手順 2. ソフトウェアで保護されているキーから HSM で保護されているキーへの移行Step 2: Software-protected key to HSM-protected key migration

適用対象: Active Directory Rights Management サービス、Azure Information ProtectionApplies to: Active Directory Rights Management Services, Azure Information Protection

この手順は、AD RMS から Azure Information Protection への移行パスの一部であり、AD RMS キーが HSM で保護されているときに Azure Key Vault 内のソフトウェアで保護されているテナント キーを持つ Azure Information Protection に移行する場合にのみ適用されます。These instructions are part of the migration path from AD RMS to Azure Information Protection, and are applicable only if your AD RMS key is software-protected and you want to migrate to Azure Information Protection with a HSM-protected tenant key in Azure Key Vault.

これが選択した構成シナリオでない場合は、手順4に戻ります。構成データを AD RMS からエクスポートし、Azure RMS にインポートして、別の構成を選択します。If this is not your chosen configuration scenario, go back to Step 4. Export configuration data from AD RMS and import it to Azure RMS and choose a different configuration.

これは、AD RMS 構成を Azure Information Protection にインポートする 4 段階の手順で、結果は Azure Key Vault でお客様が管理 (BYOK) する Azure Information Protection テナント キーです。It’s a four-part procedure to import the AD RMS configuration to Azure Information Protection, to result in your Azure Information Protection tenant key that is managed by you (BYOK) in Azure Key Vault.

まず、AD RMS 構成データからサーバーライセンサー証明書 (SLC) キーを抽出し、キーをオンプレミスの nCipher HSM に転送し、次に HSM キーをパッケージ化して Azure Key Vault に転送してから、Azure Rights Management サービスを承認する必要があります。キーコンテナーへのアクセスを Azure Information Protection し、構成データをインポートします。You must first extract your server licensor certificate (SLC) key from the AD RMS configuration data and transfer the key to an on-premises nCipher HSM, next package and transfer your HSM key to Azure Key Vault, then authorize the Azure Rights Management service from Azure Information Protection to access your key vault, and then import the configuration data.

Azure Information Protection テナント キーは Azure Key Vault によって格納され管理されるので、移行のこの部分では、Azure Information Protection だけでなく、Azure Key Vault での管理も必要です。Because your Azure Information Protection tenant key will be stored and managed by Azure Key Vault, this part of the migration requires administration in Azure Key Vault, in addition to Azure Information Protection. Azure Key Vault が組織で自分以外の管理者によって管理されている場合は、その管理者と調整し、連携してこれらの手順を完了する必要があります。If Azure Key Vault is managed by a different administrator than you for your organization, you must co-ordinate and work with that administrator to complete these procedures.

作業を開始する前に、Azure Key Vault で作成されたキー コンテナーが組織に存在すること、さらに HSM で保護されたキーがサポートされていることを確認します。Before you begin, make sure that your organization has a key vault that has been created in Azure Key Vault, and that it supports HSM-protected keys. 必須ではありませんが、Azure Information Protection に専用のキー コンテナーを用意することをお勧めします。Although it's not required, we recommend that you have a dedicated key vault for Azure Information Protection. このキー コンテナーは、Azure Information Protection からの Azure Rights Management サービスによるアクセスを許可するように構成されます。結果、このキー コンテナーに格納されるキーは、Azure Information Protection キーのみに限定される必要があります。This key vault will be configured to allow the Azure Rights Management service from Azure Information Protection to access it, so the keys that this key vault stores should be limited to Azure Information Protection keys only.

ヒント

Azure Key Vault の構成手順を実行中で、この Azure サービスに慣れていない方は、最初に「Azure Key Vault の概要」を参照することをお勧めします。If you are doing the configuration steps for Azure Key Vault and you are not familiar with this Azure service, you might find it useful to first review Get started with Azure Key Vault.

パート 1: 構成データから SLC キーを抽出し、オンプレミス HSM にキーをインポートするPart 1: Extract your SLC key from the configuration data and import the key to your on-premises HSM

  1. Azure Key Vault 管理者: Azure Key Vault で格納するエクスポート済みの各 SLC キーに対して、Azure Key Vault のドキュメントの「Azure Key Vault の独自のキー (BYOK) の実装」セクションに記載された次の手順を実行します。Azure Key Vault administrator: For each exported SLC key that you want to store in Azure Key Vault, use the following steps in the Implementing bring your own key (BYOK) for Azure Key Vault section of the Azure Key Vault documentation:

    手順に従ってテナント キーを生成しないでください。既に、エクスポートされた構成データ (.xml) ファイルに同等のものがあります。Do not follow the steps to generate your tenant key, because you already have the equivalent in the exported configuration data (.xml) file. 代わりに、ツールを実行してファイルからこのキーを抽出し、オンプレミス HSM にインポートします。Instead, you will run a tool to extract this key from the file and import it to your on-premises HSM. ツールを実行すると、次の 2 つのファイルが作成されます。The tool creates two files when you run it:

    • キーを使用しない新しい構成データ ファイル。Azure Information Protection テナントにインポートする準備ができています。A new configuration data file without the key, which is then ready to be imported to your Azure Information Protection tenant.

    • キーを使用する PEM ファイル (キー コンテナー)。オンプレミスの HSM にインポートする準備ができています。A PEM file (key container) with the key, which is then ready to be imported to your on-premises HSM.

  2. Azure Information Protection 管理者または Azure Key Vault 管理者: 未接続のワークステーションで、Azure RMS 移行ツールキットから TpdUtil ツールを実行します。Azure Information Protection administrator or Azure Key Vault administrator: On the disconnected workstation, run the TpdUtil tool from the Azure RMS migration toolkit. たとえば、ContosoTPD.xml という名前の構成データ ファイルをコピーする E ドライブにツールがインストールされている場合:For example, if the tool is installed on your E drive where you copy your configuration data file named ContosoTPD.xml:

        E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem
    

    RMS 構成データ ファイルが複数ある場合は、残りのファイルに対してこのツールを実行します。If you have more than one RMS configuration data files, run this tool for the remainder of these files.

    このツールのヘルプ (説明、使用状況、および例が含まれている) を表示するには、パラメーターなしで TpdUtil.exe を実行します。To see Help for this tool, which includes a description, usage, and examples, run TpdUtil.exe with no parameters

    このコマンドの追加情報:Additional information for this command:

    • /tpd: エクスポートした AD RMS 構成データ ファイルのフル パスと名前を指定します。The /tpd: specifies the full path and name of the exported AD RMS configuration data file. 完全なパラメーター名は TpdFilePath です。The full parameter name is TpdFilePath.

    • /otpd: キーを使用しないで構成データ ファイルの出力ファイル名を指定します。The /otpd: specifies the output file name for the configuration data file without the key. 完全なパラメーター名は OutPfxFile です。The full parameter name is OutPfxFile. このパラメーターを指定しない場合、既定では出力ファイルの名前にサフィックス _keyless が付けられ、ファイルは現在のフォルダーに格納されます。If you do not specify this parameter, the output file defaults to the original file name with the suffix _keyless, and it is stored in the current folder.

    • /opem: PEM ファイルの出力ファイル名を指定します。これには、抽出されたキーが含まれます。The /opem: specifies the output file name for the PEM file, which contains the extracted key. 完全なパラメーター名は OutPemFile です。The full parameter name is OutPemFile. このパラメーターを指定しない場合、既定では出力ファイルの名前にサフィックス _key が付けられ、ファイルは現在のフォルダーに格納されます。If you do not specify this parameter, the output file defaults to the original file name with the suffix _key, and it is stored in the current folder.

    • このコマンドを実行するときに、TpdPassword の完全なパラメーター名または pwd の短いパラメーター名を使用してパスワードを指定しなかった場合は、パスワードを指定するように求められます。If you don't specify the password when you run this command (by using the TpdPassword full parameter name or pwd short parameter name), you are prompted to specify it.

  3. 同じ未接続のワークステーションで、nCipher のドキュメントに従って、nCipher HSM をアタッチして構成します。On the same disconnected workstation, attach and configure your nCipher HSM, according to your nCipher documentation. 次のコマンドを使用して、接続されている nCipher HSM にキーをインポートできるようになりました。その場合は、独自のファイル名を Contosotpd.pem に置き換える必要があります。You can now import your key into your attached nCipher HSM by using the following command where you need to substitute your own file name for ContosoTPD.pem:

     generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA
    

    注意

    ファイルが複数ある場合は、移行後にコンテンツを保護するために Azure RMS で使用する HSM キーに対応するファイルを選択します。If you have more than one file, choose the file that corresponds to the HSM key you want to use in Azure RMS to protect content after the migration.

    これにより、次のような出力表示が生成されます。This generates an output display similar to the following:

    キーの生成パラメーター:key generation parameters:

    operation       実行する操作                インポートoperation       Operation to perform                import

    application     アプリケーション                                シンプルapplication     Application                                simple

    verify               構成キーのセキュリティの検証                 はいverify               Verify security of configuration key                 yes

    type                 キーの種類                                     RSAtype                 Key type                                     RSA

    pemreadfile    RSA キーを含む PEM ファイル    e:\ContosoTPD.pempemreadfile    PEM file containing RSA key    e:\ContosoTPD.pem

    ident                キー識別子                             contosobyokident                Key identifier                             contosobyok

    plainname       キー名                                   ContosoBYOKplainname       Key name                                   ContosoBYOK

    キーは正常にインポートされました。Key successfully imported.

    キーへのパス: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyokPath to key: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

この出力は、キーに保存された暗号化コピーを使用して、秘密キーがオンプレミスの nCipher HSM デバイスに移行されたことを確認します (この例では "key_simple_contosobyok")。This output confirms that the private key is now migrated to your on-premises nCipher HSM device with an encrypted copy that is saved to a key (in our example, "key_simple_contosobyok").

SLC キーが抽出され、オンプレミスの HSM にインポートされたので、HSM で保護されたキーをパッケージ化し、Azure Key Vault に転送することができます。Now that your SLC key has been extracted and imported to your on-premises HSM, you’re ready to package the HSM-protected key and transfer it to Azure Key Vault.

重要

この手順を完了したら、未接続のワークステーションからこれらの PEM ファイルを確実に消去して、不正ユーザーがアクセスできないようにしてください。When you have completed this step, securely erase these PEM files from the disconnected workstation to ensure that they cannot be accessed by unauthorized people. たとえば、E: ドライブからすべてのファイルを確実に削除するには、"cipher /w: E" を実行します。For example, run "cipher /w: E" to securely delete all files from the E: drive.

パート 2: HSM キーをパッケージ化して Azure Key Vault に転送するPart 2: Package and transfer your HSM key to Azure Key Vault

Azure Key Vault 管理者: Azure Key Vault で格納するエクスポート済みの各 SLC キーに対して、Azure Key Vault のドキュメントの「Azure Key Vault の独自のキー (BYOK) の実装」セクションに記載された次の手順を実行します。Azure Key Vault administrator: For each exported SLC key that you want to store in Azure Key vault, use the following steps from the Implementing bring your own key (BYOK) for Azure Key Vault section of the Azure Key Vault documentation:

キー ペアを生成する手順は実行しないでください。キーは既にあります。Do not follow the steps to generate your key pair, because you already have the key. 代わりに、オンプレミスの HSM からこのキーを転送するコマンドを実行します (例では、KeyIdentifier パラメーターに "contosobyok" を使用しています)。Instead, you will run a command to transfer this key (in our example, our KeyIdentifier parameter uses "contosobyok") from your on-premises HSM.

権限が制限されたキーのコピーを作成したとき (手順 4.1) およびキーを暗号化したとき (手順 4.3) に、KeyTransferRemote.exe ユーティティが : SUCCESSを返していることを確認してから、Azure Key Vault へのキーの転送を行ってください。Before you transfer your key to Azure Key Vault, make sure that the KeyTransferRemote.exe utility returns Result: SUCCESS when you create a copy of your key with reduced permissions (step 4.1) and when you encrypt your key (step 4.3).

Azure Key Vault にキーがアップロードされるとき、表示されたキーのプロパティ (キーの ID が含まれている) を確認できます。When the key uploads to Azure Key Vault, you see the properties of the key displayed, which includes the key ID. 出力は、 https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 のようになります。It will look similar to https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. この URL をメモしてください。Azure Information Protection の管理者は、Azure Information Protection からの Azure Rights Management サービスにそのテナント キーとしてこのキーを使用するように指示するときに、この URL を使用する必要があります。Make a note of this URL because the Azure Information Protection administrator will need it to tell the Azure Rights Management service from Azure Information Protection to use this key for its tenant key.

次に、 AzKeyVaultAccessPolicyコマンドレットを使用して、key vault にアクセスするための Azure Rights Management サービスプリンシパルを承認します。Then use the Set-AzKeyVaultAccessPolicy cmdlet to authorize the Azure Rights Management service principal to access the key vault. 必要な権限は、decrypt、encrypt、unwrapkey、wrapkey、verify、および sign です。The permissions required are decrypt, encrypt, unwrapkey, wrapkey, verify, and sign.

たとえば、Azure Information Protection 用に作成したキー コンテナーの名前が contosorms-byok-kv、リソース グループの名前が contosorms-byok-rg である場合は、次のコマンドを実行します。For example, if the key vault that you have created for Azure Information Protection is named contosorms-byok-kv, and your resource group is named contosorms-byok-rg, run the following command:

Set-AzKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

これで、HSM キーが Azure Key Vault に転送されたので、AD RMS 構成データをインポートできます。Now that you’ve transferred your HSM key to Azure Key Vault, you’re ready to import your AD RMS configuration data.

パート 3: 構成データを Azure Information Protection にインポートするPart 3: Import the configuration data to Azure Information Protection

  1. Azure Information Protection 管理者: インターネットに接続されたワークステーションと PowerShell セッションで、TpdUtil ツールを実行した後に、SLC キーが削除されている新しい構成データファイル (.xml) をコピーします。Azure Information Protection administrator: On the internet-connected workstation and in the PowerShell session, copy over your new configuration data files (.xml) that have the SLC key removed after running the TpdUtil tool.

  2. Import-AipServiceTpdコマンドレットを使用して、各 .xml ファイルをアップロードします。Upload each .xml file, by using the Import-AipServiceTpd cmdlet. たとえば、暗号化モード 2 用に AD RMS クラスターをアップグレードした場合、少なくとも 1 つの追加ファイルが必要です。For example, you should have at least one additional file to import if you upgraded your AD RMS cluster for Cryptographic Mode 2.

    このコマンドレットを実行するには、各構成データ ファイルに対して以前指定したパスワードと前の手順で指定したキーの URL が必要です。To run this cmdlet, you need the password that you specified earlier for the configuration data file, and the URL for the key that was identified in the previous step.

    たとえば、C:\contoso_keyless.xml の構成データ ファイルと前の手順で取得したキーの URL 値を使用して、まず以下を実行してパスワードを格納します。For example, using a configuration data file of C:\contoso_keyless.xml and our key URL value from the previous step, first run the following to store the password:

    $TPD_Password = Read-Host -AsSecureString
    

    指定したパスワードを入力して構成データ ファイルをエクスポートします。Enter the password that you specified to export the configuration data file. 次に、以下のコマンドを実行して、この操作を行うことを確認します。Then, run the following command and confirm that you want to perform this action:

    Import-AipServiceTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    このインポート処理の一部として、SLC キーがインポートされ、自動でアーカイブ済みに設定されます。As part of this import, the SLC key is imported and automatically set as archived.

  3. 各ファイルをアップロードしたら、 Set-AipServiceKeyPropertiesを実行して、AD RMS クラスター内の現在アクティブな SLC キーと一致するインポートされたキーを指定します。When you have uploaded each file, run Set-AipServiceKeyProperties to specify which imported key matches the currently active SLC key in your AD RMS cluster.

  4. Disconnect-AipServiceServiceコマンドレットを使用して、Azure Rights Management サービスとの接続を切断します。Use the Disconnect-AipServiceService cmdlet to disconnect from the Azure Rights Management service:

    Disconnect-AipServiceService
    

Azure Information Protection テナントキーが Azure Key Vault で使用しているキーを後で確認する必要がある場合は、 Get-AipServiceKeys Azure RMS コマンドレットを使用します。If you later need to confirm which key your Azure Information Protection tenant key is using in Azure Key Vault, use the Get-AipServiceKeys Azure RMS cmdlet.

これで、手順 5. に進むことができます。Azure Rights Management サービスをアクティブ化します。You’re now ready to go to Step 5. Activate the Azure Rights Management service.