你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Set-AipServiceOnboardingControlPolicy
设置 Azure 信息保护的用户载入控制策略。
语法
Set-AipServiceOnboardingControlPolicy
[-Force]
-UseRmsUserLicense <Boolean>
[-SecurityGroupObjectId <Guid>]
[-Scope <OnboardingControlPolicyScope>]
[-WhatIf]
[-Confirm]
[<CommonParameters>] 说明
Set-AipServiceOnboardingControlPolicy cmdlet 设置控制用户载入 Azure 信息保护的策略。 此 cmdlet 通过控制组织中的哪些用户可以使用 Azure 信息保护来保护内容,从而支持逐步部署。
必须使用 PowerShell 设置此配置;无法使用管理门户执行此配置。
此控件可以基于为服务分配的用户许可证或指定安全组中的成员身份。 还可以定义策略是否仅适用于移动设备、仅 Windows 客户端或移动设备和 Windows 客户端。
如果使用分配的许可证选项,则可以使用 Microsoft 365 管理中心或 Azure PowerShell 以及 Azure AD PowerShell 管理模块中的 Set-MsolUserLicense cmdlet 向用户分配许可证。 还可以使用 Get-MsolAccountSku cmdlet 获取可在组织中分配的不同类型的许可证。
如果使用组成员身份选项,则必须指定一个安全组,该安全组不必启用邮件,并且它可以包含其他组。 若要指定组,请使用组 GUID。 有关用户和组要求以及如何查找组 GUID 的详细信息,请参阅 为 Azure 信息保护准备用户和组。
有关 Azure AD PowerShell cmdlet 的详细信息,请参阅 Azure Active Directory PowerShell。
注意
此 cmdlet 不会阻止用户使用受保护的内容,也不会阻止管理员配置 Azure 信息保护的服务(例如 Exchange Online 邮件流规则或 SharePoint 保护的库)。
相反,它专为 Office 等用户应用程序设计,以便用户看不到使用 Azure 信息保护的选项或模板。
示例
示例 1:将 Azure 信息保护限制为具有许可证且属于指定组的成员的用户
PS C:\> Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope All此命令将 Azure 信息保护配置为仅允许拥有 Azure Rights Management 许可证的用户使用 Azure 信息保护来保护内容。 此外,该命令要求用户成为具有指定对象 ID 的安全组的成员。 此限制适用于 Windows 客户端和移动设备。
示例 2:将 Azure 信息保护限制为属于指定组成员的用户
PS C:\> Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope All此命令仅允许具有指定对象 ID 的安全组成员的用户使用 Azure 信息保护来保护内容。 该命令适用于 Windows 客户端和移动设备。
示例 3:将 Azure 信息保护限制为拥有 Azure Rights Management 许可证的用户
PS C:\> Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True -Scope All此命令仅允许分配有 Azure Rights Management 许可证的用户使用 Azure 信息保护来保护内容。 该命令适用于 Windows 客户端和移动设备。
示例 4:不限制用户的 Azure 信息保护
PS C:\> Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -Scope All此命令允许所有用户使用 Azure 信息保护来保护内容。 该命令适用于 Windows 客户端和移动设备。
参数
-Confirm
在运行 cmdlet 之前,提示你进行确认。
| 类型: | SwitchParameter |
| 别名: | cf |
| Position: | Named |
| 默认值: | False |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-Force
指示此 cmdlet 将配置载入控制策略,即使组织已有载入控制策略也是如此。
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-Scope
指定应用载入策略的应用程序的类型。
有效值为:
- 都
- WindowsApp
- MobileApp
| 类型: | OnboardingControlPolicyScope |
| 接受的值: | All, WindowsApp, MobileApp |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | True |
| 接受通配符: | False |
-SecurityGroupObjectId
指定 Azure AD 中安全组的对象 ID。 如果尝试指定通讯组的对象 ID,将看到错误。
指定的组限制哪些用户可以使用 Azure 信息保护来保护内容。 如果还启用许可证强制实施,则只有分配有 Azure Rights Management 许可证并且是此指定组的成员才能使用 Azure 信息保护来保护内容。
即使所有用户都为其分配了 Azure Rights Management 许可证,也可以使用此参数实现 Azure 信息保护的分阶段部署。
| 类型: | Guid |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | True |
| 接受通配符: | False |
-UseRmsUserLicense
指定没有分配给他们的 Azure Rights Management 许可证的用户是否可以使用 Azure 信息保护来保护内容。 无论此设置及其许可证分配如何,用户都可以使用 Azure 信息保护来使用受保护的内容。
| 类型: | Boolean |
| Position: | Named |
| 默认值: | None |
| 必需: | True |
| 接受管道输入: | True |
| 接受通配符: | False |
-WhatIf
显示 cmdlet 运行时会发生什么情况。
cmdlet 未运行。
| 类型: | SwitchParameter |
| 别名: | wi |
| Position: | Named |
| 默认值: | False |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |