Ta med din egen nyckelinformation (BYOK) för Azure Information Protection

Gäller för:Azure Information Protection, Office 365

Relevant för:AIP unified labeling client and classic client

Obs!

För att ge en enhetlig och smidig kundupplevelse är den klassiska Azure Information Protection-klienten och Etiketthantering i Azure-portalen inaktuella sedan den 31 mars 2021. Inget ytterligare stöd tillhandahålls för den klassiska klienten och underhållsversioner kommer inte längre att släppas.

Den klassiska klienten upphör officiellt och slutar fungera den 31 mars 2022.

Alla aktuella kunder med Azure Information Protection för klassiska klienter måste migrera till Microsoft Information Protection unified labeling-plattformen och uppgradera till den enhetliga etikettklienten. Läs mer i vår migreringsblogg.

Organisationer som har en Azure Information Protection-prenumeration kan välja att konfigurera sin klientorganisation med en egen nyckel i stället för en standardnyckel som genereras av Microsoft. Den här konfigurationen kallas ofta Bring Your Own Key (BYOK).

BYOK och användningsloggning fungerar smidigt med program som integreras med Azure Rights Management-tjänsten som används av Azure Information Protection.

Exempel på program som stöds:

  • Molntjänster,till exempel Microsoft SharePoint eller Microsoft 365

  • Lokala tjänster som kör Exchange och SharePoint-program som använder Tjänsten Azure Rights Management via RMS-anslutningen

  • Klientprogram,till exempel Office 2019, Office 2016 Office 2013

Tips!

Vid behov kan du tillämpa ytterligare säkerhet på specifika dokument med hjälp av en extra lokal nyckel. Mer information finns i DKE-skydd (Double Key Encryption) (endast unified labeling client).

Om du har den klassiska klienten och behöver ytterligare lokalt skydd ska du implementera ett skydd för din egen nyckel (HYOK) i stället.

Azure Key Vault-nyckellagring

Kundgenererade nycklar måste lagras i Azure-nyckelvalvet för BYOK-skydd.

Obs!

När du använder HSM-skyddade nycklar i Azure-nyckelvalvet krävs ett Azure-nyckelvalv Premium tjänstnivå,som ådrar sig en ytterligare månadsprenumerationsavgift.

Dela nyckelvalv och prenumerationer

Vi rekommenderar att du använder ett dedikerat nyckelvalv för din klientorganisationsnyckel. Dedikerade nyckelvalv hjälper till att säkerställa att samtal från andra tjänster inte leder till att tjänstbegränsningar överskrids. Om tjänstbegränsningarna för nyckelvalvet där klientnyckeln lagras överskrids kan det leda till tidsbegränsning för Azure Rights Management-tjänsten.

Eftersom olika tjänster har olika nyckelhanteringskrav rekommenderar Microsoft även att du använder en dedikerad Azure-prenumeration för ditt nyckelvalv. Dedikerade Azure-prenumerationer:

  • Skydda dig mot felaktig konfiguration

  • Är säkrare när olika tjänster har olika administratörer

Om du vill dela en Azure-prenumeration med andra tjänster som använder Azure-nyckelvalv ska du se till att prenumerationen delar en gemensam uppsättning administratörer. Om du bekräftar att alla administratörer som använder prenumerationen har en bra förståelse för alla nycklar de kan komma åt, innebär det att de är mindre troliga att felkonfigurera dina nycklar.

Exempel:Använda en delad Azure-prenumeration när administratörerna för din Azure Information Protection-klientnyckel är samma personer som administrerar dina nycklar för Office 365 Kundnyckel och CRM Online. Om nyckeladministratörerna för de här tjänsterna skiljer sig rekommenderar vi att du använder dedikerade prenumerationer.

Fördelar med att använda Azure Key Vault

Azure Key Vault är en centraliserad och konsekvent nyckelhanteringslösning för många molnbaserade och lokala tjänster som använder kryptering.

Förutom att hantera nycklar erbjuder Azure Key Vault dina säkerhetsadministratörer samma hanteringsupplevelse för att lagra, komma åt och hantera certifikat och hemligheter (till exempel lösenord) för andra tjänster och program som använder kryptering.

Lagring av din klientnyckel i Azure Key Vault har följande fördelar:

Fördel Beskrivning
Inbyggda gränssnitt Azure Key Vault har stöd för ett antal inbyggda gränssnitt för nyckelhantering, bland annat PowerShell, CLI, REST API:er och Azure-portalen.

Andra tjänster och verktyg har integrerats med Nyckelvalv för optimerade funktioner för specifika uppgifter, som övervakning.

Analysera till exempel viktiga användningsloggar med Operations Management Suite-logganalyser, ange aviseringar när angivna villkor uppfylls och så vidare.
Rollseparation Azure-nyckelvalv skiljer roller enligt en känd säkerhetsmetod.

Rollseparation säkerställer att Azure Information Protection-administratörer kan fokusera på sina högsta prioriteter, inklusive hantering av dataklassificering och skydd, samt krypteringsnycklar och principer för specifika säkerhets- och efterlevnadskrav.
Huvudnyckelplats Azure-nyckelvalv är tillgängligt på flera olika platser och stöder organisationer med begränsningar där huvudnycklar kan finnas.

Mer information finns på sidan Produkter som är tillgängliga efter region på Azure-webbplatsen.
Avgränsade säkerhetsdomäner Azure Key Vault använder separata säkerhetsdomäner för sina datacenter i regioner som Nordamerika, EMEA (Europa, Mellanöstern och Afrika) och Asien.

Azure Key Vault använder också olika instanser av Azure, till exempel Microsoft Azure Germany och Azure Government.
Enhetlig upplevelse Med Azure-nyckelvalv kan säkerhetsadministratörer även lagra, komma åt och hantera certifikat och hemligheter, till exempel lösenord, för andra tjänster som använder kryptering.

Användning av Azure-nyckelvalv som klientnycklar ger en smidig användarupplevelse för administratörer som hanterar alla dessa element.

De senaste uppdateringarna och hur andra tjänster använder Azure Key Vault finns på Azure KeyVault-teamets blogg.

Användningsloggning för BYOK

Användningsloggar genereras av varje program som begär Azure Rights Management-tjänsten.

Även om användningsloggning är valfritt rekommenderar vi att du använder användningsloggarna för nära realtid från Azure Information Protection för att se exakt hur och när din klientnyckel används.

Mer information om nyckelanvändningsloggning för BYOK finns i Loggning och analys av skyddsanvändningen från Azure Information Protection.

Tips!

För ytterligare garanti kan Azure Information Protection-användningsloggning korsreferensas med Azure Key Vault-loggning. Nyckelvalvsloggar ger en tillförlitlig metod för att oberoende av varandra övervaka att din nyckel endast används av Azure Rights Management-tjänsten.

Om det behövs återkallar du omedelbart åtkomsten till din nyckel genom att ta bort behörigheter på nyckelvalvet.

Alternativ för att skapa och lagra nyckeln

Obs!

Mer information om Hanterad HSM-erbjudande och hur du ställer in ett valv och en nyckel finns i Dokumentationen för Azure Key Vault.

Ytterligare instruktioner om hur du beviljar nyckelauktorisering beskrivs nedan.

BYOK stöder nycklar som skapas antingen i Azure-nyckelvalv eller lokalt.

Om du skapar nyckeln lokalt måste du sedan överföra eller importera den till ditt nyckelvalv och konfigurera Azure Information Protection att använda nyckeln. Utför eventuell ytterligare nyckelhantering i Azure Key Vault.

Alternativ för att skapa och lagra en egen nyckel:

  • Skapat i Azure Key Vault. Skapa och lagra din nyckel i Azure Key Vault som en HSM-skyddad nyckel eller en programvaruskyddad nyckel.

  • Skapad lokalt. Skapa din nyckel lokalt och överför den till Azure Key Vault med något av följande alternativ:

    • HSM-skyddad nyckel som överförs som en HSM-skyddad nyckel. Den mest vanliga metoden som valts.

      Även om den här metoden har mest administrativa kostnader kan det bli nödvändigt för din organisation att följa specifika bestämmelser. De virtuella maskinerna som används av Azure Key Vault är FIPS 140-2-nivå 2 verifierade.

    • Programvaruskyddad nyckel som konverteras och överförs till Azure Key Vault som en HSM-skyddad nyckel. Den här metoden stöds endast vid migrering från Active Directory Rights Management Services (AD RMS).

    • Skapades lokalt som en programvaruskyddad nyckel och överförs till Azure Key Vault som en programvaruskyddad nyckel. Den här metoden kräver en . PFX-certifikatfil.

Gör till exempel följande om du vill använda en lokal nyckel:

  1. Generera din klientnyckel lokalt, i enlighet med organisationens IT- och säkerhetsprinciper. Den här nyckeln är huvudkopian. Den finns kvar lokalt och du måste göra en säkerhetskopia av den.

  2. Skapa en kopia av huvudnyckeln och överför den på ett säkert sätt från din HSM till Azure Key Vault. Under hela den här processen lämnar huvudkopian av nyckeln aldrig maskinvaruskyddets gräns.

När nyckeln har överförts skyddas kopian av Azure Key Vault.

Exportera din betrodda publiceringsdomän

Om du någon gång vill sluta använda Azure Information Protection behöver du en betrodd publiceringsdomän (TPD) för att dekryptera innehåll som skyddas av Azure Information Protection.

Men det finns inte stöd för att exportera din TPD om du använder BYOK som Azure Information Protection-nyckel.

För att förbereda det här scenariot ska du se till att skapa en lämplig TPD i förväg. Mer information finns i Så här förbereder du en plan för Azure Information Protection "Molnslut".

Implementera BYOK för Azure Information Protection-klientnyckeln

Använd följande steg för att implementera BYOK:

  1. Granska BYOK-krav
  2. Välj en plats för nyckelvalvet
  3. Skapa och konfigurera din nyckel

Krav för BYOK

BYOK-kraven varierar beroende på systemkonfiguration. Kontrollera att systemet uppfyller följande krav:

Krav Beskrivning
Azure-prenumeration Krävs för alla konfigurationer.
Mer information finns i Verifiera att du har en BYOK-kompatibel Azure-prenumeration.
AIPService PowerShell-modul för Azure Information Protection Krävs för alla konfigurationer.
Mer information finns i Installera AIPService PowerShell-modulen.
Azure-nyckelvalv förutsättningar för BYOK Om du använder en HSM-skyddad nyckel som skapats lokalt ska du kontrollera att du även uppfyller de krav för BYOK som anges i dokumentationen för Azure Key Vault.
Thales firmware version 11.62 Du måste ha en Thales inbyggd programvara version av 11.62 om du migrerar från AD RMS till Azure Information Protection med hjälp av programvarunyckel till maskinvarunyckel och använder Thales inbyggd programvara för HSM.
Brandväggskoppling för betrodda Microsoft-tjänster Om nyckelvalvet som innehåller din klientnyckel använder slutpunkter för virtuell nätverkstjänst för Azure-nyckelvalv måste du tillåta att betrodda användare Microsoft-tjänster kringgå den här brandväggen.
Mer information finns i Slutpunkter för virtuella nätverkstjänster för Azure-nyckelvalv.

Verifiera att du har en BYOK-kompatibel Azure-prenumeration

Din Azure Information Protection-klient måste ha en Azure-prenumeration. Om du inte redan har ett konto kan du registrera dig för ett kostnadsfritt konto. Men om du vill använda en HSM-skyddad nyckel måste du ha Azure-nyckelvalvet Premium-tjänstnivån.

Den kostnadsfria Azure-prenumerationen som ger tillgång Azure Active Directory konfiguration och anpassad mallkonfiguration för Azure Rights Management är inte tillräcklig för att använda Azure Key Vault.

För att bekräfta att du har en Azure-prenumeration som är kompatibel med BYOK ska du kontrollera följande med hjälp av Azure PowerShell-cmdlets:

  1. Starta en Azure PowerShell som administratör.

  2. Logga in som global administratör för din Azure Information Protection-klient med Connect-AzAccount .

  3. Kopiera den token som visas i Urklipp. Gå sedan till och ange den kopierade https://microsoft.com/devicelogin tokenen i en webbläsare.

    Mer information finns i Logga in med Azure PowerShell.

  4. Ange och bekräfta att följande Get-AzSubscription värden visas i PowerShell-sessionen:

    • Ditt prenumerationsnamn och ID
    • Ditt klient-ID för Azure Information Protection
    • Bekräftelse på att status är aktiverad

    Om inga värden visas och du returneras till frågan har du inte en Azure-prenumeration som kan användas för BYOK.

Välja plats för nyckelvalvet

När du skapar ett nyckelvalv som innehåller nyckeln som ska användas som klientnyckel för Azure Information måste du ange en plats. Platsen är en Azure-region eller Azure-instans.

Gör ditt val först för efterlevnad och sedan för att minimera nätverksfördröjning:

  • Om du har valt byok-nyckelmetoden av efterlevnadsskäl kan dessa efterlevnadskrav även ge behörighet till vilken Azure-region eller Azure-instans som kan användas för att lagra din Azure Information Protection-klientnyckel.

  • Alla kryptografiska samtal för skyddskedjan till din Azure Information Protection-nyckel. Därför kanske du vill minimera den nätverksfördröjning som dessa samtal kräver genom att skapa ditt nyckelvalv i samma Azure-region eller -instans som Azure Information Protection-klienten.

Identifiera platsen för Azure Information Protection-klienten med hjälp av Get-AipServiceConfigurationPowerShell-cmdleten och identifiera regionen i URL-adresserna. Till exempel:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

Regionen går att identifiera från rms.na.aadrm.com, och i det här exemplet är den i Nordamerika.

I följande tabell visas rekommenderade Azure-regioner och -instanser för minimering av nätverksfördröjning:

Azure-region eller Azure-instans Rekommenderad plats för nyckelvalvet
rms.na.aadrm.com Norra, centrala USA eller östra USA
rms.eu.aadrm.com Norra Europaeller Västeuropa
rms.ap.aadrm.com Östasienoch Sydostasien
rms.sa.aadrm.com Västra USA eller östra USA
rms.govus.aadrm.com Centrala USAeller östra USA 2
rms.aadrm.us US Gov Virginia eller US Gov Arizona
rms.aadrm.cn Östra Kina, 2eller Kina, nord 2

Skapa och konfigurera din nyckel

Viktigt

Mer specifik information för hanterade snabbmeddelanden finns i Aktivera nyckelauktorisering för hanterade HSM-nycklar via Azure CLI.

Skapa ett Azure-nyckelvalv och nyckeln du vill använda för Azure Information Protection. Mer information finns i Azure Key Vault-dokumentationen.

Observera följande för konfiguration av Azure Key Vault och nyckeln för BYOK:

Krav på nyckellängd

Se till att tangentlängden är antingen 2 048 bitar (rekommenderas) eller 1 024 bitar när du skapar nyckeln. Andra nyckellängder stöds inte av Azure Information Protection.

Obs!

1024-bitarsnycklar anses inte ge en tillräcklig skyddsnivå för aktiva klientnycklar.

Microsoft stöder inte användning av lägre nyckellängder, till exempel 1024-bitars RSA-nycklar, och den associerade användningen av protokoll som erbjuder otillräckliga skyddsnivåer, till exempel SHA-1.

Skapa en HSM-skyddad nyckel lokalt och överför den till nyckelvalvet

Om du vill skapa en HSM-skyddad lokal nyckel och överföra den till ditt nyckelvalv som en HSM-skyddad nyckel följer du procedurerna i Dokumentationen för Azure Key Vault: Skapa och överföra HSM-skyddadenycklar för Azure Key Vault .

För att Azure Information Protection ska kunna använda den överförda nyckeln måste alla nyckelvalv-åtgärder tillåtas för nyckeln, inklusive:

  • kryptera
  • dekryptera
  • wrapKey
  • unwrapKey
  • signera
  • verifiera

Som standard tillåts alla viktiga valv-åtgärder.

Kontrollera tillåtna åtgärder för en viss nyckel genom att köra följande PowerShell-kommando:

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

Lägg till tillåtna åtgärder genom att använda Update-AzKeyVaultKey ochkeyOps-parametern, om det behövs.

Konfigurera Azure Information Protection med ditt nyckel-ID

Nycklar som lagras i Azure-nyckelvalvet har var och en ett ett nyckel-ID.

Nyckel-ID är en URL som innehåller namnet på nyckelvalvet, nyckelbehållaren, nyckelns namn och nyckelversionen. Till exempel:

https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.

Konfigurera Azure Information Protection för att använda din nyckel genom att ange dess URL för nyckelvalv.

Auktorizing the Azure Rights Management service to use your key

Azure Rights Management-tjänsten måste vara behörig att använda din nyckel. Azure-nyckelvalvsadministratörer kan aktivera den här auktoriseringen med hjälp av Azure-portalen eller Azure PowerShell.

Aktivera nyckelauktorisering med hjälp av Azure Portal
  1. Logga in på Azure Portal och gå till Nyckelvalv ditt nyckelvalv namnAccess principer>>>>.

  2. I fönstret Lägg till åtkomstprincip i listrutan Konfigurera från mall (valfritt) väljer du Azure Information Protection BYOKoch klickar sedan på OK.

    Den valda mallen har följande konfiguration:

    • Select-huvudvärdet är Microsoft Rights Management Services.
    • Bland de valda tangentbehörigheternafinns Hämta, Dekrypteraoch Signera.
Aktivera nyckelauktorisering med PowerShell

Kör PowerShell-cmdleten Key Vault, Set-AzKeyVaultAccessPolicy,och tilldela behörigheter till Azure Rights Management-tjänstens huvudnamn med GUID 00000012-0000-0000-c000-00000000000.

Till exempel:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Aktivera nyckelauktorisering för hanterade HSM-nycklar via Azure CLI

Om du vill ge Azure Rights Management-tjänsten huvudanvändarbehörigheter som en hanterad HSM Crypto-användare kör du följande kommando:

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee 00000012-0000-0000-c000-000000000000 --scope /keys/contosomhsmkey

Var:

  • 00000012-0000-0000-c000-00000000000 är det GUID som ska användas i det här kommandot
  • ContosoMHSM är ett exempel på ett HSM-namn. När du kör det här kommandot ersätter du det här värdet med ditt eget HSM-namn.

Med användarrollen Hanterad HSM Crypto-användare kan användaren dekryptera, signera och få behörigheter till nyckeln, vilket krävs för funktionen Hanterad HSM.

Konfigurera Azure Information Protection för att använda din nyckel

När du har slutfört alla steg ovan kan du konfigurera Azure Information Protection för att använda den här nyckeln som organisationens klientnyckel.

Kör följande kommandon med Azure RMS-cmdlets:

  1. Anslut till tjänsten Azure Rights Management och logga in:

    Connect-AipService
    
  2. Kör cmdleten Use-AipServiceKeyVaultKey, som anger nyckel-URL:en. Till exempel:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
    

    Viktigt

    I det här <key-version> exemplet är det versionen av nyckeln du vill använda. Om du inte anger versionen används den aktuella versionen av nyckeln som standard och kommandot kan se ut att fungera. Men om nyckeln senare uppdateras eller förnyas slutar Tjänsten för Azure Rights Management att fungera för din klientorganisation, även om du kör kommandot Use-AipServiceKeyVaultKey igen.

    Använd kommandot Get-AzKeyVaultKey efter behov för att få versionsnumret för den aktuella nyckeln.

    Till exempel: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    Bekräfta att nyckel-URL:en är korrekt inställd för Azure Information Protection genom att köra kommandot Get-AzKeyVaultKey i Azure Key Vault för att visa nyckel-URL:en.

  3. Om Azure Rights Management-tjänsten redan är aktiverad kör du Set-AipServiceKeyProperties för att ange att Azure Information Protection ska använda den här nyckeln som aktiv klientnyckel för Azure Rights Management-tjänsten.

Azure Information Protection har nu konfigurerats för att använda din nyckel i stället för den Standardnyckel från Microsoft som skapades automatiskt för din klientorganisation.

Nästa steg

När du har konfigurerat BYOK-skyddet fortsätter du till Komma igång med klientorganisationens rotnyckel för mer information om hur du använder och hanterar nyckeln.