Microsoft 托管:租户密钥生命周期操作

适用于:Azure信息保护、Office 365

相关:AIP 统一标签客户端和经典客户端

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一标签客户端。 在迁移博客 中了解更多信息

如果 Microsoft 管理 Azure 信息保护的租户密钥 (默认) ,请使用以下部分了解有关此拓扑相关的生命周期操作详细信息。

吊销租户密钥

取消 Azure 信息保护的订阅时,Azure 信息保护将停止使用租户密钥,无需执行任何操作。

重新生成租户密钥的密钥

重新生成密钥也称为滚动密钥。 执行此操作时,Azure 信息保护将停止使用现有租户密钥来保护文档和电子邮件,并开始使用不同的密钥。 策略和模板立即生效,但使用 Azure 信息保护的现有客户端和服务将逐步进行此更改。 因此,一段时间之后,一些新内容将继续使用旧租户密钥进行保护。

若要重新生成密钥,必须配置租户密钥对象并指定备用密钥。 然后,以前使用的密钥会自动标记为已存档,用于 Azure 信息保护。 此配置可确保使用此密钥保护的内容保持可访问。

可能需要为 Azure 信息保护重新生成密钥的示例:

  • 已使用加密模式 1 Active Directory Rights Management Services (从 AD RMS) 迁移。 迁移完成后,想要更改为使用使用加密模式 2 的密钥。

  • 你的公司已拆分为两个或多个公司。 重新生成租户密钥密钥时,新公司将无法访问员工发布的新内容。 如果有旧租户密钥的副本,他们可以访问旧内容。

  • 想要从一个密钥管理拓扑转移到另一个密钥管理拓扑。

  • 你认为租户密钥的主副本已泄露。

若要重新生成密钥,可以选择其他 Microsoft 托管的密钥作为租户密钥,但不能创建新的 Microsoft 托管密钥。 若要创建新密钥,必须将密钥拓扑更改为 BYOK (客户) 。

如果从 Active Directory Rights Management Services (AD RMS) 并选择了 Microsoft 托管的 Azure 信息保护密钥拓扑,则拥有多个 Microsoft 托管的密钥。 在此方案中,租户至少有两个 Microsoft 托管的密钥。 一个或多个密钥是从 AD RMS 导入的密钥。 此外,还会获得为 Azure 信息保护租户自动创建的默认密钥。

若要选择另一个密钥作为 Azure 信息保护的活动租户密钥,请使用 AIPService 模块中的 Set-AipServiceKeyProperties cmdlet。 若要帮助确定要使用哪个密钥,请使用 Get-AipServiceKeys cmdlet。 可以通过运行以下命令来标识为 Azure 信息保护租户自动创建的默认密钥:

(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1

若要将密钥拓扑更改为 BYOK (托管) ,请参阅规划和实现 Azure 信息保护租户密钥

备份和恢复租户密钥

Microsoft 负责备份租户密钥,无需你执行任何操作。

导出租户密钥

可以按照以下三个步骤中的说明导出 Azure 信息保护配置和租户密钥:

步骤 1:启动导出

  • 请联系 Microsoft 支持 部门,提出 Azure 信息保护密钥导出请求,以打开 Azure 信息保护支持案例。 必须证明你是租户的全局管理员,并了解此过程需要几天时间才能确认。 收取标准支持费用;导出租户密钥不是免费支持服务。

步骤 2:等待验证

  • Microsoft 会验证你发布 Azure 信息保护租户密钥的请求是否合法。 此过程最多可能需要三周时间。

步骤 3:从 CSS 接收密钥说明

  • Microsoft 客户支持服务 (CSS) 会向用户发送在受密码保护的文件中加密的 Azure 信息保护配置和租户密钥。 此文件具有 .tpd 文件扩展名。 为此,CSS 首先将你 (作为发起导出操作) 通过电子邮件发送给你。 必须从命令提示符运行该工具,如下所示:

    AadrmTpd.exe -createkey
    

    这会生成 RSA 密钥对,将公共和专用两半保存为当前文件夹中的文件。 例如:PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txtPrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt。

    从 CSS 响应电子邮件,附加名称以 PublicKey 开头的文件。 CSS 接下来将 TPD 文件作为.xml RSA 密钥加密的 TPD 文件。 将此文件复制到最初运行 AadrmTpd 工具时相同的文件夹,然后使用以 PrivateKey 开头的文件和来自 CSS 的文件再次运行该工具。 例如:

    AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
    

    此命令的输出应为两个文件:一个文件包含受密码保护的 TPD 的纯文本密码,另一个文件是受密码保护的 TPD 本身。 这些文件具有新的 GUID,例如:

    • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

    • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

      备份这些文件并安全地存储它们,以确保可以继续解密受此租户密钥保护的内容。 此外,如果要迁移到 AD RMS,可以将此 TPD 文件 (以 ExportedTDP) 开头的文件导入 AD RMS 服务器。

步骤 4:持续:保护租户密钥

收到租户密钥后,请保持其受到良好保护,因为如果有人可以访问它,他们可以使用该密钥解密所有受保护的文档。

如果导出租户密钥的原因是由于不再需要使用 Azure 信息保护,则最佳做法是,现在从 Azure 信息保护租户停用 Azure Rights Management 服务。 收到租户密钥后,请勿延迟执行此操作,因为如果不应拥有租户密钥的某人访问租户密钥,此预防措施有助于将后果降到最低。 有关说明,请参阅解除和停用 Azure Rights Management。

响应违规

无论安全机制有多强大,都无需破坏响应过程即可完成。 你的租户密钥可能会泄露或被盗。 即使保护良好,漏洞也可能在当前代密钥技术或当前密钥长度和算法中发现。

Microsoft 有一个专门的团队来响应其产品和服务中的安全事件。 一旦有可靠的事件报告,此团队就会参与调查范围、根本原因和缓解措施。 如果此事件影响资产,Microsoft 将通过电子邮件通知租户的全局管理员。

如果发生违规,你或 Microsoft 可以采取的最佳操作取决于违规范围;Microsoft 将一起完成此过程。 下表显示了一些典型情况以及可能的响应,尽管确切的响应取决于调查期间显示的所有信息。

事件说明 可能的响应
租户密钥已泄漏。 重新生成租户密钥的密钥。 请参阅 本文中的重新生成租户密钥 密钥部分。
未经授权的个人或恶意软件获得使用租户密钥的权利,但密钥本身未泄漏。 重新生成租户密钥在此处没有帮助,需要根本原因分析。 如果进程或软件 bug 负责未经授权的个人获取访问权限,则必须解决这种情况。
在 RSA 算法、密钥长度或暴力攻击中发现的漏洞在计算上变得可行。 Microsoft 必须更新 Azure 信息保护,以支持具有复原能力的新算法和更长的密钥长度,并指示所有客户重新生成其租户密钥的密钥。