Configurar o cliente de proteção de informações com o PowerShell

  • Artigo

Description

Contém instruções para instalar o cliente Proteção de Informações do Microsoft Purview e os cmdlets do PowerShell com o PowerShell.

Utilizar o PowerShell com o cliente Proteção de Informações do Microsoft Purview

O módulo Proteção de Informações do Microsoft Purview é instalado com o cliente de proteção de informações. O módulo do PowerShell associado é PurviewInformationProtection.

O módulo PurviewInformationProtection permite-lhe gerir o cliente com comandos e scripts de automatização; por exemplo:

  • Install-Scanner: instala e configura o serviço Information Protection Scanner num computador com o Windows Server 2019, Windows Server 2016 ou Windows Server 2012 R2.
  • Get-FileStatus: obtém a etiqueta de Information Protection e as informações de proteção de um ficheiro ou ficheiros especificados.
  • Start-Scan: instrui o analisador de proteção de informações a iniciar um ciclo de análise único.
  • Set-FileLabel -Autolabel: analisa um ficheiro para definir automaticamente uma etiqueta de proteção de informações para um ficheiro, de acordo com as condições configuradas na política.

Instalar o módulo Do PowerShell PurviewInformationProtection

Pré-requisitos de instalação

  • Este módulo requer Windows PowerShell 4.0. Este pré-requisito não é verificado durante a instalação. Certifique-se de que tem a versão correta do PowerShell instalada.
  • Certifique-se de que tem a versão mais recente do módulo PurviewInformationProtection PowerShell ao executar Import-Module PurviewInformationProtection.

Detalhes da instalação

Instale e configure o cliente de proteção de informações e os cmdlets associados com o PowerShell.

O módulo PurviewInformationProtection do PowerShell é instalado automaticamente quando instala a versão completa do cliente de proteção de informações. Em alternativa, só pode instalar o módulo com o parâmetro PowerShellOnly=true .

O módulo é instalado na pasta \ProgramFiles (x86)\PurviewInformationProtection e, em seguida, adiciona esta pasta à variável de PSModulePath sistema.

Importante

O módulo PurviewInformationProtection não suporta a configuração de definições avançadas para etiquetas ou políticas de etiquetas.

Para utilizar cmdlets com comprimentos de caminho superiores a 260 carateres, utilize a seguinte definição de política de grupo disponível a partir de Windows 10, versão 1607:

Política >de Computador LocalConfiguração do> ComputadorModelos Administrativos>Todas as Definições>Ativar caminhos longos do Win32

Para Windows Server 2016, pode utilizar a mesma definição de política de grupo quando instalar os Modelos Administrativos (.admx) mais recentes para Windows 10.

Para obter mais informações, veja a secção Limitação máxima do Comprimento do Caminho na documentação do programador Windows 10.

Compreender os pré-requisitos do módulo PurviewInformationProtection do PowerShell

Além dos pré-requisitos de instalação do módulo PurviewInformationProtection, também tem de ativar o serviço Azure Rights Management.

Em alguns casos, poderá querer remover a proteção de ficheiros para outras pessoas que utilizam a sua própria conta. Por exemplo, poderá querer remover a proteção para outras pessoas por uma questão de deteção ou recuperação de dados. Se estiver a utilizar etiquetas para aplicar proteção, pode remover essa proteção ao definir uma nova etiqueta que não aplique proteção ou pode remover a etiqueta.

Para casos como este, os seguintes requisitos também têm de ser cumpridos:

  • A funcionalidade de superutilizador tem de estar ativada para a sua organização.
  • A sua conta tem de ser configurada como um superutilizador do Azure Rights Management.

Executar cmdlets de etiquetagem de proteção de informações sem supervisão

Por predefinição, quando executa os cmdlets de etiquetagem, os comandos são executados no seu próprio contexto de utilizador numa sessão interativa do PowerShell. Para executar automaticamente cmdlets de etiquetagem de confidencialidade, leia as secções seguintes:

Compreender os pré-requisitos para executar cmdlets de etiquetagem sem supervisão

Para executar o Purview Information Protection cmdlets de etiquetagem automática, utilize os seguintes detalhes de acesso:

  • Uma conta do Windows que pode iniciar sessão interativamente.

  • Uma conta Microsoft Entra para acesso delegado. Para facilitar a administração, utilize uma única conta que sincronize do Active Directory para Microsoft Entra ID.

    Para a conta de utilizador delegada, configure os seguintes requisitos:

    Requisito Detalhes
    Política de etiquetas Certifique-se de que tem uma política de etiquetas atribuída a esta conta e que a política contém as etiquetas publicadas que pretende utilizar.

    Se utilizar políticas de etiquetas para utilizadores diferentes, poderá ter de criar uma nova política de etiquetas que publique todas as suas etiquetas e publicar a política apenas nesta conta de utilizador delegada.
    Desencriptar conteúdo Se esta conta precisar de desencriptar conteúdo, por exemplo, para voltar a proteger ficheiros e inspecionar ficheiros protegidos por outras pessoas, torne-o um superutilizador para Information Protection e certifique-se de que a funcionalidade de superutilizador está ativada.
    Controlos de inclusão Se tiver implementado controlos de inclusão para uma implementação faseada, certifique-se de que esta conta está incluída nos controlos de inclusão que configurou.

  • Um token de acesso Microsoft Entra, que define e armazena credenciais para o utilizador delegado se autenticar no Proteção de Informações do Microsoft Purview. Quando o token no Microsoft Entra ID expirar, tem de executar o cmdlet novamente para adquirir um novo token.

    Os parâmetros para Set-Authentication utilizam valores de um processo de registo de aplicações no Microsoft Entra ID. Para obter mais informações, veja Create e configure aplicações Microsoft Entra para Set-Authentication.

Execute os cmdlets de etiquetagem de forma não interativa ao executar primeiro o cmdlet Set-Authentication .

O computador que executa o cmdlet Set-Authentication transfere a política de etiquetagem atribuída à sua conta de utilizador delegada no Portal de Conformidade do Microsoft Purview.

Create e configurar aplicações Microsoft Entra para Set-Authentication

O cmdlet Set-Authentication requer um registo de aplicação para os parâmetros AppId e AppSecret .

Para criar um novo registo de aplicação para o cmdlet Set-Authentication do cliente de etiquetagem unificada:

  1. Numa nova janela do browser, inicie sessão no portal do Azure para o inquilino Microsoft Entra que utiliza com Proteção de Informações do Microsoft Purview.

  2. Navegue para Microsoft Entra ID>Gerir>Registos de aplicações e selecione Novo registo.

  3. No painel Registar uma aplicação , especifique os seguintes valores e, em seguida, selecione Registar:

    Opção Valor
    Nome AIP-DelegatedUser
    Especifique um nome diferente, conforme necessário. O nome tem de ser exclusivo por inquilino.
    Tipos de conta suportados Selecione Contas apenas neste diretório organizacional.
    URI de Redirecionamento (opcional) Selecione Web e, em seguida, introduza https://localhost.

  4. No painel AIP-DelegatedUser, copie o valor do ID da Aplicação (cliente).

    O valor é semelhante ao seguinte exemplo: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Este valor é utilizado para o parâmetro AppId quando executa o cmdlet Set-Authentication . Cole e guarde o valor para referência posterior.

  5. Na barra lateral, selecione Gerir>Certificados & segredos.

    Em seguida, no painel AIP-DelegatedUser – Certificados & segredos , na secção Segredos do cliente , selecione Novo segredo do cliente.

  6. Para Adicionar um segredo de cliente, especifique o seguinte e, em seguida, selecione Adicionar:

    Campo Valor
    Descrição Microsoft Purview Information Protection client
    Expira Especifique a sua escolha de duração (1 ano, 2 anos ou nunca expira)

  7. Novamente no painel AIP-DelegatedUser – Certificados & segredos , na secção Segredos do cliente , copie a cadeia para o VALOR.

    Esta cadeia tem um aspeto semelhante ao seguinte exemplo: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Para se certificar de que copia todos os carateres, selecione o ícone para Copiar para a área de transferência.

    Importante

    Guarde esta cadeia porque não é apresentada novamente e não pode ser obtida. Tal como acontece com todas as informações confidenciais que utiliza, armazene o valor guardado de forma segura e restrinja o acesso ao mesmo.

  8. Na barra lateral, selecione Gerir>permissões de API.

    No painel Permissões AIP-DelegatedUser - API , selecione Adicionar uma permissão.

  9. No painel Pedir permissões da API , certifique-se de que está no separador APIs da Microsoft e selecione Serviços do Azure Rights Management.

    Quando lhe for pedido o tipo de permissões necessárias para a sua aplicação, selecione Permissões da aplicação.

  10. Para Selecionar permissões, expanda Conteúdo , selecione o seguinte e, em seguida, selecione Adicionar permissões.

    • Content.DelegatedReader
    • Content.DelegatedWriter

  11. Novamente no painel Permissões AIP-DelegatedUser – API , selecione Adicionar uma permissão novamente.

    No painel Pedir permissões do AIP, selecione APIs que a minha organização utiliza e procure o Serviço de Sincronização do Microsoft Information Protection.

  12. No painel Pedir permissões da API , selecione Permissões da aplicação.

    Para Selecionar permissões, expanda UnifiedPolicy, selecione UnifiedPolicy.Tenant.Read e, em seguida, selecione Adicionar permissões.

  13. De volta ao painel permissões AIP-DelegatedUser - API , selecione Conceder consentimento de administrador para o seu inquilino e selecione Sim para o pedido de confirmação.

Após este passo, o registo desta aplicação com um segredo é concluído. Está pronto para executar Set-Authentication com os parâmetros AppId e AppSecret. Além disso, precisa do seu ID de inquilino.

Dica

Pode copiar rapidamente o seu ID de inquilino com portal do Azure: Microsoft Entra ID>Gerir>ID do Diretório dePropriedades>.

Executar o cmdlet Set-Authentication

  1. Abra Windows PowerShell com a opção Executar como administrador.

  2. Na sua sessão do PowerShell, crie uma variável para armazenar as credenciais da conta de utilizador do Windows que é executada de forma não interativa. Por exemplo, se tiver criado uma conta de serviço para o scanner:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"

    É-lhe pedida a palavra-passe desta conta.

  3. Execute o cmdlet Set-Authentication, com o parâmetro OnBeHalfOf , especificando como valor a variável que criou.

    Especifique também os valores de registo da aplicação, o ID de inquilino e o nome da conta de utilizador delegada no Microsoft Entra ID. Por exemplo:

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds