Microsoft 관리: 테넌트 키 수명 주기 작업

:Azure Information Protection,Office 365

관련성: AIP 통합 레이블링 클라이언트 및 클래식 클라이언트

참고 사항

통합되고 간소화된 고객 환경을 제공하기 위해 Azure Portal의 Azure Information Protection 클래식 클라이언트 및 레이블 관리는 2021년 3월 31일현재 사용되지 않습니다. 클래식 클라이언트에 대한 추가 지원은 제공되지 않고 유지 관리 버전은 더 이상 릴리스되지 않습니다.

클래식 클라이언트는 공식적으로 사용 중지되어 2022년 3월 31일 작동이 중지됩니다.

현재 모든 Azure Information Protection 클래식 클라이언트 고객은 통합 레이블 Microsoft Information Protection 플랫폼으로 마이그레이션하고 통합 레이블링 클라이언트로 업그레이드해야 합니다. 마이그레이션 블로그 에서자세히 알아보기

Microsoft가 Azure Information Protection에 대한 테넌트 키를 관리하는 경우(기본값) 이 토폴로지와 관련된 수명 주기 작업에 대한 자세한 내용은 다음 섹션을 사용하세요.

테넌트 키 해지

Azure Information Protection에 대한 구독을 취소하면 Azure Information Protection에서 테넌트 키 사용을 중지하고 사용자로부터 아무 작업도 필요하지 않습니다.

테넌트 키 다시 키 키

다시 키는 키를 롤링하는 것으로도 알려져 있습니다. 이 작업을 수행하면 Azure Information Protection은 기존 테넌트 키를 사용하여 문서 및 전자 메일을 보호하는 것을 중지하고 다른 키를 사용하기 시작합니다. 정책 및 템플릿은 즉시 사임되지만 Azure Information Protection을 사용하는 기존 클라이언트 및 서비스에 대해 이 변경은 점진적으로 적용됩니다. 따라서 한 동안 일부 새 콘텐츠는 이전 테넌트 키로 계속 보호됩니다.

다시키하려면 테넌트 키 개체를 구성하고 사용할 대체 키를 지정해야 합니다. 그런 다음 이전에 사용한 키는 Azure Information Protection에 대해 보관된 것으로 자동으로 표시됩니다. 이 구성은 이 키를 사용하여 보호된 콘텐츠에 액세스할 수 있도록 합니다.

Azure Information Protection에 대해 다시 키가 필요할 수 있는 경우의 예:

  • 암호화 모드 1 Active Directory Rights Management Services(AD RMS)에서 마이그레이션했습니다. 마이그레이션이 완료되면 암호화 모드 2를 사용하는 키를 사용하여 변경하려는 경우

  • 회사가 두 개 이상의 회사로 분할됩니다. 테넌트 키를 다시 키로 키로 설정하면 새 회사에서 직원이 게시하는 새 콘텐츠에 액세스할 수 없습니다. 이전 테넌트 키의 복사본이 있는 경우 이전 콘텐츠에 액세스할 수 있습니다.

  • 한 키 관리 토폴로지에서 다른 키 관리 토폴로지로 이동하려는 경우

  • 테넌트 키의 마스터 복사본이 손상된 것으로 생각됩니다.

다시 설정하려면 다른 Microsoft 관리 키를 선택하여 테넌트 키가 될 수 있지만 새 Microsoft 관리 키를 만들 수는 없습니다. 새 키를 만들하려면 주요 토폴로지가 BYOK(고객 관리)로 변경해야 합니다.

AD RMS(Microsoft RMS)에서 마이그레이션하고 Azure Information Protection에 대한 Microsoft 관리 키 Active Directory Rights Management Services 선택한 경우 두 개 이상의 Microsoft 관리 키가 있습니다. 이 시나리오에서는 테넌트에 대해 두 개 이상의 Microsoft 관리 키가 있습니다. 하나 이상의 키는 AD RMS에서 가져온 키 또는 키입니다. Azure Information Protection 테넌트에 대해 자동으로 생성된 기본 키도 있습니다.

Azure Information Protection의 활성 테넌트 키로 사용할 다른 키를 선택하려면 AIPService 모듈에서 Set-AipServiceKeyProperties cmdlet을 사용합니다. 사용할 키를 식별하기 위해 Get-AipServiceKeys cmdlet을 사용 합니다. 다음 명령을 실행하여 Azure Information Protection 테넌트에 대해 자동으로 생성된 기본 키를 식별할 수 있습니다.

(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1

주요 토폴로지가 BYOK(고객 관리)로 변경하는 경우 Azure Information Protection 테넌트 키 계획 및 구현을 참조하세요.

테넌트 키 백업 및 복구

Microsoft는 테넌트 키를 백업할 책임이 있으며 사용자로부터 아무 작업도 필요하지 않습니다.

테넌트 키 내보내기

다음 세 단계의 지침에 따라 Azure Information Protection 구성 및 테넌트 키를 내보낼 수 있습니다.

1단계: 내보내기 시작

  • Azure Information Protection 키 내보내기 요청이 있는 Azure 정보 보호 지원 사례를 열기 위해 Microsoft 지원에 문의하세요. 테넌트에 대한 전역 관리자인 것을 증명해야 합니다. 이 프로세스는 확인까지 며칠이 걸릴 수 있습니다. 표준 지원 요금이 적용됩니다. 테넌트 키를 내보내는 것은 무료 지원 서비스가 아 않습니다.

2단계: 확인 대기

  • Microsoft는 Azure Information Protection 테넌트 키를 릴리스하기 위한 요청이 합법적인지 확인합니다. 이 프로세스는 최대 3주가 걸릴 수 있습니다.

3단계: CSS에서 주요 지침 받기

  • Microsoft CSS(고객 지원 서비스)는 암호로 보호된 파일에 암호화된 Azure Information Protection 구성 및 테넌트 키를 전송합니다. 이 파일에는 .tpd 파일 이름 확장이 있습니다. 이를 위해 CSS는 먼저(내보내기 시작한 사람으로) 도구를 전자 메일로 전송합니다. 다음과 같이 명령 프롬프트에서 도구를 실행해야 합니다.

    AadrmTpd.exe -createkey
    

    이렇게 하면 RSA 키 쌍을 생성하고 공개 및 개인을 현재 폴더의 파일로 저장합니다. 예: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txtPrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.

    CSS의 전자 메일에 응답하여 PublicKey로 시작하는 이름이 있는 파일을 연결합니다. 다음으로 CSS는 TPD 파일을 RSA .xml 암호화된 파일로 전송합니다. 이 파일을 AadrmTpd 도구를 처음 실행한 동일한 폴더에 복사하고 PrivateKey 및 CSS의 파일로 시작하는 파일을 사용하여 도구를 다시 실행합니다. 예를 들어:

    AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
    

    이 명령의 출력은 두 개의 파일입니다. 하나는 암호로 보호된 TPD에 대한 일반 텍스트 암호를 포함하며, 다른 하나는 암호로 보호된 TPD 자체입니다. 파일에는 다음과 같은 새 GUID가 있습니다.

    • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

    • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

      이러한 파일을 백업하고 안전하게 저장하여 이 테넌트 키로 보호되는 콘텐츠를 계속 해독할 수 있도록 합니다. 또한 AD RMS로 마이그레이션하는 경우 이 TPD 파일(ExportedTDP로시작하는 파일)을 AD RMS 서버로 가져올 수 있습니다.

4단계: 지속적인: 테넌트 키 보호

테넌트 키를 받은 후 다른 사용자가 해당 키에 액세스할 수 있는 경우 해당 키를 사용하여 보호되는 모든 문서의 암호를 해독할 수 있기 때문에 테넌트 키를 잘 보호합니다.

테넌트 키를 내보내는 이유가 더 이상 Azure Information Protection을 사용하지 못하게 하려는 경우 모범 사례로 Azure Information Protection 테넌트에서 Azure Rights Management 서비스를 비활성화합니다. 테넌트 키가 없는 사용자가 테넌트 키에 액세스하는 경우 결과를 최소화하는 데 도움이 되거나 테넌트 키를 받은 후 이 작업을 지연하지 않습니다. 지침은 Azure Rights Management의 해제 및 비활성화를 참조하세요.

위반에 대응

보안 시스템이 아무리 강력한지와 상관없이 위반 응답 프로세스 없이 완료되지 않습니다. 테넌트 키가 손상되거나 도난당할 수 있습니다. 보호가 잘되어도 현재 세대 키 기술 또는 현재 키 길이 및 알고리즘에서 취약성을 찾을 수 있습니다.

Microsoft에는 제품 및 서비스의 보안 인시던트에 대응하기 위한 전담 팀이 있습니다. 인시던트에 대한 신뢰도 있는 보고서가 있는 즉시 이 팀은 범위, 근본 원인 및 완화를 조사하기 위해 참여합니다. 이 인시던트가 자산에 영향을 주는 경우 Microsoft는 전자 메일로 테넌트에 대해 전역 관리자에게 알릴 것입니다.

위반이 있는 경우 사용자 또는 Microsoft가 취할 수 있는 최선의 조치는 위반의 범위에 따라 달라 습니다. Microsoft는 이 프로세스를 통해 사용자와 함께 작업합니다. 정확한 응답은 조사 중에 공개되는 모든 정보에 따라 달라지지만 다음 표에는 몇 가지 일반적인 상황과 가능성이 있는 응답이 표시됩니다.

인시던트 설명 응답 가능성이 높은 경우
테넌트 키가 유출됩니다. 테넌트 키를 다시 키로 키화합니다. 이 문서에서는 테넌트 키 다시 키 섹션을 참조하세요.
권한이 없는 개인 또는 맬웨어는 테넌트 키를 사용할 수 있는 권한을 얻었지만 키 자체는 누수되지 않습니다. 테넌트 키를 다시 키로 설정하는 것은 여기에 도움이 되지 않습니다. 근본 원인 분석이 필요합니다. 프로세스 또는 소프트웨어 버그가 권한이 없는 개인이 액세스 권한을 얻을 책임이 있는 경우 해당 상황을 해결해야 합니다.
RSA 알고리즘 또는 키 길이 또는 무차별 공격에서 발견된 취약성은 계산적으로 실현될 수 있습니다. Microsoft는 탄력적인 새 알고리즘 및 긴 키 길이를 지원하기 위해 Azure Information Protection을 업데이트해야 합니다. 모든 고객에게 테넌트 키를 다시 키로 설정해야 합니다.