Azure 資訊保護傳統用戶端系統管理員指南

  • 發行項

如果您負責企業網路上的 Azure 資訊保護用戶端,或如果您想要更多 Azure 資訊保護用戶端使用者指南以外的技術資訊,請使用本指南的下列資訊。

例如:

  • 了解此用戶端的不同元件以及是否應該安裝它

  • 如何使用必要條件、安裝選項和參數及驗證檢查的相關資訊,來為使用者安裝用戶端

  • 如何採用通常需要編輯登錄的自訂設定

  • 找到用戶端檔案和使用情況記錄

  • 識別用戶端所支援的檔案類型

  • 為使用者設定和使用文件追蹤網站

  • 使用採用 PowerShell 的用戶端提供命令列控制

還有這份文件中尚未解決的問題嗎? 請瀏覽我們的 Azure 資訊保護 Yammer 網站

Azure 資訊保護用戶端技術概觀

Azure 資訊保護用戶端包含下列內容︰

  • Office 增益集,可安裝 Azure 資訊保護列供使用者選取分類標籤,以及功能區上可用於顯示其他選項的 [保護] 按鈕。 對於 Outlook,也會在功能區中提供 [不可轉寄] 按鈕。

  • Windows 檔案總管,供使用者將分類標籤和保護套用至檔案的快顯功能表選項。

  • 當內建應用程式無法開啟受保護的檔案時,顯示受保護的檔案檢視器。

  • PowerShell 模組,用來套用及移除檔案的分類標籤和保護。

    本課程模組包含用來安裝和設定 Azure 資訊保護掃描器的 Cmdlet,其會在 Windows Server 上以服務的形式執行。 此服務可讓您探索、分類和保護資料存放區 (例如網路共用和 SharePoint Server 程式庫) 上的檔案。

  • Rights Management 用戶端,可與 Azure Rights Management (Azure RMS) 或 Active Directory Rights Management 服務 (AD RMS) 進行通訊。

Azure 資訊保護用戶端最適合搭配其 Azure 服務使用:Azure 資訊保護和其資料保護服務 Azure Rights Management。 不過,Azure 資訊保護用戶端也可以搭配 Rights Management 內部部署版本 AD RMS 使用,但有一些限制。 如需 Azure 資訊保護和 AD RMS 支援的功能完整比較,請參閱比較 Azure 資訊保護與 AD RMS

如果您有 AD RMS 並想要移轉至 Azure 資訊保護,請參閱從 AD RMS 移轉至 Azure 資訊保護

您是否應該部署 Azure 資訊保護用戶端?

如果您未在 Microsoft 365 中使用敏感度標籤,而是改用您從 Azure 下載的 Azure 資訊保護 標籤,則部署 Azure 資訊保護 用戶端,並適用下列任何一項:

  • 您希望透過從您的 Office 應用程式 (Word、Excel、PowerPoint、Outlook) 內選取標籤,來分類 (並選擇性地保護) 文件與電子郵件訊息。

  • 您希望使用支援其他檔案類型 (相較於 Office 所支援的檔案類型)、多重選取與資料夾的 [檔案總管] 來分類 (並選擇性地保護) 檔案。

  • 您希望使用 PowerShell 命令執行指令碼,來分類 (並選擇性地保護) 文件。

  • 您想要執行的服務可探索、分類並選擇性地保護內部部署環境中所儲存的檔案。

  • 當內建應用程式顯示檔案未安裝或無法開啟這些檔時,您想要檢視受保護的檔。

  • 您只希望使用 [檔案總管] 或使用 PowerShell 命令來保護檔案。

  • 您希望使用者和系統管理員能夠追蹤及撤銷受保護的文件。

  • 您希望針對資料復原用途,大量移除檔案和容器的加密 (解除保護)。

  • 您執行 Office 2010 且希望使用 Azure Rights Management 服務來保護文件和電子郵件訊息。

    請注意,Office 2010 年 10 月 13 日終止擴充支援。 如需詳細資訊,請參閱 AIP 和舊版 Windows 和 Office 版本

示範 Office 應用程式中 Azure 資訊保護用戶端增益集的範例,其中顯示您組織的分類標籤,以及功能區上的新 [保護] 按鈕:

Azure Information Protection bar with default policy

安裝和支援 Azure 資訊保護用戶端

您可以使用可執行檔或 Windows 安裝程式檔案來安裝 Azure 資訊保護用戶端。 如需每個選項的詳細資訊以及相關指示,請參閱為使用者安裝 Azure 資訊保護用戶端

請使用下列各節來取得安裝用戶端的支援資訊。

安裝檢查和疑難排解

安裝用戶端時,請使用 [說明與意見反應] 選項開啟 [Microsoft Azure 資訊保護] 對話方塊:

  • 從 Office 應用程式:在 [常用] 索引標籤上的 [保護] 群組中,選取 [保護],然後選取 [說明與意見反應]

  • 從 [檔案總管]:以滑鼠右鍵選取檔案、多個檔案,或是資料夾,選取 [分類及保護],然後選取 [說明與意見反應]

[說明與意見反應] 區段

[顯示詳細資訊連結] 根據預設會前往 Azure 資訊保護網站,但您能將其以 Azure 資訊保護原則的其中一項原則設定來設定為自訂 URL。

只有當您指定進階用戶端設定時,才會顯示 [回報問題] 連結。 當您設定此設定時,請指定 HTTP 連結,例如技術支援中心的電子郵件地址。

如果您已被要求將 Azure 資訊保護用戶端的記錄檔傳送給 Microsoft 支援服務,[匯出記錄] 會自動收集並附加這些檔案。 終端使用者也會使用此選項,將這些記錄檔傳送至您的技術支援中心。

[重設設定] 會登出使用者、刪除目前已下載的 Azure 資訊保護原則,然後重新設定 Azure Rights Management 服務的使用者設定。

注意

如果您有用戶端的技術問題,請參閱 支援選項和社群資源

[重設設定] 選項的詳細資訊

  • 您不必是本機系統管理員也可以使用此選項,而且此動作不會記錄在事件檢視器中。

  • 除非檔案被鎖住,否則此動作會刪除下列位置中的所有檔案。 這些檔案包含用戶端憑證、版權管理範本、Azure 資訊保護原則,以及快取的使用者認證。 用戶端記錄檔不會刪除。

    • %LocalAppData%\Microsoft\DRM

    • %LocalAppData%\Microsoft\MSIPC

    • %LocalAppData%\Microsoft\MSIP\Policy.msip

    • %LocalAppData%\Microsoft\MSIP\TokenCache

  • 將會刪除下列登錄機碼與設定。 若任何這些登錄機碼的設定有自訂值,則必須在重設用戶端後予以重新設定。

    企業網路通常會使用群組原則進行這些設定,如此一來,在電腦上的群組原則更新時這些設定也會自動重新套用。 但是,可能有些設定是使用指令碼進行一次性設定,或手動設定。 在這些情況下,您必須採取其他步驟以重新進行這些設定。 例如,因為您要從 AD RMS 移轉,但在網路上仍有服務連接點,所以電腦可能會執行一次指令碼來進行重新導向至 Azure 資訊保護的設定。 重設用戶端後,電腦必須再次執行此指令碼。

    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Common\Identity

    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\14.0\Common\DRM

    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Common\DRM

    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common\DRM

    • HKEY_CURRENT_USER\SOFTWARE\Classes\Local Settings\Software\Microsoft\MSIPC

  • 目前登入的使用者已登出。

[用戶端狀態] 區段

使用 [連線方式] 值以確認顯示的使用者名稱可識別要用於 Azure 資訊保護驗證的帳戶。 此使用者名稱必須符合用於Microsoft 365或Azure Active Directory的帳戶。 此帳戶也必須屬於設定 Azure 資訊保護的租用戶。

如果您需要以不同於顯示的使用者身分登入,請參閱以不同的使用者身分登入自訂。

[上次連線] 可顯示用戶端上一次連線到貴組織的 Azure 資訊保護的時間。 您可以搭配這項資訊使用已於 (日期和時間) 安裝資訊保護原則來確認 Azure 資訊保護原則為最新安裝或已更新。 用戶端在連線到服務的時候,如果發現目前的原則有所變更,便會自動下載最新的原則。該服務每 24 小時也會自動下載最新的原則。 如果您在所顯示的時間之後有變更原則,請將 Office 應用程式關閉再重新開啟。

如果您看到此用戶端未取得 Office 專業增強版的授權:Azure 資訊保護用戶端已偵測到安裝的 Office 版本不支援套用 Rights Management 保護。 做出這項偵測時,套用保護的標籤不會顯示在 Azure 資訊保護列上。

使用 [版本] 資訊來確認已安裝的用戶端版本。 您可以按一下 [ 新功能 ] 連結來檢查這是最新版本,以及對應的修正程式和新功能,以讀取用戶端的 發行管理和支援性

支援多種語言

Azure 資訊保護用戶端支援Microsoft 365支援的語言。 如需這些語言的清單,請參閱Office中的國際可用性頁面。

Azure 資訊保護用戶端的這些語言、功能表選項、對話方塊及訊息會以使用者的語言顯示。 因為有單一安裝程式會偵測語言,所以不需要其他設定即可安裝其他語言的 Azure 資訊保護用戶端。

不過,當您設定 Azure 資訊保護原則中的標籤時,您指定的標籤名稱和描述不會自動轉譯。 自 2017 年 8 月 30 日開始,目前的預設原則會包含某些語言的支援。 為讓使用者看到以其偏好語言顯示的標籤,請提供您自己的翻譯,並設定 Azure 資訊保護原則使用這些翻譯。 如需詳細資訊,請參閱如何在 Azure 資訊保護中設定不同語言的標籤。 視覺標記不會轉譯,也不支援多個語言。

後續安裝工作

安裝 Azure 資訊保護用戶端之後,請確定您已將有關如何為文件加上標籤的指示與要針對特定情節選擇哪些標籤的指導方針提供給使用者。 例如:

升級並維護 Azure 資訊保護用戶端

Azure 資訊保護小組會針對新功能和修正定期更新 Azure 資訊保護用戶端。 公告會張貼在該小組的 Yammer 網站

如果您使用 Windows Update,Azure 資訊保護用戶端會自動升級用戶端的正式上市版本,無論用戶端的安裝方式為何。 新的用戶端版本會在此次發佈之後的幾個星期發佈到目錄。

或者,您可以使用較新的版本安裝手動升級用戶端。 您必須使用這個方法來升級預覽版本。

當您手動升級時,只有變更安裝方法的時候,才需先解除安裝舊的版本。 例如,您將用戶端的可執行檔 (.exe) 版本變更成用戶端的 Windows 安裝程式 (.msi) 版本。 或者,如果您需要安裝舊版的用戶端。 例如,您安裝的目前預覽版本是用於測試用途,但現在需要還原為目前的正式發行版本。

使用發行管理和支援能力,瞭解 Azure 資訊保護 用戶端的支援原則、目前支援的版本,以及每個支援的版本中包含的內容。

升級 Azure 資訊保護掃描程式

使用下列指示,將掃描器從 1.48.204.0 之前的正式運作版本升級至目前版本的掃描器。

將掃描器升級至目前版本

重要

若要順利升級路徑,請勿在執行掃描器的電腦上安裝 Azure 資訊保護 用戶端,作為升級掃描器的第一個步驟。 您應該改為使用下列升級指示。

從 1.48.204.0 版開始,舊版的升級程式會自動變更掃描器,以從Azure 入口網站取得其組態設定。 此外,會針對掃描器的設定資料庫更新結構描述,而且也會從 AzInfoProtection 重新命名此資料庫:

  • 如果您未指定自己的設定檔名稱,組態資料庫會重新命名AIPScanner_ < computer_name >

  • 如果您指定自己的設定檔名稱,組態資料庫會重新命名AIPScanner_ < profile_name >

儘管能夠以不同順序升級掃描器,但我們建議使用下列步驟:

  1. 使用 Azure 入口網站來建立新的掃描器設定檔,其中包含掃描器的設定以及含有它們所需之任何設定的資料存放庫。 如需此步驟的說明,請參閱從掃描器部署指示在Azure 入口網站中設定掃描器

    如果執行掃描器的電腦與網際網路中斷連線,您仍然需要執行此步驟。 接著,從 Azure 入口網站使用 [匯出] 選項,將掃描器設定檔匯出至檔案。

  2. 在掃描器電腦上,停止掃描器服務 (Azure 資訊保護掃描器)。

  3. 安裝目前的正式運作 (GA) 版本,以升級 Azure 資訊保護 用戶端。

  4. 在 PowerShell 會話中,以您在步驟 1 中指定的相同設定檔名稱執行 Update-AIPScanner 命令。 例如:Update-AIPScanner –Profile Europe

  5. 只有在掃描器在已中斷連線的電腦上執行時:現在執行 Import-AIPScannerConfiguration 並指定包含匯出設定的檔案。

  6. 重新啟動 Azure 資訊保護掃描器服務 (Azure 資訊保護掃描器)。

您現在可以使用部署 Azure 資訊保護掃描器中的其餘指示來自動分類和保護檔案,省略步驟來安裝掃描器。 因為已安裝掃描器,所以沒有理由再次安裝掃描器。

如果您未在執行 Update-AIPScanner 命令之前,於 Azure 入口網站設定掃描器,則不需具有可指定要針對升級程序識別掃描器組態設定的設定檔名稱。

在此案例中,當您在 Azure 入口網站設定掃描器時,必須確切地指定您在執行 Update-AIPScanner 命令時所使用的同一個設定檔名稱。 如果名稱不符,將不會為您的設定來設定掃描器。

提示

若要識別具有此設定錯誤的掃描器,請使用Azure 入口網站中的[Azure 資訊保護 - 節點]窗格。

對於具有網際網路連線功能的掃描器,他們會使用 Azure 資訊保護 用戶端的 GA 版本號碼來顯示其電腦名稱稱,但沒有設定檔名稱。 只有版本號碼為 1.41.51.0 的掃描器才會在此窗格中顯示任何設定檔名稱。

如果您在執行 Update-AIPScanner 命令時未指定設定檔名稱,就會使用電腦名稱自動建立掃描器的設定檔名稱。

將掃描器設定資料庫移至不同的 SQL Server 執行個體

在目前的 GA 版本中,如果您嘗試在執行升級命令之後,將掃描器組態資料庫移至新的 SQL Server 實例,就會發生已知問題。

如果您知道您想要移動 GA 版本的掃描器組態資料庫,請執行下列動作:

  1. 使用 Uninstall-AIPScanner 解除安裝掃描器。

  2. 如果您尚未升級至 Azure 資訊保護用戶端的目前 GA 版本,請立即升級用戶端。

  3. 使用 Install-AIPScanner,指定新的 SQL Server 執行個體和設定檔名稱,來安裝掃描器。

  4. 選擇性:如果您不想讓掃描器重新掃描所有檔案,請匯出 ScannerFiles 資料表,並將其匯入至新的資料庫。

解除安裝 Azure 資訊保護用戶端

您可以使用下列任何選項來解除安裝用戶端:

  • 使用主控台卸載程式:按一下[Microsoft Azure 資訊保護>Uninstall]

  • 重新執行可執行檔 (例如,AzInfoProtection.exe),並從 [修改安裝程式] 頁面上,按一下 [解除安裝]

  • 利用 /uninstall 執行可執行檔。 例如: AzInfoProtection.exe /uninstall

後續步驟

若要安裝用戶端,請參閱為使用者安裝 Azure 資訊保護用戶端

如果您已經安裝用戶端,請參閱下列主題,以取得您支援此用戶端可能需要的其他資訊: