Guia do administrador: Utilizar o PowerShell com o cliente do Azure Information ProtectionAdmin Guide: Using PowerShell with the Azure Information Protection client

Aplica-se a: Active Directory Rights Management Services, proteção de informações do Azure, Windows 10, Windows 8.1, Windows 8, Windows 7 com SP1, windows Server 2016, windows Server 2012 R2, windows Server 2012, windows Server 2008 R2Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

Instruções para: Cliente de proteção de informações do Azure para WindowsInstructions for: Azure Information Protection client for Windows

Quando você instala o cliente de proteção de informações do Azure, os comandos do PowerShell são instalados automaticamente.When you install the Azure Information Protection client, PowerShell commands are automatically installed. Isso permite que você gerencie o cliente executando comandos que você pode colocar em scripts para automação.This lets you manage the client by running commands that you can put into scripts for automation.

Os cmdlets são instalados com o módulo do PowerShell AzureInformationProtection.The cmdlets are installed with the PowerShell module AzureInformationProtection. Esse módulo inclui todos os cmdlets Rights Management da ferramenta de proteção do RMS (não há mais suporte).This module includes all the Rights Management cmdlets from the RMS Protection Tool (no longer supported). Também há cmdlets que usam a proteção de informações do Azure para rotulagem.There are also cmdlets that use Azure Information Protection for labeling. Por exemplo:For example:

Cmdlet de etiquetagemLabeling cmdlet Utilização de exemploExample usage
Get-AIPFileStatusGet-AIPFileStatus Para uma pasta partilhada, identifique todos os ficheiros com uma etiqueta específica.For a shared folder, identify all files with a specific label.
Set-AIPFileClassificationSet-AIPFileClassification Para uma pasta partilhada, inspecione o conteúdo do ficheiro e etiquete automaticamente os ficheiros sem etiqueta, de acordo com as condições que especificou.For a shared folder, inspect the file contents and then automatically label unlabeled files, according to the conditions that you have specified.
Set-AIPFileLabelSet-AIPFileLabel Para uma pasta partilhada, aplique uma etiqueta especificada a todos os ficheiros que não têm uma etiqueta.For a shared folder, apply a specified label to all files that do not have a label.
Set-AIPAuthenticationSet-AIPAuthentication Rotular arquivos de forma não interativa, por exemplo, usando um script que é executado em uma agenda.Label files non-interactively, for example by using a script that runs on a schedule.

Dica

Para usar os cmdlets com comprimentos de caminho maiores que 260 caracteres, use a seguinte configuração de política de grupo que está disponível iniciando o Windows 10, versão 1607:To use cmdlets with path lengths greater than 260 characters, use the following group policy setting that is available starting Windows 10, version 1607:
> Configuração > > do computador de política do computador local modelos administrativos todas as configurações Habilitar caminhos longos do Win32 > Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

Para o Windows Server 2016, você pode usar a mesma configuração de diretiva de grupo ao instalar o Modelos Administrativos mais recente (. admx) para Windows 10.For Windows Server 2016, you can use the same group policy setting when you install the latest Administrative Templates (.admx) for Windows 10.

Para obter mais informações, consulte a seção limite de comprimento máximo de caminho da documentação do desenvolvedor do Windows 10.For more information, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

O Verificador da proteção de informações do Azure usa cmdlets do módulo AzureInformationProtection para instalar e configurar um serviço no Windows Server.The Azure Information Protection scanner uses cmdlets from the AzureInformationProtection module to install and configure a service on Windows Server. Esse scanner permite que você descubra, classifique e proteja arquivos em armazenamentos de dados.This scanner then lets you discover, classify, and protect files on data stores.

Para obter uma lista de todos os cmdlets e o artigo de ajuda correspondente, veja AzureInformationProtection Module (Módulo AzureInformationProtection).For a list of all the cmdlets and their corresponding help, see AzureInformationProtection Module. Em uma sessão do PowerShell, Get-Help <cmdlet name> -online digite para ver a ajuda mais recente.Within a PowerShell session, type Get-Help <cmdlet name> -online to see the latest help.

Este módulo é instalado em ProgramFiles (x86) \Microsoft Azure Information Protection e adiciona esta pasta à variável do sistema PSModulePath.This module installs in \ProgramFiles (x86)\Microsoft Azure Information Protection and adds this folder to the PSModulePath system variable. O ficheiro .dll deste módulo é denominado AIP.dll.The .dll for this module is named AIP.dll.

No momento, se você instalar o módulo como um usuário e executar os cmdlets no mesmo computador que outro usuário, deverá primeiro executar o Import-Module AzureInformationProtection comando.Currently, if you install the module as one user and run the cmdlets on the same computer as another user, you must first run the Import-Module AzureInformationProtection command. Nesse cenário, o módulo não é AutoLoad quando você executa um cmdlet pela primeira vez.In this scenario, the module doesn't autoload when you first run a cmdlet.

A versão atual do módulo AzureInformationProtection tem as seguintes limitações:The current release of the AzureInformationProtection module has the following limitations:

  • Pode desproteger pastas pessoais do Outlook (ficheiros .pst). No entanto, atualmente, não pode proteger nativamente estes ficheiros ou outros ficheiros de contentor através deste módulo do PowerShell.You can unprotect Outlook personal folders (.pst files), but you cannot currently natively protect these files or other container files by using this PowerShell module.

  • Pode desproteger mensagens de e-mail protegidas do Outlook (ficheiros .rpmsg) quando estiverem numa pasta pessoal do Outlook (.pst), mas não pode desproteger ficheiros .rpmsg fora de uma pasta pessoal.You can unprotect Outlook protected email messages (.rpmsg files) when they are in an Outlook personal folder (.pst), but you cannot unprotect .rpmsg files outside a personal folder.

Antes de começar a utilizar estes cmdlets, veja os pré-requisitos e as instruções adicionais que correspondem à sua implementação:Before you start to use these cmdlets, see the additional prerequisites and instructions that corresponds to your deployment:

  • Serviço do Azure Information Protection e o Azure Rights ManagementAzure Information Protection and Azure Rights Management service

    • Aplicável se você usar somente classificação ou classificação com proteção de Rights Management: Você tem uma assinatura que inclui a proteção de informações do Azure (por exemplo, Enterprise Mobility + Security).Applicable if you use classification-only or classification with Rights Management protection: You have a subscription that includes Azure Information Protection (for example, Enterprise Mobility + Security).
    • Aplicável se você usar somente proteção com o serviço de Rights Management do Azure: Você tem uma assinatura que inclui o serviço de Rights Management do Azure (por exemplo, Office 365 E3 e Office 365 E5).Applicable if you use protection-only with the Azure Rights Management service: You have a subscription that includes the Azure Rights Management service (for example, Office 365 E3 and Office 365 E5).
  • Serviços de Gestão de Direitos do Active DirectoryActive Directory Rights Management Services

    • Aplicável se utilizar apenas a proteção com a versão no local do Azure Rights Management; Serviços de Gestão de Direitos do Active Directory (AD RMS).Applicable if you use protection-only with the on-premises version of Azure Rights Management; Active Directory Rights Management Services (AD RMS).

Proteção de informações do Azure e serviço de Rights Management do AzureAzure Information Protection and Azure Rights Management service

Leia esta seção antes de começar a usar os comandos do PowerShell quando sua organização usar a proteção de informações do Azure para classificação e proteção, ou apenas o serviço de Rights Management do Azure para proteção de dados.Read this section before you start using the PowerShell commands when your organization uses Azure Information Protection for classification and protection, or just the Azure Rights Management service for data protection.

Pré-requisitosPrerequisites

Além dos pré-requisitos para instalar o módulo AzureInformationProtection, há pré-requisitos adicionais para rotulagem da proteção de informações do Azure e o serviço de proteção de dados do Azure Rights Management:In addition to the prerequisites for installing the AzureInformationProtection module, there are additional prerequisites for Azure Information Protection labeling and the Azure Rights Management data protection service:

  1. O Serviço Azure Rights Management tem de ser ativado.The Azure Rights Management service must be activated.

  2. Para remover a proteção dos ficheiros para os outros utilizadores que utilizam a conta:To remove protection from files for others using your own account:

    • A funcionalidade de superutilizador tem de estar ativada para a sua organização e a conta tem de estar configurada para ser um superutilizador do Azure Rights Management.The super user feature must be enabled for your organization and your account must be configured to be a super user for Azure Rights Management.
  3. Para proteger ou desproteger ficheiros diretamente sem a interação do utilizador:To directly protect or unprotect files without user interaction:

    • Crie uma conta do principal de serviço, execute Set-RMSServerAuthentication e considere tornar este principal de serviço um superutilizador do Azure Rights Management.Create a service principal account, run Set-RMSServerAuthentication, and consider making this service principal a super user for Azure Rights Management.
  4. Para regiões fora da América do Norte:For regions outside North America:

    • Edite o registro para descoberta de serviço.Edit the registry for service discovery.

Pré-requisito 1: O serviço de Rights Management do Azure deve ser ativadoPrerequisite 1: The Azure Rights Management service must be activated

Este pré-requisito aplica-se quer aplique a proteção de dados através da utilização de etiquetas ou da ligação direta ao serviço Azure Rights Management para a aplicação da proteção de dados.This prerequisite applies whether you apply the data protection by using labels or by directly connecting to the Azure Rights Management service to apply the data protection.

Se o locatário da proteção de informações do Azure não estiver ativado, consulte as instruções para ativar o serviço de proteção da proteção de informações do Azure.If your Azure Information Protection tenant is not activated, see the instructions for Activating the protection service from Azure Information Protection.

Pré-requisito 2: Para remover a proteção de arquivos para outras pessoas que usam sua própria contaPrerequisite 2: To remove protection from files for others using your own account

Os cenários típicos para remover a proteção dos ficheiros para os outros utilizadores incluem a recuperação de dados ou a deteção de dados.Typical scenarios for removing protection from files for others include data discovery or data recovery. Se estiver a utilizar etiquetas para aplicar a proteção, poderá remover a proteção através da definição de uma nova etiqueta que não aplica a proteção ou da remoção da etiqueta.If you are using labels to apply the protection, you could remove the protection by setting a new label that doesn't apply protection or by removing the label. Porém, é mais provável que se ligue diretamente ao serviço Azure Rights Management para remover a proteção.But you will more likely connect directly to the Azure Rights Management service to remove the protection.

Tem de ter um direito de utilização do Rights Management para remover a proteção de ficheiros ou ser um superutilizador.You must have a Rights Management usage right to remove protection from files, or be a super user. A funcionalidade de superutilizador é normalmente utilizada para a deteção ou a recuperação de dados.For data discovery or data recovery, the super user feature is typically used. Para ativar esta funcionalidade e configurar a sua conta para ser um superutilizador, veja Configurar superutilizadores para o Azure Rights Management e Serviços de Deteção ou Recuperação de Dados.To enable this feature and configure your account to be a super user, see Configuring super users for Azure Rights Management and Discovery Services or Data Recovery.

Pré-requisito 3: Para proteger ou desproteger arquivos sem interação com o usuárioPrerequisite 3: To protect or unprotect files without user interaction

Você pode se conectar diretamente ao serviço de Rights Management do Azure de forma não interativa para proteger ou desproteger arquivos.You can connect directly to the Azure Rights Management service non-interactively to protect or unprotect files.

Você deve usar uma conta de entidade de serviço para se conectar ao serviço de Rights Management do Azure de forma não interativa, que você pode Set-RMSServerAuthentication fazer usando o cmdlet.You must use a service principal account to connect to the Azure Rights Management service non-interactively, which you do by using the Set-RMSServerAuthentication cmdlet. Tem de o fazer para cada sessão do Windows PowerShell que executa cmdlets que se ligam diretamente ao serviço Azure Rights Management.You must do this for each Windows PowerShell session that runs cmdlets that directly connect to the Azure Rights Management service. Antes de executar este cmdlet, você deve ter estes três identificadores:Before you run this cmdlet, you must have these three identifiers:

  • BposTenantIdBposTenantId

  • AppPrincipalIdAppPrincipalId

  • Chave SimétricaSymmetric Key

Você pode usar os seguintes comandos do PowerShell e instruções comentadas para obter automaticamente os valores para os identificadores e executar o cmdlet Set-RMSServerAuthentication.You can use the following PowerShell commands and commented instructions to automatically get the values for the identifiers and run the Set-RMSServerAuthentication cmdlet. Ou, você pode obter e especificar manualmente os valores.Or, you can manually get and specify the values.

Para obter os valores automaticamente e executar Set-RMSServerAuthentication:To automatically get the values and run Set-RMSServerAuthentication:

# Make sure that you have the AIPService and MSOnline modules installed

$ServicePrincipalName="<new service principal name>"
Connect-AipService
$bposTenantID=(Get-AipServiceConfiguration).BPOSId
Disconnect-AipService
Connect-MsolService
New-MsolServicePrincipal -DisplayName $ServicePrincipalName

# Copy the value of the generated symmetric key

$symmetricKey="<value from the display of the New-MsolServicePrincipal command>"
$appPrincipalID=(Get-MsolServicePrincipal | Where { $_.DisplayName -eq $ServicePrincipalName }).AppPrincipalId
Set-RMSServerAuthentication -Key $symmetricKey -AppPrincipalId $appPrincipalID -BposTenantId $bposTenantID

As próximas seções explicam como obter e especificar esses valores manualmente, com mais informações sobre cada um deles.The next sections explain how to manually get and specify these values, with more information about each one.

Para obter o BposTenantIdTo get the BposTenantId

Execute o cmdlet Get-AipServiceConfiguration do módulo Azure RMS Windows PowerShell:Run the Get-AipServiceConfiguration cmdlet from the Azure RMS Windows PowerShell module:

  1. Se esse módulo ainda não estiver instalado no computador, consulte instalando o módulo do PowerShell do AIPService.If this module is not already installed on your computer, see Installing the AIPService PowerShell module.

  2. Inicie o Windows PowerShell com a opção Executar como Administrador.Start Windows PowerShell with the Run as Administrator option.

  3. Utilize o cmdlet Connect-AipService para ligar ao serviço Azure Rights Management:Use the Connect-AipService cmdlet to connect to the Azure Rights Management service:

     Connect-AipService
    

    Quando solicitado, insira suas credenciais de administrador de locatário da proteção de informações do Azure.When prompted, enter your Azure Information Protection tenant administrator credentials. Normalmente, você usa uma conta que seja um administrador global para Azure Active Directory ou o Office 365.Typically, you use an account that is a global administrator for Azure Active Directory or Office 365.

  4. Execute Get-AipServiceConfiguration e faça uma cópia do valor BPOSId.Run Get-AipServiceConfiguration and make a copy of the BPOSId value.

    Um exemplo de saída de Get-AipServiceConfiguration:An example of output from Get-AipServiceConfiguration:

         BPOSId                                   : 23976bc6-dcd4-4173-9d96-dad1f48efd42
    
         RightsManagement ServiceId               : 1a302373-f233-440600909-4cdf305e2e76
    
         LicensingIntranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
         LicensingExtranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
         CertificationIntranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
         CertificationExtranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
  5. Encerre o serviço:Disconnect from the service:

     Disconnect-AipService
    
Para obter o AppPrincipalId e a Chave SimétricaTo get the AppPrincipalId and Symmetric Key

Crie um novo principal de serviço ao executar o cmdlet New-MsolServicePrincipal no módulo MSOnline PowerShell do Azure Active Directory e utilize as instruções seguintes.Create a new service principal by running the New-MsolServicePrincipal cmdlet from the MSOnline PowerShell module for Azure Active Directory and use the following instructions.

Importante

Não utilize o cmdlet mais recente do Azure AD PowerShell, New-AzureADServicePrincipal, para criar este principal de serviço.Do not use the newer Azure AD PowerShell cmdlet, New-AzureADServicePrincipal, to create this service principal. O serviço Azure Rights Management não suporta o cmdlet New-AzureADServicePrincipal.The Azure Rights Management service does not support New-AzureADServicePrincipal.

  1. Se o módulo MSOnline ainda não estiver instalado no computador, execute Install-Module MSOnline.If the MSOnline module is not already installed on your computer, run Install-Module MSOnline.

  2. Inicie o Windows PowerShell com a opção Executar como Administrador.Start Windows PowerShell with the Run as Administrator option.

  3. Utilize o cmdlet Connect-MsolService para ligar ao Azure AD:Use the Connect-MsolService cmdlet to connect to Azure AD:

     Connect-MsolService
    

    Quando solicitado, insira suas credenciais de administrador de locatário do Azure AD (normalmente, você usa uma conta que seja um administrador global para Azure Active Directory ou Office 365).When prompted, enter your Azure AD tenant administrator credentials (typically, you use an account that is a global administrator for Azure Active Directory or Office 365).

  4. Execute o cmdlet New-MsolServicePrincipal para criar um novo principal de serviço:Run the New-MsolServicePrincipal cmdlet to create a new service principal:

     New-MsolServicePrincipal
    

    Quando lhe for pedido, introduza um nome a apresentar à sua escolha para este principal de serviço que o ajuda a identificar o objetivo mais tarde como uma conta para estabelecer ligação ao serviço Azure Rights Management para que possa proteger e desproteger ficheiros.When prompted, enter your choice of a display name for this service principal that helps you to identify its purpose later as an account for you to connect to the Azure Rights Management service so that you can protect and unprotect files.

    Um exemplo de saída do New-MsolServicePrincipal:An example of the output of New-MsolServicePrincipal:

     Supply values for the following parameters:
    
     DisplayName: AzureRMSProtectionServicePrincipal
     The following symmetric key was created as one was not supplied
     zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=
    
     Display Name: AzureRMSProtectionServicePrincipal
     ServicePrincipalNames: (b5e3f7g1-b5c2-4c96-a594-a0807f65bba4)
     ObjectId: 23720996-593c-4122-bfc7-1abb5a0b5109
     AppPrincialId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4
     TrustedForDelegation: False
     AccountEnabled: True
     Addresses: ()
     KeyType: Symmetric
     KeyId: 8ef61651-ca11-48ea-a350-25834a1ba17c
     StartDate: 3/7/2014 4:43:59 AM
     EndDate: 3/7/2014 4:43:59 AM
     Usage: Verify
    
  5. A partir desta saída, anote a chave simétrica e o AppPrincialId.From this output, make a note of the symmetric key and the AppPrincialId.

    É importante que você faça uma cópia dessa chave simétrica agora.It is important that you make a copy of this symmetric key, now. Você não poderá recuperar essa chave posteriormente, portanto, se não souber quando precisar se autenticar no serviço de Rights Management do Azure, você precisará criar uma nova entidade de serviço.You cannot retrieve this key later, so if you do not know it when you next need to authenticate to the Azure Rights Management service, you will have to create a new service principal.

Com estas instruções e os nossos exemplos, temos os três identificadores necessários para a execução do Set-RMSServerAuthentication:From these instructions and our examples, we have the three identifiers required to run Set-RMSServerAuthentication:

  • ID do locatário: 23976bc6-dcd4-4173-9d96-dad1f48efd42Tenant Id: 23976bc6-dcd4-4173-9d96-dad1f48efd42

  • Chave simétrica: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=Symmetric key: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=

  • AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4

O nosso comando de exemplo teria um aspeto semelhante ao seguinte:Our example command would then look like the following:

Set-RMSServerAuthentication -Key zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=-AppPrincipalId b5e3f76a-b5c2-4c96-a594-a0807f65bba4-BposTenantId 23976bc6-dcd4-4173-9d96-dad1f48efd42

Conforme mostrado no comando anterior, você pode fornecer os valores com um único comando, que você faria em um script para ser executado de forma não interativa.As shown in the previous command, you can supply the values with a single command, which you would do in a script to run non-interactively. Mas, para fins de teste, você pode simplesmente digitar Set-RMSServerAuthentication e fornecer os valores um por um quando solicitado.But for testing purposes, you can just type Set-RMSServerAuthentication, and supply the values one-by-one when prompted. Quando o comando é concluído, o cliente agora está operando no "modo de servidor", que é adequado para uso não interativo, como scripts e a infraestrutura de classificação de arquivos do Windows Server.When the command completes, the client is now operating in "server mode", which is suitable for non-interactive use such as scripts and Windows Server File Classification Infrastructure.

Considere tornar essa conta de entidade de serviço um superusuário: Para garantir que essa conta de entidade de serviço sempre possa desproteger arquivos para outras pessoas, ela pode ser configurada para ser um superusuário.Consider making this service principal account a super user: To ensure that this service principal account can always unprotect files for others, it can be configured to be a super user. Da mesma forma que você configura uma conta de usuário padrão para ser um Superusuário, use o mesmo cmdlet Azure RMS, Add-AipServiceSuperUser, mas especifique o parâmetro servicePrincipalName com seu valor AppPrincipalId.In the same way as you configure a standard user account to be a super user, you use the same Azure RMS cmdlet, Add-AipServiceSuperUser, but specify the ServicePrincipalId parameter with your AppPrincipalId value.

Para obter mais informações sobre super usuários, consulte Configurando superusuários para proteção de informações do Azure e serviços de descoberta ou recuperação de dados.For more information about super users, see Configuring super users for Azure Information Protection and discovery services or data recovery.

Nota

Para utilizar a sua própria conta para a autenticação no serviço Azure Rights Management, não precisa de executar Set-RMSServerAuthentication antes de proteger ou desproteger ficheiros ou de obter modelos.To use your own account to authenticate to the Azure Rights Management service, there's no need to run Set-RMSServerAuthentication before you protect or unprotect files, or get templates.

Pré-requisito 4: Para regiões fora do América do NortePrerequisite 4: For regions outside North America

Ao usar uma conta de entidade de serviço para proteger arquivos e baixar modelos fora da região de América do Norte do Azure, você deve editar o registro:When you use a service principal account to protect files and download templates outside the Azure North America region, you must edit the registry:

  1. Execute o cmdlet Get-AipServiceConfiguration novamente e anote os valores de CertificationExtranetDistributionPointUrl e LicensingExtranetDistributionPointUrl.Run the Get-AipServiceConfiguration cmdlet again, and make a note of the values for CertificationExtranetDistributionPointUrl and LicensingExtranetDistributionPointUrl.

  2. Em cada computador em que você executará os cmdlets AzureInformationProtection, abra o editor do registro.On each computer where you will run the AzureInformationProtection cmdlets, open the registry editor.

  3. Navegue até o seguinte caminho: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation.Navigate to the following path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation.

    Se você não vir a chave MSIPC ou a chave do local , crie-as.If you do not see the MSIPC key or ServiceLocation key, create them.

  4. Para a chave ServiceLocation, crie duas chaves, caso não existam, com o nome EnterpriseCertification e EnterprisePublishing.For the ServiceLocation key, create two keys if they do not exist, named EnterpriseCertification and EnterprisePublishing.

    Para o valor da cadeia de caracteres que é criado automaticamente para essas chaves, não altere o nome de "(padrão)", mas Edite a cadeia de caracteres para definir os dados do valor:For the string value that's automatically created for these keys, do not change the Name of "(Default)", but edit the string to set the Value data:

    • Para EnterpriseCertification, cole o valor de CertificationExtranetDistributionPointUrl.For EnterpriseCertification, paste your CertificationExtranetDistributionPointUrl value.

    • Para EnterpriseCertification, cole o valor de LicensingExtranetDistributionPointUrl.For EnterprisePublishing, paste your LicensingExtranetDistributionPointUrl value.

      Por exemplo, sua entrada de registro para EnterpriseCertification deve ser semelhante ao seguinte:For example, your registry entry for EnterpriseCertification should look similar to the following:

      Editando o registro do módulo do PowerShell da proteção de informações do Azure para regiões fora do América do Norte

  5. Feche o editor de registo.Close the registry editor. Não é preciso reiniciar o computador.There is no need to restart your computer. No entanto, se estiver a utilizar uma conta do principal de serviço em vez da sua própria conta de utilizador, terá de executar o comando Set-RMSServerAuthentication depois desta edição do registo.However, if you are using a service principal account rather than your own user account, you must run the Set-RMSServerAuthentication command after making this registry edit.

Cenários de exemplo para utilizar os cmdlets para o Azure Information Protection e o serviço Azure Rights ManagementExample scenarios for using the cmdlets for Azure Information protection and the Azure Rights Management service

É mais eficiente usar rótulos para classificar e proteger arquivos, pois há apenas dois cmdlets de que você precisa, que podem ser executados por si mesmos ou juntos: Get-AIPFileStatus e set-AIPFileLabel.It's more efficient to use labels to classify and protect files, because there are just two cmdlets that you need, which can be run by themselves or together: Get-AIPFileStatus and Set-AIPFileLabel. Utilize a ajuda de ambos os cmdlets para obter mais informações e exemplos.Use the help for both these cmdlets for more information and examples.

No entanto, para proteger ou desproteger ficheiros ligando-se diretamente ao serviço Azure Rights Management, tem geralmente de executar uma série de cmdlets conforme descrito em seguida.However, to protect or unprotect files by directly connecting to the Azure Rights Management service, you must typically run a series of cmdlets as described next.

Primeiro, se você precisar se autenticar no serviço de Rights Management do Azure com uma conta de entidade de serviço em vez de usar sua própria conta, em uma sessão do PowerShell, digite:First, if you need to authenticate to the Azure Rights Management service with a service principal account rather than use your own account, in a PowerShell session, type:

Set-RMSServerAuthentication

Quando solicitado, insira os três identificadores, conforme descrito em pré-requisito 3: Proteger ou desproteger arquivos sem interaçãocom o usuário.When prompted, enter the three identifiers as described in Prerequisite 3: To protect or unprotect files without user interaction.

Para poder proteger ficheiros, terá de transferir os modelos do Rights Management para o computador e identificar qual utilizar e o número de ID correspondente.Before you can protect files, you must download the Rights Management templates to your computer and identify which one to use and its corresponding ID number. A partir da saída, pode copiar o ID do modelo:From the output, you can then copy the template ID:

Get-RMSTemplate

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True

TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Tenha em atenção que se não executou o comando Set-RMSServerAuthentication, é autenticado para o serviço Azure Rights Management através da sua própria conta de utilizador.Note that if you didn't run the Set-RMSServerAuthentication command, you are authenticated to the Azure Rights Management service by using your own user account. Se estiver num computador associado a um domínio, as suas credenciais atuais são sempre utilizadas automaticamente.If you are on a domain-joined computer, your current credentials are always used automatically. Se estiver num computador de grupo de trabalho, é solicitado a iniciar sessão no Azure e estas credenciais são armazenadas em cache para comandos subsequentes.If you are on a workgroup computer, you are prompted to sign in to Azure, and these credentials are then cached for subsequent commands. Neste cenário, se mais tarde tiver de iniciar sessão como um utilizador diferente, utilize o cmdlet Clear-RMSAuthentication.In this scenario, if you later need to sign in as a different user, use the Clear-RMSAuthentication cmdlet.

Agora que sabe o ID do modelo, pode utilizá-lo com o cmdlet Protect-RMSFile para proteger um ficheiro individual ou todos os ficheiros numa pasta.Now you know the template ID, you can use it with the Protect-RMSFile cmdlet to protect a single file or all files in a folder. Por exemplo, se quiser proteger apenas um único ficheiro e substituir o original, ao utilizar o modelo “Contoso, Lda. – Confidencial”:For example, if you want to protect a single file only and overwrite the original, by using the "Contoso, Ltd - Confidential" template:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

Para proteger todos os ficheiros numa pasta, utilize o parâmetro -Folder com uma letra de unidade e caminho ou caminho UNC.To protect all files in a folder, use the -Folder parameter with a drive letter and path, or UNC path. Por exemplo:For example:

Protect-RMSFile -Folder \Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

InputFile                          EncryptedFile
---------                          -------------
\Server1\Documents\Test1.docx     \Server1\Documents\Test1.docx
\Server1\Documents\Test2.docx     \Server1\Documents\Test2.docx
\Server1\Documents\Test3.docx     \Server1\Documents\Test3.docx
\Server1\Documents\Test4.docx     \Server1\Documents\Test4.docx

Quando a extensão de nome de ficheiro não é alterada depois de a proteção ser aplicada, pode sempre utilizar o cmdlet Get-RMSFileStatus mais tarde para verificar se o ficheiro está protegido.When the file name extension does not change after the protection is applied, you can always use the Get-RMSFileStatus cmdlet later to check whether the file is protected. Por exemplo:For example:

Get-RMSFileStatus -File \Server1\Documents\Test1.docx

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

FileName                              Status
--------                              ------
\Server1\Documents\Test1.docx         Protected

Para desproteger um arquivo, você deve ter direitos de proprietário ou de extração de quando o arquivo foi protegido.To unprotect a file, you must have Owner or Extract rights from when the file was protected. Ou, você deve executar os cmdlets como um superusuário.Or, you must run the cmdlets as a super user. Em seguida, utilize o cmdlet Desproteger.Then, use the Unprotect cmdlet. Por exemplo:For example:

Unprotect-RMSFile C:\test.docx -InPlace

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Tenha em atenção que se os modelos do Rights Management forem alterados, terá de os transferir novamente com Get-RMSTemplate -force.Note that if the Rights Management templates are changed, you must download them again with Get-RMSTemplate -force.

Serviços de Gestão de Direitos do Active DirectoryActive Directory Rights Management Services

Leia esta secção antes de começar a utilizar os comandos do PowerShell para proteger ou desproteger ficheiros quando a sua organização utiliza apenas Serviços de Gestão de Direitos do Active Directory.Read this section before you start using the PowerShell commands to protect or unprotect files when your organization uses just Active Directory Rights Management Services.

Pré-requisitosPrerequisites

Além dos pré-requisitos para instalar o módulo AzureInformationProtection, a conta usada para proteger ou desproteger arquivos deve ter permissões de leitura e execução para acessar ServerCertification. asmx:In addition to the prerequisites for installing the AzureInformationProtection module, the account used to protect or unprotect files must have Read and Execute permissions to access ServerCertification.asmx:

  1. Inicie sessão num servidor AD RMS.Log on to an AD RMS server.

  2. Clique em Iniciar e, em seguida, em Computador.Click Start, and then click Computer.

  3. No Explorador de Ficheiros, navegue até %systemdrive%\Initpub\wwwroot_wmsc\Certification.In File Explorer, navigate to %systemdrive%\Initpub\wwwroot_wmsc\Certification.

  4. Clique com o botão direito do rato em ServerCertification.asmx e, em seguida, clique em Propriedades.Right-click ServerCertification.asmx, then click Properties.

  5. Na caixa de diálogo Propriedades de ServerCertification.asmx, clique no separador Segurança.In the ServerCertification.asmx Properties dialog box, click the Security tab.

  6. Clique no botão Continuar ou no botão Editar.Click the Continue button or the Edit button.

  7. Na caixa de diálogo Permissões para ServerCertification.asmx, clique em Adicionar.In the Permissions for ServerCertification.asmx dialog box, click Add.

  8. Adicione o nome da sua conta.Add your account name. Se outros administradores AD RMS ou contas de serviço também usarão esses cmdlets para proteger e desproteger arquivos, adicione-as também.If other AD RMS administrators or service accounts will also use these cmdlets to protect and unprotect files, add those accounts as well.

    Para proteger ou desproteger arquivos de forma não interativa, adicione a conta ou contas de computador relevantes.To protect or unprotect files non-interactively, add the relevant computer account or accounts. Por exemplo, adicione a conta de computador do computador Windows Server que está configurado para a infraestrutura de classificação de arquivos e usará um script do PowerShell para proteger arquivos.For example, add the computer account of the Windows Server computer that is configured for File Classification Infrastructure and will use a PowerShell script to protect files.

  9. Na coluna Permitir, confirme que as caixas de verificação Leitura e Execuçãoe Leitura estão selecionadas.In the Allow column, make sure that the Read and Execute, and the Read checkboxes are selected.

10. Clique em OK duas vezes.10.Click OK twice.

Cenários de exemplo para utilizar os cmdlets para os Serviços de Gestão de Direitos do Active DirectoryExample scenarios for using the cmdlets for Active Directory Rights Management Services

Um cenário típico para estes cmdlets é proteger todos os ficheiros numa pasta ao utilizar um modelo de política de direitos ou para desproteger um ficheiro.A typical scenario for these cmdlets is to protect all files in a folder by using a rights policy template, or to unprotect a file.

Em primeiro lugar, se tiver mais de uma implementação do AD RMS, precisa dos nomes dos servidores do AD RMS, o que pode fazer ao utilizar o cmdlet Get-RMSServer para apresentar uma lista de servidores disponíveis:First, if you have more than one deployment of AD RMS, you need the names of your AD RMS servers, which you do by using the Get-RMSServer cmdlet to display a list of available servers:

Get-RMSServer

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

Number of RMS Servers that can provide templates: 2 
ConnectionInfo             DisplayName          AllowFromScratch
--------------             -------------        ----------------
Microsoft.InformationAnd…  RmsContoso                       True
Microsoft.InformationAnd…  RmsFabrikam                      True

Antes de poder proteger os ficheiros, terá de obter uma lista de modelos do Rights Management para identificar qual utilizar e o número de ID correspondente.Before you can protect files, you need to get a list of RMS templates to identify which one to use and its corresponding ID number. Só quando tiver mais do que uma implementação do AD RMS é que tem de especificar também o servidor RMS.Only when you have more than one AD RMS deployment do you need to specify the RMS server as well.

A partir da saída, pode copiar o ID do modelo:From the output, you can then copy the template ID:

Get-RMSTemplate -RMSServer RmsContoso

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True


TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Agora que sabe o ID do modelo, pode utilizá-lo com o cmdlet Protect-RMSFile para proteger um ficheiro individual ou todos os ficheiros numa pasta.Now you know the template ID, you can use it with the Protect-RMSFile cmdlet to protect a single file or all files in a folder. Por exemplo, se quiser proteger apenas um único ficheiro e substituir o original, ao utilizar o modelo “Contoso, Lda. – Confidencial”:For example, if you want to protect a single file only and replace the original, by using the "Contoso, Ltd - Confidential" template:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx   

Para proteger todos os ficheiros numa pasta, utilize o parâmetro -Folder com uma letra de unidade e caminho ou caminho UNC.To protect all files in a folder, use the -Folder parameter with a drive letter and path, or UNC path. Por exemplo:For example:

Protect-RMSFile -Folder \\Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

InputFile                          EncryptedFile
---------                          -------------
\\Server1\Documents\Test1.docx     \\Server1\Documents\Test1.docx   
\\Server1\Documents\Test2.docx     \\Server1\Documents\Test2.docx   
\\Server1\Documents\Test3.docx     \\Server1\Documents\Test3.docx   
\\Server1\Documents\Test4.docx     \\Server1\Documents\Test4.docx   

Quando a extensão de nome de arquivo não for alterada depois que a proteção for aplicada, você sempre poderá usar o cmdlet Get-RMSFileStatus mais tarde para verificar se o arquivo está protegido.When the file name extension does not change after protection is applied, you can always use the Get-RMSFileStatus cmdlet later to check whether the file is protected. Por exemplo:For example:

Get-RMSFileStatus -File \\Server1\Documents\Test1.docx

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

FileName                              Status
--------                              ------
\\Server1\Documents\Test1.docx        Protected

Para desproteger um arquivo, você deve ter direitos de uso de proprietário ou extrair de quando o arquivo foi protegido ou ser superusuário para AD RMS.To unprotect a file, you must have Owner or Extract usage rights from when the file was protected, or be super user for AD RMS. Em seguida, utilize o cmdlet Desproteger.Then, use the Unprotect cmdlet. Por exemplo:For example:

Unprotect-RMSFile C:\test.docx -InPlace

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Como etiquetar ficheiros de forma não interativa para o Azure Information ProtectionHow to label files non-interactively for Azure Information Protection

Você pode executar os cmdlets de rotulagem de forma não interativa usando o cmdlet set-AIPAuthentication .You can run the labeling cmdlets non-interactively by using the Set-AIPAuthentication cmdlet. A operação não interativa também é necessária para o verificador da proteção de informações do Azure.Non-interactive operation is also required for the Azure Information Protection scanner.

Por predefinição, quando executa os cmdlets de etiquetagem, os comandos são executados no seu próprio contexto de utilizador numa sessão interativa do PowerShell.By default, when you run the cmdlets for labeling, the commands run in your own user context in an interactive PowerShell session. Para executá-los de modo autónomo, crie uma nova conta de utilizador do Azure AD para este fim.To run them unattended, create a new Azure AD user account for this purpose. Em seguida, no contexto desse utilizador, execute o cmdlet Set-AIPAuthentication para definir e armazenar credenciais através de um token de acesso do Azure AD.Then, in the context of that user, run the Set-AIPAuthentication cmdlet to set and store credentials by using an access token from Azure AD. Esta conta de utilizador é, em seguida, autenticada e reiniciada para o serviço Azure Rights Management.This user account is then authenticated and bootstrapped for the Azure Rights Management service. A conta transfere a política do Azure Information Protection e quaisquer modelos do Rights Management utilizados pelas etiquetas.The account downloads the Azure Information Protection policy and any Rights Management templates that the labels use.

Nota

Se você usar políticas com escopo, lembre-se de que talvez precise adicionar essa conta às políticas com escopo.If you use scoped policies, remember that you might need to add this account to your scoped policies.

Na primeira vez que executar este cmdlet, é pedido que inicie sessão no Azure Information Protection.The first time you run this cmdlet, you are prompted to sign in for Azure Information Protection. Especifique o nome da conta de usuário e a senha que você criou para o usuário autônomo.Specify the user account name and password that you created for the unattended user. Em seguida, esta conta pode executar os cmdlets de etiquetagem de forma não interativa até o token de autenticação expirar.After that, this account can then run the labeling cmdlets non-interactively until the authentication token expires.

Para que a conta de usuário possa entrar interativamente na primeira vez, a conta deve ter o direito fazer logon localmente .For the user account to be able to sign in interactively this first time, the account must have the Log on locally right. Esse direito é o padrão para contas de usuário, mas as políticas de sua empresa podem proibir essa configuração para contas de serviço.This right is standard for user accounts but your company policies might prohibit this configuration for service accounts. Se esse for o caso, você poderá executar Set-AIPAuthentication com o parâmetro token para que a autenticação seja concluída sem o prompt de entrada.If that's the case, you can run Set-AIPAuthentication with the Token parameter so that authentication completes without the sign-in prompt. Você pode executar esse comando como uma tarefa agendada e conceder à conta o direito mais baixo de fazer logon como trabalho em lotes.You can run this command as a scheduled task and grant the account the lower right of Log on as batch job. Para obter mais informações, consulte as secções seguintes.For more information, see the following sections.

Quando o token expirar, execute o cmdlet novamente para adquirir um novo token.When the token expires, run the cmdlet again to acquire a new token.

Se executar este cmdlet sem parâmetros, a conta compra um token de acesso que é válido durante 90 dias ou até a sua palavra-passe expirar.If you run this cmdlet without parameters, the account acquires an access token that is valid for 90 days or until your password expires.

Para controlar quando o token de acesso expira, execute este cmdlet com parâmetros.To control when the access token expires, run this cmdlet with parameters. Tal permite-lhe configurar o token de acesso para um ano, dois anos ou para nunca expirar.This lets you configure the access token for one year, two years, or to never expire. Essa configuração exige que você tenha dois aplicativos registrados no Azure Active Directory: Um aplicativo de aplicativo /API Web e um aplicativo nativo.This configuration requires you to have two applications registered in Azure Active Directory: A Web app / API application and a native application. Os parâmetros para este cmdlet utilizam valores destas aplicações.The parameters for this cmdlet use values from these applications.

Após ter executado este cmdlet, pode executar os cmdlets de etiquetagem no contexto da conta de utilizador que criou.After you have run this cmdlet, you can run the labeling cmdlets in the context of the user account that you created.

Para criar e configurar as aplicações do Azure AD para Set-AIPAuthenticationTo create and configure the Azure AD applications for Set-AIPAuthentication

  1. Numa nova janela de browser, inicie sessão no portal do Azure.In a new browser window, sign in the Azure portal.

  2. Para o locatário do AD do Azure que você usa com a proteção de informações do Azure, navegue até Azure Active Directory > gerenciar > registros de aplicativo.For the Azure AD tenant that you use with Azure Information Protection, navigate to Azure Active Directory > Manage > App registrations.

  3. Selecione + novo registropara criar seu aplicativo Web do aplicativo/API.Select + New registration, to create your Web app /API application. Na folha registrar um aplicativo , especifique os seguintes valores e, em seguida, clique em registrar:On the Register an application blade, specify the following values, and then click Register:

    • Nome:AIPOnBehalfOfName: AIPOnBehalfOf

      Se preferir, especifique um nome diferente.If you prefer, specify a different name. Tem de ser exclusivo por inquilino.It must be unique per tenant.

    • Tipos de conta com suporte: Contas neste diretório organizacional somenteSupported account types: Accounts in this organizational directory only

    • URI de redirecionamento (opcional) : Web ehttp://localhostRedirect URI (optional): Web and http://localhost

  4. Na folha AIPOnBehalfOf , copie o valor da ID do aplicativo (cliente) .On the AIPOnBehalfOf blade, copy the value for the Application (client) ID. O valor é semelhante ao exemplo a seguir: 57c3c1c3-abf9-404e-8b2b-4652836c8c66.The value looks similar to the following example: 57c3c1c3-abf9-404e-8b2b-4652836c8c66. Esse valor é usado para o parâmetro webappid quando você executa o cmdlet Set-AIPAuthentication.This value is used for the WebAppId parameter when you run the Set-AIPAuthentication cmdlet. Cole e salve o valor para referência posterior.Paste and save the value for later reference.

  5. Ainda na folha AIPOnBehalfOf , no menu gerenciar , selecione autenticação.Still on the AIPOnBehalfOf blade, from the Manage menu, select Authentication.

  6. Na folha AIPOnBehalfOf-autenticação , na seção Configurações avançadas , marque a caixa de seleção tokens de ID e, em seguida, selecione salvar.On the AIPOnBehalfOf - Authentication blade, in the Advanced settings section, select the ID tokens checkbox, and then select Save.

  7. Ainda na folha AIPOnBehalfOf-Authentication , no menu gerenciar , selecione certificados & segredos.Still on the AIPOnBehalfOf - Authentication blade, from the Manage menu, select Certificates & secrets.

  8. Na folha AIPOnBehalfOf-certificados & segredos , na seção segredos do cliente , selecione + novo segredo do cliente.On the AIPOnBehalfOf - Certificates & secrets blade, in the Client secrets section, select + New client secret.

  9. Para Adicionar um segredo do cliente, especifique o seguinte e, em seguida, selecione Adicionar:For Add a client secret, specify the following, and then select Add:

    • Descrição:Azure Information Protection clientDescription: Azure Information Protection client
    • Expiraem: Especifique sua opção de duração (1 ano, 2 anos ou nunca expira)Expires: Specify your choice of duration (1 year, 2 years, or never expires)
  10. De volta à folha AIPOnBehalfOf-certificados & segredos , na seção segredos do cliente , copie a cadeia de caracteres para o valor.Back on the AIPOnBehalfOf - Certificates & secrets blade, in the Client secrets section, copy the string for the VALUE. Essa cadeia de caracteres é semelhante ao exemplo a +LBkMvddz?WrlNCK5v0e6_=meM59sSAnseguir:.This string looks similar to the following example: +LBkMvddz?WrlNCK5v0e6_=meM59sSAn. Para se certificar de copiar todos os caracteres, selecione o ícone a ser copiado para a área de transferência.To make sure you copy all the characters, select the icon to Copy to clipboard.

    É importante que guarde esta cadeia, uma vez que não é novamente apresentada e não pode obtê-la.It's important that you save this string because it is not displayed again and it cannot be retrieved. Assim como ocorre com qualquer informação confidencial que você use, armazene o valor salvo com segurança e restrinja o acesso a ele.As with any sensitive information that you use, store the saved value securely and restrict access to it.

  11. Ainda na folha AIPOnBehalfOf-certificados & segredos , no menu gerenciar , selecione expor uma API.Still on the AIPOnBehalfOf - Certificates & secrets blade, from the Manage menu, select Expose an API.

  12. Na folha AIPOnBehalfOf-expor uma API , selecione definir para a opção URI da ID do aplicativo e, no valor do URI da ID do aplicativo , altere API para http.On the AIPOnBehalfOf - Expose an API blade, select Set for the Application ID URI option, and in the Application ID URI value, change api to http. Essa cadeia de caracteres é semelhante ao exemplo a http://d244e75e-870b-4491-b70d-65534953099eseguir:.This string looks similar to the following example: http://d244e75e-870b-4491-b70d-65534953099e.

    Selecione Guardar.Select Save.

  13. De volta à folha AIPOnBehalfOf-expor uma API , selecione + Adicionar um escopo.Back on the AIPOnBehalfOf - Expose an API blade, select + Add a scope.

  14. Na folha Adicionar um escopo , especifique o seguinte, usando as cadeias de caracteres sugeridas como exemplos e, em seguida, selecione Adicionar escopo:On the Add a scope blade, specify the following, using the suggested strings as examples, and then select Add scope:

    • Nome do escopo:user-impersonationScope name: user-impersonation
    • Quem pode consentir? : Administradores e usuáriosWho can consent?: Admins and users
    • Nome de exibição do consentimento do administrador:Access Azure Information Protection scannerAdmin consent display name: Access Azure Information Protection scanner
    • Descrição do consentimento do administrador:Allow the application to access the scanner for the signed-in userAdmin consent description: Allow the application to access the scanner for the signed-in user
    • Nome de exibição do consentimento do usuário:Access Azure Information Protection scannerUser consent display name: Access Azure Information Protection scanner
    • Descrição do consentimento do usuário:Allow the application to access the scanner for the signed-in userUser consent description: Allow the application to access the scanner for the signed-in user
    • Estado: Habilitado (o padrão)State: Enabled (the default)
  15. De volta à folha AIPOnBehalfOf-expor uma API , feche esta folha.Back on the AIPOnBehalfOf - Expose an API blade, close this blade.

  16. Na folha registros de aplicativo , selecione + novo registro de aplicativo para agora criar seu aplicativo nativo.On the App registrations blade, select + New application registration to now create your native application.

  17. Na folha registrar um aplicativo , especifique as seguintes configurações e, em seguida, selecione registrar:On the Register an application blade, specify the following settings, and then select Register:

    • Nome:AIPClientName: AIPClient
    • Tipos de conta com suporte: Contas neste diretório organizacional somenteSupported account types: Accounts in this organizational directory only
    • URI de redirecionamento (opcional) : Cliente público (mobile & Desktop) ehttp://localhostRedirect URI (optional): Public client (mobile & desktop) and http://localhost
  18. Na folha AIPClient , copie o valor da ID do aplicativo (cliente) .On the AIPClient blade, copy the value of the Application (client) ID. O valor é semelhante ao exemplo a seguir: 8ef1c873-9869-4bb1-9c11-8313f9d7f76f.The value looks similar to the following example: 8ef1c873-9869-4bb1-9c11-8313f9d7f76f.

    Esse valor é usado para o parâmetro NativeAppId quando você executa o cmdlet Set-AIPAuthentication.This value is used for the NativeAppId parameter when you run the Set-AIPAuthentication cmdlet. Cole e salve o valor para referência posterior.Paste and save the value for later reference.

  19. Ainda na folha AIPClient , no menu gerenciar , selecione autenticação.Still on the AIPClient blade, from the Manage menu, select Authentication.

  20. Na folha AIPClient-autenticação , especifique o seguinte e, em seguida, selecione salvar:On the AIPClient - Authentication blade, specify the following, and then select Save:

    • Na seção Configurações avançadas , selecione tokens de ID.In the Advanced settings section, select ID tokens.
    • Na seção tipo de cliente padrão , selecione Sim.In the Default client type section, select Yes.
  21. Ainda na folha AIPClient-Authentication , no menu gerenciar , selecione permissões de API.Still on the AIPClient - Authentication blade, from the Manage menu, select API permissions.

  22. Na folha AIPClient-permissões , selecione + Adicionar uma permissão.On the AIPClient - permissions blade, select + Add a permission.

  23. Na folha solicitar permissões de API , selecione minhas APIs.On the Request API permissions blade, select My APIs.

  24. Na seção selecionar uma API , selecione APIOnBehalfOfe marque a caixa de seleção para representação do usuário, como a permissão.In the Select an API section, select APIOnBehalfOf, then select the checkbox for user-impersonation, as the permission. Selecione adicionar permissões.Select Add permissions.

  25. De volta à folha permissões de API , na seção conceder consentimento , selecione conceder consentimento de administrador <para o nome > do locatário e selecione Sim para o prompt de confirmação.Back on the API permissions blade, in the Grant consent section, select Grant admin consent for <your tenant name> and select Yes for the confirmation prompt.

Agora você concluiu a configuração dos dois aplicativos e tem os valores necessários para executar set-AIPAuthentication com os parâmetros webappid, WebAppKey e NativeAppId.You've now completed the configuration of the two apps and you have the values that you need to run Set-AIPAuthentication with the parameters WebAppId, WebAppKey and NativeAppId. Em nossos exemplos:From our examples:

Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "+LBkMvddz?WrlNCK5v0e6_=meM59sSAn" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f"

Execute este comando no contexto da conta que irá rotular e proteger os documentos de forma não interativa.Run this command in the context of the account that will label and protect the documents non-interactively. Por exemplo, uma conta de usuário para seus scripts do PowerShell ou a conta de serviço para executar o verificador da proteção de informações do Azure.For example, a user account for your PowerShell scripts or the service account to run the Azure Information Protection scanner.

Ao executar esse comando pela primeira vez, você será solicitado a entrar, o que cria e armazena com segurança o token de acesso para sua conta no%localappdata%\Microsoft\MSIP.When you run this command for the first time, you are prompted to sign in, which creates and securely stores the access token for your account in %localappdata%\Microsoft\MSIP. Após essa entrada inicial, você pode rotular e proteger arquivos de forma não interativa no computador.After this initial sign-in, you can label and protect files non-interactively on the computer. No entanto, se você usar uma conta de serviço para rotular e proteger arquivos e essa conta de serviço não puder entrar interativamente, use as instruções na seção a seguir para que a conta de serviço possa ser autenticada usando um token.However, if you use a service account to label and protect files, and this service account cannot sign in interactively, use the instructions in the following section so that the service account can authenticate by using a token.

Especifique e use o parâmetro de token para Set-AIPAuthenticationSpecify and use the Token parameter for Set-AIPAuthentication

Use as etapas e instruções adicionais a seguir para evitar a entrada interativa inicial para uma conta que rotula e protege arquivos.Use the following additional steps and instructions to avoid the initial interactive sign-in for an account that labels and protects files. Normalmente, essas etapas adicionais serão necessárias apenas se essa conta não puder receber o direito fazer logon localmente , mas receber o direito fazer logon como um trabalho em lotes .Typically, these additional steps are required only if this account cannot be granted the Log on locally right but is granted the Log on as a batch job right. Por exemplo, esse pode ser o caso para sua conta de serviço que executa o verificador da proteção de informações do Azure.For example, this might be the case for your service account that runs the Azure Information Protection scanner.

Etapas de alto nível:High-level steps:

  1. Crie um script do PowerShell no computador local.Create a PowerShell script on your local computer.

  2. Execute Set-AIPAuthentication para obter um token de acesso e copiá-lo para a área de transferência.Run Set-AIPAuthentication to get an access token and copy it to the clipboard.

  3. Modifique o script do PowerShell para incluir o token.Modify the PowerShell script to include the token.

  4. Crie uma tarefa que executa o script do PowerShell no contexto da conta de serviço que rotulará e protegerá os arquivos.Create a task that runs the PowerShell script in the context of the service account that will label and protect files.

  5. Confirme se o token foi salvo para a conta de serviço e exclua o script do PowerShell.Confirm that the token is saved for the service account, and delete the PowerShell script.

Passo 1: Criar um script do PowerShell no computador localStep 1: Create a PowerShell script on your local computer

  1. Em seu computador, crie um novo script do PowerShell chamado Aipauthentication. ps1.On your computer, create a new PowerShell script named Aipauthentication.ps1.

  2. Copie e cole o seguinte comando nesse script:Copy and paste the following command into this script:

      Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application> -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application > -Token <token value>
    
  3. Usando as instruções na seção anterior, modifique esse comando especificando seus próprios valores para os parâmetros webappid, WebAppkeye NativeAppId .Using the instructions in the preceding section, modify this command by specifying your own values for the WebAppId, WebAppkey, and NativeAppId parameters. Neste momento, você não tem o valor para o parâmetro de token , que você especifica mais tarde.At this time, you do not have the value for the Token parameter, which you specify later.

    Por exemplo: Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>For example: Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>

Passo 2: Execute Set-AIPAuthentication para obter um token de acesso e copiá-lo para a área de transferênciaStep 2: Run Set-AIPAuthentication to get an access token and copy it to the clipboard

  1. Abra uma sessão do Windows PowerShell.Open a Windows PowerShell session.

  2. Usando os mesmos valores que você especificou no script, execute o seguinte comando:Using the same values as you specified in the script, run the following command:

     (Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application>  -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application >).token | clip
    

    Por exemplo: (Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clipFor example: (Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clip

Passo 3: Modificar o script do PowerShell para fornecer o tokenStep 3: Modify the PowerShell script to supply the token

  1. No script do PowerShell, especifique o valor do token colando a cadeia de caracteres da área de transferência e salve o arquivo.In your PowerShell script, specify the token value by pasting the string from the clipboard, and save the file.

  2. Assine o script.Sign the script. Se você não assinar o script (mais seguro), será necessário configurar o Windows PowerShell no computador que executará os comandos de rotulagem.If you do not sign the script (more secure), you must configure Windows PowerShell on the computer that will run the labeling commands. Por exemplo, execute uma sessão do Windows PowerShell com a opção Executar como administrador e digite: Set-ExecutionPolicy RemoteSigned.For example, run a Windows PowerShell session with the Run as Administrator option, and type: Set-ExecutionPolicy RemoteSigned. No entanto, essa configuração permite que todos os scripts não assinados sejam executados quando são armazenados neste computador (menos seguro).However, this configuration lets all unsigned scripts run when they are stored on this computer (less secure).

    Para obter mais informações sobre como assinar os scripts do Windows PowerShell, veja about_Signing na biblioteca de documentação do PowerShell.For more information about signing Windows PowerShell scripts, see about_Signing in the PowerShell documentation library.

  3. Copie esse script do PowerShell para o computador que rotulará e protegerá arquivos e exclua o original em seu computador.Copy this PowerShell script to the computer that will label and protect files, and delete the original on your computer. Por exemplo, você copia o script do PowerShell para C:\Scripts\Aipauthentication.ps1 em um computador Windows Server.For example, you copy the PowerShell script to C:\Scripts\Aipauthentication.ps1 on a Windows Server computer.

Passo 4: Criar uma tarefa que executa o script do PowerShellStep 4: Create a task that runs the PowerShell script

  1. Verifique se a conta de serviço que rotulará e protegerá os arquivos tem o direito fazer logon como um trabalho em lotes .Make sure that the service account that will label and protect files has the Log on as a batch job right.

  2. No computador que rotulará e protegerá arquivos, abra Agendador de Tarefas e crie uma nova tarefa.On the computer that will label and protect files, open Task Scheduler and create a new task. Configure essa tarefa para ser executada como a conta de serviço que rotulará e protegerá arquivos e, em seguida, configure os seguintes valores para as ações:Configure this task to run as the service account that will label and protect files, and then configure the following values for the Actions:

    • Ação:Start a programAction: Start a program

    • Programa/script:Powershell.exeProgram/script: Powershell.exe

    • Adicionar argumentos (opcional) :-NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"Add arguments (optional): -NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"

      Para a linha de argumento, especifique seu próprio caminho e nome de arquivo, se eles forem diferentes do exemplo.For the argument line, specify your own path and file name, if these are different from the example.

  3. Executar esta tarefa manualmente.Manually run this task.

Passo 4: Confirme se o token foi salvo e exclua o script do PowerShellStep 4: Confirm that the token is saved and delete the PowerShell script

  1. Confirme se o token agora está armazenado na pasta%localappdata%\Microsoft\MSIP para o perfil de conta de serviço.Confirm that the token is now stored in the %localappdata%\Microsoft\MSIP folder for the service account profile. Esse valor é protegido pela conta de serviço.This value is protected by the service account.

  2. Exclua o script do PowerShell que contém o valor do token (por exemplo, Aipauthentication. ps1).Delete the PowerShell script that contains the token value (for example, Aipauthentication.ps1).

    Opcionalmente, exclua a tarefa.Optionally, delete the task. Se o token expirar, você deverá repetir esse processo; nesse caso, pode ser mais conveniente deixar a tarefa configurada para que ela esteja pronta para ser executada novamente quando você copiar o novo script do PowerShell com o novo valor de token.If your token expires, you must repeat this process, in which case it might be more convenient to leave the configured task so that it's ready to rerun when you copy over the new PowerShell script with the new token value.

Passos SeguintesNext steps

Para obter a ajuda do cmdlet quando estiver numa sessão do PowerShell, escreva Get-Help <cmdlet name> cmdlet e utilize o parâmetro online para ler as informações mais atualizadas.For cmdlet help when you are in a PowerShell session, type Get-Help <cmdlet name> cmdlet, and use the -online parameter to read the most up-to-date information. Por exemplo:For example:

Get-Help Get-RMSTemplate -online

Veja o seguinte para obter informações adicionais que poderá precisar para suportar o cliente do Azure Information Protection:See the following for additional information that you might need to support the Azure Information Protection client: