使用 PowerShell 設置資訊保護用戶端

說明

包含有關使用PowerShell安裝 Microsoft Purview 資訊保護用戶端和 PowerShell cmdlet 的說明。

將 PowerShell 與 Microsoft Purview 資訊保護用戶端配合使用

Microsoft Purview 資訊保護模組隨資訊保護用戶端一起安裝。 關聯的 PowerShell 模組是 PurviewInformationProtection。

使用 PurviewInformationProtection 模組，可以使用命令和自動化腳本管理用戶端;例如：

• 安裝掃描程式：在運行 Windows Server 2019、Windows Server 2016 或 Windows Server 2012 R2 的電腦上安裝和配置資訊保護掃描程序服務。
• Get-FileStatus：獲取指定檔或文件的信息保護標籤和保護資訊。
• Start-Scan：指示資訊保護掃描程序啟動一次性掃描週期。
• Set-FileLabel - 自動標記：掃描檔以根據策略中配置的條件自動為檔設置資訊保護標籤。

安裝 PurviewInformationProtection PowerShell 模組

安裝先決條件

• 本課程模組需要 Windows PowerShell 4.0。 在安裝過程中不會檢查此先決條件。 確保您安裝了正確版本的 PowerShell。
• 通過運行 Import-Module PurviewInformationProtection，確保您擁有最新版本的 PurviewInformationProtection PowerShell 模組。

安裝詳細數據

使用 PowerShell 安裝和配置資訊保護客戶端和關聯的 cmdlet。

安裝完整版的信息保護用戶端時，會自動安裝 PurviewInformationProtection PowerShell 模組。 或者，您可以僅使用 PowerShellOnly=true 參數安裝模組。

該模組安裝在 \ProgramFiles （x86） \PurviewInformationProtection 資料夾中，然後將此資料夾添加到系統變數中 PSModulePath 。

這很重要

PurviewInformationProtection 模組不支援為標籤或標籤策略配置高級設置。

若要使用路徑長度大於 260 個字元的 cmdlet，請使用以下從 Windows 10 版本 1607 開始提供的 組策略設置 ：

本地電腦策略>計算機配置>管理範本>所有設置>啟用 Win32 長路徑

對於 Windows Server 2016，在為 Windows 10 安裝最新的管理範本 （.admx） 時，可以使用相同的組策略設置。

有關更多資訊，請參閱 Windows 10 開發人員文檔中的最大 路徑長度限制 。

瞭解 PurviewInformationProtection PowerShell 模組的先決條件

除了 PurviewInformationProtection 模組的安裝先決條件外，還必須啟動 Azure Rights Management 服務。

在某些情況下，您可能希望為使用您自己帳戶的其他人刪除文件保護。 例如，您可能希望為了數據發現或恢復而取消對他人的保護。 如果您使用標籤來應用保護，則可以通過設置不應用保護的新標籤來刪除該保護，也可以刪除該標籤。

對於此類情況，還必須滿足以下要求：

• 必須為您的組織啟用超級使用者功能。
• 您的帳戶必須配置為 Azure Rights Management 超級使用者。

在無人參與的情況下運行資訊保護標記 cmdlet

默認情況下，當您運行 cmdlet 進行標記時，命令會在互動式 PowerShell 會話中您自己的使用者上下文中運行。 若要自動運行敏感度標記 cmdlet，請閱讀以下部分：

• 了解在無人參與的情況下運行標記 cmdlet 的先決條件
• 創建和配置 Microsoft Entra 應用程式以進行設置身份驗證
• 運行 Set-Authentication cmdlet

了解在無人參與的情況下運行標記 cmdlet 的先決條件

若要在無人參與的情況下運行 Purview 資訊保護標記 cmdlet，請使用以下訪問詳細資訊：

• 一個可以交互登錄的 Windows 帳戶。

• 一個 Microsoft Entra 帳戶，用於委派訪問。 為了便於管理，請使用從 Active Directory 同步到 Microsoft Entra ID 的單個帳戶。

  對於委託的用戶帳戶，請配置以下要求：

  要求	詳細資訊
  標籤策略	確保您已為此帳戶分配了標籤策略，並且該策略包含要使用的已發佈標籤。 如果您為不同的使用者使用標籤策略，則可能需要創建一個新的標籤策略來發佈所有標籤，並將該策略僅發佈到此委託用戶帳戶。
  解密內容	如果此帳戶需要解密內容（例如，重新保護檔和檢查受其他人保護的檔），請將其設置為資訊保護的 超級使用者 ，並確保啟用超級使用者功能。
  載入控件	如果您已為分階段部署實施了載入控制，請確保此帳戶包含在您配置的載入控制中。

• Microsoft Entra 訪問令牌，用於設置和存儲委派使用者向 Microsoft Purview 資訊保護進行身份驗證的憑據。 當 Microsoft Entra ID 中的令牌過期時，必須再次運行 cmdlet 以獲取新令牌。

  Set-Authentication 的參數使用 Microsoft Entra ID 中應用註冊過程中的值。 如需詳細資訊，請參閱 建立及設定 set-Authentication Microsoft Entra 應用程式。

通過首先運行 Set-Authentication cmdlet 以非交互方式運行標記 cmdlet。

運行 Set-Authentication cmdlet 的計算機會下載分配給 Microsoft Purview 合規門戶中的委託用戶帳戶的標記策略。

創建和配置適用於 Set-Authentication Microsoft Entra 應用程式

Set-Authentication cmdlet 需要 AppId 和 AppSecret 參數的應用程式註冊。

若要為統一標籤用戶端 Set-Authentication cmdlet 創建新的應用程式註冊，請執行以下作：

1. 在新的瀏覽器視窗中，將 Azure 門戶 登錄到用於 Microsoft Purview 資訊保護的 Microsoft Entra 租戶。

2. 導航到 Microsoft Entra ID>管理>應用程式註冊，然後選擇 新建註冊。

3. 在 Register an application （註冊應用程式 ） 窗格中，指定以下值，然後選擇 Register （註冊）：

   選項	價值觀
   名稱	AIP-DelegatedUser 根據需要指定其他名稱。 每個租戶的名稱必須是唯一的。
   支援的帳戶類型	選取 [僅此組織目錄中的帳戶]。
   重新導向 URI （選擇性）	選擇 Web，然後輸入 https://localhost。

4. 在 AIP-DelegatedUser 窗格中，複製 Application （client） ID （應用程式（用戶端） ID） 的值。

   該值類似於以下示例： 77c3c1c3-abf9-404e-8b2b-4652836c8c66。

   當您運行 Set-Authentication cmdlet 時，此值用於 AppId 參數。 粘貼並保存該值以供以後參考。

5. 從側邊欄中，選擇 管理>證書和秘密。

   然後，在 AIP-DelegatedUser - 證書和秘密 窗格的 用戶端秘密 部分，選擇 新建用戶端秘密。

6. 對於 Add a client secret （添加用戶端金鑰），指定以下內容，然後選擇 Add （添加）：

   領域	價值觀
   說明	Microsoft Purview Information Protection client
   到期	指定您選擇的持續時間（1 年、 2 年或 永不過期）

7. 返回 AIP-DelegatedUser - 證書和秘密 窗格，在 用戶端秘密 部分，複製 VALUE的字串。

   此字串類似於以下範例： OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4。

   要確保複製所有字元，請選擇 Copy to clipboard （複製到剪貼簿） 圖示。

   這很重要

   保存此字串，因為它不會再次顯示，並且無法檢索。 與您使用的任何敏感資訊一樣，請安全地存儲保存的值並限制對它的訪問。

8. 從側邊欄中，選擇Manage API permissions（ 管理>API許可權）。

   在 AIP-DelegatedUser - API 許可權 窗格中，選擇 添加許可權。

9. 在 「請求 API 許可權 」窗格中，確保位於 「Microsoft API 」 選項卡上，然後選擇 “Azure Rights Management Services”。

   當系統提示您輸入應用程式所需的許可權類型時，請選擇 Applicationpermissions（應用程式許可權）。

10. 對於 Select permissions （選擇許可權），展開 Content （內容 ） 並選擇以下內容，然後選擇 Add permissions （添加許可權）。

    • Content.DelegatedReader
    • Content.DelegatedWriter

11. 返回 AIP-DelegatedUser - API permissions （ - API 許可權 ） 窗格，再次選擇 Add a permission （添加許可權 ）。

    在 「請求 AIP 許可權 」窗格中，選擇 「 我的組織使用的 API」，然後搜索 Microsoft 資訊保護同步服務。

12. 在 Request API permissions （請求 API 許可權 ） 窗格中，選擇 Application permissions （應用程式許可權）。

    對於 Select permissions （選擇許可權），展開 UnifiedPolicy，選擇 UnifiedPolicy.Tenant.Read，然後選擇 Add permissions （添加許可權）。

13. 返回 AIP-DelegatedUser - API 許可權 窗格，選擇 為租戶授予管理員同意 ，然後選擇 是 作為確認提示。

完成此步驟后，此應用程式將完成金鑰的註冊。 您已準備好使用參數 AppId 和 AppSecret 運行 Set-Authentication。 此外，還需要租戶 ID。

小提示

可以使用 Azure 門戶快速複製租戶 ID： Microsoft Entra ID>管理>屬性>目錄 ID。

運行 Set-Authentication cmdlet

1. 使用 Run as administrator（以管理員身份運行）選項打開 Windows PowerShell。

2. 在 PowerShell 工作階段中，創建一個變數來存儲以非互動方式運行的 Windows 使用者帳戶的憑據。 例如，如果您為掃描器創建了服務帳戶：

   $pscreds = Get-Credential "CONTOSO\srv-scanner"
   

   系統會提示您輸入此帳戶的密碼。

3. 運行 Set-Authentication cmdlet，其中包含 OnBeHalfOf 參數，將您創建的變數指定為其值。

   此外，在 Microsoft Entra ID 中指定應用程式註冊值、租戶 ID 和委託使用者帳戶的名稱。 例如：

   Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds