Configuración avanzada para el cliente de Microsoft Purview Information Protection
Este artículo contiene la configuración avanzada de PowerShell de cumplimiento de seguridad & que es compatible con el cliente de Microsoft Purview Information Protection cuando se usan los siguientes cmdlets:
La configuración avanzada compatible con las etiquetas de confidencialidad integradas en aplicaciones y servicios de Microsoft 365 se incluye en la propia página del cmdlet. También puede encontrar sugerencias útiles de PowerShell para especificar la configuración avanzada.
| Configuración avanzada para etiquetas | Descripción |
|---|---|
| Color | Especificar un color para la etiqueta |
| DefaultSubLabelId | Especificar una subetiqueta predeterminada para una etiqueta primaria |
| Configuración avanzada para directivas de etiqueta | Descripción |
|---|---|
| AdditionalPPrefixExtensions | Compatibilidad con el cambio de <EXT>. PFILE a P<EXT> |
| EnableAudit | Impedir que los datos de auditoría se envíen a Microsoft Purview |
| EnableContainerSupport | Habilitar la eliminación del cifrado de archivos PST, rar, 7zip y MSG |
| EnableCustomPermissions | Desactivar permisos personalizados en el Explorador de archivos |
| EnableCustomPermissionsForCustomProtectedFiles | Para los archivos cifrados con permisos personalizados, siempre muestre permisos personalizados a los usuarios en el Explorador de archivos. |
| EnableGlobalization | Activar las características de globalización de clasificación |
| JustificationTextForUserText | Personalización de textos de solicitud de justificación para etiquetas modificadas |
| LogMatchedContent | Envío de coincidencias de tipo de información a Microsoft Purview |
| OfficeContentExtractionTimeout | Configuración del tiempo de espera de etiquetado automático para los archivos de Office |
| PFileSupportedExtensions | Cambiar los tipos de archivo que se van a proteger |
| ReportAnIssueLink | Agregar "Notificar un problema" para los usuarios |
| ScannerMaxCPU | Limitar el consumo de CPU |
| ScannerMinCPU | Limitar el consumo de CPU |
| ScannerConcurrencyLevel | Limitar el número de subprocesos utilizados por el analizador |
| ScannerFSAttributesToSkip | Omitir o omitir archivos durante los exámenes en función de los atributos de archivo) |
| SharepointWebRequestTimeout | Configuración de tiempos de espera de SharePoint |
| SharepointFileWebRequestTimeout | Configuración de tiempos de espera de SharePoint |
| UseCopyAndPreserveNTFSOwner | Conservar los propietarios NTFS durante el etiquetado |
AdditionalPPrefixExtensions
Esta propiedad avanzada para cambiar <EXT>. PFILE a P<EXT> es compatible con el Explorador de archivos, PowerShell y el analizador. Todas las aplicaciones tienen un comportamiento similar.
Clave: AdditionalPPrefixExtensions
Valor: <valor> de cadena
Use la tabla siguiente para identificar el valor de cadena que se va a especificar:
| Valor de cadena | Cliente y escáner |
|---|---|
| * | Todas las extensiones PFile se convierten en P<EXT> |
| <valor null> | El valor predeterminado se comporta como el valor de cifrado predeterminado. |
| ConvertTo-Json(".dwg", ".zip") | Además de la lista anterior, ".dwg" y ".zip" se convierten en P<EXT.> |
Con esta configuración, las siguientes extensiones siempre se convierten en P<EXT>: ".txt", ".xml", ".bmp", ".jt", ".jpg", ".jpeg", ".jpe", ".jif", ".jfif", ".jfi", ".png", ".tif", ".tiff", ".gif"). La exclusión notable es que "ptxt" no se convierte en "txt.pfile".
Esta configuración requiere que se habilite la configuración avanzada PFileSupportedExtension .
Ejemplo 1: Comando de PowerShell para comportarse como el comportamiento predeterminado donde Proteger ".dwg" se convierte en ".dwg.pfile":
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}
Ejemplo 2: Comando de PowerShell para cambiar todas las extensiones PFile del cifrado genérico al cifrado nativo cuando los archivos se etiquetan y cifran:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}
Ejemplo 3: Comando de PowerShell para cambiar ".dwg" a ".pdwg" al usar este servicio proteja este archivo:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}
Color
Use esta configuración avanzada para establecer un color para una etiqueta. Para especificar el color, escriba un código hexadecimal triple para los componentes rojo, verde y azul (RGB) del color. Por ejemplo, #40e0d0 es el valor hexadecimal RGB para el turquesa.
Si necesita una referencia para estos códigos, encontrará una tabla útil de la <página de color> de los documentos web de MSDN. También encontrará estos códigos en muchas aplicaciones que le permiten editar imágenes. Por ejemplo, Microsoft Paint le permite elegir un color personalizado de una paleta y los valores de RGB se muestran de forma automática, los que puede copiar luego.
Para configurar la configuración avanzada para el color de una etiqueta, escriba las siguientes cadenas para la etiqueta seleccionada:
Clave: color
Valor: <valor> hexadecimal RGB
Comando de PowerShell de ejemplo, donde la etiqueta se denomina "Public":
Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}
DefaultSubLabelId
Al agregar una subetiqueta a una etiqueta, los usuarios ya no pueden aplicar la etiqueta primaria a un documento o correo electrónico. De forma predeterminada, los usuarios seleccionan la etiqueta primaria para ver las subetiquetas que pueden aplicar y, a continuación, seleccionan una de esas subetiquetas. Si configura esta configuración avanzada, cuando los usuarios seleccionan la etiqueta principal, se selecciona automáticamente una subetiqueta y se aplica a ellas:
Clave: DefaultSubLabelId
Valor: <GUID> de subetiqueta
Comando de PowerShell de ejemplo, donde la etiqueta principal se denomina "Confidencial" y la subetiqueta "Todos los empleados" tiene un GUID de 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
EnableAudit
De forma predeterminada, el cliente de protección de la información envía datos de auditoría a Microsoft Purview, donde puede ver estos datos en el explorador de actividad.
Para cambiar este comportamiento, use la siguiente configuración avanzada:
Clave: EnableAudit
Valor: False
Por ejemplo, si la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}
A continuación, en los equipos locales que ejecutan el cliente de protección de la información, elimine la carpeta siguiente: %localappdata%\Microsoft\MSIP\mip
Para permitir que el cliente vuelva a enviar datos de registro de auditoría, cambie el valor de configuración avanzada a True. No es necesario volver a crear manualmente la carpeta %localappdata%\Microsoft\MSIP\mip en los equipos cliente.
EnableContainerSupport
Esta configuración permite al cliente de protección de la información quitar el cifrado de archivos PST, rar y 7zip.
Clave: EnableContainerSupport
Valor: True
Por ejemplo, si la directiva de etiqueta se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}
EnableCustomPermissions
De forma predeterminada, los usuarios ven una opción denominada Proteger con permisos personalizados cuando hacen clic con el botón derecho en el Explorador de archivos con el etiquetador de archivos. Esta opción les permite establecer sus propias opciones de cifrado que pueden invalidar cualquier configuración de cifrado que pueda haber incluido con una configuración de etiqueta. Los usuarios también pueden ver una opción para quitar el cifrado. Al configurar esta configuración, los usuarios no ven estas opciones.
Use la siguiente configuración para que los usuarios no vean estas opciones:
Clave: EnableCustomPermissions
Valor: False
Comando de PowerShell de ejemplo, donde la directiva de etiquetas se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
EnableCustomPermissionsForCustomProtectedFiles
Al configurar la configuración de cliente avanzada EnableCustomPermissions para desactivar los permisos personalizados en el Explorador de archivos, de forma predeterminada, los usuarios no pueden ver ni cambiar los permisos personalizados que ya están establecidos en un documento cifrado.
Sin embargo, hay otra configuración de cliente avanzada que puede especificar para que, en este escenario, los usuarios puedan ver y cambiar los permisos personalizados de un documento cifrado cuando usen el Explorador de archivos y haga clic con el botón derecho en el archivo.
Clave: EnableCustomPermissionsForCustomProtectedFiles
Valor: True
Comando de PowerShell de ejemplo, donde la directiva de etiquetas se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}
EnableGlobalization
Características de globalización de clasificación, incluida una mayor precisión para los idiomas del Este asiático y compatibilidad con caracteres de doble byte. Estas mejoras solo se proporcionan para procesos de 64 bits y se desactivan de forma predeterminada.
Active estas características para la directiva y especifique las siguientes cadenas:
Clave: EnableGlobalization
Valor:
True
Comando de PowerShell de ejemplo, donde la directiva de etiquetas se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}
Para volver a desactivar la compatibilidad y volver al valor predeterminado, establezca la opción EnableGlobalization advanced en una cadena vacía.
JustificationTextForUserText
Personalice las solicitudes de justificación que se muestran cuando los usuarios finales cambian las etiquetas de confidencialidad en los archivos.
Por ejemplo, como administrador, es posible que quiera recordar a los usuarios que no agreguen información de identificación de clientes a este campo.
Para modificar la opción predeterminada Other que los usuarios pueden seleccionar en el cuadro de diálogo, use la configuración avanzada JustificationTextForUserText . Establezca el valor en el texto que desea usar en su lugar.
Comando de PowerShell de ejemplo, donde la directiva de etiquetas se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
LogMatchedContent
De forma predeterminada, el cliente de protección de la información no envía coincidencias de contenido para tipos de información confidencial a Microsoft Purview, que se puede mostrar en el explorador de actividad. El escáner siempre envía esta información. Para obtener más información sobre esta información adicional que se puede enviar, consulte Coincidencias de contenido para un análisis más profundo.
Para enviar coincidencias de contenido cuando se envían tipos de información confidencial, use la siguiente configuración avanzada en una directiva de etiqueta:
Clave: LogMatchedContent
Valor: True
Comando de PowerShell de ejemplo, donde la directiva de etiquetas se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}
OfficeContentExtractionTimeout
De forma predeterminada, el tiempo de espera de etiquetado automático del analizador en los archivos de Office es de 3 segundos.
Si tiene un archivo de Excel complejo con muchas hojas o filas, es posible que 3 segundos no sean suficientes para aplicar etiquetas automáticamente. Para aumentar este tiempo de espera para la directiva de etiqueta seleccionada, especifique las siguientes cadenas:
Clave: OfficeContentExtractionTimeout
Valor: Segundos, en el formato siguiente:
hh:mm:ss.
Importante
Se recomienda no aumentar este tiempo de espera a más de 15 segundos.
Comando de PowerShell de ejemplo, donde la directiva de etiquetas se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}
El tiempo de espera actualizado se aplica al etiquetado automático en todos los archivos de Office.
PFileSupportedExtensions
Con esta configuración, puede cambiar qué tipos de archivo están cifrados, pero no puede cambiar el nivel de cifrado predeterminado de nativo a genérico. Por ejemplo, para los usuarios que ejecutan el etiquetador de archivos, puede cambiar la configuración predeterminada para que solo los archivos de Office y los archivos PDF se cifren en lugar de todos los tipos de archivo. Pero no puede cambiar estos tipos de archivo para que se cifren genéricamente con una extensión de nombre de archivo .pfile.
Clave: PFileSupportedExtensions
Valor: <valor> de cadena
Use la tabla siguiente para identificar el valor de cadena que se va a especificar:
| Valor de cadena | Cliente | Escáner |
|---|---|---|
| * | Valor predeterminado: aplicar el cifrado a todos los tipos de archivo | Aplicación del cifrado a todos los tipos de archivo |
| ConvertTo-Json(".jpg", ".png") | Además de los tipos de archivo y archivos PDF de Office, aplique el cifrado a las extensiones de nombre de archivo especificadas. | Además de los tipos de archivo y archivos PDF de Office, aplique el cifrado a las extensiones de nombre de archivo especificadas. |
Ejemplo 1: Comando de PowerShell para que el analizador cifre todos los tipos de archivo, donde la directiva de etiquetas se denomina "Scanner":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
Ejemplo 2: Comando de PowerShell para que el analizador cifre .txt archivos y archivos .csv además de archivos de Office y archivos PDF, donde la directiva de etiquetas se denomina "Scanner":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}
ReportAnIssueLink
Al especificar la siguiente configuración de cliente avanzada, los usuarios ven una opción Notificar un problema que pueden seleccionar en el cuadro de diálogo Cliente de ayuda y comentarios del etiquetador de archivos. Especifique una cadena HTTP para el vínculo. Por ejemplo, una página web personalizada que tiene para que los usuarios notifiquen problemas o una dirección de correo electrónico que vaya al departamento de soporte técnico.
Para configurar esta configuración avanzada, escriba las siguientes cadenas para la directiva de etiquetas seleccionada:
Clave: ReportAnIssueLink
Valor: <cadena> HTTP
Valor de ejemplo para un sitio web: https://support.contoso.com
Valor de ejemplo para una dirección de correo electrónico: mailto:helpdesk@contoso.com
Comando de PowerShell de ejemplo, donde la directiva de etiquetas se denomina "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}
ScannerMaxCPU
Importante
Se recomienda limitar el consumo de CPU mediante la configuración avanzada ScannerMaxCPU y ScannerMinCPU en lugar de ScannerConcurrencyLevel compatible con versiones anteriores.
Si se especifica la configuración avanzada anterior, se omiten las opciones avanzadas ScannerMaxCPU y ScannerMinCPU .
Use esta configuración avanzada junto con ScannerMinCPU para limitar el consumo de CPU en el equipo del escáner.
Clave: ScannerMaxCPU
Valor: <número>**
El valor se establece en 100 de forma predeterminada, lo que significa que no hay ningún límite de consumo máximo de CPU. En este caso, el proceso del escáner intentará usar todo el tiempo de CPU disponible para maximizar las tasas de examen.
Si establece ScannerMaxCPU en menos de 100, el escáner supervisará el consumo de CPU durante los últimos 30 minutos. Si la CPU media superó el límite establecido, comenzará a reducir el número de subprocesos asignados para los nuevos archivos.
El límite en el número de subprocesos continuará mientras el consumo de CPU sea mayor que el límite establecido para ScannerMaxCPU.
ScannerMinCPU
Importante
Se recomienda limitar el consumo de CPU mediante la configuración avanzada ScannerMaxCPU y ScannerMinCPU en lugar de ScannerConcurrencyLevel compatible con versiones anteriores.
Si se especifica la configuración avanzada anterior, se omiten las opciones avanzadas ScannerMaxCPU y ScannerMinCPU .
Solo se usa si ScannerMaxCPU no es igual a 100 y no se puede establecer en un número mayor que el valor ScannerMaxCPU .
Se recomienda mantener ScannerMinCPU establecido al menos 15 puntos por debajo del valor de ScannerMaxCPU.
El valor se establece en 50 de forma predeterminada, lo que significa que si el consumo de CPU en los últimos 30 minutos es inferior a este valor, el analizador comenzará a agregar nuevos subprocesos para examinar más archivos en paralelo, hasta que el consumo de CPU alcance el nivel que ha establecido para ScannerMaxCPU-15.
ScannerConcurrencyLevel
Importante
Se recomienda limitar el consumo de CPU mediante la configuración avanzada ScannerMaxCPU y ScannerMinCPU en lugar de ScannerConcurrencyLevel compatible con versiones anteriores.
Cuando se especifica esta configuración avanzada anterior, se omiten las opciones avanzadas ScannerMaxCPU y ScannerMinCPU .
De forma predeterminada, el analizador usa todos los recursos de procesador disponibles en el equipo que ejecuta el servicio de escáner. Si necesita limitar el consumo de CPU durante el examen de este servicio, especifique el número de subprocesos simultáneos que el analizador puede ejecutar en paralelo. El analizador usa un subproceso independiente para cada archivo que examina, por lo que esta configuración de limitación también define el número de archivos que se pueden examinar en paralelo.
Cuando configure por primera vez el valor para las pruebas, se recomienda especificar 2 por núcleo y, a continuación, supervisar los resultados. Por ejemplo, si ejecuta el analizador en un equipo que tiene 4 núcleos, establezca primero el valor en 8. Si es necesario, aumente o disminuya ese número, según el rendimiento resultante que necesite para el equipo del escáner y las tasas de escaneo.
Clave: ScannerConcurrencyLevel
Valor: <número de subprocesos simultáneos>
Comando de PowerShell de ejemplo, donde la directiva de etiquetas se denomina "Scanner":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}
ScannerFSAttributesToSkip
De forma predeterminada, el analizador de protección de la información examina todos los archivos pertinentes. Sin embargo, es posible que desee definir archivos específicos que se omitirán, como para archivos archivados o archivos que se han movido.
Habilite el analizador para omitir archivos específicos en función de sus atributos de archivo mediante la configuración avanzada ScannerFSAttributesToSkip . En el valor de configuración, enumere los atributos de archivo que permitirán omitir el archivo cuando todos estén establecidos en true. Esta lista de atributos de archivo usa la lógica AND.
Comandos de PowerShell de ejemplo, donde la directiva de etiquetas se denomina "Global".
Omitir archivos de solo lectura y archivados
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}
Omitir archivos de solo lectura o archivados
Para usar una lógica OR, ejecute la misma propiedad varias veces. Por ejemplo:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}
Sugerencia
Se recomienda que considere la posibilidad de habilitar el analizador para omitir archivos con los siguientes atributos:
- FILE_ATTRIBUTE_SYSTEM
- FILE_ATTRIBUTE_HIDDEN
- FILE_ATTRIBUTE_DEVICE
- FILE_ATTRIBUTE_OFFLINE
- FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
- FILE_ATTRIBUTE_RECALL_ON_OPEN
- FILE_ATTRIBUTE_TEMPORARY
Para obtener una lista de todos los atributos de archivo que se pueden definir en la configuración avanzada ScannerFSAttributesToSkip, consulte las constantes de atributos de archivo Win32.
SharepointWebRequestTimeout
De forma predeterminada, el tiempo de espera para las interacciones de SharePoint es de dos minutos, después de lo cual se produce un error en la operación de cliente de protección de la información. Controle este tiempo de espera mediante la configuración avanzada de SharepointWebRequestTimeout y SharepointFileWebRequestTimeout , mediante una sintaxis hh:mm:ss para definir los tiempos de espera.
Especifique un valor para determinar el tiempo de espera de todas las solicitudes web de cliente de protección de la información a SharePoint. El valor predeterminado es minutos.
Por ejemplo, si la directiva se denomina Global, el siguiente comando de PowerShell de ejemplo actualiza el tiempo de espera de la solicitud web a 5 minutos.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}
SharepointFileWebRequestTimeout
De forma predeterminada, el tiempo de espera para las interacciones de SharePoint es de dos minutos, después de lo cual se produce un error en la operación de cliente de protección de la información. Controle este tiempo de espera mediante la configuración avanzada de SharepointWebRequestTimeout y SharepointFileWebRequestTimeout , mediante una sintaxis hh:mm:ss para definir los tiempos de espera.
Especifique el valor de tiempo de espera para los archivos de SharePoint a través de solicitudes web de cliente de Information Protection. El valor predeterminado es 15 minutos.
Por ejemplo, si la directiva se denomina Global, el siguiente comando de PowerShell de ejemplo actualiza el tiempo de espera de la solicitud web de archivo a 10 minutos.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
UseCopyAndPreserveNTFSOwner
Nota:
Esta característica está actualmente en VERSIÓN PRELIMINAR. Los Términos complementarios de la versión preliminar de Azure incluyen términos legales adicionales que se aplican a las características de Azure que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.
De forma predeterminada, el cliente de protección de la información no conserva el propietario NTFS que se definió antes de aplicar una etiqueta de confidencialidad.
Para asegurarse de que se conserva el valor de propietario NTFS, establezca la configuración avanzada UseCopyAndPreserveNTFSOwner en true para la directiva de etiqueta seleccionada.
Precaución
Para el escáner: defina esta configuración avanzada solo cuando pueda garantizar una conexión de red confiable y de baja latencia entre el analizador y el repositorio examinado. Un error de red durante el proceso de etiquetado automático puede hacer que se pierda el archivo.
Comando de PowerShell de ejemplo, donde la directiva de etiqueta se denomina "Global"
Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}