Příručka pro správce: Pomocí klienta Azure Information Protection prostředí PowerShellAdmin Guide: Using PowerShell with the Azure Information Protection client

Platí pro: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 s SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

Když instalujete klienta služby Azure Information Protection, jsou automaticky nainstalovány příkazy prostředí PowerShell.When you install the Azure Information Protection client, PowerShell commands are automatically installed. To vám umožní spravovat klienta spuštěním příkazů, které vložíte do skripty pro automatizaci.This lets you manage the client by running commands that you can put into scripts for automation.

Rutiny se instalují pomocí modulu PowerShellu AzureInformationProtection.The cmdlets are installed with the PowerShell module AzureInformationProtection. Tento modul zahrnuje všechny rutiny Rights Management z nástroje RMS Protection Tool (už není podporovaná).This module includes all the Rights Management cmdlets from the RMS Protection Tool (no longer supported). Existují také nové rutiny, které pomocí služby Azure informace ochrany (AIP) pro popisování.There are also new cmdlets that use the Azure Information Protection (AIP) service for labeling. Příklad:For example:

Rutina popisováníLabeling cmdlet Příklad použitíExample usage
Get-AIPFileStatusGet-AIPFileStatus Pro sdílenou složku; všechny soubory se označují určitým popiskemFor a shared folder, identify all files with a specific label.
Set-AIPFileClassificationSet-AIPFileClassification Pro sdílenou složku; obsah souborů se zkontroluje a potom se neoznačené soubory automaticky označí popiskem podle vámi specifikovaných podmínek.For a shared folder, inspect the file contents and then automatically label unlabeled files, according to the conditions that you have specified.
Set-AIPFileLabelSet-AIPFileLabel Pro sdílenou složku; u všech souborů, které nemají popisek, se použije určený popisekFor a shared folder, apply a specified label to all files that do not have a label.
Set-AIPAuthenticationSet-AIPAuthentication Neinteraktivně, popisek soubory na kterékoli například pomocí skriptu, který běží podle plánu.Label files non-interactively, for example by using a script that runs on a schedule.

Kromě toho Azure Information Protection skener používá rutiny k instalaci a konfiguraci služby v systému Windows Server.In addition, the Azure Information Protection scanner uses cmdlets to install and configure a service on Windows Server. Tento skener pak umožňuje zjistit, klasifikovat a chránit soubory v úložišti dat.This scanner then lets you discover, classify, and protect files on data stores.

Seznam všech rutin a příslušnou nápovědu najdete v článku o modulu AzureInformationProtection.For a list of all the cmdlets and their corresponding help, see AzureInformationProtection Module. V relaci prostředí PowerShell zadejte Get-Help <cmdlet name> -online zobrazíte nejnovější nápovědy.Within a PowerShell session, type Get-Help <cmdlet name> -online to see the latest help.

Tento modul se nainstaluje do složky \ProgramFiles (x86)\Microsoft Azure Information Protection a tato složka se přidá do proměnné systému PSModulePath.This module installs in \ProgramFiles (x86)\Microsoft Azure Information Protection and adds this folder to the PSModulePath system variable. Soubor .dll pro tento modul má název AIP.dll.The .dll for this module is named AIP.dll.

V současné době je-li nainstalovat modul jako jeden uživatel a spusťte rutiny na stejném počítači jako jiný uživatel, je potřeba nejdřív spustit Import-Module AzureInformationProtection příkaz.Currently, if you install the module as one user and run the cmdlets on the same computer as another user, you must first run the Import-Module AzureInformationProtection command. V tomto scénáři není modul autoload při prvním spuštění rutiny.In this scenario, the module doesn't autoload when you first run a cmdlet.

Aktuální verzi modulu AzureInformationProtection má následující omezení:The current release of the AzureInformationProtection module has the following limitations:

  • K dispozici je možnost zrušit ochranu osobních složek v Outlooku (soubory .pst), ale aktuálně není možné nativně tyto soubory nebo soubory jiných kontejnerů chránit s použitím tohoto modulu PowerShellu.You can unprotect Outlook personal folders (.pst files), but you cannot currently natively protect these files or other container files by using this PowerShell module.

  • Je možné zrušit ochranu chráněných e-mailových zpráv v Outlooku (soubory .rpmsg), když jsou v osobní složce Outlooku, ale není možné zrušit ochranu souborů .rpmsg mimo osobní složku.You can unprotect Outlook protected email messages (.rpmsg files) when they are in an Outlook personal folder (.pst), but you cannot unprotect .rpmsg files outside a personal folder.

Než začnete používat tyto rutiny, podívejte se na další požadavky a pokyny, které odpovídají vašemu nasazení:Before you start to use these cmdlets, see the additional prerequisites and instructions that corresponds to your deployment:

  • Služba Azure Information Protection a Azure Rights ManagementAzure Information Protection and Azure Rights Management service

    • Dá se použít, když používáte jenom klasifikaci nebo klasifikaci s ochranou Rights Management: Máte předplatné, které zahrnuje službu Azure Information Protection (například Enterprise Mobility + Security).Applicable if you use classification-only or classification with Rights Management protection: You have a subscription that includes Azure Information Protection (for example, Enterprise Mobility + Security).
    • Dá se použít, když používáte jenom ochranu se službou Azure Rights Management: Máte předplatné, které zahrnuje službu Azure Rights Management (například Office 365 E3 a Office 365 E5).Applicable if you use protection-only with the Azure Rights Management service: You have a subscription that includes the Azure Rights Management service (for example, Office 365 E3 and Office 365 E5).
  • Active Directory Rights Management Services (AD RMS)Active Directory Rights Management Services

    • Dá se použít, když používáte jenom ochranu s místní verzí služby Azure Rights Management – Active Directory Rights Management Services (AD RMS).Applicable if you use protection-only with the on-premises version of Azure Rights Management; Active Directory Rights Management Services (AD RMS).

Služba Azure Information Protection a Azure Rights ManagementAzure Information Protection and Azure Rights Management service

Než začnete používat příkazy prostředí PowerShell, pokud vaše organizace používá Azure Information Protection pro klasifikaci a ochrany nebo pouze službu Azure Rights Management pro ochranu dat, přečtěte si v této části.Read this section before you start using the PowerShell commands when your organization uses Azure Information Protection for classification and protection, or just the Azure Rights Management service for data protection.

PožadavkyPrerequisites

Kromě požadavky k instalaci modulu AzureInformationProtection existuje další požadavky pro Azure Information Protection označování a služby ochrany dat Azure Rights Management:In addition to the prerequisites for installing the AzureInformationProtection module, there are additional prerequisites for Azure Information Protection labeling and the Azure Rights Management data protection service:

  1. Služba Azure Rights Management musí být aktivovaná.The Azure Rights Management service must be activated.

  2. Odebrání ochrany souborů pro ostatní uživatele s pomocí vlastního účtu:To remove protection from files for others using your own account:

    • V organizaci musíte mít aktivovanou funkci superuživatele a váš účet musí být nakonfigurovaný tak, aby se jednalo o superuživatele pro Azure Rights Management.The super user feature must be enabled for your organization and your account must be configured to be a super user for Azure Rights Management.
  3. Přímá ochrana nebo zrušení ochrany souborů bez zásahu uživatele:To directly protect or unprotect files without user interaction:

    • Vytvořte instanční objekt, spusťte Set-RMSServerAuthentication a zvažte možnost nastavení tohoto instančního objektu jako superuživatele pro Azure Rights Management.Create a service principal account, run Set-RMSServerAuthentication, and consider making this service principal a super user for Azure Rights Management.
  4. Pro oblasti mimo Severní Ameriku:For regions outside North America:

    • Upravte registr pro zjišťování služby.Edit the registry for service discovery.

Požadavek 1: Musí být aktivovaná služba Azure Rights ManagementPrerequisite 1: The Azure Rights Management service must be activated

Tento požadavek platí, ať používáte ochranu dat pomocí popisků, nebo ochranu na základě přímého připojování ke službě Azure Rights Management.This prerequisite applies whether you apply the data protection by using labels or by directly connecting to the Azure Rights Management service to apply the data protection.

Pokud váš tenant Azure Information Protection není aktivovaný, přečtěte si pokyny pro Aktivaci Azure Rights Management.If your Azure Information Protection tenant is not activated, see the instructions for Activating Azure Rights Management.

Požadavek 2: Odebrání ochrany souborů pro ostatní uživatele s pomocí vlastního účtuPrerequisite 2: To remove protection from files for others using your own account

Typické scénáře pro odebrání ochrany u souborů pro ostatní uživatele zahrnují zjišťování nebo obnovení dat.Typical scenarios for removing protection from files for others include data discovery or data recovery. Pokud používáte ochranu založenou na popiscích, měli byste tuto ochranu odebrat tak, že nastavíte nový popisek, u kterého se nepoužije ochrana, nebo tak, že odeberete příslušný popisek.If you are using labels to apply the protection, you could remove the protection by setting a new label that doesn't apply protection or by removing the label. Pravděpodobně se ale pro účely odebrání ochrany připojíte přímo ke službě Azure Rights Management.But you will more likely connect directly to the Azure Rights Management service to remove the protection.

Abyste mohli odebrat ochranu u souborů, musíte mít právo k používání Rights Management nebo být superuživatel.You must have a Rights Management usage right to remove protection from files, or be a super user. Pro zjišťování nebo obnovení dat se obvykle používá funkce superuživatele.For data discovery or data recovery, the super user feature is typically used. Pokud chcete povolit tuto funkci a nakonfigurovat svůj účet jako superuživatele, přečtěte si informace v části Konfigurace superuživatelů pro Azure Rights Management a služby zjišťování nebo obnovení dat.To enable this feature and configure your account to be a super user, see Configuring super users for Azure Rights Management and Discovery Services or Data Recovery.

Požadavek 3: Ochrana nebo zrušení ochrany souborů bez zásahu uživatelePrerequisite 3: To protect or unprotect files without user interaction

Můžete připojit přímo ke službě Azure Rights Management neinteraktivně při ochraně nebo zrušit ochranu souborů.You can connect directly to the Azure Rights Management service non-interactively to protect or unprotect files.

Musíte použít hlavní účet služby pro připojení ke službě Azure Rights Management interaktivně, kterou provádíte pomocí Set-RMSServerAuthentication rutiny.You must use a service principal account to connect to the Azure Rights Management service non-interactively, which you do by using the Set-RMSServerAuthentication cmdlet. Musíte to udělat pro každou relaci Windows PowerShellu, která spouští rutiny, které se připojují přímo ke službě Azure Rights Management.You must do this for each Windows PowerShell session that runs cmdlets that directly connect to the Azure Rights Management service. Před spuštěním této rutiny, musíte mít tyto tři identifikátory:Before you run this cmdlet, you must have these three identifiers:

  • BposTenantIdBposTenantId

  • AppPrincipalIdAppPrincipalId

  • Symetrický klíčSymmetric Key

Automaticky získat hodnoty pro identifikátory a spustit rutinu Set-RMSServerAuthentication můžete použít následující příkazy prostředí PowerShell a komentáři pokyny.You can use the following PowerShell commands and commented instructions to automatically get the values for the identifiers and run the Set-RMSServerAuthentication cmdlet. Nebo můžete ručně získat a zadejte hodnoty.Or, you can manually get and specify the values.

Pro automatické získání hodnoty a spouštění Set-RMSServerAuthentication:To automatically get the values and run Set-RMSServerAuthentication:

# Make sure that you have the AADRM and MSOnline modules installed

$newServicePrincipalName="<new service principal name>"
Connect-AadrmService
$bposTenantID=(Get-AadrmConfiguration).BPOSId
Disconnect-AadrmService
Connect-MsolService
New-MsolServicePrincipal -DisplayName $servicePrincipalName

# Copy the value of the generated symmetric key

$symmetricKey="<value from the display of the New-MsolServicePrincipal command>"
$appPrincipalID=(Get-MsolServicePrincipal | Where { $_.DisplayName -eq $servicePrincipalName }).AppPrincipalId
Set-RMSServerAuthentication -Key $symmetricKey -AppPrincipalId $appPrincipalID -BposTenantId $bposTenantID

Další části popisují, jak ručně získat a zadejte tyto hodnoty s další informace o každé z nich.The next sections explain how to manually get and specify these values, with more information about each one.

Získání BposTenantIdTo get the BposTenantId

Spusťte rutinu Get-AadrmConfiguration z modulu Windows PowerShell v Azure RMS:Run the Get-AadrmConfiguration cmdlet from the Azure RMS Windows PowerShell module:

  1. Pokud tento modul není již nainstalován v počítači, najdete v části instalace modulu prostředí PowerShell AADRM.If this module is not already installed on your computer, see Installing the AADRM PowerShell module.

  2. Spusťte Windows PowerShell s možností Spustit jako správce.Start Windows PowerShell with the Run as Administrator option.

  3. Pomocí rutiny Connect-AadrmService se připojte ke službě Azure Rights Management:Use the Connect-AadrmService cmdlet to connect to the Azure Rights Management service:

     Connect-AadrmService
    

    Po zobrazení výzvy zadejte přihlašovací údaje správce klienta Azure Information Protection.When prompted, enter your Azure Information Protection tenant administrator credentials. Obvykle použijete účet globálního správce pro Azure Active Directory nebo Office 365.Typically, you use an account that is a global administrator for Azure Active Directory or Office 365.

  4. Spusťte Get-AadrmConfiguration a vytvořte kopii hodnoty BPOSId.Run Get-AadrmConfiguration and make a copy of the BPOSId value.

    Následuje příklad výstupu z Get-AadrmConfiguration:An example of output from Get-AadrmConfiguration:

         BPOSId                                   : 23976bc6-dcd4-4173-9d96-dad1f48efd42
    
         RightsManagement ServiceId               : 1a302373-f233-440600909-4cdf305e2e76
    
         LicensingIntranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
         LicensingExtranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
         CertificationIntranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
         CertificationExtranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
  5. Odpojte se od služby:Disconnect from the service:

     Disconnect-AadrmService
    
Získání AppPrincipalId a symetrického klíčeTo get the AppPrincipalId and Symmetric Key

Vytvořte nový instanční objekt spuštěním rutiny New-MsolServicePrincipal z powershellového modulu MSOnline pro Azure Active Directory a postupujte podle následujících pokynů.Create a new service principal by running the New-MsolServicePrincipal cmdlet from the MSOnline PowerShell module for Azure Active Directory and use the following instructions.

Důležité

K vytvoření tohoto instančního objektu nepoužívejte novější rutinu Azure AD PowerShellu New-AzureADServicePrincipal.Do not use the newer Azure AD PowerShell cmdlet, New-AzureADServicePrincipal, to create this service principal. Služba Azure Rights Management nepodporuje rutinu New-AzureADServicePrincipal.The Azure Rights Management service does not support New-AzureADServicePrincipal.

  1. Pokud ještě na počítači nemáte nainstalovaný modul MSOnline, spusťte Install-Module MSOnline.If the MSOnline module is not already installed on your computer, run Install-Module MSOnline.

  2. Spusťte Windows PowerShell s možností Spustit jako správce.Start Windows PowerShell with the Run as Administrator option.

  3. K připojení k Azure AD použijte rutinu Connect-MsolService:Use the Connect-MsolService cmdlet to connect to Azure AD:

     Connect-MsolService
    

    Po zobrazení výzvy zadejte přihlašovací údaje správce klienta Azure AD (většinou použijete účet, který je globálním správcem pro Azure Active Directory nebo Office 365).When prompted, enter your Azure AD tenant administrator credentials (typically, you use an account that is a global administrator for Azure Active Directory or Office 365).

  4. Spusťte rutinu New-MsolServicePrincipal a vytvořte nový instanční objekt:Run the New-MsolServicePrincipal cmdlet to create a new service principal:

     New-MsolServicePrincipal
    

    Po zobrazení výzvy zadejte svůj název zobrazení pro tento instanční objekt, který vám pomůže později identifikovat jeho účel jako účet pro připojení ke službě Azure Rights Management, abyste mohli soubory chránit a jejich ochranu zrušit.When prompted, enter your choice of a display name for this service principal that helps you to identify its purpose later as an account for you to connect to the Azure Rights Management service so that you can protect and unprotect files.

    Příklad výstupu rutiny New-MsolServicePrincipal:An example of the output of New-MsolServicePrincipal:

     Supply values for the following parameters:
    
     DisplayName: AzureRMSProtectionServicePrincipal
     The following symmetric key was created as one was not supplied
     zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=
    
     Display Name: AzureRMSProtectionServicePrincipal
     ServicePrincipalNames: (b5e3f7g1-b5c2-4c96-a594-a0807f65bba4)
     ObjectId: 23720996-593c-4122-bfc7-1abb5a0b5109
     AppPrincialId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4
     TrustedForDelegation: False
     AccountEnabled: True
     Addresses: ()
     KeyType: Symmetric
     KeyId: 8ef61651-ca11-48ea-a350-25834a1ba17c
     StartDate: 3/7/2014 4:43:59 AM
     EndDate: 3/7/2014 4:43:59 AM
     Usage: Verify
    
  5. Z tohoto výstupu si poznamenejte symetrický klíč a AppPrincialId.From this output, make a note of the symmetric key and the AppPrincialId.

    Je důležité, abyste vytvořili kopii tohoto symetrického klíče, teď.It is important that you make a copy of this symmetric key, now. Tento klíč nelze načíst později, tak pokud neznáte jeho když potřebujete další ověření služby Azure Rights Management, budete muset vytvořit nový objekt služby.You cannot retrieve this key later, so if you do not know it when you next need to authenticate to the Azure Rights Management service, you will have to create a new service principal.

Z těchto pokynů a našich příkladů máme tři identifikátory, které jsou nutné ke spuštění příkazu Set-RMSServerAuthentication:From these instructions and our examples, we have the three identifiers required to run Set-RMSServerAuthentication:

  • ID tenanta: 23976bc6-dcd4-4173-9d96-dad1f48efd42Tenant Id: 23976bc6-dcd4-4173-9d96-dad1f48efd42

  • Symetrický klíč: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=Symmetric key: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=

  • AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4

Příkaz v našem příkladu by pak vypadal takto:Our example command would then look like the following:

Set-RMSServerAuthentication -Key zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=-AppPrincipalId b5e3f76a-b5c2-4c96-a594-a0807f65bba4-BposTenantId 23976bc6-dcd4-4173-9d96-dad1f48efd42

Jak ukazuje předchozí příkaz, můžete zadat hodnoty se jeden příkaz, který by se provádí v skript běžet interaktivně.As shown in the previous command, you can supply the values with a single command, which you would do in a script to run non-interactively. Ale pro účely testování můžete právě zadejte Set-RMSServerAuthentication a zadejte hodnoty jeden po druhém po zobrazení výzvy.But for testing purposes, you can just type Set-RMSServerAuthentication, and supply the values one-by-one when prompted. Po dokončení příkazu, klient je nyní pracuje v "serveru režim", což je vhodné pro neinteraktivní použijte například skriptů a infrastrukturou klasifikace souborů systému Windows Server.When the command completes, the client is now operating in "server mode", which is suitable for non-interactive use such as scripts and Windows Server File Classification Infrastructure.

Zvažte to superuživatele hlavní účet služby: K zajištění, že tento hlavní účet služby můžete vždy zrušit ochranu souborů pro ostatní, můžete nastavit jako superuživatele.Consider making this service principal account a super user: To ensure that this service principal account can always unprotect files for others, it can be configured to be a super user. Stejným způsobem, jak nakonfigurovat standardní uživatelský účet jako superuživatele, použijete stejné rutiny Azure RMS, Add-AadrmSuperUser, ale zadat ServicePrincipalId parametr s hodnotou vaší AppPrincipalId.In the same way as you configure a standard user account to be a super user, you use the same Azure RMS cmdlet, Add-AadrmSuperUser, but specify the ServicePrincipalId parameter with your AppPrincipalId value.

Další informace o superuživatelích najdete v tématu Konfigurace superuživatelů pro službu Azure Rights Management a služby zjišťování nebo obnovení dat.For more information about super users, see Configuring super users for Azure Rights Management and discovery services or data recovery.

Poznámka

Pokud chcete použít svůj vlastní účet pro ověření pro službu Azure Rights Management, není nutné spouštět Set-RMSServerAuthentication, než nastavíte nebo zrušíte ochranu souborů nebo získáte šablony.To use your own account to authenticate to the Azure Rights Management service, there's no need to run Set-RMSServerAuthentication before you protect or unprotect files, or get templates.

Požadavek 4: Pro oblasti mimo Severní AmerikuPrerequisite 4: For regions outside North America

Použijete-li chránit soubory a stažení šablon mimo oblast Severní Ameriky Azure hlavní účet služby, je nutné upravit registr:When you use a service principal account to protect files and download templates outside the Azure North America region, you must edit the registry:

  1. Znovu spusťte rutinu Get-AadrmConfiguration a poznamenejte si hodnoty pro CertificationExtranetDistributionPointUrl a LicensingExtranetDistributionPointUrl.Run the Get-AadrmConfiguration cmdlet again, and make a note of the values for CertificationExtranetDistributionPointUrl and LicensingExtranetDistributionPointUrl.

  2. Na každém počítači, kde budete spouštět rutiny AzureInformationProtection otevřete editor registru.On each computer where you will run the AzureInformationProtection cmdlets, open the registry editor.

  3. Přejděte do následujícího umístění: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation.Navigate to the following path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation.

    Pokud se nezobrazí MSIPC klíč nebo ServiceLocation klíče, vytvořte je.If you do not see the MSIPC key or ServiceLocation key, create them.

  4. Pro klíč ServiceLocation vytvořte dva klíče, pokud neexistují, s názvem EnterpriseCertification a EnterprisePublishing.For the ServiceLocation key, create two keys if they do not exist, named EnterpriseCertification and EnterprisePublishing.

    Pro hodnotu řetězce, který se automaticky vytvoří pro tyto klíče neměňte název "(výchozí)", ale upravit řetězec, který nastavit údaj hodnoty:For the string value that's automatically created for these keys, do not change the Name of "(Default)", but edit the string to set the Value data:

    • Pro EnterpriseCertification vložte svoji hodnotu CertificationExtranetDistributionPointUrl.For EnterpriseCertification, paste your CertificationExtranetDistributionPointUrl value.

    • Pro EnterprisePublishing vložte svoji hodnotu LicensingExtranetDistributionPointUrl.For EnterprisePublishing, paste your LicensingExtranetDistributionPointUrl value.

      Například zadání registru pro EnterpriseCertification by měl vypadat takto:For example, your registry entry for EnterpriseCertification should look similar to the following:

      Úprava registru pro modul Azure PowerShell ochrany informací pro oblasti mimo Severní Amerika

  5. Zavřete editor registru.Close the registry editor. Není nutné restartovat počítač.There is no need to restart your computer. Pokud ale používáte účet instančního objektu, a ne vlastní uživatelský účet, musíte po provedení této úpravy registru spustit příkaz Set-RMSServerAuthentication.However, if you are using a service principal account rather than your own user account, you must run the Set-RMSServerAuthentication command after making this registry edit.

Příklad scénářů použití rutin pro službu Azure Information Protection a Azure Rights ManagementExample scenarios for using the cmdlets for Azure Information protection and the Azure Rights Management service

Je výhodnější používat ke klasifikaci a ochraně souborů popisky, protože potřebujete jenom dvě rutiny, které se dají spustit samostatně nebo společně: Get-AIPFileStatus a Set AIPFileLabel.It's more efficient to use labels to classify and protect files, because there are just two cmdlets that you need, which can be run by themselves or together: Get-AIPFileStatus and Set-AIPFileLabel. Další informace a příklady pro obě tyto rutiny najdete v nápovědě.Use the help for both these cmdlets for more information and examples.

Pokud ale chcete nastavit nebo zrušit ochranu souborů přímo na základě připojení ke službě Azure Rights Management, je obvykle potřeba spustit sérii rutin, jak je popsané dále.However, to protect or unprotect files by directly connecting to the Azure Rights Management service, you must typically run a series of cmdlets as described next.

První Pokud potřebujete k ověření služby Azure Rights Management s hlavní účet služby a místo použití svůj vlastní účet v relaci prostředí PowerShell, zadejte:First, if you need to authenticate to the Azure Rights Management service with a service principal account rather than use your own account, in a PowerShell session, type:

Set-RMSServerAuthentication

Po zobrazení výzvy zadejte tři identifikátory, jak je popsáno v části Požadavek 3: Ochrana nebo zrušení ochrany souborů bez zásahu uživatele.When prompted, enter the three identifiers as described in Prerequisite 3: To protect or unprotect files without user interaction.

Než budete moct nastavit ochranu souborů, musíte do počítače stáhnout šablony služby Rights Management, abyste mohli určit, kterou použít a jaké je její odpovídající číslo ID.Before you can protect files, you must download the Rights Management templates to your computer and identify which one to use and its corresponding ID number. Z výstupu pak můžete zkopírovat ID šablony:From the output, you can then copy the template ID:

Get-RMSTemplate

Výstup může vypadat přibližně takto:Your output might look similar to the following:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True

TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Upozorňujeme, že pokud jste nespustili příkaz Set-RMSServerAuthentication, ověření své identity ve službě Azure Rights Management provedete pomocí vlastního uživatelského účtu.Note that if you didn't run the Set-RMSServerAuthentication command, you are authenticated to the Azure Rights Management service by using your own user account. V počítači připojeném k doméně se vždy použijí automaticky vaše aktuální přihlašovací údaje.If you are on a domain-joined computer, your current credentials are always used automatically. Pokud používáte počítač v pracovní skupině, zobrazí se výzva k přihlášení k Azure a tyto přihlašovací údaje se pak zapíší do mezipaměti pro následné příkazy.If you are on a workgroup computer, you are prompted to sign in to Azure, and these credentials are then cached for subsequent commands. Pokud se budete potřebovat v tomto scénáři později přihlásit jako jiný uživatel, použijte rutinu Clear-RMSAuthentication.In this scenario, if you later need to sign in as a different user, use the Clear-RMSAuthentication cmdlet.

Teď znáte ID šablony a můžete ho použít s rutinou Protect-RMSFile k ochraně jednoho nebo všech souborů ve složce.Now you know the template ID, you can use it with the Protect-RMSFile cmdlet to protect a single file or all files in a folder. Pokud například chcete chránit jenom jeden soubor a přepsat původní pomocí šablony Contoso, Ltd – důvěrné:For example, if you want to protect a single file only and overwrite the original, by using the "Contoso, Ltd - Confidential" template:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

Výstup může vypadat přibližně takto:Your output might look similar to the following:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

Když budete chtít nastavit ochranu pro všechny soubory ve složce, použijte parametr -Folder s písmenem jednotky a cestou nebo cestu UNC.To protect all files in a folder, use the -Folder parameter with a drive letter and path, or UNC path. Příklad:For example:

Protect-RMSFile -Folder \Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

Výstup může vypadat přibližně takto:Your output might look similar to the following:

InputFile                          EncryptedFile
---------                          -------------
\Server1\Documents\Test1.docx     \Server1\Documents\Test1.docx
\Server1\Documents\Test2.docx     \Server1\Documents\Test2.docx
\Server1\Documents\Test3.docx     \Server1\Documents\Test3.docx
\Server1\Documents\Test4.docx     \Server1\Documents\Test4.docx

Pokud se přípona názvu souboru po použití ochrany nezmění, můžete vždycky později použít rutinu Get-RMSFileStatus a zkontrolovat, jestli je soubor chráněný.When the file name extension does not change after the protection is applied, you can always use the Get-RMSFileStatus cmdlet later to check whether the file is protected. Příklad:For example:

Get-RMSFileStatus -File \Server1\Documents\Test1.docx

Výstup může vypadat přibližně takto:Your output might look similar to the following:

FileName                              Status
--------                              ------
\Server1\Documents\Test1.docx         Protected

Odemknout soubor, nemáte vlastníka nebo extrahujte práv z když je soubor chráněný.To unprotect a file, you must have Owner or Extract rights from when the file was protected. Případně, bude nutné spustit rutiny jako superuživatele.Or, you must run the cmdlets as a super user. Potom použijte rutinu Unprotect.Then, use the Unprotect cmdlet. Příklad:For example:

Unprotect-RMSFile C:\test.docx -InPlace

Výstup může vypadat přibližně takto:Your output might look similar to the following:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Mějte na paměti, že pokud se šablony služby Rights Management změní, musíte je znovu stáhnout pomocí Get-RMSTemplate -force.Note that if the Rights Management templates are changed, you must download them again with Get-RMSTemplate -force.

Active Directory Rights Management ServicesActive Directory Rights Management Services

Přečtěte si informace v této části před tím, než začnete používat příkazy PowerShellu k ochraně nebo zrušení ochrany souborů, když vaše organizace používá jenom službu Active Directory Rights Management Services (AD RMS).Read this section before you start using the PowerShell commands to protect or unprotect files when your organization uses just Active Directory Rights Management Services.

PožadavkyPrerequisites

Kromě předpokladů pro instalaci modulu AzureInformationProtection musí mít účet používaný k ochraně nebo zrušit ochranu souborů oprávnění číst a spustit přístup ServerCertification.asmx:In addition to the prerequisites for installing the AzureInformationProtection module, the account used to protect or unprotect files must have Read and Execute permissions to access ServerCertification.asmx:

  1. Přihlaste se k serveru služby AD RMS.Log on to an AD RMS server.

  2. Klikněte na tlačítko Start a potom na Počítač.Click Start, and then click Computer.

  3. V Průzkumníkovi souborů přejděte do složky %systemdrive%\Initpub\wwwroot_wmsc\Certification.In File Explorer, navigate to %systemdrive%\Initpub\wwwroot_wmsc\Certification.

  4. Klikněte pravým tlačítkem myši na ServerCertification.asmx a potom na Vlastnosti.Right-click ServerCertification.asmx, then click Properties.

  5. V dialogovém okně s vlastnostmi serveru pro správu klikněte na kartu Zabezpečení.In the ServerCertification.asmx Properties dialog box, click the Security tab.

  6. Klikněte na tlačítko Pokračovat nebo Upravit.Click the Continue button or the Edit button.

  7. V dialogovém okně Oprávnění pro ServerCertification.asmx klikněte na Přidat.In the Permissions for ServerCertification.asmx dialog box, click Add.

  8. Přidejte název účtu.Add your account name. Pokud tyto rutiny budou k ochraně a zrušení soubory použít také další správci služby AD RMS nebo účty služby, přidejte tyto účty také.If other AD RMS administrators or service accounts will also use these cmdlets to protect and unprotect files, add those accounts as well.

    Při ochraně nebo zrušit ochranu souborů interaktivně, přidejte příslušné počítačový účet nebo účty.To protect or unprotect files non-interactively, add the relevant computer account or accounts. Například přidejte účet počítače systému Windows Server počítače, který je nakonfigurovaný pro infrastrukturu klasifikace souborů a použije skript prostředí PowerShell k ochraně souborů.For example, add the computer account of the Windows Server computer that is configured for File Classification Infrastructure and will use a PowerShell script to protect files.

  9. Ve sloupci Povolit musí být zaškrtnutá políčka Číst a spustit a Číst.In the Allow column, make sure that the Read and Execute, and the Read checkboxes are selected.

10. Dvakrát klikněte na OK.10.Click OK twice.

Ukázkové scénáře pro použití rutin pro službu AD RMS (Active Directory Rights Management Services)Example scenarios for using the cmdlets for Active Directory Rights Management Services

Typický scénář pro tyto rutiny je ochrana všech souborů ve složce pomocí šablony zásad práv nebo zrušení ochrany souboru.A typical scenario for these cmdlets is to protect all files in a folder by using a rights policy template, or to unprotect a file.

Pokud máte více než jedno nasazení služby AD RMS, jako první věc budete potřebovat názvy serverů AD RMS. Zjistíte je tak, že pomocí rutiny Get-RMSServer zobrazíte seznam dostupných serverů:First, if you have more than one deployment of AD RMS, you need the names of your AD RMS servers, which you do by using the Get-RMSServer cmdlet to display a list of available servers:

Get-RMSServer

Výstup může vypadat přibližně takto:Your output might look similar to the following:

Number of RMS Servers that can provide templates: 2 
ConnectionInfo             DisplayName          AllowFromScratch
--------------             -------------        ----------------
Microsoft.InformationAnd…  RmsContoso                       True
Microsoft.InformationAnd…  RmsFabrikam                      True

Než budete moct nastavit ochranu souborů, je nutné získat seznam šablon RMS, abyste mohli určit, kterou použít a jaké je její odpovídající identifikační číslo.Before you can protect files, you need to get a list of RMS templates to identify which one to use and its corresponding ID number. Jenom v případě, že máte více než jedno nasazení služby AD RMS, bude potřeba zadat také server RMS.Only when you have more than one AD RMS deployment do you need to specify the RMS server as well.

Z výstupu pak můžete zkopírovat ID šablony:From the output, you can then copy the template ID:

Get-RMSTemplate -RMSServer RmsContoso

Výstup může vypadat přibližně takto:Your output might look similar to the following:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True


TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Teď znáte ID šablony a můžete ho použít s rutinou Protect-RMSFile k ochraně jednoho nebo všech souborů ve složce.Now you know the template ID, you can use it with the Protect-RMSFile cmdlet to protect a single file or all files in a folder. Pokud například chcete chránit jenom jeden soubor a nahradit původní pomocí šablony Contoso, Ltd – důvěrné:For example, if you want to protect a single file only and replace the original, by using the "Contoso, Ltd - Confidential" template:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

Výstup může vypadat přibližně takto:Your output might look similar to the following:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx   

Pokud chcete chránit všechny soubory ve složce, použijte parametr -Folder s písmenem jednotky a cestou nebo cestu UNC.To protect all files in a folder, use the -Folder parameter with a drive letter and path, or UNC path. Příklad:For example:

Protect-RMSFile -Folder \\Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

Výstup může vypadat přibližně takto:Your output might look similar to the following:

InputFile                          EncryptedFile
---------                          -------------
\\Server1\Documents\Test1.docx     \\Server1\Documents\Test1.docx   
\\Server1\Documents\Test2.docx     \\Server1\Documents\Test2.docx   
\\Server1\Documents\Test3.docx     \\Server1\Documents\Test3.docx   
\\Server1\Documents\Test4.docx     \\Server1\Documents\Test4.docx   

Když příponu názvu souboru se nemění po použití ochrany, vždy můžete rutinu Get-RMSFileStatus později zkontrolujte, zda je soubor chráněný.When the file name extension does not change after protection is applied, you can always use the Get-RMSFileStatus cmdlet later to check whether the file is protected. Příklad:For example:

Get-RMSFileStatus -File \\Server1\Documents\Test1.docx

Výstup může vypadat přibližně takto:Your output might look similar to the following:

FileName                              Status
--------                              ------
\\Server1\Documents\Test1.docx        Protected

Chcete-li zrušit ochranu souboru, musí mít práva k používání vlastníka nebo extrahujte z když chráněný soubor, nebo být superuživatele pro službu AD RMS.To unprotect a file, you must have Owner or Extract usage rights from when the file was protected, or be super user for AD RMS. Potom použijte rutinu Unprotect.Then, use the Unprotect cmdlet. Příklad:For example:

Unprotect-RMSFile C:\test.docx -InPlace

Výstup může vypadat přibližně takto:Your output might look similar to the following:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Postup pro neinteraktivní popisování souborů pro účely služby Azure Information ProtectionHow to label files non-interactively for Azure Information Protection

Spuštěním rutiny označování interaktivně pomocí Set-AIPAuthentication rutiny.You can run the labeling cmdlets non-interactively by using the Set-AIPAuthentication cmdlet. Také je vyžadována pro Azure Information Protection skeneru neinteraktivně operaci.Non-interactive operation is also required for the Azure Information Protection scanner.

Ve výchozím nastavení platí, že když spustíte rutiny pro popisování, příkazy se spustí ve vašem vlastním uživatelském kontextu v interaktivní relaci PowerShellu.By default, when you run the cmdlets for labeling, the commands run in your own user context in an interactive PowerShell session. Pokud je chcete spustit bezobslužně, vytvořte pro tento účel nový uživatelský účet služby Azure AD.To run them unattended, create a new Azure AD user account for this purpose. Pak v kontextu daného uživatele spusťte rutinu Set-AIPAuthentication, která nastaví a uloží přihlašovací údaje pomocí přístupového tokenu z Azure AD.Then, in the context of that user, run the Set-AIPAuthentication cmdlet to set and store credentials by using an access token from Azure AD. Tento uživatelský účet pak bude ověřený a spuštěný, takže na něm můžete používat službu Azure Rights Management.This user account is then authenticated and bootstrapped for the Azure Rights Management service. Účet stáhne zásahy služby Azure Information Protection a všechny šablony řešení Rights Management, které používají dané popisky.The account downloads the Azure Information Protection policy and any Rights Management templates that the labels use.

Poznámka

Pokud používáte obor zásady, mějte na paměti, které můžete potřebovat pro tento účet přidat do oboru zásad.If you use scoped policies, remember that you might need to add this account to your scoped policies.

Při prvním spuštění této rutiny se zobrazí výzva, abyste se přihlásili k řešení Azure Information Protection.The first time you run this cmdlet, you are prompted to sign in for Azure Information Protection. Zadejte název uživatelského účtu a heslo, které jste vytvořili pro bezobslužné uživatele.Specify the user account name and password that you created for the unattended user. Tento účet pak může neinteraktivně spouštět rutiny popisování, dokud nevyprší platnost tokenu zabezpečení.After that, this account can then run the labeling cmdlets non-interactively until the authentication token expires.

Pro uživatelský účet moct přihlásit interaktivně tento poprvé, musí mít účet přihlásit se místně správné.For the user account to be able to sign in interactively this first time, the account must have the Log on locally right. Toto právo je standard pro uživatelské účty, ale zásady vaší společnosti může zakázat tuto konfiguraci pro účty služeb.This right is standard for user accounts but your company policies might prohibit this configuration for service accounts. Pokud je to tento případ, můžete spustit sadu AIPAuthentication s tokenu parametr tak, ověření se dokončí bez řádku přihlášení.If that's the case, you can run Set-AIPAuthentication with the Token parameter so that authentication completes without the sign-in prompt. Můžete spustit tento příkaz jako naplánovaná úloha a udělte účtu pravém dolním rohu přihlásit jako dávkovou úlohu.You can run this command as a scheduled task and grant the account the lower right of Log on as batch job. Další informace najdete v následujících částech.For more information, see the following sections.

Když vyprší platnost tokenu, spusťte rutinu znovu získat nový token.When the token expires, run the cmdlet again to acquire a new token.

Pokud tuto rutinu spustíte bez parametrů, účet získá přístupový token, který bude platit 90 dní nebo tak dlouho, dokud nevyprší platnost hesla.If you run this cmdlet without parameters, the account acquires an access token that is valid for 90 days or until your password expires.

Pokud chcete mít kontrolu nad tím, kdy vyprší platnost přístupového tokenu, spusťte tuto rutinu s parametry.To control when the access token expires, run this cmdlet with parameters. Díky tomu můžete nakonfigurovat přístupový token na jeden nebo dva roky nebo tak, aby jeho platnost nikdy nevypršela.This lets you configure the access token for one year, two years, or to never expire. Pro tuto konfiguraci musíme mít v Azure Active Directory zaregistrované dvě aplikace: webovou aplikaci / webové rozhraní API a nativní aplikaci .This configuration requires you to have two applications registered in Azure Active Directory: A Web app / API application and a native application. Parametry pro tuto rutinu pracují s hodnotami z těchto aplikací.The parameters for this cmdlet use values from these applications.

Po spuštění této rutiny můžete v kontextu uživatelského účtu, který jste vytvořili, spustit rutiny popisování.After you have run this cmdlet, you can run the labeling cmdlets in the context of the user account that you created.

Vytvoření a konfigurace aplikací v Azure AD pro rutinu Set-AIPAuthenticationTo create and configure the Azure AD applications for Set-AIPAuthentication

  1. V novém okně prohlížeče se přihlaste k webu Azure Portal.In a new browser window, sign in the Azure portal.

  2. V tenantovi Azure AD, kterého používáte s řešením Azure Information Protection, přejděte do nabídky Azure Active Directory > Registrace aplikací.For the Azure AD tenant that you use with Azure Information Protection, navigate to Azure Active Directory > App registrations.

  3. Vyberte možnost Registrace nové aplikace, s pomocí které vytvoříte webovou aplikaci nebo webové rozhraní API.Select New application registration, to create your Web app /API application. V části Vytvořit zadejte následující hodnoty a pak klikněte na Vytvořit:On the Create label, specify the following values, and then click Create:

    • Název: AIPOnBehalfOfName: AIPOnBehalfOf

      Pokud chcete, zadejte jiný název.If you prefer, specify a different name. V rámci tenanta musí být jedinečný.It must be unique per tenant.

    • Typ aplikace: Webová aplikace / webové rozhraní APIApplication Type: Web app /API

    • Adresa URL přihlašování: http://localhostSign-on URL: http://localhost

  4. Vyberte aplikaci, kterou jste právě vytvořili, například AIPOnBehalfOf.Select the application that you've just created, for example, AIPOnBehalfOf. V okně Nastavení pak vyberte Vlastnosti.Then, on the Settings blade, select Properties. Z okna Vlastnosti zkopírujte hodnotu pole ID aplikace a pak okno zavřete.From the Properties blade, copy the value for the Application ID, and then close this blade.

    Tato hodnota se po spuštění rutiny Set-AIPAuthentication používá pro parametr WebAppId.This value is used for the WebAppId parameter when you run the Set-AIPAuthentication cmdlet. Vložte a uložit pro pozdější použití.Paste and save it for later reference.

  5. Zpět na nastavení vyberte požadovaná oprávnění.Back on the Settings blade, select Required permissions. Na požadovaná oprávnění vyberte udělit oprávnění, klikněte na Ano potvrďte a pak zavřete toto okno.On the Required permissions blade, select Grant Permissions, click Yes to confirm, and then close this blade.

  6. Zpět na nastavení okno znovu, vyberte klíče.Back on the Settings blade again, select Keys. Přidejte nový klíč tak, že zadáte popis a vybranou dobu platnosti (1 rok, 2 roky nebo bez konce platnosti).Add a new key by specifying a description and your choice of duration (1 year, 2 years, or never expires). Potom vyberte Uložit a zkopírujte řetězec do zobrazeného pole Hodnota.Then select Save, and copy the string for the Value that is displayed. Tento řetězec si musíte uložit, protože už se nezobrazí a nelze ho zpětně načíst.It's important that you save this string because it is not displayed again and it cannot be retrieved. Tak jako u každého klíče, který používáte, si hodnotu bezpečně uložte a nedovolte k ní přístup neoprávněným osobám.As with any key that you use, store the saved value securely and restrict access to it.

    Tato hodnota se po spuštění rutiny Set-AIPAuthentication používá pro parametr WebAppKey.This value is used for the WebAppKey parameter when you run the Set-AIPAuthentication cmdlet.

  7. Vraťte se do okna Registrace aplikací a vyberte možnost Registrace nové aplikace, pomocí které vytvoříte vlastní nativní aplikaci.Back on the App registrations blade, select New application registration, to create your native application. V části Vytvořit zadejte následující hodnoty a pak klikněte na Vytvořit:On the Create label, specify the following values, and then click Create:

    • Název: AIPClientName: AIPClient

      Pokud chcete, zadejte jiný název.If you prefer, specify a different name. V rámci tenanta musí být jedinečný.It must be unique per tenant.

    • Typ aplikace: NativníApplication Type: Native

    • Adresa URL přihlašování: http://localhostSign-on URL: http://localhost

  8. Vyberte aplikaci, kterou jste právě vytvořili, například AIPClient.Select the application that you've just created, for example, AIPClient. V okně Nastavení pak vyberte Vlastnosti.Then, on the Settings blade, select Properties. Z okna Vlastnosti zkopírujte hodnotu pole ID aplikace a pak okno zavřete.From the Properties blade, copy the value for the Application ID, and then close this blade.

    Tato hodnota se po spuštění rutiny Set-AIPAuthentication používá pro parametr NativeAppId.This value is used for the NativeAppId parameter when you run the Set-AIPAuthentication cmdlet. Vložte a uložit pro pozdější použití.Paste and save it for later reference.

  9. V okně Nastavení vyberte Požadovaná oprávnění.On the Settings blade, select Required permissions.

  10. V okně Požadovaná oprávnění klikněte na možnost Přidat a pak na Vyberte rozhraní API.On the Required permissions blade, click Add, and then click Select an API. Do pole vyhledávání napište AIPOnBehalfOf.In the search box, type AIPOnBehalfOf. V seznamu vyberte tuto hodnotu a pak klikněte na Vybrat.Select this value in the list box, and then click Select.

  11. V okně Povolit přístup vyberte AIPOnBehalfOf, klikněte na Vybrat a potom na Hotovo.On the Enable Access blade, select AIPOnBehalfOf, click Select, and then click Done.

  12. Zpět na požadovaná oprávnění vyberte udělit oprávnění, klikněte na tlačítko Ano potvrďte a pak zavřete toto okno.Back on the Required permissions blade, select Grant Permissions, click Yes to confirm, and then close this blade.

Nyní jste dokončili konfiguraci dvě aplikace a máte hodnoty, které budete muset spustit Set-AIPAuthentication s parametry WebAppId, WebAppKey a NativeAppId.You've now completed the configuration of the two apps and you have the values that you need to run Set-AIPAuthentication with the parameters WebAppId, WebAppKey and NativeAppId. Příklad:For example:

Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f"

Tento příkaz spusťte v kontextu účtu, který bude popisku a chránit dokumenty interaktivně.Run this command in the context of the account that will label and protect the documents non-interactively. Například uživatelský účet pro skripty PowerShell nebo účtu služby, spusťte skener Azure Information Protection.For example, a user account for your PowerShell scripts or the service account to run the Azure Information Protection scanner.

Když spustíte tento příkaz poprvé, zobrazí se výzva k přihlášení, které vytváří a bezpečně ukládá tokenu přístupu pro váš účet v % localappdata%\Microsoft\MSIP.When you run this command for the first time, you are prompted to sign in, which creates and securely stores the access token for your account in %localappdata%\Microsoft\MSIP. Po této počáteční přihlášení můžete popisku a chránit soubory interaktivně v počítači.After this initial sign-in, you can label and protect files non-interactively on the computer. Ale pokud použijete účet služby k popisku a chránit soubory a tento účet služby nemůžete se přihlásit interaktivně, postupujte podle pokynů v následující části, aby se účet služby můžete ověřit pomocí tokenu.However, if you use a service account to label and protect files, and this service account cannot sign in interactively, use the instructions in the following section so that the service account can authenticate by using a token.

Zadejte a použijte parametr Token pro sadu AIPAuthenticationSpecify and use the Token parameter for Set-AIPAuthentication

Použijte následující kroky a pokyny, abyste vyhnout počáteční interaktivní přihlášení pro účet, který popisků a chrání soubory.Use the following additional steps and instructions to avoid the initial interactive sign-in for an account that labels and protects files. Tyto další kroky jsou obvykle vyžaduje jenom v případě, že tento účet nelze udělit přihlásit se místně pravým, ale jsou udělena přihlásit jako dávkovou úlohu správné.Typically, these additional steps are required only if this account cannot be granted the Log on locally right but is granted the Log on as a batch job right. Například to může být případ účtu služby, který spouští skeneru Azure Information Protection.For example, this might be the case for your service account that runs the Azure Information Protection scanner.

Hlavní kroky:High-level steps:

  1. Vytvořte skript prostředí PowerShell v místním počítači.Create a PowerShell script on your local computer.

  2. Spusťte sadu AIPAuthentication k získání tokenu přístupu a zkopírujte jej do schránky.Run Set-AIPAuthentication to get an access token and copy it to the clipboard.

  3. Upravte skript prostředí PowerShell, který chcete zahrnout token.Modify the PowerShell script to include the token.

  4. Vytvořte úlohu, která se spouští skript prostředí PowerShell v kontextu účtu služby, který bude popisku a chránit soubory.Create a task that runs the PowerShell script in the context of the service account that will label and protect files.

  5. Potvrďte, že token uloží pro účet služby a odstraňte skript prostředí PowerShell.Confirm that the token is saved for the service account, and delete the PowerShell script.

Krok 1: Vytvoření skriptu prostředí PowerShell v místním počítačiStep 1: Create a PowerShell script on your local computer

  1. V počítači vytvořte nový skript prostředí PowerShell s názvem Aipauthentication.ps1.On your computer, create a new PowerShell script named Aipauthentication.ps1.

  2. Zkopírujte a vložte následující příkaz do tento skript:Copy and paste the following command into this script:

      Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application>  -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application > -Token <token value>
    
  3. Tento příkaz pomocí pokynů v předchozí části, upravit zadáním vlastních hodnot pro WebAppId, WebAppkey, a NativeAppId parametry.Using the instructions in the preceding section, modify this command by specifying your own values for the WebAppId, WebAppkey, and NativeAppId parameters. V tuto chvíli nemáte hodnotu tokenu parametr, který můžete zadat později.At this time, you do not have the value for the Token parameter, which you specify later.

    Příklad: Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>For example: Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>

Krok 2: Spuštění Set-AIPAuthentication k získání přístupového tokenu a zkopírujte jej do schránky.Step 2: Run Set-AIPAuthentication to get an access token and copy it to the clipboard

  1. Otevřete relaci prostředí Windows PowerShell.Open a Windows PowerShell session.

  2. Pomocí stejné hodnoty jako jste zadali ve skriptu, spusťte následující příkaz:Using the same values as you specified in the script, run the following command:

     (Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application>  -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application >).token | clip
    

    Příklad: (Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clipFor example: (Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clip

Krok 3: Úprava skript prostředí PowerShell k zadání tokenuStep 3: Modify the PowerShell script to supply the token

  1. Ve vašem skriptu prostředí PowerShell zadejte hodnotu tokenu vložením text ze schránky a uložte soubor.In your PowerShell script, specify the token value by pasting the string from the clipboard, and save the file.

  2. Podepište skript.Sign the script. Pokud nepodepíšete (bezpečnější) skriptu, musíte nakonfigurovat prostředí Windows PowerShell v počítači, který se spustí označování příkazy.If you do not sign the script (more secure), you must configure Windows PowerShell on the computer that will run the labeling commands. Například spusťte relaci prostředí Windows PowerShell s spustit jako správce a zadejte: Set-ExecutionPolicy RemoteSigned.For example, run a Windows PowerShell session with the Run as Administrator option, and type: Set-ExecutionPolicy RemoteSigned. Tato konfigurace však umožňuje spuštění, když jsou uložené v tomto počítači (méně bezpečné) všech nepodepsaných skriptů.However, this configuration lets all unsigned scripts run when they are stored on this computer (less secure).

    Další informace o podepisování skriptů prostředí Windows PowerShell naleznete v tématu about_Signing v knihovně dokumentace k prostředí PowerShell.For more information about signing Windows PowerShell scripts, see about_Signing in the PowerShell documentation library.

  3. Zkopírujte tento skript prostředí PowerShell k počítači, který bude popisku a chránit soubory a odstranit původní ve vašem počítači.Copy this PowerShell script to the computer that will label and protect files, and delete the original on your computer. Například zkopírujte skript prostředí PowerShell do C:\Scripts\Aipauthentication.ps1 na počítači s Windows serverem.For example, you copy the PowerShell script to C:\Scripts\Aipauthentication.ps1 on a Windows Server computer.

Krok 4: Vytvoření úlohy, která spouští skript prostředí PowerShellStep 4: Create a task that runs the PowerShell script

  1. Ujistěte se, zda má účet služby, který bude popisku a chránit soubory přihlásit jako dávkovou úlohu správné.Make sure that the service account that will label and protect files has the Log on as a batch job right.

  2. Na počítači, který bude popisku a chránit soubory otevřete Plánovač úloh a vytvořte novou úlohu.On the computer that will label and protect files, open Task Scheduler and create a new task. Konfigurace této úlohy můžete spustit jako účet služby, který bude popisku a chránit soubory a pak proveďte konfiguraci následujících hodnot pro akce:Configure this task to run as the service account that will label and protect files, and then configure the following values for the Actions:

    • Akce: Start a programAction: Start a program
    • Program nebo skript: Powershell.exeProgram/script: Powershell.exe
    • Přidat argumenty (volitelné): -NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"Add arguments (optional): -NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"

      Pro argument řádek zadejte vlastní název a cesta k souboru, pokud jsou liší od příkladu.For the argument line, specify your own path and file name, if these are different from the example.

  3. Tuto úlohu spustit ručně.Manually run this task.

Krok 4: Ověřte, že token uloží a odstranit skript prostředí PowerShellStep 4: Confirm that the token is saved and delete the PowerShell script

  1. Potvrďte, že token jsou teď uložená ve složce %localappdata%\Microsoft\MSIP pro profil účtu služby.Confirm that the token is now stored in the %localappdata%\Microsoft\MSIP folder for the service account profile. Tato hodnota je chráněný pomocí účtu služby.This value is protected by the service account.

  2. Odstraňte skript prostředí PowerShell, který obsahuje token hodnotu (například Aipauthentication.ps1).Delete the PowerShell script that contains the token value (for example, Aipauthentication.ps1).

    Volitelně můžete odstraníte úlohu.Optionally, delete the task. Pokud vyprší platnost vašeho tokenu, musíte tento postup opakujte, v takovém případě může být pohodlnější opustit úlohu nakonfigurované tak, aby byl připravený k Když kopírujete nové prostředí PowerShell, spusťte znovu skript s novou hodnotou tokenu.If your token expires, you must repeat this process, in which case it might be more convenient to leave the configured task so that it's ready to rerun when you copy over the new PowerShell script with the new token value.

Další krokyNext steps

Nápovědu k rutině získáte v relaci PowerShellu tak, že napíšete Get-Help <cmdlet name> cmdlet a pomocí online parametru přečtete nejnovější informace.For cmdlet help when you are in a PowerShell session, type Get-Help <cmdlet name> cmdlet, and use the -online parameter to read the most up-to-date information. Příklad:For example:

Get-Help Get-RMSTemplate -online

Další informace, které byste mohli potřebovat pro podporu klienta Azure Information Protection, získáte v následující části:See the following for additional information that you might need to support the Azure Information Protection client:

KomentářeComments

Před přidáním komentáře se podívejte na naše pravidla organizace.Before commenting, we ask that you review our House rules.