Después de configurar la clave de cliente, cree y asigne una o varias directivas de cifrado de datos (DEP). Después de asignar los DEP, administre las claves como se describe en este artículo. Obtenga más información sobre la clave de cliente en los artículos relacionados.
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Creación de un DEP para su uso con varias cargas de trabajo para todos los usuarios del inquilino
Antes de empezar, asegúrese de que ha completado las tareas necesarias para configurar la clave de cliente. Para obtener información, consulte Configuración de la clave de cliente. Para crear el DEP, necesita los URI de Key Vault que obtuvo durante la instalación. Para obtener información, consulte Obtención del URI de cada clave de Azure Key Vault.
Para crear un DEP de varias cargas de trabajo, siga estos pasos:
En el equipo local, con una cuenta profesional o educativa que tenga permisos de administrador global o administrador de cumplimiento en su organización, conéctese a Exchange Online PowerShell.
Para crear un DEP, use el cmdlet New-M365DataAtRestEncryptionPolicy.
"PolicyName" es el nombre que desea usar para la directiva. Los nombres no pueden contener espacios. Por ejemplo, Contoso_Global.
"KeyVaultURI1" es el URI de la primera clave de la directiva. Por ejemplo, "https://contosoWestUSvault1.vault.azure.net/keys/Key_01".
"KeyVaultURI2" es el URI de la segunda clave de la directiva. Por ejemplo, "https://contosoCentralUSvault1.vault.azure.net/keys/Key_02". Separe los dos URI por una coma y un espacio.
"Descripción de directiva" es una descripción fácil de usar de la directiva que le ayuda a recordar para qué sirve la directiva. Puede incluir espacios en la descripción. Por ejemplo, "Directiva raíz para varias cargas de trabajo para todos los usuarios del inquilino".
Ejemplo:
New-M365DataAtRestEncryptionPolicy -Name "Contoso_Global" -AzureKeyIDs "https://contosoWestUSvault1.vault.azure.net/keys/Key_01","https://contosoCentralUSvault1.vault.azure.net/keys/Key_02" -Description "Policy for multiple workloads for all users in the tenant."
Asignación de directivas de varias cargas de trabajo
Asigne el DEP mediante el cmdlet Set-M365DataAtRestEncryptionPolicyAssignment. Una vez que asigna la directiva, Microsoft 365 cifra los datos con la clave identificada en el DEP.
Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName or ID>
Donde PolicyName es el nombre de la directiva, por ejemplo, Contoso_Global.
Por Windows 365, en un plazo de 3 a 4 horas después de completar este paso, el centro de administración de Intune se actualiza. Complete los pasos del Centro de administración para cifrar los equipos en la nube existentes. Para obtener información, consulte Configuración de claves de cliente para los equipos en la nube de Windows 365.
Creación de un DEP para su uso con buzones de Exchange Online
Antes de empezar, asegúrese de completar las tareas necesarias para configurar Azure Key Vault. Para obtener información, consulte Configuración de la clave de cliente. Complete estos pasos en Exchange Online PowerShell.
Un DEP está asociado a un conjunto de claves almacenadas en Azure Key Vault. Asigna un DEP a un buzón de Correo en Microsoft 365. Microsoft 365 usa las claves identificadas en la directiva para cifrar el buzón. Para crear el DEP, necesita los URI de Key Vault que obtuvo durante la instalación. Para obtener información, consulte Obtención del URI de cada clave de Azure Key Vault.
¡Recordar! Al crear un DEP, se especifican dos claves en dos almacenes de claves de Azure diferentes. Para evitar la redundancia geográfica, cree estas claves en dos regiones de Azure independientes.
Para crear un DEP que se usará con un buzón de correo, siga estos pasos:
En el equipo local, con una cuenta profesional o educativa que tenga permisos de administrador global o de administrador Exchange Online en su organización, conéctese a Exchange Online PowerShell.
Para crear un DEP, escriba el siguiente comando para usar el cmdlet New-DataEncryptionPolicy.
PolicyName es el nombre que desea usar para la directiva. Los nombres no pueden contener espacios. Por ejemplo, USA_mailboxes.
Descripción de la directiva es una descripción fácil de usar de la directiva que le ayuda a recordar para qué sirve la directiva. Puede incluir espacios en la descripción. Por ejemplo, "Clave raíz para buzones en EE. UU. y sus territorios".
KeyVaultURI1 es el URI de la primera clave de la directiva. Por ejemplo, https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.
KeyVaultURI2 es el URI de la segunda clave de la directiva. Por ejemplo, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02. Separe los dos URI por una coma y un espacio.
Ejemplo:
New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault02.vault.azure.net/keys/USA_key_01, https://contoso_CentralUSvault02.vault.azure.net/keys/USA_Key_02
Para obtener información detallada sobre la sintaxis y los parámetros, consulte New-DataEncryptionPolicy.
Asignación de un DEP a un buzón
Asigne el DEP a un buzón mediante el cmdlet Set-Mailbox. Una vez que asigne la directiva, Microsoft 365 puede cifrar el buzón con la clave identificada en el DEP.
Donde MailboxIdParameter especifica un buzón de usuario. Para obtener información sobre el cmdlet Set-Mailbox, consulte Set-Mailbox.
En entornos híbridos, puede asignar un DEP a los datos de buzón de correo local que se sincronizan en el inquilino de Exchange Online. Para asignar un DEP a estos datos de buzón sincronizados, use el cmdlet Set-MailUser. Para obtener más información sobre los datos de buzón en el entorno híbrido, consulte Buzones locales con Outlook para iOS y Android con autenticación moderna híbrida.
Donde MailUserIdParameter especifica un usuario de correo (también conocido como usuario habilitado para correo). Para obtener más información sobre el cmdlet Set-MailUser, consulte Set-MailUser.
Creación de un DEP para su uso con SharePoint y OneDrive
Antes de empezar, asegúrese de completar las tareas necesarias para configurar Azure Key Vault. Para obtener información, consulte Configuración de la clave de cliente.
Para configurar la clave de cliente para SharePoint y OneDrive, complete estos pasos en SharePoint PowerShell.
Un DEP se asocia a un conjunto de claves almacenadas en Azure Key Vault. Se aplica un DEP a todos los datos de una ubicación geográfica, también denominada geoárea. Si usa la característica multigeográfica de Microsoft 365, puede crear un DEP por geo con la capacidad de usar claves diferentes por geo. Si no usa multigeográfica, puede crear un DEP en su organización para usarlo con SharePoint y OneDrive. Microsoft 365 usa las claves identificadas en el DEP para cifrar los datos en esa ubicación geográfica. Para crear el DEP, necesita los URI de Key Vault que obtuvo durante la instalación. Para obtener información, consulte Obtención del URI de cada clave de Azure Key Vault.
¡Recordar! Al crear un DEP, se especifican dos claves en dos almacenes de claves de Azure diferentes. Para evitar la redundancia geográfica, cree estas claves en dos regiones de Azure independientes.
Para crear un DEP, debe usar SharePoint PowerShell.
En el equipo local, con una cuenta profesional o educativa que tenga permisos de administrador global en su organización, conéctese a SharePoint PowerShell.
En el Shell de administración de Microsoft SharePoint, ejecute el cmdlet Register-SPODataEncryptionPolicy de la siguiente manera:
Al registrar el DEP, el cifrado comienza en los datos de la ubicación geográfica. El cifrado puede tardar algún tiempo. Para obtener más información sobre el uso de este parámetro, vea Register-SPODataEncryptionPolicy.
Visualización de los DEP que ha creado para los buzones de Exchange Online
Para ver una lista de todos los DEP que ha creado para los buzones de correo, use el cmdlet de PowerShell Get-DataEncryptionPolicy.
Para devolver todos los DEP de la organización, ejecute el cmdlet Get-DataEncryptionPolicy sin ningún parámetro.
Get-DataEncryptionPolicy
Para obtener más información sobre el cmdlet Get-DataEncryptionPolicy, consulte Get-DataEncryptionPolicy.
Asignar un DEP antes de migrar un buzón a la nube
Al asignar el DEP, Microsoft 365 cifra el contenido del buzón mediante el DEP asignado durante la migración. Este proceso es más eficaz que migrar el buzón de correo, asignar el DEP y, a continuación, esperar a que se produzca el cifrado, lo que puede tardar horas o posiblemente días.
Para asignar un DEP a un buzón antes de migrarlo a Microsoft 365, ejecute el cmdlet Set-MailUser en Exchange Online PowerShell:
Donde GeneralMailboxOrMailUserIdParameter especifica un buzón y DataEncryptionPolicyIdParameter es el identificador del DEP. Para obtener más información sobre el cmdlet Set-MailUser, consulte Set-MailUser.
Determinación del DEP asignado a un buzón
Para determinar el DEP asignado a un buzón de correo, use el cmdlet Get-MailboxStatistics. El cmdlet devuelve un identificador único (GUID).
Donde GeneralMailboxOrMailUserIdParameter especifica un buzón y DataEncryptionPolicyID devuelve el GUID del DEP. Para obtener más información sobre el cmdlet Get-MailboxStatistics, consulte Get-MailboxStatistics.
Ejecute el cmdlet Get-DataEncryptionPolicy para averiguar el nombre descriptivo del DEP al que está asignado el buzón.
Get-DataEncryptionPolicy <GUID>
Donde GUID es el GUID devuelto por el cmdlet Get-MailboxStatistics en el paso anterior.
Comprobación de que la clave de cliente ha finalizado el cifrado
Tanto si ha inscrito una clave de cliente, ha asignado un nuevo DEP o ha migrado un buzón de correo, siga los pasos de esta sección para asegurarse de que se completa el cifrado.
Comprobación de que el cifrado se completa para los buzones de Exchange Online
El cifrado de un buzón de correo puede tardar algún tiempo. Para el cifrado por primera vez, el buzón también debe moverse completamente de una base de datos a otra para que el servicio pueda cifrar el buzón.
Use el cmdlet Get-MailboxStatistics para determinar si se cifra un buzón de correo.
La propiedad IsEncrypted devuelve un valor de true si el buzón está cifrado y un valor de false si el buzón no está cifrado. El tiempo necesario para completar los movimientos del buzón depende del número de buzones a los que se asigna un DEP por primera vez y del tamaño de los buzones. Si los buzones no se cifran después de una semana desde el momento en que asignó el DEP, póngase en contacto con Microsoft.
El cmdlet New-MoveRequest ya no está disponible para los movimientos de buzón local. Para obtener más información, consulte este anuncio.
Comprobación de que el cifrado se completa para SharePoint amd OneDrive
Compruebe el estado del cifrado mediante la ejecución del cmdlet Get-SPODataEncryptionPolicy como se indica a continuación:
Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>
La salida de este cmdlet incluye:
URI de la clave principal.
Uri de la clave secundaria.
Estado de cifrado de la ubicación geográfica. Los posibles estados incluyen:
No registrado: No se aplica el cifrado de clave de cliente.
Registrar: Se aplica el cifrado de clave de cliente y los archivos están en proceso de cifrado. Si la clave de la geoárea se está registrando, se muestra información sobre qué porcentaje de sitios de la ubicación geográfica se completa para que pueda supervisar el progreso del cifrado.
Registrado: Se aplica el cifrado de clave de cliente y se cifran todos los archivos de todos los sitios.
Rodante: Hay una lista de claves en curso. Si la clave de la ubicación geográfica está gradual, se muestra información sobre qué porcentaje de sitios se completa la operación de sustitución de claves para que pueda supervisar el progreso.
La salida incluye el porcentaje de sitios incorporados.
Obtenga detalles sobre los DEP que usa con varias cargas de trabajo.
Para obtener detalles sobre todos los DEP que creó para usarlos con varias cargas de trabajo, complete estos pasos:
En el equipo local, con una cuenta profesional o educativa que tenga permisos de administrador global o administrador de cumplimiento en su organización, conéctese a Exchange Online PowerShell.
Para devolver la lista de todos los DEP de varias cargas de trabajo de la organización, ejecute este comando.
Get-M365DataAtRestEncryptionPolicy
Para devolver detalles sobre un DEP específico, ejecute este comando. En este ejemplo se devuelve información detallada del DEP denominado "Contoso_Global".
Obtención de información de asignación de DEP de varias cargas de trabajo
Para averiguar qué DEP está asignado actualmente al inquilino, siga estos pasos.
En el equipo local, con una cuenta profesional o educativa que tenga permisos de administrador global o administrador de cumplimiento en su organización, conéctese a Exchange Online PowerShell.
Escriba este comando.
Get-M365DataAtRestEncryptionPolicyAssignment
Deshabilitación de un DEP de varias cargas de trabajo
Antes de deshabilitar un DEP de varias cargas de trabajo, quite la asignación del DEP de las cargas de trabajo del inquilino. Para deshabilitar un DEP usado con varias cargas de trabajo, complete estos pasos:
En el equipo local, con una cuenta profesional o educativa que tenga permisos de administrador global o administrador de cumplimiento en su organización, conéctese a Exchange Online PowerShell.
Ejecute el cmdlet Set-M365DataAtRestEncryptionPolicy.
Antes de realizar una restauración, use las funcionalidades de recuperación proporcionadas por la eliminación temporal. Todas las claves que se usan con clave de cliente son necesarias para tener habilitada la eliminación temporal. La eliminación temporal actúa como una papelera de reciclaje y permite la recuperación durante un máximo de 90 días sin necesidad de restaurar. La restauración solo debe ser necesaria en circunstancias extremas o inusuales, por ejemplo, si se pierde la clave o el almacén de claves. Si debe restaurar una clave para usarla con la clave de cliente, en Azure PowerShell, ejecute el cmdlet Restore-AzureKeyVaultKey como se indica a continuación:
Si el almacén de claves ya contiene una clave con el mismo nombre, se produce un error en la operación de restauración. Restore-AzKeyVaultKey restaura todas las versiones de clave y todos los metadatos de la clave, incluido el nombre de la clave.
Administración de permisos del almacén de claves
Hay varios cmdlets disponibles que permiten ver y, si es necesario, quitar permisos del almacén de claves. Es posible que tenga que quitar permisos, por ejemplo, cuando un empleado deja el equipo. Para cada una de estas tareas, use Azure PowerShell. Para obtener información sobre Azure PowerShell, consulte Información general de Azure PowerShell.
Para ver los permisos del almacén de claves, ejecute el cmdlet Get-AzKeyVault.
Reversión de la clave de cliente a las claves administradas por Microsoft
Si necesita volver a las claves administradas por Microsoft, puede hacerlo. Al revertir, los datos se vuelven a cifrar mediante el cifrado predeterminado compatible con cada carga de trabajo individual. Por ejemplo, los equipos en la nube Exchange Online y Windows 365 admiten el cifrado predeterminado mediante claves administradas por Microsoft.
Importante
La reversión no es lo mismo que una purga de datos. Una purga de datos elimina permanentemente los datos de la organización de Microsoft 365 y la reversión no. No se puede realizar una purga de datos para una directiva de varias cargas de trabajo.
Reversión de la clave de cliente para varias cargas de trabajo
Si decide no usar la clave de cliente para asignar dep de varias cargas de trabajo, presente una incidencia de soporte técnico en Soporte técnico de Microsoft y proporcione los siguientes detalles en la solicitud:
FQDN del inquilino
Contacto del inquilino para la solicitud de reversión
Motivo para marcharse
Incluir el incidente #
Debe conservar los AKV de clave de cliente y las claves de cifrado con los permisos adecuados para que los datos se vuelvan a reescriba mediante claves administradas por Microsoft.
Reversión de la clave de cliente para Exchange Online
Si ya no desea cifrar buzones individuales mediante DEP de nivel de buzón, puede anular la asignación de DEP de nivel de buzón de todos los buzones de correo.
Para anular la asignación de los DEP de buzón de correo, use el cmdlet de PowerShell de Set-Mailbox.
Al ejecutar este cmdlet, se anula la asignación del DEP asignado actualmente y se vuelve a cifrar el buzón mediante el DEP asociado a las claves administradas por Microsoft predeterminadas. No se puede anular la asignación del DEP usado por las claves administradas por Microsoft. Si no desea usar claves administradas por Microsoft, puede asignar otro DEP de clave de cliente al buzón.
Reversión de la clave de cliente para SharePoint y OneDrive
No se admite la reversión de la clave de cliente a las claves administradas por Microsoft para SharePoint y OneDrive.
Revocar las claves e iniciar el proceso de ruta de acceso de purga de datos
Puede controlar la revocación de todas las claves raíz, incluida la clave de disponibilidad. Clave de cliente proporciona control del aspecto de planeamiento de salida de los requisitos normativos para usted. Si decide revocar las claves para purgar los datos y salir del servicio, el servicio elimina la clave de disponibilidad una vez que se completa el proceso de purga de datos. Esta funcionalidad es compatible con los DEP de clave de cliente que se asignan a buzones individuales.
Microsoft 365 audita y valida la ruta de acceso de purga de datos. Para obtener más información, consulte el informe SSAE 18 SOC 2 disponible en el Portal de confianza de servicios. Además, Microsoft recomienda los siguientes documentos:
No se admite la purga de DEP de varias cargas de trabajo para la clave de cliente. El DEP de varias cargas de trabajo se usa para cifrar los datos en varias cargas de trabajo entre todos los usuarios del inquilino. Purgar este DEP daría lugar a que los datos de varias cargas de trabajo se vuelvan inaccesibles. Si decide salir por completo de los servicios de Microsoft 365, consulte cómo eliminar un inquilino en Microsoft Entra ID.
Revocar las claves de cliente y la clave de disponibilidad para Exchange Online
Al iniciar la ruta de acceso de purga de datos para Exchange Online, se establece una solicitud de purga de datos permanente en un DEP. Al hacerlo, se eliminan permanentemente los datos cifrados dentro de los buzones a los que se asigna ese DEP.
Puesto que solo puede ejecutar el cmdlet de PowerShell en un DEP a la vez, considere la posibilidad de reasignar un único DEP a todos los buzones antes de iniciar la ruta de acceso de purga de datos.
Advertencia
No use la ruta de acceso de purga de datos para eliminar un subconjunto de los buzones de correo. Este proceso solo está pensado para los clientes que salen del servicio.
Para iniciar la ruta de acceso de purga de datos, complete estos pasos:
Quite los permisos de encapsulado y desencapsulado de "O365 Exchange Online" de Azure Key Vault.
Si se produce un error en el comando, asegúrese de quitar los permisos de Exchange Online de ambas claves en Azure Key Vault como se especificó anteriormente en esta tarea. Una vez establecido el modificador "PermanentDataPurgeRequested" mediante el cmdlet Set-DataEncryptionPolicy, ya no se admite la asignación de este DEP a buzones.
Póngase en contacto con el soporte técnico de Microsoft y solicite el documento electrónico de purga de datos.
A petición suya, Microsoft le envía un documento legal para confirmar y autorizar la eliminación de datos. La persona de su organización que se registró como aprobador en la oferta de FastTrack durante la incorporación debe firmar este documento. Normalmente, esta persona es una persona ejecutiva u otra persona designada en su empresa que tiene autorización legal para firmar la documentación en nombre de su organización.
Una vez que el representante firme el documento legal, devuévalo a Microsoft (normalmente a través de una firma de eDoc).
Una vez que Microsoft recibe el documento legal, Microsoft ejecuta cmdlets para desencadenar la purga de datos, que primero elimina la directiva, marca los buzones para la eliminación permanente y, a continuación, elimina la clave de disponibilidad. Una vez completado el proceso de purga de datos, los datos se purgan, no se pueden acceder a Exchange Online y no se pueden recuperar.
Revocación de las claves de cliente y la clave de disponibilidad para SharePoint y OneDrive
La purga de DEP de SharePoint y OneDrive no se admite en clave de cliente. Si decide salir por completo de los servicios de Microsoft 365, podría seguir la ruta de acceso de eliminación de inquilinos según el proceso documentado. Vea cómo eliminar un inquilino en Microsoft Entra ID.
Migración de los almacenes de claves desde el modelo de directiva de acceso heredado al uso de RBAC
Si se incorporó a La clave de cliente mediante el método de directiva de acceso heredado, siga las instrucciones para migrar todos los almacenes de claves de Azure para usar el método RBAC. Para comparar las diferencias y ver por qué Microsoft recomienda el control de acceso basado en rol de Azure, consulte Control de acceso basado en rol (RBAC de Azure) frente a directivas de acceso (heredadas).
Eliminación de directivas de acceso existentes
Para quitar las directivas de acceso existentes de los almacenes de claves, use el cmdlet "Remove-AzKeyVaultAccessPolicy".
Para quitar permisos, inicie sesión en la suscripción de Azure con Azure PowerShell. Para obtener instrucciones, consulte Inicio de sesión con Azure PowerShell.
Ejecute el cmdlet Remove-AzKeyVaultAccessPolicy mediante la sintaxis siguiente para quitar el permiso a la entidad de servicio de Microsoft 365 :
Ejecute el cmdlet Remove-AzKeyVaultAccessPolicy mediante la siguiente sintaxis para quitar el permiso para SharePoint y OneDrive para la entidad de servicio profesional o educativa:
Cambio del modelo de permisos de configuración de Access
Después de quitar las directivas de acceso del almacén existentes, vaya al almacén de claves en el Azure Portal. En cada almacén, vaya a la pestaña "Configuración de acceso" en el lado izquierdo, en la lista desplegable "Configuración" .
En "Modelo de permisos", seleccione "Control de acceso basado en rol de Azure" y, a continuación, seleccione "Aplicar" en la parte inferior de la pantalla.
Demuestre los aspectos básicos de la seguridad de los datos, la administración del ciclo de vida, la seguridad de la información y el cumplimiento para proteger una implementación de Microsoft 365.