你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Import-AipServiceTpd
从 AD RMS 导入用于 Azure 信息保护的 TPD。
语法
Import-AipServiceTpd
[-Force]
-TpdFile <String>
-ProtectionPassword <SecureString>
[-FriendlyName <String>]
[-KeyVaultKeyUrl <String>]
[-WhatIf]
[-Confirm]
[<CommonParameters>] 说明
Import-AipServiceTpd cmdlet 通过 Internet 将 Active Directory Rights Management Services(AD RMS)受信任的发布域(TPD)导入到 Azure 信息保护的租户中,以便可以将保护服务从本地迁移到云。 TPD 包含 AD RMS 中的私钥和保护模板。
必须使用 PowerShell 配置租户密钥;无法使用管理门户执行此配置。
此 cmdlet 始终将导入的 TPD 中的密钥设置为存档状态。 运行此命令后,导入的 TPD 中的密钥可供 Azure 信息保护使用,以使用此密钥保护 AD RMS 保护的内容。 使用 Set-AipServiceKeyProperties cmdlet 将导入的 TPD 的状态更改为 Active。
如果以活动方式从 AD RMS 迁移模板,则可以在 Azure 门户中或使用 PowerShell 编辑这些模板。 可以发布这些模板,以便用户可以从应用程序中选择它们。 如果未激活已迁移的模板,则它们只能用于打开以前保护的文档。
必须使用 AD RMS 管理控制台导出 TPD。 如果对密钥使用硬件安全模块(HSM),则必须首先使用 Azure Key Vault BYOK 工具重新打包 TPD 密钥。 有关详细信息,请参阅 如何为 Azure Key Vault生成和传输受 HSM 保护的密钥。
示例
示例 1:使用软件密钥导入 TPD
PS C:\>$Password = Read-Host -AsSecureString -Prompt "Password: "
PS C:\> Import-AipServiceTpd -TpdFile "C:\aipservice_tpd.xml" -ProtectionPassword $Password -Verbose第一个命令使用 Read-Host cmdlet 创建密码作为安全字符串,然后将安全字符串存储在$Password变量中。 有关详细信息,请键入 Get-Help Read-Host。
第二个命令使用软件密钥导入 TPD。
示例 2:使用 HSM 密钥导入 TPD
PS C:\>$Password = Read-Host -AsSecureString -Prompt "Password: "
PS C:\> Import-AipServiceTpd -TpdFile "C:\no_key_tpd.xml" -ProtectionPassword $Password -KeyVaultKeyUrl "https://contoso-byok-kv.vault.azure.net/keys/contosoaipservice-byok/aaaabbbbcccc111122223333" -FriendlyName "Contoso BYOK key" -Verbose第一个命令将密码创建为安全字符串,然后将安全字符串存储在 $Password 变量中。
第二个命令导入要与存储在 Azure Key Vault 中的密钥一起使用的 TPD。 此外,该命令会将密钥的友好名称更改为 “Contoso BYOK 键”。
我们的示例使用 contoso-byok-kv、contosoaipservice-byok的密钥保管库名称以及 aaaabbbbcccc111122223333的版本号。
参数
-Confirm
在运行 cmdlet 之前,提示你进行确认。
| 类型: | SwitchParameter |
| 别名: | cf |
| Position: | Named |
| 默认值: | False |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-Force
强制命令运行而不要求用户确认。
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-FriendlyName
指定从 AD RMS 导入的受信任发布域(TPD)和 SLC 密钥的友好名称。 如果用户运行 Office 2016 或 Office 2013,请在“服务器证书”选项卡上为 AD RMS 群集属性设置相同的 友好名称 值。
此参数是可选的。 如果不使用它,则会改用密钥标识符。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | True |
| 接受通配符: | False |
-KeyVaultKeyUrl
指定要用于租户密钥的 Azure Key Vault 中密钥的 URL。 Azure 信息保护将使用此密钥作为租户的所有加密操作的根密钥。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | True |
| 接受通配符: | False |
-ProtectionPassword
指定用于加密导出的 TPD 文件的密码。
可以使用 ConvertTo-SecureString -AsPlaintext 或 读取主机 来指定 SecureString。
使用 ConvertTo-SecureString 并且密码具有特殊字符时,请在单引号之间输入密码或转义特殊字符。 否则,密码将无法正确分析,并且处于详细模式,将看到以下错误消息:
VERBOSE:受信任的发布域数据已损坏。VERBOSE:远程服务器返回了意外响应:(400) 错误请求。
例如,如果密码 Pa$$word,请输入 “Pa$$word” 或 Pa'$'$word,以便 Windows PowerShell 能够正确分析特殊字符。 作为完整示例,可以键入 $pwd = ConvertTo-SecureString “Pa$$w 0rd” -AsPlainText -Force,然后检查存储值是否正确,请键入 $pwd 以确认显示 Pa$$word。
| 类型: | SecureString |
| Position: | Named |
| 默认值: | None |
| 必需: | True |
| 接受管道输入: | True |
| 接受通配符: | False |
-TpdFile
指定从 AD RMS 群集导出到要用于 Azure 信息保护的租户的 TPD 文件。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | True |
| 接受管道输入: | True |
| 接受通配符: | False |
-WhatIf
显示 cmdlet 运行时会发生什么情况。 cmdlet 未运行。
| 类型: | SwitchParameter |
| 别名: | wi |
| Position: | Named |
| 默认值: | False |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |