PowerShell kullanarak bilgi koruma istemcisini ayarlama

Description

PowerShell kullanarak Microsoft Purview Bilgi Koruması istemcisini ve PowerShell cmdlet'lerini yüklemeye yönelik yönergeler içerir.

PowerShell'i Microsoft Purview Bilgi Koruması istemcisiyle kullanma

Microsoft Purview Bilgi Koruması modülü, bilgi koruma istemcisiyle birlikte yüklenir. İlişkili PowerShell modülü PurviewInformationProtection modülüdür.

PurviewInformationProtection modülü, istemciyi komutlar ve otomasyon betikleriyle yönetmenizi sağlar; örneğin:

  • Install-Scanner: Windows Server 2019, Windows Server 2016 veya Windows Server 2012 R2 çalıştıran bir bilgisayara Information Protection Tarayıcı hizmetini yükler ve yapılandırır.
  • Get-FileStatus: Belirtilen dosya veya dosyalar için Information Protection etiketi ve koruma bilgilerini alır.
  • Taramayı Başlat: Bilgi koruma tarayıcısına bir kerelik tarama döngüsü başlatmasını emreder.
  • Set-FileLabel -Autolabel: İlkede yapılandırılan koşullara göre bir dosya için otomatik olarak bilgi koruma etiketi ayarlamak üzere bir dosyayı tarar.

PurviewInformationProtection PowerShell modülünü yükleme

Yükleme önkoşulları

  • Bu modül Windows PowerShell 4.0 gerektirir. Yükleme sırasında bu önkoşul denetlenmiyor. PowerShell'in doğru sürümünün yüklü olduğundan emin olun.
  • komutunu çalıştırarak Import-Module PurviewInformationProtectionPurviewInformationProtection PowerShell modülünün en son sürümüne sahip olduğunuzdan emin olun.

Yükleme ayrıntıları

PowerShell kullanarak bilgi koruma istemcisini ve ilişkili cmdlet'leri yükleyip yapılandırabilirsiniz.

PurviewInformationProtection PowerShell modülü, bilgi koruma istemcisinin tam sürümünü yüklediğinizde otomatik olarak yüklenir. Alternatif olarak, modülü yalnızca PowerShellOnly=true parametresini kullanarak yükleyebilirsiniz.

Modül \ProgramFiles (x86)\PurviewInformationProtection klasörüne yüklenir ve ardından bu klasörü sistem değişkenine PSModulePath ekler.

Önemli

PurviewInformationProtection modülü, etiketler veya etiket ilkeleri için gelişmiş ayarları yapılandırmayı desteklemez.

Yol uzunlukları 260 karakterden uzun olan cmdlet'leri kullanmak için, Windows 10, sürüm 1607'den başlayarak sağlanan aşağıdaki grup ilkesi ayarını kullanın:

Yerel Bilgisayar İlkesi>Bilgisayar Yapılandırması>Yönetim Şablonları>Tüm Ayarlar>Win32 uzun yollarını etkinleştirme

Windows Server 2016 için, Windows 10 için en son Yönetim Şablonları'nı (.admx) yüklerken aynı grup ilkesi ayarını kullanabilirsiniz.

Daha fazla bilgi için, Windows 10 geliştirici belgelerinde En Fazla Yol Uzunluğu Sınırlaması bölümüne bakın.

PurviewInformationProtection PowerShell modülü için önkoşulları anlama

PurviewInformationProtection modülü için yükleme önkoşullarına ek olarak Azure Rights Management hizmetini de etkinleştirmeniz gerekir.

Bazı durumlarda, kendi hesabınızı kullanan diğer kişiler için dosyaların korumasını kaldırmak isteyebilirsiniz. Örneğin, veri bulma veya kurtarma amacıyla başkalarının korumasını kaldırmak isteyebilirsiniz. Koruma uygulamak için etiketler kullanıyorsanız, koruma uygulamayan yeni bir etiket ayarlayarak bu korumayı kaldırabilir veya etiketi kaldırabilirsiniz.

Bu gibi durumlarda aşağıdaki gereksinimler de karşılanmalıdır:

  • Süper kullanıcı özelliği kuruluşunuz için etkinleştirilmelidir.
  • Hesabınızın bir Azure Rights Management süper kullanıcısı olarak yapılandırılması gerekir.

Katılımsız olarak bilgi koruma etiketleme cmdlet'lerini çalıştırma

Varsayılan olarak, etiketleme cmdlet’lerini çalıştırdığınızda, komutlar etkileşimli bir PowerShell oturumunda sizin kullanıcı bağlamınızda çalıştırılır. Duyarlılık etiketleme cmdlet'lerini otomatik olarak çalıştırmak için aşağıdaki bölümleri okuyun:

Etiketleme cmdlet'lerini katılımsız çalıştırma önkoşullarını anlama

Purview Information Protection etiketleme cmdlet'lerini katılımsız olarak çalıştırmak için aşağıdaki erişim ayrıntılarını kullanın:

  • Etkileşimli olarak oturum açabilen bir Windows hesabı.

  • Temsilci erişimi için bir Microsoft Entra hesabı. Yönetim kolaylığı için, Active Directory'den Microsoft Entra ID eşitlenen tek bir hesap kullanın.

    Temsilci atanan kullanıcı hesabı için aşağıdaki gereksinimleri yapılandırın:

    Gereksinim Ayrıntılar
    Etiket ilkesi Bu hesaba atanmış bir etiket ilkeniz olduğundan ve ilkenin kullanmak istediğiniz yayımlanmış etiketleri içerdiğinden emin olun.

    Farklı kullanıcılar için etiket ilkeleri kullanıyorsanız, tüm etiketlerinizi yayımlayan yeni bir etiket ilkesi oluşturmanız ve ilkeyi yalnızca bu temsilci kullanıcı hesabında yayımlamanız gerekebilir.
    İçeriğin şifresini çözme Bu hesabın, örneğin dosyaları yeniden korumak ve başkaları tarafından korunan dosyaları incelemek için içeriğin şifresini çözmesi gerekiyorsa, Information Protection için süper kullanıcı yapın ve süper kullanıcı özelliğinin etkinleştirildiğinden emin olun.
    Ekleme denetimleri Aşamalı dağıtım için ekleme denetimleri uyguladıysanız, bu hesabın yapılandırdığınız ekleme denetimlerinize dahil olduğundan emin olun.
  • Microsoft Purview Bilgi Koruması kimlik doğrulaması için temsilci kullanıcının kimlik bilgilerini ayarlayıp depolayan Microsoft Entra erişim belirteci. Microsoft Entra ID'daki belirtecin süresi dolduğunda, yeni bir belirteç almak için cmdlet'ini yeniden çalıştırmanız gerekir.

    Set-Authentication parametreleri, Microsoft Entra ID bir uygulama kayıt işleminden alınan değerleri kullanır. Daha fazla bilgi için bkz. Set-Authentication için Microsoft Entra uygulamaları İçerik Oluşturucu ve yapılandırma.

Önce Set-Authentication cmdlet'ini çalıştırarak etiketleme cmdlet'lerini etkileşimli olmayan bir şekilde çalıştırın.

Set-Authentication cmdlet'ini çalıştıran bilgisayar, Microsoft Purview uyumluluk portalı temsilci kullanıcı hesabınıza atanan etiketleme ilkesini indirir.

Set-Authentication için Microsoft Entra uygulamaları İçerik Oluşturucu ve yapılandırma

Set-Authentication cmdlet'i, AppId ve AppSecret parametreleri için bir uygulama kaydı gerektirir.

Birleşik etiketleme istemcisi Set-Authentication cmdlet'i için yeni bir uygulama kaydı oluşturmak için:

  1. Yeni bir tarayıcı penceresinde, Microsoft Purview Bilgi Koruması ile kullandığınız Microsoft Entra kiracısında Azure portal oturum açın.

  2. Microsoft Entra ID>Manage>Uygulama kayıtları adresine gidin ve Yeni kayıt'ı seçin.

  3. Bir uygulamayı kaydet bölmesinde aşağıdaki değerleri belirtin ve ardından Kaydet'i seçin:

    Seçenek Değer
    Ad AIP-DelegatedUser
    Gerektiğinde farklı bir ad belirtin. Ad kiracı başına benzersiz olmalıdır.
    Desteklenen hesap türleri Yalnızca bu kuruluş dizinindeki Hesaplar'ı seçin.
    Yeniden yönlendirme URI'si (isteğe bağlı) Web'i seçin ve girinhttps://localhost.
  4. AIP-DelegatedUser bölmesinde, Uygulama (istemci) kimliği değerini kopyalayın.

    Değer aşağıdaki örneğe benzer: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Bu değer, Set-Authentication cmdlet'ini çalıştırdığınızda AppId parametresi için kullanılır. Değeri daha sonra başvurmak üzere yapıştırın ve kaydedin.

  5. Kenar çubuğunda Sertifikaları yönet>& gizli dizileri seçin.

    Ardından , AIP-DelegatedUser - Sertifikalar & gizli diziler bölmesindeki İstemci gizli dizileri bölümünde Yeni istemci gizli dizisi'ni seçin.

  6. İstemci gizli dizisi ekle için aşağıdakileri belirtin ve ekle'yi seçin:

    Alan Değer
    Açıklama Microsoft Purview Information Protection client
    Sona eri -yor Süre seçiminizi belirtin (1 yıl, 2 yıl veya süresi hiç dolmaz)
  7. AIP-DelegatedUser - Sertifikalar & gizli diziler bölmesine dönün, İstemci gizli dizileri bölümünde VALUE dizesinin dizesini kopyalayın.

    Bu dize aşağıdaki örneğe benzer: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Tüm karakterleri kopyaladığınızdan emin olmak için Panoya kopyala simgesini seçin.

    Önemli

    Bu dizeyi kaydedin çünkü yeniden görüntülenmez ve alınamaz. Kullandığınız tüm hassas bilgilerde olduğu gibi, kaydedilen değeri güvenli bir şekilde depolayın ve erişimi kısıtlayın.

  8. Kenar çubuğundaAPI izinleriniyönet'i> seçin.

    AIP-DelegatedUser - API izinleri bölmesinde İzin ekle'yi seçin.

  9. API izinleri isteyin bölmesinde, Microsoft API'leri sekmesinde olduğunuzdan emin olun ve Azure Rights Management Services'ı seçin.

    Uygulamanızın gerektirdiği izin türü sorulduğunda Uygulama izinleri'ni seçin.

  10. İzinleri seçin içinİçerik'i genişletin ve aşağıdakileri seçin ve ardından İzin ekle'yi seçin.

    • Content.DelegatedReader
    • Content.DelegatedWriter
  11. AIP-DelegatedUser - API izinleri bölmesine geri dönüp İzin ekle'yi yeniden seçin.

    AIP izinleri iste bölmesinde kuruluşumun kullandığı API'leri seçin ve Microsoft Information Protection Eşitleme Hizmeti'ni arayın.

  12. API izinleri iste bölmesinde Uygulama izinleri'ni seçin.

    İzinleri seçin içinUnifiedPolicy'yi genişletin, UnifiedPolicy.Tenant.Read'i ve ardından İzin ekle'yi seçin.

  13. AIP-DelegatedUser - API izinleri bölmesine dönün, Kiracınız için yönetici onayı ver'i ve onay istemi için Evet'i seçin.

Bu adımdan sonra, bu uygulamanın gizli diziyle kaydı tamamlar. Set-Authentication'ıAppId ve AppSecret parametreleriyle çalıştırmaya hazırsınız. Ayrıca kiracı kimliğiniz de gerekir.

İpucu

Azure portal: Microsoft Entra ID>Yönet>özellikleri>dizin kimliğini kullanarak kiracı kimliğinizi hızla kopyalayabilirsiniz.

Set-Authentication cmdlet'ini çalıştırma

  1. Yönetici olarak çalıştır seçeneğiyle Windows PowerShell açın.

  2. PowerShell oturumunuzda, etkileşimli olmayan bir şekilde çalışan Windows kullanıcı hesabının kimlik bilgilerini depolamak için bir değişken oluşturun. Örneğin, tarayıcı için bir hizmet hesabı oluşturduysanız:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"
    

    Bu hesabın parolası istenir.

  3. Set-Authentication cmdlet'ini OnBeHalfOf parametresiyle çalıştırın ve değeri olarak oluşturduğunuz değişkeni belirtin.

    Ayrıca Microsoft Entra ID'da uygulama kayıt değerlerinizi, kiracı kimliğinizi ve temsilci olarak atanan kullanıcı hesabının adını belirtin. Örnek:

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds