Connect-AipService
聯機到 Azure 信息保護。
語法
Connect-AipService
[-Credential <PSCredential>]
[-TenantId <Guid>]
[<CommonParameters>] Connect-AipService
[-AccessToken <String>]
[-TenantId <Guid>]
[<CommonParameters>] Connect-AipService
[-EnvironmentName <AzureRmEnvironment>]
[<CommonParameters>] Description
Connect-AipService Cmdlet 會將您連線到 Azure 資訊保護,以便您接著為租使用者的保護服務執行系統管理命令。 管理租用戶的合作夥伴公司也可以使用此 Cmdlet。
您必須先執行此 Cmdlet,才能在此課程模組中執行其他 Cmdlet。
若要連線到 Azure 資訊保護,請使用下列其中一個帳戶:
- Office 365 租使用者的全域管理員。
- Azure AD 租使用者的全域管理員。 不過,此帳戶不能是Microsoft帳戶或來自另一個 Azure 租使用者。
- 租使用者的用戶帳戶,已使用 Add-AipServiceRoleBasedAdministrator Cmdlet 授與 Azure 資訊保護的系統管理許可權。
- Azure 資訊保護系統管理員、合規性系統管理員或合規性數據管理員的 Azure AD 系統管理員角色。
提示
如果您未提示您輸入認證,而且看到錯誤訊息,例如 若沒有認證就無法使用此功能,,請確認 Internet Explorer 已設定為使用 Windows 整合式驗證。
如果未啟用此設定,請加以啟用、重新啟動 Internet Explorer,然後重試資訊保護服務的驗證。
範例
範例 1:連線到 Azure 資訊保護,並提示您輸入使用者名稱和其他認證
PS C:\> Connect-AipService此命令會從 Azure 資訊保護連線到保護服務。 這是連線到服務的最簡單方式,方法是執行不含參數的 Cmdlet。
系統會提示您輸入使用者名稱和密碼。 如果您的帳戶設定為使用多重要素驗證,系統會提示您輸入替代的驗證方法,然後聯機至服務。
如果您的帳戶設定為使用多重要素驗證,您必須使用此方法來連線到 Azure 資訊保護。
範例 2:使用預存認證連線到 Azure 信息保護
PS C:\>$AdminCredentials = Get-Credential "Admin@aadrm.contoso.com"
PS C:\> Connect-AipService -Credential $AdminCredentials第一個命令會建立 PSCredential 物件,並將指定的使用者名稱和密碼儲存在 $AdminCredentials 變數中。 當您執行此命令時,系統會提示您輸入您指定之使用者名稱的密碼。
第二個命令會使用儲存在 $AdminCredentials中的認證連線到 Azure 信息保護。 如果您中斷與服務連線,並在變數仍在使用時重新連線,只要重新執行第二個命令即可。
範例 3:使用令牌連線到 Azure 信息保護
PS C:\ > Add-Type -Path "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.1\Microsoft.IdentityModel.Clients.ActiveDirectory.dll"
PS C:\ > $clientId='90f610bf-206d-4950-b61d-37fa6fd1b224';
PS C:\ > $resourceId = 'https://api.aadrm.com/';
PS C:\ > $userName='admin@contoso.com';
PS C:\ > $password='Passw0rd!';
PS C:\ > $authority = "https://login.microsoftonline.com/common";
PS C:\ > $authContext = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext($authority);
PS C:\ > $userCreds = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.UserPasswordCredential($userName, $password);
PS C:\ > $authResult = [Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContextIntegratedAuthExtensions]::AcquireTokenAsync($authContext, $resourceId, $clientId, $userCreds).Result;
PS C:\ > Import-Module AIPService
PS C:\> Connect-AipService -AccessToken $authResult.AccessToken此範例示範如何使用 AccessToken 參數連線到 Azure 資訊保護,這可讓您在沒有提示的情況下進行驗證。 此連線方法會要求您指定用戶端標識碼 90f610bf-206d-4950-b61d-37fa6fd1b224 和資源標識符 *https://api.aadrm.com/*。 開啟連線之後,您就可以從此模組執行所需的系統管理命令。
確認這些命令成功連線到 Azure 資訊保護之後,您可以從腳本以非互動方式執行這些命令。
請注意,為了說明目的,此範例會使用使用者名稱 admin@contoso.com,並將密碼 Passw0rd! 當您以非互動方式使用此連線方法時,請在生產環境中,使用其他方法來保護密碼,使其不會以純文本儲存。 例如,使用 ConvertTo-SecureString 命令,或使用 Key Vault 將密碼儲存為秘密。
範例 4:透過服務主體驗證使用用戶端憑證連線到 Azure 信息保護
PS C:\ > $Thumbprint = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\> Connect-AipService -CertificateThumbprint $Thumbprint -ApplicationId $ApplicationId -TenantId $TenantId -ServicePrincipal此範例會使用憑證式服務主體驗證連線到 Azure 帳戶。 用於驗證的服務主體必須使用指定的憑證來建立。
此範例的必要條件:
- 您必須將 AIPService PowerShell 模組更新為 1.0.05 版或更新版本。
- 若要啟用服務主體驗證,您必須將讀取 API 許可權 (Application.Read.All) 新增至服務主體。
如需詳細資訊,請參閱 必要的 API 許可權 - Microsoft資訊保護 SDK和使用 Azure PowerShell 建立具有憑證的服務主體。
範例 5:透過服務主體驗證使用用戶端秘密連線到 Azure 信息保護
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\ > $Credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $ApplicationId, $SecuredPassword
PS C:\ > Connect-AipService -Credential $Credential -TenantId $TenantId -ServicePrincipal在這裡範例中:
- 第一個命令會提示服務主體認證,並將其儲存在
$Credential變數中。 升階時,輸入應用程式識別碼作為用戶名稱值和服務主體密碼作為密碼。 - 第二個命令會使用儲存在
$Credential變數中的服務主體認證,連接到指定的 Azure 租使用者。ServicePrincipalswitch 參數表示帳戶會驗證為服務主體。
若要啟用服務主體驗證,您必須將讀取 API 許可權 (Application.Read.All) 新增至服務主體。 如需詳細資訊,請參閱 必要的 API 許可權 - Microsoft資訊保護 SDK。
參數
-AccessToken
使用此參數,使用您從 Azure Active Directory 取得的令牌,使用用戶端標識碼 90f610bf-206d-4950-b61d-37fa6fd1b224 和資源標識符 https://api.aadrm.com/來連線到 Azure 信息保護。 此連線方法可讓您以非互動方式登入 Azure 信息保護。
若要取得存取令牌,請確定您從租使用者使用的帳戶並未使用多重要素驗證 (MFA)。 如需如何執行這項操作,請參閱範例 3。
您無法將此參數與 Credential 參數搭配使用。
| 類型: | String |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-ApplicationID
指定服務主體的應用程式識別碼。
| 類型: | String |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-CertificateThumbprint
針對有權執行指定動作的服務主體,指定數位公鑰 X.509 憑證的憑證指紋。
| 類型: | String |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-Credential
指定 PSCredential 物件。 若要取得 Get-Help Get-Cmdlet。
Cmdlet 會提示您輸入密碼。
您無法將此參數與 AccessToken 參數搭配使用,而且如果您的帳戶設定為使用多重要素驗證(MFA),則請勿使用它。
| 類型: | PSCredential |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-EnvironmentName
指定主權雲端的 Azure 實例。 有效值為:
- AzureCloud: Azure 的商業供應專案
- AzureChinaCloud: 由 21Vianet 運作的 Azure
- AzureUSGovernment: Azure Government
如需搭配 Azure Government 使用 Azure 資訊保護的詳細資訊,請參閱 Azure 資訊保護進階政府服務描述。
| 類型: | AzureRmEnvironment |
| 接受的值: | AzureCloud, AzureChinaCloud, AzureUSGovernment |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-ServicePrincipal
指出 Cmdlet 指定服務主體驗證。
服務主體必須使用指定的秘密來建立。
| 類型: | SwitchParameter |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-TenantId
指定租使用者 GUID。 Cmdlet 會針對 GUID 所指定的租用戶連線到 Azure 信息保護。
如果您未指定此參數,Cmdlet 會連線到您帳戶所屬的租使用者。
| 類型: | Guid |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |