Microsoft tarafından yönetilen: Kiracı anahtarı yaşam döngüsü işlemleri

Not

eski adıyla Microsoft Bilgi Koruması (MIP) Microsoft Purview Bilgi Koruması mi arıyorsunuz?

Azure Information Protection birleşik etiketleme istemcisi artık bakım modundadır. Office 365 uygulamalarınızda ve hizmetlerinizde yerleşik olarak bulunan etiketleri kullanmanızı öneririz. Daha fazla bilgi edinin

Microsoft, Azure Information Protection için kiracı anahtarınızı yönetiyorsa (varsayılan), bu topolojiyle ilgili yaşam döngüsü işlemleri hakkında daha fazla bilgi için aşağıdaki bölümleri kullanın.

Kiracı anahtarınızı iptal etme

Azure Information Protection aboneliğinizi iptal ettiğinizde Azure Information Protection, kiracı anahtarınızı kullanmayı bırakır ve sizin bir işlem yapmanıza gerek kalmaz.

Kiracı anahtarınızı yeniden oluşturma

Anahtarı yeniden oluşturma, anahtarınızı çevirme olarak da bilinir. Bu işlemi yaptığınızda, Azure Information Protection belgeleri ve e-postaları korumak için mevcut kiracı anahtarını kullanmayı durdurur ve farklı bir anahtar kullanmaya başlar. İlkeler ve şablonlar hemen iptal edilir, ancak bu değişiklik Azure Information Protection kullanan mevcut istemciler ve hizmetler için aşamalı olarak gerçekleştirilir. Bu nedenle, bir süre için bazı yeni içerikler eski kiracı anahtarıyla korunmaya devam eder.

Yeniden anahtar eklemek için kiracı anahtarı nesnesini yapılandırmanız ve kullanılacak alternatif anahtarı belirtmeniz gerekir. Ardından, daha önce kullanılan anahtar Azure Information Protection için arşivlendi olarak otomatik olarak işaretlenir. Bu yapılandırma, bu anahtar kullanılarak korunan içeriğin erişilebilir kalmasını sağlar.

Azure Information Protection için yeniden anahtar oluşturmanız gerekebilecek örnekler:

  • Active Directory Rights Management Services'ten (AD RMS) şifreleme modu 1 anahtarıyla geçiş yapmışsınız. Geçiş tamamlandığında, şifreleme modu 2 kullanan bir anahtar kullanarak olarak değiştirmek istersiniz.

  • Şirketiniz iki veya daha fazla şirkete bölündü. Kiracı anahtarınızı yeniden oluşturduğunuzda yeni şirket, çalışanlarınızın yayımladığı yeni içeriğe erişemez. Eski kiracı anahtarının bir kopyasına sahipseler, eski içeriğe erişebilecekler.

  • Bir anahtar yönetimi topolojisinden diğerine geçmek istiyorsunuz.

  • Kiracı anahtarınızın ana kopyasının ele geçirildiğinden inanıyorsunuz.

Yeniden anahtar oluşturmak için, kiracı anahtarınız olmak için farklı bir Microsoft tarafından yönetilen anahtar seçebilirsiniz, ancak Microsoft tarafından yönetilen yeni bir anahtar oluşturamazsınız. Yeni bir anahtar oluşturmak için anahtar topolojinizi müşteri tarafından yönetilen (KAG) olacak şekilde değiştirmeniz gerekir.

Active Directory Rights Management Services'ten (AD RMS) geçiş yapıp Azure Information Protection için Microsoft tarafından yönetilen anahtar topolojisini seçtiyseniz birden fazla Microsoft tarafından yönetilen anahtarınız vardır. Bu senaryoda kiracınız için Microsoft tarafından yönetilen en az iki anahtarınız vardır. Bir veya daha fazla anahtar, AD RMS'den içeri aktardığınız anahtar veya anahtardır. Ayrıca Azure Information Protection kiracınız için otomatik olarak oluşturulan varsayılan anahtara da sahip olursunuz.

Azure Information Protection için etkin kiracı anahtarınız olacak farklı bir anahtar seçmek için AIPService modülündeki Set-AipServiceKeyProperties cmdlet'ini kullanın. Hangi anahtarı kullanacağınızı belirlemenize yardımcı olmak için Get-AipServiceKeys cmdlet'ini kullanın. Aşağıdaki komutu çalıştırarak Azure Information Protection kiracınız için otomatik olarak oluşturulan varsayılan anahtarı belirleyebilirsiniz:

(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1

Anahtar topolojinizi müşteri tarafından yönetilen (BYOK) olacak şekilde değiştirmek için bkz. Azure Information Protection kiracı anahtarınızı planlama ve uygulama.

Kiracı anahtarınızı yedekleme ve kurtarma

Microsoft, kiracı anahtarınızı yedeklemekten sorumludur ve sizden herhangi bir eylem gerekmez.

Kiracı anahtarınızı dışarı aktarma

Aşağıdaki üç adımda verilen yönergeleri izleyerek Azure Information Protection yapılandırmanızı ve kiracı anahtarınızı dışarı aktarabilirsiniz:

1. adım: Dışarı aktarmayı başlatma

  • Azure Information Protectionanahtarı dışarı aktarma isteğiyle bir Azure Information Protection destek olayı açmak için Microsoft Desteği başvurun. Kiracınız için bir Genel yönetici olduğunuzu kanıtlamanız ve bu işlemin onaylanmasının birkaç gün sürdüğünü anlamanız gerekir. Standart destek ücretleri uygulanır; kiracı anahtarınızın dışarı aktarılması, ücretsiz bir destek hizmeti değildir.

2. adım: Doğrulamayı bekleme

  • Microsoft, Information Protection kiracı anahtarınızı yayınlama isteğinizin meşru olduğunu doğrular. Bu işlem üç hafta kadar sürebilir.

3. adım: CSS’den kilit yönergeleri alma

  • Microsoft Müşteri Destek Hizmetleri (CSS); Azure Information Protection yapılandırmanızı ve kiracı anahtarınızı, parola korumalı bir dosyada şifrelenmiş şekilde size gönderir. Bu dosya, .tpd dosya adı uzantısına sahiptir. Bunu yapmak için, CSS önce size (dışarı aktarmayı başlatan kişi olarak) e-posta ile bir araç gönderir. Aracı aşağıdaki şekilde bir komut isteminden çalıştırmanız gerekir:

    AadrmTpd.exe -createkey
    

    Bu, bir RSA anahtar çifti oluşturur ve genel ile özel yarıları, geçerli klasörde dosyalar olarak kaydeder. Örneğin: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt ve PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.

    CSS’den gelen e-postayı, PublicKey ile başlayan ada sahip dosyayı iliştirerek yanıtlayın. CSS daha sonra size RSA anahtarınız ile şifrelenmiş bir .xml dosyası olarak bir TPD dosyası gönderir. Bu dosyayı, başlangıçta AadrmTpd aracını çalıştırdığınız klasöre kopyalayın ve aracı, PrivateKey ile başlayan dosyanızı ve CSS’den gelen dosyayı kullanarak yeniden çalıştırın. Örnek:

    AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
    

    Bu komutun çıktısı iki dosya olmalıdır: Biri parola korumalı TPD için düz metin parolayı içerir, diğeri ise parola korumalı TPD’nin kendisidir. Dosyaların yeni GUID’leri vardır, örneğin:

    • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

    • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

      Bu dosyaları yedekleyin ve bu kiracı anahtarıyla korunan içeriğin şifresini çözmeye devam edebilmek için dosyaları güvenli şekilde depolayın. Ek olarak, AD RMS’ye taşıyorsanız, bu TPD dosyasını (ExportedTDP ile başlayan dosya), AD RMS sunucunuza alabilirsiniz.

Adım 4: Devam eden: Kiracı anahtarınızı koruma

Kiracı anahtarınızı aldıktan sonra onu iyi korunmuş şekilde tutun, birileri ona erişim sağlarsa, o anahtarı kullanarak, korumalı tüm belgelerin şifresini çözebilir.

Kiracı anahtarınızı dışarı aktarmanızın nedeni Azure Information Protection’ı artık kullanmak istememenizse en iyi uygulama olarak Azure Information Protection kiracınızdan Azure Rights Management hizmetini devre dışı bırakın. Kiracı anahtarınızı aldıktan sonra bunu gecikmeden yapın. Çünkü bu önlem, kiracı anahtarınıza sahip olmaması gereken biri tarafından anahtara erişildiği durumda oluşacak zararı en aza indirmenize yardımcı olur. Yönergeler için bkz. Azure Rights Management’ın yetkisini alma ve Azure Rights Management’ı devre dışı bırakma.

İhlalde verilecek tepki

Ne kadar güçlü olsun hiçbir güvenlik sistemi, ihlal tepki süreci olmadan tam bir sistem olamaz. Kiracı anahtarınız riske atılabilir veya çalınabilir. İyi korunduğunda bile, güvenlik açıkları geçerli nesil anahtar teknolojisinde veya geçerli anahtar uzunluklarında ve algoritmalarında bulunabilir.

Microsoft, ürünleri ve hizmetlerindeki güvenlik olaylarına tepki vermek için özel bir ekibe sahiptir. Bir olayın güvenilir bir raporu mevcut olduğu anda, bu ekip, olay kapsamını, olayın temel nedenini ve olayı hafifletme durumlarını incelemek üzere devreye girer. Bu olay varlıklarınızı etkilerse, Microsoft kiracınız için Genel yöneticileri e-postayla bilgilendirir.

Bir ihlal varsa, siz veya Microsoft tarafından uygulanabilecek en iyi eylem, ihlal kapsamına bağlıdır; Microsoft, bu süreçte sizinle birlikte çalışır. Aşağıdaki tabloda, bazı tipik durumlar ve olası tepki gösterilmektedir. Ancak asıl tepki, inceleme sırasında ortaya çıkarılan tüm bilgilere bağlı olarak değişebilir.

Olay açıklaması Olası tepki
Kiracı anahtarınız sızmış. Kiracı anahtarınızı yeniden oluşturun. Bu makaledeki Kiracı anahtarınızı yeniden anahtarla bölümüne bakın.
Yetkisiz bir kişi veya kötü amaçlı yazılım, kiracı anahtarınızı kullanma haklarını elde etmiş ancak anahtar sızmamış. Bu durumda kiracı anahtarınızı yeniden oluşturmanız yardımcı olmaz, kök nedenin analiz edilmesi gerekir. Yetkisiz kişinin erişim elde etmesinden bir işlem veya yazılım hatası sorumluysa, o durum çözümlenmelidir.
RSA algoritmasında saptanan güvenlik açığı veya anahtar uzunluğu ya da kaba kuvvet saldırıları, bilgisayarlarda mümkündür. Microsoft'un azure Information Protection yeni algoritmaları ve dayanıklı olan daha uzun anahtar uzunluklarını destekleyecek şekilde güncelleştirmesi ve tüm müşterilere kiracı anahtarlarını yeniden oluşturmalarını istemesi gerekir.