New-AipServiceRightsDefinition
Tworzy obiekt definicji praw dla szablonu ochrony dla usługi Azure Information Protection.
Składnia
New-AipServiceRightsDefinition
[-EmailAddress <String>]
[-DomainName <String>]
-Rights <System.Collections.Generic.List`1[System.String]>
[<CommonParameters>] Opis
Polecenie cmdlet
Obiekt definicji praw wyraża prawa użytkowania, które użytkownicy muszą chronić w usłudze Azure Information Protection. Możesz określić użytkownika, grupę lub wszystkich użytkowników w organizacji.
Podobną konfigurację można również wykonać podczas tworzenia lub konfigurowania szablonu ochrony w witrynie Azure Portal, ale to polecenie cmdlet oferuje bardziej szczegółową kontrolę. To polecenie cmdlet nie obsługuje jednak żadnej opcji uwierzytelnionych użytkowników, którą można wybrać w witrynie Azure Portal.
Porada: To polecenie cmdlet umożliwia bezpieczną współpracę z innymi organizacjami, gdy mają konta użytkowników w usługach Azure Active Directory i Office 365. Na przykład podaj uprawnienia WIDOKU grupy zewnętrznej i DOCEDIT do współpracy nad wspólnym projektem. Możesz też podać uprawnienia VIEW wszystkim użytkownikom w organizacji partnerskiej.
Aby uzyskać więcej informacji na temat szablonów ochrony, w tym sposobu ich konfigurowania w witrynie Azure Portal, zobacz Konfigurowanie szablonów usługi Azure Information Protection i zarządzanie nimi.
Korzystanie z ujednoliconego klienta etykietowania usługi Azure Information Protection?
Klient ujednoliconego etykietowania usługi Azure Information Protection pośrednio używa szablonów ochrony. Jeśli masz klienta ujednoliconego etykietowania, zalecamy używanie poleceń cmdlet opartych na etykietach zamiast bezpośredniego modyfikowania szablonów ochrony.
Aby uzyskać więcej informacji, zobacz Tworzenie i publikowanie etykiet poufności w dokumentacji platformy Microsoft 365.
Przykłady
Przykład 1. Tworzenie obiektu definicji praw dla użytkownika
PS C:\>$R1 = New-AipServiceRightsDefinition -EmailAddress "ElisaDaugherty@Contoso.com" -Rights "VIEW","DOCEDIT"To polecenie tworzy obiekt definicji praw dla określonego użytkownika i przechowuje te zasady w zmiennej o nazwie R1, która następnie może służyć do tworzenia lub aktualizowania szablonu ochrony.
Polecenie zawiera uprawnienia VIEW i DOCEDIT dla użytkownika w organizacji Firmy Contoso.
Przykład 2. Tworzenie obiektu definicji praw dla wszystkich użytkowników
PS C:\>$R2 = New-AipServiceRightsDefinition -DomainName "Contoso.com" -Rights "VIEW"To polecenie tworzy obiekt definicji praw dla organizacji firmy Contoso i przechowuje te zasady w zmiennej o nazwie R2, która następnie może służyć do tworzenia lub aktualizowania szablonu ochrony. Polecenie zawiera prawo VIEW dla wszystkich użytkowników w organizacji Contoso.
Przykład 3. Tworzenie obiektu definicji praw dla konfiguracji "Just for me"
PS C:\>$R3 = New-AipServiceRightsDefinition -EmailAddress "IPC_USER_ID_OWNER" -Rights "OWNER"To polecenie tworzy obiekt definicji praw, który stosuje ochronę, tak aby tylko osoba, która stosuje ochronę, mogła otworzyć dokument lub wiadomość e-mail bez ograniczeń. Ta konfiguracja jest czasami określana jako "Tylko dla mnie" i może być wymaganym wynikiem, dzięki czemu użytkownik może zapisać plik w dowolnej lokalizacji i mieć pewność, że tylko oni mogą go otworzyć. Ponieważ tylko osoba, która stosuje ochronę, może otworzyć zawartość, ta konfiguracja nie jest odpowiednia dla zawartości wymagającej współpracy.
Parametry
-DomainName
Określa nazwę domeny organizacji lub innej organizacji, która ma być używana do udzielania praw podczas tworzenia lub aktualizowania szablonu ochrony. Jeśli organizacja ma więcej niż jedną domenę, nie ma znaczenia, która nazwa domeny została określona; użytkownicy ze wszystkich zweryfikowanych domen dla tej organizacji są automatycznie dołączani.
Określ jedną nazwę domeny tylko dla wszystkich użytkowników w organizacji; aby udzielić praw więcej niż jednej organizacji, utwórz inny obiekt definicji praw.
Należy pamiętać, że aby uwierzytelnianie zakończyło się pomyślnie w usłudze Azure AD, użytkownik musi mieć konto w usłudze Azure Active Directory. Użytkownicy usługi Office 365 automatycznie mają konto w usłudze Azure Active Directory.
Można określić nazwy domen od dostawców społecznościowych (takich jak gmail.com), ale uwierzytelnianie kont, które nie znajdują się w usłudze Azure AD, są obsługiwane tylko w przypadku poczty e-mail, a gdy usługa Exchange Online jest skonfigurowana dla nowych funkcji szyfrowania wiadomości usługi Office 365.
| Typ: | String |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | False |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |
-EmailAddress
Określa adres e-mail użytkownika lub grupy. Użytkownik lub grupa mogą być wewnętrzne w organizacji lub zewnętrzne. Aby uwierzytelnianie usługi Azure AD powiodło się, użytkownik musi mieć konto w usłudze Azure Active Directory. Użytkownicy usługi Office 365 automatycznie mają konto w usłudze Azure Active Directory.
Inne metody uwierzytelniania obejmują adres e-mail od dostawcy społecznościowego (na przykład konto Gmail), gdy usługa Exchange Online jest skonfigurowana pod kątem nowych funkcji szyfrowania wiadomości usługi Office 365. Niektóre aplikacje obsługują również osobiste adresy e-mail przy użyciu konta Microsoft. Aby uzyskać więcej informacji na temat używania kont Microsoft do uwierzytelniania, zobacz tabelę obsługiwanych scenariuszy.
Polecenie cmdlet kojarzy prawa, które Rights parametr określa użytkownikowi lub grupie, którą określa adres.
Porada: Jeśli chcesz określić wszystkich użytkowników w organizacji lub wszystkich użytkowników w innej organizacji, użyj parametru DomainName.
| Typ: | String |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | False |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |
-Rights
Określa listę praw. Lista zawiera co najmniej jedną z następujących opcji:
VIEW: Interpretowane przez większość aplikacji, zgodnie z zezwoleniem na prezentowanie danych na ekranie.
EDIT: interpretowane przez większość aplikacji, ponieważ mogą modyfikować zawartość w dokumencie i zapisywać ją.
DOCEDIT: interpretowane przez większość aplikacji, ponieważ mogą modyfikować zawartość dokumentu.
EXTRACT: Interpretowane przez większość aplikacji, ponieważ mogą kopiować zawartość do schowka lub w inny sposób wyodrębniać zawartość w postaci niezaszyfrowanej.
OBJMODEL: Interpretowane przez większość aplikacji zgodnie z zasadami dostępu do dokumentu programowo; na przykład przy użyciu makr.
EXPORT: interpretowane przez większość aplikacji, ponieważ mogą zapisywać plik w niezaszyfrowanym formularzu. Na przykład to prawo umożliwia zapisanie w innym formacie pliku, który nie obsługuje ochrony.
PRINT: Interpretowane przez większość aplikacji, zgodnie z zezwoleniem na drukowanie dokumentu.
WŁAŚCICIEL: użytkownik ma wszystkie prawa do dokumentu, w tym możliwość usunięcia ochrony.
FORWARD: interpretowane przez większość aplikacji, które mogą przekazywać dalej wiadomość e-mail, oraz dodawać adresatów do wierszy Do i DW.
ODPOWIEDZ: interpretowane przez większość aplikacji, ponieważ mogą wybrać odpowiedź na wiadomość e-mail bez zezwalania na zmiany w wierszach Do lub DW.
REPLYALL: interpretowane przez większość aplikacji, ponieważ mogą odpowiadać wszystkim adresatom wiadomości e-mail, ale nie zezwala użytkownikowi na dodawanie adresatów do wiersza Do lub DW.
Uwaga: w celu zapewnienia przejrzystości dokumentacja i tekst wyświetlany w module zawierają te prawa jako wszystkie wielkie litery. Jednak wartości nie są uwzględniane w wielkości liter i można je określić w małych lub wyższej litery.
Aby uzyskać więcej informacji na temat praw użytkowania, zobacz Konfigurowanie praw użytkowania dla usługi Azure Information Protection.
| Typ: | System.Collections.Generic.List`1[System.String] |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | True |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |