Microsoft tarafından yönetilen: Kiracı anahtarı yaşam döngüsü işlemleri
Not
Eski adı Microsoft Information Protection (MIP) olan Microsoft Purview Bilgi Koruması mi arıyorsunuz?
Azure Information Protection eklentisi kullanımdan kaldırılır ve microsoft 365 uygulama ve hizmetlerinizde yerleşik olarak bulunan etiketlerle değiştirilir. Diğer Azure Information Protection bileşenlerinin destek durumu hakkında daha fazla bilgi edinin.
Yeni Microsoft Purview Bilgi Koruması istemcisi (eklenti olmadan) şu anda önizleme aşamasındadır ve genel kullanılabilirlik için zamanlanmıştır.
Microsoft, Azure Information Protection için kiracı anahtarınızı yönetiyorsa (varsayılan), bu topolojiyle ilgili yaşam döngüsü işlemleri hakkında daha fazla bilgi için aşağıdaki bölümleri kullanın.
Kiracı anahtarınızı iptal etme
Azure Information Protection aboneliğinizi iptal ettiğinizde, Azure Information Protection kiracı anahtarınızı kullanmayı durdurur ve hiçbir işlem yapmanız gerekmez.
Kiracı anahtarınızı yeniden anahtarla
Yeniden anahtarlama, anahtarınızı döndürme olarak da bilinir. Bu işlemi yaptığınızda, Azure Information Protection belgeleri ve e-postaları korumak için mevcut kiracı anahtarını kullanmayı durdurur ve farklı bir anahtar kullanmaya başlar. İlkeler ve şablonlar hemen iptal edilir, ancak bu değişiklik Azure Information Protection kullanan mevcut istemciler ve hizmetler için aşamalı olarak gerçekleştirilir. Bu nedenle bir süre için bazı yeni içerikler eski kiracı anahtarıyla korunmaya devam eder.
Yeniden anahtar kullanmak için kiracı anahtarı nesnesini yapılandırmanız ve kullanılacak alternatif anahtarı belirtmeniz gerekir. Ardından, daha önce kullanılan anahtar otomatik olarak Azure Information Protection için arşivlendi olarak işaretlenir. Bu yapılandırma, bu anahtar kullanılarak korunan içeriğin erişilebilir kalmasını sağlar.
Azure Information Protection için yeniden anahtar oluşturmanız gerekebilecek örnekler:
Active Directory Rights Management Services'ten (AD RMS) şifreleme modu 1 anahtarıyla geçiş yapmışsınız. Geçiş tamamlandığında, şifreleme modu 2 kullanan bir anahtar kullanmaya geçmek istersiniz.
Şirketiniz iki veya daha fazla şirkete ayrılmıştır. Kiracı anahtarınızı yeniden açtığınızda, yeni şirketin çalışanlarınızın yayımladığı yeni içeriğe erişimi olmaz. Eski kiracı anahtarının bir kopyasına sahiplerse eski içeriğe erişebilirler.
Bir anahtar yönetimi topolojisinden diğerine geçmek istiyorsunuz.
Kiracı anahtarınızın ana kopyasının gizliliğinin ihlal olduğuna inanıyorsunuz.
Yeniden anahtar oluşturmak için, kiracı anahtarınız olmak için farklı bir Microsoft tarafından yönetilen anahtar seçebilirsiniz, ancak yeni bir Microsoft tarafından yönetilen anahtar oluşturamazsınız. Yeni bir anahtar oluşturmak için anahtar topolojinizi müşteri tarafından yönetilen (KAG) olacak şekilde değiştirmeniz gerekir.
Active Directory Rights Management Services'ten (AD RMS) geçiş yapıp Azure Information Protection için Microsoft tarafından yönetilen anahtar topolojisini seçtiyseniz birden fazla Microsoft tarafından yönetilen anahtarınız vardır. Bu senaryoda, kiracınız için Microsoft tarafından yönetilen en az iki anahtarınız vardır. Bir veya daha fazla anahtar, AD RMS'den içeri aktardığınız anahtar veya anahtardır. Ayrıca Azure Information Protection kiracınız için otomatik olarak oluşturulan varsayılan anahtara da sahip olursunuz.
Azure Information Protection için etkin kiracı anahtarınız olacak farklı bir anahtar seçmek için AIPService modülündeki Set-AipServiceKeyProperties cmdlet'ini kullanın. Hangi anahtarı kullanacağınızı belirlemenize yardımcı olması için Get-AipServiceKeys cmdlet'ini kullanın. Aşağıdaki komutu çalıştırarak Azure Information Protection kiracınız için otomatik olarak oluşturulan varsayılan anahtarı belirleyebilirsiniz:
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
Anahtar topolojinizi müşteri tarafından yönetilen (BYOK) olacak şekilde değiştirmek için bkz . Azure Information Protection kiracı anahtarınızı planlama ve uygulama.
Kiracı anahtarınızı yedekleme ve kurtarma
Kiracı anahtarınızı yedeklemek Microsoft'un sorumluluğundadır ve sizden herhangi bir işlem yapmanız gerekmez.
Kiracı anahtarınızı dışarı aktarma
Aşağıdaki üç adımda verilen yönergeleri izleyerek Azure Information Protection yapılandırmanızı ve kiracı anahtarınızı dışarı aktarabilirsiniz:
1. Adım: Dışarı aktarmayı başlatma
- Azure Information Protection anahtarı dışarı aktarma isteği içeren bir Azure Information Protection destek olayı açmak için Microsoft Desteği başvurun. Kiracınız için Genel yönetici olduğunuzu kanıtlamanız ve bu işlemin onaylanmasının birkaç gün sürdüğünü anlamanız gerekir. Standart destek ücretleri uygulanır; kiracı anahtarınızı dışarı aktarmak ücretsiz bir destek hizmeti değildir.
2. Adım: Doğrulamayı bekleyin
- Microsoft, Azure Information Protection kiracı anahtarınızı yayınlama isteğinizin geçerli olduğunu doğrular. Bu işlem üç haftaya kadar sürebilir.
3. Adım: CSS'den önemli yönergeleri alma
Microsoft Müşteri Destek Hizmetleri (CSS), Azure Information Protection yapılandırmanızı ve kiracı anahtarınızı parola korumalı bir dosyada şifrelenmiş olarak gönderir. Bu dosya bir .tpd dosya adı uzantısına sahiptir. Bunu yapmak için CSS önce size (dışarı aktarmayı başlatan kişi olarak) e-postayla bir araç gönderir. Aracı aşağıdaki gibi bir komut isteminden çalıştırmanız gerekir:
AadrmTpd.exe -createkeyBu bir RSA anahtar çifti oluşturur ve ortak ve özel yarıları geçerli klasöre dosya olarak kaydeder. Örneğin: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt ve PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.
CsS'den gelen e-postayı yanıtlayarak PublicKey ile başlayan bir ada sahip dosyayı ekleyin. CSS daha sonra size RSA anahtarınız ile şifrelenmiş bir .xml dosyası olarak bir TPD dosyası gönderir. Bu dosyayı özgün olarak AadrmTpd aracını çalıştırdığınız klasöre kopyalayın ve PrivateKey ile başlayan dosyanızı ve CSS'den dosyayı kullanarak aracı yeniden çalıştırın. Örneğin:
AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xmlBu komutun çıkışı iki dosya olmalıdır: Biri parola korumalı TPD'nin düz metin parolasını içerir ve diğeri parola korumalı TPD'nin kendisidir. Dosyaların yeni bir GUID'i vardır, örneğin:
Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt
ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml
Bu dosyaları yedekleyin ve güvenli bir şekilde depolayarak bu kiracı anahtarıyla korunan içeriğin şifresini çözmeye devam edebilirsiniz. Ayrıca, AD RMS'ye geçiriyorsanız, bu TPD dosyasını (ExportedTDP ile başlayan dosya) AD RMS sunucunuza aktarabilirsiniz.
4. Adım: Devam Ediyor: Kiracı anahtarınızı koruma
Kiracı anahtarınızı aldıktan sonra, bu anahtarı iyi koruyun, çünkü birisi bu anahtara erişirse, o anahtarı kullanarak korunan tüm belgelerin şifresini çözebilir.
Kiracı anahtarınızı dışarı aktarmanızın nedeni artık Azure Information Protection'ı kullanmak istememekse, en iyi yöntem olarak Azure Information Protection kiracınızdan Azure Rights Management hizmetini devre dışı bırakın. Kiracı anahtarınızı aldıktan sonra bunu yapmayı geciktirmeyin çünkü bu önlem, kiracı anahtarınıza sahip olmaması gereken biri tarafından erişilmesi durumunda sonuçları en aza indirmeye yardımcı olur. Yönergeler için bkz . Azure Rights Management'ın yetkisini alma ve devre dışı bırakma.
İhlale yanıt verme
Güvenlik sistemi, ne kadar güçlü olursa olsun, bir ihlale yanıt süreci olmadan tamamlanmaz. Kiracı anahtarınız tehlikeye girmiş veya çalınmış olabilir. İyi korunsa bile, güvenlik açıkları geçerli nesil anahtar teknolojisinde veya geçerli anahtar uzunluklarında ve algoritmalarında bulunabilir.
Microsoft' un ürün ve hizmetlerindeki güvenlik olaylarına yanıt vermek için özel bir ekibi vardır. Bir olayın güvenilir bir raporu olduğunda, bu ekip kapsamı, kök nedeni ve risk azaltmaları araştırmak için devreye girer. Bu olay varlıklarınızı etkilerse, Microsoft kiracınız için Genel yöneticileri e-postayla bilgilendirir.
Bir ihlaliniz varsa, sizin veya Microsoft'un gerçekleştirebileceği en iyi eylem ihlalin kapsamına bağlıdır; Microsoft bu işlem boyunca sizinle birlikte çalışacaktır. Aşağıdaki tabloda bazı tipik durumlar ve olası yanıt gösterilmektedir, ancak tam yanıt araştırma sırasında ortaya çıkar olan tüm bilgilere bağlıdır.
| Olay açıklaması | Olası yanıt |
|---|---|
| Kiracı anahtarınız sızdırıldı. | Kiracı anahtarınızı yeniden anahtarla. Bu makaledeki Kiracı anahtarınızı yeniden anahtarla bölümüne bakın. |
| Yetkisiz bir kişi veya kötü amaçlı yazılım kiracı anahtarınızı kullanma haklarına sahip ancak anahtarın kendisi sızıntı yapmadı. | Kiracı anahtarınızın yeniden anahtarlanması burada yardımcı olmaz ve kök neden analizi gerektirir. Yetkisiz kişinin erişim elde etmesi bir süreç veya yazılım hatasından sorumluysa, bu durumun çözülmesi gerekir. |
| RSA algoritmasında bulunan güvenlik açığı, anahtar uzunluğu veya deneme yanılma saldırıları hesaplama açısından uygulanabilir hale gelir. | Microsoft'un, dayanıklı yeni algoritmaları ve daha uzun anahtar uzunluklarını desteklemek için Azure Information Protection'ı güncelleştirmesi ve tüm müşterilere kiracı anahtarlarını yeniden kullanmalarını istemesi gerekir. |
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin