PowerShell を使用して情報保護クライアントを設定する

  • [アーティクル]

説明

PowerShell を使用して Microsoft Purview 情報保護 クライアントコマンドレットと PowerShell コマンドレットをインストールする手順について説明します。

Microsoft Purview 情報保護 クライアントで PowerShell を使用する

Microsoft Purview 情報保護 モジュールは、情報保護クライアントと共にインストールされます。 関連付けられている PowerShell モジュールは PurviewInformationProtection です

PurviewInformationProtection モジュールを使用すると、コマンドと自動化スクリプトを使用してクライアントを管理できます。例えば:

  • Install-Scanner: Windows Server 2019、Windows Server 2016、または Windows Server 2012 R2 を実行しているコンピューターにInformation Protection スキャナー サービスをインストールして構成します。
  • Get-FileStatus: 指定したファイルのInformation Protectionラベルと保護情報を取得します。
  • Start-Scan: 1 回限りのスキャン サイクルを開始するように情報保護スキャナーに指示します。
  • Set-FileLabel -Autolabel: ポリシーで構成されている条件に従って、ファイルをスキャンして、ファイルの情報保護ラベルを自動的に設定します。

PurviewInformationProtection PowerShell モジュールをインストールする

設置の前提条件

  • このモジュールには、Windows PowerShell 4.0 が必要です。 この前提条件は、インストール中はチェックされません。 正しいバージョンの PowerShell がインストールされていることを確認します。
  • を実行 Import-Module PurviewInformationProtectionして、PurviewInformationProtection PowerShell モジュールの最新バージョンがあることを確認します。

インストールの詳細

PowerShell を使用して、情報保護クライアントと関連するコマンドレットをインストールして構成します。

情報保護クライアントのフル バージョンをインストールすると、PurviewInformationProtection PowerShell モジュールが自動的にインストールされます。 または、 PowerShellOnly=true パラメーターを使用してのみモジュールをインストールできます。

モジュールは \ProgramFiles (x86)\PurviewInformationProtection フォルダーにインストールされ、このフォルダーを PSModulePath システム変数に追加します。

重要

PurviewInformationProtection モジュールでは、ラベルまたはラベル ポリシーの詳細設定の構成はサポートされていません。

パスの長さが 260 文字を超えるコマンドレットを使用するには、Windows 10 バージョン 1607 以降で使用できる次のグループ ポリシー設定を使用します。

ローカル コンピューター ポリシー>コンピューターの構成>管理用テンプレート>すべての設定>Win32 の長いパスを有効にする

Windows Server 2016 の場合、Windows 10 用の最新の管理用テンプレート (.admx) をインストールすれば、同じグループ ポリシー設定を使用できます。

詳しくは、Windows 10 開発者向けドキュメントの「Maximum Path Length Limitation (パスの最大長の制限)」をご覧ください。

PurviewInformationProtection PowerShell モジュールの前提条件を理解する

PurviewInformationProtection モジュールのインストールの前提条件に加えて、 Azure Rights Management サービスをアクティブ化する必要もあります。

場合によっては、自分のアカウントを使用する他のユーザーのファイルから保護を削除することが必要になる場合があります。 たとえば、データの検出や回復のために、他のユーザーの保護を削除することができます。 ラベルを使用して保護を適用している場合は、保護を適用しない新しいラベルを設定して保護を削除するか、ラベルを削除できます。

このような場合は、次の要件も満たす必要があります。

  • 組織のスーパー ユーザー機能が有効になっている必要があります。
  • アカウントは、Azure Rights Management スーパー ユーザーとして構成する必要があります。

情報保護ラベル付けコマンドレットを無人で実行する

既定では、ラベル付けのコマンドレットを実行するとき、対話型 PowerShell セッション内のユーザー コンテキストでコマンドは動作します。 秘密度ラベル付けコマンドレットを自動的に実行するには、次のセクションを参照してください。

ラベル付けコマンドレットを無人で実行するための前提条件について理解する

Purview Information Protectionラベル付けコマンドレットを無人で実行するには、次のアクセスの詳細を使用します。

  • 対話形式でサインイン可能な Windows アカウント

  • 委任されたアクセス用のMicrosoft Entra アカウント。 管理を容易にするために、Active Directory からMicrosoft Entra IDに同期する 1 つのアカウントを使用します。

    委任されたユーザー アカウントの場合は、次の要件を構成します。

    要件 詳細
    ラベル ポリシー このアカウントにラベル ポリシーが割り当てられていること、および使用する必要がある発行されたラベルがそのポリシーに含まれていることを確認してください。

    異なるユーザーにラベル ポリシーを使用する場合は、すべてのラベルを発行する新しいラベル ポリシーを作成し、この委任されたユーザー アカウントのみにそのポリシーを発行する必要がある場合があります。
    コンテンツの復号化 このアカウントでコンテンツの暗号化を解除する必要がある場合 (たとえば、ファイルを再保護し、他のユーザーによって保護されたファイルを検査する場合)、Information Protectionのスーパー ユーザーにして、スーパー ユーザー機能が有効になっていることを確認します。
    オンボーディング コントロール 段階的なデプロイのためにオンボーディング制御を実装している場合は、構成したオンボーディング制御にこのアカウントが含まれていることを確認してください。

  • Microsoft Entra アクセス トークン。委任されたユーザーがMicrosoft Purview 情報保護に対して認証するための資格情報を設定して格納します。 Microsoft Entra ID内のトークンの有効期限が切れた場合は、コマンドレットをもう一度実行して新しいトークンを取得する必要があります。

    Set-Authentication のパラメーターでは、Microsoft Entra IDのアプリ登録プロセスの値が使用されます。 詳細については、「Set-Authentication 用のMicrosoft Entra アプリケーションのCreateと構成」を参照してください。

最初に Set-Authentication コマンドレットを実行して、ラベル付けコマンドレットを対話形式以外で実行します。

Set-Authentication コマンドレットを実行しているコンピューターは、委任されたユーザー アカウントに割り当てられているラベル付けポリシーをMicrosoft Purview コンプライアンス ポータルでダウンロードします。

Set-Authentication 用のMicrosoft Entra アプリケーションをCreateして構成する

Set-Authentication コマンドレットには、AppId パラメーターと AppSecret パラメーターのアプリ登録が必要です。

統合ラベル付けクライアント Set-Authentication コマンドレットの新しいアプリ登録を作成するには:

  1. 新しいブラウザー ウィンドウで、Microsoft Purview 情報保護で使用するMicrosoft Entra テナントにAzure portalをサインインします。

  2. [Microsoft Entra ID>管理>アプリの登録に移動し、[新規登録] を選択します。

  3. [ アプリケーションの登録 ] ウィンドウで、次の値を指定し、[ 登録] を選択します。

    オプション
    名前 AIP-DelegatedUser
    必要に応じて、別の名前を指定します。 名前は、テナントごとに一意である必要があります。
    サポートされているアカウントの種類 [この組織のディレクトリ内のアカウントのみ] を選択します。
    リダイレクト URI (省略可能) [Web] を選択し、「https://localhost」と入力します。

  4. [AIP-DelegatedUser] ペインで、[アプリケーション (クライアント) ID] の値をコピーします。

    値は例の 77c3c1c3-abf9-404e-8b2b-4652836c8c66 のようになります。

    この値は、Set-Authentication コマンドレットを実行するときに AppId パラメーターに使用されます。 後で参照するために値を貼り付けて保存します。

  5. サイドバーで、[証明書 & シークレット管理>] を選択します。

    次に、[ AIP-DelegatedUser - 証明書 & シークレット ] ウィンドウの [ クライアント シークレット ] セクションで、[ 新しいクライアント シークレット] を選択します。

  6. [クライアント シークレットの追加] で、次の内容を指定してから、[追加] を選択します。

    フィールド
    説明 Microsoft Purview Information Protection client
    Expires 期間の選択 (1 年2 年、または有効期限なし) を指定します

  7. [AIP-DelegatedUser - Certificates & secrets]\(シークレット & 証明書\) ペインに戻り、[クライアント シークレット] セクションで、VALUE の文字列をコピーします。

    文字列は例のOAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4 のようになります。

    すべての文字を確実にコピーするために、[クリップボードにコピー] アイコンを選択します。

    重要

    この文字列は再び表示されず、取得できないため、保存します。 使用する他の機密性の高い情報と同じように、保存された値を安全に格納し、それに対するアクセスを制限します。

  8. サイドバーで、[管理]>[API のアクセス許可] を選択します。

    [AIP-DelegatedUser] - [API のアクセス許可] ペインで、[アクセス許可の追加] を選択します。

  9. [API アクセス許可の要求] ペインで、[Microsoft API] タブにいることを確認し、[Microsoft Rights Management Services] を選択します。

    アプリケーションに必要なアクセス許可の種類を求めるメッセージが表示されたら、[アプリケーションのアクセス許可] を選択します。

  10. [アクセス許可を選択する] で、[コンテンツ] を展開し、次を選択してから、[アクセス許可の追加] を選択します。

    • Content.DelegatedReader
    • Content.DelegatedWriter

  11. [AIP-DelegatedUser] - [API のアクセス許可] ペインに戻り、もう一度 [アクセス許可の追加] を選択します。

    [API アクセス許可の要求] ペインで、[所属する組織で使用している API] を選択して、「Microsoft Information Protection 同期サービス」を検索します。

  12. [API アクセス許可の要求] ペインで、[アプリケーションのアクセス許可] を選択します。

    [アクセス許可を選択する] で、[UnifiedPolicy] を展開し、[UnifiedPolicy.Tenant.Read] を選択してから、[アクセス許可の追加] を選択します。

  13. [AIP-DelegatedUser - API のアクセス許可] ウィンドウに戻り、[テナントの管理者の同意付与する] を選択し、確認プロンプトで [はい] を選択します。

この手順の後、シークレットを使用してこのアプリの登録が完了します。 パラメーター AppIdAppSecret を使用して Set-Authentication を実行する準備ができました。 さらに、テナント ID が必要です。

ヒント

Azure portal: Microsoft Entra ID>Manage>Properties>Directory ID を使用すると、テナント ID をすばやくコピーできます。

Set-Authentication コマンドレットを実行する

  1. [管理者として実行] オプションを使用して、Windows PowerShell を開きます。

  2. PowerShell セッションで、非対話型で実行される Windows ユーザー アカウントの資格情報を格納する変数を作成します。 たとえば、スキャナーのサービス アカウントを作成した場合は、次のようになります。

    $pscreds = Get-Credential "CONTOSO\srv-scanner"

    このアカウントのパスワードを求めるプロンプトが表示されます。

  3. onBeHalfOf パラメーターを指定して、作成した変数の値として を指定して、Set-Authentication コマンドレットを実行します。

    また、アプリの登録値、テナント ID、および委任されたユーザー アカウントの名前をMicrosoft Entra IDで指定します。 次に例を示します。

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds