你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Import-AipServiceTpd

从用于 Azure 信息保护的 AD RMS 导入 TPD。

语法

Import-AipServiceTpd
      [-Force]
      -TpdFile <String>
      -ProtectionPassword <SecureString>
      [-FriendlyName <String>]
      [-KeyVaultKeyUrl <String>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

说明

Import-AipServiceTpd cmdlet 通过 Internet 将 Active Directory Rights Management Services (AD RMS) 受信任的发布域 (TPD) 导入 Azure 信息保护租户,以便可以将保护服务从本地迁移到云。 TPD 包含 AD RMS 中的私钥和保护模板。

必须使用 PowerShell 配置租户密钥;无法使用管理门户执行此配置。

此 cmdlet 始终将导入的 TPD 中的密钥设置为存档状态。 运行此命令后,导入的 TPD 中的密钥可供 Azure 信息保护使用此密钥保护的内容。 使用 Set-AipServiceKeyProperties cmdlet 将导入的 TPD 的状态更改为“活动”。

警告

除非已阅读并了解从 AD RMS 迁移的要求、限制、说明和影响,否则不要运行此 cmdlet。

有关详细信息,请参阅从 AD RMS 迁移到 Azure 信息保护

如果将模板从 AD RMS 迁移为活动状态,则可以在Azure 门户或使用 PowerShell 编辑这些模板。 可以发布这些模板,以便用户可以从应用程序中选择它们。 如果迁移的模板未激活,它们只能用于打开以前保护的文档。

你必须使用 AD RMS 管理控制台导出 TPD。 如果使用硬件安全模块 (HSM) 密钥,则必须首先使用 Azure 密钥保管库 BYOK 工具重新打包 TPD 密钥。 可以从 Microsoft 下载站点下载这些工具。

有关详细信息,请参阅如何为 Azure 密钥保管库生成和传输受 HSM 保护的密钥

示例

示例 1:使用软件密钥导入 TPD

PS C:\>$Password = Read-Host -AsSecureString -Prompt "Password: "
PS C:\> Import-AipServiceTpd -TpdFile "C:\aipservice_tpd.xml" -ProtectionPassword $Password -Verbose

第一个命令使用 Read-Host cmdlet 创建密码作为安全字符串,然后将安全字符串存储在$Password变量中。 要了解详情,请键入 Get-Help Read-Host

第二个命令将导入包含软件密钥的 TPD。

示例 2:使用 HSM 密钥导入 TPD

PS C:\>$Password = Read-Host -AsSecureString -Prompt "Password: "
PS C:\> Import-AipServiceTpd -TpdFile "C:\no_key_tpd.xml" -ProtectionPassword $Password -KeyVaultKeyUrl "https://contoso-byok-kv.vault.azure.net/keys/contosoaipservice-byok/aaaabbbbcccc111122223333" -FriendlyName "Contoso BYOK key" -Verbose

第一个命令将密码创建为安全字符串,然后将安全字符串存储在 $Password 变量中。

第二个命令导入要与存储在 Azure 密钥保管库 中的密钥一起使用的 TPD。 此外,该命令会将密钥的友好名称更改为“Contoso BYOK 键”。

本示例使用 contoso-byok-kv 的密钥保管库名称、 contosoaipservice-byok 的密钥名称以及 aaaabbbbcccc1111222233333 的版本号。

参数

-Confirm

提示你在运行 cmdlet 之前进行确认。

类型:SwitchParameter
别名:cf
Position:Named
默认值:False
必需:False
接受管道输入:False
接受通配符:False

-Force

强制运行命令而不要求用户确认。

类型:SwitchParameter
Position:Named
默认值:None
必需:False
接受管道输入:False
接受通配符:False

-FriendlyName

指定受信任的发布域的友好名称 (TPD) 以及从 AD RMS 导入的 SLC 密钥。 如果用户运行 Office 2016 或 Office 2013,请在“服务器证书”选项卡上为 AD RMS 群集属性指定相同的友好名称值。

此参数是可选的。 如果不使用它,则改用密钥标识符。

类型:String
Position:Named
默认值:None
必需:False
接受管道输入:True
接受通配符:False

-KeyVaultKeyUrl

指定要用于租户密钥的 Azure 密钥保管库中的密钥的 URL。 Azure 信息保护将使用此密钥作为租户的所有加密操作的根密钥。

类型:String
Position:Named
默认值:None
必需:False
接受管道输入:True
接受通配符:False

-ProtectionPassword

指定用于加密导出的 TPD 文件的密码。

可以使用 ConvertTo-SecureString -AsPlaintextRead-Host 指定 SecureString。

使用 ConvertTo-SecureString 并且密码具有特殊字符时,请在单引号之间输入密码或转义特殊字符。 如果没有,密码将无法正确分析,并且处于详细模式,你将看到以下错误消息:

VERBOSE:受信任的发布域数据已损坏。VERBOSE:远程服务器返回了意外响应: (400) 错误请求。

例如,如果密码为 Pa$$word,请输入“Pa$$word”Pa'$'$word,以便Windows PowerShell可以正确分析特殊字符。 作为完整示例,可以键入 $pwd = ConvertTo-SecureString “Pa$$w 0rd” -AsPlainText -Force ,然后检查存储值是否正确,请键入 $pwd 以确认 显示 Pa$$word

类型:SecureString
Position:Named
默认值:None
必需:True
接受管道输入:True
接受通配符:False

-TpdFile

指定从 AD RMS 群集导出到要用于 Azure 信息保护的租户的 TPD 文件。

类型:String
Position:Named
默认值:None
必需:True
接受管道输入:True
接受通配符:False

-WhatIf

显示在此 cmdlet 运行的情况下将会发生什么。 此 cmdlet 未运行。

类型:SwitchParameter
别名:wi
Position:Named
默认值:False
必需:False
接受管道输入:False
接受通配符:False