Planear e implementar a sua chave de inquilino do Azure Information ProtectionPlanning and implementing your Azure Information Protection tenant key

Aplica-se a: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Utilize as informações deste artigo para o ajudar a planear e gerir a sua chave de inquilino do Azure Information Protection.Use the information in this article to help you plan for and manage your Azure Information Protection tenant key. Por exemplo, em vez de a sua chave de inquilino ser gerida pela Microsoft (predefinição), poderá querer gerir a sua própria chave de inquilino para cumprir os regulamentos específicos que se aplicam à sua organização.For example, instead of Microsoft managing your tenant key (the default), you might want to manage your own tenant key to comply with specific regulations that apply to your organization. A gestão da sua própria chave de inquilino também é referida como Bring Your Own Key (Traga a Sua Própria Chave) ou BYOK.Managing your own tenant key is also referred to as bring your own key, or BYOK.

Nota

O equivalente no local da chave de inquilino do Azure Information Protection é conhecido como a chave do Certificado de Licenciante para Servidor (SLC).The on-premises equivalent of the Azure Information Protection tenant key is known as the Server Licensor Certificate (SLC) key. O Azure Information Protection mantém uma ou mais chaves para cada organização que tenha uma subscrição para o Azure Information Protection.Azure Information Protection maintains one or more keys for each organization that has a subscription for Azure Information Protection. Sempre que são utilizadas chaves para o Azure Information Protection numa organização (por exemplo, chaves de utilizador, chaves de computador, chaves de encriptação de documentos), estas associam-se criptograficamente à sua chave de inquilino do Azure Information Protection.Whenever keys are used for Azure Information Protection within an organization (such as user keys, computer keys, document encryption keys), they cryptographically chain to your Azure Information Protection tenant key.

Resumindo: utilize a seguinte tabela como um guia rápido para a sua topologia de chaves de inquilino recomendada.At a glance: Use the following table as a quick guide to your recommended tenant key topology. Em seguida, utilize a documentação adicional para obter mais informações.Then, use the additional documentation for more information.

Necessidade comercialBusiness requirement Topologia de chaves de inquilino recomendadaRecommended tenant key topology
Implementar o Azure Information Protection rapidamente e sem necessitar de hardware especialDeploy Azure Information Protection quickly and without requiring special hardware Gerida pela MicrosoftManaged by Microsoft
Necessita da funcionalidade IRM completa no Exchange Online com o serviço Azure Rights ManagementNeed full IRM functionality in Exchange Online with the Azure Rights Management service Gerida pela MicrosoftManaged by Microsoft
As suas chaves são criadas por si e protegidas num módulo de hardware de segurança (HSM)Your keys are created by you and protected in a hardware security module (HSM) BYOKBYOK

Atualmente, esta configuração resultará na redução da funcionalidade IRM no Exchange Online.Currently, this configuration will result in reduced IRM functionality in Exchange Online. Para obter mais informações, consulte Preços e restrições do BYOK.For more information, see BYOK pricing and restrictions.

Se for necessário, pode alterar a topologia da sua chave de inquilino após a implementação, utilizando o cmdlet Set-AadrmKeyProperties.If required, you can change your tenant key topology after deployment, by using the Set-AadrmKeyProperties cmdlet.

Selecione a sua topologia de chaves de inquilino: gerida pela Microsoft (predefinição) ou gerida por si (BYOK)Choose your tenant key topology: Managed by Microsoft (the default) or managed by you (BYOK)

Decida que topologia de chaves de inquilino é melhor para a sua organização.Decide which tenant key topology is best for your organization. Por predefinição, o Azure Information Protection gera a sua chave de inquilino e gere a maioria dos aspetos do ciclo de vida da chave de inquilino.By default, Azure Information Protection generates your tenant key and manages most aspects of the tenant key lifecycle. Esta é a opção mais simples e com menos tarefas administrativas adicionais.This is the simplest option with the lowest administrative overheads. Na maioria dos casos, nem precisa de saber que tem uma chave de inquilino.In most cases, you do not even need to know that you have a tenant key. Basta inscrever-se no Azure Information Protection e o processo de gestão de chaves restante será processado pela Microsoft.You just sign up for Azure Information Protection and the rest of the key management process is handled by Microsoft.

Em alternativa, pode pretender o controlo total sobre a chave de inquilino, utilizando o Azure Key Vault.Alternatively, you might want complete control over your tenant key, by using Azure Key Vault. Este cenário envolve criar a sua chave de inquilino e manter a cópia principal no local.This scenario involves creating your tenant key and keeping the master copy on your premises. Este cenário é frequentemente referido como BYOK (Bring Your Own Key – Traga a Sua Própria Chave).This scenario is often referred to as bring your own key (BYOK). Quando esta opção é selecionada, ocorre o seguinte:With this option, the following happens:

  1. Gera a chave de inquilino no local, de acordo com as suas políticas de TI e de segurança.You generate your tenant key on your premises, in line with your IT policies and security policies.

  2. Transfere com segurança a chave de inquilino de um módulo de hardware de segurança (HSM) do qual é proprietário para HSMs que são propriedade da Microsoft e geridos pela mesma utilizando o Azure Key Vault.You securely transfer the tenant key from a hardware security module (HSM) in your possession to HSMs that are owned and managed by Microsoft, using Azure Key Vault. Durante este processo, a sua chave de inquilino nunca ultrapassa o limite de proteção de hardware.Throughout this process, your tenant key never leaves the hardware protection boundary.

  3. Quando transfere a chave de inquilino para a Microsoft, esta permanece protegida pelo Azure Key Vault.When you transfer your tenant key to Microsoft, it stays protected by Azure Key Vault.

Embora seja opcional, provavelmente também irá querer utilizar os registos de utilização quase em tempo real do Azure Information Protection, para saber exatamente como e quando a sua chave de inquilino está a ser utilizada.Although it’s optional, you will also probably want to use the near real-time usage logs from Azure Information Protection to see exactly how and when your tenant key is being used.

Nota

Como medida de proteção adicional, o Azure Key Vault utiliza domínios de segurança separados nos seus centros de dados em regiões como a América do Norte, EMEA (Europa, Médio Oriente e África) e Ásia.As an additional protection measure, Azure Key Vault uses separate security domains for its data centers in regions such as North America, EMEA (Europe, Middle East and Africa), and Asia. E para diferentes instâncias do Azure, como o Microsoft Azure Alemanha e o Azure Government.And for different instances of Azure, such as Microsoft Azure Germany, and Azure Government. Quando faz a gestão da sua própria chave de inquilino, esta é associada ao domínio de segurança da região ou instância na qual o seu inquilino do Azure Information Protection está registado.When you manage your own tenant key, it is tied to the security domain of the region or instance in which your Azure Information Protection tenant is registered. Por exemplo, não é possível utilizar uma chave de inquilino de um cliente europeu nos centros de dados da América do Norte ou da Ásia.For example, a tenant key from a European customer cannot be used in data centers in North America or Asia.

O ciclo de vida das chaves de inquilinoThe tenant key lifecycle

Se decidir que a Microsoft deve gerir a sua chave de inquilino, a maioria das operações de ciclo de vida da chave será processada pela Microsoft.If you decide that Microsoft should manage your tenant key, Microsoft handles most of the key lifecycle operations. No entanto, se optar por gerir a sua chave de inquilino, fica responsável por muitas das operações de ciclo de vida da chave e por alguns procedimentos adicionais no Azure Key Vault.However, if you decide to manage your tenant key, you are responsible for many of the key lifecycle operations and some additional procedures in Azure Key Vault.

Os diagramas seguintes apresentam e comparam estas duas opções.The following diagrams show and compares these two options. O primeiro diagrama mostra que há poucas tarefas administrativas adicionais para si na configuração predefinida quando a Microsoft gere a chave de inquilino.The first diagram shows how little administrator overheads there are for you in the default configuration when Microsoft manages the tenant key.

Ciclo de vida da chave de inquilino do Azure Information Protection – gerida pela Microsoft (a predefinição)

O segundo diagrama mostra os passos adicionais necessários quando gere a sua própria chave de inquilino.The second diagram shows the additional steps required when you manage your own tenant key.

Ciclo de vida da chave de inquilino do Azure Information Protection – gerida por si (BYOK)

Se decidir deixar que a sua chave de inquilino seja gerida pela Microsoft, não precisa de tomar medidas adicionais para a gerar e pode ir diretamente para Passos seguintes.If you decide to let Microsoft manage your tenant key, no further action is required for you to generate the key and you can go straight to Next steps.

Se optar por gerir a sua chave de inquilino, leia as secções seguintes para obter mais informações.If you decide to manage your tenant key yourself, read the following sections for more information.

Implementar a sua chave de inquilino do Azure Information ProtectionImplementing your Azure Information Protection tenant key

Utilize as informações e os procedimentos desta secção, se tiver decidido gerar e gerir a sua chave de inquilino – o cenário BYOK (Bring Your Own Key – Traga a Sua Própria Chave):Use the information and procedures in this section if you have decided to generate and manage your tenant key; the bring your own key (BYOK) scenario:

Importante

Se tiver começado a utilizar o Azure Information Protection com uma chave de inquilino gerida pela Microsoft e quiser agora gerir a sua chave de inquilino (mudar para o BYOK), os seus documentos e e-mails anteriormente protegidos continuarão acessíveis através da utilização de uma chave arquivada.If you have started to use Azure Information Protection with a tenant key that is managed by Microsoft and you now want to manage your tenant key (move to BYOK), your previously protected documents and emails will remain accessible by using an archived key. No entanto, se tiver utilizadores com o Office 2010, contacte o Suporte da Microsoft antes de executar estes procedimentos.However, if you have users who run Office 2010, contact Microsoft Support before you run these procedures. Este computadores requerem passos de configuração adicionais.These computers will need some additional configuration steps.

Também pode contactar o Suporte da Microsoft caso a sua organização disponha de políticas para processar chaves específicas.Also contact Microsoft Support if your organization has specific policies for handling keys.

Pré-requisitos para o BYOKPrerequisites for BYOK

Consulte a seguinte tabela para obter uma lista de pré-requisitos para o BYOK (Bring Your Own Key – Traga a Sua Própria Chave).See the following table for a list of prerequisites for bring your own key (BYOK).

RequisitoRequirement Mais informaçõesMore information
Uma subscrição que suporta o Azure Information Protection.A subscription that supports Azure Information Protection. Para obter mais informações sobre as subscrições disponíveis, consulte a Página de preços do Azure Information Protection.For more information about the available subscriptions, see the Azure Information Protection Pricing page.
Não utiliza o Exchange Online.You do not use Exchange Online.

Em alternativa, se utilizar o Exchange Online, compreender e aceitar as limitações da utilização do BYOK com esta configuração.Or, if you use Exchange Online, you understand and accept the limitations of using BYOK with this configuration.
Para obter mais informações sobre as restrições e limitações atuais do BYOK, consulte Preços e restrições do BYOK.For more information about the restrictions and current limitations for BYOK, see BYOK pricing and restrictions.

Importante: o BYOK não é atualmente compatível com o Exchange Online.Important: Currently, BYOK is not compatible with Exchange Online.
Todos os pré-requisitos indicados para o BYOK do Azure Key Vault, que incluem uma subscrição paga ou de avaliação do Azure para o seu inquilino existente do Azure Information Protection.All the prerequisites listed for Key Vault BYOK, which includes a paid or trial Azure subscription for your existing Azure Information Protection tenant. Veja Pré-requisitos para BYOK na documentação do Azure Key Vault.See Prerequisites for BYOK from the Azure Key Vault documentation.

A subscrição gratuita do Azure que fornece acesso para configurar o Azure Active Directory e a configuração dos modelos personalizados do Azure Rights Management (Aceder ao Azure Active Directory) não são suficientes para utilizar o Azure Key Vault.The free Azure subscription that provides access to configure Azure Active Directory and configuration of Azure Rights Management custom templates (Access to Azure Active Directory) is not sufficient to use Azure Key Vault. Para confirmar se tem uma subscrição do Azure que pode utilizar para o BYOK, utilize os cmdlets Azure Resource Manager do PowerShell:To confirm that you have an Azure subscription that you can use for BYOK, use the Azure Resource Manager PowerShell cmdlets:

1. Inicie uma sessão do PowerShell do Azure com a opção Executar como administrador e inicie sessão como um administrador global do seu inquilino do Azure Information Protection com o seguinte comando: Login-AzureRmAccount1. Start an Azure PowerShell session with the Run as administrator option, and sign in as a global admin for your Azure Information Protection tenant with the following command: Login-AzureRmAccount

2. Escreva o que se segue e confirme se os valores apresentados para o nome e ID da sua subscrição, o ID do seu inquilino do Azure Information Protection e o estado estão ativos: Get-AzureRmSubscription2. Type the following and confirm that you see values displayed for your subscription name and ID, your Azure Information Protection tenant ID, and that the state is enabled: Get-AzureRmSubscription

Se não forem apresentados valores e regressar ao pedido, significa que não tem uma subscrição do Azure que possa ser utilizada para o BYOK.If no values are displayed and you are simply returned to the prompt, you do not have an Azure subscription that can be used for BYOK.

Nota: além dos pré-requisitos para BYOK, se estiver a migrar do AD RMS para o Azure Information Protection através da utilização de chave de software para chave de hardware, tem de ter uma versão de firmware da Thales igual ou superior à 11.62.Note: In addition to the BYOK prerequisites, if you are migrating from AD RMS to Azure Information Protection by using software key to hardware key, you must have a minimum version of 11.62 for the Thales firmware.
O módulo de administração do Azure Rights Management para o Windows PowerShell.The Azure Rights Management administration module for Windows PowerShell. Para obter instruções de instalação, consulte Installing Windows PowerShell for Azure Rights Management (Instalar o Windows PowerShell para o Azure Rights Management – em inglês).For installation instructions, see Installing Windows PowerShell for Azure Rights Management.

Caso já tenha instalado este módulo do Windows PowerShell, execute o seguinte comando para verificar se o seu número de versão é, pelo menos, 2.9.0.0: (Get-Module aadrm -ListAvailable).VersionIf you have previously installed this Windows PowerShell module, run the following command to check that your version number is at least 2.9.0.0: (Get-Module aadrm -ListAvailable).Version

Para obter mais informações sobre HSMs da Thales e como são utilizados com o Azure Key Vault, consulte o site da Thales.For more information about Thales HSMs and how they are used with Azure Key Vault, see the Thales website.

Instruções para BYOKInstructions for BYOK

Para gerar e transferir a sua própria chave de inquilino para o Azure Key Vault, siga os procedimentos em Como gerar e transferir chaves protegidas por HSM para o Azure Key Vault da documentação do Azure Key Vault.To generate and transfer your own tenant key to Azure Key Vault, follow the procedures in How to generate and transfer HSM-protected keys for Azure Key Vault from the Azure Key Vault documentation.

Quando a chave é transferida para o Cofre de Chaves, é fornecido um ID de chave no Cofre de Chaves, que é um URL que contém o nome do cofre de chaves, o contentor de chaves, o nome da chave e a versão da chave.When the key is transferred to Key Vault, it is given a key ID in Key Vault, which is a URL that contains the name of the key vault, the keys container, the name of the key, and the key version. Por exemplo: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.For example: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Terá de indicar ao serviço Azure Rights Management do Azure Information Protection que utilize esta chave ao especificar este URL.You will need to tell the Azure Rights Management service from Azure Information Protection to use this key, by specifying this URL.

No entanto, antes de o Azure Information Protection poder utilizar a chave, o serviço Azure Rights Management tem de estar autorizado a utilizar a chave no cofre de chaves da sua organização.But before Azure Information Protection can use the key, the Azure Rights Management service must be authorized to use the key in your organization's key vault. Para tal, o administrador do Azure Key Vault utiliza o cmdlet do PowerShell do Key Vault Set-AzureRmKeyVaultAccessPolicy e concede permissões ao principal de serviço do Azure Rights Management ao utilizar o GUID 00000012-0000-0000-c000-000000000000.To do this, the Azure Key Vault administrator uses the Key Vault PowerShell cmdlet, Set-AzureRmKeyVaultAccessPolicy and grants permissions to the Azure Rights Management service principal, by using the GUID 00000012-0000-0000-c000-000000000000. Por exemplo:For example:

Set-AzureRmKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

Agora está pronto para configurar o Azure Information Protection para utilizar esta chave como chave de inquilino do Azure Information Protection da sua organização.You're now ready to configure Azure Information Protection to use this key as your organization's Azure Information Protection tenant key. Através dos cmdlets do Azure RMS, ligue primeiro ao serviço Azure Rights Management e inicie sessão:Using Azure RMS cmdlets, first connect to the Azure Rights Management service and sign in:

Connect-AadrmService

Em seguida, execute o cmdlet Use-AadrmKeyVaultKey e especifique o URL da chave.Then run the Use-AadrmKeyVaultKey cmdlet, specifying the key URL. Por exemplo:For example:

Use-AadrmKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333"
Importante

Neste exemplo, "aaaabbbbcccc111122223333" é a versão da chave a utilizar.In this example, "aaaabbbbcccc111122223333" is the version of the key to use. Se não especificar a versão, a versão atual da chave é utilizada sem aviso e o comando parece funcionar.If you do not specify the version, the current version of the key is used without warning and the command appears to work. No entanto, se a chave no Cofre de Chaves for atualizada mais tarde (renovada), o serviço Azure Rights Management deixará de funcionar para o seu inquilino, mesmo que execute novamente o comando Use-AadrmKeyVaultKey.However, if your key in Key Vault is later updated (renewed), the Azure Rights Management service will stop working for your tenant, even if you run the Use-AadrmKeyVaultKey command again.

Quando executar este comando, certifique-se de que especifica a versão da chave, bem como o nome da chave.Make sure that you specify the key version, in addition to the key name when you run this command. Pode utilizar o comando do Azure Key Vault (Get-AzureKeyVaultKey) para obter o número da versão da chave atual.You can use the Azure Key Vault cmd, Get-AzureKeyVaultKey, to get the version number of the current key. Por exemplo: Get-AzureKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'For example: Get-AzureKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

Se tiver de confirmar que o URL da chave está definido corretamente no serviço Azure RMS, no Cofre de Chaves do Azure, pode executar Get-AzureKeyVaultKey para ver o URL da chave.If you need to confirm that the key URL is set correctly in the Azure RMS service, in Azure Key Vault, you can run Get-AzureKeyVaultKey to see the key URL.

Por fim, se o serviço Azure Rights Management já estiver ativado, execute Set-AadrmKeyProperties para indicar ao Azure Rights Management para utilizar esta chave como a chave de inquilino ativa para o seu serviço Azure Rights Management.Finally, if the Azure Rights Management service is already activated, run Set-AadrmKeyProperties to tell Azure Rights Management to this use key as the active tenant key for your Azure Rights Management service. Se não efetuar este passo, o Azure Rights Management irá continuar a utilizar a chave predefinida gerida pela Microsoft, que foi criada automaticamente quando o serviço foi ativado.If you do not do this step, Azure Rights Management will continue to use the default Microsoft-managed key, that was automatically created when the service was activated.

Próximos passosNext steps

Agora que já planeou e, se necessário, gerou a chave do inquilino, faça o seguinte:Now that you've planned for and if necessary, generated your tenant key, do the following:

  1. Comece a utilizar a sua chave de inquilino:Start to use your tenant key:

    • Se ainda não o fez, tem agora de ativar o serviço de Gestão de Direitos para que a sua organização possa começar a utilizar o Azure Information Protection.If you haven’t already done so, you must now activate the Rights Management service so that your organization can start to use Azure Information Protection. Os utilizadores começam a utilizar de imediato a sua chave de inquilino (gerida pela Microsoft ou por si no Azure Key Vault).Users immediately start to use your tenant key (managed by Microsoft or managed by you in Azure Key Vault).

      Para obter mais informações sobre a ativação, consulte Ativar o Azure Rights Management.For more information about activation, see Activating Azure Rights Management.

    • Se já tinha ativado o serviço Gestão de Direitos e depois decidiu gerir a sua própria chave de inquilino, a transição dos utilizadores da chave de inquilino antiga para a nova chave de inquilino será efetuada gradualmente. A conclusão desta transição escalonada poderá demorar algumas semanas.If you had already activated the Rights Management service and then decided to manage your own tenant key, users gradually transition from the old tenant key to the new tenant key, and this staggered transition can take a few weeks to complete. Os documentos e ficheiros que foram protegidos com a chave de inquilino antiga permanecem acessíveis aos utilizadores autorizados.Documents and files that were protected with the old tenant key remains accessible to authorized users.

  2. Pondere utilizar registos de utilização, que lhe permitem registar todas as transações efetuadas pelo serviço Azure Rights Management.Consider using usage logging, which logs every transaction that the Azure Rights Management service performs.

    Se decidiu gerir a sua própria chave de inquilino, o registo incluirá informações sobre como utilizar a sua chave de inquilino.If you decided to manage your own tenant key, logging includes information about using your tenant key. Veja o seguinte fragmento de um ficheiro de registo apresentado no Excel onde os tipos de pedido KeyVaultDecryptRequest e KeyVaultSignRequest mostram que a chave de inquilino está a ser utilizada.See the following snippet from a log file displayed in Excel where the KeyVaultDecryptRequest and KeyVaultSignRequest request types show that the tenant key is being used.

    ficheiro de registo no Excel onde a chave de inquilino está a ser utilizada

    Para obter mais informações sobre o registo de utilização, consulte Registar e analisar a utilização do serviço Azure Rights Management.For more information about usage logging, see Logging and analyzing usage of the Azure Rights Management service.

  3. Guarde a sua chave de inquilino.Maintain your tenant key.

    Para obter mais informações, consulte Operações para a sua chave de inquilino do Azure Rights Management.For more information, see Operations for your Azure Rights Management tenant key.

ComentáriosComments

Antes de inserir um comentário, pedimos-lhe que reveja as nossas Regras básicas.Before commenting, we ask that you review our House rules.