Delen via

Door Microsoft beheerd: levenscyclusbewerkingen voor de tenantsleutel

  • Artikel

Notitie

Zoekt u Microsoft Purview Informatiebeveiliging, voorheen Microsoft Information Protection (MIP)?

De Azure Information Protection-invoegtoepassing wordt buiten gebruik gesteld en vervangen door labels die zijn ingebouwd in uw Microsoft 365-apps en -services. Meer informatie over de ondersteuningsstatus van andere Azure Information Protection-onderdelen.

De Microsoft Purview Informatiebeveiliging-client (zonder de invoegtoepassing) is algemeen beschikbaar.

Als Microsoft uw tenantsleutel voor Azure Information Protection (de standaardinstelling) beheert, gebruikt u de volgende secties voor meer informatie over de levenscyclusbewerkingen die relevant zijn voor deze topologie.

Uw tenantsleutel intrekken

Wanneer u uw abonnement voor Azure Information Protection annuleert, stopt Azure Information Protection met het gebruik van uw tenantsleutel en hoeft u geen actie te ondernemen.

Uw tenantsleutel opnieuw versleutelen

Opnieuw versleutelen wordt ook wel het rollen van uw sleutel genoemd. Wanneer u deze bewerking uitvoert, wordt in Azure Information Protection de bestaande tenantsleutel niet meer gebruikt om documenten en e-mailberichten te beveiligen en wordt er een andere sleutel gebruikt. Beleid en sjablonen worden onmiddellijk ontslag genomen, maar deze overgang is geleidelijk voor bestaande clients en services met behulp van Azure Information Protection. Sommige nieuwe inhoud blijft dus enige tijd beveiligd met de oude tenantsleutel.

Als u opnieuw wilt versleutelen, moet u het tenantsleutelobject configureren en de alternatieve sleutel opgeven die moet worden gebruikt. Vervolgens wordt de eerder gebruikte sleutel automatisch gemarkeerd als gearchiveerd voor Azure Information Protection. Deze configuratie zorgt ervoor dat inhoud die met deze sleutel is beveiligd, toegankelijk blijft.

Voorbeelden van wanneer u mogelijk opnieuw moet versleutelen voor Azure Information Protection:

  • U hebt gemigreerd van Active Directory Rights Management Services (AD RMS) met een cryptografische modus 1-toets. Wanneer de migratie is voltooid, wilt u overschakelen naar het gebruik van een sleutel die gebruikmaakt van cryptografische modus 2.

  • Uw bedrijf is gesplitst in twee of meer bedrijven. Wanneer u uw tenantsleutel opnieuw versleutelt, heeft het nieuwe bedrijf geen toegang tot nieuwe inhoud die uw werknemers publiceren. Ze hebben toegang tot de oude inhoud als ze een kopie van de oude tenantsleutel hebben.

  • U wilt overstappen van de ene sleutelbeheertopologie naar de andere.

  • U denkt dat de hoofdkopie van uw tenantsleutel is aangetast.

Als u opnieuw wilt versleutelen, kunt u een andere door Microsoft beheerde sleutel selecteren om uw tenantsleutel te worden, maar u kunt geen nieuwe door Microsoft beheerde sleutel maken. Als u een nieuwe sleutel wilt maken, moet u uw sleuteltopologie wijzigen in door de klant beheerd (BYOK).

U hebt meer dan één door Microsoft beheerde sleutel als u bent gemigreerd van Active Directory Rights Management Services (AD RMS) en de door Microsoft beheerde sleuteltopologie voor Azure Information Protection hebt gekozen. In dit scenario hebt u ten minste twee door Microsoft beheerde sleutels voor uw tenant. Een of meer sleutels zijn de sleutel of sleutels die u hebt geïmporteerd uit AD RMS. U hebt ook de standaardsleutel die automatisch is gemaakt voor uw Azure Information Protection-tenant.

Als u een andere sleutel wilt selecteren om uw actieve tenantsleutel voor Azure Information Protection te zijn, gebruikt u de cmdlet Set-AipServiceKeyProperties uit de AIPService-module. Gebruik de cmdlet Get-AipServiceKeys om te bepalen welke sleutel u moet gebruiken. U kunt de standaardsleutel identificeren die automatisch is gemaakt voor uw Azure Information Protection-tenant door de volgende opdracht uit te voeren:

(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1

Zie Uw Azure Information Protection-tenantsleutel plannen en implementeren om uw sleuteltopologie te wijzigen in door de klant beheerd (BYOK).

Een back-up maken van uw tenantsleutel en deze herstellen

Microsoft is verantwoordelijk voor het maken van een back-up van uw tenantsleutel en er is geen actie van u vereist.

Uw tenantsleutel exporteren

U kunt uw Azure Information Protection-configuratie en -tenantsleutel exporteren door de instructies in de volgende drie stappen te volgen:

Stap 1: Export initiëren

  • Neem contact op met Microsoft Ondersteuning om een Azure Information Protection-ondersteuningsaanvraag te openen met een aanvraag voor het exporteren van een Azure Information Protection-sleutel. U moet bewijzen dat u een globale beheerder bent voor uw tenant en dat het enkele dagen duurt voordat dit proces is bevestigd. Standaardondersteuningskosten zijn van toepassing; het exporteren van uw tenantsleutel is geen gratis ondersteuningsservice.

Stap 2: Wachten op verificatie

  • Microsoft controleert of uw aanvraag om uw Azure Information Protection-tenantsleutel vrij te geven legitiem is. Dit proces kan tot drie weken duren.

Stap 3: sleutelinstructies ontvangen van CSS

  • Microsoft Customer Support Services (CSS) stuurt u uw Azure Information Protection-configuratie en tenantsleutel die zijn versleuteld in een met een wachtwoord beveiligd bestand. Dit bestand heeft de extensie .tpd . Hiervoor stuurt CSS u eerst een hulpprogramma via e-mail (als de persoon die de export heeft gestart). U moet het hulpprogramma als volgt uitvoeren vanaf een opdrachtprompt:

    AadrmTpd.exe -createkey

    Hiermee wordt een RSA-sleutelpaar gegenereerd en worden de openbare en persoonlijke helften opgeslagen als bestanden in de huidige map. Bijvoorbeeld: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt en PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.

    Reageer op de e-mail van CSS en voeg het bestand toe met een naam die begint met PublicKey. CSS stuurt u vervolgens een TPD-bestand als een .xml-bestand dat is versleuteld met uw RSA-sleutel. Kopieer dit bestand naar dezelfde map als u het hulpprogramma AadrmTpd oorspronkelijk hebt uitgevoerd en voer het hulpprogramma opnieuw uit met behulp van uw bestand dat begint met PrivateKey en het bestand van CSS. Voorbeeld:

    AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml

    De uitvoer van deze opdracht moet twee bestanden zijn: de ene bevat het wachtwoord voor tekst zonder opmaak voor de met een wachtwoord beveiligde TPD en de andere is de met een wachtwoord beveiligde TPD zelf. De bestanden hebben een nieuwe GUID, bijvoorbeeld:

    • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

    • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

      Maak een back-up van deze bestanden en sla ze veilig op om ervoor te zorgen dat u inhoud die is beveiligd met deze tenantsleutel kunt blijven ontsleutelen. Als u migreert naar AD RMS, kunt u dit TPD-bestand (het bestand dat begint met GeëxporteerdETDP) importeren naar uw AD RMS-server.

Stap 4: Doorlopend: Uw tenantsleutel beveiligen

Nadat u uw tenantsleutel hebt ontvangen, moet u deze goed bewaakt houden, omdat als iemand er toegang toe krijgt, alle documenten kunnen ontsleutelen die zijn beveiligd met die sleutel.

Als de reden voor het exporteren van uw tenantsleutel is omdat u Azure Information Protection niet meer als best practice wilt gebruiken, moet u de Azure Rights Management-service nu deactiveren vanuit uw Azure Information Protection-tenant. Laat dit niet uit nadat u uw tenantsleutel hebt ontvangen, omdat deze voorzorgsmaatregel helpt de gevolgen te minimaliseren als uw tenantsleutel wordt geopend door iemand die deze niet mag hebben. Zie Uit bedrijf nemen en deactiveren van Azure Rights Management voor instructies.

Reageren op een schending

Geen beveiligingssysteem, ongeacht hoe sterk, is voltooid zonder een inbreukreactieproces. Uw tenantsleutel kan worden aangetast of gestolen. Zelfs als het goed is beveiligd, kunnen beveiligingsproblemen worden gevonden in de huidige generatiesleuteltechnologie of in de huidige sleutellengten en algoritmen.

Microsoft heeft een speciaal team om te reageren op beveiligingsincidenten in haar producten en services. Zodra er een geloofwaardig rapport van een incident is, neemt dit team contact op met het onderzoeken van het bereik, de hoofdoorzaak en de oplossingen. Als dit incident van invloed is op uw assets, informeert Microsoft de globale beheerders voor uw tenant via e-mail.

Als u een inbreuk hebt, is de beste actie die u of Microsoft kunt ondernemen, afhankelijk van het bereik van de inbreuk; Microsoft werkt met u samen met dit proces. In de volgende tabel ziet u enkele typische situaties en de waarschijnlijke reactie, hoewel de exacte reactie afhankelijk is van alle informatie die tijdens het onderzoek wordt onthuld.

Beschrijving van incident Waarschijnlijke reactie
Uw tenantsleutel is gelekt. Uw tenantsleutel opnieuw versleutelen. Zie de sectie Uw tenantsleutel opnieuw instellen in dit artikel.
Een onbevoegd persoon of malware heeft rechten om uw tenantsleutel te gebruiken, maar de sleutel zelf lekte niet. Het opnieuw versleutelen van uw tenantsleutel helpt hier niet en vereist een hoofdoorzaakanalyse. Als een proces- of softwarefout verantwoordelijk was voor de onbevoegde persoon om toegang te krijgen, moet die situatie worden opgelost.
Beveiligingsproblemen die zijn gedetecteerd in het RSA-algoritme, de sleutellengte of beveiligingsaanvallen, worden rekenkundig haalbaar. Microsoft moet Azure Information Protection bijwerken om nieuwe algoritmen en langere sleutellengten te ondersteunen die tolerant zijn en alle klanten opdracht geven om hun tenantsleutel opnieuw in te stellen.