手順 2. HSM で保護されているキーから HSM で保護されているキーへの移行Step 2: HSM-protected key to HSM-protected key migration

適用対象: Active Directory Rights Management サービス、Azure Information ProtectionApplies to: Active Directory Rights Management Services, Azure Information Protection

この手順は、AD RMS から Azure Information Protection への移行パスの一部であり、AD RMS キーが HSM で保護されているときに Azure Key Vault 内の HSM で保護されているテナント キーを持つ Azure Information Protection に移行する場合にのみ適用されます。These instructions are part of the migration path from AD RMS to Azure Information Protection, and are applicable only if your AD RMS key is HSM-protected and you want to migrate to Azure Information Protection with a HSM-protected tenant key in Azure Key Vault.

これが選択した構成シナリオでない場合は、手順4に戻ります。構成データを AD RMS からエクスポートし、Azure RMS にインポートして、別の構成を選択します。If this is not your chosen configuration scenario, go back to Step 4. Export configuration data from AD RMS and import it to Azure RMS and choose a different configuration.

注意

これらの手順は、AD RMS キーがモジュールで保護されていることを前提としています。These instructions assume your AD RMS key is module-protected. これは、最も一般的なケースです。This is the most typical case.

これは、HSM キーと AD RMS 構成を Azure Information Protection にインポートする 2 段階の手順で、結果はお客様が管理 (BYOK) する Azure Information Protection テナント キーです。It’s a two-part procedure to import your HSM key and AD RMS configuration to Azure Information Protection, to result in your Azure Information Protection tenant key that is managed by you (BYOK).

Azure Information Protection テナント キーは Azure Key Vault によって格納され管理されるので、移行のこの部分では、Azure Information Protection だけでなく、Azure Key Vault での管理も必要です。Because your Azure Information Protection tenant key will be stored and managed by Azure Key Vault, this part of the migration requires administration in Azure Key Vault, in addition to Azure Information Protection. Azure Key Vault が組織で自分以外の管理者によって管理されている場合は、その管理者と調整し、連携してこれらの手順を完了する必要があります。If Azure Key Vault is managed by a different administrator than you for your organization, you must co-ordinate and work with that administrator to complete these procedures.

作業を開始する前に、Azure Key Vault で作成されたキー コンテナーが組織に存在すること、さらに HSM で保護されたキーがサポートされていることを確認します。Before you begin, make sure that your organization has a key vault that has been created in Azure Key Vault, and that it supports HSM-protected keys. 必須ではありませんが、Azure Information Protection に専用のキー コンテナーを用意することをお勧めします。Although it's not required, we recommend that you have a dedicated key vault for Azure Information Protection. このキー コンテナーは、Azure Rights Management サービスからのアクセスを許可するように構成されます。結果、このキー コンテナーに格納されるキーは、Azure Information Protection キーのみに限定される必要があります。This key vault will be configured to allow the Azure Rights Management service to access it, so the keys that this key vault stores should be limited to Azure Information Protection keys only.

ヒント

Azure Key Vault の構成手順を実行中で、この Azure サービスに慣れていない方は、最初に「Azure Key Vault の概要」を参照することをお勧めします。If you are doing the configuration steps for Azure Key Vault and you are not familiar with this Azure service, you might find it useful to first review Get started with Azure Key Vault.

パート 1: Azure Key Vault に HSM キーを転送するPart 1: Transfer your HSM key to Azure Key Vault

これらの手順は、Azure Key Vault の管理者によって実行されます。These procedures are done by the administrator for Azure Key Vault.

  1. Azure Key Vault で格納するエクスポート済みの各 SLC キーに対して、Azure Key Vault のドキュメントの「Azure Key Vault の Bring Your Own Key (BYOK) の実装」に記載された手順に従います。ただし、次の例外があります。For each exported SLC key that you want to store in Azure Key Vault, follow the instructions from the Azure Key Vault documentation, using Implementing bring your own key (BYOK) for Azure Key Vault with the following exception:

    • テナント キーを生成する」の手順を実行しないでください。それと同等のものが、既に AD RMS のデプロイメントから取得されています。Do not do the steps for Generate your tenant key, because you already have the equivalent from your AD RMS deployment. 代わりに、nCipher インストールから AD RMS サーバーが使用するキーを特定し、それらのキーを転送用に準備してから、Azure Key Vault に転送します。Instead, identify the keys used by your AD RMS server from the nCipher installation and prepare these keys for transfer, and then transfer them to Azure Key Vault.

      NCipher の暗号化されたキーファイルには、サーバー上でローカルにkey_ <keyappname> _ <keyappname> という名前が付けられます。Encrypted key files for nCipher are named key_<keyAppName>_<keyIdentifier> locally on the server. たとえば、 C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54のように指定します。For example, C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54. KeyTransferRemote コマンドを実行して、アクセス許可が制限されたキーのコピーを作成する場合は、keyAppName としてmscapi値を指定し、キー識別子に独自の値を指定する必要があります。You will need the mscapi value as the keyAppName, and your own value for the key identifier when you run the KeyTransferRemote command to create a copy of the key with reduced permissions.

      Azure Key Vault にキーがアップロードされるとき、表示されたキーのプロパティ (キーの ID が含まれている) を確認できます。When the key uploads to Azure Key Vault, you see the properties of the key displayed, which includes the key ID. 出力は、 https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 のようになります。It will look similar to https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. この URL をメモしてください。Azure Information Protection の管理者は、Azure Rights Management サービスにそのテナント キーとしてこのキーを使用するように指示するときに、この URL を使用する必要があります。Make a note of this URL because the Azure Information Protection administrator needs it to tell the Azure Rights Management service to use this key for its tenant key.

  2. インターネットに接続されたワークステーションの PowerShell セッションで、 AzKeyVaultAccessPolicyコマンドレットを使用して、Azure Information Protection テナントキーを格納する key vault にアクセスするように Azure Rights Management サービスプリンシパルを承認します。On the internet-connected workstation, in a PowerShell session, use the Set-AzKeyVaultAccessPolicy cmdlet to authorize the Azure Rights Management service principal to access the key vault that will store the Azure Information Protection tenant key. 必要な権限は、decrypt、encrypt、unwrapkey、wrapkey、verify、および sign です。The permissions required are decrypt, encrypt, unwrapkey, wrapkey, verify, and sign.

    たとえば、Azure Information Protection 用に作成したキー コンテナーの名前が contoso-byok-ky、リソース グループの名前が contoso-byok-rg である場合は、次のコマンドを実行します。For example, if the key vault that you have created for Azure Information Protection is named contoso-byok-ky, and your resource group is named contoso-byok-rg, run the following command:

     Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
    

これで、Azure Information Protection から Azure Rights Management サービスに対して Azure Key Vault の HSM キーが準備されたので、AD RMS 構成データをインポートできます。Now that you’ve prepared your HSM key in Azure Key Vault for the Azure Rights Management service from Azure Information Protection, you’re ready to import your AD RMS configuration data.

パート 2: 構成データを Azure Information Protection にインポートするPart 2: Import the configuration data to Azure Information Protection

これらの手順は、Azure Information Protection の管理者によって実行されます。These procedures are done by the administrator for Azure Information Protection.

  1. インターネット接続ワークステーションと PowerShell セッションで、 connect-AipServiceコマンドレットを使用して Azure Rights Management サービスに接続します。On the internet-connect workstation and in the PowerShell session, connect to the Azure Rights Management service by using the Connect-AipService cmdlet.

    次に、 Import-AipServiceTpdコマンドレットを使用して、信頼された発行ドメイン (.xml) ファイルをアップロードします。Then upload each trusted publishing domain (.xml) file, by using the Import-AipServiceTpd cmdlet. たとえば、暗号化モード 2 用に AD RMS クラスターをアップグレードした場合、少なくとも 1 つの追加ファイルが必要です。For example, you should have at least one additional file to import if you upgraded your AD RMS cluster for Cryptographic Mode 2.

    このコマンドレットを実行するには、各構成データ ファイルに対して以前指定したパスワードと前の手順で指定したキーの URL が必要です。To run this cmdlet, you need the password that you specified earlier for each configuration data file, and the URL for the key that was identified in the previous step.

    たとえば、\contoso-tpd1.xml の構成データ ファイルと前の手順で取得したキーの URL 値を使用し、まず以下を実行してパスワードを格納します。For example, using a configuration data file of C:\contoso-tpd1.xml and our key URL value from the previous step, first run the following to store the password:

    $TPD_Password = Read-Host -AsSecureString
    

    指定したパスワードを入力して構成データ ファイルをエクスポートします。Enter the password that you specified to export the configuration data file. 次に、以下のコマンドを実行して、この操作を行うことを確認します。Then, run the following command and confirm that you want to perform this action:

    Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    このインポート処理の一部として、SLC キーがインポートされ、自動でアーカイブ済みに設定されます。As part of this import, the SLC key is imported and automatically set as archived.

  2. 各ファイルをアップロードしたら、 Set-AipServiceKeyPropertiesを実行して、AD RMS クラスター内の現在アクティブな SLC キーと一致するインポートされたキーを指定します。When you have uploaded each file, run Set-AipServiceKeyProperties to specify which imported key matches the currently active SLC key in your AD RMS cluster. このキーは、Azure Rights Management サービスのアクティブなテナント キーとなります。This key becomes the active tenant key for your Azure Rights Management service.

  3. Disconnect-AipServiceServiceコマンドレットを使用して、Azure Rights Management サービスとの接続を切断します。Use the Disconnect-AipServiceService cmdlet to disconnect from the Azure Rights Management service:

    Disconnect-AipServiceService
    

Azure Information Protection テナントキーが Azure Key Vault で使用しているキーを後で確認する必要がある場合は、 Get-AipServiceKeys Azure RMS コマンドレットを使用します。If you later need to confirm which key your Azure Information Protection tenant key is using in Azure Key Vault, use the Get-AipServiceKeys Azure RMS cmdlet.

これで、手順 5. に進むことができます。Azure Rights Management サービスをアクティブ化します。You’re now ready to go to Step 5. Activate the Azure Rights Management service.