Protection RMS avec l’infrastructure de classification des fichiers (ICF) de Windows ServerRMS protection with Windows Server File Classification Infrastructure (FCI)

S’applique à : Azure Information Protection, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2Applies to: Azure Information Protection, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2

Cet article contient des instructions et un script pour utiliser le client Azure Information Protection et PowerShell pour configurer les outils de gestion de ressources pour serveur de fichiers et l’infrastructure de classification des fichiers (ICF).Use this article for instructions and a script to use the Azure Information Protection client and PowerShell to configure File Server Resource Manager and File Classification Infrastructure (FCI).

Cette solution vous permet de protéger automatiquement tous les fichiers figurant dans un dossier sur un serveur de fichiers exécutant Windows Server, ou des fichiers répondant à un critère spécifique.This solution lets you automatically protect all files in a folder on a file server running Windows Server, or automatically protect files that meet a specific criteria. Il s'agit, par exemple, de fichiers qui ont été classés comme contenant des informations confidentielles ou sensibles.For example, files that have been classified as containing confidential or sensitive information. Cette solution se connecte directement au service Azure Rights Management d’Azure Information Protection pour protéger les fichiers, vous devez déployer ce service pour votre organisation.This solution connects directly to the Azure Rights Management service from Azure Information Protection to protect the files, so you must have this service deployed for your organization.

Note

Bien qu’Azure Information Protection inclue un connecteur prenant en charge l’infrastructure de classification des fichiers, cette solution prend en charge uniquement la protection native (par exemple, celle des fichiers Office).Although Azure Information Protection includes a connector that supports File Classification Infrastructure, that solution supports native protection only—for example, Office files.

Pour prendre en charge plusieurs types de fichiers avec l’infrastructure de classification des fichiers Windows Server, vous devez utiliser le module AzureInformationProtection de PowerShell, comme décrit dans cet article.To support multiple file types with Windows Server file classification infrastructure, you must use the PowerShell AzureInformationProtection module, as documented in this article. Les applets de commande Azure Information Protection, telles que le client Azure Information Protection, prennent en charge la protection générique ainsi que la protection native, ce qui signifie que les types de fichiers autres que les documents Office peuvent être protégés.The Azure Information Protection cmdlets, like the Azure Information Protection client, support generic protection as well as native protection, which means that file types other than Office documents can be protected. Pour plus d’informations, consultez Types de fichiers pris en charge par le client Azure Information Protection dans le guide de l’administrateur du client Azure Information Protection.For more information, see File types supported by the Azure Information Protection client from the Azure Information Protection client admin guide.

Les instructions qui suivent ont trait à Windows Server 2012 R2 ou à Windows Server 2012.The instructions that follow are for Windows Server 2012 R2 or Windows Server 2012. Si vous exécutez d'autres versions prises en charge de Windows, il se peut que vous deviez adapter certaines étapes en fonction de différences existant entre votre version du système d'exploitation et celle évoquée dans cet article.If you run other supported versions of Windows, you might need to adapt some of the steps for differences between your operating system version and the one documented in this article.

Conditions préalables pour l’utilisation de la protection Azure Rights Management avec l’ICF de Windows ServerPrerequisites for Azure Rights Management protection with Windows Server FCI

Conditions préalables pour ces instructions :Prerequisites for these instructions:

  • Sur chaque serveur de fichiers où vous allez exécuter le Gestionnaire de ressources de fichiers avec l'infrastructure de classification des fichiers :On each file server where you will run File Resource Manager with file classification infrastructure:

    • Vous avez installé les outils de gestion de ressources pour serveur de fichiers comme l'un des services de rôle pour le rôle Services de fichiers.You have installed File Server Resource Manager as one of the role services for the File Services role.

    • Vous avez identifié un dossier local contenant des fichiers à protéger avec Rights Management.You have identified a local folder that contains files to protect with Rights Management. Par exemple, C:\FileShare.For example, C:\FileShare.

    • Vous avez installé le module PowerShell AzureInformationProtection et configuré les conditions préalables pour que ce module puisse se connecter à Azure Rights Management.You have installed the AzureInformationProtection PowerShell module and configured the prerequisites for this module to connect to the Azure Rights Management service.

      Le module PowerShell AzureInformationProtection est fourni avec le client Azure Information Protection.The AzureInformationProtection PowerShell module is included with the Azure Information Protection client. Pour obtenir des instructions d’installation, consultez Installer le client Azure Information Protection pour les utilisateurs dans le guide de l’administrateur Azure Information Protection.For installation instructions, see Install the Azure Information Protection client for users from the Azure Information Protection admin guide. Si nécessaire, vous pouvez installer uniquement le module PowerShell à l’aide du paramètre PowerShellOnly=true.If required, you can install just the PowerShell module by using the PowerShellOnly=true parameter.

      Les conditions préalables pour l’utilisation de ce module PowerShell comprennent l’activation du service Azure Rights Management, la création d’un principal de service et la modification du registre si votre client se trouve en dehors de l’Amérique du Nord.The prerequisites for using this PowerShell module include activating the Azure Rights Management service, creating a service principal, and editing the registry if your tenant is outside North America. Avant de commencer à suivre les instructions fournies dans cet article, assurez-vous d’avoir des valeurs pour BposTenantId, AppPrincipalId et Clé symétrique, comme indiqué dans ces conditions préalables.Before you start the instructions in this article, make sure that you have values for your BposTenantId, AppPrincipalId, and Symmetric key, as documented in these prerequisites.

    • Si vous souhaitez modifier le niveau par défaut de protection (native ou générique) pour des extensions de nom de fichier spécifiques, vous avez modifié le Registre comme décrit dans la section Modification du niveau de protection par défaut des fichiers du guide d’administrateur.If you want to change the default level of protection (native or generic) for specific file name extensions, you have edited the registry as described in the Changing the default protection level of files section from the admin guide.

    • Vous disposez d’une connexion Internet et vous avez configuré les paramètres de votre ordinateur s’ils sont nécessaires pour un serveur proxy.You have an Internet connection, and you have configured your computer settings if these are required for a proxy server. Par exemple : netsh winhttp import proxy source=ieFor example: netsh winhttp import proxy source=ie

  • Vous avez synchronisé vos comptes d’utilisateur Active Directory locaux avec Azure Active Directory ou Office 365, dont leurs adresses e-mail.You have synchronized your on-premises Active Directory user accounts with Azure Active Directory or Office 365, including their email addresses. Cela est obligatoire pour tous les utilisateurs qui peuvent devoir accéder à des fichiers une fois qu’ils sont protégés par ICF et le service Azure Rights Management.This is required for all users that might need to access files after they are protected by FCI and the Azure Rights Management service. Si vous n’exécutez pas cette étape (par exemple, dans un environnement de test), il se peut que l’accès des utilisateurs à ces fichiers soit bloqué.If you do not do this step (for example, in a test environment), users might be blocked from accessing these files. Si vous avez besoin de plus d’informations sur cette exigence, consultez Préparation des utilisateurs et groupes pour Azure Information Protection.If you need more information about this requirement, see Preparing users and groups for Azure Information Protection.

  • Vous avez téléchargé les modèles Rights Management sur le serveur de fichiers, puis identifié l’identifiant de modèle qui va protéger les fichiers.You have downloaded to the file server the Rights Management templates and identified the template ID that will protect the files. Pour cela, utilisez la cmdlet Get-RMSTemplate.To do this, use the Get-RMSTemplate cmdlet. Ce scénario ne prend pas en charge les modèles de services. Par conséquent, vous devez utiliser un modèle qui n’est pas configuré pour une étendue ou la configuration de l’étendue doit inclure l’option de compatibilité des applications de manière à ce que la case à cocher Afficher ce modèle à tous les utilisateurs lorsque les applications ne prennent pas en charge l’identité de l’utilisateur soit activée.This scenario does not support departmental templates so you must either use a template that is not configured for a scope, or the scope configuration must include the application compatibility option such that the Show this template to all users when the applications do not support user identity check box is selected.

Instructions de configuration de l’ICF des outils de gestion de ressources pour serveur de fichiers pour la protection Azure Rights ManagementInstructions to configure File Server Resource Manager FCI for Azure Rights Management protection

Suivez ces instructions pour protéger automatiquement tous les fichiers figurant dans un dossier, en utilisant un script PowerShell en tant que tâche personnalisée.Follow these instructions to automatically protect all files in a folder, by using a PowerShell script as a custom task. Exécutez les procédures suivantes, dans l'ordre indiqué :Do these procedures in this order:

  1. Enregistrer le script PowerShellSave the PowerShell script

  2. Création d'une propriété de classification pour Rights Management (RMS)Create a classification property for Rights Management (RMS)

  3. Création d'une règle de classification (Classifier pour RMS)Create a classification rule (Classify for RMS)

  4. Configuration de la planification de la classificationConfigure the classification schedule

  5. Création d'une tâche de gestion de fichiers personnalisée (Protéger les fichiers avec RMS)Create a custom file management task (Protect files with RMS)

  6. Test de la configuration en exécutant manuellement la règle et la tâcheTest the configuration by manually running the rule and task

Quand vous aurez suivi ces instructions, tous les fichiers figurant dans votre dossier sélectionné seront classifiés avec la propriété personnalisée de RMS, et seront protégés par Rights Management.At the end of these instructions, all files in your selected folder will be classified with the custom property of RMS, and these files will then be protected by Rights Management. Pour une configuration plus complexe qui protège sélectivement certains fichiers et pas d'autres, vous pouvez ensuite créer ou utiliser une propriété et une règle de classification différentes, avec une tâche de gestion de fichiers qui protège uniquement ces fichiers.For a more complex configuration that selectively protects some files and not others, you can then create or use a different classification property and rule, with a file management task that protects just those files.

Notez que si vous apportez des modifications au modèle Rights Management que vous utilisez pour l’ICF, vous devez exécuter Get-RMSTemplate -Force sur l’ordinateur du serveur de fichiers pour obtenir le modèle mis à jour.Note that if you make changes to the Rights Management template that you use for FCI, you must run Get-RMSTemplate -Force on the file server computer to get the updated template. Le modèle mis à jour est ensuite utilisé pour protéger de nouveaux fichiers.The updated template is then used to protect new files. Si les modifications apportées au modèle sont suffisamment importantes pour protéger de nouveau les fichiers sur le serveur de fichiers, vous faites cela en exécutant l’applet de commande Protect-RMSFile de façon interactive avec un compte ayant des droits d’utilisation Contrôle total ou Exportation sur les fichiers.If the changes to the template are important enough to reprotect the files on the file server, you can do this by running the Protect-RMSFile cmdlet interactively with an account that has the Export or Full Control usage rights for the files. Si vous publiez un nouveau modèle que vous souhaitez utiliser pour l’ICF, vous devez également exécuter Get-RMSTemplate -Force sur ce serveur de fichiers.You must also run Get-RMSTemplate -Force on this file server computer if you publish a new template that you want to use for FCI.

Exécution du script Windows PowerShellSave the Windows PowerShell script

  1. Copiez le contenu du script Windows PowerShell pour la protection Azure RMS à l’aide des outils de gestion de ressources pour serveur de fichiers.Copy the contents of the Windows PowerShell script for Azure RMS protection by using File Server Resource Manager. Collez le contenu du script et nommez le fichier RMS-Protect-FCI.ps1 sur votre ordinateur.Paste the contents of the script and name the file RMS-Protect-FCI.ps1 on your own computer.

  2. Examinez le script et apportez les modifications suivantes :Review the script and make the following changes:

    • Recherchez la chaîne suivante et remplacez-la par votre propre AppPrincipalId que vous utilisez avec l’applet de commande Set-RMSServerAuthentication pour vous connecter au service Azure Rights Management :Search for the following string and replace it with your own AppPrincipalId that you use with the Set-RMSServerAuthentication cmdlet to connect to the Azure Rights Management service:

      <enter your AppPrincipalId here>
      

      Par exemple, le script peut se présenter comme suit :For example, the script might look like this:

      [Parameter(Mandatory = $false)]

      [Parameter(Mandatory = $false)] [string]$AppPrincipalId = "b5e3f76a-b5c2-4c96-a594-a0807f65bba4",

    • Recherchez la chaîne suivante, et remplacez-la par votre propre clé symétrique que vous utilisez avec l’applet de commande Set-RMSServerAuthentication pour vous connecter au service Azure Rights Management :Search for the following string and replace it with your own symmetric key that you use with the Set-RMSServerAuthentication cmdlet to connect to the Azure Rights Management service:

      <enter your key here>
      

      Par exemple, le script peut se présenter comme suit :For example, the script might look like this:

      [Parameter(Mandatory = $false)]

      [string]$SymmetricKey = "zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA="

    • Recherchez la chaîne suivante, et remplacez-la par votre propre BposTenantId (ID de locataire) que vous utilisez avec l’applet de commande Set-RMSServerAuthentication pour vous connecter au service Azure Rights Management :Search for the following string and replace it with your own BposTenantId (tenant ID) that you use with the Set-RMSServerAuthentication cmdlet to connect to the Azure Rights Management service:

      <enter your BposTenantId here>
      

      Par exemple, le script peut se présenter comme suit :For example, the script might look like this:

      [Parameter(Mandatory = $false)]

      [string]$BposTenantId = "23976bc6-dcd4-4173-9d96-dad1f48efd42",

  3. Exécutez le script.Sign the script. Si vous ne vous signez pas le script (plus sécurisé), vous devez configurer Windows PowerShell sur les serveurs qui l'exécutent.If you do not sign the script (more secure), you must configure Windows PowerShell on the servers that run it. Par exemple, exécutez une session Windows PowerShell avec l’option Exécuter en tant qu’administrateur, puis tapez : Set-ExecutionPolicy RemoteSigned.For example, run a Windows PowerShell session with the Run as Administrator option, and type: Set-ExecutionPolicy RemoteSigned. Toutefois, cette configuration laisse s’exécuter tous les scripts non signés quand ils sont stockés sur ce serveur (moins sécurisé).However, this configuration lets all unsigned scripts run when they are stored on this server (less secure).

    Pour plus d'informations sur la signature des scripts Windows PowerShell, voir about_Signing dans la bibliothèque de documentation PowerShell.For more information about signing Windows PowerShell scripts, see about_Signing in the PowerShell documentation library.

  4. Enregistrez le fichier localement sur chaque serveur de fichiers qui exécute le Gestionnaire de ressources de fichier avec l’infrastructure de classification des fichiers.Save the file locally on each file server that runs File Resource Manager with file classification infrastructure. Par exemple, enregistrez le fichier dans C:\RMS-Protection.For example, save the file in C:\RMS-Protection. Si vous utilisez un chemin ou un nom de dossier différent, choisissez un chemin et un dossier ne contenant pas d’espaces.If you use a different path or folder name, choose a path and folder that does not include spaces. Sécurisez ce fichier à l'aide d'autorisations NTFS afin que les utilisateurs non autorisés ne puissent pas le modifier.Secure this file by using NTFS permissions so that unauthorized users cannot modify it.

Vous êtes maintenant prêt à configurer les outils de gestion de ressources pour serveur de fichiers.You're now ready to start configuring File Server Resource Manager.

Création d'une propriété de classification pour Rights Management (RMS)Create a classification property for Rights Management (RMS)

  • Dans Outils de gestion de ressources pour serveur de fichiers, Gestion de la classification, créez une propriété locale :In File Server Resource Manager, Classification Management, create a new local property:

    • Nom: Tapez RMSName: Type RMS

    • Description: Tapez Protection de Rights ManagementDescription: Type Rights Management protection

    • Type de propriété : sélectionnez Oui/NonProperty Type: Select Yes/No

    • Valeur: Sélectionnez OuiValue: Select Yes

Nous pouvons maintenant créer une règle de classification utilisant cette propriété.We can now create a classification rule that uses this property.

Création d'une règle de classification (Classifier pour RMS)Create a classification rule (Classify for RMS)

  • Créez une règle de classification :Create a new classification rule:

    • Sous l'onglet Général :On the General tab:

      • Nom: Tapez Classifier pour RMSName: Type Classify for RMS

      • Activé: Conservez la valeur par défaut, c'est-à-dire que cette case à cocher est activée.Enabled: Keep the default, which is that this checkbox is selected.

      • Description : Tapez Classifier tous les fichiers dans le dossier <nom de dossier> pour Rights Management.Description: Type Classify all files in the <folder name> folder for Rights Management.

        Remplacez <nom de dossier> par le nom du dossier choisi.Replace <folder name> with your chosen folder name. Par exemple, Classifier tous les fichiers dans le dossier C:\FileShare pour Rights Management.For example, Classify all files in the C:\FileShare folder for Rights Management

      • Étendue: Ajoutez le dossier que vous avez choisi.Scope: Add your chosen folder. Par exemple, C:\FileShare.For example, C:\FileShare.

        N'activez pas les cases à cocher.Do not select the checkboxes.

    • Sous l'onglet Classification :On the Classification tab:

    • Méthode de classification: Sélectionnez Classificateur de dossiersClassification method: Select Folder Classifier

    • Nom dePropriété : Sélectionnez RMS.Property name: Select RMS

    • Valeur de propriété : sélectionnez Oui.Property value: Select Yes

Bien que vous puissiez exécuter les règles de classification manuellement, pour les opérations en cours, vous voulez que cette règle s’exécute selon une planification, afin que les nouveaux fichiers soient classifiés avec la propriété RMS.Although you can run the classification rules manually, for ongoing operations, you want this rule to run on a schedule so that new files are classified with the RMS property.

Configuration de la planification de la classificationConfigure the classification schedule

  • Sous l'onglet Classification automatique :On the Automatic Classification tab:

    • Activer la planification fixe: Activez cette case à cocher.Enable fixed schedule: Select this checkbox.

    • Configurez la planification pour toutes les règles de classification à exécuter, qui inclut notre nouvelle règle de classification des fichiers avec la propriété RMS.Configure the schedule for all classification rules to run, which includes our new rule to classify files with the RMS property.

    • Autoriser la classification continue de nouveaux fichiers : activez cette case à cocher pour que les nouveaux fichiers soient classifiés.Allow continuous classification for new files: Select this check box so that new files are classified.

    • Facultatif : Apportez toutes les autres modifications souhaitées, par exemple, en configurant des options pour les rapports et notifications.Optional: Make any other changes that you want, such as configuring options for reports and notifications.

À présent que vous avez terminé la configuration de la classification, vous êtes prêt à configurer une tâche de gestion pour appliquer la protection RMS aux fichiers.Now you've completed the classification configuration, you're ready to configure a management task to apply the RMS protection to the files.

Création d'une tâche de gestion de fichiers personnalisée (Protéger les fichiers avec RMS)Create a custom file management task (Protect files with RMS)

  • Dans Tâches de gestion de fichiers, créez une tâche de gestion de fichier :In File Management Tasks, create a new file management task:

    • Sous l'onglet Général :On the General tab:

      • Nom de la tâche: Tapez Protéger les fichiers avec RMSTask name: Type Protect files with RMS

      • Conservez la case à cocher Activer sélectionnée.Keep the Enable checkbox selected.

      • Description : Tapez Protéger les fichiers dans <nom de dossier> avec Rights Management et un modèle à l’aide d’un script Windows PowerShell.Description: Type Protect files in <folder name> with Rights Management and a template by using a Windows PowerShell script.

        Remplacez <nom de dossier> par le nom du dossier choisi.Replace <folder name> with your chosen folder name. Par exemple, Protéger les fichiers dans C:\FileShare avec Rights Management et un modèle à l’aide d’un script Windows PowerShell.For example, Protect files in C:\FileShare with Rights Management and a template by using a Windows PowerShell script

      • Étendue: Sélectionnez le dossier que vous avez choisi.Scope: Select your chosen folder. Par exemple, C:\FileShare.For example, C:\FileShare.

        N'activez pas les cases à cocher.Do not select the checkboxes.

    • Sous l'onglet Action :On the Action tab:

      • Type: Sélectionnez PersonnaliséeType: Select Custom

      • Exécutable: Spécifiez ce qui suit :Executable: Specify the following:

        C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
        

        Si Windows n'est pas sur votre lecteur C:, modifiez ce chemin d'accès ou accédez à ce fichier.If Windows is not on your C: drive, modify this path or browse to this file.

      • Argument : Spécifiez les informations suivantes, en fournissant vos propres valeurs pour <chemin> et <ID de modèle> :Argument: Specify the following, supplying your own values for <path> and <template ID>:

        -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID <template GUID> -OwnerMail [Source File Owner Email]"
        

        Par exemple, si vous avez copié le script dans C:\RMS-Protection et si l'ID de modèle que vous avez identifié à partir des conditions préalables est e6ee2481-26b9-45e5-b34a-f744eacd53b0, spécifiez ce qui suit :For example, if you copied the script to C:\RMS-Protection and the template ID you identified from the prerequisites is e6ee2481-26b9-45e5-b34a-f744eacd53b0, specify the following:

        -Noprofile -Command "C:\RMS-Protection\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerMail [Source File Owner Email]"

        Dans cette commande, [Source File Path] et [Source File Owner Email] étant deux variables spécifiques de l’ICF, tapez-les exactement telles qu’elles apparaissent dans la commande précédente.In this command, [Source File Path] and [Source File Owner Email] are both FCI-specific variables, so type these exactly as they appear in the preceding command. La première variable est utilisée par l’ICF pour spécifier automatiquement le fichier identifié dans le dossier, et la deuxième variable pour récupérer automatiquement l’adresse e-mail du propriétaire nommé du fichier identifié.The first variable is used by FCI to automatically specify the identified file in the folder, and the second variable is for FCI to automatically retrieve the email address of the named Owner of the identified file. Cette commande est répétée pour chaque fichier figurant, dans notre exemple, dans le dossier C:\FileShare qui dispose en outre de RMS en tant que propriété de classification des fichiers.This command is repeated for each file in the folder, which in our example, is each file in the C:\FileShare folder that additionally, has RMS as a file classification property.

        Note

        Le paramètre -OwnerMail [Source File Owner Email] et sa valeur garantissent que le propriétaire d’origine du fichier est le propriétaire des droits de gestion du fichier après la protection de celui-ci.The -OwnerMail [Source File Owner Email] parameter and value ensures that the original owner of the file is granted the Rights Management owner of the file after it is protected. Cette configuration garantit que le propriétaire d’origine du fichier dispose de tous les droits Rights Management sur ses propres fichiers.This configuration ensures that the original file owner has all Rights Management rights to their own files. Quand un utilisateur de domaine crée des fichiers, l'adresse de messagerie est automatiquement extraite d'Active Directory à l'aide du nom de compte d'utilisateur figurant dans la propriété Owner du fichier.When files are created by a domain user, the email address is automatically retrieved from Active Directory by using the user account name in the file's Owner property. À cette fin, le serveur de fichiers doit se trouver dans le même domaine ou domaine approuvé que l'utilisateur.To do this, the file server must be in the same domain or trusted domain as the user.

        Autant que possible, affectez les propriétaires d'origine aux documents protégés, pour vous assurer que ces utilisateurs continuent à contrôler pleinement les fichiers qu'ils ont créés.Whenever possible, assign the original owners to protected documents, to ensure that these users continue to have full control over the files that they created. Cependant, si vous utilisez la variable [Source File Owner Email] comme dans la commande précédente, et si un fichier n’a pas d’utilisateur de domaine défini comme propriétaire (par exemple, un compte local a été utilisé pour créer le fichier, de sorte que le propriétaire affiché est SYSTEM), le script échoue.However, if you use the [Source File Owner Email] variable as in the preceding command, and a file does not have a domain user defined as the owner (for example, a local account was used to create the file, so the owner displays SYSTEM), the script fails.

        Pour les fichiers n'ayant pas d'utilisateur de domaine en tant que propriétaire, vous pouvez les copier et enregistrer vous-même en tant qu'utilisateur de domaine afin d'en devenir le propriétaire.For files that do not have a domain user as owner, you can either copy and save these files yourself as a domain user, so that you become the owner for just these files. Si vous disposez d'autorisations, vous pouvez aussi modifier manuellement le propriétaire.Or, if you have permissions, you can manually change the owner. Vous pouvez aussi fournir une adresse e-mail spécifique (par exemple, la vôtre ou une adresse de groupe pour le département informatique) au lieu de la variable [Source File Owner Email], de sorte que tous les fichiers que vous protégez à l’aide de ce script utilisent cette adresse e-mail pour définir le nouveau propriétaire.Or alternatively, you can supply a specific email address (such as your own or a group address for the IT department) instead of the [Source File Owner Email] variable, which means that all files you protect by using this script uses this email address to define the new owner.

    • Exécuter la commande en tant que: Sélectionnez Système localRun the command as: Select Local System

    • Sous l'onglet Condition :On the Condition tab:

      • Propriété: Sélectionnez RMSProperty: Select RMS

      • Opérateur: Sélectionnez ÉgalOperator: Select Equal

      • Valeur: Sélectionnez OuiValue: Select Yes

    • Sous l'onglet Planifier :On the Schedule tab:

      • Exécuter à: Configurez la planification de votre choix.Run at: Configure your preferred schedule.

        Définissez un temps conséquent pour l'exécution du script.Allow plenty of time for the script to complete. Bien que cette solution protège tous les fichiers du dossier, le script s'exécute une fois pour chacun d'eux à chaque fois.Although this solution protects all files in the folder, the script runs once for each file, each time. Bien que cela prenne plus de temps que de protéger tous les fichiers en même temps, ce qui est pris en charge le client Azure Information Protection, cette configuration fichier par fichier pour l'ICF est plus puissante.Although this takes longer than protecting all the files at the same time, which the Azure Information Protection client supports, this file-by-file configuration for FCI is more powerful. Par exemple, les fichiers protégés peuvent avoir des propriétaires différents (conserver le propriétaire d’origine) quand vous utilisez la variable [Source File Owner Email], et cette action fichier par fichier est nécessaire si vous modifiez ultérieurement la configuration pour protéger les fichiers de façon sélective plutôt que tous les fichiers d’un dossier.For example, the protected files can have different owners (retain the original owner) when you use the [Source File Owner Email] variable, and this file-by-file action is required if you later change the configuration to selectively protect files rather than all files in a folder.

      • Exécuter en continu sur les nouveaux fichiers: Activez cette case à cocher.Run continuously on new files: Select this checkbox.

Test de la configuration en exécutant manuellement la règle et la tâcheTest the configuration by manually running the rule and task

  1. Exécutez la règle de classification :Run the classification rule:

    1. Cliquez sur Règles de classification > Exécuter la classification avec toutes les règles maintenantClick Classification Rules > Run Classification With All Rules Now

    2. Cliquez sur Attendre la fin de la classification, puis sur OK.Click Wait for classification to complete, and then click OK.

  2. Attendez que la boîte de dialogue Classification en cours d'exécution se ferme, puis consultez les résultats dans le rapport qui s'affiche automatiquement.Wait for the Running Classification dialog box to close and then view the results in the automatically displayed report. Vous devez voir 1 pour le champ Propriétés , et le nombre de fichiers figurant dans votre dossier.You should see 1 for the Properties field and the number of files in your folder. Vérifiez en contrôlant dans l'Explorateur de fichiers les propriétés des fichiers figurant dans le dossier que vous avez choisi.Confirm by using File Explorer and checking the properties of files in your chosen folder. Sous l'onglet Classification , RMS doit apparaître en tant que nom de propriété, et Oui en tant que Valeur.On the Classification tab, you should see RMS as a property name and Yes for its Value.

  3. Exécutez la tâche de gestion de fichiers :Run the file management task:

    1. Cliquez sur Tâches de gestion de fichiers > Protéger les fichiers avec RMS > Exécuter maintenant une tâche de gestion de fichiersClick File Management Tasks > Protect files with RMS > Run File Management Task Now

    2. Cliquez sur Attendre la fin de l’exécution de la tâche, puis sur OK.Click Wait for the task to complete, and then click OK.

  4. Attendez que la boîte de dialogue Exécution de la tâche de gestion des fichiers se ferme, puis consultez les résultats dans le rapport qui s'affiche automatiquement.Wait for the Running File Management Task dialog box to close and then view the results in the automatically displayed report. Le champ Fichiers doit indiquer le nombre de fichiers figurant dans le dossier que vous avez choisi.You should see the number of files that are in your chosen folder in the Files field. Vérifiez que les fichiers figurant dans le dossier choisi sont à présent protégés par Rights Management.Confirm that the files in your chosen folder are now protected by Rights Management. Par exemple, si vous avez choisi le dossier C:\FileShare, tapez la commande suivante dans une session Windows PowerShell, et vérifiez qu’aucun fichier n’est dans l’état Non protégé :For example, if your chosen folder is C:\FileShare, type the following command in a Windows PowerShell session and confirm that no files have a status of Unprotected:

    foreach ($file in (Get-ChildItem -Path C:\FileShare -Force | where {!$_.PSIsContainer})) {Get-RMSFileStatus -f $file.PSPath}
    

    Conseil

    Conseils de dépannage :Some troubleshooting tips:

    • Si le rapport indique 0 au lieu du nombre de fichiers figurant dans votre dossier, cela indique que le script ne s’est pas exécuté.If you see 0 in the report, instead of the number of files in your folder, this output indicates that the script did not run. Commencez par contrôler le script proprement dit en le chargeant dans Windows PowerShell ISE pour valider son contenu, puis essayez de l'exécuter pour voir si des erreurs s'affichent.First, check the script itself by loading it in Windows PowerShell ISE to validate the script contents and try running it to see if any errors are displayed. Si aucun argument n’est spécifié, le script tente de se connecter et de s’authentifier auprès du service Azure Rights Management.With no arguments specified, the script tries to connect and authenticate to the Azure Rights Management service.

      • Si le script signale qu'il n'a pas pu se connecter au service Azure Rights Management (Azure RMS), vérifiez les valeurs affichées pour le compte de principal du service que vous avez spécifiées dans le script.If the script reports that it couldn't connect to the Azure Rights Management service (Azure RMS), check the values it displays for the service principal account, which you specified in the script. Pour plus d’informations sur la création de ce compte de principal du service, consultez la page Condition préalable 3 : protéger ou annuler la protection des fichiers sans interaction dans le guide de l’administrateur du client Azure Information Protection.For more information about how to create this service principal account, see Prerequisite 3: To protect or unprotect files without interaction from the Azure Information Protection client admin guide.
      • Si le script signale qu’il n’a pas pu se connecter à Azure RMS, vérifiez qu’il peut trouver le modèle spécifié en exécutant Get-RMSTemplate directement à partir de Windows PowerShell sur le serveur.If the script reports that it could connect to Azure RMS, next check that it can find the specified template by running Get-RMSTemplate directly from Windows PowerShell on the server. Le modèle que vous avez spécifié doit figurer dans les résultats.You should see the template you specified returned in the results.
    • Si le script s'exécute par lui-même dans Windows PowerShell ISE sans erreur, essayez de l'exécuter comme suit à partir d'une session PowerShell, en spécifiant un nom de fichier à protéger, sans le paramètre -OwnerEmail :If the script by itself runs in Windows PowerShell ISE without errors, try running it as follows from a PowerShell session, specifying a file name to protect and without the -OwnerEmail parameter:

      powershell.exe -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '<full path and name of a file>' -TemplateID <template GUID>"
      
      • Si le script s'exécute correctement dans cette session Windows PowerShell, vérifiez les entrées Executive et Argument dans l'action de tâche de gestion de fichiers.If the script runs successfully in this Windows PowerShell session, check your entries for Executive and Argument in the file management task action. Si vous avez spécifié -OwnerEmail [Source File Owner Email], essayez de supprimer ce paramètre.If you have specified -OwnerEmail [Source File Owner Email], try removing this parameter.

        Si la tâche de gestion de fichier fonctionne correctement sans -OwnerEmail [Source File Owner Email], vérifiez que les fichiers non protégés ont un utilisateur de domaine répertorié comme le propriétaire du fichier, plutôt que SYSTEM.If the file management task works successfully without -OwnerEmail [Source File Owner Email], check that the unprotected files have a domain user listed as the file owner, rather than SYSTEM. Pour faire cette vérification, sous l’onglet Sécurité des propriétés du fichier, cliquez sur Avancé.To make this check, use the Security tab for the file's properties, and then click Advanced. La valeur Propriétaire s’affiche immédiatement après le Nom du fichier.The Owner value is displayed immediately after the file Name. Vérifiez également que le serveur de fichiers se trouve dans le même domaine ou dans un domaine approuvé pour rechercher l’adresse e-mail de l’utilisateur dans les services de domaine Active Directory.Also, verify that the file server is in the same domain or a trusted domain to look up the user's email address from Active Directory Domain Services.

    • Si l'état indique le nombre correct de fichiers, mais que ceux-ci ne sont pas protégés, essayez de les protéger manuellement à l'aide de l'applet de commande Protect-RMSFile pour voir si des erreurs s'affichent.If you see the correct number of files in the report but the files are not protected, try protecting the files manually by using the Protect-RMSFile cmdlet, to see if any errors are displayed.

Après avoir vérifié que ces tâches s'exécutent correctement, vous pouvez fermer le Gestionnaire de ressources de fichiers.When you have confirmed that these tasks run successfully, you can close File Resource Manager. Les nouveaux fichiers sont automatiquement classifiés et protégés quand les tâches planifiées s’exécutent.New files are automatically classified and protected when the scheduled tasks run.

Modification des instructions pour protéger des fichiers de façon sélectiveModifying the instructions to selectively protect files

Quand les instructions précédentes fonctionnent, il est facile de les modifier pour obtenir une configuration plus sophistiquée.When you have the preceding instructions working, it's then easy to modify them for a more sophisticated configuration. Par exemple, vous pouvez protéger des fichiers en utilisant le même script, mais uniquement pour les fichiers contenant des informations d'identification personnelle, voire sélectionner un modèle associé à des droits plus restrictifs.For example, protect files by using the same script but only for files that contain personal identifiable information, and perhaps select a template that has more restrictive rights.

Pour faire cette modification, utilisez une des propriétés de classification prédéfinie (par exemple, Informations d’identification personnelle) ou créez votre propre propriété.To make this modification, use one of the built-in classification properties (for example, Personally Identifiable Information) or create your own new property. Créez ensuite une règle utilisant cette propriété.Then create a new rule that uses this property. Par exemple, vous pouvez sélectionner le Classifieur de contenus, choisir la propriété Informations d'identification personnelle avec une valeur Haute, et configurer le modèle de chaîne ou d'expression qui identifie le fichier à configurer pour cette propriété (par exemple, la chaîne «Date de naissance»).For example, you might select the Content Classifier, choose the Personally Identifiable Information property with a value of High, and configure the string or expression pattern that identifies the file to be configured for this property (such as the string "Date of Birth").

À présent, il ne vous reste plus qu'à créer une tâche de gestion de fichiers utilisant le même script, éventuellement avec un autre modèle, puis à configurer la condition pour la propriété de classification que vous venez de configurer.Now all you need to do is create a new file management task that uses the same script but perhaps with a different template, and configure the condition for the classification property that you have just configured. Par exemple, au lieu de la condition que nous avons configurée précédemment (propriétéRMS , Égal, Oui), sélectionnez la propriété Informations d'identification personnelle avec la valeur Opérateur définie sur Égal et la Valeur Haute.For example, instead of the condition that we configured previously (RMS property, Equal, Yes), select the Personally Identifiable Information property with the Operator value set to Equal and the Value of High.

Étapes suivantesNext steps

Vous vous demandez peut-être : Quelle différence y a-t-il entre l’ICF de Windows Server et le scanneur d’Azure Information Protection ?You might be wondering: What’s the difference between Windows Server FCI and the Azure Information Protection scanner?

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.