다음을 통해 공유

고객 키 또는 가용성 키 롤 또는 회전

주의

organization 보안 또는 규정 준수 정책에 필요한 경우에만 고객 키와 함께 사용되는 암호화 키를 롤합니다.

암호화 정책과 연결되었거나 연결된 이전 버전을 포함하여 키를 삭제하거나 사용하지 않도록 설정하지 마세요. 키를 굴리면 일부 콘텐츠가 이전 키로 암호화될 수 있습니다.

예시:

  • 활성 사서함은 자주 다시 암호화되지만 비활성, 연결 끊김 또는 비활성화된 사서함은 여전히 이전 키를 사용할 수 있습니다.
  • SharePoint는 복원 및 복구를 위해 백업 콘텐츠를 유지하며 이전 키도 사용할 수 있습니다.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 평가판 허브에서 지금 시작합니다. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

가용성 키 롤링 정보

Microsoft는 고객에게 가용성 키를 직접 제어할 수 있는 권한을 제공하지 않습니다. 예를 들어 Azure Key Vault 관리하는 키만 롤할 수 있습니다.

Microsoft 365는 내부 일정에 따라 가용성 키를 롤아웃합니다. 이러한 키 회전에 대한 고객 지향 SLA(서비스 수준 계약)는 없습니다. Microsoft 365는 서비스 코드를 사용하여 가용성 키를 자동으로 회전합니다. 경우에 따라 Microsoft 관리자는 프로세스를 시작할 수 있지만 키 저장소에 대한 직접 액세스를 허용하지 않는 자동화된 메커니즘을 통해 키가 롤됩니다.

Microsoft 관리자는 가용성 키 비밀 저장소에 대한 프로비전된 액세스 권한이 없습니다. 롤링 프로세스는 초기 프로비전 중에 키를 생성하는 동일한 메커니즘을 사용합니다.

자세한 내용은 가용성 키 이해를 참조하세요.

중요

Exchange의 경우 새 DEP(데이터 암호화 정책)를 만들어 가용성 키를 효과적으로 롤할 수 있습니다. 각각의 새 DEP는 고유한 가용성 키를 생성합니다.

반면 SharePoint 및 OneDrive의 고객 키에 대한 가용성 키는 포리스트 수준에서 만들어지고 DEP 및 고객 간에 공유됩니다. 이러한 키는 Microsoft에서 정의한 내부 일정에 따라만 롤됩니다.

새 DEP를 만들 때마다 새 DEP, SharePoint, OneDrive 및 Teams에서 가용성 키를 롤링하지 않을 위험을 줄이기 위해 TIK(테넌트 중간 키)를 롤합니다. TIK는 고객 루트 키와 가용성 키 모두에 의해 래핑되는 키입니다.

고객 관리 루트 키 롤링 정보

고객 관리 루트 키를 롤하는 방법에는 두 가지가 있습니다.

  • 새 버전을 요청하고 관련 DEP(데이터 암호화 정책)를 새로 고쳐 기존 키를 업데이트합니다.
  • 새로 생성된 키를 만들고 새 DEP와 함께 사용합니다.

두 방법 모두에 대한 지침은 다음 섹션에서 제공합니다.

중요

사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 전역 관리자 역할을 가진 사용자 수를 최소화하면 organization 대한 보안을 개선하는 데 도움이 됩니다. Microsoft Purview 역할 및 권한에 대해 자세히 알아봅니다.

롤하려는 각 기존 루트 키의 새 버전 요청

기존 키의 새 버전을 요청하려면 원래 키를 만들 때 사용한 것과 동일한 구문 및 키 이름과 동일한 cmdlet 인 Add-AzKeyVaultKey를 사용합니다.

DEP(데이터 암호화 정책)와 연결된 키 롤링을 완료한 후 별도의 cmdlet을 실행하여 DEP를 새로 고치고 고객 키가 새 버전을 사용하는지 확인합니다. AKV(각 Azure Key Vault)에서 이 프로세스를 반복합니다.

예제:

  1. Azure PowerShell 사용하여 Azure 구독에 로그인합니다. 자세한 내용은 Azure PowerShell 사용하여 로그인을 참조하세요.

  2. cmdlet을 Add-AzKeyVaultKey 실행합니다.

    Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")

    이 예제에서는 Contoso-CK-EX-NA-VaultA1-Key001이라는 키가 Contoso-CK-EX-NA-VaultA1 자격 증명 모음에 이미 있습니다. cmdlet은 새 버전의 키를 만듭니다. 이전 버전은 키의 버전 기록에 유지됩니다.

    여전히 암호화된 콘텐츠의 암호를 해독하려면 이전 버전에 액세스해야 합니다.

    DEP와 연결된 키 롤링을 완료한 후 다른 cmdlet을 실행하여 고객 키가 새 버전을 사용하기 시작하도록 합니다. 다음 섹션에서는 이러한 cmdlet에 대해 자세히 설명합니다.

    다중 워크로드 DEP에 대한 키 업데이트

    여러 워크로드에서 사용되는 DEP(데이터 암호화 정책)와 연결된 Azure Key Vault 키 중 하나를 롤하는 경우 새 키 버전을 참조하도록 DEP를 업데이트해야 합니다. 이 작업은 가용성 키를 회전하지 않습니다.

    동일한 키의 새 버전으로 DEP를 업데이트할 때 속성은 DataEncryptionPolicyID 동일하게 유지됩니다.

    고객 키에 여러 워크로드에서 암호화에 새 키를 사용하도록 지시하려면 다음 단계를 수행합니다.

    1. 로컬 컴퓨터에서 적절한 권한이 있는 회사 또는 학교 계정을 사용하고 Exchange PowerShell에 연결합니다.

    2. cmdlet을 Set-M365DataAtRestEncryptionPolicy 실행합니다.

    Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Refresh
    매개 변수 설명
    -Identity 데이터 암호화 정책의 고유 이름 또는 GUID

    Exchange DEP에 대한 키 업데이트

    Exchange와 함께 사용되는 DEP(데이터 암호화 정책)와 연결된 Azure Key Vault 키 중 하나를 롤하는 경우 새 키 버전을 참조하려면 DEP를 업데이트해야 합니다. 이 단계에서는 가용성 키를 회전하지 않습니다.

    사서함의 속성은 DataEncryptionPolicyID 동일한 키의 새 버전으로 정책을 업데이트할 때 동일하게 유지됩니다.

    고객 키에 사서함 암호화에 새 키를 사용하도록 지시하려면 다음 단계를 수행합니다.

    1. 로컬 컴퓨터에서 적절한 권한이 있는 회사 또는 학교 계정을 사용하고 Exchange PowerShell에 연결합니다.

    2. cmdlet을 Set-DataEncryptionPolicy 실행합니다.

    Set-DataEncryptionPolicy -Identity <Policy> -Refresh
    매개 변수 설명
    -Identity 데이터 암호화 정책의 고유 이름 또는 GUID

DEP에 새로 생성된 키 사용

기존 키를 업데이트하는 대신 새로 생성된 키를 사용하도록 선택하는 경우 데이터 암호화 정책을 업데이트하는 프로세스는 다릅니다. 기존 정책을 새로 고치는 대신 새 키를 참조하는 새 데이터 암호화 정책을 만들고 할당해야 합니다.

  1. 새 키를 만들고 키 자격 증명 모음에 추가하려면 키를 만들거나 가져와서 각 키 자격 증명 모음에 키 추가의 단계를 수행합니다.

  2. 키 자격 증명 모음에 키를 추가한 후 새로 생성된 키의 키 URI를 사용하여 데이터 암호화 정책을 만듭니다. 자세한 지침은 Microsoft 365용 고객 키 관리를 참조하세요.

SharePoint 및 OneDrive에 대한 키 업데이트

SharePoint는 한 번에 하나의 키만 롤링할 수 있습니다. 키 자격 증명 모음에서 두 키를 모두 롤하려는 경우 첫 번째 작업이 완료되기를 기다린 후 두 번째 키를 시작합니다. 충돌을 방지하려면 작업을 엄청난 작업으로 수행하는 것이 좋습니다.

SharePoint 및 OneDrive와 함께 사용되는 DEP(데이터 암호화 정책)와 연결된 Azure Key Vault 키 중 하나를 롤하는 경우 새 키를 참조하도록 DEP를 업데이트해야 합니다. 이 프로세스는 가용성 키를 회전하지 않습니다.

  1. SharePoint 및 OneDrive에 대한 키를 롤하려면 cmdlet을 Update-SPODataEncryptionPolicy 실행합니다.

    Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

    이 cmdlet은 키 롤 작업을 시작하지만 변경 내용은 즉시 적용되지 않습니다.

  2. 관리형 HSM에 저장된 키를 사용하여 SharePoint 및 OneDrive 정책을 업데이트하려면 다음 명령을 실행합니다.

    Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultURL <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

  3. 키 롤 작업의 진행률을 검사 하려면 다음을 실행합니다.

    Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>