How to renew the symmetric key in Azure Information Protection (Procedure: de symmetrische sleutel in Azure Information Protection vernieuwen)
Belangrijk
Versies van de Microsoft Rights Management Service SDK die vóór maart 2020 zijn uitgebracht, worden afgeschaft; toepassingen die eerdere versies gebruiken, moeten worden bijgewerkt voor gebruik van de release van maart 2020. Zie de afschaffingsmelding voor meer informatie.
Er zijn geen verdere verbeteringen gepland voor de Microsoft Rights Management Service SDK. We raden u ten zeerste aan de Microsoft Information Protection SDK te gebruiken voor classificatie-, label- en beveiligingsservices.
Een symmetrische sleutel is een geheim voor het coderen en decoderen van een bericht waarvoor symmetrische-sleutelcryptografie is ingesteld.
Wanneer u in Azure Active Directory (Azure AD) een service-principal-object maakt om een toepassing aan te duiden, wordt in dit proces ook een 256-bits symmetrische sleutel gegenereerd om de toepassing te verifiëren. Deze symmetrische sleutel is standaard één jaar geldig.
In de volgende stappen ziet u hoe u de symmetrische sleutel verlengt.
Vereisten
- De Azure Active Directory (Azure AD) PowerShell-module moet zijn geïnstalleerd zoals beschreven in de Azure AD Powershell-referentie.
De symmetrische sleutel vernieuwen na de vervaldatum
U hoeft geen nieuwe service-principal te maken wanneer de symmetrische sleutel die gekoppeld is aan uw toepassing, is verlopen. In plaats daarvan kunt u gebruikmaken van de PowerShell-commandlets die worden geleverd door Microsoft Online Services (MSol) om een nieuwe symmetrische sleutel voor een bestaande service-principal uit te geven.
Ter illustratie van dit proces gaan we ervan uit dat u al een nieuwe service-principal hebt gemaakt met de New-MsolServicePrincipal-opdracht.
New-MsolServicePrincipalCredential -ServicePrincipalName "SupportExampleApp"
Met dit proces wordt een symmetrische sleutel en een AppPrincipalId gemaakt zoals weergegeven.
The following symmetric key was created as one was not supplied
ZYbF/lTtwE28qplQofCpi2syWd11D83+A3DRlb2Jnv8=
DisplayName : SupportExampleApp
ServicePrincipalNames : {7d9c1f38-600c-4b4d-8249-22427f016963}
ObjectId : 0ee53770-ec86-409e-8939-6d8239880518
AppPrincipalId : 7d9c1f38-600c-4b4d-8249-22427f016963
TrustedForDelegation : False
AccountEnabled : True
Addresses : []
KeyType : Symmetric
KeyId : acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe
StartDate : 3/22/2017 3:27:53 PM
EndDate : 3/22/2018 3:27:53 PM
Usage : Verify
Deze symmetrische sleutel verloopt op 3-22-2018 om 17:27:53 uur. Als u de service-principal langer dan deze tijd wilt gebruiken, moet u de symmetrische sleutel vernieuwen. Gebruik hiervoor de opdracht New-MsolServicePrincipalCredential.
New-MsolServicePrincipalCredential -AppPrincipalId 7d9c1f38-600c-4b4d-8249-22427f016963
Hiermee maakt u een nieuwe symmetrische sleutel voor de opgegeven AppPrincipalId.
The following symmetric key was created as one was not supplied ON8YYaMYNmwSfMX625Ei4eC6N1zaeCxbc219W090v28-
U kunt de GetMsolServicePrincipalCredential-opdracht gebruiken om te controleren of de nieuwe symmetrische sleutel gekoppeld is aan de juiste service-principal zoals weergegeven. U ziet dat met de opdracht alle sleutels worden vermeld die momenteel zijn gekoppeld aan de service-principal.
Get-MsolServicePrincipalCredential -AppPrincipalId 7d9c1f38-600c-4b4d-8249-22427f016963 -ReturnKeyValues $true
Type : Symmetric
Value :
KeyId : c1ac145f-e899-4c90-8a02-2cef40054fc5
StartDate : 3/24/2017 10:11:07 PM
EndDate : 3/24/2018 10:11:07 PM
Usage : Verify
Type : Symmetric
Value :
KeyId : acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe
StartDate : 3/22/2017 3:27:53 PM
EndDate : 3/22/2018 3:27:53 PM
Usage : Verify
Nadat u hebt vastgesteld dat de symmetrische sleutel inderdaad gekoppeld is aan de juiste service-principal, kunt u de verificatieparameters van de service-principal bijwerken met de nieuwe sleutel.
U kunt vervolgens de oude symmetrische sleutel verwijderen met behulp van de Remove-MsolServicePrincipalCredential-opdracht. Controleer of de sleutel daadwerkelijk is verwijderd met behulp van de Get-MsolServicePrincipalCredential-opdracht.
Remove-MsolServicePrincipalCredential -KeyId acb9ad1b-36ce-4a7d-956c-40e5ac29dcbe -ObjectId 0ee53770-ec86-409e-8939-6d8239880518