Protect-RMSFile
Beveiligt een opgegeven bestand of de bestanden in een opgegeven map met behulp van RMS.
Syntaxis
Protect-RMSFile
[-File <String>]
[-Folder <String>]
[-InPlace]
[-Recurse]
[-TemplateID <String>]
[-License <SafeInformationProtectionLicenseHandle>]
[-DoNotPersistEncryptionKey <String>]
[-OutputFolder <String>]
[-OwnerEmail <String>]
[<CommonParameters>]
Description
De cmdlet Protect-RMSFile beveiligt een bestand of alle bestanden in een opgegeven map met behulp van Azure RMS of AD RMS. Als het bestand eerder is beveiligd, wordt het opnieuw beveiligd om wijzigingen toe te passen, zoals wijzigingen die kunnen worden aangebracht in de sjabloon die wordt gebruikt om het bestand te beveiligen.
Meerdere bestandstypen kunnen op dezelfde manier worden beveiligd als de Azure Information Protection-client bestanden kan beveiligen wanneer u de optie Classificeren en beveiligen gebruikt voor Bestandenverkenner.
Verschillende beveiligingsniveaus worden automatisch toegepast (systeemeigen of algemeen), afhankelijk van het bestandstype. U kunt het beveiligingsniveau wijzigen door het register te bewerken. Bovendien wijzigen sommige bestanden hun bestandsnaamextensie nadat ze zijn beveiligd door Rights Management. Zie de sectie Bestandstypen die worden ondersteund voor beveiliging in de gebruikershandleiding voor de Azure Information Protection-client.
Voordat u deze cmdlet uitvoert, moet u Get-RMSTemplate uitvoeren om de sjablonen op uw computer te downloaden. Als de sjabloon die u wilt gebruiken, is gewijzigd sinds u deze cmdlet hebt uitgevoerd, voert u deze opnieuw uit met de parameter -force om de herziene sjabloon te downloaden.
Wanneer u deze cmdlet uitvoert, hebt u de volgende opties:
Het bestand is beveiligd op de huidige locatie en vervangt het oorspronkelijke bestand dat niet is beveiligd.
Het oorspronkelijke bestand blijft onbeveiligd en er wordt een beveiligde versie van het bestand gemaakt op een andere locatie.
Alle bestanden in de opgegeven map worden beveiligd op de huidige locatie, waarbij de oorspronkelijke bestanden die niet zijn beveiligd, worden vervangen.
Alle bestanden in de opgegeven map blijven onbeveiligd en er wordt een beveiligde versie van elk bestand op een andere locatie gemaakt.
U kunt deze opdracht niet gelijktijdig uitvoeren, maar moet wachten totdat de oorspronkelijke opdracht is voltooid voordat u deze opnieuw uitvoert. Als u het opnieuw probeert uit te voeren voordat de vorige opdracht is voltooid, mislukt de nieuwe opdracht.
Deze cmdlet schrijft naar de volgende logboekbestanden: Success.log, Failure.log en Debug.log in %localappdata%\Microsoft\MSIPC\pscmdlet\Logs\\<GUID>
.
Tip
Zie RMS-beveiliging met Windows Server File Classification Infrastructure (FCI) voor stapsgewijze instructies voor het gebruik van deze cmdlet voor het beveiligen van bestanden op een Windows Server-bestandsshare met bestandsclassificatie-infrastructuur (File Resource Manager Classification Infrastructure) van Windows Server.
Voorbeelden
Voorbeeld 1: Één bestand beveiligen en vervangen met behulp van een sjabloon
PS C:\>Protect-RMSFile -File "C:\Test.docx" -InPlace -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile EncryptedFile
--------- -------------
C:\Test.docx C:\Test.docx
Met deze opdracht wordt één bestand met de naam Test.docx beveiligd met behulp van een sjabloon en wordt het oorspronkelijke niet-beveiligde bestand vervangen. De Rights Management-eigenaar van het bestand en het e-mailadres dat mogelijk wordt weergegeven aan gebruikers wanneer ze het beveiligde bestand openen, worden automatisch ingesteld als het e-mailadres voor het account waarop de opdracht wordt uitgevoerd.
Voorbeeld 2: Een beveiligde kopie van één bestand maken met behulp van een sjabloon
PS C:\>Protect-RMSFile -File "Test.docx" -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile EncryptedFile
--------- -------------
C:\Test.docx C:\Test-Copy.docx
Deze opdracht is hetzelfde als in het vorige voorbeeld, behalve dat de parameter InPlace niet wordt gebruikt. Omdat de parameter OutputFolder ook niet wordt gebruikt, wordt het beveiligde bestand gemaakt in de huidige map met '-Copy' toegevoegd aan de bestandsnaam. Het oorspronkelijke, niet-beveiligde bestand blijft in de huidige map.
Voorbeeld 3: Een beveiligde versie van een bestand maken met behulp van een sjabloon
PS C:\>Protect-RMSFile -File "C:\Test.docx" -OutputFolder "C:\Temp" -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "admin@Contoso.com"
InputFile EncryptedFile
--------- -------------
C:\Test.txt C:\Temp\Test.ptxt
Met deze opdracht beveiligt u één bestand met de naam Test.docx met behulp van een sjabloon en plaatst u deze beveiligde versie van het bestand in C:\Temp, waardoor het oorspronkelijke bestand niet is beveiligd in de hoofdmap van het station C: . De Rights Management-eigenaar van het bestand en het e-mailadres dat mogelijk wordt weergegeven aan gebruikers wanneer ze het beveiligde bestand openen, is voor de beheerder.
Voorbeeld 4: Alle bestanden in een map beveiligen met behulp van een sjabloon
PS C:\>Protect-RMSFile -Folder "\\server1\Docs" -InPlace -DoNotPersistEncryptionKey All -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "IT@Contoso.com"
InputFile EncryptedFile
---------- -------------
\\server1\Docs\Feb2015.docx \\server1\Docs\Feb2015.docx
\\server1\Docs\Feb2015.txt \\server1\Docs\Feb2015.ptxt
\\server1\Docs\Jan2015.docx \\server1\Docs\Jan2015.docx
\\server1\Docs\Jan2015.txt \\server1\Docs\Jan2015.ptxt
Met deze opdracht worden alle bestanden in een servershare beveiligd (alleen één map, geen submappen), waarbij de niet-beveiligde bestanden worden vervangen. Het e-mailadres dat wordt weergegeven aan gebruikers wanneer ze geen toegang hebben, is voor de IT-afdelingsgroep en deze groep krijgt volledige controle over gebruiksrechten in de sjabloon, zodat ze de gebruiksrechten voor de beveiligde bestanden kunnen wijzigen.
Omdat dit scenario bestanden beveiligt namens anderen, wordt de parameter DoNotPersistEncryptionKey gebruikt voor maximale prestaties en om te voorkomen dat ongebruikte bestanden worden opgeslagen op schijf.
Voorbeeld 5: Beveiligde bestanden met een specifieke bestandsnaamextensie in een map met behulp van een sjabloon
PS C:\>foreach ($file in (Get-ChildItem -Path \\server1\Docs -Recurse -Force | where {!$_.PSIsContainer} | Where-Object {$_.Extension -eq ".docx"})) {Protect-RMSFile -File $file.PSPath -InPlace -DoNotPersistEncryptionKey All -TemplateID "e6ee2481-26b9-45e5-b34a-f744eacd53b0" -OwnerEmail "IT@Contoso.com"}
InputFile EncryptedFile
--------- -------------
\\server1\Docs\Feb2015.docx \\server1\Docs\Feb2015.docx
\\server1\Docs\Jan2015.docx \\server1\Docs\Jan2015.docx
\\server1\Docs\Reports\Feb2015.docx \\server1\Docs\Reports\Feb2015.docx
\\server1\Docs\Reports\Jan2015.docx \\server1\Docs\Reports\Jan2015.docx
Deze opdracht beveiligt alleen bestanden met een .docx bestandsnaamextensie in een map (en alle submappen) op een servershare, waarbij de niet-beveiligde bestanden worden vervangen. Zoals in het vorige voorbeeld is het e-mailadres dat wordt weergegeven aan gebruikers wanneer ze geen toegang hebben, voor de IT-afdeling.
Hoewel de opdracht Protect-RMSFile geen systeemeigen ondersteuning biedt voor jokertekens, kunt u Windows PowerShell gebruiken om dit te bereiken en zo nodig de bestandsnaamextensie in het voorbeeld wijzigen.
Voorbeeld 6: Een enkel bestand beveiligen met behulp van een ad-hoc rechtenbeleid
PS C:\>$License = New-RMSProtectionLicense -UserEmail 'user1@contoso.com' -Permission EDIT
PS C:\> Protect-RMSFile -License $License -File "C:\Test.txt" -InPlace
InputFile EncryptedFile
--------- -------------
C:\Test.txt C:\Test.ptxt
Met de eerste opdracht maakt u een ad-hoc rechtenbeleid waarmee bewerkingsrechten worden verleend aan user1@contoso.com.
De tweede opdracht beveiligt één bestand met de naam Test.txt met behulp van dit ad-hoc rechtenbeleid dat zojuist is gemaakt en vervangt het oorspronkelijke niet-beveiligde bestand.
Houd er rekening mee dat u, tenzij uw e-mailadres is user1@contoso.com, u de beveiliging van dit bestand niet kunt opheffen nadat de opdracht is voltooid, omdat u er geen rechten voor hebt en u niet de Rights Management-eigenaar bent.
Als u de beveiliging van dit bestand later moet kunnen opheffen, kunt u uw naam toevoegen en de gebruiker en uzelf het recht EXTRACT of OWNER verlenen in het ad-hoc rechtenbeleid in de eerste opdracht. Of als u niet wilt dat de gebruiker de beveiliging van het bestand kan opheffen, voegt u -OwnerEmail <uw e-mailadres> toe aan het einde van de tweede opdracht.
Parameters
-DoNotPersistEncryptionKey
Hiermee voorkomt u dat een zelflicentie voor de Rights Management-verlener wordt opgeslagen wanneer een bestand wordt beveiligd. Met deze licentie kan de Rights Management-verlener het beveiligde bestand openen zonder verificatie bij de Rights Management-service. Dit helpt ervoor te zorgen dat de persoon die deze cmdlet heeft uitgevoerd, altijd zijn eigen bestanden kan openen die ze hebben beveiligd, zelfs wanneer die persoon offline is. Het leidt ook tot minimale vertragingen voor die gebruiker om deze beveiligde bestanden te openen.
De Rights Management-verlener is het account waarmee de bestanden worden beveiligd. Zie Rights Management-uitgever en Rights Management-eigenaar voor meer informatie.
Deze zelflicentie voor eindgebruikers wordt standaard opgeslagen in zowel het bestand zelf als op de computer waarop de cmdlet wordt uitgevoerd. De bestandsnaam begint met EUL en wordt gemaakt in %localappdata%\Microsoft\MSIPC. Gebruik deze parameter om te voorkomen dat deze licentie voor eindgebruikers wordt opgeslagen in het bestand, op de computer of beide. Het opgeven van deze parameter is geschikt als u bestanden beveiligt namens anderen, bijvoorbeeld met Windows Server FCI. In dit scenario opent de Rights Management-uitgever de beveiligde bestanden niet, waardoor het maken en opslaan van de licentie voor eindgebruikers de beveiligingsprestaties vermindert en onnodig veel bestanden genereert die de beschikbare schijfruimte kunnen vullen.
De acceptabele waarden voor deze parameter:
Schijf: Er wordt geen licentie voor eindgebruikers voor de Rights Management-verlener gegenereerd voor elk bestand in %localappdata%\Microsoft\MSIPC.
Licentie: Een eindgebruikerslicentie voor de Rights Management-uitgever wordt niet ingevoegd in de publicatielicentie voor het bestand.
Alle: Er wordt geen licentie voor eindgebruikers voor de Rights Management-verlener gemaakt en opgeslagen wanneer een bestand wordt beveiligd.
Type: | String |
Geaccepteerde waarden: | all, disk, license |
Position: | Named |
Default value: | None |
Vereist: | False |
Pijplijninvoer accepteren: | False |
Jokertekens accepteren: | False |
-File
Hiermee geeft u het pad en de bestandsnaam die moeten worden beveiligd. Voor het pad kunt u een stationsletter of UNC gebruiken.
Type: | String |
Position: | Named |
Default value: | None |
Vereist: | False |
Pijplijninvoer accepteren: | False |
Jokertekens accepteren: | False |
-Folder
Hiermee geeft u het pad en de map die moeten worden beveiligd. Voor het pad kunt u een stationsletter of UNC gebruiken.
Alle bestanden die zich momenteel in de opgegeven map bevinden, worden beveiligd. Nieuwe bestanden die aan de map worden toegevoegd, worden niet automatisch beveiligd.
Type: | String |
Position: | Named |
Default value: | None |
Vereist: | False |
Pijplijninvoer accepteren: | False |
Jokertekens accepteren: | False |
-InPlace
Het bestand of de bestanden in de opgegeven map worden beveiligd op de huidige locatie, waarbij het niet-beveiligde oorspronkelijke bestand of de bestanden worden vervangen. Deze parameter wordt genegeerd als de parameter OutputFolder is opgegeven.
Als noch InPlace noch OutputFolder is opgegeven, wordt het nieuwe bestand gemaakt in de huidige map met '-Copy' toegevoegd aan de bestandsnaam, met behulp van dezelfde naamconventie die Bestandenverkenner gebruikt wanneer een bestand wordt gekopieerd en geplakt in dezelfde map. Als een bestand met Document.docx bijvoorbeeld niet is beveiligd, krijgt de beveiligde versie de naam Document-Copy.docx. Als er al een bestand met de naam Document-Copy.docx bestaat, wordt document-copy(2).docx gemaakt, enzovoort.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Vereist: | False |
Pijplijninvoer accepteren: | False |
Jokertekens accepteren: | False |
-License
Hiermee geeft u de naam van de variabele op waarin een ad-hoc rechtenbeleid wordt opgeslagen dat is gemaakt met behulp van de cmdlet New-RMSProtectionLicense . Dit ad-hoc rechtenbeleid wordt gebruikt in plaats van een sjabloon om het bestand of de bestanden te beveiligen.
Type: | SafeInformationProtectionLicenseHandle |
Position: | Named |
Default value: | None |
Vereist: | False |
Pijplijninvoer accepteren: | False |
Jokertekens accepteren: | False |
-OutputFolder
Hiermee geeft u het pad en de map voor het plaatsen van beveiligde versies van de oorspronkelijke bestanden die onbeveiligd blijven. De oorspronkelijke mapstructuur blijft behouden, wat betekent dat submappen mogelijk worden gemaakt voor de opgegeven waarde.
Voor het pad kunt u een stationsletter of UNC gebruiken.
Type: | String |
Position: | Named |
Default value: | None |
Vereist: | False |
Pijplijninvoer accepteren: | False |
Jokertekens accepteren: | False |
-OwnerEmail
Hiermee geeft u de Rights Management-eigenaar van het beveiligde bestand of de bestanden per e-mailadres.
Het account waarop deze cmdlet wordt uitgevoerd, is standaard zowel de Rights Management-verlener als de Rights Management-eigenaar van het beveiligde bestand. Met deze parameter kunt u een andere Rights Management-eigenaar toewijzen aan het beveiligde bestand, zodat het opgegeven account alle gebruiksrechten (volledig beheer) voor het bestand heeft en altijd toegang heeft tot het bestand. De Rights Management-eigenaar is onafhankelijk van de eigenaar van het Windows-bestandssysteem. Zie Rights Management-uitgever en Rights Management-eigenaar voor meer informatie.
Als u geen waarde voor deze parameter opgeeft, gebruikt de cmdlet het e-mailadres van uw geverifieerde sessie om de Rights Management-eigenaar van het beveiligde bestand of de beveiligde bestanden te identificeren. Als u AD RMS of Azure RMS gebruikt met een gebruikersaccount om bestanden te beveiligen, is dit uw e-mailadres. Als u Azure RMS gebruikt met een service-principal-account, is dit e-mailadres een lange reeks cijfers en letters. Dit e-mailadres wordt weergegeven voor gebruikers die geen machtigingen hebben om het beveiligde document te bekijken, zodat ze machtigingen kunnen aanvragen.
Als u deze cmdlet uitvoert voor Azure RMS met een service-principal-account en u de eigenaar bent van het bestand of de bestanden die u beveiligt, geeft u uw eigen e-mailadres op voor deze parameter. Als u deze cmdlet voor Azure RMS uitvoert met een service-principal-account en één gebruiker eigenaar is van het bestand of alle bestanden die u beveiligt, geeft u het e-mailadres op, zodat u de oorspronkelijke bestandseigenaar niet beperkt om wijzigingen aan te brengen in het bestand en het te gebruiken zoals bedoeld.
Als u deze cmdlet uitvoert met meerdere bestanden die tot verschillende gebruikers behoren, moet u ervoor zorgen dat deze gebruikers gebruiksrechten voor volledig beheer krijgen en overwegen welk e-mailadres moet worden toegewezen voor deze parameter. Hoewel u een groeps-e-mailadres kunt opgeven en dit adres wordt weergegeven om toegangsmachtigingen aan te vragen, worden leden van de groep niet de Rights Management-eigenaar gemaakt en hebben ze standaard geen gebruiksrechten voor het beveiligingsbestand. Kies in dit scenario of u één gebruiker (zoals een beheerder) wilt toewijzen of geef een groeps-e-mailadres op dat u ook gebruiksrechten voor volledig beheer toewijst. Voor de configuratie van groeps-e-mail kan dit bijvoorbeeld uw helpdesk zijn.
Belangrijk: Hoewel deze parameter optioneel is, is het e-mailadres dat gebruikers zien van de Azure Information Protection-client niet nuttig als u deze niet opgeeft wanneer u bestanden beveiligt met behulp van Azure RMS en een service-principal. Daarom raden we u aan deze parameter altijd op te geven wanneer u bestanden beveiligt met behulp van Azure RMS en een service-principal in plaats van uw gebruikersaccount.
Type: | String |
Position: | Named |
Default value: | None |
Vereist: | False |
Pijplijninvoer accepteren: | False |
Jokertekens accepteren: | False |
-Recurse
Wanneer u de parameter Map gebruikt, geeft u aan dat alle huidige bestanden in de submappen worden beveiligd.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Vereist: | False |
Pijplijninvoer accepteren: | False |
Jokertekens accepteren: | False |
-TemplateID
Hiermee geeft u de id op van de sjabloon die moet worden gebruikt om het opgegeven bestand of de opgegeven bestanden te beveiligen als u de parameter Licentie niet gebruikt voor een ad-hocbeleid. Als u de id van de sjabloon die u wilt gebruiken niet weet, gebruikt u de cmdlet Get-RMSTemplate .
Type: | String |
Position: | Named |
Default value: | None |
Vereist: | False |
Pijplijninvoer accepteren: | False |
Jokertekens accepteren: | False |