警告
仅当组织的安全或合规性策略要求时, 才 滚动使用客户密钥的加密密钥。
请勿删除或禁用与加密策略关联的任何密钥,包括旧版本。 滚动密钥时,某些内容可能仍使用以前的密钥进行加密。
例如:
- 活动邮箱会频繁重新加密,但非活动、断开连接或禁用的邮箱可能仍使用较旧的密钥。
- SharePoint 保留备份内容以用于还原和恢复,这可能还依赖于较旧的密钥。
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。
关于滚动可用性密钥
Microsoft不为客户提供对可用性密钥的直接控制。 例如,只能在 Azure 密钥保管库中滚动管理的密钥。
Microsoft 365 按内部计划滚动可用性密钥。 对于这些密钥轮换,没有面向客户的服务级别协议 (SLA) 。 Microsoft 365 使用服务代码自动轮换可用性密钥。 在某些情况下,Microsoft管理员可以启动该过程,但密钥是通过不允许直接访问密钥存储的自动化机制滚动的。
Microsoft管理员没有对可用性密钥机密存储的预配访问权限。 滚动过程使用在初始预配期间生成密钥的相同机制。
有关详细信息,请参阅 了解可用性密钥。
重要
对于 Exchange,可以通过 (DEP) 创建新的数据加密策略来有效地滚动可用性密钥。 每个新的 DEP 都会生成唯一的可用性密钥。
相比之下,SharePoint 和 OneDrive 中客户密钥的可用性密钥是在林级别创建的,并在 DEP 和客户之间共享。 这些密钥仅在Microsoft定义的内部计划上滚动。
为了降低不通过每个新的 DEP 滚动可用性密钥的风险,SharePoint、OneDrive 和 Teams 每次创建新的 DEP 时, (TIK) 滚动租户中间密钥。 TIK 是由客户根密钥和可用性密钥包装的密钥。
关于滚动客户管理的根密钥
有两种方法可以滚动更新客户管理的根密钥:
- 通过请求新版本并刷新关联的数据加密策略 (DEP) 来更新现有密钥。
- 创建并使用新生成的密钥以及新的 DEP。
以下部分提供了这两种方法的说明。
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
请求要滚动的每个现有根密钥的新版本
若要请求现有密钥的新版本,请使用同一 cmdlet Add-AzKeyVaultKey,其语法和密钥名称与创建原始密钥时所用的相同。
(DEP) 完成与数据加密策略关联的密钥滚动后,请运行单独的 cmdlet 来刷新 DEP 并确保客户密钥使用新版本。 在每个 Azure 密钥保管库 (AKV) 中重复此过程。
示例:
使用 Azure PowerShell 登录到 Azure 订阅。 有关说明,请参阅使用 Azure PowerShell 登录。
运行
Add-AzKeyVaultKeycmdlet:Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")在此示例中,名为 Contoso-CK-EX-NA-VaultA1-Key001 的密钥已存在于 Contoso-CK-EX-NA-VaultA1 保管库中。 cmdlet 创建密钥的新版本。 以前的版本保留在密钥的版本历史记录中。
需要访问以前版本才能解密仍使用它加密的任何内容。
完成滚动与 DEP 关联的密钥后,请运行另一个 cmdlet 以确保客户密钥使用新版本启动。 以下部分更详细地介绍了这些 cmdlet。
更新多工作负载 DEP 的密钥
在滚动与数据加密策略关联的 Azure 密钥保管库密钥 (DEP) 跨多个工作负荷时,必须更新 DEP 以引用新的密钥版本。 此作不会轮换可用性密钥。
使用
DataEncryptionPolicyID同一密钥的新版本更新 DEP 时,属性保持不变。若要指示客户密钥使用新密钥跨多个工作负载进行加密,请执行以下步骤:
在本地计算机上,使用具有适当 权限的工作或学校帐户,并 连接到 Exchange PowerShell。
运行
Set-M365DataAtRestEncryptionPolicycmdlet:
Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Refresh参数 说明 -Identity数据加密策略的唯一名称或 GUID 更新 Exchange DEP 的密钥
当滚动与数据加密策略关联的 Azure 密钥保管库 密钥 (DEP) Exchange 时,必须更新 DEP 以引用新密钥版本。 此步骤不会轮换可用性密钥。
使用
DataEncryptionPolicyID同一密钥的新版本更新策略时,邮箱的 属性保持不变。若要指示客户密钥使用新密钥进行邮箱加密,请执行以下步骤:
在本地计算机上,使用具有适当 权限的工作或学校帐户,并 连接到 Exchange PowerShell。
运行
Set-DataEncryptionPolicycmdlet:
Set-DataEncryptionPolicy -Identity <Policy> -Refresh参数 说明 -Identity数据加密策略的唯一名称或 GUID
为 DEP 使用新生成的密钥
如果选择使用新生成的密钥而不是更新现有密钥,则更新数据加密策略的过程会有所不同。 必须创建并分配引用新密钥的新数据加密策略,而不是刷新现有策略。
若要创建新密钥并将其添加到密钥保管库,请遵循 通过创建或导入密钥将密钥添加到每个密钥保管库中的步骤。
将密钥添加到密钥保管库后,使用新生成的密钥的密钥 URI 创建新的 数据加密策略。 有关详细说明,请参阅 管理 Microsoft 365 的客户密钥。
更新 SharePoint 和 OneDrive 的密钥
SharePoint 一次仅支持滚动一个密钥。 如果计划在密钥保管库中滚动两个密钥,请在开始第二个作之前等待第一个作完成。 为了避免冲突,Microsoft建议交错作。
当滚动与数据加密策略关联的 Azure 密钥保管库密钥 (DEP) 与 SharePoint 和 OneDrive 时,必须更新 DEP 以引用新密钥。 此过程不会轮换可用性密钥。
若要为 SharePoint 和 OneDrive 滚动密钥,请
Update-SPODataEncryptionPolicy运行 cmdlet:Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>此 cmdlet 启动密钥滚动作,但更改不会立即生效。
若要使用存储在托管 HSM 中的密钥更新 SharePoint 和 OneDrive 策略,请运行以下命令:
Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultURL <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>若要检查密钥滚动作的进度,请运行:
Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>