Gerida pela Microsoft: Operações de ciclo de vida de chave de inquilinoMicrosoft-managed: Tenant key life cycle operations

Aplica-se a: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Se a Microsoft gere a chave de inquilino do Azure Information Protection (predefinição), utilize as secções seguintes para obter mais informações sobre as operações de ciclo de vida que são relevantes para esta topologia.If Microsoft manages your tenant key for Azure Information Protection (the default), use the following sections for more information about the life cycle operations that are relevant to this topology.

Revogar a chave de inquilinoRevoke your tenant key

Quando cancelar a sua subscrição do Azure Information Protection, o Azure Information Protection deixará de utilizar a sua chave de inquilino e não será necessário que faça mais nada.When you cancel your subscription for Azure Information Protection, Azure Information Protection stops using your tenant key and no action is needed from you.

Recodificar a sua chave de inquilinoRekey your tenant key

A recodificação também é conhecida como implementação da chave.Rekeying is also known as rolling your key. Quando efetuar esta operação, o Azure Information Protection deixa de utilizar a chave de inquilino existente para proteger documentos e e-mails e começa a utilizar uma chave diferente.When you do this operation, Azure Information Protection stops using the existing tenant key to protect documents and emails, and starts to use a different key. As políticas e os modelos são imediatamente assinar mas este changeover é gradual de clientes existentes e serviços com o Azure Information Protection.Policies and templates are immediately resigned but this changeover is gradual for existing clients and services using Azure Information Protection. Por isso, há algum tempo, algum conteúdo novo continua a ser protegidos com a chave de inquilino antiga.So for some time, some new content continues to be protected with the old tenant key.

Para recodificação, tem de configurar o objeto de chave de inquilino e especificar a chave alternativa a utilizar.To rekey, you must configure the tenant key object and specify the alternative key to use. Em seguida, a chave utilizada anteriormente automaticamente está marcada como arquivados para o Azure Information Protection.Then, the previously used key is automatically marked as archived for Azure Information Protection. Esta configuração assegura esse conteúdo que foi protegido utilizando esta chave permanece acessível.This configuration ensures that content that was protected by using this key remains accessible.

Exemplos de quando poderá ter de recodificação para o Azure Information Protection:Examples of when you might need to rekey for Azure Information Protection:

  • A migração do Active Directory Rights Management Services (AD RMS) com uma chave de modo criptográfico 1.You have migrated from Active Directory Rights Management Services (AD RMS) with a cryptographic mode 1 key. Quando a migração estiver concluída, pretender alterar a utilizar uma chave que utiliza o modo criptográfico 2.When the migration is complete, you want to change to using a key that uses cryptographic mode 2.

  • A sua empresa foi dividida em duas ou mais empresas.Your company has split into two or more companies. Quando efetua a recodificação da chave de inquilino, a nova empresa não terá acesso ao conteúdo novo que os seus funcionários publicam.When you rekey your tenant key, the new company will not have access to new content that your employees publish. Estes podem aceder ao conteúdo antigo se tiverem uma cópia da chave de inquilino antiga.They can access the old content if they have a copy of the old tenant key.

  • Pretender mover de uma topologia de gestão de chaves para outro.You want to move from one key management topology to another.

  • Considerar que a cópia principal da sua chave de inquilino é comprometida.You believe the master copy of your tenant key is compromised.

Para recodificação, pode selecionar uma chave diferente para se tornar a sua chave de inquilino gerida pela Microsoft, mas não é possível criar uma nova chave gerida pela Microsoft.To rekey, you can select a different Microsoft-managed key to become your tenant key, but you cannot create a new Microsoft-managed key. Para criar uma nova chave, tem de alterar a topologia de chave a ser gerida pelo cliente (BYOK).To create a new key, you must change your key topology to be customer-managed (BYOK).

Tiver mais do que uma chave gerida pela Microsoft se migrados a partir do Active Directory Rights Management Services (AD RMS) e escolher a topologia de chave gerida pela Microsoft para o Azure Information Protection.You have more than one Microsoft-managed key if you migrated from Active Directory Rights Management Services (AD RMS) and chose the Microsoft-managed key topology for Azure Information Protection. Neste cenário, tem, pelo menos, duas chaves gerida pela Microsoft para o seu inquilino.In this scenario, you have at least two Microsoft-managed keys for your tenant. Chave de um ou mais, são a chave ou chaves importados do AD RMS.One key, or more, is the key or keys that you imported from AD RMS. Também terá a chave predefinida que foi criada automaticamente para o seu inquilino do Azure Information Protection.You will also have the default key that was automatically created for your Azure Information Protection tenant.

Para selecionar uma chave diferente para ser a sua chave de inquilino do Active Directory para o Azure Information Protection, utilize o conjunto AadrmKeyProperties cmdlet do módulo AADRM.To select a different key to be your active tenant key for Azure Information Protection, use the Set-AadrmKeyProperties cmdlet from the AADRM module. Para ajudar a identificar qual a chave a utilizar, utilize o Get-AadrmKeys cmdlet.To help you identify which key to use, use the Get-AadrmKeys cmdlet. Pode identificar a chave predefinida que foi criada automaticamente para o seu inquilino do Azure Information Protection, executando o seguinte comando:You can identify the default key that was automatically created for your Azure Information Protection tenant by running the following command:

(Get-AadrmKeys) | Sort-Object CreationTime | Select-Object -First 1

Para alterar a topologia de chave a ser gerida pelo cliente (BYOK), consulte implementar o BYOK para a sua chave de inquilino do Azure Information Protection.To change your key topology to be customer-managed (BYOK), see Implementing BYOK for your Azure Information Protection tenant key.

Efetuar cópia de segurança e recuperar a chave de inquilinoBackup and recover your tenant key

A Microsoft é responsável pela cópia de segurança da sua chave de inquilino e não é necessária qualquer ação da sua parte.Microsoft is responsible for backing up your tenant key and no action is required from you.

Exportar a chave de inquilinoExport your tenant key

Pode exportar a configuração do Azure Information Protection e a chave de inquilino ao seguir as instruções seguintes três passos:You can export your Azure Information Protection configuration and tenant key by following the instructions in the following three steps:

Passo 1: iniciar a exportaçãoStep 1: Initiate export

  • Contacte o Support Microsoft para abrir um caso de suporte do Azure Information Protection com um pedido de uma exportação de chave do Azure Information Protection.Contact Microsoft Support to open an Azure Information Protection support case with a request for an Azure Information Protection key export. Tem de provar que é um administrador do inquilino do Azure Information Protection e compreender que este processo demorará vários dias a ser confirmado.You must prove you are an administrator for your Azure Information Protection tenant, and understand that this process takes several days to confirm. São aplicáveis encargos de suporte padrão; a exportação da chave do inquilino não é um serviço de suporte gratuito.Standard support charges apply; exporting your tenant key is not a free-of-charge support service.

Passo 2: aguardar pela verificaçãoStep 2: Wait for verification

  • A Microsoft verifica se o seu pedido para libertar a chave de inquilino do Azure Information Protection é legítimo.Microsoft verifies that your request to release your Azure Information Protection tenant key is legitimate. Este processo pode demorar até três semanas.This process can take up to three weeks.

Passo 3: receber instruções relativamente à chave do CSSStep 3: Receive key instructions from CSS

  • O Suporte ao Cliente da Microsoft (CSS) enviar-lhe-á a configuração do Azure Information Protection e a chave de inquilino encriptadas num ficheiro protegido por palavra-passe.Microsoft Customer Support Services (CSS) sends you your Azure Information Protection configuration and tenant key encrypted in a password-protected file. O ficheiro tem uma extensão de nome de ficheiro .tpd.This file has a .tpd file name extension. Para o fazer, o CSS primeiro envia-lhe (como a pessoa que iniciou a exportação) uma ferramenta por e-mail.To do this, CSS first sends you (as the person who initiated the export) a tool by email. Tem de executar a ferramenta numa linha de comandos da seguinte forma:You must run the tool from a command prompt as follows:

    AadrmTpd.exe -createkey
    

    Isto gera um par de chaves RSA e guarda os meios públicos e privados como ficheiros na pasta atual.This generates an RSA key pair and saves the public and private halves as files in the current folder. Por exemplo: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt e PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.For example: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt and PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.

    Responda ao e-mail a partir do CSS, anexando o ficheiro que tem um nome que começa com PublicKey.Respond to the email from CSS, attaching the file that has a name that starts with PublicKey. CSS junto envia-lhe um ficheiro TPD como um ficheiro. XML que está encriptado com a sua chave RSA.CSS next sends you a TPD file as an .xml file that is encrypted with your RSA key. Copie este ficheiro para a mesma pasta que executou a ferramenta AadrmTpd originalmente e execute a ferramenta novamente, utilizando o ficheiro que começa com PrivateKey e o ficheiro do CSS.Copy this file to the same folder as you ran the AadrmTpd tool originally, and run the tool again, using your file that starts with PrivateKey and the file from CSS. Por exemplo:For example:

    AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
    

    Este comando deverá resultar em dois ficheiros: um contém a palavra-passe de texto simples para o TPD protegido por palavra-passe e o outro é o próprio TPD protegido por palavra-passe.The output of this command should be two files: One contains the plain text password for the password-protected TPD, and the other is the password-protected TPD itself. Os ficheiros têm um novo GUID, por exemplo:The files have a new GUID, for example:

    • Palavra-passe-5E4C2018-8C8C-4548-8705-E3218AA1544E.txtPassword-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

    • TPDExportado-5E4C2018-8C8C-4548-8705-E3218AA1544E.xmlExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

      Efetue uma cópia de segurança destes ficheiros e armazene-os de forma segura para se certificar de que pode continuar a desencriptar o conteúdo que está protegido com esta chave de inquilino.Back up these files and store them safely to ensure that you can continue to decrypt content that is protected with this tenant key. Além disso, se está a migrar para o AD RMS, pode importar este ficheiro TPD (o ficheiro que começa com ExportedTDP) para o seu servidor AD RMS.In addition, if you are migrating to AD RMS, you can import this TPD file (the file that starts with ExportedTDP) to your AD RMS server.

Passo 4: em curso: proteger a chave de inquilinoStep 4: Ongoing: Protect your tenant key

Depois de receber a chave de inquilino, mantenha-a bem protegida, uma vez que se alguém obtiver acesso à mesma, pode desencriptar todos os documentos que estão protegidos através dessa chave.After you receive your tenant key, keep it well-guarded, because if somebody gets access to it, they can decrypt all documents that are protected by using that key.

Se o motivo para exportar sua a chave do inquilino for o facto de já não querer utilizar o Azure Information Protection, uma boa prática é desativar o serviço Azure Rights Management do inquilino do Azure Information Protection.If the reason for exporting your tenant key is because you no longer want to use Azure Information Protection, as a best practice, now deactivate the Azure Rights Management service from your Azure Information Protection tenant. Não adie esta ação depois de receber a sua chave de inquilino porque esta precaução ajuda a minimizar as consequências de um acesso indevido à sua chave de inquilino.Do not delay doing this after you receive your tenant key because this precaution helps to minimize the consequences if your tenant key is accessed by somebody who should not have it. Para obter mais informações, consulte Desativar o Azure Rights Management.For instructions, see Decommissioning and deactivating Azure Rights Management.

Responder a uma violaçãoRespond to a breach

Nenhum sistema de segurança, por mais forte que seja, está completo sem um processo de resposta a violações.No security system, no matter how strong, is complete without a breach response process. A sua chave de inquilino pode estar comprometida ou ter sido roubada.Your tenant key might be compromised or stolen. Mesmo quando este é também protegido, podem existir vulnerabilidades na tecnologia de chave de geração atual ou nos algoritmos e comprimentos de chave atuais.Even when it’s protected well, vulnerabilities might be found in current generation key technology or in current key lengths and algorithms.

A Microsoft tem uma equipa dedicada para responder a incidentes de segurança nos seus produtos e serviços.Microsoft has a dedicated team to respond to security incidents in its products and services. Assim que existir um relatório credível de um incidente, esta equipa investiga o âmbito, a causa raiz e as resoluções.As soon as there is a credible report of an incident, this team engages to investigate the scope, root cause, and mitigations. Se este incidente afetar os recursos, a Microsoft irá notificar os administradores de inquilinos do Azure Information Protection por e-mail, utilizando o endereço de e-mail que especificou ao subscrever.If this incident affects your assets, Microsoft will notify your Azure Information Protection tenant administrators by email, by using the email address that you supplied when you subscribed.

Se ocorrer uma violação, a melhor ação que o utilizador ou a Microsoft pode efetuar depende do âmbito da violação; a Microsoft irá trabalhar consigo ao longo deste processo.If you have a breach, the best action that you or Microsoft can take depends on the scope of the breach; Microsoft will work with you through this process. A tabela seguinte mostra algumas situações típicas e a resposta provável, embora a resposta exata dependa de todas as informações que são reveladas durante a investigação.The following table shows some typical situations and the likely response, although the exact response depends on all the information that is revealed during the investigation.

Descrição do incidenteIncident description Resposta provávelLikely response
Ocorreu uma fuga da chave de inquilino.Your tenant key is leaked. Recodifique a sua chave de inquilino.Rekey your tenant key. Veja a secção Recodificar a sua chave de inquilino neste artigo.See the Rekey your tenant key section in this article.
Um indivíduo não autorizado ou um software maligno obteve direitos para utilizar a sua chave de inquilino, mas não houve uma fuga da própria chave.An unauthorized individual or malware got rights to use your tenant key but the key itself did not leak. Efetuar a recodificação da chave de inquilino não ajuda neste caso e requer a análise da causa principal.Rekeying your tenant key does not help here and requires root-cause analysis. Se um erro no processo ou software tiver sido responsável pelo acesso que o indivíduo não autorizado obteve, essa situação tem de ser resolvida.If a process or software bug was responsible for the unauthorized individual to get access, that situation must be resolved.
Foi detetada uma vulnerabilidade no algoritmo RSA, ou no comprimento da chave, ou ataques de força bruta tornaram-se exequíveis a nível informático.Vulnerability discovered in the RSA algorithm, or key length, or brute-force attacks become computationally feasible. A Microsoft tem de atualizar o Azure Information Protection para suportar os novos algoritmos e maiores comprimentos de chaves para serem resilientes e instruir todos os clientes a renovarem as respetivas chaves de inquilino.Microsoft must update Azure Information Protection to support new algorithms and longer key lengths that are resilient, and instruct all customers to renew their tenant keys.

ComentáriosComments

Antes de inserir um comentário, pedimos-lhe que reveja as nossas Regras básicas.Before commenting, we ask that you review our House rules.