고객 키를 사용 하 여 Office 365에서 데이터를 제어

참고: 사용자 언어로 가능한 한 빨리 가장 최신의 도움말 콘텐츠를 제공하고자 합니다. 이 페이지는 자동화를 통해 번역되었으며 문법 오류나 부정확한 설명을 포함할 수 있습니다. 이 목적은 콘텐츠가 사용자에게 유용하다는 것입니다. 이 페이지 하단의 정보가 도움이 되었다면 알려주세요. 쉽게 참조할 수 있는 영어 문서가 여기 있습니다.

고객 키와 함께 컨트롤 조직의 암호화 키를 누른 다음 Microsoft의 데이터 센터의 나머지 부분에서 데이터를 암호화를 사용 하 여 Office 365를 구성 합니다. 나머지 부분에 데이터 Exchange Online 및 사서함 및 SharePoint Online에 저장 되어 있는 파일에 저장 되어 있는 비즈니스용 Skype 및 비즈니스용 OneDrive에서 데이터를 포함 합니다.

Office 365 고객 키를 사용 하려면 먼저 Azure 설정 해야 합니다. 이 항목을 만들고 필요한 Azure 리소스 구성 따라야 할 단계를 설명 하 고 Office 365에서 고객 키를 설정 하기 위한 단계를 제공 합니다. Azure 설치를 완료 한 후 어떤 정책 및 따라서 사서함과 조직에 있는 파일에 지정 하는 키를 확인 합니다. 사서함 및 정책을 할당 하지 않으면 파일 제어 하 고 Microsoft가 관리 되는 암호화 정책을 사용 합니다. 고객 키에 대 한 자세한 내용은 또는 일반 개요에 대 한 참조는 Office 365 FAQ에 대 한 고객 키.

중요: 이 항목에서 모범 사례를 실행 하는 것이 좋습니다. 중요 으로 실행이 있습니다. 고객 키 제어할 수 루트 암호화 키 범위가 조직 전체 넘을 수 있습니다. 즉, 이러한 키와 실수 광범위 한 영향을 줄 수 있는 서비스 중단 되거나 데이터 취소할 손실 될 수 있습니다.

고객 키 설정을 시작 하기 전에

시작 하기 전에 먼저 되어 조직에 대 한 적절 한 라이선스 있는지 확인 합니다. Office 365에서 고객 키 Office 365 E5 또는 고급 규정 준수 SKU 제공 됩니다.

그런 다음 개념을 설명 하 고이 항목의 절차를 이해 하려면 Azure 키 보관소 설명서를 검토 해야 합니다. 또한 익숙해지고 Azure, 예를 들어 테 넌 트에 사용 되는 용어입니다.

고객 키를 포함 하는 문서에 피드백을 제공할 customerkeyfeedback@microsoft.com에 아이디어, 추천 단어 및 큐브 뷰를 보냅니다.

Office 365 고객 키 설정의 개요

고객 키를 설정 하려면 다음이 작업을 수행 합니다. 이 항목의 나머지 각 작업 또는 프로세스의 각 단계에 대 한 자세한 내용은 아웃 링크에 대 한 자세한 지침을 제공 합니다.

Azure, Microsoft FastTrack:   

원격으로 Azure PowerShell에 연결 하 여 대부분의 이러한 작업을 완료 합니다. PowerShell Azure의 이상 또는 최상의 결과 4.4.0 버전을 사용 합니다.

Office 365:   

Exchange Online 및 비즈니스용 Skype:

SharePoint Online과 비즈니스용 OneDrive:

Azure 키 보관소 및 고객 키에 대 한 Microsoft FastTrack에서 작업을 완료

Office 365 고객 키를 설정 하기 위해 Azure 키 보관소에서 다음과 같은이 작업을 완료 합니다. 키를 설정 고객 Exchange Online 및 Skype에 대 한 비즈니스 또는 SharePoint Online 및 OneDrive for Business 또는 Office 365에서 지원 되는 모든 서비스에 대 한 하려는 여부에 관계 없이 다음이 단계를 완료 해야 합니다.

두 개의 새 Azure 가입 만들기

두 개의 Azure 구독은 고객 키에 대 한 필요 합니다. 가장 좋은 방법은 고객 키와 함께 사용 하기 위해 새 Azure 구독을 만드는 것이 좋습니다. Azure 키 보관소 키 동일한 Azure Active Directory (AAD) 테 넌 트의 응용 프로그램에 대 한 권한을 부여 받아야만 수, Office 365 조직와 함께 사용의 DEPs 할당 될 동일한 Azure AD 테 넌 트를 사용 하 여 새 구독을 만들어야 합니다. 조직의 Office 365 전역 관리자 권한이 있는 회사 또는 학교 계정을 사용 하 여 예를 들어 있습니다. 자세한 단계는 조직으로 Azure에 등록참조 합니다.

중요: 

  • 고객 키 각 데이터 암호화 정책 (DEP)에 대 한 두 개의 키가 필요 합니다. 이 작업을 수행 하기 위해 두 Azure 구독을 만들어야 합니다. 가장 좋은 방법은 별도 조직 구성원의 각 구독에 하나의 키 구성 해야 하는 것이 좋습니다. 또한, 다음 Azure 구독 Office 365에 대 한 암호화 키 관리만 사용 해야 합니다. 이 경우, 의도적으로 실수나 악의적를 삭제 하거나 그렇지 않은 경우에 자신이 담당 하는 키 mismanages 전자 연산자 중 하나에 조직에서 보호 됩니다.

  • 고객 키와 함께 사용 하기 위해 Azure 키 보관소 자원을 관리 하는 단독으로 사용 되는 새 Azure 구독을 설정 하는 것이 좋습니다. 조직에 맞게 만들 수 있는 Azure 구독 수에 제한이 있습니다. 다음 모범 사례 고객 키로 사용 되는 리소스를 관리할 수 있게 하는 동안 실수에 따른 영향을 최소화 됩니다.

Office 365 고객 키를 활성화 하려면 요청을 제출

Azure 단계를 완료 한 후 Microsoft FastTrack 포털에서 제안 요청을 제출 해야 합니다. FastTrack 웹 포털을 통해 요청을 제출 하면 Microsoft 제공한 Azure 키 보관소 구성 데이터 및 연락처 정보를 확인 합니다. 선택한 항목은 조직의 권한이 부여 된 직원에 대 한 제안 양식에서 중요 한 고객 키 등록을 완료 하는 데 필요한입니다. 양식에서 선택 하는 조직 관리자 해지 및 고객 키 데이터 암호화 정책으로 사용 되는 모든 키를 삭제 하는 모든 요청의 신뢰성을 보장 하는 데 사용 됩니다. Exchange Online 및 Skype 비즈니스 검사 하 고 한 번에 대 한 SharePoint Online 및 OneDrive for Business 고객 키를 활성화 하려면 고객 키를 활성화 하려면이 단계를 한 번 수행 해야 합니다.

고객 키를 활성화 하려면 오퍼링을 제출 하려면이 단계를 완료 합니다.

  1. Microsoft FastTrack 포털에 로그인 Office 365 조직에서 전역 관리자 권한이 있는 회사 또는 학교 계정을 사용 합니다.

  2. 에 로그인 한 후 대시보드 를 찾습니다.

  3. 제공 을 선택 하 고 현재 제안 된 목록을 검토 합니다.

  4. 사용자에 게 적용 된 제품에 대 한 추가 정보 를 선택 합니다.

    • Exchange Online 및 비즈니스용 Skype: Exchange에 대 한 고객 키 제안에서 자세히 를 선택 합니다.

    • SharePoint Online과 비즈니스용 OneDrive: SharePoint 및 비즈니스용 OneDrive에 대 한 고객 키 제안에서 자세히 를 선택합니다.

  5. 세부 정보를 제공 페이지에서 요청 작성 을 선택 합니다.

  6. 모든 해당 세부 정보 및 제안 양식에서 요청 된 정보를 작성 합니다. 암호화 키와 데이터의 영구 및 되돌릴 수 없는 폐기 승인 권한을 부여 하려는 사용자 조직의 선택 하 고 있는 담당자를 특정 주의 해야 합니다. 폼을 완료 한 후 제출 을 선택 합니다.

    최대 5 일 Microsoft 보고 요청 된 후 걸릴 수 있습니다.

  7. 아래에 필수 보존 기간 섹션 가세요 계속 합니다.

필수 보존 기간을 사용 하 여 Azure 구독 등록

루트 암호화 키의 임시 또는 영구 손실 방해가 또는 서비스 작업에도 치명적인 수 있으며 데이터가 손실 될 수 있습니다. 이러한 이유로 고객 키와 함께 사용 되는 리소스 강력한 보호가 필요 합니다. 고객 키와 함께 사용 되는 모든 Azure 자원의 기본 구성 것 외에도 보호 메커니즘 알아볼 수 있습니다. Azure 구독 태그를 지정 하거나 받지 못하거나 즉시 및 취소할 취소 하는 방식에서에 등록 될 수 있습니다. 필수 보존 기간에 대 한 등록 라고 합니다. 필수 보존 기간에 대 한 Azure 구독 등록 하는 데 필요한 단계는 Office 365 팀과 공동 작업을 해야 합니다. 5 일 이내에 1이 걸릴 수 있습니다. 이전에이 라고도 "취소 안 함"입니다.

Office 365 팀 문의 하기 전에 고객 키와 함께 사용 하는 각 Azure 구독에 대해 다음 단계를 수행 해야 합니다.

  1. Azure powershell Azure 구독에 로그인 합니다. 자세한 내용은 Azure PowerShell을 사용 하 여 로그인합니다.

  2. 필수 보존 기간을 사용 하 여 구독 등록 Register AzureRmProviderFeature cmdlet을 실행 합니다.

    Register-AzureRmProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources
  3. 프로세스를 종료 하려면 Microsoft에 문의 합니다. SharePoint 및 비즈니스 팀을 위한 OneDrive spock@microsoft.com에 문의 합니다. Exchange Online 및 비즈니스용 Skype를 exock@microsoft.com에 문의 합니다. 서비스 수준 계약 (SLA) 필수 보존 기간을 사용 하 여 구독을 등록 한이 프로세스를 완료 Microsoft가 되 고 되 면 알림 메시지가 표시 (확인)는 5 비즈니스 일입니다. 전자 메일에는 다음과 같습니다.

    제목: <tenant의 정규화 된 도메인 이름> 고객 키

    본문: 필수 보존 기간 종료로 받으려면 구독 Id입니다.

  4. 등록 완료 되는 Microsoft에서 알림을 받게 되 면 다음과 같이 Get AzureRmProviderFeature cmdlet을 실행 하 여 등록 상태를 확인 합니다.

    Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Resources -FeatureName mandatoryRetentionPeriodEnabled
  5. 등록 상태가 속성 Get AzureRmProviderFeature cmdlet의 등록 된 값을 반환 되는지 확인 한 후 프로세스를 완료 하려면 다음 명령을 실행 합니다.

    Register-AzureRmResourceProvider -ProviderNamespace "Microsoft.KeyVault"

각 구독에서 프리미엄 Azure 키 보관소 만들기

Azure 키 보관소 시작을 설치 및 Azure PowerShell 시작, Azure 구독에 연결, 자원 그룹 만들기 및 있는 키 보관소를 만드는 과정을 안내 하는에서 주요 보관소 만들기의 단계를 설명 하는 자원 그룹입니다.

SKU를 선택 해야 키 볼트를 만들 때: 표준 또는 Premium 합니다. 표준 SKU – 없는 모듈 HSM (하드웨어 보안) 키 보호는 – 소프트웨어로 보호 하기 위해 Azure 키 보관소 키에서 허용 하 고 프리미엄 SKU 키 보관소 키의 보호 하기 위해 Hsm 사용할 수 있습니다. 고객 키 좋습니다 프리미엄 SKU를 사용 하는 경우 두 SKU를 사용 하는 주요 보관소를 수락 합니다. 두 가지 형식의 키와 함께 작업의 비용 이므로 같은 유일한 비용 차이 각 HSM 암호로 보호 된 키에 대 한 월별 비용. 자세한 내용은 키 보관소 가격 을 참조 하십시오.

중요: 프로덕션 데이터에 대 한 프리미엄 SKU 키 보관소 및 HSM 암호로 보호 된 키를 사용 하 고만 테스트 및 유효성 검사 목적 표준 SKU 키 보관소와 키를 사용 합니다.

고객 키를 사용 합니다는 각 Office 365 서비스에 대 한 각각의 만든 두 개의 Azure 가입 키 볼트를 만듭니다. 예를 들어 Exchange Online 및 Skype만 비즈니스 또는 SharePoint Online 및 OneDrive for Business만, 보관소 하나만 쌍을 만들가 있습니다. Exchange Online 및 SharePoint Online에 대 한 고객 키를 사용 하려면 두 쌍의 주요 보관소 만들어집니다.

보관소 연관 됩니다 DEP의 용도 반영 하는 주요 보관소에 대 한 명명 규칙을 사용 합니다. 명명 규칙 권장 사항에 대 한 아래 모범 사례 섹션을 참조 합니다.

각 데이터 암호화 정책에 대 한 보관소 쌍된 별도 집합을 만듭니다. Exchange Online에 대 한 데이터 암호화 정책 범위 사서함 정책 할당 하면 사용자가 선택 됩니다. 사서함 수를 할당 한 개만 정책 있으며 최대 50 정책을 만들 수 있습니다. SharePoint Online에 대 한 정책의 범위는 지리적 위치 또는 지리조직 내의 데이터를 모두입니다.

주요 보관소 만들 수 있습니다 (작지만 매우) 키 보관소 필요한 저장소 용량 하 고 로깅, 키 볼트를 사용 하는 경우 저장 된 데이터 생성 수도 있으므로 Azure 자원 그룹을 만들 수 있습니다도 사용 해야 합니다. 가장 좋은 방법은 별도 관리자를 사용 하 여 모든 관련된 고객 키 리소스를 관리 하는 관리자가 설정 된 정렬 관리 각 자원 그룹을 관리 하는 것이 좋습니다.

중요: 

  • 가용성을 극대화 하려면 Office 365 서비스에 다 다른 지역의 키 보관소 여야 합니다. 예를 들어, Exchange Online 조직 북미 있으면 키 보관소 북미에 놓습니다. Exchange Online 조직 유럽의 경우 유럽의 주요 보관소를 놓습니다.

  • 키 보관소에 대 한 일반적인 접두사를 사용 하 고 사용의 약어 및 키 보관소 및 키의 범위 포함 (예:에 대 한 북미의 경우, 이름의 가능한 쌍 보관소 위치 위치 Contoso SharePoint 서비스 O365SP NA VaultA1 Contoso 및 Contoso-O365SP-NA-VaultA2 합니다. 보관소 이름 Azure 내의 고유한 문자열 되므로 원하는 이름이 다른 Azure 고객에서 이미 요구 되는 경우 원하는 이름의 변형 시도해 야 할 수 있습니다. 년 7 월 2017 기준으로 보관소 이름은 변경할 수 없으므로, 설정에 대 한 계획을 작성된 하 고 두 번째 사용자 계획 제대로 실행을 확인 하기 위해 사용 하는 것이 좋습니다.

  • 가능한 경우 아닌 쌍 지역에서 전자 볼트를 만듭니다. 쌍된 Azure 지역의 서비스 실패 도메인에 걸쳐 높은 가용성을 제공 합니다. 따라서 국가별 쌍 다른 사용자의 백업 영역으로 간주할 수 있습니다. 한 영역에 배치 된 Azure 자원 쌍된 영역을 통해 내결함성을 하지 못하도록 자동으로 것입니다. 이러한 이유로 영역은 총 가용성 두 영역에서에서 사용 하는 쌍된 평균 DEP에 사용 되는 두 개의 보관소에 대 한 영역을 선택 합니다. 대부분 지역 아직 아닌 쌍 영역 선택 수 없는 두 영역만가 합니다. 가능한 경우 두 보관소에 종속 된 사용에 대 한 두 아닌 쌍 영역 선택 이 총 가용성의 네 가지 영역에서에서 이점이 있습니다. 자세한 내용은 참고 비즈니스 연속성 및 장애 복구 (BCDR): Azure 쌍 지역 국가별 쌍의 현재 목록에 대 한 합니다.

각 키 보관소에 대 한 권한을 할당합니다

각 키 보관소에 대 한 세 개의 별도 구현에 따라 고객 키에 대 한 사용 권한 집합을 정의 해야 합니다. 예를 들어 한 다음 각각에 대 한 사용 권한 집합 정의 해야 합니다.

  • 키 보관소 관리자가 조직에 대 한 키 보관소의 일상적인 관리를 수행 하는 합니다. 이러한 작업 백업 포함, 만들기, 가져오기, 목록, 가져오기 및 복원 합니다.

    중요: 주요 보관소 관리자에 게 할당 된 사용 권한 집합 키를 삭제 하려면 사용 권한을 포함 되지 않습니다. 이것은 의도적 및 중요 한 연습 합니다. 암호화 키를 삭제 하지 일반적으로 완료 데이터가 손상 되므로 영구적으로 수행 하기 때문입니다. 가장 좋은 방법은이 권한을 부여 하지 마십시오이 키 보관소 관리자에 게 기본적으로 합니다. 대신, 키 보관소 참가자에 대 한이 예약 하 고만 결과 명확 하 게 이해 인식 되 면 단기 별로 관리자에 게 할당 합니다.

    Office 365 조직에서 사용자에 게 이러한 사용 권한을 할당할 Azure powershell Azure 구독에 로그인 합니다. 자세한 내용은 Azure PowerShell을 사용 하 여 로그인합니다.

  • 필요한 사용 권한을 할당 하려면 집합 AzureRmKeyVaultAccessPolicy cmdlet을 실행 합니다.

    Set-AzureRmKeyVaultAccessPolicy -VaultName <vaultname> 
    -UserPrincipalName <UPN of user> -PermissionsToKeys create,import,list,get,backup,restore
    

    예를 들면 다음과 같습니다.

    Set-AzureRmKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
    -UserPrincipalName alice@contoso.com -PermissionsToKeys create,import,list,get,backup,restore
    
  • 키 보관소 참가자 가 변경할 수 있는 Azure 키 보관소에 대 한 권한을 자체 합니다. 거의 동일한 상황에서 키 볼트는 관리자가 적법 하 게 수 있는 권한이 있어야 삭제 또는 복원 키 직원 탈퇴 또는 참가 팀에 문의 하거나 이러한 사용 권한을 변경 해야 합니다. 이 집합이 키 보관소에 참가자 역할 부여할 키 보관소 참가자 필요 합니다. Azure 리소스 관리자를 사용 하 여이 역할을 지정할 수 있습니다. 자세한 내용은 Azure 구독 리소스에 대 한 액세스를 관리 하려면 Use Role-Based 액세스 제어를 참조 합니다. 가입을 작성 하는 관리자는 다른 관리자가 참가자 역할에 할당 하는 기능은 물론 암시적으로이 액세스할.

  • Exchange Online 및 Skype 고객 키를 사용 하 여 비즈니스 하려는 경우 비즈니스 Exchange Online 및 Skype를 대신 하 여 키 볼트를 사용 하 여 Office 365에 권한을 부여 해야 합니다. 마찬가지로, SharePoint Online 및 OneDrive 고객 키를 사용 하 여 비즈니스를 Business 용 SharePoint Online 및 OneDrive를 대신 하 여 키 볼트를 사용 하 여 Office 365에 대 한 사용 권한을 추가 해야 합니다. Office 365에 사용 권한을 부여할, 다음 구문을 사용 하 여 Set-AzureRmKeyVaultAccessPolicy cmdlet을 실행 합니다.

    Set-AzureRmKeyVaultAccessPolicy –VaultName <vaultname> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

    여기서,

    • vaultname 만든 키 보관소의 이름입니다.

    • Exchange Online 및 비즈니스용 Skype를 Office 365 appID00000002-0000-0ff1-ce00-000000000000 으로 바꾸기

    • SharePoint Online 및 OneDrive for Business, Office 365 appID00000003-0000-0ff1-ce00-000000000000 으로 바꾸기

    예 Exchange Online 및 비즈니스용 Skype에 대 한 사용 권한을 설정 합니다.:

    Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365EX-NA-VaultA1 
    -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

    예: SharePoint Online 및 비즈니스용 OneDrive에 대 한 사용 권한 설정

    Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365SP-NA-VaultA1 
    -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000

사용 하도록 설정 하 고 키 보관소에서 소프트 삭제를 확인

신속 하 게 키를 복구할 수 있습니다를 때 덜 확장된 서비스 중단 실수나 악의적 삭제 된 키 원인으로 인해 발생할 수 있습니다. 라고 부드러운 삭제 키를 사용 하 여 고객 키를 사용 하기 전에이 구성을 사용 하도록 설정 해야 합니다. 부드러운 삭제 사용 백업에서 복원 하지 않고 삭제 90 일 이내 키 또는 보관소 복구할 수 있습니다.

주요 보관소에서 부드러운 삭제를 설정 하려면이 단계를 완료 합니다.

  1. Windows Powershell을 사용한 Azure 구독에 로그인 합니다. 자세한 내용은 Azure PowerShell을 사용 하 여 로그인합니다.

  2. 다음과 같이 Get AzureRmKeyVault cmdlet을 실행 합니다.

    $v = Get-AzureRmKeyVault -VaultName <vaultname>
    $r = Get-AzureRmResource -ResourceId $v.ResourceId
    $r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
    Set-AzureRmResource -ResourceId $r.ResourceId -Properties $r.Properties

    여기서 vaultname 를 사용할 수 있도록 부드러운 delete 키 보관소의 이름입니다.

  3. 부드러운 삭제 Get-AzureRmKeyVault cmdlet를 실행 하 여 키 보관소에 대 한 구성 되었는지 확인 합니다.

    Get-AzureRmKeyVault -VaultName <vaultname> | fl

    부드러운 delete 키 볼트를 올바르게 구성 되었는지, Soft Delete Enabled? 속성 True 값을 반환 합니다.

키를 만들거나 키 가져오는 하 여 키 볼트 중 하나에 추가

두 가지 방법으로 Azure 키 보관소, 하 키를 추가 하려면 키를 키 볼트에 직접 만들거나 키를 가져올 수 있습니다. 키 볼트에 직접 키를 만드는 키를 생성 하는 방법을 제어할 총 키 가져오는 제공 하는 동안 덜 복잡 한 방법입니다.

주요 보관소에서 직접 키를 만들려면 추가 AzureKeyVaultKey cmdlet을 다음과 같이 실행.

Add-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname> -Destination <HSM|Software> -KeyOps wrapKey,unwrapKey

여기서,

  • vaultname 키를 만들려면 원하는 키 보관소의 이름입니다.

  • 키 이름 에 새 키를 제공 하려는 이름입니다.

    팁: 주요 보관소 위에 설명 된 대로 유사한 명명 규칙을 사용 하 여 키 이름을 지정 합니다. 이 방법으로 키 이름이 표시 되는 도구에서 문자열은 자체 설명 합니다.

  • HSM 사용 하 여 키를 보호 하려면 경우 소프트웨어 그렇지 않으면 지정 HSMDestination 매개 변수 값으로 지정 해야 합니다.

예를 들어,

Add-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination Software -KeyOps wrapKey,unwrapKey

주요 보관소에 직접 키를 가져오려면 Thales nShield 하드웨어 보안 모듈이 필요 합니다.

일부 조직 선호 provenance 해당 키와이 설정 하려면이 방법을 사용 방법을 다음 나와 있습니다.

  • 가져오기에 사용 되는 도구 집합 생성 키를 암호화 하는 데 사용 되는 키 Exchange 키 (KEK)를 내보낼 수 Thales에서 증명을 포함 하 고 Thales 하 여 제조 된는 정품 HSM 안에 생성 됩니다.

  • 도구 집합 Azure 키 보관소 보안 세계 Thales에서 제조 정품 HSM에서 만든 Thales에서 증명 포함 되어 있습니다. 이 증명 Microsoft 정품 Thales 하드웨어 사용도을 증명 합니다.

위의 attestations 필요한를 확인 하려면 보안 그룹을 확인 합니다. 한 키 온-프레미스 만들고 키 보관소 가져오기 자세한 단계 생성 및 Azure 키 보관소에 대 한 HSM 암호로 보호 된 키를 전송 하는 방법을 참고 합니다. 각 키 볼트에 키를 만들려면 Azure 지침을 사용 합니다.

키 복구 수준 확인

Office 365 Azure 키 보관소 구독 취소 하지 않으면로 설정 되어 있고 고객 키로 사용 되는 키 활성화 부드러운 삭제가 필요 합니다. 키의 복구 수준에서 검색 하 여이 확인할 수 있습니다.

복구 수준의 Azure powershell에서 키를 확인 하려면 Get AzureKeyVaultKey cmdlet을 다음과 같이 실행 합니다.

(Get-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname>).Attributes 

Recovery Level 속성이 복구할 수 있는 + ProtectedSubscription 값을 제외한 모든 항목을 반환 해야 하는이 항목을 검토 하 고 구독 취소 하지 않으면 목록에 배치 하는 단계를 모두 수행 하 고 있는지 확인 부드러운 삭제 각 키 보관소에서 사용 하도록 설정 합니다.

백업 Azure 키 볼트

바로 키, 만들기 또는 변경 된 다음 백업을 수행 하 고 온라인 및 오프 라인 백업 복사본을 저장 합니다. 오프 라인 복사본 해야에 연결 되어 있지 모든 네트워크와 같은 실제 안전 또는 상용 저장소 시설에 있습니다. 하나 이상의 백업 복사본은 장애가 발생할 경우 액세스할 수 있는 위치에 저장 합니다. 백업 blob은 키 보관소 키를 영구적으로 삭제 하거나 해야 작동 하지 않는 렌더링 되 고 그렇지 않으면 키 자료를 복원 하는 유일한 수단입니다. 외부 Azure 키 보관소에 표시 되 고 Azure 키 보관소로 가져온 키 고객 키 키를 사용 하는 데 필요한 메타 데이터 외부 키와 함께 없기 때문에 백업으로 해결할 수 없는 합니다. Azure 키 보관소에서 가져온 백업만 고객 키로 복원 작업에 대해 사용할 수 있습니다. 따라서 반드시 키를 업로드 하거나 만든 후 Azure 키 보관소 백업을 만들 수 있습니다.

Azure 키 보관소 키의 백업을 만들려면 다음과 같이 백업 AzureKeyVaultKey cmdlet을 실행 합니다.

Backup-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname> 
-OutputFile <filename.backup>

출력 파일 .backup접미사 사용 하는지 확인 합니다.

이 cmdlet의 결과 출력 파일 암호화 되 고 Azure 키 보관소 외부에서 사용할 수 없습니다. 백업은 백업을 수행한 Azure 구독에만 복원할 수 있습니다.

팁: 출력 파일에 대 한 보관소 이름과 키 이름의 조합을 선택 합니다. 이 파일 이름 자체를 설명 하는 변경 됩니다. 또한 백업 파일 이름 충돌 하지 않도록 확인 합니다.

예를 들면 다음과 같습니다.

Backup-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -OutputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Azure 키 보관소 구성 설정을 확인합니다

선택 사항 이지만 권장 되는 DEP에 키를 사용 하기 전에 유효성 검사를 수행 합니다. 특히 설정 키와 보관소가이 항목에서 설명한 것 이외의 다른 단계를 사용 하는 경우 고객 키를 구성 하기 전에 Azure 키 보관소 리소스의 상태를 확인 해야 합니다.

키 활성화 get, wrapKey, unwrapKey 작업 있는지 확인 합니다.

다음과 같이 Get AzureRmKeyVault cmdlet을 실행 합니다.

Get-AzureRMKeyVault -VaultName <vaultname>

출력을 적절 하 게 액세스 정책에 대 한 Exchange Online id (GUID) 또는 SharePoint Online id (GUID)에 대 한를 찾습니다. 위의 권한 세 명 키로 사용 권한 아래에서 표시 되어야 합니다.

액세스 정책 구성 올바르지 않으면 다음과 같은 방법으로 집합 AzureRmKeyVaultAccessPolicy cmdlet을 실행 합니다.

Set-AzureRmKeyVaultAccessPolicy –VaultName <vaultname> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

Exchange Online 및 비즈니스용 Skype 예를 들어:

Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365EX-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

SharePoint Online 및 비즈니스용 OneDrive 예를 들어:

Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365SP-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName TBD

키에 대 한 만료 날짜 설정 되어 있지 않은지 확인 합니다.

다음과 같이 Get AzureKeyVaultKey cmdlet을 실행 합니다.

Get-AzureKeyVaultKey -VaultName <vaultname> 

고객 키 만료 된 키를 사용할 수 없습니다 및 만료 키 시도 하는 작업은 실패 하 고 서비스 중단 될 수 있습니다. 고객 키와 함께 사용 되는 키 만료 날짜 없는 것이 좋습니다. 만료 날짜를 집합을 제거할 수 없는 되지만 다른 날짜를 변경할 수 있습니다. 키를 사용 해야 만료 날짜 설정 된 경우 만료 값 9999-12-31로 변경 합니다. 만료 날짜와 함께 키 12/31/9999 Office 365 유효성 검사를 통과 하지 못합니다 외에 다른 날짜를 설정 합니다.

12-31/9999 이외의 다른 값으로 설정 된 만료 날짜를 변경 하려면 다음과 같이 집합 AzureKeyVaultKeyAttribute cmdlet을 실행 합니다.

Set-AzureKeyVaultKeyAttribute –VaultName <vaultname> -Name <keyname> 
-Expires (Get-Date -Date “12/31/9999”)

경고: 고객 키와 함께 사용 하 여 암호화 키에 대해 만료 날짜를 설정 하지 마십시오.

각 Azure 키 보관소 키에 대 한 URI를 얻으려면

Azure 키 보관소 설정에서 모든 단계를 완료 하 고 키 추가 되 면 각 키 볼트에 키에 대 한 URI를 다음 명령을 실행 합니다. 이러한 사용 해야 하는 Uri 만들어 두었다가 나중에 각 DEP 할당 안전한 장소에 있으므로이 정보를 저장 합니다. 각 키 보관소에 대해 한 번만이 명령을 실행 해야 합니다.

Azure powershell:

(Get-AzureKeyVaultKey -VaultName <vaultname>).Id

Office 365: Exchange Online 및 비즈니스용 Skype에 대 한 고객 키를 설정합니다.

시작 하기 전에 Azure 키 볼트를 설정 하는 데 필요한 작업을 완료 했는지 확인 합니다. 자세한 내용은 Azure 키 보관소 및 고객 키에 대 한 Microsoft FastTrack의 완료 작업 을 참조 합니다.

Exchange Online 및 비즈니스용 Skype에 대 한 고객 키를 설정 하려면 원격으로 Windows PowerShell을 사용한 Exchange Online에 연결 하 여 이러한 단계를 수행 해야 합니다.

비즈니스에 대 한 Exchange Online 및 Skype와 함께 사용에 대 한 데이터 암호화 정책 (DEP) 만들기

한 DEP Azure 키 볼트에 저장 된 키 집합에 연결 됩니다. Office 365에서 사서함에는 DEP를 할당합니다. 다음 office 365의 정책에서 식별 되는 키를 사용 하 여 사서함 암호화 됩니다. DEP를 만들려면 이전에 가져온 키 보관소 Uri 필요 합니다. 지침은 Azure 키 보관소 키에 대 한 URI 구하기 를 참조 하십시오.

해야 합니다. DEP를 만들 때 두 개의 다른 Azure 키 보관소에 상주 하는 두 개의 키를 지정 합니다. 이러한 키 지리 중복 하 여 두 개의 별도 Azure 영역에 있는 확인 합니다.

DEP를 만들려면 다음이 단계를 따릅니다.

  1. 로컬 컴퓨터에 Windows PowerShell을 열고 다음 명령을 실행 하 여 Exchange Online PowerShell에 연결 하 여 Office 365 조직에서 전역 관리자 권한이 있는 회사 또는 학교 계정을 사용 합니다.

    $UserCredential = Get-Credential
  2. Windows PowerShell 자격 증명을 요청 대화 상자에서 입력 회사 또는 학교 계정 정보, 확인을 클릭 하 고 다음 명령을 입력 합니다.

    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
  3. 다음 명령을 실행합니다.

    Import-PSSession $Session
  4. 한 DEP를 만들려면 다음 명령을 입력 하 여 새 DataEncryptionPolicy cmdlet을 사용 합니다.

    New-DataEncryptionPolicy -Name <PolicyName> -Description "PolicyDescription" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>

    여기서,

    • PolicyName 정책에 대해 사용 하려는 이름입니다. 이름은 공백을 포함할 수 없습니다. 예를 들어 USA_mailboxes 합니다.

    • PolicyDescription 에 정책이 기억 하는 데 도움이 되는 정책 사용자가 친숙 한 설명입니다. 설명에 공백을 포함할 수 있습니다. 미국 및 해당 지역에서 사서함에 대 한 키를 루트 예를 들어 있습니다.

    • KeyVaultURI1 정책에서 첫 번째 키에 대 한 URI입니다. 예를 들어 https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01 합니다.

      KeyVaultURI2 정책에서 두 번째 키에 대 한 URI입니다. 예를 들어 https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02 합니다. 쉼표와 공백으로 하 여 두 Uri를 구분 합니다.

예:

New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02

사서함에는 DEP 할당

집합 사서함 cmdlet을 사용 하 여 사서함에 있는 DEP를 할당 합니다. Office 365 사서함의 종속에 지정 된 키와 함께 암호화 수 정책을 할당 하면

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

여기서 MailboxIdParameter 사서함을 지정 합니다. 집합 사서함 cmdlet에 대 한 자세한 내용은 집합 사서함을 참조 합니다.

사서함 암호화 유효성 검사

사서함에 암호화 다소 시간이 걸릴 수 있습니다. 처음 정책 할당에 대 한 사서함도 완료 해야 하나의 데이터베이스에서 다른 위치로 이동 서비스 사서함을 암호화할 수 있습니다.

72 시간이 DEP를 변경 하거나 처음으로 DEP에 게 할당 하면 사서함 후 암호화 유효성을 검사 하기 전에 대기 하는 것이 좋습니다.

사서함에 암호화 하는 경우를 확인 하려면 Get MailboxStatistics cmdlet을 사용 합니다.

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

IsEncrypted 속성 사서함 암호화 되지 않은 경우 true 일 경우 사서함 암호화 되어 값과 값이 false 를 반환 합니다.

사서함 이동을 완료 하기 위해 시간 사서함 크기 뿐 아니라 처음으로 DEP 배정할 사서함의 수에 따라 달라 집니다. 사서함의 DEP 할당 된 시점부터 일주일 후 암호화 되지 않으므로 새로 MoveRequest cmdlet을 사용 하 여 암호화 되지 않은 사서함의 사서함 이동을 시작 합니다.

New-MoveRequest <mailbox alias>

Office 365: SharePoint Online 및 OneDrive for Business 고객 키를 설정합니다.

시작 하기 전에 Azure 키 볼트를 설정 하는 데 필요한 작업을 완료 했는지 확인 합니다. 자세한 내용은 Azure 키 보관소 및 고객 키에 대 한 Microsoft FastTrack의 완료 작업 을 참조 합니다.

SharePoint Online 및 OneDrive for Business 고객 키를 설정 하려면 원격으로 Windows PowerShell을 사용한 SharePoint Online에 연결 하 여 이러한 단계를 수행 해야 합니다.

비즈니스 지리에 대 한 각 SharePoint Online 및 OneDrive에 대 한 데이터 암호화 정책 (DEP) 만들기

한 DEP Azure 키 볼트에 저장 된 키 집합에 연결 됩니다. 모든 라고도 함에 지리 한 지리적 위치에서 데이터에는 DEP 적용 됩니다. (현재 미리 보기)에서 Office 365의 다중 지리 기능을 사용 하는 경우 지리 당 하나의 DEP 만들 수 있습니다. 다중 지리를 사용 하지 않는 경우 Business 용 SharePoint Online 및 OneDrive와 함께 사용에 대 한 Office 365의 한 DEP를 만들 수 있습니다. 다음 office 365의 DEP에서 식별 되는 키를 사용 하 여 해당 지리 데이터 암호화 됩니다. DEP를 만들려면 이전에 가져온 키 보관소 Uri 필요 합니다. 지침은 Azure 키 보관소 키에 대 한 URI 구하기 를 참조 하십시오.

해야 합니다. DEP를 만들 때 두 개의 다른 Azure 키 보관소에 상주 하는 두 개의 키를 지정 합니다. 이러한 키 지리 중복 하 여 두 개의 별도 Azure 영역에 있는 확인 합니다.

한 DEP를 만들려면 원격으로 Windows PowerShell을 사용 하 여 SharePoint Online에 연결 해야 합니다.

  1. 로컬 컴퓨터에 SharePoint Online Powershell에 연결하 여 Office 365 조직에서 전역 관리자 권한이 있는 회사 또는 학교 계정을 사용 합니다.

  2. Microsoft SharePoint Online 관리 셸, Register SPODataEncryptionPolicy cmdlet 다음과 같이 실행:

    Register-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>

    DEP를 등록할 때는 암호화는 지리 데이터에 시작 됩니다. 이 다소 시간이 걸릴 수 있습니다.

암호화 그룹 사이트, 팀 사이트, 비즈니스용 OneDrive의 유효성을 검사합니다

다음과 같이 Get SPODataEncryptionPolicy cmdlet을 실행 하 여 암호화의 상태를 확인할 수 있습니다.

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

이 cmdlet 출력 포함 되어 있습니다.

  • 기본 키의 URI입니다.

  • URI 보조 키입니다.

  • 지리에 대 한 암호화 상태입니다. 가능한 상태 다음과 같습니다.

    • 등록 되지 않은: 고객 키 암호화 아직 적용 되지 않았습니다.

    • 등록 하는 중: 고객 키 암호화를 적용 하 고 암호화 되는 파일입니다. 에 지리가이 상태인 경우 있습니다 됩니다 표시 될 수도 정보 암호화 진행 상황을 모니터링할 수 있도록 완료 되는 지리적 사이트의 완료율입니다.

    • 등록: 고객 키 암호화가 적용 한 모든 사이트의 모든 파일을 암호화 합니다.

    • 이동: 주요 앨범 진행 중입니다. 사용자 지리가이 상태인 경우 하면 수 표시 될 수도 정보 진행 상황을 모니터링할 수 있도록 사이트의 완료율 키 앨범 작업을 완료 한 합니다.

Office 365에 대 한 고객 키 관리

고객 키에서 Office 365에 대해 설정한 후에 다음과 같은 추가 관리 작업을 수행할 수 있습니다.

Azure 키 보관소 키 복원

복원을 수행 하기 전에 부드러운 삭제 하 여 제공 된 복구 기능을 사용 합니다. 고객 키와 함께 사용 되는 모든 키는 부드러운 삭제 사용 하도록 설정 해야 합니다. 부드러운 삭제 휴지통 처럼 작동 하 고 복원 하려면 사용 하지 않고 최대 90 일 동안 복구 있습니다. 복원 익스트림 또는 특이 한 경우 예를 들어 키 또는 키 보관소 손실 된 경우에 받아야 합니다. 고객 키와 함께 사용에 대 한 키를 복원 해야 하는 경우 Azure powershell에서 cmdlet을 실행 복원 AzureKeyVaultKey 다음과 같습니다.

Restore-AzureKeyVaultKey -VaultName <vaultname> -InputFile <filename>

예를 들면 다음과 같습니다.

Restore-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

키 볼트에 같은 이름의 키가 이미 있는 경우 복원 작업이 실패 합니다. 복원 AzureKeyVaultKey 모든 주요 버전 및 키 이름을 포함 하 여 키에 대 한 모든 메타 데이터를 복원 합니다.

롤백 또는 고객 키와 함께 사용 된 자격 증명 Azure 키 모음에서 키 회전

키를 이동 하거나 Azure 키 보관소 또는 고객 키 필요 하지 않습니다. 또한 HSM로 보호 되는 키 사실상 불가능 손상 되지 않습니다. 루트 키 악의적인 행위자 소유에서 경우에 없는 적절 한 방법을 사용 하 여 Office 365 코드만 사용 하는 방법을 알고 있으므로 데이터를 해독 하는 합니다. 그러나 키 이동 고객 키로 지원 됩니다.

경고: 

  • 지우기 기술 이유 존재 하지 않거나 규정 준수 요구 사항을 결정 키 요술 해야 하는 경우 고객 키와 함께 사용 하는 암호화 키를 요술만 합니다. 또한 추가 되거나 정책와 연결 된 키를 삭제 하지 마십시오. 때 키, 있는 마법 요술 콘텐츠 암호화 이전 키를 사용 합니다. 예를 들어 활성 사서함을 다시 암호화할 자주, 비활성, 동안 이전 키와는 암호화 끊어지고 비활성화 된 사서함 될 수 있습니다. SharePoint Online 백업을 수행 콘텐츠의 복원 및 복구 용도 대 한 이전 키를 사용 하 여 보관 된 콘텐츠 수 있도록 합니다.

  • 데이터 보안을 보장 하려면 SharePoint Online 하면 개 이상의 키 요술 작업 진행 상황에서을 한 번에 있습니다. 첫 번째 키 앨범 작업이 될 때까지 대기 해야 키 볼트에 모두 키 요술 하려는 경우 완벽 하 게 완료 합니다. 것을 권장 다른 간격으로 주요 앨범 작업을 분산는 문제가 되지 않습니다.

키를 요술 때 새 버전의 기존 키를 요청 합니다. 기존 키의 최신 버전을 요청 하려면 키를 처음부터 만드는 데 사용 된 동일한 구문을 사용 하 여 추가 AzureKeyVaultKey동일한 cmdlet을 사용 합니다.

예를 들면 다음과 같습니다.

Add-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @(‘wrapKey’,’unwrapKey’) -NotBefore (Get-Date -Date “12/27/2016 12:01 AM”)

이 예제에서는 Contoso-O365EX-NA-VaultA1-Key001 이름이 이미 키 O365EX NA VaultA1 Contoso 볼트에 없으므로 새 키 버전이 만들어집니다. 새 키 버전을 추가 하는 작업입니다. 이 작업이 해당 키를 사용 하 여 이전에 암호화 데이터 여전히 해독할 수 있도록 키의 버전 기록에서 키 이전 버전을 유지 합니다. 한 DEP와 연결 된 키 이동 완료 되 면 새 키를 사용 하 여 고객 키 시작 추가 cmdlet 다음 실행 해야 합니다.

Exchange Online 및 비즈니스용 Skype 요술 또는 Azure 키 보관소에서 키 회전 한 후 새 키를 사용 하 여 사용 하도록 설정

요술 중 한 가지 비즈니스 Exchange Online 및 Skype 사용 하는 한 DEP와 관련 된 Azure 키 보관소 키를는 DEP 업데이트 하 고 새 키 사용을 시작 하려면 Office 365를 사용 하도록 설정 하려면 다음 명령을 실행 해야 합니다.

고객 키 새 키를 사용 하 여 암호화를 지시 하 Office 365에서 사서함 다음과 같이 집합 DataEncryptionPolicy cmdlet을 실행 합니다.

Set-DataEncryptionPolicy <policyname> -Refresh 

48 시간 안에 활성 사서함이이 정책을 사용 하 여 암호화 된 업데이트 된 키와 관련 될 것입니다. 사서함에 할당 된 DEP 확인 단계를 사용 하 여 사서함에 대 한 DataEncryptionPolicyID 속성에 대 한 값을 확인 합니다. 업데이트 된 키 적용 되 면이 속성에 대 한 값이 변경 됩니다.

SharePoint Online 및 비즈니스용 OneDrive 요술 또는 Azure 키 보관소에서 키 회전 한 후 새 키를 사용 하 여 사용 하도록 설정

요술 중 한 가지 비즈니스 SharePoint Online 및 OneDrive 사용 하는 한 DEP와 관련 된 Azure 키 보관소 키를는 DEP 업데이트 하 고 새 키 사용을 시작 하려면 Office 365를 사용 하도록 설정 하려면 업데이트 SPODataEncryptionPolicy cmdlet을 실행 해야 합니다.

Update-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

SharePoint Online 및 비즈니스용 OneDrive에 대 한 키 앨범 작업을 시작 됩니다. 이 작업은 즉시 없습니다. 작업을 겹쳐서 키의 진행 상황을 보려면 Get SPODataEncryptionPolicy cmdlet을 다음과 같이 실행.

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

주요 보관소 사용 권한 관리

여러 cmdlet을 사용할 수 있도록을 보고 하 고 필요한 경우 키 보관소 사용 권한을 제거 합니다. 사용 권한, 예를 들어 직원이 떠나는 팀 제거 해야 할 수 있습니다.

주요 보관소 사용 권한을 보려면 Get AzureRmKeyVault cmdlet을 실행:

Get-AzureRmKeyVault -VaultName <vaultname>

예를 들면 다음과 같습니다.

Get-AzureRmKeyVault -VaultName Contoso-O365EX-NA-VaultA1

관리자의 사용 권한을 제거 하려면 제거 AzureRmKeyVaultAccessPolicy cmdlet을 실행 합니다.

Remove-AzureRmKeyVaultAccessPolicy -VaultName <vaultname> 
-UserPrincipalName <UPN of user>

예를 들면 다음과 같습니다.

Remove-AzureRmKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
-UserPrincipalName alice@contoso.com

사서함에 할당 된 DEP 결정

사서함에 할당 된 DEP를 확인 하려면 Get MailboxStatistics cmdlet을 사용 합니다. Cmdlet 고유 식별자 (GUID)을 반환합니다.

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID

여기서 GeneralMailboxOrMailUserIdParameter 사서함을 지정 합니다. Get MailboxStatistics cmdlet에 대 한 자세한 내용은 Get MailboxStatistics을 참조 하십시오.

GUID를 사용 하 여 다음 cmdlet을 실행 하 여 사서함을 배정 하는 DEP의 이름을 확인 합니다.

Get-DataEncryptionPolicy <GUID>

여기서 GUID 는 이전 단계에서 Get MailboxStatistics cmdlet 반환한 GUID입니다.

Office 기술 확장
교육 살펴보기
새로운 기능 우선 가져오기
Office Insider 참여

이 정보가 유용한가요?

의견 주셔서 감사합니다!

피드백을 주셔서 감사합니다. Office 지원 에이전트와 연락하는 것이 도움이 될 것 같습니다.

×