Configuración avanzada para el cliente de Microsoft Purview Information Protection

Este artículo contiene la configuración avanzada de PowerShell de cumplimiento de seguridad & que es compatible con el cliente de Microsoft Purview Information Protection cuando se usan los siguientes cmdlets:

La configuración avanzada compatible con las etiquetas de confidencialidad integradas en aplicaciones y servicios de Microsoft 365 se incluye en la propia página del cmdlet. También puede encontrar sugerencias útiles de PowerShell para especificar la configuración avanzada.

Configuración avanzada para etiquetas Descripción
Color Especificar un color para la etiqueta
DefaultSubLabelId Especificar una subetiqueta predeterminada para una etiqueta primaria
Configuración avanzada para directivas de etiqueta Descripción
AdditionalPPrefixExtensions Compatibilidad con el cambio de <EXT>. PFILE a P<EXT>
EnableAudit Impedir que los datos de auditoría se envíen a Microsoft Purview
EnableContainerSupport Habilitar la eliminación del cifrado de archivos PST, rar, 7zip y MSG
EnableCustomPermissions Desactivar permisos personalizados en el Explorador de archivos
EnableCustomPermissionsForCustomProtectedFiles Para los archivos cifrados con permisos personalizados, siempre muestre permisos personalizados a los usuarios en el Explorador de archivos.
EnableGlobalization Activar las características de globalización de clasificación
JustificationTextForUserText Personalización de textos de solicitud de justificación para etiquetas modificadas
LogMatchedContent Envío de coincidencias de tipo de información a Microsoft Purview
OfficeContentExtractionTimeout Configuración del tiempo de espera de etiquetado automático para los archivos de Office
PFileSupportedExtensions Cambiar los tipos de archivo que se van a proteger
ReportAnIssueLink Agregar "Notificar un problema" para los usuarios
ScannerMaxCPU Limitar el consumo de CPU
ScannerMinCPU Limitar el consumo de CPU
ScannerConcurrencyLevel Limitar el número de subprocesos utilizados por el analizador
ScannerFSAttributesToSkip Omitir o omitir archivos durante los exámenes en función de los atributos de archivo)
SharepointWebRequestTimeout Configuración de tiempos de espera de SharePoint
SharepointFileWebRequestTimeout Configuración de tiempos de espera de SharePoint
UseCopyAndPreserveNTFSOwner Conservar los propietarios NTFS durante el etiquetado

AdditionalPPrefixExtensions

Esta propiedad avanzada para cambiar <EXT>. PFILE a P<EXT> es compatible con el Explorador de archivos, PowerShell y el analizador. Todas las aplicaciones tienen un comportamiento similar.

  • Clave: AdditionalPPrefixExtensions

  • Valor: <valor> de cadena

Use la tabla siguiente para identificar el valor de cadena que se va a especificar:

Valor de cadena Cliente y escáner
* Todas las extensiones PFile se convierten en P<EXT>
<valor null> El valor predeterminado se comporta como el valor de cifrado predeterminado.
ConvertTo-Json(".dwg", ".zip") Además de la lista anterior, ".dwg" y ".zip" se convierten en P<EXT.>

Con esta configuración, las siguientes extensiones siempre se convierten en P<EXT>: ".txt", ".xml", ".bmp", ".jt", ".jpg", ".jpeg", ".jpe", ".jif", ".jfif", ".jfi", ".png", ".tif", ".tiff", ".gif"). La exclusión notable es que "ptxt" no se convierte en "txt.pfile".

Esta configuración requiere que se habilite la configuración avanzada PFileSupportedExtension .

Ejemplo 1: Comando de PowerShell para comportarse como el comportamiento predeterminado donde Proteger ".dwg" se convierte en ".dwg.pfile":

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}

Ejemplo 2: Comando de PowerShell para cambiar todas las extensiones PFile del cifrado genérico al cifrado nativo cuando los archivos se etiquetan y cifran:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}

Ejemplo 3: Comando de PowerShell para cambiar ".dwg" a ".pdwg" al usar este servicio proteja este archivo:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}

Color

Use esta configuración avanzada para establecer un color para una etiqueta. Para especificar el color, escriba un código hexadecimal triple para los componentes rojo, verde y azul (RGB) del color. Por ejemplo, #40e0d0 es el valor hexadecimal RGB para el turquesa.

Si necesita una referencia para estos códigos, encontrará una tabla útil de la <página de color> de los documentos web de MSDN. También encontrará estos códigos en muchas aplicaciones que le permiten editar imágenes. Por ejemplo, Microsoft Paint le permite elegir un color personalizado de una paleta y los valores de RGB se muestran de forma automática, los que puede copiar luego.

Para configurar la configuración avanzada para el color de una etiqueta, escriba las siguientes cadenas para la etiqueta seleccionada:

  • Clave: color

  • Valor: <valor> hexadecimal RGB

Comando de PowerShell de ejemplo, donde la etiqueta se denomina "Public":

Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}

DefaultSubLabelId

Al agregar una subetiqueta a una etiqueta, los usuarios ya no pueden aplicar la etiqueta primaria a un documento o correo electrónico. De forma predeterminada, los usuarios seleccionan la etiqueta primaria para ver las subetiquetas que pueden aplicar y, a continuación, seleccionan una de esas subetiquetas. Si configura esta configuración avanzada, cuando los usuarios seleccionan la etiqueta principal, se selecciona automáticamente una subetiqueta y se aplica a ellas:

  • Clave: DefaultSubLabelId

  • Valor: <GUID> de subetiqueta

Comando de PowerShell de ejemplo, donde la etiqueta principal se denomina "Confidencial" y la subetiqueta "Todos los empleados" tiene un GUID de 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}

EnableAudit

De forma predeterminada, el cliente de protección de la información envía datos de auditoría a Microsoft Purview, donde puede ver estos datos en el explorador de actividad.

Para cambiar este comportamiento, use la siguiente configuración avanzada:

  • Clave: EnableAudit

  • Valor: False

Por ejemplo, si la directiva de etiqueta se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}

A continuación, en los equipos locales que ejecutan el cliente de protección de la información, elimine la carpeta siguiente: %localappdata%\Microsoft\MSIP\mip

Para permitir que el cliente vuelva a enviar datos de registro de auditoría, cambie el valor de configuración avanzada a True. No es necesario volver a crear manualmente la carpeta %localappdata%\Microsoft\MSIP\mip en los equipos cliente.

EnableContainerSupport

Esta configuración permite al cliente de protección de la información quitar el cifrado de archivos PST, rar y 7zip.

  • Clave: EnableContainerSupport

  • Valor: True

Por ejemplo, si la directiva de etiqueta se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}

EnableCustomPermissions

De forma predeterminada, los usuarios ven una opción denominada Proteger con permisos personalizados cuando hacen clic con el botón derecho en el Explorador de archivos con el etiquetador de archivos. Esta opción les permite establecer sus propias opciones de cifrado que pueden invalidar cualquier configuración de cifrado que pueda haber incluido con una configuración de etiqueta. Los usuarios también pueden ver una opción para quitar el cifrado. Al configurar esta configuración, los usuarios no ven estas opciones.

Use la siguiente configuración para que los usuarios no vean estas opciones:

  • Clave: EnableCustomPermissions

  • Valor: False

Comando de PowerShell de ejemplo, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

EnableCustomPermissionsForCustomProtectedFiles

Al configurar la configuración de cliente avanzada EnableCustomPermissions para desactivar los permisos personalizados en el Explorador de archivos, de forma predeterminada, los usuarios no pueden ver ni cambiar los permisos personalizados que ya están establecidos en un documento cifrado.

Sin embargo, hay otra configuración de cliente avanzada que puede especificar para que, en este escenario, los usuarios puedan ver y cambiar los permisos personalizados de un documento cifrado cuando usen el Explorador de archivos y haga clic con el botón derecho en el archivo.

  • Clave: EnableCustomPermissionsForCustomProtectedFiles

  • Valor: True

Comando de PowerShell de ejemplo, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}

EnableGlobalization

Características de globalización de clasificación, incluida una mayor precisión para los idiomas del Este asiático y compatibilidad con caracteres de doble byte. Estas mejoras solo se proporcionan para procesos de 64 bits y se desactivan de forma predeterminada.

Active estas características para la directiva y especifique las siguientes cadenas:

  • Clave: EnableGlobalization

  • Valor: True

Comando de PowerShell de ejemplo, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}

Para volver a desactivar la compatibilidad y volver al valor predeterminado, establezca la opción EnableGlobalization advanced en una cadena vacía.

JustificationTextForUserText

Personalice las solicitudes de justificación que se muestran cuando los usuarios finales cambian las etiquetas de confidencialidad en los archivos.

Por ejemplo, como administrador, es posible que quiera recordar a los usuarios que no agreguen información de identificación de clientes a este campo.

Para modificar la opción predeterminada Other que los usuarios pueden seleccionar en el cuadro de diálogo, use la configuración avanzada JustificationTextForUserText . Establezca el valor en el texto que desea usar en su lugar.

Comando de PowerShell de ejemplo, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}

LogMatchedContent

De forma predeterminada, el cliente de protección de la información no envía coincidencias de contenido para tipos de información confidencial a Microsoft Purview, que se puede mostrar en el explorador de actividad. El escáner siempre envía esta información. Para obtener más información sobre esta información adicional que se puede enviar, consulte Coincidencias de contenido para un análisis más profundo.

Para enviar coincidencias de contenido cuando se envían tipos de información confidencial, use la siguiente configuración avanzada en una directiva de etiqueta:

  • Clave: LogMatchedContent

  • Valor: True

Comando de PowerShell de ejemplo, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}

OfficeContentExtractionTimeout

De forma predeterminada, el tiempo de espera de etiquetado automático del analizador en los archivos de Office es de 3 segundos.

Si tiene un archivo de Excel complejo con muchas hojas o filas, es posible que 3 segundos no sean suficientes para aplicar etiquetas automáticamente. Para aumentar este tiempo de espera para la directiva de etiqueta seleccionada, especifique las siguientes cadenas:

  • Clave: OfficeContentExtractionTimeout

  • Valor: Segundos, en el formato siguiente: hh:mm:ss.

Importante

Se recomienda no aumentar este tiempo de espera a más de 15 segundos.

Comando de PowerShell de ejemplo, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}

El tiempo de espera actualizado se aplica al etiquetado automático en todos los archivos de Office.

PFileSupportedExtensions

Con esta configuración, puede cambiar qué tipos de archivo están cifrados, pero no puede cambiar el nivel de cifrado predeterminado de nativo a genérico. Por ejemplo, para los usuarios que ejecutan el etiquetador de archivos, puede cambiar la configuración predeterminada para que solo los archivos de Office y los archivos PDF se cifren en lugar de todos los tipos de archivo. Pero no puede cambiar estos tipos de archivo para que se cifren genéricamente con una extensión de nombre de archivo .pfile.

  • Clave: PFileSupportedExtensions

  • Valor: <valor> de cadena

Use la tabla siguiente para identificar el valor de cadena que se va a especificar:

Valor de cadena Cliente Escáner
* Valor predeterminado: aplicar el cifrado a todos los tipos de archivo Aplicación del cifrado a todos los tipos de archivo
ConvertTo-Json(".jpg", ".png") Además de los tipos de archivo y archivos PDF de Office, aplique el cifrado a las extensiones de nombre de archivo especificadas. Además de los tipos de archivo y archivos PDF de Office, aplique el cifrado a las extensiones de nombre de archivo especificadas.

Ejemplo 1: Comando de PowerShell para que el analizador cifre todos los tipos de archivo, donde la directiva de etiquetas se denomina "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Ejemplo 2: Comando de PowerShell para que el analizador cifre .txt archivos y archivos .csv además de archivos de Office y archivos PDF, donde la directiva de etiquetas se denomina "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}

Al especificar la siguiente configuración de cliente avanzada, los usuarios ven una opción Notificar un problema que pueden seleccionar en el cuadro de diálogo Cliente de ayuda y comentarios del etiquetador de archivos. Especifique una cadena HTTP para el vínculo. Por ejemplo, una página web personalizada que tiene para que los usuarios notifiquen problemas o una dirección de correo electrónico que vaya al departamento de soporte técnico.

Para configurar esta configuración avanzada, escriba las siguientes cadenas para la directiva de etiquetas seleccionada:

  • Clave: ReportAnIssueLink

  • Valor: <cadena> HTTP

Valor de ejemplo para un sitio web: https://support.contoso.com

Valor de ejemplo para una dirección de correo electrónico: mailto:helpdesk@contoso.com

Comando de PowerShell de ejemplo, donde la directiva de etiquetas se denomina "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}

ScannerMaxCPU

Importante

Se recomienda limitar el consumo de CPU mediante la configuración avanzada ScannerMaxCPU y ScannerMinCPU en lugar de ScannerConcurrencyLevel compatible con versiones anteriores.

Si se especifica la configuración avanzada anterior, se omiten las opciones avanzadas ScannerMaxCPU y ScannerMinCPU .

Use esta configuración avanzada junto con ScannerMinCPU para limitar el consumo de CPU en el equipo del escáner.

  • Clave: ScannerMaxCPU

  • Valor: <número>**

El valor se establece en 100 de forma predeterminada, lo que significa que no hay ningún límite de consumo máximo de CPU. En este caso, el proceso del escáner intentará usar todo el tiempo de CPU disponible para maximizar las tasas de examen.

Si establece ScannerMaxCPU en menos de 100, el escáner supervisará el consumo de CPU durante los últimos 30 minutos. Si la CPU media superó el límite establecido, comenzará a reducir el número de subprocesos asignados para los nuevos archivos.

El límite en el número de subprocesos continuará mientras el consumo de CPU sea mayor que el límite establecido para ScannerMaxCPU.

ScannerMinCPU

Importante

Se recomienda limitar el consumo de CPU mediante la configuración avanzada ScannerMaxCPU y ScannerMinCPU en lugar de ScannerConcurrencyLevel compatible con versiones anteriores.

Si se especifica la configuración avanzada anterior, se omiten las opciones avanzadas ScannerMaxCPU y ScannerMinCPU .

Solo se usa si ScannerMaxCPU no es igual a 100 y no se puede establecer en un número mayor que el valor ScannerMaxCPU .

Se recomienda mantener ScannerMinCPU establecido al menos 15 puntos por debajo del valor de ScannerMaxCPU.

El valor se establece en 50 de forma predeterminada, lo que significa que si el consumo de CPU en los últimos 30 minutos es inferior a este valor, el analizador comenzará a agregar nuevos subprocesos para examinar más archivos en paralelo, hasta que el consumo de CPU alcance el nivel que ha establecido para ScannerMaxCPU-15.

ScannerConcurrencyLevel

Importante

Se recomienda limitar el consumo de CPU mediante la configuración avanzada ScannerMaxCPU y ScannerMinCPU en lugar de ScannerConcurrencyLevel compatible con versiones anteriores.

Cuando se especifica esta configuración avanzada anterior, se omiten las opciones avanzadas ScannerMaxCPU y ScannerMinCPU .

De forma predeterminada, el analizador usa todos los recursos de procesador disponibles en el equipo que ejecuta el servicio de escáner. Si necesita limitar el consumo de CPU durante el examen de este servicio, especifique el número de subprocesos simultáneos que el analizador puede ejecutar en paralelo. El analizador usa un subproceso independiente para cada archivo que examina, por lo que esta configuración de limitación también define el número de archivos que se pueden examinar en paralelo.

Cuando configure por primera vez el valor para las pruebas, se recomienda especificar 2 por núcleo y, a continuación, supervisar los resultados. Por ejemplo, si ejecuta el analizador en un equipo que tiene 4 núcleos, establezca primero el valor en 8. Si es necesario, aumente o disminuya ese número, según el rendimiento resultante que necesite para el equipo del escáner y las tasas de escaneo.

  • Clave: ScannerConcurrencyLevel

  • Valor: <número de subprocesos simultáneos>

Comando de PowerShell de ejemplo, donde la directiva de etiquetas se denomina "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}

ScannerFSAttributesToSkip

De forma predeterminada, el analizador de protección de la información examina todos los archivos pertinentes. Sin embargo, es posible que desee definir archivos específicos que se omitirán, como para archivos archivados o archivos que se han movido.

Habilite el analizador para omitir archivos específicos en función de sus atributos de archivo mediante la configuración avanzada ScannerFSAttributesToSkip . En el valor de configuración, enumere los atributos de archivo que permitirán omitir el archivo cuando todos estén establecidos en true. Esta lista de atributos de archivo usa la lógica AND.

Comandos de PowerShell de ejemplo, donde la directiva de etiquetas se denomina "Global".

Omitir archivos de solo lectura y archivados

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}

Omitir archivos de solo lectura o archivados

Para usar una lógica OR, ejecute la misma propiedad varias veces. Por ejemplo:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}

Sugerencia

Se recomienda que considere la posibilidad de habilitar el analizador para omitir archivos con los siguientes atributos:

  • FILE_ATTRIBUTE_SYSTEM
  • FILE_ATTRIBUTE_HIDDEN
  • FILE_ATTRIBUTE_DEVICE
  • FILE_ATTRIBUTE_OFFLINE
  • FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
  • FILE_ATTRIBUTE_RECALL_ON_OPEN
  • FILE_ATTRIBUTE_TEMPORARY

Para obtener una lista de todos los atributos de archivo que se pueden definir en la configuración avanzada ScannerFSAttributesToSkip, consulte las constantes de atributos de archivo Win32.

SharepointWebRequestTimeout

De forma predeterminada, el tiempo de espera para las interacciones de SharePoint es de dos minutos, después de lo cual se produce un error en la operación de cliente de protección de la información. Controle este tiempo de espera mediante la configuración avanzada de SharepointWebRequestTimeout y SharepointFileWebRequestTimeout , mediante una sintaxis hh:mm:ss para definir los tiempos de espera.

Especifique un valor para determinar el tiempo de espera de todas las solicitudes web de cliente de protección de la información a SharePoint. El valor predeterminado es minutos.

Por ejemplo, si la directiva se denomina Global, el siguiente comando de PowerShell de ejemplo actualiza el tiempo de espera de la solicitud web a 5 minutos.

Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}

SharepointFileWebRequestTimeout

De forma predeterminada, el tiempo de espera para las interacciones de SharePoint es de dos minutos, después de lo cual se produce un error en la operación de cliente de protección de la información. Controle este tiempo de espera mediante la configuración avanzada de SharepointWebRequestTimeout y SharepointFileWebRequestTimeout , mediante una sintaxis hh:mm:ss para definir los tiempos de espera.

Especifique el valor de tiempo de espera para los archivos de SharePoint a través de solicitudes web de cliente de Information Protection. El valor predeterminado es 15 minutos.

Por ejemplo, si la directiva se denomina Global, el siguiente comando de PowerShell de ejemplo actualiza el tiempo de espera de la solicitud web de archivo a 10 minutos.

Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}

UseCopyAndPreserveNTFSOwner

Nota:

Esta característica está actualmente en VERSIÓN PRELIMINAR. Los Términos complementarios de la versión preliminar de Azure incluyen términos legales adicionales que se aplican a las características de Azure que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.

De forma predeterminada, el cliente de protección de la información no conserva el propietario NTFS que se definió antes de aplicar una etiqueta de confidencialidad.

Para asegurarse de que se conserva el valor de propietario NTFS, establezca la configuración avanzada UseCopyAndPreserveNTFSOwner en true para la directiva de etiqueta seleccionada.

Precaución

Para el escáner: defina esta configuración avanzada solo cuando pueda garantizar una conexión de red confiable y de baja latencia entre el analizador y el repositorio examinado. Un error de red durante el proceso de etiquetado automático puede hacer que se pierda el archivo.

Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global"

Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}