通过

概述

  • 项目

Microsoft 365 客户密钥支持存储在托管 HSM 中的 RSA 密钥 (硬件安全模块) 符合 FIPS 140-2 级别 3 的解决方案。 Azure 密钥保管库托管 HSM 是一种完全托管、高度可用、单租户、符合标准的云服务,可用于使用 FIPS 140-2 级别 3 验证 HSM 保护云应用程序的加密密钥。 有关托管 HSM 的详细信息,请查看 概述

使用托管 HSM 设置客户密钥

若要使用托管 HSM 设置客户密钥,请按列出的顺序完成这些任务。 本文的其余部分提供了每个任务的详细说明,或链接到该过程中每个步骤的详细信息。

重要

托管 HSM 使用经典 Azure 密钥保管库中的一组不同的 cmdlet。

  1. 创建两个新的 Azure 订阅
  2. 注册所需的服务主体

创建资源组预配,并激活托管 HSM

使用 Azure 密钥保管库时,客户密钥通常需要预配三对 Key Vault, (总共) 六对—每个工作负载一对。 相比之下,如果使用托管 HSM,则只需预配两个实例, (每个订阅) 一个实例,而不管使用三个工作负载中的多少个。

按照 托管 HSM 快速入门 中的说明预配和激活托管 HSM。

CKO PassedValidation

为每个托管 HSM 分配权限

托管 HSM 使用本地 RBAC (基于角色的访问控制) 进行访问控制。 若要为托管 HSM 分配 wrapKeyunwrapkeyget 权限,必须将 托管 HSM 加密服务加密用户 角色分配给相应的 Microsoft 365 应用。 有关详细信息,请参阅 托管 HSM 角色管理

将角色添加到 Azure 密钥保管库时,为每个 Microsoft 365 应用搜索以下名称:

对于 Exchange: Office 365 Exchange Online

对于 SharePoint 和 OneDrive: Office 365 SharePoint Online

对于多工作负载策略 (Exchange、Teams Microsoft Purview 信息保护) :M365DataAtRestEncryption

如果未看到相应的 Microsoft 365 应用,请验证是否已 在租户中注册该应用

有关分配角色和权限的详细信息,请参阅 使用基于角色的访问控制来管理对 Azure 订阅资源的访问权限

将用户角色分配给托管 HSM

托管 HSM 管理员 为组织执行密钥保管库的日常管理。 这些任务包括 备份、创建、获取、导入、列出还原。 有关详细信息 ,请参阅分配用户角色

将密钥添加到每个托管 HSM

托管 HSM 仅支持受 HSM 保护的密钥。 为托管 HSM 创建密钥时,必须创建 RSA-HSM 密钥,而不是另一种类型。 有关向每个保管库或托管 HSM 添加密钥的说明,请参阅 Add-AzKeyVaultKey

有关在本地创建密钥并将其导入 HSM 的详细步骤,请参阅如何为 Azure 密钥保管库生成和传输受 HSM 保护的密钥。 使用 Azure 说明在每个托管 HSM 中创建密钥。

验证托管 HSM 密钥的过期数据

若要验证是否未为密钥设置到期日期,请运行 Get-AzKeyVaultKey cmdlet。

Get-AzKeyVaultKey -HsmName <HSM name>

客户密钥不能使用过期的密钥。 尝试使用过期密钥的操作失败,并可能导致服务中断。

警告

强烈建议与客户密钥一起使用的密钥没有到期日期。

过期日期一旦设置,就不能删除,但可以更改为其他日期。 如果必须使用具有到期日期的密钥,请将过期值更改为 12/31/9999,并使用旧版载入过程。 过期日期设置为 12/31/9999 以外的日期的密钥无法Microsoft 365 验证。 客户密钥载入服务仅接受没有到期日期的密钥。

若要更改设置为 12/31/9999 以外的任何值的过期日期,请运行 Update-AzKeyVaultKey cmdlet。

Update-AzKeyVaultKey -HsmName <HSM name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

备份托管 HSM 密钥

若要备份托管 HSM 密钥,请参阅 Backup-AzKeyVaultKey

获取每个托管 HSM 密钥的 URI

设置托管 HSM 并添加密钥后,运行以下命令以获取每个托管 HSM 中密钥的 URI。 以后创建并分配每个 DEP 时使用这些 URI,因此请将此信息保存在安全的位置。 为每个托管 HSM 运行一次此命令。

在 Azure PowerShell 中:

(Get-AzKeyVaultKey -HsmName <HSM name>).Id

使用旧方法载入到客户密钥

完成设置订阅、托管 HSM 和密钥的所有步骤后,请参阅 使用旧方法载入到客户密钥

后续步骤

完成本文中的步骤后,即可创建和分配 DEP。 有关说明,请参阅 管理客户密钥