滚动或旋转客户密钥或可用性密钥

  • 项目

警告

仅当安全性或合规性要求要求必须滚动密钥时,才滚动使用客户密钥的加密密钥。 请勿删除或禁用与策略关联的任何密钥,包括你使用的旧版密钥。 滚动密钥时,存在使用以前的密钥加密的内容。 例如,虽然活动邮箱经常重新加密,但非活动邮箱、断开连接邮箱和禁用邮箱仍可能使用以前的密钥进行加密。 Microsoft SharePoint 出于还原和恢复目的执行内容备份,因此可能仍存在使用旧密钥的存档内容。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

Windows 365对 Microsoft Purview 客户密钥的支持以公共预览版提供,随时可能更改。

关于滚动可用性密钥

Microsoft 不会向客户公开可用性密钥的直接控制。 例如,只能在 Azure 密钥保管库中拥有的密钥) 滚动 (轮换。 Microsoft 365 按内部定义的计划滚动可用性密钥。 这些密钥滚动更新没有面向客户的服务级别协议 (SLA) 。 Microsoft 365 在自动化过程中使用 Microsoft 365 服务代码轮换可用性密钥。 Microsoft 管理员可以启动滚动过程。 密钥是使用自动化机制滚动的,无需直接访问密钥存储。 对可用性密钥机密存储的访问权限不会预配给 Microsoft 管理员。 可用性密钥滚动应用最初用于生成密钥的相同机制。 有关可用性密钥的详细信息,请参阅 了解可用性密钥

重要

Exchange Online可用性密钥可由创建新 DEP 的客户有效滚动,因为会为你创建的每个 DEP 生成唯一的可用性密钥。 SharePoint、适用于工作或学校的 Microsoft OneDrive 以及 Teams 文件的可用性密钥存在于林级别,并在 DEP 和客户之间共享,这意味着滚动仅在 Microsoft 内部定义的计划中进行。 为了降低每次创建新的 DEP 时不会滚动可用性密钥的风险,每次创建新的 DEP 时,SharePoint、OneDrive 和 Teams 都会 (TIK) (由客户根密钥和可用性密钥包装的密钥)滚动租户中间密钥。

关于滚动客户管理的根密钥

有两种方法可以滚动更新客户管理的根密钥:通过请求新版密钥并刷新 DEP 来更新现有密钥,或者创建和使用新生成的密钥和 DEP。 以下部分提供了有关滚动密钥的每种方法的说明。

请求要滚动的每个现有根密钥的新版本

若要请求现有密钥的新版本,请使用同一 cmdlet Add-AzKeyVaultKey,其语法和密钥名称与最初用于创建密钥的相同。 滚动完成与数据加密策略关联的任何密钥 (DEP) 后,运行另一个 cmdlet 来刷新现有 DEP,以确保客户密钥使用新密钥。 在每个 Azure 密钥保管库 (AKV) 中执行此步骤。

例如:

  1. 使用 Azure PowerShell 登录到 Azure 订阅。 有关说明,请参阅使用 Azure PowerShell 登录

  2. 运行 Add-AzKeyVaultKey cmdlet,如以下示例所示:

    Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")

    在此示例中,由于 Contoso-CK-EX-NA-VaultA1 保管库 中存在名为 Contoso-CK-EX-NA-VaultA1-Key001 的密钥,因此 cmdlet 会创建密钥的新版本。 此操作在密钥的版本历史记录中保留以前的密钥版本。 需要以前的密钥版本来解密它仍然加密的数据。 完成滚动与 DEP 关联的任何密钥后,请运行额外的 cmdlet,以确保客户密钥开始使用新密钥。 以下部分更详细地介绍了 cmdlet。

    更新多工作负载 DEP 的密钥

    滚动与用于多个工作负荷的 DEP 关联的 Azure 密钥保管库密钥之一时,必须更新 DEP 以指向新密钥。 此过程不会轮换可用性密钥。 使用同一密钥的新版本进行更新时 ,DataEncryptionPolicyID 属性不会更改。

    若要指示客户密钥使用新密钥加密多个工作负载,请完成以下步骤:

    1. 在本地计算机上,使用组织中具有全局管理员或合规性管理员权限的工作或学校帐户连接到 Exchange Online PowerShell

    2. 运行 Set-M365DataAtRestEncryptionPolicy cmdlet:

      Set-M365DataAtRestEncryptionPolicy -Identity <Policy>  -Refresh

      其中 Policy 是策略的名称或唯一 ID。

    更新 Exchange Online DEP 的密钥

    在滚动与与 Exchange Online 一起使用的 DEP 关联的 Azure 密钥保管库密钥之一时,必须更新 DEP 以指向新密钥。 此操作不会轮换可用性密钥。 使用同一密钥的新版本更新邮箱时,邮箱的 DataEncryptionPolicyID 属性不会更改。

    若要指示客户密钥使用新密钥加密邮箱,请完成以下步骤:

    1. 在本地计算机上,使用组织中具有全局管理员或合规性管理员权限的工作或学校帐户连接到 Exchange Online PowerShell

    2. 运行 Set-DataEncryptionPolicy cmdlet:

        Set-DataEncryptionPolicy -Identity <Policy> -Refresh

      其中 Policy 是策略的名称或唯一 ID。

为 DEP 使用新生成的密钥

选择使用新生成的密钥而不是更新现有密钥时,更新数据加密策略的过程会有所不同。 需要创建并分配针对新密钥定制的新数据加密策略,而不是刷新现有策略。

  1. 若要创建新密钥并将其添加到密钥保管库,请按照 通过创建或导入密钥将密钥添加到每个密钥保管库中的说明进行操作。

  2. 添加到密钥保管库后,必须使用 创建的密钥的密钥 URI 创建新的数据加密策略。 有关创建和分配数据加密策略的说明,请参阅 管理 Microsoft 365 的客户密钥

更新 SharePoint 的密钥、适用于工作或学校的 OneDrive 以及 Teams 文件的密钥

SharePoint 仅允许一次滚动一个密钥。 如果要在密钥保管库中滚动两个密钥,请等待第一个操作完成。 Microsoft 建议将操作错开以避免此问题。 滚动与 SharePoint 和 OneDrive for Work 或 School 的 DEP 关联的 Azure 密钥保管库密钥之一时,必须将 DEP 更新为指向新密钥。 此操作不会轮换可用性密钥。

  1. 运行 Update-SPODataEncryptionPolicy cmdlet,如下所示:

    Update-SPODataEncryptionPolicy  <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

    虽然此 cmdlet 启动 SharePoint 和 OneDrive for Work 或 School 的密钥滚动操作,但操作不会立即完成。

  2. 若要查看密钥滚动操作的进度,请运行 Get-SPODataEncryptionPolicy cmdlet,如下所示:

    Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>