PowerShell を使用して情報保護クライアントを設定する

説明

PowerShell を使用して Microsoft Purview Information Protection クライアントと PowerShell コマンドレットをインストールする手順について説明します。

Microsoft Purview 情報保護クライアントで PowerShell を使用する

Microsoft Purview 情報保護モジュールは、情報保護クライアントと共にインストールされます。 関連付けられている PowerShell モジュールは PurviewInformationProtection です。

PurviewInformationProtection モジュールを使用すると、コマンドと自動化スクリプトを使用してクライアントを管理できます。例えば：

• Install-Scanner: Windows Server 2019、Windows Server 2016、または Windows Server 2012 R2 を実行しているコンピューターに Information Protection Scanner サービスをインストールして構成します。
• Get-FileStatus: 指定したファイルまたはファイルの Information Protection ラベルと保護情報を取得します。
• スキャンの開始: 情報保護スキャナーに 1 回限りのスキャン サイクルを開始するように指示します。
• Set-FileLabel -Autolabel: ファイルをスキャンして、ポリシーで構成された条件に従って、ファイルの情報保護ラベルを自動的に設定します。

PurviewInformationProtection PowerShell モジュールをインストールする

設置の前提条件

• このモジュールには Windows PowerShell 4.0 が必要です。 この前提条件は、インストール中にはチェックされません。 正しいバージョンの PowerShell がインストールされていることを確認します。
• Import-Module PurviewInformationProtectionを実行して、最新バージョンの PurviewInformationProtection PowerShell モジュールがあることを確認します。

インストールの詳細

情報保護クライアントと関連するコマンドレットは、PowerShell を使用してインストールおよび構成します。

PurviewInformationProtection PowerShell モジュールは、情報保護クライアントの完全版をインストールすると自動的にインストールされます。 または、 PowerShellOnly=true パラメーターを使用してのみモジュールをインストールすることもできます。

モジュールは \ProgramFiles (x86)\PurviewInformationProtection フォルダーにインストールされ、このフォルダーを PSModulePath システム変数に追加します。

Von Bedeutung

PurviewInformationProtection モジュールでは、ラベルまたはラベル ポリシーの詳細設定の構成はサポートされていません。

パスの長さが 260 文字を超えるコマンドレットを使用するには、Windows 10 バージョン 1607 以降で使用できる次の グループ ポリシー設定 を使用します。

ローカル コンピュータ ポリシーです>コンピュータの構成>管理用テンプレート>すべての設定>Win32 の長いパスを有効にする

Windows Server 2016 では、Windows 10 用の最新の管理用テンプレート (.admx) をインストールするときに、同じグループ ポリシー設定を使用できます。

詳細については、Windows 10 開発者向けドキュメントの「 パスの最大長の制限 」を参照してください。

PurviewInformationProtection PowerShell モジュールの前提条件を理解する

PurviewInformationProtection モジュールのインストールの前提条件に加えて、 Azure Rights Management サービスもアクティブ化する必要があります。

場合によっては、自分のアカウントを使用している他のユーザーのファイルから保護を削除することがあります。 たとえば、データの検出や回復のために、他のユーザーの保護を解除したい場合があります。 ラベルを使用して保護を適用している場合は、保護を適用しない新しいラベルを設定してその保護を削除するか、ラベルを削除することができます。

このような場合は、次の要件も満たす必要があります。

• スーパーユーザー機能は、組織で有効にする必要があります。
• アカウントは、Azure Rights Management スーパー ユーザーとして構成する必要があります。

情報保護ラベル付けコマンドレットを無人で実行する

既定では、ラベル付けのコマンドレットを実行すると、コマンドは対話型の PowerShell セッションで独自のユーザー コンテキストで実行されます。 秘密度ラベル付けコマンドレットを自動的に実行するには、次のセクションを参照してください。

• ラベル付けコマンドレットを無人で実行するための前提条件を理解する
• Set-Authentication 用の Microsoft Entra アプリケーションを作成して構成する
• Set-Authentication コマンドレットを実行する

ラベル付けコマンドレットを無人で実行するための前提条件を理解する

Purview Information Protection ラベル付けコマンドレットを無人で実行するには、次のアクセス詳細を使用します。

• 対話形式でサインインできる Windows アカウント。

• 委任されたアクセス用の Microsoft Entra アカウント。 管理を容易にするために、Active Directory から Microsoft Entra ID に同期する単一のアカウントを使用します。

  委任されたユーザーアカウントの場合は、次の要件を構成します。

  要件	詳細
  ラベルポリシー	このアカウントにラベルポリシーが割り当てられていること、および使用する公開済みラベルがポリシーに含まれていることを確認します。 異なるユーザーに対してラベルポリシーを使用する場合は、すべてのラベルを発行する新しいラベルポリシーを作成し、この委任されたユーザーアカウントのみにポリシーを発行する必要がある場合があります。
  コンテンツの復号化	このアカウントでコンテンツの暗号化を解除する必要がある場合 (たとえば、他のユーザーによって保護されていたファイルを再保護したり、ファイルを検査したりする場合) は、そのアカウントを Information Protection の スーパー ユーザーに し、スーパー ユーザー機能が有効になっていることを確認します。
  オンボード コントロール	段階的なデプロイのオンボード コントロールを実装した場合は、このアカウントが構成したオンボード コントロールに含まれていることを確認してください。

• Microsoft Entra アクセス トークンは、委任されたユーザーが Microsoft Purview Information Protection に対して認証するための資格情報を設定して格納します。 Microsoft Entra ID のトークンの有効期限が切れた場合は、コマンドレットを再度実行して新しいトークンを取得する必要があります。

  Set-Authentication のパラメーターは、Microsoft Entra ID のアプリ登録プロセスの値を使用します。 詳細については、「 Set-Authentication 用に Microsoft Entra アプリケーションを作成して構成するを参照してください。

ラベル付けコマンドレットを非対話形式で実行するには、最初に Set-Authentication コマンドレットを実行します。

Set-Authentication コマンドレットを実行しているコンピューターは、Microsoft Purview コンプライアンス ポータルで委任されたユーザー アカウントに割り当てられているラベル付けポリシーをダウンロードします。

Set-Authentication 用の Microsoft Entra アプリケーションを作成して構成する

Set-Authentication コマンドレットには、AppId パラメーターと AppSecret パラメーターのアプリの登録が必要です。

統合ラベル付けクライアントの Set-Authentication コマンドレットの新しいアプリ登録を作成するには:

1. 新しいブラウザー ウィンドウで、 Azure portal で、Microsoft Purview Information Protection で使用する Microsoft Entra テナントにサインインします。

2. Microsoft Entra ID>Manage>App の登録に移動し、 [新規登録] を選択します。

3. [ アプリケーションの登録 ] ウィンドウで、次の値を指定し、[ 登録] を選択します。

   選択肢	価値
   名前	AIP-DelegatedUser 必要に応じて、別の名前を指定します。 名前はテナントごとに一意である必要があります。
   サポートされているアカウントの種類	[ この組織のディレクトリ内のアカウントのみ] を選択します。
   リダイレクト URI (省略可能)	[Web] を選択し、「https://localhost」と入力します。

4. [AIP-DelegatedUser] ウィンドウで、[アプリケーション (クライアント) ID] の値をコピーします。

   値は 次の例のようになります: 77c3c1c3-abf9-404e-8b2b-4652836c8c66。

   この値は、Set-Authentication コマンドレットを実行するときに AppId パラメーターに使用されます。 後で参照できるように、値を貼り付けて保存します。

5. サイドバーから、「 Manage>Certificates & secrets」を選択します。

   次に、 [ AIP-DelegatedUser - 証明書とシークレット ] ウィンドウの [ クライアント シークレット] セクションで、 [新しいクライアント シークレット] を選択します。

6. [ クライアント シークレットの追加] で、次の項目を指定し、[ 追加] を選択します。

   フィールド	価値
   説明	Microsoft Purview Information Protection client
   有効期限	期間の選択(1年、 2年、または 無期限)を指定します

7. [ AIP-DelegatedUser - Certificates & secrets ] ペインに戻り、[ Client secrets ] セクションで [VALUE] の文字列をコピーします。

   この文字列は、 OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4 の例のようになります。

   すべての文字を確実にコピーするには、 アイコンを選択してクリップボードにコピーします。

   Von Bedeutung

   この文字列は再度表示されず、取得できないため、保存します。 使用する機密情報と同様に、保存した値は安全に保管し、アクセスを制限します。

8. サイドバーから [Manage>API permissions] を選択します。

   AIP-DelegatedUser - API のアクセス許可 ウィンドウで、アクセス許可の追加 を選択します。

9. [ API のアクセス許可の要求 ] ウィンドウで、 [ Microsoft API ] タブが表示されていることを確認し、 [Azure Rights Management サービス] を選択します。

   アプリケーションに必要なアクセス許可の種類を求められたら、 [アプリケーションのアクセス許可] を選択します。

10. [ アクセス許可の選択] で、[ コンテンツ ] を展開して次を選択し、[ アクセス許可の追加] を選択します。

    • Content.DelegatedReader (英語)
    • Content.DelegatedWriter です。

11. AIP-DelegatedUser - API のアクセス許可 ウィンドウに戻り、もう一度 [アクセス許可の追加] を選択します。

    [ AIP アクセス許可の要求 ] ウィンドウで、 [組織で使用している API] を選択し、 [Microsoft Information Protection 同期サービス] を検索します。

12. [API のアクセス許可の要求] ウィンドウで、 [アプリケーションのアクセス許可] を選択します。

    [ アクセス許可の選択] で [UnifiedPolicy] を展開し、[ UnifiedPolicy.Tenant.Read] を選択して、[ アクセス許可の追加] を選択します。

13. [AIP-DelegatedUser - API のアクセス許可] ウィンドウに戻り、 [テナントの管理者の同意を付与する] を選択し、確認プロンプトに対して [はい] を選択します。

この手順の後、シークレットを使用したこのアプリの登録が完了します。 これで、パラメーター AppId と AppSecret を使用して Set-Authentication を実行する準備ができました。 さらに、テナント ID が必要です。

ヒント

Azure portal を使用して、テナント ID をすばやくコピーできます (Microsoft Entra ID>Manage>Properties>Directory ID)。

Set-Authentication コマンドレットを実行する

1. [ 管理者として実行] オプションを使用して Windows PowerShell を開きます。

2. PowerShell セッションで、非対話的に実行される Windows ユーザー アカウントの資格情報を格納する変数を作成します。 たとえば、スキャナーのサービスアカウントを作成したとします。

   $pscreds = Get-Credential "CONTOSO\srv-scanner"
   

   このアカウントのパスワードの入力を求められます。

3. Set-Authentication コマンドレットを OnBeHalfOf パラメーターと共に実行し、作成した変数を値として指定します。

   また、アプリの登録値、テナント ID、および委任されたユーザー アカウントの名前を Microsoft Entra ID で指定します。 例えば次が挙げられます。

   Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds