Guida Amministrazione: Uso di PowerShell con il client unificato di Azure Information Protection
Nota
Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?
Il componente aggiuntivo Azure Information Protection viene ritirato e sostituito con le etichette integrate nelle app e nei servizi di Microsoft 365. Altre informazioni sullo stato di supporto di altri componenti di Azure Information Protection.
Il nuovo client Microsoft Information Protection (senza il componente aggiuntivo) è attualmente in anteprima e pianificato per la disponibilità generale.
Quando si installa il client di etichettatura unificata di Azure Information Protection, i comandi di PowerShell vengono installati automaticamente come parte del modulo AzureInformationProtection , con i cmdlet per l'etichettatura.
Il modulo AzureInformationProtection consente di gestire il client eseguendo comandi per gli script di automazione.
Ad esempio:
- Get-AIPFileStatus: ottiene l'etichetta e le informazioni di protezione di Azure Information Protection per un file o file specificati.
- Set-AIPFileClassification: analizza un file per impostare automaticamente un'etichetta di Azure Information Protection per un file, in base alle condizioni configurate nei criteri.
- Set-AIPFileLabel: imposta o rimuove un'etichetta di Azure Information Protection per un file e imposta o rimuove la protezione in base alla configurazione dell'etichetta o alle autorizzazioni personalizzate.
- Set-AIPAuthentication: imposta le credenziali di autenticazione per il client Azure Information Protection.
Il modulo AzureInformationProtection viene installato nella cartella \ProgramFiles (x86)\Microsoft Azure Information Protection e quindi aggiunge questa cartella alla variabile di sistema PSModulePath . Il .dll per questo modulo è denominato AIP.dll.
Importante
Il modulo AzureInformationProtection non supporta la configurazione delle impostazioni avanzate per etichette o criteri di etichetta.
Per queste impostazioni, è necessario Disporre di PowerShell del Centro sicurezza e conformità. Per altre informazioni, vedere Configurazioni personalizzate per il client di etichettatura unificata di Azure Information Protection.
Suggerimento
Per usare i cmdlet con lunghezze di percorso superiori a 260 caratteri, usare l'impostazione di criteri di gruppo seguente disponibile a partire da Windows 10 versione 1607:
Configurazione> computer locale Criteri>computer Amministrazione modelli>amministrativi Tutti i percorsi lunghi di Win32 Impostazioni> Enable Win32
Per Windows Server 2016, puoi usare la stessa impostazione di Criteri di gruppo quando installi i modelli Amministrazione istrativi più recenti (admx) per Windows 10.
Per altre informazioni, vedere la sezione Limite di lunghezza massima percorso nella documentazione per sviluppatori di Windows 10.
Prerequisiti per l'uso del modulo AzureInformationProtection
Oltre ai prerequisiti per l'installazione del modulo AzureInformationProtection , esistono prerequisiti aggiuntivi per quando si usano i cmdlet di etichettatura per Azure Information Protection:
Il servizio Azure Rights Management deve essere attivato.
Se il tenant di Azure Information Protection non è attivato, vedere le istruzioni per l'attivazione del servizio di protezione da Azure Information Protection.
Per rimuovere la protezione dai file per altri utenti che usano il proprio account:
- La funzionalità utente con privilegi avanzati deve essere abilitata per l'organizzazione.
- L'account deve essere configurato come utente con privilegi avanzati per Azure Rights Management.
Ad esempio, è possibile rimuovere la protezione per altri utenti per l'individuazione o il ripristino dei dati. Se si usano etichette per applicare la protezione, è possibile rimuovere tale protezione impostando una nuova etichetta che non applica la protezione oppure è possibile rimuovere l'etichetta.
Per rimuovere la protezione, usare il cmdlet Set-AIPFileLabel con il parametro RemoveProtection . In alcuni casi, la funzionalità di rimozione della protezione può essere disabilitata per impostazione predefinita e deve prima essere abilitata usando il cmdlet Set-LabelPolicy .
Mapping dei cmdlet di etichettatura unificata da RMS
Se è stata eseguita la migrazione da Azure RMS, si noti che i cmdlet correlati a RMS sono stati deprecati per l'uso nell'etichettatura unificata.
Alcuni dei cmdlet legacy sono stati sostituiti con nuovi cmdlet per l'etichettatura unificata. Ad esempio, se si usa New-RMSProtectionLicense con la protezione RMS ed è stata eseguita la migrazione all'etichettatura unificata, usare invece New-AIPCustomPermissions .
La tabella seguente esegue il mapping dei cmdlet correlati a RMS con i cmdlet aggiornati usati per l'etichettatura unificata:
| Cmdlet RMS | Cmdlet di etichettatura unificata |
|---|---|
| Get-RMSFileStatus | Get-AIPFileStatus |
| Get-RMSServer | Non rilevante per l'etichettatura unificata. |
| Get-RMSServerAuthentication | Set-AIPAuthentication |
| Clear-RMSAuthentication | Set-AIPAuthentication |
| Set-RMSServerAuthentication | Set-AIPAuthentication |
| Get-RMSTemplate | Non rilevante per l'etichettatura unificata. |
| New-RMSProtectionLicense | New-AIPCustomPermissions e Set-AIPFileLabel con il parametro CustomPermissions . |
| Protect-RMSFile | Set-AIPFileLabel |
| Unprotect-RMSFile | Set-AIPFileLabel, con il parametro RemoveProtection . |
Assegnare etichette ai file in modo non interattivo per Azure Information Protection
Per impostazione predefinita, quando si eseguono i cmdlet per l'etichettatura, i comandi vengono eseguiti nel proprio contesto utente in una sessione interattiva di PowerShell.
Per altre informazioni, vedi:
- Prerequisiti per l'esecuzione automatica dei cmdlet di etichettatura AIP
- Creare e configurare applicazioni Microsoft Entra per Set-AIPAuthentication
- Esecuzione del cmdlet Set-AIPAuthentication
Nota
Se il computer non può avere accesso a Internet, non è necessario creare l'app in Microsoft Entra ID ed eseguire il cmdlet Set-AIPAuthentication . Seguire invece le istruzioni per i computer disconnessi.
Prerequisiti per l'esecuzione automatica dei cmdlet di etichettatura AIP
Per eseguire i cmdlet di etichettatura automatica di Azure Information Protection, usare i dettagli di accesso seguenti:
Un account di Windows che può accedere in modo interattivo.
un account Microsoft Entra, per l'accesso delegato. Per semplificare l'amministrazione, usare un singolo account sincronizzato da Active Directory a Microsoft Entra ID.
Per l'account utente delegato:
Requisito Dettagli Criteri di etichetta Assicurarsi di disporre di un criterio di etichetta assegnato a questo account e che il criterio contenga le etichette pubblicate da usare.
Se si usano criteri di etichetta per utenti diversi, potrebbe essere necessario creare un nuovo criterio di etichetta che pubblica tutte le etichette e pubblicare i criteri solo in questo account utente delegato.Decrittografia del contenuto Se questo account deve decrittografare il contenuto, ad esempio, per riproteggere i file e controllare i file protetti da altri utenti, renderlo un utente con privilegi avanzati per Azure Information Protection e assicurarsi che la funzionalità utente con privilegi avanzati sia abilitata. Controlli di onboarding Se sono stati implementati controlli di onboarding per una distribuzione in più fasi, assicurarsi che questo account sia incluso nei controlli di onboarding configurati. un token di accesso Microsoft Entra, che imposta e archivia le credenziali per l'utente delegato per l'autenticazione in Azure Information Protection. Quando il token in Microsoft Entra ID scade, è necessario eseguire di nuovo il cmdlet per acquisire un nuovo token.
I parametri per Set-AIPAuthentication usano i valori di un processo di registrazione dell'app in Microsoft Entra ID. Per altre informazioni, vedere Creare e configurare applicazioni Microsoft Entra per Set-AIPAuthentication.
Eseguire i cmdlet di etichettatura in modo non interattivo eseguendo prima il cmdlet Set-AIPAuthentication .
Il computer che esegue il cmdlet AIPAuthentication scarica i criteri di etichettatura assegnati all'account utente delegato nel Portale di conformità di Microsoft Purview.
Creare e configurare applicazioni Microsoft Entra per Set-AIPAuthentication
Il cmdlet Set-AIPAuthentication richiede una registrazione dell'app per i parametri AppId e AppSecret .
Per creare una nuova registrazione dell'app per il cmdlet Set-AIPAuthentication del client di etichettatura unificata:
In una nuova finestra del browser accedere al portale di Azure al tenant di Microsoft Entra usato con Azure Information Protection.
Passare a Microsoft Entra ID>Manage> Registrazioni app e selezionare New registration (Nuova registrazione).
Nel riquadro Registra un'applicazione specificare i valori seguenti e quindi fare clic su Registra:
Opzione valore Nome AIP-DelegatedUser
Specificare un nome diverso in base alle esigenze. Il nome deve essere univoco per ogni tenant.Tipi di account supportati Selezionare Account solo in questa directory dell'organizzazione. URI di reindirizzamento (facoltativo) Selezionare Web e quindi immettere https://localhost.Nel riquadro AIP-DelegatedUser copiare il valore per l'ID applicazione (client).
Il valore è simile all'esempio seguente:
77c3c1c3-abf9-404e-8b2b-4652836c8c66.Questo valore viene usato per il parametro AppId quando si esegue il cmdlet Set-AIPAuthentication. Incollare e salvare il valore per riferimento successivo.
Nella barra laterale selezionare Gestisci>certificati e segreti.
Quindi, nel riquadro AIP-DelegatedUser - Certificates & secrets (AIP-DelegatedUser - Certificati e segreti) selezionareNew client secret (Nuovo segreto client).
Per Aggiungi un segreto client specificare quanto segue e quindi selezionare Aggiungi:
Campo Value Descrizione Azure Information Protection unified labeling clientScade il Specificare la durata desiderata (1 anno, 2 anni o mai scaduta) Tornare al riquadro AIP-DelegatedUser - Certificates & secrets nella sezione Segreti client copiare la stringa per VALUE.
Questa stringa è simile all'esempio seguente:
OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.Per assicurarsi di copiare tutti i caratteri, selezionare l'icona copia negli Appunti.
Importante
È importante salvare questa stringa perché non viene visualizzata di nuovo e non può essere recuperata. Come per tutte le informazioni riservate usate, archiviare il valore salvato in modo sicuro e limitare l'accesso.
Nella barra laterale selezionare Gestisci>autorizzazioni API.
Nel riquadro Autorizzazioni AIP-DelegatedUser - API selezionare Aggiungi un'autorizzazione.
Nel riquadro Richiedi autorizzazioni API assicurarsi di essere nella scheda API Microsoft e selezionare Azure Rights Management Services.
Quando viene richiesto il tipo di autorizzazioni richieste dall'applicazione, selezionare Autorizzazioni applicazione.
Per Selezionare le autorizzazioni espandere Contenuto e selezionare quanto segue e quindi selezionare Aggiungi autorizzazioni.
- Content.DelegatedReader
- Content.DelegatedWriter
Tornare al riquadro AIP-DelegatedUser - Autorizzazioni API, selezionare di nuovo Aggiungi un'autorizzazione .
Nel riquadro Richiedi autorizzazioni AIP selezionare API usate dall'organizzazione e cercare Microsoft Information Protection Sync Service.
Nel riquadro Richiedi autorizzazioni API selezionare Autorizzazioni applicazione.
Per Seleziona autorizzazioni espandere UnifiedPolicy, selezionare UnifiedPolicy.Tenant.Read e quindi selezionare Aggiungi autorizzazioni.
Tornare al riquadro AIP-DelegatedUser - Autorizzazioni API selezionare Concedi consenso amministratore per< il nome> del tenant e selezionare Sì per la richiesta di conferma.
Le autorizzazioni API dovrebbero essere simili all'immagine seguente:
Dopo aver completato la registrazione di questa app con un segreto, è possibile eseguire Set-AIPAuthentication con i parametri AppId e AppSecret. È anche necessario l'ID tenant.
Suggerimento
È possibile copiare rapidamente l'ID tenant usando portale di Azure: Microsoft Entra ID Manage Properties Directory ID .You can quickly copy your tenant ID by using portale di Azure: Microsoft Entra ID>Manage>Properties>Directory ID.
Esecuzione del cmdlet Set-AIPAuthentication
Aprire Windows PowerShell con l'opzione Esegui come amministratore.
Nella sessione di PowerShell creare una variabile per archiviare le credenziali dell'account utente di Windows che verranno eseguite in modo non interattivo. Ad esempio, se è stato creato un account del servizio per lo scanner:
$pscreds = Get-Credential "CONTOSO\srv-scanner"Viene richiesta la password dell'account.
Eseguire il cmdlet Set-AIPAuthentication , con il parametro OnBeHalfOf , specificando come valore la variabile creata.
Specificare anche i valori di registrazione dell'app, l'ID tenant e il nome dell'account utente delegato in Microsoft Entra ID. Ad esempio:
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
Parametri comuni per i cmdlet di PowerShell
Per informazioni sui parametri comuni, vedere Informazioni sui parametri comuni.
Passaggi successivi
Per informazioni sui cmdlet quando ci si trova in una sessione di PowerShell, digitare Get-Help <cmdlet name> -online. Ad esempio:
Get-Help Set-AIPFileLabel -online
Per altre informazioni, vedi:
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per