Condividi tramite


Configurare il client di Information Protection tramite PowerShell

Descrizione

Contiene le istruzioni per l'installazione dei cmdlet Microsoft Purview Information Protection client e PowerShell tramite PowerShell.

Usare PowerShell con il client Microsoft Purview Information Protection

Il modulo Microsoft Purview Information Protection viene installato con il client di protezione delle informazioni. Il modulo di PowerShell associato è PurviewInformationProtection.

Il modulo PurviewInformationProtection consente di gestire il client con comandi e script di automazione; Per esempio:

  • Install-Scanner: installa e configura il servizio scanner di Information Protection in un computer che esegue Windows Server 2019, Windows Server 2016 o Windows Server 2012 R2.
  • Get-FileStatus: ottiene l'etichetta Information Protection e le informazioni di protezione per un file o file specificato.
  • Start-Scan: indica allo scanner di protezione delle informazioni di avviare un ciclo di analisi monouso.
  • Set-FileLabel -Autolabel: analizza un file per impostare automaticamente un'etichetta di protezione delle informazioni per un file, in base alle condizioni configurate nei criteri.

Installare il modulo PowerShell PurviewInformationProtection

Prerequisiti di installazione

  • Questo modulo richiede Windows PowerShell 4.0. Questo prerequisito non viene controllato durante l'installazione. Assicurarsi di avere installato la versione corretta di PowerShell.
  • Assicurarsi di avere la versione più recente del modulo PowerShell PurviewInformationProtection eseguendo Import-Module PurviewInformationProtection.

Informazioni sull'installazione

Installare e configurare il client di Information Protection e i cmdlet associati usando PowerShell.

Il modulo PowerShell PurviewInformationProtection viene installato automaticamente quando si installa la versione completa del client di information protection. In alternativa, è possibile installare il modulo solo usando il parametro PowerShellOnly=true .

Il modulo viene installato nella cartella \ProgramFiles (x86)\PurviewInformationProtection e quindi aggiunge questa cartella alla PSModulePath variabile di sistema.

Importante

Il modulo PurviewInformationProtection non supporta la configurazione delle impostazioni avanzate per le etichette o i criteri di etichetta.

Per usare i cmdlet con lunghezze di percorso superiori a 260 caratteri, usare l'impostazione di criteri di gruppo seguente disponibile a partire da Windows 10 versione 1607:

Criteri computer> localiConfigurazione> computerModelli> amministrativiTutte le impostazioni>Abilitare percorsi lunghi Win32

Per Windows Server 2016 è possibile usare la stessa impostazione di Criteri di gruppo quando si installano i modelli amministrativi più recenti (con estensione admx) per Windows 10.

Per altre informazioni, vedere la sezione Maximum Path Length Limitation (Limite massimo lunghezza del percorso) della documentazione per sviluppatori di Windows 10.

Informazioni sui prerequisiti per il modulo PowerShell PurviewInformationProtection

Oltre ai prerequisiti di installazione per il modulo PurviewInformationProtection, è necessario attivare anche il servizio Azure Rights Management.

In alcuni casi, è possibile rimuovere la protezione dai file per altri utenti che usano il proprio account. Ad esempio, è possibile rimuovere la protezione per altri utenti per l'individuazione o il ripristino dei dati. Se si usano etichette per applicare la protezione, è possibile rimuovere tale protezione impostando una nuova etichetta che non applica la protezione oppure è possibile rimuovere l'etichetta.

Per i casi come questo, devono essere soddisfatti anche i requisiti seguenti:

  • La funzionalità utente con privilegi avanzati deve essere abilitata per l'organizzazione.
  • L'account deve essere configurato come utente con privilegi avanzati di Azure Rights Management.

Eseguire i cmdlet di etichettatura di Information Protection automatica

Per impostazione predefinita, quando si eseguono i cmdlet per l'assegnazione di etichette, i comandi vengono eseguiti nel contesto utente personale in una sessione interattiva di PowerShell. Per eseguire automaticamente i cmdlet di etichettatura della riservatezza, leggere le sezioni seguenti:

Informazioni sui prerequisiti per l'esecuzione automatica dei cmdlet di etichettatura

Per eseguire purview Information Protection cmdlet di etichettatura automatica, usare i dettagli di accesso seguenti:

  • Un account di Windows che può accedere in modo interattivo.

  • Un account Microsoft Entra per l'accesso delegato. Per semplificare l'amministrazione, usare un singolo account che esegue la sincronizzazione da Active Directory a Microsoft Entra ID.

    Per l'account utente delegato, configurare i requisiti seguenti:

    Requisito Dettagli
    Criteri di etichetta Assicurarsi di avere un criterio di etichetta assegnato a questo account e che il criterio contenga le etichette pubblicate che si desidera usare.

    Se si usano criteri di etichetta per utenti diversi, potrebbe essere necessario creare un nuovo criterio di etichetta che pubblica tutte le etichette e pubblicare il criterio in questo account utente delegato.
    Decrittografia del contenuto Se questo account deve decrittografare il contenuto, ad esempio, per riproteggere i file e controllare i file protetti da altri utenti, renderlo un utente con privilegi avanzati per Information Protection e assicurarsi che la funzionalità utente con privilegi avanzati sia abilitata.
    Controlli di onboarding Se sono stati implementati controlli di onboarding per una distribuzione in più fasi, assicurarsi che questo account sia incluso nei controlli di onboarding configurati.
  • Token di accesso Microsoft Entra, che imposta e archivia le credenziali per l'utente delegato da autenticare per Microsoft Purview Information Protection. Quando il token in Microsoft Entra ID scade, è necessario eseguire di nuovo il cmdlet per acquisire un nuovo token.

    I parametri per Set-Authentication usano i valori di un processo di registrazione dell'app in Microsoft Entra ID. Per altre informazioni, vedere Create e configurare Microsoft Entra applicazioni per l'autenticazione set.for more information, see Create and configure Microsoft Entra applications for Set-Authentication.

Eseguire i cmdlet di etichettatura in modo non interattivo eseguendo prima il cmdlet Set-Authentication .

Il computer che esegue il cmdlet Set-Authentication scarica i criteri di etichettatura assegnati all'account utente delegato nel Portale di conformità di Microsoft Purview.

Create e configurare applicazioni di Microsoft Entra per Set-Authentication

Il cmdlet Set-Authentication richiede una registrazione dell'app per i parametri AppId e AppSecret .

Per creare una nuova registrazione dell'app per il cmdlet Set-Authentication client di etichettatura unificata:

  1. In una nuova finestra del browser accedere al portale di Azure al tenant di Microsoft Entra usato con Microsoft Purview Information Protection.

  2. Passare a Microsoft Entra ID>Gestisci>Registrazioni app e selezionare Nuova registrazione.

  3. Nel riquadro Registra un'applicazione specificare i valori seguenti e quindi selezionare Registra:

    Opzione Valore
    Nome AIP-DelegatedUser
    Specificare un nome diverso in base alle esigenze. Il nome deve essere univoco per ogni tenant.
    Tipi di account supportati Selezionare Account solo in questa directory dell'organizzazione.
    URI di reindirizzamento (facoltativo) Selezionare Web e quindi immettere https://localhost.
  4. Nel riquadro AIP-DelegatedUser copiare il valore per l'ID applicazione (client).

    Il valore è simile all'esempio seguente: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Questo valore viene usato per il parametro AppId quando si esegue il cmdlet Set-Authentication . Incollare e salvare il valore per riferimento successivo.

  5. Nella barra laterale selezionare Gestisci>certificati & segreti.

    Nel riquadro AIP-DelegatedUser - Certificates & secrets (AIP-DelegatedUser - Certificati & segreti) selezionare New client secret (Nuovo segreto client).

  6. Per Aggiungi un segreto client, specificare quanto segue e quindi selezionare Aggiungi:

    Campo Valore
    Descrizione Microsoft Purview Information Protection client
    Scade Specificare la durata desiderata (1 anno, 2 anni o mai scade)
  7. Tornare al riquadro AIP-DelegatedUser - Certificates & secrets nella sezione Segreti client copiare la stringa per VALUE.

    Questa stringa è simile all'esempio seguente: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Per assicurarsi di copiare tutti i caratteri, selezionare l'icona Copia negli Appunti.

    Importante

    Salvare questa stringa perché non viene visualizzata di nuovo e non può essere recuperata. Come per tutte le informazioni riservate usate, archiviare il valore salvato in modo sicuro e limitare l'accesso.

  8. Nella barra laterale selezionare Gestisci>autorizzazioni API.

    Nel riquadro AIP-DelegatedUser - AUTORIZZAZIONI API selezionare Aggiungi un'autorizzazione.

  9. Nel riquadro Autorizzazioni API richiesta assicurarsi di essere nella scheda API Microsoft e selezionare Azure Rights Management Services.

    Quando viene richiesto il tipo di autorizzazioni necessarie per l'applicazione, selezionare Autorizzazioni applicazione.

  10. Per Selezionare le autorizzazioni, espandere Contenuto e selezionare quanto segue e quindi selezionare Aggiungi autorizzazioni.

    • Content.DelegatedReader
    • Content.DelegatedWriter
  11. Tornare al riquadro autorizzazioni AIP-DelegatedUser - API , selezionare Aggiungi di nuovo un'autorizzazione .

    Nel riquadro Richiedi autorizzazioni AIP selezionare API usate dall'organizzazione e cercare Il servizio di sincronizzazione di Microsoft Information Protection.

  12. Nel riquadro Autorizzazioni API richiesta selezionare Autorizzazioni applicazione.

    Per Selezionare le autorizzazioni, espandere UnifiedPolicy, selezionare UnifiedPolicy.Tenant.Read e quindi selezionare Aggiungi autorizzazioni.

  13. Nel riquadro Autorizzazioni api AIP-DelegatedUser - API selezionare Concedi consenso amministratore per il tenant e selezionare per la richiesta di conferma.

Dopo questo passaggio, la registrazione di questa app con un segreto viene completata. È possibile eseguire Set-Authentication con i parametri AppId e AppSecret. Inoltre, è necessario l'ID tenant.

Suggerimento

È possibile copiare rapidamente l'ID tenant usando portale di Azure: Microsoft Entra ID>Manage>Properties>DIRECTORY ID.

Eseguire il cmdlet Set-Authentication

  1. Aprire Windows PowerShell con l'opzione Esegui come amministratore.

  2. Nella sessione di PowerShell creare una variabile per archiviare le credenziali dell'account utente di Windows che viene eseguito in modo non interattivo. Ad esempio, se è stato creato un account di servizio per lo scanner:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"
    

    Viene richiesta la password dell'account.

  3. Eseguire il cmdlet Set-Authentication, con il parametro OnBeHalfOf , specificando come valore la variabile creata.

    Specificare anche i valori di registrazione dell'app, l'ID tenant e il nome dell'account utente delegato in Microsoft Entra ID. Ad esempio:

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds