Delen via

Door de klant beheerde sleutels gebruiken in Azure Key Vault voor import-/exportservice

  • Artikel

Azure Import/Export beveiligt de BitLocker-sleutels die worden gebruikt om de stations via een versleutelingssleutel te vergrendelen. BitLocker-sleutels worden standaard versleuteld met door Microsoft beheerde sleutels. Voor extra controle over versleutelingssleutels kunt u ook door de klant beheerde sleutels opgeven.

Door de klant beheerde sleutels moeten worden gemaakt en opgeslagen in een Azure Key Vault. Zie Wat is Azure Key Vault? voor meer informatie over Azure Key Vault.

In dit artikel wordt beschreven hoe u door de klant beheerde sleutels gebruikt met de Import/Export-service in Azure Portal.

Vereisten

Zorg voordat u begint voor het volgende:

  1. U hebt een import- of exporttaak gemaakt volgens de instructies in:

  2. U hebt een bestaande Azure Key Vault met daarin een sleutel die u kunt gebruiken om uw BitLocker-sleutel te beveiligen. Zie de quickstart: Een Azure Key Vault maken met behulp van Azure Portal voor meer informatie over het maken van een sleutelkluis met behulp van Azure Portal.

    • Voorlopig verwijderen en niet opschonen zijn ingesteld op uw bestaande sleutelkluis. Deze eigenschappen zijn niet standaard ingeschakeld. Als u deze eigenschappen wilt inschakelen, raadpleegt u de secties getiteld Voorlopig verwijderen inschakelen en Beveiliging tegen opschonen inschakelen in een van de volgende artikelen:

    • De bestaande sleutelkluis moet een RSA-sleutel van 2048 of meer hebben. Zie Over sleutels voor meer informatie over sleutels.

    • De sleutelkluis moet zich in dezelfde regio bevinden als het opslagaccount voor uw gegevens.

    • Als u geen bestaande Azure Key Vault hebt, kunt u deze ook inline maken, zoals beschreven in de volgende sectie.

Sleutels inschakelen

Het configureren van door de klant beheerde sleutel voor uw Import/Export-service is optioneel. De Import/Export-service maakt standaard gebruik van een door Microsoft beheerde sleutel om uw BitLocker-sleutel te beveiligen. Voer de volgende stappen uit om door de klant beheerde sleutels in te schakelen in Azure Portal:

  1. Ga naar de blade Overzicht voor uw importtaak.

  2. Selecteer in het rechterdeelvenster De optie Kiezen hoe uw BitLocker-sleutels worden versleuteld.

    Schermopname van de blade Overzicht voor de Azure Import/Export-taak. Overzichtsmenu-item en koppeling waarmee BitLocker-sleutelopties worden geopend, zijn gemarkeerd.

  3. Op de blade Versleuteling kunt u de BitLocker-sleutel van het apparaat bekijken en kopiƫren. Onder Versleutelingstype kunt u kiezen hoe u uw BitLocker-sleutel wilt beveiligen. Standaard wordt een door Microsoft beheerde sleutel gebruikt.

    Schermopname van de blade Versleuteling voor een Azure Import/Export-order. Het menu-item Versleuteling is gemarkeerd.

  4. U kunt een door de klant beheerde sleutel opgeven. Nadat u de door de klant beheerde sleutel hebt geselecteerd, selecteert u de sleutelkluis en een sleutel.

    Schermopname van de blade Versleuteling voor de Azure Import/Export-taak. De door de klant beheerde sleutel is geselecteerd. Koppeling naar 'Een sleutel en sleutelkluis selecteren' is gemarkeerd.

  5. Het abonnement wordt automatisch ingevuld in de blade Sleutel selecteren in Azure Key Vault. Voor Sleutelkluis kunt u een bestaande sleutelkluis selecteren in de vervolgkeuzelijst.

    Schermopname van het scherm Sleutel selecteren in Azure Key Vault. De koppeling Nieuwe maken voor Key Vault is gemarkeerd.

  6. U kunt ook Nieuwe maken selecteren om een nieuwe sleutelkluis te maken. Voer op de blade Sleutelkluis maken de resourcegroep en de naam van de sleutelkluis in. Accepteer alle andere standaardwaarden. Selecteer Controleren + maken.

    Schermopname van het scherm Sleutelkluis maken voor Azure Key Vault met voorbeeldinstellingen. De knop Beoordelen plus maken is gemarkeerd.

  7. Controleer de informatie die is gekoppeld aan uw sleutelkluis en selecteer Maken. Wacht enkele minuten totdat het maken van de sleutelkluis is voltooid.

    Schermopname van het scherm Review Plus Create voor een nieuwe Azure-sleutelkluis. De knop Maken is gemarkeerd.

  8. In de sleutel Selecteren in Azure Key Vault kunt u een sleutel selecteren in de bestaande sleutelkluis.

  9. Als u een nieuwe sleutelkluis hebt gemaakt, selecteert u Nieuwe maken om een sleutel te maken. RSA-sleutelgrootte kan 2048 of hoger zijn.

    Schermopname van het scherm Sleutel selecteren in Azure Key Vault. De knop Nieuwe maken voor de optie Sleutel is gemarkeerd.

    Als de beveiliging tegen voorlopig verwijderen en opschonen niet is ingeschakeld wanneer u de sleutelkluis maakt, wordt de sleutelkluis bijgewerkt zodat voorlopig verwijderen en beveiliging tegen opschonen is ingeschakeld.

  10. Geef de naam voor uw sleutel op, accepteer de andere standaardwaarden en selecteer Maken.

    Schermopname van het scherm Een sleutel maken voor Azure Key Vault. De knop Maken is gemarkeerd.

  11. Selecteer de versie en kies Selecteren. U krijgt een melding dat er een sleutel wordt gemaakt in uw sleutelkluis.

    Schermopname van het scherm Sleutel selecteren in Azure Key Vault met voorbeeldinstellingen. De knop Selecteren is gemarkeerd.

Op de blade Versleuteling ziet u de sleutelkluis en de sleutel die is geselecteerd voor de door de klant beheerde sleutel.

Belangrijk

U kunt door Microsoft beheerde sleutels alleen uitschakelen en verplaatsen naar door de klant beheerde sleutels in een willekeurige fase van de import-/exporttaak. U kunt de door de klant beheerde sleutel echter niet uitschakelen nadat u deze hebt gemaakt.

Fouten met door de klant beheerde sleutel oplossen

Als u fouten ontvangt met betrekking tot uw door de klant beheerde sleutel, gebruikt u de volgende tabel om problemen op te lossen:

Foutcode DETAILS Herstelbare?
CmkErrorAccessRevoked De toegang tot de door de klant beheerde sleutel wordt ingetrokken. Ja, controleer of:
  1. Key Vault heeft nog steeds de MSI in het toegangsbeleid.
  2. Toegangsbeleid heeft machtigingen voor Ophalen, Verpakken en Uitpakken ingeschakeld.
  3. Als de sleutelkluis zich in een VNet achter de firewall bevindt, controleert u of Microsoft Trusted Services toestaan is ingeschakeld.
  4. Controleer of de MSI van de taakresource opnieuw is ingesteld op None het gebruik van API's.
    Zo ja, dan stelt u de waarde weer in op Identity = SystemAssigned. Hiermee wordt de identiteit voor de taakresource opnieuw gemaakt.
    Zodra de nieuwe identiteit is gemaakt, schakelt u de nieuwe identiteit in, schakelt u Getdeze Wrapin en Unwrap machtigingen voor de nieuwe identiteit in het toegangsbeleid van de sleutelkluis
CmkErrorKeyDisabled De door de klant beheerde sleutel is uitgeschakeld. Ja, door de sleutelversie in te schakelen
CmkErrorKeyNotFound Kan de door de klant beheerde sleutel niet vinden. Ja, als de sleutel is verwijderd, maar deze nog steeds binnen de opschoonduur valt, gebruikt u Sleutelkluissleutel verwijderen ongedaan maken.
Anders
  1. Ja, als de klant een back-up van de sleutel heeft en deze herstelt.
  2. Nee, anders.
CmkErrorVaultNotFound Kan de sleutelkluis van de door de klant beheerde sleutel niet vinden. Als de sleutelkluis is verwijderd:
  1. Ja, als deze zich in de duur van de beveiliging tegen opschonen bevindt, gebruikt u de stappen bij Een sleutelkluis herstellen.
  2. Nee, als deze langer is dan de duur van de beveiliging tegen opschonen.

Als de sleutelkluis anders is gemigreerd naar een andere tenant, ja, kan deze worden hersteld met behulp van een van de onderstaande stappen:
  1. De sleutelkluis terugzetten naar de oude tenant.
  2. Stel Identity = None de waarde in en stel deze vervolgens weer in op Identity = SystemAssigned. Hierdoor wordt de identiteit verwijderd en opnieuw gemaakt zodra de nieuwe identiteit is gemaakt. Schakel Get, Wrapen Unwrap machtigingen voor de nieuwe identiteit in het toegangsbeleid van de sleutelkluis in.

Volgende stappen