Udostępnij za pośrednictwem


Szczegóły byOK (Bring Your Own Key) dla usługi Azure Information Protection

Uwaga

Szukasz usługi Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?

Dodatek usługi Azure Information Protection został wycofany i zastąpiony etykietami wbudowanymi w aplikacje i usługi platformy Microsoft 365. Dowiedz się więcej o stanie pomocy technicznej innych składników usługi Azure Information Protection.

Klient usługi Microsoft Purview Information Protection (bez dodatku) jest ogólnie dostępny.

Organizacje z subskrypcją usługi Azure Information Protection mogą zdecydować się na skonfigurowanie dzierżawy przy użyciu własnego klucza zamiast stosowania klucza domyślnego wygenerowanego przez firmę Microsoft. Taka konfiguracja jest często określana jako BYOK (ang. Bring Your Own Key), czyli „Przynieś własny klucz”.

Funkcja BYOK i rejestrowanie użycia bezproblemowo współpracują z aplikacjami, które integrują się z usługą Azure Rights Management używaną przez usługę Azure Information Protection.

Obsługiwane aplikacje obejmują:

  • Usługi w chmurze, takie jak Microsoft SharePoint lub Microsoft 365

  • Usługi lokalne z uruchomionymi aplikacjami Programu Exchange i SharePoint korzystającymi z usługi Azure Rights Management za pośrednictwem łącznika usługi RMS

  • Aplikacje klienckie, takie jak Office 2019, Office 2016 i Office 2013

Napiwek

W razie potrzeby zastosuj dodatkowe zabezpieczenia do określonych dokumentów przy użyciu dodatkowego klucza lokalnego. Aby uzyskać więcej informacji, zobacz Ochrona za pomocą funkcji Double Key Encryption (DKE) (tylko klient ujednoliconego etykietowania).

Magazyn kluczy usługi Azure Key Vault

Klucze generowane przez klienta muszą być przechowywane w usłudze Azure Key Vault w celu ochrony za pomocą rozwiązania BYOK.

Uwaga

Korzystanie z kluczy chronionych przez moduł HSM w usłudze Azure Key Vault wymaga warstwy usługi Azure Key Vault Premium, która wiąże się z dodatkową miesięczną opłatą za subskrypcję.

Udostępnianie magazynów kluczy i subskrypcji

Zalecamy używanie dedykowanego magazynu kluczy dla klucza dzierżawy. Dedykowane magazyny kluczy pomagają zapewnić, że wywołania innych usług nie powodują przekroczenia limitów usług. Przekroczenie limitów usługi w magazynie kluczy, w którym jest przechowywany klucz dzierżawy, może spowodować ograniczenie czasu odpowiedzi dla usługi Azure Rights Management.

Ponieważ różne usługi mają różne wymagania dotyczące zarządzania kluczami, firma Microsoft zaleca również używanie dedykowanej subskrypcji platformy Azure dla magazynu kluczy. Dedykowane subskrypcje platformy Azure:

  • Pomoc w ochronie przed błędami konfiguracji

  • Są bezpieczniejsze, gdy różne usługi mają różnych administratorów

Aby udostępnić subskrypcję platformy Azure innym usługom korzystającym z usługi Azure Key Vault, upewnij się, że subskrypcja współużytkuje wspólny zestaw administratorów. Potwierdzenie, że wszyscy administratorzy korzystający z subskrypcji mają solidną wiedzę na temat każdego klucza, do którego mogą uzyskiwać dostęp, oznacza, że są mniej skłonni do błędnej konfiguracji kluczy.

Przykład: użycie udostępnionej subskrypcji platformy Azure, gdy administratorzy klucza dzierżawy usługi Azure Information Protection są tymi samymi osobami, które administrowają kluczami dla klucza klienta usługi Office 365 i crm online. Jeśli administratorzy kluczy dla tych usług są różni, zalecamy używanie dedykowanych subskrypcji.

Zalety korzystania z usługi Azure Key Vault

Usługa Azure Key Vault udostępnia scentralizowane i spójne rozwiązanie do zarządzania kluczami dla wielu usług lokalnych i opartych na chmurze korzystających z szyfrowania.

Oprócz zarządzania kluczami usługa Azure Key Vault oferuje administratorom zabezpieczeń to samo środowisko zarządzania do przechowywania certyfikatów i wpisów tajnych oraz zarządzania nimi (takich jak hasła) dla innych usług i aplikacji korzystających z szyfrowania.

Przechowywanie klucza dzierżawy w usłudze Azure Key Vault zapewnia następujące korzyści:

Korzyść opis
Wbudowane interfejsy Usługa Azure Key Vault obsługuje wiele wbudowanych interfejsów do zarządzania kluczami, w tym programu PowerShell, interfejsu wiersza polecenia, interfejsów API REST i witryny Azure Portal.

Inne usługi i narzędzia zostały zintegrowane z usługą Key Vault w celu zoptymalizowania możliwości określonych zadań, takich jak monitorowanie.

Na przykład przeanalizuj dzienniki użycia kluczy za pomocą usługi Operations Management Suite Log Analytics, ustaw alerty po spełnieniu określonych kryteriów itd.
Separacja ról Usługa Azure Key Vault zapewnia separację ról jako uznane najlepsze rozwiązanie w zakresie zabezpieczeń.

Separacja ról zapewnia, że administratorzy usługi Azure Information Protection mogą skupić się na najwyższych priorytetach, w tym zarządzaniu klasyfikacją i ochroną danych, a także na kluczach szyfrowania i zasadach dotyczących określonych wymagań dotyczących zabezpieczeń lub zgodności.
Lokalizacja klucza głównego Usługa Azure Key Vault jest dostępna w różnych lokalizacjach i obsługuje organizacje z ograniczeniami, w których klucze główne mogą żyć.

Aby uzyskać więcej informacji, zobacz stronę Produkty dostępne według regionów w witrynie platformy Azure.
Oddzielone domeny zabezpieczeń Usługa Azure Key Vault używa oddzielnych domen zabezpieczeń dla swoich centrów danych w regionach, takich jak Ameryka Północna, EMEA (Europa, Bliski Wschód i Afryka) oraz Azja.

Usługa Azure Key Vault używa również różnych wystąpień platformy Azure, takich jak Microsoft Azure (Niemcy) i Azure Government.
Ujednolicone środowisko Usługa Azure Key Vault umożliwia również administratorom zabezpieczeń przechowywanie, uzyskiwanie dostępu do certyfikatów i wpisów tajnych oraz zarządzanie nimi, takich jak hasła, w przypadku innych usług korzystających z szyfrowania.

Korzystanie z usługi Azure Key Vault dla kluczy dzierżawy zapewnia bezproblemowe środowisko użytkownika dla administratorów, którzy zarządzają wszystkimi tymi elementami.

Aby uzyskać najnowsze aktualizacje i dowiedzieć się, jak inne usługi korzystają z usługi Azure Key Vault, odwiedź blog zespołu usługi Azure Key Vault.

Rejestrowanie użycia dla funkcji BYOK

Dzienniki użycia są generowane przez każdą aplikację, która wysyła żądania do usługi Azure Rights Management.

Mimo że rejestrowanie użycia jest opcjonalne, zalecamy użycie dzienników użycia niemal w czasie rzeczywistym z usługi Azure Information Protection, aby zobaczyć dokładnie, jak i kiedy jest używany klucz dzierżawy.

Aby uzyskać więcej informacji na temat rejestrowania użycia kluczy dla usługi BYOK, zobacz Rejestrowanie i analizowanie użycia ochrony z usługi Azure Information Protection.

Napiwek

Aby uzyskać dodatkową gwarancję, rejestrowanie użycia usługi Azure Information Protection można przywoływać do rejestrowania usługi Azure Key Vault. Dzienniki usługi Key Vault zapewniają niezawodną metodę niezależnego monitorowania, że klucz jest używany tylko przez usługę Azure Rights Management.

W razie potrzeby natychmiast odwoływanie dostępu do klucza przez usunięcie uprawnień w magazynie kluczy.

Opcje tworzenia i przechowywania klucza

Uwaga

Aby uzyskać więcej informacji na temat oferty zarządzanego modułu HSM oraz sposobu konfigurowania magazynu i klucza, zobacz dokumentację usługi Azure Key Vault.

Dodatkowe instrukcje dotyczące udzielania autoryzacji klucza zostały opisane poniżej.

Usługa BYOK obsługuje klucze utworzone w usłudze Azure Key Vault lub lokalnie.

Jeśli tworzysz klucz lokalnie, musisz przenieść lub zaimportować go do usługi Key Vault i skonfigurować usługę Azure Information Protection do używania klucza. Wykonaj dodatkowe zarządzanie kluczami z poziomu usługi Azure Key Vault.

Opcje tworzenia i przechowywania własnego klucza:

  • Utworzono w usłudze Azure Key Vault. Utwórz i zapisz klucz w usłudze Azure Key Vault jako klucz chroniony przez moduł HSM lub klucz chroniony przez oprogramowanie.

  • Utworzono lokalnie. Utwórz klucz lokalnie i przenieś go do usługi Azure Key Vault przy użyciu jednej z następujących opcji:

    • Klucz chroniony przez moduł HSM przeniesiony jako klucz chroniony przez moduł HSM. Najbardziej typowa metoda wybrana.

      Chociaż ta metoda ma największe obciążenie administracyjne, może być wymagane, aby organizacja przestrzegała określonych przepisów. Moduły HSM używane przez usługę Azure Key Vault mają walidację ze standardem FIPS 140.

    • Klucz chroniony przez oprogramowanie, który jest konwertowany i przesyłany do usługi Azure Key Vault jako klucz chroniony przez moduł HSM. Ta metoda jest obsługiwana tylko w przypadku migracji z usługi Usługi Active Directory Rights Management (AD RMS).

    • Utworzono lokalnie jako klucz chroniony przez oprogramowanie i przeniesiono go do usługi Azure Key Vault jako klucz chroniony przez oprogramowanie. Ta metoda wymaga . Plik certyfikatu PFX.

Na przykład wykonaj następujące czynności, aby użyć klucza utworzonego lokalnie:

  1. Wygeneruj klucz dzierżawy w środowisku lokalnym zgodnie z zasadami IT i zabezpieczeń organizacji. Ten klucz jest kopią główną. Pozostaje on w środowisku lokalnym i jest wymagany do tworzenia kopii zapasowej.

  2. Utwórz kopię klucza głównego i bezpiecznie przenieś go z modułu HSM do usługi Azure Key Vault. W tym procesie kopia główna klucza nigdy nie opuszcza granicy ochrony sprzętu.

Po przeniesieniu kopia klucza jest chroniona przez usługę Azure Key Vault.

Eksportowanie zaufanej domeny publikowania

Jeśli kiedykolwiek zdecydujesz się przestać korzystać z usługi Azure Information Protection, potrzebujesz zaufanej domeny publikowania (TPD), aby odszyfrować zawartość chronioną przez usługę Azure Information Protection.

Jednak eksportowanie tpD nie jest obsługiwane, jeśli używasz funkcji BYOK dla klucza usługi Azure Information Protection.

Aby przygotować się do tego scenariusza, pamiętaj o utworzeniu odpowiedniego modułu TPD z wyprzedzeniem. Aby uzyskać więcej informacji, zobacz Jak przygotować plan "Wyjście z chmury" usługi Azure Information Protection.

Implementowanie rozwiązania BYOK dla klucza dzierżawy usługi Azure Information Protection

Aby zaimplementować usługę BYOK, wykonaj następujące czynności:

  1. Zapoznaj się z wymaganiami wstępnymi rozwiązania BYOK
  2. Wybieranie lokalizacji usługi Key Vault
  3. Tworzenie i konfigurowanie klucza

Wymagania wstępne dotyczące podejścia BYOK

Wymagania wstępne byOK różnią się w zależności od konfiguracji systemu. Sprawdź, czy system jest zgodny z następującymi wymaganiami wstępnymi w zależności od potrzeb:

Wymaganie opis
Subskrypcja platformy Azure Wymagane dla wszystkich konfiguracji.
Aby uzyskać więcej informacji, zobacz Weryfikowanie, czy masz subskrypcję platformy Azure zgodną z usługą BYOK.
Moduł programu PowerShell usługi AIPService dla usługi Azure Information Protection Wymagane dla wszystkich konfiguracji.
Aby uzyskać więcej informacji, zobacz Instalowanie modułu AIPService programu PowerShell.
Wymagania wstępne usługi Azure Key Vault dotyczące rozwiązania BYOK Jeśli używasz klucza chronionego przez moduł HSM, który został utworzony lokalnie, upewnij się, że spełniasz również wymagania wstępne dotyczące usługi BYOK wymienione w dokumentacji usługi Azure Key Vault.
Oprogramowanie układowe Thales w wersji 11.62 Jeśli migrujesz z usług AD RMS do usługi Azure Information Protection, musisz mieć wersję oprogramowania układowego firmy Thales w wersji 11.62 i używać klucza oprogramowania układowego firmy Thales dla modułu HSM.
Obejście zapory dla zaufanych usługi firmy Microsoft Jeśli magazyn kluczy zawierający klucz dzierżawy używa punktów końcowych usługi sieci wirtualnej dla usługi Azure Key Vault, należy zezwolić na obejście tej zapory przez zaufane usługi firmy Microsoft.
Aby uzyskać więcej informacji, zobacz Punkty końcowe usługi dla sieci wirtualnej dla usługi Azure Key Vault.

Sprawdzanie, czy masz subskrypcję platformy Azure zgodną z usługą BYOK

Dzierżawa usługi Azure Information Protection musi mieć subskrypcję platformy Azure. Jeśli jeszcze go nie masz, możesz zarejestrować się w celu uzyskania bezpłatnego konta. Aby jednak użyć klucza chronionego przez moduł HSM, musisz mieć warstwę usługi Azure Key Vault Premium.

Bezpłatna subskrypcja platformy Azure, która zapewnia dostęp do konfiguracji usługi Microsoft Entra i niestandardowej konfiguracji szablonu usługi Azure Rights Management, nie jest wystarczająca do korzystania z usługi Azure Key Vault.

Aby sprawdzić, czy masz subskrypcję platformy Azure zgodną z usługą BYOK, wykonaj następujące czynności, aby sprawdzić, używając poleceń cmdlet programu Azure PowerShell :

  1. Uruchom sesję programu Azure PowerShell jako administrator.

  2. Zaloguj się jako administrator globalny dla dzierżawy usługi Azure Information Protection przy użyciu polecenia Connect-AzAccount.

  3. Skopiuj token wyświetlany do schowka. Następnie w przeglądarce przejdź do https://microsoft.com/devicelogin i wprowadź skopiowany token.

    Aby uzyskać więcej informacji, zobacz Logowanie się przy użyciu programu Azure PowerShell.

  4. W sesji programu PowerShell wprowadź i Get-AzSubscriptionupewnij się, że są wyświetlane następujące wartości:

    • Nazwa i identyfikator subskrypcji
    • Identyfikator dzierżawy usługi Azure Information Protection
    • Potwierdzenie włączenia stanu

    Jeśli nie są wyświetlane żadne wartości i zostanie zwrócony monit, nie masz subskrypcji platformy Azure, która może być używana dla usługi BYOK.

Wybieranie lokalizacji magazynu kluczy

Podczas tworzenia magazynu kluczy zawierającego klucz do użycia jako klucz dzierżawy dla usługi Azure Information należy określić lokalizację. Ta lokalizacja jest regionem platformy Azure lub wystąpieniem platformy Azure.

Najpierw należy wybrać zgodność, a następnie zminimalizować opóźnienie sieci:

  • Jeśli wybrano metodę klucza BYOK ze względów zgodności, te wymagania dotyczące zgodności mogą również określać, którego regionu lub wystąpienia platformy Azure można użyć do przechowywania klucza dzierżawy usługi Azure Information Protection.

  • Wszystkie wywołania kryptograficzne łańcucha ochrony do klucza usługi Azure Information Protection. W związku z tym możesz zminimalizować opóźnienie sieci wymagane przez utworzenie magazynu kluczy w tym samym regionie lub wystąpieniu platformy Azure co dzierżawa usługi Azure Information Protection.

Aby zidentyfikować lokalizację dzierżawy usługi Azure Information Protection, użyj polecenia cmdlet Get-AipServiceConfiguration programu PowerShell i zidentyfikuj region z adresów URL. Na przykład:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

Region jest rozpoznawalny z rms.na.aadrm.com, a w tym przykładzie znajduje się w Ameryka Północna.

W poniższej tabeli wymieniono zalecane regiony i wystąpienia platformy Azure w celu zminimalizowania opóźnienia sieci:

Region lub wystąpienie platformy Azure Zalecana lokalizacja magazynu kluczy
Rms.na.aadrm.com Północno-środkowe stany USA lub Wschodnie stany USA
Rms.eu.aadrm.com Europa Północna lub Europa Zachodnia
Rms.ap.aadrm.com Azja Wschodnia lub Azja Południowo-Wschodnia
Rms.sa.aadrm.com Zachodnie stany USA lub Wschodnie stany USA
Rms.govus.aadrm.com Środkowe stany USA lub Wschodnie stany USA 2
Rms.aadrm.us US Gov Wirginia lub US Gov Arizona
Rms.aadrm.cn Chiny Wschodnie 2 lub Chiny Północne 2

Tworzenie i konfigurowanie klucza

Ważne

Aby uzyskać informacje specyficzne dla zarządzanych modułów HSM, zobacz Włączanie autoryzacji klucza dla zarządzanych kluczy HSM za pośrednictwem interfejsu wiersza polecenia platformy Azure.

Utwórz usługę Azure Key Vault i klucz, którego chcesz użyć w usłudze Azure Information Protection. Aby uzyskać więcej informacji, zobacz dokumentację usługi Azure Key Vault.

Zwróć uwagę na następujące kwestie dotyczące konfigurowania usługi Azure Key Vault i klucza dla rozwiązania BYOK:

Wymagania dotyczące długości klucza

Podczas tworzenia klucza upewnij się, że długość klucza to 2048 bitów (zalecane) lub 1024 bity. Inne długości kluczy nie są obsługiwane przez usługę Azure Information Protection.

Uwaga

Klucze 1024-bitowe nie są uznawane za zapewniające odpowiedni poziom ochrony dla aktywnych kluczy dzierżawy.

Firma Microsoft nie popiera używania niższych długości kluczy, takich jak 1024-bitowe klucze RSA, i skojarzonego z nim użycia protokołów, które oferują nieodpowiedni poziom ochrony, na przykład SHA-1.

Tworzenie klucza chronionego przez moduł HSM lokalnie i przenoszenie go do magazynu kluczy

Aby utworzyć klucz chroniony przez moduł HSM lokalnie i przenieść go do magazynu kluczy jako klucz chroniony przez moduł HSM, wykonaj procedury opisane w dokumentacji usługi Azure Key Vault: Jak wygenerować i przenieść klucze chronione przez moduł HSM dla usługi Azure Key Vault.

Aby usługa Azure Information Protection mogła korzystać z przekazanego klucza, wszystkie operacje usługi Key Vault muszą być dozwolone dla klucza, w tym:

  • szyfrowanie
  • Odszyfrować
  • wrapKey
  • unwrapKey
  • znak
  • verify

Domyślnie wszystkie operacje usługi Key Vault są dozwolone.

Aby sprawdzić dozwolone operacje dla określonego klucza, uruchom następujące polecenie programu PowerShell:

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

W razie potrzeby dodaj dozwolone operacje przy użyciu polecenia Update-AzKeyVaultKey i parametru KeyOps .

Konfigurowanie usługi Azure Information Protection przy użyciu identyfikatora klucza

Klucze przechowywane w usłudze Azure Key Vault mają identyfikator klucza.

Identyfikator klucza to adres URL zawierający nazwę magazynu kluczy, kontener kluczy, nazwę klucza i wersję klucza. Na przykład: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.

Skonfiguruj usługę Azure Information Protection do używania klucza, określając adres URL magazynu kluczy.

Autoryzowanie usługi Azure Rights Management do używania klucza

Usługa Azure Rights Management musi być autoryzowana do korzystania z klucza. Administratorzy usługi Azure Key Vault mogą włączyć tę autoryzację przy użyciu witryny Azure Portal lub programu Azure PowerShell.

Włączanie autoryzacji klucza przy użyciu witryny Azure Portal
  1. Zaloguj się do witryny Azure Portal i przejdź do pozycji Magazyny<>kluczy Nazwa>>magazynu kluczy Zasady>dostępu Dodaj nowe.

  2. W okienku Dodawanie zasad dostępu z listy Konfigurowanie z szablonu (opcjonalnie) wybierz pozycję Azure Information Protection BYOK, a następnie kliknij przycisk OK.

    Wybrany szablon ma następującą konfigurację:

    • Ustawienie Wybierz wartość podmiotu zabezpieczeń ma wartość Microsoft Rights Management Services.
    • Wybrane uprawnienia klucza obejmują pobieranie, odszyfrowywanie i podpisywanie.
Włączanie autoryzacji klucza przy użyciu programu PowerShell

Uruchom polecenie cmdlet programu PowerShell usługi Key Vault, Set-AzKeyVaultAccessPolicy i przyznaj uprawnienia jednostce usługi Azure Rights Management przy użyciu identyfikatora GUID 00000012-0000-0000-c000-00000000000000000000000000.

Na przykład:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Włączanie autoryzacji klucza dla zarządzanych kluczy HSM za pośrednictwem interfejsu wiersza polecenia platformy Azure

Aby udzielić uprawnień użytkownika jednostki usługi Azure Rights Management jako zarządzanego użytkownika kryptograficznego modułu HSM, uruchom następujące polecenie:

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey

Gdzie:

  • ContosoMHSM to przykładowa nazwa modułu HSM . Podczas uruchamiania tego polecenia zastąp tę wartość własną nazwą modułu HSM.

Rola użytkownika kryptograficznego zarządzanego modułu HSM umożliwia użytkownikowi odszyfrowywanie, podpisywanie i uzyskiwanie uprawnień do klucza, które są wymagane dla funkcji zarządzanego modułu HSM.

Konfigurowanie usługi Azure Information Protection do używania klucza

Po wykonaniu wszystkich powyższych kroków możesz skonfigurować usługę Azure Information Protection tak, aby korzystała z tego klucza jako klucza dzierżawy organizacji.

Za pomocą poleceń cmdlet usługi Azure RMS uruchom następujące polecenia:

  1. Połączenie do usługi Azure Rights Management i zaloguj się:

    Connect-AipService
    
  2. Uruchom polecenie cmdlet Use-AipServiceKeyVaultKey, określając adres URL klucza. Na przykład:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
    

    Ważne

    W tym przykładzie jest to wersja klucza, <key-version> którego chcesz użyć. Jeśli nie określisz wersji, bieżąca wersja klucza jest używana domyślnie, a polecenie może wydawać się działać. Jeśli jednak klucz zostanie później zaktualizowany lub odnowiony, usługa Azure Rights Management przestanie działać dla dzierżawy, nawet jeśli ponownie uruchomisz polecenie Use-AipServiceKeyVaultKey .

    Użyj polecenia Get-AzKeyVaultKey zgodnie z potrzebami, aby uzyskać numer wersji bieżącego klucza.

    Na przykład: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'.

    Aby upewnić się, że adres URL klucza jest poprawnie ustawiony dla usługi Azure Information Protection, uruchom polecenie Get-AzKeyVaultKey w usłudze Azure Key Vault, aby wyświetlić adres URL klucza.

  3. Jeśli usługa Azure Rights Management została już aktywowana, uruchom polecenie Set-AipServiceKeyProperties , aby poinformować usługę Azure Information Protection o użyciu tego klucza jako aktywnego klucza dzierżawy dla usługi Azure Rights Management.

Usługa Azure Information Protection jest teraz skonfigurowana do używania klucza zamiast domyślnego klucza utworzonego przez firmę Microsoft, który został automatycznie utworzony dla dzierżawy.

Następne kroki

Po skonfigurowaniu ochrony byOK przejdź do sekcji Wprowadzenie do klucza głównego dzierżawy, aby uzyskać więcej informacji na temat używania klucza i zarządzania nim.