Delen via

Door de klant beheerd: levenscyclusbewerkingen van tenantsleutels

  • Artikel

Notitie

Zoekt u Microsoft Purview Informatiebeveiliging, voorheen Microsoft Information Protection (MIP)?

De Azure Information Protection-invoegtoepassing wordt buiten gebruik gesteld en vervangen door labels die zijn ingebouwd in uw Microsoft 365-apps en -services. Meer informatie over de ondersteuningsstatus van andere Azure Information Protection-onderdelen.

De Microsoft Purview Informatiebeveiliging-client (zonder de invoegtoepassing) is algemeen beschikbaar.

Als u uw tenantsleutel voor Azure Information Protection beheert (het BYOK-scenario of Bring Your Own Key), gebruikt u de volgende secties voor meer informatie over de levenscyclusbewerkingen die relevant zijn voor deze topologie.

Uw tenantsleutel intrekken

Er zijn zeer weinig scenario's waarin u uw sleutel mogelijk moet intrekken in plaats van opnieuw te versleutelen. Wanneer u uw sleutel intrekt, is alle inhoud die door uw tenant is beveiligd met die sleutel, niet toegankelijk voor iedereen (inclusief Microsoft, uw globale beheerders en supergebruikers) tenzij u een back-up van de sleutel hebt die u kunt herstellen. Nadat u de sleutel hebt ingebruikt, kunt u nieuwe inhoud pas beveiligen als u een nieuwe tenantsleutel voor Azure Information Protection maakt en configureert.

Als u de door de klant beheerde tenantsleutel wilt intrekken, wijzigt u in Azure Key Vault de machtigingen voor de sleutelkluis die uw Azure Information Protection-tenantsleutel bevat, zodat de Azure Rights Management-service geen toegang meer heeft tot de sleutel. Met deze actie wordt de tenantsleutel voor Azure Information Protection ingetrokken.

Wanneer u uw abonnement voor Azure Information Protection annuleert, stopt Azure Information Protection met het gebruik van uw tenantsleutel en hoeft u geen actie te ondernemen.

Uw tenantsleutel opnieuw versleutelen

Opnieuw versleutelen wordt ook wel het rollen van uw sleutel genoemd. Wanneer u deze bewerking uitvoert, wordt in Azure Information Protection de bestaande tenantsleutel niet meer gebruikt om documenten en e-mailberichten te beveiligen en wordt er een andere sleutel gebruikt. Beleid en sjablonen worden onmiddellijk ontslag genomen, maar deze overgang is geleidelijk voor bestaande clients en services met behulp van Azure Information Protection. Sommige nieuwe inhoud blijft dus enige tijd beveiligd met de oude tenantsleutel.

Als u opnieuw wilt versleutelen, moet u het tenantsleutelobject configureren en de alternatieve sleutel opgeven die moet worden gebruikt. Vervolgens wordt de eerder gebruikte sleutel automatisch gemarkeerd als gearchiveerd voor Azure Information Protection. Deze configuratie zorgt ervoor dat inhoud die met deze sleutel is beveiligd, toegankelijk blijft.

Voorbeelden van wanneer u mogelijk opnieuw moet versleutelen voor Azure Information Protection:

  • Uw bedrijf is gesplitst in twee of meer bedrijven. Wanneer u uw tenantsleutel opnieuw versleutelt, heeft het nieuwe bedrijf geen toegang tot nieuwe inhoud die uw werknemers publiceren. Ze hebben toegang tot de oude inhoud als ze een kopie van de oude tenantsleutel hebben.

  • U wilt overstappen van de ene sleutelbeheertopologie naar de andere.

  • U denkt dat de hoofdkopie van uw tenantsleutel (de kopie in uw bezit) is aangetast.

Als u opnieuw wilt versleutelen naar een andere sleutel die u beheert, kunt u een nieuwe sleutel maken in Azure Key Vault of een andere sleutel gebruiken die zich al in Azure Key Vault bevindt. Volg vervolgens dezelfde procedures als voor het implementeren van BYOK voor Azure Information Protection.

  1. Alleen als de nieuwe sleutel zich in een andere sleutelkluis bevindt dan de sleutel die u al gebruikt voor Azure Information Protection: Geef Azure Information Protection toestemming om de sleutelkluis te gebruiken met behulp van de cmdlet Set-AzKeyVaultAccessPolicy .

  2. Als Azure Information Protection nog niet weet welke sleutel u wilt gebruiken, voert u de cmdlet Use-AipServiceKeyVaultKey uit.

  3. Configureer het tenantsleutelobject met behulp van de cmdlet Set-AipServiceKeyProperties .

Voor meer informatie over elk van deze stappen:

Een back-up maken van uw tenantsleutel en deze herstellen

Omdat u uw tenantsleutel beheert, bent u verantwoordelijk voor het maken van een back-up van de sleutel die Azure Information Protection gebruikt.

Als u uw tenantsleutel on-premises hebt gegenereerd, gaat u naar een nCipher HSM: Als u een back-up van de sleutel wilt maken, maakt u een back-up van het tokenized sleutelbestand, het wereldbestand en de beheerderskaarten. Wanneer u uw sleutel overdraagt naar Azure Key Vault, slaat de service het tokenized sleutelbestand op om te beschermen tegen fouten in serviceknooppunten. Dit bestand is gebonden aan de beveiligingswereld voor de specifieke Azure-regio of -instantie. Beschouw dit tokenized sleutelbestand echter niet als een volledige back-up. Als u bijvoorbeeld ooit een kopie met tekst zonder opmaak van uw sleutel nodig hebt voor gebruik buiten een nCipher HSM, kan Azure Key Vault deze niet voor u ophalen, omdat deze alleen een niet-herstelbare kopie heeft.

Azure Key Vault heeft een back-up-cmdlet die u kunt gebruiken om een back-up van een sleutel te maken door deze te downloaden en op te slaan in een bestand. Omdat de gedownloade inhoud is versleuteld, kan deze niet worden gebruikt buiten Azure Key Vault.

Uw tenantsleutel exporteren

Als u BYOK gebruikt, kunt u uw tenantsleutel niet exporteren uit Azure Key Vault of Azure Information Protection. De kopie in Azure Key Vault kan niet worden hersteld.

Reageren op een schending

Geen beveiligingssysteem, ongeacht hoe sterk, is voltooid zonder een inbreukreactieproces. Uw tenantsleutel kan worden aangetast of gestolen. Zelfs als het goed is beveiligd, kunnen beveiligingsproblemen worden gevonden in de huidige generatiesleuteltechnologie of in de huidige sleutellengten en algoritmen.

Microsoft heeft een speciaal team om te reageren op beveiligingsincidenten in haar producten en services. Zodra er een geloofwaardig rapport van een incident is, neemt dit team contact op met het onderzoeken van het bereik, de hoofdoorzaak en de oplossingen. Als dit incident van invloed is op uw assets, meldt Microsoft uw globale tenantbeheerders per e-mail.

Als u een inbreuk hebt, is de beste actie die u of Microsoft kunt ondernemen, afhankelijk van het bereik van de inbreuk; Microsoft werkt met u samen met dit proces. In de volgende tabel ziet u enkele typische situaties en de waarschijnlijke reactie, hoewel de exacte reactie afhankelijk is van alle informatie die tijdens het onderzoek wordt onthuld.

Beschrijving van incident Waarschijnlijke reactie
Uw tenantsleutel is gelekt. Uw tenantsleutel opnieuw versleutelen. Zie Uw tenantsleutel opnieuw versleutelen.
Een onbevoegd persoon of malware heeft rechten om uw tenantsleutel te gebruiken, maar de sleutel zelf lekte niet. Het opnieuw versleutelen van uw tenantsleutel helpt hier niet en vereist een hoofdoorzaakanalyse. Als een proces- of softwarefout verantwoordelijk was voor de onbevoegde persoon om toegang te krijgen, moet die situatie worden opgelost.
Beveiligingsprobleem gedetecteerd in de HSM-technologie van de huidige generatie. Microsoft moet de HSM's bijwerken. Als er reden is om te geloven dat het beveiligingsprobleem sleutels bevat, geeft Microsoft alle klanten opdracht om hun tenantsleutels opnieuw te versleutelen.
Beveiligingsproblemen die zijn gedetecteerd in het RSA-algoritme, de sleutellengte of beveiligingsaanvallen, worden rekenkundig haalbaar. Microsoft moet Azure Key Vault of Azure Information Protection bijwerken om nieuwe algoritmen en langere sleutellengten te ondersteunen die tolerant zijn en alle klanten opdracht geven om hun tenantsleutel opnieuw in te stellen.