Delen via


De information protection-client instellen met behulp van PowerShell

Description

Bevat instructies voor het installeren van de Microsoft Purview Informatiebeveiliging-client en PowerShell-cmdlets met behulp van PowerShell.

PowerShell gebruiken met de Microsoft Purview Informatiebeveiliging-client

De Microsoft Purview Informatiebeveiliging-module wordt geïnstalleerd met de information protection-client. De gekoppelde PowerShell-module is PurviewInformationProtection.

Met de PurviewInformationProtection-module kunt u de client beheren met opdrachten en automatiseringsscripts; bijvoorbeeld:

  • Install-Scanner: installeert en configureert de Information Protection Scanner-service op een computer met Windows Server 2019, Windows Server 2016 of Windows Server 2012 R2.
  • Get-FileStatus: hiermee haalt u de Information Protection label en beveiligingsgegevens op voor een of meer opgegeven bestanden.
  • Scan starten: geeft de scanner voor gegevensbeveiliging opdracht om een eenmalige scancyclus te starten.
  • Set-FileLabel -Autolabel: scant een bestand om automatisch een gegevensbeveiligingslabel in te stellen voor een bestand, volgens voorwaarden die zijn geconfigureerd in het beleid.

De PowerShell-module PurviewInformationProtection installeren

Installatievereisten

  • Voor deze module is Windows PowerShell 4.0 vereist. Deze vereiste wordt niet gecontroleerd tijdens de installatie. Zorg ervoor dat u de juiste versie van PowerShell hebt geïnstalleerd.
  • Zorg ervoor dat u de meest recente versie van de PowerShell-module PurviewInformationProtection hebt door uit te voeren Import-Module PurviewInformationProtection.

Installatiedetails

U installeert en configureert de Information Protection-client en de bijbehorende cmdlets met behulp van PowerShell.

De PurviewInformationProtection PowerShell-module wordt automatisch geïnstalleerd wanneer u de volledige versie van de Information Protection-client installeert. U kunt de module ook alleen installeren met behulp van de parameter PowerShellOnly=true .

De module wordt geïnstalleerd in de map \ProgramFiles (x86)\PurviewInformationProtection en voegt deze map vervolgens toe aan de PSModulePath systeemvariabele.

Belangrijk

De PurviewInformationProtection-module biedt geen ondersteuning voor het configureren van geavanceerde instellingen voor labels of labelbeleid.

Als u cmdlets wilt gebruiken met een padlengte van meer dan 260 tekens, gebruikt u de volgende groepsbeleidsinstelling die beschikbaar is vanaf Windows 10 versie 1607:

Beleid voor lokale computers>Computerconfiguratie>Beheersjablonen>Alle instellingen>Lange win32-paden inschakelen

Voor Windows Server 2016 kunt u dezelfde groepsbeleidsinstelling gebruiken wanneer u de meest recente beheersjablonen (.admx) voor Windows 10 installeert.

Zie de sectie Maximale padlengtebeperking in de documentatie voor Windows 10 ontwikkelaars voor meer informatie.

Informatie over de vereisten voor de PowerShell-module PurviewInformationProtection

Naast de installatievereisten voor de PurviewInformationProtection-module moet u ook de Azure Rights Management-service activeren.

In sommige gevallen wilt u mogelijk de beveiliging van bestanden verwijderen voor anderen die uw eigen account gebruiken. U kunt bijvoorbeeld de beveiliging voor anderen verwijderen ten behoeve van gegevensdetectie of -herstel. Als u labels gebruikt om beveiliging toe te passen, kunt u deze beveiliging verwijderen door een nieuw label in te stellen dat geen beveiliging toepast, of u kunt het label verwijderen.

Voor dergelijke gevallen moet ook aan de volgende vereisten worden voldaan:

  • De functie supergebruiker moet zijn ingeschakeld voor uw organisatie.
  • Uw account moet worden geconfigureerd als een Azure Rights Management supergebruiker.

Cmdlets voor informatiebeveiligingslabels zonder toezicht uitvoeren

Wanneer u de cmdlets voor labelen uitvoert, worden de opdrachten standaard uitgevoerd in uw eigen gebruikerscontext in een interactieve PowerShell-sessie. Als u cmdlets voor vertrouwelijkheidslabels automatisch wilt uitvoeren, leest u de volgende secties:

Informatie over de vereisten voor het uitvoeren van labeling-cmdlets zonder toezicht

Als u Purview wilt uitvoeren Information Protection cmdlets voor labelen zonder toezicht, gebruikt u de volgende toegangsgegevens:

  • Een Windows-account waarmee u zich interactief kunt aanmelden.

  • Een Microsoft Entra-account, voor gedelegeerde toegang. Voor een eenvoudig beheer gebruikt u één account dat vanuit Active Directory naar Microsoft Entra ID wordt gesynchroniseerd.

    Configureer de volgende vereisten voor het gedelegeerde gebruikersaccount:

    Vereiste Details
    Labelbeleid Zorg ervoor dat u een labelbeleid hebt toegewezen aan dit account en dat het beleid de gepubliceerde labels bevat die u wilt gebruiken.

    Als u labelbeleid voor verschillende gebruikers gebruikt, moet u mogelijk een nieuw labelbeleid maken dat al uw labels publiceert en het beleid alleen publiceren naar dit gedelegeerde gebruikersaccount.
    Inhoud ontsleutelen Als dit account inhoud moet ontsleutelen, bijvoorbeeld om bestanden opnieuw te beveiligen en bestanden te inspecteren die door anderen zijn beveiligd, maakt u er een supergebruiker van voor Information Protection en zorgt u ervoor dat de functie supergebruiker is ingeschakeld.
    Besturingselementen voor onboarding Als u besturingselementen voor onboarding hebt geïmplementeerd voor een gefaseerde implementatie, moet u ervoor zorgen dat dit account is opgenomen in de besturingselementen voor onboarding die u hebt geconfigureerd.
  • Een Microsoft Entra toegangstoken, waarmee referenties voor de gedelegeerde gebruiker worden ingesteld en opgeslagen voor verificatie bij Microsoft Purview Informatiebeveiliging. Wanneer het token in Microsoft Entra ID verloopt, moet u de cmdlet opnieuw uitvoeren om een nieuw token te verkrijgen.

    De parameters voor Set-Authentication gebruiken waarden uit een app-registratieproces in Microsoft Entra ID. Zie Microsoft Entra-toepassingen Creatie en configureren voor setverificatie voor meer informatie.

Voer de cmdlets voor labelen niet-interactief uit door eerst de cmdlet Set-Authentication uit te voeren.

De computer waarop de cmdlet Set-Authentication wordt uitgevoerd, downloadt het labelbeleid dat is toegewezen aan uw gedelegeerde gebruikersaccount in de Microsoft Purview-nalevingsportal.

Microsoft Entra-toepassingen voor Set-Authentication Creatie en configureren

Voor de cmdlet Set-Authentication is een app-registratie vereist voor de parameters AppId en AppSecret .

Ga als volgt te werk om een nieuwe app-registratie te maken voor de cmdlet Set-Authentication van de client voor geïntegreerde labels:

  1. Meld in een nieuw browservenster de Azure Portal aan bij de Microsoft Entra tenant die u gebruikt met Microsoft Purview Informatiebeveiliging.

  2. Navigeer naar Microsoft Entra ID>Manage>App-registraties en selecteer Nieuwe registratie.

  3. Geef in het deelvenster Een toepassing registreren de volgende waarden op en selecteer vervolgens Registreren:

    Optie Waarde
    Naam AIP-DelegatedUser
    Geef indien nodig een andere naam op. De naam moet uniek zijn per tenant.
    Ondersteunde accounttypen Selecteer Alleen accounts in deze organisatiemap.
    URI voor omleiding (optioneel) Selecteer Web en voer vervolgens in https://localhost.
  4. Kopieer in het deelvenster AIP-DelegatedUser de waarde voor de toepassings-id (client).

    De waarde ziet er ongeveer uit als in het volgende voorbeeld: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Deze waarde wordt gebruikt voor de parameter AppId wanneer u de cmdlet Set-Authentication uitvoert. Plak de waarde en sla deze op voor later gebruik.

  5. Selecteer in de zijbalk Certificaten beheren>& geheimen.

    Selecteer vervolgens in het deelvenster AIP-DelegatedUser - Certificaten & geheimen in de sectie Clientgeheimende optie Nieuw clientgeheim.

  6. Geef bij Een clientgeheim toevoegen het volgende op en selecteer vervolgens Toevoegen:

    Veld Waarde
    Beschrijving Microsoft Purview Information Protection client
    Verloopt Geef de gewenste duur op (1 jaar, 2 jaar of verloopt nooit)
  7. Terug in het deelvenster AIP-DelegatedUser - Certificaten & geheimen in de sectie Clientgeheimen kopieert u de tekenreeks voor de WAARDE.

    Deze tekenreeks ziet er ongeveer uit zoals in het volgende voorbeeld: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Als u alle tekens wilt kopiëren, selecteert u het pictogram naar Kopiëren naar klembord.

    Belangrijk

    Sla deze tekenreeks op omdat deze niet opnieuw wordt weergegeven en niet kan worden opgehaald. Net als bij alle gevoelige informatie die u gebruikt, slaat u de opgeslagen waarde veilig op en beperkt u de toegang tot de waarde.

  8. SelecteerAPI-machtigingenbeheren> in de zijbalk.

    Selecteer in het deelvenster AIP-DelegatedUser - API-machtigingende optie Een machtiging toevoegen.

  9. Controleer in het deelvenster API-machtigingen aanvragen of u zich op het tabblad Microsoft API's bevindt en selecteer Azure Rights Management Services.

    Wanneer u wordt gevraagd om het type machtigingen dat uw toepassing vereist, selecteert u Toepassingsmachtigingen.

  10. Vouw bij Machtigingen selecterende optie Inhoud uit, selecteer het volgende en selecteer vervolgens Machtigingen toevoegen.

    • Content.DelegatedReader
    • Content.DelegatedWriter
  11. Selecteer in het deelvenster AIP-DelegatedUser - API-machtigingen opnieuw Een machtiging toevoegen .

    Selecteer in het deelvenster AIP-machtigingen aanvragenDE API's die mijn organisatie gebruikt en zoek naar Microsoft Information Protection Sync Service.

  12. Selecteer toepassingsmachtigingen in het deelvenster API-machtigingen aanvragen.

    Vouw voor Machtigingen selecterenUnifiedPolicy uit, selecteer UnifiedPolicy.Tenant.Read en selecteer vervolgens Machtigingen toevoegen.

  13. Selecteer in het deelvenster AIP-DelegatedUser - API-machtigingen de optie Beheerderstoestemming verlenen voor uw tenant en selecteer Ja voor de bevestigingsprompt.

Na deze stap wordt de registratie van deze app met een geheim voltooid. U bent klaar om Set-Authentication uit te voeren met de parameters AppId en AppSecret. Daarnaast hebt u uw tenant-id nodig.

Tip

U kunt uw tenant-id snel kopiëren met behulp van Azure Portal: Microsoft Entra ID>Directory-id>eigenschappen> beheren.

De cmdlet Set-Authentication uitvoeren

  1. Open Windows PowerShell met de optie Als administrator uitvoeren.

  2. Maak in uw PowerShell-sessie een variabele voor het opslaan van de referenties van het Windows-gebruikersaccount dat niet-interactief wordt uitgevoerd. Als u bijvoorbeeld een serviceaccount voor de scanner hebt gemaakt:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"
    

    U wordt gevraagd om het wachtwoord van dit account.

  3. Voer de cmdlet Set-Authentication uit met de parameter OnBeHalfOf en geef als waarde de variabele op die u hebt gemaakt.

    Geef ook uw app-registratiewaarden, uw tenant-id en de naam van het gedelegeerde gebruikersaccount op in Microsoft Entra ID. Bijvoorbeeld:

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds