BYOK les détails de votre propre clé pour Azure Information ProtectionBring your own key (BYOK) details for Azure Information Protection

S’applique à : Azure information protection, Office 365Applies to: Azure Information Protection, Office 365

Les organisations disposant d’un abonnement Azure Information Protection peuvent choisir de configurer leur locataire avec leur propre clé au lieu d’une clé par défaut générée par Microsoft.Organizations with an Azure Information Protection subscription can choose to configure their tenant with their own key, instead of a default key generated by Microsoft. Cette configuration est souvent appelée Bring Your Own Key (BYOK).This configuration is often referred to as Bring Your Own Key (BYOK).

BYOK et la journalisation de l’utilisation fonctionnent de façon transparente avec les applications qui s’intègrent au service Azure Rights Management utilisé par Azure information protection.BYOK and usage logging work seamlessly with applications that integrate with the Azure Rights Management service used by Azure Information Protection.

Les applications prises en charge sont les suivantes :Supported applications include:

  • Services Cloud, tels que Microsoft SharePoint ou Office 365Cloud services, such as Microsoft SharePoint or Office 365

  • Services locaux exécutant des applications Exchange et SharePoint qui utilisent le service Azure Rights Management via le connecteur RMSOn-premises services running Exchange and SharePoint applications that use the Azure Rights Management service via the RMS connector

  • Applications clientes, telles qu’Office 2019, Office 2016 et Office 2013Client applications, such as Office 2019, Office 2016, and Office 2013

Conseil

Si nécessaire, appliquez une sécurité supplémentaire à des documents spécifiques à l’aide d’une clé locale supplémentaire.If needed, apply additional security to specific documents using an additional on-premises key. Pour plus d’informations, consultez la page protection hyok (blocage de votre propre clé ) ou protection à double clé (DKE).For more information, see Hold your own key (HYOK) protection (classic client) or Double Key Encryption (DKE) protection.

Stockage de clé de Azure Key VaultAzure Key Vault key storage

Les clés générées par le client doivent être stockées dans le Azure Key Vault pour la protection BYOK.Customer-generated keys must be stored in the Azure Key Vault for BYOK protection.

Notes

L’utilisation de clés protégées par HSM dans le Azure Key Vault nécessite un niveau de service Azure Key Vault Premium, ce qui entraîne des frais d’abonnement mensuels supplémentaires.Using HSM-protected keys in the Azure Key Vault requires an Azure Key Vault Premium service tier, which incurs an additional monthly subscription fee.

Partage de coffres de clés et d’abonnementsSharing key vaults and subscriptions

Nous vous recommandons d’utiliser un coffre de clés dédié pour votre clé de locataire.We recommend using a dedicated key vault for your tenant key. Les coffres de clés dédiés permettent de s’assurer que les appels effectués par d’autres services n’entraînent pas le dépassement des limites du service .Dedicated key vaults help to ensure that calls by other services do not cause service limits to be exceeded. Le dépassement des limites de service sur le coffre de clés dans lequel votre clé de locataire est stockée peut entraîner une limitation du temps de réponse pour Azure Rights Management Service.Exceeding service limits on the key vault where your tenant key is stored may cause response time throttling for Azure Rights Management service.

Étant donné que les différents services ont des exigences de gestion clés différentes, Microsoft recommande également d’utiliser un abonnement Azure dédié à votre coffre de clés.As different services have varying key management requirements, Microsoft also recommends using a dedicated Azure subscription for your key vault. Abonnements Azure dédiés :Dedicated Azure subscriptions:

  • Contribuer à la protection contre les inconfigurationsHelp safeguard against misconfigurations

  • Sont plus sécurisées quand différents services ont des administrateurs différentsAre more secure when different services have different administrators

Pour partager un abonnement Azure avec d’autres services qui utilisent Azure Key Vault, assurez-vous que l’abonnement partage un ensemble commun d’administrateurs.To share an Azure subscription with other services that use Azure Key Vault, make sure that the subscription shares a common set of administrators. En confirmant que tous les administrateurs qui utilisent l’abonnement ont une compréhension solide de chaque clé à laquelle ils peuvent accéder, cela signifie qu’ils sont moins susceptibles de mal configurer vos clés.Confirming that all administrators who use the subscription have a solid understanding of every key they can access, means they are less likely to misconfigure your keys.

Exemple : Utilisation d’un abonnement Azure partagé lorsque les administrateurs de votre Azure Information Protection clé de locataire sont les mêmes que ceux qui gèrent vos clés pour la clé de client Office 365 et CRM Online.Example: Using a shared Azure subscription when the administrators for your Azure Information Protection tenant key are the same individuals that administer your keys for Office 365 Customer Key and CRM online. Si les administrateurs clés de ces services sont différents, nous vous recommandons d’utiliser des abonnements dédiés.If the key administrators for these services are different, we recommend using dedicated subscriptions.

Avantages de l’utilisation d’Azure Key VaultBenefits of using Azure Key Vault

Azure Key Vault fournit une solution de gestion de clés centralisée et cohérente pour de nombreux services Cloud et locaux qui utilisent le chiffrement.Azure Key Vault provides a centralized and consistent key management solution for many cloud-based and on-premises services that use encryption.

Outre la gestion des clés, Azure Key Vault offre à vos administrateurs de sécurité la même expérience de gestion pour stocker, utiliser et gérer les certificats et les secrets (comme les mots de passe) pour d’autres services et applications qui utilisent le chiffrement.In addition to managing keys, Azure Key Vault offers your security administrators the same management experience to store, access, and manage certificates and secrets (such as passwords) for other services and applications that use encryption.

Le stockage de votre clé de locataire dans le Azure Key Vault offre les avantages suivants :Storing your tenant key in the Azure Key Vault provides the following advantages:

AvantageAdvantage DescriptionDescription
Interfaces intégréesBuilt-in interfaces Azure Key Vault prend en charge plusieurs interfaces intégrées pour la gestion de clés, notamment PowerShell, CLI, les API REST et le portail Azure.Azure Key Vault supports a number of built-in interfaces for key management, including PowerShell, CLI, REST APIs, and the Azure portal.

D’autres services et outils ont été intégrés à Key Vault pour des fonctionnalités optimisées pour des tâches spécifiques, telles que la surveillance.Other services and tools have integrated with Key Vault for optimized capabilities for specific tasks, such as monitoring.

Par exemple, analysez vos journaux d’utilisation de clé avec Operations Management Suite log Analytics, définissez des alertes lorsque les critères spécifiés sont remplis, et ainsi de suite.For example, analyze your key usage logs with Operations Management Suite Log analytics, set alerts when specified criteria are met, and so on.
Séparation des rôlesRole separation Azure Key Vault fournit une séparation des rôles comme meilleure pratique de sécurité reconnue.Azure Key Vault provides role separation as a recognized security best practice.

La séparation des rôles permet de s’assurer que Azure Information Protection administrateurs peuvent se concentrer sur leurs priorités les plus élevées, y compris la gestion de la classification et de la protection des données, ainsi que des clés de chiffrement et des stratégies pour des exigences de sécurité ou de conformitéRole separation ensures that Azure Information Protection administrators can focus on their highest priorities, including managing data classification and protection, as well as encryption keys and policies for specific security or compliance requirements.
Emplacement de la clé principaleMaster key location Azure Key Vault est disponible dans divers emplacements et prend en charge les organisations avec des restrictions qui peuvent résider dans les clés principales.Azure Key Vault is available in a variety of locations, and supports organizations with restrictions where master keys can live.

Pour plus d’informations, consultez la page Disponibilité des produits par région sur le site Azure.For more information, see the Products available by region page on the Azure site.
Domaines de sécurité séparésSeparated security domains Azure Key Vault utilise des domaines de sécurité distincts pour ses centres de données dans des régions comme Amérique du Nord, la zone EMEA (Europe, Moyen-Orient et Afrique) et l’Asie.Azure Key Vault uses separate security domains for its data centers in regions such as North America, EMEA (Europe, Middle East and Africa), and Asia.

Azure Key Vault utilise aussi différentes instances d’Azure, comme Microsoft Azure Allemagne et Azure Government.Azure Key Vault also uses different instances of Azure, such as Microsoft Azure Germany, and Azure Government.
Expérience unifiéeUnified experience Azure Key Vault permet également aux administrateurs de sécurité de stocker, d’accéder et de gérer les certificats et les secrets, tels que les mots de passe, pour les autres services qui utilisent le chiffrement.Azure Key Vault also enables security administrators to store, access, and manage certificates and secrets, such as passwords, for other services that use encryption.

L’utilisation de Azure Key Vault pour vos clés de locataire offre une expérience utilisateur transparente pour les administrateurs qui gèrent tous ces éléments.Using Azure Key Vault for your tenant keys provides a seamless user experience for administrators who manage all of these elements.

Pour obtenir les dernières mises à jour et découvrir comment d’autres services utilisent Azure Key Vault, visitez le blog de l' équipe Azure Key Vault.For the latest updates and to learn how other services use Azure Key Vault, visit the Azure Key Vault team blog.

Journalisation de l’utilisation pour BYOKUsage logging for BYOK

Les journaux d’utilisation sont générés par chaque application qui effectue des demandes au service Azure Rights Management.Usage logs are generated by every application that makes requests to the Azure Rights Management service.

Bien que la journalisation de l’utilisation soit facultative, nous vous recommandons d’utiliser les journaux d’utilisation quasiment en temps réel à partir de Azure Information Protection pour voir exactement comment et quand votre clé de locataire est utilisée.Although usage logging is optional, we recommend using the near real-time usage logs from Azure Information Protection to see exactly how and when your tenant key is being used.

Pour plus d’informations sur la journalisation de l’utilisation de la clé pour BYOK, consultez journalisation et analyse de l’utilisation de la protection à partir de Azure information protection.For more information about key usage logging for BYOK, see Logging and analyzing the protection usage from Azure Information Protection.

Conseil

Pour des assurances supplémentaires, Azure Information Protection la journalisation de l’utilisation peut être référencée avec la journalisation Azure Key Vault.For additional assurance, Azure Information Protection usage logging can be cross referenced with Azure Key Vault logging. Les journaux de Key Vault fournissent une méthode fiable pour surveiller indépendamment que votre clé est utilisée uniquement par le service Azure Rights Management.Key Vault logs provide a reliable method to independently monitor that your key is only used by Azure Rights Management service.

Si nécessaire, révoquez immédiatement l’accès à votre clé en supprimant les autorisations sur le coffre de clés.If necessary, immediately revoke access to your key by removing permissions on the key vault.

Options pour la création et le stockage de votre cléOptions for creating and storing your key

BYOK prend en charge les clés créées dans Azure Key Vault ou localement.BYOK supports keys that are created either in Azure Key Vault or on-premises.

Si vous créez votre clé localement, vous devez ensuite la transférer ou l’importer dans votre Key Vault et configurer Azure Information Protection pour utiliser la clé.If you create your key on-premises, you must then transfer or import it into your Key Vault and configure Azure Information Protection to use the key. Effectuez une gestion des clés supplémentaire à partir de Azure Key Vault.Perform any additional key management from within Azure Key Vault.

Options pour créer et stocker votre propre clé :Options to create and store your own key:

  • Créé dans Azure Key Vault.Created in Azure Key Vault. Créez et stockez votre clé dans Azure Key Vault en tant que clé protégée par HSM ou clé protégée par logiciel.Create and store your key in Azure Key Vault as an HSM-protected key or a software-protected key.

  • Créé localement.Created on-premises. Créez votre clé locale et transférez-la vers Azure Key Vault à l’aide de l’une des options suivantes :Create your key on-premises and transfer it to Azure Key Vault using one of the following options:

    • Clé protégée par HSM, transférée en tant que clé protégée par HSM.HSM-protected key, transferred as an HSM-protected key. Méthode la plus courante choisie.The most typical method chosen.

      Bien que cette méthode présente la surcharge administrative la plus importante, votre organisation peut être amenée à suivre des réglementations spécifiques.While this method has the most administrative overhead, it may be required for your organization to follow specific regulations. Les modules HSM utilisés par Azure Key Vault sont validés par le niveau 2 de FIPS 140-2.The HSMs used by Azure Key Vault are FIPS 140-2 Level 2 validated.

    • Clé protégée par logiciel qui est convertie et transférée vers Azure Key Vault en tant que clé protégée par HSM.Software-protected key that is converted and transferred to Azure Key Vault as an HSM-protected key. Cette méthode est prise en charge uniquement lors de la migration à partir de services AD RMS (Active Directory Rights Management Services) (AD RMS).This method is supported only when migrating from Active Directory Rights Management Services (AD RMS).

    • Créé en local en tant que clé protégée par logiciel et transféré vers Azure Key Vault en tant que clé protégée par logiciel.Created on-premises as a software-protected key and transferred to Azure Key Vault as a software-protected key. Cette méthode requiert un. Fichier de certificat PFX.This method requires a .PFX certificate file.

Par exemple, procédez comme suit pour utiliser une clé créée localement :For example, do the following to use a key created on-premises:

  1. Générez votre clé de locataire dans vos locaux, conformément aux stratégies informatiques et de sécurité de votre organisation.Generate your tenant key on your premises, in line with your organization's IT and security policies. Cette clé est la copie maître.This key is the master copy. Il reste en local et vous êtes requis pour sa sauvegarde.It remains on-premises, and you are required for its backup.

  2. Créez une copie de la clé principale et transférez-la en toute sécurité de votre HSM vers Azure Key Vault.Create a copy of the master key, and securely transfer it from your HSM to Azure Key Vault. Tout au long de ce processus, la copie principale de la clé ne laisse jamais la limite de protection matérielle.Throughout this process, the master copy of the key never leaves the hardware protection boundary.

Une fois le transfert effectué, la copie de la clé est protégée par Azure Key Vault.Once transferred, the copy of the key is protected by Azure Key Vault.

Exportation de votre trusted publishing domainExporting your trusted publishing domain

Si vous décidez de ne plus utiliser Azure Information Protection, vous aurez besoin d’un trusted publishing domain (TPD) pour déchiffrer le contenu protégé par Azure Information Protection.If you ever decide to stop using Azure Information Protection, you'll need a trusted publishing domain (TPD) to decrypt content that was protected by Azure Information Protection.

Toutefois, l’exportation de votre TPD n’est pas prise en charge si vous utilisez BYOK pour votre clé de Azure Information Protection.However, exporting your TPD isn't supported if you're using BYOK for your Azure Information Protection key.

Pour préparer ce scénario, veillez à créer un TPD approprié à l’avance.To prepare for this scenario, make sure to create a suitable TPD ahead of time. Pour plus d’informations, consultez la section Préparation d’un plan de sortie du Cloud Azure information protection.For more information, see How to prepare an Azure Information Protection "Cloud Exit" plan.

Implémentation de BYOK pour votre clé de locataire Azure Information ProtectionImplementing BYOK for your Azure Information Protection tenant key

Utilisez les étapes suivantes pour implémenter BYOK :Use the following steps to implement BYOK:

  1. Passer en revue les conditions préalables BYOKReview BYOK prerequisites
  2. Choisir un emplacement de Key VaultChoose a Key Vault location
  3. Créer et configurer votre cléCreate and configure your key

Configuration requise pour BYOKPrerequisites for BYOK

Les conditions préalables de BYOK varient en fonction de la configuration de votre système.BYOK prerequisites vary, depending on your system configuration. Vérifiez que votre système est conforme aux conditions préalables suivantes, si nécessaire :Verify that your system complies with the following prerequisites as needed:

Condition requiseRequirement DescriptionDescription
Abonnement AzureAzure subscription Obligatoire pour toutes les configurations.Required for all configurations.
Pour plus d’informations, consultez vérifier que vous disposez d’un abonnement Azure compatible avec BYOK.For more information, see Verifying that you have a BYOK-compatible Azure subscription.
Module PowerShell AIPService pour Azure Information ProtectionAIPService PowerShell module for Azure Information Protection Obligatoire pour toutes les configurations.Required for all configurations.
Pour plus d’informations, consultez installation du module PowerShell AIPService.For more information, see Installing the AIPService PowerShell module.
Conditions préalables Azure Key Vault pour BYOKAzure Key Vault prerequisites for BYOK Si vous utilisez une clé protégée par HSM qui a été créée en local, assurez-vous que vous êtes également conforme aux prérequis pour les BYOK répertoriés dans la documentation Azure Key Vault.If you are using an HSM-protected key that was created on-premises, ensure that you also comply with the prerequisites for BYOK listed in the Azure Key Vault documentation.
Microprogramme Thales version 11,62Thales firmware version 11.62 Vous devez disposer de la version 11,62 du microprogramme de Thales si vous effectuez une migration à partir de AD RMS vers Azure Information Protection en utilisant une clé logicielle pour la clé matérielle et que vous utilisez le microprogramme Thales pour votre HSM.You must have a Thales firmware version of 11.62 if you are migrating from AD RMS to Azure Information Protection by using software key to hardware key and are using Thales firmware for your HSM.
Contournement du pare-feu pour les services Microsoft approuvésFirewall bypass for trusted Microsoft services Si le coffre de clés qui contient votre clé de locataire utilise des points de terminaison de service de réseau virtuel pour Azure Key Vault, vous devez autoriser les services Microsoft approuvés à contourner ce pare-feu.If the key vault that contains your tenant key uses Virtual Network Service Endpoints for Azure Key Vault, you must allow trusted Microsoft services to bypass this firewall.
Pour plus d’informations, consultez Points de terminaison du service de réseau virtuel pour Azure Key Vault.For more information, see Virtual Network Service Endpoints for Azure Key Vault.

Vérification que vous disposez d’un abonnement Azure compatible avec BYOKVerifying that you have a BYOK-compatible Azure subscription

Votre locataire Azure Information Protection doit avoir un abonnement Azure.Your Azure Information Protection tenant must have an Azure subscription. Si vous n’en avez pas encore, vous pouvez vous inscrire pour obtenir un compte gratuit.If you don't have one yet, you can sign up for a free account. Toutefois, pour utiliser une clé protégée par HSM, vous devez disposer de la Azure Key Vault niveau de service Premium.However, to use an HSM-protected key, you must have the Azure Key Vault Premium service tier.

L’abonnement Azure gratuit qui fournit l’accès à la configuration de Azure Active Directory et à la configuration du modèle personnalisé Azure Rights Management n’est pas suffisant pour l’utilisation de Azure Key Vault.The free Azure subscription that provides access to Azure Active Directory configuration and Azure Rights Management custom template configuration is not sufficient for using Azure Key Vault.

Pour vérifier si vous disposez d’un abonnement Azure compatible avec BYOK, procédez comme suit pour vérifier, à l’aide des applets de commande Azure PowerShell :To confirm whether you have an Azure subscription that is compatible with BYOK, do the following to verify, using Azure PowerShell cmdlets:

  1. Démarrez une session Azure PowerShell en tant qu’administrateur.Start an Azure PowerShell session as an administrator.

  2. Connectez-vous en tant qu’administrateur général pour votre locataire Azure Information Protection à l’aide de Connect-AzAccount .Sign in as a global admin for your Azure Information Protection tenant using Connect-AzAccount.

  3. Copiez le jeton affiché dans le presse-papiers.Copy the token displayed to your clipboard. Ensuite, dans un navigateur, accédez à https://microsoft.com/devicelogin et entrez le jeton copié.Then, in a browser, go to https://microsoft.com/devicelogin and enter the copied token.

    Pour plus d’informations, consultez se connecter avec Azure PowerShell.For more information, see Sign in with Azure PowerShell.

  4. Dans votre session PowerShell, entrez Get-AzSubscription et vérifiez que les valeurs suivantes s’affichent :In your PowerShell session, enter Get-AzSubscription, and confirm that the following values are displayed:

    • Le nom et l’ID de votre abonnementYour subscription name and ID
    • Votre ID de locataire Azure Information ProtectionYour Azure Information Protection tenant ID
    • Confirmation que l’État est activéConfirmation that the state is enabled

    Si aucune valeur n’est affichée et que vous revenez à l’invite, vous ne disposez pas d’un abonnement Azure qui peut être utilisé pour BYOK.If no values are displayed and you are returned to the prompt, you do not have an Azure subscription that can be used for BYOK.

Choix de l’emplacement de votre coffre de clésChoosing your key vault location

Quand vous créez un coffre de clés pour contenir la clé à utiliser comme votre clé de locataire pour Azure Information Protection, vous devez spécifier un emplacement.When you create a key vault to contain the key to be used as your tenant key for Azure Information, you must specify a location. Cet emplacement est une région Azure ou une instance Azure.This location is an Azure region, or Azure instance.

Faites votre choix en tenant d’abord compte de la conformité, et ensuite pour minimiser la latence réseau :Make your choice first for compliance, and then to minimize network latency:

  • Si vous avez choisi la méthode de clé BYOK pour des raisons de conformité, ces exigences de conformité peuvent également imposer la région ou l’instance Azure qui peut être utilisée pour stocker votre clé de locataire Azure Information Protection.If you have chosen the BYOK key method for compliance reasons, those compliance requirements might also mandate which Azure region or instance can be used to store your Azure Information Protection tenant key.

  • Tous les appels de chiffrement de la chaîne de protection à votre clé de Azure Information Protection.All cryptographic calls for protection chain to your Azure Information Protection key. Par conséquent, vous souhaiterez peut-être réduire la latence réseau requise par ces appels en créant votre coffre de clés dans la même région ou instance Azure que votre locataire Azure Information Protection.Therefore, you may want to minimize the network latency these calls require by creating your key vault in the same Azure region or instance as your Azure Information Protection tenant.

Pour identifier l’emplacement de votre locataire Azure Information Protection, utilisez l’applet de commande PowerShell AipServiceConfiguration et identifiez la région à partir des URL.To identify the location of your Azure Information Protection tenant, use the Get-AipServiceConfiguration PowerShell cmdlet and identify the region from the URLs. Par exemple :For example:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

La région est identifiable dans rms.na.aadrm.com et pour cet exemple, elle est North America (Amérique du Nord).The region is identifiable from rms.na.aadrm.com, and for this example, it is in North America.

Le tableau suivant répertorie les régions et les instances Azure recommandées pour minimiser la latence du réseau :The following table lists recommended Azure regions and instances for minimizing network latency:

Région ou instance AzureAzure region or instance Emplacement recommandé pour votre coffre de clésRecommended location for your key vault
rms.na.aadrm.comrms.na.aadrm.com USA Centre Nord ou USA EstNorth Central US or East US
rms.eu.aadrm.comrms.eu.aadrm.com Europe du Nord ou Europe de l' OuestNorth Europe or West Europe
rms.ap.aadrm.comrms.ap.aadrm.com Asie est ou Asie du Sud -estEast Asia or Southeast Asia
rms.sa.aadrm.comrms.sa.aadrm.com USA Ouest ou USA EstWest US or East US
rms.govus.aadrm.comrms.govus.aadrm.com USA Centre ou USA Est 2Central US or East US 2
RMS.aadrm.usrms.aadrm.us US gov Virginie ou US gov ArizonaUS Gov Virginia or US Gov Arizona
RMS.aadrm.CNrms.aadrm.cn Chine est 2 ou Chine Nord 2China East 2 or China North 2

Créer et configurer votre cléCreate and configure your key

Créez un Azure Key Vault et la clé que vous souhaitez utiliser pour Azure Information Protection.Create an Azure Key Vault and the key you want to use for Azure Information Protection. Pour plus d’informations, consultez la documentation Azure Key Vault.For more information, see the Azure Key Vault documentation.

Notez les points suivants pour configurer votre Azure Key Vault et votre clé pour BYOK :Note the following for configuring your Azure Key Vault and key for BYOK:

Exigences relatives à la longueur de cléKey length requirements

Lors de la création de votre clé, assurez-vous que la longueur de la clé est soit 2048 bits (recommandé), soit 1024 bits.When creating your key, make sure that the key length is either 2048 bits (recommended) or 1024 bits. Les autres longueurs de clé ne sont pas prises en charge par Azure Information Protection.Other key lengths are not supported by Azure Information Protection.

Notes

les clés 1024 bits ne sont pas considérées comme offrant un niveau de protection adéquat pour les clés de locataire actives.1024-bit keys are not considered to offer an adequate level of protection for active tenant keys.

Microsoft n’approuve pas l’utilisation de longueurs de clé inférieures, telles que les clés RSA 1024 bits, et l’utilisation associée de protocoles qui offrent des niveaux de protection inadéquats, tels que SHA-1.Microsoft doesn't endorse the use of lower key lengths, such as 1024-bit RSA keys, and the associated use of protocols that offer inadequate levels of protection, such as SHA-1.

Création d’une clé protégée par HSM localement et transfert de celle-ci vers votre coffre de clésCreating an HSM-protected key on-premises and transferring it to your key vault

Pour créer une clé protégée par HSM localement et la transférer vers votre coffre de clés en tant que clé protégée par HSM, suivez les procédures décrites dans la documentation de Azure Key Vault : génération et transfert de clés protégées par HSM pour les Azure Key Vault.To create an HSM-protected key on-premises and transfer it to your key vault as an HSM-protected key, follow the procedures in the Azure Key Vault documentation: How to generate and transfer HSM-protected keys for Azure Key Vault.

Pour que Azure Information Protection utilise la clé transférée, toutes les opérations de Key Vault doivent être autorisées pour la clé, notamment :For Azure Information Protection to use the transferred key, all Key Vault operations must be permitted for the key, including:

  • encryptencrypt
  • decryptdecrypt
  • wrapKeywrapKey
  • unwrapKeyunwrapKey
  • signsign
  • verifyverify

Par défaut, toutes les opérations de Key Vault sont autorisées.By default, all Key Vault operations are permitted.

Pour vérifier les opérations autorisées pour une clé spécifique, exécutez la commande PowerShell suivante :To check the permitted operations for a specific key, run the following PowerShell command:

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

Si nécessaire, ajoutez des opérations autorisées à l’aide de Update-AzKeyVaultKey et du paramètre KeyOps .If necessary, add permitted operations by using Update-AzKeyVaultKey and the KeyOps parameter.

Configuration de Azure Information Protection avec votre ID de cléConfiguring Azure Information Protection with your key ID

Les clés stockées dans le Azure Key Vault ont chacune un ID de clé.Keys stored in the Azure Key Vault each have a key ID.

L’ID de clé est une URL qui contient le nom du coffre de clés, le conteneur de clés, le nom de la clé et la version de la clé.The key ID is a URL that contains the name of the key vault, the keys container, the name of the key, and the key version. Par exemple :For example:

https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.

Configurez Azure Information Protection pour utiliser votre clé en spécifiant son URL de coffre de clés.Configure Azure Information Protection to use your key by specifying its key vault URL.

Autorisation du service Azure Rights Management pour utiliser votre cléAuthorizing the Azure Rights Management service to use your key

Le service de Rights Management Azure doit être autorisé à utiliser votre clé.The Azure Rights Management service must be authorized to use your key. Azure Key Vault administrateurs peuvent activer cette autorisation à l’aide de l’Portail Azure ou Azure PowerShell.Azure Key Vault administrators can enable this authorization using the Azure portal or Azure PowerShell.

Activation de l’autorisation de clé à l’aide de l’Portail AzureEnabling key authorization using the Azure portal
  1. Connectez-vous au portail Azure et accédez à clés coffresd' > <your key vault name> > accès stratégies d’accès > Ajouter nouveau.Sign in to the Azure portal, and go to Key vaults > <your key vault name> > Access policies > Add new.

  2. Dans le volet Ajouter une stratégie d’accès , dans la zone de liste configurer à partir d’un modèle (facultatif) , sélectionnez Azure information protection BYOK, puis cliquez sur OK.From the Add access policy pane, from the Configure from template (optional) list box, select Azure Information Protection BYOK, and then click OK.

    Le modèle sélectionné a la configuration suivante :The selected template has the following configuration:

    • La valeur de l' entité de sélection est définie sur services Microsoft Rights Management.The Select principal value is set to Microsoft Rights Management Services.
    • Les autorisations de clé sélectionnées incluent les autorisations d' extraction, de déchiffrement et de signature.Selected key permissions include Get, Decrypt, and Sign.
Activation de l’autorisation de clé à l’aide de PowerShellEnabling key authorization using PowerShell

Exécutez l’applet de commande PowerShell Key Vault, Set-AzKeyVaultAccessPolicyet accordez des autorisations au principal du service Azure Rights Management à l’aide du GUID 00000012-0000-0000-C000-000000000000.Run the Key Vault PowerShell cmdlet, Set-AzKeyVaultAccessPolicy, and grant permissions to the Azure Rights Management service principal using the GUID 00000012-0000-0000-c000-000000000000.

Par exemple :For example:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get

Configurer Azure Information Protection pour utiliser votre cléConfigure Azure Information Protection to use your key

Une fois que vous avez terminé toutes les étapes ci-dessus, vous êtes prêt à configurer Azure Information Protection pour utiliser cette clé comme clé de locataire de votre organisation.Once you've completed all of the steps above, you're ready to configure Azure Information Protection to use this key as your organization's tenant key.

À l’aide des applets de commande Azure RMS, exécutez les commandes suivantes :Using Azure RMS cmdlets, run the following commands:

  1. Connectez-vous au service Azure Rights Management et connectez-vous :Connect to the Azure Rights Management service and sign in:

    Connect-AipService
    
  2. Exécutez l' applet de commande use-AipServiceKeyVaultKey, en spécifiant l’URL de la clé.Run the Use-AipServiceKeyVaultKey cmdlet, specifying the key URL. Par exemple :For example:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
    

    Important

    Dans cet exemple, <key-version> est la version de la clé que vous souhaitez utiliser.In this example, <key-version> is the version of the key you want to use. Si vous ne spécifiez pas la version, la version actuelle de la clé est utilisée par défaut, et la commande peut sembler fonctionner.If you do not specify the version, the current version of the key is used by default, and the command may appear to work. Toutefois, si votre clé est mise à jour ou renouvelée ultérieurement, le service Azure Rights Management cessera de fonctionner pour votre locataire, même si vous exécutez à nouveau la commande use-AipServiceKeyVaultKey .However, if your key is later updated or renewed, the Azure Rights Management service will stop working for your tenant, even if you run the Use-AipServiceKeyVaultKey command again.

    Utilisez la commande AzKeyVaultKey en fonction des besoins pour connaître le numéro de version de la clé actuelle.Use the Get-AzKeyVaultKey command as needed to get the version number of the current key.

    Par exemple : Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'For example: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    Pour confirmer que l’URL de la clé est définie correctement pour Azure Information Protection, exécutez la commande AzKeyVaultKey dans le Azure Key Vault pour afficher l’URL de la clé.To confirm that the key URL is set correctly for Azure Information Protection, run the Get-AzKeyVaultKey command in the Azure Key Vault to display the key URL.

  3. Si le service Azure Rights Management est déjà activé, exécutez Set-AipServiceKeyProperties pour indiquer à Azure information protection d’utiliser cette clé comme clé de locataire active pour le service de Rights Management Azure.If the Azure Rights Management service is already activated, run Set-AipServiceKeyProperties to tell Azure Information Protection to use this key as the active tenant key for the Azure Rights Management service.

Azure Information Protection est maintenant configurée pour utiliser votre clé au lieu de la clé créée par défaut par Microsoft qui a été créée automatiquement pour votre locataire.Azure Information Protection is now configured to use your key instead of the default Microsoft-created key that was automatically created for your tenant.

Étapes suivantesNext steps

Une fois que vous avez configuré la protection BYOK, passez à la section prise en main de votre clé racine de locataire pour plus d’informations sur l’utilisation et la gestion de votre clé.Once you've configured BYOK protection, continue to Getting started with your tenant root key for more information about using and managing your key.