Ta med din egen nyckel (BYOK) information om Azure Information ProtectionBring your own key (BYOK) details for Azure Information Protection

Gäller för: Azure information Protection, Office 365Applies to: Azure Information Protection, Office 365

Organisationer med en Azure Information Protection prenumeration kan välja att konfigurera sin klient med sin egen nyckel, i stället för en standard nyckel som genereras av Microsoft.Organizations with an Azure Information Protection subscription can choose to configure their tenant with their own key, instead of a default key generated by Microsoft. Den här konfigurationen kallas ofta Bring Your Own Key (BYOK).This configuration is often referred to as Bring Your Own Key (BYOK).

BYOK och användnings loggning fungerar sömlöst med program som integreras med Azure Rights Management-tjänsten som används av Azure information Protection.BYOK and usage logging work seamlessly with applications that integrate with the Azure Rights Management service used by Azure Information Protection.

Program som stöds är:Supported applications include:

  • Moln tjänster, till exempel Microsoft SharePoint eller Microsoft 365Cloud services, such as Microsoft SharePoint or Microsoft 365

  • Lokala tjänster som kör Exchange-och SharePoint-program som använder Azure Rights Management-tjänsten via RMS-anslutningenOn-premises services running Exchange and SharePoint applications that use the Azure Rights Management service via the RMS connector

  • Klient program, till exempel Office 2019, Office 2016 och Office 2013Client applications, such as Office 2019, Office 2016, and Office 2013

Tips

Om det behövs kan du använda ytterligare säkerhet för vissa dokument med hjälp av ytterligare en lokal nyckel.If needed, apply additional security to specific documents using an additional on-premises key. Mer information finns i Håll din egen nyckel (HYOK) skydd (klassisk klient) eller DKE-skydd (Double Key Encryption).For more information, see Hold your own key (HYOK) protection (classic client) or Double Key Encryption (DKE) protection.

Azure Key Vault nyckel lagringAzure Key Vault key storage

Kundgenererade nycklar måste lagras i Azure Key Vault för BYOK-skydd.Customer-generated keys must be stored in the Azure Key Vault for BYOK protection.

Anteckning

Om du använder HSM-skyddade nycklar i Azure Key Vault krävs en tjänst nivå för Azure Key Vault Premium, vilket innebär en ytterligare prenumerations avgift per månad.Using HSM-protected keys in the Azure Key Vault requires an Azure Key Vault Premium service tier, which incurs an additional monthly subscription fee.

Dela nyckel valv och prenumerationerSharing key vaults and subscriptions

Vi rekommenderar att du använder ett dedikerat nyckel valv för din klient nyckel.We recommend using a dedicated key vault for your tenant key. Särskilda nyckel valv hjälper till att säkerställa att anrop från andra tjänster inte orsakar att tjänst gränser överskrids.Dedicated key vaults help to ensure that calls by other services do not cause service limits to be exceeded. Om du överskrider tjänst begränsningarna i nyckel valvet där din klient nyckel lagras kan det orsaka svars tids begränsning för Azure Rights Management-tjänsten.Exceeding service limits on the key vault where your tenant key is stored may cause response time throttling for Azure Rights Management service.

Eftersom olika tjänster har varierande krav på nyckel hantering rekommenderar Microsoft också att du använder en dedikerad Azure-prenumeration för ditt nyckel valv.As different services have varying key management requirements, Microsoft also recommends using a dedicated Azure subscription for your key vault. Dedikerade Azure-prenumerationer:Dedicated Azure subscriptions:

  • Hjälp till att skydda mot fel konfigurationHelp safeguard against misconfigurations

  • Är säkrare när olika tjänster har olika administratörerAre more secure when different services have different administrators

Om du vill dela en Azure-prenumeration med andra tjänster som använder Azure Key Vault kontrollerar du att prenumerationen delar en gemensam uppsättning administratörer.To share an Azure subscription with other services that use Azure Key Vault, make sure that the subscription shares a common set of administrators. Att bekräfta att alla administratörer som använder prenumerationen har en solid förståelse för varje nyckel de kan komma åt, innebär att de är mindre sannolika att inte konfigurera nycklar.Confirming that all administrators who use the subscription have a solid understanding of every key they can access, means they are less likely to misconfigure your keys.

Exempel: Att använda en delad Azure-prenumeration när administratörerna för din Azure Information Protection klient nyckel är samma personer som administrerar dina nycklar för Office 365-kund nyckel och CRM Online.Example: Using a shared Azure subscription when the administrators for your Azure Information Protection tenant key are the same individuals that administer your keys for Office 365 Customer Key and CRM online. Om viktiga administratörer för dessa tjänster skiljer sig åt rekommenderar vi att du använder dedikerade prenumerationer.If the key administrators for these services are different, we recommend using dedicated subscriptions.

Fördelar med att använda Azure Key VaultBenefits of using Azure Key Vault

Azure Key Vault tillhandahåller en centraliserad och konsekvent nyckel hanterings lösning för många molnbaserade och lokala tjänster som använder kryptering.Azure Key Vault provides a centralized and consistent key management solution for many cloud-based and on-premises services that use encryption.

Utöver att hantera nycklar ger Azure Key Vault säkerhetsadministratörerna samma hanteringsupplevelse när det gäller att lagra, komma åt och hantera certifikat och hemligheter (t.ex. lösenord) för andra tjänster och program som använder kryptering.In addition to managing keys, Azure Key Vault offers your security administrators the same management experience to store, access, and manage certificates and secrets (such as passwords) for other services and applications that use encryption.

Att lagra din klient nyckel i Azure Key Vault ger följande fördelar:Storing your tenant key in the Azure Key Vault provides the following advantages:

FördelAdvantage BeskrivningDescription
Inbyggda gränssnittBuilt-in interfaces Azure Key Vault har stöd för ett antal inbyggda gränssnitt för nyckelhantering, inklusive PowerShell, CLI, REST API:er och Azure-portalen.Azure Key Vault supports a number of built-in interfaces for key management, including PowerShell, CLI, REST APIs, and the Azure portal.

Andra tjänster och verktyg är integrerade med Key Vault för optimerade funktioner för vissa aktiviteter, till exempel övervakning.Other services and tools have integrated with Key Vault for optimized capabilities for specific tasks, such as monitoring.

Du kan till exempel analysera nyckel användnings loggar med Operations Management Suite Log Analytics, ställa in aviseringar när angivna villkor uppfylls och så vidare.For example, analyze your key usage logs with Operations Management Suite Log analytics, set alerts when specified criteria are met, and so on.
RollsepareringRole separation Azure Key Vault tillhandahåller separering av roller som en säker säkerhets metod.Azure Key Vault provides role separation as a recognized security best practice.

Rollseparering säkerställer att Azure Information Protection-administratörer kan fokusera på sina högsta prioriteter, inklusive hantering av data klassificering och skydd, samt krypterings nycklar och principer för särskilda krav på säkerhet eller efterlevnad.Role separation ensures that Azure Information Protection administrators can focus on their highest priorities, including managing data classification and protection, as well as encryption keys and policies for specific security or compliance requirements.
Plats för huvud nyckelMaster key location Azure Key Vault finns på en rad olika platser och har stöd för organisationer med begränsningar där huvud nycklar kan leva.Azure Key Vault is available in a variety of locations, and supports organizations with restrictions where master keys can live.

Mer information finns på sidan produkter som är tillgängliga efter region på Azure-webbplatsen.For more information, see the Products available by region page on the Azure site.
Avgränsade säkerhets domänerSeparated security domains Azure Key Vault använder separata säkerhets domäner för sina data Center i regioner som Nordamerika, EMEA (Europa, Mellanöstern och Afrika) och Asien.Azure Key Vault uses separate security domains for its data centers in regions such as North America, EMEA (Europe, Middle East and Africa), and Asia.

Azure Key Vault använder också olika instanser av Azure, till exempel Microsoft Azure Tyskland och Azure Government.Azure Key Vault also uses different instances of Azure, such as Microsoft Azure Germany, and Azure Government.
Enhetlig upplevelseUnified experience Azure Key Vault också att säkerhets administratörer kan lagra, komma åt och hantera certifikat och hemligheter, till exempel lösen ord, för andra tjänster som använder kryptering.Azure Key Vault also enables security administrators to store, access, and manage certificates and secrets, such as passwords, for other services that use encryption.

Om du använder Azure Key Vault för dina klient nycklar får du en smidig användar upplevelse för administratörer som hanterar alla dessa element.Using Azure Key Vault for your tenant keys provides a seamless user experience for administrators who manage all of these elements.

De senaste uppdateringarna och lär dig hur andra tjänster använder Azure Key Vaultfinns i Azure Key Vault teamets blogg.For the latest updates and to learn how other services use Azure Key Vault, visit the Azure Key Vault team blog.

Användnings loggning för BYOKUsage logging for BYOK

Användnings loggar genereras av varje program som gör förfrågningar till Azure Rights Management-tjänsten.Usage logs are generated by every application that makes requests to the Azure Rights Management service.

Även om användnings loggning är valfritt, rekommenderar vi att du använder nästan real tids användnings loggar från Azure Information Protection för att se exakt hur och när din klient nyckel används.Although usage logging is optional, we recommend using the near real-time usage logs from Azure Information Protection to see exactly how and when your tenant key is being used.

Mer information om loggning av nyckel användning för BYOK finns i Logga och analysera skydds användningen från Azure information Protection.For more information about key usage logging for BYOK, see Logging and analyzing the protection usage from Azure Information Protection.

Tips

För ytterligare säkerhet kan Azure Information Protection användnings loggning refereras till med Azure Key Vault loggning.For additional assurance, Azure Information Protection usage logging can be cross referenced with Azure Key Vault logging. Key Vault-loggar ger en tillförlitlig metod för oberoende övervakning av att din nyckel bara används av Azure Rights Management-tjänsten.Key Vault logs provide a reliable method to independently monitor that your key is only used by Azure Rights Management service.

Om det behövs omedelbart kan du återkalla åtkomsten till nyckeln genom att ta bort behörigheterna för nyckel valvet.If necessary, immediately revoke access to your key by removing permissions on the key vault.

Alternativ för att skapa och lagra din nyckelOptions for creating and storing your key

Anteckning

Det finns för närvarande en för hands version av Azure Information Protection Azure Key Vault hanterad HSM-support för användning med icke-produktions klienter.The Azure Information Protection Azure Key Vault Managed HSM support, for use with non-production tenants only, is currently in PREVIEW. I tilläggs villkoren för Azure Preview ingår ytterligare juridiska villkor som gäller för Azure-funktioner som är i beta, för hands version eller på annat sätt ännu inte har publicerats i allmän tillgänglighet.The Azure Preview Supplemental Terms include additional legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.

Mer information om det hanterade HSM-erbjudandet och hur du konfigurerar ett valv och en nyckel finns i Azure Key Vault- dokumentationen.For more information about the Managed HSM offering, and how to set up a vault and a key, see the Azure Key Vault documentation.

Ytterligare anvisningar om hur du beviljar nyckel auktorisering beskrivs nedan.Additional instructions on granting key authorization are described below.

BYOK stöder nycklar som skapas antingen i Azure Key Vault eller lokalt.BYOK supports keys that are created either in Azure Key Vault or on-premises.

Om du skapar din nyckel lokalt måste du överföra eller importera den till Key Vault och konfigurera Azure Information Protection för att använda nyckeln.If you create your key on-premises, you must then transfer or import it into your Key Vault and configure Azure Information Protection to use the key. Utför ytterligare nyckel hantering i Azure Key Vault.Perform any additional key management from within Azure Key Vault.

Alternativ för att skapa och lagra din egen nyckel:Options to create and store your own key:

  • Skapade i Azure Key Vault.Created in Azure Key Vault. Skapa och lagra nyckeln i Azure Key Vault som en HSM-skyddad nyckel eller en skyddad nyckel för program vara.Create and store your key in Azure Key Vault as an HSM-protected key or a software-protected key.

  • Har skapats lokalt.Created on-premises. Skapa din nyckel lokalt och överför den till Azure Key Vault med något av följande alternativ:Create your key on-premises and transfer it to Azure Key Vault using one of the following options:

    • HSM-skyddad nyckel överförd som en HSM-skyddad nyckel.HSM-protected key, transferred as an HSM-protected key. Den mest typiska metoden som valts.The most typical method chosen.

      Även om den här metoden har flest administrativa kostnader kan det krävas för att organisationen ska följa vissa regler.While this method has the most administrative overhead, it may be required for your organization to follow specific regulations. HSM: er som används av Azure Key Vault är FIPS 140-2 Level 2-verifierad.The HSMs used by Azure Key Vault are FIPS 140-2 Level 2 validated.

    • Den program varu skydds nyckel som konverteras och överförs till Azure Key Vault som en HSM-skyddad nyckel.Software-protected key that is converted and transferred to Azure Key Vault as an HSM-protected key. Den här metoden stöds bara när du migrerar från Active Directory Rights Management Services (AD RMS).This method is supported only when migrating from Active Directory Rights Management Services (AD RMS).

    • Skapas lokalt som en program varu skyddad nyckel och överförs till Azure Key Vault som en skyddad nyckel för program vara.Created on-premises as a software-protected key and transferred to Azure Key Vault as a software-protected key. Den här metoden kräver en. PFX-certifikatfil.This method requires a .PFX certificate file.

Gör till exempel följande om du vill använda en nyckel som skapats lokalt:For example, do the following to use a key created on-premises:

  1. Generera din klient nyckel lokalt, i enlighet med din organisations IT-och säkerhets principer.Generate your tenant key on your premises, in line with your organization's IT and security policies. Den här nyckeln är huvud kopian.This key is the master copy. Det förblir lokalt och du är tvungen att säkerhetskopiera.It remains on-premises, and you are required for its backup.

  2. Skapa en kopia av huvud nyckeln och överför den på ett säkert sätt från HSM till Azure Key Vault.Create a copy of the master key, and securely transfer it from your HSM to Azure Key Vault. Under den här processen lämnar huvud kopian av nyckeln aldrig maskin varu skydds gränser.Throughout this process, the master copy of the key never leaves the hardware protection boundary.

När den har överförts skyddas kopian av nyckeln av Azure Key Vault.Once transferred, the copy of the key is protected by Azure Key Vault.

Exportera din betrodda publicerings domänExporting your trusted publishing domain

Om du senare bestämmer dig för att sluta använda Azure Information Protection behöver du en betrodd publicerings domän (TPD) för att dekryptera innehåll som skyddas av Azure Information Protection.If you ever decide to stop using Azure Information Protection, you'll need a trusted publishing domain (TPD) to decrypt content that was protected by Azure Information Protection.

Export av TPD stöds dock inte om du använder BYOK för din Azure Information Protection-nyckel.However, exporting your TPD isn't supported if you're using BYOK for your Azure Information Protection key.

För att förbereda för det här scenariot, se till att skapa en lämplig TPD i förväg.To prepare for this scenario, make sure to create a suitable TPD ahead of time. Mer information finns i förbereda en Azure information Protection "moln avslutning"-plan.For more information, see How to prepare an Azure Information Protection "Cloud Exit" plan.

Implementera BYOK för din Azure Information Protection klient nyckelImplementing BYOK for your Azure Information Protection tenant key

Använd följande steg för att implementera BYOK:Use the following steps to implement BYOK:

  1. Granska BYOK-kravReview BYOK prerequisites
  2. Välj en Key Vault platsChoose a Key Vault location
  3. Skapa och konfigurera din nyckelCreate and configure your key

Krav för BYOKPrerequisites for BYOK

BYOK krav varierar beroende på system konfiguration.BYOK prerequisites vary, depending on your system configuration. Kontrol lera att systemet uppfyller följande krav vid behov:Verify that your system complies with the following prerequisites as needed:

KravRequirement BeskrivningDescription
Azure-prenumerationAzure subscription Krävs för alla konfigurationer.Required for all configurations.
Mer information finns i kontrol lera att du har en BYOK-kompatibel Azure-prenumeration.For more information, see Verifying that you have a BYOK-compatible Azure subscription.
AIPService PowerShell-modul för Azure Information ProtectionAIPService PowerShell module for Azure Information Protection Krävs för alla konfigurationer.Required for all configurations.
Mer information finns i Installera PowerShell-modulen AIPService.For more information, see Installing the AIPService PowerShell module.
Azure Key Vault förutsättningar för BYOKAzure Key Vault prerequisites for BYOK Om du använder en HSM-skyddad nyckel som har skapats lokalt, se till att du även uppfyller kraven för BYOK som anges i Azure Key Vault-dokumentationen.If you are using an HSM-protected key that was created on-premises, ensure that you also comply with the prerequisites for BYOK listed in the Azure Key Vault documentation.
Thales firmware version 11,62Thales firmware version 11.62 Du måste ha en Thales-version av inbyggd program vara på 11,62 om du migrerar från AD RMS till Azure Information Protection med hjälp av program varu nyckeln till maskin varu nyckeln och använder Thales-programvaran för din HSM.You must have a Thales firmware version of 11.62 if you are migrating from AD RMS to Azure Information Protection by using software key to hardware key and are using Thales firmware for your HSM.
Kringgå brand vägg för betrodda Microsoft-tjänsterFirewall bypass for trusted Microsoft services Om nyckel valvet som innehåller din klient nyckel använder Virtual Network tjänst slut punkter för Azure Key Vault måste du tillåta att betrodda Microsoft-tjänster kringgår den här brand väggen.If the key vault that contains your tenant key uses Virtual Network Service Endpoints for Azure Key Vault, you must allow trusted Microsoft services to bypass this firewall.
Mer information finns i Virtual Network tjänst slut punkter för Azure Key Vault.For more information, see Virtual Network Service Endpoints for Azure Key Vault.

Verifiera att du har en BYOK-kompatibel Azure-prenumerationVerifying that you have a BYOK-compatible Azure subscription

Din Azure Information Protection klient måste ha en Azure-prenumeration.Your Azure Information Protection tenant must have an Azure subscription. Om du inte har något än kan du registrera dig för ett kostnads fritt konto.If you don't have one yet, you can sign up for a free account. Om du vill använda en HSM-skyddad nyckel måste du dock ha tjänst nivån Azure Key Vault Premium.However, to use an HSM-protected key, you must have the Azure Key Vault Premium service tier.

Den kostnads fria Azure-prenumerationen som ger åtkomst till Azure Active Directory konfiguration och Azure Rights Management anpassad mall konfiguration är inte tillräckligt för att använda Azure Key Vault.The free Azure subscription that provides access to Azure Active Directory configuration and Azure Rights Management custom template configuration is not sufficient for using Azure Key Vault.

Om du vill kontrol lera om du har en Azure-prenumeration som är kompatibel med BYOK gör du följande för att verifiera, med hjälp av Azure PowerShell -cmdlet: ar:To confirm whether you have an Azure subscription that is compatible with BYOK, do the following to verify, using Azure PowerShell cmdlets:

  1. Starta en Azure PowerShell-session som administratör.Start an Azure PowerShell session as an administrator.

  2. Logga in som global administratör för din Azure Information Protection klient med hjälp av Connect-AzAccount .Sign in as a global admin for your Azure Information Protection tenant using Connect-AzAccount.

  3. Kopiera token som visas i Urklipp.Copy the token displayed to your clipboard. I en webbläsare går du sedan till https://microsoft.com/devicelogin och anger den kopierade token.Then, in a browser, go to https://microsoft.com/devicelogin and enter the copied token.

    Mer information finns i Logga in med Azure PowerShell.For more information, see Sign in with Azure PowerShell.

  4. I PowerShell-sessionen anger Get-AzSubscription och kontrollerar du att följande värden visas:In your PowerShell session, enter Get-AzSubscription, and confirm that the following values are displayed:

    • Ditt prenumerations namn och IDYour subscription name and ID
    • Ditt Azure Information Protection klient-IDYour Azure Information Protection tenant ID
    • Bekräfta att status är aktive radConfirmation that the state is enabled

    Om inga värden visas och du kommer tillbaka till frågan, har du inte någon Azure-prenumeration som kan användas för BYOK.If no values are displayed and you are returned to the prompt, you do not have an Azure subscription that can be used for BYOK.

Välja platsen för nyckel valvetChoosing your key vault location

När du skapar ett nyckel valv som innehåller nyckeln som ska användas som din klient nyckel för Azure-information måste du ange en plats.When you create a key vault to contain the key to be used as your tenant key for Azure Information, you must specify a location. Den här platsen är en Azure-region eller Azure-instans.This location is an Azure region, or Azure instance.

Välj först för efterlevnad och minimera nätverks fördröjningen:Make your choice first for compliance, and then to minimize network latency:

  • Om du har valt BYOK-nyckel metoden för regelefterlevnad kan dessa krav för efterlevnad också bestämma vilken Azure-region eller instans som kan användas för att lagra Azure Information Protection klient nyckeln.If you have chosen the BYOK key method for compliance reasons, those compliance requirements might also mandate which Azure region or instance can be used to store your Azure Information Protection tenant key.

  • Alla kryptografiska anrop för skydds kedja till din Azure Information Protection nyckel.All cryptographic calls for protection chain to your Azure Information Protection key. Därför kanske du vill minimera nätverks fördröjningen som dessa anrop kräver genom att skapa nyckel valvet i samma Azure-region eller instans som din Azure Information Protection klient.Therefore, you may want to minimize the network latency these calls require by creating your key vault in the same Azure region or instance as your Azure Information Protection tenant.

Du kan identifiera platsen för din Azure Information Protection-klient genom att använda PowerShell-cmdleten Get-AipServiceConfiguration och identifiera regionen från URL: erna.To identify the location of your Azure Information Protection tenant, use the Get-AipServiceConfiguration PowerShell cmdlet and identify the region from the URLs. Till exempel:For example:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

Regionen kan identifieras från RMS.na.AADRM.com och i det här exemplet är den i Nordamerika.The region is identifiable from rms.na.aadrm.com , and for this example, it is in North America.

I följande tabell visas rekommenderade Azure-regioner och instanser för att minimera nätverks fördröjningen:The following table lists recommended Azure regions and instances for minimizing network latency:

Azure-region eller instansAzure region or instance Rekommenderad plats för nyckel valvetRecommended location for your key vault
RMS. na. AADRM.comrms. na.aadrm.com Norra centrala USA eller östra USANorth Central US or East US
RMS. EU. AADRM.comrms. eu.aadrm.com Europa, Nord Europa eller VästeuropaNorth Europe or West Europe
RMS. AP. AADRM.comrms. ap.aadrm.com Asien, östra eller SydostasienEast Asia or Southeast Asia
RMS. sa. AADRM.comrms. sa.aadrm.com USA, västra eller USA, östraWest US or East US
RMS. govus. AADRM.comrms. govus.aadrm.com USA, centrala eller USA, östra 2Central US or East US 2
RMS. AADRM.usrms. aadrm.us US gov, Virginia eller US gov, ArizonaUS Gov Virginia or US Gov Arizona
RMS. AADRM.cnrms. aadrm.cn Kina, östra 2 eller Kina, norra 2China East 2 or China North 2

Skapa och konfigurera din nyckelCreate and configure your key

Viktigt

Information som är unik för hanterade HSM: er finns i aktivera nyckel auktorisering för hanterade HSM-nycklar via Azure CLI.For information specific for Managed HSMs, see Enabling key authorization for Managed HSM keys via Azure CLI.

Skapa en Azure Key Vault och den nyckel som du vill använda för Azure Information Protection.Create an Azure Key Vault and the key you want to use for Azure Information Protection. Mer information finns i Azure Key Vault- dokumentationen.For more information, see the Azure Key Vault documentation.

Tänk på följande när du konfigurerar din Azure Key Vault och nyckel för BYOK:Note the following for configuring your Azure Key Vault and key for BYOK:

Krav på nyckel längdKey length requirements

När du skapar din nyckel måste du kontrol lera att nyckel längden är antingen 2048 bitar (rekommenderas) eller 1024 bitar.When creating your key, make sure that the key length is either 2048 bits (recommended) or 1024 bits. Andra nyckel längder stöds inte av Azure Information Protection.Other key lengths are not supported by Azure Information Protection.

Anteckning

1024 – bitars nycklar anses inte erbjuda en lämplig skydds nivå för aktiva klient nycklar.1024-bit keys are not considered to offer an adequate level of protection for active tenant keys.

Microsoft kommer inte att påteckna användningen av lägre nyckel längder, till exempel 1024-bitars RSA-nycklar och den associerade användningen av protokoll som erbjuder otillräckliga skydds nivåer, till exempel SHA-1.Microsoft doesn't endorse the use of lower key lengths, such as 1024-bit RSA keys, and the associated use of protocols that offer inadequate levels of protection, such as SHA-1.

Skapa en HSM-skyddad nyckel lokalt och överföra den till ditt nyckel valvCreating an HSM-protected key on-premises and transferring it to your key vault

Om du vill skapa en HSM-skyddad nyckel lokalt och överföra den till nyckel valvet som en HSM-skyddad nyckel följer du procedurerna i Azure Key Vault-dokumentationen: så här genererar och överför du HSM-skyddade nycklar för Azure Key Vault.To create an HSM-protected key on-premises and transfer it to your key vault as an HSM-protected key, follow the procedures in the Azure Key Vault documentation: How to generate and transfer HSM-protected keys for Azure Key Vault.

För att Azure Information Protection ska kunna använda den överförda nyckeln måste alla Key Vault åtgärder tillåtas för nyckeln, inklusive:For Azure Information Protection to use the transferred key, all Key Vault operations must be permitted for the key, including:

  • encryptencrypt
  • innehålletdecrypt
  • wrapKeywrapKey
  • unwrapKeyunwrapKey
  • Logga insign
  • kontrollenverify

Som standard är alla Key Vault åtgärder tillåtna.By default, all Key Vault operations are permitted.

Kör följande PowerShell-kommando för att kontrol lera tillåtna åtgärder för en speciell nyckel:To check the permitted operations for a specific key, run the following PowerShell command:

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

Om det behövs lägger du till tillåtna åtgärder med hjälp av Update-AzKeyVaultKey och parametern KeyOps .If necessary, add permitted operations by using Update-AzKeyVaultKey and the KeyOps parameter.

Konfigurera Azure Information Protection med ditt nyckel-IDConfiguring Azure Information Protection with your key ID

Nycklar som lagras i Azure Key Vault måste ha ett nyckel-ID.Keys stored in the Azure Key Vault each have a key ID.

Nyckel-ID: t är en URL som innehåller namnet på nyckel valvet, nycklar behållare, namnet på nyckeln och nyckel versionen.The key ID is a URL that contains the name of the key vault, the keys container, the name of the key, and the key version. Till exempel:For example:

https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.

Konfigurera Azure Information Protection att använda nyckeln genom att ange dess Key Vault-URL.Configure Azure Information Protection to use your key by specifying its key vault URL.

Auktorisera Azure Rights Management-tjänsten för att använda din nyckelAuthorizing the Azure Rights Management service to use your key

Azure Rights Management-tjänsten måste ha behörighet att använda din nyckel.The Azure Rights Management service must be authorized to use your key. Azure Key Vault-administratörer kan aktivera den här behörigheten med hjälp av Azure Portal eller Azure PowerShell.Azure Key Vault administrators can enable this authorization using the Azure portal or Azure PowerShell.

Aktivera nyckel auktorisering med hjälp av Azure PortalEnabling key authorization using the Azure portal
  1. Logga in på Azure Portal och gå till åtkomst principer för nyckel valv > <your key vault name> > Access policies > Lägg till ny.Sign in to the Azure portal, and go to Key vaults > <your key vault name> > Access policies > Add new.

  2. I rutan Lägg till åtkomst princip , i list rutan Konfigurera från mall (valfritt) väljer du Azure information Protection BYOK och klickar sedan på OK.From the Add access policy pane, from the Configure from template (optional) list box, select Azure Information Protection BYOK , and then click OK.

    Den valda mallen har följande konfiguration:The selected template has the following configuration:

    • Värdet Välj huvud värde har angetts till Microsoft Rights Management Services.The Select principal value is set to Microsoft Rights Management Services.
    • De valda nyckel behörigheterna är Get, dekryptera och signera.Selected key permissions include Get, Decrypt, and Sign.
Aktivera nyckel auktorisering med PowerShellEnabling key authorization using PowerShell

Kör Key Vault PowerShell-cmdleten set-AzKeyVaultAccessPolicyoch bevilja behörighet till Azure Rights Management Service-huvudobjektet med GUID 00000012-0000-0000-C000-000000000000.Run the Key Vault PowerShell cmdlet, Set-AzKeyVaultAccessPolicy, and grant permissions to the Azure Rights Management service principal using the GUID 00000012-0000-0000-c000-000000000000.

Till exempel:For example:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Aktivera nyckel auktorisering för hanterade HSM-nycklar via Azure CLIEnabling key authorization for Managed HSM keys via Azure CLI

Kör följande kommando för att ge Azure Rights Management-tjänstens huvud administratörs behörighet som en hanterad HSM-kryptografi användare:To grant the Azure Rights Management service principal user permissions as a Managed HSM Crypto user, run the following command:

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee 00000012-0000-0000-c000-000000000000 --scope /keys/contosomhsmkey

Där:Where:

  • 00000012-0000-0000-C000-000000000000 är det GUID som ska användas i det här kommandot00000012-0000-0000-c000-000000000000 is the GUID to use in this command
  • ContosoMHSM är ett exempel på HSM-namn.ContosoMHSM is a sample HSM name. När du kör det här kommandot ersätter du värdet med ditt eget HSM-namn.When running this command, replace this value with your own HSM name.

Användar rollen hanterad HSM-krypto gör det möjligt för användaren att dekryptera, signera och hämta behörighet till nyckeln, som alla krävs för den hanterade HSM-funktionen.The Managed HSM Crypto User user role allows the user to decrypt, sign, and get permissions to the key, which are all required for the Managed HSM functionality.

Anteckning

Även om hanterad HSM är i en offentlig för hands version, stöds endast användar rollen hanterad HSM-kryptografi via Azure CLI.While Managed HSM is in public preview, granting the Managed HSM Crypto User role is supported only via Azure CLI.

Konfigurera Azure Information Protection att använda din nyckelConfigure Azure Information Protection to use your key

När du har slutfört alla stegen ovan är du redo att konfigurera Azure Information Protection att använda den här nyckeln som din organisations klient nyckel.Once you've completed all of the steps above, you're ready to configure Azure Information Protection to use this key as your organization's tenant key.

Kör följande kommandon med hjälp av Azure RMS-cmdlet: ar:Using Azure RMS cmdlets, run the following commands:

  1. Anslut till Azure Rights Management-tjänsten och logga in:Connect to the Azure Rights Management service and sign in:

    Connect-AipService
    
  2. Kör cmdleten use-AipServiceKeyVaultKeyoch ange nyckel-URL: en.Run the Use-AipServiceKeyVaultKey cmdlet, specifying the key URL. Till exempel:For example:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
    

    Viktigt

    I det här exemplet <key-version> är den version av nyckeln som du vill använda.In this example, <key-version> is the version of the key you want to use. Om du inte anger versionen används den aktuella versionen av nyckeln som standard och kommandot kan verka fungera.If you do not specify the version, the current version of the key is used by default, and the command may appear to work. Men om din nyckel senare uppdateras eller förnyas slutar Azure Rights Management-tjänsten att fungera för din klient, även om du kör kommandot use-AipServiceKeyVaultKey igen.However, if your key is later updated or renewed, the Azure Rights Management service will stop working for your tenant, even if you run the Use-AipServiceKeyVaultKey command again.

    Använd kommandot Get-AzKeyVaultKey vid behov för att hämta versions numret för den aktuella nyckeln.Use the Get-AzKeyVaultKey command as needed to get the version number of the current key.

    Exempelvis: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'For example: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    För att bekräfta att nyckel-URL: en är korrekt inställd för Azure Information Protection kör kommandot Get-AzKeyVaultKey i Azure Key Vault för att Visa nyckel-URL: en.To confirm that the key URL is set correctly for Azure Information Protection, run the Get-AzKeyVaultKey command in the Azure Key Vault to display the key URL.

  3. Om Azure Rights Management-tjänsten redan är aktive rad kör du set-AipServiceKeyProperties för att se Azure information Protection att använda den här nyckeln som den aktiva klient nyckeln för Azure Rights Management-tjänsten.If the Azure Rights Management service is already activated, run Set-AipServiceKeyProperties to tell Azure Information Protection to use this key as the active tenant key for the Azure Rights Management service.

Azure Information Protection har nu kon figurer ATS för att använda din nyckel i stället för den standard Microsoft-skapade nyckel som skapats automatiskt för din klient.Azure Information Protection is now configured to use your key instead of the default Microsoft-created key that was automatically created for your tenant.

Nästa stegNext steps

När du har konfigurerat BYOK-skyddet fortsätter du till att komma igång med din klient rot nyckel för mer information om hur du använder och hanterar din nyckel.Once you've configured BYOK protection, continue to Getting started with your tenant root key for more information about using and managing your key.