Implementare o distribuire una Customer Key o una chiave di disponibilitàRoll or rotate a Customer Key or an availability key

Attenzione

Eseguire il rollforward di una chiave di crittografia da utilizzare con il codice "Customer Key" quando i requisiti di sicurezza o conformità prevedono che è necessario ripristinare la chiave.Only roll an encryption key that you use with Customer Key when your security or compliance requirements dictate that you must roll the key. Inoltre, non eliminare le chiavi che sono o sono state associate ai criteri.In addition, do not delete any keys that are or were associated with policies. Quando si esegue il rollback delle chiavi, verranno crittografati i contenuti con le chiavi precedenti.When you roll your keys, there will be content encrypted with the previous keys. Ad esempio, mentre le cassette postali attive verranno crittografate di frequente, le cassette postali inattive, disconnesse e disabilitate potrebbero essere ancora crittografate con le chiavi precedenti.For example, while active mailboxes will be re-encrypted frequently, inactive, disconnected, and disabled mailboxes may still be encrypted with the previous keys. SharePoint Online esegue il backup del contenuto per scopi di ripristino e ripristino, per cui è possibile che il contenuto archiviato sia ancora utilizzato con i tasti precedenti.SharePoint Online performs backup of content for restore and recovery purposes, so there may still be archived content using older keys.

Informazioni su Rolling The availability KeyAbout rolling the availability key

Microsoft non espone il controllo diretto della chiave di disponibilità ai clienti.Microsoft does not expose direct control of the availability key to customers. Ad esempio, è possibile eseguire il rollback solo delle chiavi di cui si dispone in Azure Key Vault.For example, you can only roll (rotate) the keys that you own in Azure Key Vault. Microsoft 365 esegue il rollback delle chiavi di disponibilità in base a una pianificazione definita internamente.Microsoft 365 rolls the availability keys on an internally-defined schedule. Non è previsto alcun contratto di servizio per questi rotoli di chiavi.There is no customer-facing, service-level agreement (SLA) for these key rolls. Microsoft 365 ruota la chiave di disponibilità utilizzando il codice del servizio Microsoft 365 in un processo automatizzato e non manuale.Microsoft 365 rotates the availability key using Microsoft 365 service code in an automated, non-manual process. Gli amministratori di Microsoft possono avviare il processo di rollforward.Microsoft administrators may initiate the roll process. La chiave viene rotolata utilizzando meccanismi automatici senza accesso diretto all'archivio delle chiavi.The key is rolled using automated mechanisms without direct access to the key store. L'accesso all'archivio segreto della chiave di disponibilità non viene eseguito a Microsoft Administrators.Access to the availability key secret store is not provisioned to Microsoft administrators. Chiave di disponibilità la rotazione utilizza lo stesso meccanismo utilizzato per generare inizialmente la chiave.Availability key rolling leverages the same mechanism used to initially generate the key. Per ulteriori informazioni sulla chiave di disponibilità, vedere understand the availability Key.For more information about the availability key, see Understand the availability key.

Importante

Le chiavi di disponibilità di Exchange Online e Skype for business possono essere effettivamente arrotolate dai clienti che creano una nuova funzionalità di protezione esecuzione programmi, poiché viene generata una chiave di disponibilità univoca per ogni DEP creato.Exchange Online and Skype for Business availability keys can be effectively rolled by customers creating a new DEP, since a unique availability key is generated for each DEP you create. Le chiavi di disponibilità per SharePoint Online, OneDrive for business e i file di teams esistono a livello di foresta e sono condivise tra DEPs e Customers, il che significa che il rollforward si verifica solo in base a una pianificazione definita internamente da Microsoft.Availability keys for SharePoint Online, OneDrive for Business, and Teams files exist at the forest level and are shared across DEPs and customers, which means rolling only occurs at a Microsoft internally defined schedule. Per ridurre il rischio di non rotolare la chiave di disponibilità ogni volta che viene creata una nuova protezione esecuzione programmi, SharePoint, OneDrive e teams eseguono il rollforward del tasto di intermediazione del tenant, la chiave racchiusa tra le chiavi principali del cliente e la chiave di disponibilità, ogni volta che viene creata una nuova protezione esecuzione programmi.To mitigate the risk of not rolling the availability key each time a new DEP is created, SharePoint, OneDrive, and Teams roll the tenant intermediate key (TIK), the key wrapped by the customer root keys and availability key, each time a new DEP is created.

Richiedere una nuova versione di ogni chiave radice esistente che si desidera eseguire il rollbackRequest a new version of each existing root key you want to roll

Quando si esegue il rollback di una chiave, viene richiesta una nuova versione di una chiave esistente.When you roll a key, you request a new version of an existing key. Per richiedere una nuova versione di una chiave esistente, è necessario utilizzare lo stesso cmdlet Add-AzKeyVaultKey, con la stessa sintassi utilizzata per creare la chiave in primo luogo.To request a new version of an existing key, you use the same cmdlet, Add-AzKeyVaultKey, with the same syntax that you used to create the key in the first place. Dopo aver completato il rollforward di qualsiasi tasto associato a un criterio di crittografia dei dati, è possibile eseguire un altro cmdlet per assicurarsi che la chiave del cliente inizi a utilizzare la nuova chiave.After you've finished rolling any key associated with a Data Encryption Policy (DEP), you run another cmdlet to ensure that Customer Key begins using the new key. Eseguire questo passaggio in ogni Vault Key di Azure (AKV).Do this step in each Azure Key Vault (AKV).

Ad esempio:For example:

  1. Accedere alla sottoscrizione di Azure con Azure PowerShell.Sign in to your Azure subscription with Azure PowerShell. Per istruzioni, vedere accedere con Azure PowerShell.For instructions, see Sign in with Azure PowerShell.

  2. Eseguire il cmdlet Add-AzKeyVaultKey come illustrato nell'esempio seguente:Run the Add-AzKeyVaultKey cmdlet as shown in the following example:

    Add-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")
    

    In questo esempio, poiché una chiave denominata Contoso-O365EX-na-VaultA1-Key001 esiste nel Vault Contoso-O365EX-na-VaultA1 , il cmdlet crea una nuova versione della chiave.In this example, since a key named Contoso-O365EX-NA-VaultA1-Key001 exists in the Contoso-O365EX-NA-VaultA1 vault, the cmdlet creates a new version of the key. Questa operazione consente di conservare le versioni principali precedenti nella cronologia delle versioni per la chiave.This operation preserves the previous key versions in the version history for the key. È necessaria la versione precedente della chiave per decrittografare i dati che vengono ancora crittografati.You need the previous key version to decrypt the data that it still encrypts. Dopo aver completato il rollforward di qualsiasi tasto associato a una funzionalità di protezione esecuzione programmi, eseguire un cmdlet aggiuntivo per assicurarsi che la chiave del cliente inizi a utilizzare la nuova chiave.Once you complete rolling any key associated with a DEP, run an extra cmdlet to ensure that Customer Key begins using the new key. Nelle sezioni seguenti vengono descritti i cmdlet in modo più dettagliato.The following sections describe the cmdlets in more detail.

Aggiornare la chiave del cliente per Exchange Online e Skype for businessUpdate the Customer Key for Exchange Online and Skype for Business

Quando si esegue il rollback delle chiavi del Vault Key di Azure associate a una DEP utilizzata con Exchange Online e Skype for business, è necessario aggiornare la funzionalità DEP in modo che punti alla nuova chiave.When you roll either of the Azure Key Vault keys associated with a DEP used with Exchange Online and Skype for Business, you must update the DEP to point to the new key. La chiave di disponibilità non viene ruotata.This does not rotate the availability key.

Per indicare a Customer Key di utilizzare la nuova chiave per crittografare le cassette postali, eseguire il cmdlet Set-DataEncryptionPolicy come indicato di seguito:To instruct Customer Key to use the new key to encrypt mailboxes, run the Set-DataEncryptionPolicy cmdlet as follows:

  1. Eseguire il cmdlet Set-DataEncryptionPolicy in Azure PowerShell:Run the Set-DataEncryptionPolicy cmdlet in Azure PowerShell:

    Set-DataEncryptionPolicy -Identity <DataEncryptionPolicyID> -Refresh
    

    Entro 72 ore, le cassette postali attive associate a questo DEP diventano crittografate con la nuova chiave.Within 72 hours, the active mailboxes associated with this DEP become encrypted with the new key.

  2. Per controllare il valore della proprietà DataEncryptionPolicyID per la cassetta postale, attenersi alla procedura descritta in determinare la funzionalità DEP assegnata a una cassetta postale.To check the value for the DataEncryptionPolicyID property for the mailbox, use the steps in Determine the DEP assigned to a mailbox. Il valore di questa proprietà viene modificato dopo che il servizio ha applicato la chiave aggiornata.The value for this property changes once the service applies the updated key.

Aggiornare la chiave del cliente per i file di SharePoint Online, OneDrive for business e teamsUpdate the Customer Key for SharePoint Online, OneDrive for Business, and Teams files

SharePoint Online consente solo di eseguire il rollforward di una chiave alla volta.SharePoint Online only allows you to roll one key at a time. Se si desidera eseguire il rollforward di entrambe le chiavi in un Vault chiave, attendere che venga completata la prima operazione.If you want to roll both keys in a key vault, wait for the first operation to complete. Microsoft consiglia di scaglionare le operazioni per evitare questo problema.Microsoft recommends that you stagger your operations to avoid this issue. Quando si esegue il rollback delle chiavi del Vault Key di Azure associate a una DEP utilizzata con SharePoint Online e OneDrive for business, è necessario aggiornare la funzionalità DEP in modo che punti alla nuova chiave.When you roll either of the Azure Key Vault keys associated with a DEP used with SharePoint Online and OneDrive for Business, you must update the DEP to point to the new key. La chiave di disponibilità non viene ruotata.This does not rotate the availability key.

  1. Eseguire il cmdlet Update-SPODataEncryptionPolicy come indicato di seguito:Run the Update-SPODataEncryptionPolicy cmdlet as follows:

    Update-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>
    

    Anche se questo cmdlet avvia l'operazione di rollforward delle chiavi per SharePoint Online e OneDrive for business, l'azione non viene completata immediatamente.While this cmdlet starts the key roll operation for SharePoint Online and OneDrive for Business, the action doesn't complete immediately.

  2. Per visualizzare lo stato dell'operazione di rollforward delle chiavi, eseguire il cmdlet Get-SPODataEncryptionPolicy nel modo riportato di seguito:To see the progress of the key roll operation, run the Get-SPODataEncryptionPolicy cmdlet as follows:

    Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>