Étape 2 : Migration de clé protégée par HSM à clé protégée par HSMStep 2: HSM-protected key to HSM-protected key migration

S’applique à : Services AD RMS (Active Directory Rights Management Services), Azure Information ProtectionApplies to: Active Directory Rights Management Services, Azure Information Protection

Ces instructions font partie du chemin de migration d’AD RMS vers Azure Information Protection. Elles s’appliquent uniquement si votre clé AD RMS est protégée par HSM et que vous souhaitez procéder à la migration vers Azure Information Protection avec une clé de locataire protégée par HSM dans Azure Key Vault.These instructions are part of the migration path from AD RMS to Azure Information Protection, and are applicable only if your AD RMS key is HSM-protected and you want to migrate to Azure Information Protection with a HSM-protected tenant key in Azure Key Vault.

Si ce n’est pas le scénario de configuration que vous avez choisi, revenez à l’Étape 4. Exporter les données de configuration d’AD RMS, puis les importer dans Azure RMS et choisissez une configuration différente.If this is not your chosen configuration scenario, go back to Step 4. Export configuration data from AD RMS and import it to Azure RMS and choose a different configuration.

Note

Ces instructions supposent que votre clé AD RMS est protégée par module.These instructions assume your AD RMS key is module-protected. Il s’agit du cas le plus classique.This is the most typical case.

Cette procédure en deux parties permet d’importer votre clé HSM et votre configuration AD RMS dans Azure Information Protection pour que votre clé de locataire Azure Information Protection soit gérée par l’utilisateur (BYOK).It’s a two-part procedure to import your HSM key and AD RMS configuration to Azure Information Protection, to result in your Azure Information Protection tenant key that is managed by you (BYOK).

Comme votre clé de locataire Azure Information Protection est stockée et gérée par Azure Key Vault, cette partie de la migration nécessite une administration dans Azure Key Vault, en plus d’Azure Information Protection.Because your Azure Information Protection tenant key will be stored and managed by Azure Key Vault, this part of the migration requires administration in Azure Key Vault, in addition to Azure Information Protection. Si Azure Key Vault est géré par un autre administrateur que celui de votre organisation, vous devez coordonner et travailler avec cet administrateur pour effectuer ces procédures.If Azure Key Vault is managed by a different administrator than you for your organization, you must co-ordinate and work with that administrator to complete these procedures.

Avant de commencer, vérifiez que votre organisation dispose d’un coffre de clés qui a été créé dans Azure Key Vault et qu’il prend en charge les clés protégées par HSM.Before you begin, make sure that your organization has a key vault that has been created in Azure Key Vault, and that it supports HSM-protected keys. Bien que ce ne soit pas obligatoire, nous vous recommandons d’avoir un coffre de clés dédié pour Azure Information Protection.Although it's not required, we recommend that you have a dedicated key vault for Azure Information Protection. Ce coffre de clés doit être configuré de façon à autoriser le service Azure Rights Management à y accéder : les clés stockées dans ce coffre de clés doivent donc être limitées aux clés Azure Information Protection.This key vault will be configured to allow the Azure Rights Management service to access it, so the keys that this key vault stores should be limited to Azure Information Protection keys only.

Conseil

Si vous effectuez les étapes de configuration pour Azure Key Vault et que vous n’êtes pas familiarisé avec ce service Azure, il peut être utile de consulter d’abord Prise en main d’Azure Key Vault.If you are doing the configuration steps for Azure Key Vault and you are not familiar with this Azure service, you might find it useful to first review Get started with Azure Key Vault.

Partie 1 : Transfert de votre clé HSM vers Azure Key VaultPart 1: Transfer your HSM key to Azure Key Vault

Ces procédures sont effectuées par l’administrateur d’Azure Key Vault.These procedures are done by the administrator for Azure Key Vault.

  1. Pour chaque clé SLC exportée que vous voulez stocker dans Azure Key Vault, suivez les instructions de la documentation d’Azure Key Vault, notamment Implémentation de BYOK pour Azure Key Vault avec l’exception suivante :For each exported SLC key that you want to store in Azure Key Vault, follow the instructions from the Azure Key Vault documentation, using Implementing bring your own key (BYOK) for Azure Key Vault with the following exception:

    • N’effectuez pas les étapes pour Générer votre clé de locataire car vous avez déjà l’équivalent dans votre déploiement AD RMS.Do not do the steps for Generate your tenant key, because you already have the equivalent from your AD RMS deployment. Identifiez plutôt la clé utilisée par votre serveur AD RMS dans l’installation Thales et utilisez cette clé lors de la migration.Instead, identify the key used by your AD RMS server from the Thales installation and use this key during the migration. Les fichiers de clés chiffrées Thales sont généralement nommés key<nom_application_clé><identificateur_clé> localement sur le serveur.Thales encrypted key files are usually named key<keyAppName><keyIdentifier> locally on the server.

      Quand la clé se charge dans Azure Key Vault, vous voyez s’afficher les propriétés de la clé, notamment l’ID de clé.When the key uploads to Azure Key Vault, you see the properties of the key displayed, which includes the key ID. Elle est similaire à ceci : https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.It will look similar to https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Prenez note de cette URL, car l’administrateur Azure Information Protection en a besoin pour indiquer au service Azure Rights Management d’utiliser cette clé pour sa clé de locataire.Make a note of this URL because the Azure Information Protection administrator needs it to tell the Azure Rights Management service to use this key for its tenant key.

  2. Sur la station de travail connectée à Internet, dans une session PowerShell, utilisez l’applet de commande Set-AzureRmKeyVaultAccessPolicy pour autoriser le principal du service Azure Rights Management à accéder au Key Vault qui stocke la clé de locataire Azure Information Protection.On the Internet-connected workstation, in a PowerShell session, use the Set-AzureRmKeyVaultAccessPolicy cmdlet to authorize the Azure Rights Management service principal to access the key vault that will store the Azure Information Protection tenant key. Les autorisations nécessaires sont déchiffrer, chiffrer, désencapsuler la clé (unwrapkey), encapsuler la clé (wrapkey), vérifier et signer.The permissions required are decrypt, encrypt, unwrapkey, wrapkey, verify, and sign.

    Par exemple, si le coffre de clés que vous avez créé pour Azure Information Protection est nommé contoso-byok-ky et que votre groupe de ressources est nommé contoso-byok-rg, exécutez la commande suivante :For example, if the key vault that you have created for Azure Information Protection is named contoso-byok-ky, and your resource group is named contoso-byok-rg, run the following command:

     Set-AzureRmKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get
    

Maintenant que vous avez préparé votre clé HSM dans Azure Key Vault pour le service Azure Rights Management d’Azure Information Protection, vous êtes prêt à importer vos données de configuration AD RMS.Now that you’ve prepared your HSM key in Azure Key Vault for the Azure Rights Management service from Azure Information Protection, you’re ready to import your AD RMS configuration data.

Partie 2 : Importer les données de configuration dans Azure Information ProtectionPart 2: Import the configuration data to Azure Information Protection

Ces procédures sont effectuées par l’administrateur d’Azure Information Protection.These procedures are done by the administrator for Azure Information Protection.

  1. Sur la station de travail connectée à Internet et dans la session PowerShell, connectez-vous au service Azure Rights Management en utilisant l’applet de commande Connnect-AadrmService.On the Internet-connect workstation and in the PowerShell session, connect to the Azure Rights Management service by using the Connnect-AadrmService cmdlet.

    Ensuite, chargez chaque fichier exporté de domaine de publication approuvé (.xml) en utilisant l’applet de commande Import-AadrmTpd.Then upload each trusted publishing domain (.xml) file, by using the Import-AadrmTpd cmdlet. Par exemple, vous devez disposer d’au moins un fichier supplémentaire à importer si vous avez mis à niveau votre cluster AD RMS pour le Mode de chiffrement 2.For example, you should have at least one additional file to import if you upgraded your AD RMS cluster for Cryptographic Mode 2.

    Pour exécuter cette applet de commande, vous avez besoin du mot de passe que vous avez spécifié précédemment pour chaque fichier de données de configuration et de l’URL de la clé qui a été identifiée à l’étape précédente.To run this cmdlet, you need the password that you specified earlier for each configuration data file, and the URL for the key that was identified in the previous step.

    Par exemple, à l’aide d’un fichier de données de configuration de C:\contoso_tpd1.xml et de l’URL de notre clé issue de l’étape précédente, exécutez d’abord la commande suivante pour stocker le mot de passe :For example, using a configuration data file of C:\contoso-tpd1.xml and our key URL value from the previous step, first run the following to store the password:

    $TPD_Password = Read-Host -AsSecureString
    

    Entrez le mot de passe que vous avez spécifié pour exporter le fichier de données de configuration.Enter the password that you specified to export the configuration data file. Ensuite, exécutez la commande suivante et confirmez que vous souhaitez effectuer cette action :Then, run the following command and confirm that you want to perform this action:

    Import-AadrmTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    Dans le cadre de cette importation, la clé SLC est importée et définie automatiquement comme archivée.As part of this import, the SLC key is imported and automatically set as archived.

  2. Lorsque vous avez chargé chaque fichier, exécutez Set-AadrmKeyProperties pour spécifier quelle clé importée correspond à la clé SLC actuellement active dans votre cluster AD RMS.When you have uploaded each file, run Set-AadrmKeyProperties to specify which imported key matches the currently active SLC key in your AD RMS cluster. Cette clé devient la clé de locataire active pour votre service Azure Rights Management.This key becomes the active tenant key for your Azure Rights Management service.

  3. Utilisez l’applet de commande Disconnect-AadrmService pour vous déconnecter du service Azure Rights Management :Use the Disconnect-AadrmService cmdlet to disconnect from the Azure Rights Management service:

    Disconnect-AadrmService
    

Si vous avez besoin ultérieurement de vérifier quelle clé est utilisée par votre clé de locataire Azure Information Protection dans Azure Key Vault, utilisez l’applet de commande Get-AadrmKeys d’Azure RMS.If you later need to confirm which key your Azure Information Protection tenant key is using in Azure Key Vault, use the Get-AadrmKeys Azure RMS cmdlet.

Vous êtes maintenant prêt à passer à l’Étape 5. Activez le service Azure Rights Management.You’re now ready to go to Step 5. Activate the Azure Rights Management service.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.