Administración de Microsoft: Operaciones del ciclo de vida de claves de inquilino
Nota:
¿Está buscando Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?
El complemento de Azure Information Protection se retira y reemplaza por etiquetas integradas en las aplicaciones y servicios de Microsoft 365. Obtenga más información sobre el estado de soporte técnico de otros componentes de Azure Information Protection.
El nuevo cliente de Microsoft Information Protection (sin el complemento) está actualmente en versión preliminar y está programado para disponibilidad general.
Si Microsoft administra la clave de inquilino para Azure Information Protection (valor predeterminado), use las secciones siguientes para obtener más información sobre las operaciones del ciclo de vida que son relevantes para esta topología.
Revocar la clave de inquilino
Al cancelar la suscripción para Azure Information Protection, Azure Information Protection deja de usar la clave de inquilino y no se necesita ninguna acción.
Volver a especificar la clave de la clave de inquilino
Volver a especificar la clave también se conoce como rotación de la clave. Al realizar esta operación, Azure Information Protection deja de usar la clave de inquilino existente para proteger documentos y correos electrónicos y comienza a usar una clave diferente. Las directivas y plantillas se anulan inmediatamente, pero esta conmutación por cambio es gradual para los clientes y servicios existentes mediante Azure Information Protection. Por lo tanto, durante algún tiempo, algunos nuevos contenidos siguen estando protegidos con la clave de inquilino antigua.
Para volver a clave, debe configurar el objeto de clave de inquilino y especificar la clave alternativa que se va a usar. A continuación, la clave usada anteriormente se marca automáticamente como archivada para Azure Information Protection. Esta configuración garantiza que el contenido protegido mediante este uso de esta clave sigue siendo accesible.
Ejemplos de cuándo es posible que tenga que volver a usar la clave para Azure Information Protection:
Ha migrado de Active Directory Rights Management Services (AD RMS) con una clave de modo criptográfico 1. Una vez completada la migración, quiere cambiar a mediante una clave que use el modo criptográfico 2.
Su empresa se ha dividido en dos o más empresas. Al volver a crear una clave de inquilino, la nueva empresa no tendrá acceso a contenido nuevo que publiquen los empleados. Pueden acceder al contenido antiguo si tienen una copia de la clave de inquilino antigua.
Quiere pasar de una topología de administración de claves a otra.
Cree que la copia maestra de la clave de inquilino está en peligro.
Para volver a crear la clave, puede seleccionar una clave administrada por Microsoft diferente para convertirse en la clave de inquilino, pero no puede crear una nueva clave administrada por Microsoft. Para crear una clave, debe cambiar la topología de clave para que sea administrada por el cliente (BYOK).
Tiene más de una clave administrada por Microsoft si migró de Active Directory Rights Management Services (AD RMS) y eligió la topología de clave administrada por Microsoft para Azure Information Protection. En este escenario, tiene al menos dos claves administradas por Microsoft para el inquilino. Una clave, o más, es la clave o las claves que importó desde AD RMS. También tendrá la clave predeterminada que se creó automáticamente para el inquilino de Azure Information Protection.
Para seleccionar una clave diferente para que sea la clave de inquilino activa para Azure Information Protection, use el cmdlet Set-AipServiceKeyProperties del módulo AIPService. Para ayudarle a identificar qué clave usar, use el cmdlet Get-AipServiceKeys. Puede identificar la clave predeterminada que se creó automáticamente para el inquilino de Azure Information Protection mediante la ejecución del comando siguiente:
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
Para cambiar la topología de clave para que sea administrada por el cliente (BYOK), consulte Planeamiento e implementación de la clave de inquilino de Azure Information Protection.
Copia de seguridad y recuperación de la clave de inquilino
Microsoft es responsable de realizar copias de seguridad de la clave de inquilino y no se requiere ninguna acción de usted.
Exportación de la clave de inquilino
Puede exportar la configuración de Azure Information Protection y la clave de inquilino siguiendo las instrucciones de los tres pasos siguientes:
Paso 1: Iniciar la exportación
- Póngase en contacto con Soporte técnico de Microsoft para abrir un caso de soporte técnico de Azure Information Protection con una solicitud de exportación de claves de Azure Information Protection. Debe demostrar que es un administrador global para el inquilino y comprender que este proceso tarda varios días en confirmarse. Se aplican cargos de soporte técnico estándar; exportar la clave de inquilino no es un servicio de soporte técnico gratuito.
Paso 2: Esperar comprobación
- Microsoft comprueba que la solicitud para liberar la clave de inquilino de Azure Information Protection es legítima. Este proceso puede durar hasta tres semanas.
Paso 3: Recibir instrucciones de clave de CSS
Microsoft Customer Support Services (CSS) le envía la configuración de Azure Information Protection y la clave de inquilino cifradas en un archivo protegido con contraseña. Este archivo tiene una extensión de nombre de archivo .tpd. Para ello, CSS primero le envía (como la persona que inició la exportación) una herramienta por correo electrónico. Debe ejecutar la herramienta desde un símbolo del sistema de la siguiente manera:
AadrmTpd.exe -createkeyEsto genera un par de claves RSA y guarda las mitades públicas y privadas como archivos de la carpeta actual. Por ejemplo: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt y PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.
Responda al correo electrónico de CSS y adjunte el archivo que tiene un nombre que comienza por PublicKey. CSS le envía un archivo TPD como un archivo .xml que se cifra con la clave RSA. Copie este archivo en la misma carpeta que ejecutó originalmente la herramienta AadrmTpd y vuelva a ejecutarla con el archivo que comienza con PrivateKey y el archivo de CSS. Por ejemplo:
AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xmlLa salida de este comando debe ser dos archivos: uno contiene la contraseña de texto sin formato para el TPD protegido por contraseña y el otro es el TPD protegido con contraseña. Los archivos tienen un nuevo GUID, por ejemplo:
Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt
ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml
Realice una copia de seguridad de estos archivos y almacénelos de forma segura para asegurarse de que puede seguir descifrando contenido protegido con esta clave de inquilino. Además, si va a migrar a AD RMS, puede importar este archivo TPD (el archivo que comienza con ExportedTDP) al servidor de AD RMS.
Paso 4: En curso: Protección de la clave de inquilino
Después de recibir la clave de inquilino, manténgala bien protegida, ya que si alguien obtiene acceso a ella, puede descifrar todos los documentos protegidos mediante esa clave.
Si el motivo para exportar la clave de inquilino es porque ya no desea usar Azure Information Protection, como procedimiento recomendado, desactive ahora el servicio Azure Rights Management del inquilino de Azure Information Protection. No retrase esta acción después de recibir la clave de inquilino porque esta precaución ayuda a minimizar las consecuencias si alguien que no debe tenerla tiene acceso a la clave de inquilino. Para isntrucciones, consulte Retirada y desactivación de la protección de Azure Information Protection.
Responder a una infracción
Ningún sistema de seguridad, independientemente de la seguridad, se completa sin un proceso de respuesta a infracciones. Es posible que la clave de inquilino se vea comprometida o robada. Incluso cuando está bien protegido, es posible que se encuentren vulnerabilidades en la tecnología de clave de generación actual o en longitudes y algoritmos de clave actuales.
Microsoft tiene un equipo dedicado para responder a incidentes de seguridad en sus productos y servicios. Tan pronto como haya un informe creíble de un incidente, este equipo se compromete a investigar el ámbito, la causa principal y las mitigaciones. Si este incidente afecta a los recursos, Microsoft notificará por correo electrónico a los administradores globales del inquilino.
Si tiene una infracción, la mejor acción que puede realizar usted o Microsoft depende del ámbito de la infracción; Microsoft trabajará con usted a través de este proceso. En la tabla siguiente se muestran algunas situaciones típicas y la respuesta probable, aunque la respuesta exacta depende de toda la información que se revela durante la investigación.
| Descripción del incidente | Respuesta probable |
|---|---|
| Se pierde la clave de inquilino. | Volver a especificar la clave de la clave de inquilino Consulte la sección Volver a especificar la clave de inquilino en este artículo. |
| Un usuario no autorizado o malware tiene derechos para usar la clave de inquilino, pero la propia clave no se ha filtrado. | Volver a especificar la clave de inquilino no ayuda aquí y requiere el análisis de la causa principal. Si un proceso o error de software era responsable del usuario no autorizado para obtener acceso, esa situación debe resolverse. |
| La vulnerabilidad detectada en el algoritmo RSA, o la longitud de clave, o los ataques por fuerza bruta se convierten en factibles computacionalmente. | Microsoft debe actualizar Azure Information Protection para admitir nuevos algoritmos y longitudes de clave más largas que sean resistentes e indicar a todos los clientes que vuelvan a escribir su clave de inquilino. |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de