Spravované Microsoftem: Operace životního cyklu klíče tenanta
Poznámka:
Hledáte Microsoft Purview Information Protection, dříve Microsoft Information Protection (MIP)?
Doplněk Azure Information Protection se vyřadí a nahradí popisky, které jsou integrované v aplikacích a službách Microsoftu 365. Přečtěte si další informace o stavu podpory dalších komponent služby Azure Information Protection.
Klient Microsoft Purview Information Protection (bez doplňku) je obecně dostupný.
Pokud Váš klíč tenanta pro Azure Information Protection spravuje Microsoft (výchozí nastavení), najdete v následujících částech další informace o operacích životního cyklu, které jsou pro tuto topologii relevantní.
Odvolání klíče tenanta
Když zrušíte předplatné služby Azure Information Protection, Azure Information Protection přestane používat klíč tenanta a nevyžaduje se žádná akce.
Opětovné vytvoření klíče tenanta
Opětovné vytvoření klíče se také označuje jako vrácení klíče. Když provedete tuto operaci, Azure Information Protection přestane používat existující klíč tenanta k ochraně dokumentů a e-mailů a začne používat jiný klíč. Zásady a šablony se okamžitě odvolají, ale tato změna je pro stávající klienty a služby využívající Azure Information Protection postupně. Takže už nějakou dobu bude nějaký nový obsah chráněný starým klíčem tenanta.
Pokud chcete klíč znovu vytvořit, musíte nakonfigurovat objekt klíče tenanta a zadat alternativní klíč, který se má použít. Dříve použitý klíč se pak automaticky označí jako archivovaný pro Azure Information Protection. Tato konfigurace zajišťuje, že obsah chráněný pomocí tohoto klíče zůstane přístupný.
Příklady, kdy může být potřeba znovu vytvořit klíč pro Azure Information Protection:
Migrovali jste z služba AD RMS (Active Directory Rights Management Services) (AD RMS) pomocí klíče kryptografického režimu 1. Po dokončení migrace chcete použít klíč, který používá kryptografický režim 2.
Vaše společnost se rozdělila na dvě nebo více společností. Když znovu vytvoříte klíč tenanta, nová společnost nebude mít přístup k novému obsahu, který vaši zaměstnanci publikují. Pokud mají kopii starého klíče tenanta, můžou získat přístup ke starému obsahu.
Chcete přejít z jedné topologie správy klíčů na jinou.
Domníváte se, že hlavní kopie vašeho klíče tenanta je ohrožená.
Pokud chcete klíč znovu vytvořit, můžete vybrat jiný klíč spravovaný Microsoftem, aby se stal klíčem tenanta, ale nemůžete vytvořit nový klíč spravovaný Microsoftem. Pokud chcete vytvořit nový klíč, musíte změnit topologii klíče tak, aby byla spravovaná zákazníkem (BYOK).
Pokud jste migrovali z služba AD RMS (Active Directory Rights Management Services) (AD RMS) a zvolili topologii klíčů spravovanou Microsoftem pro Azure Information Protection, máte více než jeden klíč spravovaný Microsoftem. V tomto scénáři máte alespoň dva klíče spravované Microsoftem pro vašeho tenanta. Jedním nebo více klíči je klíč nebo klíče, které jste naimportovali ze služby AD RMS. Budete mít také výchozí klíč, který se automaticky vytvořil pro vašeho tenanta Azure Information Protection.
Pokud chcete vybrat jiný klíč, který má být aktivním klíčem tenanta pro Azure Information Protection, použijte rutinu Set-AipServiceKeyProperties z modulu AIPService. K identifikaci klíče, který se má použít, použijte rutinu Get-AipServiceKeys . Výchozí klíč, který se automaticky vytvořil pro vašeho tenanta Azure Information Protection, můžete identifikovat spuštěním následujícího příkazu:
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
Pokud chcete změnit topologii klíče tak, aby byla spravovaná zákazníkem (BYOK), přečtěte si téma Plánování a implementace klíče tenanta Služby Azure Information Protection.
Zálohování a obnovení klíče tenanta
Microsoft zodpovídá za zálohování klíče tenanta a nevyžaduje se žádná akce.
Export klíče tenanta
Konfiguraci služby Azure Information Protection a klíč tenanta můžete exportovat podle pokynů v následujících třech krocích:
Krok 1: Zahájení exportu
- Kontaktujte podpora Microsoftu a otevřete případ podpory služby Azure Information Protection s žádostí o export klíče služby Azure Information Protection. Musíte prokázat, že jste globálním správcem vašeho tenanta a víte, že potvrzení tohoto procesu trvá několik dní. Platí standardní poplatky za podporu; export vašeho klíče tenanta není bezplatná služba podpory.
Krok 2: Čekání na ověření
- Microsoft ověří, že vaše žádost o uvolnění klíče tenanta Azure Information Protection je legitimní. Tento proces může trvat až tři týdny.
Krok 3: Přijetí klíčových pokynů ze šablon stylů CSS
Služby zákaznické podpory Microsoftu (CSS) vám posílají konfiguraci služby Azure Information Protection a klíč tenanta zašifrovaný v souboru chráněném heslem. Tento soubor má příponu názvu souboru .tpd . Chcete-li to provést, css vás nejprve pošle (jako osoba, která zahájila export), nástroj e-mailem. Nástroj musíte spustit z příkazového řádku následujícím způsobem:
AadrmTpd.exe -createkey
Tím se vygeneruje pár klíčů RSA a uloží se veřejná a soukromá polovina jako soubory v aktuální složce. Příklad: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt a PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.
Odpovězte na e-mail ze šablon stylů CSS a připojte soubor s názvem, který začíná na PublicKey. Css vám pak pošle soubor TPD jako .xml soubor, který je šifrovaný pomocí klíče RSA. Zkopírujte tento soubor do stejné složky, ve které jste původně spustili nástroj AadrmTpd, a spusťte nástroj znovu pomocí souboru, který začíná privateKey a souborem ze šablon stylů CSS. Příklad:
AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
Výstupem tohoto příkazu by měly být dva soubory: Jeden obsahuje heslo ve formátu prostého textu pro čip TPD chráněné heslem a druhý je samotný čip TPD chráněný heslem. Soubory mají nový identifikátor GUID, například:
Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt
ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml
Zálohujte tyto soubory a bezpečně je uložte, abyste měli jistotu, že můžete pokračovat v dešifrování obsahu chráněného tímto klíčem tenanta. Kromě toho, pokud migrujete na SLUŽBU AD RMS, můžete tento soubor TPD (soubor, který začíná na ExportedTDP) importovat na server SLUŽBY AD RMS.
Krok 4: Probíhající: Ochrana klíče tenanta
Jakmile obdržíte klíč tenanta, mějte ho dobře strážený, protože pokud k němu někdo získá přístup, může dešifrovat všechny dokumenty chráněné pomocí daného klíče.
Pokud je důvodem exportu klíče tenanta to, že už nechcete používat Azure Information Protection, jako osvědčený postup, teď deaktivujte službu Azure Rights Management z tenanta služby Azure Information Protection. Po přijetí klíče tenanta to nezpožďujte, protože toto opatření pomáhá minimalizovat důsledky, pokud k vašemu klíči tenanta přistupuje někdo, kdo by ho neměl mít. Pokyny najdete v tématu Vyřazení z provozu a deaktivace služby Azure Rights Management.
Reakce na porušení zabezpečení
Bez procesu reakce na porušení zabezpečení se bez ohledu na to, jak silný, nedokončí žádný bezpečnostní systém. Váš klíč tenanta může být ohrožen nebo odcizen. I když je dobře chráněná, můžou se chyby zabezpečení nacházet v technologii klíče aktuální generace nebo v aktuální délce a algoritmech klíčů.
Microsoft má vyhrazený tým pro reakci na incidenty zabezpečení ve svých produktech a službách. Jakmile existuje důvěryhodná zpráva o incidentu, tým se zapojí do vyšetřování rozsahu, původní příčiny a zmírnění rizik. Pokud tento incident ovlivní vaše prostředky, Microsoft pošle globálním správcům vašeho tenanta e-mailem oznámení.
Pokud dojde k porušení zabezpečení, nejlepší akce, které můžete vy nebo Microsoft provést, závisí na rozsahu porušení zabezpečení; Microsoft s vámi bude tento proces pracovat. Následující tabulka uvádí některé typické situace a pravděpodobnou odpověď, i když přesná odpověď závisí na všech informacích, které se odhalí během šetření.
Popis incidentu | Pravděpodobná odpověď |
---|---|
Váš klíč tenanta se nevracel. | Znovu nastavte klíč tenanta. V tomto článku najdete část Opětovné vytvoření klíče tenanta. |
Neoprávněný jednotlivec nebo malware získal práva k použití vašeho klíče tenanta, ale samotný klíč neunikl. | Opětovné vytvoření klíče tenanta tady nepomůže a vyžaduje analýzu původní příčiny. Pokud byla chyba procesu nebo softwaru odpovědná za neoprávněný uživatel, aby získal přístup, musí být tato situace vyřešena. |
Ohrožení zabezpečení zjištěné v algoritmu RSA nebo délce klíče nebo útoky hrubou silou se stanou výpočetně proveditelné. | Microsoft musí aktualizovat Službu Azure Information Protection tak, aby podporovala nové algoritmy a delší délky klíčů, které jsou odolné, a instruovat všechny zákazníky, aby znovu na klíč tenanta na klíč klíče tenanta přepracovali. |