Spravované společností Microsoft: Operace životního cyklu klíče TenantaMicrosoft-managed: Tenant key life cycle operations

Platí pro: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Pokud váš klíč klienta spravuje Microsoft pro Azure Information Protection (výchozí), použijte v následujících částech Další informace o operacích životního cyklu, které souvisí s touto topologií.If Microsoft manages your tenant key for Azure Information Protection (the default), use the following sections for more information about the life cycle operations that are relevant to this topology.

Odvolání klíče tenantaRevoke your tenant key

Když zrušíte předplatné pro službu Azure Information Protection, přestane tato služba používat váš klíč tenanta, přičemž z vaší strany není nutná žádná akce.When you cancel your subscription for Azure Information Protection, Azure Information Protection stops using your tenant key and no action is needed from you.

Opětovné vytvoření klíče tenantaRekey your tenant key

Tato akce umožňuje znovu vytvořit klíč tenanta.Rekeying is also known as rolling your key. Když provedete tuto operaci, Azure Information Protection přestane používat existující klíče tenanta k ochraně dokumentů a e-mailů a začne používat jiný klíč.When you do this operation, Azure Information Protection stops using the existing tenant key to protect documents and emails, and starts to use a different key. Zásady a šablony jsou okamžitě znovu podepisovat, ale tento přechod je postupné pro existující klienty a služby pomocí služby Azure Information Protection.Policies and templates are immediately resigned but this changeover is gradual for existing clients and services using Azure Information Protection. Tak dlouho, část nového obsahu i nadále chráněn pomocí starého klíče tenanta.So for some time, some new content continues to be protected with the old tenant key.

Pro opětovné vytvoření klíčů je nutné nakonfigurovat objekt klíče klienta a zadejte alternativní klíč k použití.To rekey, you must configure the tenant key object and specify the alternative key to use. Potom použitých klíč automaticky označen jako archivovaný pro Azure Information Protection.Then, the previously used key is automatically marked as archived for Azure Information Protection. Tato konfigurace zajistí, že obsah, který byl chráněný pomocí tohoto klíče zůstanou dostupné.This configuration ensures that content that was protected by using this key remains accessible.

Příklady při možná budete muset opětovné vytvoření klíčů pro Azure Information Protection:Examples of when you might need to rekey for Azure Information Protection:

  • Jste migrovali ze Active Directory Rights Management Services (AD RMS) s klíčem kryptografického režimu 1.You have migrated from Active Directory Rights Management Services (AD RMS) with a cryptographic mode 1 key. Po dokončení migrace, kterou chcete změnit pomocí klíče, který používá kryptografický režim 2.When the migration is complete, you want to change to using a key that uses cryptographic mode 2.

  • Vaše společnost se rozdělila na dvě nebo více společností.Your company has split into two or more companies. Když znovu vytvoříte klíč tenanta, nová společnost nebude mít přístup k novému obsahu publikovanému vašimi zaměstnanci.When you rekey your tenant key, the new company will not have access to new content that your employees publish. Bude mít přístup jenom ke starému obsahu, pokud má ovšem kopii starého klíče tenanta.They can access the old content if they have a copy of the old tenant key.

  • Chcete přesunout z jednoho topologie správy klíčů na jiný.You want to move from one key management topology to another.

  • Budete mít dojem, že dojde k ohrožení bezpečnosti hlavní kopii vašeho klíče tenanta.You believe the master copy of your tenant key is compromised.

Pro opětovné vytvoření klíčů můžete vybrat jiný spravovaný společností Microsoft klíč se váš klíč tenanta, ale nelze vytvořit nový klíč, který je spravovaný společností Microsoft.To rekey, you can select a different Microsoft-managed key to become your tenant key, but you cannot create a new Microsoft-managed key. Pokud chcete vytvořit nový klíč, je nutné změnit topologii klíče jako spravované zákazníkem (BYOK).To create a new key, you must change your key topology to be customer-managed (BYOK).

Pokud jste migrovali z Active Directory Rights Management Services (AD RMS) a zvolili topologii klíče spravovaný společností Microsoft pro Azure Information Protection máte více než jeden klíč spravovaný společností Microsoft.You have more than one Microsoft-managed key if you migrated from Active Directory Rights Management Services (AD RMS) and chose the Microsoft-managed key topology for Azure Information Protection. V tomto scénáři máte alespoň dva klíče spravovaný společností Microsoft pro vašeho klienta.In this scenario, you have at least two Microsoft-managed keys for your tenant. Jeden klíč nebo více, je klíče nebo klíče, které jste importovali ze služby AD RMS.One key, or more, is the key or keys that you imported from AD RMS. Také budete mít výchozí klíč, který byl automaticky vytvořen pro klienta služby Azure Information Protection.You will also have the default key that was automatically created for your Azure Information Protection tenant.

Pokud chcete vybrat jiný klíč na klíč klienta active pro Azure Information Protection, použijte Set-AadrmKeyProperties rutiny z modulu AADRM.To select a different key to be your active tenant key for Azure Information Protection, use the Set-AadrmKeyProperties cmdlet from the AADRM module. Chcete-li pomoci zjistit, který klíč použít, použijte Get-AadrmKeys rutiny.To help you identify which key to use, use the Get-AadrmKeys cmdlet. Můžete určit výchozí klíč, který byl automaticky vytvořen pro klienta služby Azure Information Protection tak, že spustíte následující příkaz:You can identify the default key that was automatically created for your Azure Information Protection tenant by running the following command:

(Get-AadrmKeys) | Sort-Object CreationTime | Select-Object -First 1

Chcete-li změnit topologii klíče jako spravované zákazníkem (BYOK), implementace BYOK pro váš klíč klienta Azure Information Protection.To change your key topology to be customer-managed (BYOK), see Implementing BYOK for your Azure Information Protection tenant key.

Zálohování a obnova klíče tenantaBackup and recover your tenant key

Za zálohování vašeho klíče tenanta zodpovídá Microsoft a vy nemusíte provádět žádné kroky.Microsoft is responsible for backing up your tenant key and no action is required from you.

Export vašeho klíče tenantaExport your tenant key

Konfigurace Azure Information Protection a klíč tenanta můžete exportovat podle pokynů uvedených v následující tři kroky:You can export your Azure Information Protection configuration and tenant key by following the instructions in the following three steps:

Krok 1: Zahájení exportuStep 1: Initiate export

  • Kontaktujte Microsoft Support otevřete případu podpory Azure Information Protection se žádostí o export klíče Azure Information Protection.Contact Microsoft Support to open an Azure Information Protection support case with a request for an Azure Information Protection key export. Musíte prokázat, že jste správce pro vašeho tenanta Azure Information Protection. Počítejte prosím s tím, že potvrzení tohoto procesu bude trvat několik dní.You must prove you are an administrator for your Azure Information Protection tenant, and understand that this process takes several days to confirm. Budou se účtovat standardní poplatky za podporu. Export klíče tenanta není bezplatná služba.Standard support charges apply; exporting your tenant key is not a free-of-charge support service.

Krok 2: Čekání na ověřeníStep 2: Wait for verification

  • Microsoft ověří, jestli je váš požadavek na uvolnění klíče tenanta Azure Information Protection oprávněný.Microsoft verifies that your request to release your Azure Information Protection tenant key is legitimate. Tento proces může trvat až tři týdny.This process can take up to three weeks.

Krok 3: Přijetí pokynů pro klíč od oddělení služeb zákaznické podporyStep 3: Receive key instructions from CSS

  • Oddělení služeb zákaznické podpory Microsoftu vám pošle vaši konfiguraci služby Azure Information Protection a klíč tenanta v zašifrovaném souboru chráněném heslem.Microsoft Customer Support Services (CSS) sends you your Azure Information Protection configuration and tenant key encrypted in a password-protected file. Soubor má příponu TPD.This file has a .tpd file name extension. Za tím účelem vám (jako osobě, která zahájila export) oddělení služeb zákaznické podpory nejdřív pošle e-mailem určitý nástroj.To do this, CSS first sends you (as the person who initiated the export) a tool by email. Tento nástroj musíte následujícím způsobem spustit z příkazového řádku:You must run the tool from a command prompt as follows:

    AadrmTpd.exe -createkey
    

    Tím se vygeneruje pár klíče RSA a jeho veřejná i privátní polovina se uloží jako soubory do aktuální složky.This generates an RSA key pair and saves the public and private halves as files in the current folder. Příklad: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt a PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.For example: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt and PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.

    Odpovězte na e-mail od oddělení služeb zákaznické podpory a připojte soubor, jehož název začíná textem PublicKey.Respond to the email from CSS, attaching the file that has a name that starts with PublicKey. Šablon stylů CSS vedle vám pošle soubor TPD ve formátu .xml zašifrovaný pomocí vašeho klíče RSA.CSS next sends you a TPD file as an .xml file that is encrypted with your RSA key. Zkopírujte tento soubor do stejné složky, ve které jste původně spustili nástroj AadrmTpd, a spusťte nástroj znovu, tentokrát pomocí souboru, jehož název začíná textem PrivateKey, a souboru od oddělení služeb zákaznické podpory.Copy this file to the same folder as you ran the AadrmTpd tool originally, and run the tool again, using your file that starts with PrivateKey and the file from CSS. Příklad:For example:

    AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
    

    Výstupem tohoto příkazu by měly být dva soubory: jeden obsahuje heslo (ve formátu prostého textu) k chráněnému souboru TPD a druhý je samotný soubor TPD chráněný heslem.The output of this command should be two files: One contains the plain text password for the password-protected TPD, and the other is the password-protected TPD itself. Soubory mají nový identifikátor GUID, například:The files have a new GUID, for example:

    • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txtPassword-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

    • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xmlExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

      Tyto soubory zálohujte a bezpečně je uložte, abyste měli jistotu, že budete moct dál dešifrovat obsah chráněný tímto klíčem tenanta.Back up these files and store them safely to ensure that you can continue to decrypt content that is protected with this tenant key. Kromě toho, pokud migrujete na AD RMS, můžete tento soubor TPD (soubor s názvem začínajícím textem ExportedTDP) importovat na server služby AD RMS.In addition, if you are migrating to AD RMS, you can import this TPD file (the file that starts with ExportedTDP) to your AD RMS server.

Krok 4: Průběžně: ochrana vašeho klíče tenantaStep 4: Ongoing: Protect your tenant key

Až dostanete svůj klíč tenanta, dobře ho chraňte, protože pokud k němu někdo získá přístup, bude moct dešifrovat všechny dokumenty chráněné pomocí tohoto klíče.After you receive your tenant key, keep it well-guarded, because if somebody gets access to it, they can decrypt all documents that are protected by using that key.

Je-li důvodem pro export klíče tenata skutečnost, že už nechcete používat službu Azure Information Protection, doporučujeme deaktivovat službu Azure Rights Management z vašeho tenanta Azure Information Protection.If the reason for exporting your tenant key is because you no longer want to use Azure Information Protection, as a best practice, now deactivate the Azure Rights Management service from your Azure Information Protection tenant. Tento krok po obdržení klíče tenanta neodkládejte: toto opatření vám pomůže omezit případné následky, kdyby k vašemu klíči tenanta někdo získal neoprávněný přístup.Do not delay doing this after you receive your tenant key because this precaution helps to minimize the consequences if your tenant key is accessed by somebody who should not have it. Pokyny najdete v tématu Vyřazení služby Azure Rights Management z provozu a její deaktivace.For instructions, see Decommissioning and deactivating Azure Rights Management.

Reakce na porušení zabezpečeníRespond to a breach

Žádný systém zabezpečení, ani ten nejsilnější, není kompletní bez postupu pro případ porušení zabezpečení.No security system, no matter how strong, is complete without a breach response process. Může dojít k narušení nebo krádeži vašeho klíče tenanta.Your tenant key might be compromised or stolen. I když je soubor chráněný dobře, může být ohrožení zabezpečení najdete v aktuální generace klíčová technologie nebo ve aktuální délky klíčů a algoritmy.Even when it’s protected well, vulnerabilities might be found in current generation key technology or in current key lengths and algorithms.

Microsoft má vyhrazený tým, který se zabývá reakcemi na incidenty zabezpečení u svých produktů a služeb.Microsoft has a dedicated team to respond to security incidents in its products and services. Jakmile se objeví důvěryhodné hlášení o incidentu, tento tým začne vyšetřovat jeho rozsah, hlavní příčinu a způsob zmírnění jeho dopadu.As soon as there is a credible report of an incident, this team engages to investigate the scope, root cause, and mitigations. Pokud tento incident ovlivní vaše prostředky, Microsoft upozorní správce klienta Azure Information Protection e-mailem, pomocí e-mailovou adresu, kterou jste zadali při přihlášení odběru.If this incident affects your assets, Microsoft will notify your Azure Information Protection tenant administrators by email, by using the email address that you supplied when you subscribed.

V případě porušení zabezpečení závisí další kroky, ať už vaše, nebo Microsoftu, na rozsahu porušení. Microsoft s vámi na tomto procesu bude spolupracovat.If you have a breach, the best action that you or Microsoft can take depends on the scope of the breach; Microsoft will work with you through this process. Následující tabulka uvádí některé typické situace a pravděpodobnou reakci. Konkrétní reakce pak bude záviset na všech informacích, které se zjistí během šetření.The following table shows some typical situations and the likely response, although the exact response depends on all the information that is revealed during the investigation.

Popis incidentuIncident description Pravděpodobná reakceLikely response
Došlo k úniku klíče tenanta.Your tenant key is leaked. Vytvořte klíč tenanta znovu.Rekey your tenant key. Další informace najdete v části Opětovné vytvoření klíče tenanta v tomto článku.See the Rekey your tenant key section in this article.
Neautorizovaný uživatel nebo malware získal práva na používání vašeho klíče tenanta, ale klíč sám o sobě neunikl.An unauthorized individual or malware got rights to use your tenant key but the key itself did not leak. Tady opětovné vytvoření klíče tenanta nepomůže, je potřeba provést analýzu hlavní příčiny.Rekeying your tenant key does not help here and requires root-cause analysis. Pokud za získání přístupu neautorizované osoby z působila chyba procesu nebo softwaru, musí se tato situace vyřešit.If a process or software bug was responsible for the unauthorized individual to get access, that situation must be resolved.
V algoritmu RSA nebo délce klíče se zjistí chyba zabezpečení nebo v rámci výpočetních procesů začnou být možné útoky hrubou silou.Vulnerability discovered in the RSA algorithm, or key length, or brute-force attacks become computationally feasible. Microsoft musí aktualizovat Azure Information Protection pro podporu nových algoritmů a delších klíčů, které jsou odolné a dá pokyn všem zákazníkům, aby se změna hodnoty klíče jejich klíče klienta.Microsoft must update Azure Information Protection to support new algorithms and longer key lengths that are resilient, and instruct all customers to rekey their tenant key.

KomentářeComments

Před přidáním komentáře se podívejte na naše pravidla organizace.Before commenting, we ask that you review our House rules.