Set-AipServiceOnboardingControlPolicy

設定 Azure 資訊保護的使用者上線控制原則。

Syntax

Set-AipServiceOnboardingControlPolicy
   [-Force]
   -UseRmsUserLicense <Boolean>
   [-SecurityGroupObjectId <Guid>]
   [-Scope <OnboardingControlPolicyScope>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

Description

Set-AipServiceOnboardingControlPolicy Cmdlet 會設定原則,控制使用者上線 Azure 資訊保護。 此 Cmdlet 支援逐步部署,方法是控制組織中的哪些使用者可以使用 Azure 資訊保護來保護內容。

您必須使用 PowerShell 來設定此設定;您無法使用管理入口網站來執行此設定。

此控制可以根據服務中指派的使用者授權或指定安全性群組中的成員資格進行。 您也可以定義原則是否只套用到行動裝置、只套用到 Windows 用戶端,或同時套用到行動裝置和 Windows 用戶端。

如果您使用指派的授權選項,您可以使用 Microsoft 365 系統管理中心 或使用 Azure PowerShell Azure AD PowerShell 管理模組中的Set-MsolUserLicense Cmdlet,將授權指派給使用者。 您也可以使用 Get-MsolAccountSku Cmdlet 來取得可在組織中指派的不同授權類型。

如果您使用群組成員資格選項,則必須指定安全性群組,而不需要啟用郵件,而且可以包含其他群組。 若要指定群組,請使用群組 GUID。 如需使用者和群組需求以及如何尋找群組 GUID 的詳細資訊,請參閱準備 Azure 資訊保護的使用者和群組

如需 Azure AD PowerShell Cmdlet 的詳細資訊,請參閱 Azure Active Directory PowerShell

注意

此 Cmdlet 不會阻止使用者取用受保護的內容,或防止系統管理員設定 Azure 資訊保護 (的服務,例如,Exchange Online郵件流程規則或 SharePoint 保護的程式庫) 。

相反地,它是專為 Office 之類的使用者應用程式所設計,讓使用者看不到使用 Azure 資訊保護的選項或範本。

範例

範例 1:將 Azure 資訊保護限制為具有授權且屬於指定群組成員的使用者

PS C:\> Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope All

此命令會將 Azure 資訊保護設定為只允許擁有 Azure Rights Management 授權的使用者使用 Azure 資訊保護來保護內容。 此外,命令會要求使用者成為具有指定物件識別碼之安全性群組的成員。 此限制適用于 Windows 用戶端和行動裝置。

範例 2:將 Azure 資訊保護限制為指定群組成員的使用者

PS C:\> Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope All

此命令只允許具有指定物件識別碼之安全性群組成員的使用者,以使用 Azure 資訊保護來保護內容。 此命令適用於 Windows 用戶端與行動裝置。

範例 3:將 Azure 資訊保護限制為具有 Azure Rights Management 授權的使用者

PS C:\> Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True -Scope All

此命令只允許指派 Azure Rights Management 授權的使用者使用 Azure 資訊保護來保護內容。 此命令適用於 Windows 用戶端與行動裝置。

範例 4:不要限制使用者的 Azure 資訊保護

PS C:\> Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -Scope All

此命令可讓所有使用者使用 Azure 資訊保護來保護內容。 此命令適用於 Windows 用戶端與行動裝置。

參數

-Confirm

在執行 Cmdlet 前提示您確認。

Type:SwitchParameter
Aliases:cf
Position:Named
Default value:False
Accept pipeline input:False
Accept wildcard characters:False

-Force

指出即使組織已經有加入控制原則,此 Cmdlet 仍會設定加入控制原則。

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-Scope

指定適用加入原則的應用程式類型。

有效值為:

  • 全部
  • WindowsApp
  • MobileApp
Type:OnboardingControlPolicyScope
Accepted values:All, WindowsApp, MobileApp
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-SecurityGroupObjectId

指定 Azure AD 中安全性群組的物件識別碼。 如果您嘗試指定通訊群組的物件識別碼,您會看到錯誤。

指定的群組會限制哪些使用者可以使用 Azure 資訊保護來保護內容。 如果您也啟用授權強制執行,則只有已指派 Azure Rights Management 授權且屬於此指定群組成員的使用者才能使用 Azure 資訊保護來保護內容。

您可以使用此參數來實作 Azure 資訊保護的階段式部署,即使所有使用者都有指派 Azure Rights Management 授權也一樣。

Type:Guid
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-UseRmsUserLicense

指定沒有指派 Azure Rights Management 授權的使用者是否可以使用 Azure 資訊保護來保護內容。 無論此設定及其授權指派為何,使用者一律可以使用 Azure 資訊保護來取用受保護的內容。

Type:Boolean
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-WhatIf

顯示執行 Cmdlet 後會發生的情況。

Cmdlet 並不會執行。

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:False
Accept pipeline input:False
Accept wildcard characters:False