Protect-RMSFile
Melindungi file tertentu atau file dalam folder tertentu dengan menggunakan RMS.
Sintaks
Protect-RMSFile
[-File <String>]
[-Folder <String>]
[-InPlace]
[-Recurse]
[-TemplateID <String>]
[-License <SafeInformationProtectionLicenseHandle>]
[-DoNotPersistEncryptionKey <String>]
[-OutputFolder <String>]
[-OwnerEmail <String>]
[<CommonParameters>]Deskripsi
Cmdlet Protect-RMSFile melindungi file atau semua file dalam folder tertentu dengan menggunakan Azure RMS atau AD RMS. Jika file sebelumnya dilindungi, file akan dilindungi lagi, untuk menerapkan perubahan apa pun seperti yang mungkin dilakukan pada templat yang digunakan untuk melindungi file.
Beberapa jenis file dapat dilindungi dengan cara yang sama seperti klien Azure Information Protection dapat melindungi file saat Anda menggunakan opsi klik kanan "Klasifikasikan dan lindungi" dari File Explorer.
Tingkat perlindungan yang berbeda secara otomatis diterapkan (asli atau generik), tergantung pada jenis file. Anda dapat mengubah tingkat perlindungan dengan mengedit registri. Selain itu, beberapa file mengubah ekstensi nama file mereka setelah dilindungi oleh Rights Management. Untuk informasi selengkapnya, lihat bagian Jenis file yang didukung untuk perlindungan dari panduan admin klien Azure Information Protection.
Sebelum menjalankan cmdlet ini, Anda harus menjalankan Get-RMSTemplate untuk mengunduh templat ke komputer Anda. Jika templat yang ingin Anda gunakan telah dimodifikasi sejak Anda menjalankan cmdlet ini, jalankan lagi dengan parameter -force untuk mengunduh templat yang direvisi.
Saat Menjalankan cmdlet ini, Anda memiliki opsi berikut:
File dilindungi di lokasi saat ini, menggantikan file asli yang tidak terlindungi.
File asli tetap tidak terlindungi dan versi file yang dilindungi dibuat di lokasi lain.
Semua file dalam folder yang ditentukan dilindungi di lokasi saat ini, menggantikan file asli yang tidak terlindungi.
Semua file dalam folder yang ditentukan tetap tidak terlindungi dan versi terproteksi dari setiap file dibuat di lokasi lain.
Anda tidak dapat menjalankan perintah ini secara bersamaan tetapi harus menunggu perintah asli selesai sebelum menjalankannya lagi. Jika Anda mencoba menjalankannya lagi sebelum perintah sebelumnya selesai, perintah baru akan gagal.
Cmdlet ini menulis ke file log berikut: Success.log, Failure.log, dan Debug.log in %localappdata%\Microsoft\MSIPC\pscmdlet\Logs\\<GUID>.
Tip
Untuk instruksi langkah demi langkah menggunakan cmdlet ini untuk melindungi file pada berbagi file Windows Server, menggunakan File Resource Manager dan Infrastruktur Klasifikasi File, lihat Perlindungan RMS dengan Infrastruktur Klasifikasi File Windows Server (FCI).
Contoh
Contoh 1: Melindungi dan mengganti satu file dengan menggunakan templat
PS C:\>Protect-RMSFile -File "C:\Test.docx" -InPlace -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile EncryptedFile
--------- -------------
C:\Test.docx C:\Test.docxPerintah ini melindungi satu file bernama Test.docx dengan menggunakan templat, dan menggantikan file asli yang tidak terlindungi. Pemilik Manajemen Hak file, dan alamat email yang mungkin ditampilkan kepada pengguna saat mereka mengakses file yang dilindungi, secara otomatis diatur sebagai alamat email untuk akun yang menjalankan perintah.
Contoh 2: Membuat salinan file tunggal yang dilindungi dengan menggunakan templat
PS C:\>Protect-RMSFile -File "Test.docx" -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile EncryptedFile
--------- -------------
C:\Test.docx C:\Test-Copy.docxPerintah ini sama dengan contoh sebelumnya, kecuali bahwa perintah ini tidak menggunakan parameter InPlace . Karena juga tidak menggunakan parameter OutputFolder , file yang dilindungi dibuat di folder saat ini dengan "-Copy" ditambahkan ke nama file. File asli yang tidak terlindungi tetap berada di folder saat ini.
Contoh 3: Membuat versi file yang dilindungi dengan menggunakan templat
PS C:\>Protect-RMSFile -File "C:\Test.docx" -OutputFolder "C:\Temp" -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "admin@Contoso.com"
InputFile EncryptedFile
--------- -------------
C:\Test.txt C:\Temp\Test.ptxtPerintah ini melindungi satu file bernama Test.docx dengan menggunakan templat dan menempatkan versi file yang dilindungi ini di C:\Temp, membiarkan file asli tidak terlindungi di akar drive C: . Pemilik Manajemen Hak file, dan alamat email yang mungkin ditampilkan kepada pengguna saat mereka mengakses file yang dilindungi, adalah untuk administrator.
Contoh 4: Melindungi semua file dalam folder dengan menggunakan templat
PS C:\>Protect-RMSFile -Folder "\\server1\Docs" -InPlace -DoNotPersistEncryptionKey All -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "IT@Contoso.com"
InputFile EncryptedFile
---------- -------------
\\server1\Docs\Feb2015.docx \\server1\Docs\Feb2015.docx
\\server1\Docs\Feb2015.txt \\server1\Docs\Feb2015.ptxt
\\server1\Docs\Jan2015.docx \\server1\Docs\Jan2015.docx
\\server1\Docs\Jan2015.txt \\server1\Docs\Jan2015.ptxtPerintah ini melindungi semua file dalam berbagi server (hanya folder tunggal, bukan subfolder), menggantikan file yang tidak terlindungi. Alamat email yang ditampilkan kepada pengguna ketika mereka tidak memiliki akses, adalah untuk grup departemen TI dan grup ini diberikan hak penggunaan Kontrol Penuh dalam templat sehingga mereka dapat mengubah hak penggunaan untuk file yang dilindungi.
Karena skenario ini melindungi file atas nama orang lain, parameter DoNotPersistEncryptionKey digunakan untuk performa maksimum dan untuk mencegah file yang tidak digunakan disimpan ke disk.
Contoh 5: File yang dilindungi dengan ekstensi nama file tertentu dalam folder dengan menggunakan templat
PS C:\>foreach ($file in (Get-ChildItem -Path \\server1\Docs -Recurse -Force | where {!$_.PSIsContainer} | Where-Object {$_.Extension -eq ".docx"})) {Protect-RMSFile -File $file.PSPath -InPlace -DoNotPersistEncryptionKey All -TemplateID "e6ee2481-26b9-45e5-b34a-f744eacd53b0" -OwnerEmail "IT@Contoso.com"}
InputFile EncryptedFile
--------- -------------
\\server1\Docs\Feb2015.docx \\server1\Docs\Feb2015.docx
\\server1\Docs\Jan2015.docx \\server1\Docs\Jan2015.docx
\\server1\Docs\Reports\Feb2015.docx \\server1\Docs\Reports\Feb2015.docx
\\server1\Docs\Reports\Jan2015.docx \\server1\Docs\Reports\Jan2015.docxPerintah ini hanya melindungi file yang memiliki ekstensi nama file .docx dalam folder (dan semua subfolder) pada berbagi server, menggantikan file yang tidak terlindungi. Seperti dalam contoh sebelumnya, alamat email yang ditampilkan kepada pengguna ketika mereka tidak memiliki akses, adalah untuk departemen TI.
Meskipun perintah Protect-RMSFile tidak secara asli mendukung wildcard, Anda dapat menggunakan Windows PowerShell untuk mencapainya, dan mengubah ekstensi nama file dalam contoh, sesuai kebutuhan.
Contoh 6: Melindungi satu file dengan menggunakan kebijakan hak ad-hoc
PS C:\>$License = New-RMSProtectionLicense -UserEmail 'user1@contoso.com' -Permission EDIT
PS C:\> Protect-RMSFile -License $License -File "C:\Test.txt" -InPlace
InputFile EncryptedFile
--------- -------------
C:\Test.txt C:\Test.ptxtPerintah pertama membuat kebijakan hak ad-hoc yang memberikan hak Edit ke user1@contoso.com.
Perintah kedua melindungi satu file bernama Test.txt dengan menggunakan kebijakan hak ad-hoc ini yang baru saja dibuat, dan menggantikan file asli yang tidak terlindungi.
Perhatikan bahwa kecuali alamat email Anda adalah user1@contoso.com, Anda tidak akan dapat membuka proteksi file ini setelah perintah selesai karena Anda tidak memiliki hak untuk itu dan Anda bukan pemilik Manajemen Hak.
Jika Anda harus dapat membuka proteksi file ini nanti, Anda dapat menambahkan nama Anda dan memberi pengguna dan diri Anda sendiri EKSTRAK atau PEMILIK tepat dalam kebijakan hak ad-hoc di perintah pertama. Atau jika Anda tidak ingin pengguna dapat membuka proteksi file, tambahkan -OwnerEmail <alamat> email Anda ke akhir perintah kedua.
Parameter
-DoNotPersistEncryptionKey
Mencegah lisensi pengguna akhir yang diberikan sendiri untuk penerbit Rights Management agar tidak disimpan saat file dilindungi. Lisensi ini memungkinkan penerbit Rights Management membuka file yang dilindungi tanpa mengautentikasi ke layanan Manajemen Hak. Ini membantu memastikan bahwa orang yang menjalankan cmdlet ini selalu dapat membuka file mereka sendiri yang mereka lindungi, bahkan ketika orang tersebut offline. Ini juga menghasilkan penundaan minimal bagi pengguna tersebut untuk membuka file yang dilindungi ini.
Penerbit Rights Management adalah akun yang melindungi file. Untuk informasi selengkapnya, lihat Penerbit Rights Management dan pemilik Rights Management.
Secara default, lisensi pengguna akhir yang diberikan sendiri ini disimpan dalam file itu sendiri dan di komputer tempat cmdlet dijalankan. Nama file dimulai dengan EUL dan dibuat di %localappdata%\Microsoft\MSIPC. Gunakan parameter ini untuk mencegah lisensi pengguna akhir ini menyimpan dalam file, pada komputer, atau keduanya. Menentukan parameter ini sesuai jika Anda melindungi file atas nama orang lain, misalnya, dengan Windows Server FCI. Dalam skenario ini, penerbit Rights Management tidak akan membuka file yang dilindungi dan oleh karena itu membuat dan menyimpan lisensi pengguna akhir mengurangi performa perlindungan dan tidak perlu menghasilkan banyak file yang dapat mengisi ruang disk yang tersedia.
Nilai yang dapat diterima untuk parameter ini:
Disk: Lisensi pengguna akhir untuk penerbit Rights Management tidak dihasilkan untuk setiap file di %localappdata%\Microsoft\MSIPC.
Lisensi: Lisensi pengguna akhir untuk penerbit Rights Management tidak disisipkan dalam lisensi penerbitan untuk file tersebut.
Semua: Tidak ada lisensi pengguna akhir untuk penerbit Rights Management yang dibuat dan disimpan saat file dilindungi.
| Type: | String |
| Accepted values: | all, disk, license |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-File
Menentukan jalur dan nama file yang akan dilindungi. Untuk jalur tersebut, Anda dapat menggunakan huruf kandar atau UNC.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Folder
Menentukan jalur dan folder yang akan dilindungi. Untuk jalur tersebut, Anda dapat menggunakan huruf kandar atau UNC.
Semua file yang saat ini ada di folder yang ditentukan akan dilindungi. File baru yang ditambahkan ke folder tidak akan terlindungi secara otomatis.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-InPlace
File atau file dalam folder yang ditentukan dilindungi di lokasi saat ini, menggantikan file atau file asli yang tidak terlindungi. Parameter ini diabaikan jika parameter OutputFolder ditentukan.
Jika Tidak ada InPlace maupun OutputFolder yang ditentukan, file baru dibuat di direktori saat ini dengan "-Copy" ditambahkan ke nama file, menggunakan konvensi penamaan yang sama yang File Explorer gunakan saat file disalin dan ditempelkan ke folder yang sama. Misalnya, jika file dengan Document.docx tidak terlindungi, versi yang dilindungi diberi nama Document-Copy.docx. Jika file bernama Document-Copy.docx sudah ada, Document-Copy(2).docx dibuat, dan sebagainya.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-License
Menentukan nama variabel yang menyimpan kebijakan hak ad hoc yang dibuat dengan menggunakan cmdlet New-RMSProtectionLicense . Kebijakan hak ad-hoc ini digunakan alih-alih templat untuk melindungi file atau file.
| Type: | SafeInformationProtectionLicenseHandle |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-OutputFolder
Menentukan jalur dan folder untuk menempatkan versi terproteksi dari file asli yang tetap tidak terlindungi. Struktur folder asli dipertahankan, yang berarti bahwa subfolder mungkin dibuat untuk nilai yang Anda tentukan.
Untuk jalur tersebut, Anda dapat menggunakan huruf kandar atau UNC.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-OwnerEmail
Menentukan pemilik Manajemen Hak dari file atau file yang dilindungi melalui alamat email.
Secara default, akun yang menjalankan cmdlet ini adalah penerbit Rights Management dan pemilik Rights Management dari file yang dilindungi. Parameter ini memungkinkan Anda menetapkan pemilik Manajemen Hak yang berbeda ke file yang dilindungi sehingga akun yang ditentukan memiliki semua hak penggunaan (Kontrol Penuh) untuk file dan selalu dapat mengaksesnya. Pemilik Manajemen Hak independen dari pemilik sistem file Windows. Untuk informasi selengkapnya, lihat Penerbit Rights Management dan pemilik Rights Management.
Jika Anda tidak menentukan nilai untuk parameter ini, cmdlet akan menggunakan alamat email sesi terautentikasi Anda untuk mengidentifikasi pemilik Manajemen Hak dari file atau file yang dilindungi. Jika Anda menggunakan AD RMS, atau Azure RMS dengan akun pengguna untuk melindungi file, ini akan menjadi alamat email Anda. Jika Anda menggunakan Azure RMS dengan akun perwakilan layanan, alamat email ini akan menjadi string panjang angka dan huruf. Alamat email ini ditampilkan kepada pengguna yang tidak memiliki permsi untuk melihat dokumen yang dilindungi, sehingga mereka dapat meminta izin.
Jika Anda menjalankan cmdlet ini untuk Azure RMS dengan akun perwakilan layanan, dan Anda memiliki file atau file yang Anda lindungi, tentukan alamat email Anda sendiri untuk parameter ini. Jika Anda menjalankan cmdlet ini untuk Azure RMS dengan akun perwakilan layanan, dan satu pengguna memiliki file atau semua file yang Anda lindungi, tentukan alamat email mereka sehingga Anda tidak membatasi pemilik file asli untuk membuat perubahan pada file dan menggunakannya sebagaimana dimaksud.
Jika Anda menjalankan cmdlet ini dengan beberapa file milik pengguna yang berbeda, pastikan bahwa pengguna tersebut diberikan hak penggunaan Kontrol Penuh dan mempertimbangkan alamat email mana yang akan ditetapkan untuk parameter ini. Meskipun Anda dapat menentukan alamat email grup dan alamat ini ditampilkan untuk meminta izin akses, anggota grup tidak dibuat sebagai pemilik Manajemen Hak dan secara default, tidak memiliki hak penggunaan untuk file perlindungan. Dalam skenario ini, pilih apakah akan menetapkan satu pengguna (seperti administrator) atau menentukan alamat email grup yang juga Anda tetapkan hak penggunaan Kontrol Penuh. Untuk konfigurasi email grup, ini mungkin staf Dukungan Anda, misalnya.
Penting: Meskipun parameter ini bersifat opsional, jika Anda tidak menentukannya saat Anda melindungi file dengan menggunakan Azure RMS dan perwakilan layanan, alamat email yang dilihat pengguna dari klien Azure Information Protection tidak akan membantu. Karena itu, kami sarankan Anda selalu menentukan parameter ini saat melindungi file dengan menggunakan Azure RMS dan perwakilan layanan daripada akun pengguna Anda.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Recurse
Ketika digunakan dengan parameter Folder , menunjukkan bahwa semua file saat ini dalam subfolder akan dilindungi.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-TemplateID
Menentukan ID templat yang akan digunakan untuk melindungi file atau file yang ditentukan jika Anda tidak menggunakan parameter Lisensi untuk kebijakan ad-hoc. Jika Anda tidak tahu ID templat yang ingin Anda gunakan, gunakan cmdlet Get-RMSTemplate .
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |