Informazioni sulle chiavi di disponibilità per Customer Key

La chiave di disponibilità è una chiave radice generata automaticamente quando si crea un criterio di crittografia dei dati (DEP). Microsoft 365 archivia e protegge questa chiave. A differenza delle chiavi gestite in Azure Key Vault, non è possibile accedervi direttamente. Solo il codice del servizio Microsoft 365 può usarlo a livello di codice.

Il suo scopo principale è il ripristino da una perdita imprevista delle chiavi radice. Se si perde il controllo delle chiavi, contattare supporto tecnico Microsoft per ripristinare i dati usando la chiave di disponibilità ed eseguire la migrazione a un nuovo DEP.

La chiave di disponibilità differisce dalle chiavi Azure Key Vault in tre modi:

• Ripristino: fornisce un'opzione break-glass se vengono persi entrambi i tasti Azure Key Vault
• Difesa approfondita: la separazione logica tra controllo e archiviazione impedisce la perdita totale da un singolo errore
• Disponibilità elevata: supporta interruzioni temporanee Azure Key Vault per Exchange/Multi-Workload (SharePoint/OneDrive lo usa solo durante le richieste di ripristino esplicite)

Si dispone dell'unica autorità per disabilitare o eliminare la chiave di disponibilità quando si esce dal servizio. Per ulteriori informazioni, visitare il Centro protezione Microsoft.

Usi della chiave di disponibilità

La chiave di disponibilità supporta il ripristino se un utente malintenzionato ottiene il controllo dell'insieme di credenziali delle chiavi o la gestione errata causa la perdita di chiave. Tutti i servizi condividono questi comportamenti:

• Ripristino: decrittografa i dati in modo da poter crittografare nuovamente con un nuovo DEP
• Solo a livello di codice: nessun accesso amministratore diretto; solo il codice del servizio può usarlo
• Non è un sostituto: le due chiavi cliente rimangono le radici di crittografia primaria

Comportamento specifico del servizio:

Exchange e multi-carico di lavoro

Oltre a supportare il ripristino, la chiave di disponibilità garantisce l'accesso continuo durante brevi interruzioni Azure Key Vault per operazioni in background, ad esempio analisi antimalware, eDiscovery, prevenzione della perdita dei dati, migrazioni delle cassette postali e indicizzazione.

Logica di fallback: se l'annullamento del wrapping ha esito negativo con una chiave del cliente, il servizio prova il secondo. Se entrambi hanno esito negativo con errori di sistema, vengono restituiti alla chiave di disponibilità. Gli errori di accesso negato non attivano il fallback per le azioni utente.

SharePoint e OneDrive

Non usato per la disponibilità temporanea. Usato solo quando si richiede esplicitamente il ripristino tramite supporto tecnico Microsoft.

Sicurezza della chiave di disponibilità

Microsoft protegge le chiavi di disponibilità negli archivi segreti interni controllati dall'accesso. I clienti non possono accedere direttamente alla chiave di disponibilità. È possibile eseguire il rollback delle chiavi gestite solo in Azure Key Vault. Tutte le operazioni vengono eseguite tramite codice di servizio automatizzato. Per altre informazioni, vedere Roll or rotate a Customer Key o a availability key(Roll or rotate a Customer Key o a availability key).

Archivi segreti chiave di disponibilità

Le operazioni di gestione richiedono l'escalation dei privilegi tramite Lockbox con giustificazione, approvazione del manager e revoche automatiche associate al tempo.

Carico di lavoro	Posizione di archiviazione
Exchange e multi-carico di lavoro	Archivio segreto di Exchange Active Directory in contenitori specifici del tenant
SharePoint e OneDrive	Archivio segreto interno con database SQL back-end; chiavi con wrapper con certificati AES-256/HMAC e RSA-2048

Difesa approfondita

Microsoft usa la difesa avanzata per proteggere le chiavi di disponibilità:

• Isolamento dell'applicazione: solo il codice del servizio Microsoft 365 può usare le chiavi per la crittografia/decrittografia
• Separazione logica: le chiavi del cliente, le chiavi di disponibilità e i dati dei clienti vengono archiviati in posizioni isolate
• Controlli di accesso: i tecnici non hanno accesso diretto agli archivi segreti (vedere Controlli di accesso amministrativi)
• Controlli tecnici: bloccare l'accesso interattivo agli account del servizio con privilegi
• Monitoraggio: rilevamento continuo delle intrusioni, registrazione centralizzata e avvisi per tentativi di accesso non autorizzati o deviazioni di base

Usare la chiave di disponibilità per recuperare da una perdita di chiave

Se si perde il controllo delle chiavi del cliente, la chiave di disponibilità consente di decrittografare i dati interessati e crittografarli nuovamente in un nuovo dep con nuove chiavi cliente.

Exchange e multi-carico di lavoro

1. Creare due nuove chiavi cliente in sottoscrizioni Azure separate.
2. Creare un nuovo DEP (Exchange o multi-carico di lavoro).
3. Assegnare dep a cassette postali o tenant interessati.
4. Consenti la crittografia in background (fino a 72 ore). La chiave di disponibilità protegge i dati durante la transizione.

SharePoint e OneDrive

1. Aprire una richiesta di supporto per attivare la chiave di disponibilità.
2. Creare due nuove chiavi cliente e un nuovo DEP di SharePoint/OneDrive.
3. Eseguire di nuovo l'onboarding con il nuovo DEP (ripristino tipico: circa 4 ore dopo l'attivazione, varia in base al numero di siti).

Come viene usata la chiave di disponibilità

Exchange e multi-carico di lavoro

Quando si crea un DEP, Microsoft 365 genera una chiave DEP crittografata tre volte: una volta con ogni chiave del cliente e una volta con la chiave di disponibilità. Vengono archiviate solo le versioni crittografate.

Flusso di decrittografia:

1. Decrittografare la chiave DEP usando una chiave del cliente.
2. Usare la chiave DEP per decrittografare la chiave cassetta postale/carico di lavoro.
3. Usare tale chiave per decrittografare e accedere ai dati.

SharePoint e OneDrive

SharePoint/OneDrive usa un'architettura diversa. Se abilitata, Microsoft 365 crea una chiave intermedia del tenant (TIK) crittografata due volte con le chiavi del cliente (più una copia con la chiave di disponibilità per il ripristino).

Gerarchia delle chiavi: TIK → chiavi del sito → chiavi BLOB → blocchi file (archiviati in Archiviazione BLOB di Azure)

Flusso di decrittografia:

1. Decrittografare il TIK con una chiave del cliente.
2. Usare tik per decrittografare una chiave del sito.
3. Usare la chiave del sito per decrittografare una chiave BLOB.
4. Usare la chiave BLOB per decrittografare il blocco di file.

Per le prestazioni, il servizio invia due richieste di decrittografia parallele; viene usato il primo esito positivo. I TIK decrittografati vengono memorizzati nella cache e aggiornati prima della scadenza. La chiave di disponibilità può decrittografare il TIK solo dopo aver richiesto in modo esplicito il ripristino tramite il supporto.

Nota

La chiave del cliente illustra i dati dei file di SharePoint in Archiviazione BLOB di Azure, non elenca gli elementi o i metadati in SQL. Customer Lockbox regola l'accesso umano.

Trigger della chiave di disponibilità

Exchange e multi-carico di lavoro

Quando Microsoft 365 necessita di una chiave DEP:

1. Legge il DEP per identificare entrambe le chiavi del cliente.
2. Seleziona in modo casuale una chiave e richiede Azure Key Vault di annullare il wrapping della chiave DEP.
3. In caso di errore, prova la chiave alternativa.
4. Se entrambi hanno esito negativo, valuta il tipo di errore:
   • Errori di sistema (Key Vault non disponibili, timeout, errori di rete): torna alla chiave di disponibilità.
   • Accesso negato (chiave eliminata, autorizzazioni rimosse): la richiesta utente ha esito negativo con errore (nessun fallback).

Importante

Le operazioni interne (spostamento delle cassette postali, indicizzazione, antivirus, eDiscovery, DLP) possono comunque tornare alla chiave di disponibilità quando entrambe le chiavi cliente non sono raggiungibili, indipendentemente dal tipo di errore, fino a quando non si elimina la chiave di disponibilità.

SharePoint e OneDrive

È necessario contattare supporto tecnico Microsoft per richiedere in modo esplicito una chiave di disponibilità da usare per il ripristino.

Log di controllo e chiave di disponibilità

L'elaborazione automatica in background non genera log visibili al cliente. Quando si usa la chiave di disponibilità, gli eventi di fallback creano voci del log di controllo unificato nel portale di Microsoft Purview:

• Tipo di record: CustomerKeyServiceEncryption
• Attività: Fallback alla chiave di disponibilità
• Campo carico di lavoro: Exchange o M365DataAtRestEncryption

I campi includono data, ora, ID organizzazione, ID DEP, ID criterio e ID richiesta (dettagli dello schema).

Nota

L'utilizzo della chiave di disponibilità di SharePoint non viene registrato finché il cliente non fornisce l'approvazione di Lockbox.

Chiave di disponibilità nella gerarchia chiave del cliente

La chiave di disponibilità esegue il wrapping del livello delle chiavi sottostanti nella gerarchia di crittografia. Algoritmi per servizio:

Servizio	Algoritmo
Exchange e multi-carico di lavoro	AES-256
SharePoint e OneDrive	RSA-2048

Crittografia delle crittografie per Exchange

Crittografia delle crittografie per SharePoint

Articoli correlati

• Crittografia del servizio con Customer Key

• Impostazione della chiave cliente

• Gestione della chiave cliente

• Implementare o distribuire una Customer Key o una chiave di disponibilità