Configurer le client de protection des informations à l’aide de PowerShell

Description

Contient des instructions pour installer le client Protection des données Microsoft Purview et les applets de commande PowerShell à l’aide de PowerShell.

Utiliser PowerShell avec le client Protection des données Microsoft Purview

Le module Protection des données Microsoft Purview est installé avec le client de protection des informations. Le module PowerShell associé est PurviewInformationProtection.

Le module PurviewInformationProtection vous permet de gérer le client avec des commandes et des scripts d’automatisation ; par exemple :

  • Install-Scanner : installe et configure le service scanneur Information Protection sur un ordinateur exécutant Windows Server 2019, Windows Server 2016 ou Windows Server 2012 R2.
  • Get-FileStatus : obtient l’étiquette Information Protection et les informations de protection d’un ou plusieurs fichiers spécifiés.
  • Start-Scan : indique au scanneur de protection des informations de démarrer un cycle d’analyse unique.
  • Set-FileLabel -Autolabel : analyse un fichier pour définir automatiquement une étiquette de protection des informations pour un fichier, en fonction des conditions configurées dans la stratégie.

Installer le module PowerShell PurviewInformationProtection

Prérequis pour l’installation

  • Ce module nécessite Windows PowerShell 4.0. Ce prérequis n’est pas vérifié pendant l’installation. Vérifiez que la version correcte de PowerShell est installée.
  • Vérifiez que vous disposez de la version la plus récente du module PowerShell PurviewInformationProtection en exécutant Import-Module PurviewInformationProtection.

Détails de l’installation

Vous installez et configurez le client de protection des informations et les applets de commande associées à l’aide de PowerShell.

Le module PowerShell PurviewInformationProtection s’installe automatiquement lorsque vous installez la version complète du client de protection des informations. Vous pouvez également installer le module uniquement à l’aide du paramètre PowerShellOnly=true .

Le module est installé dans le dossier \ProgramFiles (x86)\PurviewInformationProtection , puis ajoute ce dossier à la PSModulePath variable système.

Important

Le module PurviewInformationProtection ne prend pas en charge la configuration des paramètres avancés pour les étiquettes ou les stratégies d’étiquette.

Pour utiliser des applets de commande dont la longueur de chemin est supérieure à 260 caractères, utilisez le paramètre de stratégie de groupe suivant disponible à partir de Windows 10, version 1607 :

Stratégie >d’ordinateur localConfiguration de l’ordinateur>Modèles d’administration>Tous les paramètres>Activer les chemins longs Win32

Pour Windows Server 2016, vous pouvez utiliser le même paramètre de stratégie de groupe lorsque vous installez les derniers modèles d’administration (.admx) pour Windows 10.

Pour plus d’informations, consultez la section consacréee à la longueur maximale des chemins dans la documentation pour développeurs Windows 10.

Comprendre les prérequis pour le module PowerShell PurviewInformationProtection

En plus des conditions préalables à l’installation du module PurviewInformationProtection, vous devez également activer le service Azure Rights Management.

Dans certains cas, vous pouvez supprimer la protection des fichiers pour d’autres qui utilisent votre propre compte. Par exemple, vous souhaiterez peut-être supprimer la protection d’autres personnes pour la découverte ou la récupération des données. Si vous utilisez des étiquettes pour appliquer la protection, vous pouvez supprimer cette protection en définissant une nouvelle étiquette qui n’applique pas la protection, ou vous pouvez supprimer l’étiquette.

Dans de tels cas, les conditions suivantes doivent également être remplies :

  • La fonctionnalité super-utilisateur doit être activée pour votre organization.
  • Votre compte doit être configuré en tant que super utilisateur Azure Rights Management.

Exécuter des applets de commande d’étiquetage des informations de protection sans assistance

Par défaut, lorsque vous exécutez les applets de commande d’étiquetage, les commandes s’exécutent dans votre propre contexte utilisateur dans une session PowerShell interactive. Pour exécuter automatiquement des applets de commande d’étiquetage de confidentialité, lisez les sections suivantes :

Comprendre les prérequis pour exécuter des applets de commande d’étiquetage sans assistance

Pour exécuter des applets de commande d’étiquetage Purview Information Protection sans assistance, utilisez les détails d’accès suivants :

  • Un compte Windows qui peut se connecter de manière interactive.

  • Un compte Microsoft Entra, pour l’accès délégué. Pour faciliter l’administration, utilisez un seul compte qui se synchronise entre Active Directory et Microsoft Entra ID.

    Pour le compte d’utilisateur délégué, configurez les conditions suivantes :

    Condition requise Détails
    Stratégie d’étiquette Assurez-vous qu’une stratégie d’étiquette est affectée à ce compte et que la stratégie contient les étiquettes publiées que vous souhaitez utiliser.

    Si vous utilisez des stratégies d’étiquette pour différents utilisateurs, vous devrez peut-être créer une stratégie d’étiquette qui publie toutes vos étiquettes et publier la stratégie uniquement sur ce compte d’utilisateur délégué.
    Déchiffrement du contenu Si ce compte doit déchiffrer du contenu, par exemple, pour reprotéger des fichiers et inspecter des fichiers protégés par d’autres, faites-en un super utilisateur pour Information Protection et vérifiez que la fonctionnalité super-utilisateur est activée.
    Contrôles d’intégration Si vous avez implémenté des contrôles d’intégration pour un déploiement par phases, assurez-vous que ce compte est inclus dans vos contrôles d’intégration que vous avez configurés.
  • Un jeton d’accès Microsoft Entra, qui définit et stocke les informations d’identification pour que l’utilisateur délégué s’authentifie auprès de Protection des données Microsoft Purview. Lorsque le jeton dans Microsoft Entra ID expire, vous devez réexécuter l’applet de commande pour acquérir un nouveau jeton.

    Les paramètres de Set-Authentication utilisent les valeurs d’un processus d’inscription d’application dans Microsoft Entra ID. Pour plus d’informations, consultez Create et configurer Microsoft Entra applications pour Set-Authentication.

Exécutez les applets de commande d’étiquetage de manière non interactive en exécutant d’abord l’applet de commande Set-Authentication .

L’ordinateur exécutant l’applet de commande Set-Authentication télécharge la stratégie d’étiquetage affectée à votre compte d’utilisateur délégué dans le portail de conformité Microsoft Purview.

Create et configurer des applications Microsoft Entra pour Set-Authentication

L’applet de commande Set-Authentication nécessite une inscription d’application pour les paramètres AppId et AppSecret .

Pour créer une inscription d’application pour l’applet de commande Set-Authentication du client d’étiquetage unifié :

  1. Dans une nouvelle fenêtre de navigateur, connectez le Portail Azure au locataire Microsoft Entra que vous utilisez avec Protection des données Microsoft Purview.

  2. Accédez à Microsoft Entra ID>Manage>inscriptions d'applications, puis sélectionnez Nouvelle inscription.

  3. Dans le volet Inscrire une application , spécifiez les valeurs suivantes, puis sélectionnez Inscrire :

    Option Valeur
    Nom AIP-DelegatedUser
    Spécifiez un autre nom si nécessaire. Le nom doit être unique par locataire.
    Types de comptes pris en charge Sélectionnez Comptes dans ce répertoire organisationnel uniquement.
    URI de redirection (facultatif) Sélectionnez Web, puis entrez https://localhost.
  4. Dans le volet AIP-DelegatedUser, copiez la valeur de l’ID d’application (client).

    La valeur ressemble à l’exemple suivant : 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Cette valeur est utilisée pour le paramètre AppId lorsque vous exécutez l’applet de commande Set-Authentication . Collez et enregistrez la valeur pour une référence ultérieure.

  5. Dans la barre latérale, sélectionnez Gérer les>certificats & secrets.

    Ensuite, dans le volet AIP-DelegatedUser - Certificats & secrets , dans la section Secrets client , sélectionnez Nouvelle clé secrète client.

  6. Pour Ajouter une clé secrète client, spécifiez les éléments suivants, puis sélectionnez Ajouter :

    Champ Valeur
    Description Microsoft Purview Information Protection client
    Expires Spécifiez votre choix de durée (1 an, 2 ans ou n’expire jamais)
  7. De retour dans le volet AIP-DelegatedUser - Certificats & secrets , dans la section Secrets client , copiez la chaîne de la VALEUR.

    Cette chaîne ressemble à l’exemple suivant : OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Pour vous assurer de copier tous les caractères, sélectionnez l’icône Copier dans le Presse-papiers.

    Important

    Enregistrez cette chaîne, car elle n’est plus affichée et qu’elle ne peut pas être récupérée. Comme pour toutes les informations sensibles que vous utilisez, stockez la valeur enregistrée en toute sécurité et limitez l’accès à celle-ci.

  8. Dans la barre latérale, sélectionnez Gérer les>autorisations d’API.

    Dans le volet AIP-DelegatedUser - Autorisations d’API , sélectionnez Ajouter une autorisation.

  9. Dans le volet Demander des autorisations d’API, vérifiez que vous êtes sous l’onglet API Microsoft, puis sélectionnez Azure Rights Management Services.

    Lorsque vous êtes invité à entrer le type d’autorisations dont votre application a besoin, sélectionnez Autorisations d’application.

  10. Pour Sélectionner les autorisations, développez Contenu et sélectionnez les éléments suivants, puis sélectionnez Ajouter des autorisations.

    • Content.DelegatedReader
    • Content.DelegatedWriter
  11. De retour dans le volet AIP-DelegatedUser - Api permissions (AIP-DelegatedUser - API permissions ), sélectionnez à nouveau Ajouter une autorisation .

    Dans le volet Demander des autorisations AIP, sélectionnez API que mon organization utilise, puis recherchez Microsoft Information Protection Sync Service.

  12. Dans le volet Demander des autorisations d’API , sélectionnez Autorisations d’application.

    Pour Sélectionner les autorisations, développez UnifiedPolicy, sélectionnez UnifiedPolicy.Tenant.Read, puis Ajouter des autorisations.

  13. De retour dans le volet AIP-DelegatedUser - Autorisations d’API , sélectionnez Accorder le consentement administrateur pour votre locataire , puis sélectionnez Oui pour l’invite de confirmation.

Après cette étape, l’inscription de cette application avec un secret se termine. Vous êtes prêt à exécuter Set-Authentication avec les paramètres AppId et AppSecret. En outre, vous avez besoin de votre ID de locataire.

Conseil

Vous pouvez rapidement copier votre ID de locataire à l’aide de Portail Azure : Microsoft Entra ID>Manage>Properties Directory>ID.

Exécuter l’applet de commande Set-Authentication

  1. Ouvrez Windows PowerShell avec l’option Exécuter en tant qu’administrateur.

  2. Dans votre session PowerShell, créez une variable pour stocker les informations d’identification du compte d’utilisateur Windows qui s’exécute de manière non interactive. Par exemple, si vous avez créé un compte de service pour le scanneur :

    $pscreds = Get-Credential "CONTOSO\srv-scanner"
    

    Vous êtes invité à entrer le mot de passe de ce compte.

  3. Exécutez l’applet de commande Set-Authentication, avec le paramètre OnBeHalfOf , en spécifiant comme valeur la variable que vous avez créée.

    Spécifiez également vos valeurs d’inscription d’application, votre ID de locataire et le nom du compte d’utilisateur délégué dans Microsoft Entra ID. Par exemple :

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds