Поделиться через


Смена или ротация ключа клиента или ключа доступности

Предостережение

Разворачивайте ключ шифрования, используемый с ключом клиента, только если требования к безопасности или соответствию диктуют необходимость свернуть ключ. Не удаляйте и не отключайте ключи, связанные с политиками, включая старые версии ключей, которые использовались. При накате ключей содержимое зашифровано с помощью предыдущих ключей. Например, в то время как активные почтовые ящики часто шифруются повторно, неактивные, отключенные и отключенные почтовые ящики по-прежнему могут шифроваться с помощью предыдущих ключей. Microsoft SharePoint выполняет резервное копирование содержимого для восстановления и восстановления, поэтому содержимое по-прежнему может архивироваться с помощью старых ключей.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Windows 365 поддержка ключа клиента Microsoft Purview доступна в общедоступной предварительной версии и может быть изменена.

Сведения о переключите ключ доступности

Корпорация Майкрософт не предоставляет клиентам прямой контроль над ключом доступности. Например, можно свернуть (сменить) только те ключи, которые у вас есть в Azure Key Vault. Microsoft 365 развертывает ключи доступности по внутреннему расписанию. Соглашение об уровне обслуживания (SLA) для этих ключевых роллей не существует. Microsoft 365 меняет ключ доступности с помощью кода службы Microsoft 365 в автоматизированном процессе. Администраторы Майкрософт могут инициировать процесс свертки. Ключ свертывается с помощью автоматизированных механизмов без прямого доступа к хранилищу ключей. Доступ к хранилищу секретов ключей доступности не предоставляется администраторам Майкрософт. При смене ключа доступности применяется тот же механизм, что и при первоначальном создании ключа. Дополнительные сведения о ключе доступности см. в статье Общие сведения о ключе доступности.

Важно!

Ключи доступности Exchange могут эффективно развертываться клиентами, создающие новый DEP, так как для каждого создаваемого DEP создается уникальный ключ доступности. Ключи доступности для клиентского ключа для SharePoint и OneDrive существуют на уровне леса и совместно используются dep и клиентами. Это означает, что смена выполняется только по внутреннему расписанию Майкрософт. Чтобы снизить риск того, что ключ доступности не будет скользить при каждом создании нового DEP, SharePoint, OneDrive и Teams развертывает промежуточный ключ клиента (TIK), ключ, заключенный корневыми ключами клиента и ключом доступности, при каждом создании нового DEP.

Сведения о смене управляемых клиентом корневых ключей

Существует два способа свернуть управляемые клиентом корневые ключи: обновление существующих ключей путем запроса новой версии ключа и обновления DEP или создание и использование только что созданного ключа и DEP. Инструкции по каждому способу смены ключей приведены в следующем разделе.

Запросите новую версию каждого существующего корневого ключа, который вы хотите свернуть

Чтобы запросить новую версию существующего ключа, используйте тот же командлет Add-AzKeyVaultKey с тем же синтаксисом и именем ключа, что и при создании ключа. Завершив смену ключа, связанного с политикой шифрования данных (DEP), выполните другой командлет, чтобы обновить существующий DEP, чтобы убедиться, что ключ клиента использует новый ключ. Выполните этот шаг в каждой Key Vault Azure (AKV).

Например:

  1. Войдите в подписку Azure с помощью Azure PowerShell. Инструкции см. в статье Вход с помощью Azure PowerShell.

  2. Запустите командлет Add-AzKeyVaultKey, как показано в следующем примере:

    Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")
    

    В этом примере ключ с именем Contoso-CK-EX-NA-VaultA1-Key001 существует в хранилище Contoso-CK-EX-NA-VaultA1 , командлет создает новую версию ключа. Эта операция сохраняет предыдущие версии ключей в журнале версий ключа. Для расшифровки данных, которые по-прежнему шифруются, требуется предыдущая версия ключа. Завершив развертывание любого ключа, связанного с DEP, выполните дополнительный командлет, чтобы ключ клиента начал использовать новый ключ. В следующих разделах командлеты описаны более подробно.

    Обновление ключей для dep с несколькими рабочими нагрузками

    При накате любого из ключей azure Key Vault, связанных с DEP, используемым с несколькими рабочими нагрузками, необходимо обновить DEP, чтобы он указывал на новый ключ. Этот процесс не изменяет ключ доступности. Свойство DataEncryptionPolicyID не изменяется при обновлении новой версии того же ключа.

    Чтобы указать ключу клиента использовать новый ключ для шифрования нескольких рабочих нагрузок, выполните следующие действия:

    1. На локальном компьютере, используя рабочую или учебную учетную запись, которая имеет разрешения глобального администратора или администратора соответствия требованиям в вашей организации, подключитесь к Exchange PowerShell.

    2. Выполните командлет Set-M365DataAtRestEncryptionPolicy:

      Set-M365DataAtRestEncryptionPolicy -Identity <Policy>  -Refresh
      

      Где Policy — это имя или уникальный идентификатор политики.

    Обновление ключей для exchange DEP

    При накате любого из ключей azure Key Vault, связанных с DEP, используемым с Exchange, необходимо обновить DEP, чтобы он указывал на новый ключ. Это действие не изменяет ключ доступности. Свойство DataEncryptionPolicyID для почтового ящика не изменяется при обновлении его новой версии того же ключа.

    Чтобы указать ключу клиента использовать новый ключ для шифрования почтовых ящиков, выполните следующие действия:

    1. На локальном компьютере, используя рабочую или учебную учетную запись, которая имеет разрешения глобального администратора или администратора соответствия требованиям в вашей организации, подключитесь к Exchange PowerShell.

    2. Выполните командлет Set-DataEncryptionPolicy:

        Set-DataEncryptionPolicy -Identity <Policy> -Refresh
      

      Где Policy — это имя или уникальный идентификатор политики.

Использование только что созданного ключа для DEP

Если вы решили использовать только что созданные ключи вместо обновления существующих, процесс обновления политик шифрования данных отличается. Вместо обновления существующей политики необходимо создать и назначить новую политику шифрования данных, адаптированную к новому ключу.

  1. Чтобы создать новый ключ и добавить его в хранилище ключей, следуйте инструкциям в разделе Добавление ключа в каждое хранилище ключей путем создания или импорта ключа.

  2. После добавления в хранилище ключей необходимо создать новую политику шифрования данных с универсальным кодом ресурса (URI) нового ключа. Инструкции по созданию и назначению политик шифрования данных см. в статье Управление ключом клиента для Microsoft 365.

Обновление ключей для SharePoint и OneDrive

SharePoint позволяет свернуть только один ключ за раз. Если вы хотите свернуть оба ключа в хранилище ключей, дождитесь завершения первой операции. Корпорация Майкрософт рекомендует ошеломлять операции, чтобы избежать этой проблемы. При накате любого из ключей azure Key Vault, связанных с DEP, используемых с SharePoint и OneDrive, необходимо обновить DEP, чтобы он указывал на новый ключ. Это действие не изменяет ключ доступности.

  1. Выполните командлет Update-SPODataEncryptionPolicy следующим образом:

    Update-SPODataEncryptionPolicy  <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>
    

    Хотя этот командлет запускает операцию отката ключей для SharePoint и OneDrive, действие выполняется не сразу.

  2. Чтобы увидеть ход выполнения операции переключения ключей, выполните командлет Get-SPODataEncryptionPolicy следующим образом:

    Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>