次の方法で共有


Use-AipServiceKeyVaultKey

Azure Key Vaultでカスタマー マネージド テナント キーを使用するように Azure Information Protectionに指示します。

構文

Use-AipServiceKeyVaultKey
   -KeyVaultKeyUrl <String>
   [-FriendlyName <String>]
   [-Force]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

説明

Use-AipServiceKeyVaultKey コマンドレットは、Azure Key Vaultでカスタマー マネージド キー (BYOK) を使用するように Azure Information Protectionに指示します。

PowerShell を使用してテナント キーを構成する必要があります。管理ポータルを使用してこの構成を行うことはできません。

このコマンドレットは、保護サービス (Azure Rights Management) がアクティブ化される前または後に実行できます。

このコマンドレットを実行する前に、Azure Rights Management サービス プリンシパルに、Azure Information Protectionに使用するキーを含むキー コンテナーへのアクセス許可が付与されていることを確認します。 これらのアクセス許可は、Azure Key Vault コマンドレット Set-AzKeyVaultAccessPolicy を実行することによって付与されます。

セキュリティ上の理由から、Use-AipServiceKeyVaultKey コマンドレットでは、Azure Key Vaultでキーのアクセス制御を設定または変更することはできません。 Set-AzKeyVaultAccessPolicy を実行してアクセスが許可されたら、Use-AipServiceKeyVaultKey を実行して、KeyVaultKeyUrl パラメーターで指定したキーとバージョンを使用するように Azure Information Protectionに指示します。

詳細については、「Azure Key Vault の場所を選択するためのベスト プラクティス」を参照してください。

Note

キー コンテナーにアクセス許可が付与される前にこのコマンドレットを実行すると、 Rights Management サービスがキーの追加に失敗したことを示すエラーが表示されます。

詳細を表示するには、-Verbose を使用してコマンドをもう一度実行します。 アクセス許可が付与されていない場合は、「 VERBOSE: Azure KeyVault にアクセスできない」と表示されます。

コマンドが正常に実行されると、キーは、組織の Azure Information Protectionのアーカイブされたカスタマー マネージド テナント キーとして追加されます。 Azure Information Protectionのアクティブ なテナント キーにするには、Set-AipServiceKeyProperties コマンドレットを実行する必要があります。

Azure Key Vault を使用して、指定したキーの使用を一元的に管理および監視します。 テナント キーに対するすべての呼び出しは、組織が所有するキー コンテナーに対して行われます。 Get-AipServiceKeys コマンドレットを使用して、Key Vaultで使用しているキーを確認できます。

Azure Information Protectionがサポートするテナント キーの種類の詳細については、「Azure Information Protection テナント キーの計画と実装」を参照してください。

Azure Key Vault の詳細については、「Azure Key Vault とは」をご覧ください。

例 1: Azure Key Vault でカスタマー マネージド キーを使用するように Azure Information Protectionを構成する

PS C:\>Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contoso.vault.azure.net/keys/contoso-aipservice-key/aaaabbbbcccc111122223333"

このコマンドは、contoso-aipservice-key という名前のキー (バージョン aaaabbbbcccc11112222333333) を contoso という名前のキー コンテナーで使用するように Azure Information Protectionに指示します

Azure Key Vault のこのキーとバージョンは、Azure Information Protectionのカスタマー マネージド テナント キーになります。

パラメーター

-Confirm

コマンドレットの実行前に確認を求めるメッセージが表示されます。

型:SwitchParameter
Aliases:cf
配置:Named
規定値:False
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Force

ユーザーに確認せずに、直ちにコマンドを実行します。

型:SwitchParameter
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-FriendlyName

信頼された発行ドメイン (TPD) のフレンドリ名と、AD RMS からインポートした SLC キーを指定します。

ユーザーが Office 2016 または Office 2013 を実行する場合は、[サーバー証明書] タブの AD RMS クラスターのプロパティに設定されているのと同じフレンドリ名の値を指定します。

このパラメーターは省略可能です。 使用しない場合は、キー識別子が代わりに使用されます。

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-KeyVaultKeyUrl

テナント キーに使用する Azure Key Vaultのキーとバージョンの URL を指定します。

このキーは、テナントのすべての暗号化操作のルート キーとして Azure Information Protection によって使用されます。

型:String
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-WhatIf

コマンドレットの実行時に発生する内容を示します。 このコマンドレットは実行されません。

型:SwitchParameter
Aliases:wi
配置:Named
規定値:False
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False