Spravované Microsoftem: operace životního cyklu klíče tenantaMicrosoft-managed: Tenant key life cycle operations

*Platí pro: Azure Information Protection, Office 365**Applies to: Azure Information Protection, Office 365*

*Relevantní pro: AIP s jednotným označením klienta a klasického klienta**Relevant for: AIP unified labeling client and classic client*

Poznámka

Pro zajištění jednotného a zjednodušeného prostředí pro zákazníky se Azure Information Protection klasický klient a Správa štítků na portálu Azure Portal od 31. března 2021.To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. I když klasický klient nadále funguje tak, jak je nakonfigurován, není k dispozici žádná další podpora a verze údržby již nebudou pro klasického klienta uvolněny.While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client.

Doporučujeme migrovat na jednotné označování a upgradovat na klienta jednotného označování.We recommend that you migrate to unified labeling and upgrade to the unified labeling client. Další informace najdete na našem nedávný blogo vyřazení.Learn more in our recent deprecation blog.

Pokud váš klíč tenanta spravuje Microsoft pro Azure Information Protection (výchozí), použijte následující části, kde najdete další informace o operacích životního cyklu, které jsou relevantní pro tuto topologii.If Microsoft manages your tenant key for Azure Information Protection (the default), use the following sections for more information about the life cycle operations that are relevant to this topology.

Odvolání klíče tenantaRevoke your tenant key

Když zrušíte předplatné pro službu Azure Information Protection, přestane tato služba používat váš klíč tenanta, přičemž z vaší strany není nutná žádná akce.When you cancel your subscription for Azure Information Protection, Azure Information Protection stops using your tenant key and no action is needed from you.

Opětovné vytvoření klíče tenantaRekey your tenant key

Tato akce umožňuje znovu vytvořit klíč tenanta.Rekeying is also known as rolling your key. Když tuto operaci provedete, Azure Information Protection přestane používat existující klíč tenanta k ochraně dokumentů a e-mailů a začne používat jiný klíč.When you do this operation, Azure Information Protection stops using the existing tenant key to protect documents and emails, and starts to use a different key. Zásady a šablony jsou okamžitě znovu podepsány, ale tento přechod je postupný u stávajících klientů a služeb pomocí Azure Information Protection.Policies and templates are immediately resigned but this changeover is gradual for existing clients and services using Azure Information Protection. V některých případech je dál chráněn i nějaký nový obsah pomocí starého klíče tenanta.So for some time, some new content continues to be protected with the old tenant key.

Chcete-li obnovit klíč, je nutné nakonfigurovat objekt klíče tenanta a zadat alternativní klíč, který se má použít.To rekey, you must configure the tenant key object and specify the alternative key to use. Dříve použitý klíč je pak automaticky označený jako archivovaný pro Azure Information Protection.Then, the previously used key is automatically marked as archived for Azure Information Protection. Tato konfigurace zajišťuje, že obsah, který byl chráněný pomocí tohoto klíče, zůstane přístupný.This configuration ensures that content that was protected by using this key remains accessible.

Příklady, kdy může být nutné obnovit klíč pro Azure Information Protection:Examples of when you might need to rekey for Azure Information Protection:

  • Migrovali jste z služba AD RMS (Active Directory Rights Management Services) (AD RMS) s klíčem kryptografického režimu 1.You have migrated from Active Directory Rights Management Services (AD RMS) with a cryptographic mode 1 key. Po dokončení migrace se budete chtít změnit na použití klíče, který používá kryptografický režim 2.When the migration is complete, you want to change to using a key that uses cryptographic mode 2.

  • Vaše společnost se rozdělila na dvě nebo více společností.Your company has split into two or more companies. Když znovu vytvoříte klíč tenanta, nová společnost nebude mít přístup k novému obsahu publikovanému vašimi zaměstnanci.When you rekey your tenant key, the new company will not have access to new content that your employees publish. Bude mít přístup jenom ke starému obsahu, pokud má ovšem kopii starého klíče tenanta.They can access the old content if they have a copy of the old tenant key.

  • Chcete přejít z jedné topologie správy klíčů do jiné.You want to move from one key management topology to another.

  • Věříte, že dojde k ohrožení hlavní kopie vašeho klíče tenanta.You believe the master copy of your tenant key is compromised.

K opětovnému vytvoření klíče můžete vybrat jiný klíč spravovaný Microsoftem, který se stane vaším klíčem tenanta, ale nemůžete vytvořit nový klíč spravovaný společností Microsoft.To rekey, you can select a different Microsoft-managed key to become your tenant key, but you cannot create a new Microsoft-managed key. Pokud chcete vytvořit nový klíč, musíte změnit svou topologii klíče tak, aby byla spravovaná zákazníkem (BYOK).To create a new key, you must change your key topology to be customer-managed (BYOK).

Pokud jste migrovali z služba AD RMS (Active Directory Rights Management Services) (AD RMS) a pro Azure Information Protection zvolili klíčovou topologii spravovanou Microsoftem, máte k dispozici více než jeden klíč spravovaný společností Microsoft.You have more than one Microsoft-managed key if you migrated from Active Directory Rights Management Services (AD RMS) and chose the Microsoft-managed key topology for Azure Information Protection. V tomto scénáři máte pro vašeho tenanta aspoň dva klíče spravované Microsoftem.In this scenario, you have at least two Microsoft-managed keys for your tenant. Jedním z nich je klíč nebo klíče, které jste importovali ze služby AD RMS.One key, or more, is the key or keys that you imported from AD RMS. Také budete mít k dispozici výchozí klíč, který byl automaticky vytvořen pro vašeho tenanta Azure Information Protection.You will also have the default key that was automatically created for your Azure Information Protection tenant.

Pokud chcete jako svůj aktivní klíč tenanta pro Azure Information Protection vybrat jiný klíč, použijte rutinu set-AipServiceKeyProperties z modulu AIPService.To select a different key to be your active tenant key for Azure Information Protection, use the Set-AipServiceKeyProperties cmdlet from the AIPService module. Pomocí rutiny Get-AipServiceKeys vám pomůžou určit, který klíč se má použít.To help you identify which key to use, use the Get-AipServiceKeys cmdlet. Výchozí klíč, který byl automaticky vytvořen pro vašeho tenanta Azure Information Protection, můžete zjistit spuštěním následujícího příkazu:You can identify the default key that was automatically created for your Azure Information Protection tenant by running the following command:

(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1

Pokud chcete změnit svoji topologii klíčů na spravované zákazníky (BYOK), přečtěte si téma plánování a implementace klíče tenanta Azure Information Protection.To change your key topology to be customer-managed (BYOK), see Planning and implementing your Azure Information Protection tenant key.

Zálohování a obnova klíče tenantaBackup and recover your tenant key

Za zálohování vašeho klíče tenanta zodpovídá Microsoft a vy nemusíte provádět žádné kroky.Microsoft is responsible for backing up your tenant key and no action is required from you.

Export vašeho klíče tenantaExport your tenant key

Konfiguraci Azure Information Protection a klíč tenanta můžete exportovat podle pokynů v následujících třech krocích:You can export your Azure Information Protection configuration and tenant key by following the instructions in the following three steps:

Krok 1: Zahájení exportuStep 1: Initiate export

  • Kontaktujte podpora Microsoftu pro otevření případu podpory Azure Information Protection s žádostí o export klíče Azure Information Protection.Contact Microsoft Support to open an Azure Information Protection support case with a request for an Azure Information Protection key export. Musíte prokázat, že jste globálním správcem vašeho tenanta, a porozumět tomu, že tento proces trvá několik dní na potvrzení.You must prove you are a Global administrator for your tenant, and understand that this process takes several days to confirm. Budou se účtovat standardní poplatky za podporu. Export klíče tenanta není bezplatná služba.Standard support charges apply; exporting your tenant key is not a free-of-charge support service.

Krok 2: Čekání na ověřeníStep 2: Wait for verification

  • Microsoft ověří, jestli je váš požadavek na uvolnění klíče tenanta Azure Information Protection oprávněný.Microsoft verifies that your request to release your Azure Information Protection tenant key is legitimate. Tento proces může trvat až tři týdny.This process can take up to three weeks.

Krok 3: Přijetí pokynů pro klíč od oddělení služeb zákaznické podporyStep 3: Receive key instructions from CSS

  • Oddělení služeb zákaznické podpory Microsoftu vám pošle vaši konfiguraci služby Azure Information Protection a klíč tenanta v zašifrovaném souboru chráněném heslem.Microsoft Customer Support Services (CSS) sends you your Azure Information Protection configuration and tenant key encrypted in a password-protected file. Soubor má příponu TPD.This file has a .tpd file name extension. Za tím účelem vám (jako osobě, která zahájila export) oddělení služeb zákaznické podpory nejdřív pošle e-mailem určitý nástroj.To do this, CSS first sends you (as the person who initiated the export) a tool by email. Tento nástroj musíte následujícím způsobem spustit z příkazového řádku:You must run the tool from a command prompt as follows:

    AadrmTpd.exe -createkey
    

    Tím se vygeneruje pár klíče RSA a jeho veřejná i privátní polovina se uloží jako soubory do aktuální složky.This generates an RSA key pair and saves the public and private halves as files in the current folder. Příklad: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt a PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.For example: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt and PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.

    Odpovězte na e-mail od oddělení služeb zákaznické podpory a připojte soubor, jehož název začíná textem PublicKey.Respond to the email from CSS, attaching the file that has a name that starts with PublicKey. Šablony stylů CSS dále pošle soubor TPD jako soubor. XML, který je zašifrovaný pomocí vašeho klíče RSA.CSS next sends you a TPD file as an .xml file that is encrypted with your RSA key. Zkopírujte tento soubor do stejné složky, ve které jste původně spustili nástroj AadrmTpd, a spusťte nástroj znovu, tentokrát pomocí souboru, jehož název začíná textem PrivateKey, a souboru od oddělení služeb zákaznické podpory.Copy this file to the same folder as you ran the AadrmTpd tool originally, and run the tool again, using your file that starts with PrivateKey and the file from CSS. Například:For example:

    AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
    

    Výstupem tohoto příkazu by měly být dva soubory: jeden obsahuje heslo (ve formátu prostého textu) k chráněnému souboru TPD a druhý je samotný soubor TPD chráněný heslem.The output of this command should be two files: One contains the plain text password for the password-protected TPD, and the other is the password-protected TPD itself. Soubory mají nový identifikátor GUID, například:The files have a new GUID, for example:

    • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txtPassword-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

    • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xmlExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

      Tyto soubory zálohujte a bezpečně je uložte, abyste měli jistotu, že budete moct dál dešifrovat obsah chráněný tímto klíčem tenanta.Back up these files and store them safely to ensure that you can continue to decrypt content that is protected with this tenant key. Kromě toho, pokud migrujete na AD RMS, můžete tento soubor TPD (soubor s názvem začínajícím textem ExportedTDP) importovat na server služby AD RMS.In addition, if you are migrating to AD RMS, you can import this TPD file (the file that starts with ExportedTDP) to your AD RMS server.

Krok 4: Průběžně: ochrana vašeho klíče tenantaStep 4: Ongoing: Protect your tenant key

Až dostanete svůj klíč tenanta, dobře ho chraňte, protože pokud k němu někdo získá přístup, bude moct dešifrovat všechny dokumenty chráněné pomocí tohoto klíče.After you receive your tenant key, keep it well-guarded, because if somebody gets access to it, they can decrypt all documents that are protected by using that key.

Je-li důvodem pro export klíče tenata skutečnost, že už nechcete používat službu Azure Information Protection, doporučujeme deaktivovat službu Azure Rights Management z vašeho tenanta Azure Information Protection.If the reason for exporting your tenant key is because you no longer want to use Azure Information Protection, as a best practice, now deactivate the Azure Rights Management service from your Azure Information Protection tenant. Tento krok po obdržení klíče tenanta neodkládejte: toto opatření vám pomůže omezit případné následky, kdyby k vašemu klíči tenanta někdo získal neoprávněný přístup.Do not delay doing this after you receive your tenant key because this precaution helps to minimize the consequences if your tenant key is accessed by somebody who should not have it. Pokyny najdete v tématu vyřazení služby Azure Rights Management z provozu a její deaktivace.For instructions, see Decommissioning and deactivating Azure Rights Management.

Reakce na porušení zabezpečeníRespond to a breach

Žádný systém zabezpečení, ani ten nejsilnější, není kompletní bez postupu pro případ porušení zabezpečení.No security system, no matter how strong, is complete without a breach response process. Může dojít k narušení nebo krádeži vašeho klíče tenanta.Your tenant key might be compromised or stolen. I v případě, že je chráněný, můžou se chyby zabezpečení najít v aktuální technologii generování klíčů nebo v aktuálních délkách klíčů a algoritmech.Even when it’s protected well, vulnerabilities might be found in current generation key technology or in current key lengths and algorithms.

Microsoft má vyhrazený tým, který se zabývá reakcemi na incidenty zabezpečení u svých produktů a služeb.Microsoft has a dedicated team to respond to security incidents in its products and services. Jakmile se objeví důvěryhodné hlášení o incidentu, tento tým začne vyšetřovat jeho rozsah, hlavní příčinu a způsob zmírnění jeho dopadu.As soon as there is a credible report of an incident, this team engages to investigate the scope, root cause, and mitigations. Pokud tento incident ovlivní vaše prostředky, Microsoft upozorní globální správce vašeho tenanta e-mailem.If this incident affects your assets, Microsoft will notify the Global administrators for your tenant by email.

V případě porušení zabezpečení závisí další kroky, ať už vaše, nebo Microsoftu, na rozsahu porušení. Microsoft s vámi na tomto procesu bude spolupracovat.If you have a breach, the best action that you or Microsoft can take depends on the scope of the breach; Microsoft will work with you through this process. Následující tabulka uvádí některé typické situace a pravděpodobnou reakci. Konkrétní reakce pak bude záviset na všech informacích, které se zjistí během šetření.The following table shows some typical situations and the likely response, although the exact response depends on all the information that is revealed during the investigation.

Popis incidentuIncident description Pravděpodobná reakceLikely response
Došlo k úniku klíče tenanta.Your tenant key is leaked. Vytvořte klíč tenanta znovu.Rekey your tenant key. Další informace najdete v části Opětovné vytvoření klíče tenanta v tomto článku.See the Rekey your tenant key section in this article.
Neoprávněný uživatel nebo malware získal práva na používání vašeho klíče tenanta, ale klíč sám o sobě neunikl.An unauthorized individual or malware got rights to use your tenant key but the key itself did not leak. Tady opětovné vytvoření klíče tenanta nepomůže, je potřeba provést analýzu hlavní příčiny.Rekeying your tenant key does not help here and requires root-cause analysis. Pokud za získání přístupu neautorizované osoby z působila chyba procesu nebo softwaru, musí se tato situace vyřešit.If a process or software bug was responsible for the unauthorized individual to get access, that situation must be resolved.
V algoritmu RSA nebo délce klíče se zjistí chyba zabezpečení nebo v rámci výpočetních procesů začnou být možné útoky hrubou silou.Vulnerability discovered in the RSA algorithm, or key length, or brute-force attacks become computationally feasible. Společnost Microsoft musí aktualizovat Azure Information Protection pro podporu nových algoritmů a delších délek klíčů, které jsou odolné, a dát všem zákazníkům pokyn k opětovnému vytvoření klíče tenanta.Microsoft must update Azure Information Protection to support new algorithms and longer key lengths that are resilient, and instruct all customers to rekey their tenant key.