Beheer handleiding: PowerShell gebruiken met de klassieke Azure Information Protection-client

Wanneer u de klassieke Azure Information Protection-client installeert, worden PowerShell-opdrachten automatisch geïnstalleerd. Hiermee kunt u de client beheren door opdrachten uit te voeren die u in scripts voor automatisering kunt plaatsen.

De cmdlets worden geïnstalleerd met de PowerShell-module AzureInformationProtection. Deze module bevat alle Rights Management-cmdlets van het RMS-beveiligingshulpprogramma (niet meer ondersteund). Er zijn ook cmdlets die Azure Information Protection gebruiken voor labeling. Bijvoorbeeld:

Labeling-cmdlet Gebruiksvoorbeelden
Get-AIPFileStatus Voor een gedeelde map alle bestanden met een specifiek label identificeren.
Set-AIPFileClassification Voor een gedeelde map de bestandsinhoud controleren en vervolgens niet-gelabelde bestanden automatisch labelen volgens de voorwaarden die u hebt opgegeven.
Set-AIPFileLabel Pas voor gedeelde mappen een opgegeven label toe op alle bestanden zonder label.
Set-AIPAuthentication Label bestanden niet-interactief, bijvoorbeeld met behulp van een script dat volgens een schema wordt uitgevoerd.

Tip

Als u cmdlets wilt gebruiken met een padlengte van meer dan 260 tekens, gebruikt u de volgende groepsbeleidsinstelling die beschikbaar is vanaf Windows 10, versie 1607:
Beleid voor lokale computers>Computerconfiguratie>Beheersjablonen>Alle instellingen>Lange win32-paden inschakelen

Voor Windows Server 2016 kunt u dezelfde groepsbeleidsinstelling gebruiken wanneer u de meest recente beheersjablonen (.admx) voor Windows 10 installeert.

Zie de sectie Maximale padlengtebeperking in de documentatie voor Windows 10 ontwikkelaars voor meer informatie.

De Azure Information Protection-scanner gebruikt cmdlets uit de Module AzureInformationProtection om een service op Windows Server te installeren en configureren. Met deze scanner kunt u vervolgens bestanden in gegevensarchieven detecteren, classificeren en beveiligen.

Zie de module AzureInformationProtection voor een lijst met cmdlets en de bijbehorende Help. Typ in een PowerShell-sessie Get-Help <cmdlet name> -online om de meest recente Help te zien.

Deze module wordt geïnstalleerd in \ProgramFiles (x86)\Microsoft Azure Information Protection en voegt deze map toe aan de systeemvariabele PSModulePath. De DLL voor deze module is AIP.dll.

Als u de module momenteel als één gebruiker installeert en de cmdlets op dezelfde computer uitvoert als een andere gebruiker, moet u eerst de Import-Module AzureInformationProtection opdracht uitvoeren. In dit scenario wordt de module niet automatisch geladen wanneer u voor het eerst een cmdlet uitvoert.

Zie de aanvullende vereisten en instructies voor uw implementatie voordat u deze cmdlets gaat gebruiken:

  • Azure Information Protection en Azure Rights Management service

    • Van toepassing als u alleen-classificatie of classificatie met Rights Management-beveiliging gebruikt: u hebt een abonnement met inbegrip van Azure Information Protection (bijvoorbeeld Enterprise Mobility + Security).
    • Van toepassing als u alleen-beveiliging met de Azure Rights Management-service gebruikt: u hebt een abonnement met inbegrip van de Azure Rights Management-service (bijvoorbeeld Office 365 E3 en Office 365 E5).
  • Active Directory Rights Management Services

    • Van toepassing als u alleen-beveiliging met de on-premises versie van Azure Rights Management gebruikt: Active Directory Rights Management Services (AD RMS).

Zie de relevante verzameling bekende problemen met Azure Information Protection voor meer informatie.

Azure Information Protection en Azure Rights Management service

Lees deze sectie voordat u de PowerShell-opdrachten gaat gebruiken wanneer uw organisatie Azure Information Protection gebruikt voor classificatie en beveiliging, of alleen de Azure Rights Management-service voor gegevensbeveiliging.

Vereisten

Naast de vereisten voor het installeren van de AzureInformationProtection-module zijn er aanvullende vereisten voor Azure Information Protection labelen en de Azure Rights Management data protection-service:

  1. De Azure Rights Management-service moet zijn geactiveerd.

  2. De beveiliging van bestanden verwijderen voor anderen die uw account gebruiken:

    • de functie voor supergebruikers moet zijn ingeschakeld voor uw bedrijf en uw account moet zijn geconfigureerd als een supergebruiker voor Azure Rights Management.
  3. Bestanden rechtstreeks beveiligen of de beveiliging rechtstreeks opheffen zonder tussenkomst van de gebruiker:

    • maak een service-principal-account, voer Set-RMSServerAuthentication uit en stel deze service-principal in als supergebruiker voor Azure Rights Management.
  4. Voor regio's buiten Noord-Amerika:

    • Bewerk het register voor servicedetectie.

Vereiste 1: de Azure Rights Management-service moet zijn geactiveerd

Deze vereiste is altijd van toepassing, ongeacht of u de gegevensbeveiliging toepast door middel van labels of door rechtstreeks verbinding te maken met de Azure Rights Management-service om gegevensbeveiliging toe te passen.

Als uw Azure Information Protection-tenant niet is geactiveerd, raadpleegt u de instructies voor Het activeren van de beveiligingsservice vanuit Azure Information Protection.

Vereiste 2: de beveiliging van bestanden verwijderen voor anderen die uw account gebruiken

Doorgaans moet de beveiliging van bestanden worden opgeheven voor anderen in scenario's waarbij er gegevensdetectie of gegevensherstel moet worden uitgevoerd. Als u labels gebruikt om de beveiliging toe te passen, kunt u de beveiliging verwijderen door een nieuw label in te stellen waarmee geen beveiliging wordt toegepast of door het label te verwijderen. Maar waarschijnlijk maakt u rechtstreeks verbinding met de Azure Rights Management-service om de beveiliging te verwijderen.

U moet over een Rights Management-gebruiksrecht beschikken om de beveiliging voor bestanden te verwijderen of een supergebruiker zijn. Voor gegevensdetectie of gegevensherstel wordt doorgaans de supergebruikersfunctie gebruikt. Zie Supergebruikers configureren voor Azure Rights Management en detectieservices of gegevensherstel als u deze functie wilt inschakelen en uw account als supergebruiker wilt configureren.

Vereiste 3: bestanden beveiligen of de beveiliging opheffen zonder tussenkomst van de gebruiker

U kunt rechtstreeks verbinding maken met de Azure Rights Management-service niet-interactief om bestanden te beveiligen of de beveiliging ervan op te heffen.

U moet een service-principal-account gebruiken om niet-interactief verbinding te maken met de Azure Rights Management-service, wat u doet met behulp van de Set-RMSServerAuthentication cmdlet. U moet dit doen voor elke Windows PowerShell-sessie waarvoor cmdlets worden uitgevoerd die rechtstreeks verbinding met de Azure Rights Management-service maken. Voordat u deze cmdlet uitvoert, moet u de volgende drie id's hebben:

  • BposTenantId

  • AppPrincipalId

  • Symmetrische sleutel

U kunt de volgende PowerShell-opdrachten en opmerkingen gebruiken om automatisch de waarden voor de id's op te halen en de cmdlet Set-RMSServerAuthentication uit te voeren. U kunt de waarden ook handmatig ophalen en opgeven.

De waarden automatisch ophalen en Set-RMSServerAuthentication uitvoeren:

# Make sure that you have the AIPService and MSOnline modules installed

$ServicePrincipalName="<new service principal name>"
Connect-AipService
$bposTenantID=(Get-AipServiceConfiguration).BPOSId
Disconnect-AipService
Connect-MsolService
New-MsolServicePrincipal -DisplayName $ServicePrincipalName

# Copy the value of the generated symmetric key

$symmetricKey="<value from the display of the New-MsolServicePrincipal command>"
$appPrincipalID=(Get-MsolServicePrincipal | Where { $_.DisplayName -eq $ServicePrincipalName }).AppPrincipalId
Set-RMSServerAuthentication -Key $symmetricKey -AppPrincipalId $appPrincipalID -BposTenantId $bposTenantID

In de volgende secties wordt uitgelegd hoe u deze waarden handmatig kunt ophalen en opgeven, met meer informatie over elke waarde.

De BposTenantId ophalen

Voer de cmdlet Get-AipServiceConfiguration uit vanuit de module Azure RMS Windows PowerShell:

  1. Als deze module nog niet op uw computer is geïnstalleerd, raadpleegt u De AIPService PowerShell-module installeren.

  2. Start Windows PowerShell met de optie Als administrator uitvoeren.

  3. Gebruik de cmdlet Connect-AipService om verbinding te maken met de Azure Rights Management-service:

     Connect-AipService
    

    Voer desgevraagd de referenties van uw Azure Information Protection-tenantbeheerder in. Normaal gesproken gebruikt u een account dat een globale beheerder is voor Azure Active Directory of Microsoft 365.

  4. Voer Get-AipServiceConfiguration en kopieer de BPOSId-waarde.

    Een voorbeeld van uitvoer van Get-AipServiceConfiguration:

    BPOSId                                   : 23976bc6-dcd4-4173-9d96-dad1f48efd42
    
    RightsManagement ServiceId               : 1a302373-f233-440600909-4cdf305e2e76
    
    LicensingIntranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
    LicensingExtranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
    CertificationIntranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
    CertificationExtranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
  5. De verbinding met de service verbreken:

    Disconnect-AipService
    
De AppPrincipalId en de symmetrische sleutel ophalen

Maak een nieuwe service-principal door de cmdlet New-MsolServicePrincipal van de MSOnline PowerShell-module voor Azure Active Directory uit te voeren en gebruik hierbij de volgende instructies.

Belangrijk

Gebruik niet de nieuwere Azure AD PowerShell-cmdlet New-AzureADServicePrincipal om deze service-principal te maken. De Azure Rights Management-service ondersteunt New-AzureADServicePrincipal namelijk niet.

  1. Als de MSOnline-module nog niet is geïnstalleerd op uw computer, voert u Install-Module MSOnline uit.

  2. Start Windows PowerShell met de optie Als administrator uitvoeren.

  3. Gebruik de cmdlet Connect-MsolService om verbinding te maken met Azure AD:

    Connect-MsolService
    

    Voer desgevraagd uw Azure AD tenantbeheerdersreferenties in (meestal gebruikt u een account dat een globale beheerder is voor Azure Active Directory of Microsoft 365).

  4. Voer de cmdlet New-MsolServicePrincipal uit om een nieuwe service-principal te maken:

    New-MsolServicePrincipal
    

    Voer desgevraagd een weergavenaam naar keuze in, zodat u deze service-principal later eenvoudig kunt herkennen als een account waarmee u verbinding met de Azure Rights Management-service kunt maken om bestanden te beveiligen of de beveiliging van bestanden op te heffen.

    Een voorbeeld van de uitvoer van New-MsolServicePrincipal:

    Supply values for the following parameters:
    
    DisplayName: AzureRMSProtectionServicePrincipal
    The following symmetric key was created as one was not supplied
    zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=
    
    Display Name: AzureRMSProtectionServicePrincipal
    ServicePrincipalNames: (b5e3f7g1-b5c2-4c96-a594-a0807f65bba4)
    ObjectId: 23720996-593c-4122-bfc7-1abb5a0b5109
    AppPrincialId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4
    TrustedForDelegation: False
    AccountEnabled: True
    Addresses: ()
    KeyType: Symmetric
    KeyId: 8ef61651-ca11-48ea-a350-25834a1ba17c
    StartDate: 3/7/2014 4:43:59 AM
    EndDate: 3/7/2014 4:43:59 AM
    Usage: Verify
    
  5. Noteer de symmetrische sleutel en de AppPrincialId in de uitvoer.

    Het is nu belangrijk dat u een kopie van deze symmetrische sleutel maakt. U kunt deze sleutel later niet ophalen, dus als u deze niet weet wanneer u zich de volgende dag moet verifiëren bij de Azure Rights Management-service, moet u een nieuwe service-principal maken.

Op basis van deze instructies en onze voorbeelden beschikken we nu over de drie id’s die nodig zijn om Set-RMSServerAuthentication uit te voeren:

  • Tenant-id: 23976bc6-dcd4-4173-9d96-dad1f48efd42

  • Symmetrische sleutel: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=

  • AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4

Onze voorbeeldopdracht ziet er als volgt uit:

Set-RMSServerAuthentication -Key zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=-AppPrincipalId b5e3f76a-b5c2-4c96-a594-a0807f65bba4-BposTenantId 23976bc6-dcd4-4173-9d96-dad1f48efd42

Zoals weergegeven in de vorige opdracht, kunt u de waarden opgeven met één opdracht, wat u in een script zou doen om niet-interactief uit te voeren. Maar voor testdoeleinden kunt u gewoon Set-RMSServerAuthentication typen en de waarden een voor een opgeven wanneer u hierom wordt gevraagd. Wanneer de opdracht is voltooid, werkt de client nu in de 'servermodus', die geschikt is voor niet-interactief gebruik, zoals scripts en infrastructuur voor Windows Server-bestandsclassificatie.

Overweeg om van dit service-principal-account een supergebruiker te maken: om ervoor te zorgen dat dit service-principal-account altijd de beveiliging van bestanden voor anderen kan opheffen, kan het worden geconfigureerd als een supergebruiker. Op dezelfde manier als u een standaardgebruikersaccount configureert als een supergebruiker, gebruikt u dezelfde Azure RMS-cmdlet, Add-AipServiceSuperUser, maar geeft u de parameter ServicePrincipalId op met uw AppPrincipalId-waarde.

Zie Supergebruikers configureren voor Azure Information Protection en detectieservices of gegevensherstel voor meer informatie over supergebruikers.

Notitie

Als u uw eigen account wilt gebruiken voor de verificatie bij de Azure Rights Management-service, hoeft u Set-RMSServerAuthentication niet uit te voeren voordat u bestanden beveiligt, de beveiliging van bestanden opheft of sjablonen ophaalt.

Vereiste 4: voor regio's buiten Noord-Amerika

Wanneer u een service-principal-account gebruikt om bestanden te beveiligen en sjablonen buiten de Azure Noord-Amerika-regio te downloaden, moet u het register bewerken:

  1. Voer de cmdlet Get-AipServiceConfiguration opnieuw uit en noteer de waarden voor CertificationExtranetDistributionPointUrl en LicensingExtranetDistributionPointUrl.

  2. Open de register-editor op elke computer waarop u de AzureInformationProtection-cmdlets uitvoert.

  3. Navigeer naar het volgende pad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation.

    Als u de MSIPC-sleutel of ServiceLocation-sleutel niet ziet, maakt u deze.

  4. Als de ServiceLocation-sleutel geen sleutels bevat, maat u de volgende twee sleutels: EnterpriseCertification en EnterprisePublishing.

    Voor de tekenreekswaarde die automatisch voor deze sleutels wordt gemaakt, wijzigt u niet de naam van '(standaard)', maar bewerkt u de tekenreeks om de waardegegevens in te stellen:

    • Plak voor EnterpriseCertification uw CertificationExtranetDistributionPointUrl-waarde.

    • Plak voor EnterprisePublishing uw LicensingExtranetDistributionPointUrl-waarde.

      De registervermelding voor EnterpriseCertification moet er bijvoorbeeld als volgt uitzien:

      Het register bewerken voor azure Information Protection PowerShell-module voor regio's buiten Noord-Amerika

  5. Sluit de Register-editor. U hoeft de computer niet opnieuw op te starten. Als u echter een service-principalaccount in plaats van uw eigen gebruikersaccount gebruikt, moet u de opdracht Set-RMSServerAuthentication uitvoeren nadat u deze registerbewerking hebt uitgevoerd.

Voorbeeldscenario's voor het gebruik van de cmdlets voor Azure Information Protection en de Azure Rights Management-service

Het is efficiënter om labels te gebruiken om bestanden te classificeren en te beveiligen, omdat er slechts twee cmdlets zijn die u zelf of samen kunt uitvoeren: Get-AIPFileStatus en Set-AIPFileLabel. Gebruik de Help voor deze beide cmdlets voor meer informatie en voorbeelden.

Als u bestanden wilt beveiligen of de beveiliging wilt opheffen door rechtstreeks verbinding met de Azure Rights Management-service te maken, moet u doorgaans een reeks cmdlets uitvoeren, zoals hierna wordt beschreven.

Als u zich eerst wilt verifiëren bij de Azure Rights Management-service met een service-principal-account in plaats van uw eigen account te gebruiken, typt u in een PowerShell-sessie:

Set-RMSServerAuthentication

Wanneer hierom wordt gevraagd, geeft u de drie id's op zoals beschreven in Vereiste 3: bestanden beveiligen of de beveiliging opheffen zonder tussenkomst van de gebruiker.

Voordat u bestanden kunt beveiligen, moet u Rights Management-sjablonen downloaden naar uw computer en bepalen welke sjabloon u moet gebruiken en wat daarvan de id is. U kunt vervolgens in de uitvoer de sjabloon-id kopiëren:

Get-RMSTemplate

De uitvoer ziet er ongeveer als volgt uit:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True

TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Als u de opdracht Set-RMSServerAuthentication niet hebt uitgevoerd, wordt voor de verificatie bij de Azure Rights Management-service uw eigen gebruikersaccount gebruikt. Als u een computer gebruikt die lid is van een domein, worden automatisch altijd uw huidige referenties gebruikt. Als u een werkgroepcomputer gebruikt, wordt u gevraagd zich aan te melden bij Azure en worden deze referenties voor de volgende opdrachten opgeslagen in het cachegeheugen. Als u zich in dit scenario later moet aanmelden als een andere gebruiker, gebruikt u de cmdlet Clear-RMSAuthentication.

Nu u weet wat de sjabloon-id is, kunt u deze gebruiken in met de cmdlet Protect-RMSFile om één of alle bestanden in een map te beveiligen. Als u bijvoorbeeld slechts één bestand wilt beveiligen en het origineel wilt overschrijven door gebruik te maken van de sjabloon Contoso, Ltd - Vertrouwelijk:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

De uitvoer ziet er ongeveer als volgt uit:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

Als u alle bestanden in een map wilt beveiligen, gebruikt u de parameter -Folder met een stationsletter en pad, of UNC-pad. Bijvoorbeeld:

Protect-RMSFile -Folder \Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

De uitvoer ziet er ongeveer als volgt uit:

InputFile                          EncryptedFile
---------                          -------------
\Server1\Documents\Test1.docx     \Server1\Documents\Test1.docx
\Server1\Documents\Test2.docx     \Server1\Documents\Test2.docx
\Server1\Documents\Test3.docx     \Server1\Documents\Test3.docx
\Server1\Documents\Test4.docx     \Server1\Documents\Test4.docx

Wanneer de bestandsextensie niet wordt gewijzigd nadat de beveiliging is toegepast, kunt u later altijd de cmdlet Get-RMSFileStatus gebruiken om te controleren of het bestand is beveiligd. Bijvoorbeeld:

Get-RMSFileStatus -File \Server1\Documents\Test1.docx

De uitvoer ziet er ongeveer als volgt uit:

FileName                              Status
--------                              ------
\Server1\Documents\Test1.docx         Protected

Als u de beveiliging van een bestand wilt opheffen, moet u beschikken over eigenaars- of uitpakrechten op het moment dat het bestand is beveiligd. Of u moet de cmdlets uitvoeren als supergebruiker. Gebruik vervolgens de cmdlet Unprotect. Bijvoorbeeld:

Unprotect-RMSFile C:\test.docx -InPlace

De uitvoer ziet er ongeveer als volgt uit:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Als de Rights Management-sjablonen worden gewijzigd, moet u ze opnieuw downloaden met Get-RMSTemplate -force.

Active Directory Rights Management Services

Lees deze sectie voordat u de PowerShell-opdrachten gebruikt om bestanden te beveiligen of de beveiliging op te heffen wanneer uw organisatie alleen Active Directory Rights Management-services gebruikt.

Vereisten

Naast de vereisten voor het installeren van de AzureInformationProtection-module, moet het account dat wordt gebruikt om bestanden te beveiligen of de beveiliging op te heffen, de machtigingen Lezen en Uitvoeren hebben voor toegang tot ServerCertification.asmx:

  1. Meld u bij een AD RMS-server.

  2. Klik op Start en klik vervolgens op Computer.

  3. Navigeer in Bestandenverkenner naar %systemdrive%\Initpub\wwwroot_wmsc\Certification.

  4. Klik met de rechtermuisknop op ServerCertification.asmx en klik vervolgens op Eigenschappen.

  5. Klik in het dialoogvenster Eigenschappen van ServerCertification.asmx op het tabblad Beveiliging.

  6. Klik op de knop Doorgaan of Bewerken.

  7. Klik in het dialoogvenster Machtigingen voor ServerCertification.asmx op Toevoegen.

  8. Voeg uw accountnaam toe. Als andere AD RMS-beheerders of -serviceaccounts deze cmdlets ook gebruiken om bestanden te beveiligen en de beveiliging op te heffen, voegt u deze accounts ook toe.

    Als u bestanden niet-interactief wilt beveiligen of de beveiliging wilt opheffen, voegt u het relevante computeraccount of de relevante computeraccounts toe. Voeg bijvoorbeeld het computeraccount toe van de Windows Server-computer die is geconfigureerd voor infrastructuur voor bestandsclassificatie en die een PowerShell-script gebruikt om bestanden te beveiligen.

  9. Zorg ervoor dat in de kolom Toestaan de selectievakjes Lezen en uitvoeren en Lezen zijn ingeschakeld.

10. Klik twee keer op OK.

Voorbeeldscenario's voor het gebruik van de cmdlets voor Active Directory Rights Management Services

Een veelvoorkomend scenario voor deze cmdlets is een scenario waarbij all bestanden in een map moeten worden beveiligd met een rechtenbeleidssjabloon of de beveiliging van een bestand moet worden opgeheven.

Als u meerdere AD RMS-implementaties hebt, hebt u de namen van uw AD RMS-servers nodig. U kunt de cmdlet Get-RMSServer gebruiken om een lijst met beschikbare servers weer te geven:

Get-RMSServer

De uitvoer ziet er ongeveer als volgt uit:

Number of RMS Servers that can provide templates: 2 
ConnectionInfo             DisplayName          AllowFromScratch
--------------             -------------        ----------------
Microsoft.InformationAnd…  RmsContoso                       True
Microsoft.InformationAnd…  RmsFabrikam                      True

Voordat u bestanden kunt beveiligen, moet u een lijst met de RMS-sjablonen ophalen om te bepalen welke sjabloon en bijbehorend id-nummer u wilt gebruiken. Alleen wanneer u meer dan één AD RMS-implementatie hebt, moet u ook de RMS-server opgeven.

U kunt vervolgens in de uitvoer de sjabloon-id kopiëren:

Get-RMSTemplate -RMSServer RmsContoso

De uitvoer ziet er ongeveer als volgt uit:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True

TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Nu u weet wat de sjabloon-id is, kunt u deze gebruiken in met de cmdlet Protect-RMSFile om één of alle bestanden in een map te beveiligen. Als u bijvoorbeeld slechts één bestand wilt beveiligen en het origineel wilt vervangen door gebruik te maken van de sjabloon Contoso, Ltd - Vertrouwelijk:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

De uitvoer ziet er ongeveer als volgt uit:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx   

Als u alle bestanden in een map wilt beveiligen, gebruikt u de parameter -Folder met een stationsletter en pad, of UNC-pad. Bijvoorbeeld:

Protect-RMSFile -Folder \\Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

De uitvoer ziet er ongeveer als volgt uit:

InputFile                          EncryptedFile
---------                          -------------
\\Server1\Documents\Test1.docx     \\Server1\Documents\Test1.docx   
\\Server1\Documents\Test2.docx     \\Server1\Documents\Test2.docx   
\\Server1\Documents\Test3.docx     \\Server1\Documents\Test3.docx   
\\Server1\Documents\Test4.docx     \\Server1\Documents\Test4.docx   

Wanneer de bestandsnaamextensie niet verandert nadat de beveiliging is toegepast, kunt u altijd de cmdlet Get-RMSFileStatus later gebruiken om te controleren of het bestand is beveiligd. Bijvoorbeeld:

Get-RMSFileStatus -File \\Server1\Documents\Test1.docx

De uitvoer ziet er ongeveer als volgt uit:

FileName                              Status
--------                              ------
\\Server1\Documents\Test1.docx        Protected

Als u de beveiliging van een bestand wilt opheffen, moet u beschikken over de gebruiksrechten Eigenaar of Extraheren van toen het bestand werd beveiligd, of moet u supergebruiker zijn voor AD RMS. Gebruik vervolgens de cmdlet Unprotect. Bijvoorbeeld:

Unprotect-RMSFile C:\test.docx -InPlace

De uitvoer ziet er ongeveer als volgt uit:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Bestanden niet-interactief labelen voor Azure Information Protection

U kunt de cmdlets voor labelen niet-interactief uitvoeren met behulp van de cmdlet Set-AIPAuthentication . Er is ook een niet-interactieve bewerking vereist voor de Azure Information Protection-scanner.

Wanneer u de cmdlets voor labelen uitvoert, worden de opdrachten standaard uitgevoerd in uw eigen gebruikerscontext in een interactieve PowerShell-sessie. Als u de opdrachten zonder toezicht wilt uitvoeren, maakt u een nieuw Azure AD-gebruikersaccount voor dit doel. Vervolgens voert u in de context van die gebruiker de cmdlet Set-AIPAuthentication uit om referenties in te stellen en op te slaan met een toegangstoken van Azure AD. Dit gebruikersaccount wordt vervolgens geverifieerd en er wordt opnieuw opgestart voor de Azure Rights Management-service. Met het account wordt het Azure Information Protection-beleid en alle Rights Management-sjablonen die gebruikmaken van de labels, gedownload.

Notitie

Als u beleidsregels met een bereik gebruikt, moet u dit account mogelijk toevoegen aan uw bereikbeleid.

De eerste keer dat u deze cmdlet uitvoert, wordt u gevraagd u aan te melden voor Azure Information Protection. Geef de naam en het wachtwoord van het gebruikersaccount op die u voor de gebruiker zonder toezicht hebt gemaakt. Daarna kunnen met dit account cmdlets voor labelen niet-interactief worden uitgevoerd totdat het verificatietoken is verlopen.

Als het gebruikersaccount zich deze eerste keer interactief kan aanmelden, moet het account het recht Lokaal aanmelden hebben. Dit recht is standaard voor gebruikersaccounts, maar uw bedrijfsbeleid kan deze configuratie voor serviceaccounts verbieden. Als dat het geval is, kunt u Set-AIPAuthentication uitvoeren met de parameter Token , zodat de verificatie wordt voltooid zonder de aanmeldingsprompt. U kunt deze opdracht uitvoeren als een geplande taak en het account de rechterbenedenhoek van Aanmelden als batchtaak verlenen. Zie de volgende secties voor meer informatie.

Wanneer het token is verlopen, voert u de cmdlet opnieuw uit om een nieuw token te verkrijgen.

Als u deze cmdlet zonder parameters uitvoert, wordt met het account een toegangstoken opgehaald dat gedurende 90 dagen geldig is of totdat uw wachtwoord is verlopen.

Als u wilt bepalen wanneer het toegangstoken is verlopen, voert u deze cmdlet uit met parameters. U kunt dan configureren dat het toegangstoken één of twee jaar geldig is of dat het nooit verloopt. Voor deze configuratie moeten er twee toepassingen bij Azure Active Directory zijn geregistreerd: A Web-app/API-toepassing en een systeemeigen toepassing. Voor de parameters voor deze cmdlet worden waarden van deze toepassingen gebruikt.

Nadat u deze cmdlet hebt uitgevoerd, kunt u de cmdlets voor labelen uitvoeren in de context van het gebruikersaccount dat u hebt gemaakt.

De Azure AD-toepassingen voor Set-AIPAuthentication maken en configureren

  1. Meld u in een nieuw browservenster aan bij Azure Portal.

  2. Voor de Azure AD tenant die u gebruikt met Azure Information Protection, gaat u naar Azure Active Directory>beheren>App-registraties.

  3. Selecteer + Nieuwe registratie om uw web-app/API-toepassing te maken. Geef in het deelvenster Een toepassing registreren de volgende waarden op en klik vervolgens op Registreren:

    • Naam: AIPOnBehalfOf

      U kunt desgewenst een andere naam opgeven. Deze naam moet uniek voor de tenant zijn.

    • Ondersteunde accounttypen: alleen accounts in deze organisatiemap

    • Omleidings-URI (optioneel): Web en http://localhost

  4. Kopieer in het deelvenster AIPOnBehalfOf de waarde voor de toepassings-id (client). De waarde ziet er ongeveer uit als in het volgende voorbeeld: 57c3c1c3-abf9-404e-8b2b-4652836c8c66. Deze waarde wordt gebruikt voor de parameter WebAppId wanneer u de cmdlet Set-AIPAuthentication uitvoert. Plak de waarde en sla deze op voor later gebruik.

  5. In het deelvenster AIPOnBehalfOf selecteert u verificatie in het menu Beheren.

  6. Schakel in het deelvenster AIPOnBehalfOf - Verificatie in de sectie Geavanceerde instellingen het selectievakje Id-tokens in en selecteer vervolgens Opslaan.

  7. Selecteer in het deelvenster AIPOnBehalfOf - Verificatie in het menu Beherende optie Certificaten & geheimen.

  8. Selecteer in het deelvenster AIPOnBehalfOf - Certificaten & geheimen in de sectie Clientgeheimen de optie + Nieuw clientgeheim.

  9. Geef bij Een clientgeheim toevoegen het volgende op en selecteer vervolgens Toevoegen:

    • Beschrijving: Azure Information Protection client
    • Verloopt: geef de gewenste duur op (1 jaar, 2 jaar of nooit verlopen)
  10. Terug in het deelvenster AIPOnBehalfOf - Certificaten & geheimen , kopieert u in de sectie Clientgeheimen de tekenreeks voor de WAARDE. Deze tekenreeks lijkt op het volgende voorbeeld: +LBkMvddz?WrlNCK5v0e6_=meM59sSAn. Als u er zeker van wilt zijn dat u alle tekens kopieert, selecteert u het pictogram Kopiëren naar klembord.

    Het is belangrijk dat u deze tekenreeks opslaat omdat deze niet opnieuw wordt weergegeven en niet kan worden opgehaald. Net als bij alle gevoelige informatie die u gebruikt, slaat u de opgeslagen waarde veilig op en beperkt u de toegang tot de waarde.

  11. In het deelvenster AIPOnBehalfOf - Certificaten & geheimen selecteert u in het menu Beheren de optie Een API beschikbaar maken.

  12. Selecteer in het deelvenster AIPOnBehalfOf - Een API beschikbaar makende optie Instellen voor de URI-optie Toepassings-iden wijzig api in de waarde van de URI van toepassings-id in http. Deze tekenreeks lijkt op het volgende voorbeeld: http://d244e75e-870b-4491-b70d-65534953099e.

    Selecteer Opslaan.

  13. Terug in het deelvenster AIPOnBehalfOf - Een API beschikbaar maken selecteert u + Een bereik toevoegen.

  14. Geef in het deelvenster Een bereik toevoegen het volgende op met behulp van de voorgestelde tekenreeksen als voorbeelden en selecteer vervolgens Bereik toevoegen:

    • Naam van bereik: user-impersonation
    • Wie kan toestemming verlenen? : Beheerders en gebruikers
    • Weergavenaam van beheerderstoestemming: Access Azure Information Protection scanner
    • Beschrijving van beheerderstoestemming: Allow the application to access the scanner for the signed-in user
    • Weergavenaam van gebruikerstoestemming: Access Azure Information Protection scanner
    • Beschrijving van gebruikerstoestemming: Allow the application to access the scanner for the signed-in user
    • Status: Ingeschakeld (de standaardinstelling)
  15. Terug in het deelvenster AIPOnBehalfOf - Een API beschikbaar maken, sluit u dit deelvenster.

  16. Selecteer API-machtigingen.

  17. Selecteer in het deelvenster AIPOnBehalfOf | API-machtigingende optie + Een machtiging toevoegen.

  18. Kies Azure Right Management, selecteer Gedelegeerde machtigingen en selecteer vervolgens Beveiligde inhoud voor gebruikers maken en openen.

  19. Klik op Een machtiging toevoegen.

  20. Ga terug naar het deelvenster API-machtigingenen selecteerGrant admin consent for <your tenant name> in de sectie Toestemming verlenen ja voor de bevestigingsprompt.

  21. Selecteer in het deelvenster App-registraties+ Registratie van nieuwe toepassing om nu uw systeemeigen toepassing te maken.

  22. Geef in het deelvenster Een toepassing registreren de volgende instellingen op en selecteer vervolgens Registreren:

    • Naam: AIPClient
    • Ondersteunde accounttypen: alleen accounts in deze organisatiemap
    • Omleidings-URI (optioneel): openbare client (mobiele & desktop) en http://localhost
  23. Kopieer in het deelvenster AIPClient de waarde van de toepassings-id (client-id). De waarde ziet er ongeveer uit als in het volgende voorbeeld: 8ef1c873-9869-4bb1-9c11-8313f9d7f76f.

    Deze waarde wordt gebruikt voor de parameter NativeAppId wanneer u de cmdlet Set-AIPAuthentication uitvoert. Plak de waarde en sla deze op voor later gebruik.

  24. Selecteer in het deelvenster AIPClient in het menu Beheren de optie Verificatie.

  25. Selecteer in het deelvenster AIPClient - Verificatie in het menu Beheren de optie API-machtigingen.

  26. Selecteer in het deelvenster AIPClient - machtigingen de optie + Een machtiging toevoegen.

  27. Selecteer in het deelvenster API-machtigingen aanvragende optie Mijn API's.

  28. Selecteer in de sectie Een API selecterende optie APIOnBehalfOf en schakel vervolgens het selectievakje voor gebruikersimitatie in als de machtiging. Selecteer Machtigingen toevoegen.

  29. Selecteer in het deelvenster API-machtigingen in de sectie Toestemming verlenen de optie Beheerderstoestemming verlenen voor <uw tenantnaam> en selecteer Ja voor de bevestigingsprompt.

U hebt nu de configuratie van de twee apps voltooid en u hebt de waarden die u nodig hebt om Set-AIPAuthentication uit te voeren met de parameters WebAppId, WebAppKey en NativeAppId. Uit onze voorbeelden:

Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "+LBkMvddz?WrlNCK5v0e6_=meM59sSAn" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f"

Voer deze opdracht uit in de context van het account waarmee de documenten niet-interactief worden gelabeld en beveiligd. Bijvoorbeeld een gebruikersaccount voor uw PowerShell-scripts of het serviceaccount om de Azure Information Protection-scanner uit te voeren.

Wanneer u deze opdracht voor de eerste keer uitvoert, wordt u gevraagd u aan te melden. Hierdoor wordt het toegangstoken voor uw account gemaakt en veilig opgeslagen in %localappdata%\Microsoft\MSIP. Na deze eerste aanmelding kunt u bestanden labelen en beveiligen die niet-interactief zijn op de computer. Als u echter een serviceaccount gebruikt om bestanden te labelen en te beveiligen en dit serviceaccount kan zich niet interactief aanmelden, gebruikt u de instructies in de volgende sectie, zodat het serviceaccount kan worden geverifieerd met behulp van een token.

Specify and use the Token parameter for Set-AIPAuthentication (De Token-parameter opgeven en gebruiken voor Set-AIPAuthentication)

Gebruik de volgende aanvullende stappen en instructies om de eerste interactieve aanmelding te voorkomen voor een account waarmee bestanden worden gelabeld en beveiligd. Normaal gesproken zijn deze aanvullende stappen alleen vereist als aan dit account het recht Lokaal aanmelden niet kan worden verleend, maar het recht Aanmelden als een batchtaak wordt verleend. Dit kan bijvoorbeeld het geval zijn voor uw serviceaccount waarop de Azure Information Protection-scanner wordt uitgevoerd.

Stappen op hoog niveau:

  1. Maak een PowerShell-script op uw lokale computer.

  2. Voer Set-AIPAuthentication uit om een toegangstoken op te halen en kopieer het naar het klembord.

  3. Wijzig het PowerShell-script zodat het token wordt opgenomen.

  4. Maak een taak waarmee het PowerShell-script wordt uitgevoerd in de context van het serviceaccount waarmee bestanden worden gelabeld en beveiligd.

  5. Controleer of het token is opgeslagen voor het serviceaccount en verwijder het PowerShell-script.

Stap 1: Een PowerShell-script maken op uw lokale computer

  1. Maak op uw computer een nieuw PowerShell-script met de naam Aipauthentication.ps1.

  2. Kopieer en plak de volgende opdracht in dit script:

    Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application> -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application > -Token <token value>
    
  3. Wijzig deze opdracht met behulp van de instructies in de vorige sectie door uw eigen waarden op te geven voor de parameters WebAppId, WebAppkey en NativeAppId . Op dit moment beschikt u niet over de waarde voor de tokenparameter , die u later opgeeft.

    Bijvoorbeeld:

    Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>
    

Stap 2: voer Set-AIPAuthentication uit om een toegangstoken op te halen en naar het Klembord te kopiëren

  1. Open een Windows PowerShell-sessie.

  2. Voer de volgende opdracht uit met dezelfde waarden die u in het script hebt opgegeven:

    (Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application>  -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application >).token | clip
    

    Bijvoorbeeld:

    (Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clip`
    

Stap 3: Het PowerShell-script wijzigen om het token op te geven

  1. Geef in uw PowerShell-script de waarde van het token op door de tekenreeks vanaf het klembord te plakken en sla het bestand op.

  2. Onderteken het script. Als u het script niet ondertekent (veiliger), moet u Windows PowerShell configureren op de computer waarop de labelopdrachten worden uitgevoerd. Voer bijvoorbeeld een Windows PowerShell-sessie uit met de optie Als administrator uitvoeren en typ: Set-ExecutionPolicy RemoteSigned. Met deze configuratie kunnen echter alle niet-ondertekende scripts worden uitgevoerd wanneer ze op deze computer worden opgeslagen (minder veilig).

    Zie about_Signing in de PowerShell-documentatiebibliotheek voor meer informatie over het ondertekenen van Windows PowerShell-scripts.

  3. Kopieer dit PowerShell-script naar de computer die bestanden labelt en beveiligt, en verwijder het origineel van uw computer. U kopieert bijvoorbeeld het PowerShell-script naar C:\Scripts\Aipauthentication.ps1 op een Windows Server-computer.

Stap 4: Een taak maken waarmee het PowerShell-script wordt uitgevoerd

  1. Zorg ervoor dat het serviceaccount waarmee bestanden worden gelabeld en beveiligd, het recht Aanmelden als batchtaak heeft.

  2. Open Task Scheduler op de computer waarop bestanden worden gelabeld en beveiligd en maak een nieuwe taak. Configureer deze taak om uit te voeren als het serviceaccount waarmee bestanden worden gelabeld en beveiligd. Configureer vervolgens de volgende waarden voor de acties:

    • Actie: Start a program

    • Programma/script: Powershell.exe

    • Argumenten toevoegen (optioneel): -NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"

      Geef voor de argumentregel uw eigen pad en bestandsnaam op, als deze afwijken van het voorbeeld.

  3. Voer deze taak handmatig uit.

Stap 5: Controleer of het token is opgeslagen en verwijder het PowerShell-script

  1. Controleer of het token nu is opgeslagen in de map %localappdata%\Microsoft\MSIP voor het serviceaccountprofiel. Deze waarde wordt beveiligd door het serviceaccount.

  2. Verwijder het PowerShell-script dat de tokenwaarde bevat (bijvoorbeeld Aipauthentication.ps1).

    Verwijder de taak desgewenst. Als uw token verloopt, moet u dit proces herhalen. In dat geval is het misschien handiger om de geconfigureerde taak te laten staan, zodat deze klaar is om opnieuw uit te voeren wanneer u het nieuwe PowerShell-script kopieert met de waarde van het nieuwe token.

Volgende stappen

Als u Help-informatie voor een cmdlet wilt weergeven terwijl een PowerShell-sessie actief is, typt u Get-Help <cmdlet name> cmdlet en gebruikt u de parameter -online om de meest actuele informatie te lezen. Bijvoorbeeld:

Get-Help Get-RMSTemplate -online

Zie het volgende voor aanvullende informatie die u mogelijk nodig hebt om de Azure Information Protection-client te ondersteunen: