Szczegółowe informacje dotyczące bring your own key (BYOK) dla Azure Information Protection

Dotyczy: Azure Information Protection, Office 365

Dotyczy: Ujednolicony klient etykietowania usługi AIP i klient klasyczny

Uwaga

Aby zapewnić ujednolicone i usprawnione środowisko klienta, Azure Information Protection klasyczny klient i zarządzanie etykietami w witrynie Azure Portal są przestarzałe od 31 marca 2021. Mimo że klasyczny klient nadal działa zgodnie z konfiguracją, nie podano dalszej pomocy technicznej i wersje konserwacji nie będą już udostępniane dla klasycznego klienta.

Zalecamy przeprowadzenie migracji do ujednoliconej etykietowania i uaktualnienia do ujednoliconego klienta etykietowania. Więcej informacji znajdziesz w naszym blogu dotyczącym wycofania.

Organizacje z subskrypcją Azure Information Protection mogą skonfigurować swoją dzierżawę przy użyciu własnego klucza zamiast klucza domyślnego wygenerowanego przez firmę Microsoft. Ta konfiguracja jest często określana jako Bring Your Own Key (BYOK).

Usługa BYOK i rejestrowanie użycia bezproblemowo działają z aplikacjami, które integrują się z usługą Azure Rights Management używaną przez usługę Azure Information Protection.

Obsługiwane aplikacje obejmują:

  • Usługi w chmurze, takie jak Microsoft SharePoint lub Microsoft 365

  • Usługi lokalne z uruchomionymi Exchange i SharePoint, które korzystają z usługi Azure Rights Management za pośrednictwem łącznika usługi RMS

  • Aplikacje klienckie, takie jak Office 2019, Office 2016 i Office 2013

Porada

W razie potrzeby zastosuj dodatkowe zabezpieczenia do określonych dokumentów przy użyciu dodatkowego klucza lokalnego. Aby uzyskać więcej informacji, zobacz Ochrona za pomocą podwójnego szyfrowania kluczami (tylko ujednolicony klient etykietowania).

Jeśli masz klasycznego klienta i potrzebujesz dodatkowej ochrony lokalnej, zamiast tego zaim implementuj ochronę przy wstrzymaniu własnego klucza (HYOK).

Azure Key Vault magazynu kluczy

Klucze wygenerowane przez klienta muszą być przechowywane w Azure Key Vault w celu ochrony za pomocą systemu BYOK.

Uwaga

Korzystanie z kluczy chronionych przez moduł HSM w Azure Key Vault wymaga warstwy Azure Key Vault Premium usługi, co wiąże się z dodatkową miesięczną opłatą za subskrypcję.

Udostępnianie magazynów kluczy i subskrypcji

Zalecamy użycie dedykowanego magazynu kluczy dla klucza dzierżawy. Dedykowane magazyny kluczy pomagają zapewnić, że wywołania innych usług nie powodują przekroczenia limitów usług. Przekroczenie limitów usługi w magazynie kluczy, w którym przechowywany jest klucz dzierżawy, może spowodować ograniczenie czasu odpowiedzi dla usługi Azure Rights Management Service.

Ponieważ różne usługi mają różne wymagania dotyczące zarządzania kluczami, firma Microsoft zaleca również używanie dedykowanej subskrypcji platformy Azure dla magazynu kluczy. Dedykowane subskrypcje platformy Azure:

  • Pomoc w ochronie przed błędami konfiguracji

  • Są bezpieczniejsze, gdy różne usługi mają różnych administratorów

Aby udostępnić subskrypcję platformy Azure innym usługom, które korzystają Azure Key Vault, upewnij się, że subskrypcja współużytkuje wspólny zestaw administratorów. Potwierdzenie, że wszyscy administratorzy, którzy korzystają z subskrypcji, mają solidną wiedzę na temat każdego klucza, do których mogą uzyskać dostęp, oznacza mniejsze prawdopodobieństwo błędnej konfiguracji kluczy.

Przykład: użycie udostępnionej subskrypcji platformy Azure, gdy administratorzy klucza dzierżawy usługi Azure Information Protection są tymi samymi osobami, które administrują twoimi kluczami dla klucza klienta Office 365 CRM Online. Jeśli kluczowi administratorzy tych usług są różni, zalecamy korzystanie z dedykowanych subskrypcji.

Zalety używania usługi Azure Key Vault

Azure Key Vault oferuje scentralizowane i spójne rozwiązanie do zarządzania kluczami dla wielu usług w chmurze i lokalnych, które używają szyfrowania.

Oprócz funkcji zarządzania kluczami usługa Azure Key Vault zapewnia administratorom zabezpieczeń jednolite środowisko zarządzania przechowywaniem certyfikatów i informacji poufnych (na przykład haseł), a także zarządzaniem nimi i dostępem do nich, dla innych usług i aplikacji korzystających z szyfrowania.

Przechowywanie klucza dzierżawy w Azure Key Vault zapewnia następujące korzyści:

Zaleta Opis
Wbudowane interfejsy Usługa Azure Key Vault obsługuje szereg wbudowanych interfejsów do zarządzania kluczami, takich jak program PowerShell, interfejs wiersza polecenia, interfejsy API REST oraz portal Azure.

Inne usługi i narzędzia zostały zintegrowane z Key Vault w celu zoptymalizowania możliwości określonych zadań, takich jak monitorowanie.

Na przykład przeanalizuj dzienniki użycia kluczy za pomocą analizy dzienników pakietu Operations Management Suite, ustaw alerty, gdy zostaną spełnione określone kryteria i tak dalej.
Separacja ról Azure Key Vault zapewnia separację ról jako uznawane najlepsze rozwiązanie w zakresie zabezpieczeń.

Separacja ról gwarantuje, że Azure Information Protection mogą skoncentrować się na swoich najwyższych priorytetach, w tym na zarządzaniu klasyfikacją i ochroną danych, a także na kluczach szyfrowania i zasadach dla określonych wymagań dotyczących zabezpieczeń lub zgodności.
Lokalizacja klucza głównego Azure Key Vault jest dostępna w różnych lokalizacjach i obsługuje organizacje z ograniczeniami, w których mogą być dostępne klucze główne.

Aby uzyskać więcej informacji, zobacz stronę Products available by region (Dostępne produkty według regionów) w witrynie platformy Azure.
Rozdzielone domeny zabezpieczeń Azure Key Vault używa oddzielnych domen zabezpieczeń dla swoich centrów danych w regionach, takich jak Ameryka Północna, EMEA (Europa, Bliski Wschód i Afryka) i Azja.

Azure Key Vault korzysta również z różnych wystąpień platformy Azure, takich jak Microsoft Azure Germany i Azure Government.
Ujednolicone środowisko Azure Key Vault umożliwia również administratorom zabezpieczeń przechowywanie certyfikatów i wpisów tajnych, takich jak hasła, oraz zarządzanie nimi dla innych usług, które używają szyfrowania.

Korzystanie Azure Key Vault kluczy dzierżawy zapewnia bezproblemowe środowisko użytkownika dla administratorów, którzy zarządzają wszystkimi tymi elementami.

Aby uzyskać najnowsze aktualizacje i dowiedzieć się, jak inne usługi korzystają Azure Key Vault, odwiedź blog Azure Key Vault zespołu.

Rejestrowanie użycia dla funkcji BYOK

Dzienniki użycia są generowane przez każdą aplikację, która wykonuje żądania do usługi Azure Rights Management service.

Mimo że rejestrowanie użycia jest opcjonalne, zalecamy użycie dzienników użycia niemal w czasie rzeczywistym z usługi Azure Information Protection, aby zobaczyć dokładnie, jak i kiedy używany jest klucz dzierżawy.

Aby uzyskać więcej informacji na temat rejestrowania użycia klucza dla funkcji BYOK, zobacz Rejestrowanie i analizowanie użycia ochrony z poziomu Azure Information Protection.

Porada

Aby uzyskać dodatkową pewność, Azure Information Protection rejestrowania użycia można odwoływać się do Azure Key Vault rejestrowania. Key Vault zapewniają niezawodną metodę niezależnego monitorowania, czy klucz jest używany tylko przez usługę Azure Rights Management Service.

W razie potrzeby natychmiast odwołaj dostęp do klucza, usuwając uprawnienia do magazynu kluczy.

Opcje tworzenia i przechowywania klucza

Uwaga

Obsługa Azure Information Protection Azure Key Vault HSM, do użytku tylko z dzierżawami nieprodukcyjną, jest obecnie dostępna w wersji zapoznawczej. Postanowienia uzupełniające dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, w wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

Aby uzyskać więcej informacji na temat oferty zarządzanego modułu HSM oraz sposobu skonfigurowania magazynu i klucza, zobacz dokumentację Azure Key Vault hsm.

Poniżej opisano dodatkowe instrukcje dotyczące autoryzacji klucza.

ByOK obsługuje klucze, które są tworzone Azure Key Vault lokalnie lub lokalnie.

Jeśli tworzysz klucz lokalnie, musisz go następnie przenieść lub zaimportować do swojego Key Vault i skonfigurować Azure Information Protection używania klucza. Wykonaj wszelkie dodatkowe czynności zarządzania kluczami z poziomu Azure Key Vault.

Opcje tworzenia i przechowywania własnego klucza:

  • Utworzono w Azure Key Vault. Utwórz i przechowuj klucz w Azure Key Vault jako klucz chroniony przez moduł HSM lub klucz chroniony przez oprogramowanie.

  • Utworzono lokalnie . Utwórz klucz lokalnie i przenieś go do Azure Key Vault przy użyciu jednej z następujących opcji:

    • Klucz chroniony przez moduł HSM, przesyłany jako klucz chroniony przez moduł HSM. Najczęściej wybierana metoda.

      Chociaż ta metoda ma największe koszty administracyjne, może być wymagane, aby organizacja przestrzegała określonych przepisów. Moduły HSM używane przez Azure Key Vault są zweryfikowane w programie FIPS 140-2 poziom 2.

    • Klucz chroniony przez oprogramowanie, który jest konwertowany i przesyłany do Azure Key Vault jako klucz chroniony przez moduł HSM. Ta metoda jest obsługiwana tylko podczas migracji z Usługi Active Directory Rights Management (AD RMS).

    • Utworzono lokalnie jako klucz chroniony przez oprogramowanie i przeniesiono do programu Azure Key Vault jako klucz chroniony przez oprogramowanie. Ta metoda wymaga metody . Plik certyfikatu PFX.

Na przykład wykonaj następujące czynności, aby użyć klucza utworzonego lokalnie:

  1. Wygeneruj klucz dzierżawy w środowisku lokalnym zgodnie z zasadami zabezpieczeń i IT w organizacji. Ten klucz jest kopią wzorcową. Pozostaje on w środowisku lokalnym i jest wymagany do tworzenia kopii zapasowej.

  2. Utwórz kopię klucza głównego i bezpiecznie przenieś go z modułu HSM do Azure Key Vault. W trakcie tego procesu główna kopia klucza nigdy nie opuszcza granic ochrony sprzętu.

Po przeniesieniu kopia klucza jest chroniona przez Azure Key Vault.

Eksportowanie zaufanej domeny publikacji

Jeśli kiedykolwiek zdecydujesz się na Azure Information Protection, będziesz potrzebować zaufanej domeny publikacji (TPD) do odszyfrowania zawartości chronionej przez Azure Information Protection.

Eksportowanie usługi TPD nie jest jednak obsługiwane, jeśli używasz usługi BYOK dla klucza Azure Information Protection danych.

Aby przygotować się do tego scenariusza, upewnij się, że z wyprzedzeniem utworzysz odpowiednią usługę TPD. Aby uzyskać więcej informacji, zobacz Jak przygotować plan Azure Information Protection "Cloud Exit".

Implementowanie usługi BYOK dla klucza Azure Information Protection dzierżawy

Aby zaimplementować byOK, należy wykonać następujące kroki:

  1. Przejrzyj wymagania wstępne dotyczące byOK
  2. Wybieranie Key Vault lokalizacji
  3. Tworzenie i konfigurowanie klucza

Wymagania wstępne dotyczące funkcji BYOK

Wymagania wstępne dotyczące usługi BYOK różnią się w zależności od konfiguracji systemu. Sprawdź, czy system spełnia następujące wymagania wstępne zgodnie z potrzebami:

Wymaganie Opis
Subskrypcja platformy Azure Wymagane dla wszystkich konfiguracji.
Aby uzyskać więcej informacji, zobacz Weryfikowanie, czy masz subskrypcję platformy Azure zgodną z usługą BYOK.
Moduł AIPService programu PowerShell dla Azure Information Protection Wymagane dla wszystkich konfiguracji.
Aby uzyskać więcej informacji, zobacz Instalowanie modułu AIPService programu PowerShell.
Azure Key Vault wymagań wstępnych dla byOK Jeśli używasz klucza chronionego przez moduł HSM, który został utworzony lokalnie, upewnij się, że spełniasz również wymagania wstępne dotyczące funkcji BYOK wymienione w dokumentacji Azure Key Vault zabezpieczeń.
Oprogramowanie układowe firmy Thales w wersji 11.62 Użytkownik musi mieć oprogramowanie układowe firmy Thales w wersji 11.62, jeśli migruje się z programu AD RMS do programu Azure Information Protection przy użyciu klucza oprogramowania do klucza sprzętowego i korzysta z oprogramowania układowego firmy Thales dla modułu HSM.
Obejście zapory dla zaufanych usługi firmy Microsoft Jeśli magazyn kluczy zawierający klucz dzierżawy używa punktów końcowych Virtual Network Service Azure Key Vault, należy zezwolić zaufanym usługi firmy Microsoft ominięcie tej zapory.
Aby uzyskać więcej informacji, zobacz Virtual Network Service Endpoints for Azure Key Vault(Punkty końcowe usługi Azure Key Vault).

Weryfikowanie, czy masz subskrypcję platformy Azure zgodną z usługą BYOK

Dzierżawa Azure Information Protection musi mieć subskrypcję platformy Azure. Jeśli jeszcze jej nie masz, możesz utworzyć bezpłatne konto. Jednak aby używać klucza chronionego przez moduł HSM, musisz mieć Azure Key Vault Premium usługi.

Bezpłatna subskrypcja platformy Azure, która zapewnia dostęp do Azure Active Directory usługi Azure Rights Management niestandardowej konfiguracji szablonu, nie jest wystarczająca do korzystania z Azure Key Vault.

Aby sprawdzić, czy masz subskrypcję platformy Azure zgodną z usługą BYOK, wykonaj następujące czynności, aby to sprawdzić, używając Azure PowerShell cmdlet:

  1. Uruchom sesję Azure PowerShell jako administrator.

  2. Zaloguj się jako administrator globalny dzierżawy Azure Information Protection przy użyciu usługi Connect-AzAccount .

  3. Skopiuj wyświetlony token do schowka. Następnie w przeglądarce przejdź do strony i https://microsoft.com/devicelogin wprowadź skopiowany token.

    Aby uzyskać więcej informacji, zobacz Logowanie za pomocą Azure PowerShell.

  4. W sesji programu PowerShell wprowadź Get-AzSubscription i potwierdź, że są wyświetlane następujące wartości:

    • Nazwa i identyfikator subskrypcji
    • Identyfikator Azure Information Protection dzierżawy
    • Potwierdzenie, że stan jest włączony

    Jeśli nie są wyświetlane żadne wartości i zostanie wyświetlony monit, nie masz subskrypcji platformy Azure, która może być używana na potrzeby usługi BYOK.

Wybieranie lokalizacji magazynu kluczy

Podczas tworzenia magazynu kluczy zawierającego klucz, który ma być używany jako klucz dzierżawy dla usługi Azure Information, należy określić lokalizację. Ta lokalizacja to region świadczenia usługi Azure lub wystąpienie platformy Azure.

Najpierw wybierz zgodność, a następnie zminimalizuj opóźnienie sieci:

  • Jeśli ze względu na zgodność wybrano metodę klucza BYOK, te wymagania dotyczące zgodności mogą również spowodować, który region lub wystąpienie platformy Azure może być używane do przechowywania klucza Azure Information Protection dzierżawy.

  • Wszystkie wywołania kryptograficzne w celu zabezpieczenia łańcucha do Azure Information Protection klucza. W związku z tym można zminimalizować opóźnienie sieci, którego wymagają te wywołania, tworząc magazyn kluczy w tym samym regionie lub wystąpieniu platformy Azure co Azure Information Protection dzierżawy.

Aby zidentyfikować lokalizację dzierżawy Azure Information Protection, użyj polecenia cmdlet Get-AipServiceConfiguration programu PowerShell i zidentyfikuj region z adresów URL. Na przykład:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

Region można zidentyfikować na rms.na.aadrm.com, a w tym przykładzie znajduje się on w Ameryka Północna.

W poniższej tabeli wymieniono zalecane regiony i wystąpienia platformy Azure w celu zminimalizowania opóźnienia sieci:

Region lub wystąpienie platformy Azure Zalecana lokalizacja magazynu kluczy
rms.na.aadrm.com Północno-środkowe usa lub wschodnie usa
rms.eu.aadrm.com Europa Północna lub Europa Zachodnia
rms.ap.aadrm.com Azja Wschodnia lub Azja Południowo-Wschodnia
rms.sa.aadrm.com Zachodnie stany USA lub Wschodnie stany USA
rms.govus.aadrm.com Środkowe usa lub wschodnie usa 2
rms.aadrm.us US Gov Wirginia lub US Gov Arizona
rms.aadrm.cn Chiny Wschodnie 2 lub Chiny Północne 2

Tworzenie i konfigurowanie klucza

Ważne

Aby uzyskać informacje specyficzne dla zarządzanych modułów HSM, zobacz Enabling key authorization for Managed HSM keys via Azure CLI (Włączanie autoryzacji kluczy dla zarządzanych kluczy HSM za pośrednictwem interfejsu wiersza polecenia platformy Azure).

Utwórz Azure Key Vault klucz, którego chcesz użyć na Azure Information Protection. Aby uzyskać więcej informacji, zobacz dokumentację Azure Key Vault .

Podczas konfigurowania klucza i klucza dla Azure Key Vault BYOK należy zwrócić uwagę na następujące informacje:

Wymagania dotyczące długości klucza

Podczas tworzenia klucza upewnij się, że długość klucza to 2048 bitów (zalecane) lub 1024 bity. Inne długości kluczy nie są obsługiwane przez Azure Information Protection.

Uwaga

Klucze 1024-bitowe nie są uważane za odpowiedni poziom ochrony aktywnych kluczy dzierżawy.

Firma Microsoft nie zgadza się na stosowanie niższych długości kluczy, takich jak 1024-bitowe klucze RSA, oraz skojarzone użycie protokołów, które oferują nieodpowiedni poziom ochrony, takich jak SHA-1.

Tworzenie lokalnego klucza chronionego przez moduł HSM i przenoszenie go do magazynu kluczy

Aby utworzyć klucz chroniony przez moduł HSM lokalnie i przenieść go do magazynu kluczy jako klucz chroniony przez moduł HSM, postępuj zgodnie z procedurami w dokumentacji usługi Azure Key Vault: Jak generować i transferować klucze chronione przez moduł HSMdla usługi Azure Key Vault .

Aby Azure Information Protection klucza, wszystkie operacje Key Vault muszą być dozwolone dla klucza, w tym:

  • encrypt
  • Odszyfrować
  • wrapKey
  • unwrapKey
  • znak
  • verify

Domyślnie wszystkie operacje Key Vault są dozwolone.

Aby sprawdzić dozwolone operacje dla określonego klucza, uruchom następujące polecenie programu PowerShell:

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

W razie potrzeby dodaj dozwolone operacje przy użyciu update-AzKeyVaultKey i parametru KeyOps.

Konfigurowanie Azure Information Protection przy użyciu identyfikatora klucza

Klucze przechowywane w Azure Key Vault mają identyfikator klucza.

Identyfikator klucza to adres URL, który zawiera nazwę magazynu kluczy, kontener kluczy, nazwę klucza i wersję klucza. Na przykład:

https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.

Skonfiguruj Azure Information Protection używania klucza, określając jego adres URL magazynu kluczy.

Autoryzowanie usługi Azure Rights Management do używania klucza

Usługa Azure Rights Management musi być autoryzowana do używania Twojego klucza. Azure Key Vault administratorzy mogą włączyć tę autoryzację przy użyciu Azure Portal lub Azure PowerShell.

Włączanie autoryzacji klucza przy użyciu Azure Portal
  1. Zaloguj się do usługi Azure Portal, a następnie przejdź do tematu Magazyny kluczy > <your key vault name> > Zasady dostępu > Dodaj nowy.

  2. W okienku Dodawanie zasad dostępu w polu listy Konfiguruj na podstawie szablonu (opcjonalnie) wybierz pozycję AZURE INFORMATION PROTECTION BYOK, a następnie kliknij przycisk OK.

    Wybrany szablon ma następującą konfigurację:

    • Wartość Wybierz podmiot zabezpieczeń jest ustawiona na wartość Microsoft Rights Management Services.
    • Wybrane uprawnienia klucza to: Pobierz, Odszyfruj i Podpisz.
Włączanie autoryzacji klucza przy użyciu programu PowerShell

Uruchom polecenie cmdlet programu PowerShell programu Key Vault, Set-AzKeyVaultAccessPolicy,i przyznaj uprawnienia do jednostki usługi Azure Rights Management przy użyciu identyfikatora GUID 00000012-0000-0000-c000-0000000000000.

Na przykład:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Włączanie autoryzacji klucza dla zarządzanych kluczy HSM za pośrednictwem interfejsu wiersza polecenia platformy Azure

Aby przyznać usłudze Azure Rights Management jednostki usługi uprawnienia użytkownika jako zarządzany użytkownik kryptografii modułu HSM, uruchom następujące polecenie:

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee 00000012-0000-0000-c000-000000000000 --scope /keys/contosomhsmkey

Gdzie:

  • 00000012-0000-0000-c000-000000000000 jest identyfikatorem GUID do użycia w tym poleceniu
  • ContosoMHSM to przykładowa nazwa modułu HSM. Podczas uruchamiania tego polecenia zastąp tę wartość własną nazwą modułu HSM.

Rola użytkownika zarządzanego modułu HSM Crypto umożliwia użytkownikowi odszyfrowywanie, podpisywanie i uzyskiwanie uprawnień do klucza, które są wymagane dla funkcji zarządzanego modułu HSM.

Uwaga

Mimo że zarządzany moduł HSM jest w publicznej wersji zapoznawczej, przyznanie roli użytkownika kryptograficznego zarządzanego modułu HSM jest obsługiwane tylko za pośrednictwem interfejsu wiersza polecenia platformy Azure.

Konfigurowanie Azure Information Protection używania klucza

Po ukończeniu wszystkich powyższych kroków możesz skonfigurować usługę Azure Information Protection używania tego klucza jako klucza dzierżawy w organizacji.

Za Azure RMS polecenia cmdlet uruchom następujące polecenia:

  1. Połączenie do usługi Azure Rights Management i zaloguj się:

    Connect-AipService
    
  2. Uruchom polecenie cmdlet Use-AipServiceKeyVaultKey,określając adres URL klucza. Na przykład:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
    

    Ważne

    W tym <key-version> przykładzie jest to wersja klucza, którego chcesz użyć. Jeśli nie określisz wersji, bieżąca wersja klucza jest używana domyślnie, a polecenie może wydawać się działać. Jeśli jednak klucz zostanie później zaktualizowany lub odnowiony, usługa Azure Rights Management przestanie działać dla dzierżawy, nawet jeśli ponownie zostanie uruchomione polecenie Use-AipServiceKeyVaultKey.

    W razie potrzeby użyj polecenia Get-AzKeyVaultKey, aby uzyskać numer wersji bieżącego klucza.

    Na przykład: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    Aby potwierdzić, że adres URL klucza jest poprawnie ustawiony dla Azure Information Protection, uruchom polecenie Get-AzKeyVaultKey w Azure Key Vault, aby wyświetlić adres URL klucza.

  3. Jeśli usługa Azure Rights Management została już aktywowana, uruchom narzędzie Set-AipServiceKeyProperties, aby poinformować usługę Azure Information Protection, aby użyć tego klucza jako aktywnego klucza dzierżawy dla usługi Azure Rights Management Service.

Azure Information Protection jest teraz skonfigurowany do używania klucza zamiast domyślnego klucza utworzonego przez firmę Microsoft, który został automatycznie utworzony dla dzierżawy.

Następne kroki

Po skonfigurowaniu ochrony byOK przejdź do tematu Wprowadzenie do klucza głównego dzierżawy, aby uzyskać więcej informacji na temat używania klucza i zarządzania nim.