Share via

RMS-védelem és Windows Server fájlbesorolási infrastruktúra (FCI)

  • Cikk

Ez a cikk útmutatást és szkriptet tartalmaz az Azure Information Protection-ügyfél és a PowerShell használatához a Fájlkiszolgálói Resource Manager és a Fájlbesorolási infrastruktúra (FCI) konfigurálásához.

Ezzel a megoldással automatikusan megvédheti a Windows Servert futtató fájlkiszolgálók mappáiban lévő összes fájlt, vagy automatikusan megvédheti azokat a fájlokat, amelyek megfelelnek egy adott feltételnek. Például bizalmas vagy bizalmas információkat tartalmazóként besorolt fájlok. Ez a megoldás közvetlenül az Azure Information Protection Azure Tartalomvédelmi szolgáltatások szolgáltatásához csatlakozik a fájlok védelméhez, ezért ezt a szolgáltatást üzembe kell helyeznie a szervezet számára.

Megjegyzés:

Bár az Azure Information Protection tartalmaz egy olyan összekötőt, amely támogatja a fájlbesorolási infrastruktúrát, ez a megoldás csak a natív védelmet támogatja, például az Office-fájlokat.

Ha több fájltípust szeretne támogatni a Windows Server fájlbesorolási infrastruktúrájával, a jelen cikkben ismertetett PowerShell AzureInformationProtection modult kell használnia. Az Azure Information Protection-parancsmagok, például az Azure Information Protection-ügyfél, támogatják az általános védelmet és a natív védelmet, ami azt jelenti, hogy az Office-dokumentumoktól eltérő fájltípusok védhetők. További információ: Az Azure Information Protection-ügyfél által támogatott fájltípusok az Azure Information Protection-ügyfél rendszergazdai útmutatójában.

Az alábbi utasítások a Windows Server 2012 R2 vagy a Windows Server 2012 rendszerhez tartoznak. Ha a Windows más támogatott verzióit futtatja, előfordulhat, hogy módosítania kell az operációs rendszer verziója és a jelen cikkben dokumentált verziók közötti különbségek néhány lépését.

A Windows Server FCI-vel való Azure Tartalomvédelmi szolgáltatások védelem előfeltételei

Az utasítások előfeltételei:

  • Minden olyan fájlkiszolgálón, ahol a Fájlerőforrás-kezelőt fájlbesorolási infrastruktúrával fogja futtatni:

    • Telepítette a Fájlkiszolgálói erőforrás-kezelőt a Fájlszolgáltatások szerepkör egyik szerepkör-szolgáltatásaként.

    • Azonosított egy helyi mappát, amely a Rights Managementdel védendő fájlokat tartalmaz. Például: C:\FileShare.

    • Telepítette az AzureInformationProtection PowerShell-modult, és konfigurálta a modul előfeltételeit a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz való csatlakozáshoz.

      Az AzureInformationProtection PowerShell modul az Azure Information Protection-ügyfél részét képezi. A telepítési utasításokért tekintse meg az Azure Information Protection-ügyfél telepítését a felhasználók számára az Azure Information Protection felügyeleti útmutatójában. Szükség esetén csak a PowerShell-modult telepítheti a PowerShellOnly=true paraméterrel.

      A PowerShell-modul használatának előfeltételei közé tartozik a Azure Tartalomvédelmi szolgáltatások szolgáltatás aktiválása, egy egyszerű szolgáltatás létrehozása és a beállításjegyzék szerkesztése, ha a bérlő nem Észak-Amerika. Mielőtt elkezdené a cikkben ismertetett utasításokat, győződjön meg arról, hogy rendelkezik a BposTenantId, az AppPrincipalId és a Szimmetrikus kulcs értékeinek az előfeltételekben leírtak szerint.

    • Ha módosítani szeretné az adott fájlnévkiterjesztések alapértelmezett védelmi szintjét (natív vagy általános), a beállításjegyzéket a rendszergazdai útmutató fájlok alapértelmezett védelmi szintjének módosítása című szakaszában leírtak szerint szerkesztette.

    • Van internetkapcsolata, és konfigurálta a számítógép beállításait, ha ezek szükségesek egy proxykiszolgálóhoz. Például: netsh winhttp import proxy source=ie

  • Szinkronizálta helyi Active Directory felhasználói fiókját a Microsoft Entra-azonosítóval vagy a Microsoft 365-ös azonosítóval, beleértve az e-mail-címüket is. Ez minden olyan felhasználó számára szükséges, aki az FCI és a Azure Tartalomvédelmi szolgáltatások szolgáltatás által védett fájlok eléréséhez szükséges. Ha nem teszi meg ezt a lépést (például tesztkörnyezetben), előfordulhat, hogy a felhasználók nem férnek hozzá ezekhez a fájlokhoz. Ha további információra van szüksége erről a követelményről, olvassa el a felhasználók és csoportok előkészítése az Azure Information Protectionhez című témakört.

  • Ez a forgatókönyv nem támogatja a részlegsablonokat, ezért vagy olyan sablont kell használnia, amely nincs konfigurálva egy hatókörhöz, vagy a Set-AipServiceTemplateProperty parancsmagot és az EnableInLegacyApps paramétert kell használnia.

Utasítások a Fájlkiszolgálói Resource Manager FCI konfigurálásához Azure Tartalomvédelmi szolgáltatások védelemhez

Az alábbi utasításokat követve automatikusan megvédheti a mappában lévő összes fájlt egy PowerShell-szkript egyéni feladatként való használatával. Hajtsa végre az alábbi eljárásokat a következő sorrendben:

  1. A PowerShell-szkript mentése

  2. Besorolási tulajdonság létrehozása a Rights Managementhez (RMS)

  3. Besorolási szabály létrehozása (RMS-besorolás)

  4. A besorolási ütemezés konfigurálása

  5. Egyéni fájlkezelési feladat létrehozása (Fájlok védelme RMS-sel)

  6. A konfiguráció tesztelése a szabály és a feladat manuális futtatásával

Az utasítások végén a kijelölt mappában lévő összes fájl az RMS egyéni tulajdonságával lesz besorolva, és ezeket a fájlokat a Rights Management védi. Egy összetettebb konfigurációhoz, amely egyes fájlokat szelektíven véd, nem pedig másokat, létrehozhat vagy használhat egy másik besorolási tulajdonságot és szabályt egy olyan fájlkezelési feladattal, amely csak ezeket a fájlokat védi.

Vegye figyelembe, hogy ha módosítja az FCI-hez használt Rights Management-sablont, a parancsfájlt a fájlok védelmére futtató számítógépfiók nem kapja meg automatikusan a frissített sablont. Ehhez keresse meg a megjegyzést kiíró Get-RMSTemplate -Force parancsot a szkriptben, és távolítsa el a megjegyzés karakterét # . A frissített sablon letöltésekor (a szkript legalább egyszer futott), megjegyzést fűzhet a további parancshoz, hogy a sablonok ne legyenek szükségtelenül letöltve minden alkalommal. Ha a sablon módosítása elég fontos a fájlkiszolgálón lévő fájlok ismételt védelméhez, ezt interaktív módon teheti meg úgy, hogy a Protect-RMSFile parancsmagot egy olyan fiókkal futtatja, amely rendelkezik a fájlok exportálási vagy teljes hozzáférésű használati jogosultságával. Akkor is futnia Get-RMSTemplate -Force kell, ha közzétesz egy új sablont, amelyet az FCI-hez szeretne használni.

A Windows PowerShell-szkript mentése

  1. Másolja ki az Azure RMS-védelemhez készült Windows PowerShell-szkript tartalmát a File Server Resource Manager használatával. Illessze be a szkript tartalmát, és nevezze el az RMS-Protect-FCI.ps1 fájlt a saját számítógépén.

  2. Tekintse át a szkriptet, és végezze el a következő módosításokat:

    • Keresse meg a következő sztringet, és cserélje le a set-RMSServerAuthentication parancsmaggal a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz való csatlakozáshoz használt saját AppPrincipalId azonosítóra:

      <enter your AppPrincipalId here>

      A szkript például így nézhet ki:

      [Parameter(Mandatory = $false)]

      [Parameter(Mandatory = $false)] [string]$AppPrincipalId = "b5e3f76a-b5c2-4c96-a594-a0807f65bba4",

    • Keresse meg a következő sztringet, és cserélje le a saját szimmetrikus kulcsára, amelyet a Set-RMSServerAuthentication parancsmaggal használ a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz való csatlakozáshoz:

      <enter your key here>

      A szkript például így nézhet ki:

      [Parameter(Mandatory = $false)]

      [string]$SymmetricKey = "zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA="

    • Keresse meg a következő sztringet, és cserélje le a saját BposTenantId (bérlőazonosító) azonosítóra, amelyet a Set-RMSServerAuthentication parancsmaggal használ a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz való csatlakozáshoz:

      <enter your BposTenantId here>

      A szkript például így nézhet ki:

      [Parameter(Mandatory = $false)]

      [string]$BposTenantId = "23976bc6-dcd4-4173-9d96-dad1f48efd42",

  3. Írja alá a szkriptet. Ha nem írja alá a szkriptet (biztonságosabb), konfigurálnia kell a Windows PowerShellt az azt futtató kiszolgálókon. Futtasson például egy Windows PowerShell-munkamenetet a Futtatás Rendszergazda istrator beállítással, és írja be a következőt: Set-ExecutionPolicy RemoteSigned. Ez a konfiguráció azonban lehetővé teszi az összes aláíratlan szkript futtatását, amikor ezen a kiszolgálón vannak tárolva (kevésbé biztonságos).

    A Windows PowerShell-szkriptek aláírásával kapcsolatos további információkért lásd a About_Signing a PowerShell dokumentációs tárában.

  4. Mentse a fájlt helyileg minden olyan fájlkiszolgálón, amely fájlbesorolási infrastruktúrával futtatja a File Resource Managert. Mentse például a fájlt a C:\RMS-Protection fájlban. Ha másik elérési utat vagy mappanevet használ, válasszon egy szóközt nem tartalmazó elérési utat és mappát. Védje a fájlt NTFS-engedélyekkel, hogy a jogosulatlan felhasználók ne módosíthassák.

Most már készen áll a Fájlkiszolgálói erőforrás-kezelő konfigurálásának megkezdésére.

Besorolási tulajdonság létrehozása a Rights Managementhez (RMS)

  • A Fájlkiszolgálói erőforrás-kezelő besoroláskezelésében hozzon létre egy új helyi tulajdonságot:

    • Név: Írja be az RMS-t

    • Leírás: Típus Rights Management-védelem

    • Tulajdonságtípus: Válassza az Igen/Nem lehetőséget

    • Érték: Válassza az Igen lehetőséget

Most már létrehozhatunk egy besorolási szabályt, amely ezt a tulajdonságot használja.

Besorolási szabály létrehozása (RMS-besorolás)

  • Új besorolási szabály létrehozása:

    • Az Általános lapon:

      • Név: Type Classify for RMS

      • Engedélyezve: Az alapértelmezett érték megtartása, vagyis ez a jelölőnégyzet be van jelölve.

      • Leírás: Írja be a <Rights Management mappanévmappájának> összes fájljának besorolását.

        Cserélje le <a mappa nevét> a választott mappanévre. Osztályozza például az összes fájlt a Rights Management C:\FileShare mappájában

      • Hatókör: Adja hozzá a kiválasztott mappát. Például: C:\FileShare.

        Ne jelölje be a jelölőnégyzeteket.

    • A Besorolás lapon:

    • Besorolási módszer: Mappaosztályozó kiválasztása

    • Tulajdonság neve: Az RMS kiválasztása

    • Tulajdonság értéke: Válassza az Igen lehetőséget

Bár manuálisan is futtathatja a besorolási szabályokat, a folyamatban lévő műveletek esetében azt szeretné, hogy ez a szabály ütemezés szerint fusson, hogy az új fájlok az RMS tulajdonsággal legyenek besorolva.

A besorolási ütemezés konfigurálása

  • Az Automatikus besorolás lapon:

    • Rögzített ütemezés engedélyezése: Jelölje be ezt a jelölőnégyzetet.

    • Konfigurálja az összes besorolási szabály futtatásának ütemezését, amely tartalmazza az új szabályt a fájlok RMS-tulajdonsággal való besorolásához.

    • Új fájlok folyamatos besorolásának engedélyezése: Jelölje be ezt a jelölőnégyzetet az új fájlok besorolásához.

    • Nem kötelező: Végezze el a kívánt egyéb módosításokat, például a jelentések és értesítések beállításainak konfigurálását.

Most, hogy befejezte a besorolási konfigurációt, készen áll egy felügyeleti feladat konfigurálására az RMS-védelem fájlokra való alkalmazásához.

Egyéni fájlkezelési feladat létrehozása (Fájlok védelme RMS-sel)

  • A Fájlkezelési feladatok területen hozzon létre egy új fájlkezelési feladatot:

    • Az Általános lapon:

      • Feladat neve: Írja be a Fájlok védelme az RMS használatával

      • Jelölje be az Engedélyezés jelölőnégyzetet.

      • Leírás: Írja be a Fájlok védelme mappanévbe <> a Rights Managementet és egy sablont windowsos PowerShell-szkript használatával.

        Cserélje le <a mappa nevét> a választott mappanévre. Például : Fájlok védelme a C:\FileShare-ban a Rights Management használatával és egy sablon egy Windows PowerShell-szkript használatával

      • Hatókör: Válassza ki a kiválasztott mappát. Például: C:\FileShare.

        Ne jelölje be a jelölőnégyzeteket.

    • A Művelet lapon:

      • Típus: Egyéni kiválasztása

      • Végrehajtható: Adja meg a következőket:

        C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

        Ha a Windows nincs a C: meghajtón, módosítsa ezt az elérési utat, vagy keresse meg ezt a fájlt.

      • Argumentum: Adja meg a következőket, és adja meg a saját értékeit az elérési úthoz> és <a sablonazonosítóhoz<>:

        -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID <template GUID> -OwnerMail '[Source File Owner Email]'"

        Ha például a szkriptet a C:\RMS-Protection fájlba másolta, és az előfeltételekből azonosított sablonazonosító az e6ee2481-26b9-45e5-b34a-f744eacd53b0, adja meg a következőket:

        -Noprofile -Command "C:\RMS-Protection\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerMail '[Source File Owner Email]'"

        Ebben a parancsban a [Forrásfájl elérési útja] és a [Forrásfájl tulajdonosának e-mailje] egyaránt FCI-specifikus változók, ezért ezeket pontosan úgy írja be, ahogyan az az előző parancsban látható. Az FCI az első változót használja az azonosított fájl automatikus megadására a mappában, a második változó pedig az, hogy az FCI automatikusan lekéri az azonosított fájl nevesített tulajdonosának e-mail-címét. Ez a parancs a mappában lévő összes fájl esetében ismétlődik, amely a példánkban a C:\FileShare mappában található minden fájl, amely emellett RMS-t is tartalmaz fájlbesorolási tulajdonságként.

        Megjegyzés:

        A -OwnerMail [Forrásfájl tulajdonosa e-mail] paraméter és érték biztosítja, hogy a fájl eredeti tulajdonosa megkapja a fájl Rights Management-tulajdonosát a védelem után. Ez a konfiguráció biztosítja, hogy az eredeti fájl tulajdonosa rendelkezik a saját fájljaihoz tartozó összes Rights Management-jogosultságkal. Ha a fájlokat tartományi felhasználó hozza létre, a rendszer automatikusan lekéri az e-mail-címet az Active Directoryból a fájl Tulajdonos tulajdonságában lévő felhasználói fióknév használatával. Ehhez a fájlkiszolgálónak ugyanabban a tartományban vagy megbízható tartományban kell lennie, mint a felhasználó.

        Amikor csak lehetséges, rendelje hozzá az eredeti tulajdonosokat a védett dokumentumokhoz, hogy ezek a felhasználók továbbra is teljes mértékben szabályozhassák az általuk létrehozott fájlokat. Ha azonban a [Forrásfájl tulajdonosa e-mail] változót használja az előző parancshoz hasonlóan, és egy fájlban nincs tulajdonosként definiált tartományi felhasználó (például a fájl létrehozásához helyi fiókot használtak, így a tulajdonos megjeleníti a SYSTEM-t), a szkript meghiúsul.

        Az olyan fájlok esetében, amelyek nem rendelkeznek tartományi felhasználóval tulajdonosként, ezeket a fájlokat saját maga is másolhatja és mentheti tartományi felhasználóként, így ön lesz a tulajdonosa ezeknek a fájloknak. Ha rendelkezik engedélyekkel, manuálisan is módosíthatja a tulajdonost. Vagy megadhat egy adott e-mail-címet (például a saját vagy az informatikai részleg csoportcímét) a [Forrásfájl tulajdonosa e-mail] változó helyett, ami azt jelenti, hogy az ezzel a szkripttel védett összes fájl ezzel az e-mail-címmel határozza meg az új tulajdonost.

    • Futtassa a következő parancsot: Helyi rendszer kiválasztása

    • A Feltétel lapon:

      • Tulajdonság: Az RMS kiválasztása

      • Operátor: Válassza az Egyenlőség lehetőséget

      • Érték: Válassza az Igen lehetőséget

    • Az Ütemezés lapon:

      • Futtassa a következőt: Konfigurálja az előnyben részesített ütemezést.

        Hagyjon sok időt a szkript befejezésére. Bár ez a megoldás a mappában lévő összes fájlt védi, a szkript minden fájlhoz egyszer fut, minden alkalommal. Bár ez több időt vesz igénybe, mint az összes fájl egyidejű védelme, amelyet az Azure Information Protection-ügyfél támogat, az FCI fájlonkénti konfigurációja hatékonyabb. A védett fájloknak például különböző tulajdonosai lehetnek (megtarthatják az eredeti tulajdonost), ha a [Forrásfájl tulajdonosa e-mail] változót használja, és erre a fájlonkénti műveletre akkor van szükség, ha később a konfigurációt úgy módosítja, hogy szelektíven védje a fájlokat a mappában lévő összes fájl helyett.

      • Folyamatosan futtassa az új fájlokat: Jelölje be ezt a jelölőnégyzetet.

A konfiguráció tesztelése a szabály és a feladat manuális futtatásával

  1. Futtassa a besorolási szabályt:

    1. Kattintson a Besorolási szabályok>parancsra, és futtassa a besorolást az összes szabálysal

    2. Kattintson a Várakozás a besorolás befejezéséhez, majd az OK gombra.

  2. Várja meg, amíg a Futó besorolás párbeszédpanel be nem záródik, majd az eredményeket az automatikusan megjelenített jelentésben tekintheti meg. A Tulajdonságok mezőnek és a mappában lévő fájlok számának 1-nek kell megjelennie. Erősítse meg a Fájlkezelő használatával, és ellenőrizze a kiválasztott mappában lévő fájlok tulajdonságait. A Besorolás lapon az RMS tulajdonságnévként és igen értékként jelenik meg.

  3. Futtassa a fájlkezelési feladatot:

    1. Kattintson a Fájlkezelési feladatok>fájlvédelem parancsra az RMS>fájlkezelési feladat futtatásával

    2. Kattintson a Várakozás a feladat befejezéséhez, majd az OK gombra.

  4. Várja meg, amíg a Fájlkezelési feladat futtatása párbeszédpanel bezárul, majd az eredményeket az automatikusan megjelenített jelentésben tekinti meg. A Fájlok mezőben meg kell jelennie a kiválasztott mappában lévő fájlok számának. Győződjön meg arról, hogy a kiválasztott mappában lévő fájlokat mostantól a Rights Management védi. Ha például a kiválasztott mappa C:\FileShare, írja be a következő parancsot egy Windows PowerShell-munkamenetbe, és győződjön meg arról, hogy egyetlen fájl sem rendelkezik védelem nélküli állapotmal:

    foreach ($file in (Get-ChildItem -Path C:\FileShare -Force | where {!$_.PSIsContainer})) {Get-RMSFileStatus -f $file.PSPath}

    Tipp.

    Néhány hibaelhárítási tipp:

    • Ha a mappában lévő fájlok száma helyett 0 jelenik meg a jelentésben, ez a kimenet azt jelzi, hogy a szkript nem futott. Először ellenőrizze magát a szkriptet a Windows PowerShell I-be való betöltésével Standard kiadás ellenőrizze a szkript tartalmát, és próbálja meg egyszer futtatni ugyanabban a PowerShell-munkamenetben, és ellenőrizze, hogy megjelennek-e hibák. Argumentumok megadása nélkül a szkript megpróbál csatlakozni és hitelesíteni a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz.

      • Ha a szkript arról számol be, hogy nem tudott csatlakozni az Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz (Azure RMS), ellenőrizze a szkriptben megadott egyszerű szolgáltatásfiók értékeit. A szolgáltatásnév-fiók létrehozásáról további információt a 3. előfeltétel: Fájlok védelme vagy védelme az Azure Information Protection-ügyfél rendszergazdai útmutatójának beavatkozás nélkül című szakaszában talál.
      • Ha a szkript arról számol be, hogy csatlakozhat az Azure RMS-hez, a következő lépésben ellenőrizze, hogy megtalálja-e a megadott sablont a Get-RMSTemplate közvetlenül a Windows PowerShellből a kiszolgálón való futtatásával. Az eredmények között meg kell jelennie a megadott sablonnak.

    • Ha a szkript önmagában a Windows PowerShell I-ben fut Standard kiadás hiba nélkül, próbálja meg az alábbiak szerint futtatni egy PowerShell-munkamenetből, és adjon meg egy védeni kívánt fájlnevet, és a -OwnerEmail paraméter nélkül:

      powershell.exe -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '<full path and name of a file>' -TemplateID <template GUID>"

      • Ha a szkript sikeresen fut ebben a Windows PowerShell-munkamenetben, a fájlkezelési feladatműveletben ellenőrizze az Ügyvezető és az Argumentum bejegyzéseit. Ha meg van adva a -OwnerEmail [Forrásfájl tulajdonosának e-mailje], próbálja meg eltávolítani ezt a paramétert.

        Ha a fájlkezelési feladat sikeresen működik -OwnerEmail [Forrásfájl tulajdonosának e-mailje] nélkül, ellenőrizze, hogy a nem védett fájlokban a rendszer helyett egy tartományfelhasználó szerepel-e a fájl tulajdonosaként. Az ellenőrzés elvégzéséhez használja a fájl tulajdonságainak Biztonság lapját, majd kattintson a Speciális gombra. A Tulajdonos érték közvetlenül a fájl neve után jelenik meg. Ellenőrizze azt is, hogy a fájlkiszolgáló ugyanabban a tartományban vagy megbízható tartományban van-e, hogy megkeresse a felhasználó e-mail-címét Active Directory tartományi szolgáltatások.

    • Ha a megfelelő számú fájlt látja a jelentésben, de a fájlok nincsenek védve, próbálja meg manuálisan védeni a fájlokat a Protect-RMSFile parancsmaggal, hogy lássa, megjelennek-e hibák.

Ha meggyőződött arról, hogy ezek a feladatok sikeresen futnak, bezárhatja a Fájlerőforrás-kezelőt. Az ütemezett feladatok futtatásakor a rendszer automatikusan besorolja és védi az új fájlokat.

A Rights Management-sablon módosításakor szükséges művelet

Ha módosítja a Rights Management-sablont, amelyekre a szkript hivatkozik, a szkriptet a fájlok védelmére futtató számítógépfiók nem kapja meg automatikusan a frissített sablont. A szkriptben keresse meg a megjegyzést kiíró Get-RMSTemplate -Force parancsot a Set-RMS Csatlakozás ion függvényben, és távolítsa el a megjegyzés karaktert a sor elején. A szkript következő futtatásakor a frissített sablon le lesz töltve. Ha úgy szeretné optimalizálni a teljesítményt, hogy a sablonok ne töltsenek le feleslegesen, akkor ismét megjegyzést fűzhet ehhez a sorhoz.

Ha a sablon módosítása elég fontos a fájlkiszolgálón lévő fájlok ismételt védelméhez, ezt interaktív módon teheti meg úgy, hogy a Protect-RMSFile parancsmagot egy olyan fiókkal futtatja, amely rendelkezik a fájlok exportálási vagy teljes hozzáférésű használati jogosultságával.

Akkor is futtassa ezt a sort a szkriptben, ha közzétesz egy új sablont, amelyet az FCI-hez szeretne használni, és módosítja a sablon azonosítóját az egyéni fájlkezelési feladat argumentumsorában.

Az utasítások módosítása a fájlok szelektív védelméhez

Ha az előző utasítások működnek, egyszerűen módosíthatja őket egy kifinomultabb konfiguráció érdekében. A fájlok védelme például ugyanazzal a szkripttel, de csak a személyes azonosításra alkalmas adatokat tartalmazó fájlok esetén lehetséges, hogy egy szigorúbb jogosultságokkal rendelkező sablont választ.

A módosítás elvégzéséhez használja az egyik beépített besorolási tulajdonságot (például személyazonosításra alkalmas adatokat), vagy hozza létre saját új tulajdonságát. Ezután hozzon létre egy új szabályt, amely ezt a tulajdonságot használja. Kiválaszthatja például a Tartalomosztályozót, kiválaszthatja a Személyazonosításra alkalmas adatok tulajdonságot magas értékkel, és konfigurálhatja a tulajdonsághoz konfigurálni kívánt fájlt azonosító sztringet vagy kifejezésmintát (például a "Születési dátum" sztringet).

Most már csak létre kell hoznia egy új fájlkezelési feladatot, amely ugyanazt a szkriptet használja, de talán egy másik sablonnal, és konfigurálja az imént konfigurált besorolási tulajdonság feltételét. Például a korábban konfigurált feltétel (RMS tulajdonság, Egyenlőség, Igen) helyett válassza ki a Személyazonosításra alkalmas információ tulajdonságot, amelynek Operátor értéke Egyenlőség és Magas érték.

Következő lépések

Felmerülhet a kérdés: Mi a különbség a Windows Server FCI és az Azure Information Protection scanner között?