球化功能,包括提高东亚语言的准确性并支持双字节字符。 这些增强功能仅针对 64 位进程提供,并默认关闭。
如果要为策略启用这些功能,请指定以下字符串:
键:EnableGlobalization
值:
True
示例 PowerShell 命令,其中的标签策略名为“Global”:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}
若要再次关闭支持并还原为默认值,请将 EnableGlobalization 高级设置设置为空字符串。
启用数据边界设置
Azure 信息保护统一标签客户端的 EU 客户可以按照微软对 EU 数据边界的承诺,将他们的数据发送到 EU 进行存储和处理。
通过更改这个用于指定事件所应发送到的正确位置的注册表项,在 AIP 客户端中启用此功能:
- 注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\DataBoundary (DWORD)
- 值:
Default = 0North_America = 1European_Union = 2
启用系统默认浏览器进行身份验证
使用系统默认浏览器在 AIP 客户端中进行身份验证。 默认情况下,AIP 客户端将打开 Microsoft Edge 进行身份验证。
通过启用此注册表项,在 AIP 客户端中启用此功能:
- 注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\MSALUseSytemDefaultBrowserAuth (DWORD)
- 值:
Disabled = 0Enabled = 1
后续步骤
自定义 Azure 信息保护统一标记客户端后,接下来请参阅以下资源,获取为了支持此客户端而可能需要了解的其他信息: