Operacje cyklu życia klucza dzierżawy zarządzane przez firmę Microsoft
Uwaga
Szukasz usługi Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?
Dodatek usługi Azure Information Protection został wycofany i zastąpiony etykietami wbudowanymi w aplikacje i usługi platformy Microsoft 365. Dowiedz się więcej o stanie pomocy technicznej innych składników usługi Azure Information Protection.
Nowy klient usługi Microsoft Information Protection (bez dodatku) jest obecnie w wersji zapoznawczej i jest zaplanowany na potrzeby ogólnej dostępności.
Jeśli firma Microsoft zarządza kluczem dzierżawy dla usługi Azure Information Protection (ustawienie domyślne), skorzystaj z poniższych sekcji, aby uzyskać więcej informacji na temat operacji cyklu życia, które są istotne dla tej topologii.
Odwoływanie klucza dzierżawy
Po anulowaniu subskrypcji usługi Azure Information Protection usługa Azure Information Protection przestanie używać klucza dzierżawy i nie jest wymagana żadna akcja.
Ponowne dołączanie klucza dzierżawy
Ponownekeying jest również znany jako stopniowe wprowadzanie klucza. Po zakończeniu tej operacji usługa Azure Information Protection przestaje używać istniejącego klucza dzierżawy do ochrony dokumentów i wiadomości e-mail i rozpoczyna korzystanie z innego klucza. Zasady i szablony są natychmiast zrezygnowane, ale to przejście jest stopniowe dla istniejących klientów i usług przy użyciu usługi Azure Information Protection. Dlatego przez jakiś czas część nowej zawartości nadal jest chroniona przy użyciu starego klucza dzierżawy.
Aby ponownie użyć klucza dzierżawy, należy skonfigurować obiekt klucza dzierżawy i określić alternatywny klucz do użycia. Następnie wcześniej używany klucz jest automatycznie oznaczony jako zarchiwizowany dla usługi Azure Information Protection. Ta konfiguracja zapewnia dostępność zawartości chronionej przy użyciu tego klucza.
Przykłady konieczności ponownego użycia klucza dla usługi Azure Information Protection:
Przeprowadzono migrację z usługi Usługi Active Directory Rights Management (AD RMS) przy użyciu klucza kryptograficznego 1. Po zakończeniu migracji chcesz zmienić wartość na użycie klucza korzystającego z trybu kryptograficznego 2.
Twoja firma podzieliła się na co najmniej dwie firmy. Po ponownym utworzeniu klucza dzierżawy nowa firma nie będzie miała dostępu do nowej zawartości publikowanej przez pracowników. Mogą oni uzyskać dostęp do starej zawartości, jeśli mają kopię starego klucza dzierżawy.
Chcesz przejść z jednej topologii zarządzania kluczami do innej.
Uważasz, że kopia główna klucza dzierżawy została naruszona.
Aby ponownie utworzyć klucz, możesz wybrać inny klucz zarządzany przez firmę Microsoft, aby stać się kluczem dzierżawy, ale nie można utworzyć nowego klucza zarządzanego przez firmę Microsoft. Aby utworzyć nowy klucz, należy zmienić topologię klucza na zarządzaną przez klienta (BYOK).
Jeśli przeprowadzono migrację z usługi Usługi Active Directory Rights Management (AD RMS) i wybrano topologię kluczy zarządzanych przez firmę Microsoft dla usługi Azure Information Protection, masz więcej niż jeden klucz zarządzany przez firmę Microsoft. W tym scenariuszu masz co najmniej dwa klucze zarządzane przez firmę Microsoft dla dzierżawy. Co najmniej jeden klucz to klucz lub klucze zaimportowane z usług AD RMS. Będziesz również mieć klucz domyślny, który został automatycznie utworzony dla dzierżawy usługi Azure Information Protection.
Aby wybrać inny klucz jako aktywny klucz dzierżawy dla usługi Azure Information Protection, użyj polecenia cmdlet Set-AipServiceKeyProperties z modułu AIPService. Aby ułatwić określenie klucza do użycia, użyj polecenia cmdlet Get-AipServiceKeys . Możesz zidentyfikować klucz domyślny, który został automatycznie utworzony dla dzierżawy usługi Azure Information Protection, uruchamiając następujące polecenie:
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
Aby zmienić topologię klucza na zarządzaną przez klienta (BYOK), zobacz Planowanie i wdrażanie klucza dzierżawy usługi Azure Information Protection.
Tworzenie kopii zapasowej i odzyskiwanie klucza dzierżawy
Firma Microsoft jest odpowiedzialna za tworzenie kopii zapasowej klucza dzierżawy i nie jest wymagana żadna akcja.
Eksportowanie klucza dzierżawy
Konfigurację i klucz dzierżawy usługi Azure Information Protection można wyeksportować, wykonując następujące instrukcje w następujących trzech krokach:
Krok 1. Inicjowanie eksportu
- Skontaktuj się z pomoc techniczna firmy Microsoft, aby otworzyć zgłoszenie do pomocy technicznej usługi Azure Information Protection z żądaniem eksportu klucza usługi Azure Information Protection. Musisz udowodnić, że jesteś administratorem globalnym dzierżawy i rozumiesz, że potwierdzenie tego procesu trwa kilka dni. Obowiązują standardowe opłaty za pomoc techniczną; eksportowanie klucza dzierżawy nie jest bezpłatną usługą pomocy technicznej.
Krok 2. Oczekiwanie na weryfikację
- Firma Microsoft sprawdza, czy Twoje żądanie wydania klucza dzierżawy usługi Azure Information Protection jest uzasadnione. Ten proces może potrwać do trzech tygodni.
Krok 3. Otrzymywanie instrukcji dotyczących klucza z arkusza CSS
Usługi obsługi klienta firmy Microsoft wysyła konfigurację usługi Azure Information Protection i klucz dzierżawy zaszyfrowany w pliku chronionym hasłem. Ten plik ma rozszerzenie nazwy pliku tpd . W tym celu css najpierw wysyła Ci (jako osobę, która zainicjowała eksport) narzędzie pocztą e-mail. Narzędzie należy uruchomić z poziomu wiersza polecenia w następujący sposób:
AadrmTpd.exe -createkeySpowoduje to wygenerowanie pary kluczy RSA i zapisanie publicznej i prywatnej połowy jako plików w bieżącym folderze. Na przykład: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt i PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.
Odpowiedz na wiadomość e-mail z pliku CSS, dołączając plik o nazwie rozpoczynającej się od PublicKey. Następnie css wysyła plik TPD jako plik .xml, który jest zaszyfrowany przy użyciu klucza RSA. Skopiuj ten plik do tego samego folderu, w którym pierwotnie uruchomiono narzędzie AadrmTpd, a następnie uruchom narzędzie ponownie, używając pliku rozpoczynającego się od PrivateKey i pliku z pliku CSS. Na przykład:
AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xmlDane wyjściowe tego polecenia powinny być dwoma plikami: jeden zawiera hasło w postaci zwykłego tekstu dla chronionej hasłem TPD, a drugi to sam moduł TPD chroniony hasłem. Pliki mają nowy identyfikator GUID, na przykład:
Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt
ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml
Utwórz kopię zapasową tych plików i zapisz je bezpiecznie, aby zapewnić dalsze odszyfrowywanie zawartości chronionej przy użyciu tego klucza dzierżawy. Ponadto w przypadku migracji do usług AD RMS można zaimportować ten plik TPD (plik rozpoczynający się od wyeksportowanego protokołuDP) do serwera usług AD RMS.
Krok 4. Bieżące: Ochrona klucza dzierżawy
Po otrzymaniu klucza dzierżawy zachowaj go dobrze, ponieważ jeśli ktoś uzyska do niego dostęp, może odszyfrować wszystkie dokumenty chronione przy użyciu tego klucza.
Jeśli przyczyną eksportowania klucza dzierżawy jest to, że nie chcesz już używać usługi Azure Information Protection, najlepszym rozwiązaniem jest dezaktywowanie usługi Azure Rights Management z dzierżawy usługi Azure Information Protection. Nie opóźnij wykonywania tej czynności po otrzymaniu klucza dzierżawy, ponieważ ten środek ostrożności pomaga zminimalizować konsekwencje, jeśli klucz dzierżawy jest uzyskiwany przez osobę, która nie powinna jej mieć. Aby uzyskać instrukcje, zobacz Likwidowanie i dezaktywowanie usługi Azure Rights Management.
Reagowanie na naruszenie
Żaden system zabezpieczeń, bez względu na to, jak silny, jest kompletny bez procesu reagowania na naruszenia zabezpieczeń. Klucz dzierżawy może zostać naruszony lub skradziony. Nawet jeśli są dobrze chronione, luki w zabezpieczeniach mogą znajdować się w bieżącej technologii klucza generacji lub w bieżących długościach kluczy i algorytmach.
Firma Microsoft ma dedykowany zespół do reagowania na zdarzenia zabezpieczeń w swoich produktach i usługach. Jak tylko istnieje wiarygodny raport o zdarzeniu, ten zespół angażuje się w badanie zakresu, głównej przyczyny i środków zaradczych. Jeśli to zdarzenie wpłynie na Twoje zasoby, firma Microsoft powiadomi administratorów globalnych twojej dzierżawy pocztą e-mail.
Jeśli masz naruszenie, najlepsze działanie, które ty lub firma Microsoft może podjąć, zależy od zakresu naruszenia; Firma Microsoft będzie współpracować z Tobą w ramach tego procesu. W poniższej tabeli przedstawiono niektóre typowe sytuacje i prawdopodobną reakcję, chociaż dokładna odpowiedź zależy od wszystkich informacji, które zostały ujawnione podczas badania.
| Opis zdarzenia | Prawdopodobna odpowiedź |
|---|---|
| Klucz dzierżawy został ujawniony. | Zmień klucz dzierżawy. Zobacz sekcję Ponowne tworzenie klucza dzierżawy w tym artykule. |
| Nieautoryzowane osoby lub złośliwe oprogramowanie uzyskało prawa do używania klucza dzierżawy, ale sam klucz nie wyciekł. | Ponowne dołączanie klucza dzierżawy nie pomaga w tym miejscu i wymaga analizy głównej przyczyny. Jeśli proces lub usterka oprogramowania była odpowiedzialna za nieautoryzowaną osobę w celu uzyskania dostępu, należy rozwiązać ten problem. |
| Luka w zabezpieczeniach wykryta w algorytmie RSA lub długości klucza albo ataki siłowe stają się możliwe do obliczenia. | Firma Microsoft musi zaktualizować usługę Azure Information Protection, aby obsługiwała nowe algorytmy i dłuższe długości kluczy, które są odporne, i poinstruować wszystkich klientów o ponownym kluczu dzierżawy. |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla