Kundhanterad: klient nyckelns livs cykel åtgärderCustomer-managed: Tenant key life cycle operations

Gäller för: Azure information Protection, Office 365Applies to: Azure Information Protection, Office 365

Om du hanterar din klient nyckel för Azure Information Protection (ta med din egen nyckel eller BYOK, scenario) använder du följande avsnitt för mer information om de livs cykel åtgärder som är relevanta för den här topologin.If you manage your tenant key for Azure Information Protection (the bring your own key, or BYOK, scenario), use the following sections for more information about the life cycle operations that are relevant to this topology.

Återkalla din klientnyckelRevoke your tenant key

Det finns mycket få scenarier när du kan behöva återkalla nyckeln i stället för att göra om nycklar.There are very few scenarios when you might need to revoke your key instead of rekeying. När du återkallar nyckeln blir allt innehåll som har skyddats av din klient som använder den nyckeln otillgängligt för alla (inklusive Microsoft, dina globala administratörer och superanvändare) om du inte har en säkerhets kopia av nyckeln som du kan återställa.When you revoke your key, all content that has been protected by your tenant using that key will become inaccessible to everybody (including Microsoft, your global admins, and super users) unless you have a backup of the key that you can restore. När du har återkallat nyckeln kan du inte skydda nytt innehåll förrän du har skapat och konfigurerat en ny klient nyckel för Azure Information Protection.After revoking your key, you won't be able to protect new content until you create and configure a new tenant key for Azure Information Protection.

Om du vill återkalla din Kundhanterade klient nyckel i Azure Key Vault ändrar du behörigheterna för nyckel valvet som innehåller din Azure Information Protection klient nyckel så att Azure Rights Management-tjänsten inte längre kan komma åt nyckeln.To revoke your customer-managed tenant key, in Azure Key Vault, change the permissions on the key vault that contains your Azure Information Protection tenant key so that the Azure Rights Management service can no longer access the key. Den här åtgärden återkallar klient nyckeln för Azure Information Protection.This action effectively revokes the tenant key for Azure Information Protection.

Om du säger upp din prenumeration på Azure Information Protection slutar Azure Information Protection att använda din klientnyckel. Ingen åtgärd krävs av dig.When you cancel your subscription for Azure Information Protection, Azure Information Protection stops using your tenant key and no action is needed from you.

Uppdatera din klientnyckelRekey your tenant key

Nyckeluppdatering kallas även för att rulla nyckeln.Rekeying is also known as rolling your key. När du utför den här åtgärden slutar Azure Information Protection att använda den befintliga klient nyckeln för att skydda dokument och e-postmeddelanden och börjar använda en annan nyckel.When you do this operation, Azure Information Protection stops using the existing tenant key to protect documents and emails, and starts to use a different key. Principer och mallar återsigneras omedelbart, men den här över gången är gradvis för befintliga klienter och tjänster som använder Azure Information Protection.Policies and templates are immediately resigned but this changeover is gradual for existing clients and services using Azure Information Protection. För en viss tid fortsätter en del nytt innehåll att skyddas med den gamla klient nyckeln.So for some time, some new content continues to be protected with the old tenant key.

För nyckel förnyelse måste du konfigurera klient nyckel objektet och ange den alternativa nyckel som ska användas.To rekey, you must configure the tenant key object and specify the alternative key to use. Sedan markeras den tidigare använda nyckeln automatiskt som Arkiverad för Azure Information Protection.Then, the previously used key is automatically marked as archived for Azure Information Protection. Den här konfigurationen säkerställer att innehåll som skyddas med hjälp av den här nyckeln fortfarande är tillgängligt.This configuration ensures that content that was protected by using this key remains accessible.

Exempel på när du kan behöva uppdaterings nyckel för Azure Information Protection:Examples of when you might need to rekey for Azure Information Protection:

  • Företaget har delats upp i ett eller fler företag.Your company has split into two or more companies. När du uppdaterar din klientnyckel, kommer det nya företaget inte att ha åtkomst till nytt innehåll som dina anställda publicerar.When you rekey your tenant key, the new company will not have access to new content that your employees publish. De kan komma åt det gamla innehållet om de har en kopia av den gamla klientnyckeln.They can access the old content if they have a copy of the old tenant key.

  • Du vill flytta från en nyckel hanterings topologi till en annan.You want to move from one key management topology to another.

  • Du tror att huvud kopian av din klient nyckel (kopian i besittning) komprometteras.You believe the master copy of your tenant key (the copy in your possession) is compromised.

För nyckel förnyelse till en annan nyckel som du hanterar kan du antingen skapa en ny nyckel i Azure Key Vault eller använda en annan nyckel som redan finns i Azure Key Vault.To rekey to another key that you manage, you can either create a new key in Azure Key Vault or use a different key that is already in Azure Key Vault. Följ sedan samma procedurer som du gjorde för att implementera BYOK för Azure Information Protection.Then follow the same procedures that you did to implement BYOK for Azure Information Protection.

  1. Endast om den nya nyckeln finns i ett annat nyckel valv än det som du redan använder för Azure Information Protection: auktorisera Azure Information Protection att använda nyckel valvet med hjälp av cmdleten set-AzKeyVaultAccessPolicy .Only if the new key is in a different key vault to the one you are already using for Azure Information Protection: Authorize Azure Information Protection to use the key vault, by using the Set-AzKeyVaultAccessPolicy cmdlet.

  2. Om Azure Information Protection inte redan vet om den nyckel som du vill använda kör du cmdleten use-AipServiceKeyVaultKey .If Azure Information Protection doesn't already know about the key you want to use, run Use-AipServiceKeyVaultKey cmdlet.

  3. Konfigurera klient nyckel objektet med hjälp av cmdleten Run set-AipServiceKeyProperties .Configure the tenant key object, by using the run Set-AipServiceKeyProperties cmdlet.

Mer information om vart och ett av dessa steg:For more information about each of these steps:

  • En nyckel förnyelse till en annan nyckel som du hanterar finns i planera och implementera din Azure information Protection klient nyckel.To rekey to another key that you manage, see Planning and implementing your Azure Information Protection tenant key.

    Om du återskapar en HSM-skyddad nyckel som du skapar lokalt och överför till Key Vault kan du använda samma säkerhets värld och åtkomst kort som du använde för din aktuella nyckel.If you are rekeying an HSM-protected key that you create on-premises and transfer to Key Vault, you can use the same security world and access cards as you used for your current key.

  • Till nyckel förnyelse, ändra till en nyckel som Microsoft hanterar för dig, finns i avsnittet uppdatera din klient nyckel för Microsoft-hanterade åtgärder.To rekey, changing to a key that Microsoft manages for you, see the Rekey your tenant key section for Microsoft-managed operations.

Säkerhetskopiera och återställa din klientnyckelBackup and recover your tenant key

Eftersom du hanterar din klient nyckel ansvarar du för att säkerhetskopiera nyckeln som Azure Information Protection använder.Because you are managing your tenant key, you are responsible for backing up the key that Azure Information Protection uses.

Om du har genererat din klient nyckel lokalt, i en hjälp programmet nCipher HSM: om du vill säkerhetskopiera nyckeln säkerhetskopierar du nyckel filen för token, World-filen och administratörs korten.If you generated your tenant key on premises, in a nCipher HSM: To back up the key, back up the tokenized key file, the world file, and the administrator cards. När du överför nyckeln till Azure Key Vault sparar tjänsten den token nyckel filen för att skydda mot felaktiga noder.When you transfer your key to Azure Key Vault, the service saves the tokenized key file, to protect against failure of any service nodes. Den här filen är bunden till säkerhetsvärlden för den specifika Azure-regionen eller -instansen.This file is bound to the security world for the specific Azure region or instance. Tänk dock på att denna nyckel fil för denna token inte är en fullständig säkerhets kopia.However, do not consider this tokenized key file to be a full backup. Om du t. ex. skulle behöva en kopia av din nyckel för att använda utanför en hjälp programmet nCipher HSM, kan Azure Key Vault inte hämta den åt dig, eftersom den bara har en oåterkallelig kopia.For example, if you ever need a plain text copy of your key to use outside a nCipher HSM, Azure Key Vault cannot retrieve it for you, because it has only a non-recoverable copy.

Azure Key Vault har en säkerhets kopierings-cmdlet som du kan använda för att säkerhetskopiera en nyckel genom att ladda ned den och lagra den i en fil.Azure Key Vault has a backup cmdlet that you can use to back up a key by downloading it and storing it in a file. Eftersom det hämtade innehållet är krypterat kan det inte användas utanför Azure Key Vault.Because the downloaded content is encrypted, it cannot be used outside Azure Key Vault.

Exportera din klientnyckelExport your tenant key

Om du använder BYOK kan du inte exportera din klientnyckel från Azure Key Vault eller Azure Information Protection.If you use BYOK, you cannot export your tenant key from Azure Key Vault or Azure Information Protection. Kopian i Azure Key Vault går inte att återställa.The copy in Azure Key Vault is non-recoverable.

Svara på säkerhetsöverträdelserRespond to a breach

Inga säkerhetssystem, oavsett hur starkt, är komplett utan en process för svar på säkerhetsöverträdelser.No security system, no matter how strong, is complete without a breach response process. Din klientnyckel kan komprometteras eller bli stulen.Your tenant key might be compromised or stolen. Även om den är skyddad, kan det finnas sårbarheter i den aktuella tekniken för generering av nycklar eller i aktuella nyckel längder och algoritmer.Even when it’s protected well, vulnerabilities might be found in current generation key technology or in current key lengths and algorithms.

Microsoft har ett särskilt avsett team för att svara på säkerhetsincidenter i våra produkter och tjänster.Microsoft has a dedicated team to respond to security incidents in its products and services. Så snart det finns en trovärdig rapport för en incident sätter teamet igång med att undersöka omfång, grundorsak och åtgärder.As soon as there is a credible report of an incident, this team engages to investigate the scope, root cause, and mitigations. Om den här incidenten påverkar dina till gångar, meddelar Microsoft klient organisationens globala administratörer via e-post.If this incident affects your assets, Microsoft notifies your tenant Global administrators by email.

Om du har en säkerhetsöverträdelse beror den bästa åtgärd som du eller Microsoft kan vidta på överträdelsens omfattning. Microsoft arbetar genom den här processen tillsammans med dig.If you have a breach, the best action that you or Microsoft can take depends on the scope of the breach; Microsoft will work with you through this process. Följande tabell visar några vanliga situationer och troliga svar, även om det exakta svaret beror på den information som framkommer under undersökningen.The following table shows some typical situations and the likely response, although the exact response depends on all the information that is revealed during the investigation.

IncidentbeskrivningIncident description Troligt svarLikely response
Din klientnyckel har läckts.Your tenant key is leaked. Uppdatera din klientnyckel.Rekey your tenant key. Se uppdatera din klient nyckel.See Rekey your tenant key.
En obehörig person eller skadlig kod fick rättigheter att använda din klientnyckel men själva nyckeln har inte läckts.An unauthorized individual or malware got rights to use your tenant key but the key itself did not leak. Uppdatering av klientnyckeln hjälper inte här och en analys av grundorsaken krävs.Rekeying your tenant key does not help here and requires root-cause analysis. Om en process- eller programbugg bär ansvaret för att en obehörig person fick tillgång måste den situationen åtgärdas.If a process or software bug was responsible for the unauthorized individual to get access, that situation must be resolved.
Sårbarheter som identifieras i den nuvarande generationens HSM-teknik.Vulnerability discovered in the current-generation HSM technology. Microsoft måste uppdatera HSM.Microsoft must update the HSMs. Om det finns anledning att tro att de sårbara nycklarna är, kommer Microsoft att instruera alla kunder att uppdatera sina klient nycklar.If there is reason to believe that the vulnerability exposed keys, Microsoft will instruct all customers to rekey their tenant keys.
Sårbarheter som identifieras i RSA-algoritmen eller nyckellängden eller brute-force-attacker som blir beräkningsmässigt genomförbara.Vulnerability discovered in the RSA algorithm, or key length, or brute-force attacks become computationally feasible. Microsoft måste uppdatera Azure Key Vault eller Azure Information Protection för att stödja nya algoritmer och längre nyckel längder som är elastiska och instruera alla kunder att uppdatera sin klient nyckel.Microsoft must update Azure Key Vault or Azure Information Protection to support new algorithms and longer key lengths that are resilient, and instruct all customers to rekey their tenant key.