Поделиться через


Connect-AipService

Подключается к Azure Information Protection.

Синтаксис

Connect-AipService
       [-Credential <PSCredential>]
       [-TenantId <Guid>]
       [<CommonParameters>]
Connect-AipService
       [-AccessToken <String>]
       [-TenantId <Guid>]
       [<CommonParameters>]
Connect-AipService
       [-EnvironmentName <AzureRmEnvironment>]
       [<CommonParameters>]

Описание

Командлет Connect-AipService подключает вас к Azure Information Protection, чтобы затем можно было выполнять административные команды для службы защиты клиента. Этот командлет может также использовать компания партнера, которая управляет вашим клиентом.

Перед запуском других командлетов в этом модуле необходимо выполнить этот командлет.

Чтобы подключиться к Azure Information Protection, используйте учетную запись, которая является одной из следующих:

  • Глобальный администратор клиента Office 365.
  • Глобальный администратор клиента Azure AD. Однако эта учетная запись не может быть учетной записью Майкрософт (MSA) или другим клиентом Azure.
  • Учетная запись пользователя из клиента, которой были предоставлены права администратора в Azure Information Protection с помощью командлета Add-AipServiceRoleBasedAdministrator.
  • Azure AD роль администратора Azure Information Protection администратора, администратора соответствия требованиям или администратора данных соответствия.

Совет

Если вам не будет предложено ввести учетные данные и появится сообщение об ошибке, например "Не удается использовать эту функцию без учетных данных", убедитесь, что Internet Explorer настроен для использования встроенной проверки подлинности Windows.

Если этот параметр не включен, включите его, перезапустите Internet Explorer и повторите проверку подлинности в службе Information Protection.

Примеры

Пример 1. Подключение к Azure Information Protection и запрос на ввод имени пользователя и других учетных данных

PS C:\> Connect-AipService

Эта команда подключается к службе защиты из Azure Information Protection. Это самый простой способ подключения к службе, запустив командлет без параметров.

Вам будет предложено ввести имя пользователя и пароль. Если ваша учетная запись настроена для использования многофакторной проверки подлинности, вам будет предложено использовать альтернативный метод проверки подлинности, а затем подключиться к службе.

Если ваша учетная запись настроена для использования многофакторной проверки подлинности, необходимо использовать этот метод для подключения к Azure Information Protection.

Пример 2. Подключение к Azure Information Protection с сохраненными учетными данными

PS C:\>$AdminCredentials = Get-Credential "Admin@aadrm.contoso.com"
PS C:\> Connect-AipService -Credential $AdminCredentials

Первая команда создает объект PSCredential и сохраняет указанное имя пользователя и пароль в переменной $AdminCredentials . При выполнении этой команды вам будет предложено ввести пароль для указанного имени пользователя.

Вторая команда подключается к Azure Information Protection с помощью учетных данных, хранящихся в $AdminCredentials. Если отключиться от службы и повторно подключиться, пока переменная по-прежнему используется, просто повторно выполните вторую команду.

Пример 3. Подключение к Azure Information Protection с помощью маркера

PS C:\ > Add-Type -Path "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.1\Microsoft.IdentityModel.Clients.ActiveDirectory.dll"
PS C:\ > $clientId='90f610bf-206d-4950-b61d-37fa6fd1b224';
PS C:\ > $resourceId = 'https://api.aadrm.com/';
PS C:\ > $userName='admin@contoso.com';
PS C:\ > $password='Passw0rd!';
PS C:\ > $authority = "https://login.microsoftonline.com/common";
PS C:\ > $authContext = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext($authority);
PS C:\ > $userCreds = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.UserPasswordCredential($userName, $password);
PS C:\ > $authResult = [Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContextIntegratedAuthExtensions]::AcquireTokenAsync($authContext, $resourceId, $clientId, $userCreds).Result;
PS C:\ > Import-Module AIPService
PS C:\> Connect-AipService -AccessToken $authResult.AccessToken

В этом примере показано, как подключиться к Azure Information Protection с помощью параметра AccessToken, который позволяет выполнять проверку подлинности без запроса. Для этого метода подключения необходимо указать идентификатор клиента 90f610bf-206d-4950-b61d-37fa6fd1b224 и идентификатор *https://api.aadrm.com/*ресурса. После открытия подключения можно выполнить необходимые административные команды из этого модуля.

Убедившись, что эти команды успешно подключаются к Azure Information Protection, можно запустить их неинтерактивно, например из скрипта.

Обратите внимание, что для иллюстрации в этом примере используется имя admin@contoso.com пользователя с паролем Passw0rd! В рабочей среде при использовании этого метода подключения неинтерактивно используйте дополнительные методы для защиты пароля, чтобы он не хранится в виде открытого текста. Например, используйте команду ConvertTo-SecureString или используйте Key Vault для хранения пароля в виде секрета.

Пример 4. Подключение к Azure Information Protection с помощью сертификата клиента с помощью проверки подлинности субъекта-службы

PS C:\ > $Thumbprint = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\> Connect-AipService -CertificateThumbprint $Thumbprint -ApplicationId $ApplicationId -TenantId $TenantId -ServicePrincipal

В этом примере выполняется подключение к учетной записи Azure с использованием проверки подлинности субъекта-службы на основе сертификатов. Субъект-служба, используемый для проверки подлинности, должен быть создан с указанным сертификатом.

Необходимые условия для этого примера:

  • Необходимо обновить модуль PowerShell AIPService до версии 1.0.05 или более поздней.
  • Чтобы включить проверку подлинности субъекта-службы, необходимо добавить разрешения API чтения (Application.Read.All) в субъект-службу.

Дополнительные сведения см. в разделе "Необходимые разрешения API" — пакет SDK Microsoft Information Protection и использование Azure PowerShell для создания субъекта-службы с сертификатом.

Пример 5. Подключение к Azure Information Protection с помощью секрета клиента с помощью проверки подлинности субъекта-службы

PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\ > $Credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $ApplicationId, $SecuredPassword
PS C:\ > Connect-AipService -Credential $Credential -TenantId $TenantId -ServicePrincipal

В этом примере:

  • Первая командная строка для учетных данных субъекта-службы и сохраняет их в переменной $Credential . При повышении уровня введите идентификатор приложения для значения имени пользователя и секрет субъекта-службы в качестве пароля.
  • Вторая команда подключается к указанному клиенту Azure, используя учетные данные субъекта-службы, хранящиеся в переменной $Credential . Параметр ServicePrincipal switch указывает, что учетная запись проходит проверку подлинности в качестве субъекта-службы.

Чтобы включить проверку подлинности субъекта-службы, необходимо добавить разрешения API чтения (Application.Read.All) в субъект-службу. Дополнительные сведения см. в разделе "Необходимые разрешения API" Microsoft Information Protection SDK.

Параметры

-AccessToken

Используйте этот параметр для подключения к Azure Information Protection с помощью маркера, полученного из Azure Active Directory, с помощью идентификатора клиента 90f610bf-206d-4950-b61d-37fa6fd1b224 и идентификатора https://api.aadrm.com/ресурса. Этот метод подключения позволяет войти в Azure Information Protection неинтерактивно.

Чтобы получить маркер доступа, убедитесь, что учетная запись, используемая из вашего клиента, не использует многофакторную проверку подлинности (MFA). См. пример 3, чтобы узнать, как это можно сделать.

Этот параметр нельзя использовать с параметром Credential .

Тип:String
Position:Named
Default value:None
Обязательно:False
Принять входные данные конвейера:False
Принять подстановочные знаки:False

-ApplicationID

Указывает идентификатор приложения субъекта-службы.

Тип:String
Position:Named
Default value:None
Обязательно:False
Принять входные данные конвейера:False
Принять подстановочные знаки:False

-CertificateThumbprint

Указывает отпечаток сертификата цифрового открытого ключа X.509 для субъекта-службы, имеющего разрешения на выполнение заданного действия.

Тип:String
Position:Named
Default value:None
Обязательно:False
Принять входные данные конвейера:False
Принять подстановочные знаки:False

-Credential

Указывает объект PSCredential . Чтобы получить объект PSCredential, используйте командлет Get-Credential. Для получения дополнительных сведений введите Get-Help Get-Cmdlet.

Командлет запросит пароль.

Этот параметр нельзя использовать с параметром AccessToken и не использовать его, если ваша учетная запись настроена для использования многофакторной проверки подлинности (MFA).

Тип:PSCredential
Position:Named
Default value:None
Обязательно:False
Принять входные данные конвейера:False
Принять подстановочные знаки:False

-EnvironmentName

Указывает экземпляр Azure для национальных облаков. Допустимые значения:

  • AzureCloud: Коммерческое предложение Azure
  • AzureChinaCloud: Azure, управляемый 21Vianet
  • AzureUSGovernment: Azure для государственных организаций

Дополнительные сведения об использовании Azure Information Protection с Azure для государственных организаций см. в описании службы Azure Information Protection premium для государственных организаций.

Тип:AzureRmEnvironment
Допустимые значения:AzureCloud, AzureChinaCloud, AzureUSGovernment
Position:Named
Default value:None
Обязательно:False
Принять входные данные конвейера:False
Принять подстановочные знаки:False

-ServicePrincipal

Указывает, что командлет указывает проверку подлинности субъекта-службы.

Субъект-служба должен быть создан с указанным секретом.

Тип:SwitchParameter
Position:Named
Default value:None
Обязательно:False
Принять входные данные конвейера:False
Принять подстановочные знаки:False

-TenantId

Указывает GUID клиента. Командлет подключается к Azure Information Protection для клиента, указанного с помощью GUID.

Если этот параметр не указан, командлет подключается к клиенту, к которому принадлежит ваша учетная запись.

Тип:Guid
Position:Named
Default value:None
Обязательно:False
Принять входные данные конвейера:False
Принять подстановочные знаки:False