Microsoft-hanterad: Livscykelåtgärder för klientorganisationsnyckel
Kommentar
Letar du efter Microsoft Purview Information Protection, tidigare Microsoft Information Protection (MIP)?
Azure Information Protection-tillägget dras tillbaka och ersätts med etiketter som är inbyggda i dina Microsoft 365-appar och -tjänster. Läs mer om supportstatus för andra Azure Information Protection-komponenter.
Den nya Microsoft Purview Information Protection-klienten (utan tillägget) är för närvarande i förhandsversion och schemalagd för allmän tillgänglighet.
Om Microsoft hanterar din klientnyckel för Azure Information Protection (standard) använder du följande avsnitt för mer information om livscykelåtgärder som är relevanta för den här topologin.
Återkalla din klientnyckel
När du avbryter prenumerationen för Azure Information Protection slutar Azure Information Protection att använda din klientnyckel och du behöver ingen åtgärd.
Uppdatera klientnyckeln
Nyckelåterkoppling kallas även för att rulla din nyckel. När du gör den här åtgärden slutar Azure Information Protection att använda den befintliga klientnyckeln för att skydda dokument och e-postmeddelanden och börjar använda en annan nyckel. Principer och mallar avgår omedelbart, men den här övergången sker gradvis för befintliga klienter och tjänster som använder Azure Information Protection. Så under en tid fortsätter en del nytt innehåll att skyddas med den gamla klientnyckeln.
Om du vill uppdatera nyckeln måste du konfigurera objektet för klientnyckeln och ange den alternativa nyckel som ska användas. Sedan markeras den tidigare använda nyckeln automatiskt som arkiverad för Azure Information Protection. Den här konfigurationen säkerställer att innehåll som har skyddats med hjälp av den här nyckeln förblir tillgängligt.
Exempel på när du kan behöva nyckela om för Azure Information Protection:
Du har migrerat från Active Directory Rights Management Services (AD RMS) med en nyckel för kryptografiläge 1. När migreringen är klar vill du ändra till att använda en nyckel som använder kryptografiläge 2.
Ditt företag har delat upp sig i två eller flera företag. När du uppdaterar klientnyckeln har det nya företaget inte åtkomst till nytt innehåll som dina anställda publicerar. De kan komma åt det gamla innehållet om de har en kopia av den gamla klientnyckeln.
Du vill flytta från en nyckelhanteringstopologi till en annan.
Du tror att huvudkopian av klientnyckeln är komprometterad.
Om du vill uppdatera nyckeln kan du välja en annan Microsoft-hanterad nyckel för att bli din klientnyckel, men du kan inte skapa en ny Microsoft-hanterad nyckel. Om du vill skapa en ny nyckel måste du ändra nyckeltopologin så att den är kundhanterad (BYOK).
Du har mer än en Microsoft-hanterad nyckel om du migrerade från Active Directory Rights Management Services (AD RMS) och valde den Microsoft-hanterade nyckeltopologin för Azure Information Protection. I det här scenariot har du minst två Microsoft-hanterade nycklar för din klientorganisation. En nyckel, eller mer, är nyckeln eller nycklarna som du har importerat från AD RMS. Du kommer också att ha standardnyckeln som skapades automatiskt för din Azure Information Protection-klientorganisation.
Om du vill välja en annan nyckel som din aktiva klientnyckel för Azure Information Protection använder du cmdleten Set-AipServiceKeyProperties från modulen AIPService. Använd cmdleten Get-AipServiceKeys för att identifiera vilken nyckel som ska användas. Du kan identifiera standardnyckeln som skapades automatiskt för din Azure Information Protection-klient genom att köra följande kommando:
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
Information om hur du ändrar din nyckeltopologi till att vara kundhanterad (BYOK) finns i Planera och implementera din Azure Information Protection-klientnyckel.
Säkerhetskopiera och återställa din klientnyckel
Microsoft ansvarar för att säkerhetskopiera din klientnyckel och ingen åtgärd krävs från dig.
Exportera din klientnyckel
Du kan exportera din Azure Information Protection-konfiguration och klientnyckel genom att följa anvisningarna i följande tre steg:
Steg 1: Initiera export
- Kontakta Microsoft Support för att öppna ett Azure Information Protection-supportärende med en begäran om en Azure Information Protection-nyckelexport. Du måste bevisa att du är global administratör för din klientorganisation och förstå att den här processen tar flera dagar att bekräfta. Standardavgifter för support gäller; att exportera din klientnyckel är inte en kostnadsfri supporttjänst.
Steg 2: Vänta på verifiering
- Microsoft verifierar att din begäran om att släppa din Azure Information Protection-klientnyckel är legitim. Den här processen kan ta upp till tre veckor.
Steg 3: Ta emot viktiga instruktioner från CSS
Microsoft Customer Support Services (CSS) skickar din Azure Information Protection-konfiguration och klientnyckel krypterad i en lösenordsskyddad fil. Den här filen har filnamnstillägget .tpd . För att göra detta skickar CSS dig först (som den person som initierade exporten) ett verktyg via e-post. Du måste köra verktyget från en kommandotolk på följande sätt:
AadrmTpd.exe -createkeyDetta genererar ett RSA-nyckelpar och sparar de offentliga och privata halvorna som filer i den aktuella mappen. Till exempel: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt och PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.
Svara på e-postmeddelandet från CSS och bifoga filen som har ett namn som börjar med PublicKey. CSS skickar sedan en TPD-fil som en .xml fil som är krypterad med din RSA-nyckel. Kopiera den här filen till samma mapp som du körde verktyget AadrmTpd ursprungligen och kör verktyget igen med hjälp av filen som börjar med PrivateKey och filen från CSS. Till exempel:
AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xmlUtdata från det här kommandot ska vara två filer: Den ena innehåller lösenordet för oformaterad text för den lösenordsskyddade TPD:en och den andra är den lösenordsskyddade TPD:en själv. Filerna har ett nytt GUID, till exempel:
Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt
ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml
Säkerhetskopiera dessa filer och lagra dem på ett säkert sätt för att säkerställa att du kan fortsätta att dekryptera innehåll som skyddas med den här klientnyckeln. Om du migrerar till AD RMS kan du dessutom importera den här TPD-filen (filen som börjar med ExportedTDP) till AD RMS-servern.
Steg 4: Pågående: Skydda din klientnyckel
När du har fått din klientnyckel håller du den välbevakad, för om någon får åtkomst till den kan de dekryptera alla dokument som skyddas med hjälp av den nyckeln.
Om orsaken till att du exporterar din klientnyckel är att du inte längre vill använda Azure Information Protection inaktiverar du nu Azure Rights Management-tjänsten från din Azure Information Protection-klientorganisation. Fördröj inte att göra detta när du har fått din klientnyckel eftersom den här försiktighetsåtgärden hjälper till att minimera konsekvenserna om din klientnyckel nås av någon som inte bör ha den. Anvisningar finns i Inaktivera och inaktivera Azure Rights Management.
Svara på ett intrång
Inget säkerhetssystem, oavsett hur starkt det är, är komplett utan en process för att hantera intrång. Din klientnyckel kan vara komprometterad eller stulen. Även när det är skyddat väl kan sårbarheter hittas i den aktuella generationens nyckelteknik eller i aktuella nyckellängder och algoritmer.
Microsoft har ett dedikerat team som kan hantera säkerhetsincidenter i sina produkter och tjänster. Så snart det finns en trovärdig rapport om en incident engagerar sig det här teamet för att undersöka omfattningen, rotorsaken och minskningarna. Om den här incidenten påverkar dina tillgångar meddelar Microsoft globala administratörer för din klientorganisation via e-post.
Om du har ett intrång beror den bästa åtgärden som du eller Microsoft kan vidta på omfattningen av överträdelsen. Microsoft kommer att arbeta med dig genom den här processen. I följande tabell visas några typiska situationer och det troliga svaret, även om det exakta svaret beror på all information som avslöjas under undersökningen.
| Incidentbeskrivning | Sannolikt svar |
|---|---|
| Din klientnyckel har läckt ut. | Uppdatera klientnyckeln. Se avsnittet Omnyckel din klientnyckel i den här artikeln. |
| En obehörig person eller skadlig kod fick behörighet att använda din klientnyckel, men själva nyckeln läckte inte. | Att uppdatera klientnyckeln hjälper inte här och kräver rotorsaksanalys. Om en process- eller programvarubugb var ansvarig för att den obehöriga personen skulle få åtkomst måste den situationen lösas. |
| Sårbarhet som identifieras i RSA-algoritmen, nyckellängden eller brute-force-attacker blir beräkningsmässigt genomförbar. | Microsoft måste uppdatera Azure Information Protection för att stödja nya algoritmer och längre nyckellängder som är motståndskraftiga och instruera alla kunder att uppdatera sin klientnyckel. |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för