Von Microsoft verwaltet: Lebenszyklusvorgänge für Mandantenschlüssel
Hinweis
Suchen Sie nach Microsoft Purview Information Protection, ehemals Microsoft Information Protection (MIP)?
Das Azure Information Protection-Add-In wird eingestellt und durch Bezeichnungen ersetzt, die in Ihre Microsoft 365-Apps und -Dienste integriert sind. Erfahren Sie mehr über den Supportstatus anderer Azure Information Protection-Komponenten.
Der Microsoft Purview Information Protection-Client (ohne das Add-In) ist allgemein verfügbar.
Wenn Microsoft Ihren Mandantenschlüssel für Azure Information Protection verwaltet (Standardeinstellung), verwenden Sie die folgenden Abschnitte, um weitere Informationen zu den Lebenszyklusvorgängen zu erhalten, die für diese Topologie relevant sind.
Widerrufen des Mandantenschlüssels
Wenn Sie Ihr Abonnement für Azure Information Protection kündigen, beendet Azure Information Protection die Verwendung Ihres Mandantenschlüssels, und es ist keine Aktion von Ihnen erforderlich.
Siehe Schlüssel des Mieters neu eingeben.
Die Erneute Tastenkombination wird auch als Rollen der Taste bezeichnet. Wenn Sie diesen Vorgang ausführen, verwendet Azure Information Protection den vorhandenen Mandantenschlüssel zum Schützen von Dokumenten und E-Mails und beginnt mit der Verwendung eines anderen Schlüssels. Richtlinien und Vorlagen werden sofort neu zugewiesen, aber diese Änderung erfolgt schrittweise für vorhandene Clients und Dienste mit Azure Information Protection. Einige neue Inhalte werden also seit einiger Zeit weiterhin mit dem alten Mandantenschlüssel geschützt.
Zum Erneuten Schlüssel müssen Sie das Mandantenschlüsselobjekt konfigurieren und den zu verwendenden alternativen Schlüssel angeben. Anschließend wird der zuvor verwendete Schlüssel automatisch als archiviert für Azure Information Protection markiert. Diese Konfiguration stellt sicher, dass Inhalte, die mithilfe dieses Schlüssels geschützt wurden Standard barrierefrei sind.
Beispiele für den erneuten Schlüssel für Azure Information Protection:
Sie haben von Active Directory Rights Management Services (AD RMS) mit einem kryptografischen Modus 1 Schlüssel migriert. Wenn die Migration abgeschlossen ist, möchten Sie zu einem Schlüssel wechseln, der den kryptografischen Modus 2 verwendet.
Ihr Unternehmen hat sich in zwei oder mehr Unternehmen aufgeteilt. Wenn Sie Ihren Mandantenschlüssel erneut schlüsseln, hat das neue Unternehmen keinen Zugriff auf neue Inhalte, die Ihre Mitarbeiter veröffentlichen. Sie können auf den alten Inhalt zugreifen, wenn sie über eine Kopie des alten Mandantenschlüssels verfügen.
Sie möchten von einer Schlüsselverwaltungstopologie zu einer anderen wechseln.
Sie glauben, dass die Masterkopie Ihres Mandantenschlüssels kompromittiert ist.
Zum erneuten Schlüssel können Sie einen anderen von Microsoft verwalteten Schlüssel auswählen, um Zu Ihrem Mandantenschlüssel zu werden, aber Sie können keinen neuen von Microsoft verwalteten Schlüssel erstellen. Um einen neuen Schlüssel zu erstellen, müssen Sie die Schlüsseltopologie so ändern, dass sie vom Kunden verwaltet wird (BYOK).
Sie verfügen über mehr als einen von Microsoft verwalteten Schlüssel, wenn Sie aus Active Directory Rights Management Services (AD RMS) migriert und die von Microsoft verwaltete Schlüsseltopologie für Azure Information Protection ausgewählt haben. In diesem Szenario verfügen Sie über mindestens zwei von Microsoft verwaltete Schlüssel für Ihren Mandanten. Mindestens ein Schlüssel ist der Schlüssel oder Schlüssel, den Sie aus AD RMS importiert haben. Außerdem verfügen Sie über den Standardschlüssel, der automatisch für Ihren Azure Information Protection-Mandanten erstellt wurde.
Um einen anderen Schlüssel als aktiven Mandantenschlüssel für Azure Information Protection auszuwählen, verwenden Sie das Cmdlet Set-AipServiceKeyProperties aus dem AIPService-Modul. Verwenden Sie das Cmdlet Get-AipServiceKeys, um den zu verwendenden Schlüssel zu ermitteln. Sie können den Standardschlüssel identifizieren, der automatisch für Ihren Azure Information Protection-Mandanten erstellt wurde, indem Sie den folgenden Befehl ausführen:
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
Um Ihre Schlüsseltopologie in eine vom Kunden verwaltete (BYOK) zu ändern, siehe Planung und Implementierung Ihres Azure Information Protection-Mandantenschlüssels.
Sichern und Wiederherstellen Des Mandantenschlüssels
Microsoft ist für die Sicherung Ihres Mandantenschlüssels verantwortlich, und es ist keine Aktion von Ihnen erforderlich.
Exportieren Des Mandantenschlüssels
Sie können Ihre Azure Information Protection-Konfiguration und Ihren Mandantenschlüssel exportieren, indem Sie die Anweisungen in den folgenden drei Schritten ausführen:
Schritt 1: Initiieren des Exports
- Wenden Sie sich an Microsoft-Support, um einen Azure Information Protection-Supportfall mit einer Anforderung für einen Azure Information Protection-Schlüsselexport zu öffnen. Sie müssen nachweisen, dass Sie ein Global Administrator für Ihren Mandant sind, und haben Verständnis dafür, dass die Bestätigung dieses Vorgangs mehrere Tage dauert. Standardsupportgebühren gelten; Der Export Ihres Mandantenschlüssels ist kein kostenloser Supportdienst.
Schritt 2: Auf Überprüfung warten
- Microsoft überprüft, ob Ihre Anforderung zum Freigeben Ihres Azure Information Protection-Mandantenschlüssels legitim ist. Dieser Vorgang kann einige Tage bis Wochen dauern.
Schritt 3: Empfangen wichtiger Anweisungen von CSS
Microsoft Customer Support Services (CSS) sendet Ihnen Ihre Azure Information Protection-Konfiguration und Ihren Mandantenschlüssel, der in einer kennwortgeschützten Datei verschlüsselt ist. Diese Datei hat die Dateinamenerweiterung .tpd. Dazu sendet CSS Ihnen zunächst ein Tool per E-Mail (als Person, die den Export initiiert hat). Sie müssen das Tool über eine Eingabeaufforderung wie folgt ausführen:
AadrmTpd.exe -createkeyDadurch wird ein RSA-Schlüsselpaar generiert und die öffentlichen und privaten Hälften als Dateien im aktuellen Ordner gespeichert. Zum Beispiel: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt and PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.
Antworten Sie über CSS auf die E-Mail, und fügen Sie die Datei mit einem Namen an, der mit PublicKey beginnt. CSS sendet Als Nächstes eine TPD-Datei als XML-Datei, die mit Ihrem RSA-Schlüssel verschlüsselt ist. Kopieren Sie diese Datei in denselben Ordner, in dem Sie das Tool AadrmTpd ursprünglich ausgeführt haben, und führen Sie das Tool erneut aus, indem Sie die Datei verwenden, die mit PrivateKey und der Datei aus CSS beginnt. Zum Beispiel:
AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xmlDie Ausgabe dieses Befehls sollte zwei Dateien sein: Eine enthält das Nur-Text-Kennwort für die kennwortgeschützte TPD, und die andere ist das kennwortgeschützte TPD selbst. Die Dateien haben eine neue GUID, z. B.:
Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt
ExportiertERTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml
Sichern Sie diese Dateien, und speichern Sie sie sicher, um sicherzustellen, dass Sie weiterhin Inhalte entschlüsseln können, die mit diesem Mandantenschlüssel geschützt sind. Wenn Sie zu AD RMS migrieren, können Sie diese TPD-Datei (die Datei, die mit ExportTDP beginnt) in Ihren AD RMS-Server importieren.
Schritt 4: Fortlaufend: Schützen Des Mandantenschlüssels
Nachdem Sie Ihren Mandantenschlüssel erhalten haben, halten Sie ihn gut geschützt, denn wenn jemand Zugriff darauf erhält, können sie alle Dokumente entschlüsseln, die durch diesen Schlüssel geschützt sind.
Wenn der Grund für den Export Ihres Mandantenschlüssels darin besteht, dass Sie Azure Information Protection nicht mehr als bewährte Methode verwenden möchten, deaktivieren Sie nun den Azure Rights Management-Dienst von Ihrem Azure Information Protection-Mandanten. Verzögern Sie dies nicht, nachdem Sie Ihren Mandantenschlüssel erhalten haben, da diese Vorsichtsmaßnahme dazu beiträgt, die Folgen zu minimieren, wenn auf Ihren Mandantenschlüssel von jemandem zugegriffen wird, der ihn nicht haben sollte. Weitere Anweisungen finden Sie unter Außerbetriebnahme und Deaktivieren von Azure Rights Management.
Reagieren auf eine Verletzung
Kein Sicherheitssystem, unabhängig davon, wie stark, ohne einen Reaktionsprozess für Sicherheitsverletzungen abgeschlossen ist. Ihr Mandantenschlüssel kann kompromittiert oder gestohlen werden. Auch wenn es gut geschützt ist, können Sicherheitsrisiken in der technologie der aktuellen Generation oder in aktuellen Schlüssellängen und Algorithmen gefunden werden.
Microsoft verfügt über ein dediziertes Team, um auf Sicherheitsvorfälle in seinen Produkten und Diensten zu reagieren. Sobald es einen glaubwürdigen Bericht über einen Vorfall gibt, engagiert sich dieses Team, um den Umfang, die Ursache und die Entschärfung zu untersuchen. Wenn sich dieser Vorfall auf Ihre Ressourcen auswirkt, benachrichtigt Microsoft die globalen Administratoren für Ihren Mandanten per E-Mail.
Wenn Sie eine Verletzung haben, hängt die beste Maßnahme, die Sie oder Microsoft ergreifen kann, vom Umfang der Verletzung ab; Microsoft arbeitet mit Ihnen durch diesen Prozess zusammen. Die folgende Tabelle zeigt einige typische Situationen und die wahrscheinliche Antwort, obwohl die genaue Antwort von allen Informationen abhängt, die während der Untersuchung aufgedeckt werden.
| Beschreibung des Vorfalls | Wahrscheinliche Antwort |
|---|---|
| Ihr Mandantschlüssel wird geleert. | Siehe Schlüssel des Mieters neu eingeben. Weitere Informationen finden Sie im Abschnitt Neuschlüsseln des Mandantenschlüssels in diesem Artikel. |
| Eine nicht autorisierte Person oder Schadsoftware hat rechte, Ihren Mandantenschlüssel zu verwenden, aber der Schlüssel selbst hat nicht verloren. | Das erneute Schlüsselschlüsseln ihres Mandanten hilft hier nicht und erfordert eine Analyse der Ursache. Wenn ein Prozess- oder Softwarefehler für die nicht autorisierte Person für den Zugriff verantwortlich war, muss diese Situation behoben werden. |
| Sicherheitsrisiken, die im RSA-Algorithmus oder der Schlüssellänge oder Brute-Force-Angriffe entdeckt werden, werden rechnerisch machbar. | Microsoft muss Azure Information Protection aktualisieren, um neue Algorithmen und längere Schlüssellängen zu unterstützen, die ausfallsicher sind, und alle Kunden anweisen, ihren Mandantenschlüssel erneut zu schlüsseln. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für