Vom Kunden verwaltet: Lebenszyklusvorgänge für Mandantenschlüssel

Gilt für: Azure Information Protection, Office 365

Relevant für: AIP-Client für einheitliche Bezeichnungen und den klassischen Client

Hinweis

Der klassische Azure Information Protection-Client und die Bezeichnungsverwaltung im Azure-Portal werden am 31. März 2021 als veraltet markiert, um eine einheitliche und optimierte Kundenumgebung zu gewährleisten. Der klassische Client funktioniert zwar weiterhin wie konfiguriert, es wird aber kein weiterer Support bereitgestellt, und es werden keine Wartungsversionen für den klassischen Client mehr veröffentlicht.

Wir empfehlen, zu einheitlichen Bezeichnungen zu migrieren und ein Upgrade auf den Client für einheitliche Bezeichnungen durchzuführen. Weitere Informationen finden Sie in unserem jüngsten Blog zu veralteten Versionen.

Wenn Ihr Mandantenschlüssel für Azure Information Protection von Ihnen verwaltet wird (BYOK-Szenario), finden Sie in den folgenden Abschnitten weitere Informationen zu den Lebenszyklusvorgängen, die für diese Topologie relevant sind.

Widerrufen Ihres Mandantenschlüssels

Es gibt nur wenige Szenarien, in denen Sie Ihren Schlüssel möglicherweise widerrufen müssen, anstatt einen neuen Schlüssel zu erstellen. Wenn Sie Ihren Schlüssel widerrufen, kann auf alle Inhalte, die von Ihrem Mandanten mit diesem Schlüssel geschützt wurden, nicht mehr für alle Benutzer (einschließlich Microsoft, Ihre globalen Administratoren und Administratoren) zugegriffen werden, es sei denn, Sie verfügen über eine Sicherung des Schlüssels, den Sie wiederherstellen können. Nachdem Sie Ihren Schlüssel widerrufen haben, können Sie neue Inhalte erst schützen, wenn Sie einen neuen Mandantenschlüssel für Azure Information Protection erstellen und konfigurieren.

Um Ihren kundenverwaltete Mandantenschlüssel zu widerrufen, ändern Sie in Azure Key Vault die Berechtigungen für den Schlüsseltresor, der Ihren Azure Information Protection Mandantenschlüssel enthält, sodass der Azure Rights Management-Dienst nicht mehr auf den Schlüssel zugreifen kann. Diese Aktion widerruft effektiv den Mandantenschlüssel für Azure Information Protection.

Wenn Sie Ihr Abonnement für Azure Information Protection kündigen, wird Ihr Mandantenschlüssel in Azure Information Protection nicht mehr verwendet. Es ist keine weitere Aktion erforderlich.

Neuerstellung Ihres Mandantenschlüssels

Die Neuerstellung eines Schlüssels wird auch als „Rollover“ bezeichnet. Wenn Sie diesen Vorgang ausführen, verwendet Azure Information Protection nicht mehr den vorhandenen Mandantenschlüssel zum Schützen von Dokumenten und E-Mails sondern einen anderen Schlüssel. Richtlinien und Vorlagen werden umgehend erneut signiert. Diese Umstellung erfolgt jedoch gestaffelt für vorhandene Kunden und Dienste, die Azure Information Protection verwenden. Daher werden neue Inhalte eine Zeit lang noch durch den alten Mandantenschlüssel geschützt.

Um einen neuen Schlüssel zu erstellen, müssen Sie das Mandantenschlüsselobjekt konfigurieren und den alternativen Schlüssel angeben, der verwendet werden soll. Anschließend wird der zuvor verwendete Schlüssel für Azure Information Protection automatisch als archiviert gekennzeichnet. Diese Konfiguration stellt sicher, dass der Inhalt, der mithilfe dieses Schlüssels geschützt wurde, weiterhin zugänglich ist.

Beispiele für Fälle, in denen Sie möglicherweise einen neuen Schlüssel für Azure Information Protection erstellen müssen:

  • Ihr Unternehmen wurde in zwei oder mehr Unternehmen aufgeteilt. Wenn Sie Ihren Mandantenschlüssel neu erstellen, hat das neue Unternehmen keinen Zugriff auf neue Inhalte, die von Ihren Mitarbeitern veröffentlicht werden. Sie können auf den alten Inhalt zugreifen, wenn sie eine Kopie des alten Mandantenschlüssels besitzen.

  • Sie möchten eine andere Schlüsselverwaltungstopologie verwenden.

  • Sie glauben, dass die Masterkopie Ihres Mandantenschlüssels (die in Ihrem Besitz befindliche Kopie) kompromittiert wurde.

Zur Nutzung eines anderen verwalteten Schlüssels können Sie entweder einen neuen Schlüssel in Azure Key Vault erstellen oder einen anderen, bereits in Azure Key Vault vorhandenen Schlüssel verwenden. Führen Sie anschließend dieselben Schritte aus wie beim Implementieren von BYOK für Azure Information Protection.

  1. Nur wenn sich der neue Schlüssel in einem anderen Schlüsseltresor als der schlüsseltresor befindet, den Sie bereits für Azure Information Protection verwenden: Autorisieren Sie Azure Information Protection mithilfe des Cmdlets Set-AzKeyVaultAccessPolicy für die Verwendung des Schlüsseltresors.

  2. Wenn Azure Information Protection noch nicht über den schlüssel informiert ist, den Sie verwenden möchten, führen Sie das Cmdlet Use-AipServiceKeyVaultKey aus.

  3. Konfigurieren Sie das Mandantenschlüsselobjekt mithilfe des Cmdlets Set-AipServiceKeyProperties.

Weitere Informationen zu den jeweiligen Schritten erhalten Sie wie Folgt:

  • Informationen zum Erneuten Erstellen eines Schlüssels für einen anderen Schlüssel, den Sie verwalten, finden Sie unter Planen und Implementieren Ihres Azure Information Protection Mandantenschlüssels.

    Wenn Sie für einen durch HSM geschützten Schlüssel, den Sie lokal erstellt und an Key Vault übermittelt haben, neue Schlüssel erstellen, können Sie die gleiche Sicherheitsumgebung sowie Zugriffskarten verwenden wie bei Ihrem aktuellen Schlüssel.

  • Eine Anleitung zur Nutzung eines anderen, von Microsoft verwalteten Schlüssel finden Sie im Abschnitt Neuerstellung Ihres Mandantenschlüssels für von Microsoft verwaltete Vorgänge.

Sicherung und Wiederherstellung Ihres Mandantenschlüssels

Da Sie Ihren Mandantenschlüssel verwalten, sind Sie verantwortlich für das Sichern des Schlüssels, den Azure Information Protection verwendet.

Wenn Sie Ihren Mandantenschlüssel lokal generiert haben, in einem nCipher HSM: Sichern Sie zum Sichern des Schlüssels die Tokenschlüsseldatei, die Weltdatei und die Administratorkarten. Wenn Sie Ihren Schlüssel in Azure Key Vault übertragen, speichert der Dienst die Tokenschlüsseldatei, um vor Fehlern der Dienstknoten zu schützen. Diese Datei ist an den Sicherheitsbereich für die bestimmte Azure-Region oder -Instanz gebunden. Sie sollten diese Tokenschlüsseldatei aber nicht als vollwertige Sicherung ansehen. Wenn Sie beispielsweise eine Nur-Text-Kopie Ihres Schlüssels benötigen, die außerhalb eines nCipher HSM verwendet werden soll, können Azure Key Vault ihn nicht für Sie abrufen, da er nur über eine nicht wiederherstellbare Kopie verfügt.

Azure Key Vault besitzt ein Sicherungs-Cmdlet, das Sie zum Sichern eines Schlüssels verwenden können, indem Sie dieses herunterladen und in einer Datei speichern. Da der heruntergeladene Inhalt verschlüsselt ist, kann dieser nicht außerhalb von Azure Key Vault verwendet werden.

Exportieren Ihres Mandantenschlüssels

Wenn Sie BYOK verwenden, können Sie Ihren Mandantenschlüssel nicht aus Azure Key Vault oder Azure Information Protection exportieren. Die Kopie in Azure Key Vault ist nicht wiederherstellbar.

Reaktion auf eine Sicherheitsverletzung

Kein Sicherheitssystem, egal wie stark es ist, kommt vollständig ohne einen Prozess für Reaktion auf eine Sicherheitsverletzung aus. Ihr Mandantenschlüssel könnte kompromittiert oder gestohlen werden. Auch wenn er gut geschützt ist, können Sicherheitslücken in der Schlüsseltechnologie der aktuellen Generation oder bei aktuellen Schlüssellängen und Algorithmen auftreten.

Microsoft hat ein dediziertes Team, um auf Sicherheitsvorfälle bei eigenen Produkten und Diensten zu reagieren. Sobald ein glaubhafter Bericht über einen Vorfall vorliegt, kümmert sich dieses Team um die Untersuchung des Umfangs, der Ursache und um Abhilfen. Wenn sich dieser Vorfall auf Ihre Ressourcen auswirkt, benachrichtigt Microsoft Ihren Mandanten per E-Mail über globale Administratoren.

Wenn bei Ihnen eine Sicherheitsverletzung aufgetreten ist, hängt die beste Vorgehensweise auf Ihrer und auf Microsofts Seite vom Umfang der Sicherheitsverletzung ab. Microsoft führt diesen Prozess gemeinsam mit Ihnen durch. In der folgenden Tabelle finden Sie einige typische Situationen und die wahrscheinliche Reaktion darauf, obgleich die exakte Reaktion immer von allen Informationen abhängt, die im Rahmen der Untersuchung gewonnen werden.

Beschreibung des Vorfalls Wahrscheinliche Reaktion
Ihr Mandantenschlüssel wurde abgegriffen. Erstellen Sie Ihren Mandantenschlüssel neu. Weitere Informationen finden Sie unter Neuschlüssel für Ihren Mandantenschlüssel.
Eine nicht autorisierte Person oder Schadsoftware hat Rechte zur Verwendung Ihres Mandantenschlüssels erlangt, aber nicht den Schlüssel selbst. Die Neuerstellung Ihres Mandantenschlüssels schafft hierbei keine Abhilfe, stattdessen ist eine Ursachenanalyse erforderlich. Wenn ein Prozess- oder Softwarefehler dafür verantwortlich war, dass die nicht autorisierte Person Zugriff erlangt hat, muss dieser Zustand behoben werden.
Entdeckte Sicherheitslücke in HSM-Technologie der aktuellen Generation. Microsoft muss die HSMs aktualisieren. Wenn es Anlass gibt, zu glauben, dass durch die Sicherheitslücke Schlüssel kompromittiert wurden, weist Microsoft alle Kunden an, ihre Mandantenschlüssel neu zu erstellen.
Im RSA-Algorithmus oder bei der Schlüssellänge entdeckte Sicherheitslücken oder auch Brute-Force-Angriffe werden von der Rechenleistung her möglich. Microsoft muss Azure Key Vault oder Azure Information Protection so aktualisieren, dass neue, robuste Algorithmen und längere Schlüssellängen unterstützt werden, und alle Kunden anweisen, ihre Mandantenschlüssel neu zu erstellen.