Kund hanterad: Livscykelåtgärder för klientnyckeln

Gäller för:Azure Information Protection, Office 365

Relevant för:AIP unified labeling client and classic client

Obs!

För att ge en enhetlig och smidig kundupplevelse är den klassiska Azure Information Protection-klienten och Etiketthantering i Azure-portalen inaktuella sedan den 31 mars 2021. Inget ytterligare stöd tillhandahålls för den klassiska klienten och underhållsversioner kommer inte längre att släppas.

Den klassiska klienten upphör officiellt och slutar fungera den 31 mars 2022.

Alla aktuella kunder med Azure Information Protection för klassiska klienter måste migrera till Microsoft Information Protection unified labeling-plattformen och uppgradera till den enhetliga etikettklienten. Läs mer i vår migreringsblogg.

Om du hanterar klientnyckeln för Azure Information Protection (scenariot Ta med en egen nyckel eller BYOK) använder du följande avsnitt för mer information om livscykelåtgärder som är relevanta för den här topologin.

Återkalla din klientnyckel

Det finns väldigt få scenarier när du kan behöva återkalla din nyckel i stället för att göra en omnyckelning. När du återkallar nyckeln blir allt innehåll som har skyddats av klienten med den nyckeln otillgängligt för alla (inklusive Microsoft, dina globala administratörer och superanvändare) såvida du inte har en säkerhetskopia av nyckeln som du kan återställa. När du har återkallat nyckeln kan du inte skydda nytt innehåll förrän du har skapat och konfigurerat en ny klientnyckel för Azure Information Protection.

Om du vill återkalla din kundhanteringsnyckel i Azure-nyckelvalv ändrar du behörigheterna för det nyckelvalv som innehåller Azure Information Protection-klientnyckeln så att Azure Rights Management-tjänsten inte längre kan komma åt nyckeln. Den här åtgärden återkallar klientnyckeln för Azure Information Protection.

När du avbryter prenumerationen för Azure Information Protection slutar Azure Information Protection att använda din klientnyckel och ingen åtgärd krävs av dig.

Nyckel för klientorganisationen

Nyckelring kallas även att rulla din nyckel. När du gör den här åtgärden slutar Azure Information Protection att använda den befintliga klientnyckeln för att skydda dokument och e-postmeddelanden och börjar använda en annan nyckel. Principer och mallar har omedelbart bortgått, men den här övergången sker gradvis för befintliga klienter och tjänster med Azure Information Protection. Så under en tid fortsätter visst nytt innehåll att vara skyddat med den gamla klientorganisationens nyckel.

Om du vill göra en omnyckel måste du konfigurera klientnyckelobjektet och ange alternativnyckeln som ska användas. Den tidigare använda nyckeln markeras sedan automatiskt som arkiverad för Azure Information Protection. Den här konfigurationen säkerställer att innehåll som skyddades med den här nyckeln förblir åtkomligt.

Exempel på när du kan behöva nyckel för Azure Information Protection:

  • Företaget har delat upp i två eller fler företag. När du omnyckelar klientnyckeln har det nya företaget inte tillgång till nytt innehåll som de anställda publicerar. De kan komma åt det gamla innehållet om de har en kopia av den gamla klientorganisationens nyckel.

  • Du vill flytta från en tangenthanteringstopologi till en annan.

  • Du tror att huvudkopian av klientnyckeln (kopian som du äger) har komprometterats.

För att omnyckela till en annan nyckel som du hanterar kan du antingen skapa en ny nyckel i Azure Key Vault eller använda en annan nyckel som redan finns i Azure Key Vault. Följ sedan samma procedurer som du gjorde för att implementera BYOK för Azure Information Protection.

  1. Endast om den nya nyckeln finns i ett annat nyckelvalv till det som du redan använder för Azure Information Protection: Godkänn Att Azure Information Protection använder nyckelvalvet med hjälp av cmdleten Set-AzKeyVaultAccessPolicy.

  2. Om Azure Information Protection inte redan känner till den nyckel du vill använda kör du cmdleten Use-AipServiceKeyVaultKey.

  3. Konfigurera klientnyckelobjektet med hjälp av kör cmdleten Set-AipServiceKeyProperties.

För mer information om vart och ett av följande steg:

  • Om du vill skapa en ny nyckel för en annan nyckel som du hanterar kan du gå till Planera och implementera Azure Information Protection-klientnyckeln.

    Om du nyckelar en HSM-skyddad nyckel som du skapar lokalt och överför till nyckelvalv, kan du använda samma säkerhets värld och åtkomstkort som du använde för din aktuella nyckel.

  • Om du vill göra en omnyckel och byta till en nyckel som Microsoft hanterar åt dig kan du gå till avsnittet Omnyckela klientnyckeln för åtgärder som hanteras av Microsoft.

Säkerhetskopiera och återställa klientnyckeln

Eftersom du hanterar klientnyckeln ansvarar du för att backa upp nyckeln som Används i Azure Information Protection.

Om du har skapat klientnyckeln lokalt går du till en nCipher HSM: För att backa nyckeln måste du backa den tokeniserade nyckelfilen, världsfilen och administratörskorten. När du överför nyckeln till Azure-nyckelvalvet sparar tjänsten den tokeniserade nyckelfilen för att skydda mot fel i tjänstnoder. Den här filen är bunden till säkerhets världen för den specifika Azure-regionen eller Azure-instansen. Men den här tokeniserade nyckelfilen bör inte vara en fullständig säkerhetskopia. Om du till exempel någon gång behöver en oformaterad textkopia av nyckeln som ska användas utanför en nCipher HSM, kan Azure Key Vault inte hämta den åt dig, eftersom den bara har en icke-återställningsbar kopia.

Azure Key Vault har en cmdlet för säkerhetskopiering som du kan använda för att säkerhetskopiera en nyckel genom att ladda ned den och lagra den i en fil. Eftersom det nedladdade innehållet krypteras kan det inte användas utanför Azure Key Vault.

Exportera klientnyckeln

Om du använder BYOK kan du inte exportera din klientnyckel från Azure Key Vault eller Azure Information Protection. Kopian i Azure Key Vault kan inte återställas.

Svara på ett brott

Inget säkerhetssystem, oavsett hur starkt det är, är fullständigt utan svarsprocess om intrång. Klientnyckeln kan ha komprometterats eller blivit stulen. Även när den är väl skyddad kan svagheter finnas i den aktuella generationens nyckelteknik eller i aktuella nyckellängder och algoritmer.

Microsoft har ett särskilt team för att svara på säkerhetsincidenter i sina produkter och tjänster. Så snart det finns en trovärdighetsrapport för en händelse engagerar sig den här gruppen för att undersöka omfattning, orsak och minskningar. Om det här problemet påverkar dina tillgångar meddelar Microsoft dina globala innehavaradministratörer via e-post.

Om du har gjort ett brott beror den bästa åtgärd som du eller Microsoft kan vidta på omfattningen av intrånget. Microsoft samarbetar med dig i den här processen. I följande tabell visas några vanliga situationer och det troliga svaret, även om det exakta svaret beror på all information som visas under undersökningen.

Incidentbeskrivning Troliga svar
Din klientnyckel har läckts. Omnyckela din klientnyckel. Mer information finns i Nyckel om klientnyckeln.
Obehörig person eller skadlig programvara fick rättigheter att använda klientnyckeln, men själva nyckeln läckte inte. Att nyckela om klientnyckeln hjälper inte här och kräver rotorsaksanalys. Om en process- eller programfel var ansvarig för att obehöriga personer ska få åtkomst måste den situationen vara löst.
Sårbarhet som upptäckts i den aktuella generationens HSM-teknik. Microsoft måste uppdatera HSMs. Om det finns anledning att tro att sårbarheten exponerade nycklar, kommer Microsoft att instruera alla kunder att omnyckela sina klientnycklar.
Sårbarhet som upptäcks i RSA-algoritmen, eller nyckellängd eller råstyrattacker, blir beräkningsbart. Microsoft måste uppdatera Azure-nyckelvalv eller Azure Information Protection för att stödja nya algoritmer och längre nyckellängder som är flexibela, och instruera alla kunder att omnyckela sin klientnyckel.