Guia do administrador: Usando o PowerShell com o cliente unificado da Proteção de Informações do Azure

  • Artigo

Nota

Você está procurando por Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?

O suplemento Proteção de Informações do Azure foi retirado e substituído por rótulos incorporados aos seus aplicativos e serviços do Microsoft 365. Saiba mais sobre o status de suporte de outros componentes da Proteção de Informações do Azure.

O novo cliente Microsoft Information Protection (sem o suplemento) está atualmente em pré-visualização e agendado para disponibilidade geral.

Quando você instala o cliente de rotulagem unificada da Proteção de Informações do Azure, os comandos do PowerShell são instalados automaticamente como parte do módulo AzureInformationProtection , com cmdlets para rotulagem.

O módulo AzureInformationProtection permite gerenciar o cliente executando comandos para scripts de automação.

Por exemplo:

  • Get-AIPFileStatus: Obtém o rótulo da Proteção de Informações do Azure e informações de proteção para um arquivo ou arquivos especificados.
  • Set-AIPFileClassification: verifica um arquivo para definir automaticamente um rótulo da Proteção de Informações do Azure para um arquivo, de acordo com as condições configuradas na política.
  • Set-AIPFileLabel: define ou remove um rótulo da Proteção de Informações do Azure para um arquivo e define ou remove a proteção de acordo com a configuração do rótulo ou permissões personalizadas.
  • Set-AIPAuthentication: define as credenciais de autenticação para o cliente do Azure Information Protection.

O módulo AzureInformationProtection é instalado na pasta \ProgramFiles (x86)\Microsoft Azure Information Protection e adiciona essa pasta à variável de sistema PSModulePath . O .dll para este módulo é chamado AIP.dll.

Importante

O módulo AzureInformationProtection não suporta a definição de definições avançadas para etiquetas ou políticas de etiquetas.

Para essas configurações, você precisa do Security & Compliance Center PowerShell. Para obter mais informações, consulte Configurações personalizadas para o cliente de rotulagem unificada da Proteção de Informações do Azure.

Gorjeta

Para usar cmdlets com comprimentos de caminho maiores que 260 caracteres, use a seguinte configuração de política de grupo disponível a partir do Windows 10, versão 1607:
Política do>Computador Local Configuração do>Computador Modelos Administrativos>Todas as configurações>Ativar caminhos longos do Win32

Para o Windows Server 2016, você pode usar a mesma configuração de política de grupo ao instalar os Modelos Administrativos (.admx) mais recentes para o Windows 10.

Para obter mais informações, consulte a seção Limitação de comprimento máximo de caminho na documentação do desenvolvedor do Windows 10.

Pré-requisitos para usar o módulo AzureInformationProtection

Além dos pré-requisitos para instalar o módulo AzureInformationProtection , há pré-requisitos adicionais para quando você usa os cmdlets de rotulagem para a Proteção de Informações do Azure:

  • O serviço Azure Rights Management deve ser ativado.

    Se o seu locatário da Proteção de Informações do Azure não estiver ativado, consulte as instruções para Ativar o serviço de proteção da Proteção de Informações do Azure.

  • Para remover a proteção de arquivos para outras pessoas usando sua própria conta:

    Por exemplo, você pode querer remover a proteção para outras pessoas por causa da descoberta ou recuperação de dados. Se estiver a utilizar etiquetas para aplicar proteção, pode removê-la definindo uma nova etiqueta que não aplique proteção ou pode remover a etiqueta.

    Para remover a proteção, use o cmdlet Set-AIPFileLabel com o parâmetro RemoveProtection . Em alguns casos, o recurso de proteção de remoção pode ser desabilitado por padrão e deve primeiro ser habilitado usando o cmdlet Set-LabelPolicy .

RMS para mapeamento de cmdlet de rotulagem unificada

Se você migrou do Azure RMS, observe que os cmdlets relacionados ao RMS foram preteridos para uso na rotulagem unificada.

Alguns dos cmdlets herdados foram substituídos por novos cmdlets para rotulagem unificada. Por exemplo, se você usou New-RMSProtectionLicense com proteção RMS e migrou para rotulagem unificada, use New-AIPCustomPermissions em vez disso.

A tabela a seguir mapeia cmdlets relacionados ao RMS com os cmdlets atualizados usados para rotulagem unificada:

Cmdlet do RMS Cmdlet de rotulagem unificado
Get-RMSFileStatus Get-AIPFileStatus
Get-RMSServer Não relevante para rotulagem unificada.
Get-RMSServerAuthentication Set-AIPAuthentication
Clear-RMSAuthentication Set-AIPAuthentication
Set-RMSServerAuthentication Set-AIPAuthentication
Get-RMSTemplate Não relevante para rotulagem unificada.
New-RMSProtectionLicense New-AIPCustomPermissions, e Set-AIPFileLabel, com o parâmetro CustomPermissions.
Protect-RMSFile Set-AIPFileLabel
Desproteger-RMSFile Set-AIPFileLabel, com o parâmetro RemoveProtection .

Como etiquetar ficheiros de forma não interativa para o Azure Information Protection

Por padrão, quando você executa os cmdlets para rotulagem, os comandos são executados em seu próprio contexto de usuário em uma sessão interativa do PowerShell.

Para obter mais informações, consulte:

Nota

Se o computador não puder ter acesso à Internet, não será necessário criar o aplicativo no Microsoft Entra ID e executar o cmdlet Set-AIPAuthentication . Em vez disso, siga as instruções para computadores desconectados.

Pré-requisitos para executar cmdlets de rotulagem AIP autônomos

Para executar cmdlets de rotulagem da Proteção de Informações do Azure sem supervisão, use os seguintes detalhes de acesso:

  • Uma conta do Windows que pode entrar interativamente.

  • uma conta Microsoft Entra, para acesso delegado. Para facilitar a administração, use uma única conta sincronizada do Ative Directory para o Microsoft Entra ID.

    Para a conta de usuário delegado:

    Requisito Detalhes
    Política de rótulos Certifique-se de que tem uma política de etiquetas atribuída a esta conta e de que a política contém as etiquetas publicadas que pretende utilizar.

    Se você usar políticas de rótulo para usuários diferentes, talvez seja necessário criar uma nova política de rótulo que publique todos os seus rótulos e publicar a política apenas nessa conta de usuário delegada.
    Desencriptação de conteúdo Se essa conta precisar descriptografar conteúdo, por exemplo, para reproteger arquivos e inspecionar arquivos que outras pessoas protegeram, torne-a um superusuário para a Proteção de Informações do Azure e verifique se o recurso de superusuário está habilitado.
    Controlos de integração Se você implementou controles de integração para uma implantação em fases, verifique se essa conta está incluída nos controles de integração que você configurou.

  • um token de acesso do Microsoft Entra, que define e armazena credenciais para o usuário delegado se autenticar na Proteção de Informações do Azure. Quando o token no Microsoft Entra ID expirar, você deverá executar o cmdlet novamente para adquirir um novo token.

    Os parâmetros para Set-AIPAuthentication usam valores de um processo de registro de aplicativo no Microsoft Entra ID. Para obter mais informações, consulte Criar e configurar aplicativos do Microsoft Entra para Set-AIPAuthentication.

Execute os cmdlets de rotulagem de forma não interativa executando primeiro o cmdlet Set-AIPAuthentication .

O computador que executa o cmdlet AIPAuthentication baixa a política de rotulagem atribuída à sua conta de usuário delegado no portal de conformidade do Microsoft Purview.

Criar e configurar aplicativos Microsoft Entra para Set-AIPAuthentication

O cmdlet Set-AIPAuthentication requer um registro de aplicativo para os parâmetros AppId e AppSecret .

Para criar um novo registro de aplicativo para o cmdlet Set-AIPAuthentication do cliente de rotulagem unificado:

  1. Em uma nova janela do navegador, entre no portal do Azure para o locatário do Microsoft Entra que você usa com a Proteção de Informações do Azure.

  2. Navegue até Microsoft Entra ID>Manage>App registrations e selecione New registration.

  3. No painel Registrar um aplicativo, especifique os seguintes valores e clique em Registrar:

    Opção Valor
    Nome AIP-DelegatedUser
    Especifique um nome diferente, conforme necessário. O nome deve ser exclusivo por locatário.
    Tipos de conta suportados Selecione Contas somente neste diretório organizacional.
    URI de redirecionamento (opcional) Selecione Web e, em seguida, digite https://localhost.

  4. No painel AIP-DelegatedUser, copie o valor para a ID do aplicativo (cliente).

    O valor é semelhante ao exemplo a seguir: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Esse valor é usado para o parâmetro AppId quando você executa o cmdlet Set-AIPAuthentication. Cole e salve o valor para referência posterior.

  5. Na barra lateral, selecione Gerenciar>certificados & segredos.

    Em seguida, no painel AIP-DelegatedUser - Certificates & secrets , na seção Client secrets , selecione New client secret.

  6. Para Adicionar um segredo do cliente, especifique o seguinte e selecione Adicionar:

    Campo Value
    Descrição Azure Information Protection unified labeling client
    Expira em Especifique a sua escolha de duração (1 ano, 2 anos ou nunca expira)

  7. De volta ao painel AIP-DelegatedUser - Certificates & secrets, na seção Client secrets, copie a cadeia de caracteres para o VALUE.

    Essa cadeia de caracteres é semelhante ao exemplo a seguir: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Para se certificar de que copia todos os carateres, selecione o ícone para Copiar para a área de transferência.

    Importante

    É importante que você salve essa cadeia de caracteres porque ela não é exibida novamente e não pode ser recuperada. Como acontece com qualquer informação confidencial que você usa, armazene o valor salvo com segurança e restrinja o acesso a ele.

  8. Na barra lateral, selecione Gerenciar>permissões de API.

    No painel AIP-DelegatedUser - API permissions, selecione Add a permission.

  9. No painel Solicitar permissões de API, verifique se você está na guia APIs da Microsoft e selecione Azure Rights Management Services.

    Quando for solicitado o tipo de permissões que seu aplicativo requer, selecione Permissões do aplicativo.

  10. Para Selecionar permissões, expanda Conteúdo e selecione o seguinte e, em seguida, selecione Adicionar permissões.

    • Content.DelegatedReader
    • Content.DelegatedWriter

  11. De volta ao painel de permissões AIP-DelegatedUser - API, selecione Adicionar uma permissão novamente.

    No painel Solicitar permissões AIP, selecione APIs que minha organização usa e procure o Serviço de Sincronização da Proteção de Informações da Microsoft.

  12. No painel Solicitar permissões da API, selecione Permissões do aplicativo.

    Para Selecionar permissões, expanda UnifiedPolicy, selecione UnifiedPolicy.Tenant.Read e selecione Adicionar permissões.

  13. De volta ao painel de permissões AIP-DelegatedUser - API, selecione Conceder consentimento de administrador para <o nome> do locatário e selecione Sim para o prompt de confirmação.

    Suas permissões de API devem se parecer com a seguinte imagem:

    Permissões de API para o aplicativo registrado no Microsoft Entra ID

Agora que você concluiu o registro deste aplicativo com um segredo, você está pronto para executar Set-AIPAuthentication com os parâmetros AppId e AppSecret. Além disso, você precisará do seu ID de locatário.

Gorjeta

Você pode copiar rapidamente sua ID de locatário usando o portal do Azure: ID do Microsoft Entra Gerenciar>>ID do diretório de propriedades.>

Executando o cmdlet Set-AIPAuthentication

  1. Abra o Windows PowerShell com a opção Executar como administrador.

  2. Na sessão do PowerShell, crie uma variável para armazenar as credenciais da conta de usuário do Windows que será executada de forma não interativa. Por exemplo, se você criou uma conta de serviço para o scanner:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"

    É-lhe solicitada a palavra-passe desta conta.

  3. Execute o cmdlet Set-AIPAuthentication , com o parâmetro OnBeHalfOf , especificando como seu valor a variável que você criou.

    Especifique também os valores de registro do aplicativo, a ID do locatário e o nome da conta de usuário delegada na ID do Microsoft Entra. Por exemplo:

    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds

Parâmetros comuns para cmdlets do PowerShell

Para obter informações sobre parâmetros comuns, consulte Sobre parâmetros comuns.

Próximos passos

Para obter ajuda do cmdlet quando você estiver em uma sessão do PowerShell, digite Get-Help <cmdlet name> -online. Por exemplo:

Get-Help Set-AIPFileLabel -online

Para obter mais informações, consulte: