Поделиться через


New-AipServiceRightsDefinition

Создает объект определения прав для шаблона защиты для azure Information Protection.

Синтаксис

New-AipServiceRightsDefinition
   [-EmailAddress <String>]
   [-DomainName <String>]
   -Rights <System.Collections.Generic.List`1[System.String]>
   [<CommonParameters>]

Описание

Командлет New-AipServiceRightsDefinition создает объект определения прав, который хранится в виде переменной, а затем используется для создания или обновления шаблона защиты для Azure Information Protection при использовании командлета Add-AipServiceTemplate или Set-AipServiceTemplateProperty.

Объект определения прав выражает права на использование, которые пользователи должны содержать содержимое, которое azure Information Protection защищает. Можно указать пользователя, группу или всех пользователей в организации.

Аналогичную конфигурацию также можно выполнить при создании или настройке шаблона защиты в портал Azure, но этот командлет предлагает более детализированный элемент управления. Однако этот командлет не поддерживает любой параметр прошедших проверку подлинности пользователей, который можно выбрать в портал Azure.

Совет. Этот командлет позволяет обеспечить безопасную совместную работу с другими организациями, если у них есть учетные записи пользователей в Azure Active Directory и Office 365. Например, предоставьте внешние права VIEW и DOCEDIT для совместной работы над совместным проектом. Кроме того, предоставьте права VIEW всем пользователям в партнерской организации.

Дополнительные сведения о шаблонах защиты, включая их настройку в портал Azure, см. в статье "Настройка шаблонов и управление ими для azure Information Protection".

Использование клиента унифицированных меток Azure Information Protection?

Клиент унифицированных меток Azure Information Protection косвенно использует шаблоны защиты. Если у вас есть клиент унифицированных меток, рекомендуется использовать командлеты на основе меток вместо непосредственного изменения шаблонов защиты.

Дополнительные сведения см. в статье "Создание и публикация меток конфиденциальности " в документации по Microsoft 365.

Примеры

Пример 1. Создание объекта определения прав для пользователя

PS C:\>$R1 = New-AipServiceRightsDefinition -EmailAddress "ElisaDaugherty@Contoso.com" -Rights "VIEW","DOCEDIT"

Эта команда создает объект определения прав для указанного пользователя и сохраняет эту политику в переменной С именем R1, которую затем можно использовать для создания или обновления шаблона защиты.

Команда включает права VIEW и DOCEDIT для пользователя в организации Contoso.

Пример 2. Создание объекта определения прав для всех пользователей

PS C:\>$R2 = New-AipServiceRightsDefinition -DomainName "Contoso.com" -Rights "VIEW"

Эта команда создает объект определения прав для организации Contoso и сохраняет эту политику в переменной С именем R2, которую затем можно использовать для создания или обновления шаблона защиты. Команда включает право VIEW для всех пользователей в организации Contoso.

Пример 3. Создание объекта определения прав для конфигурации "Только для меня"

PS C:\>$R3 = New-AipServiceRightsDefinition -EmailAddress "IPC_USER_ID_OWNER" -Rights "OWNER"

Эта команда создает объект определения прав, который применяет защиту, чтобы только пользователь, который применяет защиту, может открыть документ или электронную почту без ограничений. Эта конфигурация иногда называется "Только для меня" и может быть обязательным результатом, чтобы пользователь мог сохранить файл в любом расположении и быть уверенным, что только он может открыть его. Так как только пользователь, который применяет защиту, может открыть содержимое, эта конфигурация не подходит для содержимого, требующего совместной работы.

Параметры

-DomainName

Указывает доменное имя для организации или другой организации, которое будет использоваться для предоставления прав при создании или обновлении шаблона защиты. Если в организации есть несколько доменов, это не имеет значения, какое доменное имя вы указали; пользователи из всех проверенных доменов для этой организации автоматически включаются.

Укажите одно доменное имя только для всех пользователей в организации; чтобы предоставить права нескольким организациям, создайте другой объект определения прав.

Обратите внимание, что для успешной проверки подлинности для Azure AD у пользователя должна быть учетная запись в Azure Active Directory. Office 365 пользователи автоматически имеют учетную запись в Azure Active Directory.

Вы можете указать доменные имена от поставщиков социальных сетей (например, gmail.com), но проверку подлинности для учетных записей, которые не находятся в Azure AD, поддерживаются только для электронной почты, а также при настройке Exchange Online новых возможностей для шифрования сообщений Office 365.

Тип:String
Position:Named
Default value:None
Обязательно:False
Принять входные данные конвейера:False
Принять подстановочные знаки:False

-EmailAddress

Указывает адрес электронной почты пользователя или группы. Пользователь или группа могут быть внутренними для вашей организации или внешними. Для успешной проверки подлинности Azure AD у пользователя должна быть учетная запись в Azure Active Directory. Office 365 пользователи автоматически имеют учетную запись в Azure Active Directory.

Другие методы проверки подлинности включают адрес электронной почты от поставщика социальных сетей (например, учетную запись Gmail), если Exchange Online настроены для новых возможностей для шифрования сообщений Office 365. Некоторые приложения также поддерживают личные адреса электронной почты с учетной записью Майкрософт. Дополнительные сведения об использовании учетных записей Майкрософт для проверки подлинности см. в таблице поддерживаемых сценариев.

Командлет связывает права, которые параметр Rights указывает пользователю или группе, указанной адресом.

Совет. Если вы хотите указать всех пользователей в организации или всех пользователей в другой организации, используйте параметр DomainName .

Тип:String
Position:Named
Default value:None
Обязательно:False
Принять входные данные конвейера:False
Принять подстановочные знаки:False

-Rights

Указывает список прав. Список содержит один или несколько следующих элементов.

  • ВИД: Интерпретируется большинством приложений, как разрешено представить данные на экране.

  • РЕДАКТИРОВАТЬ: Интерпретируется большинством приложений, как разрешено изменять содержимое в документе и сохранять его.

  • DOCEDIT: Интерпретируется большинством приложений, как разрешено изменять содержимое документа.

  • ИЗВЛЕЧЬ: Интерпретируется большинством приложений, как разрешено копировать содержимое в буфер обмена или иным образом извлекать содержимое в незашифрованной форме.

  • OBJMODEL: Интерпретируется большинством приложений как разрешенный доступ к документу программным способом; например, с помощью макросов.

  • ЭКСПОРТ: Интерпретируется большинством приложений, как разрешено сохранять файл в незашифрованной форме. Например, это право позволяет сохранить в другом формате файла, который не поддерживает защиту.

  • ПЕЧАТИ: Интерпретируется большинством приложений как разрешенный для печати документа.

  • ВЛАДЕЛЕЦ: Пользователь имеет все права на документ, включая возможность удаления защиты.

  • ВПЕРЕД: Интерпретируется большинством приложений как разрешено пересылать сообщение электронной почты и добавлять получателей в строки "Кому" и "Копия".

  • ОТВЕТ: Интерпретируется большинством приложений, как разрешено выбирать ответ на сообщение электронной почты без разрешения изменений в строках "Кому" или "Копия".

  • REPLYALL: Интерпретируется большинством приложений как разрешено отвечать всем получателям сообщения электронной почты, но не позволяет пользователю добавлять получателей в строки "Кому" или "Копия".

Примечание. Для ясности в документации и отображаемом тексте модуля эти права отображаются как все прописные буквы. Однако регистр в этих значениях не учитывается, и можно указать их в нижнем или верхнем регистре.

Дополнительные сведения о правах на использование см. в статье "Настройка прав на использование" для azure Information Protection.

Тип:System.Collections.Generic.List`1[System.String]
Position:Named
Default value:None
Обязательно:True
Принять входные данные конвейера:False
Принять подстановочные знаки:False