Partilhar via

Rolar ou girar uma Chave de Cliente ou uma chave de disponibilidade

  • Artigo

Cuidado

Implemente apenas uma chave de encriptação que utiliza com a Chave de Cliente quando os requisitos de segurança ou conformidade ditam que tem de implementar a chave. Não elimine nem desative quaisquer chaves que estejam ou tenham sido associadas a políticas, incluindo versões mais antigas das chaves que utilizou. Quando enrola as chaves, existe conteúdo encriptado com as chaves anteriores. Por exemplo, enquanto as caixas de correio ativas são encriptadas com frequência, as caixas de correio inativas, desligadas e desativadas ainda podem ser encriptadas com as chaves anteriores. O Microsoft SharePoint efetua uma cópia de segurança de conteúdo para fins de restauro e recuperação, pelo que ainda pode haver conteúdos arquivados através de chaves mais antigas.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Windows 365 suporte para a Chave de Cliente do Microsoft Purview está em pré-visualização pública e está sujeito a alterações.

Acerca de implementar a chave de disponibilidade

A Microsoft não expõe o controlo direto da chave de disponibilidade aos clientes. Por exemplo, só pode rodar (rodar) as chaves que possui no Azure Key Vault. O Microsoft 365 lança as chaves de disponibilidade numa agenda definida internamente. Não existe nenhum contrato de nível de serviço (SLA) destinado ao cliente para estes rolos de chaves. O Microsoft 365 roda a chave de disponibilidade com o código de serviço do Microsoft 365 num processo automatizado. Os administradores da Microsoft podem iniciar o processo de roll. A chave é distribuída através de mecanismos automatizados sem acesso direto ao arquivo de chaves. O acesso ao arquivo de segredos da chave de disponibilidade não é aprovisionado aos administradores da Microsoft. A implementação da chave de disponibilidade aplica o mesmo mecanismo utilizado para gerar inicialmente a chave. Para obter mais informações sobre a chave de disponibilidade, veja Compreender a chave de disponibilidade.

Importante

As chaves de disponibilidade do Exchange podem ser efetivamente implementadas pelos clientes que criam um novo DEP, uma vez que é gerada uma chave de disponibilidade exclusiva para cada DEP que criar. As chaves de disponibilidade para a Chave de Cliente para o SharePoint e o OneDrive existem ao nível da floresta e são partilhadas entre DEPs e clientes, o que significa que a implementação só ocorre numa agenda definida internamente pela Microsoft. Para mitigar o risco de não implementar a chave de disponibilidade sempre que é criado um novo DEP, o SharePoint, o OneDrive e o Teams implementam a chave intermédia do inquilino (TIK), a chave encapsulada pelas chaves de raiz do cliente e pela chave de disponibilidade, sempre que é criado um novo DEP.

Acerca da implementação de chaves de raiz geridas pelo cliente

Existem duas formas de implementar chaves de raiz geridas pelo cliente: atualizar as chaves existentes ao pedir uma nova versão da chave e atualizar o DEP ou criar e utilizar uma chave recentemente gerada e o DEP. As instruções para cada método de implementação das chaves encontram-se na secção seguinte.

Pedir uma nova versão de cada chave de raiz existente que pretende implementar

Para pedir uma nova versão de uma chave existente, utilize o mesmo cmdlet Add-AzKeyVaultKey, com a mesma sintaxe e nome da chave que utilizou originalmente para criar a chave. Depois de concluir a implementação de qualquer chave associada a uma Política de Encriptação de Dados (DEP), execute outro cmdlet para atualizar o DEP existente para garantir que a Chave de Cliente utiliza a nova chave. Efetue este passo em cada Key Vault do Azure (AKV).

Por exemplo:

  1. Inicie sessão na sua subscrição do Azure com Azure PowerShell. Para obter instruções, consulte Iniciar sessão com Azure PowerShell.

  2. Execute o cmdlet Add-AzKeyVaultKey, conforme mostrado no exemplo seguinte:

    Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")

    Neste exemplo, uma vez que existe uma chave com o nome Contoso-CK-EX-NA-VaultA1-Key001 no cofre Contoso-CK-EX-NA-VaultA1 , o cmdlet cria uma nova versão da chave. Esta operação preserva as versões de chave anteriores no histórico de versões da chave. Precisa da versão da chave anterior para desencriptar os dados que ainda encripta. Depois de concluir a implementação de qualquer chave associada a um DEP, execute um cmdlet extra para garantir que a Chave de Cliente começa a utilizar a nova chave. As secções seguintes descrevem os cmdlets mais detalhadamente.

    Atualizar as chaves para DEPs de várias cargas de trabalho

    Quando implementa uma das chaves de Key Vault do Azure associadas a um DEP utilizado com várias cargas de trabalho, tem de atualizar o DEP para apontar para a nova chave. Este processo não roda a chave de disponibilidade. A propriedade DataEncryptionPolicyID não é alterada quando a atualiza com uma nova versão da mesma chave.

    Para instruir a Chave de Cliente a utilizar a nova chave para encriptar várias cargas de trabalho, conclua estes passos:

    1. No seu computador local, através de uma conta escolar ou profissional que tenha permissões de administrador global ou administrador de conformidade na sua organização, ligue-se ao Exchange PowerShell.

    2. Execute o cmdlet Set-M365DataAtRestEncryptionPolicy:

      Set-M365DataAtRestEncryptionPolicy -Identity <Policy>  -Refresh

      Em que Política é o nome ou ID exclusivo da política.

    Atualizar as chaves dos DEPs do Exchange

    Quando implementa uma das chaves de Key Vault do Azure associadas a um DEP utilizado com o Exchange, tem de atualizar o DEP para apontar para a nova chave. Esta ação não roda a chave de disponibilidade. A propriedade DataEncryptionPolicyID da caixa de correio não é alterada quando a atualiza com uma nova versão da mesma chave.

    Para instruir a Chave de Cliente a utilizar a nova chave para encriptar caixas de correio, conclua estes passos:

    1. No seu computador local, através de uma conta escolar ou profissional que tenha permissões de administrador global ou administrador de conformidade na sua organização, ligue-se ao Exchange PowerShell.

    2. Execute o cmdlet Set-DataEncryptionPolicy:

        Set-DataEncryptionPolicy -Identity <Policy> -Refresh

      Em que Política é o nome ou ID exclusivo da política.

Utilizar uma chave recentemente gerada para o seu DEP

Ao optar por utilizar chaves recentemente geradas em vez de atualizar as existentes, o processo de atualização das políticas de encriptação de dados difere. Em vez de atualizar uma política existente, tem de criar e atribuir uma nova política de encriptação de dados adaptada à nova chave.

  1. Para criar uma nova chave e adicioná-la ao seu cofre de chaves, siga as instruções encontradas em Adicionar uma chave a cada cofre de chaves ao criar ou importar uma chave.

  2. Depois de adicionado ao cofre de chaves, tem de criar uma nova política de encriptação de dados com o URI da chave criada recentemente. Pode encontrar instruções sobre a criação e atribuição de políticas de encriptação de dados em Gerir Chave de Cliente para o Microsoft 365.

Atualizar as chaves do SharePoint e do OneDrive

O SharePoint só lhe permite implementar uma chave de cada vez. Se quiser implementar ambas as chaves num cofre de chaves, aguarde até que a primeira operação seja concluída. A Microsoft recomenda que escalone as suas operações para evitar este problema. Quando implementa uma das chaves do Azure Key Vault associadas a um DEP utilizado com o SharePoint e o OneDrive, tem de atualizar o DEP para apontar para a nova chave. Esta ação não roda a chave de disponibilidade.

  1. Execute o cmdlet Update-SPODataEncryptionPolicy da seguinte forma:

    Update-SPODataEncryptionPolicy  <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

    Embora este cmdlet inicie a operação de roll de chaves para o SharePoint e o OneDrive, a ação não é concluída imediatamente.

  2. Para ver o progresso da operação de roll de chaves, execute o cmdlet Get-SPODataEncryptionPolicy da seguinte forma:

    Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>