Von Kunde verwaltet: Lebenszyklusvorgänge für Mandantenschlüssel
Hinweis
Suchen Sie nach Microsoft Purview Information Protection, ehemals Microsoft Information Protection (MIP)?
Das Azure Information Protection-Add-In wird eingestellt und durch Bezeichnungen ersetzt, die in Ihre Microsoft 365-Apps und -Dienste integriert sind. Erfahren Sie mehr über den Supportstatus anderer Azure Information Protection-Komponenten.
Der Microsoft Purview Information Protection-Client (ohne das Add-In) ist allgemein verfügbar.
Wenn Sie Ihren Mandantenschlüssel für Azure Information Protection (bring your own key, or BYOK, scenario) verwalten, verwenden Sie die folgenden Abschnitte, um weitere Informationen zu den Lebenszyklusvorgängen zu erhalten, die für diese Topologie relevant sind.
Widerrufen des Mandantenschlüssels
Es gibt sehr wenige Szenarien, in denen Sie möglicherweise Ihren Schlüssel widerrufen müssen, anstatt den Schlüssel neu zu schlüsseln. Wenn Sie Ihren Schlüssel widerrufen, werden alle Inhalte, die von Ihrem Mandanten mit diesem Schlüssel geschützt wurden, für alle (einschließlich Microsoft, Ihre globalen Administratoren und Superbenutzer) zugänglich, es sei denn, Sie haben eine Sicherung des Schlüssels, den Sie wiederherstellen können. Nach dem Widerrufen Ihres Schlüssels können Sie neue Inhalte erst schützen, wenn Sie einen neuen Mandantenschlüssel für Azure Information Protection erstellen und konfigurieren.
Um Ihren vom Kunden verwalteten Mandant-Schlüssel zu widerrufen, ändern Sie in Azure Key Vault die Berechtigungen für den Schlüsseltresor, der Ihren Azure Information Protection-Mandantenschlüssel enthält, so dass der Azure Rights Management-Dienst nicht mehr auf den Schlüssel zugreifen kann. Diese Aktion widerruft effektiv den Mandantenschlüssel für Azure Information Protection.
Wenn Sie Ihr Abonnement für Azure Information Protection kündigen, beendet Azure Information Protection die Verwendung Ihres Mandantenschlüssels, und es ist keine Aktion von Ihnen erforderlich.
Siehe Schlüssel des Mieters neu eingeben.
Die Erneute Tastenkombination wird auch als Rollen der Taste bezeichnet. Wenn Sie diesen Vorgang ausführen, verwendet Azure Information Protection den vorhandenen Mandantenschlüssel zum Schützen von Dokumenten und E-Mails und beginnt mit der Verwendung eines anderen Schlüssels. Richtlinien und Vorlagen werden sofort neu zugewiesen, aber diese Änderung erfolgt schrittweise für vorhandene Clients und Dienste mit Azure Information Protection. Einige neue Inhalte werden also seit einiger Zeit weiterhin mit dem alten Mandantenschlüssel geschützt.
Zum Erneuten Schlüssel müssen Sie das Mandantenschlüsselobjekt konfigurieren und den zu verwendenden alternativen Schlüssel angeben. Anschließend wird der zuvor verwendete Schlüssel automatisch als archiviert für Azure Information Protection markiert. Diese Konfiguration stellt sicher, dass Inhalte, die mithilfe dieses Schlüssels geschützt wurden Standard barrierefrei sind.
Beispiele für den erneuten Schlüssel für Azure Information Protection:
Ihr Unternehmen hat sich in zwei oder mehr Unternehmen aufgeteilt. Wenn Sie Ihren Mandantenschlüssel erneut schlüsseln, hat das neue Unternehmen keinen Zugriff auf neue Inhalte, die Ihre Mitarbeiter veröffentlichen. Sie können auf den alten Inhalt zugreifen, wenn sie über eine Kopie des alten Mandantenschlüssels verfügen.
Sie möchten von einer Schlüsselverwaltungstopologie zu einer anderen wechseln.
Sie glauben, dass die Masterkopie Ihres Mandantenschlüssels (die Kopie in Ihrem Besitz) kompromittiert ist.
Um einen anderen von Ihnen verwalteten Schlüssel erneut zu verwenden, können Sie entweder einen neuen Schlüssel im Azure Key Vault erstellen oder einen anderen Schlüssel verwenden, der sich bereits im Azure Key Vault befindet. Befolgen Sie dann die gleichen Verfahren, die Sie zum Implementieren von BYOK für Azure Information Protection getan haben.
Nur wenn sich der neue Schlüssel in einem anderen Schlüsseltresor befindet als dem, den Sie bereits für Azure Information Protection verwenden: Autorisieren Sie Azure Information Protection für die Verwendung des Schlüsseltresors mit dem Cmdlet Set-AzKeyVaultAccessPolicy.
Wenn Azure Information Protection den Schlüssel, den Sie verwenden möchten, noch nicht kennt, führen Sie das Cmdlet Use-AipServiceKeyVaultKey aus.
Konfigurieren Sie das Mandantenschlüssel-Objekt, indem Sie das Cmdlet "Run Set-AipServiceKeyProperties" ausführen.
Weitere Informationen zu den einzelnen Fragen finden Sie unter Vorgehensweise:
Um den Schlüssel auf einen anderen, von Ihnen verwalteten Schlüssel zu ändern, siehe Planung und Implementierung Ihres Azure Information Protection-Mieterschlüssels.
Wenn Sie einen HSM-geschützten Schlüssel erneut schlüsseln, den Sie lokal erstellen und in den Key Vault übertragen, können Sie die gleiche Sicherheitswelt verwenden und auf Karte s zugreifen, wie Sie für Ihren aktuellen Schlüssel verwendet haben.
Informationen zum erneuten Schlüssel, der von Microsoft für Sie verwaltet wird, finden Sie im Abschnitt Neuschlüsseln des Mandantenschlüssels für von Microsoft verwaltete Vorgänge.
Sichern und Wiederherstellen Des Mandantenschlüssels
Da Sie Ihren Mandantenschlüssel verwalten, sind Sie dafür verantwortlich, den von Azure Information Protection verwendeten Schlüssel zu sichern.
Wenn Sie Ihren Mandantenschlüssel vor Ort in einem nCipher HSM generiert haben: Sichern Sie die tokenisierte Schlüsseldatei, die Weltdatei und die Administratorkarten, um den Schlüssel zu sichern. Wenn Sie Ihren Schlüssel in Azure Key Vault übertragen, speichert der Dienst die tokenisierte Schlüsseldatei, um vor Fehlern von Dienstknoten zu schützen. Diese Datei ist an die Sicherheitswelt für die bestimmte Azure-Region oder -Instanz gebunden. Betrachten Sie diese tokenisierte Schlüsseldatei jedoch nicht als vollständige Sicherung. Wenn Sie beispielsweise eine Klartextkopie Ihres Schlüssels zur Verwendung außerhalb eines nCipher HSM benötigen, kann Azure Key Vault diese nicht für Sie abrufen, da es nur über eine nicht wiederherstellbare Kopie verfügt.
Azure Key Vault verfügt über ein Sicherungs-Cmdlet , mit dem Sie einen Schlüssel sichern können, indem Sie ihn herunterladen und in einer Datei speichern. Da der heruntergeladene Inhalt verschlüsselt ist, kann er nicht außerhalb von Azure Key Vault verwendet werden.
Exportieren Des Mandantenschlüssels
Wenn Sie BYOK verwenden, können Sie Ihren Mandantenschlüssel nicht aus Azure Key Vault oder Azure Information Protection exportieren. Die Kopie in Azure Key Vault kann nicht wiederhergestellt werden.
Reagieren auf eine Verletzung
Kein Sicherheitssystem, unabhängig davon, wie stark, ohne einen Reaktionsprozess für Sicherheitsverletzungen abgeschlossen ist. Ihr Mandantenschlüssel kann kompromittiert oder gestohlen werden. Auch wenn es gut geschützt ist, können Sicherheitsrisiken in der technologie der aktuellen Generation oder in aktuellen Schlüssellängen und Algorithmen gefunden werden.
Microsoft verfügt über ein dediziertes Team, um auf Sicherheitsvorfälle in seinen Produkten und Diensten zu reagieren. Sobald es einen glaubwürdigen Bericht über einen Vorfall gibt, engagiert sich dieses Team, um den Umfang, die Ursache und die Entschärfung zu untersuchen. Wenn dieser Vorfall Ihre Assets betrifft, benachrichtigt Microsoft Ihre Tenant Global-Administratoren per E-Mail.
Wenn Sie eine Verletzung haben, hängt die beste Maßnahme, die Sie oder Microsoft ergreifen kann, vom Umfang der Verletzung ab; Microsoft arbeitet mit Ihnen durch diesen Prozess zusammen. Die folgende Tabelle zeigt einige typische Situationen und die wahrscheinliche Antwort, obwohl die genaue Antwort von allen Informationen abhängt, die während der Untersuchung aufgedeckt werden.
| Beschreibung des Vorfalls | Wahrscheinliche Antwort |
|---|---|
| Ihr Mandantschlüssel wird geleert. | Siehe Schlüssel des Mieters neu eingeben. Siehe Schlüssel des Mieters neu eingeben. |
| Eine nicht autorisierte Person oder Schadsoftware hat rechte, Ihren Mandantenschlüssel zu verwenden, aber der Schlüssel selbst hat nicht verloren. | Das erneute Schlüsselschlüsseln ihres Mandanten hilft hier nicht und erfordert eine Analyse der Ursache. Wenn ein Prozess- oder Softwarefehler für die nicht autorisierte Person für den Zugriff verantwortlich war, muss diese Situation behoben werden. |
| Sicherheitsanfälligkeit, die in der HSM-Technologie der aktuellen Generation entdeckt wurde. | Microsoft muss die HSMs aktualisieren. Wenn es Gründe gibt, zu glauben, dass die Sicherheitsrisikoschlüssel verfügbar gemacht werden, wird Microsoft alle Kunden anweisen, ihre Mandantenschlüssel erneut zu schlüsseln. |
| Sicherheitsrisiken, die im RSA-Algorithmus oder der Schlüssellänge oder Brute-Force-Angriffe entdeckt werden, werden rechnerisch machbar. | Microsoft muss Azure Key Vault oder Azure Information Protection aktualisieren, um neue Algorithmen und längere Schlüssellängen zu unterstützen, die ausfallsicher sind, und alle Kunden anweisen, ihren Mandantenschlüssel neu zu schlüsseln. |