Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A chave de inquilino do Azure Rights Management é a chave raiz da sua organização para o serviço de encriptação principal para Proteção de Informações do Microsoft Purview. Outras chaves podem ser derivadas desta chave de raiz, incluindo chaves de utilizador, chaves de computador ou chaves de encriptação de documentos. Sempre que o serviço Azure Rights Management utiliza estas chaves para a sua organização, encadeia criptograficamente a chave raiz do seu inquilino para o serviço Azure Rights Management.
Além da chave de raiz do inquilino, a sua organização pode exigir segurança no local para documentos específicos. Normalmente, a encriptação de chaves no local é necessária apenas para uma pequena quantidade de conteúdo e, por conseguinte, é configurada juntamente com uma chave de raiz de inquilino.
Utilize as secções seguintes para compreender as opções da sua chave de inquilino do Azure Rights Management e como geri-la.
Se estiver a migrar entre inquilinos, como após uma fusão da empresa, recomendamos que leia a nossa publicação de blogue sobre fusões e spin-offs para obter mais informações.
Tipos de chave para o serviço
A chave de raiz do serviço Azure Rights Management pode ser:
- Gerado pela Microsoft
- Gerado por clientes com Bring Your Own Key (BYOK)
Se tiver conteúdos altamente confidenciais que necessitem de proteção adicional no local, recomendamos que utilize a Encriptação de Chave Dupla (DKE).
Chave de raiz do inquilino gerada pela Microsoft
A chave raiz predefinida, gerada automaticamente pela Microsoft, é a chave predefinida utilizada exclusivamente para o serviço Azure Rights Management para gerir a maioria dos aspetos do ciclo de vida da chave de inquilino.
Continue a utilizar a chave Microsoft predefinida quando quiser utilizar o serviço Azure Rights Management rapidamente e sem hardware, software ou uma subscrição do Azure especiais. Os exemplos incluem testar ambientes ou organizações sem requisitos regulamentares para a gestão de chaves.
Para a chave predefinida, não são necessários passos de configuração.
Observação
A chave raiz predefinida gerada pela Microsoft é a opção mais simples com os custos administrativos mais baixos.
Na maioria dos casos, poderá nem saber que tem uma chave de inquilino, uma vez que pode configurar definições de encriptação para Proteção de Informações do Microsoft Purview e o processo de gestão de chaves é processado pela Microsoft.
Opção Bring Your Own Key (BYOK)
O BYOK utiliza chaves criadas pelos clientes, quer no Azure Key Vault quer no local na organização do cliente. Em seguida, estas chaves são transferidas para o Azure Key Vault para uma gestão mais aprofundada.
Utilize o BYOK quando a sua organização tiver regulamentos de conformidade para a geração de chaves, incluindo o controlo sobre todas as operações do ciclo de vida. Por exemplo, quando a chave tem de ser protegida por um módulo de segurança de hardware.
Para obter mais informações, veja Configurar BYOK.
Criptografia de Chave Dupla (DKE)
O DKE fornece segurança adicional para o seu conteúdo através de duas chaves de raiz que funcionam em conjunto: uma criada e mantida pela Microsoft no Azure e outra criada e mantida no local pelo cliente.
O DKE requer que ambas as chaves acedam a conteúdos encriptados, o que garante que a Microsoft e outros terceiros nunca têm acesso aos dados encriptados por si próprios.
O DKE pode ser implementado na cloud ou no local, proporcionando total flexibilidade para localizações de armazenamento.
Para obter mais informações, veja Encriptação de chave dupla.
Operações para a sua chave de inquilino
Consoante o tipo de chave de serviço do Azure Rights Management, tem diferentes níveis de controlo e responsabilidade pela sua chave de inquilino do Azure Rights Management.
Terminologia para operações de gestão de chaves:
- Quando utiliza uma chave de inquilino gerada pela Microsoft, a chave é gerida pela Microsoft.
- Quando utiliza uma chave no Azure Key Vault que gerou com o BYOK, a chave é gerida pelo cliente.
Utilize a tabela seguinte para identificar as operações de gestão que pode fazer, consoante a chave de inquilino do Azure Rights Management seja gerida pela Microsoft ou gerida pelo cliente:
| Operação do ciclo de vida | Gerido pela Microsoft (predefinição) | Gerido pelo cliente (BYOK) |
|---|---|---|
| Revogar a chave de inquilino | ✕ (automático) | ✓ |
| Recodificar a chave de inquilino | ✓ | ✓ |
| Criar cópias de segurança e recuperar a chave de inquilino | ✕ | ✓ |
| Exportar a chave de inquilino | ✓ | ✕ |
| Responder a uma falha de segurança | ✓ | ✓ |
Para obter mais informações sobre cada uma destas operações, utilize o separador relevante para o tipo de chave de inquilino.
No entanto, se quiser criar uma chave de inquilino do Azure Rights Management ao importar um domínio de publicação fidedigno (TPD) dos Serviços de Gestão de Direitos do Active Directory, esta operação de importação faz parte da migração do AD RMS para o Azure Proteção de Informações. Como parte da estrutura, um TPD do AD RMS só pode ser importado para um inquilino.
Revogar a chave de inquilino
Quando cancela a única ou última subscrição que inclui o serviço Azure Rights Management, o serviço deixa de utilizar a chave de inquilino do Azure Rights Management e não é necessária qualquer ação por parte do utilizador.
Recodificar a chave de inquilino
A recodificação também é conhecida como implementar a chave. Quando efetua esta operação, o serviço Azure Rights Management deixa de utilizar a chave de inquilino existente para encriptar itens e começa a utilizar uma chave diferente. As políticas e os modelos de gestão de direitos são imediatamente resignados, mas esta transição é gradual para clientes e serviços existentes que utilizam o serviço Azure Rights Management. Por isso, durante algum tempo, alguns conteúdos novos continuam a ser encriptados com a antiga chave de inquilino do Azure Rights Management.
Para recodificar, tem de configurar o objeto de chave de inquilino do Azure Rights Management e especificar a chave alternativa a utilizar. Em seguida, a chave utilizada anteriormente é marcada automaticamente como arquivada para o serviço Azure Rights Management. Esta configuração garante que o conteúdo que foi encriptado através desta chave permanece acessível.
Exemplos de quando poderá ter de efetuar a recodificação do serviço Azure Rights Management:
Migrou dos Serviços de Gestão de Direitos do Active Directory (AD RMS) com uma chave de modo criptográfico 1. Quando a migração estiver concluída, quer mudar para utilizar uma chave que utilize o modo criptográfico 2.
A sua empresa dividiu-se em duas ou mais empresas. Quando recodifica a chave de inquilino do Azure Rights Management, a nova empresa não terá acesso a novos conteúdos encriptados pelos seus funcionários. Podem aceder ao conteúdo antigo se tiverem uma cópia da antiga chave de inquilino do Azure Rights Management.
Quer passar de uma topologia de gestão de chaves para outra.
Acredita que a cópia master da sua chave de inquilino do Azure Rights Management está comprometida.
Para recodificar, pode selecionar uma chave gerida pela Microsoft diferente para se tornar a sua chave de inquilino do Azure Rights Management, mas não pode criar uma nova chave gerida pela Microsoft. Para criar uma nova chave, tem de alterar a topologia chave para ser gerida pelo cliente (BYOK).
Tem mais do que uma chave gerida pela Microsoft se tiver migrado dos Serviços de Gestão de Direitos do Active Directory (AD RMS) e tiver escolhido a topologia de chave gerida pela Microsoft para o serviço Azure Rights Management. Neste cenário, tem, pelo menos, duas chaves geridas pela Microsoft para o seu inquilino. Uma chave, ou mais, é a chave ou chaves que importou do AD RMS. Também terá a chave predefinida que foi criada automaticamente para o seu inquilino do Azure Rights Management.
Para selecionar uma chave diferente para ser a sua chave de inquilino ativa para o serviço Azure Rights Management, utilize o cmdlet Set-AipServiceKeyProperties do módulo AIPService. Para ajudar a identificar a chave a utilizar, utilize o cmdlet Get-AipServiceKeys . Pode identificar a chave predefinida que foi criada automaticamente para o inquilino do Azure Rights Management ao executar o seguinte comando:
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
Para alterar a topologia-chave para ser gerida pelo cliente (BYOK), veja Bring your own key for the Azure Rights Management service root key (Traga a sua própria chave para a chave de raiz do serviço Azure Rights Management).
Criar cópias de segurança e recuperar a chave de inquilino
A Microsoft é responsável por fazer uma cópia de segurança da sua chave de inquilino do Azure Rights Management e não é necessária qualquer ação da sua parte.
Exportar a chave de inquilino
Pode exportar a configuração do serviço Azure Rights Management e a chave de inquilino correspondente ao seguir as instruções nos três passos seguintes:
Passo 1: iniciar a exportação
- Contacte Suporte da Microsoft para abrir um pedido de suporte Proteção de Informações do Microsoft Purview com um pedido de exportação da chave do Azure Rights Management. Tem de provar que é um administrador global do seu inquilino e compreender que este processo demora vários dias a ser confirmado. Standard os custos de suporte são aplicáveis; a exportação da chave de inquilino não é um serviço de suporte gratuito.
Passo 2: aguarde pela verificação
- A Microsoft verifica se o seu pedido para libertar a chave de inquilino do Azure Rights Management é legítimo. Este processo pode demorar até três semanas.
Passo 3: Receber instruções importantes do CSS
Os Serviços de Suporte ao Cliente da Microsoft enviam-lhe a configuração do serviço Azure Rights Management e a chave de inquilino encriptadas num ficheiro protegido por palavra-passe. Este ficheiro tem uma extensão de nome de ficheiro .tpd . Para tal, um engenheiro de suporte da Microsoft envia-lhe primeiro (como a pessoa que iniciou a exportação) uma ferramenta por e-mail. Tem de executar a ferramenta a partir de uma linha de comandos da seguinte forma:
AadrmTpd.exe -createkeyIsto gera um par de chaves RSA e guarda as metades públicas e privadas como ficheiros na pasta atual. Por exemplo: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt e PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.
Responda ao e-mail do engenheiro de suporte, anexando o ficheiro que tem um nome que começa com PublicKey. Suporte da Microsoft seguinte, envia-lhe um ficheiro TPD como um ficheiro .xml encriptado com a sua chave RSA. Copie este ficheiro para a mesma pasta que executou originalmente a ferramenta AadrmTpd e execute a ferramenta novamente, utilizando o ficheiro que começa com PrivateKey e o ficheiro de Suporte da Microsoft. Por exemplo:
AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xmlO resultado deste comando deve ser dois ficheiros: um contém a palavra-passe de texto simples para o TPD protegido por palavra-passe e o outro é o próprio TPD protegido por palavra-passe. Os ficheiros têm um novo GUID, por exemplo:
Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt
ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml
Faça uma cópia de segurança destes ficheiros e armazene-os em segurança para garantir que pode continuar a desencriptar conteúdo encriptado com esta chave de inquilino. Além disso, se estiver a migrar para o AD RMS, pode importar este ficheiro TPD (o ficheiro que começa com ExportedTDP) para o servidor do AD RMS.
Passo 4: Contínuo: Proteger a sua chave de inquilino
Depois de receber a sua chave de inquilino, mantenha-a bem guardada, uma vez que, se alguém tiver acesso à mesma, pode desencriptar todos os itens encriptados através dessa chave.
Se o motivo para exportar a chave de inquilino for porque já não quer utilizar o serviço Azure Rights Management, como melhor prática, desative agora o serviço Azure Rights Management no seu inquilino. Não o faça depois de receber a sua chave de inquilino porque esta precaução ajuda a minimizar as consequências se a sua chave de inquilino for acedida por alguém que não a deve ter. Para obter instruções, veja Desativar e desativar o serviço Azure Rights Management.
Responder a uma falha de segurança
Nenhum sistema de segurança, por mais forte que seja, é concluído sem um processo de resposta a violações. A chave de inquilino do Azure Rights Management pode estar comprometida ou roubada. Mesmo quando está bem protegido, podem ser encontradas vulnerabilidades na tecnologia de chave de geração atual ou nos algoritmos e comprimentos de chave atuais.
A Microsoft tem uma equipa dedicada para responder a incidentes de segurança nos seus produtos e serviços. Assim que houver um relatório credível de um incidente, esta equipa envolve-se para investigar o âmbito, a causa raiz e as mitigações. Se este incidente afetar os seus recursos, a Microsoft notificará os administradores globais do seu inquilino por e-mail.
Se tiver uma falha de segurança, a melhor ação que o utilizador ou a Microsoft podem tomar depende do âmbito da violação; A Microsoft trabalha consigo através deste processo. A tabela seguinte mostra algumas situações típicas e a resposta provável, embora a resposta exata dependa de todas as informações que são reveladas durante a investigação.
| Descrição do incidente | Resposta provável |
|---|---|
| A chave de inquilino do Azure Rights Management foi vazada. | Recodifice a chave de inquilino. Veja a secção Recodificar a chave de inquilino neste artigo. |
| Um indivíduo ou software maligno não autorizado obteve direitos para utilizar a sua chave de inquilino do Azure Rights Management, mas a chave em si não vazou. | A recodificação da chave de inquilino não ajuda aqui e requer uma análise da causa raiz. Se um erro de processo ou software tiver sido responsável pelo acesso da pessoa não autorizada, essa situação tem de ser resolvida. |
| A vulnerabilidade detetada no algoritmo RSA, no comprimento da chave ou nos ataques de força bruta torna-se computacionalmente viável. | A Microsoft tem de atualizar o serviço Azure Rights Management para suportar novos algoritmos e comprimentos de chave mais longos que sejam resilientes e instruir todos os clientes a recodificar a chave de inquilino do Azure Rights Management. |