Planear e implementar a sua chave de inquilino do Azure Information ProtectionPlanning and implementing your Azure Information Protection tenant key

Aplica-se a: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Utilize as informações deste artigo para o ajudar a planear e gerir a sua chave de inquilino do Azure Information Protection.Use the information in this article to help you plan for and manage your Azure Information Protection tenant key. Por exemplo, em vez de a sua chave de inquilino ser gerida pela Microsoft (predefinição), poderá querer gerir a sua própria chave de inquilino para cumprir os regulamentos específicos que se aplicam à sua organização.For example, instead of Microsoft managing your tenant key (the default), you might want to manage your own tenant key to comply with specific regulations that apply to your organization. A gestão da sua própria chave de inquilino também é referida como Bring Your Own Key (Traga a Sua Própria Chave) ou BYOK.Managing your own tenant key is also referred to as bring your own key, or BYOK.

O que é a chave de inquilino do Azure Information Protection?What is the Azure Information Protection tenant key?

  • A chave de inquilino do Azure Information Protection é uma chave de raiz para a sua organização.The Azure Information Protection tenant key is a root key for your organization. Outras chaves podem derivar desta chave de raiz, como chaves de utilizador, chaves de computador e as chaves de encriptação de documentos.Other keys can be derived from this root key, such as user keys, computer keys, and document encryption keys. Sempre que o Azure Information Protection utiliza estas chaves para a sua organização, eles criptograficamente à sua chave de inquilino do Azure Information Protection.Whenever Azure Information Protection uses these keys for your organization, they cryptographically chain to your Azure Information Protection tenant key.

  • A chave de inquilino do Azure Information Protection é o equivalente online da chave do certificado de licenciante para servidor (SLC) do Active Directory Rights Management Services (AD RMS).The Azure Information Protection tenant key is the online equivalent of the Server Licensor Certificate (SLC) key from Active Directory Rights Management Services (AD RMS).

Visão geral: Utilize a tabela seguinte como um guia rápido para a topologia de chave de inquilino recomendada.At a glance: Use the following table as a quick guide to your recommended tenant key topology. Em seguida, utilize a documentação adicional para obter mais informações.Then, use the additional documentation for more information.

Necessidade comercialBusiness requirement Topologia de chaves de inquilino recomendadaRecommended tenant key topology
Implemente o Azure Information Protection rapidamente e sem hardware especial, software adicional ou uma subscrição do Azure.Deploy Azure Information Protection quickly and without special hardware, additional software, or an Azure subscription.

Por exemplo: Ambientes de teste e quando a sua organização não tem os requisitos regulamentares de gestão de chaves.For example: Testing environments and when your organization does not have regulatory requirements for key management.
Gerida pela MicrosoftManaged by Microsoft
Normas de conformidade, segurança adicional e controle sobre todas as operações de ciclo de vida.Compliance regulations, additional security, and control over all life cycle operations.

Por exemplo: A chave deve ser protegida por um módulo de segurança de hardware (HSM).For example: Your key must be protected by a hardware security module (HSM).
BYOKBYOK

Se for necessário, pode alterar a topologia da sua chave de inquilino após a implementação, utilizando o cmdlet Set-AadrmKeyProperties.If required, you can change your tenant key topology after deployment, by using the Set-AadrmKeyProperties cmdlet.

Escolha o seu inquilino topologia de chaves: Gerida pela Microsoft (predefinição) ou gerida por si (BYOK)Choose your tenant key topology: Managed by Microsoft (the default) or managed by you (BYOK)

Decida que topologia de chave de inquilino é melhor para sua organização:Decide which tenant key topology is best for your organization:

  • Gerida pela Microsoft: Microsoft gera automaticamente uma chave de inquilino para a sua organização e esta chave é usada exclusivamente para o Azure Information Protection.Managed by Microsoft: Microsoft automatically generates a tenant key for your organization and this key is used exclusively for Azure Information Protection. Por predefinição, a Microsoft utiliza esta chave para o seu inquilino e gere a maioria dos aspetos do seu ciclo de vida de chave de inquilino.By default, Microsoft uses this key for your tenant and manages most aspects of your tenant key life cycle.

    Esta é a opção mais simples e com menos tarefas administrativas adicionais.This is the simplest option with the lowest administrative overheads. Na maioria dos casos, nem precisa de saber que tem uma chave de inquilino.In most cases, you do not even need to know that you have a tenant key. Basta inscrever-se no Azure Information Protection e o processo de gestão de chaves restante será processado pela Microsoft.You just sign up for Azure Information Protection and the rest of the key management process is handled by Microsoft.

  • Gerido por si (BYOK): Para obter controle completo sobre a sua chave de inquilino, utilize do Azure Key Vault com o Azure Information Protection.Managed by you (BYOK): For complete control over your tenant key, use Azure Key Vault with Azure Information Protection. Para esta topologia de chave de inquilino, criar a chave, diretamente no Key Vault, ou criá-lo no local.For this tenant key topology, you create the key, either directly in Key Vault, or create it on-premises. Se criá-lo no local, seguinte transfere ou importar esta chave para o Cofre de chaves.If you create it on-premises, you next transfer or import this key into Key Vault. Em seguida, configure o Azure Information Protection para utilizar esta chave, e geri-la no Azure Key Vault.You then configure Azure Information Protection to use this key, and you manage it in Azure Key Vault.

Obter mais informações sobre o BYOKMore information about BYOK

Para criar sua própria chave, tem as seguintes opções:To create your own key, you have the following options:

  • Uma chave que criar no local e transferir ou importar para o Key Vault:A key that you create on-premises and transfer or import to Key Vault:

    • Uma chave protegida por HSM que criar no local e transferir para o Cofre de chave como uma chave protegida por HSM.An HSM-protected key that you create on-premises and transfer to Key Vault as an HSM-protected key.

    • Uma chave protegida por software que criar no local, converter e, em seguida, transferir para o Cofre de chave como uma chave protegida por HSM.A software-protected key that you create on-premises, convert, and then transfer to Key Vault as an HSM-protected key. Esta opção é suportada apenas quando migrar a partir do Active Directory Rights Management Services (AD RMS).This option is supported only when you migrate from Active Directory Rights Management Services (AD RMS).

    • Uma chave protegida por software que criar no local e importar para o Cofre de chaves como uma chave protegida por software.A software-protected key that you create on-premises and import to Key Vault as a software-protected key. Esta opção requer um. Ficheiro de certificado PFX.This option requires a .PFX certificate file.

  • Uma chave que criar no Key Vault:A key that you create in Key Vault:

    • Uma chave protegida por HSM que criar no Key Vault.An HSM-protected key that you create in Key Vault.

    • Uma chave protegida por software que criar no Key Vault.A software-protected key that you create in Key Vault.

Uma destas opções do BYOK, o mais comum é uma chave protegida por HSM que criar no local e transferir para o Cofre de chave como uma chave protegida por HSM.Of these BYOK options, the most typical is an HSM-protected key that you create on-premises and transfer to Key Vault as an HSM-protected key. Embora esta opção tem as maiores tarefas administrativas adicionais, poderá ser necessário para a sua organização estar em conformidade com regulamentos específicos.Although this option has the greatest administrative overheads, it might be required for your organization to comply with specific regulations. Os HSMs que são utilizados pelo Azure Key Vault têm a certificação FIPS 140-2 de nível 2 validada.The HSMs that are used by Azure Key Vault are FIPS 140-2 Level 2 validated.

Quando esta opção é selecionada, ocorre o seguinte:With this option, the following happens:

  1. Gera a chave de inquilino no local, de acordo com as suas políticas de TI e de segurança.You generate your tenant key on your premises, in line with your IT policies and security policies. Esta chave é a cópia principal.This key is the master copy. Permanece no local e é responsável por realizar cópias de segurança.It remains on-premises and you are responsible for backing it up.

  2. Criar uma cópia desta chave e transfere com segurança esta cópia do seu HSM para o Azure Key Vault.You create a copy of this key, and securely transfer this copy from your HSM to Azure Key Vault. Ao longo deste processo, a cópia principal desta chave nunca sai do limite de proteção de hardware.Throughout this process, the master copy of this key never leaves the hardware protection boundary.

  3. A cópia da chave está protegida pelo Azure Key Vault.The copy of the key is protected by Azure Key Vault.

Nota

Como medida de proteção adicional, o Azure Key Vault utiliza domínios de segurança separados de seus centros de dados em regiões como a América do Norte, EMEA (Europa, Médio Oriente e África) e Ásia.As an additional protection measure, Azure Key Vault uses separate security domains for its data centers in regions such as North America, EMEA (Europe, Middle East and Africa), and Asia. O Azure Key Vault também utiliza diferentes instâncias do Azure, como o Microsoft Azure Alemanha e o Azure Government.Azure Key Vault also uses different instances of Azure, such as Microsoft Azure Germany, and Azure Government.

Embora seja opcional, provavelmente também irá querer utilizar os registos de utilização quase em tempo real do Azure Information Protection, para saber exatamente como e quando a sua chave de inquilino está a ser utilizada.Although it’s optional, you will also probably want to use the near real-time usage logs from Azure Information Protection to see exactly how and when your tenant key is being used.

Quando tenha decidido a topologia de chave de inquilinoWhen you have decided your tenant key topology

Se optar por permitir que a Microsoft gerir a sua chave de inquilino:If you decide to let Microsoft manage your tenant key:

  • A menos que estiver a migrar do AD RMS, nenhuma ação adicional é necessária para a gerar a chave para o seu inquilino e pode ir diretamente para próximos passos.Unless you are migrating from AD RMS, no further action is required for you to generate the key for your tenant and you can go straight to Next steps.

  • Se atualmente tiver o AD RMS e quiser migrar para o Azure Information Protection, utilize as instruções de migração: Migrar do AD RMS para o Azure Information Protection.If you currently have AD RMS and want to migrate to Azure Information Protection, use the migration instructions: Migrating from AD RMS to Azure Information Protection.

Se optar por gerir a sua chave de inquilino, leia as secções seguintes para obter mais informações.If you decide to manage your tenant key yourself, read the following sections for more information.

Implementar o BYOK para a sua chave de inquilino do Azure Information ProtectionImplementing BYOK for your Azure Information Protection tenant key

Utilize as informações e os procedimentos desta secção, se tiver decidido gerar e gerir a sua chave de inquilino – o cenário BYOK (Bring Your Own Key – Traga a Sua Própria Chave):Use the information and procedures in this section if you have decided to generate and manage your tenant key; the bring your own key (BYOK) scenario:

Nota

Se tiver começado a utilizar o Azure Information Protection com uma chave de inquilino gerida pela Microsoft e quiser agora gerir a sua chave de inquilino (mudar para o BYOK), os seus documentos e e-mails anteriormente protegidos continuarão acessíveis através da utilização de uma chave arquivada.If you have started to use Azure Information Protection with a tenant key that is managed by Microsoft and you now want to manage your tenant key (move to BYOK), your previously protected documents and emails will remain accessible by using an archived key.

Pré-requisitos para o BYOKPrerequisites for BYOK

Consulte a seguinte tabela para obter uma lista de pré-requisitos para o BYOK (Bring Your Own Key – Traga a Sua Própria Chave).See the following table for a list of prerequisites for bring your own key (BYOK).

RequisitoRequirement Mais informaçõesMore information
O inquilino do Azure Information Protection tem de ter uma subscrição do Azure.Your Azure Information Protection tenant must have an Azure subscription. Se não tiver uma, pode inscrever-se para obter um conta gratuita.If you do not have one, you can sign up for a free account.

Para utilizar uma chave protegida por HSM, tem de ter a camada de serviços do Azure Key Vault Premium.To use an HSM-protected key, you must have the Azure Key Vault Premium service tier.
A subscrição gratuita do Azure que fornece acesso para configurar o Azure Active Directory e a configuração dos modelos personalizados do Azure Rights Management (Aceder ao Azure Active Directory) não são suficientes para utilizar o Azure Key Vault.The free Azure subscription that provides access to configure Azure Active Directory and configuration of Azure Rights Management custom templates (Access to Azure Active Directory) is not sufficient to use Azure Key Vault. Para confirmar se tem uma subscrição do Azure que pode utilizar para o BYOK, utilize os cmdlets Azure Resource Manager do PowerShell:To confirm that you have an Azure subscription that you can use for BYOK, use the Azure Resource Manager PowerShell cmdlets:

1. Inicie uma sessão do PowerShell do Azure com a opção Executar como administrador e inicie sessão como um administrador global do seu inquilino do Azure Information Protection com o seguinte comando: Login-AzureRmAccount1. Start an Azure PowerShell session with the Run as administrator option, and sign in as a global admin for your Azure Information Protection tenant with the following command: Login-AzureRmAccount

2. Escreva o que se segue e confirme se os valores apresentados para o nome e ID da sua subscrição, o ID do seu inquilino do Azure Information Protection e o estado estão ativos: Get-AzureRmSubscription2. Type the following and confirm that you see values displayed for your subscription name and ID, your Azure Information Protection tenant ID, and that the state is enabled: Get-AzureRmSubscription

Se não forem apresentados valores e apenas regressará à linha de comandos, não tem uma subscrição do Azure que pode ser utilizada para o BYOK.If no values are displayed and you are just returned to the prompt, you do not have an Azure subscription that can be used for BYOK.

Nota: Além dos pré-requisitos para BYOK, se estiver a migrar do AD RMS para o Azure Information Protection ao utilizar a chave de software para chave de hardware, tem de ter uma versão mínima do 11.62 ou posterior para o firmware da Thales.Note: In addition to the BYOK prerequisites, if you are migrating from AD RMS to Azure Information Protection by using software key to hardware key, you must have a minimum version of 11.62 for the Thales firmware.
Para utilizar uma chave protegida por HSM que criar no local:To use an HSM-protected key that you create on-premises:

-Todos os pré-requisitos listados para BYOK do Cofre de chaves.- All the prerequisites listed for Key Vault BYOK.
Veja Pré-requisitos para BYOK na documentação do Azure Key Vault.See Prerequisites for BYOK from the Azure Key Vault documentation.

Nota: Além dos pré-requisitos para BYOK, se estiver a migrar do AD RMS para o Azure Information Protection ao utilizar a chave de software para chave de hardware, tem de ter uma versão mínima do 11.62 ou posterior para o firmware da Thales.Note: In addition to the BYOK prerequisites, if you are migrating from AD RMS to Azure Information Protection by using software key to hardware key, you must have a minimum version of 11.62 for the Thales firmware.
Se o Cofre de chaves para conter a chave de inquilino utiliza pontos finais de serviço de rede Virtual para o Azure Key Vault:If the key vault to contain your tenant key uses Virtual Network Service Endpoints for Azure Key Vault:

-Permitir que os serviços Microsoft fidedignos contornem esta firewall.- Allow trusted Microsoft services to bypass this firewall.
Para obter mais informações, consulte pontos finais de serviço de rede Virtual para o Azure Key Vault.For more information, see Virtual Network Service Endpoints for Azure Key Vault.
O módulo de administração do Azure Rights Management para o Windows PowerShell.The Azure Rights Management administration module for Windows PowerShell. Para obter instruções de instalação, consulte instalar o módulo do PowerShell do AADRM.For installation instructions, see Installing the AADRM PowerShell module.

Caso já tenha instalado este módulo do Windows PowerShell, execute o seguinte comando para verificar se o seu número de versão é, pelo menos, 2.9.0.0: (Get-Module aadrm -ListAvailable).VersionIf you have previously installed this Windows PowerShell module, run the following command to check that your version number is at least 2.9.0.0: (Get-Module aadrm -ListAvailable).Version

Para obter mais informações sobre HSMs da Thales e como são utilizados com o Azure Key Vault, consulte o site da Thales.For more information about Thales HSMs and how they are used with Azure Key Vault, see the Thales website.

Escolher a localização do Cofre de chavesChoosing your key vault location

Quando cria um cofre de chaves para conter a chave a ser utilizado como a chave de inquilino para obter informações do Azure, tem de especificar uma localização.When you create a key vault to contain the key to be used as your tenant key for Azure Information, you must specify a location. Esta localização é uma região do Azure, ou instância do Azure.This location is an Azure region, or Azure instance.

Tornar a sua primeira choice de conformidade e, em seguida, para minimizar a latência de rede:Make your choice first for compliance, and then to minimize network latency:

  • Se tiver escolhido a topologia de chave de BYOK por motivos de conformidade, esses requisitos de conformidade podem impor a região do Azure ou a instância do Azure que armazena a chave de inquilino do Azure Information Protection.If you have chosen the BYOK key topology for compliance reasons, those compliance requirements might mandate the Azure region or Azure instance that stores your Azure Information Protection tenant key.

  • Uma vez que todas as chamadas de criptografia para a proteção da cadeia para a chave de inquilino do Azure Information Protection, deseja minimizar a latência de rede que essas chamadas incorrem.Because all cryptographic calls for protection chain to your Azure Information Protection tenant key, you want to minimize the network latency that these calls incur. Para fazer isso, crie o seu Cofre de chaves na mesma região do Azure ou instância como seu inquilino do Azure Information Protection.To do that, create your key vault in the same Azure region or instance as your Azure Information Protection tenant.

Para identificar a localização do seu inquilino do Azure Information Protection, utilize o Get-AadrmConfiguration cmdlet do PowerShell e a identificar a região a partir dos URLs.To identify the location of your Azure Information Protection tenant, use the Get-AadrmConfiguration PowerShell cmdlet and identify the region from the URLs. Por exemplo:For example:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

A região é a identificação da rms.na.aadrm.com, e para este exemplo, é na América do Norte.The region is identifiable from rms.na.aadrm.com, and for this example, it is in North America.

Utilize a seguinte tabela para identificar qual instância ou região do Azure, é recomendada para minimizar a latência de rede.Use the following table to identify which Azure region or instance is recommended to minimize network latency.

Instância ou região do AzureAzure region or instance Localização recomendada para o seu Cofre de chavesRecommended location for your key vault
rms.na.aadrm.comrms.na.aadrm.com Centro-Norte ou E.U.A. lesteNorth Central US or East US
rms.eu.aadrm.comrms.eu.aadrm.com Europa do Norte ou Europa OcidentalNorth Europe or West Europe
rms.ap.aadrm.comrms.ap.aadrm.com Ásia Oriental ou Sudeste asiáticoEast Asia or Southeast Asia
rms.sa.aadrm.comrms.sa.aadrm.com E.U.A. oeste ou E.U.A. lesteWest US or East US
rms.govus.aadrm.comrms.govus.aadrm.com Centro dos E.U.A. ou E.U.A. Leste 2Central US or East US 2

Instruções para BYOKInstructions for BYOK

Utilize a documentação do Azure Key Vault para criar um cofre de chaves e a chave de que pretende utilizar para o Azure Information Protection.Use the Azure Key Vault documentation to create a key vault and the key that you want to use for Azure Information Protection. Por exemplo, veja introdução ao Azure Key Vault.For example, see Get started with Azure Key Vault.

Certifique-se de que o comprimento da chave é 2048 bits (recomendados) ou de 1024 bits.Make sure that the key length is 2048 bits (recommended) or 1024 bits. Outros comprimentos de chave não são suportados pelo Azure Information Protection.Other key lengths are not supported by Azure Information Protection.

Para criar um protegida por HSM chave no local e transferi-la para o seu Cofre de chaves como uma chave protegida por HSM, siga os procedimentos como gerar e transferir chaves protegidas por HSM para o Azure Key Vault.To create an HSM-protected key on-premises and transfer it to your key vault as an HSM-protected key, follow the procedures in How to generate and transfer HSM-protected keys for Azure Key Vault.

Para o Azure Information Protection utilizar a chave, todas as operações do Cofre de chaves devem ser permitidas para a chave.For Azure Information Protection to use the key, all Key Vault operations must be permitted for the key. Esta é a configuração padrão e as operações são encriptar, desencriptar, moldar, anular a moldagem, iniciar sessão e certifique-se.This is the default configuration and the operations are encrypt, decrypt, wrap, unwrap, sign, and verify. Pode verificar as operações permitidas de uma chave com Get-AzureKeyVauktKey e a verificar o key_ops valores devolvidos no chave detalhes.You can check the permitted operations of a key by using Get-AzureKeyVauktKey and verifying the key_ops values returned in the Key details. Se necessário, adicione as operações permitidas usando Update-AzureKeyVaultKey e o KeyOps parâmetro.If necessary, add permitted operations by using Update-AzureKeyVaultKey and the KeyOps parameter.

Uma chave armazenada no Cofre de chaves tem uma chave de ID.A key that is stored in Key Vault has a key ID. Esta chave de ID é um URL que contém o nome do Cofre de chaves, o contentor de chaves, o nome da chave e a versão da chave.This key ID is a URL that contains the name of the key vault, the keys container, the name of the key, and the key version. Por exemplo: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.For example: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Tem de configurar o Azure Information Protection para utilizar esta chave, especificando o URL do Cofre de chaves.You must configure Azure Information Protection to use this key, by specifying its key vault URL.

Antes de utilizar a chave do Azure Information Protection, o serviço Azure Rights Management tem de estar autorizado a utilizar a chave no Cofre de chaves da sua organização.Before Azure Information Protection can use the key, the Azure Rights Management service must be authorized to use the key in your organization's key vault. Para fazer isso, o administrador do Azure Key Vault pode utilizar o portal do Azure ou o Azure PowerShell:To do this, the Azure Key Vault administrator can use the Azure portal, or Azure PowerShell:

Configuração com o portal do Azure:Configuration by using the Azure portal:

  1. Navegue para cofres de chaves > <nome do seu Cofre de chaves> > políticas de acesso > Adicionar novo.Navigate to Key vaults > <your key vault name> > Access policies > Add new.

  2. Do Adicionar política de acesso painel, selecione BYOK do Azure Information Protection partir o configurar a partir de modelo (opcional) caixa de listagem e clique em OK .From the Add access policy blade, select Azure Information Protection BYOK from the Configure from template (optional) list box, and click OK.

    O modelo selecionado tem a seguinte configuração:The selected template has the following configuration:

    • Microsoft Rights Management Services será automaticamente atribuído para principal selecione.Microsoft Rights Management Services is automatically assigned for Select principal.
    • Obtenha, desencriptar, e início de sessão é selecionado automaticamente para as permissões da chave.Get, Decrypt, and Sign is automatically selected for the key permissions.

Configuração com o PowerShell:Configuration by using PowerShell:

  • Execute o cmdlet do PowerShell do Cofre de chaves, Set-AzureRmKeyVaultAccessPolicye conceder permissões ao principal de serviço do Azure Rights Management, ao utilizar o GUID 00000012-0000-0000-c000-000000000000.Run the Key Vault PowerShell cmdlet, Set-AzureRmKeyVaultAccessPolicy, and grant permissions to the Azure Rights Management service principal, by using the GUID 00000012-0000-0000-c000-000000000000. Por exemplo:For example:

      Set-AzureRmKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
    

Agora está pronto para configurar o Azure Information Protection para utilizar esta chave como chave de inquilino do Azure Information Protection da sua organização.You're now ready to configure Azure Information Protection to use this key as your organization's Azure Information Protection tenant key. Através dos cmdlets do Azure RMS, ligue primeiro ao serviço Azure Rights Management e inicie sessão:Using Azure RMS cmdlets, first connect to the Azure Rights Management service and sign in:

Connect-AadrmService

Em seguida, execute o cmdlet Use-AadrmKeyVaultKey e especifique o URL da chave.Then run the Use-AadrmKeyVaultKey cmdlet, specifying the key URL. Por exemplo:For example:

Use-AadrmKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333"

Importante

Neste exemplo, "aaaabbbbcccc111122223333" é a versão da chave a utilizar.In this example, "aaaabbbbcccc111122223333" is the version of the key to use. Se não especificar a versão, a versão atual da chave é utilizada sem aviso e o comando parece funcionar.If you do not specify the version, the current version of the key is used without warning and the command appears to work. No entanto, se a chave no Cofre de Chaves for atualizada mais tarde (renovada), o serviço Azure Rights Management deixará de funcionar para o seu inquilino, mesmo que execute novamente o comando Use-AadrmKeyVaultKey.However, if your key in Key Vault is later updated (renewed), the Azure Rights Management service will stop working for your tenant, even if you run the Use-AadrmKeyVaultKey command again.

Quando executar este comando, certifique-se de que especifica a versão da chave, bem como o nome da chave.Make sure that you specify the key version, in addition to the key name when you run this command. Pode utilizar o comando do Azure Key Vault (Get-AzureKeyVaultKey) para obter o número da versão da chave atual.You can use the Azure Key Vault cmd, Get-AzureKeyVaultKey, to get the version number of the current key. Por exemplo: Get-AzureKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'For example: Get-AzureKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

Se tiver de confirmar que a chave de URL está definida corretamente para o Azure Information Protection: No Azure Key Vault, execute Get-AzureKeyVaultKey para ver a chave de URL.If you need to confirm that the key URL is set correctly for Azure Information Protection: In Azure Key Vault, run Get-AzureKeyVaultKey to see the key URL.

Por fim, se o serviço Azure Rights Management já estiver ativado, execute Set-AadrmKeyProperties para dizer ao Azure Information Protection para utilizar esta chave como chave de inquilino ativa para o serviço Azure Rights Management.Finally, if the Azure Rights Management service is already activated, run Set-AadrmKeyProperties to tell Azure Information Protection to use this key as the active tenant key for the Azure Rights Management service. Se não efetuar este passo, Azure Information Protection irá continuar a utilizar a chave de gerida pela Microsoft para predefinida que foi criada automaticamente para o seu inquilino.If you do not do this step, Azure Information Protection will continue to use the default Microsoft-managed key that was automatically created for your tenant.

Passos SeguintesNext steps

Agora que já planeou e, se necessário, criado e configurado a sua chave de inquilino, faça o seguinte:Now that you've planned for and if necessary, created and configured your tenant key, do the following:

  1. Comece a utilizar a sua chave de inquilino:Start to use your tenant key:

    • Se o serviço de proteção já não está ativado, tem agora de ativar o serviço Rights Management para que sua organização pode começar a utilizar o Azure Information Protection.If the protection service isn't already activated, you must now activate the Rights Management service so that your organization can start to use Azure Information Protection. Os utilizadores imediatamente começam a utilizar a sua chave de inquilino (gerida pela Microsoft ou gerida por si no Azure Key Vault).Users immediately start to use your tenant key (managed by Microsoft, or managed by you in Azure Key Vault).

      Para obter mais informações sobre a ativação, consulte Ativar o Azure Rights Management.For more information about activation, see Activating Azure Rights Management.

    • Se o serviço Rights Management já estava ativado e, em seguida, decidiu gerir a sua própria chave de inquilino, gradualmente transição dos utilizadores a chave de inquilino antiga para a nova chave de inquilino.If the Rights Management service was already activated and then you decided to manage your own tenant key, users gradually transition from the old tenant key to the new tenant key. Desta transição escalonada poderá demorar algumas semanas para concluir.This staggered transition can take a few weeks to complete. Os documentos e ficheiros que foram protegidos com a chave de inquilino antiga permanecem acessíveis aos utilizadores autorizados.Documents and files that were protected with the old tenant key remains accessible to authorized users.

  2. Pondere utilizar registos de utilização, que lhe permitem registar todas as transações efetuadas pelo serviço Azure Rights Management.Consider using usage logging, which logs every transaction that the Azure Rights Management service performs.

    Se decidiu gerir a sua própria chave de inquilino, o registo incluirá informações sobre como utilizar a sua chave de inquilino.If you decided to manage your own tenant key, logging includes information about using your tenant key. Veja o seguinte fragmento de um ficheiro de registo apresentado no Excel onde os tipos de pedido KeyVaultDecryptRequest e KeyVaultSignRequest mostram que a chave de inquilino está a ser utilizada.See the following snippet from a log file displayed in Excel where the KeyVaultDecryptRequest and KeyVaultSignRequest request types show that the tenant key is being used.

    ficheiro de registo no Excel onde a chave de inquilino está a ser utilizada

    Para obter mais informações sobre o registo de utilização, consulte Registar e analisar a utilização do serviço Azure Rights Management.For more information about usage logging, see Logging and analyzing usage of the Azure Rights Management service.

  3. Gerir a sua chave de inquilino.Manage your tenant key.

    Para obter mais informações sobre as operações de ciclo de vida para a sua chave de inquilino, consulte operações para a chave de inquilino do Azure Information Protection.For more information about the life cycle operations for your tenant key, see Operations for your Azure Information Protection tenant key.