BYOK-Details (Bring Your Own Key) für Azure Information Protection

Gilt für: Azure Information Protection, Office 365

Relevant für: AIP-Client für einheitliche Bezeichnungen und den klassischen Client

Hinweis

Der klassische Azure Information Protection-Client und die Bezeichnungsverwaltung im Azure-Portal werden am 31. März 2021 als veraltet markiert, um eine einheitliche und optimierte Kundenumgebung zu gewährleisten. Der klassische Client funktioniert zwar weiterhin wie konfiguriert, es wird aber kein weiterer Support bereitgestellt, und es werden keine Wartungsversionen für den klassischen Client mehr veröffentlicht.

Wir empfehlen, zu einheitlichen Bezeichnungen zu migrieren und ein Upgrade auf den Client für einheitliche Bezeichnungen durchzuführen. Weitere Informationen finden Sie in unserem jüngsten Blog zu veralteten Versionen.

Organisationen mit einem Azure Information Protection-Abonnement können ihren Mandanten mit einem eigenen Schlüssel anstelle eines von Microsoft generierten Standardschlüssels konfigurieren. Diese Konfiguration wird häufig als "Bring Your Own Key (BYOK) bezeichnet.

BYOK und die Verwendungsprotokollierung funktionieren nahtlos mit Anwendungen, die in den von Rights Management Azure Azure Information Protection.

Folgende Anwendungen werden unterstützt:

  • Clouddienste wie Microsoft SharePoint oder Microsoft 365

  • Lokale Dienste, auf denen Exchange und SharePoint ausgeführt werden, die den Azure Rights Management-Dienst über den RMS-Connector verwenden

  • Clientanwendungen wie Office 2019, Office 2016 und Office 2013

Tipp

Wenden Sie bei Bedarf zusätzliche Sicherheit auf bestimmte Dokumente an, indem Sie einen zusätzlichen lokalen Schlüssel verwenden. Weitere Informationen finden Sie unter DKE-Schutz (Double Key Encryption) (nur Client für einheitliche Bezeichnungen).

Wenn Sie über den klassischen Client verfügen und zusätzlichen lokalen Schutz benötigen, implementieren Sie stattdessen hold your own key (HYOK)-Schutz.

Azure Key Vault Schlüsselspeicher

Vom Kunden generierte Schlüssel müssen in der -Azure Key Vault BYOK-Schutz gespeichert werden.

Hinweis

Für die Verwendung von HSM-geschützten Schlüsseln im Azure Key Vault ist eine Azure Key Vault Premium Dienstebene erforderlich,für die eine zusätzliche monatliche Abonnementgebühr berechnet wird.

Freigeben von Schlüsseltresoren und Abonnements

Es wird empfohlen, einen dedizierten Schlüsseltresor für Ihren Mandantenschlüssel zu verwenden. Dedizierte Schlüsseltresore helfen sicherzustellen, dass Aufrufe anderer Dienste nicht dazu führen, dass Dienstgrenzwerte überschritten werden. Das Überschreiten von Dienstgrenzwerten für den Schlüsseltresor, in dem Ihr Mandantenschlüssel gespeichert ist, kann zu einer Drosselung der Antwortzeit für den Azure Rights Management führen.

Da verschiedene Dienste unterschiedliche Anforderungen an die Schlüsselverwaltung haben, empfiehlt Microsoft auch die Verwendung eines dedizierten Azure-Abonnements für Ihren Schlüsseltresor. Dedizierte Azure-Abonnements:

  • Schützen vor Fehlkonfigurationen

  • Sind sicherer, wenn verschiedene Dienste unterschiedliche Administratoren haben

Wenn Sie ein Azure-Abonnement für andere Dienste freigeben möchten, die Azure Key Vault verwenden, stellen Sie sicher, dass für das Abonnement ein gemeinsamer Satz von Administratoren verwendet wird. Die Bestätigung, dass alle Administratoren, die das Abonnement verwenden, über ein solides Verständnis jedes Schlüssels verfügen, auf den sie zugreifen können, bedeutet, dass sie ihre Schlüssel weniger wahrscheinlich falsch konfigurieren.

Beispiel: Verwenden eines freigegebenen Azure-Abonnements, wenn die Administratoren für Ihren Azure Information Protection-Mandantenschlüssel dieselben Personen sind, die Ihre Schlüssel für Office 365 Customer Key und CRM online verwalten. Wenn sich die Schlüsseladministratoren für diese Dienste unterscheiden, empfehlen wir die Verwendung dedizierter Abonnements.

Vorteile der Verwendung von Azure Key Vault

Azure Key Vault bietet eine zentralisierte und konsistente Schlüsselverwaltungslösung für viele cloudbasierte und lokale Dienste, die Verschlüsselung verwenden.

Zusätzlich zum Verwalten von Schlüsseln bietet Azure Key Vault Ihren Sicherheitsadministratoren die gleiche Verwaltungsumgebung zum Speichern von, Zugreifen auf und Verwalten von Zertifikaten und geheimen Schlüsseln (z. B. Kennwörtern) für andere Dienste und Anwendungen, die Verschlüsselung verwenden.

Das Speichern Ihres Mandantenschlüssels im Azure Key Vault bietet die folgenden Vorteile:

Vorteil BESCHREIBUNG
Integrierte Schnittstellen Azure Key Vault unterstützt eine Reihe von integrierten Schnittstellen für die Schlüsselverwaltung, einschließlich PowerShell, CLI, REST-APIs und das Azure-Portal.

Andere Dienste und Tools sind in Key Vault für optimierte Funktionen für bestimmte Aufgaben integriert, z. B. überwachung.

Analysieren Sie beispielsweise Ihre Schlüsselnutzungsprotokolle mit log analytics der Operations Management Suite, legen Sie Warnungen fest, wenn die angegebenen Kriterien erfüllt sind, und so weiter.
Rollentrennung Azure Key Vault bietet rollentrennung als bewährte Sicherheit bewährte Methode.

Die Rollentrennung stellt sicher, Azure Information Protection Administratoren sich auf ihre höchsten Prioritäten konzentrieren können, einschließlich der Verwaltung von Datenklassifizierung und -schutz sowie Verschlüsselungsschlüssel und Richtlinien für bestimmte Sicherheits- oder Complianceanforderungen.
Speicherort des Hauptschlüssels Azure Key Vault ist an einer Vielzahl von Standorten verfügbar und unterstützt Organisationen mit Einschränkungen, in denen Hauptschlüssel verwendet werden können.

Weitere Informationen finden Sie auf der Seite Verfügbare Produkte nach Region auf der Azure-Website.
Getrennte Sicherheitsdomänen Azure Key Vault verwendet separate Sicherheitsdomänen für ihre Rechenzentren in Regionen wie Nordamerika, EMEA (Europa, Naher Osten und Afrika) und Asien.

Außerdem verwendet Azure Key Vault verschiedene Azure-Instanzen wie Microsoft Azure Deutschland und Azure Government.
Einheitliche Benutzeroberfläche Azure Key Vault sicherheitsadministratoren auch das Speichern, Zugreifen auf und Verwalten von Zertifikaten und Geheimnissen, z. B. Kennwörtern, für andere Dienste, die Verschlüsselung verwenden.

Die Azure Key Vault für Ihre Mandantenschlüssel bietet Administratoren, die alle diese Elemente verwalten, eine nahtlose Benutzererfahrung.

Die neuesten Updates und informationen dazu, wie andere Dienste Azure Key Vault,finden Sie im Azure Key Vault-Teamblog.

Verwendungsprotokollierung für BYOK

Nutzungsprotokolle werden von jeder Anwendung generiert, die Anforderungen an den Azure Rights Management stellt.

Obwohl die Verwendungsprotokollierung optional ist, wird empfohlen, die Nutzungsprotokolle von Azure Information Protection nahezu in Echtzeit zu verwenden, um genau zu sehen, wie und wann Ihr Mandantenschlüssel verwendet wird.

Weitere Informationen zur Protokollierung der Schlüsselverwendung für BYOK finden Sie unter Logging and analyzing the protection usage from Azure Information Protection.

Tipp

Um zusätzliche Sicherheit zu gewährleisten, Azure Information Protection die Verwendungsprotokollierung querverweist werden kann, Azure Key Vault protokollieren. Key Vault-Protokolle bieten eine zuverlässige Methode, um unabhängig zu überwachen, ob Ihr Schlüssel nur von Azure Rights Management wird.

Widerrufen Sie bei Bedarf sofort den Zugriff auf Ihren Schlüssel, indem Sie berechtigungen für den Schlüsseltresor entfernen.

Optionen zum Erstellen und Speichern Ihres Schlüssels

Hinweis

Die Azure Information Protection Azure Key Vault Managed HSM-Unterstützung, die nur für Nicht-Produktionsmandanten verwendet werden kann, befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Weitere Informationen zum Managed HSM-Angebot und zum Einrichten eines Tresors und eines Schlüssels finden Sie in der dokumentation Azure Key Vault .

Weitere Anweisungen zum Erteilen der Schlüsselautorisierung werden unten beschrieben.

BYOK unterstützt Schlüssel, die entweder in einem Azure Key Vault lokal erstellt werden.

Wenn Sie Ihren Schlüssel lokal erstellen, müssen Sie ihn dann übertragen oder in Ihre Key Vault importieren und konfigurieren, Azure Information Protection den Schlüssel zu verwenden. Führen Sie alle zusätzlichen Schlüsselverwaltungen innerhalb Azure Key Vault.

Optionen zum Erstellen und Speichern Ihres eigenen Schlüssels:

  • Erstellt in Azure Key Vault. Erstellen und speichern Sie Ihren Schlüssel in Azure Key Vault als HSM-geschützter Schlüssel oder softwaregeschützter Schlüssel.

  • Lokale erstellt. Erstellen Sie Ihren Schlüssel lokal, und übertragen Sie ihn Azure Key Vault mithilfe einer der folgenden Optionen:

    • HSM-geschützter Schlüssel, der als HSM-geschützter Schlüssel übertragen wird. Die am häufigsten ausgewählte Methode.

      Obwohl diese Methode den meisten Verwaltungsaufwand auf sich hat, kann es erforderlich sein, dass Ihre Organisation bestimmte Vorschriften befolgen muss. Die von Azure Key Vault verwendeten HSMs sind FIPS 140-2 Level 2-validiert.

    • Softwaregeschützter Schlüssel, der konvertiert und in Azure Key Vault HSM-geschützten Schlüssel übertragen wird. Diese Methode wird nur bei der Migration von Active Directory Rights Management Services (AD RMS) unterstützt.

    • Lokal als softwaregeschützter Schlüssel erstellt und an Azure Key Vault als softwaregeschützter Schlüssel übertragen. Diese Methode erfordert eine . PFX-Zertifikatdatei.

Gehen Sie beispielsweise wie folgt vor, um einen lokal erstellten Schlüssel zu verwenden:

  1. Generieren Sie Ihren Mandantenschlüssel lokal in Übereinstimmung mit den IT- und Sicherheitsrichtlinien Ihrer Organisation. Der Schlüssel dient als Masterkopie. Es bleibt lokal, und Sie sind für die Sicherung erforderlich.

  2. Erstellen Sie eine Kopie des Hauptschlüssels, und übertragen Sie ihn sicher von Ihrem HSM Azure Key Vault. Während dieses Prozesses verlässt die Masterkopie des Schlüssels nie die Hardwareschutzgrenze.

Nach der Übertragung wird die Kopie des Schlüssels durch Azure Key Vault.

Exportieren Ihrer vertrauenswürdigen Veröffentlichungsdomäne

Wenn Sie die Verwendung von Azure Information Protection beenden möchten, benötigen Sie eine vertrauenswürdige Veröffentlichungsdomäne (TRUSTED Publishing Domain, TPD), um Inhalte zu entschlüsseln, die durch Azure Information Protection.

Das Exportieren Ihrer TPD wird jedoch nicht unterstützt, wenn Sie BYOK für Ihren Azure Information Protection verwenden.

Stellen Sie zur Vorbereitung auf dieses Szenario sicher, dass Sie im Voraus einen geeigneten TPD erstellen. Weitere Informationen finden Sie unter How to prepare an Azure Information Protection "Cloud Exit" plan (Vorbereiten eines cloudbasierten Exitplans).

BYOK-Implementierung für Ihren Azure Information Protection-Mandantenschlüssel

Führen Sie die folgenden Schritte aus, um BYOK zu implementieren:

  1. Überprüfen der BYOK-Voraussetzungen
  2. Auswählen eines Key Vault Standorts
  3. Erstellen und Konfigurieren Ihres Schlüssels

Voraussetzungen für BYOK

Die BYOK-Voraussetzungen variieren je nach Systemkonfiguration. Vergewissern Sie sich bei Bedarf, dass Ihr System die folgenden Voraussetzungen erfüllt:

Anforderung Beschreibung
Azure-Abonnement Für alle Konfigurationen erforderlich.
Weitere Informationen finden Sie unter Überprüfen, ob Sie über ein BYOK-kompatibles Azure-Abonnement verfügen.
AIPService-PowerShell-Modul für Azure Information Protection Für alle Konfigurationen erforderlich.
Weitere Informationen finden Sie unter Installieren des AIPService-PowerShell-Moduls.
Azure Key Vault voraussetzungen für BYOK Wenn Sie einen HSM-geschützten Schlüssel verwenden, der lokal erstellt wurde, stellen Sie sicher, dass Sie auch die Voraussetzungen für BYOK erfüllen, die in der Dokumentation Azure Key Vault sind.
Thales-Firmwareversion 11.62 Sie müssen über eine Thales-Firmwareversion 11.62 verfügen, wenn Sie von AD RMS zu Azure Information Protection migrieren, indem Sie den Softwareschlüssel zum Hardwareschlüssel verwenden und Thales-Firmware für Ihr HSM verwenden.
Firewallumgehung für vertrauenswürdige Microsoft-Dienste Wenn der Schlüsseltresor, der Ihren Mandantenschlüssel enthält, Virtual Network Dienstendpunkte für Azure Key Vault verwendet, müssen Sie vertrauenswürdigen Microsoft-Dienste die Umgehung dieser Firewall erlauben.
Weitere Informationen finden Sie unter Virtual Network Dienstendpunkte für Azure Key Vault.

Überprüfen, ob Sie über ein BYOK-kompatibles Azure-Abonnement verfügen

Ihr Azure Information Protection-Mandant muss über ein Azure-Abonnement verfügen. Wenn Sie noch kein Konto haben, können Sie sich für ein kostenloses Konto registrieren. Um jedoch einen HSM-geschützten Schlüssel zu verwenden, müssen Sie über Azure Key Vault Premium Dienstebene verfügen.

Das kostenlose Azure-Abonnement, das Zugriff auf Azure Active Directory-Konfiguration und benutzerdefinierte Azure Rights Management-Vorlagenkonfiguration bietet, reicht für die Verwendung von Azure Key Vault.

Um zu überprüfen, ob Sie über ein Azure-Abonnement verfügen, das mit BYOK kompatibel ist, gehen Sie wie folgt vor, um dies mithilfe Azure PowerShell zu überprüfen:

  1. Starten Sie Azure PowerShell Sitzung als Administrator.

  2. Melden Sie sich mit als globaler Administrator für Ihren Azure Information Protection-Mandanten Connect-AzAccount an.

  3. Kopieren Sie das in die Zwischenablage angezeigte Token. Wechseln Sie dann in einem Browser zu , und https://microsoft.com/devicelogin geben Sie das kopierte Token ein.

    Weitere Informationen finden Sie unter Anmelden mit Azure PowerShell.

  4. Geben Sie in Ihrer PowerShell-Sitzung ein, Get-AzSubscription und vergewissern Sie sich, dass die folgenden Werte angezeigt werden:

    • Name und ID Ihres Abonnements
    • Ihre Azure Information Protection-Mandanten-ID
    • Bestätigung, dass der Status aktiviert ist

    Wenn keine Werte angezeigt werden und Sie zur Eingabeaufforderung zurückgegeben werden, verfügen Sie nicht über ein Azure-Abonnement, das für BYOK verwendet werden kann.

Auswählen eines Speicherorts für Ihren Schlüsseltresor

Wenn Sie einen Schlüsseltresor für den Schlüssel erstellen, der als Ihr Mandantenschlüssel für Azure Information verwendet werden soll, müssen Sie einen Speicherort bestimmen. Dieser Speicherort ist eine Azure-Region oder -Instanz.

Treffen Sie Ihre Entscheidung vorrangig anhand von Konformitätsgründen. Die Minimierung der Netzwerklatenz ist zweitrangig:

  • Wenn Sie die BYOK-Schlüsselmethode aus Compliancegründen ausgewählt haben, können diese Complianceanforderungen auch vorladen, welche Azure-Region oder -Instanz zum Speichern Ihres Azure Information Protection mandantenschlüssels verwendet werden kann.

  • Alle kryptografischen Aufrufe für den Schutz werden an Ihren Azure Information Protection kette. Daher sollten Sie die Netzwerklatenz minimieren, die für diese Aufrufe erforderlich ist, indem Sie Ihren Schlüsseltresor in derselben Azure-Region oder -Instanz wie Ihr Azure Information Protection erstellen.

Um den Speicherort Ihres Azure Information Protection-Mandanten zu identifizieren, verwenden Sie das PowerShell-Cmdlet Get-AipServiceConfiguration, und identifizieren Sie die Region aus den URLs. Zum Beispiel:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

rms.na.aadrm.com weist z.B. auf die Region Nordamerika hin.

In der folgenden Tabelle sind die empfohlenen Azure-Regionen und -Instanzen zur Minimierung der Netzwerklatenz aufgeführt:

Azure-Region oder -Instanz Empfohlener Speicherort für Ihren Schlüsseltresor
rms.na.aadrm.com USA, Norden-Mitte oder USA, Osten
rms.eu.aadrm.com Europa, Norden oder Europa, Westen
rms.ap.aadrm.com Asien, Osten oder Asien, Südosten
rms.sa.aadrm.com USA, Westen oder USA, Osten
rms.govus.aadrm.com USA, Mitte oder USA, Osten 2
rms.aadrm.us US Gov Virginia oder US Gov Arizona
rms.aadrm.cn China, Osten 2 oder China, Norden 2

Erstellen und Konfigurieren Ihres Schlüssels

Wichtig

Spezifische Informationen zu verwalteten HSMs finden Sie unter Aktivieren der Schlüsselautorisierung für verwaltete HSM-Schlüssel über Azure CLI.

Erstellen Sie Azure Key Vault und den Schlüssel, den Sie für die Azure Information Protection. Weitere Informationen finden Sie in der Dokumentation zu Azure Key Vault.

Beachten Sie Folgendes zum Konfigurieren ihrer Azure Key Vault und des Schlüssels für BYOK:

Anforderungen an die Schlüssellänge

Stellen Sie beim Erstellen des Schlüssels sicher, dass die Schlüssellänge entweder 2048 Bits (empfohlen) oder 1024 Bit beträgt. Andere Schlüssellängen werden von Azure Information Protection nicht unterstützt.

Hinweis

1024-Bit-Schlüssel werden nicht als angemessene Schutzebene für aktive Mandantenschlüssel betrachtet.

Microsoft unterstützt nicht die Verwendung von niedrigeren Schlüssellängen wie 1024-Bit-RSA-Schlüsseln und die damit verbundene Verwendung von Protokollen, die unzureichende Schutzebenen wie SHA-1 bieten.

Lokales Erstellen eines HSM-geschützten Schlüssels und Übertragen des Schlüssels in Ihren Schlüsseltresor

Um einen HSM-geschützten Schlüssel lokal zu erstellen und als HSM-geschützten Schlüssel in Ihren Schlüsseltresor zu übertragen, befolgen Sie die Verfahren in der Azure Key Vault-Dokumentation: Generieren und Übertragen von HSM-geschütztenSchlüsseln für Azure Key Vault .

Damit Azure Information Protection übertragenen Schlüssel verwenden können, müssen Key Vault Vorgänge für den Schlüssel zulässig sein, einschließlich:

  • encrypt
  • Entschlüsseln
  • wrapKey
  • unwrapKey
  • Signieren
  • Überprüfen

Standardmäßig sind alle Key Vault zulässig.

Führen Sie den folgenden PowerShell-Befehl aus, um die zulässigen Vorgänge für einen bestimmten Schlüssel zu überprüfen:

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

Fügen Sie bei Bedarf zulässige Vorgänge hinzu, indem Sie Update-AzKeyVaultKey und den KeyOps-Parameter verwenden.

Konfigurieren der Azure Information Protection mit Ihrer Schlüssel-ID

Schlüssel, die in der Azure Key Vault verfügen jeweils über eine Schlüssel-ID.

Die Schlüssel-ID ist eine URL, die den Namen des Schlüsseltresors, den Schlüsselcontainer, den Namen des Schlüssels und die Schlüsselversion enthält. Zum Beispiel:

https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.

Konfigurieren Azure Information Protection, um Ihren Schlüssel zu verwenden, indem Sie die Schlüsseltresor-URL angeben.

Autorisieren des Azure Rights Management-Diensts zur Verwendung Ihres Schlüssels

Der Azure Rights Management-Dienst muss für die Verwendung Ihres Schlüssels autorisiert sein. Azure Key Vault Administratoren können diese Autorisierung mithilfe des Azure-Portal oder Azure PowerShell.

Aktivieren der Schlüsselautorisierung mithilfe Azure-Portal
  1. Melden Sie sich beim Azure-Portal an, und wechseln Sie zu Schlüsseltresore > <your key vault name> > Zugriffsrichtlinien > Neue hinzufügen.

  2. Wählen Sie im Bereich Zugriffsrichtlinie hinzufügen im Listenfeld Aus Vorlage konfigurieren (optional) die Option BYOK Azure Information Protection, und klicken Sie dann auf OK.

    Die ausgewählte Vorlage weist die folgende Konfiguration auf:

    • Der Wert Prinzipal auswählen ist auf Microsoft Rights Management Services festgelegt.
    • Zu den ausgewählten Schlüsselberechtigungen zählen Get, Decrypt und Sign.
Aktivieren der Schlüsselautorisierung mithilfe von PowerShell

Führen Sie das Key Vault PowerShell-Cmdlet Set-AzKeyVaultAccessPolicyaus, und gewähren Sie dem Azure Rights Management-Dienstprinzipal mithilfe der GUID 00000012-0000-0000-c000-000000000000 Berechtigungen.

Zum Beispiel:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Aktivieren der Schlüsselautorisierung für verwaltete HSM-Schlüssel über Azure CLI

Führen Sie den folgenden Befehl aus, um dem Azure Rights Management-DienstprinzipalBenutzerberechtigungen als Managed HSM Crypto-Benutzer zu erteilen:

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee 00000012-0000-0000-c000-000000000000 --scope /keys/contosomhsmkey

Hierbei gilt:

  • 00000012-0000-0000-c000-000000000000 ist die GUID, die in diesem Befehl verwendet werden soll.
  • ContosoMHSM ist ein Beispiel für einen HSM-Namen. Ersetzen Sie diesen Wert beim Ausführen dieses Befehls durch Ihren eigenen HSM-Namen.

Mit der Benutzerrolle "Managed HSM Crypto User" kann der Benutzer Berechtigungen für den Schlüssel entschlüsseln, signieren und erhalten, die alle für die Funktionalität des verwalteten HSM erforderlich sind.

Hinweis

Während sich das verwaltete HSM in der öffentlichen Vorschau befindet, wird das Gewähren der Rolle Krypto-Benutzer für verwaltete HSM nur über Azure CLI.

Konfigurieren Azure Information Protection für die Verwendung Ihres Schlüssels

Nachdem Sie alle oben genannten Schritte abgeschlossen haben, können Sie Azure Information Protection konfigurieren, um diesen Schlüssel als Mandantenschlüssel Ihrer Organisation zu verwenden.

Führen Azure RMS Cmdlets die folgenden Befehle aus:

  1. Verbinden sie sich beim Azure Rights Management-Dienst an, und melden Sie sich an:

    Connect-AipService
    
  2. Führen Sie das Cmdlet Use-AipServiceKeyVaultKey aus,und geben Sie dabei die Schlüssel-URL an. Zum Beispiel:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
    

    Wichtig

    In diesem Beispiel <key-version> ist die Version des Schlüssels, den Sie verwenden möchten. Wenn Sie die Version nicht angeben, wird standardmäßig die aktuelle Version des Schlüssels verwendet, und der Befehl scheint zu funktionieren. Wenn Ihr Schlüssel jedoch später aktualisiert oder erneuert wird, funktioniert der Azure Rights Management-Dienst für Ihren Mandanten nicht mehr, auch wenn Sie den Befehl Use-AipServiceKeyVaultKey erneut ausführen.

    Verwenden Sie nach Bedarf den Befehl Get-AzKeyVaultKey, um die Versionsnummer des aktuellen Schlüssels zu erhalten.

    Beispiel: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    Um zu bestätigen, dass die Schlüssel-URL für Azure Information Protection richtig festgelegt ist, führen Sie den Befehl Get-AzKeyVaultKey im Azure Key Vault aus, um die Schlüssel-URL anzuzeigen.

  3. Wenn der Azure Rights Management-Dienst bereits aktiviert ist, führen Sie Set-AipServiceKeyProperties aus, um Azure Information Protection an soll, diesen Schlüssel als aktiven Mandantenschlüssel für den Azure Rights Management verwenden.

Azure Information Protection ist nun so konfiguriert, dass Ihr Schlüssel anstelle des von Microsoft erstellten Standardschlüssels verwendet wird, der automatisch für Ihren Mandanten erstellt wurde.

Nächste Schritte

Nachdem Sie den BYOK-Schutz konfiguriert haben, fahren Sie mit Erste Schritte mit Ihrem Mandantenstammschlüssel fort, um weitere Informationen zur Verwendung und Verwaltung Ihres Schlüssels zu erhalten.