Operazioni del ciclo di vita della chiave del tenant gestite dal cliente

Nota

Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?

Il client di etichettatura unificata di Azure Information Protection è ora in modalità di manutenzione. È consigliabile usare etichette predefinite per le app e i servizi Office 365. Ulteriori informazioni

Se la chiave del tenant per Azure Information Protection viene gestita dall'utente (scenario "bring your own key" o BYOK), usare le sezioni seguenti per ottenere altre informazioni sulle operazioni del ciclo di vita rilevanti per questa topologia.

Revocare la chiave del tenant

Esistono pochissimi scenari in cui potrebbe essere necessario revocare la chiave invece di reimpostare la chiave. Quando si revoca la chiave, tutto il contenuto protetto dal tenant usando tale chiave diventerà inaccessibile a tutti (inclusi Microsoft, gli amministratori globali e gli utenti con privilegi avanzati), a meno che non si disponga di un backup della chiave che è possibile ripristinare. Dopo aver revocato la chiave, non sarà possibile proteggere il nuovo contenuto fino a quando non si crea e si configura una nuova chiave del tenant per Azure Information Protection.

Per revocare la chiave del tenant gestita dal cliente, in Azure Key Vault modificare le autorizzazioni nell'insieme di credenziali delle chiavi che contiene la chiave del tenant di Azure Information Protection in modo che il servizio Azure Rights Management non possa più accedere alla chiave. Questa azione revoca in modo efficace la chiave del tenant per Azure Information Protection.

Quando si annulla la sottoscrizione di Azure Information Protection, l'uso della chiave del tenant in Azure Information Protection viene interrotto e non è necessaria alcuna azione da parte dell'utente.

Reimpostare la chiave del tenant

Il processo di reimpostazione della chiave è noto anche come rollover della chiave. Quando si esegue questa operazione, Azure Information Protection interrompe l'uso della chiave del tenant esistente per proteggere documenti e messaggi di posta elettronica e inizia a usare una chiave diversa. I criteri e i modelli vengono subito abbandonati, ma questo passaggio è comunque graduale per i client e i servizi esistenti che usano Azure Information Protection. Ciò significa che, per un certo periodo di tempo, parte del nuovo contenuto continua a essere protetta tramite la chiave del tenant precedente.

Per reimpostare la chiave, è necessario configurare l'oggetto della chiave del tenant e specificare la chiave alternativa da usare. La chiave usata in precedenza viene quindi contrassegnata automaticamente come archiviata per Azure Information Protection. Questa configurazione assicura che il contenuto protetto tramite questa chiave rimanga accessibile.

Ecco alcuni casi in cui potrebbe essere necessario reimpostare una chiave per Azure Information Protection:

  • La società è stata divisa in due o più società. Quando si reimposta la chiave del tenant, la nuova società non potrà accedere al nuovo contenuto pubblicato dai dipendenti e sarà in grado di accedere al vecchio contenuto se dispone di una copia della chiave del tenant precedente.

  • Si vuole passare da una topologia di gestione delle chiavi a un'altra.

  • Si sospetta una violazione della copia master della chiave del tenant in possesso dell'utente.

Per reimpostare la chiave su un'altra chiave gestita, è possibile creare una nuova chiave in Azure Key Vault o usarne una già presente in Azure Key Vault. Seguire quindi le stesse procedure usate per implementare lo scenario BYOK per Azure Information Protection.

  1. Solo se la nuova chiave si trova in un insieme di credenziali delle chiavi diverso a quello già usato per Azure Information Protection: Autorizzare Azure Information Protection a usare l'insieme di credenziali delle chiavi usando il cmdlet Set-AzKeyVaultAccessPolicy.

  2. Se Azure Information Protection non conosce già la chiave da usare, eseguire il cmdlet Use-AipServiceKeyVaultKeyKey.

  3. Configurare l'oggetto chiave del tenant usando il cmdlet Set-AipServiceKeyProperties .

Per altre informazioni su ognuna di queste fasi:

Eseguire il backup e il ripristino della chiave del tenant

L'utente che gestisce la chiave del tenant è anche responsabile del backup della chiave usata da Azure Information Protection.

Se la chiave del tenant è stata generata in locale, in un modulo di protezione hardware nCipher: per eseguire il backup della chiave, eseguire il backup del file di chiave con token, il file globale e le schede di amministratore. Quando la chiave viene trasferita in Azure Key Vault, il servizio salva il file della chiave in formato token come protezione da eventuali errori dei nodi del servizio. Questo file è associato all'ambiente di sicurezza relativo all'area o all'istanza specifica di Azure. È tuttavia opportuno tenere presente che questo file di chiave in formato token non rappresenta un backup completo. Ad esempio, se è necessaria una copia di testo normale della chiave da usare all'esterno di un modulo di protezione hardware nCipher, Azure Key Vault non è in grado di recuperarlo automaticamente, perché ha solo una copia non recuperabile.

Azure Key Vault contiene un cmdlet di backup. Scaricarlo e archiviarlo in un file per eseguire il backup di una chiave. Il contenuto scaricato è crittografato e può quindi essere usato solo in Azure Key Vault.

Esportare la chiave del tenant

In uno scenario BYOK non è possibile esportare la chiave del tenant da Azure Key Vault o da Azure Information Protection. La copia presente in Azure Key Vault non è recuperabile.

Rispondere a una violazione di sicurezza

Indipendentemente dall'affidabilità, nessun sistema di sicurezza può considerarsi completo se non prevede un processo di risposta alle violazioni di sicurezza. La chiave del tenant può essere violata o rubata e anche se è protetta in modo efficiente, potrebbero essere presenti vulnerabilità nella tecnologia attuale della chiave o nella lunghezza e negli algoritmi correlati alle chiavi attuali.

Microsoft ha predisposto un team apposito per rispondere agli eventi imprevisti correlati alla sicurezza che possono verificarsi nei suoi prodotti e servizi. Non appena riceve un report plausibile su un evento imprevisto, il team si attiva per esaminarne l'ambito, la causa radice e le soluzioni. Se questo evento imprevisto influisce sugli asset, Microsoft invia una notifica agli amministratori globali del tenant tramite posta elettronica.

In caso di violazione di sicurezza, l'azione più efficace che l'utente o Microsoft possa intraprendere dipende dall'ambito della violazione stessa. Microsoft collaborerà con l'utente durante l'intero processo. Nella tabella seguente vengono descritte alcune situazioni tipiche e la risposta più probabile, sebbene la risposta esatta dipenda da tutte le informazioni raccolte durante l'analisi.

Descrizione evento imprevisto Risposta probabile
Perdita della chiave del tenant. Reimpostare la chiave del tenant. Vedere Reimpostare la chiave del tenant.
Diritti di accesso alla chiave del tenant ottenuti da un utente non autorizzato o da malware, ma nessuna perdita della chiave. La reimpostazione della chiave del tenant non è sufficiente ed è necessaria un'analisi della causa radice. Se l'utente non autorizzato ha ottenuto l'accesso a causa di un bug del processo o del software, questo problema deve essere risolto.
Vulnerabilità scoperta nella tecnologia del moduli di protezione hardware di generazione corrente. Microsoft deve aggiornare i moduli di protezione hardware. Se si ritiene che la vulnerabilità abbia provocato l'esposizione di chiavi, Microsoft inviterà tutti i clienti a reimpostare le proprie chiavi del tenant.
Vulnerabilità scoperta nell'algoritmo RSA o nella lunghezza della chiave oppure attacchi di forza bruta diventati realizzabili a livello di calcolo. Microsoft deve aggiornare Azure Key Vault o Azure Information Protection per supportare nuovi algoritmi e lunghezze maggiori della chiave che siano resilienti e invitare tutti i clienti a reimpostare la propria chiave del tenant.