Поделиться через

Настройка ключа клиента

Ключ клиента позволяет управлять ключами шифрования вашей организации и настраивать Microsoft 365 на использование этих ключей для шифрования неактивных данных в центрах обработки данных Майкрософт. Другими словами, он позволяет добавить уровень шифрования, которым вы владеете и управляете.

Перед использованием ключа клиента необходимо настроить необходимые ресурсы Azure. В этой статье описывается создание и настройка этих ресурсов, а затем шаги по включению ключа клиента. После настройки ресурсов Azure вы выбираете, какая политика применяется, и, в свою очередь, какие ключи будут шифровать данные в рабочих нагрузках Microsoft 365 в вашей организации.

Общие сведения и дополнительные сведения см. в статье Обзор ключа клиента.

Важно!

Обязательно следуйте рекомендациям в этой статье, помеченным как TIP, IMPORTANT и NOTE. Ключ клиента обеспечивает контроль над корневыми ключами шифрования, которые могут повлиять на всю организацию. Ошибки с этими ключами могут привести к прерыванию работы службы или постоянной потере данных.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.

Перед настройкой ключа клиента

Прежде чем начать, убедитесь, что в вашей организации есть правильные подписки Azure. и лицензии Microsoft 365, Office 365 и Windows 365. Необходимо использовать платные подписки Azure. Подписки, приобретенные по программам бесплатной, пробной версии, спонсорской поддержки, MSDN или устаревшей поддержки, не допускаются.

Важно!

Лицензии Microsoft 365 и Office 365, которые предлагают ключ клиента Microsoft 365:

  • Office 365 E5
  • Microsoft 365 E5
  • Соответствие требованиям Microsoft 365 E5
  • номера SKU управления Microsoft 365 E5 Information Protection &
  • Безопасность и соответствие требованиям Microsoft 365 для FLW

Существующие лицензии Office 365 Advanced Compliance по-прежнему поддерживаются.

Чтобы лучше понять основные понятия и процедуры, описанные в этой статье, ознакомьтесь с документацией по azure Key Vault. Вы также должны быть знакомы с ключевыми терминами Azure, такими как Microsoft Entra клиент.

Если вам нужна помощь помимо документации, обратитесь к служба поддержки Майкрософт. Чтобы поделиться отзывами или предложениями по ключу клиента или этой документации, посетите сообщество Microsoft 365.

Обзор действий по настройке ключа клиента

Чтобы настроить ключ клиента, выполните следующие задачи по порядку. Остальная часть этой статьи содержит подробные инструкции по каждой задаче или ссылки на дополнительные сведения о каждом шаге процесса.

В Azure:

Выполните следующие предварительные требования с помощью Azure PowerShell. (рекомендуется использовать версию 4.4.0 или более позднюю):

Включите клиент после завершения настройки:

Выполнение задач в azure Key Vault для ключа клиента

Выполните следующие задачи в Azure Key Vault. Этот шаг необходимо выполнить только один раз для каждой рабочей нагрузки Ключа клиента, например ключа клиента для нескольких рабочих нагрузок, Exchange или SharePoint и OneDrive.

Создание двух новых подписок Azure

Для ключа клиента требуется две подписки Azure. Корпорация Майкрософт рекомендует создавать новые подписки Azure специально для использования с ключом клиента.

Ключи azure Key Vault могут быть авторизованы только для приложений в том же клиенте Microsoft Entra. Чтобы назначить политики шифрования данных (DEP), создайте обе подписки в одном Microsoft Entra клиенте, используемом вашей организацией. Например, используйте рабочую или учебную учетную запись с соответствующими правами администратора в вашей организации. Пошаговые инструкции см. в статье Регистрация в Azure в качестве организации.

Важно!

Ключ клиента требует двух ключей для каждого DEP. Для поддержки этого требования необходимо создать две отдельные подписки Azure. Рекомендуется, чтобы разные члены вашей организации управляли одним ключом в каждой подписке. Эти подписки следует использовать только для администрирования ключей шифрования для Microsoft 365. Эта конфигурация помогает защитить организацию в случае случайного, намеренного или злонамеренного удаления или неправильного управления ключом, который он контролирует.

Количество подписок Azure, которые может создать ваша организация, практически не ограничено. Соблюдение этих рекомендаций помогает снизить риск человеческих ошибок и упростить управление ресурсами ключа клиента.

Регистрация необходимых субъектов-служб

Чтобы использовать ключ клиента, в клиенте должны быть зарегистрированы необходимые субъекты-службы. В следующих разделах показано, как проверка, зарегистрированы ли субъекты-службы в клиенте. Если это не так, выполните командлет New-AzADServicePrincipal .

Регистрация субъекта-службы для приложения подключения ключа клиента

Чтобы проверка, если приложение подключения ключей клиента уже зарегистрировано с соответствующими разрешениями, выполните следующую команду:

Get-AzADServicePrincipal -ServicePrincipalName 19f7f505-34aa-44a4-9dcc-6a768854d2ea

Если он не зарегистрирован, выполните следующую команду:

New-AzADServicePrincipal -ApplicationId 19f7f505-34aa-44a4-9dcc-6a768854d2ea

Регистрация субъекта-службы для приложения M365DataAtRestEncryption

Чтобы проверка, зарегистрировано ли приложение M365DataAtRestEncryption с соответствующими разрешениями, выполните следующую команду:

Get-AzADServicePrincipal -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4

Если он не зарегистрирован, выполните следующую команду:

New-AzADServicePrincipal -ApplicationId c066d759-24ae-40e7-a56f-027002b5d3e4

Регистрация субъекта-службы для приложения Office 365 Exchange Online

Чтобы проверка, зарегистрировано ли приложение Office 365 Exchange Online с соответствующими разрешениями, выполните следующую команду:

Get-AzADServicePrincipal -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

Если он не зарегистрирован, выполните следующую команду:

New-AzADServicePrincipal -ApplicationId 00000002-0000-0ff1-ce00-000000000000

Создание Key Vault Azure уровня "Премиум" в каждой подписке

Перед созданием хранилища ключей выполните действия, описанные в статье начало работы с Azure Key Vault. Эти действия помогут вам установить и запустить Azure PowerShell, а также подключиться к подписке. Затем создайте группу ресурсов и хранилище ключей.

При создании хранилища ключей необходимо выбрать номер SKU: Standard или Premium. SKU Standard использует защищенные программными средствами ключи без аппаратного модуля безопасности (HSM), в то время как номер SKU уровня "Премиум" позволяет использовать модули HSM для защиты ключей. Ключ клиента поддерживает хранилища ключей с одним из двух SKU, но корпорация Майкрософт настоятельно рекомендует использовать SKU уровня "Премиум". Стоимость операций одинакова для обоих; Таким образом, единственная разница в ценах заключается в ежемесячной стоимости каждого ключа, защищенного HSM. Сведения о ценах см. в разделе цены Key Vault.

Если вы планируете использовать управляемый Azure модуль HSM вместо Azure Key Vault, см. раздел Ключ клиента, использующий управляемый модуль HSM.

Важно!

Используйте хранилища ключей SKU уровня "Премиум" и защищенные HSM ключи для рабочих данных. Используйте Standard хранилища ключей И ключи SKU только для тестирования и проверки.

Для каждой рабочей нагрузки Microsoft 365, для которой используется ключ клиента, создайте хранилище ключей в каждой из двух подписок Azure, настроенных ранее.

Например, если вы используете ключ клиента для нескольких рабочих нагрузок, сценариев Exchange и SharePoint, вам потребуется три пары хранилищ ключей, в общей сложности шесть. Используйте четкое соглашение об именовании, которое отражает предполагаемое использование DEP, с которым вы связываете хранилища. В следующей таблице показано, как сопоставить каждую Key Vault Azure с каждой рабочей нагрузкой.

Имя Key Vault Разрешения для нескольких рабочих нагрузок Microsoft 365 (M365DataAtRestEncryption) Разрешения для Exchange Разрешения для SharePoint и OneDrive
ContosoM365AKV01 Да Нет Нет
ContosoM365AKV02 Да Нет Нет
ContosoEXOAKV01 Нет Да Нет
ContosoEXOAKV02 Нет Да Нет
ContosoSPOAKV01 Нет Нет Да
ContosoSPOAKV02 Нет Нет Да

Конфигурация хранилища

Для создания хранилищ ключей также требуется настройка групп ресурсов Azure. Хранилища ключей требуют небольшого объема хранилища, а ведение журнала (если оно включено) также сохраняет данные. Корпорация Майкрософт рекомендует назначить разных администраторов для управления каждой группой ресурсов. Эти роли должны соответствовать администраторам, ответственным за управление связанными ресурсами ключа клиента.

Для Exchange область действия DEP находится на уровне почтового ящика. Каждому почтовому ящику может быть назначена только одна политика, и вы можете создать до 50 политик. Политика SharePoint охватывает все данные в географическом расположении (или географическом расположении) организации, а политика с несколькими рабочими нагрузками охватывает поддерживаемые рабочие нагрузки для всех пользователей в организации.

Важно!

Если вы используете ключ клиента для нескольких рабочих нагрузок, Exchange, SharePoint и OneDrive, создайте два хранилища ключей Azure для каждой рабочей нагрузки. Это означает, что вам потребуется в общей сложности шесть хранилищ ключей.

Назначение разрешений каждому хранилищу ключей

Назначьте необходимые разрешения каждому хранилищу ключей с помощью управления доступом на основе ролей Azure (Azure RBAC) в портал Azure. В этом разделе объясняется, как применить правильные разрешения с помощью RBAC.

Назначение разрешений с помощью метода RBAC

Чтобы назначить (wrapKey, unwrapkeyи get) в Key Vault Azure, назначьте роль пользователя шифрования Key Vault криптографической службы соответствующему приложению Microsoft 365. См . статью Предоставление приложению разрешения на доступ к хранилищу ключей Azure с помощью Azure RBAC.

При назначении роли найдите следующие имена приложений в клиенте:

  • Несколько рабочих нагрузок: M365DataAtRestEncryption

  • Exchange: Office 365 Exchange Online

  • SharePoint и OneDrive: Office 365 SharePoint Online

Если вы не видите нужное приложение, убедитесь, что оно зарегистрировано в клиенте.

Дополнительные сведения о назначении ролей и разрешений см. в статье Управление доступом на основе ролей для управления доступом к ресурсам подписки Azure.

Назначение ролей пользователей

Ключ клиента требует, чтобы администраторы Key Vault и участники Key Vault управляли ключами шифрования и охраняли их.

  • администраторы Key Vault выполняют ежедневные задачи управления, такие как резервное копирование, создание, получение, импорт, перечисление и восстановление. По умолчанию у них нет разрешения на удаление ключей. Такая конструкция помогает предотвратить постоянную потерю данных. Предоставьте разрешения на удаление только временно и с осторожностью с помощью роли Участник.

  • Key Vault участники могут управлять разрешениями и назначать роли в хранилище ключей. Используйте эту роль для управления доступом при присоединении или уходе участников команды.

Подробные инструкции по назначению этих ролей с помощью Azure RBAC см. в статье Встроенные роли Azure для операций Key Vault плоскости данных.

Добавление ключа в каждое хранилище ключей путем создания или импорта ключа

Добавить ключи в Key Vault Azure можно двумя способами: создать ключ непосредственно в хранилище или импортировать существующий ключ. Создание ключа в Azure проще, но импорт ключа обеспечивает полный контроль над тем, как создается ключ. Используйте ключи RSA. Ключ клиента поддерживает длину ключа RSA до 4096 бит. Azure Key Vault не поддерживает оболочку и распаку с помощью ключей эллиптической кривой (EC).

Сведения о добавлении ключа в каждое хранилище см. в разделе Add-AzKeyVaultKey.

Если вы предпочитаете создать ключ локально, а затем импортировать его в Azure, выполните действия, описанные в разделе Создание и передача ключей, защищенных HSM, для Azure Key Vault. Используйте инструкции по Azure, чтобы добавить ключ в каждое хранилище ключей.

Проверка срока действия ключей

Чтобы проверка, что у ключей нет даты окончания срока действия, выполните командлет Get-AzKeyVaultKey.

Для azure Key Vault:

Get-AzKeyVaultKey -VaultName <vault name>

Ключ клиента не может использовать ключи с истекшим сроком действия. Если срок действия ключа истек, любая операция с его использованием завершается сбоем, что может привести к сбою службы. Настоятельно рекомендуется, чтобы срок действия ключей, используемых с ключом клиента, не был указан.

После установки дата окончания срока действия не может быть удалена, но вы можете изменить ее. Если необходимо использовать ключ с датой окончания срока действия, обновите его до 12/31/9999 и используйте устаревший метод подключения. Любое другое значение срока действия не проходит проверку Microsoft 365.

Примечание.

Служба подключения ключей клиента принимает только ключи без даты окончания срока действия.

Чтобы изменить дату окончания срока действия на 12/31/9999, используйте командлет Update-AzKeyVaultKey .

Update-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

Предостережение

Не устанавливайте даты окончания срока действия ключей шифрования, используемых с ключом клиента.

Убедитесь, что в хранилищах ключей включено обратимое удаление.

Если вы сможете быстро восстановить ключи, у вас меньше шансов столкнуться с расширенными сбоями службы из-за случайного или злонамеренного удаления. Эта функция восстановления называется обратимым удалением. Она позволяет восстановить удаленные ключи или хранилища в течение 90 дней без необходимости восстановления из резервной копии.

Обратимое удаление автоматически включается для новых Хранилищ ключей Azure. Если вы используете существующие хранилища, в которых он не включен, его можно включить вручную.

Чтобы включить обратимое удаление в хранилищах ключей, выполните следующие действия.

  1. Войдите в подписку Azure с помощью Azure PowerShell. Дополнительные сведения см. в статье Вход с помощью Azure PowerShell.

  2. Запустите командлет Get-AzKeyVault . Замените <vault name> именем хранилища ключей:

    $v = Get-AzKeyVault -VaultName <vault name>
$r = Get-AzResource -ResourceId $v.ResourceId
$r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
Set-AzResource -ResourceId $r.ResourceId -Properties $r.Properties

  3. Убедитесь, что обратимое удаление включено, выполнив:

    Get-AzKeyVault -VaultName <vault name> | fl

Убедитесь, что для параметра Включено обратимое удаление задано значение True, а для параметра Период хранения обратимого удаления (дни) задано значение 90.

Выходные данные PowerShell:

Резервное копирование ключа Key Vault Azure

После создания или изменения ключа необходимо немедленно создать резервную копию. Храните резервные копии как в сетевых, так и в автономных расположениях, чтобы предотвратить потерю данных.

Чтобы создать резервную копию ключа в Azure Key Vault, используйте командлет Backup-AzKeyVaultKey.

Важно!

Если ключ удаляется без резервной копии, его невозможно восстановить. Всегда создавайте резервную копию после любого изменения или создания ключа.

Получение URI для каждого ключа Key Vault Azure

После настройки хранилищ ключей и добавления ключей выполните следующую команду, чтобы получить универсальный код ресурса (URI) для каждого ключа. Эти URI требуются при создании и назначении DEP; Поэтому обязательно сохраните их в безопасном месте.

Выполните следующую команду в Azure PowerShell — один раз для каждого хранилища ключей:

(Get-AzKeyVaultKey -VaultName <vault name>).Id

Подключение с помощью службы подключения ключей клиента

Служба подключения ключей клиента Microsoft 365 позволяет включить ключ клиента в клиенте. Эта служба автоматически проверяет необходимые ресурсы ключа клиента. При желании вы можете проверить ресурсы отдельно перед включением.

Важно!

В настоящее время эта служба недоступна для следующих сценариев:

Учетная запись, используемая для подключения, должна иметь следующие разрешения:

  1. Разрешения на регистрацию субъекта-службы: регистрация необходимых субъектов-служб.
  2. Роль читателя. На каждой Key Vault Azure, используемой в командлете подключения.

M365CustomerKeyOnboarding Установка модуля PowerShell

  1. Войдите в подписку Azure с помощью Azure PowerShell. Инструкции см. в статье Вход с помощью Azure PowerShell.

  2. Установите последнюю версиюM365CustomerKeyOnboarding модуля из коллекция PowerShell.

  • Чтобы убедиться, что используется последняя версия, проверка вкладку Журнал версий в нижней части страницы модуля.
  • Скопируйте и вставьте команду install в сеанс и запустите ее.
  • Если появится соответствующий запрос, выберите Да для всех , чтобы продолжить.

Использование трех разных режимов подключения

При использовании службы подключения ключей клиента доступны три режима подключения: проверка, подготовка и включение. Каждый режим служит для разных целей в процессе адаптации.

При выполнении командлета (как описано в разделе Создание запроса на подключение) укажите режим с помощью -OnboardingMode параметра .

Проверка

Validate Используйте режим , чтобы убедиться, что конфигурация ресурса ключа клиента правильна. Этот режим не вносит никаких изменений в вашу среду.

Важно!

Этот режим можно запускать столько раз, сколько потребуется, особенно после внесения изменений в конфигурацию.

Подготовка

Режим Prepareрегистрирует две подписки Azure, указанные в командлете для обязательного периода хранения. Этот параметр позволяет предотвратить случайное или немедленное удаление ключей шифрования, что может привести к постоянной потере данных или нарушению работы службы.

После выполнения командлета в этом режиме может потребоваться до 1 часа, чтобы подписки отражали изменения. После завершения снова используйте Validate режим , чтобы проверка состояние.

Важно!

Требуется регистрация обязательного периода хранения . Для каждой среды необходимо выполнить Prepare только один раз, если командлет специально не предложит сделать это еще раз.

Включение

Enable Используйте режим , когда будете готовы подключить клиент к ключу клиента. Этот режим включает ключ клиента для рабочей нагрузки, указанной -Scenario с помощью параметра .

Если вы хотите включить ключ клиента для нескольких рабочих нагрузок и Exchange, выполните командлет дважды, по одному разу для каждой рабочей нагрузки.

Перед запуском в режиме включения убедитесь, что в результатах проверки отображается значение Пройдено в разделе ValidationResult.

Важно!

Для успешного выполнения процесса подключения в режиме включения ресурсы должны пройти все проверки в Validate режиме включения.

Создание запроса на подключение

Первым шагом в процессе подключения является создание нового запроса. В PowerShell результаты командлета можно хранить в переменной с помощью символа $ , за которым следует имя переменной.

В этом примере запрос на подключение хранится в переменной с именем $request:

$request = New-CustomerKeyOnboardingRequest -Organization <tenantID> -Scenario <Scenario> -Subscription1 <subscriptionID1> -VaultName1 <AKVVaultName1> -KeyName1 <KeyName1> -Subscription2 <subscriptionID2> -VaultName2 <AKVVaultName2> -KeyName2 <KeyName2> -OnboardingMode <OnboardingMode>
Параметр Описание Пример
-Organization Идентификатор клиента в формате xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx. abcd1234-abcd-efgh-hijk-abcdef123456
-Scenario Рабочая нагрузка, к которую вы выполняете подключение. Параметры:
  • MDEP — ключ клиента для нескольких рабочих нагрузок
  • EXO — Ключ клиента для Exchange
 MDEP или EXO
-Subscription1 Идентификатор подписки Azure первой подписки, зарегистрированной с обязательным периодом хранения. p12ld534-1234-5678-9876-g3def67j9k12
-VaultName1 Имя первого Key Vault Azure, настроенного для ключа клиента. EXOVault1
-KeyName1 Имя первого ключа в первом Key Vault Azure. EXOKey1
-Subscription2 Идентификатор подписки Azure второй подписки, зарегистрированной с обязательным периодом хранения. 21k9j76f-ed3g-6789-8765-43215dl21pbd
-VaultName2 Имя второго Key Vault Azure, настроенного для ключа клиента. EXOVault2
-KeyName2 Имя второго ключа во втором Key Vault Azure. EXOKey2
-OnboardingMode Выполняемая действие подключения. Параметры:
  • Prepare — применяет обязательный период хранения к вашим подпискам. Может занять до 1 часа.
  • Validate — проверяет конфигурацию без внесения изменений. Полезно для проверки перед подключением.
  • Enable — проверяет и включает ключ клиента в клиенте, если проверка пройдена.
 Prepare, Validate или Enable

Войдите с учетными данными администратора клиента.

При появлении запроса откроется окно браузера. Войдите с помощью учетной записи администратора клиента с необходимыми привилегиями для завершения подключения.

Запрос на вход с привилегированной учетной записью

Просмотр сведений о проверке и включении

После успешного входа вернитесь в окно PowerShell. Выполните переменную, используемую при создании запроса на подключение, чтобы просмотреть ее выходные данные:

$request

Выходные данные запроса CKO

Вы получаете выходные данные, включая ID, CreatedDate, ValidationResultи EnablementResult.

Выходные данные Описание
ID Идентификатор, связанный с созданным запросом на подключение.
CreatedDate Дата создания запроса.
ValidationResult Индикатор успешной или неудачной проверки.
EnablementResult Индикатор успешного или неудачного включения.

Клиент, готовый к использованию ключа клиента, показывает успешно как для, так ValidationResult и EnablementResult , как показано на следующем снимке экрана:

Успешные выходные данные CKO

Если оба значения показывают успешно, перейдите к разделу Дальнейшие действия.

Сведения об устранении неполадок с неудачными проверками

Если проверка завершается ошибкой во время подключения, выполните следующие действия, чтобы изучить причину. Этот процесс помогает определить, какие ресурсы ключа клиента настроены неправильно.

  1. Выведите список всех запросов на подключение для клиента, чтобы найти RequestID тот, который вы хотите изучить:
Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID>
  1. Сохраните конкретный запрос на подключение в переменную:
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID>
  1. Просмотрите сведения о сбое проверки:
$request.FailedValidations

Пример неудачных выходных данных проверки в PowerShell

Каждое правило проверки содержит следующие поля:

  • ExpectedValue: какая должна быть конфигурация ресурса.
  • ActualValue: что было обнаружено в вашей среде.
  • Область: первые пять символов идентификатора подписки, которые помогают определить, в какой подписке (и связанном с ней хранилище ключей) возникла проблема.
  • Сведения. Описание первопричины и рекомендации по устранению проблемы.

В следующей таблице приведены общие правила проверки и способы устранения сбоев.

RuleName Описание Решение
MandatoryRetentionPeriodState Возвращает состояние объекта MandatoryRetentionPeriod. Убедитесь, что запущен Prepare режим. Если проблема не исчезнет, см. раздел Неправильное состояние обязательного периода хранения.
SubscriptionInRequestOrganization Подтверждает, что подписка Azure принадлежит вашей организации. Убедитесь, что подписка создана в указанном клиенте.
VaultExistsinSubscription Подтверждает, что Key Vault Azure входит в указанную подписку. Проверьте, создано ли хранилище ключей в правильной подписке.
SubscriptionUniquePerScenario Гарантирует, что вы используете две уникальные подписки для каждого сценария. Двойная проверка, что оба идентификатора подписок отличаются.
SubscriptionsCountPerScenario Подтверждает, что были предоставлены две подписки. Убедитесь, что запрос на подключение включает две подписки.
RecoveryLevel Проверяет, равен ли уровень восстановления хранилища ключей Recoverable+ProtectedSubscription. См . раздел Неправильное состояние обязательного периода хранения.
KeyOperationsSupported Проверяет, поддерживает ли ключ необходимые операции для рабочей нагрузки. См. раздел Назначение необходимых разрешений ключам AKV.
KeyNeverExpires Гарантирует, что срок действия ключа не истек. См . раздел Проверка срока действия ключей.
KeyAccessPermissions Подтверждает, что ключ имеет правильные разрешения на доступ. См. раздел Назначение необходимых разрешений ключам AKV.
OrganizationHasRequiredServicePlan Проверяет наличие необходимых лицензий в вашей организации. См . раздел Убедитесь, что у клиента есть необходимые лицензии.

Неправильное состояние обязательного периода хранения

Если после запуска командлета подключения в Prepare режиме MandatoryRetentionPeriodState остается Recoverable равным или Recoverable+Purgeable более чем через час и вы уже включили обратимое удаление в Azure Key Vaults, выполните следующие действия, чтобы устранить неполадки и устранить проблему.

  1. Проверка состояния регистрации компонента
    Выполните следующие команды в Azure PowerShell, чтобы убедиться, что обе подписки Azure имеют состояние Registered:
Set-AzContext -SubscriptionId <Subscription ID>
Get-AzProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources

  1. Повторная регистрация необходимых поставщиков ресурсов
    Повторно зарегистрируйте поставщиков Microsoft.Resources ресурсов и Microsoft.KeyVault в каждой подписке. Это действие можно выполнить с помощью Azure PowerShell, Azure CLI или портал Azure:

    • Azure PowerShell:

        Register-AzResourceProvider -ProviderNamespace Microsoft.Resources 
  Register-AzResourceProvider -ProviderNamespace Microsoft.Keyvault

    • Azure CLI:

        az provider register --namespace Microsoft.Resources 
  az provider register --namespace Microsoft.Keyvault

    • портал Azure. Повторная регистрация поставщика ресурсов

  2. Проверка уровня восстановления ключа
    Чтобы убедиться, что ключ имеет правильный уровень восстановления, выполните следующую команду в Azure PowerShell:

    (Get-AzKeyVaultKey -VaultName <vault name> -Name <key name>).Attributes

    Найдите RecoveryLevel свойство в выходных данных. Для него должно быть задано значение Recoverable+ProtectedSubscription

Проверка пройденных проверок

Чтобы просмотреть, какие проверки были успешно выполнены в процессе подключения, выполните следующие действия.

  1. Сохраните конкретный запрос на подключение в переменной "$request".
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID>
  1. Выполните следующую команду, чтобы отобразить все пройденные проверки:
$request.PassedValidations

Эта команда возвращает список всех проверок, успешно прошедших для выбранного запроса на подключение.

CKO PassedValidation

Подключение к ключу клиента с помощью устаревшего метода

Используйте этот метод, только если служба подключения ключей клиента не поддерживает сценарий клиента.

После выполнения всех необходимых действий по настройке azure Key Vault и подписок обратитесь к служба поддержки Майкрософт и запросите помощь по подключению ключей клиента.

Подключение к ключу клиента для специальных облаков

Если клиент находится в GCC-H, DoD или M365 под управлением 21Vianet, сначала выполните все необходимые действия по настройке ключа клиента.

Подключение к ключу клиента для SharePoint и OneDrive

Чтобы подключиться к ключу клиента для SharePoint и OneDrive, клиент должен соответствовать следующим предварительным требованиям:

  1. Клиент уже подключен к ключу клиента для нескольких рабочих нагрузок или Exchange.
  2. Обе подписки Azure регистрируются с обязательным периодом хранения.

Если выполнены оба предварительных требования, выполните действия, описанные в статье Создание DEP для использования с SharePoint и OneDrive.

Дальнейшие действия

После выполнения действий по настройке, описанных в этой статье, вы можете создать и назначить DEP. Подробные инструкции см. в разделе Управление ключом клиента.