Stap 2: migratie van met HSM beschermde sleutel naar met HSM beschermde sleutel

Van toepassing op: Active Directory Rights Management Services, Azure Information Protection

Relevant voor: Client voor eenduidige AIP-labels en klassieke client

Notitie

Om een geïntegreerde en gestroomlijnde klant ervaring te bieden, zijn de Azure Information Protection klassieke client en Label beheer in azure Portal verouderd vanaf 31 maart 2021. Terwijl de klassieke client blijft werken zoals geconfigureerd, wordt er geen verdere ondersteuning geboden en worden er geen onderhouds versies meer vrijgegeven voor de klassieke client.

We raden u aan om te migreren naar Unified labels en een upgrade uit te voeren naar de Unified labeling-client. Meer informatie vindt u in onze recente blog voor afschaffing.

Instructies die deel uitmaken van het migratiepad van AD RMS naar Azure Information Protection en die alleen van toepassing zijn als uw AD RMS-sleutel HSM-beveiliging heeft en u wilt migreren naar Azure Information Protection met een tenantsleutel met HSM-beveiliging in Azure Key Vault.

Als dit niet uw gekozen configuratiescenario is, gaat u terug naar Stap 4. Exporteer configuratiegegevens uit AD RMS importeer deze naar Azure RMS en kies een andere configuratie.

Notitie

Voor deze instructies is ervan uitgegaan dat uw AD RMS-sleutel is beveiligd met een module. Dit is de meest voorkomende geval.

De procedure om uw HSM-sleutel en AD RMS-configuratie te importeren in Azure Information Protection, wat erin resulteert dat uw Azure Information Protection-tenantsleutel wordt beheerd door u (BYOK), bestaat uit twee delen.

Aangezien uw Azure Information Protection-tenantsleutel wordt opgeslagen en beheerd door Azure Key Vault, vereist dit deel van de migratie niet alleen beheer in Azure Key Vault, maar ook in Azure Information Protection. Als Azure Key Vault voor uw organisatie wordt beheerd door een andere beheerder dan u, moet u coördineren en samenwerken met deze beheerder om deze procedures te voltooien.

Voordat u begint, zorgt u ervoor dat uw organisatie een sleutelkluis heeft die is gemaakt in Azure Key Vault en dat deze sleutelkluis met HSM-beveiligde sleutels ondersteunt. Alhoewel het geen vereiste is, wordt aanbevolen dat u een toegewezen sleutelkluis voor Azure Information Protection hebt. Deze sleutelkluis wordt zodanig geconfigureerd dat Azure Information Protection hiertoe toegang heeft, zodat alleen sleutels Azure Information Protection-sleutels moeten worden opgeslagen in deze sleutelkluis.

Tip

Als u de configuratiestappen voor Azure Key Vault uitvoert en u niet bekend bent met deze Azure-service, is het wellicht handig vooraf Aan de slag met Azure Key Vault te raadplegen.

Stap 1: uw HSM-sleutel overdragen naar Azure Key Vault

Deze procedures moeten worden uitgevoerd door de beheerder van Azure Key Vault.

  1. Gebruik voor elke geëxporteerde sleutel voor serverlicentiecertificaten die u in Azure Key Vault wilt opslaan, de instructies in Implementing bring your own key (BYOK) for Azure Key Vault (BYOK (Bring Your Own Key) implementeren voor Azure Key Vault) van de Azure Key Vault-documentatie, met de volgende uitzondering:

    • U hoeft de stappen voor Uw tenantsleutel genereren niet te volgen, omdat u het equivalent van uw AD RMS-implementatie al hebt. Identificeer in plaats daarvan de sleutels die door uw AD RMS-server worden gebruikt vanuit de nCipher-installatie, bereid deze sleutels voor op overdracht en breng ze vervolgens over naar Azure Key Vault.

      Versleutelde sleutelbestanden voor nCipher krijgen de naam key_<keyAppName>_<keyIdentifier > lokaal op de server. Bijvoorbeeld C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54. U hebt de mscapi-waarde als keyAppName en uw eigen waarde voor de sleutel-id nodig wanneer u de opdracht KeyTransferRemote gebruikt om een kopie van de sleutel met beperkte machtigingen te maken.

      Tijdens het uploaden van de sleutel naar Azure Key Vault worden de eigenschappen van de sleutel weergegeven, zoals de sleutel-id. Het ziet er ongeveer uit als https : /contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Noteer deze URL. De Azure Information Protection-beheerder heeft deze namelijk nodig om in de Azure Rights Management-service in te stellen dat deze sleutel wordt gebruikt voor de tenantsleutel.

  2. Gebruik op het met internet verbonden werkstation in een PowerShell-sessie de cmdlet Set-AzKeyVaultAccessPolicy om de Azure Rights Management-service-principal toegang te geven tot de sleutelkluis waarin de Azure Information Protection-tenantsleutel wordt opgeslagen. De vereiste machtigingen zijn decoderen, coderen, sleutel uitpakken, sleutel inpakken, controleren en ondertekenen.

    Als de sleutelkluis die u hebt gemaakt voor Azure Information Protection bijvoorbeeld de naam contoso-byok-ky heeft en uw resourcegroep de naam contoso-byok-rg heeft, voert u de volgende opdracht uit:

    Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
    

Nu u uw HSM-sleutel in Azure Key Vault voor de Azure Rights Management-service van Azure Information Protection hebt voorbereid, kunt u uw configuratiegegevens van AD RMS importeren.

Deel 2: de configuratiegegevens importeren naar Azure Information Protection

Deze procedures moeten worden uitgevoerd door de beheerder van Azure Information Protection.

  1. Maak op het met internet verbonden werkstation en in de PowerShell-sessie verbinding met de Azure Rights Management-service met behulp van de cmdlet Verbinding maken-AipService.

    Upload vervolgens elk trusted publishing domain -bestand (.xml) met behulp van de cmdlet Import-AipServiceTpd. U moet bijvoorbeeld over ten minste één extra te importeren bestand beschikken als u voor uw AD RMS-cluster een upgrade hebt uitgevoerd voor cryptografische modus 2.

    Als u deze cmdlet wilt uitvoeren, hebt u het wachtwoord nodig dat u eerder hebt opgegeven voor elk configuratiegegevensbestand en de URL voor de sleutel die is geïdentificeerd in de vorige stap.

    Als u bijvoorbeeld het configuratiegegevensbestand C:\contoso-tpd1.xml en de URL-waarde voor de sleutel uit de vorige stap gebruikt, voert u het volgende uit om het wachtwoord op te slaan:

    $TPD_Password = Read-Host -AsSecureString
    

    Voer het wachtwoord in dat u hebt opgegeven om het configuratiegegevensbestand te exporteren. Voer daarna de volgende opdracht uit en bevestig dat u deze actie wilt uitvoeren:

    Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    De sleutel voor serverlicentiecertificaten wordt geïmporteerd en automatisch ingesteld als gearchiveerd tijdens deze importbewerking.

  2. Wanneer u elk bestand hebt geüpload, voer dan Set-AipServiceKeyProperties uit om op te geven welke geïmporteerde sleutel overeenkomt met de momenteel actieve SLC-sleutel in uw AD RMS cluster. Deze sleutel wordt de actieve tenantsleutel voor uw Azure Rights Management-service.

  3. Gebruik de cmdlet Disconnect-AipServiceService om de verbinding met de Azure Rights Management verbreken:

    Disconnect-AipServiceService
    

Als u later moet bevestigen welke sleutel uw Azure Information Protection tenantsleutel in Azure Key Vault gebruikt, gebruikt u de cmdlet Get-AipServiceKeys Azure RMS sleutel.

U bent nu klaar om naar stap 5 te gaan. Activeer de Azure Rights Management service.