Connect-AipService
Si connette ad Azure Information Protection.
Sintassi
Connect-AipService
[-Credential <PSCredential>]
[-TenantId <Guid>]
[<CommonParameters>] Connect-AipService
[-AccessToken <String>]
[-TenantId <Guid>]
[<CommonParameters>] Connect-AipService
[-EnvironmentName <AzureRmEnvironment>]
[<CommonParameters>] Descrizione
Il cmdlet Connect-AipService si connette ad Azure Information Protection in modo che sia quindi possibile eseguire comandi amministrativi per il servizio protezione per il tenant. Può essere usato anche da una società partner che gestisce il tenant dell'organizzazione.
È necessario eseguire questo cmdlet prima di poter eseguire gli altri cmdlet in questo modulo.
Per connettersi ad Azure Information Protection, usare un account che è uno dei seguenti:
- Amministratore globale per il tenant Office 365.
- Amministratore globale per il tenant di Azure AD. Tuttavia, questo account non può essere un account Microsoft (MSA) o da un altro tenant di Azure.
- Un account utente del tenant che ha concesso diritti amministrativi ad Azure Information Protection usando il cmdlet Add-AipServiceRoleBasedAdministrator.
- Ruolo di amministratore di Azure AD di Azure Information Protection amministratore, amministratore conformità o amministratore dei dati di conformità.
Suggerimento
Se le credenziali non vengono richieste e viene visualizzato un messaggio di errore, ad esempio Impossibile usare questa funzionalità senza credenziali, verificare che Internet Explorer sia configurato per l'uso dell'autenticazione integrata di Windows.
Se questa impostazione non è abilitata, abilitarla, riavviare Internet Explorer e quindi riprovare l'autenticazione al servizio Information Protection.
Esempio
Esempio 1: Connettersi ad Azure Information Protection e richiedere il nome utente e altre credenziali
PS C:\> Connect-AipServiceQuesto comando si connette al servizio protezione da Azure Information Protection. Questo è il modo più semplice per connettersi al servizio, eseguendo il cmdlet senza parametri.
Viene richiesto il nome utente e la password. Se l'account è configurato per l'uso dell'autenticazione a più fattori, viene richiesto il metodo alternativo di autenticazione e quindi la connessione al servizio.
Se l'account è configurato per l'uso dell'autenticazione a più fattori, è necessario usare questo metodo per connettersi ad Azure Information Protection.
Esempio 2: Connettersi ad Azure Information Protection con credenziali archiviate
PS C:\>$AdminCredentials = Get-Credential "Admin@aadrm.contoso.com"
PS C:\> Connect-AipService -Credential $AdminCredentialsIl primo comando crea un oggetto PSCredential e archivia il nome utente e la password specificati nella variabile $AdminCredentials . Quando si esegue questo comando, viene richiesta la password per il nome utente specificato.
Il secondo comando si connette ad Azure Information Protection usando le credenziali archiviate in $AdminCredentials. Se si disconnette dal servizio e si riconnette mentre la variabile è ancora in uso, è sufficiente eseguire nuovamente il secondo comando.
Esempio 3: Connettersi ad Azure Information Protection con un token
PS C:\ > Add-Type -Path "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.1\Microsoft.IdentityModel.Clients.ActiveDirectory.dll"
PS C:\ > $clientId='90f610bf-206d-4950-b61d-37fa6fd1b224';
PS C:\ > $resourceId = 'https://api.aadrm.com/';
PS C:\ > $userName='admin@contoso.com';
PS C:\ > $password='Passw0rd!';
PS C:\ > $authority = "https://login.microsoftonline.com/common";
PS C:\ > $authContext = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext($authority);
PS C:\ > $userCreds = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.UserPasswordCredential($userName, $password);
PS C:\ > $authResult = [Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContextIntegratedAuthExtensions]::AcquireTokenAsync($authContext, $resourceId, $clientId, $userCreds).Result;
PS C:\ > Import-Module AIPService
PS C:\> Connect-AipService -AccessToken $authResult.AccessTokenIn questo esempio viene illustrato come connettersi ad Azure Information Protection usando il parametro AccessToken, che consente di eseguire l'autenticazione senza una richiesta. Questo metodo di connessione richiede di specificare l'ID client 90f610bf-206d-4950-b61d-37fa6fd1b224 e l'ID *https://api.aadrm.com/*risorsa . Dopo aver aperto la connessione, è possibile eseguire i comandi amministrativi di questo modulo necessari.
Dopo aver verificato che questi comandi comportano la connessione a Azure Information Protection, è possibile eseguirli in modo non interattivo, ad esempio da uno script.
Si noti che per scopi di illustrazione, questo esempio usa il nome utente di admin@contoso.com con la password di Passw0rd! In un ambiente di produzione quando si usa questo metodo di connessione in modo non interattivo, usare metodi aggiuntivi per proteggere la password in modo che non sia archiviata in testo chiaro. Ad esempio, usare il comando ConvertTo-SecureString o usare Key Vault per archiviare la password come segreto.
Esempio 4: Connettersi ad Azure Information Protection con certificato client tramite l'autenticazione dell'entità servizio
PS C:\ > $Thumbprint = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\> Connect-AipService -CertificateThumbprint $Thumbprint -ApplicationId $ApplicationId -TenantId $TenantId -ServicePrincipalQuesto esempio si connette a un account Di Azure usando l'autenticazione dell'entità servizio basata su certificati. L'entità servizio usata per l'autenticazione deve essere creata con il certificato specificato.
Prerequisiti per questo esempio:
- È necessario aggiornare il modulo PowerShell AIPService alla versione 1.0.05 o successiva.
- Per abilitare l'autenticazione dell'entità servizio, è necessario aggiungere autorizzazioni API di lettura (Application.Read.All) all'entità servizio.
Per altre informazioni, vedere Autorizzazioni API necessarie: Microsoft Information Protection SDK e Usare Azure PowerShell per creare un'entità servizio con un certificato.
Esempio 5: Connettersi ad Azure Information Protection con segreto client tramite l'autenticazione dell'entità servizio
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\ > $Credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $ApplicationId, $SecuredPassword
PS C:\ > Connect-AipService -Credential $Credential -TenantId $TenantId -ServicePrincipalEsempio:
- Il primo comando richiede le credenziali dell'entità servizio e li archivia nella
$Credentialvariabile. Quando viene promosso, immettere l'ID applicazione per il valore del nome utente e il segreto dell'entità servizio come password. - Il secondo comando si connette al tenant di Azure specificato usando le credenziali dell'entità servizio archiviate nella
$Credentialvariabile. IlServicePrincipalparametro switch indica che l'account esegue l'autenticazione come entità servizio.
Per abilitare l'autenticazione dell'entità servizio, è necessario aggiungere autorizzazioni API di lettura (Application.Read.All) all'entità servizio. Per altre informazioni, vedere Autorizzazioni API necessarie : Microsoft Information Protection SDK.
Parametri
-AccessToken
Usare questo parametro per connettersi ad Azure Information Protection usando un token acquisito da Azure Active Directory usando l'ID client 90f610bf-206d-4950-b61d-37fa6fd1b224 e l'ID https://api.aadrm.com/risorsa . Questo metodo di connessione consente di accedere ad Azure Information Protection non interattivo.
Per ottenere il token di accesso, assicurarsi che l'account usato dal tenant non usi l'autenticazione a più fattori. Per informazioni su come eseguire questa operazione, vedere Esempio 3.
Non è possibile usare questo parametro con il parametro Credential .
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-ApplicationID
Specifica l'ID applicazione dell'entità servizio.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-CertificateThumbprint
Specifica l'identificazione personale del certificato di un certificato di chiave pubblica digitale X.509 per un'entità servizio con autorizzazioni per eseguire l'azione specificata.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Credential
Specifica un oggetto PSCredential . Per ottenere un oggetto PSCredential, usare il cmdlet Get-Credential. Per ulteriori informazioni, digitare Get-Help Get-Cmdlet.
Il cmdlet richiede una password.
Non è possibile usare questo parametro con il parametro AccessToken e non usarlo se l'account è configurato per l'uso dell'autenticazione a più fattori .
| Type: | PSCredential |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-EnvironmentName
Specifica l'istanza di Azure per i cloud sovrani. I valori validi sono:
- AzureCloud: Offerta commerciale di Azure
- AzureChinaCloud: Azure gestito da 21Vianet
- AzureUSGovernment: Azure per enti pubblici
Per altre informazioni sull'uso di Azure Information Protection con Azure per enti pubblici, vedere Descrizione del servizio Azure Information Protection Premium Per enti pubblici.
| Type: | AzureRmEnvironment |
| Accepted values: | AzureCloud, AzureChinaCloud, AzureUSGovernment |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-ServicePrincipal
Indica che il cmdlet specifica l'autenticazione dell'entità servizio.
L'entità servizio deve essere creata con il segreto specificato.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-TenantId
Specifica il GUID del tenant. Il cmdlet si connette ad Azure Information Protection per il tenant specificato dal GUID.
Se non si specifica questo parametro, il cmdlet si connette al tenant a cui appartiene l'account.
| Type: | Guid |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |