Azure 信息保护经典客户端管理员指南

  • 项目

适用于:Active Directory Rights Management Services、Azure 信息保护、Windows 10、Windows 8.1、Windows 8、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

相关客户端适用于 Windows 的 Azure 信息保护经典客户端。 有关统一标记客户端,请参阅统一标记客户端管理员指南

注意

为了提供统一、简化的客户体验,我们计划于 2021 年 3 月 31 日停用 Azure 门户中的 Azure 信息保护经典客户端和标签管理。 不提供对经典客户端的进一步支持,也不再发布维护版本。

  • 经典客户端将在 2022 年 3 月 31 日完全停用并停止运行。
  • 自 2022 年 3 月 18 日起,我们还将停用 AIP 审核日志和分析,完全停用日期为 2022 年 9 月 31 日。

本文中的内容仅为具有外延支持的客户提供支持。 有关详细信息,请参阅已删除和停用的服务

若要部署 AIP 经典客户端,请创建一个支持票证来下载安装文件。

如果你负责企业网络上的 Azure 信息保护客户端,或如果你想要获取除了 Azure 信息保护客户端用户指南以外的更多技术信息,请使用本指南中的信息。

例如:

  • 了解此客户端的不同组件以及是否应安装这些组件

  • 如何为用户安装客户端,以及有关先决条件、安装选项和参数及验证检查的信息

  • 如何适应通常需要编辑注册表的自定义配置

  • 查找客户端文件和使用情况日志

  • 确定客户端支持的文件类型

  • 为用户配置和使用文档跟踪站点

  • 将客户端与 PowerShell 结合用于命令行控制

是否有本文档未解决的问题? 请访问 Azure 信息保护 Yammer 站点

Azure 信息保护客户端的技术概述

Azure 信息保护客户端包括以下内容:

  • 一个 Office 加载项,可安装 Azure 信息保护栏以便用户选择分类标签;一个功能区上的“保护”按钮,可获取其他选项。 对于 Outlook,在功能区上还可以使用“不转发”按钮

  • Windows 文件资源管理器,便于用户将分类标签和保护应用到文件的右键单击选项。

  • 一个查看器,用于在内置应用程序无法打开受保护的文件时显示这些文件。

  • 一个 PowerShell 模块,用于从文件应用和删除分类标签和保护。

    此模块包括了用来安装和配置 Azure 信息保护扫描程序的 cmdlet,该扫描程序在 Windows Server 上作为服务运行。 借助此服务,可发现和保护数据存储(例如,网络共享和 SharePoint Server 库)中的文件并对其进行分类。

  • 权限管理客户端,可与 Azure 权限管理 (Azure RMS) 或 Active Directory Rights Management Services (AD RMS) 进行通信。

Azure 信息保护客户端最适合用于其 Azure 服务;Azure 信息保护及其数据保护服务(Azure 权限管理)。 不过,Azure 信息保护客户端也可用于本地版本的 Rights Management ( AD RMS),只是存在一些限制。 有关 Azure 信息保护和 AD RMS 所支持功能的全面比较,请参阅比较 Azure信息保护和 AD RMS

你是否应该部署 Azure 信息保护客户端?

如果你没有使用 Microsoft 365 中的敏感度标签,而是使用了从 Azure 下载的 Azure 信息保护标签并且以下任意一项属实,请部署 Azure 信息保护客户端:

  • 想要通过从 Office 应用程序(Word、Excel、PowerPoint、Outlook)中选择标签对文档和电子邮件进行分类(或保护)。

  • 想要通过使用文件资源管理器(支持除 Office、多选和文件夹支持的文件类型以外的其他文件类型)对文件进行分类(或保护)。

  • 想要通过使用 PowerShell 命令运行对文档进行分类(或保护)的脚本。

  • 想要运行一项服务来发现(或保护)存储在本地的文件并对其进行分类。

  • 在未安装用来显示文件的内置应用程序或该应用程序无法打开这些文件的情况下,你想查看受保护的文档。

  • 只想通过使用文件资源管理器或使用 PowerShell 命令保护文件。

  • 想要用户和管理员能够跟踪和撤销受保护的文档。

  • 想要从文件和容器(取消保护)批量删除加密,以进行数据恢复。

  • 运行 Office 2010 并且想要通过使用 Azure 权限管理服务保护文档和电子邮件。

    请注意,Office 2010 外延支持已于 2020 年 10 月 13 日结束。 有关详细信息,请参阅 AIP 和旧版 Windows 和 Office 版本

示例显示了 Office 应用程序中的 Azure 信息保护客户端加载项、组织的分类标签,以及功能区上新的“保护”按钮

Azure Information Protection bar with default policy

安装和支持 Azure 信息保护客户端

可通过使用可执行文件或 Windows Installer 文件来安装 Azure 信息保护客户端。 如需详细了解每个选项和说明,请参阅为用户安装 Azure 信息保护客户端

使用以下部分获取有关安装客户端的支持信息。

安装检查和疑难解答

安装客户端后,请使用“帮助和反馈”选项打开“Microsoft Azure 信息保护”对话框

  • 在 Office 应用程序中:在“开始”选项卡上的“保护”组中,依次选择“保护”和“帮助和反馈”。

  • 在文件资源管理器中:右键单击选择一个/多个文件或文件夹,然后依次选择“分类和保护”和“帮助和反馈”。

帮助和反馈”部分

默认情况下,“提供详细信息”链接转到 Azure 信息保护网站,但也可以根据 Azure 信息保护策略中的一项策略设置,将其配置为转到自定义 URL。

仅当指定高级客户端设置时,才会显示“报告问题”链接。 配置此设置时,指定 HTTP 链接,例如支持人员的电子邮件地址。

“导出日志”自动收集并附加 Azure 信息保护客户端的日志文件,如果必须将日志文件发送给 Microsoft 支持人员的话。 最终用户也可使用此选项将这些日志文件发送给你的支持人员。

“重置设置”会注销用户、删除当前下载的 Azure 信息保护策略,并重置 Azure Rights Management 服务的用户设置

注意

如果客户端出现技术问题,请参阅支持选项和社区资源

有关“重置设置”选项的详细信息

  • 不是本地管理员也能使用此选项,并且不会在事件查看器中记录此操作。

  • 除非文件被锁定,否则此操作将删除以下位置中的所有文件。 这些文件包括客户端证书、Rights Management 模板、Azure 信息保护策略和缓存的用户凭据。 不会删除客户端日志文件。

    • %LocalAppData%\Microsoft\DRM

    • %LocalAppData%\Microsoft\MSIPC

    • %LocalAppData%\Microsoft\MSIP\Policy.msip

    • %LocalAppData%\Microsoft\MSIP\TokenCache

  • 将删除以下注册表项和设置。 如果以下任意注册表项具有自定义值,则必须在重置客户端后重新对其进行配置。

    对于企业网络,通常使用组策略配置这些设置,在这种情况下,在计算机上刷新组策略时,将自动重新应用这些设置。 但是,某些设置可能通过脚本一次性配置,或手动配置。 在这些情况下,必须执行其他步骤来重新配置这些设置。 例如,由于要从 AD RMS 迁移并且网络上仍有服务连接点,因此计算机要运行一次脚本才能配置用于重定向到 Azure 信息保护的设置。 重置客户端后,计算机必须再次运行此脚本。

    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Common\Identity

    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\14.0\Common\DRM

    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Common\DRM

    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common\DRM

    • HKEY_CURRENT_USER\SOFTWARE\Classes\Local Settings\Software\Microsoft\MSIPC

  • 当前登录的用户已注销。

客户端状态”部分

使用“连接身份”值来确认显示的用户名是否是要用于 Azure 信息保护身份验证的帐户。 此用户名必须与用于 Microsoft 365 或 Azure Active Directory 的帐户相匹配。 帐户还必须属于为 Azure 信息保护配置的租户。

如果需要以与显示用户名不同的用户身份登录,请参阅以其他用户身份登录自定义项。

“最后连接”显示客户端最后一次连接到组织的 Azure 信息保护服务的时间。 可以将此信息与信息保护策略安装日期和时间结合,以确认 Azure 信息保护策略上次安装或更新的时间。 当客户端连接服务时,如果它发现与其当前策略有差异,则会自动下载最新策略,频率同样也是每 24 小时。 如果在显示时间后完成策略更改,关闭并重新打开 Office 应用程序。

如果看到此客户端未获许可使用 Office Professional Plus:Azure 信息保护客户端检测到安装的 Office 版本不支持应用 Rights Management 保护。 执行此检测时,便会发现应用保护的标签未显示在 Azure 信息保护栏上。

使用“版本”信息可以确认安装的是哪个版本的客户端。 可以单击“新增功能”链接来查看客户端的版本管理和可支持性,检查是否为最新发行版本以及相应的修补程序和新功能。

支持多种语言

Azure 信息保护客户端支持的语言与 Microsoft 365 支持的语言相同。 有关这些语言的列表,请参阅 Office 的国际可用性页。

对于这些语言,Azure 信息保护客户端中的菜单选项、对话框和消息将以用户的语言显示。 由于有一个安装程序可检测语言,因此不需要进行额外配置即可安装不同语言的 Azure 信息保护客户端。

但是,在 Azure 信息保护策略中配置标签时,不会自动翻译指定的标签名称和说明。 从 2017 年 8 月 30 日起,当前的默认政策包含对部分语言的支持。 若要以用户首选语言向其显示标签,必须提供你的翻译并将 Azure 信息保护策略配置为使用这些翻译。 有关详细信息,请参阅如何在 Azure 信息保护中配置不同语言的标签。 视觉标记未翻译,且不支持多种语言。

安装后任务

安装 Azure 信息保护客户端后,请务必告知用户如何标记文档和电子邮件,并指导用户如何选择适合特定方案的标签。 例如:

升级和维护 Azure 信息保护客户端

Azure 信息保护团队会定期更新 Azure 信息保护客户端,以提供新功能和修补程序。 公告会发布到团队的 Yammer 网站

如果使用的是 Windows 更新,Azure 信息保护客户端会自动升级客户端的正式版本,无论客户端是如何安装的。 新客户端版本会在发布后的几周内发布到目录中。

此外,你还可以使用更新的版本安装来手动升级客户端。 必须使用这种方法来升级预览版。

手动升级时,只有当要更改安装方法时,才需要先卸载旧版本。 例如,从客户端的可执行文件 (.exe) 版本更改为客户端的 Windows 安装程序 (.msi) 版本。 或当需要安装旧版客户端时。 例如,出于测试目的已安装当前预览版,现在需要还原到当前正式版本。

使用版本管理和可支持性了解 Azure 信息保护客户端的支持策略、目前支持的版本以及每个受支持版本中包含的内容。

升级 Azure 信息保护扫描程序

按照以下说明将扫描程序从早于 1.48.204.0 的正式发布版本升级到当前版本。

将扫描程序升级到当前版本

重要

为了顺利升级,请勿将在运行扫描程序的计算机上安装 Azure 信息保护客户端作为升级扫描程序的第一步。 请改用以下升级说明。

从版本 1.48.204.0 开始,从先前版本进行升级时会自动将扫描程序更改为从 Azure 门户获取其配置设置。 此外,还会更新扫描程序配置数据库的架构,并且还会从 AzInfoProtection 重命名此数据库:

  • 如果未指定自己的配置文件名称,则会将配置数据库重命名为 AIPScanner_computer_name>。

  • 如果指定自己的配置文件名称,则会将配置数据库重命名为 AIPScanner_profile_name>。

虽然可以按不同的顺序升级扫描程序,但建议执行以下步骤:

  1. 使用 Azure 门户创建新的扫描程序配置文件,其中包含扫描程序和数据存储库的设置及其所需的任何设置。 在执行此步骤时如需帮助,请参阅扫描程序部署说明中的在 Azure 门户中配置扫描程序

    如果运行扫描程序的计算机断开了与 Internet 的连接,则仍需执行此步骤。 然后,在 Azure 门户中,使用“导出”选项将扫描程序配置文件导出到文件中。

  2. 在扫描程序计算机上,停止扫描程序服务“Azure 信息保护扫描程序”

  3. 通过安装当前的正式发布 (GA) 版本来升级 Azure 信息保护客户端。

  4. 在 PowerShell 会话中,运行 Update-AIPScanner 命令并使用你在步骤 1 中指定的同一配置文件名称。 例如:Update-AIPScanner -Profile Europe

  5. 仅当扫描程序在断开了连接的计算机上运行时才执行的操作:立即运行 Import-AIPScannerConfiguration 并指定包含导出的设置的文件。

  6. 重启 Azure 信息保护扫描程序服务“Azure 信息保护扫描程序”

现在可以使用部署 Azure 信息保护扫描程序以自动对文件进行分类和保护中的余下说明,并忽略安装扫描程序的步骤。 扫描程序已安装,因此没有理由再次安装。

如果在运行 Update-AIPScanner 命令之前未在 Azure 门户中配置扫描程序,则将没有要指定用于标识升级过程的扫描程序配置设置的配置文件名称。

在这种情况下,当在 Azure 门户中配置扫描程序时,必须指定与运行 Update-AIPScanner 命令时使用的完全相同的配置文件名称。 如果名称不匹配,则不会为设置配置扫描程序。

提示

若要识别存在这种不当配置的扫描程序,请使用 Azure 门户中的“Azure 信息保护 - 节点”窗格。

对于已建立 Internet 连接的扫描程序,它们显示的计算机名包含 Azure 信息保护客户端的正式版本号,但不包含配置文件名称。 只有版本号为 1.41.51.0 的扫描程序才不会在窗格中显示配置文件名称。

如果在运行 Update-AIPScanner 命令时未指定配置文件名称,则计算机名称将用于自动为扫描程序创建配置文件名称。

将扫描程序配置数据库移动到其他 SQL Server 实例

在当前的正式发布版本中,如果在运行升级命令后尝试将扫描程序配置数据库移动到新的 SQL Server 实例,则会出现一个已知问题。

如果你知道要在正式发布版本上移动扫描程序配置数据库,请执行以下操作:

  1. 使用 Uninstall-AIPScanner 卸载扫描程序。

  2. 如果尚未升级到 Azure 信息保护客户端的当前正式发布版本,请立即升级客户端。

  3. 使用 Install-AIPScanner 安装扫描程序,指定新的 SQL Server 实例和配置文件名称。

  4. 可选:如果不希望扫描程序重新扫描所有文件,请导出 ScannerFiles 表,然后将其导入到新数据库中。

卸载 Azure 信息保护客户端

可使用以下任一选项卸载客户端:

  • 使用控制面板来卸载程序:单击“Microsoft Azure 信息保护”“卸载”

  • 重新运行可执行文件(如 AzInfoProtection.exe),并从“修改安装程序”页上,单击“卸载”

  • 使用 /uninstall 运行可执行文件。 例如: AzInfoProtection.exe /uninstall

后续步骤

要安装客户端,请参阅为用户安装 Azure 信息保护客户端

若已安装客户端,要了解支持此客户端所需的其他信息,请参阅以下内容: