BYOK-gegevens (Bring Your Own Key) voor Azure Information Protection

Van toepassing op : Azure Information Protection, Office 365

Relevant voor: Client voor eenduidige AIP-labels en klassieke client

Notitie

Om een geïntegreerde en gestroomlijnde klant ervaring te bieden, zijn de Azure Information Protection klassieke client en Label beheer in azure Portal verouderd vanaf 31 maart 2021. Terwijl de klassieke client blijft werken zoals geconfigureerd, wordt er geen verdere ondersteuning geboden en worden er geen onderhouds versies meer vrijgegeven voor de klassieke client.

We raden u aan om te migreren naar Unified labels en een upgrade uit te voeren naar de Unified labeling-client. Meer informatie vindt u in onze recente blog voor afschaffing.

Organisaties met een Azure Information Protection kunnen ervoor kiezen om hun tenant te configureren met hun eigen sleutel in plaats van een standaardsleutel die door Microsoft wordt gegenereerd. Deze configuratie wordt vaak aangeduid als Bring Your Own Key (BYOK).

BYOK en logboekregistratie van gebruik werken naadloos met toepassingen die kunnen worden geïntegreerd met de Azure Rights Management-service die wordt gebruikt door Azure Information Protection.

Ondersteunde toepassingen zijn onder andere:

  • Cloudservices, zoals Microsoft SharePoint of Microsoft 365

  • On-premises services die Exchange en SharePoint die gebruikmaken van de Azure Rights Management-service via de RMS-connector

  • Clienttoepassingen, zoals Office 2019, Office 2016 en Office 2013

Tip

Pas indien nodig extra beveiliging toe op specifieke documenten met behulp van een extra on-premises sleutel. Zie DKE-beveiliging (Double Key Encryption) (alleen client voor eenduidige labels) voor meer informatie.

Als u de klassieke client hebt en extra on-premises beveiliging nodig hebt, implementeert u in plaats daarvan HyOK-beveiliging (Hold Your Own Key).

Azure Key Vault-sleutelopslag

Door de klant gegenereerde sleutels moeten worden opgeslagen in de Azure Key Vault voor BYOK-beveiliging.

Notitie

Voor het gebruik van met HSM beveiligde sleutels in Azure Key Vault is een Azure Key Vault Premium-servicelaagvereist, waarvoor maandelijkse abonnementskosten in rekening worden gebracht.

Sleutelkluizen en abonnementen delen

U wordt aangeraden een toegewezen sleutelkluis voor uw tenantsleutel te gebruiken. Toegewezen sleutelkluizen helpen ervoor te zorgen dat aanroepen door andere services er niet toe leiden dat servicelimieten worden overschreden. Het overschrijden van servicelimieten voor de sleutelkluis waarin uw tenantsleutel is opgeslagen, kan leiden tot een beperking van de reactietijd Azure Rights Management service.

Aangezien verschillende services verschillende vereisten voor sleutelbeheer hebben, raadt Microsoft ook aan om een toegewezen Azure-abonnement voor uw sleutelkluis te gebruiken. Toegewezen Azure-abonnementen:

  • Bescherming tegen onjuiste configuraties

  • Veiliger zijn wanneer verschillende services verschillende beheerders hebben

Als u een Azure-abonnement wilt delen met andere services die gebruikmaken Azure Key Vault, moet u ervoor zorgen dat het abonnement een gemeenschappelijke set beheerders deelt. Als u bevestigt dat alle beheerders die het abonnement gebruiken een solide kennis hebben van elke sleutel die ze kunnen openen, betekent dit dat ze uw sleutels minder waarschijnlijk onjuist zullen configureren.

Voorbeeld: Het gebruik van een gedeeld Azure-abonnement wanneer de beheerders voor uw Azure Information Protection-tenantsleutel dezelfde personen zijn die uw sleutels voor Office 365-klantsleutel en CRM online beheren. Als de belangrijkste beheerders voor deze services verschillen, raden we u aan om toegewezen abonnementen te gebruiken.

Voordelen van het gebruik van Azure Key Vault

Azure Key Vault biedt een gecentraliseerde en consistente oplossing voor sleutelbeheer voor veel cloudservices en on-premises services die gebruikmaken van versleuteling.

Naast het beheren van sleutels, biedt Azure Key Vault beveiligingsbeheerders dezelfde ervaring bij het beheer van de opslag, het bieden van toegang en het beheren van certificaten en geheimen (zoals wachtwoorden) voor andere services en toepassingen die gebruikmaken van versleuteling.

Het opslaan van uw tenantsleutel in Azure Key Vault biedt de volgende voordelen:

Voordeel Description
Ingebouwde interfaces Azure Key Vault ondersteunt een aantal ingebouwde interfaces voor sleutelbeheer, waaronder PowerShell, CLI REST-API's en de Azure-portal.

Andere services en hulpprogramma's zijn geïntegreerd Key Vault geoptimaliseerde mogelijkheden voor specifieke taken, zoals bewaking.

Analyseer bijvoorbeeld uw logboeken voor sleutelgebruik met Logboekanalyse van Operations Management Suite, stel waarschuwingen in wanneer aan bepaalde criteria wordt voldaan, en meer.
Scheiding van rollen Azure Key Vault biedt scheiding van rollen als een herkend beveiligingsbeleid best practice.

Rolscheiding zorgt ervoor dat Azure Information Protection kunnen focussen op hun hoogste prioriteiten, waaronder het beheren van gegevensclassificatie en -beveiliging, evenals versleutelingssleutels en beleidsregels voor specifieke beveiligings- of nalevingsvereisten.
Locatie van hoofdsleutel Azure Key Vault is beschikbaar op verschillende locaties en ondersteunt organisaties met beperkingen waar hoofdsleutels kunnen worden gebruikt.

Zie de pagina Producten beschikbaar per regio op de Azure-site voor meer informatie.
Gescheiden beveiligingsdomeinen Azure Key Vault maakt gebruik van afzonderlijke beveiligingsdomeinen voor de datacenters in regio's zoals Noord-Amerika, EMEA (Europa, Midden-Oosten en Afrika) en Azië.

Azure Key Vault maakt ook gebruik van verschillende exemplaren van Azure, zoals Microsoft Azure Duitsland en Azure Government.
Uniforme ervaring Azure Key Vault beveiligingsbeheerders ook in staat om certificaten en geheimen, zoals wachtwoorden, op te slaan, te openen en te beheren voor andere services die gebruikmaken van versleuteling.

Het Azure Key Vault voor uw tenantsleutels biedt een naadloze gebruikerservaring voor beheerders die al deze elementen beheren.

Voor de nieuwste updates en voor meer informatie over hoe andere services Azure Key Vaultgebruiken, gaat u naar Azure Key Vault teamblog.

Logboekregistratie van gebruik voor BYOK

Gebruikslogboeken worden gegenereerd door elke toepassing die aanvragen bij de Azure Rights Management service doet.

Hoewel logboekregistratie van gebruik optioneel is, raden we u aan de bijna realtime gebruikslogboeken van Azure Information Protection om precies te zien hoe en wanneer uw tenantsleutel wordt gebruikt.

Zie Logboekregistratie en analyse van het beveiligingsgebruik van de Azure Information Protection voor meer informatie over logboekregistratie van sleutelgebruik Azure Information Protection.

Tip

Voor extra zekerheid kan er Azure Information Protection naar logboekregistratie van het gebruik worden verwezen met Azure Key Vault logboekregistratie. Key Vault logboeken bieden een betrouwbare methode om onafhankelijk te controleren of uw sleutel alleen wordt gebruikt door Azure Rights Management service.

Zo nodig kunt u de toegang tot uw sleutel onmiddellijk intrekken door machtigingen voor de sleutelkluis te verwijderen.

Opties voor het maken en opslaan van uw sleutel

Notitie

De Azure Information Protection Azure Key Vault beheerde HSM-ondersteuning, alleen voor gebruik met niet-productieten tenants, is momenteel in preview. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Zie de documentatie over de beheerde HSM en het instellen van een kluis en een sleutel voor Azure Key Vault informatie.

Aanvullende instructies voor het verlenen van sleutelautorisatie worden hieronder beschreven.

BYOK ondersteunt sleutels die worden gemaakt in Azure Key Vault of on-premises.

Als u uw sleutel on-premises maakt, moet u deze overdragen of importeren in uw Key Vault en Azure Information Protection configureren om de sleutel te gebruiken. Voer extra sleutelbeheer uit vanuit Azure Key Vault.

Opties voor het maken en opslaan van uw eigen sleutel:

  • Gemaakt in Azure Key Vault. Maak en bewaar uw sleutel in Azure Key Vault als een met HSM beveiligde sleutel of een met software beschermde sleutel.

  • On-premises gemaakt. Maak uw sleutel on-premises en breng deze over naar Azure Key Vault met behulp van een van de volgende opties:

    • Met HSM beveiligde sleutel, overgedragen als een met HSM beveiligde sleutel. De meest gebruikelijke methode die u kiest.

      Hoewel deze methode de meeste administratieve overhead heeft, kan het voor uw organisatie nodig zijn om specifieke voorschriften te volgen. De HMS's die door Azure Key Vault worden gebruikt, worden gevalideerd met FIPS 140-2 Level 2.

    • Met software beschermde sleutel die wordt geconverteerd naar en Azure Key Vault als een met HSM beveiligde sleutel . Deze methode wordt alleen ondersteund bij het migreren van Active Directory Rights Management Services (AD RMS).

    • On-premises gemaakt als een met software beveiligde sleutel en overgedragen naar Azure Key Vault als een met software beveiligde sleutel. Voor deze methode is een vereist. PFX-certificaatbestand.

Ga bijvoorbeeld als volgt te werk om een sleutel te gebruiken die on-premises is gemaakt:

  1. Genereer uw tenantsleutel op uw locatie, in overeenstemming met het IT- en beveiligingsbeleid van uw organisatie. Deze sleutel is de hoofdkopie. Deze blijft on-premises en u bent vereist voor de back-up.

  2. Maak een kopie van de hoofdsleutel en breng deze veilig over van uw HSM naar Azure Key Vault. Tijdens dit proces verlaat de hoofdkopie van de sleutel nooit de grens van de hardwarebeveiliging.

Na de overgedragen wordt de kopie van de sleutel beveiligd door Azure Key Vault.

Uw vertrouwde publicatiedomein exporteren

Als u ooit besluit om te stoppen met Azure Information Protection, hebt u een Trusted Publishing Domain (TPD) nodig om inhoud te ontsleutelen die is beveiligd door Azure Information Protection.

Het exporteren van uw TPD wordt echter niet ondersteund als u BYOK gebruikt voor uw Azure Information Protection sleutel.

Als voorbereiding op dit scenario moet u van tevoren een geschikte TPD maken. Zie How to prepare an Azure Information Protection 'Cloud Exit'-plan voor meer informatie.

BYOK implementeren voor uw Azure Information Protection tenantsleutel

Gebruik de volgende stappen om BYOK te implementeren:

  1. BYOK-vereisten controleren
  2. Kies een Key Vault locatie
  3. Uw sleutel maken en configureren

Vereisten voor BYOK

BYOK-vereisten variëren, afhankelijk van uw systeemconfiguratie. Controleer of uw systeem voldoet aan de volgende vereisten:

Vereiste Beschrijving
Azure-abonnement Vereist voor alle configuraties.
Zie Controleren of u een BYOK-compatibel Azure-abonnementhebt voor meer informatie.
AIPService PowerShell-module voor Azure Information Protection Vereist voor alle configuraties.
Zie Installing the AIPService PowerShell module (De AIPService PowerShell-module installeren) voor meer informatie.
Azure Key Vault voor BYOK Als u een met HSM beveiligde sleutel gebruikt die on-premises is gemaakt, moet u ervoor zorgen dat u ook voldoet aan de vereisten voor BYOK die worden vermeld in de Azure Key Vault documentatie.
Thales-firmwareversie 11.62 U moet een Thales-firmwareversie van 11.62 hebben als u van AD RMS naar Azure Information Protection migreert met behulp van een softwaresleutel naar een hardwaresleutel en Thales-firmware gebruikt voor uw HSM.
Firewall-bypass voor vertrouwde Microsoft-services Als de sleutelkluis die uw tenantsleutel bevat, gebruikmaakt van Virtual Network Service-eindpunten voor Azure Key Vault, moet u vertrouwde Microsoft-services toestaan om deze firewall te omzeilen.
Zie Service-eindpunten voor Virtual Network voor meer informatie Azure Key Vault.

Controleren of u een BYOK-compatibel Azure-abonnement hebt

Uw Azure Information Protection tenant moet een Azure-abonnement hebben. Als u nog geen account hebt, kunt u zich registreren voor een gratis account. Als u echter een met HSM beveiligde sleutel wilt gebruiken, moet u de Azure Key Vault Premium servicelaag hebben.

Het gratis Azure-abonnement dat toegang biedt tot Azure Active Directory en Azure Rights Management configuratie van aangepaste sjablonen is niet voldoende voor het gebruik van Azure Key Vault.

Als u wilt controleren of u een Azure-abonnement hebt dat compatibel is met BYOK, doet u het volgende om te controleren, met behulp Azure PowerShell cmdlets:

  1. Start een Azure PowerShell als beheerder.

  2. Meld u aan als globale beheerder voor uw Azure Information Protection tenant met Connect-AzAccount behulp van .

  3. Kopieer het token dat wordt weergegeven naar het klembord. Ga vervolgens in een browser naar en https://microsoft.com/devicelogin voer het gekopieerde token in.

    Zie Aanmelden met Azure PowerShell voor meer Azure PowerShell.

  4. Voer in uw PowerShell-sessie in Get-AzSubscription en controleer of de volgende waarden worden weergegeven:

    • De naam en id van uw abonnement
    • Uw Azure Information Protection tenant-id
    • Bevestiging dat de status is ingeschakeld

    Als er geen waarden worden weergegeven en u wordt teruggegeven aan de prompt, hebt u geen Azure-abonnement dat kan worden gebruikt voor BYOK.

De locatie van uw sleutelkluis kiezen

Wanneer u een sleutelkluis maakt die de sleutel bevat die moet worden gebruikt als uw tenantsleutel voor Azure Information, moet u een locatie opgeven. Deze locatie is een Azure-regio of Azure-exemplaar.

Maak uw keuze eerst voor naleving en vervolgens om de netwerklatentie te minimaliseren:

  • Als u de BYOK-sleutelmethode hebt gekozen om nalevingsredenen, kunnen deze nalevingsvereisten ook verplicht stellen welke Azure-regio of -instantie kan worden gebruikt voor het opslaan van uw Azure Information Protection tenantsleutel.

  • Alle cryptografische aanroepen voor beveiligingsketen aan uw Azure Information Protection sleutel. Daarom kunt u de netwerklatentie minimaliseren die deze aanroepen vereisen door uw sleutelkluis te maken in dezelfde Azure-regio of -instantie als uw Azure Information Protection tenant.

Als u de locatie van uw Azure Information Protection tenant wilt identificeren, gebruikt u de PowerShell-cmdlet Get-AipServiceConfiguration en identificeert u de regio op basis van de URL's. Bijvoorbeeld:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

De regio is te herkennen aan rms.na.aadrm.com, en voor dit voorbeeld is deze in Noord-Amerika.

De volgende tabel bevat aanbevolen Azure-regio's en -exemplaren voor het minimaliseren van netwerklatentie:

Azure-regio of -exemplaar Aanbevolen locatie voor uw sleutelkluis
rms.na.aadrm.com VS - noord-centraal of VS - oost
rms.eu.aadrm.com Europa - noord of Europa - west
rms.ap.aadrm.com Azië - oost Azië - zuidoost
rms.sa.aadrm.com VS - west of VS - oost
rms.govus.aadrm.com VS - centraal of VS - oost 2
rms.aadrm.us US Gov - Virginia of US Gov - Arizona
rms.aadrm.cn China - oost 2 of China - noord 2

Uw sleutel maken en configureren

Belangrijk

Zie Sleutelautorisatie inschakelen voor beheerde HSM-sleutels via Azure CLI voor specifieke informatie over beheerde HSM's.

Maak een Azure Key Vault en de sleutel die u wilt gebruiken voor Azure Information Protection. Zie de Azure Key Vault voor meer informatie.

Let op het volgende voor het configureren van Azure Key Vault en sleutel voor BYOK:

Vereisten voor sleutellengte

Zorg er bij het maken van uw sleutel voor dat de sleutellengte 2048 bits (aanbevolen) of 1024 bits is. Andere sleutellengten worden niet ondersteund door Azure Information Protection.

Notitie

1024-bits sleutels worden niet beschouwd als een voldoende beveiligingsniveau voor actieve tenantsleutels.

Microsoft onderschrijft het gebruik van lagere sleutellengten, zoals 1024-bits RSA-sleutels en het bijbehorende gebruik van protocollen die onvoldoende beschermingsniveaus bieden, zoals SHA-1.

Een on-premises met HSM beveiligde sleutel maken en deze overdragen naar uw sleutelkluis

Als u on-premises een met HSM beveiligde sleutel wilt maken en deze als een met HSM beveiligde sleutel naar uw sleutelkluis wilt overdragen, volgt u de procedures in de Azure Key Vault-documentatie: Met HSMbeveiligde sleutels genereren en overdragen voor Azure Key Vault .

Als Azure Information Protection de overgedragen sleutel wilt gebruiken, moeten alle Key Vault zijn toegestaan voor de sleutel, waaronder:

  • encrypt
  • decrypt
  • wrapKey
  • unwrapKey
  • Teken
  • Controleren

Standaard zijn alle Key Vault toegestaan.

Voer de volgende PowerShell-opdracht uit om de toegestane bewerkingen voor een specifieke sleutel te controleren:

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

Voeg indien nodig toegestane bewerkingen toe met behulp van Update-AzKeyVaultKey en de parameter KeyOps.

Configuratie van Azure Information Protection met uw sleutel-id

Sleutels die zijn opgeslagen in Azure Key Vault hebben elk een sleutel-id.

De sleutel-id is een URL die de naam van de sleutelkluis, de sleutelcontainer, de naam van de sleutel en de sleutelversie bevat. Bijvoorbeeld:

https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.

Configureer Azure Information Protection uw sleutel te gebruiken door de URL van de sleutelkluis op te geven.

De Azure Rights Management service autoriseren om uw sleutel te gebruiken

De Azure Rights Management-service moet gemachtigd zijn om uw sleutel te gebruiken. Azure Key Vault kunnen deze autorisatie inschakelen met behulp van Azure Portal of Azure PowerShell.

Sleutelautorisatie inschakelen met behulp van Azure Portal
  1. Meld u aan bij Azure Portal en ga naar Toegangsbeleid voor sleutelkluizen > <your key vault name> > > Nieuwe toevoegen.

  2. Selecteer in het deelvenster Toegangsbeleid toevoegen in het keuzevak Configureren op basis van sjabloon (optioneel) de optie Azure Information Protection BYOK en klik vervolgens op OK.

    De geselecteerde sjabloon heeft de volgende configuratie:

    • De waarde Principal selecteren is ingesteld op Microsoft Rights Management Services.
    • Geselecteerde sleutelmachtigingen zijn Get, Decrypt en Sign.
Sleutelautorisatie inschakelen met Behulp van PowerShell

Voer de Key Vault PowerShell-cmdlet Set-AzKeyVaultAccessPolicyuit en verleen machtigingen aan de Azure Rights Management-service-principal met behulp van de GUID 00000012-0000-0000-c000-00000000000.

Bijvoorbeeld:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Sleutelautorisatie inschakelen voor beheerde HSM-sleutels via Azure CLI

Als u de Azure Rights Management service-principal gebruikersmachtigingen wilt verlenen als een cryptogebruiker van een beheerde HSM, moet u de volgende opdracht uitvoeren:

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee 00000012-0000-0000-c000-000000000000 --scope /keys/contosomhsmkey

Waar:

  • 00000012-0000-0000-c000-00000000000 is de GUID die in deze opdracht moet worden gebruikt
  • ContosoMHSM is een voorbeeld van een HSM-naam. Bij het uitvoeren van deze opdracht vervangt u deze waarde door de naam van uw eigen HSM.

Met de gebruikersrol Cryptogebruiker van beheerde HSM kan de gebruiker machtigingen voor de sleutel ontsleutelen, ondertekenen en krijgen, die allemaal vereist zijn voor de beheerde HSM-functionaliteit.

Notitie

Beheerde HSM is in openbare preview, maar het verlenen van de rol Cryptogebruiker voor beheerde HSM wordt alleen ondersteund via Azure CLI.

Uw Azure Information Protection configureren om uw sleutel te gebruiken

Nadat u alle bovenstaande stappen hebt voltooid, kunt u de Azure Information Protection om deze sleutel te gebruiken als tenantsleutel van uw organisatie.

Voer Azure RMS volgende opdrachten uit met behulp van Azure RMS-cmdlets:

  1. Verbinding maken bij de Azure Rights Management service en meld u aan:

    Connect-AipService
    
  2. Voer de cmdlet Use-AipServiceKeyVaultKey uit engeef de sleutel-URL op. Bijvoorbeeld:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
    

    Belangrijk

    In dit voorbeeld <key-version> is de versie van de sleutel die u wilt gebruiken. Als u de versie niet opgeeft, wordt standaard de huidige versie van de sleutel gebruikt en lijkt de opdracht te werken. Als uw sleutel later echter wordt bijgewerkt of vernieuwd, werkt de Azure Rights Management-service niet meer voor uw tenant, zelfs niet als u de opdracht Use-AipServiceKeyVaultKey opnieuw hebt uitgevoerd.

    Gebruik zo nodig de opdracht Get-AzKeyVaultKey om het versienummer van de huidige sleutel op te halen.

    Bijvoorbeeld: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    Voer de opdracht Get-AzKeyVaultKey uit in de Azure Key Vault om de sleutel-URL weer te geven om te bevestigen dat de sleutel-URL juist is ingesteld voor Azure Information Protection.

  3. Als de Azure Rights Management-service al is geactiveerd, moet u Set-AipServiceKeyProperties uitvoeren om Azure Information Protection te laten weten dat deze sleutel moet worden gebruikt als de actieve tenantsleutel voor de Azure Rights Management service.

Azure Information Protection is nu geconfigureerd voor het gebruik van uw sleutel in plaats van de standaard door Microsoft gemaakte sleutel die automatisch is gemaakt voor uw tenant.

Volgende stappen

Nadat u BYOK-beveiliging hebt geconfigureerd, gaat u verder met Aan de slag met de basissleutel van uw tenant voor meer informatie over het gebruik en beheer van uw sleutel.