Étape 2 : Migration de clé protégée par HSM à clé protégée par HSM
Ces instructions font partie du chemin de migration d’AD RMS vers Azure Information Protection et s’appliquent uniquement si votre clé AD RMS est protégée par HSM et que vous souhaitez migrer vers Azure Information Protection avec une clé de locataire protégée par HSM dans Azure Key Vault.
Si ce n’est pas votre scénario de configuration choisi, revenez à l’Étape 4. Exportez les données de configuration à partir d’AD RMS et importez-les dans Azure RMS et choisissez une autre configuration.
Remarque
Ces instructions supposent que votre clé AD RMS est protégée par module. Il s’agit du cas le plus courant.
Il s’agit d’une procédure en deux parties pour importer votre clé HSM et votre configuration AD RMS dans Azure Information Protection, afin de générer votre clé de locataire Azure Information Protection gérée par vous (BYOK).
Étant donné que votre clé de locataire Azure Information Protection sera stockée et gérée par Azure Key Vault, cette partie de la migration nécessite l’administration dans Azure Key Vault, en plus d’Azure Information Protection. Si Azure Key Vault est géré par un autre administrateur que vous pour votre entreprise, vous devez co-coordonner et collaborer avec cet administrateur pour effectuer ces procédures.
Avant de commencer, assurez-vous que votre entreprise dispose d’un coffre de clés créé dans Azure Key Vault et qu’il prend en charge les clés protégées par HSM. Bien qu’il ne soit pas nécessaire, nous vous recommandons d’avoir un coffre de clés dédié pour Azure Information Protection. Ce coffre de clés sera configuré pour autoriser le service Azure Rights Management à y accéder. Les clés que ce coffre de clés stocke doivent donc être limitées aux clés d’Azure Information Protection uniquement.
Conseil
Si vous effectuez les étapes de configuration pour Azure Key Vault et que vous n’êtes pas familiarisé avec ce service Azure, vous pouvez trouver utile de commencer par passer en revue Prise en main d’Azure Key Vault.
Partie 1 : Transférer votre clé HSM vers Azure Key Vault
Ces procédures sont effectuées par l’administrateur pour Azure Key Vault.
Pour chaque clé SLC exportée que vous souhaitez stocker dans Azure Key Vault, suivez les instructions de la documentation Azure Key Vault, à l’aide de Mise en œuvre du système BYOK pour Azure Key Vault avec l’exception suivante :
Ne procédez pas à la Génération de votre clé de locataire, car vous disposez déjà de l’équivalent dans votre déploiement AD RMS. Au lieu de cela, identifiez les clés utilisées par votre serveur AD RMS à partir de l’installation nCipher et préparez ces clés pour le transfert, puis transférez-les vers Azure Key Vault.
Les fichiers clés chiffrés pour nCipher sont nommés key_<keyAppName>_<keyIdentifier> localement sur le serveur. Par exemple :
C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54
. Vous aurez besoin de la valeur mscapi en tant que keyAppName et de votre propre valeur pour l’identificateur de clé lorsque vous exécutez la commande KeyTransferRemote pour créer une copie de la clé avec des autorisations réduites.Lorsque la clé est téléchargée dans Azure Key Vault, les propriétés de la clé s'affichent, y compris l’ID de clé. Elle ressemble à https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Notez cette URL, car l’administrateur Azure Information Protection en a besoin pour indiquer au service Azure Rights Management d’utiliser cette clé pour sa clé de locataire.
Sur la station de travail connectée à Internet, dans une session PowerShell, utilisez l’applet de commande Set-AzKeyVaultAccessPolicy pour autoriser le principal du service Azure Rights Management à accéder au coffre de clés qui stockera la clé de locataire Azure Information Protection. Les autorisations requises sont déchiffrer, chiffrer, unwrapkey, wrapkey, vérifier et signer.
Par exemple, si le coffre de clés que vous avez créé pour Azure Information Protection est nommé contoso-byok-ky et que votre groupe de ressources est nommé contoso-byok-rg, exécutez la commande suivante :
Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Maintenant que vous avez préparé votre clé HSM dans Azure Key Vault pour le service Azure Rights Management à partir d’Azure Information Protection, vous êtes prêt à importer vos données de configuration AD RMS.
Partie 2 : Importer les données de configuration dans Azure Information Protection
Ces procédures sont effectuées par l’administrateur pour Azure Information Protection.
Sur la station de travail connectée à Internet et dans la session PowerShell, connectez-vous au service Azure Rights Management à l’aide de l’applet de commande Connecter-AipService.
Chargez ensuite chaque fichier de domaine de publication approuvé (.xml), à l’aide de l’applet de commande Import-AipServiceTpd. Par exemple, vous devez avoir au moins un fichier supplémentaire à importer si vous avez mis à niveau votre cluster AD RMS pour le mode de chiffrement 2.
Pour exécuter cette applet de commande, vous avez besoin du mot de passe que vous avez spécifié précédemment pour chaque fichier de données de configuration et de l’URL de la clé identifiée à l’étape précédente.
Par exemple, à l’aide d’un fichier de données de configuration de C:\contoso-tpd1.xml et de notre valeur d’URL de clé de l’étape précédente, exécutez d’abord ce qui suit pour stocker le mot de passe :
$TPD_Password = Read-Host -AsSecureString
Entrez le mot de passe que vous avez spécifié pour exporter le fichier de données de configuration. Ensuite, exécutez la commande suivante et vérifiez que vous souhaitez effectuer cette action :
Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
Dans le cadre de cette importation, la clé SLC est importée et automatiquement définie comme archivée.
Lorsque vous avez chargé chaque fichier, exécutez Set-AipServiceKeyProperties pour spécifier quelle clé importée correspond à la clé SLC actuellement active dans votre cluster AD RMS. Cette clé devient la clé de locataire active pour votre service Azure Rights Management.
Utilisez l’applet de commande Disconnect-AipServiceService pour vous déconnecter du service Azure Rights Management :
Disconnect-AipServiceService
Si vous devez plus tard confirmer la clé que votre clé de locataire Azure Protection des données utilise dans Azure Key Vault, utilisez l’applet de commande Get-AipServiceKeys Azure RMS.
Vous êtes maintenant prêt à passer à l’étape 5. Activez le service Azure Rights Management.