通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 PowerShell 设置信息保护客户端

DESCRIPTION

包含有关使用 PowerShell 安装 Microsoft Purview 信息保护客户端和 PowerShell cmdlet 的说明。

将 PowerShell 与 Microsoft Purview 信息保护客户端配合使用

Microsoft Purview 信息保护模块随信息保护客户端一起安装。 关联的 PowerShell 模块是 PurviewInformationProtection

使用 PurviewInformationProtection 模块,可以使用命令和自动化脚本管理客户端;例如:

  • 安装扫描程序:在运行 Windows Server 2019、Windows Server 2016 或 Windows Server 2012 R2 的计算机上安装和配置信息保护扫描程序服务。
  • Get-FileStatus:获取指定文件或文件的信息保护标签和保护信息。
  • Start-Scan:指示信息保护扫描程序启动一次性扫描周期。
  • Set-FileLabel - 自动标记:扫描文件以根据策略中配置的条件自动为文件设置信息保护标签。

安装 PurviewInformationProtection PowerShell 模块

安装先决条件

  • 此模块需要 Windows PowerShell 4.0。 在安装过程中不会检查此先决条件。 确保您安装了正确版本的 PowerShell。
  • 通过运行 Import-Module PurviewInformationProtection,确保您拥有最新版本的 PurviewInformationProtection PowerShell 模块。

安装详细信息

使用 PowerShell 安装和配置信息保护客户端和关联的 cmdlet。

安装完整版的信息保护客户端时,会自动安装 PurviewInformationProtection PowerShell 模块。 或者,您可以仅使用 PowerShellOnly=true 参数安装模块。

该模块安装在 \ProgramFiles (x86) \PurviewInformationProtection 文件夹中,然后将此文件夹添加到系统变量中 PSModulePath

重要

PurviewInformationProtection 模块不支持为标签或标签策略配置高级设置。

若要使用路径长度大于 260 个字符的 cmdlet,请使用以下从 Windows 10 版本 1607 开始提供的 组策略设置

本地计算机策略>计算机配置>管理模板>所有设置>启用 Win32 长路径

对于 Windows Server 2016,在为 Windows 10 安装最新的管理模板 (.admx) 时,可以使用相同的组策略设置。

有关更多信息,请参阅 Windows 10 开发人员文档中的最大 路径长度限制

了解 PurviewInformationProtection PowerShell 模块的先决条件

除了 PurviewInformationProtection 模块的安装先决条件外,还必须激活 Azure Rights Management 服务

在某些情况下,您可能希望为使用您自己账户的其他人删除文件保护。 例如,您可能希望为了数据发现或恢复而取消对他人的保护。 如果您使用标签来应用保护,则可以通过设置不应用保护的新标签来删除该保护,也可以删除该标签。

对于此类情况,还必须满足以下要求:

  • 必须为您的组织启用超级用户功能。
  • 您的帐户必须配置为 Azure Rights Management 超级用户。

在无人参与的情况下运行信息保护标记 cmdlet

默认情况下,当您运行 cmdlet 进行标记时,命令会在交互式 PowerShell 会话中您自己的用户上下文中运行。 若要自动运行敏感度标记 cmdlet,请阅读以下部分:

了解在无人参与的情况下运行标记 cmdlet 的先决条件

若要在无人参与的情况下运行 Purview 信息保护标记 cmdlet,请使用以下访问详细信息:

  • 一个可以交互登录的 Windows 帐户

  • 一个 Microsoft Entra 帐户,用于委派访问。 为了便于管理,请使用从 Active Directory 同步到 Microsoft Entra ID 的单个帐户。

    对于委托的用户帐户,请配置以下要求:

    要求 详细信息
    标签策略 确保您已为此账户分配了标签策略,并且该策略包含要使用的已发布标签。

    如果您为不同的用户使用标签策略,则可能需要创建一个新的标签策略来发布所有标签,并将该策略仅发布到此委托用户账户。
    解密内容 如果此帐户需要解密内容(例如,重新保护文件和检查受其他人保护的文件),请将其设置为信息保护的 超级用户 ,并确保启用超级用户功能。
    载入控件 如果您已为分阶段部署实施了载入控制,请确保此账户包含在您配置的载入控制中。

  • Microsoft Entra 访问令牌,用于设置和存储委派用户向 Microsoft Purview 信息保护进行身份验证的凭据。 当 Microsoft Entra ID 中的令牌过期时,必须再次运行 cmdlet 以获取新令牌。

    Set-Authentication 的参数使用 Microsoft Entra ID 中应用注册过程中的值。 有关详细信息,请参阅 为 Set-Authentication 创建和配置 Microsoft Entra 应用程序。

通过首先运行 Set-Authentication cmdlet 以非交互方式运行标记 cmdlet。

运行 Set-Authentication cmdlet 的计算机会下载分配给 Microsoft Purview 合规门户中的委托用户帐户的标记策略。

创建和配置适用于 Set-Authentication Microsoft Entra 应用程序

Set-Authentication cmdlet 需要 AppIdAppSecret 参数的应用程序注册。

若要为统一标签客户端 Set-Authentication cmdlet 创建新的应用程序注册,请执行以下作

  1. 在新的浏览器窗口中,将 Azure 门户 登录到用于 Microsoft Purview 信息保护的 Microsoft Entra 租户。

  2. 导航到 Microsoft Entra ID>管理>应用程序注册,然后选择 新建注册

  3. Register an application (注册应用程序 ) 窗格中,指定以下值,然后选择 Register (注册):

    选项 价值
    名称 AIP-DelegatedUser
    根据需要指定其他名称。 每个租户的名称必须是唯一的。
    支持的帐户类型 选择“仅此组织目录中的帐户”
    重定向 URI (可选) 选择 Web,然后输入 https://localhost

  4. AIP-DelegatedUser 窗格中,复制 Application (client) ID (应用程序(客户端) ID) 的值。

    该值类似于以下示例: 77c3c1c3-abf9-404e-8b2b-4652836c8c66

    当您运行 Set-Authentication cmdlet 时,此值用于 AppId 参数。 粘贴并保存该值以供以后参考。

  5. 从侧边栏中,选择 管理>证书和秘密

    然后,在 AIP-DelegatedUser - 证书和秘密 窗格的 客户端秘密 部分,选择 新建客户端秘密

  6. 对于 Add a client secret (添加客户端密钥),指定以下内容,然后选择 Add (添加):

    领域 价值
    说明 Microsoft Purview Information Protection client
    到期 指定您选择的持续时间(1 年2 年永不过期

  7. 返回 AIP-DelegatedUser - 证书和秘密 窗格,在 客户端秘密 部分,复制 VALUE的字符串。

    此字符串类似于以下示例: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4

    要确保复制所有字符,请选择 Copy to clipboard (复制到剪贴板) 图标。

    重要

    保存此字符串,因为它不会再次显示,并且无法检索。 与您使用的任何敏感信息一样,请安全地存储保存的值并限制对它的访问。

  8. 从侧边栏中,选择 Manage API permissions( 管理>API 权限)。

    AIP-DelegatedUser - API 权限 窗格中,选择 添加权限

  9. “请求 API 权限 ”窗格中,确保位于 “Microsoft API ” 选项卡上,然后选择 “Azure Rights Management Services”。

    当系统提示您输入应用程序所需的权限类型时,请选择 Application permissions (应用程序权限)。

  10. 对于 Select permissions (选择权限),展开 Content (内容 ) 并选择以下内容,然后选择 Add permissions (添加权限)。

    • Content.DelegatedReader
    • Content.DelegatedWriter

  11. 返回 AIP-DelegatedUser - API permissions ( - API 权限 ) 窗格,再次选择 Add a permission (添加权限 )。

    “请求 AIP 权限 ”窗格中,选择 “ 我的组织使用的 API”,然后搜索 Microsoft 信息保护同步服务

  12. Request API permissions (请求 API 权限 ) 窗格中,选择 Application permissions (应用程序权限)。

    对于 Select permissions (选择权限),展开 UnifiedPolicy,选择 UnifiedPolicy.Tenant.Read,然后选择 Add permissions (添加权限)。

  13. 返回 AIP-DelegatedUser - API 权限 窗格,选择 租户授予管理员同意 ,然后选择 作为确认提示。

完成此步骤后,此应用程序将完成密钥的注册。 您已准备好使用参数 AppIdAppSecret 运行 Set-Authentication。 此外,还需要租户 ID。

小窍门

可以使用 Azure 门户快速复制租户 ID: Microsoft Entra ID>管理>属性>目录 ID

运行 Set-Authentication cmdlet

  1. 使用 Run as administrator(以管理员身份运行)选项打开 Windows PowerShell。

  2. 在 PowerShell 会话中,创建一个变量来存储以非交互方式运行的 Windows 用户帐户的凭据。 例如,如果您为扫描仪创建了服务账户:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"

    系统会提示您输入此帐户的密码。

  3. 运行 Set-Authentication cmdlet,其中包含 OnBeHalfOf 参数,将您创建的变量指定为其值。

    此外,在 Microsoft Entra ID 中指定应用程序注册值、租户 ID 和委托用户帐户的名称。 例如:

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds