Sdílet prostřednictvím

Nastavení klienta ochrany informací pomocí PowerShellu

Popis

Obsahuje pokyny k instalaci klienta Microsoft Purview Information Protection a rutin PowerShellu pomocí PowerShellu.

Použití PowerShellu s klientem Microsoft Purview Information Protection

Modul Microsoft Purview Information Protection se instaluje s klientem ochrany informací. Přidružený modul PowerShellu je PurviewInformationProtection.

Modul PurviewInformationProtection umožňuje spravovat klienta pomocí příkazů a automatizačních skriptů. například:

  • Install-Scanner: Nainstaluje a nakonfiguruje službu Information Protection Scanner v počítači se systémem Windows Server 2019, Windows Server 2016 nebo Windows Server 2012 R2.
  • Get-FileStatus: Získá popisek Information Protection a informace o ochraně pro zadaný soubor nebo soubory.
  • Spustit skenování: Dá pokyn skeneru ochrany informací, aby zahájil jednorázový cyklus skenování.
  • Set-FileLabel -Autolabel: Prohledá soubor a automaticky nastaví popisek ochrany informací pro soubor podle podmínek nakonfigurovaných v zásadách.

Instalace modulu PowerShellu PurviewInformationProtection

Požadavky na instalaci

  • Tento modul vyžaduje Windows PowerShell 4.0. Tento předpoklad se během instalace nekontroluje. Ujistěte se, že máte nainstalovanou správnou verzi PowerShellu.
  • Ujistěte se, že máte nejnovější verzi modulu PowerShellu PurviewInformationProtection spuštěním .Import-Module PurviewInformationProtection

Podrobnosti o instalaci

Klienta ochrany informací a přidružených rutin nainstalujete a nakonfigurujete pomocí PowerShellu.

Modul PowerShellu PurviewInformationProtection se nainstaluje automaticky při instalaci plné verze klienta ochrany informací. Případně můžete modul nainstalovat pouze pomocí parametru PowerShellOnly=true .

Modul se nainstaluje do složky \ProgramFiles (x86)\PurviewInformationProtection a poté tuto složku přidá do systémové proměnné PSModulePath .

Důležité

Modul PurviewInformationProtection nepodporuje konfiguraci upřesňujících nastavení popisků nebo zásad popisků.

Pokud chcete používat rutiny s délkou cesty větší než 260 znaků, použijte následující nastavení zásad skupiny , které je k dispozici od Windows 10 verze 1607:

Zásady> místního počítačeKonfigurace> počítačeŠablony> pro správuVšechna nastavení>Povolení dlouhých cest Win32

V systému Windows Server 2016 můžete stejné nastavení zásad skupiny použít při instalaci nejnovějších šablon pro správu (.admx) pro Windows 10.

Další informace najdete v tématu Omezení maximální délky cesty v dokumentaci pro vývojáře Windows 10.

Vysvětlení požadavků pro modul PowerShellu PurviewInformationProtection

Kromě požadavků na instalaci modulu PurviewInformationProtection musíte také aktivovat službu Azure Rights Management.

V některých případech můžete chtít odebrat ochranu ze souborů pro ostatní, kteří používají váš vlastní účet. Můžete například chtít odebrat ochranu pro ostatní kvůli zjišťování nebo obnově dat. Pokud k použití ochrany používáte štítky, můžete tuto ochranu odebrat nastavením nového popisku, který ochranu nepoužije, nebo můžete popisek odebrat.

V takových případech musí být splněny také následující požadavky:

  • Ve vaší organizaci musí být povolena funkce superuživatele.
  • Váš účet musí být nakonfigurovaný jako superuživatel služby Azure Rights Management.

Bezobslužné spuštění rutin popisování informací o ochraně informací

Ve výchozím nastavení platí, že když spustíte rutiny pro popisování, příkazy se spustí ve vašem vlastním uživatelském kontextu v interaktivní relaci PowerShellu. Pokud chcete automaticky spouštět rutiny popisování citlivosti, přečtěte si následující části:

Vysvětlení předpokladů pro bezobslužné spouštění rutin popisování

Pokud chcete rutiny popisování Purview Information Protection spustit bezobslužně, použijte následující přístupové údaje:

  • Účet systému Windows , který se může přihlásit interaktivně.

  • Účet Microsoft Entra pro delegovaný přístup. Pro usnadnění správy použijte jeden účet, který se synchronizuje ze služby Active Directory do Microsoft Entra ID.

    Pro delegovaný uživatelský účet nakonfigurujte následující požadavky:

    Požadavek Podrobnosti
    Zásady pro popisky Ujistěte se, že máte k tomuto účtu přiřazenou zásadu popisků a že zásada obsahuje publikované popisky, které chcete použít.

    Pokud používáte zásady popisků pro různé uživatele, možná budete muset vytvořit novou zásadu popisků, která publikuje všechny vaše štítky, a publikovat tuto zásadu pouze pro tento delegovaný uživatelský účet.
    Dešifrování obsahu Pokud tento účet potřebuje dešifrovat obsah – například znovu nastavit ochranu souborů a zkontrolovat soubory, které byly chráněny jinými uživateli – nastavte z něj superuživatele pro Information Protection a ujistěte se, že je povolená funkce superuživatele.
    Ovládací prvky onboardingu Pokud jste implementovali ovládací prvky onboardingu pro postupné nasazení, ujistěte se, že je tento účet zahrnut do ovládacích prvků onboardingu, které jste nakonfigurovali.

  • Přístupový token Microsoft Entra, který nastavuje a ukládá přihlašovací údaje pro delegovaného uživatele k ověření ve službě Microsoft Purview Information Protection. Když vyprší platnost tokenu v Microsoft Entra ID, musíte rutinu spustit znovu, abyste získali nový token.

    Parametry pro Set-Authentication používají hodnoty z procesu registrace aplikace v Microsoft Entra ID. Další informace naleznete v tématu Vytvoření a konfigurace aplikací Microsoft Entra pro Set-Authentication.

Spusťte rutiny popisování neinteraktivně tak, že nejprve spustíte rutinu Set-Authentication .

Počítač, na kterém běží rutina Set-Authentication , stáhne zásady popisování, které jsou přiřazené k vašemu delegovanému uživatelskému účtu v Portál dodržování předpisů Microsoft Purview.

Vytváření a konfigurace aplikací Microsoft Entra pro Set-Authentication

Rutina Set-Authentication vyžaduje registraci aplikace pro parametry AppId a AppSecret .

Vytvoření nové registrace aplikace pro rutinu Set-Authentication klienta sjednoceného popisování:

  1. V novém okně prohlížeče se přihlaste k Azure Portal k tenantovi Microsoft Entra, který používáte s Microsoft Purview Information Protection.

  2. Přejděte na Microsoft Entra ID>Spravovat>registrace aplikací a vyberte Nová registrace.

  3. V podokně Zaregistrovat aplikaci zadejte následující hodnoty a poté vyberte možnost Zaregistrovat:

    Možnost Hodnota
    název AIP-DelegatedUser
    Podle potřeby zadejte jiný název. Název musí být jedinečný pro každého tenanta.
    Podporované typy účtů Vyberte pouze účty v tomto organizačním adresáři.
    URI přesměrování (volitelné) Vyberte možnost Web a poté zadejte https://localhost.

  4. V podokně AIP-DelegatedUser zkopírujte hodnotu ID aplikace (klienta).

    Hodnota vypadá podobně jako v následujícím příkladu: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Tato hodnota se používá pro parametr AppId při spuštění rutiny Set-Authentication . Vložte a uložte hodnotu pro pozdější použití.

  5. Na postranním panelu vyberte možnost Spravovat>certifikáty a tajné kódy.

    Poté v podokně AIP-DelegatedUser – Certifikáty a tajné kódy v části Tajné kódy klienta vyberte možnost Nový tajný klíč klienta.

  6. V části Přidat tajný klíč klienta zadejte následující možnosti a pak vyberte Přidat:

    Obor Hodnota
    Popis Microsoft Purview Information Protection client
    Vyprší Určete si libovolnou dobu trvání (1 rok, 2 roky nebo nikdy nevyprší)

  7. Zpět v podokně AIP-DelegatedUser – Certifikáty a tajné kódy zkopírujte v části Tajné kódy klienta řetězec pro HODNOTU.

    Tento řetězec vypadá podobně jako v následujícím příkladu: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Chcete-li se ujistit, že jste zkopírovali všechny znaky, vyberte ikonu Kopírovat do schránky.

    Důležité

    Tento řetězec uložte, protože se znovu nezobrazí a nelze jej načíst. Stejně jako u všech citlivých informací, které používáte, uložte uloženou hodnotu bezpečně a omezte k ní přístup.

  8. Na postranním panelu vyberte možnost Spravovat>oprávnění rozhraní API.

    V podokně AIP-DelegatedUser – Oprávnění rozhraní API vyberte možnost Přidat oprávnění.

  9. V podokně Požádat o oprávnění rozhraní API se ujistěte, že jste na kartě Rozhraní API společnosti Microsoft , a vyberte Azure Rights Management Services.

    Až budete vyzváni k zadání typu oprávnění, který vaše aplikace vyžaduje, vyberte možnost Oprávnění aplikace.

  10. V části Vybrat oprávnění rozbalte Obsah a vyberte následující položky a poté vyberte Přidat oprávnění.

    • Content.DelegatedReader
    • Content.DelegatedWriter (Diskuse)

  11. Zpět v podokně AIP-DelegatedUser – Oprávnění rozhraní API znovu vyberte možnost Přidat oprávnění .

    V podokně Požádat o oprávnění AIP vyberte Rozhraní API, která používá moje organizace, a vyhledejte službu Microsoft Information Protection Sync.

  12. V podokně Požádat o oprávnění rozhraní API vyberte možnost Oprávnění aplikace.

    V části Vybrat oprávnění rozbalte UnifiedPolicy, vyberte UnifiedPolicy.Tenant.Read a pak vyberte Přidat oprávnění.

  13. Zpět v podokně AIP-DelegatedUser – oprávnění rozhraní API vyberte Udělit souhlas správce pro vašeho tenanta a vyberte Ano pro výzvu k potvrzení.

Po tomto kroku je registrace této aplikace s tajným kódem dokončena. Jste připraveni spustit Set-Authentication s parametry AppId a AppSecret. Kromě toho potřebujete ID tenanta.

Návod

ID tenanta můžete rychle zkopírovat pomocí Azure Portal: Microsoft Entra ID>Manage>Properties>Directory ID.

Spuštění rutiny Set-Authentication

  1. Otevřete prostředí Windows PowerShell s možností Spustit jako správce.

  2. V relaci PowerShellu vytvořte proměnnou, do které se uloží přihlašovací údaje uživatelského účtu Windows, který běží neinteraktivně. Pokud jste například pro skener vytvořili účet služby:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"

    Budete vyzváni k zadání hesla k tomuto účtu.

  3. Spusťte rutinu Set-Authentication s parametrem OnBeHalfOf a jako její hodnotu zadejte proměnnou, kterou jste vytvořili.

    Zadejte také hodnoty registrace aplikace, ID tenanta a název delegovaného uživatelského účtu v Microsoft Entra ID. Například:

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
  • Last updated on