滾動或旋轉客戶金鑰或可用性金鑰

  • 文章

注意

只有在您的安全性或合規性需求規定您必須變換金鑰時,才會擲回您與客戶金鑰搭配使用的加密金鑰。 請勿刪除或停用與原則相關聯的任何密鑰,包括您使用的舊版密鑰。 當您捲動金鑰時,會有使用先前金鑰加密的內容。 例如,當作用中信箱經常重新加密時,非作用中、中斷連線和停用的信箱仍可能使用先前的密鑰加密。 Microsoft SharePoint 會執行內容備份以供還原和復原之用,因此可能仍有使用舊版密鑰的封存內容。

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

Windows 365 Microsoft Purview 客戶金鑰的支持處於公開預覽狀態,而且可能會變更。

關於滾動可用性金鑰

Microsoft 不會向客戶公開可用性密鑰的直接控制權。 例如,您只能 (輪替) 您在 Azure 金鑰保存庫 中擁有的密鑰。 Microsoft 365 會根據內部定義的排程來擲回可用性密鑰。 沒有客戶面向的服務等級協定 (這些金鑰匯總的 SLA) 。 Microsoft 365 會在自動化程式中使用 Microsoft 365 服務程式代碼來輪替可用性密鑰。 Microsoft 系統管理員可以起始復原程式。 密鑰會使用自動化機制來復原,而不需要直接存取金鑰存放區。 可用性金鑰秘密存放區的存取權不會布建給 Microsoft 系統管理員。 可用性金鑰滾動套用了一開始產生金鑰時所使用的相同機制。 如需可用性密鑰的詳細資訊,請參閱 瞭解可用性密鑰

重要事項

Exchange Online 可用性密鑰可由建立新 DEP 的客戶有效推出,因為系統會為您建立的每個 DEP 產生唯一的可用性金鑰。 SharePoint、公司或學校用 Microsoft OneDrive 和 Teams 檔案的可用性密鑰存在於樹系層級,且會在 DEP 和客戶之間共用,這表示滾動只會在 Microsoft 內部定義的排程進行。 為了降低每次建立新的 DEP 時未輪替可用性金鑰的風險,SharePoint、OneDrive 和 Teams 會將租使用者中繼密鑰 (TIK) ,每次建立新的 DEP 時,都會由客戶根密鑰和可用性密鑰包裝的密鑰。

關於輪替客戶管理的根密鑰

有兩種方式可以匯總客戶管理的根密鑰:藉由要求新版本的密鑰和重新整理 DEP 來更新現有的密鑰,或建立和使用新產生的密鑰和 DEP。 下一節會找到每個輪流密鑰方法的指示。

要求您想要復原之每個現有根金鑰的新版本

若要要求現有金鑰的新版本,您可以使用相同的 Cmdlet Add-AzKeyVaultKey,其語法和金鑰名稱與您原本用來建立密鑰的語法和密鑰名稱相同。 當您完成與數據加密原則相關聯的任何密鑰 (DEP) 之後,您會執行另一個 Cmdlet 來重新整理現有的 DEP,以確保客戶密鑰使用新的金鑰。 在每個 Azure 金鑰保存庫 (AKV) 中執行此步驟。

例如:

  1. 使用 Azure PowerShell 登入您的 Azure 訂用帳戶。 如需指示,請參閱使用 Azure PowerShell 登入

  2. 執行 Add-AzKeyVaultKey Cmdlet,如下列範例所示:

    Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")

    在此範例中,由於 Contoso-CK-EX-NA-VaultA1-Key001 的密鑰存在於 Contoso-CK-EX-NA-VaultA1 保存庫中,因此 Cmdlet 會建立新版本的密鑰。 此作業會在金鑰的版本歷程記錄中保留先前的金鑰版本。 您需要先前的金鑰版本來解密仍然加密的數據。 完成與 DEP 相關聯的任何金鑰滾動後,請執行額外的 Cmdlet 以確保客戶金鑰開始使用新的金鑰。 下列各節會更詳細地描述 Cmdlet。

    更新多重工作負載 DEP 的金鑰

    當您捲動其中一個 Azure 金鑰保存庫 與搭配多個工作負載使用的 DEP 相關聯的金鑰時,您必須更新 DEP 以指向新的金鑰。 此程式不會輪替可用性密鑰。 當您使用相同密鑰的新版本進行更新時, DataEncryptionPolicyID 屬性不會變更。

    若要指示客戶金鑰使用新金鑰來加密多個工作負載,請完成下列步驟:

    1. 在本機計算機上,使用在組織中具有全域管理員或合規性系統管理員許可權的公司或學校帳戶,連線到 Exchange Online PowerShell

    2. 執行 Set-M365DataAtRestEncryptionPolicy Cmdlet:

      Set-M365DataAtRestEncryptionPolicy -Identity <Policy>  -Refresh

      其中 Policy 是原則的名稱或唯一標識碼。

    更新 Exchange Online DEP 的金鑰

    當您捲動其中一個 Azure 金鑰保存庫 與搭配 Exchange Online 使用的 DEP 相關聯的金鑰時,您必須更新 DEP 以指向新的金鑰。 此動作不會旋轉可用性金鑰。 當您使用相同密鑰的新版本進行更新時,信箱的 DataEncryptionPolicyID 屬性不會變更。

    若要指示客戶金鑰使用新金鑰來加密信箱,請完成下列步驟:

    1. 在本機計算機上,使用在組織中具有全域管理員或合規性系統管理員許可權的公司或學校帳戶,連線到 Exchange Online PowerShell

    2. 執行 Set-DataEncryptionPolicy Cmdlet:

        Set-DataEncryptionPolicy -Identity <Policy> -Refresh

      其中 Policy 是原則的名稱或唯一標識碼。

為 DEP 使用新產生的金鑰

選擇使用新產生的金鑰,而不是更新現有的金鑰時,更新數據加密原則的程式會有所不同。 您必須建立並指派針對新密鑰量身訂做的新數據加密原則,而不是重新整理現有的原則。

  1. 若要建立新的金鑰並將其新增至金鑰保存庫,請遵循建立或匯入密鑰 將金鑰新增至每個金鑰保存庫中找到的指示。

  2. 新增至金鑰保存庫之後,您必須使用 建立金鑰的金鑰 URI 來建立新的資料加密原則。 如需建立和指派數據加密原則的指示,請參閱 管理 Microsoft 365 的客戶密鑰

更新 SharePoint、公司或學校用 OneDrive 以及 Teams 檔案的金鑰

SharePoint 只允許您一次擲回一個密鑰。 如果您想要在金鑰保存庫中擲回這兩個金鑰,請等候第一個作業完成。 Microsoft 建議您錯開作業以避免發生此問題。 當您將其中一個 Azure 金鑰保存庫 金鑰與與 SharePoint 和 OneDrive 搭配用於公司或學校的 DEP 相關聯時,您必須更新 DEP 以指向新的金鑰。 此動作不會旋轉可用性金鑰。

  1. 執行 Update-SPODataEncryptionPolicy Cmdlet,如下所示:

    Update-SPODataEncryptionPolicy  <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

    雖然此 Cmdlet 會針對公司或學校啟動 SharePoint 和 OneDrive 的密鑰輪換作業,但動作不會立即完成。

  2. 若要查看密鑰輪換作業的進度,請執行 Get-SPODataEncryptionPolicy Cmdlet,如下所示:

    Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>