共用方式為

概觀

  • 發行項

Microsoft 365 客戶金鑰支援儲存在受控 HSM (硬體安全模組中的 RSA 金鑰) 這是符合 FIPS 140-2 層級 3 規範的解決方案。 Azure 金鑰保存庫 受控 HSM 是完全受控、高可用性、單一租使用者、符合標準的雲端服務,可讓您使用 FIPS 140-2 層級 3 驗證 HSM 來保護雲端應用程式的密碼編譯密鑰。 如需受控 HSM 的詳細資訊,請檢閱 概觀

使用受控 HSM 設定客戶金鑰

若要使用受控 HSM 設定客戶金鑰,請依照列出的順序完成這些工作。 本文的其餘部分會提供每個工作的詳細指示,或連結至程式中每個步驟的詳細資訊。

重要事項

受控 HSM 使用與傳統 Azure 金鑰保存庫 不同的 Cmdlet 集合。

  1. 建立兩個新的 Azure 訂用帳戶
  2. 註冊必要的服務主體

建立資源群組布建,並啟用受控 HSM

使用 Azure 金鑰保存庫 時,客戶金鑰通常需要佈建三組 Key Vault, (總計六個) —每個工作負載各一對。 相反地,如果您使用受控 HSM,則只需要布建兩個實例 (每個訂用帳戶) 一個實例,無論您使用的三個工作負載有多少個。

請遵循受 控 HSM 快速入 門中找到的指示來布建和啟用受控 HSM。

CKO PassedValidation

將許可權指派給每個受控 HSM

受控 HSM 會使用本機 RBAC (角色型 存取控制) 來進行訪問控制。 若要在受控 HSM 上指派 wrapKeyunwrapkeyget 許可權,您必須將受控 HSM 加密服務加密使用者 角色指派給對應的 Microsoft 365 應用程式。 如需詳細資訊,請參閱 受控 HSM 角色管理

將角色新增至 Azure 金鑰保存庫 時,搜尋每個 Microsoft 365 應用程式的下列名稱:

  • 交換: Office 365 Exchange Online

  • SharePoint 和 OneDrive: Office 365 SharePoint Online

  • Exchange、Teams、Microsoft Purview 資訊保護) (多重工作負載原則:M365DataAtRestEncryption

如果您沒有看到對應的 Microsoft 365 應用程式,請確認您 已在租用戶中註冊應用程式

如需指派角色和許可權的詳細資訊,請 參閱使用角色型訪問控制來管理 Azure 訂用帳戶資源的存取權。

將使用者角色指派給受控 HSM

受控 HSM 系統管理員會 為您的組織執行金鑰保存庫的日常管理。 這些工作包括 備份、建立、取得、匯入、列出還原。 如需詳細資訊,請參閱 指派使用者角色

將金鑰新增至每個受控 HSM

受控 HSM 僅支援受 HSM 保護的金鑰。 當您建立受控 HSM 的金鑰時,必須建立 RSA-HSM 金鑰,而不是另一種類型。 如需將密鑰新增至每個保存庫或受控 HSM 的指示,請參閱 Add-AzKeyVaultKey

如需在內部部署建立密鑰並將它匯入 HSM 的詳細步驟,請參閱如何產生和傳輸受 HSM 保護的 Azure 金鑰保存庫 密鑰。 使用 Azure 指示在每個受控 HSM 中建立金鑰。

確認受控 HSM 金鑰的到期數據

若要確認您的密鑰未設定到期日,請執行 Get-AzKeyVaultKey Cmdlet。

Get-AzKeyVaultKey -HsmName <HSM name>

客戶金鑰無法使用過期的金鑰。 嘗試使用過期金鑰的作業失敗,而且可能會導致服務中斷。

注意

我們強烈建議搭配客戶金鑰使用的金鑰沒有到期日。

一旦設定過期日期,就無法移除,但可以變更為不同的日期。 如果必須使用具有到期日的密鑰,請將到期值變更為 12/31/9999,並使用舊版上線程式。 到期日設定為 12/31/9999 以外的日期的密鑰Microsoft 365 驗證失敗。 客戶金鑰上線服務只接受沒有到期日的金鑰。

若要變更設定為 12/31/9999 以外的任何值的到期日,請執行 Update-AzKeyVaultKey Cmdlet。

Update-AzKeyVaultKey -HsmName <HSM name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

備份受控 HSM 金鑰

若要備份受控 HSM 金鑰,請參閱 Backup-AzKeyVaultKey

取得每個受控 HSM 金鑰的 URI

設定受控 HSM 並新增金鑰之後,請執行下列命令以取得每個受控 HSM 中金鑰的 URI。 當您稍後建立並指派每個 DEP 時,請使用這些 URI,因此請將此資訊儲存在安全的地方。 針對每個受控 HSM 執行此命令一次。

在 Azure PowerShell:

(Get-AzKeyVaultKey -HsmName <HSM name>).Id

使用舊版方法將客戶密鑰上線

設定訂用帳戶的所有步驟、受控 HSM 和金鑰完成後,請參閱 使用舊版方法將客戶密鑰上線。

後續步驟

完成本文中的步驟之後,您就可以建立並指派 DEP。 如需指示,請 參閱管理客戶金鑰