Erweitern der Vertraulichkeitsbezeichnung unter Windows

Der Microsoft Purview Information Protection-Client erweitert Vertraulichkeitsbezeichnungen über Bezeichnungen hinaus, die in Microsoft 365-Apps und -Dienste integriert sind, und unterstützt eine größere Palette von Dateitypen.

Dieser Client wird nur unter Windows ausgeführt und ersetzt den Azure Information Protection-Client (AIP) für einheitliche Bezeichnungen. Sie hat die folgenden Komponenten:

Komponente Beschreibung
Informationsschutz-Scanner Wird zum Ermitteln, Bezeichnen und Verschlüsseln von Dateien in Datenspeichern wie Netzwerkfreigaben und SharePoint Server-Bibliotheken verwendet.
Information Protection-Dateibezeichnung Wird verwendet, um Vertraulichkeitsbezeichnungen und Verschlüsselung mit dem Datei-Explorer anzuwenden.
Information Protection Viewer Wird verwendet, um verschlüsselte Dateien anzuzeigen.
Microsoft Purview Information Protection PowerShell-Modul Wird verwendet, um Vertraulichkeitsbezeichnungen für Dateien anzupassen und den Microsoft Purview Information Protection-Scanner zu installieren und zu konfigurieren.

Es gibt kein Office-Add-In mit dem Microsoft Purview Information Protection-Client, da diese Funktionalität durch Vertraulichkeitsbezeichnungen ersetzt wird, die in Office integriert sind.

Die neuesten Versionsinformationen und Supportzeitpläne für jede Clientversion finden Sie unter Microsoft Purview Information Protection-Client – Releaseverwaltung und -unterstützung.

Anforderungen für die Bereitstellung des Information Protection-Clients

Um den Microsoft Purview Information Protection-Client zu verwenden, installieren Sie diesen Client auf Windows-Computern, auf denen Sie die Clientkomponenten verwenden möchten.

Außerdem müssen sie die folgenden Anforderungen erfüllen:

Die folgenden Betriebssysteme unterstützen den Microsoft Purview Information Protection-Client:

  • Windows 11
  • Windows 10 (x64) (Handschrift wird im Windows 10 RS4-Build und höher nicht unterstützt.)
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2 und Windows Server 2012

ARM64 wird nicht unterstützt.

Installieren oder Aktualisieren des Information Protection-Clients

Wenn Sie den Microsoft Purview Information-Client interaktiv installieren und der Azure Information Protection-Client für einheitliche Bezeichnungen (AIP) erkannt wird, können Sie den älteren Client aktualisieren, nachdem Sie bestätigt haben, dass das AIP-Add-In für Office entfernt wird.

Hinweis

Upgrades mithilfe des Microsoft Update-Katalogs oder einer anderen nicht interaktiven Installation erfordern eine Registrierungsschlüsselkonfiguration , wenn auf dem lokalen Computer Azure Information Protection-Clientversionen vorhanden sind.

Es gibt zwei Optionen für die Installation des Information Protection-Clients:

  • Installieren des Information Protection-Clients mithilfe des .exe-Installationsprogramms
  • Installieren des Information Protection-Clients mithilfe des .msi-Installationsprogramms

Wenn Sie die Information Protection-Überprüfung entweder über den Azure Information Protection-Client (AIP) für einheitliche Bezeichnungen oder eine frühere Version des Information Protection-Clients aktualisieren, lesen Sie Aktualisieren des Microsoft Purview Information Protection-Scanners , bevor Sie diese Clientinstallationsanweisungen verwenden.

So installieren Sie den Information Protection-Client mit der .exe-Datei:

  1. Laden Sie die ausführbare Version des Microsoft Purview Information Protection-Clients aus dem Microsoft Download Center herunter. PurviewInfoProtection.exez. B . .

    Wichtig

    Wenn eine Vorschauversion verfügbar ist, verwenden Sie diese Version nur zum Testen. Es ist nicht für Endbenutzer in einer Produktionsumgebung vorgesehen.

  2. Führen Sie für eine Standardinstallation einfach die ausführbare Datei aus. Um alle Installationsoptionen anzuzeigen, führen Sie zuerst die ausführbare Datei mit /help aus. Zum Beispiel:
    PurviewInfoProtection.exe **/help**

    1. Führen Sie Folgendes aus, um den Client im Hintergrund zu installieren:
      PurviewInfoProtection.exe /quiet
    2. Führen Sie Folgendes aus, um nur die PowerShell-Cmdlets im Hintergrund zu installieren:
      PurviewInfoProtection.exe PowerShellOnly=true /quiet

    Hinweis

    Standardmäßig ist die Option zum Senden von Nutzungsstatistiken an Microsoft aktiviert. Führen Sie zum Deaktivieren dieser Option einen der folgenden Schritte aus:

    • Geben Sie während der Installation AllowTelemetry=0 an.
    • Aktualisieren Sie den Registrierungsschlüssel nach der Installation wie folgt: EnableTelemetry=0.
  3. Starten Sie alle Instanzen des Datei-Explorers neu, um die Installation abzuschließen.

  4. Vergewissern Sie sich, dass die Installation erfolgreich war, indem Sie die Installationsprotokolldatei überprüfen, die standardmäßig im Ordner %temp% erstellt wird.

    Die Installationsprotokolldatei weist das folgende Benennungsformat auf: Microsoft_Azure_Information_Protection_<number>_<number>_MSIP.Setup.Main.msi.log

    Beispiel: Microsoft_Azure_Information_Protection_20161201093652_000_MSIP.Setup.Main.msi.log

    Suchen Sie in der Protokolldatei nach der folgenden Zeichenfolge: Product: Microsoft Purview Information Protection--Installation erfolgreich abgeschlossen. Wenn bei der Installation ein Fehler aufgetreten ist, enthält diese Protokolldatei Details, die Ihnen helfen, Probleme zu identifizieren und zu beheben.

    Tipp

    Sie können den Speicherort der Installationsprotokolldatei mit dem / log-Installationsparameter ändern.

Speicherorte der Protokolldateien

Client- und Scannerprotokolldateien befinden sich an den folgenden Speicherorten auf dem Windows-Computer:

  • \ProgramFiles (x86)\Microsoft Purview Information Protection (nur 64-Bit-Betriebssysteme)
  • \Programme\Microsoft Purview Information Protection (nur 32-Bit-Betriebssysteme)
  • %localappdata%\Microsoft\MSIP

Unterstützte Sprachen

Der Information Protection-Client unterstützt die gleichen Sprachen wie Office 365. Eine Liste dieser Sprachen finden Sie auf der Seite Internationale Verfügbarkeit von Office.

Für diese Sprachen werden Menüoptionen, Dialogfelder und Nachrichten aus dem Microsoft Purview Information Protection-Client in der Sprache des Benutzers angezeigt. Es gibt ein einzelnes Installationsprogramm, das die Sprache erkennt, sodass keine zusätzliche Konfiguration erforderlich ist, um den Information Protection-Client für verschiedene Sprachen zu installieren.

Die von Ihnen angegebenen Bezeichnungsnamen und -beschreibungen werden jedoch nicht automatisch übersetzt, wenn Sie Bezeichnungen im Verwaltungsportal konfigurieren. Damit Benutzer Bezeichnungen in ihrer bevorzugten Sprache anzeigen können, stellen Sie Ihre eigenen Übersetzungen bereit, und konfigurieren Sie sie für die Bezeichnungen mithilfe von PowerShell und dem Parameter LocaleSettings für Set-Label. Weitere Informationen finden Sie unter Beispielkonfiguration zum Konfigurieren einer Vertraulichkeitsbezeichnung für verschiedene Sprachen.

Unterstützte Dateitypen

In diesem Abschnitt werden die Dateitypen aufgelistet, die vom Microsoft Purview Information Protection-Client unterstützt werden. Für die aufgeführten Dateitypen werden WebDav-Speicherorte nicht unterstützt.

Tipp

Wenn Sie Dateitypen verschlüsseln, die keine integrierte Unterstützung für die Verschlüsselung haben, und daher generische Verschlüsselung verwenden, empfehlen wir, diesen Dateien die Berechtigung des Mitbesitzers zuzuweisen.

Die folgenden Dateitypen können ohne Verschlüsselung bezeichnet werden.

  • Adobe Portable Document Format: .pdf

  • Microsoft Project: .mpp, .mpt

  • Microsoft Publisher: .pub

  • Microsoft XPS: .xps .oxps

  • Bilder: .jpg, .jpe, .jpeg, .jif, .jfif, .jfi. png, .tif, .tiff

  • Autodesk Design Review 2013: .dwfx

  • Adobe Photoshop: .psd

  • Digital Negativ: .dng

  • Microsoft Office: Die folgenden Dateitypen, einschließlich 97-2003-Dateiformaten und Office Open XML-Formaten für Word, Excel und PowerPoint.

    Word Excel PowerPoint Visio
    .doc .xls .potm .vdw
    DOCM XLSB .potx .vsd
    DOCX .xlst .pps .vsdm
    .dot XLSM PPSM .vsdx
    .doctm XLSX PPSX .vss
    .dotx .xltm .vssm
    XLTX .vst
    .vstm
    .vssx
    .vstx

Ausgeschlossene Ordner und Dateitypen

Um zu verhindern, dass Benutzer Dateien ändern, die für Computervorgänge wichtig sind, werden einige Dateitypen und Ordner automatisch von der Klassifizierung und Bezeichnung ausgeschlossen. Wenn Benutzer versuchen, diese Dateien mithilfe des Information Protection-Clients zu bezeichnen, wird eine Meldung angezeigt, dass diese Dateien ausgeschlossen sind.

Die folgenden Ordner werden vom Information Protection-Client von der Klassifizierung und Bezeichnung ausgeschlossen:

  • Windows
  • Programme (\Programme und \Programme (x86))
  • \ProgramData
  • \AppData (für alle Benutzer)

Dateitypen, die standardmäßig nicht verschlüsselt werden können

Jede Datei, die kennwortgeschützt ist, kann vom Client nicht nativ verschlüsselt werden, es sei denn, die Datei ist derzeit in der Anwendung geöffnet, die die Verschlüsselung anwendet. Am häufigsten werden PDF-Dateien angezeigt, die kennwortgeschützt sind, aber auch andere Anwendungen, z. B. Office-Apps, bieten diese Funktionalität.

Für die Überprüfung unterstützte Dateitypen

Der Information Protection-Client verwendet Windows IFilter, um den Inhalt von Dokumenten zu überprüfen. Windows IFilter wird von Windows Search für die Indizierung verwendet. Daher können die folgenden Dateitypen überprüft werden, wenn Sie den PowerShell-Befehl Set-FileLabel -Autolabel verwenden.

Anwendungstyp Dateityp
Word .doc, .docx, .docm, .dot, .dotx
Excel .xls, .xlt, .xlsx, .xlsm, .xlsb
PowerPoint .ppt, .pps, .pot, .pptx
PDF .PDF
Text .txt, .xml, .csv

Überprüfen .ZIP Dateien

Sie können die Information Protection-Überprüfung oder den PowerShell-Befehl Set-FileLabel verwenden, um .zip Dateien zu überprüfen.

Hinweis

Wenn Die Information Protection-Überprüfung auf einem Windows Server-Computer installiert ist, müssen Sie auch den Microsoft Office iFilter installieren, um .zip Dateien auf vertrauliche Informationstypen zu überprüfen. Weitere Informationen finden Sie auf der Microsoft-Downloadwebsite.

Wenn die .zip Datei nach dem Ermitteln vertraulicher Informationen beschriftet und mit einer Bezeichnung verschlüsselt werden soll, geben Sie in den Bereitstellungsanweisungen für den Scanner die .zip Dateinamenerweiterung mit der erweiterten PowerShell-Einstellung PFileSupportedExtensions an.

Beispielszenario:

Eine Datei namens accounts.zip enthält Excel-Tabellen mit Kreditkartennummern. Sie verfügen über eine Vertraulichkeitsbezeichnung namens Vertraulich \ Finance, die so konfiguriert ist, dass Kreditkartennummern ermittelt und die Bezeichnung automatisch mit Verschlüsselung angewendet wird, die den Zugriff auf die Gruppe Finanzen einschränkt.

Nach der Überprüfung der Datei bezeichnet der Client aus Ihrer PowerShell-Sitzung diese Datei als Vertraulich \ Finanzen. Als Nächstes wendet der Client eine generische Verschlüsselung auf die Datei an, sodass nur Mitglieder der Finanzgruppen sie entzippen können, und benennt die Datei accounts.zip.pfile um.

Unterstützung für getrennte Computer

Standardmäßig versucht der Information Protection-Client automatisch, eine Verbindung mit dem Internet herzustellen, um Vertraulichkeitsbezeichnungen und Richtlinieneinstellungen für Vertraulichkeitsbezeichnungen von Microsoft Purview herunterzuladen.

Wenn Sie über Computer verfügen, die für einen bestimmten Zeitraum keine Verbindung mit dem Internet herstellen können, können Sie Dateien exportieren und kopieren, die die Richtlinie für den Information Protection-Client manuell verwalten.

So unterstützen Sie nicht verbundene Computer vom Information Protection-Client:

  1. Wählen Oder erstellen Sie ein Benutzerkonto in Microsoft Entra ID, das Sie zum Herunterladen von Bezeichnungen und Richtlinieneinstellungen verwenden möchten, die Sie auf Ihrem getrennten Computer verwenden möchten.

  2. Deaktivieren Sie als zusätzliche Bezeichnungsrichtlinieneinstellung für dieses Konto das Senden von Überwachungsdaten an Microsoft Purview mithilfe der erweiterten Einstellung EnableAudit PowerShell with Set-LabelPolicy aus Security & Compliance PowerShell.

    Wir empfehlen diesen Schritt, da der nicht verbundene Computer regelmäßig über eine Internetverbindung verfügt und Protokollierungsinformationen an Microsoft Purview sendet, die den Benutzernamen aus Schritt 1 enthalten. Dieses Benutzerkonto unterscheidet sich möglicherweise von dem lokalen Konto, das Sie auf dem getrennten Computer verwenden.

  3. Laden Sie auf einem Computer mit Internetverbindung, auf dem der Information Protection-Client installiert und mit dem Benutzerkonto aus Schritt 1 angemeldet ist, die Bezeichnungen und Richtlinieneinstellungen herunter.

  4. Exportieren Sie von diesem Computer die Protokolldateien.

    Führen Sie beispielsweise das Cmdlet Export-DebugLogs aus, oder verwenden Sie die Option Protokolle exportieren aus dem Dialogfeld Hilfe und Feedback des Clients aus der Dateibeschriftung.

    Die Protokolldateien werden als einzelne komprimierte Datei exportiert.

  5. Öffnen Sie die komprimierte Datei, und kopieren Sie aus dem MSIP-Ordner alle Dateien mit einer .xml Dateinamenerweiterung.

  6. Fügen Sie diese Dateien in den Ordner %localappdata%\Microsoft\MSIP auf dem getrennten Computer ein.

  7. Wenn es sich bei Ihrem ausgewählten Benutzerkonto um ein Benutzerkonto handelt, das normalerweise eine Verbindung mit dem Internet herstellt, aktivieren Sie das Senden von Überwachungsdaten erneut, indem Sie den Wert EnableAudit auf True festlegen.

Beachten Sie: Wenn ein Benutzer auf diesem Computer die Option Einstellungen zurücksetzen aus Hilfe und Feedback im Dateibezeichnungser auswählt, löscht diese Aktion die Richtliniendateien und lässt den Client nicht mehr funktionsfähig, bis Sie die Dateien manuell ersetzen oder der Client eine Verbindung mit dem Internet herstellt, sodass er die benötigten Dateien herunterladen kann.

Wenn auf Ihrem getrennten Computer die Information Protection-Überprüfung ausgeführt wird, müssen Sie zusätzliche Konfigurationsschritte ausführen. Weitere Informationen finden Sie in den Anweisungen zur Scannerbereitstellung unter Einschränkung: Der Scannerserver kann nicht über Eine Internetverbindung verfügen .

Unterstützte Anpassungen

Der Information Protection-Client unterstützt erweiterte PowerShell-Einstellungen und einige Registrierungseinstellungen, die möglicherweise für bestimmte Szenarien oder Benutzer erforderlich sind.

Informationen zu den erweiterten PowerShell-Einstellungen, die mit New-Label oder Set-Label und New-LabelPolicy oder Set-LabelPolicy von Security & Compliance PowerShell unterstützt werden, finden Sie unter Erweiterte Einstellungen für den Microsoft Purview Information Protection-Client.

Verwenden Sie die folgenden Abschnitte, um die Registrierung für unterstützte Anpassungen zu konfigurieren.

Aktivieren eines nicht interaktiven Upgrades über den Azure Information Protection-Client

Wenn Sie den Microsoft Purview Information Protection-Client installieren und der Azure Information Protection-Client für einheitliche Bezeichnungen erkannt wird, müssen Sie bei einer interaktiven Installation des Clients bestätigen, dass das AIP-Add-In für Office aus dem älteren Client entfernt wird.

Um eine nicht interaktive Installation für den Client zu verwenden, z. B. Microsoft Update-Katalog, Gruppenrichtlinien oder Skripterstellung, müssen Sie entweder zuerst den Azure Information Protection-Client deinstallieren oder den folgenden Registrierungsschlüssel für den lokalen Computer erstellen und konfigurieren:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\AllowMajorVersionUpgrade (DWORD)

Legen Sie den Wert auf 1 fest, um das Upgrade im Hintergrund zuzulassen und das AIP Office-Add-In zu deinstallieren. 0 blockiert das Upgrade, wenn der Azure Information Protection-Client installiert ist.

Ändern des lokalen Protokollierungsgrads

Standardmäßig schreibt der Purview Information Protection-Client Clientprotokolldateien in den Ordner %localappdata%\Microsoft\MSIP . Diese Dateien sind für die Problembehandlung durch den Microsoft-Support vorgesehen.

Um den Protokolliergrad für diese Dateien zu ändern, suchen Sie den folgenden Wertnamen in der Registrierung, und legen Sie die Wertdaten auf den erforderlichen Protokolliergrad fest:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel

Legen Sie den Protokolliergrad auf einen der folgenden Werte fest:

  • Aus: Keine lokale Protokollierung.

  • Fehler: Nur Fehler.

  • Warnung: Fehler und Warnungen.

  • Info: Minimale Protokollierung, die keine Ereignis-IDs enthält (die Standardeinstellung für den Scanner).

  • Debuggen: Vollständige Informationen.

  • Ablaufverfolgung: Ausführliche Protokollierung (Standardeinstellung für Clients).

Diese Registrierungseinstellung ändert nicht die Informationen, die an die Microsoft Purview-Überwachung gesendet werden.

Aktivieren von Datenbegrenzungseinstellungen

Gemäß der Verpflichtung von Microsoft zur Eu-Datengrenze können EU-Kunden, die den Microsoft Purview Information Protection-Client verwenden, ihre Daten an die EU senden, um sie zu speichern und zu verarbeiten.

Aktivieren Sie dieses Feature im Information Protection-Client, indem Sie den folgenden Registrierungsschlüssel ändern, der den Speicherort zum Senden von Ereignissen angibt:

  • Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\DataBoundary (DWORD)
  • Werte:
    • Default = 0
    • North_America = 1
    • European_Union = 2

Aktivieren des Systemstandardbrowsers für die Authentifizierung

Verwenden Sie den Standardbrowser des Systems für die Authentifizierung im Microsoft Purview Information Protection-Client. Standardmäßig öffnet der Information Protection-Client Microsoft Edge für die Authentifizierung.

Aktivieren Sie dieses Feature im Information Protection-Client, indem Sie den folgenden Registrierungsschlüssel aktivieren:

  • Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\MSALUseSytemDefaultBrowserAuth (DWORD)
  • Werte:
    • Disabled = 0
    • Enabled = 1

Ausblenden der Menüoption "Vertraulichkeitsbezeichnung mit Microsoft Purview anwenden" im Datei-Explorer

Um die Menüoption Vertraulichkeitsbezeichnung mit Microsoft Purview-Rechtsklick anwenden im Datei-Explorer auszublenden, erstellen Sie den folgenden DWORD-Registrierungsschlüssel mit dem Wertnamen LegacyDisable und allen Wertdaten:

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick

Anwenden von Vertraulichkeitsbezeichnungen mit dem Information Protection-Client

Nachdem der Microsoft Purview Information Protection-Client installiert wurde, können Sie Vertraulichkeitsbezeichnungen anwenden, die Sie erstellt und veröffentlicht haben, indem Sie Folgendes verwenden:

Informationen zum Anzeigen verschlüsselter Dokumente finden Sie unter Anzeigen geschützter Dateien mit dem Microsoft Purview Information Protection-Viewer.