Byok-Details (Bring your own Key) für Azure Information ProtectionBring your own key (BYOK) details for Azure Information Protection

Gilt für: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Organisationen mit einem Azure Information Protection Abonnement können Ihren Mandanten anstelle eines von Microsoft generierten Standard Schlüssels mit einem eigenen Schlüssel konfigurieren.Organizations with an Azure Information Protection subscription can choose to configure their tenant with their own key, instead of a default key generated by Microsoft. Diese Konfiguration wird häufig als Bring your own Key (Byok) bezeichnet.This configuration is often referred to as Bring Your Own Key (BYOK).

Byok und die Verwendungs Protokollierung funktionieren nahtlos mit Anwendungen, die in den von Azure Information Protection verwendeten Azure-Rights Management Dienst integriert sind.BYOK and usage logging work seamlessly with applications that integrate with the Azure Rights Management service used by Azure Information Protection.

Zu den unterstützten Anwendungen gehören:Supported applications include:

  • Clouddienste wie Microsoft SharePoint oder Office 365Cloud services, such as Microsoft SharePoint or Office 365

  • Lokale Dienste , die Exchange-und SharePoint-Anwendungen ausführen, die den Azure Rights Management-Dienst über den RMS-Connector verwendenOn-premises services running Exchange and SharePoint applications that use the Azure Rights Management service via the RMS connector

  • Client Anwendungen, z. b. Office 2019, Office 2016 und Office 2013Client applications, such as Office 2019, Office 2016, and Office 2013

Tipp

Wenden Sie bei Bedarf zusätzliche Sicherheit auf bestimmte Dokumente an, indem Sie einen zusätzlichen lokalen Schlüssel verwenden.If needed, apply additional security to specific documents using an additional on-premises key. Weitere Informationen finden Sie unter Hold Your Own Key (Hyok) Protection (klassischer Client) oder DKE-Schutz (Double Key Encryption).For more information, see Hold your own key (HYOK) protection (classic client) or Double Key Encryption (DKE) protection.

Azure Key Vault SchlüsselspeicherAzure Key Vault key storage

Vom Kunden generierte Schlüssel müssen im Azure Key Vault für den Byok-Schutz gespeichert werden.Customer-generated keys must be stored in the Azure Key Vault for BYOK protection.

Hinweis

Die Verwendung von HSM-geschützten Schlüsseln in der Azure Key Vault erfordert eine Azure Key Vault Premium-Dienst Ebene, die eine zusätzliche monatliche Abonnementgebühr verursacht.Using HSM-protected keys in the Azure Key Vault requires an Azure Key Vault Premium service tier, which incurs an additional monthly subscription fee.

Freigeben von Schlüssel Tresoren und AbonnementsSharing key vaults and subscriptions

Es wird empfohlen, einen dedizierten Schlüssel Tresor für Ihren Mandanten Schlüssel zu verwenden.We recommend using a dedicated key vault for your tenant key. Dedizierte Schlüssel Tresore helfen sicherzustellen, dass Aufrufe von anderen Diensten nicht dazu führen, dass Dienst Limits überschritten werden.Dedicated key vaults help to ensure that calls by other services do not cause service limits to be exceeded. Wenn Sie die Grenzwerte für den Schlüssel Tresor überschreiten, in dem Ihr Mandanten Schlüssel gespeichert ist, kann dies zu einer Antwortzeit Drosselung für Azure Rights Management Service führen.Exceeding service limits on the key vault where your tenant key is stored may cause response time throttling for Azure Rights Management service.

Da für verschiedene Dienste abweichende Schlüssel Verwaltungsanforderungen gelten, empfiehlt Microsoft auch, ein dediziertes Azure-Abonnement für Ihren Schlüssel Tresor zu verwenden.As different services have varying key management requirements, Microsoft also recommends using a dedicated Azure subscription for your key vault. Dedizierte Azure-Abonnements:Dedicated Azure subscriptions:

  • Schutz vor FehlkonfigurationenHelp safeguard against misconfigurations

  • Sind sicherer, wenn verschiedene Dienste verschiedene Administratoren habenAre more secure when different services have different administrators

Um ein Azure-Abonnement für andere Dienste freizugeben, die Azure Key Vault verwenden, stellen Sie sicher, dass das Abonnement eine gemeinsame Gruppe von Administratoren verwendet.To share an Azure subscription with other services that use Azure Key Vault, make sure that the subscription shares a common set of administrators. Wenn Sie bestätigen, dass alle Administratoren, die das Abonnement verwenden, ein solides Verständnis für jeden Schlüssel haben, auf den Sie zugreifen können, bedeutet dies weniger wahrscheinlich, dass Sie Ihre Schlüssel falsch konfigurieren.Confirming that all administrators who use the subscription have a solid understanding of every key they can access, means they are less likely to misconfigure your keys.

Beispiel: Die Verwendung eines freigegebenen Azure-Abonnements, wenn Administratoren für Ihren Azure Information Protection Mandanten Schlüssel dieselben Personen sind, die Ihre Schlüssel für den Kundenschlüssel von Office 365 und CRM Online verwalten.Example: Using a shared Azure subscription when the administrators for your Azure Information Protection tenant key are the same individuals that administer your keys for Office 365 Customer Key and CRM online. Wenn die Schlüssel Administratoren für diese Dienste verschieden sind, wird die Verwendung dedizierter Abonnements empfohlen.If the key administrators for these services are different, we recommend using dedicated subscriptions.

Vorteile der Verwendung von Azure Key VaultBenefits of using Azure Key Vault

Azure Key Vault bietet eine zentralisierte und konsistente Schlüssel Verwaltungs Lösung für viele cloudbasierte und lokale Dienste, die Verschlüsselung verwenden.Azure Key Vault provides a centralized and consistent key management solution for many cloud-based and on-premises services that use encryption.

Zusätzlich zum Verwalten von Schlüsseln bietet Azure Key Vault Ihren Sicherheitsadministratoren die gleiche Verwaltungsumgebung zum Speichern von, Zugreifen auf und Verwalten von Zertifikaten und geheimen Schlüsseln (z. B. Kennwörtern) für andere Dienste und Anwendungen, die Verschlüsselung verwenden.In addition to managing keys, Azure Key Vault offers your security administrators the same management experience to store, access, and manage certificates and secrets (such as passwords) for other services and applications that use encryption.

Das Speichern Ihres Mandanten Schlüssels im Azure Key Vault bietet die folgenden Vorteile:Storing your tenant key in the Azure Key Vault provides the following advantages:

VorteilAdvantage BeschreibungDescription
Integrierte SchnittstellenBuilt-in interfaces Azure Key Vault unterstützt eine Reihe von integrierten Schnittstellen für die Schlüsselverwaltung, einschließlich PowerShell, CLI, REST-APIs und das Azure-Portal.Azure Key Vault supports a number of built-in interfaces for key management, including PowerShell, CLI, REST APIs, and the Azure portal.

Andere Dienste und Tools wurden in Key Vault integriert, um optimierte Funktionen für bestimmte Aufgaben, z. b. die Überwachung, zu integrieren.Other services and tools have integrated with Key Vault for optimized capabilities for specific tasks, such as monitoring.

Analysieren Sie z. b. Ihre Schlüssel Verwendungs Protokolle mit Operations Management Suite Log Analytics, legen Sie Warnungen fest, wenn bestimmte Kriterien erfüllt sind usw.For example, analyze your key usage logs with Operations Management Suite Log analytics, set alerts when specified criteria are met, and so on.
Rollen TrennungRole separation Azure Key Vault bietet eine Rollen Trennung als bewährte Sicherheitsmaßnahme.Azure Key Vault provides role separation as a recognized security best practice.

Durch die Rollen Trennung wird sichergestellt, dass Azure Information Protection Administratoren sich auf die höchsten Prioritäten konzentrieren können, einschließlich der Verwaltung von Datenklassifizierung und-Schutz sowie von Verschlüsselungsschlüsseln und Richtlinien für bestimmte Sicherheits-oder Konformitätsanforderungen.Role separation ensures that Azure Information Protection administrators can focus on their highest priorities, including managing data classification and protection, as well as encryption keys and policies for specific security or compliance requirements.
Speicherort des Haupt SchlüsselsMaster key location Azure Key Vault ist an verschiedenen Standorten verfügbar und unterstützt Organisationen mit Einschränkungen, bei denen Hauptschlüssel verfügbar sind.Azure Key Vault is available in a variety of locations, and supports organizations with restrictions where master keys can live.

Weitere Informationen finden Sie auf der Seite Verfügbare Produkte nach Region auf der Azure-Website.For more information, see the Products available by region page on the Azure site.
Getrennte Sicherheits DomänenSeparated security domains Azure Key Vault verwendet separate Sicherheits Domänen für seine Rechenzentren in Regionen wie Nordamerika, EMEA (Europa, Naher Osten und Afrika) und Asien.Azure Key Vault uses separate security domains for its data centers in regions such as North America, EMEA (Europe, Middle East and Africa), and Asia.

Außerdem verwendet Azure Key Vault verschiedene Azure-Instanzen wie Microsoft Azure Deutschland und Azure Government.Azure Key Vault also uses different instances of Azure, such as Microsoft Azure Germany, and Azure Government.
Einheitliche DarstellungUnified experience Mit Azure Key Vault können Sicherheits Administratoren außerdem Zertifikate und geheime Schlüssel (z. b. Kenn Wörter) für andere Dienste, die Verschlüsselung verwenden, speichern, darauf zugreifen und diese verwalten.Azure Key Vault also enables security administrators to store, access, and manage certificates and secrets, such as passwords, for other services that use encryption.

Die Verwendung von Azure Key Vault für Ihre Mandanten Schlüssel bietet Administratoren, die all diese Elemente verwalten, eine nahtlose Benutzer Leistung.Using Azure Key Vault for your tenant keys provides a seamless user experience for administrators who manage all of these elements.

Die neuesten Updates und Informationen darüber, wie andere Dienste Azure Key Vaultverwenden, finden Sie im Azure Key Vault Teamblog.For the latest updates and to learn how other services use Azure Key Vault, visit the Azure Key Vault team blog.

Verwendungs Protokollierung für ByokUsage logging for BYOK

Verwendungs Protokolle werden von jeder Anwendung generiert, die Anforderungen an den Azure Rights Management-Dienst sendet.Usage logs are generated by every application that makes requests to the Azure Rights Management service.

Obwohl die Verwendungs Protokollierung optional ist, empfehlen wir die Verwendung von Near Real-Time-Verwendungs Protokollen aus Azure Information Protection, um genau zu sehen, wie und wann Ihr Mandanten Schlüssel verwendet wird.Although usage logging is optional, we recommend using the near real-time usage logs from Azure Information Protection to see exactly how and when your tenant key is being used.

Weitere Informationen zur Schlüssel Verwendungs Protokollierung für Byok finden Sie unter protokollieren und Analysieren der Schutz Verwendung von Azure Information Protection.For more information about key usage logging for BYOK, see Logging and analyzing the protection usage from Azure Information Protection.

Tipp

Zur weiteren Sicherheit kann die Azure Information Protection Verwendungs Protokollierung mit Azure Key Vault Protokollierungquer referenziert werden.For additional assurance, Azure Information Protection usage logging can be cross referenced with Azure Key Vault logging. Key Vault Protokolle bieten eine zuverlässige Methode, um unabhängig zu überwachen, ob Ihr Schlüssel nur von Azure Rights Management Service verwendet wird.Key Vault logs provide a reliable method to independently monitor that your key is only used by Azure Rights Management service.

Wenn erforderlich, können Sie den Zugriff auf Ihren Schlüssel sofort widerrufen, indem Sie die Berechtigungen für den Schlüssel Tresor entfernen.If necessary, immediately revoke access to your key by removing permissions on the key vault.

Optionen zum Erstellen und Speichern Ihres SchlüsselsOptions for creating and storing your key

Byok unterstützt Schlüssel, die entweder in Azure Key Vault oder lokal erstellt werden.BYOK supports keys that are created either in Azure Key Vault or on-premises.

Wenn Sie Ihren Schlüssel lokal erstellen, müssen Sie ihn dann übertragen oder in Ihr Key Vault importieren und Azure Information Protection für die Verwendung des Schlüssels konfigurieren.If you create your key on-premises, you must then transfer or import it into your Key Vault and configure Azure Information Protection to use the key. Führen Sie in Azure Key Vault eine beliebige zusätzliche Schlüsselverwaltung aus.Perform any additional key management from within Azure Key Vault.

Optionen zum Erstellen und Speichern Ihres eigenen Schlüssels:Options to create and store your own key:

  • Erstellt in Azure Key Vault.Created in Azure Key Vault. Erstellen und speichern Sie Ihren Schlüssel in Azure Key Vault als HSM-geschützten Schlüssel oder einem Software geschützten Schlüssel.Create and store your key in Azure Key Vault as an HSM-protected key or a software-protected key.

  • Lokal erstellt.Created on-premises. Erstellen Sie Ihren Schlüssel lokal, und übertragen Sie ihn mithilfe einer der folgenden Optionen auf Azure Key Vault:Create your key on-premises and transfer it to Azure Key Vault using one of the following options:

    • HSM-geschützter Schlüssel, der als HSM-geschützter Schlüssel übertragen wird.HSM-protected key, transferred as an HSM-protected key. Die am häufigsten gewählte Methode.The most typical method chosen.

      Wenngleich diese Methode den meisten Verwaltungsaufwand hat, kann es erforderlich sein, dass Ihre Organisation bestimmte Vorschriften befolgt.While this method has the most administrative overhead, it may be required for your organization to follow specific regulations. Bei den von Azure Key Vault verwendeten HSMs handelt es 140-2 sich um eine Überprüfung auf der Basis der vonThe HSMs used by Azure Key Vault are FIPS 140-2 Level 2 validated.

    • Software geschützter Schlüssel, der konvertiert und in Azure Key Vault als HSM-geschützter Schlüssel übertragen wird.Software-protected key that is converted and transferred to Azure Key Vault as an HSM-protected key. Diese Methode wird nur bei der Migration von Active Directory Rights Management Services (AD RMS)unterstützt.This method is supported only when migrating from Active Directory Rights Management Services (AD RMS).

    • Wird lokal als Software geschützter Schlüssel erstellt und auf Azure Key Vault als Software geschützter Schlüssel übertragen.Created on-premises as a software-protected key and transferred to Azure Key Vault as a software-protected key. Diese Methode erfordert. Pfx-Zertifikat Datei.This method requires a .PFX certificate file.

Gehen Sie beispielsweise wie folgt vor, um einen lokal erstellten Schlüssel zu verwenden:For example, do the following to use a key created on-premises:

  1. Generieren Sie Ihren Mandanten Schlüssel lokal, gemäß den IT-und Sicherheitsrichtlinien Ihres Unternehmens.Generate your tenant key on your premises, in line with your organization's IT and security policies. Der Schlüssel dient als Masterkopie.This key is the master copy. Sie bleibt lokal, und Sie sind für die Sicherung erforderlich.It remains on-premises, and you are required for its backup.

  2. Erstellen Sie eine Kopie des Haupt Schlüssels, und übertragen Sie Sie auf sichere Weise aus Ihrem HSM in Azure Key Vault.Create a copy of the master key, and securely transfer it from your HSM to Azure Key Vault. Während dieses Vorgangs verlässt die Master Kopie des Schlüssels niemals die Hardware Schutz Grenze.Throughout this process, the master copy of the key never leaves the hardware protection boundary.

Nach der Übertragung wird die Kopie des Schlüssels durch Azure Key Vault geschützt.Once transferred, the copy of the key is protected by Azure Key Vault.

Exportieren Ihrer vertrauenswürdigen Veröffentlichungs DomäneExporting your trusted publishing domain

Wenn Sie sich entscheiden, Azure Information Protection zu verwenden, benötigen Sie eine vertrauenswürdige Veröffentlichungs Domäne (Trusted Publishing Domain, TPD) zum Entschlüsseln von Inhalten, die durch Azure Information Protection geschützt wurden.If you ever decide to stop using Azure Information Protection, you'll need a trusted publishing domain (TPD) to decrypt content that was protected by Azure Information Protection.

Der Export der TPD wird jedoch nicht unterstützt, wenn Sie Byok für Ihren Azure Information Protection Schlüssel verwenden.However, exporting your TPD isn't supported if you're using BYOK for your Azure Information Protection key.

Um dieses Szenario vorzubereiten, stellen Sie sicher, dass Sie eine geeignete TPD im Voraus erstellen.To prepare for this scenario, make sure to create a suitable TPD ahead of time. Weitere Informationen finden Sie unter Vorbereiten eines Azure Information Protection "Cloud Exit"-Plans.For more information, see How to prepare an Azure Information Protection "Cloud Exit" plan.

BYOK-Implementierung für Ihren Azure Information Protection-MandantenschlüsselImplementing BYOK for your Azure Information Protection tenant key

Verwenden Sie die folgenden Schritte, um Byok zu implementieren:Use the following steps to implement BYOK:

  1. Überprüfen der Byok-KomponentenReview BYOK prerequisites
  2. Wählen Sie einen Key Vault Standort aus.Choose a Key Vault location
  3. Erstellen und Konfigurieren Ihres SchlüsselsCreate and configure your key

Voraussetzungen für BYOKPrerequisites for BYOK

Die Byok-Voraussetzungen variieren abhängig von der Systemkonfiguration.BYOK prerequisites vary, depending on your system configuration. Stellen Sie sicher, dass Ihr System nach Bedarf die folgenden Voraussetzungen erfüllt:Verify that your system complies with the following prerequisites as needed:

AnforderungRequirement BeschreibungDescription
Azure-AbonnementAzure subscription Für alle Konfigurationen erforderlich.Required for all configurations.
Weitere Informationen finden Sie unter überprüfen, ob Sie über ein Byok-kompatibles Azure-Abonnement verfügen.For more information, see Verifying that you have a BYOK-compatible Azure subscription.
Aipservice-PowerShell-Modul für Azure Information ProtectionAIPService PowerShell module for Azure Information Protection Für alle Konfigurationen erforderlich.Required for all configurations.
Weitere Informationen finden Sie unter Installieren des aipservice-PowerShell-Moduls.For more information, see Installing the AIPService PowerShell module.
Azure Key Vault Voraussetzungen für ByokAzure Key Vault prerequisites for BYOK Wenn Sie einen HSM-geschützten Schlüssel verwenden, der lokal erstellt wurde, stellen Sie sicher, dass Sie auch die Voraussetzungen für Byok erfüllen, die in der Azure Key Vault-Dokumentation aufgeführt sind.If you are using an HSM-protected key that was created on-premises, ensure that you also comply with the prerequisites for BYOK listed in the Azure Key Vault documentation.
Thales-Firmwareversion 11,62Thales firmware version 11.62 Sie müssen über eine Thales-Firmwareversion von 11,62 verfügen, wenn Sie von AD RMS zu Azure Information Protection migrieren, indem Sie den Software Schlüssel zum Hardwareschlüssel verwenden und Thales Firmware für Ihr HSM verwenden.You must have a Thales firmware version of 11.62 if you are migrating from AD RMS to Azure Information Protection by using software key to hardware key and are using Thales firmware for your HSM.
Umgehung der Firewall für vertrauenswürdige Microsoft-DiensteFirewall bypass for trusted Microsoft services Wenn der Schlüssel Tresor, der ihren Mandanten Schlüssel enthält, Virtual Network Dienst Endpunkte für Azure Key Vault verwendet, müssen Sie vertrauenswürdigen Microsoft-Diensten gestatten, diese Firewall zu umgehen.If the key vault that contains your tenant key uses Virtual Network Service Endpoints for Azure Key Vault, you must allow trusted Microsoft services to bypass this firewall.
Weitere Informationen finden Sie im Blog Virtual Network Service Endpoints for Azure Key Vault (Virtual Network-Dienstendpunkte für Azure Key Vault).For more information, see Virtual Network Service Endpoints for Azure Key Vault.

Überprüfen, ob Sie über ein Byok-kompatibles Azure-Abonnement verfügenVerifying that you have a BYOK-compatible Azure subscription

Ihr Azure Information Protection-Mandant muss über ein Azure-Abonnement verfügen.Your Azure Information Protection tenant must have an Azure subscription. Wenn Sie noch kein Konto haben, können Sie sich für ein kostenloses Kontoregistrieren.If you don't have one yet, you can sign up for a free account. Wenn Sie jedoch einen HSM-geschützten Schlüssel verwenden möchten, müssen Sie über die Dienst Ebene "Azure Key Vault Premium" verfügen.However, to use an HSM-protected key, you must have the Azure Key Vault Premium service tier.

Das kostenlose Azure-Abonnement, das den Zugriff auf Azure Active Directory Konfiguration und die Konfiguration der benutzerdefinierten Rights Management Azure-Vorlage ermöglicht, reicht nicht für die Verwendung Azure Key Vault aus.The free Azure subscription that provides access to Azure Active Directory configuration and Azure Rights Management custom template configuration is not sufficient for using Azure Key Vault.

Gehen Sie wie folgt vor Azure PowerShell , um zu überprüfen, ob Sie über ein Azure-Abonnement verfügen, das mit Byok kompatibel ist:To confirm whether you have an Azure subscription that is compatible with BYOK, do the following to verify, using Azure PowerShell cmdlets:

  1. Starten Sie eine Azure PowerShell Sitzung als Administrator.Start an Azure PowerShell session as an administrator.

  2. Melden Sie sich mithilfe von als globaler Administrator für Ihren Azure Information Protection Mandanten an Connect-AzAccount .Sign in as a global admin for your Azure Information Protection tenant using Connect-AzAccount.

  3. Kopieren Sie das in die Zwischenablage angezeigte Token.Copy the token displayed to your clipboard. Wechseln Sie dann in einem Browser zu, https://microsoft.com/devicelogin und geben Sie das kopierte Token ein.Then, in a browser, go to https://microsoft.com/devicelogin and enter the copied token.

    Weitere Informationen finden Sie unter Anmelden mit Azure PowerShell.For more information, see Sign in with Azure PowerShell.

  4. Geben Sie in der PowerShell-Sitzung ein Get-AzSubscription , und vergewissern Sie sich, dass die folgenden Werte angezeigt werden:In your PowerShell session, enter Get-AzSubscription, and confirm that the following values are displayed:

    • Name und ID Ihres AbonnementsYour subscription name and ID
    • Ihre Azure Information Protection Mandanten-IDYour Azure Information Protection tenant ID
    • Bestätigung, dass der Status aktiviert istConfirmation that the state is enabled

    Wenn keine Werte angezeigt werden und Sie zur Eingabeaufforderung zurückkehren, verfügen Sie nicht über ein Azure-Abonnement, das für Byok verwendet werden kann.If no values are displayed and you are returned to the prompt, you do not have an Azure subscription that can be used for BYOK.

Auswählen eines Speicherorts für Ihren SchlüsseltresorChoosing your key vault location

Wenn Sie einen Schlüsseltresor für den Schlüssel erstellen, der als Ihr Mandantenschlüssel für Azure Information verwendet werden soll, müssen Sie einen Speicherort bestimmen.When you create a key vault to contain the key to be used as your tenant key for Azure Information, you must specify a location. Dieser Speicherort ist eine Azure-Region oder -Instanz.This location is an Azure region, or Azure instance.

Treffen Sie Ihre Entscheidung vorrangig anhand von Konformitätsgründen. Die Minimierung der Netzwerklatenz ist zweitrangig:Make your choice first for compliance, and then to minimize network latency:

  • Wenn Sie die Byok-Schlüsselmethode aus Kompatibilitätsgründen ausgewählt haben, können diese Konformitätsanforderungen auch vorschreiben, welche Azure-Region oder-Instanz zum Speichern Ihres Azure Information Protection Mandanten Schlüssels verwendet werden kann.If you have chosen the BYOK key method for compliance reasons, those compliance requirements might also mandate which Azure region or instance can be used to store your Azure Information Protection tenant key.

  • Alle kryptografischen Aufrufe der Schutzkette an Ihren Azure Information Protection Schlüssel.All cryptographic calls for protection chain to your Azure Information Protection key. Daher empfiehlt es sich, die Netzwerk Latenz zu minimieren, die für diese Aufrufe erforderlich ist, indem Sie Ihren Schlüssel Tresor in derselben Azure-Region oder-Instanz wie Ihre Azure Information Protection Mandanten erstellen.Therefore, you may want to minimize the network latency these calls require by creating your key vault in the same Azure region or instance as your Azure Information Protection tenant.

Um den Speicherort Ihres Azure Information Protection Mandanten zu identifizieren, verwenden Sie das PowerShell-Cmdlet Get-aipserviceconfiguration , und identifizieren Sie die Region aus den URLs.To identify the location of your Azure Information Protection tenant, use the Get-AipServiceConfiguration PowerShell cmdlet and identify the region from the URLs. Beispiel:For example:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

rms.na.aadrm.com weist z.B. auf die Region Nordamerika hin.The region is identifiable from rms.na.aadrm.com, and for this example, it is in North America.

In der folgenden Tabelle sind die empfohlenen Azure-Regionen und-Instanzen zum Minimieren der Netzwerk Latenz aufgeführtThe following table lists recommended Azure regions and instances for minimizing network latency:

Azure-Region oder -InstanzAzure region or instance Empfohlener Speicherort für Ihren SchlüsseltresorRecommended location for your key vault
rms.na.aadrm.comrms.na.aadrm.com USA, Norden-Mitte oder USA, OstenNorth Central US or East US
rms.eu.aadrm.comrms.eu.aadrm.com Nordeuropa oder West EuropaNorth Europe or West Europe
rms.ap.aadrm.comrms.ap.aadrm.com Asien, Osten oder SüdostasienEast Asia or Southeast Asia
rms.sa.aadrm.comrms.sa.aadrm.com USA, Westen oder USA, OstenWest US or East US
rms.govus.aadrm.comrms.govus.aadrm.com USA, Mitte oder USA, Osten 2Central US or East US 2
RMS.aadrm.USrms.aadrm.us US gov Virginia oder US gov ArizonaUS Gov Virginia or US Gov Arizona
RMS.aadrm.cnrms.aadrm.cn China, Osten 2 oder China, Norden 2China East 2 or China North 2

Erstellen und Konfigurieren Ihres SchlüsselsCreate and configure your key

Erstellen Sie eine Azure Key Vault und den Schlüssel, den Sie für die Azure Information Protection verwenden möchten.Create an Azure Key Vault and the key you want to use for Azure Information Protection. Weitere Informationen finden Sie in der Azure Key Vault-Dokumentation.For more information, see the Azure Key Vault documentation.

Beachten Sie Folgendes, wenn Sie Ihre Azure Key Vault und den Schlüssel für Byok konfigurieren:Note the following for configuring your Azure Key Vault and key for BYOK:

Schlüssellängen AnforderungenKey length requirements

Stellen Sie beim Erstellen des Schlüssels sicher, dass die Schlüssellänge entweder 2048 Bits (empfohlen) oder 1024 Bits ist.When creating your key, make sure that the key length is either 2048 bits (recommended) or 1024 bits. Andere Schlüssellängen werden von Azure Information Protection nicht unterstützt.Other key lengths are not supported by Azure Information Protection.

Hinweis

1024-Bit-Schlüssel werden nicht als eine angemessene Schutz Ebene für aktive Mandanten Schlüssel betrachtet.1024-bit keys are not considered to offer an adequate level of protection for active tenant keys.

Microsoft unterstützt nicht die Verwendung niedrigerer Schlüssellängen, wie z. b. 1024-Bit-RSA-Schlüssel, und die zugehörige Verwendung von Protokollen, die unzureichende Schutz Ebenen bieten, z. b. SHA-1.Microsoft doesn't endorse the use of lower key lengths, such as 1024-bit RSA keys, and the associated use of protocols that offer inadequate levels of protection, such as SHA-1.

Lokales Erstellen eines HSM-geschützten Schlüssels und übertragen des Schlüssels in Ihren Schlüssel TresorCreating an HSM-protected key on-premises and transferring it to your key vault

Wenn Sie einen HSM-geschützten Schlüssel lokal erstellen und in Ihren Schlüssel Tresor als HSM-geschützten Schlüssel übertragen möchten, befolgen Sie die Verfahren in der Azure Key Vault-Dokumentation: generieren und übertragen von HSM-geschützten Schlüsseln für Azure Key Vault.To create an HSM-protected key on-premises and transfer it to your key vault as an HSM-protected key, follow the procedures in the Azure Key Vault documentation: How to generate and transfer HSM-protected keys for Azure Key Vault.

Damit Azure Information Protection den übertragenen Schlüssel verwenden können, müssen alle Key Vault Vorgänge für den Schlüssel zulässig sein, einschließlich:For Azure Information Protection to use the transferred key, all Key Vault operations must be permitted for the key, including:

  • encryptencrypt
  • Entschlüsselndecrypt
  • wrapKeywrapKey
  • unwrapKeyunwrapKey
  • Signierensign
  • Überprüfenverify

Standardmäßig sind alle Key Vault Vorgänge zulässig.By default, all Key Vault operations are permitted.

Um die zulässigen Vorgänge für einen bestimmten Schlüssel zu überprüfen, führen Sie den folgenden PowerShell-Befehl aus:To check the permitted operations for a specific key, run the following PowerShell command:

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

Fügen Sie bei Bedarf zugelassene Vorgänge hinzu, indem Sie " Update-azkeyvaultkey " und den keyops -Parameter verwenden.If necessary, add permitted operations by using Update-AzKeyVaultKey and the KeyOps parameter.

Konfigurieren von Azure Information Protection mit Ihrer Schlüssel-IDConfiguring Azure Information Protection with your key ID

Die im Azure Key Vault gespeicherten Schlüssel verfügen jeweils über eine Schlüssel-ID.Keys stored in the Azure Key Vault each have a key ID.

Bei der Schlüssel-ID handelt es sich um eine URL, die den Namen des Schlüssel Tresors, den Schlüssel Container, den Namen des Schlüssels und die Schlüssel Version enthält.The key ID is a URL that contains the name of the key vault, the keys container, the name of the key, and the key version. Beispiel:For example:

https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.

Konfigurieren Sie Azure Information Protection, um Ihren Schlüssel zu verwenden, indem Sie seine Key Vault-URL angeben.Configure Azure Information Protection to use your key by specifying its key vault URL.

Autorialisieren des Azure Rights Management-Dienstanbieter für die Verwendung Ihres SchlüsselsAuthorizing the Azure Rights Management service to use your key

Der Azure Rights Management-Dienst muss für die Verwendung Ihres Schlüssels autorisiert sein.The Azure Rights Management service must be authorized to use your key. Azure Key Vault Administratoren können diese Autorisierung mithilfe der Azure-Portal oder Azure PowerShell aktivieren.Azure Key Vault administrators can enable this authorization using the Azure portal or Azure PowerShell.

Aktivieren der Schlüssel Autorisierung mithilfe der Azure-PortalEnabling key authorization using the Azure portal
  1. Melden Sie sich beim Azure-Portal an, und wechseln Sie zu Schlüssel Tresoren > <your key vault name> > Zugriffsrichtlinien > Hinzufügen neu.Sign in to the Azure portal, and go to Key vaults > <your key vault name> > Access policies > Add new.

  2. Wählen Sie im Bereich Zugriffs Richtlinie hinzufügen im Listenfeld aus Vorlage konfigurieren (optional) Azure Information Protection Byokaus, und klicken Sie dann auf OK.From the Add access policy pane, from the Configure from template (optional) list box, select Azure Information Protection BYOK, and then click OK.

    Die ausgewählte Vorlage weist die folgende Konfiguration auf:The selected template has the following configuration:

    • Der Wert Select Principal ist auf Microsoft Rights Management Services festgelegt.The Select principal value is set to Microsoft Rights Management Services.
    • Zu den ausgewählten Schlüssel Berechtigungen zählen Get, entschlüsseln und Sign.Selected key permissions include Get, Decrypt, and Sign.
Aktivieren der Schlüssel Autorisierung mithilfe von PowerShellEnabling key authorization using PowerShell

Führen Sie das Key Vault PowerShell-Cmdlet Set-azkeyvaultaccesspolicyaus, und erteilen Sie dem Azure Rights Management-Dienst Prinzipal mithilfe der GUID 00000012-0000-0000-C000-000000000000Berechtigungen.Run the Key Vault PowerShell cmdlet, Set-AzKeyVaultAccessPolicy, and grant permissions to the Azure Rights Management service principal using the GUID 00000012-0000-0000-c000-000000000000.

Beispiel:For example:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get

Konfigurieren von Azure Information Protection für die Verwendung Ihres SchlüsselsConfigure Azure Information Protection to use your key

Nachdem Sie alle obigen Schritte abgeschlossen haben, können Sie Azure Information Protection so konfigurieren, dass dieser Schlüssel als Mandanten Schlüssel Ihrer Organisation verwendet wird.Once you've completed all of the steps above, you're ready to configure Azure Information Protection to use this key as your organization's tenant key.

Führen Sie mit Azure RMS Cmdlets die folgenden Befehle aus:Using Azure RMS cmdlets, run the following commands:

  1. Stellen Sie eine Verbindung mit dem Azure Rights Management Dienst her, und melden Sie sichConnect to the Azure Rights Management service and sign in:

    Connect-AipService
    
  2. Führen Sie das Cmdlet use-aipservicekeyvaultkeyaus, und geben Sie dabei die Schlüssel-URL an.Run the Use-AipServiceKeyVaultKey cmdlet, specifying the key URL. Beispiel:For example:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
    

    Wichtig

    In diesem Beispiel <key-version> ist die Version des Schlüssels, den Sie verwenden möchten.In this example, <key-version> is the version of the key you want to use. Wenn Sie die Version nicht angeben, wird standardmäßig die aktuelle Version des Schlüssels verwendet, und der Befehl funktioniert möglicherweise als funktionsfähig.If you do not specify the version, the current version of the key is used by default, and the command may appear to work. Wenn Ihr Schlüssel jedoch später aktualisiert oder erneuert wird, funktioniert der Azure Rights Management-Dienst nicht mehr für Ihren Mandanten, auch wenn Sie den Befehl " use-aipservicekeyvaultkey " erneut ausführen.However, if your key is later updated or renewed, the Azure Rights Management service will stop working for your tenant, even if you run the Use-AipServiceKeyVaultKey command again.

    Verwenden Sie den Befehl Get-azkeyvaultkey , um die Versionsnummer des aktuellen Schlüssels zu erhalten.Use the Get-AzKeyVaultKey command as needed to get the version number of the current key.

    Beispiel: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'For example: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    Um zu bestätigen, dass die Schlüssel-URL für Azure Information Protection richtig festgelegt ist, führen Sie den Befehl Get-azkeyvaultkey in der Azure Key Vault aus, um die Schlüssel-URL anzuzeigen.To confirm that the key URL is set correctly for Azure Information Protection, run the Get-AzKeyVaultKey command in the Azure Key Vault to display the key URL.

  3. Wenn der Azure-Rights Management Dienst bereits aktiviert ist, führen Sie Set-aipservicekeyproperties aus, um Azure Information Protection, diesen Schlüssel als aktiven Mandanten Schlüssel für den Azure Rights Management-Dienst zu verwenden.If the Azure Rights Management service is already activated, run Set-AipServiceKeyProperties to tell Azure Information Protection to use this key as the active tenant key for the Azure Rights Management service.

Azure Information Protection ist nun so konfiguriert, dass der Schlüssel anstelle des von Microsoft erstellten Standard Schlüssels verwendet wird, der automatisch für Ihren Mandanten erstellt wurde.Azure Information Protection is now configured to use your key instead of the default Microsoft-created key that was automatically created for your tenant.

Nächste SchritteNext steps

Nachdem Sie den Byok-Schutz konfiguriert haben, fahren Sie mit den ersten Schritten mit Ihrem Mandanten Stamm Schlüssel fort, um weitere Informationen zum verwenden und Verwalten Ihres Schlüssels zu erhalten.Once you've configured BYOK protection, continue to Getting started with your tenant root key for more information about using and managing your key.