Impostazioni avanzate per il client Microsoft Purview Information Protection
Questo articolo contiene le impostazioni avanzate di PowerShell sicurezza & conformità supportate dal client Microsoft Purview Information Protection quando si usano i cmdlet seguenti:
Le impostazioni avanzate supportate dalle etichette di riservatezza integrate nelle app e nei servizi di Microsoft 365 sono incluse nella pagina del cmdlet stessa. È anche possibile trovare utili suggerimenti di PowerShell per specificare le impostazioni avanzate.
Impostazioni avanzate per le etichette | Descrizione |
---|---|
Colore | Specificare un colore per l'etichetta |
DefaultSubLabelId | Specificare un'etichetta secondaria predefinita per un'etichetta padre |
Impostazioni avanzate per i criteri di etichetta | Descrizione |
---|---|
AdditionalPPrefixExtensions | Supporto per la modifica di <EXT>. Da PFILE a P<EXT> |
EnableAudit | Impedire l'invio di dati di controllo a Microsoft Purview |
EnableContainerSupport | Abilitare la rimozione della crittografia da file PST, rar, 7zip e MSG |
EnableCustomPermissions | Disattivare le autorizzazioni personalizzate in Esplora file |
EnableCustomPermissionsForCustomProtectedFiles | Per i file crittografati con autorizzazioni personalizzate, visualizzare sempre le autorizzazioni personalizzate per gli utenti in Esplora file |
EnableGlobalization | Attivare le funzionalità di globalizzazione della classificazione |
JustificationTextForUserText | Personalizzare i testi delle richieste di giustificazione per le etichette modificate |
LogMatchedContent | Inviare corrispondenze dei tipi di informazioni a Microsoft Purview |
OfficeContentExtractionTimeout | Configurare il timeout di etichettatura automatica per i file di Office |
PFileSupportedExtensions | Modificare i tipi di file da proteggere |
ReportAnIssueLink | Aggiungere "Segnala un problema" per gli utenti |
ScannerMaxCPU | Limitare il consumo di CPU |
ScannerMinCPU | Limitare il consumo di CPU |
ScannerConcurrencyLevel | Limitare il numero di thread usati dallo scanner |
ScannerFSAttributesToSkip | Ignorare o ignorare i file durante le analisi a seconda degli attributi dei file) |
SharepointWebRequestTimeout | Configurare i timeout di SharePoint |
SharepointFileWebRequestTimeout | Configurare i timeout di SharePoint |
UseCopyAndPreserveNTFSOwner | Mantenere i proprietari NTFS durante l'etichettatura |
AdditionalPPrefixExtensions
Questa proprietà avanzata per modificare <EXT>. Da PFILE a P<EXT> è supportato da Esplora file, PowerShell e dallo scanner. Tutte le app hanno un comportamento simile.
Chiave: AdditionalPPrefixExtensions
Valore: <valore> stringa
Usare la tabella seguente per identificare il valore stringa da specificare:
Valore stringa | Client e scanner |
---|---|
* | Tutte le estensioni PFile diventano P<EXT> |
<Valore null> | Il valore predefinito si comporta come il valore di crittografia predefinito. |
ConvertTo-Json(".dwg", ".zip") | Oltre all'elenco precedente, ".dwg" e ".zip" diventano P<EXT> |
Con questa impostazione, le estensioni seguenti diventano sempre P<EXT>: ".txt", ".xml", ".bmp", ".jt", ".jpg", ".jpeg", ".jpe", ".jif", ".jfif", ".jfi", ".png", ".tif", ".tiff", ".gif"). L'esclusione notevole è che "ptxt" non diventa "txt.pfile".
Questa impostazione richiede l'abilitazione dell'impostazione avanzata PFileSupportedExtension .
Esempio 1: il comando di PowerShell si comporta come il comportamento predefinito in cui Proteggi ".dwg" diventa ".dwg.pfile":
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}
Esempio 2: Comando di PowerShell per modificare tutte le estensioni PFile dalla crittografia generica alla crittografia nativa quando i file vengono etichettati e crittografati:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}
Esempio 3: Comando di PowerShell per modificare ".dwg" in ".pdwg" quando si usa questo servizio per proteggere questo file:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}
Colore
Usare questa impostazione avanzata per impostare un colore per un'etichetta. Per specificare il colore, immettere un codice tripletta esadecimale per i componenti rosso, verde e blu (RGB) del colore. Ad esempio, #40e0d0 è il valore esadecimale RGB per il turchese.
Se è necessario un riferimento per questi codici, nella pagina dei colori> della< documentazione Web MSDN è disponibile una tabella utile. Questi codici sono disponibili anche in molte applicazioni che consentono di modificare le immagini. Ad esempio, in Microsoft Paint si può scegliere un colore personalizzato da una tavolozza; i valori RGB vengono visualizzati automaticamente ed è possibile copiarli.
Per configurare l'impostazione avanzata per il colore di un'etichetta, immettere le stringhe seguenti per l'etichetta selezionata:
Chiave: colore
Valore: <valore> esadecimale RGB
Comando di PowerShell di esempio, in cui l'etichetta è denominata "Public":
Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}
DefaultSubLabelId
Quando si aggiunge un'etichetta secondaria a un'etichetta, gli utenti non possono più applicare l'etichetta padre a un documento o a un messaggio di posta elettronica. Per impostazione predefinita, gli utenti selezionano l'etichetta padre per visualizzare le etichette secondarie che possono applicare e quindi selezionano una di queste etichette secondarie. Se si configura questa impostazione avanzata, quando gli utenti selezionano l'etichetta padre, viene automaticamente selezionata e applicata una sottoetichetta:
Chiave: DefaultSubLabelId
Valore: <GUID> etichetta secondaria
Comando di PowerShell di esempio, in cui l'etichetta padre è denominata "Riservato" e l'etichetta secondaria "Tutti i dipendenti" ha un GUID di 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
EnableAudit
Per impostazione predefinita, il client di protezione delle informazioni invia i dati di controllo a Microsoft Purview, dove è possibile visualizzare questi dati in Esplora attività.
Per modificare questo comportamento, usare l'impostazione avanzata seguente:
Chiave: EnableAudit
Valore: False
Ad esempio, se il criterio di etichetta è denominato "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}
Nei computer locali che eseguono il client information protection eliminare quindi la cartella seguente: %localappdata%\Microsoft\MSIP\mip
Per consentire al client di inviare nuovamente i dati del log di controllo, modificare il valore dell'impostazione avanzata su True. Non è necessario creare manualmente la cartella %localappdata%\Microsoft\MSIP\mip nei computer client.
EnableContainerSupport
Questa impostazione consente al client di protezione delle informazioni di rimuovere la crittografia dai file PST, rar e 7zip.
Chiave: EnableContainerSupport
Valore: True
Ad esempio, se il criterio di etichetta è denominato "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}
EnableCustomPermissions
Per impostazione predefinita, gli utenti visualizzano un'opzione denominata Proteggi con autorizzazioni personalizzate quando fanno clic con il pulsante destro del mouse in Esplora file con l'etichetta file. Questa opzione consente di impostare impostazioni di crittografia personalizzate in grado di eseguire l'override di tutte le impostazioni di crittografia che potrebbero essere state incluse in una configurazione dell'etichetta. Gli utenti possono anche visualizzare un'opzione per rimuovere la crittografia. Quando si configura questa impostazione, gli utenti non visualizzano queste opzioni.
Usare l'impostazione seguente in modo che gli utenti non vedano queste opzioni:
Chiave: EnableCustomPermissions
Valore: False
Comando di PowerShell di esempio, in cui il criterio di etichetta è denominato "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
EnableCustomPermissionsForCustomProtectedFiles
Quando si configura l'impostazione avanzata del client EnableCustomPermissions per disattivare le autorizzazioni personalizzate in Esplora file, per impostazione predefinita, gli utenti non sono in grado di visualizzare o modificare le autorizzazioni personalizzate già impostate in un documento crittografato.
Esiste tuttavia un'altra impostazione client avanzata che è possibile specificare in modo che in questo scenario gli utenti possano visualizzare e modificare le autorizzazioni personalizzate per un documento crittografato quando usano Esplora file e fanno clic con il pulsante destro del mouse sul file.
Chiave: EnableCustomPermissionsForCustomProtectedFiles
Valore: True
Comando di PowerShell di esempio, in cui il criterio di etichetta è denominato "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}
EnableGlobalization
Funzionalità di globalizzazione della classificazione che includono una maggiore precisione per le lingue dell'Asia orientale e supporto per i caratteri a doppio byte. Questi miglioramenti vengono forniti solo per i processi a 64 bit e sono disattivati per impostazione predefinita.
Attivare queste funzionalità per i criteri specificare le stringhe seguenti:
Chiave: EnableGlobalization
Valore:
True
Comando di PowerShell di esempio, in cui il criterio di etichetta è denominato "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}
Per disattivare nuovamente il supporto e ripristinare l'impostazione predefinita, impostare l'impostazione avanzata EnableGlobalization su una stringa vuota.
JustificationTextForUserText
Personalizzare le richieste di giustificazione visualizzate quando gli utenti finali modificano le etichette di riservatezza nei file.
Ad esempio, come amministratore, potrebbe essere necessario ricordare agli utenti di non aggiungere informazioni di identificazione del cliente in questo campo.
Per modificare l'opzione predefinita Altro che gli utenti possono selezionare nella finestra di dialogo, utilizzare l'impostazione avanzata JustificationTextForUserText . Impostare il valore sul testo da usare.
Comando di PowerShell di esempio, in cui il criterio di etichetta è denominato "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
LogMatchedContent
Per impostazione predefinita, il client di protezione delle informazioni non invia corrispondenze di contenuto per i tipi di informazioni sensibili a Microsoft Purview, che può quindi essere visualizzato in Esplora attività. Lo scanner invia sempre queste informazioni. Per altre informazioni su queste informazioni aggiuntive che è possibile inviare, vedere Corrispondenze di contenuto per un'analisi più approfondita.
Per inviare corrispondenze di contenuto quando vengono inviati tipi di informazioni riservate, usare l'impostazione avanzata seguente in un criterio di etichetta:
Chiave: LogMatchedContent
Valore: True
Comando di PowerShell di esempio, in cui il criterio di etichetta è denominato "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}
OfficeContentExtractionTimeout
Per impostazione predefinita, il timeout di etichettatura automatica dello scanner nei file di Office è di 3 secondi.
Se si dispone di un file di Excel complesso con più fogli o righe, 3 secondi potrebbero non essere sufficienti per applicare automaticamente le etichette. Per aumentare questo timeout per i criteri di etichetta selezionati, specificare le stringhe seguenti:
Chiave: OfficeContentExtractionTimeout
Valore: Secondi, nel formato seguente:
hh:mm:ss
.
Importante
È consigliabile non generare questo timeout a un valore superiore a 15 secondi.
Comando di PowerShell di esempio, in cui il criterio di etichetta è denominato "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}
Il timeout aggiornato si applica all'etichettatura automatica in tutti i file di Office.
PFileSupportedExtensions
Con questa impostazione è possibile modificare i tipi di file crittografati, ma non è possibile modificare il livello di crittografia predefinito da nativo a generico. Ad esempio, per gli utenti che eseguono l'etichetta file, è possibile modificare l'impostazione predefinita in modo che vengano crittografati solo i file di Office e i file PDF anziché tutti i tipi di file. Ma non è possibile modificare questi tipi di file in modo che siano crittografati in modo generico con un'estensione di file con estensione pfile.
Chiave: PFileSupportedExtensions
Valore: <valore> stringa
Usare la tabella seguente per identificare il valore stringa da specificare:
Valore stringa | Client | Scanner |
---|---|---|
* | Valore predefinito: applicare la crittografia a tutti i tipi di file | Applicare la crittografia a tutti i tipi di file |
ConvertTo-Json(".jpg", ".png") | Oltre ai tipi di file di Office e ai file PDF, applicare la crittografia alle estensioni di file specificate | Oltre ai tipi di file di Office e ai file PDF, applicare la crittografia alle estensioni di file specificate |
Esempio 1: comando di PowerShell per lo scanner per crittografare tutti i tipi di file, in cui i criteri di etichetta sono denominati "Scanner":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
Esempio 2: comando di PowerShell per lo scanner per crittografare file .txt e file .csv oltre ai file di Office e PDF, in cui i criteri di etichetta sono denominati "Scanner":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}
ReportAnIssueLink
Quando si specifica l'impostazione client avanzata seguente, gli utenti visualizzano un'opzione Segnala un problema che è possibile selezionare nella finestra di dialogo Client guida e feedback nell'etichetta file. Specificare una stringa HTTP per il collegamento. Ad esempio, una pagina Web personalizzata di cui gli utenti possono segnalare i problemi o un indirizzo di posta elettronica che viene inviato all'help desk.
Per configurare questa impostazione avanzata, immettere le stringhe seguenti per i criteri di etichetta selezionati:
Chiave: ReportAnIssueLink
Valore: <stringa> HTTP
Valore di esempio per un sito Web: https://support.contoso.com
Valore di esempio per un indirizzo di posta elettronica: mailto:helpdesk@contoso.com
Comando di PowerShell di esempio, in cui il criterio di etichetta è denominato "Global":
Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}
ScannerMaxCPU
Importante
È consigliabile limitare il consumo di CPU usando le impostazioni avanzate ScannerMaxCPU e ScannerMinCPU anziché ScannerConcurrencyLevel supportate per la compatibilità con le versioni precedenti.
Se viene specificata l'impostazione avanzata precedente, le impostazioni avanzate ScannerMaxCPU e ScannerMinCPU vengono ignorate.
Usare questa impostazione avanzata in combinazione con ScannerMinCPU per limitare il consumo di CPU nel computer scanner.
Chiave: ScannerMaxCPU
Valore: <numero>**
Il valore è impostato su 100 per impostazione predefinita, il che significa che non esiste alcun limite di utilizzo massimo della CPU. In questo caso, il processo dello scanner tenterà di usare tutto il tempo disponibile della CPU per ottimizzare la frequenza di analisi.
Se si imposta ScannerMaxCPU su meno di 100, lo scanner monitorerà il consumo di CPU negli ultimi 30 minuti. Se la CPU media ha superato il limite impostato, inizierà a ridurre il numero di thread allocati per i nuovi file.
Il limite per il numero di thread continuerà finché il consumo di CPU è superiore al limite impostato per ScannerMaxCPU.
ScannerMinCPU
Importante
È consigliabile limitare il consumo di CPU usando le impostazioni avanzate ScannerMaxCPU e ScannerMinCPU anziché ScannerConcurrencyLevel supportate per la compatibilità con le versioni precedenti.
Se viene specificata l'impostazione avanzata precedente, le impostazioni avanzate ScannerMaxCPU e ScannerMinCPU vengono ignorate.
Usato solo se ScannerMaxCPU non è uguale a 100 e non può essere impostato su un numero superiore al valore ScannerMaxCPU .
È consigliabile mantenere ScannerMinCPU impostato almeno 15 punti in meno rispetto al valore di ScannerMaxCPU.
Il valore è impostato su 50 per impostazione predefinita, il che significa che se il consumo di CPU negli ultimi 30 minuti è inferiore a questo valore, lo scanner inizierà ad aggiungere nuovi thread per analizzare più file in parallelo, fino a quando il consumo di CPU non raggiunge il livello impostato per ScannerMaxCPU-15.
ScannerConcurrencyLevel
Importante
È consigliabile limitare il consumo di CPU usando le impostazioni avanzate ScannerMaxCPU e ScannerMinCPU anziché ScannerConcurrencyLevel supportate per la compatibilità con le versioni precedenti.
Quando si specifica questa impostazione avanzata precedente, le impostazioni avanzate ScannerMaxCPU e ScannerMinCPU vengono ignorate.
Per impostazione predefinita, lo scanner usa tutte le risorse del processore disponibili nel computer che esegue il servizio scanner. Se è necessario limitare il consumo di CPU durante l'analisi di questo servizio, specificare il numero di thread simultanei che lo scanner può eseguire in parallelo. Lo scanner usa un thread separato per ogni file analizzato, quindi questa configurazione di limitazione definisce anche il numero di file che possono essere analizzati in parallelo.
Quando si configura per la prima volta il valore per il test, è consigliabile specificare 2 per core e quindi monitorare i risultati. Ad esempio, se si esegue lo scanner in un computer con 4 core, impostare prima il valore su 8. Se necessario, aumentare o ridurre tale numero, in base alle prestazioni risultanti necessarie per il computer scanner e le velocità di scansione.
Chiave: ScannerConcurrencyLevel
Valore: <numero di thread simultanei>
Comando di PowerShell di esempio, in cui i criteri di etichetta sono denominati "Scanner":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}
ScannerFSAttributesToSkip
Per impostazione predefinita, lo scanner di protezione delle informazioni analizza tutti i file pertinenti. Tuttavia, è possibile definire file specifici da ignorare, ad esempio per i file archiviati o i file che sono stati spostati.
Abilitare lo scanner per ignorare file specifici in base ai relativi attributi di file usando l'impostazione avanzata ScannerFSAttributesToSkip . Nel valore di impostazione elencare gli attributi del file che consentiranno di ignorare il file quando sono tutti impostati su true. Questo elenco di attributi di file usa la logica AND.
Comandi di PowerShell di esempio, in cui il criterio di etichetta è denominato "Global".
Ignorare i file di sola lettura e archiviati
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}
Ignorare i file di sola lettura o archiviati
Per usare una logica OR, eseguire la stessa proprietà più volte. Ad esempio:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}
Consiglio
È consigliabile abilitare lo scanner per ignorare i file con gli attributi seguenti:
- FILE_ATTRIBUTE_SYSTEM
- FILE_ATTRIBUTE_HIDDEN
- FILE_ATTRIBUTE_DEVICE
- FILE_ATTRIBUTE_OFFLINE
- FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
- FILE_ATTRIBUTE_RECALL_ON_OPEN
- FILE_ATTRIBUTE_TEMPORARY
Per un elenco di tutti gli attributi di file che possono essere definiti nell'impostazione avanzata ScannerFSAttributesToSkip , vedere Costanti dell'attributo file Win32
SharepointWebRequestTimeout
Per impostazione predefinita, il timeout per le interazioni di SharePoint è di due minuti, dopo i quali l'operazione del client di protezione delle informazioni tentata non riesce. Controllare questo timeout usando le impostazioni avanzate SharepointWebRequestTimeout e SharepointFileWebRequestTimeout , usando una sintassi hh:mm:ss per definire i timeout.
Specificare un valore per determinare il timeout per tutte le richieste Web client di protezione delle informazioni a SharePoint. Il valore predefinito è minuti.
Ad esempio, se il criterio è denominato Globale, il comando di PowerShell di esempio seguente aggiorna il timeout della richiesta Web a 5 minuti.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}
SharepointFileWebRequestTimeout
Per impostazione predefinita, il timeout per le interazioni di SharePoint è di due minuti, dopo i quali l'operazione del client di protezione delle informazioni tentata non riesce. Controllare questo timeout usando le impostazioni avanzate SharepointWebRequestTimeout e SharepointFileWebRequestTimeout , usando una sintassi hh:mm:ss per definire i timeout.
Specificare il valore di timeout per i file di SharePoint tramite richieste Web client di protezione delle informazioni. L'impostazione predefinita è 15 minuti.
Ad esempio, se il criterio è denominato Globale, il comando di PowerShell di esempio seguente aggiorna il timeout della richiesta Web file a 10 minuti.
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
UseCopyAndPreserveNTFSOwner
Nota
Questa funzionalità è attualmente disponibile in ANTEPRIMA. Le condizioni supplementari per l'anteprima di Azure includono termini legali aggiuntivi che si applicano alle funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora rilasciate in disponibilità generale.
Per impostazione predefinita, il client di protezione delle informazioni non mantiene il proprietario NTFS definito prima di applicare un'etichetta di riservatezza.
Per assicurarsi che il valore del proprietario NTFS venga mantenuto, impostare l'impostazione avanzata UseCopyAndPreserveNTFSOwnersu true per i criteri di etichetta selezionati.
Attenzione
Per lo scanner: definire questa impostazione avanzata solo quando è possibile garantire una connessione di rete affidabile e a bassa latenza tra lo scanner e il repository analizzato. Un errore di rete durante il processo di etichettatura automatica può causare la perdita del file.
Comando di PowerShell di esempio, in cui i criteri di etichetta sono denominati "Global"
Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}