次の方法で共有


New-AipServiceRightsDefinition

Azure Information Protectionの保護テンプレートの権限定義オブジェクトを作成します。

構文

New-AipServiceRightsDefinition
   [-EmailAddress <String>]
   [-DomainName <String>]
   -Rights <System.Collections.Generic.List`1[System.String]>
   [<CommonParameters>]

説明

New-AipServiceRightsDefinition コマンドレットは、変数として格納する権限定義オブジェクトを作成し、Add-AipServiceTemplate または Set-AipServiceTemplateProperty コマンドレットを使用するときに Azure Information Protectionの保護テンプレートを作成または更新するために使用します。

権限定義オブジェクトは、Azure Information Protectionが保護するコンテンツに対してユーザーが持つ使用権限を表します。 ユーザー、グループ、または組織内のすべてのユーザーを指定できます。

同様の構成は、Azure portalで保護テンプレートを作成または構成するときにも実行できますが、このコマンドレットではよりきめ細かな制御が提供されます。 ただし、このコマンドレットは、Azure portalで選択できる認証済みユーザー オプションをサポートしていません。

ヒント: このコマンドレットを使用すると、Azure Active Directory とOffice 365にユーザー アカウントがある場合に、他の組織との安全なコラボレーションを有効にすることができます。 たとえば、共同プロジェクトで共同作業を行うための外部グループ VIEW 権限と DOCEDIT 権限を指定します。 または、パートナー組織のすべてのユーザーに VIEW 権限を提供します。

Azure portalで構成する方法など、保護テンプレートの詳細については、「Azure Information Protection のテンプレートの構成と管理」を参照してください。

Azure Information Protection統合ラベル付けクライアントを使用していますか?

Azure Information Protection統合ラベル付けクライアントは、保護テンプレートを間接的に使用します。 統合ラベル付けクライアントがある場合は、保護テンプレートを直接変更するのではなく、ラベルベースのコマンドレットを使用することをお勧めします。

詳細については、Microsoft 365 ドキュメントの 秘密度ラベルの作成と公開 を参照してください。

例 1: ユーザーの権限定義オブジェクトを作成する

PS C:\>$R1 = New-AipServiceRightsDefinition -EmailAddress "ElisaDaugherty@Contoso.com" -Rights "VIEW","DOCEDIT"

このコマンドは、指定されたユーザーの権限定義オブジェクトを作成し、このポリシーを R1 という名前の変数に格納します。このポリシーを使用して、保護テンプレートを作成または更新できます。

このコマンドには、Contoso 組織内のユーザーの権限 VIEW と DOCEDIT が含まれます。

例 2: すべてのユーザーの権限定義オブジェクトを作成する

PS C:\>$R2 = New-AipServiceRightsDefinition -DomainName "Contoso.com" -Rights "VIEW"

このコマンドは、Contoso 組織の権限定義オブジェクトを作成し、このポリシーを R2 という名前の変数に格納します。この変数を使用して、保護テンプレートを作成または更新できます。 このコマンドには、Contoso 組織内のすべてのユーザーに対する VIEW 権限が含まれています。

例 3: "Just for me" 構成の権限定義オブジェクトを作成する

PS C:\>$R3 = New-AipServiceRightsDefinition -EmailAddress "IPC_USER_ID_OWNER" -Rights "OWNER"

このコマンドは、保護を適用するユーザーのみがドキュメントまたは電子メールを制限なしで開くことができるような保護を適用する権限定義オブジェクトを作成します。 この構成は "Just for me" と呼ばれることもあります。これは、ユーザーが任意の場所にファイルを保存し、ファイルを開くことができることを保証するために必要な結果になる場合があります。 保護を適用するユーザーのみがコンテンツを開くことができるため、この構成はコラボレーションを必要とするコンテンツには適していません。

パラメーター

-DomainName

保護テンプレートを作成または更新するときに権限を付与するために使用する、組織または別の組織のドメイン名を指定します。 組織に複数のドメインがある場合、指定するドメイン名は関係ありません。その組織のすべての検証済みドメインのユーザーが自動的に含まれます。

組織内のすべてのユーザーに対して 1 つのドメイン名のみを指定します。複数の組織に権限を付与するには、別の権限定義オブジェクトを作成します。

Azure AD の認証を成功させるには、ユーザーが Azure Active Directory にアカウントを持っている必要があることに注意してください。 Office 365ユーザーは、Azure Active Directory に自動的にアカウントを持っています。

ソーシャル プロバイダー (gmail.com など) のドメイン名を指定できますが、Azure AD に含まれていないアカウントの認証は電子メールでのみサポートされ、Exchange Onlineが Office 365 Message Encryption の新機能に対して構成されている場合。

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-EmailAddress

ユーザーまたはグループの電子メール アドレスを指定します。 ユーザーまたはグループは、組織の内部でも外部でもかまいません。 Azure AD 認証を成功させるには、ユーザーが Azure Active Directory にアカウントを持っている必要があります。 Office 365ユーザーは、Azure Active Directory に自動的にアカウントを持っています。

その他の認証方法には、Office 365 Message Encryption の新機能用にExchange Onlineが構成されている場合のソーシャル プロバイダー (Gmail アカウントなど) からの電子メール アドレスが含まれます。 一部のアプリケーションでは、Microsoft アカウントを使用した個人用メール アドレスもサポートされています。 認証に Microsoft アカウントを使用する方法の詳細については、 サポートされているシナリオの表を参照してください。

コマンドレットは、 Rights パラメーターが指定する権限を、アドレスが指定するユーザーまたはグループに関連付けます。

ヒント: 組織内のすべてのユーザーまたは別の組織内のすべてのユーザーを指定する場合は、 DomainName パラメーターを使用します。

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Rights

権限の一覧を指定します。 一覧には以下が 1 つ以上含まれます。

  • ビュー: 画面にデータを表示することが許可されているほとんどのアプリケーションによって解釈されます。

  • 編集: ほとんどのアプリケーションでは、ドキュメント内のコンテンツを変更して保存できるものとして解釈されます。

  • DOCEDIT: ほとんどのアプリケーションで、ドキュメントの内容を変更できるものとして解釈されます。

  • 抽出: ほとんどのアプリケーションでは、コンテンツをクリップボードにコピーしたり、暗号化されていない形式でコンテンツを抽出したりできます。

  • OBJMODEL: ほとんどのアプリケーションで、プログラムでドキュメントにアクセスできるものとして解釈されます。たとえば、マクロを使用します。

  • エクスポート: ほとんどのアプリケーションでは、暗号化されていない形式でファイルを保存できるものとして解釈されます。 たとえば、この権限を使用すると、保護をサポートしていない別のファイル形式で保存できます。

  • 印刷: ドキュメントの印刷が許可されているほとんどのアプリケーションによって解釈されます。

  • 所有者: ユーザーは、保護を削除する機能を含め、ドキュメントに対するすべての権限を持っています。

  • 転送: ほとんどのアプリケーションでは、電子メール メッセージの転送が許可され、[宛先] 行と [CC] 行に受信者が追加されると解釈されます。

  • 返信: ほとんどのアプリケーションでは、[宛先] 行または [CC] 行の変更を許可せずに、電子メール メッセージへの返信を選択できるものとして解釈されます。

  • REPLYALL: ほとんどのアプリケーションでは、電子メール メッセージのすべての受信者に返信できますが、ユーザーが宛先または CC 行に受信者を追加することはできません。

注: わかりやすくするために、モジュールのドキュメントと表示テキストには、これらの権限がすべて大文字として表示されます。 ただし、値では大文字と小文字は区別されないので、大文字でも小文字でも指定できます。

使用権限の詳細については、「Azure Information Protection の使用権限の構成」を参照してください。

型:System.Collections.Generic.List`1[System.String]
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False