Use-AipServiceKeyVaultKey
Сообщает Azure Information Protection использовать ключ клиента, управляемый клиентом, в Azure Key Vault.
Синтаксис
Use-AipServiceKeyVaultKey
-KeyVaultKeyUrl <String>
[-FriendlyName <String>]
[-Force]
[-WhatIf]
[-Confirm]
[<CommonParameters>] Описание
Командлет Use-AipServiceKeyVaultKey сообщает Azure Information Protection использовать управляемый клиентом ключ (BYOK) в Azure Key Vault.
Для настройки ключа клиента необходимо использовать PowerShell; Эту конфигурацию нельзя сделать с помощью портала управления.
Этот командлет можно запустить до или после активации службы защиты (Azure Rights Management).
Перед выполнением этого командлета убедитесь, что субъект-служба Azure Rights Management была предоставлена разрешения на хранилище ключей, содержащее ключ, который вы хотите использовать для Azure Information Protection. Эти разрешения предоставляются с помощью командлета Azure Key Vault Set-AzKeyVaultAccessPolicy.
По соображениям безопасности командлет use-AipServiceKeyVaultKey не позволяет задавать или изменять управление доступом для ключа в Azure Key Vault. После предоставления этого доступа, выполнив Set-AzKeyVaultAccessPolicy, запустите use-AipServiceKeyVaultKeyKey, чтобы сообщить Azure Information Protection использовать ключ и версию, указанную с помощью параметра KeyVaultKeyUrl.
Дополнительные сведения см. в рекомендации по выбору расположения Azure Key Vault.
Заметка
Если вы запускаете этот командлет до предоставления разрешений в хранилище ключей, появится сообщение об ошибке, которое отображает службе Rights Management не удалось добавить ключ.
Чтобы просмотреть более подробные сведения, выполните команду еще раз с помощьюподробных. Если разрешения не предоставлены, отображается VERBOSE: сбой доступа к Azure KeyVault.
При успешном выполнении команды ключ добавляется в качестве архивированного ключа клиента, управляемого клиентом, для Azure Information Protection для вашей организации. Чтобы сделать его активным ключом клиента для Azure Information Protection, необходимо запустить командлет Set-AipServiceKeyProperties.
Используйте Azure Key Vault для централизованного управления и мониторинга использования указанного ключа. Все вызовы ключа клиента будут сделаны в хранилище ключей, принадлежащее вашей организации. Вы можете подтвердить, какой ключ вы используете в Key Vault с помощью командлета Get-AipServiceKeys.
Дополнительные сведения о типах ключей клиента, поддерживаемых Azure Information Protection, см. в статье Планирование и реализация ключа клиента Azure Information Protection.
Дополнительные сведения о Azure Key Vault см. в статье Что такое Azure Key Vault.
Примеры
Пример 1. Настройка Azure Information Protection для использования управляемого клиентом ключа в Azure Key Vault
PS C:\>Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contoso.vault.azure.net/keys/contoso-aipservice-key/aaaabbbbcccc111122223333"Эта команда сообщает Azure Information Protection использовать ключ с именем contoso-aipservice-key, версия aaaabbbbcc111122233333в хранилище ключей с именем contoso.
Затем этот ключ и версия в Azure Key Vault становятся ключом клиента, управляемым клиентом, для Azure Information Protection.
Параметры
-Confirm
Запрашивает подтверждение перед запуском командлета.
| Тип: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | False |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-Force
Принудительно выполняется команда без запроса подтверждения пользователя.
| Тип: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-FriendlyName
Указывает понятное имя доверенного домена публикации (TPD) и ключ SLC, импортированный из AD RMS.
Если пользователи запускают Office 2016 или Office 2013, укажите то же понятное имя значение, заданное для свойств кластера AD RMS на вкладке сертификат сервера.
Этот параметр является необязательным. Если он не используется, вместо него используется идентификатор ключа.
| Тип: | String |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | True |
| Принять подстановочные знаки: | False |
-KeyVaultKeyUrl
Указывает URL-адрес ключа и версии в Azure Key Vault, который вы хотите использовать для ключа клиента.
Этот ключ будет использоваться Azure Information Protection в качестве корневого ключа для всех криптографических операций клиента.
| Тип: | String |
| Position: | Named |
| Default value: | None |
| Обязательно: | True |
| Принять входные данные конвейера: | True |
| Принять подстановочные знаки: | False |
-WhatIf
Показывает, что произойдет, если командлет выполняется. Командлет не выполняется.
| Тип: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | False |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |