Microsoft 관리: 테넌트 키 수명 주기 작업
참고 항목
이전 명칭 MIP(Microsoft Information Protection)인 Microsoft Purview Information Protection을 찾고 계신가요?
Azure Information Protection 추가 기능은 사용 중지되고 Microsoft 365 앱 및 서비스에 기본 제공되는 레이블 로 대체됩니다. 다른 Azure Information Protection 구성 요소의 지원 상태 대해 자세히 알아봅니다.
Microsoft Purview Information Protection 클라이언트(추가 기능 제외)는 일반적으로 사용할 수 있습니다.
Microsoft가 Azure Information Protection(기본값)에 대한 테넌트 키를 관리하는 경우 이 토폴로지와 관련된 수명 주기 작업에 대한 자세한 내용은 다음 섹션을 사용합니다.
테넌트 키 해지
Azure Information Protection에 대한 구독을 취소하면 Azure Information Protection이 테넌트 키 사용을 중지하고 사용자에게서 아무런 조치도 필요하지 않습니다.
테넌트 키 키 다시 입력
키 다시 입력을 키 롤링이라고도 합니다. 이 작업을 수행하면 Azure Information Protection에서 기존 테넌트 키를 사용하여 문서 및 전자 메일을 보호하는 작업을 중지하고 다른 키를 사용하기 시작합니다. 정책 및 템플릿은 즉시 사임하지만 Azure Information Protection을 사용하는 기존 클라이언트 및 서비스에 대해서는 이 변경이 점진적으로 수행됩니다. 따라서 일부 새 콘텐츠는 이전 테넌트 키로 계속 보호됩니다.
키를 다시 입력하려면 테넌트 키 개체를 구성하고 사용할 대체 키를 지정해야 합니다. 그런 다음, 이전에 사용한 키는 Azure Information Protection에 대해 보관된 것으로 자동으로 표시됩니다. 이 구성을 사용하면 이 키를 사용하여 보호된 콘텐츠에 액세스할 수 기본.
Azure Information Protection의 키를 다시 입력해야 하는 경우의 예:
암호화 모드 1 키를 사용하여 AD RMS(Active Directory Rights Management Services)에서 마이그레이션했습니다. 마이그레이션이 완료되면 암호화 모드 2를 사용하는 키를 사용하도록 변경하려고 합니다.
회사에서 두 개 이상의 회사로 나뉘어 있습니다. 테넌트 키를 다시 입력하면 새 회사는 직원이 게시하는 새 콘텐츠에 액세스할 수 없습니다. 이전 테넌트 키의 복사본이 있는 경우 이전 콘텐츠에 액세스할 수 있습니다.
한 키 관리 토폴로지에서 다른 키 관리 토폴로지로 이동하려고 합니다.
테넌트 키의 마스터 복사본이 손상되었습니다.
키를 다시 입력하려면 다른 Microsoft 관리형 키를 선택하여 테넌트 키가 될 수 있지만 새 Microsoft 관리형 키를 만들 수는 없습니다. 새 키를 만들려면 키 토폴로지(BYOK)를 고객 관리형으로 변경해야 합니다.
AD RMS(Active Directory Rights Management Services)에서 마이그레이션하고 Azure Information Protection에 대한 Microsoft 관리형 키 토폴로지를 선택한 경우 둘 이상의 Microsoft 관리형 키가 있습니다. 이 시나리오에서는 테넌트에 대해 두 개 이상의 Microsoft 관리형 키가 있습니다. 한 가지 키 이상은 AD RMS에서 가져온 키 또는 키입니다. Azure Information Protection 테넌트에 대해 자동으로 만들어진 기본 키도 있습니다.
Azure Information Protection의 테넌트 키로 사용할 다른 키를 선택하려면 AIPService 모듈에서Set-AipServiceKeyProperties cmdlet을 사용합니다. Get-AipServiceKeys cmdlet을 사용하면 사용할 키를 식별하는 데 도움이 됩니다. 다음 명령을 실행하여 Azure Information Protection 테넌트에 대해 자동으로 만들어진 기본 키를 식별할 수 있습니다.
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
키 토폴로지를 고객 관리(BYOK)로 변경하려면 Azure Information Protection 테넌트 키 계획 및 구현을 참조하세요.
테넌트 키 백업 및 복구
Microsoft는 테넌트 키를 백업할 책임이 있으며 사용자의 조치가 필요하지 않습니다.
테넌트 키 내보내기
다음 세 단계의 지침에 따라 Azure Information Protection 구성 및 테넌트 키를 내보낼 수 있습니다.
1단계: 내보내기 시작
- azure Information Protection 키 내보내기 요청이 있는 Azure Information Protection 지원 사례를 열려면 Microsoft 지원 문의하세요. 테넌트에 대한 전역 관리자임을 증명해야 하며, 이 프로세스는 확인하는 데 며칠이 걸린다는 것을 알고 있어야 합니다. 표준 지원 요금이 적용됩니다. 테넌트 키를 내보내는 것은 무료 지원 서비스가 아닙니다.
2단계: 확인 대기
- Microsoft는 Azure Information Protection 테넌트 키 릴리스 요청이 합법적인지 확인합니다. 이 프로세스는 최대 3주가 걸릴 수 있습니다.
3단계: CSS에서 주요 지침 받기
Microsoft CSS(고객 지원 서비스)는 암호로 보호된 파일에서 암호화된 Azure Information Protection 구성 및 테넌트 키를 보냅니다. 이 파일의 확장명은 .tpd 입니다. 이를 위해 CSS는 먼저 전자 메일로 도구를 보냅니다(내보내기를 시작한 사람). 다음과 같이 명령 프롬프트에서 도구를 실행해야 합니다.
AadrmTpd.exe -createkey이렇게 하면 RSA 키 쌍이 생성되고 공용 및 프라이빗 반쪽이 현재 폴더에 파일로 저장됩니다. 예 PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt 및PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt.
CSS의 전자 메일에 응답하여 PublicKey로 시작하는 이름을 가진 파일을 첨부합니다. CSS는 다음으로 RSA 키로 암호화된 .xml 파일로 TPD 파일을 보냅니다. 원래 AadrmTpd 도구를 실행한 것과 동일한 폴더에 이 파일을 복사하고 PrivateKey로 시작하는 파일과 CSS의 파일을 사용하여 도구를 다시 실행합니다. 예시:
AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml이 명령의 출력은 두 개의 파일이어야 합니다. 하나는 암호로 보호된 TPD에 대한 일반 텍스트 암호를 포함하고 다른 하나는 암호로 보호된 TPD 자체입니다. 파일에는 다음과 같은 새 GUID가 있습니다.
Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt
ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml
이러한 파일을 백업하고 안전하게 저장하여 이 테넌트 키로 보호되는 콘텐츠의 암호를 계속 해독할 수 있도록 합니다. 또한 AD RMS로 마이그레이션하는 경우 이 TPD 파일(ExportedTDP로 시작하는 파일)을 AD RMS 서버로 가져올 수 있습니다.
4단계: 진행 중: 테넌트 키 보호
테넌트 키를 받은 후에는 잘 보호된 상태로 유지합니다. 누군가가 해당 키에 액세스하면 해당 키를 사용하여 보호되는 모든 문서의 암호를 해독할 수 있기 때문입니다.
테넌트 키를 내보내는 이유가 더 이상 Azure Information Protection을 사용하지 않기 때문인 경우 이제 Azure Information Protection 테넌트에서 Azure Rights Management 서비스를 비활성화합니다. 테넌트 키를 수신한 후에는 테넌트 키를 받지 않아야 하는 누군가가 테넌트 키에 액세스하는 경우 결과를 최소화하는 데 도움이 되므로 이 작업을 지연하지 마세요. 지침은 Azure Rights Management 서비스 해제 및 비활성화를 참조하세요.
위반에 대응
보안 시스템이 아무리 강력하더라도 위반 대응 프로세스 없이는 완전하지 않습니다. 테넌트 키가 손상되거나 도난당할 수 있습니다. 잘 보호되는 경우에도 취약성은 현재 세대 키 기술 또는 현재 키 길이 및 알고리즘에서 찾을 수 있습니다.
Microsoft에는 제품 및 서비스의 보안 인시던트에 대응하는 전담 팀이 있습니다. 인시던트에 대한 신뢰할 수 있는 보고서가 있는 즉시 이 팀은 범위, 근본 원인 및 완화 방법을 조사합니다. 이 인시던트가 자산에 영향을 주는 경우 Microsoft는 전역 관리자에게 테넌트에 대해 이메일로 알립니다.
위반이 있는 경우 사용자 또는 Microsoft가 수행할 수 있는 최선의 조치는 위반 범위에 따라 달라집니다. Microsoft는 이 프로세스를 통해 사용자와 함께 작업합니다. 다음 표에서는 정확한 응답이 조사 중에 표시되는 모든 정보에 따라 달라지지만 몇 가지 일반적인 상황과 가능성이 있는 응답을 보여 줍니다.
| 인시던트 설명 | 응답 가능성이 높습니다. |
|---|---|
| 테넌트 키가 유출되었습니다. | 테넌트 키 키를 다시 입력합니다. 이 문서의 테넌트 키 다시 입력 섹션을 참조하세요. |
| 권한이 없는 개인 또는 맬웨어는 테넌트 키를 사용할 수 있는 권한을 얻었지만 키 자체는 누출되지 않았습니다. | 테넌트 키의 키를 다시 지정해도 도움이 되지 않으며 근본 원인 분석이 필요합니다. 프로세스 또는 소프트웨어 버그가 권한이 없는 개인에게 액세스 권한을 부여한 경우 해당 상황을 해결해야 합니다. |
| RSA 알고리즘 또는 키 길이 또는 무차별 암호 대입 공격에서 발견된 취약성은 계산적으로 실현 가능해집니다. | Microsoft는 복원력이 있는 새 알고리즘과 긴 키 길이를 지원하도록 Azure Information Protection을 업데이트하고 모든 고객에게 테넌트 키를 다시 입력하도록 지시해야 합니다. |