Guide de l’administrateur : Utiliser PowerShell avec le client Azure Information ProtectionAdmin Guide: Using PowerShell with the Azure Information Protection client

S’applique à : Services AD RMS (Active Directory Rights Management Services), Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 avec SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

Quand vous installez le client Azure Information Protection, des commandes PowerShell sont installés automatiquement.When you install the Azure Information Protection client, PowerShell commands are automatically installed. Vous pouvez ainsi gérer le client en exécutant des commandes que vous pouvez placer dans des scripts d’automatisation.This lets you manage the client by running commands that you can put into scripts for automation.

Les applets de commande sont installées avec le module PowerShell AzureInformationProtection.The cmdlets are installed with the PowerShell module AzureInformationProtection. Ce module comprend toutes les applets de commande Rights Management de l’outil de protection RMS (qui n’est plus pris en charge).This module includes all the Rights Management cmdlets from the RMS Protection Tool (no longer supported). Il propose également des applets de commande qui utilisent Azure Information Protection pour l’étiquetage.There are also cmdlets that use Azure Information Protection for labeling. Par exemple :For example:

Étiquetage des applets de commandeLabeling cmdlet Exemple d’utilisationExample usage
Get-AIPFileStatusGet-AIPFileStatus Dans le cas d’un dossier partagé, identifiez tous les fichiers avec une étiquette spécifique.For a shared folder, identify all files with a specific label.
Set-AIPFileClassificationSet-AIPFileClassification Pour un dossier partagé, inspectez le contenu du fichier puis étiquetez automatiquement les fichiers sans étiquette, selon les conditions que vous avez spécifiées.For a shared folder, inspect the file contents and then automatically label unlabeled files, according to the conditions that you have specified.
Set-AIPFileLabelSet-AIPFileLabel Pour un dossier partagé, appliquez une étiquette spécifiée à tous les fichiers dépourvus d’étiquette.For a shared folder, apply a specified label to all files that do not have a label.
Set-AIPAuthenticationSet-AIPAuthentication Étiquetez les fichiers de manière non interactive, par exemple à l’aide d’un script qui s’exécute selon une planification.Label files non-interactively, for example by using a script that runs on a schedule.

Conseil

Pour utiliser des applets de commande avec des chemins d’accès dépassant 260 caractères, utilisez le paramètre de stratégie de groupe disponible avec la mise à jour anniversaire de Windows 10 :To use cmdlets with path lengths greater than 260 characters, use the following group policy setting that is available with the Windows 10 Anniversary Update:
Stratégie Ordinateur local > Configuration de l’ordinateur > Modèles d’administration > Tous les paramètres > NTFS > Activer les noms de chemin d’accès Win32 longsLocal Computer Policy > Computer Configuration > Administrative Templates > All Settings > NTFS > Enable Win32 long paths

Pour Windows Server 2016, vous pouvez utiliser le même paramètre de stratégie de groupe lorsque vous installez les derniers modèles d’administration (.admx) pour Windows 10.For Windows Server 2016, you can use the same group policy setting when you install the latest Administrative Templates (.admx) for Windows 10.

Le scanneur Azure Information Protection utilise les applets de commande du module AzureInformationProtection pour installer et configurer un service sur Windows Server.The Azure Information Protection scanner uses cmdlets from the AzureInformationProtection module to install and configure a service on Windows Server. Ce scanneur vous permet de découvrir, classifier et protéger des fichiers sur des magasins de données.This scanner then lets you discover, classify, and protect files on data stores.

Pour obtenir une liste de toutes les applets de commande et de l’aide associée, voir le module Azure Information Protection.For a list of all the cmdlets and their corresponding help, see AzureInformationProtection Module. Dans une session PowerShell, tapez Get-Help <cmdlet name> -online pour afficher l’aide la plus récente.Within a PowerShell session, type Get-Help <cmdlet name> -online to see the latest help.

Ce module s’installe dans \ProgramFiles (x86)\Microsoft Azure Information Protection et ajoute ce dossier à la variable système PSModulePath.This module installs in \ProgramFiles (x86)\Microsoft Azure Information Protection and adds this folder to the PSModulePath system variable. Le fichier .dll de ce module est nommé AIP.dll.The .dll for this module is named AIP.dll.

Actuellement, si vous installez le module en tant qu’un certain utilisateur et que vous exécutez les applets de commande sur le même ordinateur en tant qu’un autre utilisateur, vous devez d’abord exécuter la commande Import-Module AzureInformationProtection.Currently, if you install the module as one user and run the cmdlets on the same computer as another user, you must first run the Import-Module AzureInformationProtection command. Dans ce scénario, le module ne se charge pas automatiquement quand vous exécutez d’abord une applet de commande.In this scenario, the module doesn't autoload when you first run a cmdlet.

La version actuelle du module AzureInformationProtection a les limitations suivantes :The current release of the AzureInformationProtection module has the following limitations:

  • Vous pouvez annuler la protection des dossiers personnels Outlook (fichiers .pst), mais vous ne pouvez pas actuellement protéger en mode natif ces fichiers ou d’autres fichiers de conteneur à l’aide de ce module PowerShell.You can unprotect Outlook personal folders (.pst files), but you cannot currently natively protect these files or other container files by using this PowerShell module.

  • Vous pouvez annuler la protection des e-mails Outlook protégés (fichiers .rpmsg) lorsqu’ils sont dans un dossier personnel Outlook (.pst), mais vous ne pouvez pas annuler la protection de fichiers .rpmsg en dehors d’un dossier personnel.You can unprotect Outlook protected email messages (.rpmsg files) when they are in an Outlook personal folder (.pst), but you cannot unprotect .rpmsg files outside a personal folder.

Avant de commencer à utiliser ces applets de commande, consultez les autres conditions préalables et instructions correspondant à votre déploiement :Before you start to use these cmdlets, see the additional prerequisites and instructions that corresponds to your deployment:

  • Azure Information Protection et le service Azure Rights ManagementAzure Information Protection and Azure Rights Management service

    • Applicable si vous utilisez la classification uniquement ou la classification avec la protection Rights Management : vous avez un abonnement qui inclut Azure Information Protection (par exemple, Enterprise Mobility + Security).Applicable if you use classification-only or classification with Rights Management protection: You have a subscription that includes Azure Information Protection (for example, Enterprise Mobility + Security).
    • S’applique si vous utilisez la protection uniquement avec le service Azure Rights Management : vous avez un abonnement qui inclut le service Azure Rights Management (par exemple, Office 365 E3 et Office 365 E5).Applicable if you use protection-only with the Azure Rights Management service: You have a subscription that includes the Azure Rights Management service (for example, Office 365 E3 and Office 365 E5).
  • Active Directory Rights Management ServicesActive Directory Rights Management Services

    • S’applique si vous utilisez la protection uniquement avec la version locale d’Azure Rights Management ; Active Directory Rights Management Services (AD RMS).Applicable if you use protection-only with the on-premises version of Azure Rights Management; Active Directory Rights Management Services (AD RMS).

Azure Information Protection et le service Azure Rights ManagementAzure Information Protection and Azure Rights Management service

Lisez cette section avant de commencer à utiliser les commandes PowerShell quand votre organisation utilise Azure Information Protection pour la classification et la protection, ou seulement le service Azure Rights Management pour la protection des données.Read this section before you start using the PowerShell commands when your organization uses Azure Information Protection for classification and protection, or just the Azure Rights Management service for data protection.

PrérequisPrerequisites

En plus des prérequis pour l’installation du module Azure Information Protection, il existe d’autres prérequis pour l’étiquetage Azure Information Protection et pour le service de protection de données Azure Rights Management :In addition to the prerequisites for installing the AzureInformationProtection module, there are additional prerequisites for Azure Information Protection labeling and the Azure Rights Management data protection service:

  1. Le service Azure Rights Management doit être activé.The Azure Rights Management service must be activated.

  2. Pour supprimer la protection des fichiers pour les autres utilisateurs à l’aide de votre propre compte :To remove protection from files for others using your own account:

    • La fonctionnalité de super utilisateur doit être activée pour votre organisation et votre compte doit être configuré pour être un super utilisateur d’Azure Rights Management.The super user feature must be enabled for your organization and your account must be configured to be a super user for Azure Rights Management.
  3. Pour protéger ou ôter la protection des fichiers directement sans intervention de l’utilisateur :To directly protect or unprotect files without user interaction:

    • Créez un compte de principal de service, exécutez Set-RMSServerAuthentication et envisagez de faire de ce principal de service un super utilisateur pour Azure Rights Management.Create a service principal account, run Set-RMSServerAuthentication, and consider making this service principal a super user for Azure Rights Management.
  4. 4. Pour les régions en dehors des États-Unis :For regions outside North America:

    • Modifier le Registre pour la découverte de service.Edit the registry for service discovery.

Condition préalable 1 : le service Azure Rights Management doit être activéPrerequisite 1: The Azure Rights Management service must be activated

Cette condition préalable s’applique si vous appliquez la protection des données à l’aide d’étiquettes ou en vous connectant directement au service Azure Rights Management.This prerequisite applies whether you apply the data protection by using labels or by directly connecting to the Azure Rights Management service to apply the data protection.

Si votre locataire Azure Information Protection n’est pas activé, consultez les instructions d’activation d’Azure Rights Management.If your Azure Information Protection tenant is not activated, see the instructions for Activating Azure Rights Management.

Condition préalable 2 : supprimer la protection de fichiers pour les autres utilisateurs à l’aide de votre propre comptePrerequisite 2: To remove protection from files for others using your own account

Les scénarios classiques de suppression de la protection des fichiers pour les autres utilisateurs incluent la détection de données ou la récupération de données.Typical scenarios for removing protection from files for others include data discovery or data recovery. Si vous utilisez des étiquettes pour appliquer la protection, vous pouvez supprimer la protection en définissant une nouvelle étiquette qui n’applique pas la protection ou en supprimant l’étiquette.If you are using labels to apply the protection, you could remove the protection by setting a new label that doesn't apply protection or by removing the label. Toutefois, il est plus probable que vous vous connectiez directement au service Azure Rights Management pour supprimer la protection.But you will more likely connect directly to the Azure Rights Management service to remove the protection.

Pour supprimer la protection des fichiers, vous devez disposer d’un droit d’utilisation Rights Management ou être un super utilisateur.You must have a Rights Management usage right to remove protection from files, or be a super user. Pour la découverte de données ou la récupération de données, la fonctionnalité de super utilisateur est généralement utilisée.For data discovery or data recovery, the super user feature is typically used. Pour activer cette fonctionnalité et configurer votre compte pour un super utilisateur, consultez Configuration de super utilisateurs pour Azure Rights Management et les services de découverte ou la récupération de données.To enable this feature and configure your account to be a super user, see Configuring super users for Azure Rights Management and Discovery Services or Data Recovery.

Condition préalable 3 : protéger ou annuler la protection des fichiers sans intervention de l’utilisateurPrerequisite 3: To protect or unprotect files without user interaction

Vous pouvez vous connecter directement au service Azure Rights Management en mode non interactif pour protéger ou déprotéger des fichiers.You can connect directly to the Azure Rights Management service non-interactively to protect or unprotect files.

Vous devez utiliser un principal de service pour vous connecter au service Azure Rights Management de manière non interactive (à l’aide de l’applet de commande Set-RMSServerAuthentication).You must use a service principal account to connect to the Azure Rights Management service non-interactively, which you do by using the Set-RMSServerAuthentication cmdlet. Vous devez effectuer cette opération pour chaque session Windows PowerShell exécutant des applets de commande qui se connectent directement au service Azure Rights Management.You must do this for each Windows PowerShell session that runs cmdlets that directly connect to the Azure Rights Management service. Avant d’exécuter cette applet de commande, vous devez disposer de ces trois identificateurs :Before you run this cmdlet, you must have these three identifiers:

  • BposTenantIdBposTenantId

  • AppPrincipalIdAppPrincipalId

  • Clé symétriqueSymmetric Key

Vous pouvez utiliser les commandes PowerShell et les instructions commentées suivantes pour obtenir automatiquement les valeurs des identificateurs et exécuter l’applet de commande Set-RMSServerAuthentication.You can use the following PowerShell commands and commented instructions to automatically get the values for the identifiers and run the Set-RMSServerAuthentication cmdlet. Vous pouvez aussi obtenir et spécifier manuellement les valeurs.Or, you can manually get and specify the values.

Pour obtenir les valeurs et exécuter Set-RMSServerAuthentication automatiquement :To automatically get the values and run Set-RMSServerAuthentication:

# Make sure that you have the AADRM and MSOnline modules installed

$newServicePrincipalName="<new service principal name>"
Connect-AadrmService
$bposTenantID=(Get-AadrmConfiguration).BPOSId
Disconnect-AadrmService
Connect-MsolService
New-MsolServicePrincipal -DisplayName $servicePrincipalName

# Copy the value of the generated symmetric key

$symmetricKey="<value from the display of the New-MsolServicePrincipal command>"
$appPrincipalID=(Get-MsolServicePrincipal | Where { $_.DisplayName -eq $servicePrincipalName }).AppPrincipalId
Set-RMSServerAuthentication -Key $symmetricKey -AppPrincipalId $appPrincipalID -BposTenantId $bposTenantID

Les sections suivantes expliquent comment obtenir et spécifier ces valeurs manuellement, avec plus d’informations sur chacune d’elles.The next sections explain how to manually get and specify these values, with more information about each one.

Pour obtenir le BposTenantIdTo get the BposTenantId

Exécutez l’applet de commande Get-AadrmConfiguration à partir du module Azure RMS Windows PowerShell :Run the Get-AadrmConfiguration cmdlet from the Azure RMS Windows PowerShell module:

  1. Si ce module n’est pas déjà installé sur votre ordinateur, consultez Installation du module PowerShell AADRM.If this module is not already installed on your computer, see Installing the AADRM PowerShell module.

  2. Démarrez Windows PowerShell avec l’option Exécuter en tant qu’administrateur.Start Windows PowerShell with the Run as Administrator option.

  3. Utilisez l’applet de commande Connect-AadrmService pour la connexion au service Azure Rights Management :Use the Connect-AadrmService cmdlet to connect to the Azure Rights Management service:

     Connect-AadrmService
    

    Quand vous y êtes invité, entrez vos informations d’identification d’administrateur du locataire Azure Information Protection.When prompted, enter your Azure Information Protection tenant administrator credentials. Normalement, vous utilisez un compte d’administrateur général pour Azure Active Directory ou Office 365.Typically, you use an account that is a global administrator for Azure Active Directory or Office 365.

  4. Exécutez Get-AadrmConfiguration et copiez la valeur BPOSId.Run Get-AadrmConfiguration and make a copy of the BPOSId value.

    Voici un exemple de sortie de Get-AadrmConfiguration :An example of output from Get-AadrmConfiguration:

         BPOSId                                   : 23976bc6-dcd4-4173-9d96-dad1f48efd42
    
         RightsManagement ServiceId               : 1a302373-f233-440600909-4cdf305e2e76
    
         LicensingIntranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
         LicensingExtranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
         CertificationIntranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
         CertificationExtranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
  5. Déconnectez-vous du service :Disconnect from the service:

     Disconnect-AadrmService
    
Pour obtenir l’AppPrincipalId et la clé symétriqueTo get the AppPrincipalId and Symmetric Key

Créez un principal de service en exécutant l’applet de commande New-MsolServicePrincipal à partir du module MSOnline PowerShell pour Azure Active Directory et suivez les instructions ci-dessous.Create a new service principal by running the New-MsolServicePrincipal cmdlet from the MSOnline PowerShell module for Azure Active Directory and use the following instructions.

Important

N’utilisez pas l’applet de commande Azure AD PowerShell la plus récente, New-AzureADServicePrincipal, pour créer ce principal de service.Do not use the newer Azure AD PowerShell cmdlet, New-AzureADServicePrincipal, to create this service principal. Le service Azure Rights Management ne prend pas en charge New-AzureADServicePrincipal.The Azure Rights Management service does not support New-AzureADServicePrincipal.

  1. Si le module MSOnline n’est pas déjà installé sur votre ordinateur, exécutez Install-Module MSOnline.If the MSOnline module is not already installed on your computer, run Install-Module MSOnline.

  2. Démarrez Windows PowerShell avec l’option Exécuter en tant qu’administrateur.Start Windows PowerShell with the Run as Administrator option.

  3. Utilisez l’applet de commande Connect-MsolService pour vous connecter à Azure AD :Use the Connect-MsolService cmdlet to connect to Azure AD:

     Connect-MsolService
    

    Quand vous y êtes invité, entrez vos informations d’identification d’administrateur du locataire Azure AD (normalement, vous utilisez un compte d’administrateur général pour Azure Active Directory ou Office 365).When prompted, enter your Azure AD tenant administrator credentials (typically, you use an account that is a global administrator for Azure Active Directory or Office 365).

  4. Exécutez l’applet de commande New-MsolServicePrincipal pour créer un principal du service :Run the New-MsolServicePrincipal cmdlet to create a new service principal:

     New-MsolServicePrincipal
    

    Lorsque vous y êtes invité, entrez le nom d’affichage de votre choix pour ce principal du service, qui vous aidera à identifier son objectif ultérieurement en tant que compte de connexion au service Azure Rights Management afin que vous puissiez protéger et annuler la protection de fichiers.When prompted, enter your choice of a display name for this service principal that helps you to identify its purpose later as an account for you to connect to the Azure Rights Management service so that you can protect and unprotect files.

    Un exemple de la sortie de New-MsolServicePrincipal :An example of the output of New-MsolServicePrincipal:

     Supply values for the following parameters:
    
     DisplayName: AzureRMSProtectionServicePrincipal
     The following symmetric key was created as one was not supplied
     zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=
    
     Display Name: AzureRMSProtectionServicePrincipal
     ServicePrincipalNames: (b5e3f7g1-b5c2-4c96-a594-a0807f65bba4)
     ObjectId: 23720996-593c-4122-bfc7-1abb5a0b5109
     AppPrincialId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4
     TrustedForDelegation: False
     AccountEnabled: True
     Addresses: ()
     KeyType: Symmetric
     KeyId: 8ef61651-ca11-48ea-a350-25834a1ba17c
     StartDate: 3/7/2014 4:43:59 AM
     EndDate: 3/7/2014 4:43:59 AM
     Usage: Verify
    
  5. À partir de cette sortie, notez la clé symétrique et l’AppPrincipalId.From this output, make a note of the symmetric key and the AppPrincialId.

    Il est important d’effectuer maintenant une copie de cette clé symétrique.It is important that you make a copy of this symmetric key, now. Vous ne pourrez pas récupérer cette clé plus tard : si vous ne la connaissez pas lors de votre prochaine authentification auprès du service Azure Rights Management, vous devrez créer un nouveau principal du service.You cannot retrieve this key later, so if you do not know it when you next need to authenticate to the Azure Rights Management service, you will have to create a new service principal.

À partir de ces instructions et de nos exemples, trois identificateurs sont nécessaires à l’exécution de Set-RMSServerAuthentication :From these instructions and our examples, we have the three identifiers required to run Set-RMSServerAuthentication:

  • ID de locataire : 23976bc6-dcd4-4173-9d96-dad1f48efd42Tenant Id: 23976bc6-dcd4-4173-9d96-dad1f48efd42

  • Clé symétrique : zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=Symmetric key: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=

  • AppPrincipalId : b5e3f76a-b5c2-4c96-a594-a0807f65bba4AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4

Notre exemple de commande ressemblerait à ceci :Our example command would then look like the following:

Set-RMSServerAuthentication -Key zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=-AppPrincipalId b5e3f76a-b5c2-4c96-a594-a0807f65bba4-BposTenantId 23976bc6-dcd4-4173-9d96-dad1f48efd42

Comme indiqué dans la commande précédente, vous pouvez fournir les valeurs avec une seule commande en utilisant un script à exécuter en mode non interactif.As shown in the previous command, you can supply the values with a single command, which you would do in a script to run non-interactively. Mais pour les besoins du test, vous pouvez simplement taper Set-RMSServerAuthentication et fournir les valeurs une par une quand vous y êtes invité.But for testing purposes, you can just type Set-RMSServerAuthentication, and supply the values one-by-one when prompted. Quand la commande est terminée, le client fonctionne en « mode serveur », qui convient à une utilisation non interactive comme les scripts et l’infrastructure de classification des fichiers Windows Server.When the command completes, the client is now operating in "server mode", which is suitable for non-interactive use such as scripts and Windows Server File Classification Infrastructure.

Envisagez de faire de ce compte de principal de service un super utilisateur : pour vérifier que ce compte peut toujours déprotéger des fichiers pour d’autres utilisateurs, vous pouvez le configurer comme super utilisateur.Consider making this service principal account a super user: To ensure that this service principal account can always unprotect files for others, it can be configured to be a super user. De la même façon que quand vous configurez un compte d’utilisateur standard comme super utilisateur, vous utilisez l’applet de commande Azure RMS Add-AadrmSuperUser, mais vous spécifiez le paramètre - ServicePrincipalId avec votre valeur AppPrincipalId.In the same way as you configure a standard user account to be a super user, you use the same Azure RMS cmdlet, Add-AadrmSuperUser, but specify the ServicePrincipalId parameter with your AppPrincipalId value.

Pour plus d’informations sur les super utilisateurs, consultez Configuration de super utilisateurs pour Azure Rights Management et les services de découverte ou la récupération de données.For more information about super users, see Configuring super users for Azure Rights Management and discovery services or data recovery.

Note

Pour utiliser votre propre compte pour vous authentifier auprès du service Azure Rights Management, inutile d’exécuter Set-RMSServerAuthentication avant de protéger ou d’annuler la protection de fichiers, ou d’obtenir des modèles.To use your own account to authenticate to the Azure Rights Management service, there's no need to run Set-RMSServerAuthentication before you protect or unprotect files, or get templates.

Condition préalable 4 : pour les régions en dehors de l’Amérique du NordPrerequisite 4: For regions outside North America

Quand vous utilisez un compte de principal de service pour protéger des fichiers et télécharger des modèles à l’extérieur de la région Azure Amérique du Nord, vous devez modifier le Registre :When you use a service principal account to protect files and download templates outside the Azure North America region, you must edit the registry:

  1. Exécutez de nouveau l’applet de commande Get-AadrmConfiguration et notez les valeurs pour CertificationExtranetDistributionPointUrl et LicensingExtranetDistributionPointUrl.Run the Get-AadrmConfiguration cmdlet again, and make a note of the values for CertificationExtranetDistributionPointUrl and LicensingExtranetDistributionPointUrl.

  2. Sur tous les ordinateurs où vous allez exécuter les applets de commande AzureInformationProtection, ouvrez l’Éditeur du Registre.On each computer where you will run the AzureInformationProtection cmdlets, open the registry editor.

  3. Accédez à la clé de Registre suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation.Navigate to the following path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation.

    Si vous ne voyez pas la clé MSIPC ni la clé ServiceLocation, créez-les.If you do not see the MSIPC key or ServiceLocation key, create them.

  4. Pour la clé ServiceLocation, créez deux clés, le cas échéant, nommées EnterpriseCertification et EnterprisePublishing.For the ServiceLocation key, create two keys if they do not exist, named EnterpriseCertification and EnterprisePublishing.

    Pour la valeur de chaîne qui est automatiquement créée pour ces clés, ne modifiez pas le nom de « (Par défaut) », mais modifiez la chaîne pour définir les données de la valeur :For the string value that's automatically created for these keys, do not change the Name of "(Default)", but edit the string to set the Value data:

    • Pour EnterpriseCertification, collez votre valeur CertificationExtranetDistributionPointUrl.For EnterpriseCertification, paste your CertificationExtranetDistributionPointUrl value.

    • Pour EnterprisePublishing, collez votre valeur LicensingExtranetDistributionPointUrl.For EnterprisePublishing, paste your LicensingExtranetDistributionPointUrl value.

      Par exemple, votre entrée de Registre pour EnterpriseCertification doit être similaire à ceci :For example, your registry entry for EnterpriseCertification should look similar to the following:

      Modification du Registre pour le module PowerShell d’Azure Information Protection pour les régions en dehors de l’Amérique du Nord

  5. Fermez l'éditeur du Registre.Close the registry editor. Il est inutile de redémarrer votre ordinateur.There is no need to restart your computer. Toutefois, si vous utilisez un compte de principal du service au lieu de votre propre compte d’utilisateur, vous devez exécuter la commande Set-RMSServerAuthentication après avoir effectué cette modification de Registre.However, if you are using a service principal account rather than your own user account, you must run the Set-RMSServerAuthentication command after making this registry edit.

Exemples de scénarios d’utilisation des applets de commande pour Azure Information Protection et le service Azure Rights ManagementExample scenarios for using the cmdlets for Azure Information protection and the Azure Rights Management service

Il est plus efficace d’utiliser des étiquettes pour classifier et protéger les fichiers, car il existe deux applets de commande dont vous avez besoin. Elles peuvent être exécutées seules ou ensemble : Get-AIPFileStatus et Set-AIPFileLabel.It's more efficient to use labels to classify and protect files, because there are just two cmdlets that you need, which can be run by themselves or together: Get-AIPFileStatus and Set-AIPFileLabel. Consultez l’aide de ces deux applets de commande pour plus d’informations et d’exemples.Use the help for both these cmdlets for more information and examples.

Toutefois, pour protéger ou annuler la protection de fichiers en vous connectant directement au service Azure Rights Management, vous devez généralement exécuter une série d’applets de commande comme décrit ci-après.However, to protect or unprotect files by directly connecting to the Azure Rights Management service, you must typically run a series of cmdlets as described next.

Tout d’abord, si vous avez besoin de vous authentifier auprès du service Azure Rights Management avec un compte de principal de service au lieu d’utiliser votre propre compte, dans une session PowerShell, tapez :First, if you need to authenticate to the Azure Rights Management service with a service principal account rather than use your own account, in a PowerShell session, type:

Set-RMSServerAuthentication

Lorsque vous y êtes invité, entrez les trois identificateurs, comme décrit dans Condition préalable 3 : protéger ou annuler la protection des fichiers sans intervention de l’utilisateur.When prompted, enter the three identifiers as described in Prerequisite 3: To protect or unprotect files without user interaction.

Avant de pouvoir protéger les fichiers, vous devez télécharger les modèles Rights Management sur votre ordinateur, puis identifier celui à utiliser ainsi que le numéro d’identification correspondant.Before you can protect files, you must download the Rights Management templates to your computer and identify which one to use and its corresponding ID number. À partir du résultat, vous pouvez alors copier l’ID du modèle :From the output, you can then copy the template ID:

Get-RMSTemplate

Votre résultat peut ressembler à ce qui suit :Your output might look similar to the following:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True

TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Si vous n’avez pas exécuté la commande Set-RMSServerAuthentication, vous serez authentifié au service Azure Rights Management à l’aide de votre propre compte d’utilisateur.Note that if you didn't run the Set-RMSServerAuthentication command, you are authenticated to the Azure Rights Management service by using your own user account. Si vous êtes sur un ordinateur joint au domaine, vos informations d’identification actuelles seront utilisées automatiquement.If you are on a domain-joined computer, your current credentials are always used automatically. Si vous êtes sur un ordinateur de groupe de travail, vous serez invité à vous connecter à Azure, et ces informations d’identification seront ensuite mises en cache pour les commandes suivantes.If you are on a workgroup computer, you are prompted to sign in to Azure, and these credentials are then cached for subsequent commands. Dans ce scénario, si vous avez besoin de vous connecter plus tard avec le compte d’un autre utilisateur, utilisez l’applet de commande Clear-RMSAuthentication.In this scenario, if you later need to sign in as a different user, use the Clear-RMSAuthentication cmdlet.

Maintenant que vous connaissez l’ID du modèle, vous pouvez l’utiliser avec l’applet de commande Protect-RMSFile pour protéger un seul fichier ou tous les fichiers d’un dossier.Now you know the template ID, you can use it with the Protect-RMSFile cmdlet to protect a single file or all files in a folder. Par exemple, si vous souhaitez protéger un seul fichier et remplacer l’original, en utilisant le modèle « Contoso, Ltd - Confidential » :For example, if you want to protect a single file only and overwrite the original, by using the "Contoso, Ltd - Confidential" template:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

Votre résultat peut ressembler à ce qui suit :Your output might look similar to the following:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

Pour protéger tous les fichiers d’un dossier, utilisez le paramètre -Folder avec une lettre de lecteur et un chemin d’accès, ou le chemin d’accès UNC.To protect all files in a folder, use the -Folder parameter with a drive letter and path, or UNC path. Par exemple :For example:

Protect-RMSFile -Folder \Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

Votre résultat peut ressembler à ce qui suit :Your output might look similar to the following:

InputFile                          EncryptedFile
---------                          -------------
\Server1\Documents\Test1.docx     \Server1\Documents\Test1.docx
\Server1\Documents\Test2.docx     \Server1\Documents\Test2.docx
\Server1\Documents\Test3.docx     \Server1\Documents\Test3.docx
\Server1\Documents\Test4.docx     \Server1\Documents\Test4.docx

Lorsque l’extension du nom de fichier n’est pas modifiée après l’application de la protection, vous pouvez toujours utiliser l’applet de commande Get-RMSFileStatus plus tard pour vérifier si le fichier est protégé.When the file name extension does not change after the protection is applied, you can always use the Get-RMSFileStatus cmdlet later to check whether the file is protected. Par exemple :For example:

Get-RMSFileStatus -File \Server1\Documents\Test1.docx

Votre résultat peut ressembler à ce qui suit :Your output might look similar to the following:

FileName                              Status
--------                              ------
\Server1\Documents\Test1.docx         Protected

Pour déprotéger un fichier, vous devez disposer des droits Propriétaire ou Extraction correspondant au moment où le fichier a été protégé,To unprotect a file, you must have Owner or Extract rights from when the file was protected. ou vous devez exécuter les applets de commande en tant que super utilisateur.Or, you must run the cmdlets as a super user. Ensuite, utilisez l’applet de commande de suppression de la protection Unprotect.Then, use the Unprotect cmdlet. Par exemple :For example:

Unprotect-RMSFile C:\test.docx -InPlace

Votre résultat peut ressembler à ce qui suit :Your output might look similar to the following:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Notez que si les modèles Rights Management sont modifiés, vous devez les télécharger à nouveau à l’aide de Get-RMSTemplate -force.Note that if the Rights Management templates are changed, you must download them again with Get-RMSTemplate -force.

Active Directory Rights Management ServicesActive Directory Rights Management Services

Lisez cette section avant de commencer à utiliser les commandes PowerShell pour protéger ou annuler la protection des fichiers, lorsque votre organisation utilise simplement Active Directory Rights Management Services.Read this section before you start using the PowerShell commands to protect or unprotect files when your organization uses just Active Directory Rights Management Services.

PrérequisPrerequisites

Outre les prérequis pour l’installation du module AzureInformationProtection, le compte utilisé pour protéger ou déprotéger des fichiers doit disposer des autorisations de lecture et d’exécution pour accéder à ServerCertification.asmx :In addition to the prerequisites for installing the AzureInformationProtection module, the account used to protect or unprotect files must have Read and Execute permissions to access ServerCertification.asmx:

  1. Connectez-vous à un serveur AD RMS.Log on to an AD RMS server.

  2. Cliquez sur Démarrer, puis sur Ordinateur.Click Start, and then click Computer.

  3. Dans l’Explorateur de fichiers, accédez à %systemdrive%\Initpub\wwwroot_wmsc\Certification.In File Explorer, navigate to %systemdrive%\Initpub\wwwroot_wmsc\Certification.

  4. Cliquez avec le bouton droit sur ServerCertification.asmx, puis sur Propriétés.Right-click ServerCertification.asmx, then click Properties.

  5. Dans la boîte de dialogue Propriétés de ServerCertification.asmx, cliquez sur l’onglet Sécurité.In the ServerCertification.asmx Properties dialog box, click the Security tab.

  6. Cliquez sur le bouton Continuer ou sur le bouton Modifier.Click the Continue button or the Edit button.

  7. Dans la boîte de dialogue Autorisations de ServerCertification.asmx, cliquez sur Ajouter.In the Permissions for ServerCertification.asmx dialog box, click Add.

  8. Ajoutez le nom de votre compte.Add your account name. Si d’autres administrateurs AD RMS ou comptes de service vont également utiliser ces applets de commande pour protéger et déprotéger les fichiers, ajoutez aussi ces comptes.If other AD RMS administrators or service accounts will also use these cmdlets to protect and unprotect files, add those accounts as well.

    Pour protéger ou déprotéger des fichiers de manière non interactive, ajoutez le ou les comptes d’ordinateur appropriés.To protect or unprotect files non-interactively, add the relevant computer account or accounts. Par exemple, ajoutez le compte de l’ordinateur Windows Server qui est configuré pour l’infrastructure de classification des fichiers et qui utilise un script PowerShell pour protéger les fichiers.For example, add the computer account of the Windows Server computer that is configured for File Classification Infrastructure and will use a PowerShell script to protect files.

  9. Dans la colonne Autoriser, assurez-vous que les cases à cocher Lecture et exécution et Lecture sont sélectionnées.In the Allow column, make sure that the Read and Execute, and the Read checkboxes are selected.

10.Cliquez deux fois sur OK.10.Click OK twice.

Exemples de scénarios d’utilisation des applets de commande pour les services Active Directory Rights Management ServicesExample scenarios for using the cmdlets for Active Directory Rights Management Services

Un scénario standard pour ces applets de commande consiste à protéger tous les fichiers dans un dossier à l’aide d’un modèle de stratégie de droits, ou à annuler la protection d’un fichier.A typical scenario for these cmdlets is to protect all files in a folder by using a rights policy template, or to unprotect a file.

Tout d’abord, si vous comptez plus d’un déploiement d’AD RMS, vous devez disposer des noms de vos serveurs AD RMS. Utilisez l’applet de commande Get-RMSServer pour afficher la liste des serveurs disponibles :First, if you have more than one deployment of AD RMS, you need the names of your AD RMS servers, which you do by using the Get-RMSServer cmdlet to display a list of available servers:

Get-RMSServer

Votre résultat peut ressembler à ce qui suit :Your output might look similar to the following:

Number of RMS Servers that can provide templates: 2 
ConnectionInfo             DisplayName          AllowFromScratch
--------------             -------------        ----------------
Microsoft.InformationAnd…  RmsContoso                       True
Microsoft.InformationAnd…  RmsFabrikam                      True

Avant de pouvoir protéger des fichiers, vous devez obtenir une liste des modèles RMS pour identifier celui à utiliser et le numéro d’identification correspondant.Before you can protect files, you need to get a list of RMS templates to identify which one to use and its corresponding ID number. Vous devrez spécifier le serveur RMS également uniquement si vous comptez plus d’un déploiement d’AD RMS.Only when you have more than one AD RMS deployment do you need to specify the RMS server as well.

À partir du résultat, vous pouvez alors copier l’ID du modèle :From the output, you can then copy the template ID:

Get-RMSTemplate -RMSServer RmsContoso

Votre résultat peut ressembler à ce qui suit :Your output might look similar to the following:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True


TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Maintenant que vous connaissez l’ID du modèle, vous pouvez l’utiliser avec l’applet de commande Protect-RMSFile pour protéger un seul fichier ou tous les fichiers d’un dossier.Now you know the template ID, you can use it with the Protect-RMSFile cmdlet to protect a single file or all files in a folder. Par exemple, si vous souhaitez protéger un seul fichier et remplacer l’original, en utilisant le modèle « Contoso, Ltd - Confidential » :For example, if you want to protect a single file only and replace the original, by using the "Contoso, Ltd - Confidential" template:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

Votre résultat peut ressembler à ce qui suit :Your output might look similar to the following:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx   

Pour protéger tous les fichiers d’un dossier, utilisez le paramètre -Folder avec une lettre de lecteur et un chemin d’accès, ou le chemin d’accès UNC.To protect all files in a folder, use the -Folder parameter with a drive letter and path, or UNC path. Par exemple :For example:

Protect-RMSFile -Folder \\Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

Votre résultat peut ressembler à ce qui suit :Your output might look similar to the following:

InputFile                          EncryptedFile
---------                          -------------
\\Server1\Documents\Test1.docx     \\Server1\Documents\Test1.docx   
\\Server1\Documents\Test2.docx     \\Server1\Documents\Test2.docx   
\\Server1\Documents\Test3.docx     \\Server1\Documents\Test3.docx   
\\Server1\Documents\Test4.docx     \\Server1\Documents\Test4.docx   

Quand l’extension du nom de fichier n’est pas modifiée après l’application de la protection, vous pouvez toujours utiliser l’applet de commande Get-RMSFileStatus ultérieurement pour vérifier si le fichier est protégé.When the file name extension does not change after protection is applied, you can always use the Get-RMSFileStatus cmdlet later to check whether the file is protected. Par exemple :For example:

Get-RMSFileStatus -File \\Server1\Documents\Test1.docx

Votre résultat peut ressembler à ce qui suit :Your output might look similar to the following:

FileName                              Status
--------                              ------
\\Server1\Documents\Test1.docx        Protected

Pour déprotéger un fichier, vous devez disposer de droits d’utilisation de propriétaire ou d’extraction à compter du moment où le fichier a été protégé, ou être un super utilisateur AD RMS.To unprotect a file, you must have Owner or Extract usage rights from when the file was protected, or be super user for AD RMS. Ensuite, utilisez l’applet de commande de suppression de la protection Unprotect.Then, use the Unprotect cmdlet. Par exemple :For example:

Unprotect-RMSFile C:\test.docx -InPlace

Votre résultat peut ressembler à ce qui suit :Your output might look similar to the following:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Comment étiqueter des fichiers de manière non interactive pour Azure Information ProtectionHow to label files non-interactively for Azure Information Protection

Vous pouvez exécuter les applets de commande d’étiquetage de manière non interactive à l’aide de l’applet de commande Set-AIPAuthentication.You can run the labeling cmdlets non-interactively by using the Set-AIPAuthentication cmdlet. L’opération non interactive est également nécessaire pour le scanneur Azure Information Protection.Non-interactive operation is also required for the Azure Information Protection scanner.

Par défaut, lorsque vous exécutez les applets de commande d’étiquetage, les commandes s’exécutent dans votre propre contexte utilisateur dans une session PowerShell interactive.By default, when you run the cmdlets for labeling, the commands run in your own user context in an interactive PowerShell session. Pour les exécuter sans assistance, créez un compte d’utilisateur Azure AD à cet effet.To run them unattended, create a new Azure AD user account for this purpose. Ensuite, dans le contexte de cet utilisateur, exécutez l’applet de commande Set-AIPAuthentication pour définir et stocker les informations d’identification à l’aide d’un jeton d’accès Azure AD.Then, in the context of that user, run the Set-AIPAuthentication cmdlet to set and store credentials by using an access token from Azure AD. Ce compte d’utilisateur est ensuite authentifié et initialisé pour le service Azure Rights Management.This user account is then authenticated and bootstrapped for the Azure Rights Management service. Le compte télécharge la stratégie Azure Information Protection et tous les modèles Rights Management utilisés par les étiquettes.The account downloads the Azure Information Protection policy and any Rights Management templates that the labels use.

Note

Si vous utilisez des stratégies délimitées, n’oubliez pas que vous devrez peut-être ajouter ce compte à vos stratégies délimitées.If you use scoped policies, remember that you might need to add this account to your scoped policies.

La première fois que vous exécutez cette applet de commande, vous êtes invité à vous connecter à Azure Information Protection.The first time you run this cmdlet, you are prompted to sign in for Azure Information Protection. Spécifiez le nom et le mot de passe du compte d’utilisateur que vous avez créé pour l’utilisateur sans assistance.Specify the user account name and password that you created for the unattended user. Ce compte peut alors exécuter les applets de commande d’étiquetage de manière non interactive jusqu’à ce que le jeton d’authentification expire.After that, this account can then run the labeling cmdlets non-interactively until the authentication token expires.

Pour que le compte d’utilisateur puisse se connecter interactivement cette première fois, le compte doit avoir le droit d’Ouvrir une session locale.For the user account to be able to sign in interactively this first time, the account must have the Log on locally right. Ce droit est standard pour les comptes d’utilisateur, mais vos stratégies d’entreprise peuvent interdire cette configuration pour les comptes de service.This right is standard for user accounts but your company policies might prohibit this configuration for service accounts. Si tel est le cas, vous pouvez exécuter Set-AIPAuthentication avec le paramètre Jeton afin que l’authentification se termine sans l’invite de connexion.If that's the case, you can run Set-AIPAuthentication with the Token parameter so that authentication completes without the sign-in prompt. Vous pouvez exécuter cette commande comme une tâche planifiée et accorder au compte le droit inférieur qui consiste à Ouvrir une session comme programme de traitement par lots.You can run this command as a scheduled task and grant the account the lower right of Log on as batch job. Pour plus d’informations, consultez les sections suivantes.For more information, see the following sections.

Lorsque le jeton expire, exécutez l’applet de commande pour acquérir un nouveau jeton.When the token expires, run the cmdlet again to acquire a new token.

Si vous exécutez cette applet de commande sans paramètres, le compte acquiert un jeton d’accès qui est valide 90 jours ou jusqu’à ce que votre mot de passe expire.If you run this cmdlet without parameters, the account acquires an access token that is valid for 90 days or until your password expires.

Pour contrôler à quel moment le jeton d’accès expire, exécutez cette applet de commande avec des paramètres.To control when the access token expires, run this cmdlet with parameters. Vous pouvez ainsi configurer le jeton d’accès pour qu’il expire au bout d’un an, de deux ans ou jamais.This lets you configure the access token for one year, two years, or to never expire. Cette configuration nécessite que vous disposiez de deux applications inscrites dans Azure Active Directory : une application de type application web/API et une application native.This configuration requires you to have two applications registered in Azure Active Directory: A Web app / API application and a native application. Les paramètres de cette applet de commande utilisent les valeurs de ces applications.The parameters for this cmdlet use values from these applications.

Après avoir exécuté cette applet de commande, vous pouvez exécuter les applets de commande d’étiquetage dans le contexte du compte d’utilisateur que vous avez créé.After you have run this cmdlet, you can run the labeling cmdlets in the context of the user account that you created.

Pour créer et configurer les applications Azure AD pour Set-AIPAuthenticationTo create and configure the Azure AD applications for Set-AIPAuthentication

  1. Dans une nouvelle fenêtre de navigateur, connectez-vous au portail Azure.In a new browser window, sign in the Azure portal.

  2. Pour le locataire Azure AD que vous utilisez avec Azure Information Protection, accédez à Azure Active Directory > Inscriptions des applications.For the Azure AD tenant that you use with Azure Information Protection, navigate to Azure Active Directory > App registrations.

  3. Sélectionnez Nouvelle inscription d’application pour créer votre application web/API.Select New application registration, to create your Web app /API application. Dans l’étiquette Créer, spécifiez les valeurs suivantes, puis cliquez sur Créer :On the Create label, specify the following values, and then click Create:

    • Nom : AIPOnBehalfOfName: AIPOnBehalfOf

      Si vous le souhaitez, spécifiez un autre nom.If you prefer, specify a different name. Il doit être unique pour chaque locataire.It must be unique per tenant.

    • Type d’application : Application/API webApplication Type: Web app /API

    • URL de connexion : http://localhostSign-on URL: http://localhost

  4. Sélectionnez l’application que vous venez de créer, par exemple AIPOnBehalfOf.Select the application that you've just created, for example, AIPOnBehalfOf. Ensuite, dans le panneau Paramètres, sélectionnez Propriétés.Then, on the Settings blade, select Properties. Dans le panneau Propriétés, copiez la valeur du champ ID d’application, puis fermez ce panneau.From the Properties blade, copy the value for the Application ID, and then close this blade.

    Cette valeur est utilisée pour le paramètre WebAppId lorsque vous exécutez l’applet de commande Set-AIPAuthentication.This value is used for the WebAppId parameter when you run the Set-AIPAuthentication cmdlet. Collez-la et enregistrez-la pour vous y référer ultérieurement.Paste and save it for later reference.

  5. De retour dans le panneau Paramètres, sélectionnez Autorisations nécessaires.Back on the Settings blade, select Required permissions. Dans le panneau Autorisations nécessaires, sélectionnez Accorder des autorisations, cliquez sur Oui pour confirmer, puis fermez ce panneau.On the Required permissions blade, select Grant Permissions, click Yes to confirm, and then close this blade.

  6. De retour dans le panneau Paramètres, sélectionnez Clés.Back on the Settings blade again, select Keys. Ajoutez une nouvelle clé en spécifiant une description et la durée de votre choix (1 an, 2 ans ou sans expiration).Add a new key by specifying a description and your choice of duration (1 year, 2 years, or never expires). Ensuite, sélectionnez Enregistrer, puis copiez la chaîne correspondant à la Valeur qui s’affiche.Then select Save, and copy the string for the Value that is displayed. Il est important d’enregistrer cette chaîne, car elle ne sera plus affichée et ne pourra pas être récupérée.It's important that you save this string because it is not displayed again and it cannot be retrieved. Comme pour toute autre clé que vous utilisez, stockez la valeur enregistrée dans un endroit sûr et limitez l’accès à cette valeur.As with any key that you use, store the saved value securely and restrict access to it.

    Cette valeur est utilisée pour le paramètre WebAppKey lorsque vous exécutez l’applet de commande Set-AIPAuthentication.This value is used for the WebAppKey parameter when you run the Set-AIPAuthentication cmdlet.

  7. Dans le panneau Inscriptions des applications, sélectionnez Nouvelle inscription d’application pour créer votre application native.Back on the App registrations blade, select New application registration, to create your native application. Dans l’étiquette Créer, spécifiez les valeurs suivantes, puis cliquez sur Créer :On the Create label, specify the following values, and then click Create:

    • Nom : AIPClientName: AIPClient

      Si vous le souhaitez, spécifiez un autre nom.If you prefer, specify a different name. Il doit être unique pour chaque locataire.It must be unique per tenant.

    • Type d’application : NativeApplication Type: Native

    • URL de connexion : http://localhostSign-on URL: http://localhost

  8. Sélectionnez l’application que vous venez de créer, par exemple AIPClient.Select the application that you've just created, for example, AIPClient. Ensuite, dans le panneau Paramètres, sélectionnez Propriétés.Then, on the Settings blade, select Properties. Dans le panneau Propriétés, copiez la valeur du champ ID d’application, puis fermez ce panneau.From the Properties blade, copy the value for the Application ID, and then close this blade.

    Cette valeur est utilisée pour le paramètre NativeAppId lorsque vous exécutez l’applet de commande Set-AIPAuthentication.This value is used for the NativeAppId parameter when you run the Set-AIPAuthentication cmdlet. Collez-la et enregistrez-la pour vous y référer ultérieurement.Paste and save it for later reference.

  9. Dans le panneau Paramètres, sélectionnez Autorisations nécessaires.On the Settings blade, select Required permissions.

  10. Dans le panneau Autorisations nécessaires, cliquez sur Ajouter, puis cliquez sur Sélectionner une API.On the Required permissions blade, click Add, and then click Select an API. Dans la zone de recherche, tapez AIPOnBehalfOf.In the search box, type AIPOnBehalfOf. Sélectionnez cette valeur dans la zone de liste, puis cliquez sur Sélectionner.Select this value in the list box, and then click Select.

  11. Dans le panneau Activer l’accès, sélectionnez AIPOnBehalfOf, cliquez sur Sélectionner, puis cliquez sur Terminé.On the Enable Access blade, select AIPOnBehalfOf, click Select, and then click Done.

  12. De retour dans le panneau Autorisations nécessaires, sélectionnez Accorder des autorisations, cliquez sur Oui pour confirmer, puis fermez ce panneau.Back on the Required permissions blade, select Grant Permissions, click Yes to confirm, and then close this blade.

Vous venez de terminer la configuration des deux applications, et vous disposez des valeurs dont vous avez besoin pour exécuter Set-AIPAuthentication avec les paramètres WebAppId, WebAppKey and NativeAppId.You've now completed the configuration of the two apps and you have the values that you need to run Set-AIPAuthentication with the parameters WebAppId, WebAppKey and NativeAppId. Par exemple :For example:

Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f"

Exécutez cette commande dans le contexte du compte qui étiquettera et protégera les documents de manière non interactive.Run this command in the context of the account that will label and protect the documents non-interactively. Par exemple, un compte d’utilisateur pour vos scripts PowerShell ou le compte de service pour exécuter le scanneur Azure Information Protection.For example, a user account for your PowerShell scripts or the service account to run the Azure Information Protection scanner.

Lorsque vous exécutez cette commande pour la première fois, vous êtes invité à vous connecter, ce qui crée et stocke en toute sécurité le jeton d’accès de votre compte dans %localappdata%\Microsoft\MSIP.When you run this command for the first time, you are prompted to sign in, which creates and securely stores the access token for your account in %localappdata%\Microsoft\MSIP. Après cette première connexion, vous pouvez étiqueter et protéger les fichiers de manière non interactive sur l’ordinateur.After this initial sign-in, you can label and protect files non-interactively on the computer. Toutefois, si vous utilisez un compte de service pour étiqueter et protéger les fichiers, et que ce compte de service ne peut pas vous connecter de manière interactive, suivez les instructions dans la section suivante afin que le compte de service puisse authentifier à l’aide d’un jeton.However, if you use a service account to label and protect files, and this service account cannot sign in interactively, use the instructions in the following section so that the service account can authenticate by using a token.

Spécifier et utiliser le paramètre Jeton pour Set-AIPAuthenticationSpecify and use the Token parameter for Set-AIPAuthentication

Suivez les étapes et instructions supplémentaires suivantes afin d’éviter la première connexion interactive pour un compte qui étiquette et protège des fichiers.Use the following additional steps and instructions to avoid the initial interactive sign-in for an account that labels and protects files. En règle générale, ces étapes supplémentaires ne sont nécessaires que si ce compte ne peut pas obtenir le droit d’Ouvrir une session localement, mais qu’il obtient le droit Ouvrir une session en tant que programme de traitement par lots.Typically, these additional steps are required only if this account cannot be granted the Log on locally right but is granted the Log on as a batch job right. Par exemple, cela peut être le cas pour votre compte de service qui exécute le scanneur Azure Information Protection.For example, this might be the case for your service account that runs the Azure Information Protection scanner.

Étapes principales :High-level steps:

  1. Créez un script PowerShell sur votre ordinateur local.Create a PowerShell script on your local computer.

  2. Exécutez Set-AIPAuthentication pour obtenir un jeton d’accès et copiez-le dans le Presse-papiers.Run Set-AIPAuthentication to get an access token and copy it to the clipboard.

  3. Modifiez le script PowerShell pour inclure le jeton.Modify the PowerShell script to include the token.

  4. Créer une tâche qui exécute le script PowerShell dans le contexte du compte de service qui étiquettera et protégera les fichiers.Create a task that runs the PowerShell script in the context of the service account that will label and protect files.

  5. Vérifiez que le jeton est enregistré pour le compte de service, et supprimez le script PowerShell.Confirm that the token is saved for the service account, and delete the PowerShell script.

Étape 1 : créer un script PowerShell sur votre ordinateur localStep 1: Create a PowerShell script on your local computer

  1. Sur votre ordinateur, créez un nouveau script PowerShell nommé Aipauthentication.ps1.On your computer, create a new PowerShell script named Aipauthentication.ps1.

  2. Copiez et collez les commandes suivantes dans ce script :Copy and paste the following command into this script:

      Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application>  -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application > -Token <token value>
    
  3. En suivant les instructions de la section précédente, modifiez cette commande en spécifiant vos propres valeurs pour les paramètres WebAppId, WebAppkey, et NativeAppId.Using the instructions in the preceding section, modify this command by specifying your own values for the WebAppId, WebAppkey, and NativeAppId parameters. À ce stade, vous n’avez pas encore la valeur pour le paramètre Jeton, que vous spécifierez plus tard.At this time, you do not have the value for the Token parameter, which you specify later.

    Par exemple : Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>For example: Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>

Étape 2 : exécuter Set-AIPAuthentication pour obtenir un jeton d’accès et le copier dans le Presse-papiersStep 2: Run Set-AIPAuthentication to get an access token and copy it to the clipboard

  1. Ouvrez une session Windows PowerShell.Open a Windows PowerShell session.

  2. En utilisant les mêmes valeurs que vous avez spécifiées dans le script, exécutez la commande suivante :Using the same values as you specified in the script, run the following command:

     (Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application>  -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application >).token | clip
    

    Par exemple : (Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clipFor example: (Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clip

Étape 3 : modifier le script PowerShell pour fournir le jetonStep 3: Modify the PowerShell script to supply the token

  1. Dans votre script PowerShell, spécifiez la valeur du jeton en collant la chaîne depuis le Presse-papiers, puis enregistrez le fichier.In your PowerShell script, specify the token value by pasting the string from the clipboard, and save the file.

  2. Exécutez le script.Sign the script. Si vous ne vous signez pas le script (plus sécurisé), vous devez configurer Windows PowerShell sur l’ordinateur qui exécutera les commandes d’étiquetage.If you do not sign the script (more secure), you must configure Windows PowerShell on the computer that will run the labeling commands. Par exemple, exécutez une session Windows PowerShell à l’aide de l’option Exécuter en tant qu’administrateur, puis tapez : Set-ExecutionPolicy RemoteSigned.For example, run a Windows PowerShell session with the Run as Administrator option, and type: Set-ExecutionPolicy RemoteSigned. Toutefois, cette configuration laisse s’exécuter tous les scripts non signés quand ils sont stockés sur cet ordinateur (moins sécurisé).However, this configuration lets all unsigned scripts run when they are stored on this computer (less secure).

    Pour plus d'informations sur la signature des scripts Windows PowerShell, voir about_Signing dans la bibliothèque de documentation PowerShell.For more information about signing Windows PowerShell scripts, see about_Signing in the PowerShell documentation library.

  3. Copiez ce script PowerShell sur l’ordinateur qui étiquettera et protégera les fichiers, puis supprimez la version d’origine sur votre ordinateur.Copy this PowerShell script to the computer that will label and protect files, and delete the original on your computer. Par exemple, vous copiez le script PowerShell sur C:\Scripts\Aipauthentication.ps1 sur un ordinateur Windows Server.For example, you copy the PowerShell script to C:\Scripts\Aipauthentication.ps1 on a Windows Server computer.

Étape 4 : créer une tâche qui exécute le script PowerShellStep 4: Create a task that runs the PowerShell script

  1. Assurez-vous que le compte de service qui étiquettera et protégera les fichiers a le droit d’Ouvrir une session en tant que programme de traitement par lots.Make sure that the service account that will label and protect files has the Log on as a batch job right.

  2. Sur l’ordinateur qui étiquettera et protégera les fichiers, ouvrez le Planificateur de tâches et créez une nouvelle tâche.On the computer that will label and protect files, open Task Scheduler and create a new task. Configurez cette tâche pour qu’elle s’exécute en tant que le compte de service qui étiquettera et protégera les fichiers, puis configurez les valeurs suivantes pour les Actions :Configure this task to run as the service account that will label and protect files, and then configure the following values for the Actions:

    • Action : Start a programAction: Start a program
    • Programme/script : Powershell.exeProgram/script: Powershell.exe
    • Ajouter des arguments (facultatif) : -NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"Add arguments (optional): -NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"

      Pour la ligne d’argument, spécifiez vos propres noms de chemin d’accès et de fichier, s’ils sont différents de ceux de l’exemple.For the argument line, specify your own path and file name, if these are different from the example.

  3. Exécuter cette tâche manuellement.Manually run this task.

Étape 4 : vérifier que le jeton est enregistré et supprimer le script PowerShellStep 4: Confirm that the token is saved and delete the PowerShell script

  1. Vérifiez que le jeton est maintenant stocké dans le dossier %localappdata%\Microsoft\MSIP pour le profil de compte de service.Confirm that the token is now stored in the %localappdata%\Microsoft\MSIP folder for the service account profile. Cette valeur est protégée par le compte de service.This value is protected by the service account.

  2. Supprimez le script PowerShell qui contient la valeur du jeton (par exemple, Aipauthentication.ps1).Delete the PowerShell script that contains the token value (for example, Aipauthentication.ps1).

    Vous pouvez supprimer la tâche si vous le souhaitez.Optionally, delete the task. Si votre jeton expire, vous devez répéter ce processus, auquel cas il peut être plus pratique de laisser la tâche configurée afin qu’elle soit prête à s’exécuter à nouveau lorsque vous copierez le nouveau script PowerShell avec la nouvelle valeur du jeton.If your token expires, you must repeat this process, in which case it might be more convenient to leave the configured task so that it's ready to rerun when you copy over the new PowerShell script with the new token value.

Étapes suivantesNext steps

Pour obtenir de l’aide concernant les applets de commande lorsque vous avez ouvert une session PowerShell, tapez Get-Help <cmdlet name> cmdlet, puis utilisez le paramètre -online pour lire les informations les plus récentes.For cmdlet help when you are in a PowerShell session, type Get-Help <cmdlet name> cmdlet, and use the -online parameter to read the most up-to-date information. Par exemple :For example:

Get-Help Get-RMSTemplate -online

Pour des informations supplémentaires nécessaires pour la prise en charge du client Azure Information Protection, consultez les éléments suivants :See the following for additional information that you might need to support the Azure Information Protection client:

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.