Guía del administrador: uso de PowerShell con el Azure Information Protection cliente unificadoAdmin Guide: Using PowerShell with the Azure Information Protection unified client

Se aplica a: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 con SP1, windows Server 2019, windows Server 2016, windows Server 2012 R2, windows Server 2012, windows Server 2008 R2Applies to: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

Instrucciones para: Azure Information Protection cliente de etiquetado unificado para WindowsInstructions for: Azure Information Protection unified labeling client for Windows

Al instalar el cliente de etiquetado Unificado de Azure Information Protection, los comandos de PowerShell se instalan automáticamente.When you install the Azure Information Protection unified labeling client, PowerShell commands are automatically installed. Esto le permite administrar el cliente mediante la ejecución de comandos que puede colocar en scripts para la automatización.This lets you manage the client by running commands that you can put into scripts for automation.

Los cmdlets se instalan con el módulo de PowerShell AzureInformationProtection, que tiene cmdlets para etiquetar.The cmdlets are installed with the PowerShell module AzureInformationProtection, which has cmdlets for labeling. Por ejemplo:For example:

Cmdlet de etiquetadoLabeling cmdlet Ejemplo de usoExample usage
Get-AIPFileStatusGet-AIPFileStatus Para una carpeta compartida, identifique todos los archivos con una etiqueta específica.For a shared folder, identify all files with a specific label.
Set-AIPFileClassificationSet-AIPFileClassification Para una carpeta compartida, revise el contenido del archivo y, luego, etiquete automáticamente los archivos no etiquetados, según las condiciones que especificó.For a shared folder, inspect the file contents and then automatically label unlabeled files, according to the conditions that you have specified.
Set-AIPFileLabelSet-AIPFileLabel Para una carpeta compartida, aplique una etiqueta específica a todos los archivos que no tienen ninguna etiqueta.For a shared folder, apply a specified label to all files that do not have a label.
Set-AIPAuthenticationSet-AIPAuthentication Etiqueta archivos de forma no interactiva, por ejemplo mediante un script que se ejecuta según una programación.Label files non-interactively, for example by using a script that runs on a schedule.

Sugerencia

Para usar cmdlets con longitudes de ruta de acceso superiores a 260 caracteres, utilice la siguiente configuración de directiva de grupo que está disponible a partir de Windows 10, versión 1607:To use cmdlets with path lengths greater than 260 characters, use the following group policy setting that is available starting Windows 10, version 1607:
Directiva de equipo Local > configuración del equipo > Plantillas administrativas > todos los valores > Habilitar rutas de acceso largas de Win32Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

Para Windows Server 2016, puede usar la misma configuración de directiva de grupo cuando instale las plantillas administrativas más recientes (.admx) para Windows 10.For Windows Server 2016, you can use the same group policy setting when you install the latest Administrative Templates (.admx) for Windows 10.

Para obtener más información, vea la sección Maximum Path Length Limitation (Limitación de longitud máxima de ruta de acceso) de la documentación para desarrolladores de Windows 10.For more information, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

Este módulo se instala en \Archivos de programa (x86)\Microsoft Azure Information Protection y agrega esta carpeta a la variable del sistema PSModulePath.This module installs in \ProgramFiles (x86)\Microsoft Azure Information Protection and adds this folder to the PSModulePath system variable. El archivo .dll de este módulo se denomina AIP.dll.The .dll for this module is named AIP.dll.

Importante

El módulo AzureInformationProtection no admite la configuración de opciones avanzadas para etiquetas o directivas de etiqueta.The AzureInformationProtection module doesn't support configuring advanced settings for labels or label policies. Para esta configuración, necesita Office 365 Centro de seguridad y cumplimiento PowerShell.For these settings, you need the Office 365 Security & Compliance Center PowerShell. Para obtener más información, consulte configuraciones personalizadas para el Azure Information Protection cliente de etiquetado unificado.For more information, see Custom configurations for the Azure Information Protection unified labeling client.

Requisitos previos para usar el módulo AzureInformationProtectionPrerequisites for using the AzureInformationProtection module

Además de los requisitos previos para instalar el módulo AzureInformationProtection, existen requisitos previos adicionales para cuando se usan los cmdlets de etiquetado para Azure Information Protection:In addition to the prerequisites for installing the AzureInformationProtection module, there are additional prerequisites for when you use the labeling cmdlets for Azure Information Protection:

  1. El servicio Azure Rights Management debe estar activado.The Azure Rights Management service must be activated.

  2. Para quitar la protección de los archivos para otros usuarios con su propia cuenta:To remove protection from files for others using your own account:

    • La característica de superusuario debe habilitarse para su organización y su cuenta debe estar configurada para interactuar como superusuario en Azure Rights Management.The super user feature must be enabled for your organization and your account must be configured to be a super user for Azure Rights Management.

Requisito previo 1: el servicio Azure Rights Management debe estar activadoPrerequisite 1: The Azure Rights Management service must be activated

Si el inquilino de Azure Information Protection no está activado, consulte las instrucciones para [activación del servicio de protección desde Azure Information Protection.If your Azure Information Protection tenant is not activated, see the instructions for [Activating the protection service from Azure Information Protection.

Requisito previo 2: quitar la protección de archivos para otros usuarios con su propia cuentaPrerequisite 2: To remove protection from files for others using your own account

Los escenarios típicos para quitar la protección de archivos para otros usuarios incluyen la detección de datos o la recuperación de datos.Typical scenarios for removing protection from files for others include data discovery or data recovery. Si usa etiquetas para aplicar la protección, puede quitar la protección estableciendo una nueva etiqueta que no aplica protección o quitando la etiqueta.If you are using labels to apply the protection, you could remove the protection by setting a new label that doesn't apply protection or by removing the label.

Debe tener permisos de uso de Rights Management para quitar la protección de archivos, o bien ser un superusuario.You must have a Rights Management usage right to remove protection from files, or be a super user. Para la detección o recuperación de datos, suele usarse la característica de superusuario.For data discovery or data recovery, the super user feature is typically used. Para habilitar esta característica y configurar la cuenta para que sea un superusuario, consulte Configuración de superusuarios para Azure Information Protection y servicios de detección o recuperación de datos.To enable this feature and configure your account to be a super user, see Configuring super users for Azure Information Protection and discovery services or data recovery.

Cómo etiquetar archivos de manera no interactiva para Azure Information ProtectionHow to label files non-interactively for Azure Information Protection

Puede ejecutar los cmdlets de etiquetado de forma no interactiva mediante el cmdlet Set-AIPAuthentication.You can run the labeling cmdlets non-interactively by using the Set-AIPAuthentication cmdlet.

De forma predeterminada, al ejecutar los cmdlets para etiquetado, los comandos se ejecutan en su propio contexto de usuario en una sesión interactiva de PowerShell.By default, when you run the cmdlets for labeling, the commands run in your own user context in an interactive PowerShell session. Para ejecutarlos de forma desatendida, use una cuenta de Windows que pueda iniciar sesión de forma interactiva y use una cuenta en Azure AD que se usará para el acceso delegado.To run them unattended, use a Windows account that can sign in interactively, and use an account in Azure AD that will be used for delegated access. Para facilitar la administración, use una cuenta única que se sincronice desde Active Directory a Azure AD.For ease of administration, use a single account that's synchronized from Active Directory to Azure AD.

También debe solicitar un token de acceso de Azure AD, que establece y almacena las credenciales para que el usuario delegado se autentique en Azure Information Protection.You also need to request an access token from Azure AD, which sets and stores credentials for the delegated user to authenticate to Azure Information Protection.

El equipo que ejecuta el cmdlet AIPAuthentication descarga las directivas de etiqueta con las etiquetas asignadas a la cuenta de usuario delegada mediante el centro de administración de etiquetas, como el Centro de seguridad y cumplimiento de Office 365.The computer running the AIPAuthentication cmdlet downloads the label policies with labels that are assigned to the delegated user account by using your labeling management center, such as the Office 365 Security & Compliance Center.

Nota

Si usa directivas de etiqueta para diferentes usuarios, es posible que necesite crear una nueva Directiva de etiqueta que publique todas las etiquetas y publicar la Directiva solo en esta cuenta de usuario delegado.If you use label policies for different users, you might need to create a new label policy that publishes all your labels, and publish the policy to just this delegated user account.

Cuando expire el token de Azure AD, debe volver a ejecutar el cmdlet para adquirir un nuevo token.When the token in Azure AD expires, you must run the cmdlet again to acquire a new token. Puede configurar el token de acceso en Azure AD durante un año, dos años o para no expirar nunca.You can configure the access token in Azure AD for one year, two years, or to never expire. Los parámetros de set-AIPAuthentication usan valores de un proceso de registro de aplicaciones en Azure AD, como se describe en la sección siguiente.The parameters for Set-AIPAuthentication use values from an app registration process in Azure AD, as described in the next section.

Para la cuenta de usuario delegado:For the delegated user account:

  • Asegúrese de que tiene una directiva de etiqueta asignada a esta cuenta y que la Directiva contiene las etiquetas publicadas que desea usar.Make sure that you have a label policy assigned to this account and that the policy contains the published labels you want to use.

  • Si esta cuenta necesita descifrar contenido, por ejemplo, para volver a proteger los archivos e inspeccionar los archivos que otros usuarios han protegido, conviértalo en un superusuario para Azure Information Protection y asegúrese de que la característica de superusuario está habilitada.If this account needs to decrypt content, for example, to reprotect files and inspect files that others have protected, make it a super user for Azure Information Protection and make sure the super user feature is enabled.

  • Si ha implementado controles de incorporación para una implementación por fases, asegúrese de que esta cuenta esté incluida en los controles de incorporación que ha configurado.If you have implemented onboarding controls for a phased deployment, make sure that this account is included in your onboarding controls you've configured.

Para crear y configurar las aplicaciones de Azure AD para Set-AIPAuthenticationTo create and configure the Azure AD applications for Set-AIPAuthentication

Importante

Estas instrucciones son para la versión de disponibilidad general actual del cliente de etiquetado unificado y también se aplican a la versión preliminar del escáner para este cliente.These instructions are for the current general availability version of the unified labeling client and also apply to the preview version of the scanner for this client.

Set-AIPAuthentication requiere un registro de aplicación para los parámetros AppID y AppSecret .Set-AIPAuthentication requires an app registration for the AppId and AppSecret parameters. Si ha actualizado desde una versión anterior del cliente y ha creado un registro de aplicación para los parámetros WebAppId y NativeAppId anteriores, no funcionarán con el cliente de etiquetado unificado.If you upgraded from a previous version of the client and created an app registration for the previous WebAppId and NativeAppId parameters, they won't work with the unified labeling client. Debe crear un nuevo registro de aplicaciones de la siguiente manera:You must create a new app registration as follows:

  1. En una nueva ventana del explorador, inicie sesión en Azure Portal.In a new browser window, sign in the Azure portal.

  2. En el Azure AD inquilino que usa con Azure Information Protection, vaya a Azure Active Directory > administrar ** > registros de aplicaciones.**For the Azure AD tenant that you use with Azure Information Protection, navigate to Azure Active Directory > Manage > App registrations.

  3. Seleccione + nuevo registro.Select + New registration. En el panel registrar una aplicación , especifique los siguientes valores y, a continuación, haga clic en registrar:On the Register an application pane, specify the following values, and then click Register:

    • Nombre: AIP-DelegatedUserName: AIP-DelegatedUser

      Si lo prefiere, especifique un nombre diferente.If you prefer, specify a different name. Debe ser único para cada inquilino.It must be unique per tenant.

    • Tipos de cuenta admitidos: solo cuentas en este directorio de la organizaciónSupported account types: Accounts in this organizational directory only

    • URI de redirección (opcional) : Web y https://localhostRedirect URI (optional): Web and https://localhost

  4. En el panel AIP-DelegatedUser , copie el valor del identificador de la aplicación (cliente) .On the AIP-DelegatedUser pane, copy the value for the Application (client) ID. El valor es similar al ejemplo siguiente: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.The value looks similar to the following example: 77c3c1c3-abf9-404e-8b2b-4652836c8c66. Este valor se usa para el parámetro AppID al ejecutar el cmdlet Set-AIPAuthentication.This value is used for the AppId parameter when you run the Set-AIPAuthentication cmdlet. Pegue y guarde el valor para una referencia posterior.Paste and save the value for later reference.

  5. En la barra lateral, seleccione administrar certificados de > & secretos.From the sidebar, select Manage > Certificates & secrets.

  6. En el panel AIP-DelegatedUser-certificates & Secrets , en la sección secretos de cliente , seleccione + nuevo secreto de cliente.On the AIP-DelegatedUser - Certificates & secrets pane, in the Client secrets section, select + New client secret.

  7. Para Agregar un secreto de cliente, especifique lo siguiente y, a continuación, seleccione Agregar:For Add a client secret, specify the following, and then select Add:

    • Descripción: Azure Information Protection unified labeling clientDescription: Azure Information Protection unified labeling client
    • Expires: especifique la duración de su elección (1 año, 2 años o nunca expira)Expires: Specify your choice of duration (1 year, 2 years, or never expires)
  8. De nuevo en el panel AIP-DelegatedUser-certificates & Secrets , en la sección secretos de cliente , copie la cadena del valor.Back on the AIP-DelegatedUser - Certificates & secrets pane, in the Client secrets section, copy the string for the VALUE. Esta cadena es similar a la del ejemplo siguiente: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.This string looks similar to the following example: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4. Para asegurarse de que copia todos los caracteres, seleccione el icono para copiarlo en el portapapeles.To make sure you copy all the characters, select the icon to Copy to clipboard.

    Es importante guardar esta cadena porque no se muestra de nuevo y no se puede recuperar.It's important that you save this string because it is not displayed again and it cannot be retrieved. Como con cualquier información confidencial que use, almacene el valor guardado de forma segura y restrinja el acceso a él.As with any sensitive information that you use, store the saved value securely and restrict access to it.

  9. En la barra lateral, seleccione administrar permisos de APIde > .From the sidebar, select Manage > API permissions.

  10. En el panel de permisos de AIP-DelegatedUser-API , seleccione + Agregar un permiso.On the AIP-DelegatedUser - API permissions pane, select + Add a permission.

  11. En el panel solicitar permisos de API , asegúrese de que se encuentra en la pestaña API de Microsoft y seleccione Azure Rights Management Services.On the Request API permissions pane, make sure that you're on the Microsoft APIs tab, and select Azure Rights Management Services. Cuando se le pida el tipo de permisos que requiere la aplicación, seleccione permisos de aplicación.When you're prompted for the type of permissions that your application requires, select Application permissions.

  12. En permisos de selección, expanda contenido y seleccione lo siguiente:For Select permissions, expand Content and select the following:

    • Contenido. DelegatedReaderContent.DelegatedReader
    • Contenido. DelegatedWriterContent.DelegatedWriter
  13. Seleccione Agregar permisos.Select Add permissions.

  14. De nuevo en el panel de permisos de AIP-DelegatedUser-API , seleccione + Agregar un permiso de nuevo.Back on the AIP-DelegatedUser - API permissions pane, select + Add a permission again.

  15. En el panel solicitar permisos de AIP , seleccione las API que usa mi organizacióny busque Microsoft Information Protection Sync Service.On the Request AIP permissions pane, select APIs my organization uses, and search for Microsoft Information Protection Sync Service.

  16. En el panel solicitar permisos de API , seleccione permisos de aplicación.On the Request API permissions pane, select Application permissions.

  17. Para Select Permissions, expanda UnifiedPolicy y seleccione lo siguiente:For Select permissions, expand UnifiedPolicy and select the following:

    • UnifiedPolicy. tenant. ReadUnifiedPolicy.Tenant.Read
  18. Seleccione Agregar permisos.Select Add permissions.

  19. De nuevo en el panel de permisos de AIP-DelegatedUser-API , seleccione conceder consentimiento de administración para <el nombre de inquilino> y seleccione en el mensaje de confirmación.Back on the AIP-DelegatedUser - API permissions pane, select Grant admin consent for <your tenant name> and select Yes for the confirmation prompt.

    Los permisos de la API deben tener un aspecto similar al siguiente:Your API permissions should look like the following:

    Permisos de API para la aplicación registrada en Azure AD

Ahora que ha completado el registro de esta aplicación con un secreto, está listo para ejecutar set-AIPAuthentication con los parámetros AppIDy AppSecret.Now you've completed the registration of this app with a secret, you're ready to run Set-AIPAuthentication with the parameters AppId, and AppSecret. Además, necesitará el identificador de inquilino.Additionally, you'll need your tenant ID.

Sugerencia

Puede copiar rápidamente el identificador de inquilino mediante Azure Portal: Azure Active Directory > administrar propiedades de > > identificador de directorio.You can quickly copy your tenant ID by using Azure portal: Azure Active Directory > Manage > Properties > Directory ID.

  1. Abra Windows PowerShell con la opción ejecutar como administrador.Open Windows PowerShell with the Run as administrator option.

  2. En la sesión de PowerShell, cree una variable para almacenar las credenciales de la cuenta de usuario de Windows que se ejecutará de forma no interactiva.In your PowerShell session, create a variable to store the credentials of the Windows user account that will run non-interactively. Por ejemplo, si ha creado una cuenta de servicio para el analizador:For example, if you created a service account for the scanner:

     $pscreds = Get-Credential "CONTOSO\srv-scanner"
    

    Se le pedirá la contraseña de la cuenta.You're prompted for this account's password.

  3. Ejecute el cmdlet Set-AIPAuthentication con el parámetro onbehalfof y especifique como valor la variable que acaba de crear.Run the Set-AIPAuthentication cmdlet, with the OnBeHalfOf parameter, specifying as its value the variable that you just created. Especifique también los valores de registro de la aplicación, el identificador de inquilino y el nombre de la cuenta de usuario delegado en Azure AD.Also specify your app registration values, your tenant ID, and the name of the delegated user account in Azure AD. Por ejemplo:For example:

     Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
    

Nota

Si el equipo no puede tener acceso a Internet, no es necesario crear la aplicación en Azure AD y ejecutar Set-AIPAuthentication.If the computer cannot have internet access, there's no need to create the app in Azure AD and run Set-AIPAuthentication. En su lugar, siga las instrucciones de equipos desconectados.Instead, follow the instructions for disconnected computers.

Pasos siguientesNext steps

Para obtener ayuda sobre los cmdlets cuando se encuentre en una sesión de PowerShell, escriba Get-Help <cmdlet name> -online.For cmdlet help when you are in a PowerShell session, type Get-Help <cmdlet name> -online. Por ejemplo:For example:

Get-Help Set-AIPFileLabel -online

Vea la información adicional siguiente que puede necesitar para la compatibilidad con el cliente de Azure Information Protection:See the following for additional information that you might need to support the Azure Information Protection client: