Příručka pro správce: použití PowerShellu s klientem Azure Information Protection ClassicAdmin Guide: Using PowerShell with the Azure Information Protection classic client

*Platí pro: služba AD RMS (Active Directory Rights Management Services), Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 **Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012*

*Relevantní pro: Azure Information Protection klasického klienta pro Windows.*Relevant for: Azure Information Protection classic client for Windows. Jednotný klient označování najdete v příručce pro správce klienta s jednotným označováním. *For the unified labeling client, see the unified labeling client admin guide.*

Poznámka

Pro zajištění jednotného a zjednodušeného prostředí pro zákazníky se Azure Information Protection klasický klient a Správa štítků na portálu Azure Portal od 31. března 2021.To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. I když klasický klient nadále funguje tak, jak je nakonfigurován, není k dispozici žádná další podpora a verze údržby již nebudou pro klasického klienta uvolněny.While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client.

Doporučujeme migrovat na jednotné označování a upgradovat na klienta jednotného označování.We recommend that you migrate to unified labeling and upgrade to the unified labeling client. Další informace najdete na našem nedávný blogo vyřazení.Learn more in our recent deprecation blog.

Při instalaci klienta Azure Information Protection Classic se automaticky nainstalují příkazy PowerShellu.When you install the Azure Information Protection classic client, PowerShell commands are automatically installed. To vám umožní spravovat klienta spuštěním příkazů, které můžete vložit do skriptů pro automatizaci.This lets you manage the client by running commands that you can put into scripts for automation.

Rutiny se instalují pomocí modulu PowerShellu AzureInformationProtection.The cmdlets are installed with the PowerShell module AzureInformationProtection. Tento modul zahrnuje všechny rutiny Rights Management z nástroje RMS Protection Tool (již není podporován).This module includes all the Rights Management cmdlets from the RMS Protection Tool (no longer supported). K dispozici jsou také rutiny, které používají Azure Information Protection k označování.There are also cmdlets that use Azure Information Protection for labeling. Například:For example:

Rutina popisováníLabeling cmdlet Příklad použitíExample usage
Get-AIPFileStatusGet-AIPFileStatus Pro sdílenou složku; všechny soubory se označují určitým popiskemFor a shared folder, identify all files with a specific label.
Set-AIPFileClassificationSet-AIPFileClassification Pro sdílenou složku; obsah souborů se zkontroluje a potom se neoznačené soubory automaticky označí popiskem podle vámi specifikovaných podmínek.For a shared folder, inspect the file contents and then automatically label unlabeled files, according to the conditions that you have specified.
Set-AIPFileLabelSet-AIPFileLabel Pro sdílenou složku; u všech souborů, které nemají popisek, se použije určený popisekFor a shared folder, apply a specified label to all files that do not have a label.
Set-AIPAuthenticationSet-AIPAuthentication Soubory popisků nejsou interaktivní, například pomocí skriptu, který běží podle plánu.Label files non-interactively, for example by using a script that runs on a schedule.

Tip

Chcete-li použít rutiny s délkou cest větší než 260 znaků, použijte následující nastavení zásad skupiny , které je k dispozici po spuštění systému Windows 10, verze 1607:To use cmdlets with path lengths greater than 260 characters, use the following group policy setting that is available starting Windows 10, version 1607:
Zásady > místního počítače Konfigurace počítače > Šablony pro správu > Všechna nastavení > Povolit dlouhé cesty Win32Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

Pro Windows Server 2016 můžete použít stejné nastavení zásad skupiny, když nainstalujete nejnovější Šablony pro správu (. admx) pro Windows 10.For Windows Server 2016, you can use the same group policy setting when you install the latest Administrative Templates (.admx) for Windows 10.

Další informace najdete v části omezení maximální délky cest v dokumentaci pro vývojáře pro Windows 10.For more information, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

Azure Information Protection skener používá rutiny z modulu AzureInformationProtection k instalaci a konfiguraci služby na Windows serveru.The Azure Information Protection scanner uses cmdlets from the AzureInformationProtection module to install and configure a service on Windows Server. Tento skener pak umožňuje vyhledat, klasifikovat a chránit soubory v úložištích dat.This scanner then lets you discover, classify, and protect files on data stores.

Seznam všech rutin a příslušnou nápovědu najdete v článku o modulu AzureInformationProtection.For a list of all the cmdlets and their corresponding help, see AzureInformationProtection Module. V rámci relace PowerShellu zadejte Get-Help <cmdlet name> -online nejnovější informace o nápovědě.Within a PowerShell session, type Get-Help <cmdlet name> -online to see the latest help.

Tento modul se nainstaluje do složky \ProgramFiles (x86)\Microsoft Azure Information Protection a tato složka se přidá do proměnné systému PSModulePath.This module installs in \ProgramFiles (x86)\Microsoft Azure Information Protection and adds this folder to the PSModulePath system variable. Soubor .dll pro tento modul má název AIP.dll.The .dll for this module is named AIP.dll.

Pokud v tuto chvíli instalujete modul jako jeden uživatel a spouštíte rutiny na stejném počítači jako jiný uživatel, musíte nejdřív spustit Import-Module AzureInformationProtection příkaz.Currently, if you install the module as one user and run the cmdlets on the same computer as another user, you must first run the Import-Module AzureInformationProtection command. V tomto scénáři se modul při prvním spuštění rutiny nenačte.In this scenario, the module doesn't autoload when you first run a cmdlet.

Než začnete používat tyto rutiny, podívejte se na další požadavky a pokyny, které odpovídají vašemu nasazení:Before you start to use these cmdlets, see the additional prerequisites and instructions that corresponds to your deployment:

  • Azure Information Protection a služba Azure Rights ManagementAzure Information Protection and Azure Rights Management service

    • Dá se použít, když používáte jenom klasifikaci nebo klasifikaci s ochranou Rights Management: Máte předplatné, které zahrnuje službu Azure Information Protection (například Enterprise Mobility + Security).Applicable if you use classification-only or classification with Rights Management protection: You have a subscription that includes Azure Information Protection (for example, Enterprise Mobility + Security).
    • Dá se použít, když používáte jenom ochranu se službou Azure Rights Management: Máte předplatné, které zahrnuje službu Azure Rights Management (například Office 365 E3 a Office 365 E5).Applicable if you use protection-only with the Azure Rights Management service: You have a subscription that includes the Azure Rights Management service (for example, Office 365 E3 and Office 365 E5).
  • AD RMS (Active Directory Rights Management Services)Active Directory Rights Management Services

    • Dá se použít, když používáte jenom ochranu s místní verzí služby Azure Rights Management – Active Directory Rights Management Services (AD RMS).Applicable if you use protection-only with the on-premises version of Azure Rights Management; Active Directory Rights Management Services (AD RMS).

Další informace najdete v příslušné kolekci Azure Information Protection známých problémů.For more information, see the relevant collection of Azure Information Protection known issues.

Azure Information Protection a služba Azure Rights ManagementAzure Information Protection and Azure Rights Management service

Než začnete používat příkazy PowerShellu, když vaše organizace používá Azure Information Protection k klasifikaci a ochraně nebo jenom ke službě Azure Rights Management Service pro ochranu dat, přečtěte si tuto část.Read this section before you start using the PowerShell commands when your organization uses Azure Information Protection for classification and protection, or just the Azure Rights Management service for data protection.

PožadavkyPrerequisites

Kromě požadavků pro instalaci modulu AzureInformationProtection existují další požadavky pro Azure Information Protection označování a službu Azure Rights Management Data Protection:In addition to the prerequisites for installing the AzureInformationProtection module, there are additional prerequisites for Azure Information Protection labeling and the Azure Rights Management data protection service:

  1. Služba Azure Rights Management musí být aktivovaná.The Azure Rights Management service must be activated.

  2. Odebrání ochrany souborů pro ostatní uživatele s pomocí vlastního účtu:To remove protection from files for others using your own account:

    • V organizaci musíte mít aktivovanou funkci superuživatele a váš účet musí být nakonfigurovaný tak, aby se jednalo o superuživatele pro Azure Rights Management.The super user feature must be enabled for your organization and your account must be configured to be a super user for Azure Rights Management.
  3. Přímá ochrana nebo zrušení ochrany souborů bez zásahu uživatele:To directly protect or unprotect files without user interaction:

    • Vytvořte instanční objekt, spusťte Set-RMSServerAuthentication a zvažte možnost nastavení tohoto instančního objektu jako superuživatele pro Azure Rights Management.Create a service principal account, run Set-RMSServerAuthentication, and consider making this service principal a super user for Azure Rights Management.
  4. Pro oblasti mimo Severní Ameriku:For regions outside North America:

    • Upravte registr pro zjišťování služby.Edit the registry for service discovery.

Požadavek 1: Musí být aktivovaná služba Azure Rights ManagementPrerequisite 1: The Azure Rights Management service must be activated

Tento požadavek platí, ať používáte ochranu dat pomocí popisků, nebo ochranu na základě přímého připojování ke službě Azure Rights Management.This prerequisite applies whether you apply the data protection by using labels or by directly connecting to the Azure Rights Management service to apply the data protection.

Pokud se váš tenant Azure Information Protection neaktivuje, přečtěte si pokyny pro aktivaci služby ochrany v Azure Information Protection.If your Azure Information Protection tenant is not activated, see the instructions for Activating the protection service from Azure Information Protection.

Požadavek 2: Odebrání ochrany souborů pro ostatní uživatele s pomocí vlastního účtuPrerequisite 2: To remove protection from files for others using your own account

Typické scénáře pro odebrání ochrany u souborů pro ostatní uživatele zahrnují zjišťování nebo obnovení dat.Typical scenarios for removing protection from files for others include data discovery or data recovery. Pokud používáte ochranu založenou na popiscích, měli byste tuto ochranu odebrat tak, že nastavíte nový popisek, u kterého se nepoužije ochrana, nebo tak, že odeberete příslušný popisek.If you are using labels to apply the protection, you could remove the protection by setting a new label that doesn't apply protection or by removing the label. Pravděpodobně se ale pro účely odebrání ochrany připojíte přímo ke službě Azure Rights Management.But you will more likely connect directly to the Azure Rights Management service to remove the protection.

Abyste mohli odebrat ochranu u souborů, musíte mít právo k používání Rights Management nebo být superuživatel.You must have a Rights Management usage right to remove protection from files, or be a super user. Pro zjišťování nebo obnovení dat se obvykle používá funkce superuživatele.For data discovery or data recovery, the super user feature is typically used. Pokud chcete povolit tuto funkci a nakonfigurovat svůj účet jako superuživatele, přečtěte si informace v části Konfigurace superuživatelů pro Azure Rights Management a služby zjišťování nebo obnovení dat.To enable this feature and configure your account to be a super user, see Configuring super users for Azure Rights Management and Discovery Services or Data Recovery.

Požadavek 3: Ochrana nebo zrušení ochrany souborů bez zásahu uživatelePrerequisite 3: To protect or unprotect files without user interaction

Ke službě Azure Rights Management se můžete připojit přímo, abyste mohli chránit nebo zrušit ochranu souborů.You can connect directly to the Azure Rights Management service non-interactively to protect or unprotect files.

Abyste se mohli připojit ke službě Azure Rights Management neinteraktivně, je nutné použít instanční účet služby, který provedete pomocí Set-RMSServerAuthentication rutiny.You must use a service principal account to connect to the Azure Rights Management service non-interactively, which you do by using the Set-RMSServerAuthentication cmdlet. Musíte to udělat pro každou relaci Windows PowerShellu, která spouští rutiny, které se připojují přímo ke službě Azure Rights Management.You must do this for each Windows PowerShell session that runs cmdlets that directly connect to the Azure Rights Management service. Před spuštěním této rutiny musíte mít tyto tři identifikátory:Before you run this cmdlet, you must have these three identifiers:

  • BposTenantIdBposTenantId

  • AppPrincipalIdAppPrincipalId

  • Symetrický klíčSymmetric Key

K automatickému získání hodnot identifikátorů a spuštění rutiny Set-RMSServerAuthentication můžete použít následující příkazy prostředí PowerShell a pokyny s komentářem.You can use the following PowerShell commands and commented instructions to automatically get the values for the identifiers and run the Set-RMSServerAuthentication cmdlet. Nebo můžete ručně načíst a zadat hodnoty.Or, you can manually get and specify the values.

Chcete-li automaticky získat hodnoty a spustit rutinu Set-RMSServerAuthentication:To automatically get the values and run Set-RMSServerAuthentication:

# Make sure that you have the AIPService and MSOnline modules installed

$ServicePrincipalName="<new service principal name>"
Connect-AipService
$bposTenantID=(Get-AipServiceConfiguration).BPOSId
Disconnect-AipService
Connect-MsolService
New-MsolServicePrincipal -DisplayName $ServicePrincipalName

# Copy the value of the generated symmetric key

$symmetricKey="<value from the display of the New-MsolServicePrincipal command>"
$appPrincipalID=(Get-MsolServicePrincipal | Where { $_.DisplayName -eq $ServicePrincipalName }).AppPrincipalId
Set-RMSServerAuthentication -Key $symmetricKey -AppPrincipalId $appPrincipalID -BposTenantId $bposTenantID

V dalších částech se dozvíte, jak ručně získat a zadat tyto hodnoty, a další informace o každé z nich.The next sections explain how to manually get and specify these values, with more information about each one.

Získání BposTenantIdTo get the BposTenantId

Spusťte rutinu Get-AipServiceConfiguration z modulu Azure RMS Windows PowerShellu:Run the Get-AipServiceConfiguration cmdlet from the Azure RMS Windows PowerShell module:

  1. Pokud tento modul ještě není na vašem počítači nainstalovaný, přečtěte si téma Instalace modulu PowerShellu pro AIPService.If this module is not already installed on your computer, see Installing the AIPService PowerShell module.

  2. Spusťte Windows PowerShell s možností Spustit jako správce.Start Windows PowerShell with the Run as Administrator option.

  3. Pomocí rutiny Connect-AipService se připojte ke službě Azure Rights Management:Use the Connect-AipService cmdlet to connect to the Azure Rights Management service:

     Connect-AipService
    

    Po zobrazení výzvy zadejte svoje přihlašovací údaje správce tenanta Azure Information Protection.When prompted, enter your Azure Information Protection tenant administrator credentials. Obvykle používáte účet, který je globálním správcem pro Azure Active Directory nebo Microsoft 365.Typically, you use an account that is a global administrator for Azure Active Directory or Microsoft 365.

  4. Spusťte Get-AipServiceConfiguration a vytvořte kopii hodnoty BPOSId.Run Get-AipServiceConfiguration and make a copy of the BPOSId value.

    Příklad výstupu z get-AipServiceConfiguration:An example of output from Get-AipServiceConfiguration:

    BPOSId                                   : 23976bc6-dcd4-4173-9d96-dad1f48efd42
    
    RightsManagement ServiceId               : 1a302373-f233-440600909-4cdf305e2e76
    
    LicensingIntranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
    LicensingExtranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
    CertificationIntranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
    CertificationExtranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
  5. Odpojte se od služby:Disconnect from the service:

    Disconnect-AipService
    
Získání AppPrincipalId a symetrického klíčeTo get the AppPrincipalId and Symmetric Key

Vytvořte nový instanční objekt spuštěním rutiny New-MsolServicePrincipal z powershellového modulu MSOnline pro Azure Active Directory a postupujte podle následujících pokynů.Create a new service principal by running the New-MsolServicePrincipal cmdlet from the MSOnline PowerShell module for Azure Active Directory and use the following instructions.

Důležité

K vytvoření tohoto instančního objektu nepoužívejte novější rutinu Azure AD PowerShellu New-AzureADServicePrincipal.Do not use the newer Azure AD PowerShell cmdlet, New-AzureADServicePrincipal, to create this service principal. Služba Azure Rights Management nepodporuje rutinu New-AzureADServicePrincipal.The Azure Rights Management service does not support New-AzureADServicePrincipal.

  1. Pokud ještě na počítači nemáte nainstalovaný modul MSOnline, spusťte Install-Module MSOnline.If the MSOnline module is not already installed on your computer, run Install-Module MSOnline.

  2. Spusťte Windows PowerShell s možností Spustit jako správce.Start Windows PowerShell with the Run as Administrator option.

  3. K připojení k Azure AD použijte rutinu Connect-MsolService:Use the Connect-MsolService cmdlet to connect to Azure AD:

    Connect-MsolService
    

    Po zobrazení výzvy zadejte svoje přihlašovací údaje správce tenanta Azure AD (obvykle použijete účet, který je globálním správcem pro Azure Active Directory nebo Microsoft 365).When prompted, enter your Azure AD tenant administrator credentials (typically, you use an account that is a global administrator for Azure Active Directory or Microsoft 365).

  4. Spusťte rutinu New-MsolServicePrincipal a vytvořte nový instanční objekt:Run the New-MsolServicePrincipal cmdlet to create a new service principal:

    New-MsolServicePrincipal
    

    Po zobrazení výzvy zadejte svůj název zobrazení pro tento instanční objekt, který vám pomůže později identifikovat jeho účel jako účet pro připojení ke službě Azure Rights Management, abyste mohli soubory chránit a jejich ochranu zrušit.When prompted, enter your choice of a display name for this service principal that helps you to identify its purpose later as an account for you to connect to the Azure Rights Management service so that you can protect and unprotect files.

    Příklad výstupu rutiny New-MsolServicePrincipal:An example of the output of New-MsolServicePrincipal:

    Supply values for the following parameters:
    
    DisplayName: AzureRMSProtectionServicePrincipal
    The following symmetric key was created as one was not supplied
    zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=
    
    Display Name: AzureRMSProtectionServicePrincipal
    ServicePrincipalNames: (b5e3f7g1-b5c2-4c96-a594-a0807f65bba4)
    ObjectId: 23720996-593c-4122-bfc7-1abb5a0b5109
    AppPrincialId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4
    TrustedForDelegation: False
    AccountEnabled: True
    Addresses: ()
    KeyType: Symmetric
    KeyId: 8ef61651-ca11-48ea-a350-25834a1ba17c
    StartDate: 3/7/2014 4:43:59 AM
    EndDate: 3/7/2014 4:43:59 AM
    Usage: Verify
    
  5. Z tohoto výstupu si poznamenejte symetrický klíč a AppPrincialId.From this output, make a note of the symmetric key and the AppPrincialId.

    Je důležité vytvořit kopii tohoto symetrického klíče nyní.It is important that you make a copy of this symmetric key, now. Tento klíč už nemůžete načíst, takže pokud ho neznáte, když se ještě příště budete potřebovat ověřit ve službě Azure Rights Management, budete muset vytvořit nový instanční objekt.You cannot retrieve this key later, so if you do not know it when you next need to authenticate to the Azure Rights Management service, you will have to create a new service principal.

Z těchto pokynů a našich příkladů máme tři identifikátory, které jsou nutné ke spuštění příkazu Set-RMSServerAuthentication:From these instructions and our examples, we have the three identifiers required to run Set-RMSServerAuthentication:

  • ID tenanta: 23976bc6-dcd4-4173-9d96-dad1f48efd42Tenant Id: 23976bc6-dcd4-4173-9d96-dad1f48efd42

  • Symetrický klíč: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=Symmetric key: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=

  • AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4

Příkaz v našem příkladu by pak vypadal takto:Our example command would then look like the following:

Set-RMSServerAuthentication -Key zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=-AppPrincipalId b5e3f76a-b5c2-4c96-a594-a0807f65bba4-BposTenantId 23976bc6-dcd4-4173-9d96-dad1f48efd42

Jak je znázorněno v předchozím příkazu, můžete hodnoty zadávat jediným příkazem, což byste měli udělat v neinteraktivním spuštění skriptu.As shown in the previous command, you can supply the values with a single command, which you would do in a script to run non-interactively. Pro účely testování ale můžete zadat pouze set-RMSServerAuthentication a po zobrazení výzvy zadat hodnoty po jednom.But for testing purposes, you can just type Set-RMSServerAuthentication, and supply the values one-by-one when prompted. Po dokončení příkazu se klient teď pracuje v režimu serveru, který je vhodný pro neinteraktivní použití, jako jsou skripty a infrastruktura klasifikace souborů Windows serveru.When the command completes, the client is now operating in "server mode", which is suitable for non-interactive use such as scripts and Windows Server File Classification Infrastructure.

Zvažte, že tento hlavní účet služby je super uživatel: abyste zajistili, že tento hlavní účet služby může vždycky zrušit ochranu souborů pro ostatní, může být nakonfigurovaný jako super uživatel.Consider making this service principal account a super user: To ensure that this service principal account can always unprotect files for others, it can be configured to be a super user. Stejným způsobem, jako když konfigurujete standardního uživatelského účtu jako superuživatele, použijete stejnou rutinu Azure RMS Add-AipServiceSuperUser, ale jako parametr ServicePrincipalId zadáte hodnotu AppPrincipalId.In the same way as you configure a standard user account to be a super user, you use the same Azure RMS cmdlet, Add-AipServiceSuperUser, but specify the ServicePrincipalId parameter with your AppPrincipalId value.

Další informace o superuživatele najdete v tématu Konfigurace superuživatelů pro Azure Information Protection a služby zjišťování nebo obnovení dat.For more information about super users, see Configuring super users for Azure Information Protection and discovery services or data recovery.

Poznámka

Pokud chcete použít svůj vlastní účet pro ověření pro službu Azure Rights Management, není nutné spouštět Set-RMSServerAuthentication, než nastavíte nebo zrušíte ochranu souborů nebo získáte šablony.To use your own account to authenticate to the Azure Rights Management service, there's no need to run Set-RMSServerAuthentication before you protect or unprotect files, or get templates.

Požadavek 4: Pro oblasti mimo Severní AmerikuPrerequisite 4: For regions outside North America

Když použijete účet instančního objektu k ochraně souborů a stahování šablon mimo oblast Azure Severní Amerika, musíte upravit registr:When you use a service principal account to protect files and download templates outside the Azure North America region, you must edit the registry:

  1. Spusťte znovu rutinu Get-AipServiceConfiguration a poznamenejte si hodnoty pro CertificationExtranetDistributionPointUrl a LicensingExtranetDistributionPointUrl.Run the Get-AipServiceConfiguration cmdlet again, and make a note of the values for CertificationExtranetDistributionPointUrl and LicensingExtranetDistributionPointUrl.

  2. V každém počítači, kde budete spouštět rutiny AzureInformationProtection, otevřete Editor registru.On each computer where you will run the AzureInformationProtection cmdlets, open the registry editor.

  3. Přejděte k následující cestě: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation .Navigate to the following path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation.

    Pokud nevidíte klíč MSIPC nebo klíč ServiceLocation , vytvořte si je.If you do not see the MSIPC key or ServiceLocation key, create them.

  4. Pro klíč ServiceLocation vytvořte dva klíče, pokud neexistují, s názvem EnterpriseCertification a EnterprisePublishing.For the ServiceLocation key, create two keys if they do not exist, named EnterpriseCertification and EnterprisePublishing.

    Pro řetězcovou hodnotu, která je automaticky vytvořena pro tyto klíče, neměňte název "(výchozí)", ale úpravou řetězce nastavte Údaj hodnoty:For the string value that's automatically created for these keys, do not change the Name of "(Default)", but edit the string to set the Value data:

    • Pro EnterpriseCertification vložte svoji hodnotu CertificationExtranetDistributionPointUrl.For EnterpriseCertification, paste your CertificationExtranetDistributionPointUrl value.

    • Pro EnterprisePublishing vložte svoji hodnotu LicensingExtranetDistributionPointUrl.For EnterprisePublishing, paste your LicensingExtranetDistributionPointUrl value.

      Například položka registru pro EnterpriseCertification by měla vypadat nějak takto:For example, your registry entry for EnterpriseCertification should look similar to the following:

      Úprava registru pro modul Azure Information Protection PowerShell pro oblasti mimo Severní Amerika

  5. Zavřete editor registru.Close the registry editor. Není nutné restartovat počítač.There is no need to restart your computer. Pokud ale používáte účet instančního objektu, a ne vlastní uživatelský účet, musíte po provedení této úpravy registru spustit příkaz Set-RMSServerAuthentication.However, if you are using a service principal account rather than your own user account, you must run the Set-RMSServerAuthentication command after making this registry edit.

Příklad scénářů použití rutin pro službu Azure Information Protection a Azure Rights ManagementExample scenarios for using the cmdlets for Azure Information protection and the Azure Rights Management service

Používání popisků ke klasifikaci a ochraně souborů je efektivnější, protože jsou k dispozici pouze dvě rutiny, které je možné spustit samostatně nebo společně: Get-AIPFileStatus a set-AIPFileLabel.It's more efficient to use labels to classify and protect files, because there are just two cmdlets that you need, which can be run by themselves or together: Get-AIPFileStatus and Set-AIPFileLabel. Další informace a příklady pro obě tyto rutiny najdete v nápovědě.Use the help for both these cmdlets for more information and examples.

Pokud ale chcete nastavit nebo zrušit ochranu souborů přímo na základě připojení ke službě Azure Rights Management, je obvykle potřeba spustit sérii rutin, jak je popsané dále.However, to protect or unprotect files by directly connecting to the Azure Rights Management service, you must typically run a series of cmdlets as described next.

Pokud se nejdřív potřebujete ověřit ve službě Azure Rights Management pomocí instančního objektu místo použití vlastního účtu, zadejte v relaci PowerShellu tento příkaz:First, if you need to authenticate to the Azure Rights Management service with a service principal account rather than use your own account, in a PowerShell session, type:

Set-RMSServerAuthentication

Po zobrazení výzvy zadejte tři identifikátory, jak je popsáno v části Požadavek 3: Ochrana nebo zrušení ochrany souborů bez zásahu uživatele.When prompted, enter the three identifiers as described in Prerequisite 3: To protect or unprotect files without user interaction.

Než budete moct nastavit ochranu souborů, musíte do počítače stáhnout šablony služby Rights Management, abyste mohli určit, kterou použít a jaké je její odpovídající číslo ID.Before you can protect files, you must download the Rights Management templates to your computer and identify which one to use and its corresponding ID number. Z výstupu pak můžete zkopírovat ID šablony:From the output, you can then copy the template ID:

Get-RMSTemplate

Výstup může vypadat přibližně takto:Your output might look similar to the following:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True

TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Upozorňujeme, že pokud jste nespustili příkaz Set-RMSServerAuthentication, ověření své identity ve službě Azure Rights Management provedete pomocí vlastního uživatelského účtu.Note that if you didn't run the Set-RMSServerAuthentication command, you are authenticated to the Azure Rights Management service by using your own user account. V počítači připojeném k doméně se vždy použijí automaticky vaše aktuální přihlašovací údaje.If you are on a domain-joined computer, your current credentials are always used automatically. Pokud používáte počítač v pracovní skupině, zobrazí se výzva k přihlášení k Azure a tyto přihlašovací údaje se pak zapíší do mezipaměti pro následné příkazy.If you are on a workgroup computer, you are prompted to sign in to Azure, and these credentials are then cached for subsequent commands. Pokud se budete potřebovat v tomto scénáři později přihlásit jako jiný uživatel, použijte rutinu Clear-RMSAuthentication.In this scenario, if you later need to sign in as a different user, use the Clear-RMSAuthentication cmdlet.

Teď znáte ID šablony a můžete ho použít s rutinou Protect-RMSFile k ochraně jednoho nebo všech souborů ve složce.Now you know the template ID, you can use it with the Protect-RMSFile cmdlet to protect a single file or all files in a folder. Pokud například chcete chránit jenom jeden soubor a přepsat původní pomocí šablony Contoso, Ltd – důvěrné:For example, if you want to protect a single file only and overwrite the original, by using the "Contoso, Ltd - Confidential" template:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

Výstup může vypadat přibližně takto:Your output might look similar to the following:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

Když budete chtít nastavit ochranu pro všechny soubory ve složce, použijte parametr -Folder s písmenem jednotky a cestou nebo cestu UNC.To protect all files in a folder, use the -Folder parameter with a drive letter and path, or UNC path. Například:For example:

Protect-RMSFile -Folder \Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

Výstup může vypadat přibližně takto:Your output might look similar to the following:

InputFile                          EncryptedFile
---------                          -------------
\Server1\Documents\Test1.docx     \Server1\Documents\Test1.docx
\Server1\Documents\Test2.docx     \Server1\Documents\Test2.docx
\Server1\Documents\Test3.docx     \Server1\Documents\Test3.docx
\Server1\Documents\Test4.docx     \Server1\Documents\Test4.docx

Pokud se přípona názvu souboru po použití ochrany nezmění, můžete vždycky později použít rutinu Get-RMSFileStatus a zkontrolovat, jestli je soubor chráněný.When the file name extension does not change after the protection is applied, you can always use the Get-RMSFileStatus cmdlet later to check whether the file is protected. Například:For example:

Get-RMSFileStatus -File \Server1\Documents\Test1.docx

Výstup může vypadat přibližně takto:Your output might look similar to the following:

FileName                              Status
--------                              ------
\Server1\Documents\Test1.docx         Protected

Chcete-li zrušit ochranu souboru, musíte mít oprávnění vlastníka nebo extrahovat z důvodu ochrany souboru.To unprotect a file, you must have Owner or Extract rights from when the file was protected. Nebo musíte rutiny spustit jako superuživatele.Or, you must run the cmdlets as a super user. Potom použijte rutinu Unprotect.Then, use the Unprotect cmdlet. Například:For example:

Unprotect-RMSFile C:\test.docx -InPlace

Výstup může vypadat přibližně takto:Your output might look similar to the following:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Mějte na paměti, že pokud se šablony služby Rights Management změní, musíte je znovu stáhnout pomocí Get-RMSTemplate -force.Note that if the Rights Management templates are changed, you must download them again with Get-RMSTemplate -force.

AD RMS (Active Directory Rights Management Services)Active Directory Rights Management Services

Přečtěte si informace v této části před tím, než začnete používat příkazy PowerShellu k ochraně nebo zrušení ochrany souborů, když vaše organizace používá jenom službu Active Directory Rights Management Services (AD RMS).Read this section before you start using the PowerShell commands to protect or unprotect files when your organization uses just Active Directory Rights Management Services.

PožadavkyPrerequisites

Kromě požadavků pro instalaci modulu AzureInformationProtection musí mít účet používaný k ochraně nebo oddálení souborů oprávnění ke čtení a spouštění pro přístup k ServerCertification. asmx:In addition to the prerequisites for installing the AzureInformationProtection module, the account used to protect or unprotect files must have Read and Execute permissions to access ServerCertification.asmx:

  1. Přihlaste se k serveru služby AD RMS.Log on to an AD RMS server.

  2. Klikněte na tlačítko Start a potom na Počítač.Click Start, and then click Computer.

  3. V Průzkumníkovi souborů přejděte do složky %systemdrive%\Initpub\wwwroot_wmsc\Certification.In File Explorer, navigate to %systemdrive%\Initpub\wwwroot_wmsc\Certification.

  4. Klikněte pravým tlačítkem myši na ServerCertification.asmx a potom na Vlastnosti.Right-click ServerCertification.asmx, then click Properties.

  5. V dialogovém okně s vlastnostmi serveru pro správu klikněte na kartu Zabezpečení.In the ServerCertification.asmx Properties dialog box, click the Security tab.

  6. Klikněte na tlačítko Pokračovat nebo Upravit.Click the Continue button or the Edit button.

  7. V dialogovém okně Oprávnění pro ServerCertification.asmx klikněte na Přidat.In the Permissions for ServerCertification.asmx dialog box, click Add.

  8. Přidejte název účtu.Add your account name. Pokud budou k ochraně a neochraně souborů používat taky další správci služby AD RMS nebo účty služeb, přidejte tyto tyto účty taky.If other AD RMS administrators or service accounts will also use these cmdlets to protect and unprotect files, add those accounts as well.

    Chcete-li chránit nebo zrušit ochranu neinteraktivních souborů, přidejte příslušný účet počítače nebo účty.To protect or unprotect files non-interactively, add the relevant computer account or accounts. Přidejte například počítačový účet počítače se systémem Windows Server, který je nakonfigurován pro infrastrukturu klasifikace souborů, a použije skript prostředí PowerShell k ochraně souborů.For example, add the computer account of the Windows Server computer that is configured for File Classification Infrastructure and will use a PowerShell script to protect files.

  9. Ve sloupci Povolit musí být zaškrtnutá políčka Číst a spustit a Číst.In the Allow column, make sure that the Read and Execute, and the Read checkboxes are selected.

10. Dvakrát klikněte na OK.10.Click OK twice.

Ukázkové scénáře pro použití rutin pro službu AD RMS (Active Directory Rights Management Services)Example scenarios for using the cmdlets for Active Directory Rights Management Services

Typický scénář pro tyto rutiny je ochrana všech souborů ve složce pomocí šablony zásad práv nebo zrušení ochrany souboru.A typical scenario for these cmdlets is to protect all files in a folder by using a rights policy template, or to unprotect a file.

Pokud máte více než jedno nasazení služby AD RMS, jako první věc budete potřebovat názvy serverů AD RMS. Zjistíte je tak, že pomocí rutiny Get-RMSServer zobrazíte seznam dostupných serverů:First, if you have more than one deployment of AD RMS, you need the names of your AD RMS servers, which you do by using the Get-RMSServer cmdlet to display a list of available servers:

Get-RMSServer

Výstup může vypadat přibližně takto:Your output might look similar to the following:

Number of RMS Servers that can provide templates: 2 
ConnectionInfo             DisplayName          AllowFromScratch
--------------             -------------        ----------------
Microsoft.InformationAnd…  RmsContoso                       True
Microsoft.InformationAnd…  RmsFabrikam                      True

Než budete moct nastavit ochranu souborů, je nutné získat seznam šablon RMS, abyste mohli určit, kterou použít a jaké je její odpovídající identifikační číslo.Before you can protect files, you need to get a list of RMS templates to identify which one to use and its corresponding ID number. Jenom v případě, že máte více než jedno nasazení služby AD RMS, bude potřeba zadat také server RMS.Only when you have more than one AD RMS deployment do you need to specify the RMS server as well.

Z výstupu pak můžete zkopírovat ID šablony:From the output, you can then copy the template ID:

Get-RMSTemplate -RMSServer RmsContoso

Výstup může vypadat přibližně takto:Your output might look similar to the following:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True

TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Teď znáte ID šablony a můžete ho použít s rutinou Protect-RMSFile k ochraně jednoho nebo všech souborů ve složce.Now you know the template ID, you can use it with the Protect-RMSFile cmdlet to protect a single file or all files in a folder. Pokud například chcete chránit jenom jeden soubor a nahradit původní pomocí šablony Contoso, Ltd – důvěrné:For example, if you want to protect a single file only and replace the original, by using the "Contoso, Ltd - Confidential" template:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

Výstup může vypadat přibližně takto:Your output might look similar to the following:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx   

Pokud chcete chránit všechny soubory ve složce, použijte parametr -Folder s písmenem jednotky a cestou nebo cestu UNC.To protect all files in a folder, use the -Folder parameter with a drive letter and path, or UNC path. Například:For example:

Protect-RMSFile -Folder \\Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

Výstup může vypadat přibližně takto:Your output might look similar to the following:

InputFile                          EncryptedFile
---------                          -------------
\\Server1\Documents\Test1.docx     \\Server1\Documents\Test1.docx   
\\Server1\Documents\Test2.docx     \\Server1\Documents\Test2.docx   
\\Server1\Documents\Test3.docx     \\Server1\Documents\Test3.docx   
\\Server1\Documents\Test4.docx     \\Server1\Documents\Test4.docx   

Pokud se přípona názvu souboru po použití ochrany nemění, můžete vždy použít rutinu Get-RMSFileStatus později a ověřit, jestli je soubor chráněný.When the file name extension does not change after protection is applied, you can always use the Get-RMSFileStatus cmdlet later to check whether the file is protected. Například:For example:

Get-RMSFileStatus -File \\Server1\Documents\Test1.docx

Výstup může vypadat přibližně takto:Your output might look similar to the following:

FileName                              Status
--------                              ------
\\Server1\Documents\Test1.docx        Protected

Chcete-li zrušit ochranu souboru, musíte mít oprávnění vlastníka nebo extrahovat práva k použití od okamžiku, kdy byl soubor chráněn, nebo být pro službu AD RMS super uživatel.To unprotect a file, you must have Owner or Extract usage rights from when the file was protected, or be super user for AD RMS. Potom použijte rutinu Unprotect.Then, use the Unprotect cmdlet. Například:For example:

Unprotect-RMSFile C:\test.docx -InPlace

Výstup může vypadat přibližně takto:Your output might look similar to the following:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Postup pro neinteraktivní popisování souborů pro účely služby Azure Information ProtectionHow to label files non-interactively for Azure Information Protection

Rutiny označování popiskem můžete spustit neinteraktivně pomocí rutiny set-AIPAuthentication .You can run the labeling cmdlets non-interactively by using the Set-AIPAuthentication cmdlet. Pro Azure Information Protection skener se vyžaduje taky neinteraktivní operace.Non-interactive operation is also required for the Azure Information Protection scanner.

Ve výchozím nastavení platí, že když spustíte rutiny pro popisování, příkazy se spustí ve vašem vlastním uživatelském kontextu v interaktivní relaci PowerShellu.By default, when you run the cmdlets for labeling, the commands run in your own user context in an interactive PowerShell session. Pokud je chcete spustit bezobslužně, vytvořte pro tento účel nový uživatelský účet služby Azure AD.To run them unattended, create a new Azure AD user account for this purpose. Pak v kontextu daného uživatele spusťte rutinu Set-AIPAuthentication, která nastaví a uloží přihlašovací údaje pomocí přístupového tokenu z Azure AD.Then, in the context of that user, run the Set-AIPAuthentication cmdlet to set and store credentials by using an access token from Azure AD. Tento uživatelský účet pak bude ověřený a spuštěný, takže na něm můžete používat službu Azure Rights Management.This user account is then authenticated and bootstrapped for the Azure Rights Management service. Účet stáhne zásahy služby Azure Information Protection a všechny šablony řešení Rights Management, které používají dané popisky.The account downloads the Azure Information Protection policy and any Rights Management templates that the labels use.

Poznámka

Pokud používáte vymezené zásady, mějte na paměti, že tento účet možná budete muset přidat do vašich vymezených zásad.If you use scoped policies, remember that you might need to add this account to your scoped policies.

Při prvním spuštění této rutiny se zobrazí výzva, abyste se přihlásili k řešení Azure Information Protection.The first time you run this cmdlet, you are prompted to sign in for Azure Information Protection. Zadejte název a heslo uživatelského účtu, který jste vytvořili pro bezobslužného uživatele.Specify the user account name and password that you created for the unattended user. Tento účet pak může neinteraktivně spouštět rutiny popisování, dokud nevyprší platnost tokenu zabezpečení.After that, this account can then run the labeling cmdlets non-interactively until the authentication token expires.

Aby se uživatelský účet mohl interaktivně přihlásit interaktivně, musí mít účet právo Přihlásit se místně .For the user account to be able to sign in interactively this first time, the account must have the Log on locally right. Toto právo je standardně nastaveno na uživatelské účty, ale zásady vaší společnosti mohou zakázat tuto konfiguraci pro účty služeb.This right is standard for user accounts but your company policies might prohibit this configuration for service accounts. Pokud se jedná o tento případ, můžete spustit Set-AIPAuthentication s parametrem tokenu , aby se ověřování dokončilo bez výzvy pro přihlášení.If that's the case, you can run Set-AIPAuthentication with the Token parameter so that authentication completes without the sign-in prompt. Tento příkaz můžete spustit jako naplánovanou úlohu a udělit účtu dolní právo Přihlásit se jako dávková úloha.You can run this command as a scheduled task and grant the account the lower right of Log on as batch job. Další informace najdete v následujících oddílech.For more information, see the following sections.

Po vypršení platnosti tokenu znovu spusťte rutinu, abyste získali nový token.When the token expires, run the cmdlet again to acquire a new token.

Pokud tuto rutinu spustíte bez parametrů, účet získá přístupový token, který bude platit 90 dní nebo tak dlouho, dokud nevyprší platnost hesla.If you run this cmdlet without parameters, the account acquires an access token that is valid for 90 days or until your password expires.

Pokud chcete mít kontrolu nad tím, kdy vyprší platnost přístupového tokenu, spusťte tuto rutinu s parametry.To control when the access token expires, run this cmdlet with parameters. Díky tomu můžete nakonfigurovat přístupový token na jeden nebo dva roky nebo tak, aby jeho platnost nikdy nevypršela.This lets you configure the access token for one year, two years, or to never expire. Pro tuto konfiguraci musíme mít v Azure Active Directory zaregistrované dvě aplikace: webovou aplikaci / webové rozhraní API a nativní aplikaci.This configuration requires you to have two applications registered in Azure Active Directory: A Web app / API application and a native application. Parametry pro tuto rutinu pracují s hodnotami z těchto aplikací.The parameters for this cmdlet use values from these applications.

Po spuštění této rutiny můžete v kontextu uživatelského účtu, který jste vytvořili, spustit rutiny popisování.After you have run this cmdlet, you can run the labeling cmdlets in the context of the user account that you created.

Vytvoření a konfigurace aplikací v Azure AD pro rutinu Set-AIPAuthenticationTo create and configure the Azure AD applications for Set-AIPAuthentication

  1. V novém okně prohlížeče se přihlaste k webu Azure Portal.In a new browser window, sign in the Azure portal.

  2. Pro tenanta Azure AD, který používáte se službou Azure Information Protection, přejděte na Azure Active Directory > Spravovat > Registrace aplikací.For the Azure AD tenant that you use with Azure Information Protection, navigate to Azure Active Directory > Manage > App registrations.

  3. Pokud chcete vytvořit aplikaci/API vaší webové aplikace, vyberte + Nová registrace.Select + New registration, to create your Web app /API application. V podokně Registrovat aplikaci zadejte následující hodnoty a potom klikněte na zaregistrovat:On the Register an application pane, specify the following values, and then click Register:

    • Název: AIPOnBehalfOfName: AIPOnBehalfOf

      Pokud chcete, zadejte jiný název.If you prefer, specify a different name. V rámci tenanta musí být jedinečný.It must be unique per tenant.

    • Podporované typy účtů: účty v tomto organizačním adresářiSupported account types: Accounts in this organizational directory only

    • Identifikátor URI přesměrování (volitelné): Web a http://localhostRedirect URI (optional): Web and http://localhost

  4. V podokně AIPOnBehalfOf ZKOPÍRUJTE hodnotu ID aplikace (klienta).On the AIPOnBehalfOf pane, copy the value for the Application (client) ID. Hodnota vypadá podobně jako v následujícím příkladu: 57c3c1c3-abf9-404e-8b2b-4652836c8c66 .The value looks similar to the following example: 57c3c1c3-abf9-404e-8b2b-4652836c8c66. Tato hodnota se používá pro parametr webappid při spuštění rutiny Set-AIPAuthentication.This value is used for the WebAppId parameter when you run the Set-AIPAuthentication cmdlet. Vložte a uložte hodnotu pro pozdější referenci.Paste and save the value for later reference.

  5. Stále v podokně AIPOnBehalfOf vyberte v nabídce Spravovat možnost ověřování.Still on the AIPOnBehalfOf pane, from the Manage menu, select Authentication.

  6. V podokně AIPOnBehalfOf-Authentication v části Upřesnit nastavení zaškrtněte políčko tokeny ID a pak vyberte Uložit.On the AIPOnBehalfOf - Authentication pane, in the Advanced settings section, select the ID tokens checkbox, and then select Save.

  7. Stále v podokně AIPOnBehalfOf-Authentication vyberte v nabídce spravovat možnost certifikáty & tajných kódů.Still on the AIPOnBehalfOf - Authentication pane, from the Manage menu, select Certificates & secrets.

  8. V podokně AIPOnBehalfOf-certificates & tajných klíčů v části tajné klíče klienta vyberte + nový tajný klíč klienta.On the AIPOnBehalfOf - Certificates & secrets pane, in the Client secrets section, select + New client secret.

  9. Pro Přidání tajného klíče klienta zadejte následující příkaz a pak vyberte Přidat:For Add a client secret, specify the following, and then select Add:

    • Popis: Azure Information Protection clientDescription: Azure Information Protection client
    • Platnost vyprší: zadejte dobu trvání (1 rok, 2 roky nebo nikdy nevyprší).Expires: Specify your choice of duration (1 year, 2 years, or never expires)
  10. Zpátky v podokně AIPOnBehalfOf-certificates & tajných klíčů v části tajné klíče klienta zkopírujte řetězec pro hodnotu.Back on the AIPOnBehalfOf - Certificates & secrets pane, in the Client secrets section, copy the string for the VALUE. Tento řetězec vypadá podobně jako v následujícím příkladu: +LBkMvddz?WrlNCK5v0e6_=meM59sSAn .This string looks similar to the following example: +LBkMvddz?WrlNCK5v0e6_=meM59sSAn. Abyste se ujistili, že jste zkopírovali všechny znaky, vyberte ikonu ke zkopírování do schránky.To make sure you copy all the characters, select the icon to Copy to clipboard.

    Tento řetězec si musíte uložit, protože už se nezobrazí a nelze ho zpětně načíst.It's important that you save this string because it is not displayed again and it cannot be retrieved. Stejně jako u všech citlivých informací, které používáte, uložte uloženou hodnotu bezpečně a omezte přístup k ní.As with any sensitive information that you use, store the saved value securely and restrict access to it.

  11. Pořád v podokně AIPOnBehalfOf-certificates & tajné klíče vyberte v nabídce Spravovat možnost zveřejnit rozhraní API.Still on the AIPOnBehalfOf - Certificates & secrets pane, from the Manage menu, select Expose an API.

  12. V podokně AIPOnBehalfOf – zpřístupnit rozhraní API vyberte možnost nastavit pro možnost identifikátor URI ID aplikace a v hodnotě identifikátor URI ID aplikace změňte rozhraní API na http.On the AIPOnBehalfOf - Expose an API pane, select Set for the Application ID URI option, and in the Application ID URI value, change api to http. Tento řetězec vypadá podobně jako v následujícím příkladu: http://d244e75e-870b-4491-b70d-65534953099e .This string looks similar to the following example: http://d244e75e-870b-4491-b70d-65534953099e.

    Vyberte Uložit.Select Save.

  13. Zpátky v podokně AIPOnBehalfOf – vystavte rozhraní API vyberte + Přidat obor.Back on the AIPOnBehalfOf - Expose an API pane, select + Add a scope.

  14. V podokně Přidat obor zadejte následující příkaz, jako příklady použijte doporučené řetězce, a pak vyberte Přidat obor:On the Add a scope pane, specify the following, using the suggested strings as examples, and then select Add scope:

    • Název oboru: user-impersonationScope name: user-impersonation
    • Kdo může udělit souhlas?: Správci a uživateléWho can consent?: Admins and users
    • Zobrazovaný název souhlasu správce: Access Azure Information Protection scannerAdmin consent display name: Access Azure Information Protection scanner
    • Popis souhlasu správce: Allow the application to access the scanner for the signed-in userAdmin consent description: Allow the application to access the scanner for the signed-in user
    • Zobrazovaný název souhlasu uživatele: Access Azure Information Protection scannerUser consent display name: Access Azure Information Protection scanner
    • Popis souhlasu uživatele: Allow the application to access the scanner for the signed-in userUser consent description: Allow the application to access the scanner for the signed-in user
    • Stav: povoleno (výchozí)State: Enabled (the default)
  15. Zpátky v podokně AIPOnBehalfOf – zpřístupnit rozhraní API zavřete toto podokno.Back on the AIPOnBehalfOf - Expose an API pane, close this pane.

  16. Vyberte oprávnění rozhraní API.Select API permissions.

  17. V podokně | oprávnění rozhraní API AIPOnBehalfOf vyberte + Přidat oprávnění.On the AIPOnBehalfOf | API permissions pane, select + Add a permission.

  18. Zvolte Azure Right Management, vyberte delegovaná oprávnění a pak vyberte vytvořit a přístup k chráněnému obsahu pro uživatele.Choose Azure Right Management, select Delegated Permissions and then select Create and access protected content for users.

  19. Klikněte na Přidat oprávnění.Click on Add a permission.

  20. Zpátky v podokně oprávnění rozhraní API v části souhlas udělení souhlasu vyberte udělit souhlas správce pro a pro výzvu k potvrzení vyberte Ano .Back on the API permissions pane, in the Grant consent section, select Grant admin consent for and select Yes for the confirmation prompt.

  21. V podokně Registrace aplikací vyberte + Registrace nové aplikace a vytvořte svou nativní aplikaci hned teď.On the App registrations pane, select + New application registration to create your native application now.

  22. V podokně Registrovat aplikaci určete následující nastavení a pak vyberte Registrovat:On the Register an application pane, specify the following settings, and then select Register:

    • Název: AIPClientName: AIPClient
    • Podporované typy účtů: účty v tomto organizačním adresářiSupported account types: Accounts in this organizational directory only
    • Identifikátor URI přesměrování (volitelné): veřejný klient (mobilní & Desktop) a http://localhostRedirect URI (optional): Public client (mobile & desktop) and http://localhost
  23. V podokně AIPClient ZKOPÍRUJTE hodnotu ID aplikace (klienta).On the AIPClient pane, copy the value of the Application (client) ID. Hodnota vypadá podobně jako v následujícím příkladu: 8ef1c873-9869-4bb1-9c11-8313f9d7f76f .The value looks similar to the following example: 8ef1c873-9869-4bb1-9c11-8313f9d7f76f.

    Tato hodnota se používá pro parametr NativeAppId při spuštění rutiny Set-AIPAuthentication.This value is used for the NativeAppId parameter when you run the Set-AIPAuthentication cmdlet. Vložte a uložte hodnotu pro pozdější referenci.Paste and save the value for later reference.

  24. Stále v podokně AIPClient vyberte v nabídce Spravovat možnost ověřování.Still on the AIPClient pane, from the Manage menu, select Authentication.

  25. V podokně AIPClient-Authentication v nabídce Správa vyberte oprávnění rozhraní API.On the AIPClient - Authentication pane, from the Manage menu, select API permissions.

  26. V podokně AIPClient-Permissions (oprávnění ) vyberte + Přidat oprávnění.On the AIPClient - permissions pane, select + Add a permission.

  27. V podokně oprávnění API pro vyžádání vyberte Moje rozhraní API.On the Request API permissions pane, select My APIs.

  28. V části Vybrat rozhraní API vyberte APIOnBehalfOf a potom zaškrtněte políčko pro uživatele zosobnění jako oprávnění.In the Select an API section, select APIOnBehalfOf, then select the checkbox for user-impersonation, as the permission. Vyberte Přidat oprávnění.Select Add permissions.

  29. Zpátky v podokně oprávnění rozhraní API v části souhlas udělení souhlasu vyberte udělit souhlas správce <your tenant name> pro a pro výzvu k potvrzení vyberte Ano .Back on the API permissions pane, in the Grant consent section, select Grant admin consent for <your tenant name> and select Yes for the confirmation prompt.

Právě jste dokončili konfiguraci těchto dvou aplikací a máte hodnoty, které potřebujete ke spuštění rutiny set-AIPAuthentication s parametry webappid, WebAppKey a NativeAppId.You've now completed configuration of the two apps and you have the values that you need to run Set-AIPAuthentication with the parameters WebAppId, WebAppKey and NativeAppId. Z našich příkladů:From our examples:

Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "+LBkMvddz?WrlNCK5v0e6_=meM59sSAn" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f"

Spusťte tento příkaz v kontextu účtu, který bude označovat a chránit dokumenty neinteraktivně.Run this command in the context of the account that will label and protect the documents non-interactively. Například uživatelský účet pro skripty PowerShell nebo účet služby pro spuštění Azure Information Protectionho skeneru.For example, a user account for your PowerShell scripts or the service account to run the Azure Information Protection scanner.

Při prvním spuštění tohoto příkazu budete vyzváni k přihlášení, které vytváří a bezpečně ukládá přístupový token pro váš účet v%localappdata%\Microsoft\MSIP..When you run this command for the first time, you are prompted to sign in, which creates and securely stores the access token for your account in %localappdata%\Microsoft\MSIP. Po tomto úvodním přihlášení můžete na počítači označit a chránit soubory, které nejsou interaktivně.After this initial sign-in, you can label and protect files non-interactively on the computer. Pokud ale použijete k označování a ochraně souborů účet služby a tento účet služby se nemůže interaktivně přihlásit, postupujte podle pokynů v následující části, aby se účet služby mohl ověřit pomocí tokenu.However, if you use a service account to label and protect files, and this service account cannot sign in interactively, use the instructions in the following section so that the service account can authenticate by using a token.

Zadání a použití parametru tokenu pro rutinu Set-AIPAuthenticationSpecify and use the Token parameter for Set-AIPAuthentication

K tomu, abyste se vyhnuli úvodnímu interaktivnímu přihlášení k účtu, který bude štítky a chránit soubory, postupujte podle následujících kroků a pokynů.Use the following additional steps and instructions to avoid the initial interactive sign-in for an account that labels and protects files. Tyto další kroky jsou obvykle vyžadovány pouze v případě, že tento účet nelze přidělovat místně , ale je mu uděleno právo Přihlásit se jako dávková úloha .Typically, these additional steps are required only if this account cannot be granted the Log on locally right but is granted the Log on as a batch job right. Může to být například případ, kdy váš účet služby používá Azure Information Protection skener.For example, this might be the case for your service account that runs the Azure Information Protection scanner.

Kroky vysoké úrovně:High-level steps:

  1. Na místním počítači vytvořte PowerShellový skript.Create a PowerShell script on your local computer.

  2. Spusťte Set-AIPAuthentication pro získání přístupového tokenu a jeho zkopírování do schránky.Run Set-AIPAuthentication to get an access token and copy it to the clipboard.

  3. Upravte skript prostředí PowerShell tak, aby zahrnoval token.Modify the PowerShell script to include the token.

  4. Vytvořte úlohu, která spustí skript prostředí PowerShell v kontextu účtu služby, který bude označovat a chránit soubory.Create a task that runs the PowerShell script in the context of the service account that will label and protect files.

  5. Potvrďte, že je token uložený pro účet služby, a odstraňte PowerShellový skript.Confirm that the token is saved for the service account, and delete the PowerShell script.

Krok 1: Vytvoření skriptu PowerShellu na místním počítačiStep 1: Create a PowerShell script on your local computer

  1. V počítači vytvořte nový skript prostředí PowerShell s názvem Aipauthentication.ps1.On your computer, create a new PowerShell script named Aipauthentication.ps1.

  2. Zkopírujte následující příkaz do tohoto skriptu a vložte ho:Copy and paste the following command into this script:

    Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application> -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application > -Token <token value>
    
  3. Pomocí pokynů v předchozí části Upravte tento příkaz zadáním vlastních hodnot pro parametry webappid, WebAppkey a NativeAppId .Using the instructions in the preceding section, modify this command by specifying your own values for the WebAppId, WebAppkey, and NativeAppId parameters. V tuto chvíli nemáte hodnotu parametru tokenu , který zadáte později.At this time, you do not have the value for the Token parameter, which you specify later.

    Například:For example:

    Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>
    

Krok 2: Spusťte Set-AIPAuthentication pro získání přístupového tokenu a jeho zkopírování do schránky.Step 2: Run Set-AIPAuthentication to get an access token and copy it to the clipboard

  1. Otevřete relaci prostředí Windows PowerShell.Open a Windows PowerShell session.

  2. Pomocí stejných hodnot, jako jste zadali ve skriptu, spusťte následující příkaz:Using the same values as you specified in the script, run the following command:

    (Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application>  -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application >).token | clip
    

    Například:For example:

    (Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clip`
    

Krok 3: úprava skriptu PowerShellu pro poskytnutí tokenuStep 3: Modify the PowerShell script to supply the token

  1. Ve svém skriptu PowerShellu zadejte hodnotu tokenu vložením řetězce ze schránky a uložte soubor.In your PowerShell script, specify the token value by pasting the string from the clipboard, and save the file.

  2. Podepište skript.Sign the script. Pokud skript nepodepíšete (bezpečnější), musíte prostředí Windows PowerShell nakonfigurovat na počítači, který bude spouštět příkazy pro označování.If you do not sign the script (more secure), you must configure Windows PowerShell on the computer that will run the labeling commands. Například spusťte relaci prostředí Windows PowerShell s možností Spustit jako správce a zadejte: Set-ExecutionPolicy RemoteSigned .For example, run a Windows PowerShell session with the Run as Administrator option, and type: Set-ExecutionPolicy RemoteSigned. Tato konfigurace však umožňuje spuštění všech nepodepsaných skriptů, když jsou uloženy v tomto počítači (méně bezpečné).However, this configuration lets all unsigned scripts run when they are stored on this computer (less secure).

    Další informace o podepisování skriptů prostředí Windows PowerShell naleznete v tématu about_Signing v knihovně dokumentace k prostředí PowerShell.For more information about signing Windows PowerShell scripts, see about_Signing in the PowerShell documentation library.

  3. Zkopírujte tento skript PowerShellu do počítače, který bude označovat a chránit soubory a odstraní originál v počítači.Copy this PowerShell script to the computer that will label and protect files, and delete the original on your computer. Například můžete zkopírovat skript prostředí PowerShell do C:\Scripts\Aipauthentication.ps1 na počítači se systémem Windows Server.For example, you copy the PowerShell script to C:\Scripts\Aipauthentication.ps1 on a Windows Server computer.

Krok 4: vytvoření úlohy, která spouští PowerShellový skriptStep 4: Create a task that runs the PowerShell script

  1. Ujistěte se, že účet služby, který bude označovat a chránit soubory, má právo Přihlásit se jako dávková úloha .Make sure that the service account that will label and protect files has the Log on as a batch job right.

  2. V počítači, který bude označovat a chránit soubory, otevřete Plánovač úloh a vytvořte novou úlohu.On the computer that will label and protect files, open Task Scheduler and create a new task. Nakonfigurujte tuto úlohu tak, aby běžela jako účet služby, který bude označovat a chránit soubory, a pak pro tyto Akce nakonfigurujte následující hodnoty:Configure this task to run as the service account that will label and protect files, and then configure the following values for the Actions:

    • Akce: Start a programAction: Start a program

    • Program nebo skript: Powershell.exeProgram/script: Powershell.exe

    • Přidat argumenty (volitelné): -NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"Add arguments (optional): -NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"

      Pro řádek argumentu zadejte vlastní cestu a název souboru, pokud se liší od příkladu.For the argument line, specify your own path and file name, if these are different from the example.

  3. Tuto úlohu spusťte ručně.Manually run this task.

Krok 5: potvrďte, že je token uložený, a odstraňte PowerShellový skript.Step 5: Confirm that the token is saved and delete the PowerShell script

  1. Potvrďte, že je token teď uložený ve složce %localappdata%\Microsoft\MSIP pro profil účtu služby.Confirm that the token is now stored in the %localappdata%\Microsoft\MSIP folder for the service account profile. Tato hodnota je chráněná účtem služby.This value is protected by the service account.

  2. Odstraňte skript prostředí PowerShell, který obsahuje hodnotu tokenu (například Aipauthentication.ps1).Delete the PowerShell script that contains the token value (for example, Aipauthentication.ps1).

    Případně úlohu odstraňte.Optionally, delete the task. Pokud platnost tokenu vyprší, musíte tento proces zopakovat. v takovém případě může být vhodnější tuto nakonfigurovanou úlohu opustit, aby byla připravená k opakovanému spuštění při kopírování nového skriptu PowerShellu s hodnotou nového tokenu.If your token expires, you must repeat this process, in which case it might be more convenient to leave the configured task so that it's ready to rerun when you copy over the new PowerShell script with the new token value.

Další krokyNext steps

Nápovědu k rutině získáte v relaci PowerShellu tak, že napíšete Get-Help <cmdlet name> cmdlet a pomocí online parametru přečtete nejnovější informace.For cmdlet help when you are in a PowerShell session, type Get-Help <cmdlet name> cmdlet, and use the -online parameter to read the most up-to-date information. Například:For example:

Get-Help Get-RMSTemplate -online

Další informace, které byste mohli potřebovat pro podporu klienta Azure Information Protection, získáte v následující části:See the following for additional information that you might need to support the Azure Information Protection client: