Ochrana RMS s infrastrukturou klasifikace souborů pro Windows Server (FCI)RMS protection with Windows Server File Classification Infrastructure (FCI)

Platí pro: Azure Information Protection, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2Applies to: Azure Information Protection, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2

Tento článek slouží pro pokyny a skript k používání klienta služby Azure Information Protection a PowerShellu ke konfiguraci správce prostředků souborového serveru a infrastruktury klasifikace souborů (FCI).Use this article for instructions and a script to use the Azure Information Protection client and PowerShell to configure File Server Resource Manager and File Classification Infrastructure (FCI).

Toto řešení umožňuje automaticky chránit všechny soubory ve složce na souborovém serveru se systémem Windows Server nebo automaticky chránit soubory, které splňují určitá kritéria.This solution lets you automatically protect all files in a folder on a file server running Windows Server, or automatically protect files that meet a specific criteria. Například soubory, které byly klasifikovány jako obsahující důvěrné nebo citlivé informace.For example, files that have been classified as containing confidential or sensitive information. Toto řešení se připojí přímo ke službě Azure Rights Management ze služby Azure Information Protection, aby chránilo soubory, takže službu Azure Rights Management musíte mít v organizaci nasazenou.This solution connects directly to the Azure Rights Management service from Azure Information Protection to protect the files, so you must have this service deployed for your organization.

Poznámka

I když Azure Information Protection obsahuje konektor, který podporuje infrastrukturu klasifikace souborů, toto řešení podporuje pouze nativní ochranu – například soubory Office.Although Azure Information Protection includes a connector that supports File Classification Infrastructure, that solution supports native protection only—for example, Office files.

Jestli chcete pomocí infrastruktury klasifikace souborů Windows Serveru podporovat více typů souborů, je nutné použít powershellový modul AzureInformationProtection, jak je uvedeno v tomto článku.To support multiple file types with Windows Server file classification infrastructure, you must use the PowerShell AzureInformationProtection module, as documented in this article. Rutiny služby Azure Information Protection, jako klient služby Azure Information Protection, podporují obecnou ochranu i nativní ochranu, což znamená, že je možné chránit soubory jiného typu než dokumenty Office.The Azure Information Protection cmdlets, like the Azure Information Protection client, support generic protection as well as native protection, which means that file types other than Office documents can be protected. Další informace najdete v článku Typy souborů podporované klientem služby Azure Information Protection z příručky pro správce klienta služby Azure Information Protection.For more information, see File types supported by the Azure Information Protection client from the Azure Information Protection client admin guide.

Následující pokyny jsou určeny pro Windows Server 2012 R2 nebo Windows Server 2012.The instructions that follow are for Windows Server 2012 R2 or Windows Server 2012. Pokud používáte jiné podporované verze systému Windows, může být nutné přizpůsobit některé z kroků rozdílům mezi vaší verzí operačního systému a verzemi popsanými v tomto článku.If you run other supported versions of Windows, you might need to adapt some of the steps for differences between your operating system version and the one documented in this article.

Požadavky pro ochranu Azure Rights Management pomocí systému Windows Server FCIPrerequisites for Azure Rights Management protection with Windows Server FCI

Požadavky pro tyto pokyny:Prerequisites for these instructions:

  • Na každý souborový server, kde budete spouštět správce prostředků souborů pomocí infrastruktury klasifikace souboru:On each file server where you will run File Resource Manager with file classification infrastructure:

    • Nainstalovali jste správce prostředků souborového serveru jako jednu ze služeb rolí pro role Souborové služby.You have installed File Server Resource Manager as one of the role services for the File Services role.

    • Určili jste místní složku, která obsahuje soubory k ochraně pomocí služby Rights Management.You have identified a local folder that contains files to protect with Rights Management. Například C:\FileShare.For example, C:\FileShare.

    • Máte nainstalovaný modul prostředí PowerShell AzureInformationProtection a nakonfigurované jeho předpoklady, aby se mohl připojit ke službě Azure Rights Management.You have installed the AzureInformationProtection PowerShell module and configured the prerequisites for this module to connect to the Azure Rights Management service.

      Modul prostředí PowerShell AzureInformationProtection je součástí klienta Azure Information Protection.The AzureInformationProtection PowerShell module is included with the Azure Information Protection client. Pokyny k instalaci naleznete v tématu instalace klienta Azure Information Protection pro uživatele z příručky správce Azure Information Protection.For installation instructions, see Install the Azure Information Protection client for users from the Azure Information Protection admin guide. V případě potřeby můžete nainstalovat pouze modul prostředí PowerShell pomocí parametru PowerShellOnly=true.If required, you can install just the PowerShell module by using the PowerShellOnly=true parameter.

      Předpoklady pro použití tohoto modulu prostředí PowerShell zahrnují aktivaci služby Azure Rights Management, vytvoření instalačního objektu a úpravu registru, pokud se váš tenant nachází mimo Severní Ameriku.The prerequisites for using this PowerShell module include activating the Azure Rights Management service, creating a service principal, and editing the registry if your tenant is outside North America. Než začnete s pokyny v tomto článku, přesvědčte se, že máte hodnoty pro BposTenantId, AppPrincipalId a Symetrický klíč, jak je uvedeno v těchto předpokladech.Before you start the instructions in this article, make sure that you have values for your BposTenantId, AppPrincipalId, and Symmetric key, as documented in these prerequisites.

    • Pokud chcete změnit výchozí úroveň ochrany (nativní nebo obecná) pro konkrétní přípony názvů souborů, musíte upravit registr dle popisu v části Změna výchozí úrovně ochrany souborů v příručce pro správce.If you want to change the default level of protection (native or generic) for specific file name extensions, you have edited the registry as described in the Changing the default protection level of files section from the admin guide.

    • Máte připojení k Internetu a jste nakonfigurovali nastavení počítače, pokud jsou požadované pro proxy server.You have an Internet connection, and you have configured your computer settings if these are required for a proxy server. Příklad: netsh winhttp import proxy source=ieFor example: netsh winhttp import proxy source=ie

  • Synchronizovali jste místní uživatelské účty služby Active Directory se službou Azure Active Directory nebo Office 365, včetně e-mailových adres.You have synchronized your on-premises Active Directory user accounts with Azure Active Directory or Office 365, including their email addresses. To je potřeba pro všechny uživatele, kteří by mohli potřebovat přístup k souborům chráněným pomocí FCI a služby Azure Rights Management.This is required for all users that might need to access files after they are protected by FCI and the Azure Rights Management service. Pokud tento krok neprovedete (například v testovacím prostředí), uživatelé můžou mít k těmto souborům zablokovaný přístup.If you do not do this step (for example, in a test environment), users might be blocked from accessing these files. Pokud potřebujete další informace o tomto požadavku, najdete je v článku Příprava uživatelů a skupin pro službu Azure Information Protection.If you need more information about this requirement, see Preparing users and groups for Azure Information Protection.

  • Stáhli jste na souborový server šablony služby Rights Management a určili jste ID šablony, která bude chránit soubory.You have downloaded to the file server the Rights Management templates and identified the template ID that will protect the files. K tomu použijete rutinu Get-RMSTemplate.To do this, use the Get-RMSTemplate cmdlet. Tento scénář nepodporuje šablony jednotlivých oddělení, musíte proto buď použít šablonu, která není nakonfigurovaná pro obor, nebo musí konfigurace oboru zahrnovat možnost kompatibility aplikací, například zaškrtnuté políčko Když aplikace nepodporují identitu uživatele, zobrazit tuto šablonu pro všechny uživatele.This scenario does not support departmental templates so you must either use a template that is not configured for a scope, or the scope configuration must include the application compatibility option such that the Show this template to all users when the applications do not support user identity check box is selected.

Pokyny ke konfiguraci Správce prostředků souborového serveru FCI pro ochranu Azure Rights ManagementInstructions to configure File Server Resource Manager FCI for Azure Rights Management protection

Postupujte podle těchto pokynů, kterými budete automaticky chránit všechny soubory ve složce pomocí powershellového skriptu jako vlastní úlohy.Follow these instructions to automatically protect all files in a folder, by using a PowerShell script as a custom task. Proveďte tyto postupy v tomto pořadí:Do these procedures in this order:

  1. Uložení powershellového skriptuSave the PowerShell script

  2. Vytvoření vlastnosti klasifikace pro Rights Management (RMS)Create a classification property for Rights Management (RMS)

  3. Vytvoření pravidla klasifikace (klasifikovat pro službu RMS)Create a classification rule (Classify for RMS)

  4. Provedení konfigurace plánu klasifikaceConfigure the classification schedule

  5. Vytvoření úlohy správy vlastního souboru (ochrana souborů pomocí RMS)Create a custom file management task (Protect files with RMS)

  6. Otestujte konfiguraci ručním spuštěním pravidla a úlohyTest the configuration by manually running the rule and task

Na konci těchto pokyny budou všechny soubory ve vybrané složce klasifikovány pomocí vlastní vlastnosti RMS a tyto soubory pak budou chráněny službou Rights Management.At the end of these instructions, all files in your selected folder will be classified with the custom property of RMS, and these files will then be protected by Rights Management. V případě složitější konfigurace, která selektivně chrání některé soubory a jiné ne, pak můžete vytvořit nebo použít jinou vlastnost klasifikace a pravidla pomocí úlohy správy souborů, který chrání pouze tyto soubory.For a more complex configuration that selectively protects some files and not others, you can then create or use a different classification property and rule, with a file management task that protects just those files.

Je třeba mít na paměti, že pokud provedete změny šablony služby Rights Management, kterou používáte pro FCI, musíte na souborovém serveru spustit Get-RMSTemplate -Force, abyste získali aktualizovanou šablonu.Note that if you make changes to the Rights Management template that you use for FCI, you must run Get-RMSTemplate -Force on the file server computer to get the updated template. Aktualizovanou šablonu se pak používá k ochraně nové soubory.The updated template is then used to protect new files. Pokud změny do šablony jsou důležité, aby se znovu nastavte ochranu souborů na souborovém serveru, můžete to uděláte tak, že spustíte rutinu Protect-RMSFile interaktivně pomocí účtu, který má práva k užívání exportu nebo úplné řízení pro soubory.If the changes to the template are important enough to reprotect the files on the file server, you can do this by running the Protect-RMSFile cmdlet interactively with an account that has the Export or Full Control usage rights for the files. Get-RMSTemplate -Force je také nutné na souborovém serveru spustit v případě, že publikujete novou šablonu, kterou chcete použít pro FCI.You must also run Get-RMSTemplate -Force on this file server computer if you publish a new template that you want to use for FCI.

Uložení skriptu prostředí Windows PowerShellSave the Windows PowerShell script

  1. Zkopírujte obsah skriptu prostředí Windows PowerShell pro ochranu Azure RMS pomocí Správce prostředků souborového serveru.Copy the contents of the Windows PowerShell script for Azure RMS protection by using File Server Resource Manager. Vložte obsah skriptu a název souboru RMS-Protect-FCI.ps1 do svého počítače.Paste the contents of the script and name the file RMS-Protect-FCI.ps1 on your own computer.

  2. Zkontrolujte skript a proveďte následující změny:Review the script and make the following changes:

    • Vyhledejte následující řetězec a nahraďte ho vlastní hodnotou AppPrincipalId, kterou používáte s rutinou Set-RMSServerAuthentication pro připojení ke službě Azure Rights Management:Search for the following string and replace it with your own AppPrincipalId that you use with the Set-RMSServerAuthentication cmdlet to connect to the Azure Rights Management service:

      <enter your AppPrincipalId here>
      

      Skript může například vypadat takto:For example, the script might look like this:

      [Parameter(Mandatory = $false)]

      [Parameter(Mandatory = $false)] [string]$AppPrincipalId = "b5e3f76a-b5c2-4c96-a594-a0807f65bba4",

    • Vyhledejte následující řetězec a nahraďte ho vlastním symetrickým klíčem, který používáte s rutinou Set-RMSServerAuthentication pro připojení ke službě Azure Rights Management:Search for the following string and replace it with your own symmetric key that you use with the Set-RMSServerAuthentication cmdlet to connect to the Azure Rights Management service:

      <enter your key here>
      

      Skript může například vypadat takto:For example, the script might look like this:

      [Parameter(Mandatory = $false)]

      [string]$SymmetricKey = "zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA="

    • Vyhledejte následující řetězec a nahraďte ho vlastní hodnotou BposTenantId (ID tenanta), kterou používáte s rutinou Set-RMSServerAuthentication pro připojení ke službě Azure Rights Management:Search for the following string and replace it with your own BposTenantId (tenant ID) that you use with the Set-RMSServerAuthentication cmdlet to connect to the Azure Rights Management service:

      <enter your BposTenantId here>
      

      Skript může například vypadat takto:For example, the script might look like this:

      [Parameter(Mandatory = $false)]

      [string]$BposTenantId = "23976bc6-dcd4-4173-9d96-dad1f48efd42",

  3. Podepište skript.Sign the script. Pokud skriptu nepodepíšete (bezpečnější), musíte nakonfigurovat prostředí Windows PowerShell na serverech, které ho spouští.If you do not sign the script (more secure), you must configure Windows PowerShell on the servers that run it. Spusťte například relaci prostředí Windows PowerShell s možností Spustit jako správce a zadejte: Set-ExecutionPolicy RemoteSigned.For example, run a Windows PowerShell session with the Run as Administrator option, and type: Set-ExecutionPolicy RemoteSigned. Tato konfigurace však umožňuje spouštění všech nepodepsaných skriptů uložených na serveru (méně bezpečné).However, this configuration lets all unsigned scripts run when they are stored on this server (less secure).

    Další informace o podepisování skriptů prostředí Windows PowerShell naleznete v tématu about_Signing v knihovně dokumentace k prostředí PowerShell.For more information about signing Windows PowerShell scripts, see about_Signing in the PowerShell documentation library.

  4. Uložte soubor místně na každém souborovém serveru, který spustí správce prostředků souborů pomocí infrastruktury klasifikace souboru.Save the file locally on each file server that runs File Resource Manager with file classification infrastructure. Například uložte soubor do C:\RMS-Protection.For example, save the file in C:\RMS-Protection. Pokud používáte jinou cestu nebo název složky, vyberte cestu a složku, která v názvu nemá mezery.If you use a different path or folder name, choose a path and folder that does not include spaces. Tento soubor Zabezpečte pomocí oprávnění NTFS, aby ho nemohli měnit neoprávnění uživatelé.Secure this file by using NTFS permissions so that unauthorized users cannot modify it.

Teď je všechno připravené k tom, abyste mohli zahájit konfiguraci správce prostředků souborového serveru.You're now ready to start configuring File Server Resource Manager.

Vytvoření vlastnosti klasifikace pro Rights Management (RMS)Create a classification property for Rights Management (RMS)

  • Ve správci prostředků souborového serveru ve Správě klasifikace vytvořte novou místní vlastnost:In File Server Resource Manager, Classification Management, create a new local property:

    • Název: typ RMSName: Type RMS

    • Popis: typ ochrany Rights ManagementDescription: Type Rights Management protection

    • Typ vlastnosti: vyberte Ano/NeProperty Type: Select Yes/No

    • Hodnota: vyberte AnoValue: Select Yes

Teď můžeme vytvořit pravidlo klasifikace, které používá tuto vlastnost.We can now create a classification rule that uses this property.

Vytvoření pravidla klasifikace (klasifikovat pro službu RMS)Create a classification rule (Classify for RMS)

  • Vytvoření nového pravidla klasifikace:Create a new classification rule:

    • Na kartě Obecné:On the General tab:

      • Název: typ Klasifikace pro službu RMSName: Type Classify for RMS

      • Povoleno: ponechejte výchozí, což znamená zaškrtnuté políčko.Enabled: Keep the default, which is that this checkbox is selected.

      • Popis: typ klasifikace všech souborů ve složce <název složky> pro Rights Management.Description: Type Classify all files in the <folder name> folder for Rights Management.

        Nahraďte <název složky> zvoleným názvem složky.Replace <folder name> with your chosen folder name. Například Klasifikace všech souborů ve složce C:\FileShare for Rights ManagementFor example, Classify all files in the C:\FileShare folder for Rights Management

      • Rozsah: Přidejte zvolenou složku.Scope: Add your chosen folder. Například C:\FileShare.For example, C:\FileShare.

        Nevybírejte zaškrtávací políčka.Do not select the checkboxes.

    • Na kartě Klasifikace:On the Classification tab:

    • Metoda klasifikace: vyberte Nástroj klasifikace složekClassification method: Select Folder Classifier

    • Název vlastnosti: vyberte RMSProperty name: Select RMS

    • Hodnota vlastnosti: vyberte AnoProperty value: Select Yes

I když můžete spustit klasifikační pravidla ručně, pro probíhající operace, budete chtít toto pravidlo spouštět podle plánu, aby se nové soubory klasifikovány s vlastností RMS.Although you can run the classification rules manually, for ongoing operations, you want this rule to run on a schedule so that new files are classified with the RMS property.

Provedení konfigurace plánu klasifikaceConfigure the classification schedule

  • Na kartě Automatická klasifikace.:On the Automatic Classification tab:

    • Povolit pevný plán: Zaškrtněte toto políčko.Enable fixed schedule: Select this checkbox.

    • Nakonfigurujte plán pro spouštění všech pravidel klasifikace, což zahrnuje naše nové pravidlo ke klasifikaci souborů pomocí vlastnosti RMS.Configure the schedule for all classification rules to run, which includes our new rule to classify files with the RMS property.

    • Povolit průběžnou klasifikaci nových souborů: Toto políčko zaškrtněte tak, aby se nové soubory klasifikovány.Allow continuous classification for new files: Select this check box so that new files are classified.

    • Volitelné: Proveďte další potřebné změny, například konfiguraci možností pro sestavy a oznámení.Optional: Make any other changes that you want, such as configuring options for reports and notifications.

Po dokončení konfigurace klasifikace teď můžete nakonfigurovat úlohu správy pro použití ochrany RMS na soubory.Now you've completed the classification configuration, you're ready to configure a management task to apply the RMS protection to the files.

Vytvoření úlohy správy vlastního souboru (ochrana souborů pomocí RMS)Create a custom file management task (Protect files with RMS)

  • V části Úlohy správy souborů vytvořte novou úlohu správy souborů:In File Management Tasks, create a new file management task:

    • Na kartě Obecné:On the General tab:

      • Název úlohy: typ Ochrana souborů pomocí RMSTask name: Type Protect files with RMS

      • Ponechte zaškrtnuté políčko Povolit.Keep the Enable checkbox selected.

      • Popis: typ Ochrana souborů ve <název složky> pomocí Rights Management a šablony pomocí skriptu prostředí Windows PowerShell.Description: Type Protect files in <folder name> with Rights Management and a template by using a Windows PowerShell script.

        Nahraďte <název složky> zvoleným názvem složky.Replace <folder name> with your chosen folder name. Například Ochrana souborů ve složce C:\FileShare pomocí Rights Management a šablony pomocí skriptu prostředí Windows PowerShellFor example, Protect files in C:\FileShare with Rights Management and a template by using a Windows PowerShell script

      • Rozsah: Vyberte zvolenou složku.Scope: Select your chosen folder. Například C:\FileShare.For example, C:\FileShare.

        Nevybírejte zaškrtávací políčka.Do not select the checkboxes.

    • Klikněte na kartu Akce:On the Action tab:

      • Typ: vyberte VlastníType: Select Custom

      • Spustitelný soubor: Určete následující:Executable: Specify the following:

        C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
        

        Pokud se systém Windows nenachází na jednotce C:, upravte tuto cestu nebo vyhledejte tento soubor.If Windows is not on your C: drive, modify this path or browse to this file.

      • Argument: zadejte následující informace, včetně vlastních hodnot pro <cestu> a <ID šablony>:Argument: Specify the following, supplying your own values for <path> and <template ID>:

        -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID <template GUID> -OwnerMail [Source File Owner Email]"
        

        Pokud jste například skript zkopírovali do C:\RMS-Protection a ID šablony identifikované z požadavků činí e6ee2481-26b9-45e5-b34a-f744eacd53b0, zadejte následující informace:For example, if you copied the script to C:\RMS-Protection and the template ID you identified from the prerequisites is e6ee2481-26b9-45e5-b34a-f744eacd53b0, specify the following:

        -Noprofile -Command "C:\RMS-Protection\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerMail [Source File Owner Email]"

        V tomto příkazu [cestu ke zdrojovému souboru] a [E-mail vlastníka zdrojového souboru] jsou obě proměnné FCI specifické, takže je zadejte přesně tak, jak se objeví v předchozí příkaz.In this command, [Source File Path] and [Source File Owner Email] are both FCI-specific variables, so type these exactly as they appear in the preceding command. První proměnná se používá pomocí FCI k automatickému určení identifikovaného souboru ve složce, a druhá proměnná je pro FCI pro automatické načítání e-mailové adresy pojmenovaného vlastníka identifikovaného souboru.The first variable is used by FCI to automatically specify the identified file in the folder, and the second variable is for FCI to automatically retrieve the email address of the named Owner of the identified file. Tento příkaz se opakuje pro každý soubor ve složce, což je v našem příkladu každý soubor ve složce C:\FileShare, který navíc obsahuje RMS jako vlastnost klasifikace souboru.This command is repeated for each file in the folder, which in our example, is each file in the C:\FileShare folder that additionally, has RMS as a file classification property.

        Poznámka

        Parametr - OwnerMail [E-mail vlastníka zdrojového souboru] a hodnota zajišťují, že je původnímu vlastníkovi souboru uděleno právo vlastníka Rights Management souboru po jeho ochránění.The -OwnerMail [Source File Owner Email] parameter and value ensures that the original owner of the file is granted the Rights Management owner of the file after it is protected. Tato konfigurace zajistí, že původní vlastník souboru má všechna práva Rights Management na své vlastní soubory.This configuration ensures that the original file owner has all Rights Management rights to their own files. V případě vytvoření souborů uživatelem domény se e-mailová adresa automaticky načte ze služby Active Directory pomocí názvu uživatelského účtu ve vlastnostech souboru vlastníka.When files are created by a domain user, the email address is automatically retrieved from Active Directory by using the user account name in the file's Owner property. Aby to bylo možné, musí být souborový server ve stejné doméně nebo důvěryhodné doméně jako uživatel.To do this, the file server must be in the same domain or trusted domain as the user.

        Kdykoli je to možné, přiřaďte původní vlastníky do chráněných dokumentů a zajistěte, aby měli tito uživatelé nadále plnou kontrolu nad soubory, které vytvořili.Whenever possible, assign the original owners to protected documents, to ensure that these users continue to have full control over the files that they created. Ale pokud použijete proměnnou [E-mail vlastníka zdrojového souboru] jako v předchozím příkazu a soubor neobsahuje uživatele domény definovaného jako vlastník (například místní účet byl použit k vytvoření souboru, takže vlastník zobrazí SYSTEM), skript selže.However, if you use the [Source File Owner Email] variable as in the preceding command, and a file does not have a domain user defined as the owner (for example, a local account was used to create the file, so the owner displays SYSTEM), the script fails.

        Pro soubory, které nemají uživatele domény jako vlastníka můžete zkopírovat a uložit tyto soubory sami jako uživatelé domény a stát se vlastníkem pouze pro tyto soubory.For files that do not have a domain user as owner, you can either copy and save these files yourself as a domain user, so that you become the owner for just these files. Nebo, pokud máte oprávnění, můžete ručně změnit vlastníka.Or, if you have permissions, you can manually change the owner. Nebo můžete alternativně zadat konkrétní e-mailovou adresu (například vlastní nebo adresu skupiny pro IT oddělení) namísto proměnné [E-mail vlastníka zdrojového souboru] znamená, že všechny soubory chráněné pomocí tohoto skriptu použije tuto e-mailovou adresu k definování nového vlastníka.Or alternatively, you can supply a specific email address (such as your own or a group address for the IT department) instead of the [Source File Owner Email] variable, which means that all files you protect by using this script uses this email address to define the new owner.

    • Spustit příkaz jako: vyberte Místní systémRun the command as: Select Local System

    • Na kartě Podmínka:On the Condition tab:

      • Vlastnost: vyberte RMSProperty: Select RMS

      • Operátor vyberte StejnéOperator: Select Equal

      • Hodnota: vyberte AnoValue: Select Yes

    • Na kartě Plán:On the Schedule tab:

      • Spustit v: konfigurujte upřednostňovaný plán.Run at: Configure your preferred schedule.

        Na dokončení skriptu si nechte hodně času.Allow plenty of time for the script to complete. I když toto řešení chrání všechny soubory ve složce, skript se pokaždé spustí jednou pro každý soubor.Although this solution protects all files in the folder, the script runs once for each file, each time. Přestože tento postup trvá déle než ochrana všech souborů zároveň, což klient Azure Information Protection podporuje, je tato konfigurace soubor po souboru pro FCI účinnější.Although this takes longer than protecting all the files at the same time, which the Azure Information Protection client supports, this file-by-file configuration for FCI is more powerful. Chráněné soubory například mohou mít různé vlastníky (zachovají si původního vlastníka) Pokud použijete proměnnou [E-mail vlastníka zdrojového souboru], a není třeba tento soubor po souboru akce, pokud později změníte konfiguraci k selektivní ochraně souborů a nikoli všech souborů ve složce.For example, the protected files can have different owners (retain the original owner) when you use the [Source File Owner Email] variable, and this file-by-file action is required if you later change the configuration to selectively protect files rather than all files in a folder.

      • Spouštět nepřetržitě u nových souborů: Zaškrtněte toto políčko.Run continuously on new files: Select this checkbox.

Otestujte konfiguraci ručním spuštěním pravidla a úlohyTest the configuration by manually running the rule and task

  1. Spusťte pravidlo klasifikace:Run the classification rule:

    1. Klikněte na tlačítko Pravidla klasifikace > Teď spustit klasifikaci se všemi pravidlyClick Classification Rules > Run Classification With All Rules Now

    2. Klikněte na možnost Počkat na dokončení klasifikace a pak klikněte na tlačítko OK.Click Wait for classification to complete, and then click OK.

  2. Počkejte na uzavření dialogového okna Spouštění klasifikace a pak zobrazte výsledky v automaticky zobrazené sestavě.Wait for the Running Classification dialog box to close and then view the results in the automatically displayed report. Měli byste vidět 1 pro pole Vlastnosti a počet souborů ve složce.You should see 1 for the Properties field and the number of files in your folder. Pomocí Průzkumníka souborů potvrďte a ověřte vlastnosti souborů ve vybrané složce.Confirm by using File Explorer and checking the properties of files in your chosen folder. Na kartě Klasifikace byste měli vidět RMS jako název vlastnosti a Ano pro jeho Hodnotu.On the Classification tab, you should see RMS as a property name and Yes for its Value.

  3. Spusťte úlohu správy souborů:Run the file management task:

    1. Klikněte na tlačítko Úlohy správy souborů > Ochrana souborů pomocí RMS > Teď spustit soubor správy úlohClick File Management Tasks > Protect files with RMS > Run File Management Task Now

    2. Klikněte na položku Počkat na dokončení úlohy a pak klikněte na tlačítko OK.Click Wait for the task to complete, and then click OK.

  4. Počkejte na uzavření dialogového okna Spouštění úlohy správy souborů a pak zobrazte výsledky v automaticky zobrazené sestavě.Wait for the Running File Management Task dialog box to close and then view the results in the automatically displayed report. Měl by se zobrazit počet souborů, které se nachází ve vybrané složce v poli Soubory.You should see the number of files that are in your chosen folder in the Files field. Potvrďte, že jsou teď soubory ve vybrané složce chráněné službou Rights Management.Confirm that the files in your chosen folder are now protected by Rights Management. Například pokud zvolenou složku C:\FileShare, zadejte následující příkaz v relaci prostředí Windows PowerShell a potvrďte, že žádné soubory neobsahují stav Unprotected:For example, if your chosen folder is C:\FileShare, type the following command in a Windows PowerShell session and confirm that no files have a status of Unprotected:

    foreach ($file in (Get-ChildItem -Path C:\FileShare -Force | where {!$_.PSIsContainer})) {Get-RMSFileStatus -f $file.PSPath}
    

    Tip

    Rady pro odstraňování potíží:Some troubleshooting tips:

    • Pokud se zobrazí 0 v sestavě, namísto počtu souborů ve složce, tento výstup značí, že skript nebyl spuštěn.If you see 0 in the report, instead of the number of files in your folder, this output indicates that the script did not run. Nejprve zkontrolujte samotný skript načtením v systému Windows PowerShell ISE a ověřte obsah skriptů a zkuste je spustit a zkontrolovat, zda se zobrazí nějaké chyby.First, check the script itself by loading it in Windows PowerShell ISE to validate the script contents and try running it to see if any errors are displayed. Bez zadaných argumentů se skript pokusí připojit a ověření služby Azure Rights Management.With no arguments specified, the script tries to connect and authenticate to the Azure Rights Management service.

      • Pokud skript hlásí, že se ke službě Azure Rights Management (Azure RMS) nelze připojit, zkontrolujte hodnoty zobrazené pro hlavní účet služby, který jste zadali ve skriptu.If the script reports that it couldn't connect to the Azure Rights Management service (Azure RMS), check the values it displays for the service principal account, which you specified in the script. Další informace o tom, jak vytvořit tento hlavní účet služby, najdete v tématu Požadavek 3: Ochrana souborů nebo zrušení jejich ochrany bez zásahu z příručky pro správce klienta služby Azure Information Protection.For more information about how to create this service principal account, see Prerequisite 3: To protect or unprotect files without interaction from the Azure Information Protection client admin guide.
      • Pokud skript hlásí, že se nemohl připojit k Azure RMS, dále zkontrolujte, že dokáže najít zadanou šablonu spuštěním Get-RMSTemplate přímo z prostředí Windows PowerShell na serveru.If the script reports that it could connect to Azure RMS, next check that it can find the specified template by running Get-RMSTemplate directly from Windows PowerShell on the server. Měli byste vidět, že se šablona, kterou jste zadali, vrátila ve výsledcích.You should see the template you specified returned in the results.
    • Pokud se samotný skript spustí v systému Windows PowerShell ISE bez chyb, pokuste se ho spustit následovně z relace prostředí PowerShell zadáním názvu souboru pro ochranu a bez parametru - OwnerEmail:If the script by itself runs in Windows PowerShell ISE without errors, try running it as follows from a PowerShell session, specifying a file name to protect and without the -OwnerEmail parameter:

      powershell.exe -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '<full path and name of a file>' -TemplateID <template GUID>"
      
      • Pokud se skript spustí úspěšně v této relaci prostředí Windows PowerShell, zkontrolujte zadání pro Executive a Argument v akci úlohy správy souboru.If the script runs successfully in this Windows PowerShell session, check your entries for Executive and Argument in the file management task action. Pokud jste určili -OwnerEmail [E-mail vlastníka zdrojového souboru], zkuste odebrat tento parametr.If you have specified -OwnerEmail [Source File Owner Email], try removing this parameter.

        Pokud úloha správy souborů funguje úspěšně bez - OwnerEmail [E-mail vlastníka zdrojového souboru], zkontrolujte, zda nechráněné soubory obsahují uživatele domény uvedeného jako vlastníka souboru místo položky SYSTÉM.If the file management task works successfully without -OwnerEmail [Source File Owner Email], check that the unprotected files have a domain user listed as the file owner, rather than SYSTEM. Chcete-li tuto kontrolu, použijte zabezpečení pro vlastnosti souboru a pak klikněte Upřesnit.To make this check, use the Security tab for the file's properties, and then click Advanced. Hodnota Vlastník se zobrazí okamžitě po souboru Název.The Owner value is displayed immediately after the file Name. Také ověřte, zda je server souborů ve stejné doméně nebo důvěryhodné doméně pro vyhledání e-mailovou adresu uživatele ze služby Active Directory Domain Services.Also, verify that the file server is in the same domain or a trusted domain to look up the user's email address from Active Directory Domain Services.

    • Pokud se zobrazí správný počet souborů v sestavě, ale soubory nejsou chráněné, zkuste je chránit ručně pomocí rutiny Protect-RMSFile a sledujte, zda se zobrazí nějaké chyby.If you see the correct number of files in the report but the files are not protected, try protecting the files manually by using the Protect-RMSFile cmdlet, to see if any errors are displayed.

Po potvrzení úspěšného spuštění těchto úloh můžete zavřít správce prostředků souborů.When you have confirmed that these tasks run successfully, you can close File Resource Manager. Nové soubory se automaticky klasifikovat a chránit při spuštění naplánované úlohy.New files are automatically classified and protected when the scheduled tasks run.

Úprava pokynů pro selektivní ochranu souborůModifying the instructions to selectively protect files

Když máte předchozí fungující pokyny, je pak snadné je upravit pro sofistikovanější konfiguraci.When you have the preceding instructions working, it's then easy to modify them for a more sophisticated configuration. Například chraňte soubory pomocí stejného skriptu, ale pouze u souborů, které obsahují osobní identifikovatelné údaje a případně vyberte šablonu, která obsahuje více omezující oprávnění.For example, protect files by using the same script but only for files that contain personal identifiable information, and perhaps select a template that has more restrictive rights.

K provedení této úpravy, použijte jednu z vložených vlastností klasifikace (například identifikovatelné osobní údaje) nebo vytvořit novou vlastnost.To make this modification, use one of the built-in classification properties (for example, Personally Identifiable Information) or create your own new property. Pak vytvořte nové pravidlo, které tuto vlastnost používá.Then create a new rule that uses this property. Například můžete vybrat Nástroj pro klasifikaci obsahu, vybrat vlastnost Osobní identifikovatelné údaje s hodnotou Vysoké a nakonfigurovat řetězec nebo vzor výrazu, který identifikuje soubor určený ke konfiguraci pro tuto vlastnost (například řetězec „Datum narození“).For example, you might select the Content Classifier, choose the Personally Identifiable Information property with a value of High, and configure the string or expression pattern that identifies the file to be configured for this property (such as the string "Date of Birth").

Teď je třeba vytvořit nový úkol správy souborů, který používá stejný skript, ale možná s jinou šablonou, a konfigurovat podmínky pro vlastnost klasifikace, kterou jste právě nakonfigurovali.Now all you need to do is create a new file management task that uses the same script but perhaps with a different template, and configure the condition for the classification property that you have just configured. Například místo podmínky, kterou jsme nakonfigurovali dříve (vlastnost RMS, Stejné, Ano), vyberte Osobní údaje vlastnost s operátor nastavena na hodnotu rovná a hodnotu z vysokou.For example, instead of the condition that we configured previously (RMS property, Equal, Yes), select the Personally Identifiable Information property with the Operator value set to Equal and the Value of High.

Další krokyNext steps

Možná se ptáte: jaký je rozdíl mezi systému Windows Server FCI a Azure Information Protection skeneru?You might be wondering: What’s the difference between Windows Server FCI and the Azure Information Protection scanner?

KomentářeComments

Před přidáním komentáře se podívejte na naše pravidla organizace.Before commenting, we ask that you review our House rules.