Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie die Informationen in diesem Artikel, wenn Sie beschlossen haben, Ihren Mandanten für die Verwendung Ihres eigenen Stammschlüssels für den Azure Rights Management-Dienst anstelle eines von Microsoft generierten Standardschlüssels zu konfigurieren. Diese Konfiguration wird häufig als Bring Your Own Key (BYOK) bezeichnet.
Weitere Informationen zu den Stammschlüsseloptionen finden Sie unter Schlüsseltypen für den Dienst.
BYOK und die Verwendungsprotokollierung funktionieren nahtlos mit Anwendungen, die in den von Microsoft Purview Information Protection verwendeten Azure Rights Management-Dienst integriert werden.
Zu den unterstützten Anwendungen gehören:
Clouddienste wie Microsoft SharePoint oder Microsoft 365
Lokale Dienste , die Exchange- und SharePoint-Anwendungen ausführen, die den Azure Rights Management-Dienst mithilfe des Rights Management-Connectors verwenden
Clientanwendungen wie Office 2024 und Office 2021.
Tipp
Wenden Sie bei Bedarf zusätzliche Sicherheit auf bestimmte Dokumente an, indem Sie einen zusätzlichen lokalen Schlüssel verwenden. Weitere Informationen finden Sie unter Double Key Encryption (DKE).For more information, see Double Key Encryption (DKE).
Azure Key Vault-Schlüsselspeicher
Kundengenerierte Schlüssel müssen im Azure-Key Vault für BYOK gespeichert werden.
Hinweis
Für die Verwendung von HSM-geschützten Schlüsseln im Azure-Key Vault ist eine Azure Key Vault Premium-Dienstebene erforderlich, für die eine zusätzliche monatliche Abonnementgebühr anfallen.
Freigeben von Schlüsseltresoren und Abonnements
Es wird empfohlen, einen dedizierten Schlüsseltresor für Ihren Azure Rights Management-Mandantenschlüssel zu verwenden. Dedizierte Schlüsseltresore tragen dazu bei, sicherzustellen, dass Durch Aufrufe anderer Dienste keine Dienstgrenzwerte überschritten werden. Das Überschreiten der Dienstgrenzwerte für den Schlüsseltresor, in dem Ihr Mandantenschlüssel gespeichert ist, kann zu einer Drosselung der Antwortzeit für den Azure Rights Management-Dienst führen.
Da verschiedene Dienste unterschiedliche Anforderungen an die Schlüsselverwaltung haben, empfiehlt Microsoft aus den folgenden Gründen auch die Verwendung eines dedizierten Azure-Abonnements für Ihren Schlüsseltresor:
Schutz vor Fehlkonfigurationen
Sicherer, wenn verschiedene Dienste über unterschiedliche Administratoren verfügen
Wenn Sie ein Azure-Abonnement für andere Dienste freigeben möchten, die Azure Key Vault verwenden, stellen Sie sicher, dass das Abonnement eine gemeinsame Gruppe von Administratoren verwendet. Vergewissern Sie sich, dass alle Administratoren, die das Abonnement verwenden, über umfassende Kenntnisse über jeden Schlüssel verfügen, den sie verwalten können. Administratoren mit diesem Verständnisniveau sind weniger wahrscheinlich, dass Sie Ihre Schlüssel falsch konfigurieren.
Beispiel: Verwenden Sie ein freigegebenes Azure-Abonnement, wenn die Administratoren für Ihren Azure Rights Management-Mandantenschlüssel dieselben Personen sind, die Ihre Schlüssel für Microsoft Purview Customer Key und Dynamics 365 Online verwalten. Wenn die wichtigsten Administratoren für diese Dienste unterschiedlich sind, empfehlen wir die Verwendung dedizierter Abonnements.
Vorteile der Verwendung von Azure Key Vault
Azure Key Vault bietet eine zentralisierte und konsistente Schlüsselverwaltungslösung für viele cloudbasierte und lokale Dienste, die Verschlüsselung verwenden.
Zusätzlich zur Verwaltung von Schlüsseln bietet Azure Key Vault Ihren Sicherheitsadministratoren die gleiche Verwaltungsoberfläche zum Speichern, Zugreifen auf und Verwalten von Zertifikaten und Geheimnissen (z. B. Kennwörter) für andere Dienste und Anwendungen, die Verschlüsselung verwenden.
Das Speichern Ihres Mandantenschlüssels im Azure-Key Vault bietet die folgenden Vorteile:
| Vorteil | Beschreibung |
|---|---|
| Integrierte Schnittstellen | Azure Key Vault unterstützt eine Reihe integrierter Schnittstellen für die Schlüsselverwaltung, einschließlich PowerShell, CLI, REST-APIs und die Azure-Portal. Andere Dienste und Tools wurden in Key Vault integriert, um optimierte Funktionen für bestimmte Aufgaben wie die Überwachung zu ermöglichen. Analysieren Sie beispielsweise Ihre Schlüsselverwendungsprotokolle mit dem Azure Monitor-Agent, legen Sie Warnungen fest, wenn die angegebenen Kriterien erfüllt sind usw. |
| Rollentrennung | Azure Key Vault bietet rollentrennung als anerkannte bewährte Sicherheitsmethode. Die Rollentrennung stellt sicher, dass sich Administratoren für den Azure Rights Management-Dienst auf ihre höchsten Prioritäten konzentrieren können, einschließlich der Verwaltung der Datenklassifizierung und des Schutzes von Daten sowie Verschlüsselungsschlüsseln und Richtlinien für bestimmte Sicherheits- oder Complianceanforderungen. |
| Speicherort des Hauptschlüssels | Azure Key Vault ist an einer Vielzahl von Standorten verfügbar und unterstützt Organisationen mit Einschränkungen, in denen master Schlüssel leben können. Weitere Informationen finden Sie auf der Azure-Website auf der Seite Verfügbare Produkte nach Region . |
| Getrennte Sicherheitsdomänen | Azure Key Vault verwendet separate Sicherheitsdomänen für seine Rechenzentren in Regionen wie Nordamerika, EMEA (Europa, Naher Osten und Afrika) und Asien. Azure Key Vault verwendet auch verschiedene Instanzen von Azure, z. B. Microsoft Azure Deutschland und Azure Government. |
| Einheitliche Benutzeroberfläche | Azure Key Vault ermöglicht es Sicherheitsadministratoren auch, Zertifikate und Geheimnisse wie Kennwörter für andere Dienste, die Verschlüsselung verwenden, zu speichern, darauf zuzugreifen und diese zu verwalten. Die Verwendung von Azure Key Vault für Ihre Mandantenschlüssel bietet Administratoren, die alle diese Elemente verwalten, eine nahtlose Benutzeroberfläche. |
Die neuesten Updates und informationen dazu, wie andere Dienste Azure Key Vault verwenden, finden Sie im Blog zum Azure Key Vault-Team.
Verwendungsprotokollierung für BYOK
Nutzungsprotokolle werden von jeder Anwendung generiert, die Anforderungen an den Azure Rights Management-Dienst sendet.
Obwohl die Verwendungsprotokollierung optional ist, empfehlen wir die Verwendung der Nutzungsprotokolle nahezu in Echtzeit für den Azure Rights Management-Dienst, um genau zu sehen, wie und wann Ihr Azure Rights Management-Mandantenschlüssel verwendet wird.
Weitere Informationen zur Protokollierung der Schlüsselverwendung für BYOK finden Sie unter Verwendungsprotokollierung für den Azure Rights Management-Dienst.
Tipp
Als zusätzliche Sicherheit kann auf diese Nutzungsprotokollierung mit der Azure Key Vault-Protokollierung verwiesen werden. Key Vault Protokolle bieten eine zuverlässige Methode, um unabhängig zu überwachen, dass Ihr Schlüssel nur vom Azure Rights Management-Dienst verwendet wird.
Widerrufen Sie bei Bedarf sofort den Zugriff auf Ihren Schlüssel, indem Sie Berechtigungen für den Schlüsseltresor entfernen.
Optionen zum Erstellen und Speichern Ihres Schlüssels
Hinweis
Allgemeine Informationen zum Angebot für verwaltete HSM und zum Einrichten eines Tresors und eines Schlüssels finden Sie in der Dokumentation zu Azure Key Vault.
Dieser Abschnitt enthält zusätzliche Anweisungen zum Erteilen der Schlüsselautorisierung für den Azure Rights Management-Dienst.
BYOK unterstützt Schlüssel, die entweder in Azure Key Vault oder lokal erstellt werden.
Wenn Sie Ihren Schlüssel lokal erstellen, müssen Sie ihn dann in Ihre Key Vault übertragen oder importieren und den Azure Rights Management-Dienst für die Verwendung des Schlüssels konfigurieren. Führen Sie alle zusätzlichen Schlüsselverwaltungen in Azure Key Vault aus.
Optionen zum Erstellen und Speichern ihres eigenen Schlüssels:
Erstellt in Azure Key Vault. Erstellen und speichern Sie Ihren Schlüssel in Azure Key Vault als HSM-geschützter Schlüssel oder softwaregeschützter Schlüssel.
Wichtig
Schlüssel, die direkt in Azure Key Vault generiert werden, können nicht zur Verwendung außerhalb von Azure Key Vault exportiert werden.
Wenn Ihre organization erfordert, dass Schlüssel exportierbar und in Ihrem Besitz sind, müssen Sie den Schlüssel lokal erstellen und in Azure Key Vault importieren und Ihre eigenen Sicherungen des Schlüssels lokal verwalten. Planung und Tests für die Notfallwiederherstellung sollten Maßnahmen zum regelmäßigen Testen der Wiederherstellung dieser Schlüssel umfassen. Schlüssel können aus Azure Key Vault gesichert, aber nur in das ursprüngliche Abonnement importiert werden.
Lokal erstellt. Erstellen Sie Ihren Schlüssel lokal, und übertragen Sie ihn mithilfe einer der folgenden Optionen an Azure Key Vault:
HSM-geschützter Schlüssel, der als HSM-geschützter Schlüssel übertragen wird. Die am häufigsten gewählte Methode.
Obwohl diese Methode den größten Verwaltungsaufwand verursacht, kann es erforderlich sein, dass Ihre organization bestimmten Vorschriften folgen muss. Die von Azure Key Vault verwendeten HSMs verfügen über eine FIPS 140-Überprüfung.
Softwaregeschützter Schlüssel, der konvertiert und als HSM-geschützter Schlüssel in Azure Key Vault übertragen wird. Diese Methode wird nur bei der Migration von Active Directory Rights Management Services (AD RMS) unterstützt.
Lokal als softwaregeschützter Schlüssel erstellt und als softwaregeschützter Schlüssel an Azure Key Vault übertragen. Für diese Methode ist ein erforderlich. PFX-Zertifikatdatei.
Gehen Sie beispielsweise wie folgt vor, um einen lokal erstellten Schlüssel zu verwenden:
Generieren Sie Ihren Mandantenschlüssel in Ihrer lokalen Umgebung gemäß den IT- und Sicherheitsrichtlinien Ihrer organization. Dieser Schlüssel ist die master Kopie. Es bleibt lokal, und Sie sind für die Sicherung verantwortlich.
Erstellen Sie eine Kopie des master Schlüssels, und übertragen Sie ihn sicher von Ihrem HSM in Azure Key Vault. Während dieses Vorgangs verlässt die master Kopie des Schlüssels niemals die Hardwareschutzgrenze.
Nach der Übertragung wird die Kopie des Schlüssels durch Azure Key Vault geschützt.
Exportieren Ihrer vertrauenswürdigen Veröffentlichungsdomäne
Wenn Sie den Azure Rights Management-Dienst nicht mehr verwenden möchten, benötigen Sie eine vertrauenswürdige Veröffentlichungsdomäne (Trusted Publishing Domain, TPD), um Inhalte zu entschlüsseln, die vom Azure Rights Management-Dienst verschlüsselt wurden.
Das Exportieren Ihrer TPD wird jedoch nicht unterstützt, wenn Sie BYOK für Ihren Azure Rights Management-Mandantenschlüssel verwenden.
Um sich auf dieses Szenario vorzubereiten, stellen Sie sicher, dass Sie im Voraus eine geeignete TPD erstellen. Weitere Informationen finden Sie unter Vorbereiten eines Azure Information Protection Cloud Exit-Plans.
Implementieren von BYOK für Ihren Azure Rights Management-Mandantenschlüssel
Führen Sie die folgenden Schritte aus, um BYOK zu implementieren:
- Überprüfen der BYOK-Voraussetzungen
- Auswählen eines Key Vault Standorts
- Erstellen und Konfigurieren Ihres Schlüssels
Voraussetzungen für BYOK
Die BYOK-Voraussetzungen variieren je nach Systemkonfiguration. Vergewissern Sie sich bei Bedarf, dass Ihr System die folgenden Voraussetzungen erfüllt:
| Anforderung | Beschreibung |
|---|---|
| Azure-Abonnement | Für alle Konfigurationen erforderlich. Weitere Informationen finden Sie unter Überprüfen, ob Sie über ein BYOK-kompatibles Azure-Abonnement verfügen. |
| PowerShell-Modul "AIPService" für den Azure Rights Management-Dienst | Für alle Konfigurationen erforderlich. Weitere Informationen finden Sie unter Installieren des PowerShell-Moduls AIPService für den Azure Right Management-Dienst. |
| Azure Key Vault Voraussetzungen für BYOK | Wenn Sie einen hsm-geschützten Schlüssel verwenden, der lokal erstellt wurde, stellen Sie sicher, dass Sie auch die in der Azure Key Vault-Dokumentation aufgeführten Voraussetzungen für BYOK erfüllen. |
| Thales-Firmwareversion 11.62 | Sie benötigen die Thales-Firmwareversion 11.62, wenn Sie von AD RMS zum Azure Rights Management-Dienst migrieren, indem Sie Softwareschlüssel zu Hardwareschlüssel verwenden und Thales-Firmware für Ihr HSM verwenden. |
| Firewallumgehung für vertrauenswürdige Microsoft-Dienste | Wenn der Schlüsseltresor, der Ihren Mandantenschlüssel enthält, Virtual Network Dienstendpunkte für Azure Key Vault verwendet, müssen Sie vertrauenswürdigen Microsoft-Diensten erlauben, diese Firewall zu umgehen. Weitere Informationen finden Sie unter Virtual Network-Dienstendpunkte für Azure Key Vault. |
Überprüfen, ob Sie über ein BYOK-kompatibles Azure-Abonnement verfügen
Ihr Azure Rights Management-Mandant muss über ein Azure-Abonnement verfügen. Wenn Sie noch kein Konto besitzen, können Sie sich für ein kostenloses Konto registrieren. Um jedoch einen HSM-geschützten Schlüssel verwenden zu können, benötigen Sie die Dienstebene Azure Key Vault Premium.
Das kostenlose Azure-Abonnement, das Zugriff auf Microsoft Entra-Konfiguration bietet, reicht für die Verwendung von Azure Key Vault nicht aus.
Um zu überprüfen, ob Sie über ein Azure-Abonnement verfügen, das mit BYOK kompatibel ist, führen Sie die folgenden Schritte aus, um Azure PowerShell Cmdlets zu überprüfen:
Starten Sie eine Azure PowerShell-Sitzung als Administrator.
Führen Sie
Connect-AzAccountaus, und melden Sie sich mit einer Rolle an, die auf Ressourcen in Azure Key Vault zugreifen kann.Führen Sie die folgenden Befehle aus, um ein Zugriffstoken für Azure Key Vault abzurufen:
$token = (Get-AzAccessToken -ResourceUrl https://vault.azure.net).Token $token # This displays the tokenWichtig
Dieses Token sollte wie ein Kennwort behandelt werden. Sie gewährt temporären Zugriff auf Azure Key Vault und sollte nicht protokolliert oder freigegeben werden.
Kopieren Sie das angezeigte Token in die Zwischenablage. Wechseln Sie dann in einem Browser zu https://microsoft.com/devicelogin , und geben Sie das kopierte Token ein.
Geben Sie in Ihrer PowerShell-Sitzung ein
Get-AzSubscription, und vergewissern Sie sich, dass die folgenden Werte angezeigt werden:- Name und ID Ihres Abonnements
- Ihre Mandanten-ID für den Azure Rights Management-Dienst
- Bestätigung, dass der Status aktiviert ist
Wenn keine Werte angezeigt werden und Sie zur Eingabeaufforderung zurückkehren, verfügen Sie nicht über ein Azure-Abonnement, das für BYOK verwendet werden kann.
Auswählen des Schlüsseltresorspeicherorts
Wenn Sie einen Schlüsseltresor erstellen, der den Schlüssel enthält, der als Mandantenschlüssel für den Azure Rights Management-Dienst verwendet werden soll, müssen Sie einen Speicherort angeben. Dieser Standort ist eine Azure-Region oder Azure instance.
Treffen Sie ihre Wahl zuerst für compliance und dann, um die Netzwerklatenz zu minimieren:
Wenn Sie die BYOK-Schlüsselmethode aus Konformitätsgründen ausgewählt haben, können diese Complianceanforderungen auch festlegen, welche Azure-Region oder instance zum Speichern Ihres Azure Rights Management-Mandantenschlüssels verwendet werden kann.
Alle kryptografischen Aufrufe für die Schutzkette an Ihren Azure Rights Management-Schlüssel. Daher können Sie die Netzwerklatenz minimieren, die diese Aufrufe erfordern, indem Sie Ihren Schlüsseltresor in derselben Azure-Region oder instance wie Ihr Azure Rights Management-Mandant erstellen.
Um den Standort Ihres Mandanten zu identifizieren, der den Azure Rights Management-Dienst verwendet, verwenden Sie das PowerShell-Cmdlet Get-AipServiceConfiguration, und identifizieren Sie die Region anhand der URLs. Zum Beispiel:
LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing
Die Region ist aus rms.na.aadrm.com identifizierbar und befindet sich in diesem Beispiel in Nordamerika.
In der folgenden Tabelle sind die empfohlenen Azure-Regionen und -Instanzen zur Minimierung der Netzwerklatenz aufgeführt:
| Azure-Region oder instance | Empfohlener Speicherort für Ihren Schlüsseltresor |
|---|---|
| rms.na.aadrm.com | USA, Norden-Mitte oder USA, Osten |
| rms.eu.aadrm.com | Europa, Norden oder Europa, Westen |
| rms.ap.aadrm.com | Asien, Osten oder Asien, Südosten |
| rms.sa.aadrm.com | USA, Westen oder USA, Osten |
| rms.govus.aadrm.com | USA, Mitte oder USA, Osten 2 |
| rms.aadrm.us | US Gov Virginia oder US Gov Arizona |
| rms.aadrm.cn | China, Osten 2 oder China, Norden 2 |
Erstellen und Konfigurieren Ihres Schlüssels
Wichtig
Spezifische Informationen für verwaltete HSMs finden Sie unter Aktivieren der Schlüsselautorisierung für verwaltete HSM-Schlüssel über die Azure CLI.
Erstellen Sie eine Azure Key Vault und den Schlüssel, den Sie für den Azure Rights Management-Dienst verwenden möchten. Weitere Informationen finden Sie in der Dokumentation zu Azure Key Vault.
Wichtig
Aktivieren Sie nach dem Erstellen der Azure-Key Vault sofort sowohl vorläufiges Löschen als auch Löschschutz. Dadurch wird das versehentliche Löschen des Tresors und der Schlüssel verhindert. Der Verlust der Schlüssel ohne ausreichende Sicherungen führt zu einem vollständigen Datenverlust von verschlüsselten Dateien und E-Mails. Weitere Informationen finden Sie unter Azure Key Vault: Übersicht über vorläufiges Löschen.
Beachten Sie Folgendes zum Konfigurieren Ihrer Azure Key Vault und des Schlüssels für BYOK:
- Anforderungen an die Schlüssellänge
- Erstellen eines lokalen HSM-geschützten Schlüssels und Übertragen an Ihren Schlüsseltresor
- Konfigurieren des Azure Rights Management-Diensts für Ihre Schlüssel-ID
- Autorisieren des Azure Rights Management-Diensts für die Verwendung Ihres Schlüssels
Anforderungen an die Schlüssellänge
Stellen Sie beim Erstellen des Schlüssels sicher, dass die Schlüssellänge entweder 2048 Bit (empfohlen) oder 1024 Bit beträgt. Andere Schlüssellängen werden vom Azure Rights Management-Dienst nicht unterstützt.
Hinweis
1024-Bit-Schlüssel bieten kein angemessenes Schutzniveau für aktive Mandantenschlüssel.
Microsoft unterstützt nicht die Verwendung von niedrigeren Schlüssellängen, z. B. 1024-Bit-RSA-Schlüsseln, und die damit verbundene Verwendung von Protokollen, die unzureichenden Schutz bieten, z. B. SHA-1.
Erstellen eines lokalen HSM-geschützten Schlüssels und Übertragen an Ihren Schlüsseltresor
Um einen hsm-geschützten Schlüssel lokal zu erstellen und als HSM-geschützter Schlüssel in Ihren Schlüsseltresor zu übertragen, befolgen Sie die Verfahren in der Azure Key Vault-Dokumentation: Generieren und Übertragen von HSM-geschützten Schlüsseln für Azure Key Vault.
Damit der Azure Rights Management-Dienst den übertragenen Schlüssel verwenden kann, müssen alle Key Vault Vorgänge für den Schlüssel zulässig sein, einschließlich:
- verschlüsseln
- entschlüsseln
- wrapKey
- unwrapKey
- Zeichen
- verify
Standardmäßig sind alle Key Vault Vorgänge zulässig.
Führen Sie den folgenden PowerShell-Befehl aus, um die zulässigen Vorgänge für einen bestimmten Schlüssel zu überprüfen:
(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps
Fügen Sie bei Bedarf zulässige Vorgänge mithilfe von Update-AzKeyVaultKey und dem KeyOps-Parameter hinzu.
Konfigurieren des Azure Rights Management-Diensts für Ihre Schlüssel-ID
Im Azure-Key Vault gespeicherte Schlüssel verfügen jeweils über eine Schlüssel-ID.
Die Schlüssel-ID ist eine URL, die den Namen des Schlüsseltresors, den Schlüsselcontainer, den Namen des Schlüssels und die Schlüsselversion enthält. Beispiel: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333
Konfigurieren Sie den Azure Rights Management-Dienst für die Verwendung Ihres Schlüssels, indem Sie dessen Schlüsseltresor-URL angeben.
Autorisieren des Azure Rights Management-Diensts für die Verwendung Ihres Schlüssels
Der Azure Rights Management-Dienst muss für die Verwendung Ihres Schlüssels autorisiert sein. Azure Key Vault-Administratoren können diese Autorisierung mithilfe der Azure-Portal oder Azure PowerShell aktivieren.
Aktivieren der Schlüsselautorisierung mithilfe der Azure-Portal
Melden Sie sich beim Azure-Portal an, und wechseln Sie zu SchlüsseltresoreIhr Schlüsseltresor< name >Zugriffsrichtlinien>Neu hinzufügen.>>
Wählen Sie im Bereich Zugriffsrichtlinie hinzufügen im Listenfeld Aus Vorlage konfigurieren (optional)die Option Azure Information Protection BYOK aus, und klicken Sie dann auf OK.
Die ausgewählte Vorlage weist die folgende Konfiguration auf:
- Der Wert Prinzipal auswählen ist auf Microsoft Rights Management Services festgelegt.
- Zu den ausgewählten Schlüsselberechtigungen gehören Get, Decrypt und Sign.
Aktivieren der Schlüsselautorisierung mithilfe von PowerShell
Führen Sie das Key Vault PowerShell-Cmdlet Set-AzKeyVaultAccessPolicy aus, und erteilen Sie dem Azure Rights Management-Dienstprinzipal Berechtigungen mithilfe der GUID 00000012-0000-0000-c000-00000000000000000000000000000.
Zum Beispiel:
Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Aktivieren der Schlüsselautorisierung für verwaltete HSM-Schlüssel über die Azure CLI
Führen Sie den folgenden Befehl aus, um dem Azure Rights Management-Dienstprinzipal Benutzerberechtigungen als Managed HSM Crypto-Benutzer zu erteilen:
az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey
Dabei gilt:
- ContosoMHSM ist ein Beispiel-HSM-Name. Ersetzen Sie beim Ausführen dieses Befehls diesen Wert durch Ihren eigenen HSM-Namen.
Die Benutzerrolle Verwalteter HSM-Kryptografiebenutzer ermöglicht es dem Benutzer, den Schlüssel zu entschlüsseln, zu signieren und Berechtigungen für den Schlüssel abzurufen, die alle für die Verwaltete HSM-Funktionalität erforderlich sind.
Konfigurieren des Azure Rights Management-Diensts für die Verwendung Ihres Schlüssels
Nachdem Sie alle vorherigen Schritte abgeschlossen haben, können Sie den Azure Rights Management-Dienst so konfigurieren, dass dieser Schlüssel als Mandantenschlüssel Ihres organization verwendet wird.
Führen Sie die folgenden Befehle mithilfe von PowerShell aus dem AIPService-Modul aus:
Stellen Sie eine Verbindung mit dem Azure Rights Management-Dienst her, und melden Sie sich an:
Connect-AipServiceFühren Sie das Cmdlet Use-AipServiceKeyVaultKey aus, und geben Sie dabei die Schlüssel-URL an. Zum Beispiel:
Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"Wichtig
In diesem Beispiel ist die Version des Schlüssels,
<key-version>den Sie verwenden möchten. Wenn Sie die Version nicht angeben, wird standardmäßig die aktuelle Version des Schlüssels verwendet, und der Befehl scheint zu funktionieren. Wenn Ihr Schlüssel jedoch später aktualisiert oder erneuert wird, funktioniert der Azure Rights Management-Dienst für Ihren Mandanten nicht mehr, auch wenn Sie den Befehl Use-AipServiceKeyVaultKey erneut ausführen.Verwenden Sie nach Bedarf den Befehl Get-AzKeyVaultKey , um die Versionsnummer des aktuellen Schlüssels abzurufen.
Beispiel:
Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'Um zu bestätigen, dass die Schlüssel-URL für den Azure Rights Management-Dienst ordnungsgemäß festgelegt ist, führen Sie den Befehl Get-AzKeyVaultKey im Azure-Key Vault aus, um die Schlüssel-URL anzuzeigen.
Wenn der Azure Rights Management-Dienst bereits aktiviert ist, führen Sie Set-AipServiceKeyProperties aus, um den Dienst anweisen, diesen Schlüssel als aktiven Mandantenschlüssel zu verwenden.
Der Azure Rights Management-Dienst ist jetzt so konfiguriert, dass Er Ihren Schlüssel anstelle des von Microsoft erstellten Standardschlüssels verwendet, der automatisch für Ihren Mandanten erstellt wurde.
Nächste Schritte
Wenn Sie den Rights Management-Dienst noch nicht aktiviert haben, führen Sie diesen Schritt jetzt aus.
Wenn der Dienst vor der Konfiguration von BYOK aktiviert wurde, werden die Benutzer im Laufe einiger Wochen schrittweise vom alten Schlüssel auf den neuen Schlüssel umgestellt. Während dieses Übergangs bleiben Dokumente und Dateien, die mit dem alten Mandantenschlüssel verschlüsselt wurden, für autorisierte Benutzer zugänglich.
Verwenden Sie die Azure Rights Management-Nutzungsprotokollierung , um jede Transaktion anzuzeigen, die der Azure Rights Management-Dienst und Ihr Schlüssel ausführt. Beispielsweise zeigen die Anforderungstypen KeyVaultDecryptRequest und KeyVaultSignRequest aus einer in Excel angezeigten Protokolldatei an, dass der Mandantenschlüssel verwendet wird.
