Использование защиты RMS совместно с инфраструктурой классификации файлов (FCI) Windows Server

  • Статья

В этой статье приведены инструкции и скрипт для использования клиента Azure Information Protection и PowerShell для настройки диспетчера ресурсов файлового сервера и инфраструктуры классификации файлов (FCI).

Это решение позволяет автоматически защищать все файлы в папке на файловом сервере под управлением Windows Server или автоматически защищать файлы, соответствующие определенным критериям. Например, файлы, которые были классифицированы как содержащие конфиденциальную или конфиденциальную информацию. Это решение подключается непосредственно к службе Azure Rights Management из Azure Information Protection, чтобы защитить файлы, поэтому необходимо развернуть эту службу для вашей организации.

Примечание.

Хотя Azure Information Protection включает соединитель , поддерживающий инфраструктуру классификации файлов, это решение поддерживает только собственную защиту, например файлы Office.

Чтобы поддерживать несколько типов файлов с инфраструктурой классификации файлов Windows Server, необходимо использовать модуль PowerShell AzureInformationProtection , как описано в этой статье. Командлеты Azure Information Protection, такие как клиент Azure Information Protection, поддерживают универсальную защиту, а также собственную защиту, что означает, что типы файлов, отличные от документов Office, можно защитить. Дополнительные сведения см. в разделе "Типы файлов", поддерживаемые клиентом Azure Information Protection, из руководства администратора клиента Azure Information Protection.

Приведенные ниже инструкции предназначены для Windows Server 2012 R2 или Windows Server 2012. Если вы запускаете другие поддерживаемые версии Windows, вам может потребоваться адаптировать некоторые шаги для различий между версией операционной системы и той, что описано в этой статье.

Предварительные требования для защиты Azure Rights Management с помощью Windows Server FCI

Предварительные требования для следующих инструкций:

  • На каждом файловом сервере, где будет выполняться Диспетчер файлов с инфраструктурой классификации файлов:

    • Диспетчер ресурсов файлового сервера установлен в качестве одной из служб ролей для роли файловых служб.

    • Вы определили локальную папку, содержащую файлы для защиты с помощью Rights Management. Например, C:\FileShare.

    • Вы установили модуль PowerShell AzureInformationProtection и настроили необходимые компоненты для этого модуля для подключения к службе Azure Rights Management.

      Модуль PowerShell AzureInformationProtection включен в клиент Azure Information Protection. Инструкции по установке см. в разделе "Установка клиента Azure Information Protection" для пользователей из руководства администратора Azure Information Protection. При необходимости можно установить только модуль PowerShell с помощью PowerShellOnly=true параметра.

      Предварительные требования для использования этого модуля PowerShell включают активацию службы Azure Rights Management, создание субъекта-службы и редактирование реестра, если клиент находится за пределами Северная Америка. Прежде чем начать инструкции в этой статье, убедитесь, что у вас есть значения для BposTenantId, AppPrincipalId и симметричного ключа, как описано в этих предварительных требованиях.

    • Если вы хотите изменить уровень защиты по умолчанию (собственный или универсальный) для определенных расширений имен файлов, вы изменили реестр, как описано в разделе "Изменение уровня защиты файлов по умолчанию" из руководства администратора.

    • У вас есть подключение к Интернету, и вы настроили параметры компьютера, если они необходимы для прокси-сервера. Пример: netsh winhttp import proxy source=ie

  • Вы синхронизировали учетные записи пользователей локальная служба Active Directory с идентификатором Microsoft Entra или Microsoft 365, включая их адреса электронной почты. Это необходимо для всех пользователей, которым может потребоваться доступ к файлам после того, как они защищены FCI и службой Azure Rights Management. Если этот шаг не выполняется (например, в тестовой среде), пользователи могут быть заблокированы для доступа к этим файлам. Дополнительные сведения об этом требовании см. в статье "Подготовка пользователей и групп для Azure Information Protection".

  • Этот сценарий не поддерживает шаблоны отделов, поэтому необходимо либо использовать шаблон, который не настроен для область, либо использовать командлет Set-AipServiceTemplateProperty и параметр EnableInLegacyApps.

Инструкции по настройке FCI диспетчера файлового сервера для защиты Azure Rights Management

Следуйте этим инструкциям, чтобы автоматически защитить все файлы в папке с помощью скрипта PowerShell в качестве настраиваемой задачи. Выполните следующие процедуры в следующем порядке:

  1. Сохранение скрипта PowerShell

  2. Создание свойства классификации для Rights Management (RMS)

  3. Создание правила классификации (Classify для RMS)

  4. Настройка расписания классификации

  5. Создание настраиваемой задачи управления файлами (защита файлов с помощью RMS)

  6. Тестирование конфигурации путем выполнения правила и задачи вручную

В конце этих инструкций все файлы в выбранной папке будут классифицированы с пользовательским свойством RMS, а затем эти файлы будут защищены с помощью Rights Management. Для более сложной конфигурации, которая выборочно защищает некоторые файлы, а не другие, можно создать или использовать другое свойство классификации и правило с задачей управления файлами, которая защищает только эти файлы.

Обратите внимание, что при внесении изменений в шаблон Rights Management, используемый для FCI, учетная запись компьютера, которая запускает скрипт для защиты файлов, не получает обновленный шаблон автоматически. Для этого в скрипте найдите закомментированную Get-RMSTemplate -Force команду и удалите # символ комментария. Когда обновленный шаблон скачан (скрипт выполняется по крайней мере один раз), можно закомментировать эту дополнительную команду, чтобы шаблоны не загружались без необходимости. Если изменения шаблона достаточно важны, чтобы повторно защитить файлы на файловом сервере, это можно сделать в интерактивном режиме, выполнив командлет Protect-RMSFile с учетной записью с правами экспорта или полного управления для файлов. При публикации нового шаблона, который вы хотите использовать для FCI, необходимо также запустить Get-RMSTemplate -Force .

Сохранение скрипта Windows PowerShell

  1. Скопируйте содержимое скрипта Windows PowerShell для защиты Azure RMS с помощью диспетчера ресурсов файлового сервера. Вставьте содержимое скрипта и назовите файл RMS-Protect-FCI.ps1 на своем компьютере.

  2. Просмотрите скрипт и внесите следующие изменения:

    • Найдите следующую строку и замените ее собственным AppPrincipalId, который вы используете с командлетом Set-RMSServerAuthentication для подключения к службе Azure Rights Management:

      <enter your AppPrincipalId here>

      Например, сценарий может выглядеть следующим образом:

      [Parameter(Mandatory = $false)]

      [Parameter(Mandatory = $false)] [string]$AppPrincipalId = "b5e3f76a-b5c2-4c96-a594-a0807f65bba4",

    • Выполните поиск следующей строки и замените его собственным симметричным ключом, который вы используете с командлетом Set-RMSServerAuthentication для подключения к службе Azure Rights Management:

      <enter your key here>

      Например, сценарий может выглядеть следующим образом:

      [Parameter(Mandatory = $false)]

      [string]$SymmetricKey = "zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA="

    • Найдите следующую строку и замените ее собственным идентификатором BposTenantId (идентификатор клиента), который вы используете с командлетом Set-RMSServerAuthentication для подключения к службе Azure Rights Management:

      <enter your BposTenantId here>

      Например, сценарий может выглядеть следующим образом:

      [Parameter(Mandatory = $false)]

      [string]$BposTenantId = "23976bc6-dcd4-4173-9d96-dad1f48efd42",

  3. Подписыв скрипт. Если вы не подписываете скрипт (более безопасный), необходимо настроить Windows PowerShell на серверах, на которые он выполняется. Например, запустите сеанс Windows PowerShell с параметром запуска от имени Администратор istrator и введите: Set-ExecutionPolicy RemoteSigned. Однако эта конфигурация позволяет запускать все неподписанные скрипты при их хранении на этом сервере (менее безопасный).

    Дополнительные сведения о подписи скриптов Windows PowerShell см. в разделе about_Signing в библиотеке документации по PowerShell.

  4. Сохраните файл локально на каждом файловом сервере, который запускает File Resource Manager с инфраструктурой классификации файлов. Например, сохраните файл в C:\RMS-Protection. Если вы используете другой путь или имя папки, выберите путь и папку, не включающую пробелы. Защитите этот файл с помощью разрешений NTFS, чтобы неавторизованные пользователи не могут изменить его.

Теперь вы готовы начать настройку диспетчера ресурсов файлового сервера.

Создание свойства классификации для Rights Management (RMS)

  • В диспетчере ресурсов файлового сервера создайте новое локальное свойство:

    • Имя: тип RMS

    • Описание: защита type Rights Management

    • Тип свойства: " Да/нет"

    • Значение: выбор "Да"

Теперь мы можем создать правило классификации, которое использует это свойство.

Создание правила классификации (Classify для RMS)

  • Создайте новое правило классификации:

    • На вкладке Общее:

      • Имя: классификация типов для RMS

      • Включено: сохраните значение по умолчанию, то есть выбран этот проверка box.

      • Описание. Классификация всех файлов в папке <имени> папки для Rights Management.

        Замените <имя> папки выбранным именем папки. Например, классификация всех файлов в папке C:\FileShare для Rights Management

      • Область: добавьте выбранную папку. Например, C:\FileShare.

        Не выбирайте проверка boxes.

    • На вкладке "Классификация ":

    • Метод классификации: Выбор классификатора папок

    • Имя свойства : выбор RMS

    • Значение свойства: Select Yes

Хотя правила классификации можно запускать вручную, для текущих операций необходимо, чтобы это правило выполнялось по расписанию, чтобы новые файлы классифицировались со свойством RMS.

Настройка расписания классификации

  • На вкладке "Автоматическая классификация ":

    • Включить фиксированное расписание: выберите этот проверка box.

    • Настройте расписание для выполнения всех правил классификации, включая новое правило для классификации файлов с помощью свойства RMS.

    • Разрешить непрерывную классификацию новых файлов: выберите этот проверка поле, чтобы классифицировать новые файлы.

    • Необязательно. Внесите любые другие необходимые изменения, такие как настройка параметров для отчетов и уведомлений.

Теперь вы завершили настройку классификации, вы готовы настроить задачу управления для применения защиты RMS к файлам.

Создание настраиваемой задачи управления файлами (защита файлов с помощью RMS)

  • В задачах управления файлами создайте задачу управления файлами:

    • На вкладке Общее:

      • Имя задачи: тип защиты файлов с помощью RMS

      • Сохраните флажок Enable проверка box.

      • Описание. Введите файлы в <имени> папки с помощью Rights Management и шаблона с помощью скрипта Windows PowerShell.

        Замените <имя> папки выбранным именем папки. Например, защита файлов в C:\FileShare с помощью Rights Management и шаблона с помощью скрипта Windows PowerShell

      • Область: выберите выбранную папку. Например, C:\FileShare.

        Не выбирайте проверка boxes.

    • На вкладке "Действие ":

      • Тип: выбор настраиваемого элемента

      • Исполняемый файл: укажите следующее:

        C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

        Если Windows не находится на диске C: измените этот путь или перейдите к этому файлу.

      • Аргумент: укажите следующие значения, указав собственные значения для <пути> и <идентификатора> шаблона:

        -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID <template GUID> -OwnerMail '[Source File Owner Email]'"

        Например, если вы скопировали скрипт в C:\RMS-Protection и идентификатор шаблона, который вы определили из предварительных требований, — e6ee2481-26b9-45e5-b34a-f744eacd53b0, укажите следующее:

        -Noprofile -Command "C:\RMS-Protection\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerMail '[Source File Owner Email]'"

        В этой команде [Путь к исходному файлу] и [Адрес электронной почты владельца исходного файла] являются переменными, зависящими от FCI, поэтому введите их точно так же, как они отображаются в предыдущей команде. Первая переменная используется FCI для автоматического указания идентифицированного файла в папке, а вторая переменная — для автоматического получения адреса электронной почты именованного владельца указанного файла. Эта команда повторяется для каждого файла в папке, которая в нашем примере представляет собой каждый файл в папке C:\FileShare, которая также имеет RMS в качестве свойства классификации файлов.

        Примечание.

        Параметр -OwnerMail [адрес электронной почты владельца исходного файла] гарантирует, что исходный владелец файла предоставляется владельцу Rights Management файла после его защиты. Эта конфигурация гарантирует, что исходный владелец файла имеет все права Rights Management для своих собственных файлов. При создании файлов пользователем домена адрес электронной почты автоматически извлекается из Active Directory с помощью имени учетной записи пользователя в свойстве владельца файла. Для этого файловый сервер должен находиться в том же домене или доверенном домене, что и пользователь.

        По возможности назначьте исходным владельцам защищенные документы, чтобы убедиться, что эти пользователи будут иметь полный контроль над созданными файлами. Однако если вы используете переменную [Имя владельца файла], как в приведенной выше команде, и файл не имеет пользователя домена, определенного как владелец (например, локальная учетная запись использовалась для создания файла, поэтому владелец отображает SYSTEM), сценарий завершается ошибкой.

        Для файлов, у которых нет пользователя домена в качестве владельца, можно скопировать и сохранить эти файлы самостоятельно в качестве пользователя домена, чтобы вы стали владельцем только этих файлов. Или, если у вас есть разрешения, вы можете вручную изменить владельца. Кроме того, можно указать определенный адрес электронной почты (например, собственный или групповой адрес ИТ-отдела) вместо переменной [Адрес электронной почты владельца исходного файла], что означает, что все файлы, защищенные с помощью этого скрипта, используют этот адрес электронной почты для определения нового владельца.

    • Выполните команду как: Выбор локальной системы

    • На вкладке "Условие ":

      • Свойство: Выбор RMS

      • Оператор: Select Equal

      • Значение: выбор "Да"

    • На вкладке "Расписание ":

      • Выполните команду: настройте предпочитаемое расписание.

        Предоставьте достаточно времени для завершения скрипта. Хотя это решение защищает все файлы в папке, скрипт выполняется один раз для каждого файла каждый раз. Хотя это занимает больше времени, чем защита всех файлов одновременно, которые поддерживает клиент Azure Information Protection, эта конфигурация файлов для FCI более эффективна. Например, защищенные файлы могут иметь разных владельцев (сохранить исходного владельца) при использовании переменной [Адрес электронной почты владельца исходного файла], и это действие по файлам требуется, если позже изменить конфигурацию, чтобы выборочно защитить файлы, а не все файлы в папке.

      • Непрерывное выполнение новых файлов: выберите этот проверка box.

Тестирование конфигурации путем выполнения правила и задачи вручную

  1. Запустите правило классификации:

    1. Щелкните "Правила>классификации" Выполнить классификацию со всеми правилами сейчас

    2. Нажмите кнопку "Дождаться завершения классификации" и нажмите кнопку "ОК".

  2. Дождитесь закрытия диалогового окна "Выполнение классификации" , а затем просмотрите результаты в автоматически отображаемом отчете. Вы должны увидеть 1 для поля "Свойства" и количества файлов в папке. Подтвердите использование проводник и проверка свойства файлов в выбранной папке. На вкладке "Классификация" должно отображаться имя свойства RMS и "Да" для значения.

  3. Выполните задачу управления файлами:

    1. Теперь щелкните "Задачи>управления файлами", чтобы защитить файлы с помощью задачи управления файлами RMS>

    2. Нажмите кнопку "Дождаться завершения задачи" и нажмите кнопку "ОК".

  4. Дождитесь закрытия диалогового окна "Выполнение задачи управления файлами", а затем просмотрите результаты в автоматически отображаемом отчете. Вы увидите количество файлов, которые находятся в выбранной папке в поле "Файлы ". Убедитесь, что файлы в выбранной папке теперь защищены службой Rights Management. Например, если выбранная папка C:\FileShare, введите следующую команду в сеансе Windows PowerShell и убедитесь, что файлы не имеют состояния без защиты:

    foreach ($file in (Get-ChildItem -Path C:\FileShare -Force | where {!$_.PSIsContainer})) {Get-RMSFileStatus -f $file.PSPath}

    Совет

    Советы по устранению неполадок

    • Если в отчете отображается значение 0 , а не количество файлов в папке, это означает, что скрипт не выполнялся. Сначала проверка скрипт, загрузив его в среде сценариев Windows PowerShell, чтобы проверить содержимое скрипта и попробовать запустить его один раз в одном сеансе PowerShell, чтобы узнать, отображаются ли какие-либо ошибки. Без указанных аргументов скрипт пытается подключиться и пройти проверку подлинности в службе Azure Rights Management.

      • Если скрипт сообщает, что не удалось подключиться к службе Azure Rights Management (Azure RMS), проверка значения, отображаемые для учетной записи субъекта-службы, указанной в скрипте. Дополнительные сведения о создании этой учетной записи субъекта-службы см . в разделе "Предварительные требования 3. Чтобы защитить или отменить защиту файлов без взаимодействия с руководством администратора клиента Azure Information Protection".
      • Если скрипт сообщает, что он может подключиться к Azure RMS, затем проверка, что он может найти указанный шаблон, выполнив команду Get-RMSTemplate непосредственно из Windows PowerShell на сервере. Вы увидите шаблон, который вы указали в результатах.

    • Если скрипт выполняется в среде сценариев Windows PowerShell без ошибок, попробуйте запустить его следующим образом из сеанса PowerShell, указав имя файла для защиты и без параметра -OwnerEmail:

      powershell.exe -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '<full path and name of a file>' -TemplateID <template GUID>"

      • Если скрипт успешно выполняется в этом сеансе Windows PowerShell, проверка записи для исполнительного и аргумента в действии задачи управления файлами. Если вы указали -OwnerEmail [адрес электронной почты владельца исходного файла], попробуйте удалить этот параметр.

        Если задача управления файлами работает успешно без -OwnerEmail [адрес электронной почты владельца исходного файла], проверка, что незащищенные файлы имеют пользователя домена, указанного в качестве владельца файла, а не SYSTEM. Чтобы сделать это проверка, перейдите на вкладку "Безопасность" для свойств файла и нажмите кнопку "Дополнительно". Значение владельца отображается сразу после имени файла. Кроме того, убедитесь, что файловый сервер находится в том же домене или доверенном домене, чтобы найти адрес электронной почты пользователя из служб домен Active Directory.

    • Если в отчете отображается правильное количество файлов, но файлы не защищены, попробуйте защитить файлы вручную с помощью командлета Protect-RMSFile , чтобы узнать, отображаются ли ошибки.

Убедись, что эти задачи выполняются успешно, можно закрыть диспетчер файлового ресурса. Новые файлы автоматически классифицируются и защищаются при выполнении запланированных задач.

Действие, необходимое для внесения изменений в шаблон Rights Management

При внесении изменений в шаблон Rights Management, ссылающийся на скрипт, учетная запись компьютера, которая запускает скрипт для защиты файлов, не получает автоматически обновленный шаблон. В скрипте найдите закомментированную Get-RMSTemplate -Force команду в функции Set-RMS Подключение ion и удалите символ комментария в начале строки. При следующем запуске скрипта будет скачан обновленный шаблон. Чтобы оптимизировать производительность, чтобы шаблоны не загружались ненужным образом, можно снова закомментировать эту строку.

Если изменения шаблона достаточно важны, чтобы повторно защитить файлы на файловом сервере, это можно сделать в интерактивном режиме, выполнив командлет Protect-RMSFile с учетной записью с правами экспорта или полного управления для файлов.

Также запустите эту строку в скрипте, если вы публикуете новый шаблон, который вы хотите использовать для FCI, и измените идентификатор шаблона в строке аргумента для настраиваемой задачи управления файлами.

Изменение инструкций для выборочной защиты файлов

При работе с предыдущими инструкциями их можно изменить для более сложной конфигурации. Например, защита файлов с помощью того же скрипта, но только для файлов, содержащих личные сведения, и, возможно, выберите шаблон с более строгими правами.

Чтобы внести это изменение, используйте одно из встроенных свойств классификации (например, Личные сведения) или создайте собственное свойство. Затем создайте новое правило, которое использует это свойство. Например, можно выбрать классификатор содержимого, выбрать свойство "Личная информация" со значением High, а также настроить строку или шаблон выражения, определяющий файл для этого свойства (например, строку "Дата рождения").

Теперь все, что необходимо сделать, — создать новую задачу управления файлами, которая использует один и тот же скрипт, но, возможно, с другим шаблоном, и настройте условие для только что настроенного свойства классификации. Например, вместо условия, настроенного ранее (свойство RMS, Equal, Yes), выберите свойство "Личная информация" со значением "Оператор", равным "Равно" и значением "Высокий".

Следующие шаги

Возможно, вам интересно: какова разница между FCI Windows Server и сканером Azure Information Protection?