Use-AipServiceKeyVaultKey
Weist Azure Information Protection an, einen vom Kunden verwalteten Mandantenschlüssel in Azure Key Vault zu verwenden.
Syntax
Use-AipServiceKeyVaultKey
-KeyVaultKeyUrl <String>
[-FriendlyName <String>]
[-Force]
[-WhatIf]
[-Confirm]
[<CommonParameters>] Beschreibung
Das Cmdlet Use-AipServiceKeyVaultKey weist Azure Information Protection an, einen vom Kunden verwalteten Schlüssel (BYOK) in Azure Key Vault zu verwenden.
Sie müssen PowerShell verwenden, um Ihren Mandantenschlüssel zu konfigurieren; Sie können diese Konfiguration nicht mithilfe eines Verwaltungsportals ausführen.
Sie können dieses Cmdlet vor oder nach der Aktivierung des Schutzdiensts (Azure Rights Management) ausführen.
Bevor Sie dieses Cmdlet ausführen, stellen Sie sicher, dass dem Azure Rights Management-Dienstprinzipal Berechtigungen für den Schlüsseltresor erteilt wurden, der den Schlüssel enthält, den Sie für Azure Information Protection verwenden möchten. Diese Berechtigungen werden durch Ausführen des Azure Key Vault-Cmdlets Set-AzKeyVaultAccessPolicyerteilt.
Aus Sicherheitsgründen können Sie mit dem Cmdlet Use-AipServiceKeyVaultKey die Zugriffssteuerung für den Schlüssel im Azure Key Vault nicht festlegen oder ändern. Nachdem dieser Zugriff gewährt wurde, indem Sie Set-AzKeyVaultAccessPolicyausführen, führen Sie Use-AipServiceKeyVaultKey aus, um Azure Information Protection anweisen, den Schlüssel und die Version zu verwenden, die Sie mit dem KeyVaultKeyUrl Parameter angeben.
Weitere Informationen finden Sie unter Bewährte Methoden für die Auswahl Ihres Azure Key Vault-Speicherorts.
Anmerkung
Wenn Sie dieses Cmdlet ausführen, bevor die Berechtigungen für den Schlüsseltresor erteilt werden, wird ein Fehler angezeigt, der anzeigt, Der Rechteverwaltungsdienst konnte den Schlüssel nicht hinzufügen.
Um ausführlichere Informationen anzuzeigen, führen Sie den Befehl erneut mit -Ausführlicheaus. Wenn die Berechtigungen nicht erteilt werden, wird VERBOSE: Fehler beim Zugriff auf Azure KeyVaultangezeigt.
Wenn Ihr Befehl erfolgreich ausgeführt wird, wird der Schlüssel als archivierter vom Kunden verwalteter Mandantenschlüssel für Azure Information Protection für Ihre Organisation hinzugefügt. Um ihn zum aktiven Mandantenschlüssel für Azure Information Protection zu machen, müssen Sie dann das Cmdlet Set-AipServiceKeyProperties ausführen.
Verwenden Sie Azure Key Vault, um die Verwendung des von Ihnen angegebenen Schlüssels zentral zu verwalten und zu überwachen. Alle Anrufe an Ihren Mandantenschlüssel werden an den Schlüsseltresor gestellt, den Ihre Organisation besitzt. Sie können bestätigen, welchen Schlüssel Sie im Key Vault verwenden, indem Sie das Cmdlet Get-AipServiceKeys verwenden.
Weitere Informationen zu den Von Azure Information Protection unterstützten Mandantenschlüsseltypen finden Sie unter Planung und Implementierung Ihres Azure Information Protection-Mandantenschlüssels.
Weitere Informationen zu Azure Key Vault finden Sie unter Was ist Azure Key Vault.
Beispiele
Beispiel 1: Konfigurieren von Azure Information Protection für die Verwendung eines vom Kunden verwalteten Schlüssels in Azure Key Vault
PS C:\>Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contoso.vault.azure.net/keys/contoso-aipservice-key/aaaabbbbcccc111122223333"Dieser Befehl weist Azure Information Protection an, den Schlüssel contoso-aipservice-key, Version aaaabbbbcccccc111222223333, im Schlüsseltresor namens contosozu verwenden.
Dieser Schlüssel und diese Version in Azure Key Vault wird dann zum vom Kunden verwalteten Mandantenschlüssel für Azure Information Protection.
Parameter
-Confirm
Fordert Sie vor dem Ausführen des Cmdlets zur Bestätigung auf.
| Typ: | SwitchParameter |
| Aliase: | cf |
| Position: | Named |
| Standardwert: | False |
| Erforderlich: | False |
| Pipelineeingabe akzeptieren: | False |
| Platzhalterzeichen akzeptieren: | False |
-Force
Erzwingt die Ausführung des Befehls, ohne eine Benutzerbestätigung zu verlangen.
| Typ: | SwitchParameter |
| Position: | Named |
| Standardwert: | None |
| Erforderlich: | False |
| Pipelineeingabe akzeptieren: | False |
| Platzhalterzeichen akzeptieren: | False |
-FriendlyName
Gibt den Anzeigenamen einer vertrauenswürdigen Veröffentlichungsdomäne (TRUSTED Publishing Domain, TPD) und den SLC-Schlüssel an, den Sie aus AD RMS importiert haben.
Wenn Benutzer Office 2016 oder Office 2013 ausführen, geben Sie denselben Anzeigenamen Wert an, der für die AD RMS-Clustereigenschaften auf der Registerkarte Serverzertifikat festgelegt ist.
Dieser Parameter ist optional. Wenn Sie ihn nicht verwenden, wird stattdessen der Schlüsselbezeichner verwendet.
| Typ: | String |
| Position: | Named |
| Standardwert: | None |
| Erforderlich: | False |
| Pipelineeingabe akzeptieren: | True |
| Platzhalterzeichen akzeptieren: | False |
-KeyVaultKeyUrl
Gibt die URL des Schlüssels und der Version in Azure Key Vault an, die Sie für Ihren Mandantenschlüssel verwenden möchten.
Dieser Schlüssel wird von Azure Information Protection als Stammschlüssel für alle kryptografischen Vorgänge für Ihren Mandanten verwendet.
| Typ: | String |
| Position: | Named |
| Standardwert: | None |
| Erforderlich: | True |
| Pipelineeingabe akzeptieren: | True |
| Platzhalterzeichen akzeptieren: | False |
-WhatIf
Zeigt, was passiert, wenn das Cmdlet ausgeführt wird. Das Cmdlet wird nicht ausgeführt.
| Typ: | SwitchParameter |
| Aliase: | wi |
| Position: | Named |
| Standardwert: | False |
| Erforderlich: | False |
| Pipelineeingabe akzeptieren: | False |
| Platzhalterzeichen akzeptieren: | False |