Rendszergazda útmutató: A PowerShell használata az Egységes Azure Information Protection-ügyféllel
Feljegyzés
Microsoft Purview információvédelem, korábban Microsoft Information Protection (MIP) szolgáltatást keres?
Az Azure Information Protection bővítmény ki van állítva, és a Microsoft 365-alkalmazásokba és -szolgáltatásokba beépített címkékre cserélődik. További információ a többi Azure Information Protection-összetevő támogatási állapotáról.
Az új Microsoft Information Protection-ügyfél (a bővítmény nélkül) jelenleg előzetes verzióban érhető el, és általános rendelkezésre állásra van ütemezve.
Az Azure Information Protection egyesített címkézési ügyfélprogramjának telepítésekor a PowerShell-parancsok automatikusan települnek az AzureInformationProtection modul részeként, a címkézéshez szükséges parancsmagokkal.
Az AzureInformationProtection modul lehetővé teszi az ügyfél felügyeletét automatizálási szkriptek parancsainak futtatásával.
Példa:
- Get-AIPFileStatus: Lekéri az Azure Information Protection címkéjét és védelmi adatait egy megadott fájlhoz vagy fájlhoz.
- Set-AIPFileClassification: Megvizsgálja a fájlokat, hogy automatikusan beállítson egy Azure Information Protection-címkét egy fájlhoz a szabályzatban konfigurált feltételeknek megfelelően.
- Set-AIPFileLabel: Beállít vagy eltávolít egy Azure Information Protection-címkét egy fájlhoz, és beállítja vagy eltávolítja a védelmet a címke konfigurációjának vagy egyéni engedélyeinek megfelelően.
- Set-AIPAuthentication: Beállítja az Azure Information Protection-ügyfél hitelesítési hitelesítő adatait.
Az AzureInformationProtection modul telepítve van a \ProgramFiles (x86)\Microsoft Azure Information Protection mappában, majd hozzáadja ezt a mappát a PSModulePath rendszerváltozóhoz. A modul .dll neve AIP.dll.
Fontos
Az AzureInformationProtection modul nem támogatja a címkék vagy címkeszabályzatok speciális beállításainak konfigurálását.
Ezekhez a beállításokhoz a Security & Compliance Center PowerShellre van szüksége. További információ: Az Azure Information Protection egyesített címkézési ügyfél egyéni konfigurációi.
Tipp.
A 260 karakternél hosszabb elérési úttal rendelkező parancsmagok használatához használja az alábbi csoportházirend-beállítást , amely a Windows 10 1607-es verziójától érhető el:
Helyi számítógépházirend számítógépkonfigurációja> Rendszergazda szkonfigurációs sablonok>Minden Gépház> Enable Win32 hosszú elérési útja>
Windows Server 2016 esetén ugyanazt a csoportházirend-beállítást használhatja a Windows 10 legújabb Rendszergazda istrative sablonjainak (.admx) telepítésekor.
További információkért tekintse meg a Windows 10 fejlesztői dokumentációjának Maximális elérési úthossz-korlátozás című szakaszát.
Az AzureInformationProtection modul használatának előfeltételei
Az AzureInformationProtection modul telepítésének előfeltételein kívül további előfeltételek is vannak az Azure Information Protection címkézési parancsmagjainak használatakor:
A Azure Tartalomvédelmi szolgáltatások szolgáltatást aktiválni kell.
Ha az Azure Information Protection-bérlő nincs aktiválva, tekintse meg a védelmi szolgáltatás Azure Information Protectionből való aktiválására vonatkozó utasításokat.
Ha a saját fiókjával szeretné eltávolítani mások fájljainak védelmét:
- A felügyelői funkciót engedélyezni kell a szervezet számára.
- A fiókját úgy kell konfigurálni, hogy a Azure Tartalomvédelmi szolgáltatások felügyelője legyen.
Előfordulhat például, hogy az adatok felderítése vagy helyreállítása érdekében el szeretné távolítani mások védelmét. Ha címkéket használ a védelem alkalmazásához, eltávolíthatja ezt a védelmet egy olyan új címke beállításával, amely nem alkalmaz védelmet, vagy eltávolíthatja a címkét.
A védelem eltávolításához használja a Set-AIPFileLabel parancsmagot a RemoveProtection paraméterrel. Bizonyos esetekben előfordulhat, hogy az eltávolítás elleni védelem alapértelmezés szerint le van tiltva, és először engedélyezni kell a Set-LabelPolicy parancsmaggal.
RMS az egyesített címkézési parancsmagok leképezéséhez
Ha az Azure RMS-ből migrált, vegye figyelembe, hogy az RMS-hez kapcsolódó parancsmagok elavultak az egységes címkézéshez való használatra.
Az örökölt parancsmagok némelyikét új, egységes címkézésre szolgáló parancsmagok váltották fel. Ha például a New-RMSProtectionLicense-t az RMS-védelemmel használta, és egyesített címkézésre migrált, használja helyette a New-AIPCustomPermissions parancsot.
Az alábbi táblázat az RMS-hez kapcsolódó parancsmagokat az egységes címkézéshez használt frissített parancsmagokkal képezi le:
RMS-parancsmag | Egységes címkézési parancsmag |
---|---|
Get-RMSFileStatus | Get-AIPFileStatus |
Get-RMSServer | Az egységes címkézés szempontjából nem releváns. |
Get-RMSServerAuthentication | Set-AIPAuthentication |
Clear-RMSAuthentication | Set-AIPAuthentication |
Set-RMSServerAuthentication | Set-AIPAuthentication |
Get-RMSTemplate | Az egységes címkézés szempontjából nem releváns. |
New-RMSProtectionLicense | New-AIPCustomPermissions és Set-AIPFileLabel, a CustomPermissions paraméterrel. |
Protect-RMSFile | Set-AIPFileLabel |
Az RMSFile védelmének megszüntetése | Set-AIPFileLabel, a RemoveProtection paraméterrel. |
Fájlok nem interaktív címkézése az Azure Information Protection számára
Alapértelmezés szerint a címkézéshez használt parancsmagok futtatásakor a parancsok a saját felhasználói környezetében futnak egy interaktív PowerShell-munkamenetben.
További információkért lásd:
- Az AIP címkézési parancsmagok felügyelet nélküli futtatásának előfeltételei
- Microsoft Entra-alkalmazások létrehozása és konfigurálása Set-AIPAuthentication-hez
- A Set-AIPAuthentication parancsmag futtatása
Feljegyzés
Ha a számítógép nem rendelkezik internet-hozzáféréssel, nem kell létrehoznia az alkalmazást a Microsoft Entra-azonosítóban, és futtatnia kell a Set-AIPAuthentication parancsmagot. Ehelyett kövesse a leválasztott számítógépekre vonatkozó utasításokat.
Az AIP címkézési parancsmagok felügyelet nélküli futtatásának előfeltételei
Az Azure Information Protection címkézési parancsmagok felügyelet nélküli futtatásához használja a következő hozzáférési adatokat:
Egy Windows-fiók , amely interaktívan tud bejelentkezni.
Microsoft Entra-fiók delegált hozzáféréshez. Az egyszerű felügyelet érdekében használjon egyetlen fiókot, amely szinkronizálva van az Active Directoryból a Microsoft Entra-azonosítóba.
A delegált felhasználói fiók esetében:
Követelmény Részletek Címkeszabályzat Győződjön meg arról, hogy rendelkezik ehhez a fiókhoz hozzárendelt címkeszabályzattal, és hogy a szabályzat tartalmazza a használni kívánt közzétett címkéket.
Ha különböző felhasználókhoz használ címkeházirendeket, előfordulhat, hogy létre kell hoznia egy új címkeházirendet, amely közzéteszi az összes címkét, és közzé kell tennie a szabályzatot csak ebben a delegált felhasználói fiókban.Tartalom visszafejtése Ha ennek a fióknak vissza kell fejtenie a tartalmat, például a fájlok ismételt védelméhez és a mások által védett fájlok vizsgálatához, tegye az Azure Information Protection felügyelő felhasználójának , és győződjön meg arról, hogy a felügyelői funkció engedélyezve van. Előkészítési vezérlők Ha bevezetési vezérlőket vezetett be egy fázisos üzembe helyezéshez, győződjön meg arról, hogy ez a fiók szerepel a konfigurált előkészítési vezérlőkben. Egy Microsoft Entra hozzáférési jogkivonat, amely beállítja és tárolja a delegált felhasználó hitelesítő adatait az Azure Information Protectionben való hitelesítéshez. Amikor a Microsoft Entra-azonosítóban lévő jogkivonat lejár, újra kell futtatnia a parancsmagot egy új jogkivonat beszerzéséhez.
A Set-AIPAuthentication paraméterei egy alkalmazásregisztrációs folyamat értékeit használják a Microsoft Entra ID-ban. További információ: Microsoft Entra-alkalmazások létrehozása és konfigurálása Set-AIPAuthentication-hez.
Futtassa a címkézési parancsmagokat nem interaktív módon a Set-AIPAuthentication parancsmag futtatásával.
Az AIPAuthentication parancsmagot futtató számítógép letölti a Microsoft Purview megfelelőségi portál delegált felhasználói fiókjához rendelt címkézési szabályzatot.
Microsoft Entra-alkalmazások létrehozása és konfigurálása Set-AIPAuthentication-hez
A Set-AIPAuthentication parancsmaghoz alkalmazásregisztráció szükséges az AppId és az AppSecret paraméterekhez.
Új alkalmazásregisztráció létrehozása az egyesített címkéző ügyfél set-AIPAuthentication parancsmagja számára:
Egy új böngészőablakban jelentkezzen be az Azure Portalra az Azure Information Protection szolgáltatással használt Microsoft Entra-bérlőbe.
Lépjen a Microsoft Entra ID>Manage> Alkalmazásregisztrációk lapra, és válassza az Új regisztráció lehetőséget.
Az Alkalmazás regisztrálása panelen adja meg a következő értékeket, majd kattintson a Regisztráció gombra:
Lehetőség Érték Név AIP-DelegatedUser
Szükség szerint adjon meg egy másik nevet. A névnek bérlőnként egyedinek kell lennie.Támogatott fióktípusok Csak ebben a szervezeti címtárban válassza a Fiókok lehetőséget. Átirányítási URI (nem kötelező) Válassza a Web lehetőséget, majd írja be a kívánt értéket https://localhost
.Az AIP-DelegatedUser panelen másolja ki az alkalmazás (ügyfél) azonosítójának értékét.
Az érték a következő példához hasonlóan néz ki:
77c3c1c3-abf9-404e-8b2b-4652836c8c66
.Ezt az értéket az AppId paraméterhez használja a Set-AIPAuthentication parancsmag futtatásakor. Illessze be és mentse az értéket későbbi hivatkozásra.
Az oldalsávon válassza a Tanúsítványok kezelése>> titkos kulcsok lehetőséget.
Ezután az AIP-DelegatedUser – Tanúsítványok > titkos kódok panelEn, az Ügyfél titkos kulcsok szakaszában válassza az Új ügyfélkulcs lehetőséget.
Ügyfélkód hozzáadása esetén adja meg a következőket, majd válassza a Hozzáadás elemet:
Mező Érték Leírás Azure Information Protection unified labeling client
Lejár Adja meg a választott időtartamot (1 év, 2 év vagy soha nem jár le) Az AIP-DelegatedUser – Tanúsítványok > titkos kódok panelen, az Ügyfél titkos kulcsok szakaszában másolja ki az ÉRTÉK sztringet.
Ez a sztring a következő példához hasonlóan néz ki:
OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4
.Az összes karakter másolásához jelölje ki a vágólapra másolandó ikont.
Fontos
Fontos, hogy mentse ezt a sztringet, mert nem jelenik meg újra, és nem kérhető le. A használt bizalmas információkhoz hasonlóan a mentett értéket is biztonságosan tárolhatja, és korlátozhatja a hozzáférését.
Az oldalsávon válassza az API-engedélyek kezelése>lehetőséget.
Az AIP-DelegatedUser – API engedélypanelen válassza az Engedély hozzáadása lehetőséget.
A Kérelem API engedélypaneljén győződjön meg arról, hogy a Microsoft API-k lapon van, és válassza Azure Tartalomvédelmi szolgáltatások Szolgáltatások lehetőséget.
Amikor a rendszer kéri az alkalmazás által igényelt engedélyek típusát, válassza az Alkalmazásengedélyek lehetőséget.
Az Engedélyek kiválasztása területen bontsa ki a Tartalom elemet, és válassza a következőt, majd válassza az Engedélyek hozzáadása lehetőséget.
- Content.DelegatedReader
- Content.DelegatedWriter
Az AIP-DelegatedUser – API engedélypaneljén válassza ismét az Engedély hozzáadása lehetőséget.
Az AIP kérése engedélypanelen válassza ki a szervezet által használt API-kat, és keressen rá a Microsoft Information Protection Szinkronizálási szolgáltatásra.
A Kérelem API-engedélyek panelen válassza az Alkalmazásengedélyek lehetőséget.
Az engedélyek kiválasztásához bontsa ki az UnifiedPolicy elemet, válassza az UnifiedPolicy.Tenant.Read lehetőséget, majd válassza az Engedélyek hozzáadása lehetőséget.
Az AIP-DelegatedUser – API engedélypaneljénválassza a Bérlő nevének> rendszergazdai hozzájárulásának< megadása lehetőséget, és válassza az Igen lehetőséget a megerősítést kérő üzenethez.
Az API-engedélyeknek a következő képhez hasonlóan kell kinéznie:
Most, hogy befejezte az alkalmazás regisztrációját egy titkos kóddal, készen áll a Set-AIPAuthentication futtatására az AppId és az AppSecret paraméterekkel. Emellett szüksége lesz a bérlőazonosítóra is.
Tipp.
A bérlőazonosítót gyorsan átmásolhatja az Azure Portalon: Microsoft Entra ID>Manage>Properties>Directory ID.
A Set-AIPAuthentication parancsmag futtatása
Nyissa meg a Windows PowerShellt a Futtatás rendszergazdaként lehetőséggel.
A PowerShell-munkamenetben hozzon létre egy változót a windowsos felhasználói fiók hitelesítő adatainak tárolására, amely nem interaktív módon fog futni. Ha például létrehozott egy szolgáltatásfiókot a képolvasóhoz:
$pscreds = Get-Credential "CONTOSO\srv-scanner"
A rendszer kéri ennek a fióknak a jelszavát.
Futtassa a Set-AIPAuthentication parancsmagot az OnBeHalfOf paraméterrel, és adja meg annak értékeként a létrehozott változót.
Adja meg az alkalmazásregisztrációs értékeket, a bérlőazonosítót és a delegált felhasználói fiók nevét a Microsoft Entra ID-ban. Példa:
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
A PowerShell-parancsmagok gyakori paraméterei
A gyakori paraméterekkel kapcsolatos információkért tekintse meg a gyakori paramétereket ismertető témakört.
Következő lépések
Ha powerShell-munkamenetben van, a parancsmag súgóját írja be Get-Help <cmdlet name> -online
. Példa:
Get-Help Set-AIPFileLabel -online
További információkért lásd:
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: