Kundhanterad: Livscykelåtgärder för klientnyckel
Kommentar
Letar du efter Microsoft Purview Information Protection, tidigare Microsoft Information Protection (MIP)?
Azure Information Protection-tillägget dras tillbaka och ersätts med etiketter som är inbyggda i dina Microsoft 365-appar och -tjänster. Läs mer om supportstatus för andra Azure Information Protection-komponenter.
Microsoft Purview Information Protection-klienten (utan tillägget) är allmänt tillgänglig.
Om du hanterar din klientnyckel för Azure Information Protection (scenariot bring your own key, eller BYOK) använder du följande avsnitt för mer information om livscykelåtgärder som är relevanta för den här topologin.
Återkalla din klientnyckel
Det finns mycket få scenarier när du kan behöva återkalla nyckeln i stället för att nyckelåterställning. När du återkallar din nyckel blir allt innehåll som har skyddats av din klientorganisation med den nyckeln otillgängligt för alla (inklusive Microsoft, dina globala administratörer och superanvändare) om du inte har en säkerhetskopia av nyckeln som du kan återställa. När du har återkallat nyckeln kan du inte skydda nytt innehåll förrän du har skapat och konfigurerat en ny klientnyckel för Azure Information Protection.
Om du vill återkalla din kundhanterade klientnyckel i Azure Key Vault ändrar du behörigheterna för nyckelvalvet som innehåller din Azure Information Protection-klientnyckel så att Azure Rights Management-tjänsten inte längre kan komma åt nyckeln. Den här åtgärden återkallar effektivt klientnyckeln för Azure Information Protection.
När du avbryter prenumerationen för Azure Information Protection slutar Azure Information Protection att använda din klientnyckel och du behöver ingen åtgärd.
Uppdatera klientnyckeln
Nyckelåterkoppling kallas även för att rulla din nyckel. När du gör den här åtgärden slutar Azure Information Protection att använda den befintliga klientnyckeln för att skydda dokument och e-postmeddelanden och börjar använda en annan nyckel. Principer och mallar avgår omedelbart, men den här övergången sker gradvis för befintliga klienter och tjänster som använder Azure Information Protection. Så under en tid fortsätter en del nytt innehåll att skyddas med den gamla klientnyckeln.
Om du vill uppdatera nyckeln måste du konfigurera objektet för klientnyckeln och ange den alternativa nyckel som ska användas. Sedan markeras den tidigare använda nyckeln automatiskt som arkiverad för Azure Information Protection. Den här konfigurationen säkerställer att innehåll som har skyddats med hjälp av den här nyckeln förblir tillgängligt.
Exempel på när du kan behöva nyckela om för Azure Information Protection:
Ditt företag har delat upp sig i två eller flera företag. När du uppdaterar klientnyckeln har det nya företaget inte åtkomst till nytt innehåll som dina anställda publicerar. De kan komma åt det gamla innehållet om de har en kopia av den gamla klientnyckeln.
Du vill flytta från en nyckelhanteringstopologi till en annan.
Du tror att huvudkopian av din klientnyckel (kopian i din ägo) är komprometterad.
Om du vill återställa nyckeln till en annan nyckel som du hanterar kan du antingen skapa en ny nyckel i Azure Key Vault eller använda en annan nyckel som redan finns i Azure Key Vault. Följ sedan samma procedurer som du gjorde för att implementera BYOK för Azure Information Protection.
Endast om den nya nyckeln finns i ett annat nyckelvalv än det du redan använder för Azure Information Protection: Ge Azure Information Protection behörighet att använda nyckelvalvet med hjälp av cmdleten Set-AzKeyVaultAccessPolicy .
Om Azure Information Protection inte redan känner till den nyckel som du vill använda kör du cmdleten Use-AipServiceKeyVaultKey .
Konfigurera klientnyckelobjektet med hjälp av cmdleten Set-AipServiceKeyProperties .
Mer information om vart och ett av dessa steg finns i:
Om du vill återställa nyckeln till en annan nyckel som du hanterar läser du Planera och implementera din Azure Information Protection-klientnyckel.
Om du nyckelar om en HSM-skyddad nyckel som du skapar lokalt och överför till Key Vault kan du använda samma säkerhetsvärld och åtkomstkort som du använde för din aktuella nyckel.
Om du vill återställa nyckeln och ändra till en nyckel som Microsoft hanterar åt dig läser du avsnittet Omnyckel för din klientnyckel för Microsoft-hanterade åtgärder.
Säkerhetskopiera och återställa din klientnyckel
Eftersom du hanterar din klientnyckel ansvarar du för att säkerhetskopiera nyckeln som Azure Information Protection använder.
Om du genererade din klientnyckel lokalt i en nCipher HSM: Säkerhetskopiera nyckeln genom att säkerhetskopiera den tokeniserade nyckelfilen, världsfilen och administratörskorten. När du överför din nyckel till Azure Key Vault sparar tjänsten den tokeniserade nyckelfilen för att skydda mot fel i alla tjänstnoder. Den här filen är bunden till säkerhetsvärlden för den specifika Azure-regionen eller instansen. Tänk dock inte på att den här tokeniserade nyckelfilen är en fullständig säkerhetskopia. Om du till exempel behöver en oformaterad textkopia av nyckeln som ska användas utanför en nCipher HSM kan Azure Key Vault inte hämta den åt dig eftersom den bara har en icke-återställningsbar kopia.
Azure Key Vault har en cmdlet för säkerhetskopiering som du kan använda för att säkerhetskopiera en nyckel genom att ladda ned den och lagra den i en fil. Eftersom det nedladdade innehållet är krypterat kan det inte användas utanför Azure Key Vault.
Exportera din klientnyckel
Om du använder BYOK kan du inte exportera din klientnyckel från Azure Key Vault eller Azure Information Protection. Kopian i Azure Key Vault kan inte återställas.
Svara på ett intrång
Inget säkerhetssystem, oavsett hur starkt det är, är komplett utan en process för att hantera intrång. Din klientnyckel kan vara komprometterad eller stulen. Även när det är skyddat väl kan sårbarheter hittas i den aktuella generationens nyckelteknik eller i aktuella nyckellängder och algoritmer.
Microsoft har ett dedikerat team som kan hantera säkerhetsincidenter i sina produkter och tjänster. Så snart det finns en trovärdig rapport om en incident engagerar sig det här teamet för att undersöka omfattningen, rotorsaken och minskningarna. Om den här incidenten påverkar dina tillgångar meddelar Microsoft dina globala klientadministratörer via e-post.
Om du har ett intrång beror den bästa åtgärden som du eller Microsoft kan vidta på omfattningen av överträdelsen. Microsoft kommer att arbeta med dig genom den här processen. I följande tabell visas några typiska situationer och det troliga svaret, även om det exakta svaret beror på all information som avslöjas under undersökningen.
| Incidentbeskrivning | Sannolikt svar |
|---|---|
| Din klientnyckel har läckt ut. | Uppdatera klientnyckeln. Se Uppdatera klientnyckeln. |
| En obehörig person eller skadlig kod fick behörighet att använda din klientnyckel, men själva nyckeln läckte inte. | Att uppdatera klientnyckeln hjälper inte här och kräver rotorsaksanalys. Om en process- eller programvarubugb var ansvarig för att den obehöriga personen skulle få åtkomst måste den situationen lösas. |
| Sårbarhet som identifieras i den aktuella generationens HSM-teknik. | Microsoft måste uppdatera HSM:erna. Om det finns anledning att tro att säkerhetsrisken exponerade nycklar instruerar Microsoft alla kunder att uppdatera sina klientnycklar. |
| Sårbarhet som identifieras i RSA-algoritmen, nyckellängden eller brute-force-attacker blir beräkningsmässigt genomförbar. | Microsoft måste uppdatera Azure Key Vault eller Azure Information Protection för att stödja nya algoritmer och längre nyckellängder som är motståndskraftiga och instruera alla kunder att uppdatera sin klientnyckel. |