Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Descrizione
Contiene istruzioni per l'installazione del client Microsoft Purview Information Protection e dei cmdlet di PowerShell tramite PowerShell.
Usare PowerShell con il client Microsoft Purview Information Protection
Il modulo Microsoft Purview Information Protection viene installato con il client di protezione delle informazioni. Il modulo di PowerShell associato è PurviewInformationProtection.
Il modulo PurviewInformationProtection consente di gestire il client con comandi e script di automazione; Per esempio:
- Install-Scanner: installa e configura il servizio Information Protection Scanner in un computer che esegue Windows Server 2019, Windows Server 2016 o Windows Server 2012 R2.
- Get-FileStatus: ottiene l'etichetta di protezione delle informazioni e le informazioni di protezione per uno o più file specificati.
- Avvia-Scansione: indica allo scanner per la protezione delle informazioni di avviare un ciclo di scansione una tantum.
- Set-FileLabel - Autolabel: esegue la scansione di un file per impostare automaticamente un'etichetta di protezione delle informazioni per un file, in base alle condizioni configurate nel criterio.
Installare il modulo PowerShell PurviewInformationProtection
Prerequisiti per l'installazione
- Questo modulo richiede Windows PowerShell 4.0. Questo prerequisito non viene verificato durante l'installazione. Assicurarsi di avere installato la versione corretta di PowerShell.
- Assicurarsi di disporre della versione più recente del modulo PowerShell PurviewInformationProtection eseguendo
Import-Module PurviewInformationProtection.
Dettagli dell'installazione
È possibile installare e configurare il client di protezione delle informazioni e i cmdlet associati utilizzando PowerShell.
Il modulo PowerShell PurviewInformationProtection viene installato automaticamente quando si installa la versione completa del client di protezione delle informazioni. In alternativa, è possibile installare il modulo solo usando il parametro PowerShellOnly=true .
Il modulo viene installato nella cartella \ProgramFiles (x86)\PurviewInformationProtection e quindi aggiunge questa cartella alla variabile di PSModulePath sistema.
Importante
Il modulo PurviewInformationProtection non supporta la configurazione delle impostazioni avanzate per le etichette o i criteri di etichetta.
Per usare i cmdlet con percorsi di lunghezza superiore a 260 caratteri, usare l'impostazione di Criteri di gruppo seguente disponibile a partire da Windows 10 versione 1607:
Criteri >Configurazione> del computerModelli> amministrativiTutte le impostazioni>Abilita percorsi lunghi Win32
Per Windows Server 2016, è possibile usare la stessa impostazione di criteri di gruppo quando si installano i modelli amministrativi più recenti (con estensione admx) per Windows 10.
Per altre informazioni, vedere Limitazione della lunghezza massima del percorso nella documentazione per gli sviluppatori di Windows 10.
Informazioni sui prerequisiti per il modulo PowerShell PurviewInformationProtection
Oltre ai prerequisiti di installazione per il modulo PurviewInformationProtection, è necessario attivare anche il servizio Azure Rights Management.
In alcuni casi, potrebbe essere necessario rimuovere la protezione dai file per gli altri utenti che utilizzano il proprio account. Ad esempio, è possibile rimuovere la protezione per altri utenti ai fini dell'individuazione o del ripristino dei dati. Se si utilizzano le etichette per applicare la protezione, è possibile rimuovere tale protezione impostando una nuova etichetta che non applica la protezione oppure è possibile rimuovere l'etichetta.
Per casi come questo, devono essere soddisfatti anche i seguenti requisiti:
- La funzionalità per utenti con privilegi avanzati deve essere abilitata per l'organizzazione.
- L'account deve essere configurato come utente con privilegi avanzati di Azure Rights Management.
Eseguire i cmdlet di etichettatura di Information Protection in modo automatico
Per impostazione predefinita, quando si eseguono i cmdlet per l'etichettatura, i comandi vengono eseguiti nel proprio contesto utente in una sessione interattiva di PowerShell. Per eseguire automaticamente i cmdlet per l'etichettatura di riservatezza, leggere le sezioni seguenti:
- Informazioni sui prerequisiti per l'esecuzione automatica dei cmdlet di etichettatura
- Creare e configurare applicazioni Microsoft Entra per Set-Authentication
- Eseguire il cmdlet Set-Authentication
Informazioni sui prerequisiti per l'esecuzione automatica dei cmdlet di etichettatura
Per eseguire i cmdlet di etichettatura di Purview Information Protection in modo automatico, usare i dettagli di accesso seguenti:
Un account Windows in grado di accedere in modo interattivo.
Un account Microsoft Entra, per l'accesso delegato. Per semplificare l'amministrazione, usare un singolo account che esegue la sincronizzazione da Active Directory all'ID Microsoft Entra.
Per l'account utente delegato, configurare i requisiti seguenti:
Requisito Dettagli Criteri di etichettatura Assicurarsi di disporre di un criterio di etichetta assegnato a questo account e che il criterio contenga le etichette pubblicate che si desidera utilizzare.
Se si usano criteri di etichetta per utenti diversi, potrebbe essere necessario creare un nuovo criterio di etichetta che pubblichi tutte le etichette e pubblicare il criterio solo in questo account utente delegato.Decriptare il contenuto Se questo account deve decrittografare il contenuto, ad esempio per riproteggere i file e ispezionare i file protetti da altri utenti, impostarlo come utente con privilegi avanzati per la protezione delle informazioni e assicurarsi che la funzionalità per utenti con privilegi avanzati sia abilitata. Controlli di onboarding Se sono stati implementati i controlli di onboarding per una distribuzione in più fasi, assicurarsi che questo account sia incluso nei controlli di onboarding configurati. Un token di accesso di Microsoft Entra, che imposta e archivia le credenziali per l'utente delegato per l'autenticazione a Microsoft Purview Information Protection. Quando il token nell'ID Microsoft Entra scade, è necessario eseguire nuovamente il cmdlet per acquisire un nuovo token.
I parametri per Set-Authentication usano i valori di un processo di registrazione dell'app nell'ID Microsoft Entra. Per altre informazioni, vedere Creare e configurare applicazioni Microsoft Entra per Set-Authentication.
Eseguire i cmdlet di etichettatura in modo non interattivo eseguendo prima il cmdlet Set-Authentication .
Il computer che esegue il cmdlet Set-Authentication scarica i criteri di etichettatura assegnati all'account utente delegato nel Portale di conformità di Microsoft Purview.
Creare e configurare applicazioni Microsoft Entra per Set-Authentication
Il cmdlet Set-Authentication richiede una registrazione dell'app per i parametri AppId e AppSecret .
Per creare una nuova registrazione dell'app per il cmdlet Set-Authentication del client di etichettatura unificata:
In una nuova finestra del browser accedere al portale di Azure per il tenant di Microsoft Entra usato con Microsoft Purview Information Protection.
Passare a ID Microsoft Entra>Gestisci>registrazioni app e selezionare Nuova registrazione.
Nel riquadro Registra un'applicazione specificare i valori seguenti e quindi selezionare Registra:
Opzione Valore Nome AIP-DelegatedUser
Specificare un nome diverso in base alle esigenze. Il nome deve essere univoco per ogni tenant.Tipi di account supportati Seleziona solo gli Account in questa directory organizzativa. URI di reindirizzamento (facoltativo) Selezionare Web, quindi immettere https://localhost.Nel riquadro AIP-DelegatedUser copiare il valore per l'ID applicazione (client).
Il valore è simile all'esempio seguente:
77c3c1c3-abf9-404e-8b2b-4652836c8c66.Questo valore viene usato per il parametro AppId quando si esegue il cmdlet Set-Authentication . Incollare e salvare il valore per riferimento successivo.
Dalla barra laterale, seleziona Gestisci>certificati e segreti.
Quindi, nel riquadroAIP-DelegatedUser - Certificati e segreti , nella sezione Segreti client , selezionare Nuovo segreto client.
Per Aggiungi un segreto client specificare quanto segue e quindi selezionare Aggiungi:
Campo Valore Descrizione Microsoft Purview Information Protection clientScade il Specifica la durata che preferisci (1 anno, 2 anni o non scade mai) Tornare al riquadro AIP-DelegatedUser - Certificati e segreti , nella sezione Segreti client , copiare la stringa per il VALORE.
Questa stringa è simile all'esempio seguente:
OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.Per assicurarti di copiare tutti i caratteri, seleziona l'icona Copia negli appunti.
Importante
Salvare questa stringa perché non viene visualizzata di nuovo e non può essere recuperata. Come per tutte le informazioni sensibili utilizzate, archiviare il valore salvato in modo sicuro e limitarne l'accesso.
Dalla barra laterale, seleziona Gestisci>autorizzazioni API.
Nel riquadro AIP-DelegatedUser - Autorizzazioni API selezionare Aggiungi un'autorizzazione.
Nel riquadro Richiedi autorizzazioni API assicurarsi di essere nella scheda API Microsoft e selezionare Azure Rights Management Services.
Quando viene richiesto il tipo di autorizzazioni richieste dall'applicazione, selezionare Autorizzazioni applicazione.
Per Seleziona autorizzazioni, espandere Contenuto e selezionare quanto segue, quindi selezionare Aggiungi autorizzazioni.
- Content.DelegatedReader
- Content.DelegatedWriter
Tornare al riquadroAIP-DelegatedUser - Autorizzazioni API , selezionare di nuovo Aggiungi un'autorizzazione .
Nel riquadro Richiedi autorizzazioni AIP selezionare API utilizzate dall'organizzazione e cercare il servizio di sincronizzazione di Microsoft Information Protection.
Nel riquadro Richiedi autorizzazioni API selezionare Autorizzazioni applicazione.
Per Seleziona autorizzazioni, espandere UnifiedPolicy, selezionare UnifiedPolicy.Tenant.Read, quindi selezionare Aggiungi autorizzazioni.
Tornare al riquadro AIP-DelegatedUser - Autorizzazioni API , selezionare Concedi il consenso dell'amministratore per il tenant e selezionare Sì per la richiesta di conferma.
Dopo questo passaggio, viene completata la registrazione di questa app con un segreto. È possibile eseguire Set-Authentication con i parametri AppId e AppSecret. Inoltre, è necessario l'ID tenant.
Suggerimento
È possibile copiare rapidamente l'ID tenant usando il portale di Azure: ID Microsoft Entra>>ID directory proprietà>.
Eseguire il cmdlet Set-Authentication
Aprire Windows PowerShell con l'opzione Esegui come amministratore.
Nella sessione di PowerShell creare una variabile per archiviare le credenziali dell'account utente di Windows che viene eseguito in modo non interattivo. Ad esempio, se è stato creato un account di servizio per lo scanner:
$pscreds = Get-Credential "CONTOSO\srv-scanner"Viene richiesta la password di questo account.
Eseguire il cmdlet Set-Authentication, con il parametro OnBeHalfOf , specificando come valore la variabile creata.
Specificare anche i valori di registrazione dell'app, l'ID tenant e il nome dell'account utente delegato nell'ID Microsoft Entra. Per esempio:
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser [email protected] -OnBehalfOf $pscreds