Krok 2. Migracja klucza chronionego przez moduł HSM do klucza chronionego przez moduł HSM

Dotyczy: Usługi Active Directory Rights Management, Azure Information Protection

Dotyczy: Ujednolicony klient etykietowania usługi AIP i klient klasyczny

Uwaga

Aby zapewnić ujednolicone i usprawnione środowisko klienta, Azure Information Protection klasyczny klient i zarządzanie etykietami w witrynie Azure Portal są przestarzałe od 31 marca 2021. Mimo że klasyczny klient nadal działa zgodnie z konfiguracją, nie podano dalszej pomocy technicznej i wersje konserwacji nie będą już udostępniane dla klasycznego klienta.

Zalecamy przeprowadzenie migracji do ujednoliconej etykietowania i uaktualnienia do ujednoliconego klienta etykietowania. Więcej informacji znajdziesz w naszym blogu dotyczącym wycofania.

Te instrukcje są częścią ścieżki migracji z usługi AD RMS do usługi Azure Information Protection i są stosowane tylko wtedy, gdy klucz usługi AD RMS jest chroniony przez moduł HSM, a użytkownik chce migrować klucz do usługi Azure Information Protection z wykorzystaniem klucza dzierżawy chronionego przez moduł HSM w usłudze Azure Key Vault.

Jeśli nie jest to wybrany scenariusz konfiguracji, wróć do kroku 4. Eksportuj dane konfiguracji z AD RMS i zaimportuj je do Azure RMS i wybierz inną konfigurację.

Uwaga

W tych instrukcjach przyjęto założenie, że klucz usługi AD RMS jest chroniony przez moduł. Jest to najbardziej typowy przypadek.

Jest to składająca się z dwóch części procedura, która umożliwia zaimportowanie klucza HSM i konfiguracji usługi AD RMS do usługi Azure Information Protection oraz zastosowanie w ten sposób zarządzanego przez Ciebie klucza dzierżawy usługi Azure Information Protection (BYOK).

Ponieważ klucz dzierżawy usługi Azure Information Protection będzie przechowywany i zarządzany przez usługę Azure Key Vault, ta część migracji wymaga administracji w usłudze Azure Key Vault poza administracją w usłudze Azure Information Protection. Jeśli usługa Azure Key Vault jest zarządzana przez innego administratora w Twojej organizacji, musisz podjąć współpracę z tym administratorem, aby zakończyć procedury.

Przed rozpoczęciem upewnij się, że Twoja organizacja ma magazyn kluczy utworzony w usłudze Azure Key Vault oraz że obsługuje klucze chronione przez moduł HSM. Chociaż nie jest to wymagane, zaleca się posiadanie dedykowanego magazynu kluczy dla usługi Azure Information Protection. Ten magazyn kluczy zostanie skonfigurowany tak, aby usługa Azure Rights Management mogła uzyskać do niego dostęp, dlatego klucze przechowywane w tym magazynie kluczy powinny być ograniczone wyłącznie do kluczy usługi Azure Information Protection.

Porada

Jeśli przeprowadzasz konfigurację usługi Azure Key Vault, a nie masz doświadczenia z tą usługą platformy Azure, warto zapoznać się z artykułem Rozpoczynanie pracy z usługą Azure Key Vault.

Część 1. Przesłanie klucza HSM do usługi Azure Key Vault

Te procedury są wykonywane tylko przez administratora usługi Azure Key Vault.

  1. W przypadku każdego wyeksportowanego klucza SLC, który chcesz przechowywać w usłudze Azure Key Vault, postępuj zgodnie z instrukcją zawartą w dokumentacji usługi Azure Key Vault w sekcji Implementowanie funkcji BYOK dla usługi Azure Key Vault, z następującym wyjątkiem:

    • Nie wykonuj kroków procedury Generowanie klucza dzierżawy, ponieważ istnieje już jego odpowiednik pochodzący z wdrożenia usługi AD RMS. Zamiast tego należy zidentyfikować klucze używane przez serwer AD RMS instalacji nCipher i przygotować te klucze do transferu, a następnie przenieść je do Azure Key Vault.

      Zaszyfrowane pliki kluczy dla nCipher są nazwane key_<keyAppName>_<keyIdentifier > lokalnie na serwerze. Na przykład C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54. Wartość mscapi będzie potrzebna jako keyAppName i własną wartość identyfikatora klucza po uruchomieniu polecenia KeyTransferRemote w celu utworzenia kopii klucza z obniżonymi uprawnieniami.

      Gdy klucz zostanie przekazany do usługi Azure Key Vault, zostaną wyświetlone właściwości klucza zawierające identyfikator klucza. Będzie on wyglądać podobnie do https : //contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Zanotuj ten adres URL, ponieważ administrator usługi Azure Information Protection potrzebuje go, aby skonfigurować usługę Azure Rights Management do użycia tego klucza jako klucza dzierżawy.

  2. Na stacji roboczej podłączonej do Internetu w sesji programu PowerShell użyj polecenia cmdlet Set-AzKeyVaultAccessPolicy, aby autoryzować jednostkę usługi Azure Rights Management do uzyskiwania dostępu do magazynu kluczy, w którym będzie Azure Information Protection klucz dzierżawy. Wymagane uprawnienia to: decrypt, encrypt, unwrapkey, wrapkey, verify i sign.

    Przykładowo jeśli magazyn kluczy utworzony dla usługi Azure Information Protection ma nazwę contoso-byok-ky, a grupa zasobów ma nazwę contoso-byok-rg, uruchom następujące polecenie:

    Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
    

Teraz klucz HSM w usłudze Azure Key Vault jest już gotowy do użycia w usłudze Azure Rights Management z usługi Azure Information Protection, a Ty możesz importować dane konfiguracji usługi AD RMS.

Część 2. Importowanie danych konfiguracji do usługi Azure Information Protection

Te procedury są wykonywane tylko przez administratora usługi Azure Information Protection.

  1. Na stacji roboczej podłączanej do Internetu i w sesji programu PowerShell połącz się z usługą Azure Rights Management przy użyciu polecenia cmdlet Połączenie-AipService.

    Następnie przekaż każdy plik zaufanej domeny publikacji (.xml) za pomocą polecenia cmdlet Import-AipServiceTpd. Na przykład po uaktualnieniu klastra usług AD RMS dla trybu kryptograficznego 2 powinien być dostępny przynajmniej jeden dodatkowy plik do zaimportowania.

    Do uruchomienia tego polecenia cmdlet konieczne jest hasło, które zostało określone wcześniej dla każdego pliku danych konfiguracji, oraz adres URL klucza zidentyfikowany w poprzednim kroku.

    Przykładowo — używając pliku danych konfiguracji C:\contoso-tpd1.xml i naszej wartości adresu URL klucza z poprzedniego kroku, należy najpierw uruchomić następujące polecenie w celu zapisania hasła:

    $TPD_Password = Read-Host -AsSecureString
    

    Wprowadź określone wcześniej hasło, aby wyeksportować plik danych konfiguracji. Później uruchom następujące polecenie i potwierdź wykonanie tej akcji:

    Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    W ramach tego importu klucz SLC zostanie zaimportowany i automatycznie ustawiony jako zarchiwizowany.

  2. Po przesłaniu każdego pliku uruchom plik Set-AipServiceKeyProperties, aby określić, który zaimportowany klucz odpowiada aktualnie aktywnej wartości klucza SLC w klastrze AD RMS klastra. Ten klucz staje się aktywnym kluczem dzierżawy usługi Azure Rights Management.

  3. Użyj polecenia cmdlet Disconnect-AipServiceService, aby rozłączyć się z usługą Azure Rights Management Service:

    Disconnect-AipServiceService
    

Jeśli później zajdzie potrzeba potwierdzenia klucza, którego używa twój Azure Information Protection dzierżawy w programie Azure Key Vault, użyj polecenia cmdlet Get-AipServiceKeys Azure RMS cmdlet .

Teraz możesz przejść do kroku 5. Aktywuj usługę Azure Rights Management Service.