備註
您正在尋找 Microsoft Purview 資訊保護(前身為 Microsoft 資訊保護)嗎?
Azure 資訊保護載入巨集 已淘汰 ,並取代為您 Microsoft 365 應用程式和服務的內建標籤。 深入瞭解 其他 Azure 資訊保護元件的支持狀態。
Microsoft Purview 資訊保護用戶端(不含增益集)已正式推出。
具有 Azure 資訊保護訂用帳戶的組織可選擇使用自己的金鑰來設定其租用戶,而不是由 Microsoft 產生的預設金鑰。 此設定通常稱為「自備金鑰 (BYOK)」。
BYOK 和 使用量記錄 可與與 Azure 資訊保護所使用的 Azure Rights Management 服務整合的應用程式順暢地運作。
支援應用程式包括:
雲端服務,例如 Microsoft SharePoint 或 Microsoft 365
內部部署服務運行使用 RMS 連接器和 Azure 權限管理服務的 Exchange 和 SharePoint 應用程式。
用戶端應用程式,例如 Office 2024 和 Office 2021。
小提示
如有需要,請使用額外的內部部署密鑰,將額外的安全性套用至特定檔。 如需詳細資訊,請參閱 雙密鑰加密 (DKE) 保護 ( 僅限統一卷標用戶端)。
Azure Key Vault 金鑰記憶體
客戶產生的金鑰必須儲存在 Azure Key Vault 中以進行 BYOK 保護。
備註
在 Azure Key Vault 中使用受 HSM 保護的密鑰需要 Azure Key Vault 進階服務層級,這會產生額外的每月訂用帳戶費用。
共用金鑰保存庫和訂用帳戶
建議您為您的租使用者金鑰使用一個專門的金鑰庫。 專用金鑰保存庫有助於確保其他服務的呼叫不會超過 服務限制 。 超出儲存租戶密鑰的密鑰保存庫的服務限制,可能會導致 Azure Rights Management 服務的響應時間受到限制。
由於不同的服務有不同的密鑰管理需求,Microsoft也建議您針對密鑰保存庫使用 專用的 Azure 訂 用帳戶。 專用 Azure 訂用帳戶:
協助防止設定錯誤
當不同的服務具有不同的系統管理員時,更安全
若要與其他使用 Azure Key Vault 的服務共用 Azure 訂用帳戶,請確定訂用帳戶共用一組常見的系統管理員。 確認所有使用訂用帳戶的系統管理員都充分瞭解其可存取的每個密鑰,表示他們不太可能錯誤配置您的密鑰。
範例:使用共用的 Azure 訂閱,適用於當 Azure 資訊保護租用戶的金鑰管理員與管理 Office 365 客戶金鑰及 CRM 線上服務的管理員為同一群人時。 如果這些服務的主要系統管理員不同,建議您使用專用的訂用帳戶。
使用 Azure Key Vault 的優點
Azure Key Vault 針對使用加密的許多雲端式和內部部署服務,提供集中式且一致的密鑰管理解決方案。
除了管理金鑰之外,Azure Key Vault 還為您的安全性系統管理員提供相同的管理體驗,以儲存、存取和管理憑證和密碼(例如密碼),以用於使用加密的其他服務和應用程式。
將您的租使用者金鑰儲存在 Azure Key Vault 中提供下列優點:
優勢 | 說明 |
---|---|
內建介面 | Azure Key Vault 支援數個內建介面來進行密鑰管理,包括 PowerShell、CLI、REST API 和 Azure 入口網站。 其他服務和工具已與 Key Vault 整合,以取得特定工作的優化功能,例如監視。 例如,使用 Operations Management Suite Log Analytics 分析您的密鑰使用記錄、在符合指定準則時設定警示等等。 |
角色分離 | Azure Key Vault 提供角色區隔作為可辨識的安全性最佳做法。 角色隔離可確保 Azure 資訊保護系統管理員可以專注於其最高優先順序,包括管理數據分類和保護,以及特定安全性或合規性需求的加密密鑰和原則。 |
主要金鑰位置 | Azure Key Vault 可在各種地點使用,並支援對主要密鑰存放位置有規範限制的組織。 如需詳細資訊,請參閱 Azure 網站上的依 區域提供的產品 頁面。 |
分隔的安全性網域 | Azure Key Vault 在其數據中心使用個別的安全性網域,例如北美洲、EMEA(歐洲、中東和非洲),以及亞洲。 Azure Key Vault 也會使用不同的 Azure 實例,例如Microsoft Azure 德國和 Azure Government。 |
整合體驗 | Azure Key Vault 也可讓安全性系統管理員針對使用加密的其他服務儲存、存取和管理憑證和秘密,例如密碼。 為您的租使用者密鑰使用 Azure Key Vault 可為管理所有這些元素的系統管理員提供順暢的用戶體驗。 |
如需最新的更新,並瞭解其他服務如何使用 Azure Key Vault,請流覽 Azure Key Vault 小組部落格。
BYOK 的使用記錄
使用量記錄是由向 Azure Rights Management 服務提出要求的每個應用程式所產生。
雖然使用記錄是選擇性的,但建議您使用 Azure 資訊保護中的近乎即時使用量記錄,以查看租使用者密鑰的使用方式和時機。
如需 BYOK 金鑰使用記錄的詳細資訊,請參閱 記錄和分析 Azure 資訊保護的保護使用量。
小提示
如需其他保證,可以使用 Azure Key Vault 記錄來交叉參考 Azure 資訊保護使用量記錄。 Key Vault 記錄提供可靠的方法來獨立監視密鑰僅供 Azure Rights Management 服務使用。
如有必要,請移除金鑰庫的許可權,以立即撤銷金鑰的存取權限。
建立和儲存金鑰的選項
BYOK 支援在 Azure Key Vault 或內部部署中建立的密鑰。
如果您建立內部部署密鑰,則必須接著將密鑰傳輸或匯入 Key Vault,並將 Azure 資訊保護設定為使用金鑰。 從 Azure Key Vault 內執行任何其他金鑰管理。
建立及儲存您自己的金鑰的選項:
- 在 Azure Key Vault 中建立。 將密鑰建立並儲存在 Azure Key Vault 中,作為受 HSM 保護的金鑰或受軟體保護的密鑰。
備註
直接在 Azure Key Vault 中產生的金鑰 無法匯出 ,無法在 Azure Key Vault 外部使用。 如果您的組織要求金鑰是可匯出且您擁有,您必須在內部部署建立金鑰,並將其匯入至 Azure Key Vault,同時在內部部署維護金鑰的備份。 災害復原規劃和測試應包含定期測試這些密鑰復原的措施。 密鑰可以從 Azure Key Vault 備份,但只能匯入原始訂用帳戶。
在內部部署中建立。 使用下列其中一個選項,在內部部署建立密鑰並將其傳輸至 Azure Key Vault:
受 HSM 保護的金鑰,以 HSM 保護金鑰的形式傳輸。 選擇的最典型方法。
雖然此方法具有最大的系統管理額外負荷,但組織可能需要遵循特定法規。 Azure Key Vault 所使用的 HSM 具有 FIPS 140 驗證。
以 HSM 保護金鑰的形式轉換並傳輸至 Azure Key Vault 的軟體保護密鑰。 只有在 從 Active Directory Rights Management Services (AD RMS) 移轉時,才支援此方法。
在內部部署系統中建立為受軟體保護的密鑰,然後以軟體保護的密鑰形式轉移至 Azure Key Vault。 這個方法需要 。PFX 憑證檔案。
例如,執行下列動作以使用內部部署建立的金鑰:
根據您的組織的IT和安全策略,在您的內部部署生成租戶金鑰。 此金鑰是主要複本。 它會保留在內部部署,且您負責其備份。
建立主要密鑰的複本,並將它從 HSM 安全地傳輸至 Azure Key Vault。 在整個程式中,金鑰的主要複本永遠不會離開硬體保護界限。
傳輸之後,金鑰的複本會受到 Azure Key Vault 的保護。
匯出信任的發佈網域
如果您曾經決定停止使用 Azure 資訊保護,則需要受信任的發佈網域 (TPD) 來解密受 Azure 資訊保護保護的內容。
不過,如果您正在使用 BYOK 作為 Azure 資訊保護金鑰,則無法匯出 TPD。
若要準備此案例,請務必事先建立適當的 TPD。 如需詳細資訊,請參閱 如何準備 Azure 資訊保護「雲端結束」方案。
為您的 Azure 資訊保護租使用者金鑰實作 BYOK
使用下列步驟來實作 BYOK:
BYOK 的必要條件
BYOK 必要條件會根據您的系統設定而有所不同。 確認您的系統符合下列必要條件:
要求 | 說明 |
---|---|
Azure 訂用帳戶 | 所有組態都需要。 如需詳細資訊,請參閱 確認您有 BYOK 相容的 Azure 訂用帳戶。 |
適用於 Azure 資訊保護的 AIPService PowerShell 模組 | 所有組態都需要。 如需詳細資訊,請參閱 安裝 AIPService PowerShell 模組。 |
BYOK 的 Azure Key Vault 必要條件 | 如果您使用內部部署所建立的受 HSM 保護的金鑰,請確定您也符合 Azure Key Vault 檔案中所列 BYOK 的必要條件 。 |
Thales 韌體 11.62 版 | 如果您要從 AD RMS 移轉至 Azure 資訊保護,且使用軟體金鑰轉換為硬體密鑰,並使用 Thales 韌體的 HSM,您必須擁有版本為 11.62 的 Thales 韌體。 |
信任的 Microsoft 服務繞過防火牆 | 如果包含租使用者密鑰的金鑰保存庫使用 Azure Key Vault 的虛擬網路服務端點,您必須允許受信任的Microsoft服務略過此防火牆。 如需詳細資訊,請參閱 Azure Key Vault 的虛擬網路服務端點。 |
確認您有與 BYOK 相容的 Azure 訂用帳戶
您的 Azure 資訊保護租用戶必須具有 Azure 訂用帳戶。 如果您還沒有帳戶,您可以註冊 免費帳戶。 不過,若要使用受 HSM 保護的金鑰,您必須具有 Azure Key Vault 進階服務層級。
免費 Azure 訂用帳戶可讓您存取 Microsoft Entra 組態和 Azure Rights Management 自訂範本組態,但不足以使用 Azure Key Vault。
若要確認您是否有與 BYOK 相容的 Azure 訂用帳戶,請使用 Azure PowerShell Cmdlet 執行下列動作來驗證:
以系統管理員身分啟動 Azure PowerShell 會話。
使用
Connect-AzAccount
,以全域管理員身分登入您的 Azure 資訊保護租用戶。將顯示的令牌複製到剪貼簿。 然後,在瀏覽器中,移至 https://microsoft.com/devicelogin 並輸入複製的令牌。
如需詳細資訊,請參閱使用 Azure PowerShell 登入。
在您的 PowerShell 工作階段中,輸入
Get-AzSubscription
,並確認會顯示下列值:- 您的訂用帳戶名稱和識別碼
- 您的 Azure 資訊保護租用戶標識碼
- 確認狀態已啟用
如果未顯示任何數值,並且您已返回提示符,那麼您就沒有可以用於 BYOK 的 Azure 訂閱。
選擇金鑰保存庫位置
當您建立金鑰保存庫以包含要作為 Azure 資訊租使用者金鑰的金鑰時,您必須指定位置。 此位置是 Azure 區域或 Azure 實例。
先選擇合規性,然後再將網路等待時間降到最低:
如果您基於合規性原因選擇了 BYOK 密鑰方法,這些合規性需求也可能規定哪些 Azure 區域或實例可用來儲存您的 Azure 資訊保護租使用者密鑰。
所有與您的 Azure 資訊保護金鑰相關的密碼學調用必須依賴於保護鏈。 因此,您可能會想要將這些呼叫所需的網路等待時間降到最低,方法是在與 Azure 資訊保護租使用者相同的 Azure 區域或實例中建立密鑰保存庫。
若要識別 Azure 資訊保護租使用者的位置,請使用 Get-AipServiceConfiguration PowerShell Cmdlet,並從 URL 識別區域。 例如:
LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing
區域可從 rms.na.aadrm.com 識別,在此範例中,它是在北美洲。
下表列出建議的 Azure 區域和實例,以將網路等待時間降至最低:
Azure 區域或實例 | 金鑰保存庫的建議位置 |
---|---|
rms.na.aadrm.com | 美國中北部 或 美國東部 |
rms.eu.aadrm.com | 北歐 或 西歐 |
rms.ap.aadrm.com | 東亞 或 東南亞 |
rms.sa.aadrm.com | 美國西部 或 美國東部 |
rms.govus.aadrm.com | 美國中部 或 美國東部 2 |
rms.aadrm.us | US Gov 維吉尼亞州 或 US Gov 亞利桑那州 |
rms.aadrm.cn | 中國東部 2 或 華北 2 |
建立和設定金鑰
這很重要
如需受控 HSM 的特定資訊,請參閱 透過 Azure CLI 啟用受控 HSM 金鑰的密鑰授權。
建立 Azure Key Vault,以及您想要用於 Azure 資訊保護的密鑰。 如需詳細資訊,請參閱 Azure Key Vault 檔。
這很重要
在建立 Azure Key Vault 之後,立即啟用軟刪除和清除保護。 這可防止意外刪除保管庫和金鑰。 遺失金鑰而沒有足夠備份,將會導致加密檔案和電子郵件的完整資料遺失。 如需詳細資訊,請參閱 Azure Key Vault:軟刪除概觀。
請注意下列事項,以設定 Azure Key Vault 和用於 BYOK 的金鑰:
金鑰長度要求
建立金鑰時,請確定金鑰長度為 2048 位(建議)或 1024 位。 Azure 資訊保護不支援其他密鑰長度。
備註
1024 位金鑰不被視為能為活動承租戶金鑰提供足夠的保護層級。
Microsoft不支援使用較低金鑰長度,例如 1024 位 RSA 金鑰,以及提供保護層級不足的通訊協議的相關使用,例如 SHA-1。
在內部部署環境建立受 HSM 保護的金鑰,並將其傳輸至金鑰庫。
若要在內部部署建立受 HSM 保護的金鑰,並將其做為受 HSM 保護的金鑰傳輸至金鑰庫,請遵循 Azure Key Vault 文件中的程序:如何為 Azure Key Vault 產生和傳輸受 HSM 保護的密鑰。
若要讓 Azure 資訊保護使用傳輸的金鑰,金鑰必須允許所有 Key Vault 作業,包括:
- 加密
- 解密
- 包裝密鑰 (wrapKey)
- unwrapKey
- 標誌
- 驗證
根據預設,允許所有 Key Vault 的操作。
若要檢查特定金鑰的允許作業,請執行下列 PowerShell 命令:
(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps
如有必要,請使用 Update-AzKeyVaultKey 和 KeyOps 參數來新增允許的作業。
使用金鑰標識碼設定 Azure 資訊保護
儲存在 Azure Key Vault 中的金鑰各有金鑰標識碼。
金鑰識別碼是 URL,其中包含金鑰保存庫的名稱、金鑰容器、金鑰名稱,以及金鑰版本。 例如:https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333
藉由指定金鑰保存庫 URL,設定 Azure 資訊保護以使用您的金鑰。
授權 Azure Rights Management 服務使用您的密鑰
Azure Rights Management 服務必須獲得授權,才能使用您的密鑰。 Azure Key Vault 系統管理員可以使用 Azure 入口網站或 Azure PowerShell 來啟用此授權。
使用 Azure 入口網站啟用金鑰授權
登入 Azure 入口網站,然後移至金鑰保存庫<名稱>>存取政策>新增。
從 新增存取原則 窗格的 從範本進行設定 (選用) 清單框中,選取 Azure 資訊保護 BYOK,然後按一下 確定。
選取的範本具有下列組態:
- Select 主體值會設定為 Microsoft Rights Management Services。
- 選取 的密鑰許可權 包括 [取得]、[ 解密] 和 [ 簽署]。
使用 PowerShell 啟用金鑰授權
執行 Key Vault PowerShell Cmdlet Set-AzKeyVaultAccessPolicy,並使用 GUID 00000012-0000-0000-c000-000000000000 授與 Azure Rights Management 服務主體的許可權。
例如:
Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
透過 Azure CLI 啟用受控 HSM 金鑰的金鑰授權
若要將 Azure 權限管理服務的服務主體使用者權限授與 受控 HSM 加密使用者,請執行下列命令:
az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey
地點:
- ContosoMHSM 是範例 HSM 名稱。 執行此指令時,請將此值取代為您自己的 HSM 名稱。
受控 HSM 密碼編譯使用者角色可讓使用者解密、簽署和取得密鑰的許可權,這是受控 HSM 功能所需的所有許可權。
設定 Azure 資訊保護以使用您的金鑰
完成上述所有步驟之後,您就可以設定 Azure 資訊保護將此密鑰作為組織的租使用者密鑰。
使用 Azure RMS Cmdlet,執行下列命令:
線上到 Azure Rights Management 服務並登入:
Connect-AipService
執行 Use-AipServiceKeyVaultKey Cmdlet,並指定金鑰 URL。 例如:
Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
這很重要
在此範例中,
<key-version>
是您想要使用的密鑰版本。 如果您未指定版本,預設會使用目前的金鑰版本,而且命令可能會正常運作。 不過,如果您的密鑰稍後更新或重新簽發,即使您再次執行 Use-AipServiceKeyVaultKey 命令,Azure Rights Management 服務仍會停止為您的租用戶運作。視需要使用 Get-AzKeyVaultKey 命令來取得目前密鑰的版本號碼。
例如:
Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'
若要確認 Azure 資訊保護已正確設定金鑰 URL,請在 Azure Key Vault 中執行 Get-AzKeyVaultKey 命令以顯示金鑰 URL。
如果 Azure Rights Management 服務已啟動,請執行 Set-AipServiceKeyProperties ,告知 Azure 資訊保護使用此金鑰作為 Azure Rights Management 服務的作用中租使用者密鑰。
Azure 資訊保護現在已設定為使用您的密鑰,而不是使用 Microsoft 預設為您的租用戶自動建立的密鑰。
後續步驟
設定 BYOK 保護之後,請繼續開始使用 您的租使用者根密鑰 ,以取得使用和管理金鑰的詳細資訊。