注意
只有 在貴 組織的安全或合規政策需要時,才使用客戶金鑰的加密金鑰。
請勿刪除或停用任何與 SharePoint 加密政策相關的金鑰,包括舊版本。
例如:
- SharePoint 保留備份內容以供還原與復原,這些資料也可能依賴較舊的金鑰。
必要條件
在你滾動或旋轉鍵之前,請確保你具備:
- 權限:全域管理員或適當的 Exchange 權限
-
已安裝的 PowerShell 模組:
- Azure PowerShell 用於Azure 金鑰保存庫作業
- 用 Exchange Online PowerShell 來執行給定的 cmdlets
- 存取Azure 金鑰保存庫:您必須擁有在金鑰庫中建立新金鑰版本的權限
重要事項
Microsoft 建議您使用權限最少的角色。 以全域管理員角色最小化使用者數量,有助於提升組織的安全。 了解更多關於 Microsoft Purview 角色與權限的資訊。
快速參考:依工作負載分類指令
請參考下表,根據你的工作量和情境快速找到你需要的指令。
| 工作負載 | 案例 | 命令 |
|---|---|---|
| 多重工作負載 | 用新的金鑰版本刷新 DEP | Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Refresh |
| 多重工作負載 | 在 DEP 中替換金鑰 | Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Replace -AzureKeyIDs <KeyURI1>,<KeyURI2> |
| Exchange | 用新的金鑰版本刷新 DEP | Set-DataEncryptionPolicy -Identity <Policy> -Refresh |
| Exchange | 在 DEP 中替換金鑰 | Set-DataEncryptionPolicy -Identity <Policy> -Replace -AzureKeyIDs <KeyURI1>,<KeyURI2> |
| SharePoint/OneDrive | 滾動/旋轉一個鍵 | Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <Name> -KeyName <Name> -KeyVersion <Version> -KeyType <Primary \| Secondary> |
| SharePoint/OneDrive | 檢查擲骰進度 | Get-SPODataEncryptionPolicy <SPOAdminSiteUrl> |
| Azure Key Vault | 建立新的金鑰版本 | Add-AzKeyVaultKey -VaultName <VaultName> -Name <KeyName> -Destination HSM -KeyOps @('wrapKey','unwrapKey') |
選擇你的按鍵滾動方式
有兩種方式可以滾出由客戶管理的根金鑰。 請參考本指南判斷哪種方法最適合你的情況。
| 方法 | 使用時機 | 發生的情況 |
|---|---|---|
| 更新現有金鑰 (建立新版本) | 例行的按鍵旋轉;保持相同的鍵名 | 建立現有金鑰的新版本。 DEP 參考相同的金鑰名稱,但刷新後使用新版本。 |
| 換成新鑰匙 | 鑰匙被洩漏;更換鑰匙庫;組織重組 | 建立一個全新且名稱不同的金鑰。 DEP 會更新以參考新的關鍵 URI。 |
關於可動性金鑰的操作
Microsoft 並不讓客戶直接控制可用性金鑰。 例如,你只能擲你在Azure 金鑰保存庫中管理的鑰匙。
Microsoft 365 會以內部排程來執行可用性金鑰。 這些金鑰輪調沒有面向客戶 (SLA) 服務水準協議。 Microsoft 365 使用服務程式碼自動輪換可用性鍵。 在某些情況下,Microsoft 管理員可以啟動此程序,但金鑰會透過自動化機制進行滾動,無法直接存取金鑰庫。
Microsoft 管理員沒有配置權限存取可用性密鑰儲存庫。 滾動過程使用與初始配置時產生金鑰相同的機制。
欲了解更多資訊,請參閱 「了解可用性鍵號」。
重要事項
對於 Exchange,你可以透過建立新的資料加密政策 (DEP) ,來有效地啟動可用性金鑰。 每個新的 DEP 都會產生一個獨特的可用性金鑰。
相較之下,SharePoint 與 OneDrive 中客戶鑰匙的可用性金鑰是在森林層級建立,並在 DEP 與客戶間共享。 這些金鑰僅依照 Microsoft 定義的內部排程擲骰。
為了降低每次新增 DEP 時無法滾出可用性金鑰的風險,SharePoint、OneDrive 和 Teams 在每次建立新 DEP 時,都會 (TIK) 滾出租戶中介金鑰。 TIK 是由客戶根金鑰與可用性金鑰同時包裝的金鑰。
Roll 客戶管理的根金鑰
方法一:更新現有金鑰 (建立新版本)
使用此方法建立現有金鑰的新版本。 此方法建議用於例行的按鍵輪換。
步驟 1:在 Azure 金鑰保存庫 建立新的金鑰版本
若要請求現有金鑰的新版本,請使用 Add-AzKeyVaultKey 與創建原始金鑰時相同的 cmdlet。
用 Azure PowerShell 登入你的 Azure 訂閱。 相關說明請參見「以 Azure PowerShell 登入」。
執行
Add-AzKeyVaultKey指令長:Add-AzKeyVaultKey -VaultName <VaultName> -Name <KeyName> -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date)範例:
Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")在此範例中,一個名為 Contoso-CK-EX-NA-VaultA1-Key001 的金鑰已存在於 Contoso-CK-EX-NA-VAULTA1 保險庫中。 指令長會建立一個新的金鑰版本。 先前版本會保留在金鑰的版本歷史中。
在每個包含你想擲的鑰匙Azure 金鑰保存庫重複這個步驟。
步驟 2:刷新 DEP 以使用新的金鑰版本
建立新金鑰版本後,您必須刷新 DEP 以指示客戶金鑰使用新版本。
多工作負載 DEP
使用工作或學校帳號並取得適當權限,連接 Exchange Online PowerShell。 如需詳細指示,請參閱連線到 Exchange Online PowerShell。
執行
Set-M365DataAtRestEncryptionPolicy指令長:Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Refresh參數 描述 -Identity資料加密政策的唯一名稱或 GUID 注意事項
即使以同一金鑰的新版本更新 DEP,該
DataEncryptionPolicyID性質仍保持不變。 這個動作不會旋轉可用鍵。
對於Exchange DEPs來說
使用工作或學校帳號並取得適當權限,連接 Exchange Online PowerShell。 如需詳細指示,請參閱連線到 Exchange Online PowerShell。
執行
Set-DataEncryptionPolicy指令長:Set-DataEncryptionPolicy -Identity <Policy> -Refresh參數 描述 -Identity資料加密政策的唯一名稱或 GUID 注意事項
DataEncryptionPolicyID即使用同一金鑰的新版本更新政策,信箱的屬性會保持不變。 這個動作不會旋轉可用鍵。
針對 SharePoint 和 OneDrive DEP
SharePoint 支援一次只擲一個鍵。 如果你打算在鑰匙庫裡同時擲兩把鑰匙,請等第一個操作結束後再開始第二個。 為避免衝突,Microsoft 建議分階段進行作業。
執行
Update-SPODataEncryptionPolicy指令長:Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>這個指令碼會啟動按鍵擲骰操作,但變更不會立即生效。
對於儲存在受管型 HSM 中的金鑰,請改用
-KeyVaultURL:Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultURL <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>要檢查按鍵擲骰操作的進度,請執行:
Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>
方法二:用新產生的鍵替換金鑰
當你需要用新的金鑰完全替換現有金鑰時,請使用此方法。
重要事項
確保舊金鑰在替換程序完全完成前,仍能啟用並可存取 Microsoft 365 服務。
使用工作或學校帳號並取得適當權限,連接 Exchange Online PowerShell。 如需詳細指示,請參閱連線到 Exchange Online PowerShell。
根據你的 DEP 類型執行相應的 cmdlet:
對於Exchange DEPs:
Set-DataEncryptionPolicy -Identity <Policy> -Replace -AzureKeyIDs <KeyURI1>,<KeyURI2>針對多工作負載的 DEP:
Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Replace -AzureKeyIDs <KeyURI1>,<KeyURI2>參數 描述 -Identity資料加密政策的唯一名稱或 GUID -AzureKeyIDsAzure 金鑰保存庫鍵的逗號分隔 URI 範例:
Set-M365DataAtRestEncryptionPolicy -Identity ExampleDEP -Replace -AzureKeyIDs https://contoso_eastusvault02.vault.azure.net/keys/USA_key_01,https://contoso_eastusvault01.vault.azure.net/keys/USA_key_02
注意事項
和 KeyURI2 的KeyURI1順序並不重要。 如果你只想替換一個金鑰,保留另一個,執行指令時仍需提供兩個金鑰的 URI。
注意
更換金鑰後,請等 24 小時 再停用並刪除不再使用的金鑰。 如果再過 24 到 48 小時,如果 Microsoft 365 服務沒有問題,請清除未使用的金鑰。
確認鑰匙滾動狀態
請使用以下指令來確認你的按鍵滾動操作狀態。
| 工作負載 | 驗證指令 |
|---|---|
| SharePoint/OneDrive | Get-SPODataEncryptionPolicy <SPOAdminSiteUrl> |
| Exchange | Get-DataEncryptionPolicy -Identity <Policy> |
| 多重工作負載 | Get-M365DataAtRestEncryptionPolicy -Identity <Policy> |
疑難排解
| 問題 | 可能原因 | 解決方案 |
|---|---|---|
| 按鍵擲骰失敗且權限錯誤 | 權限不足Azure 金鑰保存庫 | 確認你的帳號在金鑰保險庫上的權限wrapKeyunwrapKey |
| DEP 刷新失敗 | 尚未傳播的新金鑰版本 | 等幾分鐘再試一次重新整理指令 |
| SharePoint 的名單顯示「進行中」持續時間 | 大型租戶擁有大量資料 | SharePoint 的金鑰滾筒對大型租戶來說可能需要時間。 繼續監測 Get-SPODataEncryptionPolicy |
| 在金鑰擲骰後無法存取加密內容 | 舊鑰匙太早被停用了 | 重新啟用舊金鑰,等待 24 到 48 小時後再停用 |