Guide de l’administrateur : Utilisation de PowerShell avec le client unifié Azure Information Protection.
Remarque
Recherchez-vous Microsoft Purview Information Protection, anciennement Microsoft Information Protection (MIP) ?
Le complément Azure Protection des données est supprimé et remplacé par des étiquettes intégrées à vos applications et services Microsoft 365. En savoir plus sur l’état de la prise en charge d’autres composants Azure Information Protection des données.
Le nouveau client Microsoft Protection des données (sans le complément) est actuellement en préversion et planifié pour la disponibilité générale.
Lorsque vous installez le client d’étiquetage unifié Azure Information Protection, les commandes PowerShell sont automatiquement installées dans le cadre du module AzureInformationProtection, avec des applets de commande pour l’étiquetage.
Le module AzureInformationProtection vous permet de gérer le client en exécutant des commandes pour les scripts d’automatisation.
Par exemple :
- Get-AIPFileStatus : obtient les informations d’étiquette et de protection d’Azure Information Protection pour un fichier ou des fichiers spécifiés.
- Set-AIPFileClassification : analyse un fichier pour définir automatiquement une étiquette Azure Information Protection pour un fichier, conformément aux conditions configurées dans la stratégie.
- Set-AIPFileLabel : définit ou supprime une étiquette Azure Information Protection pour un fichier, et définit ou supprime la protection en fonction de la configuration de l’étiquette ou des autorisations personnalisées.
- Set-AIPAuthentication : définit les informations d’identification d’authentification pour le client Azure Information Protection.
Le module AzureInformationProtection est installé dans le dossier \ProgramFiles (x86)\Microsoft Azure Information Protection, puis ajoute ce dossier à la variable système PSModulePath. La .dll de ce module est nommée AIP.dll.
Important
Le module AzureInformationProtection ne prend pas en charge la configuration des paramètres avancés pour les étiquettes ou les stratégies d’étiquette.
Pour ces paramètres, vous avez besoin de PowerShell du Centre de sécurité et de conformité. Pour plus d’informations, consultez Configurations personnalisées pour le client d’étiquetage unifié Azure Information Protection.
Conseil
Pour utiliser des applets de commande avec des longueurs de chemin d’accès supérieures à 260 caractères, utilisez le paramètre de stratégie de groupe suivant disponible à partir de Windows 10, version 1607 :
Stratégie d’ordinateur local>Configuration de l’ordinateur>Modèles Administration>Tous les paramètres>Activer les chemins de longueur Win32
Pour Windows Server 2016, vous pouvez utiliser le même paramètre de stratégie de groupe lorsque vous installez les derniers modèles Administration (.admx) pour Windows 10.
Pour plus d’informations, consultez la section Limite maximale de longueur du chemin d’accès dans la documentation du développeur Windows 10.
Prérequis à l’utilisation du module AzureInformationProtection
Outre les prérequis pour l’installation du module AzureInformationProtection, il existe des conditions préalables supplémentaires lorsque vous utilisez les applets de commande d’étiquetage pour Azure Information Protection :
Le service Azure Rights Management doit être activé.
Si votre locataire Azure Information Protection n’est pas activé, consultez les instructions relatives à l’Activation du service de protection à partir d’Azure Information Protection.
Pour supprimer la protection des fichiers pour d’autres utilisateurs à l’aide de votre propre compte :
- La fonctionnalité super utilisateur doit être activée pour votre entreprise.
- Votre compte doit être configuré pour être un super utilisateur pour Azure Rights Management.
Par exemple, vous souhaiterez peut-être supprimer la protection pour d’autres personnes pour la découverte ou la récupération des données. Si vous utilisez des étiquettes pour appliquer une protection, vous pouvez supprimer cette protection en définissant une nouvelle étiquette n’appliquant pas la protection, ou vous pouvez supprimer l’étiquette.
Pour supprimer la protection, utilisez l’applet de commande Set-AIPFileLabel avec le paramètre RemoveProtection . Dans certains cas, la fonctionnalité de suppression de la protection peut être désactivée par défaut et doit d’abord être activée à l’aide de l’applet de commande Set-LabelPolicy.
RMS vers le mappage d’applets de commande d’étiquetage unifié
Si vous avez migré à partir d’Azure RMS, notez que les applets de commande liées à RMS ont été déconseillées pour une utilisation dans l’étiquetage unifié.
Certaines des applets de commande héritées ont été remplacées par de nouvelles applets de commande pour l’étiquetage unifié. Par exemple, si vous avez utilisé New-RMSProtectionLicense avec la protection RMS et que vous avez migré vers l’étiquetage unifié, utilisez New-AIPCustomPermissions à la place.
Le tableau suivant mappe les applets de commande RMS avec les applets de commande mises à jour utilisées pour l’étiquetage unifié :
| Applet de commande RMS | Applet de commande d’étiquetage unifié |
|---|---|
| Get-RMSFileStatus | Get-AIPFileStatus |
| Get-RMSServer | Non pertinent pour l’étiquetage unifié. |
| Set-RMSServerAuthentication | Set-AIPAuthentication |
| Clear-RMSAuthentication | Set-AIPAuthentication |
| Set-RMSServerAuthentication | Set-AIPAuthentication |
| Get-RMSTemplate | Non pertinent pour l’étiquetage unifié. |
| New-RMSProtectionLicense | New-AIPCustomPermissions et Set-AIPFileLabel, avec le paramètre CustomPermissions. |
| Protect-RMSFile | Set-AIPFileLabel |
| Unprotect-RMSFile | Set-AIPFileLabel, avec le paramètre RemoveProtection. |
Comment étiqueter des fichiers de manière non interactive pour Azure Information Protection
Par défaut, lorsque vous exécutez les applets de commande pour l’étiquetage, les commandes s’exécutent dans votre propre contexte utilisateur dans une session PowerShell interactive.
Pour plus d’informations, consultez l’article suivant :
- Conditions préalables à l’exécution des applets de commande d’étiquetage AIP sans assistance
- Créer et configurer des applications Microsoft Entra pour Set-AIPAuthentication
- Exécution de l’applet de commande Set-AIPAuthentication
Remarque
Si l’ordinateur ne peut pas avoir accès à Internet, il n’est pas nécessaire de créer l’application dans Microsoft Entra ID et d’exécuter l’applet de commande Set-AIPAuthentication. Suivez plutôt les instructions pour les ordinateurs déconnectés.
Conditions préalables à l’exécution des applets de commande d’étiquetage AIP sans assistance
Pour exécuter des applets de commande d’étiquetage Azure Information Protection sans assistance, utilisez les détails d’accès suivants :
Un compte Windows qui peut se connecter de manière interactive.
un compte Microsoft Entra, pour l’accès délégué. Pour faciliter l’administration, utilisez un seul compte synchronisé entre Active Directory et Microsoft Entra ID.
Pour le compte d’utilisateur délégué :
Condition requise Détails Stratégie d’étiquette Vérifiez que vous disposez d’une stratégie d’étiquette affectée à ce compte et que la stratégie contient les étiquettes publiées que vous souhaitez utiliser.
Si vous utilisez des stratégies d’étiquette pour différents utilisateurs, vous devrez peut-être créer une nouvelle stratégie d’étiquette qui publie toutes vos étiquettes et publier la stratégie sur ce compte d’utilisateur délégué uniquement.Déchiffrement du contenu Si ce compte doit déchiffrer le contenu, par exemple, pour reprotéger des fichiers et inspecter les fichiers protégés par d’autres utilisateurs, faites-en un super utilisateur pour Azure Information Protection et assurez-vous que la fonctionnalité super utilisateur est activée. Contrôles d’intégration De plus, si vous avez implémenté des contrôles d’intégration pour un déploiement échelonné, assurez-vous que le compte de service est inclus dans les contrôles d’intégration que vous avez configurés. un jeton d’accès Microsoft Entra, qui définit et stocke les informations d’identification de l’utilisateur délégué pour s’authentifier auprès d’Azure Information Protection. Lorsque le jeton dans Microsoft Entra ID expire, vous devez réexécuter l’applet de commande pour acquérir un nouveau jeton.
Les paramètres de Set-AIPAuthentication utilisent des valeurs à partir d’un processus d’inscription d’application dans Microsoft Entra ID. Pour plus d’informations, consultez Créer et configurer des applications Microsoft Entra pour Set-AIPAuthentication.
Exécutez les applets de commande d’étiquetage de manière non interactive en exécutant d’abord l’applet de commande Set-AIPAuthentication .
L’ordinateur exécutant l’applet de commande AIPAuthentication télécharge la stratégie d’étiquetage affectée à votre compte d’utilisateur délégué dans le portail de conformité Microsoft Purview.
Créer et configurer des applications Microsoft Entra pour Set-AIPAuthentication
L’applet de commande Set-AIPAuthentication nécessite une inscription d’application pour les paramètres AppId et AppSecret.
Pour créer une inscription d’application pour l’applet de commande Set-AIPAuthentication du client d’étiquetage unifié :
Dans une nouvelle fenêtre de navigateur, connectez-vous au Portail Azure au locataire Microsoft Entra que vous utilisez avec Azure Information Protection.
Accédez à Microsoft Entra ID>Gérer les>inscriptions d’applications, puis sélectionnez Nouvelle inscription.
Sur le volet Inscrire une application, définissez les valeurs suivantes, puis sélectionnez Inscrire :
Option Valeur Nom AIP-DelegatedUser
Spécifiez un autre nom au besoin. Le nom doit être unique selon le locataire.Types de comptes pris en charge Sélectionnez Comptes dans ce répertoire organisationnel uniquement. URI de redirection (facultatif) Sélectionnez Web, puis entrez https://localhost.Dans le volet AIP-DelegatedUser, copiez la valeur pour l’ID d’application (client).
La valeur ressemble à l’exemple suivant :
77c3c1c3-abf9-404e-8b2b-4652836c8c66.Cette valeur est utilisée pour le paramètre AppId lorsque vous exécutez l’applet de commande Set-AIPAuthentication. Collez et enregistrez la valeur pour référence ultérieure.
Dans la barre latérale, sélectionnez Gérer les>certificats et les secrets.
Ensuite, dans le volet AIP-DelegatedUser - Certificats et secrets , dans la section Secrets client, sélectionnez Nouveau secret client.
Pour Ajouter une clé secrète client, spécifiez les éléments suivants, puis sélectionnez Ajouter :
Champ Value Description Azure Information Protection unified labeling clientExpire Spécifiez votre choix de durée (1 an, 2 ans ou n’expire jamais) De retour dans le volet AIP-DelegatedUser - Certificats et secrets , dans la section Secrets client, copiez la chaîne de la valeur.
Cette chaîne ressemble à l’exemple suivant :
OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.Pour vous assurer que vous copiez tous les caractères, sélectionnez l’icône de Copier dans le Presse-papiers.
Important
Il est important que vous enregistriez cette chaîne, car elle n’est pas affichée à nouveau et qu’elle ne peut pas être récupérée. Comme avec toutes les informations sensibles que vous utilisez, stockez la valeur enregistrée en toute sécurité et limitez l’accès à celui-ci.
Dans la barre latérale, sélectionnez Gérer>les autorisations API.
Dans le volet AIP-DelegatedUser - Autorisations API, sélectionnez Ajouter une autorisation.
Dans le volet Demander des autorisations API, vérifiez que vous êtes sous l’onglet API Microsoft, puis sélectionnez Azure Rights Management Services.
Lorsqu'il vous est demandé quel type d’autorisations votre application nécessite, sélectionnez Autorisations d’application.
Pour Sélectionner des autorisations, développez Contenu et sélectionnez ce qui suit, puis sélectionnez Ajouter des autorisations.
- Content.DelegatedReader
- Content.DelegatedWriter
De retour dans le volet AIP-DelegatedUser - Autorisations API, sélectionnez à nouveau Ajouter une autorisation.
Dans le volet Demander des autorisations d’AIP, sélectionnez API que mon entreprise utilise et recherchez Service Sync Microsoft Information Protection.
Sur le volet Demander des autorisations d’API, sélectionnez Autorisations d’application.
Pour Sélectionner des autorisations, développez UnifiedPolicy, sélectionnez UnifiedPolicy.Tenant.Read, puis sélectionnez Ajouter des autorisations.
De retour dans le volet AIP-DelegatedUser - Autorisations d’API sélectionnez Accorder le consentement de l’administrateur pour <le nom de votre locataire> et sélectionnez Oui pour l’invite de confirmation.
Votre Autorisations d’API doit ressembler à l’image suivante :
Maintenant que vous avez terminé l’inscription de cette application avec une clé secrète, vous êtes prêt à exécuter Set-AIPAuthentication avec les paramètres AppId et AppSecret. En outre, vous aurez besoin votre ID de locataire.
Conseil
Vous pouvez rapidement copier votre ID de locataire à l’aide de Portail Azure : ID Microsoft Entra>Gestion>Propriétés>ID du Répertoire.
Exécution de l’applet de commande Set-AIPAuthentication
Ouvrez Windows PowerShell avec l’option Exécuter en tant qu’administrateur.
Dans votre session PowerShell, créez une variable pour stocker les informations d’identification du compte d’utilisateur Windows qui s’exécutera de manière non interactive. Par exemple, si vous avez créé un compte de service pour le scanneur :
$pscreds = Get-Credential "CONTOSO\srv-scanner"Vous êtes invité à entrer le mot de passe de ce compte.
Exécutez l’applet de commande Set-AIPAuthentication, avec le paramètre OnBeHalfOf, en spécifiant comme valeur la variable que vous avez créée.
Spécifiez également les valeurs d’inscription de votre application, votre ID de locataire et le nom du compte d’utilisateur délégué dans l’ID Microsoft Entra. Par exemple :
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
Paramètres courants pour les applets de commande PowerShell
Pour plus d'informations sur les paramètres communs, consultez À propos des paramètres communs.
Étapes suivantes
Pour obtenir de l’aide sur les applets de commande lorsque vous êtes dans une session PowerShell, tapez Get-Help <cmdlet name> -online. Par exemple :
Get-Help Set-AIPFileLabel -online
Pour plus d’informations, consultez l’article suivant :
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour