New-AipServiceRightsDefinition
Tworzy obiekt definicji praw dla szablonu ochrony dla usługi Azure Information Protection.
Składnia
New-AipServiceRightsDefinition
[-EmailAddress <String>]
[-DomainName <String>]
-Rights <System.Collections.Generic.List`1[System.String]>
[<CommonParameters>]
Opis
Polecenie cmdlet New-AipServiceRightsDefinition tworzy obiekt definicji praw, który jest przechowywany jako zmienna, a następnie służy do tworzenia lub aktualizowania szablonu ochrony dla platformy Azure Information Protection podczas korzystania z polecenia cmdlet Add-AipServiceTemplate lub Set-AipServiceTemplateProperty.
Obiekt definicji praw wyraża prawa użytkowania, które użytkownicy muszą mieć do zawartości chronionej przez usługę Azure Information Protection. Możesz określić użytkownika, grupę lub wszystkich użytkowników w organizacji.
Podobną konfigurację można również wykonać podczas tworzenia lub konfigurowania szablonu ochrony w Azure Portal, ale to polecenie cmdlet oferuje bardziej szczegółową kontrolę. To polecenie cmdlet nie obsługuje jednak opcji uwierzytelnionych użytkowników, którą można wybrać w Azure Portal.
Porada: To polecenie cmdlet umożliwia bezpieczną współpracę z innymi organizacjami, gdy mają konta użytkowników w usłudze Azure Active Directory i Office 365. Na przykład podaj uprawnienia WIDOKU grupy zewnętrznej i DOCEDIT do współpracy nad wspólnym projektem. Możesz też podać uprawnienia VIEW wszystkim użytkownikom w organizacji partnerskiej.
Aby uzyskać więcej informacji na temat szablonów ochrony, w tym sposobu ich konfigurowania w Azure Portal, zobacz Konfigurowanie szablonów i zarządzanie nimi dla usługi Azure Information Protection.
Korzystając z klienta ujednoliconego etykietowania platformy Azure Information Protection?
Klient ujednoliconego etykietowania platformy Azure Information Protection korzysta pośrednio z szablonów ochrony. Jeśli masz ujednoliconego klienta etykietowania, zalecamy używanie poleceń cmdlet opartych na etykietach zamiast bezpośredniego modyfikowania szablonów ochrony.
Aby uzyskać więcej informacji, zobacz Tworzenie i publikowanie etykiet poufności w dokumentacji platformy Microsoft 365.
Przykłady
Przykład 1. Tworzenie obiektu definicji praw dla użytkownika
PS C:\>$R1 = New-AipServiceRightsDefinition -EmailAddress "ElisaDaugherty@Contoso.com" -Rights "VIEW","DOCEDIT"
To polecenie tworzy obiekt definicji praw dla określonego użytkownika i przechowuje te zasady w zmiennej o nazwie R1, która następnie może służyć do tworzenia lub aktualizowania szablonu ochrony.
Polecenie zawiera uprawnienia VIEW i DOCEDIT dla użytkownika w organizacji firmy Contoso.
Przykład 2. Tworzenie obiektu definicji praw dla wszystkich użytkowników
PS C:\>$R2 = New-AipServiceRightsDefinition -DomainName "Contoso.com" -Rights "VIEW"
To polecenie tworzy obiekt definicji praw dla organizacji firmy Contoso i przechowuje te zasady w zmiennej o nazwie R2, która następnie może służyć do tworzenia lub aktualizowania szablonu ochrony. Polecenie zawiera prawo VIEW dla wszystkich użytkowników w organizacji firmy Contoso.
Przykład 3. Tworzenie obiektu definicji praw dla konfiguracji "Just for me"
PS C:\>$R3 = New-AipServiceRightsDefinition -EmailAddress "IPC_USER_ID_OWNER" -Rights "OWNER"
To polecenie tworzy obiekt definicji praw, który stosuje ochronę, tak aby tylko osoba, która stosuje ochronę, może otworzyć dokument lub wiadomość e-mail bez ograniczeń. Ta konfiguracja jest czasami nazywana "Tylko dla mnie" i może być wymaganym wynikiem, dzięki czemu użytkownik może zapisać plik w dowolnej lokalizacji i mieć pewność, że tylko oni mogą go otworzyć. Ponieważ tylko osoba, która stosuje ochronę, może otworzyć zawartość, ta konfiguracja nie jest odpowiednia dla zawartości wymagającej współpracy.
Parametry
-DomainName
Określa nazwę domeny dla organizacji lub innej organizacji, która ma być używana do udzielania praw podczas tworzenia lub aktualizowania szablonu ochrony. Jeśli organizacja ma więcej niż jedną domenę, nie ma znaczenia, która nazwa domeny została określona; użytkownicy ze wszystkich zweryfikowanych domen dla tej organizacji są automatycznie dołączani.
Określ jedną nazwę domeny tylko dla wszystkich użytkowników w organizacji; aby udzielić praw do więcej niż jednej organizacji, utwórz inny obiekt definicji praw.
Należy pamiętać, że aby uwierzytelnianie zakończyło się pomyślnie dla Azure AD, użytkownik musi mieć konto w usłudze Azure Active Directory. Office 365 użytkownicy automatycznie mają konto w usłudze Azure Active Directory.
Można określić nazwy domen od dostawców społecznościowych (takich jak gmail.com), ale uwierzytelnianie kont, które nie znajdują się w Azure AD są obsługiwane tylko w przypadku poczty e-mail, a gdy Exchange Online jest skonfigurowana dla nowych możliwości szyfrowania komunikatów Office 365.
Typ: | String |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | False |
Akceptowanie danych wejściowych potoku: | False |
Akceptowanie symboli wieloznacznych: | False |
-EmailAddress
Określa adres e-mail użytkownika lub grupy. Użytkownik lub grupa mogą być wewnętrzne dla organizacji lub zewnętrzne. Aby uwierzytelnianie Azure AD powiodło się, użytkownik musi mieć konto w usłudze Azure Active Directory. Office 365 użytkownicy automatycznie mają konto w usłudze Azure Active Directory.
Inne metody uwierzytelniania obejmują adres e-mail od dostawcy społecznościowego (na przykład konto Gmail), gdy Exchange Online jest konfigurowana pod kątem nowych możliwości szyfrowania komunikatów Office 365. Niektóre aplikacje obsługują również osobiste adresy e-mail przy użyciu konta Microsoft. Aby uzyskać więcej informacji na temat używania kont Microsoft do uwierzytelniania, zobacz tabelę obsługiwanych scenariuszy.
Polecenie cmdlet kojarzy prawa określone przez parametr Rights do użytkownika lub grupy, którą określa adres.
Porada: Jeśli chcesz określić wszystkich użytkowników w organizacji lub wszystkich użytkowników w innej organizacji, użyj parametru DomainName .
Typ: | String |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | False |
Akceptowanie danych wejściowych potoku: | False |
Akceptowanie symboli wieloznacznych: | False |
-Rights
Określa listę praw. Lista zawiera co najmniej jedną z następujących elementów:
WIDOK: Interpretowane przez większość aplikacji, które mogą prezentować dane na ekranie.
EDYTUJ: Interpretowane przez większość aplikacji, które mogą modyfikować zawartość w dokumencie i zapisywać ją.
DOCEDIT: Interpretowane przez większość aplikacji, które mogą modyfikować zawartość dokumentu.
WYODRĘBNIĆ: Interpretowane przez większość aplikacji, które mogą kopiować zawartość do schowka lub wyodrębniać zawartość w postaci niezaszyfrowanej.
OBJMODEL: Interpretowane przez większość aplikacji, które mogą uzyskiwać dostęp do dokumentu programowo; na przykład przy użyciu makr.
EKSPORTU: Interpretowane przez większość aplikacji, które mogą zapisywać plik w niezaszyfrowanym formularzu. Na przykład to prawo umożliwia zapisanie w innym formacie pliku, który nie obsługuje ochrony.
DRUKOWANIA: Interpretowane przez większość aplikacji, które mogą drukować dokument.
WŁAŚCICIEL: Użytkownik ma wszystkie prawa do dokumentu, w tym możliwość usunięcia ochrony.
PRZEKAZANIA: Interpretowane przez większość aplikacji, które mogą przekazywać wiadomość e-mail, oraz dodawać adresatów do wierszy Do i DW.
ODPOWIEDŹ: Interpretowane przez większość aplikacji, co pozwala wybrać odpowiedź na wiadomość e-mail bez zezwalania na zmiany w wierszach Do lub DW.
ODPOWIEDZWSZY: Interpretowane przez większość aplikacji, które mogą odpowiadać wszystkim adresatom wiadomości e-mail, ale nie zezwala użytkownikowi na dodawanie adresatów do wierszy Do lub DW.
Uwaga: Aby uzyskać przejrzystość, dokumentacja i tekst wyświetlania z modułu pokazuje te prawa jako wszystkie wielkie litery. Jednak wartości nie są uwzględniane w wielkości liter i można je określić w małym lub górnym literze.
Aby uzyskać więcej informacji na temat praw użytkowania, zobacz Konfigurowanie praw użytkowania dla usługi Azure Information Protection.
Typ: | System.Collections.Generic.List`1[System.String] |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | True |
Akceptowanie danych wejściowych potoku: | False |
Akceptowanie symboli wieloznacznych: | False |