Import-AipServiceTpd
從適用于 Azure 的 AD RMS 匯入 TPD 資訊保護。
Syntax
Import-AipServiceTpd
[-Force]
-TpdFile <String>
-ProtectionPassword <SecureString>
[-FriendlyName <String>]
[-KeyVaultKeyUrl <String>]
[-WhatIf]
[-Confirm]
[<CommonParameters>] Description
Import-AipServiceTpd Cmdlet會將 Active Directory Rights Management Services (AD RMS) 受信任的發佈網域 (TPD) 匯入 Azure 資訊保護租使用者,以便您將保護服務從內部部署移轉至雲端。 TPD 包含來自 AD RMS 的私密金鑰和保護範本。
您必須使用 PowerShell 來設定租使用者金鑰;您無法使用管理入口網站來執行此設定。
此 Cmdlet 一律會將已匯入 TPD 的金鑰設定為封存狀態。 執行此命令之後,匯入的 TPD 中的金鑰會可供 Azure 資訊保護使用,以使用此金鑰取用 AD RMS 保護的內容。 使用 Set-AipServiceKeyProperties Cmdlet 將匯入的 TPD 狀態變更為作用中。
如果您將範本從 AD RMS 移轉為使用中,您可以在Azure 入口網站或使用 PowerShell 編輯這些範本。 您可以發佈這些範本,讓使用者可以從應用程式選取這些範本。 如果已移轉的範本未啟動,則只能用來開啟它們先前所保護的文件。
您必須使用 AD RMS 管理主控台匯出 TPD。 如果您針對金鑰使用硬體安全性模組 (HSM) ,您必須先使用 Azure 金鑰保存庫 BYOK 工具來重新封裝 TPD 金鑰。 您可以從 Microsoft 下載網站下載這些工具。
如需詳細資訊,請參閱如何為 Azure 金鑰保存庫產生和傳輸受 HSM 保護的金鑰。
範例
範例 1:使用軟體金鑰匯入 TPD
PS C:\>$Password = Read-Host -AsSecureString -Prompt "Password: "
PS C:\> Import-AipServiceTpd -TpdFile "C:\aipservice_tpd.xml" -ProtectionPassword $Password -Verbose第一個命令會使用 Read-Host Cmdlet 建立密碼作為安全字串,然後將安全字串儲存在 $Password 變數中。 如需詳細資訊,請鍵入 Get-Help Read-Host。
第二個命令會使用軟體金鑰匯入 TPD。
範例 2:使用 HSM 金鑰匯入 TPD
PS C:\>$Password = Read-Host -AsSecureString -Prompt "Password: "
PS C:\> Import-AipServiceTpd -TpdFile "C:\no_key_tpd.xml" -ProtectionPassword $Password -KeyVaultKeyUrl "https://contoso-byok-kv.vault.azure.net/keys/contosoaipservice-byok/aaaabbbbcccc111122223333" -FriendlyName "Contoso BYOK key" -Verbose第一個命令會建立密碼作為安全字串,然後將安全字串儲存在 $Password 變數中。
第二個命令會匯入要與儲存在 Azure 金鑰保存庫 中的金鑰搭配使用的 TPD。 此外,命令會將金鑰的易記名稱變更為「Contoso BYOK 鍵」。
我們的範例使用 contoso-byok-kv的金鑰保存庫名稱、 contosoaipservice-byok的金鑰名稱,以及 aaaabbcc111122223333 的版本號碼。
參數
-Confirm
在執行 Cmdlet 前提示您確認。
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Force
強制執行命令而不要求使用者確認。
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-FriendlyName
指定信任發佈網域的易記名稱, (TPD) 和您從 AD RMS 匯入的 SLC 金鑰。 如果使用者執行 Office 2016 或 Office 2013,請為 [伺服器憑證] 索引標籤上的 AD RMS 叢集屬性指定相同的易記名稱值。
這是選擇性參數。 如果您未使用它,則會改用金鑰識別碼。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-KeyVaultKeyUrl
指定您想要用於租使用者金鑰的 Azure 金鑰保存庫金鑰 URL。 Azure 資訊保護會使用此金鑰作為租使用者所有密碼編譯作業的根金鑰。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-ProtectionPassword
指定用來將匯出的 TPD 檔案加密的密碼。
您可以使用 ConvertTo-SecureString -AsPlaiNtext 或 Read-Host 來指定 SecureString。
當您使用 ConvertTo-SecureString 且密碼有特殊字元時,請輸入單引號之間的密碼,或逸出特殊字元。 如果沒有,密碼將不會正確剖析,而且在詳細資訊模式中,您會看到下列錯誤訊息:
VERBOSE:信任的發佈網域資料已損毀。VERBOSE:遠端伺服器傳回非預期的回應: (400) 不正確的要求。
例如,如果您的密碼是Pa$$word,請輸入'Pa$$word'或Pa'$'$word,讓Windows PowerShell可以正確剖析特殊字元。 例如,您可以輸入 $pwd = ConvertTo-SecureString 'Pa$$w 0rd' -AsPlainText -Force ,然後檢查預存值是否正確,請輸入 $pwd 以確認 已顯示 Pa$$word 。
| Type: | SecureString |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-TpdFile
指定從 AD RMS 叢集匯出的 TPD 檔案,以匯入至您的租使用者,以用於 Azure 資訊保護。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-WhatIf
顯示執行 Cmdlet 後會發生的情況。 Cmdlet 並不會執行。
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |