Müşteri tarafından yönetilen: Kiracı anahtarı yaşam döngüsü işlemleriCustomer-managed: Tenant key life cycle operations

Uygulama hedefi: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Azure Information Protection için kiracı anahtarınızı yönetiyorsanız (kendi anahtarını getir veya BYOK, senaryosu), Bu topolojiyle ilgili yaşam döngüsü işlemleri hakkında daha fazla bilgi için aşağıdaki bölümleri kullanın.If you manage your tenant key for Azure Information Protection (the bring your own key, or BYOK, scenario), use the following sections for more information about the life cycle operations that are relevant to this topology.

Kiracı anahtarınızı iptal etmeRevoke your tenant key

Azure Anahtar Kasası’nda Azure Rights Management hizmetinin anahtara artık erişememesi için, Azure Information Protection kiracı anahtarınızı içeren anahtar kasasında izinleri değiştirebilirsiniz.In Azure Key Vault, you can change the permissions on the key vault that contains your Azure Information Protection tenant key so that the Azure Rights Management service can no longer access the key. Bununla birlikte, bu işlemi yaparsanız daha önce Azure Rights Management hizmeti ile koruduğunuz belgeleri ve e-postaları hiç kimse açamaz.However, when you do this, nobody will be able to open documents and emails that you previously protected with the Azure Rights Management service.

Azure Information Protection aboneliğinizi iptal ettiğinizde Azure Information Protection, kiracı anahtarınızı kullanmayı bırakır ve sizin bir işlem yapmanıza gerek kalmaz.When you cancel your subscription for Azure Information Protection, Azure Information Protection stops using your tenant key and no action is needed from you.

Kiracı anahtarınızı yeniden oluşturmaRekey your tenant key

Anahtarı yeniden oluşturma, anahtarınızı çevirme olarak da bilinir.Rekeying is also known as rolling your key. Bu işlemi gerçekleştirdiğinizde Azure Information Protection, belge ve e-postaları korumak için mevcut kiracı anahtarını kullanmayı durduruyor ve farklı bir anahtar kullanmaya başlar.When you do this operation, Azure Information Protection stops using the existing tenant key to protect documents and emails, and starts to use a different key. İlkeler ve şablonlar hemen yeniden imzalanır, ancak bu değişiklik, Azure Information Protection kullanarak mevcut istemciler ve hizmetler için aşamalı olarak belirlenir.Policies and templates are immediately resigned but this changeover is gradual for existing clients and services using Azure Information Protection. Bu nedenle, bazı yeni içerikler eski kiracı anahtarıyla korunmaya devam eder.So for some time, some new content continues to be protected with the old tenant key.

Yeniden anahtarlanması için kiracı anahtarı nesnesini yapılandırmanız ve kullanılacak alternatif anahtarı belirtmeniz gerekir.To rekey, you must configure the tenant key object and specify the alternative key to use. Daha sonra, daha önce kullanılan anahtar Azure Information Protection için otomatik olarak arşivlenmiş olarak işaretlenir.Then, the previously used key is automatically marked as archived for Azure Information Protection. Bu yapılandırma, bu anahtar kullanılarak korunan içeriğin erişilebilir durumda kalmasını sağlar.This configuration ensures that content that was protected by using this key remains accessible.

Azure Information Protection için yeniden anahtarlanması gerekebilecek örnekler:Examples of when you might need to rekey for Azure Information Protection:

  • Şirketiniz iki veya daha fazla şirkete bölündü.Your company has split into two or more companies. Kiracı anahtarınızı yeniden oluşturduğunuzda yeni şirket, çalışanlarınızın yayımladığı yeni içeriğe erişemez.When you rekey your tenant key, the new company will not have access to new content that your employees publish. Eski kiracı anahtarının bir kopyasına sahipseler, eski içeriğe erişebilecekler.They can access the old content if they have a copy of the old tenant key.

  • Bir anahtar yönetim topolojisinden diğerine geçmek istiyorsunuz.You want to move from one key management topology to another.

  • Kiracı anahtarınızın ana kopyasına (sahip olduğunuz kopya) karşı riskli olduğunu düşünmenize inanmış olursunuz.You believe the master copy of your tenant key (the copy in your possession) is compromised.

Yönettiğiniz başka bir anahtara yeniden anahtar eklemek için, Azure Key Vault yeni bir anahtar oluşturabilir veya zaten Azure Key Vault olan farklı bir anahtarı kullanabilirsiniz.To rekey to another key that you manage, you can either create a new key in Azure Key Vault or use a different key that is already in Azure Key Vault. Ardından Azure Information Protection için BYOK 'u uygulamak istediğiniz yordamları izleyin.Then follow the same procedures that you did to implement BYOK for Azure Information Protection.

  1. Yalnızca yeni anahtar, Azure Information Protection için zaten kullandığınızdan farklı bir anahtar kasasında ise: Set-AzKeyVaultAccessPolicy cmdlet 'ini kullanarak anahtar kasasını kullanmak için Azure Information Protection yetkilendirin.Only if the new key is in a different key vault to the one you are already using for Azure Information Protection: Authorize Azure Information Protection to use the key vault, by using the Set-AzKeyVaultAccessPolicy cmdlet.

  2. Kullanmak istediğiniz anahtar hakkında zaten bilgi Azure Information Protection, Use-AipServiceKeyVaultKey cmdlet 'ini çalıştırın.If Azure Information Protection doesn't already know about the key you want to use, run Use-AipServiceKeyVaultKey cmdlet.

  3. Run set-AipServiceKeyProperties cmdlet 'ini kullanarak kiracı anahtarı nesnesini yapılandırın.Configure the tenant key object, by using the run Set-AipServiceKeyProperties cmdlet.

Bu adımların her biri hakkında daha fazla bilgi için:For more information about each of these steps:

  • Yönettiğiniz başka bir anahtara yeniden anahtarlama yapmak için bkz. Azure Information Protection kiracı anahtarınız IÇIN BYOK uygulama.To rekey to another key that you manage, see Implementing BYOK for your Azure Information Protection tenant key.

    Şirket içinde oluşturduğunuz ve Key Vault aktardığınız HSM korumalı bir anahtarı yeniden anahtarlarınızda, geçerli anahtarınız için kullandığınız güvenlik dünyasını ve erişim kartlarını kullanabilirsiniz.If you are rekeying an HSM-protected key that you create on-premises and transfer to Key Vault, you can use the same security world and access cards as you used for your current key.

  • Yeniden anahtarlama yapmak için, Microsoft tarafından yönetilen bir anahtara geçiş yapmak üzere Microsoft tarafından yönetilen işlemler için kiracı anahtarınızı yeniden anahtarlama bölümüne bakın.To rekey, changing to a key that Microsoft manages for you, see the Rekey your tenant key section for Microsoft-managed operations.

Kiracı anahtarınızı yedekleme ve kurtarmaBackup and recover your tenant key

Kiracı anahtarınızı yönetirken Azure Information Protection kullandığı anahtarı yedeklemeniz sizin sorumluluğunuzdadır.Because you are managing your tenant key, you are responsible for backing up the key that Azure Information Protection uses.

Kiracı anahtarınızı şirket içinde oluşturduysanız, bir nCipher HSM 'de: Anahtarı yedeklemek için simgeleştirilmiş anahtar dosyasını, dünya dosyasını ve yönetici kartlarını yedekleyin.If you generated your tenant key on premises, in a nCipher HSM: To back up the key, back up the tokenized key file, the world file, and the administrator cards. Anahtarınızı Azure Key Vault aktardığınızda hizmet, herhangi bir hizmet düğümünde hata karşısında korunmak için simgeleştirilmiş anahtar dosyasını kaydeder.When you transfer your key to Azure Key Vault, the service saves the tokenized key file, to protect against failure of any service nodes. Bu dosya, ilgili Azure bölgesi veya örneğinin güvenlik dünyasına bağlıdır.This file is bound to the security world for the specific Azure region or instance. Ancak, bu simgeleştirilmiş anahtar dosyasını tam yedekleme olarak kabul etmeyin.However, do not consider this tokenized key file to be a full backup. Örneğin, bir nCipher HSM dışında kullanmak için anahtarınızın bir düz metin kopyasına ihtiyacınız varsa Azure Key Vault yalnızca kurtarılabilir olmayan bir kopyaya sahip olduğundan, bunu sizin için alamaz.For example, if you ever need a plain text copy of your key to use outside a nCipher HSM, Azure Key Vault cannot retrieve it for you, because it has only a non-recoverable copy.

Azure Key Vault, indirip bir dosyayı indirip bir dosyaya depolayarak bir anahtarı yedeklemek için kullanabileceğiniz bir Yedekleme cmdlet 'ine sahiptir.Azure Key Vault has a backup cmdlet that you can use to back up a key by downloading it and storing it in a file. İndirilen içerik şifrelendiğinden, Azure Key Vault dışında kullanılamaz.Because the downloaded content is encrypted, it cannot be used outside Azure Key Vault.

Kiracı anahtarınızı dışarı aktarmaExport your tenant key

BYOK kullanıyorsanız, kiracı anahtarınızı Azure Anahtar Kasası veya Azure Information Protection’dan dışarı aktaramazsınız.If you use BYOK, you cannot export your tenant key from Azure Key Vault or Azure Information Protection. Azure Anahtar Kasası’ndaki kopya kurtarılamaz.The copy in Azure Key Vault is non-recoverable.

İhlalde verilecek tepkiRespond to a breach

Ne kadar güçlü olsun hiçbir güvenlik sistemi, ihlal tepki süreci olmadan tam bir sistem olamaz.No security system, no matter how strong, is complete without a breach response process. Kiracı anahtarınız riske atılabilir veya çalınabilir.Your tenant key might be compromised or stolen. Çok iyi korunduğunda bile, güvenlik açıkları geçerli nesil anahtar teknolojisinde veya geçerli anahtar uzunlukları ve algoritmalarda bulunabilir.Even when it’s protected well, vulnerabilities might be found in current generation key technology or in current key lengths and algorithms.

Microsoft, ürünleri ve hizmetlerindeki güvenlik olaylarına tepki vermek için özel bir ekibe sahiptir.Microsoft has a dedicated team to respond to security incidents in its products and services. Bir olayın güvenilir bir raporu mevcut olduğu anda, bu ekip, olay kapsamını, olayın temel nedenini ve olayı hafifletme durumlarını incelemek üzere devreye girer.As soon as there is a credible report of an incident, this team engages to investigate the scope, root cause, and mitigations. Bu olay varlıklarınızı etkiliyorsa, Microsoft, abone olduğunuzda sağladığınız adresi kullanarak Azure Information Protection kiracı yöneticilerinizi e-posta ile bilgilendirir.If this incident affects your assets, Microsoft notifies your Azure Information Protection tenant administrators by email by using the address that you supplied when you subscribed.

Bir ihlal varsa, siz veya Microsoft tarafından uygulanabilecek en iyi eylem, ihlal kapsamına bağlıdır; Microsoft, bu süreçte sizinle birlikte çalışır.If you have a breach, the best action that you or Microsoft can take depends on the scope of the breach; Microsoft will work with you through this process. Aşağıdaki tabloda, bazı tipik durumlar ve olası tepki gösterilmektedir. Ancak asıl tepki, inceleme sırasında ortaya çıkarılan tüm bilgilere bağlı olarak değişebilir.The following table shows some typical situations and the likely response, although the exact response depends on all the information that is revealed during the investigation.

Olay açıklamasıIncident description Olası tepkiLikely response
Kiracı anahtarınız sızmış.Your tenant key is leaked. Kiracı anahtarınızı yeniden oluşturun.Rekey your tenant key. Bkz. Kiracı anahtarınızı yeniden oluşturma.See Rekey your tenant key.
Yetkisiz bir kişi veya kötü amaçlı yazılım, kiracı anahtarınızı kullanma haklarını elde etmiş ancak anahtar sızmamış.An unauthorized individual or malware got rights to use your tenant key but the key itself did not leak. Bu durumda kiracı anahtarınızı yeniden oluşturmanız yardımcı olmaz, kök nedenin analiz edilmesi gerekir.Rekeying your tenant key does not help here and requires root-cause analysis. Yetkisiz kişinin erişim elde etmesinden bir işlem veya yazılım hatası sorumluysa, o durum çözümlenmelidir.If a process or software bug was responsible for the unauthorized individual to get access, that situation must be resolved.
Geçerli nesil HSM teknolojisinde güvenlik açığı bulundu.Vulnerability discovered in the current-generation HSM technology. Microsoft’un HSM'leri güncelleştirmesi gerekir.Microsoft must update the HSMs. Güvenlik açığının anahtar açığa çıkardığını düşünmenize neden olursa, Microsoft tüm müşterilerin kiracı anahtarlarını yeniden anahtarlamalarını ister.If there is reason to believe that the vulnerability exposed keys, Microsoft will instruct all customers to rekey their tenant keys.
RSA algoritmasında saptanan güvenlik açığı veya anahtar uzunluğu ya da kaba kuvvet saldırıları, bilgisayarlarda mümkündür.Vulnerability discovered in the RSA algorithm, or key length, or brute-force attacks become computationally feasible. Microsoft, yeni algoritmaların ve dayanıklı anahtar uzunluklarının desteklenmesi ve tüm müşterilerin kiracı anahtarını yeniden anahtarlamalarını istemek için Azure Key Vault veya Azure Information Protection güncelleştirmesi gerekir.Microsoft must update Azure Key Vault or Azure Information Protection to support new algorithms and longer key lengths that are resilient, and instruct all customers to rekey their tenant key.