Microsoft tarafından yönetilen: Kiracı anahtarı yaşam döngüsü işlemleriMicrosoft-managed: Tenant key life cycle operations

Uygulama hedefi: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Microsoft, kiracı anahtarınızı Azure Information Protection (varsayılan) için yönetirse, Bu topolojiyle ilgili yaşam döngüsü işlemleri hakkında daha fazla bilgi için aşağıdaki bölümleri kullanın.If Microsoft manages your tenant key for Azure Information Protection (the default), use the following sections for more information about the life cycle operations that are relevant to this topology.

Kiracı anahtarınızı iptal etmeRevoke your tenant key

Azure Information Protection aboneliğinizi iptal ettiğinizde Azure Information Protection, kiracı anahtarınızı kullanmayı bırakır ve sizin bir işlem yapmanıza gerek kalmaz.When you cancel your subscription for Azure Information Protection, Azure Information Protection stops using your tenant key and no action is needed from you.

Kiracı anahtarınızı yeniden oluşturmaRekey your tenant key

Anahtarı yeniden oluşturma, anahtarınızı çevirme olarak da bilinir.Rekeying is also known as rolling your key. Bu işlemi gerçekleştirdiğinizde Azure Information Protection, belge ve e-postaları korumak için mevcut kiracı anahtarını kullanmayı durduruyor ve farklı bir anahtar kullanmaya başlar.When you do this operation, Azure Information Protection stops using the existing tenant key to protect documents and emails, and starts to use a different key. İlkeler ve şablonlar hemen yeniden imzalanır, ancak bu değişiklik, Azure Information Protection kullanarak mevcut istemciler ve hizmetler için aşamalı olarak belirlenir.Policies and templates are immediately resigned but this changeover is gradual for existing clients and services using Azure Information Protection. Bu nedenle, bazı yeni içerikler eski kiracı anahtarıyla korunmaya devam eder.So for some time, some new content continues to be protected with the old tenant key.

Yeniden anahtarlanması için kiracı anahtarı nesnesini yapılandırmanız ve kullanılacak alternatif anahtarı belirtmeniz gerekir.To rekey, you must configure the tenant key object and specify the alternative key to use. Daha sonra, daha önce kullanılan anahtar Azure Information Protection için otomatik olarak arşivlenmiş olarak işaretlenir.Then, the previously used key is automatically marked as archived for Azure Information Protection. Bu yapılandırma, bu anahtar kullanılarak korunan içeriğin erişilebilir durumda kalmasını sağlar.This configuration ensures that content that was protected by using this key remains accessible.

Azure Information Protection için yeniden anahtarlanması gerekebilecek örnekler:Examples of when you might need to rekey for Azure Information Protection:

  • Şifreleme modu 1 anahtarıyla Active Directory Rights Management Services (AD RMS) öğesinden geçirdiniz.You have migrated from Active Directory Rights Management Services (AD RMS) with a cryptographic mode 1 key. Geçiş tamamlandığında, ' ı şifreleme modu 2 kullanan bir anahtar kullanarak değiştirmek istersiniz.When the migration is complete, you want to change to using a key that uses cryptographic mode 2.

  • Şirketiniz iki veya daha fazla şirkete bölündü.Your company has split into two or more companies. Kiracı anahtarınızı yeniden oluşturduğunuzda yeni şirket, çalışanlarınızın yayımladığı yeni içeriğe erişemez.When you rekey your tenant key, the new company will not have access to new content that your employees publish. Eski kiracı anahtarının bir kopyasına sahipseler, eski içeriğe erişebilecekler.They can access the old content if they have a copy of the old tenant key.

  • Bir anahtar yönetim topolojisinden diğerine geçmek istiyorsunuz.You want to move from one key management topology to another.

  • Kiracı anahtarınızın ana kopyasının güvenliğinin aşıldığını düşünmenize inanmış olursunuz.You believe the master copy of your tenant key is compromised.

Yeniden anahtarlanması için, kiracı anahtarınız olacak şekilde farklı bir Microsoft tarafından yönetilen anahtar seçebilirsiniz, ancak yeni bir Microsoft tarafından yönetilen anahtar oluşturamazsınız.To rekey, you can select a different Microsoft-managed key to become your tenant key, but you cannot create a new Microsoft-managed key. Yeni bir anahtar oluşturmak için, anahtar topolojinizi müşteri tarafından yönetilen (BYOK) olacak şekilde değiştirmeniz gerekir.To create a new key, you must change your key topology to be customer-managed (BYOK).

Active Directory Rights Management Services (AD RMS) ' den geçiş yaptıysanız ve Azure Information Protection için Microsoft tarafından yönetilen anahtar topolojisini seçerseniz, birden fazla Microsoft tarafından yönetilen anahtarınız vardır.You have more than one Microsoft-managed key if you migrated from Active Directory Rights Management Services (AD RMS) and chose the Microsoft-managed key topology for Azure Information Protection. Bu senaryoda, kiracınız için en az iki Microsoft tarafından yönetilen anahtarınız vardır.In this scenario, you have at least two Microsoft-managed keys for your tenant. Bir anahtar veya daha fazlası, AD RMS içeri aktardığınız anahtar veya anahtarlardan biridir.One key, or more, is the key or keys that you imported from AD RMS. Ayrıca, Azure Information Protection kiracınız için otomatik olarak oluşturulan varsayılan anahtara sahip olursunuz.You will also have the default key that was automatically created for your Azure Information Protection tenant.

Azure Information Protection için etkin kiracı anahtarınız olacak farklı bir anahtar seçmek için Aıpservice modülünden set-AipServiceKeyProperties cmdlet 'ini kullanın.To select a different key to be your active tenant key for Azure Information Protection, use the Set-AipServiceKeyProperties cmdlet from the AIPService module. Hangi anahtarın kullanılacağını belirlemenize yardımcı olmak için Get-AipServiceKeys cmdlet 'ini kullanın.To help you identify which key to use, use the Get-AipServiceKeys cmdlet. Aşağıdaki komutu çalıştırarak Azure Information Protection kiracınız için otomatik olarak oluşturulan varsayılan anahtarı belirleyebilirsiniz:You can identify the default key that was automatically created for your Azure Information Protection tenant by running the following command:

(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1

Anahtar topolojinizi müşteri tarafından yönetilen (BYOK) olarak değiştirmek için bkz. Azure Information Protection kiracı anahtarınız IÇIN bYok uygulama.To change your key topology to be customer-managed (BYOK), see Implementing BYOK for your Azure Information Protection tenant key.

Kiracı anahtarınızı yedekleme ve kurtarmaBackup and recover your tenant key

Microsoft, kiracı anahtarınızı yedeklemekten sorumludur ve sizden herhangi bir eylem gerekmez.Microsoft is responsible for backing up your tenant key and no action is required from you.

Kiracı anahtarınızı dışarı aktarmaExport your tenant key

Aşağıdaki üç adımda verilen yönergeleri izleyerek Azure Information Protection yapılandırmanızı ve kiracı anahtarınızı dışarı aktarabilirsiniz:You can export your Azure Information Protection configuration and tenant key by following the instructions in the following three steps:

1. adım: Dışarı aktarmayı BaşlatStep 1: Initiate export

  • Azure Information Protection anahtar verme isteği ile Azure Information Protection bir destek talebiaçmak Için Microsoft desteği başvurun .Contact Microsoft Support to open an Azure Information Protection support case with a request for an Azure Information Protection key export. Azure Information Protection kiracınızda yönetici olduğunuzu kanıtlamanız gerekir. Bu işlemin onaylanması birkaç gün sürebilir.You must prove you are an administrator for your Azure Information Protection tenant, and understand that this process takes several days to confirm. Standart destek ücretleri uygulanır; kiracı anahtarınızın dışarı aktarılması, ücretsiz bir destek hizmeti değildir.Standard support charges apply; exporting your tenant key is not a free-of-charge support service.

2. adım: Doğrulama bekleStep 2: Wait for verification

  • Microsoft, Information Protection kiracı anahtarınızı yayınlama isteğinizin meşru olduğunu doğrular.Microsoft verifies that your request to release your Azure Information Protection tenant key is legitimate. Bu işlem üç hafta kadar sürebilir.This process can take up to three weeks.

3. adım: CSS 'den anahtar yönergeleri almaStep 3: Receive key instructions from CSS

  • Microsoft Müşteri Destek Hizmetleri (CSS); Azure Information Protection yapılandırmanızı ve kiracı anahtarınızı, parola korumalı bir dosyada şifrelenmiş şekilde size gönderir.Microsoft Customer Support Services (CSS) sends you your Azure Information Protection configuration and tenant key encrypted in a password-protected file. Bu dosya, .tpd dosya adı uzantısına sahiptir.This file has a .tpd file name extension. Bunu yapmak için, CSS önce size (dışarı aktarmayı başlatan kişi olarak) e-posta ile bir araç gönderir.To do this, CSS first sends you (as the person who initiated the export) a tool by email. Aracı aşağıdaki şekilde bir komut isteminden çalıştırmanız gerekir:You must run the tool from a command prompt as follows:

    AadrmTpd.exe -createkey
    

    Bu, bir RSA anahtar çifti oluşturur ve genel ile özel yarıları, geçerli klasörde dosyalar olarak kaydeder.This generates an RSA key pair and saves the public and private halves as files in the current folder. Örneğin: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441. txt ve PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441. txt.For example: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt and PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.

    CSS’den gelen e-postayı, PublicKey ile başlayan ada sahip dosyayı iliştirerek yanıtlayın.Respond to the email from CSS, attaching the file that has a name that starts with PublicKey. Ardından CSS, size RSA anahtarınızla şifrelenen bir. xml dosyası olarak bir TPD dosyası gönderir.CSS next sends you a TPD file as an .xml file that is encrypted with your RSA key. Bu dosyayı, başlangıçta AadrmTpd aracını çalıştırdığınız klasöre kopyalayın ve aracı, PrivateKey ile başlayan dosyanızı ve CSS’den gelen dosyayı kullanarak yeniden çalıştırın.Copy this file to the same folder as you ran the AadrmTpd tool originally, and run the tool again, using your file that starts with PrivateKey and the file from CSS. Örneğin:For example:

    AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
    

    Bu komutun çıktısı iki dosya olmalıdır: Biri, parola korumalı TPD için düz metin parolasını içerir ve diğeri parola korumalı TPD 'nin kendisidir.The output of this command should be two files: One contains the plain text password for the password-protected TPD, and the other is the password-protected TPD itself. Dosyaların yeni GUID’leri vardır, örneğin:The files have a new GUID, for example:

    • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txtPassword-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

    • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xmlExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

      Bu dosyaları yedekleyin ve bu kiracı anahtarıyla korunan içeriğin şifresini çözmeye devam edebilmek için dosyaları güvenli şekilde depolayın.Back up these files and store them safely to ensure that you can continue to decrypt content that is protected with this tenant key. Ek olarak, AD RMS’ye taşıyorsanız, bu TPD dosyasını (ExportedTDP ile başlayan dosya), AD RMS sunucunuza alabilirsiniz.In addition, if you are migrating to AD RMS, you can import this TPD file (the file that starts with ExportedTDP) to your AD RMS server.

Adım 4: Süre Kiracı anahtarınızı koruyunStep 4: Ongoing: Protect your tenant key

Kiracı anahtarınızı aldıktan sonra onu iyi korunmuş şekilde tutun, birileri ona erişim sağlarsa, o anahtarı kullanarak, korumalı tüm belgelerin şifresini çözebilir.After you receive your tenant key, keep it well-guarded, because if somebody gets access to it, they can decrypt all documents that are protected by using that key.

Kiracı anahtarınızı dışarı aktarmanızın nedeni Azure Information Protection’ı artık kullanmak istememenizse en iyi uygulama olarak Azure Information Protection kiracınızdan Azure Rights Management hizmetini devre dışı bırakın.If the reason for exporting your tenant key is because you no longer want to use Azure Information Protection, as a best practice, now deactivate the Azure Rights Management service from your Azure Information Protection tenant. Kiracı anahtarınızı aldıktan sonra bunu gecikmeden yapın. Çünkü bu önlem, kiracı anahtarınıza sahip olmaması gereken biri tarafından anahtara erişildiği durumda oluşacak zararı en aza indirmenize yardımcı olur.Do not delay doing this after you receive your tenant key because this precaution helps to minimize the consequences if your tenant key is accessed by somebody who should not have it. Yönergeler için bkz. Azure Rights Management’ın yetkisini alma ve Azure Rights Management’ı devre dışı bırakma.For instructions, see Decommissioning and deactivating Azure Rights Management.

İhlalde verilecek tepkiRespond to a breach

Ne kadar güçlü olsun hiçbir güvenlik sistemi, ihlal tepki süreci olmadan tam bir sistem olamaz.No security system, no matter how strong, is complete without a breach response process. Kiracı anahtarınız riske atılabilir veya çalınabilir.Your tenant key might be compromised or stolen. Çok iyi korunduğunda bile, güvenlik açıkları geçerli nesil anahtar teknolojisinde veya geçerli anahtar uzunlukları ve algoritmalarda bulunabilir.Even when it’s protected well, vulnerabilities might be found in current generation key technology or in current key lengths and algorithms.

Microsoft, ürünleri ve hizmetlerindeki güvenlik olaylarına tepki vermek için özel bir ekibe sahiptir.Microsoft has a dedicated team to respond to security incidents in its products and services. Bir olayın güvenilir bir raporu mevcut olduğu anda, bu ekip, olay kapsamını, olayın temel nedenini ve olayı hafifletme durumlarını incelemek üzere devreye girer.As soon as there is a credible report of an incident, this team engages to investigate the scope, root cause, and mitigations. Bu olay varlıklarınızı etkiliyorsa, Microsoft, abone olduğunuzda sağladığınız e-posta adresini kullanarak Azure Information Protection kiracı yöneticilerinizi e-posta ile bilgilendirir.If this incident affects your assets, Microsoft will notify your Azure Information Protection tenant administrators by email, by using the email address that you supplied when you subscribed.

Bir ihlal varsa, siz veya Microsoft tarafından uygulanabilecek en iyi eylem, ihlal kapsamına bağlıdır; Microsoft, bu süreçte sizinle birlikte çalışır.If you have a breach, the best action that you or Microsoft can take depends on the scope of the breach; Microsoft will work with you through this process. Aşağıdaki tabloda, bazı tipik durumlar ve olası tepki gösterilmektedir. Ancak asıl tepki, inceleme sırasında ortaya çıkarılan tüm bilgilere bağlı olarak değişebilir.The following table shows some typical situations and the likely response, although the exact response depends on all the information that is revealed during the investigation.

Olay açıklamasıIncident description Olası tepkiLikely response
Kiracı anahtarınız sızmış.Your tenant key is leaked. Kiracı anahtarınızı yeniden oluşturun.Rekey your tenant key. Bu makaledeki Kiracı anahtarınızı yeniden oluşturma bölümüne bakın.See the Rekey your tenant key section in this article.
Yetkisiz bir kişi veya kötü amaçlı yazılım, kiracı anahtarınızı kullanma haklarını elde etmiş ancak anahtar sızmamış.An unauthorized individual or malware got rights to use your tenant key but the key itself did not leak. Bu durumda kiracı anahtarınızı yeniden oluşturmanız yardımcı olmaz, kök nedenin analiz edilmesi gerekir.Rekeying your tenant key does not help here and requires root-cause analysis. Yetkisiz kişinin erişim elde etmesinden bir işlem veya yazılım hatası sorumluysa, o durum çözümlenmelidir.If a process or software bug was responsible for the unauthorized individual to get access, that situation must be resolved.
RSA algoritmasında saptanan güvenlik açığı veya anahtar uzunluğu ya da kaba kuvvet saldırıları, bilgisayarlarda mümkündür.Vulnerability discovered in the RSA algorithm, or key length, or brute-force attacks become computationally feasible. Microsoft, yeni algoritmaların ve dayanıklı anahtar uzunluklarının desteklenmesi ve tüm müşterilerin kiracı anahtarını yeniden anahtarlamalarını istemek için Azure Information Protection güncelleştirmelidir.Microsoft must update Azure Information Protection to support new algorithms and longer key lengths that are resilient, and instruct all customers to rekey their tenant key.