Import-AipServiceTpd
AZURE Information Protection 用の AD RMS から TPD をインポートします。
構文
Import-AipServiceTpd
[-Force]
-TpdFile <String>
-ProtectionPassword <SecureString>
[-FriendlyName <String>]
[-KeyVaultKeyUrl <String>]
[-WhatIf]
[-Confirm]
[<CommonParameters>] 説明
Import-AipServiceTpd コマンドレットは、オンプレミスからクラウドに保護サービスを移行できるように、インターネット経由で Active Directory Rights Management Services (AD RMS) の信頼された発行ドメイン (TPD) を Azure Information Protection のテナントにインポートします。 TPD には、AD RMS の秘密キーと保護テンプレートが含まれています。
PowerShell を使用してテナント キーを構成する必要があります。管理ポータルを使用してこの構成を行うことはできません。
このコマンドレットは、インポートされた TPD のキーを常にアーカイブ状態に設定します。 このコマンドを実行すると、インポートされた TPD 内のキーが Azure Information Protection で使用できるようになり、このキーを使用して AD RMS によって保護されたコンテンツが使用できるようになります。 Set-AipServiceKeyProperties コマンドレットを使用して、インポートされた TPD の状態をアクティブに変更します。
警告
AD RMS からの移行の要件、制限、手順、および影響を読んで理解していない限り、このコマンドレットを実行しないでください。
詳細については、「AD RMS から Information Protectionへの移行」を参照してください。
AD RMS からテンプレートをアクティブとして移行する場合は、Azure portal または PowerShell を使用して、これらのテンプレートを編集できます。 ユーザーがアプリケーションからテンプレートを選択できるように、これらのテンプレートを発行できます。 移行されたテンプレートがアクティブ化されていない場合は、以前に保護されていたドキュメントを開くためにのみ使用できます。
TPD をエクスポートするには、AD RMS 管理コンソールを使用する必要があります。 キーにハードウェア セキュリティ モジュール (HSM) を使用する場合は、まず Azure Key Vault BYOK ツールを使用して TPD キーを再パッケージ化する必要があります。 詳細については、「Azure Key Vaultの HSM で保護されたキーを生成および転送する方法」を参照してください。
例
例 1: ソフトウェア キーを使用して TPD をインポートする
PS C:\>$Password = Read-Host -AsSecureString -Prompt "Password: "
PS C:\> Import-AipServiceTpd -TpdFile "C:\aipservice_tpd.xml" -ProtectionPassword $Password -Verbose最初のコマンドは、Read-Host コマンドレットを使用してセキュリティで保護された文字列としてパスワードを作成し、その後、セキュリティで保護された文字列を$Password変数に格納します。 詳細については、「Get-Help Read-Host」と入力します。
2 番目のコマンドは、ソフトウェア キーを使用して TPD をインポートします。
例 2: HSM キーを使用して TPD をインポートする
PS C:\>$Password = Read-Host -AsSecureString -Prompt "Password: "
PS C:\> Import-AipServiceTpd -TpdFile "C:\no_key_tpd.xml" -ProtectionPassword $Password -KeyVaultKeyUrl "https://contoso-byok-kv.vault.azure.net/keys/contosoaipservice-byok/aaaabbbbcccc111122223333" -FriendlyName "Contoso BYOK key" -Verbose最初のコマンドは、セキュリティで保護された文字列としてパスワードを作成し、セキュリティで保護された文字列を $Password 変数に格納します。
2 番目のコマンドは、Azure Key Vault に格納されているキーと共に使用する TPD をインポートします。 さらに、このコマンドにより、キーのフレンドリ名が "Contoso BYOK キー"
この例では、
パラメーター
-Confirm
コマンドレットを実行する前に確認を求めるメッセージが表示されます。
| 型: | SwitchParameter |
| Aliases: | cf |
| 配置: | Named |
| 規定値: | False |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-Force
ユーザーの確認を求めずにコマンドを強制的に実行します。
| 型: | SwitchParameter |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-FriendlyName
信頼された発行ドメイン (TPD) のフレンドリ名と、AD RMS からインポートした SLC キーを指定します。 ユーザーが Office 2016 または Office 2013 を実行する場合は、[サーバー証明書] タブで、AD RMS クラスターのプロパティに設定されている同じ フレンドリ名 値を指定します。
このパラメーターは省略可能です。 使用しない場合は、代わりにキー識別子が使用されます。
| 型: | String |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | True |
| ワイルドカード文字を受け取る: | False |
-KeyVaultKeyUrl
テナント キーに使用する Azure Key Vault 内のキーの URL を指定します。 このキーは、テナントのすべての暗号化操作のルート キーとして Azure Information Protection によって使用されます。
| 型: | String |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | True |
| ワイルドカード文字を受け取る: | False |
-ProtectionPassword
エクスポートされた TPD ファイルの暗号化に使用されたパスワードを指定します。
-AsPlaintext
ConvertTo-SecureString を使用し、パスワードに特殊文字が含まれている場合は、一重引用符の間にパスワードを入力するか、特殊文字をエスケープします。 そうでない場合、パスワードは正しく解析されず、詳細モードでは次のエラー メッセージが表示されます。
VERBOSE: 信頼された発行ドメインのデータが破損しています。VERBOSE: リモート サーバーから予期しない応答が返されました: (400) 無効な要求。
たとえば、パスワードが Pa$$word
| 型: | SecureString |
| 配置: | Named |
| 規定値: | None |
| 必須: | True |
| パイプライン入力を受け取る: | True |
| ワイルドカード文字を受け取る: | False |
-TpdFile
Azure Information Protection に使用するテナントにインポートする AD RMS クラスターからエクスポートされる TPD ファイルを指定します。
| 型: | String |
| 配置: | Named |
| 規定値: | None |
| 必須: | True |
| パイプライン入力を受け取る: | True |
| ワイルドカード文字を受け取る: | False |
-WhatIf
コマンドレットを実行した場合の動作を示します。 コマンドレットは実行されません。
| 型: | SwitchParameter |
| Aliases: | wi |
| 配置: | Named |
| 規定値: | False |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |