Rolar ou girar uma Chave de Cliente ou uma chave de disponibilidade

  • Artigo

Cuidado

Basta rolar uma chave de criptografia que você usa com a Chave do Cliente quando seus requisitos de segurança ou conformidade determinam que você deve rolar a chave. Não exclua ou desabilite as chaves que estão ou foram associadas a políticas, incluindo versões mais antigas das chaves usadas. Quando você rola suas chaves, há conteúdo criptografado com as chaves anteriores. Por exemplo, enquanto as caixas de correio ativas são criptografadas com frequência, caixas de correio inativas, desconectadas e desabilitadas ainda podem ser criptografadas com as chaves anteriores. O Microsoft SharePoint executa o backup do conteúdo para fins de restauração e recuperação, portanto, ainda pode haver conteúdo arquivado usando chaves mais antigas.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Windows 365 suporte para a Chave de Cliente do Microsoft Purview está em versão prévia pública e está sujeita a alterações.

Sobre a rolagem da chave de disponibilidade

A Microsoft não expõe o controle direto da chave de disponibilidade aos clientes. Por exemplo, você só pode rolar (girar) as chaves que possui no Azure Key Vault. O Microsoft 365 rola as chaves de disponibilidade em um agendamento definido internamente. Não há nenhum SLA (contrato de nível de serviço) voltado para o cliente para esses rolos de chave. O Microsoft 365 gira a chave de disponibilidade usando o código de serviço do Microsoft 365 em um processo automatizado. Os administradores da Microsoft podem iniciar o processo de rolagem. A chave é rolada usando mecanismos automatizados sem acesso direto ao repositório de chaves. O acesso ao repositório de segredos da chave de disponibilidade não é provisionado aos administradores da Microsoft. A rolagem da chave de disponibilidade aplica o mesmo mecanismo usado para gerar inicialmente a chave. Para obter mais informações sobre a chave de disponibilidade, consulte Entender a chave de disponibilidade.

Importante

Exchange Online chaves de disponibilidade podem ser efetivamente revertidas pelos clientes que criam um novo DEP, uma vez que uma chave de disponibilidade exclusiva é gerada para cada DEP que você cria. As chaves de disponibilidade para SharePoint, Microsoft OneDrive para trabalho ou escola e arquivos do Teams existem no nível da floresta e são compartilhadas entre DEPs e clientes, o que significa que a rolagem só ocorre em uma agenda definida internamente pela Microsoft. Para atenuar o risco de não rolar a chave de disponibilidade sempre que um novo DEP for criado, SharePoint, OneDrive e Teams rolam a chave intermediária do locatário (TIK), a chave encapsulada pelas chaves raiz do cliente e pela chave de disponibilidade, sempre que um novo DEP é criado.

Sobre a rolagem de chaves raiz gerenciadas pelo cliente

Há duas maneiras de rolar chaves raiz gerenciadas pelo cliente: atualizar as chaves existentes solicitando uma nova versão da chave e atualizando o DEP ou criando e usando uma chave recém-gerada e DEP. As instruções para cada método de rolamento de suas chaves são encontradas na seção a seguir.

Solicitar uma nova versão de cada chave raiz existente que você deseja rolar

Para solicitar uma nova versão de uma chave existente, use o mesmo cmdlet, Add-AzKeyVaultKey, com a mesma sintaxe e o nome da chave que você usou originalmente para criar a chave. Depois de concluir a rolagem de qualquer chave associada a uma DEP (Política de Criptografia de Dados), você executará outro cmdlet para atualizar o DEP existente para garantir que a Chave do Cliente use a nova chave. Faça essa etapa em cada AKV (Key Vault do Azure).

Por exemplo:

  1. Entre na assinatura do Azure com Azure PowerShell. Para obter instruções, consulte Entrar com Azure PowerShell.

  2. Execute o cmdlet Add-AzKeyVaultKey conforme mostrado no exemplo a seguir:

    Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")

    Neste exemplo, como existe uma chave chamada Contoso-CK-EX-NA-VaultA1-Key001 no cofre Contoso-CK-EX-NA-VaultA1 , o cmdlet cria uma nova versão da chave. Essa operação preserva as versões de chave anteriores no histórico de versão da chave. Você precisa da versão da chave anterior para descriptografar os dados que ele ainda criptografa. Depois de concluir a rolagem de qualquer chave associada a um DEP, execute um cmdlet extra para garantir que a Chave do Cliente comece a usar a nova chave. As seções a seguir descrevem os cmdlets com mais detalhes.

    Atualizar as chaves para DEPs de várias cargas de trabalho

    Ao rolar uma das chaves Key Vault do Azure associadas a um DEP usado com várias cargas de trabalho, você deve atualizar o DEP para apontar para a nova chave. Esse processo não gira a chave de disponibilidade. A propriedade DataEncryptionPolicyID não é alterada quando você a atualiza com uma nova versão da mesma chave.

    Para instruir a Chave do Cliente a usar a nova chave para criptografar várias cargas de trabalho, conclua estas etapas:

    1. Em seu computador local, usando uma conta corporativa ou escolar que tenha permissões de administrador global ou administrador de conformidade em sua organização, conecte-se ao Exchange Online PowerShell.

    2. Execute o cmdlet Set-M365DataAtRestEncryptionPolicy:

      Set-M365DataAtRestEncryptionPolicy -Identity <Policy>  -Refresh

      Em que política é o nome ou iD exclusiva da política.

    Atualizar as chaves para DEPs Exchange Online

    Ao rolar uma das chaves de Key Vault do Azure associadas a um DEP usado com Exchange Online, você deve atualizar o DEP para apontar para a nova chave. Essa ação não gira a chave de disponibilidade. A propriedade DataEncryptionPolicyID para a caixa de correio não é alterada quando você a atualiza com uma nova versão da mesma chave.

    Para instruir a Chave do Cliente a usar a nova chave para criptografar caixas de correio, conclua estas etapas:

    1. Em seu computador local, usando uma conta corporativa ou escolar que tenha permissões de administrador global ou administrador de conformidade em sua organização, conecte-se ao Exchange Online PowerShell.

    2. Execute o cmdlet Set-DataEncryptionPolicy:

        Set-DataEncryptionPolicy -Identity <Policy> -Refresh

      Em que política é o nome ou iD exclusiva da política.

Usando uma chave recém-gerada para seu DEP

Ao optar por usar chaves recém-geradas em vez de atualizar as existentes, o processo para atualizar suas políticas de criptografia de dados é diferente. Em vez de atualizar uma política existente, você precisa criar e atribuir uma nova política de criptografia de dados adaptada à nova chave.

  1. Para criar uma nova chave e adicioná-la ao cofre de chaves, siga as instruções encontradas em Adicionar uma chave a cada cofre de chaves criando ou importando uma chave.

  2. Depois de adicionado ao cofre de chaves, você deve criar uma nova política de criptografia de dados com o URI chave da chave recém-criada. Instruções sobre a criação e atribuição de políticas de criptografia de dados podem ser encontradas em Gerenciar a Chave do Cliente para o Microsoft 365.

Atualizar as chaves do SharePoint, oneDrive para trabalho ou escola e arquivos do Teams

O SharePoint só permite que você role uma chave por vez. Se você quiser rolar as duas chaves em um cofre de chaves, aguarde a conclusão da primeira operação. A Microsoft recomenda que você escalone suas operações para evitar esse problema. Ao rolar uma das chaves de Key Vault do Azure associadas a um DEP usado com o SharePoint e o OneDrive para trabalho ou escola, você deve atualizar o DEP para apontar para a nova chave. Essa ação não gira a chave de disponibilidade.

  1. Execute o cmdlet Update-SPODataEncryptionPolicy da seguinte maneira:

    Update-SPODataEncryptionPolicy  <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

    Embora este cmdlet inicie a operação de rolagem de chaves do SharePoint e do OneDrive para trabalho ou escola, a ação não é concluída imediatamente.

  2. Para ver o progresso da operação de rolagem de chaves, execute o cmdlet Get-SPODataEncryptionPolicy da seguinte maneira:

    Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>