Spravované zákazníkem: operace životního cyklu klíče tenantaCustomer-managed: Tenant key life cycle operations

*Platí pro: Azure Information Protection, Office 365**Applies to: Azure Information Protection, Office 365*

*Relevantní pro: AIP s jednotným označením klienta a klasického klienta**Relevant for: AIP unified labeling client and classic client*

Poznámka

Pro zajištění jednotného a zjednodušeného prostředí pro zákazníky se Azure Information Protection klasický klient a Správa štítků na portálu Azure Portal od 31. března 2021.To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. I když klasický klient nadále funguje tak, jak je nakonfigurován, není k dispozici žádná další podpora a verze údržby již nebudou pro klasického klienta uvolněny.While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client.

Doporučujeme migrovat na jednotné označování a upgradovat na klienta jednotného označování.We recommend that you migrate to unified labeling and upgrade to the unified labeling client. Další informace najdete na našem nedávný blogo vyřazení.Learn more in our recent deprecation blog.

Pokud svůj klíč tenanta pro Azure Information Protection (scénář Přineste si vlastní klíč neboli BYOK) spravujete, použijte následující části, kde najdete další informace o operacích životního cyklu, které jsou relevantní pro tuto topologii.If you manage your tenant key for Azure Information Protection (the bring your own key, or BYOK, scenario), use the following sections for more information about the life cycle operations that are relevant to this topology.

Odvolání klíče tenantaRevoke your tenant key

V některých případech může být potřeba odvolat klíč místo opětovného použití klíče.There are very few scenarios when you might need to revoke your key instead of rekeying. Když klíč odvoláte, veškerý obsah, který je chráněný vaším klientem pomocí tohoto klíče, se nezpřístupní všem (včetně Microsoftu, globálním správcům a superuživatele), pokud nemáte zálohu klíče, který můžete obnovit.When you revoke your key, all content that has been protected by your tenant using that key will become inaccessible to everybody (including Microsoft, your global admins, and super users) unless you have a backup of the key that you can restore. Po odvolání klíče nebude možné chránit nový obsah, dokud nevytvoříte a nenakonfigurujete nový klíč tenanta pro Azure Information Protection.After revoking your key, you won't be able to protect new content until you create and configure a new tenant key for Azure Information Protection.

Pokud chcete odvolat klíč tenanta spravovaný zákazníkem, v Azure Key Vault změňte oprávnění k trezoru klíčů, který obsahuje klíč tenanta Azure Information Protection, aby služba Azure Rights Management neměla přístup k tomuto klíči.To revoke your customer-managed tenant key, in Azure Key Vault, change the permissions on the key vault that contains your Azure Information Protection tenant key so that the Azure Rights Management service can no longer access the key. Tato akce efektivně odvolá klíč tenanta pro Azure Information Protection.This action effectively revokes the tenant key for Azure Information Protection.

Když zrušíte předplatné pro službu Azure Information Protection, přestane tato služba používat váš klíč tenanta, přičemž z vaší strany není nutná žádná akce.When you cancel your subscription for Azure Information Protection, Azure Information Protection stops using your tenant key and no action is needed from you.

Opětovné vytvoření klíče tenantaRekey your tenant key

Tato akce umožňuje znovu vytvořit klíč tenanta.Rekeying is also known as rolling your key. Když tuto operaci provedete, Azure Information Protection přestane používat existující klíč tenanta k ochraně dokumentů a e-mailů a začne používat jiný klíč.When you do this operation, Azure Information Protection stops using the existing tenant key to protect documents and emails, and starts to use a different key. Zásady a šablony jsou okamžitě znovu podepsány, ale tento přechod je postupný u stávajících klientů a služeb pomocí Azure Information Protection.Policies and templates are immediately resigned but this changeover is gradual for existing clients and services using Azure Information Protection. V některých případech je dál chráněn i nějaký nový obsah pomocí starého klíče tenanta.So for some time, some new content continues to be protected with the old tenant key.

Chcete-li obnovit klíč, je nutné nakonfigurovat objekt klíče tenanta a zadat alternativní klíč, který se má použít.To rekey, you must configure the tenant key object and specify the alternative key to use. Dříve použitý klíč je pak automaticky označený jako archivovaný pro Azure Information Protection.Then, the previously used key is automatically marked as archived for Azure Information Protection. Tato konfigurace zajišťuje, že obsah, který byl chráněný pomocí tohoto klíče, zůstane přístupný.This configuration ensures that content that was protected by using this key remains accessible.

Příklady, kdy může být nutné obnovit klíč pro Azure Information Protection:Examples of when you might need to rekey for Azure Information Protection:

  • Vaše společnost se rozdělila na dvě nebo více společností.Your company has split into two or more companies. Když znovu vytvoříte klíč tenanta, nová společnost nebude mít přístup k novému obsahu publikovanému vašimi zaměstnanci.When you rekey your tenant key, the new company will not have access to new content that your employees publish. Bude mít přístup jenom ke starému obsahu, pokud má ovšem kopii starého klíče tenanta.They can access the old content if they have a copy of the old tenant key.

  • Chcete přejít z jedné topologie správy klíčů do jiné.You want to move from one key management topology to another.

  • Domníváte se, že hlavní kopie vašeho klíče tenanta (kopie ve vašem vlastnictví) je ohrožená.You believe the master copy of your tenant key (the copy in your possession) is compromised.

Pokud chcete znovu vytvořit nové klíče, který spravujete, můžete buď vytvořit nový klíč v Azure Key Vault nebo použít jiný klíč, který je již v Azure Key Vault.To rekey to another key that you manage, you can either create a new key in Azure Key Vault or use a different key that is already in Azure Key Vault. Pak postupujte podle stejných postupů, které jste provedli k implementaci BYOK pro Azure Information Protection.Then follow the same procedures that you did to implement BYOK for Azure Information Protection.

  1. Jenom v případě, že se nový klíč nachází v jiném trezoru klíčů jako ten, který už používáte pro Azure Information Protection: autorizovat Azure Information Protection k použití trezoru klíčů pomocí rutiny set-AzKeyVaultAccessPolicy .Only if the new key is in a different key vault to the one you are already using for Azure Information Protection: Authorize Azure Information Protection to use the key vault, by using the Set-AzKeyVaultAccessPolicy cmdlet.

  2. Pokud Azure Information Protection ještě neví o klíči, který chcete použít, spusťte rutinu Use-AipServiceKeyVaultKey .If Azure Information Protection doesn't already know about the key you want to use, run Use-AipServiceKeyVaultKey cmdlet.

  3. Nakonfigurujte objekt klíče tenanta pomocí rutiny Run set-AipServiceKeyProperties .Configure the tenant key object, by using the run Set-AipServiceKeyProperties cmdlet.

Další informace o každém z těchto kroků:For more information about each of these steps:

  • Postup opětovného vytvoření klíče pro jiný klíč, který spravujete, najdete v tématu plánování a implementace klíče tenanta Azure Information Protection.To rekey to another key that you manage, see Planning and implementing your Azure Information Protection tenant key.

    Pokud předáváte klíč chráněný modulem HSM, který vytvoříte místně, a přenášíte na Key Vault, můžete použít stejný svět zabezpečení a přístupové karty, jako jste použili pro aktuální klíč.If you are rekeying an HSM-protected key that you create on-premises and transfer to Key Vault, you can use the same security world and access cards as you used for your current key.

  • Pokud chcete znovu vytvořit klíč, přejděte na klíč, který Microsoft pro vás spravuje, a přečtěte si část opětovné vytvoření klíče tenanta pro operace spravované Microsoftem.To rekey, changing to a key that Microsoft manages for you, see the Rekey your tenant key section for Microsoft-managed operations.

Zálohování a obnova klíče tenantaBackup and recover your tenant key

Protože svůj klíč tenanta spravujete, zodpovídáte za zálohování klíče, který Azure Information Protection používá.Because you are managing your tenant key, you are responsible for backing up the key that Azure Information Protection uses.

Pokud jste klíč tenanta vygenerovali místně, v modulu HSM podpůrný software nCipher: Pokud chcete zálohovat klíč, zálohujte soubor klíče s tokeny, soubor World a karty správce.If you generated your tenant key on premises, in a nCipher HSM: To back up the key, back up the tokenized key file, the world file, and the administrator cards. Když svůj klíč převedete do Azure Key Vault, služba uloží soubor s klíčovým klíčem, aby chránil před selháním jakýchkoli uzlů služby.When you transfer your key to Azure Key Vault, the service saves the tokenized key file, to protect against failure of any service nodes. Tento soubor je vázaný k prostředí zabezpečení pro konkrétní instanci nebo oblast Azure.This file is bound to the security world for the specific Azure region or instance. Tento soubor klíče s tokeny však nepovažujte za úplnou zálohu.However, do not consider this tokenized key file to be a full backup. Pokud třeba někdy budete potřebovat kopii vašeho klíče ve formátu prostého textu Azure Key Vault, abyste mohli používat mimo modul HSM podpůrný software nCipher, nemůžete ho pro vás načíst, protože má jenom neobnovitelnou kopii.For example, if you ever need a plain text copy of your key to use outside a nCipher HSM, Azure Key Vault cannot retrieve it for you, because it has only a non-recoverable copy.

Azure Key Vault má zálohovací rutinu , kterou můžete použít k zálohování klíče tak, že ho stáhnete a uložíte v souboru.Azure Key Vault has a backup cmdlet that you can use to back up a key by downloading it and storing it in a file. Stažený obsah je zašifrovaný, protože ho nelze použít mimo Azure Key Vault.Because the downloaded content is encrypted, it cannot be used outside Azure Key Vault.

Export vašeho klíče tenantaExport your tenant key

Pokud používáte BYOK, nemůžete exportovat klíč tenanta ze služby Azure Key Vault nebo Azure Information Protection.If you use BYOK, you cannot export your tenant key from Azure Key Vault or Azure Information Protection. Kopie ve službě Azure Key Vault je neobnovitelná.The copy in Azure Key Vault is non-recoverable.

Reakce na porušení zabezpečeníRespond to a breach

Žádný systém zabezpečení, ani ten nejsilnější, není kompletní bez postupu pro případ porušení zabezpečení.No security system, no matter how strong, is complete without a breach response process. Může dojít k narušení nebo krádeži vašeho klíče tenanta.Your tenant key might be compromised or stolen. I v případě, že je chráněný, můžou se chyby zabezpečení najít v aktuální technologii generování klíčů nebo v aktuálních délkách klíčů a algoritmech.Even when it’s protected well, vulnerabilities might be found in current generation key technology or in current key lengths and algorithms.

Microsoft má vyhrazený tým, který se zabývá reakcemi na incidenty zabezpečení u svých produktů a služeb.Microsoft has a dedicated team to respond to security incidents in its products and services. Jakmile se objeví důvěryhodné hlášení o incidentu, tento tým začne vyšetřovat jeho rozsah, hlavní příčinu a způsob zmírnění jeho dopadu.As soon as there is a credible report of an incident, this team engages to investigate the scope, root cause, and mitigations. Pokud tento incident ovlivní vaše prostředky, Microsoft inupozorní globální správce tenanta e-mailem.If this incident affects your assets, Microsoft notifies your tenant Global administrators by email.

V případě porušení zabezpečení závisí další kroky, ať už vaše, nebo Microsoftu, na rozsahu porušení. Microsoft s vámi na tomto procesu bude spolupracovat.If you have a breach, the best action that you or Microsoft can take depends on the scope of the breach; Microsoft will work with you through this process. Následující tabulka uvádí některé typické situace a pravděpodobnou reakci. Konkrétní reakce pak bude záviset na všech informacích, které se zjistí během šetření.The following table shows some typical situations and the likely response, although the exact response depends on all the information that is revealed during the investigation.

Popis incidentuIncident description Pravděpodobná reakceLikely response
Došlo k úniku klíče tenanta.Your tenant key is leaked. Vytvořte klíč tenanta znovu.Rekey your tenant key. Viz opětovné vytvoření klíče tenanta.See Rekey your tenant key.
Neoprávněný uživatel nebo malware získal práva na používání vašeho klíče tenanta, ale klíč sám o sobě neunikl.An unauthorized individual or malware got rights to use your tenant key but the key itself did not leak. Tady opětovné vytvoření klíče tenanta nepomůže, je potřeba provést analýzu hlavní příčiny.Rekeying your tenant key does not help here and requires root-cause analysis. Pokud za získání přístupu neautorizované osoby z působila chyba procesu nebo softwaru, musí se tato situace vyřešit.If a process or software bug was responsible for the unauthorized individual to get access, that situation must be resolved.
Chyba zabezpečení zjištěná v technologii HSM aktuální generace.Vulnerability discovered in the current-generation HSM technology. Microsoft musí aktualizovat moduly hardwarového zabezpečení.Microsoft must update the HSMs. Pokud se domníváte, že klíče vystavené ohrožení zabezpečení, Microsoft bude dát všem zákazníkům pokyn k opětovnému vytvoření klíče tenanta.If there is reason to believe that the vulnerability exposed keys, Microsoft will instruct all customers to rekey their tenant keys.
V algoritmu RSA nebo délce klíče se zjistí chyba zabezpečení nebo v rámci výpočetních procesů začnou být možné útoky hrubou silou.Vulnerability discovered in the RSA algorithm, or key length, or brute-force attacks become computationally feasible. Společnost Microsoft musí aktualizovat Azure Key Vault nebo Azure Information Protection, aby podporovala nové algoritmy a delší délky klíčů, které jsou odolné, a dát všem zákazníkům pokyn k opětovnému vytvoření klíče tenanta.Microsoft must update Azure Key Vault or Azure Information Protection to support new algorithms and longer key lengths that are resilient, and instruct all customers to rekey their tenant key.