你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

New-AipServiceRightsDefinition

为 Azure 信息保护的保护模板创建权限定义对象。

语法

New-AipServiceRightsDefinition
   [-EmailAddress <String>]
   [-DomainName <String>]
   -Rights <System.Collections.Generic.List`1[System.String]>
   [<CommonParameters>]

说明

New-AipServiceRightsDefinition cmdlet 创建一个权限定义对象,该对象存储为变量,然后在使用 Add-AipServiceTemplateSet-AipServiceTemplateProperty cmdlet 时创建或更新 Azure 信息保护的保护模板。

权限定义对象表示用户对 Azure 信息保护保护的内容的使用权限。 可以指定组织中的用户、组或所有用户。

在Azure 门户中创建或配置保护模板时,也可以完成类似的配置,但此 cmdlet 提供更精细的控制。 但是,此 cmdlet 不支持可以在Azure 门户中选择的任何经过身份验证的用户选项

提示:在 Azure Active Directory 和Office 365中具有用户帐户时,可以使用此 cmdlet 与其他组织进行安全协作。 例如,提供外部组 VIEW 和 DOCEDIT 权限以协作处理联合项目。 或者,向合作伙伴组织中的所有用户提供 VIEW 权限。

有关保护模板的详细信息,包括如何在Azure 门户中配置它们,请参阅配置和管理 Azure 信息保护的模板

使用 Azure 信息保护统一标记客户端?

Azure 信息保护统一标记客户端间接使用保护模板。 如果你有统一标记客户端,我们建议使用基于标签的 cmdlet,而不是直接修改保护模板。

有关详细信息,请参阅 Microsoft 365 文档中 的“创建和发布敏感度标签 ”。

示例

示例 1:为用户创建权限定义对象

PS C:\>$R1 = New-AipServiceRightsDefinition -EmailAddress "ElisaDaugherty@Contoso.com" -Rights "VIEW","DOCEDIT"

此命令为指定用户创建权限定义对象,并将此策略存储在名为 R1 的变量中,该变量随后可用于创建或更新保护模板。

该命令包括 Contoso 组织中的用户的 RIGHTS VIEW 和 DOCEDIT。

示例 2:为所有用户创建权限定义对象

PS C:\>$R2 = New-AipServiceRightsDefinition -DomainName "Contoso.com" -Rights "VIEW"

此命令为 Contoso 组织创建权限定义对象,并将此策略存储在名为 R2 的变量中,然后可用于创建或更新保护模板。 该命令包括 Contoso 组织中的所有用户的 VIEW 权限。

示例 3:为“仅适合我”配置创建权限定义对象

PS C:\>$R3 = New-AipServiceRightsDefinition -EmailAddress "IPC_USER_ID_OWNER" -Rights "OWNER"

此命令创建一个权限定义对象,该对象应用保护,这样只有应用保护的人员才能打开文档或电子邮件,且没有任何限制。 此配置有时称为“仅我”,可能是所需的结果,以便用户可以将文件保存到任何位置,并确保只有他们可以打开该文件。 由于只有应用保护的人员才能打开内容,因此此配置不适合需要协作的内容。

参数

-DomainName

指定组织或其他组织的域名,用于在创建或更新保护模板时授予权限。 当组织有多个域时,你指定的域名并不重要;将自动包含来自该组织的所有已验证域的用户。

仅为组织中的所有用户指定一个域名;若要向多个组织授予权限,请创建另一个权限定义对象。

请注意,若要成功对 Azure AD 进行身份验证,用户必须在 Azure Active Directory 中拥有帐户。 Office 365用户在 Azure Active Directory 中自动拥有帐户。

可以指定来自社交提供商的域名 (,例如 gmail.com) ,但仅支持对不在 Azure AD 中的帐户进行身份验证,以及为Office 365消息加密的新功能配置Exchange Online时。

类型:String
Position:Named
默认值:None
必需:False
接受管道输入:False
接受通配符:False

-EmailAddress

指定用户或组的电子邮件地址。 用户或组可以是组织内部,也可以是外部用户。 若要使 Azure AD 身份验证成功,用户必须在 Azure Active Directory 中拥有帐户。 Office 365用户在 Azure Active Directory 中自动拥有帐户。

其他身份验证方法包括社交提供商 (的电子邮件地址,例如,为Office 365邮件加密的新功能配置Exchange Online时,Gmail 帐户) 。 某些应用程序还支持使用 Microsoft 帐户的个人电子邮件地址。 有关使用 Microsoft 帐户进行身份验证的详细信息,请参阅 受支持的方案表

该 cmdlet 将 Rights 参数指定的权限关联到地址指定的用户或组。

提示:如果要指定组织中的所有用户或另一组织中的所有用户,请使用 DomainName 参数。

类型:String
Position:Named
默认值:None
必需:False
接受管道输入:False
接受通配符:False

-Rights

指定权限列表。 该列表包含下列一个或多个项:

  • 视图: 由大多数应用程序解释为允许在屏幕上显示数据。

  • 编辑: 由大多数应用程序解释为允许修改文档中的内容并将其保存。

  • DOCEDIT: 由大多数应用程序解释为允许修改文档的内容。

  • 提取: 由大多数应用程序解释为允许将内容复制到剪贴板,或者以未加密的形式提取内容。

  • OBJMODEL: 由大多数应用程序解释为允许以编程方式访问文档;例如,通过使用宏。

  • 出口: 由大多数应用程序解释为允许以未加密的形式保存文件。 例如,此权限允许你以不支持保护的不同文件格式进行保存。

  • 打印: 由大多数应用程序解释为允许打印文档。

  • 所有者: 用户对文档拥有所有权限,包括删除保护的功能。

  • 向前: 大多数应用程序解释为允许转发电子邮件,并将收件人添加到收件人和抄送行。

  • 答复: 大多数应用程序解释为允许选择答复电子邮件,而无需更改“收件人”或“抄送”行。

  • REPLYALL: 大多数应用程序解释为允许答复电子邮件的所有收件人,但不允许用户将收件人添加到收件人或抄送行。

注意:为了清楚起见,模块中的文档和显示文本将这些权限显示为所有大写字母。 但是,值不区分大小写,你可以使用小写或大写指定值。

有关使用权限的详细信息,请参阅为 Azure 信息保护配置使用权限

类型:System.Collections.Generic.List`1[System.String]
Position:Named
默认值:None
必需:True
接受管道输入:False
接受通配符:False