Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Descriptif
Contient des instructions pour l’installation du client Microsoft Purview Information Protection et des applets de commande PowerShell à l’aide de PowerShell.
Utiliser PowerShell avec le client Microsoft Purview Information Protection
Le module Microsoft Purview Information Protection est installé avec le client Information Protection. Le module PowerShell associé est PurviewInformationProtection.
Le module PurviewInformationProtection vous permet de gérer le client à l’aide de commandes et de scripts d’automatisation ; par exemple:
- Install-Scanner : installe et configure le service Analyseur de protection des informations sur un ordinateur exécutant Windows Server 2019, Windows Server 2016 ou Windows Server 2012 R2.
- Get-FileStatus : Obtient l’étiquette de protection des informations et les informations de protection pour un ou plusieurs fichiers spécifiés.
- Start-Scan : indique au scanner de protection des informations de démarrer un cycle d’analyse unique.
- Set-FileLabel -Étiquetage automatique : analyse un fichier pour définir automatiquement une étiquette de protection des informations pour un fichier, en fonction des conditions configurées dans la stratégie.
Installer le module PowerShell PurviewInformationProtection
Prérequis pour l’installation
- Ce module nécessite Windows PowerShell 4.0. Cette condition préalable n’est pas vérifiée lors de l’installation. Assurez-vous que la version correcte de PowerShell est installée.
- Assurez-vous que vous disposez de la version la plus récente du module PowerShell PurviewInformationProtection en exécutant
Import-Module PurviewInformationProtection.
Détails d’installation
Vous installez et configurez le client de protection des informations et les applets de commande associées à l’aide de PowerShell.
Le module PowerShell PurviewInformationProtection s’installe automatiquement lorsque vous installez la version complète du client de protection des informations. Vous pouvez également installer le module uniquement à l’aide du paramètre PowerShellOnly=true .
Le module est installé dans le dossier \ProgramFiles (x86)\PurviewInformationProtection , puis ajoute ce dossier à la PSModulePath variable système.
Important
Le module PurviewInformationProtection ne prend pas en charge la configuration des paramètres avancés pour les étiquettes ou les stratégies d’étiquettes.
Pour utiliser des applets de commande dont la longueur de chemin d’accès est supérieure à 260 caractères, utilisez le paramètre de stratégie de groupe suivant, disponible à partir de Windows 10, version 1607 :
Politique relative à> l’ordinateur localConfiguration de l’ordinateur>Modèles> administratifsTous les paramètres>Activer les chemins longs Win32
Pour Windows Server 2016, vous pouvez utiliser le même paramètre de stratégie de groupe lorsque vous installez les derniers modèles d’administration (.admx) pour Windows 10.
Pour plus d’informations, consultez Limitation de la longueur maximale du chemin d’accès dans la documentation du développeur Windows 10.
Comprendre les conditions préalables pour le module PowerShell PurviewInformationProtection
En plus des conditions préalables à l’installation du module PurviewInformationProtection, vous devez également activer le service Azure Rights Management.
Dans certains cas, vous souhaiterez peut-être supprimer la protection des fichiers pour d’autres utilisateurs qui utilisent votre propre compte. Par exemple, vous pouvez supprimer la protection d’autres personnes à des fins de découverte ou de récupération de données. Si vous utilisez des étiquettes pour appliquer une protection, vous pouvez supprimer cette protection en définissant une nouvelle étiquette qui n’applique pas de protection, ou vous pouvez supprimer l’étiquette.
Dans de tels cas, les conditions suivantes doivent également être remplies :
- La fonctionnalité de super-utilisateur doit être activée pour votre organisation.
- Votre compte doit être configuré en tant que super-utilisateur Azure Rights Management.
Exécuter les applets de commande d’étiquetage de protection des informations sans assistance
Par défaut, lorsque vous exécutez les applets de commande pour l’étiquetage, les commandes s’exécutent dans votre propre contexte utilisateur dans une session PowerShell interactive. Pour exécuter automatiquement les applets de commande d’étiquetage de confidentialité, consultez les sections suivantes :
- Comprendre les conditions préalables à l’exécution des applets de commande d’étiquetage sans assistance
- Créer et configurer des applications Microsoft Entra pour l’authentification définie
- Exécuter l’applet de commande Set-Authentication
Comprendre les conditions préalables à l’exécution des applets de commande d’étiquetage sans assistance
Pour exécuter les applets de commande d’étiquetage Purview Information Protection sans assistance, utilisez les informations d’accès suivantes :
Un compte Windows qui peut se connecter de manière interactive.
Un compte Microsoft Entra, pour l’accès délégué. Pour faciliter l’administration, utilisez un seul compte qui se synchronise à partir d’Active Directory vers Microsoft Entra ID.
Pour le compte d’utilisateur délégué, configurez les exigences suivantes :
Besoin Détails Politique d’étiquetage Assurez-vous qu’une stratégie d’étiquette est affectée à ce compte et que cette stratégie contient les étiquettes publiées que vous souhaitez utiliser.
Si vous utilisez des stratégies d’étiquette pour différents utilisateurs, vous devrez peut-être créer une nouvelle stratégie d’étiquette qui publie toutes vos étiquettes et publier la stratégie uniquement sur ce compte d’utilisateur délégué.Décryptage du contenu Si ce compte a besoin de déchiffrer du contenu, par exemple, pour reprotéger des fichiers et inspecter des fichiers qui ont été protégés par d’autres, désignez-le comme super-utilisateur pour la protection des informations et assurez-vous que la fonctionnalité de super-utilisateur est activée. Commandes d’intégration Si vous avez implémenté des contrôles d’intégration pour un déploiement par phases, assurez-vous que ce compte est inclus dans les contrôles d’intégration que vous avez configurés. Un jeton d’accès Microsoft Entra, qui définit et stocke les informations d’identification pour que l’utilisateur délégué puisse s’authentifier auprès de Microsoft Purview Information Protection. Lorsque le jeton dans Microsoft Entra ID expire, vous devez exécuter à nouveau l’applet de commande pour acquérir un nouveau jeton.
Les paramètres de Set-Authentication utilisent les valeurs d’un processus d’inscription d’application dans Microsoft Entra ID. Pour plus d’informations, consultez Créer et configurer des applications Microsoft Entra pour Set-Authentication.
Exécutez les applets de commande d’étiquetage de manière non interactive en exécutant d’abord l’applet de commande Set-Authentication .
L’ordinateur exécutant l’applet de commande Set-Authentication télécharge la stratégie d’étiquetage attribuée à votre compte d’utilisateur délégué dans le portail de conformité Microsoft Purview.
Créer et configurer des applications Microsoft Entra pour Set-Authentication
L’applet de commande Set-Authentication nécessite l’inscription d’une application pour les paramètres AppId et AppSecret .
Pour créer une inscription d’application pour l’applet de commande Set-Authentication du client d’étiquetage unifié :
Dans une nouvelle fenêtre de navigateur, connectez-vous au portail Azure au locataire Microsoft Entra que vous utilisez avec Microsoft Purview Information Protection.
Accédez à Microsoft Entra ID>Gérer les>inscriptions d’applications, puis sélectionnez Nouvelle inscription.
Dans le volet Inscrire une application , spécifiez les valeurs suivantes, puis sélectionnez Inscrire :
Choix Valeur Nom AIP-DelegatedUser
Spécifiez un autre nom si nécessaire. Le nom doit être unique par locataire.Types de comptes pris en charge Sélectionnez Comptes dans ce répertoire organisationnel uniquement. URI de redirection (facultatif) Sélectionnez Web, puis entrez https://localhost.Dans le volet AIP-DelegatedUser, copiez la valeur de l’ID d’application (client).
La valeur ressemble à l’exemple suivant :
77c3c1c3-abf9-404e-8b2b-4652836c8c66.Cette valeur est utilisée pour le paramètre AppId lorsque vous exécutez l’applet de commande Set-Authentication . Collez et enregistrez la valeur pour référence ultérieure.
Dans la barre latérale, sélectionnez Gérer les>certificats et les secrets.
Ensuite, dans le volet AIP-DelegatedUser - Certificats et secrets , dans la section Secrets client , sélectionnez Nouveau secret client.
Pour Ajouter une clé secrète client, spécifiez les éléments suivants, puis sélectionnez Ajouter :
Terrain Valeur Description Microsoft Purview Information Protection clientDate d’expiration Précisez votre choix de durée (1 an, 2 ans, ou n’expire jamais) De retour dans le volet AIP-DelegatedUser - Certificats et secrets , dans la section Secrets client , copiez la chaîne de la VALEUR.
Cette chaîne ressemble à l’exemple suivant :
OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.Pour vous assurer de copier tous les caractères, sélectionnez l’icône Copier dans le presse-papiers.
Important
Enregistrez cette chaîne, car elle n’est pas affichée à nouveau et ne peut pas être récupérée. Comme pour toutes les informations sensibles que vous utilisez, stockez la valeur enregistrée en toute sécurité et limitez l’accès à celle-ci.
Dans la barre latérale, sélectionnez Gérer les>autorisations d’API.
Dans le volet AIP-DelegatedUser - Autorisations API , sélectionnez Ajouter une autorisation.
Dans le volet Demander des autorisations d’API , assurez-vous que vous êtes sous l’onglet API Microsoft , puis sélectionnez Azure Rights Management Services.
Lorsque vous êtes invité à indiquer le type d’autorisations requises par votre application, sélectionnez Autorisations d’application.
Pour Sélectionner les autorisations, développez Contenu et sélectionnez les éléments suivants, puis sélectionnez Ajouter des autorisations.
- Content.DelegatedReader
- Content.DelegatedWriter
De retour dans le volet AIP-DelegatedUser - Autorisations API , sélectionnez à nouveau Ajouter une autorisation .
Dans le volet Demander des autorisations AIP , sélectionnez API utilisées par mon organisation, puis recherchez Service de synchronisation Microsoft Information Protection.
Dans le volet Demander des autorisations d’API , sélectionnez Autorisations d’application.
Pour Sélectionner les autorisations, développez UnifiedPolicy, sélectionnez UnifiedPolicy.Tenant.Read, puis sélectionnez Ajouter des autorisations.
De retour dans le volet AIP-DelegatedUser - Autorisations API , sélectionnez Accorder le consentement de l’administrateur pour votre locataire , puis Oui pour l’invite de confirmation.
Après cette étape, l’enregistrement de cette application avec un secret est terminé. Vous êtes prêt à exécuter Set-Authentication avec les paramètres AppId et AppSecret. En outre, vous avez besoin de votre ID de locataire.
Conseil / Astuce
Vous pouvez copier rapidement votre ID de locataire à l’aide du portailAzure : ID >Microsoft Entra> propriétés >ID de répertoire.
Exécuter l’applet de commande Set-Authentication
Ouvrez Windows PowerShell avec l’option Exécuter en tant qu’administrateur.
Dans votre session PowerShell, créez une variable pour stocker les informations d’identification du compte d’utilisateur Windows qui s’exécute de manière non interactive. Par exemple, si vous avez créé un compte de service pour le scanner :
$pscreds = Get-Credential "CONTOSO\srv-scanner"Vous êtes invité à saisir le mot de passe de ce compte.
Exécutez l’applet de commande Set-Authentication, avec le paramètre OnBeHalfOf , en spécifiant comme valeur la variable que vous avez créée.
Spécifiez également les valeurs d’inscription de votre application, votre ID de locataire et le nom du compte d’utilisateur délégué dans l’ID Microsoft Entra. Par exemple:
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds