Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Descrição
Contém instruções para instalar o cliente da Proteção de Informações do Microsoft Purview e os cmdlets do PowerShell usando o PowerShell.
Usar o PowerShell com o cliente de Proteção de Informações do Microsoft Purview
O módulo Proteção de Informações do Microsoft Purview é instalado com o cliente de proteção de informações. O módulo do PowerShell associado é PurviewInformationProtection.
O módulo PurviewInformationProtection permite que você gerencie o cliente com comandos e scripts de automação; por exemplo:
- Install-Scanner: instala e configura o serviço Verificador de Proteção de Informações em um computador que executa o Windows Server 2019, Windows Server 2016 ou Windows Server 2012 R2.
- Get-FileStatus: obtém o rótulo de Proteção de Informações e as informações de proteção para um arquivo ou arquivos especificados.
- Start-Scan: Instrui o scanner de proteção de informações a iniciar um ciclo de verificação único.
- Set-FileLabel -Autolabel: Verifica um arquivo para definir automaticamente um rótulo de proteção de informações para um arquivo, de acordo com as condições configuradas na política.
Instalar o módulo do PowerShell PurviewInformationProtection
Pré-requisitos da instalação
- Este módulo requer o Windows PowerShell 4.0. Esse pré-requisito não é verificado durante a instalação. Verifique se você tem a versão correta do PowerShell instalada.
- Verifique se você tem a versão mais recente do módulo PurviewInformationProtection do PowerShell executando
Import-Module PurviewInformationProtectiono .
Detalhes da instalação
Você instala e configura o cliente de proteção de informações e os cmdlets associados usando o PowerShell.
O módulo PurviewInformationProtection do PowerShell é instalado automaticamente quando você instala a versão completa do cliente de proteção de informações. Como alternativa, você pode instalar o módulo somente usando o parâmetro PowerShellOnly=true .
O módulo é instalado na pasta \ProgramFiles (x86)\PurviewInformationProtection e, em seguida, adiciona essa pasta à variável de PSModulePath sistema.
Importante
O módulo PurviewInformationProtection não dá suporte à configuração de configurações avançadas para rótulos ou políticas de rótulo.
Para usar cmdlets com comprimentos de caminho maiores que 260 caracteres, use a seguinte configuração de política de grupo disponível a partir do Windows 10, versão 1607:
Política >Configuração do> computadorModelos> AdministrativosTodas as configurações>Habilitar caminhos longos do Win32
Para Windows Server 2016, você pode usar a mesma configuração de política de grupo ao instalar os Modelos Administrativos (.admx) mais recentes para Windows 10.
Para obter mais informações, consulte Limitação máxima de comprimento de caminho na documentação do desenvolvedor do Windows 10.
Entender os pré-requisitos para o módulo do PowerShell PurviewInformationProtection
Além dos pré-requisitos de instalação para o módulo PurviewInformationProtection, você também deve ativar o serviço Azure Rights Management.
Em alguns casos, talvez você queira remover a proteção de arquivos para outras pessoas que usam sua própria conta. Por exemplo, talvez você queira remover a proteção de outras pessoas para fins de descoberta ou recuperação de dados. Se você estiver usando rótulos para aplicar proteção, poderá remover essa proteção definindo um novo rótulo que não aplique proteção ou remover o rótulo.
Para casos como este, os seguintes requisitos também devem ser atendidos:
- O recurso de superusuário deve estar habilitado para sua organização.
- Sua conta deve ser configurada como um superusuário do Azure Rights Management.
Executar cmdlets de rotulagem de proteção de informações autônoma
Por padrão, quando você executa os cmdlets para rotulagem, os comandos são executados em seu próprio contexto de usuário em uma sessão interativa do PowerShell. Para executar automaticamente cmdlets de rotulagem de confidencialidade, leia as seguintes seções:
- Entender os pré-requisitos para executar cmdlets de rotulagem autônomos
- Criar e configurar aplicativos do Microsoft Entra para Set-Authentication
- Executar o cmdlet Set-Authentication
Entender os pré-requisitos para executar cmdlets de rotulagem autônomos
Para executar cmdlets de rotulagem da Proteção de Informações do Purview sem supervisão, use os seguintes detalhes de acesso:
Uma conta do Windows que pode entrar interativamente.
Uma conta do Microsoft Entra, para acesso delegado. Para facilitar a administração, use uma única conta que sincronize do Active Directory com a ID do Microsoft Entra.
Para a conta de usuário delegado, configure os seguintes requisitos:
Requisito Detalhes Política de rótulo Verifique se você tem uma política de rótulo atribuída a essa conta e se a política contém os rótulos publicados que você deseja usar.
Se você usar políticas de rótulo para usuários diferentes, talvez seja necessário criar uma nova política de rótulo que publique todos os seus rótulos e publique a política apenas nessa conta de usuário delegada.Descriptografando conteúdo Se essa conta precisar descriptografar conteúdo, por exemplo, para proteger novamente arquivos e inspecionar arquivos que foram protegidos por outras pessoas, torne-a um superusuário para Proteção de Informações e verifique se o recurso de superusuário está habilitado. Controles de integração Se você implementou controles de integração para uma implantação em fases, verifique se essa conta está incluída nos controles de integração que você configurou. Um token de acesso do Microsoft Entra, que define e armazena credenciais para o usuário delegado se autenticar na Proteção de Informações do Microsoft Purview. Quando o token na ID do Microsoft Entra expirar, você deverá executar o cmdlet novamente para adquirir um novo token.
Os parâmetros para Set-Authentication usam valores de um processo de registro de aplicativo na ID do Microsoft Entra. Para obter mais informações, consulte Criar e configurar aplicativos do Microsoft Entra para Set-Authentication.
Execute os cmdlets de rotulagem de forma não interativa executando primeiro o cmdlet Set-Authentication .
O computador que executa o cmdlet Set-Authentication baixa a política de rotulagem atribuída à sua conta de usuário delegado no portal de conformidade do Microsoft Purview.
Criar e configurar aplicativos do Microsoft Entra para Set-Authentication
O cmdlet Set-Authentication requer um registro de aplicativo para os parâmetros AppId e AppSecret .
Para criar um novo registro de aplicativo para o cmdlet Set-Authentication do cliente de rotulagem unificada:
Em uma nova janela do navegador, entre no portal do Azure para o locatário do Microsoft Entra que você usa com a Proteção de Informações do Microsoft Purview.
Navegue até Microsoft Entra ID>Gerenciar>registros de aplicativo e selecione Novo registro.
No painel Registrar um aplicativo , especifique os seguintes valores e selecione Registrar:
Opção Valor Nome AIP-DelegatedUser
Especifique um nome diferente conforme necessário. O nome deve ser exclusivo por locatário.Tipos de conta compatíveis Selecione Contas apenas neste diretório organizacional. URI de Redirecionamento (opcional) Selecione Web e insira https://localhost.No painel AIP-DelegatedUser , copie o valor da ID do aplicativo (cliente).
O valor é semelhante ao exemplo a seguir:
77c3c1c3-abf9-404e-8b2b-4652836c8c66.Esse valor é usado para o parâmetro AppId quando você executa o cmdlet Set-Authentication . Cole e salve o valor para referência posterior.
Na barra lateral, selecione Gerenciar>certificados e segredos.
Em seguida, no painel AIP-DelegatedUser - Certificados e segredos , na seção Segredos do cliente , selecione Novo segredo do cliente.
Para Adicionar um segredo do cliente, especifique o seguinte e selecione Adicionar:
Campo Valor Descrição Microsoft Purview Information Protection clientExpira em Especifique sua escolha de duração (1 ano, 2 anos ou nunca expira) De volta ao painel AIP-DelegatedUser - Certificados e segredos, na seção Segredos do cliente, copie a cadeia de caracteres para o VALUE.
Essa cadeia de caracteres é semelhante ao exemplo a seguir:
OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.Para certificar-se de copiar todos os caracteres, selecione o ícone para Copiar para a área de transferência.
Importante
Salve essa cadeia de caracteres porque ela não é exibida novamente e não pode ser recuperada. Como acontece com qualquer informação confidencial que você usa, armazene o valor salvo com segurança e restrinja o acesso a ele.
Na barra lateral, selecione Gerenciar>permissões de API.
No painel AIP-DelegatedUser - Permissões de API , selecione Adicionar uma permissão.
No painel Solicitar permissões de API , verifique se você está na guia APIs da Microsoft e selecione Azure Rights Management Services.
Quando for solicitado o tipo de permissões que seu aplicativo exige, selecione Permissões do aplicativo.
Para Selecionar permissões, expanda Conteúdo e selecione o seguinte e, em seguida, selecione Adicionar permissões.
- Content.DelegatedReader
- Content.DelegatedWriter
De volta ao painel AIP-DelegatedUser - Permissões de API , selecione Adicionar uma permissão novamente.
No painel Solicitar permissões de AIP , selecione APIs que minha organização usa e pesquise Serviço de Sincronização da Proteção de Informações da Microsoft.
No painel Solicitar permissões de API , selecione Permissões de aplicativo.
Para Selecionar permissões, expanda UnifiedPolicy, selecione UnifiedPolicy.Tenant.Read e, em seguida, selecione Adicionar permissões.
De volta ao painel AIP-DelegatedUser – Permissões de API , selecione Conceder consentimento do administrador para seu locatário e selecione Sim para o prompt de confirmação.
Após esta etapa, o registro deste aplicativo com um segredo é concluído. Você está pronto para executar Set-Authentication com os parâmetros AppId e AppSecret. Além disso, você precisa da ID do locatário.
Dica
Você pode copiar rapidamente sua ID de locatário usandoo portal do Azure: > do Microsoft Entra>> Propriedades.
Executar o cmdlet Set-Authentication
Abra o Windows PowerShell com a opção Executar como administrador.
Na sessão do PowerShell, crie uma variável para armazenar as credenciais da conta de usuário do Windows que é executada de forma não interativa. Por exemplo, se você criou uma conta de serviço para o verificador:
$pscreds = Get-Credential "CONTOSO\srv-scanner"Você será solicitado a fornecer a senha desta conta.
Execute o cmdlet Set-Authentication, com o parâmetro OnBeHalfOf , especificando como seu valor a variável que você criou.
Especifique também os valores de registro do aplicativo, a ID do locatário e o nome da conta de usuário delegada na ID do Microsoft Entra. Por exemplo:
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds