Microsoft 管理:租用戶金鑰生命週期作業

注意

您是否正在尋找先前Microsoft 資訊保護 ( MIP) Microsoft Purview 資訊保護?

Azure 資訊保護統一標籤用戶端現在處於維護模式。 建議您使用內建在Office 365應用程式和服務的標籤。 瞭解更多資訊

如果 Microsoft 為您管理 Azure 資訊保護的租用戶金鑰 (預設),請參閱下列各節,以了解與此拓撲相關的生命週期作業詳細資訊。

撤銷租用戶金鑰

當您取消 Azure Information Protection 訂用帳戶時,Azure Information Protection 即會停止使用您的租用戶金鑰,您不必採取任何動作。

重設租用戶金鑰

重設金鑰又稱為輪換金鑰。 當您執行這項作業時,Azure 資訊保護會停止使用現有租用戶金鑰來保護文件和電子郵件,並開始使用不同的金鑰。 原則和範本會立刻放棄,但會對使用 Azure 資訊保護的現有用戶端及服務採取漸進式轉換。 因此,有些新內容會繼續以舊的租用戶金鑰保護一段時間。

若要重設金鑰,您必須設定租用戶金鑰目標,並指定要使用的替代金鑰。 然後,先前使用的金鑰都會為 Azure 資訊保護自動標記為封存。 此設定可確保使用此金鑰所保護的內容仍可存取。

可能會需要重設 Azure 資訊保護金鑰的例子如下:

  • 您已使用密碼編譯模式 1 金鑰從 Active Directory Rights Management Services (AD RMS) 移轉。 移轉完成後,您希望改為使用採用密碼編譯模式 2 的金鑰。

  • 您的公司分拆成兩家以上的公司。 當您重設租用戶金鑰時,新公司將無法存取您的員工所發佈的新內容。 只要他們有一份舊的租用戶金鑰,就可以存取舊的內容。

  • 您想要從某個金鑰管理拓撲移至另一個金鑰管理拓撲。

  • 您認為租用戶金鑰的主複本遭洩漏。

若要重設金鑰,可以選取 Microsoft 管理的其他金鑰成為您的租用戶金鑰,但無法建立 Microsoft 管理的新金鑰。 若要建立新的金鑰,您必須將金鑰拓撲變更為客戶管理 (BYOK)。

如果您從 Active Directory Rights Management Services (AD RMS) 移轉,您會有多個 Microsoft 管理的金鑰,並選擇在 Azure 資訊保護使用 Microsoft 管理的金鑰拓撲。 在此情節中,您至少有兩個 Microsoft 管理的金鑰供租用戶使用。 有一個 (或多個) 金鑰是您從 AD RMS 匯入的金鑰。 您也會有自動為您 Azure 資訊保護租用戶建立的預設金鑰。

若要選取其他金鑰作為 Azure 資訊保護的作用中租使用者金鑰,請使用AIPService 模組中的 Set-AipServiceKeyProperties Cmdlet。 若要協助您識別要使用的金鑰,請使用 Get-AipServiceKeys Cmdlet。 您可以執行下列命令來識別自動為您 Azure 資訊保護租用戶建立的預設金鑰:

(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1

若要將金鑰拓撲變更為由客戶管理 (BYOK) ,請參閱規劃和實作 Azure 資訊保護租使用者金鑰

備份和復原租用戶金鑰

Microsoft 會負責備份您的租用戶金鑰,您不必採取任何動作。

匯出租用戶金鑰

您可以遵循下列三個步驟的指示,匯出您的 Azure 資訊保護設定及租用戶金鑰:

步驟 1:起始匯出

  • 連絡 Microsoft 支援服務以開啟 Azure 資訊保護支援案例,並要求匯出 Azure 資訊保護金鑰。 您必須證明您是租使用者的全域管理員,並瞭解此程式需要數天才能確認。 需支付標準支援費用;匯出租用戶金鑰並非免費的支援服務。

步驟 2:等待驗證

  • Microsoft 會驗證您的 Azure Information Protection 租用戶金鑰發行要求是否合法。 此程序最多需要三週的時間。

步驟 3:從 CSS 取得金鑰指示

  • Microsoft 客戶支援服務 (CSS) 會將 Azure 資訊保護設定及租用戶金鑰加密於受密碼保護的檔案中,然後將它傳送給您。 此檔案的副檔名為 .tpd。 為了這樣做,CSS 會先透過電子郵件傳送工具給您 (也就是起始匯出的人)。 您必須從命令提示字元中執行此工具,如下所示:

    AadrmTpd.exe -createkey
    

    這樣會產生 RSA 金鑰組,並以檔案分成公開和私密兩部分,儲存在目前的資料夾中。 例如: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txtPrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt

    回覆 CSS 寄來的電子郵件,並附上檔名開頭為 PublicKey 的檔案。 之後,CSS 會以使用 RSA 金鑰加密的 .xml 檔案形式,傳送 TPD 檔案給您。 將這個檔案複製到您一開始執行 AadrmTpd 工具時的相同資料夾,並使用以 PrivateKey 開頭的檔案以及來自 CSS 的檔案,再次執行工具。 例如:

    AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
    

    此命令的輸出應該是兩個檔案:其中一個包含受密碼保護之 TPD 的純文字密碼,另一個是受密碼保護的 TPD 本身。 這些檔案會有新的 GUID,例如:

    • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

    • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

      請備份這些檔案並妥善保管,以確保您能夠繼續針對以此租用戶金鑰所保護的內容進行解密。 此外,如果是要移轉至 AD RMS,您可以將此 TPD 檔案 (以 ExportedTDP 開頭的檔案) 匯入到 AD RMS 伺服器。

步驟 4:繼續:保護租用戶金鑰

收到租用戶金鑰之後,請安全地保管,因為如果某人取得金鑰,他就可以將所有使用此金鑰保護的文件解密。

如果您是因為不想再使用 Azure Information Protection 而匯出租用戶金鑰,最佳做法是立即停用 Azure Information Protection 租用戶的 Azure Rights Management Service。 收到租用戶金鑰之後,請立即這樣做,切勿拖延,因為這項預防措施可將租用戶金鑰誤入他人之手的機率降到最低。 如需指示,請參閱 解除委任和停用 Azure Rights Management

漏洞應變

安全性系統不論多麼堅固,不可能完美到沒有任何漏洞應變程序。 租用戶金鑰可能已外洩或遭竊。 即使受到嚴密保護,最新一代的金鑰技術或目前的金鑰長度和演算法仍可能有弱點。

Microsoft 有專屬團隊負責對產品與服務中的安全性事件做出應變。 每當有可靠的報告指出有事件發生,此團隊就會立即介入來調查範圍、根本原因及防護措施。 如果此事件會影響您的資產,Microsoft 會透過電子郵件通知您租使用者的全域管理員。

如果發生漏洞,您或 Microsoft 可採取的最佳行動取決於漏洞的範圍;Microsoft 會與您一起完成此過程。 下表顯示一些常見的情況和可能的反應,但確切的反應取決於調查期間揭露的所有資訊。

事件描述 可能的反應
租用戶金鑰外洩。 重設租用戶金鑰。 請參閱本文中的 重設租使用者金鑰 一節。
未獲授權的人或惡意程式碼可能取得權限來使用您的租用戶金鑰,但金鑰本身並未外洩。 重設租用戶金鑰在此無濟於事,必須分析根本原因。 如果是程序或軟體的錯誤導致未獲授權的人取得存取權,則必須解決這種情況。
經由運算可找出 RSA 演算法、金鑰長度或暴力密碼破解攻擊的弱點。 Microsoft 必須更新 Azure 資訊保護,以支援更彈性的新演算法和更長的金鑰長度,並指示所有客戶重設其租用戶金鑰。