控制您使用金鑰客戶的 Office 365 中的資料

附註:  我們想要以您的語言,用最快的速度為您提供最新的說明內容。 本頁面是經由自動翻譯而成,因此文中可能有文法錯誤或不準確之處。讓這些內容對您有所幫助是我們的目的。希望您能在本頁底部告訴我們這項資訊是否有幫助。 此為 英文文章 出處,以供參考。

與客戶鍵,您可以控制貴組織的加密金鑰並設定 Office 365,以用來加密資料在 Microsoft 的資料中心的其餘部分。在其餘的資料,包括 Exchange Online 和信箱與儲存在 SharePoint Online 中的檔案中所儲存的商務用 Skype 和商務用 OneDrive 中的資料。

您可以使用 Office 365 客戶鍵之前,您必須先設定 Azure。本主題說明您所需建立及設定所需的 Azure 資源所遵循的步驟,然後提供的步驟設定 Office 365 中的客戶識別碼。在您完成 Azure 設定之後,您可以判斷哪些原則,以及因此,哪些鍵,以指派給信箱與您組織中的檔案。信箱和未將指派原則的檔案會使用加密原則會控制且由 Microsoft 管理。如需客戶鍵,或用一般的概觀,請參閱for Office 365 常見問題集的客戶識別碼。

重要: 我們強烈建議您依照本主題中的最佳作法。這些秘訣重要叫出。客戶鍵可讓您控制其範圍可為整個組織的根加密金鑰。這代表有這些按鍵所產生的錯誤可能會有廣泛的影響,以及可能會導致服務中斷或冒用影響您的資料。

開始之前設定客戶索引鍵

在您開始之前,請先為您的組織適當授權。在 Office 365 E5 或進階規範 SKU 提供在 Office 365 中的客戶識別碼。

然後,您應該瞭解概念,以及在本主題中的程序,檢閱Azure 金鑰保存庫文件。此外,熟悉 Azure,例如租用戶中所用的字詞。

若要提供意見反應客戶鍵,包括文件,傳送您的想法、 建議和檢視方塊至 customerkeyfeedback@microsoft.com。

設定 Office 365 客戶索引鍵的概觀

若要設定讓客戶鍵,您會完成這些工作。其餘部分本主題提供每個任務或查看連結程序中的每一個步驟的詳細資訊的詳細的的指示。

Azure 和 Microsoft FastTrack:   

您必須完成這些任務的最遠端 PowerShell 的 Azure 連接。為求最佳效果,使用版本 4.4.0 或更新版本的 PowerShell 的 Azure。

在 Office 365:   

Exchange Online 和商務用 Skype:

SharePoint Online 和商務用 OneDrive 中:

Azure 鍵保存庫和 Microsoft FastTrack 客戶機碼中完成的工作

設定 Office 365 客戶鍵才能完成這些 Azure 金鑰保存庫中的工作。您必須完成這些步驟,無論您是否要設定客戶索引鍵的 Exchange Online 和 Skype 商務或 SharePoint Online 和 OneDrive 企業版或 Office 365 中的所有支援服務。

建立兩個新的 Azure 訂閱

兩個 Azure 訂閱所需客戶鍵。最佳作法是 Microsoft 還是建議您以使用新的 Azure 訂閱與客戶索引鍵。Azure 鍵保存庫鍵只可以在相同的 Azure Active Directory (AAD) 租用戶中的應用程式授權,您必須建立新的訂閱,使用使用您的 Office 365 組織指派 DEPs 相同的 Azure AD 租用戶。例如,使用您有 Office 365 組織中的全域管理員權限的公司或學校帳戶。如需詳細步驟,請參閱註冊 Azure 做為組織

重要: 

  • 客戶鍵會針對每個資料加密原則 (DEP) 需要兩個機碼。若要達到此目標,您必須建立兩個 Azure 訂閱。最佳作法是 Microsoft 建議您已設定每個訂閱中的一個按鍵貴組織的個別成員。此外,這些 Azure 訂閱應該只用於 Office 365 管理加密金鑰。這可以保護您的組織,以防您運算子的其中一個不小心、 刻意,或惡意刪除或否則 mismanages 他們負責的按鍵。

  • 我們建議您設定新的 Azure 訂閱僅可用於客戶金鑰管理用於 Azure 金鑰保存庫資源。沒有實際的限制,您可以為您的組織建立的 Azure 訂閱的數目。遵循下列最佳作法會最小化人力錯誤的影響時協助管理客戶鍵所使用的資源。

送出啟動 Office 365 客戶索引鍵的要求

當您完成 Azure 的步驟時,您必須提交服務要求在Microsoft FastTrack 入口網站。一旦您已送出到 FastTrack 入口網站的要求,Microsoft 就會驗證 theAzure 金鑰保存庫設定資料 」 與 「 連絡人資訊您提供。在貴組織的相關授權長優惠表單中所做的選擇為要徑與必要的客戶鍵註冊完成。您在表單中選取貴組織的長會使用以確保撤銷及 destroy 客戶索引鍵資料加密原則搭配使用的所有按鍵任何要求的授權。您需要執行此步驟中一次啟動客戶索引鍵的 Exchange Online 和 Skype 商務涵蓋與一次啟動 SharePoint Online 和商務用 OneDrive 的 [客戶識別碼。

送出的提議,若要啟動客戶金鑰,請完成以下步驟:

  1. 使用 Office 365 組織中具有全域管理員權限的公司或學校帳戶,請登入Microsoft FastTrack 入口網站

  2. 當您登入,瀏覽至 [儀表板

  3. 選擇 [提供,並檢閱目前提供的清單。

  4. 適用於您的提供了解更多選擇:

    • Exchange Online 和商務用 Skype: Exchange 的客戶鍵優惠上選擇 [進一步瞭解更多]。

    • SharePoint Online 和商務用 OneDrive:選擇詳細了解SharePoint 和商務用 OneDrive 的客戶按鍵優惠。

  5. 在 [提供詳細資料] 頁面上,選擇 [建立要求]。

  6. 填寫所有適用的詳細資訊與優惠表單上要求的資訊。注意您用的長貴組織的選取您想要授權核准永久、 無法復原損毀的加密金鑰和資料。當您完成表單時,請選擇 [送出]。

    此程序可能需要最多五個工作天後 Microsoft 通知您的要求。

  7. 繼續執行強制保留期間下一節。

註冊 Azure 訂閱使用強制保留期間

暫時或永久遺失的根加密金鑰可以是非常破壞或悲慘服務作業,而且可能會導致資料遺失。如此一來,客戶鍵搭配使用的資源需要加強保護。客戶鍵搭配使用的是所有 Azure 資源提供保護機制以外的預設設定。可以標記或註冊的方式,將無法立即和冒用取消 azure 訂閱。這被指註冊強制保留期間。若要強制保留期間註冊 Azure 訂閱所需的步驟需要使用 Office 365 小組共同作業。此程序可能需要一到 5 個工作天。先前,這是有時也稱為 「 執行取消 」。

連絡 Office 365 小組之前, 您必須為每個 Azure 訂閱,您可以使用客戶鍵來執行下列步驟:

  1. 使用 PowerShell 的 Azure Azure 訂閱登入。如需相關指示,請參閱登入 PowerShell 的 Azure

  2. 執行 Register AzureRmProviderFeature cmdlet 註冊使用強制保留期間的訂閱。

    Register-AzureRmProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources
  3. 請連絡 Microsoft 已完成的程序。如需 SharePoint 與小組商務用 OneDrive 中,請連絡spock@microsoft.com。Exchange Online 和商務用 Skype,請連絡exock@microsoft.com。服務等級協定 (SLA) 的完成此程序的 5 個工作天後 Microsoft 具有已收到通知 (和驗證),您已經註冊使用強制保留期間的訂閱。

  4. 當您收到通知向 Microsoft 註冊已完成時,請確認您註冊的狀態執行取得 AzureRmProviderFeature cmdlet,如下所示:

    Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Resources -FeatureName mandatoryRetentionPeriodEnabled
  5. 驗證之後,取得 AzureRmProviderFeature 指令程式中的註冊狀態屬性會傳回已註冊的值,執行下列命令以完成程序:

    Register-AzureRmResourceProvider -ProviderNamespace "Microsoft.KeyVault"

建立進階版 Azure 金鑰保存庫中每個訂閱

若要建立索引鍵保存庫的步驟所述Azure 金鑰保存庫快速入門],逐步引導您安裝和啟動 PowerShell 的 Azure、 連線至您訂閱的 Azure、 建立資源] 群組中,以及建立索引鍵保存庫中的資源群組。

當您建立索引鍵保存庫時,您必須選擇 SKU: [標準] 或 [進階版。標準 SKU 受到軟體 – 有沒有硬體安全性模組 (HSM) 保護 – Azure 金鑰保存庫鍵並進階版 SKU 可讓 Hsm 用於金鑰保存庫索引鍵的保護。雖然 Microsoft 強烈建議您使用進階版 SKU,客戶鍵可接受使用任一的 SKU 的金鑰保存庫。作業的成本,有兩種類型的索引鍵是相同,唯一的成本差異為每個月各 HSM 保護鍵的成本。如需詳細資訊,請參閱金鑰保存庫價格

重要: 使用進階版 SKU 金鑰保存庫和 HSM 受保護的按鍵生產資料,但只能用於測試和驗證中使用標準 SKU 金鑰保存庫與索引鍵。

每個 Office 365 服務使用,您會使用客戶金鑰,請在每一個您所建立的兩個 Azure 訂閱中建立索引鍵保存庫。例如,Exchange Online 和商務用只或 SharePoint Online 的 Skype 和僅限商務用 OneDrive,您將建立只有一組保存庫。若要啟用 Exchange Online 和 SharePoint Online 的客戶鍵,您將建立兩組金鑰保存庫。

使用金鑰保存庫,以反映用途會關聯保存庫 DEP 的命名慣例。請參閱下方的命名慣例建議最佳作法一節。

建立另一個,即成對集的每個資料加密原則保存庫。針對 Exchange Online 會在您選擇資料加密原則的範圍當您指派原則至信箱。信箱可以有指派的只有一個原則,您可以建立最多為原則。SharePoint Online 的範圍是原則的所有地理位置,或地理在組織內的資料。

建立索引鍵保存庫也需要 Azure 資源群組],建立,因為金鑰保存庫需要儲存容量,(雖然小型企業版) 和鍵保存庫記錄,如果啟用,也會產生儲存的資料。最佳作法是 Microsoft 建議使用不同的系統管理員來管理管理對齊的管理所有相關的客戶鍵資源的系統管理員設定的每個資源] 群組中,以。

重要: 

  • 最大化顯示狀態,您主要的保存庫應該是關閉您的 Office 365 服務的區域。例如,如果您的 Exchange Online 組織是北美地區中,將您主要的保存庫北美地區。如果您的 Exchange Online 組織是的將您的主要保存庫歐洲。

  • 使用金鑰保存庫,共同的前置字元,並使用縮寫及索引鍵保存庫與索引鍵的範圍 (例如,為保存庫內北美地區,配對名稱的所在位置的 Contoso SharePoint 服務 Contoso O365SP-NA VaultA1 和Contoso-O365SP-NA-VaultA2。保存庫名稱是全域唯一字串內 Azure,因此您可能需要嘗試變化的您所要的名稱,以避免其他 Azure 客戶已宣告所要的名稱。年 7 月 2017年保存庫名稱無法變更,讓的最佳作法是針對設定書面計劃,並使用另一位使用者驗證計劃正確執行。

  • 如果可能的話,未配對區域中建立您保存庫。成對 Azure 區域提供高的顯示狀態服務失敗網域。因此,地區組可以視為彼此的備份區域。這表示放在一個區域中的 Azure 資源自動取得透過成對地區的容錯能力。因此,選擇用於 DEP 區域所在位置,即成對所代表的意義的可用性的兩個區域的總計是使用中的兩個保存庫的區域]。大部分地區只有兩個區域,所以還不可以選擇非配對區域。如果可以的話,請選擇 [使用 DEP 將兩個保存庫中非成對的兩個區域這對從四個區域的可用性總計。如需詳細資訊,請參閱業務連續性與損毀復原 (BCDR): Azure 配對區域目前地區組的清單。

將權限指派給每個按鍵保存庫

針對每一個重要的保存庫,您必須定義三個不同的客戶鍵,根據您的實作的權限集。例如,您必須定義一組權限的下列各項:

  • 索引鍵保存庫系統管理員會為您的組織執行日常管理您的主要保存庫。這些工作包括備份、 建立、 取得、 匯入清單,以及還原。

    重要: 指派給金鑰保存庫系統管理員的權限設定不包含刪除索引鍵的權限。這是刻意] 和 [重要的練習。刪除加密金鑰並不常用,因為會執行,因此永久損壞資料。最佳作法是不授與此權限金鑰保存庫管理員預設。不過,保留此的金鑰保存庫參與者,並只將其指派給短期為基礎的系統管理員後清楚的結果,了解。

    若要指定您的 Office 365 組織中的使用者權限,使用 PowerShell 的 Azure Azure 訂閱登入。如需相關指示,請參閱登入 PowerShell 的 Azure

  • 執行指派的必要權限設定 AzureRmKeyVaultAccessPolicy 指令程式。

    Set-AzureRmKeyVaultAccessPolicy -VaultName <vaultname> 
    -UserPrincipalName <UPN of user> -PermissionsToKeys create,import,list,get,backup,restore
    

    例如:

    Set-AzureRmKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
    -UserPrincipalName alice@contoso.com -PermissionsToKeys create,import,list,get,backup,restore
    
  • 索引鍵保存庫參與者可以變更權限 Azure 金鑰保存庫本身。您需要變更這些權限員工離開或加入您的小組或很少發生的情況下的鍵地窖管理員合法需要刪除或還原索引鍵的權限。若要授與您的主要保存庫上的參與者角色金鑰保存庫參與者需求這組。您可以使用 Azure 資源管理員指派此角色。如需詳細步驟,請參閱Use Role-Based 存取控制管理 Azure 訂閱資源的存取權。建立一個訂閱的管理員以及將其他系統管理員指派給參與者角色功能,請以隱含地具有存取權。

  • 如果您想要使用與 Exchange Online 和 Skype 商務客戶鍵,您需要使用 Exchange Online 和 Skype 代表金鑰保存庫商務用 Office 365 授與權限。同樣地,如果您想要使用 SharePoint Online 和 OneDrive 商務客戶鍵,您需要新增 Office 365 連線到商務用使用 SharePoint Online 和 OneDrive 代表金鑰保存庫的權限。若要授與 Office 365 權限,執行Set-AzureRmKeyVaultAccessPolicy cmdlet 使用下列語法:

    Set-AzureRmKeyVaultAccessPolicy –VaultName <vaultname> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

    其中:

    • vaultname是您建立索引鍵保存庫的名稱。

    • Exchange Online 和商務用 Skype,取代Office 365 appID00000002-0000-0ff1-ce00-000000000000

    • SharePoint Online 和商務用 OneDrive,取代Office 365 appID00000003-0000-0ff1-ce00-000000000000

    範例: 設定 Exchange Online 和商務用 Skype 的權限:

    Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365EX-NA-VaultA1 
    -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

    範例: 設定 SharePoint Online 和商務用 OneDrive 的權限

    Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365SP-NA-VaultA1 
    -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000

啟用,並確認在您的主要保存庫柔刪除

您可以快速復原索引鍵,您就較不可能體驗延伸的服務中斷因為不小心或惡意刪除索引鍵。您需要啟用此組態中,稱為柔刪除時,您才能使用索引鍵與客戶索引鍵。啟用 [柔邊刪除可讓您的 [刪除的 90 天內復原鍵或保存庫,而不需要從備份還原它們。

若要啟用柔刪除您的主要保存庫,請完成下列步驟:

  1. 登入您使用 Windows Powershell 的 Azure 訂閱。如需相關指示,請參閱登入 PowerShell 的 Azure

  2. 執行取得 AzureRmKeyVault cmdlet,如下所示:

    $v = Get-AzureRmKeyVault -VaultName <vaultname>
    $r = Get-AzureRmResource -ResourceId $v.ResourceId
    $r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
    Set-AzureRmResource -ResourceId $r.ResourceId -Properties $r.Properties

    Vaultname在哪裡,您要為其啟用柔刪除重要保存庫的名稱。

  3. 確認 [柔邊刪除設定為主要保存庫執行Get-AzureRmKeyVault指令程式:

    Get-AzureRmKeyVault -VaultName <vaultname> | fl

    如果柔刪除正確地設定為主要保存庫, Soft Delete Enabled?屬性會傳回True值。

新增至每個按鍵保存庫 [藉由建立或匯入金鑰機碼

有兩種方式將機碼新增至 Azure 金鑰保存庫;您可以直接在金鑰保存庫,建立索引鍵,或您可以匯入鍵。直接在金鑰保存庫中建立索引鍵時,較複雜的方法,匯入金鑰提供總控制如何產生金鑰。

若要直接在您的主要保存庫中建立索引鍵,請執行新增 AzureKeyVaultKey cmdlet,如下所示:

Add-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname> -Destination <HSM|Software> -KeyOps wrapKey,unwrapKey

其中:

  • vaultname是您要在其中建立索引鍵保存庫的名稱。

  • keyname是您要授與新的機碼的名稱。

    提示: 使用類似的命名慣例,如上述金鑰保存庫的名稱鍵。如此一來,在 [顯示索引鍵的名稱的工具] 的字串自我描述。

  • 如果您想要保護 HSM 金鑰,請確定您指定HSM為Destination參數值,否則指定軟體

例如,

Add-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination Software -KeyOps wrapKey,unwrapKey

若要匯入您主要的保存庫直接,必須具備 Thales nShield 硬體安全性模組。

在某些組織想要建立的其索引鍵和此 provenance 這種方法方法也會提供下列動作:

  • 匯入所使用的工具組包含審查從 Thales 鍵 Exchange 鍵 (KEK),用來加密的金鑰您產生不能匯出,並產生 Thales 製造正版 HSM 內。

  • 工具組包含從 Azure 金鑰保存庫安全性世界上 Thales 所製造正版 HSM 也產生 Thales 審查。此審查證明您 Microsoft 也使用正版 Thales 硬體。

請洽詢您的安全性群組,以決定是否需要上述 attestations。建立關鍵內部部署,並將其匯入您主要的保存庫的詳細步驟,請參閱如何產生及傳送的 Azure 金鑰保存庫的 HSM 受保護的按鍵。若要在每一個重要的保存庫中建立索引鍵使用 Azure 的指示進行。

核取索引鍵的復原層級

Office 365 需要 Azure 金鑰保存庫訂閱的設定為 [請勿取消和使用客戶索引鍵的索引鍵已啟用柔刪除。您可以查看 [索引鍵的 [復原層級來確認。

若要檢查的鍵,請在 PowerShell 的 Azure 中的復原層級執行取得 AzureKeyVaultKey cmdlet,如下所示:

(Get-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname>).Attributes 

如果Recovery Level屬性會傳回可修復 + ProtectedSubscription值以外的任何項目,您必須檢閱本主題,並確定您已遵循所有步驟,以將不會取消清單上的訂閱,而且您有柔邊啟用在每一個您主要的保存庫上的 delete。

備份 Azure 金鑰保存庫

緊接建立或變更至鍵,請執行備份和儲存的備份,線上和離線複本。離線複本應該沒有連線到網路,例如在實體安全或商業儲存功能。至少有一個複本備份應該會儲存在會損毀事件可存取的位置。備份的二進位大型物件是唯一的還原金鑰內容應該鍵保存庫鍵會永久損毀或否則無法運作。外部 Azure 金鑰保存庫及已匯入至 Azure 金鑰保存庫的按鍵切勿當成備份,因為與外部索引鍵不必要的客戶金鑰] 以使用索引鍵的中繼資料。僅限的備份從 Azure 金鑰保存庫可以用於還原作業,與客戶索引鍵。因此,務必 Azure 金鑰保存庫的備份進行之後上傳或建立索引鍵。

若要建立 Azure 金鑰保存庫鍵的備份,請執行備份 AzureKeyVaultKey cmdlet,如下所示:

Backup-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname> 
-OutputFile <filename.backup>

確定您的輸出檔案會使用尾碼.backup

這個指令程式所產生的輸出檔案已加密並不能使用外部 Azure 金鑰保存庫。備份可以還原,才能執行備份的 Azure 訂閱。

提示: 輸出檔案中,選擇您的保存庫的名稱和機碼名稱的組合。這會使檔案名稱自我描述。也會確保備份檔案名稱做不會發生衝突。

例如:

Backup-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -OutputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

驗證 Azure 金鑰保存庫設定的設定

執行驗證之前 DEP 中使用索引鍵是選擇性的但建議。特別是如果您使用設定您的索引鍵和保存庫以外本主題中所述的步驟,您應該 Azure 金鑰保存庫資源的狀況之前先驗證設定客戶鍵。

若要確認索引鍵已啟用的取得 wrapKey,與 unwrapKey 作業:

執行取得 AzureRmKeyVault cmdlet,如下所示:

Get-AzureRMKeyVault -VaultName <vaultname>

在輸出中,尋找適當的存取原則或 Exchange Online 的身分識別 (GUID) 或 SharePoint Online 的身分識別 (GUID)。機碼,必須權限] 下顯示三個以上的權限。

如果存取原則設定不正確,請執行設定 AzureRmKeyVaultAccessPolicy cmdlet 如下所示:

Set-AzureRmKeyVaultAccessPolicy –VaultName <vaultname> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

例如,針對 Exchange Online 和商務用 Skype:

Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365EX-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

例如,對於 SharePoint Online 和商務用 OneDrive:

Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365SP-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName TBD

若要確認到期日期不為索引鍵:

執行取得 AzureKeyVaultKey cmdlet,如下所示:

Get-AzureKeyVaultKey -VaultName <vaultname> 

客戶鍵無法使用的過期的鍵,並嘗試使用過期金鑰作業會失敗,可能會造成服務中斷。我們強烈建議使用客戶按鍵的按鍵沒有到期日。到期日,一旦設定,不能移除,但可以變更為不同的日期。如果鍵必須使用已設定到期日,到期值變更為 12/31/9999。具有到期日設為日期不是 12/31/9999 無法通過 Office 365 驗證的按鍵。

若要變更已設定為 12/31/9999 以外的任何值的到期日,請執行設定 AzureKeyVaultKeyAttribute cmdlet,如下所示:

Set-AzureKeyVaultKeyAttribute –VaultName <vaultname> -Name <keyname> 
-Expires (Get-Date -Date “12/31/9999”)

警告: 您和客戶鍵搭配使用的加密金鑰不設定到期日。

取得每個 Azure 金鑰保存庫索引鍵的 URI

您已完成設定您的主要保存庫 Azure 中的所有步驟,並新增索引鍵,請執行下列命令以 URI 取得每一個重要的保存庫中的索引鍵。您必須使用這些 Uri 當您建立及更新版本中,指定每個 DEP,因此會將這項資訊儲存在安全的地方。請記得要執行的每一個重要的保存庫一次此命令。

在 [Azure PowerShell:

(Get-AzureKeyVaultKey -VaultName <vaultname>).Id

Office 365: 設定 Exchange Online 和商務用 Skype 的客戶識別碼

在開始之前,請確定您已完成設定 Azure 金鑰保存庫所需的工作。如需的資訊,請參閱Azure 金鑰保存庫和 Microsoft FastTrack 客戶機碼中的完成工作

若要設定的 Exchange Online 和商務用 Skype 的客戶鍵,您必須從遠端連線至 Exchange Online 使用 Windows PowerShell 來執行下列步驟執行。

建立用於 Exchange Online 和 Skype 商務用的資料加密原則 (DEP)

DEP 是儲存在 Azure 金鑰保存庫中的索引鍵的一組相關聯。您可以指定 dep: 在 Office 365 信箱。Office 365 會加密信箱,然後使用原則中索引鍵。若要建立 DEP,您需要取得較舊版本的金鑰保存庫 Uri。如需相關指示,請參閱取得 URI Azure 金鑰保存庫鍵

請記住 !當您建立 DEP 時,您可以指定兩個不同的 Azure 金鑰保存庫中的兩個機碼。請確定這些按鍵位於兩個不同的 Azure 區域,以確保地理重複。

若要建立 DEP,請遵循下列步驟:

  1. 在您的本機電腦上使用 Office 365 組織,開啟 Windows PowerShell,並執行下列命令的 [連線至 Exchange Online PowerShell中具有全域管理員權限的公司或學校帳戶。

    $UserCredential = Get-Credential
  2. 在 Windows PowerShell 認證要求] 對話方塊中,輸入您的工作或學校帳戶資訊,按一下 [確定],然後輸入下列命令。

    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
  3. 執行下列命令。

    Import-PSSession $Session
  4. 若要建立 DEP,使用新增 DataEncryptionPolicy cmdlet 輸入下列命令。

    New-DataEncryptionPolicy -Name <PolicyName> -Description "PolicyDescription" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>

    其中:

    • 包含為您想要使用原則的名稱。名稱不可以包含空格。例如,USA_mailboxes。

    • PolicyDescription是原則的使用者好記的描述,可協助您記住原則的功能。在 [描述],您可以包含空格。例如,根信箱,在 [美國和其領域的金鑰。

    • KeyVaultURI1是 URI 原則的第一個鍵。例如,https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01。

      KeyVaultURI2是 URI 原則中的第二個機碼。例如,https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02。分隔的兩個 Uri 由逗號和一個空格。

範例:

New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02

指派 DEP 信箱

指派 DEP 信箱,藉由設定信箱指令程式。Office 365 一旦您將指派原則,可以使用指定的相依性金鑰加密信箱

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

位置MailboxIdParameter指定信箱。如需設定信箱 cmdlet 的詳細資訊,請參閱設定信箱

驗證信箱加密

加密信箱可能需要一些時間。第一次原則工作分派信箱也必須完成從一個資料庫移動到另一個之前服務可以加密信箱。我們建議您等到 72 小時,在您嘗試在您變更 DEP 或第一次您指派 DEP 信箱後驗證加密。

您可以使用 [Get-mailboxstatistics cmdlet 來決定信箱是否已加密。

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

如果未加密信箱 IsEncrypted 屬性會傳回值,則為 true如果信箱已加密和false值。

Office 365: SharePoint Online 和商務用 OneDrive 設定客戶索引鍵

在開始之前,請確定您已完成設定 Azure 金鑰保存庫所需的工作。如需的資訊,請參閱Azure 金鑰保存庫和 Microsoft FastTrack 客戶機碼中的完成工作

若要設定 SharePoint Online 和商務用 OneDrive 的客戶鍵,您必須執行下列步驟執行遠端 SharePoint online 使用 Windows PowerShell 連線。

為每個 SharePoint Online 和 OneDrive 建立商務地理資料加密原則 (DEP)

DEP 是儲存在 Azure 金鑰保存庫中的索引鍵的一組相關聯。您可以套用 DEP 到所有的某個地理位置,也稱為 [地理資料。如果您使用多重地理功能的 Office 365 (目前在預覽版本),您可以建立一個 DEP 每個地理。如果您不使用多重地理,您可以搭配 SharePoint Online 和 OneDrive 商務用 Office 365 中建立一個 DEP。Office 365 然後會使用按鍵 DEP 中識別為加密的地理資料。若要建立 DEP,您需要取得較舊版本的金鑰保存庫 Uri。如需相關指示,請參閱取得 URI Azure 金鑰保存庫鍵

請記住 !當您建立 DEP 時,您可以指定兩個不同的 Azure 金鑰保存庫中的兩個機碼。請確定這些按鍵位於兩個不同的 Azure 區域,以確保地理重複。

若要建立 DEP,您需要從遠端使用 Windows PowerShell 連線到 SharePoint Online。

  1. 在您的本機電腦上使用 Office 365 組織,連線到 SharePoint Online Powershell中具有全域管理員權限的公司或學校帳戶。

  2. 在 Microsoft SharePoint Online 管理命令介面中執行Register SPODataEncryptionPolicy cmdlet,如下所示:

    Register-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>

    當您註冊 DEP 時,加密開始地理中的資料。這可能需要一些時間。

驗證] 群組中的網站、 小組網站及商務用 OneDrive 的加密

您可以檢查狀態的加密執行取得 SPODataEncryptionPolicy cmdlet,如下所示:

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

從這個 cmdlet 輸出包含:

  • 主索引鍵 URI。

  • 第二個機碼 URI。

  • 地理加密的狀態。可能的狀態包括:

    • 未註冊:尚未套用客戶金鑰加密。

    • 註冊:已套用客戶金鑰加密,程序所加密檔案。如果您的地理是此狀態,您會也會顯示資訊上,好讓您可以監視加密進度,已完成的網站中的地理百分比。

    • 註冊:已套用客戶金鑰加密,並已加密所有網站中的所有檔案。

    • 循環:正在進行中的關鍵的相簿。如果您的地理是此狀態,您會也會顯示資訊在網站的百分比,好讓您可以監視進度完成索引鍵的相簿作業。

管理 Office 365 客戶索引鍵

您的 Office 365 設定客戶鍵後,您可以執行這些額外的管理工作。

還原 Azure 金鑰保存庫機碼

之前執行還原,使用 [柔邊刪除所提供的復原功能。客戶鍵搭配使用的是所有機碼,才能有啟用柔刪除。柔邊刪除媲美資源回收筒],並允許 90 天,而不需要還原復原。在極大或異常的情況下,例如,如果索引鍵或金鑰保存庫遺失時,應該只需要還原。如果您必須使用客戶金鑰還原用於鍵在 Azure PowerShell 中執行還原 AzureKeyVaultKey cmdlet,如下所示:

Restore-AzureKeyVaultKey -VaultName <vaultname> -InputFile <filename>

例如:

Restore-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

如果金鑰保存庫中已有同名稱的金鑰,將無法還原作業。還原 AzureKeyVaultKey 還原所有的主要版本和所有的中繼資料,包括機碼名稱鍵。

循環或旋轉 Azure 金鑰保存庫,您可以使用客戶索引鍵的鍵

循環鍵不需要任一 Azure 金鑰保存庫或客戶識別碼。此外,HSM 受保護的索引鍵是根本無法侵入的。即使根索引鍵的惡意的動作項目沒有可行方法,使用它來解密資料,因為只有 Office 365 的程式碼知道如何使用它。不過,循環索引鍵被支援客戶鍵。

警告: 

  • 僅限就緒加密金鑰時,使用客戶金鑰清除技術的原因有或規範要求會要求您已就緒索引鍵。此外,不要刪除任何索引鍵,或與原則。當您還原您的按鍵、 有顯示將內容加密與上一個鍵。例如,而作用中的信箱會被重新加密經常,停用,中斷連線,並停用的信箱仍可能加密與上一個鍵。SharePoint Online 執行備份的內容供還原及修復,,還是有可能是使用舊版的封存的內容。

  • 若要確保您的資料的安全性,SharePoint Online 可讓有一個以上索引鍵就緒作業進行中的時間。如果您想要回復這兩個按鍵金鑰保存庫中,您必須等待的第一個重要的相簿作業全部完成。我們建議在不同的時間間隔,交錯您主要的相簿作業,讓這不是問題。

當您滾動鍵時,會要求現有的索引鍵的新版本。如需要求現有的索引鍵的新版本中,,您可以使用相同的 cmdlet,新增 AzureKeyVaultKey,以相同的語法,您用來建立索引鍵一開始。

例如:

Add-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @(‘wrapKey’,’unwrapKey’) -NotBefore (Get-Date -Date “12/27/2016 12:01 AM”)

在此範例中,因為名為Contoso-O365EX-NA-VaultA1-Key001已存在於Contoso O365EX-NA VaultA1保存庫中,將建立新的主要版本。作業會將新的主要版本。這項作業保留索引鍵的索引鍵的版本歷程記錄] 中的舊版,以便仍可解密之前使用該金鑰加密的資料。當您完成循環任一 DEP 與相關聯的按鍵時,然後,您必須執行額外的 cmdlet,以確保客戶鍵可讓您開始使用新的金鑰。

啟用 Exchange Online 和商務用 Skype 就緒或旋轉 Azure 金鑰保存庫中的索引鍵後,請使用新的金鑰

當您滾動下列其中一項 DEP 相關聯的 Azure 金鑰保存庫索引鍵使用 Exchange Online 和 Skype 商務用時,您必須執行下列命令以更新 DEP 並啟用 Office 365,以開始使用新的金鑰。

若要指示以使用新的金鑰來加密的客戶鍵在 Office 365 中的信箱,如下所示執行設定 DataEncryptionPolicy cmdlet:

Set-DataEncryptionPolicy <policyname> -Refresh 

48 小時內,使用此原則加密作用中的信箱會變成 [更新] 鍵與相關聯。使用判斷 DEP 指派給信箱中的步驟,來檢查信箱的 DataEncryptionPolicyID 屬性的值。已套用的更新 」 鍵之後,就會變更此屬性的值。

啟用 SharePoint Online 和商務用 OneDrive 就緒或旋轉 Azure 金鑰保存庫中的索引鍵後,請使用新的金鑰

當您滾動下列其中一項 DEP 相關聯的 Azure 金鑰保存庫索引鍵使用 SharePoint Online 和 OneDrive 商務用時,您必須執行更新 SPODataEncryptionPolicy cmdlet 來更新 DEP,以及啟用 Office 365,以開始使用新的金鑰。

Update-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

這會啟動 SharePoint Online 和商務用 OneDrive 索引鍵的相簿作業。無法立即這個動作。若要查看就緒作業索引鍵的進度,請執行取得 SPODataEncryptionPolicy cmdlet,如下所示:

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

管理金鑰保存庫權限

多個 cmdlet 可讓您檢視及,如有必要,移除金鑰保存庫權限。您可能需要移除權限,例如,當員工離開小組。

若要檢視金鑰保存庫權限,請執行取得 AzureRmKeyVault 指令程式:

Get-AzureRmKeyVault -VaultName <vaultname>

例如:

Get-AzureRmKeyVault -VaultName Contoso-O365EX-NA-VaultA1

若要移除的管理員權限,請執行移除 AzureRmKeyVaultAccessPolicy 指令程式:

Remove-AzureRmKeyVaultAccessPolicy -VaultName <vaultname> 
-UserPrincipalName <UPN of user>

例如:

Remove-AzureRmKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
-UserPrincipalName alice@contoso.com

決定指派給信箱 DEP

若要判斷指派給信箱 DEP,使用 Get-mailboxstatistics 指令程式。指令程式會傳回的唯一識別碼 (GUID)。

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID

位置GeneralMailboxOrMailUserIdParameter指定信箱。如需有關 Get-mailboxstatistics cmdlet 的詳細資訊,請參閱Get-mailboxstatistics

若要找出已指派藉由執行下列 cmdlet 的信箱 DEP 的易記名稱中使用 GUID。

Get-DataEncryptionPolicy <GUID>

GUID哪裡 GUID 所傳回的上一個步驟中 Get-mailboxstatistics 指令程式。

增進您的 Office 技巧
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×