Connect-AipService
Azure Information Protection に接続します。
構文
Connect-AipService
[-Credential <PSCredential>]
[-TenantId <Guid>]
[<CommonParameters>] Connect-AipService
[-AccessToken <String>]
[-TenantId <Guid>]
[<CommonParameters>] Connect-AipService
[-EnvironmentName <AzureRmEnvironment>]
[<CommonParameters>] 説明
Connect-AipService コマンドレットを使用すると、Azure Information Protection に接続されるので、テナントの保護サービスの管理コマンドを実行できます。 このコマンドレットは、テナントを管理するパートナー企業でも使用できます。
このモジュールの他のコマンドレットを実行する前に、このコマンドレットを実行する必要があります。
Azure Information Protection に接続するには、次のいずれかのアカウントを使用します。
- Office 365 テナントのグローバル管理者。
- Azure AD テナントのグローバル管理者。 ただし、このアカウントを Microsoft アカウント (MSA) または別の Azure テナントから使用することはできません。
- Add-AipServiceRoleBasedAdministrator コマンドレットを使用して、Azure Information Protection に対する管理者権限が付与されているテナントのユーザー アカウント。
- Azure Information Protection 管理者、コンプライアンス管理者、またはコンプライアンス データ管理者の Azure AD 管理者ロール。
先端
資格情報の入力を求めず、資格情報をしないとこの機能を使用できないなどのエラー メッセージが表示される場合は、Internet Explorer が Windows 統合認証を使用するように構成されていることを確認します。
この設定が有効になっていない場合は、有効にして Internet Explorer を再起動し、Information Protection サービスへの認証を再試行します。
例
例 1: Azure Information Protection に接続し、ユーザー名とその他の資格情報の入力を求めるメッセージを表示する
PS C:\> Connect-AipServiceこのコマンドは、Azure Information Protection から保護サービスに接続します。 これは、パラメーターなしでコマンドレットを実行することで、サービスに接続する最も簡単な方法です。
ユーザー名とパスワードの入力を求められます。 アカウントが多要素認証を使用するように構成されている場合は、別の認証方法の入力を求められた後、サービスに接続されます。
アカウントが多要素認証を使用するように構成されている場合は、この方法を使用して Azure Information Protection に接続する必要があります。
例 2: 保存された資格情報を使用して Azure Information Protection に接続する
PS C:\>$AdminCredentials = Get-Credential "Admin@aadrm.contoso.com"
PS C:\> Connect-AipService -Credential $AdminCredentials最初のコマンドは、PSCredential オブジェクトを作成し、指定したユーザー名とパスワードを $AdminCredentials 変数に格納します。 このコマンドを実行すると、指定したユーザー名のパスワードの入力を求められます。
2 番目のコマンドは、$AdminCredentialsに格納されている資格情報を使用して Azure Information Protection に接続します。 変数がまだ使用されている間にサービスから切断して再接続する場合は、2 番目のコマンドを再実行するだけです。
例 3: トークンを使用して Azure Information Protection に接続する
PS C:\ > Add-Type -Path "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.1\Microsoft.IdentityModel.Clients.ActiveDirectory.dll"
PS C:\ > $clientId='90f610bf-206d-4950-b61d-37fa6fd1b224';
PS C:\ > $resourceId = 'https://api.aadrm.com/';
PS C:\ > $userName='admin@contoso.com';
PS C:\ > $password='Passw0rd!';
PS C:\ > $authority = "https://login.microsoftonline.com/common";
PS C:\ > $authContext = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext($authority);
PS C:\ > $userCreds = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.UserPasswordCredential($userName, $password);
PS C:\ > $authResult = [Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContextIntegratedAuthExtensions]::AcquireTokenAsync($authContext, $resourceId, $clientId, $userCreds).Result;
PS C:\ > Import-Module AIPService
PS C:\> Connect-AipService -AccessToken $authResult.AccessTokenこの例では、AccessToken パラメーターを使用して Azure Information Protection に接続する方法を示します。これにより、プロンプトなしで認証できます。 この接続方法では、クライアント ID 90f610bf-206d-4950-b61d-37fa6fd1b224 とリソース ID *https://api.aadrm.com/*を指定する必要があります。 接続が開かれたら、このモジュールから必要な管理コマンドを実行できます。
これらのコマンドが Azure Information Protection に正常に接続されることを確認したら、スクリプトなど、非対話形式で実行できます。
この例では、図の目的で、パスワードが passw0rd の admin@contoso.com のユーザー名 使用されることに注意してください。 この接続方法を非対話形式で使用する運用環境では、パスワードをクリア テキストに格納しないように、追加の方法を使用してパスワードをセキュリティで保護します。 たとえば、ConvertTo-SecureString コマンドを使用するか、Key Vault を使用してパスワードをシークレットとして格納します。
例 4: サービス プリンシパル認証を使用してクライアント証明書を使用して Azure Information Protection に接続する
PS C:\ > $Thumbprint = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\> Connect-AipService -CertificateThumbprint $Thumbprint -ApplicationId $ApplicationId -TenantId $TenantId -ServicePrincipalこの例では、証明書ベースのサービス プリンシパル認証を使用して Azure アカウントに接続します。 認証に使用するサービス プリンシパルは、指定した証明書で作成する必要があります。
この例の前提条件:
- AIPService PowerShell モジュールをバージョン 1.0.05 以降に更新する必要があります。
- サービス プリンシパル認証を有効にするには、読み取り API アクセス許可 (Application.Read.All) をサービス プリンシパルに追加する必要があります。
詳細については、「必要な API のアクセス許可 - Microsoft Information Protection SDK」と「Azure PowerShell を使用して証明書を使用してサービス プリンシパルを作成する」を参照してください。
例 5: サービス プリンシパル認証を使用してクライアント シークレットを使用して Azure Information Protection に接続する
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\ > $Credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $ApplicationId, $SecuredPassword
PS C:\ > Connect-AipService -Credential $Credential -TenantId $TenantId -ServicePrincipalこの例では、次の操作を行います。
- 最初のコマンドは、サービス プリンシパルの資格情報の入力を求め、
$Credential変数に格納します。 昇格したら、ユーザー名の値とサービス プリンシパル シークレットのアプリケーション ID をパスワードとして入力します。 - 2 番目のコマンドは、
$Credential変数に格納されているサービス プリンシパル資格情報を使用して、指定した Azure テナントに接続します。ServicePrincipalスイッチ パラメーターは、アカウントがサービス プリンシパルとして認証されることを示します。
サービス プリンシパル認証を有効にするには、読み取り API アクセス許可 (Application.Read.All) をサービス プリンシパルに追加する必要があります。 詳細については、「必要な API アクセス許可の - Microsoft Information Protection SDK」を参照してください。
パラメーター
-AccessToken
クライアント ID 90f610bf-206d-4950-b61d-37fa6fd1b224 とリソース ID https://api.aadrm.com/を使用して、Azure Active Directory から取得したトークンを使用して Azure Information Protection に接続するには、このパラメーターを使用します。 この接続方法を使用すると、Azure Information Protection に非対話形式でサインインできます。
アクセス トークンを取得するには、テナントから使用するアカウントが多要素認証 (MFA) を使用していないことを確認します。 これを行う方法については、例 3 を参照してください。
このパラメーターは、Credential パラメーターでは使用できません。
| 型: | String |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-ApplicationID
サービス プリンシパルのアプリケーション ID を指定します。
| 型: | String |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-CertificateThumbprint
指定されたアクションを実行するアクセス許可を持つサービス プリンシパルのデジタル公開キー X.509 証明書の証明書拇印を指定します。
| 型: | String |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-Credential
PSCredential オブジェクトを指定します。
PSCredential オブジェクトを取得するには、Get-Credential コマンドレットを使用します。 詳細については、「Get-Help Get-Cmdlet」と入力します。
このコマンドレットでは、パスワードの入力を求められます。
このパラメーターは、AccessToken パラメーターでは使用できません。アカウントが多要素認証 (MFA) を使用するように構成されている場合は使用しないでください。
| 型: | PSCredential |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-EnvironmentName
ソブリン クラウドの Azure インスタンスを指定します。 有効な値は次のとおりです。
- AzureCloud: Azure の 商用オファリング
- AzureChinaCloud: 21Vianet が運用する Azure
- AzureUSGovernment: Azure Government の
Azure Government での Azure Information Protection の使用の詳細については、「Azure Information Protection Premium Government サービスの説明 」を参照してください。
| 型: | AzureRmEnvironment |
| 指定可能な値: | AzureCloud, AzureChinaCloud, AzureUSGovernment |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-ServicePrincipal
コマンドレットがサービス プリンシパル認証を指定することを示します。
サービス プリンシパルは、指定したシークレットを使用して作成する必要があります。
| 型: | SwitchParameter |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-TenantId
テナント GUID を指定します。 このコマンドレットは、GUID で指定したテナントの Azure Information Protection に接続します。
このパラメーターを指定しない場合、コマンドレットはアカウントが属しているテナントに接続します。
| 型: | Guid |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |