Configurar clave de cliente

Clave de cliente le permite controlar las claves de cifrado de su organización y configurar Microsoft 365 para usar esas claves para cifrar los datos en reposo en los centros de datos de Microsoft. En otras palabras, le permite agregar una capa de cifrado que posee y administra.

Antes de usar la clave de cliente, debe configurar los recursos de Azure necesarios. Este artículo le guiará a través de la creación y configuración de esos recursos, seguidos de los pasos para habilitar la clave de cliente. Después de configurar los recursos de Azure, elija qué directiva se aplica y, a su vez, qué claves cifrarán los datos en las cargas de trabajo de Microsoft 365 de su organización.

Para obtener información general y más información, consulte Introducción a la clave de cliente.

Importante

Asegúrese de seguir los procedimientos recomendados de este artículo marcados como TIP, IMPORTANT y NOTE. Clave de cliente proporciona control sobre las claves de cifrado raíz que pueden afectar a toda la organización. Los errores con estas claves pueden provocar interrupciones del servicio o pérdida de datos permanentes.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.

Antes de configurar la clave de cliente

Antes de empezar, asegúrese de que su organización tiene las suscripciones de Azure adecuadas; y licencias de Microsoft 365, Office 365 y Windows 365. Debe usar suscripciones de Azure de pago. Las suscripciones adquiridas a través de programas gratuitos, de prueba, patrocinio, MSDN o de soporte técnico heredado no son aptas.

Importante

Las licencias de Microsoft 365 y Office 365 que ofrecen la clave de cliente de Microsoft 365 son:

• Office 365 E5
• Microsoft 365 E5
• Cumplimiento de Microsoft 365 E5
• SKU de gobernanza de Microsoft 365 E5 Information Protection &
• Seguridad y cumplimiento de Microsoft 365 para FLW

Todavía se admiten las licencias de Cumplimiento avanzado de Office 365 existentes.

Para comprender mejor los conceptos y procedimientos de este artículo, revise la documentación de Azure Key Vault. También debe estar familiarizado con los términos clave de Azure, como Microsoft Entra inquilino.

Si necesita ayuda más allá de la documentación, póngase en contacto con Soporte técnico de Microsoft. Para compartir comentarios o sugerencias sobre la clave del cliente o esta documentación, visite la Comunidad de Microsoft 365.

Introducción a los pasos para configurar la clave de cliente

Para configurar la clave de cliente, complete las siguientes tareas en orden. El resto de este artículo proporciona instrucciones detalladas para cada tarea o vínculos a más información para cada paso del proceso.

En Azure:

• Creación de dos nuevas suscripciones de Azure

Complete los siguientes requisitos previos mediante Azure PowerShell. (se recomienda la versión 4.4.0 o posterior):

• Registro de las entidades de servicio necesarias

• Creación de una Key Vault premium de Azure en cada suscripción

• Asignación de permisos a cada almacén de claves

• Agregue una clave a cada almacén de claves, ya sea mediante la creación o importación de una clave

• Comprobación de la fecha de expiración de las claves

• Asegúrese de que la eliminación temporal está habilitada en los almacenes de claves.

• Copia de seguridad de la clave Key Vault de Azure

• Obtención del URI de cada clave de azure Key Vault

Habilite el inquilino después de completar la instalación:

• Incorporación mediante el servicio de incorporación de claves de cliente

• Incorporación a la clave de cliente mediante el método heredado

• Incorporación a la clave de cliente para SharePoint y OneDrive

• Incorporación a la clave de cliente para entornos especiales en la nube

Completar tareas en Azure Key Vault para la clave de cliente

Complete las siguientes tareas en Azure Key Vault. Solo tiene que realizar este paso una vez para cada carga de trabajo de clave de cliente que planee usar, como Clave de cliente para varias cargas de trabajo, Exchange o SharePoint y OneDrive.

Creación de dos nuevas suscripciones de Azure

La clave de cliente requiere dos suscripciones de Azure. Como procedimiento recomendado, Microsoft recomienda crear nuevas suscripciones de Azure específicamente para su uso con la clave de cliente.

Las claves de Azure Key Vault solo se pueden autorizar para las aplicaciones del mismo inquilino de Microsoft Entra. Para asignar directivas de cifrado de datos (DEP), asegúrese de crear ambas suscripciones en el mismo inquilino Microsoft Entra que usa la organización. Por ejemplo, use la cuenta profesional o educativa que tenga privilegios de administrador adecuados en su organización. Para obtener instrucciones paso a paso, consulte Registrarse en Azure como organización.

Importante

La clave de cliente requiere dos claves para cada DEP. Para admitir este requisito, debe crear dos suscripciones de Azure independientes. Como procedimiento recomendado, haga que distintos miembros de su organización administren una clave en cada suscripción. Estas suscripciones solo se deben usar para administrar claves de cifrado para Microsoft 365. Esta configuración ayuda a proteger su organización en caso de que alguien elimine o malintencione accidentalmente o malintencione una clave que controla.

No hay ningún límite práctico para cuántas suscripciones de Azure puede crear su organización. Seguir estos procedimientos recomendados ayuda a reducir el riesgo de errores humanos y facilita la administración de recursos de clave de cliente.

Registro de las entidades de servicio necesarias

Para usar la clave de cliente, el inquilino debe tener registradas las entidades de servicio necesarias. En las secciones siguientes se muestra cómo comprobar si las entidades de servicio ya están registradas en el inquilino. Si no es así, ejecute el cmdlet "New-AzADServicePrincipal" .

Registro de la entidad de servicio para la aplicación de incorporación de claves de cliente

Para comprobar si la aplicación customer key onboarding ya está registrada con los permisos correctos, ejecute el siguiente comando:

Get-AzADServicePrincipal -ServicePrincipalName 19f7f505-34aa-44a4-9dcc-6a768854d2ea

Si no está registrado, ejecute:

New-AzADServicePrincipal -ApplicationId 19f7f505-34aa-44a4-9dcc-6a768854d2ea

Registro de la entidad de servicio para la aplicación M365DataAtRestEncryption

Para comprobar si la aplicación M365DataAtRestEncryption ya está registrada con los permisos correctos, ejecute el siguiente comando:

Get-AzADServicePrincipal -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4 

Si no está registrado, ejecute:

New-AzADServicePrincipal -ApplicationId c066d759-24ae-40e7-a56f-027002b5d3e4

Registro de la entidad de servicio para la aplicación Office 365 Exchange Online

Para comprobar si la aplicación Office 365 Exchange Online ya está registrada con los permisos correctos, ejecute el siguiente comando:

Get-AzADServicePrincipal -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000 

Si no está registrado, ejecute:

New-AzADServicePrincipal -ApplicationId 00000002-0000-0ff1-ce00-000000000000

Creación de una Key Vault premium de Azure en cada suscripción

Antes de crear un almacén de claves, realice los pasos descritos en Introducción con Azure Key Vault. Estos pasos le guían a través de la instalación y el inicio de Azure PowerShell y la conexión a la suscripción. A continuación, cree un grupo de recursos y un almacén de claves.

Al crear un almacén de claves, debe elegir una SKU: Standard o Premium. La SKU de Standard usa claves protegidas por software sin un módulo de seguridad de hardware (HSM), mientras que la SKU premium permite el uso de HSM para proteger las claves. Customer Key admite almacenes de claves con cualquiera de las dos SKU, pero Microsoft recomienda encarecidamente usar la SKU Premium. El costo de las operaciones es el mismo para ambos; Por lo tanto, la única diferencia de precio procede del costo mensual de cada clave protegida por HSM. Para obtener más información sobre los precios, consulte Key Vault precios.

Si tiene previsto usar HSM administrado por Azure en lugar de Azure Key Vault, consulte Clave de cliente con HSM administrado.

Importante

Use los almacenes de claves de SKU Premium y las claves protegidas por HSM para los datos de producción. Use Standard claves y almacenes de claves de SKU solo para pruebas y validación.

Para cada carga de trabajo de Microsoft 365 para la que use la clave de cliente, cree un almacén de claves en cada una de las dos suscripciones de Azure que configuró anteriormente.

Por ejemplo, si usa la clave de cliente para varios escenarios de cargas de trabajo, Exchange y SharePoint, necesita tres pares de almacenes de claves para un total de seis. Use una convención de nomenclatura clara que refleje el uso previsto del DEP con el que se asocian los almacenes. En la tabla siguiente se muestra cómo asignar cada Key Vault de Azure a cada carga de trabajo.

nombre Key Vault	Permisos para varias cargas de trabajo de Microsoft 365 (M365DataAtRestEncryption)	Permisos para Exchange	Permisos para SharePoint y OneDrive
ContosoM365AKV01	Sí	No	No
ContosoM365AKV02	Sí	No	No
ContosoEXOAKV01	No	Sí	No
ContosoEXOAKV02	No	Sí	No
ContosoSPOAKV01	No	No	Sí
ContosoSPOAKV02	No	No	Sí

La creación de almacenes de claves también requiere la configuración de grupos de recursos de Azure. Los almacenes de claves requieren una pequeña cantidad de almacenamiento y el registro (si está habilitado) también almacena datos. Como procedimiento recomendado, Microsoft recomienda asignar administradores diferentes para administrar cada grupo de recursos. Estos roles deben alinearse con los administradores responsables de administrar los recursos de clave de cliente asociados.

Para Exchange, un DEP se limita al nivel de buzón. Cada buzón solo puede tener asignada una directiva y puede crear hasta 50 directivas. Una directiva de SharePoint cubre todos los datos de la ubicación geográfica (o geográfica) de una organización, mientras que una directiva de varias cargas de trabajo cubre las cargas de trabajo admitidas en todos los usuarios de la organización.

Importante

Si usa la clave de cliente para varias cargas de trabajo, Exchange y SharePoint y OneDrive, asegúrese de crear dos almacenes de claves de Azure para cada carga de trabajo. Esto significa que necesita un total de seis almacenes de claves.

Asignación de permisos a cada almacén de claves

Asigne los permisos necesarios a cada almacén de claves mediante el control de acceso basado en rol de Azure (RBAC de Azure) en el Azure Portal. En esta sección se explica cómo aplicar los permisos correctos mediante RBAC.

Asignación de permisos mediante el método RBAC

Para asignar (wrapKey, unwrapkeyy get) en la Key Vault de Azure, asigne el rol Key Vault usuario de cifrado de servicio criptográfico a la aplicación de Microsoft 365 adecuada. Consulte Concesión de permisos a las aplicaciones para acceder a un almacén de claves de Azure mediante Azure RBAC.

Al asignar el rol, busque los siguientes nombres de aplicación en el inquilino:

• Varias cargas de trabajo: M365DataAtRestEncryption

• Exchange: Office 365 Exchange Online

• SharePoint y OneDrive: Office 365 SharePoint Online

Si no ve la aplicación que está buscando, asegúrese de registrar la aplicación en el inquilino.

Para obtener más información sobre cómo asignar roles y permisos, consulte Uso del control de acceso basado en rol para administrar el acceso a los recursos de suscripción de Azure.

Asignación de roles de usuario

La clave de cliente requiere administradores de Key Vault y colaboradores de Key Vault para administrar y proteger el acceso a las claves de cifrado.

• Key Vault Los administradores controlan tareas de administración diarias, como la copia de seguridad, la creación, la obtención, la importación, la lista y la restauración. Por diseño, no tienen permiso para eliminar claves. Este diseño ayuda a evitar la pérdida de datos permanente. Conceda solo permisos de eliminación temporalmente y con precaución mediante el rol Colaborador.

• Key Vault colaboradores pueden administrar permisos y asignar roles en el almacén de claves. Use este rol para controlar el acceso cuando los miembros del equipo se unan o se vayan.

Para obtener pasos detallados sobre cómo asignar estos roles mediante Azure RBAC, consulte Roles integrados de Azure para Key Vault operaciones del plano de datos.

Agregue una clave a cada almacén de claves mediante la creación o importación de una clave

Hay dos maneras de agregar claves a una Key Vault de Azure: puede crear una clave directamente en el almacén o importar una clave existente. La creación de una clave en Azure es más sencilla, pero la importación de una clave proporciona control total sobre cómo se genera la clave. Use claves RSA. La clave de cliente admite longitudes de clave RSA de hasta 4096 bits. Azure Key Vault no admite el ajuste y desencapsulado con claves de curva elíptica (EC).

Para agregar una clave a cada almacén, consulte Add-AzKeyVaultKey.

Si prefiere generar una clave local y, a continuación, importarla en Azure, siga los pasos descritos en Generación y transferencia de claves protegidas por HSM para Azure Key Vault. Use las instrucciones de Azure para agregar una clave a cada almacén de claves.

Comprobación de la fecha de expiración de las claves

Para comprobar que las claves no tienen una fecha de expiración, ejecute el cmdlet Get-AzKeyVaultKey .

Para Azure Key Vault:

Get-AzKeyVaultKey -VaultName <vault name>

La clave de cliente no puede usar claves expiradas. Si una clave ha expirado, se produce un error en cualquier operación que la use, lo que puede provocar una interrupción del servicio. Se recomienda encarecidamente que las claves usadas con clave de cliente no tengan una fecha de expiración.

Una vez establecida, no se puede quitar una fecha de expiración, pero puede cambiarla. Si debe usar una clave con una fecha de expiración, actualícela a 12/31/9999 y use el método de incorporación heredado. Cualquier otro valor de expiración produce un error en la validación de Microsoft 365.

Nota:

El servicio de incorporación de claves de cliente solo acepta claves sin una fecha de expiración.

Para cambiar la fecha de expiración a 12/31/9999, use el cmdlet Update-AzKeyVaultKey .

Update-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

Precaución

No establezca fechas de expiración en las claves de cifrado usadas con clave de cliente.

Asegúrese de que la eliminación temporal está habilitada en los almacenes de claves.

Cuando puede recuperar rápidamente las claves, es menos probable que experimente interrupciones del servicio extendidas debido a la eliminación accidental o malintencionada. Esta característica de recuperación se denomina eliminación temporal. Permite recuperar claves o almacenes eliminados en un plazo de 90 días sin necesidad de restaurar desde una copia de seguridad.

La eliminación temporal se habilita automáticamente para las nuevas instancias de Azure Key Vault. Si usa almacenes existentes donde no está activado, puede habilitarlo manualmente.

Para habilitar la eliminación temporal en los almacenes de claves, siga estos pasos:

1. Inicie sesión en su suscripción de Azure con Azure PowerShell. Para obtener más información, consulte Inicio de sesión con Azure PowerShell.

2. Ejecute el cmdlet Get-AzKeyVault . Reemplace por <vault name> el nombre del almacén de claves:

   $v = Get-AzKeyVault -VaultName <vault name>
   $r = Get-AzResource -ResourceId $v.ResourceId
   $r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
   Set-AzResource -ResourceId $r.ResourceId -Properties $r.Properties
   

3. Confirme que la eliminación temporal está habilitada mediante la ejecución de:

   Get-AzKeyVault -VaultName <vault name> | fl
   

Compruebe que La eliminación temporal habilitada está establecida en Truey el período de retención de eliminación temporal (días) está establecido en 90.

Copia de seguridad de la clave de azure Key Vault

Después de crear o modificar una clave, asegúrese de realizar una copia de seguridad inmediatamente. Almacene copias de seguridad en ubicaciones en línea y sin conexión para ayudar a evitar la pérdida de datos.

Para realizar una copia de seguridad de una clave en Azure Key Vault, use el cmdlet Backup-AzKeyVaultKey.

Importante

Si se elimina una clave sin una copia de seguridad, no se puede recuperar. Cree siempre una copia de seguridad después de cualquier cambio de clave o creación.

Obtención del URI para cada clave de Azure Key Vault

Después de configurar los almacenes de claves y agregar las claves, ejecute el siguiente comando para obtener el URI de cada clave. Necesita estos URI al crear y asignar DEP; por lo tanto, asegúrese de guardarlos en algún lugar seguro.

Ejecute el siguiente comando en Azure PowerShell, una vez para cada almacén de claves:

(Get-AzKeyVaultKey -VaultName <vault name>).Id

Incorporación mediante el servicio de incorporación de claves de cliente

El servicio de incorporación de claves de cliente de Microsoft 365 permite habilitar la clave de cliente en el inquilino. Este servicio valida automáticamente los recursos de clave de cliente necesarios. Si lo prefiere, puede validar los recursos por separado antes de continuar con la habilitación.

Importante

Este servicio no está disponible actualmente para los siguientes escenarios:

• Inquilino de nubes especiales: consulte Incorporación a la clave de cliente para nubes especiales.
• SharePoint y OneDrive: consulte Incorporación a la clave de cliente para SharePoint y OneDrive.
• Inquilinos con HSM administrados: consulte Incorporación a la clave de cliente mediante el método heredado.

La cuenta usada para la incorporación debe tener los permisos siguientes:

1. Permisos de registro de entidad de servicio: para registrar las entidades de servicio necesarias.
2. Rol de lector: en cada Key Vault de Azure que se usa en el cmdlet de incorporación.

Instalación del módulo de M365CustomerKeyOnboarding PowerShell

1. Inicie sesión en su suscripción de Azure con Azure PowerShell. Para obtener instrucciones, consulte Inicio de sesión con Azure PowerShell.

2. Instale la versión más reciente del M365CustomerKeyOnboarding módulo desde el Galería de PowerShell.

• Para confirmar que usa la versión más reciente, compruebe la pestaña Historial de versiones en la parte inferior de la página del módulo.
• Copie y pegue el comando install en la sesión y ejecútelo.
• Si se le pide, seleccione Sí a Todos para continuar.

Uso de los tres modos de incorporación diferentes

Hay tres modos de incorporación diferentes disponibles al usar el servicio de incorporación de claves de cliente: Validar, Preparar y Habilitar. Cada modo cumple un propósito diferente en el proceso de incorporación.

Al ejecutar el cmdlet (como se indica en Creación de una solicitud de incorporación), especifique el modo mediante el -OnboardingMode parámetro .

Validar

Use el modo para confirmar que la Validate configuración del recurso clave del cliente es correcta. Este modo no realiza ningún cambio en el entorno.

Importante

Puede ejecutar este modo tantas veces como sea necesario, especialmente después de realizar cambios en la configuración.

Preparar

El Prepare modo registra las dos suscripciones de Azure especificadas en el cmdlet para un período de retención obligatorio. Esta configuración es una medida de seguridad para evitar la eliminación accidental o inmediata de las claves de cifrado, lo que podría dar lugar a una pérdida de datos permanente o una interrupción del servicio.

Después de ejecutar el cmdlet en este modo, las suscripciones pueden tardar hasta 1 hora en reflejar el cambio. Una vez completado, vuelva a usar Validate el modo para comprobar el estado.

Importante

Es necesario registrar el período de retención obligatorio . Solo tiene que ejecutarse Prepare una vez por entorno a menos que el cmdlet le pida específicamente que lo haga de nuevo.

Habilitación

Use el Enable modo cuando esté listo para incorporar el inquilino a clave de cliente. Este modo habilita Customer Key para la carga de trabajo que especifique mediante el -Scenario parámetro .

Si desea habilitar la clave de cliente para varias cargas de trabajo y Exchange, ejecute el cmdlet dos veces, una para cada carga de trabajo.

Antes de ejecutarse en modo Habilitar, asegúrese de que los resultados de validación se muestran en Pasado en ValidationResult.

Importante

Los recursos deben pasar todas las comprobaciones en Validate modo para que el proceso de incorporación se realice correctamente en el modo Habilitar.

Creación de una solicitud de incorporación

El primer paso del proceso de incorporación es crear una nueva solicitud. En PowerShell, puede almacenar los resultados de un cmdlet en una variable mediante el $ símbolo seguido del nombre de la variable.

En este ejemplo, la solicitud de incorporación se almacena en una variable denominada $request:

$request = New-CustomerKeyOnboardingRequest -Organization <tenantID> -Scenario <Scenario> -Subscription1 <subscriptionID1> -VaultName1 <AKVVaultName1> -KeyName1 <KeyName1> -Subscription2 <subscriptionID2> -VaultName2 <AKVVaultName2> -KeyName2 <KeyName2> -OnboardingMode <OnboardingMode>

Parámetro	Descripción	Ejemplo
-Organization	Su identificador de inquilino con el formato xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.	abcd1234-abcd-efgh-hijk-abcdef123456
-Scenario	Carga de trabajo a la que se va a incorporar. Opciones: MDEP : clave de cliente para varias cargas de trabajo EXO – Clave de cliente para Exchange	MDEP o EXO
-Subscription1	Identificador de suscripción de Azure de la primera suscripción registrada con un período de retención obligatorio.	p12ld534-1234-5678-9876-g3def67j9k12
-VaultName1	Nombre de la primera Key Vault de Azure configurada para clave de cliente.	EXOVault1
-KeyName1	Nombre de la primera clave de la primera Key Vault de Azure.	EXOKey1
-Subscription2	Identificador de suscripción de Azure de la segunda suscripción registrada con un período de retención obligatorio.	21k9j76f-ed3g-6789-8765-43215dl21pbd
-VaultName2	Nombre del segundo Key Vault de Azure configurado para Clave de cliente.	EXOVault2
-KeyName2	Nombre de la segunda clave de la segunda Key Vault de Azure.	EXOKey2
-OnboardingMode	Acción de incorporación que se va a realizar. Opciones: Prepare : aplica el período de retención obligatorio a las suscripciones. Puede tardar hasta 1 hora en surtir efecto. Validate : valida la configuración sin realizar cambios. Útil para comprobar antes de la incorporación. Enable : valida y habilita la clave de cliente en el inquilino si se supera la validación.	Prepare, Validate o Enable

Inicie sesión con las credenciales de administrador de inquilinos.

Cuando se le solicite, se abrirá una ventana del explorador. Inicie sesión con su cuenta de administrador de inquilinos con los privilegios necesarios para completar la incorporación.

Ver los detalles de validación y habilitación

Después de iniciar sesión correctamente, vuelva a la ventana de PowerShell. Ejecute la variable que usó al crear la solicitud de incorporación para ver su salida:

$request

Recibirá una salida que incluye ID, CreatedDate, ValidationResulty EnablementResult.

Salida	Descripción
ID	Identificador asociado a la solicitud de incorporación creada.
CreatedDate	Fecha en la que se creó la solicitud.
ValidationResult	Indicador de validación correcta o incorrecta.
EnablementResult	Indicador de habilitación correcta o incorrecta.

Un inquilino que está listo para usar la clave de cliente muestra Correcto para ambos ValidationResult y EnablementResult como se muestra en la captura de pantalla siguiente:

Si ambos valores muestran Correcto, vaya a Pasos siguientes.

Solución de problemas de detalles de validaciones erróneas

Si se produce un error en la validación durante la incorporación, realice los pasos siguientes para investigar la causa. Este proceso ayuda a identificar qué recursos de clave de cliente están mal configurados.

1. Enumere todas las solicitudes de incorporación para que el inquilino encuentre el RequestID del que desea investigar:

Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> 

2. Almacene la solicitud de incorporación específica en una variable:

$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID> 

3. Vea los detalles de validación con errores:

$request.FailedValidations 

Cada regla de validación incluye los campos siguientes:

• ExpectedValue: cuál debe ser la configuración del recurso.
• ActualValue: lo que se detectó en el entorno.
• Ámbito: los cinco primeros caracteres del identificador de suscripción que le ayudan a identificar qué suscripción (y su almacén de claves asociado) tienen el problema.
• Detalles: describe la causa principal y ofrece instrucciones para resolver el problema.

En la tabla siguiente se resumen las reglas de validación comunes y cómo resolver errores:

RuleName	Descripción	Solución
MandatoryRetentionPeriodState	Devuelve el estado de MandatoryRetentionPeriod.	Compruebe que ha ejecutado el Prepare modo. Si el problema persiste, consulte Estado de período de retención obligatorio incorrecto.
SubscriptionInRequestOrganization	Confirma que la suscripción de Azure pertenece a su organización.	Asegúrese de que la suscripción se creó dentro del inquilino especificado.
VaultExistsinSubscription	Confirma que la Key Vault de Azure forma parte de la suscripción especificada.	Compruebe si el almacén de claves se creó en la suscripción correcta.
SubscriptionUniquePerScenario	Garantiza que usa dos suscripciones únicas por escenario.	Compruebe que ambos identificadores de suscripción son diferentes.
SubscriptionsCountPerScenario	Confirma que se proporcionaron dos suscripciones.	Asegúrese de que la solicitud de incorporación incluya dos suscripciones.
RecoveryLevel	Comprueba si el nivel de recuperación del almacén de claves es Recoverable+ProtectedSubscription.	Consulte Estado incorrecto del período de retención obligatorio.
KeyOperationsSupported	Comprueba si la clave admite las operaciones necesarias para la carga de trabajo.	Consulte Asignación de los permisos adecuados a las claves de AKV.
KeyNeverExpires	Garantiza que la clave no tiene ninguna fecha de expiración.	Consulte Comprobación de la expiración de las claves.
KeyAccessPermissions	Confirma que la clave tiene los permisos de acceso adecuados.	Consulte Asignación de los permisos adecuados a las claves de AKV.
OrganizationHasRequiredServicePlan	Comprueba si su organización tiene las licencias necesarias.	Consulte Asegurarse de que el inquilino tiene las licencias necesarias.

Estado de período de retención obligatorio incorrecto

Si permanece MandatoryRetentionPeriodState establecido Recoverable en o Recoverable+Purgeable más de una hora después de ejecutar el cmdlet de incorporación en Prepare modo y ya ha habilitado la eliminación temporal en Azure Key Vaults, siga estos pasos para solucionar el problema:

1. Comprobación del estado del registro de características
   Ejecute los comandos siguientes en Azure PowerShell para confirmar que ambas suscripciones de Azure muestran un estado de Registered:

Set-AzContext -SubscriptionId <Subscription ID>
Get-AzProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources  

2. Volver a registrar los proveedores de recursos necesarios
   Vuelva a registrar los Microsoft.Resources proveedores de recursos y Microsoft.KeyVault en cada suscripción. Puede realizar esta acción a través de Azure PowerShell, la CLI de Azure o la Azure Portal:

   • Azure PowerShell:

       Register-AzResourceProvider -ProviderNamespace Microsoft.Resources 
       Register-AzResourceProvider -ProviderNamespace Microsoft.Keyvault 
     

   • CLI de Azure:

       az provider register --namespace Microsoft.Resources 
       az provider register --namespace Microsoft.Keyvault 
     

   • Azure Portal:

3. Comprobación del nivel de recuperación de claves
   Para confirmar que una clave tiene el nivel de recuperación correcto, ejecute el siguiente comando en Azure PowerShell:

   (Get-AzKeyVaultKey -VaultName <vault name> -Name <key name>).Attributes
   

   Busque la RecoveryLevel propiedad en la salida. Debe establecerse en Recoverable+ProtectedSubscription

Comprobación de validaciones pasadas

Para ver qué validaciones se realizaron correctamente durante el proceso de incorporación, siga estos pasos:

1. Almacenar la solicitud de incorporación específica en la variable "$request"

$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID> 

2. Ejecute el siguiente comando para mostrar todas las validaciones pasadas:

$request.PassedValidations 

Este comando devuelve una lista de todas las validaciones que se pasaron correctamente para la solicitud de incorporación seleccionada.

Incorporación a la clave de cliente mediante el método heredado

Use este método solo si el servicio de incorporación de claves de cliente no admite el escenario del inquilino.

Después de completar todos los pasos necesarios para configurar azure key vaults y suscripciones, póngase en contacto con Soporte técnico de Microsoft y solicite ayuda con la incorporación de claves de cliente.

Incorporación a la clave de cliente para nubes especiales

Si el inquilino se encuentra en GCC-H, DoD o M365 operado por 21Vianet, complete primero todos los pasos necesarios para configurar la clave de cliente.

• Para los inquilinos de GCC-H y DoD, póngase en contacto con Soporte técnico de Microsoft y solicite la incorporación de inquilinos gubernamentales.

• Para los clientes de M365 operados por 21Vianet (China), configure los recursos clave del cliente mediante Azure China Portal. A continuación, póngase en contacto con Soporte técnico de Microsoft y solicite la incorporación del inquilino.

Incorporación a la clave de cliente para SharePoint y OneDrive

Para incorporarse a la clave de cliente para SharePoint y OneDrive, el inquilino debe cumplir los siguientes requisitos previos:

1. El inquilino ya está incorporado a la clave de cliente para varias cargas de trabajo o Exchange.
2. Ambas suscripciones de Azure se registran con un período de retención obligatorio.

Si se cumplen ambos requisitos previos, realice los pasos descritos en Creación de un DEP para su uso con SharePoint y OneDrive.

Pasos siguientes

Después de completar los pasos de configuración de este artículo, está listo para crear y asignar DEP. Para obtener instrucciones detalladas, consulte Administrar clave de cliente.

Artículos relacionados

• Cifrado del servicio de clave de cliente con la clave de cliente de Microsoft Purview

• Administrar clave de cliente

• Rotar o alternar una Clave de cliente o una clave de disponibilidad

• Más información sobre la clave de disponibilidad

• Cifrado de servicio y administración de claves