Import-AadrmTpd
Importe un TPD à partir d’AD RMS pour Rights Management.
Syntaxe
Import-AadrmTpd
[-Force]
-TpdFile <String>
-ProtectionPassword <SecureString>
[-HsmKeyFile <String>]
[-FriendlyName <String>]
[-KeyVaultKeyUrl <String>]
[-WhatIf]
[-Confirm]
[<CommonParameters>] Description
Notes
Cette applet de commande du module AADRM est désormais déconseillée. Après le 15 juillet 2020, ce nom d’applet de commande ne sera pris en charge qu’en tant qu’alias pour son remplacement dans le module AIPService.
Pour plus d’informations, consultez la page de présentation.
L’applet de commande Import-AadrmTpd importe un domaine de publication approuvé (TPD) Active Directory Rights Management Services (AD RMS) sur Internet dans votre locataire pour le service Azure Rights Management afin de pouvoir migrer Rights Management de l’environnement local vers le cloud. Le domaine de publication approuvé contient votre clé privée et les modèles RMS.
Vous devez utiliser PowerShell pour configurer votre clé de locataire ; vous ne pouvez pas effectuer cette configuration à l’aide d’un portail de gestion.
Cette applet de commande définit toujours la clé du TPD importé à un état archivé. Après avoir exécuté cette commande, la clé du TPD importé devient disponible pour Azure Rights Management consommer du contenu protégé par AD RMS à l’aide de cette clé. Utilisez l’applet de commande Set-AadrmKeyProperties pour changer l’état du TPD importé en Actif.
Avertissement : n’exécutez pas cette applet de commande, sauf si vous avez lu et compris les exigences, restrictions, instructions et implications de la migration à partir d’AD RMS. Pour plus d’informations, consultez Migration d’AD RMS vers Azure Information Protection.
Si vous migrez des modèles à partir de votre ad RMS comme étant actif, vous pouvez modifier ces modèles dans le Portail Azure ou à l’aide de PowerShell. Vous pouvez publier ces modèles afin que les utilisateurs puissent les sélectionner à partir d’applications. Si les modèles migrés ne sont pas activés, ils peuvent uniquement être utilisés pour ouvrir des documents qu'ils ont déjà protégés.
Vous devez utiliser la console de gestion AD RMS pour exporter le domaine de publication approuvé. Si vous utilisez un module de sécurité matériel (HSM) pour vos clés, vous devez d’abord repackager les clés TPD à l’aide des outils AZURE Key Vault BYOK. Vous pouvez télécharger ces outils à partir du site de téléchargement Microsoft. Pour plus d’informations, consultez Comment générer et transférer des clés protégées par HSM pour Azure Key Vault.
Exemples
Exemple 1 : Importer tpD avec une clé logicielle
PS C:\>$Password = Read-Host -AsSecureString -Prompt "Password: "
PS C:\> Import-AadrmTpd -TpdFile "C:\rms_tpd.xml" -ProtectionPassword $Password -VerboseLa première commande crée un mot de passe en tant que chaîne sécurisée à l’aide de l’applet de commande Read-Host , puis stocke la chaîne sécurisée dans la variable $Password. Pour plus d'informations, voir Get-Help Read-Host.
Cette seconde commande importe un domaine de publication approuvé avec une clé logicielle.
Exemple 2 : Importer tpD avec une clé HSM
PS C:\>$Password = Read-Host -AsSecureString -Prompt "Password: "
PS C:\> Import-AadrmTpd -TpdFile "C:\no_key_tpd.xml" -ProtectionPassword $Password -KeyVaultKeyUrl "https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333" -FriendlyName "Contoso BYOK key" -Verbosela première commande crée un mot de passe sous forme de chaîne sécurisée, puis le stocke dans la variable $Password.
La deuxième commande importe un TPD à utiliser avec une clé stockée dans Azure Key Vault. En outre, la commande remplace le nom convivial de la clé par « Clé BYOK Contoso ».
Notre exemple utilise le nom du coffre de clés contoso-byok-kv, le nom de clé de contosorms-byok et le numéro de version d’aaaabbbbcccc111122223333.
Paramètres
-Confirm
Vous demande une confirmation avant d’exécuter l’applet de commande.
| Type: | SwitchParameter |
| Alias: | cf |
| Position: | Named |
| Valeur par défaut: | False |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
-Force
Force l’exécution de la commande sans demander la confirmation de l’utilisateur.
| Type: | SwitchParameter |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
-FriendlyName
Spécifie le nom convivial d’un domaine de publication approuvé (TPD) et la clé SLC que vous avez importée à partir d’AD RMS. Si les utilisateurs exécutent Office 2016 ou Office 2013, spécifiez la même valeur de nom convivial définie pour les propriétés du cluster AD RMS sous l’onglet Certificat de serveur .
Ce paramètre est facultatif. Si vous ne l’utilisez pas, l’identificateur de clé est utilisé à la place.
| Type: | String |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | True |
| Accepter les caractères génériques: | False |
-HsmKeyFile
Spécifie le fichier HSM hérité empaqueté qui a été préparé à l’aide des outils Azure RMS BYOK pour charger sur votre clé de locataire via Internet.
Ce paramètre est déconseillé maintenant que le service Azure Rights Management prend en charge Azure Key Vault et que ce paramètre est remplacé par KeyVaultKeyUrl.
Si ce paramètre et le paramètre KeyVaultKeyUrl sont tous deux fournis, ce paramètre est ignoré.
| Type: | String |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | True |
| Accepter les caractères génériques: | False |
-KeyVaultKeyUrl
Spécifie l’URL de la clé dans Azure Key Vault que vous souhaitez utiliser pour votre clé de locataire. Cette clé sera utilisée par le service Azure Rights Management comme clé racine pour toutes les opérations de chiffrement de votre locataire.
| Type: | String |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | True |
| Accepter les caractères génériques: | False |
-ProtectionPassword
Spécifie le mot de passe qui a été utilisé pour chiffrer le fichier de domaine de publication approuvé exporté.
Vous pouvez utiliser ConvertTo-SecureString -AsPlaintext ou Read-Host pour spécifier SecureString.
Lorsque vous utilisez ConvertTo-SecureString et que le mot de passe comporte des caractères spéciaux, entrez le mot de passe entre guillemets simples ou entre les caractères spéciaux d’échappement. Si ce n’est pas le cas, le mot de passe n’est pas analysé correctement et en mode détaillé, les messages d’erreur suivants s’affichent :
VERBOSE : Les données de domaine de publication approuvées sont endommagées.VERBOSE : Le serveur distant a retourné une réponse inattendue : (400) Requête incorrecte.
Par exemple, si votre mot de passe est Pa$$word, entrez « Pa$$word » ou « Pa » $word afin que Windows PowerShell puisse analyser correctement les caractères spéciaux. Par exemple, vous pouvez taper $pwd = ConvertTo-SecureString 'Pa$$w 0rd' -AsPlainText -Force , puis pour vérifier que la valeur stockée est correcte, tapez $pwd pour confirmer que Pa$$word est affiché.
| Type: | SecureString |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | True |
| Accepter l'entrée de pipeline: | True |
| Accepter les caractères génériques: | False |
-TpdFile
Spécifie le fichier TPD exporté à partir de votre cluster AD RMS à importer dans votre locataire à utiliser pour le service Azure Rights Management.
| Type: | String |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | True |
| Accepter l'entrée de pipeline: | True |
| Accepter les caractères génériques: | False |
-WhatIf
Montre ce qui se passe en cas d’exécution de l’applet de commande. L’applet de commande n’est pas exécutée.
| Type: | SwitchParameter |
| Alias: | wi |
| Position: | Named |
| Valeur par défaut: | False |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |