Door de klant beheerde sleutels gebruiken in Azure Key Vault voor import-/exportservice

Azure Import/Export beveiligt de BitLocker-sleutels die worden gebruikt om de stations via een versleutelingssleutel te vergrendelen. BitLocker-sleutels worden standaard versleuteld met door Microsoft beheerde sleutels. Voor extra controle over versleutelingssleutels kunt u ook door de klant beheerde sleutels opgeven.

Door de klant beheerde sleutels moeten worden gemaakt en opgeslagen in een Azure Key Vault. Zie Wat is Azure Key Vault? voor meer informatie over Azure Key Vault.

In dit artikel wordt beschreven hoe u door de klant beheerde sleutels gebruikt met de Import/Export-service in Azure Portal.

Vereisten

Zorg voordat u begint voor het volgende:

  1. U hebt een import- of exporttaak gemaakt volgens de instructies in:

  2. U hebt een bestaande Azure Key Vault met daarin een sleutel die u kunt gebruiken om uw BitLocker-sleutel te beveiligen. Zie de quickstart: Een Azure Key Vault maken met behulp van Azure Portal voor meer informatie over het maken van een sleutelkluis met behulp van Azure Portal.

    • Voorlopig verwijderen en niet opschonen zijn ingesteld op uw bestaande sleutelkluis. Deze eigenschappen zijn niet standaard ingeschakeld. Als u deze eigenschappen wilt inschakelen, raadpleegt u de secties getiteld Voorlopig verwijderen inschakelen en Beveiliging tegen opschonen inschakelen in een van de volgende artikelen:

    • De bestaande sleutelkluis moet een RSA-sleutel van 2048 of meer hebben. Zie Over sleutels voor meer informatie over sleutels.

    • De sleutelkluis moet zich in dezelfde regio bevinden als het opslagaccount voor uw gegevens.

    • Als u geen bestaande Azure Key Vault hebt, kunt u deze ook inline maken, zoals beschreven in de volgende sectie.

Sleutels inschakelen

Het configureren van door de klant beheerde sleutel voor uw Import/Export-service is optioneel. De Import/Export-service maakt standaard gebruik van een door Microsoft beheerde sleutel om uw BitLocker-sleutel te beveiligen. Voer de volgende stappen uit om door de klant beheerde sleutels in te schakelen in Azure Portal:

  1. Ga naar de blade Overzicht voor uw importtaak.

  2. Selecteer in het rechterdeelvenster De optie Kiezen hoe uw BitLocker-sleutels worden versleuteld.

    Screenshot of Overview blade for Azure Import/Export job. Overview menu item and link that opens BitLocker key options are highlighted.

  3. Op de blade Versleuteling kunt u de BitLocker-sleutel van het apparaat bekijken en kopiƫren. Onder Versleutelingstype kunt u kiezen hoe u uw BitLocker-sleutel wilt beveiligen. Standaard wordt een door Microsoft beheerde sleutel gebruikt.

    Screenshot of Encryption blade for an Azure Import/Export order. Encryption menu item is highlighted.

  4. U kunt een door de klant beheerde sleutel opgeven. Nadat u de door de klant beheerde sleutel hebt geselecteerd, selecteert u de sleutelkluis en een sleutel.

    Screenshot of Encryption blade for Azure Import/Export job.

  5. Het abonnement wordt automatisch ingevuld in de blade Sleutel selecteren in Azure Key Vault. Voor Sleutelkluis kunt u een bestaande sleutelkluis selecteren in de vervolgkeuzelijst.

    Screenshot of the

  6. U kunt ook Nieuwe maken selecteren om een nieuwe sleutelkluis te maken. Voer op de blade Sleutelkluis maken de resourcegroep en de naam van de sleutelkluis in. Accepteer alle andere standaardwaarden. Selecteer Controleren + maken.

    Screenshot of

  7. Controleer de informatie die is gekoppeld aan uw sleutelkluis en selecteer Maken. Wacht enkele minuten totdat het maken van de sleutelkluis is voltooid.

    Screenshot of the Review Plus Create screen for a new Azure key vault. The Create button is highlighted.

  8. In de sleutel Selecteren in Azure Key Vault kunt u een sleutel selecteren in de bestaande sleutelkluis.

  9. Als u een nieuwe sleutelkluis hebt gemaakt, selecteert u Nieuwe maken om een sleutel te maken. RSA-sleutelgrootte kan 2048 of hoger zijn.

    Screenshot of the

    Als de beveiliging tegen voorlopig verwijderen en opschonen niet is ingeschakeld wanneer u de sleutelkluis maakt, wordt de sleutelkluis bijgewerkt zodat voorlopig verwijderen en beveiliging tegen opschonen is ingeschakeld.

  10. Geef de naam voor uw sleutel op, accepteer de andere standaardwaarden en selecteer Maken.

    Screenshot of the

  11. Selecteer de versie en kies Selecteren. U krijgt een melding dat er een sleutel wordt gemaakt in uw sleutelkluis.

    Screenshot of the

Op de blade Versleuteling ziet u de sleutelkluis en de sleutel die is geselecteerd voor de door de klant beheerde sleutel.

Belangrijk

U kunt door Microsoft beheerde sleutels alleen uitschakelen en verplaatsen naar door de klant beheerde sleutels in een willekeurige fase van de import-/exporttaak. U kunt de door de klant beheerde sleutel echter niet uitschakelen nadat u deze hebt gemaakt.

Fouten met door de klant beheerde sleutel oplossen

Als u fouten ontvangt met betrekking tot uw door de klant beheerde sleutel, gebruikt u de volgende tabel om problemen op te lossen:

Foutcode Details Herstelbare?
CmkErrorAccessRevoked De toegang tot de door de klant beheerde sleutel wordt ingetrokken. Ja, controleer of:
  1. Key Vault heeft nog steeds de MSI in het toegangsbeleid.
  2. Toegangsbeleid heeft machtigingen voor Ophalen, Verpakken en Uitpakken ingeschakeld.
  3. Als de sleutelkluis zich in een VNet achter de firewall bevindt, controleert u of Microsoft Trusted Services toestaan is ingeschakeld.
  4. Controleer of de MSI van de taakresource opnieuw is ingesteld op None het gebruik van API's.
    Zo ja, dan stelt u de waarde weer in op Identity = SystemAssigned. Hiermee wordt de identiteit voor de taakresource opnieuw gemaakt.
    Zodra de nieuwe identiteit is gemaakt, schakelt u de nieuwe identiteit in, schakelt u Getdeze Wrapin en Unwrap machtigingen voor de nieuwe identiteit in het toegangsbeleid van de sleutelkluis
CmkErrorKeyDisabled De door de klant beheerde sleutel is uitgeschakeld. Ja, door de sleutelversie in te schakelen
CmkErrorKeyNotFound Kan de door de klant beheerde sleutel niet vinden. Ja, als de sleutel is verwijderd, maar deze nog steeds binnen de opschoonduur valt, gebruikt u Sleutelkluissleutel verwijderen ongedaan maken.
Anders
  1. Ja, als de klant een back-up van de sleutel heeft en deze herstelt.
  2. Nee, anders.
CmkErrorVaultNotFound Kan de sleutelkluis van de door de klant beheerde sleutel niet vinden. Als de sleutelkluis is verwijderd:
  1. Ja, als deze zich in de duur van de beveiliging tegen opschonen bevindt, gebruikt u de stappen bij Een sleutelkluis herstellen.
  2. Nee, als deze langer is dan de duur van de beveiliging tegen opschonen.

Als de sleutelkluis anders is gemigreerd naar een andere tenant, ja, kan deze worden hersteld met behulp van een van de onderstaande stappen:
  1. De sleutelkluis terugzetten naar de oude tenant.
  2. Stel Identity = None de waarde in en stel deze vervolgens weer in op Identity = SystemAssigned. Hierdoor wordt de identiteit verwijderd en opnieuw gemaakt zodra de nieuwe identiteit is gemaakt. Schakel Get, Wrapen Unwrap machtigingen voor de nieuwe identiteit in het toegangsbeleid van de sleutelkluis in.

Volgende stappen