你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Set-AipServiceOnboardingControlPolicy

为 Azure 信息保护设置用户载入控制策略。

语法

Set-AipServiceOnboardingControlPolicy
   [-Force]
   -UseRmsUserLicense <Boolean>
   [-SecurityGroupObjectId <Guid>]
   [-Scope <OnboardingControlPolicyScope>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

说明

Set-AipServiceOnboardingControlPolicy cmdlet 设置控制 Azure 信息保护用户载入的策略。 此 cmdlet 通过控制组织中的哪些用户可以使用 Azure 信息保护来保护内容,从而支持逐步部署。

必须使用 PowerShell 设置此配置;无法使用管理门户执行此配置。

此控制可以基于为服务分配的用户许可证或指定的安全组中的成员身份。 你还可以定义策略是仅适用于移动设备、Windows 客户端,还是适用于移动设备和 Windows 客户端。

如果使用分配的许可证选项,则可以使用Microsoft 365 管理中心或通过 Azure AD PowerShell 管理模块中的 Set-MsolUserLicense cmdlet 或 Azure PowerShell set-MsolUserLicense cmdlet 向用户分配许可证。 还可以使用 Get-MsolAccountSku cmdlet 获取可在组织中分配的不同类型的许可证。

如果使用组成员身份选项,则必须指定一个安全组,该安全组不必启用邮件,并且可以包含其他组。 若要指定组,请使用组 GUID。 有关用户和组要求以及如何查找组 GUID 的详细信息,请参阅为 Azure 信息保护准备用户和组

有关 Azure AD PowerShell cmdlet 的详细信息,请参阅 Azure Active Directory PowerShell

备注

此 cmdlet 不会阻止用户使用受保护的内容或阻止管理员为 Azure 信息保护 (配置服务,例如,Exchange Online邮件流规则或 SharePoint 保护的库) 。

相反,它专为 Office 等用户应用程序而设计,以便用户看不到使用 Azure 信息保护的选项或模板。

示例

示例 1:将 Azure 信息保护限制为具有许可证且是指定组的成员的用户

PS C:\> Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope All

此命令将 Azure 信息保护配置为仅允许拥有 Azure Rights Management 许可证的用户使用 Azure 信息保护来保护内容。 此外,该命令要求用户成为具有指定对象 ID 的安全组的成员。 此限制适用于 Windows 客户端和移动设备。

示例 2:将 Azure 信息保护限制为指定组的成员的用户

PS C:\> Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope All

此命令仅允许具有指定对象 ID 的安全组成员的用户使用 Azure 信息保护保护内容。 该命令适用于 Windows 客户端和移动设备。

示例 3:将 Azure 信息保护限制为拥有 Azure Rights Management 许可证的用户

PS C:\> Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True -Scope All

此命令仅允许分配有 Azure Rights Management 许可证的用户使用 Azure 信息保护保护内容。 该命令适用于 Windows 客户端和移动设备。

示例 4:不要限制用户的 Azure 信息保护

PS C:\> Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -Scope All

此命令允许所有用户使用 Azure 信息保护保护内容。 该命令适用于 Windows 客户端和移动设备。

参数

-Confirm

提示你在运行 cmdlet 之前进行确认。

类型:SwitchParameter
别名:cf
Position:Named
默认值:False
必需:False
接受管道输入:False
接受通配符:False

-Force

指示此 cmdlet 配置初始启用控制策略,即使组织已有初始启用控制策略。

类型:SwitchParameter
Position:Named
默认值:None
必需:False
接受管道输入:False
接受通配符:False

-Scope

指定应用初始启用策略的应用程序的类型。

有效值是:

  • All
  • WindowsApp
  • MobileApp
类型:OnboardingControlPolicyScope
接受的值:All, WindowsApp, MobileApp
Position:Named
默认值:None
必需:False
接受管道输入:True
接受通配符:False

-SecurityGroupObjectId

指定 Azure AD 中安全组的对象 ID。 如果尝试指定通讯组的对象 ID,将看到错误。

指定的组限制哪些用户可以使用 Azure 信息保护保护内容。 如果还启用许可证强制实施,则只有分配了 Azure Rights Management 许可证并且是此指定组的成员才能使用 Azure 信息保护保护内容。

即使所有用户都分配了 Azure Rights Management 许可证,也可以使用此参数实现 Azure 信息保护分阶段部署。

类型:Guid
Position:Named
默认值:None
必需:False
接受管道输入:True
接受通配符:False

-UseRmsUserLicense

指定没有分配给他们的 Azure Rights Management 许可证的用户是否可以使用 Azure 信息保护来保护内容。 无论此设置及其许可证分配如何,用户始终都可以使用 Azure 信息保护来使用受保护的内容。

类型:Boolean
Position:Named
默认值:None
必需:True
接受管道输入:True
接受通配符:False

-WhatIf

显示在此 cmdlet 运行的情况下将会发生什么。

此 cmdlet 未运行。

类型:SwitchParameter
别名:wi
Position:Named
默认值:False
必需:False
接受管道输入:False
接受通配符:False