Compartir a través de

Configuración del cliente de Information Protection mediante PowerShell

  • Artículo

Descripción

Contiene instrucciones para instalar el cliente de Microsoft Purview Information Protection y los cmdlets de PowerShell mediante PowerShell.

Uso de PowerShell con el cliente de Microsoft Purview Information Protection

El módulo Microsoft Purview Information Protection se instala con el cliente de information Protection. El módulo de PowerShell asociado es PurviewInformationProtection.

El módulo PurviewInformationProtection permite administrar el cliente con comandos y scripts de automatización; por ejemplo:

  • Install-Scanner: instala y configura el servicio Information Protection Scanner en un equipo que ejecuta Windows Server 2019, Windows Server 2016 o Windows Server 2012 R2.
  • Get-FileStatus: obtiene la información de protección y etiqueta de Information Protection para un archivo o archivos especificados.
  • Start-Scan: indica al analizador de protección de la información que inicie un ciclo de examen único.
  • Set-FileLabel -Autolabel: examina un archivo para establecer automáticamente una etiqueta de protección de información para un archivo, según las condiciones configuradas en la directiva.

Instalación del módulo de PowerShell PurviewInformationProtection

Requisitos previos de instalación

  • Este módulo requiere Windows PowerShell 4.0. Este requisito previo no se comprueba durante la instalación. Asegúrese de que tiene instalada la versión correcta de PowerShell.
  • Asegúrese de que tiene la versión más reciente del módulo de PowerShell PurviewInformationProtection ejecutando Import-Module PurviewInformationProtection.

Detalles de la instalación

Instale y configure el cliente de Information Protection y los cmdlets asociados mediante PowerShell.

El módulo de PowerShell PurviewInformationProtection se instala automáticamente al instalar la versión completa del cliente de Information Protection. Como alternativa, solo puede instalar el módulo mediante el parámetro PowerShellOnly=true .

El módulo se instala en la carpeta \ProgramFiles (x86)\PurviewInformationProtection y, a continuación, agrega esta carpeta a la variable del PSModulePath sistema.

Importante

El módulo PurviewInformationProtection no admite la configuración avanzada de etiquetas o directivas de etiquetas.

Para usar cmdlets con longitudes de ruta de acceso superiores a 260 caracteres, use la siguiente configuración de directiva de grupo que está disponible a partir de Windows 10, versión 1607:

Directiva de equipo> localConfiguración del> equipoPlantillas> administrativasToda la configuración>Habilitación de rutas de acceso largas de Win32

Para Windows Server 2016, puede usar la misma configuración de directiva de grupo cuando instale las plantillas administrativas más recientes (.admx) para Windows 10.

Para obtener más información, vea la sección Maximum Path Length Limitation (Limitación de longitud máxima de ruta de acceso) de la documentación para desarrolladores de Windows 10.

Descripción de los requisitos previos para el módulo de PowerShell PurviewInformationProtection

Además de los requisitos previos de instalación para el módulo PurviewInformationProtection, también debe activar el servicio Azure Rights Management.

En algunos casos, es posible que quiera quitar la protección de los archivos para otros usuarios que usen su propia cuenta. Por ejemplo, es posible que quiera quitar la protección de otros usuarios por el bien de la detección o recuperación de datos. Si usa etiquetas para aplicar la protección, puede quitarla estableciendo una nueva etiqueta que no aplica protección o puede quitarla.

En los casos como este, también se deben cumplir los siguientes requisitos:

  • La característica de superusuario debe estar habilitada para su organización.
  • La cuenta debe configurarse como un superusuario Azure Rights Management.

Ejecución de cmdlets de etiquetado de information Protection desatendidos

De forma predeterminada, al ejecutar los cmdlets para etiquetado, los comandos se ejecutan en su propio contexto de usuario en una sesión interactiva de PowerShell. Para ejecutar automáticamente cmdlets de etiquetado de confidencialidad, lea las secciones siguientes:

Descripción de los requisitos previos para ejecutar cmdlets de etiquetado desatendidos

Para ejecutar Purview Information Protection cmdlets de etiquetado desatendidos, use los siguientes detalles de acceso:

  • Una cuenta de Windows que puede iniciar sesión de forma interactiva.

  • Una cuenta de Microsoft Entra para el acceso delegado. Para facilitar la administración, use una sola cuenta que se sincronice de Active Directory a Microsoft Entra ID.

    Para la cuenta de usuario delegada, configure los siguientes requisitos:

    Requisito Detalles
    Directiva de etiqueta Asegúrese de que tiene asignada una directiva de etiqueta a esta cuenta y de que la directiva contiene las etiquetas publicadas que desea usar.

    Si usa directivas de etiqueta para distintos usuarios, es posible que tenga que crear una nueva directiva de etiquetas que publique todas las etiquetas y publique la directiva en solo esta cuenta de usuario delegada.
    Descifrado de contenido Si esta cuenta necesita descifrar el contenido, por ejemplo, para volver a proteger archivos e inspeccionar los archivos protegidos por otros usuarios, consíjalo a un superusuario para Information Protection y asegúrese de que la característica de superusuario está habilitada.
    Controles de incorporación Si ha implementado controles de incorporación para una implementación por fases, asegúrese de que esta cuenta se incluye en los controles de incorporación que ha configurado.

  • Un token de acceso Microsoft Entra, que establece y almacena las credenciales para que el usuario delegado se autentique en Microsoft Purview Information Protection. Cuando expire el token de Microsoft Entra ID, debe volver a ejecutar el cmdlet para adquirir un nuevo token.

    Los parámetros de Set-Authentication usan valores de un proceso de registro de aplicaciones en Microsoft Entra ID. Para obtener más información, consulte Create y configuración de aplicaciones de Microsoft Entra para Set-Authentication.

Ejecute primero los cmdlets de etiquetado que no son interactivos mediante la ejecución del cmdlet Set-Authentication .

El equipo que ejecuta el cmdlet Set-Authentication descarga la directiva de etiquetado asignada a la cuenta de usuario delegada en el portal de cumplimiento Microsoft Purview.

Create y configurar aplicaciones de Microsoft Entra para Set-Authentication

El cmdlet Set-Authentication requiere un registro de aplicación para los parámetros AppId y AppSecret .

Para crear un nuevo registro de aplicación para el cmdlet Set-Authentication del cliente de etiquetado unificado:

  1. En una nueva ventana del explorador, inicie sesión en el Azure Portal en el inquilino de Microsoft Entra que use con Microsoft Purview Information Protection.

  2. Vaya a Microsoft Entra ID>Administrar>Registros de aplicaciones y seleccione Nuevo registro.

  3. En el panel Registrar una aplicación , especifique los valores siguientes y, a continuación, seleccione Registrar:

    Opción Valor
    Nombre AIP-DelegatedUser
    Especifique un nombre diferente según sea necesario. El nombre debe ser único por inquilino.
    Tipos de cuenta admitidos Seleccione Solo las cuentas de este directorio organizativo.
    URI de redireccionamiento (opcional) Seleccione Web y, a continuación, escriba https://localhost.

  4. En el panel AIP-DelegatedUser, copie el valor del identificador de aplicación (cliente).

    El valor es similar al ejemplo siguiente: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Este valor se usa para el parámetro AppId al ejecutar el cmdlet Set-Authentication . Pegue y guarde el valor para referencia posterior.

  5. En la barra lateral, seleccione Administrar>certificados & secretos.

    A continuación, en el panel AIP-DelegatedUser - Certificates & secrets (Secretos de cliente), en la sección Secretos de cliente, seleccione Nuevo secreto de cliente.

  6. En Agregar un secreto de cliente, especifique lo siguiente y, a continuación, seleccione Agregar:

    Campo Valor
    Descripción Microsoft Purview Information Protection client
    Expira Especifique su elección de duración (1 año, 2 años o nunca expira)

  7. De nuevo en el panel AIP-DelegatedUser : certificados & secretos , en la sección Secretos de cliente , copie la cadena del valor.

    Esta cadena es similar al ejemplo siguiente: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Para asegurarse de copiar todos los caracteres, seleccione el icono copiar en el Portapapeles.

    Importante

    Guarde esta cadena porque no se muestra de nuevo y no se puede recuperar. Al igual que con cualquier información confidencial que use, almacene el valor guardado de forma segura y restrinja el acceso a ella.

  8. En la barra lateral, seleccione Administrar>permisos de API.

    En el panel Permisos de AIP-DelegatedUser - API , seleccione Agregar un permiso.

  9. En el panel Solicitar permisos de API, asegúrese de que está en la pestaña API de Microsoft y seleccione Azure Rights Management Services.

    Cuando se le solicite el tipo de permisos que requiere la aplicación, seleccione Permisos de aplicación.

  10. En Seleccionar permisos, expanda Contenido y seleccione lo siguiente y, a continuación, seleccione Agregar permisos.

    • Content.DelegatedReader
    • Content.DelegatedWriter

  11. De nuevo en el panel AIP-DelegatedUser - API permissions (Permisos de AIP-DelegatedUser - API ), seleccione Agregar un permiso de nuevo.

    En el panel Solicitar permisos de AIP, seleccione API que usa mi organización y busque Servicio de sincronización de Microsoft Information Protection.

  12. En el panel Solicitar permisos de API , seleccione Permisos de aplicación.

    En Seleccionar permisos, expanda UnifiedPolicy, seleccione UnifiedPolicy.Tenant.Read y, a continuación, seleccione Agregar permisos.

  13. De nuevo en el panel AIP-DelegatedUser - API permissions (Permisos de AIP-DelegatedUser - API ), seleccione Conceder consentimiento del administrador para el inquilino y seleccione para el mensaje de confirmación.

Después de este paso, se completa el registro de esta aplicación con un secreto. Está listo para ejecutar Set-Authentication con los parámetros AppId y AppSecret. Además, necesita el identificador de inquilino.

Sugerencia

Puede copiar rápidamente el identificador de inquilino mediante Azure Portal: Microsoft Entra ID>Administrar>identificador de directoriode propiedades>.

Ejecución del cmdlet Set-Authentication

  1. Abra Windows PowerShell con la opción Ejecutar como administrador.

  2. En la sesión de PowerShell, cree una variable para almacenar las credenciales de la cuenta de usuario de Windows que se ejecuta de forma no interactiva. Por ejemplo, si ha creado una cuenta de servicio para el analizador:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"

    Se le pedirá la contraseña de esta cuenta.

  3. Ejecute el cmdlet Set-Authentication, con el parámetro OnBeHalfOf , especificando como su valor la variable que creó.

    Especifique también los valores de registro de la aplicación, el identificador de inquilino y el nombre de la cuenta de usuario delegada en Microsoft Entra ID. Por ejemplo:

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds