Bagikan melalui

Dikelola Microsoft: Operasi siklus hidup kunci penyewa

  • Artikel

Catatan

Apakah Anda mencari Perlindungan Informasi Microsoft Purview, sebelumnya Microsoft Information Protection (MIP)?

Add-in Perlindungan Informasi Azure dihentikan dan diganti dengan label yang disertakan dalam aplikasi dan layanan Microsoft 365 Anda. Pelajari selengkapnya tentang status dukungan komponen Perlindungan Informasi Azure lainnya.

Klien Perlindungan Informasi Microsoft Purview (tanpa add-in) umumnya tersedia.

Jika Microsoft mengelola kunci penyewa Anda untuk Perlindungan Informasi Azure (default), gunakan bagian berikut untuk informasi selengkapnya tentang operasi siklus hidup yang relevan dengan topologi ini.

Mencabut kunci penyewa Anda

Saat Anda membatalkan langganan untuk Perlindungan Informasi Azure, Perlindungan Informasi Azure berhenti menggunakan kunci penyewa Anda dan tidak ada tindakan yang diperlukan dari Anda.

Kunci kunci penyewa Anda

Kunci ulang juga dikenal sebagai menggulung kunci Anda. Saat Anda melakukan operasi ini, Perlindungan Informasi Azure berhenti menggunakan kunci penyewa yang ada untuk melindungi dokumen dan email, dan mulai menggunakan kunci yang berbeda. Kebijakan dan templat segera dimundurkan tetapi perubahan ini bertahap untuk klien dan layanan yang ada menggunakan Perlindungan Informasi Azure. Jadi untuk beberapa waktu, beberapa konten baru terus dilindungi dengan kunci penyewa lama.

Untuk melakukan rekey, Anda harus mengonfigurasi objek kunci penyewa dan menentukan kunci alternatif yang akan digunakan. Kemudian, kunci yang digunakan sebelumnya secara otomatis ditandai sebagai diarsipkan untuk Perlindungan Informasi Azure. Konfigurasi ini memastikan bahwa konten yang dilindungi dengan menggunakan kunci ini tetap dapat diakses.

Contoh kapan Anda mungkin perlu melakukan rekey untuk Perlindungan Informasi Azure:

  • Anda telah bermigrasi dari Layanan Active Directory Rights Management (AD RMS) dengan kunci mode kriptografi 1. Setelah migrasi selesai, Anda ingin mengubah menggunakan kunci yang menggunakan mode kriptografi 2.

  • Perusahaan Anda telah dibagi menjadi dua perusahaan atau lebih. Saat Anda memberi kunci penyewa, perusahaan baru tidak akan memiliki akses ke konten baru yang diterbitkan karyawan Anda. Mereka dapat mengakses konten lama jika mereka memiliki salinan kunci penyewa lama.

  • Anda ingin berpindah dari satu topologi manajemen kunci ke topologi lainnya.

  • Anda yakin salinan utama kunci penyewa Anda disusupi.

Untuk kunci ulang, Anda dapat memilih kunci yang dikelola Microsoft yang berbeda untuk menjadi kunci penyewa Anda, tetapi Anda tidak dapat membuat kunci baru yang dikelola Microsoft. Untuk membuat kunci baru, Anda harus mengubah topologi kunci Anda menjadi dikelola pelanggan (BYOK).

Anda memiliki lebih dari satu kunci yang dikelola Microsoft jika Anda bermigrasi dari Layanan Active Directory Rights Management (AD RMS) dan memilih topologi kunci yang dikelola Microsoft untuk Perlindungan Informasi Azure. Dalam skenario ini, Anda memiliki setidaknya dua kunci yang dikelola Microsoft untuk penyewa Anda. Satu kunci, atau lebih, adalah kunci atau kunci yang Anda impor dari AD RMS. Anda juga akan memiliki kunci default yang dibuat secara otomatis untuk penyewa Perlindungan Informasi Azure Anda.

Untuk memilih kunci yang berbeda untuk menjadi kunci penyewa aktif Anda untuk Perlindungan Informasi Azure, gunakan cmdlet Set-AipServiceKeyProperties dari modul AIPService. Untuk membantu Anda mengidentifikasi kunci mana yang akan digunakan, gunakan cmdlet Get-AipServiceKeys . Anda dapat mengidentifikasi kunci default yang dibuat secara otomatis untuk penyewa Perlindungan Informasi Azure Anda dengan menjalankan perintah berikut:

(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1

Untuk mengubah topologi utama Anda menjadi dikelola pelanggan (BYOK), lihat Merencanakan dan menerapkan kunci penyewa Perlindungan Informasi Azure Anda.

Cadangkan dan pulihkan kunci penyewa Anda

Microsoft bertanggung jawab untuk mencadangkan kunci penyewa Anda dan tidak ada tindakan yang diperlukan dari Anda.

Mengekspor kunci penyewa Anda

Anda dapat mengekspor konfigurasi Azure Information Protection dan kunci penyewa dengan mengikuti instruksi dalam tiga langkah berikut:

Langkah 1: Memulai ekspor

  • Hubungi Dukungan Microsoft untuk membuka kasus dukungan Perlindungan Informasi Azure dengan permintaan ekspor kunci Perlindungan Informasi Azure. Anda harus membuktikan bahwa Anda adalah administrator Global untuk penyewa Anda, dan memahami bahwa proses ini membutuhkan waktu beberapa hari untuk mengonfirmasi. Biaya dukungan standar berlaku; mengekspor kunci penyewa Anda bukanlah layanan dukungan gratis.

Langkah 2: Tunggu verifikasi

  • Microsoft memverifikasi bahwa permintaan Anda untuk merilis kunci penyewa Perlindungan Informasi Azure Anda sah. Proses ini dapat memakan waktu hingga tiga minggu.

Langkah 3: Menerima instruksi kunci dari CSS

  • Microsoft Customer Support Services (CSS) mengirimkan konfigurasi Perlindungan Informasi Azure dan kunci penyewa yang dienkripsi dalam file yang dilindungi kata sandi. File ini memiliki ekstensi nama file .tpd . Untuk melakukan ini, CSS terlebih dahulu mengirimi Anda (sebagai orang yang memulai ekspor) alat melalui email. Anda harus menjalankan alat dari prompt perintah sebagai berikut:

    AadrmTpd.exe -createkey

    Ini menghasilkan pasangan kunci RSA dan menyimpan bagian publik dan privat sebagai file di folder saat ini. Misalnya: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt dan PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.

    Tanggapi email dari CSS, lampirkan file yang memiliki nama yang dimulai dengan PublicKey. CSS selanjutnya mengirimkan file TPD sebagai file .xml yang dienkripsi dengan kunci RSA Anda. Salin file ini ke folder yang sama saat Anda menjalankan alat AadrmTpd awalnya, dan jalankan alat lagi, menggunakan file Anda yang dimulai dengan PrivateKey dan file dari CSS. Contohnya:

    AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml

    Output perintah ini harus dua file: Satu berisi kata sandi teks biasa untuk TPD yang dilindungi kata sandi, dan yang lainnya adalah TPD yang dilindungi kata sandi itu sendiri. File memiliki GUID baru, misalnya:

    • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

    • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

      Cadangkan file-file ini dan simpan dengan aman untuk memastikan bahwa Anda dapat terus mendekripsi konten yang dilindungi dengan kunci penyewa ini. Selain itu, jika Anda bermigrasi ke AD RMS, Anda dapat mengimpor file TPD ini (file yang dimulai dengan ExportedTDP) ke server AD RMS Anda.

Langkah 4: Sedang Berlangsung: Lindungi kunci penyewa Anda

Setelah Anda menerima kunci penyewa, jaga keamanannya dengan baik, karena jika seseorang mendapatkan akses ke kunci tersebut, mereka dapat mendekripsi semua dokumen yang dilindungi dengan menggunakan kunci tersebut.

Jika alasan untuk mengekspor kunci penyewa Anda adalah karena Anda tidak lagi ingin menggunakan Perlindungan Informasi Azure, sebagai praktik terbaik, sekarang nonaktifkan layanan Manajemen Hak Azure dari penyewa Perlindungan Informasi Azure Anda. Jangan menunda melakukan ini setelah Anda menerima kunci penyewa Karena tindakan pencegahan ini membantu meminimalkan konsekuensi jika kunci penyewa Anda diakses oleh seseorang yang seharusnya tidak memilikinya. Untuk petunjuknya, lihat Menonaktifkan dan menonaktifkan Azure Rights Management.

Menanggapi pelanggaran

Tidak ada sistem keamanan, tidak peduli seberapa kuat, selesai tanpa proses respons pelanggaran. Kunci penyewa Anda mungkin disusupi atau dicuri. Bahkan ketika dilindungi dengan baik, kerentanan mungkin ditemukan dalam teknologi kunci generasi saat ini atau dalam panjang dan algoritma kunci saat ini.

Microsoft memiliki tim khusus untuk menanggapi insiden keamanan dalam produk dan layanannya. Segera setelah ada laporan kredibel dari suatu insiden, tim ini terlibat untuk menyelidiki cakupan, akar penyebab, dan mitigasi. Jika insiden ini memengaruhi aset Anda, Microsoft akan memberi tahu administrator Global untuk penyewa Anda melalui email.

Jika Anda memiliki pelanggaran, tindakan terbaik yang dapat Anda atau Microsoft ambil tergantung pada cakupan pelanggaran; Microsoft akan bekerja sama dengan Anda melalui proses ini. Tabel berikut menunjukkan beberapa situasi umum dan kemungkinan respons, meskipun respons yang tepat tergantung pada semua informasi yang terungkap selama penyelidikan.

Deskripsi insiden Kemungkinan respons
Kunci penyewa Anda bocor. Kunci penyewa Anda. Lihat bagian Kunci kunci penyewa Anda di artikel ini.
Individu atau malware yang tidak sah mendapat hak untuk menggunakan kunci penyewa Anda tetapi kunci itu sendiri tidak bocor. Kunci penyewa Anda tidak membantu di sini dan memerlukan analisis akar penyebab. Jika proses atau bug perangkat lunak bertanggung jawab atas individu yang tidak sah untuk mendapatkan akses, situasi tersebut harus diselesaikan.
Kerentanan yang ditemukan dalam algoritma RSA, atau panjang kunci, atau serangan brute-force menjadi layak secara komputasi. Microsoft harus memperbarui Perlindungan Informasi Azure untuk mendukung algoritma baru dan panjang kunci yang lebih panjang yang tangguh, dan menginstruksikan semua pelanggan untuk mengulang kunci penyewa mereka.