Руководство администратора. Использование PowerShell с Azure Information Protection единым клиентом

*Область применения: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 *

Если у вас есть Windows 7 или Office 2010, см. раздел Административная и устаревшая версии Windows и Office.

*Относится к: Azure Information Protection унифицированный клиент меток для Windows. *

При установке Azure Information Protection унифицированный клиент меток, команды PowerShell автоматически устанавливаются как часть модуля AzureInformationProtection с командлетами для добавления меток.

Модуль AzureInformationProtection позволяет управлять клиентом, выполняя команды для скриптов автоматизации.

Пример:

  • Get-AIPFileStatus: возвращает метку Azure Information Protection и сведения о защите для указанного файла или файлов.
  • Set-AIPFileClassification: сканирует файл для автоматической установки метки Azure Information Protection файла в соответствии с условиями, настроенными в политике.
  • Set-AIPFileLabel: задает или удаляет метку Azure Information Protection для файла, а также устанавливает или удаляет защиту в соответствии с конфигурацией метки или пользовательскими разрешениями.
  • Set-AIPAuthentication: задает учетные данные для проверки подлинности клиента Azure Information Protection.

Модуль AzureInformationProtection устанавливается в папку \програмфилес (x86) \Microsoft Azure Information Protection , а затем добавляет эту папку в системную переменную PSModulePath . DLL-файл для этого модуля называется AIP.dll.

Важно!

Модуль AzureInformationProtection не поддерживает настройку дополнительных параметров для меток или политик меток.

Для этих параметров требуется Microsoft Office 365 Security & для центра соответствия требованиям PowerShell. Дополнительные сведения см. в разделе Пользовательские конфигурации для Azure Information Protection единого клиента меток.

Совет

Чтобы использовать командлеты с длиной пути, превышающей 260 символов, примените следующий параметр групповой политики, доступный, начиная с Windows 10 версии 1607:
Политика > локального компьютера Конфигурация компьютера > Административные шаблоны > Все параметры > Включить длинные пути Win32

Для Windows Server 2016 можно использовать тот же параметр групповой политики, что и при установке последних административных шаблонов (ADMX) для Windows 10.

Дополнительные сведения см. в разделе об ограничении максимальной длины пути в документации разработчика Windows 10.

Необходимые условия для использования модуля AzureInformationProtection

Помимо предварительных требований для установки модуля AzureInformationProtection , при использовании командлетов для создания меток для Azure Information Protection необходимо выполнить дополнительные требования.

  • Служба Rights Management Azure должна быть активирована.

    Если клиент Azure Information Protection не активирован, см. инструкции по активации службы защиты из Azure Information Protection.

  • Чтобы снять защиту с файлов для других пользователей, используя собственную учетную запись:

    • Функция суперпользователя должна быть включена для вашей организации.
    • Ваша учетная запись должна быть настроена как суперпользователь для Azure Rights Management.

    Например, может потребоваться снять защиту для других пользователей в целях обнаружения или восстановления данных. Если для применения защиты используются метки, эту защиту можно удалить, задав новую метку, которая не применяет защиту, или удалить метку.

    Чтобы снять защиту, используйте командлет Set-AIPFileLabel с параметром ремовепротектион . Функция удаления защиты отключена по умолчанию и должна быть сначала включена с помощью командлета Set-лабелполици .

Сопоставление командлетов RMS с единым разметкой

Если вы выполнили миграцию из Azure RMS, обратите внимание, что командлеты, связанные с RMS, не рекомендуются для использования в единой метке.

Некоторые из устаревших командлетов были заменены новыми командлетами для единой метки. Например, если вы использовали New-рмспротектионлиценсе с защитой RMS и перешли к единой метке, используйте вместо нее New-аипкустомпермиссионс .

Следующая таблица сопоставляет командлеты, связанные с RMS, с обновленными командлетами, используемыми для унифицированных меток.

Командлет RMS Командлет единой метки
Get-RMSFileStatus Get-AIPFileStatus
Get-RMSServer Не относится к единой метке.
Get-RMSServerAuthentication Set-AIPAuthentication
Clear-Рмсаусентикатион Set-AIPAuthentication
Set-RMSServerAuthentication Set-AIPAuthentication
Get-RMSTemplate Не относится к единой метке
New-Рмспротектионлиценсе New-аипкустомпермиссионси Set-AIPFileLabelс параметром кустомпермиссионс
Защита-RMSFile Set-AIPFileLabelс параметром ремовепротектион

Как пометить файлы в неинтерактивном режиме для Azure Information Protection

По умолчанию, когда вы используете командлеты для работы с метками, команды выполняются в пользовательском контексте в интерактивном сеансе PowerShell.

Дополнительные сведения см. в разделе:

Примечание

Если у компьютера нет доступа к Интернету, вам не нужно создавать приложение в Azure AD и выполнять командлет Set-AIPAuthentication . Вместо этого следуйте инструкциям по отключенным компьютерам.

Предварительные требования для запуска командлетов с меткой АДМИНИСТРАТИВной установки

Для автоматического запуска командлетов с метками Azure Information Protection используйте следующие сведения о доступе:

  • Учетная запись Windows , которая может выполнять вход в интерактивном режиме.

  • Учетная запись Azure AD для делегированного доступа. Для простоты администрирования используйте одну учетную запись, которая синхронизируется с Active Directory Azure AD.

    Для учетной записи делегированного пользователя:

    Требование Сведения
    Политика меток Убедитесь, что у вас есть политика меток, назначенная этой учетной записи, и что политика содержит опубликованные метки, которые вы хотите использовать.

    При использовании политик меток для разных пользователей может потребоваться создать новую политику меток, которая публикует все метки, и публиковать политику только для этой делегированной учетной записи пользователя.
    Расшифровка содержимого Если этой учетной записи требуется расшифровать содержимое, например, чтобы повторно защитить файлы и проверить файлы, защищенные другими пользователями, сделайте его суперпользователя для Azure Information Protection и убедитесь, что функция суперпользователя включена.
    Элементы управления адаптации Если вы реализовали элементы управления адаптации для поэтапного развертывания, убедитесь, что эта учетная запись включена в настроенные элементы управления адаптации.
  • Маркер доступа Azure AD, который задает и сохраняет учетные данные делегированного пользователя для проверки подлинности в Azure Information Protection. Когда срок действия маркера в Azure AD истечет, необходимо повторно запустить командлет, чтобы получить новый маркер.

    Параметры для Set-AIPAuthentication используют значения из процесса регистрации приложения в Azure AD. Дополнительные сведения см. в статье Создание и настройка приложений Azure AD для Set-AIPAuthentication.

Запустите командлеты меток в неинтерактивном режиме, сначала выполнив командлет Set-AIPAuthentication .

Компьютер, на котором выполняется командлет AIPAuthentication , загружает политику меток, назначенную учетной записи делегированного пользователя, в центре управления метками, например Microsoft 365 безопасности & центре соответствия требованиям.

Создание и настройка приложений Azure AD для Set-AIPAuthentication

Командлет Set-AIPAuthentication требует регистрации приложения для параметров AppID и AppSecret .

Для пользователей, которые недавно перешли с классического клиента и создали регистрацию приложения для предыдущих параметров NativeAppId и, вам потребуется создать новую регистрацию приложения для унифицированного клиента меток.

Чтобы создать новую регистрацию приложения для Set-AIPAuthentication командлета клиента единой метки:

  1. В новом окне браузера Войдите в портал Azure клиента Azure AD, который используется с Azure Information Protection.

  2. Перейдите в раздел Azure Active Directory > Управление > Регистрация приложений и выберите пункт Новая регистрация.

  3. На панели Регистрация приложения укажите следующие значения и нажмите кнопку зарегистрировать.

    Параметр Значение
    имя; AIP-DelegatedUser
    При необходимости укажите другое имя. Имя должно быть уникальным для каждого клиента.
    Поддерживаемые типы учетных записей Установите флажок Учетные записи только в этом каталоге организации.
    URI перенаправления (необязательно) Выберите веб, а затем введите https://localhost .
  4. В области точка административной делегатедусер СКОПИРУЙТЕ значение идентификатора приложения (клиента).

    Значение выглядит следующим образом: 77c3c1c3-abf9-404e-8b2b-4652836c8c66 .

    Это значение используется для параметра AppID при выполнении командлета Set-AIPAuthentication. Вставьте и сохраните значение для последующего обращения.

  5. На боковой панели выберите Управление > Сертификаты & секреты.

    Затем в области " административная делегатедусер-сертификаты & секреты " в разделе " секретные данные клиента " выберите новый секрет клиента.

  6. В поле Добавить секрет клиента укажите следующие сведения, а затем нажмите кнопку Добавить.

    Поле Значение
    Описание Azure Information Protection unified labeling client
    Истекает Укажите длительность (1 год, 2 года или никогда не истекает)
  7. Вернитесь на панель " административная делегатедусер-сертификаты & секреты " в разделе " секреты клиента " и скопируйте строку для значения.

    Эта строка выглядит следующим образом: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4 .

    Чтобы скопировать все символы, щелкните значок Копировать в буфер обмена.

    Важно!

    Очень важно сохранить эту строку, так как она больше не отобразится и ее нельзя будет восстановить. Как и в случае с любыми конфиденциальными сведениями, храните сохраненное значение безопасно и ограничьте доступ к нему.

  8. На боковой панели выберите Управление > разрешениями API.

    На панели разрешения "точка административной делегатедусер-API " выберите Добавить разрешение.

  9. На панели разрешения API запроса убедитесь, что вы находитесь на вкладке API- интерфейсы Майкрософт , и выберите Azure Rights Management Services.

    При появлении запроса на выбор типа разрешений, необходимых приложению, выберите разрешения приложения.

  10. Для разрешений SELECT разверните содержимое и выберите следующие, а затем щелкните Добавить разрешения.

    • Content. Делегатедреадер
    • Content. Делегатедвритер
  11. Вернитесь на панель разрешений "точка административной делегатедусер-API " и выберите Добавить разрешение еще раз.

    В области запросить разрешения "точка административного доступа " выберите API, используемые моей организацией, и найдите службу Microsoft Information Protection Sync Service.

  12. В области разрешения API запроса выберите разрешения приложения.

    Для разрешений SELECT разверните Унифиедполици, выберите унифиедполици. клиент. Read, а затем щелкните Добавить разрешения.

  13. Вернитесь на панель разрешений административная делегатедусер-API , выберите параметр предоставить согласие администратора для <your tenant name> и нажмите кнопку Да в строке подтверждения.

    Разрешения API должны выглядеть, как на следующем рисунке:

    Разрешения API для зарегистрированного приложения в Azure AD

Теперь, когда вы завершили регистрацию этого приложения с секретом, вы готовы выполнить команду Set-AIPAuthentication с параметрами AppID и AppSecret. Кроме того, вам потребуется идентификатор клиента.

Совет

Вы можете быстро скопировать идентификатор клиента с помощью портал Azure: Azure Active Directory > Управление > свойствами > идентификатор каталога.

Выполнение командлета Set-AIPAuthentication

  1. Откройте Windows PowerShell с параметром Запуск от имени администратора.

  2. В сеансе PowerShell создайте переменную для хранения учетных данных учетной записи пользователя Windows, которая будет работать в неинтерактивном режиме. Например, если вы создали учетную запись службы для сканера, сделайте следующее:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"
    

    Вам будет предложено ввести пароль этой учетной записи.

  3. Выполните командлет Set-AIPAuthentication с параметром OnBeHalfOf , указав в качестве значения созданную переменную.

    Также укажите значения регистрации приложения, идентификатор клиента и имя делегированной учетной записи пользователя в Azure AD. Пример:

    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
    

Дальнейшие действия

Чтобы получить справку по командлетам в сеансе PowerShell, введите Get-Help <cmdlet name> -online . Пример:

Get-Help Set-AIPFileLabel -online

Дополнительные сведения см. в разделе: