Share via

Nastavení klienta ochrany informací pomocí PowerShellu

  • Článek

Description

Obsahuje pokyny pro instalaci klienta Microsoft Purview Information Protection a rutin PowerShellu pomocí PowerShellu.

Použití PowerShellu s klientem Microsoft Purview Information Protection

Modul Microsoft Purview Information Protection se instaluje s klientem ochrany informací. Přidružený modul PowerShellu je PurviewInformationProtection.

Modul PurviewInformationProtection umožňuje spravovat klienta pomocí příkazů a automatizačních skriptů; Příklad:

  • Install-Scanner: Nainstaluje a nakonfiguruje službu Information Protection Skener na počítači se systémem Windows Server 2019, Windows Server 2016 nebo Windows Server 2012 R2.
  • Get-FileStatus: Získá popisek Information Protection a informace o ochraně pro zadaný soubor nebo soubory.
  • Spustit skenování: Dá skeneru ochrany informací pokyn, aby spustil jednorázový cyklus kontroly.
  • Set-FileLabel -Autolabel: Prohledá soubor a automaticky nastaví popisek ochrany informací pro soubor podle podmínek nakonfigurovaných v zásadách.

Instalace modulu PowerShellu PurviewInformationProtection

Instalační požadavky

  • Tento modul vyžaduje Windows PowerShell 4.0. Tato součást se během instalace nekontroluje. Ujistěte se, že máte nainstalovanou správnou verzi PowerShellu.
  • Spuštěním Import-Module PurviewInformationProtectionpříkazu se ujistěte, že máte nejnovější verzi modulu PowerShellu PurviewInformationProtection.

Podrobnosti o instalaci

Klienta ochrany informací a přidružené rutiny nainstalujete a nakonfigurujete pomocí PowerShellu.

PowerShellový modul PurviewInformationProtection se nainstaluje automaticky při instalaci úplné verze klienta ochrany informací. Alternativně můžete modul nainstalovat pouze pomocí parametru PowerShellOnly=true .

Modul se nainstaluje do složky \ProgramFiles (x86)\PurviewInformationProtection a pak tuto složku přidá do PSModulePath systémové proměnné.

Důležité

Modul PurviewInformationProtection nepodporuje konfiguraci upřesňujících nastavení popisků nebo zásad popisků.

Pokud chcete použít rutiny s délkou cesty větší než 260 znaků, použijte následující nastavení zásad skupiny, které je dostupné od Windows 10 verze 1607:

Zásady> místního počítačeKonfigurace> počítačeŠablony pro správu>Všechna nastavení>Povolení dlouhých cest Win32

Pro Windows Server 2016 můžete stejné nastavení zásad skupiny použít při instalaci nejnovějších šablon pro správu (.admx) pro Windows 10.

Další informace najdete v části Omezení maximální délky cesty v dokumentaci Windows 10 pro vývojáře.

Vysvětlení požadavků na modul PowerShellu PurviewInformationProtection

Kromě požadavků na instalaci modulu PurviewInformationProtection musíte aktivovat také službu Azure Rights Management.

V některých případech můžete chtít odebrat ochranu souborů pro ostatní, kteří používají váš vlastní účet. Můžete například chtít odebrat ochranu pro ostatní kvůli zjišťování nebo obnovení dat. Pokud k použití ochrany používáte popisky, můžete tuto ochranu odebrat tak, že nastavíte nový popisek, který ochranu nepoužije, nebo můžete popisek odebrat.

V takových případech musí být splněny také následující požadavky:

  • Ve vaší organizaci musí být povolená funkce superuživatele.
  • Váš účet musí být nakonfigurovaný jako superuživatel Azure Rights Management.

Bezobslužné spouštění rutin popisování ochrany informací

Ve výchozím nastavení platí, že když spustíte rutiny pro popisování, příkazy se spustí ve vašem vlastním uživatelském kontextu v interaktivní relaci PowerShellu. Pokud chcete automaticky spouštět rutiny popisování citlivosti, přečtěte si následující části:

Vysvětlení požadavků pro bezobslužné spouštění rutin popisování

Pokud chcete rutiny purview Information Protection popisování spustit bezobslužně, použijte následující podrobnosti o přístupu:

  • Účet Windows , který se může přihlašovat interaktivně.

  • Účet Microsoft Entra pro delegovaný přístup. Pro usnadnění správy použijte jeden účet, který se synchronizuje ze služby Active Directory a Microsoft Entra ID.

    Pro delegovaný uživatelský účet nakonfigurujte následující požadavky:

    Požadavek Podrobnosti
    Zásady popisků Ujistěte se, že máte k tomuto účtu přiřazenou zásadu popisků a že tato zásada obsahuje publikované popisky, které chcete použít.

    Pokud používáte zásady popisků pro různé uživatele, možná budete muset vytvořit novou zásadu popisků, která publikuje všechny popisky, a publikovat zásady jenom pro tento delegovaný uživatelský účet.
    Dešifrování obsahu Pokud tento účet potřebuje dešifrovat obsah, například kvůli opětovné ochraně souborů a kontrole souborů chráněných jinými uživateli, nastavte ho jako superuživatele pro Information Protection a ujistěte se, že je funkce superuživatele povolená.
    Ovládací prvky připojování Pokud jste implementovali ovládací prvky onboardingu pro postupné nasazení, ujistěte se, že je tento účet součástí ovládacích prvků onboardingu, které jste nakonfigurovali.

  • Přístupový token Microsoft Entra, který nastavuje a ukládá přihlašovací údaje delegovaného uživatele k ověření Microsoft Purview Information Protection. Jakmile vyprší platnost tokenu v Microsoft Entra ID, musíte znovu spustit rutinu, abyste získali nový token.

    Parametry pro hodnoty použití set-authentication z procesu registrace aplikace v Microsoft Entra ID. Další informace najdete v tématu Create a konfigurace Microsoft Entra aplikací pro ověřování set.

Spusťte rutiny popisování neinteraktivně tak, že nejprve spustíte rutinu Set-Authentication .

Počítač, na kterém běží rutina Set-Authentication, stáhne zásady popisování, které jsou přiřazené k vašemu delegovanému uživatelskému účtu v Portál dodržování předpisů Microsoft Purview.

Create a konfigurace aplikací Microsoft Entra pro Set-Authentication

Rutina Set-Authentication vyžaduje registraci aplikace pro parametry AppId a AppSecret .

Vytvoření nové registrace aplikace pro klientskou rutinu Set-Authentication sjednoceného popisování:

  1. V novém okně prohlížeče se přihlaste Azure Portal k tenantovi Microsoft Entra, kterého používáte s Microsoft Purview Information Protection.

  2. Přejděte na Microsoft Entra ID>Spravovat>Registrace aplikací a vyberte Nová registrace.

  3. V podokně Zaregistrovat aplikaci zadejte následující hodnoty a pak vyberte Zaregistrovat:

    Možnost Hodnota
    Název AIP-DelegatedUser
    Podle potřeby zadejte jiný název. Název musí být jedinečný pro každého tenanta.
    Podporované typy účtu Vyberte Účty pouze v tomto organizačním adresáři.
    Identifikátor URI pro přesměrování (volitelné) Vyberte Web a zadejte https://localhost.

  4. V podokně AIP-DelegatedUser zkopírujte hodnotu ID aplikace (klienta).

    Hodnota vypadá podobně jako v následujícím příkladu: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Tato hodnota se používá pro parametr AppId při spuštění rutiny Set-Authentication . Vložte a uložte hodnotu pro pozdější referenci.

  5. Na bočním panelu vyberte Spravovat>certifikáty & tajných kódů.

    Pak v podokně AIP-DelegatedUser – Certifikáty & tajné kódy vyberte v části Tajné kódy klientamožnost Nový tajný klíč klienta.

  6. V části Přidat tajný klíč klienta zadejte následující a pak vyberte Přidat:

    Pole Hodnota
    Popis Microsoft Purview Information Protection client
    Vyprší Zadejte zvolenou dobu trvání (1 rok, 2 roky nebo nikdy nevyprší).

  7. Vraťte se do podokna AIP-DelegatedUser – Certifikáty & tajné kódy a v části Tajné kódy klienta zkopírujte řetězec hodnoty VALUE.

    Tento řetězec vypadá podobně jako v následujícím příkladu: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Abyste měli jistotu, že jste zkopírovali všechny znaky, vyberte ikonu Kopírovat do schránky.

    Důležité

    Tento řetězec uložte, protože se znovu nezobrazí a nelze ho načíst. Stejně jako u citlivých informací, které používáte, uložte uloženou hodnotu bezpečně a omezte k ní přístup.

  8. Na bočním panelu vyberte Spravovat>oprávnění rozhraní API.

    V podokně AIP-DelegatedUser – oprávnění rozhraní API vyberte Přidat oprávnění.

  9. V podokně Požádat o oprávnění rozhraní API se ujistěte, že jste na kartě Rozhraní API Microsoftu , a vyberte Azure Rights Management Services.

    Po zobrazení výzvy k zadání typu oprávnění, která vaše aplikace vyžaduje, vyberte Oprávnění aplikace.

  10. V části Vybrat oprávnění rozbalte Obsah , vyberte následující položky a pak vyberte Přidat oprávnění.

    • Content.DelegatedReader
    • Content.DelegatedWriter

  11. Zpět v podokně AIP-DelegatedUser – Oprávnění rozhraní API znovu vyberte Přidat oprávnění .

    V podokně Požádat o oprávnění AIP vyberte rozhraní API, která moje organizace používá, a vyhledejte Microsoft Information Protection Sync Service.

  12. V podokně Požadovat oprávnění rozhraní API vyberte Oprávnění aplikace.

    V části Vybrat oprávnění rozbalte UnifiedPolicy, vyberte UnifiedPolicy.Tenant.Read a pak vyberte Přidat oprávnění.

  13. Zpět v podokně AIP-DelegatedUser – Oprávnění rozhraní API vyberte Udělit souhlas správce pro vašeho tenanta a vyberte Ano pro výzvu k potvrzení.

Po tomto kroku se dokončí registrace této aplikace s tajným kódem. Jste připraveni spustit rutinu Set-Authentication s parametry AppId a AppSecret. Navíc potřebujete ID tenanta.

Tip

ID tenanta můžete rychle zkopírovat pomocí Azure Portal: Microsoft Entra ID>Spravovat>ID adresářevlastností>.

Spuštění rutiny Set-Authentication

  1. Otevřete Windows PowerShell s možností Spustit jako správce.

  2. V relaci PowerShellu vytvořte proměnnou pro uložení přihlašovacích údajů uživatelského účtu Systému Windows, který běží neinteraktivně. Pokud jste například vytvořili účet služby pro skener:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"

    Zobrazí se výzva k zadání hesla tohoto účtu.

  3. Spusťte rutinu Set-Authentication s parametrem OnBeHalfOf a jako hodnotu zadejte proměnnou, kterou jste vytvořili.

    V Microsoft Entra ID také zadejte hodnoty registrace vaší aplikace, ID tenanta a název delegovaného uživatelského účtu. Příklad:

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds