Compartilhar via

Rolar ou girar uma Chave de Cliente ou uma chave de disponibilidade

Cuidado

Roll an encryption key used with Customer Key only if required by your organization's security or compliance policies.

Não elimine nem desative quaisquer chaves, incluindo versões mais antigas, que estejam ou tenham sido associadas a políticas de encriptação. Ao implementar as chaves, alguns conteúdos poderão continuar a ser encriptados com as chaves anteriores.

Por exemplo:

  • As caixas de correio ativas são encriptadas novamente com frequência, mas as caixas de correio inativas, desligadas ou desativadas podem continuar a utilizar chaves mais antigas.
  • O SharePoint retém conteúdos de cópia de segurança para restauro e recuperação, que também podem depender de chaves mais antigas.

Acerca de implementar a chave de disponibilidade

A Microsoft não fornece aos clientes controlo direto sobre a chave de disponibilidade. Por exemplo, só pode implementar as chaves que gere no Azure Key Vault.

O Microsoft 365 lança a chave de disponibilidade numa agenda interna. Não existe nenhum contrato de nível de serviço (SLA) destinado ao cliente para estas rotações de chaves. O Microsoft 365 utiliza o código de serviço para rodar a chave de disponibilidade automaticamente. Em alguns casos, os administradores da Microsoft podem iniciar o processo, mas a chave é distribuída através de mecanismos automatizados que não permitem o acesso direto ao arquivo de chaves.

Os administradores da Microsoft não têm acesso aprovisionado ao arquivo de segredos da chave de disponibilidade. O processo sem interrupção utiliza o mesmo mecanismo que gera a chave durante o aprovisionamento inicial.

Para obter mais informações, veja Compreender a chave de disponibilidade.

Importante

Para o Exchange, pode implementar eficazmente a chave de disponibilidade ao criar uma nova política de encriptação de dados (DEP). Cada novo DEP gera uma chave de disponibilidade exclusiva.

Por outro lado, as chaves de disponibilidade da Chave de Cliente no SharePoint e no OneDrive são criadas ao nível da floresta e partilhadas entre DEPs e clientes. Estas chaves são implementadas apenas numa agenda interna definida pela Microsoft.

Para reduzir o risco de não implementar a chave de disponibilidade com cada novo DEP, SharePoint, OneDrive e Teams, implemente a chave intermédia de inquilino (TIK) sempre que criar um novo DEP. O TIK é a chave encapsulada pelas chaves de raiz do cliente e pela chave de disponibilidade.

Acerca da implementação de chaves de raiz geridas pelo cliente

Existem duas formas de implementar chaves de raiz geridas pelo cliente:

  • Atualize a chave existente ao pedir uma nova versão e atualizar a política de encriptação de dados (DEP) associada.
  • Crie e utilize uma chave recentemente gerada juntamente com um novo DEP.

As instruções para ambos os métodos são fornecidas na secção seguinte.

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.

Pedir uma nova versão de cada chave de raiz existente que pretende implementar

Para pedir uma nova versão de uma chave existente, utilize o mesmo cmdlet Add-AzKeyVaultKey, com a mesma sintaxe e nome da chave que utilizou ao criar a chave original.

Depois de concluir a implementação de uma chave associada a uma política de encriptação de dados (DEP), execute um cmdlet separado para atualizar o DEP e garantir que a Chave de Cliente utiliza a nova versão. Repita este processo em cada Key Vault do Azure (AKV).

Exemplo:

  1. Inicie sessão na sua subscrição do Azure com Azure PowerShell. Para obter instruções, consulte Iniciar sessão com Azure PowerShell.

  2. Execute o Add-AzKeyVaultKey cmdlet :

    Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")

    Neste exemplo, já existe uma chave com o nome Contoso-CK-EX-NA-VaultA1-Key001 no cofre Contoso-CK-EX-NA-VaultA1. O cmdlet cria uma nova versão da chave. As versões anteriores são mantidas no histórico de versões da chave.

    Precisa de acesso à versão anterior para desencriptar qualquer conteúdo que ainda esteja encriptado com a mesma.

    Depois de concluir a implementação de uma chave associada a um DEP, execute outro cmdlet para garantir que a Chave de Cliente começa a utilizar a nova versão. As secções seguintes descrevem estes cmdlets mais detalhadamente.

    Atualizar as chaves para DEPs de várias cargas de trabalho

    Quando implementa uma das chaves de Key Vault do Azure associadas a uma política de encriptação de dados (DEP) utilizada em várias cargas de trabalho, tem de atualizar o DEP para referenciar a nova versão da chave. Esta ação não roda a chave de disponibilidade.

    A DataEncryptionPolicyID propriedade permanece igual ao atualizar o DEP com uma nova versão da mesma chave.

    Para instruir a Chave de Cliente a utilizar a nova chave para encriptação em várias cargas de trabalho, siga estes passos:

    1. No seu computador local, utilize uma conta escolar ou profissional com as permissões adequadas e ligue-se ao Exchange PowerShell.

    2. Execute o Set-M365DataAtRestEncryptionPolicy cmdlet :

    Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Refresh
    Parâmetro Descrição
    -Identity Nome exclusivo ou GUID da política de encriptação de dados

    Atualizar as chaves dos DEPs do Exchange

    Quando implementa uma das chaves de Key Vault do Azure associadas a uma política de encriptação de dados (DEP) utilizada com o Exchange, tem de atualizar o DEP para referenciar a nova versão da chave. Este passo não roda a chave de disponibilidade.

    A DataEncryptionPolicyID propriedade da caixa de correio permanece igual ao atualizar a política com uma nova versão da mesma chave.

    Para instruir a Chave de Cliente a utilizar a nova chave para encriptação de caixa de correio, siga estes passos:

    1. No seu computador local, utilize uma conta escolar ou profissional com as permissões adequadas e ligue-se ao Exchange PowerShell.

    2. Execute o Set-DataEncryptionPolicy cmdlet :

    Set-DataEncryptionPolicy -Identity <Policy> -Refresh
    Parâmetro Descrição
    -Identity Nome exclusivo ou GUID da política de encriptação de dados

Utilizar uma chave recentemente gerada para o SEU DEP

Se optar por utilizar chaves recentemente geradas em vez de atualizar as existentes, o processo de atualização das políticas de encriptação de dados é diferente. Em vez de atualizar uma política existente, tem de criar e atribuir uma nova política de encriptação de dados que faça referência à nova chave.

  1. Para criar uma nova chave e adicioná-la ao seu cofre de chaves, siga os passos em Adicionar uma chave a cada cofre de chaves ao criar ou importar uma chave.

  2. Depois de adicionar a chave ao cofre de chaves, crie uma nova política de encriptação de dados com o URI da chave gerada recentemente. Para obter instruções detalhadas, consulte Gerir a Chave de Cliente do Microsoft 365.

Atualizar as chaves do SharePoint e do OneDrive

O SharePoint suporta a implementação de apenas uma chave de cada vez. Se planear implementar ambas as chaves num cofre de chaves, aguarde até que a primeira operação seja concluída antes de iniciar a segunda. Para evitar conflitos, a Microsoft recomenda escalonar as suas operações.

Quando implementa uma das chaves de Key Vault do Azure associadas a uma política de encriptação de dados (DEP) utilizada com o SharePoint e o OneDrive, tem de atualizar o DEP para referenciar a nova chave. Este processo não roda a chave de disponibilidade.

  1. Para implementar uma chave para o SharePoint e o OneDrive, execute o Update-SPODataEncryptionPolicy cmdlet:

    Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

    Este cmdlet inicia a operação de roll de chave, mas a alteração não é aplicada imediatamente.

  2. Para atualizar uma política do SharePoint e do OneDrive com chaves armazenadas num HSM Gerido, execute o seguinte comando:

    Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultURL <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

  3. Para marcar o progresso da operação de roll de chaves, execute:

    Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>