Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Attenzione
Eseguire il rollback di una chiave di crittografia usata con la chiave del cliente solo se richiesto dai criteri di sicurezza o conformità dell'organizzazione.
Non eliminare o disabilitare le chiavi, incluse le versioni precedenti, associate o associate ai criteri di crittografia di SharePoint .
Ad esempio:
- SharePoint mantiene il contenuto di backup per il ripristino e il ripristino, che potrebbe anche basarsi su chiavi meno recenti.
Prerequisiti
Prima di eseguire il rollback o la rotazione dei tasti, assicurarsi di avere:
- Autorizzazioni: Amministratore globale o autorizzazioni di Exchange appropriate
-
Moduli di PowerShell installati:
- Azure PowerShell per le operazioni di Azure Key Vault
- Exchange Online PowerShell per eseguire i cmdlet specificati
- Accesso a Azure Key Vault: è necessario disporre delle autorizzazioni per creare nuove versioni delle chiavi negli insiemi di credenziali delle chiavi
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.
Riferimento rapido: Comandi per carico di lavoro
Usare la tabella seguente per trovare rapidamente il comando necessario in base al carico di lavoro e allo scenario.
| Carico di lavoro | Scenario | Comando |
|---|---|---|
| Multi-carico di lavoro | Aggiornare DEP con la nuova versione della chiave | Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Refresh |
| Multi-carico di lavoro | Sostituire le chiavi in DEP | Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Replace -AzureKeyIDs <KeyURI1>,<KeyURI2> |
| Exchange | Aggiornare DEP con la nuova versione della chiave | Set-DataEncryptionPolicy -Identity <Policy> -Refresh |
| Exchange | Sostituire le chiavi in DEP | Set-DataEncryptionPolicy -Identity <Policy> -Replace -AzureKeyIDs <KeyURI1>,<KeyURI2> |
| SharePoint/OneDrive | Roll/Rotate a key | Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <Name> -KeyName <Name> -KeyVersion <Version> -KeyType <Primary \| Secondary> |
| SharePoint/OneDrive | Controllare lo stato di avanzamento del roll | Get-SPODataEncryptionPolicy <SPOAdminSiteUrl> |
| Azure Key Vault | Creare una nuova versione della chiave | Add-AzKeyVaultKey -VaultName <VaultName> -Name <KeyName> -Destination HSM -KeyOps @('wrapKey','unwrapKey') |
Scegliere il metodo di distribuzione dei tasti
Esistono due modi per eseguire il rollback delle chiavi radice gestite dal cliente. Usare queste indicazioni per determinare il metodo più adatto allo scenario.
| Metodo | Quando si usano | Effetto |
|---|---|---|
| Aggiornare la chiave esistente (creare una nuova versione) | Rotazione della chiave di routine; gestione dello stesso nome di chiave | Crea una nuova versione della chiave esistente. Dep fa riferimento allo stesso nome di chiave, ma usa la nuova versione dopo l'aggiornamento. |
| Sostituire con una nuova chiave | Chiave compromessa; modifica dell'insieme di credenziali delle chiavi; ristrutturazione organizzativa | Crea una chiave completamente nuova con un nuovo nome. Il DEP viene aggiornato per fare riferimento ai nuovi URI della chiave. |
Informazioni sull'implementazione della chiave di disponibilità
Non è possibile eseguire direttamente il rollback della chiave di disponibilità. È possibile eseguire il rollback delle chiavi gestite solo in Azure Key Vault.
Microsoft 365 esegue il rollback automatico delle chiavi di disponibilità in base a una pianificazione interna senza contratto di servizio per i clienti. Gli amministratori non hanno accesso diretto all'archivio chiavi. Per altre informazioni, vedere Informazioni sulla chiave di disponibilità.
Importante
Per Exchange, la creazione di un nuovo DEP esegue in modo efficace il rollback della chiave di disponibilità poiché ogni nuovo criterio di crittografia dei dati genera una chiave di disponibilità univoca.
Per SharePoint e OneDrive, le chiavi di disponibilità vengono create a livello di foresta e condivise tra i punti di distribuzione. Queste chiavi vengono implementate solo in base alla pianificazione interna di Microsoft, ma SharePoint, OneDrive e Teams eseguono il rollback della chiave intermedia del tenant (TIK) con ogni nuovo DEP per mitigare questo problema.
Eseguire il rollback delle chiavi radice gestite dal cliente
Metodo 1: Aggiornare una chiave esistente (creare una nuova versione)
Utilizzare questo metodo per creare una nuova versione di una chiave esistente. Questo approccio è consigliato per le rotazioni delle chiavi di routine.
Passaggio 1: Creare una nuova versione della chiave in Azure Key Vault
Per richiedere una nuova versione di una chiave esistente, usare il Add-AzKeyVaultKey cmdlet con lo stesso nome di chiave usato durante la creazione della chiave originale.
Accedere alla sottoscrizione di Azure con Azure PowerShell. Per istruzioni, vedere Accedere con Azure PowerShell.
Eseguire il
Add-AzKeyVaultKeycmdlet :Add-AzKeyVaultKey -VaultName <VaultName> -Name <KeyName> -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date)Esempio:
Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")In questo esempio esiste già una chiave denominata Contoso-CK-EX-NA-VaultA1-Key001 nell'insieme di credenziali Contoso-CK-EX-NA-VaultA1. Il cmdlet crea una nuova versione della chiave. Le versioni precedenti vengono mantenute nella cronologia delle versioni della chiave.
Ripetere questo passaggio in ogni Azure Key Vault contenente le chiavi da eseguire.
Passaggio 2: Aggiornare dep per usare la nuova versione della chiave
Dopo aver creato una nuova versione della chiave, aggiornare dep per usarla. Connettersi a Exchange Online PowerShell con le autorizzazioni appropriate, quindi eseguire il cmdlet appropriato:
Per i criteri di distribuzione multi-carico di lavoro:
Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Refresh
Per i criteri di accesso di Exchange:
Set-DataEncryptionPolicy -Identity <Policy> -Refresh
Nota
La DataEncryptionPolicyID proprietà rimane invariata durante l'aggiornamento con una nuova versione della stessa chiave. Questa azione non ruota la chiave di disponibilità.
Per i criteri di distribuzione di SharePoint e OneDrive:
SharePoint supporta il rollback di una sola chiave alla volta. Attendere il completamento della prima operazione prima di eseguire il rollback di un secondo tasto.
Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <Name> -KeyName <Name> -KeyVersion <Version> -KeyType <Primary | Secondary>
Per le chiavi HSM gestite, usare -KeyVaultURL invece di -KeyVaultName.
Per verificare lo stato di avanzamento: Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>
Metodo 2: Sostituire le chiavi con le chiavi appena generate
Utilizzare questo metodo per sostituire completamente le chiavi esistenti con nuove chiavi.
Importante
Mantenere abilitate e accessibili le chiavi precedenti fino al completamento completo del processo di sostituzione.
Connettersi a Exchange Online PowerShell con le autorizzazioni appropriate, quindi eseguire il cmdlet appropriato:
Per i criteri di accesso di Exchange:
Set-DataEncryptionPolicy -Identity <Policy> -Replace -AzureKeyIDs <KeyURI1>,<KeyURI2>
Per i criteri di distribuzione multi-carico di lavoro:
Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Replace -AzureKeyIDs <KeyURI1>,<KeyURI2>
Nota
L'ordine degli URI chiave non è importante. Per sostituire una sola chiave, è comunque necessario specificare entrambi gli URI. Attendere 24 ore prima di disabilitare le chiavi precedenti e quindi altre 24-48 ore prima dell'eliminazione.
Verificare lo stato del roll della chiave
Usare i comandi seguenti per verificare lo stato delle operazioni di rolling delle chiavi.
| Carico di lavoro | Comando di verifica |
|---|---|
| SharePoint/OneDrive | Get-SPODataEncryptionPolicy <SPOAdminSiteUrl> |
| Exchange | Get-DataEncryptionPolicy -Identity <Policy> |
| Multi-carico di lavoro | Get-M365DataAtRestEncryptionPolicy -Identity <Policy> |
Risoluzione dei problemi
| Problema | Possibile causa | Risoluzione |
|---|---|---|
| Il roll delle chiavi ha esito negativo e si è verificato un errore di autorizzazione | Autorizzazioni di Azure Key Vault insufficienti | Verificare che l'account disponga wrapKey delle autorizzazioni e unwrapKey nell'insieme di credenziali delle chiavi |
| L'aggiornamento dep non riesce | Nuova versione della chiave non ancora propagata | Attendere alcuni minuti e riprovare a eseguire il comando di aggiornamento |
| Il rollback di SharePoint mostra "In corso" per un periodo di tempo prolungato | Tenant di grandi dimensioni con dati significativi | I rolli delle chiavi di SharePoint possono richiedere tempo per i tenant di grandi dimensioni. Continuare il monitoraggio con Get-SPODataEncryptionPolicy |
| Non è possibile accedere al contenuto crittografato dopo il rollback della chiave | La chiave precedente è stata disabilitata troppo presto | Riabilitare la chiave precedente e attendere 24-48 ore prima di disabilitare di nuovo |