Partager via


Connect-AipService

Se connecte à Azure Information Protection.

Syntaxe

Connect-AipService
       [-Credential <PSCredential>]
       [-TenantId <Guid>]
       [<CommonParameters>]
Connect-AipService
       [-AccessToken <String>]
       [-TenantId <Guid>]
       [<CommonParameters>]
Connect-AipService
       [-EnvironmentName <AzureRmEnvironment>]
       [<CommonParameters>]

Description

L’applet de commande Connect-AipService vous connecte à Azure Information Protection afin que vous puissiez ensuite exécuter des commandes d’administration pour le service de protection de votre locataire. Cette applet de commande peut également être utilisée par une société partenaire qui gère votre locataire.

Vous devez exécuter cette applet de commande avant de pouvoir exécuter les autres applets de commande de ce module.

Pour vous connecter à Azure Information Protection, utilisez un compte qui est l’un des éléments suivants :

  • Administrateur général de votre locataire Office 365.
  • Administrateur général de votre locataire Azure AD. Toutefois, ce compte ne peut pas être un compte Microsoft (MSA) ou d’un autre locataire Azure.
  • Un compte d’utilisateur de votre locataire qui a reçu des droits d’administration pour Azure Information Protection à l’aide de l’applet de commande Add-AipServiceRoleBasedAdministrator.
  • Rôle d’administrateur Azure AD de l’administrateur Azure Information Protection, de l’administrateur de conformité ou de l’administrateur des données de conformité.

Conseil

Si vous n’êtes pas invité à entrer vos informations d’identification et que vous voyez un message d’erreur tel que Impossible d’utiliser cette fonctionnalité sans informations d’identification, vérifiez qu’Internet Explorer est configuré pour utiliser l’authentification intégrée Windows.

Si ce paramètre n’est pas activé, activez-le, redémarrez Internet Explorer, puis réessayez l’authentification auprès du service Information Protection.

Exemples

Exemple 1 : Se connecter à Azure Information Protection et être invité à entrer votre nom d’utilisateur et d’autres informations d’identification

PS C:\> Connect-AipService

Cette commande se connecte au service de protection à partir d’Azure Information Protection. Il s’agit du moyen le plus simple de se connecter au service, en exécutant l’applet de commande sans paramètres.

Vous êtes invité à entrer votre nom d’utilisateur et votre mot de passe. Si votre compte est configuré pour utiliser l’authentification multifacteur, vous êtes alors invité à entrer votre autre méthode d’authentification, puis connecté au service.

Si votre compte est configuré pour utiliser l’authentification multifacteur, vous devez utiliser cette méthode pour vous connecter à Azure Information Protection.

Exemple 2 : Se connecter à Azure Information Protection avec des informations d’identification stockées

PS C:\>$AdminCredentials = Get-Credential "Admin@aadrm.contoso.com"
PS C:\> Connect-AipService -Credential $AdminCredentials

La première commande crée un objet PSCredential et stocke votre nom d’utilisateur et votre mot de passe spécifiés dans la variable $AdminCredentials . Lorsque vous exécutez cette commande, vous êtes invité à entrer le mot de passe du nom d’utilisateur que vous avez spécifié.

La deuxième commande se connecte à Azure Information Protection à l’aide des informations d’identification stockées dans $AdminCredentials. Si vous vous déconnectez du service et reconnectez-vous pendant que la variable est toujours en cours d’utilisation, réexécutez simplement la deuxième commande.

Exemple 3 : Se connecter à Azure Information Protection avec un jeton

PS C:\ > Add-Type -Path "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.1\Microsoft.IdentityModel.Clients.ActiveDirectory.dll"
PS C:\ > $clientId='90f610bf-206d-4950-b61d-37fa6fd1b224';
PS C:\ > $resourceId = 'https://api.aadrm.com/';
PS C:\ > $userName='admin@contoso.com';
PS C:\ > $password='Passw0rd!';
PS C:\ > $authority = "https://login.microsoftonline.com/common";
PS C:\ > $authContext = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext($authority);
PS C:\ > $userCreds = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.UserPasswordCredential($userName, $password);
PS C:\ > $authResult = [Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContextIntegratedAuthExtensions]::AcquireTokenAsync($authContext, $resourceId, $clientId, $userCreds).Result;
PS C:\ > Import-Module AIPService
PS C:\> Connect-AipService -AccessToken $authResult.AccessToken

Cet exemple montre comment vous pouvez vous connecter à Azure Information Protection à l’aide du paramètre AccessToken, qui vous permet de vous authentifier sans invite. Cette méthode de connexion vous oblige à spécifier l’ID client 90f610bf-206d-4950-b61d-37fa6fd1b224 et l’ID *https://api.aadrm.com/*de ressource. Une fois la connexion ouverte, vous pouvez ensuite exécuter les commandes d’administration à partir de ce module dont vous avez besoin.

Une fois que vous avez confirmé que ces commandes aboutissent à la connexion à Azure Information Protection, vous pouvez les exécuter de manière non interactive, par exemple à partir d’un script.

Notez que, à des fins d’illustration, cet exemple utilise le nom d’utilisateur avec le mot de admin@contoso.com passe de Passw0rd! Dans un environnement de production lorsque vous utilisez cette méthode de connexion de manière non interactive, utilisez des méthodes supplémentaires pour sécuriser le mot de passe afin qu’il ne soit pas stocké en texte clair. Par exemple, utilisez la commande ConvertTo-SecureString ou utilisez Key Vault pour stocker le mot de passe en tant que secret.

Exemple 4 : Se connecter à Azure Information Protection avec un certificat client via l’authentification du principal de service

PS C:\ > $Thumbprint = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\> Connect-AipService -CertificateThumbprint $Thumbprint -ApplicationId $ApplicationId -TenantId $TenantId -ServicePrincipal

Cet exemple se connecte à un compte Azure à l’aide de l’authentification du principal de service basé sur un certificat. Le principal de service utilisé pour l’authentification doit être créé avec le certificat spécifié.

Conditions préalables pour cet exemple :

  • Vous devez mettre à jour le module PowerShell AIPService vers la version 1.0.05 ou ultérieure.
  • Pour activer l’authentification du principal de service, vous devez ajouter des autorisations d’API de lecture (Application.Read.All) au principal de service.

Pour plus d’informations, consultez Autorisations d’API requises - Protection des données Microsoft SDK et Utiliser Azure PowerShell pour créer un principal de service avec un certificat.

Exemple 5 : Se connecter à Azure Information Protection avec une clé secrète client via l’authentification du principal de service

PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\ > $Credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $ApplicationId, $SecuredPassword
PS C:\ > Connect-AipService -Credential $Credential -TenantId $TenantId -ServicePrincipal

Dans cet exemple :

  • La première commande vous invite à entrer vos informations d’identification et les stocke sous la forme de variable $Credential. Une fois promu, entrez votre ID d’application pour la valeur du nom d’utilisateur et le secret du principal de service comme mot de passe.
  • La deuxième commande se connecte au locataire Azure spécifié à l’aide des informations d’identification du principal de service stockées dans la $Credential variable. Le ServicePrincipal paramètre switch indique que le compte s’authentifie en tant que principal de service.

Pour activer l’authentification du principal de service, vous devez ajouter des autorisations d’API de lecture (Application.Read.All) au principal de service. Pour plus d’informations, consultez Autorisations d’API requises - Protection des données Microsoft SDK.

Paramètres

-AccessToken

Utilisez ce paramètre pour vous connecter à Azure Information Protection à l’aide d’un jeton que vous achetez à partir d’Azure Active Directory, à l’aide de l’ID client 90f610bf-206d-4950-b61d-37fa6fd1b224 et de l’ID https://api.aadrm.com/de ressource. Cette méthode de connexion vous permet de vous connecter à Azure Information Protection de manière non interactive.

Pour obtenir le jeton d’accès, assurez-vous que le compte que vous utilisez à partir de votre locataire n’utilise pas l’authentification multifacteur (MFA). Consultez l’exemple 3 pour savoir comment procéder.

Vous ne pouvez pas utiliser ce paramètre avec le paramètre Credential .

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-ApplicationID

Spécifie l’ID d’application du principal de service.

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-CertificateThumbprint

Spécifie l’empreinte numérique du certificat d’un certificat X.509 de clé publique numérique pour un principal de service disposant des autorisations nécessaires pour effectuer l’action donnée.

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-Credential

Spécifie un objet PSCredential . Pour obtenir un objet PSCredential, utilisez l'applet de commande Get-Credential. Pour plus d'informations, voir Get-Help Get-Cmdlet.

L'applet de commande vous invite à entrer un mot de passe.

Vous ne pouvez pas utiliser ce paramètre avec le paramètre AccessToken et ne l’utilisez pas si votre compte est configuré pour utiliser l’authentification multifacteur (MFA).

Type:PSCredential
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-EnvironmentName

Spécifie l’instance Azure pour les clouds souverains. Les valeurs autorisées sont :

  • AzureCloud : Offre commerciale d’Azure
  • AzureChinaCloud : Azure géré par 21Vianet
  • AzureUSGovernment : Azure Government

Pour plus d’informations sur l’utilisation d’Azure Information Protection avec Azure Government, consultez la description du service Azure Information Protection Premium Government.

Type:AzureRmEnvironment
Valeurs acceptées:AzureCloud, AzureChinaCloud, AzureUSGovernment
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-ServicePrincipal

Indique que l’applet de commande spécifie l’authentification du principal de service.

Le principal de service doit être créé avec le secret spécifié.

Type:SwitchParameter
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-TenantId

Spécifie le GUID du locataire. L’applet de commande se connecte à Azure Information Protection pour le locataire que vous spécifiez par GUID.

Si vous ne spécifiez pas ce paramètre, l’applet de commande se connecte au locataire auquel appartient votre compte.

Type:Guid
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False