Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Use la información de este artículo si ha decidido configurar el inquilino para que use su propia clave raíz para el servicio de Azure Rights Management, en lugar de una clave predeterminada generada por Microsoft. Esta configuración se conoce a menudo como Bring Your Own Key (BYOK).
Para obtener más información sobre las opciones de clave raíz, vea Tipos de clave para el servicio.
BYOK y el registro de uso funcionan sin problemas con las aplicaciones que se integran con el servicio de Azure Rights Management que usa Microsoft Purview Information Protection.
Entre las aplicaciones admitidas se incluyen:
Servicios en la nube, como Microsoft SharePoint o Microsoft 365
Servicios locales que ejecutan aplicaciones de Exchange y SharePoint que usan el servicio Azure Rights Management mediante el conector rights management
Aplicaciones cliente, como Office 2024 y Office 2021.
Sugerencia
Si es necesario, aplique seguridad adicional a documentos específicos mediante una clave local adicional. Para obtener más información, vea Double Key Encryption (DKE).
almacenamiento de claves de Azure Key Vault
Las claves generadas por el cliente deben almacenarse en el Azure Key Vault para BYOK.
Nota:
El uso de claves protegidas por HSM en el Azure Key Vault requiere una Azure Key Vault nivel de servicio Premium, que incurre en una cuota de suscripción mensual adicional.
Uso compartido de almacenes de claves y suscripciones
Se recomienda usar un almacén de claves dedicado para la clave de inquilino de Azure Rights Management. Los almacenes de claves dedicados ayudan a garantizar que las llamadas de otros servicios no hacen que se superen los límites del servicio . Superar los límites de servicio en el almacén de claves donde se almacena la clave de inquilino puede provocar una limitación del tiempo de respuesta para el servicio de Azure Rights Management.
Dado que los distintos servicios tienen distintos requisitos de administración de claves, Microsoft también recomienda usar una suscripción de Azure dedicada para el almacén de claves por los siguientes motivos:
Ayudar a protegerse frente a configuraciones incorrectas
Más seguro cuando diferentes servicios tienen administradores diferentes
Para compartir una suscripción de Azure con otros servicios que usan Azure Key Vault, asegúrese de que la suscripción comparte un conjunto común de administradores. Confirme que todos los administradores que usan la suscripción tienen un conocimiento exhaustivo de todas las claves que pueden administrar. Los administradores con este nivel de comprensión tienen menos probabilidades de configurar erróneamente las claves.
Ejemplo: Use una suscripción de Azure compartida cuando los administradores de la clave de inquilino de Azure Rights Management sean las mismas personas que administran las claves para la clave de cliente de Microsoft Purview y Dynamics 365 Online. Si los administradores clave de estos servicios son diferentes, se recomienda usar suscripciones dedicadas.
Ventajas del uso de Azure Key Vault
Azure Key Vault proporciona una solución de administración de claves centralizada y coherente para muchos servicios locales y basados en la nube que usan cifrado.
Además de administrar las claves, Azure Key Vault ofrece a los administradores de seguridad la misma experiencia de administración para almacenar, acceder y administrar certificados y secretos (como contraseñas) para otros servicios y aplicaciones que usan cifrado.
El almacenamiento de la clave de inquilino en el Azure Key Vault proporciona las siguientes ventajas:
| Ventaja | Descripción |
|---|---|
| Interfaces integradas | Azure Key Vault admite una serie de interfaces integradas para la administración de claves, como PowerShell, la CLI, las API REST y el Azure Portal. Otros servicios y herramientas se han integrado con Azure Key Vault para funcionalidades optimizadas para tareas específicas, como la supervisión. Por ejemplo, analice los registros de uso de claves con Azure Agente de supervisión, establezca alertas cuando se cumplan los criterios especificados, etc. |
| Separación de roles | Azure Key Vault proporciona separación de roles como procedimiento recomendado de seguridad reconocido. La separación de roles garantiza que los administradores del servicio Azure Rights Management puedan centrarse en sus prioridades más altas, incluida la administración de la clasificación y protección de datos, así como las claves de cifrado y las directivas para requisitos específicos de seguridad o cumplimiento. |
| Ubicación de la clave maestra | Azure Key Vault está disponible en una variedad de ubicaciones y admite organizaciones con restricciones en las que las claves maestras pueden vivir. Para obtener más información, consulte la página Productos disponibles por región en el sitio de Azure. |
| Dominios de seguridad separados | Azure Key Vault usa dominios de seguridad independientes para sus centros de datos en regiones como Norteamérica, EMEA (Europa, Oriente Medio y África) y Asia. Azure Key Vault también usa diferentes instancias de Azure, como Microsoft Azure Alemania y Azure Government. |
| Experiencia unificada | Azure Key Vault también permite a los administradores de seguridad almacenar, acceder y administrar certificados y secretos, como contraseñas, para otros servicios que usan cifrado. El uso de Azure Key Vault para las claves de inquilino proporciona una experiencia de usuario sin problemas para los administradores que administran todos estos elementos. |
Para obtener las actualizaciones más recientes y obtener información sobre cómo usan Azure Key Vault otros servicios, visite el blog del equipo de Azure Key Vault.
Registro de uso de BYOK
Cada aplicación que realiza solicitudes al servicio Azure Rights Management genera registros de uso.
Aunque el registro de uso es opcional, se recomienda usar los registros de uso casi en tiempo real del servicio de Azure Rights Management para ver exactamente cómo y cuándo se usa la clave de inquilino de Azure Rights Management.
Para obtener más información sobre el registro de uso de claves para BYOK, consulte Registro de uso para el servicio Azure Rights Management.
Sugerencia
Para obtener una garantía adicional, se puede hacer referencia cruzada a este registro de uso con Azure Key Vault registro. Azure Key Vault registros proporcionan un método confiable para supervisar de forma independiente que el servicio de Azure Rights Management solo usa la clave.
Si es necesario, revoque inmediatamente el acceso a la clave mediante la eliminación de permisos en el almacén de claves.
Opciones para crear y almacenar la clave
Nota:
Para obtener información general sobre la oferta de HSM administrado y cómo configurar un almacén y una clave, consulte la documentación de Azure Key Vault.
Esta sección contiene instrucciones adicionales sobre la concesión de la autorización de claves para el servicio de Azure Rights Management.
BYOK admite claves que se crean en Azure Key Vault o en el entorno local.
Si crea la clave local, debe transferirla o importarla en el almacén de claves y configurar el servicio de Azure Rights Management para que use la clave. Realice cualquier administración de claves adicional desde dentro de Azure Key Vault.
Opciones para crear y almacenar su propia clave:
Creado localmente. Cree la clave local y transfiéela a Azure Key Vault mediante una de las siguientes opciones:
Clave protegida por HSM, transferida como una clave protegida por HSM. Método más típico elegido.
Aunque este método tiene la mayor sobrecarga administrativa, es posible que sea necesario que la organización siga las regulaciones específicas. Los HSM usados por Azure Key Vault tienen validación FIPS 140.
Clave protegida por software que se convierte y transfiere a Azure Key Vault como una clave protegida por HSM. Este método solo se admite al migrar desde Active Directory Rights Management Services (AD RMS).
Se crea localmente como una clave protegida por software y se transfiere a Azure Key Vault como una clave protegida por software. Este método requiere . Archivo de certificado PFX.
Por ejemplo, haga lo siguiente para usar una clave creada localmente:
Genere la clave de inquilino en el entorno local, en consonancia con las directivas de TI y seguridad de su organización. Esta clave es la copia maestra. Permanece en el entorno local y es responsable de su copia de seguridad.
Cree una copia de la clave maestra y transfiéndola de forma segura desde el HSM a Azure Key Vault. A lo largo de este proceso, la copia maestra de la clave nunca sale del límite de protección de hardware.
Una vez transferida, la copia de la clave está protegida por Azure Key Vault.
Creado en Azure Key Vault. Cree y almacene la clave en Azure Key Vault como una clave protegida por HSM o una clave protegida por software.
Advertencia
Las claves que se generan directamente en Azure Key Vault no se pueden exportar para su uso fuera de Azure Key Vault. La mayoría de las organizaciones que usan BYOK tienen requisitos de cumplimiento que exigen que mantengan su propia copia de la clave fuera de Azure Key Vault. No cree la clave directamente en Azure Key Vault; en su lugar, cree la clave local y transfiéndola a Azure Key Vault.
Si su organización requiere que las claves se puedan exportar y, en su posesión, debe crear la clave local e importarla para Azure Key Vault y mantener sus propias copias de seguridad de la clave local. El planeamiento y las pruebas de recuperación ante desastres deben incluir medidas para probar periódicamente la recuperación de estas claves. Se puede hacer una copia de seguridad de las claves desde Azure Key Vault, pero solo se pueden importar a la suscripción original.
Exportación del dominio de publicación de confianza
Si alguna vez decide dejar de usar el servicio de Azure Rights Management, necesitará un dominio de publicación de confianza (TPD) para descifrar el contenido cifrado por el servicio Azure Rights Management.
Sin embargo, no se admite la exportación del TPD si usa BYOK para la clave de inquilino de Azure Rights Management.
Para prepararse para este escenario, asegúrese de crear un TPD adecuado con antelación. Para obtener más información, consulte Preparación de un plan Azure Information Protection "Cloud Exit".
Implementación de BYOK para la clave de inquilino de Azure Rights Management
Siga estos pasos para implementar BYOK:
- Revisión de los requisitos previos de BYOK
- Elección de una ubicación del almacén de claves
- Creación y configuración de la clave
Requisitos previos para BYOK
Los requisitos previos de BYOK varían en función de la configuración del sistema. Compruebe que el sistema cumple los siguientes requisitos previos según sea necesario:
| Requisito | Descripción |
|---|---|
| Suscripción a Azure | Necesario para todas las configuraciones. Para obtener más información, consulte Comprobación de que tiene una suscripción Azure compatible con BYOK. |
| Módulo de PowerShell AIPService para el servicio Azure Rights Management | Necesario para todas las configuraciones. Para obtener más información, vea Instalar el módulo de PowerShell AIPService para el servicio Azure Rights Management. Nota: El módulo AIPService solo se ejecuta en Windows PowerShell 5.1. No es compatible con PowerShell 7 u otras versiones modernas. |
| Azure Key Vault requisitos previos para BYOK | Si usa una clave protegida por HSM que se creó localmente, asegúrese de que también cumple los requisitos previos para BYOK enumerados en la documentación de Azure Key Vault. |
| Versión 11.62 del firmware de Thales | Debe tener una versión de firmware de Thales de 11.62 si va a migrar de AD RMS al servicio Azure Rights Management mediante la clave de software a la clave de hardware y usa el firmware de Thales para el HSM. |
| Omisión de firewall para servicios de Microsoft de confianza | Si el almacén de claves que contiene la clave de inquilino usa Virtual Network puntos de conexión de servicio para Azure Key Vault, debe permitir que los servicios de Microsoft de confianza omitan este firewall. Para obtener más información, consulte Virtual Network puntos de conexión de servicio para Azure Key Vault. |
Comprobación de que tiene una suscripción Azure compatible con BYOK
El inquilino de Azure Rights Management debe tener una suscripción Azure. Si aún no tiene una, puede registrarse para obtener una cuenta gratuita. Sin embargo, para usar una clave protegida por HSM, debe tener el nivel de servicio Azure Key Vault Premium.
La suscripción gratuita Azure que proporciona acceso a Microsoft Entra configuración no es suficiente para usar Azure Key Vault.
Para confirmar si tiene una suscripción de Azure compatible con BYOK, haga lo siguiente para comprobarlo mediante cmdlets de Azure PowerShell:
Inicie una sesión de Azure PowerShell como administrador.
Ejecute
Connect-AzAccounte inicie sesión con un rol que pueda acceder a los recursos de Azure Key Vault.Ejecute
Get-AzSubscriptionpara confirmar que se muestran los valores siguientes:- El nombre y el identificador de la suscripción
- El identificador de inquilino del servicio de Azure Rights Management
- Confirmación de que el estado está habilitado
Si no se muestra ningún valor y se devuelve al símbolo del sistema, no tiene una suscripción Azure que se pueda usar para BYOK.
Compruebe que puede usar el nivel Azure Key Vault Premium, que es necesario para las claves protegidas por HSM. Si tiene un almacén de claves existente, ejecute el siguiente comando para comprobar su SKU:
Get-AzKeyVault -VaultName "YourVaultName" | Select-Object VaultName, SkuEl valor de sku debe ser Premium para las claves protegidas por HSM. Si va a crear un nuevo almacén de claves, asegúrese de seleccionar el nivel Premium durante la creación. Para obtener información sobre los precios, consulte Azure Key Vault precios.
Elección de la ubicación del almacén de claves
Al crear un almacén de claves para que contenga la clave que se usará como clave de inquilino para el servicio Azure Rights Management, debe especificar una ubicación. Esta ubicación es una región Azure o una instancia de Azure.
Elija primero el cumplimiento y, a continuación, minimice la latencia de red:
Si ha elegido el método clave BYOK por motivos de cumplimiento, esos requisitos de cumplimiento también podrían exigir qué Azure región o instancia se pueden usar para almacenar la clave de inquilino de Azure Rights Management.
Todas las llamadas criptográficas para la cadena de protección a la clave de Azure Rights Management. Por lo tanto, es posible que desee minimizar la latencia de red que requieren estas llamadas mediante la creación del almacén de claves en la misma región o instancia de Azure que el inquilino de Azure Rights Management.
Para identificar la ubicación del inquilino que usa el servicio Azure Rights Management, use el cmdlet De PowerShell Get-AipServiceConfiguration e identifique la región de las direcciones URL. Por ejemplo:
LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing
La región se puede identificar desde rms.na.aadrm.com y, en este ejemplo, está en Norteamérica.
En la tabla siguiente se enumeran las regiones e instancias de Azure recomendadas para minimizar la latencia de red:
| Azure región o instancia | Ubicación recomendada para el almacén de claves |
|---|---|
| rms.na.aadrm.com | Centro-norte de EE. UU. o Este de EE. UU. |
| rms.eu.aadrm.com | Norte de Europa o Oeste de Europa |
| rms.ap.aadrm.com | Este de Asia o Sudeste asiático |
| rms.sa.aadrm.com | Oeste de EE. UU. o Este de EE. UU. |
| rms.govus.aadrm.com | Centro de EE. UU. o Este de EE. UU. 2 |
| rms.aadrm.us | US Gov Virginia o US Gov Arizona |
| rms.aadrm.cn | Este de China 2 o Norte de China 2 |
Creación y configuración de la clave
Importante
Para obtener información específica para los HSM administrados, consulte Habilitación de la autorización de claves para claves HSM administradas a través de CLI de Azure.
Cree un Azure Key Vault y la clave que desea usar para el servicio de Azure Rights Management. Para obtener más información, consulte la documentación de Azure Key Vault.
Importante
Después de crear el Azure Key Vault, habilite inmediatamente la eliminación temporal y la protección de purga. Esto evita la eliminación accidental del almacén y las claves. La pérdida de las claves sin copias de seguridad suficientes da lugar a una pérdida completa de datos de archivos cifrados y correos electrónicos. Para obtener más información, consulte Azure Key Vault: introducción a la eliminación temporal.
Tenga en cuenta lo siguiente para configurar el Azure Key Vault y la clave para BYOK:
- Requisitos de longitud de clave
- Creación de una clave protegida por HSM local y transferencia a su almacén de claves
- Configuración del servicio de Azure Rights Management para el identificador de clave
- Autorización del servicio de Azure Rights Management para usar la clave
Requisitos de longitud de clave
Al crear la clave, asegúrese de que la longitud de la clave sea de 2048 bits. El servicio Azure Rights Management no admite otras longitudes de clave.
Creación de una clave protegida por HSM local y transferencia a su almacén de claves
Para crear una clave protegida por HSM localmente y transferirla al almacén de claves como una clave protegida por HSM, siga los procedimientos de la documentación de Azure Key Vault: Generación y transferencia de claves protegidas por HSM para Azure Key Vault.
Para que el servicio de Azure Rights Management use la clave transferida, se deben permitir las siguientes operaciones de Key Vault para la clave:
- Obtener
- descifrar
- sign
Para comprobar las operaciones permitidas para una clave específica, ejecute el siguiente comando de PowerShell:
(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps
Configuración del servicio de Azure Rights Management para el identificador de clave
Las claves almacenadas en el Azure Key Vault cada una tiene un identificador de clave.
El identificador de clave es una dirección URL que contiene el nombre del almacén de claves, el contenedor de claves, el nombre de la clave y la versión de la clave. Por ejemplo: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333
Configure el servicio de Azure Rights Management para que use la clave especificando su dirección URL del almacén de claves.
Autorización del servicio de Azure Rights Management para usar la clave
El servicio de Azure Rights Management debe estar autorizado para usar la clave a través de Azure RBAC. Esto requiere crear un rol personalizado con los permisos necesarios y asignarlo a la entidad de servicio rights management.
Nota:
Este rol, cuando se asigna, permite al servicio Azure Rights Management realizar operaciones criptográficas con la clave. Los miembros asignados a este rol pueden usar todas las claves del almacén para estas operaciones. Asigne solo a un almacén dedicado al servicio de Azure Rights Management. No asigne este rol a otros almacenes ni use el almacén para otros servicios.
Habilitación de la autorización de claves mediante la CLI de Azure
Inicie sesión en CLI de Azure y obtenga el identificador de suscripción del almacén de claves:
az login az keyvault show --name <vault-name> --resource-group <resource-group-name> --query "id" -o tsvLa salida contiene el identificador de suscripción en el formato :
/subscriptions/<subscription-id>/resourceGroups/...Cree un archivo JSON denominado
PurviewRMSCustomAKVRole.jsoncon el siguiente contenido, reemplazando<subscription-id>por el identificador de suscripción del paso anterior:{ "Name": "Purview Rights Management key vault Encryption User", "IsCustom": true, "Description": "Grants access to use key vault keys for the Purview Rights Management service.", "Actions": [], "NotActions": [], "DataActions": [ "Microsoft.KeyVault/vaults/keys/read", "Microsoft.KeyVault/vaults/keys/sign/action", "Microsoft.KeyVault/vaults/keys/decrypt/action" ], "NotDataActions": [], "AssignableScopes": [ "/subscriptions/<subscription-id>" ] }Cree la definición de rol personalizada y cambie la ruta de acceso del archivo de definición de roles si es necesario:
az role definition create --role-definition "./PurviewRMSCustomAKVRole.json"Nota:
Ejecute este comando desde el directorio donde guardó
PurviewRMSCustomAKVRole.jsono reemplace por./PurviewRMSCustomAKVRole.jsonla ruta de acceso completa al archivo.Obtenga el identificador de recurso del almacén de claves y asigne el rol a la entidad de servicio de Rights Management en un único comando:
az role assignment create --role "Purview Rights Management key vault Encryption User" --assignee "00000012-0000-0000-c000-000000000000" --scope $(az keyvault show --name <vault-name> --resource-group <resource-group-name> --query "id" -o tsv)
Habilitación de la autorización de claves mediante Azure PowerShell
Inicie sesión para Azure PowerShell y obtenga el identificador de suscripción del almacén de claves:
Connect-AzAccount # Define your key vault and resource group names $vaultName = "<vault-name>" $resourceGroupName = "<resource-group-name>" # Get the key vault resource ID and subscription ID $keyVault = Get-AzKeyVault -VaultName $vaultName -ResourceGroupName $resourceGroupName $resourceId = $keyVault.ResourceId $subscriptionId = ($resourceId -split "/")[2] # Create the custom role definition JSON file $jsonRoleDefinition = @" { "Name": "Purview Rights Management key vault Encryption User", "IsCustom": true, "Description": "Grants access to use key vault keys for the Purview Rights Management service.", "Actions": [], "NotActions": [], "DataActions": [ "Microsoft.KeyVault/vaults/keys/read", "Microsoft.KeyVault/vaults/keys/sign/action", "Microsoft.KeyVault/vaults/keys/decrypt/action" ], "NotDataActions": [], "AssignableScopes": [ "/subscriptions/$($subscriptionId)" ] } "@ $jsonRoleDefinition | Out-File -FilePath "./PurviewRMSCustomAKVRole.json" # Create the custom role definition New-AzRoleDefinition -InputFile "./PurviewRMSCustomAKVRole.json" # Assign the role to the Rights Management service principal New-AzRoleAssignment -RoleDefinitionName "Purview Rights Management key vault Encryption User" -ServicePrincipalName "00000012-0000-0000-c000-000000000000" -Scope $resourceId
Habilitación de la autorización de claves para claves HSM administradas mediante CLI de Azure
Para conceder a la entidad de servicio de Azure Rights Management permisos de usuario como usuario criptográfico de HSM administrado, ejecute el siguiente comando:
az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey
Donde:
- ContosoMHSM es un nombre de HSM de ejemplo. Al ejecutar este comando, reemplace este valor por su propio nombre de HSM.
El rol de usuario Crypto User de HSM administrado permite al usuario descifrar, firmar y obtener permisos para la clave, que son necesarios para la funcionalidad de HSM administrado.
Configuración del servicio de Azure Rights Management para usar la clave
Una vez completados los pasos anteriores, está listo para configurar el servicio de Azure Rights Management para usar esta clave como clave de inquilino de la organización.
En primer lugar, copie la dirección URL de la clave de Azure Key Vault, incluida la versión de la clave. Puede recuperarlo mediante CLI de Azure o PowerShell:
CLI de Azure:
az keyvault key show --vault-name <vault-name> --name <key-name> --query "key.kid" -o tsv
Azure PowerShell:
(Get-AzKeyVaultKey -VaultName "<vault-name>" -Name "<key-name>").Id
Configuración de una nueva clave BYOK
Si se trata de una clave nueva, siga estos pasos para configurar el servicio de Azure Rights Management:
Instale e importe el módulo de PowerShell AIPService si aún no lo ha hecho:
Nota:
El módulo AIPService solo se ejecuta en Windows PowerShell 5.1. No es compatible con PowerShell 7 u otras versiones modernas. Ejecute
powershell.exepara abrir Windows PowerShell.Install-Module -Name AIPService Import-Module -Name AIPServiceConéctese al servicio Azure Rights Management:
Connect-AipServiceEjecute el cmdlet Use-AipServiceKeyVaultKey y especifique la dirección URL de la clave:
Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"Importante
En este ejemplo,
<key-version>es la versión de la clave que desea usar. Debe especificar la versión de la clave. Si la clave se actualiza o renueva más adelante, el servicio de Azure Rights Management dejará de funcionar para el inquilino a menos que actualice la configuración con la nueva versión de clave.Enumere las claves configuradas para que el inquilino obtenga el identificador de clave de la nueva clave mediante
Get-AipServiceKeys. Busque la clave con keyVaultKeyUrl coincidente. Copie el valor KeyIdentifier:Get-AipServiceKeys | Select-Object KeyIdentifier, KeyVaultKeyUrlEstablezca la nueva clave como clave de inquilino activa mediante el nuevo identificador de clave del comando anterior:
Set-AipServiceKeyProperties -KeyIdentifier <key-id-from-previous-step> -Active $true
El servicio Azure Rights Management ahora está configurado para usar la clave en lugar de la clave predeterminada creada por Microsoft que se creó automáticamente para el inquilino.
Migración de Azure Key Vault hsmPlatform 1 a hsmPlatform 2
Azure Key Vault hsmPlatform 1 se está retirando. Para obtener más información sobre esta retirada, consulte Azure Key Vault anuncio de retirada de hsmPlatform 1.
Si la clave de inquilino de Azure Rights Management se almacena en un almacén de claves de hsmPlatform 1, debe migrar a hsmPlatform 2 para seguir usando BYOK.
Determinar si la clave está en hsmPlatform 1
En primer lugar, identifique si la clave de Rights Management existente está en hsmPlatform 1:
Uso de CLI de Azure:
az keyvault key show --vault-name <vault-name> --name <key-name> --query "attributes.hsmPlatform" -o tsv
Uso de Azure PowerShell:
(Get-AzKeyVaultKey -VaultName "<vault-name>" -Name "<key-name>").Attributes.HsmPlatform
- Si el
hsmPlatformvalor es1, la clave está en hsmPlatform 1 y requiere la migración. - Si el
hsmPlatformvalor es2o superior, la clave ya está en hsmPlatform 2 y no se requiere ninguna acción.
Pasos de migración para claves en hsmPlatform 1
Si la clave está en hsmPlatform 1, siga estos pasos para migrar:
Paso 1: Buscar el HSM local
Debe tener acceso al HSM local que se usó originalmente para generar el material de clave o una copia de seguridad de esa clave que se puede importar en un HSM compatible dentro de su límite administrativo.
Importante
Si ya no tiene acceso al HSM original o al material de clave, consulte Mi organización ha perdido el acceso al material de clave original.
Paso 2: Volver a importar la clave como una nueva versión en el almacén de claves existente
No es necesario crear un nuevo almacén de claves para esta migración. Empaquete y vuelva a importar el mismo material de clave del HSM local en la Azure Key Vault existente como una nueva versión de clave. Para obtener instrucciones detalladas, consulte Cómo generar y transferir claves protegidas por HSM para Azure Key Vault.
Paso 3: Validar que la nueva versión de clave está en hsmPlatform 2
Una vez completada la importación, confirme que la nueva versión de clave notifica hsmPlatform2 antes de actualizar el servicio Rights Management:
Uso de CLI de Azure:
az keyvault key show --vault-name <vault-name> --name <key-name> --version <new-key-version> --query "attributes.hsmPlatform" -o tsv
Uso de Azure PowerShell:
(Get-AzKeyVaultKey -VaultName "<vault-name>" -Name "<key-name>" -Version "<new-key-version>").Attributes.HsmPlatform
El valor devuelto debe ser 2. Si no es así, detenga y compruebe que importó el material de clave correcto y que la importación se completó correctamente.
Paso 4: Comprobar que las claves públicas coinciden
Antes de actualizar la configuración del servicio Rights Management, compruebe que las claves públicas coinciden en todas las ubicaciones:
Obtenga la clave pública de la nueva versión de clave en Azure Key Vault:
Uso de CLI de Azure:
az keyvault key show --vault-name <vault-name> --name <key-name> --version <new-key-version> --query "key.n" -o tsvUso de Azure PowerShell:
Get-AzKeyVaultKey -VaultName "<vault-name>" -Name "<key-name>" -Version "<new-key-version>" | Format-List Key
Revise el valor n de la salida, que representa el módulo de clave pública.
Obtenga la clave pública del servicio Rights Management:
Connect-AipService Get-AipServiceKeys | Select-Object KeyIdentifier, PublicKeyCompare con la copia de HSM local mediante las herramientas del proveedor de HSM para exportar o mostrar la clave pública. Póngase en contacto con el proveedor de HSM para obtener ayuda si no puede encontrar los detalles de la clave pública. Soporte técnico de Microsoft no puede ayudar con operaciones específicas de HSM.
Las tres claves públicas deben coincidir exactamente. Si no coinciden, compruebe que está importando la clave correcta desde el HSM.
Paso 5: Actualización del servicio de Azure Rights Management para usar la nueva versión de clave
Ejecute Convert-AipServiceKeyToKeyVault para actualizar la dirección URL de la clave a la nueva versión de clave:
Connect-AipService
Convert-AipServiceKeyToKeyVault -KeyIdentifier <existing-key-id> -KeyVaultKeyUrl "https://<vault-name>.vault.azure.net/keys/<key-name>/<new-key-version>"
Nota:
Se produce un error en este comando si las claves públicas no coinciden exactamente entre la clave BYOK existente y la clave del nuevo Azure Key Vault. Asegúrese de que ha completado la comprobación en el paso 4 antes de ejecutar este comando.
Mi organización ha perdido el acceso al material de clave original
Si ya no tiene acceso al HSM local original o al material de clave usado para crear la clave BYOK, debe crear una nueva clave:
Cree una nueva clave siguiendo los pasos descritos en Creación y configuración de la clave.
Configure el control de acceso como se describe en Autorización del servicio de Azure Rights Management para usar la clave.
Establezca la nueva clave como activa:
Connect-AipService Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://<vault-name>.vault.azure.net/keys/<key-name>/<key-version>" Set-AipServiceKeyProperties -KeyIdentifier <new-key-id> -Active $trueAbra un caso de soporte técnico con soporte técnico de Microsoft Purview para analizar los pasos siguientes para el contenido protegido con la clave anterior. Vaya a Centro de administración de Microsoft 365 y abra una solicitud de servicio o póngase en contacto con su representante de soporte técnico de Microsoft. Para obtener más información, consulte Obtención de soporte técnico para Microsoft 365 para empresas.
Advertencia
Si no puede migrar la clave original, no quite la clave hsmPlatform 1 existente después de crear la nueva clave. El contenido protegido con la clave anterior será inaccesible si se quita la clave.
Pasos siguientes
Si aún no ha activado el servicio Rights Management, realice este paso ahora.
Si el servicio se activó antes de configurar BYOK, los usuarios pasarán gradualmente de la clave antigua a la nueva clave en el transcurso de unas semanas. Durante esta transición, los documentos y archivos cifrados con la clave de inquilino antigua siguen siendo accesibles para los usuarios autorizados.
Use el registro de uso de Azure Rights Management para ver todas las transacciones que realiza el servicio Azure Rights Management y la clave. Por ejemplo, desde un archivo de registro que se muestra en Excel, los tipos de solicitud KeyVaultDecryptRequest y KeyVaultSignRequest muestran que se usa la clave de inquilino.
