Guide pratique pour renouveler la clé symétrique dans Azure Information ProtectionHow-to: Renew the symmetric key in Azure Information Protection

Une clé symétrique est un secret qui chiffre et déchiffre un message dans le chiffrement par clé symétrique.A symmetric key is a secret that encrypts and decrypts a message in symmetric-key cryptography.

Dans Azure AD (Azure Active Directory), quand vous créez un objet principal de service pour représenter une application, le processus génère également une clé symétrique 256 bits pour vérifier l’application.In Azure Active Directory (Azure AD), when you create a service principal object to represent an application, the process also generates a 256-bit symmetric key to verify the application. Par défaut, cette clé symétrique est valable un an.This symmetric key is valid for one year by default.

Les étapes ci-dessous décrivent comment renouveler la clé symétrique.The steps below outline how to renew the symmetric key.

PrérequisPrerequisites

Renouvellement de la clé symétrique après expirationRenewing the symmetric key after expiry

Vous n’êtes pas obligé de créer un principal de service quand la clé symétrique associée à votre application a expiré.You don't have to create a new service principal when the symmetric key associated with your application has expired. En effet, vous pouvez utiliser les applets de commande PowerShell fournies par MSol (Microsoft Online Services) qui vous permettront d’émettre une nouvelle clé symétrique pour un principal de service existant.Instead, you can use the PowerShell commandlets provided by Microsoft Online Services (MSol) to issue a new symmetric key for an existing service principal.

Pour illustrer ce processus, supposons que vous avez déjà créé un principal de service à l’aide de la commande New-MsolServicePrincipal.To illustrate this process, let's assume you have already created a new service principal using the New-MsolServicePrincipal command.

New-MsolServicePrincipalCredential -ServicePrincipalName "SupportExampleApp"

Le processus de création crée une clé symétrique et un AppPrincipalId comme indiqué.The creation process creates a symmetric key and an AppPrincipalId as shown.

The following symmetric key was created as one was not supplied
ZYbF/lTtwE28qplQofCpi2syWd11D83+A3DRlb2Jnv8=

DisplayName : SupportExampleApp
ServicePrincipalNames : {7d9c1f38-600c-4b4d-8249-22427f016963}
ObjectId : 0ee53770-ec86-409e-8939-6d8239880518
AppPrincipalId : 7d9c1f38-600c-4b4d-8249-22427f016963
TrustedForDelegation : False
AccountEnabled : True
Addresses : []
KeyType : Symmetric
KeyId : acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe
StartDate : 3/22/2017 3:27:53 PM
EndDate : 3/22/2018 3:27:53 PM
Usage : Verify

La clé symétrique créée dans l’exemple ci-dessus expire le 22/03/2018 à 15:27:53.The symmetric key created in the above example expires on 3/22/2018 at 3:27:53PM. Pour pouvoir continuer à utiliser le principal de service après cette date, vous devez renouveler la clé symétrique.In order to continue using the service principal beyond this time, you would have to renew the symmetric key. Vous pouvez le faire avec la commande New-MsolServicePrincipalCredential.You can do this using the New-MsolServicePrincipalCredential command.

New-MsolServicePrincipalCredential -AppPrincipalId 7d9c1f38-600c-4b4d-8249-22427f016963

Elle crée une clé symétrique pour l’élément AppPrincipalId spécifié.This creates a new symmetric key for the specified AppPrincipalId.

The following symmetric key was created as one was not supplied ON8YYaMYNmwSfMX625Ei4eC6N1zaeCxbc219W090v28-

Vous pouvez utiliser la commande GetMsolServicePrincipalCredential pour vérifier que la nouvelle clé symétrique est associée au principal de service approprié comme indiqué.You can use the GetMsolServicePrincipalCredential command to verify that the new symmetric key is associated with the correct service principal as shown. Notez que la commande liste toutes les clés qui sont associées au principal de service.Note that the command lists all the keys that are currently associated with the service principal.

Get-MsolServicePrincipalCredential -AppPrincipalId 7d9c1f38-600c-4b4d-8249-22427f016963 -ReturnKeyValues true

Type : Symmetric
Value :
KeyId : c1ac145f-e899-4c90-8a02-2cef40054fc5
StartDate : 3/24/2017 10:11:07 PM
EndDate : 3/24/2018 10:11:07 PM
Usage : Verify

Type : Symmetric
Value :
KeyId : acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe
StartDate : 3/22/2017 3:27:53 PM
EndDate : 3/22/2018 3:27:53 PM
Usage : Verify

Une fois que vous avez vérifié que la clé symétrique est effectivement associée au principal de service approprié, vous pouvez mettre à jour les paramètres d’authentification du principal de service avec la nouvelle clé.Once you have verified that the symmetric key is indeed associated with the right service principal, you can update the service principal's authentication parameters with the new key.

Vous pouvez ensuite supprimer l’ancienne clé symétrique à l’aide de la commande Remove-MsolServicePrincipalCredential et vérifier que la clé est supprimée à l’aide de la commande Get-MsolServicePrincipalCredential.You can then remove the old symmetric key using the Remove-MsolServicePrincipalCredential command and verify that the key is removed using the Get-MsolServicePrincipalCredential command.

Remove-MsolServicePrincipalCredential -KeyId acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe -ObjectId 0ee53770-ec86-409e-8939-6d8239880518