PowerShell kullanarak bilgi koruma istemcisini ayarlama

Açıklama

PowerShell kullanarak Microsoft Purview Bilgi Koruması istemcisini ve PowerShell cmdlet'lerini yüklemeye yönelik yönergeleri içerir.

PowerShell'i Microsoft Purview Bilgi Koruması istemcisiyle kullanma

Microsoft Purview Bilgi Koruması modülü, bilgi koruma istemcisiyle birlikte yüklenir. İlişkili PowerShell modülü PurviewInformationProtection'dır.

PurviewInformationProtection modülü, istemciyi komutlar ve otomasyon betikleriyle yönetmenizi sağlar; mesela:

  • Install-Scanner: Windows Server 2019, Windows Server 2016 veya Windows Server 2012 R2 çalıştıran bir bilgisayara Information Protection Scanner hizmetini yükler ve yapılandırır.
  • Get-FileStatus: Belirtilen dosya veya dosyalar için Bilgi Koruma etiketini ve koruma bilgilerini alır.
  • Taramayı Başlat: Bilgi koruma tarayıcısına tek seferlik bir tarama döngüsü başlatması talimatını verir.
  • Set-FileLabel -Autolabel: İlkede yapılandırılan koşullara göre bir dosya için otomatik olarak bir bilgi koruma etiketi ayarlamak üzere bir dosyayı tarar.

PurviewInformationProtection PowerShell modülünü yükleme

Yükleme önkoşulları

  • Bu modül Windows PowerShell 4.0 gerektirir. Bu önkoşul yükleme sırasında denetlenmez. PowerShell'in doğru sürümünün yüklü olduğundan emin olun.
  • komutunu çalıştırarak Import-Module PurviewInformationProtectionPurviewInformationProtection PowerShell modülünün en son sürümüne sahip olduğunuzdan emin olun.

Yükleme ayrıntıları

PowerShell kullanarak bilgi koruma istemcisini ve ilişkili cmdlet'leri yükler ve yapılandırırsınız.

PurviewInformationProtection PowerShell modülü, bilgi koruma istemcisinin tam sürümünü yüklediğinizde otomatik olarak yüklenir. Alternatif olarak, modülü yalnızca PowerShellOnly=true parametresini kullanarak yükleyebilirsiniz.

Modül \ProgramFiles (x86)\PurviewInformationProtection klasörüne yüklenir ve ardından bu klasörü sistem değişkenine PSModulePath ekler.

Önemli

PurviewInformationProtection modülü, etiketler veya etiket ilkeleri için gelişmiş ayarların yapılandırılmasını desteklemez.

260 karakterden daha uzun yol uzunluklarına sahip cmdlet'leri kullanmak için Windows 10, sürüm 1607'den itibaren kullanılabilen aşağıdaki grup ilkesi ayarını kullanın:

Yerel Bilgisayar İlkesi>Bilgisayar Yapılandırması>Yönetim Şablonları>Tüm Ayarlar>Win32 uzun yollarını etkinleştirme

Windows Server 2016 için, Windows 10 için en son Yönetim Şablonları'nı (.admx) yüklerken aynı grup ilkesi ayarını kullanabilirsiniz.

Daha fazla bilgi için Windows 10 geliştirici belgelerindeki Maksimum Yol Uzunluğu Sınırlaması'na bakın.

PurviewInformationProtection PowerShell modülü için önkoşulları anlama

PurviewInformationProtection modülü için yükleme önkoşullarına ek olarak, Azure Rights Management hizmetini de etkinleştirmeniz gerekir.

Bazı durumlarda, kendi hesabınızı kullanan diğer kullanıcılar için dosyaların korumasını kaldırmak isteyebilirsiniz. Örneğin, veri bulma veya kurtarma amacıyla başkaları için korumayı kaldırmak isteyebilirsiniz. Koruma uygulamak için etiketler kullanıyorsanız, koruma uygulamayan yeni bir etiket ayarlayarak bu korumayı kaldırabilir veya etiketi kaldırabilirsiniz.

Bu gibi durumlar için aşağıdaki gereksinimlerin de karşılanması gerekir:

  • Süper kullanıcı özelliği kuruluşunuz için etkinleştirilmiş olmalıdır.
  • Hesabınızın bir Azure Rights Management süper kullanıcısı olarak yapılandırılması gerekir.

Bilgi koruma etiketleme cmdlet'lerini katılımsız çalıştırma

Varsayılan olarak, etiketleme için cmdlet'leri çalıştırdığınızda, komutlar etkileşimli bir PowerShell oturumunda kendi kullanıcı bağlamınızda çalışır. Duyarlılık etiketleme cmdlet'lerini otomatik olarak çalıştırmak için aşağıdaki bölümleri okuyun:

Etiketleme cmdlet'lerini katılımsız çalıştırmak için önkoşulları anlama

Purview Bilgi Koruması etiketleme cmdlet'lerini katılımsız çalıştırmak için aşağıdaki erişim ayrıntılarını kullanın:

  • Etkileşimli olarak oturum açabilen bir Windows hesabı.

  • Temsilci erişimi için bir Microsoft Entra hesabı. Yönetim kolaylığı için, Active Directory'den Microsoft Entra ID'ye eşitlenen tek bir hesap kullanın.

    Temsilci kullanıcı hesabı için aşağıdaki gereksinimleri yapılandırın:

    Gereksinim Ayrıntılar
    Etiket politikası Bu hesaba atanmış bir etiket ilkeniz olduğundan ve ilkenin kullanmak istediğiniz yayımlanmış etiketleri içerdiğinden emin olun.

    Farklı kullanıcılar için etiket ilkeleri kullanıyorsanız, tüm etiketlerinizi yayınlayan yeni bir etiket ilkesi oluşturmanız ve ilkeyi yalnızca bu temsilci kullanıcı hesabında yayımlamanız gerekebilir.
    İçeriğin şifresini çözme Bu hesabın içeriğin şifresini çözmesi gerekiyorsa (örneğin, dosyaları yeniden korumak ve başkaları tarafından korunan dosyaları incelemek için) bu hesabı Bilgi Koruması için süper kullanıcı yapın ve süper kullanıcı özelliğinin etkinleştirildiğinden emin olun.
    Alıştırma kontrolleri Aşamalı bir dağıtım için ekleme denetimleri uyguladıysanız, bu hesabın yapılandırdığınız ekleme denetimlerine dahil edildiğinden emin olun.

  • Temsilci kullanıcının Microsoft Purview Bilgi Koruması'nda kimlik doğrulaması yapması için kimlik bilgilerini ayarlayan ve depolayan bir Microsoft Entra erişim belirteci. Microsoft Entra ID'deki belirtecin süresi dolduğunda, yeni bir belirteç almak için cmdlet'i yeniden çalıştırmanız gerekir.

    Set-Authentication parametreleri, Microsoft Entra ID'deki bir uygulama kayıt işlemindeki değerleri kullanır. Daha fazla bilgi için bkz . Set-Authentication için Microsoft Entra uygulamaları oluşturma ve yapılandırma.

Önce Set-Authentication cmdlet'ini çalıştırarak etiketleme cmdlet'lerini etkileşimli olmayan bir şekilde çalıştırın.

Set-Authentication cmdlet'ini çalıştıran bilgisayar, Microsoft Purview uyumluluk portalı temsilci kullanıcı hesabınıza atanan etiketleme ilkesini indirir.

Set-Authentication için Microsoft Entra uygulamaları oluşturma ve yapılandırma

Set-Authentication cmdlet'i, AppId ve AppSecret parametreleri için bir uygulama kaydı gerektirir.

Birleşik etiketleme istemcisi Set-Authentication cmdlet'i için yeni bir uygulama kaydı oluşturmak için:

  1. Yeni bir tarayıcı penceresinde, Microsoft Purview Bilgi Koruması ile kullandığınız Microsoft Entra kiracısında Azure portal oturum açın.

  2. Microsoft Entra Kimliği>Uygulama kayıtlarını> gidin ve Yeni kayıt'ı seçin.

  3. Uygulama kaydet bölmesinde aşağıdaki değerleri belirtin ve ardından Kaydet'i seçin:

    Seçenek Değer
    İsim AIP-DelegatedUser
    Gerektiği gibi farklı bir ad belirtin. Adın her kiracı için benzersiz olması gerekir.
    Desteklenen hesap türleri Yalnızca bu kuruluş dizininde Hesaplar'ı seçin.
    Yeniden yönlendirme URI'si (isteğe bağlı) Web'i seçin ve ardından Enter tuşuna basınhttps://localhost.

  4. AIP-DelegatedUser bölmesinde, Uygulama (istemci) kimliğinin değerini kopyalayın.

    Değer aşağıdaki örneğe benzer: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Bu değer, Set-Authentication cmdlet'ini çalıştırdığınızda AppId parametresi için kullanılır. Değeri daha sonra başvurmak üzere yapıştırın ve kaydedin.

  5. Kenar çubuğundanSertifikaları ve gizli dizileri yönet'i> seçin.

    Ardından, AIP-DelegatedUser - Sertifikalar ve gizli diziler bölmesinde, İstemci gizli dizileri bölümünde Yeni istemci gizli dizisi'ni seçin.

  6. İstemci gizli dizisi ekle için aşağıdakileri belirtin ve Ekle'yi seçin:

    Alan Değer
    Açıklama Microsoft Purview Information Protection client
    Sona Erme Tarihi Süre seçiminizi belirtin (1 yıl, 2 yıl veya süresi hiç dolmaz)

  7. AIP-DelegatedUser - Sertifikalar ve gizli diziler bölmesine geri dönün, İstemci gizli dizileri bölümünde, VALUE dizesini kopyalayın.

    Bu dize aşağıdaki örneğe benzer: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Tüm karakterleri kopyaladığınızdan emin olmak için Panoya kopyala simgesini seçin.

    Önemli

    Bu dizeyi kaydedin çünkü yeniden görüntülenmez ve geri alınamaz. Kullandığınız tüm hassas bilgilerde olduğu gibi, kaydedilen değeri güvenli bir şekilde saklayın ve bu değere erişimi kısıtlayın.

  8. Kenar çubuğundan APIizinlerini> seçin.

    AIP-DelegatedUser - API izinleri bölmesinde İzin ekle'yi seçin.

  9. API izinleri iste bölmesinde Microsoft API'leri sekmesinde olduğunuzdan emin olun ve Azure Rights Management Services'ı seçin.

    Uygulamanızın gerektirdiği izin türü sorulduğunda Uygulama izinleri'ni seçin.

  10. İzinleri seçin için İçerik'i genişletin, aşağıdakileri seçin ve ardından İzin ekle'yi seçin.

    • Content.DelegatedReader
    • Content.DelegatedWriter

  11. AIP-DelegatedUser - API izinleri bölmesine geri dönün ve İzin ekle'yi yeniden seçin.

    AIP izinleri iste bölmesinde kuruluşumun kullandığı API'leri seçin ve Microsoft Information Protection Eşitleme Hizmeti'ni arayın.

  12. API izinleri iste bölmesinde Uygulama izinleri'ni seçin.

    İzinleri seçin için UnifiedPolicy'yi genişletin, UnifiedPolicy.Tenant.Read'i seçin ve ardından İzin ekle'yi seçin.

  13. AIP-DelegatedUser - API izinleri bölmesine geri dönün, kiracınız için yönetici onayı ver'i seçin ve onay istemi için Evet'i seçin.

Bu adımdan sonra, bu uygulamanın gizli bir dizi ile kaydı tamamlanır. Set-Authentication'ıAppId ve AppSecret parametreleriyle çalıştırmaya hazırsınız. Ayrıca, kiracı kimliğinize ihtiyacınız vardır.

Tavsiye

Azure portal kullanarak kiracı kimliğinizi hızlı bir şekilde kopyalayabilirsiniz: Microsoft Entra Kimliği>Özellikleri Yönet>Dizin Kimliği>.

Set-Authentication cmdlet'ini çalıştırma

  1. Windows PowerShell'i Yönetici olarak çalıştır seçeneğiyle açın.

  2. PowerShell oturumunuzda, etkileşimli olmayan bir şekilde çalışan Windows kullanıcı hesabının kimlik bilgilerini depolamak için bir değişken oluşturun. Örneğin, tarayıcı için bir hizmet hesabı oluşturduysanız:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"

    Bu hesabın parolasını girmeniz istenir.

  3. OnBeHalfOf parametresiyle Set-Authentication cmdlet'ini çalıştırın ve oluşturduğunuz değişkeni değer olarak belirtin.

    Ayrıca uygulama kayıt değerlerinizi, kiracı kimliğinizi ve Microsoft Entra ID'de temsilci kullanıcı hesabının adını belirtin. Örneğin:

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
  • Last updated on