控制您在使用客户密钥 Office 365 中的数据

重要:  本文是由机器翻译的,请参阅免责声明。请在 此处 中查找本文的英文版本以便参考。

与客户的键,您可以控制您的组织的加密密钥,然后配置为使用您在 Microsoft 的数据中心中的其余部分的数据进行加密的 Office 365。在其余的数据中包括 Exchange Online 和 Skype for Business 存储在邮箱和 SharePoint Online 中存储的文件和 OneDrive for Business 中的数据。

您可以使用 Office 365 客户密钥之前,必须设置 Azure。本主题介绍您需要创建和配置所需的 Azure 资源执行下面的步骤,然后设置 Office 365 中的客户参数提供的步骤。Azure 设置完成后,您确定哪个策略,,因此,哪些键,将分配给邮箱和您的组织中的文件。邮箱和不为其分配策略的文件将使用加密策略控制并通过 Microsoft 进行管理。有关客户参数的详细信息或的概述,请参阅客户密钥 Office 365 常见问题。

注意: 我们强烈建议您按照本主题中的最佳做法。这些提示重要标注。客户键使您能够控制其范围可以与您的整个组织为根加密密钥。这意味着错误做出这些键可以具有广泛的影响,并可能导致服务中断或不可撤销丢失的数据。

设置客户键开始之前

开始之前,请确保您拥有您的组织的适当许可。在 Office 365 中的客户参数是 Office 365 E5 或高级合规性 SKU 中提供的。

然后,若要了解的概念和本主题中的过程,您应查看Azure 密钥保管库文档。此外,熟悉 Azure,例如,租户中使用的术语。

客户参数设置为 Office 365 概述

若要设置客户键将完成这些任务。本主题的其余部分提供了有关每个任务,还是出流程中的每个步骤的详细信息的链接的详细的说明。

在 Azure 和 Microsoft FastTrack:   

您将通过远程连接到 PowerShell 的 Azure 完成大多数这些任务。为获得最佳结果,使用版本 4.4.0 或更高版本的 Azure PowerShell。

在 Office 365:   

Exchange Online 和 Skype for Business:

SharePoint Online 和 OneDrive for Business:

Azure 密钥保管库和 Microsoft FastTrack 客户键中完成任务

为 Office 365 设置客户密钥才能完成 Azure 密钥保管库中的这些任务。您将需要完成这些步骤,不管您是否打算设置客户参数为 Exchange Online 和 Skype for Business 或 SharePoint Online 和 OneDrive 商业版或 Office 365 中的所有支持服务。

创建两个新的 Azure 订阅

两个 Azure 订阅所需的客户参数。作为最佳实践,Microsoft 建议使用客户键创建用于新 Azure 订阅。只有授权同一个租户中 Azure Active Directory (AAD) 中的应用程序的 azure 密钥保管库键,必须创建使用同一个 Azure AD 租户中使用您的 Office 365 组织将在哪里分配 DEPs 新订阅。例如,使用您在 Office 365 组织中具有全局管理员权限的工作或学校帐户。有关详细步骤,请参阅注册 Azure 组织为

注释: 

  • 客户参数为每个数据加密策略 (DEP) 需要两个键。为了实现此目的,必须创建两个 Azure 订阅。作为最佳实践,Microsoft 建议您拥有您的组织的单独成员配置每个订阅的一个键。此外,这些 Azure 订阅,仅应使用 Office 365 管理加密密钥。您运算符之一意外、 有意,或恶意删除或否则 mismanages 他们有责任键的情况下,这会保护您的组织。

  • 我们建议您设置仅用于管理与客户参数用于 Azure 密钥保管库资源的新 Azure 订阅。没有实用 Azure 订阅,您可以为您的组织创建的数量限制。遵循以下最佳做法将最小化人为错误的影响时帮助管理客户参数使用的资源。

提交请求以激活 Office 365 通过 Microsoft FastTrack 客户密钥

一旦您已完成的 Azure 步骤,您需要提交服务请求Microsoft FastTrack 门户中。提交 FastTrack 通过您的请求时,Microsoft 验证您 Azure 密钥保管库的设置,并收集重要联系人的信息,我们将需要如果你以往选择取消 Office 365 访问键。您将需要执行此步骤一次为 Exchange Online 和 Skype for Business 报道,另一次以激活版 SharePoint Online 和 OneDrive for Business 客户密钥激活客户参数。

若要提交报价激活客户密钥,请完成以下步骤:

  1. 使用具有全局管理员权限,您的 Office 365 组织中的工作或学校帐户,请登录到Microsoft FastTrack 门户

  2. 一旦您已登录,浏览到仪表板

  3. 选择提供,并查看当前优惠的列表。

  4. 了解更多选择适用于您优惠:

    • Exchange Online 和 Skype for Business:Exchange 客户密钥优惠,选择了解更多

    • SharePoint Online 和 OneDrive for Business:SharePoint 和 OneDrive for Business 客户密钥优惠,选择了解更多

  5. 订阅详细信息页面上,选择创建请求

  6. 填写所有适用的详细信息和优惠窗体上请求的信息,然后选择提交

    一旦您已提交优惠窗体,等待,直至 Microsoft 通知您可以继续。此过程可能会最多五个工作日后已请求的通知 Microsoft。

注册 Azure 订阅为执行不取消 (DNC)

临时或永久丢失根加密密钥可以非常中断或甚至严重到服务操作,并可能导致数据丢失。因此,与客户参数使用的资源要求强保护。与客户键一起使用的所有 Azure 资源提供保护机制之外的默认配置。可以标记或将阻止即时和不可撤销取消的方式注册 azure 订阅。这被指为执行不取消 (DNC)。注册 Azure 订阅所需的步骤需要使用 Office 365 工作组协作。此过程可能需要几天。

联系 Office 365 团队之前, 必须为每个与客户键一起使用时的 Azure 订阅执行以下步骤:

  1. 登录到您使用 Azure PowerShell 的 Azure 订阅。有关说明,请参阅使用 PowerShell 的 Azure 登录

  2. 运行 Register AzureRmProviderFeature cmdlet 作为执行取消注册您的订阅。

    Register-AzureRmProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources
  3. 请联系 Microsoft 能够完成该过程。SharePoint 和 OneDrive for Business 工作组中,请联系spock@microsoft.com。Exchange Online 和 Skype for Business,请联系exock@microsoft.com。服务级别协议 (SLA) 完成此过程为五个工作日后 Microsoft 经过通知 (和检验) 的已注册为 DNC 订阅。

  4. Microsoft 通知您,您可以继续操作之前等待。这可能需要多达 5 天。

  5. 后您收到来自 Microsoft 的通知,请检查您注册的状态通过运行获取 AzureRmProviderFeature cmdlet,如下所示:

    Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Resources -FeatureName mandatoryRetentionPeriodEnabled
  6. 一旦中获取 AzureRmProviderFeature cmdlet注册状态属性返回已注册的值,运行以下命令以完成该过程:

    Register-AzureRmResourceProvider -ProviderNamespace "Microsoft.KeyVault"

创建高级版 Azure 密钥保管库中的每个订阅

创建关键保管库的步骤都记录在入门 Azure 密钥保管库,这将指导你完成安装和启动 PowerShell 的 Azure,连接到您的 Azure 订阅创建资源组,并创建关键保管库中该资源组。

创建关键保管库时,您必须选择一种 SKU: 标准或高级版。标准 SKU 允许 Azure 密钥保管库键以用软件-没有硬件安全模块 (HSM) 关键保护-进行保护并 Premium SKU 允许 Hsm 用于密钥保管库键的保护。尽管 Microsoft 强烈建议您使用的高级 SKU,客户参数接受使用任一 SKU、 的关键存储库。具有两种类型的键操作的成本是相同的因此仅成本差异每月每个 HSM 保护键的成本。有关详细信息,请参阅密钥保管库定价

注意: 用于生产数据的高级 SKU 关键电子仓库和 HSM 保护键并仅用于测试和验证使用标准 SKU 关键存储库和键。

客户参数将使用每个 Office 365 服务,创建关键保管库中创建两个 Azure 订阅的每个。例如,对于 Exchange Online 和 Skype for Business 仅或 SharePoint Online 和 OneDrive for Business 仅,您将创建仅有一对存储库。若要为 Exchange Online 和 SharePoint Online 中启用客户参数,将创建两对关键存储库。

用于反映将与其相关联电子仓库 DEP 的用途的关键存储库的命名约定。请参阅下面的命名约定建议的最佳做法部分。

创建的单独为每个数据加密策略存储库的成对集。Exchange online 数据加密策略的作用域选择由您分配到邮箱策略时。邮箱可以有只能有一个策略分配,并且您可以创建多达 50 策略。SharePoint online 策略的范围是所有内组织中的地理位置或地理数据。

创建关键存储库的由于关键存储库需要存储容量 (尽管很小),并且密钥保管库日志记录,如果已启用,还会生成存储的数据,还需要创建 Azure 资源组。最佳做法是 Microsoft 建议使用单独的管理员管理每个资源组中,将管理相关的所有客户参数资源的管理员设置对齐管理。

注释: 

  • 若要最大化可用性,关键存储库应在您的 Office 365 服务接近的区域中。例如,如果您的 Exchange Online 组织北美地区中,在北美地区放置关键存储库。如果您的 Exchange Online 组织在欧洲,欧洲放置密钥存储库。

  • 常见前缀用于关键存储库,并且包括缩写的使用和关键保管库和键范围 (例如,对于电子仓库将位于北美的名称可能对 Contoso SharePoint 服务是 Contoso O365SP NA VaultA1 和康浦-O365SP-NA-VaultA2。保管库名称是全局唯一字符串内 Azure,因此您可能需要尝试您所需的名称的变体,以防已经由其他 Azure 客户占用了所需的名称。年 7 月 2017年保管库名称不能更改,以便最佳做法是具有书面的计划的设置和使用另一个人可以验证该计划执行正确。

  • 如果可能,请在非成对区域中创建存储库。成对 Azure 地区跨服务失败域提供高可用性。因此,可以将区域对看作彼此的备份的区域。这意味着放在一个地区 Azure 资源自动获得容错通过成对的区域。因此,选择两个地区哪里仅两个区域的可用性总共正在使用的成对的意味着 DEP 中使用的存储库的区域。多数地区只能有两个区域,以便它尚不能选择非成对地区。如果可能,请选择两个非成对区域的两个电子仓库用于 dep。此受益总共四个区域的可用性。有关详细信息,请参阅业务连续性和灾难恢复 (BCDR): Azure 成对地区的区域对当前列表。

将权限分配给每个关键存储库

为每个关键保管库,您将需要定义三个单独的客户键,具体取决于您实施工作结束后的权限集。例如,您将需要定义一组的以下各项的权限:

  • 将为您的组织执行日常的关键存储库管理密钥保管库管理员。这些任务包括备份、 创建、 获取、 导入,列表中,并还原。

    注意: 组权限分配给关键保管库管理员不包含要删除注册表项的权限。这是有意和重要的练习。删除加密密钥不通常是,因为这样永久执行将破坏数据。作为最佳实践,不要授予此权限关键保管库管理员默认情况下。相反,保留此键保管库参与者,仅将其分配给短期基础上的管理员,一旦后果清楚地了解已理解。

    要分配给您的 Office 365 组织中的用户这些权限,请登录到您使用 Azure PowerShell 的 Azure 订阅。有关说明,请参阅使用 PowerShell 的 Azure 登录

  • 运行设置 AzureRmKeyVaultAccessPolicy cmdlet 分配所必需的权限。

    Set-AzureRmKeyVaultAccessPolicy -VaultName <vaultname> 
    -UserPrincipalName <UPN of user> -PermissionsToKeys create,import,list,get,backup,restore
    

    例如:

    Set-AzureRmKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
    -UserPrincipalName alice@contoso.com -PermissionsToKeys create,import,list,get,backup,restore
    
  • 可以更改权限 Azure 密钥保管库自身的密钥保管库参与者。您需要更改这些权限,因为员工离开或加入您的团队,或在极少的情况下,键保险管理员合法需要删除或还原项的权限。要授予您关键的存储库的参与者角色的关键保管库参与者需要此组。您可以使用 Azure 资源管理器分配此角色。有关详细步骤,请参阅Use Role-Based 管理访问 Azure 订阅资源的访问控制。创建订阅的管理员为参与者角色分配其他管理员的能力以及隐式,具有此访问权限。

  • 如果您想要使用与 Exchange Online 和 Skype for Business 的客户参数,您需要 Office 365 企业版中使用 Exchange Online 和 Skype 代表关键保管库中授予权限。同样,如果您想要使用与 SharePoint Online 和 OneDrive for Business 的客户参数,您需要添加 Office 365 企业版中使用 SharePoint Online 和 OneDrive 代表关键保管库的权限。若要向 Office 365 中授予的权限,运行Set-AzureRmKeyVaultAccessPolicy cmdlet 使用以下语法:

    Set-AzureRmKeyVaultAccessPolicy –VaultName <vaultname> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

    其中:

    • vaultname是您创建关键保管库的名称。

    • 为 Exchange Online 和 Skype for Business,替换为Office 365 应用程序标识00000002-0000-0ff1-ce00-000000000000

    • 有关 SharePoint Online 和 OneDrive for Business,替换为Office 365 应用程序标识00000003-0000-0ff1-ce00-000000000000

    示例: 设置 Exchange Online 和 Skype for Business 的权限:

    Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365EX-NA-VaultA1 
    -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

    示例: 设置 SharePoint Online 和 OneDrive for Business 的权限

    Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365SP-NA-VaultA1 
    -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000

启用,然后确认软删除的关键存储库

您可以快速恢复键,您就不太可能会遇到意外或恶意删除键由于扩展的服务中断。您需要启用此配置,称为软删除,然后您才能使用与客户键的键。启用软删除允许您无需从备份中还原删除的 90 天内恢复键或存储库。

要在关键存储库中启用软删除,请完成以下步骤:

  1. 登录到您使用 Windows Powershell 的 Azure 订阅。有关说明,请参阅使用 PowerShell 的 Azure 登录

  2. 运行获取 AzureRmKeyVault cmdlet,如下所示:

    $v = Get-AzureRmKeyVault -VaultName <vaultname>
    $r = Get-AzureRmResource -ResourceId $v.ResourceId
    $r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
    Set-AzureRmResource -ResourceId $r.ResourceId -Properties $r.Properties

    其中vaultname是您要为其启用软删除该密钥存储库的名称。

  3. 确认删除柔化已通过运行Get-AzureRmKeyVault cmdlet 配置密钥保管库:

    Get-AzureRmKeyVault -VaultName <vaultname> | fl

    如果删除柔化为关键保管库正确配置, Soft Delete Enabled?属性将返回值为True

添加到每个关键保管库或者通过创建或导入键的键

有两种方法将项添加到 Azure 密钥保管库;您可以直接在密钥保管库中,创建一个键或可以导入密钥。直接在密钥保管库中创建项时不太复杂的方法,导入密钥提供总控制如何生成密钥。

若要直接在您的关键存储库中创建一个密钥,请运行添加 AzureKeyVaultKey cmdlet,如下所示:

Add-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname> -Destination <HSM|Software> -KeyOps wrapKey,unwrapKey

其中:

  • vaultname是要在其中创建键的键保管库的名称。

  • 键名是您想要为新的密钥的名称。

    注意: 根据上述内容的关键存储库使用类似的命名约定名称键。这种方式,在显示仅关键名称的工具,字符串自描述。

  • 如果您打算使用 HSM 保护密钥,请确保您指定HSM作为Destination参数值,否则,指定软件

例如,

Add-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination Software -KeyOps wrapKey,unwrapKey

若要直接在您的关键存储库导入密钥,您需要具有 Thales nShield 硬件安全模块。

某些组织倾向于使用此方法建立的其键和此 provenance 方法还提供了下列操作:

  • 用于导入的工具集包括用于加密的密钥生成密钥 Exchange 密钥 (KEK) 不可导出 Thales 从审计和内 Thales 制造正版 HSM 生成。

  • 工具集包括从 Thales 上由 Thales 制造正版 HSM 也生成 Azure 密钥保管库安全世界审计。此审计证明您 Microsoft 也在使用正版 Thales 硬件。

请与您的安全组,以确定是否需要上述 attestations。创建关键本地,并将其导入到您的关键存储库的详细步骤,请参阅如何生成和转移 HSM 受保护的快捷键 Azure 密钥保管库。使用 Azure 说明在每个关键保管库中创建一个密钥。

检查恢复级别的键

Office 365 需要 Azure 密钥保管库订阅将设置为不取消和由客户键的键已启用的柔化删除。您可以通过查看恢复级别上键进行确认。

要检查恢复级别的键,请在 Azure PowerShell 中运行获取 AzureKeyVaultKey cmdlet,如下所示:

(Get-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname>).Attributes 

如果Recovery Level属性返回值为可恢复 + ProtectedSubscription以外的任何内容,您将需要仔细阅读本主题,并确保您已按照所有订阅置于执行取消列表中的步骤,并且您具有对每个关键存储库启用软删除。

备份 Azure 存储库

立即到键,请按照创建或更改任何执行备份和存储的备份,联机和脱机副本。脱机副本,应不连接到任何网络,例如在物理安全或商业存储设施。至少一个备份副本应放在发生灾难时可以访问的位置。备份 blob 是应密钥保管库密钥永远删除或否则呈现无法运行还原密钥材料的唯一方法。外部的 Azure 密钥保管库和已导入到 Azure 密钥存储库的键客户键以使用密钥必需的元数据不存在与外部键,因此不符合为备份。仅备份 Azure 密钥存储库中时可以使用客户密钥用于还原操作。因此,它是基本后上载或创建密钥的情况下进行 Azure 密钥保管库的备份。

若要创建的 Azure 密钥保管库密钥备份,请运行备份 AzureKeyVaultKey cmdlet,如下所示:

Backup-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname> 
-OutputFile <filename.backup>

确保您的输出文件使用后缀.backup

得到此 cmdlet 输出文件已加密,不能使用外部 Azure 密钥保管库。可以仅与 Azure 订阅从中备份还原备份。

注意: 输出文件中,选择您保管库的名称和关键名称的组合。这将使文件名称自我介绍。也可以确保备份文件的名称不执行发生冲突。

例如:

Backup-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -OutputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

验证 Azure 密钥保管库配置设置

执行验证之前 DEP 中使用键是可选的但强烈建议。具体而言,如果您使用的步骤来设置您的键和存储库本主题中介绍的是其他之前配置客户密钥, 应验证 Azure 密钥保管库资源的运行状况。

若要验证您的密钥具有启用获取、 wrapKey 和 unwrapKey 操作:

运行获取 AzureRmKeyVault cmdlet,如下所示:

Get-AzureRMKeyVault -VaultName <vaultname>

在输出中,根据需要查看访问策略和 Exchange Online 标识 (GUID) 或 SharePoint Online 的标识 (GUID)。与键,必须在权限下显示所有三个以上的权限。

如果访问策略配置不正确,请运行设置 AzureRmKeyVaultAccessPolicy cmdlet,如下所示:

Set-AzureRmKeyVaultAccessPolicy –VaultName <vaultname> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

例如,对于 Exchange Online 和 Skype for Business:

Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365EX-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

例如,对于 SharePoint Online 和 OneDrive for Business:

Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365SP-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName TBD

若要验证不会为您键设置到期日期:

运行获取 AzureKeyVaultKey cmdlet,如下所示:

Get-AzureKeyVaultKey -VaultName <vaultname> -KeyName <keyname> 

过期的键不能由客户参数和过期密钥尝试的操作将失败,并可能导致服务中断。我们强烈建议配合客户键的键没有到期日期。一旦设置,不能删除,但可以更改为不同的日期到期日期。如果键必须使用包含设置到期日期,请到 12/31/9999 更改过期值。带有到期日期将设置为日期以外 12/31/9999 不会传递 Office 365 验证键。

若要更改已设置为 12/31/9999 以外的任何值的过期日期,请运行设置 AzureKeyVaultKeyAttribute cmdlet,如下所示:

Set-AzureKeyVaultKeyAttribute –VaultName <vaultname> -Name <keyname> 
-Expires (Get-Date -Date “12/31/9999”)

注意: 不在您与客户键一起使用的加密密钥上设置到期日期。

获取 Azure 密钥保管库中的每个键的 URI

一旦您已完成 Azure 以设置密钥存储库中的所有步骤,并添加键,运行以下命令以 URI 获取每个关键保管库中的键。您需要使用这些 Uri 时创建和分配每个 DEP 更高版本,因此在一个安全位置保存此信息。请记住要运行此命令一次为每个关键保管库。

在 Azure PowerShell:

(Get-AzureKeyVaultKey -VaultName <vaultname>).Id

为 Exchange Online 和 Skype for Business 客户参数的 office 365: 设置

在开始之前,确保您已完成的任务所需设置 Azure 密钥存储库。信息,请参阅Azure 密钥保管库和 Microsoft FastTrack 客户键中的完成任务

若要设置为 Exchange Online 和 Skype for Business 客户参数,您将需要通过远程连接到 Exchange Online 使用 Windows PowerShell 执行这些步骤。

用于 Exchange Online 和 Skype for Business 中创建数据加密策略 (DEP)

DEP 是与 Azure 密钥存储库中存储的键一组相关联。在 Office 365 中的邮箱中分配 DEP。Office 365 将使用策略中标识的键来加密邮箱。若要创建 DEP,您需要密钥保管库 Uri 之前获得。有关说明,请参阅获取 Azure 密钥保管库键 URI

请记住 !当您创建 DEP 时,您可以指定位于两个不同的 Azure 密钥存储库中的两个键。确保这些键位于两个单独的 Azure 区域以确保地理冗余。

若要创建 DEP,请按照下列步骤:

  1. 在本地计算机上使用 Office 365 组织,连接到 Exchange Online PowerShell通过打开 Windows PowerShell,并运行以下中具有全局管理员权限的工作或学校帐户命令。

    $UserCredential = Get-Credential
  2. 在 Windows PowerShell 凭据请求对话框中,输入您的工作或学校帐户信息,然后单击确定,然后输入以下命令。

    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
  3. 运行以下命令。

    Import-PSSession $Session
  4. 若要创建 DEP,请通过键入以下命令来使用新建 DataEncryptionPolicy cmdlet。

    New-DataEncryptionPolicy -Name <PolicyName> -Description "PolicyDescription" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>

    其中:

    • PolicyName是要使用的策略的名称。名称不能包含空格。例如,USA_mailboxes。

    • PolicyDescription是用户友好说明将帮助您记住在策略的用途的策略。在说明,您可以包括空格。例如,根邮箱 USA 和其区域中的键。

    • KeyVaultURI1是策略中的第一个键 URI。例如,https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01。

      KeyVaultURI2是策略中的第二个键的 URI。例如,https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02。将两个 Uri 由逗号和空格分隔开。

示例:

New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02

将 DEP 分配给邮箱

通过使用设置邮箱 cmdlet DEP 分配一个邮箱。Office 365 后分配策略,可以使用密钥指定在 dep。 加密邮箱

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

其中MailboxIdParameter指定一个邮箱。有关设置邮箱的 cmdlet 的详细信息,请参阅设置邮箱

验证邮箱加密

加密邮箱,则可能需要一些时间。第一次策略工作分配的邮箱还必须完成移动到另一个数据库中的,该服务可以加密邮箱之前。我们建议您等待之前尝试之后更改 DEP 或第一次您的邮箱分配 DEP 验证加密 72 小时。

使用 Get-mailboxstatistics cmdlet 来确定邮箱均已加密。

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

如果未加密的邮箱,进行加密属性返回值为true如果邮箱已加密和false的值。

为 SharePoint Online 和 OneDrive for Business 客户参数的 office 365: 设置

在开始之前,确保您已完成的任务所需设置 Azure 密钥存储库。信息,请参阅Azure 密钥保管库和 Microsoft FastTrack 客户键中的完成任务

若要设置 SharePoint Online 和 OneDrive for Business 客户参数,您需要通过远程连接到 SharePoint Online 使用 Windows PowerShell 执行这些步骤。

为业务地理为每个 SharePoint Online 和 OneDrive 中创建数据加密策略 (DEP)

DEP 是与 Azure 密钥存储库中存储的键一组相关联。您将 DEP 应用于所有在一个地理位置,也称为地理数据。如果您使用 Office 365 的多个地理功能 (当前在预览) 时,您可以创建一个 DEP 每个地理。如果您没有使用多个地区,您可以使用与 SharePoint Online 和 OneDrive for Business 在 Office 365 中创建一个 DEP。Office 365 将使用 DEP 中标识的键进行加密的地理数据。若要创建 DEP,您需要密钥保管库 Uri 之前获得。有关说明,请参阅获取 Azure 密钥保管库键 URI

请记住 !当您创建 DEP 时,您可以指定位于两个不同的 Azure 密钥存储库中的两个键。确保这些键位于两个单独的 Azure 区域以确保地理冗余。

若要创建 DEP,您需要远程通过使用 Windows PowerShell 连接到 SharePoint Online。

  1. 在本地计算机上使用 Office 365 组织,连接到 SharePoint Online Powershell中具有全局管理员权限的工作或学校帐户。

  2. 在 Microsoft SharePoint Online Management Shell,运行Register SPODataEncryptionPolicy cmdlet,如下所示:

    Register-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>

    当您注册 DEP 时,加密开始地区中的数据。这可能需要一些时间。

验证加密的组网站、 工作组网站和 OneDrive for Business

通过运行获取 SPODataEncryptionPolicy cmdlet,如下所示,您可以检查加密的状态:

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

此 cmdlet 的输出包括:

  • 主键的 URI。

  • 辅助键 URI。

  • 地理加密状态。可能的状态包括:

    • 未注册:客户密钥加密不被应用。

    • 注册:已应用客户密钥加密和加密处于您的文件。如果您地理处于此状态时,您将也会显示信息上的网站中的地理百分比已完成,以便您可以监控加密进度。

    • 注册:应用了客户密钥加密,并在所有网站中的所有文件已都加密。

    • 滚动:正在关键的照片。如果您地理处于此状态,您将也会显示信息在网站的百分比,以便您可以监控进度完成关键照片操作。

管理客户的 Office 365 的参数

已设置 Office 365 客户密钥后,您可以执行这些额外的管理任务。

还原 Azure 密钥保管库键

恢复之前,使用软删除提供的恢复功能。与客户键一起使用的所有键都所需已启用的柔化删除。柔化删除相当于回收站,允许而无需还原达 90 天内恢复它。仅还原极端或异常的情况下,例如,如果键或关键保管库都将丢失所必需。如果必须使用客户密钥还原使用的密钥 Azure PowerShell 中运行还原 AzureKeyVaultKey cmdlet,如下所示:

Restore-AzureKeyVaultKey -VaultName <vaultname> -InputFile <filename>

例如:

Restore-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

如果关键存储库中已存在具有相同名称的键,恢复操作将失败。还原 AzureKeyVaultKey 还原所有主要版本和所有元数据,包括关键名称键。

滚动或旋转与客户键一起使用时的 Azure 密钥保管库中的键

滚动键并不需要由任一 Azure 密钥保管库或客户键。此外,程序几乎不可能有损设有 HSM 的键值。即使根键已拥有的恶意参与者没有使用它来解密数据,因为仅限 Office 365 代码知道如何使用它的可行的方法。但是,或滚动键受支持客户参数。

注释: 

  • 仅汇总存在清除技术原因或合规性要求决定您需要汇总键时,与客户键一起使用的加密密钥。此外,请不要删除任何键或与其关联的策略。如果将您的键,将内容加密与上一键。例如,在活动的邮箱,会被重新加密通常情况下,非活动状态时断开连接,并禁用邮箱可能仍加密与上一键。SharePoint Online 执行备份的内容进行还原和恢复,因此可能仍使用较旧的键归档的内容。

  • 若要确保您的数据的安全,SharePoint Online 将允许存在多个键滚动操作正在进行的一次。如果您想要在关键保管库中的两个键滚动,您需要等待到第一个关键照片操作完全完成。我们建议是不同的间隔,交错关键照片操作,以便不是问题。

汇总了密钥,当您正在请求新版本的现有密钥。要申请新版本的现有密钥,请您使用相同的 cmdlet,添加 AzureKeyVaultKey,以及用于最初创建该密钥相同的语法。

例如:

Add-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @(‘wrapKey’,’unwrapKey’) -NotBefore (Get-Date -Date “12/27/2016 12:01 AM”)

在此示例中,因为键名Contoso-O365EX-NA-VaultA1-Key001已经存在Contoso O365EX NA VaultA1存储库中的将创建一个新的主要版本。操作添加一个新的主要版本。此操作保留早期的关键版本中项的版本历史记录,以便仍然可以解密以前使用该密钥加密的数据。一旦理清滚动与 DEP 相关联的任何键,您必须运行其他 cmdlet,以确保客户键开始使用新的密钥。

启用 Exchange Online 和 Skype for Business 以使用新的密钥后汇总或旋转 Azure 密钥保管库中的键

当您滚动任一 DEP 与关联的 Azure 密钥保管库键用于 Exchange Online 和 Skype for Business 时,您必须运行以下命令以更新 DEP 并启用 Office 365 开始使用新的密钥。

若要指示客户密钥以使用新的密钥加密在 Office 365 中的邮箱运行设置 DataEncryptionPolicy cmdlet,如下所示:

Set-DataEncryptionPolicy <policyname> -Refresh 

48 小时内,使用此策略加密的活动邮箱将成为与更新后的键关联。使用确定 DEP 分配给邮箱中的步骤以检查邮箱 DataEncryptionPolicyID 属性的值。在应用更新的密钥后,将更改此属性的值。

启用 SharePoint Online 和 OneDrive for Business 汇总或旋转 Azure 密钥保管库中的键后,使用新的密钥

当您滚动与关联的 Azure 密钥保管库键任一 DEP 用于 SharePoint Online 和 OneDrive for Business 时,必须运行更新 SPODataEncryptionPolicy cmdlet 来更新 DEP 并启用 Office 365 开始使用新的密钥。

Update-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

这将启动 SharePoint Online 和 OneDrive for Business 的关键照片操作。此操作不会立即。若要查看的密钥汇总操作的进度,请运行获取 SPODataEncryptionPolicy cmdlet,如下所示:

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

管理关键保管库权限

多个 cmdlet 可,使您能够查看和,如有必要,删除关键保管库的权限。您可能需要删除权限,例如,当员工离开团队。

若要查看关键保管库的权限,请运行获取 AzureRmKeyVault cmdlet:

Get-AzureRmKeyVault -VaultName <vaultname>

例如:

Get-AzureRmKeyVault -VaultName Contoso-O365EX-NA-VaultA1

若要删除管理员权限,请运行删除 AzureRmKeyVaultAccessPolicy cmdlet:

Remove-AzureRmKeyVaultAccessPolicy -VaultName <vaultname> 
-UserPrincipalName <UPN of user>

例如:

Remove-AzureRmKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
-UserPrincipalName alice@contoso.com

确定分配给邮箱 DEP

要确定分配给邮箱 DEP,请使用 Get-mailboxstatistics cmdlet。该 cmdlet 返回唯一标识符 (GUID)。

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID

其中GeneralMailboxOrMailUserIdParameter指定一个邮箱。有关 Get-mailboxstatistics cmdlet 的详细信息,请参阅Get-mailboxstatistics

GUID 用于找出 DEP 通过运行以下 cmdlet,该邮箱分配到的友好名称。

Get-DataEncryptionPolicy <GUID>

其中GUID是 GUID 返回上一步中 Get-mailboxstatistics cmdlet。

注意: 机器翻译免责声明:本文是由无人工介入的计算机系统翻译的。Microsoft 提供机器翻译是为了帮助非英语国家/地区用户方便阅读有关 Microsoft 产品、服务和技术的内容。由于机器翻译的原因,本文可能包含词汇、语法或文法方面的错误。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×