步驟 2：HSM 保護的金鑰移轉至受 HSM 保護的金鑰

這些指示是從 AD RMS 移轉至 Azure 資訊保護 的一部分 ，而且只有在 AD RMS 金鑰受到 HSM 保護，而且您想要在 Azure 金鑰保存庫 中使用受 HSM 保護的租使用者金鑰移轉至 Azure 資訊保護時，才適用。

如果這不是您選擇的設定案例，請返回 步驟 4。從 AD RMS 匯出組態資料，並將其匯入至 Azure RMS ，然後選擇不同的組態。

注意

這些指示假設您的 AD RMS 金鑰受到模組保護。 這是最典型的案例。

這是將 HSM 金鑰和 AD RMS 設定匯入 Azure 資訊保護的兩部分程式，可產生由您管理的 Azure 資訊保護 租使用者金鑰（BYOK）。

因為 Azure 資訊保護租使用者金鑰將由 Azure 金鑰保存庫儲存和管理，因此除了 Azure 資訊保護 之外，移轉的這個部分還需要在 Azure 金鑰保存庫 中管理。 如果 Azure 金鑰保存庫是由與貴組織不同的系統管理員所管理，您必須協調並使用該系統管理員來完成這些程式。

開始之前，請確定您的組織具有已在 Azure 金鑰保存庫 中建立的金鑰保存庫，且其支援受 HSM 保護的金鑰。 雖然並非必要，但建議您有 Azure 資訊保護專用的金鑰保存庫。 此金鑰保存庫會設定為允許 Azure Rights Management 服務存取它，因此此金鑰保存庫儲存的金鑰應該僅限於 Azure 資訊保護金鑰。

提示

如果您要執行 Azure 金鑰保存庫的設定步驟，但不熟悉此 Azure 服務，建議您先檢閱 開始使用 Azure 金鑰保存庫 。

第 1 部分：將您的 HSM 金鑰傳輸至 Azure 金鑰保存庫

這些程式是由 Azure 金鑰保存庫 的系統管理員所完成。

1. 針對您想要儲存在 Azure 金鑰保存庫的每個匯出 SLC 金鑰，請遵循 Azure 金鑰保存庫 檔中的指示，使用實 作適用于 Azure 金鑰保存庫的自備金鑰 （BYOK），但下列例外狀況：

   • 請勿執行產生租使用者金鑰 的步驟 ，因為您已經有 AD RMS 部署的對等專案。 請改為從 nCipher 安裝識別 AD RMS 伺服器所使用的金鑰，並準備這些金鑰以進行傳輸，然後將其傳輸至 Azure 金鑰保存庫。

     nCipher 的加密金鑰檔案會在本機伺服器上命名 為 key_ < keyAppName > _ < keyIdentifier。 > 例如： C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54 。 當您執行 KeyTransferRemote 命令以建立具有縮減許可權的金鑰複本時，您需要 mscapi 值作為 keyAppName，以及金鑰識別碼的您自己的值。

     當金鑰上傳至 Azure 金鑰保存庫時，您會看到顯示的金鑰屬性，其中包括金鑰識別碼。 看起來會類似 https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. 請記下此 URL，因為 Azure 資訊保護系統管理員需要它告訴 Azure Rights Management 服務，將此金鑰用於其租使用者金鑰。

2. 在連線到網際網路的工作站上，在 PowerShell 會話中，使用 Set-AzKeyVaultAccessPolicy Cmdlet 來授權 Azure Rights Management 服務主體存取將儲存 Azure 資訊保護租使用者金鑰的金鑰保存庫。 所需的許可權包括解密、加密、解除包裝金鑰、wrapkey、verify 和 sign。

   例如，如果您為 Azure 資訊保護建立的金鑰保存庫名為 contoso-byok-ky，且您的資源群組名為 contoso-byok-rg，請執行下列命令：

   Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
   

既然您已在 Azure 金鑰保存庫 中準備 HSM 金鑰，以便從 Azure 資訊保護使用 Azure Rights Management 服務，您就可以匯入 AD RMS 組態資料。

第 2 部分：將設定資料匯入 Azure 資訊保護

這些程式是由 Azure 資訊保護 的系統管理員所完成。

1. 在網際網路連線工作站和 PowerShell 會話中，使用 連線-AipService Cmdlet 連線到 Azure Rights Management 服務 。

   然後使用 Import-AipServiceTpd Cmdlet 上傳每個受信任的發佈網域 （.xml） 檔案 。 例如，如果您升級 AD RMS 叢集進行密碼編譯模式 2，則至少應該要匯入一個額外的檔案。

   若要執行此 Cmdlet，您需要您稍早針對每個組態資料檔案指定的密碼，以及上一個步驟中所識別金鑰的 URL。

   例如，使用 C：\contoso-tpd1.xml 的組態資料檔案和上一個步驟中的金鑰 URL 值，請先執行下列命令來儲存密碼：

    $TPD_Password = Read-Host -AsSecureString
   

   輸入您指定用來匯出組態資料檔案的密碼。 然後，執行下列命令，並確認您想要執行此動作：

   Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
   

   在此匯入時，會匯入 SLC 金鑰，並自動設定為封存。

2. 上傳每個檔案之後，請執行 Set-AipServiceKeyProperties 來指定哪些匯入的金鑰符合 AD RMS 叢集中目前作用中的 SLC 金鑰。 此金鑰會成為 Azure Rights Management 服務的作用中租使用者金鑰。

3. 使用 Disconnect-AipServiceService Cmdlet 從 Azure Rights Management 服務中斷連線：

   Disconnect-AipServiceService
   

如果您稍後需要確認 Azure 資訊保護租使用者金鑰在 Azure 金鑰保存庫中使用的金鑰，請使用 Get-AipServiceKeys Azure RMS Cmdlet。

您現在已準備好移至 步驟 5。啟用 Azure Rights Management 服務 。