Controlar los datos en Office 365 mediante la clave del cliente

Importante:  Este artículo se ha traducido con traducción automática; vea la declinación de responsabilidades. Para su referencia, puede encontrar la versión en inglés de este artículo aquí.

Con la clave de cliente, controlar las claves de cifrado de su organización y configurar Office 365 para usarlos para cifrar los datos almacenados en los centros de datos de Microsoft. En el resto se incluyen datos de Exchange Online y Skype para la empresa que se almacena en los buzones y los archivos que se almacenan en SharePoint Online y OneDrive para la empresa.

Debe configurar Azure antes de poder usar clave de cliente de Office 365. Este tema describe los pasos que debe seguir para crear y configurar los recursos de Azure necesarios y, a continuación, proporciona los pasos para configurar la clave de cliente en Office 365. Una vez finalizado el programa de instalación de Azure, decida qué directiva y por tanto, qué teclas para asignar a los buzones y archivos de su organización. Buzones de correo y archivos que no asignar una directiva usará las directivas de cifrado que se controlan y administradas por Microsoft. Para obtener más información acerca de la clave de cliente, o para ver una descripción general, consulte la clave del cliente de preguntas más frecuentes de Office 365.

Nota: Recomendamos que siga los procedimientos recomendados en este tema. Estos se denominan como Sugerenciaimportante. Cliente clave le proporciona que control sobre las claves de cifrado de raíz cuyo ámbito puede ser tan grande como toda la organización. Esto significa que errores realizados con estas teclas pueden tener un gran impacto y pueden traducirse en interrupciones del servicio o pérdida irreparable de los datos.

Antes de comenzar a configurar la clave del cliente

Antes de empezar, asegúrese de que tiene la licencia apropiada para su organización. Clave de cliente en Office 365 está disponible en Office 365 E5 o el SKU de cumplimiento avanzadas.

A continuación, para conocer los conceptos y procedimientos de este tema, debería revisar la documentación de Azure clave depósito . Además, familiarizarse con los términos usados en Azure, por ejemplo, inquilino.

Información general sobre la configuración de una clave de cliente de Office 365

Para configurar la clave del cliente se completará estas tareas. El resto de este tema proporciona instrucciones detalladas para cada tarea o vínculos a para obtener más información de cada paso del proceso.

En Azure y FastTrack de Microsoft:   

La mayoría de estas tareas completará mediante una conexión de forma remota PowerShell de Azure. Para obtener los mejores resultados, utilice la versión 4.4.0 o posterior de PowerShell de Azure.

En Office 365:   

Exchange Online y Skype empresarial:

SharePoint Online y OneDrive para la empresa:

Completar tareas en depósito de clave de Azure y Microsoft FastTrack de clave de cliente

Complete estas tareas en depósito de clave de Azure para configurar la clave del cliente de Office 365. Debe completar estos pasos, independientemente de si desea configurar clave de cliente para Exchange Online y Skype para la empresa o SharePoint Online y OneDrive para la empresa o para todos los servicios compatibles en Office 365.

Crear dos nuevas suscripciones de Azure

Suscripciones de Azure dos son necesarias para la clave del cliente. Como práctica recomendada, Microsoft recomienda que cree nuevas suscripciones Azure para su uso con clave de cliente. Solo se pueden autorizar Azure teclas depósito de clave para las aplicaciones en el mismo inquilino de Azure Active Directory (AAD), debe crear las suscripciones nuevas con el mismo inquilino de Azure AD utilizado con su organización de Office 365 donde se asignará la depós. Por ejemplo, usando su cuenta profesional o educativa que tiene los privilegios de administrador global de la organización de Office 365. Para conocer los pasos detallados, consulte registrarse para Azure como una organización.

Notas: 

  • Clave de cliente requiere dos claves para cada directiva de cifrado de datos (DEP). Para ello, debe crear dos suscripciones de Azure. Como práctica recomendada, Microsoft recomienda que tiene miembros independientes de su organización configurar una clave de cada suscripción. Además, estas suscripciones Azure sólo se deben utilizar para administrar las claves de cifrado de Office 365. Protege su organización en caso de que uno de los operadores se elimina accidentalmente, deliberadamente o malintencionada o mismanages las teclas que son responsables de lo contrario.

  • Le recomendamos que configure nuevas suscripciones Azure que únicamente se utilizan para administrar los recursos de Azure clave depósito para su uso con clave de cliente. No hay ningún límite práctico en el número de Azure suscripciones que puede crear para su organización. Estos procedimientos recomendados minimizará el impacto de los errores humanos mientras que ayuda a administrar los recursos utilizados por clave de cliente.

Enviar una solicitud para activar la clave de cliente de Office 365 a través de Microsoft FastTrack

Una vez haya completado los pasos de Azure, debe enviar una solicitud de oferta en el portal de Microsoft FastTrack. Cuando envíe la solicitud a través de FastTrack, Microsoft comprueba la configuración de cámara de clave de Azure y recopila información de contacto importante de que será necesario si decide revocar el acceso de Office 365 a las claves. Debe realizar este paso una vez para activar la clave de cliente de Exchange Online y Skype para cobertura de empresa y otra vez activar la clave de cliente para SharePoint Online y OneDrive para la empresa.

Para enviar una oferta para activar la clave de cliente, siga estos pasos:

  1. Con una cuenta de trabajo o escuela que tenga permisos de administrador global de la organización de Office 365, inicie sesión en el portal de Microsoft FastTrack.

  2. Una vez que ha iniciado sesión, vaya a panel.

  3. Elija ofrece y revise la lista de ofertas actuales.

  4. Elija Más para la oferta que se aplica a usted:

    • Exchange Online y Skype empresarial: Elija Obtener más información sobre la oferta de Clave de cliente de Exchange.

    • SharePoint Online y OneDrive para la empresa: Eligió Obtener más información sobre la oferta Al cliente clave para SharePoint y OneDrive para la empresa.

  5. En la página Detalles de la oferta, elija Crear solicitud.

  6. Rellene todos los detalles correspondientes y la información solicitada en el formulario de oferta y, a continuación, haga clic en enviar.

    Una vez que ha enviado el formulario de oferta, espere hasta que Microsoft le informa de que puede continuar. Este proceso puede tardar hasta cinco días de empresa Microsoft la notificación de la solicitud.

Registrar suscripciones Azure como hacer no cancelar (DNC)

La pérdida permanente o temporal de claves de cifrado de raíz puede ser muy molesto o incluso grave la operación de servicio y puede dar lugar a una pérdida de datos. Por este motivo, los recursos utilizados con clave de cliente requieren protección segura. Todos los recursos de Azure que se usan con clave de cliente ofrecen mecanismos de protección más allá de la configuración predeterminada. Suscripciones de Azure pueden etiquetadas o registradas de manera que evitará cancelación inmediato y irrevocable. Esto se conoce como hacer no cancelar (DNC). Los pasos necesarios para registrar suscripciones Azure requieren colaboración con el equipo de Office 365. Este proceso puede tardar varios días.

Antes de ponerse en contacto con el equipo de Office 365, debe realizar los siguientes pasos para cada suscripción Azure que usa con clave de cliente:

  1. Inicie sesión en su suscripción de Azure con PowerShell de Azure. Para obtener instrucciones, vea iniciar sesión con Azure PowerShell.

  2. Ejecute el cmdlet AzureRmProviderFeature registrar para registrar las suscripciones como No cancelar.

    Register-AzureRmProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources
  3. Póngase en contacto con Microsoft para que el proceso finalizando. Para SharePoint y OneDrive para grupo de empresa, póngase en contacto con spock@microsoft.com. Exchange Online y Skype empresarial, póngase en contacto con exock@microsoft.com. El contrato de nivel de servicio (SLA) para finalizar este proceso es cinco días de empresas una vez que Microsoft ha sido una notificación (y comprobado) que se han registrado las suscripciones para DNC.

  4. Espere hasta que Microsoft le notifica que puede continuar. Esto puede tardar hasta cinco días.

  5. Una vez que reciba una notificación del Microsoft, comprobar el estado del registro, ejecute el cmdlet Get-AzureRmProviderFeature como sigue:

    Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Resources -FeatureName mandatoryRetentionPeriodEnabled
  6. Una vez que la propiedad de Estado de registro del cmdlet Get-AzureRmProviderFeature devuelve un valor de registrado, ejecute el comando siguiente para completar el proceso:

    Register-AzureRmResourceProvider -ProviderNamespace "Microsoft.KeyVault"

Crear un depósito de clave de Azure premium en cada suscripción

Los pasos para crear un depósito clave se documentación en Introducción a Azure clave depósito, que le guiará para instalar e iniciar Azure PowerShell, conectarse a su suscripción de Azure, crear un grupo de recursos y crear un depósito de clave de ese grupo de recursos.

Cuando se crea un depósito clave, debe elegir un SKU: estándar o Premium. La SKU estándar permite Azure clave depósito claves protegidos con software: no hay ninguna protección de clave del módulo de seguridad de Hardware (HSM) – y la SKU Premium permite el uso de HSM para la protección de claves de depósito de clave. Clave de cliente acepta depósitos claves que usan alguno SKU, aunque Microsoft recomienda encarecidamente que use únicamente el SKU Premium. El costo de las operaciones con claves de tipo es el mismo, por lo que la única diferencia de coste es el coste por mes para cada clave protegida HSM. Para obtener más información, vea clave depósito precios .

Nota: Utilice las teclas de protegidas con HSM y depósitos claves de SKU Premium para los datos de producción y usar solo depósitos claves de SKU estándar y claves para fines de pruebas y validación.

Para cada servicio de Office 365 con el que se use la clave del cliente, crear un depósito clave en cada una de las dos suscripciones de Azure que ha creado. Por ejemplo, para Exchange Online y Skype para la empresa solo o SharePoint Online y OneDrive para la empresa solo, creará solo un par de depósitos. Para habilitar la clave de cliente para Exchange Online y SharePoint Online, creará dos pares de depósitos claves.

Utilice una convención de nomenclatura para depósitos claves que refleja el uso de la DEP a los que se asocian los depósitos previsto. Vea la sección prácticas recomendadas debajo de recomendaciones de convención de nomenclatura.

Crear un conjunto de depósitos para cada directiva de cifrado de datos independiente y pareja. Para Exchange Online, se elige el ámbito de una directiva de cifrado de datos por el usuario, cuando se asigna la directiva de buzón. Un buzón puede tener solo una directiva asignada, y puede crear directivas de hasta cincuenta. Para SharePoint Online el ámbito de una directiva es todos los datos dentro de una organización en una ubicación geográfica o geográfico.

La creación de depósitos claves también requiere la creación de grupos de recursos de Azure, ya que depósitos claves necesitan capacidad de almacenamiento (aunque es muy pequeño) y depósito de clave de registro, si está habilitado, también genera los datos almacenados. Como práctica recomendada Microsoft recomienda usar distintos administradores administrar cada grupo de recursos, con la administración alineada con el conjunto de los administradores que administrará todos los recursos relacionados de clave de cliente.

Notas: 

  • Para maximizar la disponibilidad, deben ser la claves depósitos en regiones cerca de su servicio de Office 365. Por ejemplo, si su organización de Exchange Online en América del Norte, coloque su claves depósitos en América del Norte. Si su organización de Exchange Online en Europa, coloque su claves depósitos en Europa.

  • Usar un prefijo común para depósitos claves e incluir una abreviación del uso y el ámbito de las teclas y depósito clave (por ejemplo, para el servicio de Contoso SharePoint donde se ubicará los depósitos en América del Norte, un par de nombres de posibles es Contoso-O365SP-NA-VaultA1 y Contoso-O365SP-NA-VaultA2. Nombres de cámara son cadenas exclusivas dentro de Azure, por lo que debe probar variaciones de los nombres que quiera en el caso de los nombres que quiera ya se hayan solicitado por otros clientes de Azure. A partir de julio de 2017 depósito nombres no se puede cambiar, por lo que un procedimiento recomendado es tiene un plan escrito para configurar y usar a una segunda persona para comprobar que se ejecuta el plan correctamente.

  • Si es posible, cree su depósitos en regiones no sincronizado. Parejas regiones Azure proporcionan alta disponibilidad en los dominios de error de servicio. Por lo tanto, pares regionales pueden considerarse como área de copia de seguridad de los demás. Esto significa que un recurso de Azure se coloca en una región tiene automáticamente la tolerancia a errores a través de la región pareja. Por este motivo, Elegir áreas para dos depósitos utilizados en una DEP donde las regiones son pareja significa que solo un total de dos regiones de disponibilidad están en uso. La mayoría de ubicaciones geográficas solo tienen dos regiones, por lo que no es posible seleccionar regiones no sincronizado. Si es posible, elija dos regiones no sincronizado para los dos depósitos usados con una dependencia Esto los beneficios de un total de cuatro áreas de disponibilidad. Para obtener más información, consulte recuperación ante desastres y continuidad empresarial (BCDR): regiones de Azure emparejadas para obtener una lista de pares regionales.

Asignar permisos a cada depósito clave

Para cada depósito clave, debe definir tres conjuntos distintos de los permisos de clave de cliente, dependiendo de su implementación. Por ejemplo, debe definir un conjunto de permisos para cada uno de estos procedimientos:

  • Los administradores del depósito de clave que va a realizar la administración diaria de su cámara clave para su organización. Estas tareas incluyen la copia de seguridad, crean, obtengan, importan, lista y restauran.

    Nota: El conjunto de permisos asignados a los administradores de la cámara clave no incluye el permiso para eliminar claves. Esto es intencionado y una práctica importante. Eliminar las claves de cifrado no suele hacerse, puesto que hacer lo permanentemente destruye datos. Como práctica recomendada, no otorgar este permiso a los administradores de la cámara clave de forma predeterminada. En su lugar, esto reservar para colaboradores clave depósito y solo asignar a un administrador de una forma a corto plazo una vez que se entiende una descripción clara de las consecuencias.

    Para asignar los permisos a un usuario de su organización de Office 365, inicie sesión en su suscripción de Azure con PowerShell de Azure. Para obtener instrucciones, vea iniciar sesión con Azure PowerShell.

  • Ejecute el cmdlet Set-AzureRmKeyVaultAccessPolicy para asignar los permisos necesarios.

    Set-AzureRmKeyVaultAccessPolicy -VaultName <vaultname> 
    -UserPrincipalName <UPN of user> -PermissionsToKeys create,import,list,get,backup,restore
    

    Por ejemplo:

    Set-AzureRmKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
    -UserPrincipalName alice@contoso.com -PermissionsToKeys create,import,list,get,backup,restore
    
  • Los colaboradores depósito de clave que puede cambiar los permisos de la cámara de clave de Azure propiamente dicho. Debe cambiar estos permisos como empleados abandonar o unirse a su equipo o en la situación habitual que la tecla depósito administradores legítima necesitan permisos para eliminar o restaurar una clave. Este conjunto de depósito clave colaboradores debe tener concedido el rol de Colaborador en la caja fuerte de clave. Puede asignar este rol mediante el Administrador de recursos de Azure. Para conocer los pasos detallados, vea Use Role-Based de Control de acceso para administrar el acceso a los recursos de suscripción Azure. El administrador que crea una suscripción tiene este acceso implícitamente, así como la capacidad de asignar a otros administradores para el rol de colaborador.

  • Si piensa usar clave de cliente con Exchange Online y Skype empresarial, debe dar permiso a Office 365 para usar la cámara clave en el nombre de Exchange Online y Skype para la empresa. Del mismo modo, si piensa usar clave de cliente con SharePoint Online y OneDrive para la empresa, debe agregar permisos para el Office 365 usar la cámara clave en nombre de SharePoint Online y OneDrive para la empresa. Para conceder permiso a Office 365, ejecute el cmdlet de Set-AzureRmKeyVaultAccessPolicy mediante la siguiente sintaxis:

    Set-AzureRmKeyVaultAccessPolicy –VaultName <vaultname> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

    Donde:

    • vaultname es el nombre del depósito clave que creó.

    • Para Exchange Online y Skype empresarial, reemplace el ID de Office 365 con 00000002-0000-0ff1-ce00-000000000000

    • Para SharePoint Online y OneDrive para la empresa, reemplace el ID de Office 365 con 00000003-0000-0ff1-ce00-000000000000

    Ejemplo: Establecer permisos para Exchange Online y Skype empresarial:

    Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365EX-NA-VaultA1 
    -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

    Ejemplo: Configurar los permisos de SharePoint Online y OneDrive para la empresa

    Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365SP-NA-VaultA1 
    -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000

Habilitar y, a continuación, confirmar la eliminación de software en sus depósitos claves

Cuando se puede recuperar rápidamente las claves, es menos probable que a experimentar una interrupción del servicio ampliado debido a claves eliminadas accidentalmente o malintencionada. Debe habilitar esta configuración, conocida como eliminar suaves, para poder usar las claves con clave de cliente. Al habilitar eliminar suaves, puede recuperar claves o depósitos plazo de 90 días de eliminación sin tener que restaurar copia de seguridad.

Para habilitar eliminar suaves en su claves depósitos, siga estos pasos:

  1. Inicie sesión en su suscripción de Azure con Windows Powershell. Para obtener instrucciones, vea iniciar sesión con Azure PowerShell.

  2. Ejecute el cmdlet Get-AzureRmKeyVault como sigue:

    $v = Get-AzureRmKeyVault -VaultName <vaultname>
    $r = Get-AzureRmResource -ResourceId $v.ResourceId
    $r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
    Set-AzureRmResource -ResourceId $r.ResourceId -Properties $r.Properties

    Eliminar donde vaultname es el nombre del depósito clave para el que va a habilitar suaves.

  3. Confirmar eliminar suave está configurado para el depósito clave, ejecute el cmdlet Get-AzureRmKeyVault :

    Get-AzureRmKeyVault -VaultName <vaultname> | fl

    Si eliminar suave está configurada correctamente para el depósito clave, la propiedad Soft Delete Enabled? devuelve un valor de True.

Agregar una clave a cada depósito clave, ya sea al crear o importar una clave

Hay dos formas de agregar claves a un depósito de clave Azure; puede crear una clave directamente en depósito de clave, o puede importar una clave. Crear una clave directamente en depósito de clave es el método menos complicado, mientras que importar una clave proporciona control total sobre cómo se genera la clave.

Para crear una clave directamente en su cámara clave, ejecute el cmdlet AzureKeyVaultKey agregar como sigue:

Add-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname> -Destination <HSM|Software> -KeyOps wrapKey,unwrapKey

Donde:

  • vaultname es el nombre del depósito clave en el que desea crear la clave.

  • clave es el nombre que desea dar a la nueva clave.

    Nota: Teclas de nombre utilizando una convención de nomenclatura similar, como se describió anteriormente para depósitos claves. De esta forma, en herramientas de mostrar solo el nombre de la clave, la cadena automática que describe.

  • Si su intención es proteger la clave con un HSM, asegúrese de que de lo contrario, especifique HSM como el valor del parámetro Destination , especifique el Software.

Por ejemplo,

Add-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination Software -KeyOps wrapKey,unwrapKey

Para importar una clave directamente a su cámara clave, debe tener un módulo de seguridad de Hardware de Thales nShield.

Algunas organizaciones prefieren este método para establecer la procedencia de sus claves y este método también proporciona las siguientes acciones:

  • El conjunto de herramientas utilizada para importar incluye certificación de Thales que no es puede exportar la clave de Exchange de clave (KEK) se usa para cifrar la clave que genera y se genera dentro de un HSM original que se fabricados por Thales.

  • El conjunto de herramientas incluye certificación de Thales que el mundo de la seguridad de Azure clave depósito también se generó en un HSM original fabricado por Thales. Certificación demuestra que Microsoft también está usando hardware de Thales original.

Póngase en contacto con su grupo de seguridad para determinar si se necesitan los certificados anteriores. Para que conocer los pasos detallados crear un local clave e importar en su cámara clave, vea cómo generar y transferir claves protegidas con HSM para Azure clave depósito. Utilice las instrucciones de Azure para crear una clave en cada depósito clave.

Compruebe el nivel de recuperación de las claves

Office 365 requiere que la suscripción de Azure clave depósito se establece en no cancelar y que las teclas de la clave de cliente tienen suave eliminar habilitado. Puede confirmarlo mirando el nivel de recuperación en las claves.

Para comprobar el nivel de recuperación de una clave de Azure PowerShell, ejecute el cmdlet Get-AzureKeyVaultKey como sigue:

(Get-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname>).Attributes 

Si la propiedad Recovery Level devuelve nada que no sea un valor de Recuperable + ProtectedSubscription, debe revisar este tema y asegúrese de que ha realizado todos los pasos para poner la suscripción en la lista no cancelar y que tiene eliminar suave habilitado en cada uno de sus depósitos claves.

Copia de seguridad depósito clave Azure

Inmediatamente después de la creación o cualquier cambio a una clave, realizar una copia de seguridad y almacenar copias de seguridad en línea y sin conexión. Copias sin conexión deben no esté conectadas a una red, como en un servicio de almacenamiento seguro o comercial física. Al menos una copia de la copia de seguridad debe almacenarse en una ubicación que sea accesible en caso de desastre. La copia de seguridad BLOB son los únicos medios de restauración de material de clave debe una clave de clave depósito permanentemente destruida o en caso contrario, representan no funciona. Las teclas que son externos a Azure clave depósito y se importaron a Azure clave depósito no califican como una copia de seguridad porque los metadatos necesarios para la clave de cliente utilizar la clave no existen con la clave externa. Solo una copia de seguridad tomado de la cámara de clave de Azure puede usarse para operaciones de restauración con clave de cliente. Por lo tanto, es fundamental que se realice una copia de seguridad de Azure clave depósito una vez que se cargó o creada una clave.

Para crear una copia de seguridad de una clave de Azure clave depósito, ejecute el cmdlet de Copia de seguridad AzureKeyVaultKey como sigue:

Backup-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname> 
-OutputFile <filename.backup>

Asegúrese de que el archivo de salida utiliza el sufijo .backup.

El archivo de salida es el resultado de este cmdlet se cifra y no se puede utilizar fuera de la cámara de clave de Azure. La copia de seguridad se puede restaurar solo a la suscripción de Azure desde la que se realizó la copia de seguridad.

Nota: Para el archivo de salida, elija una combinación de su nombre de la cámara y el nombre de la clave. Esto hará que el archivo nombre automática que describe. Asimismo, garantiza que los nombres de archivo de copia de seguridad no entren en conflicto.

Por ejemplo:

Backup-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -OutputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Valide la configuración de la configuración de cámara de clave de Azure

Realizar la validación antes de utilizar las teclas en un DEP es opcional, pero es muy recomendable. En particular, si utiliza pasos para configurar sus claves y depósitos distinto de los que se describen en este tema, debe validar el estado de los recursos de Azure clave depósito antes de configurar la clave del cliente.

Para comprobar que las claves tienen operaciones get, wrapKey y unwrapKey habilitadas:

Ejecute el cmdlet Get-AzureRmKeyVault como sigue:

Get-AzureRMKeyVault -VaultName <vaultname>

En el resultado, busque la directiva de acceso y la identidad de Exchange Online (GUID) o la identidad de SharePoint Online (GUID) según corresponda. Tres de los permisos anteriores deben mostrarse en permisos a las claves.

Si la configuración de directiva de acceso es incorrecta, ejecute el cmdlet Set-AzureRmKeyVaultAccessPolicy como sigue:

Set-AzureRmKeyVaultAccessPolicy –VaultName <vaultname> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

Por ejemplo, para Exchange Online y Skype empresarial:

Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365EX-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

Por ejemplo, para SharePoint Online y OneDrive para la empresa:

Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365SP-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName TBD

Para comprobar que no se establece una fecha de expiración para las claves:

Ejecute el cmdlet Get-AzureKeyVaultKey como sigue:

Get-AzureKeyVaultKey -VaultName <vaultname> -KeyName <keyname> 

No se puede utilizar una clave expirada clave del cliente y no se realice correctamente operaciones intentadas con una clave de expiración y, posiblemente como resultado de una interrupción del servicio. Le recomendamos encarecidamente que las claves utilizadas con clave de cliente no tienen una fecha de expiración. Fecha de vencimiento, una vez conjunto, no se puede quitar, pero se puede cambiar a otra fecha. Si debe usar una clave que tiene una fecha de expiración de la configuración, cambie el valor de expiración a 31/12/9999. Claves con una fecha de caducidad se establece en una fecha distinta de 31/12/9999 se pasa la validación de Office 365.

Para cambiar una fecha de caducidad que se ha establecido en un valor distinto de 31/12/9999, ejecute el cmdlet Set-AzureKeyVaultKeyAttribute como sigue:

Set-AzureKeyVaultKeyAttribute –VaultName <vaultname> -Name <keyname> 
-Expires (Get-Date -Date “12/31/9999”)

Nota: No establecer fechas de caducidad en las claves de cifrado que usa con clave de cliente.

Obtener el URI de cada clave depósito de clave de Azure

Una vez haya completado todos los pasos de Azure para configurar su claves depósitos y agregar las claves, ejecute el comando siguiente para obtener el URI de la clave en cada depósito clave. Debe utilizar estos URI al crear y asignar cada DEP más adelante, así que guarde esta información en un lugar seguro. Recuerde que debe ejecutar este comando una vez por cada depósito clave.

En Azure PowerShell:

(Get-AzureKeyVaultKey -VaultName <vaultname>).Id

Office 365: Configuración de clave de cliente de Exchange Online y Skype empresarial

Antes de empezar, asegúrese de que se han realizado las tareas necesarias para configurar la cámara de clave de Azure. Para obtener más información, vea completar tareas en depósito de clave de Azure y FastTrack de Microsoft para la clave de cliente .

Para configurar la clave de cliente de Exchange Online y Skype empresarial, debe realizar estos pasos mediante una conexión de forma remota a Exchange Online con Windows PowerShell.

Crear una directiva de cifrado de datos (DEP) para su uso con Exchange Online y Skype empresarial

Un DEP está asociado con un conjunto de claves almacenadas en depósito de clave de Azure. Asignar un DEP a un buzón de Office 365. Office 365, a continuación, usará las teclas identificadas en la directiva para cifrar el buzón. Para crear la DEP, necesitará a los URI de depósito clave obtenido anteriormente. Vea obtener el URI de una clave de Azure clave depósito para obtener instrucciones.

Recuerde que. Cuando se crea un DEP, especifique dos claves residen en dos diferentes depósitos de clave de Azure. Asegúrese de que estas teclas se encuentran en dos regiones de Azure independientes para garantizar la redundancia de geo.

Para crear la DEP, siga estos pasos:

  1. En el equipo local, con una cuenta de trabajo o escuela que tenga permisos de administrador global de la organización de Office 365, conectarse a Exchange Online PowerShell abrir Windows PowerShell y ejecutando el siguiente comando.

    $UserCredential = Get-Credential
  2. En el cuadro de diálogo solicitud de credenciales de Windows PowerShell, escriba su trabajo o escuela información de cuenta y, a continuación, haga clic en Aceptar y, a continuación, escriba el siguiente comando.

    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
  3. Ejecute el comando siguiente.

    Import-PSSession $Session
  4. Para crear un DEP, use el cmdlet New-DataEncryptionPolicy escribiendo el siguiente comando.

    New-DataEncryptionPolicy -Name <PolicyName> -Description "PolicyDescription" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>

    Donde:

    • Nombre de directiva es el nombre que desea usar para la directiva. Los nombres no pueden contener espacios. Por ejemplo, USA_mailboxes.

    • PolicyDescription es una descripción de usuario descriptivo de la directiva que le ayudará a recordar cuál es la directiva. Puede incluir espacios en la descripción. Por ejemplo, raíz clave para los buzones de los Estados Unidos y sus territorios.

    • KeyVaultURI1 es el URI para la primera clave en la directiva. Por ejemplo, https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.

      KeyVaultURI2 es el URI para la segunda clave en la directiva. Por ejemplo, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02. Separe a los dos URI por una coma y un espacio.

Ejemplo:

New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02

Asignar un DEP a un buzón de correo

Asignar la DEP a un buzón de correo mediante el cmdlet Set-Mailbox. Una vez que se asigna la directiva, Office 365 puede cifrar el buzón con la clave designada en la DEP.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

Donde MailboxIdParameter especifica un buzón de correo. Para obtener más información sobre el cmdlet Set-Mailbox, consulte Set-Mailbox.

Validar cifrado de buzón

Cifrar un buzón puede tardar algún tiempo. De asignación de directiva de primera vez, el buzón también debe completar el movimiento de una base de datos a otro antes de que el servicio puede cifrar el buzón. Le recomendamos que espere 72 horas antes de intentar validar cifrado después de cambiar un DEP o la primera vez se puede asignar un DEP a un buzón.

Use el cmdlet Get-MailboxStatistics para determinar si un buzón está cifrado.

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

La propiedad IsEncrypted devuelve un valor de true si el buzón está cifrado y el valor false si el buzón no está cifrado.

Office 365: Configuración de clave de cliente para SharePoint Online y OneDrive para la empresa

Antes de empezar, asegúrese de que se han realizado las tareas necesarias para configurar la cámara de clave de Azure. Para obtener más información, vea completar tareas en depósito de clave de Azure y FastTrack de Microsoft para la clave de cliente .

Para configurar la clave del cliente de SharePoint Online y OneDrive para la empresa, debe realizar estos pasos mediante una conexión de forma remota en SharePoint Online con Windows PowerShell.

Crear una directiva de cifrado de datos (DEP) para cada SharePoint Online y OneDrive para la empresa geo

Un DEP está asociado con un conjunto de claves almacenadas en depósito de clave de Azure. Aplicar un DEP para todos los datos en una ubicación geográfica, también denominado un geo. Si usa la característica de múltiples geo de Office 365 (actualmente en la vista previa), puede crear uno DEP por geo. Si no está utilizando múltiples geo, puede crear uno DEP en Office 365 para su uso con SharePoint Online y OneDrive para la empresa. Office 365, a continuación, usará las teclas identificadas en la DEP para cifrar los datos en ese geo. Para crear la DEP, necesitará a los URI de depósito clave obtenido anteriormente. Vea obtener el URI de una clave de Azure clave depósito para obtener instrucciones.

Recuerde que. Cuando se crea un DEP, especifique dos claves residen en dos diferentes depósitos de clave de Azure. Asegúrese de que estas teclas se encuentran en dos regiones de Azure independientes para garantizar la redundancia de geo.

Para crear un DEP, debe conectarse de forma remota en SharePoint Online mediante Windows PowerShell.

  1. En el equipo local, con una cuenta profesional o educativa que tenga permisos de administrador global de la organización de Office 365, conectarse a SharePoint Online Powershell.

  2. Microsoft SharePoint Online Shell de administración de, ejecute el cmdlet SPODataEncryptionPolicy registrar como sigue:

    Register-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>

    Cuando se registre la DEP, comienza cifrado de los datos de la geo. Esto puede tardar algún tiempo.

Validar cifrado de sitios de grupo, sitios de grupo y OneDrive para la empresa

Puede comprobar el estado de cifrado, ejecute el cmdlet Get-SPODataEncryptionPolicy como sigue:

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

El resultado de este cmdlet incluye:

  • URI de la clave principal.

  • URI de la clave secundaria.

  • El estado de cifrado para la geo. Estados posibles se incluyen:

    • No registrado: Cifrado de clave de cliente aún no se han aplicado.

    • Registrar: Se ha aplicado el cifrado de clave de cliente y los archivos están en el proceso de cifrado. Si su geo está en este estado, se deberá también se muestra información en qué porcentaje de sitios en la geo son completa, por lo que puede supervisar el progreso de cifrado.

    • Registrado: Se ha aplicado el cifrado de clave de cliente y todos los archivos en todos los sitios que han sido cifrados.

    • Sucesiva: Un álbum de la clave está en curso. Si su geo está en este estado, se deberá también se mostrarán información en qué porcentaje de los sitios de finalizar la operación de álbum de la clave para que pueda supervisar el progreso.

Administrar la clave de cliente de Office 365

Después de que ha configurado la clave del cliente de Office 365, puede realizar estas tareas de administración adicionales.

Restaurar claves depósito de clave de Azure

Antes de realizar una restauración, use las funciones de recuperación proporcionadas por eliminar suave. Todas las teclas que se utilizan con clave de cliente se deben tener suave eliminar habilitado. Eliminar suave actúa como una Papelera de reciclaje y permite la recuperación hasta 90 días sin necesidad de restaurar. Restaurar deben solo en circunstancias extremas o inusuales, por ejemplo, si se pierde la clave o depósito de clave. Si debe restaurar una clave para su uso con clave de cliente, en Azure PowerShell, ejecute el cmdlet AzureKeyVaultKey restaurar como sigue:

Restore-AzureKeyVaultKey -VaultName <vaultname> -InputFile <filename>

Por ejemplo:

Restore-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Si ya existe una clave con el mismo nombre en el depósito clave, se producirá un error en la operación de restauración. Restaurar AzureKeyVaultKey restaura todas las versiones principales y todos los metadatos de la clave incluido el nombre de la clave.

Desplazamiento o girar una clave en depósito de clave de Azure que usa con clave de cliente

Teclas de desplazamiento no es necesario por cualquier depósito de clave de Azure o por clave de cliente. Además, las teclas que están protegidas con un HSM son prácticamente imposibles peligro. Incluso si una clave raíz en el poder de un actor malintencionado no hay ningún medio factible de uso para descifrar los datos, ya que sólo el código de Office 365 sabe cómo usarla. Sin embargo, se admite sucesiva una clave de clave del cliente.

Notas: 

  • Dar a solo una clave de cifrado que usa con clave de cliente cuando exista una razón técnica evidentes o un requisito de cumplimiento indica que se debe dar a la clave. Además, no elimine ninguna clave que están o estaba asociados a las directivas. Cuando restaure sus claves, encontrará se contenido cifrado con las claves anteriores. Por ejemplo, mientras buzones activos serán volver a cifrados con frecuencia, inactiva, buzones desconectados y deshabilitados aún se cifra con las claves anteriores. SharePoint Online realiza copia de seguridad de contenido para restaurar y recuperación, por lo que puede haber contenido archivado con las claves antiguas.

  • Para garantizar la seguridad de los datos, SharePoint Online le permitirá no más de una operación de clave funcionar estén en curso en un momento. Si desea aplicar de las teclas en un depósito clave, deberá esperar a la primera operación de álbum de la clave se completará. Nuestra recomendación es escalonar las operaciones de álbum de la clave en intervalos diferentes, por lo que no es un problema.

Cuando restaure una clave, se solicita una nueva versión de una clave existente. Para solicitar una nueva versión de una clave existente, usa el cmdlet mismo, Agregar AzureKeyVaultKey, con la misma sintaxis que usó para crear la clave en primer lugar.

Por ejemplo:

Add-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @(‘wrapKey’,’unwrapKey’) -NotBefore (Get-Date -Date “12/27/2016 12:01 AM”)

En este ejemplo, porque una clave denominada Contoso O365EX NOD VaultA1 Key001 ya existe en el depósito de Contoso-O365EX-NA-VaultA1, se creará una nueva versión de clave. La operación agrega una nueva versión de clave. Esta operación conserva las versiones anteriores de clave en el historial de versiones de la clave, por lo que aún se pueden descifrar datos cifrados previamente con esa clave. Una vez haya completado sucesiva cualquier tecla que está asociado con un DEP, a continuación, debe ejecutar un cmdlet adicional para asegurarse de que clave de cliente comienza con la clave nueva.

Habilitar Exchange Online y Skype empresarial para usar una nueva clave después de funcionar o girar las teclas en depósito de clave de Azure

Cuando restaure cualquiera de las teclas de Azure clave depósito asociadas a un DEP usan con Exchange Online y Skype empresarial, debe ejecutar el comando siguiente para actualizar la DEP y habilitar Office 365 empezar a usar la nueva clave.

Para indicar la clave de cliente para usar la nueva clave para cifrar buzones en Office 365, ejecute el cmdlet Set-DataEncryptionPolicy como sigue:

Set-DataEncryptionPolicy <policyname> -Refresh 

Dentro de 48 horas, los buzones activos cifrados con esta directiva estará asociados a la clave actualizada. Realice los pasos de determinar la DEP asignada a un buzón para comprobar el valor de la propiedad DataEncryptionPolicyID para el buzón. Una vez que se ha aplicado la clave actualizada, se cambiará el valor de esta propiedad.

Habilitar SharePoint Online y OneDrive para la empresa para usar una nueva clave después de funcionar o girar las teclas en depósito de clave de Azure

Cuando restaure cualquiera de las claves de Azure clave depósito asociadas con un DEP usa con SharePoint Online y OneDrive para la empresa, debe ejecutar el cmdlet Update SPODataEncryptionPolicy para actualizar la DEP y habilitar Office 365 iniciar con la clave nueva.

Update-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

Se iniciará la operación de álbum de la clave para SharePoint Online y OneDrive para la empresa. Esta acción no es inmediata. Para ver el progreso de la clave de deshacer operación, ejecute el cmdlet Get-SPODataEncryptionPolicy como sigue:

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

Administrar permisos de clave de cámara

Existen varios cmdlets que le permiten ver y, si es necesario, quitar permisos de clave de cámara. Debe quitar permisos, por ejemplo, cuando un empleado deja el equipo.

Para ver los permisos de depósito clave, ejecute el cmdlet Get-AzureRmKeyVault:

Get-AzureRmKeyVault -VaultName <vaultname>

Por ejemplo:

Get-AzureRmKeyVault -VaultName Contoso-O365EX-NA-VaultA1

Para quitar permisos de un administrador, ejecute el cmdlet de quitar AzureRmKeyVaultAccessPolicy:

Remove-AzureRmKeyVaultAccessPolicy -VaultName <vaultname> 
-UserPrincipalName <UPN of user>

Por ejemplo:

Remove-AzureRmKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
-UserPrincipalName alice@contoso.com

Determinar la DEP asignada a un buzón de correo

Para determinar la DEP asignada a un buzón de correo, use el cmdlet Get-MailboxStatistics. El cmdlet devuelve un identificador único (GUID).

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID

Donde GeneralMailboxOrMailUserIdParameter especifica un buzón de correo. Para obtener más información sobre el cmdlet Get-MailboxStatistics, vea Get-MailboxStatistics.

Utilice el GUID para averiguar el nombre descriptivo de la DEP que tiene asignado el buzón, ejecute el cmdlet siguiente.

Get-DataEncryptionPolicy <GUID>

Donde GUID es el devuelto por el cmdlet Get-MailboxStatistics en el paso anterior.

Nota: Declinación de responsabilidades de traducción automática: Este artículo se ha traducido con un sistema informático sin intervención humana. Microsoft ofrece estas traducciones automáticas para que los hablantes de otros idiomas distintos del inglés puedan disfrutar del contenido sobre los productos, los servicios y las tecnologías de Microsoft. Puesto que este artículo se ha traducido con traducción automática, es posible que contenga errores de vocabulario, sintaxis o gramática.

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Únase a los participantes de Office Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×