Microsoft 365: Konfigurace pro online služby pro použití služby Azure Rights Management
Následující části vám pomůžou nakonfigurovat Exchange Online, Microsoft SharePoint a Microsoft OneDrive tak, aby používaly službu Azure Rights Management ze služby Azure Information Protection.
Exchange Online: Konfigurace IRM
Informace o tom, jak Exchange Online funguje se službou Azure Rights Management, najdete v části Exchange Online a Exchange Server v tématu Jak aplikace Office lications a služby podporují Azure Rights Management.
Exchange Online už může být povolené pro používání služby Azure Rights Management. Pokud to chcete zkontrolovat, spusťte následující příkazy:
Pokud jste na počítači poprvé použili Windows PowerShell pro Exchange Online, musíte prostředí Windows PowerShell nakonfigurovat tak, aby spouštět podepsané skripty. Spusťte relaci Prostředí Windows PowerShell pomocí možnosti Spustit jako správce a zadejte:
Set-ExecutionPolicy RemoteSigned
Potvrďte to stisknutím klávesy Y .
V relaci Windows PowerShellu se přihlaste k Exchangi Online pomocí účtu, který je povolený pro vzdálený přístup k prostředí. Ve výchozím nastavení jsou pro vzdálený přístup k prostředí povoleny všechny účty vytvořené v Exchangi Online, ale lze ho zakázat (a povolit) pomocí příkazu Set-User <UserIdentity> -RemotePowerShellEnabled .
Pokud se chcete přihlásit, nejdřív zadejte:
Potom v dialogovém okně žádosti o přihlašovací údaje windows PowerShellu zadejte svoje uživatelské jméno a heslo Microsoftu 365.
Spuštěním příkazu Get-IRMConfiguration zobrazte konfiguraci Exchange Online pro službu ochrany:
Ve výstupu vyhledejte hodnotu AzureRMSLicensingEnabled :
Pokud je služba AzureRMSLicensingEnabled nastavená na Hodnotu True, je pro službu Azure Rights Management už povolený Exchange Online.
Pokud je v AzureRMSLicensingEnabled nastavená false, spusťte následující příkaz a povolte Exchange Online pro službu Azure Rights Management:
Set-IRMConfiguration -AzureRMSLicensingEnabled $true
Pokud chcete otestovat, že je Exchange Online úspěšně nakonfigurovaný, spusťte následující příkaz:
Test-IRMConfiguration -Sender <user email address>
Příklad: Test-IRMConfiguration -Sender
Tento příkaz spustí řadu kontrol, které zahrnují ověření připojení ke službě, načtení konfigurace, načítání identifikátorů URI, licencí a všech šablon. V relaci Windows PowerShellu se zobrazí výsledky každého a na konci, pokud vše projde těmito kontrolami: CELKOVÝ VÝSLEDEK: PASS
Pokud je služba Exchange Online povolená pro používání služby Azure Rights Management, můžete nakonfigurovat následující funkce:
Šifrování zpráv Purview pomocí pravidel toku pošty
Šifrování pomocí zásad ochrany před únikem informací
Popisky citlivosti s šifrováním pomocí Outlooku na webu, Macu, iOSu a Androidu
Zásady automatického označování v Exchangi pro použití popisků citlivosti s šifrováním u zpráv pošty a chráněných hlasových zpráv
SharePoint v Microsoftu 365 a OneDrivu: Konfigurace IRM
Informace o tom, jak technologie IRM služby SharePoint funguje se službou Azure Rights Management, najdete v tématu SharePoint v Microsoftu 365 a SharePoint Serveru v části Ochrana Rights Management v této dokumentaci.
Pokud chcete nakonfigurovat SharePoint v Microsoftu 365 a OneDrivu tak, aby podporoval službu Azure Rights Management, musíte nejprve povolit službu IRM (Správa přístupových práv k informacím) pro SharePoint pomocí Centra pro správu SharePointu. Vlastníci webu pak můžou chránit sharepointové seznamy a knihovny dokumentů a uživatelé můžou knihovnu OneDrivu chránit technologií IRM, aby dokumenty, které jsou tam uložené, a sdílené s ostatními, byly automaticky chráněné službou Azure Rights Management.
Knihovny chráněné technologií IRM pro SharePoint v Microsoftu 365 a OneDrivu vyžadují nejnovější verzi nového klienta synchronizační aplikace OneDrivu (OneDrive.exe) a verzi klienta SLUŽBY RMS z webu Microsoft Download Center. Nainstalujte tuto verzi klienta SLUŽBY RMS i v případě, že jste nainstalovali klienta služby Azure Information Protection. Další informace o tomto scénáři nasazení najdete v tématu Nasazení nového klienta synchronizační aplikace OneDrivu v podnikovém prostředí.
Pokud chcete pro SharePoint povolit službu IRM (Správa přístupových práv k informacím), přečtěte si následující pokyny v dokumentaci k Office:
Tuto konfiguraci provádí správce Microsoftu 365.
Konfigurace IRM pro knihovny a seznamy
Po povolení služby IRM pro SharePoint můžou vlastníci webu chránit své knihovny a seznamy dokumentů SharePointu. Pokyny najdete na webu Office takto:
Tuto konfiguraci provádí správce webu Služby SharePoint.
Konfigurace IRM pro OneDrive
Po povolení služby IRM pro SharePoint je možné nakonfigurovat knihovnu dokumentů OneDrivu uživatelů nebo jednotlivé složky pro ochranu Rights Management. Uživatelé si to můžou nakonfigurovat sami pomocí svého webu OneDrivu. I když správci nemůžou tuto ochranu nakonfigurovat pomocí Centra pro správu SharePointu, můžete to udělat pomocí Windows PowerShellu.
Další informace o konfiguraci OneDrivu najdete v dokumentaci k OneDrivu .
Konfigurace pro uživatele
Poskytněte uživatelům následující pokyny, aby mohli svůj OneDrive nakonfigurovat tak, aby chránili své firemní soubory.
Přihlaste se k Microsoftu 365 pomocí svého pracovního nebo školního účtu a přejděte na web OneDrivu.
V navigačním podokně v dolní části vyberte Návrat na Klasický OneDrive.
Vyberte ikonu Nastavení. Pokud je pás karet nastavený na Vypnuto, vyberte v podokně Nastavení toto nastavení, aby se pás karet zapnul.
Pokud chcete nakonfigurovat ochranu všech souborů OneDrivu, vyberte na pásu karet kartu KNIHOVNA a pak vyberte Nastavení Knihovna.
Na stránce Dokumenty > Nastavení v části Oprávnění a správa vyberte Správa přístupových práv k informacím.
Na stránce Nastavení správa přístupových práv k informacím zaškrtněte políčko Omezit oprávnění pro tuto knihovnu při stahování. Zadejte název a popis oprávnění a volitelně klikněte na tlačítko ZOBRAZIT MOŽNOSTI a nakonfigurujte volitelné konfigurace a klepněte na tlačítko OK.
Vzhledem k tomu, že tato konfigurace spoléhá na uživatele místo správce na ochranu souborů OneDrivu pomocí TECHNOLOGIE IRM, informujte uživatele o výhodách ochrany svých souborů a o tom, jak to udělat. Vysvětlete například, že když sdílí dokument z OneDrivu, můžou k němu přistupovat jenom uživatelé, kteří ho autorizuje, s případnými omezeními, která konfigurují, a to i v případě, že je soubor přejmenován a zkopírován někam jinam.
Konfigurace pro správce
IrM pro OneDrive uživatelů sice nejde nakonfigurovat pomocí Centra pro správu SharePointu, ale můžete to udělat pomocí Windows PowerShellu. Pokud chcete pro tyto knihovny povolit IRM, postupujte takto:
Stáhněte a nainstalujte sadu SDK klientských komponent služby SharePoint.
Stáhněte a nainstalujte prostředí SharePoint Management Shell.
Zkopírujte obsah následujícího skriptu a pojmenujte soubor Set-IRMOnOneDriveForBusiness.ps1 v počítači.
**Právní omezení**: Tento ukázkový skript není podporován v žádném standardním programu nebo službě podpory Společnosti Microsoft. Tento ukázkový skript je poskytován tak, jak je, bez jakékoli záruky.
# Requires Windows PowerShell version 3 <# Description: Configures IRM policy settings for OneDrive and can also be used for SharePoint libraries and lists Script Installation Requirements: SharePoint Client Components SDK SharePoint Management Shell ====== #> # URL will be in the format https://<tenant-name> $sharepointAdminCenterUrl = "" $tenantAdmin = "" $webUrls = @("", "", "") <# As an alternative to specifying the URLs as an array, you can import them from a CSV file (no header, single value per row). Then, use: $webUrls = Get-Content -Path "File_path_and_name.csv" #> $listTitle = "Documents" function Load-SharePointOnlineClientComponentAssemblies { [cmdletbinding()] param() process { # assembly location: C:\Program Files\Common Files\microsoft shared\Web Server Extensions\16\ISAPI try { Write-Verbose "Loading Assembly: Microsoft.Office.Client.Policy, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c" [System.Reflection.Assembly]::Load("Microsoft.Office.Client.Policy, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null Write-Verbose "Loading Assembly: Microsoft.Office.Client.TranslationServices, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c" [System.Reflection.Assembly]::Load("Microsoft.Office.Client.TranslationServices, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c" [System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.DocumentManagement, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c" [System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.DocumentManagement, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.Publishing, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c" [System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.Publishing, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.Runtime, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c" [System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.Runtime, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.Search.Applications, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c" [System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.Search.Applications, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.Search, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c" [System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.Search, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.Taxonomy, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c" [System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.Taxonomy, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.UserProfiles, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c" [System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.UserProfiles, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null return $true } catch { if($_.Exception.Message -match "Could not load file or assembly") { Write-Error -Message "Unable to load the SharePoint Server 2013 Client Components.`nDownload Location:" } else { Write-Error -Exception $_.Exception } return $false } } } function Load-SharePointOnlineModule { [cmdletbinding()] param() process { do { # Installation location: C:\Program Files\SharePoint Online Management Shell\Microsoft.Online.SharePoint.PowerShell $spoModule = Get-Module -Name Microsoft.Online.SharePoint.PowerShell -ErrorAction SilentlyContinue if(-not $spoModule) { try { Import-Module Microsoft.Online.SharePoint.PowerShell -DisableNameChecking return $true } catch { if($_.Exception.Message -match "Could not load file or assembly") { Write-Error -Message "Unable to load the SharePoint Online Management Shell.`nDownload Location:" } else { Write-Error -Exception $_.Exception } return $false } } else { return $true } } while(-not $spoModule) } } function Set-IrmConfiguration { [cmdletbinding()] param( [parameter(Mandatory=$true)][Microsoft.SharePoint.Client.List]$List, [parameter(Mandatory=$true)][string]$PolicyTitle, [parameter(Mandatory=$true)][string]$PolicyDescription, [parameter(Mandatory=$false)][switch]$IrmReject, [parameter(Mandatory=$false)][DateTime]$ProtectionExpirationDate, [parameter(Mandatory=$false)][switch]$DisableDocumentBrowserView, [parameter(Mandatory=$false)][switch]$AllowPrint, [parameter(Mandatory=$false)][switch]$AllowScript, [parameter(Mandatory=$false)][switch]$AllowWriteCopy, [parameter(Mandatory=$false)][int]$DocumentAccessExpireDays, [parameter(Mandatory=$false)][int]$LicenseCacheExpireDays, [parameter(Mandatory=$false)][string]$GroupName ) process { Write-Verbose "Applying IRM Configuration on '$($List.Title)'" # reset the value to the default settings $list.InformationRightsManagementSettings.Reset() $list.IrmEnabled = $true # IRM Policy title and description $list.InformationRightsManagementSettings.PolicyTitle = $PolicyTitle $list.InformationRightsManagementSettings.PolicyDescription = $PolicyDescription # Set additional IRM library settings # Do not allow users to upload documents that do not support IRM $list.IrmReject = $IrmReject.IsPresent $parsedDate = Get-Date if([DateTime]::TryParse($ProtectionExpirationDate, [ref]$parsedDate)) { # Stop restricting access to the library at <date> $list.IrmExpire = $true $list.InformationRightsManagementSettings.DocumentLibraryProtectionExpireDate = $ProtectionExpirationDate } # Prevent opening documents in the browser for this Document Library $list.InformationRightsManagementSettings.DisableDocumentBrowserView = $DisableDocumentBrowserView.IsPresent # Configure document access rights # Allow viewers to print $list.InformationRightsManagementSettings.AllowPrint = $AllowPrint.IsPresent # Allow viewers to run script and screen reader to function on downloaded documents $list.InformationRightsManagementSettings.AllowScript = $AllowScript.IsPresent # Allow viewers to write on a copy of the downloaded document $list.InformationRightsManagementSettings.AllowWriteCopy = $AllowWriteCopy.IsPresent if($DocumentAccessExpireDays) { # After download, document access rights will expire after these number of days (1-365) $list.InformationRightsManagementSettings.EnableDocumentAccessExpire = $true $list.InformationRightsManagementSettings.DocumentAccessExpireDays = $DocumentAccessExpireDays } # Set group protection and credentials interval if($LicenseCacheExpireDays) { # Users must verify their credentials using this interval (days) $list.InformationRightsManagementSettings.EnableLicenseCacheExpire = $true $list.InformationRightsManagementSettings.LicenseCacheExpireDays = $LicenseCacheExpireDays } if($GroupName) { # Allow group protection. Default group: $list.InformationRightsManagementSettings.EnableGroupProtection = $true $list.InformationRightsManagementSettings.GroupName = $GroupName } } end { if($list) { Write-Verbose "Committing IRM configuration settings on '$($list.Title)'" $list.InformationRightsManagementSettings.Update() $list.Update() $script:clientContext.Load($list) $script:clientContext.ExecuteQuery() } } } function Get-CredentialFromCredentialCache { [cmdletbinding()] param([string]$CredentialName) #if( Test-Path variable:\global:CredentialCache ) if( Get-Variable O365TenantAdminCredentialCache -Scope Global -ErrorAction SilentlyContinue ) { if($global:O365TenantAdminCredentialCache.ContainsKey($CredentialName)) { Write-Verbose "Credential Cache Hit: $CredentialName" return $global:O365TenantAdminCredentialCache[$CredentialName] } } Write-Verbose "Credential Cache Miss: $CredentialName" return $null } function Add-CredentialToCredentialCache { [cmdletbinding()] param([System.Management.Automation.PSCredential]$Credential) if(-not (Get-Variable CredentialCache -Scope Global -ErrorAction SilentlyContinue)) { Write-Verbose "Initializing the Credential Cache" $global:O365TenantAdminCredentialCache = @{} } Write-Verbose "Adding Credential to the Credential Cache" $global:O365TenantAdminCredentialCache[$Credential.UserName] = $Credential } # load the required assemblies and Windows PowerShell modules if(-not ((Load-SharePointOnlineClientComponentAssemblies) -and (Load-SharePointOnlineModule)) ) { return } # Add the credentials to the client context and SharePoint service connection # check for cached credentials to use $o365TenantAdminCredential = Get-CredentialFromCredentialCache -CredentialName $tenantAdmin if(-not $o365TenantAdminCredential) { # when credentials are not cached, prompt for the tenant admin credentials $o365TenantAdminCredential = Get-Credential -UserName $tenantAdmin -Message "Enter the password for the Microsoft 365 admin" if(-not $o365TenantAdminCredential -or -not $o365TenantAdminCredential.UserName -or $o365TenantAdminCredential.Password.Length -eq 0 ) { Write-Error -Message "Could not validate the supplied tenant admin credentials" return } # add the credentials to the cache Add-CredentialToCredentialCache -Credential $o365TenantAdminCredential } # connect to Office365 first, required for SharePoint cmdlets to run Connect-SPOService -Url $sharepointAdminCenterUrl -Credential $o365TenantAdminCredential # enumerate each of the specified site URLs foreach($webUrl in $webUrls) { $grantedSiteCollectionAdmin = $false try { # establish the client context and set the credentials to connect to the site $script:clientContext = New-Object Microsoft.SharePoint.Client.ClientContext($webUrl) $script:clientContext.Credentials = New-Object Microsoft.SharePoint.Client.SharePointOnlineCredentials($o365TenantAdminCredential.UserName, $o365TenantAdminCredential.Password) # initialize the site and web context $script:clientContext.Load($script:clientContext.Site) $script:clientContext.Load($script:clientContext.Web) $script:clientContext.ExecuteQuery() # load and ensure the tenant admin user account if present on the target SharePoint site $tenantAdminUser = $script:clientContext.Web.EnsureUser($o365TenantAdminCredential.UserName) $script:clientContext.Load($tenantAdminUser) $script:clientContext.ExecuteQuery() # check if the tenant admin is a site admin if( -not $tenantAdminUser.IsSiteAdmin ) { try { # grant the tenant admin temporary admin rights to the site collection Set-SPOUser -Site $script:clientContext.Site.Url -LoginName $o365TenantAdminCredential.UserName -IsSiteCollectionAdmin $true | Out-Null $grantedSiteCollectionAdmin = $true } catch { Write-Error $_.Exception return } } try { # load the list orlibrary using CSOM $list = $null $list = $script:clientContext.Web.Lists.GetByTitle($listTitle) $script:clientContext.Load($list) $script:clientContext.ExecuteQuery() # ************** ADMIN INSTRUCTIONS ************** # If necessary, modify the following Set-IrmConfiguration parameters to match your required values # The supplied options and values are for example only # Example that shows the Set-IrmConfiguration command with all parameters: Set-IrmConfiguration -List $list -PolicyTitle "Protected Files" -PolicyDescription "This policy restricts access to authorized users" -IrmReject -ProtectionExpirationDate $(Get-Date).AddDays(180) -DisableDocumentBrowserView -AllowPrint -AllowScript -AllowWriteCopy -LicenseCacheExpireDays 25 -DocumentAccessExpireDays 90 Set-IrmConfiguration -List $list -PolicyTitle "Protected Files" -PolicyDescription "This policy restricts access to authorized users" } catch { Write-Error -Message "Error setting IRM configuration on site: $webUrl.`nError Details: $($_.Exception.ToString())" } } finally { if($grantedSiteCollectionAdmin) { # remove the temporary admin rights to the site collection Set-SPOUser -Site $script:clientContext.Site.Url -LoginName $o365TenantAdminCredential.UserName -IsSiteCollectionAdmin $false | Out-Null } } } Disconnect-SPOService -ErrorAction SilentlyContinue
Zkontrolujte skript a proveďte následující změny:
a nahraďte ukázkovou hodnotu vlastní adresou URL Centra pro správu SharePointu.Tuto hodnotu najdete jako základní adresu URL, když přejdete do Centra pro správu SharePointu a má následující formát: https://<>
Pokud je například název tenanta "contoso", zadáte:
a nahraďte ukázkovou hodnotu vlastním plně kvalifikovaným účtem globálního správce Pro Microsoft 365.Tato hodnota je stejná jako hodnota, kterou používáte k přihlášení k Centrum pro správu Microsoftu 365 jako globální správce a má následující formát: user_name@<názvový název> domé
Pokud je například uživatelské jméno globálního správce Microsoftu 365 pro doménu tenanta "admin", zadáte:
a nahraďte ukázkové hodnoty webovými adresami URL OneDrivu uživatelů, přidejte nebo odstraňte tolik položek, kolik potřebujete.Případně si přečtěte komentáře ve skriptu o tom, jak nahradit toto pole importem . Soubor CSV obsahující všechny adresy URL, které potřebujete nakonfigurovat. Poskytli jsme další ukázkový skript, který automaticky vyhledá a extrahuje adresy URL pro naplnění tohoto kódu . Soubor CSV. Až budete připravení to udělat, pomocí dalšího skriptu vypíšete všechny adresy URL OneDrivu na adresu URL . Oddíl souboru CSV okamžitě po těchto krocích.
Webová adresa URL oneDrivu uživatele je v následujícím formátu: https:// názvový>< user_name>_<tenant>_com<
Pokud má například uživatel v tenantovi contoso uživatelské jméno "rsimone", zadali byste:
Vzhledem k tomu, že ke konfiguraci OneDrivu používáme skript, neměňte hodnotu Dokumentů pro proměnnou
. Pokud v této části neprojdete žádné změny, oneDrive uživatele se nakonfiguruje pro IRM s názvem zásady Chráněné soubory a popisem "Tato zásada omezuje přístup oprávněným uživatelům". Nebudou nastaveny žádné další možnosti IRM, což je pravděpodobně vhodné pro většinu prostředí. Můžete ale změnit navrhovaný název a popis zásady a také přidat další možnosti IRM, které jsou vhodné pro vaše prostředí. Podívejte se na komentovaný příklad ve skriptu, který vám pomůže vytvořit vlastní sadu parametrů pro příkaz Set-IrmConfiguration.
Uložte skript a podepište ho. Pokud skript nepodepíšete (bezpečnější), musí být prostředí Windows PowerShell nakonfigurované na vašem počítači, aby bylo možné spouštět nepodepsané skripty. Uděláte to tak, že spustíte relaci Windows PowerShellu s možností Spustit jako Správa istrator a zadáte: Set-ExecutionPolicy Unrestricted. Tato konfigurace však umožňuje spustit všechny nepodepsané skripty (méně bezpečné).
Další informace o podepisování skriptů Windows PowerShellu najdete v tématu about_Signing v knihovně dokumentace k PowerShellu.
Spusťte skript a po zobrazení výzvy zadejte heslo pro účet správce Microsoftu 365. Pokud upravíte skript a spustíte ho ve stejné relaci Prostředí Windows PowerShell, nezobrazí se výzva k zadání přihlašovacích údajů.
Tento skript můžete použít také ke konfiguraci IRM pro knihovnu SharePointu. U této konfigurace budete pravděpodobně chtít povolit další možnost Nepovolit uživatelům nahrávat dokumenty, které nepodporují IRM, aby se zajistilo, že knihovna obsahuje jenom chráněné dokumenty. Uděláte to tak, že do příkazu Set-IrmConfiguration ve skriptu přidáte -IrmReject
Musíte také upravit proměnnou $webUrls
(například a $listTitle
proměnnou (například $Reports).
Pokud potřebujete zakázat IRM pro knihovny OneDrivu uživatele, přečtěte si část Skript pro zakázání IRM pro OneDrive .
Další skript pro výstup všech adres URL OneDrivu na adresu . Soubor CSV
V kroku 4c výše můžete pomocí následujícího skriptu Prostředí Windows PowerShell extrahovat adresy URL pro knihovny OneDrivu všech uživatelů, které pak můžete zkontrolovat, upravit v případě potřeby a pak importovat do hlavního skriptu.
Tento skript také vyžaduje sadu SDK klientských komponent služby SharePoint a prostředí SharePoint Management Shell. Podle stejných pokynů ho zkopírujte a vložte, uložte soubor místně (například Report-OneDriveForBusinessSiteInfo.ps1), upravte $sharepointAdminCenterUrl
hodnoty a $tenantAdmin
hodnoty jako předtím a pak spusťte skript.
**Právní omezení**: Tento ukázkový skript není podporován v žádném standardním programu nebo službě podpory Společnosti Microsoft. Tento ukázkový skript je poskytován tak, jak je, bez jakékoli záruky.
# Requires Windows PowerShell version 3
Queries the search service of a Microsoft 365 tenant to retrieve all OneDrive sites.
Details of the discovered sites are written to a .CSV file (by default,"OneDriveForBusinessSiteInfo_<date>.csv").
Script Installation Requirements:
SharePoint Client Components SDK
SharePoint Management Shell
# URL will be in the format https://<tenant-name>
$sharepointAdminCenterUrl = ""
$tenantAdmin = ""
$reportName = "OneDriveForBusinessSiteInfo_$((Get-Date).ToString("")).csv"
$oneDriveForBusinessSiteUrls= @()
$resultsProcessed = 0
function Load-SharePointOnlineClientComponentAssemblies
# assembly location: C:\Program Files\Common Files\microsoft shared\Web Server Extensions\16\ISAPI
Write-Verbose "Loading Assembly: Microsoft.Office.Client.Policy, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
[System.Reflection.Assembly]::Load("Microsoft.Office.Client.Policy, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null
Write-Verbose "Loading Assembly: Microsoft.Office.Client.TranslationServices, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
[System.Reflection.Assembly]::Load("Microsoft.Office.Client.TranslationServices, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null
Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
[System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null
Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.DocumentManagement, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
[System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.DocumentManagement, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null
Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.Publishing, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
[System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.Publishing, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null
Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.Runtime, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
[System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.Runtime, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null
Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.Search.Applications, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
[System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.Search.Applications, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null
Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.Search, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
[System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.Search, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null
Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.Taxonomy, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
[System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.Taxonomy, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null
Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.UserProfiles, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
[System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.UserProfiles, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null
return $true
if($_.Exception.Message -match "Could not load file or assembly")
Write-Error -Message "Unable to load the SharePoint Server 2013 Client Components.`nDownload Location:"
Write-Error -Exception $_.Exception
return $false
function Load-SharePointOnlineModule
# Installation location: C:\Program Files\SharePoint Online Management Shell\Microsoft.Online.SharePoint.PowerShell
$spoModule = Get-Module -Name Microsoft.Online.SharePoint.PowerShell -ErrorAction SilentlyContinue
if(-not $spoModule)
Import-Module Microsoft.Online.SharePoint.PowerShell -DisableNameChecking
return $true
if($_.Exception.Message -match "Could not load file or assembly")
Write-Error -Message "Unable to load the SharePoint Online Management Shell.`nDownload Location:"
Write-Error -Exception $_.Exception
return $false
return $true
while(-not $spoModule)
function Get-CredentialFromCredentialCache
#if( Test-Path variable:\global:CredentialCache )
if( Get-Variable O365TenantAdminCredentialCache -Scope Global -ErrorAction SilentlyContinue )
Write-Verbose "Credential Cache Hit: $CredentialName"
return $global:O365TenantAdminCredentialCache[$CredentialName]
Write-Verbose "Credential Cache Miss: $CredentialName"
return $null
function Add-CredentialToCredentialCache
if(-not (Get-Variable CredentialCache -Scope Global -ErrorAction SilentlyContinue))
Write-Verbose "Initializing the Credential Cache"
$global:O365TenantAdminCredentialCache = @{}
Write-Verbose "Adding Credential to the Credential Cache"
$global:O365TenantAdminCredentialCache[$Credential.UserName] = $Credential
# load the required assemblies and Windows PowerShell modules
if(-not ((Load-SharePointOnlineClientComponentAssemblies) -and (Load-SharePointOnlineModule)) ) { return }
# Add the credentials to the client context and SharePoint service connection
# check for cached credentials to use
$o365TenantAdminCredential = Get-CredentialFromCredentialCache -CredentialName $tenantAdmin
if(-not $o365TenantAdminCredential)
# when credentials are not cached, prompt for the tenant admin credentials
$o365TenantAdminCredential = Get-Credential -UserName $tenantAdmin -Message "Enter the password for the Office 365 admin"
if(-not $o365TenantAdminCredential -or -not $o365TenantAdminCredential.UserName -or $o365TenantAdminCredential.Password.Length -eq 0 )
Write-Error -Message "Could not validate the supplied tenant admin credentials"
# add the credentials to the cache
Add-CredentialToCredentialCache -Credential $o365TenantAdminCredential
# establish the client context and set the credentials to connect to the site
$clientContext = New-Object Microsoft.SharePoint.Client.ClientContext($sharepointAdminCenterUrl)
$clientContext.Credentials = New-Object Microsoft.SharePoint.Client.SharePointOnlineCredentials($o365TenantAdminCredential.UserName, $o365TenantAdminCredential.Password)
# run a query against the Microsoft 365 tenant search service to retrieve all OneDrive URLs
# build the query object
$query = New-Object Microsoft.SharePoint.Client.Search.Query.KeywordQuery($clientContext)
$query.TrimDuplicates = $false
$query.RowLimit = 500
$query.QueryText = "SPSiteUrl:'/personal/' AND contentclass:STS_Site"
$query.StartRow = $resultsProcessed
$query.TotalRowsExactMinimum = 500000
# run the query
$searchExecutor = New-Object Microsoft.SharePoint.Client.Search.Query.SearchExecutor($clientContext)
$queryResults = $searchExecutor.ExecuteQuery($query)
# enumerate the search results and store the site URLs
$queryResults.Value[0].ResultRows | % {
$oneDriveForBusinessSiteUrls += $_.Path
while($resultsProcessed -lt $queryResults.Value.TotalRows)
$oneDriveForBusinessSiteUrls | Out-File -FilePath $reportName
Skript pro zakázání IRM pro OneDrive
Pokud potřebujete zakázat IRM pro OneDrive uživatelů, použijte následující ukázkový skript.
Tento skript také vyžaduje sadu SDK klientských komponent služby SharePoint a prostředí SharePoint Management Shell. Zkopírujte a vložte obsah, uložte soubor místně (například Disable-IRMOnOneDriveForBusiness.ps1) a upravte $sharepointAdminCenterUrl
Ručně zadejte adresy URL OneDrivu nebo použijte skript v předchozí části, abyste je mohli importovat, a pak skript spusťte.
**Právní omezení**: Tento ukázkový skript není podporován v žádném standardním programu nebo službě podpory Společnosti Microsoft. Tento ukázkový skript je poskytován tak, jak je, bez jakékoli záruky.
# Requires Windows PowerShell version 3
Disables IRM for OneDrive and can also be used for SharePoint libraries and lists
Script Installation Requirements:
SharePoint Client Components SDK
SharePoint Management Shell
$sharepointAdminCenterUrl = ""
$tenantAdmin = ""
$webUrls = @("",
<# As an alternative to specifying the URLs as an array, you can import them from a CSV file (no header, single value per row).
Then, use: $webUrls = Get-Content -Path "File_path_and_name.csv"
$listTitle = "Documents"
function Load-SharePointOnlineClientComponentAssemblies
# assembly location: C:\Program Files\Common Files\microsoft shared\Web Server Extensions\16\ISAPI
Write-Verbose "Loading Assembly: Microsoft.Office.Client.Policy, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
[System.Reflection.Assembly]::Load("Microsoft.Office.Client.Policy, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null
Write-Verbose "Loading Assembly: Microsoft.Office.Client.TranslationServices, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
[System.Reflection.Assembly]::Load("Microsoft.Office.Client.TranslationServices, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null
Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
[System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null
Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.DocumentManagement, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
[System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.DocumentManagement, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null
Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.Publishing, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
[System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.Publishing, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null
Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.Runtime, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
[System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.Runtime, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null
Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.Search.Applications, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
[System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.Search.Applications, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null
Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.Search, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
[System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.Search, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null
Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.Taxonomy, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
[System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.Taxonomy, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null
Write-Verbose "Loading Assembly: Microsoft.SharePoint.Client.UserProfiles, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
[System.Reflection.Assembly]::Load("Microsoft.SharePoint.Client.UserProfiles, Version=, Culture=neutral, PublicKeyToken=71e9bce111e9429c") | Out-Null
return $true
if($_.Exception.Message -match "Could not load file or assembly")
Write-Error -Message "Unable to load the SharePoint Server 2013 Client Components.`nDownload Location:"
Write-Error -Exception $_.Exception
return $false
function Load-SharePointOnlineModule
# Installation location: C:\Program Files\SharePoint Online Management Shell\Microsoft.Online.SharePoint.PowerShell
$spoModule = Get-Module -Name Microsoft.Online.SharePoint.PowerShell -ErrorAction SilentlyContinue
if(-not $spoModule)
Import-Module Microsoft.Online.SharePoint.PowerShell -DisableNameChecking
return $true
if($_.Exception.Message -match "Could not load file or assembly")
Write-Error -Message "Unable to load the SharePoint Online Management Shell.`nDownload Location:"
Write-Error -Exception $_.Exception
return $false
return $true
while(-not $spoModule)
function Remove-IrmConfiguration
Write-Verbose "Disabling IRM Configuration on '$($List.Title)'"
$List.IrmEnabled = $false
$List.IrmExpire = $false
$List.IrmReject = $false
Write-Verbose "Committing IRM configuration settings on '$($list.Title)'"
function Get-CredentialFromCredentialCache
#if( Test-Path variable:\global:CredentialCache )
if( Get-Variable O365TenantAdminCredentialCache -Scope Global -ErrorAction SilentlyContinue )
Write-Verbose "Credential Cache Hit: $CredentialName"
return $global:O365TenantAdminCredentialCache[$CredentialName]
Write-Verbose "Credential Cache Miss: $CredentialName"
return $null
function Add-CredentialToCredentialCache
if(-not (Get-Variable CredentialCache -Scope Global -ErrorAction SilentlyContinue))
Write-Verbose "Initializing the Credential Cache"
$global:O365TenantAdminCredentialCache = @{}
Write-Verbose "Adding Credential to the Credential Cache"
$global:O365TenantAdminCredentialCache[$Credential.UserName] = $Credential
# load the required assemblies and Windows PowerShell modules
if(-not ((Load-SharePointOnlineClientComponentAssemblies) -and (Load-SharePointOnlineModule)) ) { return }
# Add the credentials to the client context and SharePoint service connection
# check for cached credentials to use
$o365TenantAdminCredential = Get-CredentialFromCredentialCache -CredentialName $tenantAdmin
if(-not $o365TenantAdminCredential)
# when credentials are not cached, prompt for the tenant admin credentials
$o365TenantAdminCredential = Get-Credential -UserName $tenantAdmin -Message "Enter the password for the Office 365 admin"
if(-not $o365TenantAdminCredential -or -not $o365TenantAdminCredential.UserName -or $o365TenantAdminCredential.Password.Length -eq 0 )
Write-Error -Message "Could not validate the supplied tenant admin credentials"
# add the credentials to the cache
Add-CredentialToCredentialCache -Credential $o365TenantAdminCredential
# connect to Office365 first, required for SharePoint cmdlets to run
Connect-SPOService -Url $sharepointAdminCenterUrl -Credential $o365TenantAdminCredential
# enumerate each of the specified site URLs
foreach($webUrl in $webUrls)
$grantedSiteCollectionAdmin = $false
# establish the client context and set the credentials to connect to the site
$script:clientContext = New-Object Microsoft.SharePoint.Client.ClientContext($webUrl)
$script:clientContext.Credentials = New-Object Microsoft.SharePoint.Client.SharePointOnlineCredentials($o365TenantAdminCredential.UserName, $o365TenantAdminCredential.Password)
# initialize the site and web context
# load and ensure the tenant admin user account if present on the target SharePoint site
$tenantAdminUser = $script:clientContext.Web.EnsureUser($o365TenantAdminCredential.UserName)
# check if the tenant admin is a site admin
if( -not $tenantAdminUser.IsSiteAdmin )
# grant the tenant admin temporary admin rights to the site collection
Set-SPOUser -Site $script:clientContext.Site.Url -LoginName $o365TenantAdminCredential.UserName -IsSiteCollectionAdmin $true | Out-Null
$grantedSiteCollectionAdmin = $true
Write-Error $_.Exception
# load the list orlibrary using CSOM
$list = $null
$list = $script:clientContext.Web.Lists.GetByTitle($listTitle)
Remove-IrmConfiguration -List $list
Write-Error -Message "Error setting IRM configuration on site: $webUrl.`nError Details: $($_.Exception.ToString())"
# remove the temporary admin rights to the site collection
Set-SPOUser -Site $script:clientContext.Site.Url -LoginName $o365TenantAdminCredential.UserName -IsSiteCollectionAdmin $false | Out-Null
Disconnect-SPOService -ErrorAction SilentlyContinue