New-AipServiceRightsDefinition
Azure Information Protection の保護テンプレートの権限定義オブジェクトを作成します。
構文
New-AipServiceRightsDefinition
[-EmailAddress <String>]
[-DomainName <String>]
-Rights <System.Collections.Generic.List`1[System.String]>
[<CommonParameters>] 説明
権限定義オブジェクトは、Azure Information Protection が保護するコンテンツに対してユーザーが持つ使用権限を表します。 組織内のユーザー、グループ、またはすべてのユーザーを指定できます。
同様の構成は、Azure portal で保護テンプレートを作成または構成するときにも実行できますが、このコマンドレットでは、より詳細な制御が提供されます。 ただし、このコマンドレットは、Azure portal で選択できる認証されたユーザー オプション
ヒント: このコマンドレットを使用すると、Azure Active Directory と Office 365 にユーザー アカウントがある場合に、他の組織との安全なコラボレーションを有効にすることができます。 たとえば、共同プロジェクトで共同作業するための外部グループ VIEW 権限と DOCEDIT 権限を指定します。 または、パートナー組織のすべてのユーザーに VIEW 権限を付与します。
Azure portal でテンプレートを構成する方法など、保護テンプレートの詳細については、「Azure Information Protectionのテンプレートの構成と管理」を参照してください。
Azure Information Protection 統合ラベル付けクライアントの使用
Azure Information Protection 統合ラベル付けクライアントは、保護テンプレートを間接的に使用します。 統合ラベル付けクライアントがある場合は、保護テンプレートを直接変更するのではなく、ラベルベースのコマンドレットを使用することをお勧めします。
詳細については、Microsoft 365 ドキュメント 秘密度ラベルの作成と公開に関するページを参照してください。
例
例 1: ユーザーの権限定義オブジェクトを作成する
PS C:\>$R1 = New-AipServiceRightsDefinition -EmailAddress "ElisaDaugherty@Contoso.com" -Rights "VIEW","DOCEDIT"このコマンドは、指定されたユーザーの権限定義オブジェクトを作成し、このポリシーを R1 という名前の変数に格納します。このオブジェクトを使用して、保護テンプレートを作成または更新できます。
このコマンドには、Contoso 組織内のユーザーの権限 VIEW と DOCEDIT が含まれます。
例 2: すべてのユーザーの権限定義オブジェクトを作成する
PS C:\>$R2 = New-AipServiceRightsDefinition -DomainName "Contoso.com" -Rights "VIEW"このコマンドは、Contoso 組織の権限定義オブジェクトを作成し、このポリシーを R2 という名前の変数に格納します。この変数を使用して、保護テンプレートを作成または更新できます。 このコマンドには、Contoso 組織内のすべてのユーザーに対する VIEW 権限が含まれています。
例 3: "Just for me" 構成の権限定義オブジェクトを作成する
PS C:\>$R3 = New-AipServiceRightsDefinition -EmailAddress "IPC_USER_ID_OWNER" -Rights "OWNER"このコマンドは、保護を適用するユーザーのみが制限なしでドキュメントまたは電子メールを開くことができるような、保護を適用する権限定義オブジェクトを作成します。 この構成は "Just for me" と呼ばれることもあります。これは、ユーザーが任意の場所にファイルを保存し、ファイルのみを開くことができるようにするために必要な結果である可能性があります。 保護を適用するユーザーのみがコンテンツを開くことができるため、この構成はコラボレーションを必要とするコンテンツには適していません。
パラメーター
-DomainName
保護テンプレートを作成または更新するときに権限を付与するために使用する、組織または別の組織のドメイン名を指定します。 組織に複数のドメインがある場合、指定するドメイン名は関係ありません。その組織のすべての検証済みドメインのユーザーが自動的に含まれます。
組織内のすべてのユーザーに対して 1 つのドメイン名のみを指定します。複数の組織に権限を付与するには、別の権限定義オブジェクトを作成します。
Azure AD の認証を成功させるには、ユーザーが Azure Active Directory にアカウントを持っている必要があることに注意してください。 Office 365 ユーザーは、Azure Active Directory に自動的にアカウントを持っています。
ソーシャル プロバイダー (gmail.com など) からドメイン名を指定できますが、Azure AD に含まれていないアカウントの認証は電子メールでのみサポートされ、Exchange Online が Office 365 Message Encryption の新機能用に構成されている場合は認証がサポートされます。
| 型: | String |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-EmailAddress
ユーザーまたはグループの電子メール アドレスを指定します。 ユーザーまたはグループは、組織の内部でも外部でもかまいません。 Azure AD 認証を成功させるには、ユーザーが Azure Active Directory にアカウントを持っている必要があります。 Office 365 ユーザーは、Azure Active Directory に自動的にアカウントを持っています。
その他の認証方法には、Office 365 Message Encryption の新機能用に Exchange Online が構成されている場合のソーシャル プロバイダー (Gmail アカウントなど) からのメール アドレスが含まれます。 一部のアプリケーションでは、Microsoft アカウントを使用した個人用メール アドレスもサポートされています。 認証に Microsoft アカウントを使用する方法の詳細については、サポートされている シナリオの表を参照してください。
コマンドレットは、Rights パラメーターが指定する権限を、アドレスが指定するユーザーまたはグループに関連付けます。
ヒント: 組織内のすべてのユーザーまたは別の組織内のすべてのユーザーを指定する場合は、DomainName パラメーターを使用します。
| 型: | String |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-Rights
権限の一覧を指定します。 この一覧には、次の 1 つ以上が含まれています。
VIEW: 画面にデータを表示することが許可されているほとんどのアプリケーションによって解釈されます。
編集: ドキュメント内のコンテンツを変更して保存することが許可されているほとんどのアプリケーションによって解釈されます。
DOCEDIT: ドキュメントの内容を変更することが許可されているほとんどのアプリケーションによって解釈されます。
EXTRACT: ほとんどのアプリケーションで、コンテンツをクリップボードにコピーしたり、暗号化されていない形式でコンテンツを抽出したりできます。
OBJMODEL: ほとんどのアプリケーションでプログラムによるドキュメントへのアクセスが許可されると解釈されます。たとえば、マクロを使用します。
EXPORT: ほとんどのアプリケーションで、暗号化されていない形式でファイルを保存できるものとして解釈されます。 たとえば、この権限を使用すると、保護をサポートしていない別のファイル形式で保存できます。
PRINT: ドキュメントの印刷が許可されているほとんどのアプリケーションによって解釈されます。
所有者: ユーザーは、保護を削除する機能を含め、ドキュメントに対するすべての権限を持ちます。
転送: ほとんどのアプリケーションによって、電子メール メッセージの転送が許可され、[宛先] 行と [CC] 行に受信者が追加されると解釈されます。
応答: ほとんどのアプリケーションで、宛先行または CC 行の変更を許可せずに、電子メール メッセージへの返信を選択できるものとして解釈されます。
REPLYALL: ほとんどのアプリケーションによって、電子メール メッセージのすべての受信者に返信できるものとして解釈されますが、ユーザーが宛先または CC 行に受信者を追加することはできません。
注: わかりやすくするために、モジュールのドキュメントと表示テキストには、これらの権限がすべて大文字として表示されます。 ただし、値では大文字と小文字は区別されず、小文字または大文字で指定できます。
使用権限の詳細については、「Azure Information Protectionの使用権限の構成」を参照してください。
| 型: | System.Collections.Generic.List`1[System.String] |
| 配置: | Named |
| 規定値: | None |
| 必須: | True |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |