Ochrana službou RMS s využitím infrastruktury klasifikace souborů (FCI) Windows Serveru

  • Článek

V tomto článku najdete pokyny a skript pro použití klienta služby Azure Information Protection a PowerShellu ke konfiguraci Správce prostředků souborového serveru a infrastruktury klasifikace souborů (FCI).

Toto řešení umožňuje automaticky chránit všechny soubory ve složce na souborovém serveru se systémem Windows Server nebo automaticky chránit soubory, které splňují určitá kritéria. Například soubory, které byly klasifikovány jako důvěrné nebo citlivé informace. Toto řešení se připojuje přímo ke službě Azure Rights Management ze služby Azure Information Protection, aby chránilo soubory, takže musíte mít tuto službu nasazenou pro vaši organizaci.

Poznámka:

Přestože Azure Information Protection obsahuje konektor, který podporuje infrastrukturu klasifikace souborů, toto řešení podporuje pouze nativní ochranu – například soubory Office.

Pokud chcete podporovat více typů souborů s infrastrukturou klasifikace souborů Windows Serveru, musíte použít modul PowerShell AzureInformationProtection , jak je uvedeno v tomto článku. Rutiny Azure Information Protection, jako je klient služby Azure Information Protection, podporují obecnou ochranu i nativní ochranu, což znamená, že je možné chránit jiné typy souborů než dokumenty Office. Další informace najdete v tématu Typy souborů podporované klientem služby Azure Information Protection v průvodci správcem klienta služby Azure Information Protection.

Následující pokyny platí pro Windows Server 2012 R2 nebo Windows Server 2012. Pokud používáte jiné podporované verze Windows, možná budete muset upravit některé kroky pro rozdíly mezi verzí operačního systému a verzí operačního systému, které jsou popsané v tomto článku.

Požadavky na ochranu Azure Rights Management pomocí FCI Windows Serveru

Požadavky pro tyto pokyny:

  • Na každém souborového serveru, na kterém spustíte Správce prostředků souborů s infrastrukturou klasifikace souborů:

    • Nainstalovali jste Správce prostředků souborového serveru jako jednu ze služeb rolí pro roli Souborová služba.

    • Identifikovali jste místní složku, která obsahuje soubory pro ochranu pomocí služby Rights Management. Například C:\FileShare.

    • Nainstalovali jste modul AzureInformationProtection PowerShell a nakonfigurovali požadavky pro tento modul pro připojení ke službě Azure Rights Management.

      Modul AzureInformationProtection PowerShell je součástí klienta služby Azure Information Protection. Pokyny k instalaci najdete v tématu Instalace klienta služby Azure Information Protection pro uživatele z příručky pro správce služby Azure Information Protection. V případě potřeby můžete pomocí parametru nainstalovat jenom modul PowerShellu PowerShellOnly=true .

      Požadavky pro použití tohoto modulu PowerShellu zahrnují aktivaci služby Azure Rights Management, vytvoření instančního objektu a úpravu registru, pokud je váš tenant mimo Severní Amerika. Než začnete s pokyny v tomto článku, ujistěte se, že máte hodnoty pro BposTenantId, AppPrincipalId a Symetrický klíč, jak je popsáno v těchto požadavcích.

    • Pokud chcete změnit výchozí úroveň ochrany (nativní nebo obecné) pro konkrétní přípony názvů souborů, upravili jste registr, jak je popsáno v části Změna výchozí úrovně ochrany souborů v průvodci správcem.

    • Máte připojení k internetu a nakonfigurovali jste nastavení počítače, pokud se vyžadují pro proxy server. Například: netsh winhttp import proxy source=ie

  • Synchronizovali jste své místní Active Directory uživatelské účty s Microsoft Entra ID nebo Microsoft 365, včetně jejich e-mailových adres. To se vyžaduje pro všechny uživatele, kteří můžou potřebovat přístup k souborům po jejich ochranu pomocí FCI a služby Azure Rights Management. Pokud tento krok neuděláte (například v testovacím prostředí), můžou být uživatelé zablokovaní v přístupu k těmto souborům. Pokud potřebujete další informace o tomto požadavku, přečtěte si téma Příprava uživatelů a skupin pro Azure Information Protection.

  • Tento scénář nepodporuje šablony oddělení, takže musíte použít šablonu, která není nakonfigurovaná pro obor, nebo použít rutinu Set-AipServiceTemplateProperty a parametr EnableInLegacyApps .

Pokyny ke konfiguraci FCI Správce prostředků souborového serveru pro ochranu Azure Rights Management

Podle těchto pokynů můžete automaticky chránit všechny soubory ve složce pomocí skriptu PowerShellu jako vlastní úlohy. Proveďte tyto postupy v tomto pořadí:

  1. Uložení skriptu PowerShellu

  2. Vytvoření vlastnosti klasifikace pro Rights Management (RMS)

  3. Vytvoření pravidla klasifikace (Klasifikace pro SLUŽBU RMS)

  4. Konfigurace plánu klasifikace

  5. Vytvoření vlastní úlohy správy souborů (ochrana souborů pomocí RMS)

  6. Otestujte konfiguraci ručním spuštěním pravidla a úlohy.

Na konci těchto pokynů se všechny soubory ve vybrané složce klasifikují s vlastní vlastností SLUŽBY RMS a tyto soubory pak budou chráněny službou Rights Management. Pro složitější konfiguraci, která selektivně chrání některé soubory, a ne jiné, můžete vytvořit nebo použít jinou vlastnost klasifikace a pravidlo s úlohou správy souborů, která chrání pouze tyto soubory.

Mějte na paměti, že pokud provedete změny šablony Rights Management, kterou používáte pro FCI, účet počítače, který spouští skript pro ochranu souborů, automaticky nezíská aktualizovanou šablonu. Uděláte to tak, že ve skriptu vyhledáte zakomentovaný Get-RMSTemplate -Force příkaz a odeberete # znak komentáře. Když se aktualizovaná šablona stáhne (skript se spustí alespoň jednou), můžete tento další příkaz okomentovat, aby se šablony zbytečně nestáhly pokaždé. Pokud jsou změny šablony dostatečně důležité k opětovnému nastavení ochrany souborů na souborovém serveru, můžete to provést interaktivně spuštěním rutiny Protect-RMSFile s účtem, který má pro soubory práva k použití exportu nebo úplné řízení. Musíte také spustit Get-RMSTemplate -Force , pokud publikujete novou šablonu, kterou chcete použít pro FCI.

Uložení skriptu Windows PowerShellu

  1. Zkopírujte obsah skriptu Prostředí Windows PowerShell pro ochranu Azure RMS pomocí Správce prostředků souborového serveru. Vložte obsah skriptu a pojmenujte soubor RMS-Protect-FCI.ps1 ve vlastním počítači.

  2. Zkontrolujte skript a proveďte následující změny:

    • Vyhledejte následující řetězec a nahraďte ho vlastním AppPrincipalId, který používáte s rutinou Set-RMSServerAuthentication pro připojení ke službě Azure Rights Management:

      <enter your AppPrincipalId here>

      Například skript může vypadat takto:

      [Parameter(Mandatory = $false)]

      [Parameter(Mandatory = $false)] [string]$AppPrincipalId = "b5e3f76a-b5c2-4c96-a594-a0807f65bba4",

    • Vyhledejte následující řetězec a nahraďte ho vlastním symetrickým klíčem, který používáte s rutinou Set-RMSServerAuthentication pro připojení ke službě Azure Rights Management:

      <enter your key here>

      Například skript může vypadat takto:

      [Parameter(Mandatory = $false)]

      [string]$SymmetricKey = "zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA="

    • Vyhledejte následující řetězec a nahraďte ho vlastním ID tenanta BposTenantId (ID tenanta), který používáte s rutinou Set-RMSServerAuthentication pro připojení ke službě Azure Rights Management:

      <enter your BposTenantId here>

      Například skript může vypadat takto:

      [Parameter(Mandatory = $false)]

      [string]$BposTenantId = "23976bc6-dcd4-4173-9d96-dad1f48efd42",

  3. Podepište skript. Pokud skript nepodepíšete (bezpečnější), musíte nakonfigurovat Prostředí Windows PowerShell na serverech, na kterých běží. Například spusťte relaci Prostředí Windows PowerShell s možností Spustit jako Správa istrator a zadejte: Set-ExecutionPolicy RemoteSigned. Tato konfigurace ale umožňuje, aby se všechny nepodepsané skripty spouštěly, když jsou uložené na tomto serveru (méně bezpečné).

    Další informace o podepisování skriptů Windows PowerShellu najdete v tématu about_Signing v knihovně dokumentace k PowerShellu.

  4. Uložte soubor místně na každém souborovém serveru, na kterém běží Správce prostředků souborů s infrastrukturou klasifikace souborů. Například soubor uložte do složky C:\RMS-Protection. Pokud použijete jinou cestu nebo název složky, zvolte cestu a složku, která neobsahuje mezery. Tento soubor zabezpečte pomocí oprávnění NTFS, aby ho neoprávnění uživatelé nemohli upravovat.

Teď jste připraveni začít konfigurovat Správce prostředků souborového serveru.

Vytvoření vlastnosti klasifikace pro Rights Management (RMS)

  • Ve Správci prostředků souborového serveru ve správě klasifikace vytvořte novou místní vlastnost:

    • Název: Zadejte RMS

    • Popis: Ochrana služby Rights Management typu

    • Typ vlastnosti: Vyberte Ano/Ne.

    • Hodnota: Vyberte Ano.

Teď můžeme vytvořit pravidlo klasifikace, které tuto vlastnost používá.

Vytvoření pravidla klasifikace (Klasifikace pro SLUŽBU RMS)

  • Vytvořte nové pravidlo klasifikace:

    • Na kartě Obecné:

      • Název: Klasifikace typu pro RMS

      • Povoleno: Ponechte výchozí hodnotu, což znamená, že je toto políčko zaškrtnuté.

      • Popis: Zadejte Klasifikovat všechny soubory ve <složce s názvem> složky pro Rights Management.

        Nahraďte <název> složky zvoleným názvem složky. Klasifikace všech souborů ve složce C:\FileShare pro Rights Management

      • Obor: Přidejte zvolenou složku. Například C:\FileShare.

        Nezaškrtávejte políčka.

    • Na kartě Klasifikace:

    • Metoda klasifikace: Výběr klasifikátoru složek

    • Název vlastnosti : Výběr RMS

    • Hodnota vlastnosti: Vyberte Ano

I když pravidla klasifikace můžete spouštět ručně, pro probíhající operace chcete toto pravidlo spustit podle plánu, aby se nové soubory klasifikují pomocí vlastnosti RMS.

Konfigurace plánu klasifikace

  • Na kartě Automatická klasifikace:

    • Povolit pevný plán: Zaškrtněte toto políčko.

    • Nakonfigurujte plán pro spuštění všech pravidel klasifikace, která zahrnují naše nové pravidlo pro klasifikaci souborů s vlastností RMS.

    • Povolit průběžnou klasifikaci nových souborů: Zaškrtněte toto políčko, aby byly nové soubory klasifikovány.

    • Volitelné: Proveďte všechny požadované změny, například nakonfigurujte možnosti pro sestavy a oznámení.

Teď jste dokončili konfiguraci klasifikace, jste připraveni nakonfigurovat úlohu správy, která použije ochranu RMS u souborů.

Vytvoření vlastní úlohy správy souborů (ochrana souborů pomocí RMS)

  • V úlohách správy souborů vytvořte novou úlohu správy souborů:

    • Na kartě Obecné:

      • Název úlohy: Type Protect files with RMS

      • Políčko Povolit ponechte zaškrtnuté.

      • Popis: Type Protect files in <folder name> with Rights Management and a template by using a Windows PowerShell script.

        Nahraďte <název> složky zvoleným názvem složky. Ochrana souborů ve složce C:\FileShare pomocí služby Rights Management a šablony pomocí skriptu Windows PowerShellu

      • Obor: Vyberte zvolenou složku. Například C:\FileShare.

        Nezaškrtávejte políčka.

    • Na kartě Akce:

      • Typ: Vybrat vlastní

      • Spustitelný soubor: Zadejte následující:

        C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

        Pokud systém Windows není na jednotce C:, upravte tuto cestu nebo přejděte k tomuto souboru.

      • Argument: Zadejte následující hodnoty a zadejte vlastní hodnoty pro <cestu> a <ID> šablony:

        -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID <template GUID> -OwnerMail '[Source File Owner Email]'"

        Pokud jste například zkopírovali skript do složky C:\RMS-Protection a ID šablony, které jste identifikovali z požadavků, je e6ee2481-26b9-45e5-b34a-f744eacd53b0, zadejte následující:

        -Noprofile -Command "C:\RMS-Protection\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerMail '[Source File Owner Email]'"

        V tomto příkazu jsou [Cesta ke zdrojovému souboru] a [E-mail vlastníka zdrojového souboru] obě proměnné specifické pro FCI, takže je zadejte přesně tak, jak se zobrazují v předchozím příkazu. První proměnnou používá FCI k automatickému určení identifikovaného souboru ve složce a druhá proměnná slouží k automatickému načtení e-mailové adresy pojmenovaného vlastníka identifikovaného souboru. Tento příkaz se opakuje pro každý soubor ve složce, který je v našem příkladu každý soubor ve složce C:\FileShare, který má navíc RMS jako vlastnost klasifikace souborů.

        Poznámka:

        Parametr -OwnerMail [Email vlastníka zdrojového souboru] a hodnota zajistí, že původní vlastník souboru bude po jeho chránění udělen vlastníkem služby Rights Management. Tato konfigurace zajišťuje, že původní vlastník souboru má všechna práva Rights Management k vlastním souborům. Při vytváření souborů uživatelem domény se e-mailová adresa automaticky načte ze služby Active Directory pomocí názvu uživatelského účtu ve vlastnosti Vlastník souboru. K tomu musí být souborový server ve stejné doméně nebo důvěryhodné doméně jako uživatel.

        Pokud je to možné, přiřaďte původním vlastníkům chráněné dokumenty, abyste zajistili, že tito uživatelé budou mít plnou kontrolu nad soubory, které vytvořili. Pokud ale použijete proměnnou [Source File Owner Email] jako v předchozím příkazu a soubor nemá uživatele domény definovaného jako vlastník (například k vytvoření souboru byl použit místní účet, takže vlastník zobrazí SYSTEM), skript selže.

        U souborů, které nemají uživatele domény jako vlastníka, můžete tyto soubory buď zkopírovat a uložit sami jako uživatele domény, abyste se stali vlastníkem pouze těchto souborů. Nebo pokud máte oprávnění, můžete vlastníka změnit ručně. Případně můžete místo proměnné [E-mail vlastníka zdrojového souboru] zadat konkrétní e-mailovou adresu (například vlastní nebo skupinu pro IT oddělení), což znamená, že všechny soubory, které chráníte pomocí tohoto skriptu, používají tuto e-mailovou adresu k definování nového vlastníka.

    • Spusťte příkaz jako: Vybrat místní systém.

    • Na kartě Podmínka:

      • Vlastnost: Výběr RMS

      • Operátor: Vybrat rovná se

      • Hodnota: Vyberte Ano.

    • Na kartě Plán:

      • Spusťte na adrese: Nakonfigurujte upřednostňovaný plán.

        Počkejte dostatek času na dokončení skriptu. I když toto řešení chrání všechny soubory ve složce, skript se pokaždé spustí jednou pro každý soubor. I když to trvá déle, než chrání všechny soubory současně, což klient služby Azure Information Protection podporuje, je tato konfigurace souborů pro FCI výkonnější. Chráněné soubory můžou mít například různé vlastníky (zachovat původního vlastníka) při použití proměnné [E-mail vlastníka zdrojového souboru] a tato akce souboru po souboru se vyžaduje, pokud později změníte konfiguraci tak, aby selektivně chránila soubory místo všech souborů ve složce.

      • Spouštět nepřetržitě u nových souborů: Zaškrtněte toto políčko.

Otestujte konfiguraci ručním spuštěním pravidla a úlohy.

  1. Spusťte pravidlo klasifikace:

    1. Klikněte na Spustit klasifikaci pravidel>klasifikace se všemi pravidly.

    2. Klepněte na tlačítko Počkat na dokončení klasifikace a klepněte na tlačítko OK.

  2. Počkejte na zavření dialogového okna Spuštěná klasifikace a zobrazení výsledků v automaticky zobrazené sestavě. Měli byste vidět hodnotu 1 pro pole Vlastnosti a počet souborů ve složce. Potvrďte to tak, že použijete Průzkumník souborů a zkontrolujete vlastnosti souborů ve zvolené složce. Na kartě Klasifikace byste měli vidět SLUŽBU RMS jako název vlastnosti a ano pro její hodnotu.

  3. Spusťte úlohu správy souborů:

    1. Click File Management Tasks>Protect files with RMS>Run File Management Task Now

    2. Klepněte na tlačítko Počkat na dokončení úkolu a klepněte na tlačítko OK.

  4. Počkejte na zavření dialogového okna Spuštěná úloha správy souborů a pak zobrazte výsledky v automaticky zobrazené sestavě. V poli Soubory by se měl zobrazit počet souborů, které jsou ve zvolené složce. Potvrďte, že soubory ve zvolené složce jsou teď chráněné službou Rights Management. Pokud je například zvolená složka C:\FileShare, zadejte v relaci Windows PowerShellu následující příkaz a potvrďte, že žádné soubory nemají stav Nechráněný:

    foreach ($file in (Get-ChildItem -Path C:\FileShare -Force | where {!$_.PSIsContainer})) {Get-RMSFileStatus -f $file.PSPath}

    Tip

    Některé tipy pro řešení potíží:

    • Pokud se v sestavě místo počtu souborů ve složce zobrazí hodnota 0 , znamená to, že se skript nespusl. Nejprve zkontrolujte samotný skript tak, že ho načtete do prostředí Windows PowerShell ISE, abyste ověřili obsah skriptu a zkuste ho spustit jednou ve stejné relaci PowerShellu, abyste zjistili, jestli se zobrazí nějaké chyby. Bez zadaných argumentů se skript pokusí připojit ke službě Azure Rights Management a ověřit je.

      • Pokud skript hlásí, že se nemohl připojit ke službě Azure Rights Management (Azure RMS), zkontrolujte hodnoty, které se zobrazí pro účet instančního objektu, který jste zadali ve skriptu. Další informace o tom, jak vytvořit tento účet instančního objektu, najdete v tématu Požadavky 3: Ochrana nebo zrušení ochrany souborů bez zásahu z příručky pro správu klienta služby Azure Information Protection.
      • Pokud skript hlásí, že se může připojit ke službě Azure RMS, zkontrolujte, jestli může najít zadanou šablonu spuštěním rutiny Get-RMSTemplate přímo z Windows PowerShellu na serveru. Měla by se zobrazit šablona, kterou jste zadali ve výsledcích.

    • Pokud samotný skript běží v prostředí Windows PowerShell ISE bez chyb, zkuste ho spustit následujícím způsobem z relace PowerShellu a zadejte název souboru pro ochranu a bez parametru -OwnerEmail:

      powershell.exe -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '<full path and name of a file>' -TemplateID <template GUID>"

      • Pokud se skript úspěšně spustí v této relaci Prostředí Windows PowerShell, zkontrolujte položky pro členy Executive a Argument v akci úlohy správy souborů. Pokud jste zadali parametr -OwnerEmail [e-mail vlastníka zdrojového souboru], zkuste tento parametr odebrat.

        Pokud úloha správy souborů funguje úspěšně bez -OwnerEmail [e-mail vlastníka zdrojového souboru], zkontrolujte, zda mají nechráněné soubory uživatele domény uvedené jako vlastník souboru, a ne SYSTEM. Chcete-li provést tuto kontrolu, použijte kartu Zabezpečení pro vlastnosti souboru a klepněte na tlačítko Upřesnit. Hodnota Vlastník se zobrazí hned za názvem souboru. Ověřte také, že je souborový server ve stejné doméně nebo důvěryhodné doméně a vyhledá e-mailovou adresu uživatele ze služby Doména služby Active Directory Services.

    • Pokud se v sestavě zobrazí správný počet souborů, ale soubory nejsou chráněné, zkuste soubory chránit ručně pomocí rutiny Protect-RMSFile , abyste zjistili, jestli se zobrazí nějaké chyby.

Po potvrzení úspěšného spuštění těchto úloh můžete Správce prostředků souborů zavřít. Nové soubory se automaticky klasifikují a chrání při spuštění naplánovaných úloh.

Vyžaduje se akce, pokud provedete změny v šabloně Rights Management.

Pokud provedete změny v šabloně Rights Management, na kterou odkazuje skript, účet počítače, na kterém je spuštěný skript pro ochranu souborů, automaticky nezískají aktualizovanou šablonu. Ve skriptu vyhledejte příkaz s komentářem Get-RMSTemplate -Force ve funkci Set-RMS Připojení ion a odeberte znak komentáře na začátku řádku. Při příštím spuštění skriptu se aktualizovaná šablona stáhne. Pokud chcete optimalizovat výkon, aby se šablony zbytečně nestáhly, můžete tento řádek znovu okomentovat.

Pokud jsou změny šablony dostatečně důležité k opětovnému nastavení ochrany souborů na souborovém serveru, můžete to provést interaktivně spuštěním rutiny Protect-RMSFile s účtem, který má pro soubory práva k použití exportu nebo úplné řízení.

Tento řádek také spusťte ve skriptu, pokud publikujete novou šablonu, kterou chcete použít pro FCI, a změňte ID šablony na řádku argumentu pro vlastní úlohu správy souborů.

Úprava pokynů pro selektivní ochranu souborů

Pokud máte předchozí pokyny, je pak snadné je upravit pro sofistikovanější konfiguraci. Můžete například chránit soubory pomocí stejného skriptu, ale pouze pro soubory, které obsahují osobní identifikovatelné informace, a třeba vybrat šablonu, která má více omezující práva.

Pokud chcete tuto změnu provést, použijte některou z předdefinovaných vlastností klasifikace (například identifikovatelné osobní údaje) nebo vytvořte vlastní novou vlastnost. Pak vytvořte nové pravidlo, které používá tuto vlastnost. Můžete například vybrat klasifikátor obsahu, zvolit vlastnost Identifikovatelné osobní údaje s hodnotou Vysoká a nakonfigurovat řetězec nebo vzor výrazu, který identifikuje soubor, který má být nakonfigurován pro tuto vlastnost (například řetězec "Datum narození").

Teď stačí vytvořit novou úlohu správy souborů, která používá stejný skript, ale možná s jinou šablonou, a nakonfigurovat podmínku pro vlastnost klasifikace, kterou jste právě nakonfigurovali. Například místo podmínky, kterou jsme nakonfigurovali dříve (vlastnost RMS , Rovná se, Ano), vyberte vlastnost Identifikovatelné osobní údaje s hodnotou Operátor nastavenou na Rovná se a HodnotaVysoká.

Další kroky

Možná vás zajímá: Jaký je rozdíl mezi FCI Windows Serveru a skenerem Azure Information Protection?