次の方法で共有

Use-AipServiceKeyVaultKey

  • リファレンス
モジュール:
AIPService

Azure Key Vault でカスタマー マネージド テナント キーを使用するように Azure Information Protection に指示します。

構文

Use-AipServiceKeyVaultKey
   -KeyVaultKeyUrl <String>
   [-FriendlyName <String>]
   [-Force]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

説明

Use-AipServiceKeyVaultKey コマンドレットは、Azure Key Vault でカスタマー マネージド キー (BYOK) を使用するように Azure Information Protection に指示します。

PowerShell を使用してテナント キーを構成する必要があります。管理ポータルを使用してこの構成を行うことはできません。

このコマンドレットは、保護サービス (Azure Rights Management) がアクティブ化される前または後に実行できます。

このコマンドレットを実行する前に、Azure Information Protection に使用するキーを含むキー コンテナーに対するアクセス許可が Azure Rights Management サービス プリンシパルに付与されていることを確認します。 これらのアクセス許可は、Set-AzKeyVaultAccessPolicyAzure Key Vault コマンドレットを実行することによって付与されます。

セキュリティ上の理由から、Use-AipServiceKeyVaultKey コマンドレット では、Azure Key Vault のキーのアクセス制御を設定または変更することはできません。 Set-AzKeyVaultAccessPolicy実行してアクセス権が付与されたら、Use-AipServiceKeyVaultKey 実行して、KeyVaultKeyUrl パラメーターで指定したキーとバージョンを使用するように Azure Information Protection に指示します。

詳細については、「Azure Key Vault の場所を選択するためのベスト プラクティス」を参照してください。

手記

キー コンテナーにアクセス許可が付与される前にこのコマンドレットを実行すると、Rights Management サービスがキーを追加できなかった 表示されるエラーが表示されます。

詳細な情報を表示するには、コマンドをもう一度実行します。詳細をします。 アクセス許可が付与されていない場合は、VERBOSE: Azure KeyVaultにアクセスできません。

コマンドが正常に実行されると、組織の Azure Information Protection のアーカイブされたカスタマー マネージド テナント キーとしてキーが追加されます。 Azure Information Protection のアクティブなテナント キーにするには、Set-AipServiceKeyProperties コマンドレットを実行する必要があります。

Azure Key Vault を使用して、指定したキーの使用を一元的に管理および監視します。 テナント キーに対するすべての呼び出しは、組織が所有するキー コンテナーに対して行われます。 Get-AipServiceKeys コマンドレットを使用して、Key Vault で使用しているキーを確認できます。

Azure Information Protection でサポートされるテナント キーの種類の詳細については、「Azure Information Protection テナント キーの計画と実装」を参照してください。

Azure Key Vault の詳細については、「Azure Key Vaultとは」を参照してください。

例 1: Azure Key Vault でカスタマー マネージド キーを使用するように Azure Information Protection を構成する

PS C:\>Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contoso.vault.azure.net/keys/contoso-aipservice-key/aaaabbbbcccc111122223333"

このコマンドは、contoso-aipservice-key、バージョン aaaabbbbcccc1111122223333contosoという名前のキー コンテナー 使用するように Azure Information Protection に指示します。

Azure Key Vault のこのキーとバージョンは、Azure Information Protection のカスタマー マネージド テナント キーになります。

パラメーター

-Confirm

コマンドレットを実行する前に確認を求めるメッセージが表示されます。

型:SwitchParameter
Aliases:cf
配置:Named
規定値:False
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Force

ユーザーの確認を求めずにコマンドを強制的に実行します。

型:SwitchParameter
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-FriendlyName

信頼された発行ドメイン (TPD) のフレンドリ名と、AD RMS からインポートした SLC キーを指定します。

ユーザーが Office 2016 または Office 2013 を実行する場合は、[サーバー証明書] タブで、AD RMS クラスターのプロパティに設定されている同じ フレンドリ名 値を指定します。

このパラメーターは省略可能です。 使用しない場合は、代わりにキー識別子が使用されます。

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-KeyVaultKeyUrl

テナント キーに使用する Azure Key Vault のキーとバージョンの URL を指定します。

このキーは、テナントのすべての暗号化操作のルート キーとして Azure Information Protection によって使用されます。

型:String
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-WhatIf

コマンドレットを実行した場合の動作を示します。 コマンドレットは実行されません。

型:SwitchParameter
Aliases:wi
配置:Named
規定値:False
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False