注意
只有在組織的安全性或合規性原則需要時 ,才 會滾動與客戶金鑰搭配使用的加密金鑰。
請勿刪除或停用任何與加密原則相關聯的金鑰,包括舊版本。 當您滾動金鑰時,某些內容可能仍會使用先前的金鑰進行加密。
例如:
- 作用中信箱會經常重新加密,但非作用中、中斷連線或停用的信箱可能仍會使用較舊的金鑰。
- SharePoint 會保留備份內容以進行還原和復原,這也可能依賴較舊的金鑰。
關於滾動可用性金鑰
Microsoft 不會為客戶提供可用性金鑰的直接控制權。 例如,您只能復原您在 Azure 金鑰保存庫中管理的金鑰。
Microsoft 365 會根據內部排程滾動可用性金鑰。 這些金鑰輪替沒有面向客戶的服務等級協定 (SLA) 。 Microsoft 365 會使用服務程式碼來自動輪替可用性金鑰。 在某些情況下,Microsoft 系統管理員可以起始程式,但金鑰會透過自動化機制滾動,不允許直接存取金鑰存放區。
Microsoft 系統管理員沒有布建可用性金鑰秘密存放區的存取權。 滾動程序使用在初始佈建期間產生金鑰的相同機制。
如需詳細資訊,請參閱 了解可用性金鑰。
重要事項
針對 Exchange,您可以建立新的資料加密原則, (DEP) 有效地滾動可用性金鑰。 每個新的 DEP 都會產生唯一的可用性金鑰。
相反地,SharePoint 和 OneDrive 中客戶金鑰的可用性金鑰是在樹系層級建立,並在 DEP 和客戶之間共用。 這些金鑰只會根據 Microsoft 定義的內部排程擲回。
為了降低未使用每個新 DEP 滾動可用性金鑰的風險,SharePoint、OneDrive 和 Teams 會在每次建立新的 DEP 時,將租用戶中繼金鑰滾動 (TIK) 。 TIK 是由客戶根金鑰和可用性金鑰包裝的金鑰。
關於滾動客戶管理的根金鑰
有兩種方式可以滾動客戶管理的根金鑰:
- 要求新版本,並在 DEP) 重新整理相關聯的資料加密原則 (,以更新現有金鑰。
- 建立並使用新產生的金鑰以及新的 DEP。
下一節提供了這兩種方法的說明。
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域系統管理員角色的使用者數目降到最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
要求您要滾動的每個現有根金鑰的新版本
若要要求現有金鑰的新版本,請使用相同的 Cmdlet Add-AzKeyVaultKey,其語法和金鑰名稱與建立原始金鑰時所使用的相同。
完成與資料加密原則相關聯的金鑰捲動 DEP () 之後,請執行個別的 Cmdlet 來重新整理 DEP,並確保客戶金鑰使用新版本。 在每個 Azure 金鑰保存庫 (AKV) 中重複此程式。
範例:
使用 Azure PowerShell 登入您的 Azure 訂用帳戶。 如需指示,請參閱使用 Azure PowerShell 登入。
執行
Add-AzKeyVaultKeyCmdlet:Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")在此範例中,名為 Contoso-CK-EX-NA-VaultA1-Key001 的金鑰已存在於 Contoso-CK-EX-NA-VaultA1 保存庫中。 Cmdlet 會建立金鑰的新版本。 舊版會保留在金鑰的版本歷程記錄中。
您需要存取先前的版本才能解密仍使用該版本加密的任何內容。
完成與 DEP 相關聯的金鑰滾動之後,請執行另一個 Cmdlet ,以確保客戶金鑰開始使用新版本。 下列各節會更詳細地說明這些 Cmdlet。
更新多工作負載 DEP 的金鑰
當您在多個工作負載中使用與資料加密原則相關聯 (DEP 相關聯的任一 Azure 金鑰保存庫金鑰) ,您必須更新 DEP 以參考新的金鑰版本。 此動作不會輪替可用性金鑰。
使用相同金鑰的新版本更新 DEP 時,屬性
DataEncryptionPolicyID會保持不變。若要指示客戶金鑰使用新金鑰跨多個工作負載進行加密,請遵循下列步驟:
在本機電腦上,使用具有適當 許可權的公司或學校帳戶,然後 連線到 Exchange PowerShell。
執行
Set-M365DataAtRestEncryptionPolicyCmdlet:
Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Refresh參數 描述 -Identity資料加密原則的唯一名稱或 GUID 更新 Exchange DEP 的金鑰
當您捲動與資料加密原則相關聯的任一 Azure 金鑰保存庫金鑰時, (DEP) 與 Exchange 搭配使用,您必須更新 DEP 以參考新的金鑰版本。 此步驟不會輪替可用性金鑰。
DataEncryptionPolicyID使用相同金鑰的新版本更新原則時,信箱的屬性會保持不變。若要指示客戶金鑰使用新金鑰進行信箱加密,請遵循下列步驟:
在本機電腦上,使用具有適當 許可權的公司或學校帳戶,然後 連線到 Exchange PowerShell。
執行
Set-DataEncryptionPolicyCmdlet:
Set-DataEncryptionPolicy -Identity <Policy> -Refresh參數 描述 -Identity資料加密原則的唯一名稱或 GUID
為您的 DEP 使用新產生的金鑰
如果您選擇使用新產生的金鑰,而不是更新現有的金鑰,則更新資料加密政策的程序會有所不同。 您必須建立並指派參照新金鑰的新資料加密原則,而不是重新整理現有原則。
若要建立新的金鑰並將其新增至金鑰保存庫,請 遵循建立或匯入金鑰,將金鑰新增至每個金鑰保存庫中的步驟。
將金鑰新增至金鑰保存庫之後,請使用新產生金鑰的金鑰 URI 來建立 新的 資料加密原則。 如需詳細指示,請參閱 管理 Microsoft 365 的客戶金鑰。
更新 SharePoint 和 OneDrive 的金鑰
SharePoint 一次只支援滾動一個金鑰。 如果您打算在金鑰保存庫中滾動這兩個金鑰,請等候第一個作業完成,再開始第二個作業。 為了避免衝突,Microsoft 建議錯開您的作業。
當您捲動與資料加密原則相關聯的任一 Azure 金鑰保存庫金鑰時, (DEP) 搭配 SharePoint 和 OneDrive 使用,您必須更新 DEP 以參考新的金鑰。 此程序不會輪替可用性金鑰。
若要擲回 SharePoint 和 OneDrive 的金鑰,請執行
Update-SPODataEncryptionPolicyCmdlet:Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>此 Cmdlet 會啟動按鍵滾動作業,但變更不會立即生效。
若要使用儲存在受控 HSM 中的金鑰來更新 SharePoint 和 OneDrive 原則,請執行下列命令:
Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultURL <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>若要檢查按鍵滾動作業的進度,請執行:
Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>