Connect-AipService
Nawiązuje połączenie z usługą Azure Information Protection.
Składnia
Connect-AipService
[-Credential <PSCredential>]
[-TenantId <Guid>]
[<CommonParameters>]
Connect-AipService
[-AccessToken <String>]
[-TenantId <Guid>]
[<CommonParameters>]
Connect-AipService
[-EnvironmentName <AzureRmEnvironment>]
[<CommonParameters>]
Opis
Polecenie cmdlet Connect-AipService łączy się z usługą Azure Information Protection, aby można było uruchamiać polecenia administracyjne dla usługi ochrony dzierżawy. To polecenie cmdlet może być również używane przez firmę partnerów, która zarządza dzierżawą.
Aby można było uruchomić inne polecenia cmdlet w tym module, należy uruchomić to polecenie cmdlet.
Aby nawiązać połączenie z usługą Azure Information Protection, użyj konta, które jest jednym z następujących elementów:
- Administrator globalny dzierżawy Office 365.
- Administrator globalny dzierżawy Azure AD. Jednak to konto nie może być kontem Microsoft (MSA) ani z innej dzierżawy platformy Azure.
- Konto użytkownika z dzierżawy, któremu udzielono uprawnień administracyjnych do usługi Azure Information Protection przy użyciu polecenia cmdlet Add-AipServiceRoleBasedAdministrator.
- Rola administratora Azure AD administratora usługi Azure Information Protection, administratora zgodności lub administratora danych zgodności.
Porada
Jeśli nie zostanie wyświetlony monit o podanie poświadczeń i zostanie wyświetlony komunikat o błędzie, taki jak Nie można użyć tej funkcji bez poświadczeń, sprawdź, czy program Internet Explorer jest skonfigurowany do korzystania ze zintegrowanego uwierzytelniania systemu Windows.
Jeśli to ustawienie nie jest włączone, włącz je, uruchom ponownie program Internet Explorer, a następnie ponów próbę uwierzytelnienia w usłudze Information Protection.
Przykłady
Przykład 1. Nawiązywanie połączenia z usługą Azure Information Protection i monit o podanie nazwy użytkownika i innych poświadczeń
PS C:\> Connect-AipService
To polecenie łączy się z usługą ochrony z poziomu usługi Azure Information Protection. Jest to najprostszy sposób nawiązywania połączenia z usługą, uruchamiając polecenie cmdlet bez parametrów.
Zostanie wyświetlony monit o podanie nazwy użytkownika i hasła. Jeśli konto jest skonfigurowane do korzystania z uwierzytelniania wieloskładnikowego, zostanie wyświetlony monit o alternatywną metodę uwierzytelniania, a następnie połączony z usługą.
Jeśli konto jest skonfigurowane do korzystania z uwierzytelniania wieloskładnikowego, należy użyć tej metody, aby nawiązać połączenie z usługą Azure Information Protection.
Przykład 2. Nawiązywanie połączenia z usługą Azure Information Protection przy użyciu przechowywanych poświadczeń
PS C:\>$AdminCredentials = Get-Credential "Admin@aadrm.contoso.com"
PS C:\> Connect-AipService -Credential $AdminCredentials
Pierwsze polecenie tworzy obiekt PSCredential i przechowuje określoną nazwę użytkownika i hasło w zmiennej $AdminCredentials . Po uruchomieniu tego polecenia zostanie wyświetlony monit o podanie hasła dla określonej nazwy użytkownika.
Drugie polecenie łączy się z usługą Azure Information Protection przy użyciu poświadczeń przechowywanych w $AdminCredentials. Jeśli rozłączysz się z usługą i ponownie nawiąż połączenie, gdy zmienna jest nadal używana, po prostu uruchom ponownie drugie polecenie.
Przykład 3. Nawiązywanie połączenia z usługą Azure Information Protection przy użyciu tokenu
PS C:\ > Add-Type -Path "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.1\Microsoft.IdentityModel.Clients.ActiveDirectory.dll"
PS C:\ > $clientId='90f610bf-206d-4950-b61d-37fa6fd1b224';
PS C:\ > $resourceId = 'https://api.aadrm.com/';
PS C:\ > $userName='admin@contoso.com';
PS C:\ > $password='Passw0rd!';
PS C:\ > $authority = "https://login.microsoftonline.com/common";
PS C:\ > $authContext = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext($authority);
PS C:\ > $userCreds = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.UserPasswordCredential($userName, $password);
PS C:\ > $authResult = [Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContextIntegratedAuthExtensions]::AcquireTokenAsync($authContext, $resourceId, $clientId, $userCreds).Result;
PS C:\ > Import-Module AIPService
PS C:\> Connect-AipService -AccessToken $authResult.AccessToken
W tym przykładzie pokazano, jak można nawiązać połączenie z usługą Azure Information Protection przy użyciu parametru AccessToken, który umożliwia uwierzytelnianie bez monitu. Ta metoda połączenia wymaga określenia identyfikatora klienta 90f610bf-206d-4950-b61d-37fa6fd1b224 i identyfikator *https://api.aadrm.com/*
zasobu . Po otwarciu połączenia możesz uruchomić polecenia administracyjne z tego modułu.
Po potwierdzeniu, że te polecenia spowodują pomyślne nawiązanie połączenia z usługą Azure Information Protection, można je uruchomić nieinterakcyjnie, na przykład ze skryptu.
Należy pamiętać, że na potrzeby ilustracji w tym przykładzie użyto nazwy admin@contoso.com użytkownika z hasłem Passw0rd! W środowisku produkcyjnym, gdy używasz tej metody połączenia nieinterakcyjnej, użyj dodatkowych metod, aby zabezpieczyć hasło, aby nie było ono przechowywane w postaci zwykłego tekstu. Na przykład użyj polecenia ConvertTo-SecureString lub użyj Key Vault, aby zapisać hasło jako wpis tajny.
Przykład 4. Nawiązywanie połączenia z usługą Azure Information Protection przy użyciu certyfikatu klienta za pośrednictwem uwierzytelniania jednostki usługi
PS C:\ > $Thumbprint = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\> Connect-AipService -CertificateThumbprint $Thumbprint -ApplicationId $ApplicationId -TenantId $TenantId -ServicePrincipal
W tym przykładzie nawiązuje połączenie z kontem platformy Azure przy użyciu uwierzytelniania jednostki usługi opartej na certyfikatach. Jednostka usługi używana do uwierzytelniania musi zostać utworzona przy użyciu określonego certyfikatu.
Wymagania wstępne dla tego przykładu:
- Należy zaktualizować moduł programu PowerShell usługi AIPService do wersji 1.0.05 lub nowszej.
- Aby włączyć uwierzytelnianie jednostki usługi, należy dodać uprawnienia interfejsu API odczytu (Application.Read.All) do jednostki usługi.
Aby uzyskać więcej informacji, zobacz Wymagane uprawnienia interfejsu API — Microsoft Information Protection SDK i Użyj Azure PowerShell do utworzenia jednostki usługi przy użyciu certyfikatu.
Przykład 5. Nawiązywanie połączenia z usługą Azure Information Protection przy użyciu klucza tajnego klienta za pośrednictwem uwierzytelniania jednostki usługi
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\ > $Credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $ApplicationId, $SecuredPassword
PS C:\ > Connect-AipService -Credential $Credential -TenantId $TenantId -ServicePrincipal
W tym przykładzie:
- Pierwsze polecenie wyświetla monity o poświadczenia jednostki usługi i przechowuje je w zmiennej
$Credential
. Po podwyższeniu poziomu wprowadź identyfikator aplikacji dla wartości nazwy użytkownika i klucz tajny jednostki usługi jako hasło. - Drugie polecenie łączy się z określoną dzierżawą platformy Azure przy użyciu poświadczeń jednostki usługi przechowywanych w zmiennej
$Credential
. ParametrServicePrincipal
przełącznika wskazuje, że konto uwierzytelnia się jako jednostka usługi.
Aby włączyć uwierzytelnianie jednostki usługi, należy dodać uprawnienia interfejsu API odczytu (Application.Read.All) do jednostki usługi. Aby uzyskać więcej informacji, zobacz Wymagane uprawnienia interfejsu API — Microsoft Information Protection SDK.
Parametry
-AccessToken
Użyj tego parametru, aby nawiązać połączenie z usługą Azure Information Protection przy użyciu tokenu uzyskanego z usługi Azure Active Directory przy użyciu identyfikatora klienta 90f610bf-206d-4950-b61d-37fa6fd1b224 i identyfikator https://api.aadrm.com/zasobu . Ta metoda połączenia umożliwia logowanie się do usługi Azure Information Protection nieinterakcyjne.
Aby uzyskać token dostępu, upewnij się, że konto używane z dzierżawy nie korzysta z uwierzytelniania wieloskładnikowego (MFA). Zobacz przykład 3, aby dowiedzieć się, jak to zrobić.
Nie można użyć tego parametru z parametrem Credential .
Typ: | String |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | False |
Akceptowanie danych wejściowych potoku: | False |
Akceptowanie symboli wieloznacznych: | False |
-ApplicationID
Określa identyfikator aplikacji jednostki usługi.
Typ: | String |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | False |
Akceptowanie danych wejściowych potoku: | False |
Akceptowanie symboli wieloznacznych: | False |
-CertificateThumbprint
Określa odcisk palca certyfikatu cyfrowego klucza publicznego X.509 certyfikatu dla jednostki usługi, która ma uprawnienia do wykonania danej akcji.
Typ: | String |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | False |
Akceptowanie danych wejściowych potoku: | False |
Akceptowanie symboli wieloznacznych: | False |
-Credential
Określa obiekt PSCredential . Aby uzyskać obiekt PSCredential , użyj polecenia cmdlet Get-Credential . Aby uzyskać więcej informacji, wpisz polecenie Get-Help Get-Cmdlet
.
Polecenie cmdlet wyświetla monit o podanie hasła.
Nie można użyć tego parametru z parametrem AccessToken i nie używać go, jeśli konto jest skonfigurowane do korzystania z uwierzytelniania wieloskładnikowego (MFA).
Typ: | PSCredential |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | False |
Akceptowanie danych wejściowych potoku: | False |
Akceptowanie symboli wieloznacznych: | False |
-EnvironmentName
Określa wystąpienie platformy Azure dla suwerennych chmur. Prawidłowe wartości:
- AzureCloud: Oferta komercyjna platformy Azure
- AzureChinaCloud: Platforma Azure obsługiwana przez firmę 21Vianet
- AzureUSGovernment: Azure Government
Aby uzyskać więcej informacji na temat korzystania z usługi Azure Information Protection z Azure Government, zobacz Opis usługi Azure Information Protection Premium Government.
Typ: | AzureRmEnvironment |
Dopuszczalne wartości: | AzureCloud, AzureChinaCloud, AzureUSGovernment |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | False |
Akceptowanie danych wejściowych potoku: | False |
Akceptowanie symboli wieloznacznych: | False |
-ServicePrincipal
Wskazuje, że polecenie cmdlet określa uwierzytelnianie jednostki usługi.
Jednostka usługi musi zostać utworzona przy użyciu określonego wpisu tajnego.
Typ: | SwitchParameter |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | False |
Akceptowanie danych wejściowych potoku: | False |
Akceptowanie symboli wieloznacznych: | False |
-TenantId
Określa identyfikator GUID dzierżawy. Polecenie cmdlet łączy się z usługą Azure Information Protection dla dzierżawy określonej przez identyfikator GUID.
Jeśli nie określisz tego parametru, polecenie cmdlet łączy się z dzierżawą, do której należy Twoje konto.
Typ: | Guid |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | False |
Akceptowanie danych wejściowych potoku: | False |
Akceptowanie symboli wieloznacznych: | False |