Microsoft által felügyelt: Bérlőkulcs életciklusának műveletei
Feljegyzés
Microsoft Purview információvédelem, korábban Microsoft Information Protection (MIP) szolgáltatást keres?
Az Azure Information Protection bővítmény ki van állítva, és a Microsoft 365-alkalmazásokba és -szolgáltatásokba beépített címkékre cserélődik. További információ a többi Azure Information Protection-összetevő támogatási állapotáról.
Az új Microsoft Information Protection-ügyfél (a bővítmény nélkül) jelenleg előzetes verzióban érhető el, és általános rendelkezésre állásra van ütemezve.
Ha a Microsoft kezeli az Azure Information Protection bérlőkulcsát (az alapértelmezett), az alábbi szakaszokban további információt talál a topológiához kapcsolódó életciklus-műveletekről.
A bérlőkulcs visszavonása
Amikor lemondja az Azure Information Protection-előfizetését, az Azure Information Protection nem használja a bérlőkulcsot, és önnek nincs szükség műveletre.
A bérlőkulcs újrakulcsolása
Az újrakulcsolást a kulcs gördítésének is nevezik. Amikor ezt a műveletet hajtja végre, az Azure Information Protection leállítja a meglévő bérlőkulcs használatát a dokumentumok és e-mailek védelme érdekében, és elkezd egy másik kulcsot használni. A szabályzatok és sablonok azonnal lemondanak, de ez az átállás fokozatosan történik az Azure Information Protectiont használó meglévő ügyfelek és szolgáltatások esetében. Így egy ideig néhány új tartalom továbbra is védett a régi bérlői kulccsal.
Az újrakulcsoláshoz konfigurálnia kell a bérlőkulcs-objektumot, és meg kell adnia a használni kívánt alternatív kulcsot. Ezután a korábban használt kulcs automatikusan archiváltként lesz megjelölve az Azure Information Protection számára. Ez a konfiguráció biztosítja, hogy az ezzel a kulccsal védett tartalom akadálymentes maradjon.
Példák arra, hogy mikor kell újrakulcsolnia az Azure Information Protectiont:
Az Active Directory Rights Management Servicesből (AD RMS) 1. titkosítási módú kulccsal migrált. Ha az áttelepítés befejeződött, a 2. titkosítási módot használó kulcsra szeretne váltani.
A vállalata két vagy több vállalatra oszlik. A bérlőkulcs újrakulcsolásakor az új vállalat nem fér hozzá az alkalmazottak által közzétett új tartalmakhoz. A régi tartalomhoz akkor férhetnek hozzá, ha rendelkezik a régi bérlőkulcs másolatával.
Át szeretne lépni az egyik kulcskezelési topológiából a másikba.
Úgy véli, hogy a bérlőkulcs főpéldánya sérült.
Az újrakulcsoláshoz kiválaszthat egy másik Microsoft által felügyelt kulcsot, hogy a bérlőkulcsa legyen, de nem hozhat létre új, Microsoft által felügyelt kulcsot. Új kulcs létrehozásához módosítania kell a kulcstopológiát úgy, hogy az ügyfél által felügyelt legyen (BYOK).
Több Microsoft által felügyelt kulccsal rendelkezik, ha az Active Directory Rights Management Servicesből (AD RMS) migrált, és a Microsoft által felügyelt kulcstopológiát választotta az Azure Information Protectionhez. Ebben a forgatókönyvben legalább két Microsoft által felügyelt kulcs van a bérlőjéhez. Egy vagy több kulcs az AD RMS-ből importált kulcs vagy kulcs. Az Azure Information Protection-bérlőhöz automatikusan létrehozott alapértelmezett kulccsal is rendelkezik.
Ha másik kulcsot szeretne kiválasztani az Azure Information Protection aktív bérlőkulcsához, használja az AIPService modul Set-AipServiceKeyProperties parancsmagját. A használandó kulcs azonosításához használja a Get-AipServiceKeys parancsmagot. Az Alábbi parancs futtatásával azonosíthatja az Azure Information Protection-bérlőhöz automatikusan létrehozott alapértelmezett kulcsot:
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
Az ügyfél által felügyelt kulcstopológia (BYOK) módosításához tekintse meg az Azure Information Protection-bérlőkulcs tervezésével és implementálásával kapcsolatos témakört.
A bérlőkulcs biztonsági mentése és helyreállítása
A Microsoft felelős a bérlőkulcs biztonsági mentéséért, és önnek nincs szükség műveletre.
Bérlőkulcs exportálása
Az Azure Information Protection-konfigurációt és a bérlőkulcsot az alábbi három lépésben ismertetett utasításokat követve exportálhatja:
1. lépés: Exportálás kezdeményezése
- Lépjen kapcsolatba Microsoft ügyfélszolgálata egy Azure Information Protection-támogatási eset megnyitásához egy Azure Information Protection-kulcsexportálási kérelemmel. Igazolnia kell, hogy globális rendszergazdája a bérlőnek, és tisztában kell lennie azzal, hogy ez a folyamat több napot vesz igénybe a megerősítéshez. Standard támogatási díjak vonatkoznak; A bérlőkulcs exportálása nem ingyenes támogatási szolgáltatás.
2. lépés: Várakozás az ellenőrzésre
- A Microsoft ellenőrzi, hogy az Azure Information Protection-bérlőkulcs kiadására vonatkozó kérés jogos-e. Ez a folyamat akár három hetet is igénybe vehet.
3. lépés: Kulcsutasítások fogadása a CSS-től
A Microsoft ügyfélszolgálata (CSS) egy jelszóval védett fájlban titkosítva küldi el Önnek az Azure Information Protection-konfigurációt és a bérlőkulcsot. Ez a fájl . tpd fájlnévkiterjesztéssel rendelkezik. Ehhez a CSS először e-mailben küld önnek (mint az exportálást kezdeményező személynek). Az eszközt a következőképpen kell futtatnia egy parancssorból:
AadrmTpd.exe -createkey
Ez létrehoz egy RSA-kulcspárt, és menti a nyilvános és a privát feleket fájlként az aktuális mappában. Például: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt és PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.
Válaszoljon a CSS e-mail-címére, és csatolja a PublicKey-vel kezdődő nevű fájlt. A CSS ezután egy TPD-fájlt küld .xml fájlként, amely az RSA-kulccsal van titkosítva. Másolja a fájlt arra a mappára, amelybe eredetileg az AadrmTpd eszközt futtatta, majd futtassa újra az eszközt a PrivateKeyvel kezdődő fájl és a CSS-fájl használatával. Példa:
AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
A parancs kimenetének két fájlnak kell lennie: az egyik a jelszóval védett TPD egyszerű szöveges jelszavát tartalmazza, a másik pedig magát a jelszóval védett TPD-t. A fájlok új GUID azonosítóval rendelkeznek, például:
Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt
ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml
Biztonsági másolatot készíthet ezekről a fájlokról, és biztonságosan tárolhatja őket, hogy továbbra is visszafejthesse az ezzel a bérlői kulccsal védett tartalmakat. Emellett, ha az AD RMS-re migrál, importálhatja ezt a TPD-fájlt (az ExportáltTDP-vel kezdődő fájlt) az AD RMS-kiszolgálóra.
4. lépés: Folyamatos: A bérlőkulcs védelme
Miután megkapta a bérlőkulcsot, őrizze meg jól, mert ha valaki hozzáfér hozzá, visszafejtheti az összes olyan dokumentumot, amelyet ezzel a kulccsal véd.
Ha a bérlőkulcs exportálásának oka az, hogy már nem szeretné használni az Azure Information Protectiont, ajánlott eljárásként inaktiválja a Azure Tartalomvédelmi szolgáltatások szolgáltatást az Azure Information Protection-bérlőből. A bérlőkulcs kézhezvétele után ne késlekedjen, mert ez az óvintézkedés segít minimalizálni a következményeket, ha a bérlőkulcshoz olyan valaki fér hozzá, akinek nem kellene rendelkeznie vele. Útmutatásért tekintse meg a Azure Tartalomvédelmi szolgáltatások leszerelését és inaktiválását ismertető cikket.
Reagálás a szabálysértésekre
A biztonsági rendszer, függetlenül attól, hogy milyen erős, nem teljes a szabálysértés-elhárítási folyamat nélkül. Előfordulhat, hogy a bérlőkulcsot feltörték vagy ellopták. Még akkor is, ha jól védett, a biztonsági rések a jelenlegi generációs kulcstechnológiában vagy az aktuális kulcshosszokban és algoritmusokban találhatók.
A Microsoft dedikált csapattal rendelkezik a termékeiben és szolgáltatásaiban fellépő biztonsági incidensekre való reagáláshoz. Amint hiteles jelentés készül egy incidensről, ez a csapat megvizsgálja a hatókört, a kiváltó okot és a kockázatcsökkentéseket. Ha az incidens hatással van az eszközeire, a Microsoft e-mailben értesíti a bérlő globális rendszergazdáját.
Ha ön vagy a Microsoft megsérti a szabálysértést, az Ön vagy a Microsoft által végrehajtható legjobb művelet a jogsértés hatókörétől függ; A Microsoft ezen a folyamaton keresztül együttműködik Önnel. Az alábbi táblázat néhány tipikus helyzetet és a valószínű választ mutatja be, bár a pontos válasz a vizsgálat során feltárt összes információtól függ.
Incidens leírása | Valószínű válasz |
---|---|
A bérlőkulcs kiszivárog. | A bérlőkulcs újrakulcsolása. Tekintse meg a bérlőkulcs újrakulcsolása című szakaszt ebben a cikkben. |
Egy jogosulatlan személy vagy kártevő jogosultságot kapott a bérlőkulcs használatára, de maga a kulcs nem szivárogt ki. | A bérlőkulcs újrakulcsolása itt nem segít, és alapvető okok elemzését igényli. Ha egy folyamat vagy szoftverhiba felelős a jogosulatlan személy hozzáféréséért, ezt a helyzetet meg kell oldani. |
Az RSA-algoritmusban felderített sebezhetőség, a kulcshossz vagy a találgatásos támadások számításilag megvalósíthatóvá válnak. | A Microsoftnak frissítenie kell az Azure Information Protectiont, hogy támogassa az új algoritmusokat és a hosszabb, rugalmas kulcshosszokat, és utasítsa az ügyfeleket a bérlőkulcs újrakulcsolására. |
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: