Azure 信息保护统一标记客户端管理员指南

  • 项目

备注

你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?

Azure 信息保护加载项已停用,并替换为 Microsoft 365 应用和服务中内置的标签。 详细了解其他 Azure 信息保护组件的支持状态

新的 Microsoft 信息保护 客户端(不含加载项)目前为预览版,并计划正式发布

如果你负责企业网络上的 Azure 信息保护统一标记客户端,或者你想要获取除了 Azure 信息保护统一标记客户端用户指南以外的更多技术信息,请使用本指南中的信息。

例如:

  • 了解此客户端的不同组件以及是否应安装这些组件

  • 如何为用户安装客户端,以及有关先决条件、安装选项和参数及验证检查的信息

  • 查找客户端文件和使用情况日志

  • 确定客户端支持的文件类型

  • 将客户端与 PowerShell 结合用于命令行控制

是否有本文档未解决的问题? 请访问 Azure 信息保护 Yammer 站点

Azure 信息保护统一标记客户端的技术概述

Azure 信息保护统一标记客户端包含:

  • 一个 Office 加载项,它会在功能区中安装一个“敏感度”按钮供用户选择敏感度标签,并提供一个用于显示“Azure 信息保护”栏以改善标签可见性的选项。

  • Windows 文件资源管理器,便于用户将分类标签和保护应用到文件的右键单击选项。

  • 一个查看器,用于在内置应用程序无法打开受保护的文件时显示这些文件。

  • 一个 PowerShell 模块,用于发现文件中的敏感信息,以及在文件中应用或删除分类标签和保护。

    该客户端包含的 cmdlet 可用于安装和配置 Azure 信息保护扫描程序,该扫描程序在 Windows Server 上作为服务运行。 借助此服务,可以发现、分类和保护数据存储(例如,网络共享和 SharePoint Server 库)中的文件

  • 与保护服务通信的 Rights Management 客户端 (Azure Rights Management),可以加密和保护文件。

Azure 信息保护统一标记客户端(查看器除外)不可用于直接与保护服务或 Active Directory Rights Management Services 通信的应用程序和服务。

如果有 AD RMS 并希望迁移到 Azure 信息保护,请参阅从 AD RMS 迁移到 Azure 信息保护

需要部署 Azure 信息保护统一标记客户端吗?

如果你要在 Microsoft 365 中使用敏感度标签,或者你有以下任何需求,请部署 Azure 信息保护统一标记客户端:

  • 想要通过在 Windows 计算机上的 Office 应用(Word、Excel、PowerPoint、Outlook)中选择标签来分类(和选择性地保护)文档与电子邮件。

  • 想要通过使用文件资源管理器(支持除 Office、多选和文件夹支持的文件类型以外的其他文件类型)对文件进行分类(或保护)。

  • 想要通过使用 PowerShell 命令运行对文档进行分类(或保护)的脚本。

  • 想要测试用于发现、分类(和选择性地保护)本地存储的文件的服务。

  • 希望在未安装用于显示文件的内置应用程序或者该应用程序无法打开受保护文档时,能够查看这些文档。

该示例显示 Azure 信息保护统一标记客户端的 Office 加载项,其中显示了功能区中的“敏感度”按钮和可选的“Azure 信息保护”栏:

具有默认策略的 Azure 信息保护栏

安装和支持 Azure 信息保护统一标记客户端

可以使用一个可执行文件或 Windows 安装程序文件来安装 Azure 信息保护统一标记客户端。 有关每个选项的详细信息和说明,请参阅为用户安装 Azure 信息保护统一标记客户端

使用以下部分获取有关安装客户端的支持信息。

安装检查和疑难解答

安装客户端后,请使用“帮助和反馈”选项打开“Microsoft Azure 信息保护”对话框

  • 在 Office 应用程序中:在“主页”选项卡上的“敏感度”组中,依次选择“敏感度”、“帮助和反馈”。

  • 在文件资源管理器中:右键单击选择一个/多个文件或文件夹,然后依次选择“分类和保护”和“帮助和反馈”。

帮助和反馈”部分

“告知详情”链接默认指向 Azure 信息保护网站。 你可以在 Microsoft Purview 合规性门户中将自己的、指向自定义帮助页的 URL 链接配置为一项策略设置。

仅当指定高级设置时,才会显示“报告问题”链接。 配置此设置时,指定 HTTP 链接,例如支持人员的电子邮件地址。

如果 Microsoft 支持人员要求发送 Azure 信息保护统一标记客户端的日志文件,可以使用“导出日志”来自动收集和附加这些文件。 最终用户也可使用此选项将这些日志文件发送给你的支持人员。 或者,可以使用 Export-AIPLogs PowerShell cmdlet。

“重置设置”会注销用户,删除当前下载的敏感度标签和标签策略,并重置 Azure Rights Management 服务的用户设置。

注意

如果客户端出现技术问题,请参阅支持选项和社区资源

有关“重置设置”选项的详细信息

  • 不是本地管理员也能使用此选项,并且不会在事件查看器中记录此操作。

  • 除非文件被锁定,否则此操作将删除以下位置中的所有文件。 这些文件包括客户端证书、保护模板、标记管理中心内的敏感度标签和策略,以及缓存的用户凭据。 不会删除客户端日志文件。

    • %LocalAppData%\Microsoft\DRM

    • %LocalAppData%\Microsoft\MSIPC

    • %LocalAppData%\Microsoft\MSIP\mip\<ProcessName.exe>

    • %LocalAppData%\Microsoft\MSIP\AppDetails

    • %LocalAppData%\Microsoft\MSIP\TokenCache

  • 将删除以下注册表项和设置。 如果以下任意注册表项具有自定义值,则必须在重置客户端后重新对其进行配置。

    对于企业网络,通常使用组策略配置这些设置,在这种情况下,在计算机上刷新组策略时,将自动重新应用这些设置。 但是,某些设置可能通过脚本一次性配置,或手动配置。 在这些情况下,必须执行其他步骤来重新配置这些设置。 例如,由于要从 AD RMS 迁移并且网络上仍有服务连接点,因此计算机要运行一次脚本才能配置用于重定向到 Azure 信息保护的设置。 重置客户端后,计算机必须再次运行此脚本。

    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Common\Identity

    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\14.0\Common\DRM

    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Common\DRM

    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common\DRM

    • HKEY_CURRENT_USER\SOFTWARE\Classes\Local Settings\Software\Microsoft\MSIPC

  • 当前登录的用户已注销。

客户端状态”部分

使用“连接身份”值来确认显示的用户名是否是要用于 Azure 信息保护身份验证的帐户。 此用户名必须与用于 Microsoft 365 或 Microsoft Entra ID 的帐户相匹配。 该帐户还必须属于在标记管理门户中为敏感度标签配置的 Microsoft 365 租户。

如果需要以与显示用户名不同的用户身份登录,请参阅以其他用户身份登录中的说明。

使用“版本”信息可以确认安装的是哪个版本的客户端。 可以阅读客户端的版本发行信息,来检查此版本是否为最新发行版并查看相应的修复和新功能。

支持多种语言

Azure 信息保护统一标记客户端支持 Office 365 所支持的相同语言。 有关这些语言的列表,请参阅 Office 的国际可用性页。

对于这些语言,Azure 信息保护统一标记客户端中的菜单选项、对话框和消息将以用户的语言显示。 由于有一个安装程序可检测语言,因此不需要进行额外配置即可安装不同语言的 Azure 信息保护统一标记客户端。

但是,在标记中心配置标签时,你指定的标签名称和说明不会自动翻译。 要使用户能够查看以其首选语言显示的标签,请提供你自己的翻译,并使用 Office 365 安全与合规 PowerShell 以及 Set-LabelLocaleSettings 参数为标签配置翻译。 视觉标记未翻译,且不支持多种语言。

安装后任务

安装 Azure 信息保护统一标记客户端后,请确保为用户提供有关如何标记其文档和电子邮件的说明,以及在特定场景下要选择哪些标签的指导。 例如,

安装 Azure 信息保护扫描程序

统一标记客户端的扫描程序已推出正式版。 请从 Microsoft 下载中心安装当前版本的统一标记客户端。

如果你是首次在计算机上安装扫描程序,请下载并安装此客户端,然后按照部署 Azure 信息保护扫描程序以自动对文件进行分类和保护中的说明操作。

如果要从旧版统一标记客户端升级扫描程序,请参阅升级 Azure 信息保护扫描程序部分中的说明。

升级和维护 Azure 信息保护统一标记客户端

Azure 信息保护团队会定期更新 Azure 信息保护统一标记客户端,以提供新功能和修复。 公告会发布到团队的 Yammer 网站

如果你使用 Windows 更新,则 Azure 信息保护统一标记客户端会自动升级此客户端的正式版,而不管此客户端的安装方式如何。 新客户端版本会在发布后的几周内发布到目录中。

也可以从 Microsoft 下载中心下载新版本,手动升级客户端。 然后,安装新版本来升级客户端。 要升级预览版或者要从 Azure 信息保护经典客户端升级,必须使用此方法。

手动升级时,只有当要更改安装方法时,才需要先卸载旧版本。 例如,从客户端的可执行文件 (.exe) 版本更改为客户端的 Windows 安装程序 (.msi) 版本。 或当需要安装旧版客户端时。 例如,你已安装了预览版用于测试,现在需要还原到当前正式版。

使用版本发行历史记录和支持策略了解 Azure 信息保护统一标记客户端的支持策略、目前支持的版本以及每个受支持版本中包括的内容。

升级 Azure 信息保护扫描程序

有关升级扫描程序的说明取决于是否从 Azure 信息保护统一标记客户端的旧版扫描程序升级。

从统一标记客户端旧版升级扫描程序

  1. 在扫描程序计算机上,停止扫描程序服务“Azure 信息保护扫描程序”

  2. Microsoft 下载中心下载并安装最新版本的统一标记客户端,以升级 Azure 信息保护统一标记客户端。

  3. 在 PowerShell 会话中,运行指定了扫描程序配置文件的 Update-AIPScanner 命令。 例如:Update-AIPScanner –Profile Europe

  4. 重启 Azure 信息保护扫描程序服务“Azure 信息保护扫描程序”

现在可以使用部署 Azure 信息保护扫描程序以自动对文件进行分类和保护中的余下说明,并忽略安装扫描程序的步骤。 扫描程序已安装,因此没有理由再次安装。

在从低于 1.48.204.0 的版本升级时,如果在运行 Update-AIPScanner 命令之前未在 Azure 门户中配置扫描程序,则系统不会为你指定一个配置文件名称用于标识要在升级过程中使用的扫描程序配置设置。

在这种情况下,当在 Azure 门户中配置扫描程序时,必须指定与运行 Update-AIPScanner 命令时使用的完全相同的配置文件名称。 如果名称不匹配,则不会为设置配置扫描程序。

提示

若要识别存在这种不当配置的扫描程序,请使用 Azure 门户中的“Azure 信息保护 - 节点”窗格。

对于已建立 Internet 连接的扫描程序,它们显示的计算机名包含 Azure 信息保护客户端的正式版本号,但不包含配置文件名称。 只有版本号为 1.41.51.0 的扫描程序才不会在窗格中显示配置文件名称。

卸载 Azure 信息保护统一标记客户端

可使用以下任一选项卸载客户端:

  • 使用控制面板来卸载程序:单击“Microsoft Azure 信息保护”“卸载”

  • 重新运行可执行文件(例如 AzInfoProtection_UL.exe),然后在“修改安装”页中单击“卸载”。

  • 使用 /uninstall 运行可执行文件。 例如: AzInfoProtection_UL.exe /uninstall

后续步骤

若要安装客户端,请参阅为用户安装 Azure 信息保护统一标记客户端

若已安装客户端,要了解支持此客户端所需的其他信息,请参阅以下内容: