Controlando seus dados no Office 365 usando a chave do cliente

Observação:  Desejamos fornecer o conteúdo da Ajuda mais recente no seu idioma da forma mais rápida possível. Esta página foi traduzida de forma automatizada e pode conter imprecisões ou erros gramaticais. Nosso objetivo é que este conteúdo seja útil para você. As informações foram úteis? Dê sua opinião no final desta página. Aqui está o artigo em inglês para facilitar a referência.

Com chave de cliente, você chaves de criptografia da sua organização de controle e configurar o Office 365 para usá-los para criptografar seus dados inativos em centros de dados da Microsoft. Dados inativos incluem dados do Exchange Online e do Skype para empresas que são armazenadas em caixas de correio e arquivos que estão armazenados no SharePoint Online e OneDrive for Business.

Você deve configurar Azure antes de poder usar chave do cliente para o Office 365. Este tópico descreve as etapas que necessárias para criar e configurar os recursos necessários do Azure e, em seguida, fornece as etapas de configuração de chave de cliente no Office 365. Após concluir a instalação Azure, determinar qual diretiva e, portanto, quais teclas, para atribuir a caixas de correio e arquivos em sua organização. Caixas de correio e arquivos para o qual você não atribuir uma política usará diretivas de criptografia que são controladas e gerenciadas pela Microsoft. Para obter mais informações sobre a chave do cliente ou para obter uma visão geral, consulte o chave do cliente para perguntas Frequentes do Office 365.

Importante: É altamente recomendável que você siga as práticas recomendadas neste tópico. Estes são chamados check-out como Dica e importante. Cliente chave lhe dá controle sobre chaves de criptografia de raiz cujo escopo pode ser tão grande quanto toda a sua organização. Isso significa que cometidos com estas teclas podem ter um impacto amplo e podem resultar em interrupções de serviço ou perda irreversível dos seus dados.

Antes de começar a configurar a chave do cliente

Antes de começar, certifique-se de que você tem o licenciamento apropriado para sua organização. Chave de cliente no Office 365 é oferecida no Office 365 E5 ou o SKU de conformidade avançadas.

Em seguida, para compreender os conceitos e procedimentos neste tópico, você deve examinar a documentação do Azure chave cofre . Além disso, se familiarizar com os termos usados no Azure, por exemplo, locatário.

Visão geral da configuração de chave do cliente para o Office 365

Para configurar a chave do cliente que você concluirá essas tarefas. O restante deste tópico fornece instruções detalhadas para cada tarefa ou links check-out para obter mais informações para cada etapa no processo.

No Azure e Fasttrackhttp da Microsoft:   

Você concluirá maioria dessas tarefas conectando-se remotamente ao PowerShell do Azure. Para obter melhores resultados, use versão 4.4.0 ou posterior do PowerShell do Azure.

No Office 365:   

Exchange Online e o Skype para empresas:

SharePoint Online e o SkyDrive Pro:

Concluir tarefas no cofre de chave do Azure e Microsoft Fasttrackhttp para chave do cliente

Execute estas tarefas no cofre de chave do Azure para configurar a chave do cliente para o Office 365. Você precisará concluir essas etapas, independentemente se você pretende configurar chave cliente do Exchange Online e Skype para Business ou do SharePoint Online e OneDrive for Business ou para todos os serviços com suporte no Office 365.

Criar duas novas assinaturas Azure

Duas assinaturas Azure são necessárias para chave cliente. Como prática recomendada, recomendamos que você crie novas assinaturas Azure para uso com chave cliente. Teclas de chave cofre Azure só podem ser autorizadas para aplicativos no mesmo locatário Azure Active Directory (AAD), você deve criar as novas assinaturas usando o mesmo locatário Azure AD usado com a sua organização do Office 365 onde os DEPs serão atribuídas. Por exemplo, usando sua conta corporativa ou de estudante que tem privilégios de administrador global em sua organização do Office 365. Para obter etapas detalhadas, consulte Inscreva-se no Azure como uma organização.

Importante: 

  • Chave de cliente requer dois fatores essenciais para cada diretiva de criptografia de dados (DEP). Para fazer isso, você deve criar duas assinaturas do Azure. Como prática recomendada, a Microsoft recomenda que você tenha separados membros de sua organização configure uma chave em cada assinatura. Além disso, essas assinaturas Azure só devem ser usadas para administrar chaves de criptografia para o Office 365. Isso protege sua organização no caso de um dos seus operadores acidentalmente, intencionalmente ou proposital exclui ou caso contrário mismanages as chaves para os quais eles são responsáveis.

  • Recomendamos que você configure novas assinaturas Azure exclusivamente usados para gerenciar recursos do Azure chave cofre para uso com chave de clientes. Não há nenhum limite prático para o número de assinaturas do Azure que você pode criar para sua organização. Seguindo essas práticas recomendadas minimizará o impacto de erros humanos e ajudar a gerenciar os recursos usados pela chave cliente.

Enviar uma solicitação para ativar chave do cliente do Office 365 através do Microsoft Fasttrackhttp

Após concluir as etapas Azure, você precisará enviar uma solicitação de oferta no portal do Microsoft Fasttrackhttp. Quando você envia sua solicitação por meio de Fasttrackhttp, Microsoft verifica a configuração de Cofre de chave do Azure e coleta informações de contato importantes de que precisaremos se você optar por revogar o acesso do Office 365 a suas chaves. Você precisará concluir esta etapa uma vez para ativar a chave de clientes do Exchange Online e Skype para cobertura de negócios e uma vez ativar a chave de clientes do SharePoint Online e OneDrive for Business.

Para enviar uma oferta para ativar chave do cliente, conclua estas etapas:

  1. Usando uma conta corporativa ou de estudante que tenha permissões de administrador global em sua organização do Office 365, faça logon no portal do Microsoft Fasttrackhttp.

  2. Depois que você está conectado, navegue até o Painel de controle.

  3. Escolha oferece e examine a lista de ofertas atuais.

  4. Escolha Saber mais para a oferta que se aplicam a você:

    • Exchange Online e o Skype para empresas: Escolha Saber mais sobre a oferta de Chave do cliente para o Exchange.

    • Do SharePoint Online e OneDrive for Business: Escolheu Saber mais sobre a oferta de Chave do cliente para o SharePoint e OneDrive for Business.

  5. Na página detalhes da oferta, escolha Criar solicitação.

  6. Preencha todas as informações solicitadas no formulário de oferta e detalhes aplicáveis e escolha Enviar.

    Após enviar o formulário de oferta, aguarde até que a Microsoft notifica de que você possa continuar. Esse processo pode levar até cinco dias úteis depois Microsoft foi notificado da solicitação.

Registrar assinaturas do Azure para usar um período de retenção obrigatória

A perda permanente ou temporária raiz de chaves de criptografia pode ser muito interrupções ou até mesmo grave a operação de serviço e pode resultar em perda de dados. Por esse motivo, os recursos usados com chave cliente exigem proteção forte. Todos os recursos Azure que são usados com chave de clientes oferecem mecanismos de proteção além da configuração padrão. Assinaturas do Azure podem ser marcadas ou registradas de uma forma que impedirá imediato e irrevogável cancelamento. Isso é conhecido como registrar para um período de retenção obrigatória. As etapas necessárias para registrar assinaturas do Azure para um período de retenção obrigatória exigem colaboração com a equipe do Office 365. Esse processo pode levar de um a cinco dias úteis. Anteriormente, isso era às vezes conhecido como "Não cancelar".

Antes de contatar a equipe do Office 365, você deve executar as seguintes etapas para cada assinatura Azure que você usa com chave cliente:

  1. Faça logon em sua assinatura do Azure com o PowerShell do Azure. Para obter instruções, consulte fazer logon com Azure PowerShell.

  2. Execute o cmdlet AzureRmProviderFeature Register para registrar suas assinaturas para usar um período de retenção obrigatória.

    Register-AzureRmProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources
  3. Contate a Microsoft para que o processo finalizado. Para o SharePoint e OneDrive para a equipe de negócios, contate spock@microsoft.com. Para o Exchange Online e Skype para empresas, contate exock@microsoft.com. O contrato de nível de serviço (SLA) para conclusão deste processo é cinco dias úteis depois que a Microsoft foi notificado (e verificou) que você registrou suas assinaturas para usar um período de retenção obrigatória.

  4. Quando você receber notificação da Microsoft que registro está concluído, verificar o status do seu registro executando o cmdlet Get-AzureRmProviderFeature da seguinte maneira:

    Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Resources -FeatureName mandatoryRetentionPeriodEnabled
  5. Depois de verificar que a propriedade de Estado do registro do cmdlet Get-AzureRmProviderFeature retorna um valor registrado, execute o seguinte comando para concluir o processo:

    Register-AzureRmResourceProvider -ProviderNamespace "Microsoft.KeyVault"

Criar um premium Azure chave cofre em cada assinatura

As etapas para criar um cofre chave estão documentadas na Introdução ao Azure chave cofre, que orienta você por meio de instalação e inicialização Azure PowerShell, conectar-se à sua assinatura do Azure, criando um grupo de recursos, e Criando um cofre chave desse grupo de recursos.

Quando você cria um cofre chave, você deve escolher uma SKU: Standard ou Premium. O SKU padrão permite teclas de Cofre de chave do Azure para ser protegidos com o software – não há nenhuma proteção de chave do módulo de segurança de Hardware (HSM) – e o SKU Premium permite o uso de HSMs para proteção de chaves de chave cofre. Chave de cliente aceita compartimentos chaves que usam o SKU, embora a Microsoft recomenda que você use somente o SKU Premium. O custo das operações com chaves de qualquer tipo é o mesmo, portanto, a única diferença no custo é o custo por mês para cada chave protegidos por HSM. Consulte chave cofre preços para obter detalhes.

Importante: Use as setas de protegidos por HSM e compartimentos de chave Premium SKU para dados de produção e use somente compartimentos de chave SKU padrão e teclas para fins de testes e validação.

Para cada serviço do Office 365 com o qual você usará chave cliente, crie um cofre chave em cada uma das duas assinaturas Azure que você criou. Por exemplo, para o Exchange Online e no Skype for Business somente ou SharePoint Online e OneDrive for Business somente, você criará somente um par de compartimentos. Para habilitar a chave do cliente para o Exchange Online e o SharePoint Online, você irá criar dois pares de chaves compartimentos.

Use uma convenção de nomenclatura para compartimentos chaves que reflita o uso pretendido a DEP com a qual você associará os compartimentos. Consulte a seção de práticas recomendadas abaixo para recomendações de convenção de nomenclatura.

Crie um conjunto separado e par de compartimentos para cada diretiva de criptografia de dados. Para o Exchange Online, o escopo de uma política de criptografia de dados é escolhido por você quando você atribui a política de caixa de correio. Uma caixa de correio pode ter apenas uma diretiva atribuída, e você pode criar políticas de até 50. Para o SharePoint Online o escopo de uma política é todos os dados dentro de uma organização em localização geográfica ou localização geográfica.

A criação de compartimentos chaves também requer a criação de grupos de recursos Azure, pois compartimentos chaves precisam de capacidade de armazenamento (embora muito pequeno) e Cofre de chave do registro em log, se habilitada, também gera dados armazenados. Como uma prática recomendada Recomendamos utilizar administradores separados para gerenciar cada grupo de recursos, com a administração alinhada com o conjunto de administradores que gerenciará todos os recursos de chave cliente relacionados.

Importante: 

  • Para maximizar a disponibilidade, sua chaves compartimentos devem ser em regiões Fechar para seu serviço do Office 365. Por exemplo, se sua organização do Exchange Online for na América do Norte, coloque sua chaves compartimentos na América do Norte. Se sua organização do Exchange Online for na Europa, coloque sua chaves compartimentos na Europa.

  • Usar um prefixo comum para compartimentos chaves e incluir uma abreviação do uso e escopo do cofre chave e teclas (por exemplo, para o serviço de Contoso SharePoint onde os compartimentos serão localizados na América do Norte, um par de possível de nomes é Contoso-O365SP-ND-VaultA1 e Contoso-O365SP-ND-VaultA2. Nomes de compartimento são cadeias de caracteres exclusivas dentro do Azure, para que você talvez precise experimentar variações de seus nomes desejados caso os nomes desejados já são solicitados por outros clientes do Azure. A partir de julho de 2017 cofre nomes não podem ser alterados, portanto é uma prática recomendada ter um plano por escrito para configuração e usar uma segunda pessoa para verificar que o plano é executado corretamente.

  • Se possível, crie sua compartimentos em regiões não par. Regiões Azure pares fornecem alta disponibilidade em domínios de falha de serviço. Portanto, pares regionais podem ser considerados região backup uns dos outros. Isso significa que um recurso Azure que é colocado em uma região automaticamente está obtendo tolerância através da região par. Por esse motivo, escolhendo regiões para dois compartimentos usados em um DEP onde as regiões são pares significa que apenas um total de duas regiões de disponibilidade estão em uso. Maioria das regiões só tem duas regiões, por isso ainda não é possível selecionar regiões não par. Se possível, escolha duas regiões não par para os dois compartimentos usados com um DEP. Isso benefícios de um total de quatro regiões de disponibilidade. Para obter mais informações, consulte desastre e continuidade de negócios recuperação (BCDR): Azure par regiões para obter uma lista atual de pares regionais.

Atribuir permissões a cada compartimento chave

Para cada compartimento chave, você precisará definir três conjuntos de permissões para chave de clientes, dependendo de sua implementação separados. Por exemplo, você precisará definir um conjunto de permissões para cada um dos seguintes procedimentos:

  • Administradores de Cofre de chave que executará o gerenciamento diário de seu cofre chave para sua organização. Essas tarefas incluem backup, criar, obtém, importar, lista e restaurar.

    Importante: O conjunto de permissões atribuído a administradores de chave cofre não inclui a permissão para excluir chaves. Isso é intencional e uma prática importante. Excluindo chaves de criptografia não geralmente é feito, pois fazendo assim permanentemente destrói dados. Como prática recomendada, não conceda essa permissão para administradores do cofre chave por padrão. Em vez disso, reserve essa para colaboradores cofre chave e apenas atribuí-la a um administrador em uma base de curto prazo após uma compreensão clara das consequências é compreendida.

    Para atribuir essas permissões a um usuário em sua organização do Office 365, faça logon em sua assinatura do Azure com o PowerShell do Azure. Para obter instruções, consulte fazer logon com Azure PowerShell.

  • Execute o cmdlet Set-AzureRmKeyVaultAccessPolicy para atribuir as permissões necessárias.

    Set-AzureRmKeyVaultAccessPolicy -VaultName <vaultname> 
    -UserPrincipalName <UPN of user> -PermissionsToKeys create,import,list,get,backup,restore
    

    Por exemplo:

    Set-AzureRmKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
    -UserPrincipalName alice@contoso.com -PermissionsToKeys create,import,list,get,backup,restore
    
  • Os colaboradores Cofre de chave que pode alterar permissões no Azure chave cofre em si. Você precisará alterar essas permissões como funcionários deixar ou ingressar em sua equipe, ou na situação muito rara que a chave do cofre administradores legítima precisam de permissão para excluir ou restaurar uma chave. Este conjunto de colaboradores de cofre chave precisa ser concedido a função Colaborador em seu cofre chave. Você pode atribuir esta função usando o Gerenciador de recursos do Azure. Para obter etapas detalhadas, consulte Controle de acesso de Use Role-Based a gerenciar o acesso aos recursos da sua assinatura Azure. O administrador que cria uma assinatura tem esse acesso implicitamente, bem como a capacidade de atribuir a outros administradores na função Colaborador.

  • Se você pretende usar chave do cliente com o Exchange Online e o Skype for Business, você precisa dar permissão ao Office 365 para usar o cofre chave em nome do Exchange Online e no Skype for Business. Da mesma forma, se você pretende usar chave do cliente com o SharePoint Online e OneDrive para empresas, você precisa adicionar permissão para o Office 365 usar o cofre chave em nome do SharePoint Online e OneDrive for Business. Para dar permissão para o Office 365, execute o cmdlet de Set-AzureRmKeyVaultAccessPolicy usando a seguinte sintaxe:

    Set-AzureRmKeyVaultAccessPolicy –VaultName <vaultname> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

    Onde:

    • vaultname é o nome do cofre chave que você criou.

    • Para o Exchange Online e no Skype for Business, substitua appID do Office 365 com 00000002-0000-0ff1-ce00-000000000000

    • Para o SharePoint Online e OneDrive for Business, substitua appID do Office 365 com 00000003-0000-0ff1-ce00-000000000000

    Exemplo: Definindo permissões para o Exchange Online e Skype para empresas:

    Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365EX-NA-VaultA1 
    -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

    Exemplo: Definindo permissões para o SharePoint Online e OneDrive for Business

    Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365SP-NA-VaultA1 
    -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000

Habilitar e, em seguida, Confirmar exclusão suave na sua chaves compartimentos

Quando você pode recuperar rapidamente suas chaves, você está menos provável a experimentar uma interrupção de serviço estendido devido a chaves excluídas acidental ou proposital. Você precisa habilitar essa configuração, conhecida como excluir suaves, antes de poder usar suas chaves com chave de clientes. Excluir suave permite que você recuperar chaves ou compartimentos dentro de 90 dias de exclusão sem precisar restaurá-las de backup.

Para habilitar excluir suaves na sua chaves compartimentos, conclua estas etapas:

  1. Faça logon em sua assinatura do Azure com o Windows Powershell. Para obter instruções, consulte fazer logon com Azure PowerShell.

  2. Execute o cmdlet Get-AzureRmKeyVault da seguinte maneira:

    $v = Get-AzureRmKeyVault -VaultName <vaultname>
    $r = Get-AzureRmResource -ResourceId $v.ResourceId
    $r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
    Set-AzureRmResource -ResourceId $r.ResourceId -Properties $r.Properties

    Onde vaultname é o nome da chave cofre para a qual você está ativando suave exclua.

  3. Confirme a exclusão suave está configurado para o cofre chave executando o cmdlet Get-AzureRmKeyVault :

    Get-AzureRmKeyVault -VaultName <vaultname> | fl

    Se excluir suave está configurado corretamente para o cofre chave, a propriedade Soft Delete Enabled? retorna um valor de True.

Adicionar uma chave para cada compartimento chave seja criando ou importando uma chave

Há duas maneiras de adicionar as chaves para um cofre de chave do Azure; Você pode criar uma chave diretamente no cofre de chave ou você pode importar uma chave. Criando uma chave diretamente no cofre de chave é o método menos complicado, enquanto importando uma chave oferece controle total sobre como a chave é gerada.

Para criar uma chave diretamente em seu cofre chave, execute o cmdlet Add-AzureKeyVaultKey da seguinte maneira:

Add-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname> -Destination <HSM|Software> -KeyOps wrapKey,unwrapKey

Onde:

  • vaultname é o nome do Cofre de chave na qual você deseja criar a chave.

  • nome chave é o nome que você deseja dar a nova chave.

    Dica: O nome de chaves usando uma convenção de nomenclatura semelhante, conforme descrito acima para compartimentos chaves. Dessa forma, em ferramentas que mostram apenas o nome da chave, a cadeia de caracteres é auto descrevendo.

  • Se você pretende proteger a chave com um HSM, certifique-se de que você especificar HSM como o valor do parâmetro Destination , caso contrário, especifique Software.

Por exemplo,

Add-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination Software -KeyOps wrapKey,unwrapKey

Para importar uma chave diretamente no seu cofre chave, você precisa ter um nShield Thales módulo de segurança de Hardware.

Algumas organizações preferem essa abordagem para estabelecer o provenance de suas chaves e este método também fornece o seguinte:

  • O conjunto de ferramentas usado para importação inclui certificação de Thales que a chave do Exchange chave KEK que é usado para criptografar a chave que você gerar não é exportável e é gerado dentro de um HSM original que foi fabricado por Thales.

  • O conjunto de ferramentas inclui certificação de Thales que o mundo de segurança do Azure chave cofre também foi gerado em um HSM genuine fabricado por Thales. Essa certificação prova a você que a Microsoft também está usando hardware de Thales original.

Verifique com seu grupo de segurança para determinar se o attestations acima são necessárias. Para obter etapas detalhadas criar uma chave local e importe-os para seu cofre chave, consulte como gerar e transferir protegidos por HSM chaves do Azure chave cofre. Use as instruções Azure para criar uma chave em cada chave cofre.

Verifique o nível de recuperação de suas chaves

O Office 365 requer que a assinatura do Azure chave cofre está definida como não cancelar e que as chaves usadas pela chave cliente tenham excluir suave habilitado. Você pode confirmar isso examinando o nível de recuperação em suas chaves.

Para verificar o nível de recuperação de uma chave, no Azure PowerShell, execute o cmdlet Get-AzureKeyVaultKey da seguinte maneira:

(Get-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname>).Attributes 

Se a propriedade Recovery Level retorna algo diferente de um valor de Recuperável + ProtectedSubscription, você precisará revisar este tópico e certifique-se de que você tiver seguido todas as etapas para colocar a assinatura na lista não cancelar e que você tem Excluir suave habilitado em cada uma das suas principais compartimentos.

Backup cofre chave Azure

Imediatamente após a criação ou qualquer alteração para uma chave, executar um backup e armazenar cópias do backup, online e offline. Cópias offline não devem estar conectadas a qualquer rede, como em um recurso de armazenamento físico de segurança ou comercial. Pelo menos uma cópia de backup deve ser armazenada em um local que possa ser acessado em caso de um desastre. Os blobs backup são o único meio de restauração de material de chave uma chave de chave cofre seja destruída permanentemente ou caso contrário inoperante. Chaves que são externos ao Cofre de chave do Azure e foram importados ao Azure chave cofre não estão qualificados como um backup porque os metadados necessários para chave do cliente usar a chave não existe com a chave externa. Apenas um backup tirado de Cofre de chave do Azure pode ser usado para operações de restauração com chave de clientes. Portanto, é essencial que um backup do Azure chave cofre seja feita depois que uma chave é carregada ou criada.

Para criar um backup de uma chave de Cofre de chave do Azure, execute o cmdlet do Backup AzureKeyVaultKey da seguinte maneira:

Backup-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname> 
-OutputFile <filename.backup>

Certifique-se de que seu arquivo de saída usa o sufixo .backup.

O arquivo de saída resultante desse cmdlet é criptografado e não pode ser usado fora do Azure chave cofre. O backup pode ser restaurado apenas para a assinatura Azure do qual o backup foi feito.

Dica: Para o arquivo de saída, escolha uma combinação de seu nome de compartimento e chave. Isso tornará o arquivo nome auto descrevendo. Ele também garantirá que os nomes de arquivo de backup não coincidem.

Por exemplo:

Backup-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -OutputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Valide as configurações de configuração do Cofre de chave do Azure

Executando validação antes de usar teclas em um DEP é opcional, mas altamente recomendado. Em particular, se você usar as etapas para configurar suas chaves e compartimentos outros que os descritos neste tópico, você deve validar a integridade dos recursos do Azure chave cofre antes de configurar chave cliente.

Para verificar se suas chaves tem operações get, wrapKey e unwrapKey habilitadas:

Execute o cmdlet Get-AzureRmKeyVault da seguinte maneira:

Get-AzureRMKeyVault -VaultName <vaultname>

Na saída, procure para a política de acesso e para a identidade do Exchange Online (GUID) ou a identidade do SharePoint Online (GUID), conforme apropriado. Todos os três as permissões acima devem ser exibidos em permissões às chaves.

Se a configuração de política de acesso está incorreta, execute o cmdlet Set-AzureRmKeyVaultAccessPolicy da seguinte maneira:

Set-AzureRmKeyVaultAccessPolicy –VaultName <vaultname> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

Por exemplo, para o Exchange Online e Skype para empresas:

Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365EX-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

Por exemplo, para o SharePoint Online e OneDrive for Business:

Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365SP-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName TBD

Para verificar se uma data de validade não está definida para suas chaves:

Execute o cmdlet Get-AzureKeyVaultKey da seguinte maneira:

Get-AzureKeyVaultKey -VaultName <vaultname> 

Uma tecla expirada não pode ser usada pela chave cliente e operações uma tentativa com uma chave de expirado serão falhar e resultar em uma interrupção do serviço. É altamente recomendável que chaves usadas com a chave cliente não têm uma data de validade. Uma data de validade, depois conjunto, não puder ser removido, mas pode ser alterada para uma data diferente. Se uma chave deve ser usada com uma data de validade definir, altere o valor de expiração a 31/12/9999. Chaves com uma data de validade definido para uma data diferente de 31/12/9999 não passará validação do Office 365.

Para alterar uma data de validade que foi definida para qualquer valor diferente de 31/12/9999, execute o cmdlet Set-AzureKeyVaultKeyAttribute da seguinte maneira:

Set-AzureKeyVaultKeyAttribute –VaultName <vaultname> -Name <keyname> 
-Expires (Get-Date -Date “12/31/9999”)

Aviso: Não defina datas de vencimento sobre chaves de criptografia que você usa com chave cliente.

Obter o URI para cada chave Cofre de chave do Azure

Depois de concluir todas as etapas no Azure para configurar sua chaves compartimentos e adicionou suas chaves, execute o seguinte comando para obter o URI para a tecla em cada chave cofre. Você precisará usar esses URIs quando você cria e atribui a cada DEP posteriormente, portanto, salve essas informações em um lugar seguro. Lembre-se de executar este comando uma vez para cada compartimento chave.

No Azure PowerShell:

(Get-AzureKeyVaultKey -VaultName <vaultname>).Id

Office 365: Configuração de chave de clientes do Exchange Online e Skype para empresas

Antes de começar, certifique-se de que você concluiu as tarefas necessárias para configurar o Azure chave cofre. Para obter informações, consulte tarefas concluídas no cofre de chave do Azure e Microsoft Fasttrackhttp para chave de clientes .

Para configurar a chave de clientes do Exchange Online e Skype para empresas, você precisará executar essas etapas conectando-se remotamente ao Exchange Online com o Windows PowerShell.

Criar uma política de criptografia de dados (DEP) para uso com o Exchange Online e no Skype for Business

Um DEP está associado um conjunto de chaves armazenadas no Azure chave cofre. Você atribui um DEP a uma caixa de correio no Office 365. O Office 365, em seguida, usará as teclas identificadas na política para criptografar a caixa de correio. Para criar a DEP, é necessário os URIs de cofre chave obtido anteriormente. Consulte obter o URI para uma chave de Cofre de chave do Azure para obter instruções.

Lembre-se! Quando você cria um DEP, você especificar duas chaves que residem em dois compartimentos de chave Azure diferentes. Certifique-se de que essas chaves estão localizadas em duas regiões Azure separadas para garantir a redundância geográfica.

Para criar a DEP, siga estas etapas:

  1. No computador local, usando uma conta corporativa ou de estudante que tenha permissões de administrador global em sua organização do Office 365, conectar ao Exchange Online PowerShell abrindo o Windows PowerShell e executando o seguinte comando.

    $UserCredential = Get-Credential
  2. Na caixa de diálogo solicitação de credencial do Windows PowerShell, insira seu trabalho ou escola informações da conta, clique Okeye, em seguida, digite o seguinte comando.

    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
  3. Execute o comando a seguir.

    Import-PSSession $Session
  4. Para criar um DEP, use o cmdlet New-DataEncryptionPolicy digitando o seguinte comando.

    New-DataEncryptionPolicy -Name <PolicyName> -Description "PolicyDescription" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>

    Onde:

    • PolicyName é o nome que você deseja usar para a política. Nomes não podem conter espaços. Por exemplo, USA_mailboxes.

    • PolicyDescription é uma descrição amigável da política que ajudarão você a se lembrar qual é a política para. Você pode incluir espaços na descrição. Por exemplo, raiz chave para caixas de correio nos Estados Unidos e seus territórios.

    • KeyVaultURI1 é o URI para a primeira tecla na política. Por exemplo, https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.

      KeyVaultURI2 é o URI para a segunda chave na política. Por exemplo, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02. Separe os dois URIs por uma vírgula e um espaço.

Exemplo:

New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02

Atribuir um DEP a uma caixa de correio

Atribua a DEP a uma caixa de correio usando o cmdlet Set-caixa de correio. Depois de atribuir a política, o Office 365 pode criptografar a caixa de correio com a chave designada na DEP.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

Onde MailboxIdParameter Especifica uma caixa de correio. Para saber mais sobre o cmdlet Set-caixa de correio, consulte Set-caixa de correio.

Validar criptografia de caixa de correio

Criptografar uma caixa de correio pode levar alguns instantes. Primeira atribuição de política de tempo, a caixa de correio também deverá concluir a movimentação de um banco de dados para outro antes que o serviço pode criptografar a caixa de correio. Recomendamos que você aguarde 72 horas antes de tentar validar criptografia depois que você alterar um DEP ou na primeira vez que você atribui um DEP a uma caixa de correio.

Use o cmdlet Get-MailboxStatistics para determinar se uma caixa de correio está criptografada.

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

A propriedade IsEncrypted retorna um valor de true se a caixa de correio está criptografada e um valor false se a caixa de correio não está criptografada.

Office 365: Configuração de chave de clientes do SharePoint Online e OneDrive for Business

Antes de começar, certifique-se de que você concluiu as tarefas necessárias para configurar o Azure chave cofre. Para obter informações, consulte tarefas concluídas no cofre de chave do Azure e Microsoft Fasttrackhttp para chave de clientes .

Para configurar a chave de clientes do SharePoint Online e OneDrive for Business, você precisará executar essas etapas conectando-se remotamente no SharePoint Online com o Windows PowerShell.

Criar uma política de criptografia de dados (DEP) para cada SharePoint Online e OneDrive para Business geográfica

Um DEP está associado um conjunto de chaves armazenadas no Azure chave cofre. Você pode aplicar um DEP para todos os seus dados em um local geográfico, também chamado de uma localização geográfica. Se você usar o recurso de multi-geográfica do Office 365 (atualmente em Preview), você pode criar um DEP por localização geográfica. Se você não estiver usando multi-geográfica, você pode criar um DEP no Office 365 para uso com o SharePoint Online e OneDrive for Business. O Office 365 será use as teclas identificadas na DEP para criptografar seus dados em que geográfica. Para criar a DEP, é necessário os URIs de cofre chave obtido anteriormente. Consulte obter o URI para uma chave de Cofre de chave do Azure para obter instruções.

Lembre-se! Quando você cria um DEP, você especificar duas chaves que residem em dois compartimentos de chave Azure diferentes. Certifique-se de que essas chaves estão localizadas em duas regiões Azure separadas para garantir a redundância geográfica.

Para criar um DEP, você precisa se conectar remotamente ao SharePoint Online usando o Windows PowerShell.

  1. No computador local, usando uma conta corporativa ou de estudante que tenha permissões de administrador global em sua organização do Office 365, conectar-se ao SharePoint Online Powershell.

  2. No Microsoft SharePoint Online Management Shell, execute o cmdlet do Registro SPODataEncryptionPolicy da seguinte maneira:

    Register-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>

    Quando você registra a DEP, começa a criptografia nos dados a localização geográfica. Isso pode levar alguns instantes.

Validar a criptografia do grupo de Sites, Sites de equipe e SkyDrive Pro

Você pode verificar o status de criptografia, execute o cmdlet Get-SPODataEncryptionPolicy da seguinte maneira:

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

A saída desse cmdlet inclui:

  • O URI da chave primária.

  • O URI da chave secundária.

  • O status de criptografia para a localização geográfica. Possíveis estados incluem:

    • Não registrado: Criptografia de chave do cliente ainda não foi aplicada.

    • Registrando: Criptografia de chave do cliente foi aplicada e seus arquivos são no processo sendo criptografado. Se sua localização geográfica estiver nesse estado, você vai também ser mostrado informações na porcentagem de sites na localização geográfica estão concluídas para que você pode monitorar o andamento de criptografia.

    • Registrados: Criptografia de chave do cliente tiver sido aplicada, e todos os arquivos em todos os sites foram criptografados.

    • Sem interrupção: Um rolo chave está em andamento. Se sua localização geográfica estiver nesse estado, você vai também ser mostrado informações na porcentagem de sites concluir a operação de chave rolo para que você pode monitorar o andamento.

Gerenciando a chave de cliente do Office 365

Depois de configurar uma chave de clientes do Office 365, você pode executar estas tarefas de gerenciamento adicionais.

Restaurar as chaves do Cofre de chave do Azure

Antes de executar uma restauração, use os recursos de recuperação fornecidos pelo excluir suave. Todas as chaves que são usadas com chave de cliente são necessárias para ter suave excluir habilitado. Excluir suave atua como uma Lixeira e permite recuperação até 90 dias sem a necessidade de restaurar. Restaurar somente deve ser solicitado em circunstâncias extremas ou incomuns, por exemplo, se a chave ou cofre chave for perdida. Se você precisar restaurar uma chave para uso com chave de cliente, no Azure PowerShell, execute o restauração-AzureKeyVaultKey cmdlet da seguinte maneira:

Restore-AzureKeyVaultKey -VaultName <vaultname> -InputFile <filename>

Por exemplo:

Restore-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Se já existe uma chave com o mesmo nome no cofre de chave, a operação de restauração falhará. Restaurar-AzureKeyVaultKey restaura todas as versões principais e todos os metadados para a chave, incluindo o nome da chave.

Virando os ou girando uma chave em Cofre de chave do Azure que você usa com chave cliente

Não é necessário por qualquer um dos Cofre de chave do Azure ou por chave de cliente sem interrupção teclas. Além disso, chaves protegidos com um HSM são praticamente impossíveis comprometer. Mesmo se uma chave raiz estavam em posse de um ator mal-intencionado não há nenhum meio viável de usá-lo para descriptografar dados, desde que apenas o Office 365 código sabe como usá-lo. No entanto, sem interrupção de uma chave é suportado pelo cliente chave.

Aviso: 

  • Acumulam apenas uma chave de criptografia que você usa com chave cliente quando existe um motivo limpar técnico ou um requisito de conformidade dita que você precisa implementar a chave. Além disso, não exclua as chaves que estão ou estavam associados a políticas. Quando você gira suas chaves, haverá conteúdo criptografados com chaves anteriores. Por exemplo, enquanto caixas de correio ativas serão novamente criptografadas com frequência, inativa, caixas de correio desconectadas e desabilitadas ainda podem ser criptografadas com as chaves anteriores. SharePoint Online executa backup de conteúdo para fins de restauração e recuperação, portanto, ainda pode ser conteúdo arquivado usando as teclas de mais antigas.

  • Para garantir a segurança dos seus dados, o SharePoint Online permite não mais do que uma chave rolo da operação em andamento por vez. Se você quiser reverter ambas as chaves em um cofre chave, você precisará esperar que a primeira operação rolo chave totalmente concluído. Nossa recomendação é escalonar as operações de chave rolo em intervalos diferentes, para que isso não é um problema.

Quando você gira uma chave, você está solicitando uma nova versão de uma chave existente. Para solicitar uma nova versão de uma chave existente, você pode usar o cmdlet mesmo, Adicionar AzureKeyVaultKey, com a mesma sintaxe que você usou para criar a chave em primeiro lugar.

Por exemplo:

Add-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @(‘wrapKey’,’unwrapKey’) -NotBefore (Get-Date -Date “12/27/2016 12:01 AM”)

Neste exemplo, como uma chave chamada Contoso-O365EX-ND-VaultA1-Key001 já existe no cofre Contoso-O365EX-ND-VaultA1, uma nova versão de chave será criada. A operação adiciona uma nova versão de chave. Essa operação preserva as versões anteriores de chave no histórico de versão da chave, para que os dados anteriormente criptografados com essa chave ainda podem ser descriptografados. Quando tiver concluído sem interrupção qualquer tecla que está associada um DEP, em seguida, você deve executar um cmdlet adicional para garantir a que chave cliente começa usando a nova chave.

Habilitar o Exchange Online e Skype for Business para usar uma nova chave depois que você implementar ou girar teclas no cofre de chave do Azure

Quando você gira um das chaves de Cofre de chave do Azure associadas a um DEP usados com o Exchange Online e o Skype para empresas, você deve executar o seguinte comando para atualizar a DEP e ativar o Office 365 começar a usar a nova chave.

Para instruir chave de cliente para usar a nova chave para criptografar caixas de correio no Office 365, execute o cmdlet Set-DataEncryptionPolicy da seguinte maneira:

Set-DataEncryptionPolicy <policyname> -Refresh 

Em 48 horas, as caixas de correio active criptografadas usando esta política tornará associadas com a chave atualizada. Use as etapas em determinar a DEP atribuída a uma caixa de correio para verificar o valor da propriedade DataEncryptionPolicyID para a caixa de correio. O valor desta propriedade será alterado após a chave atualizada foi aplicada.

Habilitar o SharePoint Online e OneDrive for Business usar uma nova chave depois que você implementar ou girar teclas no cofre de chave do Azure

Quando você gira um das chaves do Azure chave cofre associadas um DEP usada com o SharePoint Online e OneDrive para empresas, você deve executar o cmdlet Update-SPODataEncryptionPolicy para atualizar a DEP e ativar o Office 365 iniciar usando a nova chave.

Update-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

Isso iniciará a operação de rolo chave para o SharePoint Online e OneDrive for Business. Esta ação não é imediata. Para ver o andamento da chave rolo operação, execute o cmdlet Get-SPODataEncryptionPolicy da seguinte maneira:

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

Gerenciar permissões de chave cofre

Vários cmdlets estão disponíveis que permitem exibir e, se necessário, remover permissões de chave do cofre. Talvez seja necessário remover permissões, por exemplo, quando um funcionário deixa a equipe.

Para exibir permissões de chave cofre, execute o cmdlet Get-AzureRmKeyVault:

Get-AzureRmKeyVault -VaultName <vaultname>

Por exemplo:

Get-AzureRmKeyVault -VaultName Contoso-O365EX-NA-VaultA1

Para remover permissões de um administrador, execute o cmdlet Remove-AzureRmKeyVaultAccessPolicy:

Remove-AzureRmKeyVaultAccessPolicy -VaultName <vaultname> 
-UserPrincipalName <UPN of user>

Por exemplo:

Remove-AzureRmKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
-UserPrincipalName alice@contoso.com

Determinar a DEP atribuída a uma caixa de correio

Para determinar a DEP atribuída a uma caixa de correio, use o cmdlet Get-MailboxStatistics. O cmdlet retorna um identificador exclusivo (GUID).

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID

Onde GeneralMailboxOrMailUserIdParameter Especifica uma caixa de correio. Para saber mais sobre o cmdlet Get-MailboxStatistics, confira Get-MailboxStatistics.

Use o GUID para descobrir o nome amigável da DEP ao qual a caixa de correio está atribuída executando o cmdlet a seguir.

Get-DataEncryptionPolicy <GUID>

Onde GUID é o GUID retornado pelo cmdlet Get-MailboxStatistics na etapa anterior.

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×