RMS protection with Windows Server File Classification Infrastructure (FCI) (Proteção do RMS com a Infraestrutura de Classificação de Ficheiros (CFI) do Windows Server)

Use este artigo para obter instruções e um script para usar o cliente da Proteção de Informações do Azure e o PowerShell para configurar o Gerenciador de Recursos de Servidor de Arquivos e a FCI (Infraestrutura de Classificação de Arquivos).

Esta solução permite-lhe proteger automaticamente todos os ficheiros numa pasta num servidor de ficheiros com o Windows Server ou proteger automaticamente os ficheiros que cumprem um critério específico. Por exemplo, arquivos que foram classificados como contendo informações confidenciais ou confidenciais. Essa solução se conecta diretamente ao serviço Azure Rights Management da Proteção de Informações do Azure para proteger os arquivos, portanto, você deve ter esse serviço implantado para sua organização.

Nota

Embora a Proteção de Informações do Azure inclua um conector que dá suporte à Infraestrutura de Classificação de Arquivos, essa solução oferece suporte apenas à proteção nativa, por exemplo, arquivos do Office.

Para dar suporte a vários tipos de arquivo com a infraestrutura de classificação de arquivos do Windows Server, você deve usar o módulo PowerShell AzureInformationProtection , conforme documentado neste artigo. Os cmdlets da Proteção de Informações do Azure, como o cliente do Azure Information Protection, oferecem suporte à proteção genérica, bem como à proteção nativa, o que significa que tipos de arquivo diferentes dos documentos do Office podem ser protegidos. Para obter mais informações, consulte Tipos de arquivo suportados pelo cliente do Azure Information Protection no guia de administração do cliente do Azure Information Protection.

As instruções a seguir são para Windows Server 2012 R2 ou Windows Server 2012. Se você executar outras versões suportadas do Windows, talvez seja necessário adaptar algumas das etapas para diferenças entre a versão do sistema operacional e a documentada neste artigo.

Pré-requisitos para a proteção do Azure Rights Management com o Windows Server FCI

Pré-requisitos para estas instruções:

• Em cada servidor de arquivos onde você executará o Gerenciador de Recursos de Arquivo com infraestrutura de classificação de arquivos:

  • Você instalou o Gerenciador de Recursos de Servidor de Arquivos como um dos serviços de função para a função Serviços de Arquivo.

  • Você identificou uma pasta local que contém arquivos para proteger com o Rights Management. Por exemplo, C:\FileShare.

  • Você instalou o módulo PowerShell do AzureInformationProtection e configurou os pré-requisitos para que esse módulo se conecte ao serviço Azure Rights Management.

    O módulo PowerShell do AzureInformationProtection está incluído no cliente do Azure Information Protection. Para obter instruções de instalação, consulte Instalar o cliente do Azure Information Protection para usuários no guia de administração da Proteção de Informações do Azure. Se necessário, você pode instalar apenas o módulo PowerShell usando o PowerShellOnly=true parâmetro.

    Os pré-requisitos para usar esse módulo do PowerShell incluem ativar o serviço Azure Rights Management, criar uma entidade de serviço e editar o registro se seu locatário estiver fora da América do Norte. Antes de iniciar as instruções neste artigo, verifique se você tem valores para sua chave BposTenantId, AppPrincipalId e Simétrica, conforme documentado nesses pré-requisitos.

  • Se desejar alterar o nível padrão de proteção (nativo ou genérico) para extensões de nome de arquivo específicas, você editou o registro conforme descrito na seção Alterando o nível de proteção padrão de arquivos do guia do administrador.

  • Tem uma ligação à Internet e configurou as definições do computador se estas forem necessárias para um servidor proxy. Por exemplo: netsh winhttp import proxy source=ie

• Você sincronizou suas contas de usuário do Ative Directory local com o Microsoft Entra ID ou o Microsoft 365, incluindo seus endereços de email. Isso é necessário para todos os usuários que talvez precisem acessar arquivos depois de serem protegidos pela FCI e pelo serviço Azure Rights Management. Se você não fizer essa etapa (por exemplo, em um ambiente de teste), os usuários poderão ser impedidos de acessar esses arquivos. Se precisar de mais informações sobre esse requisito, consulte Preparando usuários e grupos para a Proteção de Informações do Azure.

• Este cenário não oferece suporte a modelos departamentais, portanto, você deve usar um modelo que não esteja configurado para um escopo ou usar o cmdlet Set-AipServiceTemplateProperty e o parâmetro EnableInLegacyApps.

Instruções para configurar a FCI do Gerenciador de Recursos de Servidor de Arquivos para proteção do Azure Rights Management

Siga estas instruções para proteger automaticamente todos os arquivos em uma pasta, usando um script do PowerShell como uma tarefa personalizada. Siga estes procedimentos nesta ordem:

1. Salvar o script do PowerShell

2. Criar uma propriedade de classificação para o Rights Management (RMS)

3. Criar uma regra de classificação (Classificar para RMS)

4. Configurar a agenda de classificação

5. Criar uma tarefa de gestão de ficheiros personalizada (Proteger ficheiros com o RMS)

6. Teste a configuração executando manualmente a regra e a tarefa

No final destas instruções, todos os ficheiros na pasta selecionada serão classificados com a propriedade personalizada do RMS e esses ficheiros serão protegidos pelo Rights Management. Para uma configuração mais complexa que protege seletivamente alguns arquivos e não outros, você pode criar ou usar uma propriedade e regra de classificação diferente, com uma tarefa de gerenciamento de arquivos que protege apenas esses arquivos.

Observe que, se você fizer alterações no modelo Rights Management usado para FCI, a conta de computador que executa o script para proteger os arquivos não obterá automaticamente o modelo atualizado. Para fazer isso, no script, localize o comando commented out Get-RMSTemplate -Force e remova o caractere de # comentário. Quando o modelo atualizado é baixado (o script foi executado pelo menos uma vez), você pode comentar esse comando adicional para que os modelos não sejam baixados desnecessariamente a cada vez. Se as alterações no modelo forem importantes o suficiente para reproteger os arquivos no servidor de arquivos, você poderá fazer isso interativamente executando o cmdlet Protect-RMSFile com uma conta que tenha os direitos de uso Exportar ou Controle Total para os arquivos. Você também deve executar Get-RMSTemplate -Force se publicar um novo modelo que deseja usar para FCI.

Salvar o script do Windows PowerShell

1. Copie o conteúdo do script do Windows PowerShell para proteção do Azure RMS usando o Gerenciador de Recursos de Servidor de Arquivos. Cole o conteúdo do script e nomeie o arquivo RMS-Protect-FCI.ps1 em seu próprio computador.

2. Revise o script e faça as seguintes alterações:

   • Procure a seguinte cadeia de caracteres e substitua-a por seu próprio AppPrincipalId que você usa com o cmdlet Set-RMSServerAuthentication para se conectar ao serviço Azure Rights Management:

     <enter your AppPrincipalId here>
     

     Por exemplo, o script pode ter esta aparência:

     [Parameter(Mandatory = $false)]

     [Parameter(Mandatory = $false)] [string]$AppPrincipalId = "b5e3f76a-b5c2-4c96-a594-a0807f65bba4",

   • Procure a seguinte cadeia de caracteres e substitua-a por sua própria chave simétrica que você usa com o cmdlet Set-RMSServerAuthentication para se conectar ao serviço Azure Rights Management:

     <enter your key here>
     

     Por exemplo, o script pode ter esta aparência:

     [Parameter(Mandatory = $false)]

     [string]$SymmetricKey = "zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA="

   • Procure a seguinte cadeia de caracteres e substitua-a por seu próprio BposTenantId (ID do locatário) que você usa com o cmdlet Set-RMSServerAuthentication para se conectar ao serviço Azure Rights Management:

     <enter your BposTenantId here>
     

     Por exemplo, o script pode ter esta aparência:

     [Parameter(Mandatory = $false)]

     [string]$BposTenantId = "23976bc6-dcd4-4173-9d96-dad1f48efd42",

3. Assine o script. Se você não assinar o script (mais seguro), deverá configurar o Windows PowerShell nos servidores que o executam. Por exemplo, execute uma sessão do Windows PowerShell com a opção Executar como Administrador e digite: Set-ExecutionPolicy RemoteSigned. No entanto, essa configuração permite que todos os scripts não assinados sejam executados quando são armazenados neste servidor (menos seguro).

   Para obter mais informações sobre como assinar scripts do Windows PowerShell, consulte about_Signing na biblioteca de documentação do PowerShell.

4. Salve o arquivo localmente em cada servidor de arquivos que executa o Gerenciador de Recursos de Arquivo com infraestrutura de classificação de arquivos. Por exemplo, salve o arquivo em C:\RMS-Protection. Se você usar um caminho ou nome de pasta diferente, escolha um caminho e uma pasta que não inclua espaços. Proteja esse arquivo usando permissões NTFS para que usuários não autorizados não possam modificá-lo.

Agora você está pronto para começar a configurar o Gerenciador de Recursos de Servidor de Arquivos.

Criar uma propriedade de classificação para o Rights Management (RMS)

• No Gerenciador de Recursos de Servidor de Arquivos, Gerenciamento de Classificação, crie uma nova propriedade local:

  • Designação: Tipo RMS

  • Descrição: Proteção do tipo Rights Management

  • Tipo de propriedade: Selecione Sim/Não

  • Valor: Selecione Sim

Agora podemos criar uma regra de classificação que usa essa propriedade.

Criar uma regra de classificação (Classificar para RMS)

• Crie uma nova regra de classificação:

  • Na guia Geral:

    • Nome: Tipo Classificar para RMS

    • Ativado: mantenha o padrão, que é que essa caixa de seleção está marcada.

    • Descrição: Digite Classificar todos os arquivos na pasta de nome> da <pasta para Rights Management.

      Substitua <o nome da pasta pelo nome> da pasta escolhida. Por exemplo, classifique todos os arquivos na pasta C:\FileShare para Rights Management

    • Escopo: adicione a pasta escolhida. Por exemplo, C:\FileShare.

      Não marque as caixas de seleção.

  • Na guia Classificação:

  • Método de classificação: Selecionar classificador de pasta

  • Nome da propriedade : Select RMS

  • Valor da propriedade: Selecione Sim

Embora seja possível executar as regras de classificação manualmente, para operações em andamento, você deseja que essa regra seja executada em um cronograma para que novos arquivos sejam classificados com a propriedade RMS.

Configurar a agenda de classificação

• No separador Classificação Automática:

  • Ativar agendamento fixo: marque esta caixa de seleção.

  • Configure o agendamento para que todas as regras de classificação sejam executadas, o que inclui nossa nova regra para classificar arquivos com a propriedade RMS.

  • Permitir classificação contínua para novos arquivos: marque esta caixa de seleção para que novos arquivos sejam classificados.

  • Opcional: faça quaisquer outras alterações desejadas, como configurar opções para relatórios e notificações.

Agora que concluiu a configuração de classificação, está pronto para configurar uma tarefa de gestão para aplicar a proteção RMS aos ficheiros.

Criar uma tarefa de gestão de ficheiros personalizada (Proteger ficheiros com o RMS)

• Em Tarefas de Gerenciamento de Arquivos, crie uma nova tarefa de gerenciamento de arquivos:

  • Na guia Geral:

    • Nome da tarefa: Tipo Proteger ficheiros com o RMS

    • Mantenha a caixa de seleção Ativar marcada.

    • Descrição: digite Proteger arquivos no <nome> da pasta com o Rights Management e um modelo usando um script do Windows PowerShell.

      Substitua <o nome da pasta pelo nome> da pasta escolhida. Por exemplo, Proteja arquivos em C:\FileShare com Rights Management e um modelo usando um script do Windows PowerShell

    • Escopo: Selecione a pasta escolhida. Por exemplo, C:\FileShare.

      Não marque as caixas de seleção.

  • Na guia Ação:

    • Tipo: Selecione Personalizado

    • Executável: especifique o seguinte:

      C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      

      Se o Windows não estiver na unidade C:, modifique este caminho ou navegue até este ficheiro.

    • Argumento: especifique o seguinte, fornecendo seus próprios valores para <o caminho> e <a ID> do modelo:

      -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID <template GUID> -OwnerMail '[Source File Owner Email]'"
      

      Por exemplo, se você copiou o script para C:\RMS-Protection e o ID do modelo identificado a partir dos pré-requisitos for e6ee2481-26b9-45e5-b34a-f744eacd53b0, especifique o seguinte:

      -Noprofile -Command "C:\RMS-Protection\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerMail '[Source File Owner Email]'"

      Neste comando, [Source File Path] e [Source File Owner Email] são variáveis específicas da FCI, portanto, digite-as exatamente como aparecem no comando anterior. A primeira variável é usada pela FCI para especificar automaticamente o arquivo identificado na pasta, e a segunda variável é para a FCI recuperar automaticamente o endereço de e-mail do proprietário nomeado do arquivo identificado. Este comando é repetido para cada ficheiro na pasta, que no nosso exemplo, é cada ficheiro na pasta C:\FileShare que, adicionalmente, tem o RMS como uma propriedade de classificação de ficheiros.

      Nota

      O parâmetro e o valor -OwnerMail [Source File Owner Email] garantem que o proprietário original do arquivo receba o proprietário do Rights Management do arquivo depois que ele for protegido. Essa configuração garante que o proprietário do arquivo original tenha todos os direitos do Rights Management para seus próprios arquivos. Quando os arquivos são criados por um usuário de domínio, o endereço de email é recuperado automaticamente do Ative Directory usando o nome da conta de usuário na propriedade Proprietário do arquivo. Para fazer isso, o servidor de arquivos deve estar no mesmo domínio ou domínio confiável que o usuário.

      Sempre que possível, atribua os proprietários originais a documentos protegidos, para garantir que esses usuários continuem a ter controle total sobre os arquivos que criaram. No entanto, se você usar a variável [Source File Owner Email] como no comando anterior e um arquivo não tiver um usuário de domínio definido como proprietário (por exemplo, uma conta local foi usada para criar o arquivo, para que o proprietário exiba SYSTEM), o script falhará.

      Para arquivos que não têm um usuário de domínio como proprietário, você pode copiar e salvar esses arquivos como um usuário de domínio, para que você se torne o proprietário apenas desses arquivos. Ou, se tiver permissões, pode alterar manualmente o proprietário. Ou, alternativamente, você pode fornecer um endereço de e-mail específico (como o seu próprio endereço ou um endereço de grupo para o departamento de TI) em vez da variável [Source File Owner Email], o que significa que todos os arquivos que você protege usando esse script usam esse endereço de e-mail para definir o novo proprietário.

  • Execute o comando como: Selecione Sistema Local

  • Na guia Condição:

    • Propriedade: Selecione RMS

    • Operador: Selecione Igual

    • Valor: Selecione Sim

  • No separador Agendar:

    • Executar em: Configure sua agenda preferida.

      Aguarde bastante tempo para que o script seja concluído. Embora esta solução proteja todos os arquivos na pasta, o script é executado uma vez para cada arquivo, cada vez. Embora isso leve mais tempo do que proteger todos os arquivos ao mesmo tempo, o que o cliente do Azure Information Protection suporta, essa configuração arquivo a arquivo para FCI é mais poderosa. Por exemplo, os arquivos protegidos podem ter proprietários diferentes (manter o proprietário original) quando você usa a variável [Email do proprietário do arquivo de origem], e essa ação arquivo por arquivo é necessária se você alterar posteriormente a configuração para proteger seletivamente os arquivos em vez de todos os arquivos em uma pasta.

    • Executar continuamente em novos ficheiros: Marque esta caixa de verificação.

Teste a configuração executando manualmente a regra e a tarefa

1. Execute a regra de classificação:

   1. Clique em Regras>de classificação Executar classificação com todas as regras agora

   2. Clique em Aguarde a conclusão da classificação e, em seguida, clique em OK.

2. Aguarde até que a caixa de diálogo Classificação em Execução feche e, em seguida, exiba os resultados no relatório exibido automaticamente. Você verá 1 para o campo Propriedades e o número de arquivos em sua pasta. Confirme usando o Explorador de Arquivos e verificando as propriedades dos arquivos na pasta escolhida. Na guia Classificação, você verá RMS como um nome de propriedade e Sim como seu Valor.

3. Execute a tarefa de gerenciamento de arquivos:

   1. Clique em Tarefas de Gerenciamento de Arquivos>Proteja arquivos com o RMS>Execute a tarefa de gerenciamento de arquivos agora

   2. Clique em Esperar até que a tarefa seja concluída e, em seguida, clique em OK.

4. Aguarde até que a caixa de diálogo Tarefa de Gerenciamento de Arquivos em Execução seja fechada e exiba os resultados no relatório exibido automaticamente. Você deve ver o número de arquivos que estão na pasta escolhida no campo Arquivos . Confirme se os ficheiros na pasta escolhida estão agora protegidos pelo Rights Management. Por exemplo, se a pasta escolhida for C:\FileShare, digite o seguinte comando em uma sessão do Windows PowerShell e confirme se nenhum arquivo tem o status Desprotegido:

   foreach ($file in (Get-ChildItem -Path C:\FileShare -Force | where {!$_.PSIsContainer})) {Get-RMSFileStatus -f $file.PSPath}
   

   Gorjeta

   Algumas dicas de solução de problemas:

   • Se você vir 0 no relatório, em vez do número de arquivos em sua pasta, essa saída indica que o script não foi executado. Primeiro, verifique o script em si carregando-o no Windows PowerShell ISE para validar o conteúdo do script e tente executá-lo uma vez na mesma sessão do PowerShell, para ver se algum erro é exibido. Sem argumentos especificados, o script tenta se conectar e autenticar no serviço Azure Rights Management.

     • Se o script relatar que não pôde se conectar ao serviço Azure Rights Management (Azure RMS), verifique os valores exibidos para a conta principal do serviço, que você especificou no script. Para obter mais informações sobre como criar essa conta principal de serviço, consulte Pré-requisito 3: para proteger ou desproteger arquivos sem interação no guia de administração do cliente do Azure Information Protection.
     • Se o script informar que ele pode se conectar ao Azure RMS, verifique se ele pode encontrar o modelo especificado executando Get-RMSTemplate diretamente do Windows PowerShell no servidor. Você deve ver o modelo especificado retornado nos resultados.

   • Se o script por si só for executado no Windows PowerShell ISE sem erros, tente executá-lo da seguinte forma a partir de uma sessão do PowerShell, especificando um nome de arquivo a ser protegido e sem o parâmetro -OwnerEmail:

     powershell.exe -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '<full path and name of a file>' -TemplateID <template GUID>"
     

     • Se o script for executado com êxito nesta sessão do Windows PowerShell, verifique suas entradas para Executivo e Argumento na ação da tarefa de gerenciamento de arquivos. Se você especificou -OwnerEmail [Source File Owner Email], tente remover esse parâmetro.

       Se a tarefa de gerenciamento de arquivos funcionar com êxito sem -OwnerEmail [Source File Owner Email], verifique se os arquivos desprotegidos têm um usuário de domínio listado como o proprietário do arquivo, em vez de SYSTEM. Para fazer essa verificação, use a guia Segurança para as propriedades do arquivo e clique em Avançado. O valor Owner é exibido imediatamente após o nome do arquivo. Além disso, verifique se o servidor de arquivos está no mesmo domínio ou em um domínio confiável para procurar o endereço de email do usuário nos Serviços de Domínio Ative Directory.

   • Se você vir o número correto de arquivos no relatório, mas os arquivos não estiverem protegidos, tente proteger os arquivos manualmente usando o cmdlet Protect-RMSFile , para ver se algum erro é exibido.

Quando tiver confirmado que estas tarefas são executadas com êxito, pode fechar o Gestor de Recursos de Ficheiros. Novos arquivos são automaticamente classificados e protegidos quando as tarefas agendadas são executadas.

Ação necessária se você fizer alterações no modelo do Rights Management

Se você fizer alterações no modelo do Rights Management ao qual o script faz referência, a conta de computador que executa o script para proteger os arquivos não obterá automaticamente o modelo atualizado. No script, localize o comando commented out Get-RMSTemplate -Force na função Set-RMSConnection e remova o caractere de comentário no início da linha. Na próxima vez que o script for executado, o modelo atualizado será baixado. Para otimizar o desempenho para que os modelos não sejam baixados desnecessariamente, você pode comentar essa linha novamente.

Se as alterações no modelo forem importantes o suficiente para reproteger os arquivos no servidor de arquivos, você poderá fazer isso interativamente executando o cmdlet Protect-RMSFile com uma conta que tenha os direitos de uso Exportar ou Controle Total para os arquivos.

Execute também essa linha no script se publicar um novo modelo que deseja usar para FCI e altere a ID do modelo na linha de argumento para a tarefa de gerenciamento de arquivos personalizada.

Modificando as instruções para proteger arquivos seletivamente

Quando você tem as instruções anteriores funcionando, é fácil modificá-las para uma configuração mais sofisticada. Por exemplo, proteja arquivos usando o mesmo script, mas apenas para arquivos que contenham informações pessoais identificáveis, e talvez selecione um modelo que tenha direitos mais restritivos.

Para fazer essa modificação, use uma das propriedades de classificação internas (por exemplo, Informações de identificação pessoal) ou crie sua própria nova propriedade. Em seguida, crie uma nova regra que use essa propriedade. Por exemplo, você pode selecionar o Classificador de conteúdo, escolher a propriedade Informações pessoalmente identificáveis com um valor High e configurar a cadeia de caracteres ou o padrão de expressão que identifica o arquivo a ser configurado para essa propriedade (como a cadeia de caracteres "Data de nascimento").

Agora, tudo o que você precisa fazer é criar uma nova tarefa de gerenciamento de arquivos que usa o mesmo script, mas talvez com um modelo diferente, e configurar a condição para a propriedade de classificação que você acabou de configurar. Por exemplo, em vez da condição que configuramos anteriormente (propriedade RMS, Igual, Sim), selecione a propriedade Informações pessoalmente identificáveis com o valor Operador definido como Igual e o Valor Alto.

Próximos passos

Você deve estar se perguntando: Qual é a diferença entre o Windows Server FCI e o mecanismo de varredura da Proteção de Informações do Azure?