Partager via


New-AipServiceRightsDefinition

Crée un objet de définition de droits pour un modèle de protection pour Azure Information Protection.

Syntaxe

New-AipServiceRightsDefinition
   [-EmailAddress <String>]
   [-DomainName <String>]
   -Rights <System.Collections.Generic.List`1[System.String]>
   [<CommonParameters>]

Description

L’applet de commande New-AipServiceRightsDefinition crée un objet de définition de droits que vous stockez en tant que variable, puis utilisez pour créer ou mettre à jour un modèle de protection pour Azure Information Protection lorsque vous utilisez l’applet de commande Add-AipServiceTemplateTemplateProperty ou Set-AipServiceTemplateProperty.

Un objet de définition de droits exprime les droits d’utilisation que les utilisateurs doivent contenir pour le contenu qu’Azure Information Protection protège. Vous pouvez spécifier un utilisateur, un groupe ou tous les utilisateurs d’une organisation.

Une configuration similaire peut également être effectuée lorsque vous créez ou configurez un modèle de protection dans le Portail Azure, mais cette applet de commande offre un contrôle plus précis. Toutefois, cette applet de commande ne prend pas en charge l’option d’utilisateurs authentifiés que vous pouvez sélectionner dans le Portail Azure.

Conseil : vous pouvez cette applet de commande pour activer la collaboration sécurisée avec d’autres organisations lorsqu’elles ont des comptes d’utilisateur dans Azure Active Directory et Office 365. Par exemple, fournissez un groupe externe VIEW et des droits DOCEDIT pour collaborer sur un projet conjoint. Ou fournissez des droits VIEW à tous les utilisateurs d’une organisation partenaire.

Pour plus d’informations sur les modèles de protection, notamment sur la façon de les configurer dans le Portail Azure, consultez Configuration et gestion des modèles pour Azure Information Protection.

Utilisation du client d’étiquetage unifié Azure Information Protection ?

Le client d’étiquetage unifié Azure Information Protection utilise indirectement des modèles de protection. Si vous avez le client d’étiquetage unifié, nous vous recommandons d’utiliser des applets de commande basées sur des étiquettes au lieu de modifier directement vos modèles de protection.

Pour plus d’informations, consultez Créer et publier des étiquettes de confidentialité dans la documentation Microsoft 365.

Exemples

Exemple 1 : Créer un objet de définition de droits pour un utilisateur

PS C:\>$R1 = New-AipServiceRightsDefinition -EmailAddress "ElisaDaugherty@Contoso.com" -Rights "VIEW","DOCEDIT"

Cette commande crée un objet de définition de droits pour l’utilisateur spécifié et stocke cette stratégie dans une variable nommée R1, qui peut ensuite être utilisée pour créer ou mettre à jour un modèle de protection.

La commande inclut les droits VIEW et DOCEDIT pour un utilisateur de l’organisation Contoso.

Exemple 2 : Créer un objet de définition de droits pour tous les utilisateurs

PS C:\>$R2 = New-AipServiceRightsDefinition -DomainName "Contoso.com" -Rights "VIEW"

Cette commande crée un objet de définition de droits pour l’organisation Contoso et stocke cette stratégie dans une variable nommée R2, qui peut ensuite être utilisée pour créer ou mettre à jour un modèle de protection. La commande inclut le droit VIEW pour tous les utilisateurs de l’organisation Contoso.

Exemple 3 : Créer un objet de définition de droits pour la configuration « Juste pour moi »

PS C:\>$R3 = New-AipServiceRightsDefinition -EmailAddress "IPC_USER_ID_OWNER" -Rights "OWNER"

Cette commande crée un objet de définition de droits qui applique une protection telle que seule la personne qui applique la protection peut ouvrir le document ou l’e-mail sans restrictions. Cette configuration est parfois appelée « Juste pour moi » et peut être le résultat requis afin qu’un utilisateur puisse enregistrer un fichier à n’importe quel emplacement et être assuré qu’il ne peut l’ouvrir que. Étant donné que seule la personne qui applique la protection peut ouvrir le contenu, cette configuration n’est pas adaptée au contenu nécessitant une collaboration.

Paramètres

-DomainName

Spécifie un nom de domaine pour votre organisation ou une autre organisation, à utiliser pour accorder des droits lorsque vous créez ou mettez à jour un modèle de protection. Lorsqu’une organisation a plusieurs domaines, il n’est pas important que le nom de domaine que vous spécifiez ; les utilisateurs de tous les domaines vérifiés pour cette organisation sont automatiquement inclus.

Spécifiez un nom de domaine uniquement pour tous les utilisateurs d’une organisation ; pour accorder des droits à plusieurs organisations, créez un autre objet de définition de droits.

Notez que pour que l’authentification réussisse pour Azure AD, l’utilisateur doit avoir un compte dans Azure Active Directory. Office 365 utilisateurs disposent automatiquement d’un compte dans Azure Active Directory.

Vous pouvez spécifier des noms de domaine à partir de fournisseurs sociaux (tels que gmail.com), mais l’authentification pour les comptes qui ne se trouvent pas dans Azure AD sont pris en charge uniquement pour les e-mails, et lorsque Exchange Online est configuré pour les nouvelles fonctionnalités pour Office 365 Chiffrement des messages.

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-EmailAddress

Spécifie l'adresse de messagerie d'un utilisateur ou d'un groupe. L’utilisateur ou le groupe peut être interne à votre organisation ou externe. Pour que l’authentification Azure AD réussisse, l’utilisateur doit avoir un compte dans Azure Active Directory. Office 365 utilisateurs disposent automatiquement d’un compte dans Azure Active Directory.

D’autres méthodes d’authentification incluent l’adresse e-mail d’un fournisseur social (par exemple, un compte Gmail) lorsque Exchange Online est configuré pour les nouvelles fonctionnalités de chiffrement des messages Office 365. Certaines applications prennent également en charge les adresses e-mail personnelles avec un compte Microsoft. Pour plus d’informations sur l’utilisation de comptes Microsoft pour l’authentification, consultez la table des scénarios pris en charge.

L’applet de commande associe les droits spécifiés par le paramètre Rights à l’utilisateur ou au groupe spécifié par l’adresse.

Conseil : Si vous souhaitez spécifier tous les utilisateurs de votre organisation ou tous les utilisateurs d’une autre organisation, utilisez le paramètre DomainName .

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-Rights

Spécifie une liste de droits. La liste contient un ou plusieurs des paramètres suivants :

  • VUE: Interprété par la plupart des applications comme autorisés à présenter les données à l’écran.

  • MODIFIER: Interprété par la plupart des applications comme autorisés à modifier du contenu dans le document et à l’enregistrer.

  • DOCEDIT : Interprété par la plupart des applications comme autorisé à modifier le contenu du document.

  • EXTRAIT: Interprété par la plupart des applications comme autorisés à copier le contenu dans le Presse-papiers ou à extraire le contenu dans un formulaire non chiffré.

  • OBJMODEL : Interprété par la plupart des applications comme autorisés à accéder au document par programmation ; par exemple, à l’aide de macros.

  • EXPORTATION: Interprété par la plupart des applications comme autorisé à enregistrer le fichier sous forme non chiffrée. Par exemple, ce droit vous permet d’enregistrer dans un autre format de fichier qui ne prend pas en charge la protection.

  • IMPRIMER: Interprété par la plupart des applications comme autorisés à imprimer le document.

  • PROPRIÉTAIRE: L’utilisateur a tous les droits sur le document, notamment la possibilité de supprimer la protection.

  • AVANT: Interprété par la plupart des applications comme autorisés à transférer un e-mail et à ajouter des destinataires aux lignes To et Cc.

  • RÉPONSE: Interprété par la plupart des applications comme autorisés à sélectionner la réponse à un e-mail, sans autoriser les modifications apportées aux lignes To ou Cc.

  • REPLYALL : Interprété par la plupart des applications comme autorisés à répondre à tous les destinataires d’un e-mail, mais ne permet pas à l’utilisateur d’ajouter des destinataires aux lignes To ou Cc.

Remarque : Pour plus de clarté, la documentation et l’affichage du texte du module affichent ces droits comme toutes les lettres majuscules. Les valeurs ne respectent toutefois pas la casse et vous pouvez les spécifier en minuscules ou en majuscules.

Pour plus d’informations sur les droits d’utilisation, consultez Configuration des droits d’utilisation pour Azure Information Protection.

Type:System.Collections.Generic.List`1[System.String]
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False