Partilhar via


Gerido pela Microsoft: Operações de ciclo de vida das chaves de inquilino

Nota

Você está procurando por Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?

O suplemento Proteção de Informações do Azure foi retirado e substituído por rótulos incorporados aos seus aplicativos e serviços do Microsoft 365. Saiba mais sobre o status de suporte de outros componentes da Proteção de Informações do Azure.

O cliente Microsoft Purview Information Protection (sem o suplemento) está disponível em geral.

Se a Microsoft gerenciar sua chave de locatário para a Proteção de Informações do Azure (o padrão), use as seções a seguir para obter mais informações sobre as operações do ciclo de vida relevantes para essa topologia.

Revogar a chave de inquilino

Quando você cancela sua assinatura da Proteção de Informações do Azure, a Proteção de Informações do Azure para de usar sua chave de locatário e nenhuma ação é necessária de você.

Rechaveie sua chave de locatário

Rechavear também é conhecido como rolar sua chave. Quando você faz essa operação, a Proteção de Informações do Azure para de usar a chave de locatário existente para proteger documentos e emails e começa a usar uma chave diferente. As políticas e os modelos são imediatamente renunciados, mas essa mudança é gradual para clientes e serviços existentes que usam a Proteção de Informações do Azure. Assim, durante algum tempo, alguns conteúdos novos continuam a ser protegidos com a antiga chave de inquilino.

Para rechavear, você deve configurar o objeto de chave do locatário e especificar a chave alternativa a ser usada. Em seguida, a chave usada anteriormente é marcada automaticamente como arquivada para a Proteção de Informações do Azure. Essa configuração garante que o conteúdo que foi protegido usando essa chave permaneça acessível.

Exemplos de quando você pode precisar rechavear para a Proteção de Informações do Azure:

  • Você migrou do Ative Directory Rights Management Services (AD RMS) com uma chave de modo criptográfico 1. Quando a migração estiver concluída, você deseja mudar para usar uma chave que usa o modo criptográfico 2.

  • A sua empresa dividiu-se em duas ou mais empresas. Quando você rechave sua chave de locatário, a nova empresa não terá acesso ao novo conteúdo que seus funcionários publicam. Eles podem acessar o conteúdo antigo se tiverem uma cópia da chave de locatário antiga.

  • Você deseja mover de uma topologia de gerenciamento de chave para outra.

  • Você acredita que a cópia mestra da sua chave de locatário está comprometida.

Para rechavear, você pode selecionar uma chave gerenciada pela Microsoft diferente para se tornar sua chave de locatário, mas não pode criar uma nova chave gerenciada pela Microsoft. Para criar uma nova chave, você deve alterar sua topologia de chave para ser gerenciada pelo cliente (BYOK).

Você tem mais de uma chave gerenciada pela Microsoft se migrou do Ative Directory Rights Management Services (AD RMS) e escolheu a topologia de chave gerenciada pela Microsoft para a Proteção de Informações do Azure. Nesse cenário, você tem pelo menos duas chaves gerenciadas pela Microsoft para seu locatário. Uma chave, ou mais, é a chave ou chaves importadas do AD RMS. Você também terá a chave padrão que foi criada automaticamente para seu locatário da Proteção de Informações do Azure.

Para selecionar uma chave diferente para ser sua chave de locatário ativa para a Proteção de Informações do Azure, use o cmdlet Set-AipServiceKeyProperties do módulo AIPService. Para ajudá-lo a identificar qual chave usar, use o cmdlet Get-AipServiceKeys . Você pode identificar a chave padrão que foi criada automaticamente para seu locatário da Proteção de Informações do Azure executando o seguinte comando:

(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1

Para alterar sua topologia de chave para ser gerenciada pelo cliente (BYOK), consulte Planejando e implementando sua chave de locatário da Proteção de Informações do Azure.

Faça backup e recupere sua chave de locatário

A Microsoft é responsável por fazer backup de sua chave de locatário e nenhuma ação é necessária de você.

Exportar sua chave de locatário

Você pode exportar sua configuração da Proteção de Informações do Azure e a chave de locatário seguindo as instruções nas três etapas a seguir:

Etapa 1: Iniciar a exportação

  • Entre em contato com o Suporte da Microsoft para abrir um caso de suporte da Proteção de Informações do Azure com uma solicitação para uma exportação de chave da Proteção de Informações do Azure. Você deve provar que é um administrador global do seu locatário e entender que esse processo leva vários dias para ser confirmado. Aplicam-se taxas de suporte padrão; A exportação da sua chave de inquilino não é um serviço de suporte gratuito.

Passo 2: Aguarde a verificação

  • A Microsoft verifica se sua solicitação para liberar sua chave de locatário da Proteção de Informações do Azure é legítima. Este processo pode demorar até três semanas.

Etapa 3: Receber instruções de chave do CSS

  • Os Serviços de Atendimento ao Cliente (CSS) da Microsoft enviam sua configuração da Proteção de Informações do Azure e a chave de locatário criptografada em um arquivo protegido por senha. Este arquivo tem uma extensão de nome de arquivo .tpd . Para fazer isso, o CSS primeiro envia (como a pessoa que iniciou a exportação) uma ferramenta por e-mail. Você deve executar a ferramenta a partir de um prompt de comando da seguinte maneira:

    AadrmTpd.exe -createkey
    

    Isso gera um par de chaves RSA e salva as metades pública e privada como arquivos na pasta atual. Por exemplo: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt e PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.

    Responda ao e-mail do CSS, anexando o arquivo que tem um nome que começa com PublicKey. CSS em seguida envia-lhe um ficheiro TPD como um ficheiro .xml que é encriptado com a sua chave RSA. Copie este arquivo para a mesma pasta que você executou a ferramenta AadrmTpd originalmente e execute a ferramenta novamente, usando seu arquivo que começa com PrivateKey e o arquivo de CSS. Por exemplo:

    AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
    

    A saída deste comando deve ser dois ficheiros: um contém a palavra-passe de texto simples para o TPD protegido por palavra-passe e o outro é o próprio TPD protegido por palavra-passe. Os arquivos têm um novo GUID, por exemplo:

    • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

    • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

      Faça backup desses arquivos e armazene-os com segurança para garantir que você possa continuar a descriptografar o conteúdo protegido com essa chave de locatário. Além disso, se estiver a migrar para o AD RMS, pode importar este ficheiro TPD (o ficheiro que começa com ExportedTDP) para o servidor AD RMS.

Passo 4: Em curso: Proteja a sua chave de inquilino

Depois de receber a sua chave de inquilino, mantenha-a bem guardada, porque se alguém tiver acesso a ela, pode desencriptar todos os documentos que estão protegidos usando essa chave.

Se o motivo para exportar sua chave de locatário for porque você não deseja mais usar a Proteção de Informações do Azure como uma prática recomendada, desative agora o serviço Azure Rights Management do seu locatário da Proteção de Informações do Azure. Não demore a fazê-lo depois de receber a sua chave de inquilino, porque esta precaução ajuda a minimizar as consequências se a sua chave de inquilino for acedida por alguém que não a deveria ter. Para obter instruções, consulte Descomissionamento e desativação do Azure Rights Management.

Responder a uma violação

Nenhum sistema de segurança, por mais forte que seja, está completo sem um processo de resposta a violações. A sua chave de inquilino pode estar comprometida ou roubada. Mesmo quando está bem protegido, vulnerabilidades podem ser encontradas na tecnologia de chave da geração atual ou em comprimentos de chave e algoritmos atuais.

A Microsoft tem uma equipa dedicada para responder a incidentes de segurança nos seus produtos e serviços. Assim que há um relato confiável de um incidente, essa equipe se envolve para investigar o escopo, a causa raiz e as mitigações. Se este incidente afetar os seus ativos, a Microsoft notificará os administradores globais do seu inquilino por correio eletrónico.

Se você tiver uma violação, a melhor ação que você ou a Microsoft podem tomar depende do escopo da violação; A Microsoft trabalhará consigo durante este processo. A tabela a seguir mostra algumas situações típicas e a resposta provável, embora a resposta exata dependa de todas as informações reveladas durante a investigação.

Descrição do incidente Resposta provável
Sua chave de locatário vazou. Reintroduza a sua chave de inquilino. Consulte a seção Rechavear sua chave de locatário neste artigo.
Um indivíduo não autorizado ou malware obteve direitos para usar sua chave de locatário, mas a chave em si não vazou. Rechavear sua chave de locatário não ajuda aqui e requer análise de causa raiz. Se um processo ou bug de software foi responsável para o indivíduo não autorizado obter acesso, essa situação deve ser resolvida.
A vulnerabilidade descoberta no algoritmo RSA, ou comprimento da chave, ou ataques de força bruta tornam-se computacionalmente viáveis. A Microsoft deve atualizar a Proteção de Informações do Azure para dar suporte a novos algoritmos e comprimentos de chave mais longos que sejam resilientes e instruir todos os clientes a rechavear sua chave de locatário.