Använda kundhanterade nycklar i Azure Key Vault för import-/exporttjänsten

  • Artikel

Azure Import/Export skyddar BitLocker-nycklarna som används för att låsa enheterna via en krypteringsnyckel. Som standard krypteras BitLocker-nycklar med Microsoft-hanterade nycklar. Om du vill ha ytterligare kontroll över krypteringsnycklar kan du även ange kundhanterade nycklar.

Kundhanterade nycklar måste skapas och lagras i ett Azure Key Vault. Mer information om Azure Key Vault finns i Vad är Azure Key Vault?

Den här artikeln visar hur du använder kundhanterade nycklar med import-/exporttjänsten i Azure-portalen.

Förutsättningar

Innan du börjar ska du kontrollera att:

  1. Du har skapat ett import- eller exportjobb enligt anvisningarna i:

  2. Du har ett befintligt Azure Key Vault med en nyckel som du kan använda för att skydda din BitLocker-nyckel. Information om hur du skapar ett nyckelvalv med hjälp av Azure-portalen finns i Snabbstart: Skapa ett Azure Key Vault med azure-portalen.

    • Mjuk borttagning och Rensa inte har angetts i ditt befintliga Key Vault. De här egenskaperna är inte aktiverade som standard. Om du vill aktivera dessa egenskaper kan du läsa avsnitten Aktivera mjuk borttagning och Aktivera rensningsskydd i någon av följande artiklar:

    • Det befintliga nyckelvalvet bör ha en RSA-nyckel med storleken 2048 eller mer. Mer information om nycklar finns i Om nycklar.

    • Nyckelvalvet måste finnas i samma region som lagringskontot för dina data.

    • Om du inte har ett befintligt Azure Key Vault kan du också skapa det infogat enligt beskrivningen i följande avsnitt.

Aktivera nycklar

Det är valfritt att konfigurera kundhanterad nyckel för import-/exporttjänsten. Som standard använder import-/exporttjänsten en Microsoft-hanterad nyckel för att skydda din BitLocker-nyckel. Följ dessa steg för att aktivera kundhanterade nycklar i Azure-portalen:

  1. Gå till bladet Översikt för importjobbet.

  2. I den högra rutan väljer du Välj hur dina BitLocker-nycklar ska krypteras.

    Screenshot of Overview blade for Azure Import/Export job. Overview menu item and link that opens BitLocker key options are highlighted.

  3. På bladet Kryptering kan du visa och kopiera enhetens BitLocker-nyckel. Under Krypteringstyp kan du välja hur du vill skydda din BitLocker-nyckel. Som standard används en Microsoft-hanterad nyckel.

    Screenshot of Encryption blade for an Azure Import/Export order. Encryption menu item is highlighted.

  4. Du har möjlighet att ange en kundhanterad nyckel. När du har valt den kundhanterade nyckeln väljer du nyckelvalv och en nyckel.

    Screenshot of Encryption blade for Azure Import/Export job.

  5. På bladet Välj nyckel från Azure Key Vault fylls prenumerationen i automatiskt. För Key Vault kan du välja ett befintligt nyckelvalv i listrutan.

    Screenshot of the

  6. Du kan också välja Skapa ny för att skapa ett nytt nyckelvalv. På bladet Skapa nyckelvalv anger du resursgruppen och nyckelvalvets namn. Acceptera alla andra standardvärden. Välj Granska + skapa.

    Screenshot of

  7. Granska informationen som är associerad med ditt nyckelvalv och välj Skapa. Vänta några minuter tills nyckelvalvet har skapats.

    Screenshot of the Review Plus Create screen for a new Azure key vault. The Create button is highlighted.

  8. I Välj nyckel från Azure Key Vault kan du välja en nyckel i det befintliga nyckelvalvet.

  9. Om du har skapat ett nytt nyckelvalv väljer du Skapa nytt för att skapa en nyckel. RSA-nyckelstorleken kan vara 2048 eller större.

    Screenshot of the

    Om skyddet för mjuk borttagning och rensning inte är aktiverat när du skapar nyckelvalvet uppdateras nyckelvalvet så att skydd mot mjuk borttagning och rensning är aktiverat.

  10. Ange namnet på din nyckel, acceptera de andra standardvärdena och välj Skapa.

    Screenshot of the

  11. Välj Version och välj sedan Välj. Du får ett meddelande om att en nyckel har skapats i ditt nyckelvalv.

    Screenshot of the

På bladet Kryptering kan du se nyckelvalvet och nyckeln som valts för din kundhanterade nyckel.

Viktigt!

Du kan bara inaktivera Microsofts hanterade nycklar och flytta till kundhanterade nycklar när som helst i import-/exportjobbet. Du kan dock inte inaktivera den kundhanterade nyckeln när du har skapat den.

Felsöka kundhanterade nyckelfel

Om du får fel som rör din kundhanterade nyckel använder du följande tabell för att felsöka:

Felkod Details Ersättningsgilla?
CmkErrorAccessRevoked Åtkomsten till den kundhanterade nyckeln har återkallats. Ja, kontrollera om:
  1. Key Vault har fortfarande MSI i åtkomstprincipen.
  2. Åtkomstprincipen har behörigheterna Get, Wrap och Unwrap aktiverat.
  3. Om nyckelvalvet finns i ett virtuellt nätverk bakom brandväggen kontrollerar du om Tillåt Microsoft Trusted Services är aktiverat.
  4. Kontrollera om MSI för jobbresursen återställdes till None med hjälp av API:er.
    Om ja anger du värdet tillbaka till Identity = SystemAssigned. Detta återskapar identiteten för jobbresursen.
    När den nya identiteten har skapats aktiverar du Get, Wrapoch Unwrap behörigheter för den nya identiteten i nyckelvalvets åtkomstprincip
CmkErrorKeyDisabled Kundens hanterade nyckel är inaktiverad. Ja, genom att aktivera nyckelversionen
CmkErrorKeyNotFound Det går inte att hitta kundens hanterade nyckel. Ja, om nyckeln har tagits bort men fortfarande är inom rensningstiden använder du Ångra nyckelborttagning av nyckelvalv.
Annat
  1. Ja, om kunden har nyckeln säkerhetskopierad och återställer den.
  2. Nej, annars.
CmkErrorVaultNotFound Det går inte att hitta nyckelvalvet för den kundhanterade nyckeln. Om nyckelvalvet har tagits bort:
  1. Ja, om det är i varaktigheten för rensningsskydd använder du stegen i Återställ ett nyckelvalv.
  2. Nej, om det är längre än varaktigheten för rensningsskydd.

Annars om nyckelvalvet migrerades till en annan klientorganisation, ja, kan det återställas med något av stegen nedan:
  1. Återställ nyckelvalvet till den gamla klientorganisationen.
  2. Ange Identity = None och ställ sedan tillbaka värdet till Identity = SystemAssigned. Detta tar bort och återskapar identiteten när den nya identiteten har skapats. Aktivera Get, Wrapoch Unwrap behörigheter till den nya identiteten i nyckelvalvets åtkomstprincip.

Nästa steg