共用方式為


Connect-AipService

連線到 Azure 資訊保護。

語法

Connect-AipService
       [-Credential <PSCredential>]
       [-TenantId <Guid>]
       [<CommonParameters>]
Connect-AipService
       [-AccessToken <String>]
       [-TenantId <Guid>]
       [<CommonParameters>]
Connect-AipService
       [-EnvironmentName <AzureRmEnvironment>]
       [<CommonParameters>]

Description

Connect-AipService Cmdlet 會將您連線到 Azure 資訊保護,以便您接著為租使用者的保護服務執行系統管理命令。 此 Cmdlet 也可供為您管理租用戶的合作夥伴公司使用。

您必須先執行此 Cmdlet,才能執行此課程模組中的其他 Cmdlet。

若要連線到 Azure 資訊保護,請使用下列其中一個帳戶:

  • Office 365租使用者的全域管理員。
  • Azure AD 租使用者的全域管理員。 不過,此帳戶不能是 MICROSOFT 帳戶 (MSA) 或其他 Azure 租使用者。
  • 租使用者中已使用Add-AipServiceRoleBasedAdministrator Cmdlet授與 Azure 資訊保護系統管理許可權的使用者帳戶。
  • Azure 資訊保護系統管理員、合規性系統管理員或合規性資料管理員的 Azure AD 系統管理員角色。

提示

如果您未提示您輸入認證,且看到錯誤訊息,例如 [在沒有認證的情況下無法使用此功能],請確認 Internet Explorer 已設定為使用 Windows 整合式驗證。

如果未啟用此設定,請加以啟用、重新開機 Internet Explorer,然後重試驗證至資訊保護服務。

範例

範例 1:連線到 Azure 資訊保護,並提示您輸入使用者名稱和其他認證

PS C:\> Connect-AipService

此命令會從 Azure 資訊保護連線到保護服務。 這是透過執行不含參數的 Cmdlet 來連線到服務的最簡單方式。

系統會提示您輸入使用者名稱和密碼。 如果您的帳戶設定為使用多重要素驗證,系統會提示您輸入替代的驗證方法,然後連線到服務。

如果您的帳戶設定為使用多重要素驗證,您必須使用此方法連線到 Azure 資訊保護。

範例 2:使用預存認證連線到 Azure 資訊保護

PS C:\>$AdminCredentials = Get-Credential "Admin@aadrm.contoso.com"
PS C:\> Connect-AipService -Credential $AdminCredentials

第一個命令會建立 PSCredential 物件,並將您指定的使用者名稱和密碼儲存在 $AdminCredentials 變數中。 當您執行此命令時,系統會提示您輸入所指定使用者名稱的密碼。

第二個命令會使用儲存在 $AdminCredentials 中的認證來連線到 Azure資訊保護。 如果您中斷與服務的連接,並在變數仍在使用中時重新連線,只要重新執行第二個命令即可。

範例 3:使用權杖連線到 Azure 資訊保護

PS C:\ > Add-Type -Path "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.1\Microsoft.IdentityModel.Clients.ActiveDirectory.dll"
PS C:\ > $clientId='90f610bf-206d-4950-b61d-37fa6fd1b224';
PS C:\ > $resourceId = 'https://api.aadrm.com/';
PS C:\ > $userName='admin@contoso.com';
PS C:\ > $password='Passw0rd!';
PS C:\ > $authority = "https://login.microsoftonline.com/common";
PS C:\ > $authContext = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext($authority);
PS C:\ > $userCreds = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.UserPasswordCredential($userName, $password);
PS C:\ > $authResult = [Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContextIntegratedAuthExtensions]::AcquireTokenAsync($authContext, $resourceId, $clientId, $userCreds).Result;
PS C:\ > Import-Module AIPService
PS C:\> Connect-AipService -AccessToken $authResult.AccessToken

此範例示範如何使用AccessToken參數連線到 Azure 資訊保護,這可讓您在沒有提示的情況下進行驗證。 此連線方法需要您指定用戶端識別碼 90f610bf-206d-4950-b61d-37fa6fd1b224 和資源識別碼 *https://api.aadrm.com/* 。 連線開啟之後,您就可以從此模組執行您需要的系統管理命令。

確認這些命令導致成功連線到 Azure 資訊保護之後,您可以從腳本以非互動方式執行這些命令。

請注意,為了說明目的,此範例會使用 的使用者名稱 admin@contoso.com 搭配 Passw0rd 的密碼! 在生產環境中,當您以非互動方式使用此連線方法時,請使用其他方法來保護密碼,使其不會以純文字儲存。 例如,使用ConvertTo-SecureString命令或使用金鑰保存庫將密碼儲存為秘密。

範例 4:透過服務主體驗證使用用戶端憑證連線到 Azure 資訊保護

PS C:\ > $Thumbprint = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\> Connect-AipService -CertificateThumbprint $Thumbprint -ApplicationId $ApplicationId -TenantId $TenantId -ServicePrincipal

此範例會使用憑證式服務主體驗證來連線到 Azure 帳戶。 用於驗證的服務主體必須使用指定的憑證來建立。

此範例的必要條件:

  • 您必須將 AIPService PowerShell 模組更新為 1.0.05 版或更新版本。
  • 若要啟用服務主體驗證,您必須將讀取 API 許可權 (Application.Read.All) 新增至服務主體。

如需詳細資訊,請參閱必要的 API 許可權 - Microsoft 資訊保護 SDK和使用Azure PowerShell 建立具有憑證的服務主體

範例 5:透過服務主體驗證使用用戶端密碼連線到 Azure 資訊保護

PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\ > $Credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $ApplicationId, $SecuredPassword
PS C:\ > Connect-AipService -Credential $Credential -TenantId $TenantId -ServicePrincipal

在此範例中:

  • 第一個命令會提示您提供服務主體認證,並將其儲存在 $Credential 變數中。 升級時,請輸入您的應用程式識別碼作為使用者名稱值,並將服務主體密碼輸入為密碼。
  • 第二個命令會使用儲存在 變數中的 $Credential 服務主體認證,連線到指定的 Azure 租使用者。 ServicePrincipalswitch 參數表示帳戶會驗證為服務主體。

若要啟用服務主體驗證,您必須將讀取 API 許可權 (Application.Read.All) 新增至服務主體。 如需詳細資訊,請參閱必要的 API 許可權 - Microsoft 資訊保護 SDK

參數

-AccessToken

使用此參數,使用您從 Azure Active Directory 取得的權杖,使用用戶端識別碼90f610bf-206d-4950-b61d-37fa6fd1b224和資源識別碼 https://api.aadrm.com/ 來連線到 Azure 資訊保護。 此連線方法可讓您以非互動方式登入 Azure 資訊保護。

若要取得存取權杖,請確定您從租使用者使用的帳戶未使用多重要素驗證 (MFA) 。 如需如何執行這項操作,請參閱範例 3。

您無法搭配 Credential 參數使用此參數。

類型:String
Position:Named
預設值:None
必要:False
接受管線輸入:False
接受萬用字元:False

-ApplicationID

指定服務主體的應用程式識別碼。

類型:String
Position:Named
預設值:None
必要:False
接受管線輸入:False
接受萬用字元:False

-CertificateThumbprint

針對有權執行指定動作的服務主體,指定數位公開金鑰 X.509 憑證的憑證指紋。

類型:String
Position:Named
預設值:None
必要:False
接受管線輸入:False
接受萬用字元:False

-Credential

指定 PSCredential 物件。 若要取得 PSCredential 物件,請使用 Get-Credential Cmdlet。 如需詳細資訊,請鍵入 Get-Help Get-Cmdlet

此 Cmdlet 會提示您提供密碼。

如果您的帳戶已設定為使用多重要素驗證, (MFA) ,則您無法搭配 AccessToken 參數使用此參數。

類型:PSCredential
Position:Named
預設值:None
必要:False
接受管線輸入:False
接受萬用字元:False

-EnvironmentName

指定主權雲端的 Azure 實例。 有效值為:

  • AzureCloud: Azure 的商業供應專案
  • AzureChinaCloud: 由 21Vianet 營運的 Azure
  • AzureUSGovernment:Azure Government

如需搭配Azure Government使用 Azure 資訊保護的詳細資訊,請參閱Azure 資訊保護 Premium Government 服務描述

類型:AzureRmEnvironment
接受的值:AzureCloud, AzureChinaCloud, AzureUSGovernment
Position:Named
預設值:None
必要:False
接受管線輸入:False
接受萬用字元:False

-ServicePrincipal

表示 Cmdlet 指定服務主體驗證。

服務主體必須使用指定的秘密來建立。

類型:SwitchParameter
Position:Named
預設值:None
必要:False
接受管線輸入:False
接受萬用字元:False

-TenantId

指定租用戶 GUID。 Cmdlet 會針對您由 GUID 指定的租使用者連線到 Azure 資訊保護。

如果您未指定此參數,Cmdlet 會連線到您帳戶所屬的租使用者。

類型:Guid
Position:Named
預設值:None
必要:False
接受管線輸入:False
接受萬用字元:False