2. lépés: A HSM által védett kulcs a HSM által védett kulcs áttelepítése során

A következőkrevonatkozik: Active Directory Rights Management Services, Azure Information Protection

Releváns:: AIP egyesített címkéző ügyfélprogram és klasszikus ügyfélprogram

Megjegyzés

Az egységes és zökkenőmentes ügyfélélmény érdekében 2021. március 31-énelavult az Azure Information Protection klasszikus ügyfélprogramja és az Azure Portal címkekezelés szolgáltatása. A klasszikus ügyfélprogramhoz nem biztosítunk további támogatást, és a karbantartási verziók a továbbiakban nem lesznek elérhetőek.

A klasszikus ügyfél hivatalosan is kivezetve lesz, és 2022. március 31-én meg fog állni.

Az Azure Information Protection összes klasszikus ügyfélalkalmazásának át kell áttelepítést Microsoft-információvédelem egyesített címkeplatformra, és frissítenie kell az egyesített címkéző ügyfélalkalmazásra. További információt az áttelepítési blogunkban talál.

Ezek az utasítások az AD RMS-tőlaz Azure Information Protectionig vezető áttelepítési útvonal részei, és csak akkor alkalmazhatók, ha az AD RMS-kulcs HSM-védelemmel rendelkezik, és azure-kulcstárban HSM-védelemmel védett bérlői kulccsal szeretne áttérni az Azure Information Protection szolgáltatásra.

Ha nem ezt a konfigurációt választotta, lépjen vissza a 4. lépésre. Exportálja a konfigurációs adatokat az AD RMS szolgáltatásból, és importálja az Azure RMS-be, és válasszon másik konfigurációt.

Megjegyzés

Az alábbi utasítások feltételezik, hogy az AD RMS-kulcs modulvédelem alatt áll. Ez a leggyakoribb eset.

Két részből áll a HSM-kulcs és az AD RMS-konfiguráció importálása az Azure Information Protectionbe, így az Ön által kezelt Azure Information Protection bérlői kulcsot (BYOK) kell eredményül vennie.

Mivel az Azure Information Protection bérlői kulcsát az Azure Kulcstár tárolja és kezeli, az áttelepítésnek ez a része az Azure Information Protection mellett az Azure Kulcstárban is felügyeletet igényel. Ha az Azure-kulcstárat öntől eltérő rendszergazda kezeli a szervezetében, akkor az eljárások 4. során együtt kell működnie és együtt kell működnie a rendszergazdával.

Mielőtt hozzákezd, győződjön meg arról, hogy a szervezet rendelkezik az Azure Kulcstárban létrehozott kulcstárral, és támogatja a HSM által védett kulcsokat. Bár nem kötelező, azt javasoljuk, hogy az Azure Information Protection számára egy külön kulcstárat biztosít. Ez a kulcstár úgy lesz konfigurálva, hogy a Azure Tartalomvédelmi szolgáltatások szolgáltatás hozzáférjen a szolgáltatáshoz, így a kulcstárban tárolt kulcsokat csak az Azure Information Protection kulcsait kell korlátozni.

Tipp

Ha az Azure kulcstár konfigurációs lépéseit követve nem ismeri ezt az Azure-szolgáltatást, hasznosnak találhatja, ha először áttekinti az Első lépések az Azure Kulcstárbanrészt.

1. rész: A HSM-kulcs átvitele az Azure-kulcstárba

Ezeket az eljárásokat az Azure kulcstár rendszergazdája végez el.

  1. Az Azure-kulcstárban tárolni kívánt minden egyes exportált SLC-kulcs esetén kövesse az Azure Key Vault dokumentációjának utasításait a Következő kivételtől eltekintve hozza magával a saját kulcsát (BYOK) az Azure Kulcstárhoz:

    • Ne kövesse a Bérlőikulcs létrehozása lépéseit, mert már rendelkezik a megfelelővel az AD RMS-telepítésből. Ehelyett azonosítsa az AD RMS-kiszolgáló által használt kulcsokat az nCipher-telepítésből, és készítse elő ezeket a kulcsokat az átvitelhez, majd ruházhatja át őket az Azure-kulcstárba.

      Az nCipher titkosított kulcsfájljának neve key_ kulcsAppName _ <<> helyileg a kiszolgálón. Például: C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54 . A KeyTransferRemote parancs futtatásakor szüksége lesz az mscapi értékre mint a keyAppName kulcsra, valamint a saját értékére a kulcshoz, ha a kulcsról másolatot hoz létre korlátozott engedélyekkel.

      Amikor a kulcs feltölti az Azure Kulcstárba, látni fogja a kulcs tulajdonságait, amely tartalmazza a kulcsazonosítót. A https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Jegyezze fel ezt az URL-címet, mert az Azure Information Protection rendszergazdájának meg kell mondania a Azure Tartalomvédelmi szolgáltatások szolgáltatásnak, hogy ezt a kulcsot használja a bérlői kulcshoz.

  2. Az internethez csatlakozó munkaállomáson PowerShell-munkamenetben a Set-AzKeyVaultAccessPolicy parancsmag használatával engedélyezze az Azure Tartalomvédelmi szolgáltatások szolgáltatásnévnek az Azure Information Protection bérlői kulcsát tároló kulcstár eléréséhez. A szükséges engedélyek a visszafejtés, a titkosítás, a unwrapkey, a wrapkey, az ellenőrzés és az aláírás.

    Ha például az Azure Information Protection szolgáltatáshoz létrehozott kulcstár neve contoso-byok-ky, és az erőforráscsoport neve contoso-byok-rg, futtassa az alábbi parancsot:

    Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
    

Most, hogy már előkészítette az Azure-kulcstárban az Azure Information Protection Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz szükséges HSM-kulcsot, készen áll az AD RMS konfigurációs adatainak importálására.

2. rész: A konfigurációs adatok importálása az Azure Information Protectionbe

Ezeket az eljárásokat az Azure Information Protection rendszergazdája végez el.

  1. Az internet-csatlakozású munkaállomáson és a PowerShell-munkamenetben a Azure Tartalomvédelmi szolgáltatások-AipService parancsmag használatával csatlakozzon a Csatlakozás-AipService parancsmag használatával.

    Ezután töltse fel az egyes megbízható közzétételi tartományfájlokat (.xml az Import-AipServiceTpd parancsmag használatával. Ha például frissítette az AD RMS-fürtöt titkosítási módra, legalább egy további fájlt importálni kell.

    A parancsmag futtatásához szüksége van az egyes konfigurációs adatfájlhoz korábban megadott jelszóra, valamint az előző lépésben azonosított kulcs URL-címére.

    Ha például egy "C:\contoso-tpd1.xml" konfigurációs adatfájlt és az előző lépéshez tartozó legfontosabb URL-értéket használja, először futtassa az alábbiakat a jelszó tárolására:

     $TPD_Password = Read-Host -AsSecureString
    

    Adja meg a konfigurációs adatfájl exportálásához megadott jelszót. Ezután futtassa az alábbi parancsot, és győződjön meg arról, hogy végre szeretné ezt a műveletet:

    Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    Az importálás részeként az SLC-kulcs importálása megtörténik, és automatikusan archiváltként lesz beállítva.

  2. Miután feltöltötte az egyes fájlokat, a Set-AipServiceKeyProperties futtatásával adja meg, hogy melyik importált kulcs egyezést adjon meg az AD RMS-fürt jelenleg aktív SLC kulcsával. Ez a kulcs lesz a bérlői szolgáltatás aktív Azure Tartalomvédelmi szolgáltatások számára.

  3. A Disconnect-AipServiceService parancsmag használatával bontsa a kapcsolatot a Azure Tartalomvédelmi szolgáltatások szolgáltatással:

    Disconnect-AipServiceService
    

Ha később meg kell erősítenie, hogy az Azure Information Protection bérlőkulcsa melyik kulcsot használja az Azure kulcstárban, használja a Get-AipServiceKeys Azure RMS parancsmagot.

Most már készen áll az 5. lépésre. Aktiválja a Azure Tartalomvédelmi szolgáltatások szolgáltatást.