Plánování a implementace klíče tenanta služby Azure Information ProtectionPlanning and implementing your Azure Information Protection tenant key

Platí pro: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Tyto informace vám pomohou při plánování a správě klíče tenanta Azure Information Protection.Use the information in this article to help you plan for and manage your Azure Information Protection tenant key. Místo toho, aby váš klíč tenanta spravovala společnost Microsoft (výchozí možnost), se můžete rozhodnout, že si budete klíč tenanta spravovat sami, abyste vyhověli konkrétním předpisům platným pro vaši organizaci.For example, instead of Microsoft managing your tenant key (the default), you might want to manage your own tenant key to comply with specific regulations that apply to your organization. Správa vlastního klíče tenanta se také označuje jako funkce Přineste si vlastní klíč (BYOK).Managing your own tenant key is also referred to as bring your own key, or BYOK.

Co je klíč klienta Azure Information Protection?What is the Azure Information Protection tenant key?

  • Klíč klienta Azure Information Protection je kořenový klíč pro vaši organizaci.The Azure Information Protection tenant key is a root key for your organization. Jiných klíčů může být odvozen od tohoto kořenového klíče, jako je například uživatelské klíče, klíče počítače a dokumentu šifrovací klíče.Other keys can be derived from this root key, such as user keys, computer keys, and document encryption keys. Vždy, když Azure Information Protection používá tyto klíče pro vaši organizaci, kryptograficky se připojí k klíč klienta Azure Information Protection.Whenever Azure Information Protection uses these keys for your organization, they cryptographically chain to your Azure Information Protection tenant key.

  • Klíč klienta Azure Information Protection je ekvivalentem online klíče serveru serverového certifikátu (SLC) z Active Directory Rights Management Services (AD RMS).The Azure Information Protection tenant key is the online equivalent of the Server Licensor Certificate (SLC) key from Active Directory Rights Management Services (AD RMS).

Přehled: Tuto tabulku použijte jako stručného průvodce doporučenou topologií klíče tenanta.At a glance: Use the following table as a quick guide to your recommended tenant key topology. Další informace pak najdete v dodatečné dokumentaci.Then, use the additional documentation for more information.

Podnikový požadavekBusiness requirement Doporučená topologie klíče tenantaRecommended tenant key topology
Nasaďte Azure Information Protection rychle a bez speciální hardware, další software nebo předplatné Azure.Deploy Azure Information Protection quickly and without special hardware, additional software, or an Azure subscription.

Příklad: testovací prostředí nebo pokud vaše organizace nemá zákonné požadavky pro správu klíčů.For example: Testing environments and when your organization does not have regulatory requirements for key management.
Spravováno společností MicrosoftManaged by Microsoft
Předpisy, další bezpečnostní a kontrolu nad všechny operace životního cyklu.Compliance regulations, additional security, and control over all life cycle operations.

Příklad: klíč musí být chráněny pomocí modulu hardwarového zabezpečení (HSM).For example: Your key must be protected by a hardware security module (HSM).
BYOK [1]BYOK [1]

V případě potřeby můžete topologii klíčů tenanta po nasazení změnit pomocí rutiny Set-AadrmKeyProperties.If required, you can change your tenant key topology after deployment, by using the Set-AadrmKeyProperties cmdlet.

Volba topologie klíčů tenanta: Klíče spravované Microsoftem (výchozí) nebo spravované vámi (BYOK)Choose your tenant key topology: Managed by Microsoft (the default) or managed by you (BYOK)

Rozhodněte se, která topologie klíčů tenanta je pro vaši organizaci nejvhodnější.Decide which tenant key topology is best for your organization. Ve výchozím nastavení vygeneruje klíč tenanta služba Azure Information Protection a potom spravuje většinu aspektů životního cyklu klíče tenanta.By default, Azure Information Protection generates your tenant key and manages most aspects of the tenant key lifecycle. Je to nejjednodušší možnost s nejnižší náročností z hlediska administrativy.This is the simplest option with the lowest administrative overheads. Ve většině případů ani nemusíte vědět, že nějaký klíč tenanta máte.In most cases, you do not even need to know that you have a tenant key. Stačí se zaregistrovat do služby Azure Information Protection a o zbytek procesu správy klíče se postará Microsoft.You just sign up for Azure Information Protection and the rest of the key management process is handled by Microsoft.

Rozhodněte, která topologie klíčů tenanta je nejvhodnější pro vaši organizaci:Decide which tenant key topology is best for your organization:

  • Spravuje Microsoft: Microsoft automaticky vygeneruje klíč klienta pro vaši organizaci a tento klíč se používá výhradně pro Azure Information Protection.Managed by Microsoft: Microsoft automatically generates a tenant key for your organization and this key is used exclusively for Azure Information Protection. Ve výchozím nastavení společnost Microsoft používá tento klíč pro vašeho klienta a spravuje většinu aspektů životního cyklu klíče vašeho tenanta.By default, Microsoft uses this key for your tenant and manages most aspects of your tenant key life cycle.

    Je to nejjednodušší možnost s nejnižší náročností z hlediska administrativy.This is the simplest option with the lowest administrative overheads. Ve většině případů ani nemusíte vědět, že nějaký klíč tenanta máte.In most cases, you do not even need to know that you have a tenant key. Stačí se zaregistrovat do služby Azure Information Protection a o zbytek procesu správy klíče se postará Microsoft.You just sign up for Azure Information Protection and the rest of the key management process is handled by Microsoft.

  • Spravujete sami (BYOK): úplnou kontrolu nad vaším klíčem tenanta, používat Azure Key Vault s Azure Information Protection.Managed by you (BYOK): For complete control over your tenant key, use Azure Key Vault with Azure Information Protection. Pro tuto topologii klíče klienta můžete vytvořit klíč, buď přímo v Key Vault, nebo ji vytvořit místně.For this tenant key topology, you create the key, either directly in Key Vault, or create it on-premises. Pokud ji vytvořit místně, můžete další přenos nebo importovat tento klíč do Key Vault.If you create it on-premises, you next transfer or import this key into Key Vault. Nakonfigurujete Azure Information Protection pro tento klíč použít, a můžete spravovat v Azure Key Vault.You then configure Azure Information Protection to use this key, and you manage it in Azure Key Vault.

Další informace o BYOKMore information about BYOK

Pokud chcete vytvořit si vlastní klíč, máte následující možnosti:To create your own key, you have the following options:

  • Klíč vytvořit místní a přenos nebo importovat do Key Vault:A key that you create on-premises and transfer or import to Key Vault:

    • Klíč chráněný HSM vytvořit místní a přenést do Key Vault jako klíč chráněný HSM.An HSM-protected key that you create on-premises and transfer to Key Vault as an HSM-protected key.

    • Softwarově chráněný klíč, abyste vytvořili místní, převést a potom přeneste do Key Vault jako klíč chráněný HSM.A software-protected key that you create on-premises, convert, and then transfer to Key Vault as an HSM-protected key. Tato možnost je podporována pouze tehdy, když jste migrovat z Active Directory Rights Management Services (AD RMS).This option is supported only when you migrate from Active Directory Rights Management Services (AD RMS).

    • Softwarově chráněný klíč vytvořit místní a importovat do Key Vault jako klíč chráněný softwarem.A software-protected key that you create on-premises and import to Key Vault as a software-protected key. Tato možnost vyžaduje. Soubor certifikátu PFX.This option requires a .PFX certificate file.

  • Klíč, který vytvoříte v Key Vault:A key that you create in Key Vault:

    • Klíč chráněný HSM, které vytvoříte v Key Vault.An HSM-protected key that you create in Key Vault.

    • Klíč chráněný softwarem, který vytvoříte v Key Vault.A software-protected key that you create in Key Vault.

Z těchto možností BYOK je typičtější klíč chráněný HSM vytvořit místní a přenést do Key Vault jako klíč chráněný HSM.Of these BYOK options, the most typical is an HSM-protected key that you create on-premises and transfer to Key Vault as an HSM-protected key. Přestože tato možnost s nejvyšší správní režie, může to být požadovaných pro vaši organizaci povinnost dodržovat určité předpisy.Although this option has the greatest administrative overheads, it might be required for your organization to comply with specific regulations. Moduly hardwarového zabezpečení, které používají Azure Key Vault jsou FIPS 140-2, které ověřit Level 2.The HSMs that are used by Azure Key Vault are FIPS 140-2 Level 2 validated.

V takovém případě se provádí tyto kroky:With this option, the following happens:

  1. Vygenerujete si klíč tenanta místně, v souladu se svými zásadami IT a zabezpečení.You generate your tenant key on your premises, in line with your IT policies and security policies. Tento klíč je hlavní kopii.This key is the master copy. Zůstává na místě a jste zodpovědní za zálohování.It remains on-premises and you are responsible for backing it up.

  2. Vytvořte kopii tohoto klíče a bezpečný přenos této kopie z vašeho HSM do Azure Key Vault.You create a copy of this key, and securely transfer this copy from your HSM to Azure Key Vault. V průběhu tohoto procesu hlavní kopii tohoto klíče nikdy neopustí hranice ochrany hardwaru.Throughout this process, the master copy of this key never leaves the hardware protection boundary.

  3. Kopii klíče je chráněn službou Azure Key Vault.The copy of the key is protected by Azure Key Vault.

Poznámka

Jako dodatečné bezpečnostní opatření Azure Key Vault používá pro svoje datová centra v různých oblastech, jako je Severní Amerika, region EMEA (Evropa, Střední východ a Afrika) a Asie samostatné domény zabezpečení.As an additional protection measure, Azure Key Vault uses separate security domains for its data centers in regions such as North America, EMEA (Europe, Middle East and Africa), and Asia. Azure Key Vault používá také různé instance Azure, jako je například Microsoft Azure v Německu a Azure Government.Azure Key Vault also uses different instances of Azure, such as Microsoft Azure Germany, and Azure Government.

I když je tento krok volitelný, nejspíš taky budete chtít používat protokoly využití v reálném čase nabízené službou Azure Information Protection, abyste přesně věděli, jak a kdy se váš klíč tenanta používá.Although it’s optional, you will also probably want to use the near real-time usage logs from Azure Information Protection to see exactly how and when your tenant key is being used.

Pokud jste se rozhodli topologii svého klíče klientaWhen you have decided your tenant key topology

Pokud se rozhodnete, že má váš klíč tenanta spravovat Microsoft:If you decide to let Microsoft manage your tenant key:

  • Pokud provádíte migraci ze služby AD RMS, není žádná další akce pro vygenerování klíče pro vašeho klienta a můžete přejít rovnou do další kroky.Unless you are migrating from AD RMS, no further action is required for you to generate the key for your tenant and you can go straight to Next steps.

  • Pokud aktuálně máte službu AD RMS a chcete provést migraci na Azure Information Protection, postupujte podle pokynů migrace: Migrace z AD RMS na Azure Information Protection.If you currently have AD RMS and want to migrate to Azure Information Protection, use the migration instructions: Migrating from AD RMS to Azure Information Protection.

Pokud se rozhodnete, že chcete spravovat klíč tenanta sami, najdete další informace v následujících částech.If you decide to manage your tenant key yourself, read the following sections for more information.

Implementace BYOK pro váš klíč klienta Azure Information ProtectionImplementing BYOK for your Azure Information Protection tenant key

Informace a postupy v této části použijte v případě, že si chcete klíč tenanta vygenerovat a spravovat sami, tedy pokud chcete využívat funkci Přineste si vlastní klíč (BYOK):Use the information and procedures in this section if you have decided to generate and manage your tenant key; the bring your own key (BYOK) scenario:

Poznámka

Pokud jste službu Azure Information Protection začali používat s klíčem tenanta spravovaným Microsoftem a teď chcete klíč tenanta spravovat sami (přejít na BYOK), dříve chráněné dokumenty a e-maily zůstanou přístupné přes archivovaný klíč.If you have started to use Azure Information Protection with a tenant key that is managed by Microsoft and you now want to manage your tenant key (move to BYOK), your previously protected documents and emails will remain accessible by using an archived key.

Předpoklady pro funkci BYOKPrerequisites for BYOK

V této tabulce najdete seznam předpokladů pro funkci Přineste si vlastní klíč (BYOK).See the following table for a list of prerequisites for bring your own key (BYOK).

PožadavekRequirement Další informaceMore information
Váš klient Azure Information Protection, musíte mít předplatné Azure.Your Azure Information Protection tenant must have an Azure subscription. Pokud jeden nemáte, můžete si zaregistrovat bezplatný účet.If you do not have one, you can sign up for a free account.

Chcete-li použít klíč chráněný HSM, musí mít úroveň služby Azure Key Vault Premium.To use an HSM-protected key, you must have the Azure Key Vault Premium service tier.
Bezplatné předplatné Azure, které poskytuje přístup ke konfiguraci služby Azure Active Directory a ke konfiguraci vlastních šablon služby Azure Rights Management (Přístup ke službě Azure Active Directory), není pro používání služby Azure Key Vault dostatečné.The free Azure subscription that provides access to configure Azure Active Directory and configuration of Azure Rights Management custom templates (Access to Azure Active Directory) is not sufficient to use Azure Key Vault. Pokud se chcete ujistit, že máte předplatné Azure, které můžete používat pro BYOK, použijte powershellové rutiny Azure Resource Manageru:To confirm that you have an Azure subscription that you can use for BYOK, use the Azure Resource Manager PowerShell cmdlets:

1. Spusťte relaci Azure PowerShellu pomocí možnosti Spustit jako správce a pomocí následujícího příkazu se k tenantovi služby Azure Information Protection přihlaste jako globální správce: Login-AzureRmAccount1. Start an Azure PowerShell session with the Run as administrator option, and sign in as a global admin for your Azure Information Protection tenant with the following command: Login-AzureRmAccount

2. Zadejte následující příkaz a zkontrolujte, jestli se zobrazí název a ID vašeho předplatného, vaše ID tenanta Azure Information Protection a jestli je stav povolen: Get-AzureRmSubscription.2. Type the following and confirm that you see values displayed for your subscription name and ID, your Azure Information Protection tenant ID, and that the state is enabled: Get-AzureRmSubscription

Pokud se hodnoty nezobrazí a zase se vrátíte na příkazový řádek, znamená to, že nemáte předplatné Azure, které by se dalo používat pro BYOK.If no values are displayed and you are simply returned to the prompt, you do not have an Azure subscription that can be used for BYOK.

Poznámka: Pokud migrujete z AD RMS do Azure Information Protection převodem softwarového klíče na hardwarový klíč, musíte splnit požadavky pro funkci BYOK a kromě toho musíte mít firmware Thales minimálně verze 11.62.Note: In addition to the BYOK prerequisites, if you are migrating from AD RMS to Azure Information Protection by using software key to hardware key, you must have a minimum version of 11.62 for the Thales firmware.
Chcete-li použít klíč chráněný HSM, abyste vytvořili místní: všechny předpoklady uvedené pro klíč trezoru BYOK.To use an HSM-protected key that you create on-premises: All the prerequisites listed for Key Vault BYOK. Informace najdete v tématu Požadavky pro BYOK v dokumentaci ke službě Azure Key Vault.See Prerequisites for BYOK from the Azure Key Vault documentation.

Poznámka: Pokud migrujete z AD RMS do Azure Information Protection převodem softwarového klíče na hardwarový klíč, musíte splnit požadavky pro funkci BYOK a kromě toho musíte mít firmware Thales minimálně verze 11.62.Note: In addition to the BYOK prerequisites, if you are migrating from AD RMS to Azure Information Protection by using software key to hardware key, you must have a minimum version of 11.62 for the Thales firmware.
Modul správy Azure Rights Management pro Windows PowerShell.The Azure Rights Management administration module for Windows PowerShell. Pokyny k instalaci naleznete v tématu instalace modulu prostředí PowerShell AADRM.For installation instructions, see Installing the AADRM PowerShell module.

Pokud jste si už tento modul Windows PowerShellu nainstalovali, spusťte následující příkaz a zkontrolujte, jestli máte aspoň verzi 2.9.0.0: (Get-Module aadrm -ListAvailable).VersionIf you have previously installed this Windows PowerShell module, run the following command to check that your version number is at least 2.9.0.0: (Get-Module aadrm -ListAvailable).Version

Další informace o modulech hardwarového zabezpečení společnosti Thales a způsobu jejich použití se službou Azure Key Vault najdete na webu společnosti Thales.For more information about Thales HSMs and how they are used with Azure Key Vault, see the Thales website.

Volba umístění váš trezor klíčůChoosing your key vault location

Při vytváření trezoru klíčů tak, aby obsahovala klíče, který se použije jako svůj klíč tenanta pro informace o Azure, je nutné zadat umístění.When you create a key vault to contain the key to be used as your tenant key for Azure Information, you must specify a location. Toto umístění je oblast Azure, nebo Azure instance.This location is an Azure region, or Azure instance.

Ujistěte se, choice první dodržování předpisů a potom k minimalizaci latence sítě:Make your choice first for compliance, and then to minimize network latency:

  • Pokud jste vybrali topologii klíče BYOK kvůli dodržování předpisů, může tyto požadavky na dodržování předpisů vyžádá oblast Azure nebo Azure instance, která ukládá klíč klienta Azure Information Protection.If you have chosen the BYOK key topology for compliance reasons, those compliance requirements might mandate the Azure region or Azure instance that stores your Azure Information Protection tenant key.

  • Vzhledem k tomu, že všechny kryptografické volání pro ochranu tvoří řetěz k klíč klienta Azure Information Protection, kterou chcete minimalizovat latence sítě, u kterých těchto volání.Because all cryptographic calls for protection chain to your Azure Information Protection tenant key, you want to minimize the network latency that these calls incur. K tomu, vytvoření trezoru klíčů ve stejné oblasti Azure nebo instance jako vašeho klienta Azure Information Protection.To do that, create your key vault in the same Azure region or instance as your Azure Information Protection tenant.

Pro určení umístění klienta služby Azure Information Protection, použijte Get-AadrmConfiguration rutiny prostředí PowerShell a identifikujte oblasti z adresy URL.To identify the location of your Azure Information Protection tenant, use the Get-AadrmConfiguration PowerShell cmdlet and identify the region from the URLs. Příklad:For example:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

Oblasti se z osobní rms.na.aadrm.com, a v tomto příkladu je v Severní Americe.The region is identifiable from rms.na.aadrm.com, and for this example, it is in North America.

Následující tabulku použijte k určení, které oblasti Azure nebo instance se doporučuje pro minimalizaci latence sítě.Use the following table to identify which Azure region or instance is recommended to minimize network latency.

Oblast Azure nebo instanceAzure region or instance Doporučené umístění pro váš trezor klíčůRecommended location for your key vault
rms.na.aadrm.comrms.na.aadrm.com Střed USA – sever nebo východní USANorth Central US or East US
rms.eu.aadrm.comrms.eu.aadrm.com Severní Evropa nebo západní EvropaNorth Europe or West Europe
rms.ap.aadrm.comrms.ap.aadrm.com Východní Asie nebo Asie a Tichomoří – jihovýchodEast Asia or Southeast Asia
rms.sa.aadrm.comrms.sa.aadrm.com Západní USA nebo východní USAWest US or East US
rms.govus.aadrm.comrms.govus.aadrm.com Střed USA nebo východní USA 2Central US or East US 2

Pokyny pro BYOKInstructions for BYOK

K vytvoření trezoru klíčů a klíč, který chcete použít pro Azure Information Protection použijte dokumentaci k Azure Key Vault.Use the Azure Key Vault documentation to create a key vault and the key that you want to use for Azure Information Protection. Například v tématu Začínáme s Azure Key Vault.For example, see Get started with Azure Key Vault.

Ujistěte se, že délka klíče je 2048 bitů (doporučeno) nebo 1 024 bitů.Make sure that the key length is 2048 bits (recommended) or 1024 bits. Další délky klíčů nepodporuje Azure Information Protection.Other key lengths are not supported by Azure Information Protection.

Pokud chcete vytvořit chráněný HSM klíče místní a přenést do trezoru klíčů jako klíč chráněný HSM pomocí, postupujte podle pokynů v postup generování a přenos klíčů chráněných pomocí HSM pro Azure Key Vault.To create an HSM-protected key on-premises and transfer it to your key vault as an HSM-protected key, follow the procedures in How to generate and transfer HSM-protected keys for Azure Key Vault.

Klíč, který je uložen v Key Vault má klíč ID.A key that is stored in Key Vault has a key ID. Tento klíč je ID adresu URL, která obsahuje název trezoru klíčů, kontejneru klíčů, název klíče a klíče verze.This key ID is a URL that contains the name of the key vault, the keys container, the name of the key, and the key version. Příklad: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.For example: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Je nutné nakonfigurovat Azure Information Protection použít tento klíč, zadáním jeho adresa URL trezoru klíčů.You must configure Azure Information Protection to use this key, by specifying its Key Vault URL.

Azure Information Protection mohli používat klíč, službu Azure Rights Management musí být autorizovaný k použití klíč v trezoru klíčů vaší organizace.Before Azure Information Protection can use the key, the Azure Rights Management service must be authorized to use the key in your organization's key vault. Za tímto účelem správce služby Azure Key Vault použije rutinu Key Vault prostředí PowerShell, Set-AzureRmKeyVaultAccessPolicy, a udělí oprávnění instančnímu objektu služby Azure Rights Management pomocí GUID 00000012-0000-0000-c000-000000000000.To do this, the Azure Key Vault administrator uses the Key Vault PowerShell cmdlet, Set-AzureRmKeyVaultAccessPolicy and grants permissions to the Azure Rights Management service principal, by using the GUID 00000012-0000-0000-c000-000000000000. Příklad:For example:

Set-AzureRmKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get

Teď jste připravení nakonfigurovat službu Azure Information Protection, aby tento klíč použila jako klíč tenanta Azure Information Protection vaší organizace.You're now ready to configure Azure Information Protection to use this key as your organization's Azure Information Protection tenant key. Pomocí rutin služby Azure RMS se nejprve připojte ke službě Azure Rights Management a přihlaste se:Using Azure RMS cmdlets, first connect to the Azure Rights Management service and sign in:

Connect-AadrmService

Potom spusťte rutinu Use-AadrmKeyVaultKey a zadejte adresu URL klíče.Then run the Use-AadrmKeyVaultKey cmdlet, specifying the key URL. Příklad:For example:

Use-AadrmKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333"

Důležité

Verze klíče používaného v tomto příkladu je aaaabbbbcccc111122223333.In this example, "aaaabbbbcccc111122223333" is the version of the key to use. Když verzi nezadáte, použije se bez upozornění aktuální verze klíče a příkaz bude zdánlivě fungovat.If you do not specify the version, the current version of the key is used without warning and the command appears to work. Pokud se ale později klíč ve službě Key Vault aktualizuje (obnoví), přestane služba Azure Rights Management pro vašeho tenanta fungovat, a to i v případě, že znovu spustíte příkaz Use-AadrmKeyVaultKey.However, if your key in Key Vault is later updated (renewed), the Azure Rights Management service will stop working for your tenant, even if you run the Use-AadrmKeyVaultKey command again.

Při spuštění tohoto příkazu se ujistěte, že s názvem klíče zadáváte i verzi klíče.Make sure that you specify the key version, in addition to the key name when you run this command. Číslo verze aktuálního klíče můžete získat pomocí příkazu Get-AzureKeyVaultKey služby Azure Key Vault.You can use the Azure Key Vault cmd, Get-AzureKeyVaultKey, to get the version number of the current key. Příklad: Get-AzureKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'For example: Get-AzureKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

Pokud je potřeba potvrdit, že klíč nastavení adresy URL správně pro Azure Information Protection: V Azure Key Vault, spusťte Get-AzureKeyVaultKey zobrazíte klíč adresy URL.If you need to confirm that the key URL is set correctly for Azure Information Protection: In Azure Key Vault, run Get-AzureKeyVaultKey to see the key URL.

Nakonec, pokud služba Azure Rights Management je již aktivován, spusťte Set-AadrmKeyProperties říct Azure Information Protection použít tento klíč jako klíč active klienta pro službu Azure Rights Management.Finally, if the Azure Rights Management service is already activated, run Set-AadrmKeyProperties to tell Azure Information Protection to use this key as the active tenant key for the Azure Rights Management service. Pokud tento krok neprovedete, bude nadále používat výchozí spravovaný společností Microsoft klíč, který byl automaticky vytvořen pro vašeho klienta Azure Information Protection.If you do not do this step, Azure Information Protection will continue to use the default Microsoft-managed key, that was automatically created for your tenant.

Další krokyNext steps

Teď, když jste naplánovali a v případě potřeby vytvořený a nakonfigurovaný klíč tenanta, postupujte takto:Now that you've planned for and if necessary, created and configured your tenant key, do the following:

  1. Začněte svůj klíč tenanta používat:Start to use your tenant key:

    • Pokud jste to ještě neudělali, musíte teď aktivovat službu Rights Management, aby mohla vaše organizace začít používat službu Azure Information Protection.If you haven’t already done so, you must now activate the Rights Management service so that your organization can start to use Azure Information Protection. Uživatelé okamžitě začít používat váš klíč tenanta (spravovaný společností Microsoft nebo spravovaná v Azure Key Vault).Users immediately start to use your tenant key (managed by Microsoft, or managed by you in Azure Key Vault).

      Další informace o aktivaci najdete v tématu Aktivace Azure Rights Management.For more information about activation, see Activating Azure Rights Management.

    • Pokud jste už službu Rights Management aktivovali a potom se rozhodli spravovat klíč tenanta sami, uživatelé budou postupně přecházet ze starého klíče tenanta na nový a tento postupný přechod může trvat několik týdnů.If you had already activated the Rights Management service and then decided to manage your own tenant key, users gradually transition from the old tenant key to the new tenant key, and this staggered transition can take a few weeks to complete. Dokumenty a soubory chráněné starým klíčem tenanta zůstanou přístupné oprávněným uživatelům.Documents and files that were protected with the old tenant key remains accessible to authorized users.

  2. Zvažte možnost protokolování použití, která zanese do protokolu každou transakci provedenou službou Azure Rights Management.Consider using usage logging, which logs every transaction that the Azure Rights Management service performs.

    Pokud jste se rozhodli spravovat vlastní klíč tenanta, protokolování zahrnuje informace o použití tohoto klíče tenanta.If you decided to manage your own tenant key, logging includes information about using your tenant key. Prohlédněte si následující fragment kódu ze souboru protokolu zobrazeného v Excelu, kde typy požadavku KeyVaultDecryptRequest a KeyVaultSignRequest ukazují, že se klíč tenanta používá.See the following snippet from a log file displayed in Excel where the KeyVaultDecryptRequest and KeyVaultSignRequest request types show that the tenant key is being used.

    soubor protokolu v aplikaci Excel, kde se používá klíč tenanta

    Další informace o protokolování využití najdete v tématu Protokolování a analýza využití služby Azure Rights Management.For more information about usage logging, see Logging and analyzing usage of the Azure Rights Management service.

  3. Váš klíč tenanta spravujte.Manage your tenant key.

    Další informace o operacích životního cyklu pro váš klíč klienta najdete v tématu operace pro klíč klienta Azure Information Protection.For more information about the life cycle operations for your tenant key, see Operations for your Azure Information Protection tenant key.

KomentářeComments

Před přidáním komentáře se podívejte na naše pravidla organizace.Before commenting, we ask that you review our House rules.