Dela via

Använda kundhanterade nycklar i Azure Key Vault för import-/exporttjänsten

  • Artikel

Azure Import/Export skyddar BitLocker-nycklarna som används för att låsa enheterna via en krypteringsnyckel. Som standard krypteras BitLocker-nycklar med Microsoft-hanterade nycklar. Om du vill ha ytterligare kontroll över krypteringsnycklar kan du även ange kundhanterade nycklar.

Kundhanterade nycklar måste skapas och lagras i ett Azure Key Vault. Mer information om Azure Key Vault finns i Vad är Azure Key Vault?

Den här artikeln visar hur du använder kundhanterade nycklar med import-/exporttjänsten i Azure-portalen.

Förutsättningar

Innan du börjar ska du kontrollera att:

  1. Du har skapat ett import- eller exportjobb enligt anvisningarna i:

  2. Du har ett befintligt Azure Key Vault med en nyckel som du kan använda för att skydda din BitLocker-nyckel. Information om hur du skapar ett nyckelvalv med hjälp av Azure-portalen finns i Snabbstart: Skapa ett Azure Key Vault med azure-portalen.

    • Mjuk borttagning och Rensa inte har angetts i ditt befintliga Key Vault. De här egenskaperna är inte aktiverade som standard. Om du vill aktivera dessa egenskaper kan du läsa avsnitten Aktivera mjuk borttagning och Aktivera rensningsskydd i någon av följande artiklar:

    • Det befintliga nyckelvalvet bör ha en RSA-nyckel med storleken 2048 eller mer. Mer information om nycklar finns i Om nycklar.

    • Nyckelvalvet måste finnas i samma region som lagringskontot för dina data.

    • Om du inte har ett befintligt Azure Key Vault kan du också skapa det infogat enligt beskrivningen i följande avsnitt.

Aktivera nycklar

Det är valfritt att konfigurera kundhanterad nyckel för import-/exporttjänsten. Som standard använder import-/exporttjänsten en Microsoft-hanterad nyckel för att skydda din BitLocker-nyckel. Följ dessa steg för att aktivera kundhanterade nycklar i Azure-portalen:

  1. Gå till bladet Översikt för importjobbet.

  2. I den högra rutan väljer du Välj hur dina BitLocker-nycklar ska krypteras.

    Skärmbild av översiktsbladet för Azure Import/Export-jobbet. Menyalternativet Översikt och länken som öppnar BitLocker-nyckelalternativ är markerade.

  3. På bladet Kryptering kan du visa och kopiera enhetens BitLocker-nyckel. Under Krypteringstyp kan du välja hur du vill skydda din BitLocker-nyckel. Som standard används en Microsoft-hanterad nyckel.

    Skärmbild av krypteringsbladet för en Import/export-beställning i Azure. Menyalternativet Kryptering är markerat.

  4. Du har möjlighet att ange en kundhanterad nyckel. När du har valt den kundhanterade nyckeln väljer du nyckelvalv och en nyckel.

    Skärmbild av bladet Kryptering för Azure Import/Export-jobb.

  5. På bladet Välj nyckel från Azure Key Vault fylls prenumerationen i automatiskt. För Key Vault kan du välja ett befintligt nyckelvalv i listrutan.

    Skärmbild av skärmen

  6. Du kan också välja Skapa ny för att skapa ett nytt nyckelvalv. På bladet Skapa nyckelvalv anger du resursgruppen och nyckelvalvets namn. Acceptera alla andra standardvärden. Välj Granska + skapa.

    Skärmbild av skärmen

  7. Granska informationen som är associerad med ditt nyckelvalv och välj Skapa. Vänta några minuter tills nyckelvalvet har skapats.

    Skärmbild av skärmen Granska plus skapa för ett nytt Azure-nyckelvalv. Knappen Skapa är markerad.

  8. I Välj nyckel från Azure Key Vault kan du välja en nyckel i det befintliga nyckelvalvet.

  9. Om du har skapat ett nytt nyckelvalv väljer du Skapa nytt för att skapa en nyckel. RSA-nyckelstorleken kan vara 2048 eller större.

    Skärmbild av skärmen

    Om skyddet för mjuk borttagning och rensning inte är aktiverat när du skapar nyckelvalvet uppdateras nyckelvalvet så att skydd mot mjuk borttagning och rensning är aktiverat.

  10. Ange namnet på din nyckel, acceptera de andra standardvärdena och välj Skapa.

    Skärmbild av skärmen

  11. Välj Version och välj sedan Välj. Du får ett meddelande om att en nyckel har skapats i ditt nyckelvalv.

    Skärmbild av skärmen

På bladet Kryptering kan du se nyckelvalvet och nyckeln som valts för din kundhanterade nyckel.

Viktigt!

Du kan bara inaktivera Microsofts hanterade nycklar och flytta till kundhanterade nycklar när som helst i import-/exportjobbet. Du kan dock inte inaktivera den kundhanterade nyckeln när du har skapat den.

Felsöka kundhanterade nyckelfel

Om du får fel som rör din kundhanterade nyckel använder du följande tabell för att felsöka:

Felkod Details Ersättningsgilla?
CmkErrorAccessRevoked Åtkomsten till den kundhanterade nyckeln har återkallats. Ja, kontrollera om:
  1. Key Vault har fortfarande MSI i åtkomstprincipen.
  2. Åtkomstprincipen har behörigheterna Get, Wrap och Unwrap aktiverat.
  3. Om nyckelvalvet finns i ett virtuellt nätverk bakom brandväggen kontrollerar du om Tillåt Microsoft Trusted Services är aktiverat.
  4. Kontrollera om MSI för jobbresursen återställdes till None med hjälp av API:er.
    Om ja anger du värdet tillbaka till Identity = SystemAssigned. Detta återskapar identiteten för jobbresursen.
    När den nya identiteten har skapats aktiverar du Get, Wrapoch Unwrap behörigheter för den nya identiteten i nyckelvalvets åtkomstprincip
CmkErrorKeyDisabled Kundens hanterade nyckel är inaktiverad. Ja, genom att aktivera nyckelversionen
CmkErrorKeyNotFound Det går inte att hitta kundens hanterade nyckel. Ja, om nyckeln har tagits bort men fortfarande är inom rensningstiden använder du Ångra nyckelborttagning av nyckelvalv.
Annars
  1. Ja, om kunden har nyckeln säkerhetskopierad och återställer den.
  2. Nej, annars.
CmkErrorVaultNotFound Det går inte att hitta nyckelvalvet för den kundhanterade nyckeln. Om nyckelvalvet har tagits bort:
  1. Ja, om det är i varaktigheten för rensningsskydd använder du stegen i Återställ ett nyckelvalv.
  2. Nej, om det är längre än varaktigheten för rensningsskydd.

Annars om nyckelvalvet migrerades till en annan klientorganisation, ja, kan det återställas med något av stegen nedan:
  1. Återställ nyckelvalvet till den gamla klientorganisationen.
  2. Ange Identity = None och ställ sedan tillbaka värdet till Identity = SystemAssigned. Detta tar bort och återskapar identiteten när den nya identiteten har skapats. Aktivera Get, Wrapoch Unwrap behörigheter till den nya identiteten i nyckelvalvets åtkomstprincip.

Nästa steg