Import-AipServiceTpd

AZURE Information Protection 用 AD RMS から TPD をインポートします。

構文

Import-AipServiceTpd
      [-Force]
      -TpdFile <String>
      -ProtectionPassword <SecureString>
      [-FriendlyName <String>]
      [-KeyVaultKeyUrl <String>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

説明

Import-AipServiceTpd コマンドレットは、オンプレミスからクラウドに保護サービスを移行できるように、インターネット経由で Active Directory Rights Management Services (AD RMS) の信頼された発行ドメイン (TPD) を Azure Information Protection のテナントにインポートします。 TPD には、AD RMS の秘密キーと保護テンプレートが含まれています。

PowerShell を使用してテナント キーを構成する必要があります。管理ポータルを使用してこの構成を行うことはできません。

このコマンドレットは、インポートされた TPD のキーを常にアーカイブ状態に設定します。 このコマンドを実行すると、インポートされた TPD 内のキーが Azure Information Protectionで使用できるようになり、AD RMS がこのキーを使用して保護されたコンテンツを使用できるようになります。 Set-AipServiceKeyProperties コマンドレットを使用して、インポートした TPD の状態をアクティブに変更します。

警告

AD RMS からの移行の要件、制限事項、手順、および影響を読んで理解していない限り、このコマンドレットを実行しないでください。

詳細については、「AD RMS から Azure Information Protection への移行」を参照してください。

AD RMS からアクティブとしてテンプレートを移行する場合は、Azure portalで、または PowerShell を使用して、これらのテンプレートを編集できます。 ユーザーがアプリケーションからテンプレートを選択できるように、これらのテンプレートを発行できます。 移行後にアクティブ化されていないテンプレートは、前に保護していたドキュメントを開くためだけに使用できます。

TPD をエクスポートするには、AD RMS 管理コンソールを使用する必要があります。 キーにハードウェア セキュリティ モジュール (HSM) を使用する場合は、まず Azure Key Vault BYOK ツールを使用して TPD キーを再パッケージ化する必要があります。 これらのツールは 、Microsoft ダウンロード サイトからダウンロードできます。

詳細については、「Azure Key Vault の HSM で保護されたキーを生成および転送する方法」を参照してください。

例 1: ソフトウェア キーを使用して TPD をインポートする

PS C:\>$Password = Read-Host -AsSecureString -Prompt "Password: "
PS C:\> Import-AipServiceTpd -TpdFile "C:\aipservice_tpd.xml" -ProtectionPassword $Password -Verbose

最初のコマンドは 、Read-Host コマンドレットを使用してセキュリティで保護された文字列としてパスワードを作成し、$Password変数にセキュリティで保護された文字列を格納します。 詳細を表示するには「Get-Help Read-Host」を入力します。

2 つ目のコマンドでは、ソフトウェア キーを含む TPD をインポートします。

例 2: HSM キーを使用して TPD をインポートする

PS C:\>$Password = Read-Host -AsSecureString -Prompt "Password: "
PS C:\> Import-AipServiceTpd -TpdFile "C:\no_key_tpd.xml" -ProtectionPassword $Password -KeyVaultKeyUrl "https://contoso-byok-kv.vault.azure.net/keys/contosoaipservice-byok/aaaabbbbcccc111122223333" -FriendlyName "Contoso BYOK key" -Verbose

最初のコマンドは、セキュリティで保護された文字列としてパスワードを作成し、セキュリティで保護された文字列を $Password 変数に格納します。

2 番目のコマンドは、Azure Key Vaultに格納されているキーと共に使用する TPD をインポートします。 さらに、コマンドはキーのフレンドリ名を "Contoso BYOK キー" に変更します。

この例では、 contoso-byok-kv のキー コンテナー名、 contosoaipservice-byok のキー名、 aaaabbbbcccc1111122223333 のバージョン番号を使用します。

パラメーター

-Confirm

コマンドレットの実行前に確認を求めるメッセージが表示されます。

型:SwitchParameter
Aliases:cf
配置:Named
規定値:False
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Force

ユーザーに確認せずに、直ちにコマンドを実行します。

型:SwitchParameter
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-FriendlyName

信頼された発行ドメイン (TPD) のフレンドリ名と、AD RMS からインポートした SLC キーを指定します。 ユーザーが Office 2016 または Office 2013 を実行する場合は、[サーバー証明書] タブで AD RMS クラスターのプロパティに設定されているのと同じフレンドリ名の値を指定します。

このパラメーターは省略可能です。 使用しない場合は、代わりにキー識別子が使用されます。

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-KeyVaultKeyUrl

テナント キーに使用する Azure Key Vault内のキーの URL を指定します。 このキーは、テナントのすべての暗号化操作のルート キーとして Azure Information Protection によって使用されます。

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-ProtectionPassword

エクスポートされた TPD ファイルの暗号化に使用したパスワードを指定します。

ConvertTo-SecureString -AsPlaintext または Read-Host を使用して SecureString を指定できます。

ConvertTo-SecureString を使用し、パスワードに特殊文字が含まれている場合は、パスワードを単一引用符で囲んで入力するか、特殊文字をエスケープします。 そうでない場合、パスワードは正しく解析されず、詳細モードでは次のエラー メッセージが表示されます。

VERBOSE: 信頼された発行ドメインのデータが破損しています。VERBOSE: リモート サーバーが予期しない応答を返しました: (400) 無効な要求。

たとえば、パスワードが Pa$$word の場合は、「Pa$$word」または「Pa'$$word」と入力して、Windows PowerShellが特殊文字を正しく解析できるようにします。 完全な例として、「 $pwd = ConvertTo-SecureString 'Pa$$w 0rd' -AsPlainText -Force」 と入力し、格納されている値が正しいことを確認するには、「 $pwd 」と入力して 、Pa$$word が表示されていることを確認します。

型:SecureString
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-TpdFile

Azure Information Protectionに使用するテナントにインポートする AD RMS クラスターからエクスポートされる TPD ファイルを指定します。

型:String
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-WhatIf

コマンドレットの実行時に発生する内容を示します。 このコマンドレットは実行されません。

型:SwitchParameter
Aliases:wi
配置:Named
規定値:False
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False