Connect-AipService
Si connette ad Azure Information Protection.
Sintassi
Connect-AipService
[-Credential <PSCredential>]
[-TenantId <Guid>]
[<CommonParameters>]
Connect-AipService
[-AccessToken <String>]
[-TenantId <Guid>]
[<CommonParameters>]
Connect-AipService
[-EnvironmentName <AzureRmEnvironment>]
[<CommonParameters>]
Descrizione
Il cmdlet Connect-AipService connette l'utente ad Azure Information Protection in modo da poter eseguire comandi amministrativi per il servizio protezione per il tenant. Questo cmdlet può essere usato anche da una società partner che gestisce il tenant.
È necessario eseguire questo cmdlet prima di poter eseguire gli altri cmdlet in questo modulo.
Per connettersi ad Azure Information Protection, usare un account che è uno dei seguenti:
- Amministratore globale per il tenant di Office 365.
- Un amministratore globale per il tenant di Azure AD. Tuttavia, questo account non può essere un account Microsoft (MSA) o da un altro tenant di Azure.
- Un account utente del tenant a cui sono stati concessi diritti amministrativi per Azure Information Protection usando il cmdlet add-AipServiceRoleBasedAdministrator
. - Ruolo di amministratore di Azure AD dell'amministratore di Azure Information Protection, dell'amministratore della conformità o dell'amministratore dei dati di conformità.
Mancia
Se non vengono richieste le credenziali e viene visualizzato un messaggio di errore, ad esempio Impossibile usare questa funzionalità senza credenziali, verificare che Internet Explorer sia configurato per l'uso dell'autenticazione integrata di Windows.
Se questa impostazione non è abilitata, abilitarla, riavviare Internet Explorer e quindi ritentare l'autenticazione al servizio Information Protection.
Esempio
Esempio 1: Connettersi ad Azure Information Protection e richiedere il nome utente e altre credenziali
PS C:\> Connect-AipService
Questo comando si connette al servizio di protezione da Azure Information Protection. Questo è il modo più semplice per connettersi al servizio, eseguendo il cmdlet senza parametri.
Viene richiesto il nome utente e la password. Se l'account è configurato per l'uso dell'autenticazione a più fattori, viene richiesto il metodo alternativo di autenticazione e quindi si è connessi al servizio.
Se l'account è configurato per l'uso dell'autenticazione a più fattori, è necessario usare questo metodo per connettersi ad Azure Information Protection.
Esempio 2: Connettersi ad Azure Information Protection con credenziali archiviate
PS C:\>$AdminCredentials = Get-Credential "Admin@aadrm.contoso.com"
PS C:\> Connect-AipService -Credential $AdminCredentials
Il primo comando crea un oggetto PSCredential e archivia il nome utente e la password specificati nella variabile $AdminCredentials. Quando si esegue questo comando, viene richiesta la password per il nome utente specificato.
Il secondo comando si connette ad Azure Information Protection usando le credenziali archiviate in $AdminCredentials. Se si disconnette dal servizio e si riconnette mentre la variabile è ancora in uso, è sufficiente eseguire di nuovo il secondo comando.
Esempio 3: Connettersi ad Azure Information Protection con un token
PS C:\ > Add-Type -Path "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.1\Microsoft.IdentityModel.Clients.ActiveDirectory.dll"
PS C:\ > $clientId='90f610bf-206d-4950-b61d-37fa6fd1b224';
PS C:\ > $resourceId = 'https://api.aadrm.com/';
PS C:\ > $userName='admin@contoso.com';
PS C:\ > $password='Passw0rd!';
PS C:\ > $authority = "https://login.microsoftonline.com/common";
PS C:\ > $authContext = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext($authority);
PS C:\ > $userCreds = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.UserPasswordCredential($userName, $password);
PS C:\ > $authResult = [Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContextIntegratedAuthExtensions]::AcquireTokenAsync($authContext, $resourceId, $clientId, $userCreds).Result;
PS C:\ > Import-Module AIPService
PS C:\> Connect-AipService -AccessToken $authResult.AccessToken
Questo esempio illustra come connettersi ad Azure Information Protection usando il parametro AccessToken, che consente di eseguire l'autenticazione senza una richiesta. Questo metodo di connessione richiede di specificare l'ID client 90f610bf-206d-4950-b61d-37fa6fd1b224 e l'ID risorsa *https://api.aadrm.com/*
. Dopo aver aperto la connessione, è possibile eseguire i comandi amministrativi di questo modulo necessari.
Dopo aver verificato che questi comandi generano correttamente la connessione ad Azure Information Protection, è possibile eseguirli in modo non interattivo, ad esempio da uno script.
Si noti che a scopo illustrativo, questo esempio usa il nome utente di admin@contoso.com con la password di Passw0rd! In un ambiente di produzione quando si usa questo metodo di connessione in modo non interattivo, usare metodi aggiuntivi per proteggere la password in modo che non venga archiviata in testo non crittografato. Ad esempio, usare il comando ConvertTo-SecureString o usare Key Vault per archiviare la password come segreto.
Esempio 4: Connettersi ad Azure Information Protection con il certificato client tramite l'autenticazione dell'entità servizio
PS C:\ > $Thumbprint = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\> Connect-AipService -CertificateThumbprint $Thumbprint -ApplicationId $ApplicationId -TenantId $TenantId -ServicePrincipal
Questo esempio si connette a un account Azure usando l'autenticazione dell'entità servizio basata su certificati. L'entità servizio usata per l'autenticazione deve essere creata con il certificato specificato.
Prerequisiti per questo esempio:
- È necessario aggiornare il modulo PowerShell AIPService alla versione 1.0.05 o successiva.
- Per abilitare l'autenticazione dell'entità servizio, è necessario aggiungere autorizzazioni API di lettura (Application.Read.All) all'entità servizio.
Per altre informazioni, vedere Autorizzazioni API necessarie - Microsoft Information Protection SDK e Usare Azure PowerShell per creare un'entità servizio con un certificato.
Esempio 5: Connettersi ad Azure Information Protection con il segreto client tramite l'autenticazione dell'entità servizio
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\ > $Credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $ApplicationId, $SecuredPassword
PS C:\ > Connect-AipService -Credential $Credential -TenantId $TenantId -ServicePrincipal
In questo esempio:
- Il primo comando richiede le credenziali dell'entità servizio e le archivia nella variabile
$Credential
. Quando viene alzata di livello, immettere l'ID applicazione per il valore del nome utente e il segreto dell'entità servizio come password. - Il secondo comando si connette al tenant di Azure specificato usando le credenziali dell'entità servizio archiviate nella variabile
$Credential
. Il parametro switchServicePrincipal
indica che l'account viene autenticato come entità servizio.
Per abilitare l'autenticazione dell'entità servizio, è necessario aggiungere autorizzazioni API di lettura (Application.Read.All) all'entità servizio. Per altre informazioni, vedere Autorizzazioni API necessarie - Microsoft Information Protection SDK.
Parametri
-AccessToken
Usare questo parametro per connettersi ad Azure Information Protection usando un token acquisito da Azure Active Directory, usando l'ID client 90f610bf-206d-4950-b61d-37fa6fd1b224 e l'ID risorsa https://api.aadrm.com/. Questo metodo di connessione consente di accedere ad Azure Information Protection in modo non interattivo.
Per ottenere il token di accesso, assicurarsi che l'account usato dal tenant non usi l'autenticazione a più fattori (MFA). Per informazioni su come eseguire questa operazione, vedere l'esempio 3.
Non è possibile usare questo parametro con il parametro
Tipo: | String |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
-ApplicationID
Specifica l'ID applicazione dell'entità servizio.
Tipo: | String |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
-CertificateThumbprint
Specifica l'identificazione personale del certificato di un certificato X.509 con chiave pubblica digitale per un'entità servizio con autorizzazioni per eseguire l'azione specificata.
Tipo: | String |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
-Credential
Specifica un oggetto PSCredential Get-Help Get-Cmdlet
.
Il cmdlet richiede una password.
Non è possibile usare questo parametro con il parametro AccessToken e non usarlo se l'account è configurato per l'uso dell'autenticazione a più fattori (MFA).
Tipo: | PSCredential |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
-EnvironmentName
Specifica l'istanza di Azure per i cloud sovrani. I valori validi sono:
- AzureCloud: offerta commerciale di Azure
- AzureChinaCloud: Azure gestito da 21Vianet
- AzureUSGovernment: Azure per enti pubblici
Per altre informazioni sull'uso di Azure Information Protection con Azure per enti pubblici, vedere Descrizione del servizio Azure Information Protection Premium per enti pubblici.
Tipo: | AzureRmEnvironment |
Valori accettati: | AzureCloud, AzureChinaCloud, AzureUSGovernment |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
-ServicePrincipal
Indica che il cmdlet specifica l'autenticazione dell'entità servizio.
L'entità servizio deve essere creata con il segreto specificato.
Tipo: | SwitchParameter |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
-TenantId
Specifica il GUID del tenant. Il cmdlet si connette ad Azure Information Protection per il tenant specificato dal GUID.
Se non si specifica questo parametro, il cmdlet si connette al tenant a cui appartiene l'account.
Tipo: | Guid |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |