Azure Information Protection için kendi anahtarını getir (BYOK) ayrıntıları

  • Makale

Not

Eski adı Microsoft Information Protection (MIP) olan Microsoft Purview Bilgi Koruması mi arıyorsunuz?

Azure Information Protection eklentisi kullanımdan kaldırılır ve microsoft 365 uygulama ve hizmetlerinizde yerleşik olarak bulunan etiketlerle değiştirilir. Diğer Azure Information Protection bileşenlerinin destek durumu hakkında daha fazla bilgi edinin.

Yeni Microsoft Information Protection istemcisi (eklenti olmadan) şu anda önizleme aşamasındadır ve genel kullanılabilirlik için zamanlanmıştır.

Azure Information Protection aboneliği olan organizasyonlar, kiracılarını Microsoft tarafından oluşturulan varsayılan anahtar yerine kendi anahtarlarıyla yapılandırmayı seçebilir. Bu yapılandırma genellikle kendi anahtarını getir (KAG) olarak adlandırılır.

BYOK ve kullanım günlüğü, Azure Information Protection tarafından kullanılan Azure Rights Management hizmetiyle tümleşen uygulamalarla sorunsuz çalışır.

Desteklenen uygulamalar şunlardır:

  • Microsoft SharePoint veya Microsoft 365 gibi bulut hizmetleri

  • RMS bağlayıcısı aracılığıyla Azure Rights Management hizmetini kullanan Exchange ve SharePoint uygulamalarını çalıştıran şirket içi hizmetler

  • Office 2019, Office 2016 ve Office 2013 gibi istemci uygulamaları

İpucu

Gerekirse, ek bir şirket içi anahtarı kullanarak belirli belgelere ek güvenlik uygulayın. Daha fazla bilgi için bkz . Çift Anahtar Şifrelemesi (DKE) koruması (yalnızca birleşik etiketleme istemcisi).

Azure Key Vault anahtar depolama

Müşteri tarafından oluşturulan anahtarların BYOK koruması için Azure Key Vault'ta depolanması gerekir.

Not

Azure Key Vault'ta HSM korumalı anahtarların kullanılması için aylık ek abonelik ücreti gerektiren bir Azure Key Vault Premium hizmet katmanı gerekir.

Anahtar kasalarını ve abonelikleri paylaşma

Kiracı anahtarınız için ayrılmış bir anahtar kasası kullanmanızı öneririz. Ayrılmış anahtar kasaları, diğer hizmetler tarafından yapılan çağrıların hizmet sınırlarının aşılmasını sağlamamasına yardımcı olur. Kiracı anahtarınızın depolandığı anahtar kasasında hizmet sınırlarının aşılması, Azure Rights Management hizmeti için yanıt süresi azaltmasına neden olabilir.

Farklı hizmetlerin değişen anahtar yönetimi gereksinimleri olduğundan Microsoft, anahtar kasanız için ayrılmış bir Azure aboneliği kullanmanızı da önerir. Ayrılmış Azure abonelikleri:

  • Yanlış yapılandırmalara karşı korunmaya yardımcı olun

  • Farklı hizmetler farklı yöneticilere sahip olduğunda daha güvenlidir

Bir Azure aboneliğini Azure Key Vault kullanan diğer hizmetlerle paylaşmak için aboneliğin ortak bir yönetici kümesini paylaştığından emin olun. Aboneliği kullanan tüm yöneticilerin erişebilecekleri her anahtarı iyi anladığını onaylamak, anahtarlarınızı yanlış yapılandırma olasılıklarının daha düşük olduğu anlamına gelir.

Örnek: Azure Information Protection kiracı anahtarınızın yöneticileri Office 365 Müşteri Anahtarı ve CRM online için anahtarlarınızı yöneten kişiler olduğunda paylaşılan Azure aboneliğini kullanma. Bu hizmetlerin temel yöneticileri farklıysa, ayrılmış abonelikler kullanmanızı öneririz.

Azure Key Vault kullanmanın avantajları

Azure Key Vault, şifreleme kullanan birçok bulut tabanlı ve şirket içi hizmet için merkezi ve tutarlı bir anahtar yönetimi çözümü sağlar.

Azure Key Vault, anahtarları yönetmeye ek olarak, güvenlik yöneticilerinize şifreleme kullanan diğer hizmetler ve uygulamalar için sertifikaları ve gizli dizileri (parolalar gibi) depolamak, bunlara erişmek ve bunları yönetmek için aynı yönetim deneyimini sunar.

Kiracı anahtarınızı Azure Key Vault'ta depolamak aşağıdaki avantajları sağlar:

Avantaj Açıklama
Yerleşik arabirimler Azure Key Vault, PowerShell, CLI, REST API'leri ve Azure portalı gibi anahtar yönetimi için çeşitli yerleşik arabirimleri destekler.

Diğer hizmetler ve araçlar, izleme gibi belirli görevler için en iyi duruma getirilmiş özellikler için Key Vault ile tümleştirilmiştir.

Örneğin, Operations Management Suite Log Analytics ile anahtar kullanım günlüklerinizi analiz edin, belirtilen ölçütler karşılandığında uyarılar ayarlayın vb.
Rol ayrımı Azure Key Vault, tanınan bir güvenlik en iyi uygulaması olarak rol ayrımı sağlar.

Rol ayrımı, Azure Information Protection yöneticilerinin veri sınıflandırmasını ve korumasını yönetmenin yanı sıra belirli güvenlik veya uyumluluk gereksinimlerine yönelik şifreleme anahtarları ve ilkeleri de dahil olmak üzere en yüksek önceliklerine odaklanabilmesini sağlar.
Ana anahtar konumu Azure Key Vault çeşitli konumlarda kullanılabilir ve ana anahtarların yaşayabileceği kısıtlamalara sahip kuruluşları destekler.

Daha fazla bilgi için Azure sitesindeki Bölgeye göre kullanılabilir ürünler sayfasına bakın.
Ayrılmış güvenlik etki alanları Azure Key Vault Kuzey Amerika, EMEA (Avrupa, Orta Doğu ve Afrika) ve Asya gibi bölgelerdeki veri merkezleri için ayrı güvenlik etki alanları kullanır.

Azure Key Vault, Microsoft Azure Almanya ve Azure Kamu gibi farklı Azure örneklerini de kullanır.
Birleşik deneyim Azure Key Vault, güvenlik yöneticilerinin şifreleme kullanan diğer hizmetler için parolalar gibi sertifikaları ve gizli dizileri depolamasına, erişmesine ve yönetmesine de olanak tanır.

Kiracı anahtarlarınız için Azure Key Vault'un kullanılması, bu öğelerin tümünü yöneten yöneticiler için sorunsuz bir kullanıcı deneyimi sağlar.

En son güncelleştirmeler ve diğer hizmetlerin Azure Key Vault'u nasıl kullandığını öğrenmek için Azure Key Vault ekip blogunu ziyaret edin.

KAG için kullanım günlüğü

Kullanım günlükleri, Azure Rights Management hizmetine istekte bulunan her uygulama tarafından oluşturulur.

Kullanım günlüğü isteğe bağlı olsa da, kiracı anahtarınızın tam olarak nasıl ve ne zaman kullanıldığını görmek için Azure Information Protection'ın neredeyse gerçek zamanlı kullanım günlüklerini kullanmanızı öneririz.

KAG için önemli kullanım günlüğü hakkında daha fazla bilgi için bkz . Azure Information Protection'dan koruma kullanımını günlüğe kaydetme ve analiz etme.

İpucu

Ek güvence için Azure Information Protection kullanım günlüğüne Azure Key Vault günlüğü ile çapraz başvuru yapılabilir. Key Vault günlükleri, anahtarınızın yalnızca Azure Rights Management hizmeti tarafından kullanıldığını bağımsız olarak izlemek için güvenilir bir yöntem sağlar.

Gerekirse, anahtar kasasındaki izinleri kaldırarak anahtarınıza erişimi hemen iptal edin.

Anahtarınızı oluşturma ve depolama seçenekleri

Not

Yönetilen HSM teklifi ve kasa ile anahtar ayarlama hakkında daha fazla bilgi için Azure Key Vault belgelerine bakın.

Anahtar yetkilendirmesi vermeyle ilgili ek yönergeler aşağıda açıklanmıştır.

BYOK, Azure Key Vault'ta veya şirket içinde oluşturulan anahtarları destekler.

Anahtarınızı şirket içinde oluşturursanız anahtarı Key Vault'unuza aktarmanız veya içeri aktarmanız ve Anahtarı kullanmak için Azure Information Protection'ı yapılandırmanız gerekir. Azure Key Vault'un içinden ek anahtar yönetimi gerçekleştirin.

Kendi anahtarınızı oluşturma ve depolama seçenekleri:

  • Azure Key Vault'ta oluşturulur. Anahtarınızı Azure Key Vault'ta HSM korumalı anahtar veya yazılım korumalı anahtar olarak oluşturun ve depolayın.

  • Şirket içinde oluşturuldu. Anahtarınızı şirket içinde oluşturun ve aşağıdaki seçeneklerden birini kullanarak Azure Key Vault'a aktarın:

    • HSM korumalı anahtar, HSM korumalı anahtar olarak aktarılır. En tipik yöntem seçildi.

      Bu yöntem en fazla yönetim yüküne sahip olsa da, kuruluşunuzun belirli düzenlemeleri izlemesi gerekebilir. Azure Key Vault tarafından kullanılan HSM'lerin FIPS 140 doğrulaması vardır.

    • HSM korumalı anahtar olarak Azure Key Vault'a dönüştürülen ve aktarılan yazılım korumalı anahtar. Bu yöntem yalnızca Active Directory Rights Management Services'ten (AD RMS) geçiş yaparken desteklenir.

    • Şirket içinde yazılım korumalı anahtar olarak oluşturuldu ve yazılım korumalı anahtar olarak Azure Key Vault'a aktarıldı. Bu yöntem için bir gerekir. PFX sertifika dosyası.

Örneğin, şirket içinde oluşturulan bir anahtarı kullanmak için aşağıdakileri yapın:

  1. Kuruluşunuzun BT ve güvenlik ilkelerine uygun olarak kiracı anahtarınızı şirket içinde oluşturun. Bu anahtar ana kopyadır. Şirket içinde kalır ve yedeklemesi için gereklidir.

  2. Ana anahtarın bir kopyasını oluşturun ve HSM'nizden Azure Key Vault'a güvenli bir şekilde aktarın. Bu işlem boyunca anahtarın ana kopyası donanım koruma sınırından asla ayrılmaz.

Anahtarın kopyası aktarıldıktan sonra Azure Key Vault tarafından korunur.

Güvenilen yayımlama etki alanınızı dışarı aktarma

Azure Information Protection'ı kullanmayı durdurmaya karar verirseniz, Azure Information Protection tarafından korunan içeriğin şifresini çözmek için güvenilir bir yayımlama etki alanına (TPD) ihtiyacınız olacaktır.

Ancak Azure Information Protection anahtarınız için KAG kullanıyorsanız TPD'nizin dışarı aktarılması desteklenmez.

Bu senaryoya hazırlanmak için önceden uygun bir TPD oluşturduğunuzdan emin olun. Daha fazla bilgi için bkz . Azure Information Protection "Cloud Exit" planı hazırlama.

Azure Information Protection kiracı anahtarınız için KAG uygulama

KAG'yi uygulamak için aşağıdaki adımları kullanın:

  1. KAG önkoşullarını gözden geçirme
  2. Key Vault konumu seçme
  3. Anahtarınızı oluşturma ve yapılandırma

KAG önkoşulları

BYOK önkoşulları, sistem yapılandırmanıza bağlı olarak farklılık gösterir. Sisteminizin gerektiği gibi aşağıdaki önkoşullara uyduğunu doğrulayın:

Gereksinim Açıklama
Azure Aboneliği Tüm yapılandırmalar için gereklidir.
Daha fazla bilgi için bkz . KAG uyumlu bir Azure aboneliğinizin olduğunu doğrulama.
Azure Information Protection için AIPService PowerShell modülü Tüm yapılandırmalar için gereklidir.
Daha fazla bilgi için bkz . AIPService PowerShell modülünü yükleme.
KAG için Azure Key Vault önkoşulları Şirket içinde oluşturulan HSM korumalı bir anahtar kullanıyorsanız, Azure Key Vault belgelerinde listelenen KAG önkoşullarına da uyduğunuzdan emin olun.
Thales üretici yazılımı sürüm 11.62 Yazılım anahtarından donanım anahtarına geçiş yaparak AD RMS'den Azure Information Protection'a geçiriyorsanız ve HSM'niz için Thales üretici yazılımı kullanıyorsanız, Thales üretici yazılımı sürümünüz 11.62 olmalıdır.
Güvenilen Microsoft hizmetleri için güvenlik duvarı atlama Kiracı anahtarınızı içeren anahtar kasası Azure Key Vault için Sanal Ağ Hizmet Uç Noktaları kullanıyorsa, güvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin vermelisiniz.
Daha fazla bilgi için bkz. Azure Key Vault için hizmet uç noktalarını Sanal Ağ.

KAG uyumlu bir Azure aboneliğinizin olduğunu doğrulama

Azure Information Protection kiracınızın bir Azure aboneliği olmalıdır. Henüz bir hesabınız yoksa ücretsiz bir hesaba kaydolabilirsiniz. Ancak, HSM korumalı bir anahtar kullanmak için Azure Key Vault Premium hizmet katmanına sahip olmanız gerekir.

Microsoft Entra yapılandırmasına ve Azure Rights Management özel şablon yapılandırmasına erişim sağlayan ücretsiz Azure aboneliği, Azure Key Vault'u kullanmak için yeterli değildir .

BYOK ile uyumlu bir Azure aboneliğinizin olup olmadığını onaylamak için Azure PowerShell cmdlet'lerini kullanarak aşağıdakileri yapın:

  1. Yönetici olarak bir Azure PowerShell oturumu başlatın.

  2. kullanarak Connect-AzAccountAzure Information Protection kiracınız için genel yönetici olarak oturum açın.

  3. Görüntülenen belirteci panonuza kopyalayın. Ardından, bir tarayıcıda adresine gidin https://microsoft.com/devicelogin ve kopyalanan belirteci girin.

    Daha fazla bilgi için bkz . Azure PowerShell ile oturum açma.

  4. PowerShell oturumunuzda girin Get-AzSubscriptionve aşağıdaki değerlerin görüntülendiğini onaylayın:

    • Abonelik adınız ve kimliğiniz
    • Azure Information Protection kiracı kimliğiniz
    • Durumun etkinleştirildiğini onaylama

    Hiçbir değer görüntülenmezse ve istemine döndürülürseniz, KAG için kullanılabilecek bir Azure aboneliğiniz yoktur.

Anahtar kasası konumunuzu seçme

Azure Information için kiracı anahtarınız olarak kullanılacak anahtarı içerecek bir anahtar kasası oluşturduğunuzda, bir konum belirtmeniz gerekir. Bu konum bir Azure bölgesi veya Azure örneğidir.

Önce uyumluluk ve ardından ağ gecikme süresini en aza indirmek için seçiminizi yapın:

  • Uyumluluk nedeniyle BYOK anahtarı yöntemini seçtiyseniz, bu uyumluluk gereksinimleri Azure Information Protection kiracı anahtarınızı depolamak için hangi Azure bölgesinin veya örneğinin kullanılabileceğini de zorunlu kılabilir.

  • Azure Information Protection anahtarınız için koruma zincirine yönelik tüm şifreleme çağrıları. Bu nedenle, anahtar kasanızı Azure Information Protection kiracınızla aynı Azure bölgesinde veya örneğinde oluşturarak bu çağrıların gerektirdiği ağ gecikme süresini en aza indirmek isteyebilirsiniz.

Azure Information Protection kiracınızın konumunu belirlemek için Get-AipServiceConfiguration PowerShell cmdlet'ini kullanın ve URL'lerden bölgeyi belirleyin. Örneğin:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

Bölge rms.na.aadrm.com tanımlanabilir ve bu örnekte Kuzey Amerika.

Aşağıdaki tabloda ağ gecikme süresini en aza indirmek için önerilen Azure bölgeleri ve örnekleri listelenmiştir:

Azure bölgesi veya örneği Anahtar kasanız için önerilen konum
Rms.na.aadrm.com Orta Kuzey ABD veya Doğu ABD
Rms.eu.aadrm.com Kuzey Avrupa veya Batı Avrupa
Rms.ap.aadrm.com Doğu Asya veya Güneydoğu Asya
Rms.sa.aadrm.com Batı ABD veya Doğu ABD
Rms.govus.aadrm.com Orta ABD veya Doğu ABD 2
Rms.aadrm.us US Gov Virginia veya US Gov Arizona
Rms.aadrm.cn Çin Doğu 2 veya Çin Kuzey 2

Anahtarınızı oluşturma ve yapılandırma

Önemli

Yönetilen HSM'lere özgü bilgiler için bkz . Azure CLI aracılığıyla Yönetilen HSM anahtarları için anahtar yetkilendirmesini etkinleştirme.

Azure Information Protection için kullanmak istediğiniz bir Azure Key Vault ve anahtar oluşturun. Daha fazla bilgi için Azure Key Vault belgelerine bakın.

BYOK için Azure Key Vault'unuzu ve anahtarınızı yapılandırmak için aşağıdakilere dikkat edin:

Anahtar uzunluğu gereksinimleri

Anahtarınızı oluştururken anahtar uzunluğunun 2048 bit (önerilir) veya 1024 bit olduğundan emin olun. Diğer anahtar uzunlukları Azure Information Protection tarafından desteklenmez.

Not

1024 bit anahtarların etkin kiracı anahtarları için yeterli düzeyde koruma sunacağı düşünülemez.

Microsoft, 1024 bit RSA anahtarları gibi daha düşük anahtar uzunluklarının ve SHA-1 gibi yetersiz koruma düzeyleri sunan protokollerin ilişkili kullanımını onaylamaz.

Şirket içinde HSM korumalı anahtar oluşturma ve anahtar kasanıza aktarma

Şirket içinde HSM korumalı anahtar oluşturmak ve bunu HSM korumalı anahtar olarak anahtar kasanıza aktarmak için Azure Key Vault belgelerindeki yordamları izleyin: Azure Key Vault için HSM korumalı anahtar oluşturma ve aktarma.

Azure Information Protection'ın aktarılan anahtarı kullanabilmesi için anahtar için aşağıdakiler dahil olmak üzere tüm Key Vault işlemlerine izin verilmelidir:

  • şifreleme
  • Şifre -sini çöz
  • wrapKey
  • unwrapKey
  • sign
  • verify

Varsayılan olarak, tüm Key Vault işlemlerine izin verilir.

Belirli bir anahtar için izin verilen işlemleri denetlemek için aşağıdaki PowerShell komutunu çalıştırın:

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

Gerekirse, Update-AzKeyVaultKey ve KeyOps parametresini kullanarak izin verilen işlemleri ekleyin.

Azure Information Protection'ın anahtar kimliğiniz ile yapılandırılması

Azure Key Vault'ta depolanan anahtarların her birinin bir anahtar kimliği vardır.

Anahtar kimliği, anahtar kasasının adını, anahtar kapsayıcısını, anahtarın adını ve anahtar sürümünü içeren bir URL'dir. Örneğin: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333

Anahtar kasası URL'sini belirterek Azure Information Protection'ı anahtarınızı kullanacak şekilde yapılandırın.

Anahtarınızı kullanmak için Azure Rights Management hizmetini yetkilendirme

Azure Rights Management hizmetinin anahtarınızı kullanma yetkisine sahip olması gerekir. Azure Key Vault yöneticileri, Azure portalını veya Azure PowerShell'i kullanarak bu yetkilendirmeyi etkinleştirebilir.

Azure portalını kullanarak anahtar yetkilendirmeyi etkinleştirme

  1. Azure portalında oturum açın ve Anahtar kasalarınıza><anahtar kasanızın adı>>Erişim ilkeleri>Yeni ekle'ye gidin.

  2. Erişim ilkesi ekle bölmesindeki Şablondan yapılandır (isteğe bağlı) liste kutusunda Azure Information Protection BYOK'u seçin ve tamam'a tıklayın.

    Seçili şablon aşağıdaki yapılandırmaya sahiptir:

    • Select asıl değeri Microsoft Rights Management Services olarak ayarlanır.
    • Seçili anahtar izinleri Alma, Şifre Çözme ve İmzala'yı içerir.
PowerShell kullanarak anahtar yetkilendirmeyi etkinleştirme

Set-AzKeyVaultAccessPolicy Key Vault PowerShell cmdlet'ini çalıştırın ve GUID 00000012-0000-0000-c000-0000000000000 kullanarak Azure Rights Management hizmet sorumlusuna izinler verin.

Örneğin:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Azure CLI aracılığıyla Yönetilen HSM anahtarları için anahtar yetkilendirmesini etkinleştirme

Azure Rights Management hizmet sorumlusu kullanıcı izinlerini Yönetilen HSM Şifreleme kullanıcısı olarak vermek için aşağıdaki komutu çalıştırın:

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey

Where:

  • ContosoMHSM örnek bir HSM adıdır. Bu komutu çalıştırırken bu değeri kendi HSM adınızla değiştirin.

Yönetilen HSM Şifreleme Kullanıcısı kullanıcı rolü, kullanıcının anahtarın şifresini çözmesine, imzalamasına ve anahtarın izinlerini almasına olanak tanır ve bunların tümü Yönetilen HSM işlevselliği için gereklidir.

Azure Information Protection'ı anahtarınızı kullanacak şekilde yapılandırma

Yukarıdaki adımların tümünü tamamladıktan sonra Azure Information Protection'ı kuruluşunuzun kiracı anahtarı olarak bu anahtarı kullanacak şekilde yapılandırmaya hazır olursunuz.

Azure RMS cmdlet'lerini kullanarak aşağıdaki komutları çalıştırın:

  1. Azure Rights Management hizmetine Bağlan ve oturum açın:

    Connect-AipService

  2. Anahtar URL'sini belirterek Use-AipServiceKeyVaultKey cmdlet'ini çalıştırın. Örneğin:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"

    Önemli

    Bu örnekte, <key-version> kullanmak istediğiniz anahtarın sürümüdür. Sürümü belirtmezseniz, anahtarın geçerli sürümü varsayılan olarak kullanılır ve komut çalışıyor gibi görünebilir. Ancak anahtarınız daha sonra güncelleştirilirse veya yenilenirse, Use-AipServiceKeyVaultKey komutunu yeniden çalıştırsanız bile Azure Rights Management hizmeti kiracınız için çalışmayı durdurur.

    Geçerli anahtarın sürüm numarasını almak için gerektiğinde Get-AzKeyVaultKey komutunu kullanın.

    Örneğin: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    Azure Information Protection için anahtar URL'sinin doğru ayarlandığını onaylamak için Azure Key Vault'ta Get-AzKeyVaultKey komutunu çalıştırarak anahtar URL'sini görüntüleyin.

  3. Azure Rights Management hizmeti zaten etkinleştirilmişse Set-AipServiceKeyProperties komutunu çalıştırarak Azure Information Protection'a bu anahtarı Azure Rights Management hizmeti için etkin kiracı anahtarı olarak kullanmasını söyleyin.

Azure Information Protection artık kiracınız için otomatik olarak oluşturulan varsayılan Microsoft tarafından oluşturulan anahtar yerine anahtarınızı kullanacak şekilde yapılandırıldı.

Sonraki adımlar

KAG korumasını yapılandırdıktan sonra anahtarınızı kullanma ve yönetme hakkında daha fazla bilgi için Kiracı kök anahtarınızı kullanmaya başlama bölümüne geçin.