Поделиться через

Смена или ротация ключа клиента или ключа доступности

Предостережение

Свертывайте ключ шифрования, используемый с ключом клиента , только если это требуется политиками безопасности или соответствия требованиям вашей организации.

Не удаляйте и не отключайте ключи, включая более старые версии, которые были связаны с политиками шифрования. При накате ключей некоторые содержимое по-прежнему может быть зашифровано с помощью предыдущих ключей.

Например:

  • Активные почтовые ящики часто шифруются повторно, но неактивные, отключенные или отключенные почтовые ящики могут по-прежнему использовать старые ключи.
  • SharePoint сохраняет содержимое резервных копий для восстановления и восстановления, которое также может зависеть от старых ключей.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Сведения о переключите ключ доступности

Корпорация Майкрософт не предоставляет клиентам прямой контроль над ключом доступности. Например, можно свернуть только ключи, которыми вы управляете в Azure Key Vault.

Microsoft 365 развертывает ключ доступности по внутреннему расписанию. Соглашение об уровне обслуживания (SLA) для этих ключевых смен не существует. Microsoft 365 использует код службы для автоматической смены ключа доступности. В некоторых случаях администраторы Майкрософт могут инициировать процесс, но ключ развертывается с помощью автоматизированных механизмов, которые не разрешают прямой доступ к хранилищу ключей.

Администраторы Майкрософт не имеют подготовленного доступа к хранилищу секретов ключей доступности. В последовательном процессе используется тот же механизм, который создает ключ во время начальной подготовки.

Дополнительные сведения см. в статье Общие сведения о ключе доступности.

Важно!

Для Exchange можно эффективно свернуть ключ доступности, создав новую политику шифрования данных (DEP). Каждый новый DEP создает уникальный ключ доступности.

В отличие от этого ключи доступности для ключа клиента в SharePoint и OneDrive создаются на уровне леса и совместно используются dep и клиентами. Эти ключи развертываются только по внутреннему расписанию, определенному корпорацией Майкрософт.

Чтобы снизить риск того, что ключ доступности не будет переворачиваться с каждым новым DEP, SharePoint, OneDrive и Teams при каждом создании нового DEP развертывает промежуточный ключ клиента (TIK). ТИК — это ключ, заключенный как корневыми ключами клиента, так и ключом доступности.

Сведения о смене управляемых клиентом корневых ключей

Существует два способа проката корневых ключей, управляемых клиентом:

  • Обновите существующий ключ, запросив новую версию и обновив связанную политику шифрования данных (DEP).
  • Создайте и используйте только что созданный ключ вместе с новым DEP.

Инструкции по обоим методам приведены в следующем разделе.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.

Запросите новую версию каждого существующего корневого ключа, который вы хотите свернуть

Чтобы запросить новую версию существующего ключа, используйте тот же командлет Add-AzKeyVaultKey с тем же синтаксисом и именем ключа, которые использовались при создании исходного ключа.

Завершив развертывание ключа, связанного с политикой шифрования данных (DEP), выполните отдельный командлет, чтобы обновить DEP и убедиться, что ключ клиента использует новую версию. Повторите этот процесс в каждом Key Vault Azure (AKV).

Пример:

  1. Войдите в подписку Azure с помощью Azure PowerShell. Инструкции см. в статье Вход с помощью Azure PowerShell.

  2. Add-AzKeyVaultKey Выполните командлет:

    Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")

    В этом примере ключ с именем Contoso-CK-EX-NA-VaultA1-Key001 уже существует в хранилище Contoso-CK-EX-NA-VaultA1. Командлет создает новую версию ключа. Предыдущие версии сохраняются в журнале версий ключа.

    Доступ к предыдущей версии необходим для расшифровки содержимого, которое по-прежнему зашифровано вместе с ней.

    Завершив развертывание ключа, связанного с DEP, выполните другой командлет, чтобы ключ клиента начал использовать новую версию. В следующих разделах эти командлеты описаны более подробно.

    Обновление ключей для dep с несколькими рабочими нагрузками

    При накате любого из ключей azure Key Vault, связанных с политикой шифрования данных (DEP), используемой в нескольких рабочих нагрузках, необходимо обновить DEP, чтобы сослаться на новую версию ключа. Это действие не изменяет ключ доступности.

    Свойство DataEncryptionPolicyID остается прежним при обновлении DEP с помощью новой версии того же ключа.

    Чтобы указать ключу клиента использовать новый ключ для шифрования в нескольких рабочих нагрузках, выполните следующие действия.

    1. На локальном компьютере используйте рабочую или учебную учетную запись с соответствующими разрешениями и подключитесь к Exchange PowerShell.

    2. Set-M365DataAtRestEncryptionPolicy Выполните командлет:

    Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Refresh
    Параметр Описание
    -Identity Уникальное имя или GUID политики шифрования данных

    Обновление ключей для exchange DEP

    При накате любого из ключей azure Key Vault, связанных с политикой шифрования данных (DEP), используемой с Exchange, необходимо обновить DEP, чтобы сослаться на новую версию ключа. Этот шаг не изменяет ключ доступности.

    Свойство DataEncryptionPolicyID почтового ящика остается прежним при обновлении политики с помощью новой версии того же ключа.

    Чтобы указать ключу клиента использовать новый ключ для шифрования почтовых ящиков, выполните следующие действия.

    1. На локальном компьютере используйте рабочую или учебную учетную запись с соответствующими разрешениями и подключитесь к Exchange PowerShell.

    2. Set-DataEncryptionPolicy Выполните командлет:

    Set-DataEncryptionPolicy -Identity <Policy> -Refresh
    Параметр Описание
    -Identity Уникальное имя или GUID политики шифрования данных

Использование только что созданного ключа для DEP

Если вы решили использовать только что созданные ключи вместо обновления существующих, процесс обновления политик шифрования данных будет другим. Вместо обновления существующей политики необходимо создать и назначить новую политику шифрования данных, которая ссылается на новый ключ.

  1. Чтобы создать новый ключ и добавить его в хранилище ключей, выполните действия, описанные в разделе Добавление ключа в каждое хранилище ключей путем создания или импорта ключа.

  2. После добавления ключа в хранилище ключей создайте новую политику шифрования данных, используя универсальный код ресурса (URI) нового ключа. Подробные инструкции см. в статье Управление ключом клиента для Microsoft 365.

Обновление ключей для SharePoint и OneDrive

SharePoint поддерживает одновременное развертывание только по одному ключу. Если вы планируете свернуть оба ключа в хранилище ключей, дождитесь завершения первой операции, прежде чем начинать вторую. Чтобы избежать конфликтов, корпорация Майкрософт рекомендует ошеломлять ваши операции.

При накате любого из ключей azure Key Vault, связанных с политикой шифрования данных (DEP), используемой с SharePoint и OneDrive, необходимо обновить DEP, чтобы сослаться на новый ключ. Этот процесс не изменяет ключ доступности.

  1. Чтобы свернуть ключ для SharePoint и OneDrive, выполните Update-SPODataEncryptionPolicy командлет:

    Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

    Этот командлет запускает операцию смены клавиш, но изменение вступает в силу не сразу.

  2. Чтобы обновить политику SharePoint и OneDrive с помощью ключей, хранящихся в управляемом модуле HSM, выполните следующую команду:

    Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultURL <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

  3. Чтобы проверка ход выполнения операции переката ключей, выполните следующую команду:

    Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>