RMS-Schutz mit Windows Server-Dateiklassifizierungsinfrastruktur (File Classification Infrastructure, FCI)

Verwenden Sie diesen Artikel für Anweisungen und ein Skript, um den Azure Information Protection-Client und PowerShell zum Konfigurieren des File Server Resource Manager-Manager und der Dateiklassifizierungsinfrastruktur (FCI) zu verwenden.

Mit dieser Lösung können Sie alle Dateien in einem Ordner auf einem Dateiserver unter Windows Server automatisch schützen oder automatisch Dateien schützen, die einem bestimmten Kriterium entsprechen. Zum Beispiel Dateien, die als vertraulich oder sensibel eingestuft wurden. Diese Lösung stellt eine direkte Verbindung mit dem Azure Rights Management-Dienst von Azure Information Protection her, um die Dateien zu schützen. Daher müssen Sie diesen Dienst für Ihre Organisation bereitgestellt haben.

Die folgenden Anweisungen gelten für Windows Server 2012 R2 oder Windows Server 2012. Wenn Sie andere unterstützte Versionen von Windows ausführen, müssen Sie möglicherweise einige der Schritte für Unterschiede zwischen Ihrer Betriebssystemversion und der in diesem Artikel dokumentierten Version anpassen.

Voraussetzungen für Azure Rights Management-Schutz mit Windows Server FCI

Voraussetzungen für diese Anweisungen:

• Auf jedem Dateiserver, auf dem Sie den Datei-Resource Manager mit Dateiklassifizierungsinfrastruktur ausführen:

  • Sie haben den Ressourcen-Manager für Dateiserver als einen der Rollendienste für die Rolle Dateidienste installiert.

  • Sie haben einen lokalen Ordner identifiziert, der Dateien enthält, die mit Rights Management geschützt werden sollen. Beispiel: C:\FileShare.

  • Sie haben das AzureInformationProtection PowerShell-Modul installiert und die Voraussetzungen für dieses Modul konfiguriert, um eine Verbindung mit dem Azure Rights Management-Dienst herzustellen.

    Das AzureInformationProtection PowerShell-Modul ist im Azure Information Protection-Client enthalten. Installationsanweisungen finden Sie unter Installieren des Azure Information Protection-Clients für Benutzer im Azure Information Protection-Administratorhandbuch. Bei Bedarf können Sie nur das PowerShell-Modul mithilfe des PowerShellOnly=true Parameters installieren.

    Zu den Voraussetzungen für die Verwendung dieses PowerShell-Moduls gehören die Aktivierung des Azure Rights Management-Diensts, das Erstellen eines Dienstprinzipals und das Bearbeiten der Registrierung, wenn Sich Ihr Mandant außerhalb Nordamerika befindet. Bevor Sie die Anweisungen in diesem Artikel starten, stellen Sie sicher, dass Sie Werte für Ihre BposTenantId, AppPrincipalId und symmetrischen Schlüssel besitzen, wie in diesen Voraussetzungen dokumentiert.

  • Wenn Sie die Standardebene des Schutzes (nativ oder generisch) für bestimmte Dateinamenerweiterungen ändern möchten, haben Sie die Registrierung wie im Abschnitt Ändern der Standard-Schutzebene von Dateien im Administratorhandbuch beschrieben bearbeitet.

  • Sie haben eine Internetverbindung und haben Ihre Computereinstellungen konfiguriert, falls diese für einen Proxyserver erforderlich sind. Beispiel: netsh winhttp import proxy source=ie

• Sie haben Ihre lokalen Active Directory-Benutzerkonten, einschließlich ihrer E-Mail-Adressen, mit Microsoft Entra ID oder Microsoft 365 synchronisiert. Dies ist für alle Benutzer erforderlich, die möglicherweise auf Dateien zugreifen müssen, nachdem sie durch FCI und den Azure Rights Management-Dienst geschützt sind. Wenn Sie diesen Schritt nicht ausführen (z. B. in einer Testumgebung), können Benutzer am Zugriff auf diese Dateien gehindert werden. Weitere Informationen zu dieser Anforderung finden Sie unter Vorbereiten von Benutzern und Gruppen für Azure Information Protection.

• Dieses Szenario unterstützt keine Abteilungsvorlagen, sodass Sie entweder eine Vorlage verwenden müssen, die nicht für einen Bereich konfiguriert ist, oder das Cmdlet Set-AipServiceTemplateProperty und den Parameter EnableInLegacyApps verwenden.

Anweisungen zum Konfigurieren von File Server Resource Manager FCI für Azure Rights Management-Schutz

Befolgen Sie diese Anweisungen, um alle Dateien in einem Ordner automatisch mithilfe eines PowerShell-Skripts als benutzerdefinierte Aufgabe zu schützen. Gehen Sie wie folgt vor:

1. Speichern Sie das PowerShell-Skript

2. Erstellen Sie eine Klassifizierungseigenschaft für Rights Management (RMS)

3. Erstellen Sie eine Klassifizierungsregel (Klassifizieren für RMS)

4. Konfigurieren Sie den Klassifizierungszeitplan

5. Erstellen Sie eine benutzerdefinierte Dateiverwaltungsaufgabe (Schützen von Dateien mit RMS)

6. Testen Sie die Konfiguration durch manuelles Ausführen der Regel und Aufgabe

Am Ende dieser Anweisungen werden alle Dateien in Ihrem ausgewählten Ordner mit der benutzerdefinierten Eigenschaft von RMS klassifiziert, und diese Dateien werden dann durch Rights Management geschützt. Für eine komplexere Konfiguration, die einige Dateien selektiv schützt und nicht andere, können Sie dann eine andere Klassifizierungseigenschaft und -regel erstellen oder verwenden, mit einer Dateiverwaltungsaufgabe, die nur diese Dateien schützt.

Beachten Sie, dass das Computerkonto, das das Skript zum Schutz der Dateien ausführt, nicht automatisch die aktualisierte Vorlage erhält, wenn Sie Änderungen an der Rights Management-Vorlage vornehmen, die Sie für FCI verwenden. Suchen Sie dazu im Skript nach dem auskommentierten Get-RMSTemplate -Force Befehl, und entfernen Sie das # Kommentarzeichen. Wenn die aktualisierte Vorlage heruntergeladen wird (das Skript wurde mindestens einmal ausgeführt), können Sie diesen zusätzlichen Befehl auskommentieren, damit die Vorlagen nicht unnötig jedes Mal heruntergeladen werden. Wenn die Änderungen an der Vorlage so wichtig sind, dass der die Dateien auf dem Dateiserver neu geschützt werden müssen, können Sie dies interaktiv ausführen, indem Sie Protect-RMSFile cmdlet mit einem Konto ausführen, das über die Nutzungsrechte Export oder Vollzugriff für die Dateien verfügt. Sie müssen auch ausgeführt werden Get-RMSTemplate -Force , wenn Sie eine neue Vorlage veröffentlichen, die Sie für FCI verwenden möchten.

Speichern Sie das Windows PowerShell-Skript

1. Kopieren Sie die Inhalte des Windows PowerShell-Skripts für Azure RMS-Schutz mithilfe der Ressourcen-Manager für Dateiserver. Fügen Sie den Inhalt des Skripts ein und benennen Sie die Datei RMS-Protect-FCI.ps1 auf Ihrem eigenen Computer.

2. Sehen Sie sich das Skript an, und nehmen Sie folgende Änderungen vor:

   • Suchen Sie nach der folgenden Zeichenfolge, und ersetzen Sie sie durch Ihre eigene AppPrincipalId, die Sie mit dem Cmdlet Set-RMSServerAuthentication verwenden, um eine Verbindung mit dem Azure Rights Management-Dienst herzustellen:

     <enter your AppPrincipalId here>
     

     Das Skript könnte zum Beispiel so aussehen:

     [Parameter(Mandatory = $false)]

     [Parameter(Mandatory = $false)] [string]$AppPrincipalId = "b5e3f76a-b5c2-4c96-a594-a0807f65bba4",

   • Suchen Sie nach der folgenden Zeichenfolge, und ersetzen Sie sie durch Ihren eigenen symmetrischen Schlüssel, den Sie mit dem Cmdlet Set-RMSServerAuthentication verwenden, um eine Verbindung mit dem Azure Rights Management-Dienst herzustellen:

     <enter your key here>
     

     Das Skript könnte zum Beispiel so aussehen:

     [Parameter(Mandatory = $false)]

     [string]$SymmetricKey = "zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA="

   • Suchen Sie nach der folgenden Zeichenfolge, und ersetzen Sie sie durch Ihre eigene BposTenantId (Mandanten-ID), die Sie mit dem Cmdlet Set-RMSServerAuthentication verwenden, um eine Verbindung mit dem Azure Rights Management-Dienst herzustellen:

     <enter your BposTenantId here>
     

     Das Skript könnte zum Beispiel so aussehen:

     [Parameter(Mandatory = $false)]

     [string]$BposTenantId = "23976bc6-dcd4-4173-9d96-dad1f48efd42",

3. Signieren des Skripts. Wenn Sie das Skript nicht signieren (sicherer), müssen Sie Windows PowerShell auf den Servern konfigurieren, auf denen es ausgeführt wird. Führen Sie zum Beispiel eine Windows PowerShell-Sitzung mit der Option Als Administrator ausführen aus, und geben Sie Folgendes ein: Set-ExecutionPolicy RemoteSigned. Bei dieser Konfiguration können allerdings alle nicht signierten Skripts ausgeführt werden (weniger sicher).

   Weitere Informationen zum Signieren von Windows PowerShell-Skripts finden Sie in der PowerShell-Dokumentationsbibliothek unter about_Signing.

4. Speichern Sie die Datei lokal auf jedem Dateiserver, auf dem Datei–Ressource Manager mit Dateiklassifizierungsinfrastruktur ausgeführt wird. Speichern Sie die Datei beispielsweise in C:\RMS-Protection. Wenn Sie einen anderen Pfad- oder Ordnernamen verwenden, wählen Sie einen Pfad und einen Ordner aus, der keine Leerzeichen enthält. Sichern Sie diese Datei mithilfe von NTFS-Berechtigungen, damit nicht autorisierte Benutzer sie nicht ändern können.

Jetzt können Sie mit der Konfiguration des Ressourcen-Manager für Dateiserver beginnen.

Erstellen Sie eine Klassifizierungseigenschaft für Rights Management (RMS)

• Erstellen Sie im Ressourcen-Manager für Dateiserver eine neue lokale Eigenschaft:

  • Name: Geben Sie RMS ein.

  • Beschreibung: Typ Rechtsverwaltungsschutz

  • Eigenschaftentyp: Ja/Nein auswählen

  • Wert: Ja auswählen

Wir können jetzt eine Klassifizierungsregel erstellen, die diese Eigenschaft verwendet.

Erstellen Sie eine Klassifizierungsregel (Klassifizieren für RMS)

• So erstellen Sie eine Klassifizierungsregel:

  • Auf der Registerkarte Allgemein:

    • Name: Typklassifizierung für RMS

    • Aktiviert: Behalten Sie die Standardeinstellung bei, d. h., dass dieses Kontrollkästchen aktiviert ist.

    • Beschreibung: Geben Sie Alle Dateien im Ordner <Ordnername> für Rights Management klassifizieren ein.

      Ersetzen Sie <Ordnername> durch Ihren ausgewählten Ordnernamen. Klassifizieren Sie beispielsweise alle Dateien im Ordner C:\FileShare für die Rechteverwaltung

    • Bereich: Fügen Sie Ihren ausgewählten Ordner hinzu. Beispiel: C:\FileShare.

      Kontrollkästchen nicht aktivieren.

  • Wählen Sie die Registerkarte Klassifizierung aus.

  • Klassifizierungsmethode: Ordnerklassifizierung auswählen

  • Eigenschaftenname: RMS auswählen

  • Eigenschaftswert: Ja auswählen

Obwohl Sie die Klassifizierungsregeln manuell ausführen können, soll diese Regel für laufende Vorgänge in einem Zeitplan ausgeführt werden, damit neue Dateien mit der RMS-Eigenschaft klassifiziert werden.

Konfigurieren Sie den Klassifizierungszeitplan

• Auf der Registerkarte Automatische Klassifizierung:

  • Festen Zeitplan aktivieren: Aktivieren Sie dieses Kontrollkästchen.

  • Konfigurieren Sie den Zeitplan für alle auszuführenden Klassifizierungsregeln, einschließlich unserer neuen Regel zum Klassifizieren von Dateien mit der RMS-Eigenschaft.

  • Kontinuierliche Klassifizierung für neue Dateien zulassen: Aktivieren Sie dieses Kontrollkästchen, damit neue Dateien klassifiziert werden.

  • Optional: Nehmen Sie alle gewünschten Änderungen vor, z. B. das Konfigurieren von Optionen für Berichte und Benachrichtigungen.

Nachdem Sie die Klassifizierungskonfiguration abgeschlossen haben, können Sie eine Verwaltungsaufgabe konfigurieren, um den RMS-Schutz auf die Dateien anzuwenden.

Erstellen Sie eine benutzerdefinierte Dateiverwaltungsaufgabe (Schützen von Dateien mit RMS)

• Erstellen Sie in Dateiverwaltungsaufgaben eine neue Dateiverwaltungsaufgabe:

  • Auf der Registerkarte Allgemein:

    • Aufgabenname: Typ Dateien mit RMS schützen

    • Aktivieren Sie das Kontrollkästchen Aktivieren.

    • Beschreibung: Geben Sie Dateien im <Ordnernamen> mit Rights Management und einer Vorlage mithilfe eines Windows PowerShell-Skripts ein.

      Ersetzen Sie <Ordnername> durch Ihren ausgewählten Ordnernamen. Schützen von Dateien in C:\FileShare mit Rechteverwaltung und einer Vorlage mithilfe eines Windows PowerShell-Skripts

    • Bereich: Wählen Sie Ihren ausgewählten Ordner aus. Beispiel: C:\FileShare.

      Kontrollkästchen nicht aktivieren.

  • Auf der Registerkarte Aktion:

    • Typ: Wählen Sie Benutzerdefiniertes TCP aus.

    • Ausführbare Datei: Geben Sie Folgendes an:

      C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      

      Wenn Windows sich nicht auf Ihrem Laufwerk C: befindet, ändern Sie diesen Pfad, oder navigieren Sie zu dieser Datei.

    • Argument: Geben Sie Folgendes an, und geben Sie ihre eigenen Werte für <Pfad> - und <Vorlagen-ID> an:

      -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID <template GUID> -OwnerMail '[Source File Owner Email]'"
      

      Wenn Sie z. B. das Skript in C:\RMS-Protection kopiert haben und die Von den Voraussetzungen identifizierte Vorlagen-ID e6ee2481-26b9-45e5-b34a-f744eacd53b0 lautet, geben Sie Folgendes an:

      -Noprofile -Command "C:\RMS-Protection\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerMail '[Source File Owner Email]'"

      In diesem Befehl sind [Quelldateipfad] und [E-Mail-Adresse des Quelldateibesitzers] beide FCI-spezifische Variablen. Geben Sie diese also genau so ein, wie sie im vorherigen Befehl angezeigt werden. Die erste Variable wird von FCI verwendet, um die identifizierte Datei automatisch im Ordner anzugeben, und die zweite Variable dient FCI zum automatischen Abrufen der E-Mail-Adresse des benannten Besitzers der identifizierten Datei. Dieser Befehl wird für jede Datei im Ordner wiederholt, die in unserem Beispiel jede Datei im Ordner C:\FileShare ist, die zusätzlich RMS als Dateiklassifizierungseigenschaft aufweist.

      Hinweis

      Der Parameter -OwnerMail[Source File Owner Email] und der Wert stellen sicher, dass dem ursprünglichen Besitzer der Datei der Rechteverwaltungsbesitzer der Datei gewährt wird, nachdem sie geschützt wurde. Diese Konfiguration stellt sicher, dass der Besitzer der ursprünglichen Datei über alle Rechteverwaltungsrechte für ihre eigenen Dateien verfügt. Wenn Dateien von einem Domänenbenutzer erstellt werden, wird die E-Mail-Adresse automatisch aus Active Directory abgerufen, indem der Name des Benutzerkontos in der Eigenschaft „Besitzer“ der Datei verwendet wird. Dazu muss sich der Dateiserver in derselben Do Standard oder vertrauenswürdigen Do befinden Standard wie der Benutzer.

      Weisen Sie den ursprünglichen Besitzern wann immer möglich geschützte Dokumente zu, um sicherzustellen, dass diese Benutzer weiterhin die volle Kontrolle über die von ihnen erstellten Dateien haben. Wenn Sie jedoch die Variable [Quelldateibesitzer-E-Mail] wie im vorherigen Befehl verwenden und eine Datei nicht über eine Do Standard als Besitzer definiert ist (z. B. wurde ein lokales Konto verwendet, um die Datei zu erstellen, sodass der Besitzer SYSTEM anzeigt), schlägt das Skript fehl.

      Für Dateien, die keinen Do Standard Benutzer als Besitzer haben, können Sie diese Dateien entweder selbst kopieren und speichern Standard Benutzer, sodass Sie nur für diese Dateien zum Besitzer werden. Wenn Sie über Berechtigungen verfügen, können Sie den Besitzer auch manuell ändern. Alternativ können Sie eine bestimmte E-Mail-Adresse (z. B. Ihre eigene oder eine Gruppenadresse für die IT-Abteilung) anstelle der Variable [Quelldateibesitzer-E-Mail] angeben, was bedeutet, dass alle Dateien, die Sie durch dieses Skript schützen, diese E-Mail-Adresse zum Definieren des neuen Besitzers verwendet.

  • Ausführen des Befehls als: Lokales System auswählen

  • Auf der Registerkarte Bedingungen,

    • Eigenschaft: RMS auswählen

    • Operator: Wählen Sie EQUAL aus.

    • Wert: Ja auswählen

  • Auf der Registerkarte Planen:

    • Ausführen unter: Konfigurieren Sie Ihren bevorzugten Zeitplan.

      Lassen Sie viel Zeit für den Abschluss des Skripts zu. Obwohl diese Lösung alle Dateien im Ordner schützt, wird das Skript jedes Mal für jede Datei ausgeführt. Obwohl dies länger dauert als das gleichzeitige Schützen aller Dateien, die der Azure Information Protection-Client unterstützt, ist diese Datei-nach-Datei-Konfiguration für FCI leistungsstärker. Die geschützten Dateien können z. B. unterschiedliche Besitzer haben (den ursprünglichen Besitzer beibehalten), wenn Sie die Variable [Quelldateibesitzer-E-Mail] verwenden, und diese Datei-nach-Datei-Aktion ist erforderlich, wenn Sie die Konfiguration später ändern, um Dateien selektiv zu schützen, anstatt alle Dateien in einem Ordner.

    • Fortlaufend auf neuen Dateien ausgeführt: Aktivieren Sie dieses Kontrollkästchen.

Testen Sie die Konfiguration durch manuelles Ausführen der Regel und Aufgabe

1. Führen Sie den Klassifizierungsbericht aus:

   1. Klicken Sie auf Klassifizierungsregeln>Klassifizierung mit allen Regeln jetzt ausführen.

   2. Klicken Sie auf die Option Warten, bis die Klassifizierung abgeschlossen ist, und klicken Sie auf OK.

2. Warten Sie, bis das Dialogfeld Laufende Klassifizierung geschlossen wird, und zeigen Sie dann die Ergebnisse im automatisch angezeigten Bericht an. Es sollte 1 für das Feld Eigenschaften und die Anzahl der Dateien in Ihrem Ordner angezeigt werden. Bestätigen Sie, indem Sie Explorer verwenden und die Eigenschaften von Dateien in Ihrem ausgewählten Ordner überprüfen. Auf der Registerkarte Klassifizierung sollte RMS als Eigenschaftsname und Ja für den zugehörigen Wert angezeigt werden.

3. Führen Sie die Dateiverwaltungsaufgabe aus:

   1. Klicken Sie auf Dateiverwaltungsaufgaben>Dateien mit RMS schützen>Dateiverwaltungsaufgabe jetzt ausführen.

   2. Klicken Sie auf die Option Warten, bis die Task abgeschlossen ist, und klicken Sie auf OK.

4. Warten Sie, bis das Dialogfeld Dateiverwaltungsaufgabe ausführen geschlossen wird, und zeigen Sie dann die Ergebnisse im automatisch angezeigten Bericht an. Im Feld Dateien sollte die Anzahl der Dateien angezeigt werden, die sich in Ihrem ausgewählten Ordner befinden. Vergewissern Sie sich, dass die Dateien in Ihrem ausgewählten Ordner jetzt durch Rights Management geschützt sind. Wenn Ihr ausgewählter Ordner z. B. C:\FileShare lautet, geben Sie den folgenden Befehl in eine Windows PowerShell-Sitzung ein, und vergewissern Sie sich, dass keine Dateien den Status Unprotected haben:

   foreach ($file in (Get-ChildItem -Path C:\FileShare -Force | where {!$_.PSIsContainer})) {Get-RMSFileStatus -f $file.PSPath}
   

   Tipp

   Einige Tipps zur Problembehandlung:

   • Wenn 0 im Bericht anstelle der Anzahl der Dateien in Ihrem Ordner angezeigt wird, gibt diese Ausgabe an, dass das Skript nicht ausgeführt wurde. Überprüfen Sie zunächst das Skript selbst, indem Sie es in Windows PowerShell ISE laden, um den Skriptinhalt zu überprüfen und es einmal in derselben PowerShell-Sitzung auszuführen, um festzustellen, ob Fehler angezeigt werden. Ohne Angabe von Argumenten versucht das Skript, eine Verbindung mit dem Azure Rights Management-Dienst herzustellen und zu authentifizieren.

     • Wenn das Skript meldet, dass es keine Verbindung mit dem Azure Rights Management-Dienst (Azure RMS) herstellen konnte, überprüfen Sie die Werte, die für das Dienstprinzipalkonto angezeigt werden, das Sie im Skript angegeben haben. Weitere Informationen zum Erstellen dieses Dienstprinzipalkontos finden Sie unter Voraussetzung 3: Schützen oder Aufheben des Schutzes von Dateien ohne Interaktion aus dem Azure Information Protection-Clientadministratorhandbuch.
     • Wenn das Skript meldet, dass es eine Verbindung mit Azure RMS herstellen könnte, überprüfen Sie als Nächstes, ob sie die angegebene Vorlage finden kann, indem Sie Get-RMSTemplate direkt über Windows PowerShell auf dem Server ausführen. Die von Ihnen angegebene Vorlage sollte in den Ergebnissen angezeigt werden.

   • Wenn das Skript selbst in Windows PowerShell ISE ohne Fehler ausgeführt wird, versuchen Sie, es wie folgt von einer PowerShell-Sitzung aus auszuführen, wobei Sie einen zu schützenden Dateinamen und den Parameter -OwnerEmail nicht angeben:

     powershell.exe -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '<full path and name of a file>' -TemplateID <template GUID>"
     

     • Wenn das Skript in dieser Windows PowerShell-Sitzung erfolgreich ausgeführt wurde, überprüfen Sie Ihre Einträge für Executive und Argument in der Dateiverwaltungsaufgaben-Aktion. Wenn Sie -OwnerEmail [E-Mail-Adresse des Quelldateibesitzers] angegeben haben, versuchen Sie, diesen Parameter zu entfernen.

       Wenn die Dateiverwaltungsaufgabe erfolgreich ohne -OwnerEmail [Quelldateibesitzer-E-Mail] funktioniert, überprüfen Sie, ob für die nicht geschützten Dateien anstelle von SYSTEM ein Domänenbenutzer als Dateibesitzer aufgeführt wird. Um diese Überprüfung vorzunehmen, verwenden Sie die Registerkarte Sicherheit für die Eigenschaften der Datei, und klicken Sie dann auf Erweitert. Der Wert Owner wird unmittelbar nach dem Dateinamenangezeigt. Überprüfen Sie außerdem, ob sich der Dateiserver in derselben Funktion befindet Standard oder eine vertrauenswürdige Funktion Standard um die E-Mail-Adresse des Benutzers aus Active Directory-Domäne Services nachzuschlagen.

   • Wenn die richtige Anzahl von Dateien im Bericht angezeigt wird, die Dateien jedoch nicht geschützt sind, versuchen Sie, die Dateien manuell mithilfe des Cmdlets Protect-RMSFile zu schützen, um festzustellen, ob Fehler angezeigt werden.

Wenn Sie bestätigt haben, dass diese Aufgaben erfolgreich ausgeführt werden, können Sie den Ressourcen-Manager für Datei schließen. Neue Dateien werden automatisch klassifiziert und geschützt, wenn die geplanten Aufgaben ausgeführt werden.

Aktion erforderlich, wenn Sie Änderungen an der Rights Management-Vorlage vornehmen

Wenn Sie Änderungen an der Vorlage Rights Management vornehmen, auf die das Skript verweist, erhält das Computerkonto, das das Skript ausführt, um die Dateien zu schützen, nicht automatisch die aktualisierte Vorlage. Suchen Sie im Skript den Befehl Auskommentiert Get-RMSTemplate -Force in der Funktion Set-RMS Verbinden ion, und entfernen Sie das Kommentarzeichen am Anfang der Zeile. Beim nächsten Ausführen des Skripts wird die aktualisierte Vorlage heruntergeladen. Um die Leistung zu optimieren, damit Vorlagen nicht unnötig heruntergeladen werden, können Sie diese Zeile erneut kommentieren.

Wenn die Änderungen an der Vorlage so wichtig sind, dass der die Dateien auf dem Dateiserver neu geschützt werden müssen, können Sie dies interaktiv ausführen, indem Sie Protect-RMSFile cmdlet mit einem Konto ausführen, das über die Nutzungsrechte Export oder Vollzugriff für die Dateien verfügt.

Führen Sie diese Zeile auch im Skript aus, wenn Sie eine neue Vorlage veröffentlichen, die Sie für FCI verwenden möchten, und ändern Sie die Vorlagen-ID in der Argumentzeile für die benutzerdefinierte Dateiverwaltungsaufgabe.

Ändern der Anweisungen zum selektiven Schutz von Dateien

Wenn Die vorherigen Anweisungen funktionieren, ist es dann einfach, sie für eine komplexere Konfiguration zu ändern. Schützen Sie z. B. Dateien mithilfe desselben Skripts, aber nur für Dateien, die personenbezogene Informationen enthalten, und wählen Sie möglicherweise eine Vorlage mit restriktiveren Rechten aus.

Um diese Änderung vorzunehmen, verwenden Sie eine der integrierten Klassifizierungseigenschaften (z . B. personenbezogene Informationen), oder erstellen Sie Ihre eigene neue Eigenschaft. Erstellen Sie dann eine neue Regel, die diese Eigenschaft verwendet. Sie können z. B. die Inhaltsklassifizierung und die Daten mit persönlich identifizierbaren Informationen-Eigenschaft mit dem Wert Hoch auswählen und die Zeichenfolge oder das Ausdrucksmuster konfigurieren, die bzw. das die Datei identifiziert, die für diese Eigenschaft konfiguriert werden soll (z. B. die Zeichenfolge „Geburtsdatum“).

Jetzt müssen Sie lediglich eine neue Dateiverwaltungsaufgabe erstellen, die dasselbe Skript verwendet, aber vielleicht mit einer anderen Vorlage, und die Bedingung für die soeben konfigurierte Klassifizierungseigenschaft konfigurieren. Wählen Sie z. B. anstelle der zuvor konfigurierten Bedingung (RMS-Eigenschaft, Equal, Yes) die Eigenschaft Personenbezogene Informationen aus, wobei der Operatorwert auf Gleich und Wert auf Hoch festgelegt ist.

Nächste Schritte

Vielleicht fragen Sie sich: Was ist der Unterschied zwischen der Windows Server-Dateiklassifizierungsinfrastruktur und der Azure Information Protection-Überprüfung?