مشاركة عبر

إعداد عميل حماية المعلومات باستخدام PowerShell

وصف

يحتوي على إرشادات لتثبيت عميل حماية البيانات في Microsoft Purview وأوامر PowerShell cmdlets باستخدام PowerShell.

استخدام PowerShell مع عميل حماية البيانات في Microsoft Purview

يتم تثبيت الوحدة النمطية لحماية البيانات في Microsoft Purview مع عميل حماية المعلومات. وحدة PowerShell المقترنة هي PurviewInformationProtection.

تمكنك الوحدة النمطية PurviewInformationProtection من إدارة العميل باستخدام الأوامر والبرامج النصية للأتمتة ؛ على سبيل المثال:

  • تثبيت الماسح الضوئي: تثبيت خدمة "الماسح الضوئي لحماية المعلومات" وتكوينها على جهاز كمبيوتر يعمل بنظام التشغيل Windows Server 2019 أو Windows Server 2016 أو Windows Server 2012 R2.
  • Get-FileStatus: يحصل على تسمية حماية المعلومات ومعلومات الحماية لملف أو ملفات محددة.
  • بدء المسح الضوئي: يوجه الماسح الضوئي لحماية المعلومات لبدء دورة فحص لمرة واحدة.
  • Set-FileLabel -التسمية التلقائية: يفحص ملفا لتعيين تسمية حماية المعلومات تلقائيا لملف، وفقا للشروط التي تم تكوينها في النهج.

تثبيت الوحدة النمطية PurviewInformationProtection PowerShell

متطلبات التثبيت

  • تتطلب هذه الوحدة Windows PowerShell 4.0. لا يتم التحقق من هذا الشرط الأساسي أثناء التثبيت. تأكد من تثبيت الإصدار الصحيح من PowerShell.
  • تأكد من أن لديك أحدث إصدار من الوحدة النمطية PurviewInformationProtection PowerShell عن طريق تشغيل Import-Module PurviewInformationProtection.

تفاصيل التثبيت

يمكنك تثبيت عميل حماية المعلومات وأوامر cmdlets المقترنة وتكوينه باستخدام PowerShell.

يتم تثبيت الوحدة النمطية PurviewInformationProtection PowerShell تلقائيا عند تثبيت الإصدار الكامل من عميل حماية المعلومات. بدلا من ذلك، يمكنك تثبيت الوحدة النمطية فقط باستخدام المعلمة PowerShellOnly=true .

يتم تثبيت الوحدة النمطية في المجلد \ProgramFiles (x86)\PurviewInformationProtection ثم تضيف هذا المجلد إلى PSModulePath متغير النظام.

هام

لا تدعم الوحدة النمطية PurviewInformationProtection تكوين الإعدادات المتقدمة للتصنيفات أو نهج التسميات.

لاستخدام أوامر cmdlets ذات أطوال المسارات التي تزيد عن 260 حرفا، استخدم إعداد نهج المجموعة التالي المتوفر بدءا من Windows 10، الإصدار 1607:

سياسة >تكوين> الكمبيوترالنماذج> الإداريةجميع الإعدادات>تمكين المسارات الطويلة ل Win32

بالنسبة إلى Windows Server 2016، يمكنك استخدام نفس إعداد نهج المجموعة عند تثبيت أحدث القوالب الإدارية (.admx) لنظام التشغيل Windows 10.

لمزيد من المعلومات، راجع الحد الأقصى لطول المسار في وثائق مطور Windows 10.

فهم المتطلبات الأساسية للوحدة النمطية PurviewInformationProtection PowerShell

بالإضافة إلى متطلبات التثبيت الأساسية لوحدة PurviewInformationProtection، يجب عليك أيضا تنشيط خدمة إدارة حقوق Azure.

في بعض الحالات، قد ترغب في إزالة الحماية من الملفات للآخرين الذين يستخدمون حسابك. على سبيل المثال، قد ترغب في إزالة الحماية للآخرين من أجل اكتشاف البيانات أو استردادها. إذا كنت تستخدم التسميات لتطبيق الحماية، يمكنك إزالة هذه الحماية عن طريق إعداد تصنيف جديد لا يطبق الحماية، أو يمكنك إزالة التسمية.

في مثل هذه الحالات ، يجب أيضا استيفاء المتطلبات التالية:

  • يجب تفعيل ميزة المستخدم المتميز لمؤسستك.
  • يجب تكوين حسابك كمستخدم متميز لإدارة حقوق Azure.

تشغيل أوامر cmdlets لتسمية حماية المعلومات غير المراقب

بشكل افتراضي، عند تشغيل أوامر cmdlets للتسمية، يتم تشغيل الأوامر في سياق المستخدم الخاص بك في جلسة عمل PowerShell تفاعلية. لتشغيل أوامر cmdlet لتسمية الحساسية تلقائيا، اقرأ الأقسام التالية:

فهم المتطلبات الأساسية لتشغيل أوامر cmdlets لتسمية غير مراقب

لتشغيل أوامر cmdlets لتسمية حماية البيانات في Purview غير مراقبة، استخدم تفاصيل الوصول التالية:

  • حساب Windows يمكنه تسجيل الدخول بشكل تفاعلي.

  • حساب Microsoft Entra، للوصول المفوض. لتسهيل الإدارة، استخدم حسابا واحدا يتزامن من Active Directory إلى معرف Microsoft Entra.

    بالنسبة لحساب المستخدم المفوض، قم بتكوين المتطلبات التالية:

    احتياج التفاصيل
    سياسة التصنيف تأكد من أن لديك سياسة تسمية معينة لهذا الحساب وأن النهج يحتوي على التسميات المنشورة التي تريد استخدامها.

    إذا كنت تستخدم نهج التصنيفات لمستخدمين مختلفين، فقد تحتاج إلى إنشاء نهج تصنيف جديد ينشر جميع التصنيفات، ونشر النهج على حساب المستخدم المفوض هذا فقط.
    فك تشفير المحتوى إذا كان هذا الحساب بحاجة إلى فك تشفير المحتوى، على سبيل المثال، لإعادة حماية الملفات وفحص الملفات التي كان محميا من قبل الآخرين، يمكنك جعله مستخدما متميزا لحماية المعلومات، وتأكد من تمكين ميزة المستخدم المتميز.
    عناصر التحكم في الإعداد إذا قمت بتنفيذ عناصر تحكم الإلحاق للنشر المرحلي، فتأكد من تضمين هذا الحساب في عناصر التحكم في الإلحاق التي قمت بتكوينها.

  • رمز وصول Microsoft Entra، الذي يقوم بتعيين بيانات الاعتماد وتخزينها للمستخدم المفوض للمصادقة على حماية البيانات في Microsoft Purview. عند انتهاء صلاحية الرمز المميز في معرف Microsoft Entra، يجب تشغيل cmdlet مرة أخرى للحصول على رمز مميز جديد.

    تستخدم معلمات Set-Authentication قيما من عملية تسجيل تطبيق في معرف Microsoft Entra. لمزيد من المعلومات، راجع إنشاء تطبيقات Microsoft Entra وتكوينها ل Set-Authentication.

قم بتشغيل أوامر cmdlets الخاصة بالتسمية بشكل غير تفاعلي عن طريق تشغيل Set-Authentication cmdlet أولا.

يقوم الكمبيوتر الذي يقوم بتشغيل Set-Authentication cmdlet بتنزيل نهج التسمية الذي تم تعيينه لحساب المستخدم المفوض في مدخل التوافق في Microsoft Purview.

إنشاء تطبيقات Microsoft Entra وتكوينها ل Set-Authentication

يتطلب الأمر cmdlet Set-Authentication تسجيل تطبيق لمعلمات AppIdوAppSecret .

لإنشاء تسجيل تطبيق جديد لعميل التسمية الموحد Set-Authentication cmdlet:

  1. في نافذة مستعرض جديدة، قم بتسجيل الدخول إلى مدخل Microsoft Azure إلى مستأجر Microsoft Entra الذي تستخدمه مع حماية البيانات في Microsoft Purview.

  2. انتقل إلىمعرف >Microsoft Entraإدارة >تسجيلات التطبيقات، وحدد تسجيل جديد.

  3. في جزء تسجيل تطبيق ، حدد القيم التالية، ثم حدد تسجيل:

    خيار قيمة
    اسم AIP-DelegatedUser
    حدد اسما مختلفا حسب الحاجة. يجب أن يكون الاسم فريدا لكل مستأجر.
    أنواع الحسابات المدعومة حدد الحسابات في هذا الدليل التنظيمي فقط.
    إعادة توجيه URI (اختياري) حدد الويب، ثم أدخل https://localhost.

  4. في جزء AIP-DelegatedUser ، انسخ قيمة معرف التطبيق (العميل).

    تبدو القيمة مشابهة للمثال التالي: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    يتم استخدام هذه القيمة للمعلمة AppId عند تشغيل Set-Authentication cmdlet. الصق القيمة واحفظها للرجوع إليها لاحقا.

  5. من الشريط الجانبي، حدد إدارة>الشهادات والأسرار.

    بعد ذلك، في جزء AIP-DelegatedUser - الشهادات والأسرار ، في قسم أسرار العميل ، حدد سر عميل جديد.

  6. بالنسبة لإضافة سر عميل، حدد ما يلي، ثم حدد إضافة:

    ميدان قيمة
    الوصف Microsoft Purview Information Protection client
    تنتهي صلاحية حدد اختيارك للمدة (1 سنة أو 2 سنة أو لا تنتهي صلاحيتها أبدا)

  7. مرة أخرى في جزء AIP-DelegatedUser - الشهادات والأسرار، في قسم أسرار العميل، انسخ سلسلة القيمة

    تبدو هذه السلسلة مشابهة للمثال التالي: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    للتأكد من نسخ جميع الأحرف، حدد الرمز إلى نسخ إلى الحافظة.

    هام

    احفظ هذه السلسلة لأنه لا يتم عرضها مرة أخرى ولا يمكن استردادها. كما هو الحال مع أي معلومات حساسة تستخدمها، قم بتخزين القيمة المحفوظة بشكل آمن وقم بتقييد الوصول إليها.

  8. من الشريط الجانبي، حدد إدارة>أذونات واجهة برمجة التطبيقات.

    في جزء أذوناتAIP-DelegatedUser - واجهة برمجة التطبيقات ، حدد إضافة إذن.

  9. في جزء طلب أذونات واجهة برمجة التطبيقات ، تأكد من أنك في علامة التبويب واجهات برمجة تطبيقات Microsoft ، وحدد خدمات إدارة حقوق Azure.

    عندما تتم مطالبتك بنوع الأذونات التي يتطلبها التطبيق الخاص بك، حدد أذونات التطبيق.

  10. بالنسبة لتحديد الأذونات، قم بتوسيع المحتوى وحدد ما يلي، ثم حدد إضافة أذونات.

    • المحتوى.المفوض القارئ
    • المحتوى.المفوض

  11. مرة أخرى في جزء أذوناتAIP-DelegatedUser - واجهة برمجة التطبيقات ، حدد إضافة إذن مرة أخرى.

    في جزء طلب أذونات AIP ، حدد واجهات برمجة التطبيقات التي تستخدمها مؤسستي، وابحث عن خدمة مزامنة حماية البيانات من Microsoft.

  12. في جزء طلب أذونات واجهة برمجة التطبيقات ، حدد أذونات التطبيق.

    بالنسبة لتحديد الأذونات، قم بتوسيع UnifiedPolicy، وحدد UnifiedPolicy.Tenant.Read، ثم حدد إضافة أذونات.

  13. مرة أخرى في جزء أذوناتAIP-DelegatedUser - واجهة برمجة التطبيقات ، حدد منح موافقة المسؤول للمستأجر الخاص بك وحدد نعم لمطالبة التأكيد.

بعد هذه الخطوة ، يكتمل تسجيل هذا التطبيق بسر. أنت جاهز لتشغيل Set-Authentication باستخدام المعلمات AppIdوAppSecret. بالإضافة إلى ذلك، تحتاج إلى معرف المستأجر الخاص بك.

تلميح

يمكنك نسخ معرف المستأجر بسرعة باستخدام مدخل Microsoft Azure: معرف>Microsoft Entraإدارة >معرف>.

قم بتشغيل Set-Authentication cmdlet

  1. افتح Windows PowerShell باستخدام خيار التشغيل كمسؤول.

  2. في جلسة PowerShell، قم بإنشاء متغير لتخزين بيانات اعتماد حساب مستخدم Windows الذي يتم تشغيله بشكل غير تفاعلي. على سبيل المثال، إذا قمت بإنشاء حساب خدمة للماسح الضوئي:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"

    تتم مطالبتك بإدخال كلمة مرور هذا الحساب.

  3. قم بتشغيل Set-Authentication cmdlet، باستخدام المعلمة OnBeHalfOf ، مع تحديد المتغير الذي قمت بإنشائه كقيمة.

    حدد أيضا قيم تسجيل التطبيق ومعرف المستأجر واسم حساب المستخدم المفوض في معرف Microsoft Entra. على سبيل المثال:

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
  • Last updated on