教學課程：從 Azure 資訊保護 （AIP） 傳統用戶端移轉至統一卷標解決方案

注意

您要尋找 Microsoft Purview 資訊保護，前身為 Microsoft 資訊保護 （MIP）？

Azure 資訊保護 載入宏已淘汰，並以 Microsoft 365 應用程式和服務內建的標籤取代。 深入瞭解其他 Azure 資訊保護元件的支持狀態。

新的 Microsoft 資訊保護 用戶端（不含載入宏）目前處於預覽狀態，並排程正式運作。

為了提供統一且簡化的客戶體驗，Azure 入口網站中的 Azure 資訊保護 傳統用戶端和標籤管理已於 2021 年 3 月 31 日淘汰。 雖然傳統客戶端會繼續如設定般運作，但不會再提供任何進一步的支援，而且不會再針對傳統用戶端發行維護版本。

建議您移轉至統一標籤，並升級至 統一卷標用戶端。 如需詳細資訊，請參閱我們最近關於 淘汰的更新 。

本教學課程說明如何將組織的 Azure 資訊保護 部署從傳統用戶端，以及 Azure 入口網站 中的標籤/標籤原則管理移轉至統一卷標解決方案和 Microsoft 365 敏感度標籤。

所需時間：完成移轉所需的時間取決於原則的複雜程度，以及您使用的AIP功能。 您可以在背景移轉時繼續使用傳統用戶端。

本教學課程提供每個步驟的高階描述，然後參考 Microsoft 檔中其他位置的相關章節，以取得詳細數據。

在本教學課程中，您將會：

• 瞭解如何規劃移轉
• 將您的標籤移轉至統一標籤平臺
• 瞭解如何在 Microsoft Purview 合規性入口網站 中設定進階設定
• 將您的原則複製到統一標籤平臺
• 部署統一標籤用戶端

為什麼要移轉至統一標籤解決方案？

除了 傳統用戶端日落之外，移轉至統一卷標解決方案可讓您有效地保護整個數字資產的敏感數據。 移轉之後，請在 Microsoft 365 雲端服務、內部部署、第三方 SaaS 應用程式中使用 Microsoft Purview 資訊保護 等等。

MIP 支援許多基本資訊保護功能的內建標籤服務，讓您只針對內建標籤不支持的額外功能保留用戶端使用量。

• 藉由部署和維護較少的額外軟體來降低維護成本
• 增加 Office 效能，而不需要額外的載入宏
• 使用 Microsoft Purview 合規性入口網站，簡化 AIP、Office 365 和 Windows 之間的標籤和保護原則管理。

如需詳細資訊，請參閱 瞭解統一卷標移轉部落格。

規劃移轉

雖然 AIP 傳統用戶端可用的大部分功能也適用於統一卷標用戶端，但某些功能尚未完全可用，有些功能則以不同的方式設定為統一標籤。

請檢閱下列文章，以瞭解您在使用統一卷標用戶端時所使用的 資訊保護 功能有何不同：

• 瞭解 Office 應用程式 中的內建標籤功能
• 瞭解內建標籤和 AIP 統一卷標用戶端
• 瞭解如何管理 Microsoft Purview 合規性入口網站 中目前不支援的標籤設定

提示

如果客戶端之間有影響使用者行為的差異，建議您在部署統一卷標用戶端併發佈新原則之前，有效地將這些變更傳達給使用者。

規劃移轉並瞭解將發生的變更之後，請繼續進行 將標籤移轉至統一卷標平臺。

將標籤移轉至統一標籤平臺

規劃移轉並考慮如何管理客戶端的差異之後，您就可以開始啟用統一卷標並移轉標籤。

在移轉時，您可以繼續使用 Azure 入口網站 中 Azure 資訊保護 區域中的 AIP 傳統客戶端和原則。 這兩個用戶端可以並行運作，而不需要任何額外的設定。

1. 以下列其中一個角色的系統管理員身分登入 Azure 入口網站：

   • 合規性系統管理員
   • 合規性數據管理員
   • 安全性系統管理員
   • 全域管理員

2. 在 [Azure 資訊保護] 區域中，選取左側的 [管理] 底下，選取 [統一卷標]。

   在頁面頂端，選取 [ 啟用 ] 以啟用統一標籤。

   您的標籤會從 Azure 資訊保護 複製到統一標籤平臺，現在會儲存在這兩個系統中。

   開啟 Microsoft Purview 合規性入口網站，以比較顯示於 Azure 資訊保護 區域中的標籤。 這兩個清單應該相同。 例如，與 Microsoft Purview 合規性入口網站 比較時：

   

   注意

   如有需要，請繼續使用這兩個系統中的標籤，直到您完成移轉為止。 如需詳細資訊，請參閱 同步處理標籤編輯。

繼續進行 將原則複製到統一標籤平臺。

同步標籤編輯

將標籤移轉至 Microsoft Purview 合規性入口網站 之後，您繼續對 Azure 入口網站 中移轉標籤所做的任何編輯都會自動同步至 Microsoft Purview 合規性入口網站 中的相同標籤。

不過，對 Microsoft Purview 合規性入口網站 中移轉標籤所做的編輯不會同步處理回 Azure 入口網站。 如果您在 Microsoft Purview 合規性入口網站 中進行編輯，並需要在 Azure 入口網站 中更新它們，請返回入口網站以發佈更新。

若要在 Azure 入口網站 中發佈更新的標籤：

1. 在 [Azure 資訊保護] 區域中，於左側的 [管理] 底下，選取 [統一卷標]。

2. 選取發行。

注意

只有在您已在統一標籤平臺中對已移轉的標籤編輯，而且需要與 Azure 入口網站 同步處理這些編輯時，才需要此步驟。

透過PowerShell移轉標籤

您也可以使用 PowerShell 來移轉現有的標籤，例如 GCC High 環境。

使用 New-Label Cmdlet 來移轉現有的敏感度標籤。

例如，如果您的敏感度標籤具有加密，您可以使用 New-Label Cmdlet，如下所示：

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

如需在 GCC、GCC-High 和 DoD 環境中工作的詳細資訊，請參閱 Azure 資訊保護 進階版 Government 服務描述。

將原則複製到統一標籤平臺

複製您想要在統一標籤平臺中可用之 Azure 入口網站 中儲存的任何原則。

這項功能目前為「預覽」狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未發行的版本) 的其他法律條款。

注意

複製原則有某些限制。 您也可以從頭開始，並在 Microsoft Purview 合規性入口網站 中手動建立原則。 如需詳細資訊，請參閱 Microsoft 365 檔。

若要複製您的原則：

1. 請考慮下列專案，並確認您目前要複製原則：

   考量事項	描述
   複製原則會 複製所有 原則	複製原則僅支援複製特定原則 -這是您所有的原則，或目前沒有任何原則。
   複製會自動發佈您的原則	將原則複製到統一卷標用戶端，會自動將它們發佈至所有統一標籤支援的用戶端。 重要事項：如果您不想發佈原則，請勿複製原則。
   複製會覆寫相同名稱的現有原則	如果您有已在 Microsoft Purview 合規性入口網站 中已有相同名稱的原則，複製您的原則將會覆寫該原則中定義的任何設定。 從 Azure 入口網站 複製的所有原則都會以下列語法命名：AIP_<policy name>。
   不會複製某些客戶端設定	某些客戶端設定不會複製到統一標籤平臺，而且必須在移轉之後手動設定。 如需詳細資訊，請參閱 設定進階標籤設定

2. 以下列其中一個角色的系統管理員身分登入 Azure 入口網站：

   • 合規性系統管理員
   • 合規性數據管理員
   • 安全性系統管理員
   • 全域管理員

3. 在 [Azure 資訊保護] 區域中，於左側的 [管理] 底下，選取 [統一卷標]。

4. 選取 [複製原則][預覽]。 您儲存在 Azure 入口網站 中的所有原則都會複製到 Microsoft Purview 合規性入口網站。

   如果 Microsoft Purview 合規性入口網站 中已經有具有相同名稱的原則，則會以 Azure 入口網站 中的設定覆寫原則。

   重要

   如果您目前使用 適用於雲端的 Microsoft Defender Apps 和 Azure 資訊保護 標籤，請確認您已將至少一個具有最小卷標集的原則發佈至 Microsoft Purview 合規性入口網站，即使該原則的範圍是單一使用者。

   適用於雲端的 Microsoft Defender Apps 需要此原則，才能識別 Microsoft Purview 合規性入口網站 中的所有標籤，並在 適用於雲端的 Microsoft Defender Apps 入口網站中顯示標籤。

既然您已移轉標籤和原則，請繼續進行 設定進階標籤設定 ，以涵蓋未移轉的任何進階設定。

設定進階標籤設定

如規劃階段所述，某些進階卷標設定不會自動移轉，而且必須針對統一卷標平臺重新設定。

如需詳細資訊，請參閱

• 在 PowerShell 中設定進階標籤設定
• 在 Microsoft Purview 合規性入口網站 中定義標籤條件

在 PowerShell 中設定進階標籤設定

1. 連線 安全性與合規性中心 PowerShell 模組。 如需詳細資訊，請參閱 安全性與合規性中心 PowerShell 檔。

2. 若要定義進階標籤設定，請使用 Set-Label Cmdlet，指定 Advanced 設定 參數、您要套用設定的標籤，以及用來定義設定的索引鍵/值組。

   使用下列語法：

   Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{<Key>="<value1>,<value2>"}
   

   其中：

   • <LabelGUIDorName> 使用標籤名稱或 GUID 來識別您的標籤
   • <Key> 是您要裝置之進階設定的索引鍵或名稱
   • <Value> 是您想要定義的設定值。 以引弧括住您的值，並以逗號分隔多個值。 不支援空格符。

3. 開始設定下列進階設定：

   • 指定標籤的色彩
   • 指定父卷標的預設子捲標
   • 設定標籤以在 Outlook 中套用 S/MIME 保護
   • 使用自訂屬性定義標籤
   • 定義標籤翻譯。

   如需可用進階組態的詳細資訊，請參閱 管理員 指南：Azure 資訊保護 統一卷標用戶端的自定義設定。

注意

若要利用您為統一標籤平臺定義的設定，用戶必須在其電腦上安裝統一標籤用戶端。

這些進階設定不適用於只有 Office 365 提供的內建標籤的使用者。

在 Microsoft Purview 合規性入口網站 中定義標籤條件

統一標籤條件比在 Azure 入口網站 中建立的對應專案更具彈性和更好的精確度。

若要利用統一標籤條件功能，請在 Microsoft Purview 合規性入口網站 中手動建立標籤條件。

如需詳細資訊，請參閱 Microsoft 365 檔中的敏感度標籤可以執行的動作 。

提示

如果您已建立任何自定義敏感性資訊類型來與 Office 365 DLP 或 適用於雲端的 Microsoft Defender Apps 搭配使用，請依規定將它們套用至統一標籤。 如需詳細資訊，請參閱 Microsoft 365 檔。

部署統一標籤用戶端

部署支援使用者機器統一標籤的用戶端，以確保其能夠使用統一卷標原則和標籤。

用戶必須具有可連線到 Microsoft Purview 合規性入口網站 並提取統一標籤原則的支援用戶端。

如需詳細資訊，請參閱

• 非 Windows 平臺
• Windows 平臺
• 傳統用戶端使用者有哪些變更？

非 Windows 平臺

針對非 Windows 平臺上的使用者，統一標籤功能會直接整合到 Office 用戶端中，而且可以使用您立即發佈的任何標籤。

具有整合式統一標籤功能的 Office 用戶端包括：

• macOS 版 Office 用戶端
• Office 網頁版 （預覽）
• Outlook Web 應用程式
• 適用於行動裝置的 Outlook

如需這些平臺中統一標籤的詳細資訊，請參閱在 Microsoft 支援服務 網站上將敏感度標籤套用至 Office 中的檔案和電子郵件。

Windows 平台

針對具有 Microsoft 365 Apps 企業版的 Windows 機器，請使用 Office 1910 版和更新版本中提供的內建卷標支援，或安裝 Azure 資訊保護 統一卷標用戶端，將 AIP 功能延伸至 檔案總管 或 PowerShell。

如需詳細資訊，請參閱

• 瞭解內建標籤和 AIP 統一卷標用戶端
• 快速入門：部署 Azure 資訊保護 （AIP） 統一卷標用戶端

您可以從 Microsoft 下載中心下載 Azure 資訊保護 統一卷標用戶端。

請確定您使用 AzInfoProtection_UL 檔案來部署用戶端。 如果您目前已在計算機上安裝傳統用戶端，則安裝統一標籤客戶端會執行就地升級。

注意

判斷何時使用內建標籤，以及何時使用統一卷標用戶端時，請考慮貴組織目前所需的AIP功能。

傳統用戶端終端使用者有哪些變更？

對於使用 Azure 資訊保護 傳統用戶端的用戶來說，最明顯的主要差異在於，Office 應用程式 中的 [保護] 按鈕會由 [敏感度] 按鈕取代。

一旦您利用敏感度標籤和統一標籤所支援的其他功能，使用者也會在其 Office 應用程式 中看到這些變更。

例如：

• Windows AIP 傳統用戶端

  

• Windows AIP 統一卷標用戶端

  

提示

如果您已發佈標籤，且具有內建支援的用戶端未顯示 [敏感度 ] 按鈕，請視需要檢視相關的疑難解答指南。

從傳統客戶端升級掃描器

如果您目前使用來自 Azure 資訊保護 傳統用戶端的 Azure 資訊保護 掃描器，您可以將它升級為使用從 Microsoft Purview 合規性入口網站 發佈的敏感性資訊類型和敏感度標籤。

如何升級掃描器取決於您目前正在執行的傳統用戶端版本：

• 從 1.48.204.0 版和更新版本升級

• 從 1.48.204.0 之前的版本升級

升級會建立名為 AIPScannerUL_<profile_name> 的新資料庫，而且，如果您需要舊版的掃描器資料庫，則會保留先前的掃描儀資料庫。 當您確信不需要先前的掃描器資料庫時，可以將其刪除。 因為升級會建立新的資料庫，所以掃描器會在第一次執行時重新掃描所有檔案。

從 Azure 資訊保護 傳統用戶端版本 1.48.204.0 和更新版本的此客戶端升級

如果您使用統一標籤的預覽版本升級掃描器，則不需要再次執行這些指示。

1. 在掃描儀計算機上，停止掃描器服務 Azure 資訊保護 掃描器。

2. 從 Microsoft 下載中心下載並安裝統一卷標用戶端，以升級至 Azure 資訊保護 統一卷標用戶端。

3. 在 PowerShell 工作階段中，使用掃描器的設定檔執行 Update-AIPScanner 命令。 例如： Update-AIPScanner –Profile Europe 。

   此步驟會建立名稱 為 AIPScannerUL_<的新資料庫profile_name>

4. 重新啟動 Azure 資訊保護 掃描器服務 Azure 資訊保護 掃描器。

您現在可以使用部署 Azure 資訊保護 掃描器中的其餘指示來自動分類和保護檔案，省略步驟來安裝掃描器。 由於掃描器已安裝，因此沒有理由再次安裝掃描器。

從 1.48.204.0 之前的 Azure 資訊保護 傳統用戶端版本升級

重要

若要順利升級路徑，請勿在執行掃描器的計算機上安裝 Azure 資訊保護 統一卷標客戶端，作為升級掃描器的第一個步驟。 請改用下列升級指示。

從 1.48.204.0 版開始，掃描器會使用組態配置檔，從 Azure 入口網站 取得其組態設定。 升級掃描器包括指示掃描器使用此在線設定，以及針對統一卷標用戶端，不支援掃描器的離線設定。

1. 使用 Azure 入口網站 建立新的掃描器配置檔，其中包含掃描器和數據存放庫的設定，以及其所需的任何設定。 如需此步驟的說明，請參閱從掃描器部署指示 Azure 入口網站 中設定掃描器。

2. 在掃描儀計算機上，停止掃描器服務 Azure 資訊保護 掃描器。

3. 從 Microsoft 下載中心下載並安裝統一卷標用戶端，以升級至 Azure 資訊保護 統一卷標用戶端。

4. 在 PowerShell 工作階段中，以您在步驟 1 中指定的相同配置檔名稱執行 Update-AIPScanner 命令。 例如：Update-AIPScanner –Profile Europe

5. 重新啟動 Azure 資訊保護 掃描器服務 Azure 資訊保護 掃描器。

您現在可以使用部署 Azure 資訊保護 掃描器中的其餘指示來自動分類和保護檔案，省略步驟來安裝掃描器。 由於掃描器已安裝，因此沒有理由再次安裝掃描器。

下一步

一旦您視需要移轉標籤、原則和部署用戶端，請只在 Microsoft Purview 合規性入口網站 中管理標籤和標籤原則，以繼續進行。

使用統一標籤平臺，您只需要返回 Azure 入口網站 中的 Azure 資訊保護 區域， 即可：

• 使用 AIP 掃描器
• 使用 AIP 分析監視標籤活動

我們建議終端使用者在 Web、Mac、iOS 和 Android 的最新 Office 應用程式 以及 Microsoft 365 Apps 企業版中運用內建卷標功能。

若要使用內建標籤尚未支援的其他 AIP 功能，我們建議使用適用於 Windows 的最新統一標籤用戶端。