руководство по Администратор. Использование PowerShell с единым клиентом Azure Information Protection

  • Статья

Примечание.

Ищете информацию о Microsoft Purview Information Protection (прежнее название — Microsoft Information Protection, MIP)?

Надстройка Azure Information Protection отменяется и заменяется метками, встроенными в приложения и службы Microsoft 365. Дополнительные сведения о состоянии поддержки других компонентов Azure Information Protection.

Новый клиент Microsoft Information Protection (без надстройки) в настоящее время находится в предварительной версии и планируется для общедоступной доступности.

При установке клиента унифицированных меток Azure Information Protection команды PowerShell автоматически устанавливаются в составе модуля AzureInformationProtection с командлетами для маркировки.

Модуль AzureInformationProtection позволяет управлять клиентом, выполняя команды для сценариев автоматизации.

Например:

  • Get-AIPFileStatus: получает метку Azure Information Protection и сведения о защите для указанного файла или файлов.
  • Set-AIPFileClassification: сканирует файл, чтобы автоматически задать метку Azure Information Protection для файла в соответствии с условиями, настроенными в политике.
  • Set-AIPFileLabel: задает или удаляет метку Azure Information Protection для файла, а также задает или удаляет защиту в соответствии с конфигурацией меток или пользовательскими разрешениями.
  • Set-AIPAuthentication: задает учетные данные проверки подлинности для клиента Azure Information Protection.

Модуль AzureInformationProtection устанавливается в папку \ProgramFiles (x86)\Microsoft Azure Information Protection, а затем добавляет эту папку в системную переменную PSModulePath. .dll для этого модуля называется AIP.dll.

Внимание

Модуль AzureInformationProtection не поддерживает настройку расширенных параметров для меток или политик меток.

Для этих параметров требуется PowerShell центра безопасности и соответствия требованиям. Дополнительные сведения см. в разделе "Пользовательские конфигурации" для клиента унифицированных меток Azure Information Protection.

Совет

Чтобы использовать командлеты с длиной пути больше 260 символов, используйте следующий параметр групповой политики, доступный в Windows 10 версии 1607:
Конфигурация> компьютера локальной политики>компьютеров Администратор istrative templates>All Параметры> Enable Win32 long paths

Для Windows Server 2016 можно использовать тот же параметр групповой политики при установке последних Администратор istrative Templates (Admx) для Windows 10.

Дополнительные сведения см. в разделе " Ограничение максимальной длины пути" в документации разработчика Windows 10.

Предварительные требования для использования модуля AzureInformationProtection

Помимо необходимых компонентов для установки модуля AzureInformationProtection , при использовании командлетов меток для Azure Information Protection требуются дополнительные предварительные требования.

  • Служба Azure Rights Management должна быть активирована.

    Если клиент Azure Information Protection не активирован, см. инструкции по активации службы защиты из Azure Information Protection.

  • Чтобы удалить защиту из файлов для других пользователей с помощью собственной учетной записи:

    Например, вы можете удалить защиту для других пользователей ради обнаружения или восстановления данных. Если вы используете метки для применения защиты, вы можете удалить эту защиту, задав новую метку, которая не применяет защиту, или удалить метку.

    Чтобы удалить защиту, используйте командлет Set-AIPFileLabel с параметром RemoveProtection. В некоторых случаях возможность удаления защиты может быть отключена по умолчанию и должна быть включена с помощью командлета Set-LabelPolicy .

Сопоставление командлетов унифицированных меток RMS

Если вы перешли из Azure RMS, обратите внимание, что командлеты, связанные с RMS, устарели для использования в унифицированных метках.

Некоторые устаревшие командлеты были заменены новыми командлетами для унифицированных меток. Например, если вы использовали New-RMSProtectionLicense с защитой RMS и перешли на унифицированную маркировку, используйте New-AIPCustomPermissions .

В следующей таблице сопоставляются командлеты, связанные с RMS, с обновленными командлетами, используемыми для унифицированных меток:

Командлет RMS Командлет унифицированных меток
Get-RMSFileStatus Get-AIPFileStatus
Get-RMSServer Не относится к унифицированной маркировке.
Get-RMSServerAuthentication Set-AIPAuthentication
Clear-RMSAuthentication Set-AIPAuthentication
Set-RMSServerAuthentication Set-AIPAuthentication
Get-RMSTemplate Не относится к унифицированной маркировке.
New-RMSProtectionLicense New-AIPCustomPermissions и Set-AIPFileLabel с параметром CustomPermissions.
Protect-RMSFile Set-AIPFileLabel
Unprotect-RMSFile Set-AIPFileLabel с параметром RemoveProtection .

Как помечать файлы в неинтерактивном режиме для Azure Information Protection

По умолчанию при запуске командлетов для маркировки команды выполняются в собственном контексте пользователя в интерактивном сеансе PowerShell.

Дополнительные сведения см. в разделе:

Примечание.

Если компьютер не может иметь доступ к Интернету, нет необходимости создавать приложение в идентификаторе Microsoft Entra и запускать командлет Set-AIPAuthentication . Вместо этого следуйте инструкциям по отключенным компьютерам.

Предварительные требования для запуска командлетов меток AIP автоматически

Чтобы запустить командлеты меток Azure Information Protection автоматически, используйте следующие сведения о доступе:

  • Учетная запись Windows, которая может выполнять вход в интерактивном режиме.

  • учетная запись Microsoft Entra для делегированного доступа. Чтобы упростить администрирование, используйте одну учетную запись, синхронизированную из Active Directory с идентификатором Microsoft Entra.

    Для делегированной учетной записи пользователя:

    Требование Сведения
    Политика меток Убедитесь, что у вас есть политика меток, назначенная этой учетной записи, и что политика содержит опубликованные метки, которые вы хотите использовать.

    Если вы используете политики меток для разных пользователей, может потребоваться создать новую политику меток, которая публикует все метки и опубликовать политику только в этой делегированной учетной записи пользователя.
    Расшифровка содержимого Если эта учетная запись должна расшифровать содержимое, например для повторной защиты файлов и проверки файлов, защищенных другими пользователями, сделайте его суперпользоваем для Azure Information Protection и убедитесь, что функция суперпользовающего включена.
    Элементы управления подключением Если вы реализовали элементы управления подключением для поэтапного развертывания, убедитесь, что эта учетная запись включена в настроенные элементы управления подключения.

  • маркер доступа Microsoft Entra, который задает и сохраняет учетные данные для делегированного пользователя для проверки подлинности в Azure Information Protection. После истечения срока действия маркера в идентификаторе Microsoft Entra необходимо снова запустить командлет, чтобы получить новый маркер.

    Параметры set-AIPAuthentication используют значения из процесса регистрации приложения в идентификаторе Microsoft Entra. Дополнительные сведения см. в статье "Создание и настройка приложений Microsoft Entra для Set-AIPAuthentication".

Запустите командлеты метки, неинтерактивно выполнив командлет Set-AIPAuthentication .

Компьютер, на котором выполняется командлет AIPAuthentication, скачивает политику маркировки, назначенную делегированной учетной записи пользователя в Портал соответствия требованиям Microsoft Purview.

Создание и настройка приложений Microsoft Entra для Set-AIPAuthentication

Командлет Set-AIPAuthentication требует регистрации приложения для параметров AppId и AppSecret .

Чтобы создать регистрацию приложения для командлета set-AIPAuthentication клиента унифицированных меток:

  1. В новом окне браузера войдите в портал Azure в клиент Microsoft Entra, который вы используете с Azure Information Protection.

  2. Перейдите к элементу управления> идентификаторами Microsoft Entra ID>Регистрация приложений и выберите "Создать регистрацию".

  3. На панели "Регистрация приложения" укажите следующие значения и нажмите кнопку "Зарегистрировать".

    Вариант Значение
    Имя AIP-DelegatedUser
    При необходимости укажите другое имя. Имя должно быть уникальным для каждого клиента.
    Поддерживаемые типы учетных записей Установите флажок Учетные записи только в этом каталоге организации.
    URI перенаправления (необязательно) Выберите веб-сайт и введите https://localhost.

  4. На панели AIP-DelegatedUser скопируйте значение идентификатора приложения (клиента).

    Значение выглядит примерно так: 77c3c1c3-abf9-404e-8b2b-4652836c8c66

    Это значение используется для параметра AppId при запуске командлета Set-AIPAuthentication. Вставьте и сохраните значение для последующей ссылки.

  5. На боковой панели выберите "Управление>сертификатами и секретами".

    Затем в области сертификатов и секретов AIP-DelegatedUser в разделе секретов клиента выберите новый секрет клиента.

  6. Для добавления секрета клиента укажите следующее, а затем нажмите кнопку "Добавить".

    Поле Value
    Description Azure Information Protection unified labeling client
    Срок действия истекает Укажите ваш выбор продолжительности (1 год, 2 года или никогда не истекает)

  7. Вернитесь в область AIP-DelegatedUser — сертификаты и секреты, в разделе секретов клиента скопируйте строку значения.

    Эта строка выглядит примерно так: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4

    Чтобы скопировать все символы, выберите значок для копирования в буфер обмена.

    Внимание

    Важно сохранить эту строку, так как она не отображается снова и не может быть извлечена. Как и при использовании любой конфиденциальной информации, сохраните сохраненное значение безопасно и ограничьте доступ к нему.

  8. На боковой панели выберите "Управление разрешениями> API".

    В области разрешений API -DelegatedUser выберите пункт "Добавить разрешение".

  9. На панели разрешений API запросов убедитесь, что вы находитесь на вкладке API Майкрософт и выберите службы Azure Rights Management.

    При появлении запроса на ввод необходимых приложению разрешений выберите разрешения приложения.

  10. Чтобы выбрать разрешения, разверните содержимое и выберите следующее, а затем нажмите кнопку "Добавить разрешения".

    • Content.DelegatedReader
    • Content.DelegatedWriter

  11. Вернитесь на панель разрешений API -DelegatedUser — api, снова нажмите кнопку "Добавить разрешение ".

    На панели разрешений AIP запроса выберите API, которые использует моя организация, и найдите службу синхронизации Microsoft Information Protection.

  12. На панели разрешений API запроса выберите разрешения приложения.

    Чтобы выбрать разрешения, разверните элемент UnifiedPolicy, выберите UnifiedPolicy.Tenant.Read и нажмите кнопку "Добавить разрешения".

  13. Вернитесь в область разрешений API AIP-DelegatedUser, выберите "Предоставить согласие администратора" для <имени> клиента и нажмите кнопку "Да" для запроса на подтверждение.

    Разрешения API должны выглядеть следующим образом:

    Разрешения API для зарегистрированного приложения в идентификаторе Microsoft Entra

Теперь вы завершили регистрацию этого приложения с секретом, вы готовы запустить Set-AIPAuthentication с параметрами AppId и AppSecret. Кроме того, вам потребуется идентификатор клиента.

Совет

Вы можете быстро скопировать идентификатор клиента с помощью портал Azure: идентификатор каталога свойств>Microsoft Entra ID.>>

Выполнение командлета Set-AIPAuthentication

  1. Откройте Windows PowerShell с помощью параметра "Запуск от имени администратора".

  2. В сеансе PowerShell создайте переменную для хранения учетных данных учетной записи пользователя Windows, которая будет работать неинтерактивно. Например, если вы создали учетную запись службы для сканера:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"

    Вам будет предложено ввести пароль этой учетной записи.

  3. Запустите командлет Set-AIPAuthentication с параметром OnBeHalfOf, указав в качестве значения созданную переменную.

    Также укажите значения регистрации приложения, идентификатор клиента и имя делегированной учетной записи пользователя в идентификаторе Microsoft Entra. Например:

    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds

Общие параметры для командлетов PowerShell

Сведения об общих параметрах см. в разделе "Общие параметры".

Следующие шаги

Для справки по командлету при входе в сеанс PowerShell введите Get-Help <cmdlet name> -online. Например:

Get-Help Set-AIPFileLabel -online

Дополнительные сведения см. в разделе: