New-AipServiceRightsDefinition
為 Azure 資訊保護的保護範本建立許可權定義物件。
語法
New-AipServiceRightsDefinition
[-EmailAddress <String>]
[-DomainName <String>]
-Rights <System.Collections.Generic.List`1[System.String]>
[<CommonParameters>] Description
New-AipServiceRightsDefinition Cmdlet 會建立 許可權定義 物件,以變數的形式儲存,然後在您使用 Add-AipServiceTemplate 或 Set-AipServiceTemplateProperty Cmdlet 時,用來建立或更新 Azure 資訊保護的保護範本。
許可權定義物件表示使用者對 Azure 資訊保護所保護內容的使用權。 您可以指定組織中的使用者、群組或所有使用者。
當您在 Azure 入口網站中建立或設定保護範本時,也可以進行類似的設定,但此 Cmdlet 提供更精細的控制。 不過,此 Cmdlet 不支援 您可以在 Azure 入口網站中選取的任何已驗證使用者選項。
提示:您可以在 Azure Active Directory 和 Office 365 中有用戶帳戶時,啟用與其他組織的安全共同作業。 例如,提供外部群組 VIEW 和 DOCEDIT 許可權,以在聯合專案上共同作業。 或者,為合作夥伴組織中的所有使用者提供 VIEW 許可權。
如需保護範本的詳細資訊,包括如何在 Azure 入口網站中設定範本,請參閱 設定和管理 Azure 資訊保護的範本。
使用 Azure 資訊保護統一卷標用戶端?
Azure 資訊保護統一標籤端會間接使用保護範本。 如果您有統一標籤客戶端,建議您使用以標籤為基礎的 Cmdlet,而不是直接修改您的保護範本。
如需詳細資訊,請參閱 Microsoft 365 檔中 建立和發佈敏感度標籤。
範例
範例 1:為使用者建立許可權定義物件
PS C:\>$R1 = New-AipServiceRightsDefinition -EmailAddress "ElisaDaugherty@Contoso.com" -Rights "VIEW","DOCEDIT"此命令會建立指定使用者的許可權定義物件,並將此原則儲存在名為 R1 的變數中,然後可用來建立或更新保護範本。
此命令包含 Contoso 組織中用戶的許可權 VIEW 和 DOCEDIT。
範例 2:為所有使用者建立許可權定義物件
PS C:\>$R2 = New-AipServiceRightsDefinition -DomainName "Contoso.com" -Rights "VIEW"此命令會建立 Contoso 組織的許可權定義物件,並將此原則儲存在名為 R2 的變數中,然後可用來建立或更新保護範本。 此命令包含 Contoso 組織中所有使用者的 VIEW 許可權。
範例 3:為「僅適合我」設定建立許可權定義物件
PS C:\>$R3 = New-AipServiceRightsDefinition -EmailAddress "IPC_USER_ID_OWNER" -Rights "OWNER"此命令會建立套用保護的許可權定義物件,因此只有套用保護的人員可以開啟檔或電子郵件,而沒有任何限制。 此設定有時稱為「僅供我使用」,而且可能是必要結果,讓使用者可以將檔案儲存至任何位置,並保證只能開啟檔案。 因為只有套用保護的人員可以開啟內容,因此此設定不適用於需要共同作業的內容。
參數
-DomainName
指定組織或其他組織的功能變數名稱,以用於在建立或更新保護範本時授與許可權。 當組織有多個網域時,您指定的功能變數名稱並不重要;系統會自動包含來自該組織所有已驗證網域的使用者。
只為組織中的所有使用者指定一個功能變數名稱;若要將許可權授與多個組織,請建立另一個許可權定義物件。
請注意,若要讓 Azure AD 驗證成功,用戶必須在 Azure Active Directory 中擁有帳戶。 Office 365 用戶會自動在 Azure Active Directory 中擁有帳戶。
您可以指定來自社交提供者的功能變數名稱(例如 gmail.com),但是只有電子郵件才支援 Azure AD 中帳戶的驗證,以及針對 Office 365 郵件加密的新功能設定 Exchange Online 時。
| 類型: | String |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-EmailAddress
指定使用者或群組的電子郵件位址。 使用者或群組可以是組織內部或外部。 若要讓 Azure AD 驗證成功,用戶必須在 Azure Active Directory 中擁有帳戶。 Office 365 用戶會自動在 Azure Active Directory 中擁有帳戶。
當 Exchange Online 設定 Office 365 郵件加密的新功能時,其他驗證方法包括來自社交提供者的電子郵件位址(例如 Gmail 帳戶)。 某些應用程式也支援具有Microsoft帳戶的個人電子郵件位址。 如需使用 Microsoft 帳戶進行驗證的詳細資訊,請參閱 支援的案例資料表。
Cmdlet 會將 Rights 參數所指定的許可權關聯至位址所指定的使用者或群組。
提示:如果您想要指定組織中的所有使用者或另一個組織中的所有使用者,請使用 DomainName 參數。
| 類型: | String |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-Rights
指定許可權清單。 此清單包含下列一或多個專案:
VIEW: 由大部分應用程式解譯為允許在螢幕上呈現數據。
EDIT: 大部分應用程式都允許修改檔案中的內容並加以儲存。
DOCEDIT: 大部分應用程式都允許修改檔案的內容。
EXTRACT: 大部分應用程式都允許將內容複製到剪貼簿,或以未加密的形式擷取內容。
OBJMODEL: 大部分應用程式都允許以程式設計方式存取檔:例如,使用巨集。
EXPORT: 由大部分應用程式解譯為允許以未加密格式儲存盤案。 例如,此許可權可讓您以不支持保護的不同檔格式儲存。
PRINT: 由大部分應用程式解譯為允許列印檔。
OWNER: 使用者具有檔的所有許可權,包括移除保護的能力。
FORWARD: 由大部分應用程式解譯為允許轉寄電子郵件訊息,並將收件者新增至 [收件者] 和 [副本] 行。
REPLY: 由大部分應用程式解譯為允許選取回覆電子郵件訊息,而不允許變更收件者或副本行。
REPLYALL: 大部分應用程式都允許回復電子郵件訊息的所有收件者,但不允許使用者將收件者新增至 [收件者] 或 [副本] 行。
注意:為了清楚起見,模組中的文件和顯示文字會將這些許可權顯示為所有大寫字母。 不過,這些值不區分大小寫,而且您可以在小寫或大寫中指定這些值。
如需權限的詳細資訊,請參閱 設定 Azure 資訊保護的使用權。
| 類型: | System.Collections.Generic.List`1[System.String] |
| Position: | Named |
| 預設值: | None |
| 必要: | True |
| 接受管線輸入: | False |
| 接受萬用字元: | False |