Gerida pelo cliente: Operações de ciclo de vida de chave de inquilinoCustomer-managed: Tenant key life cycle operations

Aplica-se a: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Se gerir a sua chave de inquilino do Azure Information Protection (a traga a sua própria chave ou BYOK, cenário), utilize as secções seguintes para obter mais informações sobre as operações de ciclo de vida que são relevantes para esta topologia.If you manage your tenant key for Azure Information Protection (the bring your own key, or BYOK, scenario), use the following sections for more information about the life cycle operations that are relevant to this topology.

Revogar a chave de inquilinoRevoke your tenant key

No Azure Key Vault, pode alterar as permissões no cofre de chaves que contêm a chave de inquilino do Azure Information Protection, de modo a que o serviço Azure Rights Management já não possa aceder à chave.In Azure Key Vault, you can change the permissions on the key vault that contains your Azure Information Protection tenant key so that the Azure Rights Management service can no longer access the key. No entanto, ao fazê-lo, ninguém conseguirá abrir documentos e e-mails que anteriormente eram protegidos com o serviço Azure Rights Management.However, when you do this, nobody will be able to open documents and emails that you previously protected with the Azure Rights Management service.

Quando cancelar a sua subscrição do Azure Information Protection, o Azure Information Protection deixará de utilizar a sua chave de inquilino e não será necessário que faça mais nada.When you cancel your subscription for Azure Information Protection, Azure Information Protection stops using your tenant key and no action is needed from you.

Recodificar a sua chave de inquilinoRekey your tenant key

A recodificação também é conhecida como implementação da chave.Rekeying is also known as rolling your key. Quando efetuar esta operação, o Azure Information Protection deixa de utilizar a chave de inquilino existente para proteger documentos e e-mails e começa a utilizar uma chave diferente.When you do this operation, Azure Information Protection stops using the existing tenant key to protect documents and emails, and starts to use a different key. As políticas e os modelos são imediatamente assinar mas este changeover é gradual de clientes existentes e serviços com o Azure Information Protection.Policies and templates are immediately resigned but this changeover is gradual for existing clients and services using Azure Information Protection. Por isso, há algum tempo, algum conteúdo novo continua a ser protegidos com a chave de inquilino antiga.So for some time, some new content continues to be protected with the old tenant key.

Para recodificação, tem de configurar o objeto de chave de inquilino e especificar a chave alternativa a utilizar.To rekey, you must configure the tenant key object and specify the alternative key to use. Em seguida, a chave utilizada anteriormente automaticamente está marcada como arquivados para o Azure Information Protection.Then, the previously used key is automatically marked as archived for Azure Information Protection. Esta configuração assegura esse conteúdo que foi protegido utilizando esta chave permanece acessível.This configuration ensures that content that was protected by using this key remains accessible.

Exemplos de quando poderá ter de recodificação para o Azure Information Protection:Examples of when you might need to rekey for Azure Information Protection:

  • A sua empresa foi dividida em duas ou mais empresas.Your company has split into two or more companies. Quando efetua a recodificação da chave de inquilino, a nova empresa não terá acesso ao conteúdo novo que os seus funcionários publicam.When you rekey your tenant key, the new company will not have access to new content that your employees publish. Estes podem aceder ao conteúdo antigo se tiverem uma cópia da chave de inquilino antiga.They can access the old content if they have a copy of the old tenant key.

  • Pretender mover de uma topologia de gestão de chaves para outro.You want to move from one key management topology to another.

  • Considerar que a cópia principal da sua chave de inquilino (a cópia na sua posse) é comprometida.You believe the master copy of your tenant key (the copy in your possession) is compromised.

A recodificar a chave de outro por si, pode criar uma nova chave no Cofre de chaves do Azure ou utilizar uma chave diferente que já se encontra no Cofre de chaves do Azure.To rekey to another key that you manage, you can either create a new key in Azure Key Vault or use a different key that is already in Azure Key Vault. Em seguida, siga os mesmos procedimentos que fez para implementar o BYOK do Azure Information Protection.Then follow the same procedures that you did to implement BYOK for Azure Information Protection.

  1. Apenas se a nova chave está a ser um cofre de chaves diferentes para o já estiver a utilizar para o Azure Information Protection: autorizar o Azure Information Protection para utilizar o Cofre de chaves, utilizando o Set-AzureRmKeyVaultAccessPolicy cmdlet.Only if the new key is in a different key vault to the one you are already using for Azure Information Protection: Authorize Azure Information Protection to use the key vault, by using the Set-AzureRmKeyVaultAccessPolicy cmdlet.

  2. Se já não conhece o Azure Information Protection sobre a chave de que pretende utilizar, execute utilize AadrmKeyVaultKey cmdlet.If Azure Information Protection doesn't already know about the key you want to use, run Use-AadrmKeyVaultKey cmdlet.

  3. Configurar o objeto de chave de inquilino, utilizando a execução conjunto AadrmKeyProperties cmdlet.Configure the tenant key object, by using the run Set-AadrmKeyProperties cmdlet.

Para obter mais informações sobre cada um destes passos:For more information about each of these steps:

Efetuar cópia de segurança e recuperar a chave de inquilinoBackup and recover your tenant key

Porque está a gerir a chave de inquilino, o utilizador é responsável pela cópia de segurança da chave que utiliza o Azure Information Protection.Because you are managing your tenant key, you are responsible for backing up the key that Azure Information Protection uses.

Se gerou a chave de inquilino no local, num HSM da Thales: fazer uma cópia de segurança da chave, criar cópias de segurança do ficheiro de chave tokenized, o ficheiro de universo e os cartões de administrador.If you generated your tenant key on premises, in a Thales HSM: To back up the key, back up the tokenized key file, the world file, and the administrator cards. Quando transferir a chave ao Cofre de chaves do Azure, o serviço guarda o ficheiro de chave tokenized, para proteger contra falhas de quaisquer nós de serviço.When you transfer your key to Azure Key Vault, the service saves the tokenized key file, to protect against failure of any service nodes. Este ficheiro está vinculado ao mundo da segurança da instância ou região do Azure específica.This file is bound to the security world for the specific Azure region or instance. No entanto, não considere que esta seja uma cópia de segurança completa.However, do not consider this to be a full backup. Por exemplo, se alguma vez precisar de uma cópia de texto simples da sua chave para utilizar fora de um HSM da Thales, Cofre de chaves do Azure não é possível recuperá-la, porque tem apenas uma cópia não recuperável.For example, if you ever need a plain text copy of your key to use outside a Thales HSM, Azure Key Vault cannot retrieve it for you, because it has only a non-recoverable copy.

O Cofre de chaves do Azure tem um cmdlet de cópia de segurança que pode utilizar para uma chave de cópia de segurança, transferindo-a e armazená-la num ficheiro.Azure Key Vault has a backup cmdlet that you can use to backup a key by downloading it and storing it in a file. Porque o conteúdo transferido é encriptado, não pode ser utilizado fora do Cofre de chaves do Azure.Because the downloaded content is encrypted, it cannot be used outside Azure Key Vault.

Exportar a chave de inquilinoExport your tenant key

Se utiliza o BYOK, não pode exportar a chave de inquilino do Azure Key Vault ou do Azure Information Protection.If you use BYOK, you cannot export your tenant key from Azure Key Vault or Azure Information Protection. A cópia no Azure Key Vault não é recuperável.The copy in Azure Key Vault is non-recoverable.

Responder a uma violaçãoRespond to a breach

Nenhum sistema de segurança, por mais forte que seja, está completo sem um processo de resposta a violações.No security system, no matter how strong, is complete without a breach response process. A sua chave de inquilino pode estar comprometida ou ter sido roubada.Your tenant key might be compromised or stolen. Mesmo quando este é também protegido, podem existir vulnerabilidades na tecnologia de chave de geração atual ou nos algoritmos e comprimentos de chave atuais.Even when it’s protected well, vulnerabilities might be found in current generation key technology or in current key lengths and algorithms.

A Microsoft tem uma equipa dedicada para responder a incidentes de segurança nos seus produtos e serviços.Microsoft has a dedicated team to respond to security incidents in its products and services. Assim que existir um relatório credível de um incidente, esta equipa investiga o âmbito, a causa raiz e as resoluções.As soon as there is a credible report of an incident, this team engages to investigate the scope, root cause, and mitigations. Se este incidente afetar os recursos, o Microsoft notifica os administradores de inquilinos do Azure Information Protection por e-mail utilizando o endereço que especificou ao subscrever.If this incident affects your assets, Microsoft notifies your Azure Information Protection tenant administrators by email by using the address that you supplied when you subscribed.

Se ocorrer uma violação, a melhor ação que o utilizador ou a Microsoft pode efetuar depende do âmbito da violação; a Microsoft irá trabalhar consigo ao longo deste processo.If you have a breach, the best action that you or Microsoft can take depends on the scope of the breach; Microsoft will work with you through this process. A tabela seguinte mostra algumas situações típicas e a resposta provável, embora a resposta exata dependa de todas as informações que são reveladas durante a investigação.The following table shows some typical situations and the likely response, although the exact response depends on all the information that is revealed during the investigation.

Descrição do incidenteIncident description Resposta provávelLikely response
Ocorreu uma fuga da chave de inquilino.Your tenant key is leaked. Recodifique a sua chave de inquilino.Rekey your tenant key. Consulte Recodificar a sua chave de inquilino.See Rekey your tenant key.
Um indivíduo não autorizado ou um software maligno obteve direitos para utilizar a sua chave de inquilino, mas não houve uma fuga da própria chave.An unauthorized individual or malware got rights to use your tenant key but the key itself did not leak. Efetuar a recodificação da chave de inquilino não ajuda neste caso e requer a análise da causa principal.Rekeying your tenant key does not help here and requires root-cause analysis. Se um erro no processo ou software tiver sido responsável pelo acesso que o indivíduo não autorizado obteve, essa situação tem de ser resolvida.If a process or software bug was responsible for the unauthorized individual to get access, that situation must be resolved.
Vulnerabilidade detetada na tecnologia HSM de geração atual.Vulnerability discovered in the current-generation HSM technology. A Microsoft tem de atualizar os HSMs.Microsoft must update the HSMs. Se existir razão para considerar que a vulnerabilidade expôs chaves, a Microsoft instruirá todos os clientes a renovarem as respetivas chaves de inquilino.If there is reason to believe that the vulnerability exposed keys, Microsoft will instruct all customers to renew their tenant keys.
Foi detetada uma vulnerabilidade no algoritmo RSA, ou no comprimento da chave, ou ataques de força bruta tornaram-se exequíveis a nível informático.Vulnerability discovered in the RSA algorithm, or key length, or brute-force attacks become computationally feasible. A Microsoft tem de atualizar o Azure Key Vault ou o Azure Information Protection para suportarem os novos algoritmos e maiores comprimentos de chaves para serem resilientes e instruir todos os clientes a renovarem as respetivas chaves de inquilino.Microsoft must update Azure Key Vault or Azure Information Protection to support new algorithms and longer key lengths that are resilient, and instruct all customers to renew their tenant keys.

ComentáriosComments

Antes de inserir um comentário, pedimos-lhe que reveja as nossas Regras básicas.Before commenting, we ask that you review our House rules.