Руководство по классическому администратору клиента в Azure Information Protection

Используйте сведения этого руководства, если вы отвечаете за клиент Azure Information Protection в корпоративной сети или если вам нужны более подробные технические сведения, чем содержащиеся в руководстве пользователя Azure Information Protection.

Пример:

• основные сведения о различных компонентах этого клиента и нужно ли их устанавливать;

• сведения об установке клиента для пользователей, информация о предварительных требованиях, параметрах установки и проверки;

• сведения о том, как изменить пользовательские конфигурации, которые часто требуют редактирование реестра;

• поиск файлов клиента и журналов использования;

• определение типов файлов, поддерживаемых клиентом;

• настройка и использование сайта отслеживания документов для пользователей;

• использование клиента с PowerShell для управления с помощью командной строки.

У вас есть вопрос, ответ на который вы не нашли в этой документации? Посетите наш сайт Yammer: Azure Information Protection.

Технический обзор клиента Azure Information Protection

Клиент Azure Information Protection включает в себя следующее:

• Надстройку Office, которая устанавливает панель Azure Information Protection для выбора меток классификации, и кнопку Защитить на ленте для доступа к дополнительным параметрам. В Outlook на ленте добавлена кнопка Не пересылать.

• Пункты контекстного меню в проводнике Windows для применения к файлам меток классификации и защиты.

• Средство просмотра, отображающее защищенные файлы, если встроенное приложение не может открыть его.

• Модуль PowerShell для добавления и удаления меток классификации для файлов и снятия с них защиты.

  Этот модуль содержит командлеты для установки и настройки сканера Information Protection Azure, который выполняется в качестве службы на сервере Windows Server. Эта служба позволяет обнаруживать, классифицировать и защищать файлы в хранилищах данных, таких как сетевые папки и библиотеки SharePoint Server.

• Клиент Rights Management, который взаимодействует с Azure Rights Management или со службами Active Directory Rights Management Services.

Клиент Azure Information Protection лучше всего подходит для работы со службами Azure, Azure Information Protection и ее службой защиты данных, Azure Rights Management. Тем не менее с некоторыми ограничениями клиент Azure Information Protection также работает с локальной версией Rights Management, AD RMS. Полное сравнение функций, поддерживаемых Azure Information Protection и AD RMS, см. в статье Сравнение служб Azure Information Protection и AD RMS.

Если у вас развернуты службы AD RMS и вы хотите перейти на Azure Information Protection, см. статью Переход с AD RMS на службу Azure Information Protection.

Требуется ли развертывание клиента Azure Information Protection?

Разверните клиент Azure Information Protection, если вы не используете метки конфиденциальности в Microsoft 365, а с помощью меток Azure Information Protection, скачанных из Azure, и применяется любое из следующих действий:

• Вы хотите классифицировать (и при необходимости защитить) документы и сообщения электронной почты с помощью выбора меток при работе в приложениях Office (Word, Excel, PowerPoint, Outlook).

• Вы можете классифицировать (и при необходимости защитить) файлы с помощью проводника, который наряду с файлами, поддерживаемыми в Office, поддерживает дополнительные типы файлов, множественный выбор и папки.

• Вы хотите запустить скрипты, которые классифицируют (и при необходимости защищают) документы с помощью команд PowerShell.

• Вы хотите запустить службу, которая обнаруживает, классифицирует (и при необходимости защищает) хранящиеся локально файлы.

• Вы хотите просмотреть защищенные документы, если встроенное приложение для отображения файла не установлено или не может открыть эти документы.

• Вам необходимо просто защитить файлы с помощью проводника или с помощью команд PowerShell.

• Вам необходимо, чтобы пользователи и администраторы могли отслеживать и отзывать защищенные документы.

• Вы хотите удалить шифрование файлов и контейнеров (снять защиту) в пакетном режиме, чтобы восстановить данные.

• Вы работаете в Office 2010 и хотите защитить документы и сообщения электронной почты с помощью службы Azure Rights Management.

  Обратите внимание, что Office 2010 г. расширенная поддержка прекращена 13 октября 2020 г. Дополнительные сведения см. в разделе AIP и устаревшие версии Windows и Office.

Пример, демонстрирующий надстройку клиента Azure Information Protection для приложения Office, в которой отображаются метки классификации для вашей организации и новая кнопка ленты Защитить:

Установка и поддержка клиента Azure Information Protection

Клиент Azure Information Protection можно установить с помощью исполняемого файла или файла установщика Windows. Дополнительные сведения о каждом варианте и инструкции см. в статье об установке клиента Azure Information Protection для пользователя.

Сведения об установке клиента содержатся в следующих разделах.

Проверки и устранение неполадок установки

При установке клиента используйте параметр Справка и обратная связь, чтобы открыть диалоговое окно Microsoft Azure Information Protection.

• В приложении Office на вкладке Главная в группе Защита выберите Защитить, а затем щелкните Справка и обратная связь.

• В проводнике щелкните правой кнопкой мыши файл, файлы или папку, выберите Классификация и защита и щелкните Справка и обратная связь.

Раздел Справка и обратная связь

Ссылка Подробнее… по умолчанию ведет на веб-сайт Azure Information Protection, но вы можете задать вместо него свой URL-адрес в параметрах политики Azure Information Protection.

Ссылка Сообщить о проблеме отображается, только если указать дополнительный параметр клиента. Когда этот параметр задан, необходимо указать канал HTTP, например адрес электронной почты службы технической поддержки.

Функция Экспорт журналов позволяет автоматически собрать и вложить файлы журналов для клиента Azure Information Protection, когда необходимо отправить их в службу поддержки Майкрософт. Этот параметр может также использоваться пользователями для отправки файлов журналов в службу технической поддержки.

Функция Сброс параметров позволяет выполнить выход пользователя, удалить текущую скачанную политику Azure Information Protection и сбросить настройки пользователя для службы Azure Rights Management.

Примечание

Если у вас возникли технические проблемы с клиентом, ознакомьтесь с параметрами поддержки и ресурсами сообщества.

Дополнительные сведения о параметре "Сброс параметров"

• Для использования этого параметра необязательно быть локальным администратором, кроме того, это действие не регистрируется в журнале событий.

• Если файлы не заблокированы, это действие удаляет все файлы в следующих расположениях. Это такие файлы, как клиентские сертификаты, шаблоны Rights Management, политики Azure Information Protection и кэшированные учетные данные пользователя. Файлы журналов клиентов не удаляются.

  • %LocalAppData%\Microsoft\DRM

  • %LocalAppData%\Microsoft\MSIPC

  • %LocalAppData%\Microsoft\MSIP\Policy.msip

  • %LocalAppData%\Microsoft\MSIP\TokenCache

• Удаляются следующие разделы реестра и параметры. Если в параметрах любого из этих разделов реестра заданы пользовательские значения, перенастройте их после перезагрузки клиента.

  Обычно в корпоративных сетях эти параметры настраиваются с помощью групповой политики. В этом случае они автоматически применяются повторно при обновлении групповой политики на компьютере. Однако могут существовать параметры, которые можно либо настроить однократно с помощью сценария, либо настроить вручную. В таких случаях необходимы дополнительные действия, чтобы перенастроить эти параметры. В качестве примера предположим, что компьютеры могут запускать сценарий один раз для настройки параметров для перенаправления в Azure Information Protection, так как вы выполняете миграцию из AD RMS и у вас по-прежнему есть точка подключения службы в сети. После сброса параметров клиента компьютер должен снова запустить этот сценарий.

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Common\Identity

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\14.0\Common\DRM

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Common\DRM

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common\DRM

  • HKEY_CURRENT_USER\SOFTWARE\Classes\Local Settings\Software\Microsoft\MSIPC

• Для текущего вошедшего пользователя выполняется выход.

Раздел Состояние клиента

Используйте значение Connected as (Подключен как), чтобы убедиться, что отображаемое имя пользователя указывает учетную запись, используемую для проверки подлинности в Azure Information Protection. Это имя пользователя должно соответствовать учетной записи, используемой для Microsoft 365 или Azure Active Directory. Учетная запись должна также принадлежать клиенту, настроенному для Azure Information Protection.

Если вам нужно войти от имени другого пользователя, см. сведения в этом разделе.

Значение Последнее подключение указывает, когда клиент в последний раз подключался к службе Azure Information Protection вашей организации. Эти сведения, а также дата и время, указанные в параметре Политика Information Protection установлена, позволяют проверить, когда политика Azure Information Protection устанавливалась или обновлялась в последний раз. Когда клиент подключается к службе, он автоматически скачивает последнюю политику, если обнаруживает, что она отличается от его текущей политики. Это действие доступно каждые 24 часа. Если в политику были внесены изменения после указанного времени, закройте, а затем снова откройте приложение Office.

Если отображается сообщение В этом клиенте нет лицензии для Office профессиональный плюс, клиент Azure Information Protection обнаруживает, что установленный выпуск Office не поддерживает параметры защиты Rights Management. При этом метки, которые применяют защиту, не отображаются на панели Azure Information Protection.

Используйте сведения о версии, чтобы узнать об установленной версии клиента. Вы можете проверить, является ли это последней версией выпуска и соответствующими исправлениями и новыми функциями, щелкнув ссылку "Новые возможности", чтобы прочитать управление выпусками и возможность поддержки для клиента.

Поддержка нескольких языков

Клиент Azure Information Protection поддерживает те же языки, которые поддерживаются Microsoft 365. Список этих языков см. на странице "Международная доступность" Office.

Для этих языков пункты меню, диалоговые окна и сообщения от клиента Azure Information Protection отображаются на языке пользователя. Установщик определяет язык самостоятельно, поэтому для установки клиента Azure Information Protection на разных языках никаких дополнительных настроек не требуется.

Тем не менее задаваемые пользователем имена и описания меток не переводятся автоматически при настройке меток в политике Azure Information Protection. Начиная с 30 августа 2017 г. текущая политика по умолчанию включает поддержку некоторых языков. Чтобы пользователи могли просматривать метки на других языках, нужно указать собственные варианты перевода и настроить политику Azure Information Protection для их использования. Дополнительные сведения см. в разделе Как настраивать метки для различных языков в Azure Information Protection. Визуальная маркировка не переводится и не поддерживает несколько языков.

Действия после установки

Установив клиент Azure Information Protection, убедитесь, что вы предоставили пользователям инструкции по присвоению меток своим документам и сообщениям электронной почты, а также руководства по выбору меток для конкретных сценариев. Пример:

• Инструкции см. в руководстве пользователя Azure Information Protection

• Скачайте настраиваемое руководство пользователя: Руководство по внедрению Azure Information Protection для конечного пользователя

Обновление и поддержка клиента Azure Information Protection

Рабочая группа по продукту Azure Information Protection регулярно обновляет клиент Azure Information Protection, добавляя новые функции и внося исправления. Объявления публикуются на сайте Yammer рабочей группы.

Если вы используете Windows Update, клиент Azure Information Protection автоматически обновляется до последней общедоступной версии, независимо от способа установки клиента. Новые выпуски клиента публикуются в каталоге в течение нескольких недель после выпуска.

Кроме того, можно вручную обновить клиент с помощью более новой установки выпуска. Используйте этот метод для обновления предварительных версий.

При обновлении вручную удалять предыдущую версию нужно лишь в том случае, если вы изменяете метод установки. Например, если старая версия клиента была установлена из исполняемого EXE-файла, а новая будет установлена через установщик Windows (MSI-файл). Также ее нужно удалять, если вы устанавливаете более старую версию клиента. Например, если ранее вы установили предварительную версию для тестирования, а теперь хотите вернуться к текущей общедоступной версии.

Используйте управление выпусками и возможность поддержки, чтобы понять политику поддержки для клиента Azure Information Protection, какие версии в настоящее время поддерживаются, и содержимое, включенного в каждый поддерживаемый выпуск.

Обновление средства проверки безопасности Azure Information Protection

Выполните следующие инструкции, чтобы обновить средство проверки с общедоступной версии, более ранней, чем 1.48.204.0, до текущей версии средства проверки.

Обновление средства проверки до текущей версии

Важно!

Для плавного обновления не устанавливайте клиент Azure Information Protection на компьютере, на котором запущен сканер, в качестве первого шага для обновления сканера. Вместо этого используйте следующе инструкции по обновлению.

Начиная с версии 1.48.204.0 процесс обновления с предыдущих версий автоматически изменяет средство проверки на получение параметров конфигурации из портал Azure. Кроме того, обновляется схема для базы данных конфигурации средства проверки, и имя базы данных AzInfoProtection также изменяется.

• Если имя профиля не указано, база данных конфигурации переименована AIPScanner_<computer_name>.

• Если указать собственное имя профиля, база данных конфигурации будет переименована AIPScanner_<profile_name>.

Хотя средство проверки можно обновлять в другом порядке, мы рекомендуем следующие действия.

1. Создайте на портале Azure профиль средства проверки, который содержит параметры для средства проверки и репозитории данных с соответствующими параметрами. Справку по этому шагу см. в разделе "Настройка средства проверки" в портал Azure из инструкций по развертыванию средства проверки.

   Если компьютер, на котором работает сканер, отключен от Интернета, вам все равно потребуется выполнить этот шаг. Затем на портале Azure щелкните Экспорт, чтобы экспортировать профиль средства проверки в файл.

2. На компьютере со средством проверки остановите службу проверки — средство проверки Azure Information Protection.

3. Обновите клиент Azure Information Protection, установив текущую общедоступную версию.

4. В сеансе PowerShell выполните команду Update-AIPScanner с тем же именем профиля, которое было указано на шаге 1. Пример: Update-AIPScanner –Profile Europe

5. Только если сканер работает на отключенном компьютере: теперь запустите Import-AIPScannerConfiguration и укажите файл, содержащий экспортированные параметры.

6. Перезапустите службу проверки Azure Information Protection — средство проверки Azure Information Protection.

Теперь вы можете использовать остальные инструкции при развертывании средства проверки Information Protection Azure для автоматической классификации и защиты файлов, пропуская шаг для установки средства проверки. Так как сканер уже установлен, нет никаких оснований для его повторной установки.

Обновление в порядке, отличающемся от рекомендованного

Если вы не настроили средство проверки на портале Azure, прежде чем выполнять команду Update-AIPScanner, вы не сможете использовать имя профиля, определяющее параметры конфигурации средства проверки для обновления.

В этом случае при настройке средства проверки на портале Azure необходимо указать имя профиля, которое вы использовали при выполнении команды Update-AIPScanner. Если имя не совпадает, вы не сможете настроить средство проверки соответствующим образом.

Совет

Чтобы определить сканеры с этой неправильной конфигурацией, используйте панель "Information Protection Azure " Узлы" в портал Azure.

Для сканеров, имеющих подключение к Интернету, они отображают свое имя компьютера с общедоступным номером версии клиента Azure Information Protection, но без имени профиля. Только сканеры с номером версии 1.41.51.0 не должны отображать имя профиля на этой панели.

Если вы не указываете имя профиля при выполнении команды Update-AIPScanner, для автоматического создания имени профиля для средства проверки используется имя компьютера.

Перенос базы данных конфигурации средства проверки в другой экземпляр SQL Server

В текущей общедоступной версии существует известная проблема при попытке переместить базу данных конфигурации сканера в новый экземпляр SQL Server после выполнения команды обновления.

Если вы знаете, что вы хотите переместить базу данных конфигурации сканера для общедоступной версии, сделайте следующее:

1. Удалите средство проверки с помощью командлета Uninstall-AIPScanner.

2. Если вы еще не обновили текущую общедоступную версию клиента Azure Information Protection, обновите клиент.

3. Установите средство проверки с помощью командлета Install-AIPScanner, указав новый экземпляр SQL Server и имя профиля.

4. Необязательно. Если вы не хотите, чтобы средство проверки повторно сканирует все файлы, экспортируйте таблицу ScannerFiles и импортируйте ее в новую базу данных.

Удаление клиента Azure Information Protection

Для удаления клиента можно использовать один из следующих способов.

• Удаление программы с помощью панель управления: щелкните Microsoft Azure Information Protection>Uninstall

• Перезапустите исполняемый файл (например, AzInfoProtection.exe) и нажмите на странице Изменение установки кнопку Удалить.

• Запустите исполняемый файл с параметром /uninstall. Например: AzInfoProtection.exe /uninstall

Дальнейшие действия

Сведения об установке клиента см. в статье об установке клиента Azure Information Protection для пользователей.

Если клиент Azure Information Protection уже установлен, ознакомьтесь со следующими дополнительными материалами, которые могут потребоваться для поддержки этого клиента:

• Настройки

• Файлы клиента и ведение журнала использования

• Отслеживание документов

• Поддерживаемые типы файлов

• Команды PowerShell