使用您自己的金鑰 (BYOK) 加密待用 Defender for Cloud Apps 數據

本文說明如何設定 Defender for Cloud Apps 使用您自己的密鑰來加密它所收集的數據，同時在待用中。 如果您要尋找將加密套用至雲端應用程式中所儲存資料的檔，請 參閱 purview 整合Microsoft。

Defender for Cloud Apps 非常重視您的安全性和隱私權。 因此，一旦 Defender for Cloud Apps 開始收集數據，它會根據我們的數據安全性和隱私策略，使用自己的受控密鑰來保護您的數據。 此外，Defender for Cloud Apps 可讓您使用自己的 Azure 金鑰保存庫 密鑰加密待用數據，進一步保護待用數據。

重要事項

如果存取 Azure 金鑰保存庫 金鑰時發生問題，Defender for Cloud Apps 將無法加密您的數據，而您的租使用者將會在一小時內鎖定。 當您的租使用者遭到鎖定時，所有對租使用者的存取都會遭到封鎖，直到原因解決為止。 一旦您的金鑰可再次存取，將會還原租使用者的完整存取權。

此程式僅適用於 Microsoft Defender 入口網站，無法在傳統 Microsoft Defender for Cloud Apps 入口網站上執行。

必要條件

您必須在租使用者與 Defender for Cloud Apps 租使用者相關聯的 Microsoft Entra ID 中註冊 Microsoft Defender for Cloud Apps - BYOK 應用程式。

註冊應用程式

1. 安裝 Microsoft Graph PowerShell。

2. 開啟 PowerShell 終端機並執行下列命令：

   Connect-MgGraph -Scopes "Application.ReadWrite.All"
   
   # Create a new service principal
   New-MgServicePrincipal -AppId 6a12de16-95c8-4e42-a451-7dbbc34634cd
   
   # Update Service Principal
   $servicePrincipalId = Get-MgServicePrincipal -Filter "AppId eq '6a12de16-95c8-4e42-a451-7dbbc34634cd'" | Select Id
   $params = @{
   	accountEnabled = $true
   }
   
   Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId.Id -BodyParameter $params
   

   其中 ServicePrincipalId 是上一個命令 () New-MgServicePrincipal 傳回的標識碼。

注意事項

• Defender for Cloud Apps 會加密所有新租使用者的待用數據。
• 任何位於 Defender for Cloud Apps超過 48 小時的數據都會加密。

部署 Azure 金鑰保存庫 金鑰

1. 建立已啟用虛刪除和清除保護選項的新 金鑰保存庫。

2. 在新的產生的 金鑰保存庫 中，開啟 [存取原則] 窗格，然後選取 [+新增存取原則]。

   1. 選 取 [金鑰許可權] ，然後從下拉功能表中選擇下列權限：

      區段	必要權限
      金鑰管理作業	-清單
      密碼編譯作業	- 包裝金鑰 - 解除包裝金鑰

      

   2. 在 [選取主體] 下，選擇 [Microsoft Defender for Cloud Apps - BYOK 或 Microsoft 雲端 App 安全性 - BYOK]。

      

   3. 選取 [儲存]。

3. 建立 新的 RSA 金鑰 並執行下列動作：

   注意事項

   僅支援 RSA 金鑰。

   1. 建立金鑰之後，請選取新產生的金鑰，選取目前的版本，然後您會看到 [允許的作業]。

   2. 在 [ 允許的作業] 底下，確定已啟用下列選項：

      • 包裝金鑰
      • 解除包裝金鑰

   3. 複製 金鑰識別碼 URI。 以便後續步驟使用。

   

4. 或者，如果針對選取的網路使用防火牆，請設定下列防火牆設定，讓 Defender for Cloud Apps 存取指定的密鑰，然後按下 [儲存]：

   1. 請確定未選取任何虛擬網路。
   2. 新增下列 IP 位址：
      • 13.66.200.132
      • 23.100.71.251
      • 40.78.82.214
      • 51.105.4.145
      • 52.166.166.111
      • 13.72.32.204
      • 52.244.79.38
      • 52.227.8.45
   3. 選 取 [允許受信任Microsoft服務略過此防火牆]。

   

在 Defender for Cloud Apps 中啟用數據加密

當您啟用數據加密時，Defender for Cloud Apps 會立即使用 Azure 金鑰保存庫 金鑰來加密待用數據。 由於您的金鑰對加密程式而言是不可或缺的，因此請務必確保您指定的 金鑰保存庫 和密鑰隨時都能存取。

啟用數據加密

1. 在 Microsoft Defender 入口網站中，選取 > [設定 Cloud Apps > 數據加密>啟用數據加密]。

2. 在 [Azure 金鑰保存庫 金鑰 URI] 方塊中，貼上您稍早複製的密鑰標識碼 URI 值。 不論 URI 指定的金鑰版本為何，Defender for Cloud Apps 一律使用最新的密鑰版本。

3. URI 驗證完成後，選取 [ 啟用]。

注意事項

當您停用數據加密時，Defender for Cloud Apps 從待用數據中移除使用您自己的密鑰加密。 不過，您的數據仍會以受控金鑰 Defender for Cloud Apps 加密。

若要停用數據加密： 移至 [ 數據加密] 索引 標籤，然後按兩下 [ 停用數據加密]。

金鑰輪換處理

每當您建立針對數據加密設定的新金鑰版本時，Defender for Cloud Apps 會自動復原到最新版本的金鑰。

如何處理數據加密失敗

如果存取 Azure 金鑰保存庫 金鑰時發生問題，Defender for Cloud Apps 將無法加密您的數據，且您的租使用者將在一小時內鎖定。 當您的租使用者遭到鎖定時，所有對租使用者的存取都會遭到封鎖，直到原因解決為止。 一旦您的金鑰可再次存取，將會還原租使用者的完整存取權。 如需處理數據加密失敗的相關信息，請參閱 使用您自己的密鑰對數據加密進行疑難解答。