共用方式為

使用 PowerShell 設定資訊保護用戶端

  • 發行項

Description

包含使用 PowerShell 安裝 Microsoft Purview 資訊保護 用戶端和 PowerShell Cmdlet 的指示。

搭配 Microsoft Purview 資訊保護 用戶端使用PowerShell

Microsoft Purview 資訊保護 模組會與資訊保護用戶端一起安裝。 相關聯的PowerShell模組為 PurviewInformationProtection

PurviewInformationProtection 模組可讓您使用命令和自動化腳本來管理用戶端;例如:

  • Install-Scanner:在執行 Windows Server 2019、Windows Server 2016 或 Windows Server 2012 R2 的電腦上安裝及設定 資訊保護 掃描儀服務。
  • Get-FileStatus:取得指定檔案或檔案的 資訊保護 標籤和保護資訊。
  • 開始掃描:指示資訊保護掃描器啟動一次性掃描週期。
  • Set-FileLabel -Autolabel:根據原則中設定的條件,掃描檔案以自動設定檔案的資訊保護卷標。

安裝 PurviewInformationProtection PowerShell 模組

安裝必要條件

  • 此課程模組需要 Windows PowerShell 4.0。 安裝期間不會檢查此必要條件。 請確定您已安裝正確的 PowerShell 版本。
  • 執行 ,確定您有最新版的 PurviewInformationProtection PowerShell 模組 Import-Module PurviewInformationProtection

安裝詳細資料

您可以使用 PowerShell 來安裝和設定資訊保護客戶端和相關聯的 Cmdlet。

當您安裝資訊保護用戶端的完整版本時,PurviewInformationProtection PowerShell 模組會自動安裝。 或者,您只能使用 PowerShellOnly=true 參數來安裝模組。

模組會安裝在 \ProgramFiles (x86) \PurviewInformationProtection 資料夾中,然後將此資料夾新增至 PSModulePath 系統變數。

重要

PurviewInformationProtection 模組不支援設定標籤或標籤原則的進階設定。

若要使用路徑長度大於 260 個字元的 Cmdlet,請使用下列從 1607 版 Windows 10 開始提供的組策略設定

本機計算機原則>計算機設定>系統管理範本>所有設定>啟用 Win32 長路徑

對於 Windows Server 2016,當您安裝適用於 Windows 10 的最新系統管理範本 (.admx) 時,可以使用相同的群組原則設定。

如需詳細資訊,請參閱 Windows 10 開發人員文件的 Maximum Path Length Limitation (路徑長度上限) 一節。

瞭解 PurviewInformationProtection PowerShell 模組的必要條件

除了 PurviewInformationProtection 模組的安裝必要條件之外,您也必須啟用 Azure Rights Management 服務

在某些情況下,您可能想要從使用您自己的帳戶的檔案中移除保護。 例如,您可能想要移除其他人的保護,以便進行數據探索或復原。 如果您使用標籤來套用保護,您可以藉由設定未套用保護的新標籤來移除該保護,也可以移除標籤。

針對這類情況,也必須符合下列需求:

  • 必須為您的組織啟用進階使用者功能。
  • 您的帳戶必須設定為 Azure Rights Management 進階使用者。

自動執行資訊保護標籤 Cmdlet

根據預設,執行標籤 Cmdlet 時,命令會在您自己的使用者內容中於互動式 PowerShell 工作階段中執行。 若要自動執行敏感度標籤 Cmdlet,請閱讀下列各節:

了解自動執行標籤 Cmdlet 的必要條件

若要自動執行 Purview 資訊保護 標籤 Cmdlet,請使用下列存取詳細資料:

  • 可以互動方式登入的 Windows 帳戶

  • 用於委派存取的 Microsoft Entra 帳戶。 為了方便管理,請使用從 Active Directory 同步處理到 Microsoft Entra ID 的單一帳戶。

    針對委派的用戶帳戶,請設定下列需求:

    需求 詳細資料
    卷標原則 請確定您有指派給此帳戶的標籤原則,且該原則包含您想要使用的已發佈標籤。

    如果您使用不同使用者的標籤原則,您可能需要建立新的標籤原則來發佈所有標籤,並將原則發佈至這個委派的用戶帳戶。
    解密內容 例如,如果此帳戶需要解密內容,若要重新保護檔案並檢查其他人所保護的檔案,請將它設為進階使用者以進行 資訊保護,並確定已啟用進階使用者功能。
    上線控件 如果您已實作階段式部署的上線控制件,請確定您已設定的上線控制項中包含此帳戶。

  • Microsoft Entra 存取令牌,其會設定並儲存委派用戶的認證,以便向 Microsoft Purview 資訊保護 進行驗證。 當 Microsoft Entra ID 中的令牌過期時,您必須再次執行 Cmdlet 以取得新的令牌。

    Set-Authentication 的參數會使用 Microsoft Entra ID 中應用程式註冊程式的值。 如需詳細資訊,請參閱 set-Authentication Create 和設定 Microsoft Entra 應用程式

先執行 Set-Authentication Cmdlet,以非互動方式執行標籤 Cmdlet。

執行 Set-Authentication Cmdlet 的計算機會下載指派給 Microsoft Purview 合規性入口網站 中委派用戶帳戶的標籤原則。

Create 並設定 Set-Authentication Microsoft Entra 應用程式

Set-Authentication Cmdlet 需要 AppIdAppSecret 參數的應用程式註冊。

若要為統一卷標用戶端 Set-Authentication Cmdlet 建立新的應用程式註冊

  1. 在新瀏覽器視窗中,將 Azure 入口網站 登入您搭配 Microsoft Purview 資訊保護 使用的 Microsoft Entra 租使用者。

  2. 流覽至 [Microsoft Entra ID][管理>應用程式註冊>],然後選取 [新增註冊]。

  3. 在 [ 註冊應用程式] 窗格中,指定下列值,然後選取 [ 註冊]:

    選項
    名稱 AIP-DelegatedUser
    視需要指定不同的名稱。 每個租用戶的名稱必須是唯一的。
    支援的帳戶類型 選取 [僅此組織目錄中的帳戶]。
    重新導向 URI (選用) 選取 [Web],然後輸入 https://localhost

  4. [AIP-DelegatedUser ] 窗格中,複製 應用程式 (用戶端) 標識符的值。

    值看起來類似下列範例: 77c3c1c3-abf9-404e-8b2b-4652836c8c66

    當您執行 Set-Authentication Cmdlet 時,這個值會用於 AppId 參數。 貼上並儲存值以供稍後參考。

  5. 從提要欄位中,選取 [ 管理>憑證 & 秘密]。

    然後,在 [AIP-DelegatedUser - 憑證 & 秘密 ] 窗格的 [ 用戶端秘密 ] 區段中,選取 [新增客戶端密碼]。

  6. 針對 [新增客戶端密碼],指定下列專案,然後選取 [ 新增]:

    欄位
    描述 Microsoft Purview Information Protection client
    到期 指定您選擇的持續時間 (1 年2 年永不過期)

  7. 回到 [AIP-DelegatedUser - 憑證 & 秘密 ] 窗格的 [ 客戶端密碼 ] 區段中,複製 VALUE 的字串。

    此字串看起來類似下列範例: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4

    若要確定複製所有字元,請選取圖示以 複製到剪貼簿

    重要

    儲存此字串,因為它不會再次顯示且無法擷取。 如同您使用的任何敏感性資訊,請安全地儲存儲存的值,並限制其存取權。

  8. 從提要欄位中,選取 [管理>API 許可權]。

    [AIP-DelegatedUser - API 許可權 ] 窗格中,選取 [ 新增許可權]。

  9. 在 [ 要求 API 許可權 ] 窗格中,確定您位於 [Microsoft API ] 索引卷標上,然後選取 [Azure Rights Management Services]。

    當系統提示您輸入應用程式所需的許可權類型時,請選取 [ 應用程式許可權]。

  10. 針對 [選取許可權],展開 [內容 ],然後選取下列專案,然後選取 [ 新增許可權]。

    • Content.DelegatedReader
    • Content.DelegatedWriter

  11. 回到 [AIP-DelegatedUser - API 許可權 ] 窗格,再次選取 [ 新增許可權 ]。

    在 [要求 AIP 許可權] 窗格中,選取 [我的組織使用的 API],然後搜尋 Microsoft 資訊保護 Sync Service

  12. 在 [ 要求 API 許可權] 窗格中,選取 [應用程式許可權]。

    針對 [選取許可權],展開 [UnifiedPolicy],選取 [UnifiedPolicy.Tenant.Read],然後選取 [ 新增許可權]。

  13. 回到 [AIP-DelegatedUser - API 許可權] 窗格,選取 [與租用戶的系統管理員同意],然後針對確認提示選取 []。

在此步驟之後,此應用程式的註冊會完成秘密。 您已準備好使用 AppIdAppSecret 參數執行 Set-Authentication。 此外,您需要租用戶標識碼。

提示

您可以使用 Azure 入口網站:Microsoft Entra ID>Manage>屬性>目錄識別碼,快速複製租用戶標識碼。

執行 Set-Authentication Cmdlet

  1. 使用 [以系統管理員身分執行] 選項開啟 Windows PowerShell。

  2. 在您的PowerShell會話中,建立變數來儲存以非互動方式執行的Windows用戶帳戶認證。 例如,如果您為掃描器建立了服務帳戶:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"

    系統會提示您輸入此帳戶的密碼。

  3. 使用 OnBeHalfOf 參數執行 Set-Authentication Cmdlet,並指定為您所建立變數的值。

    同時指定您的應用程式註冊值、租使用者標識碼,以及 Microsoft Entra ID 中委派用戶帳戶的名稱。 例如:

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds