Поделиться через

Настройка клиента защиты информации с помощью PowerShell

Описание

Содержит инструкции по установке клиента защиты информации Microsoft Purview и командлетов PowerShell с помощью PowerShell.

Использование PowerShell с клиентом защиты информации Microsoft Purview

Модуль защиты информации Microsoft Purview устанавливается вместе с клиентом защиты информации. Связанный модуль PowerShell — PurviewInformationProtection.

Модуль PurviewInformationProtection позволяет управлять клиентом с помощью команд и сценариев автоматизации; Например:

  • Install-Scanner: установка и настройка службы Information Protection Scanner на компьютере под управлением Windows Server 2019, Windows Server 2016 или Windows Server 2012 R2.
  • Get-FileStatus: получает метку защиты информации и сведения о защите для указанного файла или файлов.
  • Старт-сканирование: указывает сканеру защиты информации начать цикл однократного сканирования.
  • Set-FileLabel -Автометка: Сканирует файл для автоматической установки метки защиты информации для файла в соответствии с условиями, настроенными в политике.

Установите модуль PowerShell PurviewInformationProtection

Предварительные требования для установки

  • Для этого модуля требуется Windows PowerShell 4.0. Это предварительное условие не проверяется во время установки. Убедитесь, что у вас установлена правильная версия PowerShell.
  • Убедитесь, что у вас установлена самая последняя версия модуля PowerShell PurviewInformationProtection, выполнив .Import-Module PurviewInformationProtection

Сведения об установке

Клиент защиты информации и связанные с ним командлеты устанавливаются и настраиваются с помощью PowerShell.

Модуль PowerShell PurviewInformationProtection устанавливается автоматически при установке полной версии клиента защиты информации. Кроме того, вы можете установить модуль только с помощью параметра PowerShellOnly=true .

Модуль устанавливается в папку \ProgramFiles (x86)\PurviewInformationProtection , а затем добавляет эту папку в системную PSModulePath переменную.

Это важно

Модуль PurviewInformationProtection не поддерживает настройку дополнительных параметров для меток или политик меток.

Чтобы использовать командлеты с длиной пути более 260 символов, используйте следующий параметр групповой политики , доступный начиная с Windows 10 версии 1607:

Политика >Конфигурация> компьютераАдминистративные шаблоны>Все настройки>Включение длинных путей Win32

Для Windows Server 2016 можно использовать тот же параметр групповой политики при установке последних административных шаблонов (ADMX) для Windows 10.

Дополнительные сведения см. в разделе Ограничение максимальной длины пути в документации для разработчиков Windows 10.

Общие сведения о предварительных требованиях для модуля PowerShell PurviewInformationProtection

В дополнение к предварительным требованиям установки модуля PurviewInformationProtection необходимо также активировать службу Azure Rights Management.

В некоторых случаях может потребоваться снять защиту с файлов для других пользователей, использующих вашу учетную запись. Например, может потребоваться снять защиту для других пользователей ради обнаружения или восстановления данных. Если вы используете метки для применения защиты, вы можете удалить эту защиту, установив новую метку, которая не применяет защиту, или удалить метку.

Для таких случаев также должны быть соблюдены следующие требования:

  • Функция суперпользователя должна быть включена в вашей организации.
  • Ваша учетная запись должна быть настроена как суперпользователь Azure Rights Management.

Автоматический запуск командлетов маркировки защиты информации

По умолчанию при выполнении командлетов для маркировки команды выполняются в собственном пользовательском контексте в интерактивном сеансе PowerShell. Чтобы автоматически запускать командлеты маркировки конфиденциальности, ознакомьтесь со следующими разделами:

Общие сведения о предварительных требованиях для автоматического выполнения командлетов маркировки

Чтобы выполнять командлеты маркировки Purview Information Protection в автоматическом режиме, используйте следующие сведения для доступа:

  • Учетная запись Windows , которая может входить в систему в интерактивном режиме.

  • Учетная запись Microsoft Entra для делегированного доступа. Для упрощения администрирования используйте одну учетную запись, которая синхронизируется из Active Directory в Microsoft Entra ID.

    Для учетной записи делегированного пользователя настройте следующие требования:

    Требование Сведения
    Политика в отношении меток Убедитесь, что этой учетной записи назначена политика меток и что она содержит опубликованные метки, которые вы хотите использовать.

    Если политики меток используются для разных пользователей, может потребоваться создать новую политику меток, которая публикует все ваши метки, и опубликовать политику только для этой делегированной учетной записи пользователя.
    Расшифровка содержимого Если этой учетной записи необходимо расшифровать содержимое (например, для повторной защиты файлов и проверки файлов, которые были защищены другими пользователями), сделайте ее суперпользователем для защиты информации и убедитесь, что функция суперпользователя включена.
    Элементы управления адаптацией Если вы реализовали элементы управления подключением для поэтапного развертывания, убедитесь, что эта учетная запись включена в настроенные элементы управления подключением.

  • Маркер доступа Microsoft Entra, который задает и хранит учетные данные делегированного пользователя для проверки подлинности в Microsoft Purview Information Protection. Когда срок действия маркера в идентификаторе Microsoft Entra истекает, необходимо снова запустить командлет, чтобы получить новый маркер.

    Параметры для Set-Authentication используют значения из процесса регистрации приложения в Microsoft Entra ID. Дополнительные сведения см. в статье "Создание и настройка приложений Microsoft Entra для set-Authentication".

Выполняйте командлеты маркировки в неинтерактивном режиме, сначала выполнив командлет Set-Authentication .

Компьютер, на котором запущен командлет Set-Authentication , скачивает политику маркировки, назначенную вашей учетной записи делегированного пользователя, на портале соответствия требованиям Microsoft Purview.

Создание и настройка приложений Microsoft Entra для Set-Authentication

Для работы командлета Set-Authentication требуется регистрация приложения для параметров AppId и AppSecret .

Чтобы создать новую регистрацию приложения для командлета Set-Authentication клиента единой маркировки, выполните следующие действия.

  1. В новом окне браузера войдите на портале Azure в клиент Microsoft Entra, который вы используете с Microsoft Purview Information Protection.

  2. Перейдите в разделУправление>регистрациями приложений> и выберите Новая регистрация.

  3. В области Регистрация приложения укажите следующие значения, а затем нажмите кнопку Регистрация:

    Вариант Ценность
    Имя AIP-DelegatedUser
    При необходимости укажите другое имя. Имя должно быть уникальным для каждого клиента.
    Поддерживаемые типы учетных записей Установите флажок Учетные записи только в этом каталоге организации.
    URI перенаправления (необязательно) Выберите Интернет, а затем введите https://localhost.

  4. В области AIP-DelegatedUser скопируйте значение идентификатора приложения (клиента).

    Значение выглядит примерно так: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Это значение используется для параметра AppId при выполнении командлета Set-Authentication . Вставьте и сохраните значение для дальнейшего использования.

  5. На боковой панели выберите «Управление>сертификатами и секретами».

    Затем на панели AIP-DelegatedUser - Сертификаты и секреты в разделе Секреты клиента выберите Новый секрет клиента.

  6. В поле Добавить секрет клиента укажите следующие параметры, а затем нажмите кнопку Добавить:

    Поле Ценность
    Описание Microsoft Purview Information Protection client
    Срок действия истекает Укажите выбранный вами срок действия (1 год, 2 года или никогда не истекает)

  7. Вернитесь на панель AIP-DelegatedUser - Сертификаты и секреты, в разделе Секреты клиента скопируйте строку для VALUE.

    Эта строка выглядит примерно так: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Чтобы убедиться, что вы скопировали все символы, выберите значок Копировать в буфер обмена.

    Это важно

    Сохраните эту строку, так как она больше не отображается и не может быть восстановлена. Как и в случае с любой конфиденциальной информацией, которую вы используете, храните сохраненное значение в надежном месте и ограничьте доступ к нему.

  8. На боковой панели выберите Управление>разрешениями API.

    В области AIP-DelegatedUser — разрешения API выберите Добавить разрешение.

  9. В области Запрос разрешений API убедитесь, что вы находитесь на вкладке API Майкрософт , и выберите Azure Rights Management Services.

    Когда вам будет предложено указать тип разрешений, необходимых приложению, выберите Разрешения приложения.

  10. В поле Выбор разрешений разверните узел Содержимое и выберите следующее, а затем нажмите кнопку Добавить разрешения.

    • Содержимое.ДелегированныйЧитатель
    • Контент.ДелегированныйПисатель

  11. Вернитесь в область AIP-DelegatedUser — разрешения API и снова выберите Добавить разрешение .

    В области Запрос разрешений AIP выберите API, используемые моей организацией, и выполните поиск по запросу Microsoft Information Protection Sync Service.

  12. В области Запрос разрешений API выберите Разрешения приложения.

    В поле Выбор разрешений разверните узел UnifiedPolicy, выберите UnifiedPolicy.Tenant.Read, а затем нажмите кнопку Добавить разрешения.

  13. Вернитесь в область AIP-DelegatedUser — разрешения API , выберите Предоставить согласие администратора для клиента и выберите Да для запроса на подтверждение.

После этого шага регистрация данного приложения с секретом завершается. Вы готовы к запуску Set-Authentication с параметрами AppId и AppSecret. Кроме того, вам потребуется идентификатор клиента.

Подсказка

Вы можете быстро скопировать идентификатор клиента с помощью портала Azure: Microsoft Entra ID>Manage Properties>Directory>ID.

Выполнение командлета Set-Authentication

  1. Откройте Windows PowerShell с параметром «Запуск от имени администратора».

  2. В сеансе PowerShell создайте переменную для хранения учетных данных учетной записи пользователя Windows, которая работает в неинтерактивном режиме. Например, если вы создали сервисный аккаунт для сканера:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"

    Вам будет предложено ввести пароль от этой учетной записи.

  3. Запустите командлет Set-Authentication с параметром OnBeHalfOf , указав в качестве его значения созданную переменную.

    Также укажите регистрационные значения приложения, идентификатор клиента и имя делегированной учетной записи пользователя в Microsoft Entra ID. Рассмотрим пример.

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser [email protected] -OnBehalfOf $pscreds