ステップ 2: HSM で保護されたキーから HSM で保護されたキーへの移行。

この手順は、AD RMS から Azure Information Protection への移行パスの一部であり、AD RMS キーが HSM で保護されているときに Azure Key Vault 内の HSM で保護されているテナント キーを持つ Azure Information Protection に移行する場合にのみ適用されます。

これが目的の構成シナリオでない場合は、「手順 4. AD RMS から構成データをエクスポートし、それを Azure Information Protection にインポートする」に戻って、別の構成を選択してください。

Note

これらの手順では、AD RMS キーがモジュールで保護されていることを前提としています。 これが最も典型的なケースです。

HSM キーと AD RMS 構成を Azure Information Protection にインポートして、Azure Information Protection テナント キーをユーザー(BYOK)が管理するための処置は 2 パーツあります。

Azure Information Protection テナント キーは Azure Key Vault によって格納および管理されるため、移行のこの部分では、Azure Information Protection に加えて、Azure Key Vault での管理が必要です。 Azure Key Vault が組織の管理者とは別の管理者によって管理されている場合、これらの手順を完了するには、組織の管理者と調整し、協力する処置を完了させ必要があります。

開始する前に、組織に Azure Key Vault で作成されたキー コンテナーがあり、HSM で保護されたキーをサポートしていることを確認します。 必須ではありませんが、Azure Information Protection 専用のキー コンテナーを用意することをお勧めします。 このキー コンテナーは、Azure Rights Management サービスがアクセスできるように設置されるため、このキー コンテナーに格納されるキーは Azure Information Protection キーのみに制限する必要があります。

ヒント

Azure Key Vault の構成手順を実行していて、この Azure サービスに慣れていない場合は、先ず 「Azure Key Vault をはじめましょう」をレビューすると便利な場合があります。

パーツ 1: キーを Azure Key Vault に転送する

これらの処置は、Azure Key Vault の管理者によって完了しました。。

1. Azure Key Vault に格納しようとするエクスポートされた SLC キーごとに、Azure Key Vault の Bring Your Own Key (BYOK) の実装を使用して 、Azure Key Vault のドキュメントの指示に従います。ただし、次の例外があります。

   • AD RMS のデプロイと同等のものが既に存在するため、「テナント キーを生成する」の手順は行わないでください。 代わりに、nCipher インストールから AD RMS サーバーによって使用されるキーを特定し、これらのキーを転送用に準備してから、Azure Key Vault に転送します。

     nCipher 用に暗号化されたキー ファイルの名前は、サーバー上のローカルな key_<keyAppName>_<keyIdentifier> です。 たとえば、C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54 のようにします。 keyAppName として mscapi 値を指定し、KeyTransferRemote コマンドを実行してアクセス許可を減らしてキーのコピーを作成するときに、キー識別子の独自の値が必要になります。

     キーが Azure Key Vault にアップロードされると、キー ID を含むキーのプロパティが表示されます。 これは https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. のようになります Azure Information Protection 管理者は、テナント キーにこのキーを使用するように Azure Rights Management サービスに指示する必要があるため、この URL を書き留めておきます。

2. インターネットに接続されたワークステーションの PowerShell セッションで、Set-AzKeyVaultAccessPolicy コマンドレットを使って、Azure Information Protection テナント キーを保存するキー コンテナーに Azure Rights Management サービス プリンシパルがアクセスするのを承認します。 必要なアクセス許可は、暗号化の解除、暗号化、アンラップキー、ラップキー、検証と署名です。

   たとえば、Azure Information Protection 用に作成したキー コンテナーの名前が contosorms-byok-kv、リソース グループの名前が contosorms-byok-rg である場合は、次のコマンドを実行します。

   Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
   

Azure Information Protection から Azure Rights Management サービス用に Azure Key Vault で HSM キーを準備したので、AD RMS 構成データをインポートする準備ができました。

パーツ 2: 構成データを Azure Information Protection にインポートする

これらの処置は Azure Information Protection の管理者によって完了しました。

1. インターネットに接続されたワークステーションでの PowerShell セッションで、Connect-AipService コマンドレットを使用して Azure Rights Management サービスに接続します。

   Import-AipServiceTpd コマンドレットを使用して、それぞれ信頼された発行ドメイン (.xml) ファイルをアップロードします。 たとえば、Cryptographic モード 2 用に AD RMS クラスターをアップグレードする場合は、インポートするファイルを少なくとも 1 つ追加する必要があります。

   このコマンドレットを実行するには、前に構成データ ファイルごとに指定したパスワードと、前の手順で識別したキーの URL が必要です。

   たとえば、C:\contoso-tpd1.xml の構成データ ファイルと前の手順のキー URL 値を使用して、最初に次を実行してパスワードを格納します。

    $TPD_Password = Read-Host -AsSecureString
   

   構成データ ファイルをエクスポートするために指定したパスワードを入力します。 次に、次のコマンドを実行し、このアクションを実行することを確認します。

   Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
   

   このインポートの一環として、SLC キーがインポートされ、アーカイブ済みとして自動的に設定されます。

2. 各ファイルをアップロードしたら Set-AipServiceKeyProperties を実行して、AD RMS クラスターで現在アクティブな SLC キーと一致するインポート済みのキーを指定します。 このキーは、Azure Rights Management サービスのアクティブなテナント キーになります。

3. Disconnect-AipServiceService コマンドレットを使用して Azure Rights Management サービスから切断します。

   Disconnect-AipServiceService
   

Azure Key Vault で Azure Information Protection テナント キーが使用しているキーを後で確認する必要がある場合は、Azure RMS コマンドレット Get-AipServiceKeys を使用します。

これで、「手順 5. Azure Rights Management サービスをアクティブにする」に進む準備ができました。