Müşteri tarafından yönetilen: Kiracı anahtarı yaşam döngüsü işlemleriCustomer-managed: Tenant key life cycle operations

Uygulama hedefi: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Azure Information Protection için Kiracı anahtarınızı yönetiyorsanız (Getir kendi anahtarı veya BYOK senaryosu), bu topolojiyle ilgili yaşam döngüsü işlemleri hakkında daha fazla bilgi için aşağıdaki bölümleri kullanın.If you manage your tenant key for Azure Information Protection (the bring your own key, or BYOK, scenario), use the following sections for more information about the life cycle operations that are relevant to this topology.

Kiracı anahtarınızı iptal etmeRevoke your tenant key

Azure Anahtar Kasası’nda Azure Rights Management hizmetinin anahtara artık erişememesi için, Azure Information Protection kiracı anahtarınızı içeren anahtar kasasında izinleri değiştirebilirsiniz.In Azure Key Vault, you can change the permissions on the key vault that contains your Azure Information Protection tenant key so that the Azure Rights Management service can no longer access the key. Bununla birlikte, bu işlemi yaparsanız daha önce Azure Rights Management hizmeti ile koruduğunuz belgeleri ve e-postaları hiç kimse açamaz.However, when you do this, nobody will be able to open documents and emails that you previously protected with the Azure Rights Management service.

Azure Information Protection aboneliğinizi iptal ettiğinizde Azure Information Protection, kiracı anahtarınızı kullanmayı bırakır ve sizin bir işlem yapmanıza gerek kalmaz.When you cancel your subscription for Azure Information Protection, Azure Information Protection stops using your tenant key and no action is needed from you.

Kiracı anahtarınızı yeniden oluşturmaRekey your tenant key

Anahtarı yeniden oluşturma, anahtarınızı çevirme olarak da bilinir.Rekeying is also known as rolling your key. Bu işlemi gerçekleştirmek, Azure Information Protection belgeleri ve e-postaları korumak için var olan bir kiracı anahtarınızı kullanmayı bırakır ve farklı bir anahtar kullanmaya başlar.When you do this operation, Azure Information Protection stops using the existing tenant key to protect documents and emails, and starts to use a different key. İlkeler ve şablonlar hemen yeniden ancak bu değişikliklerini geçerli var olan istemciler ve Azure Information Protection'ı kullanarak hizmetler için aşamalı.Policies and templates are immediately resigned but this changeover is gradual for existing clients and services using Azure Information Protection. Bu nedenle süre için bazı yeni içerikler eski Kiracı anahtarıyla korunmaya devam eder.So for some time, some new content continues to be protected with the old tenant key.

İçin yeniden anahtarlama, Kiracı anahtar nesnesi yapılandırmak ve kullanmak için alternatif anahtarı belirtmeniz gerekir.To rekey, you must configure the tenant key object and specify the alternative key to use. Ardından, önceden kullanılmış olan anahtar otomatik olarak işaretlenmiş Azure Information Protection için arşivlenmiş.Then, the previously used key is automatically marked as archived for Azure Information Protection. Bu yapılandırma, bu anahtar kalır erişilebilir kullanarak korunan içeriği sağlar.This configuration ensures that content that was protected by using this key remains accessible.

Azure Information Protection için yeniden anahtarlama ne zaman gerekebilir örnekleri:Examples of when you might need to rekey for Azure Information Protection:

  • Şirketiniz iki veya daha fazla şirkete bölündü.Your company has split into two or more companies. Kiracı anahtarınızı yeniden oluşturduğunuzda yeni şirket, çalışanlarınızın yayımladığı yeni içeriğe erişemez.When you rekey your tenant key, the new company will not have access to new content that your employees publish. Eski kiracı anahtarının bir kopyasına sahipseler, eski içeriğe erişebilecekler.They can access the old content if they have a copy of the old tenant key.

  • Bir anahtar yönetimi topolojiden diğerine taşımak istiyorsunuz.You want to move from one key management topology to another.

  • Ana kopyasının (mülkünüz kopya) Kiracı anahtarınızı, tehlikeye olduğuna inanıyoruz.You believe the master copy of your tenant key (the copy in your possession) is compromised.

Yönettiğiniz başka bir anahtarı yeniden oluşturmak için Azure anahtar Kasası'nda yeni bir anahtar oluşturun veya Azure anahtar Kasası'nda zaten farklı bir anahtar kullanabilirsiniz.To rekey to another key that you manage, you can either create a new key in Azure Key Vault or use a different key that is already in Azure Key Vault. Yapmış olduğunuz Azure Information Protection için BYOK uygulamak için aynı yordamları izleyin.Then follow the same procedures that you did to implement BYOK for Azure Information Protection.

  1. Yalnızca yeni anahtarı Azure Information Protection için zaten kullanmakta olduğunuz farklı bir anahtar kasasına ise: Azure Information Protection'ı kullanarak anahtar kasası kullanılacak yetkilendirme kümesi AzKeyVaultAccessPolicy cmdlet'i.Only if the new key is in a different key vault to the one you are already using for Azure Information Protection: Authorize Azure Information Protection to use the key vault, by using the Set-AzKeyVaultAccessPolicy cmdlet.

  2. Azure Information Protection anahtarı hakkında değil biliyorsanız, istediğiniz kullanmak için çalıştırma Use-AadrmKeyVaultKey cmdlet'i.If Azure Information Protection doesn't already know about the key you want to use, run Use-AadrmKeyVaultKey cmdlet.

  3. Farklı Çalıştır'ı kullanarak Kiracı anahtar nesnesi yapılandırma Set-AadrmKeyProperties cmdlet'i.Configure the tenant key object, by using the run Set-AadrmKeyProperties cmdlet.

Bu adımların her biri hakkında daha fazla bilgi için:For more information about each of these steps:

Kiracı anahtarınızı yedekleme ve kurtarmaBackup and recover your tenant key

Kiracı anahtarınızı yönettiğiniz olduğundan, Azure Information Protection kullanan anahtarınızı yedeklemekten sorumludur.Because you are managing your tenant key, you are responsible for backing up the key that Azure Information Protection uses.

Kiracı anahtarınızı şirket içinde bir nCipher HSM oluşturursa: Anahtarını yedeklemek için simgeleştirilmiş anahtar dosyası, dünya dosyası ve yönetici kartlarını yedekleme.If you generated your tenant key on premises, in a nCipher HSM: To back up the key, back up the tokenized key file, the world file, and the administrator cards. Azure Key Vault'a anahtar aktarma hizmeti, herhangi bir hizmet düğümü hatasına karşı koruma için simgeleştirilmiş anahtar dosyası kaydeder.When you transfer your key to Azure Key Vault, the service saves the tokenized key file, to protect against failure of any service nodes. Bu dosya, ilgili Azure bölgesi veya örneğinin güvenlik dünyasına bağlıdır.This file is bound to the security world for the specific Azure region or instance. Ancak, bu simgeleştirilmiş anahtar dosyası, bir tam yedekleme olduğunu düşünmeyin.However, do not consider this tokenized key file to be a full backup. Hiç olmadığı kadar nCipher HSM dışında kullanmak için anahtarınızın bir düz metin kopyasına ihtiyacınız varsa, yalnızca kurtarılamaz bir kopyası olduğundan Örneğin, Azure anahtar kasası bunu sizin için alınamıyor.For example, if you ever need a plain text copy of your key to use outside a nCipher HSM, Azure Key Vault cannot retrieve it for you, because it has only a non-recoverable copy.

Azure Key Vault sahip bir yedekleme cmdlet'i indirip bir dosyaya depolayarak bir anahtarını yedeklemek için kullanabilirsiniz.Azure Key Vault has a backup cmdlet that you can use to back up a key by downloading it and storing it in a file. Karşıdan yüklenen içeriğin şifreli olduğundan, Azure Key Vault dışında kullanılamaz.Because the downloaded content is encrypted, it cannot be used outside Azure Key Vault.

Kiracı anahtarınızı dışarı aktarmaExport your tenant key

BYOK kullanıyorsanız, kiracı anahtarınızı Azure Anahtar Kasası veya Azure Information Protection’dan dışarı aktaramazsınız.If you use BYOK, you cannot export your tenant key from Azure Key Vault or Azure Information Protection. Azure Anahtar Kasası’ndaki kopya kurtarılamaz.The copy in Azure Key Vault is non-recoverable.

İhlalde verilecek tepkiRespond to a breach

Ne kadar güçlü olsun hiçbir güvenlik sistemi, ihlal tepki süreci olmadan tam bir sistem olamaz.No security system, no matter how strong, is complete without a breach response process. Kiracı anahtarınız riske atılabilir veya çalınabilir.Your tenant key might be compromised or stolen. Daha iyi korumalı olduğunda, geçerli nesil anahtar teknolojisinde veya geçerli anahtar uzunlukları ve algoritmalarında güvenlik açıkları bulunabilir.Even when it’s protected well, vulnerabilities might be found in current generation key technology or in current key lengths and algorithms.

Microsoft, ürünleri ve hizmetlerindeki güvenlik olaylarına tepki vermek için özel bir ekibe sahiptir.Microsoft has a dedicated team to respond to security incidents in its products and services. Bir olayın güvenilir bir raporu mevcut olduğu anda, bu ekip, olay kapsamını, olayın temel nedenini ve olayı hafifletme durumlarını incelemek üzere devreye girer.As soon as there is a credible report of an incident, this team engages to investigate the scope, root cause, and mitigations. Bu olay, varlıklarınızı etkilerse Microsoft, abone olurken sağladığınız adresi kullanarak Azure Information Protection Kiracı yöneticilerinizi e-posta ile bilgilendirir.If this incident affects your assets, Microsoft notifies your Azure Information Protection tenant administrators by email by using the address that you supplied when you subscribed.

Bir ihlal varsa, siz veya Microsoft tarafından uygulanabilecek en iyi eylem, ihlal kapsamına bağlıdır; Microsoft, bu süreçte sizinle birlikte çalışır.If you have a breach, the best action that you or Microsoft can take depends on the scope of the breach; Microsoft will work with you through this process. Aşağıdaki tabloda, bazı tipik durumlar ve olası tepki gösterilmektedir. Ancak asıl tepki, inceleme sırasında ortaya çıkarılan tüm bilgilere bağlı olarak değişebilir.The following table shows some typical situations and the likely response, although the exact response depends on all the information that is revealed during the investigation.

Olay açıklamasıIncident description Olası tepkiLikely response
Kiracı anahtarınız sızmış.Your tenant key is leaked. Kiracı anahtarınızı yeniden oluşturun.Rekey your tenant key. Bkz. Kiracı anahtarınızı yeniden oluşturma.See Rekey your tenant key.
Yetkisiz bir kişi veya kötü amaçlı yazılım, kiracı anahtarınızı kullanma haklarını elde etmiş ancak anahtar sızmamış.An unauthorized individual or malware got rights to use your tenant key but the key itself did not leak. Bu durumda kiracı anahtarınızı yeniden oluşturmanız yardımcı olmaz, kök nedenin analiz edilmesi gerekir.Rekeying your tenant key does not help here and requires root-cause analysis. Yetkisiz kişinin erişim elde etmesinden bir işlem veya yazılım hatası sorumluysa, o durum çözümlenmelidir.If a process or software bug was responsible for the unauthorized individual to get access, that situation must be resolved.
Geçerli nesil HSM teknolojisinde güvenlik açığı bulundu.Vulnerability discovered in the current-generation HSM technology. Microsoft’un HSM'leri güncelleştirmesi gerekir.Microsoft must update the HSMs. Microsoft, güvenlik açığının anahtarları açığa çıkardığını düşünmek için bir neden varsa, tüm müşterilerine Kiracı anahtarlarını yeniden oluşturma isteğiyle yenilemelerini ister.If there is reason to believe that the vulnerability exposed keys, Microsoft will instruct all customers to rekey their tenant keys.
RSA algoritmasında saptanan güvenlik açığı veya anahtar uzunluğu ya da kaba kuvvet saldırıları, bilgisayarlarda mümkündür.Vulnerability discovered in the RSA algorithm, or key length, or brute-force attacks become computationally feasible. Microsoft Azure anahtar kasası veya Azure Information Protection yeni algoritmaları ve esnek olan daha uzun destekleyecek şekilde güncelleştirin ve tüm müşterilerin kendi Kiracı anahtarınızı yeniden anahtarlama isteyin.Microsoft must update Azure Key Vault or Azure Information Protection to support new algorithms and longer key lengths that are resilient, and instruct all customers to rekey their tenant key.