New-AipServiceRightsDefinition
Erstellt ein Rechtedefinitionsobjekt für eine Schutzvorlage für Azure Information Protection.
Syntax
New-AipServiceRightsDefinition
[-EmailAddress <String>]
[-DomainName <String>]
-Rights <System.Collections.Generic.List`1[System.String]>
[<CommonParameters>] Beschreibung
Das Cmdlet New-AipServiceRightsDefinition erstellt ein Rechtedefinition sobjekt, das Sie als Variable speichern und dann zum Erstellen oder Aktualisieren einer Schutzvorlage für Azure Information Protection verwenden, wenn Sie das Cmdlet Add-AipServiceTemplate oder Set-AipServiceTemplateProperty-Cmdlet verwenden.
Ein Rechtedefinitionsobjekt drückt die Nutzungsrechte aus, die Benutzer für Inhalte haben, die Azure Information Protection schützt. Sie können einen Benutzer, eine Gruppe oder alle Benutzer in einer Organisation angeben.
Eine ähnliche Konfiguration kann auch durchgeführt werden, wenn Sie eine Schutzvorlage im Azure-Portal erstellen oder konfigurieren, aber dieses Cmdlet bietet eine differenziertere Steuerung. Dieses Cmdlet unterstützt jedoch nicht die authentifizierten Benutzeroption, die Sie im Azure-Portal auswählen können.
Tipp: Sie können dieses Cmdlet verwenden, um die sichere Zusammenarbeit mit anderen Organisationen zu ermöglichen, wenn diese Benutzerkonten in Azure Active Directory und Office 365 haben. Stellen Sie beispielsweise eine externe Gruppe VIEW- und DOCEDIT-Rechte für die Zusammenarbeit an einem gemeinsamen Projekt bereit. Oder stellen Sie VIEW-Rechte für alle Benutzer in einer Partnerorganisation bereit.
Weitere Informationen zu Schutzvorlagen, einschließlich der Konfiguration im Azure-Portal, finden Sie unter Konfigurieren und Verwalten von Vorlagen für Azure Information Protection.
Verwenden des Azure Information Protection-Clients für einheitliche Bezeichnungen?
Der Azure Information Protection-Client für einheitliche Bezeichnungen verwendet Indirekt Schutzvorlagen. Wenn Sie über den Client für einheitliche Bezeichnungen verfügen, empfiehlt es sich, bezeichnungsbasierte Cmdlets zu verwenden, anstatt Ihre Schutzvorlagen direkt zu ändern.
Weitere Informationen finden Sie unter Erstellen und Veröffentlichen von Vertraulichkeitsbezeichnungen in der Microsoft 365-Dokumentation.
Beispiele
Beispiel 1: Erstellen eines Rechtedefinitionsobjekts für einen Benutzer
PS C:\>$R1 = New-AipServiceRightsDefinition -EmailAddress "ElisaDaugherty@Contoso.com" -Rights "VIEW","DOCEDIT"Mit diesem Befehl wird ein Rechtedefinitionsobjekt für den angegebenen Benutzer erstellt und diese Richtlinie in einer Variablen namens R1 gespeichert, die dann zum Erstellen oder Aktualisieren einer Schutzvorlage verwendet werden kann.
Der Befehl enthält die Rechte VIEW und DOCEDIT für einen Benutzer in der Contoso-Organisation.
Beispiel 2: Erstellen eines Rechtedefinitionsobjekts für alle Benutzer
PS C:\>$R2 = New-AipServiceRightsDefinition -DomainName "Contoso.com" -Rights "VIEW"Mit diesem Befehl wird ein Rechtedefinitionsobjekt für die Contoso-Organisation erstellt und diese Richtlinie in einer Variablen namens R2 gespeichert, die dann zum Erstellen oder Aktualisieren einer Schutzvorlage verwendet werden kann. Der Befehl enthält das Recht AUF ANSICHT für alle Benutzer in der Contoso-Organisation.
Beispiel 3: Erstellen eines Berechtigungsdefinitionsobjekts für die Konfiguration "Just for me"
PS C:\>$R3 = New-AipServiceRightsDefinition -EmailAddress "IPC_USER_ID_OWNER" -Rights "OWNER"Mit diesem Befehl wird ein Rechtedefinitionsobjekt erstellt, das Schutz anwendet, sodass nur die Person, die den Schutz anwendet, das Dokument oder die E-Mail ohne Einschränkungen öffnen kann. Diese Konfiguration wird manchmal als "Nur für mich" bezeichnet und kann das erforderliche Ergebnis sein, damit ein Benutzer eine Datei an einem beliebigen Speicherort speichern und sicher sein kann, dass nur er sie öffnen kann. Da nur die Person, die den Schutz anwendet, den Inhalt öffnen kann, eignet sich diese Konfiguration nicht für Inhalte, die eine Zusammenarbeit erfordern.
Parameter
-DomainName
Gibt einen Domänennamen für Ihre Organisation oder eine andere Organisation an, der zum Erteilen von Rechten verwendet werden soll, wenn Sie eine Schutzvorlage erstellen oder aktualisieren. Wenn eine Organisation über mehrere Domänen verfügt, spielt es keine Rolle, welchen Domänennamen Sie angeben; Benutzer aus allen überprüften Domänen für diese Organisation werden automatisch einbezogen.
Geben Sie nur einen Domänennamen für alle Benutzer in einer Organisation an. um mehreren Organisationen Rechte zu gewähren, erstellen Sie ein weiteres Berechtigungsdefinitionsobjekt.
Beachten Sie, dass der Benutzer für die erfolgreiche Authentifizierung für Azure AD über ein Konto in Azure Active Directory verfügen muss. Office 365-Benutzer verfügen automatisch über ein Konto in Azure Active Directory.
Sie können Domänennamen von Sozialen Anbietern (z. B. gmail.com) angeben, aber die Authentifizierung für Konten, die sich nicht in Azure AD befinden, werden nur für E-Mails unterstützt, und wenn Exchange Online für die neuen Funktionen für die Office 365-Nachrichtenverschlüsselung konfiguriert ist.
| Typ: | String |
| Position: | Named |
| Standardwert: | None |
| Erforderlich: | False |
| Pipelineeingabe akzeptieren: | False |
| Platzhalterzeichen akzeptieren: | False |
-EmailAddress
Gibt die E-Mail-Adresse eines Benutzers oder einer Gruppe an. Der Benutzer oder die Gruppe kann innerhalb Ihrer Organisation oder extern sein. Damit die Azure AD-Authentifizierung erfolgreich ist, muss der Benutzer über ein Konto in Azure Active Directory verfügen. Office 365-Benutzer verfügen automatisch über ein Konto in Azure Active Directory.
Andere Authentifizierungsmethoden umfassen E-Mail-Adressen von einem sozialen Anbieter (z. B. ein Gmail-Konto), wenn Exchange Online für die neuen Funktionen für die Office 365-Nachrichtenverschlüsselung konfiguriert ist. Einige Anwendungen unterstützen auch persönliche E-Mail-Adressen mit einem Microsoft-Konto. Weitere Informationen zur Verwendung von Microsoft-Konten für die Authentifizierung finden Sie in der tabelle unterstützten Szenarien.
Das Cmdlet ordnet die Rechte zu, die der Parameter Rights angibt, dem Benutzer oder der Gruppe, den die Adresse angibt.
Tipp: Wenn Sie alle Benutzer in Ihrer Organisation oder alle Benutzer in einer anderen Organisation angeben möchten, verwenden Sie den parameter DomainName.
| Typ: | String |
| Position: | Named |
| Standardwert: | None |
| Erforderlich: | False |
| Pipelineeingabe akzeptieren: | False |
| Platzhalterzeichen akzeptieren: | False |
-Rights
Gibt eine Liste der Rechte an. Die Liste enthält eine oder mehrere der folgenden Elemente:
ANSICHT: von den meisten Anwendungen interpretiert, da sie die Daten auf dem Bildschirm präsentieren dürfen.
BEARBEITEN: von den meisten Anwendungen interpretiert, da inhalte im Dokument geändert und gespeichert werden dürfen.
DOCEDIT: von den meisten Anwendungen interpretiert, da der Inhalt des Dokuments geändert werden darf.
EXTRACT: interpretiert von den meisten Anwendungen als zulässig, den Inhalt in die Zwischenablage zu kopieren oder den Inhalt anderweitig in unverschlüsselter Form zu extrahieren.
OBJMODEL: von den meisten Anwendungen interpretiert, da sie programmgesteuert auf das Dokument zugreifen dürfen; Beispielsweise mithilfe von Makros.
EXPORT: interpretiert von den meisten Anwendungen als erlaubt, die Datei in unverschlüsselter Form zu speichern. Mit diesem Recht können Sie beispielsweise in einem anderen Dateiformat speichern, das keinen Schutz unterstützt.
PRINT: von den meisten Anwendungen interpretiert, da das Dokument gedruckt werden darf.
BESITZER: Benutzer hat alle Rechte für das Dokument, einschließlich der Möglichkeit zum Entfernen des Schutzes.
WEITERLEITEN: von den meisten Anwendungen interpretiert als zulässig, eine E-Mail-Nachricht weiterzuleiten und Empfänger zu den Zeilen "An" und "Cc" hinzuzufügen.
ANTWORT: von den meisten Anwendungen interpretiert, da die Antwort auf eine E-Mail-Nachricht ausgewählt werden darf, ohne Dass Änderungen in den Zeilen "An" oder "Cc" zulässig sind.
REPLYALL: interpretiert von den meisten Anwendungen als zulässig, auf alle Empfänger einer E-Mail-Nachricht zu antworten, aber dem Benutzer nicht erlauben, Empfänger zu den Zeilen "An" oder "Cc" hinzuzufügen.
Hinweis: Aus Gründen der Übersichtlichkeit zeigt die Dokumentation und der Anzeigetext aus dem Modul diese Rechte als großgeschriebene Buchstaben an. Bei den Werten wird die Groß-/Kleinschreibung jedoch nicht beachtet, und Sie können sie in Klein- oder Großbuchstaben angeben.
Weitere Informationen zu den Nutzungsrechten finden Sie unter Konfigurieren von Nutzungsrechten für Azure Information Protection.
| Typ: | System.Collections.Generic.List`1[System.String] |
| Position: | Named |
| Standardwert: | None |
| Erforderlich: | True |
| Pipelineeingabe akzeptieren: | False |
| Platzhalterzeichen akzeptieren: | False |