다음을 통해 공유


Connect-AipService

Azure Information Protection 연결합니다.

구문

Connect-AipService
       [-Credential <PSCredential>]
       [-TenantId <Guid>]
       [<CommonParameters>]
Connect-AipService
       [-AccessToken <String>]
       [-TenantId <Guid>]
       [<CommonParameters>]
Connect-AipService
       [-EnvironmentName <AzureRmEnvironment>]
       [<CommonParameters>]

Description

Connect-AipService cmdlet은 테넌트에 대한 보호 서비스에 대한 관리 명령을 실행할 수 있도록 Azure Information Protection 연결합니다. 이 cmdlet은 테넌트를 관리하는 파트너 회사에서도 사용할 수 있습니다.

이 모듈에서 다른 cmdlet을 실행하려면 먼저 이 cmdlet을 실행해야 합니다.

Azure Information Protection 연결하려면 다음 중 하나인 계정을 사용합니다.

  • Office 365 테넌트에 대한 전역 관리자입니다.
  • Azure AD 테넌트에 대한 전역 관리자입니다. 그러나 이 계정은 MSA(Microsoft 계정) 또는 다른 Azure 테넌트에서 사용할 수 없습니다.
  • Add-AipServiceRoleBasedAdministrator cmdlet을 사용하여 Azure Information Protection 대한 관리 권한이 부여된 테넌트의 사용자 계정입니다.
  • Azure Information Protection 관리자, 규정 준수 관리자 또는 규정 준수 데이터 관리자의 Azure AD 관리자 역할입니다.

자격 증명에 대한 메시지가 표시되지 않고 자격 증명 없이 이 기능을 사용할 수 없음과 같은 오류 메시지가 표시되는 경우 Internet Explorer가 Windows 통합 인증을 사용하도록 구성되어 있는지 확인합니다.

이 설정을 사용하도록 설정하지 않은 경우 사용하도록 설정하고 Internet Explorer를 다시 시작한 다음 Information Protection 서비스에 대한 인증을 다시 시도합니다.

예제

예제 1: Azure Information Protection 연결하고 사용자 이름 및 기타 자격 증명을 묻는 메시지가 표시됩니다.

PS C:\> Connect-AipService

이 명령은 Azure Information Protection 보호 서비스에 연결합니다. 매개 변수 없이 cmdlet을 실행하여 서비스에 연결하는 가장 간단한 방법입니다.

사용자 이름 및 암호를 묻는 메시지가 표시됩니다. 계정이 다단계 인증을 사용하도록 구성된 경우 대체 인증 방법을 묻는 메시지가 표시되고 서비스에 연결됩니다.

계정이 다단계 인증을 사용하도록 구성된 경우 이 방법을 사용하여 Azure Information Protection 연결해야 합니다.

예제 2: 저장된 자격 증명을 사용하여 Azure Information Protection 연결

PS C:\>$AdminCredentials = Get-Credential "Admin@aadrm.contoso.com"
PS C:\> Connect-AipService -Credential $AdminCredentials

첫 번째 명령은 PSCredential 개체를 만들고 지정된 사용자 이름과 암호를 $AdminCredentials 변수에 저장합니다. 이 명령을 실행하면 지정한 사용자 이름의 암호를 묻는 메시지가 표시됩니다.

두 번째 명령은 $AdminCredentials 저장된 자격 증명을 사용하여 Azure Information Protection 연결합니다. 변수가 계속 사용 중인 동안 서비스에서 연결을 끊고 다시 연결하는 경우 두 번째 명령을 다시 실행하기만 하면 됩니다.

예제 3: 토큰을 사용하여 Azure Information Protection 연결

PS C:\ > Add-Type -Path "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.1\Microsoft.IdentityModel.Clients.ActiveDirectory.dll"
PS C:\ > $clientId='90f610bf-206d-4950-b61d-37fa6fd1b224';
PS C:\ > $resourceId = 'https://api.aadrm.com/';
PS C:\ > $userName='admin@contoso.com';
PS C:\ > $password='Passw0rd!';
PS C:\ > $authority = "https://login.microsoftonline.com/common";
PS C:\ > $authContext = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext($authority);
PS C:\ > $userCreds = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.UserPasswordCredential($userName, $password);
PS C:\ > $authResult = [Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContextIntegratedAuthExtensions]::AcquireTokenAsync($authContext, $resourceId, $clientId, $userCreds).Result;
PS C:\ > Import-Module AIPService
PS C:\> Connect-AipService -AccessToken $authResult.AccessToken

이 예제에서는 AccessToken 매개 변수를 사용하여 Azure Information Protection 연결하는 방법을 보여 줍니다. 그러면 프롬프트 없이 인증할 수 있습니다. 이 연결 방법을 사용하려면 클라이언트 ID 90f610bf-206d-4950-b61d-37fa6fd1b224 및 리소스 ID *https://api.aadrm.com/*를 지정해야 합니다. 연결이 열린 후 필요한 이 모듈에서 관리 명령을 실행할 수 있습니다.

이러한 명령으로 인해 Azure Information Protection 성공적으로 연결되었는지 확인한 후 스크립트와 같이 비대화형으로 실행할 수 있습니다.

이 예제에서는 설명 목적으로 Passw0rd 암호와 함께 사용자 이름을 admin@contoso.com 사용합니다. 이 연결 방법을 비대화형으로 사용하는 경우 프로덕션 환경에서 암호를 보호하는 추가 메서드를 사용하여 암호가 명확한 텍스트로 저장되지 않도록 합니다. 예를 들어 ConvertTo-SecureString 명령을 사용하거나 Key Vault 사용하여 암호를 비밀로 저장합니다.

예제 4: 서비스 주체 인증을 통해 클라이언트 인증서를 사용하여 Azure Information Protection 연결

PS C:\ > $Thumbprint = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\> Connect-AipService -CertificateThumbprint $Thumbprint -ApplicationId $ApplicationId -TenantId $TenantId -ServicePrincipal

이 예제에서는 인증서 기반 서비스 주체 인증을 사용하여 Azure 계정에 연결합니다. 인증에 사용되는 서비스 주체는 지정된 인증서를 사용하여 만들어야 합니다.

이 예제의 필수 구성 요소는 다음과 같습니다.

  • AIPService PowerShell 모듈을 버전 1.0.05 이상으로 업데이트해야 합니다.
  • 서비스 주체 인증을 사용하도록 설정하려면 서비스 주체에 읽기 API 권한(Application.Read.All)을 추가해야 합니다.

자세한 내용은 필수 API 권한- Microsoft Information Protection SDKAzure PowerShell 사용하여 인증서가 있는 서비스 주체 만들기를 참조하세요.

예제 5: 서비스 주체 인증을 통해 클라이언트 암호를 사용하여 Azure Information Protection 연결

PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\ > $Credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $ApplicationId, $SecuredPassword
PS C:\ > Connect-AipService -Credential $Credential -TenantId $TenantId -ServicePrincipal

이 예제에 대한 설명:

  • 첫 번째 명령은 서비스 주체 자격 증명을 묻는 메시지를 표시하고 변수에 $Credential 저장합니다. 승격되면 사용자 이름 값의 애플리케이션 ID와 서비스 주체 암호를 암호로 입력합니다.
  • 두 번째 명령은 변수에 저장된 $Credential 서비스 주체 자격 증명을 사용하여 지정된 Azure 테넌트에 연결합니다. switch 매개 변수는 ServicePrincipal 계정이 서비스 주체로 인증됨을 나타냅니다.

서비스 주체 인증을 사용하도록 설정하려면 서비스 주체에 읽기 API 권한(Application.Read.All)을 추가해야 합니다. 자세한 내용은 필수 API 권한 Microsoft Information Protection SDK를 참조하세요.

매개 변수

-AccessToken

이 매개 변수를 사용하여 클라이언트 ID 90f610bf-206d-4950-b61d-37fa6fd1b224 및 리소스 IDhttps://api.aadrm.com/를 사용하여 Azure Active Directory에서 획득한 토큰을 사용하여 Azure Information Protection 연결합니다. 이 연결 방법을 사용하면 비대화형으로 Azure Information Protection 로그인할 수 있습니다.

액세스 토큰을 가져오려면 테넌트에서 사용하는 계정이 MFA(다단계 인증)를 사용하지 않는지 확인합니다. 이 작업을 수행하는 방법은 예제 3을 참조하세요.

자격 증명 매개 변수에는 이 매개 변수를 사용할 수 없습니다.

형식:String
Position:Named
Default value:None
필수:False
파이프라인 입력 허용:False
와일드카드 문자 허용:False

-ApplicationID

서비스 주체의 애플리케이션 ID를 지정합니다.

형식:String
Position:Named
Default value:None
필수:False
파이프라인 입력 허용:False
와일드카드 문자 허용:False

-CertificateThumbprint

지정된 작업을 수행할 수 있는 권한이 있는 서비스 주체에 대한 디지털 공개 키 X.509 인증서의 인증서 지문을 지정합니다.

형식:String
Position:Named
Default value:None
필수:False
파이프라인 입력 허용:False
와일드카드 문자 허용:False

-Credential

PSCredential 개체를 지정합니다. PSCredential 개체를 가져오려면 Get-Credential cmdlet을 사용합니다. 자세한 내용을 보려면 Get-Help Get-Cmdlet를 입력하십시오.

cmdlet에서 암호를 입력하라는 메시지를 표시합니다.

AccessToken 매개 변수와 함께 이 매개 변수를 사용할 수 없으며 계정이 MFA(다단계 인증)를 사용하도록 구성된 경우에는 사용할 수 없습니다.

형식:PSCredential
Position:Named
Default value:None
필수:False
파이프라인 입력 허용:False
와일드카드 문자 허용:False

-EnvironmentName

소버린 클라우드에 대한 Azure 인스턴스를 지정합니다. 유효한 값은 다음과 같습니다.

  • AzureCloud: Azure의 상업용 제품
  • AzureChinaCloud: 21Vianet에서 운영하는 Azure
  • AzureUSGovernment: Azure Government

Azure Government Azure Information Protection 사용하는 방법에 대한 자세한 내용은 Azure Information Protection Premium Government 서비스 설명을 참조하세요.

형식:AzureRmEnvironment
허용되는 값:AzureCloud, AzureChinaCloud, AzureUSGovernment
Position:Named
Default value:None
필수:False
파이프라인 입력 허용:False
와일드카드 문자 허용:False

-ServicePrincipal

cmdlet이 서비스 주체 인증을 지정했음을 나타냅니다.

서비스 주체는 지정된 비밀로 만들어야 합니다.

형식:SwitchParameter
Position:Named
Default value:None
필수:False
파이프라인 입력 허용:False
와일드카드 문자 허용:False

-TenantId

테넌트 GUID를 지정합니다. cmdlet은 GUID로 지정한 테넌트에 대한 Azure Information Protection 연결합니다.

이 매개 변수를 지정하지 않으면 cmdlet은 계정이 속한 테넌트에 연결합니다.

형식:Guid
Position:Named
Default value:None
필수:False
파이프라인 입력 허용:False
와일드카드 문자 허용:False