共用方式為

Microsoft 管理:租用戶金鑰生命週期作業

  • 發行項

注意

您要尋找 Microsoft Purview 資訊保護,前身為 Microsoft 資訊保護 (MIP)?

Azure 資訊保護 載入宏已淘汰,並以 Microsoft 365 應用程式和服務內建的標籤取代。 深入瞭解其他 Azure 資訊保護元件的支持狀態。

Microsoft Purview 資訊保護 用戶端(不含載入宏)已正式推出

如果 Microsoft 管理 Azure 租使用者金鑰 資訊保護 (預設值),請使用下列各節,以取得與此拓撲相關的生命週期作業詳細資訊。

撤銷您的租用戶金鑰

當您取消 Azure 資訊保護 的訂用帳戶時,Azure 資訊保護 會停止使用您的租使用者密鑰,而且不需要您採取任何動作。

重設租使用者金鑰金鑰

重設金鑰也稱為輪替密鑰。 當您執行這項作業時,Azure 資訊保護 會停止使用現有的租使用者密鑰來保護檔和電子郵件,並開始使用不同的金鑰。 原則和範本會立即重新簽署,但對於使用 Azure 資訊保護 的現有客戶端和服務而言,這項變更是漸進式的。 因此,一段時間后,一些新內容會繼續受到舊租使用者密鑰的保護。

若要重設金鑰,您必須設定租用戶密鑰物件,並指定要使用的替代密鑰。 然後,先前使用的金鑰會自動標示為封存給 Azure 資訊保護。 此組態可確保使用此金鑰保護的內容仍可供存取。

您可能需要為 Azure 資訊保護 重設金鑰的範例:

  • 您已使用密碼編譯模式 1 金鑰從 Active Directory Rights Management Services (AD RMS) 移轉。 移轉完成時,您要使用使用密碼編譯模式 2 的金鑰變更為 。

  • 您的公司已分成兩家以上的公司。 當您重設租使用者密鑰時,新公司將無法存取員工發佈的新內容。 如果他們有舊租使用者密鑰的複本,他們可以存取舊的內容。

  • 您想要從一個金鑰管理拓撲移至另一個金鑰管理拓撲。

  • 您認為租使用者金鑰的主要複本遭到入侵。

若要重設金鑰,您可以選取不同的 Microsoft 管理金鑰來成為您的租使用者金鑰,但無法建立新的 Microsoft 管理金鑰。 若要建立新的金鑰,您必須將密鑰拓撲變更為客戶管理(BYOK)。

如果您從 Active Directory Rights Management Services (AD RMS) 移轉,並選擇 Azure 資訊保護 的 Microsoft 管理密鑰拓撲,則您有多個 Microsoft 管理的密鑰。 在此案例中,您的租使用者至少有兩個 Microsoft 管理的密鑰。 一或多個金鑰是您從 AD RMS 匯入的金鑰或金鑰或金鑰。 您也會擁有為 Azure 資訊保護 租用戶自動建立的預設密鑰。

若要為 Azure 資訊保護 選取要成為作用中租使用者密鑰的不同金鑰,請使用 AIPService 模組中的 Set-AipServiceKeyProperties Cmdlet。 若要協助您識別要使用的密鑰,請使用 Get-AipServiceKeys Cmdlet。 您可以執行下列命令,識別為 Azure 資訊保護 租使用者自動建立的預設金鑰:

(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1

若要將密鑰拓撲變更為客戶管理(BYOK),請參閱規劃和實作 Azure 資訊保護 租使用者密鑰

備份和復原您的租用戶金鑰

Microsoft 負責備份您的租使用者密鑰,而且您不需要採取任何動作。

匯出您的租用戶金鑰

您可以遵循下列三個步驟中的指示,匯出 Azure 資訊保護 組態和租使用者密鑰:

步驟 1:起始匯出

  • 請連絡 Microsoft 支援服務 以開啟 Azure 資訊保護 支援案例,並要求 Azure 資訊保護 密鑰導出。 您必須證明您是租使用者的全域管理員,並瞭解此程式需要數天才能確認。 標準支持費用適用;匯出您的租用戶金鑰不是免費支援服務。

步驟 2:等候驗證

  • Microsoft 會確認您發行 Azure 資訊保護 租使用者密鑰的要求是合法的。 此程式最多可能需要三周的時間。

步驟 3:從 CSS 接收金鑰指示

  • Microsoft 客戶支援服務 (CSS) 會將 Azure 資訊保護 設定和租使用者密鑰傳送至受密碼保護的檔案中。 此檔案擴展名為 .tpd 。 若要這樣做,CSS 會先透過電子郵件傳送您 (作為起始導出的人員) 工具。 您必須從命令提示字元執行此工具,如下所示:

    AadrmTpd.exe -createkey

    這會產生 RSA 金鑰組,並將公用和私人兩半儲存為目前資料夾中的檔案。 例如: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txtPrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt

    回應 CSS 的電子郵件,附加名稱開頭 為 PublicKey 的檔案。 CSS 接下來會將 TPD 檔案傳送為使用 RSA 金鑰加密的.xml檔案。 將此檔案複製到您原本執行 AadrmTpd 工具的相同資料夾,然後使用以 PrivateKey 開頭的檔案和 CSS 中的檔案,再次執行此工具。 例如:

    AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml

    此命令的輸出應該是兩個檔案:一個包含受密碼保護的 TPD 的純文字密碼,另一個是受密碼保護的 TPD 本身。 這些檔案有新的 GUID,例如:

    • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

    • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

      備份這些檔案並安全地儲存這些檔案,以確保您可以繼續解密使用此租使用者密鑰保護的內容。 此外,如果您要移轉至 AD RMS,您可以將這個 TPD 檔案(開頭為 ExportedTDP 的檔案)匯入 AD RMS 伺服器。

步驟 4:進行中:保護您的租使用者金鑰

在您收到租使用者密鑰之後,請妥善保護它,因為如果有人存取該密鑰,他們可以解密使用該密鑰保護的所有檔。

如果導出租使用者密鑰的原因是您不想再使用 Azure 資訊保護,最佳做法是現在從 Azure 資訊保護 租使用者停用 Azure Rights Management 服務。 當您收到租使用者金鑰之後,請勿延遲執行此動作,因為此預防措施有助於將租使用者密鑰由不應該擁有租使用者密鑰的人員存取時,將結果降到最低。 如需指示,請參閱 解除委任和停用 Azure Rights Management

回應缺口

無論安全性系統有多強大,都沒有缺口回應程式即可完成。 您的租用戶金鑰可能會遭到入侵或遭竊。 即使受到妥善保護,目前世代密鑰技術或目前密鑰長度和演算法可能會發現弱點。

Microsoft 有一個專門小組來回應其產品和服務中的安全性事件。 一旦有一個可信的事件報告,此小組就會參與調查範圍、根本原因和風險降低。 如果此事件會影響您的資產,Microsoft 會透過電子郵件通知租使用者的全域管理員。

如果您有缺口,您或 Microsoft 可以採取的最佳動作取決於缺口的範圍;Microsoft 會透過此程式與您合作。 下表顯示一些典型情況和可能的反應,雖然確切的回應取決於調查期間顯示的所有資訊。

事件描述 可能回應
您的租用戶金鑰會外洩。 重設租用戶金鑰。 請參閱本文中的重新設定租用戶金鑰一節。
未經授權的個人或惡意代碼有權使用您的租使用者密鑰,但密鑰本身並未洩漏。 重設租使用者密鑰並無濟於事,而且需要根本原因分析。 如果進程或軟體錯誤負責未經授權的個人取得存取權,則必須解決這種情況。
RSA 演算法或金鑰長度或暴力密碼破解攻擊中發現的弱點會變成計算上可行的。 Microsoft 必須更新 Azure 資訊保護,以支援具有復原性的新演算法和較長密鑰長度,並指示所有客戶重設租使用者密鑰。