Use-AipServiceKeyVaultKey

Сообщает Azure Information Protection использовать ключ клиента, управляемый клиентом, в Azure Key Vault.

Синтаксис

Use-AipServiceKeyVaultKey
   -KeyVaultKeyUrl <String>
   [-FriendlyName <String>]
   [-Force]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

Описание

Командлет Use-AipServiceKeyVaultKey сообщает Azure Information Protection использовать управляемый клиентом ключ (BYOK) в Azure Key Vault.

Для настройки ключа клиента необходимо использовать PowerShell; Эту конфигурацию нельзя выполнить с помощью портала управления.

Этот командлет можно запустить до или после активации службы защиты (Azure Rights Management).

Перед запуском этого командлета убедитесь, что субъекту-службе Azure Rights Management предоставлены разрешения для хранилища ключей, содержащего ключ, который вы хотите использовать для Azure Information Protection. Эти разрешения предоставляются с помощью командлета Azure Key Vault Set-AzKeyVaultAccessPolicy.

По соображениям безопасности командлет Use-AipServiceKeyVaultKey не позволяет задавать или изменять управление доступом для ключа в Azure Key Vault. После предоставления доступа, запустив Set-AzKeyVaultAccessPolicy, выполните команду Use-AipServiceKeyVaultKey, чтобы сообщить Azure Information Protection использовать ключ и версию, указанные с помощью параметра KeyVaultKeyUrl.

Дополнительные сведения см. в рекомендациях по выбору расположения azure Key Vault.

Примечание

Если вы запустите этот командлет до предоставления разрешений хранилищу ключей, появится сообщение об ошибке, отображающее, что службе Rights Management не удалось добавить ключ.

Чтобы просмотреть более подробные сведения, снова выполните команду с параметром -Verbose. Если разрешения не предоставлены, вы увидите verbOSE: сбой доступа к Azure KeyVault.

При успешном выполнении команды ключ добавляется в качестве архивного ключа клиента, управляемого клиентом, для Azure Information Protection для вашей организации. Чтобы сделать его активным ключом клиента для Azure Information Protection, необходимо запустить командлет Set-AipServiceKeyProperties.

Используйте Azure Key Vault для централизованного управления и мониторинга использования указанного ключа. Все вызовы к ключу клиента будут выполнены в хранилище ключей, принадлежащее вашей организации. Вы можете проверить, какой ключ используется в Key Vault с помощью командлета Get-AipServiceKeys.

Дополнительные сведения о типах ключей клиента, поддерживаемых Azure Information Protection, см. в статье "Планирование и реализация ключа клиента Information Protection Azure".

Дополнительные сведения об Azure Key Vault см. в статье Что такое Azure Key Vault?.

Примеры

Пример 1. Настройка azure Information Protection для использования ключа, управляемого клиентом, в Azure Key Vault

PS C:\>Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contoso.vault.azure.net/keys/contoso-aipservice-key/aaaabbbbcccc111122223333"

Эта команда сообщает Azure Information Protection использовать ключ с именем contoso-aipservice-key версии aaaabbbbcc111122223333 в хранилище ключей с именем contoso.

Этот ключ и версия в Azure Key Vault затем становятся ключом клиента, управляемым клиентом, для Azure Information Protection.

Параметры

-Confirm

Запрос подтверждения перед выполнением командлета.

Type:SwitchParameter
Aliases:cf
Position:Named
Default value:False
Accept pipeline input:False
Accept wildcard characters:False

-Force

Принудительное выполнение команды без запроса на подтверждение пользователем.

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-FriendlyName

Указывает понятное имя доверенного домена публикации (TPD) и ключ SLC, импортированный из AD RMS.

Если пользователи работают под управлением Office 2016 или Office 2013, укажите то же понятное значение имени , которое задается для свойств кластера AD RMS на вкладке "Сертификат сервера ".

Это необязательный параметр. Если вы не используете его, вместо него используется идентификатор ключа.

Type:String
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-KeyVaultKeyUrl

Указывает URL-адрес ключа и версии в Azure Key Vault, которые вы хотите использовать для ключа клиента.

Этот ключ будет использоваться Azure Information Protection в качестве корневого ключа для всех криптографических операций для вашего клиента.

Type:String
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-WhatIf

Показывает, что произойдет при запуске командлета. Командлет не выполняется.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:False
Accept pipeline input:False
Accept wildcard characters:False