Szczegóły funkcji BYOK (Bring your own key) dla usługi Azure Information Protection

Uwaga

Szukasz Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?

Klient ujednoliconego etykietowania platformy Azure Information Protection jest teraz w trybie konserwacji. Zalecamy używanie etykiet wbudowanych w aplikacje i usługi Office 365. Dowiedz się więcej

Organizacje z subskrypcją usługi Azure Information Protection mogą zdecydować się na skonfigurowanie dzierżawy przy użyciu własnego klucza zamiast domyślnego klucza wygenerowanego przez firmę Microsoft. Ta konfiguracja jest często określana jako Bring Your Own Key (BYOK).

Funkcja BYOK i rejestrowanie użycia bezproblemowo współpracują z aplikacjami, które integrują się z usługą Azure Rights Management używaną przez usługę Azure Information Protection.

Obsługiwane aplikacje obejmują:

  • Usługi w chmurze, takie jak Microsoft SharePoint lub Microsoft 365

  • Usługi lokalne z uruchomionymi aplikacjami Programu Exchange i SharePoint korzystającymi z usługi Azure Rights Management za pośrednictwem łącznika usługi RMS

  • Aplikacje klienckie, takie jak Office 2019, Office 2016 i Office 2013

Porada

W razie potrzeby zastosuj dodatkowe zabezpieczenia do określonych dokumentów przy użyciu dodatkowego klucza lokalnego. Aby uzyskać więcej informacji, zobacz Podwójna ochrona za pomocą szyfrowania kluczy (DKE) (tylko klient ujednoliconego etykietowania).

Magazyn kluczy usługi Azure Key Vault

Klucze generowane przez klienta muszą być przechowywane w usłudze Azure Key Vault w celu ochrony za pomocą funkcji BYOK.

Uwaga

Korzystanie z kluczy chronionych przez moduł HSM w usłudze Azure Key Vault wymaga warstwy usługi Azure Key Vault Premium, która wiąże się z dodatkową miesięczną opłatą za subskrypcję.

Udostępnianie magazynów kluczy i subskrypcji

Zalecamy używanie dedykowanego magazynu kluczy dla klucza dzierżawy. Dedykowane magazyny kluczy pomagają zapewnić, że wywołania innych usług nie powodują przekroczenia limitów usług . Przekroczenie limitów usług w magazynie kluczy, w którym jest przechowywany klucz dzierżawy, może spowodować ograniczenie czasu odpowiedzi dla usługi Azure Rights Management.

Ponieważ różne usługi mają różne wymagania dotyczące zarządzania kluczami, firma Microsoft zaleca również korzystanie z dedykowanej subskrypcji platformy Azure dla magazynu kluczy. Dedykowane subskrypcje platformy Azure:

  • Ochrona przed błędami konfiguracji

  • Są bezpieczniejsze, gdy różne usługi mają różnych administratorów

Aby udostępnić subskrypcję platformy Azure innym usługom korzystającym z usługi Azure Key Vault, upewnij się, że subskrypcja udostępnia wspólny zestaw administratorów. Potwierdzanie, że wszyscy administratorzy, którzy korzystają z subskrypcji, mają solidne zrozumienie każdego klucza, do którego mogą uzyskać dostęp, oznacza, że są mniej skłonni do błędnej konfiguracji kluczy.

Przykład: użycie udostępnionej subskrypcji platformy Azure, gdy administratorzy klucza dzierżawy usługi Azure Information Protection są tymi samymi osobami, które administrowają kluczami dla Office 365 Klucz klienta i CRM online. Jeśli administratorzy kluczy dla tych usług są różne, zalecamy korzystanie z dedykowanych subskrypcji.

Zalety używania usługi Azure Key Vault

Usługa Azure Key Vault zapewnia scentralizowane i spójne rozwiązanie do zarządzania kluczami dla wielu usług opartych na chmurze i lokalnych korzystających z szyfrowania.

Oprócz funkcji zarządzania kluczami usługa Azure Key Vault zapewnia administratorom zabezpieczeń jednolite środowisko zarządzania przechowywaniem certyfikatów i informacji poufnych (na przykład haseł), a także zarządzaniem nimi i dostępem do nich, dla innych usług i aplikacji korzystających z szyfrowania.

Przechowywanie klucza dzierżawy w usłudze Azure Key Vault zapewnia następujące korzyści:

Zaleta Opis
Wbudowane interfejsy Usługa Azure Key Vault obsługuje szereg wbudowanych interfejsów do zarządzania kluczami, takich jak program PowerShell, interfejs wiersza polecenia, interfejsy API REST oraz portal Azure.

Inne usługi i narzędzia zostały zintegrowane z Key Vault w celu zoptymalizowania możliwości określonych zadań, takich jak monitorowanie.

Na przykład przeanalizuj kluczowe dzienniki użycia za pomocą usługi Log Analytics pakietu Operations Management Suite, ustaw alerty po spełnieniu określonych kryteriów itd.
Separacja ról Usługa Azure Key Vault zapewnia separację ról jako uznane najlepsze rozwiązanie w zakresie zabezpieczeń.

Separacja ról zapewnia, że administratorzy platformy Azure Information Protection mogą skupić się na najwyższych priorytetach, w tym zarządzaniu klasyfikacją i ochroną danych, a także kluczach szyfrowania i zasadach dotyczących określonych wymagań dotyczących zabezpieczeń lub zgodności.
Lokalizacja klucza głównego Usługa Azure Key Vault jest dostępna w różnych lokalizacjach i obsługuje organizacje z ograniczeniami, w których klucze główne mogą być aktywne.

Aby uzyskać więcej informacji, zobacz stronę Products available by region (Produkty dostępne według regionów ) w witrynie platformy Azure.
Oddzielone domeny zabezpieczeń Usługa Azure Key Vault używa oddzielnych domen zabezpieczeń dla centrów danych w regionach, takich jak Ameryka Północna, EMEA (Europa, Bliski Wschód i Afryka) i Azja.

Usługa Azure Key Vault używa również różnych wystąpień platformy Azure, takich jak Microsoft Azure (Niemcy) i Azure Government.
Ujednolicone środowisko Usługa Azure Key Vault umożliwia również administratorom zabezpieczeń przechowywanie, uzyskiwanie dostępu do certyfikatów i wpisów tajnych oraz zarządzanie nimi, takich jak hasła, w przypadku innych usług korzystających z szyfrowania.

Korzystanie z usługi Azure Key Vault dla kluczy dzierżawy zapewnia bezproblemowe środowisko użytkownika dla administratorów, którzy zarządzają wszystkimi tymi elementami.

Aby uzyskać najnowsze aktualizacje i dowiedzieć się, jak inne usługi korzystają z usługi Azure Key Vault, odwiedź blog zespołu usługi Azure Key Vault.

Rejestrowanie użycia dla usługi BYOK

Dzienniki użycia są generowane przez każdą aplikację, która wysyła żądania do usługi Azure Rights Management.

Mimo że rejestrowanie użycia jest opcjonalne, zalecamy użycie dzienników użycia niemal w czasie rzeczywistym z usługi Azure Information Protection, aby zobaczyć dokładnie, jak i kiedy jest używany klucz dzierżawy.

Aby uzyskać więcej informacji na temat rejestrowania użycia kluczy dla funkcji BYOK, zobacz Rejestrowanie i analizowanie użycia ochrony z usługi Azure Information Protection.

Porada

Aby zapewnić dodatkową pewność, rejestrowanie użycia usługi Azure Information Protection można przywoływać się do rejestrowania usługi Azure Key Vault. Key Vault dzienniki zapewniają niezawodną metodę niezależnego monitorowania, że klucz jest używany tylko przez usługę Azure Rights Management.

W razie potrzeby natychmiast odwołaj dostęp do klucza, usuwając uprawnienia w magazynie kluczy.

Opcje tworzenia i przechowywania klucza

Uwaga

Aby uzyskać więcej informacji na temat oferty zarządzanego modułu HSM oraz sposobu konfigurowania magazynu i klucza, zobacz dokumentację usługi Azure Key Vault.

Dodatkowe instrukcje dotyczące udzielania autoryzacji klucza zostały opisane poniżej.

Usługa BYOK obsługuje klucze utworzone w usłudze Azure Key Vault lub lokalnie.

Jeśli tworzysz klucz lokalnie, musisz przenieść go lub zaimportować do Key Vault i skonfigurować usługę Azure Information Protection do używania klucza. Wykonaj dodatkowe zarządzanie kluczami z poziomu usługi Azure Key Vault.

Opcje tworzenia i przechowywania własnego klucza:

  • Utworzono w usłudze Azure Key Vault. Utwórz i zapisz klucz na platformie Azure Key Vault jako klucz chroniony przez moduł HSM lub klucz chroniony przez oprogramowanie.

  • Utworzono lokalnie. Utwórz klucz lokalnie i przenieś go na platformę Azure Key Vault przy użyciu jednej z następujących opcji:

    • Klucz chroniony przez moduł HSM, przesyłany jako klucz chroniony przez moduł HSM. Najbardziej typowa metoda wybrana.

      Chociaż ta metoda ma największe obciążenie administracyjne, może być wymagane, aby organizacja przestrzegała określonych przepisów. Moduły HSM używane przez usługę Azure Key Vault są weryfikowane na poziomie 140–2 FIPS 140–2.

    • Klucz chroniony przez oprogramowanie, który jest konwertowany i przenoszony na platformę Azure Key Vault jako klucz chroniony przez moduł HSM. Ta metoda jest obsługiwana tylko w przypadku migracji z usług Active Directory Rights Management Services (AD RMS).

    • Utworzono lokalnie jako klucz chroniony przez oprogramowanie i przeniesiono go na platformę Azure Key Vault jako klucz chroniony przez oprogramowanie. Ta metoda wymaga . Plik certyfikatu PFX.

Na przykład wykonaj następujące czynności, aby użyć klucza utworzonego lokalnie:

  1. Wygeneruj klucz dzierżawy w środowisku lokalnym zgodnie z zasadami IT i zabezpieczeń organizacji. Ten klucz jest kopią główną. Pozostaje ona lokalna i jest wymagana do jej tworzenia kopii zapasowej.

  2. Utwórz kopię klucza głównego i bezpiecznie przetransferuj go z modułu HSM do usługi Azure Key Vault. W tym procesie kopia główna klucza nigdy nie pozostawia granicy ochrony sprzętu.

Po przeniesieniu kopia klucza jest chroniona przez usługę Azure Key Vault.

Eksportowanie zaufanej domeny publikowania

Jeśli kiedykolwiek zdecydujesz się przestać korzystać z usługi Azure Information Protection, musisz mieć zaufaną domenę publikowania (TPD), aby odszyfrować zawartość chronioną przez usługę Azure Information Protection.

Jednak eksportowanie tpD nie jest obsługiwane, jeśli używasz funkcji BYOK dla klucza usługi Azure Information Protection.

Aby przygotować się do tego scenariusza, pamiętaj o utworzeniu odpowiedniego modułu TPD przed upływem czasu. Aby uzyskać więcej informacji, zobacz How to prepare an Azure Information Protection "Cloud Exit" plan (Jak przygotować plan zakończenia chmury).

Implementowanie rozwiązania BYOK dla klucza dzierżawy usługi Azure Information Protection

Aby zaimplementować funkcję BYOK, wykonaj następujące kroki:

  1. Zapoznaj się z wymaganiami wstępnymi rozwiązania BYOK
  2. Wybieranie lokalizacji Key Vault
  3. Tworzenie i konfigurowanie klucza

Wymagania wstępne dotyczące funkcji BYOK

Wymagania wstępne byOK różnią się w zależności od konfiguracji systemu. Sprawdź, czy system spełnia następujące wymagania wstępne zgodnie z potrzebami:

Wymaganie Opis
Subskrypcja platformy Azure Wymagane dla wszystkich konfiguracji.
Aby uzyskać więcej informacji, zobacz Weryfikowanie, czy masz subskrypcję platformy Azure zgodną z funkcją BYOK.
Moduł programu PowerShell usługi AIPService dla usługi Azure Information Protection Wymagane dla wszystkich konfiguracji.
Aby uzyskać więcej informacji, zobacz Instalowanie modułu AIPService programu PowerShell.
Wymagania wstępne usługi Azure Key Vault dotyczące rozwiązania BYOK Jeśli używasz klucza chronionego przez moduł HSM, który został utworzony lokalnie, upewnij się, że spełniasz również wymagania wstępne dotyczące usługi BYOK wymienione w dokumentacji usługi Azure Key Vault.
Oprogramowanie układowe Thales w wersji 11.62 Jeśli migrujesz z usług AD RMS do usługi Azure Information Protection przy użyciu klucza oprogramowania sprzętowego do klucza sprzętowego firmy Thales, musisz mieć wersję oprogramowania układowego firmy Thales w wersji 11.62, jeśli migrujesz z usług AD RMS do usługi Azure Information Protection przy użyciu klucza oprogramowania sprzętowego i używasz oprogramowania układowego Firmy Thales dla modułu HSM.
Obejście zapory dla zaufanych usług firmy Microsoft Jeśli magazyn kluczy zawierający klucz dzierżawy używa Virtual Network punktów końcowych usługi dla usługi Azure Key Vault, musisz zezwolić zaufanym usługom firmy Microsoft na obejście tej zapory.
Aby uzyskać więcej informacji, zobacz Virtual Network Service Endpoints for Azure Key Vault (Punkty końcowe usługi Virtual Network dla usługi Azure Key Vault).

Sprawdzanie, czy masz subskrypcję platformy Azure zgodną z funkcją BYOK

Dzierżawa usługi Azure Information Protection musi mieć subskrypcję platformy Azure. Jeśli jeszcze go nie masz, możesz zarejestrować się w celu uzyskania bezpłatnego konta. Jednak aby użyć klucza chronionego przez moduł HSM, musisz mieć warstwę usługi Azure Key Vault Premium.

Bezpłatna subskrypcja platformy Azure, która zapewnia dostęp do konfiguracji usługi Azure Active Directory i konfiguracji szablonu niestandardowego usługi Azure Rights Management, nie jest wystarczająca do korzystania z usługi Azure Key Vault.

Aby sprawdzić, czy masz subskrypcję platformy Azure zgodną z rozwiązaniem BYOK, wykonaj następujące czynności, korzystając z poleceń cmdlet Azure PowerShell:

  1. Uruchom sesję Azure PowerShell jako administrator.

  2. Zaloguj się jako administrator globalny dla dzierżawy usługi Azure Information Protection przy użyciu polecenia Connect-AzAccount.

  3. Skopiuj token wyświetlany do schowka. Następnie w przeglądarce przejdź do https://microsoft.com/devicelogin i wprowadź skopiowany token.

    Aby uzyskać więcej informacji, zobacz Logowanie się przy użyciu Azure PowerShell.

  4. W sesji programu PowerShell wprowadź , Get-AzSubscriptiona następnie upewnij się, że są wyświetlane następujące wartości:

    • Nazwa i identyfikator subskrypcji
    • Identyfikator dzierżawy usługi Azure Information Protection
    • Potwierdzenie włączenia stanu

    Jeśli nie są wyświetlane żadne wartości i zostanie zwrócony monit, nie masz subskrypcji platformy Azure, która może być używana dla usługi BYOK.

Wybieranie lokalizacji magazynu kluczy

Podczas tworzenia magazynu kluczy zawierającego klucz do użycia jako klucz dzierżawy dla usługi Azure Information należy określić lokalizację. Ta lokalizacja to region platformy Azure lub wystąpienie platformy Azure.

Najpierw wybierz zgodność, a następnie zminimalizuj opóźnienie sieci:

  • Jeśli wybrano metodę klucza BYOK ze względów zgodności, te wymagania dotyczące zgodności mogą również określać, którego regionu lub wystąpienia platformy Azure można użyć do przechowywania klucza dzierżawy usługi Azure Information Protection.

  • Wszystkie wywołania kryptograficzne łańcucha ochrony do klucza usługi Azure Information Protection. W związku z tym możesz zminimalizować opóźnienie sieci wymagane przez utworzenie magazynu kluczy w tym samym regionie lub wystąpieniu platformy Azure co dzierżawa usługi Azure Information Protection.

Aby zidentyfikować lokalizację dzierżawy usługi Azure Information Protection, użyj polecenia cmdlet Get-AipServiceConfiguration programu PowerShell i zidentyfikuj region z adresów URL. Przykład:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

Region jest rozpoznawalny z rms.na.aadrm.com, a w tym przykładzie znajduje się on w Ameryka Północna.

W poniższej tabeli wymieniono zalecane regiony i wystąpienia platformy Azure w celu zminimalizowania opóźnienia sieci:

Region lub wystąpienie platformy Azure Zalecana lokalizacja magazynu kluczy
rms.na.aadrm.com Północno-środkowe stany USA lub Wschodnie stany USA
rms.eu.aadrm.com Europa Północna lub Europa Zachodnia
rms.ap.aadrm.com Azja Wschodnia lub Azja Południowo-Wschodnia
rms.sa.aadrm.com Zachodnie stany USA lub Wschodnie stany USA
rms.govus.aadrm.com Środkowe stany USA lub Wschodnie stany USA 2
rms.aadrm.us US Gov Virginia lub US Gov Arizona
rms.aadrm.cn Chiny Wschodnie 2 lub Chiny Północne 2

Tworzenie i konfigurowanie klucza

Utwórz Key Vault platformy Azure i klucz, którego chcesz użyć dla usługi Azure Information Protection. Aby uzyskać więcej informacji, zobacz dokumentację usługi Azure Key Vault.

Zwróć uwagę na następujące kwestie dotyczące konfigurowania usługi Azure Key Vault i klucza dla rozwiązania BYOK:

Wymagania dotyczące długości klucza

Podczas tworzenia klucza upewnij się, że długość klucza to 2048 bitów (zalecane) lub 1024 bitów. Inne długości kluczy nie są obsługiwane przez usługę Azure Information Protection.

Uwaga

Klucze 1024-bitowe nie są uważane za zapewniające odpowiedni poziom ochrony dla aktywnych kluczy dzierżawy.

Firma Microsoft nie popiera używania niższych długości kluczy, takich jak 1024-bitowe klucze RSA, oraz skojarzonego użycia protokołów, które oferują nieodpowiedni poziom ochrony, na przykład SHA-1.

Tworzenie klucza chronionego przez moduł HSM lokalnie i przenoszenie go do magazynu kluczy

Aby utworzyć klucz chroniony przez moduł HSM lokalnie i przenieść go do magazynu kluczy jako klucz chroniony przez moduł HSM, postępuj zgodnie z procedurami w dokumentacji usługi Azure Key Vault: Jak wygenerować i przenieść klucze chronione przez moduł HSM dla usługi Azure Key Vault.

Aby usługa Azure Information Protection korzystała z przekazanego klucza, wszystkie operacje Key Vault muszą być dozwolone dla klucza, w tym:

  • encrypt
  • Odszyfrować
  • zawijaniekey
  • unwrapKey
  • znak
  • verify

Domyślnie wszystkie operacje Key Vault są dozwolone.

Aby sprawdzić dozwolone operacje dla określonego klucza, uruchom następujące polecenie programu PowerShell:

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

W razie potrzeby dodaj dozwolone operacje przy użyciu polecenia Update-AzKeyVaultKey i parametru KeyOps .

Konfigurowanie usługi Azure Information Protection przy użyciu identyfikatora klucza

Klucze przechowywane w Key Vault platformy Azure mają identyfikator klucza.

Identyfikator klucza to adres URL zawierający nazwę magazynu kluczy, kontener kluczy, nazwę klucza i wersję klucza. Na przykład: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333

Skonfiguruj usługę Azure Information Protection do użycia klucza, określając adres URL magazynu kluczy.

Autoryzowanie usługi Azure Rights Management do używania klucza

Usługa Azure Rights Management musi być autoryzowana do używania klucza. Administratorzy usługi Azure Key Vault mogą włączyć tę autoryzację przy użyciu Azure Portal lub Azure PowerShell.

Włączanie autoryzacji klucza przy użyciu Azure Portal
  1. Zaloguj się do Azure Portal i przejdź do pozycji Magazyny><kluczy Nazwa>> magazynu kluczyZasady> dostępuDodaj nowe.

  2. W okienku Dodawanie zasad dostępu z listy Konfigurowanie z szablonu (opcjonalnie) wybierz pozycję Azure Information Protection BYOK, a następnie kliknij przycisk OK.

    Wybrany szablon ma następującą konfigurację:

    • Ustawienie Wybierz wartość główną ma wartość Microsoft Rights Management Services.
    • Wybrane uprawnienia klucza obejmują pobieranie, odszyfrowywanie i podpisywanie.
Włączanie autoryzacji klucza przy użyciu programu PowerShell

Uruchom polecenie cmdlet programu Key Vault PowerShell, Set-AzKeyVaultAccessPolicy i przyznaj uprawnienia jednostce usługi Azure Rights Management przy użyciu identyfikatora GUID 00000012-0000-0000-c000-0000000000000000.

Przykład:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Włączanie autoryzacji klucza dla zarządzanych kluczy HSM za pośrednictwem interfejsu wiersza polecenia platformy Azure

Aby udzielić uprawnień użytkownika jednostki usługi Azure Rights Management jako zarządzanego użytkownika kryptograficznego modułu HSM , uruchom następujące polecenie:

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey

Gdzie:

  • ContosoMHSM to przykładowa nazwa modułu HSM. Podczas uruchamiania tego polecenia zastąp tę wartość własną nazwą modułu HSM.

Rola użytkownika kryptograficznego zarządzanego modułu HSM umożliwia użytkownikowi odszyfrowywanie, podpisywanie i uzyskiwanie uprawnień do klucza, które są wymagane dla funkcji zarządzanego modułu HSM.

Konfigurowanie usługi Azure Information Protection do używania klucza

Po wykonaniu wszystkich powyższych kroków możesz skonfigurować usługę Azure Information Protection do używania tego klucza jako klucza dzierżawy organizacji.

Za pomocą poleceń cmdlet usługi Azure RMS uruchom następujące polecenia:

  1. Połącz się z usługą Azure Rights Management i zaloguj się:

    Connect-AipService
    
  2. Uruchom polecenie cmdlet Use-AipServiceKeyVaultKey, określając adres URL klucza. Przykład:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
    

    Ważne

    W tym przykładzie jest to wersja klucza, <key-version> którego chcesz użyć. Jeśli nie określisz wersji, bieżąca wersja klucza jest używana domyślnie i polecenie może wydawać się działać. Jeśli jednak klucz zostanie później zaktualizowany lub odnowiony, usługa Azure Rights Management przestanie działać dla dzierżawy, nawet jeśli ponownie uruchomisz polecenie Use-AipServiceKeyVaultKey .

    Użyj polecenia Get-AzKeyVaultKey zgodnie z potrzebami, aby uzyskać numer wersji bieżącego klucza.

    Na przykład: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    Aby upewnić się, że adres URL klucza jest poprawnie ustawiony dla usługi Azure Information Protection, uruchom polecenie Get-AzKeyVaultKey w usłudze Azure Key Vault, aby wyświetlić adres URL klucza.

  3. Jeśli usługa Azure Rights Management została już aktywowana, uruchom polecenie Set-AipServiceKeyProperties, aby poinformować usługę Azure Information Protection o użyciu tego klucza jako aktywnego klucza dzierżawy dla usługi Azure Rights Management.

Usługa Azure Information Protection jest teraz skonfigurowana do używania klucza zamiast domyślnego klucza utworzonego przez firmę Microsoft, który został automatycznie utworzony dla dzierżawy.

Następne kroki

Po skonfigurowaniu ochrony byOK przejdź do sekcji Wprowadzenie do klucza głównego dzierżawy , aby uzyskać więcej informacji na temat korzystania z klucza i zarządzania nim.