Einrichten des Informationsschutzclients mithilfe von PowerShell

BESCHREIBUNG

Enthält Anweisungen zum Installieren der Microsoft Purview Information Protection-Client- und PowerShell-Cmdlets mithilfe von PowerShell.

Verwenden von PowerShell mit dem Microsoft Purview Information Protection-Client

Das modul Microsoft Purview Information Protection wird mit dem Informationsschutzclient installiert. Das zugehörige PowerShell-Modul ist PurviewInformationProtection.

Mit dem Modul PurviewInformationProtection können Sie den Client mit Befehlen und Automatisierungsskripts verwalten. Zum Beispiel:

  • Install-Scanner: Installiert und konfiguriert den Information Protection Scanner-Dienst auf einem Computer, auf dem Windows Server 2019, Windows Server 2016 oder Windows Server 2012 R2 ausgeführt wird.
  • Get-FileStatus: Ruft die Information Protection Bezeichnung und Schutzinformationen für eine angegebene Datei oder Dateien ab.
  • Start-Scan: Weist den Informationsschutzscanner an, einen einmaligen Scanzyklus zu starten.
  • Set-FileLabel -Autolabel: Scannt eine Datei, um automatisch eine Informationsschutzbezeichnung für eine Datei gemäß den Bedingungen festzulegen, die in der Richtlinie konfiguriert sind.

Installieren des PurviewInformationProtection PowerShell-Moduls

Voraussetzungen für die Installation

  • Für dieses Modul ist Windows PowerShell 4.0 erforderlich. Diese Voraussetzung wird während der Installation nicht überprüft. Stellen Sie sicher, dass Sie die richtige Version von PowerShell installiert haben.
  • Stellen Sie sicher, dass Sie über die neueste Version des PurviewInformationProtection PowerShell-Moduls verfügen, indem Sie ausführen Import-Module PurviewInformationProtection.

Installationsdetails

Sie installieren und konfigurieren den Informationsschutzclient und die zugehörigen Cmdlets mithilfe von PowerShell.

Das PurviewInformationProtection PowerShell-Modul wird automatisch installiert, wenn Sie die Vollversion des Information Protection-Clients installieren. Alternativ können Sie das Modul nur mithilfe des Parameters PowerShellOnly=true installieren.

Das Modul wird im Ordner \ProgramFiles (x86)\PurviewInformationProtection installiert und fügt diesen Ordner dann der PSModulePath Systemvariablen hinzu.

Wichtig

Das PurviewInformationProtection-Modul unterstützt die Konfiguration erweiterter Einstellungen für Bezeichnungen oder Bezeichnungsrichtlinien nicht.

Um Cmdlets mit Pfadlängen von mehr als 260 Zeichen zu verwenden, verwenden Sie die folgende Gruppenrichtlinieneinstellung, die ab Windows 10, Version 1607, verfügbar ist:

Lokale Computerrichtlinie>Computerkonfiguration>Verwaltungsvorlagen>Alle Einstellungen>Lange Win32-Pfade aktivieren

Bei Windows Server 2016 können Sie die gleiche Gruppenrichtlinieneinstellung verwenden, wenn Sie die neuesten administrativen Vorlagen (ADMX-Dateien) für Windows 10 installieren.

Weitere Informationen finden Sie im Abschnitt Maximum Path Length Limitation (Einschränkung der Pfadlänge) in der Entwicklerdokumentation für Windows 10.

Grundlegendes zu den Voraussetzungen für das PurviewInformationProtection PowerShell-Modul

Zusätzlich zu den Installationsvoraussetzungen für das PurviewInformationProtection-Modul müssen Sie auch den Azure Rights Management-Dienst aktivieren.

In einigen Fällen können Sie den Schutz von Dateien für andere Entfernen, die Ihr eigenes Konto verwenden. Sie können beispielsweise den Schutz für andere Personen entfernen, um datenermittlungs- oder -wiederherstellungszwecken zu dienen. Wenn Sie Bezeichnungen zum Anwenden des Schutzes verwenden, können Sie diesen Schutz entfernen, indem Sie eine neue Bezeichnung festlegen, die keinen Schutz anwendet, oder Sie können die Bezeichnung entfernen.

Für solche Fälle müssen auch die folgenden Anforderungen erfüllt sein:

  • Die Funktion Superuser muss für Ihr Unternehmen aktiviert sein.
  • Ihr Konto muss als Azure Rights Management-Superbenutzer konfiguriert werden.

Ausführen von Informationsschutzbezeichnungs-Cmdlets ohne Beaufsichtigt

Wenn Sie die Cmdlets für die Bezeichnung ausführen, werden die Befehle in Ihrem eigenen Benutzerkontext in einer interaktiven PowerShell-Sitzung ausgeführt. Informationen zum automatischen Ausführen von Cmdlets zur Vertraulichkeitsbezeichnung finden Sie in den folgenden Abschnitten:

Grundlegendes zu den Voraussetzungen für die unbeaufsichtigte Ausführung von Bezeichnungs-Cmdlets

Verwenden Sie die folgenden Zugriffsdetails, um Purview Information Protection als unbeaufsichtigt bezeichnete Cmdlets auszuführen:

  • Ein Windows-Konto, das sich interaktiv anmelden kann.

  • Ein Microsoft Entra-Konto für den delegierten Zugriff. Verwenden Sie zur Vereinfachung der Verwaltung ein einzelnes Konto, das von Active Directory mit Microsoft Entra ID synchronisiert wird.

    Konfigurieren Sie für das delegierte Benutzerkonto die folgenden Anforderungen:

    Anforderung Details
    Bezeichnungsrichtlinie Stellen Sie sicher, dass Sie über eine Bezeichnungsrichtlinie verfügen, die diesem Konto zugewiesen ist und dass die Richtlinie die veröffentlichten Bezeichnungen enthält, die Sie verwenden möchten.

    Wenn Sie Bezeichnungsrichtlinien für verschiedene Benutzer verwenden, müssen Sie möglicherweise eine neue Bezeichnungsrichtlinie erstellen, die alle Ihre Bezeichnungen veröffentlicht und die Richtlinie nur für dieses delegierte Benutzerkonto veröffentlicht.
    Entschlüsseln von Inhalten Wenn dieses Konto Inhalte entschlüsseln muss, z. B. um Dateien neu zu schützen und dateien zu überprüfen, die von anderen geschützt sind, machen Sie es zu einem Superbenutzer für Information Protection, und stellen Sie sicher, dass das Superbenutzerfeature aktiviert ist.
    Einstiegskontrollen Wenn Sie Einführungskontrollen für eine schrittweise Bereitstellung implementiert haben, stellen Sie sicher, dass dieses Konto in den von Ihnen konfigurierten Einführungskontrollen enthalten ist.
  • Ein Microsoft Entra Zugriffstoken, das Anmeldeinformationen für den delegierten Benutzer zur Authentifizierung bei Microsoft Purview Information Protection festlegt und speichert. Wenn das Token in Microsoft Entra ID abläuft, müssen Sie das Cmdlet erneut ausführen, um ein neues Token abzurufen.

    Die Parameter für Set-Authentication verwenden Werte aus einem App-Registrierungsprozess in Microsoft Entra ID. Weitere Informationen finden Sie unter Create und Konfigurieren Microsoft Entra Anwendungen für Set-Authentication.

Führen Sie die Bezeichnungs-Cmdlets nicht interaktiv aus, indem Sie zuerst das Cmdlet Set-Authentication ausführen.

Der Computer, auf dem das Cmdlet Set-Authentication ausgeführt wird, lädt die Bezeichnungsrichtlinie herunter, die Ihrem delegierten Benutzerkonto im Microsoft Purview-Complianceportal zugewiesen ist.

Create und Konfigurieren Microsoft Entra Anwendungen für Set-Authentication

Das Cmdlet Set-Authentication erfordert eine App-Registrierung für die Parameter AppId und AppSecret .

So erstellen Sie eine neue App-Registrierung für das Cmdlet Set-Authentication des einheitlichen Bezeichnungsclients:

  1. Melden Sie sich in einem neuen Browserfenster im Azure-Portal beim Microsoft Entra Mandanten an, den Sie mit Microsoft Purview Information Protection verwenden.

  2. Navigieren Sie zu Microsoft Entra ID>Manage>App-Registrierungen, und wählen Sie Neue Registrierung aus.

  3. Geben Sie im Bereich Anwendung registrieren die folgenden Werte an, und wählen Sie dann Registrieren aus:

    Option Wert
    Name AIP-DelegatedUser
    Geben Sie bei Bedarf einen anderen Namen an. Der Name muss pro Mandant eindeutig sein.
    Unterstützte Kontotypen Wählen Sie Nur Konten in diesem Organisationsverzeichnis aus.
    Umleitungs-URI (optional) Wählen Sie Web, und geben Sie dann https://localhost ein.
  4. Kopieren Sie im Bereich AIP-DelegatedUser den Wert für die Anwendungs-(Client-)ID.

    Der Wert sieht ähnlich aus wie im folgenden Beispiel: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Dieser Wert wird für den AppId-Parameter verwendet, wenn Sie das Cmdlet Set-Authentication ausführen. Fügen Sie den Wert ein und speichern Sie ihn zur späteren Verwendung.

  5. Wählen Sie in der RandleisteZertifikate & Geheimnisse verwalten> aus.

    Wählen Sie dann im Bereich AIP-DelegateUser – Zertifikate & Geheimnisse im Abschnitt Clientgeheimnisse die Option Neuer geheimer Clientschlüssel aus.

  6. Geben Sie für Hinzufügen eines Client-Geheimnisses Folgendes an, und wählen Sie dann Hinzufügen:

    Feld Wert
    Beschreibung Microsoft Purview Information Protection client
    Läuft ab Geben Sie ihre Wahl der Dauer an (1 Jahr, 2 Jahre oder nie abläuft)
  7. Zurück im Bereich "AIP-DelegatedUser – Zertifikate & Geheimnisse ", kopieren Sie im Abschnitt Clientgeheimnisse die Zeichenfolge für den WERT.

    Diese Zeichenfolge sieht ähnlich aus wie das folgende Beispiel: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Um sicherzustellen, dass Sie alle Zeichen kopieren, wählen Sie das Symbol In die Zwischenablage kopieren.

    Wichtig

    Speichern Sie diese Zeichenfolge, da sie nicht erneut angezeigt wird und nicht abgerufen werden kann. Wie bei allen vertraulichen Informationen, die Sie verwenden, sollten Sie den gespeicherten Wert sicher aufbewahren und den Zugriff darauf beschränken.

  8. Wählen Sie in der Seitenleiste Verwalten>API-Berechtigungen.

    Wählen Sie im Bereich AIP-DelegatedUser - API-Berechtigungen die Option Berechtigung hinzufügen.

  9. Vergewissern Sie sich, dass Sie sich auf der Registerkarte Microsoft APIs befinden, und wählen Sie Azure Rights Management Services im Bereich API-Berechtigungen anfordern.

    Wenn Sie nach der Art der Berechtigungen gefragt werden, die Ihre Anwendung benötigt, wählen Sie Anwendungsberechtigungen.

  10. Erweitern Sie für Berechtigungen auswählen die Option Inhalt und wählen Sie die folgenden Optionen, und wählen Sie dann Berechtigungen hinzufügen.

    • Content.DelegatedReader
    • Content.DelegatedWriter
  11. Wählen Sie wieder im Fenster AIP-DelegatedUser - API-Berechtigungen die Option Berechtigung hinzufügen.

    Wählen Sie im Fenster AIP-Berechtigungen anfordern die Option APIs, die mein Unternehmen verwendet, und suchen Sie nach Microsoft Information Protection Sync Service.

  12. Wählen Sie im Fenster API-Berechtigungen anfordern die Option Anwendungsberechtigungen.

    Für Berechtigungen auswählen, erweitern Sie UnifiedPolicy, wählen Sie UnifiedPolicy.Tenant.Read und dann Berechtigungen hinzufügen.

  13. Wählen Sie im Bereich AIP-DelegatedUser – API-Berechtigungen die Option Administratoreinwilligung für Ihren Mandanten erteilen und für die Bestätigungsaufforderung Ja aus.

Nach diesem Schritt wird die Registrierung dieser App mit einem Geheimnis abgeschlossen. Sie können Set-Authentication mit den Parametern AppId und AppSecret ausführen. Darüber hinaus benötigen Sie Ihre Mandanten-ID.

Tipp

Sie können Ihre Mandanten-ID schnell kopieren, indem Sie Azure-Portal: Microsoft Entra ID>Manage>Properties>Directory ID verwenden.

Ausführen des cmdlets Set-Authentication

  1. Öffnen Sie Windows PowerShell mit der Option Als Administrator ausführen .

  2. Erstellen Sie in Ihrer PowerShell-Sitzung eine Variable zum Speichern der Anmeldeinformationen des Windows-Benutzerkontos, das nicht interaktiv ausgeführt wird. Wenn Sie beispielsweise ein Dienstkonto für den Scanner erstellt haben:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"
    

    Sie werden aufgefordert, das Kennwort dieses Kontos zu verwenden.

  3. Führen Sie das Cmdlet Set-Authentication mit dem Parameter OnBeHalfOf aus, und geben Sie als Wert die von Ihnen erstellte Variable an.

    Geben Sie außerdem Ihre App-Registrierungswerte, Ihre Mandanten-ID und den Namen des delegierten Benutzerkontos in Microsoft Entra ID an. Beispiel:

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds