Use-AipServiceKeyVaultKey
Indique à Azure Information Protection d’utiliser une clé de locataire gérée par le client dans Azure Key Vault.
Syntaxe
Use-AipServiceKeyVaultKey
-KeyVaultKeyUrl <String>
[-FriendlyName <String>]
[-Force]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
Description
L 'applet de commande use-AipServiceKeyVaultKey indique à Azure Information Protection d’utiliser une clé gérée par le client (BYOK) dans Azure Key Vault.
Vous devez utiliser PowerShell pour configurer votre clé de locataire ; vous ne pouvez pas effectuer cette configuration à l’aide d’un portail de gestion.
Vous pouvez exécuter cette applet de commande avant ou après l’activation du service de protection (Azure Rights Management).
Avant d’exécuter cette applet de commande, vérifiez que le principal du service Azure Rights Management a reçu des autorisations pour le coffre de clés qui contient la clé que vous souhaitez utiliser pour Azure Information Protection. Ces autorisations sont accordées en exécutant l’applet de commande Azure Key Vault, Set-AzKeyVaultAccessPolicy.
Pour des raisons de sécurité, l’applet de commande use-AipServiceKeyVaultKey ne vous permet pas de définir ou de modifier le contrôle d’accès de la clé dans Azure Key Vault. Une fois cet accès accordé en exécutant Set-AzKeyVaultAccessPolicy, exécutez Use-AipServiceKeyVaultKey pour indiquer à Azure Information Protection d’utiliser la clé et la version que vous spécifiez avec le paramètre KeyVaultKeyUrl.
Pour plus d’informations, consultez Meilleures pratiques pour choisir votre emplacement Azure Key Vault.
Note
Si vous exécutez cette applet de commande avant que les autorisations ne soient accordées au coffre de clés, une erreur s’affiche qui s’affiche Le service Rights Management n’a pas pu ajouter la clé.
Pour afficher des informations plus détaillées, réexécutez la commande, avec -détaillé. Si les autorisations ne sont pas accordées, vous voyez VERBOSE : Échec de l’accès à Azure KeyVault.
Lorsque votre commande s’exécute correctement, la clé est ajoutée en tant que clé de locataire gérée par le client archivée pour Azure Information Protection pour votre organisation. Pour le rendre actif de la clé de locataire pour Azure Information Protection, vous devez ensuite exécuter la cmdlet Set-AipServiceKeyProperties.
Utilisez Azure Key Vault pour gérer et surveiller de manière centralisée l’utilisation de la clé que vous avez spécifiée. Tous les appels à votre clé de locataire sont effectués vers le coffre de clés que votre organisation possède. Vous pouvez confirmer la clé que vous utilisez dans Key Vault à l’aide de l’applet de commande Get-AipServiceKeys
Pour plus d’informations sur les types de clés de locataire qu’Azure Information Protection prend en charge, consultez Planification et implémentation de votre clé de locataire Azure Information Protection.
Pour plus d’informations sur Azure Key Vault, consultez Qu’est-ce qu’Azure Key Vault.
Exemples
Exemple 1 : Configurer Azure Information Protection pour utiliser une clé gérée par le client dans Azure Key Vault
PS C:\>Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contoso.vault.azure.net/keys/contoso-aipservice-key/aaaabbbbcccc111122223333"
Cette commande indique à Azure Information Protection d’utiliser la clé nommée contoso-aipservice-key, version aaaabbbbcccccc111122223333, dans le coffre de clés nommé contoso.
Cette clé et cette version dans Azure Key Vault devient ensuite la clé de locataire gérée par le client pour Azure Information Protection.
Paramètres
-Confirm
Vous invite à confirmer avant d’exécuter l’applet de commande.
Type: | SwitchParameter |
Alias: | cf |
Position: | Named |
Valeur par défaut: | False |
Obligatoire: | False |
Accepter l'entrée de pipeline: | False |
Accepter les caractères génériques: | False |
-Force
Force l’exécution de la commande sans demander la confirmation de l’utilisateur.
Type: | SwitchParameter |
Position: | Named |
Valeur par défaut: | None |
Obligatoire: | False |
Accepter l'entrée de pipeline: | False |
Accepter les caractères génériques: | False |
-FriendlyName
Spécifie le nom convivial d’un domaine de publication approuvé (TPD) et la clé SLC que vous avez importée à partir d’AD RMS.
Si les utilisateurs exécutent Office 2016 ou Office 2013, spécifiez le même nom convivial valeur définie pour les propriétés du cluster AD RMS sous l’onglet Certificat de serveur.
Ce paramètre est facultatif. Si vous ne l’utilisez pas, l’identificateur de clé est utilisé à la place.
Type: | String |
Position: | Named |
Valeur par défaut: | None |
Obligatoire: | False |
Accepter l'entrée de pipeline: | True |
Accepter les caractères génériques: | False |
-KeyVaultKeyUrl
Spécifie l’URL de la clé et de la version dans Azure Key Vault que vous souhaitez utiliser pour votre clé de locataire.
Cette clé sera utilisée par Azure Information Protection comme clé racine pour toutes les opérations de chiffrement de votre locataire.
Type: | String |
Position: | Named |
Valeur par défaut: | None |
Obligatoire: | True |
Accepter l'entrée de pipeline: | True |
Accepter les caractères génériques: | False |
-WhatIf
Affiche ce qui se passerait si l’applet de commande s’exécute. L’applet de commande n’est pas exécutée.
Type: | SwitchParameter |
Alias: | wi |
Position: | Named |
Valeur par défaut: | False |
Obligatoire: | False |
Accepter l'entrée de pipeline: | False |
Accepter les caractères génériques: | False |