New-AipServiceRightsDefinition
Создает объект определения прав для шаблона защиты для Azure Information Protection.
Синтаксис
New-AipServiceRightsDefinition
[-EmailAddress <String>]
[-DomainName <String>]
-Rights <System.Collections.Generic.List`1[System.String]>
[<CommonParameters>] Описание
Командлет
Объект определения прав выражает права на использование, которые пользователи должны содержать содержимое, защищенное Azure Information Protection. Вы можете указать пользователя, группу или всех пользователей в организации.
Аналогичную конфигурацию также можно сделать при создании или настройке шаблона защиты на портале Azure, но этот командлет предлагает более подробный контроль. Однако этот командлет не поддерживает любой параметр прошедших проверку подлинности пользователей, который можно выбрать на портале Azure.
Совет. Этот командлет позволяет обеспечить безопасную совместную работу с другими организациями, если у них есть учетные записи пользователей в Azure Active Directory и Office 365. Например, предоставьте внешние права VIEW и DOCEDIT для совместной работы над совместным проектом. Кроме того, предоставьте права VIEW всем пользователям в партнерской организации.
Дополнительные сведения о шаблонах защиты, включая настройку шаблонов на портале Azure, см. в настройке шаблонов и управлении ими дляAzure Information Protection.
Использование клиента унифицированных меток Azure Information Protection?
Клиент унифицированных меток Azure Information Protection использует шаблоны защиты косвенно. Если у вас есть клиент унифицированных меток, рекомендуется использовать командлеты на основе меток, а не изменять шаблоны защиты напрямую.
Дополнительные сведения см. в разделе Создание и публикация меток конфиденциальности в документации по Microsoft 365.
Примеры
Пример 1. Создание объекта определения прав для пользователя
PS C:\>$R1 = New-AipServiceRightsDefinition -EmailAddress "ElisaDaugherty@Contoso.com" -Rights "VIEW","DOCEDIT"Эта команда создает объект определения прав для указанного пользователя и сохраняет эту политику в переменной с именем R1, которая затем может использоваться для создания или обновления шаблона защиты.
Эта команда включает в себя права VIEW и DOCEDIT для пользователя в организации Contoso.
Пример 2. Создание объекта определения прав для всех пользователей
PS C:\>$R2 = New-AipServiceRightsDefinition -DomainName "Contoso.com" -Rights "VIEW"Эта команда создает объект определения прав для организации Contoso и сохраняет эту политику в переменной С именем R2, которая затем может использоваться для создания или обновления шаблона защиты. Команда включает право VIEW для всех пользователей в организации Contoso.
Пример 3. Создание объекта определения прав для конфигурации "Just for me"
PS C:\>$R3 = New-AipServiceRightsDefinition -EmailAddress "IPC_USER_ID_OWNER" -Rights "OWNER"Эта команда создает объект определения прав, который применяет защиту, так что только пользователь, который применяет защиту, может открыть документ или электронную почту без ограничений. Эта конфигурация иногда называется "Просто для меня" и может быть обязательным результатом, чтобы пользователь мог сохранить файл в любом расположении и убедиться, что только они могут открыть его. Так как только пользователь, который применяет защиту, может открыть содержимое, эта конфигурация не подходит для содержимого, требующего совместной работы.
Параметры
-DomainName
Указывает доменное имя для вашей организации или другой организации, которое будет использоваться для предоставления прав при создании или обновлении шаблона защиты. Если у организации несколько доменов, не имеет значения указанного доменного имени; пользователи из всех проверенных доменов для этой организации автоматически включаются.
Укажите одно доменное имя только для всех пользователей в организации; чтобы предоставить права нескольким организациям, создайте другой объект определения прав.
Обратите внимание, что для успешной проверки подлинности для Azure AD пользователь должен иметь учетную запись в Azure Active Directory. Пользователи Office 365 автоматически имеют учетную запись в Azure Active Directory.
Вы можете указать доменные имена от поставщиков социальных сетей (например, gmail.com), но проверка подлинности для учетных записей, которые не находятся в Azure AD, поддерживается только для электронной почты, и когда Exchange Online настроен для новых возможностей шифрования сообщений Office 365.
| Тип: | String |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-EmailAddress
Указывает адрес электронной почты пользователя или группы. Пользователь или группа могут быть внутренними для вашей организации или внешней. Для успешной проверки подлинности Azure AD пользователь должен иметь учетную запись в Azure Active Directory. Пользователи Office 365 автоматически имеют учетную запись в Azure Active Directory.
Другие методы проверки подлинности включают адрес электронной почты от поставщика социальных сетей (например, учетную запись Gmail) при настройке Exchange Online для новых возможностей шифрования сообщений Office 365. Некоторые приложения также поддерживают личные адреса электронной почты с учетной записью Майкрософт. Дополнительные сведения об использовании учетных записей Майкрософт для проверки подлинности см. в таблицеподдерживаемых сценариев
Командлет связывает права, которые параметр Rights указывает пользователю или группе, указанной адресом.
Совет. Если вы хотите указать всех пользователей в организации или всех пользователей в другой организации, используйте параметр DomainName.
| Тип: | String |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-Rights
Указывает список прав. Список содержит одно или несколько следующих элементов:
VIEW: Интерпретируется большинством приложений, как разрешено представить данные на экране.
EDIT: Интерпретируется большинством приложений, как разрешено изменять содержимое в документе и сохранять его.
DOCEDIT: интерпретируется большинством приложений, как разрешено изменять содержимое документа.
EXTRACT: Интерпретируется большинством приложений, как разрешено копировать содержимое в буфер обмена или извлекать содержимое в незашифрованной форме.
OBJMODEL: интерпретируется большинством приложений, как разрешено программным способом доступа к документу; например, с помощью макросов.
EXPORT: интерпретируется большинством приложений, как разрешено сохранять файл в незашифрованной форме. Например, это право позволяет сохранить в другом формате файла, который не поддерживает защиту.
PRINT: интерпретируется большинством приложений, как разрешено для печати документа.
ВЛАДЕЛЕЦ: пользователь имеет все права на документ, включая возможность удаления защиты.
ПЕРЕСЫЛКА: интерпретируется большинством приложений, как разрешено пересылать сообщение электронной почты, а также добавлять получателей в строки "Кому" и "Копия".
ОТВЕТ: Интерпретируется большинством приложений, как разрешено выбрать ответ на сообщение электронной почты, не разрешая изменения в строках "Кому" или "Копия".
REPLYALL: Интерпретируется большинством приложений, как разрешено отвечать всем получателям сообщения электронной почты, но не позволяет пользователю добавлять получателей в строки "Кому" или "Копия".
Примечание. Для ясности документация и отображаемый текст из модуля отображают эти права как все буквы верхнего регистра. Однако значения не учитывает регистр, и их можно указать в нижнем или верхнем регистре.
Дополнительные сведения о правах на использование см. в настройке прав на использование дляAzure Information Protection.
| Тип: | System.Collections.Generic.List`1[System.String] |
| Position: | Named |
| Default value: | None |
| Обязательно: | True |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |