Details zu „Bring Your Own Key“ (BYOK) für Azure Information Protection

  • Artikel

Hinweis

Suchen Sie nach Microsoft Purview Information Protection, ehemals Microsoft Information Protection (MIP)?

Das Azure Information Protection-Add-In wird eingestellt und durch Bezeichnungen ersetzt, die in Ihre Microsoft 365-Apps und -Dienste integriert sind. Erfahren Sie mehr über den Supportstatus anderer Azure Information Protection-Komponenten.

Der neue Microsoft Information Protection-Client (ohne das Add-In) befindet sich derzeit in der Vorschau und ist für die allgemeine Verfügbarkeit geplant.

Organisationen mit einem Azure-Information Protection-Abonnement können wählen, ihren Mandanten mit einem eigenen Schlüssel zu konfigurieren, anstatt einen Standardschlüssel zu konfigurieren, der von Microsoft generiert wird. Diese Konfiguration wird oft als Bring Your Own Key (BYOK) bezeichnet.

BYOK und Nutzungsprotokollierung funktionieren nahtlos mit Anwendungen, die in den Azure Rights Management Service integriert sind, der von Azure Information Protection verwendet wird.

Unterstützte Anwendungen umfassen:

  • Cloud-Dienste, wie Microsoft SharePoint oder Microsoft 365

  • Lokale Dienste, die Exchange- und SharePoint-Anwendungen ausführen, die den Azure Rights Management Service über den RMS-Connector nutzen

  • Clientanwendungen, wie Office 2019, Office 2016 und Office 2013

Tipp

Wenden Sie bei Bedarf zusätzliche Sicherheit auf bestimmte Dokumente mit einem zusätzlichen lokalen Schlüssel an. Weitere Informationen finden Sie unter Double Key Encryption (DKE)-Schutz (nur Unified Labeling Client).

Azure Key Vault Schlüsselspeicher

Vom Kunden erstellte Schlüssel müssen zum Schutz vor BYOK im Azure Key Vault gespeichert werden.

Hinweis

Die Verwendung von HSM-geschützten Schlüsseln im Azure Key Vault erfordert ein Azure Key Vault Premium Service Tier, für das eine zusätzliche monatliche Abonnementgebühr anfällt.

Freigeben von Schlüsseltresoren und Abonnements

Wir empfehlen die Verwendung eines Dedicated Key Vault für Ihren Mandantenschlüssel. Dedizierte Schlüsseltresore tragen dazu bei, dass Anrufe von anderen Diensten keine Überschreitung der Dienstgrenzen verursachen. Das Überschreiten von Dienstgrenzwerten für den Schlüsseltresor, bei dem Ihr Mandantenschlüssel gespeichert wird, kann dazu führen, dass die Antwortzeit für den Azure Rights Management-Dienst eingeschränkt wird.

Da verschiedene Dienste unterschiedliche Anforderungen an die Schlüsselverwaltung stellen, empfiehlt Microsoft außerdem, ein dediziertes Azure-Abonnement für Ihren Schlüsseltresor zu verwenden. Dedizierte Azure-Abonnements:

  • Schutz vor Falschkonfigurationen

  • Sind sicherer, wenn unterschiedliche Dienste über unterschiedliche Administratoren verfügen

Um ein Azure-Abonnement mit anderen Diensten zu teilen, die Azure Key Vault verwenden, stellen Sie sicher, dass das Abonnement einen gemeinsamen Satz von Administratoren verwendet. Bestätigen Sie, dass alle Administratoren, die das Abonnement verwenden, ein solides Verständnis für jeden Schlüssel haben, auf den sie zugreifen können, bedeutet, dass sie ihre Schlüssel weniger falsch konfigurieren.

Beispiel: Verwendung eines gemeinsam genutzten Azure-Abonnements, wenn die Administratoren für Ihren Azure Information Protection-Tenant-Schlüssel dieselben Personen sind, die auch Ihre Schlüssel für Office 365 Customer Key und CRM online verwalten. Wenn die wichtigsten Administratoren für diese Dienste unterschiedlich sind, empfehlen wir die Verwendung dedizierter Abonnements.

Wichtige Vorteile der Nutzung von Azure Key Vault

Azure Key Vault bietet eine zentralisierte und konsistente Schlüsselverwaltungslösung für viele Cloud-basierte und lokale Dienste, die Verschlüsselung verwenden.

Mit Azure Key Vault können Sicherheitsadministratoren auch Zertifikate und Geheimnisse, wie z. B. Passwörter, für andere Dienste, die Verschlüsselung verwenden, speichern, darauf zugreifen und verwalten.

Das Speichern Ihres Mandantenschlüssels in azure Key Vault bietet die folgenden Vorteile:

Vorteil Beschreibung
Eingebaute Schnittstellen Azure Key Vault unterstützt eine Reihe integrierter Schnittstellen für die Schlüsselverwaltung, einschließlich PowerShell, CLI, REST-APIs und der Azure-Portal.

Andere Dienste und Tools wurden in Key Vault integriert, um die Funktionen für bestimmte Aufgaben, wie z. B. die Überwachung, zu optimieren.

Analysieren Sie z. B. Ihre wichtigen Nutzungsprotokolle mit Operations Management Suite Log analytics, setzen Sie Warnmeldungen, wenn bestimmte Kriterien erfüllt sind, usw.
Rollentrennung Azure Key Vault bietet eine Rollentrennung als anerkannte bewährte Sicherheitspraxis.

Die Rollentrennung stellt sicher, dass Azure-Information Protection-Administratoren sich auf ihre höchsten Prioritäten konzentrieren können, einschließlich der Verwaltung von Datenklassifizierung und -schutz sowie Verschlüsselungsschlüsseln und Richtlinien für bestimmte Sicherheits- oder Complianceanforderungen.
Hauptschlüsselposition Azure Key Vault ist an einer Vielzahl von Standorten verfügbar und unterstützt Organisationen mit Einschränkungen, in denen Masterschlüssel leben können.

Weitere Informationen finden Sie unter Verfügbare Produkte nach Region.
Getrennte Sicherheitsdomänen Azure Key Vault verwendet separate Sicherheitsdomänen für seine Rechenzentren in Regionen wie Nordamerika, EMEA (Europa, Naher Osten und Afrika) und Asien.

Azure Key Vault verwendet auch verschiedene Instanzen von Azure, z. B. Microsoft Azure Deutschland und Azure Government.
Einheitliche Benutzeroberfläche Mit Azure Key Vault können Sicherheitsadministratoren auch Zertifikate und Geheimnisse, wie z. B. Passwörter, für andere Dienste, die Verschlüsselung verwenden, speichern, darauf zugreifen und verwalten.

Die Verwendung von Azure Key Vault für Ihre Mandantenschlüssel bietet eine nahtlose Benutzeroberfläche für Administratoren, die alle diese Elemente verwalten.

Für die neuesten Updates und um zu erfahren, wie andere Dienste Azure Key Vault verwenden, besuchen Sie den Blog des Azure Key Vault Teams.

Verwendungsprotokollierung für BYOK

Nutzungsprotokolle werden von jeder Anwendung generiert, die Anforderungen an den Azure Rights Management-Dienst angibt.

Obwohl die Nutzungsprotokollierung optional ist, empfehlen wir, die nahezu in Echtzeit erstellten Nutzungsprotokolle von Azure Information Protection zu verwenden, um genau zu sehen, wie und wann Ihr Tenant Key verwendet wird.

Weitere Informationen zur Protokollierung der Schlüsselnutzung für BYOK finden Sie unter Protokollierung und Analyse der Schutznutzung von Azure Information Protection.

Tipp

Für zusätzliche Sicherheit kann die Nutzungsprotokollierung von Azure Information Protection mit der Azure Key Vault-Protokollierung abgeglichen werden. Key Vault Protokolle bieten eine zuverlässige Methode, um unabhängig zu überwachen, dass Ihr Schlüssel nur vom Azure Rights Management-Dienst verwendet wird.

Entziehen Sie bei Bedarf sofort den Zugriff auf Ihren Schlüssel, indem Sie die Berechtigungen für den Schlüsseltresor entfernen.

Optionen zum Erstellen und Speichern Ihres Schlüssels

Hinweis

Weitere Informationen über das Managed HSM-Angebot und die Einrichtung eines Tresors und eines Schlüssels finden Sie in der Azure Key Vault-Dokumentation.

Weitere Anweisungen zum Erteilen der Schlüsselberechtigung finden Sie unten.

BYOK unterstützt Schlüssel, die entweder in Azure Key Vault oder lokal erstellt werden.

Wenn Sie Ihren Schlüssel lokal erstellen, müssen Sie sie dann in Ihre Key Vault übertragen oder importieren und Azure Information Protection so konfigurieren, dass der Schlüssel verwendet wird. Führen Sie eine zusätzliche Schlüsselverwaltung aus azure Key Vault aus.

Optionen zum Erstellen und Speichern Ihres eigenen Schlüssels:

  • Erstellt in Azure Key Vault. Erstellen und Speichern Ihres Schlüssels in Azure Key Vault als HSM-geschützter Schlüssel oder als softwaregeschützter Schlüssel.

  • Erstellt vor Ort. Erstellen Sie Ihren Schlüssel lokal, und übertragen Sie sie mit einer der folgenden Optionen in Azure Key Vault:

    • HSM-geschützter Schlüssel, übertragen als HSM-geschützter Schlüssel. Die am häufigsten ausgewählte Methode.

      Während diese Methode den meisten Administrativen Aufwand hat, ist es möglicherweise erforderlich, dass Ihre Organisation bestimmte Vorschriften befolgen kann. Die von Azure Key Vault verwendeten HSMs weisen eine FIPS 140-Überprüfung auf.

    • Software-geschützter Schlüssel, der konvertiert und als HSM-geschützter Schlüssel zu Azure Key Vault übertragen wird. Diese Methode wird nur beim Migrieren von Active Directory Rights Management Services (AD RMS) unterstützt.

    • Erstellt vor Ort als softwaregeschützter Schlüssel und übertragen an Azure Key Vault als softwaregeschützter Schlüssel. Für diese Methode ist eine .PFX-Zertifikatsdatei erforderlich.

Führen Sie beispielsweise folgendes aus, um einen lokalen Schlüssel zu verwenden:

  1. Generieren Sie Ihren Mandantenschlüssel in Ihren Räumlichkeiten, in Übereinstimmung mit den IT- und Sicherheitsrichtlinien Ihres Unternehmens. Dieser Schlüssel ist die Masterkopie. Es bleibt lokal, und Sie sind für die Sicherung erforderlich.

  2. Erstellen Sie eine Kopie des Hauptschlüssels, und übertragen Sie ihn sicher von Ihrem HSM zu Azure Key Vault. Während dieses Prozesses verlässt die Master-Kopie des Schlüssels niemals die Hardware-Schutzgrenze.

Nach der Übertragung ist die Kopie des Schlüssels durch Azure Key Vault geschützt.

Exportieren Ihrer vertrauenswürdigen Veröffentlichungsdomäne

Wenn Sie die Verwendung von Azure Information Protection beenden möchten, benötigen Sie eine vertrauenswürdige Veröffentlichungsdomäne (TPD), um Inhalte zu entschlüsseln, die von Azure Information Protection geschützt wurden.

Das Exportieren Ihrer TPD wird jedoch nicht unterstützt, wenn Sie BYOK für Ihren Azure-Information Protection-Schlüssel verwenden.

Um sich auf dieses Szenario vorzubereiten, stellen Sie sicher, dass Sie eine geeignete TPD vor der Zeit erstellen. Weitere Informationen finden Sie unter Vorbereitung eines Azure Information Protection "Cloud Exit"-Plans.

Vorgänge für Ihren Azure Information Protection-Mandantenschlüssel

Gehen Sie wie folgt vor, um BYOK zu implementieren:

  1. Überprüfen Sie die BYOK-Voraussetzungen
  2. Wählen Sie einen Ort für den Schlüsseltresor
  3. Erstellen und konfigurieren Sie Ihren Schlüssel

Voraussetzungen für BYOK

BYOK-Voraussetzungen variieren je nach Systemkonfiguration. Stellen Sie sicher, dass Ihr System bei Bedarf die folgenden Voraussetzungen erfüllt:

Anforderung Beschreibung
Azure-Abonnement Erforderlich für alle Konfigurationen.
Weitere Informationen finden Sie unter Überprüfen, ob Sie ein BYOK-kompatibles Azure-Abonnement haben.
AIPService PowerShell-Modul für Azure Information Protection Erforderlich für alle Konfigurationen.
Weitere Informationen finden Sie unter Installieren des AIPService PowerShell-Moduls.
Azure Key Vault Voraussetzungen für BYOK Wenn Sie einen HSM-geschützten Schlüssel verwenden, der vor Ort erstellt wurde, stellen Sie sicher, dass Sie auch die Voraussetzungen für BYOK erfüllen, die in der Azure Key Vault-Dokumentation aufgeführt sind.
Thales Firmware Version 11.62 Sie müssen über eine Thales-Firmwareversion von 11.62 verfügen, wenn Sie von AD RMS zu Azure Information Protection migrieren, indem Sie den Softwareschlüssel zum Hardwareschlüssel verwenden und die Thales-Firmware für Ihr HSM verwenden.
Firewall-Umgehung für vertrauenswürdige Microsoft-Dienste Wenn der Schlüsseltresor, der Ihren Mandantenschlüssel enthält, Virtual Network Dienstendpunkte für Azure Key Vault verwendet, müssen Sie vertrauenswürdige Microsoft-Dienste zulassen, diese Firewall zu umgehen.
Weitere Informationen finden Sie unter VNET-Dienstendpunkte für Azure Key Vault.

Überprüfen, ob Sie über ein BYOK-kompatibles Azure-Abonnement verfügen

Ihr Azure Information Protection-Mandant muss über ein Azure-Abonnement verfügen. Wenn Sie keines besitzen, können Sie sich für ein kostenloses Konto registrieren. Um jedoch einen HSM-geschützten Schlüssel zu verwenden, müssen Sie über die Azure Key Vault Premium Service-Stufe verfügen.

Das kostenlose Azure-Abonnement, das Zugriff auf die Konfiguration von Azure Active Directory und die Konfiguration der benutzerdefinierten Vorlage für Azure Rights Management bietet, ist nicht ausreichend für die Verwendung von Azure Key Vault.

Um zu überprüfen, ob Ihr Azure-Abonnement mit BYOK kompatibel ist, gehen Sie wie folgt vor und verwenden Sie Azure PowerShell-Cmdlets:

  1. Starten Sie eine Azure PowerShell-Sitzung als Administrator.

  2. Melden Sie sich als globaler Administrator für Ihren Azure Information Protection-Tenant mit Connect-AzAccount an.

  3. Kopieren Sie das angezeigte Token in Ihre Zwischenablage. Gehen Sie dann in einem Browser zu https://microsoft.com/devicelogin und geben Sie das kopierte Token ein.

    Weitere Informationen finden Sie unter Anmelden mit Azure PowerShell.

  4. Geben Sie in Ihrer PowerShell-Sitzung Get-AzSubscription ein, und bestätigen Sie, dass die folgenden Werte angezeigt werden:

    • Ihr Abonnementname und Ihre ID
    • Ihr Azure Information Protection-Mandanten-ID
    • Bestätigung, dass der Zustand aktiviert ist

    Wenn keine Werte angezeigt werden und Sie zur Eingabeaufforderung zurückkehren, verfügen Sie nicht über ein Azure-Abonnement, das für BYOK verwendet werden kann.

Auswählen des Schlüsseltresorstandorts

Wenn Sie einen Schlüsseltresor erstellen, der den Schlüssel enthält, der als Mandantenschlüssel für Azure Information verwendet werden soll, müssen Sie einen Speicherort angeben. Dieser Speicherort ist eine Azure-Region oder Azure-Instanz.

Treffen Sie zuerst Ihre Wahl für compliance, und minimieren Sie dann die Netzwerklatenz:

  • Wenn Sie sich aus Compliance-Gründen für die BYOK-Schlüsselmethode entschieden haben, schreiben diese Compliance-Anforderungen möglicherweise auch vor, welche Azure-Region oder -Instanz zum Speichern Ihres Azure Information Protection-Tenant-Schlüssels verwendet werden kann.

  • Alle kryptografischen Aufrufe zur Schutzkette an Ihren Azure Information Protection Schlüssel. Daher können Sie die Netzwerklatenz minimieren, indem Sie Ihren Schlüsseltresor in derselben Azure-Region oder Instanz wie Ihren Azure-Information Protection-Mandanten erstellen.

Um den Standort Ihres Azure Information Protection-Tenants zu ermitteln, verwenden Sie das PowerShell-Cmdlet Get-AipServiceConfiguration und identifizieren die Region anhand der URLs. Zum Beispiel:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

Der Bereich ist von rms.na.aadrm.com identifizierbar und befindet sich in diesem Beispiel in Nordamerika.

In der folgenden Tabelle sind empfohlene Azure-Regionen und -Instanzen aufgeführt, um die Netzwerklatenz zu minimieren:

Azure-Region oder -Instanz Empfohlener Standort für Ihren Schlüsseltresor
Rms.na.aadrm.com USA, Norden-Mitte or USA, Osten
Rms.eu.aadrm.com Europa, Norden“ oder „Europa, Westen
rms.ap.aadrm.com​ Asien, Osten“ und „Asien, Südosten
Rms.sa.aadrm.com USA, Westen“ oder „USA, Osten“.
rms.govus.aadrm.com​ USA, Mitte oder USA, Osten 2
rms.aadrm.us US Gov Virginia oder US Gov Arizona
rms.aadrm.cn China Ost 2 oder China Nord 2

Erstellen und konfigurieren Sie Ihren Schlüssel

Wichtig

Informationen speziell für Managed HSMs finden Sie unter Aktivierung der Schlüsselautorisierung für Managed HSM-Schlüssel über Azure CLI.

Erstellen Sie einen Azure Key Vault und den Schlüssel, den Sie für Azure Information Protection verwenden möchten. Weitere Informationen finden Sie in der Dokumentation zu Azure Key Vault.

Beachten Sie Folgendes zum Konfigurieren Ihrer Azure-Key Vault und des Schlüssels für BYOK:

Schlüssellängenanforderungen

Stellen Sie beim Erstellen Des Schlüssels sicher, dass die Schlüssellänge entweder 2048 Bit (empfohlen) oder 1024 Bit ist. Andere Schlüssellängen werden von Azure Information Protection nicht unterstützt.

Hinweis

1024-Bit-Schlüssel werden nicht als angemessene Schutzstufe für aktive Mandantenschlüssel betrachtet.

Microsoft unterstützt nicht die Verwendung niedrigerer Schlüssellängen, z. B. 1024-Bit-RSA-Schlüssel und die zugehörige Verwendung von Protokollen, die unzureichende Schutzebenen wie SHA-1 bieten.

Erstellung eines HSM-geschützten Schlüssels vor Ort und Übertragung in Ihren Schlüsseltresor

Um einen HSM-geschützten Schlüssel vor Ort zu erstellen und ihn als HSM-geschützten Schlüssel in Ihren Key Vault zu übertragen, befolgen Sie die Verfahren in der Azure Key Vault-Dokumentation: Wie man HSM-geschützte Schlüssel für Azure Key Vault erzeugt und überträgt.

Damit Azure Information Protection den übertragenen Schlüssel verwenden kann, müssen alle Key Vault-Vorgänge für den Schlüssel zulässig sein, einschließlich:

  • encrypt
  • decrypt
  • wrapKey
  • unwrapKey
  • sign
  • verify

Standardmäßig sind alle Key Vault Vorgänge zulässig.

Um die zulässigen Vorgänge für einen bestimmten Schlüssel zu überprüfen, führen Sie den folgenden PowerShell-Befehl aus:

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

Fügen Sie bei Bedarf zulässige Operationen mit Update-AzKeyVaultKey und dem Parameter KeyOps hinzu.

Konfiguration von Azure Information Protection mit Ihrer Schlüssel-ID

Schlüssel, die in azure Key Vault gespeichert sind, weisen jeweils eine Schlüssel-ID auf.

Die Schlüssel-ID ist eine URL, die den Namen des Schlüsseldepots, den Schlüsselcontainer, den Namen des Schlüssels und die Schlüsselversion enthält. Beispiel: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333

Konfigurieren Sie Azure Information Protection für die Verwendung Ihres Schlüssels, indem Sie die URL des Schlüsseltresors angeben.

Autorisierung des Azure Rights Management-Dienstes zur Verwendung Ihres Schlüssels

Der Azure Rights Management-Dienst muss berechtigt sein, Ihren Schlüssel zu verwenden. Azure Key Vault Administratoren können diese Autorisierung mithilfe der Azure-Portal oder Azure PowerShell aktivieren.

Aktivieren der Schlüsselautorisierung mithilfe der Azure-Portal

  1. Melden Sie sich am Azure-Portal an und gehen Sie zu Schlüsseltresor><Ihr Schlüsseltresorname>>Zugangsrichtlinien>Neu hinzufügen.

  2. Wählen Sie im Fenster Zugriffsrichtlinie hinzufügen im Listenfeld Aus Vorlage konfigurieren (optional) die Option Azure Information Protection BYOK und klicken Sie dann auf OK.

    Die ausgewählte Vorlage hat die folgende Konfiguration:

    • Der Wert Prinzipal auswählen ist auf Microsoft Rights Management Services eingestellt.
    • Ausgewählte Schlüsselberechtigungen umfassen Get, Decrypt und Sign.
Aktivieren der Schlüsselautorisierung mithilfe von PowerShell

Führen Sie das Key Vault-PowerShell-Cmdlet Set-AzKeyVaultAccessPolicy aus und erteilen Sie dem Azure Rights Management-Dienstprinzipal unter Verwendung der GUID 00000012-0000-0000-c000-000000000000 Berechtigungen.

Zum Beispiel:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Aktivieren der Schlüsselberechtigung für verwaltete HSM-Schlüssel über Azure CLI

Führen Sie den folgenden Befehl aus, um dem Azure Rights Management-Dienst Hauptbenutzerberechtigungen als Managed HSM Crypto-Benutzer zu erteilen:

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey

Hierbei gilt:

  • ContosoMHSM ist ein Beispiel für einen HSM-Namen. Ersetzen Sie diesen Wert beim Ausführen dieses Befehls durch ihren eigenen HSM-Namen.

Die Benutzerrolle Managed HSM Crypto User ermöglicht es dem Benutzer, den Schlüssel zu entschlüsseln, zu signieren und Berechtigungen zu erhalten, die alle für die Managed HSM-Funktionalität erforderlich sind.

Konfigurieren von Azure Information Protection zum Verwenden Ihres Schlüssels

Nachdem Sie alle oben genannten Schritte abgeschlossen haben, können Sie Azure Information Protection so konfigurieren, dass dieser Schlüssel als Mandantenschlüssel Ihrer Organisation verwendet wird.

Führen Sie mithilfe von Azure RMS-Cmdlets die folgenden Befehle aus:

  1. Verbinden Sie sich mit dem Azure Rights Management Service und melden Sie sich an:

    Connect-AipService

  2. Führen Sie das Cmdlet Use-AipServiceKeyVaultKey aus und geben Sie die Schlüssel-URL an. Zum Beispiel:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"

    Wichtig

    In diesem Beispiel ist <key-version> die Version des Schlüssels, die Sie verwenden möchten. Wenn Sie die Version nicht angeben, wird standardmäßig die aktuelle Version des Schlüssels verwendet, und der Befehl scheint zu funktionieren. Wenn Ihr Schlüssel jedoch später aktualisiert oder erneuert wird, funktioniert der Azure Rights Management-Dienst für Ihren Mandanten nicht mehr, selbst wenn Sie den Befehl Use-AipServiceKeyVaultKey erneut ausführen.

    Verwenden Sie bei Bedarf den Befehl Get-AzKeyVaultKey, um die Versionsnummer des aktuellen Schlüssels zu ermitteln.

    Beispiel: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    Um zu bestätigen, dass die Schlüssel-URL für Azure Information Protection korrekt eingestellt ist, führen Sie den Befehl Get-AzKeyVaultKey im Azure Key Vault aus, um die Schlüssel-URL anzuzeigen.

  3. Wenn der Azure Rights Management-Dienst bereits aktiviert ist, führen Sie Set-AipServiceKeyProperties aus, um Azure Information Protection anzuweisen, diesen Schlüssel als aktiven Mandantenschlüssel für den Azure Rights Management-Dienst zu verwenden.

Azure Information Protection ist jetzt konfiguriert, um Ihren Schlüssel anstelle des standardmäßigen Microsoft-erstellten Schlüssels zu verwenden, der automatisch für Ihren Mandanten erstellt wurde.

Nächste Schritte

Sobald Sie den BYOK-Schutz konfiguriert haben, lesen Sie weiter unter Einführung in die Arbeit mit Ihrem Mandantstammschlüssel, um weitere Informationen zur Verwendung und Verwaltung Ihres Schlüssels zu erhalten.