Use-AipServiceKeyVaultKey
Indica ad Azure Information Protection di usare una chiave del tenant gestita dal cliente in Azure Key Vault.
Sintassi
Use-AipServiceKeyVaultKey
-KeyVaultKeyUrl <String>
[-FriendlyName <String>]
[-Force]
[-WhatIf]
[-Confirm]
[<CommonParameters>] Descrizione
Il cmdlet Use-AipServiceKeyVaultKey indica ad Azure Information Protection di usare una chiave gestita dal cliente (BYOK) in Azure Key Vault.
È necessario usare PowerShell per configurare la chiave del tenant; non è possibile eseguire questa configurazione usando un portale di gestione.
È possibile eseguire questo cmdlet prima o dopo l'attivazione del servizio di protezione (Azure Rights Management).
Prima di eseguire questo cmdlet, assicurarsi che all'entità servizio Azure Rights Management siano state concesse le autorizzazioni per l'insieme di credenziali delle chiavi contenente la chiave da usare per Azure Information Protection. Queste autorizzazioni vengono concesse eseguendo il cmdlet di Azure Key Vault, Set-AzKeyVaultAccessPolicy.
Per motivi di sicurezza, il cmdlet Use-AipServiceKeyVaultKey non consente di impostare o modificare il controllo di accesso per la chiave in Azure Key Vault. Dopo aver concesso l'accesso eseguendo Set-AzKeyVaultAccessPolicy, eseguire Use-AipServiceKeyVaultKey per indicare ad Azure Information Protection di usare la chiave e la versione specificate con il parametro KeyVaultKeyUrl.
Per altre informazioni, vedere Procedure consigliate per la scelta del percorso di Azure Key Vault.
Nota
Se si esegue questo cmdlet prima che le autorizzazioni vengano concesse all'insieme di credenziali delle chiavi, verrà visualizzato un errore che visualizza Il servizio Rights Management non è riuscito ad aggiungere la chiave.
Per visualizzare informazioni più dettagliate, eseguire di nuovo il comando con -Dettagliato. Se le autorizzazioni non vengono concesse, viene visualizzato VERBOSE: Errore di accesso ad Azure KeyVault.
Quando il comando viene eseguito correttamente, la chiave viene aggiunta come chiave del tenant gestita dal cliente archiviata per Azure Information Protection per l'organizzazione. Per renderla la chiave del tenant attiva per Azure Information Protection, è quindi necessario eseguire il cmdlet Set-AipServiceKeyProperties
Usare Azure Key Vault per gestire e monitorare centralmente l'uso della chiave specificata. Tutte le chiamate alla chiave del tenant verranno effettuate all'insieme di credenziali delle chiavi di proprietà dell'organizzazione. È possibile verificare quale chiave si usa in Key Vault usando il cmdlet Get-AipServiceKeys
Per altre informazioni sui tipi di chiavi tenant supportate da Azure Information Protection, vedere Pianificazione e implementazione della chiave del tenant di Azure Information Protection.
Per altre informazioni su Azure Key Vault, vedere Che cos'è Azure Key Vault.
Esempio
Esempio 1: Configurare Azure Information Protection per l'uso di una chiave gestita dal cliente in Azure Key Vault
PS C:\>Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contoso.vault.azure.net/keys/contoso-aipservice-key/aaaabbbbcccc111122223333"Questo comando indica ad Azure Information Protection di usare la chiave denominata contoso-aipservice-key, versione aaaabbbbcccc11122223333, nell'insieme di credenziali delle chiavi denominato contoso.
Questa chiave e versione in Azure Key Vault diventa quindi la chiave del tenant gestita dal cliente per Azure Information Protection.
Parametri
-Confirm
Richiede conferma prima di eseguire il cmdlet.
| Tipo: | SwitchParameter |
| Alias: | cf |
| Posizione: | Named |
| Valore predefinito: | False |
| Necessario: | False |
| Accettare l'input della pipeline: | False |
| Accettare caratteri jolly: | False |
-Force
Forza l'esecuzione del comando senza chiedere conferma dell'utente.
| Tipo: | SwitchParameter |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | False |
| Accettare l'input della pipeline: | False |
| Accettare caratteri jolly: | False |
-FriendlyName
Specifica il nome descrittivo di un dominio di pubblicazione attendibile (TPD) e la chiave SLC importata da AD RMS.
Se gli utenti eseguono Office 2016 o Office 2013, specificare lo stesso nome descrittivo valore impostato per le proprietà del cluster AD RMS nella scheda certificato server.
Questo parametro è facoltativo. Se non lo si usa, viene invece usato l'identificatore di chiave.
| Tipo: | String |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | False |
| Accettare l'input della pipeline: | True |
| Accettare caratteri jolly: | False |
-KeyVaultKeyUrl
Specifica l'URL della chiave e della versione in Azure Key Vault da usare per la chiave del tenant.
Questa chiave verrà usata da Azure Information Protection come chiave radice per tutte le operazioni di crittografia per il tenant.
| Tipo: | String |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | True |
| Accettare l'input della pipeline: | True |
| Accettare caratteri jolly: | False |
-WhatIf
Mostra cosa accadrebbe se il cmdlet viene eseguito. Il cmdlet non viene eseguito.
| Tipo: | SwitchParameter |
| Alias: | wi |
| Posizione: | Named |
| Valore predefinito: | False |
| Necessario: | False |
| Accettare l'input della pipeline: | False |
| Accettare caratteri jolly: | False |