Door de klant beheerd: Levenscyclusbewerkingen voor tenantsleutels

Van toepassing op : Azure Information Protection, Office 365

Relevant voor: Client voor eenduidige AIP-labels en klassieke client

Notitie

Om een geïntegreerde en gestroomlijnde klant ervaring te bieden, zijn de Azure Information Protection klassieke client en Label beheer in azure Portal verouderd vanaf 31 maart 2021. Terwijl de klassieke client blijft werken zoals geconfigureerd, wordt er geen verdere ondersteuning geboden en worden er geen onderhouds versies meer vrijgegeven voor de klassieke client.

We raden u aan om te migreren naar Unified labels en een upgrade uit te voeren naar de Unified labeling-client. Meer informatie vindt u in onze recente blog voor afschaffing.

Als u uw tenantsleutel voor Azure Information Protection beheert (het Bring Your Own Key- of BYOK-scenario), gebruikt u de volgende secties voor meer informatie over de levenscyclusbewerkingen die relevant zijn voor deze topologie.

Uw tenantsleutel intrekken

Er zijn maar weinig scenario's waarin u uw sleutel mogelijk moet intrekken in plaats van opnieuw te versleutelen. Wanneer u uw sleutel ingetrokken, wordt alle inhoud die door uw tenant is beveiligd met die sleutel niet toegankelijk voor iedereen (inclusief Microsoft, uw globale beheerders en supergebruikers), tenzij u een back-up hebt van de sleutel die u kunt herstellen. Na het inroepen van uw sleutel kunt u geen nieuwe inhoud meer beveiligen totdat u een nieuwe tenantsleutel maakt en configureert voor Azure Information Protection.

Als u uw door de klant beheerde tenantsleutel wilt intrekken, wijzigt u in Azure Key Vault de machtigingen voor de sleutelkluis die uw Azure Information Protection-tenantsleutel bevat, zodat de Azure Rights Management-service geen toegang meer heeft tot de sleutel. Met deze actie wordt de tenantsleutel voor de Azure Information Protection.

Wanneer u uw abonnement op Azure Information Protection annuleert, stopt Azure Information Protection met het gebruik van uw tenantsleutel en hoeft u geen actie te ondernemen.

Uw tenantsleutel opnieuw instellen

Het opnieuw instellen van sleutels wordt ook key rolling genoemd. Wanneer u deze bewerking doet, Azure Information Protection de bestaande tenantsleutel niet meer gebruiken om documenten en e-mailberichten te beveiligen en wordt een andere sleutel gebruikt. Beleidsregels en sjablonen worden onmiddellijk onder de hand genomen, maar deze wijziging is geleidelijk voor bestaande clients en services die gebruikmaken van Azure Information Protection. Enige tijd wordt bepaalde nieuwe inhoud dus nog steeds beveiligd met de oude tenantsleutel.

Als u opnieuw wilt versleutelen, moet u het tenantsleutelobject configureren en de alternatieve sleutel opgeven die moet worden gebruikt. Vervolgens wordt de eerder gebruikte sleutel automatisch gemarkeerd als gearchiveerd voor Azure Information Protection. Deze configuratie zorgt ervoor dat inhoud die is beveiligd met deze sleutel toegankelijk blijft.

Voorbeelden van wanneer u mogelijk opnieuw moet versleutelen voor Azure Information Protection:

  • Uw bedrijf is opgesplitst in twee of meer bedrijven. Wanneer u uw tenantsleutel opnieuw instelt, heeft het nieuwe bedrijf geen toegang tot nieuwe inhoud die uw werknemers publiceren. Wanneer ze over een kopie van de oude tenantsleutel beschikken, hebben ze wel toegang tot de oude inhoud.

  • U wilt over van de ene topologie voor sleutelbeheer naar de andere.

  • U denkt dat de hoofdkopie van uw tenantsleutel (de kopie in uw bezit) is aangetast.

Als u een andere sleutel die u beheert opnieuw wilt versleutelen, kunt u een nieuwe sleutel maken in Azure Key Vault of een andere sleutel gebruiken die zich al in de Azure Key Vault. Volg vervolgens dezelfde procedures als voor het implementeren van BYOK voor Azure Information Protection.

  1. Alleen als de nieuwe sleutel zich in een andere sleutelkluis dan de sleutelkluis die u al gebruikt voor Azure Information Protection: machtig Azure Information Protection om de sleutelkluis te gebruiken met behulp van de cmdlet Set-AzKeyVaultAccessPolicy.

  2. Als Azure Information Protection nog niet weet welke sleutel u wilt gebruiken, voer dan de cmdlet Use-AipServiceKeyVaultKey uit.

  3. Configureer het tenantsleutelobject met behulp van de cmdlet Set-AipServiceKeyProperties.

Voor meer informatie over elk van deze stappen:

  • Zie Planning and implementing your Azure Information Protection tenant key (Uw tenantsleutel plannen en implementeren) als u opnieuw wilt versleutelen naar een andere sleutel die u beheert.

    Als u een met HSM beveiligde sleutel opnieuw versleutelt die u on-premises maakt en overdraagt naar Key Vault, kunt u dezelfde beveiligingswereld en toegangskaarten gebruiken als voor uw huidige sleutel.

  • Zie de sectie Uw tenantsleutel opnieuw versleutelen voor door Microsoft beheerde bewerkingen als u de sleutel wilt wijzigen in een sleutel die door Microsoft wordt beheerd.

Een back-up van uw tenantsleutel maken en deze herstellen

Omdat u uw tenantsleutel beheert, bent u verantwoordelijk voor het maken van een back-up van de sleutel die Azure Information Protection gebruikt.

Als u uw tenantsleutel on-premises hebt gegenereerd in een nCipher HSM: als u een back-up van de sleutel wilt maken, moet u een back-up maken van het tokenized sleutelbestand, het wereldbestand en de beheerderskaarten. Wanneer u uw sleutel overdraagt naar Azure Key Vault, slaat de service het tokenized sleutelbestand op om te beschermen tegen fouten in serviceknooppunten. Dit bestand is gebonden aan de beveiligingswereld voor de desbetreffende Azure-regio of het exemplaar. Beschouw dit tokenized sleutelbestand echter niet als een volledige back-up. Als u bijvoorbeeld ooit een kopie met tekst zonder tekst van uw sleutel nodig hebt om buiten een nCipher-HSM te gebruiken, kan Azure Key Vault deze niet voor u ophalen, omdat deze alleen een niet-herstelbare kopie bevat.

Azure Key Vault heeft een back-up-cmdlet die u kunt gebruiken om een back-up van een sleutel te maken door deze te downloaden en op te slaan in een bestand. Omdat de gedownloade inhoud is versleuteld, kan deze niet buiten de Azure Key Vault.

Uw tenantsleutel exporteren

Als u BYOK gebruikt, kunt u uw tenantsleutel niet exporteren van Azure Key Vault naar Azure Information Protection. De kopie in Azure Key Vault kan niet worden hersteld.

Reageren op een schending

Geen enkel beveiligingssysteem, hoe geavanceerd ook, is volledig zonder een proces voor een reactie op een schending. U tenantsleutel is mogelijk gekraakt of gestolen. Zelfs wanneer de sleutel goed is beveiligd, kunnen er beveiligingsproblemen worden gevonden in de sleuteltechnologie van de huidige generatie of in de huidige sleutellengten en algoritmen.

Microsoft beschikt over een speciaal team dat zich bezighoudt met beveiligingsincidenten in producten en services. Zodra er een geloofwaardige melding van een incident wordt gemaakt, onderzoekt dit team het bereik, de hoofdoorzaak en de oplossingen. Als dit incident van invloed is op uw activa, ontvangt uw tenant een e-mail van globale beheerders.

Welke actie u of Microsoft het beste kan ondernemen in het geval van een schending van de beveiliging, is afhankelijk van het bereik van de schending. Microsoft zal dit proces samen met u doorlopen. De volgende tabel bevat enkele veelvoorkomende situaties en de mogelijke reactie, hoewel de daadwerkelijke reactie afhankelijk is van alle informatie die tijdens het onderzoek aan het licht komt.

Beschrijving van het incident Waarschijnlijke reactie
Uw tenantsleutel is gelekt. Stel uw tenantsleutel opnieuw in. Zie Uw tenantsleutel opnieuw versleutelen.
Een niet-gemachtigde persoon of bepaalde schadelijke software beschikt over de rechten voor het gebruik van uw tenantsleutel, maar de sleutel zelf is niet gelekt. In dit geval helpt het niet om de tenantsleutel opnieuw in te stellen en moet de hoofdoorzaak worden geanalyseerd. Als de niet-gemachtigde persoon zich toegang kon verschaffen door een proces- of softwarefout, moet die situatie worden opgelost.
Beveiligingslek gedetecteerd in HSM-technologie van de huidige generatie. Microsoft moet de HSM’s bijwerken. Als er een reden is om te denken dat door het beveiligingsprobleem sleutels zijn blootgesteld, geeft Microsoft alle klanten de opdracht om hun tenantsleutels opnieuw in te stellen.
Beveiligingsprobleem ontdekt in het RSA-algoritme of de sleutellengte of er bestaat rekenkundig gezien een kans op een beveiligingsaanval. Microsoft moet de Azure Key Vault of Azure Information Protection bijwerken om nieuwe algoritmen en langere sleutellengten te ondersteunen die flexibel zijn, en alle klanten instrueren om hun tenantsleutel opnieuw in te stellen.