Pianificazione e implementazione della chiave del tenant di Azure Information ProtectionPlanning and implementing your Azure Information Protection tenant key

Si applica a: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Usare le informazioni presenti in questo articolo per pianificare e gestire la chiave del tenant di Azure Information Protection.Use the information in this article to help you plan for and manage your Azure Information Protection tenant key. Anziché affidare a Microsoft la gestione della chiave del tenant (impostazione predefinita), per rispettare i criteri aziendali potrebbe essere necessario, ad esempio, gestire autonomamente la propria chiave del tenantFor example, instead of Microsoft managing your tenant key (the default), you might want to manage your own tenant key to comply with specific regulations that apply to your organization. in base alla modalità BYOK (Bring Your Own Key).Managing your own tenant key is also referred to as bring your own key, or BYOK.

Che cos'è la chiave del tenant di Azure Information Protection?What is the Azure Information Protection tenant key?

  • La chiave del tenant di Azure Information Protection è una chiave radice per l'organizzazione.The Azure Information Protection tenant key is a root key for your organization. Le altre chiavi possono essere derivate dalla chiave radice, ad esempio le chiavi utente, le chiavi computer e le chiavi di crittografia dei documenti.Other keys can be derived from this root key, such as user keys, computer keys, and document encryption keys. Ogni volta che Azure Information Protection usa queste chiavi per l'organizzazione, le chiavi vengono concatenate a livello di crittografia alla chiave del tenant di Azure Information Protection.Whenever Azure Information Protection uses these keys for your organization, they cryptographically chain to your Azure Information Protection tenant key.

  • La chiave del tenant di Azure Information Protection è l'equivalente online della chiave del certificato concessore di licenze server (SLC) di Active Directory Rights Management Services (AD RMS).The Azure Information Protection tenant key is the online equivalent of the Server Licensor Certificate (SLC) key from Active Directory Rights Management Services (AD RMS).

Panoramica: Usare la tabella seguente come guida rapida per la topologia consigliata delle chiavi del tenant.At a glance: Use the following table as a quick guide to your recommended tenant key topology. Per altre informazioni, vedere quindi la documentazione aggiuntiva.Then, use the additional documentation for more information.

Requisito aziendaleBusiness requirement Topologia di chiave del tenant consigliataRecommended tenant key topology
Distribuire Azure Information Protection in modo rapido e senza hardware speciali, software aggiuntivo o una sottoscrizione di Azure.Deploy Azure Information Protection quickly and without special hardware, additional software, or an Azure subscription.

Ad esempio: esecuzione del test degli ambienti e quando l'organizzazione non ha i requisiti normativi per la gestione delle chiavi.For example: Testing environments and when your organization does not have regulatory requirements for key management.
Gestita da MicrosoftManaged by Microsoft
Normative di conformità e controllo su tutte le operazioni del ciclo di vita.Compliance regulations and control over all life cycle operations.

Ad esempio: la chiave deve essere protetta da un modulo di protezione hardware (HSM).For example: Your key must be protected by a hardware security module (HSM).
BYOKBYOK

Se necessario, è possibile modificare la topologia della chiave del tenant dopo la distribuzione, usando il cmdlet set-AipServiceKeyProperties .If required, you can change your tenant key topology after deployment, by using the Set-AipServiceKeyProperties cmdlet.

Scegliere la topologia di chiave del tenant: gestione di Microsoft (impostazione predefinita) o BYOKChoose your tenant key topology: Managed by Microsoft (the default) or managed by you (BYOK)

Individuare la topologia di chiave del tenant più adatta per l'organizzazione:Decide which tenant key topology is best for your organization:

  • Gestita da Microsoft: Microsoft genera automaticamente una chiave del tenant per l'organizzazione e questa chiave viene usata esclusivamente per Microsoft Azure Information Protection.Managed by Microsoft: Microsoft automatically generates a tenant key for your organization and this key is used exclusively for Azure Information Protection. Per impostazione predefinita, Microsoft usa questa chiave per il tenant e gestisce la maggior parte degli aspetti del ciclo di vita della chiave del tenant.By default, Microsoft uses this key for your tenant and manages most aspects of your tenant key life cycle.

    Questa opzione è quella più semplice e prevede il sovraccarico amministrativo minore.This is the simplest option with the lowest administrative overheads. Nella maggior parte dei casi non è nemmeno necessario disporre di una chiave del tenant,In most cases, you do not even need to know that you have a tenant key. ma è sufficiente iscriversi ad Azure Information Protection e la parte rimanente del processo di gestione delle chiavi viene eseguita da Microsoft.You just sign up for Azure Information Protection and the rest of the key management process is handled by Microsoft.

  • Gestita dall'utente (BYOK) : per il controllo completo sulla chiave del tenant, usare Azure Key Vault con Azure Information Protection.Managed by you (BYOK): For complete control over your tenant key, use Azure Key Vault with Azure Information Protection. Per questa topologia di chiave del tenant, la chiave viene creata direttamente in Key Vault o in locale.For this tenant key topology, you create the key, either directly in Key Vault, or create it on-premises. Se la chiave viene creata in locale, la chiave viene successivamente trasferita o importata in Key Vault.If you create it on-premises, you next transfer or import this key into Key Vault. Viene quindi configurato Azure Information Protection per l'uso della chiave che viene gestita in Azure Key Vault.You then configure Azure Information Protection to use this key, and you manage it in Azure Key Vault.

Altre informazioni su BYOKMore information about BYOK

Per creare la chiave, sono disponibili le opzioni seguenti:To create your own key, you have the following options:

  • Una chiave creata in locale e trasferita o importata in Key Vault:A key that you create on-premises and transfer or import to Key Vault:

    • Una chiave protetta dal modulo di protezione hardware creata in locale e trasferita in Key Vault come chiave protetta dal modulo di protezione hardware.An HSM-protected key that you create on-premises and transfer to Key Vault as an HSM-protected key.

    • Una chiave protetta da software creata in locale, convertita e quindi trasferita in Key Vault come chiave protetta dal modulo di protezione hardware.A software-protected key that you create on-premises, convert, and then transfer to Key Vault as an HSM-protected key. Questa opzione è supportata solo quando si esegue la migrazione da Active Directory Rights Management Services (AD RMS).This option is supported only when you migrate from Active Directory Rights Management Services (AD RMS).

    • Una chiave protetta da software creata in locale e importata in Key Vault come chiave protetta da software.A software-protected key that you create on-premises and import to Key Vault as a software-protected key. Questa opzione richiede un file di certificato PFX.This option requires a .PFX certificate file.

  • Una chiave creata in Key Vault:A key that you create in Key Vault:

    • Una chiave protetta dal modulo di protezione hardware creata in Key Vault.An HSM-protected key that you create in Key Vault.

    • Una chiave protetta da software creata in Key Vault.A software-protected key that you create in Key Vault.

Tra queste opzioni BYOK, l'opzione usata più di frequente è rappresentata da una chiave protetta dal modulo di protezione hardware creata in locale e trasferita in Key Vault come chiave protetta dal modulo di protezione hardware.Of these BYOK options, the most typical is an HSM-protected key that you create on-premises and transfer to Key Vault as an HSM-protected key. Sebbene preveda il maggior sovraccarico amministrativo, questa opzione potrebbe essere necessaria per consentire all'organizzazione di essere conforme a normative specifiche.Although this option has the greatest administrative overheads, it might be required for your organization to comply with specific regulations. I moduli di protezione hardware usati da Azure Key Vault hanno la convalida FIPS 140-2 Livello 2.The HSMs that are used by Azure Key Vault are FIPS 140-2 Level 2 validated.

e prevede lo schema seguente.With this option, the following happens:

  1. Generazione della chiave del tenant in locale, in base ai criteri IT e ai criteri di sicurezza dell'organizzazione.You generate your tenant key on your premises, in line with your IT policies and security policies. Questa chiave è la copia master.This key is the master copy. Rimane in locale e l'utente è responsabile dell'esecuzione del backup.It remains on-premises and you are responsible for backing it up.

  2. Creare una copia della chiave e trasferirla dal modulo di protezione hardware ad Azure Key Vault.You create a copy of this key, and securely transfer this copy from your HSM to Azure Key Vault. Durante il processo, la copia master della chiave non oltrepassa mai la protezione hardware.Throughout this process, the master copy of this key never leaves the hardware protection boundary.

  3. La copia della chiave è protetta da Azure Key Vault.The copy of the key is protected by Azure Key Vault.

Nota

Come misura di protezione aggiuntiva, Azure Key Vault usa domini di sicurezza separati per i propri data center in aree quali America del Nord, EMEA (Europa, Medio Oriente e Africa) e Asia.As an additional protection measure, Azure Key Vault uses separate security domains for its data centers in regions such as North America, EMEA (Europe, Middle East and Africa), and Asia. Azure Key Vault usa anche istanze diverse di Azure, ad esempio Microsoft Azure Germania e Azure per enti pubblici.Azure Key Vault also uses different instances of Azure, such as Microsoft Azure Germany, and Azure Government.

Anche se facoltativo, può essere utile usare i log di utilizzo di Azure Information Protection disponibili in tempo quasi reale per sapere esattamente come e quando viene usata la chiave del tenant.Although it’s optional, you will also probably want to use the near real-time usage logs from Azure Information Protection to see exactly how and when your tenant key is being used.

Quando si usa BYOK per la chiave del tenant Azure Information Protection, non è possibile esportare il dominio di pubblicazione trusted.When you use BYOK for your Azure Information Protection tenant key, you can't export your trusted publishing domain (TPD). Il file di pubblicazione trusted è necessario se si decide di non usare più Azure Information Protection ma deve comunque essere in grado di decrittografare il contenuto protetto da Azure Information Protection.The TPD is needed if you decide to no longer use Azure Information Protection but must still be able to decrypt content that was protected by Azure Information Protection. Per prepararsi a questo scenario creando in anticipo un valore di pubblicazione trusted appropriato, vedere le istruzioni seguenti come preparare un Azure Information Protection piano di "cloud Exit".To prepare for this scenario by creating a suitable TPD ahead of time, see the following instructions How to prepare an Azure Information Protection "Cloud Exit" plan.

Dopo aver scelto la topologia della chiave del tenantWhen you have decided your tenant key topology

Se si decide di affidare a Microsoft la gestione della chiave del tenant:If you decide to let Microsoft manage your tenant key:

  • Se non si sta eseguendo una migrazione da AD RMS, non è necessaria alcuna azione aggiuntiva per generare la chiave per il tenant ed è possibile passare direttamente alla sezione Passaggi successivi.Unless you are migrating from AD RMS, no further action is required for you to generate the key for your tenant and you can go straight to Next steps.

  • Se si usa AD RMS e si vuole passare ad Azure Information Protection, usare le istruzioni per la migrazione in Migrazione da AD RMS ad Azure Information Protection.If you currently have AD RMS and want to migrate to Azure Information Protection, use the migration instructions: Migrating from AD RMS to Azure Information Protection.

Se invece si decide di gestire in modo autonomo la propria chiave del tenant, leggere le sezioni seguenti per ottenere altre informazioni.If you decide to manage your tenant key yourself, read the following sections for more information.

Implementazione di BYOK per la chiave del tenant di Azure Information ProtectionImplementing BYOK for your Azure Information Protection tenant key

Usare le informazioni e le procedure descritte in questa sezione se si è deciso di generare e gestire la propria chiave del tenant in base allo schema BYOK.Use the information and procedures in this section if you have decided to generate and manage your tenant key; the bring your own key (BYOK) scenario:

Nota

Se si è iniziato a usare Azure Information Protection con una chiave del tenant gestita da Microsoft e si vuole gestire la chiave del tenant autonomamente (passare alla modalità BYOK), i documenti e i messaggi di posta elettronica precedentemente protetti saranno comunque accessibili tramite una chiave archiviata.If you have started to use Azure Information Protection with a tenant key that is managed by Microsoft and you now want to manage your tenant key (move to BYOK), your previously protected documents and emails will remain accessible by using an archived key.

Prerequisiti per la modalità BYOKPrerequisites for BYOK

Nella tabella seguente sono elencati i prerequisiti per la modalità BYOK.See the following table for a list of prerequisites for bring your own key (BYOK).

RequisitoRequirement Ulteriori informazioniMore information
Il tenant di Azure Information Protection deve avere una sottoscrizione di Azure.Your Azure Information Protection tenant must have an Azure subscription. Se non è disponibile una sottoscrizione, è possibile creare un account gratuito.If you do not have one, you can sign up for a free account.

Per usare una chiave protetta dal modulo di protezione hardware, è necessario avere un piano tariffario Premium di Azure Key Vault.To use an HSM-protected key, you must have the Azure Key Vault Premium service tier.
La sottoscrizione gratuita di Azure, che fornisce l'accesso per configurare Azure Active Directory e i modelli personalizzati di Azure Rights Management (Accesso ad Azure Active Directory), non è sufficiente per usare Insieme di credenziali delle chiavi di Azure.The free Azure subscription that provides access to configure Azure Active Directory and configuration of Azure Rights Management custom templates (Access to Azure Active Directory) is not sufficient to use Azure Key Vault. Per confermare di avere una sottoscrizione di Azure che è possibile usare per BYOK, usare i cmdlet di Azure PowerShell :To confirm that you have an Azure subscription that you can use for BYOK, use Azure PowerShell cmdlets:

1. avviare una sessione di Azure PowerShell con l'opzione Esegui come amministratore e accedere come amministratore globale per il tenant di Azure Information Protection usando Connect-AzAccount, quindi copiare e incollare la stringa del token risultante in https://microsoft.com/deviceloginusando un browser.1. Start an Azure PowerShell session with the Run as administrator option, and sign in as a global admin for your Azure Information Protection tenant by using Connect-AzAccount and then copy and paste the resulting token string into https://microsoft.com/deviceloginby using a browser.

Per altre informazioni, vedere accedere con Azure PowerShell.For more information, see Sign in with Azure PowerShell.

2. digitare quanto segue e verificare che vengano visualizzati i valori visualizzati per il nome e l'ID della sottoscrizione, il Azure Information Protection ID tenant e che lo stato sia abilitato: Get-AzSubscription2. Type the following and confirm that you see values displayed for your subscription name and ID, your Azure Information Protection tenant ID, and that the state is enabled: Get-AzSubscription

Se non viene visualizzato alcun valore e viene solo restituito il prompt, non si dispone di una sottoscrizione di Azure utilizzabile per la modalità BYOK.If no values are displayed and you are just returned to the prompt, you do not have an Azure subscription that can be used for BYOK.

Nota: oltre ai prerequisiti di BYOK, se si esegue la migrazione da AD RMS a Azure Information Protection tramite la chiave software alla chiave hardware, è necessario avere una versione minima di 11,62 se si usa il firmware Thales per il modulo di protezione hardware.Note: In addition to the BYOK prerequisites, if you are migrating from AD RMS to Azure Information Protection by using software key to hardware key, you must have a minimum version of 11.62 if you are using Thales firmware for your HSM.
Per usare una chiave protetta dal modulo di protezione hardware creata in locale:To use an HSM-protected key that you create on-premises:

- Tutti i prerequisiti elencati per la modalità BYOK in Key Vault.- All the prerequisites listed for Key Vault BYOK.
Vedere Prerequisiti per la modalità BYOK nella documentazione relativa ad Insieme di credenziali delle chiavi di Azure.See Prerequisites for BYOK from the Azure Key Vault documentation.

Nota: oltre ai prerequisiti di BYOK, se si esegue la migrazione da AD RMS a Azure Information Protection tramite la chiave software alla chiave hardware, è necessario avere una versione minima di 11,62 se si usa il firmware Thales per il modulo di protezione hardware.Note: In addition to the BYOK prerequisites, if you are migrating from AD RMS to Azure Information Protection by using software key to hardware key, you must have a minimum version of 11.62 if you are using Thales firmware for your HSM.
Se l'insieme di credenziali delle chiavi per contenere la chiave del tenant usa gli endpoint servizio di rete virtuale per Azure Key Vault:If the key vault to contain your tenant key uses Virtual Network Service Endpoints for Azure Key Vault:

- Consentire ai servizi Microsoft considerati attendibili di ignorare il firewall.- Allow trusted Microsoft services to bypass this firewall.
Per altre informazioni, vedere Endpoint servizio di rete virtuale per Azure Key Vault.For more information, see Virtual Network Service Endpoints for Azure Key Vault.
Il modulo AIPService di PowerShell per Azure Information Protection.The AIPService PowerShell module for Azure Information Protection. Per le istruzioni di installazione, vedere installazione del modulo PowerShell AIPService.For installation instructions, see Installing the AIPService PowerShell module.

Per ulteriori informazioni sul modulo di protezione hardware (HSM) nCipher nShield e sul relativo utilizzo con Azure Key Vault, vedere il sito Web nCipher.For more information about nCipher nShield hardware security module (HSM) and how they are used with Azure Key Vault, see the nCipher website.

Scelta del percorso dell'insieme di credenziali delle chiaviChoosing your key vault location

Quando si crea un insieme di credenziali delle chiavi che dovrà contenere la chiave da usare come chiave del tenant per Azure Information Protection è necessario specificare un percorso.When you create a key vault to contain the key to be used as your tenant key for Azure Information, you must specify a location. Il percorso di trova in un'area di Azure o un'istanza di Azure.This location is an Azure region, or Azure instance.

Scegliere un'opzione innanzitutto per ragioni di conformità e quindi per ridurre al minimo la latenza di rete:Make your choice first for compliance, and then to minimize network latency:

  • Se è stata scelta la topologia di chiave BYOK per ragioni di conformità, i requisiti di conformità potrebbero richiedere l'area di Azure o l'istanza di Azure in cui è archiviata la chiave del tenant di Azure Information Protection.If you have chosen the BYOK key topology for compliance reasons, those compliance requirements might mandate the Azure region or Azure instance that stores your Azure Information Protection tenant key.

  • Poiché tutte le chiamate alle funzioni di crittografia per la protezione vengono collegate alla chiave del tenant di Azure Information Protection, si vuole ridurre al minimo la latenza di rete causata dalla chiamate.Because all cryptographic calls for protection chain to your Azure Information Protection tenant key, you want to minimize the network latency that these calls incur. A tale scopo, creare l'insieme di credenziali delle chiavi nella stessa area o istanza di Azure del tenant di Azure Information Protection.To do that, create your key vault in the same Azure region or instance as your Azure Information Protection tenant.

Per identificare il percorso del tenant di Azure Information Protection, usare il cmdlet di PowerShell Get-AipServiceConfiguration e identificare l'area dagli URL.To identify the location of your Azure Information Protection tenant, use the Get-AipServiceConfiguration PowerShell cmdlet and identify the region from the URLs. Ad esempio:For example:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

L'area è identificabile da rms.na.aadrm.com e, nell'esempio, si trova in America del Nord.The region is identifiable from rms.na.aadrm.com, and for this example, it is in North America.

Usare la tabella seguente per identificare l'area o l'istanza di Azure consigliata per ridurre al minimo la latenza di rete.Use the following table to identify which Azure region or instance is recommended to minimize network latency.

Area o istanza di AzureAzure region or instance Percorso dell'insieme di credenziali delle chiavi consigliatoRecommended location for your key vault
rms.na.aadrm.comrms.na.aadrm.com Stati Uniti centro-settentrionali o Stati Uniti orientaliNorth Central US or East US
rms.eu.aadrm.comrms.eu.aadrm.com Europa settentrionale o Europa occidentaleNorth Europe or West Europe
rms.ap.aadrm.comrms.ap.aadrm.com Asia orientale o Asia sud-orientaleEast Asia or Southeast Asia
rms.sa.aadrm.comrms.sa.aadrm.com Stati Uniti occidentali o Stati Uniti orientaliWest US or East US
rms.govus.aadrm.comrms.govus.aadrm.com Stati Uniti centrali o Stati Uniti orientali 2Central US or East US 2
RMS.AADRM.USrms.aadrm.us US gov Virginia o US gov ArizonaUS Gov Virginia or US Gov Arizona
RMS.AADRM.cnrms.aadrm.cn Cina orientale 2 o Cina settentrionale 2China East 2 or China North 2

Istruzioni per BYOKInstructions for BYOK

Usare la documentazione di Azure Key Vault per creare un insieme di credenziali delle chiavi e la chiave che si vuole usare per Azure Information Protection.Use the Azure Key Vault documentation to create a key vault and the key that you want to use for Azure Information Protection. Ad esempio, vedere Introduzione ad Azure Key Vault.For example, see Get started with Azure Key Vault.

Assicurarsi che la lunghezza della chiave sia 2048 bit (consigliata) o 1024 bit.Make sure that the key length is 2048 bits (recommended) or 1024 bits. Altre lunghezze di chiave non sono supportate da Azure Information Protection.Other key lengths are not supported by Azure Information Protection.

Non usare una chiave a 1024 bit come chiave del tenant attiva perché viene considerata come un livello di protezione inadeguato.Don't use a 1024-bit key as your active tenant key because it is considered to offer an inadequate level of protection. Microsoft non approva l'uso di lunghezze di chiave inferiori, ad esempio chiavi RSA a 1024 bit e l'utilizzo associato di protocolli che offrono livelli di protezione inadeguati, ad esempio SHA-1.Microsoft doesn’t endorse the use of lower key lengths such as 1024-bit RSA keys and the associated use of protocols that offer inadequate levels of protection, such as SHA-1. Si consiglia di procedere con una lunghezza di chiave superiore.We recommend moving to a higher key length.

Per creare una chiave protetta dal modulo di protezione hardware in locale e trasferirla nell'insieme di credenziali delle chiavi come chiave protetta dal modulo di protezione hardware, seguire le procedure descritte in Come generare e trasferire chiavi protette dal modulo di protezione hardware per Azure Key Vault.To create an HSM-protected key on-premises and transfer it to your key vault as an HSM-protected key, follow the procedures in How to generate and transfer HSM-protected keys for Azure Key Vault.

Per consentire ad Azure Information Protection di usare la chiave, è necessario autorizzare tutte le operazioni di Key Vault per la chiave.For Azure Information Protection to use the key, all Key Vault operations must be permitted for the key. Questa è la configurazione predefinita e le operazioni sono Encrypt, Decrypt, wrapKey, unwrapKey, Sign e verify.This is the default configuration and the operations are encrypt, decrypt, wrapKey, unwrapKey, sign, and verify. È possibile controllare le operazioni consentite di una chiave usando il comando di PowerShell seguente: (Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps.You can check the permitted operations of a key by using the following PowerShell command: (Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps. Se necessario, aggiungere le operazioni consentite usando Update-AzKeyVaultKey e il parametro KeyOps .If necessary, add permitted operations by using Update-AzKeyVaultKey and the KeyOps parameter.

Le chiavi archiviate in Key Vault hanno un ID chiave.A key that is stored in Key Vault has a key ID. L'ID chiave è un URL che contiene il nome dell'insieme di credenziali delle chiavi, il contenitore delle chiavi e il nome e la versione della chiave.This key ID is a URL that contains the name of the key vault, the keys container, the name of the key, and the key version. Ad esempio: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 .For example: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. È necessario configurare Azure Information Protection per l'uso della chiave specificando l'URL dell'insieme di credenziali delle chiavi.You must configure Azure Information Protection to use this key, by specifying its key vault URL.

Affinché Azure Information Protection possa usare la chiave, il servizio Azure Rights Management deve essere autorizzato a usare la chiave nell'insieme di credenziali delle chiavi dell'organizzazione.Before Azure Information Protection can use the key, the Azure Rights Management service must be authorized to use the key in your organization's key vault. A tale scopo, l'amministratore di Azure Key Vault può usare il portale di Azure o Azure PowerShell:To do this, the Azure Key Vault administrator can use the Azure portal, or Azure PowerShell:

Configurazione mediante il portale di Azure:Configuration by using the Azure portal:

  1. Passare a Insiemi di credenziali delle chiavi > <nome dell'insieme di credenziali delle chiavi> > Criteri di accesso > Aggiungi nuovo.Navigate to Key vaults > <your key vault name> > Access policies > Add new.

  2. Nel riquadro Aggiungi criteri di accesso selezionare Azure Information Protection BYOK nella casella di riepilogo Configura da modello (facoltativo) e fare clic su OK.From the Add access policy pane, select Azure Information Protection BYOK from the Configure from template (optional) list box, and click OK.

    Il modello selezionato ha la configurazione seguente:The selected template has the following configuration:

    • Microsoft Rights Management Services viene assegnato automaticamente per Selezionare un'entità.Microsoft Rights Management Services is automatically assigned for Select principal.
    • Get, Decrypt e Sign vengono selezionati automaticamente per le autorizzazioni delle chiavi.Get, Decrypt, and Sign is automatically selected for the key permissions.

Configurazione mediante PowerShell:Configuration by using PowerShell:

  • Eseguire il cmdlet Key Vault PowerShell, set-AzKeyVaultAccessPolicy, e concedere le autorizzazioni all'entità servizio Rights Management di Azure, usando il GUID 00000012-0000-0000-C000-000000000000.Run the Key Vault PowerShell cmdlet, Set-AzKeyVaultAccessPolicy, and grant permissions to the Azure Rights Management service principal, by using the GUID 00000012-0000-0000-c000-000000000000. Ad esempio:For example:

      Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
    

A questo punto è possibile configurare Azure Information Protection per l'uso di questa chiave come chiave del tenant di Azure Information Protection dell'organizzazione.You're now ready to configure Azure Information Protection to use this key as your organization's Azure Information Protection tenant key. Tramite i cmdlet di Azure RMS, connettersi al servizio Azure Rights Management e accedere:Using Azure RMS cmdlets, first connect to the Azure Rights Management service and sign in:

Connect-AipService

Eseguire quindi il cmdlet Use-AipServiceKeyVaultKey, specificando l'URL della chiave.Then run the Use-AipServiceKeyVaultKey cmdlet, specifying the key URL. Ad esempio:For example:

Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333"

Importante

In questo esempio, "aaaabbbbcccc111122223333" è la versione della chiave da usare.In this example, "aaaabbbbcccc111122223333" is the version of the key to use. Se non si specifica la versione, viene usata la versione corrente della chiave senza avviso e il comando sembra funzionare.If you do not specify the version, the current version of the key is used without warning and the command appears to work. Tuttavia, se la chiave in Key Vault viene aggiornata in un secondo momento (rinnovato), il servizio Azure Rights Management smetterà di funzionare per il tenant, anche se si esegue di nuovo il comando use-AipServiceKeyVaultKey.However, if your key in Key Vault is later updated (renewed), the Azure Rights Management service will stop working for your tenant, even if you run the Use-AipServiceKeyVaultKey command again.

Assicurarsi di specificare la versione e il nome della chiave quando si esegue questo comando.Make sure that you specify the key version, in addition to the key name when you run this command. È possibile usare il comando Azure Key Vault cmd Get-AzKeyVaultKeyper ottenere il numero di versione della chiave corrente.You can use the Azure Key Vault cmd, Get-AzKeyVaultKey, to get the version number of the current key. ad esempio Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'For example: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

Se è necessario confermare che l'URL della chiave è impostato correttamente per Azure Information Protection: in Azure Key Vault eseguire Get-AzKeyVaultKey per visualizzare l'URL della chiave.If you need to confirm that the key URL is set correctly for Azure Information Protection: In Azure Key Vault, run Get-AzKeyVaultKey to see the key URL.

Infine, se il servizio Azure Rights Management è già attivato, eseguire set-AipServiceKeyProperties per indicare Azure Information Protection per usare questa chiave come chiave del tenant attiva per il servizio Rights Management di Azure.Finally, if the Azure Rights Management service is already activated, run Set-AipServiceKeyProperties to tell Azure Information Protection to use this key as the active tenant key for the Azure Rights Management service. Se non si esegue questo passaggio, Azure Information Protection continuerà a usare la chiave gestita da Microsoft predefinita creata automaticamente per il tenant.If you do not do this step, Azure Information Protection will continue to use the default Microsoft-managed key that was automatically created for your tenant.

Passaggi successiviNext steps

Dopo aver eseguito la pianificazione e, se necessario, creato e configurato la chiave del tenant, eseguire queste operazioni:Now that you've planned for and if necessary, created and configured your tenant key, do the following:

  1. Iniziare a usare la chiave del tenant.Start to use your tenant key:

    • Se il servizio di protezione non è già attivato, è ora necessario attivare il servizio Rights Management in modo che l'organizzazione possa iniziare a usare Azure Information Protection.If the protection service isn't already activated, you must now activate the Rights Management service so that your organization can start to use Azure Information Protection. Gli utenti iniziano immediatamente a usare la chiave del tenant (gestita da Microsoft o gestita dall'utente in Azure Key Vault).Users immediately start to use your tenant key (managed by Microsoft, or managed by you in Azure Key Vault).

      Per ulteriori informazioni sull'attivazione, vedere attivazione del servizio di protezione da Azure Information Protection.For more information about activation, see Activating the protection service from Azure Information Protection.

    • Se il servizio Rights Management è già stato attivato e si è deciso di gestire la propria chiave del tenant, gli utenti passano gradualmente dalla chiave del tenant precedente a quella nuova.If the Rights Management service was already activated and then you decided to manage your own tenant key, users gradually transition from the old tenant key to the new tenant key. Il completamento di questa transizione in fasi successive può richiedere alcune settimane.This staggered transition can take a few weeks to complete. I documenti e i file protetti con la chiave del tenant precedente rimangono accessibili agli utenti autorizzati.Documents and files that were protected with the old tenant key remains accessible to authorized users.

  2. Valutare l'opportunità di usare la registrazione dei dati di utilizzo per tenere traccia di ogni transazione eseguita dal servizio Azure Rights Management.Consider using usage logging, which logs every transaction that the Azure Rights Management service performs.

    Se si è deciso di gestire la propria chiave del tenant, la registrazione include informazioni sull'uso della chiave stessa.If you decided to manage your own tenant key, logging includes information about using your tenant key. Vedere il frammento seguente di un file di log visualizzato in Excel in cui i tipi di richiesta KeyVaultDecryptRequest e KeyVaultSignRequest dimostrano che la chiave del tenant è attualmente in uso.See the following snippet from a log file displayed in Excel where the KeyVaultDecryptRequest and KeyVaultSignRequest request types show that the tenant key is being used.

    file di log visualizzato in Excel in cui è attualmente usata la chiave del tenant

    Per ulteriori informazioni sulla registrazione dell'utilizzo, vedere registrazione e analisi dell'utilizzo della protezione da Azure Information Protection.For more information about usage logging, see Logging and analyzing the protection usage from Azure Information Protection.

  3. Gestire la chiave del tenant.Manage your tenant key.

    Per altre informazioni sulle operazioni del ciclo di vita della chiave del tenant, vedere Operazioni relative alla chiave del tenant di Azure Information Protection.For more information about the life cycle operations for your tenant key, see Operations for your Azure Information Protection tenant key.