Konfigurera informationsskyddsklienten med PowerShell
Description
Innehåller instruktioner för att installera Microsoft Purview Information Protection-klienten och PowerShell-cmdletar med hjälp av PowerShell.
Använda PowerShell med Microsoft Purview Information Protection-klienten
Modulen Microsoft Purview Information Protection installeras med informationsskyddsklienten. Den associerade PowerShell-modulen är PurviewInformationProtection.
Med modulen PurviewInformationProtection kan du hantera klienten med kommandon och automatiseringsskript. till exempel:
- Install-Scanner: Installerar och konfigurerar tjänsten Information Protection Scanner på en dator som kör Windows Server 2019, Windows Server 2016 eller Windows Server 2012 R2.
- Get-FileStatus: Hämtar Information Protection etikett- och skyddsinformation för en angiven fil eller fil.
- Startgenomsökning: Instruerar informationsskyddsskannern att starta en engångsgenomsökningscykel.
- Set-FileLabel -Autolabel: Genomsöker en fil för att automatiskt ange en informationsskyddsetikett för en fil, enligt villkor som har konfigurerats i principen.
Installera PowerShell-modulen PurviewInformationProtection
Installationskrav
- Den här modulen kräver Windows PowerShell 4.0. Den här förutsättningen kontrolleras inte under installationen. Kontrollera att du har rätt version av PowerShell installerad.
- Kontrollera att du har den senaste versionen av PowerShell-modulen PurviewInformationProtection genom att köra
Import-Module PurviewInformationProtection
.
Installationsinformation
Du installerar och konfigurerar informationsskyddsklienten och tillhörande cmdletar med hjälp av PowerShell.
PurviewInformationProtection PowerShell-modulen installeras automatiskt när du installerar den fullständiga versionen av informationsskyddsklienten. Du kan också installera modulen endast med hjälp av parametern PowerShellOnly=true .
Modulen installeras i mappen \ProgramFiles (x86)\PurviewInformationProtection och lägger sedan till den här mappen i PSModulePath
systemvariabeln.
Viktigt
Modulen PurviewInformationProtection stöder inte konfiguration av avancerade inställningar för etiketter eller etikettprinciper.
Om du vill använda cmdletar med sökvägslängder som är större än 260 tecken använder du följande grupprincipinställning som är tillgänglig från och med Windows 10 version 1607:
Princip >för lokal datorDatorkonfiguration>Administrativa mallar>Alla inställningar>Aktivera långa Win32-sökvägar
För Windows Server 2016 kan du använda samma grupprincipinställning när du installerar de senaste administrativa mallarna (.admx) för Windows 10.
Mer information finns i avsnittet Maximal begränsning av sökvägslängd i Windows 10 utvecklardokumentation.
Förstå kraven för PowerShell-modulen PurviewInformationProtection
Förutom installationskraven för Modulen PurviewInformationProtection måste du också aktivera Azure Rights Management-tjänsten.
I vissa fall kanske du vill ta bort skyddet från filer för andra som använder ditt eget konto. Du kanske till exempel vill ta bort skyddet för andra för dataidentifiering eller återställning. Om du använder etiketter för att tillämpa skydd kan du ta bort skyddet genom att ange en ny etikett som inte tillämpar skydd, eller så kan du ta bort etiketten.
I fall som detta måste följande krav också uppfyllas:
- Superanvändarfunktionen måste vara aktiverad för din organisation.
- Ditt konto måste konfigureras som en superanvändare i Azure Rights Management.
Köra cmdletar för informationsskyddsetiketter obevakade
När du kör cmdletarna för etikettering, körs kommandona i din egen användarkontext i en interaktiv PowerShell-session som standard. Om du vill köra cmdletar för känslighetsetiketter automatiskt läser du följande avsnitt:
- Förstå förutsättningar för att köra etiketterings-cmdletar obevakade
- Skapa och konfigurera Microsoft Entra program för set-authentication
- Kör cmdleten Set-Authentication
Förstå förutsättningar för att köra etiketterings-cmdletar obevakade
Om du vill köra Purview Information Protection etiketterings-cmdletar obevakade använder du följande åtkomstinformation:
Ett Windows-konto som kan logga in interaktivt.
Ett Microsoft Entra konto för delegerad åtkomst. För enkel administration använder du ett enda konto som synkroniseras från Active Directory till Microsoft Entra ID.
Konfigurera följande krav för det delegerade användarkontot:
Krav Information Etikettprincip Kontrollera att du har en etikettprincip tilldelad till det här kontot och att principen innehåller de publicerade etiketter som du vill använda.
Om du använder etikettprinciper för olika användare kan du behöva skapa en ny etikettprincip som publicerar alla etiketter och publicera principen till bara det här delegerade användarkontot.Dekryptera innehåll Om det här kontot behöver dekryptera innehåll, till exempel för att återaktivera skyddet av filer och granska filer som skyddas av andra, gör det till en superanvändare för Information Protection och se till att superanvändarfunktionen är aktiverad. Registrering av kontroller Om du har implementerat registreringskontroller för en stegvis distribution kontrollerar du att det här kontot ingår i de registreringskontroller som du har konfigurerat. En Microsoft Entra åtkomsttoken som anger och lagrar autentiseringsuppgifter för den delegerade användaren att autentisera till Microsoft Purview Information Protection. När token i Microsoft Entra ID upphör att gälla måste du köra cmdleten igen för att hämta en ny token.
Parametrarna för Set-Authentication använder värden från en appregistreringsprocess i Microsoft Entra ID. Mer information finns i Skapa och konfigurera Microsoft Entra program för Set-Authentication.
Kör etiketterings-cmdletarna icke-interaktivt genom att först köra cmdleten Set-Authentication .
Datorn som kör cmdleten Set-Authentication laddar ned etikettprincipen som har tilldelats ditt delegerade användarkonto i efterlevnadsportal i Microsoft Purview.
Skapa och konfigurera Microsoft Entra program för Set-Authentication
Cmdleten Set-Authentication kräver en appregistrering för parametrarna AppId och AppSecret .
Så här skapar du en ny appregistrering för cmdleten unified labeling client Set-Authentication:
I ett nytt webbläsarfönster loggar du in Azure Portal till den Microsoft Entra klientorganisation som du använder med Microsoft Purview Information Protection.
Gå till Microsoft Entra ID>Hantera>Appregistreringar och välj Ny registrering.
I fönstret Registrera ett program anger du följande värden och väljer sedan Registrera:
Alternativ Värde Namn AIP-DelegatedUser
Ange ett annat namn efter behov. Namnet måste vara unikt per klientorganisation.Kontotyper som stöds Välj Endast konton i den här organisationskatalogen. Omdirigerings-URI (valfritt) Välj Webb och ange https://localhost
sedan .I fönstret AIP-DelegatedUser kopierar du värdet för program-ID:t (klient).
Värdet ser ut ungefär som i följande exempel:
77c3c1c3-abf9-404e-8b2b-4652836c8c66
.Det här värdet används för AppId-parametern när du kör cmdleten Set-Authentication . Klistra in och spara värdet för senare referens.
I sidofältet väljer du Hantera>certifikat & hemligheter.
I fönstret AIP-DelegatedUser – Certificates & secrets (AIP-DelegatedUser – Certifikat & hemligheter ) går du till avsnittet Klienthemligheter och väljer Ny klienthemlighet.
För Lägg till en klienthemlighet anger du följande och väljer sedan Lägg till:
Fält Värde Beskrivning Microsoft Purview Information Protection client
Upphör Ange val av varaktighet (1 år, 2 år eller upphör aldrig att gälla) I fönstret AIP-DelegatedUser – Certifikat & hemligheter kopierar du strängen för VALUE i avsnittet Klienthemligheter.
Den här strängen ser ut ungefär som i följande exempel:
OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4
.Om du vill se till att du kopierar alla tecken väljer du ikonen för att kopiera till Urklipp.
Viktigt
Spara strängen eftersom den inte visas igen och den inte kan hämtas. Precis som med känslig information som du använder lagrar du det sparade värdet på ett säkert sätt och begränsar åtkomsten till det.
I sidofältet väljer du HanteraAPI-behörigheter>.
I fönstret AIP-DelegatedUser – API-behörigheter väljer du Lägg till en behörighet.
I fönstret Begär API-behörigheter kontrollerar du att du är på fliken Microsoft API:er och väljer Azure Rights Management Services.
När du uppmanas att ange den typ av behörigheter som krävs för ditt program väljer du Programbehörigheter.
För Välj behörigheter expanderar du Innehåll och väljer följande och väljer sedan Lägg till behörigheter.
- Content.DelegatedReader
- Content.DelegatedWriter
I fönstret AIP-DelegatedUser – API-behörigheter väljer du Lägg till en behörighet igen.
I fönstret Begär AIP-behörigheter väljer du API:er som min organisation använder och söker efter Microsoft Information Protection Sync Service.
I fönstret Begär API-behörigheter väljer du Programbehörigheter.
För Välj behörigheter expanderar du UnifiedPolicy, väljer UnifiedPolicy.Tenant.Read och väljer sedan Lägg till behörigheter.
I fönstret AIP-DelegatedUser – API-behörigheter väljer du Bevilja administratörsmedgivande för din klientorganisation och väljer Ja för bekräftelsemeddelandet.
Efter det här steget slutförs registreringen av den här appen med en hemlighet. Du är redo att köra Set-Authentication med parametrarna AppId och AppSecret. Dessutom behöver du ditt klientorganisations-ID.
Tips
Du kan snabbt kopiera ditt klientorganisations-ID med hjälp av Azure Portal: Microsoft Entra ID>Hantera>egenskapskatalog-ID>.
Kör cmdleten Set-Authentication
Öppna Windows PowerShell med alternativet Kör som administratör.
I PowerShell-sessionen skapar du en variabel för att lagra autentiseringsuppgifterna för Windows-användarkontot som körs icke-interaktivt. Om du till exempel har skapat ett tjänstkonto för skannern:
$pscreds = Get-Credential "CONTOSO\srv-scanner"
Du uppmanas att ange kontots lösenord.
Kör cmdleten Set-Authentication med parametern OnBeHalfOf och ange variabeln som dess värde som du skapade.
Ange även appregistreringsvärden, ditt klientorganisations-ID och namnet på det delegerade användarkontot i Microsoft Entra ID. Exempel:
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds