自備金鑰 (BYOK) Azure 資訊保護的詳細資料

注意

您是否正在尋找先前Microsoft 資訊保護 ( MIP) Microsoft Purview 資訊保護?

Azure 資訊保護統一標籤用戶端現在處於維護模式。 建議您使用內建在Office 365應用程式和服務的標籤。 瞭解更多資訊

具有 Azure 資訊保護訂用帳戶的組織可以選擇使用自己的金鑰來設定其租使用者,而不是由 Microsoft 產生的預設金鑰。 此設定通常稱為「攜帶您自己的金鑰」 (BYOK) 。

BYOK 和使用方式記錄可與 Azure 資訊保護 所使用的 Azure Rights Management 服務整合的應用程式順暢地運作。

支援的應用程式包括:

  • 雲端服務,例如 Microsoft SharePoint 或 Microsoft 365

  • 執行 Exchange 和 SharePoint 應用程式的內部部署服務,這些應用程式會透過 RMS 連接器使用 Azure Rights Management 服務

  • 用戶端應用程式,例如 Office 2019、Office 2016 和 Office 2013

提示

如有需要,請使用額外的內部部署金鑰,將額外的安全性套用至特定檔。 如需詳細資訊,請參閱僅) 統一標籤用戶端 (雙金鑰加密 (DKE) 保護

Azure 金鑰保存庫金鑰儲存體

客戶產生的金鑰必須儲存在 Azure 金鑰保存庫中,以進行 BYOK 保護。

注意

在 Azure 金鑰保存庫中使用受 HSM 保護的金鑰需要Azure 金鑰保存庫 進階服務層級,這會產生額外的每月訂用帳戶費用。

共用金鑰保存庫和訂用帳戶

建議您針對租使用者 金鑰使用專用金鑰保存庫 。 專用金鑰保存庫有助於確保其他服務的呼叫不會超過 服務限制 。 超過儲存租使用者金鑰之金鑰保存庫的服務限制,可能會導致 Azure Rights Management 服務的回應時間節流。

隨著不同的服務有不同的金鑰管理需求,Microsoft 也建議您針對金鑰保存庫使用 專用的 Azure 訂 用帳戶。 專用 Azure 訂用帳戶:

  • 協助防止設定錯誤

  • 當不同的服務具有不同的系統管理員時,更安全

若要與其他使用 Azure 金鑰保存庫的服務共用 Azure 訂用帳戶,請確定訂用帳戶共用一組常見的系統管理員。 確認所有使用訂用帳戶的系統管理員都已充分瞭解其可存取的每個金鑰,表示他們不太可能設定您的金鑰。

範例:當 Azure 資訊保護租使用者金鑰的系統管理員在線上管理Office 365客戶金鑰和 CRM 金鑰的相同個人時,使用共用的 Azure 訂用帳戶。 如果這些服務的金鑰管理員不同,建議您使用專用訂用帳戶。

使用 Azure 金鑰保存庫的優點

Azure 金鑰保存庫針對許多使用加密的雲端式和內部部署服務,提供集中式且一致的金鑰管理解決方案。

除了管理金鑰之外,Azure 金鑰保存庫可讓安全性系統管理員擁有相同的管理體驗,來針對使用加密的其他服務及應用程式,儲存、存取和管理憑證與密碼。

將租使用者金鑰儲存在 Azure 金鑰保存庫提供下列優點:

優點 Description
內建介面 Azure 金鑰保存庫支援多種金鑰管理的內建介面,包括 PowerShell、CLI、REST API 和 Azure 入口網站。

其他服務和工具已與金鑰保存庫整合,以取得特定工作的優化功能,例如監視。

例如,使用 Operations Management Suite Log Analytics 分析您的金鑰使用記錄、在符合指定的準則時設定警示,依此類推斷。
角色分離 Azure 金鑰保存庫提供角色區隔作為已辨識的安全性最佳做法。

角色區隔可確保 Azure 資訊保護系統管理員可以專注于其最高優先順序,包括管理資料分類和保護,以及特定安全性或合規性需求的加密金鑰和原則。
主要金鑰位置 Azure 金鑰保存庫可在各種位置使用,並支援具有主要金鑰可上線限制的組織。

如需詳細資訊,請參閱 Azure 網站上依區域提供的產品頁面。
分隔的安全性網域 Azure 金鑰保存庫針對其資料中心使用個別的安全性網域,例如北美洲、EMEA (歐洲、中東/非洲) 和亞洲。

Azure Key Vault 也會使用不同的 Azure 執行個體,例如 Microsoft Azure 德國和 Azure Government。
整合的體驗 Azure 金鑰保存庫也可讓安全性系統管理員針對使用加密的其他服務儲存、存取和管理憑證和秘密,例如密碼。

針對您的租使用者金鑰使用 Azure 金鑰保存庫,可為管理所有這些元素的系統管理員提供順暢的使用者體驗。

如需最新的更新,並瞭解其他服務如何使用Azure 金鑰保存庫,請造訪Azure 金鑰保存庫 小組部落格

BYOK 的使用方式記錄

使用量記錄是由對 Azure Rights Management 服務提出要求的每個應用程式所產生。

雖然使用量記錄是選擇性的,但建議您使用 Azure 資訊保護的近乎即時使用量記錄,以查看租使用者金鑰的使用方式和時間。

如需 BYOK 金鑰使用方式記錄的詳細資訊,請參閱記錄和分析來自 Azure 資訊保護的保護使用量

提示

如需額外的保證,Azure 資訊保護使用方式記錄可以與Azure 金鑰保存庫記錄進行交叉參考。 金鑰保存庫記錄提供可靠的方法來獨立監視您的金鑰,僅供 Azure Rights Management 服務使用。

如有必要,請移除金鑰保存庫的許可權,立即撤銷金鑰的存取權。

建立和儲存金鑰的選項

注意

如需受控 HSM 供應專案以及如何設定保存庫和金鑰的詳細資訊,請參閱Azure 金鑰保存庫檔

以下說明授與金鑰授權的其他指示。

BYOK 支援在 Azure 金鑰保存庫 或內部部署中建立的金鑰。

如果您在內部部署環境中建立金鑰,則必須將金鑰傳輸或匯入您的金鑰保存庫,並設定 Azure 資訊保護以使用金鑰。 從 Azure 金鑰保存庫內執行任何其他金鑰管理。

建立及儲存您自己的金鑰的選項:

  • 在 Azure 金鑰保存庫中建立。 將金鑰建立並儲存在 Azure 金鑰保存庫中,作為受 HSM 保護的金鑰或軟體保護金鑰。

  • 在內部部署中建立。 在內部部署建立金鑰,並使用下列其中一個選項將其傳輸至 Azure 金鑰保存庫:

    • 受 HSM 保護的金鑰,以受 HSM 保護的金鑰傳輸。 選擇的最典型方法。

      雖然此方法具有最大的系統管理負荷,但貴組織可能需要遵循特定法規。 Azure 金鑰保存庫所使用的 HSM 已驗證 FIPS 140-2 層級 2。

    • HSM 保護金鑰的形式轉換並傳輸至 Azure 金鑰保存庫的軟體保護金鑰。 只有在 從 Active Directory Rights Management Services (AD RMS) 移轉 時,才支援這個方法。

    • 以軟體保護金鑰的形式建立內部部署,並傳輸至 Azure 金鑰保存庫做為軟體保護金鑰。 這個方法需要 。PFX 憑證檔案。

例如,執行下列動作以使用內部部署建立的金鑰:

  1. 根據您的組織 IT 和安全性策略,在您的內部部署產生租使用者金鑰。 這個金鑰是主要複本。 它會保留在內部部署環境,而且您必須進行備份。

  2. 建立主要金鑰的複本,並將它從 HSM 安全地傳輸到 Azure 金鑰保存庫。 在此程式中,金鑰的主要複本永遠不會離開硬體保護界限。

傳輸之後,金鑰的複本會受到 Azure 金鑰保存庫保護。

匯出信任的發佈網域

如果您決定停止使用 Azure 資訊保護,則需要信任的發佈網域 (TPD) 解密受 Azure 資訊保護保護的內容。

不過,如果您針對 Azure 資訊保護金鑰使用 BYOK,則不支援匯出 TPD。

若要準備此案例,請務必事先建立適當的 TPD。 如需詳細資訊,請參閱如何準備 Azure 資訊保護「雲端結束」方案

實作 BYOK 作為 Azure 資訊保護租用戶金鑰

使用下列步驟來實作 BYOK:

  1. 檢閱 BYOK 必要條件
  2. 選擇金鑰保存庫位置
  3. 建立和設定金鑰

BYOK 的必要條件

BYOK 必要條件會根據您的系統組態而有所不同。 視需要確認您的系統符合下列必要條件:

需求 描述
Azure 訂用帳戶 所有組態都需要。
如需詳細資訊,請參閱 確認您有 BYOK 相容的 Azure 訂用帳戶
適用于 Azure 資訊保護 的 AIPService PowerShell 模組 所有組態都需要。
如需詳細資訊,請參閱 安裝 AIPService PowerShell 模組
BYOK 的 Azure 金鑰保存庫必要條件 如果您使用在內部部署建立的 HSM 保護金鑰,請確定您也符合 Azure 金鑰保存庫 檔中所列BYOK 的必要條件
Thales 韌體 11.62 版 如果您要從 AD RMS 移轉至 Azure 資訊保護,並使用硬體金鑰的軟體金鑰,並使用 HSM 的 Thales 韌體,則必須擁有 11.62 版的 Thales 韌體。
受信任 Microsoft 服務的防火牆略過 如果包含租使用者金鑰的金鑰保存庫使用 azure 金鑰保存庫 虛擬網路 服務端點,您必須允許受信任的 Microsoft 服務略過此防火牆。
如需詳細資訊,請參閱azure 金鑰保存庫虛擬網路服務端點

確認您有與 BYOK 相容的 Azure 訂用帳戶

您的 Azure 資訊保護租用戶必須有 Azure 訂用帳戶。 如果您還沒有帳戶,您可以註冊 免費帳戶。 不過,若要使用受 HSM 保護的金鑰,您必須擁有 Azure 金鑰保存庫進階服務層級。

提供 Azure Active Directory 設定和 Azure Rights Management 自訂範本設定存取權的免費 Azure 訂用帳戶不足以使用 Azure 金鑰保存庫。

若要確認您是否有與 BYOK 相容的 Azure 訂用帳戶,請使用Azure PowerShell Cmdlet 執行下列動作來驗證:

  1. 以系統管理員身分啟動Azure PowerShell會話。

  2. 使用 Connect-AzAccount 以 Azure 資訊保護 租使用者的全域管理員身分登入。

  3. 將顯示的權杖複製到剪貼簿。 然後,在瀏覽器中,移至 https://microsoft.com/devicelogin 並輸入複製的權杖。

    如需詳細資訊,請參閱使用 Azure PowerShell 登入 \(英文\)。

  4. 在您的 PowerShell 會話中,輸入 Get-AzSubscription ,並確認會顯示下列值:

    • 您的訂用帳戶名稱和識別碼
    • 您的 Azure 資訊保護租使用者識別碼
    • 確認狀態已啟用

    如果未顯示任何值,而且您返回提示,您就沒有可用於 BYOK 的 Azure 訂用帳戶。

選擇金鑰保存庫位置

當您建立金鑰保存庫以包含要用作 Azure Information 之租用戶金鑰的金鑰時,必須指定位置。 這個位置是 Azure 區域或 Azure 執行個體。

先選擇相容性,然後將網路延遲降至最低:

  • 如果您基於合規性考慮選擇 BYOK 金鑰方法,這些合規性需求也可能會規定哪些 Azure 區域或實例可用來儲存您的 Azure 資訊保護租使用者金鑰。

  • 對 Azure 資訊保護金鑰進行保護鏈結的所有密碼編譯呼叫。 因此,您可能想要在與 Azure 資訊保護 租使用者相同的 Azure 區域或實例中建立金鑰保存庫,以將這些呼叫所需的網路延遲降到最低。

若要識別 Azure 資訊保護租使用者的位置,請使用Get-AipServiceConfiguration PowerShell Cmdlet,並從 URL 識別區域。 例如:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

區域可以從 rms.na.aadrm.com 進行識別,而在此範例中是北美洲。

下表列出建議的 Azure 區域和實例,以將網路延遲降至最低:

Azure 區域或執行個體 建議的金鑰保存庫位置
rms.na.aadrm.com 美國中北部美國東部
rms.eu.aadrm.com 北歐西歐
rms.ap.aadrm.com 東亞東南亞
rms.sa.aadrm.com 美國西部美國東部
rms.govus.aadrm.com 美國中部美國東部 2
rms.aadrm.us US Gov 維吉尼亞州US Gov 維吉尼亞州
rms.aadrm.cn 中國東部 2中國北部 2

建立和設定金鑰

重要

如需受控 HSM 的特定資訊,請參閱 透過 Azure CLI 啟用受控 HSM 金鑰的金鑰授權

建立 Azure 金鑰保存庫和您想要用於 Azure 資訊保護的金鑰。 如需詳細資訊,請參閱 Azure Key Vault 文件

請注意下列專案,以設定 BYOK 的 Azure 金鑰保存庫和金鑰:

金鑰長度需求

建立金鑰時,請確定金鑰長度為 2048 位, (建議) 或 1024 位。 Azure 資訊保護不支援其他金鑰長度。

注意

1024 位金鑰不會被視為為作用中租使用者金鑰提供適當的保護層級。

Microsoft 不會背書使用較低的金鑰長度,例如 1024 位 RSA 金鑰,以及提供不足保護層級的通訊協定相關使用,例如 SHA-1。

在內部部署建立受 HSM 保護的金鑰,並將其傳輸至金鑰保存庫

若要在內部部署建立受 HSM 保護的金鑰,並將其傳輸至金鑰保存庫作為受 HSM 保護的金鑰,請遵循 Azure 金鑰保存庫檔中的程式:如何為 Azure 金鑰保存庫產生和傳輸受 HSM 保護的金鑰

若要讓 Azure 資訊保護使用傳輸的金鑰,金鑰必須允許所有金鑰保存庫作業,包括:

  • encrypt
  • 解密
  • wrapKey
  • unwrapKey
  • Sign
  • 驗證

根據預設,允許所有金鑰保存庫作業。

若要檢查特定金鑰的允許作業,請執行下列 PowerShell 命令:

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

如有必要,請使用 Update-AzKeyVaultKeyKeyOps 參數新增允許的作業。

使用金鑰識別碼設定 Azure 資訊保護

儲存在 Azure 金鑰保存庫中的金鑰都有金鑰識別碼。

金鑰識別碼是 URL,其中包含金鑰保存庫的名稱、金鑰容器、金鑰名稱,以及金鑰版本。 例如: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333

藉由指定金鑰保存庫 URL,設定 Azure 資訊保護來使用您的金鑰。

授權 Azure Rights Management 服務使用您的金鑰

Azure Rights Management 服務必須獲得授權,才能使用您的金鑰。 Azure 金鑰保存庫系統管理員可以使用Azure 入口網站或Azure PowerShell來啟用此授權。

使用 Azure 入口網站 啟用金鑰授權
  1. 登入Azure 入口網站,然後移至您的金鑰保存庫< 名稱 >存取原則>[新增]。>>

  2. 從 [新增存取原則] 窗格的 [從範本設定] (選擇性的 [) ] 清單方塊中,選取[Azure 資訊保護 BYOK],然後按一下 [確定]。

    選取的範本具有下列設定:

    • Select 主體值會設定為Microsoft Rights Management Services
    • 選取 的金鑰許可權 包括 [取得]、[ 解密] 和 [ 簽署]。
使用 PowerShell 啟用金鑰授權

執行 金鑰保存庫 PowerShell Cmdlet Set-AzKeyVaultAccessPolicy,並使用 GUID 000000012-0000-0000-c000-0000000000000000000授與 Azure Rights Management 服務主體的許可權。

例如:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
透過 Azure CLI 啟用受控 HSM 金鑰的金鑰授權

若要將 Azure Rights Management 服務主體使用者權限授與 受控 HSM 密碼編譯 使用者,請執行下列命令:

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey

其中:

  • Contoso則為 HSM 名稱範例。 執行此命令時,請將此值取代為您自己的 HSM 名稱。

受控 HSM 密碼編譯使用者使用者角色可讓使用者解密、簽署和取得金鑰的許可權,這些金鑰都是受控 HSM 功能的必要專案。

設定 Azure 資訊保護以使用金鑰

完成上述所有步驟之後,您就可以設定 Azure 資訊保護使用此金鑰作為組織的租使用者金鑰。

使用 Azure RMS Cmdlet,執行下列命令:

  1. 連線到 Azure Rights Management 服務並登入:

    Connect-AipService
    
  2. 執行 Use-AipServiceKeyVaultKey Cmdlet,並指定金鑰 URL。 例如:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
    

    重要

    在此範例中, <key-version> 是您想要使用的金鑰版本。 如果您未指定版本,預設會使用目前的金鑰版本,而且命令可能會正常運作。 不過,如果您的金鑰稍後更新或更新,即使您再次執行 Use-AipServiceKeyVaultKey 命令,Azure Rights Management 服務仍會停止為您的租使用者運作。

    視需要使用 Get-AzKeyVaultKey 命令來取得目前金鑰的版本號碼。

    例如: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    若要確認 Azure 資訊保護已正確設定金鑰 URL,請在 Azure 金鑰保存庫中執行Get-AzKeyVaultKey命令以顯示金鑰 URL。

  3. 如果已啟用 Azure Rights Management 服務,請執行Set-AipServiceKeyProperties以告知 Azure 資訊保護使用此金鑰作為 Azure Rights Management 服務的作用中租使用者金鑰。

Azure 資訊保護現在已設定為使用您的金鑰,而不是為租使用者自動建立的預設 Microsoft 建立金鑰。

後續步驟

設定 BYOK 保護之後,請繼續 開始使用租使用者根金鑰 ,以取得使用和管理金鑰的詳細資訊。