Definições avançadas para o cliente do Microsoft Purview Information Protection

Este artigo contém as definições avançadas do PowerShell de Conformidade do & de Segurança que são suportadas pelo cliente do Microsoft Purview Information Protection quando utiliza os seguintes cmdlets:

As definições avançadas que são suportadas por etiquetas de confidencialidade incorporadas nas aplicações e serviços do Microsoft 365 estão incluídas na própria página do cmdlet. Também poderá encontrar sugestões úteis do PowerShell para especificar as definições avançadas.

Definições avançadas para etiquetas Descrição
Color Especificar uma cor para a etiqueta
DefaultSubLabelId Especificar uma sub-etiqueta predefinida para uma etiqueta principal
Definições avançadas para políticas de etiquetas Descrição
AdditionalPPrefixExtensions Suporte para alterar <EXT>. PFILE para P<EXT>
EnableAudit Impedir que os dados de auditoria sejam enviados para o Microsoft Purview
EnableContainerSupport Ativar a remoção da encriptação de ficheiros PST, rar, 7zip e MSG
EnableCustomPermissions Desativar permissões personalizadas no Explorador de Ficheiros
EnableCustomPermissionsForCustomProtectedFiles Para ficheiros encriptados com permissões personalizadas, apresente sempre permissões personalizadas aos utilizadores no Explorador de Ficheiros
EnableGlobalization Ativar as funcionalidades de globalização de classificação
JustificationTextForUserText Personalizar textos de pedido de justificação para etiquetas modificadas
LogMatchedContent Enviar correspondências de tipo de informação para o Microsoft Purview
OfficeContentExtractionTimeout Configurar o tempo limite de etiquetagem automática para ficheiros do Office
PFileSupportedExtensions Alterar os tipos de ficheiro a proteger
ReportAnIssueLink Adicionar "Comunicar um Problema" aos utilizadores
ScannerMaxCPU Limitar o consumo da CPU
ScannerMinCPU Limitar o consumo da CPU
ScannerConcurrencyLevel Limitar o número de threads utilizados pelo scanner
ScannerFSAttributesToSkip Ignorar ou ignorar ficheiros durante as análises consoante os atributos de ficheiro)
SharepointWebRequestTimeout Configurar tempos limite do SharePoint
SharepointFileWebRequestTimeout Configurar tempos limite do SharePoint
UseCopyAndPreserveNTFSOwner Preservar os proprietários do NTFS durante a etiquetagem

AdditionalPPrefixExtensions

Esta propriedade avançada para alterar <EXT>. O PFILE para P<EXT> é suportado pelo Explorador de Ficheiros, pelo PowerShell e pelo scanner. Todas as aplicações têm um comportamento semelhante.

  • Chave: AdditionalPPrefixExtensions

  • Valor: <valor> da cadeia

Utilize a tabela seguinte para identificar o valor da cadeia para especificar:

Valor da cadeia Cliente e scanner
* Todas as extensões PFile tornam-se P<EXT>
<Valor nulo> O valor predefinido comporta-se como o valor de encriptação predefinido.
ConvertTo-Json(".dwg", ".zip") Além da lista anterior, ".dwg" e ".zip" tornam-se P<EXT>

Com esta definição, as seguintes extensões tornam-se sempre P<EXT>: ".txt", ".xml", ".bmp", ".jt", ".jpg", ".jpeg", ".jpe", ".jif", ".jfif", ".jfi", ".png", ".tif", ".tiff", ".gif"). A exclusão notável é que "ptxt" não se torna "txt.pfile".

Esta definição requer que a definição avançada PFileSupportedExtension esteja ativada.

Exemplo 1: o comando do PowerShell para se comportar como o comportamento predefinido em que Proteger ".dwg" torna-se ".dwg.pfile":

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}

Exemplo 2: comando do PowerShell para alterar todas as extensões PFile da encriptação genérica para a encriptação nativa quando os ficheiros são etiquetados e encriptados:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}

Exemplo 3: comando do PowerShell para alterar ".dwg" para ".pdwg" ao utilizar este serviço para proteger este ficheiro:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}

Cor

Utilize esta definição avançada para definir uma cor para uma etiqueta. Para especificar a cor, introduza um código hexadecimal para os componentes vermelho, verde e azul (RGB) da cor. Por exemplo, #40e0d0 é o valor hexadecimal RGB para turquesa.

Se precisar de uma referência para estes códigos, encontrará uma tabela útil na <página de cores> dos documentos Web da MSDN. Também pode encontrar estes códigos em muitas aplicações que lhe permitem editar imagens. Por exemplo, o Microsoft Paint permite que você escolha uma cor personalizada de uma paleta e os valores RGB são exibidos automaticamente, os quais você pode então copiar.

Para configurar a definição avançada para a cor de uma etiqueta, introduza as seguintes cadeias para a etiqueta selecionada:

  • Chave: cor

  • Valor: <valor hexadecimal> RGB

Comando do PowerShell de exemplo, no qual a sua etiqueta se chama "Público":

Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}

DefaultSubLabelId

Quando adiciona uma sub-etiqueta a uma etiqueta, os utilizadores já não podem aplicar a etiqueta principal a um documento ou e-mail. Por predefinição, os utilizadores selecionam a etiqueta principal para ver as sub-etiquetas que podem aplicar e, em seguida, selecionam uma dessas sub-etiquetas. Se configurar esta definição avançada, quando os utilizadores selecionarem a etiqueta principal, é selecionada automaticamente uma sub-etiqueta e aplicada às mesmas:

  • Chave: DefaultSubLabelId

  • Valor: <GUID> de sub-etiqueta

Comando do PowerShell de exemplo, em que a etiqueta principal é denominada "Confidencial" e a sub-etiqueta "Todos os Funcionários" tem um GUID de 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}

EnableAudit

Por predefinição, o cliente de proteção de informações envia dados de auditoria para o Microsoft Purview, onde pode ver estes dados no explorador de atividades.

Para alterar este comportamento, utilize a seguinte definição avançada:

  • Chave: EnableAudit

  • Valor: Falso

Por exemplo, se a política de etiquetas tiver o nome "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}

Em seguida, em computadores locais que executam o cliente de proteção de informações, elimine a seguinte pasta: %localappdata%\Microsoft\MSIP\mip

Para permitir que o cliente envie dados de registo de auditoria novamente, altere o valor de definição avançada para Verdadeiro. Não é necessário criar manualmente a pasta %localappdata%\Microsoft\MSIP\mip nos computadores cliente.

EnableContainerSupport

Esta definição permite ao cliente de proteção de informações remover a encriptação de ficheiros PST, rar e 7zip.

  • Chave: EnableContainerSupport

  • Valor: Verdadeiro

Por exemplo, se a política de etiquetas tiver o nome "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}

EnableCustomPermissions

Por predefinição, os utilizadores veem uma opção denominada Proteger com permissões personalizadas quando clicam com o botão direito do rato no Explorador de Ficheiros com a etiqueta de ficheiros. Esta opção permite-lhes definir as suas próprias definições de encriptação que podem substituir quaisquer definições de encriptação que possa ter incluído com uma configuração de etiqueta. Os utilizadores também podem ver uma opção para remover a encriptação. Quando configura esta definição, os utilizadores não veem estas opções.

Utilize a seguinte definição para que os utilizadores não vejam estas opções:

  • Chave: EnableCustomPermissions

  • Valor: Falso

Comando do PowerShell de exemplo, em que a política de etiquetas tem o nome "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

EnableCustomPermissionsForCustomProtectedFiles

Quando configura a definição avançada do cliente EnableCustomPermissions para desativar as permissões personalizadas no Explorador de Ficheiros, por predefinição, os utilizadores não conseguem ver ou alterar permissões personalizadas que já estão definidas num documento encriptado.

No entanto, existe outra definição de cliente avançada que pode especificar para que, neste cenário, os utilizadores possam ver e alterar as permissões personalizadas de um documento encriptado quando utilizam o Explorador de Ficheiros e clicar com o botão direito do rato no ficheiro.

  • Chave: EnableCustomPermissionsForCustomProtectedFiles

  • Valor: Verdadeiro

Comando do PowerShell de exemplo, em que a política de etiquetas tem o nome "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}

EnableGlobalization

Funcionalidades de globalização de classificação, incluindo maior precisão para idiomas da Ásia Oriental e suporte para carateres de byte duplo. Estas melhorias são fornecidas apenas para processos de 64 bits e estão desativadas por predefinição.

Ative estas funcionalidades para a sua política especifique as seguintes cadeias:

  • Chave: AtivarGlobalização

  • Valor: True

Comando do PowerShell de exemplo, em que a política de etiquetas tem o nome "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}

Para desativar novamente o suporte e reverter para a predefinição, defina a definição avançada EnableGlobalization para uma cadeia vazia.

JustificationTextForUserText

Personalize os pedidos de justificação que são apresentados quando os utilizadores finais alteram as etiquetas de confidencialidade nos ficheiros.

Por exemplo, como administrador, poderá querer lembrar os seus utilizadores para não adicionarem informações de identificação de clientes a este campo.

Para modificar a predefinição Outra opção que os utilizadores podem selecionar na caixa de diálogo, utilize a definição avançada JustificationTextForUserText . Defina o valor como o texto que pretende utilizar.

Comando do PowerShell de exemplo, em que a política de etiquetas tem o nome "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}

LogMatchedContent

Por predefinição, o cliente de proteção de informações não envia correspondências de conteúdo para tipos de informações confidenciais para o Microsoft Purview, que depois podem ser apresentados no explorador de atividades. O scanner envia sempre estas informações. Para obter mais informações sobre estas informações adicionais que podem ser enviadas, veja Correspondências de conteúdo para uma análise mais aprofundada.

Para enviar correspondências de conteúdo quando são enviados tipos de informações confidenciais, utilize a seguinte definição avançada numa política de etiqueta:

  • Chave: LogMatchedContent

  • Valor: Verdadeiro

Comando do PowerShell de exemplo, em que a política de etiquetas tem o nome "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}

OfficeContentExtractionTimeout

Por predefinição, o tempo limite de etiquetagem automática do scanner em ficheiros do Office é de 3 segundos.

Se tiver um ficheiro complexo do Excel com muitas folhas ou linhas, 3 segundos poderão não ser suficientes para aplicar etiquetas automaticamente. Para aumentar este tempo limite para a política de etiquetas selecionada, especifique as seguintes cadeias:

  • Chave: OfficeContentExtractionTimeout

  • Valor: Segundos, no seguinte formato: hh:mm:ss.

Importante

Recomendamos que não aumente este tempo limite para mais de 15 segundos.

Comando do PowerShell de exemplo, em que a política de etiquetas tem o nome "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}

O tempo limite atualizado aplica-se à etiquetagem automática em todos os ficheiros do Office.

PFileSupportedExtensions

Com esta definição, pode alterar os tipos de ficheiro encriptados, mas não pode alterar o nível de encriptação predefinido de nativo para genérico. Por exemplo, para os utilizadores que executam o identificador de ficheiros, pode alterar a predefinição para que apenas os ficheiros do Office e ficheiros PDF sejam encriptados em vez de todos os tipos de ficheiro. No entanto, não pode alterar estes tipos de ficheiro para serem encriptados genericamente com uma extensão de nome de ficheiro .pfile.

  • Chave: PFileSupportedExtensions

  • Valor: <valor> da cadeia

Utilize a tabela seguinte para identificar o valor da cadeia para especificar:

Valor da cadeia Cliente Scanner
* Valor predefinido: Aplicar encriptação a todos os tipos de ficheiro Aplicar encriptação a todos os tipos de ficheiro
ConvertTo-Json(".jpg", ".png") Além dos tipos de ficheiros do Office e ficheiros PDF, aplique encriptação às extensões de nome de ficheiro especificadas Além dos tipos de ficheiros do Office e ficheiros PDF, aplique encriptação às extensões de nome de ficheiro especificadas

Exemplo 1: comando do PowerShell para o scanner encriptar todos os tipos de ficheiro, em que a política de etiquetas é denominada "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Exemplo 2: comando do PowerShell para o scanner encriptar ficheiros .txt e .csv ficheiros, além de ficheiros do Office e ficheiros PDF, em que a sua política de etiquetas tem o nome "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}

Quando especificar a seguinte definição avançada de cliente, os utilizadores veem uma opção Comunicar um Problema que podem selecionar na caixa de diálogo Cliente de Ajuda e Comentários na etiqueta de ficheiros. Especifique uma cadeia HTTP para a ligação. Por exemplo, uma página Web personalizada que tem para os utilizadores reportarem problemas ou um endereço de e-mail que vai para o suporte técnico.

Para configurar esta definição avançada, introduza as seguintes cadeias de carateres para a política de etiquetas selecionada:

  • Chave: ReportAnIssueLink

  • Valor: cadeia <HTTP>

Valor de exemplo para um site: https://support.contoso.com

Valor de exemplo para um endereço de e-mail: mailto:helpdesk@contoso.com

Comando do PowerShell de exemplo, em que a política de etiquetas tem o nome "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}

ScannerMaxCPU

Importante

Recomendamos que limite o consumo da CPU através das definições avançadas ScannerMaxCPU e ScannerMinCPU em vez de ScannerConcurrencyLevel que é suportado para retrocompatibilidade.

Se for especificada a definição avançada mais antiga, as definições avançadas scannerMaxCPU e ScannerMinCPU são ignoradas.

Utilize esta definição avançada em conjunto com ScannerMinCPU para limitar o consumo de CPU no computador scanner.

  • Chave: ScannerMaxCPU

  • Valor: <número>**

O valor está definido como 100 por predefinição, o que significa que não há limite de consumo máximo de CPU. Neste caso, o processo do analisador tentará utilizar todo o tempo de CPU disponível para maximizar as taxas de análise.

Se definir ScannerMaxCPU para menos de 100, o scanner monitorizará o consumo da CPU nos últimos 30 minutos. Se a CPU média ultrapassar o limite que definiu, começará a reduzir o número de threads alocados para novos ficheiros.

O limite do número de threads continuará, desde que o consumo da CPU seja superior ao limite definido para ScannerMaxCPU.

ScannerMinCPU

Importante

Recomendamos que limite o consumo da CPU através das definições avançadas ScannerMaxCPU e ScannerMinCPU em vez de ScannerConcurrencyLevel que é suportado para retrocompatibilidade.

Se for especificada a definição avançada mais antiga, as definições avançadas scannerMaxCPU e ScannerMinCPU são ignoradas.

Utilizado apenas se ScannerMaxCPU não for igual a 100 e não puder ser definido como um número superior ao valor ScannerMaxCPU .

Recomendamos que mantenha ScannerMinCPU definido pelo menos 15 pontos abaixo do valor de ScannerMaxCPU.

O valor está definido como 50 por predefinição, o que significa que, se o consumo da CPU nos últimos 30 minutos for inferior a este valor, o scanner começará a adicionar novos threads para analisar mais ficheiros em paralelo, até que o consumo da CPU atinja o nível que definiu para ScannerMaxCPU-15.

ScannerConcurrencyLevel

Importante

Recomendamos que limite o consumo da CPU através das definições avançadas ScannerMaxCPU e ScannerMinCPU em vez de ScannerConcurrencyLevel que é suportado para retrocompatibilidade.

Quando esta definição avançada mais antiga é especificada, as definições avançadas scannerMaxCPU e ScannerMinCPU são ignoradas.

Por predefinição, o analisador utiliza todos os recursos de processador disponíveis no computador que executa o serviço de scanner. Se precisar de limitar o consumo da CPU enquanto este serviço está a analisar, especifique o número de threads simultâneos que o scanner pode executar em paralelo. O scanner utiliza um thread separado para cada ficheiro que analisa, pelo que esta configuração de limitação também define o número de ficheiros que podem ser analisados em paralelo.

Quando configurar o valor para teste pela primeira vez, recomendamos que especifique 2 por núcleo e, em seguida, monitorize os resultados. Por exemplo, se executar o scanner num computador com 4 núcleos, primeiro defina o valor como 8. Se necessário, aumente ou diminua esse número, de acordo com o desempenho resultante necessário para o computador scanner e as taxas de análise.

  • Chave: ScannerConcurrencyLevel

  • Valor: <número de threads simultâneos>

Comando do PowerShell de exemplo, em que a política de etiquetas tem o nome "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}

ScannerFSAttributesToSkip

Por predefinição, o analisador do Information Protection analisa todos os ficheiros relevantes. No entanto, poderá querer definir ficheiros específicos para serem ignorados, como ficheiros arquivados ou ficheiros que tenham sido movidos.

Ative o scanner para ignorar ficheiros específicos com base nos respetivos atributos de ficheiro através da definição avançada ScannerFSAttributesToSkip . No valor de definição, liste os atributos de ficheiro que irão permitir que o ficheiro seja ignorado quando todos estiverem definidos como verdadeiros. Esta lista de atributos de ficheiro utiliza a lógica E.

Exemplo de comandos do PowerShell, em que a política de etiquetas tem o nome "Global".

Ignorar ficheiros que são só de leitura e arquivados

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}

Ignorar ficheiros que são só de leitura ou arquivados

Para utilizar uma lógica OR, execute a mesma propriedade várias vezes. Por exemplo:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}

Dica

Recomendamos que considere ativar o scanner para ignorar ficheiros com os seguintes atributos:

  • FILE_ATTRIBUTE_SYSTEM
  • FILE_ATTRIBUTE_HIDDEN
  • FILE_ATTRIBUTE_DEVICE
  • FILE_ATTRIBUTE_OFFLINE
  • FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
  • FILE_ATTRIBUTE_RECALL_ON_OPEN
  • FILE_ATTRIBUTE_TEMPORARY

Para obter uma lista de todos os atributos de ficheiro que podem ser definidos na definição avançada ScannerFSAttributesToSkip , veja As Constantes de Atributos de Ficheiro Win32

SharepointWebRequestTimeout

Por predefinição, o tempo limite das interações do SharePoint é de dois minutos, após o qual a operação do cliente de proteção de informações tentada falha. Controle este tempo limite com as definições avançadas sharepointWebRequestTimeout e SharepointFileWebRequestTimeout com uma sintaxe hh:mm:ss para definir os tempos limite.

Especifique um valor para determinar o tempo limite de todos os pedidos Web do cliente de proteção de informações para o SharePoint. A predefinição é minutos.

Por exemplo, se a sua política for denominada Global, o seguinte comando do PowerShell de exemplo atualiza o tempo limite do pedido Web para 5 minutos.

Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}

SharepointFileWebRequestTimeout

Por predefinição, o tempo limite das interações do SharePoint é de dois minutos, após o qual a operação do cliente de proteção de informações tentada falha. Controle este tempo limite com as definições avançadas sharepointWebRequestTimeout e SharepointFileWebRequestTimeout com uma sintaxe hh:mm:ss para definir os tempos limite.

Especifique o valor de tempo limite para ficheiros do SharePoint através de pedidos Web de cliente de proteção de informações. A predefinição é de 15 minutos.

Por exemplo, se a sua política for denominada Global, o comando do PowerShell de exemplo seguinte atualiza o tempo limite do pedido Web do ficheiro para 10 minutos.

Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}

UseCopyAndPreserveNTFSOwner

Observação

Esta funcionalidade está atualmente em PRÉ-VISUALIZAÇÃO. Os Termos Suplementares de Pré-visualização do Azure incluem termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Por predefinição, o cliente de proteção de informações não preserva o proprietário do NTFS que foi definido antes de aplicar uma etiqueta de confidencialidade.

Para garantir que o valor de proprietário do NTFS é preservado, defina a definição avançada UseCopyAndPreserveNTFSOwner como verdadeiro para a política de etiqueta selecionada.

Cuidado

Para o scanner: defina esta definição avançada apenas quando pode garantir uma ligação de rede fiável e de baixa latência entre o scanner e o repositório analisado. Uma falha de rede durante o processo de etiquetagem automática pode fazer com que o ficheiro se perca.

Comando do PowerShell de exemplo, em que a política de etiquetas tem o nome "Global"

Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}