你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Connect-AipService

连接到 Azure 信息保护。

语法

Connect-AipService
       [-Credential <PSCredential>]
       [-TenantId <Guid>]
       [<CommonParameters>]
Connect-AipService
       [-AccessToken <String>]
       [-TenantId <Guid>]
       [<CommonParameters>]
Connect-AipService
       [-EnvironmentName <AzureRmEnvironment>]
       [<CommonParameters>]

说明

Connect-AipService cmdlet 将你连接到 Azure 信息保护,以便你可以为租户的保护服务运行管理命令。 管理你的租户的合作伙伴公司也可以使用此 cmdlet。

必须先运行此 cmdlet,然后才能在此模块中运行其他 cmdlet。

若要连接到 Azure 信息保护,请使用以下帐户之一:

  • Office 365租户的全局管理员。
  • Azure AD 租户的全局管理员。 但是,此帐户不能 (MSA) 或其他 Azure 租户的 Microsoft 帐户。
  • 租户中的用户帐户,已使用 Add-AipServiceRoleBasedAdministrator cmdlet 向 Azure 信息保护授予管理权限。
  • Azure 信息保护管理员、合规性管理员或合规性数据管理员的 Azure AD 管理员角色。

提示

如果未提示输入凭据,并且看到错误消息(如 在不使用凭据的情况下无法使用此功能),请验证 Internet Explorer 是否已配置为使用 Windows 集成身份验证。

如果未启用此设置,请启用此设置,重启 Internet Explorer,然后重试信息保护服务的身份验证。

示例

示例 1:连接到 Azure 信息保护,并提示输入用户名和其他凭据

PS C:\> Connect-AipService

此命令从 Azure 信息保护连接到保护服务。 这是通过运行不带参数的 cmdlet 连接到服务的最简单方法。

系统会提示输入用户名和密码。 如果帐户配置为使用多重身份验证,系统会提示你使用替代身份验证方法,然后连接到服务。

如果帐户配置为使用多重身份验证,则必须使用此方法连接到 Azure 信息保护。

示例 2:使用存储凭据连接到 Azure 信息保护

PS C:\>$AdminCredentials = Get-Credential "Admin@aadrm.contoso.com"
PS C:\> Connect-AipService -Credential $AdminCredentials

第一个命令创建 PSCredential 对象,并将指定的用户名和密码存储在 $AdminCredentials 变量中。 运行此命令时,系统会提示输入指定用户名的密码。

第二个命令使用存储在 $AdminCredentials 中的凭据连接到 Azure 信息保护。 如果在变量仍在使用时断开服务连接并重新连接,只需重新运行第二个命令。

示例 3:使用令牌连接到 Azure 信息保护

PS C:\ > Add-Type -Path "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.1\Microsoft.IdentityModel.Clients.ActiveDirectory.dll"
PS C:\ > $clientId='90f610bf-206d-4950-b61d-37fa6fd1b224';
PS C:\ > $resourceId = 'https://api.aadrm.com/';
PS C:\ > $userName='admin@contoso.com';
PS C:\ > $password='Passw0rd!';
PS C:\ > $authority = "https://login.microsoftonline.com/common";
PS C:\ > $authContext = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext($authority);
PS C:\ > $userCreds = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.UserPasswordCredential($userName, $password);
PS C:\ > $authResult = [Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContextIntegratedAuthExtensions]::AcquireTokenAsync($authContext, $resourceId, $clientId, $userCreds).Result;
PS C:\ > Import-Module AIPService
PS C:\> Connect-AipService -AccessToken $authResult.AccessToken

此示例演示如何使用 AccessToken 参数连接到 Azure 信息保护,这样就可以在没有提示的情况下进行身份验证。 此连接方法要求指定客户端 ID 90f610bf-206d-4950-b61d-37fa6fd1b224 和资源 ID *https://api.aadrm.com/*。 连接打开后,可以从此模块运行所需的管理命令。

确认这些命令成功连接到 Azure 信息保护后,可以从脚本以非交互方式运行它们。

请注意,出于说明目的,此示例使用密码为 Passw0rdadmin@contoso.com用户名!在生产环境中,当你以非交互方式使用此连接方法时,请使用其他方法来保护密码,使其不以明文形式存储。 例如,使用 ConvertTo-SecureString 命令或使用密钥保管库将密码存储为机密。

示例 4:通过服务主体身份验证连接到 Azure 信息保护

PS C:\ > $Thumbprint = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'
PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\> Connect-AipService -CertificateThumbprint $Thumbprint -ApplicationId $ApplicationId -TenantId $TenantId -ServicePrincipal

此示例使用基于证书的服务主体身份验证连接到 Azure 帐户。 必须使用指定的证书创建用于身份验证的服务主体。

此示例的先决条件:

  • 必须将 AIPService PowerShell 模块更新到版本 1.0.05 或更高版本。
  • 若要启用服务主体身份验证,必须将读取 API 权限添加到服务主体 (Application.Read.All) 。

有关详细信息,请参阅所需的 API 权限 - Microsoft 信息保护 SDK 并使用 Azure PowerShell 创建具有证书的服务主体

示例 5:通过服务主体身份验证连接到 Azure 信息保护

PS C:\ > $TenantId = 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyy'
PS C:\ > $ApplicationId = '00000000-0000-0000-0000-00000000'
PS C:\ > $Credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $ApplicationId, $SecuredPassword
PS C:\ > Connect-AipService -Credential $Credential -TenantId $TenantId -ServicePrincipal

在此示例中:

  • 第一个命令提示用户输入服务主体凭据,然后将其存储在 $Credential 变量中。 升级后,输入用户名值和服务主体机密的应用程序 ID 作为密码。
  • 第二个命令使用存储在变量中的 $Credential 服务主体凭据连接到指定的 Azure 租户。 ServicePrincipal switch 参数指示帐户作为服务主体进行身份验证。

若要启用服务主体身份验证,必须将读取 API 权限添加到服务主体 (Application.Read.All) 。 有关详细信息,请参阅所需的 API 权限 - Microsoft 信息保护 SDK

参数

-AccessToken

使用此参数可以通过使用从 Azure Active Directory 获取的令牌连接到 Azure 信息保护,使用客户端 ID 90f610bf-206d-4950-b61d-37fa6fd1b224 和资源 IDhttps://api.aadrm.com/。 此连接方法允许以非交互方式登录到 Azure 信息保护。

若要获取访问令牌,请确保从租户使用的帐户不使用多重身份验证 (MFA) 。 有关如何执行此操作,请参阅示例 3。

不能将此参数与 Credential 参数一起使用。

类型:String
Position:Named
默认值:None
必需:False
接受管道输入:False
接受通配符:False

-ApplicationID

指定服务主体的应用程序 ID。

类型:String
Position:Named
默认值:None
必需:False
接受管道输入:False
接受通配符:False

-CertificateThumbprint

为有权执行给定操作的服务主体指定数字公钥 X.509 证书的证书指纹。

类型:String
Position:Named
默认值:None
必需:False
接受管道输入:False
接受通配符:False

-Credential

指定 PSCredential 对象。 若要获取 PSCredential 对象,请使用 Get-Credential cmdlet。 要了解详情,请键入 Get-Help Get-Cmdlet

该 cmdlet 将提示你输入密码。

不能将此参数与 AccessToken 参数一起使用,如果帐户配置为使用多重身份验证 (MFA) ,则不要使用它。

类型:PSCredential
Position:Named
默认值:None
必需:False
接受管道输入:False
接受通配符:False

-EnvironmentName

指定主权云的 Azure 实例。 有效值是:

  • AzureCloud: Azure 的商业产品/服务
  • AzureChinaCloud: 由世纪互联运营的 Azure
  • AzureUSGovernment:Azure 政府

有关将 Azure 信息保护与 Azure 政府 配合使用的详细信息,请参阅 Azure 信息保护 Premium Government 服务说明

类型:AzureRmEnvironment
接受的值:AzureCloud, AzureChinaCloud, AzureUSGovernment
Position:Named
默认值:None
必需:False
接受管道输入:False
接受通配符:False

-ServicePrincipal

指示 cmdlet 指定服务主体身份验证。

必须使用指定的机密创建服务主体。

类型:SwitchParameter
Position:Named
默认值:None
必需:False
接受管道输入:False
接受通配符:False

-TenantId

指定租户 GUID。 该 cmdlet 连接到由 GUID 指定的租户的 Azure 信息保护。

如果未指定此参数,cmdlet 将连接到帐户所属的租户。

类型:Guid
Position:Named
默认值:None
必需:False
接受管道输入:False
接受通配符:False