Управление ключом клиента

После настройки ключа клиента следующим шагом является создание и назначение одной или нескольких политик шифрования данных (DEP). После назначения вы можете управлять ключами шифрования и политиками, как описано в этой статье.

Ключ клиента Microsoft Purview также поддерживает Windows 365 облачные компьютеры. Дополнительные сведения см. в статье Ключ клиента Microsoft Purview для Windows 365 облачных компьютеров.

Дополнительные сведения об основных понятиях и настройке ключа клиента см. в связанных статьях в конце этой страницы.

Создание DEP для использования с несколькими рабочими нагрузками для всех пользователей клиента

Прежде чем продолжить, выполните действия по настройке ключа клиента. Инструкции см. в разделе Настройка ключа клиента.

Чтобы создать DEP, вам потребуется Key Vault URI, полученные во время установки. Инструкции см. в разделе Получение URI для каждого ключа Key Vault Azure.

1. На локальном компьютере войдите в систему с помощью рабочей или учебной учетной записи с разрешениями администратора соответствия требованиям и подключитесь к Exchange Online PowerShell.

2. Выполните следующий командлет, чтобы создать политику шифрования данных с несколькими рабочими нагрузками:

   New-M365DataAtRestEncryptionPolicy -Name <PolicyName> -AzureKeyIDs <KeyVaultURI1, KeyVaultURI2> [-Description <String>]
   

   Определения параметров:

   • -Name: имя, которое вы хотите использовать для политики. Пробелы не допускаются.

   • -AzureKeyIDs: URI двух ключей Azure Key Vault, используемых в политике, разделенных запятыми.

     Пример: "https://contosoCentralUSvault1.vault.azure.net/keys/Key_02""https://contosoWestUSvault1.vault.azure.net/keys/Key_01"

   • Description (необязательно): понятное описание политики.

     Пример: "Policy for multiple workloads for all users in the tenant.".

   New-M365DataAtRestEncryptionPolicy -Name "Contoso_Global" -AzureKeyIDs "https://contosoWestUSvault1.vault.azure.net/keys/Key_01","https://contosoCentralUSvault1.vault.azure.net/keys/Key_02" -Description "Policy for multiple workloads for all users in the tenant."
   

Назначение политики нескольких рабочих нагрузок

После создания политики шифрования данных с несколькими рабочими нагрузками (DEP) назначьте ее с помощью командлета Set-M365DataAtRestEncryptionPolicyAssignment . После назначения Microsoft 365 шифрует данные вашей организации с помощью ключей, указанных в DEP.

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName or ID>

Замените <PolicyName or ID> именем или GUID политики.

Пример:

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy "Contoso_Global"

Windows 365 облачные компьютеры:

После назначения политики разрешите 3–4 часа, чтобы центр администрирования Intune отражал обновление. После обновления выполните действия в Центре администрирования, чтобы зашифровать существующие облачные компьютеры.

Дополнительные сведения см. в разделе Настройка клиентских ключей для облачных компьютеров Windows 365.

Создание DEP для использования с почтовыми ящиками Exchange

Перед началом работы выполните необходимые действия по настройке. Дополнительные сведения см. в разделе Настройка ключа клиента. Чтобы создать DEP, вам потребуются URI Key Vault Azure, полученные во время установки. Дополнительные сведения см. в статье Получение URI для каждого ключа Key Vault Azure.

Чтобы создать DEP для почтовых ящиков Exchange, выполните следующие действия.

1. На локальном компьютере, используя рабочую или учебную учетную запись с разрешениями администратора Exchange, подключитесь к Exchange Online PowerShell.

2. Создайте DEP с помощью командлета New-DataEncryptionPolicy :

   New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>
   

Пример.

New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault02.vault.azure.net/keys/USA_key_01, https://contoso_CentralUSvault02.vault.azure.net/keys/USA_Key_02

Сведения о синтаксисе и параметрах см. в разделе New-DataEncryptionPolicy.

Назначение DEP почтовому ящику

Назначьте DEP с помощью командлета Set-Mailbox . После назначения политики Microsoft 365 шифрует почтовый ящик с помощью ключей, определенных в DEP.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

Дополнительные сведения см. в статье Set-Mailbox.

Назначение DEP гибридным почтовым ящикам

В гибридных средах назначьте DEP синхронизированным данным локального почтового ящика с помощью командлета Set-MailUser.

Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>

Дополнительные сведения см. в разделе Set-MailUser.

Дополнительные сведения о поддержке гибридных почтовых ящиков см. в статье Локальные почтовые ящики, использующие Outlook для iOS и Android с гибридной современной проверкой подлинности.

Назначение DEP перед переносом почтового ящика в облако

Назначение политики шифрования данных (DEP) перед переносом почтового ящика гарантирует, что содержимое почтового ящика будет зашифровано во время миграции. Этот метод более эффективен, чем назначение DEP после миграции, что может привести к задержкам во время завершения процесса шифрования.

1. С помощью рабочей или учебной учетной записи с соответствующими разрешениями в вашей организации подключитесь к Exchange Online PowerShell.

2. Выполните следующую команду:

   Set-MailUser -Identity <GeneralMailboxOrMailUserIdParameter> -DataEncryptionPolicy <DataEncryptionPolicyIdParameter>
   

Дополнительные сведения см. в разделе Set-MailUser.

Просмотр deps, созданных для почтовых ящиков Exchange

С помощью PowerShell можно просмотреть все политики шифрования данных (DEP), созданные для почтовых ящиков Exchange.

1. С помощью рабочей или учебной учетной записи с соответствующими разрешениями в вашей организации подключитесь к Exchange Online PowerShell.

2. Чтобы вернуть все DEP в организации, выполните следующую команду:

   Get-DataEncryptionPolicy
   

   Подробные сведения о командлетах см. в разделе Get-DataEncryptionPolicy.

Определение DEP, назначенного почтовому ящику

Чтобы определить dep, назначенный почтовому ящику, используйте командлет Get-MailboxStatistics. Командлет возвращает уникальный идентификатор (GUID).

1. С помощью рабочей или учебной учетной записи с соответствующими разрешениями в вашей организации подключитесь к Exchange Online PowerShell.

   Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID
   

Дополнительные сведения о командлете Get-MailboxStatistics см. в разделе Get-MailboxStatistics.

2. Выполните командлет Get-DataEncryptionPolicy, чтобы узнать понятное имя DEP, которому назначен почтовый ящик.

   Get-DataEncryptionPolicy <GUID>
   

   Где GUID — это GUID, возвращенный командлетом Get-MailboxStatistics на предыдущем шаге.

Создание DEP для использования с SharePoint и OneDrive

Перед началом работы убедитесь, что вы выполнили необходимые действия по настройке. Дополнительные сведения см. в разделе Настройка ключа клиента.

Чтобы настроить ключ клиента для SharePoint и OneDrive, используйте SharePoint PowerShell.

Сведения о политиках шифрования данных:

Политика шифрования данных (DEP) связана с двумя ключами, хранящимися в отдельных хранилищах ключей Azure. Эти ключи должны находиться в разных регионах Azure, чтобы избежать геоизбыточности.

• Клиенты с одним регионом. Вы можете создать один DEP для защиты всех данных в вашем регионе.

• Клиенты с несколькими регионами. Создайте по одному DEP для каждого региона, каждый из которых использует разные ключи.

Для обоих ключей требуются Key Vault URI. Дополнительные сведения см. в разделе Получение URI для каждого ключа Key Vault Azure.

1. На локальном компьютере, используя рабочую или учебную учетную запись с соответствующими разрешениями в вашей организации, подключитесь к SharePoint PowerShell.

2. Register-SPODataEncryptionPolicy Используйте командлет для регистрации DEP.

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>
   

   Пример:

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'stageRG3vault' -PrimaryKeyName 'SPKey3' -PrimaryKeyVersion 'f635a23bd4a44b9996ff6aadd88d42ba' -SecondaryKeyVaultName 'stageRG5vault' -SecondaryKeyName 'SPKey5' -SecondaryKeyVersion '2b3e8f1d754f438dacdec1f0945f251a'
   

   При использовании управляемого модуля HSM: используйте полный URL-адрес ключа , включая версию для каждого хранилища.

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultURL <PrimaryKeyVaultURL> -SecondaryKeyVaultURL <SecondaryKeyVaultURL>
   

   Пример:

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultURL https://M365-Test.managedhsm.azure.net/keys/Sharepoint-01/aaaa5513974f4780ea67b2f5d8c3dd -SecondaryKeyVaultURL https://M365-Test-02.managedhsm.azure.net/keys/Sharepoint-02/7d8f30343bed4e44a57225bae2012388
   

   Примечание.

   После регистрации DEP начинается шифрование данных географического расположения. Этот процесс может занять некоторое время.

Полный справочник по командлетам см. в разделе Register-SPODataEncryptionPolicy.

Убедитесь, что шифрование с помощью ключа клиента завершено

После смены ключа клиента, назначения новой политики шифрования данных (DEP) или переноса почтового ящика выполните действия, описанные в этом разделе, чтобы убедиться, что шифрование завершено.

Проверка завершения шифрования для почтовых ящиков Exchange

Шифрование почтового ящика может занять время. Для первого шифрования почтовый ящик должен быть полностью перемещен в новую базу данных, прежде чем шифрование может завершиться.

Чтобы проверка, является ли почтовый ящик зашифрованным, используйте Get-MailboxStatistics командлет :

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

Свойство IsEncrypted возвращает значение true , если почтовый ящик зашифрован, и значение false , если это не так.

Время, необходимое для завершения перемещения почтовых ящиков, зависит от количества почтовых ящиков, шифруемых в первый раз, и их размеров. Если почтовый ящик не шифруется в течение одной недели после назначения политики шифрования данных (DEP), обратитесь к служба поддержки Майкрософт.

Проверка завершения шифрования для SharePoint и OneDrive

Проверьте состояние шифрования, запустив командлет Get-SPODataEncryptionPolicy следующим образом:

   Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>

Выходные данные этого командлета включают:

• URI первичного ключа

  Универсальный код ресурса (URI) первичного ключа.

• URI вторичного ключа

  Универсальный код ресурса (URI) первичного ключа.

• Состояние шифрования для геопространства

  Состояние может быть одним из следующих состояний:

  • Незарегистрированный: Шифрование ключа клиента не применяется.
  • Регистрирующий: Выполняется шифрование ключа клиента. Если ключ для георегистрации регистрируется, выходные данные включают процент зашифрованных сайтов, что позволяет отслеживать ход выполнения.
  • Зарегистрированный: Шифрование ключа клиента завершено. Все файлы на всех сайтах шифруются.
  • Катание: Выполняется сводка ключей. Если ключ для геообъекта является последовательный, выходные данные включают процент завершенных развертываний сайта, что позволяет отслеживать ход выполнения.

• Подключенные сайты

  Процент сайтов, подключенных для шифрования.

Получение сведений о deps, используемых с несколькими рабочими нагрузками

Чтобы просмотреть сведения о deps, созданных для использования с несколькими рабочими нагрузками, выполните следующие действия.

1. На локальном компьютере используйте рабочую или учебную учетную запись с разрешениями администратора соответствия требованиям для подключения к Exchange Online PowerShell.

2. Выполните следующую команду, чтобы вывести список всех deps с несколькими рабочими нагрузками в организации:

   Get-M365DataAtRestEncryptionPolicy
   

3. Чтобы просмотреть сведения о конкретном DEP, используйте следующую команду. В этом примере показаны сведения для DEP с именем Contoso_Global:

   Get-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global"
   

Получение сведений о назначении DEP для нескольких рабочих нагрузок

Чтобы определить, какой DEP в настоящее время назначен вашему клиенту, выполните следующие действия.

1. На локальном компьютере используйте рабочую или учебную учетную запись с разрешениями администратора соответствия требованиям для подключения к Exchange Online PowerShell.

2. Выполните следующую команду:

   Get-M365DataAtRestEncryptionPolicyAssignment
   

Отключение DEP с несколькими рабочими нагрузками

Перед отключением DEP с несколькими рабочими нагрузками отмените назначение DEP из рабочих нагрузок в клиенте. Чтобы отключить DEP, используемый с несколькими рабочими нагрузками, выполните следующие действия.

1. На локальном компьютере используйте рабочую или учебную учетную запись с разрешениями администратора соответствия требованиям для подключения к Exchange Online PowerShell.

2. Выполните следующую команду, заменив PolicyName именем или уникальным идентификатором политики (например, Contoso_Global):

   Set-M365DataAtRestEncryptionPolicy -[Identity] "PolicyName" -Enabled $false
   

   Пример.

   Set-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global" -Enabled $false
   

Восстановление ключей azure Key Vault

Перед восстановлением используйте функцию обратимого удаления для восстановления ключей, если это возможно. Для всех ключей, используемых с ключом клиента, должно быть включено обратимое удаление. Функции обратимого удаления, такие как корзина, позволяют восстанавливать удаленные ключи в течение 90 дней без необходимости полного восстановления.

Восстановление ключа должно быть необходимо только в редких или исключительных случаях, например, если ключ или хранилище ключей окончательно потеряны.

Чтобы восстановить ключ с помощью Azure PowerShell, выполните следующую команду:

Restore-AzKeyVaultKey -VaultName <vault name> -InputFile <filename>

Пример.

Restore-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Управление разрешениями хранилища ключей

Вы можете использовать Azure PowerShell для просмотра или удаления разрешений хранилища ключей. Например, может потребоваться удалить доступ пользователя, когда он покидает команду.

Чтобы просмотреть разрешения для хранилища ключей, выполните следующую команду:

Get-AzKeyVault -VaultName <vault name>

Пример.

Get-AzKeyVault -VaultName Contoso-O365EX-NA-VaultA1

Чтобы удалить доступ пользователя к хранилищу ключей, используйте следующую команду:

Remove-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user>

Пример.

Remove-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -UserPrincipalName [email protected]

Откат с ключа клиента на ключи, управляемые Корпорацией Майкрософт

При необходимости можно отменить изменения к использованию ключей, управляемых Корпорацией Майкрософт. При откате данные повторно шифруются с помощью метода шифрования по умолчанию, поддерживаемого каждой рабочей нагрузкой. Например, облачные компьютеры Exchange и Windows 365 используют ключи, управляемые Корпорацией Майкрософт, для шифрования по умолчанию.

Откат из ключа клиента для нескольких рабочих нагрузок

Если вы больше не хотите использовать ключ клиента с политиками шифрования данных с несколькими рабочими нагрузками (DEP), отправьте запрос на поддержку через служба поддержки Майкрософт. Добавьте в запрос следующие сведения:

• Полное доменное имя клиента (FQDN)
• Контакт клиента для запроса на откат
• Причина прекращения работы с ключом клиента
• Номер инцидента

Откат из ключа клиента для Exchange

Если вы больше не хотите шифровать отдельные почтовые ящики с помощью политик шифрования данных на уровне почтового ящика (DEP), вы можете отменить назначение этих deps из всех почтовых ящиков.

Чтобы отменить назначение DEP на уровне почтового ящика, выполните следующие действия.

1. Используйте рабочую или учебную учетную запись, которая имеет необходимые разрешения Exchange Online PowerShell, и подключитесь к Exchange Online PowerShell.

2. Выполните следующий командлет.

   Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy $null
   

Эта команда отменяет назначение текущего DEP и повторно шифрует почтовый ящик с помощью ключей, управляемых Майкрософт по умолчанию.

Откат из ключа клиента для SharePoint и OneDrive

Откат с ключа клиента на ключи, управляемые Корпорацией Майкрософт, не поддерживается в SharePoint или OneDrive.

Отзыв ключей и запуск пути очистки данных

Вы управляете отзывом всех корневых ключей, включая ключ доступности. Ключ клиента позволяет контролировать процесс планирования выхода, требуемый многими нормативными стандартами. Если вы решили отозвать ключи для очистки данных и выхода из службы, ключ доступности удаляется после завершения процесса очистки данных.

Эта функция поддерживается только для клиентских ключей DEP, назначенных отдельным почтовым ящикам.

Microsoft 365 выполняет аудит и проверку процесса очистки данных. Дополнительные сведения см. в отчете SSAE 18 SOC 2, доступном на портале Service Trust Portal.

Корпорация Майкрософт также рекомендует ознакомиться со следующими документами:

• Руководство по оценке рисков и соответствию требованиям для финансовых учреждений в Microsoft Cloud

• Рекомендации по планированию выхода из Microsoft 365

Если вы полностью выходите из служб Microsoft 365, узнайте, как удалить клиент в Microsoft Entra ID.

Отзыв ключей клиентов и ключа доступности для Exchange

При запуске пути очистки данных для Exchange вы размещаете постоянный запрос на очистку данных в политике шифрования данных (DEP). Это действие окончательно удаляет зашифрованные данные во всех почтовых ящиках, назначенных этому DEP.

Так как командлет PowerShell одновременно работает только с одним DEP, перед началом процесса очистки данных рассмотрите возможность переназначения одного DEP для всех почтовых ящиков.

Чтобы инициировать путь очистки данных, выполните следующие действия.

1. Удалите разрешения на перенос и распаковку для Exchange Online O365 из Azure Key Vaults.

2. Используйте рабочую или учебную учетную запись с соответствующими разрешениями PowerShell Exchange Online и подключитесь к Exchange Online PowerShell.

3. Для каждого DEP, включающего почтовые ящики, которые требуется очистить, выполните Set-DataEncryptionPolicy командлет:

   Set-DataEncryptionPolicy <Policy ID> -PermanentDataPurgeRequested -PermanentDataPurgeReason <Reason> -PermanentDataPurgeContact <ContactName>
   

   В случае сбоя команды убедитесь, что Exchange Online разрешения были удалены из обоих ключей в Key Vault Azure, как отмечалось ранее. После выполнения командлета Set-DataEncryptionPolicy с параметром -PermanentDataPurgeRequested DEP больше нельзя назначить почтовым ящикам.

4. Обратитесь к служба поддержки Майкрософт и запросите электронный документ data Purge.

   Корпорация Майкрософт отправляет юридический документ для подтверждения и авторизации очистки данных. Сотрудник вашей организации, который был указан в качестве утверждающего во время адаптации (как правило, через программу FastTrack), должен подписать этот документ. Это лицо, как правило, является исполнительным или другим законным уполномоченным представителем.

5. После того как ваш представитель подпишет документ, верните его в корпорацию Майкрософт (обычно через электронную подпись).

   После получения подписанного eDocument корпорация Майкрософт выполняет необходимые командлеты для завершения очистки данных. Этот процесс удаляет DEP, помечает затронутые почтовые ящики для окончательного удаления и удаляет ключ доступности. После завершения процесса данные очищаются, недоступны для Exchange и не могут быть восстановлены.

Отзыв ключей клиентов и ключа доступности для SharePoint и OneDrive

Очистка deps для SharePoint и OneDrive не поддерживается в ключе клиента. Если вы полностью выходите из служб Microsoft 365, вы можете следовать документу, чтобы удалить клиент.

Дополнительные сведения см. в статье Удаление клиента в Microsoft Entra ID.

Перенос хранилищ Ключей из устаревшей модели политики доступа в RBAC

Если вы подключены к ключу клиента с помощью устаревшей модели политики доступа, выполните следующие действия, чтобы перенести все Azure Key Vault на использование управления доступом на основе ролей (RBAC). Чтобы сравнить две модели и понять, почему корпорация Майкрософт рекомендует использовать RBAC, см. статью Управление доступом на основе ролей Azure (Azure RBAC) и политики доступа (устаревшие версии).

Удаление устаревших политик доступа

Чтобы удалить существующие политики доступа из Key Vault, используйте Remove-AzKeyVaultAccessPolicy командлет .

1. Войдите в подписку Azure с помощью Azure PowerShell. Инструкции см. в статье Вход с помощью Azure PowerShell.

2. Выполните следующую команду, чтобы удалить доступ для субъекта-службы Microsoft 365 :

   Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4
   

3. Выполните следующую команду, чтобы удалить доступ к субъекту Exchange Online:

   Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000
   

4. Выполните следующую команду, чтобы удалить доступ к Субъекту-службе SharePoint и OneDrive для работы или учебного заведения:

   Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000
   

Изменение модели разрешений конфигурации доступа

После удаления политик доступа обновите модель разрешений для каждого Key Vault в портал Azure:

1. В портал Azure перейдите к Key Vault.

2. В меню слева в разделе Параметры выберите Конфигурация доступа.

3. В разделе Модель разрешений выберите Управление доступом на основе ролей Azure.

4. Нажмите кнопку Применить в нижней части экрана.

Назначение разрешений RBAC

После переключения модели разрешений выполните действия, описанные в разделе Назначение разрешений каждому Key Vault, чтобы предоставить необходимые роли.

Статьи по теме

• Обзор ключа клиента

• Сведения о ключе доступности

• Настройка ключа клиента

• Смена или ротация ключа клиента или ключа доступности

• Защищенное хранилище пользователя

• Шифрование служб и управление ключами