教程:从 Azure 信息保护 (AIP) 经典客户端迁移到统一标记解决方案
备注
你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?
适用于 Office 的 Azure 信息保护加载项现在处于维护模式,建议使用内置于 Office 365 应用和服务中的标签。 详细了解其他 Azure 信息保护组件的支持状态。
为了提供统一、简化的客户体验,Azure 门户中的 Azure 信息保护经典客户端和标签管理已于 2021 年 3 月 31 日弃用 。 虽然经典客户端可以继续按配置运行,但不提供进一步的支持,也不再发布经典客户端的维护版本。
建议迁移到统一标记并升级到统一标记客户端。 在最新的更新中了解弃用的详细信息。
本教程介绍如何将组织的 Azure 信息保护部署从经典客户端和 Azure 门户中的标签/标签策略管理迁移到统一标记解决方案和 Microsoft 365 敏感度标签。
所需时间:完成迁移所需的时间取决于策略的复杂程度以及使用的 AIP 功能。 在后台迁移时,你可以继续使用经典客户端。
本教程提供了每个步骤的大致说明,然后引用 Microsoft 文档中其他位置的相关部分以了解更多详细信息。
在本教程中,你将:
- 了解如何规划迁移
- 将标签迁移到统一标记平台
- 了解如何在 Microsoft Purview 合规性门户中配置高级设置
- 将策略复制到统一标记平台
- 部署统一标记客户端
为何要迁移到统一标记解决方案?
迁移到统一标记解决方案,不仅能够应对经典客户端停用,还能有效地保护整个数字资产中的敏感数据。 迁移后,可将 Microsoft Purview 信息保护用于 Microsoft 365 云服务、本地、第三方 SaaS 应用程序等。
MIP 支持许多基本信息保护功能的内置标记服务,使你能够仅为内置标记不支持的额外功能保留客户端使用。
- 通过减少部署和维护的额外软件来降低维护成本
- 提高 Office 性能,无需其他加载项
- 使用 Microsoft Purview 合规性门户在 AIP、Office 365 和 Windows 中简化标记和保护策略管理。
有关详细信息,请参阅了解统一标记迁移博客。
规划迁移
虽然 AIP 经典客户端可用的大多数功能也可用于统一标记客户端,但有些功能尚未完全可用,还有些在统一标记方面配置方式不同。
查看以下文章,了解使用统一标记客户端时使用的信息保护功能有何不同:
提示
如果在影响最终用户行为的客户端之间记录了差异,我们建议你在部署统一标记客户端和发布新策略之前,有效地向用户传达这些更改。
计划迁移并了解将发生的更改后,请继续将标记迁移到统一标记平台。
将标签迁移到统一标记平台
注意
由世纪互联运营的 Microsoft Azure 门户当前不支持 Azure 信息保护。 可以使用 Azure 信息保护 PowerShell 命令实现相同的功能。
规划迁移并考虑如何处理客户端的差异后,即可激活统一标记并迁移标记。
迁移时,可以继续在 Azure 门户中使用 Azure 信息保护区域中的 AIP 经典客户端和策略。 两个客户端可以并行工作,而无需任何其他配置。
以具有以下角色之一的管理员身份,登录到 Azure 门户:
- 法规管理员
- 合规性数据管理员
- 安全管理员
- 全局管理员
在“Azure 信息保护”区域的左侧“管理”下,选择“统一标记” 。
在页面顶部,选择 “激活”以激活统一标签。
标记将从 Azure 信息保护复制到统一标记平台,现在存储在两个系统中。
打开 Microsoft Purview 合规性门户,比较显示在此中心和 Azure 信息保护区域中的标签。 这两个列表应相同。 例如,在与 Microsoft Purview 合规性门户中进行比较时:
注意
如果需要,请继续使用两个系统中的标签,直到完成迁移。 有关详细信息,请参阅同步标记编辑。
继续将策略复制到统一标记平台。
同步标记编辑
将标签迁移到 Microsoft Purview 合规性门户后,继续对 Azure 门户中迁移的标签进行的任何编辑将自动同步到 Microsoft Purview 合规性门户中的同一标签。
但是,对 Microsoft Purview 合规性门户中的已迁移标签所做的编辑不同步回 Azure 门户。 如果在 Microsoft Purview 合规性门户中进行编辑,并且需要在 Azure 门户中更新它们,请返回到门户以发布更新。
若要在 Azure 门户中发布更新的标签,请执行以下操作:
在“Azure 信息保护”区域的左侧“管理”下,选择“统一标记” 。
选择 “发布”。
注意
仅当你在统一标记平台中对迁移的标记进行了编辑,并且需要这些编辑同步到 Azure 门户时,才需要执行此步骤。
通过 PowerShell 迁移标签
还可以使用 PowerShell 迁移现有标签,例如对于 GCC High 环境。
使用 New-Label cmdlet 迁移现有敏感度标签。
例如,如果你的敏感度标签具有加密功能,你可以使用 New-Label cmdlet,如下所示:
New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.partner.onmschina.cn','admin@labelaction.partner.onmschina.cn']"
将策略复制到统一标记平台
复制你存储在 Azure 门户中并希望在统一标记平台中启用的任何策略。
此功能目前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
注意
复制策略具有某些限制。 你还可以从头开始,在 Microsoft Purview 合规性门户中手动创建策略。 有关详细信息,请参阅 Microsoft 365 文档。
若要复制策略:
请考虑以下项目,并确认此时要复制策略:
注意事项 说明 复制策略会复制你的所有策略 复制策略不支持仅复制特定策略 - 现在要么复制所有策略,要么都不复制。 复制时会自动发布策略 将策略复制到统一标记客户端会自动将其发布到统一标记支持的所有客户端。
重要提示:如果不想发布策略,请不要复制它们。复制时会覆盖具有相同名称的现有策略 如果 Microsoft Purview 合规性门户中已有同名策略,则复制策略将覆盖该策略中定义的任何设置。
从 Azure 门户复制的所有策略都通过以下语法命名:AIP_<policy name>
。不会复制某些客户端设置 某些客户端设置不会复制到统一标记平台,迁移后必须手动配置。
有关详细信息,请参阅配置高级标记设置以具有以下角色之一的管理员身份,登录到 Azure 门户:
- 法规管理员
- 合规性数据管理员
- 安全管理员
- 全局管理员
在“Azure 信息保护”区域的左侧“管理”下,选择“统一标记” 。
选择 “复制策略(预览版)”。 存储在 Azure 门户中的所有策略都会复制到 Microsoft Purview 合规性门户。
如果 Microsoft Purview 合规性门户中已有具有相同名称的任何策略,则 Azure 门户中的设置将覆盖这些策略。
重要
如果你当前使用 Microsoft Defender for Cloud Apps 和 Azure 信息保护标签,请验证你是否已将至少一个具有一组最少标签的策略发布到 Microsoft Purview 合规性门户,即使该策略的范围仅限于单个用户。
此策略需要 Microsoft Defender for Cloud Apps 来识别 Microsoft Purview 合规性门户中的所有标签,并将这些标签显示在 Microsoft Defender for Cloud Apps 门户中。
现在,你已经迁移了标签和策略,请继续配置高级标记设置,以涵盖未迁移的任何高级配置。
配置高级标记设置
如规划阶段所述,某些高级标记设置不会自动迁移,必须为统一标记平台重新配置它们。
有关详情,请参阅:
在 PowerShell 中配置高级标记设置
连接到安全与合规中心 PowerShell 模块。 有关详细信息,请参阅安全与合规中心 PowerShell 文档。
若要定义高级标签设置,请使用 Set-Label cmdlet,指定 AdvancedSettings 参数、要向其应用设置的标签,以及定义设置的键/值对 。
使用以下语法:
Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{<Key>="<value1>,<value2>"}
其中:
<LabelGUIDorName>
使用标签名称或 GUID 标识标签<Key>
是你希望部署到设备的高级设置的键或名称<Value>
是要定义的设置值。 用引号括住值,用逗号分隔多个值。 不支持空格。
由配置以下高级设置开始:
有关可用高级配置的详细信息,请参阅管理员指南:Azure 信息保护统一标记客户端的自定义配置。
注意
若要利用为统一标记平台定义的设置,最终用户必须在其计算机上安装统一标记客户端。
这些高级设置不适用于仅具有 Office 365 提供的内置标记的用户。
在 Microsoft Purview 合规性门户中定义标签条件
与 Azure 门户中创建的对应条件相比,统一标记条件提供了更多灵活性和更高的准确性。
若要利用统一标记条件功能,请在 Microsoft Purview 合规性门户中手动创建标记条件。
有关详细信息,请参阅 Microsoft 365 文档中的敏感度标签能执行的操作。
提示
如果创建了任何自定义敏感信息类型以用于 Office 365 DLP 或 Microsoft Defender for Cloud Apps,请按原样将其应用于统一标签。 有关详细信息,请参阅 Microsoft 365 文档。
部署统一标记客户端
部署支持跨用户计算机的统一标记的客户端,以确保他们能够使用统一标记策略和标签。
用户必须具有可连接到 Microsoft Purview 合规性门户并拉取统一标记策略的受支持客户端。
有关详情,请参阅:
非 Windows 平台
对于非 Windows 平台上的用户,统一标记功能直接集成到 Office 客户端中,并可直接使用你发布的任何标签。
具有集成的统一标记功能的 Office 客户端包括:
- 适用于 macOS 的 Office 客户端
- Office 网页版(预览版)
- Outlook Web App
- Outlook 移动版
有关这些平台中的统一标记的详细信息,请参阅 Microsoft 支持站点上的将敏感度标签应用于 Office 中的文件和电子邮件。
Windows 平台
对于具有 Microsoft 365 企业应用版的 Windows 计算机,请使用 Office 版本 1910 及更高版本中提供的内置标记支持,或安装 Azure 信息保护统一标记客户端,以将 AIP 功能扩展到文件资源管理器或 PowerShell。
有关详情,请参阅:
可以从 Microsoft 下载中心下载 Azure 信息保护统一标记客户端。
请确保使用 AzInfoProtection_UL 文件来部署客户端。 如果当前计算机上安装了经典客户端,则安装统一标记客户端将执行就地升级。
注意
在确定何时使用内置标记以及何时使用统一标记客户端时,请考虑组织当前所需的 AIP 功能。
对经典客户端最终用户而言有哪些变化?
对使用 Azure 信息保护经典客户端的最终用户而言,主要、最明显的区别在于,Office 应用中的“保护”按钮已替换为“敏感度”按钮 。
当你利用敏感度标签和统一标记支持的其他功能后,最终用户也将在 Office 应用中看到这些更改。
例如:
Windows AIP 经典客户端
Windows AIP 统一标记客户端
提示
如果你已发布标签,并且具有内置支持的客户端未显示“敏感度”按钮,请根据需要查看相关故障排除指南。
从经典客户端升级扫描程序
如果你当前正在 Azure 信息保护经典客户端中使用 Azure 信息保护扫描程序,可以将它升级,以使用从 Microsoft Purview 合规性门户发布的敏感信息类型和敏感度标签。
如何升级扫描程序取决于当前正在运行的经典客户端版本:
升级过程会创建一个名为“AIPScannerUL_<profile_name>”的新数据库,并保留以前的扫描程序数据库,以备你在旧版中使用。 如果你确信不再需要以前的扫描程序数据库,可以将其删除。 由于升级过程会创建新的数据库,因此扫描程序在首次运行时将重新扫描所有文件。
从 Azure 信息保护经典客户端版本 1.48.204.0 以及此客户端的更高版本升级
如果已使用统一标记客户端预览版升级了扫描程序,则不需要再次运行这些指令。
在扫描程序计算机上,停止扫描程序服务“Azure 信息保护扫描程序”。
从 Microsoft 下载中心下载并安装统一标记客户端,以升级到 Azure 信息保护统一标记客户端。
在 PowerShell 会话中,运行指定了扫描程序配置文件的 Update-AIPScanner 命令。 例如:
Update-AIPScanner -Profile Europe
。此步骤会创建一个名为“AIPScannerUL_<profile_name>”的新数据库
重启 Azure 信息保护扫描程序服务“Azure 信息保护扫描程序”。
现在可以使用部署 Azure 信息保护扫描程序以自动对文件进行分类和保护中的余下说明,并忽略安装扫描程序的步骤。 扫描程序已安装,因此没有理由再次安装。
从低于 1.48.204.0 的 Azure 信息保护经典客户端版本升级
重要
为了顺利完成扫描程序的升级,第一步请不要在运行扫描程序的计算机上安装 Azure 信息保护统一标记客户端。 请改用以下升级说明。
从版本 1.48.204.0 开始,扫描程序将使用一个配置文件从 Azure 门户获取其配置设置。 升级扫描程序的过程包括指示扫描程序使用此联机配置;对于统一标记客户端,不支持扫描程序的脱机配置。
使用 Azure 门户创建新的扫描程序配置文件,其中包含扫描程序和数据存储库的设置及其所需的任何设置。 在执行此步骤时如需帮助,请参阅扫描程序部署说明中的在 Azure 门户中配置扫描程序。
在扫描程序计算机上,停止扫描程序服务“Azure 信息保护扫描程序”。
从 Microsoft 下载中心下载并安装统一标记客户端,以升级到 Azure 信息保护统一标记客户端。
在 PowerShell 会话中,使用你在步骤 1 中指定的相同配置文件名称运行 Update-AIPScanner 命令。 例如:
Update-AIPScanner -Profile Europe
重启 Azure 信息保护扫描程序服务“Azure 信息保护扫描程序”。
现在可以使用部署 Azure 信息保护扫描程序以自动对文件进行分类和保护中的余下说明,并忽略安装扫描程序的步骤。 扫描程序已安装,因此没有理由再次安装。
后续步骤
根据需要迁移标签、策略和已部署的客户端后,请继续仅在 Microsoft Purview 合规性门户中管理标签和标记策略。
使用统一标记平台,你只需返回到 Azure 门户中的 Azure 信息保护区域,以:
我们建议最终用户利用适用于 Web、Mac、iOS 和 Android 的最新 Office 应用以及 Microsoft 365 企业应用版中的内置标记功能。
若要使用内置标记不支持的其他 AIP 功能,建议使用适用于 Windows 的最新统一标记客户端。