Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Suchen Sie nach Microsoft Purview Information Protection, vormals Microsoft Information Protection (MIP)?
Das Azure Information Protection-Add-In wird eingestellt und durch Bezeichnungen ersetzt, die in Ihre Microsoft 365-Apps und -Dienste integriert sind. Erfahren Sie mehr über den Supportstatus anderer Azure Information Protection-Komponenten.
Der Microsoft Purview Information Protection-Client (ohne das Add-In) ist allgemein verfügbar.
Organisationen mit einem Azure-Information Protection-Abonnement können wählen, ihren Mandanten mit einem eigenen Schlüssel zu konfigurieren, anstatt einen Standardschlüssel zu konfigurieren, der von Microsoft generiert wird. Diese Konfiguration wird oft als Bring Your Own Key (BYOK) bezeichnet.
BYOK und Verwendungsprotokollierung funktionieren nahtlos mit Anwendungen, die in den Azure Rights Management-Dienst integriert werden, der von Azure Information Protection verwendet wird.
Zu den unterstützten Anwendungen gehören:
Clouddienste wie Microsoft SharePoint oder Microsoft 365
Lokale Dienste, die Exchange- und SharePoint-Anwendungen ausführen, die den Azure Rights Management-Dienst über den RMS-Connector verwenden
Clientanwendungen wie Office 2024 und Office 2021.
Tipp
Wenden Sie bei Bedarf zusätzliche Sicherheit auf bestimmte Dokumente mithilfe eines zusätzlichen lokalen Schlüssels an. Weitere Informationen finden Sie unter DKE-Schutz (Double Key Encryption) (nur im einheitlichen Bezeichnungs-Client).
Azure Key Vault-Schlüsselspeicher
Vom Kunden generierte Schlüssel müssen im Azure Key Vault für BYOK-Schutz gespeichert werden.
Hinweis
Die Verwendung von HSM-geschützten Schlüsseln im Azure Key Vault erfordert eine Azure Key Vault Premium-Dienstebene, die eine zusätzliche monatliche Abonnementgebühr verursacht.
Freigabe von Key-Vaults und Abonnements
Wir empfehlen die Verwendung eines Dedicated Key Vault für Ihren Mandantenschlüssel. Dedizierte Schlüsseltresore helfen dabei, sicherzustellen, dass Aufrufe anderer Dienste keine Dienstgrenzwerte überschreiten. Das Überschreiten der Dienstgrenzwerte für den Schlüsseltresor, in dem Ihr Mandantenschlüssel gespeichert ist, kann zu einer Drosselung der Antwortzeit für den Azure Rights Management-Dienst führen.
Da verschiedene Dienste unterschiedliche Schlüsselverwaltungsanforderungen haben, empfiehlt Microsoft auch die Verwendung eines dedizierten Azure-Abonnements für Ihren Schlüsseltresor. Dedizierte Azure-Abonnements:
Helfen Sie, Fehlkonfigurationen zu vermeiden
Sind sicherer, wenn unterschiedliche Dienste unterschiedliche Administratoren haben
Um ein Azure-Abonnement mit anderen Diensten zu teilen, die Azure Key Vault verwenden, stellen Sie sicher, dass das Abonnement eine gemeinsame Gruppe von Administratoren teilt. Wenn Sie bestätigen, dass alle Administratoren, die das Abonnement verwenden, über ein solides Verständnis für jeden Schlüssel verfügen, auf den sie zugreifen können, bedeutet dies, dass sie Ihre Schlüssel weniger falsch konfigurieren.
Beispiel: Verwenden eines freigegebenen Azure-Abonnements, wenn die Administratoren für Ihren Azure Information Protection-Mandantenschlüssel dieselben Personen sind, die Ihre Schlüssel für Office 365 Customer Key und CRM online verwalten. Wenn die wichtigsten Administratoren für diese Dienste unterschiedlich sind, empfehlen wir die Verwendung dedizierter Abonnements.
Vorteile der Verwendung von Azure Key Vault
Azure Key Vault bietet eine zentrale und konsistente Schlüsselverwaltungslösung für viele cloudbasierte und lokale Dienste, die Verschlüsselung verwenden.
Zusätzlich zur Verwaltung von Schlüsseln bietet Azure Key Vault Ihren Sicherheitsadministratoren die gleiche Verwaltungsoberfläche zum Speichern, Zugreifen und Verwalten von Zertifikaten und geheimen Schlüsseln (z. B. Kennwörter) für andere Dienste und Anwendungen, die Verschlüsselung verwenden.
Das Speichern Ihres Mandantenschlüssels im Azure Key Vault bietet die folgenden Vorteile:
| Vorteil | BESCHREIBUNG |
|---|---|
| Integrierte Schnittstellen | Azure Key Vault unterstützt eine Reihe integrierter Schnittstellen für die Schlüsselverwaltung, einschließlich PowerShell, CLI, REST-APIs und dem Azure-Portal. Andere Dienste und Tools sind in Key Vault für optimierte Funktionen für bestimmte Aufgaben integriert, z. B. Überwachung. Analysieren Sie beispielsweise Ihre Schlüsselverwendungsprotokolle mit Operations Management Suite Log Analytics, legen Sie Warnungen fest, wenn bestimmte Kriterien erfüllt sind usw. |
| Rollentrennung | Azure Key Vault bietet eine Rollentrennung als bewährte Methode für die Sicherheit. Die Rollentrennung stellt sicher, dass Azure Information Protection-Administratoren sich auf ihre höchsten Prioritäten konzentrieren können, einschließlich der Verwaltung von Datenklassifizierung und -schutz sowie Verschlüsselungsschlüssel und Richtlinien für bestimmte Sicherheits- oder Complianceanforderungen. |
| Hauptschlüsselspeicherort | Azure Key Vault ist an einer Vielzahl von Standorten verfügbar und unterstützt Organisationen mit Einschränkungen, in denen Hauptschlüssel gespeichert werden können. Weitere Informationen finden Sie auf der Azure-Website auf der Seite "Produkte", die nach Region verfügbar sind . |
| Getrennte Sicherheitsdomänen | Azure Key Vault verwendet separate Sicherheitsdomänen für seine Rechenzentren in Regionen wie Nordamerika, EMEA (Europa, Naher Osten und Afrika) und Asien. Azure Key Vault verwendet auch verschiedene Instanzen von Azure, z. B. Microsoft Azure Deutschland und Azure Government. |
| Einheitliche Oberfläche | Azure Key Vault ermöglicht sicherheitsadministratoren auch das Speichern, Zugreifen und Verwalten von Zertifikaten und geheimen Schlüsseln wie Kennwörtern für andere Dienste, die Verschlüsselung verwenden. Die Verwendung von Azure Key Vault für Ihre Mandantenschlüssel bietet administratoren, die alle diese Elemente verwalten, eine nahtlose Benutzererfahrung. |
Um die neuesten Updates zu erhalten und zu erfahren, wie andere Dienste Azure Key Vault verwenden, besuchen Sie den Blog des Azure Key Vault-Teams.
Verwendungsprotokollierung für BYOK
Verwendungsprotokolle werden von jeder Anwendung generiert, die Anforderungen an den Azure Rights Management-Dienst sendet.
Obwohl die Verwendungsprotokollierung optional ist, empfehlen wir die Verwendung der Fast-Echtzeit-Verwendungsprotokolle von Azure Information Protection, um genau zu sehen, wie und wann Ihr Mandantschlüssel verwendet wird.
Weitere Informationen zur Protokollierung der Schlüsselverwendung für BYOK finden Sie unter Protokollierung und Analyse der Schutznutzung von Azure Information Protection.
Tipp
Um zusätzliche Sicherheit zu gewährleisten, können die Azure Information Protection-Nutzungsprotokolle mit der Azure Key Vault-Protokollierung abgeglichen werden. Key Vault-Protokolle bieten eine zuverlässige Methode, um unabhängig zu überwachen, dass Ihr Schlüssel nur vom Azure Rights Management-Dienst verwendet wird.
Falls erforderlich, widerrufen Sie sofort den Zugriff auf Ihren Schlüssel, indem Sie die Berechtigungen im Schlüsseltresor entfernen.
Optionen zum Erstellen und Speichern Ihres Schlüssels
Hinweis
Weitere Informationen zum Managed HSM-Angebot und zum Einrichten eines Tresors und eines Schlüssels finden Sie in der Dokumentation zu Azure Key Vault.
Weitere Anweisungen zum Erteilen der Schlüsselautorisierung finden Sie unten.
BYOK unterstützt Schlüssel, die entweder in Azure Key Vault oder lokal erstellt werden.
Wenn Sie Ihren Schlüssel lokal erstellen, müssen Sie ihn dann in Ihren Key Vault übertragen oder importieren und Azure Information Protection so konfigurieren, dass er den Schlüssel verwendet. Führen Sie alle zusätzlichen Schlüsselverwaltungen in Azure Key Vault aus.
Optionen zum Erstellen und Speichern Ihres eigenen Schlüssels:
- Erstellt in Azure Key Vault. Erstellen und speichern Sie Ihren Schlüssel in Azure Key Vault als HSM-geschützten Schlüssel oder als softwaregeschützten Schlüssel.
Hinweis
Schlüssel, die direkt in Azure Key Vault generiert werden, können nicht außerhalb von Azure Key Vault verwendet werden. Wenn Ihre Organisation erfordert, dass Schlüssel exportierbar und in Ihrem Besitz sind, müssen Sie den lokalen Schlüssel erstellen und in Azure Key Vault importieren und Sicherungen des Schlüssels lokal verwalten. Notfallwiederherstellungsplanung und -tests sollten Maßnahmen enthalten, um die Wiederherstellung dieser Schlüssel regelmäßig zu testen. Schlüssel können aus Azure Key Vault gesichert werden, können aber nur in das ursprüngliche Abonnement importiert werden.
Vor Ort erstellt. Erstellen Sie Ihren Schlüssel lokal, und übertragen Sie ihn mithilfe einer der folgenden Optionen in Azure Key Vault:
HSM-geschützter Schlüssel, übertragen als HSM-geschützter Schlüssel. Die am häufigsten gewählte Methode.
Obwohl diese Methode den größten Verwaltungsaufwand hat, kann es erforderlich sein, dass Ihre Organisation bestimmte Vorschriften befolgt. Die von Azure Key Vault verwendeten HSMs weisen eine FIPS 140-Überprüfung auf.
Softwaregeschützter Schlüssel, der als HSM-geschützter Schlüssel in Azure Key Vault konvertiert und übertragen wird. Diese Methode wird nur bei der Migration von Active Directory Rights Management Services (AD RMS) unterstützt.
Vor Ort als softwaregeschützter Schlüssel erstellt und als softwaregeschützter Schlüssel in Azure Key Vault übertragen. Für diese Methode wird eine .PFX-Zertifikatsdatei benötigt.
Gehen Sie beispielsweise wie folgt vor, um einen lokal erstellten Schlüssel zu verwenden:
Generieren Sie Ihren Mandantenschlüssel lokal im Einklang mit den IT- und Sicherheitsrichtlinien Ihrer Organisation. Dieser Schlüssel ist die Masterkopie. Sie bleibt lokal, und Sie sind für die Sicherung verantwortlich.
Erstellen Sie eine Kopie des Hauptschlüssels, und übertragen Sie ihn sicher von Ihrem HSM in Azure Key Vault. Während dieses Prozesses lässt die Masterkopie des Schlüssels niemals die Hardwareschutzgrenze.
Nach der Übertragung wird die Kopie des Schlüssels durch Azure Key Vault geschützt.
Exportieren Ihrer vertrauenswürdigen Veröffentlichungsdomäne
Wenn Sie sich jemals dazu entschließen, die Nutzung von Azure Information Protection zu beenden, benötigen Sie eine vertrauenswürdige Veröffentlichungsdomäne (TPD), um Inhalte zu entschlüsseln, die durch Azure Information Protection geschützt wurden.
Das Exportieren Ihrer TPD wird jedoch nicht unterstützt, wenn Sie BYOK für Ihren Azure Information Protection-Schlüssel verwenden.
Um sich auf dieses Szenario vorzubereiten, stellen Sie sicher, dass Sie vorab eine geeignete TPD erstellen. Weitere Informationen finden Sie unter Vorbereiten eines Azure Information Protection-Plans "Cloud Exit".
Vorgänge für Ihren Azure Information Protection-Mandantenschlüssel
Führen Sie die folgenden Schritte aus, um BYOK zu implementieren:
- Überprüfen der BYOK-Voraussetzungen
- Wählen Sie einen Speicherort für den Key Vault aus
- Erstellen und Konfigurieren des Schlüssels
Voraussetzungen für BYOK
BYOK-Voraussetzungen variieren je nach Systemkonfiguration. Stellen Sie sicher, dass Ihr System bei Bedarf die folgenden Voraussetzungen erfüllt:
| Anforderung | BESCHREIBUNG |
|---|---|
| Azure-Abonnement | Erforderlich für alle Konfigurationen. Weitere Informationen finden Sie unter Überprüfen, ob Sie über ein BYOK-kompatibles Azure-Abonnement verfügen. |
| AIPService PowerShell-Modul für Azure Information Protection | Erforderlich für alle Konfigurationen. Weitere Informationen finden Sie unter Installieren des AIPService PowerShell-Moduls. |
| Voraussetzungen für Azure Key Vault für BYOK | Wenn Sie einen HSM-geschützten Schlüssel verwenden, der lokal erstellt wurde, stellen Sie sicher, dass Sie auch die voraussetzungen für BYOK erfüllen, die in der Azure Key Vault-Dokumentation aufgeführt sind. |
| Thales Firmware Version 11.62 | Sie müssen über eine Thales-Firmwareversion von 11.62 verfügen, wenn Sie von AD RMS zu Azure Information Protection migrieren, indem Sie Softwareschlüssel zu Hardwareschlüssel verwenden und Thales-Firmware für Ihr HSM verwenden. |
| Firewallumgehung für vertrauenswürdige Microsoft-Dienste | Wenn der Schlüsseltresor, der Ihren Mandantenschlüssel enthält, virtuelle Netzwerkdienstendpunkte für Azure Key Vault verwendet, müssen Sie vertrauenswürdigen Microsoft-Diensten erlauben, diese Firewall zu umgehen. Weitere Informationen finden Sie unter Virtual Network Service Endpoints für Azure Key Vault. |
Überprüfen, ob Sie über ein BYOK-kompatibles Azure-Abonnement verfügen
Ihr Azure Information Protection-Mandant muss über ein Azure-Abonnement verfügen. Wenn Sie noch kein Konto haben, können Sie sich für ein kostenloses Konto registrieren. Um jedoch einen HSM-geschützten Schlüssel zu verwenden, müssen Sie über die Azure Key Vault Premium-Dienstebene verfügen.
Das kostenlose Azure-Abonnement, das Zugriff auf die Konfiguration der benutzerdefinierten Microsoft Entra-Konfiguration und der benutzerdefinierten Azure Rights Management-Vorlagenkonfiguration bietet, reicht nicht für die Verwendung von Azure Key Vault aus.
Um zu bestätigen, ob Sie über ein Azure-Abonnement verfügen, das mit BYOK kompatibel ist, führen Sie die folgenden Schritte aus, um mithilfe von Azure PowerShell-Cmdlets zu überprüfen:
Starten Sie eine Azure PowerShell-Sitzung als Administrator.
Melden Sie sich als globaler Administrator für Ihren Azure Information Protection-Mandanten mit
Connect-AzAccountan.Kopieren Sie das angezeigte Token in Ihre Zwischenablage. Öffnen Sie dann einen Browser, gehen Sie zu https://microsoft.com/devicelogin und geben Sie den kopierten Token ein.
Weitere Informationen finden Sie unter Anmelden mit Azure PowerShell.
Geben Sie
Get-AzSubscriptionin Ihrer PowerShell-Sitzung die folgenden Werte ein, und vergewissern Sie sich, dass die folgenden Werte angezeigt werden:- Name und ID Ihres Abonnements
- Ihre Azure Information Protection-Mandanten-ID
- Bestätigung, dass der Status aktiviert ist
Wenn keine Werte angezeigt werden und Sie an die Eingabeaufforderung zurückgegeben werden, verfügen Sie nicht über ein Azure-Abonnement, das für BYOK verwendet werden kann.
Auswählen des Schlüsseltresorstandorts
Wenn Sie einen Schlüsseltresor erstellen, der den Schlüssel enthält, der als Mandantenschlüssel für Azure Information verwendet werden soll, müssen Sie einen Speicherort angeben. Dieser Speicherort ist eine Azure-Region oder Azure-Instanz.
Treffen Sie zuerst Ihre Wahl für die Einhaltung und minimieren Sie dann die Netzwerklatenz.
Wenn Sie die BYOK-Schlüsselmethode aus Compliancegründen ausgewählt haben, können diese Complianceanforderungen auch festlegen, welche Azure-Region oder -Instanz zum Speichern Ihres Azure Information Protection-Mandantenschlüssels verwendet werden kann.
Alle kryptografischen Aufrufe zur Schutzkette an Ihren Azure Information Protection Schlüssel. Daher können Sie die Netzwerklatenz minimieren, die diese Anrufe erfordern, indem Sie Ihren Schlüsseltresor in derselben Azure-Region oder -Instanz wie Ihren Azure Information Protection-Mandanten erstellen.
Um den Speicherort Ihres Azure Information Protection-Tenants zu ermitteln, verwenden Sie das PowerShell-Cmdlet Get-AipServiceConfiguration und ermitteln Sie die Region anhand der URLs. Beispiel:
LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing
Die Region ist von rms.na.aadrm.com identifizierbar, und in diesem Beispiel befindet es sich in Nordamerika.
In der folgenden Tabelle sind die empfohlenen Azure-Regionen und -Instanzen aufgeführt, um die Netzwerklatenz zu minimieren:
| Azure-Region oder -Instanz | Empfohlener Standort für Ihren Key Vault |
|---|---|
| Rms.na.aadrm.com | Nord-Zentral-USA oder Ost-USA |
| Rms.eu.aadrm.com | Nordeuropa oder Westeuropa |
| rms.ap.aadrm.com | Ostasien oder Südostasien |
| Rms.sa.aadrm.com | West-USA oder Ost-USA |
| rms.govus.aadrm.com | Zentral-USA oder Ost-USA 2 |
| rms.aadrm.us | US Gov Virginia oder US Gov Arizona |
| rms.aadrm.cn | China Ost 2 oder China Nord 2 |
Erstellen und Konfigurieren des Schlüssels
Von Bedeutung
Spezifische Informationen für verwaltete HSMs finden Sie unter Aktivieren der Schlüsselautorisierung für verwaltete HSM-Schlüssel über Azure CLI.
Erstellen Sie einen Azure Key Vault und den Schlüssel, den Sie für Azure Information Protection verwenden möchten. Weitere Informationen finden Sie in der Dokumentation zu Azure Key Vault.
Von Bedeutung
Nachdem Sie den Azure Key Vault erstellt haben, aktivieren Sie sofort den Soft Delete und den Schutz vor unwiderruflichem Löschen. Dadurch wird das versehentliche Löschen des Tresors und der Schlüssel verhindert. Der Verlust der Schlüssel ohne ausreichende Sicherungen führt zu einem vollständigen Datenverlust verschlüsselter Dateien und E-Mails. Weitere Informationen finden Sie in Azure Key Vault: Soft-Delete Übersicht.
Beachten Sie Folgendes zum Konfigurieren Ihres Azure Key Vault und Schlüssels für BYOK:
- Wichtige Längenanforderungen
- Erstellen eines HSM-geschützten Schlüssels vor Ort und dessen Übertragung in Ihren Schlüsseltresor
- Konfigurieren von Azure Information Protection mit Ihrer Schlüssel-ID
- Autorisieren des Azure Rights Management-Diensts für die Verwendung Ihres Schlüssels
Wichtige Längenanforderungen
Stellen Sie beim Erstellen des Schlüssels sicher, dass die Schlüssellänge entweder 2048 Bit (empfohlen) oder 1024 Bit ist. Andere Schlüssellängen werden von Azure Information Protection nicht unterstützt.
Hinweis
1024-Bit-Schlüssel werden nicht als angemessene Schutzstufe für aktive Mandantenschlüssel angesehen.
Microsoft unterstützt nicht die Verwendung niedrigerer Schlüssellängen, z. B. 1024-Bit-RSA-Schlüssel, und die zugehörige Verwendung von Protokollen, die unzureichende Schutzebenen wie SHA-1 bieten.
Erstellen eines hsM-geschützten Schlüssels lokal und übertragen sie in Ihren Schlüsseltresor
Zum Erstellen eines lokalen HSM-geschützten Schlüssels und zum Übertragen in Ihren Schlüsseltresor als HSM-geschützter Schlüssel befolgen Sie die Verfahren in der Azure Key Vault-Dokumentation: Generieren und Übertragen von HSM-geschützten Schlüsseln für Azure Key Vault.
Damit Azure Information Protection den übertragenen Schlüssel verwendet, müssen alle Key Vault-Vorgänge für den Schlüssel zulässig sein, einschließlich:
- verschlüsseln
- decrypt
- wrapKey
- unwrapKey
- sign
- überprüfen
Standardmäßig sind alle Key Vault-Vorgänge zulässig.
Um die zulässigen Vorgänge für einen bestimmten Schlüssel zu überprüfen, führen Sie den folgenden PowerShell-Befehl aus:
(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps
Fügen Sie bei Bedarf zulässige Vorgänge mithilfe von Update-AzKeyVaultKey und dem KeyOps-Parameter hinzu.
Konfigurieren von Azure Information Protection mit Ihrer Schlüssel-ID
Im Azure Key Vault gespeicherte Schlüssel weisen jeweils eine Schlüssel-ID auf.
Die Schlüssel-ID ist eine URL, die den Namen des Schlüsseltresors, den Schlüsselcontainer, den Namen des Schlüssels und die Schlüsselversion enthält. Beispiel: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333
Konfigurieren Sie Azure Information Protection, um Ihren Schlüssel zu verwenden, indem Sie die Schlüsseltresor-URL angeben.
Autorisieren des Azure Rights Management-Diensts für die Verwendung Ihres Schlüssels
Der Azure Rights Management-Dienst muss berechtigt sein, Ihren Schlüssel zu verwenden. Azure Key Vault-Administratoren können diese Autorisierung über das Azure-Portal oder Azure PowerShell aktivieren.
Aktivieren der Schlüsselautorisierung mithilfe des Azure-Portals
Melden Sie sich beim Azure-Portal an und rufen Sie Schlüsseltresore><Name Ihres Schlüsseltresors>>Zugriffsrichtlinien>Neu hinzufügen auf.
Wählen Sie im Listenfeld "Aus Vorlage konfigurieren" (optional) im Bereich "Zugriffsrichtlinien hinzufügen" die Option "Azure Information Protection BYOK" aus, und klicken Sie dann auf "OK".
Die ausgewählte Vorlage hat die folgende Konfiguration:
- Der Prinzipalwert "Select " ist auf Microsoft Rights Management Services festgelegt.
- Zu den ausgewählten Schlüsselberechtigungen gehören "Abrufen", " Entschlüsseln" und "Signieren".
Aktivieren der Schlüsselautorisierung mithilfe von PowerShell
Führen Sie das PowerShell-Cmdlet Key Vault, Set-AzKeyVaultAccessPolicy, aus, und erteilen Sie Berechtigungen für den Dienstprinzipal des Azure Rights Management mithilfe der GUID 00000012-0000-0000-c000-000000000000.
Beispiel:
Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Aktivieren der Schlüsselautorisierung für verwaltete HSM-Schlüssel über Azure CLI
Um den Azure Rights Management-Dienstprinzipalbenutzerberechtigungen als verwalteten HSM Crypto-Benutzer zu gewähren, führen Sie den folgenden Befehl aus:
az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey
Ort:
- ContosoMHSM ist ein HSM-Beispielname. Ersetzen Sie diesen Wert beim Ausführen dieses Befehls durch Ihren eigenen HSM-Namen.
Die Benutzerrolle "Verwaltete HSM-Kryptobenutzer " ermöglicht es dem Benutzer, den Schlüssel zu entschlüsseln, zu signieren und berechtigungen zu erhalten, die alle für die verwaltete HSM-Funktionalität erforderlich sind.
Konfigurieren von Azure Information Protection für die Verwendung Ihres Schlüssels
Nachdem Sie alle oben genannten Schritte abgeschlossen haben, können Sie Azure Information Protection so konfigurieren, dass dieser Schlüssel als Mandantenschlüssel Ihrer Organisation verwendet wird.
Führen Sie mithilfe von Azure RMS-Cmdlets die folgenden Befehle aus:
Stellen Sie eine Verbindung mit dem Azure Rights Management-Dienst her, und melden Sie sich an:
Connect-AipServiceFühren Sie das CmdletUse-AipServiceKeyVaultKey aus, und geben Sie die Schlüssel-URL an. Beispiel:
Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"Von Bedeutung
In diesem Beispiel ist
<key-version>die Version des Schlüssels, die Sie verwenden möchten. Wenn Sie die Version nicht angeben, wird die aktuelle Version des Schlüssels standardmäßig verwendet, und der Befehl funktioniert möglicherweise. Wenn Ihr Schlüssel jedoch später aktualisiert oder erneuert wird, funktioniert der Azure Rights Management-Dienst für Ihren Mandanten nicht mehr, auch wenn Sie den Befehl "Use-AipServiceKeyVaultKey" erneut ausführen.Verwenden Sie den Befehl "Get-AzKeyVaultKey " nach Bedarf, um die Versionsnummer des aktuellen Schlüssels abzurufen.
Beispiel:
Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'Um zu bestätigen, dass die Schlüssel-URL für Azure Information Protection korrekt festgelegt ist, führen Sie den Befehl "Get-AzKeyVaultKey " im Azure Key Vault aus, um die Schlüssel-URL anzuzeigen.
Wenn der Azure Rights Management-Dienst bereits aktiviert ist, führen Sie Set-AipServiceKeyProperties aus, um Azure Information Protection mitzuteilen, diesen Schlüssel als aktiven Mandantenschlüssel für den Azure Rights Management-Dienst zu verwenden.
Azure Information Protection ist jetzt so konfiguriert, dass Ihr Schlüssel anstelle des von Microsoft erstellten Standardschlüssels verwendet wird, der automatisch für Ihren Mandanten erstellt wurde.
Nächste Schritte
Nachdem Sie den BYOK-Schutz konfiguriert haben, fahren Sie fort zu Erste Schritte mit Ihrem Mandantenstammschlüssel, um weitere Informationen zur Verwendung und Verwaltung Ihres Schlüssels zu erhalten.