Protezione RMS con infrastruttura di classificazione file in Windows Server

Usare questo articolo per istruzioni e uno script per usare il client Azure Information Protection e PowerShell per configurare Gestione risorse file server e infrastruttura di classificazione file.

Questa soluzione consente di proteggere automaticamente tutti i file in una cartella in un file server che esegue Windows Server o di proteggere automaticamente i file che soddisfano criteri specifici. Ad esempio, i file classificati come contenenti informazioni riservate o riservate. Questa soluzione si connette direttamente al servizio Azure Rights Management di Azure Information Protection per proteggere i file, quindi è necessario distribuire questo servizio per l'organizzazione.

Nota

Anche se Azure Information Protection include un connettore che supporta l'infrastruttura di classificazione file, tale soluzione supporta solo la protezione nativa, ad esempio i file di Office.

Per supportare più tipi di file con l'infrastruttura di classificazione file di Windows Server, è necessario usare il modulo AzureInformationProtection di PowerShell, come documentato in questo articolo. I cmdlet di Azure Information Protection, ad esempio il client Azure Information Protection, supportano la protezione generica e la protezione nativa, il che significa che i tipi di file diversi dai documenti di Office possono essere protetti. Per altre informazioni, vedere Tipi di file supportati dal client Azure Information Protection dalla guida dell'amministratore client di Azure Information Protection.

Le istruzioni seguenti sono relative a Windows Server 2012 R2 o Windows Server 2012. Se si eseguono altre versioni supportate di Windows, potrebbe essere necessario adattare alcuni dei passaggi per le differenze tra la versione del sistema operativo e quella documentata in questo articolo.

Prerequisiti per la protezione di Azure Rights Management con l'istanza del cluster di failover di Windows Server

Prerequisiti per queste istruzioni:

• In ogni file server in cui si eseguirà Gestione risorse file con l'infrastruttura di classificazione file:

  • Gestione risorse file server è stato installato come uno dei servizi ruolo per il ruolo Servizi file.

  • È stata identificata una cartella locale che contiene file da proteggere con Rights Management. Ad esempio, C:\FileShare.

  • È stato installato il modulo AzureInformationProtection PowerShell e sono stati configurati i prerequisiti per questo modulo per connettersi al servizio Azure Rights Management.

    Il modulo AzureInformationProtection di PowerShell è incluso nel client Azure Information Protection. Per istruzioni sull'installazione, vedere Installare il client Azure Information Protection per gli utenti dalla guida dell'amministratore di Azure Information Protection. Se necessario, è possibile installare solo il modulo di PowerShell usando il PowerShellOnly=true parametro .

    I prerequisiti per l'uso di questo modulo di PowerShell includono l'attivazione del servizio Azure Rights Management, la creazione di un'entità servizio e la modifica del Registro di sistema se il tenant non è America del Nord. Prima di iniziare le istruzioni in questo articolo, assicurarsi di avere valori per BposTenantId, AppPrincipalId e chiave simmetrica, come documentato in questi prerequisiti.

  • Se si vuole modificare il livello di protezione predefinito (nativo o generico) per estensioni di file specifiche, è stato modificato il Registro di sistema come descritto nella sezione Modifica del livello di protezione predefinito dei file dalla guida dell'amministratore.

  • Si dispone di una connessione Internet e sono state configurate le impostazioni del computer, se necessarie per un server proxy. Ad esempio: netsh winhttp import proxy source=ie

• Hai sincronizzato i tuoi account utente Active Directory locale con Microsoft Entra ID o Microsoft 365, inclusi i relativi indirizzi di posta elettronica. Questa operazione è necessaria per tutti gli utenti che potrebbero dover accedere ai file dopo che sono protetti dall'istanza del cluster di failover e dal servizio Azure Rights Management. Se non si esegue questo passaggio, ad esempio in un ambiente di test, gli utenti potrebbero non accedere a questi file. Per altre informazioni su questo requisito, vedere Preparazione di utenti e gruppi per Azure Information Protection.

• Questo scenario non supporta i modelli di reparto, pertanto è necessario usare un modello non configurato per un ambito oppure usare il cmdlet Set-AipServiceTemplateProperty e il parametro EnableInLegacyApps .

Istruzioni per configurare l'istanza del cluster di failover di Gestione risorse file server per la protezione di Azure Rights Management

Seguire queste istruzioni per proteggere automaticamente tutti i file in una cartella usando uno script di PowerShell come attività personalizzata. Eseguire queste procedure in questo ordine:

1. Salvare lo script di PowerShell

2. Creare una proprietà di classificazione per Rights Management (RMS)

3. Creare una regola di classificazione (classificare per RMS)

4. Configurare la pianificazione della classificazione

5. Creare un'attività di gestione file personalizzata (proteggere i file con RMS)

6. Testare la configurazione eseguendo manualmente la regola e l'attività

Alla fine di queste istruzioni, tutti i file nella cartella selezionata verranno classificati con la proprietà personalizzata di RMS e questi file saranno quindi protetti da Rights Management. Per una configurazione più complessa che protegge selettivamente alcuni file e non altri, è quindi possibile creare o usare una proprietà e una regola di classificazione diverse, con un'attività di gestione dei file che protegge solo tali file.

Si noti che se si apportano modifiche al modello di Rights Management usato per l'istanza del cluster di failover, l'account computer che esegue lo script per proteggere i file non ottiene automaticamente il modello aggiornato. A tale scopo, nello script individuare il comando commentato Get-RMSTemplate -Force e rimuovere il # carattere di commento. Quando il modello aggiornato viene scaricato (lo script è stato eseguito almeno una volta), è possibile impostare come commento questo comando aggiuntivo in modo che i modelli non vengano scaricati inutilmente ogni volta. Se le modifiche apportate al modello sono sufficientemente importanti da riproteggere i file nel file server, è possibile eseguire questa operazione in modo interattivo eseguendo il cmdlet Protect-RMSFile con un account con i diritti di utilizzo Export o Full Control per i file. È anche necessario eseguire Get-RMSTemplate -Force se si pubblica un nuovo modello da usare per l'istanza del cluster di failover.

Salvare lo script di Windows PowerShell

1. Copiare il contenuto dello script di Windows PowerShell per la protezione di Azure RMS usando Gestione risorse file server. Incollare il contenuto dello script e denominare il file RMS-Protect-FCI.ps1 nel proprio computer.

2. Rivedere lo script e apportare le modifiche seguenti:

   • Cercare la stringa seguente e sostituirla con il proprio AppPrincipalId usato con il cmdlet Set-RMSServerAuthentication per connettersi al servizio Azure Rights Management:

     <enter your AppPrincipalId here>
     

     Ad esempio, lo script potrebbe essere simile al seguente:

     [Parameter(Mandatory = $false)]

     [Parameter(Mandatory = $false)] [string]$AppPrincipalId = "b5e3f76a-b5c2-4c96-a594-a0807f65bba4",

   • Cercare la stringa seguente e sostituirla con la propria chiave simmetrica usata con il cmdlet Set-RMSServerAuthentication per connettersi al servizio Azure Rights Management:

     <enter your key here>
     

     Ad esempio, lo script potrebbe essere simile al seguente:

     [Parameter(Mandatory = $false)]

     [string]$SymmetricKey = "zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA="

   • Cercare la stringa seguente e sostituirla con il proprio BposTenantId (ID tenant) usato con il cmdlet Set-RMSServerAuthentication per connettersi al servizio Azure Rights Management:

     <enter your BposTenantId here>
     

     Ad esempio, lo script potrebbe essere simile al seguente:

     [Parameter(Mandatory = $false)]

     [string]$BposTenantId = "23976bc6-dcd4-4173-9d96-dad1f48efd42",

3. Firmare lo script. Se non si firma lo script (più sicuro), è necessario configurare Windows PowerShell nei server che lo eseguono. Ad esempio, eseguire una sessione di Windows PowerShell con l'opzione Esegui come Amministrazione istrator e digitare Set-ExecutionPolicy RemoteSigned. Tuttavia, questa configurazione consente l'esecuzione di tutti gli script non firmati quando vengono archiviati in questo server (meno sicuro).

   Per altre informazioni sulla firma degli script di Windows PowerShell, vedere about_Signing nella raccolta documenti di PowerShell.

4. Salvare il file in locale in ogni file server che esegue Gestione risorse file con l'infrastruttura di classificazione file. Ad esempio, salvare il file in C:\RMS-Protection. Se si usa un percorso o un nome di cartella diverso, scegliere un percorso e una cartella che non includa spazi. Proteggere questo file usando le autorizzazioni NTFS in modo che gli utenti non autorizzati non possano modificarlo.

A questo punto è possibile iniziare a configurare Gestione risorse file server.

Creare una proprietà di classificazione per Rights Management (RMS)

• In Gestione risorse file server, Gestione classificazione creare una nuova proprietà locale:

  • Nome: Digitare RMS

  • Descrizione: Tipo protezione Rights Management

  • Tipo di proprietà: selezionare Sì/No

  • Valore: selezionare Sì

È ora possibile creare una regola di classificazione che usa questa proprietà.

Creare una regola di classificazione (classificare per RMS)

• Creare una nuova regola di classificazione:

  • Nella scheda Generale:

    • Nome: Digitare Classify per RMS

    • Abilitato: mantenere l'impostazione predefinita, ovvero questa casella di controllo è selezionata.

    • Descrizione: digitare Classifica tutti i file nella <cartella nome> cartella per Rights Management.

      Sostituire <il nome> della cartella con il nome della cartella scelto. Ad esempio, classificare tutti i file nella cartella C:\FileShare per Rights Management

    • Ambito: aggiungere la cartella scelta. Ad esempio, C:\FileShare.

      Non selezionare le caselle di controllo.

  • Nella scheda Classificazione :

  • Metodo di classificazione: Selezionare classificatore cartelle

  • Nome proprietà : selezionare RMS

  • Valore della proprietà: selezionare Sì

Sebbene sia possibile eseguire manualmente le regole di classificazione, per le operazioni in corso, si vuole che questa regola venga eseguita in base a una pianificazione in modo che i nuovi file vengano classificati con la proprietà RMS.

Configurare la pianificazione della classificazione

• Nella scheda Classificazione automatica:

  • Abilita pianificazione fissa: selezionare questa casella di controllo.

  • Configurare la pianificazione per l'esecuzione di tutte le regole di classificazione, che include la nuova regola per classificare i file con la proprietà RMS.

  • Consenti classificazione continua per i nuovi file: selezionare questa casella di controllo in modo che i nuovi file vengano classificati.

  • Facoltativo: apportare eventuali altre modifiche desiderate, ad esempio la configurazione di opzioni per report e notifiche.

Dopo aver completato la configurazione della classificazione, è possibile configurare un'attività di gestione per applicare la protezione RMS ai file.

Creare un'attività di gestione file personalizzata (proteggere i file con RMS)

• In Attività di gestione file creare una nuova attività di gestione file:

  • Nella scheda Generale:

    • Nome attività: digitare Proteggi file con RMS

    • Mantenere selezionata la casella di controllo Abilita .

    • Descrizione: digitare Proteggi i file nel <nome> della cartella con Rights Management e un modello usando uno script di Windows PowerShell.

      Sostituire <il nome> della cartella con il nome della cartella scelto. Ad esempio, Proteggere i file in C:\FileShare con Rights Management e un modello usando uno script di Windows PowerShell

    • Ambito: selezionare la cartella scelta. Ad esempio, C:\FileShare.

      Non selezionare le caselle di controllo.

  • Nella scheda Azione :

    • Tipo: selezionare Personalizzato

    • Eseguibile: specificare quanto segue:

      C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      

      Se Windows non si trova nell'unità C: modificare questo percorso o passare a questo file.

    • Argomento: specificare quanto segue, specificando i propri valori per <percorso> e <ID> modello:

      -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID <template GUID> -OwnerMail '[Source File Owner Email]'"
      

      Ad esempio, se lo script è stato copiato in C:\RMS-Protection e l'ID modello identificato dai prerequisiti è e6ee2481-26b9-45e5-b34a-f744eacd53b0, specificare quanto segue:

      -Noprofile -Command "C:\RMS-Protection\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerMail '[Source File Owner Email]'"

      In questo comando[ Percorso file di origine] e [Source File Owner Email] sono entrambe variabili specifiche dell'istanza del cluster di failover, quindi digitarli esattamente come appaiono nel comando precedente. La prima variabile viene usata dall'istanza del cluster di failover per specificare automaticamente il file identificato nella cartella e la seconda variabile consiste nel recuperare automaticamente l'indirizzo di posta elettronica del proprietario denominato del file identificato. Questo comando viene ripetuto per ogni file nella cartella, che in questo esempio è ogni file nella cartella C:\FileShare che include anche RMS come proprietà di classificazione file.

      Nota

      Il parametro -OwnerMail [Source File Owner Email] e il valore garantisce che al proprietario originale del file venga concesso il proprietario di Rights Management del file dopo la protezione. Questa configurazione garantisce che il proprietario del file originale disponga di tutti i diritti di Rights Management per i propri file. Quando i file vengono creati da un utente di dominio, l'indirizzo di posta elettronica viene recuperato automaticamente da Active Directory usando il nome dell'account utente nella proprietà Owner del file. A tale scopo, il file server deve trovarsi nello stesso dominio o dominio attendibile dell'utente.

      Quando possibile, assegnare i proprietari originali ai documenti protetti per assicurarsi che questi utenti continuino a avere il controllo completo sui file creati. Tuttavia, se si usa la variabile [Source File Owner Email] come nel comando precedente e un file non dispone di un utente di dominio definito come proprietario (ad esempio, è stato usato un account locale per creare il file, in modo che il proprietario visualizzi SYSTEM), lo script non riesce.

      Per i file che non dispongono di un utente di dominio come proprietario, è possibile copiare e salvare questi file manualmente come utente di dominio, in modo da diventare il proprietario solo per questi file. In alternativa, se si dispone delle autorizzazioni, è possibile modificare manualmente il proprietario. In alternativa, è possibile specificare un indirizzo di posta elettronica specifico ( ad esempio il proprio o un indirizzo di gruppo per il reparto IT) anziché la variabile [Source File Owner Email] (Indirizzo di posta elettronica proprietario del file di origine), il che significa che tutti i file protetti tramite questo script usano questo indirizzo di posta elettronica per definire il nuovo proprietario.

  • Eseguire il comando come: Selezionare Sistema locale

  • Nella scheda Condizione :

    • Proprietà: selezionare RMS

    • Operatore: Selezionare Uguale

    • Valore: selezionare Sì

  • Nella scheda Pianificazione :

    • Esegui in: configurare la pianificazione preferita.

      Attendere il completamento dello script. Anche se questa soluzione protegge tutti i file nella cartella, lo script viene eseguito una volta per ogni file, ogni volta. Anche se questo richiede più tempo rispetto alla protezione di tutti i file contemporaneamente, supportato dal client Azure Information Protection, questa configurazione di file per file per l'istanza del cluster di failover è più potente. Ad esempio, i file protetti possono avere proprietari diversi (mantenere il proprietario originale) quando si usa la variabile [Source File Owner Email] e questa azione file per file è necessaria se successivamente si modifica la configurazione in modo da proteggere in modo selettivo i file anziché tutti i file in una cartella.

    • Eseguire continuamente sui nuovi file: selezionare questa casella di controllo.

Testare la configurazione eseguendo manualmente la regola e l'attività

1. Eseguire la regola di classificazione:

   1. Fare clic su Regole>di classificazione Esegui classificazione con tutte le regole ora

   2. Fare clic su Attendi il completamento della classificazione e quindi fare clic su OK.

2. Attendere la chiusura della finestra di dialogo Classificazione in esecuzione e quindi visualizzare i risultati nel report visualizzato automaticamente. Verrà visualizzato 1 per il campo Proprietà e il numero di file nella cartella. Verificare usando Esplora file e controllare le proprietà dei file nella cartella scelta. Nella scheda Classificazione dovrebbe essere visualizzato RMS come nome di proprietà e Sì per il relativo valore.

3. Eseguire l'attività di gestione dei file:

   1. Fare clic su Attività>di gestione file Proteggere i file con l'attività Esegui gestione file RMS Ora>

   2. Fare clic su Attendi il completamento dell'attività e quindi fare clic su OK.

4. Attendere la chiusura della finestra di dialogo Attività Gestione file in esecuzione e quindi visualizzare i risultati nel report visualizzato automaticamente. Verrà visualizzato il numero di file presenti nella cartella scelta nel campo File . Verificare che i file nella cartella scelta siano ora protetti da Rights Management. Ad esempio, se la cartella scelta è C:\FileShare, digitare il comando seguente in una sessione di Windows PowerShell e verificare che nessun file abbia lo stato Non protetto:

   foreach ($file in (Get-ChildItem -Path C:\FileShare -Force | where {!$_.PSIsContainer})) {Get-RMSFileStatus -f $file.PSPath}
   

   Suggerimento

   Alcuni suggerimenti per la risoluzione dei problemi:

   • Se nel report viene visualizzato 0 , anziché il numero di file nella cartella, questo output indica che lo script non è stato eseguito. Prima di tutto, controllare lo script caricandolo in Windows PowerShell I edizione Standard per convalidare il contenuto dello script e provare a eseguirlo una volta nella stessa sessione di PowerShell per verificare se vengono visualizzati errori. Senza argomenti specificati, lo script tenta di connettersi ed eseguire l'autenticazione al servizio Azure Rights Management.

     • Se lo script segnala che non è stato possibile connettersi al servizio Azure Rights Management (Azure RMS), controllare i valori visualizzati per l'account dell'entità servizio, specificato nello script. Per altre informazioni su come creare questo account dell'entità servizio, vedere Prerequisito 3: Per proteggere o rimuovere la protezione dei file senza interazione dalla guida dell'amministratore client di Azure Information Protection.
     • Se lo script segnala che potrebbe connettersi ad Azure RMS, verificare quindi che sia possibile trovare il modello specificato eseguendo Get-RMSTemplate direttamente da Windows PowerShell nel server. Nei risultati dovrebbe essere visualizzato il modello specificato.

   • Se lo script viene eseguito in Windows PowerShell I edizione Standard senza errori, provare a eseguirlo come segue da una sessione di PowerShell, specificando un nome file da proteggere e senza il parametro -OwnerEmail:

     powershell.exe -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '<full path and name of a file>' -TemplateID <template GUID>"
     

     • Se lo script viene eseguito correttamente in questa sessione di Windows PowerShell, controllare le voci per Executive e Argument nell'azione dell'attività di gestione file. Se è stato specificato -OwnerEmail [Source File Owner Email], provare a rimuovere questo parametro.

       Se l'attività di gestione dei file funziona correttamente senza -OwnerEmail [Source File Owner Email], verificare che i file non protetti abbiano un utente di dominio elencato come proprietario del file, anziché SYSTEM. Per effettuare questa verifica, usare la scheda Sicurezza per le proprietà del file e quindi fare clic su Avanzate. Il valore Owner viene visualizzato immediatamente dopo il nome del file. Verificare inoltre che il file server si trova nello stesso dominio o in un dominio attendibile per cercare l'indirizzo di posta elettronica dell'utente da Dominio di Active Directory Services.

   • Se viene visualizzato il numero corretto di file nel report, ma i file non sono protetti, provare a proteggere manualmente i file usando il cmdlet Protect-RMSFile per verificare se vengono visualizzati errori.

Dopo aver verificato che queste attività vengano eseguite correttamente, è possibile chiudere Gestione risorse file. I nuovi file vengono classificati e protetti automaticamente quando vengono eseguite le attività pianificate.

Azione necessaria se si apportano modifiche al modello di Rights Management

Se si apportano modifiche al modello di Rights Management a cui fa riferimento lo script, l'account computer che esegue lo script per proteggere i file non ottiene automaticamente il modello aggiornato. Nello script individuare il comando impostato come Get-RMSTemplate -Force commento nella funzione Set-RMS Connessione ion e rimuovere il carattere di commento all'inizio della riga. Alla successiva esecuzione dello script, viene scaricato il modello aggiornato. Per ottimizzare le prestazioni in modo che i modelli non si scarichino inutilmente, è possibile impostare nuovamente questa riga come commento.

Se le modifiche apportate al modello sono sufficientemente importanti da riproteggere i file nel file server, è possibile eseguire questa operazione in modo interattivo eseguendo il cmdlet Protect-RMSFile con un account con i diritti di utilizzo Export o Full Control per i file.

Eseguire anche questa riga nello script se si pubblica un nuovo modello da usare per l'istanza del cluster di failover e si modifica l'ID modello nella riga dell'argomento per l'attività di gestione file personalizzata.

Modifica delle istruzioni per proteggere in modo selettivo i file

Quando si dispone delle istruzioni precedenti, è quindi facile modificarle per una configurazione più sofisticata. Ad esempio, proteggere i file usando lo stesso script, ma solo per i file che contengono informazioni personali e, ad esempio, selezionare un modello con diritti più restrittivi.

Per apportare questa modifica, usare una delle proprietà di classificazione predefinite (ad esempio, Informazioni personali) o creare una nuova proprietà. Creare quindi una nuova regola che usa questa proprietà. Ad esempio, è possibile selezionare il classificatore di contenuto, scegliere la proprietà Informazioni personali con il valore High e configurare il modello stringa o espressione che identifica il file da configurare per questa proprietà (ad esempio la stringa "Data di nascita").

A questo punto è sufficiente creare una nuova attività di gestione file che usa lo stesso script, ma forse con un modello diverso, e configurare la condizione per la proprietà di classificazione appena configurata. Ad esempio, anziché la condizione configurata in precedenza (proprietà RMS, Uguale, Sì), selezionare la proprietà Informazioni personali con il valore Operator impostato su Equal e Value of High.

Passaggi successivi

Ci si potrebbe chiedere: Qual è la differenza tra l'istanza del cluster di failover di Windows Server e lo scanner di Azure Information Protection?