Konfigurowanie klienta ochrony informacji przy użyciu programu PowerShell
Opis
Zawiera instrukcje dotyczące instalowania Microsoft Purview Information Protection klienta i poleceń cmdlet programu PowerShell przy użyciu programu PowerShell.
Używanie programu PowerShell z klientem Microsoft Purview Information Protection
Moduł Microsoft Purview Information Protection jest instalowany z klientem ochrony informacji. Skojarzony moduł programu PowerShell to PurviewInformationProtection.
Moduł PurviewInformationProtection umożliwia zarządzanie klientem za pomocą poleceń i skryptów automatyzacji; na przykład:
- Install-Scanner: instaluje i konfiguruje usługę skanera Information Protection na komputerze z systemem Windows Server 2019, Windows Server 2016 lub Windows Server 2012 R2.
- Get-FileStatus: pobiera etykietę Information Protection i informacje o ochronie dla określonego pliku lub plików.
- Skanowanie początkowe: nakazuje skanerowi ochrony informacji rozpoczęcie jednorazowego cyklu skanowania.
- Set-FileLabel -Autolabel: skanuje plik, aby automatycznie ustawić etykietę ochrony informacji dla pliku zgodnie z warunkami skonfigurowanymi w zasadach.
Instalowanie modułu PurviewInformationProtection programu PowerShell
Wymagania wstępne instalacji
- Ten moduł wymaga Windows PowerShell 4.0. To wymaganie wstępne nie jest sprawdzane podczas instalacji. Upewnij się, że masz zainstalowaną poprawną wersję programu PowerShell.
- Upewnij się, że masz najnowszą wersję modułu PurviewInformationProtection programu PowerShell, uruchamiając polecenie
Import-Module PurviewInformationProtection
.
Szczegóły instalacji
Instalujesz i konfigurujesz klienta ochrony informacji i skojarzone polecenia cmdlet przy użyciu programu PowerShell.
Moduł PurviewInformationProtection programu PowerShell jest instalowany automatycznie po zainstalowaniu pełnej wersji klienta ochrony informacji. Alternatywnie moduł można zainstalować tylko przy użyciu parametru PowerShellOnly=true .
Moduł jest instalowany w folderze \ProgramFiles (x86)\PurviewInformationProtection , a następnie dodaje ten folder do zmiennej systemowej PSModulePath
.
Ważne
Moduł PurviewInformationProtection nie obsługuje konfigurowania ustawień zaawansowanych dla etykiet ani zasad etykiet.
Aby użyć poleceń cmdlet o długości ścieżki większej niż 260 znaków, użyj następującego ustawienia zasad grupy, które jest dostępne począwszy od Windows 10, wersja 1607:
Zasady >komputera lokalnegoKonfiguracja> komputeraSzablony> administracyjneWszystkie ustawienia>Włączanie długich ścieżek Win32
W przypadku Windows Server 2016 można użyć tego samego ustawienia zasad grupy podczas instalowania najnowszych szablonów administracyjnych (admx) dla Windows 10.
Aby uzyskać więcej informacji, zobacz sekcję Ograniczenie maksymalnej długości ścieżki w dokumentacji dewelopera Windows 10.
Omówienie wymagań wstępnych modułu PurviewInformationProtection programu PowerShell
Oprócz wymagań wstępnych instalacji modułu PurviewInformationProtection należy również aktywować usługę Azure Rights Management.
W niektórych przypadkach możesz usunąć ochronę z plików innych, które korzystają z własnego konta. Możesz na przykład usunąć ochronę innych osób ze względu na odnajdywanie lub odzyskiwanie danych. Jeśli używasz etykiet do stosowania ochrony, możesz usunąć tę ochronę, ustawiając nową etykietę, która nie ma zastosowania ochrony, lub możesz usunąć etykietę.
W takich przypadkach należy spełnić następujące wymagania:
- Funkcja superu użytkownika musi być włączona dla organizacji.
- Konto musi być skonfigurowane jako administrator usługi Azure Rights Management.
Uruchamianie poleceń cmdlet etykietowania ochrony informacji nienadzorowanych
Domyślnie polecenia cmdlet służące do etykietowania są uruchamiane we własnym kontekście użytkownika w interaktywnej sesji programu PowerShell. Aby automatycznie uruchamiać polecenia cmdlet etykietowania poufności, przeczytaj następujące sekcje:
- Informacje o wymaganiach wstępnych dotyczących uruchamiania poleceń cmdlet etykietowania nienadzorowanych
- Twórca i konfigurowanie aplikacji Microsoft Entra do ustawiania uwierzytelniania
- Uruchamianie polecenia cmdlet Set-Authentication
Informacje o wymaganiach wstępnych dotyczących uruchamiania poleceń cmdlet etykietowania nienadzorowanych
Aby uruchomić polecenia cmdlet etykietowania nienadzorowane w usłudze Purview Information Protection, użyj następujących szczegółów dostępu:
Konto systemu Windows , które może się zalogować interaktywnie.
Konto Microsoft Entra na potrzeby dostępu delegowanego. Aby ułatwić administrowanie, użyj pojedynczego konta, które synchronizuje się z usługą Active Directory do Tożsamość Microsoft Entra.
W przypadku konta użytkownika delegowanego skonfiguruj następujące wymagania:
Wymaganie Szczegóły Zasady etykiet Upewnij się, że masz przypisane zasady etykiet do tego konta i że zasady zawierają opublikowane etykiety, których chcesz użyć.
Jeśli używasz zasad etykiet dla różnych użytkowników, może być konieczne utworzenie nowych zasad etykiet, które publikują wszystkie etykiety, i publikowanie zasad tylko na tym delegowanym koncie użytkownika.Odszyfrowywanie zawartości Jeśli to konto musi odszyfrować zawartość, na przykład w celu ponownego włączenia ochrony plików i inspekcji plików chronionych przez inne osoby, upewnij się, że jest to administrator Information Protection i upewnij się, że funkcja administratora jest włączona. Kontrolki dołączania Jeśli zaimplementowano kontrolki dołączania do wdrożenia etapowego, upewnij się, że to konto jest uwzględnione w skonfigurowanych kontrolkach dołączania. Token dostępu Microsoft Entra, który ustawia i przechowuje poświadczenia dla delegowanego użytkownika w celu uwierzytelnienia w Microsoft Purview Information Protection. Po wygaśnięciu tokenu w Tożsamość Microsoft Entra należy ponownie uruchomić polecenie cmdlet, aby uzyskać nowy token.
Parametry ustawiania uwierzytelniania używają wartości z procesu rejestracji aplikacji w Tożsamość Microsoft Entra. Aby uzyskać więcej informacji, zobacz Twórca i konfigurowanie aplikacji Microsoft Entra na potrzeby uwierzytelniania set-authentication.
Uruchom polecenia cmdlet etykietowania nieinterakcyjne, uruchamiając najpierw polecenie cmdlet Set-Authentication .
Komputer z poleceniem cmdlet Set-Authentication pobiera zasady etykietowania przypisane do delegowanego konta użytkownika w portal zgodności Microsoft Purview.
Twórca i konfigurowanie aplikacji Microsoft Entra dla Set-Authentication
Polecenie cmdlet Set-Authentication wymaga rejestracji aplikacji dla parametrów AppId i AppSecret .
Aby utworzyć nową rejestrację aplikacji dla polecenia cmdlet Set-Authentication klienta ujednoliconego etykietowania:
W nowym oknie przeglądarki zaloguj się Azure Portal do dzierżawy Microsoft Entra używanej z Microsoft Purview Information Protection.
Przejdź do Tożsamość Microsoft Entra>Manage>Rejestracje aplikacji i wybierz pozycję Nowa rejestracja.
W okienku Rejestrowanie aplikacji określ następujące wartości, a następnie wybierz pozycję Zarejestruj:
Opcja Wartość Nazwa AIP-DelegatedUser
Określ inną nazwę zgodnie z potrzebami. Nazwa musi być unikatowa dla każdej dzierżawy.Obsługiwane typy kont Wybierz pozycję Konta tylko w tym katalogu organizacyjnym. Identyfikator URI przekierowania (opcjonalnie) Wybierz pozycję Sieć Web, a następnie wprowadź wartość https://localhost
.W okienku AIP-DelegatedUser skopiuj wartość identyfikatora aplikacji (klienta).
Wartość wygląda podobnie do następującego przykładu:
77c3c1c3-abf9-404e-8b2b-4652836c8c66
.Ta wartość jest używana dla parametru AppId podczas uruchamiania polecenia cmdlet Set-Authentication . Wklej i zapisz wartość dla późniejszego odwołania.
Na pasku bocznym wybierz pozycję Zarządzaj>certyfikatami & wpisami tajnymi.
Następnie w okienku AIP-DelegatedUser — certyfikaty & wpisy tajne w sekcji Wpisy tajne klienta wybierz pozycję Nowy klucz tajny klienta.
W obszarze Dodaj klucz tajny klienta określ następujące polecenie, a następnie wybierz pozycję Dodaj:
Pole Wartość Opis Microsoft Purview Information Protection client
Wygasa Określ wybór czasu trwania (1 rok, 2 lata lub nigdy nie wygasa) Wróć do okienka AIP-DelegatedUser — certyfikaty & wpisów tajnych w sekcji Wpisy tajne klienta skopiuj ciąg wartości.
Ten ciąg wygląda podobnie do następującego przykładu:
OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4
.Aby upewnić się, że skopiujesz wszystkie znaki, wybierz ikonę , aby skopiować do schowka.
Ważne
Zapisz ten ciąg, ponieważ nie jest wyświetlany ponownie i nie można go pobrać. Podobnie jak w przypadku wszelkich używanych informacji poufnych, zapisz zapisaną wartość bezpiecznie i ogranicz dostęp do niej.
Na pasku bocznym wybierz pozycję Zarządzaj uprawnieniami>interfejsu API.
W okienku AIP-DelegatedUser — uprawnienia interfejsu API wybierz pozycję Dodaj uprawnienie.
W okienku Żądania uprawnień interfejsu API upewnij się, że jesteś na karcie Interfejsy API firmy Microsoft , a następnie wybierz pozycję Azure Rights Management Services.
Po wyświetleniu monitu o typ uprawnień wymaganych przez aplikację wybierz pozycję Uprawnienia aplikacji.
W obszarze Wybierz uprawnienia rozwiń węzeł Zawartość i wybierz następujące pozycje, a następnie wybierz pozycję Dodaj uprawnienia.
- Content.DelegatedReader
- Content.DelegatedWriter
Wróć do okienka AIP-DelegatedUser — uprawnienia interfejsu API , wybierz ponownie pozycję Dodaj uprawnienie .
W okienku Żądania uprawnień usługi AIP wybierz pozycję Interfejsy API używane przez moją organizację i wyszukaj usługę synchronizacji microsoft Information Protection.
W okienku Żądania uprawnień interfejsu API wybierz pozycję Uprawnienia aplikacji.
W obszarze Wybierz uprawnienia rozwiń węzeł UnifiedPolicy, wybierz pozycję UnifiedPolicy.Tenant.Read, a następnie wybierz pozycję Dodaj uprawnienia.
Wróć do okienka AIP-DelegatedUser — uprawnienia interfejsu API , wybierz pozycję Udziel zgody administratora dla dzierżawy i wybierz pozycję Tak , aby wyświetlić monit o potwierdzenie.
Po wykonaniu tego kroku rejestracja tej aplikacji z wpisem tajnym zostanie zakończona. Możesz uruchomić polecenie Set-Authentication z parametrami AppId i AppSecret. Ponadto potrzebny jest identyfikator dzierżawy.
Porada
Identyfikator dzierżawy można szybko skopiować przy użyciu Azure Portal: Tożsamość Microsoft Entra>Manage>Properties>Directory ID.
Uruchamianie polecenia cmdlet Set-Authentication
Otwórz Windows PowerShell za pomocą opcji Uruchom jako administrator.
W sesji programu PowerShell utwórz zmienną do przechowywania poświadczeń konta użytkownika systemu Windows, które działa nieinterakcyjnie. Jeśli na przykład utworzono konto usługi dla skanera:
$pscreds = Get-Credential "CONTOSO\srv-scanner"
Zostanie wyświetlony monit o podanie hasła tego konta.
Uruchom polecenie cmdlet Set-Authentication z parametrem OnBeHalfOf , określając jako wartość utworzoną zmienną.
Określ również wartości rejestracji aplikacji, identyfikator dzierżawy i nazwę delegowanego konta użytkownika w Tożsamość Microsoft Entra. Na przykład:
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds