Yönetici Kılavuzu: Azure Information Protection birleştirilmiş istemcisiyle PowerShell kullanma

*Uygulama hedefi: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 *

Windows 7 veya Office 2010 ' iniz varsa bkz. AIP ve eski Windows ve Office sürümleri.

*Için ilgili: Windows için birleşik etiketleme istemcisi Azure Information Protection. *

Azure Information Protection Birleşik etiketleme istemcisini yüklediğinizde, PowerShell komutları etiketleme için cmdlet 'leri ile azureınformationprotection modülünün bir parçası olarak otomatik olarak yüklenir.

Azureınformationprotection modülü Otomasyon betikleri için komutları çalıştırarak istemciyi yönetmenizi sağlar.

Örnek:

  • Get-Aıpfilestatus: belirtilen dosya veya dosyalar için Azure Information Protection etiket ve koruma bilgilerini alır.
  • Set-Aıpfileclassification: bir dosyayı, ilkede yapılandırılan koşullara göre bir dosya için otomatik olarak bir Azure Information Protection etiketi ayarlanacak şekilde tarar.
  • Set-Aıpfilelabel: bir dosyanın Azure Information Protection etiketini ayarlar veya kaldırır ve etiket yapılandırmasına veya özel izinlere göre korumayı ayarlar ya da kaldırır.
  • Set-Aıpauthentication: Azure Information Protection istemcisinin kimlik doğrulama kimlik bilgilerini ayarlar.

Azureınformationprotection modülü \ProgramFiles (x86) \Microsoft Azure Information Protection klasörüne yüklenir ve ardından bu klasörü PSModulePath sistem değişkenine ekler. Bu modüle ait .dll dosyası, AIP.dll adındadır .

Önemli

Azureınformationprotection modülü, Etiketler veya etiket ilkeleri için Gelişmiş ayarları yapılandırmayı desteklemez.

Bu ayarlar için, Office 365 güvenlik & Uyumluluk Merkezi PowerShell 'e ihtiyacınız vardır. Daha fazla bilgi için bkz. Azure Information Protection Birleşik etiketleme istemcisi Için özel yapılandırma.

İpucu

260 karakterden büyük yol uzunluklarına sahip cmdlet 'leri kullanmak için, Windows 10, sürüm 1607 ' den itibaren kullanılabilen aşağıdaki Grup İlkesi ayarını kullanın:
Yerel bilgisayar ilkesi > Bilgisayar yapılandırması > Yönetim Şablonları > Tüm ayarlar > Win32 uzun yollarını etkinleştir

Windows Server 2016 için, Windows 10 için en son Yönetim Şablonları (. admx) yüklerken aynı Grup İlkesi ayarını kullanabilirsiniz.

Daha fazla bilgi için, Windows 10 geliştirici belgelerindeki en yüksek yol uzunluğu sınırlaması bölümüne bakın.

Azureınformationprotection modülünü kullanma önkoşulları

Azureınformationprotection modülünü yükleme önkoşullarının yanı sıra, Azure Information Protection için etiketleme cmdlet 'lerini kullandığınızda ek önkoşullar de vardır:

  • Azure Rights Management hizmetinin etkinleştirilmesi gerekir.

    Azure Information Protection kiracınız etkinleştirilmemişse, koruma hizmetini Azure Information Protection etkinleştirmeyönergelerine bakın.

  • Kendi hesabınızı kullanarak başkaları için dosya korumasını kaldırmak için:

    • Kuruluşunuz için Süper Kullanıcı özelliğinin etkinleştirilmesi gerekir.
    • Hesabınız Azure Rights Management için bir süper kullanıcı olacak şekilde yapılandırılmış olmalıdır.

    Örneğin, veri bulma veya kurtarma için başkalarının korumasını kaldırmak isteyebilirsiniz. Koruma uygulamak için Etiketler kullanıyorsanız, koruma uygulamayan yeni bir etiket ayarlayarak bu korumayı kaldırabilir veya etiketi kaldırabilirsiniz.

    Korumayı kaldırmak için, set-Aıpfilelabel cmdlet 'Ini removeprotection parametresiyle kullanın. Koruma kaldırma özelliği varsayılan olarak devre dışıdır ve önce set-LabelPolicy cmdlet 'i kullanılarak etkinleştirilmelidir.

RMS 'den Birleşik etiketleme cmdlet eşlemesi

Azure RMS geçirdikten sonra, RMS ile ilgili cmdlet 'lerin Birleşik etiketlemeye kullanım dışı olduğunu unutmayın.

Eski cmdlet 'lerden bazıları, Birleşik etiketlemeye yönelik yeni cmdlet 'lerle değiştirilmiştir. Örneğin, RMS korumasıyla Yeni-RMSProtectionLicense kullandıysanız ve Birleşik etiketlemeye geçirdiyseniz, bunun yerine New-Aıpcustompermissions kullanın.

Aşağıdaki tabloda, RMS ile ilgili cmdlet 'leri Birleşik etiketleme için kullanılan güncelleştirilmiş cmdlet 'ler eşlenir:

RMS cmdlet 'i Birleşik etiketleme cmdlet 'i
Get-RMSFileStatus Get-AIPFileStatus
Get-RMSServer Birleşik etiketlemeye uygun değildir.
Get-RMSServerAuthentication Set-Aıpauthentication
Clear-RMSAuthentication Set-Aıpauthentication
Set-RMSServerAuthentication Set-Aıpauthentication
Get-RMSTemplate Birleşik etiketlemeye uygun değil
New-RMSProtectionLicense New-AIPCustomPermissionsve set-Aıpfilelabel, custompermissions parametresiyle
Koru-RMSFile Set-Aıpfilelabel, removeprotection parametresiyle

Azure Information Protection için etkileşimli olmayan bir yöntemle dosyaları etiketleme

Varsayılan olarak, etiketleme cmdlet’lerini çalıştırdığınızda, komutlar etkileşimli bir PowerShell oturumunda sizin kullanıcı bağlamınızda çalıştırılır.

Daha fazla bilgi için bkz.

Not

Bilgisayarın İnternet erişimi yoksa, uygulamayı Azure AD 'de oluşturmanız ve set-Aıpauthentication cmdlet 'ini çalıştırmanız gerekmez. Bunun yerine, bağlantısı kesilen bilgisayarlariçin yönergeleri izleyin.

AıP etiketleme cmdlet 'lerini çalıştırmaya yönelik önkoşullar katılımsız

Azure Information Protection etiketleme cmdlet 'lerini katılımsız çalıştırmak için aşağıdaki erişim ayrıntılarını kullanın:

  • Etkileşimli olarak oturum açabilen bir Windows hesabı .

  • Temsilci erişimi için bir Azure AD hesabı. Yönetim kolaylığı için Active Directory 'den Azure AD 'ye eşitlenen tek bir hesap kullanın.

    Temsilci Kullanıcı hesabı için:

    Gereksinim Ayrıntılar
    Etiket ilkesi Bu hesaba atanmış bir etiket ilkeniz olduğundan ve ilkenin kullanmak istediğiniz yayımlanan etiketleri içerdiğinden emin olun.

    Farklı kullanıcılar için etiket ilkeleri kullanıyorsanız, tüm etiketlerinizi yayımlayan yeni bir etiket ilkesi oluşturmanız ve ilkeyi yalnızca bu temsilci kullanıcı hesabına yayımlamanız gerekebilir.
    İçeriğin şifresini çözme Bu hesabın içeriği şifresinin çözülmesi gerekiyorsa (örneğin, dosyaları yeniden korumak ve başkalarının koruduğu dosyaları incelemek için), Azure Information Protection için Süper Kullanıcı oluşturun ve Süper Kullanıcı özelliğinin etkinleştirildiğinden emin olun.
    Ekleme denetimleri Aşamalı dağıtım için ekleme denetimleri uyguladıysanız, bu hesabın yapılandırdığınız ekleme denetimlerine eklendiğinden emin olun.
  • Azure Information Protection kimlik doğrulaması için kimlik bilgilerini ayarlayan ve depolayan bir Azure AD erişim belirteci. Azure AD 'deki belirtecin süresi dolarsa, yeni bir belirteç almak için cmdlet 'i yeniden çalıştırmanız gerekir.

    Set-Aıpauthentication parametreleri, Azure AD 'de bir uygulama kayıt işleminden değerleri kullanır. Daha fazla bilgi için bkz. set-Aıpauthentication Için Azure AD uygulamaları oluşturma ve yapılandırma.

Etiketleme cmdlet 'lerini, önce set-Aıpauthentication cmdlet 'ini çalıştırarak etkileşimli olmayan şekilde çalıştırın.

Aıpauthentication cmdlet 'ini çalıştıran bilgisayar, etiketleme yönetim merkezinizdeki (Microsoft 365 güvenlik & Uyumluluk Merkezi gibi) temsilci Kullanıcı hesabınıza atanan etiketleme ilkesini indirir.

Set-AIPAuthentication için Azure AD uygulamaları oluşturma ve yapılandırma

Set-Aıpauthentication cmdlet 'ı, AppID ve Appsecret parametreleri için bir uygulama kaydı gerektirir.

Klasik istemciden yakın zamanda geçiş yapan ve önceki WebAppId ve nativeappıd parametreleri için bir uygulama kaydı oluşturan kullanıcılar için Birleşik etiketleme istemcisi için yeni bir uygulama kaydı oluşturmanız gerekir.

Birleşik etiketleme istemci Set-AIPAuthentication cmdlet 'i için yeni bir uygulama kaydı oluşturmak için:

  1. Yeni bir tarayıcı penceresinde, Azure Information Protection kullandığınız Azure AD kiracısına Azure Portal oturum açın.

  2. Azure Active Directory > > uygulama kayıtları Yönet ' e gidin ve Yeni kayıt' yi seçin.

  3. Uygulama kaydetme bölmesinde, aşağıdaki değerleri belirtin ve Kaydet' e tıklayın:

    Seçenek Değer
    Ad AIP-DelegatedUser
    Gerektiğinde farklı bir ad belirtin. Ad, kiracı başına benzersiz olmalıdır.
    Desteklenen hesap türleri Yalnızca bu kuruluş dizininde hesaplar ' ı seçin.
    Yeniden yönlendirme URI 'SI (isteğe bağlı) Web' i seçin ve ardından girin https://localhost .
  4. AIP-DelegatedUser bölmesinde, uygulama (istemci) kimliği için değeri kopyalayın.

    Değer aşağıdaki örneğe benzer şekilde görünür: 77c3c1c3-abf9-404e-8b2b-4652836c8c66 .

    Bu değer, set-Aıpauthentication cmdlet 'ini çalıştırdığınızda AppID parametresi için kullanılır. Daha sonra başvurmak için değeri yapıştırın ve kaydedin.

  5. Kenar çubuğundan sertifikaları Yönet > & gizli dizileri ' ni seçin.

    Ardından, AIP-DelegatedUser-Certificates & gizli dizileri bölmesinde, istemci gizli dizileri bölümünde yeni istemci parolası' nı seçin.

  6. İstemci parolası ekleme için aşağıdakileri belirtin ve ardından Ekle' yi seçin:

    Alan Değer
    Açıklama Azure Information Protection unified labeling client
    Bitiminden İstediğiniz süreyi (1 yıl, 2 yıl veya süresi dolmasın) belirtin
  7. AIP-DelegatedUser-Certificates & gizli dizileri bölmesine geri döndüğünüzde, istemci gizli dizileri bölümünde değeri için dizeyi kopyalayın.

    Bu dize aşağıdaki örneğe benzer şekilde görünür: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4 .

    Tüm karakterleri kopyalamadığınızdan emin olmak için Pano 'Ya kopyalamak için simgeyi seçin.

    Önemli

    Bu dizeyi saklamanız önemlidir çünkü yeniden gösterilmez ve alınamaz. Kullandığınız gizli bilgilerin yanı sıra, kaydedilen değeri güvenli bir şekilde depolayın ve ona erişimi kısıtlayın.

  8. Kenar çubuğundan > API izinlerini Yönet ' i seçin.

    AIP-DelegatedUser-API izinleri bölmesinde izin Ekle' yi seçin.

  9. API Izinleri iste bölmesinde, Microsoft API 'leri sekmesinden olduğunuzdan emin olun ve Azure Rights Management Hizmetleri' ni seçin.

    Uygulamanızın gerektirdiği izin türü sorulduğunda, Uygulama izinleri' ni seçin.

  10. Izinleri Seç için içerik ' i genişletin ve aşağıdakileri seçin ve ardından izin Ekle' yi seçin.

    • Content. DelegatedReader
    • Content. DelegatedWriter
  11. AIP-DelegatedUser-API izinleri bölmesine geri dönün, yeniden izin Ekle ' yi seçin.

    AIP Izinleri iste bölmesinde Kuruluşumun kullandığı API 'ler' i seçin ve Microsoft Information Protection eşitleme hizmeti' ni arayın.

  12. API Izinleri iste bölmesinde Uygulama izinleri' ni seçin.

    Izinleri Seç için UnifiedPolicy öğesini genişletin, UnifiedPolicy. Tenant. Read öğesini seçin ve ardından izin Ekle öğesini seçin.

  13. AIP-DelegatedUser-API izinleri bölmesine geri döndüğünüzde, yönetici <your tenant name> onayı ver ' i seçin ve onay istemi için Evet ' i seçin.

    API izinleriniz aşağıdaki görüntüye benzer şekilde görünmelidir:

    Azure AD 'de kayıtlı uygulama için API izinleri

Bu uygulamanın bir gizli anahtarı ile kaydını tamamladınız, set-Aıpauthentication öğesini AppID ve Appsecret parametreleriyle çalıştırmaya hazırsınız. Ayrıca, kiracı KIMLIĞINIZ gerekir.

İpucu

Azure Portal: Azure Active Directory > Yönet > > dizin kimliğini kullanarak kiracı kimliğinizi hızlıca kopyalayabilirsiniz.

Set-AIPAuthentication cmdlet 'ini çalıştırma

  1. Windows PowerShell 'i yönetici olarak çalıştır seçeneğiyle açın.

  2. PowerShell oturumunuzda, etkileşimli olmayan çalıştırılacak Windows Kullanıcı hesabının kimlik bilgilerini depolamak için bir değişken oluşturun. Örneğin, tarayıcı için bir hizmet hesabı oluşturduysanız:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"
    

    Bu hesabın parolasını girmeniz istenir.

  3. Set-Aıpauthentication cmdlet 'Ini, OnBeHalfOf parametresiyle birlikte çalıştırın, bu değişkenin oluşturduğunuz değişken değerini belirtin.

    Ayrıca, Azure AD 'de uygulama kayıt değerlerinizi, kiracı KIMLIĞINIZI ve temsilci Kullanıcı hesabının adını belirtin. Örnek:

    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
    

Sonraki adımlar

PowerShell oturumundaysanız cmdlet yardımı için yazın Get-Help <cmdlet name> -online . Örnek:

Get-Help Set-AIPFileLabel -online

Daha fazla bilgi için bkz.