Beheer Handleiding: PowerShell gebruiken met de geïntegreerde Azure Information Protection-client

  • Artikel

Notitie

Zoekt u Microsoft Purview Informatiebeveiliging, voorheen Microsoft Information Protection (MIP)?

De Azure Information Protection-invoegtoepassing wordt buiten gebruik gesteld en vervangen door labels die zijn ingebouwd in uw Microsoft 365-apps en -services. Meer informatie over de ondersteuningsstatus van andere Azure Information Protection-onderdelen.

De nieuwe Microsoft Information Protection-client (zonder de invoegtoepassing) is momenteel beschikbaar als preview-versie en is gepland voor algemene beschikbaarheid.

Wanneer u de geïntegreerde Labelclient van Azure Information Protection installeert, worden PowerShell-opdrachten automatisch geïnstalleerd als onderdeel van de AzureInformationProtection-module , met cmdlets voor labeling.

Met de AzureInformationProtection-module kunt u de client beheren door opdrachten uit te voeren voor automatiseringsscripts.

Voorbeeld:

  • Get-AIPFileStatus: haalt het Azure Information Protection-label en de beveiligingsinformatie op voor een opgegeven bestand of bestanden.
  • Set-AIPFileClassification: Scant een bestand om automatisch een Azure Information Protection-label in te stellen voor een bestand, volgens de voorwaarden die in het beleid zijn geconfigureerd.
  • Set-AIPFileLabel: Hiermee stelt u een Azure Information Protection-label voor een bestand in of verwijdert u de beveiliging op basis van de labelconfiguratie of aangepaste machtigingen.
  • Set-AIPAuthentication: Hiermee stelt u de verificatiereferenties voor de Azure Information Protection-client in.

De AzureInformationProtection-module is geïnstalleerd in de map \ProgramFiles (x86)\Microsoft Azure Information Protection en voegt deze map vervolgens toe aan de systeemvariabele PSModulePath . De .dll voor deze module heeft de naam AIP.dll.

Belangrijk

De AzureInformationProtection-module biedt geen ondersteuning voor het configureren van geavanceerde instellingen voor labels of labelbeleid.

Voor deze instellingen hebt u PowerShell voor Security & Compliance Center nodig. Zie Aangepaste configuraties voor de geïntegreerde Labelclient van Azure Information Protection voor meer informatie.

Tip

Als u cmdlets wilt gebruiken met padlengten van meer dan 260 tekens, gebruikt u de volgende groepsbeleidsinstelling die beschikbaar is vanaf Windows 10, versie 1607:
Computerconfiguratie> lokale computerbeleid>Beheer istratieve sjablonen>Alle Instellingen> Enable Win32 lange paden

Voor Windows Server 2016 kunt u dezelfde groepsbeleidsinstelling gebruiken wanneer u de meest recente Beheer istratieve sjablonen (.admx) voor Windows 10 installeert.

Zie de sectie Maximale padlengtebeperking in de documentatie voor Ontwikkelaars van Windows 10 voor meer informatie.

Vereisten voor het gebruik van de AzureInformationProtection-module

Naast de vereisten voor het installeren van de AzureInformationProtection-module zijn er extra vereisten voor wanneer u de label-cmdlets voor Azure Information Protection gebruikt:

  • De Azure Rights Management-service moet worden geactiveerd.

    Als uw Azure Information Protection-tenant niet is geactiveerd, raadpleegt u de instructies voor het activeren van de beveiligingsservice van Azure Information Protection.

  • U kunt de beveiliging van bestanden voor anderen verwijderen met uw eigen account:

    • De functie supergebruiker moet zijn ingeschakeld voor uw organisatie.
    • Uw account moet zijn geconfigureerd als supergebruiker voor Azure Rights Management.

    U kunt bijvoorbeeld de beveiliging voor anderen verwijderen omwille van gegevensdetectie of -herstel. Als u labels gebruikt om beveiliging toe te passen, kunt u deze beveiliging verwijderen door een nieuw label in te stellen dat geen beveiliging toepast of u kunt het label verwijderen.

    Als u de beveiliging wilt verwijderen, gebruikt u de cmdlet Set-AIPFileLabel met de parameter RemoveProtection . In sommige gevallen kan de beveiligingsmogelijkheid voor verwijderen standaard worden uitgeschakeld en moet deze eerst worden ingeschakeld met behulp van de cmdlet Set-LabelPolicy .

TOEWIJZING van RMS-cmdlets voor geïntegreerde labels

Als u bent gemigreerd vanuit Azure RMS, moet u er rekening mee houden dat RMS-gerelateerde cmdlets zijn afgeschaft voor gebruik in geïntegreerde labels.

Sommige verouderde cmdlets zijn vervangen door nieuwe cmdlets voor geïntegreerde labels. Als u bijvoorbeeld New-RMSProtectionLicense hebt gebruikt met RMS-beveiliging en u hebt gemigreerd naar geïntegreerde labels, gebruikt u in plaats daarvan New-AIPCustomPermissions.

De volgende tabel wijst RMS-gerelateerde cmdlets toe met de bijgewerkte cmdlets die worden gebruikt voor geïntegreerde labels:

RMS-cmdlet Cmdlet voor geïntegreerde labels
Get-RMSFileStatus Get-AIPFileStatus
Get-RMSServer Niet relevant voor geïntegreerde labels.
Get-RMSServerAuthentication Set-AIPAuthentication
Clear-RMSAuthentication Set-AIPAuthentication
Set-RMSServerAuthentication Set-AIPAuthentication
Get-RMSTemplate Niet relevant voor geïntegreerde labels.
New-RMSProtectionLicense New-AIPCustomPermissions en Set-AIPFileLabel, met de parameter CustomPermissions .
Protect-RMSFile Set-AIPFileLabel
Beveiliging RMSFile opheffen Set-AIPFileLabel, met de parameter RemoveProtection .

Bestanden niet-interactief labelen voor Azure Information Protection

Wanneer u de cmdlets voor labeling uitvoert, worden de opdrachten standaard uitgevoerd in uw eigen gebruikerscontext in een interactieve PowerShell-sessie.

Zie voor meer informatie:

Notitie

Als de computer geen internettoegang heeft, hoeft u de app niet te maken in Microsoft Entra ID en de cmdlet Set-AIPAuthentication uit te voeren. Volg in plaats daarvan de instructies voor niet-verbonden computers.

Vereisten voor het uitvoeren van AIP-labeling-cmdlets zonder toezicht

Als u azure Information Protection-labeling-cmdlets zonder toezicht wilt uitvoeren, gebruikt u de volgende toegangsgegevens:

  • Een Windows-account dat interactief kan worden aangemeld.

  • een Microsoft Entra-account voor gedelegeerde toegang. Gebruik voor het gemak van beheer één account dat vanuit Active Directory wordt gesynchroniseerd met Microsoft Entra-id.

    Voor het gedelegeerde gebruikersaccount:

    Vereiste DETAILS
    Labelbeleid Zorg ervoor dat u een labelbeleid hebt toegewezen aan dit account en dat het beleid de gepubliceerde labels bevat die u wilt gebruiken.

    Als u labelbeleid voor verschillende gebruikers gebruikt, moet u mogelijk een nieuw labelbeleid maken dat al uw labels publiceert en het beleid publiceren naar alleen dit gedelegeerde gebruikersaccount.
    Inhoud ontsleutelen Als dit account bijvoorbeeld inhoud moet ontsleutelen om bestanden opnieuw te beveiligen en bestanden te inspecteren die anderen hebben beveiligd, maakt u het een supergebruiker voor Azure Information Protection en zorgt u ervoor dat de functie supergebruiker is ingeschakeld.
    Besturingselementen voor onboarding Als u onboarding-besturingselementen voor een gefaseerde implementatie hebt geïmplementeerd, moet u ervoor zorgen dat dit account is opgenomen in uw besturingselementen voor onboarding die u hebt geconfigureerd.

  • een Microsoft Entra-toegangstoken, waarmee referenties worden ingesteld en opgeslagen voor de gedelegeerde gebruiker voor verificatie bij Azure Information Protection. Wanneer het token in Microsoft Entra ID verloopt, moet u de cmdlet opnieuw uitvoeren om een nieuw token te verkrijgen.

    De parameters voor Set-AIPAuthentication gebruiken waarden uit een app-registratieproces in Microsoft Entra-id. Zie Microsoft Entra-toepassingen maken en configureren voor Set-AIPAuthentication voor meer informatie.

Voer de labeling-cmdlets niet-interactief uit door eerst de set-AIPAuthentication-cmdlet uit te voeren.

De computer met de cmdlet AIPAuthentication downloadt het labelbeleid dat is toegewezen aan uw gedelegeerde gebruikersaccount in de Microsoft Purview-nalevingsportal.

Microsoft Entra-toepassingen maken en configureren voor Set-AIPAuthentication

Voor de cmdlet Set-AIPAuthentication is een app-registratie vereist voor de parameters AppId en AppSecret .

Ga als volgt te werk om een nieuwe app-registratie te maken voor de set-AIPAuthentication-cmdlet voor de client voor geïntegreerde labels:

  1. Meld u in een nieuw browservenster aan bij de Microsoft Entra-tenant die u gebruikt met Azure Information Protection.

  2. Ga naar Microsoft Entra ID>Beheren> App-registraties en selecteer Nieuwe registratie.

  3. Geef in het deelvenster Een toepassing registreren de volgende waarden op en klik vervolgens op Registreren:

    Optie Weergegeven als
    Naam AIP-DelegatedUser
    Geef indien nodig een andere naam op. De naam moet uniek zijn per tenant.
    Ondersteunde accounttypen Selecteer Alleen accounts in deze organisatiemap.
    Omleidings-URI (optioneel) Selecteer Web en voer vervolgens in https://localhost.

  4. Kopieer in het deelvenster AIP-DelegatedUser de waarde voor de toepassings-id (client).

    De waarde ziet er ongeveer als volgt uit: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Deze waarde wordt gebruikt voor de parameter AppId wanneer u de cmdlet Set-AIPAuthentication uitvoert. Plak de waarde en sla deze op voor later gebruik.

  5. Selecteer Certificaten en geheimen beheren>in de zijbalk.

    Selecteer vervolgens in het deelvenster AIP-DelegatedUser - Certificaten en geheimen in de sectie Clientgeheimen de optie Nieuw clientgeheim.

  6. Als u een clientgeheim wilt toevoegen, geeft u het volgende op en selecteert u Toevoegen:

    Veld Value
    Beschrijving Azure Information Protection unified labeling client
    Verloopt Geef uw keuze op voor duur (1 jaar, 2 jaar of nooit verloopt)

  7. Ga terug naar het deelvenster AIP-DelegatedUser - Certificaten en geheimen en kopieer in de sectie Clientgeheimen de tekenreeks voor de WAARDE.

    Deze tekenreeks ziet er ongeveer als volgt uit: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Als u ervoor wilt zorgen dat u alle tekens kopieert, selecteert u het pictogram om naar het Klembord te kopiëren.

    Belangrijk

    Het is belangrijk dat u deze tekenreeks opslaat omdat deze niet opnieuw wordt weergegeven en deze niet kan worden opgehaald. Net als bij gevoelige informatie die u gebruikt, slaat u de opgeslagen waarde veilig op en beperkt u de toegang tot de waarde.

  8. Selecteer API-machtigingen beheren>in de zijbalk.

    Selecteer een machtiging toevoegen in het deelvenster AIP-DelegatedUser - API-machtigingen.

  9. Controleer in het deelvenster Api-machtigingen aanvragen of u zich op het tabblad Microsoft-API's bevindt en selecteer Azure Rights Management Services.

    Wanneer u wordt gevraagd om het type machtigingen dat uw toepassing nodig heeft, selecteert u Toepassingsmachtigingen.

  10. Voor Machtigingen selecteren vouwt u Inhoud uit en selecteert u het volgende en selecteert u vervolgens Machtigingen toevoegen.

    • Content.DelegatedReader
    • Content.DelegatedWriter

  11. Selecteer opnieuw een machtiging toevoegen in het deelvenster AIP-DelegatedUser - API-machtigingen.

    Selecteer in het deelvenster AIP-machtigingen aanvragen DE API's die mijn organisatie gebruikt en zoek naar microsoft Information Protection Sync Service.

  12. Selecteer toepassingsmachtigingen in het deelvenster Api-machtigingen aanvragen.

    Voor Machtigingen selecteren vouwt u UnifiedPolicy uit, selecteert u UnifiedPolicy.Tenant.Read en selecteert u vervolgens Machtigingen toevoegen.

  13. Ga terug naar het deelvenster AIP-DelegatedUser - API-machtigingen, selecteer Beheerderstoestemming verlenen voor< uw tenantnaam> en selecteer Ja voor de bevestigingsprompt.

    Uw API-machtigingen moeten er als volgt uitzien:

    API-machtigingen voor de geregistreerde app in Microsoft Entra-id

Nu u de registratie van deze app met een geheim hebt voltooid, kunt u Set-AIPAuthentication uitvoeren met de parameters AppId en AppSecret. Daarnaast hebt u uw tenant-id nodig.

Tip

U kunt uw tenant-id snel kopiëren met behulp van De Azure-portal: Microsoft Entra-id Eigenschappenmap-id> beheren.>>

De cmdlet Set-AIPAuthentication uitvoeren

  1. Open Windows PowerShell met de optie Uitvoeren als administrator.

  2. Maak in uw PowerShell-sessie een variabele voor het opslaan van de referenties van het Windows-gebruikersaccount dat niet-interactief wordt uitgevoerd. Als u bijvoorbeeld een serviceaccount voor de scanner hebt gemaakt:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"

    U wordt gevraagd om het wachtwoord van dit account.

  3. Voer de cmdlet Set-AIPAuthentication uit met de parameter OnBeHalfOf , waarbij u de waarde opgeeft van de variabele die u hebt gemaakt.

    Geef ook uw app-registratiewaarden, uw tenant-id en de naam van het gedelegeerde gebruikersaccount op in Microsoft Entra-id. Voorbeeld:

    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds

Algemene parameters voor PowerShell-cmdlets

Zie Over algemene parameters voor meer informatie over algemene parameters.

Volgende stappen

Voor hulp bij cmdlets wanneer u zich in een PowerShell-sessie bevindt, typt Get-Help <cmdlet name> -onlineu . Voorbeeld:

Get-Help Set-AIPFileLabel -online

Zie voor meer informatie: