Partager via


Import-AipServiceTpd

Importe un TPD à partir d’AD RMS pour Azure Information Protection.

Syntaxe

Import-AipServiceTpd
      [-Force]
      -TpdFile <String>
      -ProtectionPassword <SecureString>
      [-FriendlyName <String>]
      [-KeyVaultKeyUrl <String>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Description

L’applet de commande Import-AipServiceTpd importe un domaine de publication approuvé (TPD) Active Directory Rights Management Services (AD RMS) sur Internet dans votre locataire pour Azure Information Protection, afin que vous puissiez migrer votre service de protection local vers le cloud. Le TPD contient vos modèles de clé privée et de protection à partir d’AD RMS.

Vous devez utiliser PowerShell pour configurer votre clé de locataire ; vous ne pouvez pas effectuer cette configuration à l’aide d’un portail de gestion.

Cette applet de commande définit toujours la clé du TPD importé à un état archivé. Après avoir exécuté cette commande, la clé du TPD importé devient disponible pour Azure Information Protection pour consommer du contenu protégé par AD RMS à l’aide de cette clé. Utilisez l’applet de commande Set-AipServiceKeyProperties pour changer l’état du TPD importé en Actif.

Avertissement

N’exécutez pas cette applet de commande, sauf si vous avez lu et compris les exigences, restrictions, instructions et implications de la migration à partir d’AD RMS.

Pour plus d’informations, consultez Migration d’AD RMS vers Azure Information Protection.

Si vous migrez des modèles à partir d’AD RMS comme étant actifs, vous pouvez modifier ces modèles dans le Portail Azure ou à l’aide de PowerShell. Vous pouvez publier ces modèles afin que les utilisateurs puissent les sélectionner à partir d’applications. Si les modèles migrés ne sont pas activés, ils peuvent uniquement être utilisés pour ouvrir des documents qu'ils ont déjà protégés.

Vous devez utiliser la console de gestion AD RMS pour exporter le domaine de publication approuvé. Si vous utilisez un module de sécurité matériel (HSM) pour vos clés, vous devez d’abord repackager les clés TPD à l’aide des outils AZURE Key Vault BYOK. Vous pouvez télécharger ces outils à partir du site de téléchargement Microsoft.

Pour plus d’informations, consultez Comment générer et transférer des clés protégées par HSM pour Azure Key Vault.

Exemples

Exemple 1 : Importer tpD avec une clé logicielle

PS C:\>$Password = Read-Host -AsSecureString -Prompt "Password: "
PS C:\> Import-AipServiceTpd -TpdFile "C:\aipservice_tpd.xml" -ProtectionPassword $Password -Verbose

La première commande crée un mot de passe en tant que chaîne sécurisée à l’aide de l’applet de commande Read-Host , puis stocke la chaîne sécurisée dans la variable $Password. Pour plus d'informations, voir Get-Help Read-Host.

Cette seconde commande importe un domaine de publication approuvé avec une clé logicielle.

Exemple 2 : Importer tpD avec une clé HSM

PS C:\>$Password = Read-Host -AsSecureString -Prompt "Password: "
PS C:\> Import-AipServiceTpd -TpdFile "C:\no_key_tpd.xml" -ProtectionPassword $Password -KeyVaultKeyUrl "https://contoso-byok-kv.vault.azure.net/keys/contosoaipservice-byok/aaaabbbbcccc111122223333" -FriendlyName "Contoso BYOK key" -Verbose

La première commande crée un mot de passe en tant que chaîne sécurisée, puis stocke la chaîne sécurisée dans la variable $Password .

La deuxième commande importe un TPD à utiliser avec une clé stockée dans Azure Key Vault. En outre, la commande remplace le nom convivial de la clé par « Clé BYOK Contoso ».

Notre exemple utilise le nom du coffre de clés contoso-byok-kv, le nom de clé de contosoaipservice-byok et le numéro de version d’aaaabbbbcccc111122223333.

Paramètres

-Confirm

Vous demande une confirmation avant d’exécuter l’applet de commande.

Type:SwitchParameter
Alias:cf
Position:Named
Valeur par défaut:False
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-Force

Force l’exécution de la commande sans demander la confirmation de l’utilisateur.

Type:SwitchParameter
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-FriendlyName

Spécifie le nom convivial d’un domaine de publication approuvé (TPD) et la clé SLC que vous avez importée à partir d’AD RMS. Si les utilisateurs exécutent Office 2016 ou Office 2013, spécifiez la même valeur de nom convivial définie pour les propriétés du cluster AD RMS sous l’onglet Certificat de serveur .

Ce paramètre est facultatif. Si vous ne l’utilisez pas, l’identificateur de clé est utilisé à la place.

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-KeyVaultKeyUrl

Spécifie l’URL de la clé dans Azure Key Vault que vous souhaitez utiliser pour votre clé de locataire. Cette clé sera utilisée par Azure Information Protection comme clé racine pour toutes les opérations de chiffrement de votre locataire.

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-ProtectionPassword

Spécifie le mot de passe qui a été utilisé pour chiffrer le fichier de domaine de publication approuvé exporté.

Vous pouvez utiliser ConvertTo-SecureString -AsPlaintext ou Read-Host pour spécifier SecureString.

Lorsque vous utilisez ConvertTo-SecureString et que le mot de passe comporte des caractères spéciaux, entrez le mot de passe entre guillemets simples ou entre les caractères spéciaux d’échappement. Si ce n’est pas le cas, le mot de passe n’est pas analysé correctement et en mode détaillé, les messages d’erreur suivants s’affichent :

VERBOSE : Les données de domaine de publication approuvées sont endommagées.VERBOSE : Le serveur distant a retourné une réponse inattendue : (400) Requête incorrecte.

Par exemple, si votre mot de passe est Pa$$word, entrez « Pa$$word » ou « Pa » $word afin que Windows PowerShell puisse analyser correctement les caractères spéciaux. Par exemple, vous pouvez taper $pwd = ConvertTo-SecureString 'Pa$$w 0rd' -AsPlainText -Force , puis pour vérifier que la valeur stockée est correcte, tapez $pwd pour confirmer que Pa$$word est affiché.

Type:SecureString
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-TpdFile

Spécifie le fichier TPD exporté à partir de votre cluster AD RMS à importer dans votre locataire à utiliser pour Azure Information Protection.

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-WhatIf

Montre ce qui se passe en cas d’exécution de l’applet de commande. L’applet de commande n’est pas exécutée.

Type:SwitchParameter
Alias:wi
Position:Named
Valeur par défaut:False
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False