Condividi tramite


Connect-AipService

Si connette ad Azure Information Protection.

Sintassi

Connect-AipService
       [-Credential <PSCredential>]
       [-TenantId <Guid>]
       [<CommonParameters>]
Connect-AipService
       [-AccessToken <String>]
       [-TenantId <Guid>]
       [<CommonParameters>]
Connect-AipService
       [-EnvironmentName <AzureRmEnvironment>]
       [<CommonParameters>]

Descrizione

Il cmdlet Connect-AipService si connette ad Azure Information Protection in modo che sia quindi possibile eseguire comandi amministrativi per il servizio protezione per il tenant. Può essere usato anche da una società partner che gestisce il tenant dell'organizzazione.

È necessario eseguire questo cmdlet prima di poter eseguire gli altri cmdlet in questo modulo.

Per connettersi ad Azure Information Protection, usare un account che è uno dei seguenti:

  • Amministratore globale per il tenant Office 365.
  • Amministratore globale per il tenant di Azure AD. Tuttavia, questo account non può essere un account Microsoft (MSA) o da un altro tenant di Azure.
  • Un account utente del tenant che ha concesso diritti amministrativi ad Azure Information Protection usando il cmdlet Add-AipServiceRoleBasedAdministrator.
  • Ruolo di amministratore di Azure AD di Azure Information Protection amministratore, amministratore conformità o amministratore dei dati di conformità.

Suggerimento

Se le credenziali non vengono richieste e viene visualizzato un messaggio di errore, ad esempio Impossibile usare questa funzionalità senza credenziali, verificare che Internet Explorer sia configurato per l'uso dell'autenticazione integrata di Windows.

Se questa impostazione non è abilitata, abilitarla, riavviare Internet Explorer e quindi riprovare l'autenticazione al servizio Information Protection.

Esempio

Esempio 1: Connettersi ad Azure Information Protection e richiedere il nome utente e altre credenziali

PS C:\> Connect-AipService

Questo comando si connette al servizio protezione da Azure Information Protection. Questo è il modo più semplice per connettersi al servizio, eseguendo il cmdlet senza parametri.

Viene richiesto il nome utente e la password. Se l'account è configurato per l'uso dell'autenticazione a più fattori, viene richiesto il metodo alternativo di autenticazione e quindi la connessione al servizio.

Se l'account è configurato per l'uso dell'autenticazione a più fattori, è necessario usare questo metodo per connettersi ad Azure Information Protection.

Esempio 2: Connettersi ad Azure Information Protection con credenziali archiviate

PS C:\>$AdminCredentials = Get-Credential "Admin@aadrm.contoso.com"
PS C:\> Connect-AipService -Credential $AdminCredentials

Il primo comando crea un oggetto PSCredential e archivia il nome utente e la password specificati nella variabile $AdminCredentials . Quando si esegue questo comando, viene richiesta la password per il nome utente specificato.

Il secondo comando si connette ad Azure Information Protection usando le credenziali archiviate in $AdminCredentials. Se si disconnette dal servizio e si riconnette mentre la variabile è ancora in uso, è sufficiente eseguire nuovamente il secondo comando.

Esempio 3: Connettersi ad Azure Information Protection con un token

PS C:\ > Add-Type -Path "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.1\Microsoft.IdentityModel.Clients.ActiveDirectory.dll"
PS C:\ > $clientId='90f610bf-206d-4950-b61d-37fa6fd1b224';
PS C:\ > $resourceId = 'https://api.aadrm.com/';
PS C:\ > $userName='admin@contoso.com';
PS C:\ > $password='Passw0rd!';
PS C:\ > $authority = "https://login.microsoftonline.com/common";
PS C:\ > $authContext = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext($authority);
PS C:\ > $userCreds = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.UserPasswordCredential($userName, $password);
PS C:\ > $authResult = [Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContextIntegratedAuthExtensions]::AcquireTokenAsync($authContext, $resourceId, $clientId, $userCreds).Result;
PS C:\ > Import-Module AIPService
PS C:\> Connect-AipService -AccessToken $authResult.AccessToken

In questo esempio viene illustrato come connettersi ad Azure Information Protection usando il parametro AccessToken, che consente di eseguire l'autenticazione senza una richiesta. Questo metodo di connessione richiede di specificare l'ID client 90f610bf-206d-4950-b61d-37fa6fd1b224 e l'ID *https://api.aadrm.com/*risorsa . Dopo aver aperto la connessione, è possibile eseguire i comandi amministrativi di questo modulo necessari.

Dopo aver verificato che questi comandi comportano la connessione a Azure Information Protection, è possibile eseguirli in modo non interattivo, ad esempio da uno script.

Si noti che per scopi di illustrazione, questo esempio usa il nome utente di admin@contoso.com con la password di Passw0rd! In un ambiente di produzione quando si usa questo metodo di connessione in modo non interattivo, usare metodi aggiuntivi per proteggere la password in modo che non sia archiviata in testo chiaro. Ad esempio, usare il comando ConvertTo-SecureString o usare Key Vault per archiviare la password come segreto.

Esempio 4: Connettersi ad Azure Information Protection con certificato client tramite l'autenticazione dell'entità servizio

PS C:\ > $Thumbprint = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\> Connect-AipService -CertificateThumbprint $Thumbprint -ApplicationId $ApplicationId -TenantId $TenantId -ServicePrincipal

Questo esempio si connette a un account Di Azure usando l'autenticazione dell'entità servizio basata su certificati. L'entità servizio usata per l'autenticazione deve essere creata con il certificato specificato.

Prerequisiti per questo esempio:

  • È necessario aggiornare il modulo PowerShell AIPService alla versione 1.0.05 o successiva.
  • Per abilitare l'autenticazione dell'entità servizio, è necessario aggiungere autorizzazioni API di lettura (Application.Read.All) all'entità servizio.

Per altre informazioni, vedere Autorizzazioni API necessarie: Microsoft Information Protection SDK e Usare Azure PowerShell per creare un'entità servizio con un certificato.

Esempio 5: Connettersi ad Azure Information Protection con segreto client tramite l'autenticazione dell'entità servizio

PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\ > $Credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $ApplicationId, $SecuredPassword
PS C:\ > Connect-AipService -Credential $Credential -TenantId $TenantId -ServicePrincipal

Esempio:

  • Il primo comando richiede le credenziali dell'entità servizio e li archivia nella $Credential variabile. Quando viene promosso, immettere l'ID applicazione per il valore del nome utente e il segreto dell'entità servizio come password.
  • Il secondo comando si connette al tenant di Azure specificato usando le credenziali dell'entità servizio archiviate nella $Credential variabile. Il ServicePrincipal parametro switch indica che l'account esegue l'autenticazione come entità servizio.

Per abilitare l'autenticazione dell'entità servizio, è necessario aggiungere autorizzazioni API di lettura (Application.Read.All) all'entità servizio. Per altre informazioni, vedere Autorizzazioni API necessarie : Microsoft Information Protection SDK.

Parametri

-AccessToken

Usare questo parametro per connettersi ad Azure Information Protection usando un token acquisito da Azure Active Directory usando l'ID client 90f610bf-206d-4950-b61d-37fa6fd1b224 e l'ID https://api.aadrm.com/risorsa . Questo metodo di connessione consente di accedere ad Azure Information Protection non interattivo.

Per ottenere il token di accesso, assicurarsi che l'account usato dal tenant non usi l'autenticazione a più fattori. Per informazioni su come eseguire questa operazione, vedere Esempio 3.

Non è possibile usare questo parametro con il parametro Credential .

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-ApplicationID

Specifica l'ID applicazione dell'entità servizio.

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-CertificateThumbprint

Specifica l'identificazione personale del certificato di un certificato di chiave pubblica digitale X.509 per un'entità servizio con autorizzazioni per eseguire l'azione specificata.

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-Credential

Specifica un oggetto PSCredential . Per ottenere un oggetto PSCredential, usare il cmdlet Get-Credential. Per ulteriori informazioni, digitare Get-Help Get-Cmdlet.

Il cmdlet richiede una password.

Non è possibile usare questo parametro con il parametro AccessToken e non usarlo se l'account è configurato per l'uso dell'autenticazione a più fattori .

Tipo:PSCredential
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-EnvironmentName

Specifica l'istanza di Azure per i cloud sovrani. I valori validi sono:

  • AzureCloud: Offerta commerciale di Azure
  • AzureChinaCloud: Azure gestito da 21Vianet
  • AzureUSGovernment: Azure per enti pubblici

Per altre informazioni sull'uso di Azure Information Protection con Azure per enti pubblici, vedere Descrizione del servizio Azure Information Protection Premium Per enti pubblici.

Tipo:AzureRmEnvironment
Valori accettati:AzureCloud, AzureChinaCloud, AzureUSGovernment
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-ServicePrincipal

Indica che il cmdlet specifica l'autenticazione dell'entità servizio.

L'entità servizio deve essere creata con il segreto specificato.

Tipo:SwitchParameter
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-TenantId

Specifica il GUID del tenant. Il cmdlet si connette ad Azure Information Protection per il tenant specificato dal GUID.

Se non si specifica questo parametro, il cmdlet si connette al tenant a cui appartiene l'account.

Tipo:Guid
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False