Поделиться через

Управление ключом клиента

После настройки ключа клиента следующим шагом является создание и назначение одной или нескольких политик шифрования данных (DEP). После назначения вы можете управлять ключами шифрования и политиками, как описано в этой статье.

Ключ клиента Microsoft Purview также поддерживает Windows 365 облачные компьютеры. Дополнительные сведения см. в статье Ключ клиента Microsoft Purview для Windows 365 облачных компьютеров.

Предварительные условия

Перед управлением ключом клиента убедитесь, что у вас есть:

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.

Краткий справочник. Команды по задачам

Используйте следующие таблицы, чтобы быстро найти нужную команду.

Создание и назначение deps

Задача Workload Command
Создание DEP Несколько рабочих нагрузок New-M365DataAtRestEncryptionPolicy -Name <Name> -AzureKeyIDs <KeyURI1>,<KeyURI2>
Создание DEP Exchange New-DataEncryptionPolicy -Name <Name> -AzureKeyIDs <KeyURI1>,<KeyURI2>
Создание DEP SharePoint/OneDrive Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <Name> -PrimaryKeyName <Name> -PrimaryKeyVersion <Version> -SecondaryKeyVaultName <Name> -SecondaryKeyName <Name> -SecondaryKeyVersion <Version>
Назначение DEP Несколько рабочих нагрузок Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName>
Назначение DEP Почтовый ящик Exchange Set-Mailbox -Identity <Mailbox> -DataEncryptionPolicy <PolicyName>
Назначение DEP Гибридный почтовый ящик Set-MailUser -Identity <MailUser> -DataEncryptionPolicy <PolicyName>

Просмотр и проверка deps

Задача Workload Command
Перечисление всех deps Несколько рабочих нагрузок Get-M365DataAtRestEncryptionPolicy
Перечисление всех deps Exchange Get-DataEncryptionPolicy
Просмотр назначения DEP Несколько рабочих нагрузок Get-M365DataAtRestEncryptionPolicyAssignment
Просмотр DEP почтового ящика Exchange Get-MailboxStatistics -Identity <Mailbox> \| fl DataEncryptionPolicyID
Просмотр состояния шифрования SharePoint/OneDrive Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>
Проверка шифрования почтового ящика Exchange Get-MailboxStatistics -Identity <Mailbox> \| fl IsEncrypted

Управление и отключение DEP

Задача Workload Command
Отключение DEP Несколько рабочих нагрузок Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Enabled $false
Отмена назначения DEP Exchange Set-Mailbox -Identity <Mailbox> -DataEncryptionPolicy $null

операции Key Vault

Задача Command
Просмотр разрешений Key Vault Get-AzKeyVault -VaultName <VaultName>
Удаление доступа пользователей Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -UserPrincipalName <UPN>
Восстановление ключа Restore-AzKeyVaultKey -VaultName <VaultName> -InputFile <BackupFile>

Создание DEP для использования с несколькими рабочими нагрузками для всех пользователей клиента

  1. На локальном компьютере войдите в систему с помощью рабочей или учебной учетной записи с разрешениями администратора соответствия требованиям и подключитесь к Exchange Online PowerShell.

  2. Выполните следующий командлет, чтобы создать политику шифрования данных с несколькими рабочими нагрузками:

    New-M365DataAtRestEncryptionPolicy -Name <PolicyName> -AzureKeyIDs <KeyVaultURI1, KeyVaultURI2> [-Description <String>]

    Определения параметров:

    • -Name: имя, которое вы хотите использовать для политики. Пробелы не допускаются.

    • -AzureKeyIDs: URI двух ключей Azure Key Vault, используемых в политике, разделенных запятыми.

      Пример: "https://contosoCentralUSvault1.vault.azure.net/keys/Key_02""https://contosoWestUSvault1.vault.azure.net/keys/Key_01"

    • Description (необязательно): понятное описание политики.

      Пример: "Policy for multiple workloads for all users in the tenant.".

    New-M365DataAtRestEncryptionPolicy -Name "Contoso_Global" -AzureKeyIDs "https://contosoWestUSvault1.vault.azure.net/keys/Key_01","https://contosoCentralUSvault1.vault.azure.net/keys/Key_02" -Description "Policy for multiple workloads for all users in the tenant."

Назначение политики нескольких рабочих нагрузок

После создания политики шифрования данных с несколькими рабочими нагрузками (DEP) назначьте ее с помощью командлета Set-M365DataAtRestEncryptionPolicyAssignment . После назначения Microsoft 365 шифрует данные вашей организации с помощью ключей, указанных в DEP.

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName or ID>

Замените <PolicyName or ID> именем или GUID политики.

Пример:

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy "Contoso_Global"

Windows 365 облачные компьютеры:

После назначения политики разрешите 3–4 часа, чтобы центр администрирования Intune отражал обновление. После обновления выполните действия в Центре администрирования, чтобы зашифровать существующие облачные компьютеры.

Дополнительные сведения см. в разделе Настройка клиентских ключей для облачных компьютеров Windows 365.

Создание DEP для использования с почтовыми ящиками Exchange

Перед началом работы выполните необходимые действия по настройке. Дополнительные сведения см. в разделе Настройка ключа клиента. Чтобы создать DEP, вам потребуется Azure Key Vault URI, полученные во время установки. Дополнительные сведения см. в разделе Получение URI для каждого ключа Azure Key Vault.

Чтобы создать DEP для почтовых ящиков Exchange, выполните следующие действия.

  1. На локальном компьютере, используя рабочую или учебную учетную запись с разрешениями администратора Exchange, подключитесь к Exchange Online PowerShell.

  2. Создайте DEP с помощью командлета New-DataEncryptionPolicy :

    New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>
    Параметр Описание Пример
    -Name Введите имя политики. Имена не могут содержать пробелы. USA_mailboxes
    -AzureKeyIDs Введите URI для двух ключей в отдельных хранилищах ключей Azure. Разделите их запятыми и пробелами. https://contosoEastUSvault01.vault.azure.net/keys/USA_key_01, https://contosoEastUS2vault01.vault.azure.net/keys/USA_key_02
    -Description Понятное описание, помогающее определить назначение политики. "Root key for mailboxes in USA and its territories"

    Пример.

    New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault02.vault.azure.net/keys/USA_key_01, https://contoso_CentralUSvault02.vault.azure.net/keys/USA_Key_02

    Сведения о синтаксисе и параметрах см. в разделе New-DataEncryptionPolicy.

Назначение DEP почтовому ящику

Назначьте DEP с помощью командлета Set-Mailbox . После назначения Microsoft 365 шифрует почтовый ящик с помощью ключей в DEP.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

Дополнительные сведения см. в статье Set-Mailbox.

Назначение DEP гибридным почтовым ящикам

В гибридных средах назначьте DEP синхронизированным данным локального почтового ящика с помощью Set-MailUser:

Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>

Дополнительные сведения см. в разделе Set-MailUser и локальные почтовые ящики с помощью Outlook для iOS и Android с гибридной современной проверкой подлинности.

Назначение DEP перед переносом почтового ящика в облако

Назначение DEP перед миграцией шифрует содержимое почтового ящика во время перемещения, что более эффективно, чем назначение DEP после миграции.

  1. Подключитесь к Exchange Online PowerShell с помощью рабочей или учебной учетной записи с соответствующими разрешениями.

  2. Выполните следующую команду:

    Set-MailUser -Identity <GeneralMailboxOrMailUserIdParameter> -DataEncryptionPolicy <DataEncryptionPolicyIdParameter>

Просмотр deps, созданных для почтовых ящиков Exchange

Чтобы получить список всех deps в организации, подключитесь к Exchange Online PowerShell и выполните следующую команду:

Get-DataEncryptionPolicy

Подробные сведения о командлетах см. в разделе Get-DataEncryptionPolicy.

Определение DEP, назначенного почтовому ящику

Чтобы найти DEP, назначенный почтовому ящику, подключитесь к Exchange Online PowerShell и выполните следующую команду:

Get-MailboxStatistics -Identity <MailboxIdParameter> | fl DataEncryptionPolicyID

Чтобы получить понятное имя из возвращенного GUID, выполните следующие действия:

Get-DataEncryptionPolicy <GUID>

Дополнительные сведения см. в разделе Get-MailboxStatistics.

Создание DEP для использования с SharePoint и OneDrive

Перед началом работы убедитесь, что вы выполнили необходимые действия по настройке. Дополнительные сведения см. в разделе Настройка ключа клиента.

Чтобы настроить ключ клиента для SharePoint и OneDrive, используйте SharePoint PowerShell.

DEP использует два ключа из отдельных Azure Key Vault в разных регионах. Арендаторам с одним регионом требуется один DEP; Арендаторам с несколькими регионами требуется один DEP для каждого региона с разными ключами. Вам потребуются Key Vault URI для обоих ключей (см. раздел Получение URI для каждого ключа Azure Key Vault).

  1. На локальном компьютере, используя рабочую или учебную учетную запись с соответствующими разрешениями в вашей организации, подключитесь к SharePoint PowerShell.

  2. Register-SPODataEncryptionPolicy Используйте командлет для регистрации DEP.

    Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>

    Пример:

    Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'stageRG3vault' -PrimaryKeyName 'SPKey3' -PrimaryKeyVersion 'f635a23bd4a44b9996ff6aadd88d42ba' -SecondaryKeyVaultName 'stageRG5vault' -SecondaryKeyName 'SPKey5' -SecondaryKeyVersion '2b3e8f1d754f438dacdec1f0945f251a'

    При использовании управляемого модуля HSM: используйте полный URL-адрес ключа , включая версию для каждого хранилища.

    Register-SPODataEncryptionPolicy -PrimaryKeyVaultUri <PrimaryKeyVaultURL> -SecondaryKeyVaultUri <SecondaryKeyVaultURL>

    Пример:

    Register-SPODataEncryptionPolicy -PrimaryKeyVaultURL https://M365-Test.managedhsm.azure.net/keys/Sharepoint-01/aaaa5513974f4780ea67b2f5d8c3dd -SecondaryKeyVaultURL https://M365-Test-02.managedhsm.azure.net/keys/Sharepoint-02/7d8f30343bed4e44a57225bae2012388

    Примечание.

    После регистрации DEP начинается шифрование данных географического расположения. Этот процесс может занять некоторое время.

Полный справочник по командлетам см. в разделе Register-SPODataEncryptionPolicy.

Убедитесь, что шифрование с помощью ключа клиента завершено

После смены ключа клиента, назначения новой политики шифрования данных (DEP) или переноса почтового ящика выполните действия, описанные в этом разделе, чтобы убедиться, что шифрование завершено.

Проверка завершения шифрования для почтовых ящиков Exchange

Шифрование почтового ящика может занять время. Для первого шифрования почтовый ящик должен быть полностью перемещен в новую базу данных, прежде чем шифрование может завершиться.

Чтобы проверка, является ли почтовый ящик зашифрованным, используйте Get-MailboxStatistics командлет :

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

Свойство IsEncrypted возвращает значение true , если почтовый ящик зашифрован, и значение false , если это не так.

Время, необходимое для завершения перемещения почтовых ящиков, зависит от количества почтовых ящиков, шифруемых в первый раз, и их размеров.

Проверка завершения шифрования для SharePoint и OneDrive

Проверьте состояние шифрования, запустив командлет Get-SPODataEncryptionPolicy следующим образом:

   Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>

Выходные данные включают URI первичного или вторичного ключей, состояние шифрования и процент подключенных сайтов. Значения состояния:

Состояние Описание
Незарегистрированных Шифрование ключа клиента не применяется
Регистрация Выполняется шифрование (отображается процент завершения)
Registered Шифрование завершено
Прокатки Выполняется крутка ключей (отображается процент завершения)

Получение сведений о deps, используемых с несколькими рабочими нагрузками

Чтобы просмотреть deps с несколькими рабочими нагрузками, подключитесь к Exchange Online PowerShell с разрешениями администратора соответствия требованиям и выполните следующую команду:

Get-M365DataAtRestEncryptionPolicy

Дополнительные сведения о конкретном DEP:

Get-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global"

Получение сведений о назначении DEP для нескольких рабочих нагрузок

Чтобы определить, какой DEP назначен вашему клиенту, подключитесь к Exchange Online PowerShell и выполните следующую команду:

Get-M365DataAtRestEncryptionPolicyAssignment

Отключение DEP с несколькими рабочими нагрузками

Перед отключением отмените назначение DEP для рабочих нагрузок в клиенте. Затем подключитесь к Exchange Online PowerShell и выполните следующую команду:

Set-M365DataAtRestEncryptionPolicy -Identity "PolicyName" -Enabled $false

Восстановление ключей Azure Key Vault

Перед восстановлением попробуйте использовать обратимое удаление для восстановления ключей (доступно до 90 дней). Полное восстановление требуется только в случае окончательной потери ключа или хранилища.

Чтобы восстановить ключ с помощью Azure PowerShell, выполните следующую команду:

Restore-AzKeyVaultKey -VaultName <vault name> -InputFile <filename>

Пример.

Restore-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Важно!

Если хранилище ключей уже содержит ключ с тем же именем, операция восстановления завершается ошибкой. Командлет Restore-AzKeyVaultKey восстанавливает все версии ключа, включая его метаданные и имя.

Управление разрешениями хранилища ключей

Используйте Azure PowerShell для просмотра или удаления разрешений хранилища ключей (например, когда пользователь покидает команду).

Чтобы просмотреть разрешения, выполните следующие действия:

Get-AzKeyVault -VaultName <vault name>

Пример.

Get-AzKeyVault -VaultName Contoso-O365EX-NA-VaultA1

Чтобы удалить доступ пользователя, выполните приведенные ниже действия.

Remove-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user>

Откат с ключа клиента на ключи, управляемые Корпорацией Майкрософт

Вы можете отменить изменения к ключам, управляемым Корпорацией Майкрософт, которые повторно шифруют данные с помощью метода шифрования по умолчанию для каждой рабочей нагрузки.

Важно!

Откат возвращает шифрование, но не удаляет данные. Очистка данных безвозвратно удаляет данные и не может выполняться в политиках с несколькими рабочими нагрузками.

Откат из ключа клиента для нескольких рабочих нагрузок

Если вы больше не хотите использовать ключ клиента с политиками шифрования данных с несколькими рабочими нагрузками (DEP), отправьте запрос на поддержку через служба поддержки Майкрософт. Добавьте в запрос следующие сведения:

  • Полное доменное имя клиента (FQDN)
  • Контакт клиента для запроса на откат
  • Причина прекращения работы с ключом клиента
  • Номер инцидента

Важно!

Необходимо сохранить Azure Key Vault (AKV) и ключи шифрования с соответствующими разрешениями. Это действие требуется, чтобы данные можно было перерисовывать с помощью ключей, управляемых Корпорацией Майкрософт.

Важно!

Откат с ключа клиента для нескольких рабочих нагрузок не поддерживается в Gallatin.

Откат из ключа клиента для Exchange

Если вы больше не хотите шифровать отдельные почтовые ящики с помощью политик шифрования данных на уровне почтового ящика (DEP), вы можете отменить назначение этих deps из всех почтовых ящиков.

Чтобы отменить назначение DEP на уровне почтового ящика, выполните следующие действия.

  1. Используйте рабочую или учебную учетную запись, которая имеет необходимые разрешения Exchange Online PowerShell, и подключитесь к Exchange Online PowerShell.

  2. Выполните следующий командлет.

    Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy $null

Эта команда отменяет назначение текущего DEP и повторно шифрует почтовый ящик с помощью ключей, управляемых Майкрософт по умолчанию.

Примечание.

Вы не можете отменить назначение DEP, связанного с ключами, управляемыми Корпорацией Майкрософт. Если вы не хотите использовать ключи, управляемые Корпорацией Майкрософт, назначьте почтовый ящик другой DEP.

Откат из ключа клиента для SharePoint и OneDrive

Откат с ключа клиента на ключи, управляемые Корпорацией Майкрософт, не поддерживается в SharePoint или OneDrive.

Отзыв ключей и запуск пути очистки данных

Вы управляете отзывом всех корневых ключей, включая ключ доступности. При отзыве ключей для очистки данных и выхода из службы ключ доступности удаляется после завершения очистки. Эта функция поддерживается только для deps, назначенных отдельным почтовым ящикам.

Microsoft 365 выполняет аудит и проверку процесса очистки данных. Дополнительные сведения см. в отчете SSAE 18 SOC 2, руководстве по оценке рисков и соответствию требованиям для финансовых учреждений и в рекомендациях по планированию выхода Microsoft 365.

Важно!

Очистка DEP с несколькими рабочими нагрузками не поддерживается. Эти политики шифруют данные для нескольких рабочих нагрузок и пользователей в клиенте. Очистка такого DEP сделает данные для всех рабочих нагрузок недоступными.

Если вы полностью выходите из служб Microsoft 365, узнайте, как удалить клиент в Microsoft Entra ID.

Отзыв ключей клиентов и ключа доступности для Exchange

При запуске пути очистки данных для Exchange вы размещаете постоянный запрос на очистку данных в политике шифрования данных (DEP). Это действие окончательно удаляет зашифрованные данные во всех почтовых ящиках, назначенных этому DEP.

Так как командлет PowerShell одновременно работает только с одним DEP, перед началом процесса очистки данных рассмотрите возможность переназначения одного DEP для всех почтовых ящиков.

Предупреждение

Не используйте путь очистки данных для удаления подмножества почтовых ящиков. Этот процесс предназначен только для организаций, которые полностью выходят из службы.

Чтобы инициировать путь очистки данных, выполните следующие действия.

  1. Удалите разрешения на перенос и распаковку для Exchange Online O365 из хранилищ ключей Azure.

  2. Используйте рабочую или учебную учетную запись с соответствующими разрешениями PowerShell Exchange Online и подключитесь к Exchange Online PowerShell.

  3. Для каждого DEP, включающего почтовые ящики, которые требуется очистить, выполните Set-DataEncryptionPolicy командлет:

    Set-DataEncryptionPolicy <Policy ID> -PermanentDataPurgeRequested -PermanentDataPurgeReason <Reason> -PermanentDataPurgeContact <ContactName>

    В случае сбоя команды убедитесь, что Exchange Online разрешения были удалены с обоих ключей в Azure Key Vault, как отмечалось ранее. После выполнения командлета Set-DataEncryptionPolicy с параметром -PermanentDataPurgeRequested DEP больше нельзя назначить почтовым ящикам.

  4. Обратитесь к служба поддержки Майкрософт и запросите электронный документ data Purge.

    Корпорация Майкрософт отправляет юридический документ для подтверждения и авторизации очистки данных. Лицо, подписывающее это, обычно является исполнительным или другим законным представителем.

  5. После того как ваш представитель подпишет документ, верните его в корпорацию Майкрософт (обычно через электронную подпись).

    После получения подписанного документа eDocument корпорация Майкрософт проверяет подлинность подписи и подписываемого. После проверки они выполняют необходимые командлеты для завершения очистки данных. Этот процесс удаляет DEP, помечает затронутые почтовые ящики для окончательного удаления и удаляет ключ доступности. После завершения процесса данные очищаются, недоступны для Exchange и не могут быть восстановлены.

Отзыв ключей клиентов и ключа доступности для SharePoint и OneDrive

Очистка deps для SharePoint и OneDrive не поддерживается в ключе клиента. Если вы полностью выходите из служб Microsoft 365, вы можете следовать документу, чтобы удалить клиент.

Дополнительные сведения см. в статье Удаление клиента в Microsoft Entra ID.

Перенос хранилищ Ключей из устаревшей модели политики доступа в RBAC

Если вы подключены к ключу клиента с помощью устаревшей модели политики доступа, выполните следующие действия, чтобы перенести все Azure Key Vault на использование управления доступом на основе ролей (RBAC). Чтобы сравнить эти две модели и понять, почему корпорация Майкрософт рекомендует использовать RBAC, ознакомьтесь с разделом Azure управления доступом на основе ролей (Azure RBAC) и политик доступа (прежних версий).

Удаление устаревших политик доступа

Чтобы удалить существующие политики доступа из Key Vault, используйте Remove-AzKeyVaultAccessPolicy командлет .

  1. Войдите в свою подписку Azure с помощью Azure PowerShell. Инструкции см. в статье Вход с помощью Azure PowerShell.

  2. Выполните следующую команду, чтобы удалить доступ для субъекта-службы Microsoft 365 :

    Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4

  3. Выполните следующую команду, чтобы удалить доступ к субъекту Exchange Online:

    Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

  4. Выполните следующую команду, чтобы удалить доступ к Субъекту-службе SharePoint и OneDrive для работы или учебного заведения:

    Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000

Изменение модели разрешений конфигурации доступа

После удаления политик доступа обновите модель разрешений для каждого Key Vault в портал Azure:

  1. В портал Azure перейдите к Key Vault.

  2. В меню слева в разделе Параметры выберите Конфигурация доступа.

  3. В разделе Модель разрешений выберите Azure управление доступом на основе ролей.

  4. Нажмите кнопку Применить в нижней части экрана.

    Key Vault Home

    Azure применяется управление доступом на основе ролей

Назначение разрешений RBAC

После переключения модели разрешений выполните действия, описанные в разделе Назначение разрешений каждому Key Vault, чтобы предоставить необходимые роли.

Устранение неполадок

Проблема Возможная причина Решение
Сбой создания DEP Недопустимый URI Key Vault Проверка формата URI и наличия ключа в хранилище
Сбой назначения DEP Недостаточно разрешений Убедитесь, что у вас есть разрешения администратора Exchange
Почтовый ящик не шифруется через неделю Перемещение базы данных не завершено Контактные служба поддержки Майкрософт
Get-MailboxStatistics возвращает значение no DataEncryptionPolicyID DEP не назначен Назначение DEP с помощью Set-Mailbox
Шифрование SharePoint зависло при регистрации Проблема с доступом к большому клиенту или ключу Проверка разрешений ключа; Для крупных клиентов шифрование может занять время.
Сбой восстановления ключа Ключ с тем же именем существует Использование другого хранилища или удаление существующего ключа
Не удается подключиться к Exchange Online PowerShell Модуль не установлен или устарел Установка или обновление модуля PowerShell Exchange Online
  • Last updated on