攜帶您自己的金鑰 (BYOK) Azure 資訊保護 詳細數據

注意

您要尋找 Microsoft Purview 資訊保護,前身為 Microsoft 資訊保護 (MIP)?

適用於 Office 的 Azure 資訊保護 載入宏現在處於維護模式,將於 2024 年 4 月淘汰。 相反地,建議您使用 Office 365 應用程式和服務內建的標籤。 深入瞭解其他 Azure 資訊保護元件的支持狀態。

具有 Azure 資訊保護訂用帳戶的組織可選擇使用自己的金鑰來設定其租用戶,而不是由 Microsoft 產生的預設金鑰。 此設定通常稱為「自備金鑰 (BYOK)」。

BYOK 和使用量記錄可與與 Azure 資訊保護 所使用的 Azure Rights Management 服務整合的應用程式順暢地運作。

支援的應用程式包括:

  • 雲端服務,例如 Microsoft SharePoint 或 Microsoft 365

  • 透過 RMS 連接器執行 Exchange 和 SharePoint 應用程式的內部部署服務

  • 用戶端應用程式,例如 Office 2019、Office 2016 和 Office 2013

提示

如有需要,請使用額外的內部部署密鑰,將額外的安全性套用至特定檔。 如需詳細資訊,請參閱 雙密鑰加密 (DKE) 保護 (僅限統一卷標用戶端)。

Azure 金鑰保存庫 金鑰記憶體

客戶產生的金鑰必須儲存在 Azure 金鑰保存庫 以進行 BYOK 保護。

注意

在 Azure 金鑰保存庫 中使用受 HSM 保護的金鑰需要 Azure 金鑰保存庫 進階版 服務層級,這會產生額外的每月訂用帳戶費用。

共用金鑰保存庫和訂用帳戶

建議您針對租使用者金鑰使用 專用金鑰保存庫 。 專用金鑰保存庫有助於確保其他服務的呼叫不會 超過服務限制 。 超過儲存租使用者密鑰之密鑰保存庫的服務限制,可能會導致 Azure Rights Management 服務的響應時間節流。

由於不同的服務有不同的密鑰管理需求,Microsoft 也建議您針對密鑰保存庫使用 專用的 Azure 訂 用帳戶。 專用 Azure 訂用帳戶:

  • 協助防止設定錯誤

  • 當不同的服務具有不同的系統管理員時,更安全

若要與其他使用 Azure 金鑰保存庫 的服務共用 Azure 訂用帳戶,請確定訂用帳戶共用一組常見的系統管理員。 確認所有使用訂用帳戶的系統管理員都充分瞭解其可存取的每個密鑰,表示他們不太可能設定您的密鑰。

範例:當 Azure 資訊保護 租使用者金鑰的系統管理員是管理 Office 365 客戶金鑰和 CRM 在線金鑰的相同個人時,使用共用的 Azure 訂用帳戶。 如果這些服務的主要系統管理員不同,建議您使用專用的訂用帳戶。

使用 Azure 金鑰保存庫 的優點

Azure 金鑰保存庫 針對使用加密的許多雲端式和內部部署服務,提供集中式且一致的密鑰管理解決方案。

除了管理金鑰之外,Azure 金鑰保存庫 還提供您安全性系統管理員相同的管理體驗,以儲存、存取和管理憑證和密碼(例如密碼)以用於使用加密的其他服務和應用程式。

將您的租使用者金鑰儲存在 Azure 金鑰保存庫 提供下列優點:

優勢 描述
內建介面 Azure 金鑰保存庫 支持數個內建介面來進行密鑰管理,包括 PowerShell、CLI、REST API 和 Azure 入口網站。

其他服務和工具已與 金鑰保存庫 整合,以取得特定工作的優化功能,例如監視。

例如,使用 Operations Management Suite Log Analytics 分析您的密鑰使用記錄、在符合指定準則時設定警示等等。
角色分離 Azure 金鑰保存庫 提供角色區隔作為可辨識的安全性最佳做法。

角色隔離可確保 Azure 資訊保護 系統管理員可以專注於其最高優先順序,包括管理數據分類和保護,以及特定安全性或合規性需求的加密密鑰和原則。
主要金鑰位置 Azure 金鑰保存庫 可在各種位置使用,並支援具有主要密鑰可存有限制的組織。

如需詳細資訊,請參閱 Azure 網站上的依區域 提供的產品頁面。
分隔的安全性網域 Azure 金鑰保存庫 針對其數據中心使用個別的安全性網域,例如 北美洲、EMEA(歐洲、中東和非洲),以及亞洲。

Azure 金鑰保存庫 也會使用不同的 Azure 實例,例如 Microsoft Azure 德國和 Azure Government。
整合體驗 Azure 金鑰保存庫 也可讓安全性系統管理員儲存、存取及管理使用加密的其他服務,例如密碼和密碼。

針對租使用者密鑰使用 Azure 金鑰保存庫,可為管理所有這些元素的系統管理員提供順暢的用戶體驗。

如需最新的更新,並瞭解其他服務如何使用 Azure 金鑰保存庫,請流覽 Azure 金鑰保存庫 小組部落格

BYOK 的使用記錄

使用量記錄是由向 Azure Rights Management 服務提出要求的每個應用程式所產生。

雖然使用量記錄是選擇性的,但建議使用來自 Azure 資訊保護 的近乎即時使用量記錄,以查看租使用者密鑰的使用方式和時機。

如需 BYOK 金鑰使用記錄的詳細資訊,請參閱記錄和分析 Azure 資訊保護 的保護使用量。

提示

如需其他保證,Azure 資訊保護 使用量記錄可以與 Azure 金鑰保存庫 記錄進行交叉參考。 金鑰保存庫 記錄提供可靠的方法來獨立監視密鑰僅供 Azure Rights Management 服務使用。

如有必要,請移除金鑰保存庫的許可權,立即撤銷金鑰的存取權。

建立和儲存金鑰的選項

注意

如需受控 HSM 供應專案的詳細資訊,以及如何設定保存庫和密鑰,請參閱 Azure 金鑰保存庫 檔

以下說明授與金鑰授權的其他指示。

BYOK 支援在 Azure 金鑰保存庫 或內部部署中建立的密鑰。

如果您建立內部部署密鑰,則必須接著將密鑰傳輸或匯入至您的 金鑰保存庫,並將 Azure 資訊保護 設定為使用金鑰。 從 Azure 金鑰保存庫 內執行任何其他金鑰管理。

建立及儲存您自己的金鑰的選項:

  • 在 Azure 金鑰保存庫 中建立。 將密鑰建立並儲存在 Azure 金鑰保存庫 中,作為受 HSM 保護的金鑰或受軟體保護的金鑰。

  • 已建立內部部署。 使用下列其中一個選項,在內部部署建立密鑰,並將其傳輸至 Azure 金鑰保存庫:

    • 受 HSM 保護的金鑰,以 HSM 保護金鑰的形式傳輸。 選擇的最典型方法。

      雖然此方法具有最大的系統管理額外負荷,但組織可能需要遵循特定法規。 Azure 金鑰保存庫 所使用的 HSM 具有 FIPS 140 驗證

    • 軟體保護的金鑰會轉換成 Azure 金鑰保存庫 作為受 HSM 保護的金鑰。 只有在從 Active Directory Rights Management Services (AD RMS) 移轉時,才支援此方法。

    • 將內部部署建立為受軟體保護的密鑰,並傳輸至 Azure 金鑰保存庫 作為受軟體保護的密鑰。 這個方法需要 。PFX 憑證檔案。

例如,執行下列動作以使用內部部署建立的金鑰:

  1. 根據您的組織IT和安全策略,在內部部署產生租使用者金鑰。 此金鑰是主要複本。 它會保留在內部部署,而且您必須進行備份。

  2. 建立主要密鑰的複本,並將它安全地從 HSM 傳輸到 Azure 金鑰保存庫。 在整個程式中,金鑰的主要複本永遠不會離開硬體保護界限。

傳輸之後,金鑰的複本會受到 Azure 金鑰保存庫 保護。

匯出信任的發佈網域

如果您曾經決定停止使用 Azure 資訊保護,則需要受信任的發佈網域 (TPD) 來解密受 Azure 資訊保護 保護的內容。

不過,如果您使用 BYOK 進行 Azure 資訊保護 金鑰,則不支援匯出 TPD。

若要準備此案例,請務必事先建立適當的 TPD。 如需詳細資訊,請參閱如何準備 Azure 資訊保護「雲端結束」方案

為您的 Azure 資訊保護 租使用者金鑰實作 BYOK

使用下列步驟來實作 BYOK:

  1. 檢閱 BYOK 必要條件
  2. 選擇 金鑰保存庫 位置
  3. 建立和設定金鑰

BYOK 的必要條件

BYOK 必要條件會根據您的系統設定而有所不同。 確認您的系統符合下列必要條件:

需求 描述
Azure 訂用帳戶 所有組態都需要。
如需詳細資訊,請參閱 確認您有 BYOK 相容的 Azure 訂用帳戶
適用於 Azure 資訊保護 的 AIPService PowerShell 模組 所有組態都需要。
如需詳細資訊,請參閱 安裝 AIPService PowerShell 模組
BYOK 的 Azure 金鑰保存庫 必要條件 如果您使用內部部署所建立的 HSM 保護金鑰,請確定您也符合 Azure 金鑰保存庫 檔中所列 BYOK 的必要條件。
Thales 韌體 11.62 版 如果您要從 AD RMS 移轉至 Azure 資訊保護 使用軟體金鑰到硬體金鑰,並使用 Thales 韌體進行 HSM,您必須擁有 11.62 的 Thales 韌體版本。
受信任 Microsoft 服務 的防火牆略過 如果包含租使用者金鑰的金鑰保存庫使用 azure 金鑰保存庫 虛擬網絡 服務端點,您必須允許受信任的 Microsoft 服務 略過此防火牆。
如需詳細資訊,請參閱 azure 金鑰保存庫 虛擬網絡 服務端點。

確認您有與 BYOK 相容的 Azure 訂用帳戶

您的 Azure 資訊保護 租用戶必須具有 Azure 訂用帳戶。 如果您還沒有帳戶,您可以註冊 免費帳戶。 不過,若要使用受 HSM 保護的金鑰,您必須具有 Azure 金鑰保存庫 進階版 服務層級。

免費 Azure 訂用帳戶,可讓您存取 Microsoft Entra 組態和 Azure Rights Management 自定義範本組態,不足以使用 Azure 金鑰保存庫。

若要確認您是否有與 BYOK 相容的 Azure 訂用帳戶,請使用 Azure PowerShell Cmdlet 執行下列動作來驗證:

  1. 以系統管理員身分啟動 Azure PowerShell 會話。

  2. 使用 ,以 Azure 資訊保護 租使用者的Connect-AzAccount全域管理員身分登入。

  3. 將顯示的令牌複製到剪貼簿。 然後,在瀏覽器中,移至 https://microsoft.com/devicelogin 並輸入複製的令牌。

    如需詳細資訊,請參閱使用 Azure PowerShell 登入 \(英文\)。

  4. 在您的 PowerShell 工作階段中,輸入 Get-AzSubscription,並確認會顯示下列值:

    • 您的訂用帳戶名稱和識別碼
    • 您的 Azure 資訊保護 租用戶標識碼
    • 確認狀態已啟用

    如果未顯示任何值,而且您返回提示,則沒有可用於 BYOK 的 Azure 訂用帳戶。

選擇金鑰保存庫位置

當您建立金鑰保存庫以包含要作為 Azure 資訊租使用者金鑰的金鑰時,您必須指定位置。 此位置是 Azure 區域或 Azure 實例。

先選擇合規性,然後再將網路等待時間降到最低:

  • 如果您已基於合規性理由選擇 BYOK 密鑰方法,這些合規性需求也可能規定哪些 Azure 區域或實例可用來儲存 Azure 資訊保護 租使用者密鑰。

  • 對 Azure 資訊保護 金鑰進行保護鏈結的所有密碼編譯呼叫。 因此,您可能想要將這些呼叫所需的網路等待時間降到最低,方法是在與 Azure 資訊保護 租使用者相同的 Azure 區域或實例中建立金鑰保存庫。

若要識別 Azure 資訊保護 租使用者的位置,請使用 Get-AipServiceConfiguration PowerShell Cmdlet,並從 URL 識別區域。 例如:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

區域可從 rms.na.aadrm.com 識別,在此範例中為 北美洲。

下表列出建議的 Azure 區域和實例,以將網路等待時間降至最低:

Azure 區域或實例 金鑰保存庫的建議位置
Rms。na.aadrm.com 美國 中北部或 美國東部
Rms。eu.aadrm.com 北歐西歐
Rms。ap.aadrm.com 東亞或東南亞
Rms。sa.aadrm.com 美國 西部或 美國東部
Rms。govus.aadrm.com 美國 中部或 美國東部 2
Rms。aadrm.us US Gov 維吉尼亞州US Gov 亞利桑那州
Rms。aadrm.cn 中國東部 2華北 2

建立和設定金鑰

重要

如需受控 HSM 的特定資訊,請參閱 透過 Azure CLI 啟用受控 HSM 金鑰的密鑰授權。

建立 Azure 金鑰保存庫,以及您想要用於 Azure 資訊保護 的密鑰。 如需詳細資訊,請參閱 Azure 金鑰保存庫 檔

請注意下列專案,用於設定 BYOK 的 Azure 金鑰保存庫 和金鑰:

金鑰長度需求

建立金鑰時,請確定金鑰長度為 2048 位(建議)或 1024 位。 Azure 資訊保護 不支援其他密鑰長度。

注意

1024 位金鑰不會被視為為使用中租使用者金鑰提供適當的保護層級。

Microsoft 不會背書使用較低金鑰長度,例如 1024 位 RSA 金鑰,以及提供保護層級不足的通訊協議的相關使用,例如 SHA-1。

在內部部署建立受 HSM 保護的金鑰,並將其傳輸至金鑰保存庫

若要在內部部署建立受 HSM 保護的金鑰,並將其傳輸至金鑰保存庫作為受 HSM 保護的金鑰,請遵循 Azure 金鑰保存庫 檔中的程式:如何為 Azure 金鑰保存庫 產生和傳輸受 HSM 保護的密鑰。

若要讓 Azure 資訊保護 使用傳輸的金鑰,金鑰必須允許所有 金鑰保存庫 作業,包括:

  • 加密
  • 解密
  • wrapKey
  • unwrapKey
  • Sign
  • verify

根據預設,允許所有 金鑰保存庫 作業。

若要檢查特定金鑰的允許作業,請執行下列 PowerShell 命令:

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

如有必要,請使用 Update-AzKeyVaultKeyKeyOps 參數來新增允許的作業。

使用金鑰標識碼設定 Azure 資訊保護

儲存在 Azure 中的金鑰 金鑰保存庫 各有金鑰標識碼。

金鑰識別碼是 URL,其中包含金鑰保存庫的名稱、金鑰容器、金鑰名稱,以及金鑰版本。 例如:https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333

藉由指定金鑰保存庫 URL,設定 Azure 資訊保護 以使用您的金鑰。

授權 Azure Rights Management 服務使用您的密鑰

Azure Rights Management 服務必須獲得授權,才能使用您的密鑰。 Azure 金鑰保存庫 系統管理員可以使用 Azure 入口網站 或 Azure PowerShell 來啟用此授權。

使用 Azure 入口網站 啟用金鑰授權
  1. 登入 Azure 入口網站,然後移至密鑰保存庫<>名稱>>存取原則>新增。

  2. 從 [新增存取原則] 窗格的 [從範本設定] 清單框中,選取 [Azure 資訊保護 BYOK],然後按兩下 [確定]。

    選取的範本具有下列組態:

    • Select 主體 值會設定為 Microsoft Rights Management Services
    • 選取 的密鑰許可權 包括 [取得]、 [解密] 和 [ 簽署]。
使用 PowerShell 啟用金鑰授權

執行 金鑰保存庫 PowerShell Cmdlet Set-AzKeyVaultAccessPolicy,並使用 GUID 000000012-00000-0000-c000-0000-000000000000000 授與 Azure Rights Management 服務主體的許可權。

例如:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
透過 Azure CLI 啟用受控 HSM 金鑰的金鑰授權

若要將 Azure Rights Management 服務主體用戶權力授與 受控 HSM 密碼編譯 使用者,請執行下列命令:

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey

其中:

  • ContosoMHSM 是範例 HSM 名稱。 執行此指令時,請將此值取代為您自己的 HSM 名稱。

受控 HSM 密碼編譯使用者 角色可讓使用者解密、簽署和取得密鑰的許可權,這是受控 HSM 功能所需的所有許可權。

設定 Azure 資訊保護 以使用金鑰

完成上述所有步驟之後,您就可以設定 Azure 資訊保護 將此密鑰作為組織的租使用者密鑰。

使用 Azure RMS Cmdlet,執行下列命令:

  1. 連線 至 Azure Rights Management 服務並登入:

    Connect-AipService
    
  2. 執行Use-AipServiceKeyVaultKey Cmdlet,並指定密鑰 URL。 例如:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
    

    重要

    在此範例中, <key-version> 是您想要使用的密鑰版本。 如果您未指定版本,預設會使用目前的金鑰版本,而且命令可能會正常運作。 不過,如果您的密鑰稍後更新或更新,即使您再次執行Use-AipServiceKeyVaultKey命令,Azure Rights Management服務仍會停止為您的租用戶運作

    視需要使用 Get-AzKeyVaultKey 命令來取得目前密鑰的版本號碼。

    例如:Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    若要確認 Azure 資訊保護 已正確設定金鑰 URL,請在 Azure 金鑰保存庫 中執行 Get-AzKeyVaultKey 命令以顯示金鑰 URL。

  3. 如果 Azure Rights Management 服務已啟動,請執行 Set-AipServiceKeyProperties,告訴 Azure 資訊保護 使用此密鑰作為 Azure Rights Management 服務的作用中租使用者密鑰。

Azure 資訊保護 現在已設定為使用金鑰,而不是為租用戶自動建立的預設 Microsoft 建立密鑰。

下一步

設定 BYOK 保護之後,請繼續 開始使用您的租使用者根密鑰 ,以取得使用和管理金鑰的詳細資訊。