Protect-RMSFile
Protege um ficheiro especificado ou os ficheiros numa pasta especificada utilizando o RMS.
Syntax
Protect-RMSFile
[-File <String>]
[-Folder <String>]
[-InPlace]
[-Recurse]
[-TemplateID <String>]
[-License <SafeInformationProtectionLicenseHandle>]
[-DoNotPersistEncryptionKey <String>]
[-OutputFolder <String>]
[-OwnerEmail <String>]
[<CommonParameters>]Description
O cmdlet Protect-RMSFile protege um ficheiro ou todos os ficheiros numa pasta especificada utilizando O RMS ou AD RMS. Se o ficheiro foi previamente protegido, será novamente protegido, para aplicar quaisquer alterações como as que possam ser feitas ao modelo que está a ser usado para proteger o ficheiro.
Vários tipos de ficheiros podem ser protegidos da mesma forma que o cliente Azure Information Protection pode proteger ficheiros quando utiliza a opção "Classificar e proteger" o clique direito a partir de Explorador de Ficheiros.
São automaticamente aplicados diferentes níveis de proteção (nativo ou genérico), dependendo do tipo de ficheiro. Pode alterar o nível de proteção editando o registo. Além disso, alguns ficheiros alteram a extensão do nome do ficheiro depois de estarem protegidos pela Rights Management. Para obter mais informações, veja a secção Tipos de ficheiros suportados para proteção no guia do administrador do cliente do Azure Information Protection.
Antes de executar este cmdlet, tem de executar Get-RMSTemplate para descarregar os modelos para o seu computador. Se o modelo que pretende utilizar tiver sido modificado desde que executou este cmdlet, volte a executá-lo com o parâmetro de força para descarregar o modelo revisto.
Quando você executar este cmdlet, você tem as seguintes opções:
O ficheiro está protegido na localização atual, substituindo o ficheiro original que estava desprotegido.
O ficheiro original permanece desprotegido e uma versão protegida do ficheiro é criada noutro local.
Todos os ficheiros da pasta especificada estão protegidos na localização atual, substituindo os ficheiros originais que estavam desprotegidos.
Todos os ficheiros da pasta especificada permanecem desprotegidos e uma versão protegida de cada ficheiro é criada noutro local.
Não é possível executar este comando simultaneamente, mas deve esperar que o comando original seja concluído antes de o executar novamente. Se tentar executá-lo novamente antes que o comando anterior termine, o novo comando falhará.
Este cmdlet escreve para os seguintes ficheiros de registo: Sucesso.log, Fracasso.log e Debug.log em %localappdata%\Microsoft\MSIPC\pscmdlet\Logs\\<GUID>.
Dica
Para instruções passo a passo para utilizar este cmdlet para proteger ficheiros numa partilha de ficheiros do Windows Server, utilizando a Resource Manager de ficheiros e a infraestrutura de classificação de ficheiros, consulte a Proteção RMS com a Infraestrutura de Classificação de Ficheiros do Servidor do Windows (FCI).
Exemplos
Exemplo 1: Proteger e substituir um único ficheiro utilizando um modelo
PS C:\>Protect-RMSFile -File "C:\Test.docx" -InPlace -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile EncryptedFile
--------- -------------
C:\Test.docx C:\Test.docxEste comando protege um único ficheiro chamado Test.docx utilizando um modelo e substitui o ficheiro original desprotegido. O titular da Gestão de Direitos do ficheiro, e o endereço de e-mail que poderá ser apresentado aos utilizadores quando acedem ao ficheiro protegido, é automaticamente definido como o endereço de e-mail para a conta que executa o comando.
Exemplo 2: Criar uma cópia protegida de um único ficheiro utilizando um modelo
PS C:\>Protect-RMSFile -File "Test.docx" -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile EncryptedFile
--------- -------------
C:\Test.docx C:\Test-Copy.docxEste comando é o mesmo que o exemplo anterior, exceto que não utiliza o parâmetro InPlace . Como também não utiliza o parâmetro OutputFolder , o ficheiro protegido é criado na pasta atual com "-Copy" anexado ao nome do ficheiro. O ficheiro original e desprotegido permanece na pasta atual.
Exemplo 3: Criar uma versão protegida de um ficheiro utilizando um modelo
PS C:\>Protect-RMSFile -File "C:\Test.docx" -OutputFolder "C:\Temp" -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "admin@Contoso.com"
InputFile EncryptedFile
--------- -------------
C:\Test.txt C:\Temp\Test.ptxtEste comando protege um único ficheiro nomeado Test.docx utilizando um modelo e coloca esta versão protegida do ficheiro em C:\Temp, deixando o ficheiro original desprotegido na raiz da unidade C. O titular do ficheiro na Gestão de Direitos e o endereço de e-mail que poderá ser apresentado aos utilizadores quando acedem ao ficheiro protegido, é para o administrador.
Exemplo 4: Proteja todos os ficheiros de uma pasta utilizando um modelo
PS C:\>Protect-RMSFile -Folder "\\server1\Docs" -InPlace -DoNotPersistEncryptionKey All -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "IT@Contoso.com"
InputFile EncryptedFile
---------- -------------
\\server1\Docs\Feb2015.docx \\server1\Docs\Feb2015.docx
\\server1\Docs\Feb2015.txt \\server1\Docs\Feb2015.ptxt
\\server1\Docs\Jan2015.docx \\server1\Docs\Jan2015.docx
\\server1\Docs\Jan2015.txt \\server1\Docs\Jan2015.ptxtEste comando protege todos os ficheiros de uma partilha de servidor (apenas uma pasta, não sub-dobradeiras), substituindo os ficheiros desprotegidos. O endereço de e-mail que é apresentado aos utilizadores quando não têm acesso, é para o grupo de departamento de TI e este grupo recebe direitos de utilização do Controlo Total no modelo para que possam alterar os direitos de utilização dos ficheiros protegidos.
Como este cenário está a proteger ficheiros em nome de outros, o parâmetro DoNotPersistEncrypationKey é utilizado para o máximo desempenho e para evitar que ficheiros não utilizados sejam guardados no disco.
Exemplo 5: Ficheiros protegidos com uma extensão específica do nome de ficheiro numa pasta utilizando um modelo
PS C:\>foreach ($file in (Get-ChildItem -Path \\server1\Docs -Recurse -Force | where {!$_.PSIsContainer} | Where-Object {$_.Extension -eq ".docx"})) {Protect-RMSFile -File $file.PSPath -InPlace -DoNotPersistEncryptionKey All -TemplateID "e6ee2481-26b9-45e5-b34a-f744eacd53b0" -OwnerEmail "IT@Contoso.com"}
InputFile EncryptedFile
--------- -------------
\\server1\Docs\Feb2015.docx \\server1\Docs\Feb2015.docx
\\server1\Docs\Jan2015.docx \\server1\Docs\Jan2015.docx
\\server1\Docs\Reports\Feb2015.docx \\server1\Docs\Reports\Feb2015.docx
\\server1\Docs\Reports\Jan2015.docx \\server1\Docs\Reports\Jan2015.docxEste comando protege apenas ficheiros que tenham uma extensão de nome de ficheiro .docx numa pasta (e todas as subminares) numa partilha de servidor, substituindo os ficheiros desprotegidos. Tal como no exemplo anterior, o endereço de e-mail que é apresentado aos utilizadores quando não têm acesso, é para o departamento de TI.
Embora o comando Protect-RMSFile não suporte os wildcards de forma nativa, pode utilizar Windows PowerShell para o conseguir e alterar a extensão do nome do ficheiro no exemplo, conforme necessário.
Exemplo 6: Proteger um único ficheiro utilizando uma política de direitos ad-hoc
PS C:\>$License = New-RMSProtectionLicense -UserEmail 'user1@contoso.com' -Permission EDIT
PS C:\> Protect-RMSFile -License $License -File "C:\Test.txt" -InPlace
InputFile EncryptedFile
--------- -------------
C:\Test.txt C:\Test.ptxtO primeiro comando cria uma política de direitos ad-hoc que concede direitos de edição a user1@contoso.com.
O segundo comando protege um único ficheiro chamado Test.txt utilizando esta política de direitos ad-hoc acaba de ser criada e substitui o ficheiro original desprotegido.
Tenha em atenção que, a menos que o seu endereço de e-mail seja user1@contoso.com, não poderá desprotegir este ficheiro após o comando ter sido preenchido porque não tem quaisquer direitos sobre o mesmo e não é o proprietário da Gestão de Direitos.
Se precisar de ser capaz de desprotegir este ficheiro mais tarde, pode adicionar o seu nome e conceder ao utilizador e a si mesmo o EXTRACT ou o PROPRIETÁRIO na política de direitos ad-hoc no primeiro comando. Ou se não quiser que o utilizador possa desprotegir o ficheiro, adicione -OwnerEmail <o seu endereço> de e-mail para o final do segundo comando.
Parâmetros
-DoNotPersistEncryptionKey
Evita que uma licença de utilizador final auto-concedida para o emitente de Gestão de Direitos seja guardada quando um ficheiro está protegido. Esta licença permite ao emitente de Gestão de Direitos abrir o ficheiro protegido sem autenticar o serviço de Gestão de Direitos. Isto ajuda a garantir que a pessoa que executou este cmdlet pode sempre abrir os seus próprios ficheiros que protegeu, mesmo quando essa pessoa está offline. Também resulta em atrasos mínimos para que o utilizador abra estes ficheiros protegidos.
O emitente de Gestão de Direitos é a conta que protege os ficheiros. Para mais informações, consulte o emitente de Gestão de Direitos e o proprietário da Gestão de Direitos.
Por predefinição, esta licença de utilizador final auto-concedida é guardada tanto no próprio ficheiro como no computador a partir do qual o cmdlet é executado. O nome do ficheiro começa com EUL e é criado em %localappdata%\Microsoft\MSIPC. Utilize este parâmetro para evitar que esta licença de utilizador final guarde no ficheiro, no computador ou em ambos. Especificar este parâmetro é apropriado se estiver a proteger ficheiros em nome de outros, por exemplo, com o Windows Server FCI. Neste cenário, o emitente de Gestão de Direitos não abrirá os ficheiros protegidos e, portanto, criar e guardar a licença de utilizador final diminui o desempenho da proteção e gera desnecessariamente muitos ficheiros que podem preencher o espaço do disco disponível.
Os valores aceitáveis para este parâmetro:
Disco: Uma licença de utilizador final para o emitente de Gestão de Direitos não é gerada para cada ficheiro em %localappdata%\Microsoft\MSIPC.
Licença: Uma licença de utilizador final para o emitente de Gestão de Direitos não está inserida na licença de publicação do ficheiro.
Todos: Nenhuma licença de utilizador final para o emitente de Gestão de Direitos é criada e guardada quando um ficheiro é protegido.
| Type: | String |
| Accepted values: | all, disk, license |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-File
Especifica o caminho e o nome do ficheiro a proteger. Para o caminho, você pode usar uma letra de unidade ou UNC.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Folder
Especifica o caminho e a pasta a proteger. Para o caminho, você pode usar uma letra de unidade ou UNC.
Todos os ficheiros atualmente na pasta especificada serão protegidos. Os novos ficheiros adicionados à pasta não serão automaticamente protegidos.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-InPlace
O ficheiro ou os ficheiros na pasta especificada estão protegidos na localização atual, substituindo o ficheiro ou ficheiros originais desprotegidos. Este parâmetro é ignorado se o parâmetro DoDR de Saída for especificado.
Se não for especificado o InPlace nem o OutputFolder, o novo ficheiro é criado no diretório atual com "-Copy" anexado ao nome do ficheiro, utilizando a mesma convenção de nomeação que Explorador de Ficheiros utiliza quando um ficheiro é copiado e colado na mesma pasta. Por exemplo, se um ficheiro com Document.docx estiver desprotegido, a versão protegida é nomeada Document-Copy.docx. Se um ficheiro nomeado Document-Copy.docx já existir, o Documento-Cópia(2).docx é criado, e assim por diante.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-License
Especifica o nome variável que armazena uma política de direitos ad hoc que foi criada através da utilização do cmdlet New-RMSProtectionLicense . Esta política de direitos ad-hoc é usada em vez de um modelo para proteger o ficheiro ou ficheiros.
| Type: | SafeInformationProtectionLicenseHandle |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-OutputFolder
Especifica o caminho e a pasta para colocar versões protegidas dos ficheiros originais que permanecem desprotegidas. A estrutura original da pasta é mantida, o que significa que as sub-dobradeiras podem ser criadas pelo seu valor especificado.
Para o caminho, você pode usar uma letra de unidade ou UNC.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-OwnerEmail
Especifica o titular da Gestão de Direitos do ficheiro ou ficheiros protegidos por endereço de e-mail.
Por predefinição, a conta que executa este cmdlet é simultaneamente o emitente de Gestão de Direitos e o titular da Gestão de Direitos do ficheiro protegido. Este parâmetro permite-lhe atribuir um proprietário diferente de Gestão de Direitos ao ficheiro protegido para que a conta especificada tenha todos os direitos de utilização (Full Control) para o ficheiro e possa sempre aceder ao mesmo. O proprietário da Gestão de Direitos é independente do proprietário do sistema de ficheiros Windows. Para mais informações, consulte o emitente de Gestão de Direitos e o proprietário da Gestão de Direitos.
Se não especificar um valor para este parâmetro, o cmdlet utilizará o endereço de e-mail da sua sessão autenticada para identificar o titular da Gestão de Direitos do ficheiro ou ficheiros protegidos. Se utilizar AD RMS ou Azure RMS com uma conta de utilizador para proteger ficheiros, este será o seu endereço de e-mail. Se utilizar o Azure RMS com uma conta principal de serviço, este endereço de e-mail será uma longa série de números e letras. Este endereço de e-mail é apresentado a utilizadores que não tenham permessão para visualizar o documento protegido, para que possam solicitar permissões.
Se executar este cmdlet para Azure RMS com uma conta principal de serviço, e possuir o ficheiro ou ficheiros que está a proteger, especifique o seu próprio endereço de e-mail para este parâmetro. Se executar este cmdlet para Azure RMS com uma conta principal de serviço, e um único utilizador possuir o ficheiro ou todos os ficheiros que está a proteger, especifique o seu endereço de e-mail para que não impeça o proprietário do ficheiro original de esporá-lo e usá-lo conforme pretendido.
Se executar este cmdlet com vários ficheiros pertencentes a diferentes utilizadores, certifique-se de que esses utilizadores recebem direitos de utilização do Controlo Total e considere qual o endereço de e-mail a atribuir para este parâmetro. Embora possa especificar um endereço de e-mail de grupo e este endereço ser apresentado para solicitar permissões de acesso, os membros do grupo não são feitos como proprietário da Gestão de Direitos e, por padrão, não têm direitos de utilização para o ficheiro de proteção. Neste cenário, escolha se deve atribuir um único utilizador (como um administrador) ou especificar um endereço de e-mail de grupo que também atribui direitos de utilização do Controlo Total. Para a configuração de e-mail de grupo, este pode ser o seu Help Desk, por exemplo.
Importante: Embora este parâmetro seja opcional, se não o especificar quando protege os ficheiros utilizando o Azure RMS e um principal de serviço, o endereço de e-mail que os utilizadores vêem do Azure Information Protection cliente não será útil. Por isso, recomendamos que especifique sempre este parâmetro quando protege os ficheiros utilizando o Azure RMS e um principal de serviço em vez da sua conta de utilizador.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Recurse
Quando utilizado com o parâmetro pasta , indica que todos os ficheiros atuais nas sub-dobradeiras serão protegidos.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-TemplateID
Especifica o ID do modelo para proteger o ficheiro ou ficheiros especificados se não utilizar o parâmetro Licença para uma política ad-hoc. Se não souber o ID do modelo que pretende utilizar, utilize o cmdlet Get-RMSTemplate .
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |