Protect-RMSFile

Protegge un file specificato o i file in una cartella specificata usando RMS.

Sintassi

Protect-RMSFile
       [-File <String>]
       [-Folder <String>]
       [-InPlace]
       [-Recurse]
       [-TemplateID <String>]
       [-License <SafeInformationProtectionLicenseHandle>]
       [-DoNotPersistEncryptionKey <String>]
       [-OutputFolder <String>]
       [-OwnerEmail <String>]
       [<CommonParameters>]

Descrizione

Il cmdlet Protect-RMSFile protegge un file o tutti i file in una cartella specificata usando Azure RMS o AD RMS. Se il file è stato protetto in precedenza, verrà protetto di nuovo, per applicare eventuali modifiche come quelle che potrebbero essere apportate al modello usato per proteggere il file.

È possibile proteggere più tipi di file nello stesso modo in cui il client di Azure Information Protection può proteggere i file quando si usa l'opzione "Classificare e proteggere" dal Esplora file.

I diversi livelli di protezione vengono applicati automaticamente (nativo o generico), a seconda del tipo di file. È possibile modificare il livello di protezione modificando il Registro di sistema. Inoltre, alcuni file modificano l'estensione del nome file dopo che sono protetti da Rights Management. Per altre informazioni, vedere la sezione Tipi di file supportati per la protezione nella Guida dell'amministratore del client Azure Information Protection.

Prima di eseguire questo cmdlet, è necessario eseguire Get-RMSTemplate per scaricare i modelli nel computer. Se il modello da usare è stato modificato dopo l'esecuzione di questo cmdlet, eseguirlo di nuovo con il parametro -force per scaricare il modello modificato.

Quando si esegue questo cmdlet, sono disponibili le opzioni seguenti:

  • Il file è protetto nel percorso corrente, sostituendo il file originale non protetto.

  • Il file originale rimane non protetto e viene creata una versione protetta del file in un altro percorso.

  • Tutti i file nella cartella specificata sono protetti nel percorso corrente, sostituendo i file originali non protetti.

  • Tutti i file nella cartella specificata rimangono non protetti e viene creata una versione protetta di ogni file in un altro percorso.

Non è possibile eseguire questo comando simultaneamente, ma deve attendere il completamento del comando originale prima di eseguirlo di nuovo. Se si prova a eseguirlo di nuovo prima del completamento del comando precedente, il nuovo comando avrà esito negativo.

Questo cmdlet scrive nei file di log seguenti: Success.log, Failure.log e Debug.log in %localappdata%\Microsoft\MSIPC\pscmdlet\Logs\\<GUID>.

Suggerimento

Per istruzioni dettagliate sull'uso di questo cmdlet per proteggere i file in una condivisione file di Windows Server, usando File Resource Manager e Infrastruttura di classificazione file, vedere Protezione RMS con Windows Server File Classification Infrastructure (FCI) .

Esempio

Esempio 1: Proteggere e sostituire un singolo file usando un modello

PS C:\>Protect-RMSFile -File "C:\Test.docx" -InPlace -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

Questo comando protegge un singolo file denominato Test.docx usando un modello e sostituisce il file non protetto originale. Il proprietario di Rights Management del file e l'indirizzo di posta elettronica che potrebbe essere visualizzato agli utenti quando accedono al file protetto, viene impostato automaticamente come indirizzo di posta elettronica per l'account che esegue il comando.

Esempio 2: Creare una copia protetta di un singolo file usando un modello

PS C:\>Protect-RMSFile -File "Test.docx" -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test-Copy.docx

Questo comando è lo stesso dell'esempio precedente, ad eccezione del fatto che non usa il parametro InPlace . Poiché non usa anche il parametro OutputFolder , il file protetto viene creato nella cartella corrente con "-Copy" aggiunto al nome del file. Il file originale non protetto rimane nella cartella corrente.

Esempio 3: Creare una versione protetta di un file usando un modello

PS C:\>Protect-RMSFile -File "C:\Test.docx" -OutputFolder "C:\Temp" -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "admin@Contoso.com"

InputFile             EncryptedFile
---------             -------------
C:\Test.txt           C:\Temp\Test.ptxt

Questo comando protegge un singolo file denominato Test.docx usando un modello e inserisce questa versione protetta del file in C:\Temp, lasciando il file originale non protetto nella radice dell'unità C: Il proprietario di Rights Management del file e l'indirizzo di posta elettronica che potrebbe essere visualizzato agli utenti quando accedono al file protetto, è per l'amministratore.

Esempio 4: Proteggere tutti i file in una cartella usando un modello

PS C:\>Protect-RMSFile -Folder "\\server1\Docs" -InPlace -DoNotPersistEncryptionKey All -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "IT@Contoso.com"

InputFile                        EncryptedFile

----------                       -------------
\\server1\Docs\Feb2015.docx      \\server1\Docs\Feb2015.docx

\\server1\Docs\Feb2015.txt       \\server1\Docs\Feb2015.ptxt

\\server1\Docs\Jan2015.docx      \\server1\Docs\Jan2015.docx

\\server1\Docs\Jan2015.txt       \\server1\Docs\Jan2015.ptxt

Questo comando protegge tutti i file in una condivisione server (solo una singola cartella, non sottocartelle), sostituendo i file non protetti. L'indirizzo di posta elettronica visualizzato agli utenti quando non hanno accesso, è per il gruppo di reparto IT e questo gruppo viene concesso i diritti di utilizzo full control nel modello in modo che possano modificare i diritti di utilizzo per i file protetti.

Poiché questo scenario protegge i file per conto di altri utenti, il parametro DoNotPersistEncryptionKey viene usato per prestazioni massime e per impedire che i file inutilizzati vengano salvati su disco.

Esempio 5: File protetti con un'estensione del nome file specifica in una cartella usando un modello

PS C:\>foreach ($file in (Get-ChildItem -Path \\server1\Docs -Recurse -Force | where {!$_.PSIsContainer} | Where-Object {$_.Extension -eq ".docx"})) {Protect-RMSFile -File $file.PSPath -InPlace -DoNotPersistEncryptionKey All -TemplateID "e6ee2481-26b9-45e5-b34a-f744eacd53b0" -OwnerEmail "IT@Contoso.com"}


InputFile                                   EncryptedFile

---------                                   -------------
\\server1\Docs\Feb2015.docx                 \\server1\Docs\Feb2015.docx

\\server1\Docs\Jan2015.docx                 \\server1\Docs\Jan2015.docx

\\server1\Docs\Reports\Feb2015.docx         \\server1\Docs\Reports\Feb2015.docx

\\server1\Docs\Reports\Jan2015.docx         \\server1\Docs\Reports\Jan2015.docx

Questo comando protegge solo i file con estensione .docx nome file in una cartella (e tutte le sottocartelle) in una condivisione server, sostituendo i file non protetti. Come nell'esempio precedente, l'indirizzo di posta elettronica visualizzato agli utenti quando non hanno accesso, è per il reparto IT.

Anche se il comando Protect-RMSFile non supporta in modo nativo i caratteri jolly, è possibile usare Windows PowerShell per ottenere questo risultato e modificare l'estensione del nome file nell'esempio, in base alle esigenze.

Esempio 6: Proteggere un singolo file usando un criterio di diritti ad hoc

PS C:\>$License = New-RMSProtectionLicense -UserEmail 'user1@contoso.com' -Permission EDIT
PS C:\> Protect-RMSFile -License $License -File "C:\Test.txt" -InPlace
InputFile             EncryptedFile
---------             -------------
C:\Test.txt           C:\Test.ptxt

Il primo comando crea un criterio di diritti ad hoc che concede diritti di modifica a user1@contoso.com.

Il secondo comando protegge un singolo file denominato Test.txt usando questo criterio di diritti ad hoc appena creato e sostituisce il file non protetto originale.

Si noti che, a meno che l'indirizzo di posta elettronica non sia user1@contoso.com, non sarà possibile rimuovere la protezione di questo file dopo il completamento del comando perché non si dispone dei diritti per esso e non si è il proprietario di Rights Management.

Se è necessario essere in grado di rimuovere la protezione di questo file in un secondo momento, è possibile aggiungere il nome e concedere all'utente e a se stessi il diritto EXTRACT o OWNER nei criteri di diritti ad hoc nel primo comando. In alternativa, se non si vuole che l'utente possa rimuovere la protezione del file, aggiungere -OwnerEmail <all'indirizzo> di posta elettronica alla fine del secondo comando.

Parametri

-DoNotPersistEncryptionKey

Impedisce il salvataggio di una licenza utente finale self-concesso per l'autorità di certificazione Rights Management quando un file è protetto. Questa licenza consente all'autorità emittente di Rights Management di aprire il file protetto senza autenticare il servizio Rights Management. Ciò consente di garantire che la persona che ha eseguito questo cmdlet possa sempre aprire i propri file protetti, anche quando tale persona è offline. Comporta anche ritardi minimi per l'apertura di questi file protetti da parte dell'utente.

L'autorità di certificazione Rights Management è l'account che protegge i file. Per altre informazioni, vedere l'autorità emittente Rights Management e il proprietario di Rights Management.

Per impostazione predefinita, questa licenza utente finale concessa automaticamente viene salvata nel file stesso e nel computer da cui viene eseguito il cmdlet. Il nome del file inizia con EUL e viene creato in %localappdata%\Microsoft\MSIPC. Usare questo parametro per impedire che questa licenza utente finale venga salvata nel file, nel computer o entrambi. Specificare questo parametro è appropriato se si proteggono i file per conto di altri utenti, ad esempio con l'istanza dell'istanza del cluster di rete di Windows Server. In questo scenario, l'autorità emittente rights Management non aprirà i file protetti e quindi creerà e salva la licenza utente finale riduce le prestazioni di protezione e genera inutilmente un sacco di file che possono riempire lo spazio su disco disponibile.

Valori accettabili per questo parametro:

  • Disco: Una licenza utente finale per l'autorità di certificazione Rights Management non viene generata per ogni file in %localappdata%\Microsoft\MSIPC.

  • Licenza: Una licenza utente finale per l'autorità di certificazione Rights Management non viene inserita nella licenza di pubblicazione per il file.

  • Tutti: Nessuna licenza utente finale per l'autorità di certificazione Rights Management viene creata e salvata quando un file è protetto.

Type:String
Accepted values:all, disk, license
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-File

Specifica il percorso e il nome del file da proteggere. Per il percorso, è possibile usare una lettera di unità o UNC.

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-Folder

Specifica il percorso e la cartella da proteggere. Per il percorso, è possibile usare una lettera di unità o UNC.

Tutti i file attualmente presenti nella cartella specificata verranno protetti. I nuovi file aggiunti alla cartella non verranno protetti automaticamente.

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-InPlace

Il file o i file nella cartella specificata sono protetti nel percorso corrente, sostituendo il file o i file originali non protetti. Questo parametro viene ignorato se viene specificato il parametro OutputFolder .

Se non viene specificato InPlaceOutputFolder, il nuovo file viene creato nella directory corrente con "-Copy" aggiunto al nome del file, usando la stessa convenzione di denominazione utilizzata Esplora file quando un file viene copiato e incollato nella stessa cartella. Ad esempio, se un file con Document.docx non è protetto, la versione protetta è denominata Document-Copy.docx. Se esiste già un file denominato Document-Copy.docx , viene creato il .docxDocument-Copy(2) e così via.

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-License

Specifica il nome della variabile che archivia un criterio di diritti ad hoc creato usando il cmdlet New-RMSProtectionLicense . Questo criterio di diritti ad hoc viene usato anziché un modello per proteggere il file o i file.

Type:SafeInformationProtectionLicenseHandle
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-OutputFolder

Specifica il percorso e la cartella per inserire versioni protette dei file originali che rimangono non protetti. La struttura della cartella originale viene mantenuta, il che significa che le sottocartelle potrebbero essere create per il valore specificato.

Per il percorso, è possibile usare una lettera di unità o UNC.

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-OwnerEmail

Specifica il proprietario di Rights Management del file protetto o dei file in base all'indirizzo di posta elettronica.

Per impostazione predefinita, l'account che esegue questo cmdlet è sia l'autorità di certificazione Rights Management che il proprietario di Rights Management del file protetto. Questo parametro consente di assegnare un proprietario di Rights Management diverso al file protetto in modo che l'account specificato disponga di tutti i diritti di utilizzo (Controllo completo) per il file e possa sempre accedervi. Il proprietario di Rights Management è indipendente dal proprietario del file system di Windows. Per altre informazioni, vedere l'autorità emittente Rights Management e il proprietario di Rights Management.

Se non si specifica un valore per questo parametro, il cmdlet userà l'indirizzo di posta elettronica della sessione autenticata per identificare il proprietario di Rights Management del file o dei file protetti. Se si usa AD RMS o Azure RMS con un account utente per proteggere i file, questo sarà l'indirizzo di posta elettronica. Se si usa Azure RMS con un account dell'entità servizio, questo indirizzo di posta elettronica sarà una stringa lunga di numeri e lettere. Questo indirizzo di posta elettronica viene visualizzato agli utenti che non dispongono di permssions per visualizzare il documento protetto, in modo che possano richiedere le autorizzazioni.

Se si esegue questo cmdlet per Azure RMS con un account dell'entità servizio e si possiede il file o i file protetti, specificare il proprio indirizzo di posta elettronica per questo parametro. Se si esegue questo cmdlet per Azure RMS con un account dell'entità servizio e un singolo utente possiede il file o tutti i file protetti, specificare l'indirizzo di posta elettronica in modo da non limitare il proprietario del file originale a apportare modifiche al file e usarlo come previsto.

Se si esegue questo cmdlet con più file appartenenti a utenti diversi, assicurarsi che tali utenti siano concessi diritti di utilizzo full control e considerare quale indirizzo di posta elettronica assegnare per questo parametro. Anche se è possibile specificare un indirizzo di posta elettronica di gruppo e questo indirizzo viene visualizzato per richiedere le autorizzazioni di accesso, i membri del gruppo non vengono resi proprietari di Rights Management e, per impostazione predefinita, non hanno diritti di utilizzo per il file di protezione. In questo scenario scegliere se assegnare un singolo utente (ad esempio un amministratore) o specificare un indirizzo di posta elettronica del gruppo che si assegna anche i diritti di utilizzo full control. Per la configurazione della posta elettronica del gruppo, questo potrebbe essere help desk, ad esempio.

Importante: anche se questo parametro è facoltativo, se non lo si specifica quando si proteggono i file usando Azure RMS e un'entità servizio, l'indirizzo di posta elettronica visualizzato dagli utenti dal client di Azure Information Protection non sarà utile. A causa di questo, è consigliabile specificare sempre questo parametro quando si proteggono i file usando Azure RMS e un'entità servizio anziché l'account utente.

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-Recurse

Se usato con il parametro Folder , indica che tutti i file correnti nelle sottocartelle verranno protetti.

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-TemplateID

Specifica l'ID del modello da usare per proteggere il file o i file specificati se non si usa il parametro License per un criterio ad hoc. Se non si conosce l'ID del modello da usare, usare il cmdlet Get-RMSTemplate .

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False