Поделиться через

Смена или ротация ключа клиента или ключа доступности

Предостережение

Свертывайте ключ шифрования, используемый с ключом клиента , только если это требуется политиками безопасности или соответствия требованиям вашей организации.

Не удаляйте и не отключайте ключи, включая старые версии, которые были связаны с политиками шифрования SharePoint .

Например, вы можете:

  • SharePoint сохраняет содержимое резервных копий для восстановления и восстановления, которое также может зависеть от старых ключей.

Предварительные условия

Прежде чем сменить или сменить ключи, убедитесь, что у вас есть:

  • Разрешения: глобальный администратор или соответствующие разрешения Exchange
  • Установленные модули PowerShell:
  • Доступ к Azure Key Vault. Для создания новых версий ключей в хранилищах ключей необходимо иметь разрешения.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.

Краткий справочник. Команды по рабочей нагрузке

Используйте следующую таблицу, чтобы быстро найти нужную команду в зависимости от рабочей нагрузки и сценария.

Workload Сценарий Command
Несколько рабочих нагрузок Обновление DEP с помощью новой версии ключа Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Refresh
Несколько рабочих нагрузок Замена ключей в DEP Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Replace -AzureKeyIDs <KeyURI1>,<KeyURI2>
Exchange Обновление DEP с помощью новой версии ключа Set-DataEncryptionPolicy -Identity <Policy> -Refresh
Exchange Замена ключей в DEP Set-DataEncryptionPolicy -Identity <Policy> -Replace -AzureKeyIDs <KeyURI1>,<KeyURI2>
SharePoint/OneDrive Смена клавиши Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <Name> -KeyName <Name> -KeyVersion <Version> -KeyType <Primary \| Secondary>
SharePoint/OneDrive Проверка хода выполнения свертки Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>
Azure Key Vault Создание новой версии ключа Add-AzKeyVaultKey -VaultName <VaultName> -Name <KeyName> -Destination HSM -KeyOps @('wrapKey','unwrapKey')

Выбор метода скользящего ключа

Существует два способа проката корневых ключей, управляемых клиентом. Используйте это руководство, чтобы определить, какой метод подходит для вашего сценария.

Метод Когда использовать Что происходит
Обновление существующего ключа (создание новой версии) Рутинная смена ключей; сохранение одного и того же имени ключа Создает новую версию существующего ключа. DEP ссылается на то же имя ключа, но использует новую версию после обновления.
Замена новым ключом Скомпрометированный ключ; изменение хранилища ключей; организационная реструктуризация Создает совершенно новый ключ с новым именем. DEP обновляется для ссылки на новые URI ключей.

Сведения о переключите ключ доступности

Вы не можете напрямую свернуть ключ доступности. Ключи, которыми вы управляете, можно выполнять только в Azure Key Vault.

Microsoft 365 автоматически развертывает ключи доступности по внутреннему расписанию без соглашения об уровне обслуживания для клиента. Администраторы не имеют прямого доступа к хранилищу ключей. Дополнительные сведения см. в статье Общие сведения о ключе доступности.

Важно!

Для Exchange создание нового DEP эффективно выполняет свораку ключа доступности, так как каждая новая политика шифрования данных (DEP) создает уникальный ключ доступности.

Для SharePoint и OneDrive ключи доступности создаются на уровне леса и совместно используются между dep. Эти ключи накатываются только по внутреннему расписанию Майкрософт, но SharePoint, OneDrive и Teams накатывают промежуточный ключ клиента (TIK) с каждым новым DEP, чтобы устранить эту проблему.

Развертывание управляемых клиентом корневых ключей

Способ 1. Обновление существующего ключа (создание новой версии)

Используйте этот метод для создания новой версии существующего ключа. Этот подход рекомендуется использовать для обычной смены ключей.

Шаг 1. Создание новой версии ключа в Azure Key Vault

Чтобы запросить новую версию существующего ключа, используйте Add-AzKeyVaultKey командлет с тем же именем ключа, который использовался при создании исходного ключа.

  1. Войдите в свою подписку Azure с помощью Azure PowerShell. Инструкции см. в статье Вход с помощью Azure PowerShell.

  2. Add-AzKeyVaultKey Выполните командлет:

    Add-AzKeyVaultKey -VaultName <VaultName> -Name <KeyName> -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date)

    Пример:

    Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")

    В этом примере ключ с именем Contoso-CK-EX-NA-VaultA1-Key001 уже существует в хранилище Contoso-CK-EX-NA-VaultA1. Командлет создает новую версию ключа. Предыдущие версии сохраняются в журнале версий ключа.

  3. Повторите этот шаг в каждой Azure Key Vault, содержащей ключи, которые требуется свернуть.

Шаг 2. Обновление DEP для использования новой версии ключа

После создания новой версии ключа обновите DEP, чтобы использовать его. Подключитесь к Exchange Online PowerShell с соответствующими разрешениями, а затем выполните соответствующий командлет:

Для deps с несколькими рабочими нагрузками:

Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Refresh

Для deps Exchange:

Set-DataEncryptionPolicy -Identity <Policy> -Refresh

Примечание.

Свойство DataEncryptionPolicyID остается прежним при обновлении с помощью новой версии того же ключа. Это действие не изменяет ключ доступности.

Для sharePoint и OneDrive DEP:

SharePoint поддерживает одновременное развертывание только по одному ключу. Дождитесь завершения первой операции, прежде чем разворачивать второй ключ.

Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <Name> -KeyName <Name> -KeyVersion <Version> -KeyType <Primary | Secondary>

Для управляемых ключей HSM используйте -KeyVaultURL вместо -KeyVaultName.

Чтобы проверка ход выполнения, выполните приведенные далее действия.Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>

Способ 2. Замена ключей новыми ключами

Используйте этот метод, чтобы полностью заменить существующие ключи новыми.

Важно!

Оставьте старые ключи включенными и доступными до полного завершения процесса замены.

Подключитесь к Exchange Online PowerShell с соответствующими разрешениями, а затем выполните соответствующий командлет:

Для deps Exchange:

Set-DataEncryptionPolicy -Identity <Policy> -Replace -AzureKeyIDs <KeyURI1>,<KeyURI2>

Для deps с несколькими рабочими нагрузками:

Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Replace -AzureKeyIDs <KeyURI1>,<KeyURI2>

Примечание.

Порядок ключевых URI не имеет значения. Чтобы заменить только один ключ, необходимо по-прежнему указать оба URI. Подождите 24 часа перед отключением старых ключей, а затем еще 24–48 часов перед очисткой.

Проверка состояния ролла ключа

Используйте следующие команды, чтобы проверить состояние операций с ролями ключей.

Workload Команда проверки
SharePoint/OneDrive Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>
Exchange Get-DataEncryptionPolicy -Identity <Policy>
Несколько рабочих нагрузок Get-M365DataAtRestEncryptionPolicy -Identity <Policy>

Устранение неполадок

Проблема Возможная причина Решение
Сбой ролла ключа с ошибкой разрешения Недостаточно разрешений Azure Key Vault Убедитесь, что у вашей учетной записи есть wrapKey разрешения и unwrapKey в хранилище ключей.
Сбой обновления DEP Новая версия ключа еще не распространена Подождите несколько минут и повторите команду обновления.
В ролле SharePoint отображается сообщение "Выполняется" в течение длительного времени Крупный клиент со значительными данными Роллы ключей SharePoint могут занять время для крупных клиентов. Продолжайте мониторинг с помощью Get-SPODataEncryptionPolicy
Не удается получить доступ к зашифрованным содержимому после наката ключа Старый ключ был отключен слишком рано Повторно включите старый ключ и подождите 24–48 часов, прежде чем снова его отключить.
  • Last updated on