przewodnik Administracja: używanie programu PowerShell z klientem klasycznym usługi Azure Information Protection

  • Artykuł

Po zainstalowaniu klasycznego klienta usługi Azure Information Protection polecenia programu PowerShell są instalowane automatycznie. Dzięki temu można zarządzać klientem, uruchamiając polecenia, które można umieścić w skryptach automatyzacji.

Polecenia cmdlet są instalowane przy użyciu modułu programu PowerShell AzureInformationProtection. Ten moduł zawiera wszystkie polecenia cmdlet usługi Rights Management z narzędzia RMS Protection Tool (nie jest już obsługiwane). Istnieją również polecenia cmdlet, które używają usługi Azure Information Protection do etykietowania. Na przykład:

Polecenie cmdlet dotyczące etykietowania Przykład użycia
Get-AIPFileStatus W przypadku folderu udostępnionego wskazuje wszystkie pliki z określoną etykietą.
Set-AIPFileClassification W przypadku folderu udostępnionego sprawdź zawartość pliku, a następnie automatycznie nadaj etykiety plikom bez etykiet, zgodnie z warunkami określonymi przez użytkownika.
Set-AIPFileLabel W przypadku folderu udostępnionego dodaje określoną etykietę do wszystkich plików, które nie mają etykiety.
Set-AIPAuthentication Oznaczaj pliki nieinterakcyjne, na przykład za pomocą skryptu uruchamianego zgodnie z harmonogramem.

Porada

Aby użyć poleceń cmdlet o długości ścieżki większej niż 260 znaków, użyj następującego ustawienia zasad grupy, które jest dostępne od Windows 10 w wersji 1607:
Zasady >komputera lokalnegoKonfiguracja> komputeraSzablony> administracyjneWszystkie ustawienia>Włączanie długich ścieżek Win32

W przypadku Windows Server 2016 można użyć tego samego ustawienia zasad grupy podczas instalowania najnowszych szablonów administracyjnych (admx) dla Windows 10.

Aby uzyskać więcej informacji, zobacz sekcję Ograniczenie maksymalnej długości ścieżki w dokumentacji dewelopera Windows 10.

Skaner usługi Azure Information Protection używa poleceń cmdlet z modułu AzureInformationProtection do instalowania i konfigurowania usługi w systemie Windows Server. Ten skaner umożliwia odnajdywanie, klasyfikowanie i ochronę plików w magazynach danych.

Aby wyświetlić listę wszystkich poleceń cmdlet oraz odpowiednią dokumentację pomocy zobacz temat AzureInformationProtection Module (Moduł AzureInformationProtection). W ramach sesji programu PowerShell wpisz Get-Help <cmdlet name> -online , aby wyświetlić najnowszą pomoc.

Ten moduł instaluje się w lokalizacji \ProgramFiles (x86)\Microsoft Azure Information Protection i dodaje ten folder do zmiennej systemowej PSModulePath. Plik .dll tego modułu nosi nazwę AIP.dll.

Obecnie jeśli zainstalujesz moduł jako jeden użytkownik i uruchomisz polecenia cmdlet na tym samym komputerze co inny użytkownik, musisz najpierw uruchomić Import-Module AzureInformationProtection polecenie . W tym scenariuszu moduł nie ładuje się automatycznie podczas pierwszego uruchomienia polecenia cmdlet.

Przed rozpoczęciem korzystania z tych poleceń cmdlet zapoznaj się z dodatkowymi wymaganiami wstępnymi i instrukcjami odnoszącymi się do wdrożenia:

  • Usługa Azure Information Protection i Azure Rights Management

    • Dotyczy przypadku, gdy używany jest tryb obejmujący tylko klasyfikację lub klasyfikację z ochroną Rights Management: masz subskrypcję, która obejmuje usługę Azure Information Protection (na przykład Enterprise Mobility + Security).
    • Dotyczy przypadku, gdy używany jest tryb obejmujący tylko ochronę za pomocą usługi Azure Rights Management: masz subskrypcję, która obejmuje usługę Azure Rights Management (na przykład usługi Office 365 E3 i Office 365 E5).

  • Usługi Active Directory Rights Management

    • Dotyczy przypadku, gdy używany jest tryb obejmujący tylko ochronę za pomocą lokalnej wersji usługi Azure Rights Management; Usługi Active Directory Rights Management (AD RMS).

Aby uzyskać więcej informacji, zobacz odpowiednią kolekcję znanych problemów z usługą Azure Information Protection.

Usługa Azure Information Protection i Azure Rights Management

Przeczytaj tę sekcję przed rozpoczęciem korzystania z poleceń programu PowerShell, gdy organizacja używa usługi Azure Information Protection do klasyfikacji i ochrony lub tylko usługi Azure Rights Management na potrzeby ochrony danych.

Wymagania wstępne

Oprócz wymagań wstępnych dotyczących instalowania modułu AzureInformationProtection istnieją dodatkowe wymagania wstępne dotyczące etykietowania usługi Azure Information Protection i usługi ochrony danych Azure Rights Management:

  1. Usługa Azure Rights Management musi być aktywowana.

  2. Aby usunąć ochronę plików dla innych osób używających Twojego konta:

    • W organizacji musi być włączona funkcja administratora, a Twoje konto musi być skonfigurowane jako konto administratora usługi Azure Rights Management.

  3. Aby bezpośrednio włączać lub wyłączać ochronę plików bez interakcji z użytkownikiem:

    • Utwórz konto jednostki usługi, uruchom polecenie Set-RMSServerAuthentication i ewentualnie ustaw tę jednostkę jako administratora usługi Azure Rights Management.

  4. W przypadku regionów poza Ameryką Północną:

    • Edytuj rejestr na potrzeby odnajdywania usług.

Wymaganie wstępne 1: usługa Azure Rights Management musi być aktywowana

To wymaganie wstępne dotyczy zarówno sytuacji, gdy stosowana jest ochrona danych za pomocą etykiet, jak i bezpośredniego połączenia z usługą Azure Rights Management w celu zastosowania ochrony danych.

Jeśli dzierżawa usługi Azure Information Protection nie jest aktywowana, zobacz instrukcje dotyczące aktywowania usługi ochrony z usługi Azure Information Protection.

Wymaganie wstępne 2: usuwanie ochrony plików dla innych osób używających Twojego konta

Typowe scenariusze dotyczące usuwania ochrony plików dla innych osób obejmują odnajdywanie lub odzyskiwanie danych. Jeśli jest stosowana ochrona przy użyciu etykiet, można ją usunąć, ustawiając nową etykietę, która nie stosuje ochrony, lub usuwając etykietę. Wygodniejszym rozwiązaniem jest jednak połączenie się bezpośrednio z usługą Azure Rights Management w celu usunięcia ochrony.

Musisz mieć prawa użytkowania usługi Rights Management do usuwania ochrony plików lub być administratorem. W przypadku odnajdywania lub odzyskiwania danych zwykle jest używana funkcja administratora. Aby włączyć tę funkcję i skonfigurować swoje konto jako administrator, zobacz artykuł Konfigurowanie superużytkowników usług Azure Rights Management i usług odnajdywania lub odzyskiwania danych.

Wymaganie wstępne 3: włączanie lub wyłączanie ochrony plików bez interakcji z użytkownikiem

Możesz połączyć się bezpośrednio z usługą Azure Rights Management nieinterakcyjną w celu ochrony lub wyłączania ochrony plików.

Musisz użyć konta jednostki usługi, aby nawiązać połączenie z usługą Azure Rights Management nieinterakcyjną, co można zrobić za pomocą Set-RMSServerAuthentication polecenia cmdlet . Należy to zrobić dla każdej sesji środowiska Windows PowerShell korzystającej z poleceń cmdlet, które bezpośrednio łączą się z usługą Azure Rights Management. Przed uruchomieniem tego polecenia cmdlet należy mieć następujące trzy identyfikatory:

  • Identyfikator BposTenantId

  • Identyfikator AppPrincipalId

  • Klucz symetryczny

Następujące polecenia programu PowerShell i instrukcje z komentarzami umożliwiają automatyczne pobieranie wartości identyfikatorów i uruchamianie polecenia cmdlet Set-RMSServerAuthentication. Możesz też ręcznie pobrać i określić wartości.

Aby automatycznie pobrać wartości i uruchomić polecenie Set-RMSServerAuthentication:

# Make sure that you have the AIPService and MSOnline modules installed

$ServicePrincipalName="<new service principal name>"
Connect-AipService
$bposTenantID=(Get-AipServiceConfiguration).BPOSId
Disconnect-AipService
Connect-MsolService
New-MsolServicePrincipal -DisplayName $ServicePrincipalName

# Copy the value of the generated symmetric key

$symmetricKey="<value from the display of the New-MsolServicePrincipal command>"
$appPrincipalID=(Get-MsolServicePrincipal | Where { $_.DisplayName -eq $ServicePrincipalName }).AppPrincipalId
Set-RMSServerAuthentication -Key $symmetricKey -AppPrincipalId $appPrincipalID -BposTenantId $bposTenantID

W następnych sekcjach opisano sposób ręcznego pobierania i określania tych wartości wraz z kolejnymi informacjami na temat każdego z nich.

Uzyskiwanie identyfikatora BposTenantId

Uruchom polecenie cmdlet Get-AipServiceConfiguration z modułu azure RMS Windows PowerShell:

  1. Jeśli ten moduł nie został jeszcze zainstalowany na komputerze, zobacz Instalowanie modułu AIPService programu PowerShell.

  2. Uruchom sesję środowiska Windows PowerShell przy użyciu opcji Uruchom jako administrator.

  3. Użyj polecenia cmdlet Connect-AipService, aby połączyć się z usługą Azure Rights Management:

     Connect-AipService

    Po wyświetleniu monitu wprowadź poświadczenia administratora dzierżawy usługi Azure Information Protection. Zazwyczaj używasz konta, które jest administratorem globalnym usługi Azure Active Directory lub platformy Microsoft 365.

  4. Uruchom polecenie Get-AipServiceConfiguration i utwórz kopię wartości BPOSId.

    Przykład danych wyjściowych polecenia Get-AipServiceConfiguration:

    BPOSId                                   : 23976bc6-dcd4-4173-9d96-dad1f48efd42

RightsManagement ServiceId               : 1a302373-f233-440600909-4cdf305e2e76

LicensingIntranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing

LicensingExtranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing

CertificationIntranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification

CertificationExtranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification

  5. Zakończ połączenie z usługą:

    Disconnect-AipService
Uzyskiwanie identyfikatora AppPrincipalId i klucza symetrycznego

Utwórz nową jednostkę usługi, uruchamiając polecenie cmdlet New-MsolServicePrincipal z modułu MSOnline PowerShell usługi Azure Active Directory i postępuj zgodnie z poniższymi instrukcjami.

Ważne

Do tworzenia tej jednostki usługi nie należy używać nowszego polecenia cmdlet programu Azure AD PowerShell, New-AzureADServicePrincipal. Usługa Azure Rights Management nie obsługuje polecenia New-AzureADServicePrincipal.

  1. Jeśli moduł MSOnline nie został jeszcze zainstalowany na komputerze, uruchom polecenie Install-Module MSOnline.

  2. Uruchom sesję środowiska Windows PowerShell przy użyciu opcji Uruchom jako administrator.

  3. Użyj polecenia cmdlet Connect-MsolService, aby nawiązać połączenie z usługą Azure AD:

    Connect-MsolService

    Po wyświetleniu monitu wprowadź poświadczenia administratora dzierżawy Azure AD (zazwyczaj używasz konta administratora globalnego usługi Azure Active Directory lub platformy Microsoft 365).

  4. Uruchom polecenie cmdlet New-MsolServicePrincipal, aby utworzyć nową jednostkę usługi:

    New-MsolServicePrincipal

    Po wyświetleniu monitu wprowadź wybraną nazwę wyświetlaną dla tej jednostki usługi, która pomoże później zidentyfikować jej przeznaczenie jako konta do łączenia się z usługą Azure Rights Management w celu włączania i wyłączania ochrony plików.

    Przykład raportu uzyskanego za pomocą polecenia New-MsolServicePrincipal:

    Supply values for the following parameters:

DisplayName: AzureRMSProtectionServicePrincipal
The following symmetric key was created as one was not supplied
zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=

Display Name: AzureRMSProtectionServicePrincipal
ServicePrincipalNames: (b5e3f7g1-b5c2-4c96-a594-a0807f65bba4)
ObjectId: 23720996-593c-4122-bfc7-1abb5a0b5109
AppPrincialId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4
TrustedForDelegation: False
AccountEnabled: True
Addresses: ()
KeyType: Symmetric
KeyId: 8ef61651-ca11-48ea-a350-25834a1ba17c
StartDate: 3/7/2014 4:43:59 AM
EndDate: 3/7/2014 4:43:59 AM
Usage: Verify

  5. Z tego raportu zanotuj klucz symetryczny i identyfikator AppPrincialId.

    Ważne jest, aby teraz utworzyć kopię tego klucza symetrycznego. Nie można później pobrać tego klucza, więc jeśli nie znasz go podczas następnego uwierzytelniania w usłudze Azure Rights Management, musisz utworzyć nową jednostkę usługi.

Korzystając z tych instrukcji i opierając się na naszych przykładach, uzyskaliśmy trzy identyfikatory wymagane do uruchomienia polecenia Set-RMSServerAuthentication:

  • Identyfikator dzierżawcy: 23976bc6-dcd4-4173-9d96-dad1f48efd42

  • Klucz symetryczny: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=

  • Identyfikator AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4

Nasze przykładowe polecenie będzie więc wyglądać następująco:

Set-RMSServerAuthentication -Key zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=-AppPrincipalId b5e3f76a-b5c2-4c96-a594-a0807f65bba4-BposTenantId 23976bc6-dcd4-4173-9d96-dad1f48efd42

Jak pokazano w poprzednim poleceniu, możesz podać wartości za pomocą jednego polecenia, które można wykonać w skrycie, aby uruchomić nieinterakcyjne. Jednak w celach testowych można po prostu wpisać set-RMSServerAuthentication i po wyświetleniu monitu podać wartości jeden po drugim. Po zakończeniu polecenia klient działa teraz w trybie "tryb serwera", który jest odpowiedni do użytku nieinterakcyjnego, takiego jak skrypty i infrastruktura klasyfikacji plików systemu Windows Server.

Rozważ utworzenie tego konta jednostki usługi jako administratora: aby upewnić się, że to konto jednostki usługi zawsze może wyłączyć ochronę plików dla innych użytkowników, można skonfigurować go jako administratora. W taki sam sposób, jak skonfigurować konto użytkownika standardowego jako administratora, należy użyć tego samego polecenia cmdlet usługi Azure RMS, Add-AipServiceSuperUser, ale określ parametr ServicePrincipalId z wartością AppPrincipalId.

Aby uzyskać więcej informacji na temat superu użytkowników, zobacz Konfigurowanie superu użytkowników dla usług Azure Information Protection i odnajdywania lub odzyskiwania danych.

Uwaga

Aby użyć swojego konta użytkownika do uwierzytelnienia w usłudze Azure Rights Management, nie ma potrzeby uruchamiania polecenia Set-RMSServerAuthentication przed włączeniem lub wyłączeniem ochrony plików albo pobraniem szablonów.

Wymaganie wstępne 4: dotyczy regionów poza Ameryką Północną

Jeśli używasz konta jednostki usługi do ochrony plików i pobierania szablonów poza regionem usługi Azure Ameryka Północna, musisz edytować rejestr:

  1. Uruchom ponownie polecenie cmdlet Get-AipServiceConfiguration i zanotuj wartości certificationExtranetDistributionPointUrl i LicensingExtranetDistributionPointUrl.

  2. Na każdym komputerze, na którym uruchomisz polecenia cmdlet AzureInformationProtection, otwórz edytor rejestru.

  3. Przejdź do następującej ścieżki: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation.

    Jeśli nie widzisz klucza MSIPC lub klucza ServiceLocation , utwórz je.

  4. Dla klucza ServiceLocation utwórz dwa klucze (o ile nie istnieją) o nazwach EnterpriseCertification i EnterprisePublishing.

    Dla wartości ciągu, która jest automatycznie tworzona dla tych kluczy, nie zmieniaj nazwy "(Default)", ale edytuj ciąg, aby ustawić dane wartości:

    • Dla klucza EnterpriseCertification wklej wartość parametru CertificationExtranetDistributionPointUrl.

    • Dla klucza EnterprisePublishing wklej wartość parametru LicensingExtranetDistributionPointUrl.

      Na przykład wpis rejestru dla certyfikatu EnterpriseCertification powinien wyglądać podobnie do następującego:

      Edytowanie rejestru dla modułu azure Information Protection PowerShell dla regionów spoza Ameryka Północna

  5. Zamknij Edytor rejestru. Nie ma potrzeby ponownego uruchamiania komputera. Jeśli jednak używasz konta jednostki usługi, a nie swojego konta użytkownika, należy po wprowadzeniu zmian w rejestrze uruchomić polecenie Set-RMSServerAuthentication.

Przykładowe scenariusze użycia poleceń cmdlet usługi Azure Information Protection i Azure Rights Management

Bardziej wydajne jest używanie etykiet do klasyfikowania i ochrony plików, ponieważ potrzebne są tylko dwa polecenia cmdlet, które można uruchamiać samodzielnie lub razem: Get-AIPFileStatus i Set-AIPFileLabel. Skorzystaj z pomocy dotyczącej obu tych poleceń cmdlet, aby uzyskać dodatkowe informacje i przykłady.

Aby włączać i wyłączać ochronę plików przy wykorzystaniu bezpośredniego połączenia z usługą Azure Rights Management, należy zazwyczaj uruchamiać serię poleceń cmdlet, zgodnie z poniższym opisem.

Najpierw, jeśli musisz uwierzytelnić się w usłudze Azure Rights Management przy użyciu konta jednostki usługi zamiast korzystać z własnego konta, w sesji programu PowerShell wpisz:

Set-RMSServerAuthentication

Po wyświetleniu monitu wprowadź trzy identyfikatory zgodnie z opisem w sekcji Wymagania wstępne 3: włączanie lub wyłączanie ochrony plików bez interakcji z użytkownikiem.

Zanim będzie można korzystać z ochrony plików, należy pobrać na komputer szablony usługi Rights Management i określić, który z nich będzie używany wraz z odpowiadającym im numerem identyfikacyjnym. Z raportu można też skopiować identyfikator szablonu:

Get-RMSTemplate

Raport będzie wyglądał podobnie do poniższego:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True

TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Należy pamiętać, że jeśli nie zostanie uruchomione polecenie Set-RMSServerAuthentication, uwierzytelnianie w usłudze Azure Rights Management odbywa się przy użyciu własnego konta użytkownika. Jeśli użytkownik pracuje na komputerze przyłączonym do domeny, jego bieżące poświadczenia są zawsze używane automatycznie. Jeśli użytkownik pracuje na komputerze w grupie roboczej, jest wyświetlany monit o zalogowanie się do platformy Azure — poświadczenia te zostaną zapisane w pamięci podręcznej i będą używane przy kolejnych poleceniach. W tym scenariuszu późniejsze logowanie się jako inny użytkownik będzie wymagało użycia polecenia cmdlet Clear-RMSAuthentication.

Znasz teraz identyfikator szablonu i możesz użyć go w poleceniu cmdlet Protect-RMSFile, aby chronić pojedynczy plik lub wszystkie pliki w folderze. Na przykład: jeśli chcesz chronić tylko jeden plik i zastąpić plik oryginalny, używając szablonu „Contoso, Ltd. — poufne”:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

Raport będzie wyglądał podobnie do poniższego:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

Aby chronić wszystkie pliki w folderze, użyj parametru -Folder z literą dysku i ścieżką lub ścieżką UNC. Na przykład:

Protect-RMSFile -Folder \Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

Raport będzie wyglądał podobnie do poniższego:

InputFile                          EncryptedFile
---------                          -------------
\Server1\Documents\Test1.docx     \Server1\Documents\Test1.docx
\Server1\Documents\Test2.docx     \Server1\Documents\Test2.docx
\Server1\Documents\Test3.docx     \Server1\Documents\Test3.docx
\Server1\Documents\Test4.docx     \Server1\Documents\Test4.docx

Jeśli rozszerzenie nazwy pliku nie zmienia się po zastosowaniu ochrony, zawsze można użyć polecenia cmdlet Get-RMSFileStatus później, aby sprawdzić, czy plik jest chroniony. Na przykład:

Get-RMSFileStatus -File \Server1\Documents\Test1.docx

Raport będzie wyglądał podobnie do poniższego:

FileName                              Status
--------                              ------
\Server1\Documents\Test1.docx         Protected

Aby wyłączyć ochronę pliku, musisz mieć uprawnienia właściciela lub wyodrębnienia z momentu ochrony pliku. Możesz też uruchomić polecenia cmdlet jako superuczesny użytkownik. Następnie należy użyć polecenia cmdlet Unprotect. Na przykład:

Unprotect-RMSFile C:\test.docx -InPlace

Raport będzie wyglądał podobnie do poniższego:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Należy pamiętać, że jeśli do szablonów usługi Rights Management zostaną wprowadzone zmiany, należy pobrać je ponownie przy użyciu polecenia Get-RMSTemplate -force.

Usługi Active Directory Rights Management

Przeczytaj tę sekcję przed rozpoczęciem korzystania z poleceń środowiska PowerShell w celu włączania lub wyłączania ochrony plików, jeśli Twoja organizacja używa tylko usług Active Directory Rights Management.

Wymagania wstępne

Oprócz wymagań wstępnych dotyczących instalowania modułu AzureInformationProtection konto używane do ochrony lub odchylenia plików musi mieć uprawnienia do odczytu i wykonywania w celu uzyskania dostępu do pliku ServerCertification.asmx:

  1. Zaloguj się do serwera usług AD RMS.

  2. Kliknij pozycję Start, a następnie Komputer.

  3. W Eksplorator plików przejdź do folderu %systemdrive%\Initpub\wwwroot_wmsc\Certification.

  4. Kliknij prawym przyciskiem myszy plik ServerCertification.asmx, następnie kliknij polecenie Właściwości.

  5. W oknie dialogowym Właściwości pliku ServerCertification.asmx kliknij kartę Zabezpieczenia.

  6. Kliknij przycisk Kontynuuj lub Edytuj.

  7. W oknie dialogowym Uprawnienia dla pliku ServerCertification.asmx kliknij przycisk Dodaj.

  8. Dodaj nazwę swojego konta. Jeśli inni administratorzy usługi AD RMS lub konta usług będą również używać tych poleceń cmdlet do ochrony i wyłączania ochrony plików, dodaj te konta.

    Aby chronić lub wyłączać ochronę plików nieinterakcyjnych, dodaj odpowiednie konto lub konta komputera. Na przykład dodaj konto komputera z systemem Windows Server skonfigurowane dla infrastruktury klasyfikacji plików i użyje skryptu programu PowerShell do ochrony plików.

  9. Upewnij się, że w kolumnie Zezwalaj są zaznaczone pola wyboru Odczyt i wykonywanie oraz Odczyt.

10. Kliknij dwukrotnie przycisk OK.

Przykładowe scenariusze używania poleceń cmdlet dotyczące usług Active Directory Rights Management

Typowy scenariusz użycia tych poleceń cmdlet obejmuje ochronę wszystkich plików w folderze przy użyciu szablonu zasad lub usunięcie ochrony pliku.

Po pierwsze, jeśli masz więcej niż jedno wdrożenie usług AD RMS, konieczne jest uzyskanie nazw serwerów usług AD RMS. W tym celu można użyć polecenia cmdlet Get-RMSServer, które wyświetla listę dostępnych serwerów:

Get-RMSServer

Raport będzie wyglądał podobnie do poniższego:

Number of RMS Servers that can provide templates: 2 
ConnectionInfo             DisplayName          AllowFromScratch
--------------             -------------        ----------------
Microsoft.InformationAnd…  RmsContoso                       True
Microsoft.InformationAnd…  RmsFabrikam                      True

Zanim będzie można korzystać z ochrony plików, należy uzyskać listę szablonów RMS i określić, który z nich będzie używany wraz z odpowiadającym numerem identyfikacyjnym. Tylko wtedy, gdy masz więcej niż jedno wdrożenie usług AD RMS, musisz również określić serwer usługi RMS.

Z raportu można też skopiować identyfikator szablonu:

Get-RMSTemplate -RMSServer RmsContoso

Raport będzie wyglądał podobnie do poniższego:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True

TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Znasz teraz identyfikator szablonu i możesz użyć go w poleceniu cmdlet Protect-RMSFile, aby chronić pojedynczy plik lub wszystkie pliki w folderze. Na przykład: jeśli chcesz chronić tylko jeden plik i zastąpić plik oryginalny, używając szablonu „Contoso, Ltd. — poufne”:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

Raport będzie wyglądał podobnie do poniższego:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

Aby chronić wszystkie pliki w folderze, użyj parametru -Folder z literą dysku i ścieżką lub ścieżką UNC. Na przykład:

Protect-RMSFile -Folder \\Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

Raport będzie wyglądał podobnie do poniższego:

InputFile                          EncryptedFile
---------                          -------------
\\Server1\Documents\Test1.docx     \\Server1\Documents\Test1.docx   
\\Server1\Documents\Test2.docx     \\Server1\Documents\Test2.docx   
\\Server1\Documents\Test3.docx     \\Server1\Documents\Test3.docx   
\\Server1\Documents\Test4.docx     \\Server1\Documents\Test4.docx

Gdy rozszerzenie nazwy pliku nie zmieni się po zastosowaniu ochrony, zawsze można użyć polecenia cmdlet Get-RMSFileStatus później, aby sprawdzić, czy plik jest chroniony. Na przykład:

Get-RMSFileStatus -File \\Server1\Documents\Test1.docx

Raport będzie wyglądał podobnie do poniższego:

FileName                              Status
--------                              ------
\\Server1\Documents\Test1.docx        Protected

Aby wyłączyć ochronę pliku, musisz mieć uprawnienia właściciela lub wyodrębniania praw użytkowania z momentu ochrony pliku lub być superuchemij dla usług AD RMS. Następnie należy użyć polecenia cmdlet Unprotect. Na przykład:

Unprotect-RMSFile C:\test.docx -InPlace

Raport będzie wyglądał podobnie do poniższego:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Jak nieinteraktywnie etykietować pliki na potrzeby usługi Azure Information Protection

Polecenia cmdlet etykietowania można uruchamiać nieinterakcyjnie przy użyciu polecenia cmdlet Set-AIPAuthentication . Nieinterakcyjne operacje są również wymagane dla skanera usługi Azure Information Protection.

Domyślnie polecenia cmdlet służące do etykietowania są uruchamiane we własnym kontekście użytkownika w interaktywnej sesji programu PowerShell. Aby uruchamiać polecenia w trybie nienadzorowanym, utwórz nowe konto użytkownika usługi Azure AD. Następnie w kontekście tego użytkownika uruchom polecenie cmdlet Set-AIPAuthentication, aby skonfigurować i przechowywać poświadczenia przy użyciu tokenu dostępu z usługi Azure AD. To konto użytkownika jest następnie uwierzytelniane i uruchamiane dla usługi Azure Rights Management. Konto pobiera zasady usługi Azure Information Protection i wszystkie szablony usług Rights Management używane w etykietach.

Uwaga

Jeśli używasz zasad o określonym zakresie, pamiętaj, że może być konieczne dodanie tego konta do zasad o określonym zakresie.

Przy pierwszym uruchomieniu tego polecenia cmdlet zostanie wyświetlony monit o zalogowanie do usługi Azure Information Protection. Określ nazwę konta użytkownika i hasło utworzone dla użytkownika nienadzorowanego. Następnie na tym koncie będzie można uruchamiać polecenia cmdlet nieinteraktywnego etykietowania do momentu wygaśnięcia ważności tokenu uwierzytelniania.

Aby konto użytkownika było w stanie zalogować się interaktywnie po raz pierwszy, konto musi mieć prawo do logowania lokalnego . To prawo jest standardowe dla kont użytkowników, ale zasady firmy mogą uniemożliwić tę konfigurację dla kont usług. Jeśli tak jest, możesz uruchomić Set-AIPAuthentication z parametrem Token , aby uwierzytelnianie zostało zakończone bez monitu logowania. To polecenie można uruchomić jako zaplanowane zadanie i przyznać konto w prawym dolnym rogu polecenia Zaloguj się jako zadanie wsadowe. Aby uzyskać więcej informacji, zobacz następujące sekcje.

Po wygaśnięciu tokenu ponownie uruchom polecenie cmdlet, aby uzyskać nowy token.

Po uruchomieniu tego polecenia cmdlet bez parametrów konto uzyskuje token dostępu, który jest ważny przez 90 dni lub do momentu wygaśnięcia ważności hasła.

Aby kontrolować moment wygaśnięcia ważności tokenu dostępu, uruchom to polecenie cmdlet z parametrami. Umożliwi to skonfigurowanie tokenu dostępu na jeden rok, dwa lata lub bez określonej daty wygaśnięcia. Ta konfiguracja wymaga zarejestrowania dwóch aplikacji w usłudze Azure Active Directory: aplikacji internetowej/interfejsu API i aplikacji natywnej. Parametry tego polecenia cmdlet używają wartości z tych aplikacji.

Po uruchomieniu tego polecenia cmdlet możesz uruchomić polecenia cmdlet etykietowania w kontekście utworzonego konta użytkownika.

Tworzenie i konfigurowanie aplikacji usługi Azure AD na potrzeby polecenia Set-AIPAuthentication

  1. W nowym oknie przeglądarki zaloguj się w witrynie Azure Portal.

  2. W przypadku dzierżawy Azure AD używanej z usługą Azure Information Protection przejdź do obszaruZarządzanie>usługą Azure Active Directory>Rejestracje aplikacji.

  3. Wybierz pozycję + Nowa rejestracja, aby utworzyć aplikację internetową /API. W okienku Rejestrowanie aplikacji określ następujące wartości, a następnie kliknij pozycję Zarejestruj:

    • Nazwa: AIPOnBehalfOf

      Jeśli chcesz, podaj inną nazwę. Nazwa musi być unikatowa dla dzierżawy.

    • Obsługiwane typy kont: konta tylko w tym katalogu organizacyjnym

    • Identyfikator URI przekierowania (opcjonalnie): Sieć Web i http://localhost

  4. W okienku AIPOnBehalfOf skopiuj wartość identyfikatora aplikacji (klienta). Wartość wygląda podobnie do następującego przykładu: 57c3c1c3-abf9-404e-8b2b-4652836c8c66. Ta wartość jest używana dla parametru WebAppId podczas uruchamiania polecenia cmdlet Set-AIPAuthentication. Wklej i zapisz wartość dla późniejszego odwołania.

  5. Nadal w okienku AIPOnBehalfOf z menu Zarządzaj wybierz pozycję Uwierzytelnianie.

  6. W okienku AIPOnBehalfOf — uwierzytelnianie w sekcji Ustawienia zaawansowane zaznacz pole wyboru Tokeny identyfikatorów , a następnie wybierz pozycję Zapisz.

  7. Nadal w okienku AIPOnBehalfOf — uwierzytelnianie w menu Zarządzaj wybierz pozycję Certyfikaty & wpisy tajne.

  8. W okienku AIPOnBehalfOf — certyfikaty & wpisy tajne w sekcji Wpisy tajne klienta wybierz pozycję + Nowy klucz tajny klienta.

  9. W obszarze Dodaj klucz tajny klienta określ następujące polecenie, a następnie wybierz pozycję Dodaj:

    • Opis: Azure Information Protection client
    • Wygasa: określ wybór czasu trwania (1 rok, 2 lata lub nigdy nie wygasa)

  10. Wróć do okienka AIPOnBehalfOf — certyfikaty & wpisów tajnych w sekcji Wpisy tajne klienta skopiuj ciąg wartości. Ten ciąg wygląda podobnie do następującego przykładu: +LBkMvddz?WrlNCK5v0e6_=meM59sSAn. Aby upewnić się, że skopiujesz wszystkie znaki, wybierz ikonę , aby skopiować do schowka.

    Ważne jest, aby zapisać ten ciąg, ponieważ nie jest on wyświetlany ponownie i nie można go pobrać. Podobnie jak w przypadku wszelkich używanych informacji poufnych, zapisz zapisaną wartość bezpiecznie i ogranicz dostęp do niej.

  11. Nadal w okienku AIPOnBehalfOf — certyfikaty & wpisy tajne w menu Zarządzanie wybierz pozycję Uwidacznij interfejs API.

  12. W okienku AIPOnBehalfOf — uwidaczniaj okienko interfejsu API wybierz pozycję Ustaw dla opcji Identyfikator URI identyfikatora aplikacji , a w wartości identyfikator URI identyfikatora aplikacji zmień interfejs API na http. Ten ciąg wygląda podobnie do następującego przykładu: http://d244e75e-870b-4491-b70d-65534953099e.

    Wybierz pozycję Zapisz.

  13. Wróć do okienka AIPOnBehalfOf — uwidacznij okienko interfejsu API , wybierz pozycję + Dodaj zakres.

  14. W okienku Dodawanie zakresu określ następujące wartości, używając sugerowanych ciągów jako przykładów, a następnie wybierz pozycję Dodaj zakres:

    • Nazwa zakresu: user-impersonation
    • Kto może wyrazić zgodę?: Administratorzy i użytkownicy
    • Administracja nazwa wyświetlana zgody:Access Azure Information Protection scanner
    • Administracja opis zgody:Allow the application to access the scanner for the signed-in user
    • Nazwa wyświetlana zgody użytkownika: Access Azure Information Protection scanner
    • Opis zgody użytkownika: Allow the application to access the scanner for the signed-in user
    • Stan: Włączone (wartość domyślna)

  15. Wróć do okienka AIPOnBehalfOf — uwidacznij okienko interfejsu API , zamknij to okienko.

  16. Wybierz pozycję Uprawnienia interfejsu API.

  17. W okienkuuprawnień interfejsu APIAIPOnBehalfOf | wybierz pozycję + Dodaj uprawnienie.

  18. Wybierz pozycję Azure Right Management, wybierz pozycję Delegowane uprawnienia , a następnie wybierz pozycję Utwórz i uzyskaj dostęp do chronionej zawartości dla użytkowników.

  19. Kliknij pozycję Dodaj uprawnienie.

  20. Po powrocie do okienka uprawnień interfejsu API w sekcji Udzielanie zgody wybierz Grant admin consent for <your tenant name> pozycję Tak , aby wyświetlić monit o potwierdzenie.

  21. W okienku Rejestracje aplikacji wybierz pozycję + Nowa rejestracja aplikacji, aby utworzyć teraz aplikację natywną.

  22. W okienku Rejestrowanie aplikacji określ następujące ustawienia, a następnie wybierz pozycję Zarejestruj:

    • Nazwa: AIPClient
    • Obsługiwane typy kont: konta tylko w tym katalogu organizacyjnym
    • Identyfikator URI przekierowania (opcjonalnie): Klient publiczny (mobilny & desktop) i http://localhost

  23. W okienku AIPClient skopiuj wartość identyfikatora aplikacji (klienta). Wartość wygląda podobnie do następującego przykładu: 8ef1c873-9869-4bb1-9c11-8313f9d7f76f.

    Ta wartość jest używana dla parametru NativeAppId podczas uruchamiania polecenia cmdlet Set-AIPAuthentication. Wklej i zapisz wartość dla późniejszego odwołania.

  24. Nadal w okienku AIPClient z menu Zarządzaj wybierz pozycję Uwierzytelnianie.

  25. W okienku AIPClient — uwierzytelnianie z menu Zarządzanie wybierz pozycję Uprawnienia interfejsu API.

  26. W okienku AIPClient — uprawnienia wybierz pozycję + Dodaj uprawnienie.

  27. W okienku Żądania uprawnień interfejsu API wybierz pozycję Moje interfejsy API.

  28. W sekcji Wybierz interfejs API wybierz pozycję APIOnBehalfOf, a następnie zaznacz pole wyboru personifikacji użytkownika jako uprawnienie. Wybierz pozycję Dodaj uprawnienia.

  29. W okienku Uprawnienia interfejsu API w sekcji Udzielanie zgody wybierz pozycję Udziel zgody administratora dla <swojej nazwy> dzierżawy i wybierz pozycję Tak, aby wyświetlić monit o potwierdzenie.

Ukończono konfigurację dwóch aplikacji i masz wartości, które należy uruchomić polecenie Set-AIPAuthentication z parametrami WebAppId, WebAppKey i NativeAppId. Z naszych przykładów:

Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "+LBkMvddz?WrlNCK5v0e6_=meM59sSAn" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f"

Uruchom to polecenie w kontekście konta, które będzie oznaczać i chronić dokumenty nieinterakcyjne. Na przykład konto użytkownika skryptów programu PowerShell lub konto usługi do uruchamiania skanera usługi Azure Information Protection.

Po pierwszym uruchomieniu tego polecenia zostanie wyświetlony monit o zalogowanie się, który tworzy i bezpiecznie przechowuje token dostępu dla konta w lokalizacji %localappdata%\Microsoft\MSIP. Po tym początkowym logowaniu można oznaczyć i chronić pliki nieinterakcyjne na komputerze. Jeśli jednak używasz konta usługi do etykietowania i ochrony plików, a to konto usługi nie może się zalogować interaktywnie, użyj instrukcji w poniższej sekcji, aby konto usługi mógł uwierzytelniać się przy użyciu tokenu.

Określanie i używanie parametru tokenu dla polecenia Set-AIPAuthentication

Wykonaj następujące dodatkowe kroki i instrukcje, aby uniknąć początkowego interakcyjnego logowania dla konta, które etykietuje i chroni pliki. Zazwyczaj te dodatkowe kroki są wymagane tylko wtedy, gdy nie można przyznać temu kontu prawa logowania lokalnego , ale zostanie udzielona uprawnienie Logowanie jako zadanie wsadowe . Może to być na przykład w przypadku konta usługi, na które jest uruchomiony skaner usługi Azure Information Protection.

Ogólne kroki:

  1. Utwórz skrypt programu PowerShell na komputerze lokalnym.

  2. Uruchom Set-AIPAuthentication, aby uzyskać token dostępu i skopiować go do schowka.

  3. Zmodyfikuj skrypt programu PowerShell, aby uwzględnić token.

  4. Utwórz zadanie uruchamiające skrypt programu PowerShell w kontekście konta usługi, które będzie oznaczać i chronić pliki.

  5. Upewnij się, że token został zapisany dla konta usługi i usuń skrypt programu PowerShell.

Krok 1. Tworzenie skryptu programu PowerShell na komputerze lokalnym

  1. Na komputerze utwórz nowy skrypt programu PowerShell o nazwie Aipauthentication.ps1.

  2. Skopiuj i wklej następujące polecenie do tego skryptu:

    Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application> -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application > -Token <token value>

  3. Korzystając z instrukcji w poprzedniej sekcji, zmodyfikuj to polecenie, określając własne wartości parametrów WebAppId, WebAppkey i NativeAppId . W tej chwili nie masz wartości parametru Token , który określisz później.

    Na przykład:

    Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>

Krok 2. Uruchom Set-AIPAuthentication, aby uzyskać token dostępu i skopiować go do schowka

  1. Otwórz sesję programu Windows PowerShell.

  2. Używając tych samych wartości, które zostały określone w skry skryptzie, uruchom następujące polecenie:

    (Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application>  -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application >).token | clip

    Na przykład:

    (Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clip`

Krok 3. Modyfikowanie skryptu programu PowerShell w celu podania tokenu

  1. W skrypcie programu PowerShell określ wartość tokenu, wklejając ciąg ze schowka i zapisz plik.

  2. Podpisz skrypt. Jeśli skrypt nie zostanie podpisać (bezpieczniejszy), należy skonfigurować Windows PowerShell na komputerze, na którym będą uruchamiane polecenia etykietowania. Na przykład uruchom sesję Windows PowerShell z opcją Uruchom jako administrator i wpisz: Set-ExecutionPolicy RemoteSigned. Jednak ta konfiguracja umożliwia uruchamianie wszystkich niepodpisanych skryptów, gdy są one przechowywane na tym komputerze (mniej bezpieczne).

    Aby uzyskać więcej informacji na temat podpisywania skryptów programu Windows PowerShell, zobacz artykuł about_Signing w bibliotece dokumentacji programu PowerShell.

  3. Skopiuj ten skrypt programu PowerShell na komputer, który będzie oznaczać i chronić pliki, a następnie usunąć oryginalny na komputerze. Na przykład skopiujesz skrypt programu PowerShell, aby C:\Scripts\Aipauthentication.ps1 na komputerze z systemem Windows Server.

Krok 4. Tworzenie zadania uruchamianego przez skrypt programu PowerShell

  1. Upewnij się, że konto usługi, które będzie oznaczać i chronić pliki, ma prawo Log on jako zadanie wsadowe .

  2. Na komputerze, który będzie oznaczać i chronić pliki, otwórz harmonogram zadań i utwórz nowe zadanie. Skonfiguruj to zadanie, aby było uruchamiane jako konto usługi, które będzie oznaczać i chronić pliki, a następnie skonfiguruj następujące wartości dla akcji:

    • Akcja: Start a program

    • Program/skrypt: Powershell.exe

    • Dodaj argumenty (opcjonalnie):: -NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"

      W przypadku wiersza argumentu określ własną ścieżkę i nazwę pliku, jeśli różnią się one od przykładu.

  3. Ręcznie uruchom to zadanie.

Krok 5. Potwierdzenie zapisania tokenu i usunięcie skryptu programu PowerShell

  1. Upewnij się, że token jest teraz przechowywany w folderze %localappdata%\Microsoft\MSIP dla profilu konta usługi. Ta wartość jest chroniona przez konto usługi.

  2. Usuń skrypt programu PowerShell zawierający wartość tokenu (na przykład Aipauthentication.ps1).

    Opcjonalnie usuń zadanie. Jeśli token wygaśnie, należy powtórzyć ten proces. W takim przypadku może być wygodniejsze pozostawienie skonfigurowanego zadania, aby można było go ponownie uruchomić po skopiowaniu nowego skryptu programu PowerShell z nową wartością tokenu.

Następne kroki

Aby uzyskać pomoc dotyczącą polecenia cmdlet w trakcie sesji programu PowerShell, wpisz ciąg Get-Help <cmdlet name> cmdlet i użyj parametru -online w celu zapoznania się z najbardziej aktualnymi informacjami. Na przykład:

Get-Help Get-RMSTemplate -online

Zobacz następujące artykuły, aby uzyskać dodatkowe informacje potrzebne do obsługi klienta usługi Azure Information Protection: