Proteção do RMS com a FCI (Infraestrutura de Classificação de Arquivos) do Windows Server

  • Artigo

Use este artigo para obter instruções e um script para usar o cliente da Proteção de Informações do Azure e o PowerShell para configurar o Gerenciador de Recursos de Servidor de Arquivos e a Infraestrutura de Classificação de Arquivos (FCI).

Essa solução permite proteger automaticamente todos os arquivos em uma pasta em um servidor de arquivos executando o Windows Server ou proteger automaticamente os arquivos que atendem a um critério específico. Por exemplo, arquivos que foram classificados como contendo informações confidenciais. Essa solução se conecta diretamente ao serviço Azure Rights Management da Proteção de Informações do Azure para proteger os arquivos, portanto, você deve ter esse serviço implantado para sua organização.

Observação

Embora a Proteção de Informações do Azure inclua um conector compatível à Infraestrutura de Classificação de Arquivos, essa solução permite apenas proteção nativa, por exemplo, arquivos do Office.

Para permitir vários tipos de arquivo com a infraestrutura de classificação de arquivos do Windows Server, você deve usar o módulo AzureInformationProtection do PowerShell, conforme documentado neste artigo. Os cmdlets da Proteção de Informações do Azure, como o cliente da Proteção de Informações do Azure, oferecem compatibilidade com proteção genérica e nativa, o que significa que tipos de arquivo diferentes dos documentos do Office podem ser protegidos. Para obter mais informações sobre esses cmdlets, consulte Tipos de arquivos compatíveis com o cliente da Proteção de Informações do Azure do guia de administração do cliente da Proteção de Informações do Azure.

As instruções a seguir são para Windows Server 2012 R2 ou Windows Server 2012. Ao executar outras versões compatíveis do Windows, talvez seja necessário adaptar algumas das etapas para diferenças entre a versão do sistema operacional e a documentada neste artigo.

Pré-requisitos para a proteção do Azure Rights Management com FCI do Windows Server

Pré-requisitos para estas instruções:

  • Em cada servidor de arquivos onde executar o Gerenciador de Recursos de Arquivos com infraestrutura de classificação de arquivos:

    • Você instalou o Gerenciador de Recursos de Servidor de Arquivos como um dos serviços de função para a função Serviços de Arquivo.

    • Você identificou uma pasta local que contém arquivos para proteger com o Rights Management. Por exemplo, C:\FileShare.

    • Você instalou o módulo do PowerShell do AzureInformationProtection e configurou os pré-requisitos para que este módulo se conecte ao serviço Azure Rights Management.

      O módulo do PowerShell do AzureInformationProtection está incluso no cliente da Proteção de Informações do Azure. Para obter instruções de instalação, confira Instalar o cliente da Proteção de Informações do Azure para usuários no guia de administração da Proteção de Informações do Azure. Se necessário, você pode instalar apenas o módulo do PowerShell usando o parâmetro PowerShellOnly=true.

      Os pré-requisitos para usar este módulo do PowerShell incluem ativar o serviço Azure Rights Management, criar uma entidade de serviço e editar o Registro se o locatário estiver fora da América do Norte. Antes de iniciar as instruções neste artigo, verifique se você tem valores para sua chave BposTenantId, AppPrincipalId e Symmetric, conforme documentado nesses pré-requisitos.

    • Se desejar alterar o nível padrão de proteção (nativo ou genérico) para extensões de nome de arquivo específicas, edite o Registro conforme descrito na seção Alterando o nível de proteção padrão dos arquivos do guia de administração.

    • Você tem uma conexão com a Internet e configurou as configurações do computador se elas forem necessárias para um servidor proxy. Por exemplo: netsh winhttp import proxy source=ie

  • Você sincronizou suas contas de usuário do Active Directory local com o Microsoft Entra ID ou Microsoft 365, incluindo seus endereços de email. Isso é necessário para todos os usuários que talvez precisem acessar arquivos depois de serem protegidos pela FCI e pelo serviço Azure Rights Management. Se não executar essa etapa (por exemplo, em um ambiente de teste), os usuários poderão ser bloqueados de acessar esses arquivos. Se precisar de mais informações sobre esse requisito, confira Preparando usuários e grupos para a Proteção de Informações do Azure.

  • Esse cenário não é compatível com modelos departamentais, portanto, use um modelo que não esteja configurado para um escopo ou usar o cmdlet Set-AipServiceTemplateProperty e o parâmetro EnableInLegacyApps.

Instruções para configurar a FCI do Gerenciador de Recursos de Servidor de Arquivos para proteção do Azure Rights Management

Siga estas instruções para proteger automaticamente todos os arquivos em uma pasta, usando um script do PowerShell como uma tarefa personalizada. Faça estes procedimentos nesta ordem:

  1. Salvar o script do PowerShell

  2. Criar uma propriedade de classificação para o Rights Management (RMS)

  3. Criar uma regra de classificação (Classificar para RMS)

  4. Configurar a agenda de classificação

  5. Criar uma tarefa de gerenciamento de arquivos personalizada (Proteger arquivos com o RMS)

  6. Testar a configuração executando manualmente a regra e a tarefa

Ao final dessas instruções, todos os arquivos na pasta selecionada serão classificados com a propriedade personalizada do RMS, e esses arquivos serão protegidos pelo Rights Management. Para uma configuração mais complexa que protege seletivamente alguns arquivos e não outros, crie ou use uma propriedade e uma regra de classificação diferentes, com uma tarefa de gerenciamento de arquivos que protege apenas esses arquivos.

Observe que, se você fizer alterações no modelo Rights Management usado para FCI, a conta de computador que executa o script para proteger os arquivos não obterá automaticamente o modelo atualizado. Para fazer isso, no script, localize o comando Get-RMSTemplate -Force comentado e remova o caractere do comentário #. Quando o modelo atualizado é baixado (o script foi executado pelo menos uma vez), comente esse comando adicional para que os modelos não sejam baixados desnecessariamente todas as vezes. Se as alterações no modelo forem importantes o suficiente para reproteger os arquivos no servidor de arquivos, você poderá fazer isso interativamente executando o cmdlet Protect-RMSFile com uma conta que tenha os direitos de uso Exportar ou Controle Total para os arquivos. Você também deve executar Get-RMSTemplate -Force se publicar um novo modelo que deseja usar para FCI.

Salvar o script do Windows PowerShell

  1. Copiar o conteúdo do script do Windows PowerShell para proteção do Azure RMS usando o Gerenciador de Recursos de Servidor de Arquivos. Colar o conteúdo do script e nomeie o arquivo RMS-Protect-FCI.ps1 em seu próprio computador.

  2. Examine o script e faça as seguintes alterações:

    • Procurar a seguinte cadeia de caracteres e substitui-la por seu próprio AppPrincipalId usado com o cmdlet Set-RMSServerAuthentication para se conectar ao serviço Azure Rights Management:

      <enter your AppPrincipalId here>

      Por exemplo, o script pode se parecer com isso:

      [Parameter(Mandatory = $false)]

      [Parameter(Mandatory = $false)] [string]$AppPrincipalId = "b5e3f76a-b5c2-4c96-a594-a0807f65bba4",

    • Procurar a seguinte cadeia de caracteres e substitui-la por sua própria chave simétrica usada com o cmdlet Set-RMSServerAuthentication para se conectar ao serviço Azure Rights Management:

      <enter your key here>

      Por exemplo, o script pode se parecer com isso:

      [Parameter(Mandatory = $false)]

      [string]$SymmetricKey = "zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA="

    • Procurar a seguinte cadeia de caracteres e substitui-la por seu próprio BposTenantId (ID do locatário) usado com o cmdlet Set-RMSServerAuthentication para se conectar ao serviço Azure Rights Management:

      <enter your BposTenantId here>

      Por exemplo, o script pode se parecer com isso:

      [Parameter(Mandatory = $false)]

      [string]$BposTenantId = "23976bc6-dcd4-4173-9d96-dad1f48efd42",

  3. Assinar o script. Se não assinar o script (mais seguro), configure o Windows PowerShell nos servidores que o executam. Por exemplo, execute uma sessão do Windows PowerShell com a opção Executar como Administrador e digite: Set-ExecutionPolicy Unrestricted. No entanto, essa configuração permite que todos os scripts não assinados sejam executados ao serem armazenados no servidor (menos seguro).

    Para obter mais informações sobre a assinatura de scripts do Windows PowerShell, consulte about_Signing na biblioteca de documentação do PowerShell.

  4. Salvar o arquivo localmente em cada servidor de arquivos que executa o Gerenciador de Recursos de Arquivos com infraestrutura de classificação de arquivos. Por exemplo, salvar o arquivo em C:\RMS-Protection. Ao usar um caminho ou nome de pasta diferente, escolha um caminho e uma pasta que não incluam espaços. Proteger esse arquivo usando permissões NTFS para que usuários não autorizados não possam modificá-lo.

Agora você está pronto para começar a configurar o Gerenciador de Recursos de Servidor de Arquivos.

Criar uma propriedade de classificação para o Rights Management (RMS)

  • No Gerenciador de Recursos de Servidor de Arquivos, Gerenciamento de Classificação, crie uma nova propriedade local:

    • Nome: Tipo RMS

    • Descrição: Tipo proteção do Rights Management

    • Tipo de propriedade: Selecione Sim/Não

    • Valor: Selecionar Sim

Agora podemos criar uma regra de classificação que usa essa propriedade.

Criar uma regra de classificação (Classificar para RMS)

  • Criar uma nova Regra de Classificação:

    • Na guia Geral:

      • Nome: Tipo Classificar para RMS

      • Habilitado: mantenha o padrão, que é que essa caixa de seleção esteja marcada.

      • Descrição: Tipo Classificar todos os arquivos na <pasta de nome> da pasta para o Rights Management.

        Substituir <o nome da pasta> pelo nome da pasta escolhida. Por exemplo, Classificar todos os arquivos na pasta C:\FileShare para Rights Management

      • Escopo: Adicione a pasta escolhida. Por exemplo, C:\FileShare.

        Não marque a caixa de seleção.

    • Na guia Classificação:

    • Método de classificação: Selecionar Classificador de Pasta

    • Nome da propriedade: Selecionar RMS

    • Valor da propriedade: Selecionar Sim

Embora você possa executar as regras de classificação manualmente, para operações em andamento, você quer que essa regra seja executada em uma agenda para que novos arquivos sejam classificados com a propriedade RMS.

Configurar a agenda de classificação

  • Na guia Classificação Automática:

    • Habilitar agendamento fixo: marque essa caixa de seleção.

    • Configure o agendamento para que todas as regras de classificação sejam executadas, o que inclui a nova regra para classificar arquivos com a propriedade RMS.

    • Permitir classificação contínua para novos arquivos: marque essa caixa de seleção para que novos arquivos sejam classificados.

    • Opcional: faça as alterações desejadas, como configurar opções para relatórios e notificações.

Agora que concluiu a configuração de classificação, você está pronto para configurar uma tarefa de gerenciamento para aplicar a proteção RMS aos arquivos.

Criar uma tarefa de gerenciamento de arquivos personalizada (Proteger arquivos com o RMS)

  • Em Tarefas de Gerenciamento de Arquivos, crie uma nova tarefa de gerenciamento de arquivos:

    • Na guia Geral:

      • Nome da tarefa: Tipo Proteger arquivos com o RMS

      • Mantenha a caixa de seleção Habilitar marcada.

      • Descrição: Tipo Proteger arquivos no <nome da pasta> com o Rights Management e um modelo usando um script do Windows PowerShell.

        Substituir <o nome da pasta> pelo nome da pasta escolhida. Por exemplo, Proteger arquivos em C:\FileShare com Rights Management e um modelo usando um script do Windows PowerShell

      • Escopo: Selecionar a pasta escolhida. Por exemplo, C:\FileShare.

        Não marque a caixa de seleção.

    • Na guia Ação:

      • Tipo: Selecionar Personalizar

      • Executável: Especifique o seguinte:

        C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

        Se o Windows não estiver na unidade C:, modifique esse caminho ou navegue até esse arquivo.

      • Argumento: especifique o seguinte, fornecendo seus próprios valores para <ID de caminho> e <modelo>:

        -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID <template GUID> -OwnerMail '[Source File Owner Email]'"

        Por exemplo, se você copiou o script para C:\RMS-Protection e a ID do modelo identificada a partir dos pré-requisitos é e6ee2481-26b9-45e5-b34a-f744eacd53b0, especifique o seguinte:

        -Noprofile -Command "C:\RMS-Protection\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerMail '[Source File Owner Email]'"

        Neste comando, [Source File Path] e [Source File Owner Email] são variáveis específicas da FCI, portanto, digite-as exatamente como aparecem no comando anterior. A primeira variável é usada pela FCI para especificar automaticamente o arquivo identificado na pasta, e a segunda variável é para que a FCI recupere automaticamente o endereço de e-mail do proprietário nomeado do arquivo identificado. Esse comando é repetido para cada arquivo na pasta, que em nosso exemplo, é cada arquivo na pasta C:\FileShare que, além disso, tem o RMS como uma propriedade de classificação de arquivo.

        Observação

        O parâmetro e o valor -OwnerMail [Email do proprietário do arquivo de origem] garantem que o proprietário original do arquivo receba o proprietário do arquivo do Rights Management depois que ele for protegido. Essa configuração garante que o proprietário do arquivo original tenha todos os direitos do Rights Management sobre os próprios arquivos. Quando os arquivos são criados por um usuário de domínio, o endereço de email é recuperado automaticamente do Active Directory usando o nome da conta de usuário na propriedade do proprietário do arquivo. Para fazer isso, o servidor de arquivos deve estar no mesmo domínio ou domínio confiável que o usuário.

        Sempre que possível, atribua os proprietários originais a documentos protegidos, para garantir que esses usuários continuem a ter controle total sobre os arquivos que criaram. No entanto, ao usar a variável [Source File Owner Email] como no comando anterior e um arquivo não tiver um usuário de domínio definido como proprietário (por exemplo, uma conta local foi usada para criar o arquivo, portanto, o proprietário exibirá SYSTEM), o script falhará.

        Para arquivos que não têm um usuário de domínio como proprietário, você pode copiar e salvar esses arquivos como um usuário de domínio, para que se torne o proprietário apenas desses arquivos. Ou, se você tiver permissões, poderá alterar manualmente o proprietário. Ou, de outra forma, você pode fornecer um endereço de e-mail específico (como seu próprio endereço ou um endereço de grupo para o departamento de TI) em vez da variável [Email do proprietário do arquivo de origem], o que significa que todos os arquivos protegidos usando esse script usam esse endereço de e-mail para definir o novo proprietário.

    • Executar o comando como: Selecionar Sistema Local

    • Na guia Condições:

      • Propriedade: Selecionar RMS

      • Operador: Selecionar Igual

      • Valor: Selecionar Sim

    • Na guia Agendamento:

      • Executar em: Configure sua agenda preferida.

        Dê bastante tempo para que o script seja concluído. Embora essa solução proteja todos os arquivos na pasta, o script é executado uma vez para cada arquivo, cada vez. Embora isso leve mais tempo do que proteger todos os arquivos ao mesmo tempo, o que o cliente da Proteção de Informações do Azure apoia, essa configuração arquivo por arquivo para FCI é mais potente. Por exemplo, os arquivos protegidos podem ter proprietários diferentes (manter o proprietário original) quando você usa a variável [Email do proprietário do arquivo de origem], e essa ação arquivo por arquivo será necessária se você alterar posteriormente a configuração para proteger seletivamente os arquivos em vez de todos os arquivos em uma pasta.

      • Executar continuamente em novos arquivos: marque essa caixa de seleção.

Testar a configuração executando manualmente a regra e a tarefa

  1. Executar o relatório de classificação:

    1. Clique em Regras de classificação>Executar classificação com todas as regras agora

    2. Clique em Aguardar a conclusão da classificação e em OK.

  2. Aguarde até que a caixa de diálogo Executando Classificação seja fechada e exiba os resultados no relatório exibido automaticamente. Você deve ver 1 para o campo Propriedades e o número de arquivos em sua pasta. Confirme usando o Explorador de Arquivos e verificando as propriedades dos arquivos na pasta escolhida. Na guia Classificação, você verá RMS como um nome de propriedade e Sim para seu Valor.

  3. Executar a tarefa de gerenciamento de arquivos:

    1. Clique em Tarefas de gerenciamento de arquivos>Proteger arquivos com o RMS>Executar tarefa de gerenciamento de arquivos agora

    2. Clique em Aguarde a importação concluir e em OK.

  4. Aguarde até que a caixa de diálogo Executando Tarefa de Gerenciamento de arquivos seja fechada e exiba os resultados no relatório exibido automaticamente. Você deve ver o número de arquivos que estão na pasta escolhida no campo Arquivos. Confirme se os arquivos na pasta escolhida agora estão protegidos pelo Rights Management. Por exemplo, se a pasta escolhida for C:\FileShare, digite o seguinte comando em uma sessão do Windows PowerShell e confirme se nenhum arquivo tem status Desprotegido:

    foreach ($file in (Get-ChildItem -Path C:\FileShare -Force | where {!$_.PSIsContainer})) {Get-RMSFileStatus -f $file.PSPath}

    Dica

    Algumas dicas de Solução de problemas:

    • Se você ver 0 no relatório, em vez do número de arquivos na pasta, essa saída indica que o script não foi executado. Primeiro, verifique o script em si carregando-o no ISE do Windows PowerShell para validar o conteúdo do script e tente executá-lo uma vez na mesma sessão do PowerShell, para ver se algum erro é exibido. Sem argumentos especificados, o script tenta se conectar e autenticar ao serviço Azure Rights Management.

      • Se o script relatar que não pôde se conectar ao serviço Azure Rights Management (Azure RMS), verifique os valores exibidos para a conta principal de serviço, que você especificou no script. Para obter mais informações sobre como criar essa conta de entidade de serviço, consulte Pré-requisito 3: para proteger ou desproteger arquivos sem interação no guia de administração do cliente da Proteção de Informações do Azure.
      • Se o script relatar que ele pode se conectar ao Azure RMS, em seguida, verifique se ele pode localizar o modelo especificado executando Get-RMSTemplate diretamente do Windows PowerShell no servidor. Você verá o modelo especificado retornado nos resultados.

    • Se o script por si só for executado no ISE do Windows PowerShell sem erros, tente executá-lo da seguinte forma a partir de uma sessão do PowerShell, especificando um nome de arquivo a ser protegido e sem o parâmetro -OwnerEmail:

      powershell.exe -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '<full path and name of a file>' -TemplateID <template GUID>"

      • Se o script for executado com êxito nesta sessão do Windows PowerShell, verifique suas entradas para Executivo e Argumento na ação de tarefa de gerenciamento de arquivos. Se você especificou -OwnerEmail [Email do proprietário do arquivo de origem], tente remover esse parâmetro.

        Se a tarefa de gerenciamento de arquivos funcionar com êxito sem -OwnerEmail [Email do proprietário do arquivo de origem], verifique se os arquivos desprotegidos têm um usuário de domínio listado como o proprietário do arquivo, em vez de SYSTEM. Para fazer essa verificação, use a guia Segurança para as propriedades do arquivo e clique em Avançado. O valor Owner é exibido imediatamente após o Nome do arquivo. Além disso, verifique se o servidor de arquivos está no mesmo domínio ou em um domínio confiável para procurar o endereço de email do usuário no Active Directory Domain Services.

    • Se você vir o número correto de arquivos no relatório, mas os arquivos não estiverem protegidos, tente proteger os arquivos manualmente usando o cmdlet Protect-RMSFile, para ver se algum erro é exibido.

Depois de confirmar que essas tarefas foram executadas com sucesso, você pode fechar o File Resource Manager. Arquivos novos são automaticamente classificados e protegidos quando as tarefas agendadas são executadas.

Ação necessária se você fizer alterações no modelo do Rights Management

Se você fizer alterações no modelo do Rights Management ao qual o script faz referência, a conta de computador que executa o script para proteger os arquivos não obterá automaticamente o modelo atualizado. No script, localize o comando comentado Get-RMSTemplate -Force na função Set-RMSConnection e remova o caractere de comentário no início da linha. Na próxima vez que o script for executado, o modelo atualizado será baixado. Para otimizar o desempenho para que os modelos não sejam baixados desnecessariamente, você pode comentar essa linha novamente.

Se as alterações no modelo forem importantes o suficiente para reproteger os arquivos no servidor de arquivos, você poderá fazer isso interativamente executando o cmdlet Protect-RMSFile com uma conta que tenha os direitos de uso Exportar ou Controle Total para os arquivos.

Execute também essa linha no script se você publicar um novo modelo que deseja usar para FCI e altere a ID do modelo na linha de argumento para a tarefa de gerenciamento de arquivos personalizados.

Modificando as instruções para proteger seletivamente os arquivos

Quando você tiver as instruções anteriores funcionando, é fácil modificá-las para uma configuração mais sofisticada. Por exemplo, proteja arquivos usando o mesmo script, mas apenas para arquivos que contenham informações pessoais identificáveis e, talvez, selecione um modelo que tenha direitos mais restritivos.

Para fazer essa modificação, use uma das propriedades de classificação internas (por exemplo, Informações de Identificação Pessoal) ou crie sua própria nova propriedade. Em seguida, crie uma nova regra que use essa propriedade. Por exemplo, você pode selecionar o Classificador de Conteúdo, escolher a propriedade Informação de Identificação do Usuário com um valor Alto e configurar a cadeia de caracteres ou o padrão de expressão que identifica o arquivo a ser configurado para essa propriedade (como a cadeia de caracteres "Data de Nascimento").

Agora, tudo o que você precisa fazer é criar uma nova tarefa de gerenciamento de arquivos que use o mesmo script, mas talvez com um modelo diferente, e configurar a condição para a propriedade de classificação que você acabou de configurar. Por exemplo, em vez da condição que configuramos anteriormente (propriedade RMS, Igual, Sim), selecione a propriedade Informação de Identificação do Usuário com o valor Operador definido como Igual e o Valor de Alto.

Próximas etapas

Você deve estar se perguntando: Qual é a diferença entre o FCI do Windows Server e o scanner da Proteção de Informações do Azure?