Поделиться через


Управление на стороне Майкрософт. Операции с ключом клиента в течение его жизненного цикла

Примечание.

Ищете информацию о Microsoft Purview Information Protection (прежнее название — Microsoft Information Protection, MIP)?

Надстройка Azure Information Protection отменяется и заменяется метками, встроенными в приложения и службы Microsoft 365. Дополнительные сведения о состоянии поддержки других компонентов Azure Information Protection.

Клиент Защита информации Microsoft Purview (без надстройки) общедоступен.

Если корпорация Майкрософт управляет ключом клиента для Azure Information Protection (по умолчанию), используйте следующие разделы для получения дополнительных сведений об операциях жизненного цикла, относящихся к этой топологии.

Отзыв ключа клиента

При отмене подписки azure Information Protection Azure Information Protection перестает использовать ключ клиента и от вас не требуется никаких действий.

Повторное создание ключа клиента

Переключение также называется сменой ключа. При выполнении этой операции Azure Information Protection перестает использовать существующий ключ клиента для защиты документов и сообщений электронной почты и начинает использовать другой ключ. Политики и шаблоны немедленно ушел в отставку, но эта смена постепенно выполняется для существующих клиентов и служб с помощью Azure Information Protection. Поэтому в течение некоторого времени некоторые новые материалы продолжают защищаться с помощью старого ключа клиента.

Чтобы переключить ключ, необходимо настроить объект ключа клиента и указать альтернативный ключ для использования. Затем ранее используемый ключ автоматически помечается как архивированный для Azure Information Protection. Эта конфигурация гарантирует, что содержимое, защищенное с помощью этого ключа, остается доступным.

Примеры необходимости повторного ключа для Azure Information Protection:

  • Вы перешли из службы Active Directory Rights Management (AD RMS) с ключом шифрования 1. После завершения миграции необходимо изменить использование ключа, использующего криптографический режим 2.

  • Ваша компания разделена на две или более компаний. При повторном создании ключа клиента новая компания не будет иметь доступа к новому содержимому, которое публикуют сотрудники. Они могут получить доступ к старому содержимому, если у них есть копия старого ключа клиента.

  • Вы хотите перейти из одной топологии управления ключами в другую.

  • Вы считаете, что основная копия ключа клиента скомпрометирована.

Чтобы повторно выбрать другой управляемый корпорацией Майкрософт ключ, чтобы стать ключом клиента, но вы не можете создать новый управляемый корпорацией Майкрософт ключ. Чтобы создать новый ключ, необходимо изменить топологию ключей, чтобы она была управляемой клиентом (BYOK).

При миграции с службы Active Directory Rights Management (AD RMS) у вас есть несколько ключей, управляемых Корпорацией Майкрософт, и выбрана топология ключей, управляемых Корпорацией Майкрософт, для Azure Information Protection. В этом сценарии у вас есть по крайней мере два ключа, управляемые корпорацией Майкрософт для вашего клиента. Один ключ или несколько — это ключ или ключи, импортированные из AD RMS. Вы также будете иметь ключ по умолчанию, который был автоматически создан для клиента Azure Information Protection.

Чтобы выбрать другой ключ клиента для Azure Information Protection, используйте командлет Set-AipServiceKeyProperties из модуля AIPService. Чтобы определить, какой ключ следует использовать, используйте командлет Get-AipServiceKeys . Вы можете определить ключ по умолчанию, который был автоматически создан для клиента Azure Information Protection, выполнив следующую команду:

(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1

Чтобы изменить топологию ключей, чтобы быть управляемой клиентом (BYOK), см. статью "Планирование и реализация ключа клиента Azure Information Protection".

Резервное копирование и восстановление ключа клиента

Корпорация Майкрософт отвечает за резервное копирование ключа клиента и от вас не требуется никаких действий.

Экспорт ключа клиента

Вы можете экспортировать конфигурацию Azure Information Protection и ключ клиента, следуя инструкциям в следующих трех шагах:

Шаг 1. Запуск экспорта

  • Обратитесь в служба поддержки Майкрософт, чтобы открыть случай поддержки Azure Information Protection с запросом на экспорт ключа Azure Information Protection. Вы должны доказать, что вы являетесь глобальным администратором для вашего клиента, и понять, что этот процесс занимает несколько дней, чтобы подтвердить. Применяются стандартные расходы на поддержку; Экспорт ключа клиента не является бесплатной службой поддержки.

Шаг 2. Ожидание проверки

  • Корпорация Майкрософт проверяет, является ли ваш запрос на выпуск ключа клиента Azure Information Protection законным. Этот процесс может занять до трех недель.

Шаг 3. Получение ключевых инструкций из CSS

  • Службы технической поддержки Майкрософт (CSS) отправляют конфигурацию Azure Information Protection и ключ клиента, зашифрованный в защищенном паролем файле. Этот файл имеет расширение TPD-файла . Для этого CSS сначала отправляет вам (как человек, инициирующий экспорт) инструмент по электронной почте. Необходимо запустить средство из командной строки следующим образом:

    AadrmTpd.exe -createkey
    

    Это создает пару ключей RSA и сохраняет общедоступные и частные половины в виде файлов в текущей папке. Например, PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt и PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.

    Ответьте на сообщение электронной почты из CSS, вложив файл с именем, начинающимся с PublicKey. Далее CSS отправляет TPD-файл в виде .xml-файла, зашифрованного с помощью ключа RSA. Скопируйте этот файл в ту же папку, что и вы запустили средство AadrmTpd первоначально, и снова запустите средство, используя файл, который начинается с PrivateKey и файла из CSS. Например:

    AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
    

    Выходные данные этой команды должны быть двумя файлами: один содержит обычный текстовый пароль для защищенного паролем TPD, а другой — сам TPD, защищенный паролем. Файлы имеют новый GUID, например:

    • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

    • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

      Создайте резервную копию этих файлов и сохраните их безопасно, чтобы вы могли продолжать расшифровывать содержимое, защищенное с помощью этого ключа клиента. Кроме того, при миграции в AD RMS вы можете импортировать этот TPD-файл (файл, начинающийся с ExportedTDP) на сервер AD RMS.

Шаг 4. Продолжение. Защита ключа клиента

Получив ключ клиента, оставить его хорошо защищенным, так как если кто-то получает к нему доступ, он может расшифровать все документы, защищенные с помощью этого ключа.

Если причина экспорта ключа клиента заключается в том, что вы больше не хотите использовать Azure Information Protection, как рекомендуется, теперь деактивируйте службу Azure Rights Management из клиента Azure Information Protection. Не откладывайте это после получения ключа клиента, так как это меры предосторожности помогают свести к минимуму последствия, если ключ клиента обращается к кому-то, кто не должен иметь его. Инструкции см. в разделе "Отмена эксплуатации" и деактивация Azure Rights Management.

Реагирование на нарушение

Никакой системы безопасности, независимо от того, насколько сильно, завершен без процесса реагирования на нарушения. Ключ клиента может быть скомпрометирован или украден. Даже если она защищена хорошо, уязвимости могут находиться в технологии ключа текущего поколения или в текущих длинах ключей и алгоритмах.

Корпорация Майкрософт имеет выделенную команду для реагирования на инциденты безопасности в своих продуктах и службах. Как только есть достоверный доклад об инциденте, эта группа занимается расследованием область, первопричин и устранения рисков. Если этот инцидент влияет на ресурсы, корпорация Майкрософт уведомит глобальных администраторов о клиенте по электронной почте.

Если у вас есть нарушение, лучшее действие, которое вы или корпорация Майкрософт можете предпринять, зависит от область нарушения; Корпорация Майкрософт будет работать с вами в рамках этого процесса. В следующей таблице показаны некоторые типичные ситуации и вероятный ответ, хотя точный ответ зависит от всех сведений, выявленных во время расследования.

Описание инцидента Вероятный ответ
Ключ клиента утечка. Повторное создание ключа клиента. См. раздел "Повторное использование ключа клиента" в этой статье.
Несанкционированный пользователь или вредоносные программы получили права на использование ключа клиента, но сам ключ не утечки. Повторное определение ключа клиента не помогает здесь и требует анализа первопричин. Если процесс или ошибка программного обеспечения несет ответственность за несанкционированный доступ человека, эта ситуация должна быть устранена.
Уязвимость, обнаруженная в алгоритме RSA или длине ключа, или атаки методом подбора становятся вычислительными средствами. Корпорация Майкрософт должна обновить Azure Information Protection для поддержки новых алгоритмов и более длительных длин ключей, устойчивых, и указать всем клиентам повторно использовать ключ клиента.