Suunnittelussa ja toteuttamisessa avaimesi vuokralaisen Azure Rights Management

 

Koskee:Azure Rights Management,Office 365

Avulla voit suunnitella ja hallita Rights Management service (RMS) vuokralaisen avaimesi Azure RMS tämän ohjeen tietojen avulla. Esimerkiksi sijaan Microsoft hallinta palveltavan avaimesi (oletusarvo), haluat ehkä noudattaa määräyksiä, jotka koskevat organisaation vuokralaisen oma avain hallinta. Vuokralaisen oma avain hallinta tunnetaan myös nimellä tuo oman avaimen tai BYOK.

Yhdellä silmäyksellä: Käytä seuraavaa taulukkoa nopeasti ohjeena suositellut vuokralaisen avaimen topologiassa. Saat lisätietoja tämän jälkeen käyttää uusia osia.

Jos otat käyttöön Azure RMS vuokralaisen avaimella, joka on Microsoftin ylläpitämä, voit valita BYOK myöhemmin. Ei voi tällä hetkellä muuttaa avaimesi vuokralaisen Azure-RMS-BYOK, Microsoftin ylläpitämä.

Liiketoiminnan tarve	Suositellut vuokralaisen avaimen topologia
Azure-RMS käyttöön nopeasti ja ilman pakollista lisälaitteita	Microsoftin ylläpitämä
IRM-toiminnallisuuden Exchange Onlinessa Azure RMS-ohjelmiston kanssa on täydellinen	Microsoftin ylläpitämä
Avaimien luomia ja suojattu laitteisto:: (HSM)-moduulissa	BYOK Tällä hetkellä tämä kokoonpano johtaa rajoitetun sisältöoikeuksien hallinta Exchange Online. Katso lisätietoja, BYOK hinnoittelu ja rajoitukset osa.

Käyttää seuraavien osien avulla voit valita mitä vuokralaisen avain topologia käyttämään, ymmärtämään vuokralaisen avaimen elinkaari, miten tuoda omia avain (BYOK) ja ottaa seuraava toimet:

• Valitse oman vuokralaisen avaimen topologia: Hallita Microsoft (oletus) tai hallita sinun (BYOK)

• BYOK hinnoittelu ja rajoitukset

• Toteuttaminen Tuo oma avain (BYOK)

• Seuraavat vaiheet

Valitse oman vuokralaisen avaimen topologia: Hallita Microsoft (oletus) tai hallita sinun (BYOK)

Päättää, mitkä vuokralaisen avaimen topologia on omalle organisaatiollesi parhaiten. Oletusarvon mukaan Azure RMS vuokralaisen-avain Luo ja hallitsee useimmat osat vuokralaisen avaimen elinkaari. Tämä on yksinkertaisin vaihtoehto on pienin hallinnon yleismenot. Useimmissa tapauksissa sinun edes tarvitse tietää, että avain vuokralaisen. Olet juuri Rekisteröidy Azure RMS ja loput avainten hallintaprosessi käsittelee Microsoft.

Vaihtoehtoisesti haluat ehkä hallintaansa vuokralaisen avain, johon sisältyy asiakkaan toimitiloissa pääkopio ylläpitäminen ja vuokralaisen-avaimen luominen. Tätä skenaariota kutsutaan usein kuin Tuo oma avain (BYOK). Tässä vaihtoehdossa seuraavista tapahtuu:

1. Vuokralaisen-avain Luo asiakkaan toimitiloissa IT-käytäntöjen mukaisesti.

2. Turvallisesti siirretään vuokralaisen avain-laitteisto Security Module (:: HSM) hallussanne HSMs, jotka omistaa ja hallitsee Microsoft. Tässä prosessissa vuokralaisen avaimesi koskaan jättää laitteen suojaus rajan.

3. Siirrettäessä vuokralaisen-avain Microsoft pysyy Thales HSMs turvattuja. Microsoft on työskennellyt sen varmistamiseksi, että vuokralaisen-avain ei voida tuoda kohteesta Microsoftin HSMs Thales.

Vaikka se on valinnainen, myös todennäköisesti kannattaa käyttää reaaliaikaisen käytön lähelle lokit-RMS Azure nähdäksesi, miten ja milloin vuokralaisen-avain on käytössä.

Palveltavien kohteiden avaimen elinkaari

Jos valitset, että Microsoft olisi hallinta palveltavan-näppäintä, Microsoft käsittelee useimmat tärkeimmät elinkaari-toimintoja. Kuitenkin, jos päätät hallinta palveltavan avaimesi, olet vastuussa useita tärkeitä elinkaari toimintojen ja joihinkin muihin menettelyihin.

Seuraavissa kuvissa näyttää ja vertaa näistä vaihtoehdoista. Ensimmäinen kaavio näyttää vähän järjestelmänvalvojan yleiskustannukset on sinulle oletuskokoonpanon kun Microsoft hallitsee vuokralaisen avain.

Vuokralaisen avain on Microsoftin ylläpitämä

Toisessa kaaviossa näkyy kun vuokralaisen oma avain hallinta edellyttää lisätoimia.

Vuokralaisen avain hallitsee sinun (BYOK)

Jos päätät antaa Microsoft avaimesi Palveltavien kohteiden hallinta, sinulle avaimen luomiseen tarvitaan lisätoimia ja voit ohittaa seuraavat osat ja mennä suoraan Seuraavat vaiheet.

Jos päätät hallinta palveltavan avaimesi, lukea lisätietoja seuraavissa osissa.

Lisätietoja Thales HSMs ja Microsoftin lisäykset

Azure RMS käyttää avaimia suojaamaan Thales HSMs.

Thales e-suojaus on salauksen ja cyber security ratkaisuja rahoituspalvelujen, korkean teknologian, tuotannon, hallitus ja tietotekniikan yleinen johtavan. 40 vuoden toimintahistoriaan suojata yrityksen ja valtion tiedot Thales ratkaisuja neljän viiden suurimman energian ja aerospace yhtiöiden 22 NATO-maista käyttää ja suojaa yli 80: tä prosenttia maailmalla maksutapahtumat.

Microsoft on yhdessä Thales art tilan parantamiseksi HSMs, kanssa. Nämä parannukset mahdollistavat isännöityjen palveluiden avaimesi voida hallita ilman tyypillinen edut. Tarkemmin sanottuna nämä parannukset antaa hallita HSMs niin, että sinulla ei ole Microsoft. Pilvi-palveluna Azure RMS Skaalaa täyttämiseksi organisaation käyttö piikkarit lyhyellä varoitusajalla. Samaan aikaan avaimesi on suojattu Microsoftin HSMs sisällä: Tärkeimmät elinkaaren hallinta säilyttää koska avaimen luomisessa ja siirrä se Microsoftin HSMs.

Lisätietoja on ohjeaiheessa Thales HSMs ja Azure RMS Thales web-sivustossa.

BYOK hinnoittelu ja rajoitukset

Organisaatio, joka on IT-hallitussa Azure tilaus voidaan käyttää BYOK ja kirjaa sen käyttö ylimääräisiä maksutta. Organisaatioille, jotka käyttävät henkilöt RMS ei voi käyttää BYOK ja kirjaaminen, koska heillä ei ole vuokralaisen-järjestelmänvalvoja määrittää nämä ominaisuudet.

BYOK ja kirjaamisen Jokaisella sovelluksella, joka integroituu Azure RMS toimii saumattomasti. Tämä sisältää pilven palveluja, kuten SharePoint Online, tilojen palvelimia, joissa käytössä Exchangen ja SharePointin avulla RMS-liitin ja asiakassovellusten, kuten Office-2013 Azure RMS kanssa toimivat. Saat avaimen Käyttölokit riippumatta siitä, mikä sovellus tekee Azure RMS pyynnöt.

Poikkeuksena on: Tällä hetkellä Azure-RMS-BYOK eivät ole yhteensopivia Exchange Onlinen kanssa. Jos haluat käyttää Exchange Onlinea, suosittelemme otat Azure RMS-avainten hallinta oletustila, jossa Microsoft luo ja hallitsee avainta. Voit halutessasi siirtää BYOK myöhemmin, esimerkiksi, kun Exchange Online-tuki Azure-RMS-BYOK. Ei voi odottaa, jos toinen vaihtoehto on kuitenkin ottamaan Azure RMS BYOK nyt RMS rajoitetun Exchange Onlinen (suojaamatonta sähköpostit ja suojaamattomat liitteet pysyvät täysin) kanssa:

• Suojattua sähköpostia tai suojattu Outlook Web Access-liitteitä ei voi näyttää.

• Suojattua sähköpostia kannettavissa laitteissa, jotka käyttävät Exchange ActiveSync-ohjelman IRM ei voi näyttää.

• Kuljetus (esimerkiksi Tarkista tietokone haittaohjelmien varalta) salauksen ja päiväkirjan salauksen purkaminen ei ole mahdollista, näin suojatun sähköpostiviestejä ja liitetiedostoja suojatun ohitetaan.

• Kuljetuksen suojauksen säännöt ja menetyksen estäminen (DLP), jotka toteuttavat käytännöt IRM ei ole mahdollista, niin RMS-suojausta ei voi käyttää näiden tapojen avulla.

• Palvelinpohjainen Etsi suojattua sähköpostia niin suojattuja sähköpostiviestejä ohitetaan.

Kun käytät RMS rajoitetun Azure-RMS-BYOK Exchange online-RMS käsitellä Outlookissa Windows-ja Mac ja muiden sähköpostiohjelmien toimivuutta, jotka eivät käytä Exchange ActiveSync-ohjelman IRM-sähköpostiohjelmien toimivuutta.

Jos olet siirtymässä Azure RMS-AD RMS-ehkä olet tuonut avaimesi luotetun publishing toimialueen (TPD) kuin Exchange Onlineen (kutsutaan myös BYOK termejä Exchange, joka on erillään Azure-RMS-BYOK). Tässä tilanteessa sinun on poistettava TPD Exchange Onlinen välttää ristiriitaisia malleja ja käytäntöjä. Lisätietoja on ohjeaiheessa Poista-RMSTrustedPublishingDomain Exchange Online cmdlet-kirjastosta.

Exchange Onlinen Azure RMS BYOK poikkeus on joskus ei käytännössä ongelma. Esimerkiksi organisaatioille, jotka tarvitsevat BYOK ja kirjaaminen suoritetaan niiden tietojen sovellukset (Exchange, SharePoint, toimisto) tiloissa ja käytä ominaisuuksia, joita ei ole helposti saatavissa Azure RMS paikallisen AD RMS (esimerkiksi yhteistyötä muiden yritysten ja käyttää mobiili-asiakkailta). BYOK sekä työn kirjaaminen sekä tässä tilanteessa, jotta organisaatio on Azure RMS-tilauspalveluun täydet oikeudet.

Toteuttaminen Tuo oma avain (BYOK)

Tiedot ja menettelyt tämän osan avulla, jos olet päättänyt luoda ja hallita vuokralaisen-näppäintä. Näytä oma avain (BYOK)-skenaario:

• BYOK edellytykset

• Luo ja vuokralaisen-näppäin – siirtää Internetin välityksellä

• Luoda ja siirtää vuokralaisen avain – henkilökohtaisesti

BYOK edellytykset

Seuraavassa taulukossa on luettelo edellytyksistä Tuo oma avain (BYOK) ks.

Vaatimus	Lisätietoja
Tilaus, joka tukee Azure RMS.	Saat lisätietoja käytettävissä tilauksia Cloud-tilaukset, jotka tukevat Azure RMS jakso Azure käyttöoikeuksien hallintaa koskevat vaatimukset aihe.
Älä käytä RMS yksilöiden tai Exchange Onlineen. Tai jos käytät Exchange Online, ymmärtää ja hyväksyä tätä kokoonpanoa BYOK käytön rajoitukset.	Saat lisätietoja rajoituksista ja BYOK koskevat nykyiset rajoitukset BYOK hinnoittelu ja rajoitukset Tässä ohjeaiheessa olevassa osassa. Tärkeä: Tällä hetkellä BYOK ole yhteensopivia Exchange Onlinen kanssa.
Thales:: HSM, smartcards ja tukiohjelmat. Note: Jos olet siirtymässä AD RMS-Azure RMS laitteiston avain avain ohjelmiston avulla, on oltava vähintään version 11.62 Thales-ohjaimet.	Sinulla on Thales Hardware Security Module ja Thales HSMs toiminnallinen pätevyyskoe. Katso Thales Hardware Security Module yhteensopivat mallit, tai ostaa:: HSM, jos sinulla ei ole yksi luettelon.
Jos haluat siirtää vuokralaisen avaimesi Internetissä kuin olla fyysisesti läsnä Redmond, Yhdysvallat. on 3 vaatimukset: Offline-tilassa x64 työasema on vähintään Windows-toimintoa järjestelmän Windows 7 ja Thales nShield-ohjelmiston, joka on vähintään versioon 11.62. Jos tämä työasema toimii Windows 7, sinun täytyy asentaa Microsoft .NET Framework 4.5. Työasema, joka on yhteydessä Internetiin ja sillä vähintään Windows käyttöjärjestelmän Windows 7. USB-asema tai muu kannettava tallennuslaite, jossa on oltava vähintään 16 Megatavua vapaata tilaa.	Nämä edellytykset eivät ole pakollisia, jos matkustat Redmond ja siirtää henkilökohtaisesti vuokralaisen avaimesi. Turvallisuussyistä on suositeltavaa, että ensimmäinen työasema ei ole yhteydessä verkkoon. Kuitenkin tämä ei ole ohjelmallisesti pakotetaan. Huomautus: -Ohjeita, joita noudattamalla tämän ensimmäisen työaseman kutsutaan irti työaseman. Lisäksi vuokralaisen-avaimen ollessa tuotantoverkon on suositeltavaa käyttää toisen, erillisen työaseman työkalujoukko Lataa ja lataa vuokralaisen avain. Mutta Testaustarkoitukseen voit käyttää ensimmäinen samalle työasemalle. Huomautus: Ohjeet, joita noudattamalla, tämän toisen työaseman kutsutaan nimellä Internetiin yhteydessä työaseman.

Menettelyjä ja luo oma avain vuokralaisen määräytyvät sen mukaan, haluatko tehdä sen Internetin välityksellä tai henkilökohtaisesti:

• Internetin kautta: Tämä edellyttää joitakin ylimääräisiä määritysvaiheita, lataaminen ja toolset ja Windows PowerShell-cmdlet-komentojen avulla. Kuitenkin sinun ei tarvitse olla fyysisesti Microsoft-tilat siirretään vuokralaisen avaimesi. Suojausta ylläpidetään seuraavia menetelmiä käyttäen:

  • Palveltavien kohteiden avaimen luomisessa offline työasemasta, mikä vähentää hyökkäys pintaan.

  • Vuokralaisen avain salataan kanssa avain Exchange Key (KEK), joka pysyy salattuja, kunnes se on siirretty Azure RMS HSMs. Vuokralaisen-avain salatun version jättää alkuperäinen työasema.

  • Työkalu määrittää ominaisuudet vuokralaisen avaimesi, joka sitoo vuokralaisen avaimesi Azure RMS security maailmaan. Joten kun Azure RMS HSMs vastaanottaa ja purkaa palveltava avaimesi, nämä HSMs käyttää sitä. Vuokralaisen-avainta ei voi viedä. Tämän sidonnan valvoo Thales HSMs.

  • -Key Exchange Key (KEK), jonka avulla voit salata avaimesi vuokralaisen luodaan Azure RMS HSMs sisällä ja ei voi viedä. HSMs viite voi KEK HSMs ulkopuolella versiota ei ole selkeä. Työkaluryhmä sisältää lisäksi KEK ei voi viedä, ja on luotu sisällä aito:: HSM, joka oli valmistanut Thales Thales elämäntavoistaan.

  • Työkaluryhmä sisältää antama todistus siitä, että maailman Azure RMS suojaus on myös luotu valmistanut Thales:: HSM aito Thales. Se on sinulle, Microsoft käyttää aito laitteisto.

  • Microsoft käyttää erillistä KEKs sekä erottaa kunkin maantieteellisellä alueella, jolla varmistetaan, että vuokralaisen-avainta voi käyttää vain alueella, jossa on salattu se data centers-suojauksen maailmoja. Esimerkiksi Euroopan asiakkaalta vuokralaisen avain ei voi käyttää data centers, Pohjois-Amerikka tai Aasia.

  Huomautus

  Vuokralaisen-näppäintä voit turvallisesti siirtyä ei luoteta tietokoneita ja verkkoja koska se on salattu ja suojattu tason käyttöoikeuksia, joiden avulla voi käyttää vain sisällä että HSMs ja HSMs Microsoftin Azure RMS. Voit käyttää komentosarjoja, jotka toimitetaan toolset turvatoimenpiteet ja Thales lukea lisätietoja siitä, miten tämä toimii: Hardware Key management pilven RMS-.

• Henkilökohtaisesti: Tämä edellyttää, että otat yhteyttä Microsoft Customer Support Services (CSS), tapaamisen Azure RMS-avaimen siirto. Täytyy kulkea Microsoft Office-Redmond, Washington, Yhdysvallat siirtämään vuokralaisen avaimesi Azure RMS security maailman.

Luo ja vuokralaisen-näppäin – siirtää Internetin välityksellä

Jos haluat vuokralaisen-avaimen siirto Internetissä kuin matkustat Microsoft-toimintoon henkilökohtaisesti vuokralaisen avain siirretään seuraavien ohjeiden avulla:

• Valmistele Internet yhteys työasemasi

• Valmistele katkaistu työaseman

• Luo vuokralaisen-avain

• Valmistele siirtoa varten vuokralaisen avaimesi

• Vuokralaisen-avain siirretään Azure RMS

Valmistele Internet yhteys työasemasi

Valmistele työasemasta, joka on yhteydessä Internetiin, toimi 3 seuraavasti:

• Vaihe 1: Azure sisältöoikeuksien hallinta Windows PowerShellin asentaminen

• Vaihe 2: Saat tunnuksen vuokralaisen Azure Active Directory

• Vaihe 3: Lataa BYOK toolset

Vaihe 1: Azure sisältöoikeuksien hallinta Windows PowerShellin asentaminen

Työasemalta Internet-yhteys Lataa ja asenna Windows PowerShell-moduulin Azure Rights Management.

Asennusohjeet, katso Azure sisältöoikeuksien hallinta Windows PowerShellin asentaminen.

Vaihe 2: Saat tunnuksen vuokralaisen Azure Active Directory

Käynnistä ja Windows PowerShell Suorita järjestelmänvalvojana vaihtoehto ja suorita seuraavat komennot:

• Käytössä Connect-AadrmService cmdlet-komento muodostaa Azure RMS-palvelu:

  Connect-AadrmService
  

  Kysyttäessä oman Azure Rights Management palveltavan järjestelmänvalvojan tunnistetietoja (yleensä käytät tiliä, jolla on yleinen järjestelmänvalvoja, Office 365 ja Azure Active Directory).

• Käytössä Get-AadrmConfiguration cmdlet-komento näyttää että vuokralaisen kokoonpano:

  Get-AadrmConfiguration
  

  Tulosteesta tallentaa GUID-tunnuksen ensimmäisen rivin (BPOSId). Tämä on Tunnuksesi Azure Active Directoryn vuokralaisen, joita tarvitset myöhemmin kun valmistelet vuokralaisen avaimesi ladattavaksi.

• Käytössä Katkaise yhteys-AadrmService cmdlet-komennolla voit katkaista Azure RMS-palvelun kunnes olet valmis lataamaan avaimesi:

  Disconnect-AadrmService
  

Älä sulje Windows PowerShell-ikkunan.

Vaihe 3: Lataa BYOK toolset

Siirry Microsoft Download Centeristä ja BYOK toolset ladata alueella:

Alue	Pakettinimi
Pohjois-Amerikka	AzureRMS-BYOK-Työkalut-Yhdistynyt States.zip
Euroopassa	AzureRMS-BYOK-Työkalut-Europe.zip
Aasia	AzureRMS-BYOK-Työkalut-AsiaPacific.zip

Työkaluryhmä sisältää seuraavat:

• Key Exchange Key (KEK) paketti, jolla on nimi alkaa BYOK-KEK-pkg -.

• Maailman Security-paketti, joka on nimi alkaa BYOK-SecurityWorld-pkg -.

• Python-komentosarja, joka on nimetty verifykeypackage.py.

• Komentorivin suoritettavan tiedoston, jonka nimi on KeyTransferRemote.exe, -nimisen tiedoston metatiedot KeyTransferRemote.exe.config, ja siihen liittyvät dll-tiedostot.

• Visual c++: n edelleenjaeltava paketti, nimeltä vcredist_x64.exe.

Kopioi paketti USB-muistiin tai muiden kannettavien varastointi.

Valmistele katkaistu työaseman

Voit valmistella työasemasta, joka ei ole yhteydessä verkkoon (Internet tai sisäisen verkon), nämä 2 seuraavasti:

• Vaihe 1: Valmistele yhteys katkaistu työasema on Thales:: HSM

• Vaihe 2: Asenna BYOK toolset katkaistu työasema

Vaihe 1: Valmistele yhteys katkaistu työasema on Thales:: HSM

Katkaistu työasemalla asentaa Windows-tietokoneessa nCipher (Thales) tukiohjelmat ja liitä sitten tietokoneen Thales::-HSM.

Varmistaa, että path ovat Thales Työkalut (%nfast_home%\bin ja %nfast_home%\python\bin). Kirjoita esimerkiksi seuraavasti:

set PATH=%PATH%;”%nfast_home%\bin”;”%nfast_home%\python\bin”

Saat lisätietoja käyttäjän oppaassa mukana Thales-:: HSM tai Thales sivustossa Azure-RMS- http://www.thales-esecurity.com/msrms/cloud.

Vaihe 2: Asenna BYOK toolset katkaistu työasema

BYOK toolset-paketti kopioiminen USB-asema tai muiden kannettavien varastointi ja toimi sitten seuraavasti:

1. Pura lataamasi paketti tiedostot muihin kansioihin.

2. Kansiosta Suorita vcredist_x64.exe.

3. Seuraa ohjeita asennuksen Visual C++ Runtimen osat 2012 Visual Studio: n.

Luo vuokralaisen-avain

Työasemalla katkaistu, seuraavasti 3 Luo vuokralaisen oma avain:

• Vaihe 1: Luominen maailma suojaus

• Vaihe 2: Tarkista lataamasi paketti

• Vaihe 3: Luo uusi avain

Vaihe 1: Luominen maailma suojaus

Käynnistä komentorivi ja suorita ohjelma Thales uuteen maailmaan.

new-world.exe --initialize --cipher-suite=DLf1024s160mRijndael --module=1 --acs-quorum=2/3

Tämä ohjelma luo Security maailman % NFAST_KMDATA%\local\world, joka vastaa C:\ProgramData\nCipher\Key Management a-kansion tiedosto. Voit käyttää eri arvot yhtä mutta Esimerkissämme, sinua pyydetään antamaan kustakin kolme tyhjää kortit ja nastat. Sitten mitä tahansa kaksi korttia tarvitaan hallintaoikeuksia security world (määritetty Päätösvaltaisuus). Nämä kortit tulevat kortin määrittää järjestelmänvalvojan uusi suojauksen maailmalle. Tässä vaiheessa voit määrittää salasanan tai PIN-tunnus ACS kunkin kortin tai lisätä sen myöhemmin komennolla.

Vihje
Avulla voit tarkistaa oman:: HSM kokoonpano nykytila nkminfo komento.

Toimi sitten seuraavasti:

1. Asentaa Thales CNG-palvelun Thales dokumentaatiossa kuvatulla tavalla ja määritä se käyttää suojauksen uuden maailman.

2. Varmuuskopioi tiedoston maailman %nfast_kmdata%\local. Suojata ja suojata maailman tiedosto, järjestelmänvalvoja-kortit ja niiden nastojen ja varmista, että ei ole yksi henkilö pystyy käyttämään enemmän kuin yhden kortin.

Vaihe 2: Tarkista lataamasi paketti

Tämä vaihe on valinnainen, mutta suositellaan niin, että voit tarkistaa seuraavat:

• -Aito Thales::-HSM on luotu, joka sisältyy työkalujoukko avain-vaihtoavain.

• -Aito Thales::-HSM on luotu maailman Azure RMS suojaus, joka sisältyy työkalujoukko hash.

• Key Exchange-avain on ei voi viedä.

Ladatun paketin vahvistaminen

1. Suorittaa komentosarjan verifykeypackage.py sitominen oman alueesi mukaan jokin seuraavista toimista:

   • -Pohjois-Amerikka:

     python verifykeypackage.py -k BYOK-KEK-pkg-NA-1 -w BYOK-SecurityWorld-pkg-NA-1
     

   • Eurooppa:

     python verifykeypackage.py -k BYOK-KEK-pkg-EU-1 -w BYOK-SecurityWorld-pkg-EU-1
     

   • -Aasia:

     python verifykeypackage.py -k BYOK-KEK-pkg-AP-1 -w BYOK-SecurityWorld-pkg-AP-1
     

   Vihje
   Thales-ohjelmistossa on Python-tulkki, %NFAST_HOME%\python\bin

2. Varmista, että näet seuraavat, joka osoittaa onnistuneen vahvistuksen: Tulos: ONNISTUMISEN

Tämä skripti tarkistaa allekirjoittaja ketjun Thales pääavaimen asti. Tämän ensisijaisen avaimen hajautusarvo on upotettu komentosarja ja sen arvon on oltava 59178a47 de508c3f 291277ee 184f46c4 f1d9c639. Voit myös tarkistaa tämän arvon erikseen osuutesi Thales-sivusto.

Voit nyt luoda uuden avaimen, joka on avaimesi RMS vuokralaisen.

Vaihe 3: Luo uusi avain

Luo CNG avain avulla Thales generatekey ja cngimport ohjelmia.

Suorita seuraava komento luo avain:

generatekey --generate simple type=RSA size=2048 protect=module ident=contosokey plainname=contosokey nvram=no pubexp=

Kun suoritat tämän komennon, käytä seuraavia ohjeita:

• Parametrin Suojaa on määritettävä arvo moduuli, kuten alla. Tämä luo moduuli suojattua avainta. BYOK toolset ei tue OCS suojattuja avaimia.

• Avaimen kooksi Microsoft suosittelee 2048, mutta tukea myös aiemmin luodun AD RMS asiakkaille, jotka ovat nämä avaimet ja siirtymässä Azure RMS 1024-bittinen RSA-avaimet.

• Korvaa arvo contosokeyident ja plainname kanssa tahansa merkkijonoarvo. Hallinnon yleismenot ja pienentää virheiden vaaraa, on suositeltavaa käyttää samaa arvoa molemmissa ja kaikki pieniä merkkejä.

• Pubexp jätetään tyhjä (oletusarvo), tässä esimerkissä, mutta voit määrittää erityisiä arvoja. Lisätietoja on ohjeissa Thales.

Suorita seuraava komento tuo CNG avain:

cngimport --import -M --key=contosokey --appname=simple contosokey

Kun suoritat tämän komennon, käytä seuraavia ohjeita:

• Korvaa contosokey jolla on sama arvo, jotka olet määrittänyt Vaihe 1: Luominen maailma suojaus - Luo vuokralaisen-avain osa.

• Käytössä - M asetusta siten, että avain sopii tässä tilanteessa. Voimassa oleva avain on muuten käyttäjäkohtaiset avain nykyiselle käyttäjälle.

• Appname on raportoitu App nimi avaimen tiedosto. Luo uusi tunnus ohjeiden avulla, on käytetty arvoa Yksinkertainen komennossa esitetyllä tavalla. Kuitenkin jos olet siirtymässä olemassa oleva:: HSM suojattu avain AD RMS-siirtoa varten Azure RMS, Määritä olemassa oleva nimi tähän ja komennot, jotka noudattavat käyttäessään myös sovelluksennimi-vaihtoehto.

Tämä komento luo tiedoston avain Tokenized %NFAST_KMDATA%\local kanssa nimi alkaa kansiosi key_caping_ perässä SID-tunnusta. Esimerkki: key_caping_machine--801c1a878c925fd9df4d62ba001b94701c039e2fb. Tämä tiedosto on salattu avaimella.

Vihje
Voit tarkastella avaimia kokoonpano nykytila nkminfo –k komento.

Varmuuskopioi tämän Tokenized avain-tiedosto turvalliseen paikkaan.

Olet nyt valmis siirtämään vuokralaisen avaimesi Azure RMS.

Valmistele siirtoa varten vuokralaisen avaimesi

Työasemalla katkaistu, seuraavasti 4 valmistelemaan vuokralaisen oma avain:

• Vaihe 1: Luo kopio avaimesi rajoitetun käyttöoikeudet

• Vaihe 2: Tarkista uuden avaimen kopio

• Vaihe 3: Salata avaimesi avulla Microsoftin avain vaihtoavain

• Vaihe 4: Kopioi avaimen siirto-paketti työaseman Internet-yhteyttä

Vaihe 1: Luo kopio avaimesi rajoitetun käyttöoikeudet

Vuokralaisen-avaimen käyttöoikeuksia vähentää, toimi seuraavasti:

• Komentokehotteesta suorita jokin seuraavista, oman alueen mukaan:

  • -Pohjois-Amerikka:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-1
    

  • Eurooppa:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1
    

  • -Aasia:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1
    

Suoritettaessa Tämä komento korvaa contosokey joissa on sama arvo on määritetty Vaihe 1: Luominen maailma suojaus - Luo vuokralaisen-avain osan.

Sinua pyydetään kytkeä suojausta maailman ACS-kortit ja jos määritetty salasana tai PIN-koodi...

Kun komento on suoritettu, näyttöön tulee tulos: Onnistui on alennettu oikeuksilla vuokralaisen avaimesi kopio tiedosto nimeltä key_xferacId_ ja*< contosokey >*.

Vaihe 2: Tarkista uuden avaimen kopio

Suorita Thales, utilities, voit vahvistaa uuden vuokralaisen avaimen käyttöoikeudet mahdollisimman vähän:

• aclprint.PY:

  "%nfast_home%\bin\preload.exe" -m 1 -A xferacld -K contosokey "%nfast_home%\python\bin\python" "%nfast_home%\python\examples\aclprint.py"
  

• kmfile-dump.exe:

  "%nfast_home%\bin\kmfile-dump.exe" "%NFAST_KMDATA%\local\key_xferacld_contosokey"
  

Kun suoritat nämä komennot, korvaa contosokey joissa on sama arvo on määritetty Vaihe 1: Luominen maailma suojaus - Luo vuokralaisen-avain osa.

Vaihe 3: Salata avaimesi avulla Microsoftin avain vaihtoavain

Suorita seuraavat komennot oman alueen mukaan:

• -Pohjois-Amerikka:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-1 -TenantBposId GUID -KeyFriendlyName ContosoFirstkey
  

• Eurooppa:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1 -TenantBposId GUID -KeyFriendlyName ContosoFirstkey
  

• -Aasia:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1 -TenantBposId GUID -KeyFriendlyName ContosoFirstkey
  

Kun suoritat tämän komennon, käytä seuraavia ohjeita:

• Korvaa contosokey tunnuksella, jota käytit Luo avain- Vaihe 1: Luominen maailma suojaus - Luo vuokralaisen-avain osan.

• Korvaa GUID-tunnuksen Azure-Active Directoryn kanssa palveltavan tunnuksen, jonka avulla voit hakea Vaihe 2: Saat tunnuksen vuokralaisen Azure Active Directory - valmistetaan Internet yhteys työasemasi osa.

• Korvaa ContosoFirstKey otsikko, jota käytetään tuotoksen tiedoston nimeä.

Kun tämä on valmis se näyttää tulos: Onnistui ja on uuden tiedoston nykyiseen kansioon, jolla on seuraava nimi: TransferPackage -ContosoFirstkey.byok

Vaihe 4: Kopioi avaimen siirto-paketti työaseman Internet-yhteyttä

Käyttää USB-muistiin tai muiden kannettavien varastointi kopioimaan kohdetiedostoon edellisessä vaiheessa (KeyTransferPackage -ContosoFirstkey.byok) Internetiin yhteydessä työasemaan.

Security Huomautus
Käytä tietoturvakäytännöt suojaamaan tiedostoa, koska se sisältää yksityisen avaimen.

Vuokralaisen-avain siirretään Azure RMS

Internet-yhteys, työasemaan seuraavasti 3 avaimesi Palveltavien kohteiden siirtämiseen Azure RMS:

• Vaihe 1: Muodosta yhteys Azure RMS

• Vaihe 2: Avaimen paketti Lataa

• Vaihe 3: Luetteloi vuokralaisen avaimesi – tarvittaessa

Vaihe 1: Muodosta yhteys Azure RMS

Palaa Windows PowerShell-ikkunan ja kirjoittamalla seuraavan komennon:

1. Muodostaa Azure Rights Management palvelua:

   Connect-AadrmService
   

2. Käytä Hae-AadrmKeys cmdlet-komennolla voit tarkastella nykyisen vuokralaisen avaimen määrityksen:

   Get-AadrmKeys
   

Vaihe 2: Avaimen paketti Lataa

Käytössä Lisää-AadrmKey cmdlet-komento lataa avaimen siirto-paketti, joka kopioi katkaistu työasema:

Add-AadrmKey –KeyFile <PathToPackageFile> -Verbose

Jos lataus onnistuu, näyttöön tulee seuraava sanoma: Sisältöoikeuksien hallintapalvelun lisätty avain.

Oletettavasti replikointiviiveistä, muutoksen kaikkiin levittämiseen Azure Rights Management data centers.

Vaihe 3: Luetteloi vuokralaisen avaimesi – tarvittaessa

Get-AadrmKeys-cmdlet-komento käyttää uudelleen saat avaimesi vuokralaisen muutos ja aina, kun haluat nähdä luettelon vuokralaisen-avaimia. Näy Palveltavien kohteiden avaimet ovat vuokralaisen ensimmäinen avain, jota Microsoft muodostetaan ja vuokralaisen avaimia, jotka on lisätty:

Get-AadrmKeys

Vuokralaisen avain, joka on merkitty aktiivista on se, jota organisaatiossa käytetään asiakirjojen ja tiedostojen suojaaminen.

Olet nyt tehnyt kaikki vaadittavat toimet Tuo oma avain Internetin välityksellä ja siirtyä Seuraavat vaiheet.

Luoda ja siirtää vuokralaisen avain – henkilökohtaisesti

Jos halua siirtää vuokralaisen avaimesi Internetissä, mutta voit siirtää sen sijaan vuokralaisen avaimesi henkilökohtaisesti seuraavien ohjeiden avulla.

• Luo vuokralaisen-avain

• Vuokralaisen-avain siirretään Azure RMS

Luo vuokralaisen-avain

Vuokralaisen oman avaimen luomiseen seuraavasti 3:

• Vaihe 1: Valmistele työaseman kanssa Thales:: HSM

• Vaihe 2: Luominen maailma suojaus

• Vaihe 3: Luo uusi avain

Vaihe 1: Valmistele työaseman kanssa Thales:: HSM

Asenna nCipher (Thales) tukiohjelma Windows-tietokoneessa. Liitä tietokoneeseen Thales:: HSM. Varmistettava Thales Työkalut PATH-komennolla. Saat lisätietoja käyttäjän oppaassa mukana Thales-:: HSM tai Thales sivustossa Azure-RMS- http://www.thales-esecurity.com/msrms/cloud.

Vaihe 2: Luominen maailma suojaus

Käynnistä komentorivi ja suorita ohjelma Thales uuteen maailmaan.

new-world.exe --initialize --cipher-suite=DLf1024s160mRijndael --module=1 --acs-quorum=2/3

Tämä ohjelma luo Security maailman % NFAST_KMDATA%\local\world, joka vastaa C:\ProgramData\nCipher\Key Management a-kansion tiedosto. Voit käyttää eri arvot yhtä mutta Esimerkissämme, sinua pyydetään antamaan kustakin kolme tyhjää kortit ja nastat. Tahansa kaksi korttia antaa sitten täydet käyttöoikeudet suojauksen maailmaan. Nämä kortit tulevat kortin määrittää järjestelmänvalvojan uusi suojauksen maailmalle.

Toimi sitten seuraavasti:

1. Asentaa Thales CNG-palvelun Thales dokumentaatiossa kuvatulla tavalla ja määritä se käyttää suojauksen uuden maailman.

2. Maailman tiedoston varmuuskopio. Suojata ja suojata maailman tiedosto, järjestelmänvalvoja-kortit ja niiden nastojen ja varmista, että ei ole yksi henkilö pystyy käyttämään enemmän kuin yhden kortin.

Voit nyt luoda uuden avaimen, joka on avaimesi RMS vuokralaisen.

Vaihe 3: Luo uusi avain

Luo CNG avain avulla Thales generatekey ja cngimport ohjelmia.

Suorita seuraava komento luo avain:

generatekey --generate simple type=RSA size=2048 protect=module ident=contosokey plainname=contosokey nvram=no pubexp=

Kun suoritat tämän komennon, käytä seuraavia ohjeita:

• Parametrin Suojaa on määritettävä arvo moduuli, kuten alla. Tämä luo moduuli suojattua avainta. BYOK toolset ei tue OCS suojattuja avaimia.

• Avaimen kooksi Microsoft suosittelee 2048, mutta tukea myös aiemmin luodun AD RMS asiakkaille, jotka ovat nämä avaimet ja siirtymässä Azure RMS 1024-bittinen RSA-avaimet.

• Korvaa arvo contosokeyident ja plainname kanssa tahansa merkkijonoarvo. Hallinnon yleismenot ja pienentää virheiden vaaraa, on suositeltavaa käyttää samaa arvoa molemmissa ja kaikki pieniä merkkejä.

• Pubexp jätetään tyhjä (oletusarvo), tässä esimerkissä, mutta voit määrittää erityisiä arvoja. Lisätietoja on ohjeissa Thales.

Suorita seuraava komento tuo CNG avain:

cngimport --import –M --key=contosokey --appname=simple contosokey

Kun suoritat tämän komennon, käytä seuraavia ohjeita:

• Korvaa contosokey jolla on sama arvo, jotka määritit vaiheessa 1.

• Käytössä - M asetusta siten, että avain sopii tässä tilanteessa. Voimassa oleva avain on muuten käyttäjäkohtaiset avain nykyiselle käyttäjälle.

Tämä komento luo tiedoston avain Tokenized %NFAST_KMDATA%\local kanssa nimi alkaa kansiosi key_caping_ perässä SID-tunnusta. Esimerkki: key_caping_machine--801c1a878c925fd9df4d62ba001b94701c039e2fb. Tämä tiedosto on salattu avaimella.

Varmuuskopioi tämän Tokenized avain-tiedosto turvalliseen paikkaan.

Olet nyt valmis siirtämään vuokralaisen avaimesi Azure RMS.

Vuokralaisen-avain siirretään Azure RMS

Kun oma avain on luotu, sinun on siirrettävä se Azure RMS ennen sen käyttämistä. Hyvin suojattu siirto on manuaalinen prosessi, joka vaatii sinua lentää Microsoft Office-Redmond, Washington, Yhdysvallat. Tämän prosessin päättämisessä seuraavasti 3:

• Vaihe 1: Tuo Microsoft avaimesi

• Vaihe 2: Siirtää ikkunan Azure RMS security maailman avaimesi

• Vaihe 3: Sulkeminen menettelyt

Vaihe 1: Tuo Microsoft avaimesi

• Ota yhteyttä Microsoft Customer Support Services (CSS) ja ajoittaa Azure RMS avaimen siirto-tapaaminen. Tuo Microsoft, Redmond seuraavasti:

  • Hallinnolliset korttisi äänistä. Jos noudatit edellisen ohjeita Vaihe 2: Luominen maailma suojaus, nämä ovat kaikki kolme korttia.

  • Henkilökunta kuljettaa hallinnolliset kortit ja neulat, yleensä kaksi (yksi kutakin).

  • Suojauksen maailman tiedoston (% NFAST_KMDATA%\local\world) USB-muistitikkuun.

  • Tokenized avaimen tiedosto USB-muistitikkuun.

Vaihe 2: Siirtää ikkunan Azure RMS security maailman avaimesi

1. Kun saavut Microsoft siirtää avaimesi, tapahtuu seuraavaa:

   • Microsoft tarjoaa offline työasema, joka liitetty Thales:: HSM ja Thales-ohjelmisto asennettuna valmiiksi ladattu tiedosto Azure RMS Security maailman on C:\Temp\Destination-kansioon.

   • Tämän työaseman lataat tiedoston suojaus maailman ja Tokenized avain-tiedosto kansioon C:\Temp\Source USB-asemasta.

   • Azure RMS toimijoiden siirtää turvallisesti Azure RMS security maailman avaimesi Thales-apuohjelmien avulla.

   Tämä prosessi näyttää seuraavanlainen, jos viimeinen parametri on avain xfer-im tässä esimerkissä korvataan avaimen tiedostoa Tokenized nimesi:

   C:\ > mk-reprogram.exe--omistaja c:\Temp\Destination Lisää c:\Temp\Source

   C:\ > avain-xfer-im.exe c:\Temp\Source c:\Temp\Destination--c:\Temp\Source\key_caping_machine--801c1a878c925fd9df4d62ba001b94701c039e2fb moduuli

2. Mk ohjelmoi pyytää, ja Azure RMS toimijat kytketään vastaaviin järjestelmänvalvojan kortit ja nastat. Nämä komennot tuotoksen avaimen tiedosto Tokenized, joka on avaimesi suojattu Azure RMS security maailman C:\Temp\Destination.

Vaihe 3: Sulkeminen menettelyt

• Toivotamme teidät Azure RMS toimijoiden toimi seuraavasti:

  • Suorita työkalu, jonka Microsoft on kehittänyt yhteistyössä Thales, joka poistaa kaksi oikeutta: Palauttaa avaimen käyttöoikeudet ja oikeus muuttaa käyttöoikeuksia. Tämän jälkeen tämä avaimesi kopio on lukittu Azure RMS security maailmassa. Thales HSMs ei salli Azure RMs toimijoiden kanssa korttinsa järjestelmänvalvoja palauttaa tekstimuodossa avaimesi kopio.

  • Kopioi avaimen tiedosto myöhemmin Azure RMS-palvelun lataaminen USB-asemaan.

  • Factory-Palauta:: HSM ja siirtymä työaseman puhdas.

Nyt olet tehnyt kaikki vaadittavat toimet henkilökohtaisesti Tuo oma avain ja palata organisaatiossa seuraaviin vaiheisiin.

Seuraavat vaiheet

1. Aloita vuokralaisen-avain:

   • Jos et ole jo tehnyt niin, nyt aktivoitava sisältöoikeuksien hallinnan siten, että organisaatio alkaa hyödyntää RMS-tekniikkaa. Käyttäjät voivat aloittaa heti käyttämään vuokralaisen avaimesi (Microsoftin ylläpitämä tai jota hallinnoi).

     Lisätietoja aktivoinnista on kohdassa Aktivoiminen Azure sisältöoikeuksien hallinta.

   • Jos oli jo aktivoitu Rights Management ja päätti sitten vuokralaisen oma avain hallinta, käyttäjät vähitellen siirtyminen vanhasta avaimesta vuokralaisen uuden vuokralaisen avaimen ja Porrastettu tämä siirtymä voi kestää muutaman viikon loppuun. Asiakirjat ja tiedostot, jotka olivat vanhan vuokralaisen avaimella suojattu pysyy valtuutetut käyttäjät voivat käyttää.

2. Harkitse käyttö lokin, joka kirjaa jokaisen tapahtuman, joka suorittaa RMS käyttöön.

   Jos päätit vuokralaisen oma avain hallinta loki sisältää tietoja vuokralaisen Key-tunnuksen avulla. Esimerkki lokitiedostosta, Excel näyttää missä purkaa ja SignDigest Varaustyypit Näytä vuokralaisen-avain on käytössä.

   

   Saat lisätietoja Käyttötietojen kirjaaminen Kirjaaminen ja analysointi Azure sisältöoikeuksien hallinnan käyttö.

3. Ylläpidä vuokralaisen avaimesi.

   Lisätietoja on ohjeaiheessa Avaimesi vuokralaisen Azure Rights Management-toimintoja.

Katso myös

Azure sisältöoikeuksien hallinnan määrittäminen