RMS-skydd med Windows Server FCI (File Classification Infrastructure)

  • Artikel

Använd den här artikeln för instruktioner och ett skript för att använda Azure Information Protection-klienten och PowerShell för att konfigurera filserverresurshanteraren och filklassificeringsinfrastrukturen (FCI).

Med den här lösningen kan du automatiskt skydda alla filer i en mapp på en filserver som kör Windows Server, eller automatiskt skydda filer som uppfyller ett visst villkor. Till exempel filer som har klassificerats som innehåller konfidentiell eller känslig information. Den här lösningen ansluter direkt till Azure Rights Management-tjänsten från Azure Information Protection för att skydda filerna, så du måste ha den här tjänsten distribuerad för din organisation.

Kommentar

Även om Azure Information Protection innehåller en anslutningsapp som stöder filklassificeringsinfrastruktur, stöder den lösningen endast internt skydd, till exempel Office-filer.

Om du vill ha stöd för flera filtyper med Windows Server-filklassificeringsinfrastrukturen måste du använda Modulen PowerShell AzureInformationProtection , enligt beskrivningen i den här artikeln. Azure Information Protection-cmdletar, till exempel Azure Information Protection-klienten, stöder allmänt skydd och internt skydd, vilket innebär att andra filtyper än Office-dokument kan skyddas. Mer information finns i Filtyper som stöds av Azure Information Protection-klienten från administratörsguiden för Azure Information Protection-klienten.

Anvisningarna nedan gäller för Windows Server 2012 R2 eller Windows Server 2012. Om du kör andra versioner av Windows som stöds kan du behöva anpassa några av stegen för skillnader mellan operativsystemversionen och den som beskrivs i den här artikeln.

Krav för Azure Rights Management-skydd med Windows Server FCI

Förutsättningar för dessa instruktioner:

  • På varje filserver där du kör Hanteraren för filresurser med filklassificeringsinfrastruktur:

    • Du har installerat Hanteraren för filserverresurser som en av rolltjänsterna för filtjänstrollen.

    • Du har identifierat en lokal mapp som innehåller filer som ska skyddas med Rights Management. Till exempel C:\FileShare.

    • Du har installerat PowerShell-modulen AzureInformationProtection och konfigurerat förutsättningarna för att den här modulen ska ansluta till Azure Rights Management-tjänsten.

      PowerShell-modulen AzureInformationProtection ingår i Azure Information Protection-klienten. Installationsinstruktioner finns i Installera Azure Information Protection-klienten för användare från administratörsguiden för Azure Information Protection. Om det behövs kan du bara installera PowerShell-modulen med hjälp av parametern PowerShellOnly=true .

      Förutsättningarna för att använda den här PowerShell-modulen är att aktivera Azure Rights Management-tjänsten, skapa ett huvudnamn för tjänsten och redigera registret om din klientorganisation är utanför Nordamerika. Innan du börjar anvisningarna i den här artikeln måste du se till att du har värden för din BposTenantId, AppPrincipalId och symmetriska nyckel, enligt beskrivningen i dessa förutsättningar.

    • Om du vill ändra standardnivån för skydd (inbyggt eller allmänt) för specifika filnamnstillägg har du redigerat registret enligt beskrivningen i avsnittet Ändra standardskyddsnivån för filer från administratörsguiden.

    • Du har en Internetanslutning och du har konfigurerat datorinställningarna om dessa krävs för en proxyserver. Exempelvis: netsh winhttp import proxy source=ie

  • Du har synkroniserat dina lokal Active Directory användarkonton med Microsoft Entra-ID eller Microsoft 365, inklusive deras e-postadresser. Detta krävs för alla användare som kan behöva komma åt filer när de har skyddats av FCI och Azure Rights Management-tjänsten. Om du inte gör det här steget (till exempel i en testmiljö) kan användare blockeras från att komma åt dessa filer. Om du behöver mer information om det här kravet kan du läsa Förbereda användare och grupper för Azure Information Protection.

  • Det här scenariot stöder inte avdelningsmallar, så du måste antingen använda en mall som inte har konfigurerats för ett omfång eller använda cmdleten Set-AipServiceTemplateProperty och parametern EnableInLegacyApps .

Instruktioner för att konfigurera FCI för hanteraren för filserverresurser för Azure Rights Management-skydd

Följ de här anvisningarna för att automatiskt skydda alla filer i en mapp med hjälp av ett PowerShell-skript som en anpassad uppgift. Gör följande i följande ordning:

  1. Spara PowerShell-skriptet

  2. Skapa en klassificeringsegenskap för Rights Management (RMS)

  3. Skapa en klassificeringsregel (Klassificera för RMS)

  4. Konfigurera klassificeringsschemat

  5. Skapa en anpassad filhanteringsuppgift (Skydda filer med RMS)

  6. Testa konfigurationen genom att köra regeln och uppgiften manuellt

I slutet av dessa instruktioner klassificeras alla filer i den valda mappen med den anpassade egenskapen RMS, och dessa filer skyddas sedan av Rights Management. Om du vill ha en mer komplex konfiguration som selektivt skyddar vissa filer och inte andra kan du sedan skapa eller använda en annan klassificeringsegenskap och regel, med en filhanteringsuppgift som bara skyddar dessa filer.

Observera att om du gör ändringar i Rights Management-mallen som du använder för FCI, hämtar datorkontot som kör skriptet för att skydda filerna inte automatiskt den uppdaterade mallen. Det gör du genom att leta upp det kommenterade Get-RMSTemplate -Force kommandot i skriptet och ta bort kommentarstecknet # . När den uppdaterade mallen laddas ned (skriptet har körts minst en gång) kan du kommentera ut det här ytterligare kommandot så att mallarna inte laddas ned i onödan varje gång. Om ändringarna i mallen är tillräckligt viktiga för att återaktivera skyddet av filerna på filservern kan du göra detta interaktivt genom att köra cmdleten Protect-RMSFile med ett konto som har användningsrättigheterna Exportera eller Fullständig kontroll för filerna. Du måste också köra Get-RMSTemplate -Force om du publicerar en ny mall som du vill använda för FCI.

Spara Windows PowerShell-skriptet

  1. Kopiera innehållet i Windows PowerShell-skriptet för Azure RMS-skydd med hjälp av Hanteraren för filserverresurser. Klistra in innehållet i skriptet och ge filen namnet RMS-Protect-FCI.ps1 på din egen dator.

  2. Granska skriptet och gör följande ändringar:

    • Sök efter följande sträng och ersätt den med ditt eget AppPrincipalId som du använder med cmdleten Set-RMSServerAuthentication för att ansluta till Azure Rights Management-tjänsten:

      <enter your AppPrincipalId here>

      Skriptet kan till exempel se ut så här:

      [Parameter(Mandatory = $false)]

      [Parameter(Mandatory = $false)] [string]$AppPrincipalId = "b5e3f76a-b5c2-4c96-a594-a0807f65bba4",

    • Sök efter följande sträng och ersätt den med din egen symmetriska nyckel som du använder med cmdleten Set-RMSServerAuthentication för att ansluta till Azure Rights Management-tjänsten:

      <enter your key here>

      Skriptet kan till exempel se ut så här:

      [Parameter(Mandatory = $false)]

      [string]$SymmetricKey = "zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA="

    • Sök efter följande sträng och ersätt den med ditt eget BposTenantId (klient-ID) som du använder med cmdleten Set-RMSServerAuthentication för att ansluta till Azure Rights Management-tjänsten:

      <enter your BposTenantId here>

      Skriptet kan till exempel se ut så här:

      [Parameter(Mandatory = $false)]

      [string]$BposTenantId = "23976bc6-dcd4-4173-9d96-dad1f48efd42",

  3. Signera skriptet. Om du inte signerar skriptet (säkrare) måste du konfigurera Windows PowerShell på de servrar som kör det. Kör till exempel en Windows PowerShell-session med alternativet Kör som administratör och skriv: Set-ExecutionPolicy RemoteSigned. Den här konfigurationen låter dock alla osignerade skript köras när de lagras på den här servern (mindre säkra).

    Mer information om hur du signerar Windows PowerShell-skript finns i about_Signing i PowerShell-dokumentationsbiblioteket.

  4. Spara filen lokalt på varje filserver som kör Hanteraren för filresurs med filklassificeringsinfrastruktur. Spara till exempel filen i C:\RMS-Protection. Om du använder en annan sökväg eller mappnamn väljer du en sökväg och mapp som inte innehåller blanksteg. Skydda den här filen med hjälp av NTFS-behörigheter så att obehöriga användare inte kan ändra den.

Nu är du redo att börja konfigurera Hanteraren för filserverresurser.

Skapa en klassificeringsegenskap för Rights Management (RMS)

  • I Hanteraren för filserverresurser, Klassificeringshantering, skapar du en ny lokal egenskap:

    • Namn: Skriv RMS

    • Beskrivning: Ange Rights Management-skydd

    • Egenskapstyp: Välj Ja/Nej

    • Värde: Välj Ja

Nu kan vi skapa en klassificeringsregel som använder den här egenskapen.

Skapa en klassificeringsregel (Klassificera för RMS)

  • Skapa en ny klassificeringsregel:

    • På fliken Allmänt:

      • Namn: Typklassificera för RMS

      • Aktiverad: Behåll standardvärdet, vilket är att den här kryssrutan är markerad.

      • Beskrivning: Skriv Klassificera alla filer i <mappen mappnamn> för Rights Management.

        Ersätt <mappnamnet> med det valda mappnamnet. Klassificera till exempel alla filer i mappen C:\FileShare för Rights Management

      • Omfång: Lägg till den valda mappen. Till exempel C:\FileShare.

        Markera inte kryssrutorna.

    • På fliken Klassificering :

    • Klassificeringsmetod: Välj mappklassificerare

    • Egenskapsnamn : Välj RMS

    • Egenskapsvärde: Välj Ja

Även om du kan köra klassificeringsreglerna manuellt för pågående åtgärder vill du att den här regeln ska köras enligt ett schema så att nya filer klassificeras med RMS-egenskapen.

Konfigurera klassificeringsschemat

  • På fliken Automatisk klassificering :

    • Aktivera fast schema: Markera den här kryssrutan.

    • Konfigurera schemat för alla klassificeringsregler som ska köras, vilket inkluderar vår nya regel för att klassificera filer med RMS-egenskapen.

    • Tillåt kontinuerlig klassificering för nya filer: Markera den här kryssrutan så att nya filer klassificeras.

    • Valfritt: Gör andra ändringar som du vill ha, till exempel att konfigurera alternativ för rapporter och meddelanden.

Nu när du har slutfört klassificeringskonfigurationen är du redo att konfigurera en hanteringsuppgift för att tillämpa RMS-skyddet på filerna.

Skapa en anpassad filhanteringsuppgift (Skydda filer med RMS)

  • I Filhanteringsuppgifter skapar du en ny filhanteringsuppgift:

    • På fliken Allmänt:

      • Uppgiftsnamn: Skriv Skydda filer med RMS

      • Behåll kryssrutan Aktivera markerad.

      • Beskrivning: Skriv Skydda filer i <mappnamn> med Rights Management och en mall med hjälp av ett Windows PowerShell-skript.

        Ersätt <mappnamnet> med det valda mappnamnet. Till exempel Skydda filer i C:\FileShare med Rights Management och en mall med hjälp av ett Windows PowerShell-skript

      • Omfång: Välj den valda mappen. Till exempel C:\FileShare.

        Markera inte kryssrutorna.

    • På fliken Åtgärd :

      • Typ: Välj Anpassad

      • Körbar: Ange följande:

        C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

        Om Windows inte finns på C:-enheten ändrar du den här sökvägen eller bläddrar till den här filen.

      • Argument: Ange följande och ange dina egna värden för <sökväg> och <mall-ID>:

        -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID <template GUID> -OwnerMail '[Source File Owner Email]'"

        Om du till exempel kopierade skriptet till C:\RMS-Protection och mall-ID:t som du identifierade från förutsättningarna är e6ee2481-26b9-45e5-b34a-f744eacd53b0 anger du följande:

        -Noprofile -Command "C:\RMS-Protection\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerMail '[Source File Owner Email]'"

        I det här kommandot är [Source File Path] och [Source File Owner Email] båda FCI-specifika variabler, så skriv dessa exakt som de visas i föregående kommando. Den första variabeln används av FCI för att automatiskt ange den identifierade filen i mappen, och den andra variabeln är att FCI automatiskt hämtar e-postadressen för den identifierade filens ägare. Det här kommandot upprepas för varje fil i mappen, som i vårt exempel är varje fil i mappen C:\FileShare som dessutom har RMS som en filklassificeringsegenskap.

        Kommentar

        Parametern -OwnerMail [Source File Owner Email] och -värdet säkerställer att den ursprungliga ägaren av filen beviljas Rights Management-ägaren av filen efter att den har skyddats. Den här konfigurationen säkerställer att den ursprungliga filägaren har alla Rights Management-rättigheter till sina egna filer. När filer skapas av en domänanvändare hämtas e-postadressen automatiskt från Active Directory med hjälp av användarnamnet i filens ägaregenskap. För att göra detta måste filservern finnas i samma domän eller betrodda domän som användaren.

        När det är möjligt tilldelar du de ursprungliga ägarna till skyddade dokument för att säkerställa att dessa användare fortsätter att ha fullständig kontroll över de filer som de skapade. Men om du använder variabeln [Källa filägare e-post] som i föregående kommando, och en fil inte har en domänanvändare definierad som ägare (till exempel ett lokalt konto användes för att skapa filen, så ägaren visar SYSTEM), misslyckas skriptet.

        För filer som inte har en domänanvändare som ägare kan du antingen kopiera och spara dessa filer själv som domänanvändare, så att du blir ägare för bara dessa filer. Eller om du har behörigheter kan du ändra ägaren manuellt. Alternativt kan du ange en specifik e-postadress (till exempel din egen eller en gruppadress för IT-avdelningen) i stället för variabeln [E-post för källfilägare], vilket innebär att alla filer som du skyddar med hjälp av det här skriptet använder den här e-postadressen för att definiera den nya ägaren.

    • Kör kommandot som: Välj lokalt system

    • På fliken Villkor :

      • Egenskap: Välj RMS

      • Operator: Välj Lika med

      • Värde: Välj Ja

    • På fliken Schema:

      • Kör på: Konfigurera önskat schema.

        Tillåt gott om tid för skriptet att slutföras. Även om den här lösningen skyddar alla filer i mappen körs skriptet en gång för varje fil, varje gång. Även om det tar längre tid än att skydda alla filer samtidigt, vilket Azure Information Protection-klienten stöder, är den här fil-för-fil-konfigurationen för FCI mer kraftfull. Till exempel kan de skyddade filerna ha olika ägare (behålla den ursprungliga ägaren) när du använder variabeln [E-post för källfilägare] och den här fil-för-fil-åtgärden krävs om du senare ändrar konfigurationen för att selektivt skydda filer i stället för alla filer i en mapp.

      • Kör kontinuerligt på nya filer: Markera den här kryssrutan.

Testa konfigurationen genom att köra regeln och uppgiften manuellt

  1. Kör klassificeringsregeln:

    1. Klicka på Klassificeringsregler>Kör klassificering med alla regler nu

    2. Klicka på Vänta tills klassificeringen har slutförts och klicka sedan på OK.

  2. Vänta tills dialogrutan Kör klassificering stängs och visa sedan resultatet i den automatiskt visade rapporten. Du bör se 1 för fältet Egenskaper och antalet filer i mappen. Bekräfta genom att använda Utforskaren och kontrollera egenskaperna för filer i den valda mappen. På fliken Klassificering bör du se RMS som ett egenskapsnamn och Ja för dess värde.

  3. Kör filhanteringsuppgiften:

    1. Klicka på Filhanteringsuppgifter>Skydda filer med RMS>Kör filhanteringsaktivitet nu

    2. Klicka på Vänta tills aktiviteten har slutförts och klicka sedan på OK.

  4. Vänta tills dialogrutan Kör filhanteringsaktivitet stängs och visa sedan resultatet i den automatiskt visade rapporten. Du bör se antalet filer som finns i den valda mappen i fältet Filer . Bekräfta att filerna i den valda mappen nu skyddas av Rights Management. Om den valda mappen till exempel är C:\FileShare skriver du följande kommando i en Windows PowerShell-session och bekräftar att inga filer har statusen Oskyddad:

    foreach ($file in (Get-ChildItem -Path C:\FileShare -Force | where {!$_.PSIsContainer})) {Get-RMSFileStatus -f $file.PSPath}

    Dricks

    Några felsökningstips:

    • Om du ser 0 i rapporten, i stället för antalet filer i mappen, anger detta utdata att skriptet inte kördes. Kontrollera först själva skriptet genom att läsa in det i Windows PowerShell ISE för att verifiera skriptinnehållet och prova att köra det en gång i samma PowerShell-session för att se om några fel visas. Utan angivna argument försöker skriptet ansluta och autentisera till Azure Rights Management-tjänsten.

      • Om skriptet rapporterar att det inte kunde ansluta till Azure Rights Management-tjänsten (Azure RMS) kontrollerar du de värden som visas för tjänstens huvudkonto, som du angav i skriptet. Mer information om hur du skapar det här kontot för tjänstens huvudnamn finns i Krav 3: Skydda eller ta bort skyddet av filer utan interaktion från Azure Information Protection-klientadministratörsguiden.
      • Om skriptet rapporterar att det kan ansluta till Azure RMS kontrollerar du sedan att det kan hitta den angivna mallen genom att köra Get-RMSTemplate direkt från Windows PowerShell på servern. Du bör se den mall som du angav som returnerades i resultatet.

    • Om skriptet i sig körs i Windows PowerShell ISE utan fel kan du prova att köra det på följande sätt från en PowerShell-session och ange ett filnamn för att skydda och utan parametern -OwnerEmail:

      powershell.exe -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '<full path and name of a file>' -TemplateID <template GUID>"

      • Om skriptet körs i den här Windows PowerShell-sessionen kontrollerar du posterna för Executive och Argument i filhanteringsåtgärden. Om du har angett -OwnerEmail [Source File Owner Email] kan du prova att ta bort den här parametern.

        Om filhanteringsuppgiften fungerar utan -OwnerEmail [E-post för källfilägare], kontrollerar du att de oskyddade filerna har en domänanvändare listad som filägare i stället för SYSTEM. Om du vill göra den här kontrollen använder du fliken Säkerhet för filens egenskaper och klickar sedan på Avancerat. Värdet Ägare visas omedelbart efter filnamnet. Kontrollera också att filservern finns i samma domän eller en betrodd domän för att söka efter användarens e-postadress från Active Directory-domän Services.

    • Om du ser rätt antal filer i rapporten men filerna inte är skyddade kan du försöka skydda filerna manuellt med hjälp av cmdleten Protect-RMSFile för att se om några fel visas.

När du har bekräftat att de här uppgifterna har körts kan du stänga Hanteraren för filresurser. Nya filer klassificeras och skyddas automatiskt när schemalagda aktiviteter körs.

Åtgärd krävs om du gör ändringar i Rights Management-mallen

Om du gör ändringar i Rights Management-mallen som skriptet refererar till, hämtar datorkontot som kör skriptet för att skydda filerna inte automatiskt den uppdaterade mallen. Leta upp det kommenterade Get-RMSTemplate -Force kommandot i funktionen Set-RMS Anslut ion i skriptet och ta bort kommentarstecknet i början av raden. Nästa gång skriptet körs laddas den uppdaterade mallen ned. Om du vill optimera prestanda så att mallar inte laddas ned i onödan kan du kommentera ut den här raden igen.

Om ändringarna i mallen är tillräckligt viktiga för att återaktivera skyddet av filerna på filservern kan du göra detta interaktivt genom att köra cmdleten Protect-RMSFile med ett konto som har användningsrättigheterna Exportera eller Fullständig kontroll för filerna.

Kör även den här raden i skriptet om du publicerar en ny mall som du vill använda för FCI och ändrar mall-ID:t på argumentraden för den anpassade filhanteringsaktiviteten.

Ändra anvisningarna för att selektivt skydda filer

När du har de föregående instruktionerna som fungerar är det sedan enkelt att ändra dem för en mer avancerad konfiguration. Du kan till exempel skydda filer med samma skript men bara för filer som innehåller personlig identifierbar information och kanske välja en mall som har mer restriktiva rättigheter.

Om du vill göra den här ändringen använder du en av de inbyggda klassificeringsegenskaperna (till exempel personligt identifierbar information) eller skapar en egen ny egenskap. Skapa sedan en ny regel som använder den här egenskapen. Du kan till exempel välja innehållsklassificeraren, välja egenskapen Personligt identifierbar information med värdet Hög och konfigurera sträng- eller uttrycksmönstret som identifierar filen som ska konfigureras för den här egenskapen (till exempel strängen "Födelsedatum").

Nu behöver du bara skapa en ny filhanteringsuppgift som använder samma skript, men kanske med en annan mall, och konfigurera villkoret för den klassificeringsegenskap som du just har konfigurerat. I stället för det villkor som vi konfigurerade tidigare (RMS-egenskapen, Lika med, Ja) väljer du till exempel egenskapen Personligt identifierbar information med operatorvärdet inställt på Lika och Värdet för Hög.

Nästa steg

Du kanske undrar: Vad är skillnaden mellan Windows Server FCI och Azure Information Protection-skannern?