Расширение меток конфиденциальности в Windows

Клиент Microsoft Purview Information Protection расширяет возможности меток конфиденциальности , помимо меток, встроенных в приложения и службы Microsoft 365, и поддерживает более широкий диапазон типов файлов.

Этот клиент работает только в Windows и заменяет клиент унифицированных меток Azure Information Protection (AIP). Он содержит следующие компоненты:

Компонент Описание
Сканер защиты информации Используется для обнаружения, маркировки и шифрования файлов в хранилищах данных, таких как сетевые ресурсы и библиотеки SharePoint Server.
Средство метки файлов защиты информации Используется для применения меток конфиденциальности и шифрования с помощью проводника.
Средство просмотра защиты информации Используется для просмотра зашифрованных файлов.
Модуль PowerShell Microsoft Purview Information Protection Используется для настройки меток конфиденциальности для файлов, а также установки и настройки средства проверки Microsoft Purview Information Protection.

Надстройка Office с клиентом Microsoft Purview Information Protection отсутствует, так как эта функция заменена метками конфиденциальности, встроенными в Office.

Последние сведения о выпуске и сроки поддержки для каждой версии клиента см. в разделе Клиент Microsoft Purview Information Protection — управление выпусками и поддержка.

Требования к развертыванию клиента защиты информации

Чтобы использовать клиент Microsoft Purview Information Protection, установите этот клиент на компьютерах Windows, где вы хотите использовать клиентские компоненты.

Вы также должны соответствовать следующим требованиям:

Следующие операционные системы поддерживают клиент Microsoft Purview Information Protection:

  • Windows 11
  • Windows 10 (x64) (рукописный текст не поддерживается в сборке Windows 10 RS4 и более поздних версиях.)
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2 и Windows Server 2012

ARM64 не поддерживается.

Установка или обновление клиента защиты информации

Если вы устанавливаете клиент Microsoft Purview Information в интерактивном режиме и обнаружен клиент унифицированных меток Azure Information Protection (AIP), вы можете обновить старый клиент после подтверждения удаления надстройки AIP для Office.

Примечание.

При обновлении с помощью каталога Центра обновления Майкрософт или любой другой неинтерактивной установки требуется настройка раздела реестра , если на локальном компьютере присутствуют какие-либо версии клиента Azure Information Protection.

Существует два варианта установки клиента защиты информации:

  • Установка клиента защиты информации с помощью установщика .exe
  • Установка клиента защиты информации с помощью установщика .msi

При обновлении сканера защиты информации с помощью клиента унифицированных меток Azure Information Protection (AIP) или предыдущей версии клиента защиты информации см. статью Обновление сканера Microsoft Purview Information Protection перед использованием этих инструкций по установке клиента.

Чтобы установить клиент защиты информации с помощью файла .exe, выполните следующие действия.

  1. Скачайте исполняемую версию клиента Microsoft Purview Information Protection из Центра загрузки Майкрософт. Например, PurviewInfoProtection.exe.

    Важно!

    Если доступна предварительная версия, используйте ее только для тестирования. Он не предназначен для конечных пользователей в рабочей среде.

  2. Для установки по умолчанию просто запустите исполняемый файл. Чтобы просмотреть все параметры установки, сначала запустите исполняемый файл с помощью /help. Например:
    PurviewInfoProtection.exe **/help**

    1. Чтобы установить клиент автоматически, выполните следующую команду:
      PurviewInfoProtection.exe /quiet
    2. Чтобы автоматически установить только командлеты PowerShell, выполните следующую команду:
      PurviewInfoProtection.exe PowerShellOnly=true /quiet

    Примечание.

    По умолчанию включен параметр отправки статистики использования в Корпорацию Майкрософт. Чтобы отключить этот параметр, выполните одно из следующих действий.

    • Во время установки укажите AllowTelemetry=0
    • После установки обновите раздел реестра следующим образом: EnableTelemetry=0.
  3. Чтобы завершить установку, перезапустите все экземпляры проводника.

  4. Убедитесь, что установка прошла успешно, проверив файл журнала установки, который по умолчанию создается в папке %temp% .

    Файл журнала установки имеет следующий формат именования: Microsoft_Azure_Information_Protection_<number>_<number>_MSIP.Setup.Main.msi.log

    Например: Microsoft_Azure_Information_Protection_20161201093652_000_MSIP.Setup.Main.msi.log

    В файле журнала найдите следующую строку: Product: Microsoft Purview Information Protection —Установка успешно завершена. Если установка завершилась сбоем, этот файл журнала содержит сведения, которые помогут выявить и устранить любые проблемы.

    Совет

    Расположение файла журнала установки можно изменить с помощью параметра /log installation.

Расположение файлов журналов

Файлы журналов клиента и сканера находятся в следующих расположениях на компьютере Windows:

  • \ProgramFiles (x86)\Microsoft Purview Information Protection (только 64-разрядные операционные системы)
  • \Program Files\Microsoft Purview Information Protection (только 32-разрядные операционные системы)
  • %localappdata%\Microsoft\MSIP

Поддерживаемые языки

Клиент защиты информации поддерживает те же языки, что и Office 365. Список этих языков см. на странице "Международная доступность" в Office.

Для этих языков параметры меню, диалоговые окна и сообщения из клиента Microsoft Purview Information Protection отображаются на языке пользователя. Существует один установщик, который определяет язык, поэтому дополнительная настройка для установки клиента защиты информации для разных языков не требуется.

Однако указанные имена меток и описания не переводятся автоматически при настройке меток на портале администрирования. Чтобы пользователи видели метки на предпочитаемом языке, предоставьте собственные переводы и настройте их для меток с помощью PowerShell и параметра LocaleSettings для Set-Label. Дополнительные сведения см. в разделе Пример конфигурации для настройки метки конфиденциальности для разных языков.

Поддерживаемые типы файлов

В этом разделе перечислены типы файлов, поддерживаемые клиентом Microsoft Purview Information Protection. Для перечисленных типов файлов расположения WebDav не поддерживаются.

Совет

При шифровании типов файлов, которые не имеют встроенной поддержки шифрования, и поэтому используется универсальное шифрование, рекомендуется назначить разрешение совладельца этим файлам.

Следующие типы файлов могут быть помечены без шифрования.

  • Формат переносимого документа Adobe: .pdf

  • Microsoft Project: .mpp, MPT

  • Издатель Майкрософт: .pub

  • Microsoft XPS: .xps .oxps

  • Изображения: .jpg, .jpe, .jpeg, .jif, .jfif, .jfi. png, .tif, .tiff

  • Autodesk Design Review 2013: .dwfx

  • Adobe Photoshop: .psd

  • Цифровой отрицательный: .dng

  • Microsoft Office: Файлы следующих типов, включая форматы файлов 97–2003 и Office Open XML для Word, Excel и PowerPoint.

    Word Excel PowerPoint Visio
    DOC XLS .potm .vdw
    DOCM XLSB-файл .potx VSD-файл
    DOCX .xlst PPS VSDM
    DOT XLSM-файл PPSM-файл .vsdx
    .doctm XLSX .ppsx VSS-файл
    DOTX-файл .xltm VSSM-файл
    .xltx VST-файл
    VSTM
    VSSX
    VSTX-файл

Исключенные папки и типы файлов

Чтобы предотвратить изменение пользователями файлов, критически важных для компьютерных операций, некоторые типы файлов и папки автоматически исключаются из классификации и маркировки. Если пользователи пытаются пометить эти файлы с помощью клиента защиты информации, они увидят сообщение об исключении этих файлов.

Следующие папки исключаются из классификации и маркировки клиентом защиты информации:

  • Windows
  • Program Files (\Program Files и \Program Files (x86))
  • \ProgramData
  • \AppData (для всех пользователей)

Типы файлов, которые не могут быть зашифрованы по умолчанию

Любой файл, защищенный паролем, не может быть зашифрован клиентом в собственном коде, если в настоящее время файл не открыт в приложении, которое применяет шифрование. Чаще всего вы видите PDF-файлы, защищенные паролем, но другие приложения, например приложения Office, также предлагают эту функцию.

Типы файлов, поддерживаемые для проверки

Клиент защиты информации использует Windows IFilter для проверки содержимого документов. Windows IFilter используется в поиске Windows для индексирования. В результате при использовании команды PowerShell Set-FileLabel -Autolabel можно проверить следующие типы файлов.

Тип приложения Тип файла
Word .doc, .docx, DOCM, DOTX
Excel .xls, .xlt, .xlsx, .xlsm, .xlsb
PowerPoint .ppt, .pps, .pot, .pptx
PDF PDF
Текст .txt, .xml, .csv

Сканирование файлов .ZIP

Для проверки .zip файлов можно использовать сканер защиты информации или команду PowerShell Set-FileLabel .

Примечание.

Если средство защиты информации установлено на компьютере с Windows Server, необходимо также установить Microsoft Office iFilter, чтобы проверять .zip файлы на наличие конфиденциальной информации. Дополнительные сведения см. на сайте загрузки Майкрософт.

Если после поиска конфиденциальной информации файл .zip должен быть помечен и зашифрован меткой, в инструкциях по развертыванию средства проверки укажите расширение имени файла .zip с дополнительным параметром PFileSupportedExtensions PowerShell.

Пример сценария:

Файл с именем accounts.zip содержит электронные таблицы Excel с номерами кредитных карт. У вас есть метка конфиденциальности с именем Конфиденциально \ Finance, которая настроена для обнаружения номеров кредитных карт и автоматического применения метки с шифрованием, ограничивающим доступ к группе "Финансы".

После проверки файла клиент из сеанса PowerShell помечает этот файл как Конфиденциальный \ Finance. Затем клиент применяет к файлу универсальное шифрование, чтобы только члены групп "Финансы" могли распакуть его и переименовывать файл accounts.zip.pfile.

Поддержка отключенных компьютеров

По умолчанию клиент защиты информации автоматически пытается подключиться к Интернету, чтобы скачать метки конфиденциальности и параметры политики меток конфиденциальности из Microsoft Purview.

Если у вас есть компьютеры, которые не могут подключаться к Интернету в течение определенного периода времени, вы можете экспортировать и скопировать файлы, которые вручную управляют политикой для клиента защиты информации.

Для поддержки отключенных компьютеров от клиента защиты информации:

  1. Выберите или создайте учетную запись пользователя в идентификаторе Microsoft Entra, которая будет использоваться для скачивания меток и параметров политики, которые вы хотите использовать на отключенном компьютере.

  2. В качестве дополнительного параметра политики меток для этой учетной записи отключите отправку данных аудита в Microsoft Purview с помощью дополнительного параметра EnableAudit PowerShell с помощью Set-LabelPolicy из PowerShell безопасности & соответствия требованиям.

    Мы рекомендуем этот шаг, так как если отключенный компьютер имеет периодическое подключение к Интернету, он будет отправлять в Microsoft Purview сведения журнала, включая имя пользователя из шага 1. Эта учетная запись пользователя может отличаться от локальной учетной записи, используемой на отключенном компьютере.

  3. С компьютера с подключением к Интернету, на котором установлен клиент защиты информации и выполнен вход с учетной записью пользователя на шаге 1, скачайте метки и параметры политики.

  4. Экспортируйте файлы журнала с этого компьютера.

    Например, запустите командлет Export-DebugLogs или используйте параметр Экспорт журналов в диалоговом окне Справка и отзывы клиента из средства метки файлов.

    Файлы журнала экспортируются в виде одного сжатого файла.

  5. Откройте сжатый файл и скопируйте из папки MSIP все файлы с расширением .xml.

  6. Вставьте эти файлы в папку %localappdata%\Microsoft\MSIP на отключенном компьютере.

  7. Если выбранная учетная запись пользователя обычно подключается к Интернету, включите отправку данных аудита еще раз, установив для параметра EnableAudit значение True.

Имейте в виду, что если пользователь на этом компьютере выбирает параметр Сброс параметров в справке и отзыве в средстве маркировки файлов, это действие удаляет файлы политики и оставляет клиент неработоспособным, пока вы не замените файлы вручную или клиент не подключится к Интернету, чтобы скачать нужные файлы.

Если отключенный компьютер работает под управлением сканера защиты информации, необходимо выполнить дополнительные действия по настройке. Дополнительные сведения см. в разделе Ограничение: сервер сканера не может иметь подключение к Интернету из инструкций по развертыванию сканера.

Поддерживаемые настройки

Клиент защиты информации поддерживает дополнительные параметры PowerShell и некоторые параметры реестра, которые могут потребоваться для конкретных сценариев или пользователей.

Дополнительные параметры PowerShell, поддерживаемые командой New-Label или Set-Label, а также New-LabelPolicy или Set-LabelPolicy из PowerShell для обеспечения соответствия требованиям безопасности &, см. в статье Дополнительные параметры для клиента Microsoft Purview Information Protection.

Используйте следующие разделы, чтобы настроить реестр для поддерживаемых настроек.

Включение неинтерактивного обновления с клиента Azure Information Protection

При установке клиента Microsoft Purview Information Protection и обнаружен клиент унифицированных меток Azure Information Protection, интерактивная установка клиента требует подтверждения того, что надстройка AIP для Office из старого клиента будет удалена.

Чтобы использовать неинтерактивную установку для клиента, например каталог Центра обновления Майкрософт, групповую политику или скрипты, необходимо сначала удалить клиент Azure Information Protection или создать и настроить следующий раздел реестра для локального компьютера:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\AllowMajorVersionUpgrade (DWORD)

Задайте значение 1 , чтобы автоматически разрешить обновление и удалить надстройку AIP Office; 0 блокирует обновление, если установлен клиент Azure Information Protection.

Изменение локального уровня ведения журнала

По умолчанию клиент Purview Information Protection записывает файлы журнала клиента в папку %localappdata%\Microsoft\MSIP . Эти файлы предназначены для устранения неполадок в службе поддержки Майкрософт.

Чтобы изменить уровень ведения журнала для этих файлов, найдите в реестре следующее имя значения и задайте для данных значения требуемый уровень ведения журнала:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel

Задайте для уровня ведения журнала одно из следующих значений:

  • Выкл. Нет локального ведения журнала.

  • Ошибка: только ошибки.

  • Предупреждение: ошибки и предупреждения.

  • Сведения: минимальное ведение журнала, которое не включает идентификаторы событий (параметр по умолчанию для сканера).

  • Отладка: полная информация.

  • Трассировка: подробное ведение журнала (параметр по умолчанию для клиентов).

Этот параметр реестра не изменяет сведения, отправляемые в службу аудита Microsoft Purview.

Включение параметров границ данных

В соответствии с обязательствами корпорации Майкрософт в отношении границ данных ЕС клиенты ИЗ ЕС, использующие клиент Microsoft Purview Information Protection, могут отправлять свои данные в ЕС для хранения и обработки.

Включите эту функцию в клиенте защиты информации, изменив следующий раздел реестра, указывающий расположение для отправки событий:

  • Раздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\DataBoundary (DWORD)
  • Значения:
    • Default = 0
    • North_America = 1
    • European_Union = 2

Включение системного браузера по умолчанию для проверки подлинности

Используйте системный браузер по умолчанию для проверки подлинности в клиенте Microsoft Purview Information Protection. По умолчанию клиент защиты информации открывает Microsoft Edge для проверки подлинности.

Включите эту функцию в клиенте защиты информации, включив следующий раздел реестра:

  • Раздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\MSALUseSytemDefaultBrowserAuth (DWORD)
  • Значения:
    • Disabled = 0
    • Enabled = 1

Скрытие пункта меню "Применить метку конфиденциальности с помощью Microsoft Purview" в проводнике

Чтобы скрыть параметр Применить метку конфиденциальности с помощью контекстного меню Microsoft Purview в проводнике, создайте следующий раздел реестра DWORD со значением LegacyDisable и любыми данными значений :

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick

Применение меток конфиденциальности с помощью клиента защиты информации

После установки клиента Microsoft Purview Information Protection можно применить созданные и опубликованные метки конфиденциальности с помощью следующих средств:

Сведения о просмотре зашифрованных документов см. в статье Просмотр защищенных файлов с помощью средства просмотра Microsoft Purview Information Protection.