Passo 2: migração de chave protegida por HSM para chave protegida por HSMStep 2: HSM-protected key to HSM-protected key migration

Aplica-se a: Serviços de Gestão de Direitos do Active Directory, Azure Information ProtectionApplies to: Active Directory Rights Management Services, Azure Information Protection

Estas instruções fazem parte do caminho de migração do AD RMS para o Azure Information Protection e só são aplicáveis se a sua chave do AD RMS estiver protegida por HSM e quiser migrar para o Azure Information Protection com uma chave de inquilino protegida por HSM no Azure Key Vault.These instructions are part of the migration path from AD RMS to Azure Information Protection, and are applicable only if your AD RMS key is HSM-protected and you want to migrate to Azure Information Protection with a HSM-protected tenant key in Azure Key Vault.

Se este não for o cenário de configuração escolhido, regresse ao Passo 4. Exporte os dados de configuração do AD RMS, importe-os para o Azure RMS e escolha uma configuração diferente.If this is not your chosen configuration scenario, go back to Step 4. Export configuration data from AD RMS and import it to Azure RMS and choose a different configuration.

Nota

Estas instruções partem do princípio de que a sua chave do AD RMS está protegida por um módulo.These instructions assume your AD RMS key is module-protected. Este é o caso mais habitual.This is the most typical case.

A importação da sua chave HSM e da configuração do AD RMS para o Azure Information Protection é feita em duas partes, de forma a resultar na chave de inquilino do Azure Information Protection gerida por si (BYOK).It’s a two-part procedure to import your HSM key and AD RMS configuration to Azure Information Protection, to result in your Azure Information Protection tenant key that is managed by you (BYOK).

Uma vez que a chave de inquilino do Azure Information Protection será armazenada e gerida pelo Azure Key Vault, esta parte da migração requer administração no Azure Key Vault, além do Azure Information Protection.Because your Azure Information Protection tenant key will be stored and managed by Azure Key Vault, this part of the migration requires administration in Azure Key Vault, in addition to Azure Information Protection. Se o Azure Key Vault da sua organização for gerido por um administrador diferente de si, tem de se coordenar e trabalhar com esse administrador para concluir estes procedimentos.If Azure Key Vault is managed by a different administrator than you for your organization, you must co-ordinate and work with that administrator to complete these procedures.

Antes de começar, certifique-se de que a sua organização tem um cofre de chaves criado no Azure Key Vault e que suporta chaves protegidas por HSM.Before you begin, make sure that your organization has a key vault that has been created in Azure Key Vault, and that it supports HSM-protected keys. Embora não seja necessário, recomendamos que tenha um cofre de chaves dedicado para o Azure Information Protection.Although it's not required, we recommend that you have a dedicated key vault for Azure Information Protection. Este cofre de chaves será configurado de forma a permitir que o serviço Azure Rights Management aceda ao mesmo, pelo que este cofre de chaves deve armazenar apenas chaves do Azure Information Protection.This key vault will be configured to allow the Azure Rights Management service to access it, so the keys that this key vault stores should be limited to Azure Information Protection keys only.

Dica

Se for efetuar os passos de configuração do Azure Key Vault e não estiver familiarizado com este serviço do Azure, poderá considerar útil primeiro rever Introdução ao Azure Key Vault.If you are doing the configuration steps for Azure Key Vault and you are not familiar with this Azure service, you might find it useful to first review Get started with Azure Key Vault.

Parte 1: transferir a chave HSM para o Azure Key VaultPart 1: Transfer your HSM key to Azure Key Vault

Estes procedimentos são efetuados pelo administrador para o Azure Key Vault.These procedures are done by the administrator for Azure Key Vault.

  1. Para cada chave SLC exportada que pretende armazenar no Azure Key Vault, siga as instruções apresentadas na secção Implementing bring your own key (BYOK) for Azure Key Vault (Implementar o BYOK (Bring Your Own Key – Traga a sua Própria Chave)) da documentação do Azure Key Vault, com a seguinte exceção:For each exported SLC key that you want to store in Azure Key Vault, follow the instructions from the Azure Key Vault documentation, using Implementing bring your own key (BYOK) for Azure Key Vault with the following exception:

    • Não efetue os passos para Gerar a chave de inquilino, porque já tem o equivalente da sua implementação do AD RMS.Do not do the steps for Generate your tenant key, because you already have the equivalent from your AD RMS deployment. Em vez disso, identifique a chave utilizada pelo servidor do AD RMS na instalação da Thales e utilize esta chave durante a migração.Instead, identify the key used by your AD RMS server from the Thales installation and use this key during the migration. Os ficheiros de chave encriptados da Thales são normalmente denominados key<keyAppName><keyIdentifier> localmente no servidor.Thales encrypted key files are usually named key<keyAppName><keyIdentifier> locally on the server.

      Quando a chave é carregada para o Azure Key Vault, pode ver as propriedades da chave apresentadas, incluindo o ID da chave.When the key uploads to Azure Key Vault, you see the properties of the key displayed, which includes the key ID. Terá um aspeto semelhante a https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.It will look similar to https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Tome nota deste URL, porque o administrador do Azure Information Protection irá precisar dele para indicar ao serviço Azure Rights Management que utilize esta chave para a respetiva chave de inquilino.Make a note of this URL because the Azure Information Protection administrator needs it to tell the Azure Rights Management service to use this key for its tenant key.

  2. Na estação de trabalho com ligação à Internet, numa sessão do PowerShell, utilize o cmdlet Set-AzureRmKeyVaultAccessPolicy para autorizar o principal do serviço Azure Rights Management para aceder ao cofre de chaves que armazenará a chave de inquilino do Azure Information Protection.On the Internet-connected workstation, in a PowerShell session, use the Set-AzureRmKeyVaultAccessPolicy cmdlet to authorize the Azure Rights Management service principal to access the key vault that will store the Azure Information Protection tenant key. As permissões necessárias são decrypt, encrypt, unwrapkey, wrapkey, verify e sign.The permissions required are decrypt, encrypt, unwrapkey, wrapkey, verify, and sign.

    Por exemplo, se o cofre de chaves que criou para o Azure Information Protection tiver o nome contoso-byok-ky e o grupo de recursos tiver o nome contoso-byok-rg, execute o seguinte comando:For example, if the key vault that you have created for Azure Information Protection is named contoso-byok-ky, and your resource group is named contoso-byok-rg, run the following command:

     Set-AzureRmKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get
    

Agora que já preparou a sua chave HSM no Azure Key Vault para o serviço Azure Rights Management do Azure Information Protection, está pronto para importar os dados de configuração do AD RMS.Now that you’ve prepared your HSM key in Azure Key Vault for the Azure Rights Management service from Azure Information Protection, you’re ready to import your AD RMS configuration data.

Parte 2: importar os dados de configuração para o Azure Information ProtectionPart 2: Import the configuration data to Azure Information Protection

Estes procedimentos são efetuados pelo administrador para o Azure Information Protection.These procedures are done by the administrator for Azure Information Protection.

  1. Na estação de trabalho ligada à Internet e na sessão do PowerShell, ligue ao serviço Azure Rights Management com o cmdlet Connnect AadrmService.On the Internet-connect workstation and in the PowerShell session, connect to the Azure Rights Management service by using the Connnect-AadrmService cmdlet.

    Em seguida, carregue cada ficheiro de domínio de publicação fidedigno exportado (.xml) com o cmdlet Import-AadrmTpd.Then upload each trusted publishing domain (.xml) file, by using the Import-AadrmTpd cmdlet. Por exemplo, deverá ter pelo menos um ficheiro adicional para importar se tiver atualizado o seu cluster AD RMS para o Modo Criptográfico 2.For example, you should have at least one additional file to import if you upgraded your AD RMS cluster for Cryptographic Mode 2.

    Para executar este cmdlet, precisará da palavra-passe que especificou anteriormente para cada ficheiro de dados de configuração e o URL da chave que foi identificada no passo anterior.To run this cmdlet, you need the password that you specified earlier for each configuration data file, and the URL for the key that was identified in the previous step.

    Por exemplo, através de um ficheiro de dados de configuração de C:\contoso-tpd1.xml e do nosso valor de URL da chave do passo anterior, execute primeiro o seguinte para armazenar a palavra-passe:For example, using a configuration data file of C:\contoso-tpd1.xml and our key URL value from the previous step, first run the following to store the password:

    $TPD_Password = Read-Host -AsSecureString
    

    Introduza a palavra-passe que especificou para exportar o ficheiro de dados de configuração.Enter the password that you specified to export the configuration data file. Em seguida, execute o seguinte comando e confirme que pretende realizar esta ação:Then, run the following command and confirm that you want to perform this action:

    Import-AadrmTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    Como parte desta importação, a chave SLC é importada e definida automaticamente como arquivada.As part of this import, the SLC key is imported and automatically set as archived.

  2. Depois de carregar todos os ficheiros, execute Set-AadrmKeyProperties para especificar a chave importada que corresponde à chave SLC atualmente ativa no cluster do AD RMS.When you have uploaded each file, run Set-AadrmKeyProperties to specify which imported key matches the currently active SLC key in your AD RMS cluster. Esta chave tornar-se-á a chave de inquilino ativa para o seu serviço Azure Rights Management.This key becomes the active tenant key for your Azure Rights Management service.

  3. Utilize o cmdlet Disconnect-AadrmService para desligar do serviço Azure Rights Management:Use the Disconnect-AadrmService cmdlet to disconnect from the Azure Rights Management service:

    Disconnect-AadrmService
    

Se tiver de confirmar mais tarde qual a chave de inquilino do Azure Information Protection utilizada no Azure Key Vault, utilize o cmdlet Get-AadrmKeys do Azure RMS.If you later need to confirm which key your Azure Information Protection tenant key is using in Azure Key Vault, use the Get-AadrmKeys Azure RMS cmdlet.

Agora está pronto para ir para o Passo 5. Ativar o serviço Azure Rights Management.You’re now ready to go to Step 5. Activate the Azure Rights Management service.

ComentáriosComments

Antes de inserir um comentário, pedimos-lhe que reveja as nossas Regras básicas.Before commenting, we ask that you review our House rules.