Connect-AipService
Подключается к Azure Information Protection.
Синтаксис
Connect-AipService
[-Credential <PSCredential>]
[-TenantId <Guid>]
[<CommonParameters>] Connect-AipService
[-AccessToken <String>]
[-TenantId <Guid>]
[<CommonParameters>] Connect-AipService
[-EnvironmentName <AzureRmEnvironment>]
[<CommonParameters>] Описание
Командлет Connect-AipService подключает вас к Azure Information Protection, чтобы затем выполнить административные команды для службы защиты клиента. Этот командлет также может использоваться партнерской компанией, которая управляет клиентом.
Перед запуском других командлетов в этом модуле необходимо запустить этот командлет.
Чтобы подключиться к Azure Information Protection, используйте учетную запись, которая является одной из следующих:
- Глобальный администратор клиента Office 365.
- Глобальный администратор клиента Azure AD. Однако эта учетная запись не может быть учетной записью Майкрософт (MSA) или другим клиентом Azure.
- Учетная запись пользователя из вашего клиента, которая была предоставлена правами администратора Azure Information Protection, с помощью командлета add-AipServiceRoleBasedAdministrator.
- Роль администратора Azure AD администратора Azure Information Protection, администратора соответствия требованиям или администратора данных соответствия требованиям.
Кончик
Если вам не предлагается предоставить учетные данные, и появится сообщение об ошибке, например Не удается использовать эту функцию без учетных данных, убедитесь, что Internet Explorer настроен для использования встроенной проверки подлинности Windows.
Если этот параметр не включен, включите его, перезапустите Internet Explorer и повторите проверку подлинности в службе Information Protection.
Примеры
Пример 1. Подключение к Azure Information Protection и запрос имени пользователя и других учетных данных
PS C:\> Connect-AipServiceЭта команда подключается к службе защиты из Azure Information Protection. Это самый простой способ подключения к службе, запустив командлет без параметров.
Вам будет предложено указать имя пользователя и пароль. Если ваша учетная запись настроена для использования многофакторной проверки подлинности, вам будет предложено использовать альтернативный метод проверки подлинности, а затем подключиться к службе.
Если учетная запись настроена для использования многофакторной проверки подлинности, необходимо использовать этот метод для подключения к Azure Information Protection.
Пример 2. Подключение к Azure Information Protection с помощью сохраненных учетных данных
PS C:\>$AdminCredentials = Get-Credential "Admin@aadrm.contoso.com"
PS C:\> Connect-AipService -Credential $AdminCredentialsПервая команда создает объект PSCredential и сохраняет указанное имя пользователя и пароль в переменной $AdminCredentials. При выполнении этой команды вам будет предложено ввести пароль для указанного имени пользователя.
Вторая команда подключается к Azure Information Protection с помощью учетных данных, хранящихся в $AdminCredentials. При отключении от службы и повторном подключении во время использования переменной просто выполните вторую команду.
Пример 3. Подключение к Azure Information Protection с помощью маркера
PS C:\ > Add-Type -Path "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.1\Microsoft.IdentityModel.Clients.ActiveDirectory.dll"
PS C:\ > $clientId='90f610bf-206d-4950-b61d-37fa6fd1b224';
PS C:\ > $resourceId = 'https://api.aadrm.com/';
PS C:\ > $userName='admin@contoso.com';
PS C:\ > $password='Passw0rd!';
PS C:\ > $authority = "https://login.microsoftonline.com/common";
PS C:\ > $authContext = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext($authority);
PS C:\ > $userCreds = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.UserPasswordCredential($userName, $password);
PS C:\ > $authResult = [Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContextIntegratedAuthExtensions]::AcquireTokenAsync($authContext, $resourceId, $clientId, $userCreds).Result;
PS C:\ > Import-Module AIPService
PS C:\> Connect-AipService -AccessToken $authResult.AccessTokenВ этом примере показано, как подключиться к Azure Information Protection с помощью параметра AccessToken, который позволяет выполнять проверку подлинности без запроса. Для этого метода подключения необходимо указать идентификатор клиента 90f610bf-206d-4950-b61d-37fa6fd1b224 и идентификатор ресурса *https://api.aadrm.com/*. После открытия подключения можно выполнить необходимые административные команды из этого модуля.
Убедившись, что эти команды успешно подключаются к Azure Information Protection, можно запустить их неинтерактивно, например из скрипта.
Обратите внимание, что в этом примере используется имя пользователя admin@contoso.com с паролем Passw0rd! В рабочей среде при использовании этого метода подключения неинтерактивно используйте дополнительные методы для защиты пароля, чтобы он не хранится в чистом тексте. Например, используйте команду ConvertTo-SecureString или используйте Key Vault для хранения пароля в качестве секрета.
Пример 4. Подключение к Azure Information Protection с помощью сертификата клиента с помощью проверки подлинности субъекта-службы
PS C:\ > $Thumbprint = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\> Connect-AipService -CertificateThumbprint $Thumbprint -ApplicationId $ApplicationId -TenantId $TenantId -ServicePrincipalВ этом примере выполняется подключение к учетной записи Azure с помощью проверки подлинности субъекта-службы на основе сертификатов. Субъект-служба, используемый для проверки подлинности, должен быть создан с указанным сертификатом.
Предварительные требования для этого примера:
- Необходимо обновить модуль PowerShell AIPService до версии 1.0.05 или более поздней.
- Чтобы включить проверку подлинности субъекта-службы, необходимо добавить разрешения API чтения (Application.Read.All) в субъект-службу.
Дополнительные сведения см. в статье Необходимые разрешения API— пакет SDK Microsoft Information Protection и использовать Azure PowerShell для создания субъекта-службы с сертификатом.
Пример 5. Подключение к Azure Information Protection с помощью секрета клиента с помощью проверки подлинности субъекта-службы
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\ > $Credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $ApplicationId, $SecuredPassword
PS C:\ > Connect-AipService -Credential $Credential -TenantId $TenantId -ServicePrincipalВ этом примере:
- Первая командная строка для учетных данных субъекта-службы и сохраняет их в переменной
$Credential. При повышении введите идентификатор приложения для значения имени пользователя и секрет субъекта-службы в качестве пароля. - Вторая команда подключается к указанному клиенту Azure с использованием учетных данных субъекта-службы, хранящихся в переменной
$Credential. Параметр коммутатораServicePrincipalуказывает, что учетная запись выполняет проверку подлинности в качестве субъекта-службы.
Чтобы включить проверку подлинности субъекта-службы, необходимо добавить разрешения API чтения (Application.Read.All) в субъект-службу. Дополнительные сведения см. в разделе Необходимые разрешения API — пакет SDK Microsoft Information Protection.
Параметры
-AccessToken
Используйте этот параметр для подключения к Azure Information Protection с помощью маркера, полученного из Azure Active Directory, с помощью идентификатора клиента 90f610bf-206d-4950-b61d-37fa6fd1b224 и идентификатора ресурса https://api.aadrm.com/. Этот метод подключения позволяет войти в Azure Information Protection, неактивно.
Чтобы получить маркер доступа, убедитесь, что учетная запись, используемая из клиента, не использует многофакторную проверку подлинности (MFA). См. пример 3, чтобы узнать, как это сделать.
Этот параметр нельзя использовать с параметром учетных данных
| Тип: | String |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-ApplicationID
Указывает идентификатор приложения субъекта-службы.
| Тип: | String |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-CertificateThumbprint
Указывает отпечаток сертификата цифрового открытого ключа X.509 для субъекта-службы, имеющего разрешения на выполнение данного действия.
| Тип: | String |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-Credential
Указывает объект PSCredential. Чтобы получить объект PSCredential, используйте командлет Get-Credential. Дополнительные сведения см. в Get-Help Get-Cmdlet.
Командлет запрашивает пароль.
Этот параметр нельзя использовать с параметром AccessToken и не использовать его, если учетная запись настроена на использование многофакторной проверки подлинности (MFA).
| Тип: | PSCredential |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-EnvironmentName
Указывает экземпляр Azure для национальных облаков. Допустимые значения:
- AzureCloud: коммерческое предложение Azure
- AzureChinaCloud: Azure под управлением 21Vianet
- AzureUSGovernment: Azure для государственных организаций
Дополнительные сведения об использовании Azure Information Protection с Azure для государственных организаций см. в описании службы Azure Information Protection premium для государственных организаций.
| Тип: | AzureRmEnvironment |
| Допустимые значения: | AzureCloud, AzureChinaCloud, AzureUSGovernment |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-ServicePrincipal
Указывает, что командлет указывает проверку подлинности субъекта-службы.
Субъект-служба должен быть создан с указанным секретом.
| Тип: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-TenantId
Указывает GUID клиента. Командлет подключается к Azure Information Protection для клиента, указанного с помощью GUID.
Если этот параметр не указан, командлет подключается к клиенту, к которому принадлежит ваша учетная запись.
| Тип: | Guid |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |