Von Microsoft verwaltet: Lebenszyklusvorgänge für MandantenschlüsselMicrosoft-managed: Tenant key life cycle operations

Gilt für: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Wenn Ihr Mandantenschlüssel für Azure Information Protection von Microsoft verwaltet wird (Standard), finden Sie in den folgenden Abschnitten weitere Informationen zu den Lebenszyklusvorgängen, die für diese Topologie relevant sind.If Microsoft manages your tenant key for Azure Information Protection (the default), use the following sections for more information about the life cycle operations that are relevant to this topology.

Widerrufen Ihres MandantenschlüsselsRevoke your tenant key

Wenn Sie Ihr Abonnement für Azure Information Protection kündigen, wird Ihr Mandantenschlüssel in Azure Information Protection nicht mehr verwendet. Es ist keine weitere Aktion erforderlich.When you cancel your subscription for Azure Information Protection, Azure Information Protection stops using your tenant key and no action is needed from you.

Neuerstellung Ihres MandantenschlüsselsRekey your tenant key

Die Neuerstellung eines Schlüssels wird auch als „Rollover“ bezeichnet.Rekeying is also known as rolling your key. Wenn Sie diesen Vorgang ausführen, verwendet Azure Information Protection nicht mehr den vorhandenen Mandantenschlüssel zum Schützen von Dokumenten und E-Mails sondern einen anderen Schlüssel.When you do this operation, Azure Information Protection stops using the existing tenant key to protect documents and emails, and starts to use a different key. Richtlinien und Vorlagen werden umgehend erneut signiert. Diese Umstellung erfolgt jedoch gestaffelt für vorhandene Kunden und Dienste, die Azure Information Protection verwenden.Policies and templates are immediately resigned but this changeover is gradual for existing clients and services using Azure Information Protection. Daher werden neue Inhalte eine Zeit lang noch durch den alten Mandantenschlüssel geschützt.So for some time, some new content continues to be protected with the old tenant key.

Um einen neuen Schlüssel zu erstellen, müssen Sie das Mandantenschlüsselobjekt konfigurieren und den alternativen Schlüssel angeben, der verwendet werden soll.To rekey, you must configure the tenant key object and specify the alternative key to use. Anschließend wird der zuvor verwendete Schlüssel für Azure Information Protection automatisch als archiviert gekennzeichnet.Then, the previously used key is automatically marked as archived for Azure Information Protection. Diese Konfiguration stellt sicher, dass der Inhalt, der mithilfe dieses Schlüssels geschützt wurde, weiterhin zugänglich ist.This configuration ensures that content that was protected by using this key remains accessible.

Beispiele für Fälle, in denen Sie möglicherweise einen neuen Schlüssel für Azure Information Protection erstellen müssen:Examples of when you might need to rekey for Azure Information Protection:

  • Sie haben die Migration von Active Directory Rights Management Services (AD RMS) mithilfe eines Schlüssels für den Kryptografiemodus 1 durchgeführt.You have migrated from Active Directory Rights Management Services (AD RMS) with a cryptographic mode 1 key. Wenn die Migration abgeschlossen ist, sollten Sie einen Schlüssel verwenden, der den Kryptografiemodus 2 verwendet.When the migration is complete, you want to change to using a key that uses cryptographic mode 2.

  • Ihr Unternehmen wurde in zwei oder mehr Unternehmen aufgeteilt.Your company has split into two or more companies. Wenn Sie Ihren Mandantenschlüssel neu erstellen, hat das neue Unternehmen keinen Zugriff auf neue Inhalte, die von Ihren Mitarbeitern veröffentlicht werden.When you rekey your tenant key, the new company will not have access to new content that your employees publish. Sie können auf den alten Inhalt zugreifen, wenn sie eine Kopie des alten Mandantenschlüssels besitzen.They can access the old content if they have a copy of the old tenant key.

  • Sie möchten eine andere Schlüsselverwaltungstopologie verwenden.You want to move from one key management topology to another.

  • Sie glauben, dass die Masterkopie Ihres Mandantenschlüssels kompromittiert wurde.You believe the master copy of your tenant key is compromised.

Zum Erstellen eines neuen Schlüssels können Sie einen anderen von Microsoft verwalteten Schlüssel als Mandantenschlüssel auswählen, jedoch keinen neuen von Microsoft verwalteten Schlüssel erstellen.To rekey, you can select a different Microsoft-managed key to become your tenant key, but you cannot create a new Microsoft-managed key. Um einen neuen Schlüssel zu erstellen, müssen Sie Ihre Mandantenschlüsseltopologie so ändern, dass sie vom Kunden verwaltet wird (BYOK).To create a new key, you must change your key topology to be customer-managed (BYOK).

Sie verfügen über mehr als einen von Microsoft verwalteten Schlüssel, wenn Sie eine Migration von Active Directory Rights Management Services (AD RMS) durchgeführt und die Topologie für von Microsoft verwaltete Schlüssel für Azure Information Protection ausgewählt haben.You have more than one Microsoft-managed key if you migrated from Active Directory Rights Management Services (AD RMS) and chose the Microsoft-managed key topology for Azure Information Protection. In diesem Szenario verfügen Sie über mindestens zwei von Microsoft verwaltete Schlüssel für Ihren Mandanten.In this scenario, you have at least two Microsoft-managed keys for your tenant. Sie haben mindestens einen Schlüssel aus AD Rights Management Services importiert.One key, or more, is the key or keys that you imported from AD RMS. Sie verfügen auch über den Standardschlüssel, der automatisch für Ihren Azure Information Protection-Mandanten erstellt wurde.You will also have the default key that was automatically created for your Azure Information Protection tenant.

Um einen anderen Schlüssel als aktiven Mandanten Schlüssel für Azure Information Protection auszuwählen, verwenden Sie das Cmdlet Set-aipservicekeyproperties aus dem aipservice-Modul.To select a different key to be your active tenant key for Azure Information Protection, use the Set-AipServiceKeyProperties cmdlet from the AIPService module. Verwenden Sie das Cmdlet Get-aipservicekeys , um Ihnen die Identifizierung des zu verwendenden Schlüssels zu erleichtern.To help you identify which key to use, use the Get-AipServiceKeys cmdlet. Sie können den Standardschlüssel identifizieren, der automatisch für Ihren Azure Information Protection-Mandanten erstellt wurde, indem Sie den folgenden Befehl ausführen:You can identify the default key that was automatically created for your Azure Information Protection tenant by running the following command:

(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1

Informationen zum Ändern der Schlüssel Topologie in eine vom Kunden verwaltete (Byok) finden Sie unter Planen und Implementieren Ihres Azure Information Protection Mandanten Schlüssels.To change your key topology to be customer-managed (BYOK), see Planning and implementing your Azure Information Protection tenant key.

Sicherung und Wiederherstellung Ihres MandantenschlüsselsBackup and recover your tenant key

Microsoft ist für die Sicherung Ihres Mandantenschlüssels verantwortlich, sodass von Ihnen keine weitere Aktion erforderlich ist.Microsoft is responsible for backing up your tenant key and no action is required from you.

Exportieren Ihres MandantenschlüsselsExport your tenant key

Sie können Ihre Azure Information Protection-Konfiguration und den Mandantenschlüssel anhand der Anweisungen mit den folgenden drei Schritten exportieren:You can export your Azure Information Protection configuration and tenant key by following the instructions in the following three steps:

Schritt 1: Initiieren des ExportsStep 1: Initiate export

  • Wenden Sie sich hierfür an den Microsoft-Support, und öffnen Sie eine Azure Information Protection-Supportanfrage zur Anforderung eines Azure Information Protection-Schlüsselexports.Contact Microsoft Support to open an Azure Information Protection support case with a request for an Azure Information Protection key export. Sie müssen nachweisen, dass Sie ein globaler Administrator für Ihren Mandanten sind, und wissen, dass dieser Vorgang einige Tage dauert, um zu bestätigen.You must prove you are a Global administrator for your tenant, and understand that this process takes several days to confirm. Dabei fallen Standardsupportgebühren an. Das Exportieren Ihres Mandantenschlüssels ist keine kostenfreie Supportleistung.Standard support charges apply; exporting your tenant key is not a free-of-charge support service.

Schritt 2: Warten auf ÜberprüfungStep 2: Wait for verification

  • Microsoft überprüft, ob Ihre Anforderung zum Freigeben Ihres Azure Information Protection-Mandantenschlüssels legitim ist.Microsoft verifies that your request to release your Azure Information Protection tenant key is legitimate. Der Vorgang kann bis zu drei Wochen dauern.This process can take up to three weeks.

Schritt 3: Erhalten von Schlüsselanweisungen vom Kundendienst (CSS)Step 3: Receive key instructions from CSS

  • Microsoft Customer Support Services (CSS) sendet Ihren Ihre Azure Information Protection-Konfiguration und den Mandantenschlüssel verschlüsselt in einer kennwortgeschützten Datei zu.Microsoft Customer Support Services (CSS) sends you your Azure Information Protection configuration and tenant key encrypted in a password-protected file. Diese Datei hat die Dateierweiterung TPD.This file has a .tpd file name extension. Hierzu sendet Ihnen (als der Person, die den Export initiiert hat) der Kundendienst zuerst per E-Mail ein Tool.To do this, CSS first sends you (as the person who initiated the export) a tool by email. Sie müssen das Tool wie folgt an einer Eingabeaufforderung ausführen:You must run the tool from a command prompt as follows:

    AadrmTpd.exe -createkey
    

    Hierdurch wird ein RSA-Schlüsselpaar generiert, und die öffentliche und private Hälfte wird jeweils als Datei im aktuellen Ordner gespeichert.This generates an RSA key pair and saves the public and private halves as files in the current folder. Beispiel: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt und PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.For example: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt and PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.

    Antworten Sie auf die E-Mail des Kundendiensts, indem Sie die Datei mit dem Namen, der mit PublicKey beginnt, anfügen.Respond to the email from CSS, attaching the file that has a name that starts with PublicKey. CSS sendet Ihnen als Nächstes eine TPD-Datei als XML-Datei, die mit Ihrem RSA-Schlüssel verschlüsselt ist.CSS next sends you a TPD file as an .xml file that is encrypted with your RSA key. Kopieren Sie diese Datei in den Ordner, in dem Sie das Tool „AadrmTpd“ ursprünglich ausgeführt haben, und führen Sie das Tool erneut aus, wobei Sie Ihre Datei, die mit PrivateKey beginnt, und die Datei vom Kundendienst verwenden.Copy this file to the same folder as you ran the AadrmTpd tool originally, and run the tool again, using your file that starts with PrivateKey and the file from CSS. Beispiel:For example:

    AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
    

    Die Ausgabe dieses Befehls sollte aus zwei Dateien bestehen: Eine enthält das Klartextkennwort für die kennwortgeschützte TPD-Datei, die andere ist die kennwortgeschützte TPD-Datei selbst.The output of this command should be two files: One contains the plain text password for the password-protected TPD, and the other is the password-protected TPD itself. Die Dateien weisen eine neue GUID auf, z.B.:The files have a new GUID, for example:

    • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txtPassword-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

    • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xmlExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

      Sichern Sie diese Dateien, und speichern Sie sie an einer sicheren Stelle, um zu gewährleisten, dass Sie weiterhin Inhalte entschlüsseln können, die mit diesem Mandantenschlüssel geschützt wurden.Back up these files and store them safely to ensure that you can continue to decrypt content that is protected with this tenant key. Zusätzlich können Sie, wenn Sie zu AD RMS migrieren, diese TPD-Datei (die Datei, die mit ExportedTDP beginnt) in Ihren AD RMS-Server importieren.In addition, if you are migrating to AD RMS, you can import this TPD file (the file that starts with ExportedTDP) to your AD RMS server.

Schritt 4: Fortlaufend: Schützen Ihres MandantenschlüsselsStep 4: Ongoing: Protect your tenant key

Nachdem Sie Ihren Mandantenschlüssel erhalten haben, bewahren Sie ihn sicher auf, weil jede Person, die darauf zugreifen kann, alle Dokumente entschlüsseln kann, die mithilfe dieses Schlüssels geschützt werden.After you receive your tenant key, keep it well-guarded, because if somebody gets access to it, they can decrypt all documents that are protected by using that key.

Wenn der Grund für das Exportieren Ihres Mandantenschlüssels darin liegt, dass Sie Azure Information Protection nicht mehr verwenden möchten, sollten Sie als bewährte Methode den Azure Rights Management-Dienst von Ihrem Azure Information Protection-Mandanten nun deaktivieren.If the reason for exporting your tenant key is because you no longer want to use Azure Information Protection, as a best practice, now deactivate the Azure Rights Management service from your Azure Information Protection tenant. Führen Sie diesen Vorgang unmittelbar nach dem Erhalt des Mandantenschlüssels aus, weil diese Vorsichtsmaßnahme die möglichen Konsequenzen minimiert, wenn auf Ihren Mandantenschlüssel durch eine Person zugegriffen wird, die nicht über diesen Schlüssel verfügen sollte.Do not delay doing this after you receive your tenant key because this precaution helps to minimize the consequences if your tenant key is accessed by somebody who should not have it. Anweisungen hierzu finden Sie unter Außerbetriebsetzen und Deaktivieren von Azure-Rights Management.For instructions, see Decommissioning and deactivating Azure Rights Management.

Reaktion auf eine SicherheitsverletzungRespond to a breach

Kein Sicherheitssystem, egal wie stark es ist, kommt vollständig ohne einen Prozess für Reaktion auf eine Sicherheitsverletzung aus.No security system, no matter how strong, is complete without a breach response process. Ihr Mandantenschlüssel könnte kompromittiert oder gestohlen werden.Your tenant key might be compromised or stolen. Auch wenn er gut geschützt ist, können Sicherheitslücken in der Schlüsseltechnologie der aktuellen Generation oder bei aktuellen Schlüssellängen und Algorithmen auftreten.Even when it’s protected well, vulnerabilities might be found in current generation key technology or in current key lengths and algorithms.

Microsoft hat ein dediziertes Team, um auf Sicherheitsvorfälle bei eigenen Produkten und Diensten zu reagieren.Microsoft has a dedicated team to respond to security incidents in its products and services. Sobald ein glaubhafter Bericht über einen Vorfall vorliegt, kümmert sich dieses Team um die Untersuchung des Umfangs, der Ursache und um Abhilfen.As soon as there is a credible report of an incident, this team engages to investigate the scope, root cause, and mitigations. Wenn sich dieser Vorfall auf Ihre Assets auswirkt, werden die globalen Administratoren von Microsoft per e-Mail benachrichtigt.If this incident affects your assets, Microsoft will notify the Global administrators for your tenant by email.

Wenn bei Ihnen eine Sicherheitsverletzung aufgetreten ist, hängt die beste Vorgehensweise auf Ihrer und auf Microsofts Seite vom Umfang der Sicherheitsverletzung ab. Microsoft führt diesen Prozess gemeinsam mit Ihnen durch.If you have a breach, the best action that you or Microsoft can take depends on the scope of the breach; Microsoft will work with you through this process. In der folgenden Tabelle finden Sie einige typische Situationen und die wahrscheinliche Reaktion darauf, obgleich die exakte Reaktion immer von allen Informationen abhängt, die im Rahmen der Untersuchung gewonnen werden.The following table shows some typical situations and the likely response, although the exact response depends on all the information that is revealed during the investigation.

Beschreibung des VorfallsIncident description Wahrscheinliche ReaktionLikely response
Ihr Mandantenschlüssel wurde abgegriffen.Your tenant key is leaked. Erstellen Sie Ihren Mandantenschlüssel neu.Rekey your tenant key. Weitere Informationen finden Sie im Abschnitt Neuerstellung Ihres Mandantenschlüssels in diesem Artikel.See the Rekey your tenant key section in this article.
Eine nicht autorisierte Person oder Schadsoftware hat Rechte zur Verwendung Ihres Mandantenschlüssels erlangt, aber nicht den Schlüssel selbst.An unauthorized individual or malware got rights to use your tenant key but the key itself did not leak. Die Neuerstellung Ihres Mandantenschlüssels schafft hierbei keine Abhilfe, stattdessen ist eine Ursachenanalyse erforderlich.Rekeying your tenant key does not help here and requires root-cause analysis. Wenn ein Prozess- oder Softwarefehler dafür verantwortlich war, dass die nicht autorisierte Person Zugriff erlangt hat, muss dieser Zustand behoben werden.If a process or software bug was responsible for the unauthorized individual to get access, that situation must be resolved.
Im RSA-Algorithmus oder bei der Schlüssellänge entdeckte Sicherheitslücken oder auch Brute-Force-Angriffe werden von der Rechenleistung her möglich.Vulnerability discovered in the RSA algorithm, or key length, or brute-force attacks become computationally feasible. Microsoft muss Azure Information Protection so aktualisieren, dass neue, robuste Algorithmen und längere Schlüssellängen unterstützt werden, und alle Kunden anweisen, ihre Mandantenschlüssel neu zu erstellen.Microsoft must update Azure Information Protection to support new algorithms and longer key lengths that are resilient, and instruct all customers to rekey their tenant key.