BYOK-gegevens (Bring Your Own Key) voor Azure Information Protection
Notitie
Zoekt u Microsoft Purview Informatiebeveiliging, voorheen Microsoft Information Protection (MIP)?
De Azure Information Protection-invoegtoepassing wordt buiten gebruik gesteld en vervangen door labels die zijn ingebouwd in uw Microsoft 365-apps en -services. Meer informatie over de ondersteuningsstatus van andere Azure Information Protection-onderdelen.
De nieuwe Microsoft Information Protection-client (zonder de invoegtoepassing) is momenteel beschikbaar als preview-versie en is gepland voor algemene beschikbaarheid.
Organisaties met een Azure Information Protection-abonnement kunnen ervoor kiezen om hun tenant te configureren met hun eigen sleutel, in plaats van een standaardsleutel die door Microsoft wordt gegenereerd. Deze configuratie wordt vaak Aangeduid als Bring Your Own Key (BYOK).
BYOK en logboekregistratie van gebruik werken naadloos met toepassingen die zijn geïntegreerd met de Azure Rights Management-service die wordt gebruikt door Azure Information Protection.
Ondersteunde toepassingen zijn onder andere:
Cloudservices, zoals Microsoft SharePoint of Microsoft 365
On-premises services met Exchange- en SharePoint-toepassingen die gebruikmaken van de Azure Rights Management-service via de RMS-connector
Clienttoepassingen, zoals Office 2019, Office 2016 en Office 2013
Tip
Pas zo nodig extra beveiliging toe op specifieke documenten met behulp van een extra on-premises sleutel. Zie DKE-beveiliging (Double Key Encryption) (alleen client voor geïntegreerde labels) voor meer informatie.
Azure Key Vault-sleutelopslag
Door de klant gegenereerde sleutels moeten worden opgeslagen in Azure Key Vault voor BYOK-beveiliging.
Notitie
Voor het gebruik van met HSM beveiligde sleutels in Azure Key Vault is een Azure Key Vault Premium-servicelaag vereist, waarvoor extra maandelijkse abonnementskosten in rekening worden gebracht.
Sleutelkluizen en abonnementen delen
U wordt aangeraden een toegewezen sleutelkluis te gebruiken voor uw tenantsleutel. Toegewezen sleutelkluizen helpen ervoor te zorgen dat aanroepen door andere services niet ertoe leiden dat servicelimieten worden overschreden. Het overschrijden van servicelimieten voor de sleutelkluis waar uw tenantsleutel is opgeslagen, kan leiden tot een beperking van de reactietijd voor de Azure Rights Management-service.
Omdat verschillende services verschillende vereisten voor sleutelbeheer hebben, raadt Microsoft ook aan om een toegewezen Azure-abonnement voor uw sleutelkluis te gebruiken. Toegewezen Azure-abonnementen:
Beveiliging tegen onjuiste configuraties helpen
Zijn veiliger wanneer verschillende services verschillende beheerders hebben
Als u een Azure-abonnement wilt delen met andere services die gebruikmaken van Azure Key Vault, moet u ervoor zorgen dat het abonnement een gemeenschappelijke set beheerders deelt. Als u bevestigt dat alle beheerders die het abonnement gebruiken, een solide kennis hebben van elke sleutel waartoe ze toegang hebben, betekent dit dat ze minder waarschijnlijk uw sleutels onjuist configureren.
Voorbeeld: Het gebruik van een gedeeld Azure-abonnement wanneer de beheerders voor uw Azure Information Protection-tenantsleutel dezelfde personen zijn die uw sleutels voor Office 365-klantsleutel en CRM online beheren. Als de belangrijkste beheerders voor deze services verschillen, raden we u aan speciale abonnementen te gebruiken.
Voordelen van het gebruik van Azure Key Vault
Azure Key Vault biedt een gecentraliseerde en consistente oplossing voor sleutelbeheer voor veel cloudservices en on-premises services die gebruikmaken van versleuteling.
Naast het beheren van sleutels biedt Azure Key Vault uw beveiligingsbeheerders dezelfde beheerervaring voor het opslaan, openen en beheren van certificaten en geheimen (zoals wachtwoorden) voor andere services en toepassingen die gebruikmaken van versleuteling.
Het opslaan van uw tenantsleutel in Azure Key Vault biedt de volgende voordelen:
| Voordeel | Beschrijving |
|---|---|
| Ingebouwde interfaces | Azure Key Vault ondersteunt een aantal ingebouwde interfaces voor sleutelbeheer, waaronder PowerShell, CLI, REST API's en Azure Portal. Andere services en hulpprogramma's zijn geïntegreerd met Key Vault voor geoptimaliseerde mogelijkheden voor specifieke taken, zoals bewaking. Analyseer bijvoorbeeld uw sleutelgebruikslogboeken met Operations Management Suite Log Analytics, stel waarschuwingen in wanneer aan opgegeven criteria wordt voldaan, enzovoort. |
| Scheiding van rollen | Azure Key Vault biedt scheiding van rollen als een erkende best practice voor beveiliging. Rolscheiding zorgt ervoor dat Azure Information Protection-beheerders zich kunnen richten op hun hoogste prioriteiten, waaronder het beheren van gegevensclassificatie en -beveiliging, evenals versleutelingssleutels en beleid voor specifieke beveiligings- of nalevingsvereisten. |
| Locatie van hoofdsleutel | Azure Key Vault is beschikbaar op verschillende locaties en ondersteunt organisaties met beperkingen waar hoofdsleutels kunnen leven. Zie de pagina Producten die beschikbaar zijn per regio op de Azure-site voor meer informatie. |
| Gescheiden beveiligingsdomeinen | Azure Key Vault maakt gebruik van afzonderlijke beveiligingsdomeinen voor de datacenters in regio's zoals Noord-Amerika, EMEA (Europa, Midden-Oosten en Afrika) en Azië. Azure Key Vault maakt ook gebruik van verschillende exemplaren van Azure, zoals Microsoft Azure Duitsland en Azure Government. |
| Uniforme ervaring | Met Azure Key Vault kunnen beveiligingsbeheerders certificaten en geheimen, zoals wachtwoorden, opslaan, openen en beheren voor andere services die gebruikmaken van versleuteling. Het gebruik van Azure Key Vault voor uw tenantsleutels biedt een naadloze gebruikerservaring voor beheerders die al deze elementen beheren. |
Voor de nieuwste updates en informatie over hoe andere services Gebruikmaken van Azure Key Vault, gaat u naar de teamblog van Azure Key Vault.
Logboekregistratie van gebruik voor BYOK
Gebruikslogboeken worden gegenereerd door elke toepassing die aanvragen doet voor de Azure Rights Management-service.
Hoewel gebruikslogboeken optioneel zijn, raden we u aan om de logboeken voor bijna realtime gebruik van Azure Information Protection te gebruiken om precies te zien hoe en wanneer uw tenantsleutel wordt gebruikt.
Zie Logboekregistratie en analyse van het beveiligingsgebruik van Azure Information Protection voor meer informatie over logboekregistratie van sleutelgebruik voor BYOK.
Tip
Voor extra zekerheid kan azure Information Protection-gebruikslogboekregistratie kruislings worden verwezen met Azure Key Vault-logboekregistratie. Key Vault-logboeken bieden een betrouwbare methode om onafhankelijk te controleren of uw sleutel alleen wordt gebruikt door de Azure Rights Management-service.
Indien nodig kunt u de toegang tot uw sleutel onmiddellijk intrekken door machtigingen voor de sleutelkluis te verwijderen.
Opties voor het maken en opslaan van uw sleutel
Notitie
Zie de documentatie van Azure Key Vault voor meer informatie over de beheerde HSM-aanbieding en het instellen van een kluis en een sleutel.
Aanvullende instructies voor het verlenen van sleutelautorisatie worden hieronder beschreven.
BYOK ondersteunt sleutels die zijn gemaakt in Azure Key Vault of on-premises.
Als u uw sleutel on-premises maakt, moet u deze vervolgens overdragen of importeren in uw Key Vault en Azure Information Protection configureren om de sleutel te gebruiken. Voer eventuele extra sleutelbeheer uit vanuit Azure Key Vault.
Opties voor het maken en opslaan van uw eigen sleutel:
Gemaakt in Azure Key Vault. Maak en sla uw sleutel in Azure Key Vault op als een met HSM beveiligde sleutel of een met software beveiligde sleutel.
On-premises gemaakt. Maak uw sleutel on-premises en breng deze over naar Azure Key Vault met behulp van een van de volgende opties:
Met HSM beveiligde sleutel, overgedragen als een met HSM beveiligde sleutel. De meest typische methode gekozen.
Hoewel deze methode de meeste administratieve overhead heeft, kan het nodig zijn voor uw organisatie om specifieke voorschriften te volgen. De HSM's die door Azure Key Vault worden gebruikt, hebben FIPS 140-validatie.
Met software beveiligde sleutel die wordt geconverteerd en overgebracht naar Azure Key Vault als een met HSM beveiligde sleutel. Deze methode wordt alleen ondersteund bij het migreren van Active Directory Rights Management Services (AD RMS).
On-premises gemaakt als een met software beveiligde sleutel en overgedragen naar Azure Key Vault als een met software beveiligde sleutel. Voor deze methode is een . PFX-certificaatbestand.
Ga bijvoorbeeld als volgt te werk om een sleutel te gebruiken die on-premises is gemaakt:
Genereer uw tenantsleutel on-premises, in overeenstemming met het IT- en beveiligingsbeleid van uw organisatie. Deze sleutel is de hoofdkopie. Het blijft on-premises en u bent vereist voor de back-up.
Maak een kopie van de hoofdsleutel en draag deze veilig over van uw HSM naar Azure Key Vault. Tijdens dit proces verlaat de hoofdkopie van de sleutel nooit de grenzen van de hardwarebescherming.
Zodra de sleutel is overgedragen, wordt de kopie van de sleutel beveiligd door Azure Key Vault.
Uw vertrouwde publicatiedomein exporteren
Als u ooit besluit om azure Information Protection niet meer te gebruiken, hebt u een vertrouwd publicatiedomein (TPD) nodig om inhoud te ontsleutelen die is beveiligd door Azure Information Protection.
Het exporteren van uw TPD wordt echter niet ondersteund als u BYOK gebruikt voor uw Azure Information Protection-sleutel.
Zorg ervoor dat u vooraf een geschikte TPD maakt om dit scenario voor te bereiden. Zie Hoe u een Azure Information Protection-plan voor cloudafsluiting voorbereidt voor meer informatie.
BYOK implementeren voor uw Azure Information Protection-tenantsleutel
Gebruik de volgende stappen om BYOK te implementeren:
Vereisten voor BYOK
De BYOK-vereisten variëren, afhankelijk van uw systeemconfiguratie. Controleer of uw systeem voldoet aan de volgende vereisten, indien nodig:
| Vereiste | Beschrijving |
|---|---|
| Azure-abonnement | Vereist voor alle configuraties. Zie Controleren of u een BYOK-compatibel Azure-abonnement hebt voor meer informatie. |
| AIPService PowerShell-module voor Azure Information Protection | Vereist voor alle configuraties. Zie De AIPService PowerShell-module installeren voor meer informatie. |
| Vereisten voor Azure Key Vault voor BYOK | Als u een met HSM beveiligde sleutel gebruikt die on-premises is gemaakt, moet u ervoor zorgen dat u ook voldoet aan de vereisten voor BYOK die wordt vermeld in de Documentatie van Azure Key Vault. |
| Thales-firmwareversie 11.62 | U moet over een Thales-firmwareversie van 11.62 beschikken als u migreert van AD RMS naar Azure Information Protection met behulp van softwaresleutel naar hardwaresleutel en Thales-firmware gebruikt voor uw HSM. |
| Firewall-bypass voor vertrouwde Microsoft-services | Als de sleutelkluis die uw tenantsleutel bevat gebruikmaakt van Service-eindpunten voor Virtual Network voor Azure Key Vault, moet u vertrouwde Microsoft-services toestaan om deze firewall te omzeilen. Zie Service-eindpunten voor virtuele netwerken voor Azure Key Vault voor meer informatie. |
Controleren of u een BYOK-compatibel Azure-abonnement hebt
Uw Azure Information Protection-tenant moet een Azure-abonnement hebben. Als u nog geen account hebt, kunt u zich aanmelden voor een gratis account. Als u echter een met HSM beveiligde sleutel wilt gebruiken, moet u de Azure Key Vault Premium-servicelaag hebben.
Het gratis Azure-abonnement dat toegang biedt tot microsoft Entra-configuratie en aangepaste sjabloonconfiguratie van Azure Rights Management is niet voldoende voor het gebruik van Azure Key Vault.
Als u wilt controleren of u een Azure-abonnement hebt dat compatibel is met BYOK, gaat u als volgt te werk om te controleren of u Azure PowerShell-cmdlets gebruikt:
Start een Azure PowerShell-sessie als beheerder.
Meld u aan als globale beheerder voor uw Azure Information Protection-tenant met behulp van
Connect-AzAccount.Kopieer het token dat wordt weergegeven naar het Klembord. Ga vervolgens in een browser naar https://microsoft.com/devicelogin het gekopieerde token en voer het gekopieerde token in.
Zie Aanmelden met Azure PowerShell voor meer informatie.
Voer in uw PowerShell-sessie de
Get-AzSubscriptionvolgende waarden in en bevestig dat de volgende waarden worden weergegeven:- Uw abonnementsnaam en -id
- Uw Azure Information Protection-tenant-id
- Bevestiging dat de status is ingeschakeld
Als er geen waarden worden weergegeven en u terugkeert naar de prompt, hebt u geen Azure-abonnement dat kan worden gebruikt voor BYOK.
Uw sleutelkluislocatie kiezen
Wanneer u een sleutelkluis maakt die de sleutel bevat die moet worden gebruikt als uw tenantsleutel voor Azure Information, moet u een locatie opgeven. Deze locatie is een Azure-regio of Een Azure-exemplaar.
Maak eerst uw keuze voor naleving en minimaliseer vervolgens de netwerklatentie:
Als u de BYOK-sleutelmethode hebt gekozen om nalevingsredenen, kunnen deze nalevingsvereisten ook verplicht stellen welke Azure-regio of -instantie kan worden gebruikt om uw Azure Information Protection-tenantsleutel op te slaan.
Alle cryptografische aanroepen voor beveiligingsketen naar uw Azure Information Protection-sleutel. Daarom kunt u de netwerklatentie die deze aanroepen vereisen minimaliseren door uw sleutelkluis te maken in dezelfde Azure-regio of -instantie als uw Azure Information Protection-tenant.
Als u de locatie van uw Azure Information Protection-tenant wilt identificeren, gebruikt u de PowerShell-cmdlet Get-AipServiceConfiguration en identificeert u de regio uit de URL's. Voorbeeld:
LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing
De regio is identificeerbaar uit rms.na.aadrm.com en in dit voorbeeld bevindt deze zich in Noord-Amerika.
De volgende tabel bevat aanbevolen Azure-regio's en exemplaren voor het minimaliseren van netwerklatentie:
| Azure-regio of -exemplaar | Aanbevolen locatie voor uw sleutelkluis |
|---|---|
| Rms.na.aadrm.com | VS - noord-centraal of VS - oost |
| Rms.eu.aadrm.com | Europa - noord of Europa - west |
| Rms.ap.aadrm.com | Azië - oost of Azië - zuidoost |
| Rms.sa.aadrm.com | VS - west of VS - oost |
| Rms.govus.aadrm.com | VS - centraal of VS - oost 2 |
| Rms.aadrm.us | US Gov Virginia of US Gov Arizona |
| Rms.aadrm.cn | China - oost 2 of China - noord 2 |
Uw sleutel maken en configureren
Belangrijk
Zie Sleutelautorisatie inschakelen voor beheerde HSM-sleutels via Azure CLI voor informatie die specifiek is voor beheerde HSM's.
Maak een Azure Key Vault en de sleutel die u wilt gebruiken voor Azure Information Protection. Zie de documentatie van Azure Key Vault voor meer informatie.
Let op het volgende voor het configureren van uw Azure Key Vault en sleutel voor BYOK:
- Vereisten voor sleutellengte
- Een on-premises met HSM beveiligde sleutel maken en deze overdragen naar uw sleutelkluis
- Azure Information Protection configureren met uw sleutel-id
- De Azure Rights Management-service autoriseren om uw sleutel te gebruiken
Vereisten voor sleutellengte
Zorg er bij het maken van uw sleutel voor dat de sleutellengte 2048 bits (aanbevolen) of 1024 bits is. Andere sleutellengten worden niet ondersteund door Azure Information Protection.
Notitie
1024-bits sleutels worden niet beschouwd als een voldoende beveiligingsniveau voor actieve tenantsleutels.
Microsoft onderschrijft het gebruik van lagere sleutellengten, zoals 1024-bits RSA-sleutels, en het bijbehorende gebruik van protocollen die onvoldoende beschermingsniveaus bieden, zoals SHA-1.
Een on-premises met HSM beveiligde sleutel maken en deze overdragen naar uw sleutelkluis
Als u een on-premises met HSM beveiligde sleutel wilt maken en deze wilt overdragen naar uw sleutelkluis als een met HSM beveiligde sleutel, volgt u de procedures in de Azure Key Vault-documentatie: Met HSM beveiligde sleutels genereren en overdragen voor Azure Key Vault.
Als Azure Information Protection de overgedragen sleutel kan gebruiken, moeten alle Key Vault-bewerkingen zijn toegestaan voor de sleutel, waaronder:
- encryptie
- decrypt
- wrapKey
- unwrapKey
- Teken
- Controleren
Standaard zijn alle Key Vault-bewerkingen toegestaan.
Voer de volgende PowerShell-opdracht uit om de toegestane bewerkingen voor een specifieke sleutel te controleren:
(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps
Voeg indien nodig toegestane bewerkingen toe met behulp van Update-AzKeyVaultKey en de KeyOps-parameter .
Azure Information Protection configureren met uw sleutel-id
Sleutels die zijn opgeslagen in Azure Key Vault hebben elk een sleutel-id.
De sleutel-id is een URL die de naam van de sleutelkluis, de sleutelcontainer, de naam van de sleutel en de sleutelversie bevat. Bijvoorbeeld: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333
Configureer Azure Information Protection om uw sleutel te gebruiken door de URL van de sleutelkluis op te geven.
De Azure Rights Management-service autoriseren om uw sleutel te gebruiken
De Azure Rights Management-service moet zijn gemachtigd om uw sleutel te kunnen gebruiken. Azure Key Vault-beheerders kunnen deze autorisatie inschakelen met behulp van Azure Portal of Azure PowerShell.
Sleutelautorisatie inschakelen met behulp van Azure Portal
Meld u aan bij De Azure-portal en ga naar Sleutelkluizen<>met de naam>>toegangsbeleid>voor de sleutelkluis. Voeg nieuwe toe.
Selecteer in het deelvenster Toegangsbeleid toevoegen in de keuzelijst Configureren vanuit sjabloon (optioneel) de optie Azure Information Protection BYOK en klik vervolgens op OK.
De geselecteerde sjabloon heeft de volgende configuratie:
- De principal-waarde Select is ingesteld op Microsoft Rights Management Services.
- Geselecteerde sleutelmachtigingen omvatten Ophalen, Ontsleutelen en Ondertekenen.
Sleutelautorisatie inschakelen met Behulp van PowerShell
Voer de Key Vault PowerShell-cmdlet Set-AzKeyVaultAccessPolicy uit en verdeel machtigingen aan de Azure Rights Management-service-principal met behulp van de GUID 000000012-0000-0000-c0000-00000000000.
Voorbeeld:
Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Sleutelautorisatie inschakelen voor beheerde HSM-sleutels via Azure CLI
Voer de volgende opdracht uit om de gebruikersmachtigingen van de Azure Rights Management-service-principal toe te kennen als een beheerde HSM Crypto-gebruiker :
az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey
Hierin:
- ContosoMHSM is een voorbeeld van een HSM-naam. Wanneer u deze opdracht uitvoert, vervangt u deze waarde door uw eigen HSM-naam.
Met de gebruikersrol Beheerde HSM Crypto User kan de gebruiker machtigingen ontsleutelen, ondertekenen en ophalen voor de sleutel, die allemaal vereist zijn voor de beheerde HSM-functionaliteit.
Azure Information Protection configureren om uw sleutel te gebruiken
Zodra u alle bovenstaande stappen hebt voltooid, kunt u Azure Information Protection configureren om deze sleutel te gebruiken als tenantsleutel van uw organisatie.
Voer de volgende opdrachten uit met behulp van Azure RMS-cmdlets:
Verbinding maken bij de Azure Rights Management-service en meld u aan:
Connect-AipServiceVoer de cmdlet Use-AipServiceKeyVaultKey uit en geef de sleutel-URL op. Voorbeeld:
Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"Belangrijk
In dit voorbeeld
<key-version>is dit de versie van de sleutel die u wilt gebruiken. Als u de versie niet opgeeft, wordt de huidige versie van de sleutel standaard gebruikt en lijkt de opdracht te werken. Als uw sleutel later wordt bijgewerkt of vernieuwd, werkt de Azure Rights Management-service niet meer voor uw tenant, zelfs als u de opdracht Use-AipServiceKeyVaultKey opnieuw uitvoert.Gebruik indien nodig de opdracht Get-AzKeyVaultKey om het versienummer van de huidige sleutel op te halen.
Bijvoorbeeld:
Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'Als u wilt controleren of de sleutel-URL juist is ingesteld voor Azure Information Protection, voert u de opdracht Get-AzKeyVaultKey uit in Azure Key Vault om de sleutel-URL weer te geven.
Als de Azure Rights Management-service al is geactiveerd, voert u Set-AipServiceKeyProperties uit om Azure Information Protection te laten weten dat deze sleutel moet worden gebruikt als de actieve tenantsleutel voor de Azure Rights Management-service.
Azure Information Protection is nu geconfigureerd voor het gebruik van uw sleutel in plaats van de standaard door Microsoft gemaakte sleutel die automatisch is gemaakt voor uw tenant.
Volgende stappen
Zodra u BYOK-beveiliging hebt geconfigureerd, gaat u verder met de basissleutel van uw tenant voor meer informatie over het gebruik en het beheer van uw sleutel.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor