Gestion de la clé racine de votre service Azure Rights Management

Révoquer votre clé de locataire

Lorsque vous annulez le seul ou le dernier abonnement qui inclut le service Azure Rights Management, le service cesse d’utiliser votre clé de locataire Azure Rights Management et aucune action n’est nécessaire de votre part.

Recréez votre clé de locataire

La nouvelle clé est également appelée « roulement de votre clé ». Lorsque vous effectuez cette opération, le service Azure Rights Management cesse d’utiliser la clé de locataire existante pour chiffrer des éléments et commence à utiliser une autre clé. Les stratégies et les modèles de gestion des droits sont immédiatement abandonnés, mais ce changement est progressif pour les clients et services existants qui utilisent le service Azure Rights Management. Ainsi, pendant un certain temps, certains nouveaux contenus continuent d’être chiffrés avec l’ancienne clé de locataire Azure Rights Management.

Pour renouveler la clé, vous devez configurer l’objet clé de locataire Azure Rights Management et spécifier l’autre clé à utiliser. Ensuite, la clé précédemment utilisée est automatiquement marquée comme archivée pour le service Azure Rights Management. Cette configuration garantit que le contenu chiffré à l’aide de cette clé reste accessible.

Exemples de cas où vous devrez peut-être recréer la clé pour le service Azure Rights Management :

• Vous avez migré à partir d’Active Directory Rights Management Services (AD RMS) avec une clé en mode de chiffrement 1. Une fois la migration terminée, vous souhaitez passer à l’utilisation d’une clé qui utilise le mode de chiffrement 2.

• Votre entreprise s’est scindée en deux ou plusieurs. Lorsque vous recréez la clé de locataire de votre Azure Rights Management, la nouvelle entreprise n’a pas accès au nouveau contenu que vos employés chiffrent. Ils peuvent accéder à l’ancien contenu s’ils disposent d’une copie de l’ancienne clé de locataire Azure Rights Management.

• Vous souhaitez passer d’une topologie de gestion des clés à une autre.

• Vous pensez que la copie master de votre clé de locataire Azure Rights Management est compromise.

Pour recréer une clé, vous pouvez sélectionner une autre clé gérée par Microsoft pour qu’elle devienne votre clé de locataire Azure Rights Management, mais vous ne pouvez pas créer de clé gérée par Microsoft. Pour créer une clé, vous devez modifier votre topologie de clé pour qu’elle soit gérée par le client (BYOK).

Vous disposez de plusieurs clés gérées par Microsoft si vous avez migré à partir d’Active Directory Rights Management Services (AD RMS) et choisi la topologie de clé gérée par Microsoft pour le service Azure Rights Management. Dans ce scénario, vous disposez d’au moins deux clés gérées par Microsoft pour votre locataire. Une ou plusieurs clés sont la ou les clés que vous avez importées à partir d’AD RMS. Vous disposez également de la clé par défaut qui a été créée automatiquement pour votre locataire Azure Rights Management.

Pour sélectionner une autre clé en tant que clé de locataire active pour le service Azure Rights Management, utilisez l’applet de commande Set-AipServiceKeyProperties du module AIPService. Pour vous aider à identifier la clé à utiliser, utilisez l’applet de commande Get-AipServiceKeys . Vous pouvez identifier la clé par défaut qui a été créée automatiquement pour votre locataire Azure Rights Management en exécutant la commande suivante :

(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1

Pour modifier votre topologie de clé pour qu’elle soit gérée par le client (BYOK), consultez Apporter votre propre clé pour la clé racine du service Azure Rights Management.

Sauvegarder et récupérer votre clé de locataire

Microsoft est responsable de la sauvegarde de votre clé de locataire Azure Rights Management et aucune action n’est requise de votre part.

Exporter votre clé de locataire

Vous pouvez exporter votre configuration de service Azure Rights Management et la clé de locataire correspondante en suivant les instructions des trois étapes suivantes :

Étape 1 : Lancer l’exportation

• Contactez Support Microsoft pour ouvrir un cas de support Protection des données Microsoft Purview avec une demande d’exportation de clé Azure Rights Management. Vous devez prouver que vous êtes administrateur général pour votre locataire et comprendre que ce processus prend plusieurs jours. Standard des frais de support s’appliquent ; l’exportation de votre clé de locataire n’est pas un service de support gratuit.

Étape 2 : Attendre la vérification

• Microsoft vérifie que votre demande de libération de votre clé de locataire Azure Rights Management est légitime. Ce processus peut prendre jusqu’à trois semaines.

Étape 3 : Recevoir des instructions de clé de CSS

• Les services de support technique Microsoft vous envoient votre Azure Rights Management configuration du service et la clé de locataire chiffrée dans un fichier protégé par mot de passe. Ce fichier a une extension de nom de fichier .tpd . Pour ce faire, un ingénieur du support technique Microsoft vous envoie d’abord (en tant que personne qui a lancé l’exportation) un outil par e-mail. Vous devez exécuter l’outil à partir d’une invite de commandes comme suit :

  AadrmTpd.exe -createkey
  

  Cela génère une paire de clés RSA et enregistre les moitiés public et privé sous forme de fichiers dans le dossier actif. Par exemple : PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt et PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.

  Répondez à l’e-mail de l’ingénieur du support, en joignant le fichier dont le nom commence par PublicKey. Support Microsoft ensuite vous envoie un fichier TPD en tant que fichier .xml chiffré avec votre clé RSA. Copiez ce fichier dans le dossier où vous avez exécuté l’outil AadrmTpd à l’origine, puis réexécutez l’outil en utilisant votre fichier qui commence par PrivateKey et le fichier de Support Microsoft. Par exemple :

  AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
  

  La sortie de cette commande doit être deux fichiers : l’un contient le mot de passe en texte brut pour le TPD protégé par mot de passe, et l’autre est le TPD protégé par mot de passe lui-même. Les fichiers ont un nouveau GUID, par exemple :

  • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

  • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

    Sauvegardez ces fichiers et stockez-les en toute sécurité pour vous assurer que vous pouvez continuer à déchiffrer le contenu chiffré avec cette clé de locataire. En outre, si vous migrez vers AD RMS, vous pouvez importer ce fichier TPD (le fichier qui commence par ExportedTDP) sur votre serveur AD RMS.

Étape 4 : En cours : Protéger votre clé de locataire

Une fois que vous avez reçu votre clé de locataire, gardez-la bien protégée, car si quelqu’un y a accès, il peut déchiffrer tous les éléments chiffrés à l’aide de cette clé.

Si la raison d’exporter votre clé de locataire est que vous ne souhaitez plus utiliser le service Azure Rights Management, il est recommandé de désactiver le service Azure Rights Management dans votre locataire. Ne le faites pas une fois que vous avez reçu votre clé de locataire, car cette précaution permet de minimiser les conséquences si votre clé de locataire est accessible par une personne qui ne devrait pas l’avoir. Pour obtenir des instructions, consultez Désactiver et désactiver le service Azure Rights Management.

Répondre à une violation

Aucun système de sécurité, quelle que soit sa force, n’est complet sans processus de réponse aux violations. Votre clé de locataire Azure Rights Management peut être compromise ou volée. Même lorsqu’elle est bien protégée, des vulnérabilités peuvent se trouver dans la technologie de clé de génération actuelle ou dans les longueurs de clés et les algorithmes actuels.

Microsoft dispose d’une équipe dédiée pour répondre aux incidents de sécurité dans ses produits et services. Dès qu’il y a un rapport crédible d’un incident, cette équipe s’engage à examiner l’étendue, la cause racine et les atténuations. Si cet incident affecte vos ressources, Microsoft en informera les administrateurs généraux de votre locataire par e-mail.

Si vous avez une violation, la meilleure action que vous ou Microsoft pouvez prendre dépend de l’étendue de la violation ; Microsoft travaille avec vous tout au long de ce processus. Le tableau suivant présente certaines situations typiques et la réponse probable, bien que la réponse exacte dépende de toutes les informations qui sont révélées au cours de l’enquête.

Révoquer votre clé de locataire

Il existe très peu de scénarios dans lesquels vous devrez peut-être révoquer votre clé Azure Rights Management au lieu de recréer la clé. Lorsque vous révoquez votre clé de Azure Rights Management, tout le contenu qui a été chiffré par votre locataire à l’aide de cette clé devient inaccessible à tout le monde (y compris Microsoft, vos administrateurs généraux et les super utilisateurs), sauf si vous disposez d’une sauvegarde de la clé que vous pouvez restaurer. Après avoir révoqué votre clé, vous ne pourrez pas chiffrer le nouveau contenu tant que vous n’avez pas créé et configuré une nouvelle clé de locataire Azure Rights Management.

Pour révoquer votre clé de locataire Azure Rights Management gérée par le client, dans Azure Key Vault, modifiez les autorisations sur le coffre de clés qui contient votre clé de locataire Azure Rights Management afin que le service Azure Rights Management ne puisse plus y accéder. Cette action révoque efficacement la clé de locataire Azure Rights Management pour le service de chiffrement.

Lorsque vous annulez votre seul ou dernier abonnement qui inclut le service Azure Rights Management, il cesse d’utiliser votre clé de locataire Azure Rights Management et aucune action n’est nécessaire de votre part.

Recréez votre clé de locataire

La nouvelle clé est également appelée « roulement de votre clé ». Lorsque vous effectuez cette opération, le service Azure Rights Management cesse d’utiliser la clé de locataire existante pour chiffrer des éléments et commence à utiliser une autre clé. Les stratégies et les modèles de gestion des droits sont immédiatement abandonnés, mais ce changement est progressif pour les clients et services existants qui utilisent le service Azure Rights Management. Ainsi, pendant un certain temps, certains nouveaux contenus continuent d’être chiffrés avec l’ancienne clé de locataire Azure Rights Management.

Pour renouveler la clé, vous devez configurer l’objet clé de locataire Azure Rights Management et spécifier l’autre clé à utiliser. Ensuite, la clé précédemment utilisée est automatiquement marquée comme archivée pour le service Azure Rights Management. Cette configuration garantit que le contenu chiffré à l’aide de cette clé reste accessible.

Exemples de cas où vous devrez peut-être recréer la clé pour le service Azure Rights Management :

• Votre entreprise s’est scindée en deux ou plusieurs. Lorsque vous recréez la clé de locataire de votre Azure Rights Management, la nouvelle entreprise n’a pas accès au nouveau contenu que vos employés chiffrent. Ils peuvent accéder à l’ancien contenu s’ils disposent d’une copie de l’ancienne clé de locataire Azure Rights Management.

• Vous souhaitez passer d’une topologie de gestion des clés à une autre.

• Vous pensez que la copie master de votre clé de locataire Azure Rights Management (la copie en votre possession) est compromise.

Pour recréer une clé que vous gérez, vous pouvez créer une clé dans Azure Key Vault ou utiliser une autre clé qui se trouve déjà dans Azure Key Vault. Suivez ensuite les mêmes procédures que celles que vous avez effectuées pour implémenter BYOK pour le service Azure Rights Management.

1. Uniquement si la nouvelle clé se trouve dans un coffre de clés différent de celui que vous utilisez déjà pour le service Azure Rights Management : Autorisez le service Azure Rights Management à utiliser le coffre de clés à l’aide de l’applet de commande Set-AzKeyVaultAccessPolicy.

2. Si le service Azure Rights Management ne connaît pas encore la clé que vous souhaitez utiliser, exécutez l’applet de commande Use-AipServiceKeyVaultKey.

3. Configurez l’objet de clé de locataire Azure Rights Management à l’aide de l’applet de commande Set-AipServiceKeyProperties d’exécution.

Pour plus d’informations sur chacune de ces étapes :

• Pour renouveler la clé à une autre clé que vous gérez, consultez Apporter votre propre clé pour la clé racine du service Azure Rights Management.

  Si vous recréez une clé protégée par HSM que vous créez localement et transférez vers Key Vault, vous pouvez utiliser le même monde de sécurité et les mêmes cartes d’accès que vous avez utilisés pour votre clé actuelle.

• Pour recréer une clé, en remplaçant par une clé gérée par Microsoft pour vous, consultez la section Rekey your tenant key for Microsoft-managed operations .

Sauvegarder et récupérer votre clé de locataire

Étant donné que vous gérez votre clé de locataire, vous êtes responsable de la sauvegarde de la clé utilisée par le service Azure Rights Management.

Si vous avez généré votre Azure Rights Management clé de locataire localement, dans un HSM nCipher : Pour sauvegarder la clé, sauvegardez le fichier de clé tokenisé, le fichier world et les cartes d’administrateur. Lorsque vous transférez votre clé vers Azure Key Vault, le service enregistre le fichier de clé avec jetons pour vous protéger contre les défaillances des nœuds de service. Ce fichier est lié au monde de la sécurité pour la région Ou instance Azure spécifique. Toutefois, ne considérez pas ce fichier de clé tokenisée comme une sauvegarde complète. Par exemple, si vous avez besoin d’une copie en texte brut de votre clé à utiliser en dehors d’un HSM nCipher, Azure Key Vault ne peut pas la récupérer pour vous, car elle n’a qu’une copie non récupérable.

Azure Key Vault dispose d’une applet de commande de sauvegarde que vous pouvez utiliser pour sauvegarder une clé en la téléchargeant et en la stockant dans un fichier. Étant donné que le contenu téléchargé est chiffré, il ne peut pas être utilisé en dehors d’Azure Key Vault.

Exporter votre clé de locataire

Si vous utilisez BYOK, vous ne pouvez pas exporter votre clé de locataire Azure Rights Management à partir d’Azure Key Vault ou du service Azure Rights Management. La copie dans Azure Key Vault n’est pas récupérable.

Répondre à une violation

Aucun système de sécurité, quelle que soit sa force, n’est complet sans processus de réponse aux violations. Votre clé de locataire Azure Rights Management peut être compromise ou volée. Même lorsqu’elle est bien protégée, des vulnérabilités peuvent se trouver dans la technologie de clé de génération actuelle ou dans les longueurs de clés et les algorithmes actuels.

Microsoft dispose d’une équipe dédiée pour répondre aux incidents de sécurité dans ses produits et services. Dès qu’il y a un rapport crédible d’un incident, cette équipe s’engage à examiner l’étendue, la cause racine et les atténuations. Si cet incident affecte vos ressources, Microsoft en informe les administrateurs généraux de votre locataire par e-mail.

Si vous avez une violation, la meilleure action que vous ou Microsoft pouvez prendre dépend de l’étendue de la violation ; Microsoft travaille avec vous tout au long de ce processus. Le tableau suivant présente certaines situations typiques et la réponse probable, bien que la réponse exacte dépende de toutes les informations qui sont révélées au cours de l’enquête.