在 Windows 上扩展敏感度标签
Microsoft Purview 信息保护客户端将 敏感度标签 扩展到 Microsoft 365 应用和服务中内置的标签之外,并支持 更广泛的文件类型。
此客户端仅在 Windows 上运行,并替换 Azure 信息保护 (AIP) 统一标记客户端。 它具有以下组件:
组件 | 说明 |
---|---|
信息保护扫描程序 | 用于发现、标记和加密数据存储(例如网络共享和 SharePoint Server 库)上的文件。 |
信息保护文件标签器 | 用于使用文件资源管理器应用敏感度标签和加密。 |
信息保护查看器 | 用于查看已加密的文件。 |
Microsoft Purview 信息保护 PowerShell 模块 | 用于调整文件的敏感度标签,以及安装和配置Microsoft Purview 信息保护扫描程序。 |
Microsoft Purview 信息保护客户端没有 Office 加载项,因为此功能已替换为 Office 中内置的敏感度标签。
有关每个客户端版本的最新版本信息和支持时间线,请参阅 Microsoft Purview 信息保护客户端 - 版本管理和可支持性。
部署信息保护客户端的要求
若要使用 Microsoft Purview 信息保护客户端,请在要使用客户端组件的 Windows 计算机上安装此客户端。
还必须满足以下要求:
以下操作系统支持 Microsoft Purview 信息保护客户端:
- Windows 11
- Windows 10 RS4 版本及 更高版本不支持 Windows 10 (x64) (手写。)
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2 和 Windows Server 2012
不支持 ARM64。
安装或升级信息保护客户端
如果以交互方式安装 Microsoft Purview 信息客户端,并且检测到 Azure 信息保护 (AIP) 统一标记客户端,则可以在确认将删除适用于 Office 的 AIP 外接程序后升级旧版客户端。
注意
如果本地计算机上存在任何 Azure 信息保护客户端版本,则使用 Microsoft 更新目录或任何其他非交互式安装进行升级需要 注册表项配置 。
有两个选项可用于安装信息保护客户端:
- 使用 .exe 安装程序安装信息保护客户端
- 使用 .msi 安装程序安装信息保护客户端
如果要从 Azure 信息保护 (AIP) 统一标记客户端或以前版本的信息保护客户端升级信息保护扫描程序,请参阅在使用这些客户端安装说明之前 升级 Microsoft Purview 信息保护扫描程序 。
若要使用 .exe 文件安装信息保护客户端,请执行以下操作:
从 Microsoft 下载中心下载 Microsoft Purview 信息保护客户端的可执行版本。 例如, PurviewInfoProtection.exe。
重要
如果有可用的预览版本,请仅使用该版本进行测试。 它不适用于生产环境中的最终用户。
对于默认安装,只需运行可执行文件。 若要查看所有安装选项,请先使用 /help 运行可执行文件。 例如:
PurviewInfoProtection.exe **/help**
- 若要以无提示方式安装客户端,请运行:
PurviewInfoProtection.exe /quiet
- 若要仅以无提示方式安装 PowerShell cmdlet,请运行:
PurviewInfoProtection.exe PowerShellOnly=true /quiet
注意
默认情况下,启用将使用情况统计信息发送到Microsoft的选项。 若要禁用此选项,请确保执行以下步骤之一:
- 在安装过程中,指定 AllowTelemetry=0
- 安装后,按如下所示更新注册表项: EnableTelemetry=0。
- 若要以无提示方式安装客户端,请运行:
若要完成安装,请重启文件资源管理器的任何实例。
通过检查默认在 %temp% 文件夹中创建的安装日志文件,确认安装成功。
安装日志文件具有以下命名格式:
Microsoft_Azure_Information_Protection_<number>_<number>_MSIP.Setup.Main.msi.log
例如: Microsoft_Azure_Information_Protection_20161201093652_000_MSIP.Setup.Main.msi.log
在日志文件中,搜索以下字符串: Product:Microsoft Purview 信息保护--安装成功完成。 如果安装失败,此日志文件包含详细信息,可帮助你识别和解决任何问题。
提示
可以使用 /log 安装参数更改安装日志文件的位置。
日志文件位置
客户端和扫描程序日志文件位于 Windows 计算机上的以下位置:
- \ProgramFiles (x86) \Microsoft Purview 信息保护 仅 (64 位操作系统)
- \Program Files\Microsoft Purview 信息保护 仅 (32 位操作系统)
- %localappdata%\Microsoft\MSIP
支持的语言
信息保护客户端支持 Office 365 支持的相同语言。 有关这些语言的列表,请参阅 Office 中的 “国际可用性 ”页。
对于这些语言,菜单选项、对话框和来自 Microsoft Purview 信息保护客户端的消息以用户的语言显示。 有一个安装程序可以检测语言,因此无需进行其他配置即可安装不同语言的信息保护客户端。
但是,在管理门户中配置标签时,指定的标签名称和说明不会自动转换。 若要让用户查看其首选语言的标签,请提供自己的翻译,并使用 PowerShell 和 Set-Label的 LocaleSettings 参数为标签配置它们。 有关详细信息,请参阅 为不同语言配置敏感度标签的示例配置。
支持的文件类型
本部分列出了 Microsoft Purview 信息保护客户端支持的文件类型。 对于列出的文件类型,不支持 WebDav 位置。
提示
如果加密的文件类型没有内置加密支持,因此使用通用加密,我们建议你为这些文件分配共同所有者的权限。
可以在不加密的情况下标记以下文件类型。
Adobe Portable 文档格式: .pdf
Microsoft项目: .mpp、.mpt
Microsoft发布服务器: .pub
Microsoft XPS: .xps .oxps
图像: .jpg、.jpe、.jpeg、.jif、.jfif、.jfi。 png、.tif、.tiff
Autodesk Design Review 2013: .dwfx
Adobe Photoshop: .psd
数字底片: .dng
Microsoft Office: 以下文件类型,包括 Word、Excel 和 PowerPoint 的 97-2003 文件格式和 Office Open XML 格式。
Word Excel PowerPoint Visio .doc .xls .potm .vdw .docm .xlsb .potx .vsd .docx .xlst .pps .vsdm .dot .xlsm .ppsm .vsdx .doctm .xlsx .ppsx .vss .dotx .xltm .vssm .xltx .vst .vstm .vssx .vstx
排除的文件夹和文件类型
为了帮助防止用户更改对计算机操作至关重要的文件,某些文件类型和文件夹会自动被排除在分类和标记之外。 如果用户尝试使用信息保护客户端来标记这些文件,则会看到一条消息,指出这些文件已排除。
信息保护客户端从分类和标记中排除以下文件夹:
- Windows
- 程序文件 (\Program Files 和 \Program Files (x86) )
- \ProgramData
- 所有用户) 的 \AppData (
默认情况下无法加密的文件类型
客户端无法对受密码保护的任何文件进行本机加密,除非该文件当前在应用加密的应用程序中打开。 你经常看到受密码保护的 PDF 文件,但其他应用程序(如 Office 应用)也提供此功能。
支持检查的文件类型
信息保护客户端使用 Windows IFilter 检查文档的内容。 Windows IFilter 由 Windows 搜索用于索引编制。 因此,使用 Set-FileLabel -Autolabel PowerShell 命令时,可以检查以下文件类型。
应用程序类型 | 文件类型 |
---|---|
Word | .doc、.docx、.docm、.dot、.dotx |
Excel | .xls、.xlt、.xlsx、.xlsm、.xlsb |
PowerPoint | .ppt、.pps、.pot、.pptx |
Text | .txt、.xml、.csv |
扫描 .ZIP 文件
可以使用信息保护扫描程序或 Set-FileLabel PowerShell 命令检查 .zip 文件。
注意
在 Windows Server 计算机上安装信息保护扫描程序时,还必须安装 Microsoft Office iFilter,以便扫描 .zip 文件的敏感信息类型。 有关详细信息,请参阅 Microsoft下载站点。
找到敏感信息后,如果 .zip 文件应使用标签进行标记和加密,请根据扫描程序部署说明使用 PowerShell PFileSupportedExtensions 高级设置指定 .zip 文件扩展名。
示例方案:
名为 accounts.zip 的文件包含带有信用卡号的 Excel 电子表格。 你有一个名为 Confidential \ Finance 的敏感度标签,该标签配置为发现信用卡号,并自动应用加密标签,以限制对 Finance 组的访问。
检查文件后,PowerShell 会话中的客户端将此文件标记为 “机密\财务”。 接下来,客户端对文件应用通用加密,以便只有 Finance 组的成员可以解压缩该文件,并将文件重命名 为accounts.zip.pfile。
支持断开连接的计算机
默认情况下,信息保护客户端会自动尝试连接到 Internet,以从 Microsoft Purview 下载敏感度标签和敏感度标签策略设置。
如果计算机在一段时间内无法连接到 Internet,则可以导出和复制手动管理信息保护客户端策略的文件。
若要支持与信息保护客户端断开连接的计算机,请执行以下操作:
在 Microsoft Entra ID 中选择或创建用户帐户,用于下载要在断开连接的计算机上使用的标签和策略设置。
作为此帐户的附加标签策略设置,请关闭将审核数据发送到 Microsoft Purview,方法是使用 EnableAudit PowerShell 高级设置和 Set-LabelPolicy from Security & Compliance PowerShell。
建议执行此步骤,因为如果断开连接的计算机确实具有定期的 Internet 连接,它将将日志记录信息发送到包含步骤 1 中用户名的 Purview Microsoft。 该用户帐户可能与你在断开连接的计算机上使用的本地帐户不同。
从安装了信息保护客户端并使用步骤 1 中的用户帐户登录的 Internet 连接的计算机下载标签和策略设置。
从此计算机导出日志文件。
例如,运行 Export-DebugLogs cmdlet,或者从文件标签器使用客户端的“帮助和反馈”对话框中的“导出日志”选项。
日志文件作为单个压缩文件导出。
打开压缩文件,然后从 MSIP 文件夹中复制扩展名为 .xml 的任何文件。
将这些文件粘贴到断开连接的计算机上的 %localappdata%\Microsoft\MSIP 文件夹中。
如果你选择的用户帐户是通常连接到 Internet 的用户帐户,请再次启用发送审核数据,方法是将 EnableAudit 值设置为 True。
请注意,如果此计算机上的用户从文件标签器中的“帮助和反馈”中选择“重置设置”选项,则此操作将删除策略文件并使客户端不可操作,直到你手动替换文件或客户端连接到 Internet,以便它可以下载所需的文件。
如果断开连接的计算机正在运行信息保护扫描程序,则必须执行其他配置步骤。 有关详细信息,请参阅扫描程序部署说明中的 限制:扫描程序服务器无法建立 Internet 连接 。
支持的自定义项
信息保护客户端支持 PowerShell 高级设置和特定方案或用户可能需要的某些注册表设置。
有关 New-Label 或 Set-Label 支持的 PowerShell 高级设置,以及 Security & Compliance PowerShell 中的 New-LabelPolicy 或 Set-LabelPolicy ,请参阅 Microsoft Purview 信息保护客户端的高级设置。
使用以下部分来帮助配置支持的自定义项的注册表。
从 Azure 信息保护客户端启用非交互式升级
如果安装 Microsoft Purview 信息保护客户端,并且检测到 Azure 信息保护统一标记客户端,则客户端的交互式安装要求你确认将从旧版客户端中删除适用于 Office 的 AIP 外接程序。
若要对客户端使用非交互式安装,例如Microsoft更新目录、组策略或脚本,必须先卸载 Azure 信息保护客户端,或者为本地计算机创建并配置以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\AllowMajorVersionUpgrade (DWORD)
将值设置为 1 以静默方式允许升级和卸载 AIP Office 加载项;如果安装了 Azure 信息保护客户端, 则 0 会阻止升级。
更改本地日志记录级别
默认情况下,Purview 信息保护客户端将客户端日志文件写入 %localappdata%\Microsoft\MSIP 文件夹。 这些文件旨在通过Microsoft支持人员进行故障排除。
若要更改这些文件的日志记录级别,请在注册表中找到以下值名称,并将值数据设置为所需的日志记录级别:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel
将日志记录级别设置为以下值之一:
关闭:无本地日志记录。
错误:仅错误。
警告:错误和警告。
信息:最小日志记录,其中不包含 (扫描程序) 默认设置的事件 ID。
调试:完整信息。
跟踪:详细日志记录 (客户端) 的默认设置。
此注册表设置不会更改发送到 Purview 审核Microsoft的信息。
启用数据边界设置
根据Microsoft对欧盟数据边界的承诺,使用 Microsoft Purview 信息保护客户端的欧盟客户可以将其数据发送到欧盟进行存储和处理。
通过更改指定发送事件的位置的以下注册表项,在信息保护客户端中启用此功能:
- 注册表项: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\DataBoundary (DWORD)
- 值:
Default = 0
North_America = 1
European_Union = 2
启用系统默认浏览器进行身份验证
在 Microsoft Purview 信息保护客户端中使用系统默认浏览器进行身份验证。 默认情况下,信息保护客户端Microsoft Edge 打开进行身份验证。
通过启用以下注册表项,在信息保护客户端中启用此功能:
- 注册表项: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\MSALUseSytemDefaultBrowserAuth (DWORD)
- 值:
Disabled = 0
Enabled = 1
隐藏文件资源管理器中的“使用 Microsoft Purview 应用敏感度标签”菜单选项
若要在文件资源管理器中隐藏 “使用 Microsoft Purview 右键单击”菜单选项应用敏感度标签 ,请创建值名称为 LegacyDisable 的以下 DWORD 注册表项和任何值数据:
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick
如何使用信息保护客户端应用敏感度标签
安装 Microsoft Purview 信息保护客户端后,可以使用以下方法应用 已创建和发布的敏感度标签:
安装并配置信息 保护扫描程序后
重要
如果要从 Azure 信息保护 (AIP) 统一标记客户端升级,请参阅 从 Azure 信息保护客户端升级扫描程序 (版本 2.x) 。
若要查看加密的文档,请参阅 使用 Microsoft Purview 信息保护查看器查看受保护的文件。