你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Connect-AipService
连接到 Azure 信息保护。
语法
Connect-AipService
[-Credential <PSCredential>]
[-TenantId <Guid>]
[<CommonParameters>] Connect-AipService
[-AccessToken <String>]
[-TenantId <Guid>]
[<CommonParameters>] Connect-AipService
[-EnvironmentName <AzureRmEnvironment>]
[<CommonParameters>] 说明
Connect-AipService cmdlet 将连接到 Azure 信息保护,以便你可以为租户的保护服务运行管理命令。 此 cmdlet 还可供管理租户的合作伙伴公司使用。
必须先运行此 cmdlet,然后才能运行本模块中的其他 cmdlet。
若要连接到 Azure 信息保护,请使用以下帐户之一:
- Office 365 租户的全局管理员。
- Azure AD 租户的全局管理员。 但是,此帐户不能是Microsoft帐户(MSA)或其他 Azure 租户。
- 租户中的用户帐户,已使用 Add-AipServiceRoleBasedAdministrator cmdlet 授予 Azure 信息保护的管理权限。
- Azure 信息保护管理员、合规性管理员或合规性数据管理员的 Azure AD 管理员角色。
提示
如果未提示输入凭据,并且看到错误消息(如 在不使用凭据的情况下无法使用此功能),请验证 Internet Explorer 是否已配置为使用 Windows 集成身份验证。
如果未启用此设置,请启用此设置,重启 Internet Explorer,然后重试对信息保护服务的身份验证。
示例
示例 1:连接到 Azure 信息保护并提示输入用户名和其他凭据
PS C:\> Connect-AipService此命令从 Azure 信息保护连接到保护服务。 这是通过运行不带参数的 cmdlet 连接到服务的最简单方法。
系统会提示输入用户名和密码。 如果帐户配置为使用多重身份验证,系统会提示你使用替代身份验证方法,然后连接到服务。
如果帐户配置为使用多重身份验证,则必须使用此方法连接到 Azure 信息保护。
示例 2:使用存储的凭据连接到 Azure 信息保护
PS C:\>$AdminCredentials = Get-Credential "Admin@aadrm.contoso.com"
PS C:\> Connect-AipService -Credential $AdminCredentials第一个命令创建 PSCredential 对象,并将指定的用户名和密码存储在 $AdminCredentials 变量中。 运行此命令时,系统会提示输入指定用户名的密码。
第二个命令使用存储在 $AdminCredentials中的凭据连接到 Azure 信息保护。 如果在变量仍在使用期间断开服务的连接并重新连接,只需重新运行第二个命令。
示例 3:使用令牌连接到 Azure 信息保护
PS C:\ > Add-Type -Path "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.1\Microsoft.IdentityModel.Clients.ActiveDirectory.dll"
PS C:\ > $clientId='90f610bf-206d-4950-b61d-37fa6fd1b224';
PS C:\ > $resourceId = 'https://api.aadrm.com/';
PS C:\ > $userName='admin@contoso.com';
PS C:\ > $password='Passw0rd!';
PS C:\ > $authority = "https://login.microsoftonline.com/common";
PS C:\ > $authContext = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext($authority);
PS C:\ > $userCreds = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.UserPasswordCredential($userName, $password);
PS C:\ > $authResult = [Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContextIntegratedAuthExtensions]::AcquireTokenAsync($authContext, $resourceId, $clientId, $userCreds).Result;
PS C:\ > Import-Module AIPService
PS C:\> Connect-AipService -AccessToken $authResult.AccessToken此示例演示如何使用 AccessToken 参数连接到 Azure 信息保护,这样就可以在没有提示的情况下进行身份验证。 此连接方法要求指定客户端 ID 90f610bf-206d-4950-b61d-37fa6fd1b224 和资源 ID *https://api.aadrm.com/*。 连接打开后,可以从此模块运行所需的管理命令。
确认这些命令成功连接到 Azure 信息保护后,可以从脚本中以非交互方式运行它们。
请注意,出于说明目的,此示例使用 admin@contoso.com 的用户名和密码 Passw0rd! 非交互方式使用此连接方法时,请在生产环境中使用其他方法来保护密码,使其不以明文形式存储。 例如,使用 ConvertTo-SecureString 命令或使用 Key Vault 将密码存储为机密。
示例 4:通过服务主体身份验证通过客户端证书连接到 Azure 信息保护
PS C:\ > $Thumbprint = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\> Connect-AipService -CertificateThumbprint $Thumbprint -ApplicationId $ApplicationId -TenantId $TenantId -ServicePrincipal此示例使用基于证书的服务主体身份验证连接到 Azure 帐户。 必须使用指定的证书创建用于身份验证的服务主体。
此示例的先决条件:
- 必须将 AIPService PowerShell 模块更新到版本 1.0.05 或更高版本。
- 若要启用服务主体身份验证,必须将读取 API 权限(Application.Read.All)添加到服务主体。
有关详细信息,请参阅 所需的 API 权限 - Microsoft信息保护 SDK,使用 Azure PowerShell 创建具有证书的服务主体。
示例 5:通过服务主体身份验证通过客户端机密连接到 Azure 信息保护
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\ > $Credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $ApplicationId, $SecuredPassword
PS C:\ > Connect-AipService -Credential $Credential -TenantId $TenantId -ServicePrincipal在此示例中:
- 第一个命令提示符提供服务主体凭据,并将其存储在
$Credential变量中。 升级后,输入用户名值的应用程序 ID 和服务主体机密作为密码。 - 第二个命令使用存储在
$Credential变量中的服务主体凭据连接到指定的 Azure 租户。ServicePrincipalswitch 参数指示帐户作为服务主体进行身份验证。
若要启用服务主体身份验证,必须将读取 API 权限(Application.Read.All)添加到服务主体。 有关详细信息,请参阅 所需的 API 权限 - Microsoft信息保护 SDK。
参数
-AccessToken
使用此参数可以通过使用从 Azure Active Directory 获取的令牌连接到 Azure 信息保护,使用客户端 ID 90f610bf-206d-4950-b61d-37fa6fd1b224 和资源 ID https://api.aadrm.com/。 此连接方法允许以非交互方式登录到 Azure 信息保护。
若要获取访问令牌,请确保从租户使用的帐户未使用多重身份验证(MFA)。 请参阅示例 3,了解如何执行此操作。
不能将此参数与 Credential 参数一起使用。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-ApplicationID
指定服务主体的应用程序 ID。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-CertificateThumbprint
为有权执行给定操作的服务主体指定数字公钥 X.509 证书的证书指纹。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-Credential
指定 PSCredential 对象。 若要获取 PSCredential 对象,请使用 Get-Credential cmdlet。 有关详细信息,请键入 Get-Help Get-Cmdlet。
该 cmdlet 会提示输入密码。
不能将此参数与 AccessToken 参数一起使用,如果帐户配置为使用多重身份验证(MFA),则不要使用它。
| 类型: | PSCredential |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-EnvironmentName
指定主权云的 Azure 实例。 有效值为:
- AzureCloud: Azure 商业产品/服务
- AzureChinaCloud: 由世纪互联运营的 Azure
- AzureUSGovernment: Azure Government
有关将 Azure 信息保护与 Azure 政府配合使用的详细信息,请参阅 Azure 信息保护高级政府版服务说明。
| 类型: | AzureRmEnvironment |
| 接受的值: | AzureCloud, AzureChinaCloud, AzureUSGovernment |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-ServicePrincipal
指示 cmdlet 指定服务主体身份验证。
必须使用指定的机密创建服务主体。
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-TenantId
指定租户 GUID。 该 cmdlet 连接到由 GUID 指定的租户的 Azure 信息保护。
如果未指定此参数,cmdlet 将连接到帐户所属的租户。
| 类型: | Guid |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |