Guía del administrador: Uso de PowerShell con el cliente de Azure Information ProtectionAdmin Guide: Using PowerShell with the Azure Information Protection client

Se aplica a: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 con SP1, windows Server 2019, windows Server 2016, windows Server 2012 R2, windows Server 2012, windows Server 2008 R2Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

Instrucciones para: Azure Information Protection cliente para WindowsInstructions for: Azure Information Protection client for Windows

Cuando se instala el cliente de Azure Information Protection, los comandos de PowerShell se instalan automáticamente.When you install the Azure Information Protection client, PowerShell commands are automatically installed. Esto le permite administrar el cliente mediante la ejecución de comandos que puede colocar en scripts para la automatización.This lets you manage the client by running commands that you can put into scripts for automation.

Los cmdlets se instalan con el módulo de PowerShell AzureInformationProtection.The cmdlets are installed with the PowerShell module AzureInformationProtection. Este módulo incluye todos los cmdlets de Rights Management de la herramienta de protección de RMS (que ha dejado de ser compatible).This module includes all the Rights Management cmdlets from the RMS Protection Tool (no longer supported). También hay cmdlets que usan Azure Information Protection para etiquetar.There are also cmdlets that use Azure Information Protection for labeling. Por ejemplo:For example:

Cmdlet de etiquetadoLabeling cmdlet Ejemplo de usoExample usage
Get-AIPFileStatusGet-AIPFileStatus Para una carpeta compartida, identifique todos los archivos con una etiqueta específica.For a shared folder, identify all files with a specific label.
Set-AIPFileClassificationSet-AIPFileClassification Para una carpeta compartida, revise el contenido del archivo y, luego, etiquete automáticamente los archivos no etiquetados, según las condiciones que especificó.For a shared folder, inspect the file contents and then automatically label unlabeled files, according to the conditions that you have specified.
Set-AIPFileLabelSet-AIPFileLabel Para una carpeta compartida, aplique una etiqueta específica a todos los archivos que no tienen ninguna etiqueta.For a shared folder, apply a specified label to all files that do not have a label.
Set-AIPAuthenticationSet-AIPAuthentication Etiqueta archivos de forma no interactiva, por ejemplo mediante un script que se ejecuta según una programación.Label files non-interactively, for example by using a script that runs on a schedule.

Sugerencia

Para usar cmdlets con longitudes de ruta de acceso superiores a 260 caracteres, utilice la siguiente configuración de directiva de grupo que está disponible a partir de Windows 10, versión 1607:To use cmdlets with path lengths greater than 260 characters, use the following group policy setting that is available starting Windows 10, version 1607:
Directiva de equipo Local > configuración del equipo > Plantillas administrativas > todos los valores > Habilitar rutas de acceso largas de Win32Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

Para Windows Server 2016, puede usar la misma configuración de directiva de grupo cuando instale las plantillas administrativas más recientes (.admx) para Windows 10.For Windows Server 2016, you can use the same group policy setting when you install the latest Administrative Templates (.admx) for Windows 10.

Para obtener más información, vea la sección Maximum Path Length Limitation (Limitación de longitud máxima de ruta de acceso) de la documentación para desarrolladores de Windows 10.For more information, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

El analizador de Azure Information Protection usa cmdlets para el módulo AzureInformationProtection para instalar y configurar un servicio en Windows Server.The Azure Information Protection scanner uses cmdlets from the AzureInformationProtection module to install and configure a service on Windows Server. A continuación, este analizador le permite detectar, clasificar y proteger archivos en almacenes de datos.This scanner then lets you discover, classify, and protect files on data stores.

Para obtener una lista de todos los cmdlets y su ayuda correspondiente, consulte Módulo AzureInformationProtection.For a list of all the cmdlets and their corresponding help, see AzureInformationProtection Module. En una sesión de PowerShell, escriba Get-Help <cmdlet name> -online para acceder a la ayuda más reciente.Within a PowerShell session, type Get-Help <cmdlet name> -online to see the latest help.

Este módulo se instala en \Archivos de programa (x86)\Microsoft Azure Information Protection y agrega esta carpeta a la variable del sistema PSModulePath.This module installs in \ProgramFiles (x86)\Microsoft Azure Information Protection and adds this folder to the PSModulePath system variable. El archivo .dll de este módulo se denomina AIP.dll.The .dll for this module is named AIP.dll.

Actualmente, si instala el módulo como un usuario y ejecuta los cmdlets en el mismo equipo que otro usuario, primer debe ejecutar el comando Import-Module AzureInformationProtection.Currently, if you install the module as one user and run the cmdlets on the same computer as another user, you must first run the Import-Module AzureInformationProtection command. En este escenario, el módulo no se carga automáticamente la primera vez que ejecuta un cmdlet.In this scenario, the module doesn't autoload when you first run a cmdlet.

La versión actual del módulo AzureInformationProtection tiene las siguientes limitaciones:The current release of the AzureInformationProtection module has the following limitations:

  • Puede desproteger carpetas personales de Outlook (archivos .pst), pero actualmente no puede proteger de forma nativa estos archivos u otros archivos de contenedor con el uso de este módulo de PowerShell.You can unprotect Outlook personal folders (.pst files), but you cannot currently natively protect these files or other container files by using this PowerShell module.

  • Puede desproteger los mensajes de correo electrónico de Outlook protegidos (archivos .rpmsg) cuando están en una carpeta personal (.pst) de Outlook, pero no puede desproteger archivos .rpmsg fuera de una carpeta personal.You can unprotect Outlook protected email messages (.rpmsg files) when they are in an Outlook personal folder (.pst), but you cannot unprotect .rpmsg files outside a personal folder.

Antes de empezar a usar estos cmdlets, vea los requisitos previos adicionales y las instrucciones aplicables a su implementación:Before you start to use these cmdlets, see the additional prerequisites and instructions that corresponds to your deployment:

  • Azure Information Protection y servicio Azure Rights ManagementAzure Information Protection and Azure Rights Management service

    • Aplicable si usa solo la clasificación o la clasificación con Rights Management Protection: tiene una suscripción que incluye Azure Information Protection (por ejemplo, Enterprise Mobility + Security).Applicable if you use classification-only or classification with Rights Management protection: You have a subscription that includes Azure Information Protection (for example, Enterprise Mobility + Security).
    • Aplicable si usa solo la protección con el servicio Azure Rights Management: tiene una suscripción que incluye el servicio Azure Rights Management (por ejemplo, Office 365 E3 y Office 365 E5).Applicable if you use protection-only with the Azure Rights Management service: You have a subscription that includes the Azure Rights Management service (for example, Office 365 E3 and Office 365 E5).
  • Active Directory Rights Management ServicesActive Directory Rights Management Services

    • Aplicable si usa solo la protección con la versión local de Azure Rights Management; Active Directory Rights Management Services (AD RMS).Applicable if you use protection-only with the on-premises version of Azure Rights Management; Active Directory Rights Management Services (AD RMS).

Azure Information Protection y servicio Azure Rights ManagementAzure Information Protection and Azure Rights Management service

Lea esta sección antes de empezar a usar los comandos de PowerShell si su organización usa Azure Information Protection para la clasificación y la protección, o solo el servicio Azure Rights Management para la protección de datos.Read this section before you start using the PowerShell commands when your organization uses Azure Information Protection for classification and protection, or just the Azure Rights Management service for data protection.

Requisitos previosPrerequisites

Además de los requisitos previos para instalar el módulo AzureInformationProtection, existen requisitos previos adicionales para el etiquetado de Azure Information Protection y el servicio de protección de datos Azure Rights Management:In addition to the prerequisites for installing the AzureInformationProtection module, there are additional prerequisites for Azure Information Protection labeling and the Azure Rights Management data protection service:

  1. El servicio Azure Rights Management debe estar activado.The Azure Rights Management service must be activated.

  2. Para quitar la protección de los archivos para otros usuarios con su propia cuenta:To remove protection from files for others using your own account:

    • La característica de superusuario debe habilitarse para su organización y su cuenta debe estar configurada para interactuar como superusuario en Azure Rights Management.The super user feature must be enabled for your organization and your account must be configured to be a super user for Azure Rights Management.
  3. Para proteger o desproteger archivos directamente sin interacción del usuario:To directly protect or unprotect files without user interaction:

    • Cree una cuenta de entidad de servicio, ejecute RMSServerAuthentication y considere la posibilidad establecer dicha entidad de servicio como un superusuario para Azure Rights Management.Create a service principal account, run Set-RMSServerAuthentication, and consider making this service principal a super user for Azure Rights Management.
  4. Para las regiones fuera de Estados Unidos:For regions outside North America:

    • Edite el Registro para la detección de servicios.Edit the registry for service discovery.

Requisito previo 1: el servicio Azure Rights Management debe estar activadoPrerequisite 1: The Azure Rights Management service must be activated

Este requisito previo se aplica si utiliza la protección de datos mediante etiquetas o con una conexión directa al servicio Azure Rights Management para aplicar la protección de datos.This prerequisite applies whether you apply the data protection by using labels or by directly connecting to the Azure Rights Management service to apply the data protection.

Si el inquilino de Azure Information Protection no está activado, consulte las instrucciones para activar el servicio de protección desde Azure Information Protection.If your Azure Information Protection tenant is not activated, see the instructions for Activating the protection service from Azure Information Protection.

Requisito previo 2: quitar la protección de archivos para otros usuarios con su propia cuentaPrerequisite 2: To remove protection from files for others using your own account

Los escenarios típicos para quitar la protección de archivos para otros usuarios incluyen la detección de datos o la recuperación de datos.Typical scenarios for removing protection from files for others include data discovery or data recovery. Si usa etiquetas para aplicar la protección, puede quitar la protección estableciendo una nueva etiqueta que no aplica protección o quitando la etiqueta.If you are using labels to apply the protection, you could remove the protection by setting a new label that doesn't apply protection or by removing the label. Pero lo mejor es que se conecte directamente al servicio Azure Rights Management para quitar la protección.But you will more likely connect directly to the Azure Rights Management service to remove the protection.

Debe tener permisos de uso de Rights Management para quitar la protección de archivos, o bien ser un superusuario.You must have a Rights Management usage right to remove protection from files, or be a super user. Para la detección o recuperación de datos, suele usarse la característica de superusuario.For data discovery or data recovery, the super user feature is typically used. Para habilitar esta característica y configurar su cuenta como un superusuario, vea Configuración de superusuarios para Azure Rights Management y los servicios de detección o la recuperación de datos.To enable this feature and configure your account to be a super user, see Configuring super users for Azure Rights Management and Discovery Services or Data Recovery.

Requisito previo 3: proteger o desproteger archivos sin interacción del usuarioPrerequisite 3: To protect or unprotect files without user interaction

Puede conectarse directamente al servicio Azure Rights Management de forma no interactiva para proteger o desproteger archivos.You can connect directly to the Azure Rights Management service non-interactively to protect or unprotect files.

Debe usar una cuenta de entidad de servicio para conectarse al servicio Azure Rights Management de forma no interactiva, lo que se hace mediante el cmdlet Set-RMSServerAuthentication.You must use a service principal account to connect to the Azure Rights Management service non-interactively, which you do by using the Set-RMSServerAuthentication cmdlet. Debe hacerlo para cada sesión de Windows PowerShell que ejecuta cmdlets que se conectan directamente al servicio Azure Rights Management.You must do this for each Windows PowerShell session that runs cmdlets that directly connect to the Azure Rights Management service. Antes de ejecutar este cmdlet, debe disponer de estos tres identificadores:Before you run this cmdlet, you must have these three identifiers:

  • BposTenantIdBposTenantId

  • AppPrincipalIdAppPrincipalId

  • Clave simétricaSymmetric Key

Puede usar los siguientes comandos de PowerShell y las instrucciones comentadas para obtener automáticamente los valores de los identificadores y ejecutar el cmdlet Set-RMSServerAuthentication.You can use the following PowerShell commands and commented instructions to automatically get the values for the identifiers and run the Set-RMSServerAuthentication cmdlet. También puede obtener y especificar los valores manualmente.Or, you can manually get and specify the values.

Para obtener los valores automáticamente y ejecutar Set-RMSServerAuthentication:To automatically get the values and run Set-RMSServerAuthentication:

# Make sure that you have the AIPService and MSOnline modules installed

$ServicePrincipalName="<new service principal name>"
Connect-AipService
$bposTenantID=(Get-AipServiceConfiguration).BPOSId
Disconnect-AipService
Connect-MsolService
New-MsolServicePrincipal -DisplayName $ServicePrincipalName

# Copy the value of the generated symmetric key

$symmetricKey="<value from the display of the New-MsolServicePrincipal command>"
$appPrincipalID=(Get-MsolServicePrincipal | Where { $_.DisplayName -eq $ServicePrincipalName }).AppPrincipalId
Set-RMSServerAuthentication -Key $symmetricKey -AppPrincipalId $appPrincipalID -BposTenantId $bposTenantID

En las secciones siguientes se explica cómo obtener manualmente y especificar estos valores, con más información sobre cada paso.The next sections explain how to manually get and specify these values, with more information about each one.

Para obtener BposTenantIdTo get the BposTenantId

Ejecute el cmdlet Get-AipServiceConfiguration desde el módulo Azure RMS Windows PowerShell:Run the Get-AipServiceConfiguration cmdlet from the Azure RMS Windows PowerShell module:

  1. Si este módulo aún no está instalado en el equipo, vea instalación del módulo de PowerShell para AIPService.If this module is not already installed on your computer, see Installing the AIPService PowerShell module.

  2. Inicie Windows PowerShell con la opción Ejecutar como administrador.Start Windows PowerShell with the Run as Administrator option.

  3. Use el cmdlet Connect-AipService para conectarse al servicio Azure Rights Management:Use the Connect-AipService cmdlet to connect to the Azure Rights Management service:

     Connect-AipService
    

    Cuando se le solicite, escriba las credenciales de administrador de inquilinos de Azure Information Protection.When prompted, enter your Azure Information Protection tenant administrator credentials. Normalmente, usará una cuenta de administrador global de Office 365 o Azure Active Directory.Typically, you use an account that is a global administrator for Azure Active Directory or Office 365.

  4. Ejecute Get-AipServiceConfiguration y realice una copia del valor BPOSId.Run Get-AipServiceConfiguration and make a copy of the BPOSId value.

    Un ejemplo de salida de Get-AipServiceConfiguration:An example of output from Get-AipServiceConfiguration:

         BPOSId                                   : 23976bc6-dcd4-4173-9d96-dad1f48efd42
    
         RightsManagement ServiceId               : 1a302373-f233-440600909-4cdf305e2e76
    
         LicensingIntranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
         LicensingExtranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
         CertificationIntranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
         CertificationExtranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
  5. Desconéctese del servicio:Disconnect from the service:

     Disconnect-AipService
    
Para obtener AppPrincipalId y la clave simétricaTo get the AppPrincipalId and Symmetric Key

Cree una entidad de servicio nueva mediante la ejecución del cmdlet New-MsolServicePrincipal desde el módulo MSOnline de PowerShell para Azure Active Directory y utilice las instrucciones siguientes.Create a new service principal by running the New-MsolServicePrincipal cmdlet from the MSOnline PowerShell module for Azure Active Directory and use the following instructions.

Importante

No utilice el cmdlet de PowerShell de Azure AD más reciente, New-AzureADServicePrincipal, para crear esta entidad de servicio.Do not use the newer Azure AD PowerShell cmdlet, New-AzureADServicePrincipal, to create this service principal. El servicio Azure Rights Management no admite el comando New-AzureADServicePrincipal.The Azure Rights Management service does not support New-AzureADServicePrincipal.

  1. Si el módulo MSOnline no está ya instalado en el equipo, ejecute Install-Module MSOnline.If the MSOnline module is not already installed on your computer, run Install-Module MSOnline.

  2. Inicie Windows PowerShell con la opción Ejecutar como administrador.Start Windows PowerShell with the Run as Administrator option.

  3. Utilice el cmdlet Connect-MsolService para conectarse a Azure AD:Use the Connect-MsolService cmdlet to connect to Azure AD:

     Connect-MsolService
    

    Cuando se le pida, escriba las credenciales de administrador de inquilinos de Azure AD (normalmente, usará una cuenta de administrador global de Office 365 o Azure Active Directory).When prompted, enter your Azure AD tenant administrator credentials (typically, you use an account that is a global administrator for Azure Active Directory or Office 365).

  4. Ejecute el cmdlet New-MsolServicePrincipal para crear una nueva entidad de servicio:Run the New-MsolServicePrincipal cmdlet to create a new service principal:

     New-MsolServicePrincipal
    

    Cuando se le solicite, escriba el nombre para mostrar que haya elegido para esta entidad de servicio que le ayuda a identificar su propósito más adelante como una cuenta para conectarse al servicio Azure Rights Management, a fin de que pueda proteger y desproteger archivos.When prompted, enter your choice of a display name for this service principal that helps you to identify its purpose later as an account for you to connect to the Azure Rights Management service so that you can protect and unprotect files.

    Un ejemplo de la salida de New-MsolServicePrincipal:An example of the output of New-MsolServicePrincipal:

     Supply values for the following parameters:
    
     DisplayName: AzureRMSProtectionServicePrincipal
     The following symmetric key was created as one was not supplied
     zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=
    
     Display Name: AzureRMSProtectionServicePrincipal
     ServicePrincipalNames: (b5e3f7g1-b5c2-4c96-a594-a0807f65bba4)
     ObjectId: 23720996-593c-4122-bfc7-1abb5a0b5109
     AppPrincialId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4
     TrustedForDelegation: False
     AccountEnabled: True
     Addresses: ()
     KeyType: Symmetric
     KeyId: 8ef61651-ca11-48ea-a350-25834a1ba17c
     StartDate: 3/7/2014 4:43:59 AM
     EndDate: 3/7/2014 4:43:59 AM
     Usage: Verify
    
  5. En esta salida, tome nota de la clave simétrica y de AppPrincipalId.From this output, make a note of the symmetric key and the AppPrincialId.

    Es importante que cree una copia de esta clave simétrica.It is important that you make a copy of this symmetric key, now. No podrá recuperar la clave posteriormente, por lo que si no la conoce cuando tenga que autenticarse en el servicio Azure Rights Management, deberá crear una entidad de servicio.You cannot retrieve this key later, so if you do not know it when you next need to authenticate to the Azure Rights Management service, you will have to create a new service principal.

A partir de estas instrucciones y de los ejemplos expuestos, se dispone de tres identificadores necesarios para ejecutar Set-RMSServerAuthentication:From these instructions and our examples, we have the three identifiers required to run Set-RMSServerAuthentication:

  • Id. de inquilino: 23976bc6-dcd4-4173-9d96-dad1f48efd42Tenant Id: 23976bc6-dcd4-4173-9d96-dad1f48efd42

  • Clave simétrica: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=Symmetric key: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=

  • AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4

El comando de ejemplo presentará el siguiente aspecto:Our example command would then look like the following:

Set-RMSServerAuthentication -Key zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=-AppPrincipalId b5e3f76a-b5c2-4c96-a594-a0807f65bba4-BposTenantId 23976bc6-dcd4-4173-9d96-dad1f48efd42

Como se muestra en el comando anterior, puede proporcionar los valores con un solo comando, lo que haría en un script para que se ejecute de manera no interactiva.As shown in the previous command, you can supply the values with a single command, which you would do in a script to run non-interactively. Pero para realizar una prueba, puede escribir Set-RMSServerAuthentication y proporcionar los valores uno a uno cuando se le pida.But for testing purposes, you can just type Set-RMSServerAuthentication, and supply the values one-by-one when prompted. Cuando finalice la ejecución del comando, el cliente funcionará en "modo de servidor", lo que es adecuado para el uso no interactivo, como los scripts y la infraestructura de clasificación de archivos de Windows Server.When the command completes, the client is now operating in "server mode", which is suitable for non-interactive use such as scripts and Windows Server File Classification Infrastructure.

Considere la posibilidad de convertir esta cuenta de entidad de servicio en un superusuario: para asegurarse de que esta cuenta de entidad de servicio siempre pueda desproteger los archivos de otros usuarios, se puede configurar como superusuario.Consider making this service principal account a super user: To ensure that this service principal account can always unprotect files for others, it can be configured to be a super user. Del mismo modo que configura una cuenta de usuario estándar como superusuario, use el mismo cmdlet Azure RMS, Add-AipServiceSuperUser, pero especifique el parámetro ServicePrincipalId con el valor AppPrincipalId.In the same way as you configure a standard user account to be a super user, you use the same Azure RMS cmdlet, Add-AipServiceSuperUser, but specify the ServicePrincipalId parameter with your AppPrincipalId value.

Para obtener más información sobre superusuarios, consulte configuración de superusuarios para Azure Information Protection y servicios de detección o recuperación de datos.For more information about super users, see Configuring super users for Azure Information Protection and discovery services or data recovery.

Nota

Para utilizar su propia cuenta para autenticarse en el servicio Azure Rights Management, no hay necesidad de ejecutar Set-RMSServerAuthentication antes de proteger o desproteger archivos u obtener plantillas.To use your own account to authenticate to the Azure Rights Management service, there's no need to run Set-RMSServerAuthentication before you protect or unprotect files, or get templates.

Requisito previo 4: Para las regiones fuera de Estados UnidosPrerequisite 4: For regions outside North America

Si usa una cuenta de entidad de servicio para proteger archivos y descargar plantillas fuera de la región de Norteamérica de Azure, debe modificar el Registro:When you use a service principal account to protect files and download templates outside the Azure North America region, you must edit the registry:

  1. Vuelva a ejecutar el cmdlet Get-AipServiceConfiguration y tome nota de los valores de CertificationExtranetDistributionPointUrl y LicensingExtranetDistributionPointUrl.Run the Get-AipServiceConfiguration cmdlet again, and make a note of the values for CertificationExtranetDistributionPointUrl and LicensingExtranetDistributionPointUrl.

  2. En cada equipo donde se van a ejecutar los cmdlets AzureInformationProtection, abra el Editor del Registro.On each computer where you will run the AzureInformationProtection cmdlets, open the registry editor.

  3. Vaya a la siguiente ruta de acceso: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation.Navigate to the following path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation.

    Si no ve la clave MSIPC o ServiceLocation, créelas.If you do not see the MSIPC key or ServiceLocation key, create them.

  4. Para la clave ServiceLocation, cree dos claves si no existen, denominadas EnterpriseCertification y EnterprisePublishing.For the ServiceLocation key, create two keys if they do not exist, named EnterpriseCertification and EnterprisePublishing.

    No cambie el nombre "(Default)" del valor de cadena que se crea automáticamente para estas claves, pero modifique la cadena para especificar los datos de los valores:For the string value that's automatically created for these keys, do not change the Name of "(Default)", but edit the string to set the Value data:

    • Para EnterpriseCertification, pegue el valor de CertificationExtranetDistributionPointUrl.For EnterpriseCertification, paste your CertificationExtranetDistributionPointUrl value.

    • Para EnterprisePublishing, pegue el valor de LicensingExtranetDistributionPointUrl.For EnterprisePublishing, paste your LicensingExtranetDistributionPointUrl value.

      Por ejemplo, la entrada del Registro de EnterpriseCertification debe ser similar a la siguiente:For example, your registry entry for EnterpriseCertification should look similar to the following:

      Editar el Registro del módulo de PowerShell de Azure Information Protection para regiones fuera de Norteamérica

  5. Cierre el Editor del Registro.Close the registry editor. No es necesario reiniciar el equipo.There is no need to restart your computer. Sin embargo, si usa una cuenta de entidad de servicio en lugar de su propia cuenta de usuario, debe ejecutar el comando Set-RMSServerAuthentication después realizar esta modificación del registro.However, if you are using a service principal account rather than your own user account, you must run the Set-RMSServerAuthentication command after making this registry edit.

Escenarios de ejemplo para usar los cmdlets de Azure Information Protection y del servicio Azure Rights ManagementExample scenarios for using the cmdlets for Azure Information protection and the Azure Rights Management service

Es más eficaz usar etiquetas para clasificar y proteger archivos, porque solo hay dos cmdlets que necesita, que se pueden ejecutar por sí solos o juntos: Get-AIPFileStatus y set-AIPFileLabel.It's more efficient to use labels to classify and protect files, because there are just two cmdlets that you need, which can be run by themselves or together: Get-AIPFileStatus and Set-AIPFileLabel. Recurra a la ayuda de ambos cmdlets para obtener más información y ejemplos.Use the help for both these cmdlets for more information and examples.

Sin embargo, para proteger o desproteger archivos conectándose directamente al servicio Azure Rights Management, normalmente debe ejecutar una serie de cmdlets como se describe a continuación.However, to protect or unprotect files by directly connecting to the Azure Rights Management service, you must typically run a series of cmdlets as described next.

En primer lugar, si necesita autenticarse en el servicio Azure Rights Management con una cuenta de entidad de servicio en lugar de usar su propia cuenta, en una sesión de PowerShell, escriba:First, if you need to authenticate to the Azure Rights Management service with a service principal account rather than use your own account, in a PowerShell session, type:

Set-RMSServerAuthentication

Cuando se le solicite, escriba los tres identificadores como se describe en Requisito previo 3: proteger o desproteger archivos sin interacción del usuario.When prompted, enter the three identifiers as described in Prerequisite 3: To protect or unprotect files without user interaction.

Para poder proteger los archivos, debe descargar las plantillas de Rights Management en el equipo e identificar la que se usará y el número de identificador correspondiente.Before you can protect files, you must download the Rights Management templates to your computer and identify which one to use and its corresponding ID number. En la salida, puede copiar el identificador de plantilla:From the output, you can then copy the template ID:

Get-RMSTemplate

La salida puede ser parecida a la siguiente:Your output might look similar to the following:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True

TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Tenga en cuenta que si no ejecuta el comando Set-RMSServerAuthentication, se autentica en el servicio Azure Rights Management con su propia cuenta de usuario.Note that if you didn't run the Set-RMSServerAuthentication command, you are authenticated to the Azure Rights Management service by using your own user account. Si interactúa con un equipo que no está unido a un dominio, las credenciales actuales siempre se usan automáticamente.If you are on a domain-joined computer, your current credentials are always used automatically. En cambio, si trabaja con un equipo de un grupo de trabajo, se le pide que inicie sesión en Azure, y estas credenciales se almacenan en la memoria caché para los comandos ulteriores.If you are on a workgroup computer, you are prompted to sign in to Azure, and these credentials are then cached for subsequent commands. En este escenario, si más adelante necesita iniciar sesión como un usuario distinto, use el cmdlet Clear-RMSAuthentication.In this scenario, if you later need to sign in as a different user, use the Clear-RMSAuthentication cmdlet.

Ahora que ya sabe el identificador de plantilla, puede utilizarlo con el cmdlet Protect-RMSFile para proteger un único archivo o todos los archivos de una carpeta.Now you know the template ID, you can use it with the Protect-RMSFile cmdlet to protect a single file or all files in a folder. Por ejemplo, si desea proteger un único archivo y sobrescribir el original con el uso de la plantilla de "Contoso, Ltd - Confidencial":For example, if you want to protect a single file only and overwrite the original, by using the "Contoso, Ltd - Confidential" template:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

La salida puede ser parecida a la siguiente:Your output might look similar to the following:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

Para proteger todos los archivos de una carpeta, use el parámetro -Folder con una letra de unidad y la ruta de acceso, o la ruta de acceso UNC.To protect all files in a folder, use the -Folder parameter with a drive letter and path, or UNC path. Por ejemplo:For example:

Protect-RMSFile -Folder \Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

La salida puede ser parecida a la siguiente:Your output might look similar to the following:

InputFile                          EncryptedFile
---------                          -------------
\Server1\Documents\Test1.docx     \Server1\Documents\Test1.docx
\Server1\Documents\Test2.docx     \Server1\Documents\Test2.docx
\Server1\Documents\Test3.docx     \Server1\Documents\Test3.docx
\Server1\Documents\Test4.docx     \Server1\Documents\Test4.docx

Si la extensión de nombre de archivo no cambia después de aplicar la protección, siempre se puede utilizar el cmdlet Get-RMSFileStatus más adelante para comprobar si el archivo está protegido.When the file name extension does not change after the protection is applied, you can always use the Get-RMSFileStatus cmdlet later to check whether the file is protected. Por ejemplo:For example:

Get-RMSFileStatus -File \Server1\Documents\Test1.docx

La salida puede ser parecida a la siguiente:Your output might look similar to the following:

FileName                              Status
--------                              ------
\Server1\Documents\Test1.docx         Protected

Para desproteger un archivo, debe tener derechos de propietario o de extracción desde el momento en que se protegió el archivo,To unprotect a file, you must have Owner or Extract rights from when the file was protected. o bien debe ejecutar los cmdlets como superusuario.Or, you must run the cmdlets as a super user. A continuación, use el cmdlet Unprotect.Then, use the Unprotect cmdlet. Por ejemplo:For example:

Unprotect-RMSFile C:\test.docx -InPlace

La salida puede ser parecida a la siguiente:Your output might look similar to the following:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Tenga en cuenta que si las plantillas de Rights Management cambian, debe volver a descargarlas con Get-RMSTemplate -force.Note that if the Rights Management templates are changed, you must download them again with Get-RMSTemplate -force.

Active Directory Rights Management ServicesActive Directory Rights Management Services

Lea esta sección antes de empezar a utilizar los comandos de PowerShell para proteger o desproteger archivos si su organización usa simplemente Active Directory Rights Management Services.Read this section before you start using the PowerShell commands to protect or unprotect files when your organization uses just Active Directory Rights Management Services.

Requisitos previosPrerequisites

Además de los requisitos previos para instalar el módulo AzureInformationProtection, la cuenta usada para proteger o desproteger archivos debe tener permisos de lectura y ejecución para acceder a ServerCertification.asmx:In addition to the prerequisites for installing the AzureInformationProtection module, the account used to protect or unprotect files must have Read and Execute permissions to access ServerCertification.asmx:

  1. Inicie sesión en un servidor de AD RMS.Log on to an AD RMS server.

  2. Haga clic en Inicio y luego en Equipo.Click Start, and then click Computer.

  3. En el Explorador de archivos, vaya a %systemdrive%\Initpub\wwwroot_wmsc\Certification.In File Explorer, navigate to %systemdrive%\Initpub\wwwroot_wmsc\Certification.

  4. Haga clic con el botón derecho en ServerCertification.asmx y luego haga clic en Propiedades.Right-click ServerCertification.asmx, then click Properties.

  5. En el cuadro de diálogo Propiedades de ServerCertification.asmx, haga clic en la pestaña Seguridad.In the ServerCertification.asmx Properties dialog box, click the Security tab.

  6. Haga clic en los botones Continuar o Editar.Click the Continue button or the Edit button.

  7. En el cuadro de diálogo Permissions for ServerCertification.asmx (Permisos para ServerCertification.asmx), haga clic en Agregar.In the Permissions for ServerCertification.asmx dialog box, click Add.

  8. Agregue el nombre de cuenta.Add your account name. Si otras cuentas de administradores de AD RMS o de servicio también van a usar estos cmdlets para proteger y desproteger archivos, agregue también esas cuentas.If other AD RMS administrators or service accounts will also use these cmdlets to protect and unprotect files, add those accounts as well.

    Para proteger o desproteger archivos de forma no interactiva, agregue las cuentas de equipo pertinentes.To protect or unprotect files non-interactively, add the relevant computer account or accounts. Por ejemplo, agregue la cuenta de equipo del equipo de Windows Server que esté configurado para la infraestructura de clasificación de archivos y vaya a usar un script de PowerShell para proteger archivos.For example, add the computer account of the Windows Server computer that is configured for File Classification Infrastructure and will use a PowerShell script to protect files.

  9. En la columna Permitir, asegúrese de que las casillas Leer y ejecutar y Leer estén activadas.In the Allow column, make sure that the Read and Execute, and the Read checkboxes are selected.

10. Haga clic en Aceptar dos veces.10.Click OK twice.

Escenarios de ejemplo para usar los cmdlets para Active Directory Rights Management ServicesExample scenarios for using the cmdlets for Active Directory Rights Management Services

Un escenario típico para estos cmdlets es proteger todos los archivos de una carpeta mediante una plantilla de directiva de permisos, o bien desproteger un archivo.A typical scenario for these cmdlets is to protect all files in a folder by using a rights policy template, or to unprotect a file.

En primer lugar, si tiene más de una implementación de AD RMS, necesita los nombres de los servidores de AD RMS, que puede obtener con el cmdlet Get-RMSServer para mostrar una lista de los servidores disponibles:First, if you have more than one deployment of AD RMS, you need the names of your AD RMS servers, which you do by using the Get-RMSServer cmdlet to display a list of available servers:

Get-RMSServer

La salida puede ser parecida a la siguiente:Your output might look similar to the following:

Number of RMS Servers that can provide templates: 2 
ConnectionInfo             DisplayName          AllowFromScratch
--------------             -------------        ----------------
Microsoft.InformationAnd…  RmsContoso                       True
Microsoft.InformationAnd…  RmsFabrikam                      True

Para poder proteger los archivos, debe obtener una lista de las plantillas de RMS para identificar cuál va a usar y el número de identificador correspondiente.Before you can protect files, you need to get a list of RMS templates to identify which one to use and its corresponding ID number. Solo necesita especificar también el servidor de RMS cuando tiene más de una implementación de AD RMS.Only when you have more than one AD RMS deployment do you need to specify the RMS server as well.

En la salida, puede copiar el identificador de plantilla:From the output, you can then copy the template ID:

Get-RMSTemplate -RMSServer RmsContoso

La salida puede ser parecida a la siguiente:Your output might look similar to the following:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True


TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Ahora que ya sabe el identificador de plantilla, puede utilizarlo con el cmdlet Protect-RMSFile para proteger un único archivo o todos los archivos de una carpeta.Now you know the template ID, you can use it with the Protect-RMSFile cmdlet to protect a single file or all files in a folder. Por ejemplo, si desea proteger un único archivo y reemplazar el original con el uso de la plantilla de "Contoso, Ltd - Confidencial":For example, if you want to protect a single file only and replace the original, by using the "Contoso, Ltd - Confidential" template:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

La salida puede ser parecida a la siguiente:Your output might look similar to the following:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx   

Para proteger todos los archivos de una carpeta, use el parámetro -Folder con una letra de unidad y la ruta de acceso, o la ruta de acceso UNC.To protect all files in a folder, use the -Folder parameter with a drive letter and path, or UNC path. Por ejemplo:For example:

Protect-RMSFile -Folder \\Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

La salida puede ser parecida a la siguiente:Your output might look similar to the following:

InputFile                          EncryptedFile
---------                          -------------
\\Server1\Documents\Test1.docx     \\Server1\Documents\Test1.docx   
\\Server1\Documents\Test2.docx     \\Server1\Documents\Test2.docx   
\\Server1\Documents\Test3.docx     \\Server1\Documents\Test3.docx   
\\Server1\Documents\Test4.docx     \\Server1\Documents\Test4.docx   

Si la extensión de nombre de archivo no cambia después de aplicar la protección, siempre se puede usar el cmdlet Get-RMSFileStatus más adelante para comprobar si el archivo está protegido.When the file name extension does not change after protection is applied, you can always use the Get-RMSFileStatus cmdlet later to check whether the file is protected. Por ejemplo:For example:

Get-RMSFileStatus -File \\Server1\Documents\Test1.docx

La salida puede ser parecida a la siguiente:Your output might look similar to the following:

FileName                              Status
--------                              ------
\\Server1\Documents\Test1.docx        Protected

Para desproteger un archivo, debe tener derechos de uso de propietario o de extracción desde el momento en que se haya protegido el archivo, o bien debe ser superusuario para AD RMS.To unprotect a file, you must have Owner or Extract usage rights from when the file was protected, or be super user for AD RMS. A continuación, use el cmdlet Unprotect.Then, use the Unprotect cmdlet. Por ejemplo:For example:

Unprotect-RMSFile C:\test.docx -InPlace

La salida puede ser parecida a la siguiente:Your output might look similar to the following:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Cómo etiquetar archivos de manera no interactiva para Azure Information ProtectionHow to label files non-interactively for Azure Information Protection

Puede ejecutar los cmdlets de etiquetado de forma no interactiva mediante el cmdlet Set-AIPAuthentication.You can run the labeling cmdlets non-interactively by using the Set-AIPAuthentication cmdlet. El analizador de Azure Information Protection también requiere un funcionamiento no interactivo.Non-interactive operation is also required for the Azure Information Protection scanner.

De forma predeterminada, al ejecutar los cmdlets para etiquetado, los comandos se ejecutan en su propio contexto de usuario en una sesión interactiva de PowerShell.By default, when you run the cmdlets for labeling, the commands run in your own user context in an interactive PowerShell session. Para ejecutarlos de manera desatendida, cree una nueva cuenta de usuario de Azure AD con este fin.To run them unattended, create a new Azure AD user account for this purpose. Después, en el contexto de ese usuario, ejecute el cmdlet Set-AIPAuthentication para establecer y almacenar las credenciales mediante el uso de un token de acceso de Azure AD.Then, in the context of that user, run the Set-AIPAuthentication cmdlet to set and store credentials by using an access token from Azure AD. Esta cuenta de usuario se autentica y se arranca después para el servicio Azure Rights Management.This user account is then authenticated and bootstrapped for the Azure Rights Management service. La cuenta descarga la directiva de Azure Information Protection, así como las plantillas de Rights Management que utilizan las etiquetas.The account downloads the Azure Information Protection policy and any Rights Management templates that the labels use.

Nota

Si usa directivas con ámbito, recuerde que es posible que deba agregar esta cuenta a dichas directivas.If you use scoped policies, remember that you might need to add this account to your scoped policies.

La primera vez que ejecute este cmdlet, deberá iniciar sesión en Azure Information Protection.The first time you run this cmdlet, you are prompted to sign in for Azure Information Protection. Especifique el nombre de la cuenta de usuario y la contraseña que ha creado para el usuario desatendido.Specify the user account name and password that you created for the unattended user. Después de eso, esta cuenta podrá ejecutar los cmdlets de etiquetado de manera no interactiva hasta que expire el token de autenticación.After that, this account can then run the labeling cmdlets non-interactively until the authentication token expires.

Para que la cuenta de usuario pueda iniciar sesión de forma interactiva la primera vez, debe tener el derecho de inicio de sesión local.For the user account to be able to sign in interactively this first time, the account must have the Log on locally right. Este derecho es estándar para las cuentas de usuario, pero las directivas de la empresa pueden impedir esta configuración para las cuentas de servicio.This right is standard for user accounts but your company policies might prohibit this configuration for service accounts. En ese caso, puede ejecutar Set-AIPAuthentication con el parámetro Token, con el fin de que la autenticación se complete sin el aviso de inicio de sesión.If that's the case, you can run Set-AIPAuthentication with the Token parameter so that authentication completes without the sign-in prompt. Puede ejecutar este comando como si fuera una tarea programada y otorgar a la cuenta el derecho menor para iniciar sesión como un trabajo por lotes.You can run this command as a scheduled task and grant the account the lower right of Log on as batch job. Para más información, consulte las secciones siguientes.For more information, see the following sections.

Cuando el token expire, vuelva a ejecutar el cmdlet para adquirir uno nuevo.When the token expires, run the cmdlet again to acquire a new token.

Si ejecuta este cmdlet sin parámetros, la cuenta adquiere un token de acceso que es válido durante 90 días o hasta que expire la contraseña.If you run this cmdlet without parameters, the account acquires an access token that is valid for 90 days or until your password expires.

Para controlar cuándo expira el token de acceso, ejecute este cmdlet con parámetros.To control when the access token expires, run this cmdlet with parameters. Esto le permite configurar el token de acceso durante un año, dos años, o para que nunca expire.This lets you configure the access token for one year, two years, or to never expire. Esta configuración requiere que tenga dos aplicaciones registradas en Azure Active Directory: una aplicación web o API y una aplicación nativa.This configuration requires you to have two applications registered in Azure Active Directory: A Web app / API application and a native application. Los parámetros de este cmdlet utilizan valores de estas aplicaciones.The parameters for this cmdlet use values from these applications.

Después de ejecutar este cmdlet, puede ejecutar los cmdlets de etiquetado en el contexto de la cuenta de usuario que ha creado.After you have run this cmdlet, you can run the labeling cmdlets in the context of the user account that you created.

Para crear y configurar las aplicaciones de Azure AD para Set-AIPAuthenticationTo create and configure the Azure AD applications for Set-AIPAuthentication

  1. En una nueva ventana del explorador, inicie sesión en Azure Portal.In a new browser window, sign in the Azure portal.

  2. En el Azure AD inquilino que usa con Azure Information Protection, vaya a Azure Active Directory > administrar ** > registros de aplicaciones.**For the Azure AD tenant that you use with Azure Information Protection, navigate to Azure Active Directory > Manage > App registrations.

  3. Seleccione + nuevo registropara crear la aplicación de/API de la aplicación Web.Select + New registration, to create your Web app /API application. En el panel registrar una aplicación , especifique los siguientes valores y, a continuación, haga clic en registrar:On the Register an application pane, specify the following values, and then click Register:

    • Nombre: AIPOnBehalfOfName: AIPOnBehalfOf

      Si lo prefiere, especifique un nombre diferente.If you prefer, specify a different name. Debe ser único para cada inquilino.It must be unique per tenant.

    • Tipos de cuenta admitidos: solo cuentas en este directorio de la organizaciónSupported account types: Accounts in this organizational directory only

    • URI de redirección (opcional) : Web y http://localhostRedirect URI (optional): Web and http://localhost

  4. En el panel AIPOnBehalfOf , copie el valor del identificador de la aplicación (cliente) .On the AIPOnBehalfOf pane, copy the value for the Application (client) ID. El valor es similar al ejemplo siguiente: 57c3c1c3-abf9-404e-8b2b-4652836c8c66.The value looks similar to the following example: 57c3c1c3-abf9-404e-8b2b-4652836c8c66. Este valor se usa para el parámetro WebAppId al ejecutar el cmdlet Set-AIPAuthentication.This value is used for the WebAppId parameter when you run the Set-AIPAuthentication cmdlet. Pegue y guarde el valor para una referencia posterior.Paste and save the value for later reference.

  5. En el panel AIPOnBehalfOf , en el menú administrar , seleccione autenticación.Still on the AIPOnBehalfOf pane, from the Manage menu, select Authentication.

  6. En el panel AIPOnBehalfOf-Authentication , en la sección Configuración avanzada , seleccione la casilla tokens de identificador y, a continuación, seleccione Guardar.On the AIPOnBehalfOf - Authentication pane, in the Advanced settings section, select the ID tokens checkbox, and then select Save.

  7. En el panel AIPOnBehalfOf-Authentication , en el menú administrar , seleccione certificados & secretos.Still on the AIPOnBehalfOf - Authentication pane, from the Manage menu, select Certificates & secrets.

  8. En el panel AIPOnBehalfOf-certificates & Secrets , en la sección secretos de cliente , seleccione + nuevo secreto de cliente.On the AIPOnBehalfOf - Certificates & secrets pane, in the Client secrets section, select + New client secret.

  9. Para Agregar un secreto de cliente, especifique lo siguiente y, a continuación, seleccione Agregar:For Add a client secret, specify the following, and then select Add:

    • Descripción: Azure Information Protection clientDescription: Azure Information Protection client
    • Expires: especifique la duración de su elección (1 año, 2 años o nunca expira)Expires: Specify your choice of duration (1 year, 2 years, or never expires)
  10. De nuevo en el panel AIPOnBehalfOf-certificates & Secrets , en la sección secretos de cliente , copie la cadena del valor.Back on the AIPOnBehalfOf - Certificates & secrets pane, in the Client secrets section, copy the string for the VALUE. Esta cadena es similar a la del ejemplo siguiente: +LBkMvddz?WrlNCK5v0e6_=meM59sSAn.This string looks similar to the following example: +LBkMvddz?WrlNCK5v0e6_=meM59sSAn. Para asegurarse de que copia todos los caracteres, seleccione el icono para copiarlo en el portapapeles.To make sure you copy all the characters, select the icon to Copy to clipboard.

    Es importante guardar esta cadena porque no se muestra de nuevo y no se puede recuperar.It's important that you save this string because it is not displayed again and it cannot be retrieved. Como con cualquier información confidencial que use, almacene el valor guardado de forma segura y restrinja el acceso a él.As with any sensitive information that you use, store the saved value securely and restrict access to it.

  11. Todavía en el panel AIPOnBehalfOf-certificates & Secrets , en el menú administrar , seleccione exponer una API.Still on the AIPOnBehalfOf - Certificates & secrets pane, from the Manage menu, select Expose an API.

  12. En el panel AIPOnBehalfOf: exposición de una API , seleccione establecer para la opción URI de ID. de aplicación y, en el valor URI de ID. de aplicación , cambie API a http.On the AIPOnBehalfOf - Expose an API pane, select Set for the Application ID URI option, and in the Application ID URI value, change api to http. Esta cadena es similar a la del ejemplo siguiente: http://d244e75e-870b-4491-b70d-65534953099e.This string looks similar to the following example: http://d244e75e-870b-4491-b70d-65534953099e.

    Seleccione Guardar.Select Save.

  13. En el panel de AIPOnBehalfOf: exposición de una API , seleccione + Agregar un ámbito.Back on the AIPOnBehalfOf - Expose an API pane, select + Add a scope.

  14. En el panel Agregar un ámbito , especifique lo siguiente, usando las cadenas sugeridas como ejemplos y, a continuación, seleccione Agregar ámbito:On the Add a scope pane, specify the following, using the suggested strings as examples, and then select Add scope:

    • Nombre del ámbito: user-impersonationScope name: user-impersonation
    • ¿ Quién puede dar su consentimiento? : administradores y usuariosWho can consent?: Admins and users
    • Nombre para mostrar del consentimiento del administrador: Access Azure Information Protection scannerAdmin consent display name: Access Azure Information Protection scanner
    • Descripción del consentimiento del administrador: Allow the application to access the scanner for the signed-in userAdmin consent description: Allow the application to access the scanner for the signed-in user
    • Nombre para mostrar del consentimiento del usuario: Access Azure Information Protection scannerUser consent display name: Access Azure Information Protection scanner
    • Descripción del consentimiento del usuario: Allow the application to access the scanner for the signed-in userUser consent description: Allow the application to access the scanner for the signed-in user
    • Estado: habilitado (valor predeterminado)State: Enabled (the default)
  15. De nuevo en el panel de AIPOnBehalfOf: exposición de una API , cierre este panel.Back on the AIPOnBehalfOf - Expose an API pane, close this pane.

  16. En el panel registros de aplicaciones , seleccione + nuevo registro de aplicaciones para crear ahora la aplicación nativa.On the App registrations pane, select + New application registration to now create your native application.

  17. En el panel registrar una aplicación , especifique la siguiente configuración y, a continuación, seleccione registrar:On the Register an application pane, specify the following settings, and then select Register:

    • Nombre: AIPClientName: AIPClient
    • Tipos de cuenta admitidos: solo cuentas en este directorio de la organizaciónSupported account types: Accounts in this organizational directory only
    • URI de redirección (opcional) : cliente público (Mobile & desktop) y http://localhostRedirect URI (optional): Public client (mobile & desktop) and http://localhost
  18. En el panel AIPClient , copie el valor del identificador de la aplicación (cliente) .On the AIPClient pane, copy the value of the Application (client) ID. El valor es similar al ejemplo siguiente: 8ef1c873-9869-4bb1-9c11-8313f9d7f76f.The value looks similar to the following example: 8ef1c873-9869-4bb1-9c11-8313f9d7f76f.

    Este valor se usa para el parámetro NativeAppId al ejecutar el cmdlet Set-AIPAuthentication.This value is used for the NativeAppId parameter when you run the Set-AIPAuthentication cmdlet. Pegue y guarde el valor para una referencia posterior.Paste and save the value for later reference.

  19. En el panel AIPClient , en el menú administrar , seleccione autenticación.Still on the AIPClient pane, from the Manage menu, select Authentication.

  20. En el panel AIPClient-Authentication , especifique lo siguiente y, a continuación, seleccione Guardar:On the AIPClient - Authentication pane, specify the following, and then select Save:

    • En la sección Configuración avanzada , seleccione tokens de identificador.In the Advanced settings section, select ID tokens.
    • En la sección tipo de cliente predeterminado , seleccione .In the Default client type section, select Yes.
  21. Todavía en el panel AIPClient-Authentication , en el menú administrar , seleccione permisosde la API.Still on the AIPClient - Authentication pane, from the Manage menu, select API permissions.

  22. En el panel AIPClient-permisos , seleccione + Agregar un permiso.On the AIPClient - permissions pane, select + Add a permission.

  23. En el panel solicitar permisos de API , seleccione mis API.On the Request API permissions pane, select My APIs.

  24. En la sección seleccionar una API , seleccione APIOnBehalfOfy, a continuación, active la casilla para la suplantación de usuario, como el permiso.In the Select an API section, select APIOnBehalfOf, then select the checkbox for user-impersonation, as the permission. Seleccione Agregar permisos.Select Add permissions.

  25. En el panel permisos de la API, en la sección conceder consentimiento , seleccione conceder consentimiento de administración para <su nombre de inquilino> y seleccione en el mensaje de confirmación.Back on the API permissions pane, in the Grant consent section, select Grant admin consent for <your tenant name> and select Yes for the confirmation prompt.

Ya ha completado la configuración de las dos aplicaciones y tiene los valores que necesita para ejecutar Set-AIPAuthentication con parámetros WebAppId, WebAppKey y NativeAppId.You've now completed the configuration of the two apps and you have the values that you need to run Set-AIPAuthentication with the parameters WebAppId, WebAppKey and NativeAppId. En los ejemplos:From our examples:

Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "+LBkMvddz?WrlNCK5v0e6_=meM59sSAn" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f"

Ejecute este comando en el contexto de la cuenta que etiquetará y protegerá los documentos de una manera no interactiva.Run this command in the context of the account that will label and protect the documents non-interactively. Por ejemplo, una cuenta de usuario para los scripts de PowerShell o la cuenta de servicio para ejecutar el analizador de Azure Information Protection.For example, a user account for your PowerShell scripts or the service account to run the Azure Information Protection scanner.

La primera vez que se ejecuta este comando se le pide que inicie sesión, que crea y almacena de forma segura el token de acceso de su cuenta en % localappdata%\Microsoft\MSIP.When you run this command for the first time, you are prompted to sign in, which creates and securely stores the access token for your account in %localappdata%\Microsoft\MSIP. Tras este inicio de sesión inicial, puede etiquetar y proteger los archivos de manera no interactiva en el equipo.After this initial sign-in, you can label and protect files non-interactively on the computer. Sin embargo, si usa una cuenta de servicio para etiquetar y proteger los archivos, y la cuenta no puede iniciar sesión de forma interactiva, siga las instrucciones de la siguiente sección para que la cuenta se pueda autenticar mediante un token.However, if you use a service account to label and protect files, and this service account cannot sign in interactively, use the instructions in the following section so that the service account can authenticate by using a token.

Especificación y uso del parámetro Token en Set-AIPAuthenticationSpecify and use the Token parameter for Set-AIPAuthentication

Use los siguientes pasos adicionales e instrucciones para evitar el inicio de sesión interactivo inicio de sesión de una cuenta que etiqueta y protege los archivos.Use the following additional steps and instructions to avoid the initial interactive sign-in for an account that labels and protects files. Normalmente, estos pasos adicionales solo son necesarios si a esta cuenta no se le puede otorgar el derecho inicio de sesión local derecha, pero se le otorga el derecho iniciar sesión como trabajo de Batch.Typically, these additional steps are required only if this account cannot be granted the Log on locally right but is granted the Log on as a batch job right. Por ejemplo, esto puede suceder en la cuenta de servicio que ejecuta el detector de Azure Information Protection.For example, this might be the case for your service account that runs the Azure Information Protection scanner.

Pasos detallados:High-level steps:

  1. Cree un script de PowerShell en el equipo local.Create a PowerShell script on your local computer.

  2. Ejecute Set-AIPAuthentication para obtener un token de acceso y cópielo en el Portapapeles.Run Set-AIPAuthentication to get an access token and copy it to the clipboard.

  3. Modifique el script de PowerShell para incluir el token.Modify the PowerShell script to include the token.

  4. Cree una tarea que ejecute el script de PowerShell en el contexto de la cuenta de servicio que etiquetará y protegerá los archivos.Create a task that runs the PowerShell script in the context of the service account that will label and protect files.

  5. Confirme que el token se guarda para la cuenta de servicio y elimine el script de PowerShell.Confirm that the token is saved for the service account, and delete the PowerShell script.

Paso 1: Cree un script de PowerShell en el equipo localStep 1: Create a PowerShell script on your local computer

  1. En el equipo, cree un nuevo script de PowerShell llamado Aipauthentication.ps1.On your computer, create a new PowerShell script named Aipauthentication.ps1.

  2. Copie y pegue el siguiente comando en este script:Copy and paste the following command into this script:

      Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application> -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application > -Token <token value>
    
  3. Con las instrucciones de la sección anterior, modifique este comando mediante la especificación de sus propios valores para los parámetros WebAppId, WebAppkey y NativeAppId.Using the instructions in the preceding section, modify this command by specifying your own values for the WebAppId, WebAppkey, and NativeAppId parameters. En este momento, no tiene el valor del parámetro Token, así que lo especificará más adelante.At this time, you do not have the value for the Token parameter, which you specify later.

    Por ejemplo: Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>For example: Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>

Paso 2: Ejecute Set-AIPAuthentication para obtener un token de acceso y cópielo en el PortapapelesStep 2: Run Set-AIPAuthentication to get an access token and copy it to the clipboard

  1. Abra una sesión de Windows PowerShell.Open a Windows PowerShell session.

  2. Con los mismos valores que ha especificado en el script, ejecute el siguiente comando:Using the same values as you specified in the script, run the following command:

     (Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application>  -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application >).token | clip
    

    Por ejemplo: (Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clipFor example: (Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clip

Paso 3: Modifique el script de PowerShell para suministrar el tokenStep 3: Modify the PowerShell script to supply the token

  1. En el script de PowerShell, especifique el valor del token (para lo que debe pegar la cadena desde el Portapapeles) y guarde el archivo.In your PowerShell script, specify the token value by pasting the string from the clipboard, and save the file.

  2. Firme el script.Sign the script. Si no firma el script (más seguro), debe configurar Windows PowerShell en el equipo que ejecutará los comandos de etiquetado.If you do not sign the script (more secure), you must configure Windows PowerShell on the computer that will run the labeling commands. Por ejemplo, ejecute una sesión de Windows PowerShell con la opción Ejecutar como administrador y escriba: Set-ExecutionPolicy RemoteSigned.For example, run a Windows PowerShell session with the Run as Administrator option, and type: Set-ExecutionPolicy RemoteSigned. Sin embargo, esta configuración permite la ejecución de todos los scripts sin firmar cuando se almacenan en este equipo (menos seguro).However, this configuration lets all unsigned scripts run when they are stored on this computer (less secure).

    Para obtener más información acerca de la firma de scripts de Windows PowerShell, consulte about_Signing en la biblioteca de documentación de PowerShell.For more information about signing Windows PowerShell scripts, see about_Signing in the PowerShell documentation library.

  3. Copie este script de PowerShell en el equipo que etiquetará y protegerá los archivos, y elimine el de su equipo.Copy this PowerShell script to the computer that will label and protect files, and delete the original on your computer. Por ejemplo, copie el script de PowerShell en C:\Scripts\Aipauthentication.ps1 en un equipo con Windows Server.For example, you copy the PowerShell script to C:\Scripts\Aipauthentication.ps1 on a Windows Server computer.

Paso 4: Cree una tarea que ejecute el script de PowerShellStep 4: Create a task that runs the PowerShell script

  1. Asegúrese de que la cuenta de servicio que etiquetará y protegerá los archivos tiene el derecho de inicio de sesión como trabajo de Batch.Make sure that the service account that will label and protect files has the Log on as a batch job right.

  2. En el equipo que etiquetará y protegerá los archivos, abra el Programador de tareas y cree una nueva tarea.On the computer that will label and protect files, open Task Scheduler and create a new task. Configure esta tarea para que se ejecute como la cuenta de servicio que etiquetará y protegerá los archivos y, después, configure los siguientes valores para las acciones:Configure this task to run as the service account that will label and protect files, and then configure the following values for the Actions:

    • Acción: Start a programAction: Start a program

    • Programa o script: Powershell.exeProgram/script: Powershell.exe

    • Agregar argumentos (opcional) : -NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"Add arguments (optional): -NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"

      Para la línea de argumento, especifique sus propios nombre de archivo y ruta de acceso, en caso de que sean diferentes de los del ejemplo.For the argument line, specify your own path and file name, if these are different from the example.

  3. Ejecute manualmente esta tarea.Manually run this task.

Paso 5: confirmar que el token se guarda y eliminar el script de PowerShellStep 5: Confirm that the token is saved and delete the PowerShell script

  1. Confirme que el token se ha almacenado en la carpeta %localappdata%\Microsoft\MSIP del perfil de la cuenta de servicio.Confirm that the token is now stored in the %localappdata%\Microsoft\MSIP folder for the service account profile. Este valor lo protege la cuenta de servicio.This value is protected by the service account.

  2. Elimine el script de PowerShell que contiene el valor del token (por ejemplo, Aipauthentication.ps1).Delete the PowerShell script that contains the token value (for example, Aipauthentication.ps1).

    Opcionalmente, elimine la tarea.Optionally, delete the task. Si el token expira, debe repetir este proceso, en cuyo caso puede ser más cómodo dejar la tarea configurada para que esté lista para volver a ejecutarse cuando copie el nuevo script PowerShell con el nuevo valor del token.If your token expires, you must repeat this process, in which case it might be more convenient to leave the configured task so that it's ready to rerun when you copy over the new PowerShell script with the new token value.

Pasos siguientesNext steps

Para obtener ayuda sobre los cmdlets cuando esté en una sesión de PowerShell, escriba Get-Help <cmdlet name> cmdlet y utilice el parámetro -online para leer la información más actualizada.For cmdlet help when you are in a PowerShell session, type Get-Help <cmdlet name> cmdlet, and use the -online parameter to read the most up-to-date information. Por ejemplo:For example:

Get-Help Get-RMSTemplate -online

Vea la información adicional siguiente que puede necesitar para la compatibilidad con el cliente de Azure Information Protection:See the following for additional information that you might need to support the Azure Information Protection client: