你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
New-AipServiceRightsDefinition
为 Azure 信息保护的保护模板创建权限定义对象。
语法
New-AipServiceRightsDefinition
[-EmailAddress <String>]
[-DomainName <String>]
-Rights <System.Collections.Generic.List`1[System.String]>
[<CommonParameters>] 说明
New-AipServiceRightsDefinition cmdlet 创建一个 权限定义 对象,该对象存储为变量,然后使用 Add-AipServiceTemplate 或 Set-AipServiceTemplateProperty cmdlet 创建或更新 Azure 信息保护的保护模板。
权限定义对象表示用户对 Azure 信息保护所保护内容的使用权限。 可以指定组织中的用户、组或所有用户。
在 Azure 门户中创建或配置保护模板时也可以执行类似的配置,但此 cmdlet 提供更精细的控制。 但是,此 cmdlet 不支持 可在 Azure 门户中选择的任何经过身份验证的用户选项。
提示:可以在 Azure Active Directory 和 Office 365 中拥有用户帐户时启用与其他组织的安全协作。 例如,提供外部组 VIEW 和 DOCEDIT 权限,以便协作处理联合项目。 或者,向合作伙伴组织中的所有用户提供 VIEW 权限。
有关保护模板的详细信息,包括如何在 Azure 门户中配置模板,请参阅 配置和管理 Azure 信息保护的模板。
使用 Azure 信息保护统一标记客户端?
Azure 信息保护统一标记客户端间接使用保护模板。 如果你有统一标记客户端,建议使用基于标签的 cmdlet,而不是直接修改保护模板。
有关详细信息,请参阅 Microsoft 365 文档中 创建和发布敏感度标签。
示例
示例 1:为用户创建权限定义对象
PS C:\>$R1 = New-AipServiceRightsDefinition -EmailAddress "ElisaDaugherty@Contoso.com" -Rights "VIEW","DOCEDIT"此命令为指定用户创建权限定义对象,并将此策略存储在名为 R1 的变量中,该变量随后可用于创建或更新保护模板。
该命令包括 Contoso 组织中的用户的权限 VIEW 和 DOCEDIT。
示例 2:为所有用户创建权限定义对象
PS C:\>$R2 = New-AipServiceRightsDefinition -DomainName "Contoso.com" -Rights "VIEW"此命令为 Contoso 组织创建权限定义对象,并将此策略存储在名为 R2 的变量中,该变量随后可用于创建或更新保护模板。 该命令包括 Contoso 组织中的所有用户的 VIEW 权限。
示例 3:为“仅适合我”配置创建权限定义对象
PS C:\>$R3 = New-AipServiceRightsDefinition -EmailAddress "IPC_USER_ID_OWNER" -Rights "OWNER"此命令创建一个权限定义对象,该对象应用保护,以便只有应用保护的人员才能打开文档或电子邮件,且没有任何限制。 此配置有时称为“仅供我使用”,可能是所需的结果,以便用户可以将文件保存到任何位置,并确保只有他们才能打开它。 由于只有应用保护的人员才能打开内容,因此此配置不适用于需要协作的内容。
参数
-DomainName
指定组织或其他组织的域名,用于在创建或更新保护模板时授予权限。 当组织有多个域时,你指定的域名并不重要;将自动包括来自该组织的所有已验证域的用户。
仅为组织中的所有用户指定一个域名;若要向多个组织授予权限,请创建另一个权限定义对象。
请注意,若要使 Azure AD 身份验证成功,用户必须在 Azure Active Directory 中拥有帐户。 Office 365 用户自动在 Azure Active Directory 中有一个帐户。
可以指定来自社交提供商(例如 gmail.com)的域名,但仅电子邮件支持对不在 Azure AD 中的帐户进行身份验证,并为 Office 365 邮件加密的新功能配置 Exchange Online 时。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-EmailAddress
指定用户或组的电子邮件地址。 用户或组可以是组织内部,也可以是外部用户。 若要使 Azure AD 身份验证成功,用户必须在 Azure Active Directory 中拥有帐户。 Office 365 用户自动在 Azure Active Directory 中有一个帐户。
其他身份验证方法包括社交提供商(例如 Gmail 帐户)中的电子邮件地址(例如,为 Office 365 邮件加密的新功能配置 Exchange Online)。 某些应用程序还支持具有Microsoft帐户的个人电子邮件地址。 有关使用 Microsoft 帐户进行身份验证的详细信息,请参阅 支持的方案表。
该 cmdlet 将 Rights 参数指定的权限与地址指定的用户或组相关联。
提示:如果要指定组织中的所有用户或另一组织中的所有用户,请使用 DomainName 参数。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-Rights
指定权限列表。 该列表包含以下一个或多个内容:
视图: 大多数应用程序解释为允许在屏幕上显示数据。
EDIT: 大多数应用程序解释为允许修改文档中的内容并将其保存。
DOCEDIT: 大多数应用程序解释为允许修改文档的内容。
EXTRACT: 大多数应用程序解释为允许将内容复制到剪贴板,或者以未加密的形式提取内容。
OBJMODEL: 大多数应用程序解释为允许以编程方式访问文档;例如,通过使用宏。
EXPORT: 大多数应用程序解释为允许以未加密格式保存文件。 例如,此权限允许你以不支持保护的其他文件格式进行保存。
PRINT: 大多数应用程序解释为允许打印文档。
所有者: 用户对文档拥有所有权限,包括删除保护的功能。
FORWARD: 大多数应用程序解释为允许转发电子邮件,并将收件人添加到“收件人”和“抄送”行。
回复: 大多数应用程序解释为允许选择答复电子邮件,不允许更改“收件人”或“抄送”行。
REPLYALL: 大多数应用程序解释为允许答复电子邮件的所有收件人,但不允许用户将收件人添加到“收件人”或“抄送”行。
注意:为了清楚起见,模块中的文档和显示文本将这些权限显示为所有大写字母。 但是,这些值不区分大小写,可以在小写或大写中指定它们。
有关使用权限的详细信息,请参阅 配置 Azure 信息保护的使用权限。
| 类型: | System.Collections.Generic.List`1[System.String] |
| Position: | Named |
| 默认值: | None |
| 必需: | True |
| 接受管道输入: | False |
| 接受通配符: | False |