Compartir a través de


Customer Manager: operaciones del ciclo de vida de claves de inquilino

Nota:

¿Está buscando Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?

El complemento de Azure Information Protection se retira y reemplaza por etiquetas integradas en las aplicaciones y servicios de Microsoft 365. Obtenga más información sobre el estado de soporte técnico de otros componentes de Azure Information Protection.

El cliente de Microsoft Purview Information Protection (sin el complemento) está disponible con carácter general.

Si administra la clave de inquilino para Azure Information Protection (el escenario bring your own key o BYOK), use las secciones siguientes para obtener más información sobre las operaciones del ciclo de vida que son relevantes para esta topología.

Revocar la clave de inquilino

Hay muy pocos escenarios en los que es posible que tenga que revocar la clave en lugar de volver a escribir la clave. Cuando revoca la clave, todo el contenido protegido por el inquilino mediante esa clave será inaccesible para todos (incluidos Microsoft, los administradores globales y los superusuarios), a menos que tenga una copia de seguridad de la clave que puede restaurar. Después de revocar la clave, no podrá proteger el nuevo contenido hasta que cree y configure una nueva clave de inquilino para Azure Information Protection.

Para revocar la clave de inquilino administrada por el cliente, en Azure Key Vault, cambie los permisos en el almacén de claves que contiene la clave de inquilino de Azure Information Protection para que el servicio Azure Rights Management ya no pueda acceder a la clave. Esta acción revoca eficazmente la clave de inquilino para Azure Information Protection.

Al cancelar la suscripción para Azure Information Protection, Azure Information Protection deja de usar la clave de inquilino y no se necesita ninguna acción.

Volver a especificar la clave de la clave de inquilino

Volver a especificar la clave también se conoce como rotación de la clave. Al realizar esta operación, Azure Information Protection deja de usar la clave de inquilino existente para proteger documentos y correos electrónicos y comienza a usar una clave diferente. Las directivas y plantillas se anulan inmediatamente, pero esta conmutación por cambio es gradual para los clientes y servicios existentes mediante Azure Information Protection. Por lo tanto, durante algún tiempo, algunos nuevos contenidos siguen estando protegidos con la clave de inquilino antigua.

Para volver a clave, debe configurar el objeto de clave de inquilino y especificar la clave alternativa que se va a usar. A continuación, la clave usada anteriormente se marca automáticamente como archivada para Azure Information Protection. Esta configuración garantiza que el contenido protegido mediante este uso de esta clave sigue siendo accesible.

Ejemplos de cuándo es posible que tenga que volver a usar la clave para Azure Information Protection:

  • Su empresa se ha dividido en dos o más empresas. Al volver a crear una clave de inquilino, la nueva empresa no tendrá acceso a contenido nuevo que publiquen los empleados. Pueden acceder al contenido antiguo si tienen una copia de la clave de inquilino antigua.

  • Quiere pasar de una topología de administración de claves a otra.

  • Cree que la copia maestra de la clave de inquilino (la copia en su posesión) está en peligro.

Para volver a crear una clave en otra clave que administre, puede crear una nueva clave en Azure Key Vault o usar una clave diferente que ya esté en Azure Key Vault. A continuación, siga los mismos procedimientos que ha realizado para implementar BYOK para Azure Information Protection.

  1. Solo si la nueva clave está en un almacén de claves diferente al que ya usa para Azure Information Protection: autorizar a Azure Information Protection a usar el almacén de claves mediante el cmdlet Set-AzKeyVaultAccessPolicy.

  2. Si Azure Information Protection aún no conoce la clave que quiere usar, ejecute el cmdlet Use-AipServiceKeyVaultKey.

  3. Configure el objeto de clave de inquilino mediante el cmdlet Set-AipServiceKeyProperties.

Para más información sobre cada uno de estos pasos:

Copia de seguridad y recuperación de la clave de inquilino

Dado que está administrando la clave de inquilino, es responsable de realizar una copia de seguridad de la clave que usa Azure Information Protection.

Si generó la clave de inquilino local, en un HSM de nCipher: para realizar una copia de seguridad de la clave, haga una copia de seguridad del archivo de clave tokenizado, el archivo mundial y las tarjetas de administrador. Al transferir la clave a Azure Key Vault, el servicio guarda el archivo de clave tokenizada para protegerse frente a errores de los nodos de servicio. Este archivo está enlazado al mundo de seguridad de la región o instancia de Azure específica. Sin embargo, no considere que este archivo de clave con token sea una copia de seguridad completa. Por ejemplo, si alguna vez necesita una copia de texto sin formato de la clave para usarla fuera de un HSM de nCipher, Azure Key Vault no puede recuperarla porque solo tiene una copia no recuperable.

Azure Key Vault tiene un cmdlet de copia de seguridad que puede usar para realizar una copia de seguridad de una clave mediante la descarga y el almacenamiento en un archivo. Dado que el contenido descargado está cifrado, no se puede usar fuera de Azure Key Vault.

Exportación de la clave de inquilino

Si usa BYOK, no puede exportar la clave de inquilino desde Azure Key Vault o Azure Information Protection. La copia en Azure Key Vault no se puede recuperar.

Responder a una infracción

Ningún sistema de seguridad, independientemente de la seguridad, se completa sin un proceso de respuesta a infracciones. Es posible que la clave de inquilino se vea comprometida o robada. Incluso cuando está bien protegido, es posible que se encuentren vulnerabilidades en la tecnología de clave de generación actual o en longitudes y algoritmos de clave actuales.

Microsoft tiene un equipo dedicado para responder a incidentes de seguridad en sus productos y servicios. Tan pronto como haya un informe creíble de un incidente, este equipo se compromete a investigar el ámbito, la causa principal y las mitigaciones. Si este incidente afecta a los recursos, Microsoft notifica a los administradores globales de inquilinos por correo electrónico.

Si tiene una infracción, la mejor acción que puede realizar usted o Microsoft depende del ámbito de la infracción; Microsoft trabajará con usted a través de este proceso. En la tabla siguiente se muestran algunas situaciones típicas y la respuesta probable, aunque la respuesta exacta depende de toda la información que se revela durante la investigación.

Descripción del incidente Respuesta probable
Se pierde la clave de inquilino. Volver a especificar la clave de la clave de inquilino Consulte Volver a clave de la clave de inquilino.
Un usuario no autorizado o malware tiene derechos para usar la clave de inquilino, pero la propia clave no se ha filtrado. Volver a especificar la clave de inquilino no ayuda aquí y requiere el análisis de la causa principal. Si un proceso o error de software era responsable del usuario no autorizado para obtener acceso, esa situación debe resolverse.
Vulnerabilidad detectada en la tecnología HSM de generación actual. Microsoft debe actualizar los HSM. Si hay motivos para creer que las claves expuestas a vulnerabilidades, Microsoft indicará a todos los clientes que vuelvan a escribir sus claves de inquilino.
La vulnerabilidad detectada en el algoritmo RSA, o la longitud de clave, o los ataques por fuerza bruta se convierten en factibles computacionalmente. Microsoft debe actualizar Azure Key Vault o Azure Information Protection para admitir nuevos algoritmos y longitudes de clave más largas que sean resistentes e indicar a todos los clientes que vuelvan a escribir su clave de inquilino.