Gestione della chiave radice per il servizio Azure Rights Management

Revocare la chiave del tenant

Quando si annulla l'unica o l'ultima sottoscrizione che include il servizio Azure Rights Management, il servizio smette di usare la chiave del tenant di Azure Rights Management e non è necessaria alcuna azione da parte dell'utente.

Reimpostare la chiave del tenant

La reimpostazione della chiave è nota anche come rollback della chiave. Quando si esegue questa operazione, il servizio Azure Rights Management smette di usare la chiave tenant esistente per crittografare gli elementi e inizia a usare una chiave diversa. I criteri e i modelli di rights management vengono immediatamente rassegnati, ma questa modifica è graduale per i client e i servizi esistenti che usano il servizio Azure Rights Management. Per qualche tempo, quindi, alcuni nuovi contenuti continuano a essere crittografati con la vecchia chiave del tenant di Azure Rights Management.

Per reimpostare la chiave, è necessario configurare l'oggetto chiave del tenant di Azure Rights Management e specificare la chiave alternativa da usare. La chiave usata in precedenza viene quindi contrassegnata automaticamente come archiviata per il servizio Azure Rights Management. Questa configurazione garantisce che il contenuto crittografato tramite questa chiave rimanga accessibile.

Esempi di quando potrebbe essere necessario reimpostare la chiave per il servizio Azure Rights Management:

• È stata eseguita la migrazione da Active Directory Rights Management Services (AD RMS) con una chiave della modalità crittografica 1. Al termine della migrazione, si vuole passare all'uso di una chiave che usa la modalità crittografica 2.

• La società si è divisa in due o più società. Quando si reimposta la chiave del tenant di Azure Rights Management, la nuova società non avrà accesso ai nuovi contenuti crittografate dai dipendenti. Possono accedere al contenuto precedente se hanno una copia della chiave del tenant di Azure Rights Management precedente.

• Si vuole passare da una topologia di gestione delle chiavi a un'altra.

• Si ritiene che la copia master della chiave del tenant di Azure Rights Management sia compromessa.

Per reimpostare la chiave, è possibile selezionare una chiave gestita da Microsoft diversa per diventare la chiave del tenant di Azure Rights Management, ma non è possibile creare una nuova chiave gestita da Microsoft. Per creare una nuova chiave, è necessario modificare la topologia della chiave in modo che sia gestita dal cliente (BYOK).

Si dispone di più di una chiave gestita da Microsoft se è stata eseguita la migrazione da Active Directory Rights Management Services (AD RMS) e si è scelta la topologia della chiave gestita da Microsoft per il servizio Azure Rights Management. In questo scenario sono disponibili almeno due chiavi gestite da Microsoft per il tenant. Una o più chiavi sono la chiave o le chiavi importate da AD RMS. Si avrà anche la chiave predefinita creata automaticamente per il tenant di Azure Rights Management.

Per selezionare una chiave diversa come chiave tenant attiva per il servizio Azure Rights Management, usare il cmdlet Set-AipServiceKeyProperties del modulo AIPService. Per identificare la chiave da usare, usare il cmdlet Get-AipServiceKeys . È possibile identificare la chiave predefinita creata automaticamente per il tenant di Azure Rights Management eseguendo il comando seguente:

(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1

Per modificare la topologia della chiave in modo che sia gestita dal cliente (BYOK), vedere Bring your own key for the Azure Rights Management service root key (Bring your own key for the Azure Rights Management service root key).

Eseguire il backup e ripristinare la chiave del tenant

Microsoft è responsabile del backup della chiave del tenant di Azure Rights Management e non è necessaria alcuna azione da parte dell'utente.

Esportare la chiave del tenant

È possibile esportare la configurazione del servizio Azure Rights Management e la chiave del tenant corrispondente seguendo le istruzioni nei tre passaggi seguenti:

Passaggio 1: Avviare l'esportazione

• Contattare supporto tecnico Microsoft per aprire un caso di supporto Microsoft Purview Information Protection con una richiesta di esportazione della chiave di Azure Rights Management. È necessario dimostrare di essere un amministratore globale per il tenant e comprendere che questo processo richiede diversi giorni per la conferma. Standard si applicano addebiti per il supporto. L'esportazione della chiave del tenant non è un servizio di supporto gratuito.

Passaggio 2: Attendere la verifica

• Microsoft verifica che la richiesta di rilasciare la chiave del tenant di Azure Rights Management sia legittima. Questo processo può richiedere fino a tre settimane.

Passaggio 3: Ricevere istruzioni chiave da CSS

• Il Servizio Supporto Tecnico Clienti Microsoft invia la configurazione del servizio Azure Rights Management e la chiave del tenant crittografata in un file protetto da password. Questo file ha un'estensione tpd . A tale scopo, un tecnico del supporto Tecnico Microsoft invia innanzitutto uno strumento (come persona che ha avviato l'esportazione) tramite posta elettronica. È necessario eseguire lo strumento da un prompt dei comandi come indicato di seguito:

  AadrmTpd.exe -createkey
  

  In questo modo viene generata una coppia di chiavi RSA e vengono salvate le metà pubblica e privata come file nella cartella corrente. Ad esempio: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt e PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.

  Rispondere al messaggio di posta elettronica dal tecnico del supporto tecnico allegando il file con un nome che inizia con PublicKey. supporto tecnico Microsoft successivo invia un file TPD come file .xml crittografato con la chiave RSA. Copiare questo file nella stessa cartella in cui è stato eseguito lo strumento AadrmTpd in origine ed eseguire di nuovo lo strumento, usando il file che inizia con PrivateKey e il file da supporto tecnico Microsoft. Ad esempio:

  AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
  

  L'output di questo comando deve essere costituito da due file: uno contiene la password di testo normale per il TPD protetto da password e l'altro è il TPD protetto da password stesso. I file hanno un nuovo GUID, ad esempio:

  • Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt

  • ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml

    Eseguire il backup di questi file e archiviarli in modo sicuro per assicurarsi di poter continuare a decrittografare il contenuto crittografato con questa chiave tenant. Inoltre, se si esegue la migrazione ad AD RMS, è possibile importare questo file TPD (il file che inizia con ExportedTDP) nel server AD RMS.

Passaggio 4: In corso: Proteggere la chiave del tenant

Dopo aver ricevuto la chiave del tenant, mantenerla ben sorvegliata, perché se qualcuno può accedervi, può decrittografare tutti gli elementi crittografati usando tale chiave.

Se il motivo per esportare la chiave del tenant è che non si vuole più usare il servizio Azure Rights Management, come procedura consigliata, disattivare il servizio Azure Rights Management nel tenant. Non eseguire questa operazione dopo aver ricevuto la chiave del tenant perché questa precauzione consente di ridurre al minimo le conseguenze se la chiave del tenant è accessibile a qualcuno che non dovrebbe averlo. Per istruzioni, vedere Rimuovere le autorizzazioni e disattivare il servizio Azure Rights Management.

Rispondere a una violazione

Nessun sistema di sicurezza, per quanto forte, è completo senza un processo di risposta alle violazioni. La chiave del tenant di Azure Rights Management potrebbe essere compromessa o rubata. Anche quando è protetto correttamente, le vulnerabilità possono essere rilevate nella tecnologia chiave di generazione corrente o nelle lunghezze e negli algoritmi di chiave correnti.

Microsoft dispone di un team dedicato per rispondere agli eventi imprevisti di sicurezza nei propri prodotti e servizi. Non appena viene visualizzato un report credibile di un evento imprevisto, questo team si impegna a analizzare l'ambito, la causa radice e le mitigazioni. Se questo evento imprevisto influisce sugli asset, Microsoft notificherà agli amministratori globali per il tenant tramite posta elettronica.

In caso di violazione, l'azione migliore che l'utente o Microsoft può intraprendere dipende dall'ambito della violazione; Microsoft collabora con l'utente tramite questo processo. La tabella seguente illustra alcune situazioni tipiche e la risposta probabile, anche se la risposta esatta dipende da tutte le informazioni rivelate durante l'indagine.

Revocare la chiave del tenant

Esistono pochissimi scenari in cui potrebbe essere necessario revocare la chiave di Azure Rights Management invece di reimpostare la chiave. Quando si revoca la chiave di Azure Rights Management, tutto il contenuto crittografato dal tenant usando tale chiave diventerà inaccessibile a tutti (inclusi Microsoft, gli amministratori globali e gli utenti con privilegi avanzati) a meno che non si disponga di un backup della chiave che è possibile ripristinare. Dopo aver revocato la chiave, non sarà possibile crittografare nuovi contenuti fino a quando non si crea e si configura una nuova chiave del tenant di Azure Rights Management.

Per revocare la chiave del tenant di Azure Rights Management gestita dal cliente, in Azure Key Vault modificare le autorizzazioni nell'insieme di credenziali delle chiavi che contiene la chiave del tenant di Azure Rights Management in modo che il servizio Azure Rights Management non possa più accedere alla chiave. Questa azione revoca in modo efficace la chiave del tenant di Azure Rights Management per il servizio di crittografia.

Quando si annulla l'unica sottoscrizione o l'ultima sottoscrizione che include il servizio Azure Rights Management, viene interrotta l'uso della chiave del tenant di Azure Rights Management e non è necessaria alcuna azione da parte dell'utente.

Reimpostare la chiave del tenant

La reimpostazione della chiave è nota anche come rollback della chiave. Quando si esegue questa operazione, il servizio Azure Rights Management smette di usare la chiave tenant esistente per crittografare gli elementi e inizia a usare una chiave diversa. I criteri e i modelli di rights management vengono immediatamente rassegnati, ma questa modifica è graduale per i client e i servizi esistenti che usano il servizio Azure Rights Management. Per qualche tempo, quindi, alcuni nuovi contenuti continuano a essere crittografati con la vecchia chiave del tenant di Azure Rights Management.

Per reimpostare la chiave, è necessario configurare l'oggetto chiave del tenant di Azure Rights Management e specificare la chiave alternativa da usare. La chiave usata in precedenza viene quindi contrassegnata automaticamente come archiviata per il servizio Azure Rights Management. Questa configurazione garantisce che il contenuto crittografato tramite questa chiave rimanga accessibile.

Esempi di quando potrebbe essere necessario reimpostare la chiave per il servizio Azure Rights Management:

• La società si è divisa in due o più società. Quando si reimposta la chiave del tenant di Azure Rights Management, la nuova società non avrà accesso ai nuovi contenuti crittografate dai dipendenti. Possono accedere al contenuto precedente se hanno una copia della chiave del tenant di Azure Rights Management precedente.

• Si vuole passare da una topologia di gestione delle chiavi a un'altra.

• Si ritiene che la copia master della chiave del tenant di Azure Rights Management (la copia in proprio possesso) sia compromessa.

Per reimpostare un'altra chiave gestita, è possibile creare una nuova chiave in Azure Key Vault o usare una chiave diversa già presente in Azure Key Vault. Seguire quindi le stesse procedure eseguite per implementare BYOK per il servizio Azure Rights Management.

1. Solo se la nuova chiave si trova in un insieme di credenziali delle chiavi diverso da quello già usato per il servizio Azure Rights Management: autorizzare il servizio Azure Rights Management a usare l'insieme di credenziali delle chiavi usando il cmdlet Set-AzKeyVaultAccessPolicy .

2. Se il servizio Azure Rights Management non è già a conoscenza della chiave che si vuole usare, eseguire il cmdlet Use-AipServiceKeyVaultKey .

3. Configurare l'oggetto chiave del tenant di Azure Rights Management usando il cmdlet Set-AipServiceKeyProperties .

Per altre informazioni su ognuno di questi passaggi:

• Per rieseguire la chiave a un'altra chiave gestita, vedere Bring your own key for the Azure Rights Management service root key (Bring your own key for the Azure Rights Management service root key).

  Se si sta reimpostando una chiave protetta da HSM creata in locale e trasferita in Key Vault, è possibile usare lo stesso mondo di sicurezza e le stesse schede di accesso usate per la chiave corrente.

• Per reimpostare la chiave, passando a una chiave gestita automaticamente da Microsoft, vedere la sezione Reimpostare la chiave del tenant per le operazioni gestite da Microsoft.

Eseguire il backup e ripristinare la chiave del tenant

Poiché si gestisce la chiave del tenant, è necessario eseguire il backup della chiave usata dal servizio Azure Rights Management.

Se la chiave del tenant di Azure Rights Management è stata generata in locale, in un modulo di protezione hardware nCipher: per eseguire il backup della chiave, eseguire il backup del file di chiave con token, del file globale e delle schede di amministratore. Quando si trasferisce la chiave in Azure Key Vault, il servizio salva il file di chiave con token per proteggersi dagli errori di tutti i nodi del servizio. Questo file è associato al mondo della sicurezza per l'istanza o l'area di Azure specifica. Tuttavia, non considerare questo file di chiave con token un backup completo. Ad esempio, se è necessaria una copia in testo normale della chiave da usare all'esterno di un modulo di protezione hardware nCipher, Azure Key Vault non può recuperarla automaticamente, perché ha solo una copia non recuperabile.

Azure Key Vault dispone di un cmdlet di backup che è possibile usare per eseguire il backup di una chiave scaricandola e archiviandola in un file. Poiché il contenuto scaricato è crittografato, non può essere usato all'esterno di Azure Key Vault.

Esportare la chiave del tenant

Se si usa BYOK, non è possibile esportare la chiave del tenant di Azure Rights Management da Azure Key Vault o dal servizio Azure Rights Management. La copia in Azure Key Vault non è recuperabile.

Rispondere a una violazione

Nessun sistema di sicurezza, per quanto forte, è completo senza un processo di risposta alle violazioni. La chiave del tenant di Azure Rights Management potrebbe essere compromessa o rubata. Anche quando è protetto correttamente, le vulnerabilità possono essere rilevate nella tecnologia chiave di generazione corrente o nelle lunghezze e negli algoritmi di chiave correnti.

Microsoft dispone di un team dedicato per rispondere agli eventi imprevisti di sicurezza nei propri prodotti e servizi. Non appena viene visualizzato un report credibile di un evento imprevisto, questo team si impegna a analizzare l'ambito, la causa radice e le mitigazioni. Se questo evento imprevisto influisce sugli asset, Microsoft invia una notifica tramite posta elettronica agli amministratori globali del tenant.

In caso di violazione, l'azione migliore che l'utente o Microsoft può intraprendere dipende dall'ambito della violazione; Microsoft collabora con l'utente tramite questo processo. La tabella seguente illustra alcune situazioni tipiche e la risposta probabile, anche se la risposta esatta dipende da tutte le informazioni rivelate durante l'indagine.