共用方式為


Import-AipServiceTpd

從適用于 Azure 的 AD RMS 匯入 TPD 資訊保護。

語法

Import-AipServiceTpd
      [-Force]
      -TpdFile <String>
      -ProtectionPassword <SecureString>
      [-FriendlyName <String>]
      [-KeyVaultKeyUrl <String>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

Description

Import-AipServiceTpd Cmdlet會將 Active Directory Rights Management Services (AD RMS) 受信任的發佈網域 (TPD) 匯入 Azure 資訊保護租使用者,以便您將保護服務從內部部署移轉至雲端。 TPD 包含來自 AD RMS 的私密金鑰和保護範本。

您必須使用 PowerShell 來設定租使用者金鑰;您無法使用管理入口網站來執行此設定。

此 Cmdlet 一律會將已匯入 TPD 的金鑰設定為封存狀態。 執行此命令之後,匯入的 TPD 中的金鑰會可供 Azure 資訊保護使用,以使用此金鑰取用 AD RMS 保護的內容。 使用 Set-AipServiceKeyProperties Cmdlet 將匯入的 TPD 狀態變更為作用中。

警告

除非您已閱讀並瞭解從 AD RMS 移轉的需求、限制、指示和含意,否則請勿執行此 Cmdlet。

如需詳細資訊,請參閱從 AD RMS 移轉至 Azure 資訊保護

如果您將範本從 AD RMS 移轉為使用中,您可以在Azure 入口網站或使用 PowerShell 編輯這些範本。 您可以發佈這些範本,讓使用者可以從應用程式選取這些範本。 如果已移轉的範本未啟動,則只能用來開啟它們先前所保護的文件。

您必須使用 AD RMS 管理主控台匯出 TPD。 如果您針對金鑰使用硬體安全性模組 (HSM) ,您必須先使用 Azure 金鑰保存庫 BYOK 工具來重新封裝 TPD 金鑰。 您可以從 Microsoft 下載網站下載這些工具。

如需詳細資訊,請參閱如何為 Azure 金鑰保存庫產生和傳輸受 HSM 保護的金鑰

範例

範例 1:使用軟體金鑰匯入 TPD

PS C:\>$Password = Read-Host -AsSecureString -Prompt "Password: "
PS C:\> Import-AipServiceTpd -TpdFile "C:\aipservice_tpd.xml" -ProtectionPassword $Password -Verbose

第一個命令會使用 Read-Host Cmdlet 建立密碼作為安全字串,然後將安全字串儲存在 $Password 變數中。 如需詳細資訊,請鍵入 Get-Help Read-Host

第二個命令會使用軟體金鑰匯入 TPD。

範例 2:使用 HSM 金鑰匯入 TPD

PS C:\>$Password = Read-Host -AsSecureString -Prompt "Password: "
PS C:\> Import-AipServiceTpd -TpdFile "C:\no_key_tpd.xml" -ProtectionPassword $Password -KeyVaultKeyUrl "https://contoso-byok-kv.vault.azure.net/keys/contosoaipservice-byok/aaaabbbbcccc111122223333" -FriendlyName "Contoso BYOK key" -Verbose

第一個命令會建立密碼作為安全字串,然後將安全字串儲存在 $Password 變數中。

第二個命令會匯入要與儲存在 Azure 金鑰保存庫 中的金鑰搭配使用的 TPD。 此外,命令會將金鑰的易記名稱變更為「Contoso BYOK 鍵」。

我們的範例使用 contoso-byok-kv的金鑰保存庫名稱、 contosoaipservice-byok的金鑰名稱,以及 aaaabbcc111122223333 的版本號碼。

參數

-Confirm

在執行 Cmdlet 前提示您確認。

類型:SwitchParameter
別名:cf
Position:Named
預設值:False
必要:False
接受管線輸入:False
接受萬用字元:False

-Force

強制執行命令而不要求使用者確認。

類型:SwitchParameter
Position:Named
預設值:None
必要:False
接受管線輸入:False
接受萬用字元:False

-FriendlyName

指定信任發佈網域的易記名稱, (TPD) 和您從 AD RMS 匯入的 SLC 金鑰。 如果使用者執行 Office 2016 或 Office 2013,請為 [伺服器憑證] 索引標籤上的 AD RMS 叢集屬性指定相同的易記名稱值。

這是選擇性參數。 如果您未使用它,則會改用金鑰識別碼。

類型:String
Position:Named
預設值:None
必要:False
接受管線輸入:True
接受萬用字元:False

-KeyVaultKeyUrl

指定您想要用於租使用者金鑰的 Azure 金鑰保存庫金鑰 URL。 Azure 資訊保護會使用此金鑰作為租使用者所有密碼編譯作業的根金鑰。

類型:String
Position:Named
預設值:None
必要:False
接受管線輸入:True
接受萬用字元:False

-ProtectionPassword

指定用來將匯出的 TPD 檔案加密的密碼。

您可以使用 ConvertTo-SecureString -AsPlaiNtextRead-Host 來指定 SecureString。

當您使用 ConvertTo-SecureString 且密碼有特殊字元時,請輸入單引號之間的密碼,或逸出特殊字元。 如果沒有,密碼將不會正確剖析,而且在詳細資訊模式中,您會看到下列錯誤訊息:

VERBOSE:信任的發佈網域資料已損毀。VERBOSE:遠端伺服器傳回非預期的回應: (400) 不正確的要求。

例如,如果您的密碼是Pa$$word,請輸入'Pa$$word'Pa'$'$word,讓Windows PowerShell可以正確剖析特殊字元。 例如,您可以輸入 $pwd = ConvertTo-SecureString 'Pa$$w 0rd' -AsPlainText -Force ,然後檢查預存值是否正確,請輸入 $pwd 以確認 已顯示 Pa$$word

類型:SecureString
Position:Named
預設值:None
必要:True
接受管線輸入:True
接受萬用字元:False

-TpdFile

指定從 AD RMS 叢集匯出的 TPD 檔案,以匯入至您的租使用者,以用於 Azure 資訊保護。

類型:String
Position:Named
預設值:None
必要:True
接受管線輸入:True
接受萬用字元:False

-WhatIf

顯示執行 Cmdlet 後會發生的情況。 Cmdlet 並不會執行。

類型:SwitchParameter
別名:wi
Position:Named
預設值:False
必要:False
接受管線輸入:False
接受萬用字元:False