Microsoft tarafından yönetilen: Kiracı anahtarı yaşam döngüsü işlemleriMicrosoft-managed: Tenant key life cycle operations

Uygulama hedefi: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Microsoft Azure Information Protection için (varsayılan), Kiracı anahtarınızı yönetiyorsa, bu topolojiyle ilgili yaşam döngüsü işlemleri hakkında daha fazla bilgi için aşağıdaki bölümleri kullanın.If Microsoft manages your tenant key for Azure Information Protection (the default), use the following sections for more information about the life cycle operations that are relevant to this topology.

Kiracı anahtarınızı iptal etmeRevoke your tenant key

Azure Information Protection aboneliğinizi iptal ettiğinizde Azure Information Protection, kiracı anahtarınızı kullanmayı bırakır ve sizin bir işlem yapmanıza gerek kalmaz.When you cancel your subscription for Azure Information Protection, Azure Information Protection stops using your tenant key and no action is needed from you.

Kiracı anahtarınızı yeniden oluşturmaRekey your tenant key

Anahtarı yeniden oluşturma, anahtarınızı çevirme olarak da bilinir.Rekeying is also known as rolling your key. Bu işlemi gerçekleştirmek, Azure Information Protection belgeleri ve e-postaları korumak için var olan bir kiracı anahtarınızı kullanmayı bırakır ve farklı bir anahtar kullanmaya başlar.When you do this operation, Azure Information Protection stops using the existing tenant key to protect documents and emails, and starts to use a different key. İlkeler ve şablonlar hemen yeniden ancak bu değişikliklerini geçerli var olan istemciler ve Azure Information Protection'ı kullanarak hizmetler için aşamalı.Policies and templates are immediately resigned but this changeover is gradual for existing clients and services using Azure Information Protection. Bu nedenle süre için bazı yeni içerikler eski Kiracı anahtarıyla korunmaya devam eder.So for some time, some new content continues to be protected with the old tenant key.

İçin yeniden anahtarlama, Kiracı anahtar nesnesi yapılandırmak ve kullanmak için alternatif anahtarı belirtmeniz gerekir.To rekey, you must configure the tenant key object and specify the alternative key to use. Ardından, önceden kullanılmış olan anahtar otomatik olarak işaretlenmiş Azure Information Protection için arşivlenmiş.Then, the previously used key is automatically marked as archived for Azure Information Protection. Bu yapılandırma, bu anahtar kalır erişilebilir kullanarak korunan içeriği sağlar.This configuration ensures that content that was protected by using this key remains accessible.

Azure Information Protection için yeniden anahtarlama ne zaman gerekebilir örnekleri:Examples of when you might need to rekey for Azure Information Protection:

  • Active Directory Rights Management Hizmetleri'nden (AD RMS) şifreleme modu 1 anahtarıyla geçirdiniz.You have migrated from Active Directory Rights Management Services (AD RMS) with a cryptographic mode 1 key. Geçiş tamamlandığında, şifreleme modu 2 kullanan bir anahtar kullanarak değiştirmek istediğiniz.When the migration is complete, you want to change to using a key that uses cryptographic mode 2.

  • Şirketiniz iki veya daha fazla şirkete bölündü.Your company has split into two or more companies. Kiracı anahtarınızı yeniden oluşturduğunuzda yeni şirket, çalışanlarınızın yayımladığı yeni içeriğe erişemez.When you rekey your tenant key, the new company will not have access to new content that your employees publish. Eski kiracı anahtarının bir kopyasına sahipseler, eski içeriğe erişebilecekler.They can access the old content if they have a copy of the old tenant key.

  • Bir anahtar yönetimi topolojiden diğerine taşımak istiyorsunuz.You want to move from one key management topology to another.

  • Kiracı anahtarınızın ana kopyasının tehlikede düşünüyorsanız.You believe the master copy of your tenant key is compromised.

İçin yeniden anahtarlama, Kiracı anahtarınız olacak farklı bir Microsoft tarafından yönetilen anahtar seçebilirsiniz, ancak Microsoft tarafından yönetilen yeni bir anahtar oluşturamıyor.To rekey, you can select a different Microsoft-managed key to become your tenant key, but you cannot create a new Microsoft-managed key. Yeni bir anahtar oluşturmak için anahtarı topolojisi müşteri tarafından yönetiliyorsa (BYOK) olarak değiştirmeniz gerekir.To create a new key, you must change your key topology to be customer-managed (BYOK).

Active Directory Rights Management Hizmetleri'nden (AD RMS) geçiş ve anahtarı topolojisi Microsoft tarafından yönetilen Azure Information Protection için seçtiğiniz, birden fazla Microsoft yönetimindeki anahtarı gerekir.You have more than one Microsoft-managed key if you migrated from Active Directory Rights Management Services (AD RMS) and chose the Microsoft-managed key topology for Azure Information Protection. Bu senaryoda, kiracınız için en az iki Microsoft tarafından yönetilen anahtarlar vardır.In this scenario, you have at least two Microsoft-managed keys for your tenant. Bir anahtar veya daha fazla bilgi, AD RMS'den aldığınız anahtarları ve anahtar olur.One key, or more, is the key or keys that you imported from AD RMS. Azure Information Protection kiracınız için otomatik olarak oluşturulan varsayılan anahtarı da gerekir.You will also have the default key that was automatically created for your Azure Information Protection tenant.

Azure Information Protection, etkin Kiracı anahtarı olarak farklı bir anahtar seçmek için kullanın Set-AadrmKeyProperties AADRM modülünden cmdlet'i.To select a different key to be your active tenant key for Azure Information Protection, use the Set-AadrmKeyProperties cmdlet from the AADRM module. Kullanmak için hangi anahtarı belirlemenize yardımcı olması için kullanın Get-AadrmKeys cmdlet'i.To help you identify which key to use, use the Get-AadrmKeys cmdlet. Aşağıdaki komutu çalıştırarak Azure Information Protection kiracınız için otomatik olarak oluşturulan varsayılan anahtarı belirleyebilirsiniz:You can identify the default key that was automatically created for your Azure Information Protection tenant by running the following command:

(Get-AadrmKeys) | Sort-Object CreationTime | Select-Object -First 1

Anahtar topolojinizi müşteri tarafından yönetiliyorsa (BYOK) olarak değiştirmek için bkz için Azure Information Protection Kiracı anahtarınızı BYOK uygulama.To change your key topology to be customer-managed (BYOK), see Implementing BYOK for your Azure Information Protection tenant key.

Kiracı anahtarınızı yedekleme ve kurtarmaBackup and recover your tenant key

Microsoft, kiracı anahtarınızı yedeklemekten sorumludur ve sizden herhangi bir eylem gerekmez.Microsoft is responsible for backing up your tenant key and no action is required from you.

Kiracı anahtarınızı dışarı aktarmaExport your tenant key

Aşağıdaki üç adımı'ndaki yönergeleri takip ederek, Azure Information Protection yapılandırmanızı ve Kiracı anahtarınızı dışarı aktarabilirsiniz:You can export your Azure Information Protection configuration and tenant key by following the instructions in the following three steps:

1. adım: Dışarı aktarma başlatmakStep 1: Initiate export

  • Microsoft Support başvurun açmak için bir Azure Information Protection anahtarını dışarı aktarma isteğiyle bir Azure Information Protection Destek olayı.Contact Microsoft Support to open an Azure Information Protection support case with a request for an Azure Information Protection key export. Azure Information Protection kiracınızda yönetici olduğunuzu kanıtlamanız gerekir. Bu işlemin onaylanması birkaç gün sürebilir.You must prove you are an administrator for your Azure Information Protection tenant, and understand that this process takes several days to confirm. Standart destek ücretleri uygulanır; kiracı anahtarınızın dışarı aktarılması, ücretsiz bir destek hizmeti değildir.Standard support charges apply; exporting your tenant key is not a free-of-charge support service.

2. adım: Doğrulamayı beklemeStep 2: Wait for verification

  • Microsoft, Information Protection kiracı anahtarınızı yayınlama isteğinizin meşru olduğunu doğrular.Microsoft verifies that your request to release your Azure Information Protection tenant key is legitimate. Bu işlem üç hafta kadar sürebilir.This process can take up to three weeks.

3. adım: CSS'den kilit yönergeleri almaStep 3: Receive key instructions from CSS

  • Microsoft Müşteri Destek Hizmetleri (CSS); Azure Information Protection yapılandırmanızı ve kiracı anahtarınızı, parola korumalı bir dosyada şifrelenmiş şekilde size gönderir.Microsoft Customer Support Services (CSS) sends you your Azure Information Protection configuration and tenant key encrypted in a password-protected file. Bu dosya, .tpd dosya adı uzantısına sahiptir.This file has a .tpd file name extension. Bunu yapmak için, CSS önce size (dışarı aktarmayı başlatan kişi olarak) e-posta ile bir araç gönderir.To do this, CSS first sends you (as the person who initiated the export) a tool by email. Aracı aşağıdaki şekilde bir komut isteminden çalıştırmanız gerekir:You must run the tool from a command prompt as follows:

    AadrmTpd.exe -createkey
    

    Bu, bir RSA anahtar çifti oluşturur ve genel ile özel yarıları, geçerli klasörde dosyalar olarak kaydeder.This generates an RSA key pair and saves the public and private halves as files in the current folder. Örneğin: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt ve PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.For example: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt and PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.

    CSS’den gelen e-postayı, PublicKey ile başlayan ada sahip dosyayı iliştirerek yanıtlayın.Respond to the email from CSS, attaching the file that has a name that starts with PublicKey. CSS sonraki size bir TPD dosya RSA anahtarınızla şifrelenmiş bir .xml dosyası olarak gönderir.CSS next sends you a TPD file as an .xml file that is encrypted with your RSA key. Bu dosyayı, başlangıçta AadrmTpd aracını çalıştırdığınız klasöre kopyalayın ve aracı, PrivateKey ile başlayan dosyanızı ve CSS’den gelen dosyayı kullanarak yeniden çalıştırın.Copy this file to the same folder as you ran the AadrmTpd tool originally, and run the tool again, using your file that starts with PrivateKey and the file from CSS. Örneğin:For example:

    AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
    

    Bu komutun çıktısı iki dosya olmalıdır: Parola korumalı TPD için düz metin parolayı içerir ve diğer parola korumalı TPD'nin kendisidir.The output of this command should be two files: One contains the plain text password for the password-protected TPD, and the other is the password-protected TPD itself. Dosyaların yeni GUID’leri vardır, örneğin:The files have a new GUID, for example:

    • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txtPassword-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

    • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xmlExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

      Bu dosyaları yedekleyin ve bu kiracı anahtarıyla korunan içeriğin şifresini çözmeye devam edebilmek için dosyaları güvenli şekilde depolayın.Back up these files and store them safely to ensure that you can continue to decrypt content that is protected with this tenant key. Ek olarak, AD RMS’ye taşıyorsanız, bu TPD dosyasını (ExportedTDP ile başlayan dosya), AD RMS sunucunuza alabilirsiniz.In addition, if you are migrating to AD RMS, you can import this TPD file (the file that starts with ExportedTDP) to your AD RMS server.

4. adım: Devam eden: Kiracı anahtarınızı korumaStep 4: Ongoing: Protect your tenant key

Kiracı anahtarınızı aldıktan sonra onu iyi korunmuş şekilde tutun, birileri ona erişim sağlarsa, o anahtarı kullanarak, korumalı tüm belgelerin şifresini çözebilir.After you receive your tenant key, keep it well-guarded, because if somebody gets access to it, they can decrypt all documents that are protected by using that key.

Kiracı anahtarınızı dışarı aktarmanızın nedeni Azure Information Protection’ı artık kullanmak istememenizse en iyi uygulama olarak Azure Information Protection kiracınızdan Azure Rights Management hizmetini devre dışı bırakın.If the reason for exporting your tenant key is because you no longer want to use Azure Information Protection, as a best practice, now deactivate the Azure Rights Management service from your Azure Information Protection tenant. Kiracı anahtarınızı aldıktan sonra bunu gecikmeden yapın. Çünkü bu önlem, kiracı anahtarınıza sahip olmaması gereken biri tarafından anahtara erişildiği durumda oluşacak zararı en aza indirmenize yardımcı olur.Do not delay doing this after you receive your tenant key because this precaution helps to minimize the consequences if your tenant key is accessed by somebody who should not have it. Yönergeler için bkz. Azure Rights Management’ın yetkisini alma ve Azure Rights Management’ı devre dışı bırakma.For instructions, see Decommissioning and deactivating Azure Rights Management.

İhlalde verilecek tepkiRespond to a breach

Ne kadar güçlü olsun hiçbir güvenlik sistemi, ihlal tepki süreci olmadan tam bir sistem olamaz.No security system, no matter how strong, is complete without a breach response process. Kiracı anahtarınız riske atılabilir veya çalınabilir.Your tenant key might be compromised or stolen. Daha iyi korumalı olduğunda, geçerli nesil anahtar teknolojisinde veya geçerli anahtar uzunlukları ve algoritmalarında güvenlik açıkları bulunabilir.Even when it’s protected well, vulnerabilities might be found in current generation key technology or in current key lengths and algorithms.

Microsoft, ürünleri ve hizmetlerindeki güvenlik olaylarına tepki vermek için özel bir ekibe sahiptir.Microsoft has a dedicated team to respond to security incidents in its products and services. Bir olayın güvenilir bir raporu mevcut olduğu anda, bu ekip, olay kapsamını, olayın temel nedenini ve olayı hafifletme durumlarını incelemek üzere devreye girer.As soon as there is a credible report of an incident, this team engages to investigate the scope, root cause, and mitigations. Bu olay, varlıklarınızı etkilerse, Microsoft Azure Information Protection Kiracı yöneticilerinizi abone olurken sağladığınız e-posta adresi kullanarak e-posta ile bilgilendirir.If this incident affects your assets, Microsoft will notify your Azure Information Protection tenant administrators by email, by using the email address that you supplied when you subscribed.

Bir ihlal varsa, siz veya Microsoft tarafından uygulanabilecek en iyi eylem, ihlal kapsamına bağlıdır; Microsoft, bu süreçte sizinle birlikte çalışır.If you have a breach, the best action that you or Microsoft can take depends on the scope of the breach; Microsoft will work with you through this process. Aşağıdaki tabloda, bazı tipik durumlar ve olası tepki gösterilmektedir. Ancak asıl tepki, inceleme sırasında ortaya çıkarılan tüm bilgilere bağlı olarak değişebilir.The following table shows some typical situations and the likely response, although the exact response depends on all the information that is revealed during the investigation.

Olay açıklamasıIncident description Olası tepkiLikely response
Kiracı anahtarınız sızmış.Your tenant key is leaked. Kiracı anahtarınızı yeniden oluşturun.Rekey your tenant key. Bu makaledeki Kiracı anahtarınızı yeniden oluşturma bölümüne bakın.See the Rekey your tenant key section in this article.
Yetkisiz bir kişi veya kötü amaçlı yazılım, kiracı anahtarınızı kullanma haklarını elde etmiş ancak anahtar sızmamış.An unauthorized individual or malware got rights to use your tenant key but the key itself did not leak. Bu durumda kiracı anahtarınızı yeniden oluşturmanız yardımcı olmaz, kök nedenin analiz edilmesi gerekir.Rekeying your tenant key does not help here and requires root-cause analysis. Yetkisiz kişinin erişim elde etmesinden bir işlem veya yazılım hatası sorumluysa, o durum çözümlenmelidir.If a process or software bug was responsible for the unauthorized individual to get access, that situation must be resolved.
RSA algoritmasında saptanan güvenlik açığı veya anahtar uzunluğu ya da kaba kuvvet saldırıları, bilgisayarlarda mümkündür.Vulnerability discovered in the RSA algorithm, or key length, or brute-force attacks become computationally feasible. Microsoft Azure Information Protection'ı yeni algoritmaları ve esnek olan daha uzun desteklemek için güncelleştirme ve kendi Kiracı anahtarınızı yeniden anahtarlama tüm müşterilerin isteyin.Microsoft must update Azure Information Protection to support new algorithms and longer key lengths that are resilient, and instruct all customers to rekey their tenant key.