Freigeben über

Einrichten des Information Protection-Clients mithilfe von PowerShell

BESCHREIBUNG

Enthält Anweisungen zum Installieren des Microsoft Purview Information Protection-Clients und von PowerShell-Cmdlets mithilfe von PowerShell.

Verwenden von PowerShell mit dem Microsoft Purview Information Protection-Client

Das Microsoft Purview Information Protection-Modul wird mit dem Information Protection-Client installiert. Das zugeordnete PowerShell-Modul ist PurviewInformationProtection.

Mit dem PurviewInformationProtection-Modul können Sie den Client mit Befehlen und Automatisierungsskripts verwalten. Zum Beispiel:

  • Install-Scanner: Installiert und konfiguriert den Information Protection Scanner-Dienst auf einem Computer unter Windows Server 2019, Windows Server 2016 oder Windows Server 2012 R2.
  • Get-FileStatus: Ruft die Information Protection-Bezeichnung und die Schutzinformationen für eine oder mehrere angegebene Dateien ab.
  • Start-Scan: Weist den Information Protection-Scanner an, einen einmaligen Scanzyklus zu starten.
  • Set-FileLabel – Automatisch bezeichnen: Scannt eine Datei, um automatisch eine Informationsschutzbezeichnung für eine Datei festzulegen, gemäß den Bedingungen, die in der Richtlinie konfiguriert sind.

Installieren des PurviewInformationProtection PowerShell-Moduls

Voraussetzungen für die Installation

  • Für dieses Modul ist Windows PowerShell 4.0 erforderlich. Diese Voraussetzung wird während der Installation nicht überprüft. Stellen Sie sicher, dass Sie die richtige Version von PowerShell installiert haben.
  • Stellen Sie sicher, dass Sie über die neueste Version des PurviewInformationProtection PowerShell-Moduls verfügen, indem Sie Import-Module PurviewInformationProtection.

Installationsdetails

Sie installieren und konfigurieren den Information Protection-Client und die zugehörigen Cmdlets mithilfe von PowerShell.

Das PurviewInformationProtection-PowerShell-Modul wird automatisch installiert, wenn Sie die Vollversion des Information Protection-Clients installieren. Alternativ können Sie das Modul nur mithilfe des Parameters PowerShellOnly=true installieren.

Das Modul wird im Ordner \ProgramFiles (x86)\PurviewInformationProtection installiert und fügt diesen Ordner dann der PSModulePath Systemvariablen hinzu.

Von Bedeutung

Das PurviewInformationProtection-Modul unterstützt nicht das Konfigurieren erweiterter Einstellungen für Bezeichnungen oder Bezeichnungsrichtlinien.

Um Cmdlets mit einer Pfadlänge von mehr als 260 Zeichen zu verwenden, verwenden Sie die folgende Gruppenrichtlinieneinstellung , die ab Windows 10, Version 1607, verfügbar ist:

Richtlinie für> lokale ComputerKonfiguration> des ComputersAdministrative Vorlagen>Alle Einstellungen>Aktivieren langer Win32-Pfade

Für Windows Server 2016 können Sie dieselbe Gruppenrichtlinieneinstellung verwenden, wenn Sie die neuesten administrativen Vorlagen (ADMX) für Windows 10 installieren.

Weitere Informationen finden Sie unter Maximale Pfadlängenbeschränkung in der Windows 10-Entwicklerdokumentation.

Grundlegendes zu den Voraussetzungen für das PowerShell-Modul "PurviewInformationProtection"

Zusätzlich zu den Installationsvoraussetzungen für das PurviewInformationProtection-Modul müssen Sie auch den Azure Rights Management-Dienst aktivieren.

In einigen Fällen kann es sinnvoll sein, den Schutz von Dateien für andere Dateien zu entfernen, die Ihr eigenes Konto verwenden. Sie können z. B. den Schutz für andere entfernen, um Daten zu ermitteln oder wiederherzustellen. Wenn Sie Bezeichnungen zum Anwenden von Schutz verwenden, können Sie diesen Schutz entfernen, indem Sie eine neue Bezeichnung festlegen, die keinen Schutz anwendet, oder Sie können die Bezeichnung entfernen.

In solchen Fällen müssen zusätzlich folgende Voraussetzungen erfüllt sein:

  • Die Administratorfunktion muss für Ihre Organisation aktiviert sein.
  • Ihr Konto muss als Azure Rights Management-Administrator konfiguriert sein.

Unbeaufsichtigtes Ausführen von Information Protection-Bezeichnungs-Cmdlets

Wenn Sie die Cmdlets für die Bezeichnung ausführen, werden die Befehle standardmäßig in Ihrem eigenen Benutzerkontext in einer interaktiven PowerShell-Sitzung ausgeführt. Lesen Sie die folgenden Abschnitte, um Cmdlets für Vertraulichkeitsbezeichnungen automatisch auszuführen:

Grundlegendes zu den Voraussetzungen für das unbeaufsichtigte Ausführen von Bezeichnungs-Cmdlets

Verwenden Sie die folgenden Zugriffsdetails, um Purview Information Protection-Bezeichnungs-Cmdlets unbeaufsichtigt auszuführen:

  • Ein Windows-Konto , das sich interaktiv anmelden kann.

  • Ein Microsoft Entra Konto für den delegierten Zugriff. Um die Verwaltung zu vereinfachen, verwenden Sie ein einzelnes Konto, das von Active Directory mit Microsoft Entra ID synchronisiert wird.

    Konfigurieren Sie für das delegierte Benutzerkonto die folgenden Anforderungen:

    Anforderung Einzelheiten
    Label-Richtlinie Stellen Sie sicher, dass diesem Konto eine Bezeichnungsrichtlinie zugewiesen ist und dass die Richtlinie die veröffentlichten Bezeichnungen enthält, die Sie verwenden möchten.

    Wenn Sie Bezeichnungsrichtlinien für verschiedene Benutzer verwenden, müssen Sie möglicherweise eine neue Bezeichnungsrichtlinie erstellen, die alle Ihre Bezeichnungen veröffentlicht, und die Richtlinie nur für dieses delegierte Benutzerkonto veröffentlichen.
    Entschlüsseln von Inhalten Wenn dieses Konto Inhalte entschlüsseln muss, z. B. um Dateien erneut zu schützen und Dateien zu überprüfen, die von anderen geschützt wurden, machen Sie es zu einem Administrator für den Informationsschutz, und stellen Sie sicher, dass die Administratorfunktion aktiviert ist.
    Onboarding-Kontrollen Wenn Sie Onboarding-Steuerelemente für eine phasenweise Bereitstellung implementiert haben, stellen Sie sicher, dass dieses Konto in den von Ihnen konfigurierten Onboarding-Steuerelementen enthalten ist.

  • Ein Microsoft Entra Zugriffstoken, das Anmeldeinformationen für den delegierten Benutzer festlegt und speichert, um sich bei Microsoft Purview Information Protection zu authentifizieren. Wenn das Token in Microsoft Entra ID abläuft, müssen Sie das Cmdlet erneut ausführen, um ein neues Token abzurufen.

    Die Parameter für Set-Authentication verwenden Werte aus einem App-Registrierungsprozess in Microsoft Entra ID. Weitere Informationen finden Sie unter Erstellen und Konfigurieren von Microsoft Entra-Anwendungen für die Set-Authentication.

Führen Sie die Bezeichnungs-Cmdlets nicht interaktiv aus, indem Sie zuerst das Cmdlet Set-Authentication ausführen.

Der Computer, auf dem das Cmdlet Set-Authentication ausgeführt wird, lädt die Bezeichnungsrichtlinie herunter, die Ihrem delegierten Benutzerkonto im Microsoft Purview-Complianceportal zugewiesen ist.

Erstellen und Konfigurieren von Microsoft Entra Anwendungen für Set-Authentication

Für das Cmdlet Set-Authentication ist eine App-Registrierung für die Parameter AppId und AppSecret erforderlich.

So erstellen Sie eine neue App-Registrierung für das Set-Authentication-Cmdlet des Clients für einheitliche Bezeichnungen:

  1. Melden Sie sich in einem neuen Browserfenster im Azure-Portal bei dem Microsoft Entra Mandanten an, den Sie mit Microsoft Purview Information Protection verwenden.

  2. Navigieren Sie zu Microsoft Entra ID>>Manage App-Registrierungen, und wählen Sie Neue Registrierung aus.

  3. Geben Sie im Bereich Anwendung registrieren die folgenden Werte an, und wählen Sie dann Registrieren aus:

    Auswahlmöglichkeit Wert
    Name AIP-DelegatedUser
    Geben Sie bei Bedarf einen anderen Namen an. Der Name muss pro Mandant eindeutig sein.
    Unterstützte Kontotypen Wählen Sie ausschließlich Konten in diesem Organisationsverzeichnis aus.
    Umleitungs-URI (optional) Wählen Sie Web aus, und geben Sie https://localhostdann ein.

  4. Kopieren Sie im Bereich AIP-DelegatedUser den Wert für die Anwendungs-ID (Client).

    Der Wert sieht in etwa wie im folgenden Beispiel aus: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Dieser Wert wird für den AppId-Parameter verwendet, wenn Sie das Cmdlet Set-Authentication ausführen. Fügen Sie den Wert ein, und speichern Sie ihn zur späteren Bezugnahme.

  5. Wählen Sie in der SeitenleisteZertifikate und Geheimnisse> aus.

    Wählen Sie dann im Bereich AIP-DelegatedUser – Zertifikate und geheime Schlüssel im Abschnitt Geheimer Clientschlüssel die Option Neuer geheimer Clientschlüssel aus.

  6. Geben Sie für Add a client secret (Geheimen Clientschlüssel hinzufügen) Folgendes an, und wählen Sie dann Add (Hinzufügen) aus:

    Feld Wert
    Beschreibung Microsoft Purview Information Protection client
    Läuft ab Geben Sie die gewünschte Laufzeit an (1 Jahr, 2 Jahre oder läuft nie ab)

  7. Kopieren Sie im Bereich AIP-DelegatedUser – Zertifikate und Geheimnisse im Abschnitt Geheime Clientschlüssel die Zeichenfolge für den WERT.

    Diese Zeichenfolge sieht in etwa wie im folgenden Beispiel aus: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Um sicherzustellen, dass Sie alle Zeichen kopieren, wählen Sie das Symbol zum Kopieren in die Zwischenablage aus.

    Von Bedeutung

    Speichern Sie diese Zeichenfolge, da sie nicht erneut angezeigt wird und nicht abgerufen werden kann. Speichern Sie wie bei allen vertraulichen Informationen, die Sie verwenden, den gespeicherten Wert sicher und beschränken Sie den Zugriff darauf.

  8. Wählen Sie in der SeitenleisteAPI-Berechtigungen> aus.

    Wählen Sie im Bereich AIP-DelegatedUser – API-Berechtigungendie Option Berechtigung hinzufügen aus.

  9. Vergewissern Sie sich, dass Sie sich im Bereich API-Berechtigungen anfordern auf der Registerkarte Microsoft-APIs befinden, und wählen Sie Azure Rights Management-Dienste aus.

    Wenn Sie zur Eingabe des Berechtigungstyps aufgefordert werden, den Ihre Anwendung benötigt, wählen Sie Anwendungsberechtigungen aus.

  10. Erweitern Sie für Berechtigungen auswählendie Option Inhalt , wählen Sie Folgendes aus, und wählen Sie dann Berechtigungen hinzufügen aus.

    • Inhalt.DelegatedReader
    • Inhalt.DelegatedWriter

  11. Wählen Sie im Bereich AIP-DelegatedUser – API-Berechtigungen erneut Berechtigung hinzufügen aus.

    Wählen Sie im Bereich AIP-Berechtigungen anfordern die Option APIs aus, die meine Organisation verwendet, und suchen Sie nach Microsoft Information Protection-Synchronisierungsdienst.

  12. Wählen Sie im Bereich API-Berechtigungen anfordern die Option Anwendungsberechtigungen aus.

    Erweitern Sie für Select permissions (Berechtigungen auswählen) die Option UnifiedPolicy, wählen Sie UnifiedPolicy.Tenant.Read (UnifiedPolicy.Tenant.Read) aus, und wählen Sie dann Add permissions (Berechtigungen hinzufügen) aus.

  13. Wählen Sie im Bereich AIP-DelegatedUser – API-Berechtigungen die Option Administratoreinwilligung für Ihren Mandanten erteilen aus, und wählen Sie Ja für die Bestätigungsaufforderung aus.

Nach diesem Schritt ist die Registrierung dieser App mit einem Geheimnis abgeschlossen. Sie können Set-Authentication mit den Parametern AppId und AppSecret ausführen. Darüber hinaus benötigen Sie Ihre Mandanten-ID.

Tipp

Sie können Ihre Mandanten-ID schnell über das Azure-Portal kopieren: Microsoft Entra ID>Manage>Properties>Directory ID.

Ausführen des Cmdlets Set-Authentication

  1. Öffnen Sie Windows PowerShell mit der Option Als Administrator ausführen.

  2. Erstellen Sie in Ihrer PowerShell-Sitzung eine Variable, um die Anmeldeinformationen des Windows-Benutzerkontos zu speichern, das nicht interaktiv ausgeführt wird. Wenn Sie z. B. ein Dienstkonto für den Scanner erstellt haben:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"

    Sie werden aufgefordert, das Passwort für dieses Konto einzugeben.

  3. Führen Sie das Cmdlet Set-Authentication mit dem Parameter OnBeHalfOf aus, und geben Sie als Wert die Variable an, die Sie erstellt haben.

    Geben Sie außerdem Ihre App-Registrierungswerte, Ihre Mandanten-ID und den Namen des delegierten Benutzerkontos in Microsoft Entra ID an. Beispiel:

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
  • Last updated on