Yönetici Kılavuzu: PowerShell'i Azure Information Protection birleşik istemcisiyle kullanma

Not

eski adıyla Microsoft Bilgi Koruması (MIP) Microsoft Purview Bilgi Koruması mi arıyorsunuz?

Azure Information Protection birleşik etiketleme istemcisi artık bakım modundadır. Office 365 uygulamalarınızda ve hizmetlerinizde yerleşik olarak bulunan etiketleri kullanmanızı öneririz. Daha fazla bilgi edinin

Azure Information Protection birleşik etiketleme istemcisini yüklediğinizde PowerShell komutları, etiketleme cmdlet'leri ile AzureInformationProtection modülünün bir parçası olarak otomatik olarak yüklenir.

AzureInformationProtection modülü, otomasyon betikleri için komutlar çalıştırarak istemciyi yönetmenizi sağlar.

Örnek:

  • Get-AIPFileStatus: Belirtilen dosya veya dosyalar için Azure Information Protection etiketi ve koruma bilgilerini alır.
  • Set-AIPFileClassification: İlkede yapılandırılan koşullara göre bir dosya için Azure Information Protection etiketini otomatik olarak ayarlamak üzere bir dosyayı tarar.
  • Set-AIPFileLabel: Bir dosya için Azure Information Protection etiketini ayarlar veya kaldırır ve etiket yapılandırmasına veya özel izinlerine göre korumayı ayarlar veya kaldırır.
  • Set-AIPAuthentication: Azure Information Protection istemcisi için kimlik doğrulama kimlik bilgilerini ayarlar.

AzureInformationProtection modülü \ProgramFiles (x86)\Microsoft Azure Information Protection klasörüne yüklenir ve ardından bu klasörü PSModulePath sistem değişkenine ekler. Bu modüle ait .dll dosyası, AIP.dll adındadır .

Önemli

AzureInformationProtection modülü, etiketler veya etiket ilkeleri için gelişmiş ayarları yapılandırmayı desteklemez.

Bu ayarlar için Güvenlik & Uyumluluk Merkezi PowerShell gerekir. Daha fazla bilgi için bkz. Azure Information Protection birleşik etiketleme istemcisi için özel yapılandırmalar.

İpucu

Yol uzunlukları 260 karakterden uzun olan cmdlet'leri kullanmak için, Windows 10, sürüm 1607'den itibaren kullanılabilen aşağıdaki grup ilkesi ayarını kullanın:
Yerel Bilgisayar İlkesi>Bilgisayar Yapılandırması>Yönetim Şablonları>Tüm Ayarlar>Win32 uzun yollarını etkinleştirme

Windows Server 2016 için, Windows 10 için en son Yönetim Şablonları'nı (.admx) yüklerken aynı grup ilkesi ayarını kullanabilirsiniz.

Daha fazla bilgi için, Windows 10 geliştirici belgelerinde En Fazla Yol Uzunluğu Sınırlaması bölümüne bakın.

AzureInformationProtection modülünü kullanma önkoşulları

AzureInformationProtection modülünü yükleme önkoşullarına ek olarak, Azure Information Protection için etiketleme cmdlet'lerini kullandığınızda ek önkoşullar vardır:

  • Azure Rights Management hizmetinin etkinleştirilmesi gerekir.

    Azure Information Protection kiracınız etkinleştirilmediyse Azure Information Protection'dan koruma hizmetini etkinleştirme yönergelerine bakın.

  • Kendi hesabınızı kullanarak başkalarının dosyalarından korumayı kaldırmak için:

    • Süper kullanıcı özelliği kuruluşunuz için etkinleştirilmelidir.
    • Hesabınızın Azure Rights Management için süper kullanıcı olacak şekilde yapılandırılması gerekir.

    Örneğin, veri bulma veya kurtarma amacıyla başkalarının korumasını kaldırmak isteyebilirsiniz. Koruma uygulamak için etiketler kullanıyorsanız, koruma uygulamayan yeni bir etiket ayarlayarak bu korumayı kaldırabilir veya etiketi kaldırabilirsiniz.

    Korumayı kaldırmak için RemoveProtection parametresiyle Set-AIPFileLabel cmdlet'ini kullanın. Bazı durumlarda korumayı kaldırma özelliği varsayılan olarak devre dışı bırakılabilir ve önce Set-LabelPolicy cmdlet'i kullanılarak etkinleştirilmesi gerekir.

RMS-birleşik etiketleme cmdlet eşlemesi

Azure RMS'den geçiş yaptıysanız, RMS ile ilgili cmdlet'lerin birleşik etiketlemede kullanılmak üzere kullanım dışı bırakıldığını unutmayın.

Bazı eski cmdlet'ler birleşik etiketleme için yeni cmdlet'lerle değiştirilmiştir. Örneğin, RMS koruması ile New-RMSProtectionLicense kullandıysanız ve birleşik etiketlemeye geçirdiyseniz, bunun yerine New-AIPCustomPermissions kullanın.

Aşağıdaki tablo, RMS ile ilgili cmdlet'leri birleşik etiketleme için kullanılan güncelleştirilmiş cmdlet'lerle eşler:

RMS cmdlet'i Birleşik etiketleme cmdlet'i
Get-RMSFileStatus Get-AIPFileStatus
Get-RMSServer Birleşik etiketleme için uygun değildir.
Get-RMSServerAuthentication Set-AIPAuthentication
Clear-RMSAuthentication Set-AIPAuthentication
Set-RMSServerAuthentication Set-AIPAuthentication
Get-RMSTemplate Birleşik etiketleme için uygun değil
New-RMSProtectionLicense CustomPermissions parametresiyle New-AIPCustomPermissions ve Set-AIPFileLabel
Protect-RMSFile RemoveProtection parametresiyle set-AIPFileLabel

Azure Information Protection için etkileşimli olmayan bir yöntemle dosyaları etiketleme

Varsayılan olarak, etiketleme cmdlet’lerini çalıştırdığınızda, komutlar etkileşimli bir PowerShell oturumunda sizin kullanıcı bağlamınızda çalıştırılır.

Daha fazla bilgi için bkz.

Not

Bilgisayarın İnternet erişimi yoksa, uygulamayı Azure AD'de oluşturmanız ve Set-AIPAuthentication cmdlet'ini çalıştırmanız gerekmez. Bunun yerine bağlantısı kesilmiş bilgisayarlar için yönergeleri izleyin.

AIP etiketleme cmdlet'lerini katılımsız çalıştırmak için önkoşullar

Azure Information Protection etiketleme cmdlet'lerini katılımsız çalıştırmak için aşağıdaki erişim ayrıntılarını kullanın:

  • Etkileşimli olarak oturum açabilen bir Windows hesabı.

  • Temsilci erişimi için bir Azure AD hesabı. Yönetim kolaylığı için, Active Directory'den Azure AD eşitlenmiş tek bir hesap kullanın.

    Temsilci atanan kullanıcı hesabı için:

    Gereksinim Ayrıntılar
    Etiket ilkesi Bu hesaba atanmış bir etiket ilkeniz olduğundan ve ilkenin kullanmak istediğiniz yayımlanmış etiketleri içerdiğinden emin olun.

    Farklı kullanıcılar için etiket ilkeleri kullanıyorsanız, tüm etiketlerinizi yayımlayan yeni bir etiket ilkesi oluşturmanız ve ilkeyi yalnızca bu temsilci kullanıcı hesabında yayımlamanız gerekebilir.
    İçeriğin şifresini çözme Bu hesabın, dosyaları yeniden korumak ve başkalarının koruduğu dosyaları incelemek gibi içeriklerin şifresini çözmesi gerekiyorsa, bunu Azure Information Protection için süper kullanıcı yapın ve süper kullanıcı özelliğinin etkinleştirildiğinden emin olun.
    Ekleme denetimleri Aşamalı dağıtım için ekleme denetimleri uyguladıysanız, bu hesabın yapılandırdığınız ekleme denetimlerinize dahil olduğundan emin olun.
  • Temsilci kullanıcının Azure Information Protection kimlik doğrulaması için kimlik bilgilerini ayarlayıp depolayan Azure AD erişim belirteci. Azure AD'daki belirtecin süresi dolduğunda, yeni bir belirteç almak için cmdlet'ini yeniden çalıştırmanız gerekir.

    Set-AIPAuthentication parametreleri, Azure AD bir uygulama kayıt işleminden alınan değerleri kullanır. Daha fazla bilgi için bkz. Set-AIPAuthentication için Azure AD uygulamaları oluşturma ve yapılandırma.

Önce Set-AIPAuthentication cmdlet'ini çalıştırarak etiketleme cmdlet'lerini etkileşimli olmayan şekilde çalıştırın.

AIPAuthentication cmdlet'ini çalıştıran bilgisayar, Microsoft Purview uyumluluk portalı temsilci kullanıcı hesabınıza atanan etiketleme ilkesini indirir.

Set-AIPAuthentication için Azure AD uygulamaları oluşturma ve yapılandırma

Set-AIPAuthentication cmdlet'i, AppId ve AppSecret parametreleri için bir uygulama kaydı gerektirir.

Birleştirilmiş etiketleme istemcisi Set-AIPAuthentication cmdlet'i için yeni bir uygulama kaydı oluşturmak için:

  1. Yeni bir tarayıcı penceresinde, Azure Information Protection ile kullandığınız Azure AD kiracısında Azure portal oturum açın.

  2. Azure Active Directory>Yönetimi>Uygulama kayıtları'ne gidin ve Yeni kayıt'ı seçin.

  3. Uygulamayı kaydet bölmesinde aşağıdaki değerleri belirtin ve Kaydet'e tıklayın:

    Seçenek Değer
    Ad AIP-DelegatedUser
    Gerektiğinde farklı bir ad belirtin. Adın kiracı başına benzersiz olması gerekir.
    Desteklenen hesap türleri Yalnızca bu kuruluş dizinindeki Hesaplar'ı seçin.
    Yeniden yönlendirme URI'si (isteğe bağlı) Web'i seçin ve girinhttps://localhost.
  4. AIP-DelegatedUser bölmesinde, Uygulama (istemci) kimliği değerini kopyalayın.

    Değer aşağıdaki örneğe benzer: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Bu değer, Set-AIPAuthentication cmdlet'ini çalıştırdığınızda AppId parametresi için kullanılır. Değeri yapıştırın ve daha sonra başvurmak üzere kaydedin.

  5. Kenar çubuğundaSertifika gizli dizilerini &yönet'i> seçin.

    Ardından, AIP-DelegatedUser - Sertifika gizli dizileri bölmesindeki İstemci gizli dizileri & bölümünde Yeni istemci gizli dizisi'ni seçin.

  6. İstemci gizli dizisi ekle için aşağıdakileri belirtin ve ekle'yi seçin:

    Alan Değer
    Açıklama Azure Information Protection unified labeling client
    Sona eri -yor İstediğiniz süreyi belirtin (1 yıl, 2 yıl veya süresi hiç dolmaz)
  7. AIP-DelegatedUser - Sertifika gizli dizileri bölmesine dönüp İstemci gizli dizileri & bölümünde VALUE dizesinin dizesini kopyalayın.

    Bu dize aşağıdaki örneğe benzer: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Tüm karakterleri kopyaladığınızdan emin olmak için Panoya kopyala simgesini seçin.

    Önemli

    Bu dizeyi saklamanız önemlidir çünkü yeniden gösterilmez ve alınamaz. Kullandığınız tüm hassas bilgilerde olduğu gibi, kaydedilen değeri güvenli bir şekilde depolayın ve erişimi kısıtlayın.

  8. Kenar çubuğundaAPI izinleriniyönet'i> seçin.

    AIP-DelegatedUser - API izinleri bölmesinde İzin ekle'yi seçin.

  9. API izinleri isteme bölmesinde Microsoft API'leri sekmesinde olduğunuzdan emin olun ve Azure Rights Management Services'ı seçin.

    Uygulamanızın gerektirdiği izin türü sorulduğunda Uygulama izinleri'ni seçin.

  10. İzinleri seçin içinİçerik'i genişletin, aşağıdakileri seçin ve ardından İzin ekle'yi seçin.

    • Content.DelegatedReader
    • Content.DelegatedWriter
  11. AIP-DelegatedUser - API izinleri bölmesine dönüp İzin ekle'yi yeniden seçin.

    AIP izinleri iste bölmesinde kuruluşumun kullandığı API'leri seçin ve Microsoft Bilgi Koruması Eşitleme Hizmeti'ni arayın.

  12. API izinleri iste bölmesinde Uygulama izinleri'ni seçin.

    İzinleri seçin için UnifiedPolicy'yi genişletin, UnifiedPolicy.Tenant.Read öğesini ve ardından İzin ekle'yi seçin.

  13. AIP-DelegatedUser - API izinleri bölmesine dönün, Kiracı adınız> için < yönetici onayı ver'i seçin ve onay istemi için Evet'i seçin.

    API izinleriniz aşağıdaki görüntü gibi görünmelidir:

    Azure AD'de kayıtlı uygulama için API izinleri

Artık bu uygulamanın kaydını bir gizli diziyle tamamladınız, AppId ve AppSecret parametreleriyle Set-AIPAuthentication çalıştırmaya hazırsınız. Buna ek olarak, kiracı kimliğiniz gerekir.

İpucu

Azure portal: Azure Active Directory>Özellikleri> YönetDizin Kimliğini kullanarak kiracı kimliğinizi hızlakopyalayabilirsiniz>.

Set-AIPAuthentication cmdlet'ini çalıştırma

  1. Yönetici olarak çalıştır seçeneğiyle Windows PowerShell açın.

  2. PowerShell oturumunuzda, Etkileşimli olmayan bir şekilde çalışacak Windows kullanıcı hesabının kimlik bilgilerini depolamak için bir değişken oluşturun. Örneğin, tarayıcı için bir hizmet hesabı oluşturduysanız:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"
    

    Bu hesabın parolası istenir.

  3. Oluşturduğunuz değişkeni değeri olarak belirterek OnBeHalfOf parametresiyle Set-AIPAuthentication cmdlet'ini çalıştırın.

    Ayrıca uygulama kayıt değerlerinizi, kiracı kimliğinizi ve Azure AD'de temsilci kullanıcı hesabının adını belirtin. Örnek:

    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
    

PowerShell cmdlet'leri için ortak parametreler

Ortak parametreler hakkında bilgi için bkz. Ortak parametreler hakkında.

Sonraki adımlar

PowerShell oturumundayken cmdlet yardımı için yazın Get-Help <cmdlet name> -online. Örnek:

Get-Help Set-AIPFileLabel -online

Daha fazla bilgi için bkz.