Set-AipServiceOnboardingControlPolicy
設定 Azure 資訊保護的用戶上線控制原則。
語法
Set-AipServiceOnboardingControlPolicy
[-Force]
-UseRmsUserLicense <Boolean>
[-SecurityGroupObjectId <Guid>]
[-Scope <OnboardingControlPolicyScope>]
[-WhatIf]
[-Confirm]
[<CommonParameters>] Description
Set-AipServiceOnboardingControlPolicy Cmdlet 會設定原則,以控制 Azure 資訊保護的用戶上線。 此 Cmdlet 支援漸進式部署,方法是控制組織中的哪些使用者可以使用 Azure 資訊保護來保護內容。
您必須使用PowerShell來設定此設定;您無法使用管理入口網站來執行此設定。
此控制項可以根據指定安全組中服務或成員資格的指派用戶授權。 您也可以定義原則僅適用於行動裝置、僅限 Windows 用戶端或行動裝置和 Windows 用戶端。
如果您使用指派的授權選項,您可以使用 Microsoft 365 系統管理中心,或使用 Azure PowerShell 和 Azure PowerShell 和 Set-MsolUserLicense Cmdlet,將授權指派給使用者。 您也可以使用 get-MsolAccountSku Cmdlet
如果您使用群組成員資格選項,您必須指定安全組,該群組不需要啟用郵件,而且它可以包含其他群組。 若要指定群組,請使用群組 GUID。 如需使用者和群組需求以及如何尋找群組 GUID 的詳細資訊,請參閱 準備 Azure 資訊保護的使用者和群組。
如需 Azure AD PowerShell Cmdlet 的詳細資訊,請參閱 Azure Active Directory PowerShell。
注意
此 Cmdlet 不會阻止使用者取用受保護的內容,或防止系統管理員設定 Azure 資訊保護的服務(例如 Exchange Online 郵件流程規則或 SharePoint 保護的連結庫)。
相反地,它是針對 Office 之類的使用者應用程式所設計,讓使用者看不到使用 Azure 資訊保護的選項或範本。
範例
範例 1:將 Azure 資訊保護限制為具有授權且屬於指定群組成員的使用者
PS C:\> Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope All此命令會將 Azure 資訊保護設定為只允許具有 Azure Rights Management 授權的使用者使用 Azure 資訊保護來保護內容。 此外,命令會要求用戶成為具有指定物件標識元的安全組成員。 限制適用於 Windows 用戶端和行動裝置。
範例 2:將 Azure 資訊保護限制為指定群組成員的使用者
PS C:\> Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope All此命令只允許具有指定物件標識碼的安全組成員的使用者使用 Azure 資訊保護來保護內容。 此命令適用於 Windows 用戶端和行動裝置。
範例 3:將 Azure 資訊保護限制為具有 Azure Rights Management 授權的使用者
PS C:\> Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True -Scope All此命令只允許已指派 Azure Rights Management 授權的使用者使用 Azure 資訊保護來保護內容。 此命令適用於 Windows 用戶端和行動裝置。
範例 4:請勿限制使用者的 Azure 信息保護
PS C:\> Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -Scope All此命令可讓所有使用者使用 Azure 資訊保護來保護內容。 此命令適用於 Windows 用戶端和行動裝置。
參數
-Confirm
在執行 Cmdlet 之前,提示您進行確認。
| 類型: | SwitchParameter |
| 別名: | cf |
| Position: | Named |
| 預設值: | False |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-Force
表示此 Cmdlet 會設定上架控制原則,即使組織已經有上架控制原則也一樣。
| 類型: | SwitchParameter |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-Scope
指定套用上線原則的應用程式類型。
有效值為:
- 都
- WindowsApp
- MobileApp
| 類型: | OnboardingControlPolicyScope |
| 接受的值: | All, WindowsApp, MobileApp |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | True |
| 接受萬用字元: | False |
-SecurityGroupObjectId
指定 Azure AD 中安全組的物件識別碼。 如果您嘗試指定通訊群組的物件識別碼,您會看到錯誤。
指定的群組會限制哪些使用者可以使用 Azure 資訊保護來保護內容。 如果您也啟用授權強制執行,則只有已指派 Azure Rights Management 授權且屬於此指定群組成員的使用者,才能使用 Azure 資訊保護來保護內容。
即使所有使用者已獲指派 Azure Rights Management 授權,您也可以使用此參數來實作 Azure 資訊保護的階段式部署。
| 類型: | Guid |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | True |
| 接受萬用字元: | False |
-UseRmsUserLicense
指定未獲指派 Azure Rights Management 授權的使用者是否可以使用 Azure 資訊保護來保護內容。 無論此設定及其授權指派為何,使用者一律可以使用 Azure 資訊保護來取用受保護的內容。
| 類型: | Boolean |
| Position: | Named |
| 預設值: | None |
| 必要: | True |
| 接受管線輸入: | True |
| 接受萬用字元: | False |
-WhatIf
顯示 Cmdlet 執行時會發生什麼事。
Cmdlet 未執行。
| 類型: | SwitchParameter |
| 別名: | wi |
| Position: | Named |
| 預設值: | False |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |