系統管理員指南：為使用者安裝 Azure 資訊保護傳統用戶端

發行項
11/15/2020

在企業網路上安裝 Azure 資訊保護用戶端之前，請先檢查電腦是否具備 Azure 資訊保護所需的作業系統版本和應用程式：Azure 資訊保護的需求。

然後檢查 Azure 資訊保護用戶端可能需要的其他必要條件 (如下節所述)。安裝程式並不會檢查所有必要條件。

Azure 資訊保護用戶端的其他必要條件

Microsoft .NET Framework 4.6.2

根據預設，Azure 資訊保護用戶端的完整安裝需要 Microsoft .NET Framework 4.6.2 以上的版本，如果缺少，則可執行檔安裝程式的安裝精靈會嘗試下載並安裝此必要條件。當此先決條件已隨用戶端安裝程序一起安裝時，就必須重新啟動電腦。雖然不建議這樣做，但是當您使用自訂安裝參數來使用安裝精靈時，可以略過此必要條件。

當您使用可執行檔安裝程式、Windows Update 或 Windows 安裝程式，以無訊息的方式安裝用戶端時，不會自動安裝此必要條件。對於這些情況，您必須視需要另外安裝此必要條件，否則安裝會失敗。您可以從 Microsoft 下載中心下載 Microsoft .NET Framework 4.6.2 (離線安裝程式)。
Microsoft .NET Framework 4.5.2

如果另外安裝 Azure 資訊保護檢視器，需要 Microsoft .NET Framework 4.5.2 以上的版本，如果缺少，可執行檔安裝程式不會下載或安裝它。
Windows PowerShell最低 4.0 版

用戶端的 PowerShell 模組至少需要 4.0 版的 Windows PowerShell，這可能需要安裝在較舊的作業系統上。如需詳細資訊，請參閱如何安裝 Windows PowerShell 4.0 (英文)。安裝程式不會為您檢查或安裝此必要項目。您可以在 PowerShell 工作階段中輸入 $PSVersionTable，來確認正在執行的 Windows PowerShell 版本。
大於 800x600 的螢幕解析度

800x600 與更低的解析度無法完整顯示當您在 [檔案總管] 中以滑鼠右鍵按一下某個檔案或資料夾時顯示的 [分類並保護 - Azure 資訊保護] 對話方塊。
Microsoft Online Services 登入小幫手 7.250.4303.0

執行 Office 2010 的電腦需要 Microsoft Online Services 登入小幫手 7.250.4303.0 版。此版本隨附於用戶端安裝。

如果您有較新版的登入小幫手，請在安裝 Azure 資訊保護用戶端之前，先解除安裝。例如，使用主控台>Program 和 Features>卸載或變更程式，檢查版本並卸載登入小幫手。

重要

Office 2010 延伸支援已於 2020 年 10 月 13 日結束。如需詳細資訊，請參閱 AIP 和舊版 Windows 和 Office 版本。
KB 4482887

僅適用 Windows 10 1809 版，比 17763.348 版舊的作業系統組建，請安裝 2019 年 3 月 1 日 — KB4482887 (OS 組建 17763.348) 以確保 [資訊保護] 列在 Office 應用程式中正確顯示。如果您有 Office 365 1902 或更新版本，就不需要此更新。
設定群組原則以防止 Azure 資訊保護增益集被停用

針對 Office 2013 與更新版本，請設定群組原則以確認 Office 應用程式的 Microsoft Azure 資訊保護增益集一律啟用。若未設定此設定，可能會停用 Microsoft Azure 資訊保護增益集，造成使用者無法在其 Office 應用程式中標示其文件及電子郵件。
- 針對Outlook：使用系統管理員從Office檔中控制載入宏中所述的群組原則設定。
- 針對 Word、Excel和PowerPoint：使用支援文章中記載的受控載入巨集群組策略設定清單，因為Office 2013 和 Office 2016 程式的群組原則設定而未載入任何增益集。
  
  為 Azure 資訊保護指定下列程式設計識別碼 (ProgID)，然後將選項設為1：一律啟用此增益集。
  
  針對 Word：MSIP.WordAddin
  
  針對 Excel：MSIP.ExcelAddin
  
  針對 PowerPoint：MSIP.PowerPointAddin
惡意探索保護。

已啟用惡意探索保護的 .NET 版本 2 或 3 機器不支援 AIP 用戶端。如果您的電腦除了上面所列的 .NET 4.x 版本之外，還具有 .NET 2 或 3 版，請務必在安裝 AIP 用戶端之前停用惡意探索保護。

重要

安裝 Azure 資訊保護用戶端需要本機系統管理員權限。

為使用者安裝 Azure 資訊保護用戶端的選項

使用下列其中一個選項來安裝使用者的用戶端：

安裝選項	描述
執行用戶端可執行檔 (.exe) 指示	建議您執行用戶端.exe版本，以互動或無訊息方式執行安裝。執行.exe檔案具有最大的彈性，因此建議使用，因為它也會檢查許多必要條件，也可以安裝遺漏的任何必要條件。
部署用戶端的 Windows 安裝程式 (.msi) 指示	只有使用中央部署機制的無訊息安裝，才支援 Azure 資訊保護用戶端Windows安裝程式。例如，使用群組原則、Configuration Manager和Microsoft Intune進行部署時，請使用.msi檔案。您必須針對Intune和行動裝置管理 (MDM) 所管理的Windows 10電腦使用此方法，因為這些電腦不支援.exe檔案。注意：使用.msi安裝時，您必須手動檢查必要條件，並安裝或卸載任何所需的相依軟體。

安裝選項

描述

執行用戶端可執行檔 (.exe)

指示

建議您執行用戶端.exe版本，以互動或無訊息方式執行安裝。

執行.exe檔案具有最大的彈性，因此建議使用，因為它也會檢查許多必要條件，也可以安裝遺漏的任何必要條件。

部署用戶端的 Windows 安裝程式 (.msi)

指示

只有使用中央部署機制的無訊息安裝，才支援 Azure 資訊保護用戶端Windows安裝程式。

例如，使用群組原則、Configuration Manager和Microsoft Intune進行部署時，請使用.msi檔案。

您必須針對Intune和行動裝置管理 (MDM) 所管理的Windows 10電腦使用此方法，因為這些電腦不支援.exe檔案。

注意：使用.msi安裝時，您必須手動檢查必要條件，並安裝或卸載任何所需的相依軟體。

安裝用戶端之後，請重複相同的安裝方法來執行更新，或使用Windows Update讓用戶端自動更新。安裝新版本之前，您不需要卸載舊版用戶端。

如需詊細資訊，請參閱升級並維護 Azure 資訊保護用戶端。

注意

若要卸載用戶端，請使用 Windows [新增或移除程式] 選項，例如從Windows 主控台。

使用可執行檔安裝程式為使用者安裝 Azure 資訊保護用戶端

當您不使用 Microsoft Update 類別目錄，或使用像是 Intune 的集中部署方法來部署 .msi，請使用下列指示來安裝用戶端。

針對預設安裝，請執行可執行檔，例如 AzInfoProtection.exe。

若要檢視其他安裝選項，請先使用 /help執行可執行檔： AzInfoProtection.exe /help

以無訊息方式安裝用戶端的範例︰AzInfoProtection.exe /quiet

以無訊息方式僅安裝 PowerShell Cmdlet 的範例AzInfoProtection.exe PowerShellOnly=true /quiet

說明畫面上未列出的其他參數：
- DowngradeDotNetRequirement：使用此參數來略過 Microsoft Framework .NET 版本 4.6.2 的需求。詳細資訊
- AllowTelemetry = 0：使用這個參數來停用安裝選項透過將使用量統計資料傳送給 Microsoft 來協助改善 Azure 資訊保護。
- ServiceLocation︰如果您在執行 Office 2010 的電腦上安裝用戶端，且您的使用者不是其電腦上的本機系統管理員，或者您不希望他們收到提示，請使用此參數。如需詳細資訊，請參閱 ServiceLocation 安裝參數的詳細資訊。
  
  重要
  
  Office 2010 延伸支援已於 2020 年 10 月 13 日結束。如需詳細資訊，請參閱 AIP 和舊版 Windows 和 Office 版本。
如果您要以互動方式安裝，請選取選項以安裝示範原則，如果您無法連線到Microsoft 365或Azure Active Directory，但想要使用本機原則進行示範，查看並體驗 Azure 資訊保護用戶端。當您的用戶端連線到 Azure Information Protection 服務時，您組織的 Azure Information Protection 原則將會取代此示範原則。
若要完成安裝，請重新開機任何Office應用程式和所有檔案總管實例。

僅限 Office 2010：如果您的電腦執行Office 2010，請重新開機電腦。如果未使用ServiceLocation參數安裝用戶端，則當您第一次開啟其中一個使用 Azure 資訊保護 (列的 Office 應用程式時，例如 Word) ，您必須確認任何提示，以更新此第一次使用的登錄。服務探索會用來填入登錄機碼。
您可以透過檢查安裝記錄檔 (預設會在 %temp% 資料夾中建立)，確認安裝已順利完成。您可以使用 /log 安裝參數變更此位置。

此檔案具有下列命名格式：Microsoft_Azure_Information_Protection_<number>_<number>_MSIP.Setup.Main.msi.log

例如：Microsoft_Azure_Information_Protection_20161201093652_000_MSIP.Setup.Main.msi.log

在此記錄檔中，搜尋下列字串：Product： Microsoft Azure 資訊保護 -- 安裝成功完成。如果安裝失敗，此記錄檔會包含詳細資料，可協助您識別並解決任何問題。

有關 ServiceLocation 安裝參數的詳細資訊

當您為具有 Office 2010 且沒有本機系統管理許可權的使用者安裝用戶端時，請指定 Azure Rights Management 服務的ServiceLocation參數和 URL。

重要

Office 2010 延伸支援已於 2020 年 10 月 13 日結束。如需詳細資訊，請參閱 AIP 和舊版 Windows 和 Office 版本。

此參數和值會建立及設定下列登錄機碼：

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSDRM\ServiceLocation\Activation

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSDRM\ServiceLocation\EnterprisePublishing

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDRM\ServiceLocation\EnterprisePublishing

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDRM\ServiceLocation\Activation

使用下列程式來識別要為 ServiceLocation 參數指定的值。

識別要為 ServiceLocation 參數指定的值

從 PowerShell 會話，先執行連線-AipService，並指定系統管理員認證以連線到 Azure Rights Management 服務。然後執行 Get-AipServiceConfiguration。

如果您尚未安裝 Azure Rights Management服務的 PowerShell 模組，請參閱安裝 AIPService PowerShell 模組。
從輸出中找出 LicensingIntranetDistributionPointUrl 值。

例如：LicensingIntranetDistributionPointUrl ： https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing
從該值，移除此字串的 /_wmcs/licensing。例如：https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

其餘字串是要為您的 ServiceLocation 參數指定的值。

以無訊息方式安裝Office 2010和 Azure RMS 的用戶端範例：

AzInfoProtection_UL.exe /quiet ServiceLocation=https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

有關 DowngradeDotNetRequirement 安裝參數的詳細資訊

為了支援使用 Windows Update 自動升級，以及與 Office 應用程式的可靠整合，Azure 資訊保護用戶端會使用 Microsoft .NET Framework 版本 4.6.2。根據預設，使用可執行檔的互動式安裝會檢查此版本，如果遺漏則會嘗試安裝。然後，安裝程序會要求重新啟動電腦。

如果您無法安裝此新版本的 Microsoft .NET Framework，您可以透過 DowngradeDotNetRequirement=True 參數與值安裝用戶端，這將會在已安裝 Microsoft .NET Framework 版本 4.5.1 的情況下略過此需求。

例如：AzInfoProtection.exe DowngradeDotNetRequirement=True

建議您小心使用此參數，並了解已有使用者回報當 Azure 資訊保護用戶端搭配此舊版 Microsoft .NET Framework 使用時，Office 應用程式會出現當機的問題。如果您遇到當機問題，請在嘗試其他疑難排解方案之前，先升級至建議的版本。

也請記住，如果您使用 Windows Update 維持 Azure 資訊保護用戶端的更新狀態，您必須有另一個軟體部署機制以將用戶端升級至較新的版本。

使用 .msi 安裝程式為使用者安裝 Azure 資訊保護用戶端

對於集中部署，請使用 Azure 資訊保護用戶端 .msi 安裝版本的下列特定資訊。

如果您使用 Intune 做為軟體部署方法，請使用這些指示，並搭配使用 Microsoft Intune 新增應用程式。

針對執行 .msi 檔案的每部電腦，您必須確定已就緒下列軟體相依性。例如，使用 用戶端的.msi 版本封裝這些專案，或只部署到符合這些相依性的電腦：

Office 版本作業系統軟體動作

所有版本 (除了 Office 365 1902 版或更新版本) 僅限 Windows 10 1809 版，比 17763.348 版舊的作業系統組建 KB 4482887 安裝

|Office 2013|所有支援的版本|64 位：KB3172523

32 位元：KB3172523

版本：1.0|安裝|

|Office 2016|所有支援的版本|64 位：KB3178666

32 位元：KB3178666

版本：1.0|安裝|

|Office 2010|Windows 8.1 和 Windows Server 2012 R2|KB2843630

檔案名中包含的版本號碼：v3|如果未安裝 KB2843630 或 KB2919355，請安裝|

|Office 2010|Windows 8和Windows Server 2012|KB2843630

檔案名中包含的版本號碼：v3|安裝|

重要

Office 2010 延伸支援已於 2020 年 10 月 13 日結束。如需詳細資訊，請參閱 AIP 和舊版 Windows 和 Office 版本。
對於預設安裝，請搭配 /quiet/ 來執行 .msi，例如 AzInfoProtection.msi /quiet。不過，您可能需要指定可執行安裝程式指示中所記載的其他安裝參數。
提示

根據預設，已啟用 [將使用量統計資料傳送至 Microsoft 安裝] 選項，以協助改善 Azure 資訊保護。若要停用此選項，請務必執行下列其中一項：
- 在安裝期間，指定 AllowTelemetry=0
- 安裝之後，請更新登錄機碼，如下所示： EnableTelemetry=0。

Office 版本	作業系統	軟體	動作
所有版本 (除了 Office 365 1902 版或更新版本)	僅限 Windows 10 1809 版，比 17763.348 版舊的作業系統組建	KB 4482887	安裝

如何安裝 Azure 資訊保護掃描器

Azure 資訊保護用戶端隨附的 PowerShell 模組具有用以安裝和設定掃描器的 cmdlet。但是，您必須安裝完整版本的用戶端才能使用掃描器，而無法只安裝 PowerShell 模組。

若要安裝掃描器的用戶端，請遵循前面幾節中的相同指示。接著，您已準備好進行設定，然後安裝掃描器。如需詳細資訊，請參閱什麼是 Azure 資訊保護傳統掃描器？。

後續步驟

既然您已經安裝 Azure 資訊保護用戶端，請參閱下列主題，以取得您支援此用戶端可能需要的其他資訊：