Beheerdershandleiding: PowerShell gebruiken met de klassieke Azure Information Protection-client

Wanneer u de klassieke Azure Information Protection-client installeert, worden PowerShell-opdrachten automatisch geïnstalleerd. Hiermee kunt u de client beheren door opdrachten uit te voeren die u in scripts voor automatisering kunt plaatsen.

De cmdlets worden geïnstalleerd met de PowerShell-module AzureInformationProtection. Deze module bevat alle Rights Management cmdlets van het RMS-beveiligingsprogramma (niet meer ondersteund). Er zijn ook cmdlets die gebruikmaken van Azure Information Protection voor labelen. Bijvoorbeeld:

Labeling-cmdlet Gebruiksvoorbeelden
Get-AIPFileStatus Voor een gedeelde map alle bestanden met een specifiek label identificeren.
Set-AIPFileClassification Voor een gedeelde map de bestandsinhoud controleren en vervolgens niet-gelabelde bestanden automatisch labelen volgens de voorwaarden die u hebt opgegeven.
Set-AIPFileLabel Pas voor gedeelde mappen een opgegeven label toe op alle bestanden zonder label.
Set-AIPAuthentication Label bestanden niet-interactief, bijvoorbeeld met behulp van een script dat volgens een schema wordt uitgevoerd.

Tip

Als u cmdlets wilt gebruiken met padlengten van meer dan 260 tekens, gebruikt u de volgende groepsbeleidsinstelling die beschikbaar is vanaf Windows 10 versie 1607:
Beleid >voor lokale computersComputerconfiguratie>Beheersjablonen>Alle Instellingen>Enable Win32-lange paden

Voor Windows Server 2016 kunt u dezelfde groepsbeleidsinstelling gebruiken wanneer u de meest recente beheersjablonen (.admx) voor Windows 10 installeert.

Zie de sectie Maximale padlengtebeperking in de documentatie voor ontwikkelaars van Windows 10 voor meer informatie.

De Azure Information Protection-scanner maakt gebruik van cmdlets uit de AzureInformationProtection-module om een service op Windows Server te installeren en configureren. Met deze scanner kunt u vervolgens bestanden in gegevensarchieven detecteren, classificeren en beveiligen.

Zie de module AzureInformationProtection voor een lijst met cmdlets en de bijbehorende Help. Typ Get-Help <cmdlet name> -online in een PowerShell-sessie de meest recente help.

Deze module wordt geïnstalleerd in \ProgramFiles (x86)\Microsoft Azure Information Protection en voegt deze map toe aan de systeemvariabele PSModulePath. De DLL voor deze module is AIP.dll.

Als u de module momenteel installeert als één gebruiker en de cmdlets uitvoert op dezelfde computer als een andere gebruiker, moet u eerst de Import-Module AzureInformationProtection opdracht uitvoeren. In dit scenario wordt de module niet automatisch geladen wanneer u voor het eerst een cmdlet uitvoert.

Zie de aanvullende vereisten en instructies voor uw implementatie voordat u deze cmdlets gaat gebruiken:

  • Azure Information Protection- en Azure Rights Management-service

    • Van toepassing als u alleen-classificatie of classificatie met Rights Management-beveiliging gebruikt: u hebt een abonnement met inbegrip van Azure Information Protection (bijvoorbeeld Enterprise Mobility + Security).
    • Van toepassing als u alleen-beveiliging met de Azure Rights Management-service gebruikt: u hebt een abonnement met inbegrip van de Azure Rights Management-service (bijvoorbeeld Office 365 E3 en Office 365 E5).
  • Active Directory Rights Management Services

    • Van toepassing als u alleen-beveiliging met de on-premises versie van Azure Rights Management gebruikt: Active Directory Rights Management Services (AD RMS).

Zie de relevante verzameling bekende problemen van Azure Information Protection voor meer informatie.

Azure Information Protection- en Azure Rights Management-service

Lees deze sectie voordat u de PowerShell-opdrachten gaat gebruiken wanneer uw organisatie Azure Information Protection gebruikt voor classificatie en beveiliging, of alleen de Azure Rights Management-service voor gegevensbeveiliging.

Vereisten

Naast de vereisten voor het installeren van de AzureInformationProtection-module zijn er aanvullende vereisten voor Het labelen van Azure Information Protection en de Azure Rights Management-service voor gegevensbeveiliging:

  1. De Azure Rights Management-service moet zijn geactiveerd.

  2. De beveiliging van bestanden verwijderen voor anderen die uw account gebruiken:

    • de functie voor supergebruikers moet zijn ingeschakeld voor uw bedrijf en uw account moet zijn geconfigureerd als een supergebruiker voor Azure Rights Management.
  3. Bestanden rechtstreeks beveiligen of de beveiliging rechtstreeks opheffen zonder tussenkomst van de gebruiker:

    • maak een service-principal-account, voer Set-RMSServerAuthentication uit en stel deze service-principal in als supergebruiker voor Azure Rights Management.
  4. Voor regio's buiten Noord-Amerika:

    • Bewerk het register voor servicedetectie.

Vereiste 1: de Azure Rights Management-service moet zijn geactiveerd

Deze vereiste is altijd van toepassing, ongeacht of u de gegevensbeveiliging toepast door middel van labels of door rechtstreeks verbinding te maken met de Azure Rights Management-service om gegevensbeveiliging toe te passen.

Als uw Azure Information Protection-tenant niet is geactiveerd, raadpleegt u de instructies voor het activeren van de beveiligingsservice van Azure Information Protection.

Vereiste 2: de beveiliging van bestanden verwijderen voor anderen die uw account gebruiken

Doorgaans moet de beveiliging van bestanden worden opgeheven voor anderen in scenario's waarbij er gegevensdetectie of gegevensherstel moet worden uitgevoerd. Als u labels gebruikt om de beveiliging toe te passen, kunt u de beveiliging verwijderen door een nieuw label in te stellen waarmee geen beveiliging wordt toegepast of door het label te verwijderen. Maar waarschijnlijk maakt u rechtstreeks verbinding met de Azure Rights Management-service om de beveiliging te verwijderen.

U moet over een Rights Management-gebruiksrecht beschikken om de beveiliging voor bestanden te verwijderen of een supergebruiker zijn. Voor gegevensdetectie of gegevensherstel wordt doorgaans de supergebruikersfunctie gebruikt. Zie Supergebruikers configureren voor Azure Rights Management en detectieservices of gegevensherstel als u deze functie wilt inschakelen en uw account als supergebruiker wilt configureren.

Vereiste 3: bestanden beveiligen of de beveiliging opheffen zonder tussenkomst van de gebruiker

U kunt rechtstreeks verbinding maken met de Azure Rights Management-service om bestanden te beveiligen of de beveiliging op te heffen.

U moet een service-principal-account gebruiken om niet-interactief verbinding te maken met de Azure Rights Management-service, die u doet met behulp van de Set-RMSServerAuthentication cmdlet. U moet dit doen voor elke Windows PowerShell-sessie waarvoor cmdlets worden uitgevoerd die rechtstreeks verbinding met de Azure Rights Management-service maken. Voordat u deze cmdlet uitvoert, moet u deze drie id's hebben:

  • BposTenantId

  • AppPrincipalId

  • Symmetrische sleutel

U kunt de volgende PowerShell-opdrachten en commentaarinstructies gebruiken om automatisch de waarden voor de id's op te halen en de Set-RMSServerAuthentication cmdlet uit te voeren. Of u kunt de waarden handmatig ophalen en opgeven.

De waarden automatisch ophalen en Set-RMSServerAuthentication uitvoeren:

# Make sure that you have the AIPService and MSOnline modules installed

$ServicePrincipalName="<new service principal name>"
Connect-AipService
$bposTenantID=(Get-AipServiceConfiguration).BPOSId
Disconnect-AipService
Connect-MsolService
New-MsolServicePrincipal -DisplayName $ServicePrincipalName

# Copy the value of the generated symmetric key

$symmetricKey="<value from the display of the New-MsolServicePrincipal command>"
$appPrincipalID=(Get-MsolServicePrincipal | Where { $_.DisplayName -eq $ServicePrincipalName }).AppPrincipalId
Set-RMSServerAuthentication -Key $symmetricKey -AppPrincipalId $appPrincipalID -BposTenantId $bposTenantID

In de volgende secties wordt uitgelegd hoe u deze waarden handmatig kunt ophalen en opgeven, met meer informatie over elke waarde.

De BposTenantId ophalen

Voer de Get-AipServiceConfiguration-cmdlet uit vanuit de Azure RMS-Windows PowerShell-module:

  1. Als deze module nog niet op uw computer is geïnstalleerd, raadpleegt u De AIPService PowerShell-module installeren.

  2. Start Windows PowerShell met de optie Als administrator uitvoeren.

  3. Gebruik de cmdlet Connect-AipService om verbinding te maken met de Azure Rights Management-service:

     Connect-AipService
    

    Voer desgevraagd uw Azure Information Protection-tenantbeheerdersreferenties in. Normaal gesproken gebruikt u een account dat een globale beheerder is voor Azure Active Directory of Microsoft 365.

  4. Voer Get-AipServiceConfiguration en kopieer de BPOSId-waarde.

    Een voorbeeld van uitvoer van Get-AipServiceConfiguration:

    BPOSId                                   : 23976bc6-dcd4-4173-9d96-dad1f48efd42
    
    RightsManagement ServiceId               : 1a302373-f233-440600909-4cdf305e2e76
    
    LicensingIntranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
    LicensingExtranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
    CertificationIntranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
    CertificationExtranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
  5. De verbinding met de service verbreken:

    Disconnect-AipService
    
De AppPrincipalId en de symmetrische sleutel ophalen

Maak een nieuwe service-principal door de cmdlet New-MsolServicePrincipal van de MSOnline PowerShell-module voor Azure Active Directory uit te voeren en gebruik hierbij de volgende instructies.

Belangrijk

Gebruik niet de nieuwere Azure AD PowerShell-cmdlet New-AzureADServicePrincipal om deze service-principal te maken. De Azure Rights Management-service ondersteunt New-AzureADServicePrincipal namelijk niet.

  1. Als de MSOnline-module nog niet is geïnstalleerd op uw computer, voert u Install-Module MSOnline uit.

  2. Start Windows PowerShell met de optie Als administrator uitvoeren.

  3. Gebruik de cmdlet Connect-MsolService om verbinding te maken met Azure AD:

    Connect-MsolService
    

    Voer desgevraagd uw Azure AD tenantbeheerdersreferenties in (meestal gebruikt u een account dat een globale beheerder is voor Azure Active Directory of Microsoft 365).

  4. Voer de cmdlet New-MsolServicePrincipal uit om een nieuwe service-principal te maken:

    New-MsolServicePrincipal
    

    Voer desgevraagd een weergavenaam naar keuze in, zodat u deze service-principal later eenvoudig kunt herkennen als een account waarmee u verbinding met de Azure Rights Management-service kunt maken om bestanden te beveiligen of de beveiliging van bestanden op te heffen.

    Een voorbeeld van de uitvoer van New-MsolServicePrincipal:

    Supply values for the following parameters:
    
    DisplayName: AzureRMSProtectionServicePrincipal
    The following symmetric key was created as one was not supplied
    zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=
    
    Display Name: AzureRMSProtectionServicePrincipal
    ServicePrincipalNames: (b5e3f7g1-b5c2-4c96-a594-a0807f65bba4)
    ObjectId: 23720996-593c-4122-bfc7-1abb5a0b5109
    AppPrincialId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4
    TrustedForDelegation: False
    AccountEnabled: True
    Addresses: ()
    KeyType: Symmetric
    KeyId: 8ef61651-ca11-48ea-a350-25834a1ba17c
    StartDate: 3/7/2014 4:43:59 AM
    EndDate: 3/7/2014 4:43:59 AM
    Usage: Verify
    
  5. Noteer de symmetrische sleutel en de AppPrincialId in de uitvoer.

    Het is belangrijk dat u nu een kopie van deze symmetrische sleutel maakt. U kunt deze sleutel later niet ophalen, dus als u deze niet weet wanneer u zich vervolgens moet verifiëren bij de Azure Rights Management-service, moet u een nieuwe service-principal maken.

Op basis van deze instructies en onze voorbeelden beschikken we nu over de drie id’s die nodig zijn om Set-RMSServerAuthentication uit te voeren:

  • Tenant-id: 23976bc6-dcd4-4173-9d96-dad1f48efd42

  • Symmetrische sleutel: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=

  • AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4

Onze voorbeeldopdracht ziet er als volgt uit:

Set-RMSServerAuthentication -Key zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=-AppPrincipalId b5e3f76a-b5c2-4c96-a594-a0807f65bba4-BposTenantId 23976bc6-dcd4-4173-9d96-dad1f48efd42

Zoals wordt weergegeven in de vorige opdracht, kunt u de waarden opgeven met één opdracht, die u in een script zou doen om niet-interactief uit te voeren. Maar voor testdoeleinden kunt u Set-RMSServerAuthentication typen en de waarden één voor één opgeven wanneer u hierom wordt gevraagd. Wanneer de opdracht is voltooid, werkt de client nu in de servermodus, die geschikt is voor niet-interactief gebruik, zoals scripts en Windows Infrastructuur voor bestandsclassificatie van server.

Overweeg dit service-principal-account een supergebruiker te maken: om ervoor te zorgen dat dit service-principal-account altijd de beveiliging van bestanden voor anderen kan opheffen, kan het worden geconfigureerd als een supergebruiker. Op dezelfde manier als u een standaardgebruikersaccount configureert als supergebruiker, gebruikt u dezelfde Azure RMS-cmdlet, Add-AipServiceSuperUser, maar geeft u de parameter ServicePrincipalId op met de waarde AppPrincipalId.

Zie Supergebruikers configureren voor Azure Information Protection en detectieservices of gegevensherstel voor meer informatie over supergebruikers.

Notitie

Als u uw eigen account wilt gebruiken voor de verificatie bij de Azure Rights Management-service, hoeft u Set-RMSServerAuthentication niet uit te voeren voordat u bestanden beveiligt, de beveiliging van bestanden opheft of sjablonen ophaalt.

Vereiste 4: voor regio's buiten Noord-Amerika

Wanneer u een service-principal-account gebruikt om bestanden te beveiligen en sjablonen te downloaden buiten de Azure Noord-Amerika-regio, moet u het register bewerken:

  1. Voer de cmdlet Get-AipServiceConfiguration opnieuw uit en noteer de waarden voor CertificationExtranetDistributionPointUrl en LicensingExtranetDistributionPointUrl.

  2. Open de registereditor op elke computer waarop u de AzureInformationProtection-cmdlets uitvoert.

  3. Navigeer naar het volgende pad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation.

    Als u de MSIPC-sleutel of ServiceLocation-sleutel niet ziet, maakt u deze.

  4. Als de ServiceLocation-sleutel geen sleutels bevat, maat u de volgende twee sleutels: EnterpriseCertification en EnterprisePublishing.

    Wijzig voor de tekenreekswaarde die automatisch voor deze sleutels wordt gemaakt, de naam van (standaardinstelling) niet, maar bewerk de tekenreeks om de waardegegevens in te stellen:

    • Plak voor EnterpriseCertification uw CertificationExtranetDistributionPointUrl-waarde.

    • Plak voor EnterprisePublishing uw LicensingExtranetDistributionPointUrl-waarde.

      Uw registervermelding voor EnterpriseCertification moet er bijvoorbeeld ongeveer als volgt uitzien:

      Editing the registry for Azure Information Protection PowerShell module for regions outside North America

  5. Sluit de Register-editor. U hoeft de computer niet opnieuw op te starten. Als u echter een service-principalaccount in plaats van uw eigen gebruikersaccount gebruikt, moet u de opdracht Set-RMSServerAuthentication uitvoeren nadat u deze registerbewerking hebt uitgevoerd.

Voorbeeldscenario's voor het gebruik van de cmdlets voor Azure Information Protection en de Azure Rights Management-service

Het is efficiënter om labels te gebruiken om bestanden te classificeren en te beveiligen, omdat er slechts twee cmdlets zijn die u nodig hebt, die zelf of samen kunnen worden uitgevoerd: Get-AIPFileStatus en Set-AIPFileLabel. Gebruik de Help voor deze beide cmdlets voor meer informatie en voorbeelden.

Als u bestanden wilt beveiligen of de beveiliging wilt opheffen door rechtstreeks verbinding met de Azure Rights Management-service te maken, moet u doorgaans een reeks cmdlets uitvoeren, zoals hierna wordt beschreven.

Als u zich eerst wilt verifiëren bij de Azure Rights Management-service met een service-principal-account in plaats van uw eigen account te gebruiken, typt u in een PowerShell-sessie:

Set-RMSServerAuthentication

Wanneer hierom wordt gevraagd, geeft u de drie id's op zoals beschreven in Vereiste 3: bestanden beveiligen of de beveiliging opheffen zonder tussenkomst van de gebruiker.

Voordat u bestanden kunt beveiligen, moet u Rights Management-sjablonen downloaden naar uw computer en bepalen welke sjabloon u moet gebruiken en wat daarvan de id is. U kunt vervolgens in de uitvoer de sjabloon-id kopiëren:

Get-RMSTemplate

De uitvoer ziet er ongeveer als volgt uit:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True

TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Als u de opdracht Set-RMSServerAuthentication niet hebt uitgevoerd, wordt voor de verificatie bij de Azure Rights Management-service uw eigen gebruikersaccount gebruikt. Als u een computer gebruikt die lid is van een domein, worden automatisch altijd uw huidige referenties gebruikt. Als u een werkgroepcomputer gebruikt, wordt u gevraagd zich aan te melden bij Azure en worden deze referenties voor de volgende opdrachten opgeslagen in het cachegeheugen. Als u zich in dit scenario later moet aanmelden als een andere gebruiker, gebruikt u de cmdlet Clear-RMSAuthentication.

Nu u weet wat de sjabloon-id is, kunt u deze gebruiken in met de cmdlet Protect-RMSFile om één of alle bestanden in een map te beveiligen. Als u bijvoorbeeld slechts één bestand wilt beveiligen en het origineel wilt overschrijven door gebruik te maken van de sjabloon Contoso, Ltd - Vertrouwelijk:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

De uitvoer ziet er ongeveer als volgt uit:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

Als u alle bestanden in een map wilt beveiligen, gebruikt u de parameter -Folder met een stationsletter en pad, of UNC-pad. Bijvoorbeeld:

Protect-RMSFile -Folder \Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

De uitvoer ziet er ongeveer als volgt uit:

InputFile                          EncryptedFile
---------                          -------------
\Server1\Documents\Test1.docx     \Server1\Documents\Test1.docx
\Server1\Documents\Test2.docx     \Server1\Documents\Test2.docx
\Server1\Documents\Test3.docx     \Server1\Documents\Test3.docx
\Server1\Documents\Test4.docx     \Server1\Documents\Test4.docx

Wanneer de bestandsextensie niet wordt gewijzigd nadat de beveiliging is toegepast, kunt u later altijd de cmdlet Get-RMSFileStatus gebruiken om te controleren of het bestand is beveiligd. Bijvoorbeeld:

Get-RMSFileStatus -File \Server1\Documents\Test1.docx

De uitvoer ziet er ongeveer als volgt uit:

FileName                              Status
--------                              ------
\Server1\Documents\Test1.docx         Protected

Als u de beveiliging van een bestand wilt opheffen, moet u eigenaarsrechten of rechten extraheren van het moment waarop het bestand is beveiligd. Of u moet de cmdlets uitvoeren als supergebruiker. Gebruik vervolgens de cmdlet Unprotect. Bijvoorbeeld:

Unprotect-RMSFile C:\test.docx -InPlace

De uitvoer ziet er ongeveer als volgt uit:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Als de Rights Management-sjablonen worden gewijzigd, moet u ze opnieuw downloaden met Get-RMSTemplate -force.

Active Directory Rights Management Services

Lees deze sectie voordat u de PowerShell-opdrachten gebruikt om bestanden te beveiligen of de beveiliging op te heffen wanneer uw organisatie alleen Active Directory Rights Management-services gebruikt.

Vereisten

Naast de vereisten voor het installeren van de AzureInformationProtection-module, moet het account dat wordt gebruikt voor het beveiligen of opheffen van beveiliging van bestanden lees- en uitvoermachtigingen hebben voor toegang tot ServerCertification.asmx:

  1. Meld u bij een AD RMS-server.

  2. Klik op Start en klik vervolgens op Computer.

  3. Ga in Bestandenverkenner naar %systemdrive%\Initpub\wwwroot_wmsc\Certification.

  4. Klik met de rechtermuisknop op ServerCertification.asmx en klik vervolgens op Eigenschappen.

  5. Klik in het dialoogvenster Eigenschappen van ServerCertification.asmx op het tabblad Beveiliging.

  6. Klik op de knop Doorgaan of Bewerken.

  7. Klik in het dialoogvenster Machtigingen voor ServerCertification.asmx op Toevoegen.

  8. Voeg uw accountnaam toe. Als andere AD RMS-beheerders of -serviceaccounts deze cmdlets ook gebruiken om bestanden te beveiligen en op te heffen, voegt u deze accounts ook toe.

    Als u bestanden niet interactief wilt beveiligen of de beveiliging wilt opheffen, voegt u het relevante computeraccount of -account toe. Voeg bijvoorbeeld het computeraccount toe van de Windows Server-computer die is geconfigureerd voor infrastructuur voor bestandsclassificatie en gebruikt een PowerShell-script om bestanden te beveiligen.

  9. Zorg ervoor dat in de kolom Toestaan de selectievakjes Lezen en uitvoeren en Lezen zijn ingeschakeld.

10. Klik twee keer op OK.

Voorbeeldscenario's voor het gebruik van de cmdlets voor Active Directory Rights Management Services

Een veelvoorkomend scenario voor deze cmdlets is een scenario waarbij all bestanden in een map moeten worden beveiligd met een rechtenbeleidssjabloon of de beveiliging van een bestand moet worden opgeheven.

Als u meerdere AD RMS-implementaties hebt, hebt u de namen van uw AD RMS-servers nodig. U kunt de cmdlet Get-RMSServer gebruiken om een lijst met beschikbare servers weer te geven:

Get-RMSServer

De uitvoer ziet er ongeveer als volgt uit:

Number of RMS Servers that can provide templates: 2 
ConnectionInfo             DisplayName          AllowFromScratch
--------------             -------------        ----------------
Microsoft.InformationAnd…  RmsContoso                       True
Microsoft.InformationAnd…  RmsFabrikam                      True

Voordat u bestanden kunt beveiligen, moet u een lijst met de RMS-sjablonen ophalen om te bepalen welke sjabloon en bijbehorend id-nummer u wilt gebruiken. Alleen wanneer u meer dan één AD RMS-implementatie hebt, moet u ook de RMS-server opgeven.

U kunt vervolgens in de uitvoer de sjabloon-id kopiëren:

Get-RMSTemplate -RMSServer RmsContoso

De uitvoer ziet er ongeveer als volgt uit:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True

TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Nu u weet wat de sjabloon-id is, kunt u deze gebruiken in met de cmdlet Protect-RMSFile om één of alle bestanden in een map te beveiligen. Als u bijvoorbeeld slechts één bestand wilt beveiligen en het origineel wilt vervangen door gebruik te maken van de sjabloon Contoso, Ltd - Vertrouwelijk:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

De uitvoer ziet er ongeveer als volgt uit:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx   

Als u alle bestanden in een map wilt beveiligen, gebruikt u de parameter -Folder met een stationsletter en pad, of UNC-pad. Bijvoorbeeld:

Protect-RMSFile -Folder \\Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

De uitvoer ziet er ongeveer als volgt uit:

InputFile                          EncryptedFile
---------                          -------------
\\Server1\Documents\Test1.docx     \\Server1\Documents\Test1.docx   
\\Server1\Documents\Test2.docx     \\Server1\Documents\Test2.docx   
\\Server1\Documents\Test3.docx     \\Server1\Documents\Test3.docx   
\\Server1\Documents\Test4.docx     \\Server1\Documents\Test4.docx   

Wanneer de bestandsnaamextensie niet wordt gewijzigd nadat de beveiliging is toegepast, kunt u altijd de Get-RMSFileStatus cmdlet later gebruiken om te controleren of het bestand is beveiligd. Bijvoorbeeld:

Get-RMSFileStatus -File \\Server1\Documents\Test1.docx

De uitvoer ziet er ongeveer als volgt uit:

FileName                              Status
--------                              ------
\\Server1\Documents\Test1.docx        Protected

Als u de beveiliging van een bestand wilt opheffen, moet u eigenaarsrechten hebben of gebruiksrechten extraheren van wanneer het bestand is beveiligd of supergebruiker zijn voor AD RMS. Gebruik vervolgens de cmdlet Unprotect. Bijvoorbeeld:

Unprotect-RMSFile C:\test.docx -InPlace

De uitvoer ziet er ongeveer als volgt uit:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Bestanden niet-interactief labelen voor Azure Information Protection

U kunt de labeling-cmdlets niet-interactief uitvoeren met behulp van de Set-AIPAuthentication-cmdlet . Niet-interactieve bewerking is ook vereist voor de Azure Information Protection scanner.

Wanneer u de cmdlets voor labelen uitvoert, worden de opdrachten standaard uitgevoerd in uw eigen gebruikerscontext in een interactieve PowerShell-sessie. Als u de opdrachten zonder toezicht wilt uitvoeren, maakt u een nieuw Azure AD-gebruikersaccount voor dit doel. Vervolgens voert u in de context van die gebruiker de cmdlet Set-AIPAuthentication uit om referenties in te stellen en op te slaan met een toegangstoken van Azure AD. Dit gebruikersaccount wordt vervolgens geverifieerd en er wordt opnieuw opgestart voor de Azure Rights Management-service. Met het account wordt het Azure Information Protection-beleid en alle Rights Management-sjablonen die gebruikmaken van de labels, gedownload.

Notitie

Als u scoped beleid gebruikt, moet u dit account mogelijk toevoegen aan uw bereikbeleid.

De eerste keer dat u deze cmdlet uitvoert, wordt u gevraagd u aan te melden voor Azure Information Protection. Geef de gebruikersnaam en het wachtwoord op die u hebt gemaakt voor de gebruiker zonder toezicht. Daarna kunnen met dit account cmdlets voor labelen niet-interactief worden uitgevoerd totdat het verificatietoken is verlopen.

Als het gebruikersaccount zich deze eerste keer interactief kan aanmelden, moet het account lokaal zijn aangemeld . Dit recht is standaard voor gebruikersaccounts, maar uw bedrijfsbeleid kan deze configuratie voor serviceaccounts verbieden. Als dat het geval is, kunt u Set-AIPAuthentication uitvoeren met de tokenparameter , zodat de verificatie wordt voltooid zonder de aanmeldingsprompt. U kunt deze opdracht uitvoeren als een geplande taak en het account rechtsonder van Aanmelden verlenen als batchtaak. Zie de volgende secties voor meer informatie.

Wanneer het token verloopt, voert u de cmdlet opnieuw uit om een nieuw token te verkrijgen.

Als u deze cmdlet zonder parameters uitvoert, wordt met het account een toegangstoken opgehaald dat gedurende 90 dagen geldig is of totdat uw wachtwoord is verlopen.

Als u wilt bepalen wanneer het toegangstoken is verlopen, voert u deze cmdlet uit met parameters. U kunt dan configureren dat het toegangstoken één of twee jaar geldig is of dat het nooit verloopt. Voor deze configuratie moeten er twee toepassingen bij Azure Active Directory zijn geregistreerd: A Web-app/API-toepassing en een systeemeigen toepassing. Voor de parameters voor deze cmdlet worden waarden van deze toepassingen gebruikt.

Nadat u deze cmdlet hebt uitgevoerd, kunt u de cmdlets voor labelen uitvoeren in de context van het gebruikersaccount dat u hebt gemaakt.

De Azure AD-toepassingen voor Set-AIPAuthentication maken en configureren

  1. Meld u in een nieuw browservenster aan bij Azure Portal.

  2. Ga voor de Azure AD tenant die u gebruikt met Azure Information Protection naar Azure Active Directory>Manage>App-registraties.

  3. Selecteer + Nieuwe registratie om uw web-app /API-toepassing te maken. Geef in het deelvenster Een toepassing registreren de volgende waarden op en klik vervolgens op Registreren:

    • Naam: AIPOnBehalfOf

      U kunt desgewenst een andere naam opgeven. Deze naam moet uniek voor de tenant zijn.

    • Ondersteunde accounttypen: alleen accounts in deze organisatiemap

    • Omleidings-URI (optioneel): Web en http://localhost

  4. Kopieer in het deelvenster AIPOnBehalfOf de waarde voor de toepassings-id (client). De waarde ziet er ongeveer als volgt uit: 57c3c1c3-abf9-404e-8b2b-4652836c8c66. Deze waarde wordt gebruikt voor de parameter WebAppId wanneer u de Set-AIPAuthentication cmdlet uitvoert. Plak de waarde en sla deze op voor later gebruik.

  5. Selecteer Verificatie in het deelvenster AIPOnBehalfOf in het menu Beheren.

  6. Schakel in het deelvenster AIPOnBehalfOf - Verificatie in de sectie Geavanceerde instellingen het selectievakje ID-tokens in en selecteer Vervolgens Opslaan.

  7. Selecteer Certificatengeheimen &in het deelvenster AIPOnBehalfOf - Verificatie in het menu Beheren.

  8. Selecteer + Nieuw clientgeheim in het deelvenster AIPOnBehalfOf - Certificatengeheimen & in de sectie Clientgeheimen.

  9. Als u een clientgeheim wilt toevoegen, geeft u het volgende op en selecteert u Toevoegen:

    • Beschrijving: Azure Information Protection client
    • Verloopt: geef uw keuze op (1 jaar, 2 jaar of nooit verloopt)
  10. Terug in het deelvenster AIPOnBehalfOf - Certificaten & , in de sectie Clientgeheimen , kopieert u de tekenreeks voor de WAARDE. Deze tekenreeks ziet er ongeveer als volgt uit: +LBkMvddz?WrlNCK5v0e6_=meM59sSAn. Als u wilt controleren of u alle tekens kopieert, selecteert u het pictogram om naar het Klembord te kopiëren.

    Het is belangrijk dat u deze tekenreeks opslaat omdat deze niet opnieuw wordt weergegeven en niet kan worden opgehaald. Net als bij gevoelige informatie die u gebruikt, slaat u de opgeslagen waarde veilig op en beperkt u de toegang tot deze gegevens.

  11. Selecteer nog steeds in het deelvenster AIPOnBehalfOf - Certificaten & geheimen in het menu Beherende optie Een API beschikbaar maken.

  12. Selecteer In het deelvenster AIPOnBehalfOf - Een API beschikbaar maken de optie URI voor de toepassings-id en wijzig de API in http in de URI-waarde van de toepassings-id. Deze tekenreeks ziet er ongeveer als volgt uit: http://d244e75e-870b-4491-b70d-65534953099e.

    Selecteer Opslaan.

  13. Terug op het AIPOnBehalfOf - Een API-deelvenster beschikbaar maken, selecteert u + Een bereik toevoegen.

  14. Geef in het deelvenster Een bereik toevoegen het volgende op met behulp van de voorgestelde tekenreeksen als voorbeelden en selecteer vervolgens Bereik toevoegen:

    • Naam van bereik: user-impersonation
    • Wie kan toestemming verlenen? : Beheerders en gebruikers
    • Weergavenaam van beheerderstoestemming: Access Azure Information Protection scanner
    • Beschrijving van beheerderstoestemming: Allow the application to access the scanner for the signed-in user
    • Weergavenaam van gebruikerstoestemming: Access Azure Information Protection scanner
    • Beschrijving van gebruikerstoestemming: Allow the application to access the scanner for the signed-in user
    • Status: Ingeschakeld (de standaardinstelling)
  15. Sluit dit deelvenster weer op de AIPOnBehalfOf - Een API-deelvenster beschikbaar maken.

  16. Selecteer API-machtigingen.

  17. Selecteer + Een machtiging toevoegen in het deelvenster AIPOnBehalfOf | API-machtigingen.

  18. Kies Azure Right Management, selecteer Gedelegeerde machtigingen en selecteer vervolgens Beveiligde inhoud maken en openen voor gebruikers.

  19. Klik op Een machtiging toevoegen.

  20. Terug in het deelvenster API-machtigingen selecteert en selecteert u Ja voor de bevestigingsprompt Grant admin consent for <your tenant name> in de sectie Toestemming verlenen.

  21. Selecteer in het deelvenster App-registraties+ Nieuwe toepassingsregistratie om uw systeemeigen toepassing nu te maken.

  22. Geef in het deelvenster Een toepassing registreren de volgende instellingen op en selecteer Registreren:

    • Naam: AIPClient
    • Ondersteunde accounttypen: alleen accounts in deze organisatiemap
    • Omleidings-URI (optioneel): openbare client (mobiel & bureaublad) en http://localhost
  23. Kopieer in het deelvenster AIPClient de waarde van de toepassings-id (client). De waarde ziet er ongeveer als volgt uit: 8ef1c873-9869-4bb1-9c11-8313f9d7f76f.

    Deze waarde wordt gebruikt voor de parameter NativeAppId wanneer u de cmdlet Set-AIPAuthentication uitvoert. Plak de waarde en sla deze op voor later gebruik.

  24. Selecteer Verificatie in het deelvenster AIPClient in het menu Beheren.

  25. Selecteer API-machtigingen in het deelvenster AIPClient - Verificatie in het menu Beheren.

  26. Selecteer + Een machtiging toevoegen in het deelvenster AIPClient - machtigingen.

  27. Selecteer Mijn API's in het deelvenster API-machtigingen aanvragen.

  28. Selecteer IN de sectie Een API selecteren APIOnBehalfOf en schakel vervolgens het selectievakje voor gebruikersimitatie in als machtiging. Selecteer Machtigingen toevoegen.

  29. Terug in het deelvenster API-machtigingen selecteert u in de sectie Toestemming verlenenbeheerderstoestemming verlenen voor <uw tenantnaam> en selecteert u Ja voor de bevestigingsprompt.

U hebt nu de configuratie van de twee apps voltooid en u hebt de waarden die u nodig hebt om Set-AIPAuthentication uit te voeren met de parameters WebAppId, WebAppKey en NativeAppId. Uit onze voorbeelden:

Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "+LBkMvddz?WrlNCK5v0e6_=meM59sSAn" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f"

Voer deze opdracht uit in de context van het account waarmee de documenten niet-interactief worden gelabeld en beveiligd. Bijvoorbeeld een gebruikersaccount voor uw PowerShell-scripts of het serviceaccount om de Azure Information Protection-scanner uit te voeren.

Wanneer u deze opdracht voor het eerst uitvoert, wordt u gevraagd u aan te melden, waarmee het toegangstoken voor uw account wordt gemaakt en veilig wordt opgeslagen in %localappdata%\Microsoft\MSIP. Na deze eerste aanmelding kunt u bestanden labelen en beveiligen die niet interactief op de computer staan. Als u echter een serviceaccount gebruikt om bestanden te labelen en te beveiligen, en dit serviceaccount zich niet interactief kan aanmelden, gebruikt u de instructies in de volgende sectie, zodat het serviceaccount kan worden geverifieerd met behulp van een token.

Specify and use the Token parameter for Set-AIPAuthentication (De Token-parameter opgeven en gebruiken voor Set-AIPAuthentication)

Gebruik de volgende aanvullende stappen en instructies om te voorkomen dat de eerste interactieve aanmelding wordt uitgevoerd voor een account dat bestanden labelt en beveiligt. Normaal gesproken zijn deze extra stappen alleen vereist als dit account het lokaal aanmelden niet kan krijgen, maar het aanmelden is verleend als een batchtaakrecht . Dit kan bijvoorbeeld het geval zijn voor uw serviceaccount waarop de Azure Information Protection-scanner wordt uitgevoerd.

Stappen op hoog niveau:

  1. Maak een PowerShell-script op uw lokale computer.

  2. Voer Set-AIPAuthentication uit om een toegangstoken op te halen en naar het klembord te kopiëren.

  3. Wijzig het PowerShell-script om het token op te nemen.

  4. Maak een taak waarmee het PowerShell-script wordt uitgevoerd in de context van het serviceaccount waarmee bestanden worden gelabeld en beveiligd.

  5. Controleer of het token is opgeslagen voor het serviceaccount en verwijder het PowerShell-script.

Stap 1: Een PowerShell-script maken op uw lokale computer

  1. Maak op uw computer een nieuw PowerShell-script met de naam Aipauthentication.ps1.

  2. Kopieer en plak de volgende opdracht in dit script:

    Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application> -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application > -Token <token value>
    
  3. Wijzig deze opdracht met behulp van de instructies in de vorige sectie door uw eigen waarden op te geven voor de parameters WebAppId, WebAppkey en NativeAppId . Op dit moment hebt u niet de waarde voor de tokenparameter , die u later opgeeft.

    Bijvoorbeeld:

    Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>
    

Stap 2: voer Set-AIPAuthentication uit om een toegangstoken op te halen en naar het klembord te kopiëren

  1. Open een Windows PowerShell-sessie.

  2. Voer de volgende opdracht uit met dezelfde waarden als die u hebt opgegeven in het script:

    (Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application>  -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application >).token | clip
    

    Bijvoorbeeld:

    (Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clip`
    

Stap 3: Het PowerShell-script wijzigen om het token op te geven

  1. Geef in uw PowerShell-script de tokenwaarde op door de tekenreeks vanaf het klembord te plakken en het bestand op te slaan.

  2. Onderteken het script. Als u het script niet ondertekent (veiliger), moet u Windows PowerShell configureren op de computer waarop de labelopdrachten worden uitgevoerd. Voer bijvoorbeeld een Windows PowerShell sessie uit met de optie Uitvoeren als administrator en typ: Set-ExecutionPolicy RemoteSigned. Met deze configuratie kunnen echter alle niet-ondertekende scripts worden uitgevoerd wanneer ze op deze computer worden opgeslagen (minder veilig).

    Zie about_Signing in de PowerShell-documentatiebibliotheek voor meer informatie over het ondertekenen van Windows PowerShell-scripts.

  3. Kopieer dit PowerShell-script naar de computer die bestanden labelt en beveiligt en verwijdert het origineel op uw computer. U kopieert bijvoorbeeld het PowerShell-script naar C:\Scripts\Aipauthentication.ps1 op een Windows Server-computer.

Stap 4: Een taak maken waarmee het PowerShell-script wordt uitgevoerd

  1. Zorg ervoor dat het serviceaccount waarmee bestanden worden gelabeld en beveiligd, het recht heeft op Aanmelden als batchtaak .

  2. Open Task Scheduler op de computer die bestanden labelt en beveiligt en maak een nieuwe taak. Configureer deze taak om uit te voeren als het serviceaccount waarmee bestanden worden gelabeld en beveiligd, en configureer vervolgens de volgende waarden voor de acties:

    • Actie: Start a program

    • Programma/script: Powershell.exe

    • Argumenten toevoegen (optioneel): -NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"

      Geef voor de argumentregel uw eigen pad en bestandsnaam op, als deze afwijken van het voorbeeld.

  3. Voer deze taak handmatig uit.

Stap 5: Controleer of het token is opgeslagen en verwijder het PowerShell-script

  1. Controleer of het token nu is opgeslagen in de map %localappdata%\Microsoft\MSIP voor het serviceaccountprofiel. Deze waarde wordt beveiligd door het serviceaccount.

  2. Verwijder het PowerShell-script dat de tokenwaarde bevat (bijvoorbeeld Aipauthentication.ps1).

    Verwijder desgewenst de taak. Als uw token verloopt, moet u dit proces herhalen. In dat geval is het handiger om de geconfigureerde taak te verlaten, zodat deze klaar is om opnieuw uit te voeren wanneer u het nieuwe PowerShell-script kopieert met de waarde van het nieuwe token.

Volgende stappen

Als u Help-informatie voor een cmdlet wilt weergeven terwijl een PowerShell-sessie actief is, typt u Get-Help <cmdlet name> cmdlet en gebruikt u de parameter -online om de meest actuele informatie te lezen. Bijvoorbeeld:

Get-Help Get-RMSTemplate -online

Zie het volgende voor aanvullende informatie die u mogelijk nodig hebt om de Azure Information Protection-client te ondersteunen: