Protect-RMSFile

  • Reference
Modul:
AzureInformationProtection

Chrání zadaný soubor nebo soubory v zadané složce pomocí RMS.

Syntax

Protect-RMSFile
       [-File <String>]
       [-Folder <String>]
       [-InPlace]
       [-Recurse]
       [-TemplateID <String>]
       [-License <SafeInformationProtectionLicenseHandle>]
       [-DoNotPersistEncryptionKey <String>]
       [-OutputFolder <String>]
       [-OwnerEmail <String>]
       [<CommonParameters>]

Description

Rutina Protect-RMSFile chrání soubor nebo všechny soubory v zadané složce pomocí Azure RMS nebo AD RMS. Pokud byl soubor dříve chráněný, bude znovu chráněn, aby se použily všechny změny, jako jsou ty, které se můžou provést v šabloně, která se používá k ochraně souboru.

Více typů souborů je možné chránit stejným způsobem, jako může klient Azure Information Protection chránit soubory, když použijete možnost Klasifikovat a chránit kliknutím pravým tlačítkem myši z Průzkumník souborů.

V závislosti na typu souboru se automaticky použijí různé úrovně ochrany (nativní nebo obecné). Úroveň ochrany můžete změnit úpravou registru. Některé soubory navíc změní příponu názvu souboru po jejich chráněné službě Rights Management. Další informace najdete v tématu Typy souborů s podporou ochrany v příručce pro správce klienta Azure Information Protection.

Před spuštěním této rutiny musíte spustit Get-RMSTemplate a stáhnout šablony do počítače. Pokud se šablona, kterou chcete použít, od spuštění této rutiny změnila, spusťte ji znovu pomocí parametru -force ke stažení revidované šablony.

Při spuštění této rutiny máte následující možnosti:

  • Soubor je chráněný v aktuálním umístění a nahradí původní soubor, který byl nechráněný.

  • Původní soubor zůstane nechráněný a chráněná verze souboru se vytvoří v jiném umístění.

  • Všechny soubory v zadané složce jsou chráněny v aktuálním umístění a nahrazují původní soubory, které byly nechráněné.

  • Všechny soubory v zadané složce zůstanou nechráněné a chráněná verze každého souboru se vytvoří v jiném umístění.

Tento příkaz nelze spustit souběžně, ale musíte počkat, až se původní příkaz dokončí, než ho znovu spustíte. Pokud se ho pokusíte spustit znovu před dokončením předchozího příkazu, nový příkaz selže.

Tato rutina zapíše do následujících souborů protokolů: Success.log, Failure.log a Debug.log in %localappdata%\Microsoft\MSIPC\pscmdlet\Logs\\<GUID>.

Tip

Podrobné pokyny k použití této rutiny k ochraně souborů ve sdílené složce Systému Windows Server pomocí souborových Resource Manager a infrastruktury klasifikace souborů najdete v tématu Ochrana RMS s infrastrukturou klasifikace souborů systému Windows Server (FCI).

Příklady

Příklad 1: Ochrana a nahrazení jednoho souboru pomocí šablony

PS C:\>Protect-RMSFile -File "C:\Test.docx" -InPlace -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

Tento příkaz chrání jeden soubor s názvem Test.docx pomocí šablony a nahradí původní nechráněný soubor. Vlastník souboru Rights Management a e-mailová adresa, která se může uživatelům zobrazovat při přístupu k chráněnému souboru, se automaticky nastaví jako e-mailová adresa pro účet, na kterém je spuštěný příkaz.

Příklad 2: Vytvoření chráněné kopie jednoho souboru pomocí šablony

PS C:\>Protect-RMSFile -File "Test.docx" -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test-Copy.docx

Tento příkaz je stejný jako v předchozím příkladu s tím rozdílem, že nepoužívá parametr InPlace . Protože také nepoužívá parametr OutputFolder , chráněný soubor se vytvoří v aktuální složce s připojeným textem -Copy k názvu souboru. Původní nechráněný soubor zůstane v aktuální složce.

Příklad 3: Vytvoření chráněné verze souboru pomocí šablony

PS C:\>Protect-RMSFile -File "C:\Test.docx" -OutputFolder "C:\Temp" -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "admin@Contoso.com"

InputFile             EncryptedFile
---------             -------------
C:\Test.txt           C:\Temp\Test.ptxt

Tento příkaz chrání jeden soubor s názvem Test.docx pomocí šablony a umístí tuto chráněnou verzi souboru do složky C:\Temp a ponechá původní soubor nechráněný v kořenovém adresáři jednotky C: . Vlastník souboru Rights Management a e-mailová adresa, která se může uživatelům zobrazovat při přístupu k chráněnému souboru, je pro správce.

Příklad 4: Chráněné všechny soubory ve složce pomocí šablony

PS C:\>Protect-RMSFile -Folder "\\server1\Docs" -InPlace -DoNotPersistEncryptionKey All -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "IT@Contoso.com"

InputFile                        EncryptedFile

----------                       -------------
\\server1\Docs\Feb2015.docx      \\server1\Docs\Feb2015.docx

\\server1\Docs\Feb2015.txt       \\server1\Docs\Feb2015.ptxt

\\server1\Docs\Jan2015.docx      \\server1\Docs\Jan2015.docx

\\server1\Docs\Jan2015.txt       \\server1\Docs\Jan2015.ptxt

Tento příkaz chrání všechny soubory ve sdílené složce serveru (pouze jedna složka, ne podsložky), přičemž nahradí nechráněné soubory. E-mailová adresa, která se uživatelům zobrazí, když nemají přístup, je určená pro skupinu IT oddělení a tato skupina má v šabloně udělená práva k používání úplné kontroly, aby mohli změnit práva na používání chráněných souborů.

Vzhledem k tomu, že tento scénář chrání soubory jménem jiných uživatelů, používá se parametr DoNotPersistEncryptionKey k maximálnímu výkonu a k zabránění uložení nepoužívaných souborů na disk.

Příklad 5: Chráněné soubory s konkrétní příponou názvu souboru ve složce pomocí šablony

PS C:\>foreach ($file in (Get-ChildItem -Path \\server1\Docs -Recurse -Force | where {!$_.PSIsContainer} | Where-Object {$_.Extension -eq ".docx"})) {Protect-RMSFile -File $file.PSPath -InPlace -DoNotPersistEncryptionKey All -TemplateID "e6ee2481-26b9-45e5-b34a-f744eacd53b0" -OwnerEmail "IT@Contoso.com"}


InputFile                                   EncryptedFile

---------                                   -------------
\\server1\Docs\Feb2015.docx                 \\server1\Docs\Feb2015.docx

\\server1\Docs\Jan2015.docx                 \\server1\Docs\Jan2015.docx

\\server1\Docs\Reports\Feb2015.docx         \\server1\Docs\Reports\Feb2015.docx

\\server1\Docs\Reports\Jan2015.docx         \\server1\Docs\Reports\Jan2015.docx

Tento příkaz chrání pouze soubory, které mají příponu názvu souboru .docx ve složce (a všechny podsložky) na sdílené složce serveru a nahradí nechráněné soubory. Stejně jako v předchozím příkladu je e-mailová adresa, která se uživatelům zobrazí, když nemají přístup, pro IT oddělení.

I když příkaz Protect-RMSFile nativně nepodporuje zástupné cardy, můžete k tomu použít Windows PowerShell a podle potřeby změnit příponu názvu souboru.

Příklad 6: Ochrana jednoho souboru pomocí ad hoc zásad práv

PS C:\>$License = New-RMSProtectionLicense -UserEmail 'user1@contoso.com' -Permission EDIT
PS C:\> Protect-RMSFile -License $License -File "C:\Test.txt" -InPlace
InputFile             EncryptedFile
---------             -------------
C:\Test.txt           C:\Test.ptxt

První příkaz vytvoří ad hoc zásadu práv, která uděluje práva user1@contoso.compro úpravy .

Druhý příkaz chrání jeden soubor s názvem Test.txt pomocí této zásady ad hoc práv právě vytvořené a nahradí původní nechráněný soubor.

Upozorňujeme, že pokud není user1@contoso.comvaše e-mailová adresa , nebudete moct tento soubor po dokončení příkazu zrušit, protože nemáte žádná práva k němu a nejste vlastníkem služby Rights Management.

Pokud potřebujete později tento soubor odemknout, můžete přidat své jméno a udělit uživateli a sami sobě právo EXTRAHOVAT nebo VLASTNÍKa v zásadách ad hoc práv v prvním příkazu. Nebo pokud nechcete, aby uživatel mohl zrušit ochranu souboru, přidejte -OwnerEmail <e-mailovou adresu> na konec druhého příkazu.

Parametry

-DoNotPersistEncryptionKey

Zabrání uložení licence koncového uživatele pro vydavatele Rights Management, pokud je soubor chráněný. Tato licence umožňuje vystavitele Rights Management otevřít chráněný soubor bez ověřování ve službě Rights Management. To pomáhá zajistit, aby osoba, která tuto rutinu spustila, vždy otevřela své vlastní soubory, které chránila, i když je tato osoba offline. Výsledkem je také minimální zpoždění, aby tento uživatel tyto chráněné soubory otevřel.

Vystavitel služby Rights Management je účet, který chrání soubory. Další informace najdete v tématu Vystavitel rights Management a vlastník Rights Management.

Ve výchozím nastavení se tato samoobslužná licence koncového uživatele uloží do samotného souboru i do počítače, ze kterého se rutina spouští. Název souboru začíná euL a vytvoří se v %localappdata%\Microsoft\MSIPC. Tento parametr použijte, pokud chcete zabránit uložení této licence koncového uživatele do souboru, na počítači nebo v obou. Určení tohoto parametru je vhodné, pokud chráníte soubory jménem jiných uživatelů, například pomocí Windows Serveru FCI. V tomto scénáři vystavitel služby Rights Management nebude otevírat chráněné soubory, a proto vytváří a ukládá licenci koncového uživatele, snižuje výkon ochrany a zbytečně generuje velké množství souborů, které mohou vyplnit dostupné místo na disku.

Přijatelné hodnoty pro tento parametr:

  • Disku: Pro každý soubor v %localappdata%\Microsoft\MSIPC se negeneruje licence koncového uživatele vystavitele Rights Management.

  • Licence: Licence koncového uživatele pro vystavitele Rights Management není vložena do licence pro publikování souboru.

  • Všechny: Při chráněném souboru se nevytvořila a neuložila žádná licence koncového uživatele pro vystavitele Rights Management.

Type:String
Accepted values:all, disk, license
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-File

Určuje cestu a název souboru, které se mají chránit. Pro cestu můžete použít písmeno jednotky nebo UNC.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-Folder

Určuje cestu a složku, které se mají chránit. Pro cestu můžete použít písmeno jednotky nebo UNC.

Všechny soubory, které jsou aktuálně v zadané složce, budou chráněné. Nové soubory přidané do složky nebudou automaticky chráněny.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-InPlace

Soubor nebo soubory v zadané složce jsou chráněny v aktuálním umístění a nahradí nechráněný původní soubor nebo soubory. Tento parametr se ignoruje, pokud je zadán parametr OutputFolder .

Pokud není zadán žádný InPlace ani OutputFolder, vytvoří se nový soubor v aktuálním adresáři s připojeným názvem souboru -Copy pomocí stejné konvence pojmenování, kterou Průzkumník souborů používá, když se soubor zkopíruje a vloží do stejné složky. Pokud je například soubor s Document.docx nechráněný, bude chráněná verze pojmenována Document-Copy.docx. Pokud soubor s názvem Document-Copy.docx již existuje, vytvoří se .docxDocument-Copy(2) atd.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-License

Určuje název proměnné, která ukládá zásady ad hoc práv, které byly vytvořeny pomocí rutiny New-RMSProtectionLicense . Tato zásada ad hoc práv se používá místo šablony k ochraně souboru nebo souborů.

Type:SafeInformationProtectionLicenseHandle
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-OutputFolder

Určuje cestu a složku pro umístění chráněných verzí původních souborů, které zůstanou nechráněné. Původní struktura složek je zachována, což znamená, že pro zadanou hodnotu se můžou vytvořit podsložky.

Pro cestu můžete použít písmeno jednotky nebo UNC.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-OwnerEmail

Určuje vlastníka služby Rights Management chráněného souboru nebo souborů e-mailovou adresou.

Ve výchozím nastavení je účet, na kterém je tato rutina spuštěná, vystavitel služby Rights Management i vlastník chráněného souboru Rights Management. Tento parametr umožňuje přiřadit k chráněnému souboru jiného vlastníka služby Rights Management, aby měl zadaný účet všechna práva k používání souboru (Úplné řízení) a vždy k němu měl přístup. Vlastník služby Rights Management je nezávislý na vlastníkovi systému souborů Windows. Další informace najdete v tématu Vystavitel rights Management a vlastník Rights Management.

Pokud pro tento parametr nezadáte hodnotu, rutina použije e-mailovou adresu ověřené relace k identifikaci vlastníka chráněného souboru nebo souborů služby Rights Management. Pokud k ochraně souborů používáte službu AD RMS nebo Azure RMS s uživatelským účtem, bude to vaše e-mailová adresa. Pokud používáte Azure RMS s účtem instančního objektu, bude tato e-mailová adresa dlouhý řetězec čísel a písmen. Tato e-mailová adresa se zobrazí uživatelům, kteří nemají oprávnění k zobrazení chráněného dokumentu, aby mohli požádat o oprávnění.

Pokud spustíte tuto rutinu pro Azure RMS s účtem instančního objektu a vlastníte soubor nebo soubory, které chráníte, zadejte vlastní e-mailovou adresu pro tento parametr. Pokud spustíte tuto rutinu pro Azure RMS s účtem instančního objektu a jeden uživatel vlastní soubor nebo všechny soubory, které chráníte, zadejte jejich e-mailovou adresu, abyste původního vlastníka souboru neomezili provádění změn v souboru a jeho používání podle zamýšleného účelu.

Pokud tuto rutinu spustíte s více soubory, které patří různým uživatelům, ujistěte se, že těmto uživatelům jsou udělena práva k používání úplné kontroly a zvažte, kterou e-mailovou adresu má tento parametr přiřadit. I když můžete zadat e-mailovou adresu skupiny a tato adresa se zobrazí, aby požádali o přístupová oprávnění, členové skupiny nejsou vlastníkem služby Rights Management a ve výchozím nastavení nemají žádná práva k používání chráněného souboru. V tomto scénáři zvolte, jestli chcete přiřadit jednoho uživatele (například správce) nebo zadat e-mailovou adresu skupiny, kterou také přiřadíte práva k používání úplné kontroly. Pro konfiguraci e-mailu skupiny to může být například helpdesk.

Důležité: I když je tento parametr volitelný, pokud ho nezadáte při ochraně souborů pomocí Azure RMS a instančního objektu, e-mailová adresa, kterou uživatelé uvidí z klienta Azure Information Protection, nebudou užitečné. Proto doporučujeme, abyste tento parametr vždy zadali při ochraně souborů pomocí Azure RMS a instančního objektu místo uživatelského účtu.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-Recurse

Při použití s parametrem Folder označuje, že budou chráněné všechny aktuální soubory v podsložkách.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-TemplateID

Určuje ID šablony, které se má použít k ochraně zadaného souboru nebo souborů, pokud pro zásady ad hoc nepoužíváte parametr licence . Pokud neznáte ID šablony, kterou chcete použít, použijte rutinu Get-RMSTemplate .

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False