Set-AIPAuthentication

  • リファレンス
モジュール:
AzureInformationProtection

Azure Information Protection クライアントの認証資格情報を設定します。

構文

Set-AIPAuthentication
   [-AppId <Guid>]
   [-AppSecret <String>]
   [-TenantId <String>]
   [-DelegatedUser <String>]
   [-OnBehalfOf <PSCredential>]
   [<CommonParameters>]

説明

Set-AIPAuthentication コマンドレットは、アクセス トークンを使用して資格情報を設定します。これにより、別のユーザーとしてサインインしたり、ラベル付けコマンドレットを非対話形式で使用したりできます。

例:

  • Azure Information Protection スキャナーを使用して、複数のデータ ストア内のファイルを継続的に検出して自動的にラベル付けし、保護したいと考えています。
  • Set-AIPFileClassification コマンドレットまたは Set-AIPFileLabel コマンドレットを使用して、ファイル サーバー上のファイルに自動的にラベルを付けて保護するスケジュールされた PowerShell スクリプトを実行する必要があります。
  • このソリューションで識別されるファイルのラベル付けと保護を自動的に行うことで強化するデータ損失防止 (DLP) ソリューションがあります。

パラメーターの有無にかかわらず実行する

パラメーターを指定せずにこのコマンドレットを実行すると、アカウントは 90 日間、またはパスワードの有効期限が切れるまで有効な Azure AD アクセス トークンを取得します。

アクセス トークンの有効期限を制御するには、パラメーターを指定してこのコマンドレットを実行します。 これにより、アクセス トークンを 1 年間、2 年間、または期限切れにならないように構成できます。 この構成では、Azure Active Directory に 1 つ以上のアプリケーションを登録する必要があります。

詳細については、「 AIP 統合ラベル付けクライアントの非対話形式でのファイルのラベル付け」を参照してください。

統合ラベル付けクライアントでは OnBehalfOf パラメーターがサポートされています。このパラメーターは、指定した Windows ユーザー名とパスワードを含む格納された変数を受け取ります。

DelegatedUser パラメーターを使用して、ラベル付け管理センターから 1 つ以上のラベル ポリシーを割り当てるユーザー アカウントを Azure Active Directory で指定します。

例 1: Azure Active Directory に登録されているアプリケーションを使用せずに認証資格情報を設定する

PS C:\> Set-AIPAuthentication 
Acquired access token

このコマンドは、90 日間、またはパスワードの有効期限が切れるまで有効なアクセス トークンを取得するために使用される Azure AD 資格情報の入力を求められます。

例 2: (統合ラベル付けクライアントのみ) Azure Active Directory に登録されているアプリケーションを使用して認証資格情報を設定する

PS C:\>$pscreds = Get-Credential CONTOSO\scanner
PS C:\> Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

OnBehalfOf パラメーターに必要な [管理者として実行] オプションを使用して、この PowerShell セッションでコマンドを実行します。

最初のコマンドは PSCredential オブジェクトを作成し、指定した Windows ユーザー名とパスワードを $pscreds 変数に格納します。 このコマンドを実行すると、指定したユーザー名のパスワードの入力を求められます。

2 番目のコマンドは、アプリケーションと組み合わせたアクセス トークンを取得し、Azure AD の登録済みアプリの構成に従って、トークンが 1 年間、2 年間有効になるか、期限切れにならないようにします。 のユーザー名scanner@contoso.comは、ラベル付け管理センター (Office 365 Security & コンプライアンス センターなど) からラベルとラベル ポリシーをダウンロードするためのユーザー コンテキストを設定します。

パラメーター

-AppId

関連する対象: AIP 統合ラベル付けクライアントのみ

Azure AD に登録されているアプリの "アプリケーション (クライアント) ID" を指定します。

Type:Guid
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-AppSecret

関連する対象: AIP 統合ラベル付けクライアントのみ

アプリが Azure AD に登録された時点で生成されるクライアント シークレット値を指定します。

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-DelegatedUser

関連する対象: AIP 統合ラベル付けクライアントのみ

ラベル付け管理センターから秘密度ラベルを含むラベル ポリシーをダウンロードするときに使用するユーザー アカウントの資格情報を指定します。

  • 使用する資格情報は、ポリシーとオンライン構成を取得するために使用できる Azure Active Directory アカウントである必要があります。

    • このアカウントが Azure Active Directory または別のアカウントに同期されている場合は、 ServiceUserCredentials に使用されるのと同じアカウントを使用できます。

    • このアカウントでファイルの再保護、ファイルからの保護の削除、または保護されたファイルの検査が必要な場合は、Azure Information Protectionのスーパー ユーザーにします。

  • UPN を使用して、このパラメーターの値を設定します。 例: scannerservice@contoso.com

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-OnBehalfOf

関連する対象: AIP 統合ラベル付けクライアントのみ

AIP 統合ラベル付けクライアントで使用される資格情報オブジェクトを含む変数を指定します。

このパラメーターは、スケジュールされた PowerShell コマンドにログイン権限を付与できない場合に使用されます。

  • ServiceUserCredentials パラメーターで定義されたスキャナーの実行に使用されるのと同じ資格情報を、このパラメーターに使用します。

  • このパラメーターを使用するには、[管理者として実行] オプションを使用して PowerShell セッションを 実行する 必要があります。

Get-Credential コマンドレットを使用して、資格情報を格納する変数を作成します。 詳細を表示するには「Get-Help Get-Cmdlet」を入力します。

Type:PSCredential
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-TenantId

関連する対象: AIP 統合ラベル付けクライアントのみ

Azure AD に登録されているアプリを含むテナント GUID を指定します。

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

入力

None

出力

System.Object