Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Ключ клиента Azure Rights Management — это корневой ключ вашей организации для основной службы шифрования для Защита информации Microsoft Purview. Из этого корневого ключа можно получить другие ключи, включая ключи пользователя, ключи компьютера или ключи шифрования документов. Всякий раз, когда служба Azure Rights Management использует эти ключи для вашей организации, они криптографически связаны с корневым ключом клиента для службы Azure Rights Management.
В дополнение к корневому ключу клиента вашей организации может потребоваться локальная безопасность для определенных документов. Шифрование локального ключа обычно требуется только для небольшого объема содержимого и поэтому настраивается вместе с корневым ключом клиента.
Используйте следующие разделы, чтобы понять, как использовать ключ клиента Azure Rights Management и как им управлять.
Если вы выполняете миграцию между клиентами, например после слияния компании, рекомендуем ознакомиться с нашей записью блога о слияниях и спин-оффах для получения дополнительных сведений.
Типы ключей для службы
Корневой ключ для службы Azure Rights Management может быть следующим:
- Создано корпорацией Майкрософт
- Создано клиентами с помощью использования собственного ключа (BYOK)
Если у вас есть содержимое с высоким уровнем конфиденциальности, требующее дополнительной локальной защиты, рекомендуется использовать шифрование двойного ключа (DKE).
Корневой ключ клиента, созданный корпорацией Майкрософт
Корневой ключ по умолчанию, автоматически создаваемый корпорацией Майкрософт, — это ключ по умолчанию, используемый исключительно для службы Azure Rights Management для управления большинством аспектов жизненного цикла ключа клиента.
Продолжайте использовать ключ Майкрософт по умолчанию, если вы хотите быстро использовать службу Azure Rights Management без специального оборудования, программного обеспечения или подписки на Azure. Примерами являются тестовые среды или организации, не имеющие нормативных требований для управления ключами.
Для ключа по умолчанию не требуется никаких действий по настройке.
Примечание.
Корневой ключ по умолчанию, созданный корпорацией Майкрософт, является самым простым вариантом с наименьшими административными издержками.
В большинстве случаев вы можете даже не знать, что у вас есть ключ клиента, так как вы можете настроить параметры шифрования для Защита информации Microsoft Purview и процесс управления ключами обрабатывается корпорацией Майкрософт.
Параметр "Принести собственный ключ" (BYOK)
BYOK использует ключи, созданные клиентами в Azure Key Vault или локальной организации клиента. Затем эти ключи передаются в Azure Key Vault для дальнейшего управления.
Используйте BYOK, если в вашей организации есть правила соответствия для создания ключей, включая контроль над всеми операциями жизненного цикла. Например, если ключ должен быть защищен аппаратным модулем безопасности.
Дополнительные сведения см. в разделе Настройка BYOK.
Шифрование с двойным ключом (DKE)
DKE обеспечивает дополнительную безопасность для содержимого с помощью двух корневых ключей, которые работают вместе: один из них создан и хранится корпорацией Майкрософт в Azure, а другой создан и хранится клиентом в локальной среде.
DKE требует наличия обоих ключей для доступа к зашифрованным содержимому, что гарантирует, что корпорация Майкрософт и другие третьи лица никогда не имеют доступа к зашифрованным данным самостоятельно.
DKE можно развернуть как в облаке, так и в локальной среде, обеспечивая полную гибкость расположения хранилища.
Дополнительные сведения см. в разделе Шифрование двойного ключа.
Операции для ключа клиента
В зависимости от типа ключа службы Azure Rights Management вы имеете различные уровни контроля и ответственности за ключ клиента Azure Rights Management.
Терминология для операций управления ключами:
- При использовании ключа клиента, созданного корпорацией Майкрософт, ключ управляется корпорацией Майкрософт.
- При использовании ключа в Azure Key Vault, созданном с помощью BYOK, ключ управляется клиентом.
Используйте следующую таблицу, чтобы определить операции управления, которые можно выполнить в зависимости от того, является ли ключ клиента Azure Rights Management управляемым Корпорацией Майкрософт или клиентом.
| Операция жизненного цикла | Управляемый корпорацией Майкрософт (по умолчанию) | Управление клиентом (BYOK) |
|---|---|---|
| Отзыв ключа клиента | ✕ (автоматически) | ✓ |
| Повторное создание ключа клиента | ✓ | ✓ |
| Резервное копирование и восстановление ключа клиента | ✕ | ✓ |
| Экспорт ключа клиента | ✓ | ✕ |
| Реагирование на нарушение | ✓ | ✓ |
Для получения дополнительных сведений о каждой из этих операций используйте соответствующую вкладку для типа ключа клиента.
Однако если вы хотите создать ключ клиента Azure Rights Management путем импорта доверенного домена публикации (TPD) из служб Active Directory Rights Management Services, эта операция импорта является частью миграции из AD RMS в Azure Information Protection. В рамках проекта TPD AD RMS можно импортировать только в один клиент.
Отзыв ключа клиента
При отмене единственной или последней подписки, включающей службу Azure Rights Management, служба перестает использовать ключ клиента Azure Rights Management, и от вас не требуется никаких действий.
Повторное создание ключа клиента
Переключение клавиш также называется переворачивающими ключами. При выполнении этой операции служба Azure Rights Management перестает использовать существующий ключ клиента для шифрования элементов и начинает использовать другой ключ. Политики и шаблоны управления правами немедленно снимаются, но эта смена выполняется постепенно для существующих клиентов и служб, использующих службу Azure Rights Management. Таким образом, некоторое время некоторое новое содержимое продолжает шифроваться с помощью старого ключа клиента Azure Rights Management.
Чтобы переключить ключ, необходимо настроить объект ключа клиента Azure Rights Management и указать альтернативный ключ для использования. Затем ранее использованный ключ автоматически помечается как архивный для службы Azure Rights Management. Эта конфигурация гарантирует, что содержимое, зашифрованное с помощью этого ключа, остается доступным.
Примеры того, когда может потребоваться перенаправить ключ для службы Azure Rights Management:
Вы перешли из служб Active Directory Rights Management Services (AD RMS) с ключом 1 в режиме шифрования. После завершения миграции необходимо переключиться на использование ключа, использующего криптографический режим 2.
Ваша компания разделена на две или более компаний. При переключите ключ клиента Azure Rights Management, новая компания не будет иметь доступа к новому содержимому, которое сотрудники шифруют. Они могут получить доступ к старому содержимому, если у них есть копия старого ключа клиента Azure Rights Management.
Вы хотите перейти от одной топологии управления ключами к другой.
Вы считаете, что master копия ключа клиента Azure Rights Management скомпрометирована.
Чтобы изменить ключ, вы можете выбрать другой ключ, управляемый Корпорацией Майкрософт, чтобы стать ключом клиента Azure Rights Management, но вы не можете создать новый ключ, управляемый Корпорацией Майкрософт. Чтобы создать новый ключ, необходимо изменить топологию ключа, чтобы она была управляемой клиентом (BYOK).
У вас есть несколько ключей, управляемых Корпорацией Майкрософт, если вы перешли из служб Active Directory Rights Management (AD RMS) и выбрали топологию ключей, управляемую Корпорацией Майкрософт, для службы Azure Rights Management. В этом сценарии у вас есть по крайней мере два ключа, управляемых Корпорацией Майкрософт, для вашего клиента. Один или несколько ключей — это ключ или ключи, импортированные из AD RMS. У вас также будет ключ по умолчанию, который был автоматически создан для клиента Azure Rights Management.
Чтобы выбрать другой ключ, который будет активным ключом клиента для службы Azure Rights Management, используйте командлет Set-AipServiceKeyProperties из модуля AIPService. Чтобы определить, какой ключ следует использовать, используйте командлет Get-AipServiceKeys . Вы можете определить ключ по умолчанию, который был автоматически создан для клиента Azure Rights Management, выполнив следующую команду:
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
Сведения о том, как изменить топологию ключа для управления клиентом (BYOK), см. в статье Использование собственного ключа для корневого ключа службы Azure Rights Management.
Резервное копирование и восстановление ключа клиента
Корпорация Майкрософт отвечает за резервное копирование ключа клиента Azure Rights Management, и никаких действий от вас не требуется.
Экспорт ключа клиента
Вы можете экспортировать конфигурацию службы Azure Rights Management и соответствующий ключ клиента, выполнив инструкции в следующих трех шагах.
Шаг 1. Запуск экспорта
- Обратитесь в служба поддержки Майкрософт, чтобы открыть обращение в службу поддержки Защита информации Microsoft Purview с запросом на экспорт ключа Azure Rights Management. Необходимо доказать, что вы являетесь глобальным администратором клиента и понимать, что подтверждение этого процесса занимает несколько дней. Standard плата за поддержку; экспорт ключа клиента не является бесплатной службой поддержки.
Шаг 2. Ожидание проверки
- Корпорация Майкрософт проверяет, что ваш запрос на освобождение ключа клиента Azure Rights Management является допустимым. Этот процесс может занять до трех недель.
Шаг 3. Получение ключевых инструкций из CSS
Служба поддержки клиентов Майкрософт отправляет вам конфигурацию службы Azure Rights Management и ключ клиента, зашифрованные в защищенном паролем файле. Этот файл имеет расширение TPD-файла . Для этого инженер службы поддержки Майкрософт сначала отправит вам (как человеку, инициировавшему экспорт) средство по электронной почте. Необходимо запустить средство из командной строки следующим образом:
AadrmTpd.exe -createkeyПри этом создается пара ключей RSA и сохраняется открытая и закрытая половины в виде файлов в текущей папке. Например, PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt и PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.
Ответьте на сообщение электронной почты от инженера службы поддержки, вложив файл с именем, начинающимся с PublicKey. служба поддержки Майкрософт далее отправляется TPD-файл в виде файла .xml, зашифрованного с помощью ключа RSA. Скопируйте этот файл в ту же папку, в которую вы изначально запускали средство AadrmTpd, и запустите средство еще раз, используя файл, который начинается с PrivateKey, и файл из служба поддержки Майкрософт. Например, вы можете:
AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xmlВыходными данными этой команды должны быть два файла: один из них содержит пароль обычного текста для защищенного паролем TPD, а другой — самого защищенного паролем TPD. Файлы имеют новый GUID, например:
Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt
ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml
Создайте резервную копию этих файлов и сохраните их безопасно, чтобы вы могли продолжать расшифровывать содержимое, зашифрованное с помощью этого ключа клиента. Кроме того, при миграции на AD RMS можно импортировать этот TPD-файл (файл, который начинается с ExportedTDP) на сервер AD RMS.
Шаг 4. Продолжение. Защита ключа клиента
После того как вы получите ключ клиента, обеспечьте его безопасность, так как если кто-то получит к нему доступ, он сможет расшифровать все зашифрованные элементы с помощью этого ключа.
Если причина экспорта ключа клиента связана с тем, что вы больше не хотите использовать службу Azure Rights Management, рекомендуется отключить службу Azure Rights Management в клиенте. Не следует делать это после получения ключа клиента, так как эта мера предосторожности помогает свести к минимуму последствия, если к ключу клиента будет обращаться кто-то, кто не должен его иметь. Инструкции см. в разделе Вывод из эксплуатации и отключение службы Azure Rights Management.
Реагирование на нарушение
Никакая система безопасности, независимо от того, насколько сильна, не может быть завершена без процесса реагирования на нарушения. Ключ клиента Azure Rights Management может быть скомпрометирован или украден. Даже если он хорошо защищен, уязвимости могут быть обнаружены в технологии ключей текущего поколения или в текущих длинах ключей и алгоритмах.
Корпорация Майкрософт имеет специальную команду для реагирования на инциденты безопасности в своих продуктах и службах. Как только появляется достоверный отчет об инциденте, эта команда привлекается к расследованию область, первопричин и мер по устранению последствий. Если этот инцидент затрагивает ваши ресурсы, корпорация Майкрософт уведомит глобальных администраторов вашего клиента по электронной почте.
Если у вас есть нарушение, лучшее действие, которое вы или корпорация Майкрософт можете предпринять, зависит от область нарушения. Корпорация Майкрософт работает с вами в рамках этого процесса. В следующей таблице показаны некоторые типичные ситуации и вероятный ответ, хотя точный ответ зависит от всей информации, выявленной в ходе исследования.
| Описание инцидента | Вероятный ответ |
|---|---|
| Ваш ключ клиента Azure Rights Management утечка. | Повторное создание ключа клиента. См. раздел Переключение ключа клиента в этой статье. |
| Несанкционированное лицо или вредоносная программа получили права на использование ключа клиента Azure Rights Management, но сам ключ не утечки. | Повторное создание ключа клиента здесь не помогает и требует анализа первопричин. Если ошибка процесса или программного обеспечения была связана с несанкционированным доступом, эту ситуацию необходимо устранить. |
| Уязвимость, обнаруженная в алгоритме RSA, длина ключа или атаки методом подбора становятся вычислительными. | Корпорация Майкрософт должна обновить службу Azure Rights Management для поддержки новых алгоритмов и более длинных ключей, которые являются устойчивыми, и дать всем клиентам указание перенаправить ключ клиента Azure Rights Management. |