Compartir a través de

Rotar o alternar una Clave de cliente o una clave de disponibilidad

Precaución

Roll an encryption key used with Customer Key only if required by your organization's security or compliance policies.

No elimine ni deshabilite ninguna clave, incluidas las versiones anteriores, que estén o estén asociadas a directivas de cifrado. Cuando se revierten las claves, es posible que todavía se cifre algún contenido con las claves anteriores.

Por ejemplo:

  • Los buzones activos se vuelven a cifrar con frecuencia, pero los buzones inactivos, desconectados o deshabilitados podrían seguir usando claves anteriores.
  • SharePoint conserva el contenido de copia de seguridad para la restauración y recuperación, que también puede depender de claves anteriores.

Acerca de cómo revertir la clave de disponibilidad

Microsoft no proporciona a los clientes control directo sobre la clave de disponibilidad. Por ejemplo, solo puede revertir las claves que administra en Azure Key Vault.

Microsoft 365 implementa la clave de disponibilidad en una programación interna. No hay ningún acuerdo de nivel de servicio (SLA) orientado al cliente para estas rotaciones de claves. Microsoft 365 usa código de servicio para girar la clave de disponibilidad automáticamente. En algunos casos, los administradores de Microsoft pueden iniciar el proceso, pero la clave se implementa a través de mecanismos automatizados que no permiten el acceso directo al almacén de claves.

Los administradores de Microsoft no tienen acceso aprovisionado al almacén de secretos de clave de disponibilidad. El proceso gradual usa el mismo mecanismo que genera la clave durante el aprovisionamiento inicial.

Para obtener más información, consulte Descripción de la clave de disponibilidad.

Importante

Para Exchange, puede implementar eficazmente la clave de disponibilidad mediante la creación de una nueva directiva de cifrado de datos (DEP). Cada nuevo DEP genera una clave de disponibilidad única.

Por el contrario, las claves de disponibilidad para la clave de cliente en SharePoint y OneDrive se crean en el nivel de bosque y se comparten entre dep y clientes. Estas claves solo se inscriben en una programación interna definida por Microsoft.

Para reducir el riesgo de no implementar la clave de disponibilidad con cada nuevo DEP, SharePoint, OneDrive y Teams, implemente la clave intermedia del inquilino (TIK) cada vez que cree un nuevo DEP. TIK es la clave encapsulada por las claves raíz del cliente y la clave de disponibilidad.

Acerca de cómo revertir las claves raíz administradas por el cliente

Hay dos maneras de implementar claves raíz administradas por el cliente:

  • Actualice la clave existente solicitando una nueva versión y actualizando la directiva de cifrado de datos (DEP) asociada.
  • Cree y use una clave recién generada junto con un nuevo DEP.

En la sección siguiente se proporcionan instrucciones para ambos métodos.

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.

Solicitar una nueva versión de cada clave raíz existente que quiera revertir

Para solicitar una nueva versión de una clave existente, use el mismo cmdlet, Add-AzKeyVaultKey, con la misma sintaxis y el mismo nombre de clave que usó al crear la clave original.

Después de completar la reversión de una clave asociada a una directiva de cifrado de datos (DEP), ejecute un cmdlet independiente para actualizar el DEP y asegurarse de que clave de cliente usa la nueva versión. Repita este proceso en cada Key Vault de Azure (AKV).

Ejemplo:

  1. Inicie sesión en su suscripción de Azure con Azure PowerShell. Para obtener instrucciones, consulte Inicio de sesión con Azure PowerShell.

  2. Ejecute el Add-AzKeyVaultKey cmdlet :

    Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")

    En este ejemplo, ya existe una clave denominada Contoso-CK-EX-NA-VaultA1-Key001 en el almacén Contoso-CK-EX-NA-VaultA1. El cmdlet crea una nueva versión de la clave. Las versiones anteriores se conservan en el historial de versiones de la clave.

    Necesita acceso a la versión anterior para descifrar cualquier contenido que todavía esté cifrado con él.

    Una vez completada la puesta en marcha de una clave asociada a un DEP, ejecute otro cmdlet para asegurarse de que la clave de cliente empieza a usar la nueva versión. En las secciones siguientes se describen estos cmdlets con más detalle.

    Actualización de las claves para los DEP de varias cargas de trabajo

    Al implementar cualquiera de las claves de Azure Key Vault asociadas a una directiva de cifrado de datos (DEP) que se usa en varias cargas de trabajo, debe actualizar el DEP para hacer referencia a la nueva versión de clave. Esta acción no gira la clave de disponibilidad.

    La DataEncryptionPolicyID propiedad sigue siendo la misma al actualizar el DEP con una nueva versión de la misma clave.

    Para indicar a Customer Key que use la nueva clave para el cifrado en varias cargas de trabajo, siga estos pasos:

    1. En el equipo local, use una cuenta profesional o educativa con los permisos adecuados y conéctese a Exchange PowerShell.

    2. Ejecute el Set-M365DataAtRestEncryptionPolicy cmdlet :

    Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Refresh
    Parámetro Descripción
    -Identity Nombre único o GUID de la directiva de cifrado de datos

    Actualización de las claves para los DEP de Exchange

    Al implementar cualquiera de las claves de Azure Key Vault asociadas a una directiva de cifrado de datos (DEP) usada con Exchange, debe actualizar el DEP para hacer referencia a la nueva versión de clave. Este paso no gira la clave de disponibilidad.

    La DataEncryptionPolicyID propiedad del buzón permanece igual al actualizar la directiva con una nueva versión de la misma clave.

    Para indicar a la clave de cliente que use la nueva clave para el cifrado del buzón de correo, siga estos pasos:

    1. En el equipo local, use una cuenta profesional o educativa con los permisos adecuados y conéctese a Exchange PowerShell.

    2. Ejecute el Set-DataEncryptionPolicy cmdlet :

    Set-DataEncryptionPolicy -Identity <Policy> -Refresh
    Parámetro Descripción
    -Identity Nombre único o GUID de la directiva de cifrado de datos

Uso de una clave recién generada para el DEP

Si decide usar las claves recién generadas en lugar de actualizar las existentes, el proceso para actualizar las directivas de cifrado de datos es diferente. En lugar de actualizar una directiva existente, debe crear y asignar una nueva directiva de cifrado de datos que haga referencia a la nueva clave.

  1. Para crear una nueva clave y agregarla al almacén de claves, siga los pasos descritos en Adición de una clave a cada almacén de claves mediante la creación o importación de una clave.

  2. Después de agregar la clave al almacén de claves, cree una nueva directiva de cifrado de datos mediante el URI de clave de la clave recién generada. Para obtener instrucciones detalladas, consulte Administración de la clave de cliente para Microsoft 365.

Actualización de las claves para SharePoint y OneDrive

SharePoint solo admite la implementación de una clave a la vez. Si tiene previsto implementar ambas claves en un almacén de claves, espere a que finalice la primera operación antes de iniciar la segunda. Para evitar conflictos, Microsoft recomienda escalonar las operaciones.

Al implementar cualquiera de las claves de Azure Key Vault asociadas a una directiva de cifrado de datos (DEP) usada con SharePoint y OneDrive, debe actualizar el DEP para hacer referencia a la nueva clave. Este proceso no gira la clave de disponibilidad.

  1. Para lanzar una clave para SharePoint y OneDrive, ejecute el Update-SPODataEncryptionPolicy cmdlet :

    Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

    Este cmdlet inicia la operación de sustitución de claves, pero el cambio no surte efecto inmediatamente.

  2. Para actualizar una directiva de SharePoint y OneDrive mediante claves almacenadas en un HSM administrado, ejecute el siguiente comando:

    Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultURL <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

  3. Para comprobar el progreso de la operación de sustitución de claves, ejecute:

    Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>
  • Last updated on