Connect-AipService
Nawiązuje połączenie z usługą Azure Information Protection.
Składnia
Connect-AipService
[-Credential <PSCredential>]
[-TenantId <Guid>]
[<CommonParameters>] Connect-AipService
[-AccessToken <String>]
[-TenantId <Guid>]
[<CommonParameters>] Connect-AipService
[-EnvironmentName <AzureRmEnvironment>]
[<CommonParameters>] Opis
Polecenie cmdlet Connect-AipService łączy się z usługą Azure Information Protection, aby następnie uruchamiać polecenia administracyjne dla usługi ochrony dzierżawy. To polecenie cmdlet może być również używane przez firmę partnerów zarządzającą dzierżawą.
Przed uruchomieniem innych poleceń cmdlet w tym module należy uruchomić to polecenie cmdlet.
Aby nawiązać połączenie z usługą Azure Information Protection, użyj konta, które jest jednym z następujących elementów:
- Administrator globalny dzierżawy usługi Office 365.
- Administrator globalny dzierżawy usługi Azure AD. Jednak to konto nie może być kontem Microsoft (MSA) ani z innej dzierżawy platformy Azure.
- Konto użytkownika z dzierżawy, któremu udzielono uprawnień administracyjnych do usługi Azure Information Protection przy użyciu polecenia cmdlet Add-AipServiceRoleBasedAdministrator.
- Rola administratora usługi Azure AD administratora usługi Azure Information Protection, administratora zgodności lub administratora danych zgodności.
Napiwek
Jeśli nie zostanie wyświetlony monit o podanie poświadczeń i zostanie wyświetlony komunikat o błędzie, taki jak Nie można użyć tej funkcji bez poświadczeń, sprawdź, czy program Internet Explorer jest skonfigurowany do używania zintegrowanego uwierzytelniania systemu Windows.
Jeśli to ustawienie nie jest włączone, włącz je, uruchom ponownie program Internet Explorer, a następnie ponów próbę uwierzytelnienia w usłudze Information Protection.
Przykłady
Przykład 1: Nawiązywanie połączenia z usługą Azure Information Protection i monit o podanie nazwy użytkownika i innych poświadczeń
PS C:\> Connect-AipServiceTo polecenie łączy się z usługą ochrony z usługi Azure Information Protection. Jest to najprostszy sposób nawiązywania połączenia z usługą, uruchamiając polecenie cmdlet bez parametrów.
Zostanie wyświetlony monit o podanie nazwy użytkownika i hasła. Jeśli konto jest skonfigurowane do korzystania z uwierzytelniania wieloskładnikowego, zostanie wyświetlony monit o alternatywną metodę uwierzytelniania, a następnie połączony z usługą.
Jeśli konto jest skonfigurowane do korzystania z uwierzytelniania wieloskładnikowego, należy użyć tej metody, aby nawiązać połączenie z usługą Azure Information Protection.
Przykład 2. Nawiązywanie połączenia z usługą Azure Information Protection przy użyciu przechowywanych poświadczeń
PS C:\>$AdminCredentials = Get-Credential "Admin@aadrm.contoso.com"
PS C:\> Connect-AipService -Credential $AdminCredentialsPierwsze polecenie tworzy obiekt PSCredential i przechowuje określoną nazwę użytkownika i hasło w zmiennej $AdminCredentials. Po uruchomieniu tego polecenia zostanie wyświetlony monit o podanie hasła dla określonej nazwy użytkownika.
Drugie polecenie łączy się z usługą Azure Information Protection przy użyciu poświadczeń przechowywanych w $AdminCredentials. Jeśli odłączysz się od usługi i ponownie połączysz się, gdy zmienna jest nadal używana, po prostu uruchom ponownie drugie polecenie.
Przykład 3. Nawiązywanie połączenia z usługą Azure Information Protection przy użyciu tokenu
PS C:\ > Add-Type -Path "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.1\Microsoft.IdentityModel.Clients.ActiveDirectory.dll"
PS C:\ > $clientId='90f610bf-206d-4950-b61d-37fa6fd1b224';
PS C:\ > $resourceId = 'https://api.aadrm.com/';
PS C:\ > $userName='admin@contoso.com';
PS C:\ > $password='Passw0rd!';
PS C:\ > $authority = "https://login.microsoftonline.com/common";
PS C:\ > $authContext = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext($authority);
PS C:\ > $userCreds = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.UserPasswordCredential($userName, $password);
PS C:\ > $authResult = [Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContextIntegratedAuthExtensions]::AcquireTokenAsync($authContext, $resourceId, $clientId, $userCreds).Result;
PS C:\ > Import-Module AIPService
PS C:\> Connect-AipService -AccessToken $authResult.AccessTokenW tym przykładzie pokazano, jak można nawiązać połączenie z usługą Azure Information Protection przy użyciu parametru AccessToken, który umożliwia uwierzytelnianie bez monitu. Ta metoda połączenia wymaga określenia identyfikatora klienta 90f610bf-206d-4950-b61d-37fa6fd1b224 i identyfikator zasobu *https://api.aadrm.com/*. Po otwarciu połączenia możesz uruchomić polecenia administracyjne z tego modułu, które są potrzebne.
Po potwierdzeniu, że te polecenia spowodują pomyślne nawiązanie połączenia z usługą Azure Information Protection, można uruchomić je nieinterakcyjnie, na przykład ze skryptu.
Należy pamiętać, że na potrzeby ilustracji w tym przykładzie użyto nazwy użytkownika admin@contoso.com z hasłem Passw0rd! W środowisku produkcyjnym, gdy używasz tej metody połączenia nieinterakcyjnej, użyj dodatkowych metod w celu zabezpieczenia hasła, aby nie był przechowywany w postaci zwykłego tekstu. Na przykład użyj polecenia ConvertTo-SecureString lub użyj usługi Key Vault do przechowywania hasła jako wpisu tajnego.
Przykład 4. Nawiązywanie połączenia z usługą Azure Information Protection przy użyciu certyfikatu klienta za pośrednictwem uwierzytelniania jednostki usługi
PS C:\ > $Thumbprint = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\> Connect-AipService -CertificateThumbprint $Thumbprint -ApplicationId $ApplicationId -TenantId $TenantId -ServicePrincipalW tym przykładzie nawiąż połączenie z kontem platformy Azure przy użyciu uwierzytelniania jednostki usługi opartej na certyfikatach. Jednostka usługi używana do uwierzytelniania musi zostać utworzona przy użyciu określonego certyfikatu.
Wymagania wstępne dotyczące tego przykładu:
- Należy zaktualizować moduł programu PowerShell usługi AIPService do wersji 1.0.05 lub nowszej.
- Aby włączyć uwierzytelnianie jednostki usługi, należy dodać uprawnienia interfejsu API do odczytu (Application.Read.All) do jednostki usługi.
Aby uzyskać więcej informacji, zobacz Wymagane uprawnienia interfejsu API — zestaw Microsoft Information Protection SDK i Tworzenie jednostki usługi przy użyciu programu Azure PowerShell z certyfikatem.
Przykład 5. Nawiązywanie połączenia z usługą Azure Information Protection przy użyciu wpisu tajnego klienta za pośrednictwem uwierzytelniania jednostki usługi
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\ > $Credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $ApplicationId, $SecuredPassword
PS C:\ > Connect-AipService -Credential $Credential -TenantId $TenantId -ServicePrincipalW tym przykładzie:
- Pierwsze polecenie wyświetla monit o poświadczenia jednostki usługi i przechowuje je w zmiennej
$Credential. Po podwyższeniu poziomu wprowadź identyfikator aplikacji dla wartości nazwy użytkownika i klucz tajny jednostki usługi jako hasło. - Drugie polecenie łączy się z określoną dzierżawą platformy Azure przy użyciu poświadczeń jednostki usługi przechowywanych w zmiennej
$Credential. Parametr przełącznikaServicePrincipalwskazuje, że konto uwierzytelnia się jako jednostka usługi.
Aby włączyć uwierzytelnianie jednostki usługi, należy dodać uprawnienia interfejsu API do odczytu (Application.Read.All) do jednostki usługi. Aby uzyskać więcej informacji, zobacz Wymagane uprawnienia interfejsu API — zestaw Sdk usługi Microsoft Information Protection.
Parametry
-AccessToken
Użyj tego parametru, aby nawiązać połączenie z usługą Azure Information Protection przy użyciu tokenu uzyskanego z usługi Azure Active Directory przy użyciu identyfikatora klienta 90f610bf-206d-4950-b61d-37fa6fd1b224 i identyfikator zasobu https://api.aadrm.com/. Ta metoda połączenia umożliwia logowanie się do usługi Azure Information Protection nieinterakcyjnej.
Aby uzyskać token dostępu, upewnij się, że konto używane z dzierżawy nie korzysta z uwierzytelniania wieloskładnikowego (MFA). Zobacz przykład 3, aby dowiedzieć się, jak to zrobić.
Nie można użyć tego parametru z parametrem Credential.
| Typ: | String |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | False |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |
-ApplicationID
Określa identyfikator aplikacji jednostki usługi.
| Typ: | String |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | False |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |
-CertificateThumbprint
Określa odcisk palca certyfikatu cyfrowego klucza publicznego X.509 dla jednostki usługi, która ma uprawnienia do wykonania danej akcji.
| Typ: | String |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | False |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |
-Credential
Określa obiekt PSCredential. Aby uzyskać obiekt PSCredential, użyj polecenia cmdlet Get-Credential. Aby uzyskać więcej informacji, wpisz Get-Help Get-Cmdlet.
Polecenie cmdlet wyświetli monit o podanie hasła.
Nie można użyć tego parametru z parametrem AccessToken i nie należy go używać, jeśli konto jest skonfigurowane do korzystania z uwierzytelniania wieloskładnikowego (MFA).
| Typ: | PSCredential |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | False |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |
-EnvironmentName
Określa wystąpienie platformy Azure dla suwerennych chmur. Prawidłowe wartości to:
- AzureCloud: komercyjna oferta platformy Azure
- AzureChinaCloud: azure obsługiwane przez firmę 21Vianet
- AzureUSGovernment: Azure Government
Aby uzyskać więcej informacji na temat korzystania z usługi Azure Information Protection z usługą Azure Government, zobacz Azure Information Protection Premium Government Service Description.
| Typ: | AzureRmEnvironment |
| Dopuszczalne wartości: | AzureCloud, AzureChinaCloud, AzureUSGovernment |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | False |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |
-ServicePrincipal
Wskazuje, że polecenie cmdlet określa uwierzytelnianie jednostki usługi.
Jednostka usługi musi zostać utworzona przy użyciu określonego wpisu tajnego.
| Typ: | SwitchParameter |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | False |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |
-TenantId
Określa identyfikator GUID dzierżawy. Polecenie cmdlet łączy się z usługą Azure Information Protection dla dzierżawy określonej przez identyfikator GUID.
Jeśli nie określisz tego parametru, polecenie cmdlet połączy się z dzierżawą, do której należy Twoje konto.
| Typ: | Guid |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | False |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |