Share via

Menyiapkan klien perlindungan informasi menggunakan PowerShell

  • Artikel

Deskripsi

Berisi instruksi untuk menginstal klien Perlindungan Informasi Microsoft Purview dan cmdlet PowerShell menggunakan PowerShell.

Menggunakan PowerShell dengan klien Perlindungan Informasi Microsoft Purview

Modul Perlindungan Informasi Microsoft Purview diinstal dengan klien perlindungan informasi. Modul PowerShell terkait adalah PurviewInformationProtection.

Modul PurviewInformationProtection memungkinkan Anda mengelola klien dengan perintah dan skrip otomatisasi; misalnya:

  • Install-Scanner: Menginstal dan mengonfigurasi layanan pemindai Information Protection pada komputer yang menjalankan Windows Server 2019, Windows Server 2016, atau Windows Server 2012 R2.
  • Get-FileStatus: Mendapatkan label Information Protection dan informasi perlindungan untuk file atau file tertentu.
  • Start-Scan: Menginstruksikan pemindai perlindungan informasi untuk memulai siklus pemindaian satu kali.
  • Set-FileLabel -Autolabel: Memindai file untuk secara otomatis mengatur label perlindungan informasi untuk file, sesuai dengan kondisi yang dikonfigurasi dalam kebijakan.

Menginstal modul PurviewInformationProtection PowerShell

Prasyarat penginstalan

  • Modul ini memerlukan Windows PowerShell 4.0. Prasyarat ini tidak diperiksa selama penginstalan. Pastikan Anda memiliki versi PowerShell yang benar yang terinstal.
  • Pastikan Anda memiliki versi terbaru modul PurviewInformationProtection PowerShell dengan menjalankan Import-Module PurviewInformationProtection.

Detail penginstalan

Anda menginstal dan mengonfigurasi klien perlindungan informasi dan cmdlet terkait menggunakan PowerShell.

Modul PowerShell PurviewInformationProtection diinstal secara otomatis saat Anda menginstal versi lengkap klien perlindungan informasi. Atau, Anda hanya dapat menginstal modul dengan menggunakan parameter PowerShellOnly=true .

Modul diinstal di folder \ProgramFiles (x86)\PurviewInformationProtection , lalu menambahkan folder ini ke PSModulePath variabel sistem.

Penting

Modul PurviewInformationProtection tidak mendukung konfigurasi pengaturan tingkat lanjut untuk label atau kebijakan label.

Untuk menggunakan cmdlet dengan panjang jalur yang lebih besar dari 260 karakter, gunakan pengaturan kebijakan grup berikut yang tersedia dimulai dengan Windows 10, versi 1607:

Kebijakan> Komputer LokalKonfigurasi> KomputerTemplat >AdministratifSemua Pengaturan>Aktifkan jalur panjang Win32

Untuk Windows Server 2016, Anda dapat menggunakan pengaturan kebijakan grup yang sama saat menginstal Templat Administratif terbaru (.admx) untuk Windows 10.

Untuk informasi selengkapnya, lihat bagian Batasan Panjang Jalur Maksimum dari dokumentasi pengembang Windows 10.

Memahami prasyarat untuk modul PurviewInformationProtection PowerShell

Selain prasyarat penginstalan untuk modul PurviewInformationProtection, Anda juga harus mengaktifkan layanan Azure Rights Management.

Dalam beberapa kasus, Anda mungkin ingin menghapus perlindungan dari file untuk orang lain yang menggunakan akun Anda sendiri. Misalnya, Anda mungkin ingin menghapus perlindungan bagi orang lain demi penemuan atau pemulihan data. Jika Anda menggunakan label untuk menerapkan perlindungan, Anda dapat menghapus proteksi tersebut dengan mengatur label baru yang tidak menerapkan perlindungan, atau Anda dapat menghapus label.

Untuk kasus seperti ini, persyaratan berikut juga harus dipenuhi:

  • Fitur pengguna super harus diaktifkan untuk organisasi Anda.
  • Akun Anda harus dikonfigurasi sebagai pengguna super Azure Rights Management.

Jalankan cmdlet pelabelan perlindungan informasi tanpa pengawas

Secara default, saat Anda menjalankan cmdlet untuk pelabelan, perintah berjalan dalam konteks pengguna Anda sendiri dalam sesi PowerShell interaktif. Untuk menjalankan cmdlet pelabelan sensitivitas secara otomatis, baca bagian berikut:

Memahami prasyarat untuk menjalankan cmdlet pelabelan tanpa pengawas

Untuk menjalankan cmdlet pelabelan Information Protection Purview tanpa pengawasan, gunakan detail akses berikut:

  • Akun Windows yang dapat masuk secara interaktif.

  • Akun Microsoft Entra, untuk akses yang didelegasikan. Untuk kemudahan administrasi, gunakan satu akun yang disinkronkan dari Direktori Aktif ke Microsoft Entra ID.

    Untuk akun pengguna yang didelegasikan, konfigurasikan persyaratan berikut:

    Persyaratan Detail
    Kebijakan label Pastikan Anda memiliki kebijakan label yang ditetapkan ke akun ini dan kebijakan tersebut berisi label yang diterbitkan yang ingin Anda gunakan.

    Jika Anda menggunakan kebijakan label untuk pengguna yang berbeda, Anda mungkin perlu membuat kebijakan label baru yang menerbitkan semua label Anda, dan menerbitkan kebijakan hanya ke akun pengguna yang didelegasikan ini.
    Mendekripsi konten Jika akun ini perlu mendekripsi konten, misalnya, untuk melindungi ulang file dan memeriksa file yang dilindungi oleh orang lain, jadikan pengguna super untuk Information Protection dan pastikan fitur pengguna super diaktifkan.
    Kontrol onboarding Jika Anda telah menerapkan kontrol orientasi untuk penyebaran bertahap, pastikan akun ini disertakan dalam kontrol orientasi yang telah Anda konfigurasi.

  • Token akses Microsoft Entra, yang mengatur dan menyimpan kredensial bagi pengguna yang didelegasikan untuk mengautentikasi ke Perlindungan Informasi Microsoft Purview. Ketika token di Microsoft Entra ID kedaluwarsa, Anda harus menjalankan cmdlet lagi untuk memperoleh token baru.

    Parameter untuk Set-Authentication menggunakan nilai dari proses pendaftaran aplikasi di Microsoft Entra ID. Untuk informasi selengkapnya, lihat Create dan mengonfigurasi aplikasi Microsoft Entra untuk Set-Authentication.

Jalankan cmdlet pelabelan secara non-interaktif dengan terlebih dahulu menjalankan cmdlet Set-Authentication .

Komputer yang menjalankan cmdlet Set-Authentication mengunduh kebijakan pelabelan yang ditetapkan ke akun pengguna yang didelegasikan di portal kepatuhan Microsoft Purview.

Create dan mengonfigurasi aplikasi Microsoft Entra untuk Set-Authentication

Cmdlet Set-Authentication memerlukan pendaftaran aplikasi untuk parameter AppId dan AppSecret .

Untuk membuat pendaftaran aplikasi baru untuk cmdlet Set-Authentication klien pelabelan terpadu:

  1. Di jendela browser baru, masuk ke portal Azure ke penyewa Microsoft Entra yang Anda gunakan dengan Perlindungan Informasi Microsoft Purview.

  2. Navigasi ke Microsoft Entra ID>Kelola>Pendaftaran aplikasi, dan pilih Pendaftaran baru.

  3. Pada panel Daftarkan aplikasi, tentukan nilai berikut ini, lalu pilih Daftar:

    Opsi Nilai
    Nama AIP-DelegatedUser
    Tentukan nama yang berbeda sesuai kebutuhan. Nama harus unik per penyewa.
    Jenis akun yang didukung Pilih Akun yang hanya dalam direktori organisasi ini.
    Pengalihan URI (opsional) Pilih Web, lalu masukkan https://localhost.

  4. Pada panel AIP-DelegatedUser, salin nilai untuk ID Aplikasi (klien).

    Nilainya terlihat mirip dengan contoh berikut: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Nilai ini digunakan untuk parameter AppId saat Anda menjalankan cmdlet Set-Authentication . Tempel dan simpan nilai untuk referensi nanti.

  5. Dari bar samping, pilih Kelola>Sertifikat & rahasia.

    Kemudian, pada panel AIP-DelegatedUser - Certificates & secrets , di bagian Rahasia klien , pilih Rahasia klien baru.

  6. Untuk Tambahkan rahasia klien, tentukan yang berikut ini, lalu pilih Tambahkan:

    Bidang Nilai
    Deskripsi Microsoft Purview Information Protection client
    Kedaluwarsa Tentukan durasi pilihan Anda (1 tahun, 2 tahun, atau tidak pernah kedaluwarsa)

  7. Kembali ke panel AIP-DelegatedUser - Sertifikat & rahasia , di bagian Rahasia klien , salin string untuk VALUE.

    String ini terlihat mirip dengan contoh berikut: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Untuk memastikan Anda menyalin semua karakter, pilih ikon untuk Menyalin ke clipboard.

    Penting

    Simpan string ini karena tidak ditampilkan lagi dan tidak dapat diambil. Seperti halnya informasi sensitif apa pun yang Anda gunakan, simpan nilai tersimpan dengan aman dan batasi akses ke dalamnya.

  8. Dari bar samping, pilih Kelola>izin API.

    Pada panel Izin AIP-DelegatedUser - API , pilih Tambahkan izin.

  9. Pada panel Minta izin API , pastikan Anda berada di tab API Microsoft , dan pilih Azure Rights Management Services.

    Saat Anda dimintai jenis izin yang diperlukan aplikasi Anda, pilih Izin aplikasi.

  10. Untuk Pilih izin, perluas Konten dan pilih yang berikut ini, lalu pilih Tambahkan izin.

    • Content.DelegatedReader
    • Content.DelegatedWriter

  11. Kembali ke panel Izin AIP-DelegatedUser - API , pilih Tambahkan izin lagi.

    Pada panel Minta izin AIP, pilih API yang digunakan organisasi saya, dan cari Microsoft Information Protection Sync Service.

  12. Pada panel Minta izin API , pilih Izin aplikasi.

    Untuk Pilih izin, perluas UnifiedPolicy, pilih UnifiedPolicy.Tenant.Read, lalu pilih Tambahkan izin.

  13. Kembali ke panel Izin AIP-DelegatedUser - API , pilih Berikan persetujuan admin untuk penyewa Anda dan pilih Ya untuk permintaan konfirmasi.

Setelah langkah ini, pendaftaran aplikasi ini dengan rahasia selesai. Anda siap untuk menjalankan Set-Authentication dengan parameter AppId, dan AppSecret. Selain itu, Anda memerlukan ID penyewa Anda.

Tip

Anda dapat menyalin ID penyewa dengan cepat menggunakan portal Azure: Microsoft Entra ID>Kelola>ID DirektoriProperti>.

Jalankan cmdlet Set-Authentication

  1. Buka Windows PowerShell dengan opsi Jalankan sebagai administrator.

  2. Di sesi PowerShell Anda, buat variabel untuk menyimpan kredensial akun pengguna Windows yang berjalan secara non-interaktif. Misalnya, jika Anda membuat akun layanan untuk pemindai:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"

    Anda dimintai kata sandi akun ini.

  3. Jalankan cmdlet Set-Authentication, dengan parameter OnBeHalfOf , menentukan sebagai nilainya variabel yang Anda buat.

    Tentukan juga nilai pendaftaran aplikasi, ID penyewa Anda, dan nama akun pengguna yang didelegasikan di Microsoft Entra ID. Contohnya:

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds