Use-AipServiceKeyVaultKey

Teilt Azure Information Protection mit, einen kundengesteuerten Mandantenschlüssel in Azure Key Vault zu verwenden.

Syntax

Use-AipServiceKeyVaultKey
   -KeyVaultKeyUrl <String>
   [-FriendlyName <String>]
   [-Force]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

Beschreibung

Das Cmdlet Use-AipServiceKeyVaultKey teilt Azure Information Protection mit, einen vom Kunden verwalteten Schlüssel (BYOK) in Azure Key Vault zu verwenden.

Sie müssen PowerShell verwenden, um Ihren Mandantenschlüssel zu konfigurieren; Diese Konfiguration kann nicht mithilfe eines Verwaltungsportals ausgeführt werden.

Sie können dieses Cmdlet vor oder nach der Aktivierung des Schutzdiensts (Azure Rights Management) ausführen.

Bevor Sie dieses Cmdlet ausführen, stellen Sie sicher, dass dem Azure Rights Management-Dienstprinzipal Berechtigungen für den Schlüsseltresor gewährt wurden, der den Schlüssel enthält, den Sie für Azure Information Protection verwenden möchten. Diese Berechtigungen werden erteilt, indem Sie das Cmdlet Azure Key Vault cmdlet, Set-AzKeyVaultAccessPolicy ausführen.

Aus Sicherheitsgründen lässt das Cmdlet Use-AipServiceKeyVaultKey nicht die Zugriffssteuerung für den Schlüssel in Azure Key Vault festlegen oder ändern. Führen Sie nach dem Ausführen von Set-AzKeyVaultAccessPolicyden Zugriff mit Use-AipServiceKeyVaultKey aus, um Azure Information Protection zu informieren, um den Schlüssel und die version zu verwenden, die Sie mit dem KeyVaultKeyUrl-Parameter angeben.

Weitere Informationen finden Sie unter Bewährte Methoden zum Auswählen Ihres Azure-Key Vault Speicherorts.

Hinweis

Wenn Sie dieses Cmdlet ausführen, bevor die Berechtigungen dem Schlüsseltresor gewährt werden, wird ein Fehler angezeigt, der den Rechteverwaltungsdienst nicht zum Hinzufügen des Schlüssels anzeigt.

Um ausführlichere Informationen anzuzeigen, führen Sie den Befehl erneut mit -Verbose aus. Wenn die Berechtigungen nicht gewährt werden, sehen Sie VERBOSE: Fehler beim Zugriff auf Azure KeyVault.

Wenn Ihr Befehl erfolgreich ausgeführt wird, wird der Schlüssel als archivierter vom Kunden verwalteter Mandantenschlüssel für Azure Information Protection für Ihre Organisation hinzugefügt. Um ihn zum aktiven Mandantenschlüssel für Azure Information Protection zu machen, müssen Sie dann das Cmdlet "Set-AipServiceKeyProperties" ausführen.

Verwenden Sie Azure Key Vault, um die Verwendung des von Ihnen angegebenen Schlüssels zentral zu verwalten und zu überwachen. Alle Anrufe an Ihren Mandantenschlüssel werden an den Schlüsseltresor vorgenommen, den Ihre Organisation besitzt. Sie können bestätigen, welchen Schlüssel Sie in Key Vault verwenden, indem Sie das Cmdlet "Get-AipServiceKeys" verwenden.

Weitere Informationen zu den Typen von Mandantenschlüsseln, die Azure Information Protection unterstützt, finden Sie unter Planen und Implementieren Ihres Azure Information Protection Mandantenschlüssels.

Weitere Informationen zu Azure Key Vault finden Sie unter Was ist Azure Key Vault.

Beispiele

Beispiel 1: Konfigurieren von Azure Information Protection zum Verwenden eines vom Kunden verwalteten Schlüssels in Azure Key Vault

PS C:\>Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contoso.vault.azure.net/keys/contoso-aipservice-key/aaaabbbbcccc111122223333"

Dieser Befehl teilt Azure Information Protection mit, den Schlüssel "contoso-aipservice-key", Version aaaabbbbcc11122222333, im Schlüsseltresor "contoso" zu verwenden.

Dieser Schlüssel und diese Version in Azure Key Vault wird dann zum kundengesteuerten Mandantenschlüssel für Azure Information Protection.

Parameter

-Confirm

Hiermit werden Sie vor der Ausführung des Cmdlets zur Bestätigung aufgefordert.

Typ:SwitchParameter
Aliase:cf
Position:Named
Standardwert:False
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

-Force

Erzwingt die Ausführung des Befehls ohne Aufforderung zur Bestätigung durch den Benutzer.

Typ:SwitchParameter
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

-FriendlyName

Gibt den Anzeigenamen einer vertrauenswürdigen Veröffentlichungsdomäne (TPD) und den SLC-Schlüssel an, den Sie aus AD RMS importiert haben.

Wenn Benutzer Office 2016 oder Office 2013 ausführen, geben Sie den gleichen Namenswert an, der für die AD RMS-Clustereigenschaften auf der Registerkarte "Serverzertifikat " festgelegt ist.

Dieser Parameter ist optional. Wenn Sie es nicht verwenden, wird stattdessen der Schlüsselbezeichner verwendet.

Typ:String
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-KeyVaultKeyUrl

Gibt die URL des Schlüssels und der Version in Azure Key Vault an, die Sie für Ihren Mandantenschlüssel verwenden möchten.

Dieser Schlüssel wird von Azure Information Protection als Stammschlüssel für alle kryptografischen Vorgänge für Ihren Mandanten verwendet.

Typ:String
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-WhatIf

Zeigt, was geschieht, wenn das Cmdlet ausgeführt wird. Das Cmdlet wird nicht ausgeführt.

Typ:SwitchParameter
Aliase:wi
Position:Named
Standardwert:False
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False