Steg 2: HSM-skyddad nyckel för HSM-skyddad nyckelmigrering

Gäller för:Active Directory Rights Management Services, Azure Information Protection

Relevant för:AIP unified labeling client and classic client

Obs!

För att ge en enhetlig och smidig kundupplevelse är den klassiska Azure Information Protection-klienten och Etiketthantering i Azure-portalen inaktuella sedan den 31 mars 2021. Inget ytterligare stöd tillhandahålls för den klassiska klienten och underhållsversioner kommer inte längre att släppas.

Den klassiska klienten upphör officiellt och slutar fungera den 31 mars 2022.

Alla aktuella kunder med Azure Information Protection för klassiska klienter måste migrera till Microsoft Information Protection unified labeling-plattformen och uppgradera till den enhetliga etikettklienten. Läs mer i vår migreringsblogg.

De här instruktionerna är en del av migreringsvägen från AD RMStill Azure Information Protection och gäller endast om AD RMS-nyckeln är HSM-skyddad och du vill migrera till Azure Information Protection med en HSM-skyddad klientnyckel i Azure-nyckelvalv.

Om det här inte är ditt konfigurationsscenario går du tillbaka till steg 4. Exportera konfigurationsdata från AD RMS och importera dem till Azure RMS och välj en annan konfiguration.

Obs!

De här instruktionerna förutsätter att AD RMS-nyckeln är modulskyddad. Det här är det vanligaste fallet.

Det är en procedur i två delar om du vill importera HSM-nyckeln och AD RMS-konfigurationen till Azure Information Protection, så att klientnyckeln för Azure Information Protection importeras som hanteras av dig (BYOK).

Eftersom din Azure Information Protection-klientnyckel lagras och hanteras av Azure Key Vault, kräver den här delen av migreringen administration i Azure Key Vault, utöver Azure Information Protection. Om Azure-nyckelvalv hanteras av en annan administratör än du för din organisation måste du samordna och arbeta med den administratören för att slutföra de här procedurerna.

Innan du börjar kontrollerar du att din organisation har ett nyckelvalv som har skapats i Azure Key Vault och att det har stöd för HSM-skyddade nycklar. Även om det inte krävs, rekommenderar vi att du har ett dedikerat nyckelvalv för Azure Information Protection. Det här nyckelvalvet konfigureras så att Azure Rights Management-tjänsten kan komma åt det, så knapparna som lagras i det här nyckelvalvet ska vara begränsade till endast Azure Information Protection-nycklar.

Tips!

Om du utför konfigurationsstegen för Azure Key Vault och du inte är bekant med den här Azure-tjänsten kan det vara bra att först läsa Komma igång med Azure Key Vault.

Del 1: Överför din HSM-nyckel till Azure Key Vault

De här procedurerna utförs av administratören för Azure Key Vault.

  1. För varje exporterad S KEY-nyckel som du vill lagra i Azure Key Vault följer du anvisningarna i Dokumentationen för Azure-nyckelvalv med implementerad bring your own key (BYOK) för Azure Key Vault med följande undantag:

    • Gör inte stegen för Generera din klientnyckel eftersom duredan har motsvarigheten till AD RMS-distributionen. Identifiera i stället de nycklar som används av AD RMS-servern från nCipher-installationen och förbered dessa nycklar för överföring, och överför dem sedan till Azure Key Vault.

      Krypterade nyckelfiler för nCipher namnges key_AppName _ <<> lokalt på servern. Till exempel C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54 . Du behöver mscapi-värdet som nyckelAppName och ditt eget värde för nyckelidentifieraren när du kör kommandot KeyTransferRemote för att skapa en kopia av nyckeln med nedsatt behörighet.

      När nyckeln laddas upp till Azure Key Vault visas egenskaperna för nyckeln, som innehåller nyckel-ID. Det kommer att se ut ungefär som https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Notera URL-adressen eftersom Azure Information Protection-administratören behöver den för att Ange att Azure Rights Management-tjänsten ska använda den här nyckeln som klientnyckel.

  2. På den internetanslutna arbetsstationen i en PowerShell-session använder du cmdleten Set-AzKeyVaultAccessPolicy för att auktorisera Azure Rights Management-tjänstens huvudnamn att komma åt nyckelvalvet som lagrar Azure Information Protection-klientnyckeln. De behörigheter som krävs är dekryptera, kryptera, ta bort radbrytningar, radbrytningsnyckel, verifiera och signera.

    Om nyckelvalvet som du har skapat för Azure Information Protection till exempel heter contoso-byok-ky och resursgruppen heter contoso-byok-rg kör du följande kommando:

    Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
    

Nu när du har förberett HSM-nyckeln i Azure-nyckelvalvet för Azure Rights Management-tjänsten från Azure Information Protection är du redo att importera dina AD RMS-konfigurationsdata.

Del 2: Importera konfigurationsdata till Azure Information Protection

De här procedurerna utförs av administratören för Azure Information Protection.

  1. På arbetsstationen som ansluter internet och i PowerShell-sessionen ansluter du till tjänsten Azure Rights Management med hjälp av Anslut-AipService-cmdleten.

    Ladda sedan upp varje betrodd publiceringsdomänfil (.xml) med hjälp av cmdleten Import-AipServiceTpd. Du bör till exempel ha minst en fil att importera om du har uppgraderat AD RMS-klustret för Cryptographic Mode 2.

    Om du vill köra den här cmdleten behöver du det lösenord som du angav tidigare för varje konfigurationsdatafil och URL-adressen för nyckeln som identifierades i föregående steg.

    Om du till exempel använder en konfigurationsdatafil med en C:\contoso-tpd1.xml och vårt viktiga URL-värde från föregående steg ska du först köra följande för att lagra lösenordet:

     $TPD_Password = Read-Host -AsSecureString
    

    Ange det lösenord som du angav för att exportera konfigurationsdatafilen. Kör sedan följande kommando och bekräfta att du vill utföra den här åtgärden:

    Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    Som en del av den här importen importeras SLC-nyckeln och ställs automatiskt in som arkiverad.

  2. När du har laddat upp varje fil kör du Set-AipServiceKeyProperties för att ange vilka importerade nycklar som matchar den aktiva SLC-nyckeln i AD RMS-klustret. Den här nyckeln blir den aktiva klientnyckeln för Azure Rights Management-tjänsten.

  3. Använd Disconnect-AipService-cmdleten för att koppla bort från Azure Rights Management-tjänsten:

    Disconnect-AipServiceService
    

Om du senare behöver bekräfta vilken nyckel din Azure Information Protection-klientnyckel använder i Azure-nyckelvalv använder du cmdleten Get-AipServiceKeys Azure RMS.

Nu är du redo att gå vidare till steg 5. Aktivera Azure Rights Management-tjänsten.