Traga os seus próprios detalhes chave (BYOK) para a Proteção de Informação do AzureBring your own key (BYOK) details for Azure Information Protection

Aplica-se a: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

As organizações com uma subscrição de Proteção de Informação Azure podem optar por configurar o seu inquilino com a sua própria chave, em vez de uma chave padrão gerada pela Microsoft.Organizations with an Azure Information Protection subscription can choose to configure their tenant with their own key, instead of a default key generated by Microsoft. Esta configuração é frequentemente referida como Bring Your Own Key (BYOK).This configuration is often referred to as Bring Your Own Key (BYOK).

A BYOK e a utilização funcionam perfeitamente com aplicações que se integram com o serviço de Gestão de Direitos Azure utilizado pela Azure Information Protection.BYOK and usage logging work seamlessly with applications that integrate with the Azure Rights Management service used by Azure Information Protection.

As aplicações apoiadas incluem:Supported applications include:

  • Serviços na nuvem, como o Microsoft SharePoint ou o Microsoft 365Cloud services, such as Microsoft SharePoint or Microsoft 365

  • Serviços no local que executam aplicações Exchange e SharePoint que utilizam o serviço de Gestão de Direitos Azure através do conector RMSOn-premises services running Exchange and SharePoint applications that use the Azure Rights Management service via the RMS connector

  • Candidaturas a clientes, como Office 2019, Office 2016 e Office 2013Client applications, such as Office 2019, Office 2016, and Office 2013

Dica

Se necessário, aplique segurança adicional a documentos específicos utilizando uma chave adicional no local.If needed, apply additional security to specific documents using an additional on-premises key. Para obter mais informações, consulte a proteção da sua própria chave (CLIENTE CLÁSSICO) ou proteção de encriptação de chave dupla (DKE).For more information, see Hold your own key (HYOK) protection (classic client) or Double Key Encryption (DKE) protection.

Armazenamento de chaves Azure Key VaultAzure Key Vault key storage

As chaves geradas pelo cliente devem ser armazenadas no cofre da chave Azure para proteção BYOK.Customer-generated keys must be stored in the Azure Key Vault for BYOK protection.

Nota

A utilização de chaves protegidas por HSM no Cofre da Chave Azure requer um nível de serviço Azure Key Vault Premium,que incorre numa taxa de subscrição mensal adicional.Using HSM-protected keys in the Azure Key Vault requires an Azure Key Vault Premium service tier, which incurs an additional monthly subscription fee.

Partilha de cofres e assinaturas chaveSharing key vaults and subscriptions

Recomendamos a utilização de um cofre dedicado para a chave do seu inquilino.We recommend using a dedicated key vault for your tenant key. Os cofres-chave dedicados ajudam a garantir que as chamadas de outros serviços não fazem com que os limites de serviço sejam ultrapassados.Dedicated key vaults help to ensure that calls by other services do not cause service limits to be exceeded. Exceder os limites de serviço no cofre chave onde a chave do inquilino está armazenada pode causar estrangulamento do tempo de resposta para o serviço de Gestão de Direitos Azure.Exceeding service limits on the key vault where your tenant key is stored may cause response time throttling for Azure Rights Management service.

Uma vez que diferentes serviços têm diferentes requisitos de gestão, a Microsoft também recomenda a utilização de uma subscrição dedicada do Azure para o seu cofre principal.As different services have varying key management requirements, Microsoft also recommends using a dedicated Azure subscription for your key vault. Assinaturas dedicadas da Azure:Dedicated Azure subscriptions:

  • Ajudar a salvaguardar contra as configurações erradasHelp safeguard against misconfigurations

  • São mais seguros quando diferentes serviços têm administradores diferentesAre more secure when different services have different administrators

Para partilhar uma subscrição da Azure com outros serviços que utilizam o Azure Key Vault, certifique-se de que a subscrição partilha um conjunto comum de administradores.To share an Azure subscription with other services that use Azure Key Vault, make sure that the subscription shares a common set of administrators. Confirmar que todos os administradores que utilizam a subscrição têm uma compreensão sólida de todas as chaves a que podem aceder, significa que são menos propensos a configurar mal as suas chaves.Confirming that all administrators who use the subscription have a solid understanding of every key they can access, means they are less likely to misconfigure your keys.

Exemplo: Utilizando uma subscrição Azure partilhada quando os administradores da sua chave de inquilino de Proteção de Informação Azure são os mesmos indivíduos que administram as suas chaves para a Chave de Clientes do Office 365 e CRM online.Example: Using a shared Azure subscription when the administrators for your Azure Information Protection tenant key are the same individuals that administer your keys for Office 365 Customer Key and CRM online. Se os principais administradores destes serviços forem diferentes, recomendamos a utilização de subscrições dedicadas.If the key administrators for these services are different, we recommend using dedicated subscriptions.

Vantagens de utilizar o Azure Key VaultBenefits of using Azure Key Vault

O Azure Key Vault fornece uma solução de gestão centralizada e consistente para muitos serviços baseados na nuvem e no local que usam encriptação.Azure Key Vault provides a centralized and consistent key management solution for many cloud-based and on-premises services that use encryption.

Além da gestão de chaves, o Azure Key Vault proporciona aos seus administradores de segurança a mesma experiência em gestão para armazenar, aceder e gerir certificados e segredos (por exemplo, palavras-passe) de outros serviços e aplicações que utilizam encriptação.In addition to managing keys, Azure Key Vault offers your security administrators the same management experience to store, access, and manage certificates and secrets (such as passwords) for other services and applications that use encryption.

Armazenar a chave do seu inquilino no Cofre da Chave Azure proporciona as seguintes vantagens:Storing your tenant key in the Azure Key Vault provides the following advantages:

VantagemAdvantage DescriptionDescription
Interfaces incorporadasBuilt-in interfaces O Azure Key Vault suporta diversas interfaces incorporadas para a gestão de chaves, incluindo o PowerShell, a CLI, APIs REST e o portal do Azure.Azure Key Vault supports a number of built-in interfaces for key management, including PowerShell, CLI, REST APIs, and the Azure portal.

Outros serviços e ferramentas integraram-se com o Key Vault para capacidades otimizadas para tarefas específicas, como a monitorização.Other services and tools have integrated with Key Vault for optimized capabilities for specific tasks, such as monitoring.

Por exemplo, analise os seus principais registos de utilização com a análise do Registo do Registo do Conjunto de Gestão de Operações, desate os alertas quando os critérios especificados forem cumpridos, e assim por diante.For example, analyze your key usage logs with Operations Management Suite Log analytics, set alerts when specified criteria are met, and so on.
Separação de papéisRole separation A azure Key Vault proporciona a separação de papéis como uma reconhecida melhor prática de segurança.Azure Key Vault provides role separation as a recognized security best practice.

A separação de funções garante que os administradores da Azure Information Protection podem concentrar-se nas suas prioridades mais elevadas, incluindo a gestão da classificação e proteção de dados, bem como chaves e políticas de encriptação para requisitos específicos de segurança ou conformidade.Role separation ensures that Azure Information Protection administrators can focus on their highest priorities, including managing data classification and protection, as well as encryption keys and policies for specific security or compliance requirements.
Localização da chave principalMaster key location O Azure Key Vault está disponível em vários locais, e apoia organizações com restrições onde as chaves principais podem viver.Azure Key Vault is available in a variety of locations, and supports organizations with restrictions where master keys can live.

Para mais informações, consulte os Produtos disponíveis por página da região no site da Azure.For more information, see the Products available by region page on the Azure site.
Domínios de segurança separadosSeparated security domains A Azure Key Vault utiliza domínios de segurança separados para os seus centros de dados em regiões como a América do Norte, EMEA (Europa, Médio Oriente e África) e Ásia.Azure Key Vault uses separate security domains for its data centers in regions such as North America, EMEA (Europe, Middle East and Africa), and Asia.

Azure Key Vault também usa diferentes instâncias de Azure, como Microsoft Azure Germany, e Azure Government.Azure Key Vault also uses different instances of Azure, such as Microsoft Azure Germany, and Azure Government.
Experiência unificadaUnified experience O Azure Key Vault também permite que os administradores de segurança armazenem, acedam e gerem certificados e segredos, como palavras-passe, para outros serviços que utilizam encriptação.Azure Key Vault also enables security administrators to store, access, and manage certificates and secrets, such as passwords, for other services that use encryption.

A utilização do Cofre de Chaves Azure para as chaves do seu inquilino proporciona uma experiência de utilizador perfeita para administradores que gerem todos estes elementos.Using Azure Key Vault for your tenant keys provides a seamless user experience for administrators who manage all of these elements.

Para obter as últimas atualizações e para saber como outros serviços utilizam o Azure Key Vault,visite o blog da equipa Azure Key Vault.For the latest updates and to learn how other services use Azure Key Vault, visit the Azure Key Vault team blog.

Registo de utilização para BYOKUsage logging for BYOK

Os registos de utilização são gerados por cada aplicação que faz pedidos ao serviço de Gestão de Direitos Azure.Usage logs are generated by every application that makes requests to the Azure Rights Management service.

Embora o registo de utilização seja opcional, recomendamos a utilização dos registos de utilização em tempo real da Azure Information Protection para ver exatamente como e quando a chave do seu inquilino está sendo usada.Although usage logging is optional, we recommend using the near real-time usage logs from Azure Information Protection to see exactly how and when your tenant key is being used.

Para obter mais informações sobre a utilização da chave para o BYOK, consulte registar e analisar a utilização da proteção contra a proteção de informações do Azure.For more information about key usage logging for BYOK, see Logging and analyzing the protection usage from Azure Information Protection.

Dica

Para obter uma garantia adicional, o registo de utilização da Proteção de Informações Azure pode ser cruzado com o registo do Cofre da Chave Azure.For additional assurance, Azure Information Protection usage logging can be cross referenced with Azure Key Vault logging. Os registos do Key Vault fornecem um método fiável para monitorizar de forma independente que a sua chave só é utilizada pelo serviço de Gestão de Direitos Azure.Key Vault logs provide a reliable method to independently monitor that your key is only used by Azure Rights Management service.

Se necessário, revogue imediatamente o acesso à sua chave removendo permissões no cofre da chave.If necessary, immediately revoke access to your key by removing permissions on the key vault.

Opções para criar e armazenar a sua chaveOptions for creating and storing your key

Nota

O suporte Azure Information Protection Azure Key Vault Gerido HSM, para utilização apenas com inquilinos não produtivos, está atualmente em PRÉ-VISUALIZAÇÃO.The Azure Information Protection Azure Key Vault Managed HSM support, for use with non-production tenants only, is currently in PREVIEW. Os Termos Complementares de Pré-visualização do Azure incluem termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não lançadas em disponibilidade geral.The Azure Preview Supplemental Terms include additional legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.

Para obter mais informações sobre a oferta gerida do HSM e como configurar um cofre e uma chave, consulte a documentação do Cofre da Chave Azure.For more information about the Managed HSM offering, and how to set up a vault and a key, see the Azure Key Vault documentation.

Instruções adicionais sobre a concessão da autorização da chave são descritas abaixo.Additional instructions on granting key authorization are described below.

A BYOK suporta chaves que são criadas no Cofre da Chave Azure ou no local.BYOK supports keys that are created either in Azure Key Vault or on-premises.

Se criar a sua chave no local, deve transferi-la ou importá-la para o seu Cofre-Chave e configurar a Proteção de Informações Azure para usar a chave.If you create your key on-premises, you must then transfer or import it into your Key Vault and configure Azure Information Protection to use the key. Execute qualquer gestão adicional de chaves dentro do Azure Key Vault.Perform any additional key management from within Azure Key Vault.

Opções para criar e armazenar a sua própria chave:Options to create and store your own key:

  • Criado em Azure Key Vault.Created in Azure Key Vault. Crie e guarde a sua chave no Cofre da Chave Azure como uma chave protegida pelo HSM ou uma chave protegida por software.Create and store your key in Azure Key Vault as an HSM-protected key or a software-protected key.

  • Criado no local.Created on-premises. Crie a sua chave no local e transfira-a para o Cofre da Chave Azure utilizando uma das seguintes opções:Create your key on-premises and transfer it to Azure Key Vault using one of the following options:

    • Chave protegida pelo HSM, transferida como uma chave protegida pelo HSM.HSM-protected key, transferred as an HSM-protected key. O método mais típico escolhido.The most typical method chosen.

      Embora este método tenha a sobrecarga mais administrativa, pode ser necessário que a sua organização siga regulamentos específicos.While this method has the most administrative overhead, it may be required for your organization to follow specific regulations. Os HSMs utilizados pelo Azure Key Vault são fips 140-2 Nível 2 validados.The HSMs used by Azure Key Vault are FIPS 140-2 Level 2 validated.

    • Chave protegida por software que é convertida e transferida para o Azure Key Vault como uma chave protegida pelo HSM.Software-protected key that is converted and transferred to Azure Key Vault as an HSM-protected key. Este método só é suportado quando migra dos Serviços de Gestão de Direitos do Diretório Ativo (AD RMS).This method is supported only when migrating from Active Directory Rights Management Services (AD RMS).

    • Criado no local como uma chave protegida por software e transferido para a Azure Key Vault como uma chave protegida por software.Created on-premises as a software-protected key and transferred to Azure Key Vault as a software-protected key. Este método requer um . Arquivo de certificado PFX.This method requires a .PFX certificate file.

Por exemplo, faça o seguinte para utilizar uma chave criada no local:For example, do the following to use a key created on-premises:

  1. Gere a chave do seu inquilino nas suas instalações, em consonância com as políticas de TI e segurança da sua organização.Generate your tenant key on your premises, in line with your organization's IT and security policies. Esta chave é a cópia principal.This key is the master copy. Permanece no local, e é necessário para o seu reforço.It remains on-premises, and you are required for its backup.

  2. Crie uma cópia da chave principal e transfira-a de forma segura do seu HSM para o Cofre da Chave Azure.Create a copy of the master key, and securely transfer it from your HSM to Azure Key Vault. Ao longo deste processo, a cópia principal da chave nunca sai do limite de proteção de hardware.Throughout this process, the master copy of the key never leaves the hardware protection boundary.

Uma vez transferida, a cópia da chave está protegida pelo Cofre da Chave Azure.Once transferred, the copy of the key is protected by Azure Key Vault.

Exportando o seu domínio de publicação confiávelExporting your trusted publishing domain

Se alguma vez decidir parar de usar a Azure Information Protection, precisará de um domínio de publicação fidedigno (TPD) para desencriptar conteúdos protegidos pela Azure Information Protection.If you ever decide to stop using Azure Information Protection, you'll need a trusted publishing domain (TPD) to decrypt content that was protected by Azure Information Protection.

No entanto, exportar o seu TPD não é suportado se estiver a utilizar o BYOK para a sua chave de Proteção de Informação Azure.However, exporting your TPD isn't supported if you're using BYOK for your Azure Information Protection key.

Para se preparar para este cenário, certifique-se de criar um TPD adequado com antecedência.To prepare for this scenario, make sure to create a suitable TPD ahead of time. Para mais informações, consulte Como preparar um plano de proteção de informação Azure "Cloud Exit".For more information, see How to prepare an Azure Information Protection "Cloud Exit" plan.

Implementação BYOK para a sua chave de inquilino de proteção de informação AzureImplementing BYOK for your Azure Information Protection tenant key

Utilize os seguintes passos para implementar a BYOK:Use the following steps to implement BYOK:

  1. Rever os pré-requisitos da BYOKReview BYOK prerequisites
  2. Escolha uma localização do Cofre de ChavesChoose a Key Vault location
  3. Crie e configuure a sua chaveCreate and configure your key

Pré-requisitos para o BYOKPrerequisites for BYOK

Os pré-requisitos byok variam, dependendo da configuração do seu sistema.BYOK prerequisites vary, depending on your system configuration. Verifique se o seu sistema está em conformidade com os seguintes requisitos, se necessário:Verify that your system complies with the following prerequisites as needed:

RequisitoRequirement DescriptionDescription
Subscrição do AzureAzure subscription Necessário para todas as configurações.Required for all configurations.
Para obter mais informações, consulte verificar se tem uma subscrição Azure compatível com BYOK.For more information, see Verifying that you have a BYOK-compatible Azure subscription.
Módulo AIPService PowerShell para Proteção de Informação AzureAIPService PowerShell module for Azure Information Protection Necessário para todas as configurações.Required for all configurations.
Para obter mais informações, consulte a instalação do módulo AIPService PowerShell.For more information, see Installing the AIPService PowerShell module.
Pré-requisitos do Azure Key Vault para a BYOKAzure Key Vault prerequisites for BYOK Se estiver a utilizar uma chave protegida pelo HSM que foi criada no local, certifique-se de que também cumpre os pré-requisitos para a BYOK listados na documentação do Cofre da Chave Azure.If you are using an HSM-protected key that was created on-premises, ensure that you also comply with the prerequisites for BYOK listed in the Azure Key Vault documentation.
Thales firmware versão 11.62Thales firmware version 11.62 Deve ter uma versão de firmware Thales de 11.62 se estiver a migrar de AD RMS para Azure Information Protection utilizando a chave de software para a chave de hardware e está a usar o firmware Thales para o seu HSM.You must have a Thales firmware version of 11.62 if you are migrating from AD RMS to Azure Information Protection by using software key to hardware key and are using Thales firmware for your HSM.
Bypass de firewall para serviços de confiança da MicrosoftFirewall bypass for trusted Microsoft services Se o cofre-chave que contém a tecla do seu inquilino utilizar pontos finais de serviço de rede virtual para a azure Key Vault, deve permitir que serviços de confiança da Microsoft contornem esta firewall.If the key vault that contains your tenant key uses Virtual Network Service Endpoints for Azure Key Vault, you must allow trusted Microsoft services to bypass this firewall.
Para obter mais informações, consulte os pontos finais do Serviço de Rede Virtual para o Cofre da Chave Azure.For more information, see Virtual Network Service Endpoints for Azure Key Vault.

Verificar se tem uma subscrição Azure compatível com BYOKVerifying that you have a BYOK-compatible Azure subscription

O seu inquilino da Azure Information Protection deve ter uma assinatura Azure.Your Azure Information Protection tenant must have an Azure subscription. Se ainda não tiver um, pode inscrever-se numa conta gratuita.If you don't have one yet, you can sign up for a free account. No entanto, para utilizar uma chave protegida pelo HSM, tem de ter o nível de serviço Azure Key Vault Premium.However, to use an HSM-protected key, you must have the Azure Key Vault Premium service tier.

A subscrição gratuita do Azure que fornece acesso à configuração do Azure Ative Directory e à configuração personalizada da Azure Rights Management não é suficiente para a utilização do Cofre da Chave Azure.The free Azure subscription that provides access to Azure Active Directory configuration and Azure Rights Management custom template configuration is not sufficient for using Azure Key Vault.

Para confirmar se tem uma subscrição Azure que seja compatível com a BYOK, faça o seguinte para verificar, utilizando cmdlets Azure PowerShell:To confirm whether you have an Azure subscription that is compatible with BYOK, do the following to verify, using Azure PowerShell cmdlets:

  1. Inicie uma sessão Azure PowerShell como administrador.Start an Azure PowerShell session as an administrator.

  2. Inscreva-se como administrador global para o seu inquilino Azure Information Protection usando Connect-AzAccount .Sign in as a global admin for your Azure Information Protection tenant using Connect-AzAccount.

  3. Copie o token apresentado na sua área de transferência.Copy the token displayed to your clipboard. Em seguida, num navegador, vá https://microsoft.com/devicelogin e introduza o token copiado.Then, in a browser, go to https://microsoft.com/devicelogin and enter the copied token.

    Para obter mais informações, consulte Iniciar s-se-in com a Azure PowerShell.For more information, see Sign in with Azure PowerShell.

  4. Na sessão PowerShell, insira Get-AzSubscription e confirme que os seguintes valores são apresentados:In your PowerShell session, enter Get-AzSubscription, and confirm that the following values are displayed:

    • O nome da sua subscrição e IDYour subscription name and ID
    • Sua ID de proteção de informação AzureYour Azure Information Protection tenant ID
    • Confirmação de que o estado está habilitadoConfirmation that the state is enabled

    Se não forem apresentados valores e for devolvido ao pedido, não tem uma subscrição Azure que possa ser utilizada para a BYOK.If no values are displayed and you are returned to the prompt, you do not have an Azure subscription that can be used for BYOK.

Escolhendo a localização do cofre da chaveChoosing your key vault location

Quando criar um cofre chave para conter a chave a ser usada como chave de inquilino para informações Azure, deve especificar uma localização.When you create a key vault to contain the key to be used as your tenant key for Azure Information, you must specify a location. Esta localização é uma região de Azure, ou instância Azure.This location is an Azure region, or Azure instance.

Faça a sua escolha primeiro para o cumprimento e, em seguida, para minimizar a latência da rede:Make your choice first for compliance, and then to minimize network latency:

  • Se escolheu o método-chave BYOK por razões de conformidade, esses requisitos de conformidade também podem ordenar que região ou instância de Azure pode ser usado para armazenar a sua chave de inquilino Azure Information Protection.If you have chosen the BYOK key method for compliance reasons, those compliance requirements might also mandate which Azure region or instance can be used to store your Azure Information Protection tenant key.

  • Todas as chamadas criptográficas para a cadeia de proteção da sua chave Azure Information Protection.All cryptographic calls for protection chain to your Azure Information Protection key. Por isso, pode querer minimizar a latência da rede que estas chamadas requerem através da criação do seu cofre chave na mesma região de Azure ou como o seu inquilino de Proteção de Informação Azure.Therefore, you may want to minimize the network latency these calls require by creating your key vault in the same Azure region or instance as your Azure Information Protection tenant.

Para identificar a localização do seu inquilino Azure Information Protection, utilize o cmdlet Get-AipServiceConfiguration PowerShell e identifique a região a partir dos URLs.To identify the location of your Azure Information Protection tenant, use the Get-AipServiceConfiguration PowerShell cmdlet and identify the region from the URLs. Por exemplo:For example:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

A região é identificável a partir de rms.na.aadrm.com , e por exemplo, está na América do Norte.The region is identifiable from rms.na.aadrm.com , and for this example, it is in North America.

As seguintes listas de quadros recomendaram regiões e instâncias de Azure recomendadas para minimizar a latência da rede:The following table lists recommended Azure regions and instances for minimizing network latency:

Região ou instância de AzureAzure region or instance Localização recomendada para o seu cofre de chavesRecommended location for your key vault
rms. na.aadrm.comrms. na.aadrm.com Norte Central DOS EUA ou Leste dos EUANorth Central US or East US
rms. eu.aadrm.comrms. eu.aadrm.com Europa do Norte ou Europa OcidentalNorth Europe or West Europe
rms. ap.aadrm.comrms. ap.aadrm.com Ásia Oriental ou Sudeste AsiáticoEast Asia or Southeast Asia
rms. sa.aadrm.comrms. sa.aadrm.com Eua Ocidentais ou Leste dos EUAWest US or East US
rms. govus.aadrm.comrms. govus.aadrm.com Central EUA ou Leste 2Central US or East US 2
rms. aadrm.usrms. aadrm.us Eua Gov Virginia ou EUA Gov ArizonaUS Gov Virginia or US Gov Arizona
rms. aadrm.cnrms. aadrm.cn China Leste 2 ou China Norte 2China East 2 or China North 2

Crie e configuure a sua chaveCreate and configure your key

Importante

Para obter informações específicas para os HSMs geridos, consulte a autorização de habilitação das chaves de ativação para as teclas geridas de HSM através do Azure CLI.For information specific for Managed HSMs, see Enabling key authorization for Managed HSM keys via Azure CLI.

Crie um Cofre de Chaves Azure e a chave que pretende utilizar para a Proteção de Informação Azure.Create an Azure Key Vault and the key you want to use for Azure Information Protection. Para mais informações, consulte a documentação do Cofre da Chave Azure.For more information, see the Azure Key Vault documentation.

Note o seguinte para configurar o seu Cofre de Chave Azure e a chave para BYOK:Note the following for configuring your Azure Key Vault and key for BYOK:

Requisitos de comprimento chaveKey length requirements

Ao criar a sua chave, certifique-se de que o comprimento da chave é de 2048 bits (recomendado) ou 1024 bits.When creating your key, make sure that the key length is either 2048 bits (recommended) or 1024 bits. Outros comprimentos de chave não são suportados pela Azure Information Protection.Other key lengths are not supported by Azure Information Protection.

Nota

As chaves de 1024 bits não são consideradas como oferecendo um nível adequado de proteção para chaves de inquilino ativa.1024-bit keys are not considered to offer an adequate level of protection for active tenant keys.

A Microsoft não apoia o uso de comprimentos-chave mais baixos, como as teclas RSA de 1024 bits, e o uso associado de protocolos que oferecem níveis de proteção inadequados, como SHA-1.Microsoft doesn't endorse the use of lower key lengths, such as 1024-bit RSA keys, and the associated use of protocols that offer inadequate levels of protection, such as SHA-1.

Criar uma chave protegida pelo HSM no local e transferi-la para o cofreCreating an HSM-protected key on-premises and transferring it to your key vault

Para criar uma chave protegida pelo HSM no local e transferi-la para o cofre de chaves como chave protegida pelo HSM, siga os procedimentos na documentação do Cofre da Chave Azure: Como gerar e transferir chaves protegidas pelo HSM para o Cofre da Chave Azure.To create an HSM-protected key on-premises and transfer it to your key vault as an HSM-protected key, follow the procedures in the Azure Key Vault documentation: How to generate and transfer HSM-protected keys for Azure Key Vault.

Para que a Proteção de Informações da Azure utilize a chave transferida, todas as operações do Cofre-Chave devem ser permitidas para a chave, incluindo:For Azure Information Protection to use the transferred key, all Key Vault operations must be permitted for the key, including:

  • encryptencrypt
  • desencriptardecrypt
  • wrapKeywrapKey
  • desembrulharKeyunwrapKey
  • sinalsign
  • verificarverify

Por predefinição, todas as operações do Cofre de Chaves são permitidas.By default, all Key Vault operations are permitted.

Para verificar as operações permitidas para obter uma chave específica, execute o seguinte comando PowerShell:To check the permitted operations for a specific key, run the following PowerShell command:

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

Se necessário, adicione as operações permitidas utilizando o update-AzKeyVaultKey e o parâmetro KeyOps.If necessary, add permitted operations by using Update-AzKeyVaultKey and the KeyOps parameter.

Configurar a Proteção de Informação Azure com o seu ID chaveConfiguring Azure Information Protection with your key ID

As chaves armazenadas no Cofre da Chave Azure têm cada uma identificação com a chave.Keys stored in the Azure Key Vault each have a key ID.

O ID chave é um URL que contém o nome do cofre de chaves, o recipiente das chaves, o nome da chave e a versão chave.The key ID is a URL that contains the name of the key vault, the keys container, the name of the key, and the key version. Por exemplo:For example:

https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.

Configure a Proteção de Informações Azure para utilizar a sua chave especificando o URL do cofre de chaves.Configure Azure Information Protection to use your key by specifying its key vault URL.

Autorizar o serviço de Gestão de Direitos Azure a utilizar a sua chaveAuthorizing the Azure Rights Management service to use your key

O serviço de Gestão de Direitos Azure deve ser autorizado a utilizar a sua chave.The Azure Rights Management service must be authorized to use your key. Os administradores do Azure Key Vault podem ativar esta autorização utilizando o portal Azure ou o Azure PowerShell.Azure Key Vault administrators can enable this authorization using the Azure portal or Azure PowerShell.

Habilitação de autorização de chave usando o portal AzureEnabling key authorization using the Azure portal
  1. Inscreva-se no portal Azure e vá para as políticas de acesso a cofres chave > <your key vault name> > Access policies > Adicione novos.Sign in to the Azure portal, and go to Key vaults > <your key vault name> > Access policies > Add new.

  2. A partir do painel de política de acesso adicionar, a partir da caixa de lista de configuração (opcional), selecione Azure Information Protection BYOK , e, em seguida, clique em OK.From the Add access policy pane, from the Configure from template (optional) list box, select Azure Information Protection BYOK , and then click OK.

    O modelo selecionado tem a seguinte configuração:The selected template has the following configuration:

    • O valor principal Select é definido para os Serviços de Gestão de Direitos da Microsoft.The Select principal value is set to Microsoft Rights Management Services.
    • As permissões de chaves selecionadas incluem Get, Desencript e Sign.Selected key permissions include Get, Decrypt, and Sign.
Habilitando a autorização de chave usando o PowerShellEnabling key authorization using PowerShell

Executar o cofre-chave PowerShell cmdlet, Set-AzKeyVaultAccessPolicy,e conceder permissões ao diretor do serviço de gestão de direitos da Azure utilizando o GUIA 000000012-0000-0000-c000-0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000Run the Key Vault PowerShell cmdlet, Set-AzKeyVaultAccessPolicy, and grant permissions to the Azure Rights Management service principal using the GUID 00000012-0000-0000-c000-000000000000.

Por exemplo:For example:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Habilitação de autorização chave para chaves geridas de HSM via Azure CLIEnabling key authorization for Managed HSM keys via Azure CLI

Para conceder ao serviço Azure Rights Management as principais permissões do utilizador como utilizador gerido do HSM Crypto, executar o seguinte comando:To grant the Azure Rights Management service principal user permissions as a Managed HSM Crypto user, run the following command:

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee 00000012-0000-0000-c000-000000000000 --scope /keys/contosomhsmkey

Em que:Where:

  • 00000012-0000-0000-c000-0000000000000000000000000 é o GUID a utilizar neste comando00000012-0000-0000-c000-000000000000 is the GUID to use in this command
  • ContosoMHSM é uma amostra do nome HSM.ContosoMHSM is a sample HSM name. Ao executar este comando, substitua este valor pelo seu próprio nome HSM.When running this command, replace this value with your own HSM name.

A função de utilizador do utilizador Crypto Crypto Gerido permite ao utilizador desencriptar, assinar e obter permissões para a chave, que são todas necessárias para a funcionalidade Gerida do HSM.The Managed HSM Crypto User user role allows the user to decrypt, sign, and get permissions to the key, which are all required for the Managed HSM functionality.

Nota

Enquanto o HSM gerido está em pré-visualização pública, a concessão da função de Utilizador Crypto Gerido do HSM é suportada apenas através do Azure CLI.While Managed HSM is in public preview, granting the Managed HSM Crypto User role is supported only via Azure CLI.

Configure Proteção de Informação Azure para usar a sua chaveConfigure Azure Information Protection to use your key

Uma vez completados todos os passos acima, está pronto para configurar a Azure Information Protection para usar esta chave como chave de inquilino da sua organização.Once you've completed all of the steps above, you're ready to configure Azure Information Protection to use this key as your organization's tenant key.

Utilizando cmdlets Azure RMS, executar os seguintes comandos:Using Azure RMS cmdlets, run the following commands:

  1. Ligue-se ao serviço de Gestão de Direitos Azure e inscreva-se:Connect to the Azure Rights Management service and sign in:

    Connect-AipService
    
  2. Executar o cmdlet Use-AipServiceKeyVaultKey,especificando o URL de chave.Run the Use-AipServiceKeyVaultKey cmdlet, specifying the key URL. Por exemplo:For example:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
    

    Importante

    Neste exemplo, <key-version> está a versão da chave que pretende utilizar.In this example, <key-version> is the version of the key you want to use. Se não especificar a versão, a versão atual da chave é utilizada por padrão e o comando pode parecer funcionar.If you do not specify the version, the current version of the key is used by default, and the command may appear to work. No entanto, se a sua chave for atualizada ou renovada, o serviço de Gestão de Direitos Azure deixará de funcionar para o seu inquilino, mesmo que volte a executar o comando Use-AipServiceKeyVaultKey.However, if your key is later updated or renewed, the Azure Rights Management service will stop working for your tenant, even if you run the Use-AipServiceKeyVaultKey command again.

    Utilize o comando Get-AzKeyVaultKey conforme necessário para obter o número de versão da tecla atual.Use the Get-AzKeyVaultKey command as needed to get the version number of the current key.

    Por exemplo: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'For example: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    Para confirmar que o URL-chave está corretamente definido para Azure Information Protection, execute o comando Get-AzKeyVaultKey no Cofre da Chave Azure para exibir o URL de tecla.To confirm that the key URL is set correctly for Azure Information Protection, run the Get-AzKeyVaultKey command in the Azure Key Vault to display the key URL.

  3. Se o serviço de Gestão de Direitos Azure já estiver ativado, gere o Set-AipServiceKeyProperties para dizer à Azure Information Protection para usar esta chave como chave de inquilino ativo para o serviço de Gestão de Direitos Azure.If the Azure Rights Management service is already activated, run Set-AipServiceKeyProperties to tell Azure Information Protection to use this key as the active tenant key for the Azure Rights Management service.

A Azure Information Protection está agora configurada para usar a sua chave em vez da chave criada pela Microsoft que foi criada automaticamente para o seu inquilino.Azure Information Protection is now configured to use your key instead of the default Microsoft-created key that was automatically created for your tenant.

Passos seguintesNext steps

Uma vez configurado a proteção BYOK, continue a começar com a chave raiz do seu inquilino para mais informações sobre como usar e gerir a sua chave.Once you've configured BYOK protection, continue to Getting started with your tenant root key for more information about using and managing your key.