你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Connect-AipService
连接到 Azure 信息保护。
语法
Connect-AipService
[-Credential <PSCredential>]
[-TenantId <Guid>]
[<CommonParameters>] Connect-AipService
[-AccessToken <String>]
[-TenantId <Guid>]
[<CommonParameters>] Connect-AipService
[-EnvironmentName <AzureRmEnvironment>]
[<CommonParameters>] 说明
Connect-AipService cmdlet 将你连接到 Azure 信息保护,以便你可以为租户的保护服务运行管理命令。 管理你的租户的合作伙伴公司也可以使用此 cmdlet。
必须先运行此 cmdlet,然后才能在此模块中运行其他 cmdlet。
若要连接到 Azure 信息保护,请使用以下帐户之一:
- Office 365租户的全局管理员。
- Azure AD 租户的全局管理员。 但是,此帐户不能 (MSA) 或其他 Azure 租户的 Microsoft 帐户。
- 租户中的用户帐户,已使用 Add-AipServiceRoleBasedAdministrator cmdlet 向 Azure 信息保护授予管理权限。
- Azure 信息保护管理员、合规性管理员或合规性数据管理员的 Azure AD 管理员角色。
提示
如果未提示输入凭据,并且看到错误消息(如 在不使用凭据的情况下无法使用此功能),请验证 Internet Explorer 是否已配置为使用 Windows 集成身份验证。
如果未启用此设置,请启用此设置,重启 Internet Explorer,然后重试信息保护服务的身份验证。
示例
示例 1:连接到 Azure 信息保护,并提示输入用户名和其他凭据
PS C:\> Connect-AipService此命令从 Azure 信息保护连接到保护服务。 这是通过运行不带参数的 cmdlet 连接到服务的最简单方法。
系统会提示输入用户名和密码。 如果帐户配置为使用多重身份验证,系统会提示你使用替代身份验证方法,然后连接到服务。
如果帐户配置为使用多重身份验证,则必须使用此方法连接到 Azure 信息保护。
示例 2:使用存储凭据连接到 Azure 信息保护
PS C:\>$AdminCredentials = Get-Credential "Admin@aadrm.contoso.com"
PS C:\> Connect-AipService -Credential $AdminCredentials第一个命令创建 PSCredential 对象,并将指定的用户名和密码存储在 $AdminCredentials 变量中。 运行此命令时,系统会提示输入指定用户名的密码。
第二个命令使用存储在 $AdminCredentials 中的凭据连接到 Azure 信息保护。 如果在变量仍在使用时断开服务连接并重新连接,只需重新运行第二个命令。
示例 3:使用令牌连接到 Azure 信息保护
PS C:\ > Add-Type -Path "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.1\Microsoft.IdentityModel.Clients.ActiveDirectory.dll"
PS C:\ > $clientId='90f610bf-206d-4950-b61d-37fa6fd1b224';
PS C:\ > $resourceId = 'https://api.aadrm.com/';
PS C:\ > $userName='admin@contoso.com';
PS C:\ > $password='Passw0rd!';
PS C:\ > $authority = "https://login.microsoftonline.com/common";
PS C:\ > $authContext = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext($authority);
PS C:\ > $userCreds = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.UserPasswordCredential($userName, $password);
PS C:\ > $authResult = [Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContextIntegratedAuthExtensions]::AcquireTokenAsync($authContext, $resourceId, $clientId, $userCreds).Result;
PS C:\ > Import-Module AIPService
PS C:\> Connect-AipService -AccessToken $authResult.AccessToken此示例演示如何使用 AccessToken 参数连接到 Azure 信息保护,这样就可以在没有提示的情况下进行身份验证。 此连接方法要求指定客户端 ID 90f610bf-206d-4950-b61d-37fa6fd1b224 和资源 ID *https://api.aadrm.com/*。 连接打开后,可以从此模块运行所需的管理命令。
确认这些命令成功连接到 Azure 信息保护后,可以从脚本以非交互方式运行它们。
请注意,出于说明目的,此示例使用密码为 Passw0rd 的admin@contoso.com用户名!在生产环境中,当你以非交互方式使用此连接方法时,请使用其他方法来保护密码,使其不以明文形式存储。 例如,使用 ConvertTo-SecureString 命令或使用密钥保管库将密码存储为机密。
示例 4:通过服务主体身份验证连接到 Azure 信息保护
PS C:\ > $Thumbprint = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\> Connect-AipService -CertificateThumbprint $Thumbprint -ApplicationId $ApplicationId -TenantId $TenantId -ServicePrincipal此示例使用基于证书的服务主体身份验证连接到 Azure 帐户。 必须使用指定的证书创建用于身份验证的服务主体。
此示例的先决条件:
- 必须将 AIPService PowerShell 模块更新到版本 1.0.05 或更高版本。
- 若要启用服务主体身份验证,必须将读取 API 权限添加到服务主体 (Application.Read.All) 。
有关详细信息,请参阅所需的 API 权限 - Microsoft 信息保护 SDK 并使用 Azure PowerShell 创建具有证书的服务主体。
示例 5:通过服务主体身份验证连接到 Azure 信息保护
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\ > $Credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $ApplicationId, $SecuredPassword
PS C:\ > Connect-AipService -Credential $Credential -TenantId $TenantId -ServicePrincipal在此示例中:
- 第一个命令提示用户输入服务主体凭据,然后将其存储在
$Credential变量中。 升级后,输入用户名值和服务主体机密的应用程序 ID 作为密码。 - 第二个命令使用存储在变量中的
$Credential服务主体凭据连接到指定的 Azure 租户。ServicePrincipalswitch 参数指示帐户作为服务主体进行身份验证。
若要启用服务主体身份验证,必须将读取 API 权限添加到服务主体 (Application.Read.All) 。 有关详细信息,请参阅所需的 API 权限 - Microsoft 信息保护 SDK。
参数
-AccessToken
使用此参数可以通过使用从 Azure Active Directory 获取的令牌连接到 Azure 信息保护,使用客户端 ID 90f610bf-206d-4950-b61d-37fa6fd1b224 和资源 IDhttps://api.aadrm.com/。 此连接方法允许以非交互方式登录到 Azure 信息保护。
若要获取访问令牌,请确保从租户使用的帐户不使用多重身份验证 (MFA) 。 有关如何执行此操作,请参阅示例 3。
不能将此参数与 Credential 参数一起使用。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-ApplicationID
指定服务主体的应用程序 ID。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-CertificateThumbprint
为有权执行给定操作的服务主体指定数字公钥 X.509 证书的证书指纹。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-Credential
指定 PSCredential 对象。 若要获取 PSCredential 对象,请使用 Get-Credential cmdlet。 要了解详情,请键入 Get-Help Get-Cmdlet。
该 cmdlet 将提示你输入密码。
不能将此参数与 AccessToken 参数一起使用,如果帐户配置为使用多重身份验证 (MFA) ,则不要使用它。
| 类型: | PSCredential |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-EnvironmentName
指定主权云的 Azure 实例。 有效值是:
- AzureCloud: Azure 的商业产品/服务
- AzureChinaCloud: 由世纪互联运营的 Azure
- AzureUSGovernment:Azure 政府
有关将 Azure 信息保护与 Azure 政府 配合使用的详细信息,请参阅 Azure 信息保护 Premium Government 服务说明。
| 类型: | AzureRmEnvironment |
| 接受的值: | AzureCloud, AzureChinaCloud, AzureUSGovernment |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-ServicePrincipal
指示 cmdlet 指定服务主体身份验证。
必须使用指定的机密创建服务主体。
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-TenantId
指定租户 GUID。 该 cmdlet 连接到由 GUID 指定的租户的 Azure 信息保护。
如果未指定此参数,cmdlet 将连接到帐户所属的租户。
| 类型: | Guid |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |