Rendszergazda útmutató: A PowerShell használata az Azure Information Protection klasszikus ügyféllel
Az Azure Information Protection klasszikus ügyfél telepítésekor a PowerShell-parancsok automatikusan települnek. Ez lehetővé teszi az ügyfél felügyeletét olyan parancsok futtatásával, amelyeket az automatizálási szkriptekbe helyezhet.
A parancsmagokat az AzureInformationProtection PowerShell modullal telepíti a rendszer. Ez a modul tartalmazza az RMS Védelmi eszköz összes Rights Management-parancsmagját (a továbbiakban nem támogatott). Vannak olyan parancsmagok is, amelyek az Azure Information Protection használják a címkézéshez. Például:
Címkéző parancsmag | Példa a használatra |
---|---|
Get-AIPFileStatus | Egy megosztott mappában az összes fájl azonosítása egy speciális címkével. |
Set-AIPFileClassification | Egy megosztott mappában a fájl tartalmának vizsgálata, majd a címke nélküli fájlok automatikus címkézése az Ön által megadott feltételek alapján. |
Set-AIPFileLabel | Egy megosztott mappában az összes címke nélküli fájl ellátása egy speciális címkével. |
Set-AIPAuthentication | A fájlokat nem interaktív módon címkézheti, például ütemezés szerint futó szkripttel. |
Tipp
Ha 260 karakternél hosszabb elérésiút-hosszúságú parancsmagokat szeretne használni, használja az alábbi csoportházirend-beállítást, amely az 1607-es verziótól kezdve érhető el Windows 10:
Helyi számítógépházirend>Számítógép konfigurációja>Felügyeleti sablonok>Minden beállítás>A Win32 hosszú elérési útjainak engedélyezése
A Windows Server 2016 esetében ugyanazt a csoportházirend-beállítást használhatja, amikor a legújabb felügyeleti sablonokat (.admx) telepíti Windows 10.
További információt a Windows 10 fejlesztői dokumentációjának Maximális elérési úthossz-korlátozás című szakaszában talál.
Az Azure Information Protection scanner az AzureInformationProtection modul parancsmagjaival telepíti és konfigurálja a szolgáltatást a Windows Serveren. Ez a szkenner lehetővé teszi az adattárak fájljainak felderítését, besorolását és védelmét.
A parancsmagokat és a hozzájuk tartozó súgók listáját az AzureInformationProtection modulban találja. Egy PowerShell-munkameneten belül írja be a parancsot Get-Help <cmdlet name> -online
a legújabb súgó megtekintéséhez.
Ez a modul a \ProgramFiles (x86)\Microsoft Azure Information Protection mappába települ, és hozzáadja ezt a mappát a PSModulePath rendszerváltozóhoz. A modulhoz tartozó .dll fájl az AIP.dll.
Jelenleg, ha a modult egy felhasználóként telepíti, és a parancsmagokat ugyanazon a számítógépen futtatja, mint egy másik felhasználó, először futtatnia kell a Import-Module AzureInformationProtection
parancsot. Ebben a forgatókönyvben a modul nem töltődik be automatikusan egy parancsmag első futtatásakor.
A parancsmagok használatának megkezdése előtt ellenőrizze a telepítésnek megfelelő további előfeltételeket és utasításokat:
Azure Information Protection és Azure Tartalomvédelmi szolgáltatások szolgáltatás
- Csak besorolás, illetve Rights Management-védelemmel való besorolás használata esetén érvényes: Olyan előfizetéssel rendelkezik, amely magában foglalja az Azure Information Protection szolgáltatást (mint például az Enterprise Mobility + Security csomag).
- Az Azure Rights Management szolgáltatást alkalmazó csak védelmi mód használata esetén érvényes: Olyan előfizetéssel rendelkezik, amely magában foglalja az Azure Rights Management szolgáltatást (mint például az Office 365 E3 és az Office 365 E5 csomag).
Active Directory tartalomvédelmi szolgáltatások
- Az Azure Rights Management helyszíni verzióját, illetve az Active Directory Rights Management Services (AD RMS) szolgáltatást alkalmazó csak védelmi mód használata esetén érvényes.
További információért tekintse meg az Azure Information Protection ismert problémáinak megfelelő gyűjteményét.
Azure Information Protection és Azure Tartalomvédelmi szolgáltatások szolgáltatás
Olvassa el ezt a szakaszt, mielőtt elkezdené használni a PowerShell-parancsokat, amikor a szervezete az Azure Information Protection-t használja besorolásra és védelemre, vagy csak az adatvédelem Azure Tartalomvédelmi szolgáltatások szolgáltatását.
Előfeltételek
Az AzureInformationProtection modul telepítésének előfeltételei mellett további előfeltételek is vannak az Azure Information Protection címkézéséhez és a Azure Tartalomvédelmi szolgáltatások adatvédelmi szolgáltatáshoz:
Az Azure Rights Management szolgáltatást aktiválni kell.
Védelem eltávolítása a más felhasználókkal megosztott fájlokról a saját fiók használatával:
- A szervezetben engedélyezve kell lennie a felügyelői funkciónak, és a fiókot az Azure Rights Management felügyelőjeként kell konfigurálni.
Fájlok védelmének biztosítása vagy feloldása közvetlenül felhasználói beavatkozás nélkül:
- Hozzon létre egy egyszerű szolgáltatásfiókot és futtassa a Set-RMSServerAuthentication parancsmagot. Ezt követően fontolja meg az egyszerű szolgáltatás Azure Rights Management-felügyelővé tételét.
Észak-Amerikán kívüli régiók esetén:
- Szerkessze a szolgáltatásfelderítés beállításjegyzékét.
1. előfeltétel: Az Azure Rights Management szolgáltatást aktiválni kell
Ez az előfeltétel attól függetlenül érvényes, hogy címkékkel biztosítja az adatvédelmet vagy közvetlenül csatlakozik az Azure Rights Management szolgáltatáshoz az adatvédelem alkalmazása érdekében.
Ha az Azure Information Protection-bérlő nincs aktiválva, tekintse meg a védelmi szolgáltatás Aktiválása az Azure Information Protection-ből című témakör utasításait.
2. előfeltétel: Védelem eltávolítása a más felhasználókkal megosztott fájlokról a saját fiók használatával
A más felhasználókkal megosztott fájlok védelmének eltávolításának jellemző forgatókönyvei közé tartozik többek között az adatfelderítés és az adatok helyreállítása. Ha a védelem biztosításához címkéket használ, akkor egy védelmet nem biztosító új címke beállításával, illetve a címke eltávolításával távolíthatja el a védelmet. Valószínűbb azonban, hogy a védelem eltávolításához közvetlenül fog kapcsolódni az Azure Rights Management szolgáltatáshoz.
A védelem fájlokról való eltávolításához engedély szükséges a Rights Management használatához, vagy felügyelőnek kell lennie. Adatfelderítés és adat-helyreállítás esetében általában a felügyelői funkciót szokták használni. A funkció engedélyezéséről és a fiókja felügyelőként való konfigurálásáról a Felügyelők konfigurálása az Azure Rights Management és a felderítési szolgáltatások vagy adat-helyreállítás számára című témakörben találhat további információt.
3. előfeltétel: Fájlok védelmének biztosítása vagy feloldása felhasználói beavatkozás nélkül
Közvetlenül a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz csatlakozhat nem interaktív módon a fájlok védelmének vagy védelmének feloldásához.
A szolgáltatásnév-fiókkal nem interaktív módon kell csatlakoznia a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz, amelyet a Set-RMSServerAuthentication
parancsmaggal hajthat végre. Ezt a műveletet minden egyes, az Azure Rights Management szolgáltatáshoz közvetlenül kapcsolódó, parancsmagokat futtató Windows PowerShell-munkamenet esetén végre kell hajtani. A parancsmag futtatása előtt a következő három azonosítóval kell rendelkeznie:
BposTenantId
AppPrincipalId
Szimmetrikus kulcs
Az alábbi PowerShell-parancsokkal és megjegyzésekkel automatikusan lekérheti az azonosítók értékeit, és futtathatja a Set-RMSServerAuthentication parancsmagot. Vagy manuálisan is lekérheti és megadhatja az értékeket.
Az értékek automatikus lekéréséhez és a Set-RMSServerAuthentication futtatásához:
# Make sure that you have the AIPService and MSOnline modules installed
$ServicePrincipalName="<new service principal name>"
Connect-AipService
$bposTenantID=(Get-AipServiceConfiguration).BPOSId
Disconnect-AipService
Connect-MsolService
New-MsolServicePrincipal -DisplayName $ServicePrincipalName
# Copy the value of the generated symmetric key
$symmetricKey="<value from the display of the New-MsolServicePrincipal command>"
$appPrincipalID=(Get-MsolServicePrincipal | Where { $_.DisplayName -eq $ServicePrincipalName }).AppPrincipalId
Set-RMSServerAuthentication -Key $symmetricKey -AppPrincipalId $appPrincipalID -BposTenantId $bposTenantID
A következő szakaszok ismertetik, hogyan szerezheti be és adhatja meg manuálisan ezeket az értékeket, és hogyan adhat meg további információkat mindegyikről.
A BposTenantId beszerzése
Futtassa a Get-AipServiceConfiguration parancsmagot az Azure RMS Windows PowerShell modulból:
Ha ez a modul még nincs telepítve a számítógépre, olvassa el az AIPService PowerShell-modul telepítése című témakört.
Indítsa el a Windows PowerShellt a Futtatás rendszergazdaként beállítással.
Csatlakozzon az Azure Rights Management szolgáltatáshoz a
Connect-AipService
parancsmaggal:Connect-AipService
Amikor a rendszer kéri, adja meg az Azure Information Protection bérlői rendszergazdai hitelesítő adatait. Általában olyan fiókot használ, amely globális rendszergazda az Azure Active Directoryhoz vagy a Microsoft 365-höz.
Futtassa a
Get-AipServiceConfiguration
parancsmagot, majd készítsen másolatot a BPOSId értékről.Példa a Get-AipServiceConfiguration kimenetére:
BPOSId : 23976bc6-dcd4-4173-9d96-dad1f48efd42 RightsManagement ServiceId : 1a302373-f233-440600909-4cdf305e2e76 LicensingIntranetDistributionPointUrl : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing LicensingExtranetDistributionPointUrl : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing CertificationIntranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification CertificationExtranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
Bontsa a kapcsolatot a szolgáltatással:
Disconnect-AipService
Az AppPrincipalId és a szimmetrikus kulcs beszerzése
Hozzon létre egy új egyszerű szolgáltatást az Azure Active Directoryhoz készült MSOnline PowerShell modul New-MsolServicePrincipal
parancsmagjának futtatásával, és kövesse az alábbi utasításokat.
Fontos
Ennek az egyszerű szolgáltatásnak a létrehozásához ne használja az új New-AzureADServicePrincipal Azure AD PowerShell-parancsmagot. Az Azure Rights Management szolgáltatás nem támogatja a New-AzureADServicePrincipal parancsmagot.
Ha a számítógépen még nincs telepítve az MSOnline modul, futtassa a
Install-Module MSOnline
parancsot.Indítsa el a Windows PowerShellt a Futtatás rendszergazdaként beállítással.
Kapcsolódjon az Azure AD szolgáltatáshoz a Connect-MsolService parancsmaggal:
Connect-MsolService
Amikor a rendszer kéri, adja meg Azure AD bérlői rendszergazdai hitelesítő adatait (általában olyan fiókot használ, amely az Azure Active Directory vagy a Microsoft 365 globális rendszergazdája).
A New-MsolServicePrincipal parancsmag futtatásával hozza létre az új egyszerű szolgáltatást:
New-MsolServicePrincipal
Ha a rendszer kéri, adjon az egyszerű szolgáltatásnak egy tetszés szerinti megjelenített nevet, amellyel később azonosíthatja, mint az arra szolgáló fiókot, hogy kapcsolódjon az Azure Rights Management szolgáltatáshoz a fájlok védelmének biztosítása vagy feloldása érdekében.
Példa a New-MsolServicePrincipal parancsmag kimenetre:
Supply values for the following parameters: DisplayName: AzureRMSProtectionServicePrincipal The following symmetric key was created as one was not supplied zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA= Display Name: AzureRMSProtectionServicePrincipal ServicePrincipalNames: (b5e3f7g1-b5c2-4c96-a594-a0807f65bba4) ObjectId: 23720996-593c-4122-bfc7-1abb5a0b5109 AppPrincialId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4 TrustedForDelegation: False AccountEnabled: True Addresses: () KeyType: Symmetric KeyId: 8ef61651-ca11-48ea-a350-25834a1ba17c StartDate: 3/7/2014 4:43:59 AM EndDate: 3/7/2014 4:43:59 AM Usage: Verify
Jegyezze fel a kimenetben szereplő szimmetrikus kulcsot és AppPrincialId azonosítót.
Fontos, hogy most készítsen másolatot erről a szimmetrikus kulcsról. Ezt a kulcsot később nem tudja lekérni, ezért ha nem tudja, mikor kell legközelebb hitelesítést végeznie a Azure Tartalomvédelmi szolgáltatások szolgáltatásban, létre kell hoznia egy új szolgáltatásnevet.
A fenti utasítások és példák alapján a Set-RMSServerAuthentication parancsmag futtatásához a következő három azonosító szükséges:
Bérlőazonosító: 23976bc6-dcd4-4173-9d96-dad1f48efd42
Szimmetrikus kulcs: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=
AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4
A példaparancs ebben az ezek alapján a következő:
Set-RMSServerAuthentication -Key zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=-AppPrincipalId b5e3f76a-b5c2-4c96-a594-a0807f65bba4-BposTenantId 23976bc6-dcd4-4173-9d96-dad1f48efd42
Ahogy az előző parancsban is látható, az értékeket egyetlen paranccsal adhatja meg, amelyet egy szkriptben nem interaktív módon futtathat. Tesztelési célokból azonban egyszerűen beírhatja a Set-RMSServerAuthentication nevet, és egyenként adja meg az értékeket, amikor a rendszer kéri. Amikor a parancs befejeződik, az ügyfél "kiszolgáló módban" működik, amely nem interaktív használatra alkalmas, például szkriptek és Windows Server fájlbesorolási infrastruktúra.
Fontolja meg a szolgáltatásnév-fiók felügyelővé tételét: Annak érdekében, hogy ez a szolgáltatásnév-fiók mindig feloldhassa a fájlok védelmét mások számára, konfigurálható felügyelői fiókként. Ugyanúgy, ahogyan a standard felhasználói fiókot felügyelőként konfigurálja, ugyanazt az Azure RMS-parancsmagot használja, mint az Add-AipServiceSuperUser parancsmagot, de adja meg a ServicePrincipalId paramétert az AppPrincipalId értékével.
További információ a felügyelőkről: Felügyelők konfigurálása az Azure Information Protection és felderítési szolgáltatásokhoz vagy adat-helyreállításhoz.
Megjegyzés
Ha saját fiókjával szeretné elvégezni a hitelesítést az Azure Rights Management szolgáltatásban, akkor a fájlok védelemének biztosításához vagy feloldásához, illetve sablonok beolvasásához nincs szükség a Set-RMSServerAuthentication futtatására.
4. előfeltétel: Észak-Amerikán kívüli régiók esetén
Ha szolgáltatásnév-fiókot használ a fájlok védelmére és sablonok letöltésére az Azure Észak-Amerika régión kívül, szerkesztenie kell a beállításjegyzéket:
Futtassa újra a Get-AipServiceConfiguration parancsmagot, és jegyezze fel a CertificationExtranetDistributionPointUrl és a LicensingExtranetDistributionPointUrl értékeit.
Nyissa meg a beállításszerkesztőt minden olyan számítógépen, amelyen futtatni fogja az AzureInformationProtection parancsmagokat.
Lépjen a következő elérési útra:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation
.Ha nem látja az MSIPC-kulcsot vagy a ServiceLocation kulcsot, hozza létre őket.
Ha még nem léteznek, készítsen két kulcsot a ServiceLocation kulcshoz, EnterpriseCertification, illetve EnterprisePublishing néven.
Az ezekhez a kulcsokhoz automatikusan létrehozott sztringérték esetében ne módosítsa az "(Alapértelmezett)" nevét, hanem szerkessze a sztringet az Érték adatok beállításához:
Az EnterpriseCertification kulcshoz illessze be a CertificationExtranetDistributionPointUrl értéket.
Az EnterprisePublishing kulcshoz illessze be a LicensingExtranetDistributionPointUrl értéket.
Az EnterpriseCertification beállításjegyzékbeli bejegyzésének például az alábbihoz hasonlóan kell kinéznie:
Zárja be a beállításszerkesztőt. Nincs szükség az a számítógép újraindítására. Ha azonban saját felhasználói fiók helyett egyszerű szolgáltatásfiókot használ, a beállításjegyzék szerkesztése után futtatnia kell a Set-RMSServerAuthentication parancsot.
Példaforgatókönyvek az Azure Information Protection és az Azure Rights Management szolgáltatásokhoz készült parancsmagok használatára
Hatékonyabb címkéket használni a fájlok besorolásához és védelméhez, mert csak két parancsmagra van szükség, amelyek önállóan vagy együtt futtathatók: Get-AIPFileStatus és Set-AIPFileLabel. Mindkét parancsmag súgójában találhat további információt és példákat.
Ha azonban az Azure Rights Management szolgáltatáshoz közvetlenül kapcsolódva szeretné biztosítani vagy feloldani a fájlok védelmét, ahhoz általában parancsmagok sorozatát kell futtatnia, az alábbiakban leírtak szerint.
Először is, ha a saját fiók használata helyett egy egyszerű szolgáltatásfiókkal kell hitelesítenie magát a Azure Tartalomvédelmi szolgáltatások szolgáltatásban, egy PowerShell-munkamenetben írja be a következőt:
Set-RMSServerAuthentication
Ha a rendszer kéri, adja meg a három azonosítót a 3. előfeltétel: Fájlok védelmének biztosítása vagy feloldása felhasználói beavatkozás nélkül című szakaszban leírtak szerint.
Ahhoz, hogy biztosíthassa a fájlok védelmét, le kell töltenie a Rights Management-sablonokat a számítógépre, és el kell döntenie, melyiket szeretné használni, illetve meg kell határoznia az ahhoz tartozó azonosítószámot. A kimenetből ekkor kimásolhatja a sablonazonosítót:
Get-RMSTemplate
A kimenet az alábbihoz hasonló lehet:
TemplateId : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo : en-US
Description : This content is proprietary information intended for internal users only. This content cannot be modified.
Name : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate : True
TemplateId : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo : en-US
Description : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate : True
FromTemplate : True
Fontos megjegyezni, hogy ha nem futtatta az RMSServerAuthentication parancsot, akkor a rendszer a saját felhasználói fiókját fogja használni az Azure Rights Management szolgáltatásban való hitelesítéshez. Ha tartományhoz csatlakozó számítógépet használ, a rendszer minden esetben automatikusan az aktuális hitelesítő adatait fogja használni. Ha munkacsoporthoz tartozó számítógépet használ, a rendszer kérni fogja, hogy jelentkezzen be az Azure-ba, és ezután gyorsítótárazza ezeket a hitelesítő adatokat a további parancsokhoz. Ha ebben az esetben később másik felhasználóként kell bejelentkeznie, használja a Clear-RMSAuthentication
parancsmagot.
Most, hogy már ismeri a sablonazonosítót, azt a Protect-RMSFile
parancsmaggal használva biztosíthatja egy adott fájl vagy egy mappában található összes fájl védelmét. Ha például csak egy adott fájlt védelmét szeretné biztosítani az eredeti felülírásával és a „Contoso, Ltd - Confidential” sablon használatával:
Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0
A kimenet az alábbihoz hasonló lehet:
InputFile EncryptedFile
--------- -------------
C:\Test.docx C:\Test.docx
Ha egy mappában található összes fájl védelmét szeretné biztosítani, használja a -Folder paramétert egy meghajtóbetűjellel és egy elérési úttal, vagy egy UNC elérési úttal. Például:
Protect-RMSFile -Folder \Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0
A kimenet az alábbihoz hasonló lehet:
InputFile EncryptedFile
--------- -------------
\Server1\Documents\Test1.docx \Server1\Documents\Test1.docx
\Server1\Documents\Test2.docx \Server1\Documents\Test2.docx
\Server1\Documents\Test3.docx \Server1\Documents\Test3.docx
\Server1\Documents\Test4.docx \Server1\Documents\Test4.docx
Ha a fájlnévkiterjesztés nem módosul a védelem alkalmazása után, akkor a későbbiekben bármikor használhatja a Get-RMSFileStatus
parancsmagot annak ellenőrzésére, hogy a fájl védett-e. Például:
Get-RMSFileStatus -File \Server1\Documents\Test1.docx
A kimenet az alábbihoz hasonló lehet:
FileName Status
-------- ------
\Server1\Documents\Test1.docx Protected
Egy fájl védelmének feloldásához tulajdonosi vagy kinyeri jogosultságokkal kell rendelkeznie a fájl védelmének időpontjában. Vagy a parancsmagokat felügyelőként kell futtatnia. Ezután használja az Unprotect parancsmagot. Például:
Unprotect-RMSFile C:\test.docx -InPlace
A kimenet az alábbihoz hasonló lehet:
InputFile DecryptedFile
--------- -------------
C:\Test.docx C:\Test.docx
Vegye figyelembe, hogy a Rights Management-sablonok megváltozásakor újra le kell, hogy töltse azokat a Get-RMSTemplate -force
használatával.
Active Directory tartalomvédelmi szolgáltatások
Olvassa el ezt a szakaszt, mielőtt megkezdi a PowerShell-parancsok fájlok védelmének biztosításához vagy feloldásához való használatát, ha a szervezet csak az Active Directory Rights Management Services szolgáltatást használja.
Előfeltételek
Az AzureInformationProtection modul telepítésének előfeltételein kívül a fájlok védelméhez vagy feloldásához használt fióknak olvasási és végrehajtási engedéllyel kell rendelkeznie a ServerCertification.asmx eléréséhez:
Jelentkezzen be egy AD RMS-kiszolgálóra.
Kattintson a Start, majd a Számítógép lehetőségre.
A Fájlkezelő lépjen a %systemdrive%\Initpub\wwwroot_wmsc\Certification elemre.
Kattintson a jobb gombbal a ServerCertification.asmx elemre, majd kattintson a Tulajdonságok lehetőségre.
A ServerCertification.asmx tulajdonságai párbeszédpanelen kattintson a Biztonság fülre.
Kattintson a Folytatás vagy a Szerkesztés gomb egyikére.
A ServerCertification.asmx engedélyei párbeszédpanelen kattintson a Hozzáadás gombra.
Adja hozzá a fióknevet. Ha más AD RMS-rendszergazdák vagy szolgáltatásfiókok is ezeket a parancsmagokat használják a fájlok védelmére és védelmének feloldására, vegye fel ezeket a fiókokat is.
Ha nem interaktív módon szeretné védeni vagy feloldani a fájlok védelmét, adja hozzá a megfelelő számítógépfiókot vagy -fiókokat. Adja hozzá például a Fájlbesorolási infrastruktúrához konfigurált Windows Server-számítógép számítógépfiókját, és egy PowerShell-szkriptet használ a fájlok védelméhez.
Győződjön meg arról, hogy az Engedélyezés oszlopban be van jelölve az Olvasás és végrehajtás és az Olvasás jelölőnégyzet.
10. Kattintson kétszer az OK gombra.
Példaforgatókönyvek az Active Directory Rights Management Services szolgáltatáshoz készült PowerShell-parancsmagok használatához
A parancsmagok használatának egy tipikus esete egy mappában található összes fájl védetté tétele egy jogmegadási sablonnal, illetve egy fájl védelmének feloldása.
Ha az AD RMS több üzemelő példányával rendelkezik, először szükség lesz az AD RMS-kiszolgálók nevére. Ezekhez úgy férhet hozzá, hogy a Get-RMSServer parancsmaggal megjeleníti a rendelkezésre álló kiszolgálók listáját:
Get-RMSServer
A kimenet az alábbihoz hasonló lehet:
Number of RMS Servers that can provide templates: 2
ConnectionInfo DisplayName AllowFromScratch
-------------- ------------- ----------------
Microsoft.InformationAnd… RmsContoso True
Microsoft.InformationAnd… RmsFabrikam True
Ahhoz, hogy biztosíthassa a fájlok védelmét, be kell olvasnia az RMS-sablonok listáját, hogy eldöntse, melyiket szeretné használni, és hogy meg tudja határozni annak az ahhoz tartozó azonosítószámot. Csak akkor kell megadnia az RMS-kiszolgálót is, ha több AD RMS-telepítéssel rendelkezik.
A kimenetből ekkor kimásolhatja a sablonazonosítót:
Get-RMSTemplate -RMSServer RmsContoso
A kimenet az alábbihoz hasonló lehet:
TemplateId : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo : en-US
Description : This content is proprietary information intended for internal users only. This content cannot be modified.
Name : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate : True
TemplateId : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo : en-US
Description : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate : True
FromTemplate : True
Most, hogy már ismeri a sablonazonosítót, azt a Protect-RMSFile parancsmaggal használva biztosíthatja egy adott fájl vagy egy mappában található összes fájl védelmét. Ha például csak egy adott fájlt védelmét szeretné biztosítani az eredeti cseréjével és a „Contoso, Ltd - Confidential” sablon használatával:
Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0
A kimenet az alábbihoz hasonló lehet:
InputFile EncryptedFile
--------- -------------
C:\Test.docx C:\Test.docx
Ha egy mappában található összes fájl védelmét szeretné biztosítani, használja a -Folder paramétert egy meghajtóbetűjellel és egy elérési úttal, vagy egy UNC elérési úttal. Például:
Protect-RMSFile -Folder \\Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0
A kimenet az alábbihoz hasonló lehet:
InputFile EncryptedFile
--------- -------------
\\Server1\Documents\Test1.docx \\Server1\Documents\Test1.docx
\\Server1\Documents\Test2.docx \\Server1\Documents\Test2.docx
\\Server1\Documents\Test3.docx \\Server1\Documents\Test3.docx
\\Server1\Documents\Test4.docx \\Server1\Documents\Test4.docx
Ha a fájlnévkiterjesztés nem változik a védelem alkalmazása után, később mindig használhatja a Get-RMSFileStatus parancsmagot annak ellenőrzéséhez, hogy a fájl védett-e. Például:
Get-RMSFileStatus -File \\Server1\Documents\Test1.docx
A kimenet az alábbihoz hasonló lehet:
FileName Status
-------- ------
\\Server1\Documents\Test1.docx Protected
A fájlok védelmének feloldásához tulajdonosi vagy kigyűjtési használati jogosultságokkal kell rendelkeznie a fájl védelmének időpontjától kezdve, vagy az AD RMS felügyelőjének kell lennie. Ezután használja az Unprotect parancsmagot. Például:
Unprotect-RMSFile C:\test.docx -InPlace
A kimenet az alábbihoz hasonló lehet:
InputFile DecryptedFile
--------- -------------
C:\Test.docx C:\Test.docx
Fájlok nem interaktív címkézése az Azure Information Protection szolgáltatáshoz
A címkézési parancsmagokat nem interaktív módon is futtathatja a Set-AIPAuthentication parancsmag használatával. Az Azure Information Protection scannerhez nem interaktív műveletre is szükség van.
By default, when you run the cmdlets for labeling, the commands run in your own user context in an interactive PowerShell session. Felügyelet nélküli futtatásukhoz először hozzon létre egy új, kifejezetten erre a célra szolgáló Azure AD felhasználói fiókot. Ezután futtassa a Set-AIPAuthentication parancsmagot ennek a felhasználónak a környezetében, és egy Azure AD-s hozzáférési jogkivonatot használva mentse a hitelesítő adatokat. Ezután a rendszer hitelesíti ezt a felhasználói azonosítót, és betölti az Azure Rights Management szolgáltatáshoz. A fiók letölti az Azure Information Protection-szabályzatot és a címkék által használt valamennyi Rights Management-sablont.
Megjegyzés
Ha hatókörön belüli szabályzatokat használ, ne feledje, hogy előfordulhat, hogy hozzá kell adnia ezt a fiókot a hatókörrel kapcsolatos szabályzataihoz.
A parancsmag első futtatásakor a rendszer kérni fogja, hogy jelentkezzen be az Azure Information Protection-ügyfélbe. Adja meg a felügyelet nélküli felhasználó számára létrehozott felhasználói fiók nevét és jelszavát. Ettől kezdve ez a fiók nem interaktív módon tudja futtatni a címkéző parancsmagokat, amíg a hitelesítési jogkivonat le nem jár.
Ahhoz, hogy a felhasználói fiók először tudjon interaktívan bejelentkezni, a fióknak helyileg be kell jelentkeznie . Ez a jogosultság a felhasználói fiókok esetében szokásos, de a vállalati szabályzatok tilthatják ezt a konfigurációt a szolgáltatásfiókok esetében. Ebben az esetben futtathatja Set-AIPAuthentication a Token paraméterrel, hogy a hitelesítés a bejelentkezési kérés nélkül befejeződjön. Ezt a parancsot ütemezett feladatként futtathatja, és a fióknak a Bejelentkezés kötegelt feladatként lehetőség jobb alsó sarkában adhatja meg. További információt a következő szakaszokban talál.
Amikor a jogkivonat lejár, futtassa újra a parancsmagot egy új jogkivonat beszerzéséhez.
Ha a parancsmagot paraméterek megadása nélkül futtatja, a fiók egy 90 napig, vagy a jelszó lejárati dátumáig érvényes hozzáférési jogkivonatot kap a rendszertől.
Ha szeretné szabályozni a hozzáférési jogkivonat érvényességi idejét, a parancsmagot paraméterekkel kell futtatnia. Így beállíthatja, hogy a hozzáférési jogkivonat egy évig, két évig vagy korlátlan ideig legyen érvényes. Ehhez azonban arra van szükség, hogy az Azure Active Directoryben regisztrálva legyen két alkalmazása: egy Webalkalmazás/API alkalmazás és egy natív alkalmazás. A parancsmag paraméterei ugyanis ezekből az alkalmazásokból használják az értékeket.
Ennek a parancsmagnak a futtatása után már futtathatóak lesznek a címkéző parancsmagok a létrehozott felhasználói fiók környezetében.
A Set-AIPAuthentication parancsmaghoz tartozó Azure AD-alkalmazások létrehozása és beállítása
Jelentkezzen be az Azure Portalra egy új böngészőablakból.
Az Azure Information Protection Azure AD bérlőjéhez lépjen az Azure Active Directory>Kezelése>Alkalmazásregisztrációk.
Válassza az + Új regisztráció lehetőséget a webalkalmazás /API-alkalmazás létrehozásához. Az Alkalmazás regisztrálása panelen adja meg a következő értékeket, majd kattintson a Regisztráció gombra:
Név:
AIPOnBehalfOf
Tetszés szerint adjon meg egy másik nevet. Ennek bérlőnként egyedinek kell lennie.
Támogatott fióktípusok: Csak ebben a szervezeti címtárban lévő fiókok
Átirányítási URI (nem kötelező): Web és
http://localhost
Az AIPOnBehalfOf panelen másolja ki az alkalmazás (ügyfél) azonosítójának értékét. Az érték a következő példához hasonlóan néz ki:
57c3c1c3-abf9-404e-8b2b-4652836c8c66
. Ez az érték a WebAppId paraméterhez használatos a Set-AIPAuthentication parancsmag futtatásakor. Illessze be és mentse az értéket későbbi referenciaként.Továbbra is az AIPOnBehalfOf panel Kezelés menüjében válassza a Hitelesítés lehetőséget.
Az AIPOnBehalfOf – Hitelesítés panel Speciális beállítások szakaszában jelölje be az Azonosító jogkivonatok jelölőnégyzetet, majd válassza a Mentés lehetőséget.
Továbbra is az AIPOnBehalfOf – Hitelesítés panel Kezelés menüjében válassza a Tanúsítványok & titkos kulcsok lehetőséget.
Az AIPOnBehalfOf – Tanúsítványok & titkos kulcsok panel Ügyfélkódok szakaszában válassza az + Új titkos ügyfélkód lehetőséget.
Az Ügyfélkód hozzáadása beállításnál adja meg a következőket, majd válassza a Hozzáadás lehetőséget:
- Leírás:
Azure Information Protection client
- Lejárat: Adja meg a választott időtartamot (1 év, 2 év vagy soha nem jár le)
- Leírás:
Térjen vissza az AIPOnBehalfOf – Tanúsítványok & titkos kulcsokpanelre, az Ügyfél titkos kódja szakaszában másolja ki az ÉRTÉK sztringet. Ez a sztring a következő példához hasonlóan néz ki:
+LBkMvddz?WrlNCK5v0e6_=meM59sSAn
. Az összes karakter másolásához jelölje ki a Vágólapra másolás ikont.Ezt a sztringet fontos elmenteni, mert többször nem jeleníti meg a rendszer, és nem lesz visszanyerhető. A használt bizalmas adatokhoz hasonlóan a mentett értékeket is biztonságosan tárolhatja, és korlátozhatja a hozzáférését.
Továbbra is az AIPOnBehalfOf – Tanúsítványok & titkos kulcsokpanelen , a Kezelés menüben válassza az API közzététele lehetőséget.
Az AIPOnBehalfOf – API közzététele panelen válassza a Beállítás lehetőséget az Alkalmazásazonosító URI beállításnál, majd az Alkalmazásazonosító URI értékeként módosítsa az API-thttp-ra. Ez a sztring a következő példához hasonlóan néz ki:
http://d244e75e-870b-4491-b70d-65534953099e
.Kattintson a Mentés gombra.
Térjen vissza az AIPOnBehalfOf – API-panel közzététele elemre, és válassza a + Hatókör hozzáadása lehetőséget.
A Hatókör hozzáadása panelen adja meg a következőket, példákként használja a javasolt sztringeket, majd válassza a Hatókör hozzáadása lehetőséget:
- Hatókör neve:
user-impersonation
- Kik adhatnak hozzájárulást?: Rendszergazdák és felhasználók
- Rendszergazda hozzájárulás megjelenítendő neve:
Access Azure Information Protection scanner
- Rendszergazda hozzájárulás leírása:
Allow the application to access the scanner for the signed-in user
- Felhasználói hozzájárulás megjelenítendő neve:
Access Azure Information Protection scanner
- Felhasználói hozzájárulás leírása:
Allow the application to access the scanner for the signed-in user
- Állapot: Engedélyezve (alapértelmezett)
- Hatókör neve:
Lépjen vissza az AIPOnBehalfOf – API-panel közzététele lapra, zárja be ezt a panelt.
Válassza az API-engedélyek lehetőséget.
Az AIPOnBehalfOf | API-engedélyek panelen válassza a + Engedély hozzáadása lehetőséget.
Válassza az Azure Right Management lehetőséget, válassza a Delegált engedélyek , majd a Védett tartalom létrehozása és elérése a felhasználók számára lehetőséget.
Kattintson az Engedély hozzáadása elemre.
Az API-engedélyek panelen, a Hozzájárulás megadása szakaszban válassza az
Grant admin consent for <your tenant name>
Igen lehetőséget a megerősítési kéréshez.Az Alkalmazásregisztrációk panelen válassza az + Új alkalmazásregisztráció lehetőséget a natív alkalmazás létrehozásához.
Az Alkalmazás regisztrálása panelen adja meg a következő beállításokat, majd válassza a Regisztráció lehetőséget:
- Név:
AIPClient
- Támogatott fióktípusok: Csak ebben a szervezeti címtárban lévő fiókok
- Átirányítási URI (nem kötelező): Nyilvános ügyfél (mobil & asztali) és
http://localhost
- Név:
Az AIPClient panelen másolja ki az alkalmazás (ügyfél) azonosítójának értékét. Az érték a következő példához hasonlóan néz ki:
8ef1c873-9869-4bb1-9c11-8313f9d7f76f
.Ez az érték a NativeAppId paraméterhez használatos a Set-AIPAuthentication parancsmag futtatásakor. Illessze be és mentse az értéket későbbi referenciaként.
Továbbra is az AIPClient panel Kezelés menüjében válassza a Hitelesítés lehetőséget.
Az AIPClient – Hitelesítés panel Kezelés menüjében válassza az API-engedélyek elemet.
Az AIPClient – engedélyek panelen válassza a + Engedély hozzáadása lehetőséget.
Az API-engedélyek kérése panelen válassza a Saját API-k lehetőséget.
Az API kiválasztása szakaszban válassza az APIOnBehalfOf lehetőséget, majd jelölje be a felhasználó megszemélyesítésének jelölőnégyzetét engedélyként. Válassza az Engedélyek hozzáadása lehetőséget.
Az API-engedélyek panelen, a Hozzájárulás megadása szakaszban válassza a Rendszergazdai hozzájárulás < megadása a bérlő nevének> lehetőséget, majd válassza az Igen lehetőséget a megerősítési kéréshez.
Ezzel befejezte a két alkalmazás konfigurálását, és rendelkezik a Set-AIPAuthentication futtatásához szükséges értékekkel a WebAppId, a WebAppKey és a NativeAppId paraméterekkel. A példáinkból:
Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "+LBkMvddz?WrlNCK5v0e6_=meM59sSAn" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f"
Futtassa ezt a parancsot annak a fióknak a környezetében, amely nem interaktív módon címkézi és védi a dokumentumokat. Például egy felhasználói fiók a PowerShell-szkriptekhez vagy a szolgáltatásfiókhoz az Azure Information Protection scanner futtatásához.
Amikor első alkalommal futtatja ezt a parancsot, a rendszer kérni fogja, hogy jelentkezzen be, amely létrehozza és biztonságosan tárolja a fiók hozzáférési jogkivonatát a következő helyen: %localappdata%\Microsoft\MSIP. A kezdeti bejelentkezés után nem interaktív módon címkézheti és védheti a fájlokat a számítógépen. Ha azonban szolgáltatásfiókot használ a fájlok címkézésére és védelmére, és ez a szolgáltatásfiók nem tud interaktívan bejelentkezni, használja az alábbi szakasz utasításait, hogy a szolgáltatásfiók jogkivonattal hitelesíthesse magát.
A Set-AIPAuthentication Token paraméterének megadása és használata
Az alábbi további lépések és utasítások segítségével elkerülheti a fájlok címkézését és védelmét biztosító fiókok kezdeti interaktív bejelentkezését. Ezek a további lépések általában csak akkor szükségesek, ha ez a fiók nem rendelkezik a helyi bejelentkezéshez szükséges jogosultságokkal, de a Bejelentkezés kötegelt feladatként jogosultságot kap. Ez lehet például az Azure Information Protection scannert futtató szolgáltatásfiók esetében.
Magas szintű lépések:
Hozzon létre egy PowerShell-szkriptet a helyi számítógépen.
A Set-AIPAuthentication futtatásával szerezze be a hozzáférési jogkivonatot, és másolja a vágólapra.
Módosítsa a PowerShell-szkriptet úgy, hogy tartalmazza a jogkivonatot.
Hozzon létre egy feladatot, amely a PowerShell-szkriptet a fájlokat címkéző és védő szolgáltatásfiók kontextusában futtatja.
Ellenőrizze, hogy a jogkivonat mentve van-e a szolgáltatásfiókhoz, és törölje a PowerShell-szkriptet.
1. lépés: PowerShell-szkript létrehozása a helyi számítógépen
A számítógépen hozzon létre egy új PowerShell-szkriptet Aipauthentication.ps1 néven.
Másolja és illessze be a következő parancsot ebbe a szkriptbe:
Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application> -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application > -Token <token value>
Az előző szakasz utasításait követve módosítsa ezt a parancsot a WebAppId, a WebAppkey és a NativeAppId paraméterek saját értékeinek megadásával. Jelenleg nem rendelkezik a Token paraméter értékével, amelyet később ad meg.
Például:
Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>
2. lépés: A hozzáférési jogkivonat lekéréséhez és a vágólapra másolásához futtassa a Set-AIPAuthentication
Nyisson meg egy Windows PowerShell-munkamenetet.
A szkriptben megadott értékeket használva futtassa a következő parancsot:
(Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application> -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application >).token | clip
Például:
(Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clip`
3. lépés: A PowerShell-szkript módosítása a jogkivonat megadásához
A PowerShell-szkriptben adja meg a jogkivonat értékét úgy, hogy beilleszti a sztringet a vágólapról, és menti a fájlt.
Írja alá a parancsfájlt. Ha nem írja alá a szkriptet (biztonságosabb), konfigurálnia kell Windows PowerShell a címkéző parancsokat futtató számítógépen. Futtasson például egy Windows PowerShell munkamenetet a Futtatás rendszergazdaként beállítással, és írja be a következőt:
Set-ExecutionPolicy RemoteSigned
. Ez a konfiguráció azonban lehetővé teszi az összes aláíratlan szkript futtatását, amikor a számítógépen vannak tárolva (kevésbé biztonságos).További információkat a Windows PowerShell-parancsfájlokról a PowerShell dokumentációs könyvtárban talál: about_Signing.
Másolja ezt a PowerShell-szkriptet arra a számítógépre, amely megjelöli és védi a fájlokat, és törli az eredetit a számítógépen. A PowerShell-szkriptet például egy Windows Server-számítógépen C:\Scripts\Aipauthentication.ps1 másolhatja.
4. lépés: PowerShell-szkriptet futtató feladat létrehozása
Győződjön meg arról, hogy a fájlokat címkéző és védő szolgáltatásfiók rendelkezik a Bejelentkezés kötegelt feladatként jogosultságokkal.
A fájlokat címkéző és védő számítógépen nyissa meg a Feladatütemezőt, és hozzon létre egy új feladatot. Konfigurálja ezt a feladatot úgy, hogy a fájlokat címkéző és védő szolgáltatásfiókként fusson, majd konfigurálja a következő értékeket a Műveletekhez:
Művelet:
Start a program
Program/szkript:
Powershell.exe
Argumentumok hozzáadása (nem kötelező):
-NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"
Az argumentumsorhoz adja meg a saját elérési útját és fájlnevét, ha ezek eltérnek a példától.
Manuálisan futtassa ezt a feladatot.
5. lépés: Győződjön meg arról, hogy a jogkivonat mentve van, és törölje a PowerShell-szkriptet
Győződjön meg arról, hogy a jogkivonat most már a szolgáltatásfiók-profil %localappdata%\Microsoft\MSIP mappájában van tárolva. Ezt az értéket a szolgáltatásfiók védi.
Törölje a jogkivonat értékét (például Aipauthentication.ps1) tartalmazó PowerShell-szkriptet.
Ha szeretné, törölje a feladatot. Ha a jogkivonat lejár, meg kell ismételnie ezt a folyamatot, ami esetben kényelmesebb lehet elhagyni a konfigurált feladatot, hogy újrafuttassa, amikor átmásolja az új PowerShell-szkriptet az új tokenértékkel.
Következő lépések
Ha egy PowerShell-munkamenetben segítségre van szüksége egy parancsmag futtatásához, írja be a Get-Help <cmdlet name> cmdlet
parancsot. A legfrissebb információkat az -online paraméter megadásával jelenítheti meg. Például:
Get-Help Get-RMSTemplate -online
Az Azure Information Protection-ügyfél támogatásához esetlegesen szükséges további tudnivalókért lásd az alábbiakat: