Connect-AipService
連線到 Azure 資訊保護。
語法
Connect-AipService
[-Credential <PSCredential>]
[-TenantId <Guid>]
[<CommonParameters>] Connect-AipService
[-AccessToken <String>]
[-TenantId <Guid>]
[<CommonParameters>] Connect-AipService
[-EnvironmentName <AzureRmEnvironment>]
[<CommonParameters>] Description
Connect-AipService Cmdlet 會將您連線到 Azure 資訊保護,以便您接著為租使用者的保護服務執行系統管理命令。 此 Cmdlet 也可供為您管理租用戶的合作夥伴公司使用。
您必須先執行此 Cmdlet,才能執行此課程模組中的其他 Cmdlet。
若要連線到 Azure 資訊保護,請使用下列其中一個帳戶:
- Office 365租使用者的全域管理員。
- Azure AD 租使用者的全域管理員。 不過,此帳戶不能是 MICROSOFT 帳戶 (MSA) 或其他 Azure 租使用者。
- 租使用者中已使用Add-AipServiceRoleBasedAdministrator Cmdlet授與 Azure 資訊保護系統管理許可權的使用者帳戶。
- Azure 資訊保護系統管理員、合規性系統管理員或合規性資料管理員的 Azure AD 系統管理員角色。
提示
如果您未提示您輸入認證,且看到錯誤訊息,例如 [在沒有認證的情況下無法使用此功能],請確認 Internet Explorer 已設定為使用 Windows 整合式驗證。
如果未啟用此設定,請加以啟用、重新開機 Internet Explorer,然後重試驗證至資訊保護服務。
範例
範例 1:連線到 Azure 資訊保護,並提示您輸入使用者名稱和其他認證
PS C:\> Connect-AipService此命令會從 Azure 資訊保護連線到保護服務。 這是透過執行不含參數的 Cmdlet 來連線到服務的最簡單方式。
系統會提示您輸入使用者名稱和密碼。 如果您的帳戶設定為使用多重要素驗證,系統會提示您輸入替代的驗證方法,然後連線到服務。
如果您的帳戶設定為使用多重要素驗證,您必須使用此方法連線到 Azure 資訊保護。
範例 2:使用預存認證連線到 Azure 資訊保護
PS C:\>$AdminCredentials = Get-Credential "Admin@aadrm.contoso.com"
PS C:\> Connect-AipService -Credential $AdminCredentials第一個命令會建立 PSCredential 物件,並將您指定的使用者名稱和密碼儲存在 $AdminCredentials 變數中。 當您執行此命令時,系統會提示您輸入所指定使用者名稱的密碼。
第二個命令會使用儲存在 $AdminCredentials 中的認證來連線到 Azure資訊保護。 如果您中斷與服務的連接,並在變數仍在使用中時重新連線,只要重新執行第二個命令即可。
範例 3:使用權杖連線到 Azure 資訊保護
PS C:\ > Add-Type -Path "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.1\Microsoft.IdentityModel.Clients.ActiveDirectory.dll"
PS C:\ > $clientId='90f610bf-206d-4950-b61d-37fa6fd1b224';
PS C:\ > $resourceId = 'https://api.aadrm.com/';
PS C:\ > $userName='admin@contoso.com';
PS C:\ > $password='Passw0rd!';
PS C:\ > $authority = "https://login.microsoftonline.com/common";
PS C:\ > $authContext = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext($authority);
PS C:\ > $userCreds = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.UserPasswordCredential($userName, $password);
PS C:\ > $authResult = [Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContextIntegratedAuthExtensions]::AcquireTokenAsync($authContext, $resourceId, $clientId, $userCreds).Result;
PS C:\ > Import-Module AIPService
PS C:\> Connect-AipService -AccessToken $authResult.AccessToken此範例示範如何使用AccessToken參數連線到 Azure 資訊保護,這可讓您在沒有提示的情況下進行驗證。 此連線方法需要您指定用戶端識別碼 90f610bf-206d-4950-b61d-37fa6fd1b224 和資源識別碼 *https://api.aadrm.com/* 。 連線開啟之後,您就可以從此模組執行您需要的系統管理命令。
確認這些命令導致成功連線到 Azure 資訊保護之後,您可以從腳本以非互動方式執行這些命令。
請注意,為了說明目的,此範例會使用 的使用者名稱 admin@contoso.com 搭配 Passw0rd 的密碼! 在生產環境中,當您以非互動方式使用此連線方法時,請使用其他方法來保護密碼,使其不會以純文字儲存。 例如,使用ConvertTo-SecureString命令或使用金鑰保存庫將密碼儲存為秘密。
範例 4:透過服務主體驗證使用用戶端憑證連線到 Azure 資訊保護
PS C:\ > $Thumbprint = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\> Connect-AipService -CertificateThumbprint $Thumbprint -ApplicationId $ApplicationId -TenantId $TenantId -ServicePrincipal此範例會使用憑證式服務主體驗證來連線到 Azure 帳戶。 用於驗證的服務主體必須使用指定的憑證來建立。
此範例的必要條件:
- 您必須將 AIPService PowerShell 模組更新為 1.0.05 版或更新版本。
- 若要啟用服務主體驗證,您必須將讀取 API 許可權 (Application.Read.All) 新增至服務主體。
如需詳細資訊,請參閱必要的 API 許可權 - Microsoft 資訊保護 SDK和使用Azure PowerShell 建立具有憑證的服務主體。
範例 5:透過服務主體驗證使用用戶端密碼連線到 Azure 資訊保護
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\ > $Credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $ApplicationId, $SecuredPassword
PS C:\ > Connect-AipService -Credential $Credential -TenantId $TenantId -ServicePrincipal在此範例中:
- 第一個命令會提示您提供服務主體認證,並將其儲存在
$Credential變數中。 升級時,請輸入您的應用程式識別碼作為使用者名稱值,並將服務主體密碼輸入為密碼。 - 第二個命令會使用儲存在 變數中的
$Credential服務主體認證,連線到指定的 Azure 租使用者。ServicePrincipalswitch 參數表示帳戶會驗證為服務主體。
若要啟用服務主體驗證,您必須將讀取 API 許可權 (Application.Read.All) 新增至服務主體。 如需詳細資訊,請參閱必要的 API 許可權 - Microsoft 資訊保護 SDK。
參數
-AccessToken
使用此參數,使用您從 Azure Active Directory 取得的權杖,使用用戶端識別碼90f610bf-206d-4950-b61d-37fa6fd1b224和資源識別碼 https://api.aadrm.com/ 來連線到 Azure 資訊保護。 此連線方法可讓您以非互動方式登入 Azure 資訊保護。
若要取得存取權杖,請確定您從租使用者使用的帳戶未使用多重要素驗證 (MFA) 。 如需如何執行這項操作,請參閱範例 3。
您無法搭配 Credential 參數使用此參數。
| 類型: | String |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-ApplicationID
指定服務主體的應用程式識別碼。
| 類型: | String |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-CertificateThumbprint
針對有權執行指定動作的服務主體,指定數位公開金鑰 X.509 憑證的憑證指紋。
| 類型: | String |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-Credential
指定 PSCredential 物件。 若要取得 PSCredential 物件,請使用 Get-Credential Cmdlet。 如需詳細資訊,請鍵入 Get-Help Get-Cmdlet。
此 Cmdlet 會提示您提供密碼。
如果您的帳戶已設定為使用多重要素驗證, (MFA) ,則您無法搭配 AccessToken 參數使用此參數。
| 類型: | PSCredential |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-EnvironmentName
指定主權雲端的 Azure 實例。 有效值為:
- AzureCloud: Azure 的商業供應專案
- AzureChinaCloud: 由 21Vianet 營運的 Azure
- AzureUSGovernment:Azure Government
如需搭配Azure Government使用 Azure 資訊保護的詳細資訊,請參閱Azure 資訊保護 Premium Government 服務描述。
| 類型: | AzureRmEnvironment |
| 接受的值: | AzureCloud, AzureChinaCloud, AzureUSGovernment |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-ServicePrincipal
表示 Cmdlet 指定服務主體驗證。
服務主體必須使用指定的秘密來建立。
| 類型: | SwitchParameter |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-TenantId
指定租用戶 GUID。 Cmdlet 會針對您由 GUID 指定的租使用者連線到 Azure 資訊保護。
如果您未指定此參數,Cmdlet 會連線到您帳戶所屬的租使用者。
| 類型: | Guid |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |