Vom Kunden verwaltet: Lebenszyklusvorgänge für MandantenschlüsselCustomer-managed: Tenant key life cycle operations

Gilt für: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Wenn Ihr Mandantenschlüssel für Azure Information Protection von Ihnen verwaltet wird (BYOK-Szenario), finden Sie in den folgenden Abschnitten weitere Informationen zu den Lebenszyklusvorgängen, die für diese Topologie relevant sind.If you manage your tenant key for Azure Information Protection (the bring your own key, or BYOK, scenario), use the following sections for more information about the life cycle operations that are relevant to this topology.

Widerrufen Ihres MandantenschlüsselsRevoke your tenant key

Es gibt nur wenige Szenarios, in denen Sie ggf. ihren Schlüssel widerrufen müssen, anstatt Sie neu zu konfigurieren.There are very few scenarios when you might need to revoke your key instead of rekeying. Wenn Sie Ihren Schlüssel widerrufen, können alle Inhalte, die mit diesem Schlüssel von Ihrem Mandanten geschützt wurden, nicht für alle Benutzer (einschließlich Microsoft, ihre globalen Administratoren und Administratoren) zugänglich sein, es sei denn, Sie haben eine Sicherung des Schlüssels, den Sie wiederherstellen können.When you revoke your key, all content that has been protected by your tenant using that key will become inaccessible to everybody (including Microsoft, your global admins, and super users) unless you have a backup of the key that you can restore. Nachdem Sie Ihren Schlüssel widerrufen haben, können Sie erst dann neue Inhalte schützen, wenn Sie einen neuen Mandanten Schlüssel für Azure Information Protection erstellt und konfiguriert haben.After revoking your key, you won't be able to protect new content until you create and configure a new tenant key for Azure Information Protection.

Um Ihren vom Kunden verwalteten Mandanten Schlüssel zu widerrufen, ändern Sie in Azure Key Vault die Berechtigungen für den Schlüssel Tresor, der Ihren Azure Information Protection Mandanten Schlüssel enthält, sodass der Azure Rights Management-Dienst nicht mehr auf den Schlüssel zugreifen kann.To revoke your customer-managed tenant key, in Azure Key Vault, change the permissions on the key vault that contains your Azure Information Protection tenant key so that the Azure Rights Management service can no longer access the key. Durch diese Aktion wird der Mandanten Schlüssel für Azure Information Protection wirksam widerrufen.This action effectively revokes the tenant key for Azure Information Protection.

Wenn Sie Ihr Abonnement für Azure Information Protection kündigen, wird Ihr Mandantenschlüssel in Azure Information Protection nicht mehr verwendet. Es ist keine weitere Aktion erforderlich.When you cancel your subscription for Azure Information Protection, Azure Information Protection stops using your tenant key and no action is needed from you.

Neuerstellung Ihres MandantenschlüsselsRekey your tenant key

Die Neuerstellung eines Schlüssels wird auch als „Rollover“ bezeichnet.Rekeying is also known as rolling your key. Wenn Sie diesen Vorgang ausführen, verwendet Azure Information Protection nicht mehr den vorhandenen Mandantenschlüssel zum Schützen von Dokumenten und E-Mails sondern einen anderen Schlüssel.When you do this operation, Azure Information Protection stops using the existing tenant key to protect documents and emails, and starts to use a different key. Richtlinien und Vorlagen werden umgehend erneut signiert. Diese Umstellung erfolgt jedoch gestaffelt für vorhandene Kunden und Dienste, die Azure Information Protection verwenden.Policies and templates are immediately resigned but this changeover is gradual for existing clients and services using Azure Information Protection. Daher werden neue Inhalte eine Zeit lang noch durch den alten Mandantenschlüssel geschützt.So for some time, some new content continues to be protected with the old tenant key.

Um einen neuen Schlüssel zu erstellen, müssen Sie das Mandantenschlüsselobjekt konfigurieren und den alternativen Schlüssel angeben, der verwendet werden soll.To rekey, you must configure the tenant key object and specify the alternative key to use. Anschließend wird der zuvor verwendete Schlüssel für Azure Information Protection automatisch als archiviert gekennzeichnet.Then, the previously used key is automatically marked as archived for Azure Information Protection. Diese Konfiguration stellt sicher, dass der Inhalt, der mithilfe dieses Schlüssels geschützt wurde, weiterhin zugänglich ist.This configuration ensures that content that was protected by using this key remains accessible.

Beispiele für Fälle, in denen Sie möglicherweise einen neuen Schlüssel für Azure Information Protection erstellen müssen:Examples of when you might need to rekey for Azure Information Protection:

  • Ihr Unternehmen wurde in zwei oder mehr Unternehmen aufgeteilt.Your company has split into two or more companies. Wenn Sie Ihren Mandantenschlüssel neu erstellen, hat das neue Unternehmen keinen Zugriff auf neue Inhalte, die von Ihren Mitarbeitern veröffentlicht werden.When you rekey your tenant key, the new company will not have access to new content that your employees publish. Sie können auf den alten Inhalt zugreifen, wenn sie eine Kopie des alten Mandantenschlüssels besitzen.They can access the old content if they have a copy of the old tenant key.

  • Sie möchten eine andere Schlüsselverwaltungstopologie verwenden.You want to move from one key management topology to another.

  • Sie glauben, dass die Masterkopie Ihres Mandantenschlüssels (die in Ihrem Besitz befindliche Kopie) kompromittiert wurde.You believe the master copy of your tenant key (the copy in your possession) is compromised.

Zur Nutzung eines anderen verwalteten Schlüssels können Sie entweder einen neuen Schlüssel in Azure Key Vault erstellen oder einen anderen, bereits in Azure Key Vault vorhandenen Schlüssel verwenden.To rekey to another key that you manage, you can either create a new key in Azure Key Vault or use a different key that is already in Azure Key Vault. Führen Sie anschließend dieselben Schritte aus wie beim Implementieren von BYOK für Azure Information Protection.Then follow the same procedures that you did to implement BYOK for Azure Information Protection.

  1. Nur, wenn sich der neue Schlüssel in einem anderen Schlüssel Tresor befindet, den Sie bereits für Azure Information Protection verwenden: autorisieren Sie Azure Information Protection, den Schlüssel Tresor zu verwenden, indem Sie das Cmdlet Set-azkeyvaultaccesspolicy verwenden.Only if the new key is in a different key vault to the one you are already using for Azure Information Protection: Authorize Azure Information Protection to use the key vault, by using the Set-AzKeyVaultAccessPolicy cmdlet.

  2. Wenn Azure Information Protection den Schlüssel, den Sie verwenden möchten, nicht bereits kennen, führen Sie das Cmdlet use-aipservicekeyvaultkey aus.If Azure Information Protection doesn't already know about the key you want to use, run Use-AipServiceKeyVaultKey cmdlet.

  3. Konfigurieren Sie das Mandanten Schlüsselobjekt mithilfe des Cmdlets Set-aipservicekeyproperties ausführen.Configure the tenant key object, by using the run Set-AipServiceKeyProperties cmdlet.

Weitere Informationen zu den jeweiligen Schritten erhalten Sie wie Folgt:For more information about each of these steps:

Sicherung und Wiederherstellung Ihres MandantenschlüsselsBackup and recover your tenant key

Da Sie Ihren Mandantenschlüssel verwalten, sind Sie verantwortlich für das Sichern des Schlüssels, den Azure Information Protection verwendet.Because you are managing your tenant key, you are responsible for backing up the key that Azure Information Protection uses.

Wenn Sie Ihren Mandanten Schlüssel lokal generiert haben, in einem nchiffre-HSM: um den Schlüssel zu sichern, sichern Sie die tokenschlüsseldatei, die World-Datei und die Administrator Karten.If you generated your tenant key on premises, in a nCipher HSM: To back up the key, back up the tokenized key file, the world file, and the administrator cards. Wenn Sie Ihren Schlüssel in Azure Key Vault übertragen, speichert der Dienst die Tokenschlüsseldatei, um vor Fehlern der Dienstknoten zu schützen.When you transfer your key to Azure Key Vault, the service saves the tokenized key file, to protect against failure of any service nodes. Diese Datei ist an den Sicherheitsbereich für die bestimmte Azure-Region oder -Instanz gebunden.This file is bound to the security world for the specific Azure region or instance. Sie sollten diese Tokenschlüsseldatei aber nicht als vollwertige Sicherung ansehen.However, do not consider this tokenized key file to be a full backup. Wenn Sie z. b. jemals eine nur-Text-Kopie Ihres Schlüssels zur Verwendung außerhalb eines nchiffre-HSM benötigen, kann Azure Key Vault ihn nicht für Sie abrufen, da er nur über eine nicht wiederherstellbare Kopie verfügt.For example, if you ever need a plain text copy of your key to use outside a nCipher HSM, Azure Key Vault cannot retrieve it for you, because it has only a non-recoverable copy.

Azure Key Vault besitzt ein Sicherungs-Cmdlet, das Sie zum Sichern eines Schlüssels verwenden können, indem Sie dieses herunterladen und in einer Datei speichern.Azure Key Vault has a backup cmdlet that you can use to back up a key by downloading it and storing it in a file. Da der heruntergeladene Inhalt verschlüsselt ist, kann dieser nicht außerhalb von Azure Key Vault verwendet werden.Because the downloaded content is encrypted, it cannot be used outside Azure Key Vault.

Exportieren Ihres MandantenschlüsselsExport your tenant key

Wenn Sie BYOK verwenden, können Sie Ihren Mandantenschlüssel nicht aus Azure Key Vault oder Azure Information Protection exportieren.If you use BYOK, you cannot export your tenant key from Azure Key Vault or Azure Information Protection. Die Kopie in Azure Key Vault ist nicht wiederherstellbar.The copy in Azure Key Vault is non-recoverable.

Reaktion auf eine SicherheitsverletzungRespond to a breach

Kein Sicherheitssystem, egal wie stark es ist, kommt vollständig ohne einen Prozess für Reaktion auf eine Sicherheitsverletzung aus.No security system, no matter how strong, is complete without a breach response process. Ihr Mandantenschlüssel könnte kompromittiert oder gestohlen werden.Your tenant key might be compromised or stolen. Auch wenn er gut geschützt ist, können Sicherheitslücken in der Schlüsseltechnologie der aktuellen Generation oder bei aktuellen Schlüssellängen und Algorithmen auftreten.Even when it’s protected well, vulnerabilities might be found in current generation key technology or in current key lengths and algorithms.

Microsoft hat ein dediziertes Team, um auf Sicherheitsvorfälle bei eigenen Produkten und Diensten zu reagieren.Microsoft has a dedicated team to respond to security incidents in its products and services. Sobald ein glaubhafter Bericht über einen Vorfall vorliegt, kümmert sich dieses Team um die Untersuchung des Umfangs, der Ursache und um Abhilfen.As soon as there is a credible report of an incident, this team engages to investigate the scope, root cause, and mitigations. Wenn sich dieser Vorfall auf Ihre Assets auswirkt, benachrichtigt Microsoft den globalen Administrator Ihres Mandanten per e-Mail.If this incident affects your assets, Microsoft notifies your tenant Global administrators by email.

Wenn bei Ihnen eine Sicherheitsverletzung aufgetreten ist, hängt die beste Vorgehensweise auf Ihrer und auf Microsofts Seite vom Umfang der Sicherheitsverletzung ab. Microsoft führt diesen Prozess gemeinsam mit Ihnen durch.If you have a breach, the best action that you or Microsoft can take depends on the scope of the breach; Microsoft will work with you through this process. In der folgenden Tabelle finden Sie einige typische Situationen und die wahrscheinliche Reaktion darauf, obgleich die exakte Reaktion immer von allen Informationen abhängt, die im Rahmen der Untersuchung gewonnen werden.The following table shows some typical situations and the likely response, although the exact response depends on all the information that is revealed during the investigation.

Beschreibung des VorfallsIncident description Wahrscheinliche ReaktionLikely response
Ihr Mandantenschlüssel wurde abgegriffen.Your tenant key is leaked. Erstellen Sie Ihren Mandantenschlüssel neu.Rekey your tenant key. Weitere Informationen finden Sie unter neuschlüssel Ihres Mandanten Schlüssels.See Rekey your tenant key.
Eine nicht autorisierte Person oder Schadsoftware hat Rechte zur Verwendung Ihres Mandantenschlüssels erlangt, aber nicht den Schlüssel selbst.An unauthorized individual or malware got rights to use your tenant key but the key itself did not leak. Die Neuerstellung Ihres Mandantenschlüssels schafft hierbei keine Abhilfe, stattdessen ist eine Ursachenanalyse erforderlich.Rekeying your tenant key does not help here and requires root-cause analysis. Wenn ein Prozess- oder Softwarefehler dafür verantwortlich war, dass die nicht autorisierte Person Zugriff erlangt hat, muss dieser Zustand behoben werden.If a process or software bug was responsible for the unauthorized individual to get access, that situation must be resolved.
Entdeckte Sicherheitslücke in HSM-Technologie der aktuellen Generation.Vulnerability discovered in the current-generation HSM technology. Microsoft muss die HSMs aktualisieren.Microsoft must update the HSMs. Wenn es Anlass gibt, zu glauben, dass durch die Sicherheitslücke Schlüssel kompromittiert wurden, weist Microsoft alle Kunden an, ihre Mandantenschlüssel neu zu erstellen.If there is reason to believe that the vulnerability exposed keys, Microsoft will instruct all customers to rekey their tenant keys.
Im RSA-Algorithmus oder bei der Schlüssellänge entdeckte Sicherheitslücken oder auch Brute-Force-Angriffe werden von der Rechenleistung her möglich.Vulnerability discovered in the RSA algorithm, or key length, or brute-force attacks become computationally feasible. Microsoft muss Azure Key Vault oder Azure Information Protection so aktualisieren, dass neue, robuste Algorithmen und längere Schlüssellängen unterstützt werden, und alle Kunden anweisen, ihre Mandantenschlüssel neu zu erstellen.Microsoft must update Azure Key Vault or Azure Information Protection to support new algorithms and longer key lengths that are resilient, and instruct all customers to rekey their tenant key.