Partager via


Use-AipServiceKeyVaultKey

Indique à Azure Information Protection d’utiliser une clé de locataire gérée par le client dans Azure Key Vault.

Syntaxe

Use-AipServiceKeyVaultKey
   -KeyVaultKeyUrl <String>
   [-FriendlyName <String>]
   [-Force]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

Description

L’applet de commande Use-AipServiceKeyVaultKey indique à Azure Information Protection d’utiliser une clé gérée par le client (BYOK) dans Azure Key Vault.

Vous devez utiliser PowerShell pour configurer votre clé de locataire ; vous ne pouvez pas effectuer cette configuration à l’aide d’un portail de gestion.

Vous pouvez exécuter cette applet de commande avant ou après l’activation du service de protection (Azure Rights Management).

Avant d’exécuter cette applet de commande, vérifiez que le principal de service Azure Rights Management a reçu des autorisations sur le coffre de clés qui contient la clé que vous souhaitez utiliser pour Azure Information Protection. Ces autorisations sont accordées en exécutant l’applet de commande Azure Key Vault, Set-AzKeyVaultAccessPolicy.

Pour des raisons de sécurité, l’applet de commande Use-AipServiceKeyVaultKey ne vous permet pas de définir ou de modifier le contrôle d’accès pour la clé dans Azure Key Vault. Une fois cet accès accordé en exécutant Set-AzKeyVaultAccessPolicy, exécutez Use-AipServiceKeyVaultKey pour indiquer à Azure Information Protection d’utiliser la clé et la version que vous spécifiez avec le paramètre KeyVaultKeyUrl.

Pour plus d’informations, consultez les meilleures pratiques pour choisir votre emplacement Azure Key Vault.

Notes

Si vous exécutez cette applet de commande avant que les autorisations ne soient accordées au coffre de clés, vous verrez une erreur qui affiche le service Rights Management n’a pas pu ajouter la clé.

Pour plus d’informations, réexécutez la commande avec -Verbose. Si les autorisations ne sont pas accordées, vous voyez VERBOSE : Échec d’accès à Azure KeyVault.

Lorsque votre commande s’exécute correctement, la clé est ajoutée en tant que clé de locataire gérée par le client archivée pour Azure Information Protection pour votre organisation. Pour en faire la clé de locataire active pour Azure Information Protection, vous devez ensuite exécuter l’applet de commande Set-AipServiceKeyProperties.

Utilisez Azure Key Vault pour gérer et surveiller de manière centralisée l’utilisation de la clé que vous avez spécifiée. Tous les appels à votre clé de locataire sont effectués vers le coffre de clés que votre organisation possède. Vous pouvez confirmer la clé que vous utilisez dans Key Vault à l’aide de l’applet de commande Get-AipServiceKeys.

Pour plus d’informations sur les types de clés de locataire qu’Azure Information Protection prend en charge, consultez Planification et implémentation de votre clé de locataire Azure Information Protection.

Pour plus d’informations sur Azure Key Vault, voir Qu’est-ce qu’Azure Key Vault.

Exemples

Exemple 1 : Configurer Azure Information Protection pour utiliser une clé gérée par le client dans Azure Key Vault

PS C:\>Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contoso.vault.azure.net/keys/contoso-aipservice-key/aaaabbbbcccc111122223333"

Cette commande indique à Azure Information Protection d’utiliser la clé nommée contoso-aipservice-key, version aaaabbbbcccccc11112222333, dans le coffre de clés nommé contoso.

Cette clé et cette version dans Azure Key Vault devient ensuite la clé de locataire gérée par le client pour Azure Information Protection.

Paramètres

-Confirm

Vous demande une confirmation avant d’exécuter l’applet de commande.

Type:SwitchParameter
Alias:cf
Position:Named
Valeur par défaut:False
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-Force

Force l’exécution de la commande sans demander la confirmation de l’utilisateur.

Type:SwitchParameter
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-FriendlyName

Spécifie le nom convivial d’un domaine de publication approuvé (TPD) et la clé SLC que vous avez importée à partir d’AD RMS.

Si les utilisateurs exécutent Office 2016 ou Office 2013, spécifiez la même valeur de nom convivial définie pour les propriétés du cluster AD RMS sous l’onglet Certificat de serveur .

Ce paramètre est facultatif. Si vous ne l’utilisez pas, l’identificateur de clé est utilisé à la place.

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-KeyVaultKeyUrl

Spécifie l’URL de la clé et de la version dans Azure Key Vault que vous souhaitez utiliser pour votre clé de locataire.

Cette clé sera utilisée par Azure Information Protection comme clé racine pour toutes les opérations de chiffrement de votre locataire.

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-WhatIf

Montre ce qui se passe en cas d’exécution de l’applet de commande. L’applet de commande n’est pas exécutée.

Type:SwitchParameter
Alias:wi
Position:Named
Valeur par défaut:False
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False