Configurar o cliente de proteção de informações usando o PowerShell
Descrição
Contém instruções para instalar o cliente Proteção de Informações do Microsoft Purview e cmdlets do PowerShell usando o PowerShell.
Usar o PowerShell com o cliente Proteção de Informações do Microsoft Purview
O módulo Proteção de Informações do Microsoft Purview é instalado com o cliente de proteção de informações. O módulo do PowerShell associado é PurviewInformationProtection.
O módulo PurviewInformationProtection permite que você gerencie o cliente com comandos e scripts de automação; por exemplo:
- Install-Scanner: instala e configura o serviço scanner de Proteção de Informações em um computador que executa o Windows Server 2019, Windows Server 2016 ou Windows Server 2012 R2.
- Get-FileStatus: obtém as informações de Proteção de Informações rótulo e proteção para um arquivo ou arquivos especificados.
- Start-Scan: instrui o verificador de proteção de informações a iniciar um ciclo de verificação única.
- Set-FileLabel -Autolabel: examina um arquivo para definir automaticamente um rótulo de proteção de informações para um arquivo, de acordo com as condições configuradas na política.
Instalar o módulo do PowerShell PurviewInformationProtection
Pré-requisitos da instalação
- Este módulo requer Windows PowerShell 4.0. Esse pré-requisito não é verificado durante a instalação. Verifique se você tem a versão correta do PowerShell instalada.
- Verifique se você tem a versão mais recente do módulo PowerShell PurviewInformationProtection executando
Import-Module PurviewInformationProtection
.
Detalhes da instalação
Instale e configure o cliente de proteção de informações e os cmdlets associados usando o PowerShell.
O módulo do PowerShell PurviewInformationProtection é instalado automaticamente quando você instala a versão completa do cliente de proteção de informações. Como alternativa, você pode instalar o módulo somente usando o parâmetro PowerShellOnly=true .
O módulo é instalado na pasta \ProgramFiles (x86)\PurviewInformationProtection e adiciona essa pasta à variável do PSModulePath
sistema.
Importante
O módulo PurviewInformationProtection não dá suporte à definição de configurações avançadas para rótulos ou políticas de rótulo.
Para usar cmdlets com comprimentos de caminho maiores que 260 caracteres, use a seguinte configuração de política de grupo que está disponível a partir do Windows 10, versão 1607:
Política >de Computador LocalConfiguração do> computadorModelos Administrativos>Todas as Configurações>Habilitar caminhos longos do Win32
Para o Windows Server 2016, você pode usar a mesma configuração da política de grupo ao instalar os Modelos Administrativos (.admx) mais recentes para o Windows 10.
Para obter mais informações, confira a seção Limitação de tamanho máximo de caminho da documentação do desenvolvedor do Windows 10.
Entender os pré-requisitos para o módulo do PowerShell PurviewInformationProtection
Além dos pré-requisitos de instalação para o módulo PurviewInformationProtection, você também deve ativar o serviço Azure Rights Management.
Em alguns casos, talvez você queira remover a proteção de arquivos para outras pessoas que usam sua própria conta. Por exemplo, talvez você queira remover a proteção para outras pessoas para fins de descoberta ou recuperação de dados. Se você estiver usando rótulos para aplicar proteção, poderá remover essa proteção definindo um novo rótulo que não aplica proteção ou pode remover o rótulo.
Para casos como esse, os seguintes requisitos também devem ser atendidos:
- O recurso de superusuário deve ser habilitado para sua organização.
- Sua conta deve ser configurada como um superusuário do Azure Rights Management.
Executar cmdlets de rotulagem de proteção de informações autônomos
Por padrão, quando você executa os cmdlets para rotular, os comandos são executados em seu próprio contexto de usuário em uma sessão interativa do PowerShell. Para executar automaticamente cmdlets de rotulagem de confidencialidade, leia as seguintes seções:
- Entender os pré-requisitos para executar cmdlets de rotulagem autônomos
- Create e configurar aplicativos Microsoft Entra para Set-Authentication
- Executar o cmdlet Set-Authentication
Entender os pré-requisitos para executar cmdlets de rotulagem autônomos
Para executar o Purview Proteção de Informações cmdlets de rotulagem autônoma, use os seguintes detalhes de acesso:
Uma conta do Windows que pode entrar interativamente.
Uma conta Microsoft Entra, para acesso delegado. Para facilitar a administração, use uma única conta que sincroniza do Active Directory para Microsoft Entra ID.
Para a conta de usuário delegada, configure os seguintes requisitos:
Requisito Detalhes Política de rótulo Verifique se você tem uma política de rótulo atribuída a essa conta e se a política contém os rótulos publicados que você deseja usar.
Se você usar políticas de rótulo para usuários diferentes, talvez seja necessário criar uma nova política de rótulo que publique todos os seus rótulos e publicar a política apenas nessa conta de usuário delegada.Descriptografando conteúdo Se essa conta precisar descriptografar o conteúdo, por exemplo, para proteger novamente arquivos e inspecionar arquivos protegidos por outras pessoas, torne-a um superusuário para Proteção de Informações e verifique se o recurso de superusuário está habilitado. Controles de integração Se você implementou controles de integração para uma implantação em fases, verifique se essa conta está incluída nos controles de integração que você configurou. Um token de acesso Microsoft Entra, que define e armazena credenciais para que o usuário delegado se autentique no Proteção de Informações do Microsoft Purview. Quando o token em Microsoft Entra ID expirar, você deverá executar o cmdlet novamente para adquirir um novo token.
Os parâmetros para Set-Authentication usam valores de um processo de registro de aplicativo no Microsoft Entra ID. Para obter mais informações, consulte Create e configurar Microsoft Entra aplicativos para Set-Authentication.
Execute os cmdlets de rotulagem de forma não interativa executando primeiro o cmdlet Set-Authentication .
O computador que executa o cmdlet Set-Authentication baixa a política de rotulagem atribuída à sua conta de usuário delegada no portal de conformidade do Microsoft Purview.
Create e configurar aplicativos Microsoft Entra para Set-Authentication
O cmdlet Set-Authentication requer um registro de aplicativo para os parâmetros AppId e AppSecret .
Para criar um novo registro de aplicativo para o cmdlet Set-Authentication do cliente de rotulagem unificada:
Em uma nova janela do navegador, entre no portal do Azure no locatário Microsoft Entra que você usa com Proteção de Informações do Microsoft Purview.
Navegue até Microsoft Entra ID>Gerenciar>Registros de aplicativo e selecione Novo registro.
No painel Registrar um aplicativo , especifique os seguintes valores e selecione Registrar:
Opção Valor Nome AIP-DelegatedUser
Especifique um nome diferente, conforme necessário. O nome deve ser exclusivo por locatário.Tipos de conta compatíveis Escolha Somente contas neste diretório organizacional. Redirecionar URI (opcional) Selecione Web e insira https://localhost
.No painel AIP-DelegatedUser , copie o valor da ID do aplicativo (cliente).
O valor é semelhante ao seguinte exemplo:
77c3c1c3-abf9-404e-8b2b-4652836c8c66
.Esse valor é usado para o parâmetro AppId quando você executa o cmdlet Set-Authentication . Cole e salve o valor para referência posterior.
Na barra lateral, selecione Gerenciar>Certificados & segredos.
Em seguida, no painel AIP-DelegatedUser - Certificados & segredos , na seção Segredos do cliente , selecione Novo segredo do cliente.
Para Adicionar um segredo do cliente, especifique o seguinte e selecione Adicionar:
Campo Valor Descrição Microsoft Purview Information Protection client
Expira em Especifique sua escolha de duração (1 ano, 2 anos ou nunca expira) De volta ao painel AIP-DelegatedUser - Certificados & segredos, na seção Segredos do cliente, copie a cadeia de caracteres para VALUE.
Essa cadeia de caracteres é semelhante ao seguinte exemplo:
OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4
.Para certificar-se de copiar todos os caracteres, selecione o ícone para Copiar para a área de transferência.
Importante
Salve essa cadeia de caracteres porque ela não é exibida novamente e não pode ser recuperada. Assim como acontece com as informações confidenciais que você usa, armazene o valor salvo com segurança e restrinja o acesso a ele.
Na barra lateral, selecione Gerenciar>permissões de API.
No painel AIP-DelegatedUser – Permissões de API , selecione Adicionar uma permissão.
No painel Solicitar permissões de API , verifique se você está na guia APIs da Microsoft e selecione Azure Rights Management Services.
Quando for solicitado que você solicite o tipo de permissões que seu aplicativo requer, selecione Permissões de aplicativo.
Para Selecionar permissões, expandaConteúdo e selecione o seguinte e, em seguida, selecione Adicionar permissões.
- Content.DelegatedReader
- Content.DelegatedWriter
De volta ao painel permissões AIP-DelegatedUser – API , selecione Adicionar uma permissão novamente.
No painel Solicitar permissões AIP, selecione APIs que minha organização usa e pesquise Microsoft Proteção de Informações Sync Service.
No painel Solicitar permissões de API , selecione Permissões de aplicativo.
Para Selecionar permissões, expanda UnifiedPolicy, selecione UnifiedPolicy.Tenant.Read e, em seguida, selecione Adicionar permissões.
De volta ao painel permissões AIP-DelegatedUser – API , selecione Conceder consentimento do administrador para seu locatário e selecione Sim para o prompt de confirmação.
Após esta etapa, o registro deste aplicativo com um segredo é concluído. Você está pronto para executar Set-Authentication com os parâmetros AppId e AppSecret. Além disso, você precisa da ID do locatário.
Dica
Você pode copiar rapidamente sua ID de locatário usando portal do Azure: Microsoft Entra ID>Gerenciar>ID do Diretóriode Propriedades>.
Executar o cmdlet Set-Authentication
Abra Windows PowerShell com a opção Executar como administrador.
Em sua sessão do PowerShell, crie uma variável para armazenar as credenciais da conta de usuário do Windows que é executada de forma não interativa. Por exemplo, se você criou uma conta de serviço para o verificador:
$pscreds = Get-Credential "CONTOSO\srv-scanner"
Você será solicitado a fornecer a senha dessa conta.
Execute o cmdlet Set-Authentication, com o parâmetro OnBeHalfOf , especificando como seu valor a variável que você criou.
Especifique também os valores de registro do aplicativo, sua ID de locatário e o nome da conta de usuário delegada em Microsoft Entra ID. Por exemplo:
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds