Udostępnij za pośrednictwem


Operacje cyklu życia klucza dzierżawy zarządzane przez firmę Microsoft

Uwaga

Szukasz usługi Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?

Dodatek usługi Azure Information Protection został wycofany i zastąpiony etykietami wbudowanymi w aplikacje i usługi platformy Microsoft 365. Dowiedz się więcej o stanie pomocy technicznej innych składników usługi Azure Information Protection.

Klient usługi Microsoft Purview Information Protection (bez dodatku) jest ogólnie dostępny.

Jeśli firma Microsoft zarządza kluczem dzierżawy dla usługi Azure Information Protection (ustawienie domyślne), skorzystaj z poniższych sekcji, aby uzyskać więcej informacji na temat operacji cyklu życia, które są istotne dla tej topologii.

Odwoływanie klucza dzierżawy

Po anulowaniu subskrypcji usługi Azure Information Protection usługa Azure Information Protection przestanie używać klucza dzierżawy i nie jest wymagana żadna akcja.

Ponowne dołączanie klucza dzierżawy

Ponownekeying jest również znany jako stopniowe wprowadzanie klucza. Po zakończeniu tej operacji usługa Azure Information Protection przestaje używać istniejącego klucza dzierżawy do ochrony dokumentów i wiadomości e-mail i rozpoczyna korzystanie z innego klucza. Zasady i szablony są natychmiast zrezygnowane, ale to przejście jest stopniowe dla istniejących klientów i usług przy użyciu usługi Azure Information Protection. Dlatego przez jakiś czas część nowej zawartości nadal jest chroniona przy użyciu starego klucza dzierżawy.

Aby ponownie użyć klucza dzierżawy, należy skonfigurować obiekt klucza dzierżawy i określić alternatywny klucz do użycia. Następnie wcześniej używany klucz jest automatycznie oznaczony jako zarchiwizowany dla usługi Azure Information Protection. Ta konfiguracja zapewnia dostępność zawartości chronionej przy użyciu tego klucza.

Przykłady konieczności ponownego użycia klucza dla usługi Azure Information Protection:

  • Przeprowadzono migrację z usługi Usługi Active Directory Rights Management (AD RMS) przy użyciu klucza kryptograficznego 1. Po zakończeniu migracji chcesz zmienić wartość na użycie klucza korzystającego z trybu kryptograficznego 2.

  • Twoja firma podzieliła się na co najmniej dwie firmy. Po ponownym utworzeniu klucza dzierżawy nowa firma nie będzie miała dostępu do nowej zawartości publikowanej przez pracowników. Mogą oni uzyskać dostęp do starej zawartości, jeśli mają kopię starego klucza dzierżawy.

  • Chcesz przejść z jednej topologii zarządzania kluczami do innej.

  • Uważasz, że kopia główna klucza dzierżawy została naruszona.

Aby ponownie utworzyć klucz, możesz wybrać inny klucz zarządzany przez firmę Microsoft, aby stać się kluczem dzierżawy, ale nie można utworzyć nowego klucza zarządzanego przez firmę Microsoft. Aby utworzyć nowy klucz, należy zmienić topologię klucza na zarządzaną przez klienta (BYOK).

Jeśli przeprowadzono migrację z usługi Usługi Active Directory Rights Management (AD RMS) i wybrano topologię kluczy zarządzanych przez firmę Microsoft dla usługi Azure Information Protection, masz więcej niż jeden klucz zarządzany przez firmę Microsoft. W tym scenariuszu masz co najmniej dwa klucze zarządzane przez firmę Microsoft dla dzierżawy. Co najmniej jeden klucz to klucz lub klucze zaimportowane z usług AD RMS. Będziesz również mieć klucz domyślny, który został automatycznie utworzony dla dzierżawy usługi Azure Information Protection.

Aby wybrać inny klucz jako aktywny klucz dzierżawy dla usługi Azure Information Protection, użyj polecenia cmdlet Set-AipServiceKeyProperties z modułu AIPService. Aby ułatwić określenie klucza do użycia, użyj polecenia cmdlet Get-AipServiceKeys . Możesz zidentyfikować klucz domyślny, który został automatycznie utworzony dla dzierżawy usługi Azure Information Protection, uruchamiając następujące polecenie:

(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1

Aby zmienić topologię klucza na zarządzaną przez klienta (BYOK), zobacz Planowanie i wdrażanie klucza dzierżawy usługi Azure Information Protection.

Tworzenie kopii zapasowej i odzyskiwanie klucza dzierżawy

Firma Microsoft jest odpowiedzialna za tworzenie kopii zapasowej klucza dzierżawy i nie jest wymagana żadna akcja.

Eksportowanie klucza dzierżawy

Konfigurację i klucz dzierżawy usługi Azure Information Protection można wyeksportować, wykonując następujące instrukcje w następujących trzech krokach:

Krok 1. Inicjowanie eksportu

  • Skontaktuj się z pomoc techniczna firmy Microsoft, aby otworzyć zgłoszenie do pomocy technicznej usługi Azure Information Protection z żądaniem eksportu klucza usługi Azure Information Protection. Musisz udowodnić, że jesteś administratorem globalnym dzierżawy i rozumiesz, że potwierdzenie tego procesu trwa kilka dni. Obowiązują standardowe opłaty za pomoc techniczną; eksportowanie klucza dzierżawy nie jest bezpłatną usługą pomocy technicznej.

Krok 2. Oczekiwanie na weryfikację

  • Firma Microsoft sprawdza, czy Twoje żądanie wydania klucza dzierżawy usługi Azure Information Protection jest uzasadnione. Ten proces może potrwać do trzech tygodni.

Krok 3. Otrzymywanie instrukcji dotyczących klucza z arkusza CSS

  • Usługi obsługi klienta firmy Microsoft wysyła konfigurację usługi Azure Information Protection i klucz dzierżawy zaszyfrowany w pliku chronionym hasłem. Ten plik ma rozszerzenie nazwy pliku tpd . W tym celu css najpierw wysyła Ci (jako osobę, która zainicjowała eksport) narzędzie pocztą e-mail. Narzędzie należy uruchomić z poziomu wiersza polecenia w następujący sposób:

    AadrmTpd.exe -createkey
    

    Spowoduje to wygenerowanie pary kluczy RSA i zapisanie publicznej i prywatnej połowy jako plików w bieżącym folderze. Na przykład: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt i PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.

    Odpowiedz na wiadomość e-mail z pliku CSS, dołączając plik o nazwie rozpoczynającej się od PublicKey. Następnie css wysyła plik TPD jako plik .xml, który jest zaszyfrowany przy użyciu klucza RSA. Skopiuj ten plik do tego samego folderu, w którym pierwotnie uruchomiono narzędzie AadrmTpd, a następnie uruchom narzędzie ponownie, używając pliku rozpoczynającego się od PrivateKey i pliku z pliku CSS. Na przykład:

    AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
    

    Dane wyjściowe tego polecenia powinny być dwoma plikami: jeden zawiera hasło w postaci zwykłego tekstu dla chronionej hasłem TPD, a drugi to sam moduł TPD chroniony hasłem. Pliki mają nowy identyfikator GUID, na przykład:

    • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

    • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

      Utwórz kopię zapasową tych plików i zapisz je bezpiecznie, aby zapewnić dalsze odszyfrowywanie zawartości chronionej przy użyciu tego klucza dzierżawy. Ponadto w przypadku migracji do usług AD RMS można zaimportować ten plik TPD (plik rozpoczynający się od wyeksportowanego protokołuDP) do serwera usług AD RMS.

Krok 4. Bieżące: Ochrona klucza dzierżawy

Po otrzymaniu klucza dzierżawy zachowaj go dobrze, ponieważ jeśli ktoś uzyska do niego dostęp, może odszyfrować wszystkie dokumenty chronione przy użyciu tego klucza.

Jeśli przyczyną eksportowania klucza dzierżawy jest to, że nie chcesz już używać usługi Azure Information Protection, najlepszym rozwiązaniem jest dezaktywowanie usługi Azure Rights Management z dzierżawy usługi Azure Information Protection. Nie opóźnij wykonywania tej czynności po otrzymaniu klucza dzierżawy, ponieważ ten środek ostrożności pomaga zminimalizować konsekwencje, jeśli klucz dzierżawy jest uzyskiwany przez osobę, która nie powinna jej mieć. Aby uzyskać instrukcje, zobacz Likwidowanie i dezaktywowanie usługi Azure Rights Management.

Reagowanie na naruszenie

Żaden system zabezpieczeń, bez względu na to, jak silny, jest kompletny bez procesu reagowania na naruszenia zabezpieczeń. Klucz dzierżawy może zostać naruszony lub skradziony. Nawet jeśli są dobrze chronione, luki w zabezpieczeniach mogą znajdować się w bieżącej technologii klucza generacji lub w bieżących długościach kluczy i algorytmach.

Firma Microsoft ma dedykowany zespół do reagowania na zdarzenia zabezpieczeń w swoich produktach i usługach. Jak tylko istnieje wiarygodny raport o zdarzeniu, ten zespół angażuje się w badanie zakresu, głównej przyczyny i środków zaradczych. Jeśli to zdarzenie wpłynie na Twoje zasoby, firma Microsoft powiadomi administratorów globalnych twojej dzierżawy pocztą e-mail.

Jeśli masz naruszenie, najlepsze działanie, które ty lub firma Microsoft może podjąć, zależy od zakresu naruszenia; Firma Microsoft będzie współpracować z Tobą w ramach tego procesu. W poniższej tabeli przedstawiono niektóre typowe sytuacje i prawdopodobną reakcję, chociaż dokładna odpowiedź zależy od wszystkich informacji, które zostały ujawnione podczas badania.

Opis zdarzenia Prawdopodobna odpowiedź
Klucz dzierżawy został ujawniony. Zmień klucz dzierżawy. Zobacz sekcję Ponowne tworzenie klucza dzierżawy w tym artykule.
Nieautoryzowane osoby lub złośliwe oprogramowanie uzyskało prawa do używania klucza dzierżawy, ale sam klucz nie wyciekł. Ponowne dołączanie klucza dzierżawy nie pomaga w tym miejscu i wymaga analizy głównej przyczyny. Jeśli proces lub usterka oprogramowania była odpowiedzialna za nieautoryzowaną osobę w celu uzyskania dostępu, należy rozwiązać ten problem.
Luka w zabezpieczeniach wykryta w algorytmie RSA lub długości klucza albo ataki siłowe stają się możliwe do obliczenia. Firma Microsoft musi zaktualizować usługę Azure Information Protection, aby obsługiwała nowe algorytmy i dłuższe długości kluczy, które są odporne, i poinstruować wszystkich klientów o ponownym kluczu dzierżawy.