在 Windows 上扩展敏感度标签

Microsoft Purview 信息保护客户端将敏感度标签扩展到 Microsoft 365 应用和服务中内置的标签之外，并支持更广泛的文件类型。

此客户端仅在 Windows 上运行，) 统一标记客户端替换 Azure 信息保护 (AIP。 它具有以下组件：

组件	说明
信息保护扫描程序	用于发现、标记和加密数据存储（例如网络共享和 SharePoint Server 库）上的文件。
信息保护文件标签器	用于使用 文件资源管理器 应用敏感度标签和加密。
信息保护查看器	用于查看已加密的文件。
Microsoft Purview 信息保护 PowerShell 模块	用于调整文件上的敏感度标签，以及安装和配置Microsoft Purview 信息保护扫描程序。

Microsoft Purview 信息保护客户端没有 Office 加载项，因为此功能已替换为 Office 中内置的敏感度标签。

有关每个客户端版本的最新版本信息和支持时间线，请参阅 Microsoft Purview 信息保护 客户端 - 版本管理和可支持性。

部署信息保护客户端的要求

若要使用 Microsoft Purview 信息保护 客户端，请在要使用客户端组件的 Windows 计算机上安装此客户端。

还必须满足以下要求：

操作系统

以下操作系统支持 Microsoft Purview 信息保护 客户端：

• Windows 11
• Windows 10 (x86，Windows 10 RS4 版本及更高版本中不支持 x64) (手写。)
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2 和 Windows Server 2012

不支持 ARM64。

虚拟机

如果使用的是虚拟机，检查虚拟桌面解决方案的软件发布者是否具有运行信息保护客户端的其他配置要求。

例如，对于 Citrix 解决方案，可能需要为 Office 和 Microsoft Purview 信息保护 客户端禁用 Citrix 应用程序编程接口 (API) 挂钩。

这些应用程序分别使用以下文件：winword.exe、excel.exe、outlook.exe、powerpnt.exe、msip.app.exe、msip.viewer.exe

远程桌面服务

远程桌面服务支持以下服务器操作系统的信息保护客户端：

• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2 和 Windows Server 2012

如果将信息保护客户端与远程桌面服务配合使用时删除用户配置文件，请确保 保留 %Appdata%\Microsoft\Protect 文件夹。

订阅

必须使用 Microsoft Purview 信息保护 客户端或扫描程序具有基于云的订阅才能进行敏感度标记。 有关更多信息，请参阅：

• Microsoft 365 安全性与合规性许可指南
• 新式工作计划比较 (PDF 下载)

Microsoft Entra

若要支持Microsoft Purview 信息保护的身份验证和授权，必须具有Microsoft Entra ID。 若要使用本地目录中的用户帐户，还必须配置目录集成。

• Microsoft Purview 信息保护支持单一登录 (SSO) ，因此不会反复提示用户输入其凭据。 如果使用另一个供应商解决方案进行联合身份验证，检查该供应商，以获取有关为Microsoft Entra ID配置该解决方案的说明。 这些解决方案通常需要 WS-Trust 来支持单一登录。
• 具有所需的客户端软件并且 MFA 支持基础结构配置正确时，Microsoft Purview 信息保护支持多重身份验证 (MFA) 。

对于特定方案，例如使用基于证书或多重身份验证，或者 UPN 值与用户电子邮件地址不匹配时，需要满足其他先决条件。

有关更多信息，请参阅：

• Microsoft Purview 信息保护的其他Microsoft Entra要求
• 什么是 Microsoft Entra 目录？
• 将本地 Active Directory域与 Microsoft Entra ID 集成

Additional

若要安装信息保护客户端，必须对客户端计算机具有本地管理权限，并满足以下其他要求。

Microsoft .NET Framework要求

客户端的完整安装需要 Microsoft .NET Framework 4.6.2 的最低版本。

如果缺少此框架，可执行安装程序中的安装向导会尝试下载并安装此必备组件。 在客户端安装过程中安装此必备组件时，必须重启计算机。

如果要单独安装查看器，则必须具有最低版本的 Microsoft .NET Framework 4.5.2。

重要

如果查看器安装缺少 Microsoft .NET Framework 4.5.2 的最低版本，则安装软件不会下载或安装它。

Windows PowerShell最低要求

客户端的 PowerShell 模块要求最低版本Windows PowerShell 4.0。

如果使用的是较旧的操作系统，则可能需要手动安装 PowerShell。 有关详细信息，请参阅如何安装 Windows PowerShell 4.0。

重要

安装程序不会为你检查或安装此先决条件。

若要确认正在运行Windows PowerShell的版本，请键入 $PSVersionTable PowerShell 会话。

屏幕分辨率要求

当右键单击文件资源管理器中的文件或文件夹时，监视器分辨率为 800x600 和更低的 Windows 计算机无法完全显示文件标签器对话框。

安装或升级信息保护客户端

如果以交互方式安装 Microsoft Purview 信息客户端，并且检测到 Azure 信息保护 (AIP) 统一标记客户端，则可以在确认将删除适用于 Office 的 AIP 外接程序后升级旧版客户端。

注意

如果本地计算机上存在任何 Azure 信息保护客户端版本，则使用 Microsoft 更新目录或任何其他非交互式安装进行升级需要注册表项配置。

有两个选项可用于安装信息保护客户端：

• 使用 .exe 安装程序安装信息保护客户端
• 使用 .msi 安装程序安装信息保护客户端

如果要从 Azure 信息保护 (AIP) 统一标记客户端或以前版本的信息保护客户端升级信息保护扫描程序，请参阅在使用这些客户端安装说明之前升级Microsoft Purview 信息保护扫描程序。

使用 .exe 安装程序进行安装

若要使用 .exe 文件安装信息保护客户端，请执行以下操作：

1. 从 Microsoft 下载中心下载 Microsoft Purview 信息保护 客户端的可执行版本。 例如， PurviewInfoProtection.exe。

   重要

   如果有可用的预览版本，请仅使用该版本进行测试。 它不适用于生产环境中的最终用户。

2. 对于默认安装，只需运行可执行文件。 若要查看所有安装选项，请先使用 /help 运行可执行文件。 例如：
   PurviewInfoProtection.exe **/help**

   1. 若要以无提示方式安装客户端，请运行：
      PurviewInfoProtection.exe /quiet
   2. 若要仅以无提示方式安装 PowerShell cmdlet，请运行：
      PurviewInfoProtection.exe PowerShellOnly=true /quiet

   注意

   默认情况下，将使用情况统计信息发送到 Microsoft 的选项处于启用状态。 若要禁用此选项，请确保执行以下步骤之一：

   • 在安装过程中，指定 AllowTelemetry=0
   • 安装后，按如下所示更新注册表项： EnableTelemetry=0。

3. 若要完成安装，请重启文件资源管理器的任何实例。

4. 通过检查默认在 %temp% 文件夹中创建的安装日志文件，确认安装成功。

   安装日志文件具有以下命名格式： Microsoft_Azure_Information_Protection_<number>_<number>_MSIP.Setup.Main.msi.log

   例如： Microsoft_Azure_Information_Protection_20161201093652_000_MSIP.Setup.Main.msi.log

   在日志文件中，搜索以下字符串：Product： Microsoft Purview 信息保护--安装成功完成。 如果安装失败，此日志文件包含详细信息，可帮助你识别和解决任何问题。

   提示

   可以使用 /log 安装参数更改安装日志文件的位置。

使用 .msi 安装程序进行安装

对于集中部署，请使用特定于信息保护客户端 .msi 安装版本的信息。 如果将 Microsoft Intune 用于软件部署方法，请将这些说明与添加具有Microsoft Intune的应用一起使用。

使用 .msi 文件安装信息保护客户端

1. 从 Microsoft 下载中心下载 Microsoft Purview 信息保护 客户端的 .msi 版本。 例如， PurviewInfoProtection.msi。

   重要

   如果有可用的预览版本，请仅使用该版本进行测试。 它不适用于生产环境中的最终用户。

2. 对于运行 .msi 文件的每台计算机，请确保已安装以下软件依赖项。 将其与 .msi 版本的客户端一起打包，或仅部署到已安装以下软件的计算机：

   Office 版本	操作系统	软件
   除 Office 365 1902 或更高版本之外的所有版本	仅Windows 10版本 1809，操作系统版本早于 17763.348	KB 4482887

3. 对于默认安装，请使用 /quiet 运行 .msi，例如：
   PurviewInfoProtection.msi /quiet.

注意

默认情况下，将使用情况统计信息发送到 Microsoft 的选项处于启用状态。 若要禁用此选项，请确保执行以下步骤之一：

• 在安装过程中，指定 AllowTelemetry=0
• 安装后，按如下所示更新注册表项： EnableTelemetry=0。

日志文件位置

客户端和扫描程序日志文件位于 Windows 计算机上的以下位置：

• \ProgramFiles (x86) \Microsoft Purview 信息保护 仅 (64 位操作系统)
• \Program Files\Microsoft Purview 信息保护 仅) (32 位操作系统
• %localappdata%\Microsoft\MSIP

支持的语言

信息保护客户端支持Office 365支持的语言。 有关这些语言的列表，请参阅 Office 中的 “国际可用性 ”页。

对于这些语言，菜单选项、对话框和来自 Microsoft Purview 信息保护 客户端的消息以用户的语言显示。 有一个安装程序可以检测语言，因此无需进行其他配置即可安装不同语言的信息保护客户端。

但是，在管理门户中配置标签时，指定的标签名称和说明不会自动转换。 若要让用户查看其首选语言的标签，请提供自己的翻译，并使用 PowerShell 和 Set-Label的 LocaleSettings 参数为标签配置它们。 有关详细信息，请参阅 为不同语言配置敏感度标签的示例配置。

支持的文件类型

本部分列出了 Microsoft Purview 信息保护 客户端支持的文件类型。 对于列出的文件类型，不支持 WebDav 位置。

提示

如果加密的文件类型没有内置加密支持，因此使用通用加密，我们建议你为这些文件分配共同所有者的权限。

不带加密的敏感度标签

可以在不加密的情况下标记以下文件类型。

• Adobe Portable 文档格式： .pdf

• Microsoft Project： .mpp、.mpt

• Microsoft Publisher： .pub

• Microsoft XPS： .xps .oxps

• 图像： .jpg、.jpe、.jpeg、.jif、.jfif、.jfi。 png、.tif、.tiff

• Autodesk Design Review 2013： .dwfx

• Adobe Photoshop： .psd

• 数字底片： .dng

• Microsoft Office：以下文件类型，包括 Word、Excel 和 PowerPoint 的 97-2003 文件格式和 Office Open XML 格式。

  Word	Excel	PowerPoint	Visio
  .doc	.xls	.potm	.vdw
  .docm	.xlsb	.potx	。Vsd
  .docx	.xlst	.pps	.vsdm
  .dot	.xlsm	.ppsm	.vsdx
  .doctm	.xlsx	.ppsx	。Vss
  .dotx	.xltm		.vssm
  	.xltx		.vst
  			.vstm
  			.vssx
  			.vstx

具有加密的敏感度标签

信息保护客户端支持两个不同级别的加密，如下表所述。

加密类型	本机	Generic
说明	对于支持 Rights Management 服务的文本、图像、Microsoft Office (Word、Excel、PowerPoint) 文件、.pdf 文件和其他应用程序文件类型，本机加密通过加密和强制权限) 的权限 (权限提供强大的保护级别。	通用加密为其他文件类型提供一定程度的保护。 通用加密使用具有 .pfile 文件类型的文件封装和身份验证来验证用户是否有权打开该文件。
加密	文件保护通过以下方式强制实施： - 在呈现加密内容之前，对于通过电子邮件接收文件或通过文件或共享权限获得访问文件的用户，必须成功进行身份验证。 - 此外，当内容在信息保护查看器 (中呈现加密文本和图像文件) 或关联应用程序 () 时，将强制实施内容所有者在加密文件时设置的使用权限和策略。	文件保护通过以下方式强制实施： - 在呈现加密内容之前，必须对有权打开文件并向其授予访问权限的人员进行成功的身份验证。 如果授权失败，该文件不会打开。 - 显示内容所有者设置的使用权限和策略，以通知授权用户预期使用策略。 - 对打开和访问文件的授权用户进行审核日志记录。 但是，不会强制实施使用权限。
文件类型的默认值	以下文件类型的默认加密级别： - 文本和图像文件 - Microsoft Office (Word、Excel、PowerPoint) 文件 - 可移植文档格式 (.pdf)	本机加密不支持的所有其他文件类型的默认加密 (例如.vsdx、.rtf等) 。

本机加密支持的文件类型

下表列出了在信息保护客户端应用带加密的敏感度标签时支持本机加密的文件类型的子集。

这些文件类型是单独标识的，因为当它们进行本机加密时，原始文件的文件扩展名会更改，并且这些文件将变为只读。 对文件进行常规加密时，原始文件的扩展名始终更改为 .p文件类型。

警告

如果你有防火墙、Web 代理或安全软件来检查并根据文件扩展名执行操作，则可能需要重新配置这些网络设备和软件以支持这些新的文件扩展名。

原始文件扩展名	加密文件扩展名
.bmp	.pbmp
.gif	.pgif
.jfif	.pjfif
.jpe	.pjpe
。Jpeg	.pjpeg
.jpg	.pjpg
。Jt	.pjt
.png	.ppng
.tif	.ptif
。Tiff	.ptiff
.txt	.ptxt
.xla	.pxla
.xlam	.pxlam
.xml	.pxml

Office 支持的文件类型

以下列表包括支持信息保护客户端标记和本机加密的其余文件类型。 你可以将其识别为 Microsoft Office 应用的文件类型。 这些文件类型支持的文件格式是以下 Office 程序的 97-2003 文件格式和 Office Open XML 格式：Word、Excel 和 PowerPoint。

对于这些文件，文件扩展名在文件加密后保持不变。

Word	Excel	PowerPoint	Visio
.doc	.xls	.potm	.vdw
.docm	.xlsb	.potx	。Vsd
.docx	.xlst	.pps	.vsdm
.dot	.xlsm	.ppsm	.vsdx
.doctm	.xlsx	.ppsx	。Vss
.dotx	.xltm		.vssm
	.xltx		.vst
			.vstm
			.vssx
			.vstx

排除的文件夹和文件类型

为了帮助防止用户更改对计算机操作至关重要的文件，某些文件类型和文件夹会自动被排除在分类和标记之外。 如果用户尝试使用信息保护客户端来标记这些文件，则会看到一条消息，指出这些文件已排除。

排除的文件夹

信息保护客户端从分类和标记中排除以下文件夹：

• Windows
• 程序文件 (\Program Files 和 \Program Files (x86) )
• \ProgramData
• 所有用户) 的 \AppData (

排除的文件类型

信息保护客户端从分类和标记中排除以下文件类型：

扩展名	扩展名	扩展名	扩展名
.bat	.dll	.ini	。Pdb
。Cmd	。Drm	。Jar	。Pst
.com	.drv	.lnk	。Sca
.cpl	.exe	.msi	.sys
。Dat	。Inf	。Msp	。Tmp

扫描程序排除

默认情况下，扫描程序将排除相同的文件类型标记为信息保护客户端。 它还排除以下文件类型：

• 。味精
• .rtf
• .rar

若要更改扫描程序为文件检查而包含或排除的文件类型，请在内容扫描作业中配置要扫描的文件类型。

默认情况下无法加密的文件类型

客户端无法对受密码保护的任何文件进行本机加密，除非该文件当前在应用加密的应用程序中打开。 你经常看到受密码保护的 PDF 文件，但其他应用程序（如 Office 应用）也提供此功能。

支持检查的文件类型

信息保护客户端使用 Windows IFilter 检查文档的内容。 Windows IFilter 由 Windows 搜索用于索引编制。 因此，使用 Set-FileLabel -Autolabel PowerShell 命令时，可以检查以下文件类型。

应用程序类型	文件类型
Word	.doc、.docx、.docm、.dot、.dotx
Excel	.xls、.xlt、.xlsx、.xlsm、.xlsb
PowerPoint	.ppt、.pps、.pot、.pptx
PDF	.pdf
Text	.txt、.xml、.csv

扫描 .ZIP 文件

可以使用信息保护扫描程序或 Set-FileLabel PowerShell 命令检查 .zip 文件。

注意

在 Windows 服务器计算机上安装信息保护扫描程序时，还必须安装 Microsoft Office iFilter，以便扫描 .zip 文件中的敏感信息类型。 有关详细信息，请参阅 Microsoft 下载站点。

找到敏感信息后，如果 .zip 文件应使用标签进行标记和加密，请根据扫描程序部署说明使用 PowerShell PFileSupportedExtensions 高级设置指定 .zip 文件扩展名。

示例方案：

名为 accounts.zip 的文件包含具有信用卡编号的 Excel 电子表格。 你有一个名为 Confidential \ Finance 的敏感度标签，该标签配置为发现信用卡数字，并自动应用加密标签，以限制对 Finance 组的访问。

检查文件后，PowerShell 会话中的客户端将此文件标记为 “机密\财务”。 接下来，客户端对文件应用通用加密，以便只有 Finance 组的成员可以解压缩该文件，并将文件重命名 为accounts.zip.pfile。

支持断开连接的计算机

默认情况下，信息保护客户端会自动尝试连接到 Internet，以从 Microsoft Purview 下载敏感度标签和敏感度标签策略设置。

如果计算机在一段时间内无法连接到 Internet，则可以导出和复制手动管理信息保护客户端策略的文件。

若要支持与信息保护客户端断开连接的计算机，请执行以下操作：

1. 在 Microsoft Entra ID 中选择或创建一个用户帐户，用于下载要在断开连接的计算机上使用的标签和策略设置。

2. 作为此帐户的其他标签策略设置，请关闭将审核数据发送到 Microsoft Purview，方法是使用 EnableAudit PowerShell 高级设置和 Set-LabelPolicy from Security & Compliance PowerShell。

   建议执行此步骤，因为如果断开连接的计算机确实具有定期 Internet 连接，它将将日志记录信息发送到 Microsoft Purview，其中包括步骤 1 中的用户名。 该用户帐户可能与你在断开连接的计算机上使用的本地帐户不同。

3. 从安装了信息保护客户端并使用步骤 1 中的用户帐户登录的 Internet 连接的计算机下载标签和策略设置。

4. 从此计算机导出日志文件。

   例如，运行 Export-DebugLogs cmdlet，或者从文件标签器使用客户端的“帮助和反馈”对话框中的“导出日志”选项。

   日志文件作为单个压缩文件导出。

5. 打开压缩文件，然后从 MSIP 文件夹中复制扩展名为 .xml 的任何文件。

6. 将这些文件粘贴到断开连接的计算机上的 %localappdata%\Microsoft\MSIP 文件夹中。

7. 如果你选择的用户帐户是通常连接到 Internet 的用户帐户，请再次启用发送审核数据，方法是将 EnableAudit 值设置为 True。

请注意，如果此计算机上的用户从文件标签器中的“帮助和反馈”中选择“重置设置”选项，则此操作将删除策略文件并使客户端不可操作，直到你手动替换文件或客户端连接到 Internet，以便它可以下载所需的文件。

如果断开连接的计算机正在运行信息保护扫描程序，则必须执行其他配置步骤。 有关详细信息，请参阅扫描程序部署说明中的 限制：扫描程序服务器无法建立 Internet 连接 。

支持的自定义项

信息保护客户端支持 PowerShell 高级设置和特定方案或用户可能需要的某些注册表设置。

有关 New-Label 或 Set-Label 支持的 PowerShell 高级设置，以及 Security & Compliance PowerShell 中的 New-LabelPolicy 或 Set-LabelPolicy，请参阅 Microsoft Purview 信息保护 客户端的高级设置。

使用以下部分来帮助配置支持的自定义项的注册表。

从 Azure 信息保护 客户端启用非交互式升级

如果安装 Microsoft Purview 信息保护 客户端，并且检测到 Azure 信息保护统一标记客户端，则客户端的交互式安装要求你确认将从旧版客户端中删除适用于 Office 的 AIP 外接程序。

若要对客户端使用非交互式安装（例如 Microsoft 更新目录、组策略或脚本），必须先卸载 Azure 信息保护 客户端，或者为本地计算机创建并配置以下注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\AllowMajorVersionUpgrade (DWORD)

将值设置为 1 以静默方式允许升级和卸载 AIP Office 加载项;如果安装了 Azure 信息保护 客户端，则 0 会阻止升级。

更改本地日志记录级别

默认情况下，Purview 信息保护 客户端将客户端日志文件写入 %localappdata%\Microsoft\MSIP 文件夹。 这些文件旨在通过Microsoft 支持部门进行故障排除。

若要更改这些文件的日志记录级别，请在注册表中找到以下值名称，并将值数据设置为所需的日志记录级别：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel

将日志记录级别设置为以下值之一：

• 关闭：无本地日志记录。

• 错误：仅错误。

• 警告：错误和警告。

• 信息：最小日志记录，其中不包含 (扫描程序) 默认设置的事件 ID。

• 调试：完整信息。

• 跟踪：详细日志记录 (客户端) 的默认设置。

此注册表设置不会更改发送到 Microsoft Purview 审核的信息。

启用数据边界设置

根据 Microsoft 对欧盟数据边界的承诺，使用 Microsoft Purview 信息保护 客户端的欧盟客户可以将其数据发送到欧盟进行存储和处理。

通过更改指定发送事件的位置的以下注册表项，在信息保护客户端中启用此功能：

• 注册表项： HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\DataBoundary (DWORD)
• 值：
  • Default = 0
  • North_America = 1
  • European_Union = 2

启用系统默认浏览器进行身份验证

在 Microsoft Purview 信息保护 客户端中使用系统默认浏览器进行身份验证。 默认情况下，信息保护客户端会打开 Microsoft Edge 进行身份验证。

通过启用以下注册表项，在信息保护客户端中启用此功能：

• 注册表项： HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\MSALUseSytemDefaultBrowserAuth (DWORD)
• 值：
  • Disabled = 0
  • Enabled = 1

隐藏文件资源管理器中的“使用 Microsoft Purview 应用敏感度标签”菜单选项

若要在 文件资源管理器 中隐藏“使用 Microsoft Purview 应用敏感度标签右键单击”菜单选项，请创建以下 DWORD 注册表项，该注册表项的值名称为 LegacyDisable 和任何值数据：

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick

如何使用信息保护客户端应用敏感度标签

安装 Microsoft Purview 信息保护 客户端后，可以使用以下方法应用已创建和发布的敏感度标签：

• 文件资源管理器

• PowerShell

• 安装并配置信息 保护扫描程序后

  重要

  如果要从 Azure 信息保护 (AIP) 统一标记客户端升级，请参阅从 Azure 信息保护 客户端升级扫描程序， (版本 2.x) 。

若要查看加密的文档，请参阅使用Microsoft Purview 信息保护查看器查看受保护的文件。