Azure Information Protection kiracı anahtarınızı planlama ve uygulamaPlanning and implementing your Azure Information Protection tenant key

Uygulama hedefi: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Bu makaledeki, Azure Information Protection kiracı anahtarınızı planlayıp yönetmenize yardımcı olmaya yönelik bilgileri kullanın.Use the information in this article to help you plan for and manage your Azure Information Protection tenant key. Örneğin, kiracı anahtarınızı Microsoft’un yönetmesi yerine (varsayılan), kuruluşunuz için geçerli olan belirli düzenlemelere uymak üzere kendi kiracı anahtarınızı kendiniz yönetmek isteyebilirsiniz.For example, instead of Microsoft managing your tenant key (the default), you might want to manage your own tenant key to comply with specific regulations that apply to your organization. Kendi kiracı anahtarınızın yönetilmesi, kendi anahtarını getir (BYOK) olarak da bilinir.Managing your own tenant key is also referred to as bring your own key, or BYOK.

Azure Information Protection kiracı anahtarı nedir?What is the Azure Information Protection tenant key?

  • Azure Information Protection kiracı anahtarı, kuruluşunuz için bir kök anahtardır.The Azure Information Protection tenant key is a root key for your organization. Diğer anahtarlar, Kullanıcı anahtarları, bilgisayar anahtarları ve belge şifreleme anahtarları gibi bu kök anahtardan türetilebilir.Other keys can be derived from this root key, such as user keys, computer keys, and document encryption keys. Azure Information Protection kuruluşunuz için bu anahtarları kullandığında, şifreli olarak Azure Information Protection kiracı anahtarınıza zincirlenir.Whenever Azure Information Protection uses these keys for your organization, they cryptographically chain to your Azure Information Protection tenant key.

  • Azure Information Protection kiracı anahtarı, Active Directory Rights Management Services (AD RMS) ile sunucu lisans verme sertifikası (SLC) anahtarının çevrimiçi eşdeğeridir.The Azure Information Protection tenant key is the online equivalent of the Server Licensor Certificate (SLC) key from Active Directory Rights Management Services (AD RMS).

Bir bakışta: Önerilen kiracı anahtarı topolojinize ilişkin hızlı bir kılavuz olarak aşağıdaki tabloyu kullanın.At a glance: Use the following table as a quick guide to your recommended tenant key topology. Ardından, daha fazla bilgi için ek belgeleri kullanın.Then, use the additional documentation for more information.

İş gereksinimiBusiness requirement Önerilen kiracı anahtarı topolojisiRecommended tenant key topology
Özel donanım, ek yazılım veya Azure aboneliği olmadan Azure Information Protection hızla ve dağıtın.Deploy Azure Information Protection quickly and without special hardware, additional software, or an Azure subscription.

Örneğin: Ortamları test etme ve kuruluşunuzun anahtar yönetimi için mevzuat gereksinimleri yok.For example: Testing environments and when your organization does not have regulatory requirements for key management.
Microsoft tarafından yönetilenManaged by Microsoft
Uyumluluk düzenlemeleri ve tüm yaşam döngüsü işlemleri üzerinde denetim.Compliance regulations and control over all life cycle operations.

Örneğin: Anahtarınızın bir donanım güvenlik modülü (HSM) ile korunması gerekir.For example: Your key must be protected by a hardware security module (HSM).
BYOKBYOK

Gerekirse, set-AipServiceKeyProperties cmdlet 'ini kullanarak, dağıtımdan sonra kiracı anahtarı topolojinizi değiştirebilirsiniz.If required, you can change your tenant key topology after deployment, by using the Set-AipServiceKeyProperties cmdlet.

Kiracı anahtarı topolojinizi seçin: Microsoft tarafından yönetilen (varsayılan) veya sizin tarafınızdan yönetiliyor (BYOK)Choose your tenant key topology: Managed by Microsoft (the default) or managed by you (BYOK)

Kuruluşunuz için hangi kiracı anahtar topolojisinin en iyi olduğuna karar verin:Decide which tenant key topology is best for your organization:

  • Microsoft tarafından yönetiliyor: Microsoft, kuruluşunuz için otomatik olarak bir kiracı anahtarı oluşturur ve bu anahtar yalnızca Azure Information Protection için kullanılır.Managed by Microsoft: Microsoft automatically generates a tenant key for your organization and this key is used exclusively for Azure Information Protection. Varsayılan olarak, Microsoft bu anahtarı kiracınız için kullanır ve kiracı anahtar yaşam döngünüzün birçok yönlerini yönetir.By default, Microsoft uses this key for your tenant and manages most aspects of your tenant key life cycle.

    En düşük yönetim yükü içeren en basit seçenek budur.This is the simplest option with the lowest administrative overheads. Çoğu durumda, bir kiracı anahtarına sahip olduğunuzu bilmeniz bile gerekli değildir.In most cases, you do not even need to know that you have a tenant key. Azure Information Protection için kaydolmanız yeterlidir; anahtar yönetimi işleminin geri kalanı Microsoft tarafından gerçekleştirilir.You just sign up for Azure Information Protection and the rest of the key management process is handled by Microsoft.

  • Sizin tarafınızdan yönetiliyor (BYOK) : Kiracı anahtarınız üzerinde tüm denetim için Azure Information Protection Azure Key Vault kullanın.Managed by you (BYOK): For complete control over your tenant key, use Azure Key Vault with Azure Information Protection. Bu kiracı anahtarı topolojisi için, anahtarı doğrudan Key Vault veya şirket içinde oluşturursunuz.For this tenant key topology, you create the key, either directly in Key Vault, or create it on-premises. Şirket içinde oluşturursanız, daha sonra bu anahtarı Key Vault içine aktarın veya içeri aktarın.If you create it on-premises, you next transfer or import this key into Key Vault. Daha sonra bu anahtarı kullanmak için Azure Information Protection yapılandırır ve Azure Key Vault ' de yönetirsiniz.You then configure Azure Information Protection to use this key, and you manage it in Azure Key Vault.

BYOK hakkında daha fazla bilgiMore information about BYOK

Kendi anahtarınızı oluşturmak için aşağıdaki seçeneklere sahipsiniz:To create your own key, you have the following options:

  • Şirket içinde oluşturduğunuz ve Key Vault transfer ettiğiniz ve içeri aktardığınız bir anahtar:A key that you create on-premises and transfer or import to Key Vault:

    • Şirket içinde oluşturduğunuz ve HSM korumalı bir anahtar olarak Key Vault aktarmak için HSM korumalı bir anahtar.An HSM-protected key that you create on-premises and transfer to Key Vault as an HSM-protected key.

    • Şirket içinde oluşturduğunuz ve ardından Key Vault HSM korumalı bir anahtar olarak bir yazılım korumalı anahtar.A software-protected key that you create on-premises, convert, and then transfer to Key Vault as an HSM-protected key. Bu seçenek yalnızca Active Directory Rights Management Services (AD RMS) ' den geçişyaptığınızda desteklenir.This option is supported only when you migrate from Active Directory Rights Management Services (AD RMS).

    • Şirket içinde oluşturduğunuz ve yazılım korumalı anahtar olarak Key Vault içeri aktardığınız yazılım korumalı bir anahtar.A software-protected key that you create on-premises and import to Key Vault as a software-protected key. Bu seçenek için bir gerektirir. PFX Sertifika dosyası.This option requires a .PFX certificate file.

  • Key Vault içinde oluşturduğunuz bir anahtar:A key that you create in Key Vault:

    • Key Vault içinde oluşturduğunuz HSM korumalı bir anahtar.An HSM-protected key that you create in Key Vault.

    • Key Vault içinde oluşturduğunuz yazılım korumalı bir anahtar.A software-protected key that you create in Key Vault.

Bu BYOK seçeneklerinin en tipik sürümü, şirket içinde oluşturduğunuz ve HSM korumalı bir anahtar olarak Key Vault aktarmak için bir HSM korumalı anahtardır.Of these BYOK options, the most typical is an HSM-protected key that you create on-premises and transfer to Key Vault as an HSM-protected key. Bu seçenekte en fazla yönetim fazla bakış olsa da, kuruluşunuzun belirli yönetmeliklere uyması gerekebilir.Although this option has the greatest administrative overheads, it might be required for your organization to comply with specific regulations. Azure Key Vault tarafından kullanılan HSM 'ler, FIPS 140-2 düzey 2 ile onaylanır.The HSMs that are used by Azure Key Vault are FIPS 140-2 Level 2 validated.

Bu seçenek ile aşağıdakiler gerçekleşir:With this option, the following happens:

  1. Kiracı anahtarınızı BT ilkelerinize ve güvenlik ilkelerinize uygun olarak şirket içinde oluşturursunuz.You generate your tenant key on your premises, in line with your IT policies and security policies. Bu anahtar, ana kopyasıdır.This key is the master copy. Şirket içinde kalır ve bunu yedeklemekten siz sorumlusunuz.It remains on-premises and you are responsible for backing it up.

  2. Bu anahtarın bir kopyasını oluşturur ve bu kopyayı HSM 'nizden Azure Key Vault 'e güvenli bir şekilde aktarabilirsiniz.You create a copy of this key, and securely transfer this copy from your HSM to Azure Key Vault. Bu işlem boyunca, bu anahtarın ana kopyası hiçbir şekilde donanım koruma sınırını terk etmez.Throughout this process, the master copy of this key never leaves the hardware protection boundary.

  3. Anahtarın kopyası Azure Key Vault tarafından korunur.The copy of the key is protected by Azure Key Vault.

Not

Ek bir koruma önlemi olarak, Azure Key Vault Kuzey Amerika, EMEA (Avrupa, Orta Doğu ve Afrika) ve Asya gibi bölgelerde veri merkezleri için ayrı güvenlik etki alanları kullanır.As an additional protection measure, Azure Key Vault uses separate security domains for its data centers in regions such as North America, EMEA (Europe, Middle East and Africa), and Asia. Azure Key Vault Ayrıca Azure 'un Microsoft Azure Almanya ve Azure Kamu gibi farklı örneklerini de kullanır.Azure Key Vault also uses different instances of Azure, such as Microsoft Azure Germany, and Azure Government.

İsteğe bağlı olsa da, kiracı anahtarınızın nasıl ve ne zaman kullanıldığını tam olarak görmek için Azure Information Protection’ın gerçek zamanlı kullanım günlüklerini de kullanmanız iyi olacaktır.Although it’s optional, you will also probably want to use the near real-time usage logs from Azure Information Protection to see exactly how and when your tenant key is being used.

Azure Information Protection kiracı anahtarınız için BYOK kullandığınızda, güvenilen yayımlama etki alanınızı (TPD) dışarı aktarabilirsiniz.When you use BYOK for your Azure Information Protection tenant key, you can't export your trusted publishing domain (TPD). Artık Azure Information Protection kullanmaya karar verirseniz ve Azure Information Protection tarafından korunan içeriğin şifresini çözebilmeniz gerekiyorsa TPD gerekir.The TPD is needed if you decide to no longer use Azure Information Protection but must still be able to decrypt content that was protected by Azure Information Protection. Uygun bir TPD daha önceden oluşturarak bu senaryoya hazırlanmak için, Azure Information Protection "Cloud Exit" planının hazırlanmasıiçin aşağıdaki yönergelere bakın.To prepare for this scenario by creating a suitable TPD ahead of time, see the following instructions How to prepare an Azure Information Protection "Cloud Exit" plan.

Kiracı anahtarı topolojinize karar verdikten sonraWhen you have decided your tenant key topology

Microsoft 'un kiracı anahtarınızı yönetmesine izin vermeye karar verirseniz:If you decide to let Microsoft manage your tenant key:

  • AD RMS geçiş yapmadığınız takdirde kiracınız için anahtar oluşturmanız için başka bir eylem gerekmez ve doğrudan sonraki adımlarageçebilirsiniz.Unless you are migrating from AD RMS, no further action is required for you to generate the key for your tenant and you can go straight to Next steps.

  • Şu anda AD RMS varsa ve Azure Information Protection 'e geçiş yapmak istiyorsanız, geçiş yönergelerini kullanın: AD RMS Azure Information Protection ' den geçiş.If you currently have AD RMS and want to migrate to Azure Information Protection, use the migration instructions: Migrating from AD RMS to Azure Information Protection.

Kiracı anahtarınızı kendiniz yönetmeye karar verirseniz, daha fazla bilgi için aşağıdaki bölümleri okuyun.If you decide to manage your tenant key yourself, read the following sections for more information.

Azure Information Protection kiracı anahtarınız için BYOK uygulamaImplementing BYOK for your Azure Information Protection tenant key

Kiracı anahtarınızı kendiniz oluşturup yönetmeye karar verdiyseniz kendi anahtarını getir (BYOK) senaryosu için bu bölümdeki bilgi ve yordamları kullanın:Use the information and procedures in this section if you have decided to generate and manage your tenant key; the bring your own key (BYOK) scenario:

Not

Azure Information Protection kullanmaya Microsoft tarafından yönetilen bir kiracı anahtarıyla başladıysanız ve artık kiracı anahtarınızı kendiniz yönetmek istiyorsanız (BYOK’a taşıma), önceden korunan belgeleriniz ve e-postalarınız arşivlenen bir anahtar kullanılarak erişilebilir olmaya devam eder.If you have started to use Azure Information Protection with a tenant key that is managed by Microsoft and you now want to manage your tenant key (move to BYOK), your previously protected documents and emails will remain accessible by using an archived key.

BYOK için önkoşullarPrerequisites for BYOK

Kendi anahtarını getir (BYOK) önkoşullarının listesi için aşağıdaki tabloya bakın.See the following table for a list of prerequisites for bring your own key (BYOK).

GereksinimRequirement Daha fazla bilgiMore information
Azure Information Protection kiracınız bir Azure aboneliğine sahip olmalıdır.Your Azure Information Protection tenant must have an Azure subscription. Bir hesabınız yoksa ücretsiz bir hesapiçin kaydolabilirsiniz.If you do not have one, you can sign up for a free account.

HSM korumalı bir anahtar kullanmak için Azure Key Vault Premium hizmet katmanını kullanmanız gerekir.To use an HSM-protected key, you must have the Azure Key Vault Premium service tier.
Azure Active Directory’yi yapılandırmak için erişim sağlayan ücretsiz Azure aboneliği ve Azure Rights Management özel şablonlarının yapılandırması (Azure Active Directory'ye erişim) Azure Anahtar Kasası’nı kullanmak için yeterli değildir.The free Azure subscription that provides access to configure Azure Active Directory and configuration of Azure Rights Management custom templates (Access to Azure Active Directory) is not sufficient to use Azure Key Vault. BYOK için kullanabileceğiniz bir Azure aboneliğiniz olduğunu doğrulamak için Azure PowerShell cmdlet 'lerini kullanın:To confirm that you have an Azure subscription that you can use for BYOK, use Azure PowerShell cmdlets:

1. Yönetici olarak çalıştır seçeneğiyle bir Azure PowerShell oturumu başlatın ve kullanarak Connect-AzAccount Azure Information Protection kiracınız için genel yönetici olarak oturum açın ve ardından bir https://microsoft.com/devicelogin Tarayıcı.1. Start an Azure PowerShell session with the Run as administrator option, and sign in as a global admin for your Azure Information Protection tenant by using Connect-AzAccount and then copy and paste the resulting token string into https://microsoft.com/deviceloginby using a browser.

Daha fazla bilgi için bkz. Azure PowerShell oturum açma.For more information, see Sign in with Azure PowerShell.

2. Şu komutu yazın ve abonelik adınız, kimliğiniz ve Azure Information Protection kiracı kimliğiniz için görüntülenen değerleri gördüğünüzü ve durumun etkin olduğunu doğrulayın: Get-AzSubscription2. Type the following and confirm that you see values displayed for your subscription name and ID, your Azure Information Protection tenant ID, and that the state is enabled: Get-AzSubscription

Hiçbir değer görüntülenmiyorsa ve yalnızca komut istemine döndürülürsünüz, BYOK için kullanılabilecek bir Azure aboneliğiniz yok demektir.If no values are displayed and you are just returned to the prompt, you do not have an Azure subscription that can be used for BYOK.

Not: BYOK önkoşullarının yanı sıra, yazılım anahtarı ' nı donanım anahtarına kullanarak Azure Information Protection AD RMS geçiriyorsanız, HSM 'niz için Thales üretici yazılımını kullanıyorsanız en düşük 11,62 sürümüne sahip olmanız gerekir.Note: In addition to the BYOK prerequisites, if you are migrating from AD RMS to Azure Information Protection by using software key to hardware key, you must have a minimum version of 11.62 if you are using Thales firmware for your HSM.
Şirket içinde oluşturduğunuz HSM korumalı bir anahtar kullanmak için:To use an HSM-protected key that you create on-premises:

-Key Vault BYOK için listelenen tüm Önkoşullar.- All the prerequisites listed for Key Vault BYOK.
Azure Anahtar Kasası belgelerinden BYOK önkoşulları konusuna bakın.See Prerequisites for BYOK from the Azure Key Vault documentation.

Not: BYOK önkoşullarının yanı sıra, yazılım anahtarı ' nı donanım anahtarına kullanarak Azure Information Protection AD RMS geçiriyorsanız, HSM 'niz için Thales üretici yazılımını kullanıyorsanız en düşük 11,62 sürümüne sahip olmanız gerekir.Note: In addition to the BYOK prerequisites, if you are migrating from AD RMS to Azure Information Protection by using software key to hardware key, you must have a minimum version of 11.62 if you are using Thales firmware for your HSM.
Kiracı anahtarınızı içeren Anahtar Kasası Azure Key Vault için sanal ağ hizmet uç noktalarını kullanıyorsa:If the key vault to contain your tenant key uses Virtual Network Service Endpoints for Azure Key Vault:

-Güvenilen Microsoft hizmetlerinin bu güvenlik duvarını atlamasına izin verin.- Allow trusted Microsoft services to bypass this firewall.
Daha fazla bilgi için bkz. sanal ağ hizmeti uç noktaları Azure Key Vault.For more information, see Virtual Network Service Endpoints for Azure Key Vault.
Azure Information Protection için Aıpservice PowerShell modülü.The AIPService PowerShell module for Azure Information Protection. Yükleme yönergeleri için bkz. Aıpservice PowerShell modülünü yükleme.For installation instructions, see Installing the AIPService PowerShell module.

NCipher nShield donanım güvenlik modülü (HSM) ve Azure Key Vault ile nasıl kullanıldıkları hakkında daha fazla bilgi için bkz. nCipher Web sitesi.For more information about nCipher nShield hardware security module (HSM) and how they are used with Azure Key Vault, see the nCipher website.

Anahtar Kasası konumunuzu seçmeChoosing your key vault location

Azure Information için kiracı anahtarınız olarak kullanılacak anahtarı içeren bir Anahtar Kasası oluşturduğunuzda, bir konum belirtmeniz gerekir.When you create a key vault to contain the key to be used as your tenant key for Azure Information, you must specify a location. Bu konum bir Azure bölgesi veya Azure örneğidir.This location is an Azure region, or Azure instance.

Önce istediğiniz şekilde uyumluluk yapın, ardından ağ gecikmesini en aza indirmek için şunu yapın:Make your choice first for compliance, and then to minimize network latency:

  • Uyumluluk nedenleriyle BYOK anahtar topolojisini seçtiyseniz, bu uyumluluk gereksinimleri Azure Information Protection kiracı anahtarınızı depolayan Azure bölgesinin veya Azure örneğinin tarihini etkileyebilir.If you have chosen the BYOK key topology for compliance reasons, those compliance requirements might mandate the Azure region or Azure instance that stores your Azure Information Protection tenant key.

  • Azure Information Protection kiracı anahtarınıza koruma zinciri için şifreleme çağrısı yapıldığından, bu çağrıların tabi olduğu ağ gecikmesini en aza indirmek istersiniz.Because all cryptographic calls for protection chain to your Azure Information Protection tenant key, you want to minimize the network latency that these calls incur. Bunu yapmak için, anahtar kasanızı Azure Information Protection kiracınızla aynı Azure bölgesinde veya örnekte oluşturun.To do that, create your key vault in the same Azure region or instance as your Azure Information Protection tenant.

Azure Information Protection kiracınızın konumunu belirlemek için Get-Aıpserviceconfiguration PowerShell cmdlet 'ini kullanın ve URL 'lerden bölgeyi yapın.To identify the location of your Azure Information Protection tenant, use the Get-AipServiceConfiguration PowerShell cmdlet and identify the region from the URLs. Örneğin:For example:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

Bölge, RMS.na.aadrm.comadresinden tanımlanabilir ve bu örnek için Kuzey Amerika.The region is identifiable from rms.na.aadrm.com, and for this example, it is in North America.

Ağ gecikmesini en aza indirmek için hangi Azure bölgesinin veya örneğinin önerildiğini belirlemek için aşağıdaki tabloyu kullanın.Use the following table to identify which Azure region or instance is recommended to minimize network latency.

Azure bölgesi veya örneğiAzure region or instance Anahtar kasanız için önerilen konumRecommended location for your key vault
RMS.na. aadrm.comrms.na.aadrm.com Orta Kuzey ABD veya Doğu ABDNorth Central US or East US
RMS.AB. aadrm.comrms.eu.aadrm.com Kuzey Avrupa veya Batı AvrupaNorth Europe or West Europe
RMS.AP. aadrm.comrms.ap.aadrm.com Doğu Asya veya Güneydoğu AsyaEast Asia or Southeast Asia
rms.sa.aadrm.comrms.sa.aadrm.com Batı ABD veya Doğu ABDWest US or East US
RMS.govus. aadrm.comrms.govus.aadrm.com Orta ABD veya Doğu ABD 2Central US or East US 2
RMS.aadrm.usrms.aadrm.us US gov Virginia veya US gov ArizonaUS Gov Virginia or US Gov Arizona
RMS.aadrm.cnrms.aadrm.cn Çin Doğu 2 veya Çin Kuzey 2China East 2 or China North 2

BYOK yönergeleriInstructions for BYOK

Bir Anahtar Kasası oluşturmak için Azure Key Vault belgelerini ve Azure Information Protection için kullanmak istediğiniz anahtarı kullanın.Use the Azure Key Vault documentation to create a key vault and the key that you want to use for Azure Information Protection. Örneğin, bkz. Azure Key Vault kullanmaya başlama.For example, see Get started with Azure Key Vault.

Anahtar uzunluğunun 2048 bit (önerilir) veya 1024 bit olduğundan emin olun.Make sure that the key length is 2048 bits (recommended) or 1024 bits. Diğer anahtar uzunlukları Azure Information Protection tarafından desteklenmez.Other key lengths are not supported by Azure Information Protection.

1024 bitlik bir anahtarı etkin kiracı anahtarınız olarak kullanmayın çünkü yetersiz koruma düzeyi sunacak şekilde değerlendirilir.Don't use a 1024-bit key as your active tenant key because it is considered to offer an inadequate level of protection. Microsoft, 1024 bitlik RSA anahtarları gibi düşük anahtar uzunluklarının kullanımını ve SHA-1 gibi yetersiz düzeyde koruma sunan protokollerin ilişkili kullanımını onaylamaz.Microsoft doesn’t endorse the use of lower key lengths such as 1024-bit RSA keys and the associated use of protocols that offer inadequate levels of protection, such as SHA-1. Daha yüksek bir anahtar uzunluğuna geçmeyi öneririz.We recommend moving to a higher key length.

HSM korumalı bir anahtar oluşturmak ve bunu bir HSM korumalı anahtar olarak anahtar kasanıza aktarmak için, Azure Key Vault IÇIN HSM korumalı anahtarlar oluşturma ve aktarmakonusundaki yordamları izleyin.To create an HSM-protected key on-premises and transfer it to your key vault as an HSM-protected key, follow the procedures in How to generate and transfer HSM-protected keys for Azure Key Vault.

Anahtarı kullanmak Azure Information Protection için, anahtar için tüm Key Vault işlemlerine izin verilmelidir.For Azure Information Protection to use the key, all Key Vault operations must be permitted for the key. Bu, varsayılan yapılandırmadır ve işlemler şifreleme, şifre çözme, wrapKey, unwrapKey, imzala ve Doğrula ' dır.This is the default configuration and the operations are encrypt, decrypt, wrapKey, unwrapKey, sign, and verify. Aşağıdaki PowerShell komutunu kullanarak bir anahtarın izin verilen işlemlerini kontrol edebilirsiniz: (Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps.You can check the permitted operations of a key by using the following PowerShell command: (Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps. Gerekirse, Update-AzKeyVaultKey ve keyops parametresini kullanarak izin verilen işlemleri ekleyin.If necessary, add permitted operations by using Update-AzKeyVaultKey and the KeyOps parameter.

Key Vault depolanan bir anahtarın anahtar KIMLIĞI vardır.A key that is stored in Key Vault has a key ID. Bu anahtar KIMLIĞI, anahtar kasasının adını, anahtar kapsayıcısını, anahtarın adını ve anahtar sürümünü içeren bir URL 'dir.This key ID is a URL that contains the name of the key vault, the keys container, the name of the key, and the key version. Örneğin: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 .For example: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Anahtar Kasası URL 'sini belirterek Azure Information Protection bu anahtarı kullanacak şekilde yapılandırmanız gerekir.You must configure Azure Information Protection to use this key, by specifying its key vault URL.

Azure Information Protection anahtarı kullanabilmeniz için, Azure Rights Management hizmetinin kuruluşunuzun anahtar kasasında anahtarı kullanma yetkisine sahip olması gerekir.Before Azure Information Protection can use the key, the Azure Rights Management service must be authorized to use the key in your organization's key vault. Bunu yapmak için Azure Key Vault Yöneticisi Azure portal veya Azure PowerShell kullanabilir:To do this, the Azure Key Vault administrator can use the Azure portal, or Azure PowerShell:

Azure portal kullanarak yapılandırma:Configuration by using the Azure portal:

  1. Anahtar > <Kasası adıerişim>ilkelerinize gidin yeni Ekle ' ye gidin. > > Navigate to Key vaults > <your key vault name> > Access policies > Add new.

  2. Erişim Ilkesi Ekle dikey penceresinde, şablondan yapılandırma (isteğe bağlı) listesinden bYok Azure Information Protection seçin ve Tamam' a tıklayın.From the Add access policy blade, select Azure Information Protection BYOK from the Configure from template (optional) list box, and click OK.

    Seçili şablon aşağıdaki yapılandırmaya sahiptir:The selected template has the following configuration:

    • Microsoft Rights Management Hizmetleri , Asıl seçimiçin otomatik olarak atanır.Microsoft Rights Management Services is automatically assigned for Select principal.
    • Anahtar izinleri için Al, şifre çözve imzala otomatik olarak seçilir.Get, Decrypt, and Sign is automatically selected for the key permissions.

PowerShell kullanarak yapılandırma:Configuration by using PowerShell:

  • Key Vault PowerShell cmdlet 'ini çalıştırın, set-AzKeyVaultAccessPolicyve 00000012-0000-0000-C000-000000000000guıd 'sini kullanarak Azure Rights Management hizmet sorumlusu için izin verin.Run the Key Vault PowerShell cmdlet, Set-AzKeyVaultAccessPolicy, and grant permissions to the Azure Rights Management service principal, by using the GUID 00000012-0000-0000-c000-000000000000. Örneğin:For example:

      Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
    

Artık Azure Information Protection’ı bu anahtarı kurumunuzun Azure Information Protection kiracı anahtarı olarak kullanacak şekilde yapılandırmaya hazırsınız.You're now ready to configure Azure Information Protection to use this key as your organization's Azure Information Protection tenant key. Azure RMS cmdlet'lerini kullanarak, ilk önce Azure Rights Management hizmetine bağlanın ve oturum açın:Using Azure RMS cmdlets, first connect to the Azure Rights Management service and sign in:

Connect-AipService

Sonra anahtar URL 'sini belirterek Use-AipServiceKeyVaultKey cmdlet 'iniçalıştırın.Then run the Use-AipServiceKeyVaultKey cmdlet, specifying the key URL. Örneğin:For example:

Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333"

Önemli

Bu örnekte, "aaaabbbbcccc111122223333" kullanılacak anahtarın sürümüdür.In this example, "aaaabbbbcccc111122223333" is the version of the key to use. Sürüm belirtmezseniz, anahtarın geçerli sürümü uyarı verilmeden kullanılır ve komut çalışıyor gibi görünür.If you do not specify the version, the current version of the key is used without warning and the command appears to work. Ancak, Key Vault anahtarınız daha sonra güncelleştirilirse (yenilenmiş), Use-AipServiceKeyVaultKey komutunu yeniden çalıştırsanız bile Azure Rights Management hizmeti kiracınız için çalışmayı durdurur.However, if your key in Key Vault is later updated (renewed), the Azure Rights Management service will stop working for your tenant, even if you run the Use-AipServiceKeyVaultKey command again.

Bu komutu çalıştırırken anahtar sürümünün yanı sıra anahtar adını da belirttiğinizden emin olun.Make sure that you specify the key version, in addition to the key name when you run this command. Geçerli anahtarın sürüm numarasını almak için Azure Key Vault cmd, Get-AzKeyVaultKey' i kullanabilirsiniz.You can use the Azure Key Vault cmd, Get-AzKeyVaultKey, to get the version number of the current key. Örneğin, Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'For example: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

Anahtar URL 'sinin Azure Information Protection için doğru şekilde ayarlandığını onaylamanız gerekirse: Azure Key Vault, anahtar URL 'sini görmek için Get-AzKeyVaultKey komutunu çalıştırın.If you need to confirm that the key URL is set correctly for Azure Information Protection: In Azure Key Vault, run Get-AzKeyVaultKey to see the key URL.

Son olarak, Azure Rights Management hizmeti zaten etkinleştirildiyse, bu anahtarı Azure Rights Management hizmeti için etkin kiracı anahtarı olarak kullanmak Azure Information Protection söylemek için set-AipServiceKeyProperties ' i çalıştırın.Finally, if the Azure Rights Management service is already activated, run Set-AipServiceKeyProperties to tell Azure Information Protection to use this key as the active tenant key for the Azure Rights Management service. Bu adımı yapmazsanız Azure Information Protection, kiracınız için otomatik olarak oluşturulan varsayılan Microsoft tarafından yönetilen anahtarı kullanmaya devam eder.If you do not do this step, Azure Information Protection will continue to use the default Microsoft-managed key that was automatically created for your tenant.

Sonraki adımlarNext steps

İçin planlandığınıza ve gerekirse kiracı anahtarınızı oluşturup yapılandırdığınıza göre aşağıdakileri yapın:Now that you've planned for and if necessary, created and configured your tenant key, do the following:

  1. Kiracı anahtarınızı kullanmaya başlayın:Start to use your tenant key:

    • Koruma hizmeti zaten etkinleştirilmemişse, kuruluşunuzun Azure Information Protection kullanmaya başlayabilmesi için artık Rights Management hizmetini etkinleştirmeniz gerekir.If the protection service isn't already activated, you must now activate the Rights Management service so that your organization can start to use Azure Information Protection. Kullanıcılar kiracı anahtarınızı (Microsoft tarafından yönetilen veya Azure Key Vault tarafından yönetilen) kullanmaya hemen başlar.Users immediately start to use your tenant key (managed by Microsoft, or managed by you in Azure Key Vault).

      Etkinleştirme hakkında daha fazla bilgi için, bkz. Azure Information Protection koruma hizmetini etkinleştirme.For more information about activation, see Activating the protection service from Azure Information Protection.

    • Rights Management hizmeti zaten etkinleştirildiyse ve sonra kendi kiracı anahtarınızı yönetmeye karar verdiyseniz, kullanıcılar eski kiracı anahtarından yeni kiracı anahtarına giderek yavaş geçiş yapın.If the Rights Management service was already activated and then you decided to manage your own tenant key, users gradually transition from the old tenant key to the new tenant key. Bu aşamalı geçişin tamamlanması birkaç hafta sürebilir.This staggered transition can take a few weeks to complete. Eski kiracı anahtarıyla korunan belgeler ve dosyalar yetkili kullanıcıların erişimine açık olmaya devam eder.Documents and files that were protected with the old tenant key remains accessible to authorized users.

  2. Azure Rights Management hizmetinin gerçekleştirdiği her işlemi günlüğe kaydeden kullanım günlüğünü kullanmayı düşünün.Consider using usage logging, which logs every transaction that the Azure Rights Management service performs.

    Kendi kiracı anahtarınızı yönetmeye karar verdiyseniz günlük kaydı kendi kiracı anahtarınızı kullanmayla ilgili bilgiler içerir.If you decided to manage your own tenant key, logging includes information about using your tenant key. KeyVaultDecryptRequest ve KeyVaultSignRequest istek türlerinin kiracı anahtarının kullanılmakta olduğunu gösterdiği Excel günlük dosyasından alınan aşağıdaki kod parçacığına bakın.See the following snippet from a log file displayed in Excel where the KeyVaultDecryptRequest and KeyVaultSignRequest request types show that the tenant key is being used.

    Kiracı anahtarının kullanılmakta olduğu Excel günlük dosyası

    Kullanım günlüğü hakkında daha fazla bilgi için bkz. Azure Information Protection koruma kullanımını günlüğe kaydetme ve çözümleme.For more information about usage logging, see Logging and analyzing the protection usage from Azure Information Protection.

  3. Kiracı anahtarınızı yönetin.Manage your tenant key.

    Kiracı anahtarınız için yaşam döngüsü işlemleri hakkında daha fazla bilgi için bkz. Azure Information Protection kiracı anahtarınız Için işlemler.For more information about the life cycle operations for your tenant key, see Operations for your Azure Information Protection tenant key.