Müşteri tarafından yönetilen: Kiracı anahtarı yaşam döngüsü işlemleri
Not
Eski adı Microsoft Information Protection (MIP) olan Microsoft Purview Bilgi Koruması mi arıyorsunuz?
Azure Information Protection eklentisi kullanımdan kaldırılır ve microsoft 365 uygulama ve hizmetlerinizde yerleşik olarak bulunan etiketlerle değiştirilir. Diğer Azure Information Protection bileşenlerinin destek durumu hakkında daha fazla bilgi edinin.
Yeni Microsoft Information Protection istemcisi (eklenti olmadan) şu anda önizleme aşamasındadır ve genel kullanılabilirlik için zamanlanmıştır.
Azure Information Protection için kiracı anahtarınızı yönetiyorsanız (kendi anahtarını getir veya KAG senaryosu), bu topolojiyle ilgili yaşam döngüsü işlemleri hakkında daha fazla bilgi için aşağıdaki bölümleri kullanın.
Kiracı anahtarınızı iptal etme
Anahtarınızı yeniden anahtarlama yerine iptal etmeniz gerekebilecek çok az senaryo vardır. Anahtarınızı iptal ettiğinizde, geri yükleyebileceğiniz anahtarın yedeğine sahip olmadığınız sürece, kiracınız tarafından bu anahtarı kullanan tüm içeriğe (Microsoft, genel yöneticileriniz ve süper kullanıcılar dahil) erişilemez hale gelir. Anahtarınızı iptal ettikten sonra, Azure Information Protection için yeni bir kiracı anahtarı oluşturup yapılandırana kadar yeni içeriği koruyamazsınız.
Müşteri tarafından yönetilen kiracı anahtarınızı iptal etmek için Azure Key Vault'ta Azure Information Protection kiracı anahtarınızı içeren anahtar kasası üzerindeki izinleri değiştirerek Azure Rights Management hizmetinin anahtara artık erişememesi için bu anahtarı kullanın. Bu eylem, Azure Information Protection için kiracı anahtarını etkili bir şekilde iptal eder.
Azure Information Protection aboneliğinizi iptal ettiğinizde, Azure Information Protection kiracı anahtarınızı kullanmayı durdurur ve hiçbir işlem yapmanız gerekmez.
Kiracı anahtarınızı yeniden anahtarla
Yeniden anahtarlama, anahtarınızı döndürme olarak da bilinir. Bu işlemi yaptığınızda, Azure Information Protection belgeleri ve e-postaları korumak için mevcut kiracı anahtarını kullanmayı durdurur ve farklı bir anahtar kullanmaya başlar. İlkeler ve şablonlar hemen iptal edilir, ancak bu değişiklik Azure Information Protection kullanan mevcut istemciler ve hizmetler için aşamalı olarak gerçekleştirilir. Bu nedenle bir süre için bazı yeni içerikler eski kiracı anahtarıyla korunmaya devam eder.
Yeniden anahtar kullanmak için kiracı anahtarı nesnesini yapılandırmanız ve kullanılacak alternatif anahtarı belirtmeniz gerekir. Ardından, daha önce kullanılan anahtar otomatik olarak Azure Information Protection için arşivlendi olarak işaretlenir. Bu yapılandırma, bu anahtar kullanılarak korunan içeriğin erişilebilir kalmasını sağlar.
Azure Information Protection için yeniden anahtar oluşturmanız gerekebilecek örnekler:
Şirketiniz iki veya daha fazla şirkete ayrılmıştır. Kiracı anahtarınızı yeniden açtığınızda, yeni şirketin çalışanlarınızın yayımladığı yeni içeriğe erişimi olmaz. Eski kiracı anahtarının bir kopyasına sahiplerse eski içeriğe erişebilirler.
Bir anahtar yönetimi topolojisinden diğerine geçmek istiyorsunuz.
Kiracı anahtarınızın ana kopyasının (elinizdeki kopya) tehlikeye girdiğini düşünüyorsunuz.
Yönettiğiniz başka bir anahtara yeniden anahtar eklemek için Azure Key Vault'ta yeni bir anahtar oluşturabilir veya zaten Azure Key Vault'ta olan farklı bir anahtarı kullanabilirsiniz. Ardından, Azure Information Protection için KAG'yi uygulamak için uyguladığınız yordamları izleyin.
Yalnızca yeni anahtar, Azure Information Protection için kullanmakta olduğunuz anahtar kasasından farklı bir anahtar kasasındaysa: Set-AzKeyVaultAccessPolicy cmdlet'ini kullanarak Azure Information Protection'a anahtar kasasını kullanma yetkisi verin.
Azure Information Protection kullanmak istediğiniz anahtarı zaten bilmiyorsa Use-AipServiceKeyVaultKey cmdlet'ini çalıştırın.
Set-AipServiceKeyProperties cmdlet'ini kullanarak kiracı anahtarı nesnesini yapılandırın.
Bu adımların her biri hakkında daha fazla bilgi için:
Yönettiğiniz başka bir anahtara yeniden anahtar eklemek için bkz . Azure Information Protection kiracı anahtarınızı planlama ve uygulama.
Şirket içinde oluşturduğunuz ve Key Vault'a aktardığınız HSM korumalı bir anahtarı yeniden anahtarlamanız durumunda, geçerli anahtarınız için kullandığınız güvenlik dünyasını ve erişim kartlarını kullanabilirsiniz.
Yeniden anahtar oluşturmak için, Microsoft'un sizin için yönettiği bir anahtara geçmek için, Microsoft tarafından yönetilen işlemler için Kiracı anahtarınızı yeniden anahtarla bölümüne bakın.
Kiracı anahtarınızı yedekleme ve kurtarma
Kiracı anahtarınızı yönettiğiniz için Azure Information Protection'ın kullandığı anahtarı yedeklemek sizin sorumluluğunuzdadır.
Kiracı anahtarınızı şirket içinde oluşturduysanız, nCipher HSM'de: Anahtarı yedeklemek için belirteçli anahtar dosyasını, dünya dosyasını ve yönetici kartlarını yedekleyin. Anahtarınızı Azure Key Vault'a aktardığınızda hizmet, belirteçli anahtar dosyasını kaydederek hizmet düğümlerinin hatalarına karşı koruma sağlar. Bu dosya, belirli Azure bölgesi veya örneği için güvenlik dünyasına bağlıdır. Ancak, bu belirteçli anahtar dosyasını tam yedekleme olarak kabul etmeyin. Örneğin, nCipher HSM dışında kullanmak için anahtarınızın düz metin kopyasına ihtiyacınız olursa, Azure Key Vault yalnızca kurtarılamayan bir kopyası olduğundan anahtarı sizin için alamaz.
Azure Key Vault'ta bir anahtarı indirip bir dosyada depolayarak yedeklemek için kullanabileceğiniz bir yedekleme cmdlet'i vardır. İndirilen içerik şifrelendiğinden Azure Key Vault dışında kullanılamaz.
Kiracı anahtarınızı dışarı aktarma
KAG kullanıyorsanız, kiracı anahtarınızı Azure Key Vault'tan veya Azure Information Protection'dan dışarı aktaramazsınız. Azure Key Vault'taki kopya kurtarılamaz.
İhlale yanıt verme
Güvenlik sistemi, ne kadar güçlü olursa olsun, bir ihlale yanıt süreci olmadan tamamlanmaz. Kiracı anahtarınız tehlikeye girmiş veya çalınmış olabilir. İyi korunsa bile, güvenlik açıkları geçerli nesil anahtar teknolojisinde veya geçerli anahtar uzunluklarında ve algoritmalarında bulunabilir.
Microsoft' un ürün ve hizmetlerindeki güvenlik olaylarına yanıt vermek için özel bir ekibi vardır. Bir olayın güvenilir bir raporu olduğunda, bu ekip kapsamı, kök nedeni ve risk azaltmaları araştırmak için devreye girer. Bu olay varlıklarınızı etkiliyorsa, Microsoft kiracınızın Genel yöneticilerine e-posta ile bildirir.
Bir ihlaliniz varsa, sizin veya Microsoft'un gerçekleştirebileceği en iyi eylem ihlalin kapsamına bağlıdır; Microsoft bu işlem boyunca sizinle birlikte çalışacaktır. Aşağıdaki tabloda bazı tipik durumlar ve olası yanıt gösterilmektedir, ancak tam yanıt araştırma sırasında ortaya çıkar olan tüm bilgilere bağlıdır.
| Olay açıklaması | Olası yanıt |
|---|---|
| Kiracı anahtarınız sızdırıldı. | Kiracı anahtarınızı yeniden anahtarla. Bkz . Kiracı anahtarınızı yeniden oluşturma. |
| Yetkisiz bir kişi veya kötü amaçlı yazılım kiracı anahtarınızı kullanma haklarına sahip ancak anahtarın kendisi sızıntı yapmadı. | Kiracı anahtarınızın yeniden anahtarlanması burada yardımcı olmaz ve kök neden analizi gerektirir. Yetkisiz kişinin erişim elde etmesi bir süreç veya yazılım hatasından sorumluysa, bu durumun çözülmesi gerekir. |
| Geçerli nesil HSM teknolojisinde güvenlik açığı bulundu. | Microsoft'un HSM'leri güncelleştirmesi gerekir. Güvenlik açığının anahtarları kullanıma sunduğuna inanmak için bir neden varsa, Microsoft tüm müşterilere kiracı anahtarlarını yeniden oluşturmalarını ister. |
| RSA algoritmasında bulunan güvenlik açığı, anahtar uzunluğu veya deneme yanılma saldırıları hesaplama açısından uygulanabilir hale gelir. | Microsoft'un yeni algoritmaları ve dayanıklı olan daha uzun anahtar uzunluklarını desteklemek için Azure Key Vault'u veya Azure Information Protection'ı güncelleştirmesi ve tüm müşterilere kiracı anahtarlarını yeniden kullanmalarını istemesi gerekir. |
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin