Protection RMS avec l’infrastructure de classification des fichiers (ICF) Windows

  • Article

Utilisez cet article pour obtenir des instructions et un script pour utiliser le client Azure Information Protection et PowerShell pour configurer l’outil de gestion de ressources pour serveur de fichiers et l’infrastructure de classification des fichiers (FCI).

Cette solution vous permet de protéger automatiquement tous les fichiers d’un dossier sur un serveur de fichiers exécutant Windows Server ou de protéger automatiquement les fichiers qui répondent à des critères spécifiques. Par exemple, les fichiers qui ont été classés comme contenant des informations confidentielles ou sensibles. Cette solution se connecte directement au service Azure Rights Management à partir d’Azure Information Protection pour protéger les fichiers. Vous devez donc déployer ce service pour votre organisation.

Remarque

Bien qu’Azure Information Protection inclut un connecteur qui prend en charge l’infrastructure de classification des fichiers, cette solution prend uniquement en charge la protection native, par exemple, fichiers Office.

Pour prendre en charge plusieurs types de fichiers avec l’infrastructure de classification des fichiers Windows Server, vous devez utiliser le module PowerShell AzureInformationProtection , comme décrit dans cet article. Les applets de commande Azure Information Protection, comme le client Azure Information Protection, prennent en charge la protection générique ainsi que la protection native, ce qui signifie que les types de fichiers autres que Bureau documents peuvent être protégés. Pour plus d'informations, consultez Types de fichiers pris en charge par le client Azure Information Protection dans le guide de l’administrateur du client Azure Information Protection.

Les instructions suivantes concernent Windows Server 2012 R2 ou Windows Server 2012. Si vous exécutez d’autres versions prises en charge de Windows, vous devrez peut-être adapter certaines des étapes pour connaître les différences entre votre version du système d’exploitation et celle décrite dans cet article.

Conditions préalables pour la protection Azure Rights Management avec windows Server FCI

Conditions préalables pour ces instructions :

  • Sur chaque serveur de fichiers où vous allez exécuter File Resource Manager avec l’infrastructure de classification des fichiers :

    • Vous avez installé l’outil de gestion de ressources pour serveur de fichiers comme l’un des services de rôle pour le rôle Services de fichiers.

    • Vous avez identifié un dossier local qui contient des fichiers à protéger avec Rights Management. Par exemple, C:\FileShare.

    • Vous avez installé le module PowerShell AzureInformationProtection et configuré les prérequis pour ce module pour vous connecter au service Azure Rights Management.

      Le module PowerShell AzureInformationProtection est inclus avec le client Azure Information Protection. Pour obtenir des instructions d’installation, consultez Installer le client Azure Information Protection pour les utilisateurs à partir du guide d’administration d’Azure Information Protection. Si nécessaire, vous pouvez installer uniquement le module PowerShell à l’aide du paramètre PowerShellOnly=true.

      Les conditions préalables à l’utilisation de ce module PowerShell incluent l’activation du service Azure Rights Management, la création d’un principal de service et la modification du Registre si votre client est en dehors de Amérique du Nord. Avant de commencer à suivre les instructions de cet article, assurez-vous que vous disposez des valeurs de BposTenantId, AppPrincipalId, et de clé symétrique, comme indiqué dans les conditions préalables.

    • Si vous souhaitez modifier le niveau de protection par défaut (natif ou générique) pour des extensions de nom de fichier spécifiques, vous avez modifié le Registre comme décrit dans la section Modification du niveau de protection par défaut des fichiers à partir du guide d’administration.

    • Vous disposez d’une connexion Internet et vous avez configuré les paramètres de votre ordinateur si ceux-ci sont requis pour un serveur proxy. Par exemple : netsh winhttp import proxy source=ie

  • Vous avez synchronisé vos comptes d’utilisateur Active Directory local avec Microsoft Entra ID ou Microsoft 365, y compris leurs adresses email. Cela est requis pour tous les utilisateurs qui peuvent avoir besoin d’accéder aux fichiers une fois qu’ils sont protégés par FCI et le service Azure Rights Management. Si vous ne procédez pas à cette étape (par exemple, dans un environnement de test), les utilisateurs peuvent être bloqués pour accéder à ces fichiers. Si vous avez besoin d’informations supplémentaires sur cette exigence, consultez Préparation d’utilisateurs et de groupes pour Azure Information Protection.

  • Ce scénario ne prend pas en charge les modèles de service. Vous devez donc utiliser un modèle qui n’est pas configuré pour une étendue, ou utiliser l’applet de commande Set-AipServiceTemplateProperty et le paramètre EnableInLegacyApps .

Instructions pour configurer l’outil de gestion de ressources pour serveur de fichiers pour la protection Azure Rights Management

Suivez ces instructions pour protéger automatiquement tous les fichiers d’un dossier à l’aide d’un script PowerShell en tant que tâche personnalisée. Procédez comme suit dans cet ordre :

  1. Enregistrer le script PowerShell

  2. Créer une propriété de classification pour Rights Management (RMS)

  3. Créer une règle de classification (Classifier pour RMS)

  4. Configurer la planification de classification

  5. Créer une tâche de gestion de fichiers personnalisée (Protéger les fichiers avec RMS)

  6. Tester la configuration en exécutant manuellement la règle et la tâche

À la fin de ces instructions, tous les fichiers de votre dossier sélectionné seront classés avec la propriété personnalisée de RMS, et ces fichiers seront ensuite protégés par Rights Management. Pour une configuration plus complexe qui protège de manière sélective certains fichiers et non d’autres, vous pouvez ensuite créer ou utiliser une autre propriété de classification et une règle, avec une tâche de gestion de fichiers qui protège uniquement ces fichiers.

Notez que si vous apportez des modifications au modèle Rights Management que vous utilisez pour FCI, le compte d’ordinateur qui exécute le script pour protéger les fichiers n’obtient pas automatiquement le modèle mis à jour. Pour ce faire, dans le script, recherchez la commande commentée Get-RMSTemplate -Force et supprimez le # caractère de commentaire. Lorsque le modèle mis à jour est téléchargé (le script s’exécute au moins une fois), vous pouvez commenter cette commande supplémentaire afin que les modèles ne soient pas téléchargés inutilement chaque fois. Si les modifications apportées au modèle sont suffisamment importantes pour reprotéger les fichiers sur le serveur de fichiers, vous pouvez le faire de manière interactive en exécutant l’applet de commande Protect-RMSFile avec un compte disposant des droits d’utilisation Export ou Contrôle total pour les fichiers. Vous devez également exécuter Get-RMSTemplate -Force si vous publiez un nouveau modèle que vous souhaitez utiliser pour FCI.

Enregistrer le script Windows PowerShell

  1. Copiez le contenu du script Windows PowerShell pour la protection Azure RMS à l’aide de l’outils de gestion de ressources pour serveur de fichiers. Collez le contenu du script et nommez le fichier RMS-Protect-FCI.ps1 sur votre propre ordinateur.

  2. Examinez le script et apportez les modifications suivantes :

    • Recherchez la chaîne suivante et remplacez-la par votre propre AppPrincipalId que vous utilisez par l’applet de commande Set-RMSServerAuthentication pour vous connecter au service Azure Rights Management :

      <enter your AppPrincipalId here>

      Par exemple, le script peut se présenter comme suit :

      [Parameter(Mandatory = $false)]

      [Parameter(Mandatory = $false)] [string]$AppPrincipalId = "b5e3f76a-b5c2-4c96-a594-a0807f65bba4",

    • Recherchez la chaîne suivante et remplacez-la par votre propre clé symétrique que vous utilisez par l’applet de commande Set-RMSServerAuthentication pour vous connecter au service Azure Rights Management :

      <enter your key here>

      Par exemple, le script peut se présenter comme suit :

      [Parameter(Mandatory = $false)]

      [string]$SymmetricKey = "zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA="

    • Recherchez la chaîne suivante et remplacez-la par votre propre BposTenantId (ID de client) que vous utilisez par l’applet de commande Set-RMSServerAuthentication pour vous connecter au service Azure Rights Management :

      <enter your BposTenantId here>

      Par exemple, le script peut se présenter comme suit :

      [Parameter(Mandatory = $false)]

      [string]$BposTenantId = "23976bc6-dcd4-4173-9d96-dad1f48efd42",

  3. Connecter le script. Si vous ne signez pas le script (plus sécurisé), vous devez configurer Windows PowerShell sur les serveurs qui l’exécutent. Par exemple, exécutez une session Windows PowerShell avec l'option Exécuter en tant qu'administrateur et tapez : Set-ExecutionPolicy RemoteSigned. Cependant, cette configuration permet l'exécution de tous les scripts non signés lorsqu'ils sont stockés sur ce serveur (moins sûr).

    Pour plus d’informations sur la signature des scripts Windows PowerShell, voir about_Signing dans la bibliothèque de documentation PowerShell.

  4. Enregistrez le fichier localement sur chaque serveur de fichiers qui exécute File Resource Manager avec l’infrastructure de classification des fichiers. Par exemple, enregistrez le fichier dans C :\RMS-Protection. Si vous utilisez un autre chemin d’accès ou un nom de dossier, choisissez un chemin d’accès et un dossier qui n’inclut pas d’espaces. Sécurisez ce fichier à l’aide des autorisations NTFS afin que les utilisateurs non autorisés ne puissent pas le modifier.

Vous êtes maintenant prêt à commencer à configurer le Gestionnaire de ressources du serveur de fichiers.

Créer une propriété de classification pour Rights Management (RMS)

  • Dans le Gestionnaire de ressources du serveur de fichiers, Gestion des classifications, créez une propriété locale :

    • Nom : Tapez RMS

    • Description : Protection de type Rights Management

    • Type de propriété : Sélectionner Oui/Non

    • Valeur : Sélectionner égal

Nous pouvons maintenant créer une règle de classification qui utilise cette propriété.

Créer une règle de classification (Classifier pour RMS)

  • Créer une règle de classification :

    • Dans l’onglet Général :

      • Nom : Tapez Classifier pour RMS

      • Activé : conservez la valeur par défaut, c’est-à-dire que cette boîte de réception vérification est sélectionnée.

      • Description : Tapez Classifier tous les fichiers dans le dossier de <nom de dossier> pour Rights Management.

        Remplacez le <nom du dossier> par le nom de votre dossier choisi. Par exemple, classifier tous les fichiers dans le dossier C :\FileShare pour Rights Management

      • Étendue : ajoutez votre dossier choisi. Par exemple, C:\FileShare.

        Ne pas cocher les cases.

    • Dans l’onglet Classification :

    • Méthode de classification : Sélectionner un classifieur de dossiers

    • Nom de la propriété : Sélectionner RMS

    • Valeur de propriété : Sélectionner Oui

Bien que vous puissiez exécuter manuellement les règles de classification, pour les opérations en cours, vous souhaitez que cette règle s’exécute selon une planification afin que les nouveaux fichiers soient classés avec la propriété RMS.

Configurer la planification de classification

  • Sous l’onglet Classification automatique :

    • Activer la planification fixe : sélectionnez cette vérification box.

    • Configurez la planification de toutes les règles de classification à exécuter, ce qui inclut notre nouvelle règle pour classifier les fichiers avec la propriété RMS.

    • Autoriser la classification continue pour les nouveaux fichiers : sélectionnez cette zone vérification afin que les nouveaux fichiers soient classés.

    • Facultatif : apportez d’autres modifications souhaitées, telles que la configuration d’options pour les rapports et les notifications.

Maintenant que vous avez terminé la configuration de classification, vous êtes prêt à configurer une tâche de gestion pour appliquer la protection RMS aux fichiers.

Créer une tâche de gestion de fichiers personnalisée (Protéger les fichiers avec RMS)

  • Dans Tâches de gestion de fichiers, créez une tâche de gestion de fichiers :

    • Dans l’onglet Général :

      • Nom de la tâche : Tapez Protéger les fichiers avec RMS

      • Ne décochez pas la case Activer.

      • Description : Tapez Protéger les fichiers dans le <nom du dossier> avec Rights Management et un modèle à l’aide d’un script Windows PowerShell.

        Remplacez le <nom du dossier> par le nom de votre dossier choisi. Par exemple, protéger des fichiers en C :\FileShare avec Rights Management et un modèle à l’aide d’un script Windows PowerShell

      • Étendue : sélectionnez votre dossier choisi. Par exemple, C:\FileShare.

        Ne pas cocher les cases.

    • Sous l’onglet Action :

      • Type : sélectionnez personnalisé

      • Exécutable : spécifiez les éléments suivants :

        C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

        Si Windows n’est pas sur votre lecteur C : , modifiez ce chemin d’accès ou accédez à ce fichier.

      • Argument : Spécifiez les valeurs suivantes, en fournissant vos propres valeurs < pour le chemin d’accès> et <ID de modèle> :

        -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID <template GUID> -OwnerMail '[Source File Owner Email]'"

        Par exemple, si vous avez copié le script en C :\RMS-Protection et que l’ID de modèle que vous avez identifié à partir des prérequis est e6ee2481-26b9-45e5-b34a-f744eacd53b0, spécifiez les éléments suivants :

        -Noprofile -Command "C:\RMS-Protection\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerMail '[Source File Owner Email]'"

        Dans cette commande, [Chemin d'accès au fichier source] et [Email du propriétaire du fichier source] sont des variables spécifiques à FCI, il faut donc les taper exactement comme elles apparaissent dans la commande précédente. La première variable est utilisée par FCI pour spécifier automatiquement le fichier identifié dans le dossier, et la deuxième variable permet à L’instance de récupération automatique de l’adresse email du propriétaire nommé du fichier identifié. Cette commande est répétée pour chaque fichier du dossier, qui, dans notre exemple, est chaque fichier du dossier C :\FileShare qui possède également RMS comme propriété de classification de fichiers.

        Remarque

        Le paramètre et la valeur -OwnerMail [Email du propriétaire du fichier source] garantissent que le propriétaire original du fichier se voit attribuer le titre de propriétaire du fichier après sa protection. Cette configuration garantit que le propriétaire du fichier d’origine dispose de tous les droits Rights Management sur ses propres fichiers. Lorsque des fichiers sont créés par un utilisateur du domaine, l'adresse e-mail est automatiquement récupérée à partir d'Active Directory en utilisant le nom du compte d'utilisateur dans la propriété Propriétaire du fichier. Pour ce faire, le serveur de fichiers doit se trouver dans le même domaine ou domaine approuvé que l’utilisateur.

        Dans la mesure du possible, affectez les propriétaires d’origine aux documents protégés, pour vous assurer que ces utilisateurs continuent à avoir un contrôle total sur les fichiers qu’ils ont créés. Toutefois, si vous utilisez la variable [E-mail du propriétaire du fichier source] comme dans la commande précédente et qu’un fichier n’a pas d’utilisateur de domaine défini comme propriétaire (par exemple, un compte local a été utilisé pour créer le fichier, de sorte que le propriétaire affiche SYSTEM), le script échoue.

        Pour les fichiers qui n’ont pas d’utilisateur de domaine en tant que propriétaire, vous pouvez copier et enregistrer ces fichiers vous-même en tant qu’utilisateur de domaine, afin de devenir le propriétaire de ces fichiers uniquement. Ou, si vous disposez d’autorisations, vous pouvez modifier manuellement le propriétaire. Vous pouvez également fournir une adresse email spécifique (par exemple, votre propre ou une adresse de groupe pour le service informatique) au lieu de la variable [E-mail du propriétaire du fichier source], ce qui signifie que tous les fichiers que vous protégez à l’aide de ce script utilisent cette adresse email pour définir le nouveau propriétaire.

    • Exécutez la commande en tant que : Sélectionner système local

    • Dans l’onglet Conditions :

      • Propriété : Sélectionner RMS

      • Opérateur : Sélectionner .

      • Valeur : Sélectionner égal

    • Dans l’onglet Planifier :

      • Exécuter à : configurer votre planification préférée.

        Laissez beaucoup de temps pour que le script se termine. Bien que cette solution protège tous les fichiers du dossier, le script s’exécute une fois pour chaque fichier, chaque fois. Bien que cela prenne plus de temps que la protection de tous les fichiers en même temps, que le client Azure Information Protection prend en charge, cette configuration de fichier par fichier pour FCI est plus puissante. Par exemple, les fichiers protégés peuvent avoir différents propriétaires (conserver le propriétaire d’origine) lorsque vous utilisez la variable [E-mail du propriétaire du fichier source] et que cette action de fichier par fichier est requise si vous modifiez ultérieurement la configuration pour protéger de manière sélective les fichiers plutôt que tous les fichiers d’un dossier.

      • Exécutez en continu sur de nouveaux fichiers : sélectionner cette case.

Tester la configuration en exécutant manuellement la règle et la tâche

  1. Exécuter le rapport de classification :

    1. Cliquez sur Règles de classification>Exécutez la classification avec toutes les règles maintenant

    2. Cliquez sur l'option Attendre la fin de la classification, puis cliquez sur OK.

  2. Attendez la fermeture de la zone de dialogue Classification en cours d’exécution, puis affichez les résultats dans le rapport affiché automatiquement. Vous devez voir 1 pour le champ Propriétés et le nombre de fichiers dans votre dossier. Confirmez en utilisant Explorateur de fichiers et vérification les propriétés des fichiers dans votre dossier choisi. Sous l’onglet Classification , vous devez voir RMS comme nom de propriété et Oui pour sa valeur.

  3. Exécutez la tâche de gestion des fichiers :

    1. Cliquez sur Tâches gestionnaires de fichiers>Protéger les fichiers avec RMS>Exécuter les tâches gestionnaires de fichiers maintenant

    2. Cliquiez sur Attendez la fin de l'importation, puis cliquez sur OK.

  4. Attendez que la zone de dialogue Tâche de gestion des fichiers en cours d’exécution se ferme, puis affiche les résultats dans le rapport affiché automatiquement. Vous devez voir le nombre de fichiers qui se trouvent dans votre dossier choisi dans le champ Fichiers . Confirmer que les fichiers de votre dossier choisi sont désormais protégés par Rights Management. Par exemple, si votre dossier choisi est C :\FileShare, tapez la commande suivante dans une session Windows PowerShell et vérifiez qu’aucun fichier n’a l’état Non protégé :

    foreach ($file in (Get-ChildItem -Path C:\FileShare -Force | where {!$_.PSIsContainer})) {Get-RMSFileStatus -f $file.PSPath}

    Conseil

    Conseils de dépannage :

    • Si vous voyez 0 dans le rapport, au lieu du nombre de fichiers dans votre dossier, cette sortie indique que le script n’a pas été exécuté. Tout d’abord, vérification le script lui-même en le chargeant dans Windows PowerShell ISE pour valider le contenu du script et essayer de l’exécuter une fois dans la même session PowerShell, pour voir si des erreurs sont affichées. Sans argument spécifié, le script tente de se connecter et de s’authentifier auprès du service Azure Rights Management.

      • Si le script signale qu’il n’a pas pu se connecter au service Azure Rights Management (Azure RMS), vérification les valeurs affichées pour le compte principal de service, que vous avez spécifié dans le script. Pour plus d’informations sur la création de ce compte de principal de service, consultez La configuration requise 3 : Pour protéger ou annuler la protection des fichiers sans interaction dans le guide de l’administrateur du client Azure Information Protection.
      • Si le script signale qu’il peut se connecter à Azure RMS, vérification suivant qu’il peut trouver le modèle spécifié en exécutant Get-RMSTemplate directement à partir de Windows PowerShell sur le serveur. Vous devez voir le modèle que vous avez spécifié dans les résultats.

    • Si le script s’exécute dans Windows PowerShell ISE sans erreur, essayez de l’exécuter comme suit à partir d’une session PowerShell, en spécifiant un nom de fichier à protéger et sans le paramètre -OwnerEmail :

      powershell.exe -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '<full path and name of a file>' -TemplateID <template GUID>"

      • Si le script s’exécute correctement dans cette session Windows PowerShell, vérification vos entrées pour Exécutif et Argument dans l’action de tâche de gestion de fichiers. Si vous avez spécifié -OwnerEmail [E-mail du propriétaire du fichier source], essayez de supprimer ce paramètre.

        Si la tâche de gestion de fichiers fonctionne correctement sans -OwnerEmail [Adresse email du propriétaire du fichier source], vérification que les fichiers non protégés ont un utilisateur de domaine répertorié comme propriétaire du fichier, plutôt que SYSTEM. Pour rendre cette vérification, utilisez l’onglet Sécurité pour les propriétés du fichier, puis cliquez sur Avancé. La valeur Propriétaire s’affiche immédiatement après le Nom du fichier. Vérifiez également que le serveur de fichiers se trouve dans le même domaine ou un domaine approuvé pour rechercher l’adresse e-mail de l’utilisateur à partir de Active Directory Domain Services.

    • Si vous voyez le nombre correct de fichiers dans le rapport, mais que les fichiers ne sont pas protégés, essayez de protéger les fichiers manuellement à l’aide de l’applet de commande Protect-RMSFile pour voir si des erreurs sont affichées.

Lorsque vous avez confirmé que ces tâches s’exécutent correctement, vous pouvez fermer File Resource Manager. Les nouveaux fichiers sont automatiquement classifiés et protégés lorsque les tâches planifiées s’exécutent.

Action requise si vous apportez des modifications au modèle Rights Management

Si vous apportez des modifications au modèle Rights Management référencé par le script, le compte d’ordinateur qui exécute le script pour protéger les fichiers n’obtient pas automatiquement le modèle mis à jour. Dans le script, recherchez la commande commentée Get-RMSTemplate -Force dans la fonction Set-RMS Connecter ion, puis supprimez le caractère de commentaire au début de la ligne. La prochaine fois que le script s’exécute, le modèle mis à jour est téléchargé. Pour optimiser les performances afin que les modèles ne téléchargent pas inutilement, vous pouvez ensuite commenter cette ligne à nouveau.

Si les modifications apportées au modèle sont suffisamment importantes pour reprotéger les fichiers sur le serveur de fichiers, vous pouvez le faire de manière interactive en exécutant l’applet de commande Protect-RMSFile avec un compte disposant des droits d’utilisation Export ou Contrôle total pour les fichiers.

Exécutez également cette ligne dans le script si vous publiez un nouveau modèle que vous souhaitez utiliser pour FCI et modifiez l’ID de modèle dans la ligne d’argument pour la tâche de gestion de fichiers personnalisée.

Modification des instructions pour protéger de manière sélective les fichiers

Lorsque vous disposez des instructions précédentes, il est alors facile de les modifier pour une configuration plus sophistiquée. Par exemple, protégez les fichiers à l’aide du même script, mais uniquement pour les fichiers qui contiennent des informations d’identification personnelles, et sélectionnez peut-être un modèle qui a des droits plus restrictifs.

Pour effectuer cette modification, utilisez l’une des propriétés de classification intégrées (par exemple, informations personnelles identifiantes) ou créez votre propre propriété. Créez ensuite une règle qui utilise cette propriété. Par exemple, vous pouvez sélectionner le classifieur de contenu, choisir la propriété informations personnelles identifiantes avec la valeur Élevé et configurer la chaîne ou le modèle d’expression qui identifie le fichier à configurer pour cette propriété (par exemple, la chaîne « Date de naissance »).

Vous devez maintenant créer une tâche de gestion de fichiers qui utilise le même script, mais peut-être avec un modèle différent, et configurer la condition de la propriété de classification que vous venez de configurer. Par exemple, au lieu de la condition que nous avons configurée précédemment (propriété RMS , Égal, Oui), sélectionnez les informations personnelles identifiantes avec la valeur opérateur définie sur Égal et la valeur de Élevé.

Étapes suivantes

Vous vous demandez peut-être : Quelle est la différence entre l’infrastructure de classification des fichiers Windows Server FCI et le scanneur Azure Information Protection ?