你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Import-AipServiceTpd
从用于 Azure 信息保护的 AD RMS 导入 TPD。
语法
Import-AipServiceTpd
[-Force]
-TpdFile <String>
-ProtectionPassword <SecureString>
[-FriendlyName <String>]
[-KeyVaultKeyUrl <String>]
[-WhatIf]
[-Confirm]
[<CommonParameters>] 说明
Import-AipServiceTpd cmdlet 通过 Internet 将 Active Directory Rights Management Services (AD RMS) 受信任的发布域 (TPD) 导入 Azure 信息保护租户,以便可以将保护服务从本地迁移到云。 TPD 包含 AD RMS 中的私钥和保护模板。
必须使用 PowerShell 配置租户密钥;无法使用管理门户执行此配置。
此 cmdlet 始终将导入的 TPD 中的密钥设置为存档状态。 运行此命令后,导入的 TPD 中的密钥可供 Azure 信息保护使用此密钥保护的内容。 使用 Set-AipServiceKeyProperties cmdlet 将导入的 TPD 的状态更改为“活动”。
如果将模板从 AD RMS 迁移为活动状态,则可以在Azure 门户或使用 PowerShell 编辑这些模板。 可以发布这些模板,以便用户可以从应用程序中选择它们。 如果迁移的模板未激活,它们只能用于打开以前保护的文档。
你必须使用 AD RMS 管理控制台导出 TPD。 如果使用硬件安全模块 (HSM) 密钥,则必须首先使用 Azure 密钥保管库 BYOK 工具重新打包 TPD 密钥。 可以从 Microsoft 下载站点下载这些工具。
有关详细信息,请参阅如何为 Azure 密钥保管库生成和传输受 HSM 保护的密钥。
示例
示例 1:使用软件密钥导入 TPD
PS C:\>$Password = Read-Host -AsSecureString -Prompt "Password: "
PS C:\> Import-AipServiceTpd -TpdFile "C:\aipservice_tpd.xml" -ProtectionPassword $Password -Verbose第一个命令使用 Read-Host cmdlet 创建密码作为安全字符串,然后将安全字符串存储在$Password变量中。 要了解详情,请键入 Get-Help Read-Host。
第二个命令将导入包含软件密钥的 TPD。
示例 2:使用 HSM 密钥导入 TPD
PS C:\>$Password = Read-Host -AsSecureString -Prompt "Password: "
PS C:\> Import-AipServiceTpd -TpdFile "C:\no_key_tpd.xml" -ProtectionPassword $Password -KeyVaultKeyUrl "https://contoso-byok-kv.vault.azure.net/keys/contosoaipservice-byok/aaaabbbbcccc111122223333" -FriendlyName "Contoso BYOK key" -Verbose第一个命令将密码创建为安全字符串,然后将安全字符串存储在 $Password 变量中。
第二个命令导入要与存储在 Azure 密钥保管库 中的密钥一起使用的 TPD。 此外,该命令会将密钥的友好名称更改为“Contoso BYOK 键”。
本示例使用 contoso-byok-kv 的密钥保管库名称、 contosoaipservice-byok 的密钥名称以及 aaaabbbbcccc1111222233333 的版本号。
参数
-Confirm
提示你在运行 cmdlet 之前进行确认。
| 类型: | SwitchParameter |
| 别名: | cf |
| Position: | Named |
| 默认值: | False |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-Force
强制运行命令而不要求用户确认。
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-FriendlyName
指定受信任的发布域的友好名称 (TPD) 以及从 AD RMS 导入的 SLC 密钥。 如果用户运行 Office 2016 或 Office 2013,请在“服务器证书”选项卡上为 AD RMS 群集属性指定相同的友好名称值。
此参数是可选的。 如果不使用它,则改用密钥标识符。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | True |
| 接受通配符: | False |
-KeyVaultKeyUrl
指定要用于租户密钥的 Azure 密钥保管库中的密钥的 URL。 Azure 信息保护将使用此密钥作为租户的所有加密操作的根密钥。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | True |
| 接受通配符: | False |
-ProtectionPassword
指定用于加密导出的 TPD 文件的密码。
可以使用 ConvertTo-SecureString -AsPlaintext 或 Read-Host 指定 SecureString。
使用 ConvertTo-SecureString 并且密码具有特殊字符时,请在单引号之间输入密码或转义特殊字符。 如果没有,密码将无法正确分析,并且处于详细模式,你将看到以下错误消息:
VERBOSE:受信任的发布域数据已损坏。VERBOSE:远程服务器返回了意外响应: (400) 错误请求。
例如,如果密码为 Pa$$word,请输入“Pa$$word”或 Pa'$'$word,以便Windows PowerShell可以正确分析特殊字符。 作为完整示例,可以键入 $pwd = ConvertTo-SecureString “Pa$$w 0rd” -AsPlainText -Force ,然后检查存储值是否正确,请键入 $pwd 以确认 显示 Pa$$word 。
| 类型: | SecureString |
| Position: | Named |
| 默认值: | None |
| 必需: | True |
| 接受管道输入: | True |
| 接受通配符: | False |
-TpdFile
指定从 AD RMS 群集导出到要用于 Azure 信息保护的租户的 TPD 文件。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | True |
| 接受管道输入: | True |
| 接受通配符: | False |
-WhatIf
显示在此 cmdlet 运行的情况下将会发生什么。 此 cmdlet 未运行。
| 类型: | SwitchParameter |
| 别名: | wi |
| Position: | Named |
| 默认值: | False |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |