Поделиться через


Дополнительные параметры для клиента Microsoft Purview Information Protection

Эта статья содержит дополнительные параметры PowerShell для обеспечения соответствия требованиям безопасности & , которые поддерживаются клиентом Microsoft Purview Information Protection при использовании следующих командлетов:

Дополнительные параметры, поддерживаемые метками конфиденциальности, встроенными в приложения и службы Microsoft 365, включены на самой странице командлета. Вы также можете найти полезные советы PowerShell по указанию дополнительных параметров.

Дополнительные параметры для меток Описание
Color Указание цвета для метки
DefaultSubLabelId Указание вложенной метки по умолчанию для родительской метки
Дополнительные параметры для политик меток Описание
AdditionalPPrefixExtensions Поддержка изменения <EXT>. PFILE в P<EXT>
EnableAudit Запретить отправку данных аудита в Microsoft Purview
EnableContainerSupport Включение удаления шифрования из файлов PST, rar, 7zip и MSG
EnableCustomPermissions Отключение пользовательских разрешений в проводнике
EnableCustomPermissionsForCustomProtectedFiles Для файлов, зашифрованных с помощью пользовательских разрешений, всегда отображайте пользовательские разрешения для пользователей в проводнике.
EnableGlobalization Включение функций глобализации классификации
JustificationTextForUserText Настройка текста запроса на обоснование для измененных меток
LogMatchedContent Отправка совпадений типов информации в Microsoft Purview
OfficeContentExtractionTimeout Настройка времени ожидания автоматической маркировки для файлов Office
PFileSupportedExtensions Изменение типов файлов для защиты
ReportAnIssueLink Добавление сообщения о проблеме для пользователей
ScannerMaxCPU Ограничение потребления ЦП
ScannerMinCPU Ограничение потребления ЦП
ScannerConcurrencyLevel Ограничение количества потоков, используемых сканером
ScannerFSAttributesToSkip Пропускать или игнорировать файлы во время сканирования в зависимости от атрибутов файла)
SharepointWebRequestTimeout Настройка времени ожидания SharePoint
SharepointFileWebRequestTimeout Настройка времени ожидания SharePoint
UseCopyAndPreserveNTFSOwner Сохранение владельцев NTFS во время маркировки

AdditionalPPrefixExtensions

Это расширенное свойство для изменения <EXT>. PFILE to P<EXT> поддерживается проводником, PowerShell и сканером. Все приложения имеют одинаковое поведение.

  • Ключ: AdditionalPPrefixExtensions

  • Значение: <строковое значение>

Используйте следующую таблицу, чтобы определить указанное строковое значение:

Строковое значение Клиент и сканер
* Все расширения PFile становятся P<EXT>
<Значение NULL> Значение по умолчанию ведет себя как значение шифрования по умолчанию.
ConvertTo-Json(".dwg", ".zip") В дополнение к предыдущему списку, ".dwg" и ".zip" становятся P<EXT>

При использовании этого параметра следующие расширения всегда становятся P<EXT>: ".txt", ".xml", ".bmp", "jt", ".jpg", ".jpeg", ".jpe", ".jif", ".jfif", "jfif", ".png", ".tif", ".tiff", ".gif"). Примечательное исключение заключается в том, что ptxt не становится txt.pfile.

Для этого параметра требуется включить дополнительный параметр PFileSupportedExtension .

Пример 1. Команда PowerShell ведет себя так же, как поведение по умолчанию, в котором параметр Protect ".dwg" становится ".dwg.pfile":

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}

Пример 2. Команда PowerShell для изменения всех расширений PFile с универсального шифрования на собственное шифрование, когда файлы помечены и зашифрованы:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}

Пример 3. Команда PowerShell для изменения ".dwg" на ".pdwg" при использовании этой службы защищает этот файл:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}

Цвет

Используйте этот дополнительный параметр, чтобы задать цвет метки. Чтобы указать цвет, введите шестнадцатеричный код триплета для красного, зеленого и синего (RGB) компонентов цвета. Например, #40e0d0 — шестнадцатеричное RGB-значение для бирюзового цвета.

Если вам нужна ссылка на эти коды, вы найдете полезную таблицу на цветной<> странице веб-документации MSDN. Эти коды также можно найти во многих приложениях, которые позволяют редактировать изображения. Например, Microsoft Paint позволяет выбрать собственный цвет из палитры и автоматически отображает значения RGB, которые вы можете скопировать.

Чтобы настроить дополнительный параметр для цвета метки, введите следующие строки для выбранной метки:

  • Ключ: цвет

  • Значение: <шестнадцатеричное значение> RGB

Пример команды PowerShell, где метка называется "Public":

Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}

DefaultSubLabelId

При добавлении вложенной метки в метку пользователи больше не могут применять родительскую метку к документу или электронной почте. По умолчанию пользователи выбирают родительскую метку, чтобы просмотреть вложенные метки, которые они могут применить, а затем выбрать одну из этих вложенных меток. При настройке этого расширенного параметра, когда пользователи выбирают родительскую метку, вложенная метка автоматически выбирается и применяется к ним:

  • Ключ: DefaultSubLabelId

  • Значение: <GUID> вложенной метки

Пример команды PowerShell, где родительская метка называется Конфиденциально, а вложенная метка "Все сотрудники" имеет идентификатор GUID 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}

EnableAudit

По умолчанию клиент защиты информации отправляет данные аудита в Microsoft Purview, где эти данные можно просмотреть в обозревателе действий.

Чтобы изменить это поведение, используйте следующий дополнительный параметр:

  • Ключ: EnableAudit

  • Значение: False

Например, если политика меток называется "Глобальная":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}

Затем на локальных компьютерах с клиентом защиты информации удалите следующую папку: %localappdata%\Microsoft\MSIP\mip

Чтобы клиент снова отправлял данные журнала аудита, измените значение дополнительного параметра на True. Вам не нужно вручную создавать папку %localappdata%\Microsoft\MSIP\mip на клиентских компьютерах.

EnableContainerSupport

Этот параметр позволяет клиенту защиты информации удалять шифрование из файлов PST, RAR и 7ZIP.

  • Ключ: EnableContainerSupport

  • Значение: True

Например, если политика меток называется "Глобальная":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}

EnableCustomPermissions

По умолчанию при щелчке правой кнопкой мыши в проводнике с помощью средства метки файлов пользователи видят параметр "Защитить с пользовательскими разрешениями ". Этот параметр позволяет задать собственные параметры шифрования, которые могут переопределить любые параметры шифрования, которые вы могли включить в конфигурацию метки. Пользователи также могут увидеть параметр для удаления шифрования. При настройке этого параметра пользователи не видят эти параметры.

Используйте следующий параметр, чтобы пользователи не видели эти параметры:

  • Ключ: EnableCustomPermissions

  • Значение: False

Пример команды PowerShell, в которой политика меток называется "Глобальная":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

EnableCustomPermissionsForCustomProtectedFiles

При настройке расширенного параметра клиента EnableCustomPermissions для отключения пользовательских разрешений в проводнике пользователи по умолчанию не могут видеть или изменять пользовательские разрешения, которые уже заданы в зашифрованном документе.

Однако существует еще один дополнительный параметр клиента, который можно указать, чтобы в этом сценарии пользователи могли просматривать и изменять пользовательские разрешения для зашифрованного документа при использовании проводника и щелчке файла правой кнопкой мыши.

  • Ключ: EnableCustomPermissionsForCustomProtectedFiles

  • Значение: True

Пример команды PowerShell, в которой политика меток называется "Глобальная":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}

EnableGlobalization

Особенности глобализации классификации, включая повышенную точность для восточноазиатских языков и поддержку двухбайтовых символов. Эти улучшения предоставляются только для 64-разрядных процессов и отключены по умолчанию.

Включите эти функции для политики, указав следующие строки:

  • Ключ: EnableGlobalization

  • Значение: True

Пример команды PowerShell, в которой политика меток называется "Глобальная":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}

Чтобы снова отключить поддержку и вернуться к значению по умолчанию, задайте для дополнительного параметра EnableGlobalization пустую строку.

JustificationTextForUserText

Настройте запросы на обоснование, которые отображаются при изменении конечными пользователями меток конфиденциальности для файлов.

Например, администратор может напомнить пользователям, что не следует добавлять в это поле сведения, идентифицирующие клиента.

Чтобы изменить параметр по умолчанию Другое , который пользователи могут выбрать в диалоговом окне, используйте дополнительный параметр JustificationTextForUserText . Присвойте значение тексту, который вы хотите использовать.

Пример команды PowerShell, в которой политика меток называется "Глобальная":

Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}

LogMatchedContent

По умолчанию клиент защиты информации не отправляет совпадения содержимого для типов конфиденциальной информации в Microsoft Purview, который затем может отображаться в обозревателе действий. Сканер всегда отправляет эти сведения. Дополнительные сведения об этих дополнительных сведениях, которые можно отправить, см. в статье Соответствие содержимого для более глубокого анализа.

Чтобы отправлять совпадения содержимого при отправке типов конфиденциальной информации, используйте следующий расширенный параметр в политике меток:

  • Ключ: LogMatchedContent

  • Значение: True

Пример команды PowerShell, в которой политика меток называется "Глобальная":

Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}

OfficeContentExtractionTimeout

По умолчанию время ожидания автоматической маркировки сканера для файлов Office составляет 3 секунды.

Если у вас есть сложный файл Excel с большим количеством листов или строк, 3 секунды может быть недостаточно для автоматического применения меток. Чтобы увеличить это время ожидания для выбранной политики меток, укажите следующие строки:

  • Ключ: OfficeContentExtractionTimeout

  • Значение: Секунды в следующем формате: hh:mm:ss.

Важно!

Не рекомендуется повышать это время ожидания до 15 секунд.

Пример команды PowerShell, в которой политика меток называется "Глобальная":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}

Обновленное время ожидания применяется к автоматическому присвоению меток во всех файлах Office.

PFileSupportedExtensions

С помощью этого параметра можно изменить типы файлов, которые шифруются, но нельзя изменить уровень шифрования по умолчанию с собственного на универсальный. Например, для пользователей, работающих с меткой файлов, можно изменить параметр по умолчанию, чтобы шифроваться только файлы Office и PDF-файлы, а не все типы файлов. Но вы не можете изменить эти типы файлов, чтобы они были зашифрованы с расширением PFILE.

  • Ключ: PFileSupportedExtensions

  • Значение: <строковое значение>

Используйте следующую таблицу, чтобы определить указанное строковое значение:

Строковое значение Клиент Сканер
* Значение по умолчанию: применение шифрования ко всем типам файлов Применение шифрования ко всем типам файлов
ConvertTo-Json(".jpg", ".png") Помимо типов файлов Office и PDF-файлов, примените шифрование к указанным расширениям имен файлов. Помимо типов файлов Office и PDF-файлов, примените шифрование к указанным расширениям имен файлов.

Пример 1. Команда PowerShell для сканера для шифрования файлов всех типов, где политика меток называется "Сканер":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Пример 2. Команда PowerShell для сканера для шифрования файлов .txt и .csv файлов в дополнение к файлам Office и PDF-файлам, где политика меток называется "Сканер":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}

При указании следующего расширенного параметра клиента пользователи увидят параметр Сообщить о проблеме , который можно выбрать в диалоговом окне Клиент справки и отзывов в средстве метки файлов. Укажите строку HTTP для ссылки. Например, настроенная веб-страница, на которую пользователи могут сообщать о проблемах, или адрес электронной почты, который отправляется в службу поддержки.

Чтобы настроить этот дополнительный параметр, введите следующие строки для выбранной политики меток:

  • Ключ: ReportAnIssueLink

  • Значение: <строка> HTTP

Пример значения веб-сайта: https://support.contoso.com

Пример значения для адреса электронной почты: mailto:helpdesk@contoso.com

Пример команды PowerShell, в которой политика меток называется "Глобальная":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}

ScannerMaxCPU

Важно!

Рекомендуется ограничить потребление ЦП с помощью дополнительных параметров ScannerMaxCPU и ScannerMinCPU вместо ScannerConcurrencyLevel , поддерживаемых для обратной совместимости.

Если указан более старый дополнительный параметр, дополнительные параметры ScannerMaxCPU и ScannerMinCPU игнорируются.

Используйте этот дополнительный параметр в сочетании со СканеромMinCPU , чтобы ограничить потребление ресурсов ЦП на компьютере сканера.

  • Ключ: ScannerMaxCPU

  • Значение: <число>**

Значение по умолчанию равно 100 , что означает отсутствие ограничения на максимальное потребление ЦП. В этом случае процесс проверки будет пытаться использовать все доступное время ЦП, чтобы максимально увеличить скорость сканирования.

Если для параметра ScannerMaxCPU задано значение менее 100, сканер будет отслеживать потребление ЦП за последние 30 минут. Если средняя загрузка ЦП пересекла установленное ограничение, начнется сокращение количества потоков, выделенных для новых файлов.

Ограничение на количество потоков будет продолжаться до тех пор, пока потребление ЦП превышает ограничение, установленное для ScannerMaxCPU.

ScannerMinCPU

Важно!

Рекомендуется ограничить потребление ЦП с помощью дополнительных параметров ScannerMaxCPU и ScannerMinCPU вместо ScannerConcurrencyLevel , поддерживаемых для обратной совместимости.

Если указан более старый дополнительный параметр, дополнительные параметры ScannerMaxCPU и ScannerMinCPU игнорируются.

Используется только в том случае, если scannerMaxCPU не равен 100 и не может быть задано число, превышающее значение ScannerMaxCPU .

Рекомендуется, чтобы параметр ScannerMinCPU был установлен по крайней мере на 15 пунктов ниже значения ScannerMaxCPU.

Значение по умолчанию равно 50 . Это означает, что если потребление ЦП за последние 30 минут меньше этого значения, средство проверки начнет добавлять новые потоки для параллельного сканирования большего количества файлов, пока потребление ЦП не достигнет уровня, установленного для ScannerMaxCPU-15.

ScannerConcurrencyLevel

Важно!

Рекомендуется ограничить потребление ЦП с помощью дополнительных параметров ScannerMaxCPU и ScannerMinCPU вместо ScannerConcurrencyLevel , поддерживаемых для обратной совместимости.

Если указан этот более старый расширенный параметр, дополнительные параметры ScannerMaxCPU и ScannerMinCPU игнорируются.

По умолчанию средство проверки использует все доступные ресурсы процессора на компьютере, на котором запущена служба проверки. Если необходимо ограничить потребление ЦП во время сканирования этой службы, укажите количество параллельных потоков, которые сканер может выполнять параллельно. Сканер использует отдельный поток для каждого файла, который он сканирует, поэтому эта конфигурация регулирования также определяет количество файлов, которые можно сканировать параллельно.

При первой настройке значения для тестирования рекомендуется указать 2 на ядро, а затем отслеживать результаты. Например, если средство проверки запущено на компьютере с 4 ядрами, сначала задайте значение 8. При необходимости увеличьте или уменьшите это число в соответствии с производительностью, необходимой для компьютера сканера и частоты сканирования.

  • Ключ: ScannerConcurrencyLevel

  • Значение: <количество параллельных> потоков

Пример команды PowerShell, где политика меток называется "Сканер":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}

ScannerFSAttributesToSkip

По умолчанию сканер защиты информации сканирует все соответствующие файлы. Однако может потребоваться определить конкретные файлы, которые будут пропущены, например для архивных файлов или файлов, которые были перемещены.

Включите средство проверки для пропуска определенных файлов на основе их атрибутов с помощью дополнительного параметра ScannerFSAttributesToSkip . В значении параметра перечислите атрибуты файла, которые позволят пропускать файл, если для них задано значение true. В этом списке атрибутов файла используется логика AND.

Примеры команд PowerShell, где политика меток называется "Глобальная".

Пропускать файлы, которые доступны только для чтения и архивируются

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}

Пропускать файлы, которые доступны только для чтения или архивируются

Чтобы использовать логику OR, выполните одно и то же свойство несколько раз. Например:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}

Совет

Рекомендуется включить средство проверки для пропуска файлов со следующими атрибутами:

  • FILE_ATTRIBUTE_SYSTEM
  • FILE_ATTRIBUTE_HIDDEN
  • FILE_ATTRIBUTE_DEVICE
  • FILE_ATTRIBUTE_OFFLINE
  • FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
  • FILE_ATTRIBUTE_RECALL_ON_OPEN
  • FILE_ATTRIBUTE_TEMPORARY

Список всех атрибутов файла, которые можно определить в расширенном параметре ScannerFSAttributesToSkip, см. в разделе Константы атрибутов файлов Win32.

SharepointWebRequestTimeout

По умолчанию время ожидания для взаимодействий с SharePoint составляет две минуты, после чего операция клиента защиты информации завершается сбоем. Управляйте этим временем ожидания с помощью дополнительных параметров SharepointWebRequestTimeout и SharepointFileRequestTimeout , используя синтаксис hh:mm:ss для определения времени ожидания.

Укажите значение, чтобы определить время ожидания для всех клиентских веб-запросов защиты информации к SharePoint. Значение по умолчанию — minutes.

Например, если политика называется Глобальной, следующий пример команды PowerShell обновляет время ожидания веб-запроса до 5 минут.

Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}

SharepointFileWebRequestTimeout

По умолчанию время ожидания для взаимодействий с SharePoint составляет две минуты, после чего операция клиента защиты информации завершается сбоем. Управляйте этим временем ожидания с помощью дополнительных параметров SharepointWebRequestTimeout и SharepointFileRequestTimeout , используя синтаксис hh:mm:ss для определения времени ожидания.

Укажите значение времени ожидания для файлов SharePoint с помощью клиентских веб-запросов защиты информации. Значение по умолчанию — 15 минут.

Например, если политика называется Глобальной, следующий пример команды PowerShell обновляет время ожидания веб-запроса файла до 10 минут.

Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}

UseCopyAndPreserveNTFSOwner

Примечание.

Сейчас эта функция доступна в предварительной версии. Дополнительные условия предварительной версии Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступную версию.

По умолчанию клиент защиты информации не сохраняет владельца NTFS, определенного перед применением метки конфиденциальности.

Чтобы гарантировать сохранение значения владельца NTFS, задайте для параметра UseCopyAndPreserveNTFSOwner значение true для выбранной политики меток.

Предостережение

Для сканера: определите этот дополнительный параметр только в том случае, если вы можете обеспечить надежное сетевое подключение между сканером и проверяемого репозиторием с низкой задержкой. Сбой сети во время процесса автоматической маркировки может привести к потере файла.

Пример команды PowerShell, где политика меток называется "Глобальная"

Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}