RMS-Schutz mit Windows Server-Dateiklassifizierungsinfrastruktur (File Classification Infrastructure, FCI)RMS protection with Windows Server File Classification Infrastructure (FCI)

Gilt für: Azure Information Protection, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2Applies to: Azure Information Protection, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2

Anweisungen für: Azure Information Protection-Client für WindowsInstructions for: Azure Information Protection client for Windows

Dieser Artikel enthält Anweisungen und ein Skript zur Verwendung mit dem Azure Information Protection-Client und PowerShell zum Konfigurieren des Ressourcen-Managers für Dateiserver und der Dateiklassifizierungsinfrastruktur (FCI).Use this article for instructions and a script to use the Azure Information Protection client and PowerShell to configure File Server Resource Manager and File Classification Infrastructure (FCI).

Mit dieser Lösung können Sie automatisch alle Dateien in einem Ordner auf einem Dateiserver unter Windows Server oder automatisch Dateien schützen, die bestimmten Kriterien entsprechen.This solution lets you automatically protect all files in a folder on a file server running Windows Server, or automatically protect files that meet a specific criteria. Das sind z. B. Dateien, die vertrauliche Informationen enthalten und entsprechend klassifiziert wurden.For example, files that have been classified as containing confidential or sensitive information. Diese Lösung stellt eine direkte Verbindung mit dem Azure Rights Management-Dienst von Azure Information Protection her, um die Dateien zu schützen, daher müssen Sie diesen Dienst für Ihre Organisation bereitgestellt haben.This solution connects directly to the Azure Rights Management service from Azure Information Protection to protect the files, so you must have this service deployed for your organization.

Hinweis

Obwohl Azure Information Protection einen Connector enthält, der die Datei Klassifizierungs Infrastruktur unterstützt, unterstützt diese Lösung nur systemeigenen Schutz, z. –. Office-Dateien.Although Azure Information Protection includes a connector that supports File Classification Infrastructure, that solution supports native protection only—for example, Office files.

Um mehrere Dateitypen mit der Dateiklassifizierungsinfrastruktur von Windows Server zu unterstützen, müssen Sie das Windows PowerShell-Modul AzureInformationProtection verwenden, wie in diesem Artikel beschrieben wird.To support multiple file types with Windows Server file classification infrastructure, you must use the PowerShell AzureInformationProtection module, as documented in this article. Die Azure Information Protection-Cmdlets unterstützen wie der Azure Information Protection-Client den generischen als auch systemeigenen Schutz, was bedeutet, dass außer Office-Dokumenten auch andere Dateitypen geschützt werden können.The Azure Information Protection cmdlets, like the Azure Information Protection client, support generic protection as well as native protection, which means that file types other than Office documents can be protected. Weitere Informationen finden Sie unter Vom Azure Information Protection-Client unterstützte Dateitypen im Administratorhandbuch für den Azure Information Protection-Client.For more information, see File types supported by the Azure Information Protection client from the Azure Information Protection client admin guide.

Die folgenden Anleitungen gelten für Windows Server 2012 R2 oder Windows Server 2012.The instructions that follow are for Windows Server 2012 R2 or Windows Server 2012. Wenn Sie andere unterstützte Versionen von Windows ausführen, müssen Sie möglicherweise einige Schritte aufgrund der Unterschiede zwischen der Version Ihres Betriebssystems und der in diesem Artikel beschriebenen Version anpassen.If you run other supported versions of Windows, you might need to adapt some of the steps for differences between your operating system version and the one documented in this article.

Voraussetzungen für Azure Rights Management-Schutz mit Windows Server FCIPrerequisites for Azure Rights Management protection with Windows Server FCI

Voraussetzungen für diese Anweisungen:Prerequisites for these instructions:

  • Auf jedem Dateiserver, auf dem Sie den Dateiressourcen-Manager mit Dateiklassifizierungsinfrastruktur ausführen:On each file server where you will run File Resource Manager with file classification infrastructure:

    • Sie haben den Dateiressourcen-Manager als einen der Rollendienste für die Dateidiensterolle installiert .You have installed File Server Resource Manager as one of the role services for the File Services role.

    • Sie haben einen lokalen Ordner identifiziert, der Dateien enthält, die mit Rights Management geschützt werden sollen.You have identified a local folder that contains files to protect with Rights Management. Beispielsweise „C:\FileShare“.For example, C:\FileShare.

    • Sie haben das PowerShell-Modul „AzureInformationProtection“ installiert und die erforderlichen Komponenten für dieses Modul konfiguriert, um eine Verbindung mit dem Azure Rights Management-Dienst herzustellen.You have installed the AzureInformationProtection PowerShell module and configured the prerequisites for this module to connect to the Azure Rights Management service.

      Das PowerShell-Modul „AzureInformationProtection“ ist im Azure Information Protection-Client inbegriffen.The AzureInformationProtection PowerShell module is included with the Azure Information Protection client. Eine Installationsanleitung finden Sie im Azure Information Protection-Administratorhandbuch unter Install the Azure Information Protection client for users (Installieren des Azure Information Protection-Clients für Benutzer).For installation instructions, see Install the Azure Information Protection client for users from the Azure Information Protection admin guide. Bei Bedarf können Sie das PowerShell-Modul mithilfe des Parameters PowerShellOnly=true installieren.If required, you can install just the PowerShell module by using the PowerShellOnly=true parameter.

      Zu den Voraussetzungen für die Verwendung dieses PowerShell-Moduls gehören das Aktivieren des Azure Rights Management-Diensts, das Erstellen eines Dienstprinzipals und das Bearbeiten der Registrierung, sofern sich Ihr Mandant außerhalb von Nordamerika befindet.The prerequisites for using this PowerShell module include activating the Azure Rights Management service, creating a service principal, and editing the registry if your tenant is outside North America. Bevor Sie mit der Durchführung der Anweisungen in diesem Artikel beginnen, stellen Sie sicher, dass Sie Werte für BposTenantId, AppPrincipalId und Symmetrischer Schlüssel festgelegt haben, wie in diesen Voraussetzungen beschrieben wird.Before you start the instructions in this article, make sure that you have values for your BposTenantId, AppPrincipalId, and Symmetric key, as documented in these prerequisites.

    • Wenn Sie die Standardstufe des Schutzes (systemeigen oder generisch) für bestimmte Dateinamenserweiterungen ändern möchten, haben Sie die Registrierung bearbeitet, wie in der Anleitung Ändern der Standardschutzebene von Dateien beschrieben wird.If you want to change the default level of protection (native or generic) for specific file name extensions, you have edited the registry as described in the Changing the default protection level of files section from the admin guide.

    • Sie verfügen über eine Internetverbindung, und Sie haben Ihre Computereinstellungen konfiguriert, wenn diese für einen Proxy Server erforderlich sind.You have an internet connection, and you have configured your computer settings if these are required for a proxy server. Beispiel: netsh winhttp import proxy source=ieFor example: netsh winhttp import proxy source=ie

  • Sie haben Ihre lokalen Active Directory-Benutzerkonten, einschließlich ihrer E-Mail-Adressen, mit Azure Active Directory oder Office 365 synchronisiert.You have synchronized your on-premises Active Directory user accounts with Azure Active Directory or Office 365, including their email addresses. Dies ist für alle Benutzer erforderlich, die möglicherweise auf Dateien zugreifen müssen, nachdem diese mit FCI und dem Azure Rights Management-Dienst geschützt wurden.This is required for all users that might need to access files after they are protected by FCI and the Azure Rights Management service. Wenn Sie diesen Schritt nicht ausführen (z.B. in einer Testumgebung), kann der Benutzerzugriff auf diese Dateien möglicherweise blockiert werden.If you do not do this step (for example, in a test environment), users might be blocked from accessing these files. Weitere Informationen zu den Anforderungen finden Sie unter Vorbereiten von Benutzern und Gruppen für Azure Information Protection.If you need more information about this requirement, see Preparing users and groups for Azure Information Protection.

  • Dieses Szenario unterstützt keine Abteilungs Vorlagen, sodass Sie entweder eine Vorlage verwenden müssen, die nicht für einen Bereich konfiguriert ist, oder Sie verwenden das Cmdlet " Set-aipservicetemplateproperty " und den Parameter " enableinlegacyapps ".This scenario does not support departmental templates so you must either use a template that is not configured for a scope, or use the Set-AipServiceTemplateProperty cmdlet and the EnableInLegacyApps parameter.

Anweisungen zum Konfigurieren der Ressourcen-Manager für Dateiserver-FCI für den Azure Rights Management-SchutzInstructions to configure File Server Resource Manager FCI for Azure Rights Management protection

Folgen Sie diesen Anweisungen, um mithilfe eines PowerShell-Skripts als benutzerdefinierte Aufgabe alle Dateien in einem Ordner zu schützen.Follow these instructions to automatically protect all files in a folder, by using a PowerShell script as a custom task. Führen Sie diese Verfahren in folgender Reihenfolge aus:Do these procedures in this order:

  1. Speichern des PowerShell-SkriptsSave the PowerShell script

  2. Erstellen einer Klassifizierungseigenschaft für Rights Management (RMS)Create a classification property for Rights Management (RMS)

  3. Erstellen einer Klassifizierungsregel (Klassifizierung für RMS)Create a classification rule (Classify for RMS)

  4. Konfigurieren des KlassifizierungszeitplansConfigure the classification schedule

  5. Erstellen einer benutzerdefinierten Dateiverwaltungsaufgabe (Schützen von Dateien mit RMS)Create a custom file management task (Protect files with RMS)

  6. Testen der Konfiguration durch manuelles Ausführen der Regel und der AufgabeTest the configuration by manually running the rule and task

Am Ende dieser Anweisungen sind alle Dateien im ausgewählten Ordner mit der benutzerdefinierten Eigenschaft von RMS klassifiziert, und diese Dateien werden dann durch Rights Management geschützt.At the end of these instructions, all files in your selected folder will be classified with the custom property of RMS, and these files will then be protected by Rights Management. Dann können Sie für eine komplexere Konfiguration, die nur bestimmte Dateien selektiv schützt, eine andere Klassifizierungseigenschaft und -regel mit einer Dateiverwaltungsaufgabe, die nur diese Dateien schützt, erstellen oder verwenden.For a more complex configuration that selectively protects some files and not others, you can then create or use a different classification property and rule, with a file management task that protects just those files.

Beachten Sie, dass bei Änderungen an der Rights Management-Vorlage für die Dateiklassifizierungsinfrastruktur das Computerkonto, das das Skript zum Schutz der Dateien ausführt, nicht automatisch die aktualisierte Vorlage abruft.Note that if you make changes to the Rights Management template that you use for FCI, the computer account that runs the script to protect the files does not automatically get the updated template. Damit das geschieht, entfernen Sie das Kommentarzeichen # aus dem auskommentierten Befehl Get-RMSTemplate -Force.To do so, in the script, locate the commented out Get-RMSTemplate -Force command, and remove the # comment character. Wenn die aktualisierte Vorlage heruntergeladen wurde (das Skript wurde mindestens einmal ausgeführt), können Sie diesen zusätzlichen Befehl auskommentieren, damit die Vorlagen nicht jedes Mal erneut heruntergeladen werden.When the updated template is downloaded (the script has run at least one time), you can comment out this additional command so that the templates are not unnecessarily downloaded each time. Wenn die Änderungen an der Vorlage wichtig genug sind, um die Dateien auf dem Dateiserver erneut zu schützen, können Sie hierzu das „Protect-RMSFile“-Cmdlet interaktiv mit einem Konto ausführen, das für die Dateien über die Nutzungsrechte „Exportieren“ oder „Vollzugriff“ verfügt.If the changes to the template are important enough to reprotect the files on the file server, you can do this interactively by running the Protect-RMSFile cmdlet with an account that has the Export or Full Control usage rights for the files. Sie müssen auch Get-RMSTemplate -Force ausführen, wenn Sie eine neue Vorlage veröffentlichen, die Sie für die Dateiklassifizierungsinfrastruktur verwenden möchten.You must also run Get-RMSTemplate -Force if you publish a new template that you want to use for FCI.

Speichern des Windows PowerShell-SkriptsSave the Windows PowerShell script

  1. Kopieren Sie die Inhalte des Windows PowerShell-Skripts für Azure RMS-Schutz mithilfe der Ressourcen-Manager für Dateiserver.Copy the contents of the Windows PowerShell script for Azure RMS protection by using File Server Resource Manager. Fügen Sie die Inhalts des Skripts ein, und benennen Sie die Datei auf Ihrem Computer RMS-Protect-FCI.ps1.Paste the contents of the script and name the file RMS-Protect-FCI.ps1 on your own computer.

  2. Sehen Sie sich das Skript an, und nehmen Sie folgende Änderungen vor:Review the script and make the following changes:

    • Suchen Sie nach der folgenden Zeichenfolge, und ersetzen Sie sie durch Ihre eigene „AppPrincipalId“, die Sie mit dem Cmdlet Set-RMSServerAuthentication für die Verbindung mit dem Azure Rights Management-Dienst verwenden:Search for the following string and replace it with your own AppPrincipalId that you use with the Set-RMSServerAuthentication cmdlet to connect to the Azure Rights Management service:

      <enter your AppPrincipalId here>
      

      Das Skript könnte beispielsweise folgendermaßen aussehen:For example, the script might look like this:

      [Parameter(Mandatory = $false)]

      [Parameter(Mandatory = $false)] [string]$AppPrincipalId = "b5e3f76a-b5c2-4c96-a594-a0807f65bba4",

    • Suchen Sie nach der folgenden Zeichenfolge, und ersetzen Sie sie durch Ihren eigenen symmetrischen Schlüssel, den Sie mit dem Cmdlet Set-RMSServerAuthentication für die Verbindung mit dem Azure Rights Management-Dienst verwenden:Search for the following string and replace it with your own symmetric key that you use with the Set-RMSServerAuthentication cmdlet to connect to the Azure Rights Management service:

      <enter your key here>
      

      Das Skript könnte beispielsweise folgendermaßen aussehen:For example, the script might look like this:

      [Parameter(Mandatory = $false)]

      [string]$SymmetricKey = "zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA="

    • Suchen Sie nach der folgenden Zeichenfolge, und ersetzen Sie sie durch Ihre eigene BposTenantId (Mandanten-ID), die Sie mit dem Cmdlet Set-RMSServerAuthentication für die Verbindung mit dem Azure Rights Management-Dienst verwenden:Search for the following string and replace it with your own BposTenantId (tenant ID) that you use with the Set-RMSServerAuthentication cmdlet to connect to the Azure Rights Management service:

      <enter your BposTenantId here>
      

      Das Skript könnte beispielsweise folgendermaßen aussehen:For example, the script might look like this:

      [Parameter(Mandatory = $false)]

      [string]$BposTenantId = "23976bc6-dcd4-4173-9d96-dad1f48efd42",

  3. Signieren Sie das Skript.Sign the script. Sollten Sie das Skript nicht signieren (sicherer), müssen Sie Windows PowerShell auf den Servern konfigurieren, auf denen es ausgeführt wird.If you do not sign the script (more secure), you must configure Windows PowerShell on the servers that run it. Führen Sie beispielsweise eine Windows PowerShell-Sitzung mit der Option Als Administrator ausführen aus, und geben Sie Folgendes ein: Set-ExecutionPolicy RemoteSigned.For example, run a Windows PowerShell session with the Run as Administrator option, and type: Set-ExecutionPolicy RemoteSigned. Diese Konfiguration ermöglicht allerdings die Ausführung aller unsignierten Skripts, wenn diese auf diesem Server gespeichert sind (weniger sicher).However, this configuration lets all unsigned scripts run when they are stored on this server (less secure).

    Weitere Informationen zum Signieren von Windows PowerShell-Skripts finden Sie in der PowerShell-Dokumentationsbibliothek unter about_Signing.For more information about signing Windows PowerShell scripts, see about_Signing in the PowerShell documentation library.

  4. Speichern Sie die Datei lokal auf jedem Dateiserver, auf dem Sie den Dateiressourcen-Manager mit Dateiklassifizierungsinfrastruktur ausführen:Save the file locally on each file server that runs File Resource Manager with file classification infrastructure. Speichern Sie die Datei beispielsweise unter C:\RMS-Protection.For example, save the file in C:\RMS-Protection. Wenn Sie einen anderen Pfad oder Ordnernamen verwenden, wählen Sie einen Pfad und einen Ordner, der keine Leerzeichen enthält.If you use a different path or folder name, choose a path and folder that does not include spaces. Sichern Sie diese Datei mithilfe von NTFS-Berechtigungen, damit sie nur von autorisierten Benutzern geändert werden kann.Secure this file by using NTFS permissions so that unauthorized users cannot modify it.

Sie können jetzt mit der Konfiguration des Ressourcen-Managers für Dateiserver beginnen.You're now ready to start configuring File Server Resource Manager.

Erstellen einer Klassifizierungseigenschaft für Rights Management (RMS)Create a classification property for Rights Management (RMS)

  • Erstellen Sie im Ressourcen-Manager für Dateiserver in der Klassifizierungsverwaltung eine neue lokale Eigenschaft:In File Server Resource Manager, Classification Management, create a new local property:

    • Name: Geben Sie RMSName: Type RMS

    • Beschreibung: Geben Sie Rights Management-SchutzDescription: Type Rights Management protection

    • Eigenschaftstyp: Wählen Sie Ja/NeinProperty Type: Select Yes/No

    • Wert: Wählen Sie JaValue: Select Yes

Wir können nun eine Klassifizierungsregel erstellen, die diese Eigenschaft verwendet.We can now create a classification rule that uses this property.

Erstellen einer Klassifizierungsregel (Klassifizierung für RMS)Create a classification rule (Classify for RMS)

  • Erstellen Sie eine neue Klassifizierungsregel:Create a new classification rule:

    • Auf der Registerkarte Allgemein:On the General tab:

      • Name: Geben Sie Für RMS klassifizierenName: Type Classify for RMS

      • Enabled: Behalten Sie die Standardeinstellung bei (das Kontrollkästchen ist aktiviert).Enabled: Keep the default, which is that this checkbox is selected.

      • Beschreibung: Geben Sie alle Dateien im Ordner < namens > Ordner für Rights Management klassifizierenein.Description: Type Classify all files in the <folder name> folder for Rights Management.

        Ersetzen Sie den * < Ordnernamen > * durch ihren gewählten Ordnernamen.Replace <folder name> with your chosen folder name. Beispiel: Alle Dateien im Ordner C:\FileShare für Rights Management klassifizierenFor example, Classify all files in the C:\FileShare folder for Rights Management

      • Umfang: Fügen Sie den ausgewählten Ordner hinzu.Scope: Add your chosen folder. Beispiel: C:\FileShare.For example, C:\FileShare.

        Aktivieren Sie keine Kontrollkästchen.Do not select the checkboxes.

    • Auf der Registerkarte Klassifizierung:On the Classification tab:

    • Klassifizierungsmethode: Wählen Sie OrdnerklassifizierungClassification method: Select Folder Classifier

    • Name derEigenschaft : Wählen Sie RMSaus.Property name: Select RMS

    • Wertder Eigenschaft: Wählen Sie Jaaus.Property value: Select Yes

Obwohl Sie die Klassifizierungsregeln manuell für den laufenden Betrieb ausführen können, sollten Sie diese Regel nach einem Zeitplan ausführen, damit neue Dateien mit der RMS-Eigenschaft klassifiziert werden.Although you can run the classification rules manually, for ongoing operations, you want this rule to run on a schedule so that new files are classified with the RMS property.

Konfigurieren des KlassifizierungszeitplansConfigure the classification schedule

  • Auf der Registerkarte Automatische Klassifizierung:On the Automatic Classification tab:

    • Festen Zeitplan aktivieren: Aktivieren Sie dieses Kontrollkästchen.Enable fixed schedule: Select this checkbox.

    • Konfigurieren Sie den Zeitplan für alle auszuführenden Klassifizierungsregeln, einschließlich unsere neue Regel, um Dateien mit der RMS-Eigenschaft zu klassifizieren.Configure the schedule for all classification rules to run, which includes our new rule to classify files with the RMS property.

    • Fortlaufende Klassifizierung für neue Dateien zulassen: Aktivieren Sie dieses Kontrollkästchen, damit neue Dateien klassifiziert werden.Allow continuous classification for new files: Select this check box so that new files are classified.

    • Optional: Nehmen Sie ggf. andere Änderungen vor, z. B. das Konfigurieren von Optionen für Berichte und Benachrichtigungen.Optional: Make any other changes that you want, such as configuring options for reports and notifications.

Nachdem Sie die Klassifizierungskonfiguration abgeschlossen haben, können Sie eine Verwaltungsaufgabe zum Anwenden des RMS-Schutzes auf die Dateien konfigurieren.Now you've completed the classification configuration, you're ready to configure a management task to apply the RMS protection to the files.

Erstellen einer benutzerdefinierten Dateiverwaltungsaufgabe (Schützen von Dateien mit RMS)Create a custom file management task (Protect files with RMS)

  • Erstellen Sie unter Dateiverwaltungsaufgaben eine neue Dateiverwaltungsaufgabe:In File Management Tasks, create a new file management task:

    • Auf der Registerkarte Allgemein:On the General tab:

      • Aufgabenname: Geben Sie Schützen von Dateien mit RMSTask name: Type Protect files with RMS

      • Vergewissern Sie sich, dass das Kontrollkästchen Aktivieren aktiviert ist.Keep the Enable checkbox selected.

      • Beschreibung: Geben Sie Schützen von Dateien in <Ordnername> mit Rights Management und einer Vorlage mit einem Windows PowerShell-Skript ein.Description: Type Protect files in <folder name> with Rights Management and a template by using a Windows PowerShell script.

        Ersetzen Sie den * < Ordnernamen > * durch ihren gewählten Ordnernamen.Replace <folder name> with your chosen folder name. Beispiel: Schützen von Dateien in C:\FileShare mit Rights Management und einer Vorlage mit einem Windows PowerShell-SkriptFor example, Protect files in C:\FileShare with Rights Management and a template by using a Windows PowerShell script

      • Umfang: Wählen Sie Ihren Ordner aus.Scope: Select your chosen folder. Beispiel: C:\FileShare.For example, C:\FileShare.

        Aktivieren Sie keine Kontrollkästchen.Do not select the checkboxes.

    • Auf der Registerkarte Aktion:On the Action tab:

      • Typ: Wählen Sie BenutzerdefiniertType: Select Custom

      • Ausführbare Datei: Geben Sie Folgendes an:Executable: Specify the following:

        C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
        

        Wenn sich Windows nicht auf Laufwerk C: befindet, ändern Sie diesen Pfad, oder navigieren Sie zu dieser Datei.If Windows is not on your C: drive, modify this path or browse to this file.

      • Argument: Geben Sie Folgendes an, und stellen Sie dabei Ihre eigenen Werte für <Pfad> und <Vorlagen-ID> bereit:Argument: Specify the following, supplying your own values for <path> and <template ID>:

        -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID <template GUID> -OwnerMail '[Source File Owner Email]'"
        

        Wenn Sie das Skript nach „C:\RMS-Protection“ kopiert haben und die aus den Voraussetzungen identifizierte Vorlagen-ID „e6ee2481-26b9-45e5-b34a-f744eacd53b0“ lautet, geben Sie beispielsweise Folgendes an:For example, if you copied the script to C:\RMS-Protection and the template ID you identified from the prerequisites is e6ee2481-26b9-45e5-b34a-f744eacd53b0, specify the following:

        -Noprofile -Command "C:\RMS-Protection\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerMail '[Source File Owner Email]'"

        In diesem Befehl sind [Quelldateipfad] und [Quelldateibesitzer-E-Mail] FCI-spezifische Variablen. Geben Sie diese also genau wie im vorherigen Befehl ein.In this command, [Source File Path] and [Source File Owner Email] are both FCI-specific variables, so type these exactly as they appear in the preceding command. Die erste Variable wird von FCI verwendet, um automatisch die identifizierte Datei im Ordner anzugeben, und die zweite Variable wird verwendet, damit FCI automatisch die E-Mail-Adresse des benannten Besitzers der identifizierten Datei abrufen kann.The first variable is used by FCI to automatically specify the identified file in the folder, and the second variable is for FCI to automatically retrieve the email address of the named Owner of the identified file. Dieser Befehl wird für jede Datei im Ordner wiederholt, in unserem Beispiel für jede Datei im Ordner „C:\FileShare“, die außerdem noch RMS als Dateiklassifizierungseigenschaft aufweist.This command is repeated for each file in the folder, which in our example, is each file in the C:\FileShare folder that additionally, has RMS as a file classification property.

        Hinweis

        Durch den -OwnerMail [Source File Owner Email]-Parameter und seinen Wert wird sichergestellt, dass dem ursprünglichen Besitzer der Datei nach dem Schutz der Datei die Berechtigung "Rights Management-Besitzer" gewährt wird.The -OwnerMail [Source File Owner Email] parameter and value ensures that the original owner of the file is granted the Rights Management owner of the file after it is protected. Durch diese Konfiguration wird sichergestellt, dass der ursprüngliche Dateibesitzer über alle Rights Management-Rechte für seine eigenen Dateien verfügt.This configuration ensures that the original file owner has all Rights Management rights to their own files. Wenn Dateien von einem Domänenbenutzer erstellt werden, wird die E-Mail-Adresse automatisch aus Active Directory abgerufen, wobei der Benutzerkontoname aus der Eigenschaft "Besitzer" der Datei verwendet wird.When files are created by a domain user, the email address is automatically retrieved from Active Directory by using the user account name in the file's Owner property. Hierzu muss sich der Dateiserver in derselben Domäne bzw. vertrauenswürdigen Domäne wie der Benutzer befinden.To do this, the file server must be in the same domain or trusted domain as the user.

        Weisen Sie, sofern möglich, den ursprünglichen Besitzer geschützten Dokumenten zu, um sicherzustellen, dass diese Benutzer weiterhin die volle Kontrolle über die von ihnen erstellten Dateien haben.Whenever possible, assign the original owners to protected documents, to ensure that these users continue to have full control over the files that they created. Wenn Sie aber die Variable [Quelldateibesitzer-E-Mail] wie im vorherigen Kommentar beschrieben verwenden und für eine Datei kein Domänenbenutzer als Besitzer definiert wurde (wenn z.B. ein lokales Konto zum Erstellen der Datei verwendet wurde, sodass der Besitzer als "SYSTEM" angezeigt wird), verursacht das Skript einen Fehler.However, if you use the [Source File Owner Email] variable as in the preceding command, and a file does not have a domain user defined as the owner (for example, a local account was used to create the file, so the owner displays SYSTEM), the script fails.

        Für Dateien, die keinen Domänenbenutzer als Besitzer aufweisen, können Sie diese Dateien selbst als Domänenbenutzer kopieren und speichern, sodass Sie zum Besitzer nur dieser Dateien werden.For files that do not have a domain user as owner, you can either copy and save these files yourself as a domain user, so that you become the owner for just these files. Alternativ können Sie, wenn Sie über Berechtigungen verfügen, manuell den Besitzer ändern.Or, if you have permissions, you can manually change the owner. Oder alternativ können Sie eine bestimmte E-Mail-Adresse (z.B. Ihre eigene oder eine Gruppenadresse für die IT-Abteilung) anstelle der [Quelldateibesitzer-E-Mail]-Variablen angeben, was bedeutet, dass alle Dateien, die Sie mit diesem Skript schützen, diese E-Mail-Adresse zum Definieren des neuen Besitzers verwenden.Or alternatively, you can supply a specific email address (such as your own or a group address for the IT department) instead of the [Source File Owner Email] variable, which means that all files you protect by using this script uses this email address to define the new owner.

    • Führen Sie den Befehl wie folgt aus: Wählen Sie Lokales SystemRun the command as: Select Local System

    • Auf der Registerkarte Bedingung:On the Condition tab:

      • Eigenschaft: Wählen Sie RMSProperty: Select RMS

      • Operator: Wählen Sie GleichOperator: Select Equal

      • Wert: Wählen Sie JaValue: Select Yes

    • Auf der Registerkarte Zeitplan:On the Schedule tab:

      • Ausführen um: Konfigurieren Sie Ihren bevorzugten Zeitplan.Run at: Configure your preferred schedule.

        Ermöglichen Sie ausreichend Zeit für den Abschluss des Skripts.Allow plenty of time for the script to complete. Obwohl diese Lösung alle Dateien im Ordner schützt, wird das Skript jedes Mal genau ein Mal für jede Datei ausgeführt.Although this solution protects all files in the folder, the script runs once for each file, each time. Obwohl dies länger dauert als das gleichzeitige Schützen aller Dateien, was das Azure Information Protection-Client unterstützt, ist diese dateibasierte Konfiguration für FCI leistungsfähiger.Although this takes longer than protecting all the files at the same time, which the Azure Information Protection client supports, this file-by-file configuration for FCI is more powerful. Die geschützten Dateien können z.B. verschiedene Besitzer haben (Beibehalten des ursprünglichen Besitzers), wenn Sie die [Quelldateibesitzer-E-Mail]-Variable verwenden, und diese dateibasierte Aktion wird erforderlich sein, wenn Sie später die Konfiguration zum selektiven Schutz von Dateien anstatt zum Schutz aller Dateien in einem Ordner ändern.For example, the protected files can have different owners (retain the original owner) when you use the [Source File Owner Email] variable, and this file-by-file action is required if you later change the configuration to selectively protect files rather than all files in a folder.

      • Für neue Dateien fortlaufend ausführen: Aktivieren Sie dieses Kontrollkästchen.Run continuously on new files: Select this checkbox.

Testen der Konfiguration durch manuelles Ausführen der Regel und der AufgabeTest the configuration by manually running the rule and task

  1. Führen Sie die Klassifizierungsregel aus:Run the classification rule:

    1. Klicken Sie auf Klassifizierungsregeln > Klassifizierung mit allen Regeln jetzt ausführenClick Classification Rules > Run Classification With All Rules Now

    2. Klicken Sie auf Warten, bis die Klassifizierung abgeschlossen ist, und klicken Sie dann auf OK.Click Wait for classification to complete, and then click OK.

  2. Warten Sie, bis das Dialogfeld Klassifizierung wird ausgeführt geschlossen wurde, und sehen Sie sich dann die Ergebnisse im automatisch angezeigten Bericht an.Wait for the Running Classification dialog box to close and then view the results in the automatically displayed report. Es sollte 1 für das Feld Eigenschaften und die Anzahl der Dateien im Ordner angezeigt werden.You should see 1 for the Properties field and the number of files in your folder. Überprüfen Sie mithilfe des Datei-Explorers die Eigenschaften der Dateien im ausgewählten Ordner.Confirm by using File Explorer and checking the properties of files in your chosen folder. Auf der Registerkarte Klassifizierung sollte RMS als Eigenschaftsname und Ja für den Wert angezeigt werden.On the Classification tab, you should see RMS as a property name and Yes for its Value.

  3. Führen Sie die Dateiverwaltungsaufgabe aus:Run the file management task:

    1. Klicken Sie auf Dateiverwaltungsaufgaben > Dateien mit RMS schützen > Dateiverwaltungsaufgabe jetzt ausführenClick File Management Tasks > Protect files with RMS > Run File Management Task Now

    2. Klicken Sie auf Warten, bis die Aufgabe abgeschlossen ist, und klicken Sie dann auf OK.Click Wait for the task to complete, and then click OK.

  4. Warten Sie, bis das Dialogfeld Dateiverwaltungsaufgabe wird ausgeführt geschlossen wurde, und sehen Sie sich dann die Ergebnisse im automatisch angezeigten Bericht an.Wait for the Running File Management Task dialog box to close and then view the results in the automatically displayed report. Daraufhin sollte die Anzahl der Dateien im ausgewählten Ordner im Feld Dateien angezeigt werden.You should see the number of files that are in your chosen folder in the Files field. Vergewissern Sie sich, dass die Dateien im ausgewählten Ordner jetzt durch Rights Management geschützt sind.Confirm that the files in your chosen folder are now protected by Rights Management. Wenn z.B. der ausgewählte Ordner „C:\FileShare“ ist, geben Sie den folgenden Befehl in einer Windows PowerShell-Sitzung ein, und stellen sicher, dass keine Dateien den Status Ungeschützt haben:For example, if your chosen folder is C:\FileShare, type the following command in a Windows PowerShell session and confirm that no files have a status of Unprotected:

    foreach ($file in (Get-ChildItem -Path C:\FileShare -Force | where {!$_.PSIsContainer})) {Get-RMSFileStatus -f $file.PSPath}
    

    Tipp

    Einige Tipps zur Problembehandlung:Some troubleshooting tips:

    • Wenn Sie im Bericht 0 anstatt der Anzahl der Dateien in Ihrem Ordner sehen, weist diese Ausgabe darauf hin, dass das Skript nicht ausgeführt wurde.If you see 0 in the report, instead of the number of files in your folder, this output indicates that the script did not run. Überprüfen Sie zunächst das Skript durch Laden in Windows PowerShell ISE, um die Inhalte des Skripts zu überprüfen. Führen Sie das Skript dann einmal in der gleichen PowerShell-Sitzung aus, um zu ermitteln, ob Fehler angezeigt werden.First, check the script itself by loading it in Windows PowerShell ISE to validate the script contents and try running it one time in the same PowerShell session, to see if any errors are displayed. Wenn keine Argumente angegeben werden, versucht das Skript, eine Verbindung herzustellen und sich beim Azure Rights Management-Dienst zu authentifizieren.With no arguments specified, the script tries to connect and authenticate to the Azure Rights Management service.

      • Wenn das Skript meldet, dass es keine Verbindung mit dem Azure Rights Management-Dienst herstellen konnte, überprüfen Sie die Werte, die für das Dienstprinzipalkonto, das Sie im Skript angegeben haben, angezeigt werden.If the script reports that it couldn't connect to the Azure Rights Management service (Azure RMS), check the values it displays for the service principal account, which you specified in the script. Weitere Informationen zum Erstellen dieses Dienstprinzipalkontos finden Sie unter Voraussetzung 3: Dateien ohne Benutzerinteraktion schützen oder deren Schutz aufheben im Administratorhandbuch zum Azure Information Protection-Client.For more information about how to create this service principal account, see Prerequisite 3: To protect or unprotect files without interaction from the Azure Information Protection client admin guide.
      • Wenn das Skript meldet, dass es eine Verbindung zu Azure RMS herstellen konnte, überprüfen Sie, ob es die angegebene Vorlage durch Ausführen von Get-RMSTemplate direkt von Windows PowerShell auf dem Server aus finden kann.If the script reports that it could connect to Azure RMS, next check that it can find the specified template by running Get-RMSTemplate directly from Windows PowerShell on the server. Die angegebene Vorlage sollte in den Ergebnissen zurückgegeben werden.You should see the template you specified returned in the results.
    • Wenn das Skript selbst in Windows PowerShell ISE ohne Fehler ausgeführt wird, führen Sie es wie folgt in einer PowerShell-Sitzung aus. Geben Sie dabei den Namen einer zu schützenden Datei ohne den „OwnerEmail“-Parameter an:If the script by itself runs in Windows PowerShell ISE without errors, try running it as follows from a PowerShell session, specifying a file name to protect and without the -OwnerEmail parameter:

      powershell.exe -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '<full path and name of a file>' -TemplateID <template GUID>"
      
      • Wenn das Skript in dieser Windows PowerShell-Sitzung erfolgreich ausgeführt wurde, überprüfen Sie Ihre Einträge für Executive und Argument in der Dateiverwaltungsaufgaben-Aktion.If the script runs successfully in this Windows PowerShell session, check your entries for Executive and Argument in the file management task action. Wenn Sie -OwnerEmail [Quelldateibesitzer-E-Mail] angegeben haben, entfernen Sie diesen Parameter.If you have specified -OwnerEmail [Source File Owner Email], try removing this parameter.

        Wenn die Dateiverwaltungsaufgabe erfolgreich ohne -OwnerEmail [Quelldateibesitzer-E-Mail] funktioniert, überprüfen Sie, ob für die nicht geschützten Dateien anstelle von SYSTEM ein Domänenbenutzer als Dateibesitzer aufgeführt wird.If the file management task works successfully without -OwnerEmail [Source File Owner Email], check that the unprotected files have a domain user listed as the file owner, rather than SYSTEM. Verwenden Sie für diese Prüfung die Registerkarte Sicherheit für die Eigenschaften der Datei, und klicken Sie dann auf Erweitert.To make this check, use the Security tab for the file's properties, and then click Advanced. Der Besitzer-Wert wird sofort hinter dem Namen der Datei angezeigt.The Owner value is displayed immediately after the file Name. Überprüfen Sie außerdem, ob sich der Dateiserver in derselben Domäne bzw. einer vertrauenswürdigen Domäne befindet, um die E-Mail-Adresse des Benutzers in Active Directory Domain Services nachzuschlagen.Also, verify that the file server is in the same domain or a trusted domain to look up the user's email address from Active Directory Domain Services.

    • Wenn Sie die richtige Anzahl von Dateien im Bericht sehen, die Dateien aber nicht geschützt sind, versuchen Sie, die Dateien manuell mithilfe des Protect-RMSFile -Cmdlets zu schützen, um festzustellen, ob Fehler angezeigt werden.If you see the correct number of files in the report but the files are not protected, try protecting the files manually by using the Protect-RMSFile cmdlet, to see if any errors are displayed.

Wenn Sie sichergestellt haben, dass diese Aufgaben erfolgreich ausgeführt werden, können Sie den Dateiressourcen-Manager schließen.When you have confirmed that these tasks run successfully, you can close File Resource Manager. Neue Dateien werden automatisch klassifiziert und geschützt, wenn die geplanten Aufgaben ausgeführt werden.New files are automatically classified and protected when the scheduled tasks run.

Erforderliche Aktion beim Ändern der Rights Management-VorlageAction required if you make changes to the Rights Management template

Bei Änderungen an der vom Skript referenzierten Rights Management-Vorlage ruft das Computerkonto, das das Skript zum Schutz der Dateien ausführt, die aktualisierte Vorlage nicht automatisch ab.If you make changes to the Rights Management template that the script references, the computer account that runs the script to protect the files does not automatically get the updated template. Entfernen Sie im Skript in der Funktion „Set-RMSConnection“ aus dem auskommentierten Befehl Get-RMSTemplate -Force das Kommentarzeichen am Anfang der Zeile.In the script, locate the commented out Get-RMSTemplate -Force command in the Set-RMSConnection function, and remove the comment character at the beginning of the line. Beim nächsten Ausführen des Skripts wird die aktualisierte Vorlage heruntergeladen.The next time the script runs, the updated template is downloaded. Zur Leistungsoptimierung, um wiederholte Downloads von Vorlagen zu vermeiden, können Sie diese Zeile dann erneut auskommentieren.To optimize performance so that templates don't download unnecessarily, you can then comment out this line again.

Wenn die Änderungen an der Vorlage wichtig genug sind, um die Dateien auf dem Dateiserver erneut zu schützen, können Sie hierzu das „Protect-RMSFile“-Cmdlet interaktiv mit einem Konto ausführen, das für die Dateien über die Nutzungsrechte „Exportieren“ oder „Vollzugriff“ verfügt.If the changes to the template are important enough to reprotect the files on the file server, you can do this interactively by running the Protect-RMSFile cmdlet with an account that has the Export or Full Control usage rights for the files.

Führen Sie diese Zeile auch im Skript aus, wenn Sie eine neue Vorlage veröffentlichen, die Sie für die Dateiklassifizierungsinfrastruktur verwenden möchten, und ändern Sie die Vorlagen-ID in der Argumentzeile für die benutzerdefinierte Dateiverwaltungsaufgabe.Also run this line in the script if you publish a new template that you want to use for FCI, and change the template ID in the argument line for the custom file management task.

Ändern der Anweisungen zum selektiven Schutz von DateienModifying the instructions to selectively protect files

Wenn Sie die zuvor beschriebenen Anweisungen abgeschlossen haben, ist es einfach, sie für eine komplexere Konfiguration zu ändern.When you have the preceding instructions working, it's then easy to modify them for a more sophisticated configuration. Schützen Sie Dateien beispielsweise mithilfe des gleichen Skripts, jedoch nur für Dateien mit personenbezogenen Informationen, und wählen Sie vielleicht eine Vorlage aus, die über restriktivere Berechtigungen verfügt.For example, protect files by using the same script but only for files that contain personal identifiable information, and perhaps select a template that has more restrictive rights.

Verwenden Sie zum Durchführen dieser Änderung eine der integrierten Klassifizierungseigenschaften (z.B. personenbezogene Informationen), oder erstellen Sie eine eigene neue Eigenschaft.To make this modification, use one of the built-in classification properties (for example, Personally Identifiable Information) or create your own new property. Erstellen Sie dann eine neue Regel, die diese Eigenschaft verwendet.Then create a new rule that uses this property. Sie können z. B. die Inhaltsklassifizierung und die Daten mit persönlich identifizierbaren Informationen-Eigenschaft mit dem Wert Hoch auswählen und die Zeichenfolge oder das Ausdrucksmuster konfigurieren, die bzw. das die Datei identifiziert, die für diese Eigenschaft konfiguriert werden soll (z. B. die Zeichenfolge „Geburtsdatum“).For example, you might select the Content Classifier, choose the Personally Identifiable Information property with a value of High, and configure the string or expression pattern that identifies the file to be configured for this property (such as the string "Date of Birth").

Jetzt müssen Sie nur eine neue Dateiverwaltungsaufgabe erstellen, die das gleiche Skript verwendet, aber möglicherweise mit einer anderen Vorlage, und die Bedingung für die Klassifizierungseigenschaft, die Sie gerade konfiguriert haben, konfigurieren.Now all you need to do is create a new file management task that uses the same script but perhaps with a different template, and configure the condition for the classification property that you have just configured. Wählen Sie beispielsweise anstatt der Bedingung, die wir zuvor konfiguriert haben (RMS-Eigenschaft, Gleich, Ja), die Daten mit persönlich identifizierbaren Informationen-Eigenschaft mit dem Operator-Wert Gleich und dem Wert****Hoch aus.For example, instead of the condition that we configured previously (RMS property, Equal, Yes), select the Personally Identifiable Information property with the Operator value set to Equal and the Value of High.

Nächste SchritteNext steps

Sie fragen sich womöglich, was der Unterschied zwischen der Windows Server-Dateiklassifizierungsinfrastruktur und der Azure Information Protection-Überprüfung ist.You might be wondering: What’s the difference between Windows Server FCI and the Azure Information Protection scanner?