Utilizar o PowerShell com o cliente do Azure Information ProtectionUsing PowerShell with the Azure Information Protection client

Aplica-se a: Serviços de Gestão de Direitos do Active Directory, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

Quando instala o cliente Azure Information Protection, os comandos do PowerShell são instalados automaticamente.When you install the Azure Information Protection client, PowerShell commands are automatically installed. Isto permite-lhe gerir o cliente através da execução de comandos que pode colocar em scripts para a automatização.This lets you manage the client by running commands that you can put into scripts for automation.

Os cmdlets são instalados com o módulo do PowerShell AzureInformationProtection.The cmdlets are installed with the PowerShell module AzureInformationProtection. Este módulo substitui o módulo RMSProtection que é instalado com a Ferramenta de Proteção RMS.This module replaces the RMSProtection module that installs with the RMS Protection Tool. Se tiver a ferramenta RMSProtection instalada ao instalar o cliente do Azure Information Protection, o módulo RMSProtection é automaticamente desinstalado.If you have the RMSProtection tool installed when you install the Azure Information Protection client, the RMSProtection module is automatically uninstalled.

O módulo AzureInformationProtection inclui todos os cmdlets do Rights Management da Ferramenta de Proteção RMS e três cmdlets novos que utilizam o serviço Azure Information Protection (AIP) para etiquetar:The AzureInformationProtection module includes all the Rights Management cmdlets from the RMS Protection Tool, and three new cmdlets that use the Azure Information Protection (AIP) service for labeling:

Cmdlet de etiquetagemLabeling cmdlet Utilização de exemploExample usage
Get-AIPFileStatusGet-AIPFileStatus Para uma pasta partilhada, identifique todos os ficheiros com uma etiqueta específica.For a shared folder, identify all files with a specific label.
Set-AIPFileClassificationSet-AIPFileClassification Para uma pasta partilhada, inspecione o conteúdo do ficheiro e etiquete automaticamente os ficheiros sem etiqueta, de acordo com as condições que especificou.For a shared folder, inspect the file contents and then automatically label unlabeled files, according to the conditions that you have specified.
Set-AIPFileLabelSet-AIPFileLabel Para uma pasta partilhada, aplique uma etiqueta especificada a todos os ficheiros que não têm uma etiqueta.For a shared folder, apply a specified label to all files that do not have a label.

Para obter uma lista de todos os cmdlets e o artigo de ajuda correspondente, veja AzureInformationProtection Module (Módulo AzureInformationProtection).For a list of all the cmdlets and their corresponding help, see AzureInformationProtection Module. Numa sessão do PowerShell, escreva Get-Help <cmdlet name> -online para ver a ajuda mais recente e obter outros idiomas diferentes do inglês.Within a PowerShell session, type Get-Help <cmdlet name> -online to see the latest help, and for supported languages other than English.

Este módulo é instalado em ProgramFiles (x86) \Microsoft Azure Information Protection e adiciona esta pasta à variável do sistema PSModulePath.This module installs in \ProgramFiles (x86)\Microsoft Azure Information Protection and adds this folder to the PSModulePath system variable. O ficheiro .dll deste módulo é denominado AIP.dll.The .dll for this module is named AIP.dll.

Como com o módulo RMSProtection, a versão atual do módulo AzureInformationProtection tem as seguintes limitações:As with the RMSProtection module, the current release of the AzureInformationProtection module has the following limitations:

  • Pode desproteger pastas pessoais do Outlook (ficheiros .pst). No entanto, atualmente, não pode proteger nativamente estes ficheiros ou outros ficheiros de contentor através deste módulo do PowerShell.You can unprotect Outlook personal folders (.pst files), but you cannot currently natively protect these files or other container files by using this PowerShell module.

  • Pode desproteger mensagens de e-mail protegidas do Outlook (ficheiros .rpmsg) quando estiverem numa pasta pessoal do Outlook (.pst), mas não pode desproteger ficheiros .rpmsg fora de uma pasta pessoal.You can unprotect Outlook protected email messages (.rpmsg files) when they are in an Outlook personal folder (.pst), but you cannot unprotect .rpmsg files outside a personal folder.

Antes de começar a utilizar estes cmdlets, veja os pré-requisitos e as instruções adicionais que correspondem à sua implementação:Before you start to use these cmdlets, see the additional prerequisites and instructions that corresponds to your deployment:

  • Serviço do Azure Information Protection e o Azure Rights ManagementAzure Information Protection and Azure Rights Management service

    • Aplicável se utilizar apenas a classificação ou a classificação com a proteção Rights Management: tem uma subscrição que inclui o Azure Information Protection (por exemplo, Enterprise Mobility + Security).Applicable if you use classification-only or classification with Rights Management protection: You have a subscription that includes Azure Information Protection (for example, Enterprise Mobility + Security).
    • Aplicável se utilizar apenas a proteção com o serviço Azure Rights Management: tem uma subscrição que inclui o serviço Azure Rights Management (por exemplo, o Office 365 E3 e o Office 365 E5).Applicable if you use protection-only with the Azure Rights Management service: You have a subscription that includes the Azure Rights Management service (for example, Office 365 E3 and Office 365 E5).
  • Serviços de Gestão de Direitos do Active DirectoryActive Directory Rights Management Services

    • Aplicável se utilizar apenas a proteção com a versão no local do Azure Rights Management; Serviços de Gestão de Direitos do Active Directory (AD RMS).Applicable if you use protection-only with the on-premises version of Azure Rights Management; Active Directory Rights Management Services (AD RMS).

Serviço do Azure Information Protection e o Azure Rights ManagementAzure Information Protection and Azure Rights Management service

Leia esta secção antes de começar a utilizar os comandos do PowerShell quando a sua organização utiliza o Azure Information Protection para classificação e proteção ou apenas o serviço Azure Rights Management para proteção de dados.Read this section before you start using the PowerShell commands when your organization uses Azure Information Protection for classification and protection, or just the Azure Rights Management service for data protection.

Pré-requisitosPrerequisites

Para além dos pré-requisitos para instalar o módulo de AzureInformationProtection, existem pré-requisitos adicionais para etiquetagem do Azure Information Protection e o serviço de proteção de dados do Azure Rights Management:In addition to the prerequisites for installing the AzureInformationProtection module, there are additional prerequisites for Azure Information Protection labeling and the Azure Rights Management data protection service:

  1. O Serviço Azure Rights Management tem de ser ativado.The Azure Rights Management service must be activated.

  2. Para remover a proteção dos ficheiros para os outros utilizadores que utilizam a conta:To remove protection from files for others using your own account:

    • A funcionalidade de superutilizador tem de estar ativada para a sua organização e a conta tem de estar configurada para ser um superutilizador do Azure Rights Management.The super user feature must be enabled for your organization and your account must be configured to be a super user for Azure Rights Management.
  3. Para proteger ou desproteger ficheiros diretamente sem a interação do utilizador:To directly protect or unprotect files without user interaction:

    • Crie uma conta do principal de serviço, execute Set-RMSServerAuthentication e considere tornar este principal de serviço um superutilizador do Azure Rights Management.Create a service principal account, run Set-RMSServerAuthentication, and consider making this service principal a super user for Azure Rights Management.
  4. Para regiões fora da América do Norte:For regions outside North America:

    • Edite o registo para a autenticação no serviço.Edit the registry for authentication to the service.

Pré-requisito 1: o serviço Azure Rights Management tem de ser ativadoPrerequisite 1: The Azure Rights Management service must be activated

Este pré-requisito aplica-se quer aplique a proteção de dados através da utilização de etiquetas ou da ligação direta ao serviço Azure Rights Management para a aplicação da proteção de dados.This prerequisite applies whether you apply the data protection by using labels or by directly connecting to the Azure Rights Management service to apply the data protection.

Se o seu inquilino do Azure Information Protection não estiver ativado, veja as instruções para Ativar o Azure Rights Management.If your Azure Information Protection tenant is not activated, see the instructions for Activating Azure Rights Management.

Pré-requisito 2: para remover a proteção dos ficheiros para os outros utilizadores que utilizam a sua contaPrerequisite 2: To remove protection from files for others using your own account

Os cenários típicos para remover a proteção dos ficheiros para os outros utilizadores incluem a recuperação de dados ou a deteção de dados.Typical scenarios for removing protection from files for others include data discovery or data recovery. Se estiver a utilizar etiquetas para aplicar a proteção, poderá remover a proteção através da definição de uma nova etiqueta que não aplica a proteção ou da remoção da etiqueta.If you are using labels to apply the protection, you could remove the protection by setting a new label that doesn't apply protection or by removing the label. Porém, é mais provável que se ligue diretamente ao serviço Azure Rights Management para remover a proteção.But you will more likely connect directly to the Azure Rights Management service to remove the protection.

Tem de ter um direito de utilização do Rights Management para remover a proteção de ficheiros ou ser um superutilizador.You must have a Rights Management usage right to remove protection from files, or be a super user. A funcionalidade de superutilizador é normalmente utilizada para a deteção ou a recuperação de dados.For data discovery or data recovery, the super user feature is typically used. Para ativar esta funcionalidade e configurar a sua conta para ser um superutilizador, veja Configurar superutilizadores para o Azure Rights Management e Serviços de Deteção ou Recuperação de Dados.To enable this feature and configure your account to be a super user, see Configuring super users for Azure Rights Management and Discovery Services or Data Recovery.

Pré-requisito 3: para proteger ou desproteger ficheiros sem interação do utilizadorPrerequisite 3: To protect or unprotect files without user interaction

Pode ligar diretamente ao serviço Azure Rights Management forma não interativa para proteger ou desproteger ficheiros.You can connect directly to the Azure Rights Management service non-interactively to protect or unprotect files.

Tem de utilizar um principal de serviço para estabelecer ligação ao serviço Azure Rights Management não interativamente. Para tal, utilize o cmdlet Set-RMSServerAuthentication.You must use a service principal to connect to the Azure Rights Management service non-interactively, which you do by using the Set-RMSServerAuthentication cmdlet. Tem de o fazer para cada sessão do Windows PowerShell que executa cmdlets que se ligam diretamente ao serviço Azure Rights Management.You must do this for each Windows PowerShell session that runs cmdlets that directly connect to the Azure Rights Management service. Antes de executar este cmdlet, tem de ter estes três identificadores:Before you run this cmdlet, you must have these three identifiers:

  • BposTenantIdBposTenantId

  • AppPrincipalIdAppPrincipalId

  • Chave SimétricaSymmetric Key

Pode utilizar os seguintes comandos do PowerShell e instruções comentadas para obter automaticamente os valores para os identificadores e execute o cmdlet Set-RMSServerAuthentication.You can use the following PowerShell commands and commented instructions to automatically get the values for the identifiers and run the Set-RMSServerAuthentication cmdlet. Em alternativa, pode obter e especifique os valores manualmente.Or, you can manually get and specify the values.

Para obter os valores e execute Set-RMSServerAuthentication automaticamente:To automatically get the values and run Set-RMSServerAuthentication:

# Make sure that you have the AADRM and MSOnline modules installed

$newServicePrincipalName="<new service principal name>"
Connect-AadrmService
$bposTenantID=(Get-AadrmConfiguration).BPOSId
Disconnect-AadrmService
New-MsolServicePrincipal -DisplayName $servicePrincipalName

# Copy the value of the generated symmetric key

$symmetricKey="<value from the display of the New-MsolServicePrincipal command>"
$appPrincipalID=(Get-MsolServicePrincipal | Where { $_.DisplayName -eq $servicePrincipalName }).AppPrincipalId
Set-RMSServerAuthentication -Key $symmetricKey -AppPrincipalId $appPrincipalID -BposTenantId $bposTenantID

As secções seguintes explicam como obter e especificar estes valores, com mais informações sobre cada um deles manualmente.The next sections explain how to manually get and specify these values, with more information about each one.

Para obter o BposTenantIdTo get the BposTenantId

Execute o cmdlet Get-AadrmConfiguration a partir do módulo do Windows PowerShell do Azure RMS:Run the Get-AadrmConfiguration cmdlet from the Azure RMS Windows PowerShell module:

  1. Se este módulo ainda não estiver instalado no computador, veja Instalar o Windows PowerShell para o Azure Rights Management.If this module is not already installed on your computer, see Installing Windows PowerShell for Azure Rights Management.

  2. Inicie o Windows PowerShell com a opção Executar como Administrador.Start Windows PowerShell with the Run as Administrator option.

  3. Utilize o cmdlet Connect-AadrmService para ligar ao serviço Azure Rights Management:Use the Connect-AadrmService cmdlet to connect to the Azure Rights Management service:

     Connect-AadrmService
    

    Quando lhe for pedido, introduza as credenciais de administrador de inquilino do Azure Information Protection.When prompted, enter your Azure Information Protection tenant administrator credentials. Normalmente, utilize uma conta que seja um administrador global do Azure Active Directory ou Office 365.Typically, you use an account that is a global administrator for Azure Active Directory or Office 365.

  4. Execute Get-AadrmConfiguration e faça uma cópia do valor BPOSId.Run Get-AadrmConfiguration and make a copy of the BPOSId value.

    O exemplo abaixo mostra a saída de Get-AadrmConfiguration:The following is an example of output from Get-AadrmConfiguration:

         BPOSId                                   : 23976bc6-dcd4-4173-9d96-dad1f48efd42
    
         RightsManagement ServiceId               : 1a302373-f233-440600909-4cdf305e2e76
    
         LicensingIntranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
         LicensingExtranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
         CertificationIntranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
         CertificationExtranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
  5. Encerre o serviço:Disconnect from the service:

     Disconnect-AadrmService
    
Para obter o AppPrincipalId e a Chave SimétricaTo get the AppPrincipalId and Symmetric Key

Crie um novo principal de serviço ao executar o cmdlet New-MsolServicePrincipal no módulo MSOnline PowerShell do Azure Active Directory e utilize as instruções seguintes.Create a new service principal by running the New-MsolServicePrincipal cmdlet from the MSOnline PowerShell module for Azure Active Directory and use the following instructions.

Importante

Não utilize o cmdlet mais recente do Azure AD PowerShell, New-AzureADServicePrincipal, para criar este principal de serviço.Do not use the newer Azure AD PowerShell cmdlet, New-AzureADServicePrincipal, to create this service principal. O serviço Azure Rights Management não suporta o cmdlet New-AzureADServicePrincipal.The Azure Rights Management service does not support New-AzureADServicePrincipal.

  1. Se o módulo MSOnline ainda não estiver instalado no computador, execute Install-Module MSOnline.If the MSOnline module is not already installed on your computer, run Install-Module MSOnline.

  2. Inicie o Windows PowerShell com a opção Executar como Administrador.Start Windows PowerShell with the Run as Administrator option.

  3. Utilize o cmdlet Connect-MsolService para ligar ao Azure AD:Use the Connect-MsolService cmdlet to connect to Azure AD:

     Connect-MsolService
    

    Quando lhe for pedido, introduza as credenciais de administrador de inquilino do Azure AD (normalmente, utilizar uma conta que seja um administrador global do Azure Active Directory ou Office 365).When prompted, enter your Azure AD tenant administrator credentials (typically, you use an account that is a global administrator for Azure Active Directory or Office 365).

  4. Execute o cmdlet New-MsolServicePrincipal para criar um novo principal de serviço:Run the New-MsolServicePrincipal cmdlet to create a new service principal:

     New-MsolServicePrincipal
    

    Quando lhe for pedido, introduza um nome a apresentar à sua escolha para este principal de serviço que o ajuda a identificar o objetivo mais tarde como uma conta para estabelecer ligação ao serviço Azure Rights Management para que possa proteger e desproteger ficheiros.When prompted, enter your choice of a display name for this service principal that helps you to identify its purpose later as an account for you to connect to the Azure Rights Management service so that you can protect and unprotect files.

    Um exemplo de saída do New-MsolServicePrincipal:An example of the output of New-MsolServicePrincipal:

     Supply values for the following parameters:
    
     DisplayName: AzureRMSProtectionServicePrincipal
     The following symmetric key was created as one was not supplied
     zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=
    
     Display Name: AzureRMSProtectionServicePrincipal
     ServicePrincipalNames: (b5e3f7g1-b5c2-4c96-a594-a0807f65bba4)
     ObjectId: 23720996-593c-4122-bfc7-1abb5a0b5109
     AppPrincialId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4
     TrustedForDelegation: False
     AccountEnabled: True
     Addresses: ()
     KeyType: Symmetric
     KeyId: 8ef61651-ca11-48ea-a350-25834a1ba17c
     StartDate: 3/7/2014 4:43:59 AM
     EndDate: 3/7/2014 4:43:59 AM
     Usage: Verify
    
  5. A partir desta saída, anote a chave simétrica e o AppPrincialId.From this output, make a note of the symmetric key and the AppPrincialId.

    É importante que efetue uma cópia desta chave simétrica, agora.It is important that you make a copy of this symmetric key, now. Não é possível obter esta chave mais tarde, se não soubê-lo quando a em seguida, necessário autenticar para o serviço Azure Rights Management, terá de criar um novo principal de serviço.You cannot retrieve this key later, so if you do not know it when you next need to authenticate to the Azure Rights Management service, you will have to create a new service principal.

Com estas instruções e os nossos exemplos, temos os três identificadores necessários para a execução do Set-RMSServerAuthentication:From these instructions and our examples, we have the three identifiers required to run Set-RMSServerAuthentication:

  • ID do inquilino: 23976bc6-dcd4-4173-9d96-dad1f48efd42Tenant Id: 23976bc6-dcd4-4173-9d96-dad1f48efd42

  • Chave simétrica: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=Symmetric key: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=

  • AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4

O nosso comando de exemplo teria um aspeto semelhante ao seguinte:Our example command would then look like the following:

Set-RMSServerAuthentication -Key zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=-AppPrincipalId b5e3f76a-b5c2-4c96-a594-a0807f65bba4-BposTenantId 23976bc6-dcd4-4173-9d96-dad1f48efd42

Tal como apresentado no comando anterior, pode indicar os valores com um comando único, ou apenas escrever Set-RMSServerAuthentication, e indicar os valores individualmente quando lhe for pedido.As shown in the previous command, you can supply the values with a single command, or just type Set-RMSServerAuthentication, and supply the values one-by-one when prompted. Quando o comando estiver concluído, verá “O RmsServerAuthentication está definido como Ligado”, o que significa que o cliente está agora a funcionar no “modo de servidor”.When the command completes, you see "The RmsServerAuthentication is set to ON", which means that the client is now operating in "server mode". Esta mensagem não confirma que a autenticação foi realizada com êxito com os valores fornecidos, mas que a transição para o modo de servidor teve êxito.This message does not confirm that authentication was successful by using the values you supplied, but that the switch to server mode was successful.

Considere tornar este principal de serviço um superutilizador: para garantir que este principal de serviço pode sempre desproteger ficheiros para outros utilizadores, pode ser configurado para ser um superutilizador.Consider making this service principal a super user: To ensure that this service principal can always unprotect files for others, it can be configured to be a super user. Da mesma forma como configurar uma conta de utilizador padrão para ser um Superutilizador, utilizar o mesmo cmdlet do Azure RMS, Add-AadrmSuperUser, mas Especifica o ServicePrincipalId parâmetro com o valor do seu AppPrincipalId.In the same way as you configure a standard user account to be a super user, you use the same Azure RMS cmdlet, Add-AadrmSuperUser, but specify the ServicePrincipalId parameter with your AppPrincipalId value.

Para obter mais informações sobre superutilizadores, veja Configurar superutilizadores para o Azure Rights Management e serviços de deteção ou recuperação de dados.For more information about super users, see Configuring super users for Azure Rights Management and discovery services or data recovery.

Nota

Para utilizar a sua própria conta para a autenticação no serviço Azure Rights Management, não precisa de executar Set-RMSServerAuthentication antes de proteger ou desproteger ficheiros ou de obter modelos.To use your own account to authenticate to the Azure Rights Management service, there's no need to run Set-RMSServerAuthentication before you protect or unprotect files, or get templates.

Pré-requisito 4: para regiões fora da América do NortePrerequisite 4: For regions outside North America

Para a autenticação fora da região da América do Norte do Azure, tem de editar o registo da seguinte forma.For authentication outside the Azure North America region, you must edit the registry as follows. Se o seu inquilino do Azure Information Protection estiver na América do Norte, não siga este passo:If your Azure Information Protection tenant is in North America, do not do this step:

  1. Execute o cmdlet Get-AadrmConfiguration novamente e tome nota dos valores para CertificationExtranetDistributionPointUrl e LicensingExtranetDistributionPointUrl.Run the Get-AadrmConfiguration cmdlet again, and make a note of the values for CertificationExtranetDistributionPointUrl and LicensingExtranetDistributionPointUrl.

  2. Em cada computador onde irá executar os cmdlets AzureInformationProtection, abra o editor de registo e navegue para:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPCOn each computer where you will run the AzureInformationProtection cmdlets, open the registry editor, and navigate to: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC

  3. Se não vir uma chave ServiceLocation, crie-a para que o caminho do registo mostre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocationIf you do not see a ServiceLocation key, create it, so that your registry path shows HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation

  4. Para a chave ServiceLocation, crie duas chaves, caso não existam, com o nome EnterpriseCertification e EnterprisePublishing.For the ServiceLocation key, create two keys if they do not exist, named EnterpriseCertification and EnterprisePublishing.

    Para o valor de cadeia que é criado automaticamente para estas chaves, altere o nome de "(predefinição)", mas editar a cadeia a definir os dados do valor:For the string value that's automatically created for these keys, do not change the Name of "(Default)", but edit the string to set the Value data:

    • Para EnterpriseCertification, cole o valor de CertificationExtranetDistributionPointUrl.For EnterpriseCertification, paste your CertificationExtranetDistributionPointUrl value.

    • Para EnterpriseCertification, cole o valor de LicensingExtranetDistributionPointUrl.For EnterprisePublishing, paste your LicensingExtranetDistributionPointUrl value.

      Por exemplo, a entrada de registo para EnterpriseCertification deve ter um aspeto semelhante ao seguinte:For example, your registry entry for EnterpriseCertification should look similar to the following:

      Editar o registo de módulo do PowerShell de proteção de informações do Azure para regiões fora da América do Norte

  5. Feche o editor de registo.Close the registry editor. Não é preciso reiniciar o computador.There is no need to restart your computer. No entanto, se estiver a utilizar uma conta do principal de serviço em vez da sua própria conta de utilizador, terá de executar o comando Set-RMSServerAuthentication depois desta edição do registo.However, if you are using a service principal account rather than your own user account, you must run the Set-RMSServerAuthentication command after making this registry edit.

Cenários de exemplo para utilizar os cmdlets para o Azure Information Protection e o serviço Azure Rights ManagementExample scenarios for using the cmdlets for Azure Information protection and the Azure Rights Management service

É mais eficiente utilizar etiquetas para classificar e proteger ficheiros, uma vez que apenas precisa de dois cmdlets, que podem ser executados individualmente ou em conjunto: Get-AIPFileStatus e Set-AIPFileLabel.It's more efficient to use labels to classify and protect files, because there are just two cmdlets that you need, which can be run by themselves or together: Get-AIPFileStatus and Set-AIPFileLabel. Utilize a ajuda de ambos os cmdlets para obter mais informações e exemplos.Use the help for both these cmdlets for more information and examples.

No entanto, para proteger ou desproteger ficheiros ligando-se diretamente ao serviço Azure Rights Management, tem geralmente de executar uma série de cmdlets conforme descrito em seguida.However, to protect or unprotect files by directly connecting to the Azure Rights Management service, you must typically run a series of cmdlets as described next.

Em primeiro lugar, se precisar de se autenticar no serviço Azure Rights Management com um principal de serviço em vez de utilizar a sua própria conta, numa sessão do Powershell, escreva:First, if you need to authenticate to the Azure Rights Management service with a service principal rather than use your own account, in a Powershell session, type:

Set-RMSServerAuthentication

Quando lhe for pedido, introduza os três identificadores conforme descrito em Pré-requisito 3: para proteger ou desproteger ficheiros sem a interação do utilizador.When prompted, enter the three identifiers as described in Prerequisite 3: To protect or unprotect files without user interaction.

Para poder proteger ficheiros, terá de transferir os modelos do Rights Management para o computador e identificar qual utilizar e o número de ID correspondente.Before you can protect files, you must download the Rights Management templates to your computer and identify which one to use and its corresponding ID number. A partir da saída, pode copiar o ID do modelo:From the output, you can then copy the template ID:

Get-RMSTemplate

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True

TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Tenha em atenção que se não executou o comando Set-RMSServerAuthentication, é autenticado para o serviço Azure Rights Management através da sua própria conta de utilizador.Note that if you didn't run the Set-RMSServerAuthentication command, you are authenticated to the Azure Rights Management service by using your own user account. Se estiver num computador associado a um domínio, as suas credenciais atuais são sempre utilizadas automaticamente.If you are on a domain-joined computer, your current credentials are always used automatically. Se estiver num computador de grupo de trabalho, é solicitado a iniciar sessão no Azure e estas credenciais são armazenadas em cache para comandos subsequentes.If you are on a workgroup computer, you are prompted to sign in to Azure, and these credentials are then cached for subsequent commands. Neste cenário, se mais tarde tiver de iniciar sessão como um utilizador diferente, utilize o cmdlet Clear-RMSAuthentication.In this scenario, if you later need to sign in as a different user, use the Clear-RMSAuthentication cmdlet.

Agora que sabe o ID do modelo, pode utilizá-lo com o cmdlet Protect-RMSFile para proteger um ficheiro individual ou todos os ficheiros numa pasta.Now you know the template ID, you can use it with the Protect-RMSFile cmdlet to protect a single file or all files in a folder. Por exemplo, se quiser proteger apenas um único ficheiro e substituir o original, ao utilizar o modelo “Contoso, Lda. – Confidencial”:For example, if you want to protect a single file only and overwrite the original, by using the "Contoso, Ltd - Confidential" template:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

Para proteger todos os ficheiros numa pasta, utilize o parâmetro -Folder com uma letra de unidade e caminho ou caminho UNC.To protect all files in a folder, use the -Folder parameter with a drive letter and path, or UNC path. Por exemplo:For example:

Protect-RMSFile -Folder \Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

InputFile                          EncryptedFile
---------                          -------------
\Server1\Documents\Test1.docx     \Server1\Documents\Test1.docx
\Server1\Documents\Test2.docx     \Server1\Documents\Test2.docx
\Server1\Documents\Test3.docx     \Server1\Documents\Test3.docx
\Server1\Documents\Test4.docx     \Server1\Documents\Test4.docx

Quando a extensão de nome de ficheiro não é alterada depois de a proteção ser aplicada, pode sempre utilizar o cmdlet Get-RMSFileStatus mais tarde para verificar se o ficheiro está protegido.When the file name extension does not change after the protection is applied, you can always use the Get-RMSFileStatus cmdlet later to check whether the file is protected. Por exemplo:For example:

Get-RMSFileStatus -File \Server1\Documents\Test1.docx

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

FileName                              Status
--------                              ------
\Server1\Documents\Test1.docx         Protected

Ao desproteger um ficheiro, tem de ter direitos de proprietário ou extraia do quando o ficheiro foi protegido.To unprotect a file, you must have Owner or Extract rights from when the file was protected. Em alternativa, tem de executar os cmdlets como um Superutilizador.Or, you must run the cmdlets as a super user. Em seguida, utilize o cmdlet Desproteger.Then, use the Unprotect cmdlet. Por exemplo:For example:

Unprotect-RMSFile C:\test.docx -InPlace

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Tenha em atenção que se os modelos do Rights Management forem alterados, terá de os transferir novamente com Get-RMSTemplate -force.Note that if the Rights Management templates are changed, you must download them again with Get-RMSTemplate -force.

Serviços de Gestão de Direitos do Active DirectoryActive Directory Rights Management Services

Leia esta secção antes de começar a utilizar os comandos do PowerShell para proteger ou desproteger ficheiros quando a sua organização utiliza apenas Serviços de Gestão de Direitos do Active Directory.Read this section before you start using the PowerShell commands to protect or unprotect files when your organization uses just Active Directory Rights Management Services.

Pré-requisitosPrerequisites

Além dos pré-requisitos para instalar o módulo AzureInformationProtection, a sua conta tem de ter permissões de Leitura e Execução para aceder a ServerCertification.asmx:In addition to the prerequisites for installing the AzureInformationProtection module, your account must have Read and Execute permissions to access ServerCertification.asmx:

  1. Inicie sessão num servidor AD RMS.Log on to an AD RMS server.

  2. Clique em Iniciar e, em seguida, em Computador.Click Start, and then click Computer.

  3. No Explorador de Ficheiros, navegue até %systemdrive%\Initpub\wwwroot_wmsc\Certification.In File Explorer, navigate to %systemdrive%\Initpub\wwwroot_wmsc\Certification.

  4. Clique com o botão direito do rato em ServerCertification.asmx e, em seguida, clique em Propriedades.Right-click ServerCertification.asmx, then click Properties.

  5. Na caixa de diálogo Propriedades de ServerCertification.asmx, clique no separador Segurança.In the ServerCertification.asmx Properties dialog box, click the Security tab.

  6. Clique no botão Continuar ou no botão Editar.Click the Continue button or the Edit button.

  7. Na caixa de diálogo Permissões para ServerCertification.asmx, clique em Adicionar.In the Permissions for ServerCertification.asmx dialog box, click Add.

  8. Adicione o nome da sua conta.Add your account name. Se outros administradores do AD RMS também forem utilizar estes cmdlets para proteger e desproteger ficheiros, adicione também os nomes deles.If other AD RMS administrators will also use these cmdlets to protect and unprotect files, add their names as well.

  9. Na coluna Permitir, confirme que as caixas de verificação Leitura e Execuçãoe Leitura estão selecionadas.In the Allow column, make sure that the Read and Execute, and the Read checkboxes are selected.

10. Clique em OK duas vezes.10.Click OK twice.

Cenários de exemplo para utilizar os cmdlets para os Serviços de Gestão de Direitos do Active DirectoryExample scenarios for using the cmdlets for Active Directory Rights Management Services

Um cenário típico para estes cmdlets é proteger todos os ficheiros numa pasta ao utilizar um modelo de política de direitos ou para desproteger um ficheiro.A typical scenario for these cmdlets is to protect all files in a folder by using a rights policy template, or to unprotect a file.

Em primeiro lugar, se tiver mais de uma implementação do AD RMS, precisa dos nomes dos servidores do AD RMS, o que pode fazer ao utilizar o cmdlet Get-RMSServer para apresentar uma lista de servidores disponíveis:First, if you have more than one deployment of AD RMS, you need the names of your AD RMS servers, which you do by using the Get-RMSServer cmdlet to display a list of available servers:

Get-RMSServer

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

Number of RMS Servers that can provide templates: 2 
ConnectionInfo             DisplayName          AllowFromScratch
--------------             -------------        ----------------
Microsoft.InformationAnd…  RmsContoso                       True
Microsoft.InformationAnd…  RmsFabrikam                      True

Antes de poder proteger os ficheiros, terá de obter uma lista de modelos do Rights Management para identificar qual utilizar e o número de ID correspondente.Before you can protect files, you need to get a list of RMS templates to identify which one to use and its corresponding ID number. Só quando tiver mais do que uma implementação do AD RMS é que tem de especificar também o servidor RMS.Only when you have more than one AD RMS deployment do you need to specify the RMS server as well.

A partir da saída, pode copiar o ID do modelo:From the output, you can then copy the template ID:

Get-RMSTemplate -RMSServer RmsContoso

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True


TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Agora que sabe o ID do modelo, pode utilizá-lo com o cmdlet Protect-RMSFile para proteger um ficheiro individual ou todos os ficheiros numa pasta.Now you know the template ID, you can use it with the Protect-RMSFile cmdlet to protect a single file or all files in a folder. Por exemplo, se quiser proteger apenas um único ficheiro e substituir o original, ao utilizar o modelo “Contoso, Lda. – Confidencial”:For example, if you want to protect a single file only and replace the original, by using the "Contoso, Ltd - Confidential" template:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx   

Para proteger todos os ficheiros numa pasta, utilize o parâmetro -Folder com uma letra de unidade e caminho ou caminho UNC.To protect all files in a folder, use the -Folder parameter with a drive letter and path, or UNC path. Por exemplo:For example:

Protect-RMSFile -Folder \\Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

InputFile                          EncryptedFile
---------                          -------------
\\Server1\Documents\Test1.docx     \\Server1\Documents\Test1.docx   
\\Server1\Documents\Test2.docx     \\Server1\Documents\Test2.docx   
\\Server1\Documents\Test3.docx     \\Server1\Documents\Test3.docx   
\\Server1\Documents\Test4.docx     \\Server1\Documents\Test4.docx   

Quando a extensão de nome de ficheiro não é alterado depois da proteção é aplicada, pode sempre utilizar o cmdlet Get-RMSFileStatus mais tarde para verificar se o ficheiro está protegido.When the file name extension does not change after protection is applied, you can always use the Get-RMSFileStatus cmdlet later to check whether the file is protected. Por exemplo:For example:

Get-RMSFileStatus -File \\Server1\Documents\Test1.docx

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

FileName                              Status
--------                              ------
\\Server1\Documents\Test1.docx        Protected

Para desproteger um ficheiro, terá de ter direitos de Proprietário ou de Extração a partir do momento em que o ficheiro foi protegido ou ser um superutilizador do AD RMS.To unprotect a file, you must have Owner or Extract rights from when the file was protected, or be super user for AD RMS. Em seguida, utilize o cmdlet Desproteger.Then, use the Unprotect cmdlet. Por exemplo:For example:

Unprotect-RMSFile C:\test.docx -InPlace

A saída pode ser semelhante ao seguinte:Your output might look similar to the following:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Como etiquetar ficheiros de forma não interativa para o Azure Information ProtectionHow to label files non-interactively for Azure Information Protection

A partir da versão 1.8.41.0 do cliente do Azure Information Protection (atualmente em pré-visualização), pode executar os cmdlets de etiquetagem de forma não interativa através do cmdlet Set-AIPAuthentication.Beginning with version 1.8.41.0 of the Azure Information Protection client (currently in preview), you can run the labeling cmdlets non-interactively by using the Set-AIPAuthentication cmdlet.

Por predefinição, quando executa os cmdlets de etiquetagem, os comandos são executados no seu próprio contexto de utilizador numa sessão interativa do PowerShell.By default, when you run the cmdlets for labeling, the commands run in your own user context in an interactive PowerShell session. Para executá-los de modo autónomo, crie uma nova conta de utilizador do Azure AD para este fim.To run them unattended, create a new Azure AD user account for this purpose. Em seguida, no contexto desse utilizador, execute o cmdlet Set-AIPAuthentication para definir e armazenar credenciais através de um token de acesso do Azure AD.Then, in the context of that user, run the Set-AIPAuthentication cmdlet to set and store credentials by using an access token from Azure AD. Esta conta de utilizador é, em seguida, autenticada e reiniciada para o serviço Azure Rights Management.This user account is then authenticated and bootstrapped for the Azure Rights Management service. A conta transfere a política do Azure Information Protection e quaisquer modelos do Rights Management utilizados pelas etiquetas.The account downloads the Azure Information Protection policy and any Rights Management templates that the labels use.

Na primeira vez que executar este cmdlet, é pedido que inicie sessão no Azure Information Protection.The first time you run this cmdlet, you are prompted to sign in for Azure Information Protection. Especifique o nome da conta e a palavra-passe de utilizador que criou para o utilizador autónomo.Specify the user account name and password that you created for unattended user. Em seguida, esta conta pode executar os cmdlets de etiquetagem de forma não interativa até o token de autenticação expirar.After that, this account can then run the labeling cmdlets non-interactively until the authentication token expires. Quando o token expirar, execute o cmdlet novamente para comprar um novo token:When the token expires, run the cmdlet again to acquire a new token:

Se executar este cmdlet sem parâmetros, a conta compra um token de acesso que é válido durante 90 dias ou até a sua palavra-passe expirar.If you run this cmdlet without parameters, the account acquires an access token that is valid for 90 days or until your password expires.

Para controlar quando o token de acesso expira, execute este cmdlet com parâmetros.To control when the access token expires, run this cmdlet with parameters. Tal permite-lhe configurar o token de acesso para um ano, dois anos ou para nunca expirar.This lets you configure the access token for one year, two years, or to never expire. Esta configuração requer que tenha duas aplicações registadas no Azure Active Directory: uma aplicação Web/aplicação API e uma aplicação nativa.This configuration requires you to have two applications registered in Azure Active Directory: A Web app / API application and a native application. Os parâmetros para este cmdlet utilizam valores destas aplicações.The parameters for this cmdlet use values from these applications.

Após ter executado este cmdlet, pode executar os cmdlets de etiquetagem no contexto da conta de utilizador que criou.After you have run this cmdlet, you can run the labeling cmdlets in the context of the user account that you created.

Para criar e configurar as aplicações do Azure AD para Set-AIPAuthenticationTo create and configure the Azure AD applications for Set-AIPAuthentication

  1. Numa nova janela de browser, inicie sessão no portal do Azure.In a new browser window, sign in the Azure portal.

  2. Para o inquilino do Azure AD que utiliza com o Azure Information Protection, navegue para Azure Active Directory > Registos das aplicações.For the Azure AD tenant that you use with Azure Information Protection, navigate to Azure Active Directory > App registrations.

  3. Selecione Novo registo de aplicação para criar a aplicação Web/aplicação API.Select New application registration, to create your Web app /API application. Na etiqueta Criar, especifique os seguintes valores e, em seguida, clique em Criar:On the Create label, specify the following values, and then click Create:

    • Nome: AIPOnBehalfOfName: AIPOnBehalfOf

      Se preferir, especifique um nome diferente.If you prefer, specify a different name. Tem de ser exclusivo por inquilino.It must be unique per tenant.

    • Tipo de Aplicação: aplicação Web/APIApplication Type: Web app /API

    • URL de Início de Sessão: http://localhostSign-on URL: http://localhost

  4. Selecione a aplicação que acabou de criar, por exemplo, AIPOnBehalfOf.Select the application that you've just created, for example, AIPOnBehalfOf. Em seguida, no painel Definições, selecione Propriedades.Then, on the Settings blade, select Properties. No painel Propriedades, copie o valor para o ID da Aplicação e, em seguida, feche este painel.From the Properties blade, copy the value for the Application ID, and then close this blade.

    Este valor é utilizado para o parâmetro WebAppId quando executa o cmdlet Set-AIPAuthentication.This value is used for the WebAppId parameter when you run the Set-AIPAuthentication cmdlet.

  5. No painel Definições, selecione Chaves.On the Settings blade, select Keys. Adicione uma nova chave especificando uma descrição e a sua escolha de duração (1 ano, 2 anos ou nunca expira).Add a new key by specifying a description and your choice of duration (1 year, 2 years, or never expires). Em seguida, selecione Guardare copie a cadeia para o Valor que é apresentado.Then select Save, and copy the string for the Value that is displayed. É importante que guarde esta cadeia, uma vez que não é novamente apresentada e não pode obtê-la.It's important that you save this string because it is not displayed again and it cannot be retrieved. Tal como com qualquer chave que utiliza, armazene o valor guardado de forma segura e restrinja o acesso ao mesmo.As with any key that you use, store the saved value securely and restrict access to it.

    Este valor é utilizado para o parâmetro WebAppKey quando executa o cmdlet Set-AIPAuthentication.This value is used for the WebAppKey parameter when you run the Set-AIPAuthentication cmdlet.

  6. De novo no painel Registos das aplicações, selecione Novo registo de aplicação para criar a aplicação nativa.Back on the App registrations blade, select New application registration, to create your native application. Na etiqueta Criar, especifique os seguintes valores e, em seguida, clique em Criar:On the Create label, specify the following values, and then click Create:

    • Nome: AIPClientName: AIPClient

      Se preferir, especifique um nome diferente.If you prefer, specify a different name. Tem de ser exclusivo por inquilino.It must be unique per tenant.

    • Tipo de Aplicação: NativaApplication Type: Native

    • URL de Início de Sessão: http://localhostSign-on URL: http://localhost

  7. Selecione a aplicação que acabou de criar, por exemplo, AIPClient.Select the application that you've just created, for example, AIPClient. Em seguida, no painel Definições, selecione Propriedades.Then, on the Settings blade, select Properties. No painel Propriedades, copie o valor para o ID da Aplicação e, em seguida, feche este painel.From the Properties blade, copy the value for the Application ID, and then close this blade.

    Este valor é utilizado para o parâmetro NativeAppId quando executa o cmdlet Set-AIPAuthentication.This value is used for the NativeAppId parameter when you run the Set-AIPAuthentication cmdlet.

  8. No painel Definições, selecione Permissões obrigatórias.On the Settings blade, select Required permissions.

  9. No painel Permissões obrigatórias, clique em Adicionare, de seguida, em Selecionar uma API.On the Required permissions blade, click Add, and then click Select an API. Na caixa de pesquisa, escreva AIPOnBehalfOf.In the search box, type AIPOnBehalfOf. Selecione este valor na caixa de listagem e, em seguida, clique em Selecionar.Select this value in the list box, and then click Select.

  10. No painel Ativar Acesso, selecione AIPOnBehalfOf, clique em Selecionare, de seguida, em Concluído.On the Enable Access blade, select AIPOnBehalfOf, click Select, and then click Done.

    Concluiu agora a configuração das duas aplicações e tem os valores necessários para executar o cmdlet Set-AIPAuthentication com parâmetros.You've now completed the configuration of the two apps and you have the values that you need to run Set-AIPAuthentication with parameters.

Próximos passosNext steps

Para obter a ajuda do cmdlet quando estiver numa sessão do PowerShell, escreva Get-Help <cmdlet name> cmdlet e utilize o parâmetro online para ler as informações mais atualizadas.For cmdlet help when you are in a PowerShell session, type Get-Help <cmdlet name> cmdlet, and use the -online parameter to read the most up-to-date information. Por exemplo:For example:

Get-Help Get-RMSTemplate -online

Veja o seguinte para obter informações adicionais que poderá precisar para suportar o cliente do Azure Information Protection:See the following for additional information that you might need to support the Azure Information Protection client:

ComentáriosComments

Antes de inserir um comentário, pedimos-lhe que reveja as nossas Regras básicas.Before commenting, we ask that you review our House rules.