Udostępnij za pośrednictwem

Konfigurowanie klienta usługi Information Protection przy użyciu programu PowerShell

Opis

Zawiera instrukcje dotyczące instalowania klienta Microsoft Purview Information Protection i poleceń cmdlet programu PowerShell przy użyciu programu PowerShell.

Używanie programu PowerShell z klientem Microsoft Purview Information Protection

Moduł Microsoft Purview Information Protection jest instalowany z klientem ochrony informacji. Skojarzony moduł programu PowerShell to PurviewInformationProtection.

Moduł PurviewInformationProtection umożliwia zarządzanie klientem za pomocą poleceń i skryptów automatyzacji; na przykład:

  • Install-Scanner: instaluje i konfiguruje usługę Information Protection Scanner na komputerze z systemem Windows Server 2019, Windows Server 2016 lub Windows Server 2012 R2.
  • Get-FileStatus: pobiera etykietę Information Protection i informacje o ochronie dla określonego pliku lub plików.
  • Start-Scan: Nakazuje skanerowi ochrony informacji rozpoczęcie jednorazowego cyklu skanowania.
  • Set-FileLabel -Autolabel: skanuje plik w celu automatycznego ustawienia etykiety ochrony informacji dla pliku, zgodnie z warunkami skonfigurowanymi w zasadach.

Instalowanie modułu programu PowerShell PurviewInformationProtection

Wymagania wstępne instalacji

  • Ten moduł wymaga programu Windows PowerShell 4.0. Ten warunek wstępny nie jest sprawdzany podczas instalacji. Upewnij się, że masz zainstalowaną poprawną wersję programu PowerShell.
  • Upewnij się, że masz najnowszą wersję modułu programu PowerShell PurviewInformationProtection, uruchamiając polecenie Import-Module PurviewInformationProtection.

Szczegóły instalacji

Klienta usługi Information Protection i skojarzone polecenia cmdlet można zainstalować i skonfigurować przy użyciu programu PowerShell.

Moduł programu PowerShell PurviewInformationProtection jest instalowany automatycznie po zainstalowaniu pełnej wersji klienta ochrony informacji. Alternatywnie można zainstalować moduł tylko przy użyciu parametru PowerShellOnly=true .

Moduł jest instalowany w folderze \ProgramFiles (x86)\PurviewInformationProtection , a następnie dodaje ten folder do zmiennej systemowej PSModulePath .

Ważne

Moduł PurviewInformationProtection nie obsługuje konfigurowania zaawansowanych ustawień etykiet ani zasad etykiet.

Aby używać poleceń cmdlet ze ścieżkami o długości większej niż 260 znaków, użyj następującego ustawienia zasad grupy , które jest dostępne począwszy od systemu Windows 10 w wersji 1607:

Zasady> komputera lokalnegoKonfiguracja> komputeraSzablony administracyjne>Wszystkie ustawienia>Włączanie długich ścieżek Win32

W przypadku systemu Windows Server 2016 można użyć tego samego ustawienia zasad grupy podczas instalowania najnowszych szablonów administracyjnych (admx) dla systemu Windows 10.

Aby uzyskać więcej informacji, zobacz Ograniczenie maksymalnej długości ścieżki w dokumentacji dla deweloperów systemu Windows 10.

Omówienie wymagań wstępnych dotyczących modułu programu PowerShell PurviewInformationProtection

Oprócz wymagań wstępnych dotyczących instalacji modułu PurviewInformationProtection należy również aktywować usługę Azure Rights Management.

W niektórych przypadkach może być konieczne usunięcie ochrony plików dla innych osób, które korzystają z Twojego konta. Na przykład możesz chcieć usunąć ochronę dla innych osób na potrzeby odnajdywania lub odzyskiwania danych. Jeśli używasz etykiet do stosowania ochrony, możesz usunąć tę ochronę, ustawiając nową etykietę, która nie stosuje ochrony, lub usunąć etykietę.

W takich przypadkach muszą być również spełnione następujące wymagania:

  • Funkcja administratora musi być włączona w organizacji.
  • Twoje konto musi być skonfigurowane jako administrator usługi Azure Rights Management.

Uruchamianie poleceń cmdlet etykietowania Information Protection w trybie nienadzorowanym

Domyślnie po uruchomieniu poleceń cmdlet na potrzeby etykietowania polecenia są uruchamiane we własnym kontekście użytkownika w interaktywnej sesji programu PowerShell. Aby automatycznie uruchamiać polecenia cmdlet etykietowania poufności, przeczytaj następujące sekcje:

Omówienie wymagań wstępnych dotyczących uruchamiania poleceń cmdlet etykietowania w trybie nienadzorowanym

Aby uruchomić polecenia cmdlet etykietowania usługi Purview Information Protection bez nadzoru, użyj następujących szczegółów dostępu:

  • Konto systemu Windows , do którego można logować się interaktywnie.

  • Konto Microsoft Entra w celu uzyskania dostępu delegowanego. Aby ułatwić administrowanie, użyj pojedynczego konta, które synchronizuje się z usługą Active Directory z identyfikatorem Microsoft Entra.

    Dla delegowanego konta użytkownika skonfiguruj następujące wymagania:

    Wymaganie Szczegóły
    Zasady dotyczące etykiet Upewnij się, że masz zasady etykiet przypisane do tego konta i że zasady zawierają opublikowane etykiety, których chcesz użyć.

    Jeśli używasz zasad etykiet dla różnych użytkowników, może być konieczne utworzenie nowych zasad etykiet, które publikują wszystkie etykiety, i opublikowanie zasad tylko na tym delegowanym koncie użytkownika.
    Odszyfrowywanie zawartości Jeśli to konto musi odszyfrować zawartość, na przykład w celu ponownego włączenia ochrony plików i sprawdzenia plików, które były chronione przez inne osoby, ustaw je jako administratora dla usługi Information Protection i upewnij się, że funkcja administratora jest włączona.
    Elementy sterujące dołączaniem Jeśli zaimplementowano mechanizmy dołączania dla wdrożenia etapowego, upewnij się, że to konto jest uwzględnione w skonfigurowanych kontrolkach dołączania.

  • Token dostępu Microsoft Entra, który ustawia i przechowuje poświadczenia dla delegowanego użytkownika w celu uwierzytelnienia w Microsoft Purview Information Protection. Po wygaśnięciu tokenu w identyfikatorze Microsoft Entra należy ponownie uruchomić polecenie cmdlet, aby uzyskać nowy token.

    Parametry uwierzytelniania Set-Authentication używają wartości z procesu rejestracji aplikacji w identyfikatorze Microsoft Entra. Aby uzyskać więcej informacji, zobacz Create and configure Microsoft Entra applications for Set-Authentication (Tworzenie i konfigurowanie aplikacji firmy Microsoft Entra na potrzeby ustawiania uwierzytelniania).

Uruchom polecenia cmdlet etykietowania w sposób nieinteraktywny, najpierw uruchamiając polecenie cmdlet Set-Authentication .

Komputer z uruchomionym poleceniem cmdlet Set-Authentication pobiera zasady etykietowania przypisane do delegowanego konta użytkownika w portal zgodności Microsoft Purview.

Tworzenie i konfigurowanie aplikacji Microsoft Entra dla Set-Authentication

Polecenie cmdlet Set-Authentication wymaga rejestracji aplikacji dla parametrów AppId i AppSecret .

Aby utworzyć nową rejestrację aplikacji dla polecenia cmdlet Set-Authentication klienta ujednoliconego etykietowania:

  1. W nowym oknie przeglądarki zaloguj się w Azure Portal do dzierżawy Microsoft Entra, której używasz z usługą Microsoft Purview Information Protection.

  2. Przejdź do pozycji Microsoft Entra ID>Zarządzaj>rejestracjami aplikacji i wybierz pozycję Nowa rejestracja.

  3. W okienku Rejestrowanie aplikacji określ następujące wartości, a następnie wybierz pozycję Zarejestruj:

    Opcja Wartość
    Nazwa AIP-DelegatedUser
    W razie potrzeby określ inną nazwę. Nazwa musi być unikatowa dla każdej dzierżawy.
    Obsługiwane typy kont Wybierz Konta tylko w tym katalogu organizacyjnym.
    URI przekierowania (opcjonalny) Wybierz pozycję Internet, a następnie wprowadź https://localhost.

  4. W okienku AIP-DelegatedUser skopiuj wartość identyfikatora aplikacji (klienta).

    Wartość wygląda podobnie do poniższego przykładu: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Ta wartość jest używana dla parametru AppId po uruchomieniu polecenia cmdlet Set-Authentication . Wklej i zapisz wartość do późniejszego wykorzystania.

  5. Na pasku bocznym wybierz pozycję Zarządzaj>certyfikatami i wpisami tajnymi.

    Następnie w okienku AIP-DelegatedUser — Certyfikaty i wpisy tajne w sekcji Wpisy tajne klienta wybierz pozycję Nowy klucz tajny klienta.

  6. W polu Dodaj klucz tajny klienta określ następujące elementy, a następnie wybierz pozycję Dodaj:

    (No changes needed) Wartość
    Opis Microsoft Purview Information Protection client
    Wygasa Określ wybrany czas trwania (1 rok, 2 lata lub nigdy nie wygasa)

  7. Wróć do okienka AIP-DelegatedUser — Certyfikaty i wpisy tajne , w sekcji Wpisy tajne klienta skopiuj ciąg dla wartości VALUE.

    Ten ciąg wygląda podobnie do poniższego przykładu: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Aby upewnić się, że skopiowałeś wszystkie znaki, wybierz ikonę Kopiuj do schowka.

    Ważne

    Zapisz ten ciąg, ponieważ nie jest on ponownie wyświetlany i nie można go pobrać. Podobnie jak w przypadku innych poufnych informacji, których używasz, zapisaną wartość przechowuj bezpiecznie i ogranicz do niej dostęp.

  8. Na pasku bocznym wybierz pozycję Zarządzaj>uprawnieniami interfejsu API.

    W okienku AIP-DelegatedUser — Uprawnienia interfejsu API wybierz pozycję Dodaj uprawnienie.

  9. W okienku Żądanie uprawnień interfejsu API upewnij się, że jesteś na karcie Interfejsy API firmy Microsoft , a następnie wybierz pozycję Azure Rights Management Services.

    Po wyświetleniu monitu o typ uprawnień wymaganych przez aplikację wybierz pozycję Uprawnienia aplikacji.

  10. W polu Wybierz uprawnienia rozwiń węzeł Zawartość i wybierz następujące elementy, a następnie wybierz pozycję Dodaj uprawnienia.

    • Content.DelegatedReader
    • Content.DelegatedWriter

  11. Wróć do okienka AIP-DelegatedUser — Uprawnienia interfejsu API i ponownie wybierz pozycję Dodaj uprawnienie .

    W okienku Żądanie uprawnień usługi AIP wybierz pozycję Interfejsy API używane przez moją organizację i wyszukaj usługę synchronizacji Microsoft Information Protection.

  12. W okienku Żądanie uprawnień interfejsu API wybierz pozycję Uprawnienia aplikacji.

    W polu Wybierz uprawnienia rozwiń węzeł UnifiedPolicy, wybierz pozycję UnifiedPolicy.Tenant.Read, a następnie wybierz pozycję Dodaj uprawnienia.

  13. Wróć do okienka AIP-DelegatedUser — uprawnienia interfejsu API , wybierz pozycję Udziel zgody administratora dla dzierżawy i wybierz pozycję Tak , aby wyświetlić monit o potwierdzenie.

Po wykonaniu tego kroku rejestracja tej aplikacji z wpisem tajnym zostanie zakończona. Wszystko jest gotowe do uruchomienia funkcji Set-Authentication z parametrami AppId i AppSecret. Dodatkowo potrzebny jest identyfikator najemcy.

Wskazówka

Identyfikator dzierżawy można szybko skopiować przy użyciu Azure Portal: Microsoft Entra ID>Manage>Properties Directory>ID.

Uruchamianie polecenia cmdlet Set-Authentication

  1. Otwórz program Windows PowerShell z opcją Uruchom jako administrator.

  2. W sesji programu PowerShell utwórz zmienną do przechowywania poświadczeń konta użytkownika systemu Windows, które działa nieinteraktywnie. Na przykład, jeśli utworzono konto usługi dla skanera:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"

    Zostanie wyświetlony monit o podanie hasła do tego konta.

  3. Uruchom polecenie cmdlet Set-Authentication z parametrem OnBeHalfOf , określając jako wartość utworzoną zmienną.

    Określ również wartości rejestracji aplikacji, identyfikator dzierżawy i nazwę delegowanego konta użytkownika w identyfikatorze Microsoft Entra. Przykład:

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds