Rendszergazda útmutató: A PowerShell használata az Azure Information Protection klasszikus ügyféllel

Az Azure Information Protection klasszikus ügyfél telepítésekor a PowerShell-parancsok automatikusan települnek. Ez lehetővé teszi az ügyfél felügyeletét olyan parancsok futtatásával, amelyeket az automatizálási szkriptekbe helyezhet.

A parancsmagokat az AzureInformationProtection PowerShell modullal telepíti a rendszer. Ez a modul tartalmazza az RMS Védelmi eszköz összes Rights Management-parancsmagját (a továbbiakban nem támogatott). Vannak olyan parancsmagok is, amelyek az Azure Information Protection használják a címkézéshez. Például:

Címkéző parancsmag Példa a használatra
Get-AIPFileStatus Egy megosztott mappában az összes fájl azonosítása egy speciális címkével.
Set-AIPFileClassification Egy megosztott mappában a fájl tartalmának vizsgálata, majd a címke nélküli fájlok automatikus címkézése az Ön által megadott feltételek alapján.
Set-AIPFileLabel Egy megosztott mappában az összes címke nélküli fájl ellátása egy speciális címkével.
Set-AIPAuthentication A fájlokat nem interaktív módon címkézheti, például ütemezés szerint futó szkripttel.

Tipp

Ha 260 karakternél hosszabb elérésiút-hosszúságú parancsmagokat szeretne használni, használja az alábbi csoportházirend-beállítást, amely az 1607-es verziótól kezdve érhető el Windows 10:
Helyi számítógépházirend>Számítógép konfigurációja>Felügyeleti sablonok>Minden beállítás>A Win32 hosszú elérési útjainak engedélyezése

A Windows Server 2016 esetében ugyanazt a csoportházirend-beállítást használhatja, amikor a legújabb felügyeleti sablonokat (.admx) telepíti Windows 10.

További információt a Windows 10 fejlesztői dokumentációjának Maximális elérési úthossz-korlátozás című szakaszában talál.

Az Azure Information Protection scanner az AzureInformationProtection modul parancsmagjaival telepíti és konfigurálja a szolgáltatást a Windows Serveren. Ez a szkenner lehetővé teszi az adattárak fájljainak felderítését, besorolását és védelmét.

A parancsmagokat és a hozzájuk tartozó súgók listáját az AzureInformationProtection modulban találja. Egy PowerShell-munkameneten belül írja be a parancsot Get-Help <cmdlet name> -online a legújabb súgó megtekintéséhez.

Ez a modul a \ProgramFiles (x86)\Microsoft Azure Information Protection mappába települ, és hozzáadja ezt a mappát a PSModulePath rendszerváltozóhoz. A modulhoz tartozó .dll fájl az AIP.dll.

Jelenleg, ha a modult egy felhasználóként telepíti, és a parancsmagokat ugyanazon a számítógépen futtatja, mint egy másik felhasználó, először futtatnia kell a Import-Module AzureInformationProtection parancsot. Ebben a forgatókönyvben a modul nem töltődik be automatikusan egy parancsmag első futtatásakor.

A parancsmagok használatának megkezdése előtt ellenőrizze a telepítésnek megfelelő további előfeltételeket és utasításokat:

  • Azure Information Protection és Azure Tartalomvédelmi szolgáltatások szolgáltatás

    • Csak besorolás, illetve Rights Management-védelemmel való besorolás használata esetén érvényes: Olyan előfizetéssel rendelkezik, amely magában foglalja az Azure Information Protection szolgáltatást (mint például az Enterprise Mobility + Security csomag).
    • Az Azure Rights Management szolgáltatást alkalmazó csak védelmi mód használata esetén érvényes: Olyan előfizetéssel rendelkezik, amely magában foglalja az Azure Rights Management szolgáltatást (mint például az Office 365 E3 és az Office 365 E5 csomag).
  • Active Directory tartalomvédelmi szolgáltatások

    • Az Azure Rights Management helyszíni verzióját, illetve az Active Directory Rights Management Services (AD RMS) szolgáltatást alkalmazó csak védelmi mód használata esetén érvényes.

További információért tekintse meg az Azure Information Protection ismert problémáinak megfelelő gyűjteményét.

Azure Information Protection és Azure Tartalomvédelmi szolgáltatások szolgáltatás

Olvassa el ezt a szakaszt, mielőtt elkezdené használni a PowerShell-parancsokat, amikor a szervezete az Azure Information Protection-t használja besorolásra és védelemre, vagy csak az adatvédelem Azure Tartalomvédelmi szolgáltatások szolgáltatását.

Előfeltételek

Az AzureInformationProtection modul telepítésének előfeltételei mellett további előfeltételek is vannak az Azure Information Protection címkézéséhez és a Azure Tartalomvédelmi szolgáltatások adatvédelmi szolgáltatáshoz:

  1. Az Azure Rights Management szolgáltatást aktiválni kell.

  2. Védelem eltávolítása a más felhasználókkal megosztott fájlokról a saját fiók használatával:

    • A szervezetben engedélyezve kell lennie a felügyelői funkciónak, és a fiókot az Azure Rights Management felügyelőjeként kell konfigurálni.
  3. Fájlok védelmének biztosítása vagy feloldása közvetlenül felhasználói beavatkozás nélkül:

    • Hozzon létre egy egyszerű szolgáltatásfiókot és futtassa a Set-RMSServerAuthentication parancsmagot. Ezt követően fontolja meg az egyszerű szolgáltatás Azure Rights Management-felügyelővé tételét.
  4. Észak-Amerikán kívüli régiók esetén:

    • Szerkessze a szolgáltatásfelderítés beállításjegyzékét.

1. előfeltétel: Az Azure Rights Management szolgáltatást aktiválni kell

Ez az előfeltétel attól függetlenül érvényes, hogy címkékkel biztosítja az adatvédelmet vagy közvetlenül csatlakozik az Azure Rights Management szolgáltatáshoz az adatvédelem alkalmazása érdekében.

Ha az Azure Information Protection-bérlő nincs aktiválva, tekintse meg a védelmi szolgáltatás Aktiválása az Azure Information Protection-ből című témakör utasításait.

2. előfeltétel: Védelem eltávolítása a más felhasználókkal megosztott fájlokról a saját fiók használatával

A más felhasználókkal megosztott fájlok védelmének eltávolításának jellemző forgatókönyvei közé tartozik többek között az adatfelderítés és az adatok helyreállítása. Ha a védelem biztosításához címkéket használ, akkor egy védelmet nem biztosító új címke beállításával, illetve a címke eltávolításával távolíthatja el a védelmet. Valószínűbb azonban, hogy a védelem eltávolításához közvetlenül fog kapcsolódni az Azure Rights Management szolgáltatáshoz.

A védelem fájlokról való eltávolításához engedély szükséges a Rights Management használatához, vagy felügyelőnek kell lennie. Adatfelderítés és adat-helyreállítás esetében általában a felügyelői funkciót szokták használni. A funkció engedélyezéséről és a fiókja felügyelőként való konfigurálásáról a Felügyelők konfigurálása az Azure Rights Management és a felderítési szolgáltatások vagy adat-helyreállítás számára című témakörben találhat további információt.

3. előfeltétel: Fájlok védelmének biztosítása vagy feloldása felhasználói beavatkozás nélkül

Közvetlenül a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz csatlakozhat nem interaktív módon a fájlok védelmének vagy védelmének feloldásához.

A szolgáltatásnév-fiókkal nem interaktív módon kell csatlakoznia a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz, amelyet a Set-RMSServerAuthentication parancsmaggal hajthat végre. Ezt a műveletet minden egyes, az Azure Rights Management szolgáltatáshoz közvetlenül kapcsolódó, parancsmagokat futtató Windows PowerShell-munkamenet esetén végre kell hajtani. A parancsmag futtatása előtt a következő három azonosítóval kell rendelkeznie:

  • BposTenantId

  • AppPrincipalId

  • Szimmetrikus kulcs

Az alábbi PowerShell-parancsokkal és megjegyzésekkel automatikusan lekérheti az azonosítók értékeit, és futtathatja a Set-RMSServerAuthentication parancsmagot. Vagy manuálisan is lekérheti és megadhatja az értékeket.

Az értékek automatikus lekéréséhez és a Set-RMSServerAuthentication futtatásához:

# Make sure that you have the AIPService and MSOnline modules installed

$ServicePrincipalName="<new service principal name>"
Connect-AipService
$bposTenantID=(Get-AipServiceConfiguration).BPOSId
Disconnect-AipService
Connect-MsolService
New-MsolServicePrincipal -DisplayName $ServicePrincipalName

# Copy the value of the generated symmetric key

$symmetricKey="<value from the display of the New-MsolServicePrincipal command>"
$appPrincipalID=(Get-MsolServicePrincipal | Where { $_.DisplayName -eq $ServicePrincipalName }).AppPrincipalId
Set-RMSServerAuthentication -Key $symmetricKey -AppPrincipalId $appPrincipalID -BposTenantId $bposTenantID

A következő szakaszok ismertetik, hogyan szerezheti be és adhatja meg manuálisan ezeket az értékeket, és hogyan adhat meg további információkat mindegyikről.

A BposTenantId beszerzése

Futtassa a Get-AipServiceConfiguration parancsmagot az Azure RMS Windows PowerShell modulból:

  1. Ha ez a modul még nincs telepítve a számítógépre, olvassa el az AIPService PowerShell-modul telepítése című témakört.

  2. Indítsa el a Windows PowerShellt a Futtatás rendszergazdaként beállítással.

  3. Csatlakozzon az Azure Rights Management szolgáltatáshoz a Connect-AipService parancsmaggal:

     Connect-AipService
    

    Amikor a rendszer kéri, adja meg az Azure Information Protection bérlői rendszergazdai hitelesítő adatait. Általában olyan fiókot használ, amely globális rendszergazda az Azure Active Directoryhoz vagy a Microsoft 365-höz.

  4. Futtassa a Get-AipServiceConfiguration parancsmagot, majd készítsen másolatot a BPOSId értékről.

    Példa a Get-AipServiceConfiguration kimenetére:

    BPOSId                                   : 23976bc6-dcd4-4173-9d96-dad1f48efd42
    
    RightsManagement ServiceId               : 1a302373-f233-440600909-4cdf305e2e76
    
    LicensingIntranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
    LicensingExtranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
    CertificationIntranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
    CertificationExtranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
  5. Bontsa a kapcsolatot a szolgáltatással:

    Disconnect-AipService
    
Az AppPrincipalId és a szimmetrikus kulcs beszerzése

Hozzon létre egy új egyszerű szolgáltatást az Azure Active Directoryhoz készült MSOnline PowerShell modul New-MsolServicePrincipal parancsmagjának futtatásával, és kövesse az alábbi utasításokat.

Fontos

Ennek az egyszerű szolgáltatásnak a létrehozásához ne használja az új New-AzureADServicePrincipal Azure AD PowerShell-parancsmagot. Az Azure Rights Management szolgáltatás nem támogatja a New-AzureADServicePrincipal parancsmagot.

  1. Ha a számítógépen még nincs telepítve az MSOnline modul, futtassa a Install-Module MSOnline parancsot.

  2. Indítsa el a Windows PowerShellt a Futtatás rendszergazdaként beállítással.

  3. Kapcsolódjon az Azure AD szolgáltatáshoz a Connect-MsolService parancsmaggal:

    Connect-MsolService
    

    Amikor a rendszer kéri, adja meg Azure AD bérlői rendszergazdai hitelesítő adatait (általában olyan fiókot használ, amely az Azure Active Directory vagy a Microsoft 365 globális rendszergazdája).

  4. A New-MsolServicePrincipal parancsmag futtatásával hozza létre az új egyszerű szolgáltatást:

    New-MsolServicePrincipal
    

    Ha a rendszer kéri, adjon az egyszerű szolgáltatásnak egy tetszés szerinti megjelenített nevet, amellyel később azonosíthatja, mint az arra szolgáló fiókot, hogy kapcsolódjon az Azure Rights Management szolgáltatáshoz a fájlok védelmének biztosítása vagy feloldása érdekében.

    Példa a New-MsolServicePrincipal parancsmag kimenetre:

    Supply values for the following parameters:
    
    DisplayName: AzureRMSProtectionServicePrincipal
    The following symmetric key was created as one was not supplied
    zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=
    
    Display Name: AzureRMSProtectionServicePrincipal
    ServicePrincipalNames: (b5e3f7g1-b5c2-4c96-a594-a0807f65bba4)
    ObjectId: 23720996-593c-4122-bfc7-1abb5a0b5109
    AppPrincialId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4
    TrustedForDelegation: False
    AccountEnabled: True
    Addresses: ()
    KeyType: Symmetric
    KeyId: 8ef61651-ca11-48ea-a350-25834a1ba17c
    StartDate: 3/7/2014 4:43:59 AM
    EndDate: 3/7/2014 4:43:59 AM
    Usage: Verify
    
  5. Jegyezze fel a kimenetben szereplő szimmetrikus kulcsot és AppPrincialId azonosítót.

    Fontos, hogy most készítsen másolatot erről a szimmetrikus kulcsról. Ezt a kulcsot később nem tudja lekérni, ezért ha nem tudja, mikor kell legközelebb hitelesítést végeznie a Azure Tartalomvédelmi szolgáltatások szolgáltatásban, létre kell hoznia egy új szolgáltatásnevet.

A fenti utasítások és példák alapján a Set-RMSServerAuthentication parancsmag futtatásához a következő három azonosító szükséges:

  • Bérlőazonosító: 23976bc6-dcd4-4173-9d96-dad1f48efd42

  • Szimmetrikus kulcs: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=

  • AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4

A példaparancs ebben az ezek alapján a következő:

Set-RMSServerAuthentication -Key zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=-AppPrincipalId b5e3f76a-b5c2-4c96-a594-a0807f65bba4-BposTenantId 23976bc6-dcd4-4173-9d96-dad1f48efd42

Ahogy az előző parancsban is látható, az értékeket egyetlen paranccsal adhatja meg, amelyet egy szkriptben nem interaktív módon futtathat. Tesztelési célokból azonban egyszerűen beírhatja a Set-RMSServerAuthentication nevet, és egyenként adja meg az értékeket, amikor a rendszer kéri. Amikor a parancs befejeződik, az ügyfél "kiszolgáló módban" működik, amely nem interaktív használatra alkalmas, például szkriptek és Windows Server fájlbesorolási infrastruktúra.

Fontolja meg a szolgáltatásnév-fiók felügyelővé tételét: Annak érdekében, hogy ez a szolgáltatásnév-fiók mindig feloldhassa a fájlok védelmét mások számára, konfigurálható felügyelői fiókként. Ugyanúgy, ahogyan a standard felhasználói fiókot felügyelőként konfigurálja, ugyanazt az Azure RMS-parancsmagot használja, mint az Add-AipServiceSuperUser parancsmagot, de adja meg a ServicePrincipalId paramétert az AppPrincipalId értékével.

További információ a felügyelőkről: Felügyelők konfigurálása az Azure Information Protection és felderítési szolgáltatásokhoz vagy adat-helyreállításhoz.

Megjegyzés

Ha saját fiókjával szeretné elvégezni a hitelesítést az Azure Rights Management szolgáltatásban, akkor a fájlok védelemének biztosításához vagy feloldásához, illetve sablonok beolvasásához nincs szükség a Set-RMSServerAuthentication futtatására.

4. előfeltétel: Észak-Amerikán kívüli régiók esetén

Ha szolgáltatásnév-fiókot használ a fájlok védelmére és sablonok letöltésére az Azure Észak-Amerika régión kívül, szerkesztenie kell a beállításjegyzéket:

  1. Futtassa újra a Get-AipServiceConfiguration parancsmagot, és jegyezze fel a CertificationExtranetDistributionPointUrl és a LicensingExtranetDistributionPointUrl értékeit.

  2. Nyissa meg a beállításszerkesztőt minden olyan számítógépen, amelyen futtatni fogja az AzureInformationProtection parancsmagokat.

  3. Lépjen a következő elérési útra: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation.

    Ha nem látja az MSIPC-kulcsot vagy a ServiceLocation kulcsot, hozza létre őket.

  4. Ha még nem léteznek, készítsen két kulcsot a ServiceLocation kulcshoz, EnterpriseCertification, illetve EnterprisePublishing néven.

    Az ezekhez a kulcsokhoz automatikusan létrehozott sztringérték esetében ne módosítsa az "(Alapértelmezett)" nevét, hanem szerkessze a sztringet az Érték adatok beállításához:

    • Az EnterpriseCertification kulcshoz illessze be a CertificationExtranetDistributionPointUrl értéket.

    • Az EnterprisePublishing kulcshoz illessze be a LicensingExtranetDistributionPointUrl értéket.

      Az EnterpriseCertification beállításjegyzékbeli bejegyzésének például az alábbihoz hasonlóan kell kinéznie:

      Az Azure Information Protection PowerShell-modul beállításjegyzékének szerkesztése Észak-Amerika

  5. Zárja be a beállításszerkesztőt. Nincs szükség az a számítógép újraindítására. Ha azonban saját felhasználói fiók helyett egyszerű szolgáltatásfiókot használ, a beállításjegyzék szerkesztése után futtatnia kell a Set-RMSServerAuthentication parancsot.

Példaforgatókönyvek az Azure Information Protection és az Azure Rights Management szolgáltatásokhoz készült parancsmagok használatára

Hatékonyabb címkéket használni a fájlok besorolásához és védelméhez, mert csak két parancsmagra van szükség, amelyek önállóan vagy együtt futtathatók: Get-AIPFileStatus és Set-AIPFileLabel. Mindkét parancsmag súgójában találhat további információt és példákat.

Ha azonban az Azure Rights Management szolgáltatáshoz közvetlenül kapcsolódva szeretné biztosítani vagy feloldani a fájlok védelmét, ahhoz általában parancsmagok sorozatát kell futtatnia, az alábbiakban leírtak szerint.

Először is, ha a saját fiók használata helyett egy egyszerű szolgáltatásfiókkal kell hitelesítenie magát a Azure Tartalomvédelmi szolgáltatások szolgáltatásban, egy PowerShell-munkamenetben írja be a következőt:

Set-RMSServerAuthentication

Ha a rendszer kéri, adja meg a három azonosítót a 3. előfeltétel: Fájlok védelmének biztosítása vagy feloldása felhasználói beavatkozás nélkül című szakaszban leírtak szerint.

Ahhoz, hogy biztosíthassa a fájlok védelmét, le kell töltenie a Rights Management-sablonokat a számítógépre, és el kell döntenie, melyiket szeretné használni, illetve meg kell határoznia az ahhoz tartozó azonosítószámot. A kimenetből ekkor kimásolhatja a sablonazonosítót:

Get-RMSTemplate

A kimenet az alábbihoz hasonló lehet:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True

TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Fontos megjegyezni, hogy ha nem futtatta az RMSServerAuthentication parancsot, akkor a rendszer a saját felhasználói fiókját fogja használni az Azure Rights Management szolgáltatásban való hitelesítéshez. Ha tartományhoz csatlakozó számítógépet használ, a rendszer minden esetben automatikusan az aktuális hitelesítő adatait fogja használni. Ha munkacsoporthoz tartozó számítógépet használ, a rendszer kérni fogja, hogy jelentkezzen be az Azure-ba, és ezután gyorsítótárazza ezeket a hitelesítő adatokat a további parancsokhoz. Ha ebben az esetben később másik felhasználóként kell bejelentkeznie, használja a Clear-RMSAuthentication parancsmagot.

Most, hogy már ismeri a sablonazonosítót, azt a Protect-RMSFile parancsmaggal használva biztosíthatja egy adott fájl vagy egy mappában található összes fájl védelmét. Ha például csak egy adott fájlt védelmét szeretné biztosítani az eredeti felülírásával és a „Contoso, Ltd - Confidential” sablon használatával:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

A kimenet az alábbihoz hasonló lehet:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

Ha egy mappában található összes fájl védelmét szeretné biztosítani, használja a -Folder paramétert egy meghajtóbetűjellel és egy elérési úttal, vagy egy UNC elérési úttal. Például:

Protect-RMSFile -Folder \Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

A kimenet az alábbihoz hasonló lehet:

InputFile                          EncryptedFile
---------                          -------------
\Server1\Documents\Test1.docx     \Server1\Documents\Test1.docx
\Server1\Documents\Test2.docx     \Server1\Documents\Test2.docx
\Server1\Documents\Test3.docx     \Server1\Documents\Test3.docx
\Server1\Documents\Test4.docx     \Server1\Documents\Test4.docx

Ha a fájlnévkiterjesztés nem módosul a védelem alkalmazása után, akkor a későbbiekben bármikor használhatja a Get-RMSFileStatus parancsmagot annak ellenőrzésére, hogy a fájl védett-e. Például:

Get-RMSFileStatus -File \Server1\Documents\Test1.docx

A kimenet az alábbihoz hasonló lehet:

FileName                              Status
--------                              ------
\Server1\Documents\Test1.docx         Protected

Egy fájl védelmének feloldásához tulajdonosi vagy kinyeri jogosultságokkal kell rendelkeznie a fájl védelmének időpontjában. Vagy a parancsmagokat felügyelőként kell futtatnia. Ezután használja az Unprotect parancsmagot. Például:

Unprotect-RMSFile C:\test.docx -InPlace

A kimenet az alábbihoz hasonló lehet:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Vegye figyelembe, hogy a Rights Management-sablonok megváltozásakor újra le kell, hogy töltse azokat a Get-RMSTemplate -force használatával.

Active Directory tartalomvédelmi szolgáltatások

Olvassa el ezt a szakaszt, mielőtt megkezdi a PowerShell-parancsok fájlok védelmének biztosításához vagy feloldásához való használatát, ha a szervezet csak az Active Directory Rights Management Services szolgáltatást használja.

Előfeltételek

Az AzureInformationProtection modul telepítésének előfeltételein kívül a fájlok védelméhez vagy feloldásához használt fióknak olvasási és végrehajtási engedéllyel kell rendelkeznie a ServerCertification.asmx eléréséhez:

  1. Jelentkezzen be egy AD RMS-kiszolgálóra.

  2. Kattintson a Start, majd a Számítógép lehetőségre.

  3. A Fájlkezelő lépjen a %systemdrive%\Initpub\wwwroot_wmsc\Certification elemre.

  4. Kattintson a jobb gombbal a ServerCertification.asmx elemre, majd kattintson a Tulajdonságok lehetőségre.

  5. A ServerCertification.asmx tulajdonságai párbeszédpanelen kattintson a Biztonság fülre.

  6. Kattintson a Folytatás vagy a Szerkesztés gomb egyikére.

  7. A ServerCertification.asmx engedélyei párbeszédpanelen kattintson a Hozzáadás gombra.

  8. Adja hozzá a fióknevet. Ha más AD RMS-rendszergazdák vagy szolgáltatásfiókok is ezeket a parancsmagokat használják a fájlok védelmére és védelmének feloldására, vegye fel ezeket a fiókokat is.

    Ha nem interaktív módon szeretné védeni vagy feloldani a fájlok védelmét, adja hozzá a megfelelő számítógépfiókot vagy -fiókokat. Adja hozzá például a Fájlbesorolási infrastruktúrához konfigurált Windows Server-számítógép számítógépfiókját, és egy PowerShell-szkriptet használ a fájlok védelméhez.

  9. Győződjön meg arról, hogy az Engedélyezés oszlopban be van jelölve az Olvasás és végrehajtás és az Olvasás jelölőnégyzet.

10. Kattintson kétszer az OK gombra.

Példaforgatókönyvek az Active Directory Rights Management Services szolgáltatáshoz készült PowerShell-parancsmagok használatához

A parancsmagok használatának egy tipikus esete egy mappában található összes fájl védetté tétele egy jogmegadási sablonnal, illetve egy fájl védelmének feloldása.

Ha az AD RMS több üzemelő példányával rendelkezik, először szükség lesz az AD RMS-kiszolgálók nevére. Ezekhez úgy férhet hozzá, hogy a Get-RMSServer parancsmaggal megjeleníti a rendelkezésre álló kiszolgálók listáját:

Get-RMSServer

A kimenet az alábbihoz hasonló lehet:

Number of RMS Servers that can provide templates: 2 
ConnectionInfo             DisplayName          AllowFromScratch
--------------             -------------        ----------------
Microsoft.InformationAnd…  RmsContoso                       True
Microsoft.InformationAnd…  RmsFabrikam                      True

Ahhoz, hogy biztosíthassa a fájlok védelmét, be kell olvasnia az RMS-sablonok listáját, hogy eldöntse, melyiket szeretné használni, és hogy meg tudja határozni annak az ahhoz tartozó azonosítószámot. Csak akkor kell megadnia az RMS-kiszolgálót is, ha több AD RMS-telepítéssel rendelkezik.

A kimenetből ekkor kimásolhatja a sablonazonosítót:

Get-RMSTemplate -RMSServer RmsContoso

A kimenet az alábbihoz hasonló lehet:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True

TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Most, hogy már ismeri a sablonazonosítót, azt a Protect-RMSFile parancsmaggal használva biztosíthatja egy adott fájl vagy egy mappában található összes fájl védelmét. Ha például csak egy adott fájlt védelmét szeretné biztosítani az eredeti cseréjével és a „Contoso, Ltd - Confidential” sablon használatával:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

A kimenet az alábbihoz hasonló lehet:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx   

Ha egy mappában található összes fájl védelmét szeretné biztosítani, használja a -Folder paramétert egy meghajtóbetűjellel és egy elérési úttal, vagy egy UNC elérési úttal. Például:

Protect-RMSFile -Folder \\Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

A kimenet az alábbihoz hasonló lehet:

InputFile                          EncryptedFile
---------                          -------------
\\Server1\Documents\Test1.docx     \\Server1\Documents\Test1.docx   
\\Server1\Documents\Test2.docx     \\Server1\Documents\Test2.docx   
\\Server1\Documents\Test3.docx     \\Server1\Documents\Test3.docx   
\\Server1\Documents\Test4.docx     \\Server1\Documents\Test4.docx   

Ha a fájlnévkiterjesztés nem változik a védelem alkalmazása után, később mindig használhatja a Get-RMSFileStatus parancsmagot annak ellenőrzéséhez, hogy a fájl védett-e. Például:

Get-RMSFileStatus -File \\Server1\Documents\Test1.docx

A kimenet az alábbihoz hasonló lehet:

FileName                              Status
--------                              ------
\\Server1\Documents\Test1.docx        Protected

A fájlok védelmének feloldásához tulajdonosi vagy kigyűjtési használati jogosultságokkal kell rendelkeznie a fájl védelmének időpontjától kezdve, vagy az AD RMS felügyelőjének kell lennie. Ezután használja az Unprotect parancsmagot. Például:

Unprotect-RMSFile C:\test.docx -InPlace

A kimenet az alábbihoz hasonló lehet:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Fájlok nem interaktív címkézése az Azure Information Protection szolgáltatáshoz

A címkézési parancsmagokat nem interaktív módon is futtathatja a Set-AIPAuthentication parancsmag használatával. Az Azure Information Protection scannerhez nem interaktív műveletre is szükség van.

By default, when you run the cmdlets for labeling, the commands run in your own user context in an interactive PowerShell session. Felügyelet nélküli futtatásukhoz először hozzon létre egy új, kifejezetten erre a célra szolgáló Azure AD felhasználói fiókot. Ezután futtassa a Set-AIPAuthentication parancsmagot ennek a felhasználónak a környezetében, és egy Azure AD-s hozzáférési jogkivonatot használva mentse a hitelesítő adatokat. Ezután a rendszer hitelesíti ezt a felhasználói azonosítót, és betölti az Azure Rights Management szolgáltatáshoz. A fiók letölti az Azure Information Protection-szabályzatot és a címkék által használt valamennyi Rights Management-sablont.

Megjegyzés

Ha hatókörön belüli szabályzatokat használ, ne feledje, hogy előfordulhat, hogy hozzá kell adnia ezt a fiókot a hatókörrel kapcsolatos szabályzataihoz.

A parancsmag első futtatásakor a rendszer kérni fogja, hogy jelentkezzen be az Azure Information Protection-ügyfélbe. Adja meg a felügyelet nélküli felhasználó számára létrehozott felhasználói fiók nevét és jelszavát. Ettől kezdve ez a fiók nem interaktív módon tudja futtatni a címkéző parancsmagokat, amíg a hitelesítési jogkivonat le nem jár.

Ahhoz, hogy a felhasználói fiók először tudjon interaktívan bejelentkezni, a fióknak helyileg be kell jelentkeznie . Ez a jogosultság a felhasználói fiókok esetében szokásos, de a vállalati szabályzatok tilthatják ezt a konfigurációt a szolgáltatásfiókok esetében. Ebben az esetben futtathatja Set-AIPAuthentication a Token paraméterrel, hogy a hitelesítés a bejelentkezési kérés nélkül befejeződjön. Ezt a parancsot ütemezett feladatként futtathatja, és a fióknak a Bejelentkezés kötegelt feladatként lehetőség jobb alsó sarkában adhatja meg. További információt a következő szakaszokban talál.

Amikor a jogkivonat lejár, futtassa újra a parancsmagot egy új jogkivonat beszerzéséhez.

Ha a parancsmagot paraméterek megadása nélkül futtatja, a fiók egy 90 napig, vagy a jelszó lejárati dátumáig érvényes hozzáférési jogkivonatot kap a rendszertől.

Ha szeretné szabályozni a hozzáférési jogkivonat érvényességi idejét, a parancsmagot paraméterekkel kell futtatnia. Így beállíthatja, hogy a hozzáférési jogkivonat egy évig, két évig vagy korlátlan ideig legyen érvényes. Ehhez azonban arra van szükség, hogy az Azure Active Directoryben regisztrálva legyen két alkalmazása: egy Webalkalmazás/API alkalmazás és egy natív alkalmazás. A parancsmag paraméterei ugyanis ezekből az alkalmazásokból használják az értékeket.

Ennek a parancsmagnak a futtatása után már futtathatóak lesznek a címkéző parancsmagok a létrehozott felhasználói fiók környezetében.

A Set-AIPAuthentication parancsmaghoz tartozó Azure AD-alkalmazások létrehozása és beállítása

  1. Jelentkezzen be az Azure Portalra egy új böngészőablakból.

  2. Az Azure Information Protection Azure AD bérlőjéhez lépjen az Azure Active Directory>Kezelése>Alkalmazásregisztrációk.

  3. Válassza az + Új regisztráció lehetőséget a webalkalmazás /API-alkalmazás létrehozásához. Az Alkalmazás regisztrálása panelen adja meg a következő értékeket, majd kattintson a Regisztráció gombra:

    • Név: AIPOnBehalfOf

      Tetszés szerint adjon meg egy másik nevet. Ennek bérlőnként egyedinek kell lennie.

    • Támogatott fióktípusok: Csak ebben a szervezeti címtárban lévő fiókok

    • Átirányítási URI (nem kötelező): Web és http://localhost

  4. Az AIPOnBehalfOf panelen másolja ki az alkalmazás (ügyfél) azonosítójának értékét. Az érték a következő példához hasonlóan néz ki: 57c3c1c3-abf9-404e-8b2b-4652836c8c66. Ez az érték a WebAppId paraméterhez használatos a Set-AIPAuthentication parancsmag futtatásakor. Illessze be és mentse az értéket későbbi referenciaként.

  5. Továbbra is az AIPOnBehalfOf panel Kezelés menüjében válassza a Hitelesítés lehetőséget.

  6. Az AIPOnBehalfOf – Hitelesítés panel Speciális beállítások szakaszában jelölje be az Azonosító jogkivonatok jelölőnégyzetet, majd válassza a Mentés lehetőséget.

  7. Továbbra is az AIPOnBehalfOf – Hitelesítés panel Kezelés menüjében válassza a Tanúsítványok & titkos kulcsok lehetőséget.

  8. Az AIPOnBehalfOf – Tanúsítványok & titkos kulcsok panel Ügyfélkódok szakaszában válassza az + Új titkos ügyfélkód lehetőséget.

  9. Az Ügyfélkód hozzáadása beállításnál adja meg a következőket, majd válassza a Hozzáadás lehetőséget:

    • Leírás: Azure Information Protection client
    • Lejárat: Adja meg a választott időtartamot (1 év, 2 év vagy soha nem jár le)
  10. Térjen vissza az AIPOnBehalfOf – Tanúsítványok & titkos kulcsokpanelre, az Ügyfél titkos kódja szakaszában másolja ki az ÉRTÉK sztringet. Ez a sztring a következő példához hasonlóan néz ki: +LBkMvddz?WrlNCK5v0e6_=meM59sSAn. Az összes karakter másolásához jelölje ki a Vágólapra másolás ikont.

    Ezt a sztringet fontos elmenteni, mert többször nem jeleníti meg a rendszer, és nem lesz visszanyerhető. A használt bizalmas adatokhoz hasonlóan a mentett értékeket is biztonságosan tárolhatja, és korlátozhatja a hozzáférését.

  11. Továbbra is az AIPOnBehalfOf – Tanúsítványok & titkos kulcsokpanelen , a Kezelés menüben válassza az API közzététele lehetőséget.

  12. Az AIPOnBehalfOf – API közzététele panelen válassza a Beállítás lehetőséget az Alkalmazásazonosító URI beállításnál, majd az Alkalmazásazonosító URI értékeként módosítsa az API-thttp-ra. Ez a sztring a következő példához hasonlóan néz ki: http://d244e75e-870b-4491-b70d-65534953099e.

    Kattintson a Mentés gombra.

  13. Térjen vissza az AIPOnBehalfOf – API-panel közzététele elemre, és válassza a + Hatókör hozzáadása lehetőséget.

  14. A Hatókör hozzáadása panelen adja meg a következőket, példákként használja a javasolt sztringeket, majd válassza a Hatókör hozzáadása lehetőséget:

    • Hatókör neve: user-impersonation
    • Kik adhatnak hozzájárulást?: Rendszergazdák és felhasználók
    • Rendszergazda hozzájárulás megjelenítendő neve:Access Azure Information Protection scanner
    • Rendszergazda hozzájárulás leírása:Allow the application to access the scanner for the signed-in user
    • Felhasználói hozzájárulás megjelenítendő neve: Access Azure Information Protection scanner
    • Felhasználói hozzájárulás leírása: Allow the application to access the scanner for the signed-in user
    • Állapot: Engedélyezve (alapértelmezett)
  15. Lépjen vissza az AIPOnBehalfOf – API-panel közzététele lapra, zárja be ezt a panelt.

  16. Válassza az API-engedélyek lehetőséget.

  17. Az AIPOnBehalfOf | API-engedélyek panelen válassza a + Engedély hozzáadása lehetőséget.

  18. Válassza az Azure Right Management lehetőséget, válassza a Delegált engedélyek , majd a Védett tartalom létrehozása és elérése a felhasználók számára lehetőséget.

  19. Kattintson az Engedély hozzáadása elemre.

  20. Az API-engedélyek panelen, a Hozzájárulás megadása szakaszban válassza az Grant admin consent for <your tenant name>Igen lehetőséget a megerősítési kéréshez.

  21. Az Alkalmazásregisztrációk panelen válassza az + Új alkalmazásregisztráció lehetőséget a natív alkalmazás létrehozásához.

  22. Az Alkalmazás regisztrálása panelen adja meg a következő beállításokat, majd válassza a Regisztráció lehetőséget:

    • Név: AIPClient
    • Támogatott fióktípusok: Csak ebben a szervezeti címtárban lévő fiókok
    • Átirányítási URI (nem kötelező): Nyilvános ügyfél (mobil & asztali) és http://localhost
  23. Az AIPClient panelen másolja ki az alkalmazás (ügyfél) azonosítójának értékét. Az érték a következő példához hasonlóan néz ki: 8ef1c873-9869-4bb1-9c11-8313f9d7f76f.

    Ez az érték a NativeAppId paraméterhez használatos a Set-AIPAuthentication parancsmag futtatásakor. Illessze be és mentse az értéket későbbi referenciaként.

  24. Továbbra is az AIPClient panel Kezelés menüjében válassza a Hitelesítés lehetőséget.

  25. Az AIPClient – Hitelesítés panel Kezelés menüjében válassza az API-engedélyek elemet.

  26. Az AIPClient – engedélyek panelen válassza a + Engedély hozzáadása lehetőséget.

  27. Az API-engedélyek kérése panelen válassza a Saját API-k lehetőséget.

  28. Az API kiválasztása szakaszban válassza az APIOnBehalfOf lehetőséget, majd jelölje be a felhasználó megszemélyesítésének jelölőnégyzetét engedélyként. Válassza az Engedélyek hozzáadása lehetőséget.

  29. Az API-engedélyek panelen, a Hozzájárulás megadása szakaszban válassza a Rendszergazdai hozzájárulás < megadása a bérlő nevének> lehetőséget, majd válassza az Igen lehetőséget a megerősítési kéréshez.

Ezzel befejezte a két alkalmazás konfigurálását, és rendelkezik a Set-AIPAuthentication futtatásához szükséges értékekkel a WebAppId, a WebAppKey és a NativeAppId paraméterekkel. A példáinkból:

Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "+LBkMvddz?WrlNCK5v0e6_=meM59sSAn" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f"

Futtassa ezt a parancsot annak a fióknak a környezetében, amely nem interaktív módon címkézi és védi a dokumentumokat. Például egy felhasználói fiók a PowerShell-szkriptekhez vagy a szolgáltatásfiókhoz az Azure Information Protection scanner futtatásához.

Amikor első alkalommal futtatja ezt a parancsot, a rendszer kérni fogja, hogy jelentkezzen be, amely létrehozza és biztonságosan tárolja a fiók hozzáférési jogkivonatát a következő helyen: %localappdata%\Microsoft\MSIP. A kezdeti bejelentkezés után nem interaktív módon címkézheti és védheti a fájlokat a számítógépen. Ha azonban szolgáltatásfiókot használ a fájlok címkézésére és védelmére, és ez a szolgáltatásfiók nem tud interaktívan bejelentkezni, használja az alábbi szakasz utasításait, hogy a szolgáltatásfiók jogkivonattal hitelesíthesse magát.

A Set-AIPAuthentication Token paraméterének megadása és használata

Az alábbi további lépések és utasítások segítségével elkerülheti a fájlok címkézését és védelmét biztosító fiókok kezdeti interaktív bejelentkezését. Ezek a további lépések általában csak akkor szükségesek, ha ez a fiók nem rendelkezik a helyi bejelentkezéshez szükséges jogosultságokkal, de a Bejelentkezés kötegelt feladatként jogosultságot kap. Ez lehet például az Azure Information Protection scannert futtató szolgáltatásfiók esetében.

Magas szintű lépések:

  1. Hozzon létre egy PowerShell-szkriptet a helyi számítógépen.

  2. A Set-AIPAuthentication futtatásával szerezze be a hozzáférési jogkivonatot, és másolja a vágólapra.

  3. Módosítsa a PowerShell-szkriptet úgy, hogy tartalmazza a jogkivonatot.

  4. Hozzon létre egy feladatot, amely a PowerShell-szkriptet a fájlokat címkéző és védő szolgáltatásfiók kontextusában futtatja.

  5. Ellenőrizze, hogy a jogkivonat mentve van-e a szolgáltatásfiókhoz, és törölje a PowerShell-szkriptet.

1. lépés: PowerShell-szkript létrehozása a helyi számítógépen

  1. A számítógépen hozzon létre egy új PowerShell-szkriptet Aipauthentication.ps1 néven.

  2. Másolja és illessze be a következő parancsot ebbe a szkriptbe:

    Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application> -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application > -Token <token value>
    
  3. Az előző szakasz utasításait követve módosítsa ezt a parancsot a WebAppId, a WebAppkey és a NativeAppId paraméterek saját értékeinek megadásával. Jelenleg nem rendelkezik a Token paraméter értékével, amelyet később ad meg.

    Például:

    Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>
    

2. lépés: A hozzáférési jogkivonat lekéréséhez és a vágólapra másolásához futtassa a Set-AIPAuthentication

  1. Nyisson meg egy Windows PowerShell-munkamenetet.

  2. A szkriptben megadott értékeket használva futtassa a következő parancsot:

    (Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application>  -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application >).token | clip
    

    Például:

    (Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clip`
    

3. lépés: A PowerShell-szkript módosítása a jogkivonat megadásához

  1. A PowerShell-szkriptben adja meg a jogkivonat értékét úgy, hogy beilleszti a sztringet a vágólapról, és menti a fájlt.

  2. Írja alá a parancsfájlt. Ha nem írja alá a szkriptet (biztonságosabb), konfigurálnia kell Windows PowerShell a címkéző parancsokat futtató számítógépen. Futtasson például egy Windows PowerShell munkamenetet a Futtatás rendszergazdaként beállítással, és írja be a következőt: Set-ExecutionPolicy RemoteSigned. Ez a konfiguráció azonban lehetővé teszi az összes aláíratlan szkript futtatását, amikor a számítógépen vannak tárolva (kevésbé biztonságos).

    További információkat a Windows PowerShell-parancsfájlokról a PowerShell dokumentációs könyvtárban talál: about_Signing.

  3. Másolja ezt a PowerShell-szkriptet arra a számítógépre, amely megjelöli és védi a fájlokat, és törli az eredetit a számítógépen. A PowerShell-szkriptet például egy Windows Server-számítógépen C:\Scripts\Aipauthentication.ps1 másolhatja.

4. lépés: PowerShell-szkriptet futtató feladat létrehozása

  1. Győződjön meg arról, hogy a fájlokat címkéző és védő szolgáltatásfiók rendelkezik a Bejelentkezés kötegelt feladatként jogosultságokkal.

  2. A fájlokat címkéző és védő számítógépen nyissa meg a Feladatütemezőt, és hozzon létre egy új feladatot. Konfigurálja ezt a feladatot úgy, hogy a fájlokat címkéző és védő szolgáltatásfiókként fusson, majd konfigurálja a következő értékeket a Műveletekhez:

    • Művelet: Start a program

    • Program/szkript: Powershell.exe

    • Argumentumok hozzáadása (nem kötelező): -NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"

      Az argumentumsorhoz adja meg a saját elérési útját és fájlnevét, ha ezek eltérnek a példától.

  3. Manuálisan futtassa ezt a feladatot.

5. lépés: Győződjön meg arról, hogy a jogkivonat mentve van, és törölje a PowerShell-szkriptet

  1. Győződjön meg arról, hogy a jogkivonat most már a szolgáltatásfiók-profil %localappdata%\Microsoft\MSIP mappájában van tárolva. Ezt az értéket a szolgáltatásfiók védi.

  2. Törölje a jogkivonat értékét (például Aipauthentication.ps1) tartalmazó PowerShell-szkriptet.

    Ha szeretné, törölje a feladatot. Ha a jogkivonat lejár, meg kell ismételnie ezt a folyamatot, ami esetben kényelmesebb lehet elhagyni a konfigurált feladatot, hogy újrafuttassa, amikor átmásolja az új PowerShell-szkriptet az új tokenértékkel.

Következő lépések

Ha egy PowerShell-munkamenetben segítségre van szüksége egy parancsmag futtatásához, írja be a Get-Help <cmdlet name> cmdlet parancsot. A legfrissebb információkat az -online paraméter megadásával jelenítheti meg. Például:

Get-Help Get-RMSTemplate -online

Az Azure Information Protection-ügyfél támogatásához esetlegesen szükséges további tudnivalókért lásd az alábbiakat: