Administración de Microsoft: Operaciones del ciclo de vida de claves de inquilino

Se aplica a: Azure Information Protection y Office 365

Pertinente para: cliente de etiquetado unificado de AIP y cliente clásico de AIP

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso desde el 31 de marzo de 2021. Aunque el cliente clásico sigue funcionando como está configurado, no se proporcionará ningún soporte adicional, y las versiones de mantenimiento ya no se publicarán para el cliente clásico.

Se recomienda migrar al etiquetado unificado y actualizar al cliente de etiquetado unificado. Obtenga más información en nuestro último blog sobre desuso.

Si Microsoft administra su clave de inquilino para Azure Information Protection (la predeterminada), lea las secciones siguientes para saber profundizar en las operaciones del ciclo de vida que son relevantes para esta topología.

Revocar su clave de inquilino

Al cancelar la suscripción a Azure Information Protection, la solución deja de usar la clave de inquilino y no es necesario realizar ninguna otra acción.

Regenerar su clave de inquilino

La acción de regenerar la clave también se conoce como revertir la clave. Al realizar esta operación, Azure Information Protection deja de usar la clave de inquilino existente para proteger documentos y correos electrónicos, y comienza a usar otra clave. Las directivas y las plantillas se retiran inmediatamente, pero el cambio es gradual para los clientes y los servicios existentes que usen Azure Information Protection. De este modo, durante cierto tiempo, parte del contenido nuevo sigue protegido por la clave de inquilino anterior.

Para regenerar la clave, debe configurar el objeto de clave de inquilino y especificar la clave alternativa que se usará. A continuación, se marcará automáticamente la clave usada anteriormente como archivada para Azure Information Protection. Esta configuración garantiza que el contenido que se haya protegido con esta clave seguirá estando disponible.

Ejemplos de cuándo tendrá que regenerar la clave de Azure Information Protection:

  • Ha realizado la migración de Active Directory Rights Management Services (AD RMS) mediante una clave de modo criptográfico 1. Ha finalizado la migración y quiere cambiar a una clave que use el modo criptográfico 2.

  • La compañía se ha dividido en una o dos compañías. Cuando regenera la clave de inquilino, la nueva empresa no tendrá acceso al nuevo contenido que publiquen sus empleados. Pueden acceder al antiguo contenido si tienen una copia de la antigua clave de inquilino.

  • Quiere cambiar de una topología de administración de claves a otra.

  • Cree que la copia maestra de su clave de inquilino está en peligro.

Para regenerar la clave, puede seleccionar una clave administrada por Microsoft diferente para que pase a ser su clave de inquilino, pero no puede crear una clave administrada por Microsoft. Para crear una clave, debe cambiar la topología de clave para que la administre el cliente (BYOK).

Si ha realizado la migración desde Active Directory Rights Management Services (AD RMS) y elige la topología de clave administrada por Microsoft para Azure Information Protection, tendrá más de una clave administrada por Microsoft. En este escenario, tendrá al menos dos claves administrada por Microsoft para su inquilino. Al menos una de ellas será la clave que haya importado desde AD RMS. También tendrá la clave predeterminada que se creó automáticamente para su inquilino de Azure Information Protection.

Para seleccionar una clave diferente para que sea la clave de inquilino activa de Azure Information Protection, use el cmdlet set-AipServiceKeyProperties del módulo AIPService. Para ayudarle a identificar la clave que se debe usar, use el cmdlet Get-AipServiceKeys . Puede identificar la clave predeterminada que se ha creado automáticamente para su inquilino de Azure Information Protection ejecutado el comando siguiente:

(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1

Para cambiar la topología de clave para que la administre el cliente (BYOK), consulte planeamiento e implementación de la clave de inquilino de Azure Information Protection.

Realizar una copia de seguridad y recuperar la clave de inquilino

Microsoft es responsable de realizar la copia de seguridad de su clave de inquilino y no se requiere que realice ninguna acción.

Exportar su clave de inquilino

Para exportar la configuración de Azure Information Protection y su clave de inquilino, siga las instrucciones de estos tres pasos:

Paso 1: Iniciar exportación

  • Póngase en contacto con Soporte técnico de Microsoft para abrir una incidencia de soporte técnico de Azure Information Protection en la que solicite exportar una clave de Azure Information Protection. Debe demostrar que es un administrador global de su inquilino y comprender que este proceso tarda varios días en confirmarse. Se aplican cargos de soporte técnico estándar; la exportación de la clave de inquilino no es un servicio de soporte técnico gratuito.

Paso 2: Esperar comprobación

  • Microsoft comprobará que la solicitud para liberar su clave de inquilino de Azure Information Protection es legítima. Este proceso puede tardar hasta tres semanas.

Paso 3: Recibir instrucciones de clave de CSS

  • Los Servicios de soporte técnico de Microsoft (CSS) le envían la configuración de Azure Information Protection y la clave de inquilino cifrada en un archivo protegido por contraseña. Este archivo tiene una extensión de nombre de archivo .tpd. Para ello, CSS le envía (como la persona que inició el informe) una herramienta por correo electrónico. Debe ejecutar la herramienta desde un símbolo del sistema de la siguiente manera:

    AadrmTpd.exe -createkey
    

    Esto genera un plan de claves RSA y guarda las mitades públicas y privadas como archivos en la carpeta actual. Por ejemplo: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt y PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.

    Responda al correo electrónico de CSS, adjuntando el archivo que tiene un nombre que comienza por PublicKey. CSS le enviará un archivo TPD como archivo .xml que está cifrado con su clave de RSA. Copie este archivo en la misma carpeta en la que ejecutó la herramienta AadrmTpd originalmente y ejecute la herramienta de nuevo, con el archivo que comienza por PrivateKey y el archivo de CSS. Por ejemplo:

    AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
    

    El resultado de este comando deben ser dos archivos: uno que contiene la contraseña de texto sin formato para el TPD protegido con contraseña y otro que es el propio TPD protegido con contraseña. Los archivos tienen un nuevo GUID, por ejemplo:

    • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

    • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

      Realice una copia de seguridad de estos archivos y guárdelos de manera segura para poder continuar descifrando el contenido protegido con esta clave de inquilino. Además, si está migrando a AD RMS, puede importar este archivo TPD (el archivo que empieza por ExportedTDP) a su servidor de AD RMS.

Paso 4: En curso: Proteger su clave de inquilino

Cuando haya recibido su clave de inquilino, manténgala a buen recaudo, ya que si alguien consigue acceso a ella, podrá descifrar todos los documentos que se hayan protegido con esa clave.

Si el motivo para exportar la clave de inquilino es que ya no quiere usar Azure Information Protection, le recomendamos que desactive ahora el servicio Azure Rights Management del inquilino de Azure Information Protection. No se demore en hacerlo después de recibir su clave de inquilino, ya que esta precaución le ayuda a minimizar las consecuencias si alguien que no debería tener su clave de inquilino consigue acceso a ella. Para obtener instrucciones, consulte retirada y desactivación de Azure Rights Management.

Responder a una infracción

Ningún sistema de seguridad, por seguro que sea, está completo sin un proceso de respuesta a infracción. Puede que se haya robado o puesto en peligro su clave de inquilino. Aunque esté bien protegida, pueden encontrarse vulnerabilidades en la tecnología de generación de claves actual, así como en las longitudes y los algoritmos actuales.

Microsoft tiene un equipo dedicado a responder a incidentes de seguridad en sus productos y servicios. Tan pronto como aparece un informe fiable de un incidente, este equipo se pone a investigar el alcance, la causa del origen del mismo y cómo mitigarlo. Si este incidente afecta a sus activos, Microsoft notificará por correo electrónico a los administradores globales de su inquilino.

Si tiene una infracción, la mejor acción que usted o Microsoft puede llevar a cabo dependerá del alcance de la infracción. Microsoft trabajará con usted en este proceso. La tabla siguiente muestra algunas situaciones típicas y la respuesta probable, aunque la respuesta exacta depende de toda la información que se revele durante la investigación.

Descripción del incidente Respuesta probable
Se ha filtrado su clave de inquilino. Regenere su clave de inquilino. Consulte la sección Regenerar su clave de inquilino de este artículo.
Un individuo no autorizado o malware han tenido derechos de uso de su clave de inquilino, pero la clave en sí no se ha filtrado. Regenerar la clave de inquilino no resulta útil aquí y requiere el análisis de la causa principal. Si un error de software o de proceso ha sido el responsable de que un individuo no autorizado obtuviera acceso, dicha situación se debe resolver.
Vulnerabilidad descubierta en el algoritmo de RSA, o longitud de clave, o ataques por fuerza bruta se hacen factibles computacionalmente. Microsoft necesita actualizar Azure Information Protection para que admita nuevos algoritmos y claves más largas que sean resistentes, así como indicar a todos los clientes que renueven sus claves de inquilino.