Protect-RMSFile

  • Référence
Module:
AzureInformationProtection

Protège un fichier spécifié ou les fichiers d’un dossier spécifié à l’aide de RMS.

Syntax

Protect-RMSFile
       [-File <String>]
       [-Folder <String>]
       [-InPlace]
       [-Recurse]
       [-TemplateID <String>]
       [-License <SafeInformationProtectionLicenseHandle>]
       [-DoNotPersistEncryptionKey <String>]
       [-OutputFolder <String>]
       [-OwnerEmail <String>]
       [<CommonParameters>]

Description

L’applet de commande Protect-RMSFile protège un fichier ou tous les fichiers d’un dossier spécifié à l’aide d’Azure RMS ou AD RMS. Si le fichier a été précédemment protégé, il sera à nouveau protégé pour appliquer les modifications telles que celles qui peuvent être apportées au modèle utilisé pour protéger le fichier.

Plusieurs types de fichiers peuvent être protégés de la même façon que le client Azure Information Protection peut protéger les fichiers lorsque vous utilisez l’option « Classifier et protéger » en cliquant avec le bouton droit sur Explorateur de fichiers.

Différents niveaux de protection sont appliqués automatiquement (natifs ou génériques), selon le type de fichier. Vous pouvez modifier le niveau de protection en modifiant le Registre. De plus, certains fichiers modifient leur extension de nom de fichier une fois qu’ils sont protégés par Rights Management. Pour plus d’informations, consultez la section Types de fichiers pris en charge pour la protection dans le guide de l’administrateur du client Azure Information Protection.

Avant d’exécuter cette applet de commande, vous devez exécuter Get-RMSTemplate pour télécharger les modèles sur votre ordinateur. Si le modèle que vous souhaitez utiliser a été modifié depuis que vous avez exécuté cette applet de commande, réexécutez-le avec le paramètre -force pour télécharger le modèle révisé.

Lorsque vous exécutez cette applet de commande, vous disposez des options suivantes :

  • Le fichier est protégé à l’emplacement actuel, en remplaçant le fichier d’origine qui n’a pas été protégé.

  • Le fichier d’origine reste non protégé et une version protégée du fichier est créée à un autre emplacement.

  • Tous les fichiers du dossier spécifié sont protégés à l’emplacement actuel, en remplaçant les fichiers d’origine qui n’ont pas été protégés.

  • Tous les fichiers du dossier spécifié restent non protégés et une version protégée de chaque fichier est créée à un autre emplacement.

Vous ne pouvez pas exécuter cette commande simultanément, mais vous devez attendre la fin de la commande d’origine avant de l’exécuter à nouveau. Si vous essayez de l’exécuter à nouveau avant la fin de la commande précédente, la nouvelle commande échoue.

Cette applet de commande écrit dans les fichiers journaux suivants : Success.log, Failure.log et Debug.log in %localappdata%\Microsoft\MSIPC\pscmdlet\Logs\\<GUID>.

Conseil

Pour obtenir des instructions pas à pas pour utiliser cette applet de commande pour protéger les fichiers sur un partage de fichiers Windows Server, à l’aide de l’infrastructure de classification des fichiers et des Resource Manager de fichiers, consultez la protection RMS avec l’infrastructure de classification des fichiers Windows Server (FCI).

Exemples

Exemple 1 : Protéger et remplacer un seul fichier à l’aide d’un modèle

PS C:\>Protect-RMSFile -File "C:\Test.docx" -InPlace -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

Cette commande protège un seul fichier nommé Test.docx à l’aide d’un modèle et remplace le fichier non protégé d’origine. Le propriétaire Rights Management du fichier et l’adresse e-mail qui peuvent être affichées aux utilisateurs lorsqu’ils accèdent au fichier protégé sont automatiquement définis comme adresse e-mail pour le compte exécutant la commande.

Exemple 2 : Créer une copie protégée d’un seul fichier à l’aide d’un modèle

PS C:\>Protect-RMSFile -File "Test.docx" -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test-Copy.docx

Cette commande est identique à l’exemple précédent, sauf qu’elle n’utilise pas le paramètre InPlace . Comme il n’utilise pas non plus le paramètre OutputFolder , le fichier protégé est créé dans le dossier actif avec « -Copy » ajouté au nom de fichier. Le fichier d’origine non protégé reste dans le dossier actif.

Exemple 3 : Créer une version protégée d’un fichier à l’aide d’un modèle

PS C:\>Protect-RMSFile -File "C:\Test.docx" -OutputFolder "C:\Temp" -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "admin@Contoso.com"

InputFile             EncryptedFile
---------             -------------
C:\Test.txt           C:\Temp\Test.ptxt

Cette commande protège un seul fichier nommé Test.docx à l’aide d’un modèle et place cette version protégée du fichier en C:\Temp, laissant le fichier d’origine non protégé à la racine du lecteur C: . Le propriétaire rights management du fichier et l’adresse e-mail qui peut être affichée aux utilisateurs lorsqu’ils accèdent au fichier protégé sont destinés à l’administrateur.

Exemple 4 : Protéger tous les fichiers d’un dossier à l’aide d’un modèle

PS C:\>Protect-RMSFile -Folder "\\server1\Docs" -InPlace -DoNotPersistEncryptionKey All -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "IT@Contoso.com"

InputFile                        EncryptedFile

----------                       -------------
\\server1\Docs\Feb2015.docx      \\server1\Docs\Feb2015.docx

\\server1\Docs\Feb2015.txt       \\server1\Docs\Feb2015.ptxt

\\server1\Docs\Jan2015.docx      \\server1\Docs\Jan2015.docx

\\server1\Docs\Jan2015.txt       \\server1\Docs\Jan2015.ptxt

Cette commande protège tous les fichiers d’un partage de serveur (dossier unique, et non sous-dossiers), en remplaçant les fichiers non protégés. L’adresse e-mail affichée aux utilisateurs lorsqu’ils n’ont pas accès est destinée au groupe de services informatiques et ce groupe dispose des droits d’utilisation contrôle total dans le modèle afin qu’ils puissent modifier les droits d’utilisation des fichiers protégés.

Étant donné que ce scénario protège les fichiers au nom d’autres personnes, le paramètre DoNotPersistEncryptionKey est utilisé pour optimiser les performances et empêcher l’enregistrement des fichiers inutilisés sur le disque.

Exemple 5 : Fichiers protégés avec une extension de nom de fichier spécifique dans un dossier à l’aide d’un modèle

PS C:\>foreach ($file in (Get-ChildItem -Path \\server1\Docs -Recurse -Force | where {!$_.PSIsContainer} | Where-Object {$_.Extension -eq ".docx"})) {Protect-RMSFile -File $file.PSPath -InPlace -DoNotPersistEncryptionKey All -TemplateID "e6ee2481-26b9-45e5-b34a-f744eacd53b0" -OwnerEmail "IT@Contoso.com"}


InputFile                                   EncryptedFile

---------                                   -------------
\\server1\Docs\Feb2015.docx                 \\server1\Docs\Feb2015.docx

\\server1\Docs\Jan2015.docx                 \\server1\Docs\Jan2015.docx

\\server1\Docs\Reports\Feb2015.docx         \\server1\Docs\Reports\Feb2015.docx

\\server1\Docs\Reports\Jan2015.docx         \\server1\Docs\Reports\Jan2015.docx

Cette commande protège uniquement les fichiers qui ont une extension de nom de fichier .docx dans un dossier (et tous les sous-dossiers) sur un partage de serveur, en remplaçant les fichiers non protégés. Comme dans l’exemple précédent, l’adresse e-mail affichée aux utilisateurs lorsqu’ils n’ont pas accès est destinée au service informatique.

Bien que la commande Protect-RMSFile ne prend pas en charge les caractères génériques en mode natif, vous pouvez utiliser Windows PowerShell pour y parvenir et modifier l’extension de nom de fichier dans l’exemple, selon les besoins.

Exemple 6 : Protéger un seul fichier à l’aide d’une stratégie de droits ad hoc

PS C:\>$License = New-RMSProtectionLicense -UserEmail 'user1@contoso.com' -Permission EDIT
PS C:\> Protect-RMSFile -License $License -File "C:\Test.txt" -InPlace
InputFile             EncryptedFile
---------             -------------
C:\Test.txt           C:\Test.ptxt

La première commande crée une stratégie de droits ad hoc qui accorde des droits d’édition à user1@contoso.com.

La deuxième commande protège un seul fichier nommé Test.txt à l’aide de cette stratégie de droits ad hoc créée et remplace le fichier non protégé d’origine.

Notez que, sauf si votre adresse e-mail est user1@contoso.com, vous ne pourrez pas annuler la protection de ce fichier une fois la commande terminée, car vous n’avez pas de droits et vous n’êtes pas le propriétaire rights Management.

Si vous devez être en mesure de déprotéger ce fichier ultérieurement, vous pouvez ajouter votre nom et accorder à l’utilisateur et vous-même le droit EXTRACT ou OWNER dans la stratégie de droits ad hoc dans la première commande. Ou si vous ne souhaitez pas que l’utilisateur puisse annuler la protection du fichier, ajoutez -OwnerEmail <votre adresse> e-mail à la fin de la deuxième commande.

Paramètres

-DoNotPersistEncryptionKey

Empêche l’enregistrement d’une licence d’utilisateur final auto-accordée pour l’émetteur Rights Management lorsqu’un fichier est protégé. Cette licence permet à l’émetteur Rights Management d’ouvrir le fichier protégé sans s’authentifier auprès du service Rights Management. Cela permet de s’assurer que la personne qui a exécuté cette applet de commande peut toujours ouvrir ses propres fichiers protégés, même lorsque cette personne est hors connexion. Cela entraîne également des retards minimes pour que cet utilisateur ouvre ces fichiers protégés.

L’émetteur Rights Management est le compte qui protège les fichiers. Pour plus d’informations, consultez l’émetteur Rights Management et le propriétaire Rights Management.

Par défaut, cette licence d’utilisateur final auto-accordée est enregistrée dans le fichier lui-même et sur l’ordinateur à partir duquel l’applet de commande est exécutée. Le nom de fichier commence par euL et il est créé dans %localappdata%\Microsoft\MSIPC. Utilisez ce paramètre pour empêcher l’enregistrement de cette licence utilisateur final dans le fichier, sur l’ordinateur ou les deux. La spécification de ce paramètre est appropriée si vous protégez des fichiers pour le compte d’autres personnes, par exemple avec l’instance de cluster de basculement Windows Server. Dans ce scénario, l’émetteur Rights Management n’ouvre pas les fichiers protégés et, par conséquent, la création et l’enregistrement de la licence de l’utilisateur final diminuent les performances de protection et génèrent inutilement un grand nombre de fichiers qui peuvent remplir l’espace disque disponible.

Valeurs acceptables pour ce paramètre :

  • Disque: Une licence utilisateur final pour l’émetteur Rights Management n’est pas générée pour chaque fichier dans %localappdata%\Microsoft\MSIPC.

  • Licence: Une licence utilisateur final pour l’émetteur Rights Management n’est pas insérée dans la licence de publication du fichier.

  • Tous: Aucune licence utilisateur final pour l’émetteur Rights Management n’est créée et enregistrée lorsqu’un fichier est protégé.

Type:String
Accepted values:all, disk, license
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-File

Spécifie le chemin d’accès et le nom de fichier à protéger. Pour le chemin d’accès, vous pouvez utiliser une lettre de lecteur ou UNC.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-Folder

Spécifie le chemin d’accès et le dossier à protéger. Pour le chemin d’accès, vous pouvez utiliser une lettre de lecteur ou UNC.

Tous les fichiers actuellement présents dans le dossier spécifié sont protégés. Les nouveaux fichiers ajoutés au dossier ne seront pas automatiquement protégés.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-InPlace

Le fichier ou les fichiers du dossier spécifié sont protégés à l’emplacement actuel, en remplaçant le fichier ou les fichiers d’origine non protégés. Ce paramètre est ignoré si le paramètre OutputFolder est spécifié.

Si ni InPlace ni OutputFolder n’est spécifié, le nouveau fichier est créé dans le répertoire actif avec « -Copy » ajouté au nom de fichier, en utilisant la même convention d’affectation de noms que celle utilisée par Explorateur de fichiers lorsqu’un fichier est copié et collé dans le même dossier. Par exemple, si un fichier avec Document.docx n’est pas protégé, la version protégée est nommée Document-Copy.docx. Si un fichier nommé Document-Copy.docx existe déjà, Document-Copy(2).docx est créé, et ainsi de suite.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-License

Spécifie le nom de variable qui stocke une stratégie de droits ad hoc créée à l’aide de l’applet de commande New-RMSProtectionLicense . Cette stratégie de droits ad hoc est utilisée au lieu d’un modèle pour protéger le fichier ou les fichiers.

Type:SafeInformationProtectionLicenseHandle
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-OutputFolder

Spécifie le chemin d’accès et le dossier pour placer les versions protégées des fichiers d’origine qui restent non protégés. La structure de dossiers d’origine est conservée, ce qui signifie que les sous-dossiers peuvent être créés pour votre valeur spécifiée.

Pour le chemin d’accès, vous pouvez utiliser une lettre de lecteur ou UNC.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-OwnerEmail

Spécifie le propriétaire Rights Management du fichier ou des fichiers protégés par adresse e-mail.

Par défaut, le compte exécutant cette applet de commande est à la fois l’émetteur Rights Management et le propriétaire Rights Management du fichier protégé. Ce paramètre vous permet d’affecter un autre propriétaire Rights Management au fichier protégé afin que le compte spécifié dispose de tous les droits d’utilisation (Contrôle total) pour le fichier et puisse toujours y accéder. Le propriétaire Rights Management est indépendant du propriétaire du système de fichiers Windows. Pour plus d’informations, consultez l’émetteur Rights Management et le propriétaire Rights Management.

Si vous ne spécifiez pas de valeur pour ce paramètre, l’applet de commande utilise l’adresse e-mail de votre session authentifiée pour identifier le propriétaire Rights Management du fichier ou des fichiers protégés. Si vous utilisez AD RMS ou Azure RMS avec un compte d’utilisateur pour protéger les fichiers, il s’agit de votre adresse e-mail. Si vous utilisez Azure RMS avec un compte de principal de service, cette adresse e-mail est une longue chaîne de chiffres et de lettres. Cette adresse e-mail s’affiche aux utilisateurs qui n’ont pas de permssions pour afficher le document protégé, afin qu’ils puissent demander des autorisations.

Si vous exécutez cette applet de commande pour Azure RMS avec un compte de principal de service et que vous possédez le fichier ou les fichiers que vous protégez, spécifiez votre propre adresse e-mail pour ce paramètre. Si vous exécutez cette applet de commande pour Azure RMS avec un compte de principal de service et qu’un seul utilisateur possède le fichier ou tous les fichiers que vous protégez, spécifiez leur adresse e-mail afin de ne pas limiter le propriétaire du fichier d’origine à apporter des modifications au fichier et de l’utiliser comme prévu.

Si vous exécutez cette applet de commande avec plusieurs fichiers appartenant à différents utilisateurs, assurez-vous que ces utilisateurs disposent des droits d’utilisation contrôle total et déterminez l’adresse e-mail à attribuer pour ce paramètre. Bien que vous puissiez spécifier une adresse e-mail de groupe et que cette adresse s’affiche pour demander des autorisations d’accès, les membres du groupe ne sont pas rendus propriétaires de Rights Management et, par défaut, n’ont pas de droits d’utilisation pour le fichier de protection. Dans ce scénario, choisissez d’attribuer un seul utilisateur (par exemple, un administrateur) ou de spécifier une adresse e-mail de groupe que vous attribuez également des droits d’utilisation contrôle total. Pour la configuration de la messagerie de groupe, il peut s’agir de votre support technique, par exemple.

Important : Bien que ce paramètre soit facultatif, si vous ne le spécifiez pas lorsque vous protégez des fichiers à l’aide d’Azure RMS et d’un principal de service, l’adresse e-mail que les utilisateurs voient à partir du client Azure Information Protection ne sera pas utile. Pour cette raison, nous vous recommandons de toujours spécifier ce paramètre lorsque vous protégez des fichiers à l’aide d’Azure RMS et d’un principal de service plutôt que de votre compte d’utilisateur.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-Recurse

Lorsqu’il est utilisé avec le paramètre Folder , indique que tous les fichiers actuels dans les sous-dossiers sont protégés.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-TemplateID

Spécifie l’ID du modèle à utiliser pour protéger le fichier ou les fichiers spécifiés si vous n’utilisez pas le paramètre License pour une stratégie ad hoc. Si vous ne connaissez pas l’ID du modèle que vous souhaitez utiliser, utilisez l’applet de commande Get-RMSTemplate .

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False