Guida Amministrazione: Uso di PowerShell con il client unificato di Azure Information Protection

Nota

Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?

Il client di etichettatura unificata di Azure Information Protection è ora in modalità di manutenzione. È consigliabile usare etichette predefinite per le app e i servizi Office 365. Ulteriori informazioni

Quando si installa il client di etichettatura unificata di Azure Information Protection, i comandi di PowerShell vengono installati automaticamente come parte del modulo AzureInformationProtection, con i cmdlet per l'etichettatura.

Il modulo AzureInformationProtection consente di gestire il client eseguendo i comandi per gli script di automazione.

Ad esempio:

  • Get-AIPFileStatus: ottiene l'etichetta e le informazioni di protezione di Azure Information Protection per un file o file specificati.
  • Set-AIPFileClassification: analizza un file per impostare automaticamente un'etichetta di azure Information Protection per un file, in base alle condizioni configurate nei criteri.
  • Set-AIPFileLabel: imposta o rimuove un'etichetta di Azure Information Protection per un file e imposta o rimuove la protezione in base alla configurazione dell'etichetta o alle autorizzazioni personalizzate.
  • Set-AIPAuthentication: imposta le credenziali di autenticazione per il client Information Protection di Azure.

Il modulo AzureInformationProtection viene installato nella cartella \ProgramFiles (x86)\Microsoft Azure Information Protection e quindi aggiunge questa cartella alla variabile di sistema PSModulePath. Il file DLL per questo modulo si chiama AIP.dll.

Importante

Il modulo AzureInformationProtection non supporta la configurazione di impostazioni avanzate per etichette o criteri di etichetta.

Per queste impostazioni, è necessario PowerShell del Centro sicurezza & conformità. Per altre informazioni, vedere Configurazioni personalizzate per il client di etichettatura unificata di Azure Information Protection.

Suggerimento

Per usare cmdlet con percorsi di lunghezza superiore a 260 caratteri, usare l'impostazione di Criteri di gruppo seguente disponibile a partire da Windows 10 versione 1607:
Criteri computer> locali Configurazione> computer Modelli> amministrativi Tutte le impostazioni>Abilitare percorsi lunghi Win32

Per Windows Server 2016 è possibile usare la stessa impostazione di Criteri di gruppo quando si installano i modelli amministrativi più recenti (con estensione admx) per Windows 10.

Per altre informazioni, vedere la sezione Maximum Path Length Limitation (Limite massimo lunghezza del percorso) della documentazione per sviluppatori di Windows 10.

Prerequisiti per l'uso del modulo AzureInformationProtection

Oltre ai prerequisiti per l'installazione del modulo AzureInformationProtection, quando si usano i cmdlet di etichettatura per Azure Information Protection sono necessari altri prerequisiti:

  • È necessario attivare il servizio Azure Rights Management.

    Se il tenant di Azure Information Protection non è attivato, vedere le istruzioni per l'attivazione del servizio di protezione da Azure Information Protection.

  • Per rimuovere la protezione dai file per altri utenti che usano il proprio account:

    • La funzionalità utente con privilegi avanzati deve essere abilitata per l'organizzazione.
    • L'account deve essere configurato come utente con privilegi avanzati per Azure Rights Management.

    Ad esempio, è possibile rimuovere la protezione per altri utenti per l'individuazione o il ripristino dei dati. Se si usano etichette per applicare la protezione, è possibile rimuovere tale protezione impostando una nuova etichetta che non applica la protezione oppure è possibile rimuovere l'etichetta.

    Per rimuovere la protezione, usare il cmdlet Set-AIPFileLabel con il parametro RemoveProtection . In alcuni casi, la funzionalità di rimozione della protezione può essere disabilitata per impostazione predefinita e deve prima essere abilitata usando il cmdlet Set-LabelPolicy .

Mapping dei cmdlet di etichettatura unificata da RMS a unified labeling

Se è stata eseguita la migrazione da Azure RMS, si noti che i cmdlet correlati a RMS sono stati deprecati per l'uso nell'etichettatura unificata.

Alcuni dei cmdlet legacy sono stati sostituiti con nuovi cmdlet per l'etichettatura unificata. Ad esempio, se si usa New-RMSProtectionLicense con la protezione RMS ed è stata eseguita la migrazione all'etichettatura unificata, usare invece New-AIPCustomPermissions .

La tabella seguente esegue il mapping dei cmdlet correlati a RMS con i cmdlet aggiornati usati per l'etichettatura unificata:

Cmdlet RMS Cmdlet di etichettatura unificata
Get-RMSFileStatus Get-AIPFileStatus
Get-RMSServer Non pertinente per l'etichettatura unificata.
Get-RMSServerAuthentication Set-AIPAuthentication
Clear-RMSAuthentication Set-AIPAuthentication
Set-RMSServerAuthentication Set-AIPAuthentication
Get-RMSTemplate Non pertinente per l'etichettatura unificata
New-RMSProtectionLicense New-AIPCustomPermissions e Set-AIPFileLabel, con il parametro CustomPermissions
Protect-RMSFile Set-AIPFileLabel, con il parametro RemoveProtection

Come assegnare un'etichetta ai file in modo non interattivo per Azure Information Protection

Per impostazione predefinita, quando si eseguono i cmdlet per l'assegnazione di etichette, i comandi vengono eseguiti nel contesto utente personale in una sessione interattiva di PowerShell.

Per altre informazioni, vedere:

Nota

Se il computer non può avere accesso a Internet, non è necessario creare l'app in Azure AD ed eseguire il cmdlet Set-AIPAuthentication . Seguire invece le istruzioni per i computer disconnessi.

Prerequisiti per l'esecuzione automatica dei cmdlet di etichettatura AIP

Per eseguire i cmdlet di etichettatura automatica di Azure Information Protection, usare i dettagli di accesso seguenti:

  • Un account di Windows che può accedere in modo interattivo.

  • Un account Azure AD per l'accesso delegato. Per semplificare l'amministrazione, usare un singolo account sincronizzato da Active Directory ad Azure AD.

    Per l'account utente delegato:

    Requisito Dettagli
    Criteri di etichetta Assicurarsi di avere un criterio di etichetta assegnato a questo account e che il criterio contenga le etichette pubblicate che si desidera usare.

    Se si usano criteri di etichetta per utenti diversi, potrebbe essere necessario creare un nuovo criterio di etichetta che pubblica tutte le etichette e pubblicare il criterio in questo account utente delegato.
    Decrittografia del contenuto Se questo account deve decrittografare il contenuto, ad esempio, per riproteggere i file e controllare i file protetti da altri utenti, renderlo un utente con privilegi avanzati per Azure Information Protection e assicurarsi che la funzionalità utente con privilegi avanzati sia abilitata.
    Controlli di onboarding Se sono stati implementati controlli di onboarding per una distribuzione in più fasi, assicurarsi che questo account sia incluso nei controlli di onboarding configurati.
  • Token di accesso di Azure AD, che imposta e archivia le credenziali per l'utente delegato per l'autenticazione in Azure Information Protection. Quando il token in Azure AD scade, è necessario eseguire di nuovo il cmdlet per acquisire un nuovo token.

    I parametri per Set-AIPAuthentication usano i valori di un processo di registrazione dell'app in Azure AD. Per altre informazioni, vedere Creare e configurare applicazioni Azure AD per Set-AIPAuthentication.

Eseguire i cmdlet di etichettatura in modo non interattivo eseguendo prima il cmdlet Set-AIPAuthentication .

Il computer che esegue il cmdlet AIPAuthentication scarica i criteri di etichettatura assegnati all'account utente delegato nel Portale di conformità di Microsoft Purview.

Creare e configurare applicazioni Azure AD per Set-AIPAuthentication

Il cmdlet Set-AIPAuthentication richiede una registrazione dell'app per i parametri AppId e AppSecret .

Per creare una nuova registrazione dell'app per il client di etichettatura unificata Set-AIPAuthentication cmdlet:

  1. In una nuova finestra del browser accedere al portale di Azure al tenant di Azure AD usato con Azure Information Protection.

  2. Passare aGestione>di Azure Active Directory>Registrazioni app e selezionare Nuova registrazione.

  3. Nel riquadro Registra un'applicazione specificare i valori seguenti e quindi fare clic su Registra:

    Opzione Valore
    Nome AIP-DelegatedUser
    Specificare un nome diverso in base alle esigenze. Il nome deve essere univoco per tenant.
    Tipi di account supportati Selezionare Account solo in questa directory dell'organizzazione.
    URI di reindirizzamento (facoltativo) Selezionare Web e quindi immettere https://localhost.
  4. Nel riquadro AIP-DelegatedUser copiare il valore per l'ID applicazione (client).

    Il valore è simile all'esempio seguente: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Questo valore viene usato per il parametro AppId quando si esegue il cmdlet Set-AIPAuthentication. Incollare e salvare il valore per un riferimento successivo.

  5. Nella barra laterale selezionare Gestisci>segreti certificati&.

    Quindi, nel riquadro Dei segreti AIP-DelegatedUser - Certificati &, nella sezione Segreti client selezionare Nuovo segreto client.

  6. Per Aggiungere un segreto client, specificare quanto segue e quindi selezionare Aggiungi:

    Campo Valore
    Descrizione Azure Information Protection unified labeling client
    Scadenza Specificare la durata scelta (1 anno, 2 anni o mai scade)
  7. Tornare al riquadro Segreti di AIP-DelegatedUser - Certificati & nella sezione Segreti client copiare la stringa per VALUE.

    Questa stringa è simile all'esempio seguente: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Per assicurarsi di copiare tutti i caratteri, selezionare l'icona per Copiare negli Appunti.

    Importante

    È importante salvare la stringa, perché non verrà più visualizzata e non potrà essere recuperata. Come per tutte le informazioni riservate usate, archiviare il valore salvato in modo sicuro e limitare l'accesso.

  8. Nella barra laterale selezionare Gestisci>autorizzazioni API.

    Nel riquadro autorizzazioni AIP-DelegatedUser - API selezionare Aggiungi un'autorizzazione.

  9. Nel riquadro Autorizzazioni API richiesta assicurarsi di essere nella scheda API Microsoft e selezionare Azure Rights Management Services.

    Quando viene richiesto il tipo di autorizzazioni necessarie per l'applicazione, selezionare Autorizzazioni applicazione.

  10. Per Selezionare le autorizzazioni, espandere Contenuto e selezionare quanto segue e quindi selezionare Aggiungi autorizzazioni.

    • Content.DelegatedReader
    • Content.DelegatedWriter
  11. Tornare al riquadro autorizzazioni AIP-DelegatedUser - API , selezionare Aggiungi di nuovo un'autorizzazione .

    Nel riquadro Richiedi autorizzazioni AIP selezionare API usate dall'organizzazione e cercare Microsoft Information Protection servizio di sincronizzazione.

  12. Nel riquadro Autorizzazioni API richiesta selezionare Autorizzazioni applicazione.

    Per Selezionare le autorizzazioni, espandere UnifiedPolicy, selezionare UnifiedPolicy.Tenant.Read e quindi selezionare Aggiungi autorizzazioni.

  13. Tornare al riquadro autorizzazioni AIP-DelegatedUser - API, selezionare Concedi consenso amministratore per <il nome> del tenant e selezionare per la richiesta di conferma.

    Le autorizzazioni api devono essere simili all'immagine seguente:

    Autorizzazioni API per l'app registrata in Azure AD

Dopo aver completato la registrazione di questa app con un segreto, è possibile eseguire Set-AIPAuthentication con i parametri AppId e AppSecret. Inoltre, sarà necessario l'ID tenant.

Suggerimento

È possibile copiare rapidamente l'ID tenant usando portale di Azure: Azure Active Directory>Gestisci>ID directoryproprietà>.

Esecuzione del cmdlet Set-AIPAuthentication

  1. Aprire Windows PowerShell con l'opzione Esegui come amministratore.

  2. Nella sessione di PowerShell creare una variabile per archiviare le credenziali dell'account utente di Windows che verranno eseguite in modo non interattivo. Ad esempio, se è stato creato un account di servizio per lo scanner:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"
    

    Viene richiesta la password dell'account.

  3. Eseguire il cmdlet Set-AIPAuthentication con il parametro OnBeHalfOf , specificando come valore la variabile creata.

    Specificare anche i valori di registrazione dell'app, l'ID tenant e il nome dell'account utente delegato in Azure AD. Ad esempio:

    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
    

Parametri comuni per i cmdlet di PowerShell

Per informazioni sui parametri comuni, vedere Informazioni sui parametri comuni.

Passaggi successivi

Per informazioni sul cmdlet quando si è in una sessione di PowerShell, digitare Get-Help <cmdlet name> -online. Ad esempio:

Get-Help Set-AIPFileLabel -online

Per altre informazioni, vedere: