لف مفتاح عميل أو مفتاح توفر أو تدويره

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

تنبيه

قم فقط بلف مفتاح التشفير الذي تستخدمه مع Customer Key عندما تفرض متطلبات الأمان أو التوافق الخاصة بك أنه يجب عليك إظهار المفتاح. بالإضافة إلى ذلك، لا تحذف أي مفاتيح مقترنة أو مقترنة بنهج. عند لف المفاتيح، سيكون هناك محتوى مشفر بالمفاتيح السابقة. على سبيل المثال، على الرغم من إعادة تشفير علب البريد النشطة بشكل متكرر، قد تظل علب البريد غير النشطة وغير المتصلة والمعطلة مشفرة باستخدام المفاتيح السابقة. يقوم SharePoint Online بإجراء نسخة احتياطية من المحتوى لأغراض الاستعادة والاسترداد، لذلك قد لا يزال هناك محتوى مؤرشف باستخدام المفاتيح القديمة.

حول طرح مفتاح التوفر

لا تعرض Microsoft التحكم المباشر لمفتاح التوفر للعملاء. على سبيل المثال، يمكنك فقط لف (تدوير) المفاتيح التي تملكها في Azure Key Vault. Microsoft 365 لف مفاتيح التوفر في جدول زمني محدد داخليا. لا توجد اتفاقية على مستوى الخدمة (SLA) تواجه العملاء لهذه اللفات الرئيسية. يقوم Microsoft 365 بتدوير مفتاح التوفر باستخدام رمز الخدمة Microsoft 365 في عملية تلقائية وغير يدوية. يمكن لمسؤولي Microsoft بدء عملية اللف. يتم طرح المفتاح باستخدام آليات تلقائية دون الوصول المباشر إلى مخزن المفاتيح. لا يتم توفير الوصول إلى مخزن مفاتيح التوفر السري لمسؤولي Microsoft. يستفيد المتداول لمفتاح التوفر من نفس الآلية المستخدمة لإنشاء المفتاح في البداية. لمزيد من المعلومات حول مفتاح التوفر، راجع فهم مفتاح التوفر.

هام

يمكن إظهار Exchange Online ومفاتيح التوفر Skype for Business بشكل فعال من قبل العملاء الذين ينشئون DEP جديدا، حيث يتم إنشاء مفتاح توفر فريد لكل DEP تقوم بإنشائه. توجد مفاتيح التوفر لملفات SharePoint Online و OneDrive for Business و Teams على مستوى الغابة وتتم مشاركتها عبر DEPs والعملاء، ما يعني أن النشر يحدث فقط في جدول زمني محدد داخليا من Microsoft. للتخفيف من مخاطر عدم طرح مفتاح التوفر في كل مرة يتم فيها إنشاء DEP جديد، SharePoint، OneDrive، Teams لف المفتاح الوسيط للمستأجر (TIK)، المفتاح الملتف بواسطة مفاتيح جذر العميل ومفتاح التوفر، في كل مرة يتم فيها إنشاء DEP جديد.

طلب إصدار جديد من كل مفتاح جذر موجود تريد لفه

عند لف مفتاح، يمكنك طلب إصدار جديد من مفتاح موجود. لطلب إصدار جديد من مفتاح موجود، يمكنك استخدام cmdlet نفسه، Add-AzKeyVaultKey، بنفس بناء الجملة الذي استخدمته لإنشاء المفتاح في المقام الأول. بعد الانتهاء من طرح أي مفتاح مقترن بنهج تشفير البيانات (DEP)، يمكنك تشغيل أمر cmdlet آخر للتأكد من أن مفتاح العميل يبدأ باستخدام المفتاح الجديد. قم بهذه الخطوة في كل Key Vault Azure (AKV).

على سبيل المثال:

1. سجل الدخول إلى اشتراك Azure باستخدام Azure PowerShell. للحصول على الإرشادات، راجع تسجيل الدخول باستخدام Azure PowerShell.

2. قم بتشغيل Add-AzKeyVaultKey cmdlet كما هو موضح في المثال التالي:

   Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")
   

   في هذا المثال، نظرا لوجود مفتاح يسمى Contoso-CK-EX-NA-VaultA1-Key001 في مخزن Contoso-CK-EX-NA-VaultA1 ، ينشئ cmdlet إصدارا جديدا من المفتاح. تحافظ هذه العملية على الإصدارات الرئيسية السابقة في محفوظات الإصدارات للمفتاح. تحتاج إلى إصدار المفتاح السابق لفك تشفير البيانات التي لا يزال يقوم بتشفيرها. بمجرد الانتهاء من طرح أي مفتاح مقترن ب DEP، قم بتشغيل أمر cmdlet إضافي للتأكد من أن مفتاح العميل يبدأ باستخدام المفتاح الجديد. تصف الأقسام التالية أوامر cmdlets بمزيد من التفصيل.

تحديث المفاتيح ل DEPs متعددة حمل العمل

عند لف أي من مفاتيح azure Key Vault المقترنة ب DEP المستخدم مع أحمال عمل متعددة، يجب تحديث DEP للإشارة إلى المفتاح الجديد. لا تقوم هذه العملية بتدوير مفتاح التوفر.

لإرشاد Customer Key لاستخدام المفتاح الجديد لتشفير أحمال عمل متعددة، أكمل الخطوات التالية:

1. على الكمبيوتر المحلي، باستخدام حساب العمل أو المؤسسة التعليمية الذي لديه أذونات المسؤول العام أو مسؤول التوافق في مؤسستك، اتصل Exchange Online PowerShell في نافذة Windows PowerShell.

2. تشغيل Set-M365DataAtRestEncryptionPolicy cmdlet.

   Set-M365DataAtRestEncryptionPolicy -[Identity] "PolicyName" -Refresh
   

حيث يكون PolicyName هو اسم النهج أو معرفه الفريد. على سبيل المثال، Contoso_Global.

على سبيل المثال:

Set-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global" -Refresh

تحديث مفاتيح Exchange Online DEPs

عند لف أي من مفاتيح Key Vault Azure المقترنة ب DEP المستخدم مع Exchange Online Skype for Business، يجب تحديث DEP للإشارة إلى المفتاح الجديد. لا يقوم هذا بتدوير مفتاح التوفر.

لإرشاد Customer Key لاستخدام المفتاح الجديد لتشفير علب البريد، قم بتشغيل Set-DataEncryptionPolicy cmdlet كما يلي:

1. تشغيل Set-DataEncryptionPolicy cmdlet في Azure PowerShell:

   Set-DataEncryptionPolicy -Identity <DataEncryptionPolicyID> -Refresh
   

2. للتحقق من قيمة خاصية DataEncryptionPolicyID لعلبة البريد، استخدم الخطوات الواردة في تحديد DEP المعين إلى علبة بريد. تتغير قيمة هذه الخاصية بمجرد تطبيق الخدمة للمفتاح المحدث.

تحديث مفاتيح ملفات SharePoint Online و OneDrive for Business و Teams

SharePoint Online يسمح لك فقط بطرح مفتاح واحد في كل مرة. إذا كنت تريد لف كلا المفتاحين في مخزن مفاتيح، فانتظر حتى تكتمل العملية الأولى. توصي Microsoft بتدرج عملياتك لتجنب هذه المشكلة. عند لف أي من مفاتيح azure Key Vault المقترنة ب DEP المستخدم مع SharePoint Online و OneDrive for Business، يجب تحديث DEP للإشارة إلى المفتاح الجديد. لا يقوم هذا بتدوير مفتاح التوفر.

1. شغل أمر cmdlet Update-SPODataEncryptionPolicy كما يلي:

   Update-SPODataEncryptionPolicy  <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>
   

   بينما يبدأ أمر cmdlet هذا عملية لفة المفاتيح ل SharePoint Online و OneDrive for Business، لا يكتمل الإجراء على الفور.

2. للاطلاع على تقدم عملية لفة المفتاح، قم بتشغيل Get-SPODataEncryptionPolicy cmdlet كما يلي:

   Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>
   

المقالات ذات الصلة

• تشفير الخدمة باستخدام مفتاح العميل Office 365

• إعداد مفتاح العميل Office 365

• إدارة مفتاح العميل Office 365

• التعرف على مفتاح التوفر