Door de klant beheerde sleutels gebruiken in Azure Key Vault voor Import/Export-service

Azure Import/Export beveiligt de BitLocker-sleutels die worden gebruikt om de stations te vergrendelen via een versleutelingssleutel. BitLocker-sleutels worden standaard versleuteld met door Microsoft beheerde sleutels. Voor extra controle over versleutelingssleutels kunt u ook door de klant beheerde sleutels opgeven.

Door de klant beheerde sleutels moeten worden gemaakt en opgeslagen in een Azure-Key Vault. Zie Wat is Azure Key Vault? voor meer informatie over Azure Key Vault.

In dit artikel wordt beschreven hoe u door de klant beheerde sleutels gebruikt met Import/Export service in de Azure Portal.

Vereisten

Zorg voordat u begint voor het volgende:

  1. U hebt een import- of exporttaak gemaakt volgens de instructies in:

  2. U hebt een bestaande Azure-Key Vault met daarin een sleutel die u kunt gebruiken om uw BitLocker-sleutel te beveiligen. Zie quickstart: Een Azure-Key Vault maken met behulp van de Azure Portal voor meer informatie over het maken van een sleutelkluis met behulp van de Azure Portal.

    • Voorlopig verwijderen en Niet opschonen zijn ingesteld op uw bestaande Key Vault. Deze eigenschappen zijn niet standaard ingeschakeld. Als u deze eigenschappen wilt inschakelen, raadpleegt u de secties Getiteld Voorlopig verwijdereninschakelen en Beveiliging tegen opschonen inschakelen in een van de volgende artikelen:

    • De bestaande sleutelkluis moet een RSA-sleutel van 2048 of meer hebben. Zie Over sleutels voor meer informatie over sleutels.

    • De sleutelkluis moet zich in dezelfde regio bevinden als het opslagaccount voor uw gegevens.

    • Als u geen bestaande Azure-Key Vault hebt, kunt u deze ook inline maken, zoals beschreven in de volgende sectie.

Sleutels inschakelen

Het configureren van door de klant beheerde sleutel voor uw Import/Export service is optioneel. De Import/Export-service gebruikt standaard een door Microsoft beheerde sleutel om uw BitLocker-sleutel te beveiligen. Voer de volgende stappen uit om door de klant beheerde sleutels in te schakelen in de Azure Portal:

  1. Ga naar de blade Overzicht voor uw importtaak.

  2. Selecteer in het rechterdeelvenster Kiezen hoe uw BitLocker-sleutels worden versleuteld.

    Screenshot of Overview blade for Azure Import/Export job. Overview menu item and link that opens BitLocker key options are highlighted.

  3. Op de blade Versleuteling kunt u de BitLocker-sleutel van het apparaat weergeven en kopiƫren. Onder Versleutelingstype kunt u kiezen hoe u uw BitLocker-sleutel wilt beveiligen. Standaard wordt een door Microsoft beheerde sleutel gebruikt.

    Screenshot of Encryption blade for an Azure Import/Export order. Encryption menu item is highlighted.

  4. U hebt de mogelijkheid om een door de klant beheerde sleutel op te geven. Nadat u de door de klant beheerde sleutel hebt geselecteerd, selecteert u de sleutelkluis en een sleutel.

    Screenshot of Encryption blade for Azure Import/Export job.

  5. Het abonnement wordt automatisch ingevuld in de blade Sleutel selecteren in Azure Key Vault. Voor Sleutelkluis kunt u een bestaande sleutelkluis selecteren in de vervolgkeuzelijst.

    Screenshot of the

  6. U kunt ook Nieuwe maken selecteren om een nieuwe sleutelkluis te maken. Voer op de blade Sleutelkluis maken de resourcegroep en de naam van de sleutelkluis in. Accepteer alle andere standaardwaarden. Selecteer Controleren + maken.

    Screenshot of

  7. Controleer de informatie die is gekoppeld aan uw sleutelkluis en selecteer Maken. Wacht enkele minuten totdat het maken van de sleutelkluis is voltooid.

    Screenshot of the Review Plus Create screen for a new Azure key vault. The Create button is highlighted.

  8. In de Select-sleutel in Azure Key Vault kunt u een sleutel selecteren in de bestaande sleutelkluis.

  9. Als u een nieuwe sleutelkluis hebt gemaakt, selecteert u Nieuwe maken om een sleutel te maken. RSA-sleutelgrootte kan 2048 of hoger zijn.

    Screenshot of the

    Als de beveiliging voor voorlopig verwijderen en opschonen niet is ingeschakeld wanneer u de sleutelkluis maakt, wordt de sleutelkluis bijgewerkt zodat voorlopig verwijderen en opschonen is ingeschakeld.

  10. Geef de naam op voor uw sleutel, accepteer de andere standaardwaarden en selecteer Maken.

    Screenshot of the

  11. Selecteer de versie en kies Selecteren. U ontvangt een melding dat er een sleutel wordt gemaakt in uw sleutelkluis.

    Screenshot of the

Op de blade Versleuteling ziet u de sleutelkluis en de sleutel die is geselecteerd voor de door de klant beheerde sleutel.

Belangrijk

U kunt door Microsoft beheerde sleutels alleen uitschakelen en naar door de klant beheerde sleutels gaan in elke fase van de import-/exporttaak. U kunt de door de klant beheerde sleutel echter niet uitschakelen nadat u deze hebt gemaakt.

Fouten met door de klant beheerde sleutel oplossen

Als u fouten ontvangt met betrekking tot uw door de klant beheerde sleutel, gebruikt u de volgende tabel om problemen op te lossen:

Foutcode Details Herstelbare?
CmkErrorAccessRevoked Toegang tot de door de klant beheerde sleutel wordt ingetrokken. Ja, controleer of:
  1. Key Vault heeft nog steeds de MSI in het toegangsbeleid.
  2. Toegangsbeleid heeft machtigingen voor Ophalen, Verpakken en Uitpakken ingeschakeld.
  3. Als de sleutelkluis zich in een VNet achter de firewall bevindt, controleert u of Microsoft Trusted Services toestaan is ingeschakeld.
  4. Controleer of de MSI van de taakresource opnieuw is ingesteld op None het gebruik van API's.
    Zo ja, dan stelt u de waarde weer in op Identity = SystemAssigned. Hiermee wordt de identiteit voor de taakresource opnieuw gemaakt.
    Zodra de nieuwe identiteit is gemaakt, schakelt u Getde Wrapnieuwe identiteit en Unwrap machtigingen in voor de nieuwe identiteit in het toegangsbeleid van de sleutelkluis
CmkErrorKeyDisabled De door de klant beheerde sleutel is uitgeschakeld. Ja, door de sleutelversie in te schakelen
CmkErrorKeyNotFound Kan de door de klant beheerde sleutel niet vinden. Ja, als de sleutel is verwijderd, maar deze nog steeds binnen de opschoonduur valt, gebruikt u Sleutelkluis verwijderen ongedaan maken.
Anders
  1. Ja, als de klant een back-up van de sleutel heeft gemaakt en deze herstelt.
  2. Nee, anders.
CmkErrorVaultNotFound Kan de sleutelkluis van de door de klant beheerde sleutel niet vinden. Als de sleutelkluis is verwijderd:
  1. Ja, als deze zich in de duur van de beveiliging tegen opschonen bevindt, gebruikt u de stappen bij Een sleutelkluis herstellen.
  2. Nee, als deze buiten de duur van de opschoonbeveiliging valt.

Als de sleutelkluis anders is gemigreerd naar een andere tenant, ja, kan deze worden hersteld met behulp van een van de onderstaande stappen:
  1. De sleutelkluis terugzetten naar de oude tenant.
  2. Stel Identity = None de waarde in en stel deze vervolgens weer in op Identity = SystemAssigned. Hierdoor wordt de identiteit verwijderd en opnieuw gemaakt zodra de nieuwe identiteit is gemaakt. Schakel Get, Wrapen Unwrap machtigingen in voor de nieuwe identiteit in het toegangsbeleid van de sleutelkluis.

Volgende stappen