通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 PowerShell 设置信息保护客户端

  • 项目

说明

包含有关使用 PowerShell 安装 Microsoft Purview 信息保护 客户端和 PowerShell cmdlet 的说明。

将 PowerShell 与 Microsoft Purview 信息保护 客户端配合使用

Microsoft Purview 信息保护模块随信息保护客户端一起安装。 关联的 PowerShell 模块为 PurviewInformationProtection

PurviewInformationProtection 模块使你能够使用命令和自动化脚本管理客户端;例如:

  • Install-Scanner:在运行 Windows Server 2019、Windows Server 2016 或 Windows Server 2012 R2 的计算机上安装和配置 信息保护 扫描程序服务。
  • Get-FileStatus:获取指定文件信息保护标签和保护信息。
  • 启动扫描:指示信息保护扫描程序启动一次性扫描周期。
  • Set-FileLabel -Autolabel:扫描文件以根据策略中配置的条件自动为文件设置信息保护标签。

安装 PurviewInformationProtection PowerShell 模块

安装先决条件

  • 此模块需要 Windows PowerShell 4.0。 安装期间未检查此先决条件。 请确保已安装正确版本的 PowerShell。
  • 通过运行 Import-Module PurviewInformationProtection确保拥有最新版本的 PurviewInformationProtection PowerShell 模块。

安装详细信息

使用 PowerShell 安装和配置信息保护客户端和关联的 cmdlet。

安装完整版本的信息保护客户端时,PurviewInformationProtection PowerShell 模块会自动安装。 或者,只能使用 PowerShellOnly=true 参数安装模块。

该模块安装在 \ProgramFiles (x86) \PurviewInformationProtection 文件夹中,然后将此文件夹添加到 PSModulePath 系统变量。

重要

PurviewInformationProtection 模块不支持为标签或标签策略配置高级设置。

若要使用路径长度超过 260 个字符的 cmdlet,请使用从 Windows 10 版本 1607 开始可用的以下组策略设置

“本地计算机策略”“计算机配置”“管理模板”“所有设置”“启用 Win32 长路径”

对于 Windows Server 2016,在安装 Windows 10 的最新管理模板 (.admx) 时,可以使用相同的组策略设置。

有关详细信息,请参阅 Windows 10 开发人员文档中的最大路径长度限制一节。

了解 PurviewInformationProtection PowerShell 模块的先决条件

除了 PurviewInformationProtection 模块的安装先决条件外,还必须激活 Azure Rights Management 服务

在某些情况下,你可能希望从使用你自己的帐户的其他人的文件中删除保护。 例如,出于数据发现或恢复的目的,你可能想要删除对其他人的保护。 如果使用标签应用保护,可以通过设置不应用保护的新标签来删除该保护,也可以删除标签。

对于此类情况,还必须满足以下要求:

  • 必须为你的组织启用超级用户功能。
  • 必须将你的帐户配置为 Azure Rights Management 超级用户。

在无人参与的情况下运行信息保护标记 cmdlet

默认情况下,运行 cmdlet 进行标记时,命令会在交互式 PowerShell 会话中你自己的用户上下文运行。 若要自动运行敏感度标记 cmdlet,请阅读以下部分:

了解在无人参与的情况下运行标记 cmdlet 的先决条件

若要在无人参与的情况下运行 Purview 信息保护标记 cmdlet,请使用以下访问详细信息:

  • 可以交互方式登录的 Windows 帐户。

  • Microsoft Entra帐户,用于委派访问。 为便于管理,请使用从 Active Directory 同步到Microsoft Entra ID的单个帐户。

    对于委派的用户帐户,请配置以下要求:

    要求 详细信息
    标签策略 请确保已为此帐户分配了标签策略,并且该策略包含要使用的已发布标签。

    如果对不同用户使用标签策略,可能需要创建新的标签策略,发布所有标签,并仅将此策略发布到该委派用户帐户。
    解密内容 如果此帐户需要解密内容(例如,重新保护文件并检查受其他人保护的文件),请使其成为信息保护的超级用户,并确保已启用超级用户功能。
    载入控件 如果对分阶段部署实现了载入控件,还请确保已配置的载入控件中包含此帐户。

  • Microsoft Entra访问令牌,用于设置和存储委托用户的凭据,以便向Microsoft Purview 信息保护进行身份验证。 当 Microsoft Entra ID 中的令牌过期时,必须再次运行 cmdlet 以获取新令牌。

    Set-Authentication 的参数使用 Microsoft Entra ID 中的应用注册过程中的值。 有关详细信息,请参阅为 Set-Authentication Create和配置 Microsoft Entra 应用程序

首先运行 Set-Authentication cmdlet,以非交互方式运行标记 cmdlet。

运行 Set-Authentication cmdlet 的计算机下载分配给Microsoft Purview 合规门户中委派用户帐户的标记策略。

为 Set-Authentication Create和配置Microsoft Entra应用程序

Set-Authentication cmdlet 需要 AppIdAppSecret 参数的应用注册。

为统一标记客户端 Set-Authentication cmdlet 创建新的应用注册

  1. 在新浏览器窗口中,将Azure 门户登录到与 Microsoft Purview 信息保护 一起使用的 Microsoft Entra 租户。

  2. 导航到“Microsoft Entra ID>管理>应用注册,然后选择”新建注册”。

  3. 在“ 注册应用程序 ”窗格中,指定以下值,然后选择“ 注册”:

    选项
    名称 AIP-DelegatedUser
    根据需要指定其他名称。 对于每个租户,该名称必须是唯一的。
    支持的帐户类型 选择“仅此组织目录中的帐户”。
    重定向 URI(可选) 选择“Web”,然后输入 https://localhost

  4. 在“AIP-DelegatedUser”窗格中,复制“应用程序(客户端) ID”的值。

    此值类似于以下示例:77c3c1c3-abf9-404e-8b2b-4652836c8c66

    运行 Set-Authentication cmdlet 时,此值用于 AppId 参数。 粘贴并保存此值,供以后参考。

  5. 从侧栏中选择“管理”>“证书和密码”。

    在“AIP-DelegatedUse - 证书和密码”窗格的“客户端密码”部分选择“+ 新建客户端密码”。

  6. 对于“添加客户端密码”,请指定以下各项,然后选择“添加”:

    字段
    说明 Microsoft Purview Information Protection client
    Expires 指定所选的持续时间 (1 年2 年永不过期)

  7. 返回到“AIP-DelegatedUser - 证书和密码”窗格,在“客户端密码”部分复制“VALUE”的字符串。

    此字符串类似于以下示例:OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4

    若要确保复制所有字符,请选择“复制到剪贴板”图标。

    重要

    保存此字符串,因为它不会再次显示,并且无法检索。 对于所使用的任何敏感信息,请安全地存储保存的值并限制对它的访问。

  8. 从边栏中选择“管理”>“API 权限”。

    在“AIP-DelegatedUser - API 权限”窗格上,选择“添加权限”。

  9. 在“请求 API 权限”窗格上,确保你在“Microsoft API”选项卡上,然后选择“Azure 权限管理服务”。

    当系统提示你提供应用程序所需的权限类型时,请选择“应用程序权限”。

  10. 对于“选择权限”,展开“内容”并选择以下各项,然后选择“添加权限”。

    • Content.DelegatedReader
    • Content.DelegatedWriter

  11. 返回到“AIP-DelegatedUser - API 权限”窗格上,再次选择“添加权限”。

    在“请求 AIP 权限”窗格上,选择“我的组织使用的 API”,并搜索“Microsoft 信息保护同步服务”。

  12. 在“请求获取 API 权限”窗格上,选择“应用程序权限”。

    对于“选择权限”,展开“UnifiedPolicy”,选择“UnifiedPolicy.Tenant.Read”,然后选择“添加权限”。

  13. 返回“AIP-DelegatedUser - API 权限”窗格,选择“租户授予管理员同意”,然后选择“”作为确认提示。

完成此步骤后,使用机密注册此应用完成。 你已准备好使用参数 AppIdAppSecret 运行 Set-Authentication。 此外,还需要租户 ID。

提示

可以使用Azure 门户 > Microsoft Entra ID管理>属性>目录 ID 快速复制租户 ID。

运行 Set-Authentication cmdlet

  1. 在选中“以管理员身份运行”选项的情况下打开 Windows PowerShell。

  2. 在 PowerShell 会话中,创建一个变量来存储以非交互方式运行的 Windows 用户帐户的凭据。 例如,如果为扫描程序创建了服务帐户:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"

    系统将提示你输入此帐户的密码。

  3. 使用 OnBeHalfOf 参数运行 Set-Authentication cmdlet,并将创建的变量指定为其值。

    此外,请在 Microsoft Entra ID 中指定应用注册值、租户 ID 和委托用户帐户的名称。 例如:

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds