Контроль данных в Office 365 с помощью ключа клиента

Примечание: Мы стараемся как можно оперативнее обеспечивать вас актуальными справочными материалами на вашем языке. Эта страница переведена автоматически, поэтому ее текст может содержать неточности и грамматические ошибки. Для нас важно, чтобы эта статья была вам полезна. Просим вас уделить пару секунд и сообщить, помогла ли она вам, с помощью кнопок внизу страницы. Для удобства также приводим ссылку на оригинал (на английском языке).

С помощью ключа клиента управления ключами шифрования вашей организации и затем настройте Office 365, чтобы использовать их для шифрования данных в остальных в центрах обработки данных Майкрософт. Статических данных включает в себя данные из Exchange Online и Скайп для бизнеса, которые хранятся в почтовые ящики и файлы, которые хранятся в SharePoint Online и OneDrive для бизнеса.

Прежде чем использовать ключ клиента для Office 365, необходимо настроить Azure. В этом разделе описаны действия, которые необходимо выполнить для создания и настройки необходимых Azure ресурсов и затем пошаговые инструкции по настройке ключа клиента в Office 365. После завершения установки Azure можно определить, какие политики и таким образом, какие клавиши, чтобы назначить почтовые ящики и файлы в вашей организации. Почтовые ящики и файлов, для которых не назначить политику будет использовать шифрование политик контроля и осуществляется корпорацией Майкрософт. Просмотреть дополнительные сведения о ключе клиента или Общие ключа клиента для Office 365: вопросы и ответы.

Важно: Мы настоятельно рекомендуем следуйте рекомендациям в этом разделе. Они называются как важныеи Совет . Клиент ключ дает возможность ключи шифрования корневой которого область может достигать всей организации. Это означает, что сделанные с этими клавишами ошибки могут иметь широкое влияние и может привести к отвлекаться службы или самое потерю данных.

Прежде чем начать настройку ключа клиента

Прежде чем начать, убедитесь, что у вас есть соответствующее лицензирования для вашей организации. В Office 365 E5 или SKU соответствия Дополнительно предлагается ключ клиента в Office 365.

Нажмите чтобы понять принципы и процедуры, описанные в этом разделе, необходимо просмотреть Ключ хранилища Azure документации. Кроме того ознакомиться с возможностями термины, используемые в Azure, например, клиента.

Чтобы оставить отзыв о ключ клиента, включая документации, отправьте свои идеи, предложения и перспективы customerkeyfeedback@microsoft.com.

Общие сведения о настройке ключа клиента для Office 365

Настройка клиента ключа будет выполните указанные ниже задачи. Остальная часть в этом разделе приведены подробные инструкции для каждой задачи или ссылки на дополнительные сведения для каждого этапа процесса масштаб.

В Azure и развертывания Microsoft:   

Большинство из этих задач будет завершена, удаленно подключившись к Azure PowerShell. Для достижения наилучших результатов используйте версии 4.4.0 или более поздней Azure PowerShell.

В Office 365:   

Exchange Online и Скайп для бизнеса:

SharePoint Online и OneDrive для бизнеса:

Выполнение задач в хранилище Azure ключ и развертывания Microsoft для клиента ключа

Чтобы настроить ключ клиента для Office 365, выполните указанные ниже задачи в хранилище Azure ключ. Вам потребуется для выполнения этих действий вне зависимости от того, является ли вы собираетесь настроить ключ клиента для Exchange Online и Скайп для бизнеса или SharePoint Online и OneDrive для бизнеса или для всех поддерживаемых служб в Office 365.

Создайте две новые Azure подписки

Две Azure подписки необходимы для ключа клиента. По соображениям мы рекомендуем создать новые Azure подписки для использования с клавишей клиента. Azure ключи хранилища ключ можно только уполномоченные для приложений в одном клиенте Azure Active Directory (AAD), необходимо создать новый подписок в одном клиенте Azure AD используется с организации Office 365, где будут назначаться DEPs. Например с помощью своей рабочей или учебной учетной записи с правами глобального администратора в организации Office 365. Подробное описание шагов читайте в статье зарегистрироваться в Azure как организацией.

Важно: 

  • Ключ клиента требуется два основных фактора для каждой политики шифрования данных (функции предотвращения выполнения данных). Для этого необходимо создать две Azure подписки. По соображениям мы рекомендуем, что у вас есть отдельные сотрудники вашей организации Настройка одного ключа в каждой подписки. Эти Azure подписки должен использоваться для управления ключами шифрования для Office 365. В случае, если ваш операторов случайно, намеренно или намеренно удаляет может быть вызвано в противном случае mismanages ключи, для которых они отвечают это защищает вашей организации.

  • Мы рекомендуем настроить новые Azure подписки, которая используется исключительно для управление ресурсами хранилища Azure ключ для использования с клавишей клиента. Нет практического ограничения на число Azure подписки, для которых можно создавать для вашей организации. Выполнив эти советы и рекомендации будет свести к минимуму влияние человека ошибки помогая управление ресурсы, используемые ключ клиента.

Отправка запроса для активации ключа клиента для Office 365

После завершения Azure действия, вам потребуется отправить запрос предложения на портале развертывания корпорации Майкрософт. После отправки запроса через веб-портал развертывания Microsoft проверяет хранилища Azure ключ конфигурации данных и контактные данные, которые вы предоставили. Выбранные в форме предложение о авторизованных руководителей отделов организации является важным и необходимые для завершения регистрации ключ клиента. Служащих вашей организации, выберите в форме будут используются для обеспечения подлинность любой запрос на отзыв и удалите все ключи, используемые с политикой шифрования данные ключа клиента. Необходимо выполнить этот шаг один раз, чтобы активировать ключ клиента для Exchange Online и Скайп для бизнеса срок действия и еще раз активировать ключ клиента для SharePoint Online и OneDrive для бизнеса.

Чтобы отправить предложение для активации ключа клиента, выполните следующие действия:

  1. С помощью рабочей или учебной учетной записи с правами глобального администратора в организации Office 365, выполните вход на портал Microsoft развертывания.

  2. Если вы выполнили вход, перейдите к панели мониторинга.

  3. Выберите предлагает и просмотрите список текущего предложения.

  4. Дополнительные сведения выберите предложения, которые относятся к вам:

    • Exchange Online и Скайп для бизнеса: Выберите пункт Дополнительные сведения в предложение Ключ клиента для обмена.

    • SharePoint Online и OneDrive для бизнеса: Дополнительные сведения выбрал на предложение Ключ клиента для SharePoint и OneDrive для бизнеса.

  5. На странице предоставляют сведения выберите пункт Создать запрос.

  6. Заполните все применимые сведения и запрошенные данные в форме предложение. Обратите особое внимание выбора какие служащих вашей организации нужно авторизуйте для утверждения постоянных и необратимому удаления ключей шифрования и данных. После завершения формы, нажмите кнопку Отправить.

    Эта процедура может занять до пяти рабочих дней после Microsoft получила уведомление о запросе.

  7. Перейдите к ниже раздел обязательными хранения периода.

Регистрация Azure подписок для использования срок хранения обязательным

Потеря или временными ключи шифрования корневой может быть очень критическими или даже нежелательных операции обновления и может привести к потере данных. По этой причине ресурсы, используемые с ключом клиента требуют повышенную защиту. Все Azure ресурсы, используемые с ключом клиента предоставляют механизмы защиты за пределами конфигурацию по умолчанию. Azure подписки можно с тегами или зарегистрированные таким образом, отключаются немедленно и самое уведомление об отмене. Это называется регистрация за период хранения обязательным. Действия, требуемые для регистрации Azure подписки за период хранения обязательными требуют совместной работы с группой Office 365. Эта процедура может занять от 1 до пяти рабочих дней. Ранее это было известная также как «Не отменяйте».

Перед обращением группы Office 365, необходимо выполнить следующие действия для каждой подписки Azure, использование ключом клиента:

  1. Вход в Azure подписку с помощью Azure PowerShell. Войдите в систему с помощью Azure PowerShellинструкции, см.

  2. Выполните командлет Register AzureRmProviderFeature для регистрации подписок для использования срок хранения обязательным.

    Register-AzureRmProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources
  3. В корпорацию Майкрософт, чтобы завершить процесс. Для SharePoint и OneDrive для бизнеса группы обратитесь в spock@microsoft.com. Для Exchange Online и Скайп для бизнеса обратитесь в exock@microsoft.com. Соглашение уровень службы (SLA) для завершения этого процесса является пяти рабочих дней после Microsoft был уведомления (и проверить), который вы зарегистрировали подписок для использования срок хранения обязательным. Включите в электронной почте следующее:

    Тема: ключ клиента для <полное доменное имяэлемента enant t>

    Тело: идентификаторы подписки, для которых нужно иметь обязательный завершен период хранения.

  4. Когда вы получаете уведомление от корпорации Майкрософт о завершении регистрации, проверьте состояние регистрации, запустив командлет Get-AzureRmProviderFeature следующим образом:

    Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Resources -FeatureName mandatoryRetentionPeriodEnabled
  5. Убедившись, что Состояние регистрации свойства из командлет Get-AzureRmProviderFeature возвращает значение зарегистрировано, выполните следующую команду, чтобы завершить процесс:

    Register-AzureRmResourceProvider -ProviderNamespace "Microsoft.KeyVault"

Создание расширенный Azure ключ хранилища в каждой подписки

В Начало работы с Azure ключ хранилища, который поможет вам через Установка и запуск Azure PowerShell, подключение к Azure подписку, создание группы ресурсов и создание ключа хранилища, в которой описаны действия для создания ключевых хранилища Группа ресурсов.

При создании ключей хранилища, необходимо выбрать SKU: стандартный или расширенный. Стандартная SKU позволяет установить ключи хранилища Azure ключ к защищенным с помощью программного обеспечения — нет ключа защиты оборудования модуля безопасности (HSM) — и расширенный SKU использование HSM для защиты ключей ключ хранилища. Ключ клиента принимает ключа хранилищами, использующих либо SKU хотя настоятельно рекомендуется использовать только расширенный SKU. Стоимость операций с клавишами любого типа, так же, только в затраты разница стоимость за месяц для каждого раздела, защищенного HSM. Подробнее цены ключ хранилища .

Важно: С помощью клавиш защищенного HSM и ключевые хранилищами расширенный SKU для рабочих данных, а только стандартные SKU ключа хранилищами и ключи для целей тестирования и проверки.

Для каждой службы Office 365, с которой будет использовать ключ клиентов Создание ключа хранилища в каждом из двух Azure подписки, которые вы создали. Например для Exchange Online, а Скайп для бизнеса только или SharePoint Online и OneDrive для бизнеса только, нужно создать только одну пару хранилищами. Чтобы включить клиент ключ для Exchange Online и SharePoint Online, нужно создать две пары ключа хранилищами.

Используйте соглашение о наименовании для ключа хранилищами, отражающая предполагаемое использование функции предотвращения выполнения данных, с которой будет связана хранилищами. В разделе Рекомендации под по именованию рекомендаций соглашения.

Создание набора отдельные, парных хранилищами для каждой политики шифрования данных. Для Exchange Online область политики шифрования данных выбранного вами при назначении политики почтовых ящиков. Почтовый ящик может быть только одна политика назначенных и могут создавать до 50 политики. Для SharePoint Online область политики — все данные в пределах организации в геоили географического расположения.

Создание ключа хранилищами также требует создания группы Azure ресурсов, поскольку ключа хранилищами нужна емкость (хотя очень маленьким) и ключ хранилища ведения журнала, если эта функция включена, также создает сохраненных данных. По соображениям мы рекомендуем использовать отдельные администраторы по управлению каждая группа ресурсов с помощью администрирования выровнены с набором администраторов, которые будут управлять все связанные ресурсы ключ клиента.

Важно: 

  • Для повышения доступности вашего ключа хранилищами должен находиться в области близко к службе Office 365. Например если своей организации Exchange Online в Северной Америке, поместите вашего ключа хранилищами в Северной Америке. Если Europe своей организации Exchange Online, поместите вашего ключа хранилищами в Европе.

  • Используйте Общий префикс для ключа хранилищами и включать сокращенное название и объем хранилища ключей и ключи (например, для службы Contoso SharePoint расположение хранилищами в Северной Америке, возможных пары имен является Contoso O365SP-НД VaultA1 и Contoso — O365SP-НД VaultA2. Хранилища называются глобально уникальные строки в Azure, поэтому вам потребуется попробуйте варианты нужного имен в случае, если нужного имена уже собственностью своих другими клиентами Azure. Начиная с июля 2017 г имена хранилища нельзя изменить, поэтому рекомендуется письменного план для установки и убедитесь, что план выполняется правильно с помощью вторым пользователем.

  • Если это возможно создайте вашей хранилищами в-парный областей. Парный Azure регионы обеспечить высокую доступность доменами ошибка службы. Таким образом региональные пары можно считать резервного копирования региона друг от друга. Это означает, что Azure ресурс, который будет помещен в одной области автоматически получать отказоустойчивость через парных региона. По этой причине выбор областей для двух хранилищами, используемых в функции предотвращения выполнения данных, где области, парных означает, что всего двух регионов доступность заняты. Большинство географии только имеют двух регионов, поэтому она еще не позволяет выбрать-парный регионы. Если это возможно выберите две области парный для двух хранилищами используется с предотвращения выполнения данных. Это преимущества всего четыре области доступности. Дополнительные сведения можно найти бизнеса непрерывности и аварийного восстановления (BCDR): регионы парный Azure текущий список региональных пар.

Назначение разрешений каждого ключа хранилища

Для каждого ключа хранилища необходимо определить три отдельных наборов разрешений для ключа клиента, в зависимости от вашей реализации. Например необходимо создать один набор разрешений для каждого из следующих действий:

  • Администраторы ключ хранилища , который будет выполнять повседневного управления вашей ключа хранилища для своей организации. Эти задачи включают резервная копия создать, получить, Импорт списка и восстановить.

    Важно: Разрешения на удаление ключи не включает набор разрешений, назначенных для администраторов ключа хранилища. Это происходит преднамеренно и важные упражнения. Удаление ключей шифрования не выполняется как правило, так как это так окончательно удаляется данных. По соображениям не предоставить это разрешение ключа хранилища для администраторов по умолчанию. Вместо этого зарезервировать это для ключа хранилища участники и назначать только его администратор на основе Краткосрочная после понятен четкое представление о последствиях.

    Чтобы назначить эти разрешения пользователя в организации Office 365, войдите в Azure подписку с помощью Azure PowerShell. Войдите в систему с помощью Azure PowerShellинструкции, см.

  • Выполните командлет Set-AzureRmKeyVaultAccessPolicy для назначения разрешений, необходимых.

    Set-AzureRmKeyVaultAccessPolicy -VaultName <vaultname> 
    -UserPrincipalName <UPN of user> -PermissionsToKeys create,import,list,get,backup,restore
    

    Пример

    Set-AzureRmKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
    -UserPrincipalName alice@contoso.com -PermissionsToKeys create,import,list,get,backup,restore
    
  • Участники ключ хранилища , который можно изменить разрешения для хранилища ключ Azure сам. Необходимо изменить следующие разрешения, как сотрудники покинуть или присоединение к вашей группы или в крайне редко ситуации, ключ помещение правильного необходимой администраторам разрешения на удаление или восстановление ключа. Этот набор потребностей ключа хранилища участники должны быть предоставлены роль участника на ваш ключа хранилища. С помощью диспетчера ресурсов Azure можно назначить роли. Подробное описание шагов отображается Use Role-Based управления доступом для управления доступом к ресурсам Azure подписки. Администратор, который создает подписку имеет такой доступ неявно, а также возможность предоставлять другим администраторам роль участника.

  • Если вы планируете использовать ключ клиента Exchange Online и Скайп для бизнеса, вам нужно предоставить разрешение на Office 365 для использования ключа хранилища от имени Exchange Online и Скайп для бизнеса. Аналогичным образом Если вы планируете использовать ключ клиента с SharePoint Online и OneDrive для бизнеса, вам нужно добавить разрешения для Office 365 для использования ключа хранилища от имени SharePoint Online и OneDrive для бизнеса. Предоставление разрешения для Office 365, выполните командлет Set-AzureRmKeyVaultAccessPolicy , используя следующий синтаксис:

    Set-AzureRmKeyVaultAccessPolicy –VaultName <vaultname> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

    Где:

    • vaultname это имя ключа хранилища, который вы создали.

    • Exchange Online и Скайп для бизнеса замените ИД приложения Office 36500000002-0000-0ff1-ce00-000000000000

    • SharePoint Online и OneDrive для бизнеса замените ИД приложения Office 36500000003-0000-0ff1-ce00-000000000000

    Пример: Настройка разрешений для Exchange Online и Скайп для бизнеса:

    Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365EX-NA-VaultA1 
    -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

    Пример: Настройка разрешений для SharePoint Online и OneDrive для бизнеса

    Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365SP-NA-VaultA1 
    -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000

Включить, а затем подтвердите окончательным удалением на ваш ключа хранилищами

После можно быстро восстановить ключей, вы можете вероятность отключения расширенные службы из-за намеренно или случайно удаленных разделов. Необходимо включить конфигурацию, называют мягкие удалить перед началом использования ключей с ключом клиента. Включение мягкие удаление позволяет восстановить в течение 90 дней после удаления ключей или хранилищами без необходимости будет восстановить их из резервной копии.

Чтобы включить сглаживание удаление на ваш ключа хранилищами, выполните следующие действия:

  1. Вход в Azure подписку с помощью Windows Powershell. Войдите в систему с помощью Azure PowerShellинструкции, см.

  2. Выполните командлет Get-AzureRmKeyVault следующим образом:

    $v = Get-AzureRmKeyVault -VaultName <vaultname>
    $r = Get-AzureRmResource -ResourceId $v.ResourceId
    $r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
    Set-AzureRmResource -ResourceId $r.ResourceId -Properties $r.Properties

    Где vaultname — имя ключа хранилища, для которого вы Включение окончательным удалением.

  3. Убедитесь, что окончательным удалением настроен для ключа хранилища, запустив командлет Get-AzureRmKeyVault :

    Get-AzureRmKeyVault -VaultName <vaultname> | fl

    Если окончательным удалением неправильно настроен для ключа хранилища, свойство Soft Delete Enabled? возвращает значение True.

Добавьте ключ для каждого ключа хранилища либо путем создания или импорт ключа

Существует два способа добавления ключи ключ хранилища Azure; можно создать ключ непосредственно из хранилища ключ или вы можете импортировать ключ. Создание раздела непосредственно из хранилища ключ способ проще, Импорт ключа обеспечивает полный контроль над созданием ключ.

Чтобы создать ключ непосредственно в вашей ключа хранилища, выполните командлет Добавить AzureKeyVaultKey следующим образом:

Add-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname> -Destination <HSM|Software> -KeyOps wrapKey,unwrapKey

Где:

  • vaultname это имя ключа хранилища, в котором вы хотите создать раздел.

  • keyName — это имя, которым необходимо предоставить новый ключ продукта.

    Совет: Используя контекст именования так же, как описано выше для ключа хранилищами ключи имя. Таким образом, в меню Сервис, показывающие только имя раздела, строка собственное описание.

  • Если вы планируете защитить ключ с аппаратного, убедитесь, что укажите HSM в качестве значения параметра Destination , в противном случае — программное обеспечение.

Например:

Add-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination Software -KeyOps wrapKey,unwrapKey

Чтобы импортировать ключ непосредственно в вашей ключа хранилища, необходимо иметь Thales nShield аппаратного модуля безопасности.

В некоторых организациях предпочитаете этот подход, чтобы установить provenance свои ключи и использовать этот метод также предоставляет следующие:

  • Набор инструментов, используемый для импорта включает аттестации из Thales ключ Exchange ключ (KEK), используемый для шифрования, которые можно создать ключ не экспортируемый и создается внутри подлинное HSM, которая была производства Thales.

  • Набор инструментов включает аттестации из Thales, что мира безопасности хранилища Azure ключ также был создан на подлинное HSM производства Thales. Это аттестации оказывается вы Microsoft также используется проверка подлинности Thales оборудования.

Спросите у вашей группы безопасности, чтобы определить, требуется ли выше attestations. Подробное описание шагов для создания ключевых локального и импортируйте его в своей ключа хранилища Узнайте, как для создания и переноса защищенный HSM сочетания клавиш для Azure ключ хранилища. Используйте Azure инструкции для создания ключа в каждый ключа хранилища.

Проверьте уровень восстановления ключей

Office 365 требует подписки ключ хранилища Azure имеет значение не отменяйте и наличия окончательным удалением включена клавиш, используемых в ключ клиента. Это можно проверить, открыв на уровне восстановления ключей.

Чтобы проверить уровень восстановления раздела в Azure PowerShell выполните командлет Get-AzureKeyVaultKey следующим образом:

(Get-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname>).Attributes 

Если свойство Recovery Level возвращает все, кроме значение Устранимой + ProtectedSubscription, вам нужно будет просмотрите в этом разделе и убедитесь, что выполнены все необходимые шаги для постановки в списке не отменить подписку и у вас есть включить на каждом из вашего ключа хранилищами окончательным удалением.

Резервного копирования Azure ключа хранилища

Сразу после создания или изменения в раздел Резервное копирование и хранить копии резервной копии, сети и в автономном режиме. Автономные копии не должен быть подключен к сети, такие как в средстве физического надежных или коммерческой хранилища. По крайней мере одна копия резервного копирования должны храниться в месте, которое будет доступен в случае сбоя. Резервного копирования BLOB-объектов — единственный средства восстановления ключа следует ключ ключ хранилища окончательно удален или в противном случае отображается неработоспособности. Клавиши, которые внешнего ключа хранилища Azure были импортированные хранилища Azure ключ не распространяется качестве резервной копии наличием метаданные, которые необходимы для клиента ключа с помощью ключа не с помощью внешнего ключа. Только резервная копия из хранилища Azure ключ можно использовать для восстановления операций с ключом клиента. Очень важно сделать резервную копию хранилища Azure ключ ключ, отправленные или создав.

Создание резервной копии раздела хранилища Azure ключ, выполните командлет AzureKeyVaultKey резервной копии следующим образом:

Backup-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname> 
-OutputFile <filename.backup>

Убедитесь, что выходной файл использует суффикс .backup.

Результатом этот командлет выходной файл зашифрован и нельзя использовать за пределами Azure ключ хранилища. Создание резервной копии можно восстановить только в Azure подписку, из которой резервной копии.

Совет: Выходной файл выберите сочетание хранилища имя и имя раздела. Это сделает имя файла собственное описание. Также гарантирует, что не конфликта имен файла резервной копии.

Пример

Backup-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -OutputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Проверьте параметры конфигурации хранилища ключ Azure

Выполнение проверки перед использованием ключи в функции предотвращения выполнения данных является необязательным, но настоятельно рекомендуется. В частности при использовании действия для настройки ключи и хранилищами других из них, описанные в этом разделе, следует проверять работоспособность ресурсы хранилища Azure ключ перед настройкой ключ клиента.

Чтобы проверить, правильно ли ключей операции get, wrapKey и unwrapKey включены:

Выполните командлет Get-AzureRmKeyVault следующим образом:

Get-AzureRMKeyVault -VaultName <vaultname>

В блоке результатов поиска для политики доступа и Exchange Online удостоверения (GUID) или SharePoint Online идентификаторов (GUID) при необходимости. Все три выше разрешения должны отображаться в разделе разрешения в разделы.

Если настройка политики доступа неправильный, выполните командлет Set-AzureRmKeyVaultAccessPolicy следующим образом:

Set-AzureRmKeyVaultAccessPolicy –VaultName <vaultname> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

Например, Exchange Online и Скайп для бизнеса:

Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365EX-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

Например для SharePoint Online и OneDrive для бизнеса:

Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365SP-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName TBD

Чтобы проверить дату окончания срока действия не настроен для ключей:

Выполните командлет Get-AzureKeyVaultKey следующим образом:

Get-AzureKeyVaultKey -VaultName <vaultname> 

Истек срок действия ключа нельзя использовать ключом клиента и операции предпринимается с истекшим сроком действия ключа сбой и возможного привести к сбою службы. Мы настоятельно рекомендуем клавиш, используемые с ключом клиент не использую дату окончания срока действия. Дата окончания срока действия, после набора, не может быть удален, но можно изменить на другой день. Если ключ должен использоваться с задать дату окончания срока действия, измените значение срока действия до 12/31/9999. Ключи с истекшим сроком установите дату отличающимися от 31/12/9999 не будет пройти проверку Office 365.

Чтобы изменить дату окончания срока действия, которое было присвоено значение, отличное от 31/12/9999, запустите командлет Set-AzureKeyVaultKeyAttribute следующим образом:

Set-AzureKeyVaultKeyAttribute –VaultName <vaultname> -Name <keyname> 
-Expires (Get-Date -Date “12/31/9999”)

Предупреждение: Не задавать сроки ключи шифрования, используемой в ключ клиента.

Получение URI для каждого раздела ключ хранилища Azure

После завершения всех действий в Azure, чтобы настроить свой ключа хранилищами и добавления ключей, выполните следующую команду для получения ключа в каждый ключа хранилища URI. Необходимо будет использовать их в случаях, когда создание и назначение каждой функции предотвращения выполнения данных более поздней версии, поэтому следует сохранить эту информацию в безопасном месте. Не забудьте выполнить эту команду один раз для каждого ключа хранилища.

В Azure PowerShell:

(Get-AzureKeyVaultKey -VaultName <vaultname>).Id

Office 365: Настройка ключ клиента для Exchange Online и Скайп для бизнеса

Прежде чем начать, убедитесь, что вы выполнили задачи, которые необходимо настроить Azure ключ хранилища. Дополнительные сведения смотрите завершения задачи в хранилище Azure ключ и развертывания Microsoft для клиента ключа .

Чтобы настроить ключ клиента для Exchange Online и Скайп для бизнеса, необходимо выполнить эти действия, удаленно подключившись к Exchange Online с помощью Windows PowerShell.

Создание политики шифрования данных (функции предотвращения выполнения данных) для использования с Exchange Online и Скайп для бизнеса

Функции предотвращения выполнения данных связан с набором ключи, хранящиеся в хранилище Azure ключ. Назначение функции предотвращения выполнения данных для почтового ящика в Office 365. Office 365 для шифрования почтовый ящик будет использовать клавишам в политику. Чтобы создать функции предотвращения выполнения данных, требуется идентификаторы URI хранилища ключ, полученный ранее. Получение URI для ключа ключ хранилища Azure инструкции см.

Помните! При создании функции предотвращения выполнения данных укажите два основных фактора, которые находятся в двух различных хранилищами ключ Azure. Убедитесь, что эти ключи находятся в двух регионов отдельный Azure для обеспечения географического дублирования.

Чтобы создать функции предотвращения выполнения данных, выполните следующие действия.

  1. На локальном компьютере с помощью рабочей или учебной учетной записи с правами глобального администратора в организации Office 365, подключение к Exchange Online PowerShell , выполнив следующую команду Windows PowerShell.

    $UserCredential = Get-Credential
  2. В диалоговом окне учетные данные Windows PowerShell запроса введите данные рабочей или учебной сведения об учетной записи, нажмите кнопку ОКи введите следующую команду.

    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
  3. Выполните следующую команду:

    Import-PSSession $Session
  4. Чтобы создать функции предотвращения выполнения данных, используйте командлет Нью-DataEncryptionPolicy введите следующую команду.

    New-DataEncryptionPolicy -Name <PolicyName> -Description "PolicyDescription" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>

    Где:

    • Имя_политики — имя, которое вы хотите использовать для политики. Имена не могут содержать пробелы. Например, USA_mailboxes.

    • PolicyDescription представляет собой понятное описание политики, которая поможет вам следует помнить, что такое политика. Описание должно содержать пробелов. Например корневой ключ для почтовых ящиков в США и их территорий.

    • KeyVaultURI1 представляет собой URI для первого ключа в политику. Например https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.

      KeyVaultURI2 представляет собой URI для второго раздела в политику. Например https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02. Для разделения двух URI, запятой и пробелом.

Пример:

New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02

Назначение функции предотвращения выполнения данных для почтового ящика

Назначение функции предотвращения выполнения данных к почтовому ящику, используя командлет Set-почтового ящика. После назначить политику, Office 365 можно зашифровать почтовый ящик с клавишей, назначен в предотвращения выполнения данных.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

Где MailboxIdParameter указывает почтового ящика. Дополнительные сведения о командлет Set-почтовый ящик отображается Почтового ящика набора.

Проверка шифрования почтового ящика

Шифрование почтового ящика может занять некоторое время. Для назначения политики первое почтового ящика необходимо выполнить переход из одной базы данных на другой перед службы можно зашифровать почтового ящика.

Мы рекомендуем отложить 72 часа перед началом проверки шифрования после изменения функции предотвращения выполнения данных или первый функции предотвращения выполнения данных назначения для почтового ящика.

Используйте командлет Get-MailboxStatistics для определения Если шифруется почтового ящика.

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

Свойство IsEncrypted возвращает значение true, Если зашифрованы почтового ящика и значение false, если не зашифрованы почтового ящика.

Зависит от времени, чтобы завершить перемещение почтовых ящиков на число почтовых ящиков, к которым назначение функции предотвращения выполнения данных в первый раз, а также размер почтовых ящиков. Если почтовые ящики не зашифрованных после недели из значения времени вы назначили функции предотвращения выполнения данных, инициировать перемещения почтовых ящиков для незашифрованном виде почтовых ящиков с помощью командлета Нью-MoveRequest.

New-MoveRequest <mailbox alias>

Office 365: Настройка ключа клиента SharePoint Online и OneDrive для бизнеса

Прежде чем начать, убедитесь, что вы выполнили задачи, которые необходимо настроить Azure ключ хранилища. Дополнительные сведения смотрите завершения задачи в хранилище Azure ключ и развертывания Microsoft для клиента ключа .

Чтобы настроить ключ клиента SharePoint Online и OneDrive для бизнеса, необходимо выполнить эти действия, подключившись удаленно в SharePoint Online с помощью Windows PowerShell.

Создание политики шифрования данных (функции предотвращения выполнения данных) для каждого SharePoint Online и OneDrive для бизнеса гео

Функции предотвращения выполнения данных связан с набором ключи, хранящиеся в хранилище Azure ключ. Применение функции предотвращения выполнения данных для всех данных в одной географического местоположения, также называется гео. При использовании несколькими гео компонент Office 365 (в настоящее время в предварительной версии), можно создать один функции предотвращения выполнения данных каждого географического. Если вы не используете несколькими гео, можно создать один функции предотвращения выполнения данных в Office 365 для использования с SharePoint Online и OneDrive для бизнеса. Office 365 будет использовать для шифрования данных в этом географического ключи, указанных в функции предотвращения выполнения данных. Чтобы создать функции предотвращения выполнения данных, требуется идентификаторы URI хранилища ключ, полученный ранее. Получение URI для ключа ключ хранилища Azure инструкции см.

Помните! При создании функции предотвращения выполнения данных укажите два основных фактора, которые находятся в двух различных хранилищами ключ Azure. Убедитесь, что эти ключи находятся в двух регионов отдельный Azure для обеспечения географического дублирования.

Чтобы создать функции предотвращения выполнения данных, необходимо удаленно подключаться к SharePoint Online с помощью Windows PowerShell.

  1. На локальном компьютере с помощью рабочей или учебной учетной записи с правами глобального администратора в организации Office 365, подключение к SharePoint Online Powershell.

  2. В Microsoft командной консоли SharePoint Online выполните командлет Register SPODataEncryptionPolicy следующим образом:

    Register-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>

    При регистрации функции предотвращения выполнения данных шифрования начинается с данными в гео. Это может занять некоторое время.

Проверка шифрования сайты группы, сайтах групп и OneDrive для бизнеса

О состоянии шифрования можно проверить, запустив командлет Get-SPODataEncryptionPolicy следующим образом:

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

В результате этот командлет включает в себя:

  • URI первичного ключа.

  • URI вторичный ключ.

  • Состояние шифрования гео. Возможные состояния относятся:

    • Регистрацию: Клиент ключа шифрования не применены.

    • Регистрации: Применения ключа шифрования клиента и файлов в шифруется. Если ваш географического имеет это состояние, вы будете также отображаться сведения на какой процент сайтов в географического завершены таким образом, вы можете отслеживать ход его выполнения шифрования.

    • Зарегистрирован: Применения ключа шифрования клиента и зашифрованных все файлы на всех сайтах.

    • Чередующихся: Идет ключа пленка. Если ваш географического имеет это состояние, вы будете также отображаться сведения на какой процент сайты завершения операции ключа пленка таким образом, чтобы можно было отслеживать ход его выполнения.

Управление ключом клиента для Office 365

После настройкой ключ клиента для Office 365 вы можете выполнять следующие задачи по управлению дополнительные.

Восстановление хранилища Azure ключ разделов

Перед выполнением операции восстановления, используйте возможности восстановления, предоставляемые окончательным удалением. Все разделы, используемые с ключом клиента должны иметь окончательным удалением включена. Окончательным удалением выступает в корзину и позволяет восстановления без необходимости восстановить 90 дней. Восстановление должны только в крайних или необычные ситуациях, например, если ключ или ключа хранилища будут удалены. Если необходимо восстановить ключ для использования с клавишей клиента в Azure PowerShell выполните восстановление AzureKeyVaultKey командлет следующим образом:

Restore-AzureKeyVaultKey -VaultName <vaultname> -InputFile <filename>

Пример

Restore-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Если ключ с таким именем уже существует в ключа хранилища, произойдет сбой операции восстановления. Восстановление AzureKeyVaultKey восстанавливает все версии ключей и все метаданные для ключа, включая имя раздела.

Скользящее или поворот ключ в хранилище Azure ключ, использование ключом клиента

Скользящее ключи не является обязательным по какой-либо из хранилища Azure ключ или ключу клиента. Кроме того ключи, защищенные с помощью аппаратного нарушить практически невозможно. Даже если была корневой раздел в владение вредоносных субъект нет подходящего медианы использовать его для расшифровки данных, так как только Office 365 код знает, как с ее помощью. Тем не менее чередующихся ключ поддерживается ключ клиента.

Предупреждение: 

  • Только поверните ключа шифрования, который используется для клиента ключа при существует снимите флажок технические причина или требование соответствия определяет, что у вас есть к использованию ключа. Кроме того не удаляйте разделы, или были связаны с политики. Если ключи, будут содержимого зашифрован с предыдущей ключи. Например во время активной почтовые ящики будут повторно зашифрованы часто неактивен, отключенных и отключенные почтовые ящики по-прежнему зашифрован может быть при предыдущей клавиш со стрелками. SharePoint Online выполняет резервное копирование содержимого в целях и восстановления, поэтому иногда может возникнуть архивированных содержимого с помощью старых ключей.

  • Чтобы обеспечить безопасность данных, SharePoint Online позволит не более одной операции свернуть раздел находиться в ходе выполнения одновременно. Если вы хотите восстановить обоих ключей в ключа хранилища, необходимо подождать первой операции ключа пленка полного завершения. Мы рекомендуем является по ширине операции ключа пленка различные интервалы, чтобы это не проблема.

Свернуть раздел, запрашивается новой версии существующего ключа. Чтобы запросить новую версию существующий раздел, используйте командлет же Добавить AzureKeyVaultKeyс помощью синтаксиса, которая использовалась для создания ключа в первую очередь.

Пример

Add-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @(‘wrapKey’,’unwrapKey’) -NotBefore (Get-Date -Date “12/27/2016 12:01 AM”)

В данном примере с момента ключ с именем Contoso-O365EX-НД-VaultA1-Key001 уже существует в хранилище Contoso O365EX-НД VaultA1, новая версия ключа будет создана. Операция добавляет новую версию ключа. Эта операция сохраняет предыдущих версий ключа в раздел журнал версий, таким образом, чтобы данные, зашифрованные с помощью этого ключа можно по-прежнему расшифровать. После того как справитесь чередующихся любую клавишу, которая связана с помощью функции предотвращения выполнения данных, затем необходимо выполнить дополнительные командлет убедитесь, что ключ клиента начнет использовать новый ключ продукта.

Включение Exchange Online и Скайп для бизнеса с помощью нового ключа после свернуть или повернуть ключи в раздел хранилище Azure

Если любой из хранилища Azure ключ ключи, связанные с помощью функции предотвращения выполнения данных используется с Exchange Online и Скайп для бизнеса, выполните следующую команду, чтобы обновить функции предотвращения выполнения данных и включение Office 365, чтобы начать использовать новый ключ продукта.

Чтобы указать ключ клиента использовать новый ключ продукта для шифрования почтовых ящиков в Office 365, выполните командлет Set-DataEncryptionPolicy следующим образом:

Set-DataEncryptionPolicy <policyname> -Refresh 

В течение 48 часов active зашифрованные с помощью этой политики почтовых ящиков станет связанный с обновленными ключом. Следуйте указаниям в Определение функции предотвращения выполнения данных, присвоенный почтовый ящик для проверки значения свойства DataEncryptionPolicyID для почтового ящика. После применения ключа обновленные изменит значения данного свойства.

Включить SharePoint Online и OneDrive для бизнеса с помощью нового ключа после свернуть или повернуть ключи в раздел хранилище Azure

Если любой из использовать клавиши хранилища Azure ключ, связанный с помощью функции предотвращения выполнения данных в SharePoint Online и OneDrive для бизнеса, необходимо запустить Обновление SPODataEncryptionPolicy командлет обновить функции предотвращения выполнения данных и включение Office 365, чтобы начать использовать новый ключ продукта.

Update-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

Будет открыто операция ключа пленка для SharePoint Online и OneDrive для бизнеса. Это действие не немедленно. Чтобы просмотреть ход выполнения операции развертывания ключ, выполните командлет Get-SPODataEncryptionPolicy следующим образом:

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

Управление разрешениями ключа хранилища

Некоторые командлеты доступны, позволяющие просматривать и при необходимости удалить разрешения для хранилища ключа. При необходимости можно удалить разрешения, например, при увольнении сотрудника из группы.

Чтобы просмотреть разрешения хранилища ключей, выполните командлет Get-AzureRmKeyVault:

Get-AzureRmKeyVault -VaultName <vaultname>

Пример

Get-AzureRmKeyVault -VaultName Contoso-O365EX-NA-VaultA1

Чтобы удалить разрешения администратора, выполните командлет удалить AzureRmKeyVaultAccessPolicy:

Remove-AzureRmKeyVaultAccessPolicy -VaultName <vaultname> 
-UserPrincipalName <UPN of user>

Пример

Remove-AzureRmKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
-UserPrincipalName alice@contoso.com

Определение функции предотвращения выполнения данных, назначенных для почтового ящика

Чтобы определить функции предотвращения выполнения данных, назначенных для почтового ящика, используйте командлет Get-MailboxStatistics. Командлет возвращает уникальный идентификатор (GUID).

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID

Где GeneralMailboxOrMailUserIdParameter указывает почтового ящика. Дополнительные сведения о командлет Get-MailboxStatistics Get-MailboxStatisticsсм.

Чтобы узнать, понятное имя функции предотвращения выполнения данных, которой назначен почтовый ящик, выполнив следующий командлет с помощью GUID.

Get-DataEncryptionPolicy <GUID>

Где GUID — это GUID, возвращаемые командлет Get-MailboxStatistics на предыдущем шаге.

Совершенствование навыков работы с Office
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×