方法: Azure Information Protection で対称キーを更新する

  • [アーティクル]

重要

2020 年 3 月より前にリリースされた Microsoft Rights Management Service SDK のバージョンは非推奨です。2020 年 3 月のリリースを使用するには、以前のバージョンを使用するアプリケーションを更新する必要があります。 詳細については、 非推奨の通知を参照してください。

Microsoft Rights Management Service SDK の今後の機能強化は計画されていません。 分類、ラベル付け、保護サービスには、Microsoft Information Protection SDK の導入を強くお勧めします。

対称キーは、対称キー暗号化方式でメッセージを暗号化および復号化するシークレットです。

Azure Active Directory (Azure AD) では、アプリケーションを表すサービス プリンシパル オブジェクトを作成するプロセスで、アプリケーションを検証するための 256 ビット対称キーも生成されます。 この対称キーは、既定では 1 年間有効です。

次の手順では、対称キーを更新する方法を示します。

前提条件

  • Azure AD Powershell Reference」(Azure AD Powershell リファレンス) の説明に従って、Azure Active Directory (Azure AD) PowerShell モジュールをインストールする必要があります。

有効期限が切れた対称キーの更新

アプリケーションに関連付けられている対称キーの有効期限が切れた場合、新しいサービス プリンシパルを作成する必要はありません。 代わりに、Microsoft Online Services (MSol) によって提供される PowerShell コマンドレットを使って、既存のサービス プリンシパルに新しい対称キーを発行できます。

このプロセスを説明するため、New-MsolServicePrincipal コマンドを使って新しいサービス プリンシパルを既に作成してあるものとします。

New-MsolServicePrincipalCredential -ServicePrincipalName "SupportExampleApp"

作成プロセスでは、次に示すように対称キーと AppPrincipalId が作成されます。

The following symmetric key was created as one was not supplied
ZYbF/lTtwE28qplQofCpi2syWd11D83+A3DRlb2Jnv8=

DisplayName : SupportExampleApp
ServicePrincipalNames : {7d9c1f38-600c-4b4d-8249-22427f016963}
ObjectId : 0ee53770-ec86-409e-8939-6d8239880518
AppPrincipalId : 7d9c1f38-600c-4b4d-8249-22427f016963
TrustedForDelegation : False
AccountEnabled : True
Addresses : []
KeyType : Symmetric
KeyId : acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe
StartDate : 3/22/2017 3:27:53 PM
EndDate : 3/22/2018 3:27:53 PM
Usage : Verify

この対称キーの有効期限は、2018 年 3 月 22 日午後 3 時 27 分 53 秒です。 この時刻以降もサービス プリンシパルを使用するには、対称キーを更新する必要があります。 そのためには、New-MsolServicePrincipalCredential コマンドを使用します。

New-MsolServicePrincipalCredential -AppPrincipalId 7d9c1f38-600c-4b4d-8249-22427f016963

このコマンドでは、指定した AppPrincipalId の新しい対称キーが作成されます。

The following symmetric key was created as one was not supplied ON8YYaMYNmwSfMX625Ei4eC6N1zaeCxbc219W090v28-

GetMsolServicePrincipalCredential コマンドを使って、新しい対称キーが正しいサービス プリンシパルと関連付けられていることを検証できます。 このコマンドでは、現在サービス プリンシパルに関連付けられているすべてのキーが一覧表示されることに注意してください。

Get-MsolServicePrincipalCredential -AppPrincipalId 7d9c1f38-600c-4b4d-8249-22427f016963 -ReturnKeyValues $true

Type : Symmetric
Value :
KeyId : c1ac145f-e899-4c90-8a02-2cef40054fc5
StartDate : 3/24/2017 10:11:07 PM
EndDate : 3/24/2018 10:11:07 PM
Usage : Verify

Type : Symmetric
Value :
KeyId : acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe
StartDate : 3/22/2017 3:27:53 PM
EndDate : 3/22/2018 3:27:53 PM
Usage : Verify

対称キーが正しいサービス プリンシパルに実際に関連付けられていることを確認した後は、サービス プリンシパルの認証パラメーターを新しいキーで更新できます。

その後、Remove-MsolServicePrincipalCredential コマンドを使って古い対称キーを削除し、Get-MsolServicePrincipalCredential コマンドを使ってキーが削除されたことを確認できます。

Remove-MsolServicePrincipalCredential -KeyId acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe -ObjectId 0ee53770-ec86-409e-8939-6d8239880518