管理員 指南:搭配 Azure 資訊保護 整合用戶端使用 PowerShell
注意
您是否正在尋找 Microsoft Purview 資訊保護,先前稱為 Microsoft 資訊保護 (MIP)?
Azure 資訊保護 載入宏已淘汰,並以 Microsoft 365 應用程式和服務內建的標籤取代。 深入瞭解其他 Azure 資訊保護元件的支持狀態。
新的 Microsoft 資訊保護 用戶端(不含載入宏)目前處於預覽狀態,並排程正式運作。
當您安裝 Azure 資訊保護 統一卷標用戶端時,PowerShell 命令會自動安裝為 AzureInformationProtection 模組的一部分,並包含卷標的 Cmdlet。
AzureInformationProtection 模組可讓您執行自動化腳本的命令來管理用戶端。
例如:
- Get-AIPFileStatus:取得指定檔案或檔案的 Azure 資訊保護 卷標和保護資訊。
- Set-AIPFileClassification:根據原則中設定的條件,掃描檔案以自動設定檔案的 Azure 資訊保護 卷標。
- Set-AIPFileLabel:設定或移除檔案的 Azure 資訊保護 標籤,並根據標籤組態或自定義許可權設定或移除保護。
- Set-AIPAuthentication:設定 Azure 資訊保護 客戶端的驗證認證。
AzureInformationProtection 模組會安裝在 \ProgramFiles (x86)\Microsoft Azure 資訊保護 資料夾中,然後將此資料夾新增至 PSModulePath 系統變數。 本課程模組的.dll名為 AIP.dll。
重要
AzureInformationProtection 模組不支援設定標籤或標籤原則的進階設定。
針對這些設定,您需要安全性與合規性中心 PowerShell。 如需詳細資訊,請參閱 Azure 資訊保護 統一卷標用戶端的自定義設定。
提示
若要使用路徑長度大於 260 個字元的 Cmdlet,請使用下列 可從 Windows 10 版本 1607 開始使用的組策略設定 :
本機計算機原則>計算機設定> 管理員 原則範本>所有 設定> 啟用 Win32 長路徑
針對 Windows Server 2016,當您安裝適用於 Windows 10 的最新 管理員 範本 (.admx) 時,可以使用相同的組策略設定。
如需詳細資訊,請參閱 Windows 10 開發人員檔中的「路徑長度上限限制 」一節。
使用 AzureInformationProtection 模組的必要條件
除了安裝 AzureInformationProtection 模組的必要條件之外,當您針對 Azure 資訊保護 使用標籤 Cmdlet 時,還有額外的必要條件:
必須啟用 Azure Rights Management 服務。
如果您的 Azure 資訊保護 租使用者未啟用,請參閱從 Azure 資訊保護 啟用保護服務的指示。
若要使用您自己的帳戶,從其他人的檔案中移除保護:
- 您的組織必須啟用進階使用者功能。
- 您的帳戶必須設定為 Azure Rights Management 的進階使用者。
例如,為了數據探索或復原,您可能想要移除其他人的保護。 如果您使用標籤來套用保護,您可以設定未套用保護的新標籤,或移除標籤來移除該保護。
若要移除保護,請使用 Set-AIPFileLabel Cmdlet 搭配 RemoveProtection 參數。 在某些情況下,預設可能會停用移除保護功能,而且必須先使用 Set-LabelPolicy Cmdlet 來啟用。
RMS 至統一標籤 Cmdlet 對應
如果您已從 Azure RMS 移轉,請注意 RMS 相關 Cmdlet 已被取代,以用於統一標籤。
部分舊版 Cmdlet 已取代為統一標籤的新 Cmdlet。 例如,如果您使用 New-RMSProtectionLicense 搭配 RMS 保護,且已移轉至統一標籤,請改用 New-AIPCustomPermissions 。
下表將 RMS 相關 Cmdlet 對應至用於統一標籤的更新 Cmdlet:
| RMS Cmdlet | 統一標籤 Cmdlet |
|---|---|
| Get-RMSFileStatus | Get-AIPFileStatus |
| Get-RMSServer | 與統一標籤無關。 |
| Get-RMSServerAuthentication | Set-AIPAuthentication |
| Clear-RMSAuthentication | Set-AIPAuthentication |
| Set-RMSServerAuthentication | Set-AIPAuthentication |
| Get-RMSTemplate | 與統一標籤無關。 |
| New-RMSProtectionLicense | New-AIPCustomPermissions 和 Set-AIPFileLabel,以及 CustomPermissions 參數。 |
| Protect-RMSFile | Set-AIPFileLabel |
| Unprotect-RMSFile | Set-AIPFileLabel,具有 RemoveProtection 參數。 |
如何以非互動方式為 Azure 資訊保護 標記檔案
根據預設,當您執行標籤的 Cmdlet 時,命令會在互動式 PowerShell 工作階段的您自己的使用者內容中執行。
如需詳細資訊,請參閱
- 自動執行 AIP 標籤 Cmdlet 的必要條件
- 建立及設定 Set-AIPAuthentication 的 Microsoft Entra 應用程式
- 執行 Set-AIPAuthentication Cmdlet
注意
如果計算機無法存取因特網,就不需要在 Microsoft Entra ID 中建立應用程式,並執行 Set-AIPAuthentication Cmdlet。 相反地,請遵循已中斷連線之計算機的指示。
自動執行 AIP 標籤 Cmdlet 的必要條件
若要自動執行 Azure 資訊保護 標籤 Cmdlet,請使用下列存取詳細資料:
可以互動方式登入的 Windows 帳戶 。
用於委派存取的 Microsoft Entra 帳戶。 為了方便管理,請使用從 Active Directory 同步處理到 Microsoft Entra 識別碼的單一帳戶。
針對委派的用戶帳戶:
需求 詳細資料 卷標原則 請確定您有指派給此帳戶的標籤原則,且該原則包含您想要使用的已發佈標籤。
如果您使用不同使用者的標籤原則,您可能需要建立新的標籤原則來發佈所有標籤,並將原則發佈至此委派的用戶帳戶。解密內容 例如,如果此帳戶需要解密內容,若要重新保護檔案,並檢查其他人已保護的檔案,請將其設為 Azure 資訊保護 的進階使用者,並確定已啟用進階使用者功能。 上線控件 如果您已針對階段式部署實 作上線控件 ,請確定此帳戶包含在您已設定的上線控件中。 Microsoft Entra 存取令牌,可設定並儲存委派用戶的認證,以向 Azure 資訊保護 進行驗證。 當 Microsoft Entra 識別碼中的令牌過期時,您必須再次執行 Cmdlet 以取得新的令牌。
Set-AIPAuthentication 的參數會使用 Microsoft Entra ID 中應用程式註冊程式的值。 如需詳細資訊,請參閱 建立及設定 Set-AIPAuthentication 的 Microsoft Entra 應用程式。
先執行 Set-AIPAuthentication Cmdlet,以非互動方式執行標籤 Cmdlet。
執行 AIPAuthentication Cmdlet 的電腦會下載 Microsoft Purview 合規性入口網站 中指派給您委派用戶帳戶的標籤原則。
建立及設定 Set-AIPAuthentication 的 Microsoft Entra 應用程式
Set-AIPAuthentication Cmdlet 需要 AppId 和 AppSecret 參數的應用程式註冊。
若要為統一卷標用戶端 Set-AIPAuthentication Cmdlet 建立新的應用程式註冊:
在新瀏覽器視窗中,登入您搭配 Azure 資訊保護 使用的 Microsoft Entra 租使用者 Azure 入口網站。
流覽至 Microsoft Entra ID>Manage> 應用程式註冊,然後選取 [新增註冊]。
在 [ 註冊應用程式 ] 窗格中,指定下列值,然後按下 [ 註冊]:
選項 值 名稱 AIP-DelegatedUser
視需要指定不同的名稱。 每個租用戶的名稱必須是唯一的。支援的帳戶類型 僅選取此組織目錄中的 [帳戶]。 重新導向 URI (選用) 選取 [Web],然後輸入 https://localhost。在 [AIP-DelegatedUser] 窗格中,複製 [應用程式] [用戶端] 識別碼的值。
值看起來會類似下列範例:
77c3c1c3-abf9-404e-8b2b-4652836c8c66。當您執行 Set-AIPAuthentication Cmdlet 時,這個值會用於 AppId 參數。 貼上並儲存值以供稍後參考。
從提要欄位中,選取 [管理>憑證和秘密]。
然後,在 [AIP-DelegatedUser - 憑證和秘密] 窗格的 [客戶端密碼] 區段中,選取 [新增客戶端密碼]。
針對 [新增客戶端密碼],指定下列專案,然後選取 [ 新增]:
欄位 Value 說明 Azure Information Protection unified labeling client到期 指定您選擇的持續時間(1 年、2 年或永不到期) 回到 [AIP-DelegatedUser - 憑證和秘密] 窗格的 [客戶端密碼] 區段中,複製 VALUE 的字串。
此字串看起來類似下列範例:
OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4。若要確定您複製所有字元,請選取要複製到剪貼簿的圖示。
重要
請務必儲存此字串,因為它不會再次顯示且無法擷取。 如同您使用的任何敏感性資訊,請安全地儲存已儲存的值,並限制其存取。
從提要欄位中,選取 [管理>API 許可權]。
在 [ AIP-DelegatedUser - API 許可權 ] 窗格上,選取 [ 新增許可權]。
在 [要求 API 許可權] 窗格上,確定您位於 [Microsoft API] 索引卷標上,然後選取 [Azure Rights Management Services]。
當系統提示您輸入應用程式所需的許可權類型時,請選取 [ 應用程式許可權]。
針對 [ 選取許可權],展開 [內容 ],然後選取下列內容,然後選取 [ 新增許可權]。
- Content.DelegatedReader
- Content.DelegatedWriter
回到 [AIP-DelegatedUser - API 許可權] 窗格,再次選取 [新增許可權]。
在 [要求 AIP 許可權] 窗格上,選取 [我的組織所使用的 API],然後搜尋 Microsoft 資訊保護 Sync Service。
在 [ 要求 API 許可權 ] 窗格中,選取 [ 應用程式許可權]。
針對 [選取許可權],展開 [UnifiedPolicy],選取 [UnifiedPolicy.Tenant.Read],然後選取 [新增許可權]。
回到 [AIP-DelegatedUser - API 許可權] 窗格,選取 [授與租用戶名稱>的管理員同意<],然後針對確認提示選取 [是]。
您的 API 權限看起來應該如下所示:
現在,您已使用秘密完成此應用程式的註冊,您已準備好使用 AppId 和 AppSecret 參數執行 Set-AIPAuthentication。 此外,您需要租用戶標識碼。
提示
您可以使用 Azure 入口網站:Microsoft Entra ID>Manage>Properties>Directory ID,快速複製您的租用戶標識碼。
執行 Set-AIPAuthentication Cmdlet
使用 [ 以系統管理員身分執行] 選項開啟 Windows PowerShell。
在您的PowerShell會話中,建立變數來儲存Windows用戶帳戶的認證,以非互動方式執行。 例如,如果您為掃描器建立了服務帳戶:
$pscreds = Get-Credential "CONTOSO\srv-scanner"系統會提示您輸入此帳戶的密碼。
使用 OnBeHalfOf 參數執行 Set-AIPAuthentication Cmdlet,並指定為您所建立變數的值。
同時指定您的應用程式註冊值、租用戶標識碼,以及 Microsoft Entra ID 中委派用戶帳戶的名稱。 例如:
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
PowerShell Cmdlet 的常見參數
如需一般參數的相關信息,請參閱 關於通用參數。
下一步
如需當您在 PowerShell 工作階段中的 Cmdlet 說明,請輸入 Get-Help <cmdlet name> -online。 例如:
Get-Help Set-AIPFileLabel -online
如需詳細資訊,請參閱
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應