Schritt 2: Migration von durch HSM geschütztem Schlüssel zu durch HSM geschütztem Schlüssel

Diese Anweisungen sind Teil des Migrationspfads von AD RMS zu Azure Information Protection und gelten nur, wenn Ihr AD RMS-Schlüssel durch HSM geschützt ist und Sie zu Azure Information Protection mit einem durch HSM geschützten Mandant-Schlüssel in Azure Key Vault migrieren möchten.

Wenn dies nicht das von Ihnen gewählte Konfigurationsszenario ist, gehen Sie zurück zu Schritt 4. Exportieren von Konfigurationsdaten aus AD RMS und importieren in Azure RMS und wählen Sie eine andere Konfiguration.

Hinweis

In diesen Anweisungen wird davon ausgegangen, dass Ihr AD RMS-Schlüssel modulgeschützt ist. Das ist der üblichste Fall.

Es handelt sich um eine aus zwei Teilen bestehende Vorgehensweise zum Importieren Ihrer HSM-Schlüssel und AD RMS-Konfiguration in Azure Information Protection, aus dem sich Ihr Azure Information Protection-Mandantenschlüssel ergibt, der von Ihnen verwaltet wird (BYOK).

Da Ihr Azure Information Protection-Mandantenschlüssel von Azure Key Vault gespeichert und verwaltet wird, erfordert dieser Teil der Migration zusätzlich zu Azure Information Protection die Verwaltung in Azure Key Vault. Wenn Azure Key Vault von einem anderen Administrator als Ihnen für Ihre Organisation verwaltet wird, müssen Sie sich bei dieser Vorgehensweise mit diesem Administrator abstimmen und mit ihm zusammenarbeiten.

Stellen Sie vor Beginn sicher, dass Ihre Organisation über einen in Azure erstellten Schlüsseltresor verfügt und dass er durch HSM geschützte Schlüssel unterstützt. Obwohl nicht unbedingt erforderlich, sollten Sie über einen dedizierten Schlüsseltresor für Azure Information Protection verfügen. Dieser Schlüsseltresor wird so konfiguriert, dass der Azure Rights Management-Dienst darauf zugreifen kann. Die in diesem Schlüsseltresor gespeicherten Schlüssel sollten auf die Azure Information Protection-Schlüssel beschränkt sein.

Tipp

Wenn Sie die Konfigurationsschritte für Azure Key Vault ausführen und mit diesem Azure-Dienst nicht vertraut sind, könnte es hilfreich sein zuerst Erste Schritte mit Azure Key Vault zu lesen.

Teil 1: Übertragen des HSM-Schlüssels zu Azure Key Vault

Diese Vorgehensweisen werden vom Administrator für Azure Key Vault ausgeführt.

1. Befolgen Sie für jeden exportierten SLC-Schlüssel, den Sie in Azure Key Vault speichern möchten, die Anweisungen aus der Azure Key Vault-Dokumentation aus Implementieren von Bring Your Own Key (BYOK) für Azure Key Vault mit der folgenden Ausnahme:

   • Führen Sie nicht die Schritte zum Generieren Ihres Mandantenschlüssels aus, da Sie bereits über die Entsprechung aus ihrer AD RMS-Bereitstellung verfügen. Identifizieren Sie stattdessen die Schlüssel, die von Ihrem AD RMS-Server aus der nCipher-Installation verwendet werden, und bereiten Sie diese Schlüssel für die Übertragung vor, und übertragen Sie sie dann an Azure Key Vault.

     Verschlüsselte Schlüsseldateien für nCipher werden lokal auf dem Server mit key_<keyAppName>_<keyIdentifier> bezeichnet. Beispielsweise C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54. Sie benötigen den Wert mscapi als keyAppName und Ihren eigenen Wert für den Schlüsselbezeichner, wenn Sie den Befehl KeyTransferRemote ausführen, um eine Kopie des Schlüssels mit eingeschränkten Rechten zu erstellen.

     Wenn der Schlüssel in Azure Key Vault hochgeladen wird, werden die Eigenschaften des Schlüssels angezeigt, der die Schlüssel-ID enthält. Sie hat in etwa das folgende Format: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.. Notieren Sie sich diese URL, da der Azure Information Protection-Administrator ihn benötigt, um den Azure Rights Management-Dienst anzuweisen, diesen Schlüssel für seinen Mandantenschlüssel zu verwenden.

2. Verwenden Sie auf der mit dem Internet verbundenen Arbeitsstation in einer PowerShell-Sitzung das Cmdlet Set-AzKeyVaultAccessPolicy, um den Azure Rights Management-Dienstprinzipal für den Zugriff auf den Schlüsseltresor zu autorisieren, in dem der Azure Information Protection-Mieterschlüssel gespeichert wird. Erforderlich sind Berechtigungen für entschlüsseln, verschlüsseln, unwrapkey, wrapkey, überprüfen und signieren.

   Wenn der Schlüsseltresor, den Sie für Azure Information Protection erstellt haben, beispielsweise contoso-byok-ky heißt und Ihre Ressourcengruppe contoso-byok-rg heißt, führen Sie den folgenden Befehl aus:

   Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
   

Nachdem Sie nun Ihren HSM-Schlüssel im Azure Key Vault für den Azure Rights Management-Dienst aus Azure Information Protection vorbereitet haben, können Sie Ihre AD RMS-Konfigurationsdaten importieren.

Teil 2: Importieren der Konfigurationsdaten in Azure Information Protection

Diese Vorgehensweisen werden vom Administrator für Azure Information Protection ausgeführt.

1. Stellen Sie auf der Arbeitsstation mit Internetverbindung und in der PowerShell-Sitzung mit dem Cmdlet Connect-AipService eine Verbindung zum Azure Rights Management-Dienst her.

   Laden Sie dann jede vertrauenswürdige Veröffentlichungsdomäne (.xml) hoch, indem Sie das Cmdlet Import-AipServiceTpd verwenden. Sie sollten beispielsweise mindestens eine weitere Datei zu importieren haben, wenn Sie ein Upgrade ihres AD RMS-Clusters für den Kryptografiemodus 2 durchgeführt haben.

   Zum Ausführen dieses Cmdlets benötigen Sie das Kennwort, das Sie zuvor für jede Konfigurationsdatendatei angegeben haben, und die URL für den Schlüssel, der im vorherigen Schritt bestimmt wurde.

   Führen Sie beispielsweise anhand einer Konfigurationsdatendatei C:\contoso-tpd1.xml und unserem Schlüssel-URL-Wert aus dem vorherigen Schritt zuerst Folgendes aus, um das Kennwort zu speichern:

    $TPD_Password = Read-Host -AsSecureString
   

   Geben Sie das Kennwort ein, das Sie zum Exportieren der Konfigurationsdatendatei angegeben haben. Führen Sie dann den folgenden Befehl aus, und bestätigen Sie, dass Sie diese Aktion ausführen möchten:

   Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
   

   Im Rahmen dieses Imports wird der SLC-Schlüssel importiert und automatisch auf archiviert gesetzt.

2. Wenn Sie jede Datei hochgeladen haben, führen Sie Set-AipServiceKeyProperties aus, um anzugeben, welcher importierte Schlüssel mit dem derzeit aktiven SLC-Schlüssel in Ihrem AD RMS-Cluster übereinstimmt. Dieser Schlüssel wird zum aktiven Mandantenschlüssel für Ihren Azure Rights Management-Dienst.

3. Verwenden Sie das Cmdlet Disconnect-AipServiceService, um die Verbindung mit dem Azure Rights Management-Dienst zu trennen:

   Disconnect-AipServiceService
   

Wenn Sie später bestätigen müssen, welchen Schlüssel Ihr Azure Information Protection-Mieterschlüssel in Azure Key Vault verwendet, verwenden Sie das Cmdlet Get-AipServiceKeys Azure RMS-Cmdlet.

Sie können nun zu Schritt 5 übergehen. Aktivieren Sie den Azure Rights Management-Dienst.