Yönetici Kılavuzu: Azure Information Protection istemcisi ile PowerShell’i kullanmaAdmin Guide: Using PowerShell with the Azure Information Protection client

Uygulama hedefi: Active Directory Rights Management Services Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

Yönergeler için: Windows için Azure Information Protection istemcisiInstructions for: Azure Information Protection client for Windows

PowerShell komutları, Azure Information Protection istemcisini yüklediğinizde otomatik olarak yüklenir.When you install the Azure Information Protection client, PowerShell commands are automatically installed. Bu Otomasyon betikleri içine koyabilirsiniz komutları çalıştırarak istemciyi yönetmenize olanak sağlar.This lets you manage the client by running commands that you can put into scripts for automation.

Cmdlet’ler PowerShell’in AzureInformationProtection modülüyle birlikte yüklenir.The cmdlets are installed with the PowerShell module AzureInformationProtection. Bu modül (artık desteklenmiyor) RMS koruma aracında bulunan tüm Rights Management cmdlet'leri içerir.This module includes all the Rights Management cmdlets from the RMS Protection Tool (no longer supported). Etiketleme için Azure Information Protection kullanan cmdlet'leri vardır.There are also cmdlets that use Azure Information Protection for labeling. Örneğin:For example:

Etiketleme cmdlet'iLabeling cmdlet Örnek kullanımExample usage
Get-AIPFileStatusGet-AIPFileStatus Paylaşılan bir klasörde belirli bir etikete sahip tüm dosyaları belirler.For a shared folder, identify all files with a specific label.
Set-AIPFileClassificationSet-AIPFileClassification Paylaşılan klasör için, dosya içeriğini inceler ve belirttiğiniz koşullara uygun olarak, etiketsiz dosyaları otomatik olarak etiketler.For a shared folder, inspect the file contents and then automatically label unlabeled files, according to the conditions that you have specified.
Set-AIPFileLabelSet-AIPFileLabel Paylaşılan bir klasörde etiketi olmayan tüm dosyalara belirlenen bir etiketi uygular.For a shared folder, apply a specified label to all files that do not have a label.
Set-AıpauthenticationSet-AIPAuthentication Dosyaları etkileşimli olmayan örneğin bir zamanlamaya göre çalışan bir komut kullanarak etiketleyin.Label files non-interactively, for example by using a script that runs on a schedule.

İpucu

Yol uzunluğu 260 karakterden uzun olan cmdlet'lerini kullanmak için aşağıdakileri kullanın Grup İlkesi ayarı diğer bir deyişle kullanılabilir başlayan Windows 10, sürüm 1607'ye:To use cmdlets with path lengths greater than 260 characters, use the following group policy setting that is available starting Windows 10, version 1607:
Yerel Bilgisayar İlkesi > Bilgisayar Yapılandırması > Yönetim Şablonları > tüm ayarlar > Etkinleştirme Win32 uzun yollarLocal Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

Windows 10 için en son Yönetim Şablonları (.admx) yüklediğinizde, Windows Server 2016 için aynı Grup İlkesi ayarını kullanabilirsiniz.For Windows Server 2016, you can use the same group policy setting when you install the latest Administrative Templates (.admx) for Windows 10.

Daha fazla bilgi için en yüksek yol uzunluğu kısıtlaması bölümünden Windows 10 Geliştirici belgeleri.For more information, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

Azure Information Protection ilkesini Azureınformationprotection modülü cmdlet'lerini yüklemek ve Windows Server üzerinde bir hizmeti yapılandırmak için kullanır.The Azure Information Protection scanner uses cmdlets from the AzureInformationProtection module to install and configure a service on Windows Server. Bu tarayıcı ardından bulmak, sınıflandırmak ve veri depoları üzerindeki dosyaları koruma sağlar.This scanner then lets you discover, classify, and protect files on data stores.

Tüm cmdlet'lerin listesi ve bunlara karşılık gelen Yardım için bkz. AzureInformationProtection Modülü.For a list of all the cmdlets and their corresponding help, see AzureInformationProtection Module. Bir PowerShell oturumunda yazın Get-Help <cmdlet name> -online en son Yardım görmek için.Within a PowerShell session, type Get-Help <cmdlet name> -online to see the latest help.

Bu modül, \ProgramFiles (x86)\Microsoft Azure Information Protection konumuna yüklenir ve bu klasörü PSModulePath sistem değişkenine ekler.This module installs in \ProgramFiles (x86)\Microsoft Azure Information Protection and adds this folder to the PSModulePath system variable. Bu modüle ait .dll dosyası, AIP.dll adındadır .The .dll for this module is named AIP.dll.

Şu anda, bir kullanıcı olarak modülünü yüklemek ve başka bir kullanıcı olarak aynı bilgisayarda cmdlet'leri çalıştırın, ilk çalıştırmalısınız Import-Module AzureInformationProtection komutu.Currently, if you install the module as one user and run the cmdlets on the same computer as another user, you must first run the Import-Module AzureInformationProtection command. Bir cmdlet'i ilk kez çalıştırdığınızda bu senaryoda sorsorgu modül değil.In this scenario, the module doesn't autoload when you first run a cmdlet.

Azureınformationprotection modülünün geçerli sürümünde aşağıdaki sınırlamalara sahiptir:The current release of the AzureInformationProtection module has the following limitations:

  • Outlook kişisel klasörlerinin (.pst dosyaları) korumasını kaldırabilirsiniz, ancak şu anda bu dosyaları veya diğer kapsayıcı dosyalarını bu PowerShell modülünü kullanıp yerel olarak koruyamazsınız.You can unprotect Outlook personal folders (.pst files), but you cannot currently natively protect these files or other container files by using this PowerShell module.

  • Bir Outlook kişisel klasöründe (.pst) yer alan korumalı Outlook e-posta iletilerinin (.rpmsg dosyaları) korumasını kaldırabilirsiniz, ancak kişisel bir klasörün dışındayken .rpmsg dosyalarının korumasını kaldıramazsınız.You can unprotect Outlook protected email messages (.rpmsg files) when they are in an Outlook personal folder (.pst), but you cannot unprotect .rpmsg files outside a personal folder.

Bu cmdlet'leri kullanmaya başlamadan önce dağıtımınızla ilgili ek önkoşullara ve yönergelere göz atın:Before you start to use these cmdlets, see the additional prerequisites and instructions that corresponds to your deployment:

  • Azure Information Protection ve Azure Rights Management hizmetiAzure Information Protection and Azure Rights Management service

    • Yalnızca sınıflandırma kullanıyorsanız geçerlidir veya Rights Management koruması ile sınıflandırma: Azure Information Protection (örneğin, Enterprise Mobility + Security) içeren bir Aboneliğim var.Applicable if you use classification-only or classification with Rights Management protection: You have a subscription that includes Azure Information Protection (for example, Enterprise Mobility + Security).
    • Azure Rights Management hizmeti ile yalnızca koruma kullanıyorsanız geçerlidir: Azure Rights Management hizmetini (örneğin, Office 365 E3 ve Office 365 E5) içeren bir Aboneliğim var.Applicable if you use protection-only with the Azure Rights Management service: You have a subscription that includes the Azure Rights Management service (for example, Office 365 E3 and Office 365 E5).
  • Active Directory Rights Management ServicesActive Directory Rights Management Services

    • Azure Rights Management'ın şirket içi sürümü olan Active Directory Rights Management Services (AD RMS) ile yalnızca koruma kullanıyorsanız geçerlidir.Applicable if you use protection-only with the on-premises version of Azure Rights Management; Active Directory Rights Management Services (AD RMS).

Azure Information Protection ve Azure Rights Management hizmetiAzure Information Protection and Azure Rights Management service

Kuruluşunuz Azure Information Protection sınıflandırma ve koruma veya veri koruma için yalnızca Azure Rights Management hizmetini kullanıyorsa PowerShell komutlarını kullanmaya başlamadan önce bu bölümü okuyun.Read this section before you start using the PowerShell commands when your organization uses Azure Information Protection for classification and protection, or just the Azure Rights Management service for data protection.

ÖnkoşullarPrerequisites

Azureınformationprotection modülünü yükleme önkoşullarının yanı sıra, Azure Information Protection etiketleme için ek önkoşulları ve Azure Rights Management veri koruma hizmeti vardır:In addition to the prerequisites for installing the AzureInformationProtection module, there are additional prerequisites for Azure Information Protection labeling and the Azure Rights Management data protection service:

  1. Azure Rights Management hizmetinin etkinleştirilmesi gerekir.The Azure Rights Management service must be activated.

  2. Kendi hesabınızı kullanarak başkaları adına dosyaların korumasını kaldırmak için:To remove protection from files for others using your own account:

    • Kuruluşunuz için süper kullanıcı özelliğinin etkinleştirilmesi ve hesabınızın Azure Rights Management için süper kullanıcı olacak şekilde yapılandırılması gerekir.The super user feature must be enabled for your organization and your account must be configured to be a super user for Azure Rights Management.
  3. Kullanıcı etkileşimi olmadan doğrudan dosya korumak veya dosya korumasını kaldırmak için:To directly protect or unprotect files without user interaction:

    • Bir hizmet sorumlusu hesabı oluşturun ve Set-RMSServerAuthentication cmdlet'ini çalıştırın. Bu hizmet sorumlusunu Azure Rights Management için bir süper kullanıcı yapmanız faydalı olabilir.Create a service principal account, run Set-RMSServerAuthentication, and consider making this service principal a super user for Azure Rights Management.
  4. Kuzey Amerika dışındaki bölgeler için:For regions outside North America:

    • Hizmet bulma kayıt defterini düzenleyin.Edit the registry for service discovery.

1. önkoşul: Azure Rights Management hizmetinin etkinleştirilmesi gerekirPrerequisite 1: The Azure Rights Management service must be activated

Veri korumayı uygulamak için etiketleri kullanmanız veya veri koruması uygulamak için doğrudan Azure Rights Management hizmetine bağlanmanız fark etmeksizin bu önkoşul geçerlidir.This prerequisite applies whether you apply the data protection by using labels or by directly connecting to the Azure Rights Management service to apply the data protection.

Azure Information Protection kiracınız etkinleştirilmemişse Azure Rights Management’ı etkinleştirme makalesindeki yönergeleri uygulayın.If your Azure Information Protection tenant is not activated, see the instructions for Activating Azure Rights Management.

2. önkoşul: Kendi hesabınızı kullanarak başkaları adına dosyaların korumasını kaldırmak içinPrerequisite 2: To remove protection from files for others using your own account

Başkaları adına dosyaların korumasını kaldırmayı gerektiren tipik senaryolar arasında veri keşfi ve veri kurtarma sayılabilir.Typical scenarios for removing protection from files for others include data discovery or data recovery. Korumayı uygulamak için etiketler kullanılıyorsa, koruma uygulamayan yeni bir etiket ayarlayarak veya koruma uygulayan etiketi kaldırarak korumayı kaldırabilirsiniz.If you are using labels to apply the protection, you could remove the protection by setting a new label that doesn't apply protection or by removing the label. Ancak, korumayı kaldırmak için büyük olasılıkla doğrudan Azure Rights Management hizmetine bağlanırsınız.But you will more likely connect directly to the Azure Rights Management service to remove the protection.

Dosyaların korumasını kaldırmak için Rights Management kullanım haklarına sahip olmanız veya bir süper kullanıcı olmanız gerekir.You must have a Rights Management usage right to remove protection from files, or be a super user. Veri keşfi veya veri kurtarma için genellikle süper kullanıcı özelliği kullanılır.For data discovery or data recovery, the super user feature is typically used. Bu özelliği etkinleştirmek ve hesabınızı süper kullanıcı olacak şekilde yapılandırmak için bkz. Azure Rights Management ve Keşif Hizmetleri veya Veri Kurtarma için süper kullanıcı yapılandırma.To enable this feature and configure your account to be a super user, see Configuring super users for Azure Rights Management and Discovery Services or Data Recovery.

3. önkoşul: Dosya korumak veya kullanıcı etkileşimi olmadan dosya korumasını kaldırmak içinPrerequisite 3: To protect or unprotect files without user interaction

Etkileşimli olmayan dosya korumak veya dosya korumasını kaldırmak için doğrudan Azure Rights Management hizmetine bağlanabilirsiniz.You can connect directly to the Azure Rights Management service non-interactively to protect or unprotect files.

Kullanarak bunu etkileşimsiz olarak Azure Rights Management hizmetine bağlanmak için bir hizmet sorumlusu hesabı kullanmalısınız Set-RMSServerAuthentication cmdlet'i.You must use a service principal account to connect to the Azure Rights Management service non-interactively, which you do by using the Set-RMSServerAuthentication cmdlet. Bunu, doğrudan Azure Rights Management hizmetine bağlanan cmdlet’ler çalıştıran tüm Windows PowerShell oturumları için yapmanız gerekir.You must do this for each Windows PowerShell session that runs cmdlets that directly connect to the Azure Rights Management service. Bu cmdlet'i çalıştırmadan önce aşağıdaki üç tanımlayıcıyı olması gerekir:Before you run this cmdlet, you must have these three identifiers:

  • BposTenantIdBposTenantId

  • AppPrincipalIdAppPrincipalId

  • Simetrik AnahtarSymmetric Key

Değerleri tanımlayıcıları için otomatik olarak almak ve Set-RMSServerAuthentication cmdlet'ini çalıştırmak için aşağıdaki PowerShell komutlarını ve açıklamalı yönergeleri kullanabilirsiniz.You can use the following PowerShell commands and commented instructions to automatically get the values for the identifiers and run the Set-RMSServerAuthentication cmdlet. Veya el ile alın ve değerleri belirtin.Or, you can manually get and specify the values.

Otomatik olarak değerlerini alın ve Set-RMSServerAuthentication çalıştırmak için:To automatically get the values and run Set-RMSServerAuthentication:

# Make sure that you have the AADRM and MSOnline modules installed

$ServicePrincipalName="<new service principal name>"
Connect-AadrmService
$bposTenantID=(Get-AadrmConfiguration).BPOSId
Disconnect-AadrmService
Connect-MsolService
New-MsolServicePrincipal -DisplayName $ServicePrincipalName

# Copy the value of the generated symmetric key

$symmetricKey="<value from the display of the New-MsolServicePrincipal command>"
$appPrincipalID=(Get-MsolServicePrincipal | Where { $_.DisplayName -eq $ServicePrincipalName }).AppPrincipalId
Set-RMSServerAuthentication -Key $symmetricKey -AppPrincipalId $appPrincipalID -BposTenantId $bposTenantID

Sonraki bölümlerde, el ile almak ve her biri hakkında daha fazla bilgi bu değerleri belirtmek açıklanmaktadır.The next sections explain how to manually get and specify these values, with more information about each one.

BposTenantId tanımlayıcısını elde etmek içinTo get the BposTenantId

Azure RMS Windows PowerShell modülünde Get-AadrmConfiguration cmdlet'ini çalıştırın:Run the Get-AadrmConfiguration cmdlet from the Azure RMS Windows PowerShell module:

  1. Bu modül bilgisayarınızda zaten yüklü değilse bkz AADRM PowerShell modülünü yükleme.If this module is not already installed on your computer, see Installing the AADRM PowerShell module.

  2. Windows PowerShell’i, Yönetici olarak çalıştır seçeneğiyle başlatın.Start Windows PowerShell with the Run as Administrator option.

  3. Connect-AadrmService cmdlet’ini kullanarak Azure Rights Management hizmetine bağlanın:Use the Connect-AadrmService cmdlet to connect to the Azure Rights Management service:

     Connect-AadrmService
    

    İstendiğinde Azure Information Protection Kiracı Yöneticisi kimlik bilgilerinizi girin.When prompted, enter your Azure Information Protection tenant administrator credentials. Genellikle, Azure Active Directory veya Office 365 için genel yönetici olan bir hesap kullanın.Typically, you use an account that is a global administrator for Azure Active Directory or Office 365.

  4. Get-AadrmConfiguration cmdlet’ini çalıştırın ve BPOSId değerini not edin.Run Get-AadrmConfiguration and make a copy of the BPOSId value.

    Get-AadrmConfiguration bir örnek çıktı:An example of output from Get-AadrmConfiguration:

         BPOSId                                   : 23976bc6-dcd4-4173-9d96-dad1f48efd42
    
         RightsManagement ServiceId               : 1a302373-f233-440600909-4cdf305e2e76
    
         LicensingIntranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
         LicensingExtranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
         CertificationIntranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
         CertificationExtranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
  5. Hizmetle bağlantıyı kesin:Disconnect from the service:

     Disconnect-AadrmService
    
AppPrincipalId ve Simetrik Anahtar tanımlayıcılarını elde etmek içinTo get the AppPrincipalId and Symmetric Key

Azure Active Directory için MSOnline PowerShell modülünden New-MsolServicePrincipal cmdlet‘ini çalıştırarak yeni bir hizmet sorumlusu oluşturun ve aşağıdaki yönergeleri izleyin.Create a new service principal by running the New-MsolServicePrincipal cmdlet from the MSOnline PowerShell module for Azure Active Directory and use the following instructions.

Önemli

Bu hizmet sorumlusunu oluşturmak için New-AzureADServicePrincipal adlı yeni Azure AD PowerShell cmdlet’ini kullanmayın.Do not use the newer Azure AD PowerShell cmdlet, New-AzureADServicePrincipal, to create this service principal. Azure Rights Management hizmeti, New-AzureADServicePrincipal cmdlet’ini desteklemez.The Azure Rights Management service does not support New-AzureADServicePrincipal.

  1. MSOnline modülü bilgisayarınızda yüklü değilse Install-Module MSOnline cmdlet’ini çalıştırın.If the MSOnline module is not already installed on your computer, run Install-Module MSOnline.

  2. Windows PowerShell’i, Yönetici olarak çalıştır seçeneğiyle başlatın.Start Windows PowerShell with the Run as Administrator option.

  3. Connect-MsolService cmdlet'ini kullanarak Azure AD'ye bağlanın:Use the Connect-MsolService cmdlet to connect to Azure AD:

     Connect-MsolService
    

    İstendiğinde Azure AD Kiracı Yöneticisi kimlik bilgilerinizi girin (genellikle, Azure Active Directory veya Office 365 için genel yönetici olan bir hesap kullanırsınız).When prompted, enter your Azure AD tenant administrator credentials (typically, you use an account that is a global administrator for Azure Active Directory or Office 365).

  4. New-MsolServicePrincipal cmdlet‘ini çalıştırarak yeni bir hizmet sorumlusu oluşturun:Run the New-MsolServicePrincipal cmdlet to create a new service principal:

     New-MsolServicePrincipal
    

    İstendiğinde, bu hizmet sorumlusu için kullanmak istediğiniz görünen adı girin. Bu ad, daha sonra dosya korumak veya dosya korumasını kaldırmak için Azure Rights Management hizmetine bağlanırken kullanmanız gereken hesap olarak bu hizmet sorumlusunu belirlemenize yardımcı olacaktır.When prompted, enter your choice of a display name for this service principal that helps you to identify its purpose later as an account for you to connect to the Azure Rights Management service so that you can protect and unprotect files.

    New-MsolServicePrincipal çıktısının örneği:An example of the output of New-MsolServicePrincipal:

     Supply values for the following parameters:
    
     DisplayName: AzureRMSProtectionServicePrincipal
     The following symmetric key was created as one was not supplied
     zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=
    
     Display Name: AzureRMSProtectionServicePrincipal
     ServicePrincipalNames: (b5e3f7g1-b5c2-4c96-a594-a0807f65bba4)
     ObjectId: 23720996-593c-4122-bfc7-1abb5a0b5109
     AppPrincialId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4
     TrustedForDelegation: False
     AccountEnabled: True
     Addresses: ()
     KeyType: Symmetric
     KeyId: 8ef61651-ca11-48ea-a350-25834a1ba17c
     StartDate: 3/7/2014 4:43:59 AM
     EndDate: 3/7/2014 4:43:59 AM
     Usage: Verify
    
  5. Bu çıktıdan, simetrik anahtarı ve AppPrincialId değerini not edin.From this output, make a note of the symmetric key and the AppPrincialId.

    Bu simetrik anahtarın bir kopyasını şimdi yapmak önemlidir.It is important that you make a copy of this symmetric key, now. Ardından Azure Rights Management hizmetinde kimlik doğrulaması gerektiğinde, bunu bilmiyorsanız, yeni bir hizmet sorumlusu oluşturmanız gerekir, böylece daha sonra bu anahtarı alınamıyor.You cannot retrieve this key later, so if you do not know it when you next need to authenticate to the Azure Rights Management service, you will have to create a new service principal.

Bu yönergeler ve örnekler sonucunda, Set-RMSServerAuthentication cmdlet’ini çalıştırmak için gereken üç tanımlayıcıyı elde ettik:From these instructions and our examples, we have the three identifiers required to run Set-RMSServerAuthentication:

  • Kiracı kimliği: 23976bc6-dcd4-4173-9d96-dad1f48efd42Tenant Id: 23976bc6-dcd4-4173-9d96-dad1f48efd42

  • Simetrik anahtar: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA =Symmetric key: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=

  • AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4

Bu durumda örnek komutumuz aşağıdaki gibi görünür:Our example command would then look like the following:

Set-RMSServerAuthentication -Key zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=-AppPrincipalId b5e3f76a-b5c2-4c96-a594-a0807f65bba4-BposTenantId 23976bc6-dcd4-4173-9d96-dad1f48efd42

Önceki komutta gösterildiği gibi etkileşimli olmayan çalıştırmak için bir betikte yaptığınız bir tek komutla değerleri sağlayabilirsiniz.As shown in the previous command, you can supply the values with a single command, which you would do in a script to run non-interactively. Ancak test amacıyla, yalnızca Set-RMSServerAuthentication yazın ve bir istendiğinde tek değerler sağlayın.But for testing purposes, you can just type Set-RMSServerAuthentication, and supply the values one-by-one when prompted. Komut tamamlandığında, istemci "betikleri ve Windows Server dosya sınıflandırma altyapısı gibi etkileşimli olmayan kullanım için uygun olan sunucu modunda" şimdi çalışıyor.When the command completes, the client is now operating in "server mode", which is suitable for non-interactive use such as scripts and Windows Server File Classification Infrastructure.

Bu hizmet sorumlusu hesabı süper kullanıcı yapmayı göz önüne alın: Bu hizmet sorumlusu hesabı her zaman dosyaların başkaları için korumasını emin olmak için bir süper kullanıcı olacak şekilde yapılandırılabilir.Consider making this service principal account a super user: To ensure that this service principal account can always unprotect files for others, it can be configured to be a super user. Aynı şekilde bir standart kullanıcı hesabı, bir süper kullanıcı olacak şekilde yapılandırırken aynı Azure RMS cmdlet'ini kullanın Add-AadrmSuperUser, ancak Serviceprincipalıd parametresiyle, Appprincipalıd değeri.In the same way as you configure a standard user account to be a super user, you use the same Azure RMS cmdlet, Add-AadrmSuperUser, but specify the ServicePrincipalId parameter with your AppPrincipalId value.

Süper kullanıcılar hakkında daha fazla bilgi edinmek için bkz. Azure Rights Management ve keşif hizmetleri ya da veri kurtarma için süper kullanıcılar yapılandırma.For more information about super users, see Configuring super users for Azure Rights Management and discovery services or data recovery.

Not

Azure Rights Management hizmetinde kimlik doğrularken kendi hesabınızı kullanmak için, dosyaları korumadan veya dosyaların korumasını kaldırmadan önce, Set-RMSServerAuthentication komutunun çalıştırılmasına veya şablon alınmasına gerek yoktur.To use your own account to authenticate to the Azure Rights Management service, there's no need to run Set-RMSServerAuthentication before you protect or unprotect files, or get templates.

4. önkoşul: Kuzey Amerika dışındaki bölgeler içinPrerequisite 4: For regions outside North America

Dosya korumak ve şablonları Azure Kuzey Amerika bölgesi dışında indirmek için bir hizmet sorumlusu hesabı kullandığınızda, kayıt defterini düzenlemeniz gerekir:When you use a service principal account to protect files and download templates outside the Azure North America region, you must edit the registry:

  1. Yeniden Get-AadrmConfiguration cmdlet'ini çalıştırıp CertificationExtranetDistributionPointUrl ve LicensingExtranetDistributionPointUrl değerlerini not edin.Run the Get-AadrmConfiguration cmdlet again, and make a note of the values for CertificationExtranetDistributionPointUrl and LicensingExtranetDistributionPointUrl.

  2. Azureınformationprotection cmdlet'lerini çalıştıracağınız her bilgisayarda, Kayıt Defteri Düzenleyicisi'ni açın.On each computer where you will run the AzureInformationProtection cmdlets, open the registry editor.

  3. Aşağıdaki yola gidin: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation.Navigate to the following path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation.

    Görmüyorsanız, MSIPC anahtarı veya ServiceLocation anahtar, bunları oluşturun.If you do not see the MSIPC key or ServiceLocation key, create them.

  4. ServiceLocation anahtarı için, mevcut değillerse EnterpriseCertification ve EnterprisePublishing adlı iki anahtar oluşturun.For the ServiceLocation key, create two keys if they do not exist, named EnterpriseCertification and EnterprisePublishing.

    Bu anahtarları için otomatik olarak oluşturulan bir dize değeri için "(varsayılan)" adını değiştirmeyin ancak değer ayarlamak için dize Düzenle:For the string value that's automatically created for these keys, do not change the Name of "(Default)", but edit the string to set the Value data:

    • EnterpriseCertification için CertificationExtranetDistributionPointUrl değerinizi yapıştırın.For EnterpriseCertification, paste your CertificationExtranetDistributionPointUrl value.

    • EnterprisePublishing için LicensingExtranetDistributionPointUrl değerinizi yapıştırın.For EnterprisePublishing, paste your LicensingExtranetDistributionPointUrl value.

      Örneğin, kayıt defteri girdinizde EnterpriseCertification aşağıdakine benzer görünmelidir:For example, your registry entry for EnterpriseCertification should look similar to the following:

      Kuzey Amerika dışındaki bölgeler için Azure Information Protection PowerShell modülü için kayıt defterini düzenleme

  5. Kayıt defteri düzenleyicisini kapatın.Close the registry editor. Bilgisayarınızı yeniden başlatmanıza gerek yoktur.There is no need to restart your computer. Ancak, kendi kullanıcı hesabınız yerine bir hizmet asıl hesabı kullanıyorsanız bu kayıt defteri düzenlemesini yaptıktan sonra Set-RMSServerAuthentication komutunu çalıştırmanız gerekir.However, if you are using a service principal account rather than your own user account, you must run the Set-RMSServerAuthentication command after making this registry edit.

Azure Information Protection ve Azure Rights Management hizmeti için cmdlet'lerin kullanılmasıyla ilgili örnek senaryolarExample scenarios for using the cmdlets for Azure Information protection and the Azure Rights Management service

Başlarına veya birlikte çalışabilen gereken, yalnızca iki cmdlet olduğundan dosyaları, Sınıflandırma ve koruma için etiketleri kullanmak daha verimlidir: Get-Aıpfilestatus ve Set-Aıpfilelabel.It's more efficient to use labels to classify and protect files, because there are just two cmdlets that you need, which can be run by themselves or together: Get-AIPFileStatus and Set-AIPFileLabel. Daha fazla bilgiye ve örneklere bakmak için bu iki cmdlet'e ilişkin yardımı kullanın.Use the help for both these cmdlets for more information and examples.

Ancak, Azure Rights Management hizmetine doğrudan bağlanarak dosya korumak veya dosya korumasını kaldırmak için genellikle aşağıda açıklandığı gibi bir dizi cmdlet çalıştırmanız gerekir.However, to protect or unprotect files by directly connecting to the Azure Rights Management service, you must typically run a series of cmdlets as described next.

Olarak kendi hesabınızı bir PowerShell oturumunda kullanmak yerine Azure Rights Management hizmeti ile bir hizmet sorumlusu hesabı için kimlik doğrulaması gerekiyorsa, ilk olarak, yazın:First, if you need to authenticate to the Azure Rights Management service with a service principal account rather than use your own account, in a PowerShell session, type:

Set-RMSServerAuthentication

İstendiğinde, açıklanan şekilde üç tanımlayıcıyı girin 3. önkoşul: Dosya korumak veya kullanıcı etkileşimi olmadan dosya korumasını kaldırmak için.When prompted, enter the three identifiers as described in Prerequisite 3: To protect or unprotect files without user interaction.

Dosyaları koruyabilmeniz için önce Rights Management şablonlarını bilgisayarınıza indirip kullanılacak şablonu ve bunun kimlik numarasını belirlemeniz gerekir.Before you can protect files, you must download the Rights Management templates to your computer and identify which one to use and its corresponding ID number. Ardından, çıktıdan şablon kimliğini kopyalayabilirsiniz:From the output, you can then copy the template ID:

Get-RMSTemplate

Çıktınız aşağıdakine benzer görünecektir:Your output might look similar to the following:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True

TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Set-RMSServerAuthentication komutunu çalıştırmadıysanız Azure Rights Management hizmetinde kimliğinizin kendi kullanıcı hesabınız kullanılarak doğrulanacağını unutmayın.Note that if you didn't run the Set-RMSServerAuthentication command, you are authenticated to the Azure Rights Management service by using your own user account. Etki alanına katılmış bir bilgisayar kullanıyorsanız her zaman otomatik olarak geçerli kimlik bilgileriniz kullanılır.If you are on a domain-joined computer, your current credentials are always used automatically. Bir çalışma grubu bilgisayarı kullanıyorsanız Azure'da oturum açmanız istenir ve bu kimlik bilgileri daha sonraki komutlarda kullanılmak üzere önbelleğe alınır.If you are on a workgroup computer, you are prompted to sign in to Azure, and these credentials are then cached for subsequent commands. Bu senaryoda, daha sonra farklı bir kullanıcı olarak oturum açmanız gerekirse Clear-RMSAuthentication cmdlet'ini kullanın.In this scenario, if you later need to sign in as a different user, use the Clear-RMSAuthentication cmdlet.

Artık şablon kimliğini bildiğinize göre bu kimliği Protect-RMSFile cmdlet'i ile kullanarak tek bir dosyayı veya bir klasördeki tüm dosyaları koruyabilirsiniz.Now you know the template ID, you can use it with the Protect-RMSFile cmdlet to protect a single file or all files in a folder. Örneğin, yalnızca tek bir dosyayı korumak ve özgün dosyanın üzerine yazmak istiyorsanız "Contoso, Ltd - Gizli" şablonunu kullanabilirsiniz:For example, if you want to protect a single file only and overwrite the original, by using the "Contoso, Ltd - Confidential" template:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

Çıktınız aşağıdakine benzer görünecektir:Your output might look similar to the following:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

Bir klasördeki tüm dosyaları korumak için -Folder parametresiyle birlikte bir sürücü harfi ve yolu veya UNC yolunu kullanın.To protect all files in a folder, use the -Folder parameter with a drive letter and path, or UNC path. Örneğin:For example:

Protect-RMSFile -Folder \Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

Çıktınız aşağıdakine benzer görünecektir:Your output might look similar to the following:

InputFile                          EncryptedFile
---------                          -------------
\Server1\Documents\Test1.docx     \Server1\Documents\Test1.docx
\Server1\Documents\Test2.docx     \Server1\Documents\Test2.docx
\Server1\Documents\Test3.docx     \Server1\Documents\Test3.docx
\Server1\Documents\Test4.docx     \Server1\Documents\Test4.docx

Koruma uygulanmasının ardından dosya adı uzantısı değişmezse daha sonra Get-RMSFileStatus cmdlet'ini kullanarak dosyanın korunup korunmadığını kontrol edebilirsiniz.When the file name extension does not change after the protection is applied, you can always use the Get-RMSFileStatus cmdlet later to check whether the file is protected. Örneğin:For example:

Get-RMSFileStatus -File \Server1\Documents\Test1.docx

Çıktınız aşağıdakine benzer görünecektir:Your output might look similar to the following:

FileName                              Status
--------                              ------
\Server1\Documents\Test1.docx         Protected

Bir dosyanın korumasını kaldırma için dosyanın korumaya gelen sahip veya ayıklama haklarınızın olması gerekir.To unprotect a file, you must have Owner or Extract rights from when the file was protected. Ya da cmdlet'leri süper kullanıcı olarak çalıştırmanız gerekir.Or, you must run the cmdlets as a super user. Bu durumda, Unprotect cmdlet'ini kullanın.Then, use the Unprotect cmdlet. Örneğin:For example:

Unprotect-RMSFile C:\test.docx -InPlace

Çıktınız aşağıdakine benzer görünecektir:Your output might look similar to the following:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Rights Management şablonları değiştirildiğinde Get-RMSTemplate -force komutuyla tekrar indirmeniz gerektiğini unutmayın.Note that if the Rights Management templates are changed, you must download them again with Get-RMSTemplate -force.

Active Directory Rights Management Services'e tıklayınActive Directory Rights Management Services

Kuruluşunuz yalnızca Active Directory Rights Management Services kullanıyorsa dosya korumak veya dosya korumasını kaldırmak için PowerShell komutlarını kullanmaya başlamadan önce bu bölümü okuyun.Read this section before you start using the PowerShell commands to protect or unprotect files when your organization uses just Active Directory Rights Management Services.

ÖnkoşullarPrerequisites

Azureınformationprotection modülünü yükleme önkoşullarının yanı sıra dosya korumak veya dosya korumasını kaldırmak için kullanılan hesap ServerCertification.asmx dosyasına erişmek için okuma ve Yürütme izinleri olmalıdır:In addition to the prerequisites for installing the AzureInformationProtection module, the account used to protect or unprotect files must have Read and Execute permissions to access ServerCertification.asmx:

  1. Bir AD RMS sunucusunda oturum açın.Log on to an AD RMS server.

  2. Başlat'a ve ardından Bilgisayar'a tıklayın.Click Start, and then click Computer.

  3. Dosya Gezgini'nde %systemdrive%\Initpub\wwwroot_wmsc\Certification konumuna gidin.In File Explorer, navigate to %systemdrive%\Initpub\wwwroot_wmsc\Certification.

  4. ServerCertification.asmx dosyasına sağ tıklayıp Özellikler’e tıklayın.Right-click ServerCertification.asmx, then click Properties.

  5. ServerCertification.asmx Özellikler iletişim kutusunda Güvenlik sekmesine tıklayın.In the ServerCertification.asmx Properties dialog box, click the Security tab.

  6. Devam veya Düzenle düğmesine tıklayın.Click the Continue button or the Edit button.

  7. ServerCertification.asmx için İzinler iletişim kutusunda Ekle’ye tıklayın.In the Permissions for ServerCertification.asmx dialog box, click Add.

  8. Hesabınızın adını ekleyin.Add your account name. Diğer AD RMS yöneticileri veya hizmet hesapları da bu cmdlet'ler korumak ve dosya korumasını kaldırmak için kullanacaksanız, bu hesap ekleyin.If other AD RMS administrators or service accounts will also use these cmdlets to protect and unprotect files, add those accounts as well.

    Dosya korumak veya dosya etkileşimli olmayan korumasını kaldırmak için ilgili bilgisayar hesabı veya hesapları ekleyin.To protect or unprotect files non-interactively, add the relevant computer account or accounts. Örneğin, bir PowerShell Betiği, dosyaları korumak için kullanacağı ve dosya sınıflandırma altyapısı için yapılandırılmış Windows Server bilgisayarın bilgisayar hesabını ekleyin.For example, add the computer account of the Windows Server computer that is configured for File Classification Infrastructure and will use a PowerShell script to protect files.

  9. İzin Ver sütununda Okuma ve Yürütmeve Okuma onay kutularının işaretli olduğundan emin olun.In the Allow column, make sure that the Read and Execute, and the Read checkboxes are selected.

10. İki kere Tamam'a tıklayın.10.Click OK twice.

Active Directory Rights Management Services için cmdlet'lerin kullanılmasıyla ilgili örnek senaryolarExample scenarios for using the cmdlets for Active Directory Rights Management Services

Bu cmdlet'lere ilişkin tipik bir senaryo, bir hak ilkesi şablonu kullanılarak bir klasördeki tüm dosyaların korunması ya da bir dosyanın korumasının kaldırılmasıdır.A typical scenario for these cmdlets is to protect all files in a folder by using a rights policy template, or to unprotect a file.

İlk olarak, birden fazla AD RMS dağıtımınız varsa AD RMS sunucularınızın adları gerekir. Bunun için, Get-RMSServer cmdlet'ini çalıştırarak kullanılabilir sunucuların listesini görüntüleyebilirsiniz:First, if you have more than one deployment of AD RMS, you need the names of your AD RMS servers, which you do by using the Get-RMSServer cmdlet to display a list of available servers:

Get-RMSServer

Çıktınız aşağıdakine benzer görünecektir:Your output might look similar to the following:

Number of RMS Servers that can provide templates: 2 
ConnectionInfo             DisplayName          AllowFromScratch
--------------             -------------        ----------------
Microsoft.InformationAnd…  RmsContoso                       True
Microsoft.InformationAnd…  RmsFabrikam                      True

Dosyaları koruyabilmeniz için önce RMS şablonlarının bir listesini edinip kullanılacak şablonu ve bunun kimlik numarasını belirlemeniz gerekir.Before you can protect files, you need to get a list of RMS templates to identify which one to use and its corresponding ID number. Yalnızca birden fazla AD RMS dağıtımınız varsa RMS sunucusunu da belirtmeniz gerekir.Only when you have more than one AD RMS deployment do you need to specify the RMS server as well.

Ardından, çıktıdan şablon kimliğini kopyalayabilirsiniz:From the output, you can then copy the template ID:

Get-RMSTemplate -RMSServer RmsContoso

Çıktınız aşağıdakine benzer görünecektir:Your output might look similar to the following:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True


TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Artık şablon kimliğini bildiğinize göre bu kimliği Protect-RMSFile cmdlet'i ile kullanarak tek bir dosyayı veya bir klasördeki tüm dosyaları koruyabilirsiniz.Now you know the template ID, you can use it with the Protect-RMSFile cmdlet to protect a single file or all files in a folder. Örneğin, yalnızca tek bir dosyayı korumak ve özgün dosyayı değiştirmek istiyorsanız "Contoso, Ltd - Gizli" şablonunu kullanabilirsiniz:For example, if you want to protect a single file only and replace the original, by using the "Contoso, Ltd - Confidential" template:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

Çıktınız aşağıdakine benzer görünecektir:Your output might look similar to the following:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx   

Bir klasördeki tüm dosyaları korumak için -Folder parametresiyle birlikte bir sürücü harfi ve yolu veya UNC yolunu kullanın.To protect all files in a folder, use the -Folder parameter with a drive letter and path, or UNC path. Örneğin:For example:

Protect-RMSFile -Folder \\Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

Çıktınız aşağıdakine benzer görünecektir:Your output might look similar to the following:

InputFile                          EncryptedFile
---------                          -------------
\\Server1\Documents\Test1.docx     \\Server1\Documents\Test1.docx   
\\Server1\Documents\Test2.docx     \\Server1\Documents\Test2.docx   
\\Server1\Documents\Test3.docx     \\Server1\Documents\Test3.docx   
\\Server1\Documents\Test4.docx     \\Server1\Documents\Test4.docx   

Koruma uygulanmasının ardından dosya adı uzantısı değişmezse, her zaman Get-RMSFileStatus cmdlet'ini kullanarak daha sonra dosyanın korunup korunmadığını kontrol etmek için kullanabilirsiniz.When the file name extension does not change after protection is applied, you can always use the Get-RMSFileStatus cmdlet later to check whether the file is protected. Örneğin:For example:

Get-RMSFileStatus -File \\Server1\Documents\Test1.docx

Çıktınız aşağıdakine benzer görünecektir:Your output might look similar to the following:

FileName                              Status
--------                              ------
\\Server1\Documents\Test1.docx        Protected

Bir dosyanın korumasını kaldırmak için ne zaman dosyadan korunan veya AD RMS için süper kullanıcı olacak sahip veya ayıklama kullanım haklarına sahip olmalıdır.To unprotect a file, you must have Owner or Extract usage rights from when the file was protected, or be super user for AD RMS. Bu durumda, Unprotect cmdlet'ini kullanın.Then, use the Unprotect cmdlet. Örneğin:For example:

Unprotect-RMSFile C:\test.docx -InPlace

Çıktınız aşağıdakine benzer görünecektir:Your output might look similar to the following:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Azure Information Protection için etkileşimli olmayan bir yöntemle dosyaları etiketlemeHow to label files non-interactively for Azure Information Protection

Kullanarak etiketleme cmdlet'lerini etkileşimsiz çalıştırabilir Set-Aıpauthentication cmdlet'i.You can run the labeling cmdlets non-interactively by using the Set-AIPAuthentication cmdlet. Etkileşimli olmayan işlem için Azure Information Protection ilkesini de gereklidir.Non-interactive operation is also required for the Azure Information Protection scanner.

Varsayılan olarak, etiketleme cmdlet’lerini çalıştırdığınızda, komutlar etkileşimli bir PowerShell oturumunda sizin kullanıcı bağlamınızda çalıştırılır.By default, when you run the cmdlets for labeling, the commands run in your own user context in an interactive PowerShell session. Bunları katılımsız çalıştırmak için, bu amaçla yeni bir Azure AD kullanıcı hesabı oluşturun.To run them unattended, create a new Azure AD user account for this purpose. Ardından, Azure AD’den bir erişim belirteci kullanarak kimlik bilgilerini ayarlamak ve depolamak için bu kullanıcının bağlamında Set-AIPAuthentication cmdlet’ini çalıştırın.Then, in the context of that user, run the Set-AIPAuthentication cmdlet to set and store credentials by using an access token from Azure AD. Sonra bu kullanıcı hesabının kimliği doğrulanır ve Azure Rights Management hizmeti için önyüklemesi yapılır.This user account is then authenticated and bootstrapped for the Azure Rights Management service. Hesap Azure Information Protection ilkesini ve etiketlerin kullandığı tüm Rights Management şablonlarını indirir.The account downloads the Azure Information Protection policy and any Rights Management templates that the labels use.

Not

Kullanırsanız kapsamlı ilkeler, kapsamlı ilkelerinizi bu hesabı eklemeniz gerekebilir unutmayın.If you use scoped policies, remember that you might need to add this account to your scoped policies.

Bu cmdlet’i ilk kez çalıştırdığınızda, Azure Information Protection için oturum açmanız istenir.The first time you run this cmdlet, you are prompted to sign in for Azure Information Protection. Katılımsız kullanıcı için oluşturduğunuz parola ve kullanıcı hesabı adını belirtin.Specify the user account name and password that you created for the unattended user. Bundan sonra, kimlik doğrulama belirtecinin süresi dolana kadar bu hesap etiketleme cmdlet’lerini etkileşimsiz çalıştırabilir.After that, this account can then run the labeling cmdlets non-interactively until the authentication token expires.

Kullanıcı hesabı bu ilk kez etkileşimli olarak oturum açabilmesi için hesabın olmalıdır oturum açabilmesi doğru.For the user account to be able to sign in interactively this first time, the account must have the Log on locally right. Bu hak, kullanıcı hesapları için standarttır, ancak bu yapılandırma için hizmet hesapları şirket ilkelerinizi yasaklayabilir.This right is standard for user accounts but your company policies might prohibit this configuration for service accounts. Bu durumda, Set-Aıpauthentication ile çalıştırabileceğiniz belirteci oturum açma istemi söz konusu kimlik doğrulamasını tamamladığı için parametre.If that's the case, you can run Set-AIPAuthentication with the Token parameter so that authentication completes without the sign-in prompt. Zamanlanmış bir görev olarak şu komutu çalıştırın ve sağ alt köşesinde hesap vermek toplu iş olarak oturum.You can run this command as a scheduled task and grant the account the lower right of Log on as batch job. Daha fazla bilgi için aşağıdaki bölümlere bakın.For more information, see the following sections.

Belirtecin süresi dolduğunda tekrar yeni bir belirteç almak için cmdlet'i çalıştırın.When the token expires, run the cmdlet again to acquire a new token.

Bu cmdlet’i parametresiz çalıştırırsanız, hesap 90 gün süreyle veya parolanızın süresi dolana kadar geçerli olan bir erişim belirteci alır.If you run this cmdlet without parameters, the account acquires an access token that is valid for 90 days or until your password expires.

Erişim belirtecinin süresinin ne zaman dolacağını denetlemek için, bu cmdlet’i parametrelerle çalıştırın.To control when the access token expires, run this cmdlet with parameters. Bu yolla, erişim belirtecini bir yıl veya iki yıl sonra süresi dolacak veya süresi hiç dolmayacak şekilde yapılandırabilirsiniz.This lets you configure the access token for one year, two years, or to never expire. Bu yapılandırma, Azure Active Directory'de kayıtlı iki uygulamanızın olması gerekir: A Web uygulaması / API uygulama ve yerel uygulama.This configuration requires you to have two applications registered in Azure Active Directory: A Web app / API application and a native application. Bu cmdlet’in parametreleri, bu uygulamalardan değerler kullanır.The parameters for this cmdlet use values from these applications.

Bu cmdlet’i çalıştırdıktan sonra, etiketleme cmdlet’lerini oluşturduğunuz kullanıcı hesabının bağlamında çalıştırabilirsiniz.After you have run this cmdlet, you can run the labeling cmdlets in the context of the user account that you created.

Set-AIPAuthentication komutuna Azure AD uygulamalarını oluşturmak ve yapılandırmak içinTo create and configure the Azure AD applications for Set-AIPAuthentication

  1. Yeni bir tarayıcı penceresinde, Azure portalında oturum açın.In a new browser window, sign in the Azure portal.

  2. Azure Information Protection'la kullandığınız Azure AD kiracınız için gidin Azure Active Directory > uygulama kayıtları (eski).For the Azure AD tenant that you use with Azure Information Protection, navigate to Azure Active Directory > App registrations (Legacy).

  3. Web uygulaması /API’si uygulamanızı oluşturmak için Yeni uygulama kaydı’nı seçin.Select New application registration, to create your Web app /API application. Oluştur etiketinde aşağıdaki değerleri belirtin ve ardından Oluştur’a tıklayın:On the Create label, specify the following values, and then click Create:

    • Ad: AIPOnBehalfOfName: AIPOnBehalfOf

      Dilerseniz farklı bir ad belirtin.If you prefer, specify a different name. Bu ad, her kiracı için benzersiz olmalıdır.It must be unique per tenant.

    • Uygulama türü: Web uygulaması/API'siApplication Type: Web app /API

    • Oturum açma URL'si: http://localhostSign-on URL: http://localhost

  4. Yeni oluşturduğunuz uygulamayı seçin, örneğin AIPOnBehalfOf.Select the application that you've just created, for example, AIPOnBehalfOf. Daha sonra Ayarlar dikey penceresinde Özellikler’i seçin.Then, on the Settings blade, select Properties. Özellikler dikey penceresinden Uygulama Kimliği’nin değerini kopyalayın ve sonra dikey pencereyi kapatın.From the Properties blade, copy the value for the Application ID, and then close this blade.

    Bu değer, Set-AIPAuthentication cmdlet’ini çalıştırdığınızda WebAppId parametresi için kullanılır.This value is used for the WebAppId parameter when you run the Set-AIPAuthentication cmdlet. Yapıştırın ve bunu daha sonra başvurmak için kaydedin.Paste and save it for later reference.

  5. Yeniden ayarları dikey penceresinde gerekli izinler.Back on the Settings blade, select Required permissions. Üzerinde gerekli izinler dikey penceresinde izinler, tıklayın Evet onaylayın ve ardından bu dikey pencereyi kapatın.On the Required permissions blade, select Grant Permissions, click Yes to confirm, and then close this blade.

  6. Yeniden ayarları dikey penceresinde tekrar seçin anahtarları.Back on the Settings blade again, select Keys. Açıklamayı ve kendi seçtiğiniz süreyi (1 yıl, 2 yıl veya süre sonu yok) belirterek yeni bir anahtar ekleyin.Add a new key by specifying a description and your choice of duration (1 year, 2 years, or never expires). Ardından Kaydet’i seçin ve Değer için görüntülenen dizeyi kopyalayın.Then select Save, and copy the string for the Value that is displayed. Bu dizeyi saklamanız önemlidir çünkü yeniden gösterilmez ve alınamaz.It's important that you save this string because it is not displayed again and it cannot be retrieved. Kullandığınız tüm anahtarlarda olduğu gibi, kaydedilen değeri güvenli bir şekilde saklayın ve bu değere erişimi kısıtlayın.As with any key that you use, store the saved value securely and restrict access to it.

    Bu değer, Set-AIPAuthentication cmdlet’ini çalıştırdığınızda WebAppKey parametresi için kullanılır.This value is used for the WebAppKey parameter when you run the Set-AIPAuthentication cmdlet.

  7. Uygulama kayıtları dikey penceresinde geri dönüp Yeni uygulama kaydı'nı seçerek yerel uygulamanızı oluşturun.Back on the App registrations blade, select New application registration, to create your native application. Oluştur etiketinde aşağıdaki değerleri belirtin ve ardından Oluştur’a tıklayın:On the Create label, specify the following values, and then click Create:

    • Ad: AıpclientName: AIPClient

      Dilerseniz farklı bir ad belirtin.If you prefer, specify a different name. Bu ad, her kiracı için benzersiz olmalıdır.It must be unique per tenant.

    • Uygulama türü: YerelApplication Type: Native

    • Oturum açma URL'si: http://localhostSign-on URL: http://localhost

  8. Yeni oluşturduğunuz uygulamayı seçin, örneğin AIPClient.Select the application that you've just created, for example, AIPClient. Daha sonra Ayarlar dikey penceresinde Özellikler’i seçin.Then, on the Settings blade, select Properties. Özellikler dikey penceresinden Uygulama Kimliği’nin değerini kopyalayın ve sonra dikey pencereyi kapatın.From the Properties blade, copy the value for the Application ID, and then close this blade.

    Bu değer, Set-AIPAuthentication cmdlet’ini çalıştırdığınızda NativeAppId parametresi için kullanılır.This value is used for the NativeAppId parameter when you run the Set-AIPAuthentication cmdlet. Yapıştırın ve bunu daha sonra başvurmak için kaydedin.Paste and save it for later reference.

  9. Ayarlar dikey penceresinde Gerekli izinler'i seçin.On the Settings blade, select Required permissions.

  10. Gerekli izinler dikey penceresinde Ekle'ye tıklayın ve sonra da Bir API seçin öğesine tıklayın.On the Required permissions blade, click Add, and then click Select an API. Arama kutusuna AIPOnBehalfOf yazın.In the search box, type AIPOnBehalfOf. Liste kutusunda bu değeri seçin ve Seç'e tıklayın.Select this value in the list box, and then click Select.

  11. Erişimi Etkinleştir dikey penceresinde AIPOnBehalfOf öğesini seçin, Seç'e tıklayın ve sonra da Bitti'ye tıklayın.On the Enable Access blade, select AIPOnBehalfOf, click Select, and then click Done.

  12. Yeniden gerekli izinler dikey penceresinde izinler, tıklayın Evet onaylayın ve ardından bu dikey pencereyi kapatın.Back on the Required permissions blade, select Grant Permissions, click Yes to confirm, and then close this blade.

Artık iki uygulamanın yapılandırmasını tamamladınız ve çalıştırmak için ihtiyacınız olan değerlere sahipsiniz Set-Aıpauthentication parametrelerle WebAppId, WebAppKey ve NativeAppId.You've now completed the configuration of the two apps and you have the values that you need to run Set-AIPAuthentication with the parameters WebAppId, WebAppKey and NativeAppId. Örneğin:For example:

Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f"

Etiket ve belgeleri etkileşimsiz korumak hesabı bağlamında bu komutu çalıştırın.Run this command in the context of the account that will label and protect the documents non-interactively. Örneğin, PowerShell betikleriniz veya Azure Information Protection ilkesini çalıştırmak için hizmet hesabı için kullanıcı hesabı.For example, a user account for your PowerShell scripts or the service account to run the Azure Information Protection scanner.

Bu komut, ilk kez çalıştırdığınızda, oluşturur ve hesabınız için erişim belirteci % localappdata%\Microsoft\MSIP içinde güvenli bir şekilde depolar oturum açmanız istenir.When you run this command for the first time, you are prompted to sign in, which creates and securely stores the access token for your account in %localappdata%\Microsoft\MSIP. Bu ilk oturum açma işleminden sonra etiketleyebilir ve etkileşimli olmayan bilgisayar üzerindeki dosyaları koruma.After this initial sign-in, you can label and protect files non-interactively on the computer. Böylece hizmet hesabı bir belirteç kullanarak kimlik doğrulaması yapabilir ancak, dosyaları etiketlemenize ve korumanıza için bir hizmet hesabı'nı kullanın ve bu hizmet hesabı etkileşimli olarak oturum açamıyorsanız, aşağıdaki bölümündeki yönergeleri kullanın.However, if you use a service account to label and protect files, and this service account cannot sign in interactively, use the instructions in the following section so that the service account can authenticate by using a token.

Belirtin ve Set-Aıpauthentication belirteci parametresini kullanınSpecify and use the Token parameter for Set-AIPAuthentication

İlk etkileşimli oturum açma için etiketler ve dosyaları koruyan bir hesap önlemek için aşağıdaki ek adımları ve yönergeleri kullanın.Use the following additional steps and instructions to avoid the initial interactive sign-in for an account that labels and protects files. Genellikle, bu hesap yalnızca verilemez, aşağıdaki ek adımları gerekli oturum açabilmesi sağ ancak verilir toplu iş olarak oturum doğru.Typically, these additional steps are required only if this account cannot be granted the Log on locally right but is granted the Log on as a batch job right. Örneğin, bu hizmet hesabınızın Azure Information Protection ilkesini çalışır durumda olabilir.For example, this might be the case for your service account that runs the Azure Information Protection scanner.

Üst düzey adımlar:High-level steps:

  1. Yerel bilgisayarınızda bir PowerShell Betiği oluşturun.Create a PowerShell script on your local computer.

  2. Bir erişim belirteci alma ve panoya kopyalamak için Set-Aıpauthentication çalıştırın.Run Set-AIPAuthentication to get an access token and copy it to the clipboard.

  3. Belirteç dahil etmek için PowerShell komut dosyasını değiştirin.Modify the PowerShell script to include the token.

  4. PowerShell komut dosyası etiketi ve dosyaları korumak hizmet hesabı bağlamında çalışan bir görev oluşturun.Create a task that runs the PowerShell script in the context of the service account that will label and protect files.

  5. Belirteç için hizmet hesabı kaydedildiğini doğrulayın ve PowerShell komut dosyasını silin.Confirm that the token is saved for the service account, and delete the PowerShell script.

1. adım: Yerel bilgisayarınızda bir PowerShell Betiği oluşturmaStep 1: Create a PowerShell script on your local computer

  1. Bilgisayarınızda Aipauthentication.ps1 adlı yeni bir PowerShell Betiği oluşturun.On your computer, create a new PowerShell script named Aipauthentication.ps1.

  2. Kopyalayın ve bu betiğe aşağıdaki komutu yapıştırın:Copy and paste the following command into this script:

      Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application> -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application > -Token <token value>
    
  3. Önceki bölümde yönergeleri kullanarak değiştirmek bu komut için kendi değerlerinizi belirterek WebAppId, WebAppkey, ve NativeAppId parametreleri.Using the instructions in the preceding section, modify this command by specifying your own values for the WebAppId, WebAppkey, and NativeAppId parameters. Şu anda için değer yok belirteci daha sonra belirttiğiniz parametresi.At this time, you do not have the value for the Token parameter, which you specify later.

    Örneğin, Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>For example: Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>

2. adım: Bir erişim belirteci alma ve panoya kopyalamak için Set-Aıpauthentication çalıştırınStep 2: Run Set-AIPAuthentication to get an access token and copy it to the clipboard

  1. Bir Windows PowerShell oturumu açın.Open a Windows PowerShell session.

  2. Betikte belirttiğiniz olarak aynı değerleri kullanarak, aşağıdaki komutu çalıştırın:Using the same values as you specified in the script, run the following command:

     (Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application>  -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application >).token | clip
    

    Örneğin, (Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clipFor example: (Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clip

3. adım: Belirteç sağlamak için PowerShell komut dosyasını değiştirinStep 3: Modify the PowerShell script to supply the token

  1. PowerShell komut dosyanızdaki Pano dizeden yapıştırarak belirteç değeri belirtin ve dosyayı kaydedin.In your PowerShell script, specify the token value by pasting the string from the clipboard, and save the file.

  2. Komut dosyasını imzalayın.Sign the script. (Daha güvenli) komut dosyasını imzalayın değil, Windows PowerShell etiketleme komutları çalıştıran bilgisayarda yapılandırmanız gerekir.If you do not sign the script (more secure), you must configure Windows PowerShell on the computer that will run the labeling commands. Örneğin, bir Windows PowerShell oturumu çalıştırın yönetici olarak çalıştır seçeneğini: Set-ExecutionPolicy RemoteSigned.For example, run a Windows PowerShell session with the Run as Administrator option, and type: Set-ExecutionPolicy RemoteSigned. Ancak, bu yapılandırma tüm imzalanmamış komut dosyalarının (daha az güvenli) bu bilgisayarda depolanan çalıştırılmasını sağlar.However, this configuration lets all unsigned scripts run when they are stored on this computer (less secure).

    Windows PowerShell komut dosyalarını imzalama hakkında daha fazla bilgi için, bkz. PowerShell belge kitaplığında about_Signing.For more information about signing Windows PowerShell scripts, see about_Signing in the PowerShell documentation library.

  3. Bu PowerShell Betiği, etiket ve dosyaları korumak ve özgün bilgisayarınızda Sil bilgisayara kopyalayın.Copy this PowerShell script to the computer that will label and protect files, and delete the original on your computer. Örneğin, PowerShell betiğini bir Windows Server bilgisayarında C:\Scripts\Aipauthentication.ps1 için kopyalayın.For example, you copy the PowerShell script to C:\Scripts\Aipauthentication.ps1 on a Windows Server computer.

Adım 4: PowerShell Betiği çalıştıran bir görev oluşturunStep 4: Create a task that runs the PowerShell script

  1. Etiket ve dosyaları korumak hizmet hesabı olduğundan emin olun toplu iş olarak oturum doğru.Make sure that the service account that will label and protect files has the Log on as a batch job right.

  2. Etiket ve dosyaları korumak bilgisayarda Görev Zamanlayıcısı'nı açın ve yeni bir görev oluşturun.On the computer that will label and protect files, open Task Scheduler and create a new task. Etiket ve dosyaları korumak ve ardından aşağıdaki değerleri yapılandırın hizmet hesabı olarak çalıştırmak için bu görevi yapılandırma Eylemler:Configure this task to run as the service account that will label and protect files, and then configure the following values for the Actions:

    • Eylem: Start a programAction: Start a program

    • Program/betik: Powershell.exeProgram/script: Powershell.exe

    • Bağımsız değişkenler (isteğe bağlı) ekleme: -NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"Add arguments (optional): -NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"

      Bu URL'nin örnektekinden farklı olduğunda bağımsız değişken satırı için kendi yol ve dosya adı belirtin.For the argument line, specify your own path and file name, if these are different from the example.

  3. Bu görev el ile çalıştırın.Manually run this task.

Adım 4: Belirteç kaydedildiğini doğrulayın ve PowerShell betiğini SilStep 4: Confirm that the token is saved and delete the PowerShell script

  1. Belirteç hizmeti hesap profilinin %LocalAppData%\Microsoft\MSIP klasöründe artık depolandığını doğrulayın.Confirm that the token is now stored in the %localappdata%\Microsoft\MSIP folder for the service account profile. Bu değer hizmet hesabı tarafından korunur.This value is protected by the service account.

  2. Belirteç değeri (örneğin, Aipauthentication.ps1) içeren bir PowerShell Betiği silin.Delete the PowerShell script that contains the token value (for example, Aipauthentication.ps1).

    İsteğe bağlı olarak, görevi silin.Optionally, delete the task. Belirtecinizin süresi dolarsa, bu işlemi tekrarlayın, bu durumda, yeni PowerShell kopyaladığınızda yeniden çalıştırmak hazır olması, yapılandırılmış görev bırakmak daha kullanışlı olabilir yeni belirteç değeri ile komut dosyası.If your token expires, you must repeat this process, in which case it might be more convenient to leave the configured task so that it's ready to rerun when you copy over the new PowerShell script with the new token value.

Sonraki adımlarNext steps

PowerShell oturumundayken cmdlet yardımı almak için Get-Help <cmdlet name> cmdlet yazın ve en güncel bilgileri okumak için -online parametresini kullanın.For cmdlet help when you are in a PowerShell session, type Get-Help <cmdlet name> cmdlet, and use the -online parameter to read the most up-to-date information. Örneğin:For example:

Get-Help Get-RMSTemplate -online

Azure Information Protection istemcisine yönelik destek için gerek duyabileceğiniz aşağıdaki ek bilgilere göz atabilirsiniz:See the following for additional information that you might need to support the Azure Information Protection client: