New-AipServiceRightsDefinition
Crée un objet de définition de droits pour un modèle de protection pour Azure Information Protection.
Syntaxe
New-AipServiceRightsDefinition
[-EmailAddress <String>]
[-DomainName <String>]
-Rights <System.Collections.Generic.List`1[System.String]>
[<CommonParameters>] Description
La cmdlet
Un objet de définition de droits exprime les droits d’utilisation que les utilisateurs ont à contenu qu’Azure Information Protection protège. Vous pouvez spécifier un utilisateur, un groupe ou tous les utilisateurs d’une organisation.
Une configuration similaire peut également être effectuée lorsque vous créez ou configurez un modèle de protection dans le portail Azure, mais cette applet de commande offre un contrôle plus précis. Toutefois, cette applet de commande ne prend pas en charge les toute option d’utilisateurs authentifiées que vous pouvez sélectionner dans le portail Azure.
Conseil : vous pouvez cette applet de commande pour activer la collaboration sécurisée avec d’autres organisations lorsqu’elles ont des comptes d’utilisateur dans Azure Active Directory et Office 365. Par exemple, fournissez un groupe externe VIEW et des droits DOCEDIT pour collaborer sur un projet conjoint. Ou fournissez des droits VIEW à tous les utilisateurs d’une organisation partenaire.
Pour plus d’informations sur les modèles de protection, notamment sur la façon de les configurer dans le portail Azure, consultez Configuration et gestion des modèles pour Azure Information Protection.
Utiliser le client d’étiquetage unifié Azure Information Protection ?
Le client d’étiquetage unifié Azure Information Protection utilise indirectement des modèles de protection. Si vous disposez du client d’étiquetage unifié, nous vous recommandons d’utiliser des applets de commande basées sur des étiquettes au lieu de modifier directement vos modèles de protection.
Pour plus d’informations, consultez Créer et publier des étiquettes de confidentialité dans la documentation Microsoft 365.
Exemples
Exemple 1 : Créer un objet de définition de droits pour un utilisateur
PS C:\>$R1 = New-AipServiceRightsDefinition -EmailAddress "ElisaDaugherty@Contoso.com" -Rights "VIEW","DOCEDIT"Cette commande crée un objet de définition de droits pour l’utilisateur spécifié et stocke cette stratégie dans une variable nommée R1, qui peut ensuite être utilisée pour créer ou mettre à jour un modèle de protection.
La commande inclut les droits VIEW et DOCEDIT pour un utilisateur de l’organisation Contoso.
Exemple 2 : Créer un objet de définition de droits pour tous les utilisateurs
PS C:\>$R2 = New-AipServiceRightsDefinition -DomainName "Contoso.com" -Rights "VIEW"Cette commande crée un objet de définition de droits pour l’organisation Contoso et stocke cette stratégie dans une variable nommée R2, qui peut ensuite être utilisée pour créer ou mettre à jour un modèle de protection. La commande inclut le droit VIEW pour tous les utilisateurs de l’organisation Contoso.
Exemple 3 : Créer un objet de définition de droits pour la configuration « Juste pour moi »
PS C:\>$R3 = New-AipServiceRightsDefinition -EmailAddress "IPC_USER_ID_OWNER" -Rights "OWNER"Cette commande crée un objet de définition de droits qui applique la protection de telle sorte que seule la personne qui applique la protection puisse ouvrir le document ou l’e-mail sans restriction. Cette configuration est parfois appelée « Juste pour moi » et peut être le résultat requis afin qu’un utilisateur puisse enregistrer un fichier à n’importe quel emplacement et être assuré que seul il peut l’ouvrir. Étant donné que seule la personne qui applique la protection peut ouvrir le contenu, cette configuration n’est pas adaptée au contenu nécessitant une collaboration.
Paramètres
-DomainName
Spécifie un nom de domaine pour votre organisation ou une autre organisation, à utiliser pour accorder des droits lorsque vous créez ou mettez à jour un modèle de protection. Lorsqu’une organisation a plusieurs domaines, il n’importe pas quel nom de domaine vous spécifiez ; les utilisateurs de tous les domaines vérifiés pour cette organisation sont automatiquement inclus.
Spécifiez un nom de domaine uniquement pour tous les utilisateurs d’une organisation ; pour accorder des droits à plusieurs organisations, créez un autre objet de définition de droits.
Notez que pour que l’authentification réussisse pour Azure AD, l’utilisateur doit avoir un compte dans Azure Active Directory. Les utilisateurs d’Office 365 disposent automatiquement d’un compte dans Azure Active Directory.
Vous pouvez spécifier des noms de domaine à partir de fournisseurs sociaux (tels que gmail.com), mais l’authentification pour les comptes qui ne se trouvent pas dans Azure AD ne sont pris en charge que pour la messagerie électronique, et lorsque Exchange Online est configuré pour les nouvelles fonctionnalités pour le chiffrement des messages Office 365.
| Type: | String |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
-EmailAddress
Spécifie l’adresse e-mail d’un utilisateur ou d’un groupe. L’utilisateur ou le groupe peut être interne à votre organisation ou externe. Pour que l’authentification Azure AD réussisse, l’utilisateur doit avoir un compte dans Azure Active Directory. Les utilisateurs d’Office 365 disposent automatiquement d’un compte dans Azure Active Directory.
D’autres méthodes d’authentification incluent l’adresse e-mail d’un fournisseur social (par exemple, un compte Gmail) lorsque Exchange Online est configuré pour les nouvelles fonctionnalités pour le chiffrement des messages Office 365. Certaines applications prennent également en charge les adresses e-mail personnelles avec un compte Microsoft. Pour plus d’informations sur l’utilisation de comptes Microsoft pour l’authentification, consultez la table scénarios pris en charge.
L’applet de commande associe les droits spécifiés par le paramètre Rights
Conseil : si vous souhaitez spécifier tous les utilisateurs de votre organisation ou tous les utilisateurs d’une autre organisation, utilisez le paramètre DomainName.
| Type: | String |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
-Rights
Spécifie une liste de droits. La liste contient un ou plusieurs des éléments suivants :
VIEW : interprété par la plupart des applications comme autorisé à présenter les données à l’écran.
EDIT : interprété par la plupart des applications comme autorisé à modifier le contenu du document et à l’enregistrer.
DOCEDIT : interprété par la plupart des applications comme autorisé à modifier le contenu du document.
EXTRACT : interprété par la plupart des applications comme autorisé à copier le contenu dans le Presse-papiers ou à extraire le contenu dans un formulaire non chiffré.
OBJMODEL : interprété par la plupart des applications comme autorisé à accéder au document par programmation ; par exemple, à l’aide de macros.
EXPORT : interprété par la plupart des applications comme autorisé à enregistrer le fichier sous forme non chiffrée. Par exemple, ce droit vous permet d’enregistrer dans un autre format de fichier qui ne prend pas en charge la protection.
PRINT : interprété par la plupart des applications comme autorisé à imprimer le document.
OWNER :'utilisateur dispose de tous les droits sur le document, y compris la possibilité de supprimer la protection.
FORWARD : interprété par la plupart des applications comme autorisés à transférer un e-mail et à ajouter des destinataires aux lignes To et Cc.
REPLY : interprété par la plupart des applications comme autorisés à sélectionner répondre à un message électronique, sans autoriser les modifications apportées aux lignes To ou Cc.
REPLYALL : interprété par la plupart des applications comme autorisés à répondre à tous les destinataires d’un e-mail, mais n’autorise pas l’utilisateur à ajouter des destinataires aux lignes To ou Cc.
Remarque : Pour plus de clarté, la documentation et l’affichage du texte du module affichent ces droits sous forme de lettres majuscules. Toutefois, les valeurs ne respectent pas la casse et vous pouvez les spécifier en minuscules ou en majuscules.
Pour plus d’informations sur les droits d’utilisation, consultez Configuration des droits d’utilisation pour Azure Information Protection.
| Type: | System.Collections.Generic.List`1[System.String] |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | True |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |