Partilhar via

Configurar o cliente de proteção de informações usando o PowerShell

Descrição

Contém instruções para instalar o cliente Microsoft Purview Information Protection e cmdlets do PowerShell usando o PowerShell.

Usar o PowerShell com o cliente Microsoft Purview Information Protection

O módulo Microsoft Purview Information Protection é instalado com o cliente de proteção de informações. O módulo do PowerShell associado é PurviewInformationProtection.

O módulo PurviewInformationProtection permite gerenciar o cliente com comandos e scripts de automação; Por exemplo:

  • Install-Scanner: Instala e configura o serviço Information Protection Scanner em um computador que executa o Windows Server 2019, Windows Server 2016 ou Windows Server 2012 R2.
  • Get-FileStatus: Obtém o rótulo de Proteção de Informações e as informações de proteção para um arquivo ou arquivos especificados.
  • Start-Scan: instrui o mecanismo de varredura de proteção de informações a iniciar um ciclo de verificação único.
  • Set-FileLabel -Autolabel: Verifica um arquivo para definir automaticamente um rótulo de proteção de informações para um arquivo, de acordo com as condições configuradas na política.

Instalar o módulo PowerShell PurviewInformationProtection

Pré-requisitos de instalação

  • Este módulo requer o Windows PowerShell 4.0. Este pré-requisito não é verificado durante a instalação. Verifique se você tem a versão correta do PowerShell instalada.
  • Verifique se você tem a versão mais recente do módulo PowerShell PurviewInformationProtection executando Import-Module PurviewInformationProtectiono .

Detalhes da instalação

Você instala e configura o cliente de proteção de informações e cmdlets associados usando o PowerShell.

O módulo PowerShell PurviewInformationProtection é instalado automaticamente quando você instala a versão completa do cliente de proteção de informações. Como alternativa, você pode instalar o módulo somente usando o parâmetro PowerShellOnly=true .

O módulo é instalado na pasta \ProgramFiles (x86)\PurviewInformationProtection e, em seguida, adiciona essa pasta à variável de PSModulePath sistema.

Importante

O módulo PurviewInformationProtection não suporta a definição de definições avançadas para etiquetas ou políticas de etiquetas.

Para usar cmdlets com comprimentos de caminho maiores que 260 caracteres, use a seguinte configuração de política de grupo disponível a partir do Windows 10, versão 1607:

Política do> Computador LocalConfiguração do> ComputadorModelos Administrativos>Todas as configurações>Ativar caminhos longos do Win32

Para o Windows Server 2016, você pode usar a mesma configuração de política de grupo ao instalar os Modelos Administrativos (.admx) mais recentes para o Windows 10.

Para obter mais informações, consulte Limitação de comprimento máximo de caminho na documentação do desenvolvedor do Windows 10.

Compreender os pré-requisitos para o módulo PowerShell PurviewInformationProtection

Além dos pré-requisitos de instalação para o módulo PurviewInformationProtection, você também deve ativar o serviço Azure Rights Management.

Em alguns casos, talvez você queira remover a proteção de arquivos para outras pessoas que usam sua própria conta. Por exemplo, você pode querer remover a proteção para outras pessoas por causa da descoberta ou recuperação de dados. Se estiver a utilizar etiquetas para aplicar proteção, pode removê-la definindo uma nova etiqueta que não aplique proteção ou pode removê-la.

Para casos como este, os seguintes requisitos também devem ser cumpridos:

  • O recurso de superusuário deve estar habilitado para sua organização.
  • Sua conta deve ser configurada como um superusuário do Azure Rights Management.

Executar cmdlets de rotulagem de proteção de informações sem supervisão

Por padrão, quando você executa os cmdlets para rotulagem, os comandos são executados em seu próprio contexto de usuário em uma sessão interativa do PowerShell. Para executar automaticamente cmdlets de rotulagem de sensibilidade, leia as seguintes seções:

Compreender os pré-requisitos para executar cmdlets de rotulagem autônoma

Para executar cmdlets de rotulagem do Purview Information Protection sem supervisão, use os seguintes detalhes de acesso:

  • Uma conta do Windows que pode entrar interativamente.

  • Uma conta Microsoft Entra, para acesso delegado. Para facilitar a administração, use uma única conta que sincroniza do Ative Directory para o Microsoft Entra ID.

    Para a conta de usuário delegado, configure os seguintes requisitos:

    Requisito Detalhes
    Política de rótulos Certifique-se de que tem uma política de etiquetas atribuída a esta conta e de que a política contém as etiquetas publicadas que pretende utilizar.

    Se você usar políticas de rótulo para usuários diferentes, talvez seja necessário criar uma nova política de rótulo que publique todos os seus rótulos e publicar a política apenas nessa conta de usuário delegada.
    Desencriptação de conteúdo Se essa conta precisar descriptografar conteúdo, por exemplo, para reproteger arquivos e inspecionar arquivos que foram protegidos por outras pessoas, torne-a um superusuário para Proteção de Informações e verifique se o recurso de superusuário está habilitado.
    Controlos de integração Se você implementou controles de integração para uma implantação em fases, verifique se essa conta está incluída nos controles de integração que você configurou.

  • Um token de acesso do Microsoft Entra, que define e armazena credenciais para que o usuário delegado se autentique no Microsoft Purview Information Protection. Quando o token no Microsoft Entra ID expirar, você deverá executar o cmdlet novamente para adquirir um novo token.

    Os parâmetros para Set-Authentication usam valores de um processo de registro de aplicativo no Microsoft Entra ID. Para obter mais informações, consulte Criar e configurar aplicativos do Microsoft Entra para Set-Authentication.

Execute os cmdlets de rotulagem de forma não interativa executando primeiro o cmdlet Set-Authentication .

O computador que executa o cmdlet Set-Authentication baixa a política de rotulagem atribuída à sua conta de usuário delegado no portal de conformidade do Microsoft Purview.

Criar e configurar aplicativos Microsoft Entra para Set-Authentication

O cmdlet Set-Authentication requer um registro de aplicativo para os parâmetros AppId e AppSecret .

Para criar um novo registro de aplicativo para o cmdlet Set-Authentication do cliente de rotulagem unificado:

  1. Em uma nova janela do navegador, entre no portal do Azure para o locatário do Microsoft Entra que você usa com a Proteção de Informações do Microsoft Purview.

  2. Navegue até Microsoft Entra ID>Manage>App registrations e selecione New registration.

  3. No painel Registrar um aplicativo , especifique os seguintes valores e selecione Registrar:

    Opção Valor
    Nome AIP-DelegatedUser
    Especifique um nome diferente, conforme necessário. O nome deve ser exclusivo por locatário.
    Tipos de conta suportados Selecione Contas somente neste diretório organizacional.
    URI de redirecionamento (opcional) Selecione Web e, em seguida, digite https://localhost.

  4. No painel AIP-DelegatedUser , copie o valor para a ID do aplicativo (cliente).

    O valor é semelhante ao exemplo a seguir: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    Esse valor é usado para o parâmetro AppId quando você executa o cmdlet Set-Authentication . Cole e salve o valor para referência posterior.

  5. Na barra lateral, selecione Gerenciar>certificados & segredos.

    Em seguida, no painel AIP-DelegatedUser - Certificados & segredos , na seção Segredos do cliente , selecione Novo segredo do cliente.

  6. Para Adicionar um segredo do cliente, especifique o seguinte e selecione Adicionar:

    Campo Valor
    Descrição Microsoft Purview Information Protection client
    Expira Especifique a sua escolha de duração (1 ano, 2 anos ou nunca expira)

  7. De volta ao painel AIP-DelegatedUser - Certificados & segredos, na seção Segredos do cliente, copie a cadeia de caracteres para o VALOR.

    Essa cadeia de caracteres é semelhante ao exemplo a seguir: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    Para se certificar de que copia todos os carateres, selecione o ícone para Copiar para a área de transferência.

    Importante

    Salve essa cadeia de caracteres porque ela não é exibida novamente e não pode ser recuperada. Como acontece com qualquer informação confidencial que você usa, armazene o valor salvo com segurança e restrinja o acesso a ele.

  8. Na barra lateral, selecione Gerenciar>permissões de API.

    No painel AIP-DelegatedUser - permissões da API , selecione Adicionar uma permissão.

  9. No painel Solicitar permissões de API , verifique se você está na guia APIs da Microsoft e selecione Azure Rights Management Services.

    Quando for solicitado o tipo de permissões que seu aplicativo requer, selecione Permissões do aplicativo.

  10. Para Selecionar permissões, expanda Conteúdo e selecione o seguinte e, em seguida, selecione Adicionar permissões.

    • Content.DelegatedReader
    • Content.DelegatedWriter

  11. De volta ao painel AIP-DelegatedUser - permissões da API , selecione Adicionar uma permissão novamente.

    No painel Solicitar permissões AIP , selecione APIs que minha organização usa e procure o Serviço de Sincronização da Proteção de Informações da Microsoft.

  12. No painel Solicitar permissões da API , selecione Permissões do aplicativo.

    Para Selecionar permissões, expanda UnifiedPolicy, selecione UnifiedPolicy.Tenant.Read e selecione Adicionar permissões.

  13. De volta ao painel AIP-DelegatedUser - permissões da API , selecione Conceder consentimento de administrador para seu locatário e selecione Sim para o prompt de confirmação.

Após esta etapa, o registro deste aplicativo com um segredo é concluído. Você está pronto para executar Set-Authentication com os parâmetros AppId e AppSecret. Além disso, você precisa do seu ID de locatário.

Sugestão

Você pode copiar rapidamente sua ID de locatário usando o portal do Azure: ID do Microsoft Entra Gerenciar>>ID do diretório>.

Executar o cmdlet Set-Authentication

  1. Abra o Windows PowerShell com a opção Executar como administrador.

  2. Na sessão do PowerShell, crie uma variável para armazenar as credenciais da conta de usuário do Windows que é executada de forma não interativa. Por exemplo, se você criou uma conta de serviço para o scanner:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"

    É-lhe solicitada a palavra-passe desta conta.

  3. Execute o cmdlet Set-Authentication, com o parâmetro OnBeHalfOf , especificando como seu valor a variável que você criou.

    Especifique também os valores de registro do aplicativo, a ID do locatário e o nome da conta de usuário delegada na ID do Microsoft Entra. Por exemplo:

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
  • Last updated on