Il controllo dei dati in Office 365 usando chiave cliente

Nota:  Riteniamo importante fornire il contenuto della Guida più recente non appena possibile, nella lingua dell'utente. Questa pagina è stata tradotta automaticamente e potrebbe contenere errori di grammatica o imprecisioni. L'intento è quello di rendere fruibile il contenuto. Nella parte inferiore della pagina è possibile indicare se le informazioni sono risultate utili. Questo è l' articolo in lingua inglese per riferimento.

Con clienti chiave, controllare le chiavi di crittografia dell'organizzazione e quindi configurare Office 365 per usarli per crittografare i dati inattivi in data center di Microsoft. Dati inattivi includono i dati di Exchange Online e in Skype for Business memorizzati nelle cassette postali e i file memorizzati in SharePoint Online e OneDrive for Business.

È necessario impostare Azure prima di poter usare chiave cliente per Office 365. In questo argomento illustra i passaggi da seguire per creare e configurare le risorse di Azure necessarie e quindi illustra i passaggi per la configurazione della chiave cliente in Office 365. Dopo avere completato l'installazione di Azure, è determinare quali criteri e conseguenza, i tasti, da assegnare alle cassette postali e i file all'interno dell'organizzazione. Cassette postali e i file per cui non si assegna un criterio utilizzeranno i criteri di crittografia che vengono controllati e gestiti da Microsoft. Per ulteriori informazioni sui clienti chiave o per una panoramica generale, vedere la chiave cliente per domande frequenti di Office 365.

Importante: È consigliabile eseguire le procedure consigliate in questo argomento. Questi sono elencate come Suggerimento e importanti. Consente di chiave cliente di controllare le chiavi di crittografia principale il cui ambito possa essere costituito dall'intera organizzazione. Ciò significa che gli errori di con questi tasti possono avere un impatto generali e potrebbero causare la perdita definitiva dei dati o interruzioni del servizio.

Prima di iniziare la configurazione di chiave cliente

Prima di iniziare, assicurarsi di avere la concessione di licenze appropriato per l'organizzazione. Chiave cliente in Office 365 è disponibile in Office 365 E5 o SKU di conformità avanzate.

Quindi, per comprendere i concetti e procedure in questo argomento, è necessario esaminare la documentazione di Azure chiave archivio . Inoltre, acquisire familiarità con i termini usati in Azure, ad esempio tenant.

Per fornire un feedback su chiave cliente, compresa la documentazione per customerkeyfeedback@microsoft.com inviare idee, suggerimenti e prospettive.

Panoramica della configurazione chiave cliente per Office 365

Per configurare la chiave cliente completare queste attività. Il resto di questo argomento vengono fornite istruzioni dettagliate per ogni attività o fuori i collegamenti a informazioni aggiuntive per ogni passaggio del processo.

In Azure e FastTrack Microsoft:   

Completare la maggior parte delle operazioni connettendosi in modalità remota di PowerShell Azure. Per ottenere risultati ottimali, utilizzare la versione 4.4.0 o versione successiva di Azure PowerShell.

In Office 365:   

Exchange Online e Skype per le aziende:

SharePoint Online e OneDrive for Business:

Completare le attività in Azure chiave archivio e FastTrack Microsoft per clienti chiave

Completare queste operazioni nell'archivio di chiave Azure per configurare la chiave cliente per Office 365. È necessario eseguire questi passaggi indipendentemente dal fatto che si intende configurare chiave cliente per Exchange Online e in Skype for Business o SharePoint Online e OneDrive per le aziende o per tutti i servizi supportati in Office 365.

Creare due nuovi abbonamenti Azure

Sottoscrizioni di Azure due sono necessari per chiave cliente. Come ottimale, è consigliabile creare nuove Azure sottoscrizioni per l'utilizzo con clienti chiave. Azure tasti chiave archivio possono essere autorizzati solo per le applicazioni nello stesso tenant di Azure Active Directory (AAD), è necessario creare nuovi abbonamenti con stesso tenant di Azure Active Directory utilizzato con l'organizzazione di Office 365 in cui verranno assegnate le DEPs. Ad esempio, con l'account aziendale o dell'istituto di istruzione che dispone di privilegi di amministratore globale dell'organizzazione di Office 365. Per informazioni dettagliate, vedere effettuare l'iscrizione per Azure come un'organizzazione.

Importante: 

  • Chiave cliente richiede due chiavi per ogni criterio di crittografia dati (Protezione esecuzione programmi). Per eseguire questa operazione, è necessario creare due sottoscrizioni Azure. Come ottimale, Microsoft consiglia dispone separati membri dell'organizzazione di configurare una chiave in ciascuna sottoscrizione. Inoltre, le sottoscrizioni Azure devono essere utilizzati solo per amministrare le chiavi di crittografia per Office 365. Consente di proteggere l'organizzazione nel caso in cui un l'operatore accidentalmente, intenzionalmente o da utenti malintenzionati Elimina o in caso contrario mismanages i tasti di cui sono responsabili.

  • È consigliabile impostare nuovi abbonamenti Azure utilizzato esclusivamente per la gestione delle risorse di archivio di Azure chiave da utilizzare con clienti chiave. Non esiste alcun limite pratico al numero di Azure abbonamenti che è possibile creare per l'organizzazione. Seguire queste procedure consigliate ridurrà l'impatto dell'errore umano consentendo di gestire le risorse utilizzate dalla chiave cliente.

Inviare una richiesta di attivare chiave cliente per Office 365

Dopo aver completato la procedura di Azure, è necessario inviare una richiesta di offerta nel portale di Microsoft FastTrack. Dopo l'invio di una richiesta tramite il portale web FastTrack, Microsoft verifica le Azure chiave archivio dati e contatto informazioni di configurazione che è specificato. Le selezioni eseguite all'interno il modulo di offerta relative ai dipendenti dell'autorizzati della propria organizzazione è critico e necessario per il completamento della registrazione chiave cliente. I funzionari della propria organizzazione selezionare nel modulo saranno usati per garantire l'autenticità dei qualsiasi richiesta di revocare ed eliminare tutte le chiavi utilizzate con un criterio di crittografia dati chiave cliente. È necessario eseguire questo passaggio una volta per attivare chiave cliente per Exchange Online e in Skype for Business copertura e una seconda volta attivare chiave cliente per SharePoint Online e OneDrive for Business.

Per inviare un'offerta di attivare chiave cliente, eseguire le operazioni seguenti:

  1. Usa un account aziendale o dell'istituto di istruzione che dispone delle autorizzazioni di amministratore globale dell'organizzazione di Office 365, accedere al portale di Microsoft FastTrack.

  2. Dopo aver effettuato l'accesso, passare a Dashboard.

  3. Scegliere offre ed esaminare l'elenco di offerte in corso.

  4. Scegliere Approfondimenti per l'offerta in base alle esigenze:

    • Exchange Online e Skype per le aziende: Scegliere Ulteriori informazioni sull'offerta Cliente chiave per Exchange.

    • SharePoint Online e OneDrive for Business: Sceglie Ulteriori informazioni sull'offerta Cliente chiave per SharePoint e OneDrive for Business.

  5. Nella pagina dettagli dell'offerta scegliere Crea richiesta.

  6. Compilare tutti i dettagli aggiuntivi applicabili e le informazioni richieste nel modulo di offerta. Prestare particolare attenzione alle selezioni per cui funzionari dell'organizzazione che si desidera autorizzare per approvare l'eliminazione permanente e irreversibile di chiavi di crittografia e dati. Dopo aver completato la maschera, scegliere Invia.

    Questo processo può richiedere fino a cinque giorni lavorativi dopo Microsoft ha ricevuto notifica della richiesta.

  7. Passare alla sezione periodo conservazione obbligatoria riportata di seguito.

Registrare Azure sottoscrizioni per l'utilizzo di un periodo di conservazione obbligatoria

Perdita temporanea o permanente delle chiavi radice può essere molto dannosi o persino irreversibile all'operazione di servizio e può comportare la perdita di dati. Per questo motivo, le risorse utilizzate con clienti chiave richiedono protezione avanzata. Tutte le risorse Azure utilizzati con clienti chiave offrono meccanismi di protezione oltre la configurazione predefinita. Sottoscrizioni di Azure tag o registrate in modo che impedisce l'annullamento immediato e irrevocabile. Questa operazione viene definita la registrazione per un periodo di conservazione obbligatoria. I passaggi necessari per eseguire la registrazione Azure abbonamenti per un periodo di conservazione obbligatoria richiedono la collaborazione con il team di Office 365. Questo processo può richiedere da uno a cinque giorni lavorativi. In precedenza, questo è stato definito talvolta "Non annullare".

Prima di contattare il team di Office 365, è necessario eseguire la procedura seguente per ciascuna sottoscrizione Azure utilizzate con clienti chiave:

  1. Accedere al proprio abbonamento Azure con PowerShell Azure. Per ulteriori informazioni, vedere accedere con PowerShell Azure.

  2. Eseguire il cmdlet registro AzureRmProviderFeature per registrare le proprie sottoscrizioni per l'utilizzo di un periodo di conservazione obbligatoria.

    Register-AzureRmProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources
  3. Contattare Microsoft per il processo completato. Per SharePoint e OneDrive for team Business, contattare spock@microsoft.com. Per Exchange Online e in Skype for Business, contattare exock@microsoft.com. Il livello di contratto di servizio per il completamento di questo processo è cinque giorni lavorativi dopo Microsoft sono state notificate (e verificato) che sono state registrate le sottoscrizioni per l'utilizzo di un periodo di conservazione obbligatoria. Di seguito sono indicate nella posta elettronica:

    Oggetto: chiave cliente per <il nome di dominio completodel enant t>

    Corpo: ID abbonamento per cui si vuole avere il periodo finalizzata la conservazione obbligatoria.

  4. Dopo aver ricevuto notifica da Microsoft che è stata completata la registrazione, verificare lo stato della registrazione del eseguendo il cmdlet Get-AzureRmProviderFeature come indicato di seguito:

    Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Resources -FeatureName mandatoryRetentionPeriodEnabled
  5. Dopo aver verificato che la proprietà Dello stato di registrazione dal cmdlet Get-AzureRmProviderFeature restituisce il valore registrati, eseguire il seguente comando per completare il processo:

    Register-AzureRmResourceProvider -ProviderNamespace "Microsoft.KeyVault"

Creare un premio Azure chiave archivio in ciascuna sottoscrizione

La procedura per creare un archivio di chiave è descritte nella Guida introduttiva di Azure chiave archivio, che consente l'installazione e avvio di PowerShell di Azure, la connessione al proprio abbonamento Azure, la creazione di un gruppo di risorse e la creazione di un archivio di chiave in cui gruppo di risorse.

Quando si crea un archivio di chiave, è necessario scegliere uno SKU: Standard o Premium. SKU Standard consente di chiavi Azure chiave archivio da proteggere con software – non esiste nessuna protezione chiave Hardware sicurezza modulo (HSM)- e SKU Premium consente l'uso di HSM per la protezione delle chiavi chiave archivio. Chiave cliente accetta archivi chiavi che utilizzano uno SKU, se si consiglia di utilizzare solo lo SKU Premium. Il costo di operazioni con i tasti di entrambi i tipi è lo stesso, in modo che l'unica differenza dei costi è il costo al mese per ogni chiave protetta modulo di sicurezza hardware. Per informazioni dettagliate, vedere chiave archivio prezzi .

Importante: Utilizzare i tasti protetta modulo di sicurezza hardware e il archivi chiavi SKU Premium per i dati di produzione e solo archivi chiavi SKU Standard e chiavi per scopi di test e convalida.

Per ogni servizio di Office 365 con cui si userà chiave cliente, creare un archivio di chiave in ognuna delle sottoscrizioni di Azure due creato. Per Exchange Online e in Skype for Business solo o in SharePoint Online e OneDrive for Business solo, ad esempio, si creerà solo una coppia di archivi. Per abilitare la chiave cliente per Exchange Online e SharePoint Online, è necessario creare due coppie di parole chiavi archivi di.

Utilizzare una convenzione di denominazione per archivi chiavi che riflette lo scopo di protezione esecuzione programmi a cui associare archivi. Vedere la sezione procedure consigliate sotto per indicazioni convenzione di denominazione.

Creare un insieme di archivi per ogni criterio di crittografia di dati separato, accoppiato. Per Exchange Online, l'ambito di un criterio di crittografia di dati viene scelto dall'utente quando si assegna il criterio della cassetta postale. Una cassetta postale può avere solo un criterio assegnato ed è possibile creare fino a cinquanta criteri. Per SharePoint Online l'ambito di un criterio è costituita da tutti i dati all'interno dell'organizzazione in un'area geografica o geografico.

La creazione di archivi chiave richiede la creazione di gruppi di risorse Azure, poiché archivi chiavi necessario capacità di archiviazione (anche se molto piccolo) e archivio chiave registrazione, se è attivato, genera inoltre dati archiviati. È buona norma, Microsoft consiglia amministratori diversi per la gestione di ogni gruppo di risorse, con l'amministrazione allineato con il gruppo di amministratori che gestirà tutte le risorse chiave cliente correlate.

Importante: 

  • Per ottimizzare la disponibilità, il chiavi archivi devono essere in aree geografiche vicino al servizio Office 365. Ad esempio, se l'organizzazione di Exchange Online in Nord America, posizionare i tasti archivi in Nord America. Se l'organizzazione di Exchange Online in Europa, posizionare i tasti archivi europei.

  • Utilizzare un prefisso comune per archivi chiavi e includere un'abbreviazione di utilizzo e l'ambito dei archivio chiave e delle chiavi (ad esempio, per il servizio di Contoso SharePoint posizione nel Nord America, una coppia di nomi possibili archivi di Contoso-O365SP-NA-VaultA1 e Contoso-O365SP-NA-VaultA2. I nomi di archivio sono univoche stringhe all'interno di Azure, in modo che potrebbe essere necessario provare le variazioni dei nomi desiderati nel caso in cui i nomi desiderati è già richiesto da altri clienti Azure. Prima del luglio 2017 è Impossibile modificare i nomi di archivio è una buona norma disporre di un piano scritto per l'installazione e usare una seconda persona per verificare che il piano è stato eseguito correttamente.

  • Se possibile, creare gli archivi in aree non accoppiati. Aree di Azure accoppiate forniscono elevata disponibilità in domini di errore del servizio. Di conseguenza, coppie internazionali possono essere considerate come area backup di altri. Questo errore indica che una risorsa Azure viene inserita in un'area automaticamente sta per essere tolleranza tramite l'area geografica di accoppiate. Per questo motivo, la scelta delle aree geografiche per due archivi utilizzati in una protezione esecuzione programmi in cui le aree geografiche sono accoppiate significa che solo un totale di due aree di disponibilità sono in uso. La maggior parte delle aree geografiche hanno solo due aree, pertanto non è ancora possibile selezionare le aree non accoppiati. Se possibile, scegliere due aree non accoppiati per archivi di due usati con una protezione esecuzione programmi. Il vantaggio da un totale di quattro aree di disponibilità. Per ulteriori informazioni, vedere Business continuità e ripristino di emergenza (BCDR): aree accoppiati Azure per un elenco corrente delle coppie internazionali.

Assegnare autorizzazioni a ogni archivio chiave

Per ogni archivio chiave, sarà necessario definire tre set di autorizzazioni per clienti chiave, a seconda dell'implementazione separati. Ad esempio, è necessario definire un set di autorizzazioni per ciascuna delle operazioni seguenti:

  • Gli amministratori dell'archivio di chiave che verrà eseguita automaticamente gestione quotidiana dell'archivio chiave dell'organizzazione. Queste attività includono backup, creare, ottenere, importano, elenco e ripristino.

    Importante: Il set di autorizzazioni assegnato agli amministratori dell'archivio chiave non include l'autorizzazione per eliminare le chiavi. Si tratta di intenzionale e una procedura più importante. Eliminazione di chiavi di crittografia non viene in genere eseguita, poiché eseguendo in modo permanente Elimina dati. Come ottimale, non concedere questa autorizzazione per gli amministratori dell'archivio chiave per impostazione predefinita. Prenotare seguente per i collaboratori chiave archivio e solo assegnarlo a un amministratore in base a breve termine compreso chiaramente le conseguenze.

    Per assegnare le autorizzazioni a un utente dell'organizzazione di Office 365, accedere al proprio abbonamento Azure con PowerShell Azure. Per ulteriori informazioni, vedere accedere con PowerShell Azure.

  • Eseguire il cmdlet Set-AzureRmKeyVaultAccessPolicy per assegnare le autorizzazioni necessarie.

    Set-AzureRmKeyVaultAccessPolicy -VaultName <vaultname> 
    -UserPrincipalName <UPN of user> -PermissionsToKeys create,import,list,get,backup,restore
    

    Ad esempio:

    Set-AzureRmKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
    -UserPrincipalName alice@contoso.com -PermissionsToKeys create,import,list,get,backup,restore
    
  • Collaboratori di archivio di chiave che possono essere modificate le autorizzazioni per l'archivio di chiave Azure stesso. È necessario modificare le autorizzazioni dipendenti lasciano o partecipare al team o in situazione estremamente rara che il tasto archivio amministratori regolare devono disporre dell'autorizzazione per eliminare o ripristinare una chiave. Questo gruppo di collaboratori archivio chiave deve concedere il ruolo di Collaboratore sull'archivio chiave. È possibile assegnare il ruolo tramite Gestione risorse di Azure. Per informazioni dettagliate, vedere Controllo dell'accesso Use Role-Based per gestire l'accesso alle risorse dell'abbonamento Azure. L'amministratore che crea una sottoscrizione è in modo implicito, questo tipo di accesso dell'utente e la possibilità di assegnare ad altri amministratori per il ruolo di collaboratore.

  • Se si prevede di usare chiave cliente con Exchange Online e in Skype for Business, è necessario assegnare l'autorizzazione a Office 365 per usare l'archivio di chiave per conto di Exchange Online e in Skype for Business. Analogamente, se si prevede di usare chiave cliente con SharePoint Online e OneDrive for Business, è necessario aggiungere l'autorizzazione per Office 365 usare l'archivio di chiave per conto di SharePoint Online e OneDrive for Business. Per assegnare l'autorizzazione a Office 365, eseguire il cmdlet Set-AzureRmKeyVaultAccessPolicy utilizzando la sintassi seguente:

    Set-AzureRmKeyVaultAccessPolicy –VaultName <vaultname> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

    Dove:

    • vaultname è il nome dell'archivio di chiave che è stato creato.

    • Per Exchange Online e Skype per le aziende, sostituire appID di Office 365 con 00000002-0000-0ff1-ce00-000000000000

    • Per SharePoint Online e OneDrive for Business, sostituire appID di Office 365 con 00000003-0000-0ff1-ce00-000000000000

    Esempio: Impostare le autorizzazioni per Exchange Online e in Skype for Business:

    Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365EX-NA-VaultA1 
    -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

    Esempio: Impostare le autorizzazioni per SharePoint Online e OneDrive for Business

    Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365SP-NA-VaultA1 
    -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000

Abilitare e quindi scegliere conferma Elimina contorni nel chiavi archivi

Quando è possibile recuperare rapidamente le chiavi, si è meno probabile riscontrare un'interruzione del servizio "Extended" a causa di chiavi accidentalmente o intenzionalmente eliminate. È necessario attivare la configurazione, detta eliminare contorni, prima di poter usare i tasti con clienti chiave. Attivazione eliminare contorni consente di recuperare le chiavi o archivi di 90 giorni di eliminazione senza dover ripristinarli dal backup.

Per attivare contorni eliminare il chiavi archivi, completare la procedura seguente:

  1. Accedere al proprio abbonamento Azure con Windows Powershell. Per ulteriori informazioni, vedere accedere con PowerShell Azure.

  2. Eseguire il cmdlet Get-AzureRmKeyVault come indicato di seguito:

    $v = Get-AzureRmKeyVault -VaultName <vaultname>
    $r = Get-AzureRmResource -ResourceId $v.ResourceId
    $r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
    Set-AzureRmResource -ResourceId $r.ResourceId -Properties $r.Properties

    Dove vaultname è il nome dell'archivio di chiave per il quale si desidera abilitare contorni eliminare.

  3. Conferma Elimina contorni è configurato per l'archivio chiave eseguendo il cmdlet Get-AzureRmKeyVault :

    Get-AzureRmKeyVault -VaultName <vaultname> | fl

    Se Elimina contorni sia configurato correttamente per l'archivio di chiave, la proprietà Soft Delete Enabled? restituirà il valore True.

Aggiungere una chiave in ogni archivio chiave sia mediante la creazione o importazione di una chiave

Esistono due modi per aggiungere tasti in un archivio di chiave Azure; è possibile creare una chiave direttamente nell'archivio di chiave oppure è possibile importare una chiave. Creazione di una chiave direttamente nell'archivio di chiave è il metodo meno complicato, durante l'importazione di una chiave consente di controllare totale come viene generata la chiave.

Per creare una chiave direttamente nell'archivio chiave, eseguire il cmdlet Aggiungi AzureKeyVaultKey come indicato di seguito:

Add-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname> -Destination <HSM|Software> -KeyOps wrapKey,unwrapKey

Dove:

  • vaultname è il nome dell'archivio di chiave in cui si desidera creare la chiave.

  • nome è il nome che si desidera assegnare alla nuova chiave.

    Suggerimento: Assegnare un nome utilizzando una convenzione di denominazione simile, come descritto in precedenza per archivi chiavi tasti. In questo modo, in strumenti che mostrano solo il nome della chiave, la stringa automatica descritto.

  • Se si desidera proteggere la chiave con un modulo di sicurezza hardware, assicurarsi di specificare modulo di sicurezza hardware come il valore del parametro Destination in caso contrario, specificare Software.

Ad esempio,

Add-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination Software -KeyOps wrapKey,unwrapKey

Per importare una chiave direttamente nell'archivio chiave, è necessario disporre di un modulo di sicurezza Hardware di nShield Thales.

In alcune organizzazioni si preferiscono questo approccio per stabilire la provenienza per le chiavi e questo metodo vengono forniti anche le operazioni seguenti:

  • Il set di strumenti utilizzati per l'importazione include attestato da Thales che chiave Exchange chiave (KEK), viene usato per crittografare la chiave che è generare non sia esportabile e viene generato all'interno di un modulo di sicurezza hardware genuine produttrice da Thales.

  • Il set di strumenti include attestato da Thales che tutto il mondo di sicurezza di Azure chiave archivio viene generato anche in un modulo di sicurezza hardware genuine prodotto da Thales. Questo attestato dimostra all'utente che anche utilizzate da Microsoft genuine hardware Thales.

Contattare il gruppo di sicurezza per determinare se attestati indicati sono necessari. Per istruzioni dettagliate creare una chiave locale e importarlo l'archivio chiave, vedere come generare e trasferire protetta HSM tasti per l'archivio chiave Azure. Attenersi alle istruzioni Azure per creare una chiave in ogni archivio chiave.

Selezionare il livello di ripristino delle chiavi

Office 365 richiede che l'abbonamento di Azure chiave archivio sia impostato su non annullare e che le chiavi utilizzate dalla chiave cliente abbiano Elimina contorni abilitato. È possibile verificarlo osservando a livello di ripristino le chiavi.

Per verificare se il livello di ripristino di una chiave in Azure PowerShell eseguire il cmdlet Get-AzureKeyVaultKey come indicato di seguito:

(Get-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname>).Attributes 

Se la proprietà Recovery Level restituisce un valore diverso da un valore di Reversibile + ProtectedSubscription, sarà necessario consultare questo argomento e assicurarsi che siano state seguite tutti i passaggi a cui applicare l'elenco non annullare la sottoscrizione e si dispone Elimina contorni abilitato su ognuno degli archivi chiavi.

Backup archivio chiave Azure

Subito dopo la creazione o qualsiasi modifica apportata a una chiave, eseguire un backup e archiviare le copie di backup, online e offline. Copie non in linea devono essere connessa non in rete, ad esempio in una posizione di archiviazione sicura o commerciale fisica. Almeno una copia di backup deve venire archiviata in un percorso accessibile in caso di emergenza. Backup BLOB sono l'unico mezzo per il ripristino delle chiavi una chiave di archivio di chiave da eliminato in modo permanente o in caso contrario inutilizzabile. Chiavi esterne in Azure chiave archivio e sono stati importati in Azure chiave archivio non possono essere come backup perché i metadati necessari per clienti chiave da utilizzare la chiave non esiste con la chiave esterna. Solo una copia di backup acquisito da Azure chiave archivio è utilizzabile per operazioni di ripristino con clienti chiave. Pertanto, è essenziale che venga apportata una copia di backup dell'archivio chiave Azure dopo una chiave viene caricata o creata.

Per creare una copia di backup di una chiave di Azure chiave archivio, eseguire il cmdlet di Backup AzureKeyVaultKey come indicato di seguito:

Backup-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname> 
-OutputFile <filename.backup>

Assicurarsi che il file di output utilizzi il suffisso .backup.

File di output risultante da questo cmdlet è crittografato e non può essere utilizzato all'esterno di Azure chiave archivio. Il backup può essere ripristinato solo per la sottoscrizione di Azure da cui è stato eseguito il backup.

Suggerimento: Per il file di output, scegliere una combinazione di nome della chiave nome archivio. In questo modo sarà il file nome automatica che descrive. Garantisce inoltre che i nomi di file di backup non sono in conflitto.

Ad esempio:

Backup-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -OutputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Convalidare le impostazioni di configurazione di Azure chiave archivio

Si esegue la convalida prima di utilizzare i tasti in un Protezione esecuzione programmi è facoltativo, ma consigliata. In particolare, se si usa i passaggi per configurare le chiavi e archivi diversi da quelli descritti in questo argomento, è necessario convalidare l'integrità delle risorse a disposizione Azure chiave archivio prima di configurare chiave cliente.

Per verificare che le chiavi abbiano operazioni get, wrapKey e unwrapKey abilitate:

Eseguire il cmdlet Get-AzureRmKeyVault come indicato di seguito:

Get-AzureRMKeyVault -VaultName <vaultname>

Nell'output, osservare per il criterio di accesso e per l'identità di Exchange Online (GUID) o l'identità di SharePoint Online (GUID) in base alle esigenze. Tutti e tre queste autorizzazioni devono essere visualizzate in autorizzazioni ai tasti.

Se la configurazione dei criteri di accesso non è corretta, eseguire il cmdlet Set-AzureRmKeyVaultAccessPolicy come indicato di seguito:

Set-AzureRmKeyVaultAccessPolicy –VaultName <vaultname> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

Ad esempio per Exchange Online e in Skype for Business:

Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365EX-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

Ad esempio, per SharePoint Online e OneDrive for Business:

Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365SP-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName TBD

Per verificare che la data di scadenza non è impostata per le chiavi:

Eseguire il cmdlet Get-AzureKeyVaultKey come indicato di seguito:

Get-AzureKeyVaultKey -VaultName <vaultname> 

Non è possibile utilizzare una chiave scaduta dalla chiave cliente e operazioni tentate con un tasto scaduto avrà esito negativo e causare un'interruzione del servizio. È consigliabile che le chiavi utilizzate con clienti chiave non dispone di una data di scadenza. Una data di scadenza, una volta impostato, non può essere rimosso, ma possono essere modificate in una data diversa. Se è necessario utilizzare una chiave che contiene una data di scadenza impostare, modificare il valore di scadenza e 31/12/9999. Chiavi con una data di scadenza è impostato su una data diversa da 31/12/9999 non superano la convalida di Office 365.

Per modificare una data di scadenza è stata impostata su un valore diverso da 31/12/9999, eseguire il cmdlet Set-AzureKeyVaultKeyAttribute come indicato di seguito:

Set-AzureKeyVaultKeyAttribute –VaultName <vaultname> -Name <keyname> 
-Expires (Get-Date -Date “12/31/9999”)

Avviso: Non impostare date di scadenza sulle chiavi di crittografia che si utilizza con clienti chiave.

Ottenere l'URI per ogni chiave Azure chiave archivio

Dopo aver completato tutti i passaggi in Azure per impostare il chiavi archivi e aggiungere le chiavi, eseguire il seguente comando per ottenere l'URI per la chiave in ogni archivio chiave. È necessario utilizzare queste URI quando si crea e assegnare ogni Protezione esecuzione programmi in seguito, quindi salvare queste informazioni in un luogo sicuro. È necessario ricordare di eseguire il comando una volta per ogni archivio chiave.

In Azure PowerShell:

(Get-AzureKeyVaultKey -VaultName <vaultname>).Id

Office 365: Impostazione di chiave cliente per Exchange Online e in Skype for Business

Prima di iniziare, assicurarsi che siano state completate le attività necessarie per configurare Azure chiave archivio. Per informazioni, vedere completare le attività in Azure chiave archivio e FastTrack Microsoft per clienti chiave .

Per impostare la chiave cliente per Exchange Online e in Skype for Business, sarà necessario eseguire questi passaggi connettendosi in remoto a Exchange Online con Windows PowerShell.

Creazione di un criterio di crittografia dati (Protezione esecuzione programmi) per l'utilizzo con Exchange Online e in Skype for Business

Una protezione esecuzione programmi sono associata a un set di chiavi di Azure chiave archivio. Per assegnare una protezione esecuzione programmi a una cassetta postale in Office 365. Office 365 utilizzerà quindi i tasti identificati nei criteri per crittografare la cassetta postale. Per creare la protezione esecuzione programmi, è necessario URI archivio chiave ottenuto in precedenza. Per istruzioni, vedere ottenere URI per una chiave di Azure chiave archivio .

Ricordare. Quando si creano una protezione esecuzione programmi, specificare due chiavi che si trovano in due diversi archivi di chiave di Azure. Assicurarsi che questi tasti si trovano in due aree di Azure separate per garantire la ridondanza geografico.

Per creare la protezione esecuzione programmi, procedere come segue:

  1. Nel computer locale, usando un account aziendale o dell'istituto di istruzione che dispone delle autorizzazioni di amministratore globale dell'organizzazione di Office 365, connettersi a Exchange Online PowerShell aprendo Windows PowerShell ed eseguire il comando seguente.

    $UserCredential = Get-Credential
  2. Nella finestra di dialogo richiesta di Windows PowerShell credenziali immettere il proprio lavoro o dell'istituto di istruzione informazioni sull'account, fare clic su OKe quindi immettere il comando seguente.

    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
  3. Eseguire il comando seguente.

    Import-PSSession $Session
  4. Per creare una protezione esecuzione programmi, utilizzare il cmdlet New-DataEncryptionPolicy digitando il comando seguente.

    New-DataEncryptionPolicy -Name <PolicyName> -Description "PolicyDescription" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>

    Dove:

    • PolicyName è il nome che si desidera utilizzare per il criterio. I nomi non possono contenere spazi. Ad esempio USA_mailboxes.

    • PolicyDescription è una descrizione di semplice utilizzo dei criteri che consenta di identificare facilmente novità per i criteri. È possibile includere spazi nella descrizione. Ad esempio, principali chiave per le cassette postali degli Stati Uniti e proprio territorio.

    • KeyVaultURI1 è l'URI per la prima chiave nei criteri. Ad esempio https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.

      KeyVaultURI2 è l'URI per la seconda chiave nei criteri. Ad esempio https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02. Separare i due URI da una virgola e uno spazio.

Esempio:

New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02

Assegnare una protezione esecuzione programmi a una cassetta postale

Assegnare la protezione esecuzione programmi a una cassetta postale, utilizzare il cmdlet Set-cassetta postale. Dopo aver assegnato il criterio, Office 365 può crittografare la cassetta postale con una chiave designata la protezione esecuzione programmi.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

Dove MailboxIdParameter specifica una cassetta postale. Per ulteriori informazioni sui cmdlet Set-cassetta postale, vedere Set-cassetta postale.

Convalidare la crittografia cassetta postale

La crittografia di una cassetta postale può richiedere del tempo. Per prima assegnazione criteri ora, la cassetta postale necessario completare lo spostamento da un database a un altro prima che il servizio può crittografare la cassetta postale. È consigliabile attendere 72 ore prima di tentare di convalidare la crittografia dopo che si modifica una protezione esecuzione programmi o la prima volta che è stata assegnata una protezione esecuzione programmi a una cassetta postale.

Utilizzare il cmdlet Get-MailboxStatistics per determinare se una cassetta postale è crittografata.

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

La proprietà IsEncrypted restituisce il valore true se la cassetta postale è crittografata e il valore false se la cassetta postale non è crittografata.

Office 365: Impostazione di chiave cliente per SharePoint Online e OneDrive for Business

Prima di iniziare, assicurarsi che siano state completate le attività necessarie per configurare Azure chiave archivio. Per informazioni, vedere completare le attività in Azure chiave archivio e FastTrack Microsoft per clienti chiave .

Per impostare la chiave cliente per SharePoint Online e OneDrive for Business, sarà necessario eseguire questi passaggi connettendosi in modalità remota in SharePoint Online con Windows PowerShell.

Creazione di un criterio di crittografia dati (Protezione esecuzione programmi) per ogni SharePoint Online e OneDrive for Business geografico

Una protezione esecuzione programmi sono associata a un set di chiavi di Azure chiave archivio. Applicare una protezione esecuzione programmi a tutti i dati in una posizione geografica, detto anche un geografico. Se si utilizza la funzionalità multi-geografico di Office 365 (attualmente nella versione di anteprima), è possibile creare una protezione esecuzione programmi per geografico. Se non si usa geografico multipla, è possibile creare una protezione esecuzione programmi di Office 365 per l'uso con SharePoint Online e OneDrive for Business. Office 365 utilizzerà quindi i tasti identificati nella protezione esecuzione programmi per crittografare i dati in tale geografico. Per creare la protezione esecuzione programmi, è necessario URI archivio chiave ottenuto in precedenza. Per istruzioni, vedere ottenere URI per una chiave di Azure chiave archivio .

Ricordare. Quando si creano una protezione esecuzione programmi, specificare due chiavi che si trovano in due diversi archivi di chiave di Azure. Assicurarsi che questi tasti si trovano in due aree di Azure separate per garantire la ridondanza geografico.

Per creare una protezione esecuzione programmi, è necessario connettersi in remoto in SharePoint Online tramite Windows PowerShell.

  1. Nel computer locale, usando un account aziendale o dell'istituto di istruzione che dispone delle autorizzazioni di amministratore globale dell'organizzazione di Office 365, connettersi a SharePoint Online Powershell.

  2. In Microsoft SharePoint Online Management Shell, eseguire il cmdlet Registro SPODataEncryptionPolicy come indicato di seguito:

    Register-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>

    Quando si registrano la protezione esecuzione programmi, la crittografia inizia ai dati di geografico. Questa operazione può richiedere del tempo.

Convalidare la crittografia dei siti di gruppi, siti del Team e OneDrive for Business

È possibile controllare lo stato di crittografia eseguendo il cmdlet Get-SPODataEncryptionPolicy come indicato di seguito:

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

L'output di questo cmdlet include:

  • URI della chiave primaria.

  • URI della chiave secondaria.

  • Lo stato di crittografia per il geografico. Stati possibili includono:

    • Annullata: Crittografia chiave cliente non è ancora stata applicata.

    • Registrazione: È stata applicata la crittografia chiave dei clienti e i file sono nel processo vengono crittografati. Se il geografico presenta questo stato, si verranno anche visualizzato informazioni sulla percentuale di siti di geografico sono state completate in modo che è possibile monitorare lo stato di avanzamento di crittografia.

    • Registrato: È stata applicata la crittografia chiave cliente e tutti i file in tutti i siti siano stati crittografati.

    • In sequenza: Un rullino chiave è in corso. Se il geografico presenta questo stato, si verranno inoltre visualizzate informazioni nella percentuale di siti è stata completata l'operazione rullino chiave in modo che è possibile monitorare lo stato di avanzamento.

Gestione dei clienti chiave per Office 365

Dopo aver configurato chiave cliente per Office 365, è possibile eseguire queste operazioni di gestione aggiuntive.

Ripristinare le chiavi Azure chiave archivio

Prima di eseguire un ripristino, usare le funzionalità di ripristino fornite accanto a Elimina contorni. Tutte le chiavi utilizzate con clienti chiave devono essere Elimina contorni abilitato. Elimina contorni funge da un Cestino e consente di ripristino 90 giorni senza la necessità di ripristinare. Ripristino dovrebbe essere necessaria solo in circostanze estreme o insolite, ad esempio se la chiave o una chiave archivio viene perso. Se è necessario ripristinare una chiave da utilizzare con clienti chiave, in Azure PowerShell eseguire il cmdlet di ripristino AzureKeyVaultKey come segue:

Restore-AzureKeyVaultKey -VaultName <vaultname> -InputFile <filename>

Ad esempio:

Restore-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Se una chiave con lo stesso nome già presente nell'archivio di chiave, l'operazione di ripristino avrà esito negativo. Ripristino AzureKeyVaultKey Ripristina tutte le versioni principali e tutti i metadati per la chiave tra cui il nome della chiave.

Ripristino dello stato o la rotazione di una chiave nell'archivio di chiave Azure utilizzate con clienti chiave

In sequenza tasti non sono necessaria per l'archivio di chiave Azure o per clienti chiave. Inoltre, i tasti che sono protetti con un modulo di sicurezza hardware sono praticamente compromettere. Anche se una chiave principale utilizzato in possesso di un attore dannoso non esiste è possibile utilizzarla per decrittografare i dati, poiché solo il codice di Office 365 sa come usarlo. Tuttavia, in sequenza una chiave è supportato dalla chiave cliente.

Avviso: 

  • Implementazione solo una chiave di crittografia utilizzate con clienti chiave quando è presente un motivo deselezionare tecnico o un requisito di conformità determina di avere per le trasmissioni la chiave. Inoltre, non eliminare tutte le chiavi o sono stati associato a criteri. Quando si ottengono i tasti, non è presente contenuto crittografato con i tasti precedenti. Ad esempio, mentre le cassette postali attive verranno nuovamente crittografate frequentemente, inattivo, disconnesse e disattivate le cassette postali potrebbero essere crittografate con le chiavi precedenti. SharePoint Online verranno eseguite copia di backup del contenuto per motivi di backup e ripristino, che può comunque il contenuto archiviato utilizzo dei tasti di versioni precedenti.

  • Per garantire la sicurezza dei dati, SharePoint Online consentirà non più di un'operazione di implementazione chiave sia in corso alla volta. Se si desidera ripristinare entrambe le chiavi in un archivio di chiave, sarà necessario attendere che la prima operazione rullino chiave completa. È consigliabile pianificare le operazioni di chiave rullino intervalli diversi, in modo che non si tratta di un problema.

Quando si ripristina un tasto, si richiede una nuova versione di una chiave esistente. Per richiedere una nuova versione di una chiave esistente, è utilizzare il cmdlet stesso, Aggiungi AzureKeyVaultKey, con la stessa sintassi utilizzati per creare la chiave nella prima posizione.

Ad esempio:

Add-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @(‘wrapKey’,’unwrapKey’) -NotBefore (Get-Date -Date “12/27/2016 12:01 AM”)

In questo esempio, in quanto non esiste una chiave denominata Contoso-O365EX-NA-VaultA1-Key001 già nell'archivio di Contoso-O365EX-NA-VaultA1, verrà creata una nuova versione di chiave. L'operazione aggiunge una nuova versione di chiave. Questa operazione consente di mantenere le versioni precedenti di chiave nella cronologia delle versioni della chiave, in modo da possono ancora decrittografare i dati vengono crittografati in precedenza con tale tasto. Dopo aver completato in sequenza un tasto associato a una protezione esecuzione programmi, sarà necessario eseguire un cmdlet aggiuntive per garantire che chiave cliente inizia con la nuova chiave.

Consentire a Exchange Online e Skype per le aziende di utilizzare una nuova chiave dopo l'implementazione o ruota i tasti di Azure chiave archivio

Quando si ripristina uno dei tasti di Azure chiave archivio associati a una protezione esecuzione programmi usati con Exchange Online e in Skype per le aziende, è necessario eseguire il seguente comando per aggiornare la protezione esecuzione programmi e attivare Office 365 iniziare a usare la nuova chiave.

Per indicare chiave cliente come utilizzare la nuova chiave per crittografare le cassette postali in Office 365, eseguire il cmdlet Set-DataEncryptionPolicy come indicato di seguito:

Set-DataEncryptionPolicy <policyname> -Refresh 

Entro 48 ore, cassette postali attive crittografate con questo criterio sarà associate alla chiave aggiornata. Usare i passaggi descritti Determinazione Protezione esecuzione programmi assegnato a una cassetta postale per controllare il valore della proprietà DataEncryptionPolicyID per la cassetta postale. Il valore di questa proprietà verrà modificato dopo l'applicazione di chiave aggiornata.

Abilita SharePoint Online e OneDrive for Business utilizzare una nuova chiave dopo l'implementazione o ruota i tasti di Azure chiave archivio

Quando si ripristina uno dei tasti di Azure chiave archivio associati a una protezione esecuzione programmi usati con SharePoint Online e OneDrive per le aziende, è necessario eseguire il cmdlet di Aggiornamento SPODataEncryptionPolicy per aggiornare la protezione esecuzione programmi e attivare Office 365 iniziare a usare la nuova chiave.

Update-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

Verrà avviata l'operazione rullino chiave per SharePoint Online e OneDrive for Business. Questa azione non è immediata. Per visualizzare l'avanzamento della chiave di implementazione operazione, eseguire il cmdlet Get-SPODataEncryptionPolicy come indicato di seguito:

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

Gestire le autorizzazioni di archivio chiave

Sono disponibili alcuni cmdlet che consentono di visualizzare e, se necessario, rimuovere le autorizzazioni di archivio chiave. Potrebbe essere necessario rimuovere le autorizzazioni, ad esempio quando un dipendente lascia il team.

Per visualizzare le autorizzazioni di archivio chiave, eseguire il cmdlet Get-AzureRmKeyVault:

Get-AzureRmKeyVault -VaultName <vaultname>

Ad esempio:

Get-AzureRmKeyVault -VaultName Contoso-O365EX-NA-VaultA1

Per rimuovere le autorizzazioni dell'amministratore, eseguire il cmdlet Rimuovi AzureRmKeyVaultAccessPolicy:

Remove-AzureRmKeyVaultAccessPolicy -VaultName <vaultname> 
-UserPrincipalName <UPN of user>

Ad esempio:

Remove-AzureRmKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
-UserPrincipalName alice@contoso.com

Determinare la protezione esecuzione programmi assegnato a una cassetta postale

Per determinare la protezione esecuzione programmi assegnato a una cassetta postale, utilizzare il cmdlet Get-MailboxStatistics. Il cmdlet restituisce un identificatore univoco (GUID).

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID

Dove GeneralMailboxOrMailUserIdParameter specifica una cassetta postale. Per ulteriori informazioni sui cmdlet Get-MailboxStatistics, vedere Get-MailboxStatistics.

Utilizzare il GUID per trovare il nome descrittivo di protezione esecuzione programmi a cui è assegnata la cassetta postale eseguendo il seguente cmdlet.

Get-DataEncryptionPolicy <GUID>

GUID dove si trova il GUID restituito dal cmdlet Get-MailboxStatistics nel passaggio precedente.

Amplia le tue competenze su Office
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×