共用方式為


New-AipServiceRightsDefinition

為 Azure 資訊保護的保護範本建立許可權定義物件。

語法

New-AipServiceRightsDefinition
   [-EmailAddress <String>]
   [-DomainName <String>]
   -Rights <System.Collections.Generic.List`1[System.String]>
   [<CommonParameters>]

Description

當您使用Add-AipServiceTemplate 或 Set-AipServiceTemplateProperty Cmdlet 時,New-AipServiceRightsDefinition Cmdlet 會建立您儲存為變數的許可權定義物件,然後使用 來建立或更新 Azure 資訊保護的保護範本。

許可權定義物件表示使用者對 Azure 資訊保護所保護內容的許可權。 您可以指定組織中的使用者、群組或所有使用者。

當您在Azure 入口網站中建立或設定保護範本時,也可以進行類似的設定,但此 Cmdlet 提供更精細的控制。 不過,此 Cmdlet 不支援您可以在Azure 入口網站中選取的任何已驗證使用者選項

提示:您可以在此 Cmdlet 在 Azure Active Directory 中具有使用者帳戶並Office 365時,啟用與其他組織的安全共同作業。 例如,提供外部群組 VIEW 和 DOCEDIT 許可權,以便在聯合專案上共同作業。 或者,為合作夥伴組織中的所有使用者提供 VIEW 許可權。

如需保護範本的詳細資訊,包括如何在Azure 入口網站中設定範本,請參閱設定和管理 Azure 資訊保護的範本

使用 Azure 資訊保護統一標籤用戶端?

Azure 資訊保護統一標籤用戶端會間接使用保護範本。 如果您有統一標籤用戶端,建議您使用以標籤為基礎的 Cmdlet,而不是直接修改您的保護範本。

如需詳細資訊,請參閱 Microsoft 365 檔中的 建立和發佈敏感度標籤

範例

範例 1:為使用者建立許可權定義物件

PS C:\>$R1 = New-AipServiceRightsDefinition -EmailAddress "ElisaDaugherty@Contoso.com" -Rights "VIEW","DOCEDIT"

此命令會為指定的使用者建立許可權定義物件,並將此原則儲存在名為 R1 的變數中,然後可用來建立或更新保護範本。

此命令包含 Contoso 組織中使用者的許可權 VIEW 和 DOCEDIT。

範例 2:為所有使用者建立許可權定義物件

PS C:\>$R2 = New-AipServiceRightsDefinition -DomainName "Contoso.com" -Rights "VIEW"

此命令會建立 Contoso 組織的許可權定義物件,並將此原則儲存在名為 R2 的變數中,然後可用來建立或更新保護範本。 此命令包含 Contoso 組織中所有使用者的 VIEW 許可權。

範例 3:為 「Just for me」 組態建立許可權定義物件

PS C:\>$R3 = New-AipServiceRightsDefinition -EmailAddress "IPC_USER_ID_OWNER" -Rights "OWNER"

此命令會建立套用保護的許可權定義物件,如此一來,只有套用保護的人員才能開啟檔或電子郵件,且沒有任何限制。 此設定有時稱為「僅供我使用」,而且可能是必要的結果,讓使用者可以將檔案儲存到任何位置,並確保只能開啟檔案。 因為只有套用保護的人員可以開啟內容,所以此設定不適用於需要共同作業的內容。

參數

-DomainName

指定組織或其他組織的功能變數名稱,以用於建立或更新保護範本時授與許可權。 當組織有多個網域時,您指定的功能變數名稱並不重要;系統會自動包含來自該組織所有已驗證網域的使用者。

只為組織中的所有使用者指定一個功能變數名稱;若要授與多個組織的許可權,請建立另一個許可權定義物件。

請注意,若要讓 Azure AD 驗證成功,使用者必須在 Azure Active Directory 中擁有帳戶。 Office 365使用者在 Azure Active Directory 中自動擁有帳戶。

您可以指定來自社交提供者的功能變數名稱 (,例如 gmail.com) ,但僅支援 Azure AD 中帳戶的驗證,以及針對Office 365訊息加密的新功能設定Exchange Online時。

類型:String
Position:Named
預設值:None
必要:False
接受管線輸入:False
接受萬用字元:False

-EmailAddress

指定使用者或群組的電子郵件地址。 使用者或群組可以是組織內部或外部使用者。 若要讓 Azure AD 驗證成功,使用者必須在 Azure Active Directory 中擁有帳戶。 Office 365使用者在 Azure Active Directory 中自動擁有帳戶。

其他驗證方法包括來自社交提供者的電子郵件地址 (例如,當Exchange Online設定為Office 365郵件加密的新功能時,Gmail 帳戶) 。 有些應用程式也支援使用 Microsoft 帳戶的個人電子郵件地址。 如需使用 Microsoft 帳戶進行驗證的詳細資訊,請參閱 支援的案例資料表

Cmdlet 會將 Rights 參數所指定的許可權與位址所指定的使用者或群組產生關聯。

提示:如果您想要指定組織中的所有使用者或另一個組織中的所有使用者,請使用 DomainName 參數。

類型:String
Position:Named
預設值:None
必要:False
接受管線輸入:False
接受萬用字元:False

-Rights

指定權限清單。 清單中包含下列一或多個動作:

  • 視圖: 由大部分應用程式解譯為允許在螢幕上呈現資料。

  • 編輯: 由大部分應用程式解譯為允許修改檔中的內容,並加以儲存。

  • DOCEDIT: 由大部分應用程式解譯為允許修改檔的內容。

  • 提取: 由大部分應用程式解譯為允許將內容複寫到剪貼簿,或以未加密的形式擷取內容。

  • OBJMODEL: 由大部分應用程式解譯為允許以程式設計方式存取檔;例如,使用宏。

  • 出口: 由大部分應用程式解譯為允許以未加密形式儲存檔案。 例如,此許可權可讓您以不支援保護的不同檔案格式儲存。

  • 列印: 由大部分應用程式解譯為允許列印檔案。

  • 擁有者: 使用者具有檔的擁有權限,包括移除保護的能力。

  • 向前: 由大部分應用程式解譯為允許轉寄電子郵件訊息,以及將收件者新增至 [收件者] 和 [副本] 行。

  • 答覆: 由大部分應用程式解譯為允許選取回復電子郵件訊息,而不允許變更 [收件者] 或 [副本] 行。

  • REPLYALL: 由大部分應用程式解譯為允許回復電子郵件訊息的所有收件者,但不允許使用者將收件者新增至 [收件者] 或 [副本] 行。

注意:為了清楚起見,模組中的檔和顯示文字會將這些許可權顯示為全部大寫字母。 但這些值並不區分大小寫,用大寫或小寫來指定皆可。

如需許可權的詳細資訊,請參閱設定 Azure 資訊保護的許可權

類型:System.Collections.Generic.List`1[System.String]
Position:Named
預設值:None
必要:True
接受管線輸入:False
接受萬用字元:False