Passaggio 2: Migrazione della chiave protetta da HSM a una chiave protetta da HSM

Queste istruzioni fanno parte del percorso di migrazione da AD RMS ad Azure Information Protection e sono applicabili solo se la chiave di AD RMS è protetta dal modulo di protezione hardware e si vuole eseguire la migrazione ad Azure Information Protection con una chiave del tenant protetta da HSM in Azure Key Vault.

Se non si tratta dello scenario di configurazione scelto, tornare al passaggio 4. Esportare i dati di configurazione da AD RMS e importarli in Azure RMS e scegliere una configurazione diversa.

Nota

Queste istruzioni presuppongono che la chiave AD RMS sia protetta da moduli. Questo è il caso più tipico.

Si tratta di una procedura in due parti per importare la chiave HSM e la configurazione di AD RMS in Azure Information Protection, per ottenere la chiave del tenant di Azure Information Protection gestita dall'utente (BYOK).

Poiché la chiave del tenant di Azure Information Protection verrà archiviata e gestita da Azure Key Vault, questa parte della migrazione richiede l'amministrazione in Azure Key Vault, oltre ad Azure Information Protection. Se Azure Key Vault è gestito da un amministratore diverso da quello dell'organizzazione, è necessario coordinare e collaborare con tale amministratore per completare queste procedure.

Prima di iniziare, assicurarsi che l'organizzazione disponga di un insieme di credenziali delle chiavi creato in Azure Key Vault e che supporti le chiavi protette dal modulo di protezione hardware. Anche se non è necessario, è consigliabile disporre di un insieme di credenziali delle chiavi dedicato per Azure Information Protection. Questo insieme di credenziali delle chiavi verrà configurato per consentire al servizio Azure Rights Management di accedervi, pertanto le chiavi archiviate da questo insieme di credenziali delle chiavi devono essere limitate solo alle chiavi di Azure Information Protection.

Suggerimento

Se si eseguono i passaggi di configurazione per Azure Key Vault e non si ha familiarità con questo servizio di Azure, potrebbe risultare utile vedere Introduzione ad Azure Key Vault.

Parte 1: Trasferire la chiave del modulo di protezione hardware in Azure Key Vault

Queste procedure vengono eseguite dall'amministratore per Azure Key Vault.

1. Per ogni chiave SLC esportata da archiviare in Azure Key Vault, seguire le istruzioni della documentazione di Azure Key Vault, usando Implementazione di BYOK (Bring Your Own Key) per Azure Key Vault con l'eccezione seguente:

   • Non eseguire i passaggi per Generare la chiave del tenant, perché si dispone già dell'equivalente della distribuzione di AD RMS. Identificare invece le chiavi usate dal server AD RMS dall'installazione di nCipher e preparare queste chiavi per il trasferimento e quindi trasferirle in Azure Key Vault.

     I file di chiave crittografati per nCipher sono denominati key_<keyAppName>_<keyIdentifier> localmente nel server. Ad esempio, C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54. Sarà necessario il valore mscapi come keyAppName e il proprio valore per l'identificatore di chiave quando si esegue il comando KeyTransferRemote per creare una copia della chiave con autorizzazioni ridotte.

     Quando la chiave viene caricata in Azure Key Vault, vengono visualizzate le proprietà della chiave, che include l'ID chiave. Sarà simile a https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Prendere nota di questo URL perché l'amministratore di Azure Information Protection deve indicare al servizio Azure Rights Management di usare questa chiave per la chiave del tenant.

2. Nella workstation connessa a Internet, in una sessione di PowerShell, usare il cmdlet Set-AzKeyVaultAccessPolicy per autorizzare l'entità servizio Azure Rights Management ad accedere all'insieme di credenziali delle chiavi che archivierà la chiave del tenant di Azure Information Protection. Le autorizzazioni necessarie sono decrittografare, crittografare, annullare il wrappingkey, verificare e firmare.

   Ad esempio, se l'insieme di credenziali delle chiavi creato per Azure Information Protection è denominato contoso-byok-ky e il gruppo di risorse è denominato contoso-byok-rg, eseguire il comando seguente:

   Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
   

Dopo aver preparato la chiave del modulo di protezione hardware in Azure Key Vault per il servizio Azure Rights Management da Azure Information Protection, è possibile importare i dati di configurazione di AD RMS.

Parte 2: Importare i dati di configurazione in Azure Information Protection

Queste procedure vengono eseguite dall'amministratore di Azure Information Protection.

1. Nella workstation con connessione Internet e nella sessione di PowerShell connettersi al servizio Azure Rights Management usando il cmdlet Connessione-AipService.

   Caricare quindi ogni file di dominio di pubblicazione attendibile (con estensione xml) usando il cmdlet Import-AipServiceTpd . Ad esempio, è necessario avere almeno un file aggiuntivo da importare se è stato aggiornato il cluster AD RMS per la modalità di crittografia 2.

   Per eseguire questo cmdlet, è necessaria la password specificata in precedenza per ogni file di dati di configurazione e l'URL per la chiave identificata nel passaggio precedente.

   Ad esempio, usando un file di dati di configurazione C:\contoso-tpd1.xml e il valore dell'URL della chiave del passaggio precedente, eseguire prima di tutto quanto segue per archiviare la password:

    $TPD_Password = Read-Host -AsSecureString
   

   Immettere la password specificata per esportare il file di dati di configurazione. Eseguire quindi il comando seguente e verificare di voler eseguire questa azione:

   Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
   

   Come parte di questa importazione, la chiave SLC viene importata e impostata automaticamente come archiviata.

2. Dopo aver caricato ogni file, eseguire Set-AipServiceKeyProperties per specificare la chiave importata corrispondente alla chiave SLC attualmente attiva nel cluster AD RMS. Questa chiave diventa la chiave del tenant attiva per il servizio Azure Rights Management.

3. Usare il cmdlet Disconnect-AipServiceService per disconnettersi dal servizio Azure Rights Management:

   Disconnect-AipServiceService
   

Se in un secondo momento è necessario verificare quale chiave usa la chiave del tenant di Azure Information Protection in Azure Key Vault, usare il cmdlet Get-AipServiceKeys di Azure RMS.

A questo punto è possibile passare al passaggio 5. Attivare il servizio Azure Rights Management.