Compartir a través de


Use-AipServiceKeyVaultKey

Indica a Azure Information Protection que use una clave de inquilino administrada por el cliente en Azure Key Vault.

Sintaxis

Use-AipServiceKeyVaultKey
   -KeyVaultKeyUrl <String>
   [-FriendlyName <String>]
   [-Force]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

Description

El cmdlet Use-AipServiceKeyVaultKey indica a Azure Information Protection que use una clave administrada por el cliente (BYOK) en Azure Key Vault.

Debe usar PowerShell para configurar la clave de inquilino; No puede realizar esta configuración mediante un portal de administración.

Puede ejecutar este cmdlet antes o después de activar el servicio de protección (Azure Rights Management).

Antes de ejecutar este cmdlet, asegúrese de que a la entidad de servicio Azure Rights Management se le han concedido permisos al almacén de claves que contiene la clave que desea usar para Azure Information Protection. Estos permisos se conceden mediante la ejecución del cmdlet de Azure Key Vault, Set-AzKeyVaultAccessPolicy.

Por motivos de seguridad, el cmdlet Use-AipServiceKeyVaultKey no permite establecer ni cambiar el control de acceso de la clave en Azure Key Vault. Después de conceder ese acceso mediante la ejecución de Set-AzKeyVaultAccessPolicy, ejecute Use-AipServiceKeyVaultKey para indicar a Azure Information Protection que use la clave y la versión que especifique con el parámetro KeyVaultKeyUrl.

Para más información, consulte Procedimientos recomendados para elegir la ubicación de Azure Key Vault.

Nota:

Si ejecuta este cmdlet antes de conceder los permisos al almacén de claves, verá un error que muestra El servicio Rights Management no pudo agregar la clave.

Para ver información más detallada, vuelva a ejecutar el comando con -Verbose. Si no se conceden los permisos, verá VERBOSE: Error al acceder a Azure KeyVault.

Cuando el comando se ejecuta correctamente, la clave se agrega como una clave de inquilino administrada por el cliente archivada para Azure Information Protection para su organización. Para que sea la clave de inquilino activa para Azure Information Protection, debe ejecutar el cmdlet Set-AipServiceKeyProperties.

Use Azure Key Vault para administrar y supervisar de forma centralizada el uso de la clave que especificó. Todas las llamadas a la clave de inquilino se realizarán en el almacén de claves que posee su organización. Puede confirmar qué clave usa en Key Vault mediante el cmdlet Get-AipServiceKeys.

Para más información sobre los tipos de claves de inquilino que admite Azure Information Protection, consulte Planeamiento e implementación de la clave de inquilino de Azure Information Protection.

Para más información sobre Azure Key Vault, consulte ¿Qué es Azure Key Vault?.

Ejemplos

Ejemplo 1: Configuración de Azure Information Protection para usar una clave administrada por el cliente en Azure Key Vault

PS C:\>Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contoso.vault.azure.net/keys/contoso-aipservice-key/aaaabbbbcccc111122223333"

Este comando indica a Azure Information Protection que use la clave denominada contoso-aipservice-key, versión aaaabbbbcccc111122223333, en el almacén de claves denominado contoso.

Esta clave y versión de Azure Key Vault se convierte en la clave de inquilino administrada por el cliente para Azure Information Protection.

Parámetros

-Confirm

Le solicita su confirmación antes de ejecutar el cmdlet.

Tipo:SwitchParameter
Alias:cf
Posición:Named
Valor predeterminado:False
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:False

-Force

Obliga al comando a ejecutarse sin solicitar la confirmación del usuario.

Tipo:SwitchParameter
Posición:Named
Valor predeterminado:None
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:False

-FriendlyName

Especifica el nombre descriptivo de un dominio de publicación de confianza (TPD) y la clave SLC que importó desde AD RMS.

Si los usuarios ejecutan Office 2016 u Office 2013, especifique el mismo valor de nombre descriptivo que se establece para las propiedades del clúster de AD RMS en la pestaña Certificado de servidor.

Este parámetro es opcional. Si no lo usa, se usa el identificador de clave en su lugar.

Tipo:String
Posición:Named
Valor predeterminado:None
Requerido:False
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-KeyVaultKeyUrl

Especifica la dirección URL de la clave y la versión de Azure Key Vault que desea usar para la clave de inquilino.

Azure usará esta clave Information Protection como clave raíz para todas las operaciones criptográficas del inquilino.

Tipo:String
Posición:Named
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-WhatIf

Muestra lo que sucedería si se ejecutara el cmdlet. El cmdlet no se ejecuta.

Tipo:SwitchParameter
Alias:wi
Posición:Named
Valor predeterminado:False
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:False