Megosztás a következőn keresztül:

Az információvédelmi ügyfél beállítása a PowerShell használatával

  • Cikk

Description

Útmutatást tartalmaz a Microsoft Purview információvédelem ügyfél- és PowerShell-parancsmagok PowerShell-lel való telepítéséhez.

A PowerShell használata az Microsoft Purview információvédelem ügyféllel

A Microsoft Purview információvédelem modul az adatvédelmi ügyféllel van telepítve. A társított PowerShell-modul a PurviewInformationProtection.

A PurviewInformationProtection modul lehetővé teszi az ügyfél kezelését parancsokkal és automatizálási szkriptekkel; például:

  • Install-Scanner: Telepíti és konfigurálja a Information Protection Scanner szolgáltatást egy Windows Server 2019, Windows Server 2016 vagy Windows Server 2012 R2 rendszerű számítógépen.
  • Get-FileStatus: Lekéri a megadott fájl vagy fájlok Information Protection címkéjét és védelmi adatait.
  • Start-Scan: Arra utasítja az információvédelmi ellenőrzőt, hogy indítson el egy egyszeri vizsgálati ciklust.
  • Set-FileLabel -Autolabel: Beolvassa a fájlokat, hogy automatikusan beállítson egy fájl adatvédelmi címkéjét a házirendben konfigurált feltételeknek megfelelően.

A PurviewInformationProtection PowerShell-modul telepítése

Telepítési előfeltételek

  • Ehhez a modulhoz Windows PowerShell 4.0 szükséges. Ezt az előfeltételt a rendszer nem ellenőrzi a telepítés során. Győződjön meg arról, hogy a PowerShell megfelelő verziója van telepítve.
  • A parancs futtatásával győződjön meg arról, hogy a PurviewInformationProtection PowerShell modul legújabb verzióját használja Import-Module PurviewInformationProtection.

Telepítés részletei

Az információvédelmi ügyfelet és a társított parancsmagokat a PowerShell használatával telepítheti és konfigurálhatja.

A PurviewInformationProtection PowerShell-modul automatikusan települ az information protection-ügyfél teljes verziójának telepítésekor. Másik lehetőségként a modult csak a PowerShellOnly=true paraméterrel telepítheti.

A modul a \ProgramFiles (x86)\PurviewInformationProtection mappába van telepítve, majd hozzáadja ezt a mappát a PSModulePath rendszerváltozóhoz.

Fontos

A PurviewInformationProtection modul nem támogatja a címkék vagy címkeszabályzatok speciális beállításainak konfigurálását.

Ha 260 karakternél hosszabb elérésiút-hosszúságú parancsmagokat szeretne használni, használja a következő csoportházirend-beállítást, amely az Windows 10 1607-es verziójától kezdve érhető el:

Helyi számítógépházirend>Számítógép konfigurációja>Felügyeleti sablonok>Minden beállítás>A Win32 hosszú elérési útjainak engedélyezése

A Windows Server 2016 esetében ugyanazt a csoportházirend-beállítást használhatja, amikor a legújabb felügyeleti sablonokat (.admx) telepíti Windows 10.

További információt a Windows 10 fejlesztői dokumentációjának Maximális elérési úthossz-korlátozás című szakaszában talál.

A PurviewInformationProtection PowerShell-modul előfeltételeinek ismertetése

A PurviewInformationProtection modul telepítési előfeltételei mellett a Azure Tartalomvédelmi szolgáltatások szolgáltatást is aktiválnia kell.

Bizonyos esetekben előfordulhat, hogy el szeretné távolítani a védelmet a saját fiókját használó mások fájljaiból. Előfordulhat például, hogy az adatok felderítése vagy helyreállítása érdekében el szeretné távolítani mások védelmét. Ha címkéket használ a védelem alkalmazásához, eltávolíthatja ezt a védelmet úgy, hogy beállít egy új címkét, amely nem alkalmaz védelmet, vagy eltávolíthatja a címkét.

Az ilyen esetekben a következő követelményeknek is teljesülniük kell:

  • A felügyelői funkciót engedélyezni kell a szervezet számára.
  • A fiókját Azure Tartalomvédelmi szolgáltatások felügyelő felhasználóként kell konfigurálni.

Felügyelet nélküli információvédelmi címkézési parancsmagok futtatása

By default, when you run the cmdlets for labeling, the commands run in your own user context in an interactive PowerShell session. A bizalmassági címkézési parancsmagok automatikus futtatásához olvassa el a következő szakaszokat:

A címkézési parancsmagok felügyelet nélküli futtatásának előfeltételeinek ismertetése

A Purview Information Protection címkézési parancsmagok felügyelet nélküli futtatásához használja a következő hozzáférési adatokat:

  • Olyan Windows-fiók , amely interaktív módon tud bejelentkezni.

  • Delegált hozzáféréshez Microsoft Entra fiók. A könnyű kezelés érdekében használjon egyetlen fiókot, amely szinkronizálódik az Active Directoryból a Microsoft Entra ID.

    A delegált felhasználói fiókhoz konfigurálja a következő követelményeket:

    Követelmény Részletek
    Címkeszabályzat Győződjön meg arról, hogy rendelkezik ehhez a fiókhoz hozzárendelt címkeszabályzattal, és hogy a szabályzat tartalmazza a használni kívánt közzétett címkéket.

    Ha címkeházirendeket használ a különböző felhasználókhoz, előfordulhat, hogy létre kell hoznia egy új címkeszabályzatot, amely közzéteszi az összes címkét, és közzé kell tennie a szabályzatot csak ebben a delegált felhasználói fiókban.
    Tartalom visszafejtése Ha ennek a fióknak vissza kell fejtenie a tartalmat, például újra kell védenie a fájlokat, és meg kell vizsgálnia a mások által védett fájlokat, Information Protection felügyelő felhasználóvá kell tennie, és győződjön meg arról, hogy a felügyelői funkció engedélyezve van.
    Vezérlők előkészítése Ha bevezetési vezérlőket implementált egy fázisos üzembe helyezéshez, győződjön meg arról, hogy ez a fiók szerepel a konfigurált előkészítési vezérlőkben.

  • Egy Microsoft Entra hozzáférési jogkivonat, amely beállítja és tárolja a delegált felhasználó hitelesítő adatait a hitelesítéshez a Microsoft Purview információvédelem. Amikor az Microsoft Entra ID jogkivonata lejár, újra le kell futtatnia a parancsmagot egy új jogkivonat beszerzéséhez.

    A Set-Authentication paraméterei egy alkalmazásregisztrációs folyamat értékeit használják Microsoft Entra ID. További információ: Létrehozás és konfigurálja Microsoft Entra alkalmazásokat a set-authenticationhez.

Futtassa a címkézési parancsmagokat nem interaktív módon a Set-Authentication parancsmag első futtatásával.

A Set-Authentication parancsmagot futtató számítógép letölti a Microsoft Purview megfelelőségi portál delegált felhasználói fiókjához rendelt címkézési szabályzatot.

Létrehozás és konfigurálja Microsoft Entra alkalmazásokat Set-Authentication

A Set-Authentication parancsmaghoz alkalmazásregisztráció szükséges az AppId és az AppSecret paraméterekhez .

Új alkalmazásregisztráció létrehozása az egyesített címkézési ügyfél set-authentication parancsmaghoz:

  1. Egy új böngészőablakban jelentkezzen be a Azure Portal a Microsoft Purview információvédelem használt Microsoft Entra bérlőbe.

  2. Lépjen a Microsoft Entra ID>Manage>Alkalmazásregisztrációk lapra, és válassza az Új regisztráció lehetőséget.

  3. Az Alkalmazás regisztrálása panelen adja meg a következő értékeket, majd válassza a Regisztráció lehetőséget:

    Beállítás Érték
    Név AIP-DelegatedUser
    Szükség szerint adjon meg egy másik nevet. A névnek bérlőnként egyedinek kell lennie.
    Támogatott fióktípusok Csak ebben a szervezeti címtárban válassza a Fiókok lehetőséget.
    Átirányítási URI (nem kötelező) Válassza a Web lehetőséget, majd írja be a következőt https://localhost: .

  4. Az AIP-DelegatedUser panelen másolja ki az alkalmazás (ügyfél) azonosítójának értékét.

    Az érték a következő példához hasonlóan néz ki: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Ez az érték az AppId paraméterhez használatos a Set-Authentication parancsmag futtatásakor. Illessze be és mentse az értéket későbbi referenciaként.

  5. Az oldalsávon válassza a Tanúsítványok kezelése>& titkos kód elemet.

    Ezután az AIP-DelegatedUser – Tanúsítványok & titkos kulcsokpanelEn az Ügyfél titkos kódja szakaszban válassza az Új ügyfélkód lehetőséget.

  6. Az Ügyfélkód hozzáadása beállításnál adja meg a következőket, majd válassza a Hozzáadás lehetőséget:

    Mező Érték
    Leírás Microsoft Purview Information Protection client
    Lejár Adja meg a választott időtartamot (1 év, 2 év vagy soha nem jár le)

  7. Az AIP-DelegatedUser – Tanúsítványok & titkos kódok panel ügyfélkódok szakaszában másolja ki az ÉRTÉK sztringet.

    Ez a sztring a következő példához hasonlóan néz ki: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Az összes karakter másolásához jelölje ki a Vágólapra másolás ikont.

    Fontos

    Mentse ezt a sztringet, mert nem jelenik meg újra, és nem kérhető le. A használt bizalmas adatokhoz hasonlóan a mentett értékeket is biztonságosan tárolhatja, és korlátozhatja a hozzáférését.

  8. Az oldalsávon válassza azAPI-engedélyekkezelése> lehetőséget.

    Az AIP-DelegatedUser – API engedélyek panelen válassza az Engedély hozzáadása lehetőséget.

  9. Az API-engedélyek kérése panelen győződjön meg arról, hogy a Microsoft API-k lapon van, és válassza a Azure Tartalomvédelmi szolgáltatások Szolgáltatások lehetőséget.

    Amikor a rendszer az alkalmazáshoz szükséges engedélyek típusát kéri, válassza az Alkalmazásengedélyek lehetőséget.

  10. Az Engedélyek kiválasztása területen bontsa ki a Tartalom elemet , válassza az alábbiakat, majd válassza az Engedélyek hozzáadása lehetőséget.

    • Content.DelegatedReader
    • Content.DelegatedWriter

  11. Az AIP-DelegatedUser – API-engedélyek panelen válassza ismét az Engedély hozzáadása lehetőséget.

    Az AIP-engedélyek kérése panelen válassza a szervezet által használt API-k lehetőséget, és keressen rá a Microsoft Information Protection Sync Service kifejezésre.

  12. Az API-engedélyek kérése panelen válassza az Alkalmazásengedélyek lehetőséget.

    Az Engedélyek kiválasztása területen bontsa ki a UnifiedPolicy elemet, válassza a UnifiedPolicy.Tenant.Read elemet, majd válassza az Engedélyek hozzáadása lehetőséget.

  13. Az AIP-DelegatedUser – API-engedélyek panelen válassza a Rendszergazdai hozzájárulás megadása a bérlőhöz lehetőséget, majd válassza az Igen lehetőséget a megerősítési kéréshez.

Ezt követően az alkalmazás titkos kóddal történő regisztrálása befejeződik. Készen áll a Set-Authentication futtatására az AppId és az AppSecret paraméterekkel. Emellett szüksége lesz a bérlőazonosítóra is.

Tipp

A bérlőazonosítót gyorsan átmásolhatja a Azure Portal: Microsoft Entra ID>Tulajdonságok>címtárazonosítója> kezeléseparanccsal.

A Set-Authentication parancsmag futtatása

  1. Nyissa meg Windows PowerShell a Futtatás rendszergazdaként beállítással.

  2. A PowerShell-munkamenetben hozzon létre egy változót a nem interaktív módon futó Windows-felhasználói fiók hitelesítő adatainak tárolásához. Ha például létrehozott egy szolgáltatásfiókot a szkennerhez:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"

    A rendszer kéri ennek a fióknak a jelszavát.

  3. Futtassa a Set-Authentication parancsmagot az OnBeHalfOf paraméterrel, és adja meg annak értékeként a létrehozott változót.

    Adja meg az alkalmazásregisztrációs értékeket, a bérlőazonosítót és a delegált felhasználói fiók nevét a Microsoft Entra ID. Például:

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds