Guía del administrador: uso de PowerShell con el Azure Information Protection cliente unificado

*Se aplica a: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012 *

Si tiene Windows 7 u Office 2010, consulte AIP y versiones anteriores de Windows y Office.

*Relevante para: Azure Information Protection cliente de etiquetado unificado para Windows. *

Al instalar el Azure Information Protection cliente de etiquetado unificado, los comandos de PowerShell se instalan automáticamente como parte del módulo AzureInformationProtection , con cmdlets para el etiquetado.

El módulo AzureInformationProtection permite administrar el cliente mediante la ejecución de comandos para scripts de automatización.

Por ejemplo:

  • Get-AIPFileStatus: obtiene la etiqueta de Azure Information Protection y la información de protección para un archivo o archivos especificados.
  • Set-AIPFileClassification: examina un archivo para establecer automáticamente una etiqueta de Azure Information Protection para un archivo, de acuerdo con las condiciones configuradas en la Directiva.
  • Set-AIPFileLabel: establece o quita una etiqueta de Azure Information Protection para un archivo, y establece o quita la protección según la configuración de la etiqueta o los permisos personalizados.
  • Set-AIPAuthentication: establece las credenciales de autenticación para el cliente de Azure Information Protection.

El módulo AzureInformationProtection se instala en la carpeta \Archivos (x86) \Microsoft Azure Information Protection y, a continuación, agrega esta carpeta a la variable del sistema PSModulePath . El archivo .dll de este módulo se denomina AIP.dll.

Importante

El módulo AzureInformationProtection no admite la configuración de opciones avanzadas para etiquetas o directivas de etiqueta.

Para esta configuración, necesita el centro de cumplimiento de & de seguridad de Office 365 PowerShell. Para obtener más información, consulte configuraciones personalizadas para el Azure Information Protection cliente de etiquetado unificado.

Sugerencia

Para usar cmdlets con longitudes de ruta de acceso superiores a 260 caracteres, utilice la siguiente configuración de directiva de grupo que está disponible a partir de Windows 10, versión 1607:
Directiva de equipo local > Configuración > del equipo Plantillas administrativas > Toda la configuración > Habilitar rutas de acceso largas de Win32

Para Windows Server 2016, puede usar la misma configuración de directiva de grupo cuando instale las plantillas administrativas más recientes (.admx) para Windows 10.

Para obtener más información, vea la sección Maximum Path Length Limitation (Limitación de longitud máxima de ruta de acceso) de la documentación para desarrolladores de Windows 10.

Requisitos previos para usar el módulo AzureInformationProtection

Además de los requisitos previos para instalar el módulo AzureInformationProtection , existen requisitos previos adicionales para cuando se usan los cmdlets de etiquetado para Azure Information Protection:

  • Se debe activar el servicio Azure Rights Management.

    Si el inquilino de Azure Information Protection no está activado, consulte las instrucciones para activar el servicio de protección desde Azure Information Protection.

  • Para quitar la protección de archivos para otros usuarios con su propia cuenta:

    • La característica de superusuario debe estar habilitada para su organización.
    • Su cuenta debe estar configurada para ser un superusuario de Azure Rights Management.

    Por ejemplo, puede que desee quitar la protección de otras personas con el fin de la detección o recuperación de datos. Si usa etiquetas para aplicar la protección, puede quitar esa protección si establece una nueva etiqueta que no aplique protección, o bien puede quitar la etiqueta.

    Para quitar la protección, use el cmdlet set-AIPFileLabel con el parámetro RemoveProtection . La capacidad de quitar protección está deshabilitada de forma predeterminada y debe habilitarse primero mediante el cmdlet set-LabelPolicy .

Asignación de cmdlets de RMS a etiquetado unificado

Si migró desde Azure RMS, tenga en cuenta que los cmdlets relacionados con RMS están desusados para su uso en el etiquetado unificado.

Algunos de los cmdlets heredados se han reemplazado por nuevos cmdlets para el etiquetado unificado. Por ejemplo, si ha usado New-RMSProtectionLicense con protección de RMS y ha migrado a la etiqueta unificada, use New-AIPCustomPermissions en su lugar.

En la tabla siguiente se asignan cmdlets relacionados con RMS con los cmdlets actualizados que se usan para la etiqueta unificada:

Cmdlet de RMS Cmdlet de etiquetado unificado
Get-RMSFileStatus Get-AIPFileStatus
Get-RMSServer No es relevante para el etiquetado unificado.
Get-RMSServerAuthentication Set-AIPAuthentication
Clear-RMSAuthentication Set-AIPAuthentication
Set-RMSServerAuthentication Set-AIPAuthentication
Get-RMSTemplate No es relevante para el etiquetado unificado
New-RMSProtectionLicense New-AIPCustomPermissionsy set-AIPFileLabel, con el parámetro CustomPermissions
Protect-RMSFile Set-AIPFileLabel, con el parámetro RemoveProtection

Cómo etiquetar archivos de manera no interactiva para Azure Information Protection

De forma predeterminada, al ejecutar los cmdlets para etiquetado, los comandos se ejecutan en su propio contexto de usuario en una sesión interactiva de PowerShell.

Para más información, consulte:

Nota

Si el equipo no puede tener acceso a Internet, no es necesario crear la aplicación en Azure AD y ejecutar el cmdlet set-AIPAuthentication . En su lugar, siga las instrucciones de equipos desconectados.

Requisitos previos para ejecutar cmdlets de etiquetado de AIP desatendidos

Para ejecutar Azure Information Protection los cmdlets de etiquetado desatendidos, utilice los siguientes detalles de acceso:

  • Una cuenta de Windows que puede iniciar sesión de forma interactiva.

  • Azure ad cuenta para el acceso delegado. Para facilitar la administración, use una cuenta única que se sincronice desde Active Directory a Azure AD.

    Para la cuenta de usuario delegado:

    Requisito Detalles
    Directiva de etiqueta Asegúrese de que tiene una directiva de etiqueta asignada a esta cuenta y que la Directiva contiene las etiquetas publicadas que desea usar.

    Si usa directivas de etiqueta para diferentes usuarios, es posible que necesite crear una nueva Directiva de etiqueta que publique todas las etiquetas y publicar la Directiva solo en esta cuenta de usuario delegado.
    Descifrado de contenido Si esta cuenta necesita descifrar contenido, por ejemplo, para volver a proteger los archivos e inspeccionar los archivos que otros usuarios han protegido, conviértalo en un superusuario para Azure Information Protection y asegúrese de que la característica de superusuario está habilitada.
    Controles de incorporación Si ha implementado controles de incorporación para una implementación por fases, asegúrese de que esta cuenta esté incluida en los controles de incorporación que ha configurado.
  • Un Azure ad token de acceso, que establece y almacena las credenciales para que el usuario delegado se autentique en Azure Information Protection. Cuando expire el token de Azure AD, debe volver a ejecutar el cmdlet para adquirir un nuevo token.

    Los parámetros de set-AIPAuthentication usan valores de un proceso de registro de aplicaciones en Azure ad. Para obtener más información, vea crear y configurar Azure ad aplicaciones para Set-AIPAuthentication.

Ejecute los cmdlets de etiquetado de forma no interactiva ejecutando primero el cmdlet set-AIPAuthentication .

El equipo que ejecuta el cmdlet AIPAuthentication descarga la Directiva de etiquetado que está asignada a la cuenta de usuario delegado en el centro de administración de etiquetas, como el centro de cumplimiento de & de seguridad de Microsoft 365.

Crear y configurar aplicaciones de Azure AD para Set-AIPAuthentication

El cmdlet set-AIPAuthentication requiere un registro de la aplicación para los parámetros AppID y AppSecret .

Para los usuarios que se han migrado recientemente desde el cliente clásico y han creado un registro de aplicación para los parámetros WebAppID y NativeAppId anteriores, deberá crear un nuevo registro de aplicaciones para el cliente de etiquetado unificado.

Para crear un nuevo registro de aplicaciones para el cmdlet Set-AIPAuthentication cliente de etiquetado unificado:

  1. En una nueva ventana del explorador, inicie sesión en el Azure portal al inquilino Azure ad que usa con Azure Information Protection.

  2. Vaya a Azure Active Directory > administrar > registros de aplicaciones y seleccione nuevo registro.

  3. En el panel registrar una aplicación , especifique los siguientes valores y, a continuación, haga clic en registrar:

    Opción Valor
    Nombre AIP-DelegatedUser
    Especifique un nombre diferente según sea necesario. El nombre debe ser único para cada inquilino.
    Tipos de cuenta admitidos Seleccione Solo las cuentas de este directorio organizativo.
    URI de redireccionamiento (opcional) Seleccione Web y, a continuación, escriba https://localhost .
  4. En el panel AIP-DelegatedUser , copie el valor del identificador de la aplicación (cliente).

    El valor es similar al ejemplo siguiente: 77c3c1c3-abf9-404e-8b2b-4652836c8c66 .

    Este valor se usa para el parámetro AppID al ejecutar el cmdlet Set-AIPAuthentication. Pegue y guarde el valor para una referencia posterior.

  5. En la barra lateral, seleccione administrar > certificados & secretos.

    A continuación, en el panel AIP-DelegatedUser-certificates & Secrets , en la sección secretos de cliente , seleccione nuevo secreto de cliente.

  6. Para Agregar un secreto de cliente, especifique lo siguiente y, a continuación, seleccione Agregar:

    Campo Valor
    Descripción Azure Information Protection unified labeling client
    Expira Especificar la duración de su elección (1 año, 2 años o nunca expira)
  7. De nuevo en el panel AIP-DelegatedUser-certificates & Secrets , en la sección secretos de cliente , copie la cadena del valor.

    Esta cadena es similar a la del ejemplo siguiente: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4 .

    Para asegurarse de que copia todos los caracteres, seleccione el icono para copiarlo en el portapapeles.

    Importante

    Es importante guardar esta cadena porque no se muestra de nuevo y no se puede recuperar. Como con cualquier información confidencial que use, almacene el valor guardado de forma segura y restrinja el acceso a él.

  8. En la barra lateral, seleccione administrar > permisos de API.

    En el panel de permisos AIP-DelegatedUser-API , seleccione Agregar un permiso.

  9. En el panel solicitar permisos de API , asegúrese de que se encuentra en la pestaña API de Microsoft y seleccione Azure Rights Management Services.

    Cuando se le pida el tipo de permisos que requiere la aplicación, seleccione permisos de aplicación.

  10. En permisos de selección, expanda contenido , seleccione lo siguiente y, a continuación, seleccione Agregar permisos.

    • Contenido. DelegatedReader
    • Contenido. DelegatedWriter
  11. De nuevo en el panel de permisos de AIP-DelegatedUser-API , seleccione Agregar un permiso de nuevo.

    En el panel solicitar permisos de AIP , seleccione las API que usa mi organización y busque Microsoft Information Protection Sync Service.

  12. En el panel solicitar permisos de API , seleccione permisos de aplicación.

    Para seleccionar permisos, expanda UnifiedPolicy, seleccione UnifiedPolicy. tenant. Read y, a continuación, seleccione Agregar permisos.

  13. De nuevo en el panel de permisos de AIP-DelegatedUser-API , seleccione conceder consentimiento de administrador para <your tenant name> y seleccione en el mensaje de confirmación.

    Los permisos de la API deben tener un aspecto similar al de la siguiente imagen:

    Permisos de API para la aplicación registrada en Azure AD

Ahora que ha completado el registro de esta aplicación con un secreto, está listo para ejecutar set-AIPAuthentication con los parámetros AppID y AppSecret. Además, necesitará el identificador de inquilino.

Sugerencia

Puede copiar rápidamente el identificador de inquilino mediante Azure Portal: Azure Active Directory > administrar > propiedades > ID. de directorio.

Ejecución del cmdlet Set-AIPAuthentication

  1. Abra Windows PowerShell con la opción ejecutar como administrador.

  2. En la sesión de PowerShell, cree una variable para almacenar las credenciales de la cuenta de usuario de Windows que se ejecutará de forma no interactiva. Por ejemplo, si ha creado una cuenta de servicio para el analizador:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"
    

    Se le pedirá la contraseña de la cuenta.

  3. Ejecute el cmdlet set-AIPAuthentication con el parámetro onbehalfof y especifique como valor la variable que creó.

    Especifique también los valores de registro de la aplicación, el identificador de inquilino y el nombre de la cuenta de usuario delegado en Azure AD. Por ejemplo:

    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
    

Pasos siguientes

Para obtener ayuda sobre los cmdlets cuando se encuentre en una sesión de PowerShell, escriba Get-Help <cmdlet name> -online . Por ejemplo:

Get-Help Set-AIPFileLabel -online

Para más información, consulte: