在 Windows 上延伸敏感度標籤
Microsoft Purview 資訊保護用戶端會將 敏感度標籤 擴充到Microsoft 365 應用程式和服務內建的標籤之外,並支援 更廣泛的檔類型。
此用戶端只會在 Windows 上執行,並取代 AIP (AIP) 統一卷標用戶端。 它具有下列元件:
元件 | 描述 |
---|---|
資訊保護掃描器 | 用來探索、標記和加密數據存放區上的檔案,例如網路共用和 SharePoint Server 連結庫。 |
信息保護檔案標籤器 | 用來使用檔案總管套用敏感度標籤和加密。 |
信息保護查看器 | 用來檢視已加密的檔案。 |
Microsoft Purview 資訊保護 PowerShell 模組 | 用來調整檔案上的敏感度標籤,以及安裝和設定 Microsoft Purview 資訊保護掃描器。 |
Microsoft Purview Information Protection 用戶端沒有 Office 載入宏,因為此功能會以 Office 內建的敏感度卷標取代。
如需每個用戶端版本的最新版本資訊和支持時程表,請 參閱 Microsoft Purview 資訊保護用戶端 - 發行管理和支援性。
部署資訊保護用戶端的需求
若要使用 Microsoft Purview Information Protection 用戶端,請在您要使用用戶端元件的 Windows 計算機上安裝此用戶端。
您也必須符合下列需求:
下列操作系統支援 Microsoft Purview Information Protection 用戶端:
- Windows 11
- Windows 10 RS4 組建和更新版本不支援 Windows 10 (x64) (手寫。)
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2 和 Windows Server 2012
不支援ARM64。
安裝或升級資訊保護用戶端
如果您以互動方式安裝 Microsoft Purview Information 用戶端,並偵測到 AIP (AIP) 統一卷標用戶端,您可以在確認將移除適用於 Office 的 AIP 載入宏之後升級舊版用戶端。
注意事項
如果本機電腦上有任何 Azure 資訊保護用戶端版本,則使用 Microsoft 更新類別目錄或任何其他非互動式安裝進行升級需要 登錄機碼 設定。
安裝資訊保護用戶端有兩個選項:
- 使用 .exe安裝程式 安裝資訊保護用戶端
- 使用 .msi安裝程式 安裝資訊保護用戶端
如果您要從 Azure 資訊保護 (AIP) 統一卷標用戶端或舊版的資訊保護用戶端升級資訊保護掃描器,請參閱使用這些用戶端安裝指示之前升級 Microsoft Purview 資訊保護掃描儀 。
若要使用 .exe 檔案安裝資訊保護用戶端:
從 Microsoft 下載中心下載 Microsoft Purview Information Protection 用戶端的可執行檔版本。 例如, PurviewInfoProtection.exe。
重要事項
如果有可用的預覽版本,請只使用該版本進行測試。 它不適用於生產環境中的使用者。
針對預設安裝,只要執行可執行檔即可。 若要檢視所有安裝選項,請先使用 /help 執行可執行檔。 例如:
PurviewInfoProtection.exe **/help**
- 若要以無訊息方式安裝用戶端,請執行:
PurviewInfoProtection.exe /quiet
- 若只要以無訊息方式安裝PowerShell Cmdlet,請執行:
PurviewInfoProtection.exe PowerShellOnly=true /quiet
注意事項
根據預設,會啟用將使用量統計數據傳送至 Microsoft 的選項。 若要停用此選項,請務必採取下列其中一個步驟:
- 在安裝期間,指定 AllowTelemetry=0
- 安裝之後,請更新登錄機碼,如下所示: EnableTelemetry=0。
- 若要以無訊息方式安裝用戶端,請執行:
若要完成安裝,請重新啟動檔案總管的任何實例。
檢查預設在 %temp% 資料夾中建立的安裝記錄檔,以確認安裝成功。
安裝記錄檔具有下列命名格式:
Microsoft_Azure_Information_Protection_<number>_<number>_MSIP.Setup.Main.msi.log
例如: Microsoft_Azure_Information_Protection_20161201093652_000_MSIP.Setup.Main.msi.log
在記錄檔中,搜尋下列字串 :P roduct: Microsoft Purview Information Protection-- 安裝已順利完成。 如果安裝失敗,此記錄檔會包含詳細數據,以協助您識別並解決任何問題。
提示
您可以使用 /log 安裝參數來變更安裝記錄檔的位置。
記錄檔位置
用戶端和掃描器記錄檔位於 Windows 電腦上的下列位置:
- \ProgramFiles (x86) \Microsoft Purview Information Protection (僅限 64 位操作系統)
- \Program Files\Microsoft Purview Information Protection (僅限 32 位操作系統)
- %localappdata%\Microsoft\MSIP
支援的語言
資訊保護客戶端支援與 Office 365 支援的相同語言。 如需這些語言的清單,請參閱 Office 的國際可用性 頁面。
針對這些語言,來自 Microsoft Purview Information Protection 用戶端的功能表選項、對話框和訊息會以使用者的語言顯示。 有一個單一安裝程式可偵測語言,因此不需要額外的設定,即可安裝不同語言的資訊保護用戶端。
不過,當您在管理入口網站中設定標籤時,不會自動轉譯您指定的標籤名稱和描述。 若要讓使用者以慣用的語言查看標籤,請提供您自己的翻譯,並使用PowerShell和 Set-Label 的LocaleSettings 參數來設定標籤。 如需詳細資訊,請參閱設定 不同語言敏感度標籤的範例設定。
支援的檔案類型
本節列出 Microsoft Purview Information Protection 用戶端支持的文件類型。 針對列出的文件類型,不支援 WebDav 位置。
提示
當您加密沒有內建加密支援的檔類型,因此使用一般加密時,建議您將共同擁有者的許可權指派給這些檔案。
下列檔類型可以標記為不加密。
Adobe 可攜式檔格式: .pdf
Microsoft專案: .mpp、.mpt
Microsoft發行者: .pub
Microsoft XPS: .xps .oxps
影像: .jpg、.jpe、.jpeg、.jif、.jfif、.jfi。 png、.tif、.tiff
Autodesk Design Review 2013: .dwfx
Adobe Photoshop: .psd
數字負數: .dng
Microsoft Office: 下列文件類型,包括 97-2003 檔案格式和 Word、Excel 和 PowerPoint 的 Office Open XML 格式。
Word Excel PowerPoint Visio .doc .xls .potm .vdw .docm .xlsb .potx .vsd .docx .xlst .pps .vsdm .dot .xlsm .ppsm .vsdx .doctm .xlsx .ppsx .vss .dotx .xltm .vssm .xltx .vst .vstm .vssx .vstx
排除的資料夾和文件類型
為了協助防止使用者變更對計算機作業很重要的檔案,某些檔類型和資料夾會自動排除在分類和標記之外。 如果用戶嘗試使用資訊保護用戶端來標記這些檔案,他們會看到一則訊息,指出這些檔案已排除。
資訊保護用戶端會將下列資料夾排除在分類和標記之外:
- Windows
- program Files (\Program Files and \Program Files (x86) )
- \ProgramData
- \AppData (適用於所有使用者)
預設無法加密的文件類型
除非目前已在套用加密的應用程式中開啟檔案,否則客戶端無法原生加密任何受密碼保護的檔案。 您最常會看到受密碼保護的 PDF 檔案,但 Office 應用程式等其他應用程式也提供這項功能。
支援檢查的文件類型
信息保護用戶端會使用 Windows IFilter 來檢查文件的內容。 Windows IFilter 可供 Windows 搜尋用於編製索引。 因此,當您使用 Set-FileLabel -Autolabel PowerShell 命令時,可以檢查下列檔類型。
應用程式類型 | 檔案類型 |
---|---|
Word | .doc、.docx、.docm、.dot、.dotx |
Excel | .xls、.xlt、.xlsx、.xlsm、.xlsb |
PowerPoint | .ppt、.pps、.pot、.pptx |
Text | .txt、.xml、.csv |
掃描 .ZIP 檔案
您可以使用資訊保護掃描器或 Set-FileLabel PowerShell 命令來檢查 .zip 檔案。
注意事項
當您的資訊保護掃描器安裝在 Windows 伺服器電腦上時,您也必須安裝 Microsoft Office iFilter,才能掃描 .zip 檔案是否有敏感性資訊類型。 如需詳細資訊,請 參閱Microsoft下載網站。
尋找敏感性信息之後,如果 .zip 檔案應該加上標籤並以標籤加密,請從掃描器部署指示中,使用PowerShell PFileSupportedExtensions 進階設定來指定 .zip 擴展名。
範例案例:
名為 accounts.zip 的檔案包含具有信用卡號碼的 Excel 電子表格。 您有一個名為機密 \ Finance 的敏感度標籤,其設定為探索信用卡號碼,並自動套用具有加密的標籤,以限制對 Finance 群組的存取。
檢查檔案之後,PowerShell 會話的用戶端會將此檔案標示為 機密 \ Finance。 接下來,用戶端會將一般加密套用至檔案,讓只有 Finance 群組的成員可以解壓縮檔案,並將檔案 重新命名為accounts.zip.pfile。
支援中斷連線的電腦
根據預設,資訊保護用戶端會自動嘗試連線到因特網,以從 Microsoft Purview 下載敏感度標籤和敏感度標籤原則設定。
如果您的電腦有一段時間無法連線到因特網,您可以匯出和複製檔案,以手動管理資訊保護客戶端的原則。
若要支援與資訊保護用戶端中斷連線的電腦:
在 Microsoft Entra ID 中選擇或建立使用者帳戶,您將用來下載要在中斷連線電腦上使用的標籤和原則設定。
作為此帳戶的其他標籤原則設定,請使用 EnableAudit PowerShell 進階設定與來自安全性 & 合規性 PowerShell 的 Set-LabelPolicy ,關閉將稽核數據傳送至 Microsoft Purview。
我們建議使用此步驟,因為如果中斷聯機的計算機有定期的因特網連線,它會將記錄資訊傳送至包含步驟 1 中用戶名稱的 Microsoft Purview。 該用戶帳戶可能與您在中斷連線的電腦上使用的本機帳戶不同。
從已安裝資訊保護用戶端的因特網連線計算機,並使用步驟 1 中的使用者帳戶登入,下載標籤和原則設定。
從這部電腦導出記錄檔。
例如,執行 Export-DebugLogs Cmdlet,或從檔案捲標器的用戶端 [說明和意見反應] 對話方塊中使用 [匯出記錄] 選項。
記錄檔會匯出為單一壓縮檔案。
開啟壓縮檔案,然後從 MSIP 資料夾複製任何擴展名為 .xml 檔案。
將這些檔案貼到中斷連線電腦上的 %localappdata%\Microsoft\MSIP 資料夾。
如果您選擇的用戶帳戶通常是連線到因特網的帳戶,請將 EnableAudit 值設定為 True,以再次啟用傳送稽核數據。
請注意,如果這部計算機上的使用者從檔案捲標器的 [說明和意見反應] 中選取 [重設設定] 選項,此動作會刪除原則檔案,讓客戶端無法運作,直到您手動取代檔案或用戶端連線到因特網,以便下載所需的檔案為止。
如果您中斷連線的電腦正在執行資訊保護掃描器,您必須採取其他設定步驟。 如需詳細資訊,請 參閱限制:掃描儀伺服器無法 從掃描器部署指示連線到因特網。
支援的自定義專案
信息保護用戶端支援PowerShell進階設定,以及特定案例或使用者可能需要的一些登錄設定。
如需 New-Label 或 Set-Label 支援的 PowerShell 進階設定,以及來自安全性 & 合規性 PowerShell 的 New-LabelPolicy 或 Set-LabelPolicy ,請參閱 Microsoft Purview 資訊保護客戶端的進階設定。
使用下列各節可協助您針對支援的自定義設定登錄。
從 Azure 資訊保護用戶端啟用非互動式升級
如果您安裝 Microsoft Purview 資訊保護用戶端,並偵測到 Azure 資訊保護統一標籤端,則用戶端的互動式安裝會要求您確認將會從舊版用戶端移除適用於 Office 的 AIP 載入宏。
若要針對用戶端使用非互動式安裝,例如Microsoft更新類別目錄、組策略或腳本,您必須先卸載 Azure 資訊保護用戶端,或為本機計算機建立和設定下列登錄機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\AllowMajorVersionUpgrade (DWORD)
將值設定為 1 ,以無訊息方式允許升級並卸載 AIP Office 載入宏;如果已安裝 Azure 資訊保護用戶端, 則 0 會封鎖升級。
變更本機記錄層級
根據預設,Purview 資訊保護用戶端會將客戶端記錄檔寫入 %localappdata%\Microsoft\MSIP 資料夾。 這些檔案是供Microsoft支持人員進行疑難解答。
若要變更這些檔案的記錄層級,請在登錄中找出下列值名稱,並將值數據設定為必要的記錄層級:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel
將記錄層級設定為下列其中一個值:
關閉:沒有本機記錄。
錯誤:僅限錯誤。
警告:錯誤和警告。
資訊:最小記錄,其中不包含任何事件標識碼 (掃描器) 的預設設定。
偵錯:完整資訊。
追蹤:詳細記錄 (用戶端) 的預設設定。
此登錄設定不會變更傳送至 Purview 稽核Microsoft資訊。
啟用數據界限設定
遵循Microsoft對歐盟數據界限的承諾,使用 Microsoft Purview 資訊保護用戶端的歐盟客戶可以將其數據傳送至歐盟以進行儲存和處理。
變更下列登錄機碼,以指定要傳送事件的位置,以在資訊保護客戶端中開啟這項功能:
- 登入機 碼:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\DataBoundary (DWORD)
- 值
Default = 0
North_America = 1
European_Union = 2
啟用系統預設瀏覽器以進行驗證
使用系統預設瀏覽器在 Microsoft Purview Information Protection 用戶端中進行驗證。 根據預設,資訊保護客戶端會開啟 Microsoft Edge 進行驗證。
開啟下列登入機碼,以在資訊保護客戶端開啟此功能:
- 登入機 碼:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\MSALUseSytemDefaultBrowserAuth (DWORD)
- 值
Disabled = 0
Enabled = 1
隱藏 [檔案總管] 中的 [使用 Microsoft Purview 套用敏感度標籤] 功能表選項
若要在 [檔案總管] 中隱藏 [Microsoft Purview 右鍵功能表] 選項來套用 敏感度標籤 ,請建立下列 DWORD 登錄機碼,其值名稱為 LegacyDisable 和任何值數據:
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick
如何使用資訊保護用戶端套用敏感度標籤
安裝 Microsoft Purview Information Protection 客戶端之後,您可以使用下列方式套用您 已建立和發佈的敏感度卷標:
安裝並設定 資訊保護掃描器之後
重要事項
如果您要從 Azure 資訊保護 (AIP) 統一卷標用戶端升級,請參閱 從 Azure 資訊保護用戶端升級掃描器 (2.x 版) 。
若要檢視加密的檔,請參 閱使用 Microsoft Purview 資訊保護查看器檢視受保護的檔案。