Spravované zákazníkem: Operace životního cyklu klíče tenanta
Poznámka:
Hledáte Microsoft Purview Information Protection, dříve Microsoft Information Protection (MIP)?
Doplněk Azure Information Protection se vyřadí a nahradí popisky, které jsou integrované v aplikacích a službách Microsoftu 365. Přečtěte si další informace o stavu podpory dalších komponent služby Azure Information Protection.
Klient Microsoft Purview Information Protection (bez doplňku) je obecně dostupný.
Pokud spravujete klíč tenanta pro Azure Information Protection (scénář Přineste si vlastní klíč nebo BYOK), najdete další informace o operacích životního cyklu relevantních pro tuto topologii v následujících částech.
Odvolání klíče tenanta
Existuje několik scénářů, kdy možná budete muset místo opětovného vytvoření klíče odvolat svůj klíč. Když odvoláte svůj klíč, veškerý obsah chráněný vaším tenantem pomocí tohoto klíče se stane pro všechny (včetně Microsoftu, globálních správců a superuživatelů) nedostupný, pokud nemáte zálohu klíče, který můžete obnovit. Po odvolání klíče nebudete moct chránit nový obsah, dokud nevytvoříte a nenakonfigurujete nový klíč tenanta pro Azure Information Protection.
Pokud chcete odvolat klíč tenanta spravovaný zákazníkem, změňte ve službě Azure Key Vault oprávnění k trezoru klíčů, který obsahuje váš klíč tenanta Azure Information Protection, aby služba Azure Rights Management už neměla přístup ke klíči. Tato akce efektivně odvolá klíč tenanta pro Azure Information Protection.
Když zrušíte předplatné služby Azure Information Protection, Azure Information Protection přestane používat klíč tenanta a nevyžaduje se žádná akce.
Opětovné vytvoření klíče tenanta
Opětovné vytvoření klíče se také označuje jako vrácení klíče. Když provedete tuto operaci, Azure Information Protection přestane používat existující klíč tenanta k ochraně dokumentů a e-mailů a začne používat jiný klíč. Zásady a šablony se okamžitě odvolají, ale tato změna je pro stávající klienty a služby využívající Azure Information Protection postupně. Takže už nějakou dobu bude nějaký nový obsah chráněný starým klíčem tenanta.
Pokud chcete klíč znovu vytvořit, musíte nakonfigurovat objekt klíče tenanta a zadat alternativní klíč, který se má použít. Dříve použitý klíč se pak automaticky označí jako archivovaný pro Azure Information Protection. Tato konfigurace zajišťuje, že obsah chráněný pomocí tohoto klíče zůstane přístupný.
Příklady, kdy může být potřeba znovu vytvořit klíč pro Azure Information Protection:
Vaše společnost se rozdělila na dvě nebo více společností. Když znovu vytvoříte klíč tenanta, nová společnost nebude mít přístup k novému obsahu, který vaši zaměstnanci publikují. Pokud mají kopii starého klíče tenanta, můžou získat přístup ke starému obsahu.
Chcete přejít z jedné topologie správy klíčů na jinou.
Domníváte se, že hlavní kopie vašeho klíče tenanta (kopie ve vlastnictví) je ohrožená.
Pokud chcete znovu vytvořit klíč k jinému klíči, který spravujete, můžete buď vytvořit nový klíč ve službě Azure Key Vault, nebo použít jiný klíč, který už je ve službě Azure Key Vault. Pak postupujte podle stejných postupů, které jste provedli při implementaci BYOK pro Azure Information Protection.
Pouze pokud je nový klíč v jiném trezoru klíčů než ten, který už používáte pro Azure Information Protection: Autorizace služby Azure Information Protection k používání trezoru klíčů pomocí rutiny Set-AzKeyVaultAccessPolicy .
Pokud Azure Information Protection ještě nezná klíč, který chcete použít, spusťte rutinu Use-AipServiceKeyVaultKey .
Nakonfigurujte objekt klíče tenanta pomocí rutiny Set-AipServiceKeyProperties .
Další informace o každém z těchto kroků:
Pokud chcete znovu vytvořit klíč k jinému klíči, který spravujete, přečtěte si téma Plánování a implementace klíče tenanta Služby Azure Information Protection.
Pokud znovu vytváříte klíč chráněný modulem HSM a přenášíte ho do služby Key Vault, můžete použít stejné bezpečnostní světy a přístupové karty, jaké jste použili pro aktuální klíč.
Pokud chcete klíč znovu vytvořit, přejděte na klíč, který za vás spravuje Microsoft, najdete v části Opětovné vytvoření klíče tenanta pro operace spravované Microsoftem.
Zálohování a obnovení klíče tenanta
Protože spravujete klíč tenanta, zodpovídáte za zálohování klíče, který Azure Information Protection používá.
Pokud jste klíč tenanta vygenerovali místně, v modulu nCipher HSM: Pokud chcete klíč zálohovat, zálohujte soubor tokenizovaného klíče, světový soubor a karty správce. Při přenosu klíče do služby Azure Key Vault uloží služba soubor tokenizovaného klíče, aby se chránil před selháním všech uzlů služby. Tento soubor je vázán na svět zabezpečení pro konkrétní oblast nebo instanci Azure. Tento soubor tokenizovaného klíče však nepovažujte za úplné zálohování. Pokud například někdy potřebujete kopii klíče ve formátu prostého textu, která se má použít mimo modul hardwarového zabezpečení nCipher HSM, azure Key Vault ho za vás nemůže načíst, protože má pouze neobnovitelnou kopii.
Azure Key Vault obsahuje rutinu zálohování, kterou můžete použít k zálohování klíče tak, že ho stáhnete a uložíte do souboru. Vzhledem k tomu, že stažený obsah je šifrovaný, nejde ho použít mimo Azure Key Vault.
Export klíče tenanta
Pokud používáte BYOK, nemůžete exportovat klíč tenanta ze služby Azure Key Vault ani z Azure Information Protection. Kopie ve službě Azure Key Vault není obnovitelná.
Reakce na porušení zabezpečení
Bez procesu reakce na porušení zabezpečení se bez ohledu na to, jak silný, nedokončí žádný bezpečnostní systém. Váš klíč tenanta může být ohrožen nebo odcizen. I když je dobře chráněná, můžou se chyby zabezpečení nacházet v technologii klíče aktuální generace nebo v aktuální délce a algoritmech klíčů.
Microsoft má vyhrazený tým pro reakci na incidenty zabezpečení ve svých produktech a službách. Jakmile existuje důvěryhodná zpráva o incidentu, tým se zapojí do vyšetřování rozsahu, původní příčiny a zmírnění rizik. Pokud tento incident ovlivní vaše prostředky, Microsoft e-mailem upozorní globální správce vašeho tenanta.
Pokud dojde k porušení zabezpečení, nejlepší akce, které můžete vy nebo Microsoft provést, závisí na rozsahu porušení zabezpečení; Microsoft s vámi bude tento proces pracovat. Následující tabulka uvádí některé typické situace a pravděpodobnou odpověď, i když přesná odpověď závisí na všech informacích, které se odhalí během šetření.
Popis incidentu | Pravděpodobná odpověď |
---|---|
Váš klíč tenanta se nevracel. | Znovu nastavte klíč tenanta. Viz Opětovné vytvoření klíče tenanta. |
Neoprávněný jednotlivec nebo malware získal práva k použití vašeho klíče tenanta, ale samotný klíč neunikl. | Opětovné vytvoření klíče tenanta tady nepomůže a vyžaduje analýzu původní příčiny. Pokud byla chyba procesu nebo softwaru odpovědná za neoprávněný uživatel, aby získal přístup, musí být tato situace vyřešena. |
Ohrožení zabezpečení zjištěné v technologii HSM aktuální generace | Microsoft musí aktualizovat moduly hardwarového zabezpečení. Pokud je důvod se domnívat, že ohrožení zabezpečení vystavené klíče, Microsoft dá všem zákazníkům pokyn, aby klíče tenanta znovu na klíč na klíči převedli. |
Ohrožení zabezpečení zjištěné v algoritmu RSA nebo délce klíče nebo útoky hrubou silou se stanou výpočetně proveditelné. | Microsoft musí aktualizovat službu Azure Key Vault nebo Azure Information Protection, aby podporovala nové algoritmy a delší délky klíčů, které jsou odolné, a instruovat všechny zákazníky, aby klíč tenanta znovu na klíč klíč klíče tenanta na klíči znovu na klíč klíči na klíč tenanta přepracoval. |