Azure Rights Management 租户密钥是组织的根密钥,用于Microsoft Purview 信息保护的主要加密服务。 其他密钥可以从此根密钥派生,包括用户密钥、计算机密钥或文档加密密钥。 每当 Azure Rights Management 服务为组织使用这些密钥时,它们就会以加密方式链接到 Azure Rights Management 服务的租户根密钥。
除了租户根密钥之外,组织可能还需要特定文档的本地安全性。 本地密钥加密通常仅适用于少量内容,因此与租户根密钥一起配置。
使用以下部分来了解 Azure Rights Management 租户密钥的选项以及如何管理它。
如果要跨租户迁移(例如公司合并后),建议阅读 有关合并和分拆的博客文章 ,了解详细信息。
服务的密钥类型
Azure Rights Management 服务的根密钥可以是:
- 由 Microsoft 生成
- 由客户使用自带密钥 (BYOK) 生成
如果具有需要其他本地保护的高度敏感内容,我们建议使用 双密钥加密 (DKE) 。
由 Microsoft 生成的租户根密钥
Microsoft自动生成的默认根密钥是专用于 Azure Rights Management 服务的默认密钥,用于管理租户密钥生命周期的大部分方面。
如果想要快速使用 Azure Rights Management 服务,而无需特殊硬件、软件或 Azure 订阅,请继续使用默认Microsoft密钥。 示例包括测试环境或没有密钥管理法规要求的组织。
对于默认密钥,不需要任何配置步骤。
注意
Microsoft 生成的默认根密钥是最简单的选项,管理开销最低。
在大多数情况下,你甚至可能不知道自己有租户密钥,因为可以为Microsoft Purview 信息保护配置加密设置,密钥管理过程由 Microsoft 处理。
“自带密钥 (BYOK) ”选项
BYOK 使用客户在 Azure 密钥保管库或客户组织中的本地创建的密钥。 然后将这些密钥传输到 Azure 密钥保管库以供进一步管理。
如果组织具有密钥生成合规性法规,包括对所有生命周期作的控制,请使用 BYOK。 例如,当密钥必须受硬件安全模块保护时。
有关详细信息,请参阅 配置 BYOK。
双密钥加密(DKE)
DKE 使用两个协同工作的根密钥为内容提供额外的安全性:一个由 Azure 中的Microsoft创建和保存,另一个由客户在本地创建和保存。
DKE 需要这两个密钥才能访问加密内容,这可确保Microsoft和其他第三方永远无权单独访问加密数据。
DKE 可以部署在云中或本地,为存储位置提供完全的灵活性。
有关详细信息,请参阅 双密钥加密。
租户密钥的作
根据 Azure Rights Management 服务密钥类型,对 Azure Rights Management 租户密钥具有不同级别的控制和责任。
密钥管理作的术语:
- 使用 由 Microsoft 生成的租户密钥时,该密钥 Microsoft管理。
- 在 Azure 密钥保管库中使用 BYOK 生成的密钥时,该密钥由客户管理。
根据 Azure Rights Management 租户密钥是Microsoft管理的还是客户管理的,使用下表确定可以执行的管理作:
| 生命周期作 | Microsoft托管 (默认) | 客户管理的 (BYOK) |
|---|---|---|
| 撤销租户密钥 | ✕ (自动) | ✓ |
| 重新生成租户密钥的密钥 | ✓ | ✓ |
| 备份和恢复租户密钥 | ✕ | ✓ |
| 导出租户密钥 | ✓ | ✕ |
| 响应违规 | ✓ | ✓ |
有关每个作的详细信息,请使用租户密钥类型的相关选项卡。
但是,如果要通过从 Active Directory Rights Management Services 导入受信任的发布域 (TPD) 来创建 Azure Rights Management 租户密钥,此导入作是从 AD RMS 迁移到 Azure 信息保护的一部分。 作为设计的一部分,AD RMS TPD 只能导入到一个租户。
撤销租户密钥
取消包含 Azure Rights Management 服务的唯一订阅或最后一个订阅时,该服务将停止使用 Azure Rights Management 租户密钥,无需执行任何作。
重新生成租户密钥的密钥
重新生成密钥也称为滚动密钥。 执行此作时,Azure Rights Management 服务将停止使用现有租户密钥来加密项,并开始使用其他密钥。 策略和权限管理模板会立即重新签名,但对于使用 Azure Rights Management 服务的现有客户端和服务,这种转换是渐进的。 因此,一段时间后,一些新内容将继续使用旧的 Azure Rights Management 租户密钥进行加密。
若要重新生成密钥,必须配置 Azure Rights Management 租户密钥对象并指定要使用的备用密钥。 然后,以前使用的密钥会自动标记为 Azure Rights Management 服务的存档。 此配置可确保使用此密钥加密的内容仍可访问。
可能需要为 Azure Rights Management 服务重新生成密钥的示例:
已使用加密模式 1 密钥从 Active Directory Rights Management Services (AD RMS) 迁移。 迁移完成后,需要更改为使用使用加密模式 2 的密钥。
你的公司已拆分为两个或两个以上的公司。 重新生成 Azure Rights Management 租户密钥时,新公司将无法访问员工加密的新内容。 如果他们拥有旧 Azure Rights Management 租户密钥的副本,则可以访问旧内容。
你想要从一个密钥管理拓扑移动到另一个密钥管理拓扑。
你认为 Azure Rights Management 租户密钥的主副本已泄露。
若要重新生成密钥,可以选择其他Microsoft管理的密钥作为 Azure Rights Management 租户密钥,但无法创建新的Microsoft管理的密钥。 若要创建新密钥,必须将密钥拓扑更改为客户管理的 (BYOK) 。
如果从 Active Directory Rights Management Services (AD RMS) 迁移并为 Azure Rights Management 服务选择了Microsoft管理的密钥拓扑,则有多个Microsoft管理的密钥。 在此方案中,租户至少有两个Microsoft管理的密钥。 一个或多个密钥是从 AD RMS 导入的一个或多个密钥。 你还将拥有为 Azure Rights Management 租户自动创建的默认密钥。
若要选择其他密钥作为 Azure Rights Management 服务的活动租户密钥,请使用 AIPService 模块中的 Set-AipServiceKeyProperties cmdlet。 为了帮助你确定要使用的密钥,请使用 Get-AipServiceKeys cmdlet。 可以通过运行以下命令来标识为 Azure Rights Management 租户自动创建的默认密钥:
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
若要将密钥拓扑更改为客户管理的 (BYOK) ,请参阅 为 Azure Rights Management 服务根密钥自带密钥。
备份和恢复租户密钥
Microsoft负责备份 Azure Rights Management 租户密钥,无需执行任何作。
导出租户密钥
可以按照以下三个步骤中的说明导出 Azure Rights Management 服务配置和相应的租户密钥:
步骤 1:启动导出
- 请联系 Microsoft 支持部门,以打开Microsoft Purview 信息保护支持案例,请求导出 Azure Rights Management 密钥。 必须证明自己是租户的全局管理员,并了解此过程需要几天时间才能确认。 Standard支持费用适用;导出租户密钥不是免费的支持服务。
步骤 2:等待验证
- Microsoft验证发布 Azure Rights Management 租户密钥的请求是否合法。 此过程最长可能需要三周时间。
步骤 3:从 CSS 接收密钥说明
Microsoft客户支持服务会向你发送 Azure Rights Management 服务配置和在受密码保护的文件中加密的租户密钥。 此文件的文件扩展名为 .tpd 。 为此,Microsoft支持工程师首先通过电子邮件向你发送 (作为发起导出) 工具的人员。 必须从命令提示符运行该工具,如下所示:
AadrmTpd.exe -createkey这会生成 RSA 密钥对,并将公共和私有部分保存为当前文件夹中的文件。 例如: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt 和 PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt。
回复来自支持工程师的电子邮件,附加名称以 PublicKey 开头的文件。 接下来,Microsoft 支持部门会向你发送一个 TPD 文件作为使用 RSA 密钥加密的 .xml 文件。 将此文件复制到最初运行 AadrmTpd 工具的同一文件夹,然后使用以 PrivateKey 开头的文件和 Microsoft 支持部门 中的文件再次运行该工具。 例如:
AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml此命令的输出应为两个文件:一个文件包含受密码保护的 TPD 的纯文本密码,另一个是受密码保护的 TPD 本身。 这些文件具有新的 GUID,例如:
Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt
ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml
备份这些文件并安全地存储这些文件,以确保可以继续解密使用此租户密钥加密的内容。 此外,如果要迁移到 AD RMS,可以将此 TPD 文件 (以 ExportedTDP) 开头的文件导入 AD RMS 服务器。
步骤 4:持续:保护租户密钥
收到租户密钥后,请妥善保管它,因为如果有人访问它,他们可以解密使用该密钥加密的所有项。
如果导出租户密钥的原因是你不再想要使用 Azure Rights Management 服务,则最佳做法是,现在停用租户中的 Azure Rights Management 服务。 在收到租户密钥后不要这样做,因为此预防措施有助于在租户密钥被不应拥有租户密钥的人访问时,将后果降到最低。 有关说明,请参阅 停用和停用 Azure Rights Management 服务。
响应违规
任何安全系统(无论多么强大)都是完整的,没有违反响应过程。 Azure Rights Management 租户密钥可能已泄露或被盗。 即使它受到很好的保护,也可能会在当前一代密钥技术或当前密钥长度和算法中发现漏洞。
Microsoft有一个专门的团队来响应其产品和服务中的安全事件。 一旦有可信的事件报告,此团队就会参与调查范围、根本原因和缓解措施。 如果此事件影响资产,Microsoft将通过电子邮件通知租户的全局管理员。
如果你有违规行为,你或Microsoft可以采取的最佳措施取决于违规的范围;Microsoft通过此过程与你合作。 下表显示了一些典型情况和可能的反应,尽管确切的响应取决于调查期间显示的所有信息。
| 事件说明 | 可能响应 |
|---|---|
| Azure Rights Management 租户密钥泄露。 | 重新生成租户密钥的密钥。 请参阅本文中的 重新生成租户密钥 部分。 |
| 未经授权的个人或恶意软件有权使用 Azure Rights Management 租户密钥,但密钥本身未泄露。 | 重新生成租户密钥密钥并无济于事,需要根本原因分析。 如果进程或软件 bug 导致未经授权的个人获取访问权限,则必须解决这种情况。 |
| 在 RSA 算法中发现的漏洞、密钥长度或暴力攻击在计算上变得可行。 | Microsoft必须更新 Azure Rights Management 服务,以支持可复原的新算法和更长的密钥长度,并指示所有客户重新生成其 Azure Rights Management 租户密钥的密钥。 |