Use-AipServiceKeyVaultKey
Teilt Azure Information Protection mit, einen kundengesteuerten Mandantenschlüssel in Azure Key Vault zu verwenden.
Syntax
Use-AipServiceKeyVaultKey
-KeyVaultKeyUrl <String>
[-FriendlyName <String>]
[-Force]
[-WhatIf]
[-Confirm]
[<CommonParameters>] Beschreibung
Das Cmdlet Use-AipServiceKeyVaultKey teilt Azure Information Protection mit, einen vom Kunden verwalteten Schlüssel (BYOK) in Azure Key Vault zu verwenden.
Sie müssen PowerShell verwenden, um Ihren Mandantenschlüssel zu konfigurieren; Diese Konfiguration kann nicht mithilfe eines Verwaltungsportals ausgeführt werden.
Sie können dieses Cmdlet vor oder nach der Aktivierung des Schutzdiensts (Azure Rights Management) ausführen.
Bevor Sie dieses Cmdlet ausführen, stellen Sie sicher, dass dem Azure Rights Management-Dienstprinzipal Berechtigungen für den Schlüsseltresor gewährt wurden, der den Schlüssel enthält, den Sie für Azure Information Protection verwenden möchten. Diese Berechtigungen werden erteilt, indem Sie das Cmdlet Azure Key Vault cmdlet, Set-AzKeyVaultAccessPolicy ausführen.
Aus Sicherheitsgründen lässt das Cmdlet Use-AipServiceKeyVaultKey nicht die Zugriffssteuerung für den Schlüssel in Azure Key Vault festlegen oder ändern. Führen Sie nach dem Ausführen von Set-AzKeyVaultAccessPolicyden Zugriff mit Use-AipServiceKeyVaultKey aus, um Azure Information Protection zu informieren, um den Schlüssel und die version zu verwenden, die Sie mit dem KeyVaultKeyUrl-Parameter angeben.
Weitere Informationen finden Sie unter Bewährte Methoden zum Auswählen Ihres Azure-Key Vault Speicherorts.
Hinweis
Wenn Sie dieses Cmdlet ausführen, bevor die Berechtigungen dem Schlüsseltresor gewährt werden, wird ein Fehler angezeigt, der den Rechteverwaltungsdienst nicht zum Hinzufügen des Schlüssels anzeigt.
Um ausführlichere Informationen anzuzeigen, führen Sie den Befehl erneut mit -Verbose aus. Wenn die Berechtigungen nicht gewährt werden, sehen Sie VERBOSE: Fehler beim Zugriff auf Azure KeyVault.
Wenn Ihr Befehl erfolgreich ausgeführt wird, wird der Schlüssel als archivierter vom Kunden verwalteter Mandantenschlüssel für Azure Information Protection für Ihre Organisation hinzugefügt. Um ihn zum aktiven Mandantenschlüssel für Azure Information Protection zu machen, müssen Sie dann das Cmdlet "Set-AipServiceKeyProperties" ausführen.
Verwenden Sie Azure Key Vault, um die Verwendung des von Ihnen angegebenen Schlüssels zentral zu verwalten und zu überwachen. Alle Anrufe an Ihren Mandantenschlüssel werden an den Schlüsseltresor vorgenommen, den Ihre Organisation besitzt. Sie können bestätigen, welchen Schlüssel Sie in Key Vault verwenden, indem Sie das Cmdlet "Get-AipServiceKeys" verwenden.
Weitere Informationen zu den Typen von Mandantenschlüsseln, die Azure Information Protection unterstützt, finden Sie unter Planen und Implementieren Ihres Azure Information Protection Mandantenschlüssels.
Weitere Informationen zu Azure Key Vault finden Sie unter Was ist Azure Key Vault.
Beispiele
Beispiel 1: Konfigurieren von Azure Information Protection zum Verwenden eines vom Kunden verwalteten Schlüssels in Azure Key Vault
PS C:\>Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contoso.vault.azure.net/keys/contoso-aipservice-key/aaaabbbbcccc111122223333"Dieser Befehl teilt Azure Information Protection mit, den Schlüssel "contoso-aipservice-key", Version aaaabbbbcc11122222333, im Schlüsseltresor "contoso" zu verwenden.
Dieser Schlüssel und diese Version in Azure Key Vault wird dann zum kundengesteuerten Mandantenschlüssel für Azure Information Protection.
Parameter
-Confirm
Hiermit werden Sie vor der Ausführung des Cmdlets zur Bestätigung aufgefordert.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Force
Erzwingt die Ausführung des Befehls ohne Aufforderung zur Bestätigung durch den Benutzer.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-FriendlyName
Gibt den Anzeigenamen einer vertrauenswürdigen Veröffentlichungsdomäne (TPD) und den SLC-Schlüssel an, den Sie aus AD RMS importiert haben.
Wenn Benutzer Office 2016 oder Office 2013 ausführen, geben Sie den gleichen Namenswert an, der für die AD RMS-Clustereigenschaften auf der Registerkarte "Serverzertifikat " festgelegt ist.
Dieser Parameter ist optional. Wenn Sie es nicht verwenden, wird stattdessen der Schlüsselbezeichner verwendet.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-KeyVaultKeyUrl
Gibt die URL des Schlüssels und der Version in Azure Key Vault an, die Sie für Ihren Mandantenschlüssel verwenden möchten.
Dieser Schlüssel wird von Azure Information Protection als Stammschlüssel für alle kryptografischen Vorgänge für Ihren Mandanten verwendet.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-WhatIf
Zeigt, was geschieht, wenn das Cmdlet ausgeführt wird. Das Cmdlet wird nicht ausgeführt.
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |