Share via

Ochrona usługi RMS za pomocą infrastruktury klasyfikacji plików (FCI) systemu Windows Server

  • Artykuł

Skorzystaj z tego artykułu, aby uzyskać instrukcje i skrypt, aby użyć klienta usługi Azure Information Protection i programu PowerShell do skonfigurowania Menedżera zasobów serwera plików i infrastruktury klasyfikacji plików (FCI).

To rozwiązanie pozwala automatycznie chronić wszystkie pliki w folderze na serwerze plików z systemem Windows Server lub automatycznie chronić pliki spełniające określone kryteria. Na przykład pliki sklasyfikowane jako zawierające poufne lub poufne informacje. To rozwiązanie łączy się bezpośrednio z usługą Azure Rights Management z usługi Azure Information Protection w celu ochrony plików, więc musisz mieć tę usługę wdrożona dla organizacji.

Uwaga

Chociaż usługa Azure Information Protection zawiera łącznik obsługujący infrastrukturę klasyfikacji plików, to rozwiązanie obsługuje tylko ochronę natywną — na przykład pliki pakietu Office.

Aby obsługiwać wiele typów plików za pomocą infrastruktury klasyfikacji plików systemu Windows Server, należy użyć modułu AzureInformationProtection programu PowerShell, zgodnie z opisem w tym artykule. Polecenia cmdlet usługi Azure Information Protection, takie jak klient usługi Azure Information Protection, obsługują ochronę ogólną, a także ochronę natywną, co oznacza, że typy plików innych niż dokumenty pakietu Office mogą być chronione. Aby uzyskać więcej informacji, zobacz Typy plików obsługiwane przez klienta usługi Azure Information Protection w przewodniku administratora klienta usługi Azure Information Protection.

Poniższe instrukcje dotyczą systemu Windows Server 2012 R2 lub Windows Server 2012. W przypadku uruchamiania innych obsługiwanych wersji systemu Windows może być konieczne dostosowanie niektórych kroków dotyczących różnic między wersją systemu operacyjnego a wersją systemu operacyjnego udokumentowaną w tym artykule.

Wymagania wstępne dotyczące ochrony usługi Azure Rights Management z systemem Windows Server FCI

Wymagania wstępne dotyczące tych instrukcji:

  • Na każdym serwerze plików, na którym zostanie uruchomiony Menedżer zasobów plików z infrastrukturą klasyfikacji plików:

    • Menedżer zasobów serwera plików został zainstalowany jako jedna z usług ról dla roli Usługi plików.

    • Zidentyfikowano folder lokalny zawierający pliki do ochrony za pomocą usługi Rights Management. Na przykład C:\FileShare.

    • Zainstalowano moduł AzureInformationProtection programu PowerShell i skonfigurowano wymagania wstępne dla tego modułu w celu nawiązania połączenia z usługą Azure Rights Management.

      Moduł AzureInformationProtection programu PowerShell jest dołączony do klienta usługi Azure Information Protection. Aby uzyskać instrukcje dotyczące instalacji, zobacz Instalowanie klienta usługi Azure Information Protection dla użytkowników z przewodnika administratora usługi Azure Information Protection. Jeśli jest to wymagane, możesz zainstalować tylko moduł programu PowerShell przy użyciu parametru PowerShellOnly=true .

      Wymagania wstępne dotyczące korzystania z tego modułu programu PowerShell obejmują aktywowanie usługi Azure Rights Management, utworzenie jednostki usługi i edytowanie rejestru, jeśli dzierżawa znajduje się poza Ameryka Północna. Przed rozpoczęciem instrukcji w tym artykule upewnij się, że masz wartości BposTenantId, AppPrincipalId i Symmetric key, zgodnie z opisem w tych wymaganiach wstępnych.

    • Jeśli chcesz zmienić domyślny poziom ochrony (natywny lub ogólny) dla określonych rozszerzeń nazw plików, edytowano rejestr zgodnie z opisem w sekcji Zmienianie domyślnego poziomu ochrony plików w przewodniku administratora.

    • Masz połączenie internetowe i skonfigurowano ustawienia komputera, jeśli są one wymagane dla serwera proxy. Na przykład: netsh winhttp import proxy source=ie.

  • Zsynchronizowano konta użytkowników lokalna usługa Active Directory z identyfikatorem Microsoft Entra ID lub platformą Microsoft 365, w tym ich adresami e-mail. Jest to wymagane dla wszystkich użytkowników, którzy mogą potrzebować dostępu do plików po ich ochronie przez usługę FCI i Azure Rights Management. Jeśli nie wykonasz tego kroku (na przykład w środowisku testowym), użytkownicy mogą mieć zablokowany dostęp do tych plików. Jeśli potrzebujesz więcej informacji na temat tego wymagania, zobacz Przygotowywanie użytkowników i grup dla usługi Azure Information Protection.

  • Ten scenariusz nie obsługuje szablonów działów, dlatego należy użyć szablonu, który nie jest skonfigurowany dla zakresu, lub użyć polecenia cmdlet Set-AipServiceTemplateProperty i parametru EnableInLegacyApps .

Instrukcje dotyczące konfigurowania wystąpienia klastra trybu failover menedżera zasobów serwera plików na potrzeby ochrony usługi Azure Rights Management

Postępuj zgodnie z tymi instrukcjami, aby automatycznie chronić wszystkie pliki w folderze przy użyciu skryptu programu PowerShell jako zadania niestandardowego. Wykonaj następujące procedury w następującej kolejności:

  1. Zapisywanie skryptu programu PowerShell

  2. Tworzenie właściwości klasyfikacji dla usługi Rights Management (RMS)

  3. Tworzenie reguły klasyfikacji (klasyfikuj dla usługi RMS)

  4. Konfigurowanie harmonogramu klasyfikacji

  5. Tworzenie niestandardowego zadania zarządzania plikami (Ochrona plików za pomocą usługi RMS)

  6. Przetestuj konfigurację, ręcznie uruchamiając regułę i zadanie

Na końcu tych instrukcji wszystkie pliki w wybranym folderze zostaną sklasyfikowane z niestandardową właściwością usługi RMS, a te pliki będą następnie chronione przez usługę Rights Management. W przypadku bardziej złożonej konfiguracji, która selektywnie chroni niektóre pliki, a nie inne, można następnie utworzyć lub użyć innej właściwości klasyfikacji i reguły z zadaniem zarządzania plikami, które chroni tylko te pliki.

Należy pamiętać, że jeśli wprowadzisz zmiany w szablonie usługi Rights Management używanym na potrzeby wystąpienia klastra trybu failover, konto komputera, na którym jest uruchamiany skrypt w celu ochrony plików, nie otrzyma automatycznie zaktualizowanego szablonu. W tym celu w skrypce znajdź skomentowane Get-RMSTemplate -Force polecenie i usuń znak komentarza # . Po pobraniu zaktualizowanego szablonu (skrypt został uruchomiony co najmniej raz), możesz dodać komentarz do tego dodatkowego polecenia, aby szablony nie były niepotrzebnie pobierane za każdym razem. Jeśli zmiany w szablonie są wystarczająco ważne, aby ponownie włączyć ochronę plików na serwerze plików, możesz to zrobić interaktywnie, uruchamiając polecenie cmdlet Protect-RMSFile przy użyciu konta z prawami użytkowania Eksportuj lub Pełna kontrola dla plików. Należy również uruchomić polecenie Get-RMSTemplate -Force , jeśli opublikujesz nowy szablon, którego chcesz użyć dla wystąpienia klastra trybu failover.

Zapisywanie skryptu programu Windows PowerShell

  1. Skopiuj zawartość skryptu programu Windows PowerShell na potrzeby ochrony za pomocą usługi Azure RMS przy użyciu Menedżera zasobów serwera plików. Wklej zawartość skryptu i nadaj plikowi nazwę RMS-Protect-FCI.ps1 na własnym komputerze.

  2. Przejrzyj skrypt i wprowadź następujące zmiany:

    • Wyszukaj następujący ciąg i zastąp go własnym identyfikatorem AppPrincipalId używanym z poleceniem cmdlet Set-RMSServerAuthentication w celu nawiązania połączenia z usługą Azure Rights Management:

      <enter your AppPrincipalId here>

      Na przykład skrypt może wyglądać następująco:

      [Parameter(Mandatory = $false)]

      [Parameter(Mandatory = $false)] [string]$AppPrincipalId = "b5e3f76a-b5c2-4c96-a594-a0807f65bba4",

    • Wyszukaj następujący ciąg i zastąp go własnym kluczem symetrycznym używanym z poleceniem cmdlet Set-RMSServerAuthentication w celu nawiązania połączenia z usługą Azure Rights Management:

      <enter your key here>

      Na przykład skrypt może wyglądać następująco:

      [Parameter(Mandatory = $false)]

      [string]$SymmetricKey = "zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA="

    • Wyszukaj następujący ciąg i zastąp go własnym identyfikatorem BposTenantId (identyfikator dzierżawy), którego używasz z poleceniem cmdlet Set-RMSServerAuthentication, aby nawiązać połączenie z usługą Azure Rights Management:

      <enter your BposTenantId here>

      Na przykład skrypt może wyglądać następująco:

      [Parameter(Mandatory = $false)]

      [string]$BposTenantId = "23976bc6-dcd4-4173-9d96-dad1f48efd42",

  3. Podpisz skrypt. Jeśli skrypt nie zostanie podpisać (bezpieczniejszy), musisz skonfigurować program Windows PowerShell na serwerach, na których jest uruchomiony. Na przykład uruchom sesję programu Windows PowerShell z opcją Uruchom jako Administracja istrator i wpisz: Set-ExecutionPolicy RemoteSigned. Jednak ta konfiguracja umożliwia uruchamianie wszystkich niepodpisanych skryptów, gdy są one przechowywane na tym serwerze (mniej bezpieczne).

    Aby uzyskać więcej informacji na temat podpisywania skryptów programu Windows PowerShell, zobacz about_Signing w bibliotece dokumentacji programu PowerShell.

  4. Zapisz plik lokalnie na każdym serwerze plików z uruchomionym Menedżerem zasobów plików za pomocą infrastruktury klasyfikacji plików. Na przykład zapisz plik w folderze C:\RMS-Protection. Jeśli używasz innej ścieżki lub nazwy folderu, wybierz ścieżkę i folder, który nie zawiera spacji. Zabezpiecz ten plik przy użyciu uprawnień NTFS, aby nieautoryzowani użytkownicy nie mogli go modyfikować.

Teraz możesz rozpocząć konfigurowanie Menedżera zasobów serwera plików.

Tworzenie właściwości klasyfikacji dla usługi Rights Management (RMS)

  • W Menedżerze zasobów serwera plików zarządzanie klasyfikacją utwórz nową właściwość lokalną:

    • Nazwa: wpisz RMS

    • Opis: Typ Ochrona usługi Rights Management

    • Typ właściwości: wybierz pozycję Tak/Nie

    • Wartość: Wybierz pozycję Tak

Teraz możemy utworzyć regułę klasyfikacji, która używa tej właściwości.

Tworzenie reguły klasyfikacji (klasyfikuj dla usługi RMS)

  • Utwórz nową regułę klasyfikacji:

    • Na karcie Ogólne:

      • Nazwa: typ Klasyfikuj dla usługi RMS

      • Włączone: pozostaw wartość domyślną, co oznacza, że to pole wyboru jest zaznaczone.

      • Opis: wpisz Klasyfikuj <wszystkie pliki w folderze nazwy> folderu dla usługi Rights Management.

        Zastąp <nazwę> folderu wybraną nazwą folderu. Na przykład klasyfikuj wszystkie pliki w folderze C:\FileShare dla usługi Rights Management

      • Zakres: Dodaj wybrany folder. Na przykład C:\FileShare.

        Nie zaznaczaj pól wyboru.

    • Na karcie Klasyfikacja:

    • Metoda klasyfikacji: Wybierz klasyfikator folderu

    • Nazwa właściwości : wybierz pozycję RMS

    • Wartość właściwości: Wybierz pozycję Tak

Mimo że reguły klasyfikacji można uruchamiać ręcznie, w przypadku bieżących operacji ta reguła ma być uruchamiana zgodnie z harmonogramem, aby nowe pliki zostały sklasyfikowane z właściwością usługi RMS.

Konfigurowanie harmonogramu klasyfikacji

  • Na karcie Klasyfikacja automatyczna:

    • Włącz stały harmonogram: zaznacz to pole wyboru.

    • Skonfiguruj harmonogram uruchamiania wszystkich reguł klasyfikacji, który obejmuje nową regułę klasyfikowania plików za pomocą właściwości usługi RMS.

    • Zezwalaj na ciągłą klasyfikację nowych plików: zaznacz to pole wyboru, aby nowe pliki zostały sklasyfikowane.

    • Opcjonalnie: wprowadź wszelkie inne zmiany, takie jak konfigurowanie opcji raportów i powiadomień.

Po zakończeniu konfiguracji klasyfikacji możesz skonfigurować zadanie zarządzania w celu zastosowania ochrony usługi RMS do plików.

Tworzenie niestandardowego zadania zarządzania plikami (Ochrona plików za pomocą usługi RMS)

  • W obszarze Zadania zarządzania plikami utwórz nowe zadanie zarządzania plikami:

    • Na karcie Ogólne:

      • Nazwa zadania: wpisz Protect files with RMS (Ochrona plików za pomocą usługi RMS)

      • Pozostaw zaznaczone pole wyboru Włącz.

      • Opis: wpisz Protect files in folder name with Rights Management and a template by using a Windows PowerShell script (Ochrona plików w <nazwie> folderu za pomocą usługi Rights Management i szablonu przy użyciu skryptu programu Windows PowerShell).

        Zastąp <nazwę> folderu wybraną nazwą folderu. Na przykład ochrona plików w folderze C:\FileShare za pomocą usługi Rights Management i szablonu przy użyciu skryptu programu Windows PowerShell

      • Zakres: wybierz wybrany folder. Na przykład C:\FileShare.

        Nie zaznaczaj pól wyboru.

    • Na karcie Akcja:

      • Typ: wybierz pozycję Niestandardowa

      • Plik wykonywalny: Określ następujące elementy:

        C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

        Jeśli system Windows nie znajduje się na dysku C:, zmodyfikuj tę ścieżkę lub przejdź do tego pliku.

      • Argument: określ następujące wartości, podając własne wartości dla <ścieżki> i <identyfikatora> szablonu:

        -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID <template GUID> -OwnerMail '[Source File Owner Email]'"

        Jeśli na przykład skopiowano skrypt do C:\RMS-Protection i identyfikator szablonu zidentyfikowany z wymagań wstępnych to e6ee2481-26b9-45e5-b34a-f744eacd53b0, określ następujące elementy:

        -Noprofile -Command "C:\RMS-Protection\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerMail '[Source File Owner Email]'"

        W tym poleceniu [Ścieżka pliku źródłowego] i [Adres e-mail właściciela pliku źródłowego] są zmiennymi specyficznymi dla wystąpienia klastra trybu failover, więc wpisz te dokładnie tak, jak są wyświetlane w poprzednim poleceniu. Pierwsza zmienna jest używana przez wystąpienie klastra trybu failover do automatycznego określania zidentyfikowanego pliku w folderze, a druga zmienna to wystąpienie klastra trybu failover w celu automatycznego pobierania adresu e-mail nazwanego właściciela zidentyfikowanego pliku. To polecenie jest powtarzane dla każdego pliku w folderze, który w naszym przykładzie jest każdym plikiem w folderze C:\FileShare, który dodatkowo ma usługę RMS jako właściwość klasyfikacji plików.

        Uwaga

        Parametr -OwnerMail [Adres e-mail właściciela pliku źródłowego] i wartość gwarantuje, że oryginalny właściciel pliku ma nadany właścicielowi usługi Rights Management pliku po jego ochronie. Ta konfiguracja gwarantuje, że oryginalny właściciel pliku ma wszystkie prawa usługi Rights Management do własnych plików. Gdy pliki są tworzone przez użytkownika domeny, adres e-mail jest automatycznie pobierany z usługi Active Directory przy użyciu nazwy konta użytkownika we właściwości Właściciel pliku. W tym celu serwer plików musi znajdować się w tej samej domenie lub zaufanej domenie co użytkownik.

        Jeśli to możliwe, przypisz oryginalnych właścicieli do chronionych dokumentów, aby upewnić się, że ci użytkownicy będą nadal mieć pełną kontrolę nad utworzonymi plikami. Jeśli jednak używasz zmiennej [Adres e-mail właściciela pliku źródłowego], tak jak w poprzednim poleceniu, a plik nie ma użytkownika domeny zdefiniowanego jako właściciel (na przykład konto lokalne zostało użyte do utworzenia pliku, więc właściciel wyświetla system), skrypt zakończy się niepowodzeniem.

        W przypadku plików, które nie mają użytkownika domeny jako właściciela, możesz skopiować i zapisać te pliki samodzielnie jako użytkownik domeny, aby stać się właścicielem tylko tych plików. Ewentualnie, jeśli masz uprawnienia, możesz ręcznie zmienić właściciela. Alternatywnie możesz podać określony adres e-mail (np. własny lub adres grupy dla działu IT) zamiast zmiennej [Adres e-mail właściciela pliku źródłowego], co oznacza, że wszystkie pliki chronione za pomocą tego skryptu używają tego adresu e-mail do zdefiniowania nowego właściciela.

    • Uruchom polecenie jako: Wybierz pozycję System lokalny

    • Na karcie Warunek:

      • Właściwość: Wybierz pozycję RMS

      • Operator: Wybierz pozycję Równe

      • Wartość: Wybierz pozycję Tak

    • Na karcie Harmonogram:

      • Uruchom pod adresem: Skonfiguruj preferowany harmonogram.

        Poczekaj na ukończenie skryptu. Mimo że to rozwiązanie chroni wszystkie pliki w folderze, skrypt jest uruchamiany raz dla każdego pliku za każdym razem. Mimo że ochrona wszystkich plików w tym samym czasie trwa dłużej, co obsługuje klient usługi Azure Information Protection, ta konfiguracja pliku po pliku dla wystąpienia klastra trybu failover jest bardziej zaawansowana. Na przykład chronione pliki mogą mieć różnych właścicieli (zachować oryginalnego właściciela) podczas korzystania ze zmiennej [Adres e-mail właściciela pliku źródłowego], a ta akcja plik po pliku jest wymagana, jeśli później zmienisz konfigurację, aby selektywnie chronić pliki, a nie wszystkie pliki w folderze.

      • Ciągle uruchamiaj na nowych plikach: zaznacz to pole wyboru.

Przetestuj konfigurację, ręcznie uruchamiając regułę i zadanie

  1. Uruchom regułę klasyfikacji:

    1. Kliknij pozycję Reguły>klasyfikacji uruchom klasyfikację z wszystkimi regułami teraz

    2. Kliknij przycisk Poczekaj na zakończenie klasyfikacji, a następnie kliknij przycisk OK.

  2. Poczekaj na zamknięcie okna dialogowego Uruchomiona klasyfikacja , a następnie wyświetl wyniki w automatycznie wyświetlonym raporcie. Powinna zostać wyświetlona wartość 1 pola Właściwości i liczba plików w folderze. Potwierdź przy użyciu Eksplorator plików i sprawdź właściwości plików w wybranym folderze. Na karcie Klasyfikacja powinna być widoczna wartość RMS jako nazwa właściwości i Wartość tak.

  3. Uruchom zadanie zarządzania plikami:

    1. Kliknij pozycję Zadania>zarządzania plikami Chroń pliki za pomocą usługi RMS>Uruchom zadanie zarządzania plikami teraz

    2. Kliknij przycisk Zaczekaj na ukończenie zadania, a następnie kliknij przycisk OK.

  4. Poczekaj na zamknięcie okna dialogowego Uruchomione zadanie zarządzania plikami, a następnie wyświetl wyniki w automatycznie wyświetlonym raporcie. W polu Pliki powinna zostać wyświetlona liczba plików, które znajdują się w wybranym folderze. Upewnij się, że pliki w wybranym folderze są teraz chronione przez usługę Rights Management. Jeśli na przykład wybrany folder to C:\FileShare, wpisz następujące polecenie w sesji programu Windows PowerShell i upewnij się, że żadne pliki nie mają stanu Niechronione:

    foreach ($file in (Get-ChildItem -Path C:\FileShare -Force | where {!$_.PSIsContainer})) {Get-RMSFileStatus -f $file.PSPath}

    Napiwek

    Niektóre porady dotyczące rozwiązywania problemów:

    • Jeśli w raporcie zostanie wyświetlona wartość 0 , a nie liczba plików w folderze, dane wyjściowe wskazują, że skrypt nie został uruchomiony. Najpierw sprawdź sam skrypt, ładując go w środowisku Windows PowerShell ISE, aby zweryfikować zawartość skryptu i spróbować uruchomić go jeden raz w tej samej sesji programu PowerShell, aby sprawdzić, czy są wyświetlane jakiekolwiek błędy. Bez określonych argumentów skrypt próbuje nawiązać połączenie i uwierzytelnić się z usługą Azure Rights Management.

      • Jeśli skrypt zgłosi, że nie może nawiązać połączenia z usługą Azure Rights Management (Azure RMS), sprawdź wartości wyświetlane dla konta jednostki usługi, które zostało określone w skry skryptzie. Aby uzyskać więcej informacji na temat tworzenia tego konta jednostki usługi, zobacz Wymagania wstępne 3: Aby chronić lub wyłączać ochronę plików bez interakcji z przewodnikiem administratora klienta usługi Azure Information Protection.
      • Jeśli skrypt zgłasza, że może nawiązać połączenie z usługą Azure RMS, sprawdź, czy można znaleźć określony szablon, uruchamiając polecenie Get-RMSTemplate bezpośrednio z poziomu programu Windows PowerShell na serwerze. W wynikach powinien zostać wyświetlony określony szablon.

    • Jeśli skrypt działa samodzielnie w środowisku Windows PowerShell ISE bez błędów, spróbuj uruchomić go w następujący sposób z sesji programu PowerShell, określając nazwę pliku do ochrony i bez parametru -OwnerEmail:

      powershell.exe -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '<full path and name of a file>' -TemplateID <template GUID>"

      • Jeśli skrypt zostanie pomyślnie uruchomiony w tej sesji programu Windows PowerShell, sprawdź wpisy dla menedżera i argumentu w akcji zadania zarządzania plikami. Jeśli określono -OwnerEmail [Adres e-mail właściciela pliku źródłowego], spróbuj usunąć ten parametr.

        Jeśli zadanie zarządzania plikami działa pomyślnie bez -OwnerEmail [Adres e-mail właściciela pliku źródłowego], sprawdź, czy niechronione pliki mają użytkownika domeny wymienionego jako właściciel pliku, a nie SYSTEM. Aby to sprawdzić, użyj karty Zabezpieczenia dla właściwości pliku, a następnie kliknij pozycję Zaawansowane. Wartość Właściciel jest wyświetlana natychmiast po nazwie pliku. Sprawdź również, czy serwer plików znajduje się w tej samej domenie lub w zaufanej domenie, aby wyszukać adres e-mail użytkownika z usług domena usługi Active Directory.

    • Jeśli w raporcie jest wyświetlana poprawna liczba plików, ale pliki nie są chronione, spróbuj ręcznie chronić pliki przy użyciu polecenia cmdlet Protect-RMSFile , aby sprawdzić, czy są wyświetlane jakiekolwiek błędy.

Po potwierdzeniu, że te zadania są uruchamiane pomyślnie, można zamknąć Menedżera zasobów plików. Nowe pliki są automatycznie klasyfikowane i chronione po uruchomieniu zaplanowanych zadań.

Akcja wymagana w przypadku wprowadzania zmian w szablonie usługi Rights Management

Jeśli wprowadzisz zmiany w szablonie usługi Rights Management, do którego odwołuje się skrypt, konto komputera, na którym jest uruchamiany skrypt w celu ochrony plików, nie otrzyma automatycznie zaktualizowanego szablonu. W skrypce znajdź skomentowane Get-RMSTemplate -Force polecenie w funkcji Set-RMS Połączenie ion i usuń znak komentarza na początku wiersza. Przy następnym uruchomieniu skryptu zaktualizowany szablon zostanie pobrany. Aby zoptymalizować wydajność, aby szablony nie pobierały niepotrzebnie, możesz ponownie oznaczyć ten wiersz jako komentarz.

Jeśli zmiany w szablonie są wystarczająco ważne, aby ponownie włączyć ochronę plików na serwerze plików, możesz to zrobić interaktywnie, uruchamiając polecenie cmdlet Protect-RMSFile przy użyciu konta z prawami użytkowania Eksportuj lub Pełna kontrola dla plików.

Uruchom również ten wiersz w skrycie, jeśli opublikujesz nowy szablon, którego chcesz użyć dla wystąpienia klastra trybu failover, i zmień identyfikator szablonu w wierszu argumentu dla niestandardowego zadania zarządzania plikami.

Modyfikowanie instrukcji w celu selektywnej ochrony plików

W przypadku działania powyższych instrukcji można łatwo zmodyfikować je w celu uzyskania bardziej wyrafinowanej konfiguracji. Na przykład chroń pliki przy użyciu tego samego skryptu, ale tylko w przypadku plików zawierających dane osobowe, a być może wybierz szablon, który ma bardziej restrykcyjne prawa.

Aby wprowadzić tę modyfikację, użyj jednej z wbudowanych właściwości klasyfikacji (na przykład informacji osobowych) lub utwórz własną nową właściwość. Następnie utwórz nową regułę, która używa tej właściwości. Możesz na przykład wybrać klasyfikator zawartości, wybrać właściwość Informacje osobowe o wartości Wysoki, a następnie skonfigurować wzorzec ciągu lub wyrażenia, który identyfikuje plik do skonfigurowania dla tej właściwości (np. ciąg "Data urodzenia").

Teraz wystarczy utworzyć nowe zadanie zarządzania plikami, które używa tego samego skryptu, ale być może z innym szablonem, i skonfigurować warunek dla właśnie skonfigurowanej właściwości klasyfikacji. Na przykład zamiast warunku, który skonfigurowaliśmy wcześniej (właściwość RMS , Equal, Yes), wybierz właściwość Dane osobowe z wartością Operator ustawioną na Równe i WartośćWysoki.

Następne kroki

Możesz się zastanawiać: Jaka jest różnica między klastrem trybu failover systemu Windows Server i skanerem usługi Azure Information Protection?