Guia de administração: Utilização do PowerShell com o cliente Azure Information ProtectionAdmin Guide: Using PowerShell with the Azure Information Protection client

Aplica-se a: Ative Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 2019, Windows Server 2016, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Instruções para: Azure Information Protection cliente para windowsInstructions for: Azure Information Protection client for Windows

Nota

Para proporcionar uma experiência unificada e simplificada ao cliente, o cliente Azure Information Protection (clássico) e a Label Management no Portal Azure estão a ser depreciados a partir de 31 de março de 2021.To provide a unified and streamlined customer experience, Azure Information Protection client (classic) and Label Management in the Azure Portal are being deprecated as of March 31, 2021. Este prazo permite que todos os clientes atuais da Azure Information Protection transitem para a nossa solução de rotulagem unificada utilizando a plataforma de rotulagem unificada da Microsoft Information Protection.This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. Saiba mais no aviso oficial de depreciação.Learn more in the official deprecation notice.

Quando instala o cliente Azure Information Protection, os comandos PowerShell são instalados automaticamente.When you install the Azure Information Protection client, PowerShell commands are automatically installed. Isto permite-lhe gerir o cliente executando comandos que pode colocar em scripts para automação.This lets you manage the client by running commands that you can put into scripts for automation.

Os cmdlets são instalados com o módulo do PowerShell AzureInformationProtection.The cmdlets are installed with the PowerShell module AzureInformationProtection. Este módulo inclui todos os cmdlets de Gestão de Direitos da Ferramenta de Proteção RMS (já não suportado).This module includes all the Rights Management cmdlets from the RMS Protection Tool (no longer supported). Há também cmdlets que usam a Proteção de Informação Azure para a rotulagem.There are also cmdlets that use Azure Information Protection for labeling. Por exemplo:For example:

Cmdlet de etiquetagemLabeling cmdlet Utilização de exemploExample usage
Get-AIPFileStatusGet-AIPFileStatus Para uma pasta partilhada, identifique todos os ficheiros com uma etiqueta específica.For a shared folder, identify all files with a specific label.
Set-AIPFileClassificationSet-AIPFileClassification Para uma pasta partilhada, inspecione o conteúdo do ficheiro e etiquete automaticamente os ficheiros sem etiqueta, de acordo com as condições que especificou.For a shared folder, inspect the file contents and then automatically label unlabeled files, according to the conditions that you have specified.
Set-AIPFileLabelSet-AIPFileLabel Para uma pasta partilhada, aplique uma etiqueta especificada a todos os ficheiros que não têm uma etiqueta.For a shared folder, apply a specified label to all files that do not have a label.
Set-AIPAuthenticationSet-AIPAuthentication Os ficheiros de etiquetagem não interativos, por exemplo, utilizando um script que funciona numa programação.Label files non-interactively, for example by using a script that runs on a schedule.

Dica

Para utilizar cmdlets com comprimentos de caminho superiores a 260 caracteres, utilize a seguinte definição de política de grupo disponível a partir do Windows 10, versão 1607:To use cmdlets with path lengths greater than 260 characters, use the following group policy setting that is available starting Windows 10, version 1607:
Política local de computador > Configuração do computador > Modelos Administrativos > Todas as Definições > Ativar os longos caminhos do Win32Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

Para o Windows Server 2016, pode utilizar a mesma definição de política de grupo quando instalar os modelos administrativos mais recentes (.admx) para o Windows 10.For Windows Server 2016, you can use the same group policy setting when you install the latest Administrative Templates (.admx) for Windows 10.

Para obter mais informações, consulte a secção de Limitação do Comprimento do Percurso Máximo a partir da documentação do desenvolvedor do Windows 10.For more information, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

O scanner Azure Information Protection utiliza cmdlets do módulo AzureInformationProtection para instalar e configurar um serviço no Windows Server.The Azure Information Protection scanner uses cmdlets from the AzureInformationProtection module to install and configure a service on Windows Server. Este scanner permite-lhe então descobrir, classificar e proteger ficheiros em lojas de dados.This scanner then lets you discover, classify, and protect files on data stores.

Para obter uma lista de todos os cmdlets e o artigo de ajuda correspondente, veja AzureInformationProtection Module (Módulo AzureInformationProtection).For a list of all the cmdlets and their corresponding help, see AzureInformationProtection Module. Dentro de uma sessão PowerShell, escreva Get-Help <cmdlet name> -online para ver a última ajuda.Within a PowerShell session, type Get-Help <cmdlet name> -online to see the latest help.

Este módulo é instalado em ProgramFiles (x86) \Microsoft Azure Information Protection e adiciona esta pasta à variável do sistema PSModulePath.This module installs in \ProgramFiles (x86)\Microsoft Azure Information Protection and adds this folder to the PSModulePath system variable. O ficheiro .dll deste módulo é denominado AIP.dll.The .dll for this module is named AIP.dll.

Atualmente, se instalar o módulo como um utilizador e executar os cmdlets no mesmo computador que outro utilizador, deve primeiro executar o Import-Module AzureInformationProtection comando.Currently, if you install the module as one user and run the cmdlets on the same computer as another user, you must first run the Import-Module AzureInformationProtection command. Neste cenário, o módulo não se autocaraga quando se faz uma cmdlet pela primeira vez.In this scenario, the module doesn't autoload when you first run a cmdlet.

Antes de começar a utilizar estes cmdlets, veja os pré-requisitos e as instruções adicionais que correspondem à sua implementação:Before you start to use these cmdlets, see the additional prerequisites and instructions that corresponds to your deployment:

  • Serviço de Proteção de Informação e Gestão de Direitos AzureAzure Information Protection and Azure Rights Management service

    • Aplicável se utilizar apenas a classificação ou a classificação com a proteção Rights Management: tem uma subscrição que inclui o Azure Information Protection (por exemplo, Enterprise Mobility + Security).Applicable if you use classification-only or classification with Rights Management protection: You have a subscription that includes Azure Information Protection (for example, Enterprise Mobility + Security).
    • Aplicável se utilizar apenas a proteção com o serviço Azure Rights Management: tem uma subscrição que inclui o serviço Azure Rights Management (por exemplo, o Office 365 E3 e o Office 365 E5).Applicable if you use protection-only with the Azure Rights Management service: You have a subscription that includes the Azure Rights Management service (for example, Office 365 E3 and Office 365 E5).
  • Serviços de Gestão de Direitos do Active DirectoryActive Directory Rights Management Services

    • Aplicável se utilizar apenas a proteção com a versão no local do Azure Rights Management; Serviços de Gestão de Direitos do Active Directory (AD RMS).Applicable if you use protection-only with the on-premises version of Azure Rights Management; Active Directory Rights Management Services (AD RMS).

Para mais informações, consulte a recolha relevante de questões conhecidas da Azure Information Protection.For more information, see the relevant collection of Azure Information Protection known issues.

Serviço de Proteção de Informação e Gestão de Direitos AzureAzure Information Protection and Azure Rights Management service

Leia esta secção antes de começar a usar os comandos PowerShell quando a sua organização utiliza a Proteção de Informação Azure para classificação e proteção, ou apenas o serviço de Gestão de Direitos Azure para proteção de dados.Read this section before you start using the PowerShell commands when your organization uses Azure Information Protection for classification and protection, or just the Azure Rights Management service for data protection.

Pré-requisitosPrerequisites

Além dos pré-requisitos para a instalação do módulo AzureInformationProtection, existem pré-requisitos adicionais para a rotulagem da Proteção de Informação Azure e o serviço de proteção de dados Azure Rights Management:In addition to the prerequisites for installing the AzureInformationProtection module, there are additional prerequisites for Azure Information Protection labeling and the Azure Rights Management data protection service:

  1. O Serviço Azure Rights Management tem de ser ativado.The Azure Rights Management service must be activated.

  2. Para remover a proteção dos ficheiros para os outros utilizadores que utilizam a conta:To remove protection from files for others using your own account:

    • A funcionalidade de superutilizador tem de estar ativada para a sua organização e a conta tem de estar configurada para ser um superutilizador do Azure Rights Management.The super user feature must be enabled for your organization and your account must be configured to be a super user for Azure Rights Management.
  3. Para proteger ou desproteger ficheiros diretamente sem a interação do utilizador:To directly protect or unprotect files without user interaction:

    • Crie uma conta do principal de serviço, execute Set-RMSServerAuthentication e considere tornar este principal de serviço um superutilizador do Azure Rights Management.Create a service principal account, run Set-RMSServerAuthentication, and consider making this service principal a super user for Azure Rights Management.
  4. Para regiões fora da América do Norte:For regions outside North America:

    • Edite o registo para a descoberta do serviço.Edit the registry for service discovery.

Pré-requisito 1: o serviço Azure Rights Management tem de ser ativadoPrerequisite 1: The Azure Rights Management service must be activated

Este pré-requisito aplica-se quer aplique a proteção de dados através da utilização de etiquetas ou da ligação direta ao serviço Azure Rights Management para a aplicação da proteção de dados.This prerequisite applies whether you apply the data protection by using labels or by directly connecting to the Azure Rights Management service to apply the data protection.

Se o seu inquilino Azure Information Protection não estiver ativado, consulte as instruções para ativar o serviço de proteção da Azure Information Protection.If your Azure Information Protection tenant is not activated, see the instructions for Activating the protection service from Azure Information Protection.

Pré-requisito 2: para remover a proteção dos ficheiros para os outros utilizadores que utilizam a sua contaPrerequisite 2: To remove protection from files for others using your own account

Os cenários típicos para remover a proteção dos ficheiros para os outros utilizadores incluem a recuperação de dados ou a deteção de dados.Typical scenarios for removing protection from files for others include data discovery or data recovery. Se estiver a utilizar etiquetas para aplicar a proteção, poderá remover a proteção através da definição de uma nova etiqueta que não aplica a proteção ou da remoção da etiqueta.If you are using labels to apply the protection, you could remove the protection by setting a new label that doesn't apply protection or by removing the label. Porém, é mais provável que se ligue diretamente ao serviço Azure Rights Management para remover a proteção.But you will more likely connect directly to the Azure Rights Management service to remove the protection.

Tem de ter um direito de utilização do Rights Management para remover a proteção de ficheiros ou ser um superutilizador.You must have a Rights Management usage right to remove protection from files, or be a super user. A funcionalidade de superutilizador é normalmente utilizada para a deteção ou a recuperação de dados.For data discovery or data recovery, the super user feature is typically used. Para ativar esta funcionalidade e configurar a sua conta para ser um superutilizador, veja Configurar superutilizadores para o Azure Rights Management e Serviços de Deteção ou Recuperação de Dados.To enable this feature and configure your account to be a super user, see Configuring super users for Azure Rights Management and Discovery Services or Data Recovery.

Pré-requisito 3: para proteger ou desproteger ficheiros sem interação do utilizadorPrerequisite 3: To protect or unprotect files without user interaction

Pode ligar-se diretamente ao serviço Azure Rights Management não interactivamente para proteger ou desprotegir ficheiros.You can connect directly to the Azure Rights Management service non-interactively to protect or unprotect files.

Deve utilizar uma conta principal de serviço para ligar ao serviço Azure Rights Management não interativamente, o que faz utilizando o Set-RMSServerAuthentication cmdlet.You must use a service principal account to connect to the Azure Rights Management service non-interactively, which you do by using the Set-RMSServerAuthentication cmdlet. Tem de o fazer para cada sessão do Windows PowerShell que executa cmdlets que se ligam diretamente ao serviço Azure Rights Management.You must do this for each Windows PowerShell session that runs cmdlets that directly connect to the Azure Rights Management service. Antes de executar este cmdlet, deve ter estes três identificadores:Before you run this cmdlet, you must have these three identifiers:

  • BposTenantIdBposTenantId

  • AppPrincipalIdAppPrincipalId

  • Chave SimétricaSymmetric Key

Pode utilizar os seguintes comandos PowerShell e instruções comentadas para obter automaticamente os valores dos identificadores e executar o Set-RMSServerAuthentication cmdlet.You can use the following PowerShell commands and commented instructions to automatically get the values for the identifiers and run the Set-RMSServerAuthentication cmdlet. Ou, pode obter manualmente e especificar os valores.Or, you can manually get and specify the values.

Para obter automaticamente os valores e executar Set-RMSServerAuthentication:To automatically get the values and run Set-RMSServerAuthentication:

# Make sure that you have the AIPService and MSOnline modules installed

$ServicePrincipalName="<new service principal name>"
Connect-AipService
$bposTenantID=(Get-AipServiceConfiguration).BPOSId
Disconnect-AipService
Connect-MsolService
New-MsolServicePrincipal -DisplayName $ServicePrincipalName

# Copy the value of the generated symmetric key

$symmetricKey="<value from the display of the New-MsolServicePrincipal command>"
$appPrincipalID=(Get-MsolServicePrincipal | Where { $_.DisplayName -eq $ServicePrincipalName }).AppPrincipalId
Set-RMSServerAuthentication -Key $symmetricKey -AppPrincipalId $appPrincipalID -BposTenantId $bposTenantID

As secções seguintes explicam como obter e especificar manualmente estes valores, com mais informações sobre cada um.The next sections explain how to manually get and specify these values, with more information about each one.

Para obter o BposTenantIdTo get the BposTenantId

Executar o Get-AipServiceConfiguration cmdlet a partir do módulo Azure RMS Windows PowerShell:Run the Get-AipServiceConfiguration cmdlet from the Azure RMS Windows PowerShell module:

  1. Se este módulo ainda não estiver instalado no seu computador, consulte a instalação do módulo AIPService PowerShell.If this module is not already installed on your computer, see Installing the AIPService PowerShell module.

  2. Inicie o Windows PowerShell com a opção Executar como Administrador.Start Windows PowerShell with the Run as Administrator option.

  3. Utilize o cmdlet Connect-AipService para ligar ao serviço Azure Rights Management:Use the Connect-AipService cmdlet to connect to the Azure Rights Management service:

     Connect-AipService
    

    Quando solicitado, insira as suas credenciais de administrador de inquilino da Azure Information Protection.When prompted, enter your Azure Information Protection tenant administrator credentials. Normalmente, você usa uma conta que é um administrador global para Azure Ative Directory ou Microsoft 365.Typically, you use an account that is a global administrator for Azure Active Directory or Microsoft 365.

  4. Execute Get-AipServiceConfiguration e faça uma cópia do valor BPOSId.Run Get-AipServiceConfiguration and make a copy of the BPOSId value.

    Um exemplo de saída da Get-AipServiceConfiguration:An example of output from Get-AipServiceConfiguration:

    BPOSId                                   : 23976bc6-dcd4-4173-9d96-dad1f48efd42
    
    RightsManagement ServiceId               : 1a302373-f233-440600909-4cdf305e2e76
    
    LicensingIntranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
    LicensingExtranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
    CertificationIntranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
    CertificationExtranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
  5. Encerre o serviço:Disconnect from the service:

    Disconnect-AipService
    
Para obter o AppPrincipalId e a Chave SimétricaTo get the AppPrincipalId and Symmetric Key

Crie um novo principal de serviço ao executar o cmdlet New-MsolServicePrincipal no módulo MSOnline PowerShell do Azure Active Directory e utilize as instruções seguintes.Create a new service principal by running the New-MsolServicePrincipal cmdlet from the MSOnline PowerShell module for Azure Active Directory and use the following instructions.

Importante

Não utilize o cmdlet mais recente do Azure AD PowerShell, New-AzureADServicePrincipal, para criar este principal de serviço.Do not use the newer Azure AD PowerShell cmdlet, New-AzureADServicePrincipal, to create this service principal. O serviço Azure Rights Management não suporta o cmdlet New-AzureADServicePrincipal.The Azure Rights Management service does not support New-AzureADServicePrincipal.

  1. Se o módulo MSOnline ainda não estiver instalado no computador, execute Install-Module MSOnline.If the MSOnline module is not already installed on your computer, run Install-Module MSOnline.

  2. Inicie o Windows PowerShell com a opção Executar como Administrador.Start Windows PowerShell with the Run as Administrator option.

  3. Utilize o cmdlet Connect-MsolService para ligar ao Azure AD:Use the Connect-MsolService cmdlet to connect to Azure AD:

    Connect-MsolService
    

    Quando solicitado, insira as suas credenciais de administrador de inquilinos Azure AD (normalmente, utilize uma conta que seja um administrador global para o Azure Ative Directory ou Microsoft 365).When prompted, enter your Azure AD tenant administrator credentials (typically, you use an account that is a global administrator for Azure Active Directory or Microsoft 365).

  4. Execute o cmdlet New-MsolServicePrincipal para criar um novo principal de serviço:Run the New-MsolServicePrincipal cmdlet to create a new service principal:

    New-MsolServicePrincipal
    

    Quando lhe for pedido, introduza um nome a apresentar à sua escolha para este principal de serviço que o ajuda a identificar o objetivo mais tarde como uma conta para estabelecer ligação ao serviço Azure Rights Management para que possa proteger e desproteger ficheiros.When prompted, enter your choice of a display name for this service principal that helps you to identify its purpose later as an account for you to connect to the Azure Rights Management service so that you can protect and unprotect files.

    Um exemplo de saída do New-MsolServicePrincipal:An example of the output of New-MsolServicePrincipal:

    Supply values for the following parameters:
    
    DisplayName: AzureRMSProtectionServicePrincipal
    The following symmetric key was created as one was not supplied
    zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=
    
    Display Name: AzureRMSProtectionServicePrincipal
    ServicePrincipalNames: (b5e3f7g1-b5c2-4c96-a594-a0807f65bba4)
    ObjectId: 23720996-593c-4122-bfc7-1abb5a0b5109
    AppPrincialId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4
    TrustedForDelegation: False
    AccountEnabled: True
    Addresses: ()
    KeyType: Symmetric
    KeyId: 8ef61651-ca11-48ea-a350-25834a1ba17c
    StartDate: 3/7/2014 4:43:59 AM
    EndDate: 3/7/2014 4:43:59 AM
    Usage: Verify
    
  5. A partir desta saída, anote a chave simétrica e o AppPrincialId.From this output, make a note of the symmetric key and the AppPrincialId.

    É importante que faça uma cópia desta chave simétrica, agora.It is important that you make a copy of this symmetric key, now. Não é possível recuperar esta chave mais tarde, por isso, se não a souber quando precisa de autenticar no serviço de Gestão de Direitos Azure, terá de criar um novo responsável de serviço.You cannot retrieve this key later, so if you do not know it when you next need to authenticate to the Azure Rights Management service, you will have to create a new service principal.

Com estas instruções e os nossos exemplos, temos os três identificadores necessários para a execução do Set-RMSServerAuthentication:From these instructions and our examples, we have the three identifiers required to run Set-RMSServerAuthentication:

  • ID do inquilino: 23976bc6-dcd4-4173-9d96-dad1f48efd42Tenant Id: 23976bc6-dcd4-4173-9d96-dad1f48efd42

  • Chave simétrica: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=Symmetric key: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=

  • AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4

O nosso comando de exemplo teria um aspeto semelhante ao seguinte:Our example command would then look like the following:

Set-RMSServerAuthentication -Key zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=-AppPrincipalId b5e3f76a-b5c2-4c96-a594-a0807f65bba4-BposTenantId 23976bc6-dcd4-4173-9d96-dad1f48efd42

Como mostrado no comando anterior, pode fornecer os valores com um único comando, o que faria num script para funcionar de forma não interativa.As shown in the previous command, you can supply the values with a single command, which you would do in a script to run non-interactively. Mas para efeitos de teste, basta escrever Set-RMSServerAuthentication e fornecer os valores um a um quando solicitado.But for testing purposes, you can just type Set-RMSServerAuthentication, and supply the values one-by-one when prompted. Quando o comando estiver concluído, o cliente está agora a operar em "modo servidor", o que é adequado para utilização não interativa, como scripts e infraestruturas de classificação de ficheiros do Windows Server.When the command completes, the client is now operating in "server mode", which is suitable for non-interactive use such as scripts and Windows Server File Classification Infrastructure.

Considere fazer deste serviço conta principal um super utilizador: Para garantir que esta conta principal de serviço pode sempre desprotegir ficheiros para outros, pode ser configurado para ser um super utilizador.Consider making this service principal account a super user: To ensure that this service principal account can always unprotect files for others, it can be configured to be a super user. Da mesma forma que configura uma conta de utilizador padrão para ser um super utilizador, utiliza o mesmo cmdlet Azure RMS, Add-AipServiceSuperUser,mas especifica o parâmetro ServicePrincipalId com o seu valor AppPrincipalId.In the same way as you configure a standard user account to be a super user, you use the same Azure RMS cmdlet, Add-AipServiceSuperUser, but specify the ServicePrincipalId parameter with your AppPrincipalId value.

Para obter mais informações sobre super utilizadores, consulte configurar super utilizadores para serviços de proteção de informação azure e serviços de descoberta ou recuperação de dados.For more information about super users, see Configuring super users for Azure Information Protection and discovery services or data recovery.

Nota

Para utilizar a sua própria conta para a autenticação no serviço Azure Rights Management, não precisa de executar Set-RMSServerAuthentication antes de proteger ou desproteger ficheiros ou de obter modelos.To use your own account to authenticate to the Azure Rights Management service, there's no need to run Set-RMSServerAuthentication before you protect or unprotect files, or get templates.

Pré-requisito 4: para regiões fora da América do NortePrerequisite 4: For regions outside North America

Quando utilizar uma conta principal de serviço para proteger ficheiros e modelos de descarregamento fora da região de Azure North America, deve editar o registo:When you use a service principal account to protect files and download templates outside the Azure North America region, you must edit the registry:

  1. Volte a executar o Get-AipServiceConfiguration cmdlet e tome nota dos valores para CertificationExtranetDistributionPointUrl e LicensingExtranetDistributionPointUrl.Run the Get-AipServiceConfiguration cmdlet again, and make a note of the values for CertificationExtranetDistributionPointUrl and LicensingExtranetDistributionPointUrl.

  2. Em cada computador onde irá executar os cmdlets da AzureInformationProtection, abra o editor de registo.On each computer where you will run the AzureInformationProtection cmdlets, open the registry editor.

  3. Navegue para o seguinte caminho: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation .Navigate to the following path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation.

    Se não vir a chave MSIPC ou a chave ServiceLocation, crie-as.If you do not see the MSIPC key or ServiceLocation key, create them.

  4. Para a chave ServiceLocation, crie duas chaves, caso não existam, com o nome EnterpriseCertification e EnterprisePublishing.For the ServiceLocation key, create two keys if they do not exist, named EnterpriseCertification and EnterprisePublishing.

    Para o valor de cadeia que é automaticamente criado para estas teclas, não altere o nome de "(Predefinição)", mas edite a cadeia para definir os dados de Valor:For the string value that's automatically created for these keys, do not change the Name of "(Default)", but edit the string to set the Value data:

    • Para EnterpriseCertification, cole o valor de CertificationExtranetDistributionPointUrl.For EnterpriseCertification, paste your CertificationExtranetDistributionPointUrl value.

    • Para EnterpriseCertification, cole o valor de LicensingExtranetDistributionPointUrl.For EnterprisePublishing, paste your LicensingExtranetDistributionPointUrl value.

      Por exemplo, a sua entrada no registo para a EnterpriseCertification deve ser semelhante à seguinte:For example, your registry entry for EnterpriseCertification should look similar to the following:

      Edição do registo do módulo PowerShell de Proteção de Informação Azure para regiões fora da América do Norte

  5. Feche o editor de registo.Close the registry editor. Não é preciso reiniciar o computador.There is no need to restart your computer. No entanto, se estiver a utilizar uma conta do principal de serviço em vez da sua própria conta de utilizador, terá de executar o comando Set-RMSServerAuthentication depois desta edição do registo.However, if you are using a service principal account rather than your own user account, you must run the Set-RMSServerAuthentication command after making this registry edit.

Cenários de exemplo para utilizar os cmdlets para o Azure Information Protection e o serviço Azure Rights ManagementExample scenarios for using the cmdlets for Azure Information protection and the Azure Rights Management service

É mais eficiente usar rótulos para classificar e proteger ficheiros, porque existem apenas dois cmdlets que você precisa, que podem ser executados por si mesmos ou juntos: Get-AIPFileStatus e Set-AIPFileLabel.It's more efficient to use labels to classify and protect files, because there are just two cmdlets that you need, which can be run by themselves or together: Get-AIPFileStatus and Set-AIPFileLabel. Utilize a ajuda de ambos os cmdlets para obter mais informações e exemplos.Use the help for both these cmdlets for more information and examples.

No entanto, para proteger ou desproteger ficheiros ligando-se diretamente ao serviço Azure Rights Management, tem geralmente de executar uma série de cmdlets conforme descrito em seguida.However, to protect or unprotect files by directly connecting to the Azure Rights Management service, you must typically run a series of cmdlets as described next.

Em primeiro lugar, se precisar de autenticar no serviço Azure Rights Management com uma conta principal de serviço em vez de utilizar a sua própria conta, numa sessão PowerShell, escreva:First, if you need to authenticate to the Azure Rights Management service with a service principal account rather than use your own account, in a PowerShell session, type:

Set-RMSServerAuthentication

Quando lhe for pedido, introduza os três identificadores conforme descrito em Pré-requisito 3: para proteger ou desproteger ficheiros sem a interação do utilizador.When prompted, enter the three identifiers as described in Prerequisite 3: To protect or unprotect files without user interaction.

Para poder proteger ficheiros, terá de transferir os modelos do Rights Management para o computador e identificar qual utilizar e o número de ID correspondente.Before you can protect files, you must download the Rights Management templates to your computer and identify which one to use and its corresponding ID number. A partir da saída, pode copiar o ID do modelo:From the output, you can then copy the template ID:

Get-RMSTemplate

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True

TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Tenha em atenção que se não executou o comando Set-RMSServerAuthentication, é autenticado para o serviço Azure Rights Management através da sua própria conta de utilizador.Note that if you didn't run the Set-RMSServerAuthentication command, you are authenticated to the Azure Rights Management service by using your own user account. Se estiver num computador associado a um domínio, as suas credenciais atuais são sempre utilizadas automaticamente.If you are on a domain-joined computer, your current credentials are always used automatically. Se estiver num computador de grupo de trabalho, é solicitado a iniciar sessão no Azure e estas credenciais são armazenadas em cache para comandos subsequentes.If you are on a workgroup computer, you are prompted to sign in to Azure, and these credentials are then cached for subsequent commands. Neste cenário, se mais tarde tiver de iniciar sessão como um utilizador diferente, utilize o cmdlet Clear-RMSAuthentication.In this scenario, if you later need to sign in as a different user, use the Clear-RMSAuthentication cmdlet.

Agora que sabe o ID do modelo, pode utilizá-lo com o cmdlet Protect-RMSFile para proteger um ficheiro individual ou todos os ficheiros numa pasta.Now you know the template ID, you can use it with the Protect-RMSFile cmdlet to protect a single file or all files in a folder. Por exemplo, se quiser proteger apenas um único ficheiro e substituir o original, ao utilizar o modelo “Contoso, Lda. – Confidencial”:For example, if you want to protect a single file only and overwrite the original, by using the "Contoso, Ltd - Confidential" template:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

Para proteger todos os ficheiros numa pasta, utilize o parâmetro -Folder com uma letra de unidade e caminho ou caminho UNC.To protect all files in a folder, use the -Folder parameter with a drive letter and path, or UNC path. Por exemplo:For example:

Protect-RMSFile -Folder \Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

InputFile                          EncryptedFile
---------                          -------------
\Server1\Documents\Test1.docx     \Server1\Documents\Test1.docx
\Server1\Documents\Test2.docx     \Server1\Documents\Test2.docx
\Server1\Documents\Test3.docx     \Server1\Documents\Test3.docx
\Server1\Documents\Test4.docx     \Server1\Documents\Test4.docx

Quando a extensão de nome de ficheiro não é alterada depois de a proteção ser aplicada, pode sempre utilizar o cmdlet Get-RMSFileStatus mais tarde para verificar se o ficheiro está protegido.When the file name extension does not change after the protection is applied, you can always use the Get-RMSFileStatus cmdlet later to check whether the file is protected. Por exemplo:For example:

Get-RMSFileStatus -File \Server1\Documents\Test1.docx

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

FileName                              Status
--------                              ------
\Server1\Documents\Test1.docx         Protected

Para desprotegir um ficheiro, tem de ter direitos de Proprietário ou Extrato a partir do momento em que o ficheiro foi protegido.To unprotect a file, you must have Owner or Extract rights from when the file was protected. Ou deve executar os cmdlets como um super utilizador.Or, you must run the cmdlets as a super user. Em seguida, utilize o cmdlet Desproteger.Then, use the Unprotect cmdlet. Por exemplo:For example:

Unprotect-RMSFile C:\test.docx -InPlace

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Tenha em atenção que se os modelos do Rights Management forem alterados, terá de os transferir novamente com Get-RMSTemplate -force.Note that if the Rights Management templates are changed, you must download them again with Get-RMSTemplate -force.

Serviços de Gestão de Direitos do Active DirectoryActive Directory Rights Management Services

Leia esta secção antes de começar a utilizar os comandos do PowerShell para proteger ou desproteger ficheiros quando a sua organização utiliza apenas Serviços de Gestão de Direitos do Active Directory.Read this section before you start using the PowerShell commands to protect or unprotect files when your organization uses just Active Directory Rights Management Services.

Pré-requisitosPrerequisites

Além dos pré-requisitos para a instalação do módulo AzureInformationProtection, a conta utilizada para proteger ou desprotegir ficheiros deve ter permissões de Leitura e Execução para aceder ao ServerCertification.asmx:In addition to the prerequisites for installing the AzureInformationProtection module, the account used to protect or unprotect files must have Read and Execute permissions to access ServerCertification.asmx:

  1. Inicie sessão num servidor AD RMS.Log on to an AD RMS server.

  2. Clique em Iniciar e, em seguida, em Computador.Click Start, and then click Computer.

  3. No Explorador de Ficheiros, navegue até %systemdrive%\Initpub\wwwroot_wmsc\Certification.In File Explorer, navigate to %systemdrive%\Initpub\wwwroot_wmsc\Certification.

  4. Clique com o botão direito do rato em ServerCertification.asmx e, em seguida, clique em Propriedades.Right-click ServerCertification.asmx, then click Properties.

  5. Na caixa de diálogo Propriedades de ServerCertification.asmx, clique no separador Segurança.In the ServerCertification.asmx Properties dialog box, click the Security tab.

  6. Clique no botão Continuar ou no botão Editar.Click the Continue button or the Edit button.

  7. Na caixa de diálogo Permissões para ServerCertification.asmx, clique em Adicionar.In the Permissions for ServerCertification.asmx dialog box, click Add.

  8. Adicione o nome da sua conta.Add your account name. Se outros administradores ou contas de serviço da AD RMS também utilizarem estes cmdlets para proteger e desprotegir ficheiros, adicione essas contas também.If other AD RMS administrators or service accounts will also use these cmdlets to protect and unprotect files, add those accounts as well.

    Para proteger ou desprotegir ficheiros não interactivamente, adicione a conta ou contas de computador relevantes.To protect or unprotect files non-interactively, add the relevant computer account or accounts. Por exemplo, adicione a conta de computador do computador do Windows Server que está configurada para a Infraestrutura de Classificação de Ficheiros e utilizará um script PowerShell para proteger ficheiros.For example, add the computer account of the Windows Server computer that is configured for File Classification Infrastructure and will use a PowerShell script to protect files.

  9. Na coluna Permitir, confirme que as caixas de verificação Leitura e Execuçãoe Leitura estão selecionadas.In the Allow column, make sure that the Read and Execute, and the Read checkboxes are selected.

10. Clique em OK duas vezes.10.Click OK twice.

Cenários de exemplo para utilizar os cmdlets para os Serviços de Gestão de Direitos do Active DirectoryExample scenarios for using the cmdlets for Active Directory Rights Management Services

Um cenário típico para estes cmdlets é proteger todos os ficheiros numa pasta ao utilizar um modelo de política de direitos ou para desproteger um ficheiro.A typical scenario for these cmdlets is to protect all files in a folder by using a rights policy template, or to unprotect a file.

Em primeiro lugar, se tiver mais de uma implementação do AD RMS, precisa dos nomes dos servidores do AD RMS, o que pode fazer ao utilizar o cmdlet Get-RMSServer para apresentar uma lista de servidores disponíveis:First, if you have more than one deployment of AD RMS, you need the names of your AD RMS servers, which you do by using the Get-RMSServer cmdlet to display a list of available servers:

Get-RMSServer

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

Number of RMS Servers that can provide templates: 2 
ConnectionInfo             DisplayName          AllowFromScratch
--------------             -------------        ----------------
Microsoft.InformationAnd…  RmsContoso                       True
Microsoft.InformationAnd…  RmsFabrikam                      True

Antes de poder proteger os ficheiros, terá de obter uma lista de modelos do Rights Management para identificar qual utilizar e o número de ID correspondente.Before you can protect files, you need to get a list of RMS templates to identify which one to use and its corresponding ID number. Só quando tiver mais do que uma implementação do AD RMS é que tem de especificar também o servidor RMS.Only when you have more than one AD RMS deployment do you need to specify the RMS server as well.

A partir da saída, pode copiar o ID do modelo:From the output, you can then copy the template ID:

Get-RMSTemplate -RMSServer RmsContoso

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True

TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Agora que sabe o ID do modelo, pode utilizá-lo com o cmdlet Protect-RMSFile para proteger um ficheiro individual ou todos os ficheiros numa pasta.Now you know the template ID, you can use it with the Protect-RMSFile cmdlet to protect a single file or all files in a folder. Por exemplo, se quiser proteger apenas um único ficheiro e substituir o original, ao utilizar o modelo “Contoso, Lda. – Confidencial”:For example, if you want to protect a single file only and replace the original, by using the "Contoso, Ltd - Confidential" template:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx   

Para proteger todos os ficheiros numa pasta, utilize o parâmetro -Folder com uma letra de unidade e caminho ou caminho UNC.To protect all files in a folder, use the -Folder parameter with a drive letter and path, or UNC path. Por exemplo:For example:

Protect-RMSFile -Folder \\Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

InputFile                          EncryptedFile
---------                          -------------
\\Server1\Documents\Test1.docx     \\Server1\Documents\Test1.docx   
\\Server1\Documents\Test2.docx     \\Server1\Documents\Test2.docx   
\\Server1\Documents\Test3.docx     \\Server1\Documents\Test3.docx   
\\Server1\Documents\Test4.docx     \\Server1\Documents\Test4.docx   

Quando a extensão do nome do ficheiro não se alterar após a aplicação da proteção, pode sempre utilizar o Get-RMSFileStatus cmdlet mais tarde para verificar se o ficheiro está protegido.When the file name extension does not change after protection is applied, you can always use the Get-RMSFileStatus cmdlet later to check whether the file is protected. Por exemplo:For example:

Get-RMSFileStatus -File \\Server1\Documents\Test1.docx

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

FileName                              Status
--------                              ------
\\Server1\Documents\Test1.docx        Protected

Para desprotegir um ficheiro, tem de ter direitos de utilização do Proprietário ou do Extrato a partir do momento em que o ficheiro foi protegido, ou ser super utilizador de RMS AD.To unprotect a file, you must have Owner or Extract usage rights from when the file was protected, or be super user for AD RMS. Em seguida, utilize o cmdlet Desproteger.Then, use the Unprotect cmdlet. Por exemplo:For example:

Unprotect-RMSFile C:\test.docx -InPlace

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Como etiquetar ficheiros de forma não interativa para o Azure Information ProtectionHow to label files non-interactively for Azure Information Protection

Pode executar os cmdlets de rotulagem não interactivamente utilizando o cmdlet Set-AIPAuthentication.You can run the labeling cmdlets non-interactively by using the Set-AIPAuthentication cmdlet. É também necessária uma operação não interativa para o scanner de proteção de informação Azure.Non-interactive operation is also required for the Azure Information Protection scanner.

Por predefinição, quando executa os cmdlets de etiquetagem, os comandos são executados no seu próprio contexto de utilizador numa sessão interativa do PowerShell.By default, when you run the cmdlets for labeling, the commands run in your own user context in an interactive PowerShell session. Para executá-los de modo autónomo, crie uma nova conta de utilizador do Azure AD para este fim.To run them unattended, create a new Azure AD user account for this purpose. Em seguida, no contexto desse utilizador, execute o cmdlet Set-AIPAuthentication para definir e armazenar credenciais através de um token de acesso do Azure AD.Then, in the context of that user, run the Set-AIPAuthentication cmdlet to set and store credentials by using an access token from Azure AD. Esta conta de utilizador é, em seguida, autenticada e reiniciada para o serviço Azure Rights Management.This user account is then authenticated and bootstrapped for the Azure Rights Management service. A conta transfere a política do Azure Information Protection e quaisquer modelos do Rights Management utilizados pelas etiquetas.The account downloads the Azure Information Protection policy and any Rights Management templates that the labels use.

Nota

Se utilizar políticas de âmbito,lembre-se que poderá ter de adicionar esta conta às suas políticas de âmbito.If you use scoped policies, remember that you might need to add this account to your scoped policies.

Na primeira vez que executar este cmdlet, é pedido que inicie sessão no Azure Information Protection.The first time you run this cmdlet, you are prompted to sign in for Azure Information Protection. Especifique o nome da conta de utilizador e a palavra-passe que criou para o utilizador sem supervisão.Specify the user account name and password that you created for the unattended user. Em seguida, esta conta pode executar os cmdlets de etiquetagem de forma não interativa até o token de autenticação expirar.After that, this account can then run the labeling cmdlets non-interactively until the authentication token expires.

Para que a conta de utilizador possa assinar interativamente desta primeira vez, a conta deve ter o Registo local.For the user account to be able to sign in interactively this first time, the account must have the Log on locally right. Este direito é padrão para contas de utilizador, mas as políticas da sua empresa podem proibir esta configuração para contas de serviço.This right is standard for user accounts but your company policies might prohibit this configuration for service accounts. Se for esse o caso, pode executar Set-AIPAuthentication com o parâmetro Token para que a autenticação se complete sem o pedido de inscrição.If that's the case, you can run Set-AIPAuthentication with the Token parameter so that authentication completes without the sign-in prompt. Pode executar este comando como tarefa programada e conceder à conta o direito inferior de Iniciar sessão como trabalho de lote.You can run this command as a scheduled task and grant the account the lower right of Log on as batch job. Para mais informações, consulte as seguintes secções.For more information, see the following sections.

Quando o símbolo expirar, volte a executar o cmdlet para adquirir um novo símbolo.When the token expires, run the cmdlet again to acquire a new token.

Se executar este cmdlet sem parâmetros, a conta compra um token de acesso que é válido durante 90 dias ou até a sua palavra-passe expirar.If you run this cmdlet without parameters, the account acquires an access token that is valid for 90 days or until your password expires.

Para controlar quando o token de acesso expira, execute este cmdlet com parâmetros.To control when the access token expires, run this cmdlet with parameters. Tal permite-lhe configurar o token de acesso para um ano, dois anos ou para nunca expirar.This lets you configure the access token for one year, two years, or to never expire. Esta configuração requer que tenha duas aplicações registadas no Azure Active Directory: uma aplicação Web/aplicação API e uma aplicação nativa.This configuration requires you to have two applications registered in Azure Active Directory: A Web app / API application and a native application. Os parâmetros para este cmdlet utilizam valores destas aplicações.The parameters for this cmdlet use values from these applications.

Após ter executado este cmdlet, pode executar os cmdlets de etiquetagem no contexto da conta de utilizador que criou.After you have run this cmdlet, you can run the labeling cmdlets in the context of the user account that you created.

Para criar e configurar as aplicações do Azure AD para Set-AIPAuthenticationTo create and configure the Azure AD applications for Set-AIPAuthentication

  1. Numa nova janela de browser, inicie sessão no portal do Azure.In a new browser window, sign in the Azure portal.

  2. Para o inquilino Azure AD que utiliza com a Azure Information Protection, navegue para registos de Aplicações de Gestão de Diretórios Ativos da Azure. > Manage > App registrationsFor the Azure AD tenant that you use with Azure Information Protection, navigate to Azure Active Directory > Manage > App registrations.

  3. Selecione + Novo registo, para criar a sua aplicação Web /API.Select + New registration, to create your Web app /API application. No painel de candidaturas do Registo, especifique os seguintes valores e, em seguida, clique em Registar:On the Register an application pane, specify the following values, and then click Register:

    • Nome:AIPOnBehalfOfName: AIPOnBehalfOf

      Se preferir, especifique um nome diferente.If you prefer, specify a different name. Tem de ser exclusivo por inquilino.It must be unique per tenant.

    • Tipos de conta suportados: Contas neste diretório organizacional apenasSupported account types: Accounts in this organizational directory only

    • Redirecionamento URI (opcional): Web e http://localhostRedirect URI (optional): Web and http://localhost

  4. No painel AIPOnBehalfOf, copie o valor para o ID da Aplicação (cliente).On the AIPOnBehalfOf pane, copy the value for the Application (client) ID. O valor é semelhante ao seguinte exemplo: 57c3c1c3-abf9-404e-8b2b-4652836c8c66 .The value looks similar to the following example: 57c3c1c3-abf9-404e-8b2b-4652836c8c66. Este valor é utilizado para o parâmetro WebAppId quando corre o Set-AIPAuthentication cmdlet.This value is used for the WebAppId parameter when you run the Set-AIPAuthentication cmdlet. Cole e guarde o valor para referência posterior.Paste and save the value for later reference.

  5. Ainda no painel AIPOnBehalfOf, do menu Gerir, selecione Autenticação.Still on the AIPOnBehalfOf pane, from the Manage menu, select Authentication.

  6. No painel AIPOnBehalfOf - Autenticação, na secção definições Avançadas, selecione a caixa de verificação de fichas de identificação e, em seguida, selecione Guardar.On the AIPOnBehalfOf - Authentication pane, in the Advanced settings section, select the ID tokens checkbox, and then select Save.

  7. Ainda no painel AIPOnBehalfOf - Autenticação, a partir do menu Gerir, selecione Certificados & segredos.Still on the AIPOnBehalfOf - Authentication pane, from the Manage menu, select Certificates & secrets.

  8. No painel AIPOnBehalfOf - Certificados & segredos, na secção segredos do Cliente, selecione + Novo segredo do cliente.On the AIPOnBehalfOf - Certificates & secrets pane, in the Client secrets section, select + New client secret.

  9. Para adicionar um segredo de cliente, especifique o seguinte e, em seguida, selecione Adicionar:For Add a client secret, specify the following, and then select Add:

    • Descrição: Azure Information Protection clientDescription: Azure Information Protection client
    • Expira: Especifique a sua escolha de duração (1 ano, 2 anos ou nunca expira)Expires: Specify your choice of duration (1 year, 2 years, or never expires)
  10. De volta ao painel AIPOnBehalfOf - Certificados & segredos, na secção segredos do Cliente, copie a cadeia para o VALOR.Back on the AIPOnBehalfOf - Certificates & secrets pane, in the Client secrets section, copy the string for the VALUE. Esta cadeia é semelhante ao seguinte exemplo: +LBkMvddz?WrlNCK5v0e6_=meM59sSAn .This string looks similar to the following example: +LBkMvddz?WrlNCK5v0e6_=meM59sSAn. Para se certificar de que copia todos os caracteres, selecione o ícone para Copiar para a área de transferência.To make sure you copy all the characters, select the icon to Copy to clipboard.

    É importante que guarde esta cadeia, uma vez que não é novamente apresentada e não pode obtê-la.It's important that you save this string because it is not displayed again and it cannot be retrieved. Como em qualquer informação sensível que utilize, guarde o valor guardado de forma segura e restrinja o acesso ao mesmo.As with any sensitive information that you use, store the saved value securely and restrict access to it.

  11. Ainda no painel AIPOnBehalfOf - Certificados & segredos, a partir do menu Gerir, selecione Expor uma API.Still on the AIPOnBehalfOf - Certificates & secrets pane, from the Manage menu, select Expose an API.

  12. No AIPOnBehalfOf - Expor um painel API, selecione Definir para a opção ID URI de aplicação, e no valor ID URI de aplicação, altere a api para http.On the AIPOnBehalfOf - Expose an API pane, select Set for the Application ID URI option, and in the Application ID URI value, change api to http. Esta cadeia é semelhante ao seguinte exemplo: http://d244e75e-870b-4491-b70d-65534953099e .This string looks similar to the following example: http://d244e75e-870b-4491-b70d-65534953099e.

    Selecione Guardar.Select Save.

  13. De volta ao AIPOnBehalfOf - Expor um painel API, selecione + Adicionar um âmbito.Back on the AIPOnBehalfOf - Expose an API pane, select + Add a scope.

  14. No painel de âmbito Adicionar um painel de âmbito, especifique o seguinte, utilizando as cordas sugeridas como exemplos e, em seguida, selecione adicionar âmbito:On the Add a scope pane, specify the following, using the suggested strings as examples, and then select Add scope:

    • Nome do âmbito:user-impersonationScope name: user-impersonation
    • Quem pode consentir?: Administradores e utilizadoresWho can consent?: Admins and users
    • Nome do exposição de consentimento de administração:Access Azure Information Protection scannerAdmin consent display name: Access Azure Information Protection scanner
    • Descrição do consentimento da administração: Allow the application to access the scanner for the signed-in userAdmin consent description: Allow the application to access the scanner for the signed-in user
    • Nome de visualização do consentimento do utilizador:Access Azure Information Protection scannerUser consent display name: Access Azure Information Protection scanner
    • Descrição do consentimento do utilizador: Allow the application to access the scanner for the signed-in userUser consent description: Allow the application to access the scanner for the signed-in user
    • Estado: Ativado (o padrão)State: Enabled (the default)
  15. De volta ao AIPOnBehalfOf - Exponha um painel API, feche este painel.Back on the AIPOnBehalfOf - Expose an API pane, close this pane.

  16. Selecione permissões API.Select API permissions.

  17. No painel de permissões AIPOnBehalfOf | API, selecione + Adicione uma permissão.On the AIPOnBehalfOf | API permissions pane, select + Add a permission.

  18. Escolha Azure Right Management, selecione Permissões Delegadas e, em seguida, selecione Criar e aceder a conteúdos protegidos para os utilizadores.Choose Azure Right Management, select Delegated Permissions and then select Create and access protected content for users.

  19. Clique em Adicionar uma permissão.Click on Add a permission.

  20. De volta ao painel de permissões da API, na secção de consentimento do Grant, selecione **o consentimento de administração grant para ** e selecione Sim para o pedido de confirmação.Back on the API permissions pane, in the Grant consent section, select Grant admin consent for and select Yes for the confirmation prompt.

  21. No painel de inscrições da App, selecione + Novo registo de aplicações para criar agora a sua aplicação nativa.On the App registrations pane, select + New application registration to create your native application now.

  22. No painel de inscrição, especifique as seguintes definições e, em seguida, selecione Registar:On the Register an application pane, specify the following settings, and then select Register:

    • Nome:AIPClientName: AIPClient
    • Tipos de conta suportados: Contas neste diretório organizacional apenasSupported account types: Accounts in this organizational directory only
    • Redirecionamento URI (opcional): Cliente público (ambiente de trabalho móvel &) e http://localhostRedirect URI (optional): Public client (mobile & desktop) and http://localhost
  23. No painel AIPClient, copie o valor do ID da Aplicação (cliente).On the AIPClient pane, copy the value of the Application (client) ID. O valor é semelhante ao seguinte exemplo: 8ef1c873-9869-4bb1-9c11-8313f9d7f76f .The value looks similar to the following example: 8ef1c873-9869-4bb1-9c11-8313f9d7f76f.

    Este valor é utilizado para o parâmetro NativeAppId quando corre o Set-AIPAuthentication cmdlet.This value is used for the NativeAppId parameter when you run the Set-AIPAuthentication cmdlet. Cole e guarde o valor para referência posterior.Paste and save the value for later reference.

  24. Ainda no painel AIPClient, a partir do menu Gerir, selecione Autenticação.Still on the AIPClient pane, from the Manage menu, select Authentication.

  25. No painel AIPClient - Autenticação, a partir do menu Gerir, selecione permissões API.On the AIPClient - Authentication pane, from the Manage menu, select API permissions.

  26. No painel AIPClient - permissões, selecione + Adicione uma permissão.On the AIPClient - permissions pane, select + Add a permission.

  27. No painel de permissões da API do Pedido, selecione As Minhas APIs.On the Request API permissions pane, select My APIs.

  28. Na secção Selecione uma secção API, selecione APIOnBehalfOf, em seguida, selecione a caixa de verificaçãopara personificação do utilizador , como a permissão.In the Select an API section, select APIOnBehalfOf, then select the checkbox for user-impersonation, as the permission. Selecione Permissões de adicionar.Select Add permissions.

  29. De volta ao painel de permissões da API, na secção de consentimento do Grant, selecione **o consentimento de administração grant para <your tenant name> ** e selecione Sim para o pedido de confirmação.Back on the API permissions pane, in the Grant consent section, select Grant admin consent for <your tenant name> and select Yes for the confirmation prompt.

Já completou a configuração das duas aplicações e tem os valores necessários para executar Set-AIPAuthentication com os parâmetros WebAppId, WebAppKey e NativeAppId.You've now completed configuration of the two apps and you have the values that you need to run Set-AIPAuthentication with the parameters WebAppId, WebAppKey and NativeAppId. Dos nossos exemplos:From our examples:

Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "+LBkMvddz?WrlNCK5v0e6_=meM59sSAn" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f"

Executar este comando no contexto da conta que irá rotular e proteger os documentos não interativamente.Run this command in the context of the account that will label and protect the documents non-interactively. Por exemplo, uma conta de utilizador para os seus scripts PowerShell ou a conta de serviço para executar o scanner de Proteção de Informação Azure.For example, a user account for your PowerShell scripts or the service account to run the Azure Information Protection scanner.

Quando executar este comando pela primeira vez, é-lhe pedido que faça o seu sedutar, que cria e armazena de forma segura o token de acesso da sua conta em %localappdata%\Microsoft\MSIP.When you run this command for the first time, you are prompted to sign in, which creates and securely stores the access token for your account in %localappdata%\Microsoft\MSIP. Após esta iniciação inicial, pode rotular e proteger ficheiros não interactivamente no computador.After this initial sign-in, you can label and protect files non-interactively on the computer. No entanto, se utilizar uma conta de serviço para rotular e proteger ficheiros, e esta conta de serviço não puder assinar interativamente, utilize as instruções na secção seguinte para que a conta de serviço possa autenticar utilizando um token.However, if you use a service account to label and protect files, and this service account cannot sign in interactively, use the instructions in the following section so that the service account can authenticate by using a token.

Specify and use the Token parameter for Set-AIPAuthentication (Especificar e utilizar o parâmetro Token para Set-AIPAuthentication)Specify and use the Token parameter for Set-AIPAuthentication

Utilize os seguintes passos e instruções adicionais para evitar o primeiro sinal interativo para uma conta que rotula e protege ficheiros.Use the following additional steps and instructions to avoid the initial interactive sign-in for an account that labels and protects files. Normalmente, estes passos adicionais só são necessários se esta conta não puder ser concedida ao Log em direito local, mas é concedido o Log on como um direito de trabalho de lote.Typically, these additional steps are required only if this account cannot be granted the Log on locally right but is granted the Log on as a batch job right. Por exemplo, este pode ser o caso da sua conta de serviço que gere o scanner de Proteção de Informação Azure.For example, this might be the case for your service account that runs the Azure Information Protection scanner.

Passos de alto nível:High-level steps:

  1. Crie um script PowerShell no seu computador local.Create a PowerShell script on your local computer.

  2. Executar Set-AIPAuthentication para obter um token de acesso e copiá-lo para a área de transferência.Run Set-AIPAuthentication to get an access token and copy it to the clipboard.

  3. Modifique o script PowerShell para incluir o token.Modify the PowerShell script to include the token.

  4. Crie uma tarefa que executa o script PowerShell no contexto da conta de serviço que irá rotular e proteger ficheiros.Create a task that runs the PowerShell script in the context of the service account that will label and protect files.

  5. Confirme se o token está guardado para a conta de serviço e elimine o script PowerShell.Confirm that the token is saved for the service account, and delete the PowerShell script.

Passo 1: Crie um script PowerShell no seu computador localStep 1: Create a PowerShell script on your local computer

  1. No seu computador, crie um novo script PowerShell chamado Aipauthentication.ps1.On your computer, create a new PowerShell script named Aipauthentication.ps1.

  2. Copiar e colar o seguinte comando neste script:Copy and paste the following command into this script:

    Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application> -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application > -Token <token value>
    
  3. Utilizando as instruções na secção anterior, modifique este comando especificando os seus próprios valores para os parâmetros WebAppId, WebAppkeye NativeAppId.Using the instructions in the preceding section, modify this command by specifying your own values for the WebAppId, WebAppkey, and NativeAppId parameters. Neste momento, não tem o valor para o parâmetro Token, que especifica mais tarde.At this time, you do not have the value for the Token parameter, which you specify later.

    Por exemplo:For example:

    Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>
    

Passo 2: Executar Set-AIPAuthentication para obter um token de acesso e copiá-lo para a área de transferênciaStep 2: Run Set-AIPAuthentication to get an access token and copy it to the clipboard

  1. Abra uma sessão Windows PowerShell.Open a Windows PowerShell session.

  2. Utilizando os mesmos valores especificados no script, execute o seguinte comando:Using the same values as you specified in the script, run the following command:

    (Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application>  -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application >).token | clip
    

    Por exemplo:For example:

    (Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clip`
    

Passo 3: Modificar o script PowerShell para fornecer o tokenStep 3: Modify the PowerShell script to supply the token

  1. No seu script PowerShell, especifique o valor simbólico colando a cadeia da área de transferência e guarde o ficheiro.In your PowerShell script, specify the token value by pasting the string from the clipboard, and save the file.

  2. Assine o script.Sign the script. Se não assinar o script (mais seguro), tem de configurar o Windows PowerShell no computador que irá executar os comandos de rotulagem.If you do not sign the script (more secure), you must configure Windows PowerShell on the computer that will run the labeling commands. Por exemplo, executar uma sessão Windows PowerShell com a opção Executar como administrador e digite: Set-ExecutionPolicy RemoteSigned .For example, run a Windows PowerShell session with the Run as Administrator option, and type: Set-ExecutionPolicy RemoteSigned. No entanto, esta configuração permite que todos os scripts não assinados sejam executados quando são armazenados neste computador (menos seguro).However, this configuration lets all unsigned scripts run when they are stored on this computer (less secure).

    Para obter mais informações sobre como assinar os scripts do Windows PowerShell, veja about_Signing na biblioteca de documentação do PowerShell.For more information about signing Windows PowerShell scripts, see about_Signing in the PowerShell documentation library.

  3. Copie este script PowerShell para o computador que irá rotular e proteger ficheiros e eliminar o original no seu computador.Copy this PowerShell script to the computer that will label and protect files, and delete the original on your computer. Por exemplo, copia o script PowerShell para C:\Scripts\Aipauthentication.ps1 num computador do Windows Server.For example, you copy the PowerShell script to C:\Scripts\Aipauthentication.ps1 on a Windows Server computer.

Passo 4: Criar uma tarefa que executa o script PowerShellStep 4: Create a task that runs the PowerShell script

  1. Certifique-se de que a conta de serviço que irá rotular e proteger ficheiros tem o Registo como um trabalho de lote.Make sure that the service account that will label and protect files has the Log on as a batch job right.

  2. No computador que irá rotular e proteger ficheiros, abra o Agendador de Tarefas e crie uma nova tarefa.On the computer that will label and protect files, open Task Scheduler and create a new task. Configure esta tarefa para executar como a conta de serviço que irá rotular e proteger ficheiros e, em seguida, configurar os seguintes valores para as Ações:Configure this task to run as the service account that will label and protect files, and then configure the following values for the Actions:

    • Ação:Start a programAction: Start a program

    • Programa/script: Powershell.exeProgram/script: Powershell.exe

    • Adicionar argumentos (opcional): -NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"Add arguments (optional): -NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"

      Para a linha de argumento, especifique o seu próprio caminho e nome de ficheiro, se estes forem diferentes do exemplo.For the argument line, specify your own path and file name, if these are different from the example.

  3. Executar manualmente esta tarefa.Manually run this task.

Passo 5: Confirmar que o token está guardado e eliminar o script PowerShellStep 5: Confirm that the token is saved and delete the PowerShell script

  1. Confirme que o token está agora armazenado na pasta %localappdata%\Microsoft\MSIP para o perfil da conta de serviço.Confirm that the token is now stored in the %localappdata%\Microsoft\MSIP folder for the service account profile. Este valor está protegido pela conta de serviço.This value is protected by the service account.

  2. Elimine o script PowerShell que contém o valor simbólico (por exemplo, Aipauthentication.ps1).Delete the PowerShell script that contains the token value (for example, Aipauthentication.ps1).

    Opcionalmente, elimine a tarefa.Optionally, delete the task. Se o seu token expirar, deve repetir este processo, caso em que pode ser mais conveniente deixar a tarefa configurada para que esteja pronto para ser repetido quando copiar o novo script PowerShell com o novo valor simbólico.If your token expires, you must repeat this process, in which case it might be more convenient to leave the configured task so that it's ready to rerun when you copy over the new PowerShell script with the new token value.

Passos seguintesNext steps

Para obter a ajuda do cmdlet quando estiver numa sessão do PowerShell, escreva Get-Help <cmdlet name> cmdlet e utilize o parâmetro online para ler as informações mais atualizadas.For cmdlet help when you are in a PowerShell session, type Get-Help <cmdlet name> cmdlet, and use the -online parameter to read the most up-to-date information. Por exemplo:For example:

Get-Help Get-RMSTemplate -online

Veja o seguinte para obter informações adicionais que poderá precisar para suportar o cliente do Azure Information Protection:See the following for additional information that you might need to support the Azure Information Protection client: