Beheerders handleiding: PowerShell gebruiken met de Azure Information Protection-clientAdmin Guide: Using PowerShell with the Azure Information Protection client

Van toepassing op: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8,1, Windows 8, Windows 7 met SP1, windows server 2019, windows server 2016, windows server 2012 R2, windows server 2012, windows server 2008 R2Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

Instructies voor: Azure Information Protection-client voor WindowsInstructions for: Azure Information Protection client for Windows

Wanneer u de Azure Information Protection-client installeert, worden Power shell-opdrachten automatisch geïnstalleerd.When you install the Azure Information Protection client, PowerShell commands are automatically installed. Hiermee kunt u de client beheren door opdrachten uit te voeren die u in scripts voor automatisering kunt toevoegen.This lets you manage the client by running commands that you can put into scripts for automation.

De cmdlets worden geïnstalleerd met de PowerShell-module AzureInformationProtection.The cmdlets are installed with the PowerShell module AzureInformationProtection. Deze module bevat alle Rights Management-cmdlets uit het RMS-beveiligings hulpprogramma (wordt niet meer ondersteund).This module includes all the Rights Management cmdlets from the RMS Protection Tool (no longer supported). Er zijn ook cmdlets die Azure Information Protection gebruiken voor het labelen.There are also cmdlets that use Azure Information Protection for labeling. Bijvoorbeeld:For example:

Labeling-cmdletLabeling cmdlet GebruiksvoorbeeldenExample usage
Get-AIPFileStatusGet-AIPFileStatus Voor een gedeelde map alle bestanden met een specifiek label identificeren.For a shared folder, identify all files with a specific label.
Set-AIPFileClassificationSet-AIPFileClassification Voor een gedeelde map de bestandsinhoud controleren en vervolgens niet-gelabelde bestanden automatisch labelen volgens de voorwaarden die u hebt opgegeven.For a shared folder, inspect the file contents and then automatically label unlabeled files, according to the conditions that you have specified.
Set-AIPFileLabelSet-AIPFileLabel Pas voor gedeelde mappen een opgegeven label toe op alle bestanden zonder label.For a shared folder, apply a specified label to all files that do not have a label.
Set-AIPAuthenticationSet-AIPAuthentication Label bestanden niet-interactief, bijvoorbeeld door gebruik te maken van een script dat volgens een schema wordt uitgevoerd.Label files non-interactively, for example by using a script that runs on a schedule.

Tip

Als u cmdlets wilt gebruiken met een lengte van meer dan 260 tekens, gebruikt u de volgende groeps beleids instelling die beschikbaar is voor Windows 10, versie 1607:To use cmdlets with path lengths greater than 260 characters, use the following group policy setting that is available starting Windows 10, version 1607:
> Computer configuratie > van het lokale computer beleid Beheersjablonen alleinstellingen > Win32-lange paden inschakelen > Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

Voor Windows Server 2016 kunt u dezelfde groeps beleids instelling gebruiken wanneer u de meest recente Beheersjablonen (. ADMX) voor Windows 10 installeert.For Windows Server 2016, you can use the same group policy setting when you install the latest Administrative Templates (.admx) for Windows 10.

Zie de sectie maximale padlengte beperken van de Windows 10-documentatie voor ontwikkel aars voor meer informatie.For more information, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

De Azure Information Protection scanner gebruikt cmdlets uit de AzureInformationProtection-module om een service op Windows Server te installeren en te configureren.The Azure Information Protection scanner uses cmdlets from the AzureInformationProtection module to install and configure a service on Windows Server. Met deze scanner kunt u bestanden in gegevens archieven detecteren, classificeren en beveiligen.This scanner then lets you discover, classify, and protect files on data stores.

Zie de module AzureInformationProtection voor een lijst met cmdlets en de bijbehorende Help.For a list of all the cmdlets and their corresponding help, see AzureInformationProtection Module. In een Power shell-sessie Get-Help <cmdlet name> -online typt u om de meest recente Help te bekijken.Within a PowerShell session, type Get-Help <cmdlet name> -online to see the latest help.

Deze module wordt geïnstalleerd in \ProgramFiles (x86)\Microsoft Azure Information Protection en voegt deze map toe aan de systeemvariabele PSModulePath.This module installs in \ProgramFiles (x86)\Microsoft Azure Information Protection and adds this folder to the PSModulePath system variable. De DLL voor deze module is AIP.dll.The .dll for this module is named AIP.dll.

Als u de module echter als één gebruiker installeert en de cmdlets op dezelfde computer uitvoert als een andere gebruiker, moet u eerst de Import-Module AzureInformationProtection opdracht uitvoeren.Currently, if you install the module as one user and run the cmdlets on the same computer as another user, you must first run the Import-Module AzureInformationProtection command. In dit scenario wordt de module niet automatisch uitgewerkt wanneer u voor het eerst een cmdlet uitvoert.In this scenario, the module doesn't autoload when you first run a cmdlet.

De huidige versie van de AzureInformationProtection-module heeft de volgende beperkingen:The current release of the AzureInformationProtection module has the following limitations:

  • U kunt de beveiliging van persoonlijke Outlook-mappen (PST-bestanden) opheffen, maar u met deze PowerShell-module momenteel niet gebruiken om deze bestanden of andere containerbestanden van een systeemeigen beveiliging te voorzien.You can unprotect Outlook personal folders (.pst files), but you cannot currently natively protect these files or other container files by using this PowerShell module.

  • U kunt de beveiliging van beveiligde Outlook-berichten (RPMSG-bestanden) opheffen wanneer deze zich in een persoonlijke Outlook-map (.pst) bevinden, maar u kunt de beveiliging van RPMSG-bestanden niet opheffen buiten een persoonlijke map.You can unprotect Outlook protected email messages (.rpmsg files) when they are in an Outlook personal folder (.pst), but you cannot unprotect .rpmsg files outside a personal folder.

Zie de aanvullende vereisten en instructies voor uw implementatie voordat u deze cmdlets gaat gebruiken:Before you start to use these cmdlets, see the additional prerequisites and instructions that corresponds to your deployment:

  • Azure Information Protection en Azure Rights Management-serviceAzure Information Protection and Azure Rights Management service

    • Van toepassing als u classificatie-only of classificatie met Rights Management beveiliging gebruikt: U hebt een abonnement met Azure Information Protection (bijvoorbeeld Enterprise Mobility + Security).Applicable if you use classification-only or classification with Rights Management protection: You have a subscription that includes Azure Information Protection (for example, Enterprise Mobility + Security).
    • Van toepassing als u alleen beveiliging gebruikt met de Azure Rights Management-service: U hebt een abonnement met de Azure Rights Management-service (bijvoorbeeld Office 365 E3 en Office 365 E5).Applicable if you use protection-only with the Azure Rights Management service: You have a subscription that includes the Azure Rights Management service (for example, Office 365 E3 and Office 365 E5).
  • Active Directory Rights Management ServicesActive Directory Rights Management Services

    • Van toepassing als u alleen-beveiliging met de on-premises versie van Azure Rights Management gebruikt: Active Directory Rights Management Services (AD RMS).Applicable if you use protection-only with the on-premises version of Azure Rights Management; Active Directory Rights Management Services (AD RMS).

Azure Information Protection-en Azure Rights Management-serviceAzure Information Protection and Azure Rights Management service

Lees deze sectie voordat u begint met het gebruik van de Power shell-opdrachten wanneer uw organisatie Azure Information Protection gebruikt voor classificatie en beveiliging, of alleen de Azure Rights Management-service voor gegevens beveiliging.Read this section before you start using the PowerShell commands when your organization uses Azure Information Protection for classification and protection, or just the Azure Rights Management service for data protection.

VereistenPrerequisites

Naast de vereisten voor het installeren van de AzureInformationProtection-module, zijn er aanvullende vereisten voor Azure Information Protection labelen en de Azure Rights Management Data Protection-Service:In addition to the prerequisites for installing the AzureInformationProtection module, there are additional prerequisites for Azure Information Protection labeling and the Azure Rights Management data protection service:

  1. De Azure Rights Management-service moet zijn geactiveerd.The Azure Rights Management service must be activated.

  2. De beveiliging van bestanden verwijderen voor anderen die uw account gebruiken:To remove protection from files for others using your own account:

    • de functie voor supergebruikers moet zijn ingeschakeld voor uw bedrijf en uw account moet zijn geconfigureerd als een supergebruiker voor Azure Rights Management.The super user feature must be enabled for your organization and your account must be configured to be a super user for Azure Rights Management.
  3. Bestanden rechtstreeks beveiligen of de beveiliging rechtstreeks opheffen zonder tussenkomst van de gebruiker:To directly protect or unprotect files without user interaction:

    • maak een service-principal-account, voer Set-RMSServerAuthentication uit en stel deze service-principal in als supergebruiker voor Azure Rights Management.Create a service principal account, run Set-RMSServerAuthentication, and consider making this service principal a super user for Azure Rights Management.
  4. Voor regio's buiten Noord-Amerika:For regions outside North America:

    • Bewerk het REGI ster voor service detectie.Edit the registry for service discovery.

Vereiste 1: De Azure Rights Management-service moet worden geactiveerdPrerequisite 1: The Azure Rights Management service must be activated

Deze vereiste is altijd van toepassing, ongeacht of u de gegevensbeveiliging toepast door middel van labels of door rechtstreeks verbinding te maken met de Azure Rights Management-service om gegevensbeveiliging toe te passen.This prerequisite applies whether you apply the data protection by using labels or by directly connecting to the Azure Rights Management service to apply the data protection.

Als uw Azure Information Protection-Tenant niet is geactiveerd, raadpleegt u de instructies voor het activeren van de beveiligings service van Azure Information Protection.If your Azure Information Protection tenant is not activated, see the instructions for Activating the protection service from Azure Information Protection.

Vereiste 2: Beveiliging van bestanden verwijderen voor anderen die uw eigen account gebruikenPrerequisite 2: To remove protection from files for others using your own account

Doorgaans moet de beveiliging van bestanden worden opgeheven voor anderen in scenario's waarbij er gegevensdetectie of gegevensherstel moet worden uitgevoerd.Typical scenarios for removing protection from files for others include data discovery or data recovery. Als u labels gebruikt om de beveiliging toe te passen, kunt u de beveiliging verwijderen door een nieuw label in te stellen waarmee geen beveiliging wordt toegepast of door het label te verwijderen.If you are using labels to apply the protection, you could remove the protection by setting a new label that doesn't apply protection or by removing the label. Maar waarschijnlijk maakt u rechtstreeks verbinding met de Azure Rights Management-service om de beveiliging te verwijderen.But you will more likely connect directly to the Azure Rights Management service to remove the protection.

U moet over een Rights Management-gebruiksrecht beschikken om de beveiliging voor bestanden te verwijderen of een supergebruiker zijn.You must have a Rights Management usage right to remove protection from files, or be a super user. Voor gegevensdetectie of gegevensherstel wordt doorgaans de supergebruikersfunctie gebruikt.For data discovery or data recovery, the super user feature is typically used. Zie Supergebruikers configureren voor Azure Rights Management en detectieservices of gegevensherstel als u deze functie wilt inschakelen en uw account als supergebruiker wilt configureren.To enable this feature and configure your account to be a super user, see Configuring super users for Azure Rights Management and Discovery Services or Data Recovery.

Vereiste 3: Bestanden beveiligen of de beveiliging opheffen zonder tussen komst van de gebruikerPrerequisite 3: To protect or unprotect files without user interaction

U kunt rechtstreeks verbinding maken met de Azure Rights Management-service om bestanden te beveiligen of de beveiliging op te heffen.You can connect directly to the Azure Rights Management service non-interactively to protect or unprotect files.

U moet een Service-Principal-account gebruiken om verbinding te maken met de Azure Rights Management-service, die u ook gebruikt met de Set-RMSServerAuthentication cmdlet.You must use a service principal account to connect to the Azure Rights Management service non-interactively, which you do by using the Set-RMSServerAuthentication cmdlet. U moet dit doen voor elke Windows PowerShell-sessie waarvoor cmdlets worden uitgevoerd die rechtstreeks verbinding met de Azure Rights Management-service maken.You must do this for each Windows PowerShell session that runs cmdlets that directly connect to the Azure Rights Management service. Voordat u deze cmdlet uitvoert, moet u deze drie id's hebben:Before you run this cmdlet, you must have these three identifiers:

  • BposTenantIdBposTenantId

  • AppPrincipalIdAppPrincipalId

  • Symmetrische sleutelSymmetric Key

U kunt de volgende Power shell-opdrachten en commentaar instructies gebruiken om automatisch de waarden voor de id's op te halen en de cmdlet Set-RMSServerAuthentication uit te voeren.You can use the following PowerShell commands and commented instructions to automatically get the values for the identifiers and run the Set-RMSServerAuthentication cmdlet. Of u kunt de waarden hand matig ophalen en opgeven.Or, you can manually get and specify the values.

Om automatisch de waarden op te halen en set-RMSServerAuthentication uit te voeren:To automatically get the values and run Set-RMSServerAuthentication:

# Make sure that you have the AIPService and MSOnline modules installed

$ServicePrincipalName="<new service principal name>"
Connect-AipService
$bposTenantID=(Get-AipServiceConfiguration).BPOSId
Disconnect-AipService
Connect-MsolService
New-MsolServicePrincipal -DisplayName $ServicePrincipalName

# Copy the value of the generated symmetric key

$symmetricKey="<value from the display of the New-MsolServicePrincipal command>"
$appPrincipalID=(Get-MsolServicePrincipal | Where { $_.DisplayName -eq $ServicePrincipalName }).AppPrincipalId
Set-RMSServerAuthentication -Key $symmetricKey -AppPrincipalId $appPrincipalID -BposTenantId $bposTenantID

In de volgende secties wordt uitgelegd hoe u deze waarden hand matig kunt ophalen en opgeven, met meer informatie over elke waarde.The next sections explain how to manually get and specify these values, with more information about each one.

De BposTenantId ophalenTo get the BposTenantId

Voer de cmdlet Get-AipServiceConfiguration uit vanuit de Windows Power shell-module Azure RMS:Run the Get-AipServiceConfiguration cmdlet from the Azure RMS Windows PowerShell module:

  1. Zie de AIPService Power shell-module installerenals deze module nog niet op uw computer is geïnstalleerd.If this module is not already installed on your computer, see Installing the AIPService PowerShell module.

  2. Start Windows PowerShell met de optie Als administrator uitvoeren.Start Windows PowerShell with the Run as Administrator option.

  3. Gebruik de cmdlet Connect-AipService om verbinding te maken met de Azure Rights Management-service:Use the Connect-AipService cmdlet to connect to the Azure Rights Management service:

     Connect-AipService
    

    Voer uw Azure Information Protection Tenant beheerders referenties in als dit wordt gevraagd.When prompted, enter your Azure Information Protection tenant administrator credentials. Normaal gesp roken gebruikt u een account dat een globale beheerder is voor Azure Active Directory of Office 365.Typically, you use an account that is a global administrator for Azure Active Directory or Office 365.

  4. Voer Get-AipServiceConfiguration en kopieer de BPOSId-waarde.Run Get-AipServiceConfiguration and make a copy of the BPOSId value.

    Een voor beeld van uitvoer van Get-AipServiceConfiguration:An example of output from Get-AipServiceConfiguration:

         BPOSId                                   : 23976bc6-dcd4-4173-9d96-dad1f48efd42
    
         RightsManagement ServiceId               : 1a302373-f233-440600909-4cdf305e2e76
    
         LicensingIntranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
         LicensingExtranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
         CertificationIntranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
         CertificationExtranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
  5. De verbinding met de service verbreken:Disconnect from the service:

     Disconnect-AipService
    
De AppPrincipalId en de symmetrische sleutel ophalenTo get the AppPrincipalId and Symmetric Key

Maak een nieuwe service-principal door de cmdlet New-MsolServicePrincipal van de MSOnline PowerShell-module voor Azure Active Directory uit te voeren en gebruik hierbij de volgende instructies.Create a new service principal by running the New-MsolServicePrincipal cmdlet from the MSOnline PowerShell module for Azure Active Directory and use the following instructions.

Belangrijk

Gebruik niet de nieuwere Azure AD PowerShell-cmdlet New-AzureADServicePrincipal om deze service-principal te maken.Do not use the newer Azure AD PowerShell cmdlet, New-AzureADServicePrincipal, to create this service principal. De Azure Rights Management-service ondersteunt New-AzureADServicePrincipal namelijk niet.The Azure Rights Management service does not support New-AzureADServicePrincipal.

  1. Als de MSOnline-module nog niet is geïnstalleerd op uw computer, voert u Install-Module MSOnline uit.If the MSOnline module is not already installed on your computer, run Install-Module MSOnline.

  2. Start Windows PowerShell met de optie Als administrator uitvoeren.Start Windows PowerShell with the Run as Administrator option.

  3. Gebruik de cmdlet Connect-MsolService om verbinding te maken met Azure AD:Use the Connect-MsolService cmdlet to connect to Azure AD:

     Connect-MsolService
    

    Wanneer u hierom wordt gevraagd, voert u de referenties van uw Azure AD-Tenant beheerder in (meestal gebruikt u een account dat een globale beheerder is voor Azure Active Directory of Office 365).When prompted, enter your Azure AD tenant administrator credentials (typically, you use an account that is a global administrator for Azure Active Directory or Office 365).

  4. Voer de cmdlet New-MsolServicePrincipal uit om een nieuwe service-principal te maken:Run the New-MsolServicePrincipal cmdlet to create a new service principal:

     New-MsolServicePrincipal
    

    Voer desgevraagd een weergavenaam naar keuze in, zodat u deze service-principal later eenvoudig kunt herkennen als een account waarmee u verbinding met de Azure Rights Management-service kunt maken om bestanden te beveiligen of de beveiliging van bestanden op te heffen.When prompted, enter your choice of a display name for this service principal that helps you to identify its purpose later as an account for you to connect to the Azure Rights Management service so that you can protect and unprotect files.

    Een voorbeeld van de uitvoer van New-MsolServicePrincipal:An example of the output of New-MsolServicePrincipal:

     Supply values for the following parameters:
    
     DisplayName: AzureRMSProtectionServicePrincipal
     The following symmetric key was created as one was not supplied
     zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=
    
     Display Name: AzureRMSProtectionServicePrincipal
     ServicePrincipalNames: (b5e3f7g1-b5c2-4c96-a594-a0807f65bba4)
     ObjectId: 23720996-593c-4122-bfc7-1abb5a0b5109
     AppPrincialId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4
     TrustedForDelegation: False
     AccountEnabled: True
     Addresses: ()
     KeyType: Symmetric
     KeyId: 8ef61651-ca11-48ea-a350-25834a1ba17c
     StartDate: 3/7/2014 4:43:59 AM
     EndDate: 3/7/2014 4:43:59 AM
     Usage: Verify
    
  5. Noteer de symmetrische sleutel en de AppPrincialId in de uitvoer.From this output, make a note of the symmetric key and the AppPrincialId.

    Het is belang rijk dat u nu een kopie maakt van deze symmetrische sleutel.It is important that you make a copy of this symmetric key, now. U kunt deze sleutel later niet ophalen, dus als u deze niet kent wanneer u de volgende keer wilt verifiëren bij de Azure Rights Management-service, moet u een nieuwe service-principal maken.You cannot retrieve this key later, so if you do not know it when you next need to authenticate to the Azure Rights Management service, you will have to create a new service principal.

Op basis van deze instructies en onze voorbeelden beschikken we nu over de drie id’s die nodig zijn om Set-RMSServerAuthentication uit te voeren:From these instructions and our examples, we have the three identifiers required to run Set-RMSServerAuthentication:

  • Tenant-id: 23976bc6-dcd4-4173-9d96-dad1f48efd42Tenant Id: 23976bc6-dcd4-4173-9d96-dad1f48efd42

  • Symmetrische sleutel: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=Symmetric key: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=

  • AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4

Onze voorbeeldopdracht ziet er als volgt uit:Our example command would then look like the following:

Set-RMSServerAuthentication -Key zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=-AppPrincipalId b5e3f76a-b5c2-4c96-a594-a0807f65bba4-BposTenantId 23976bc6-dcd4-4173-9d96-dad1f48efd42

Zoals in de vorige opdracht wordt weer gegeven, kunt u de waarden opgeven met één opdracht, die u in een script zou doen om niet-interactief te worden uitgevoerd.As shown in the previous command, you can supply the values with a single command, which you would do in a script to run non-interactively. Voor test doeleinden kunt u alleen set-RMSServerAuthentication typen en de waarden één voor één opgeven wanneer u hierom wordt gevraagd.But for testing purposes, you can just type Set-RMSServerAuthentication, and supply the values one-by-one when prompted. Wanneer de opdracht is voltooid, wordt de client nu uitgevoerd in server modus, die geschikt is voor niet-interactief gebruik zoals scripts en infra structuur voor bestands classificatie van Windows Server.When the command completes, the client is now operating in "server mode", which is suitable for non-interactive use such as scripts and Windows Server File Classification Infrastructure.

Overweeg dit Service-Principal-account een super gebruiker te maken: Om ervoor te zorgen dat dit Service-Principal-account bestanden voor anderen altijd kan beveiligen, kan het worden geconfigureerd als super gebruiker.Consider making this service principal account a super user: To ensure that this service principal account can always unprotect files for others, it can be configured to be a super user. Op dezelfde manier als u een standaard gebruikers account configureert als super gebruiker, gebruikt u dezelfde Azure RMS cmdlet, add-AipServiceSuperUser, maar geeft u de para meter ServicePrincipalId op met uw AppPrincipalId-waarde.In the same way as you configure a standard user account to be a super user, you use the same Azure RMS cmdlet, Add-AipServiceSuperUser, but specify the ServicePrincipalId parameter with your AppPrincipalId value.

Zie Super gebruikers configureren voor Azure Information Protection en detectie Services of gegevens herstelvoor meer informatie over super gebruikers.For more information about super users, see Configuring super users for Azure Information Protection and discovery services or data recovery.

Notitie

Als u uw eigen account wilt gebruiken voor de verificatie bij de Azure Rights Management-service, hoeft u Set-RMSServerAuthentication niet uit te voeren voordat u bestanden beveiligt, de beveiliging van bestanden opheft of sjablonen ophaalt.To use your own account to authenticate to the Azure Rights Management service, there's no need to run Set-RMSServerAuthentication before you protect or unprotect files, or get templates.

Vereiste 4: Voor regio's buiten Noord-AmerikaPrerequisite 4: For regions outside North America

Wanneer u een Service-Principal-account gebruikt om bestanden te beveiligen en sjablonen te downloaden buiten de Azure-Noord-Amerika regio, moet u het REGI ster bewerken:When you use a service principal account to protect files and download templates outside the Azure North America region, you must edit the registry:

  1. Voer de cmdlet Get-AipServiceConfiguration opnieuw uit en noteer de waarden voor CertificationExtranetDistributionPointUrl en LicensingExtranetDistributionPointUrl.Run the Get-AipServiceConfiguration cmdlet again, and make a note of the values for CertificationExtranetDistributionPointUrl and LicensingExtranetDistributionPointUrl.

  2. Open de REGI ster-editor op elke computer waarop u de AzureInformationProtection-cmdlets wilt uitvoeren.On each computer where you will run the AzureInformationProtection cmdlets, open the registry editor.

  3. Navigeer naar het volgende pad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation.Navigate to the following path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation.

    Als u de sleutel MSIPC of ServiceLocation niet ziet, maakt u deze.If you do not see the MSIPC key or ServiceLocation key, create them.

  4. Als de ServiceLocation-sleutel geen sleutels bevat, maat u de volgende twee sleutels: EnterpriseCertification en EnterprisePublishing.For the ServiceLocation key, create two keys if they do not exist, named EnterpriseCertification and EnterprisePublishing.

    Voor de teken reeks waarde die automatisch voor deze sleutels wordt gemaakt, wijzigt u de naam (standaard) niet, maar bewerkt u de teken reeks om de waardegegevens in te stellen:For the string value that's automatically created for these keys, do not change the Name of "(Default)", but edit the string to set the Value data:

    • Plak voor EnterpriseCertification uw CertificationExtranetDistributionPointUrl-waarde.For EnterpriseCertification, paste your CertificationExtranetDistributionPointUrl value.

    • Plak voor EnterprisePublishing uw LicensingExtranetDistributionPointUrl-waarde.For EnterprisePublishing, paste your LicensingExtranetDistributionPointUrl value.

      Zo moet uw register vermelding voor EnterpriseCertification er ongeveer als volgt uitzien:For example, your registry entry for EnterpriseCertification should look similar to the following:

      Het REGI ster voor Azure Information Protection Power shell-module voor regio's buiten Noord-Amerika bewerken

  5. Sluit de Register-editor.Close the registry editor. U hoeft de computer niet opnieuw op te starten.There is no need to restart your computer. Als u echter een service-principalaccount in plaats van uw eigen gebruikersaccount gebruikt, moet u de opdracht Set-RMSServerAuthentication uitvoeren nadat u deze registerbewerking hebt uitgevoerd.However, if you are using a service principal account rather than your own user account, you must run the Set-RMSServerAuthentication command after making this registry edit.

Voorbeeldscenario's voor het gebruik van de cmdlets voor Azure Information Protection en de Azure Rights Management-serviceExample scenarios for using the cmdlets for Azure Information protection and the Azure Rights Management service

Het is efficiënter om labels te gebruiken om bestanden te classificeren en te beveiligen, omdat er slechts twee cmdlets zijn die u nodig hebt, die door zichzelf of samen kunnen worden uitgevoerd: Get-AIPFileStatus en set-AIPFileLabel.It's more efficient to use labels to classify and protect files, because there are just two cmdlets that you need, which can be run by themselves or together: Get-AIPFileStatus and Set-AIPFileLabel. Gebruik de Help voor deze beide cmdlets voor meer informatie en voorbeelden.Use the help for both these cmdlets for more information and examples.

Als u bestanden wilt beveiligen of de beveiliging wilt opheffen door rechtstreeks verbinding met de Azure Rights Management-service te maken, moet u doorgaans een reeks cmdlets uitvoeren, zoals hierna wordt beschreven.However, to protect or unprotect files by directly connecting to the Azure Rights Management service, you must typically run a series of cmdlets as described next.

Als u zich eerst bij de Azure Rights Management-service moet verifiëren met een Service-Principal-account in plaats van uw eigen account te gebruiken, typt u in een Power shell-sessie:First, if you need to authenticate to the Azure Rights Management service with a service principal account rather than use your own account, in a PowerShell session, type:

Set-RMSServerAuthentication

Wanneer u hierom wordt gevraagd, voert u de drie id's in, zoals beschreven in vereiste 3: Om bestanden te beveiligen of de beveiliging op teheffen zonder tussen komst van de gebruiker.When prompted, enter the three identifiers as described in Prerequisite 3: To protect or unprotect files without user interaction.

Voordat u bestanden kunt beveiligen, moet u Rights Management-sjablonen downloaden naar uw computer en bepalen welke sjabloon u moet gebruiken en wat daarvan de id is.Before you can protect files, you must download the Rights Management templates to your computer and identify which one to use and its corresponding ID number. U kunt vervolgens in de uitvoer de sjabloon-id kopiëren:From the output, you can then copy the template ID:

Get-RMSTemplate

De uitvoer ziet er ongeveer als volgt uit:Your output might look similar to the following:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True

TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Als u de opdracht Set-RMSServerAuthentication niet hebt uitgevoerd, wordt voor de verificatie bij de Azure Rights Management-service uw eigen gebruikersaccount gebruikt.Note that if you didn't run the Set-RMSServerAuthentication command, you are authenticated to the Azure Rights Management service by using your own user account. Als u een computer gebruikt die lid is van een domein, worden automatisch altijd uw huidige referenties gebruikt.If you are on a domain-joined computer, your current credentials are always used automatically. Als u een werkgroepcomputer gebruikt, wordt u gevraagd zich aan te melden bij Azure en worden deze referenties voor de volgende opdrachten opgeslagen in het cachegeheugen.If you are on a workgroup computer, you are prompted to sign in to Azure, and these credentials are then cached for subsequent commands. Als u zich in dit scenario later moet aanmelden als een andere gebruiker, gebruikt u de cmdlet Clear-RMSAuthentication.In this scenario, if you later need to sign in as a different user, use the Clear-RMSAuthentication cmdlet.

Nu u weet wat de sjabloon-id is, kunt u deze gebruiken in met de cmdlet Protect-RMSFile om één of alle bestanden in een map te beveiligen.Now you know the template ID, you can use it with the Protect-RMSFile cmdlet to protect a single file or all files in a folder. Als u bijvoorbeeld slechts één bestand wilt beveiligen en het origineel wilt overschrijven door gebruik te maken van de sjabloon Contoso, Ltd - Vertrouwelijk:For example, if you want to protect a single file only and overwrite the original, by using the "Contoso, Ltd - Confidential" template:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

De uitvoer ziet er ongeveer als volgt uit:Your output might look similar to the following:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

Als u alle bestanden in een map wilt beveiligen, gebruikt u de parameter -Folder met een stationsletter en pad, of UNC-pad.To protect all files in a folder, use the -Folder parameter with a drive letter and path, or UNC path. Bijvoorbeeld:For example:

Protect-RMSFile -Folder \Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

De uitvoer ziet er ongeveer als volgt uit:Your output might look similar to the following:

InputFile                          EncryptedFile
---------                          -------------
\Server1\Documents\Test1.docx     \Server1\Documents\Test1.docx
\Server1\Documents\Test2.docx     \Server1\Documents\Test2.docx
\Server1\Documents\Test3.docx     \Server1\Documents\Test3.docx
\Server1\Documents\Test4.docx     \Server1\Documents\Test4.docx

Wanneer de bestandsextensie niet wordt gewijzigd nadat de beveiliging is toegepast, kunt u later altijd de cmdlet Get-RMSFileStatus gebruiken om te controleren of het bestand is beveiligd.When the file name extension does not change after the protection is applied, you can always use the Get-RMSFileStatus cmdlet later to check whether the file is protected. Bijvoorbeeld:For example:

Get-RMSFileStatus -File \Server1\Documents\Test1.docx

De uitvoer ziet er ongeveer als volgt uit:Your output might look similar to the following:

FileName                              Status
--------                              ------
\Server1\Documents\Test1.docx         Protected

Als u de beveiliging van een bestand wilt opheffen, moet u de rechten voor eigenaar of extra heren hebben van wanneer het bestand is beveiligd.To unprotect a file, you must have Owner or Extract rights from when the file was protected. Of u moet de cmdlets uitvoeren als een super gebruiker.Or, you must run the cmdlets as a super user. Gebruik vervolgens de cmdlet Unprotect.Then, use the Unprotect cmdlet. Bijvoorbeeld:For example:

Unprotect-RMSFile C:\test.docx -InPlace

De uitvoer ziet er ongeveer als volgt uit:Your output might look similar to the following:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Als de Rights Management-sjablonen worden gewijzigd, moet u ze opnieuw downloaden met Get-RMSTemplate -force.Note that if the Rights Management templates are changed, you must download them again with Get-RMSTemplate -force.

Active Directory Rights Management ServicesActive Directory Rights Management Services

Lees deze sectie voordat u de PowerShell-opdrachten gebruikt om bestanden te beveiligen of de beveiliging op te heffen wanneer uw organisatie alleen Active Directory Rights Management-services gebruikt.Read this section before you start using the PowerShell commands to protect or unprotect files when your organization uses just Active Directory Rights Management Services.

VereistenPrerequisites

Naast de vereisten voor het installeren van de AzureInformationProtection-module moet het account dat wordt gebruikt om bestanden te beveiligen of de beveiliging op te heffen, de machtigingen lezen en uitvoeren hebben voor toegang tot ServerCertification. asmx:In addition to the prerequisites for installing the AzureInformationProtection module, the account used to protect or unprotect files must have Read and Execute permissions to access ServerCertification.asmx:

  1. Meld u bij een AD RMS-server.Log on to an AD RMS server.

  2. Klik op Start en klik vervolgens op Computer.Click Start, and then click Computer.

  3. Ga in de Bestandenverkenner naar %systemdrive%\Initpub\wwwroot_wmsc\Certification.In File Explorer, navigate to %systemdrive%\Initpub\wwwroot_wmsc\Certification.

  4. Klik met de rechtermuisknop op ServerCertification.asmx en klik vervolgens op Eigenschappen.Right-click ServerCertification.asmx, then click Properties.

  5. Klik in het dialoogvenster Eigenschappen van ServerCertification.asmx op het tabblad Beveiliging.In the ServerCertification.asmx Properties dialog box, click the Security tab.

  6. Klik op de knop Doorgaan of Bewerken.Click the Continue button or the Edit button.

  7. Klik in het dialoogvenster Machtigingen voor ServerCertification.asmx op Toevoegen.In the Permissions for ServerCertification.asmx dialog box, click Add.

  8. Voeg uw accountnaam toe.Add your account name. Als andere AD RMS beheerders of service accounts deze cmdlets ook gebruiken om bestanden te beveiligen en de beveiliging op te heffen, voegt u deze accounts eveneens toe.If other AD RMS administrators or service accounts will also use these cmdlets to protect and unprotect files, add those accounts as well.

    Als u bestanden niet interactief wilt beveiligen of de beveiliging wilt opheffen, voegt u het betreffende computer account of de relevante accounts toe.To protect or unprotect files non-interactively, add the relevant computer account or accounts. Voeg bijvoorbeeld het computer account toe van de Windows Server-computer die is geconfigureerd voor infra structuur voor bestands classificatie, en gebruik een Power shell-script om bestanden te beveiligen.For example, add the computer account of the Windows Server computer that is configured for File Classification Infrastructure and will use a PowerShell script to protect files.

  9. Zorg ervoor dat in de kolom Toestaan de selectievakjes Lezen en uitvoeren en Lezen zijn ingeschakeld.In the Allow column, make sure that the Read and Execute, and the Read checkboxes are selected.

10. Klik twee keer op OK.10.Click OK twice.

Voorbeeldscenario's voor het gebruik van de cmdlets voor Active Directory Rights Management ServicesExample scenarios for using the cmdlets for Active Directory Rights Management Services

Een veelvoorkomend scenario voor deze cmdlets is een scenario waarbij all bestanden in een map moeten worden beveiligd met een rechtenbeleidssjabloon of de beveiliging van een bestand moet worden opgeheven.A typical scenario for these cmdlets is to protect all files in a folder by using a rights policy template, or to unprotect a file.

Als u meerdere AD RMS-implementaties hebt, hebt u de namen van uw AD RMS-servers nodig. U kunt de cmdlet Get-RMSServer gebruiken om een lijst met beschikbare servers weer te geven:First, if you have more than one deployment of AD RMS, you need the names of your AD RMS servers, which you do by using the Get-RMSServer cmdlet to display a list of available servers:

Get-RMSServer

De uitvoer ziet er ongeveer als volgt uit:Your output might look similar to the following:

Number of RMS Servers that can provide templates: 2 
ConnectionInfo             DisplayName          AllowFromScratch
--------------             -------------        ----------------
Microsoft.InformationAnd…  RmsContoso                       True
Microsoft.InformationAnd…  RmsFabrikam                      True

Voordat u bestanden kunt beveiligen, moet u een lijst met de RMS-sjablonen ophalen om te bepalen welke sjabloon en bijbehorend id-nummer u wilt gebruiken.Before you can protect files, you need to get a list of RMS templates to identify which one to use and its corresponding ID number. Alleen wanneer u meer dan een AD RMS-implementatie hebt, moet u ook de RMS-server opgeven.Only when you have more than one AD RMS deployment do you need to specify the RMS server as well.

U kunt vervolgens in de uitvoer de sjabloon-id kopiëren:From the output, you can then copy the template ID:

Get-RMSTemplate -RMSServer RmsContoso

De uitvoer ziet er ongeveer als volgt uit:Your output might look similar to the following:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True


TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Nu u weet wat de sjabloon-id is, kunt u deze gebruiken in met de cmdlet Protect-RMSFile om één of alle bestanden in een map te beveiligen.Now you know the template ID, you can use it with the Protect-RMSFile cmdlet to protect a single file or all files in a folder. Als u bijvoorbeeld slechts één bestand wilt beveiligen en het origineel wilt vervangen door gebruik te maken van de sjabloon Contoso, Ltd - Vertrouwelijk:For example, if you want to protect a single file only and replace the original, by using the "Contoso, Ltd - Confidential" template:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

De uitvoer ziet er ongeveer als volgt uit:Your output might look similar to the following:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx   

Als u alle bestanden in een map wilt beveiligen, gebruikt u de parameter -Folder met een stationsletter en pad, of UNC-pad.To protect all files in a folder, use the -Folder parameter with a drive letter and path, or UNC path. Bijvoorbeeld:For example:

Protect-RMSFile -Folder \\Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

De uitvoer ziet er ongeveer als volgt uit:Your output might look similar to the following:

InputFile                          EncryptedFile
---------                          -------------
\\Server1\Documents\Test1.docx     \\Server1\Documents\Test1.docx   
\\Server1\Documents\Test2.docx     \\Server1\Documents\Test2.docx   
\\Server1\Documents\Test3.docx     \\Server1\Documents\Test3.docx   
\\Server1\Documents\Test4.docx     \\Server1\Documents\Test4.docx   

Wanneer de bestands extensie niet wordt gewijzigd nadat de beveiliging is toegepast, kunt u de cmdlet Get-RMSFileStatus later altijd gebruiken om te controleren of het bestand is beveiligd.When the file name extension does not change after protection is applied, you can always use the Get-RMSFileStatus cmdlet later to check whether the file is protected. Bijvoorbeeld:For example:

Get-RMSFileStatus -File \\Server1\Documents\Test1.docx

De uitvoer ziet er ongeveer als volgt uit:Your output might look similar to the following:

FileName                              Status
--------                              ------
\\Server1\Documents\Test1.docx        Protected

Als u de beveiliging van een bestand wilt opheffen, moet u een eigenaar hebben of de gebruiks rechten ophalen van wanneer het bestand is beveiligd, of een super gebruiker zijn voor AD RMS.To unprotect a file, you must have Owner or Extract usage rights from when the file was protected, or be super user for AD RMS. Gebruik vervolgens de cmdlet Unprotect.Then, use the Unprotect cmdlet. Bijvoorbeeld:For example:

Unprotect-RMSFile C:\test.docx -InPlace

De uitvoer ziet er ongeveer als volgt uit:Your output might look similar to the following:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Bestanden niet-interactief labelen voor Azure Information ProtectionHow to label files non-interactively for Azure Information Protection

U kunt de cmdlets voor labelen niet-interactief uitvoeren met behulp van de cmdlet set-AIPAuthentication .You can run the labeling cmdlets non-interactively by using the Set-AIPAuthentication cmdlet. Er is ook een niet-interactieve bewerking vereist voor de Azure Information Protection scanner.Non-interactive operation is also required for the Azure Information Protection scanner.

Wanneer u de cmdlets voor labelen uitvoert, worden de opdrachten standaard uitgevoerd in uw eigen gebruikerscontext in een interactieve PowerShell-sessie.By default, when you run the cmdlets for labeling, the commands run in your own user context in an interactive PowerShell session. Als u de opdrachten zonder toezicht wilt uitvoeren, maakt u een nieuw Azure AD-gebruikersaccount voor dit doel.To run them unattended, create a new Azure AD user account for this purpose. Vervolgens voert u in de context van die gebruiker de cmdlet Set-AIPAuthentication uit om referenties in te stellen en op te slaan met een toegangstoken van Azure AD.Then, in the context of that user, run the Set-AIPAuthentication cmdlet to set and store credentials by using an access token from Azure AD. Dit gebruikersaccount wordt vervolgens geverifieerd en er wordt opnieuw opgestart voor de Azure Rights Management-service.This user account is then authenticated and bootstrapped for the Azure Rights Management service. Met het account wordt het Azure Information Protection-beleid en alle Rights Management-sjablonen die gebruikmaken van de labels, gedownload.The account downloads the Azure Information Protection policy and any Rights Management templates that the labels use.

Notitie

Als u scoped policiesgebruikt, moet u dit account mogelijk toevoegen aan het bereik van uw beleid.If you use scoped policies, remember that you might need to add this account to your scoped policies.

De eerste keer dat u deze cmdlet uitvoert, wordt u gevraagd u aan te melden voor Azure Information Protection.The first time you run this cmdlet, you are prompted to sign in for Azure Information Protection. Geef de naam en het wacht woord van het gebruikers account op dat u hebt gemaakt voor de gebruiker zonder toezicht.Specify the user account name and password that you created for the unattended user. Daarna kunnen met dit account cmdlets voor labelen niet-interactief worden uitgevoerd totdat het verificatietoken is verlopen.After that, this account can then run the labeling cmdlets non-interactively until the authentication token expires.

Als u wilt dat het gebruikers account zich voor de eerste keer interactief kan aanmelden, moet het account lokaal aanmelden hebben.For the user account to be able to sign in interactively this first time, the account must have the Log on locally right. Dit recht is standaard voor gebruikers accounts, maar uw bedrijfs beleid kan deze configuratie voor service accounts verbieden.This right is standard for user accounts but your company policies might prohibit this configuration for service accounts. Als dat het geval is, kunt u set-AIPAuthentication met de para meter token uitvoeren, zodat de verificatie is voltooid zonder de aanmeldings prompt.If that's the case, you can run Set-AIPAuthentication with the Token parameter so that authentication completes without the sign-in prompt. U kunt deze opdracht uitvoeren als een geplande taak en het account rechtsonder van Aanmelden als batch-taakverlenen.You can run this command as a scheduled task and grant the account the lower right of Log on as batch job. Zie de volgende secties voor meer informatie.For more information, see the following sections.

Wanneer het token verloopt, voert u de cmdlet opnieuw uit om een nieuw token te verkrijgen.When the token expires, run the cmdlet again to acquire a new token.

Als u deze cmdlet zonder parameters uitvoert, wordt met het account een toegangstoken opgehaald dat gedurende 90 dagen geldig is of totdat uw wachtwoord is verlopen.If you run this cmdlet without parameters, the account acquires an access token that is valid for 90 days or until your password expires.

Als u wilt bepalen wanneer het toegangstoken is verlopen, voert u deze cmdlet uit met parameters.To control when the access token expires, run this cmdlet with parameters. U kunt dan configureren dat het toegangstoken één of twee jaar geldig is of dat het nooit verloopt.This lets you configure the access token for one year, two years, or to never expire. Voor deze configuratie moet u twee toepassingen registreren in Azure Active Directory: Een Web-app/API- toepassing en een systeem eigen toepassing.This configuration requires you to have two applications registered in Azure Active Directory: A Web app / API application and a native application. Voor de parameters voor deze cmdlet worden waarden van deze toepassingen gebruikt.The parameters for this cmdlet use values from these applications.

Nadat u deze cmdlet hebt uitgevoerd, kunt u de cmdlets voor labelen uitvoeren in de context van het gebruikersaccount dat u hebt gemaakt.After you have run this cmdlet, you can run the labeling cmdlets in the context of the user account that you created.

De Azure AD-toepassingen voor Set-AIPAuthentication maken en configurerenTo create and configure the Azure AD applications for Set-AIPAuthentication

  1. Meld u in een nieuw browservenster aan bij Azure Portal.In a new browser window, sign in the Azure portal.

  2. Voor de Azure AD-Tenant die u met Azure Information Protection gebruikt, gaat u naar Azure Active Directory > app-registraties beheren > .For the Azure AD tenant that you use with Azure Information Protection, navigate to Azure Active Directory > Manage > App registrations.

  3. Selecteer + nieuwe registratieom de/API-toepassing van uw web-app te maken.Select + New registration, to create your Web app /API application. Geef op de Blade een toepassing registreren de volgende waarden op en klik vervolgens op registreren:On the Register an application blade, specify the following values, and then click Register:

    • Naam:AIPOnBehalfOfName: AIPOnBehalfOf

      U kunt desgewenst een andere naam opgeven.If you prefer, specify a different name. Deze naam moet uniek voor de tenant zijn.It must be unique per tenant.

    • Ondersteunde account typen: Accounts in deze organisatie-Directory alleenSupported account types: Accounts in this organizational directory only

    • Omleidings-URI (optioneel) : Web -enhttp://localhostRedirect URI (optional): Web and http://localhost

  4. Kopieer op de Blade AIPOnBehalfOf de waarde voor de toepassings-id (client) .On the AIPOnBehalfOf blade, copy the value for the Application (client) ID. De waarde ziet er ongeveer uit als in het 57c3c1c3-abf9-404e-8b2b-4652836c8c66volgende voor beeld:.The value looks similar to the following example: 57c3c1c3-abf9-404e-8b2b-4652836c8c66. Deze waarde wordt gebruikt voor de para meter WebAppId wanneer u de cmdlet Set-AIPAuthentication uitvoert.This value is used for the WebAppId parameter when you run the Set-AIPAuthentication cmdlet. Plak de waarde voor later en sla deze op.Paste and save the value for later reference.

  5. Selecteer op de Blade AIPOnBehalfOf de optie verificatiein het menu beheren .Still on the AIPOnBehalfOf blade, from the Manage menu, select Authentication.

  6. Schakel op de Blade AIPOnBehalfOf-Authentication in het gedeelte Geavanceerde instellingen het selectie vakje id-tokens in en selecteer vervolgens Opslaan.On the AIPOnBehalfOf - Authentication blade, in the Advanced settings section, select the ID tokens checkbox, and then select Save.

  7. Selecteer op de Blade AIPOnBehalfOf-Authentication in het menu beheren de optie Certificaten & geheimen.Still on the AIPOnBehalfOf - Authentication blade, from the Manage menu, select Certificates & secrets.

  8. Selecteer op de Blade AIPOnBehalfOf-certificaten & geheimen in de sectie client geheimen de optie + Nieuw client Secret.On the AIPOnBehalfOf - Certificates & secrets blade, in the Client secrets section, select + New client secret.

  9. Voor het toevoegen van een client geheim, geeft u het volgende op en selecteert u vervolgens toevoegen:For Add a client secret, specify the following, and then select Add:

    • Beschrijving:Azure Information Protection clientDescription: Azure Information Protection client
    • Verlooptop: Geef de gewenste duur op (1 jaar, 2 jaar of nooit verlopen)Expires: Specify your choice of duration (1 year, 2 years, or never expires)
  10. Op de Blade AIPOnBehalfOf-certificaten & geheimen gaat u naar de sectie client geheimen en kopieert u de teken reeks voor de waarde.Back on the AIPOnBehalfOf - Certificates & secrets blade, in the Client secrets section, copy the string for the VALUE. Deze teken reeks ziet er ongeveer uit als in +LBkMvddz?WrlNCK5v0e6_=meM59sSAnhet volgende voor beeld:.This string looks similar to the following example: +LBkMvddz?WrlNCK5v0e6_=meM59sSAn. Om ervoor te zorgen dat u alle tekens kopieert, selecteert u het pictogram om naar het klem bord te kopiëren.To make sure you copy all the characters, select the icon to Copy to clipboard.

    Het is belangrijk dat u deze tekenreeks opslaat omdat deze niet opnieuw wordt weergegeven en niet kan worden opgehaald.It's important that you save this string because it is not displayed again and it cannot be retrieved. Net als bij alle gevoelige informatie die u gebruikt, slaat u de opgeslagen waarde veilig op en beperkt u de toegang.As with any sensitive information that you use, store the saved value securely and restrict access to it.

  11. Selecteer nog steeds op de Blade AIPOnBehalfOf-certificaten & geheimen in het menu beheren de optie een API beschikbaarmaken.Still on the AIPOnBehalfOf - Certificates & secrets blade, from the Manage menu, select Expose an API.

  12. Op de Blade AIPOnBehalfOf-een API weer geven selecteert u instellen voor de URI-optie voor de toepassings-id en wijzigt u in de URI-waarde van de toepassings-id de API in http.On the AIPOnBehalfOf - Expose an API blade, select Set for the Application ID URI option, and in the Application ID URI value, change api to http. Deze teken reeks ziet er ongeveer uit als in http://d244e75e-870b-4491-b70d-65534953099ehet volgende voor beeld:.This string looks similar to the following example: http://d244e75e-870b-4491-b70d-65534953099e.

    Selecteer Opslaan.Select Save.

  13. Klik op de AIPOnBehalfOf-weer geven een API- Blade en selecteer + een bereik toevoegen.Back on the AIPOnBehalfOf - Expose an API blade, select + Add a scope.

  14. Geef op de Blade een bereik toevoegen het volgende op, gebruik de voorgestelde teken reeksen als voor beelden en selecteer vervolgens bereik toevoegen:On the Add a scope blade, specify the following, using the suggested strings as examples, and then select Add scope:

    • Scope naam:user-impersonationScope name: user-impersonation
    • Wie kan toestemming geven? : Beheerders en gebruikersWho can consent?: Admins and users
    • Weergave naam van beheerders toestemming:Access Azure Information Protection scannerAdmin consent display name: Access Azure Information Protection scanner
    • Beschrijving van beheerders toestemming:Allow the application to access the scanner for the signed-in userAdmin consent description: Allow the application to access the scanner for the signed-in user
    • Weergave naam van de gebruikers toestemming:Access Azure Information Protection scannerUser consent display name: Access Azure Information Protection scanner
    • Beschrijving van de gebruikers toestemming:Allow the application to access the scanner for the signed-in userUser consent description: Allow the application to access the scanner for the signed-in user
    • Status: Ingeschakeld (de standaard instelling)State: Enabled (the default)
  15. Sluit deze Blade op de AIPOnBehalfOf-weer geven een API- Blade.Back on the AIPOnBehalfOf - Expose an API blade, close this blade.

  16. Selecteer op de blade app-registraties + nieuwe toepassings registratie om nu uw systeem eigen toepassing te maken.On the App registrations blade, select + New application registration to now create your native application.

  17. Geef op de Blade een toepassing registreren de volgende instellingen op en selecteer vervolgens registreren:On the Register an application blade, specify the following settings, and then select Register:

    • Naam:AIPClientName: AIPClient
    • Ondersteunde account typen: Accounts in deze organisatie-Directory alleenSupported account types: Accounts in this organizational directory only
    • Omleidings-URI (optioneel) : Open bare client (mobiele & bureau blad) enhttp://localhostRedirect URI (optional): Public client (mobile & desktop) and http://localhost
  18. Kopieer op de Blade AIPClient de waarde van de toepassings-id (client) .On the AIPClient blade, copy the value of the Application (client) ID. De waarde ziet er ongeveer uit als in het 8ef1c873-9869-4bb1-9c11-8313f9d7f76fvolgende voor beeld:.The value looks similar to the following example: 8ef1c873-9869-4bb1-9c11-8313f9d7f76f.

    Deze waarde wordt gebruikt voor de para meter NativeAppId wanneer u de cmdlet Set-AIPAuthentication uitvoert.This value is used for the NativeAppId parameter when you run the Set-AIPAuthentication cmdlet. Plak de waarde voor later en sla deze op.Paste and save the value for later reference.

  19. Selecteer op de Blade AIPClient de optie verificatiein het menu beheren .Still on the AIPClient blade, from the Manage menu, select Authentication.

  20. Geef op de Blade AIPClient-verificatie het volgende op en selecteer vervolgens Opslaan:On the AIPClient - Authentication blade, specify the following, and then select Save:

    • Selecteer in de sectie Geavanceerde instellingen id-tokens.In the Advanced settings section, select ID tokens.
    • Selecteer in de sectie type standaard client de optie Ja.In the Default client type section, select Yes.
  21. Selecteer nog steeds op de Blade AIPClient-Authentication in het menu beheren de optie API-machtigingen.Still on the AIPClient - Authentication blade, from the Manage menu, select API permissions.

  22. Selecteer op de Blade AIPClient-machtigingen + een machtiging toevoegen.On the AIPClient - permissions blade, select + Add a permission.

  23. Selecteer mijn api'sop de Blade API-machtigingen aanvragen .On the Request API permissions blade, select My APIs.

  24. Selecteer in de sectie een API selecteren de optie APIOnBehalfOfen schakel vervolgens het selectie vakje voor gebruikers imitatiein als de machtiging.In the Select an API section, select APIOnBehalfOf, then select the checkbox for user-impersonation, as the permission. Selecteer machtigingen toevoegen.Select Add permissions.

  25. Terug op de Blade API-machtigingen selecteert u in de sectie toestemming geven de optie beheerder <toestemming geven voor uw Tenant naam > en selecteert u Ja voor de bevestigings prompt.Back on the API permissions blade, in the Grant consent section, select Grant admin consent for <your tenant name> and select Yes for the confirmation prompt.

U hebt nu de configuratie van de twee apps voltooid en u beschikt over de waarden die u nodig hebt om set-AIPAuthentication uit te voeren met de para meters WebAppId, WebAppKey en NativeAppId.You've now completed the configuration of the two apps and you have the values that you need to run Set-AIPAuthentication with the parameters WebAppId, WebAppKey and NativeAppId. Uit onze voor beelden:From our examples:

Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "+LBkMvddz?WrlNCK5v0e6_=meM59sSAn" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f"

Voer deze opdracht uit in de context van het account waarmee de documenten niet-interactief worden gelabeld en beveiligd.Run this command in the context of the account that will label and protect the documents non-interactively. Bijvoorbeeld een gebruikers account voor uw Power shell-scripts of het service account om de Azure Information Protection scanner uit te voeren.For example, a user account for your PowerShell scripts or the service account to run the Azure Information Protection scanner.

Wanneer u deze opdracht voor de eerste keer uitvoert, wordt u gevraagd om u aan te melden, waardoor het toegangs token voor uw account in%localappdata%\Microsoft\MSIP. wordt gemaakt en veilig wordt opgeslagen.When you run this command for the first time, you are prompted to sign in, which creates and securely stores the access token for your account in %localappdata%\Microsoft\MSIP. Na deze eerste aanmelding kunt u bestanden niet-interactief labelen en beveiligen op de computer.After this initial sign-in, you can label and protect files non-interactively on the computer. Als u echter een service account gebruikt om bestanden te labelen en te beveiligen en dit service account interactief niet kan worden aangemeld, gebruikt u de instructies in de volgende sectie zodat het service account kan worden geverifieerd met behulp van een token.However, if you use a service account to label and protect files, and this service account cannot sign in interactively, use the instructions in the following section so that the service account can authenticate by using a token.

De para meter token opgeven en gebruiken voor set-AIPAuthenticationSpecify and use the Token parameter for Set-AIPAuthentication

Gebruik de volgende aanvullende stappen en instructies om te voor komen dat de eerste interactieve aanmelding wordt gebruikt voor een account dat bestanden labelt en beveiligt.Use the following additional steps and instructions to avoid the initial interactive sign-in for an account that labels and protects files. Deze extra stappen zijn normaal gesp roken alleen vereist als aan dit account het recht lokaal aanmelden niet is verleend, maar het recht Aanmelden als batch-taak is toegewezen.Typically, these additional steps are required only if this account cannot be granted the Log on locally right but is granted the Log on as a batch job right. Dit kan bijvoorbeeld het geval zijn voor uw service account dat de Azure Information Protection scanner uitvoert.For example, this might be the case for your service account that runs the Azure Information Protection scanner.

Stappen op hoog niveau:High-level steps:

  1. Maak een Power shell-script op uw lokale computer.Create a PowerShell script on your local computer.

  2. Voer set-AIPAuthentication uit om een toegangs token op te halen en deze naar het klem bord te kopiëren.Run Set-AIPAuthentication to get an access token and copy it to the clipboard.

  3. Wijzig het Power shell-script zodanig dat het token bevat.Modify the PowerShell script to include the token.

  4. Maak een taak waarmee het Power shell-script wordt uitgevoerd in de context van het service account dat de bestanden labelt en beveiligt.Create a task that runs the PowerShell script in the context of the service account that will label and protect files.

  5. Controleer of het token is opgeslagen voor het service account en verwijder het Power shell-script.Confirm that the token is saved for the service account, and delete the PowerShell script.

Stap 1: Een Power shell-script maken op uw lokale computerStep 1: Create a PowerShell script on your local computer

  1. Maak een nieuw Power shell-script met de naam Aipauthentication. ps1 op uw computer.On your computer, create a new PowerShell script named Aipauthentication.ps1.

  2. Kopieer en plak de volgende opdracht in dit script:Copy and paste the following command into this script:

      Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application> -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application > -Token <token value>
    
  3. Met de instructies in de vorige sectie wijzigt u deze opdracht door uw eigen waarden op te geven voor de para meters WebAppId, WebAppkeyen NativeAppId .Using the instructions in the preceding section, modify this command by specifying your own values for the WebAppId, WebAppkey, and NativeAppId parameters. U hebt op dit moment niet de waarde voor de para meter token , die u later opgeeft.At this time, you do not have the value for the Token parameter, which you specify later.

    Bijvoorbeeld: Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>For example: Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>

Stap 2: Set-AIPAuthentication uitvoeren om een toegangs token op te halen en deze naar het klem bord te kopiërenStep 2: Run Set-AIPAuthentication to get an access token and copy it to the clipboard

  1. Open een Windows Power shell-sessie.Open a Windows PowerShell session.

  2. Voer de volgende opdracht uit met dezelfde waarden als u hebt opgegeven in het script:Using the same values as you specified in the script, run the following command:

     (Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application>  -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application >).token | clip
    

    Bijvoorbeeld: (Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clipFor example: (Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clip

Stap 3: Wijzig het Power shell-script om het token op te gevenStep 3: Modify the PowerShell script to supply the token

  1. Geef in uw Power shell-script de token waarde op door de teken reeks van het klem bord te plakken en het bestand op te slaan.In your PowerShell script, specify the token value by pasting the string from the clipboard, and save the file.

  2. Onderteken het script.Sign the script. Als u het script niet ondertekent (veiliger), moet u Windows Power shell configureren op de computer waarop de label opdrachten worden uitgevoerd.If you do not sign the script (more secure), you must configure Windows PowerShell on the computer that will run the labeling commands. Voer bijvoorbeeld een Windows Power shell-sessie uit met de optie als administrator uitvoeren en typ: Set-ExecutionPolicy RemoteSigned.For example, run a Windows PowerShell session with the Run as Administrator option, and type: Set-ExecutionPolicy RemoteSigned. Met deze configuratie kunnen alle niet-ondertekende scripts worden uitgevoerd wanneer deze worden opgeslagen op deze computer (minder veilig).However, this configuration lets all unsigned scripts run when they are stored on this computer (less secure).

    Zie about_Signing in de PowerShell-documentatiebibliotheek voor meer informatie over het ondertekenen van Windows PowerShell-scripts.For more information about signing Windows PowerShell scripts, see about_Signing in the PowerShell documentation library.

  3. Kopieer dit Power shell-script naar de computer waarop u bestanden wilt labelen en beveiligen en verwijder het origineel op uw computer.Copy this PowerShell script to the computer that will label and protect files, and delete the original on your computer. U kopieert bijvoorbeeld het Power shell-script naar C:\Scripts\Aipauthentication.ps1 op een Windows Server-computer.For example, you copy the PowerShell script to C:\Scripts\Aipauthentication.ps1 on a Windows Server computer.

Stap 4: Een taak maken die het Power shell-script uitvoertStep 4: Create a task that runs the PowerShell script

  1. Zorg ervoor dat het service account dat bestanden labelt en beveiligt, het recht Aanmelden als batch-taak heeft.Make sure that the service account that will label and protect files has the Log on as a batch job right.

  2. Op de computer waarop bestanden worden gelabeld en beveiligd, opent u taak planner en maakt u een nieuwe taak.On the computer that will label and protect files, open Task Scheduler and create a new task. Configureer deze taak zo dat deze wordt uitgevoerd als het service account dat bestanden labelt en beveiligt, en configureer vervolgens de volgende waarden voor de acties:Configure this task to run as the service account that will label and protect files, and then configure the following values for the Actions:

    • Actie:Start a programAction: Start a program

    • Programma/script:Powershell.exeProgram/script: Powershell.exe

    • Argumenten toevoegen (optioneel) :-NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"Add arguments (optional): -NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"

      Geef voor de argument regel uw eigen pad en bestands naam op, als deze verschillen van het voor beeld.For the argument line, specify your own path and file name, if these are different from the example.

  3. Deze taak hand matig uitvoeren.Manually run this task.

Stap 4: Controleren of het token is opgeslagen en het Power shell-script verwijderenStep 4: Confirm that the token is saved and delete the PowerShell script

  1. Controleer of het token nu is opgeslagen in de map%localappdata%\Microsoft\MSIP voor het service account-profiel.Confirm that the token is now stored in the %localappdata%\Microsoft\MSIP folder for the service account profile. Deze waarde wordt beveiligd door het service account.This value is protected by the service account.

  2. Verwijder het Power shell-script dat de token waarde bevat (bijvoorbeeld Aipauthentication. ps1).Delete the PowerShell script that contains the token value (for example, Aipauthentication.ps1).

    U kunt de taak eventueel verwijderen.Optionally, delete the task. Als uw token verloopt, moet u dit proces herhalen. in dat geval is het wellicht handiger om de geconfigureerde taak te verlaten zodat deze klaar is om opnieuw te worden uitgevoerd wanneer u een nieuw Power shell-script met de nieuwe token waarde kopieert.If your token expires, you must repeat this process, in which case it might be more convenient to leave the configured task so that it's ready to rerun when you copy over the new PowerShell script with the new token value.

Volgende stappenNext steps

Als u Help-informatie voor een cmdlet wilt weergeven terwijl een PowerShell-sessie actief is, typt u Get-Help <cmdlet name> cmdlet en gebruikt u de parameter -online om de meest actuele informatie te lezen.For cmdlet help when you are in a PowerShell session, type Get-Help <cmdlet name> cmdlet, and use the -online parameter to read the most up-to-date information. Bijvoorbeeld:For example:

Get-Help Get-RMSTemplate -online

Zie het volgende voor aanvullende informatie die u mogelijk nodig hebt om de Azure Information Protection-client te ondersteunen:See the following for additional information that you might need to support the Azure Information Protection client: