Поделиться через


Настройка клиента защиты информации с помощью PowerShell

Описание

Содержит инструкции по установке клиента Защита информации Microsoft Purview и командлетов PowerShell с помощью PowerShell.

Использование PowerShell с клиентом Защита информации Microsoft Purview

Модуль Защита информации Microsoft Purview устанавливается вместе с клиентом защиты информации. Связанный модуль PowerShell — PurviewInformationProtection.

Модуль PurviewInformationProtection позволяет управлять клиентом с помощью команд и скриптов автоматизации. Например:

  • Install-Scanner. Устанавливает и настраивает службу сканера Information Protection на компьютере под управлением Windows Server 2019, Windows Server 2016 или Windows Server 2012 R2.
  • Get-FileStatus: возвращает метку Information Protection и сведения о защите для указанного файла или файлов.
  • Start-Scan. Указывает сканеру защиты информации начать цикл однократной проверки.
  • Set-FileLabel -Autolabel: сканирует файл, чтобы автоматически задать метку защиты информации для файла в соответствии с условиями, настроенными в политике.

Установка модуля PowerShell PurviewInformationProtection

Предварительные требования для установки

  • Для этого модуля требуется Windows PowerShell 4.0. Это необходимое условие не проверяется во время установки. Убедитесь, что у вас установлена правильная версия PowerShell.
  • Убедитесь, что у вас установлена последняя версия модуля PowerShell PurviewInformationProtection, выполнив команду Import-Module PurviewInformationProtection.

Подробности об установке

Вы устанавливаете и настраиваете клиент защиты информации и связанные командлеты с помощью PowerShell.

Модуль PowerShell PurviewInformationProtection устанавливается автоматически при установке полной версии клиента защиты информации. Кроме того, модуль можно установить только с помощью параметра PowerShellOnly=true .

Модуль устанавливается в папку \ProgramFiles (x86)\PurviewInformationProtection , а затем добавляет эту папку в системную PSModulePath переменную.

Важно!

Модуль PurviewInformationProtection не поддерживает настройку дополнительных параметров для меток или политик меток.

Чтобы использовать командлеты с длиной пути более 260 символов, используйте следующий параметр групповой политики, доступный начиная с Windows 10 версии 1607:

Политика >локального компьютераКонфигурация> компьютераАдминистративные шаблоны>Все параметры>Включение длинных путей Win32

Для Windows Server 2016 можно использовать тот же параметр групповой политики, что и при установке последних административных шаблонов (ADMX) для Windows 10.

Дополнительные сведения см. в разделе об ограничении максимальной длины пути в документации разработчика Windows 10.

Общие сведения о предварительных требованиях для модуля PowerShell PurviewInformationProtection

Помимо необходимых компонентов для установки модуля PurviewInformationProtection, необходимо также активировать службу Azure Rights Management.

В некоторых случаях может потребоваться снять защиту с файлов для других пользователей, использующих вашу учетную запись. Например, может потребоваться снять защиту для других пользователей для обнаружения или восстановления данных. Если вы используете метки для применения защиты, вы можете удалить эту защиту, установив новую метку, которая не применяет защиту, или удалить метку.

В таких случаях также должны соблюдаться следующие требования:

  • Для вашей организации должна быть включена функция суперпользовать.
  • Ваша учетная запись должна быть настроена как суперпользовать Azure Rights Management.

Автоматический запуск командлетов маркировки информационной защиты

По умолчанию, когда вы используете командлеты для работы с метками, команды выполняются в пользовательском контексте в интерактивном сеансе PowerShell. Чтобы автоматически запускать командлеты меток конфиденциальности, ознакомьтесь со следующими разделами:

Общие сведения о предварительных требованиях для автоматического выполнения командлетов маркировки

Чтобы запустить командлеты меток Purview Information Protection автоматически, используйте следующие сведения о доступе:

  • Учетная запись Windows , которая может выполнять вход в интерактивном режиме.

  • Учетная запись Microsoft Entra для делегированного доступа. Для простоты администрирования используйте одну учетную запись, которая синхронизируется из Active Directory в Microsoft Entra ID.

    Для учетной записи делегированного пользователя настройте следующие требования:

    Требование Сведения
    Политика меток Убедитесь, что этой учетной записи назначена политика меток и что она содержит опубликованные метки, которые вы хотите использовать.

    Если вы используете политики меток для разных пользователей, может потребоваться создать новую политику меток, которая публикует все метки, и опубликовать политику только в этой учетной записи делегированного пользователя.
    Расшифровка содержимого Если этой учетной записи необходимо расшифровать содержимое, например для повторной защиты файлов и проверки файлов, защищенных другими пользователями, сделайте ее суперпользоваем для Information Protection и убедитесь, что функция суперпользовала включена.
    Элементы управления подключением Если вы реализовали элементы управления подключением для поэтапного развертывания, убедитесь, что эта учетная запись включена в настроенные элементы управления адаптацией.
  • Маркер доступа Microsoft Entra, который задает и хранит учетные данные для делегированного пользователя для проверки подлинности в Защита информации Microsoft Purview. По истечении срока действия маркера в Microsoft Entra ID необходимо выполнить командлет еще раз, чтобы получить новый маркер.

    Параметры для Set-Authentication используют значения из процесса регистрации приложения в Microsoft Entra ID. Дополнительные сведения см. в статье Create и настройка приложений Microsoft Entra для Set-Authentication.

Запустите командлеты меток в неинтерактивном режиме, сначала запустив командлет Set-Authentication .

Компьютер, на котором выполняется командлет Set-Authentication, загружает политику меток, назначенную учетной записи делегированного пользователя, в Портал соответствия требованиям Microsoft Purview.

Create и настройка приложений Microsoft Entra для Set-Authentication

Командлет Set-Authentication требует регистрации приложения для параметров AppId и AppSecret .

Чтобы создать регистрацию приложения для командлета Set-Authentication клиента унифицированных меток, выполните следующие действия.

  1. В новом окне браузера войдите в портал Azure в клиенте Microsoft Entra, который используется с Защита информации Microsoft Purview.

  2. Перейдите в раздел Microsoft Entra ID>Управление>Регистрация приложений и выберите Новая регистрация.

  3. На панели Регистрация приложения укажите следующие значения, а затем выберите Зарегистрировать:

    Параметр Значение
    имя; AIP-DelegatedUser
    При необходимости укажите другое имя. Имя должно быть уникальным для каждого клиента.
    Поддерживаемые типы учетных записей Установите флажок Учетные записи только в этом каталоге организации.
    URI перенаправления (необязательно) Выберите Интернет, а затем введите https://localhost.
  4. На панели AIP-DelegatedUser скопируйте значение идентификатора приложения (клиента).

    Значение выглядит примерно так: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Это значение используется для параметра AppId при выполнении командлета Set-Authentication . Вставьте и сохраните значение для последующей ссылки.

  5. На боковой панели выберите Управление>сертификатами & секреты.

    Затем в области AIP-DelegatedUser — Сертификаты & секреты в разделе Секреты клиента выберите Новый секрет клиента.

  6. В поле Add a client secret (Добавить секрет клиента) укажите следующее, а затем нажмите кнопку Добавить:

    Поле Значение
    Описание Microsoft Purview Information Protection client
    Истекает Укажите выбранный срок действия (1 год, 2 года или никогда не истечет)
  7. Вернитесь в область AIP-DelegatedUser — Сертификаты & секреты , в разделе Секреты клиента скопируйте строку для значения.

    Эта строка выглядит примерно так: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Чтобы скопировать все символы, щелкните значок Копировать в буфер обмена.

    Важно!

    Сохраните эту строку, так как она не отображается снова и не может быть извлечена. Как и в случае с любой конфиденциальной информацией, которую вы используете, храните сохраненное значение безопасно и ограничьте доступ к нему.

  8. На боковой панели выберите Управление>разрешениями API.

    На панели AIP-DelegatedUser — разрешения API выберите Добавить разрешение.

  9. В области Запрос разрешений API убедитесь, что вы находитесь на вкладке API Майкрософт , и выберите Службы Azure Rights Management.

    Когда вам будет предложено ввести тип разрешений, необходимых приложению, выберите Разрешения приложения.

  10. Для параметра Выбрать разрешения разверните узел Содержимое и выберите следующее, а затем щелкните Добавить разрешения.

    • Content.DelegatedReader
    • Content.DelegatedWriter
  11. Вернитесь в область AIP-DelegatedUser — разрешения API и снова выберите Добавить разрешение .

    В области Запрос разрешений AIP выберите API, которые использует моя организация, и найдите Службу синхронизации Microsoft Information Protection.

  12. На панели Запрос разрешений API выберите Разрешения приложения.

    В разделе Выбор разрешений разверните узел UnifiedPolicy, выберите UnifiedPolicy.Tenant.Read, а затем выберите Добавить разрешения.

  13. Вернитесь в область AIP-DelegatedUser — разрешения API , выберите Предоставить согласие администратора для клиента и выберите Да в запросе на подтверждение.

После этого действия регистрация этого приложения с помощью секрета завершается. Вы готовы к запуску Set-Authentication с параметрами AppId и AppSecret. Кроме того, вам потребуется идентификатор клиента.

Совет

Вы можете быстро скопировать идентификатор клиента, используя портал Azure: Microsoft Entra ID>Управление>идентификатором каталогасвойств>.

Выполнение командлета Set-Authentication

  1. Откройте Windows PowerShell с параметром Запуск от имени администратора.

  2. В сеансе PowerShell создайте переменную для хранения учетных данных учетной записи пользователя Windows, которая выполняется неинтерактивно. Например, если вы создали учетную запись службы для средства проверки:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"
    

    Вам будет предложено ввести пароль этой учетной записи.

  3. Запустите командлет Set-Authentication с параметром OnBeHalfOf , указав в качестве значения созданную переменную.

    Также укажите значения регистрации приложения, идентификатор клиента и имя учетной записи делегированного пользователя в Microsoft Entra ID. Пример:

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds