Compartilhar via


Traga seus próprios detalhes de chave (BYOK) para a Proteção de Informações do Azure

Observação

Você está procurando pela Proteção de Informações do Microsoft Purview, anteriormente conhecida como Microsoft Information Protection (MIP)?

O suplemento proteção de informações do Azure é desativado e substituído por rótulos integrados aos seus aplicativos e serviços do Microsoft 365. Saiba mais sobre o status de suporte de outros componentes da Proteção de Informações do Azure.

O cliente da Proteção de Informações do Microsoft Purview (sem o suplemento) está disponível em geral.

As organizações com uma assinatura da Proteção de Informações do Azure podem optar por configurar o locatário com sua própria chave, em vez de uma chave padrão gerada pela Microsoft. Este cenário é, muitas vezes, mencionado como Bring Your Own Key (BYOK).

O BYOK e o log de uso funcionam perfeitamente com aplicativos que se integram ao serviço Azure Rights Management usado pela Proteção de Informações do Azure.

Os aplicativos com suporte incluem:

  • Serviços de nuvem, como Microsoft SharePoint ou Microsoft 365

  • Serviços locais que executam aplicativos do Exchange e do SharePoint que usam o serviço Azure Rights Management por meio do conector RMS

  • Aplicativos cliente, como o Office 2024 e o Office 2021.

Dica

Se necessário, aplique segurança adicional a documentos específicos usando uma chave local adicional. Para obter mais informações, consulte a proteção DKE (Criptografia de Chave Dupla) (somente cliente de rotulagem unificada).

Armazenamento de chaves do Azure Key Vault

As chaves geradas pelo cliente devem ser armazenadas no Azure Key Vault para proteção BYOK.

Observação

O uso de chaves protegidas por HSM no Azure Key Vault requer uma camada de serviço Premium do Azure Key Vault, que incorre em uma taxa de assinatura mensal adicional.

Compartilhar cofres de chaves e assinaturas

É recomendável usar um cofre de chaves dedicado para sua chave de locatário. Cofres de chaves dedicados ajudam a garantir que as chamadas de outros serviços não façam com que os limites de serviço sejam excedidos. Exceder os limites de serviço no cofre de chaves em que sua chave de locatário é armazenada pode causar limitação de tempo de resposta para o serviço do Azure Rights Management.

Como diferentes serviços têm requisitos de gerenciamento de chaves variados, a Microsoft também recomenda usar uma assinatura dedicada do Azure para seu cofre de chaves. Assinaturas dedicadas do Azure:

  • Ajudar a proteger contra configurações incorretas

  • São mais seguros quando diferentes serviços têm administradores diferentes

Para compartilhar uma assinatura do Azure com outros serviços que usam o Azure Key Vault, verifique se a assinatura compartilha um conjunto comum de administradores. Confirmar que todos os administradores que usam a assinatura têm uma compreensão sólida de cada chave que podem acessar, significa que eles são menos propensos a configurar incorretamente suas chaves.

Exemplo: usando uma assinatura compartilhada do Azure quando os administradores de sua chave de locatário da Proteção de Informações do Azure são os mesmos indivíduos que administram suas chaves para a Chave de Cliente do Office 365 e o CRM online. Se os principais administradores desses serviços forem diferentes, recomendamos usar assinaturas dedicadas.

Benefícios de usar o Azure Key Vault

O Azure Key Vault fornece uma solução de gerenciamento de chaves centralizada e consistente para muitos serviços locais e baseados em nuvem que usam criptografia.

Além de gerenciar chaves, o Azure Key Vault oferece aos administradores de segurança a mesma experiência de gerenciamento para armazenar, acessar e gerenciar certificados e segredos (como senhas) para outros serviços e aplicativos que usam criptografia.

Armazenar sua chave de locatário no Azure Key Vault fornece as seguintes vantagens:

Vantagem Descrição
Interfaces internas O Azure Key Vault dá suporte a várias interfaces internas para gerenciamento de chaves, incluindo PowerShell, CLI, APIs REST e o portal do Azure.

Outros serviços e ferramentas se integraram ao Key Vault para recursos otimizados para tarefas específicas, como monitoramento.

Por exemplo, analise seus principais logs de uso com o Operations Management Suite Log Analytics, defina alertas quando os critérios especificados forem atendidos e assim por diante.
Separação de função O Azure Key Vault fornece separação de função como uma prática recomendada de segurança reconhecida.

A separação de função garante que os administradores da Proteção de Informações do Azure possam se concentrar em suas prioridades mais altas, incluindo o gerenciamento de classificação e proteção de dados, bem como chaves de criptografia e políticas para requisitos específicos de segurança ou conformidade.
Localização da chave mestra O Azure Key Vault está disponível em uma variedade de locais e dá suporte a organizações com restrições em que as chaves mestras podem residir.

Para obter mais informações, consulte a página Produtos disponíveis por região no site do Azure.
Domínios de segurança separados O Azure Key Vault usa domínios de segurança separados para seus data centers em regiões como América do Norte, EMEA (Europa, Oriente Médio e África) e Ásia.

O Azure Key Vault também usa instâncias diferentes do Azure, como o Microsoft Azure Alemanha e o Azure Government.
Experiência unificada O Azure Key Vault também permite que os administradores de segurança armazenem, acessem e gerenciem certificados e segredos, como senhas, para outros serviços que usam criptografia.

O uso do Azure Key Vault para suas chaves de locatário fornece uma experiência de usuário perfeita para administradores que gerenciam todos esses elementos.

Para obter as atualizações mais recentes e saber como outros serviços usam o Azure Key Vault, visite o blog da equipe do Azure Key Vault.

Log de uso para BYOK

Os logs de uso são gerados por cada aplicativo que faz solicitações para o serviço Azure Rights Management.

Embora o registro de uso seja opcional, recomendamos utilizar os logs de uso da Proteção de Informações do Azure, que são quase em tempo real, para ver exatamente como e quando sua chave de locatário está sendo usada.

Para obter mais informações sobre o log de uso de chave para BYOK, consulte Registrar em log e analisar o uso de proteção da Proteção de Informações do Azure.

Dica

Para mais garantia, o registro em log de uso da Proteção de Informações do Azure pode ser cruzado com o registro de log do Azure Key Vault. Os logs do Key Vault fornecem um método confiável para monitorar independentemente se sua chave só é usada pelo serviço Azure Rights Management.

Se necessário, revogue imediatamente o acesso à sua chave removendo as permissões no cofre de chaves.

Opções para criar e armazenar sua chave

Observação

Para obter mais informações sobre a oferta de HSM gerenciado e como configurar um cofre e uma chave, consulte a documentação do Azure Key Vault.

Instruções adicionais sobre como conceder autorização de chave são descritas abaixo.

O BYOK dá suporte a chaves que são criadas no Azure Key Vault ou no local.

Se você criar sua chave local, deverá transferi-la ou importá-la para o Key Vault e configurar a Proteção de Informações do Azure para usar a chave. Execute qualquer gerenciamento de chave adicional de dentro do Azure Key Vault.

Opções para criar e armazenar sua própria chave:

  • Criado no Azure Key Vault. Crie e armazene sua chave no Azure Key Vault como uma chave protegida por HSM ou uma chave protegida por software.

Observação

As chaves geradas diretamente no Azure Key Vault não são exportáveis para uso fora do Azure Key Vault. Se sua organização exigir que as chaves sejam exportáveis e em sua posse, você deverá criar a chave local e importar para o Azure Key Vault, mantendo backups da chave local. O planejamento e o teste de recuperação de desastre devem incluir medidas para testar regularmente a recuperação dessas chaves. As chaves podem ser armazenadas em backup do Azure Key Vault, mas só podem ser importadas para a assinatura original.

  • Criado localmente. Crie sua chave local e transfira-a para o Azure Key Vault usando uma das seguintes opções:

    • Chave protegida por HSM, transferida como uma chave protegida por HSM. O método mais típico escolhido.

      Embora esse método tenha a maior sobrecarga administrativa, pode ser necessário que sua organização siga regulamentos específicos. Os HSMs usados pelo Azure Key Vault têm validação FIPS 140.

    • Chave protegida por software que é convertida e transferida para o Azure Key Vault como uma chave protegida por HSM. Esse método é compatível apenas ao migrar do Active Directory Rights Management Services (AD RMS).

    • Criado localmente como uma chave protegida por software e transferido para o Azure Key Vault como uma chave protegida por software. Esse método requer um arquivo de certificado PFX.

Por exemplo, faça o seguinte para usar uma chave criada localmente:

  1. Gere sua chave de locatário em seu local, de acordo com as políticas de TI e segurança da sua organização. Essa chave é a cópia mestra. Ele permanece local e você é responsável pelo backup dele.

  2. Crie uma cópia da chave mestra e transfira-a com segurança do HSM para o Azure Key Vault. Ao longo desse processo, a cópia mestra da chave nunca sai do limite de proteção de hardware.

Depois de transferida, a cópia da chave é protegida pelo Azure Key Vault.

Exportando seu domínio de publicação confiável

Se você decidir parar de usar a Proteção de Informações do Azure, precisará de um TPD (domínio de publicação confiável) para descriptografar o conteúdo protegido pela Proteção de Informações do Azure.

No entanto, não há suporte para exportar seu TPD se você estiver usando BYOK para sua chave de Proteção de Informações do Azure.

Para se preparar para esse cenário, crie um TPD adequado com antecedência. Para obter mais informações, consulte Como preparar um plano "Cloud Exit" da Proteção de Informações do Azure.

Implementando o BYOK para a chave de locatário da Proteção de Informações do Azure

Use as seguintes etapas para implementar o BYOK:

  1. Examinar os pré-requisitos do BYOK
  2. Escolha a localização do Key Vault
  3. Criar e configurar sua chave

Pré-requisitos para BYOK

Os pré-requisitos do BYOK variam, dependendo da configuração do sistema. Verifique se o sistema está em conformidade com os seguintes pré-requisitos, conforme necessário:

Requisito Descrição
Assinatura do Azure Necessário para todas as configurações.
Para obter mais informações, consulte Verificar se você tem uma assinatura do Azure compatível com BYOK.
Módulo do PowerShell do AIPService para a Proteção de Informações do Azure Necessário para todas as configurações.
Para obter mais informações, consulte Como instalar o módulo AIPService PowerShell.
Pré-requisitos do Azure Key Vault para BYOK Se você estiver usando uma chave protegida por HSM que foi criada localmente, verifique se você também está em conformidade com os pré-requisitos para BYOK listados na documentação do Azure Key Vault.
Firmware Thales versão 11.62 Você deve ter uma versão de firmware do Thales 11.62 se estiver migrando do AD RMS para a Proteção de Informações do Azure usando a chave de software para a chave de hardware e estiver usando o firmware Thales para seu HSM.
Bypass de firewall para serviços confiáveis da Microsoft Se o cofre de chaves que contém sua chave de locatário usar Pontos de Extremidade de Serviço de Rede Virtual para o Azure Key Vault, você deverá permitir que serviços confiáveis da Microsoft ignorem esse firewall.
Para obter mais informações, consulte Pontos de extremidade de serviço de rede virtual para o Azure Key Vault.

Verificando se você tem uma assinatura do Azure compatível com BYOK

Seu tenant do Azure Information Protection deve ter uma assinatura do Azure. Se você ainda não tiver uma, poderá se inscrever em uma conta gratuita. No entanto, para usar uma chave protegida por HSM, você deve ter a camada de serviço Premium do Azure Key Vault.

A assinatura gratuita do Azure que fornece acesso à configuração do Microsoft Entra e à configuração de modelo personalizado do Azure Rights Management não é suficiente para usar o Azure Key Vault.

Para confirmar se você tem uma assinatura do Azure compatível com BYOK, faça o seguinte para verificar, usando cmdlets do Azure PowerShell :

  1. Inicie uma sessão do Azure PowerShell como administrador.

  2. Entrar como administrador global para o locatário da Proteção de Informações do Azure usando Connect-AzAccount.

  3. Copie o token exibido na área de transferência. Em seguida, em um navegador, acesse https://microsoft.com/devicelogin e insira o token copiado.

    Para obter mais informações, consulte Entrar com o Azure PowerShell.

  4. Em sua sessão do PowerShell, insira Get-AzSubscriptione confirme se os seguintes valores são exibidos:

    • Seu nome de assinatura e ID
    • ID de locatário da Proteção de Informações do Azure
    • Confirmação de que o estado está habilitado

    Se nenhum valor for exibido e você for retornado para o prompt, você não terá uma assinatura do Azure que possa ser usada para BYOK.

Escolhendo o local do cofre de chaves

Ao criar um cofre de chaves para conter a chave a ser usada como sua chave de locatário para informações do Azure, você deve especificar um local. Esse local é uma região do Azure ou uma instância do Azure.

Escolha primeiro a conformidade e, em seguida, minimize a latência de rede:

  • Se você escolheu o método de chave BYOK por motivos de conformidade, esses requisitos de conformidade também podem exigir qual região ou instância do Azure pode ser usada para armazenar sua chave de locatário da Proteção de Informações do Azure.

  • Todas as chamadas criptográficas para a cadeia de proteção da chave de Proteção de Informações do Azure. Portanto, é preferível minimizar a latência de rede que essas chamadas exigem criando o cofre de chaves na mesma região ou instância do Azure que o locatário da Proteção de Informações do Azure.

Para identificar o local do locatário da Proteção de Informações do Azure, use o cmdlet Get-AipServiceConfiguration do PowerShell e identifique a região pelas URLs. Por exemplo:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

A região é identificável de rms.na.aadrm.com e, para este exemplo, está na América do Norte.

A tabela a seguir lista as regiões e instâncias recomendadas do Azure para minimizar a latência de rede:

Região ou instância do Azure Local recomendado para o cofre de chaves
rms.na.aadrm.com Centro-Norte dos EUA ou Leste dos EUA
rms.eu.aadrm.com Norte da Europa ou Oeste da Europa
rms.ap.aadrm.com Leste da Ásia ou Sudeste Asiático
rms.sa.aadrm.com Oeste dos EUA ou Leste dos EUA
rms.govus.aadrm.com EUA Central ou Leste dos EUA 2
rms.aadrm.us Us Gov Virginia ou US Gov Arizona
rms.aadrm.cn Leste da China 2 ou Norte da China 2

Criar e configurar sua chave

Importante

Para obter informações específicas para HSMs gerenciados, consulte Habilitando a autorização de chave para chaves HSM gerenciadas por meio da CLI do Azure.

Crie um Azure Key Vault e a chave que você deseja usar para a Proteção de Informações do Azure. Para obter mais informações, consulte a documentação do Azure Key Vault.

Importante

Depois de criar o Azure Key Vault, habilite imediatamente a exclusão reversível e a proteção contra eliminação. Isso impedirá a exclusão acidental do cofre e das chaves. A perda das chaves sem backups suficientes resultará na perda completa de dados de arquivos e emails criptografados. Para obter detalhes, consulte visão geral do Azure Key Vault: soft delete.

Observe o seguinte para configurar o Azure Key Vault e a chave para BYOK:

Requisitos de comprimento de chave

Ao criar sua chave, verifique se o comprimento da chave é de 2048 bits (recomendado) ou 1.024 bits. Outros comprimentos de chave não são compatíveis com a Proteção de Informações do Azure.

Observação

Chaves de 1024 bits não são consideradas para oferecer um nível adequado de proteção para chaves de locatário ativas.

A Microsoft não endossa o uso de comprimentos de chave inferiores, como chaves RSA de 1024 bits, e o uso associado de protocolos que oferecem níveis inadequados de proteção, como SHA-1.

Criando uma chave protegida por HSM nas instalações e transferindo-a para o cofre de chaves

Para criar uma chave protegida por HSM local e transferi-la para o cofre de chaves como uma chave protegida por HSM, siga os procedimentos na documentação do Azure Key Vault: Como gerar e transferir chaves protegidas por HSM para o Azure Key Vault.

Para que a Proteção de Informações do Azure use a chave transferida, todas as operações do Key Vault devem ser permitidas para a chave, incluindo:

  • criptografar
  • descriptografar
  • wrapKey
  • unwrapKey
  • assinar
  • verificar

Por padrão, todas as operações do Key Vault são permitidas.

Para verificar as operações permitidas para uma chave específica, execute o seguinte comando do PowerShell:

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

Se necessário, adicione operações permitidas usando Update-AzKeyVaultKey e o parâmetro KeyOps .

Configurando a Proteção de Informações do Azure com sua ID de chave

Cada uma das chaves armazenadas no Azure Key Vault tem uma ID de chave.

A ID da chave é uma URL que contém o nome do cofre de chaves, o contêiner de chaves, o nome da chave e a versão da chave. Por exemplo: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333

Configure a Proteção de Informações do Azure para usar sua chave especificando sua URL do cofre de chaves.

Autorizando o serviço do Azure Rights Management a usar sua chave

O serviço Azure Rights Management deve estar autorizado a usar sua chave. Os administradores do Azure Key Vault podem habilitar essa autorização usando o portal do Azure ou o Azure PowerShell.

Habilitar a autorização de chave usando o portal do Azure
  1. Entre no portal do Azure e vá para os cofres de chaves><nome do seu cofre>>, Políticas de Acesso> e Adicionar novo.

  2. No painel Adicionar política de acesso, na caixa de listagem Configurar a partir de modelo (opcional), selecione Proteção de Informações do Azure BYOK e clique em OK.

    O modelo selecionado tem a seguinte configuração:

    • O valor Select principal é definido como Serviços de Gerenciamento de Direitos da Microsoft.
    • As permissões de chave selecionadas incluem Obter, Descriptografar e Assinar.
Habilitando a autorização de chave usando o PowerShell

Execute o cmdlet do PowerShell do Cofre de Chaves, Set-AzKeyVaultAccessPolicy e conceda permissões à entidade de serviço do Azure Rights Management usando o GUID 00000012-0000-0000-c000-000000000000.

Por exemplo:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Habilitando a autorização de chave para chaves HSM gerenciadas por meio da CLI do Azure

Para conceder permissões do usuário de entidade de segurança ao serviço Azure Rights Management como um usuário da Criptografia HSM Gerenciado, execute o seguinte comando:

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey

Onde:

  • ContosoMHSM é um nome HSM de exemplo. Ao executar esse comando, substitua esse valor pelo seu próprio nome HSM.

A função de usuário Usuário de Criptografia HSM Gerenciado permite descriptografar, assinar e obter permissões para a chave, que são necessárias para a funcionalidade do HSM Gerenciado.

Configurar a Proteção de Informações do Azure para usar sua chave

Depois de concluir todas as etapas acima, você estará pronto para configurar a Proteção de Informações do Azure para usar essa chave como a chave de locatário da sua organização.

Usando cmdlets do Azure RMS, execute os seguintes comandos:

  1. Conecte-se ao serviço do Azure Rights Management e entre:

    Connect-AipService
    
  2. Execute o cmdletUse-AipServiceKeyVaultKey, especificando a URL da chave. Por exemplo:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
    

    Importante

    Neste exemplo, <key-version> está a versão da chave que você deseja usar. Se você não especificar a versão, a versão atual da chave será usada por padrão e o comando poderá parecer funcionar. No entanto, se a chave for atualizada ou renovada posteriormente, o serviço do Azure Rights Management deixará de funcionar para seu locatário, mesmo se você executar o comando Use-AipServiceKeyVaultKey novamente.

    Use o comando Get-AzKeyVaultKey conforme necessário para obter o número de versão da chave atual.

    Por exemplo: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    Para confirmar se a URL da chave está definida corretamente para a Proteção de Informações do Azure, execute o comando Get-AzKeyVaultKey no Azure Key Vault para exibir a URL da chave.

  3. Se o serviço Azure Rights Management já estiver ativado, execute Set-AipServiceKeyProperties para informar à Proteção de Informações do Azure para usar essa chave como a chave de locatário ativa para o serviço Azure Rights Management.

A Proteção de Informações do Azure agora está configurada para usar sua chave em vez da chave padrão criada pela Microsoft que foi criada automaticamente para seu locatário.

Próximas etapas

Depois de configurar a proteção BYOK, continue em Introdução à chave raiz do locatário para obter mais informações sobre como usar e gerenciar sua chave.