Příručka pro správce: použití PowerShellu s Azure Information Protection Unified ClientAdmin Guide: Using PowerShell with the Azure Information Protection unified client

*Platí pro: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 **Applies to: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012*

Pokud používáte systém Windows 7 nebo Office 2010, přečtěte si téma AIP a starší verze systému Windows a sady Office.If you have Windows 7 or Office 2010, see AIP and legacy Windows and Office versions.

*Důležité pro: Azure Information Protection klienta s jednotným označováním pro Windows. **Relevant for: Azure Information Protection unified labeling client for Windows.*

Když nainstalujete klienta Azure Information Protection Unified labeling, automaticky se nainstalují příkazy PowerShellu jako součást modulu AzureInformationProtection , s rutinami pro označování.When you install the Azure Information Protection unified labeling client, PowerShell commands are automatically installed as part of the AzureInformationProtection module, with cmdlets for labeling.

Modul AzureInformationProtection umožňuje spravovat klienta spuštěním příkazů pro skripty pro automatizaci.The AzureInformationProtection module enables you to manage the client by running commands for automation scripts.

Například:For example:

  • Get-AIPFileStatus: získá popisek Azure Information Protection a informace o ochraně pro zadaný soubor nebo soubory.Get-AIPFileStatus: Gets the Azure Information Protection label and protection information for a specified file or files.
  • Set-AIPFileClassification: vyhledá soubor, aby automaticky nastavil Azure Information Protection popisek pro soubor, podle podmínek, které jsou v zásadách nakonfigurované.Set-AIPFileClassification: Scans a file to automatically set an Azure Information Protection label for a file, according to conditions that are configured in the policy.
  • Set-AIPFileLabel: Nastaví nebo odstraní popisek Azure Information Protection pro soubor a nastaví nebo odstraní ochranu podle konfigurace popisku nebo vlastních oprávnění.Set-AIPFileLabel: Sets or removes an Azure Information Protection label for a file, and sets or removes the protection according to the label configuration or custom permissions.
  • Set-AIPAuthentication: Nastaví pověření ověřování pro klienta Azure Information Protection.Set-AIPAuthentication: Sets the authentication credentials for the Azure Information Protection client.

Modul AzureInformationProtection se nainstaluje do složky \ProgramFiles (x86) \Microsoft Azure Information Protection a pak přidá tuto složku do systémové proměnné PSModulePath .The AzureInformationProtection module is installed in the \ProgramFiles (x86)\Microsoft Azure Information Protection folder, and then adds this folder to the PSModulePath system variable. Soubor .dll pro tento modul má název AIP.dll.The .dll for this module is named AIP.dll.

Důležité

Modul AzureInformationProtection nepodporuje konfiguraci rozšířených nastavení pro popisky nebo zásady popisků.The AzureInformationProtection module doesn't support configuring advanced settings for labels or label policies.

Pro tato nastavení potřebujete PowerShell Office 365 Security & Center pro dodržování předpisů.For these settings, you need the Office 365 Security & Compliance Center PowerShell. Další informace najdete v tématu vlastní konfigurace pro klienta Azure Information Protection Unified labeling.For more information, see Custom configurations for the Azure Information Protection unified labeling client.

Tip

Chcete-li použít rutiny s délkou cest větší než 260 znaků, použijte následující nastavení zásad skupiny , které je k dispozici po spuštění systému Windows 10, verze 1607:To use cmdlets with path lengths greater than 260 characters, use the following group policy setting that is available starting Windows 10, version 1607:
Zásady > místního počítače Konfigurace počítače > Šablony pro správu > Všechna nastavení > Povolit dlouhé cesty Win32Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

Pro Windows Server 2016 můžete použít stejné nastavení zásad skupiny, když nainstalujete nejnovější Šablony pro správu (. admx) pro Windows 10.For Windows Server 2016, you can use the same group policy setting when you install the latest Administrative Templates (.admx) for Windows 10.

Další informace najdete v části omezení maximální délky cest v dokumentaci pro vývojáře pro Windows 10.For more information, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

Předpoklady pro používání modulu AzureInformationProtectionPrerequisites for using the AzureInformationProtection module

Kromě požadavků pro instalaci modulu AzureInformationProtection existují navíc předpoklady pro použití rutin pro označování Azure Information Protection:In addition to the prerequisites for installing the AzureInformationProtection module, there are extra prerequisites for when you use the labeling cmdlets for Azure Information Protection:

  • Služba Azure Rights Management musí být aktivovaná.The Azure Rights Management service must be activated.

    Pokud se váš tenant Azure Information Protection neaktivuje, přečtěte si pokyny pro aktivaci služby ochrany v Azure Information Protection.If your Azure Information Protection tenant is not activated, see the instructions for Activating the protection service from Azure Information Protection.

  • Odebrání ochrany souborů pro ostatní uživatele pomocí vlastního účtu:To remove protection from files for others using your own account:

    • Ve vaší organizaci musí být povolená funkce superuživatele .The super user feature must be enabled for your organization.
    • Váš účet musí být nakonfigurovaný tak, aby byl pro Azure Rights Management super uživatel.Your account must be configured to be a super user for Azure Rights Management.

    Můžete například chtít odebrat ochranu pro jiné pro účely zjišťování nebo obnovení dat.For example, you may want to remove protection for others for the sake of data discovery or recovery. Pokud používáte štítky k použití ochrany, můžete tuto ochranu odebrat nastavením nového popisku, který nepoužívá ochranu, nebo můžete popisek odebrat.If you are using labels to apply protection, you can remove that protection by setting a new label that doesn't apply protection, or you can remove the label.

    Pokud chcete ochranu odebrat, použijte rutinu set-AIPFileLabel s parametrem RemoveProtection .To remove protection, use the Set-AIPFileLabel cmdlet with the RemoveProtection parameter. Funkce odebrat ochranu je ve výchozím nastavení zakázaná a musí se nejdřív povolit pomocí rutiny set-LabelPolicy .The remove protection capability is disabled by default and must first be enabled using the Set-LabelPolicy cmdlet.

Mapování rutin RMS na jednotné označováníRMS to unified labeling cmdlet mapping

Pokud jste migrovali z Azure RMS, počítejte s tím, že rutiny související s RMS se pro použití při jednotném označování nepoužívají.If you've migrated from Azure RMS, note that RMS-related cmdlets have been deprecated for use in unified labeling.

Některé starší rutiny se nahradily novými rutinami pro jednotné označování.Some of the legacy cmdlets have been replaced with new cmdlets for unified labeling. Pokud jste například použili New-RMSProtectionLicense s ochranou RMS a migrovali na jednotné označování, použijte místo toho New-AIPCustomPermissions .For example, if you used New-RMSProtectionLicense with RMS protection and have migrated to unified labeling, use New-AIPCustomPermissions instead.

Následující tabulka mapuje rutiny související se službou RMS s aktualizovanými rutinami použitými pro jednotné označování:The following table maps RMS-related cmdlets with the updated cmdlets used for unified labeling:

Rutina RMSRMS cmdlet Sjednocená rutina labelingUnified labeling cmdlet
Get-RMSFileStatusGet-RMSFileStatus Get-AIPFileStatusGet-AIPFileStatus
Get-RMSServerGet-RMSServer Není relevantní pro sjednocení popisků.Not relevant for unified labeling.
Get-RMSServerAuthenticationGet-RMSServerAuthentication Set-AIPAuthenticationSet-AIPAuthentication
Clear – RMSAuthenticationClear-RMSAuthentication Set-AIPAuthenticationSet-AIPAuthentication
Set-RMSServerAuthenticationSet-RMSServerAuthentication Set-AIPAuthenticationSet-AIPAuthentication
Get-RMSTemplateGet-RMSTemplate Není relevantní pro sjednocení popiskůNot relevant for unified labeling
New-RMSProtectionLicenseNew-RMSProtectionLicense New-AIPCustomPermissionsa set-AIPFileLabels parametrem CustomPermissionsNew-AIPCustomPermissions, and Set-AIPFileLabel, with the CustomPermissions parameter
Ochrana – RMSFileProtect-RMSFile Set-AIPFileLabels parametrem RemoveProtectionSet-AIPFileLabel, with the RemoveProtection parameter

Postup pro neinteraktivní popisování souborů pro účely služby Azure Information ProtectionHow to label files non-interactively for Azure Information Protection

Ve výchozím nastavení platí, že když spustíte rutiny pro popisování, příkazy se spustí ve vašem vlastním uživatelském kontextu v interaktivní relaci PowerShellu.By default, when you run the cmdlets for labeling, the commands run in your own user context in an interactive PowerShell session.

Další informace naleznete v tématu:For more information, see:

Poznámka

Pokud počítač nemůže mít přístup k Internetu, není nutné vytvořit aplikaci v Azure AD a spustit rutinu set-AIPAuthentication .If the computer cannot have internet access, there's no need to create the app in Azure AD and run the Set-AIPAuthentication cmdlet. Místo toho postupujte podle pokynů pro odpojené počítače.Instead, follow the instructions for disconnected computers.

Předpoklady pro spuštěné rutiny označování AIP bez obsluhyPrerequisites for running AIP labeling cmdlets unattended

Pokud chcete spustit rutiny Azure Information Protection bez obsluhy, použijte následující podrobnosti přístupu:To run Azure Information Protection labeling cmdlets unattended, use the following access details:

  • Účet systému Windows , který se může interaktivně přihlásit.A Windows account that can sign in interactively.

  • Účet Azure AD pro delegovaný přístup.An Azure AD account, for delegated access. Pro usnadnění správy použijte jeden účet synchronizovaný ze služby Active Directory do Azure AD.For ease of administration, use a single account that's synchronized from Active Directory to Azure AD.

    Pro delegovaný uživatelský účet:For the delegated user account:

    PožadavekRequirement PodrobnostiDetails
    Zásada popiskuLabel policy Ujistěte se, že máte k tomuto účtu přiřazené zásady popisku a že tyto zásady obsahují publikované popisky, které chcete použít.Make sure that you have a label policy assigned to this account and that the policy contains the published labels you want to use.

    Pokud používáte zásady popisků pro různé uživatele, možná budete muset vytvořit novou zásadu popisku, která publikuje všechny vaše štítky, a publikovat zásady jenom na Tento delegovaný uživatelský účet.If you use label policies for different users, you might need to create a new label policy that publishes all your labels, and publish the policy to just this delegated user account.
    Dešifrování obsahuDecrypting content Pokud tento účet potřebuje dešifrovat obsah, například pokud chcete znovu nastavit ochranu souborů a zkontrolovat soubory, které jiní uživatelé chrání, nastavte ho jako superuživatele pro Azure Information Protection a ujistěte se, že je funkce superuživatele povolena.If this account needs to decrypt content, for example, to reprotect files and inspect files that others have protected, make it a super user for Azure Information Protection and make sure the super user feature is enabled.
    Ovládací prvky připojováníOnboarding controls Pokud jste implementovali ovládací prvky připojování pro postupné nasazení, ujistěte se, že tento účet je součástí vašich mechanismů připojování, které jste nakonfigurovali.If you have implemented onboarding controls for a phased deployment, make sure that this account is included in your onboarding controls you've configured.
  • Přístupový token Azure AD, který nastavuje a ukládá přihlašovací údaje delegovaného uživatele k ověření Azure Information Protection.An Azure AD access token, which sets and stores credentials for the delegated user to authenticate to Azure Information Protection. Po vypršení platnosti tokenu ve službě Azure AD je nutné znovu spustit rutinu a získat nový token.When the token in Azure AD expires, you must run the cmdlet again to acquire a new token.

    Parametry pro set-AIPAuthentication používají hodnoty z procesu registrace aplikace v Azure AD.The parameters for Set-AIPAuthentication use values from an app registration process in Azure AD. Další informace najdete v tématu Vytvoření a konfigurace aplikací Azure AD pro set-AIPAuthentication.For more information, see Create and configure Azure AD applications for Set-AIPAuthentication.

Spouštějte rutiny označování neinteraktivně pomocí prvního spuštění rutiny set-AIPAuthentication .Run the labeling cmdlets non-interactively by first running the Set-AIPAuthentication cmdlet.

Počítač, na kterém běží rutina AIPAuthentication , stáhne zásadu označování, která je přiřazená k vašemu delegovanému uživatelskému účtu, v centru pro správu popisků, jako je například centrum kompatibility & Microsoft 365 Security.The computer running the AIPAuthentication cmdlet downloads the labeling policy that's assigned to your delegated user account in your labeling management center, such as the Microsoft 365 Security & compliance center.

Vytvoření a konfigurace aplikací Azure AD pro Set-AIPAuthenticationCreate and configure Azure AD applications for Set-AIPAuthentication

Rutina set-AIPAuthentication vyžaduje registraci aplikace pro parametry AppID a AppSecret .The Set-AIPAuthentication cmdlet requires an app registration for the AppId and AppSecret parameters.

Pro uživatele, kteří se nedávno migrovali z klasického klienta a vytvořili registraci aplikace pro předchozí parametry webappid a NativeAppId , budete muset vytvořit novou registraci aplikace pro klienta jednotného označování.For users who've recently migrated from the classic client, and had created an app registration for the previous WebAppID and NativeAppId parameters, you'll need to create a new app registration for the unified labeling client.

Chcete-li vytvořit novou registraci aplikace pro rutinu Set-AIPAuthentication jednotného označování:To create a new app registration for the unified labeling client Set-AIPAuthentication cmdlet:

  1. V novém okně prohlížeče se přihlaste Azure Portal k Tenantovi služby Azure AD, který používáte s Azure Information Protection.In a new browser window, sign in the Azure portal to the Azure AD tenant that you use with Azure Information Protection.

  2. Přejděte na Azure Active Directory > Spravovat > Registrace aplikací a vyberte Nová registrace.Navigate to Azure Active Directory > Manage > App registrations, and select New registration.

  3. V podokně Registrovat aplikaci zadejte následující hodnoty a potom klikněte na zaregistrovat:On the Register an application pane, specify the following values, and then click Register:

    MožnostOption HodnotaValue
    NázevName AIP-DelegatedUser
    Podle potřeby zadejte jiný název.Specify a different name as needed. Název musí být jedinečný pro každého tenanta.The name must be unique per tenant.
    Podporované typy účtuSupported account types Vyberte účty jenom v tomto organizačním adresáři.Select Accounts in this organizational directory only.
    Identifikátor URI přesměrování (volitelné)Redirect URI (optional) Vyberte Web a potom zadejte https://localhost .Select Web, and then enter https://localhost.
  4. V podokně AIP-DelegatedUser ZKOPÍRUJTE hodnotu ID aplikace (klienta).On the AIP-DelegatedUser pane, copy the value for the Application (client) ID.

    Hodnota vypadá podobně jako v následujícím příkladu: 77c3c1c3-abf9-404e-8b2b-4652836c8c66 .The value looks similar to the following example: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Tato hodnota se používá pro parametr AppID při spuštění rutiny Set-AIPAuthentication.This value is used for the AppId parameter when you run the Set-AIPAuthentication cmdlet. Vložte a uložte hodnotu pro pozdější referenci.Paste and save the value for later reference.

  5. Na bočním panelu vyberte Spravovat > certifikáty & tajných kódů.From the sidebar, select Manage > Certificates & secrets.

    Pak v podokně AIP-DelegatedUser-certificates & tajných klíčů v části tajné klíče klienta vyberte nový tajný klíč klienta.Then, on the AIP-DelegatedUser - Certificates & secrets pane, in the Client secrets section, select New client secret.

  6. Pro Přidání tajného klíče klienta zadejte následující příkaz a pak vyberte Přidat:For Add a client secret, specify the following, and then select Add:

    PoleField HodnotaValue
    PopisDescription Azure Information Protection unified labeling client
    ExpiresExpires Zadejte dobu trvání (1 rok, 2 roky nebo nikdy nevyprší).Specify your choice of duration (1 year, 2 years, or never expires)
  7. Zpátky v podokně AIP-DelegatedUser-certificates & tajných klíčů v části tajné klíče klienta zkopírujte řetězec pro hodnotu.Back on the AIP-DelegatedUser - Certificates & secrets pane, in the Client secrets section, copy the string for the VALUE.

    Tento řetězec vypadá podobně jako v následujícím příkladu: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4 .This string looks similar to the following example: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Abyste se ujistili, že jste zkopírovali všechny znaky, vyberte ikonu ke zkopírování do schránky.To make sure you copy all the characters, select the icon to Copy to clipboard.

    Důležité

    Tento řetězec si musíte uložit, protože už se nezobrazí a nelze ho zpětně načíst.It's important that you save this string because it is not displayed again and it cannot be retrieved. Stejně jako u všech citlivých informací, které používáte, uložte uloženou hodnotu bezpečně a omezte přístup k ní.As with any sensitive information that you use, store the saved value securely and restrict access to it.

  8. Na bočním panelu vyberte Spravovat > oprávnění rozhraní API.From the sidebar, select Manage > API permissions.

    V podokně oprávnění AIP-DelegatedUser-API vyberte Přidat oprávnění.On the AIP-DelegatedUser - API permissions pane, select Add a permission.

  9. V podokně požádat o oprávnění API se ujistěte, že jste na kartě Microsoft API a vyberte Azure Rights Management Services.On the Request API permissions pane, make sure that you're on the Microsoft APIs tab, and select Azure Rights Management Services.

    Po zobrazení výzvy k zadání oprávnění, která vaše aplikace vyžaduje, vyberte oprávnění aplikace.When you're prompted for the type of permissions that your application requires, select Application permissions.

  10. V části vybrat oprávnění rozbalte položku obsah a vyberte následující a pak vyberte Přidat oprávnění.For Select permissions, expand Content and select the following, and then select Add permissions.

    • Content. DelegatedReaderContent.DelegatedReader
    • Content. DelegatedWriterContent.DelegatedWriter
  11. Zpátky v podokně oprávnění AIP-DelegatedUser-API vyberte Přidat oprávnění znovu.Back on the AIP-DelegatedUser - API permissions pane, select Add a permission again.

    V podokně žádost AIP oprávnění vyberte rozhraní API moje organizace používá a vyhledejte službu Microsoft Information Protection Sync Service.On the Request AIP permissions pane, select APIs my organization uses, and search for Microsoft Information Protection Sync Service.

  12. V podokně oprávnění API pro žádosti vyberte oprávnění aplikace.On the Request API permissions pane, select Application permissions.

    V rozevíracích seznamech vybrat oprávnění rozbalte UnifiedPolicy, vyberte UnifiedPolicy. tenant. Read a pak vyberte Přidat oprávnění.For Select permissions, expand UnifiedPolicy, select UnifiedPolicy.Tenant.Read, and then select Add permissions.

  13. V podokně oprávnění AIP-DelegatedUser-API vyberte udělit souhlas správce pro <your tenant name> a na výzvu k potvrzení vyberte Ano .Back on the AIP-DelegatedUser - API permissions pane, select Grant admin consent for <your tenant name> and select Yes for the confirmation prompt.

    Vaše oprávnění rozhraní API by měla vypadat jako na následujícím obrázku:Your API permissions should look like the following image:

    Oprávnění API pro registrovanou aplikaci v Azure AD

Nyní jste dokončili registraci této aplikace s tajným klíčem, jste připraveni spustit rutinu set-AIPAuthentication s parametry AppID a AppSecret.Now you've completed the registration of this app with a secret, you're ready to run Set-AIPAuthentication with the parameters AppId, and AppSecret. Navíc budete potřebovat ID tenanta.Additionally, you'll need your tenant ID.

Tip

ID tenanta můžete rychle zkopírovat pomocí Azure Portal: Azure Active Directory > Spravovat > vlastnosti > ID adresáře.You can quickly copy your tenant ID by using Azure portal: Azure Active Directory > Manage > Properties > Directory ID.

Spuštění rutiny Set-AIPAuthenticationRunning the Set-AIPAuthentication cmdlet

  1. Otevřete prostředí Windows PowerShell s možností spustit jako správce.Open Windows PowerShell with the Run as administrator option.

  2. V relaci PowerShellu Vytvořte proměnnou pro uložení přihlašovacích údajů uživatelského účtu systému Windows, který bude spuštěn neinteraktivně.In your PowerShell session, create a variable to store the credentials of the Windows user account that will run non-interactively. Pokud jste například vytvořili účet služby pro skener:For example, if you created a service account for the scanner:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"
    

    Budete vyzváni k zadání hesla tohoto účtu.You're prompted for this account's password.

  3. Spusťte rutinu set-AIPAuthentication s parametrem OnBeHalfOf , který určíte jako hodnotu proměnné, kterou jste vytvořili.Run the Set-AIPAuthentication cmdlet, with the OnBeHalfOf parameter, specifying as its value the variable that you created.

    Zadejte také registrační hodnoty aplikace, ID tenanta a název delegovaného uživatelského účtu ve službě Azure AD.Also specify your app registration values, your tenant ID, and the name of the delegated user account in Azure AD. Například:For example:

    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
    

Další krokyNext steps

Nápovědu k rutinám, když se nacházíte v relaci PowerShellu, získáte zadáním Get-Help <cmdlet name> -online .For cmdlet help when you are in a PowerShell session, type Get-Help <cmdlet name> -online. Například:For example:

Get-Help Set-AIPFileLabel -online

Další informace naleznete v tématu:For more information, see: