你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
New-AipServiceRightsDefinition
为 Azure 信息保护的保护模板创建权限定义对象。
语法
New-AipServiceRightsDefinition
[-EmailAddress <String>]
[-DomainName <String>]
-Rights <System.Collections.Generic.List`1[System.String]>
[<CommonParameters>] 说明
New-AipServiceRightsDefinition cmdlet 创建一个权限定义对象,该对象存储为变量,然后在使用 Add-AipServiceTemplate 或 Set-AipServiceTemplateProperty cmdlet 时创建或更新 Azure 信息保护的保护模板。
权限定义对象表示用户对 Azure 信息保护保护的内容的使用权限。 可以指定组织中的用户、组或所有用户。
在Azure 门户中创建或配置保护模板时,也可以完成类似的配置,但此 cmdlet 提供更精细的控制。 但是,此 cmdlet 不支持可以在Azure 门户中选择的任何经过身份验证的用户选项。
提示:在 Azure Active Directory 和Office 365中具有用户帐户时,可以使用此 cmdlet 与其他组织进行安全协作。 例如,提供外部组 VIEW 和 DOCEDIT 权限以协作处理联合项目。 或者,向合作伙伴组织中的所有用户提供 VIEW 权限。
有关保护模板的详细信息,包括如何在Azure 门户中配置它们,请参阅配置和管理 Azure 信息保护的模板。
使用 Azure 信息保护统一标记客户端?
Azure 信息保护统一标记客户端间接使用保护模板。 如果你有统一标记客户端,我们建议使用基于标签的 cmdlet,而不是直接修改保护模板。
有关详细信息,请参阅 Microsoft 365 文档中 的“创建和发布敏感度标签 ”。
示例
示例 1:为用户创建权限定义对象
PS C:\>$R1 = New-AipServiceRightsDefinition -EmailAddress "ElisaDaugherty@Contoso.com" -Rights "VIEW","DOCEDIT"此命令为指定用户创建权限定义对象,并将此策略存储在名为 R1 的变量中,该变量随后可用于创建或更新保护模板。
该命令包括 Contoso 组织中的用户的 RIGHTS VIEW 和 DOCEDIT。
示例 2:为所有用户创建权限定义对象
PS C:\>$R2 = New-AipServiceRightsDefinition -DomainName "Contoso.com" -Rights "VIEW"此命令为 Contoso 组织创建权限定义对象,并将此策略存储在名为 R2 的变量中,然后可用于创建或更新保护模板。 该命令包括 Contoso 组织中的所有用户的 VIEW 权限。
示例 3:为“仅适合我”配置创建权限定义对象
PS C:\>$R3 = New-AipServiceRightsDefinition -EmailAddress "IPC_USER_ID_OWNER" -Rights "OWNER"此命令创建一个权限定义对象,该对象应用保护,这样只有应用保护的人员才能打开文档或电子邮件,且没有任何限制。 此配置有时称为“仅我”,可能是所需的结果,以便用户可以将文件保存到任何位置,并确保只有他们可以打开该文件。 由于只有应用保护的人员才能打开内容,因此此配置不适合需要协作的内容。
参数
-DomainName
指定组织或其他组织的域名,用于在创建或更新保护模板时授予权限。 当组织有多个域时,你指定的域名并不重要;将自动包含来自该组织的所有已验证域的用户。
仅为组织中的所有用户指定一个域名;若要向多个组织授予权限,请创建另一个权限定义对象。
请注意,若要成功对 Azure AD 进行身份验证,用户必须在 Azure Active Directory 中拥有帐户。 Office 365用户在 Azure Active Directory 中自动拥有帐户。
可以指定来自社交提供商的域名 (,例如 gmail.com) ,但仅支持对不在 Azure AD 中的帐户进行身份验证,以及为Office 365消息加密的新功能配置Exchange Online时。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-EmailAddress
指定用户或组的电子邮件地址。 用户或组可以是组织内部,也可以是外部用户。 若要使 Azure AD 身份验证成功,用户必须在 Azure Active Directory 中拥有帐户。 Office 365用户在 Azure Active Directory 中自动拥有帐户。
其他身份验证方法包括社交提供商 (的电子邮件地址,例如,为Office 365邮件加密的新功能配置Exchange Online时,Gmail 帐户) 。 某些应用程序还支持使用 Microsoft 帐户的个人电子邮件地址。 有关使用 Microsoft 帐户进行身份验证的详细信息,请参阅 受支持的方案表。
该 cmdlet 将 Rights 参数指定的权限关联到地址指定的用户或组。
提示:如果要指定组织中的所有用户或另一组织中的所有用户,请使用 DomainName 参数。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Rights
指定权限列表。 该列表包含下列一个或多个项:
视图: 由大多数应用程序解释为允许在屏幕上显示数据。
编辑: 由大多数应用程序解释为允许修改文档中的内容并将其保存。
DOCEDIT: 由大多数应用程序解释为允许修改文档的内容。
提取: 由大多数应用程序解释为允许将内容复制到剪贴板,或者以未加密的形式提取内容。
OBJMODEL: 由大多数应用程序解释为允许以编程方式访问文档;例如,通过使用宏。
出口: 由大多数应用程序解释为允许以未加密的形式保存文件。 例如,此权限允许你以不支持保护的不同文件格式进行保存。
打印: 由大多数应用程序解释为允许打印文档。
所有者: 用户对文档拥有所有权限,包括删除保护的功能。
向前: 大多数应用程序解释为允许转发电子邮件,并将收件人添加到收件人和抄送行。
答复: 大多数应用程序解释为允许选择答复电子邮件,而无需更改“收件人”或“抄送”行。
REPLYALL: 大多数应用程序解释为允许答复电子邮件的所有收件人,但不允许用户将收件人添加到收件人或抄送行。
注意:为了清楚起见,模块中的文档和显示文本将这些权限显示为所有大写字母。 但是,值不区分大小写,你可以使用小写或大写指定值。
有关使用权限的详细信息,请参阅为 Azure 信息保护配置使用权限。
| Type: | System.Collections.Generic.List`1[System.String] |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |