方法:Azure Information Protection で対称キーを更新するHow-to: Renew the symmetric key in Azure Information Protection

対称キーは、対称キー暗号化方式でメッセージを暗号化および復号化するシークレットです。A symmetric key is a secret that encrypts and decrypts a message in symmetric-key cryptography.

Azure Active Directory (Azure AD) では、アプリケーションを表すサービス プリンシパル オブジェクトを作成するプロセスで、アプリケーションを検証するための 256 ビット対称キーも生成されます。In Azure Active Directory (Azure AD), when you create a service principal object to represent an application, the process also generates a 256-bit symmetric key to verify the application. この対称キーは、既定では 1 年間有効です。This symmetric key is valid for one year by default.

次の手順では、対称キーを更新する方法を示します。The following steps show how to renew the symmetric key.

必須コンポーネントPrerequisites

  • Azure AD Powershell Reference」(Azure AD Powershell リファレンス) の説明に従って、Azure Active Directory (Azure AD) PowerShell モジュールをインストールする必要があります。Azure Active Directory (Azure AD) PowerShell module must be installed as directed in the Azure AD Powershell Reference.

有効期限が切れた対称キーの更新Renewing the symmetric key after expiry

アプリケーションに関連付けられている対称キーの有効期限が切れた場合、新しいサービス プリンシパルを作成する必要はありません。You don't have to create a new service principal when the symmetric key associated with your application has expired. 代わりに、Microsoft Online Services (MSol) によって提供される PowerShell コマンドレットを使って、既存のサービス プリンシパルに新しい対称キーを発行できます。Instead, you can use the PowerShell commandlets provided by Microsoft Online Services (MSol) to issue a new symmetric key for an existing service principal.

このプロセスを説明するため、New-MsolServicePrincipal コマンドを使って新しいサービス プリンシパルを既に作成してあるものとします。To illustrate this process, let's assume you have already created a new service principal using the New-MsolServicePrincipal command.

New-MsolServicePrincipalCredential -ServicePrincipalName "SupportExampleApp"

作成プロセスでは、次に示すように対称キーと AppPrincipalId が作成されます。The creation process creates a symmetric key and an AppPrincipalId as shown.

The following symmetric key was created as one was not supplied
ZYbF/lTtwE28qplQofCpi2syWd11D83+A3DRlb2Jnv8=

DisplayName : SupportExampleApp
ServicePrincipalNames : {7d9c1f38-600c-4b4d-8249-22427f016963}
ObjectId : 0ee53770-ec86-409e-8939-6d8239880518
AppPrincipalId : 7d9c1f38-600c-4b4d-8249-22427f016963
TrustedForDelegation : False
AccountEnabled : True
Addresses : []
KeyType : Symmetric
KeyId : acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe
StartDate : 3/22/2017 3:27:53 PM
EndDate : 3/22/2018 3:27:53 PM
Usage : Verify

この対称キーの有効期限は、2018 年 3 月 22 日午後 3 時 27 分 53 秒です。This symmetric key expires on 3/22/2018 at 3:27:53PM. この時刻以降もサービス プリンシパルを使用するには、対称キーを更新する必要があります。To use the service principal beyond this time, you need to renew the symmetric key. この場合は、New-MsolServicePrincipalCredential コマンドを使用します。To do so, use the New-MsolServicePrincipalCredential command.

New-MsolServicePrincipalCredential -AppPrincipalId 7d9c1f38-600c-4b4d-8249-22427f016963

このコマンドでは、指定した AppPrincipalId の新しい対称キーが作成されます。This creates a new symmetric key for the specified AppPrincipalId.

The following symmetric key was created as one was not supplied ON8YYaMYNmwSfMX625Ei4eC6N1zaeCxbc219W090v28-

GetMsolServicePrincipalCredential コマンドを使って、新しい対称キーが正しいサービス プリンシパルと関連付けられていることを検証できます。You can use the GetMsolServicePrincipalCredential command to verify that the new symmetric key is associated with the correct service principal as shown. このコマンドでは、現在サービス プリンシパルに関連付けられているすべてのキーが一覧表示されることに注意してください。Notice that the command lists all keys that currently associated with the service principal.

Get-MsolServicePrincipalCredential -AppPrincipalId 7d9c1f38-600c-4b4d-8249-22427f016963 -ReturnKeyValues $true

Type : Symmetric
Value :
KeyId : c1ac145f-e899-4c90-8a02-2cef40054fc5
StartDate : 3/24/2017 10:11:07 PM
EndDate : 3/24/2018 10:11:07 PM
Usage : Verify

Type : Symmetric
Value :
KeyId : acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe
StartDate : 3/22/2017 3:27:53 PM
EndDate : 3/22/2018 3:27:53 PM
Usage : Verify

対称キーが正しいサービス プリンシパルに実際に関連付けられていることを確認した後は、サービス プリンシパルの認証パラメーターを新しいキーで更新できます。Once you have verified that the symmetric key is indeed associated with the right service principal, you can update the service principal's authentication parameters with the new key.

その後、Remove-MsolServicePrincipalCredential コマンドを使って古い対称キーを削除し、Get-MsolServicePrincipalCredential コマンドを使ってキーが削除されたことを確認できます。You can then remove the old symmetric key using the Remove-MsolServicePrincipalCredential command and verify that the key is removed using the Get-MsolServicePrincipalCredential command.

Remove-MsolServicePrincipalCredential -KeyId acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe -ObjectId 0ee53770-ec86-409e-8939-6d8239880518