Configuración del cliente de protección de la información mediante PowerShell

2025-05-11

Descripción

Contiene instrucciones para instalar el cliente de Microsoft Purview Information Protection y los cmdlets de PowerShell mediante PowerShell.

Uso de PowerShell con el cliente de Microsoft Purview Information Protection

El módulo de protección de la información de Microsoft Purview se instala con el cliente de protección de la información. El módulo de PowerShell asociado es PurviewInformationProtection.

El módulo PurviewInformationProtection le permite administrar el cliente con comandos y scripts de automatización; por ejemplo:

Install-Scanner: instala y configura el servicio Information Protection Scanner en un equipo que ejecuta Windows Server 2019, Windows Server 2016 o Windows Server 2012 R2.
Get-FileStatus: obtiene la etiqueta de protección de la información y la información de protección de uno o varios archivos especificados.
Inicio-Análisis: Indica al escáner de protección de la información que inicie un ciclo de análisis único.
Set-FileLabel -Autolabel: Analiza un archivo para establecer automáticamente una etiqueta de protección de la información para un archivo, de acuerdo con las condiciones configuradas en la directiva.

Instalación del módulo de PowerShell PurviewInformationProtection

Requisitos previos de instalación

Este módulo requiere Windows PowerShell 4.0. Este requisito previo no se comprueba durante la instalación. Asegúrese de que tiene instalada la versión correcta de PowerShell.
Asegúrese de que tiene la versión más reciente del módulo de PowerShell PurviewInformationProtection mediante la ejecución Import-Module PurviewInformationProtectionde .

Detalles de la instalación

Instale y configure el cliente de protección de la información y los cmdlets asociados mediante PowerShell.

El módulo de PowerShell PurviewInformationProtection se instala automáticamente al instalar la versión completa del cliente de protección de la información. Como alternativa, solo puede instalar el módulo mediante el parámetro PowerShellOnly=true .

El módulo se instala en la carpeta \ProgramFiles (x86)\PurviewInformationProtection y, a continuación, agrega esta carpeta a la variable del PSModulePath sistema.

Importante

El módulo PurviewInformationProtection no admite la configuración avanzada de etiquetas o directivas de etiquetas.

Para usar cmdlets con longitudes de ruta de acceso superiores a 260 caracteres, use la siguiente configuración de directiva de grupo que está disponible a partir de Windows 10, versión 1607:

Directiva de> equipo localConfiguración de> la computadoraPlantillas administrativas>Todos los ajustes>Habilitación de rutas de acceso largas de Win32

Para Windows Server 2016, puede usar la misma configuración de directiva de grupo al instalar las plantillas administrativas más recientes (.admx) para Windows 10.

Para obtener más información, consulte Limitación de longitud máxima de ruta de acceso en la documentación para desarrolladores de Windows 10.

Descripción de los requisitos previos para el módulo de PowerShell PurviewInformationProtection

Además de los requisitos previos de instalación para el módulo PurviewInformationProtection, también debe activar el servicio Azure Rights Management.

En algunos casos, es posible que desee eliminar la protección de los archivos de otros usuarios que utilicen su propia cuenta. Por ejemplo, es posible que desee eliminar la protección de otros usuarios en aras de la detección o recuperación de datos. Si usa etiquetas para aplicar protección, puede quitar esa protección estableciendo una nueva etiqueta que no aplique protección, o puede quitar la etiqueta.

Para casos como este, también se deben cumplir los siguientes requisitos:

La función de superusuario debe estar habilitada para su organización.
La cuenta debe estar configurada como superusuario de Azure Rights Management.

Ejecución de cmdlets de etiquetado de Information Protection sin supervisión

De forma predeterminada, al ejecutar los cmdlets para el etiquetado, los comandos se ejecutan en su propio contexto de usuario en una sesión interactiva de PowerShell. Para ejecutar automáticamente cmdlets de etiquetado de confidencialidad, lea las secciones siguientes:

Descripción de los requisitos previos para ejecutar cmdlets de etiquetado de forma desatendida
Creación y configuración de aplicaciones de Microsoft Entra para Set-Authentication
Ejecución del cmdlet Set-Authentication

Descripción de los requisitos previos para ejecutar cmdlets de etiquetado de forma desatendida

Para ejecutar cmdlets de etiquetado de Purview Information Protection de forma desatendida, use los siguientes detalles de acceso:

Una cuenta de Windows que pueda iniciar sesión de forma interactiva.

Una cuenta de Microsoft Entra, para acceso delegado. Para facilitar la administración, use una sola cuenta que se sincronice desde Active Directory a Microsoft Entra ID.

Para la cuenta de usuario delegada, configure los siguientes requisitos:

Requisito	Detalles
Política de etiquetas	Asegúrese de que tiene una política de etiquetas asignada a esta cuenta y de que la política contiene las etiquetas publicadas que desea usar. Si usa directivas de etiqueta para diferentes usuarios, es posible que tenga que crear una nueva directiva de etiqueta que publique todas las etiquetas y publicar la directiva solo en esta cuenta de usuario delegada.
Descifrar contenido	Si esta cuenta necesita descifrar contenido, por ejemplo, para volver a proteger archivos e inspeccionar archivos protegidos por otros usuarios, conviértala en un superusuario para Information Protection y asegúrese de que la característica de superusuario esté habilitada.
Controles de incorporación	Si ha implementado controles de incorporación para una implementación por fases, asegúrese de que esta cuenta esté incluida en los controles de incorporación que ha configurado.

Un token de acceso de Microsoft Entra, que establece y almacena las credenciales para que el usuario delegado se autentique en Microsoft Purview Information Protection. Cuando expira el token de Microsoft Entra ID, debe volver a ejecutar el cmdlet para adquirir un nuevo token.

Los parámetros de Set-Authentication usan valores de un proceso de registro de aplicaciones en Microsoft Entra ID. Para obtener más información, consulte Creación y configuración de aplicaciones de Microsoft Entra para Set-Authentication.

Ejecute los cmdlets de etiquetado de forma no interactiva ejecutando primero el cmdlet Set-Authentication .

El equipo que ejecuta el cmdlet Set-Authentication descarga la directiva de etiquetado asignada a la cuenta de usuario delegado en el portal de cumplimiento Microsoft Purview.

Crear y configurar aplicaciones de Microsoft Entra para Set-Authentication

El cmdlet Set-Authentication requiere un registro de aplicación para los parámetros AppId y AppSecret .

Para crear un nuevo registro de aplicación para el cmdlet Set-Authentication del cliente de etiquetado unificado:

En una nueva ventana del explorador, inicie sesión en Azure Portal en el inquilino de Microsoft Entra que use con Microsoft Purview Information Protection.
Vaya aAdministrar>registros de aplicaciones> y seleccione Nuevo registro.

En el panel Registrar una aplicación , especifique los siguientes valores y, a continuación, seleccione Registrar:

Opción	Importancia
Nombre	`AIP-DelegatedUser` Especifique un nombre diferente según sea necesario. El nombre debe ser único por inquilino.
Tipos de cuenta admitidos	Seleccione Solo cuentas en este directorio organizativo.
URI de redirección (opcional)	Seleccione Web y, a continuación, escriba `https://localhost`.

En el panel AIP-DelegatedUser, copie el valor del identificador de aplicación (cliente).

El valor es similar al siguiente ejemplo: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

Este valor se usa para el parámetro AppId cuando se ejecuta el cmdlet Set-Authentication . Pegue y guarde el valor para consultarlo más adelante.
En la barra lateral, seleccione Administrar>certificados y secretos.

A continuación, en el panel AIP-DelegatedUser - Certificados y secretos , en la sección Secretos de cliente , seleccione Nuevo secreto de cliente.
En Agregar un secreto de cliente, especifique lo siguiente y, a continuación, seleccione Agregar:

Campo Importancia

Descripción Microsoft Purview Information Protection client

Expira Especifique su elección de duración (1 año, 2 años o nunca caduca)
De vuelta en el panel AIP-DelegatedUser - Certificados y secretos , en la sección Secretos de cliente , copie la cadena del valor.

Esta cadena tiene un aspecto similar al siguiente ejemplo: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

Para asegurarse de copiar todos los caracteres, seleccione el icono Copiar al portapapeles.

Importante

Guarde esta cadena porque no se vuelve a mostrar y no se puede recuperar. Al igual que con cualquier información confidencial que utilice, almacene el valor guardado de forma segura y restrinja el acceso a él.
En la barra lateral, selecciona Administrar>permisos de API.

En el panel AIP-DelegatedUser - Permisos de API , seleccione Agregar un permiso.
En el panel Solicitar permisos de API , asegúrese de que se encuentra en la pestaña API de Microsoft y seleccione Azure Rights Management Services.

Cuando se le solicite el tipo de permisos que requiere la aplicación, seleccione Permisos de la aplicación.
En Seleccionar permisos, expanda Contenido y seleccione lo siguiente y, a continuación, seleccione Agregar permisos.
- Content.DelegatedReader
- Content.DelegatedWriter
De vuelta en el panel AIP-DelegatedUser - Permisos de API , seleccione Agregar un permiso de nuevo.

En el panel Solicitar permisos de AIP , seleccione API que usa mi organización y busque Microsoft Information Protection Sync Service.
En el panel Solicitar permisos de API , seleccione Permisos de aplicación.

En Seleccionar permisos, expanda UnifiedPolicy, seleccione UnifiedPolicy.Tenant.Read y, a continuación, seleccione Agregar permisos.
De vuelta en el panel AIP-DelegatedUser - Permisos de API , seleccione Conceder consentimiento del administrador para el inquilino y seleccione Sí para el mensaje de confirmación.

Campo	Importancia
Descripción	`Microsoft Purview Information Protection client`
Expira	Especifique su elección de duración (1 año, 2 años o nunca caduca)

Después de este paso, se completa el registro de esta aplicación con un secreto. Está listo para ejecutar Set-Authentication con los parámetros AppId y AppSecret. Además, necesita su identificador de inquilino.

Sugerencia

Puede copiar rápidamente el identificador de inquilino mediante Azure Portal: Identificador> de MicrosoftEntra Administrar>identificador de directorio de>.

Ejecución del cmdlet Set-Authentication

Abra Windows PowerShell con la opción Ejecutar como administrador.
En la sesión de PowerShell, cree una variable para almacenar las credenciales de la cuenta de usuario de Windows que se ejecuta de forma no interactiva. Por ejemplo, si creaste una cuenta de servicio para el escáner:
```
$pscreds = Get-Credential "CONTOSO\srv-scanner"
```
Se te pedirá la contraseña de esta cuenta.
Ejecute el cmdlet Set-Authentication, con el parámetro OnBeHalfOf , especificando como valor la variable que ha creado.

Especifique también los valores de registro de la aplicación, el identificador de inquilino y el nombre de la cuenta de usuario delegada en el identificador de Microsoft Entra. Por ejemplo:
```
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
```