Azure Rights Management 租用戶金鑰是 Microsoft Purview 資訊保護 主要加密服務的組織根金鑰。 其他金鑰可以從此根金鑰衍生,包括使用者金鑰、電腦金鑰或文件加密金鑰。 每當 Azure Rights Management 服務為您的組織使用這些金鑰時,它們都會以密碼編譯方式鏈結至 Azure Rights Management 服務的租用戶根金鑰。
除了租用戶根金鑰之外,您的組織可能還需要特定檔的內部部署安全性。 內部部署金鑰加密通常只需要少量內容,因此會與租用戶根金鑰一起設定。
使用下列各節來瞭解 Azure Rights Management 租用戶金鑰的選項,以及如何管理它。
如果您要跨租戶遷移,例如在公司合併之後,建議您閱讀我們 關於合併和分拆的部落格文章 以取得更多資訊。
服務的索引鍵類型
Azure Rights Management 服務的根金鑰可以是:
- 由 Microsoft 產生
- 由客戶使用 Bring Your Own Key (BYOK) 產生
如果您有需要額外內部部署保護的高度敏感內容,建議您使用 雙重金鑰加密 (DKE) 。
Microsoft 產生的租用戶根金鑰
Microsoft 自動產生的預設根金鑰是專門用於 Azure Rights Management 服務的預設金鑰,以管理租用戶金鑰生命週期的大部分層面。
當您想要快速使用 Azure Rights Management 服務且不需要特殊硬體、軟體或 Azure 訂用帳戶時,請繼續使用預設的 Microsoft 金鑰。 範例包括沒有金鑰管理法規需求的測試環境或組織。
對於預設金鑰,不需要設定步驟。
注意事項
Microsoft 產生的預設根金鑰是最簡單的選項,具有最低的系統管理額外負荷。
在大部分情況下,您甚至可能不知道您有租用戶金鑰,因為您可以設定 Microsoft Purview 資訊保護的加密設定,而且金鑰管理程式是由 Microsoft 處理。
自帶鑰匙 (BYOK) 選項
BYOK 會使用客戶所建立的金鑰,無論是在 Azure 金鑰保存庫中,還是在客戶組織的內部部署中。 然後,這些金鑰會傳輸至 Azure 金鑰保存庫以進行進一步管理。
當您的組織有金鑰產生的合規法規時,請使用 BYOK,包括對所有生命週期作業的控制。 例如,當您的金鑰必須受到硬體安全模組的保護時。
如需詳細資訊,請參閱 設定 BYOK。
雙重金鑰加密 (DKE)
DKE 會使用兩個共同運作的根金鑰,為您的內容提供額外的安全性:一個由 Microsoft 在 Azure 中建立和保留,另一個由客戶在內部部署建立和保留。
DKE 需要兩個金鑰才能存取加密內容,這可確保 Microsoft 和其他第三方永遠無法自行存取加密資料。
DKE 可以部署在雲端或本地,為儲存位置提供充分的靈活性。
如需詳細資訊,請參閱 雙重金鑰加密。
租用戶金鑰的作業
根據您的 Azure Rights Management 服務金鑰類型,您對 Azure Rights Management 租用戶金鑰有不同層級的控制和責任。
金鑰管理作業的術語:
- 當您使用 Microsoft 產生的租用戶金鑰時,金鑰是 Microsoft 管理的。
- 當您在 Azure 金鑰保存庫中使用 BYOK 產生的金鑰時,金鑰是由客戶管理。
使用下表來識別您可以執行的管理作業,視您的 Azure Rights Management 租用戶金鑰是 Microsoft 管理還是客戶管理:
| 生命週期操作 | Microsoft管理 (預設) | 客戶管理 (BYOK) |
|---|---|---|
| 撤銷您的租用戶金鑰 | ✕ (自動) | ✓ |
| 重新設定租用戶金鑰 | ✓ | ✓ |
| 備份和復原您的租用戶金鑰 | ✕ | ✓ |
| 匯出租用戶金鑰 | ✓ | ✕ |
| 回應違規行為 | ✓ | ✓ |
如需每個作業的詳細資訊,請使用租用戶金鑰類型的相關索引標籤。
不過,如果您想要從 Active Directory Rights Management Services 匯入受信任的發佈網域 (TPD) 來建立 Azure Rights Management 租用戶金鑰,則此匯入作業是從 AD RMS 移轉至 Azure 資訊保護 的一部分。 在設計過程中,AD RMS TPD 只能匯入至一個租用戶。
撤銷您的租用戶金鑰
當您取消包含 Azure Rights Management 服務的唯一或最後一個訂用帳戶時,服務會停止使用您的 Azure Rights Management 租用戶金鑰,而且您不需要採取任何動作。
重新設定租用戶金鑰
重新輸入金鑰也稱為滾動金鑰。 當您執行此作業時,Azure Rights Management 服務會停止使用現有的租用戶金鑰來加密專案,並開始使用不同的金鑰。 原則和 Rights Management 範本會立即重新簽署,但對於使用 Azure Rights Management 服務的現有用戶端和服務,此轉換是漸進的。 因此,在一段時間內,一些新內容會繼續使用舊的 Azure Rights Management 租用戶金鑰進行加密。
若要重新設定金鑰,您必須設定 Azure Rights Management 租用戶金鑰物件,並指定要使用的替代金鑰。 然後,先前使用的金鑰會自動標示為 Azure Rights Management 服務的封存。 此組態可確保使用此金鑰加密的內容仍可存取。
您可能需要重新設定 Azure Rights Management 服務金鑰的範例:
您已從 Active Directory Rights Management Services 移轉 (具有密碼編譯模式 1 金鑰的 AD RMS) 。 移轉完成後,您想要變更為使用使用密碼編譯模式 2 的金鑰。
您的公司已拆分為兩家或多家公司。 當您重新設定 Azure Rights Management 租用戶金鑰時,新公司將無法存取員工加密的新內容。 如果他們有舊 Azure Rights Management 租用戶金鑰的複本,他們就可以存取舊內容。
您想要從一個金鑰管理拓蹼移至另一個金鑰管理拓蹼。
您認為 Azure Rights Management 租用戶金鑰的主要複本已遭到入侵。
若要重新設定金鑰,您可以選取不同的 Microsoft 受控金鑰,以成為您的 Azure Rights Management 租用戶金鑰,但您無法建立新的 Microsoft 受控金鑰。 若要建立新金鑰,您必須將金鑰拓蹼變更為客戶管理 (BYOK) 。
如果您從 Active Directory Rights Management 服務移轉 (AD RMS) ,並選擇 Azure Rights Management 服務的 Microsoft 受控金鑰拓撲,則您有多個 Microsoft 受控金鑰。 在此案例中,您的租用戶至少有兩個 Microsoft 受控金鑰。 一個或多個金鑰是您從 AD RMS 匯入的一或多個金鑰。 您也會擁有針對 Azure Rights Management 租用戶自動建立的預設金鑰。
若要選取不同的金鑰作為 Azure Rights Management 服務的作用中租用戶金鑰,請使用 AIPService 模組中的 Set-AipServiceKeyProperties Cmdlet。 若要協助您識別要使用的金鑰,請使用 Get-AipServiceKeys Cmdlet。 您可以執行下列命令來識別為 Azure Rights Management 租用戶自動建立的預設金鑰:
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
若要將金鑰拓撲變更為客戶管理 (BYOK) ,請參閱 自備 Azure Rights Management 服務根金鑰。
備份和復原您的租用戶金鑰
Microsoft 負責備份您的 Azure Rights Management 租用戶金鑰,而且您不需要採取任何動作。
匯出租用戶金鑰
您可以遵循下列三個步驟中的指示,匯出 Azure Rights Management 服務設定和對應的租用戶金鑰:
步驟 1:啟動匯出
- 請連絡 Microsoft 支援服務 ,以開啟 Microsoft Purview 資訊保護 支援案例,並要求匯出 Azure Rights Management 金鑰。 您必須證明您是租使用者的全域系統管理員,並瞭解此程式需要幾天的時間才能確認。 適用 Standard 支援費用;匯出租用戶金鑰不是免費支援服務。
第 2 步:等待驗證
- Microsoft 會確認您釋放 Azure Rights Management 租用戶金鑰的要求是否合法。 此過程最多可能需要三週時間。
步驟 3:接收來自 CSS 的關鍵指令
Microsoft 客戶支援服務會傳送您在受密碼保護的檔案中加密的 Azure Rights Management 服務設定和租用戶金鑰。 此檔案具有 .tpd 副檔名。 為此,Microsoft支援工程師首先透過電子郵件向您發送 (作為啟動工具匯出) 的人員。 您必須從命令提示字元執行工具,如下所示:
AadrmTpd.exe -createkey這會產生 RSA 金鑰組,並將公用和私有部分儲存為目前資料夾中的檔案。 例如: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt 和 PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt。
回覆支援工程師的電子郵件,並附加名稱以 PublicKey 開頭的檔案。 接下來Microsoft 支援服務會向您傳送一個 TPD 檔案作為使用 RSA 金鑰加密的 .xml 檔案。 將此檔案複製到您最初執行 AadrmTpd 工具的相同資料夾,然後使用以 PrivateKey 開頭的檔案和來自 Microsoft 支援服務 的檔案,再次執行該工具。 例如:
AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml此命令的輸出應該是兩個檔案:一個包含受密碼保護的 TPD 的純文字密碼,另一個是受密碼保護的 TPD 本身。 檔案具有新的 GUID,例如:
Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt
ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml
備份這些檔案並安全地儲存它們,以確保您可以繼續解密使用此租用戶金鑰加密的內容。 此外,如果您要移轉至 AD RMS,您可以將此 TPD 檔案 (以 ExportedTDP) 開頭的檔案匯入 AD RMS 伺服器。
步驟 4:進行中:保護您的租用戶金鑰
收到租用戶金鑰之後,請妥善保護它,因為如果有人可以存取它,他們就可以解密使用該金鑰加密的所有專案。
如果匯出租用戶金鑰的原因是因為您不想再使用 Azure Rights Management 服務,這是最佳做法,現在請停用租用戶中的 Azure Rights Management 服務。 在收到租用戶金鑰之後,請勿延遲執行此操作,因為此預防措施有助於將租用戶金鑰被不應該擁有它的人存取時的後果降到最低。 如需指示,請參閱解除 委任和停用 Azure Rights Management 服務。
回應違規行為
沒有違規響應流程,任何安全系統,無論多麼強大,都是不完整的。 您的 Azure Rights Management 租用戶金鑰可能遭到入侵或遭竊。 即使保護良好,也可能在當前一代的關鍵技術或當前的密鑰長度和算法中發現漏洞。
Microsoft 有一個專門的團隊來響應其產品和服務中的安全事件。 一旦有可靠的事件報告,該團隊就會參與調查範圍、根本原因和緩解措施。 如果此事件影響您的資產,Microsoft 會透過電子郵件通知租使用者的全域系統管理員。
如果您有違規行為,您或 Microsoft 可以採取的最佳動作取決於違規行為的範圍;Microsoft 會透過此程式與您合作。 下表顯示一些典型情況和可能的回應,但確切的回應取決於調查期間顯示的所有資訊。
| 事件描述 | 可能的回應 |
|---|---|
| 您的 Azure Rights Management 租用戶金鑰已洩漏。 | 重新設定租用戶金鑰。 請參閱本文中的重新 設定租用戶金鑰一 節。 |
| 未經授權的個人或惡意代碼已取得使用 Azure Rights Management 租用戶金鑰的權限,但金鑰本身並未洩漏。 | 重新設定租用戶金鑰在這裡沒有幫助,而且需要根本原因分析。 如果進程或軟體錯誤導致未經授權的個人獲得存取權限,則必須解決這種情況。 |
| 在 RSA 演算法中發現的弱點、金鑰長度或暴力破解攻擊在計算上變得可行。 | Microsoft 必須更新 Azure Rights Management 服務,以支援具有復原能力的新演算法和較長的金鑰長度,並指示所有客戶重新設定其 Azure Rights Management 租用戶金鑰。 |