Azure 信息保护统一标签客户端管理员指南

适用于:Azure 信息保护、Windows 11、Windows 10、Windows 8.1、Windows 8、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

如果 2010 Windows 7 或 Office,请参阅AIP和旧版 Windows Office 版本。

相关:Azure信息保护统一标签客户端,适用于 Windows。

如果负责企业网络上 Azure 信息保护统一标签客户端,或者需要的技术信息多于 Azure 信息保护统一标签客户端用户指南中的技术信息,请使用本指南 中的信息

例如:

  • 了解此客户端的不同组件以及是否应该安装它

  • 如何为用户安装客户端,并提供有关先决条件、安装选项和参数以及验证检查的信息

  • 找到客户端文件和使用情况日志

  • 标识客户端支持的文件类型

  • 将客户端与 PowerShell 一起用于命令行控制

有本文档未解决的问题? 请访问 Azure信息保护Yammer站点

Azure 信息保护统一标签客户端的技术概述

Azure 信息保护统一标签客户端包括以下内容:

  • 一Office加载项,该加载项在功能区上安装敏感度按钮,以便用户选择敏感度标签,以及显示 Azure 信息保护栏以更好地显示标签的选项。

  • Windows资源管理器中,右键单击选项供用户对文件应用分类标签和保护。

  • 显示受保护文件的查看器,当内置应用程序无法打开它时。

  • PowerShell 模块,用于发现文件中敏感信息,以及应用或删除分类标签和保护文件。

    客户端包含 cmdlet,用于安装和配置Azure 信息保护扫描程序,该扫描程序在 Windows 服务器上运行。 通过此服务,可以发现、分类和保护数据存储中的文件,例如网络共享和SharePoint服务器库

  • 与 Azure Rights Management 保护服务通信 (权限管理) 加密和保护文件。

除查看器外,Azure 信息保护统一标签客户端不能与直接与保护服务或服务通信的应用程序Active Directory Rights Management Services。

如果有 AD RMS 并且想要迁移到 Azure 信息保护,请参阅 从 AD RMS 迁移到 Azure 信息保护

应部署 Azure 信息保护统一标签客户端吗?

如果要在门户中使用敏感度标签,请部署 Azure信息保护统一Microsoft 365,以下任一项均适用:

  • 若要对 (进行分类,可以选择在 Windows 计算机上从 Office 应用 (Word、Excel、PowerPoint、Outlook) 中选择标签,保护) 文档和电子邮件。

  • 您希望对 (分类,) 资源管理器保护文件,支持比 Office、多选和文件夹支持的其他文件类型。

  • 想要运行对文档进行分类的 (,并选择性地使用 PowerShell) 保护文档。

  • 想要测试一项服务,用于发现、分类 (,并选择性地) 存储在本地的文件。

  • 想要在未安装显示文件的内置应用程序或无法打开这些文档时查看受保护的文档。

显示 Azure 信息Office统一标签客户端的加载项的示例,在功能区上显示新的"敏感度"按钮和可选的 Azure 信息保护栏:

使用默认策略的 Azure 信息保护栏

安装和支持 Azure 信息保护统一标签客户端

可以使用可执行文件或自定义安装程序文件安装 Azure 信息保护统一Windows客户端。 有关每个选项和说明详细信息,请参阅为用户安装 Azure 信息保护统一标签客户端

使用以下部分提供有关安装客户端的支持信息。

安装检查和故障排除

安装客户端后,使用"帮助反馈"选项打开"Microsoft Azure信息保护"对话框:

  • 从Office应用程序:在"开始"选项卡上的"敏感度"组中,选择"敏感度",然后选择"帮助和反馈"。

  • 从文件资源管理器:右选择文件、文件或文件夹,选择"分类和保护",然后选择"帮助和反馈"。

"帮助和反馈" 部分

默认情况下 ,"告诉我更多" 链接将转到 Azure 信息保护 网站。 可以将转到自定义帮助页的 URL 链接配置为自定义帮助页中的策略设置之一Microsoft 365 合规中心。

只有在 指定高级 设置 时,才显示"报告 问题"链接。 配置此设置时,请指定 HTTP 链接,例如技术支持的电子邮件地址。

如果 系统要求 将这些文件发送给 Microsoft 支持部门,则导出日志会自动收集并附加到 Azure 信息保护统一标签客户端的日志文件。 最终用户也可使用此选项将这些日志文件发送到技术支持。 或者,可以使用 Export-AIPLogs PowerShell cmdlet。

重置设置用户,删除当前下载的敏感度标签和标签策略,并重置 Azure Rights Management 服务的用户设置。

注意

如果客户端存在技术问题,请参阅 支持选项和社区资源

有关"重置密码"设置详细信息
  • 不需要是本地管理员才能使用此选项,此操作不会记录在事件查看器中。

  • 除非文件已锁定,否则此操作会删除以下位置的所有文件。 这些文件包括客户端证书、保护模板、标签管理中心的敏感度标签和策略,以及缓存的用户凭据。 不会删除客户端日志文件。

    • %LocalAppData%\Microsoft\DRM

    • %LocalAppData%\Microsoft\MSIPC

    • %LocalAppData%\Microsoft\MSIP\mip\ProcessName.exe

    • %LocalAppData%\Microsoft\MSIP\AppDetails

    • %LocalAppData%\Microsoft\MSIP\TokenCache

  • 将删除以下注册表项和设置。 如果其中任一注册表项的设置具有自定义值,则必须在重置客户端后重新配置这些值。

    通常对于企业网络,这些设置是使用组策略配置的,在这种情况下,在计算机上刷新组策略时会自动重新应用这些设置。 但是,可能有一些设置是使用脚本一次配置的,或者手动配置的。 在这些情况下,必须执行其他步骤来重新配置这些设置。 例如,计算机可能运行一次脚本来配置重定向到 Azure 信息保护的设置,因为从 AD RMS 迁移,并且网络上仍有一个服务连接点。 重置客户端后,计算机必须再次运行此脚本。

    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Common\Identity

    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\14.0\Common\DRM

    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Common\DRM

    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common\DRM

    • HKEY_CURRENT_USER\SOFTWARE\Classes\Local Settings\Software\Microsoft\MSIPC

  • 当前登录的用户已退出。

客户端状态 部分

使用 "连接方式 "值确认显示的用户名标识了用于 Azure 信息保护身份验证的帐户。 此用户名必须与用于登录或Microsoft 365 Azure Active Directory。 该帐户还必须属于在标签Microsoft 365门户中为敏感度标签配置的租户。

如果需要以不同用户登录所显示的用户,请参阅以 其他用户说明登录

使用 版本 信息确认安装了哪个版本的客户端。 可以通过阅读客户端的版本发布信息来检查这是否是最新版本以及相应的 修补程序和新功能

支持多种语言

Azure 信息保护统一标签客户端支持支持Office 365语言。 有关这些语言的列表,请参阅以下网页中的国际可用性Office。

对于这些语言,Azure 信息保护的统一标签客户端会显示用户语言中的菜单选项、对话框和消息。 有一个安装程序可以检测语言,因此安装不同语言的 Azure 信息保护统一标签客户端不需要其他配置。

但是,在标签中心配置标签时,不会自动翻译指定的标签名称和说明。 若要让用户查看其首选语言的标签,请提供自己的翻译,然后通过使用 Office 365 安全合规性 PowerShell 和 &Set-Label的&参数为标签配置它们。 视觉标记不会翻译,并且不支持多种语言。

安装后任务

安装 Azure 信息保护统一标签客户端后,请确保为用户提供如何标记其文档和电子邮件的说明,并指导用户为特定方案选择哪些标签。 例如,

安装 Azure 信息保护扫描程序

统一标签客户端的扫描仪已可供使用。 从 Microsoft 下载中心安装统一标签客户端 的当前版本

如果在计算机上首次安装扫描仪,请下载并安装此客户端,然后按照部署 Azure 信息保护扫描程序中的说明自动对文件进行分类 和保护

如果要从 Azure 信息保护经典客户端或以前版本的统一标签客户端升级扫描仪,请参阅升级 Azure 信息 保护扫描程序部分获取说明。

升级和维护 Azure 信息保护统一标签客户端

注意

Azure 信息保护统一标签客户端支持升级 Azure 信息保护经典客户端,以及从早期版本的 Azure 信息保护统一标签客户端升级。

Azure 信息保护团队定期更新 Azure 信息保护统一标签客户端,获取新功能和修补程序。 公告将发布至团队的Yammer网站

如果使用 Windows 更新,Azure 信息保护统一标签客户端会自动升级此客户端的常规可用性版本,而不考虑客户端的安装方法。 新的客户端版本在发布后的几周内发布到目录。

或者,可以通过从 Microsoft 下载中心下载新版本来手动 升级客户端。 然后安装新版本以升级客户端。 如果从 Azure 信息保护经典客户端升级,则必须使用此方法升级预览版。

如果在 7 月 7 日从 Azure 信息保护经典Windows升级,任何Office应用程序都会在客户端升级期间自动重启。 此自动重启不适用于更高版本的操作系统,或者如果要从旧版统一标签客户端升级。

手动升级时,只有在更改安装方法时,才先卸载以前的版本。 例如,从客户端的可执行文件 (.exe) 版本更改为客户端的 Windows 安装程序 (.msi) 版本。 或者,如果需要安装以前版本的客户端。 例如,你已安装用于测试的预览版,现在需要还原到当前常规版本。

使用 版本发布历史记录和支持 策略了解 Azure 信息保护统一标签客户端的支持策略、当前支持的版本以及受支持版本的新增和更改。

升级 Azure 信息保护扫描程序

有关升级扫描仪的说明取决于你是从早期版本的扫描仪从 Azure 信息保护统一标签客户端升级,还是从 Azure 信息保护经典客户端升级。

从早期版本的统一标签客户端升级扫描仪

  1. 在扫描仪计算机上,停止扫描仪服务"Azure 信息保护扫描程序"。

  2. 从 Microsoft 下载中心下载并安装最新版本的统一标签客户端,升级 Azure 信息保护统一 标签客户端

  3. 在 PowerShell 会话中,使用扫描Update-AIPScanner运行 Update-AIPScanner 命令。 例如: Update-AIPScanner –Profile Europe

  4. 重启 Azure 信息保护扫描程序服务 Azure 信息保护扫描程序

现在,可以使用部署 Azure信息保护扫描程序中的其余说明自动对文件进行分类和保护,省略安装扫描程序的步骤。 由于已安装扫描仪,因此无需再次安装。

从经典客户端升级扫描仪

如果当前从 Azure 信息保护经典客户端使用 Azure 信息保护扫描程序,可以升级它,以使用从 Microsoft 365 合规中心 发布的敏感信息类型和敏感度标签。

如何升级扫描程序取决于当前运行的经典客户端的版本:

升级将创建名为>AIPScannerUL_ profile_name 的新数据库,并保留以前的扫描程序数据库,以防需要用于早期版本。 如果确信不需要以前的扫描仪数据库,可以将其删除。 由于升级会创建新数据库,因此扫描程序在首次运行时会重新扫描所有文件。

从此客户端的 Azure 信息保护经典客户端版本 1.48.204.0 及更高版本升级

如果使用统一标签客户端的预览版升级了扫描仪,则无需再次运行这些说明。

  1. 在扫描仪计算机上,停止扫描仪服务"Azure 信息保护扫描程序"。

  2. 从 Microsoft 下载中心下载并安装统一标签客户端,升级到 Azure 信息保护统一 标签客户端

  3. 在 PowerShell 会话中,使用扫描Update-AIPScanner运行 Update-AIPScanner 命令。 例如 Update-AIPScanner –Profile Europe :。

    此步骤将创建一个名称为 AIPScannerUL_profile_name >

  4. 重启 Azure 信息保护扫描程序服务 Azure 信息保护扫描程序

现在,可以使用部署 Azure信息保护扫描程序中的其余说明自动对文件进行分类和保护,省略安装扫描程序的步骤。 由于已安装扫描仪,因此无需再次安装。

从低于 1.48.204.0 的 Azure 信息保护经典客户端版本升级

重要

若要顺利升级路径,请不要在运行扫描仪的计算机上安装 Azure 信息保护统一标签客户端,这是升级扫描仪的第一步。 请改为使用以下升级说明。

从版本 1.48.204.0 开始,扫描程序使用配置文件从 Azure 门户获取其配置设置。 升级扫描仪包括指示扫描仪使用此联机配置,对于统一标签客户端,不支持扫描程序脱机配置。

  1. 使用 Azure 门户创建新的扫描程序配置文件,其中包括扫描仪和数据存储库的设置以及所需的任何设置。 有关此步骤的帮助,请参阅从扫描 程序部署 说明在 Azure 门户中配置扫描程序。

  2. 在扫描仪计算机上,停止扫描仪服务"Azure 信息保护扫描程序"。

  3. 从 Microsoft 下载中心下载并安装统一标签客户端,升级到 Azure 信息保护统一 标签客户端

  4. 在 PowerShell 会话中,使用Update-AIPScanner 1 中指定的相同配置文件名称运行 Update-AIPScanner 命令。 例如: Update-AIPScanner –Profile Europe

  5. 重启 Azure 信息保护扫描程序服务 Azure 信息保护扫描程序

现在,可以使用部署 Azure信息保护扫描程序中的其余说明自动对文件进行分类和保护,省略安装扫描程序的步骤。 由于已安装扫描仪,因此无需再次安装。

如果从低于 1.48.204.0 的版本升级,并且运行 Update-AIPScanner 命令之前没有在 Azure 门户中配置扫描程序,则没有配置文件名称来指定用于标识升级过程的扫描程序配置设置。

在此方案中,在 Azure 门户中配置扫描程序时,必须指定运行 Update-AIPScanner 命令时所使用的完全相同的配置文件名称。 如果名称不匹配,将不会为设置配置扫描仪。

提示

若要识别具有此错误配置的扫描程序,请使用 Azure 门户中的 "Azure 信息 保护 - 节点"窗格。

对于具有 Internet 连接的扫描仪,它们使用 Azure 信息保护客户端的 GA 版本号显示其计算机名称,但不显示配置文件名称。 只有版本号为 1.41.51.0 的扫描仪不应在此窗格中显示配置文件名称。

卸载 Azure 信息保护统一标签客户端

可以使用以下任何选项卸载客户端:

  • 使用控制面板卸载程序:单击"Microsoft Azure保护卸载"

  • 重新运行可执行文件 (例如,AzInfoProtection_UL.exe) ,在"修改设置"页中,单击"卸载"。

  • 使用 /uninstall 运行可执行文件。 例如: AzInfoProtection_UL.exe /uninstall

下一步

若要安装客户端,请参阅为用户安装 Azure 信息保护统一标签客户端

如果已安装客户端,请参阅以下内容,了解可能需要支持此客户端的其他信息: