Nota
L'accesso a questa pagina richiede l'autorizzazione. Puoi provare ad accedere o a cambiare directory.
L'accesso a questa pagina richiede l'autorizzazione. Puoi provare a cambiare directory.
Dopo aver configurato la chiave del cliente, il passaggio successivo consiste nel creare e assegnare uno o più criteri di crittografia dei dati.After setting up Customer Key, the next step is to create and assign one or more data encryption policies (DEPs). Dopo l'assegnazione, è possibile gestire le chiavi e i criteri di crittografia come descritto in questo articolo.
Microsoft Purview Customer Key supporta anche Windows 365 PC cloud. Per altre informazioni, vedere Microsoft Purview Customer Key for Windows 365 Cloud PC (Chiave del cliente di Microsoft Purview per pc cloud Windows 365).
Prerequisiti
Prima di gestire la chiave del cliente, assicurarsi di avere:
- Configurazione completata: completare tutti i passaggi in Configurare la chiave del cliente
- Key Vault URI: ottenere gli URI per le chiavi di Azure Key Vault. Vedere Ottenere l'URI per ogni chiave Azure Key Vault
- Autorizzazioni: autorizzazioni di amministratore di Exchange (tutte le operazioni DEP vengono eseguite tramite Exchange Online PowerShell)
-
Moduli di PowerShell:
- Exchange Online PowerShell per le operazioni DEP
- Azure PowerShell per le operazioni di Key Vault
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.
Riferimento rapido: Comandi per attività
Usare le tabelle seguenti per trovare rapidamente il comando necessario.
Creare e assegnare indirizzi DEP
| Attività | Carico di lavoro | Comando |
|---|---|---|
| Creare un DEP | Multi-carico di lavoro | New-M365DataAtRestEncryptionPolicy -Name <Name> -AzureKeyIDs <KeyURI1>,<KeyURI2> |
| Creare un DEP | Exchange | New-DataEncryptionPolicy -Name <Name> -AzureKeyIDs <KeyURI1>,<KeyURI2> |
| Creare un DEP | SharePoint/OneDrive | Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <Name> -PrimaryKeyName <Name> -PrimaryKeyVersion <Version> -SecondaryKeyVaultName <Name> -SecondaryKeyName <Name> -SecondaryKeyVersion <Version> |
| Assegnare un DEP | Multi-carico di lavoro | Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName> |
| Assegnare un DEP | Cassette postali di Exchange | Set-Mailbox -Identity <Mailbox> -DataEncryptionPolicy <PolicyName> |
| Assegnare un DEP | Cassetta postale ibrida | Set-MailUser -Identity <MailUser> -DataEncryptionPolicy <PolicyName> |
Visualizzare e verificare i criteri DIP
| Attività | Carico di lavoro | Comando |
|---|---|---|
| Elencare tutti i PUNTI DIP | Multi-carico di lavoro | Get-M365DataAtRestEncryptionPolicy |
| Elencare tutti i PUNTI DIP | Exchange | Get-DataEncryptionPolicy |
| Visualizzare l'assegnazione DEP | Multi-carico di lavoro | Get-M365DataAtRestEncryptionPolicyAssignment |
| Visualizzare DEP cassetta postale | Exchange | Get-MailboxStatistics -Identity <Mailbox> \| fl DataEncryptionPolicyID |
| Visualizzare lo stato della crittografia | SharePoint/OneDrive | Get-SPODataEncryptionPolicy <SPOAdminSiteUrl> |
| Controllare la crittografia delle cassette postali | Exchange | Get-MailboxStatistics -Identity <Mailbox> \| fl IsEncrypted |
Gestire e disabilitare i criteri DIP
| Attività | Carico di lavoro | Comando |
|---|---|---|
| Disabilitare un dep | Multi-carico di lavoro | Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Enabled $false |
| Annullare l'assegnazione di un DEP | Exchange | Set-Mailbox -Identity <Mailbox> -DataEncryptionPolicy $null |
operazioni Key Vault
| Attività | Comando |
|---|---|
| Visualizzare le autorizzazioni di Key Vault | Get-AzKeyVault -VaultName <VaultName> |
| Rimuovere l'accesso utente | Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -UserPrincipalName <UPN> |
| Ripristinare una chiave | Restore-AzKeyVaultKey -VaultName <VaultName> -InputFile <BackupFile> |
Creare un DEP per l'uso con più carichi di lavoro per tutti gli utenti del tenant
Nel computer locale accedere usando un account aziendale o dell'istituto di istruzione con autorizzazioni di amministratore della conformità e connettersi a Exchange Online PowerShell.
Eseguire il cmdlet seguente per creare un criterio di crittografia dei dati multi-carico di lavoro:
New-M365DataAtRestEncryptionPolicy -Name <PolicyName> -AzureKeyIDs <KeyVaultURI1, KeyVaultURI2> [-Description <String>]Definizioni dei parametri:
-Name: nome da usare per i criteri. Non sono consentiti spazi.-AzureKeyIDs: URI delle due chiavi Azure Key Vault usate nel criterio, separate da virgole.Esempio:
"https://contosoCentralUSvault1.vault.azure.net/keys/Key_02""https://contosoWestUSvault1.vault.azure.net/keys/Key_01"Description(facoltativo): descrizione leggibile dei criteri.Esempio:
"Policy for multiple workloads for all users in the tenant."
New-M365DataAtRestEncryptionPolicy -Name "Contoso_Global" -AzureKeyIDs "https://contosoWestUSvault1.vault.azure.net/keys/Key_01","https://contosoCentralUSvault1.vault.azure.net/keys/Key_02" -Description "Policy for multiple workloads for all users in the tenant."
Assegnare criteri multi-carico di lavoro
Dopo aver creato un criterio di crittografia dei dati multi-carico di lavoro (DEP), assegnarlo usando il Set-M365DataAtRestEncryptionPolicyAssignment cmdlet . Dopo l'assegnazione, Microsoft 365 crittografa i dati dell'organizzazione usando le chiavi specificate in DEP.
Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName or ID>
Sostituire <PolicyName or ID> con il nome o il GUID del criterio.
Esempio:
Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy "Contoso_Global"
Windows 365 PC cloud:
Dopo l'assegnazione dei criteri, consentire 3-4 ore affinché l'interfaccia di amministrazione Intune rifletta l'aggiornamento. Dopo l'aggiornamento, seguire la procedura descritta nell'interfaccia di amministrazione per crittografare i PC cloud esistenti.
Per altre informazioni, vedere Configurare le chiavi del cliente per i PC cloud Windows 365.
Creare un DEP da usare con le cassette postali di Exchange
Prima di iniziare, completare i passaggi di installazione necessari. Per informazioni dettagliate, vedere Configurare la chiave del cliente. Per creare dep, sono necessari gli URI di Azure Key Vault ottenuti durante l'installazione. Per altre info, vedi Ottenere l'URI per ogni chiave Azure Key Vault.
Per creare un dep per le cassette postali di Exchange, seguire questa procedura:
Nel computer locale, usando un account aziendale o dell'istituto di istruzione con autorizzazioni di amministratore di Exchange, connettersi a Exchange Online PowerShell.
Creare un dep usando il
New-DataEncryptionPolicycmdlet :New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>Parametro Descrizione Esempio -NameImmettere un nome per i criteri. I nomi non possono contenere spazi. USA_mailboxes-AzureKeyIDsImmettere gli URI per due chiavi in insiemi di credenziali delle chiavi Azure separati. Separarli con una virgola e uno spazio. https://contosoEastUSvault01.vault.azure.net/keys/USA_key_01,https://contosoEastUS2vault01.vault.azure.net/keys/USA_key_02-DescriptionDescrizione intuitiva che consente di identificare lo scopo dei criteri. "Root key for mailboxes in USA and its territories"Esempio:
New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault02.vault.azure.net/keys/USA_key_01, https://contoso_CentralUSvault02.vault.azure.net/keys/USA_Key_02Per informazioni sulla sintassi e sui parametri, vedere New-DataEncryptionPolicy.
Assegnare un DEP a una cassetta postale
Assegnare dep con il Set-Mailbox cmdlet . Dopo l'assegnazione, Microsoft 365 crittografa la cassetta postale con le chiavi nel DEP.
Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>
Per altre informazioni, vedere Set-Mailbox.
Assegnare un DEP alle cassette postali ibride
Negli ambienti ibridi assegnare un DEP per sincronizzare i dati delle cassette postali locali usando Set-MailUser:
Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>
Per altre informazioni, vedere Set-MailUser e cassette postali locali con Outlook per iOS e Android con l'autenticazione moderna ibrida.
Assegnare un DEP prima di eseguire la migrazione di una cassetta postale al cloud
L'assegnazione di un DEP prima della migrazione crittografa il contenuto della cassetta postale durante lo spostamento, il che è più efficiente rispetto all'assegnazione di un DEP dopo la migrazione.
Connettersi a Exchange Online PowerShell usando un account aziendale o dell'istituto di istruzione con le autorizzazioni appropriate.
Eseguire il comando qui riportato:
Set-MailUser -Identity <GeneralMailboxOrMailUserIdParameter> -DataEncryptionPolicy <DataEncryptionPolicyIdParameter>
Visualizzare i CRITERI di accesso creati per le cassette postali di Exchange
Per elencare tutti i criteri di distribuzione nell'organizzazione, connettersi a Exchange Online PowerShell ed eseguire:
Get-DataEncryptionPolicy
Per informazioni dettagliate sui cmdlet, vedere Get-DataEncryptionPolicy.
Determinare il DEP assegnato a una cassetta postale
Per trovare il DEP assegnato a una cassetta postale, connettersi a Exchange Online PowerShell ed eseguire:
Get-MailboxStatistics -Identity <MailboxIdParameter> | fl DataEncryptionPolicyID
Per ottenere il nome descrittivo dal GUID restituito:
Get-DataEncryptionPolicy <GUID>
Per ulteriori informazioni, vedere Get-MailboxStatistics.
Creare un DEP da usare con SharePoint e OneDrive
Prima di iniziare, assicurarsi di completare i passaggi di installazione necessari. Per altre informazioni, vedere Configurare la chiave del cliente.
Per configurare la chiave del cliente per SharePoint e OneDrive, usare SharePoint PowerShell.
Un DEP usa due chiavi da insiemi di credenziali delle chiavi Azure separati in aree diverse. Per i tenant con area geografica singola è necessario un dep. I tenant multi-geo necessitano di un DEP per area geografica con chiavi diverse. Sono necessari gli URI Key Vault per entrambe le chiavi. Vedere Ottenere l'URI per ogni chiave Azure Key Vault.
Nel computer locale, usando un account aziendale o dell'istituto di istruzione con autorizzazioni appropriate nell'organizzazione, connettersi a SharePoint PowerShell.
Usare il
Register-SPODataEncryptionPolicycmdlet per registrare dep.Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>Esempio:
Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'stageRG3vault' -PrimaryKeyName 'SPKey3' -PrimaryKeyVersion 'f635a23bd4a44b9996ff6aadd88d42ba' -SecondaryKeyVaultName 'stageRG5vault' -SecondaryKeyName 'SPKey5' -SecondaryKeyVersion '2b3e8f1d754f438dacdec1f0945f251a'Se si usa il modulo di protezione hardware gestito: usare l'URL completo della chiave , inclusa la versione per ogni insieme di credenziali.
Register-SPODataEncryptionPolicy -PrimaryKeyVaultUri <PrimaryKeyVaultURL> -SecondaryKeyVaultUri <SecondaryKeyVaultURL>Esempio:
Register-SPODataEncryptionPolicy -PrimaryKeyVaultURL https://M365-Test.managedhsm.azure.net/keys/Sharepoint-01/aaaa5513974f4780ea67b2f5d8c3dd -SecondaryKeyVaultURL https://M365-Test-02.managedhsm.azure.net/keys/Sharepoint-02/7d8f30343bed4e44a57225bae2012388Nota
Una volta registrato il DEP, inizia la crittografia dei dati dell'area geografica. Questo processo potrebbe richiedere del tempo.
Per informazioni di riferimento sui cmdlet completi, vedere Register-SPODataEncryptionPolicy.
Verificare che la crittografia con la chiave del cliente sia completa
Dopo l'implementazione di una chiave cliente, l'assegnazione di un nuovo criterio di crittografia dei dati (DEP) o la migrazione di una cassetta postale, seguire la procedura descritta in questa sezione per verificare che la crittografia sia completa.
Verificare il completamento della crittografia per le cassette postali di Exchange
La crittografia di una cassetta postale può richiedere tempo. Per la crittografia per la prima volta, la cassetta postale deve essere spostata completamente in un nuovo database prima che la crittografia possa essere completata.
Per verificare se una cassetta postale è crittografata, usare il Get-MailboxStatistics cmdlet :
Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted
La IsEncrypted proprietà restituisce true se la cassetta postale è crittografata e false in caso contrario.
Il tempo necessario per completare gli spostamenti delle cassette postali dipende dal numero di cassette postali crittografate per la prima volta e dalle relative dimensioni.
Verificare il completamento della crittografia per SharePoint e OneDrive
Controllare lo stato della crittografia eseguendo il cmdlet Get-SPODataEncryptionPolicy come indicato di seguito:
Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>
L'output include GLI URI della chiave primaria/secondaria, lo stato di crittografia e la percentuale di siti di cui è stato caricato l'onboarding. Valori di stato:
| Stato | Descrizione |
|---|---|
| Annullata | Crittografia chiave cliente non applicata |
| Registrazione | Crittografia in corso (mostra la percentuale di completamento) |
| Registrato | Crittografia completata |
| Rotolamento | Roll in corso della chiave (mostra la percentuale di completamento) |
Ottenere informazioni dettagliate sugli indirizzi DEP usati con più carichi di lavoro
Per visualizzare i punti di accesso con più carichi di lavoro, connettersi a Exchange Online PowerShell con autorizzazioni di amministratore della conformità ed eseguire:
Get-M365DataAtRestEncryptionPolicy
Per informazioni dettagliate su un DEP specifico:
Get-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global"
Ottenere informazioni sull'assegnazione DEP con più carichi di lavoro
Per identificare quale DEP è assegnato al tenant, connettersi a Exchange Online PowerShell ed eseguire:
Get-M365DataAtRestEncryptionPolicyAssignment
Disabilitare un DEP con più carichi di lavoro
Prima di disabilitare, annullare l'assegnazione del dep dai carichi di lavoro nel tenant. Connettersi quindi a Exchange Online PowerShell ed eseguire:
Set-M365DataAtRestEncryptionPolicy -Identity "PolicyName" -Enabled $false
Ripristinare le chiavi Azure Key Vault
Prima di eseguire il ripristino, provare a usare l'eliminazione temporanea per ripristinare le chiavi (disponibile per un massimo di 90 giorni). Il ripristino completo è necessario solo se una chiave o un insieme di credenziali viene perso definitivamente.
Per ripristinare una chiave usando Azure PowerShell, eseguire il comando seguente:
Restore-AzKeyVaultKey -VaultName <vault name> -InputFile <filename>
Esempio:
Restore-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup
Importante
Se l'insieme di credenziali delle chiavi contiene già una chiave con lo stesso nome, l'operazione di ripristino ha esito negativo. Il Restore-AzKeyVaultKey cmdlet ripristina tutte le versioni della chiave, inclusi i metadati e il nome.
Gestire le autorizzazioni dell'insieme di credenziali delle chiavi
Usare Azure PowerShell per visualizzare o rimuovere le autorizzazioni dell'insieme di credenziali delle chiavi, ad esempio quando un utente lascia il team.
Per visualizzare le autorizzazioni:
Get-AzKeyVault -VaultName <vault name>
Esempio:
Get-AzKeyVault -VaultName Contoso-O365EX-NA-VaultA1
Per rimuovere l'accesso di un utente:
Remove-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user>
Eseguire il rollback dalla chiave del cliente alle chiavi gestite da Microsoft
È possibile ripristinare le chiavi gestite da Microsoft, che crittografano nuovamente i dati usando il metodo di crittografia predefinito per ogni carico di lavoro.
Importante
Il rollback ripristina la crittografia ma non elimina i dati. Un'eliminazione dei dati elimina definitivamente i dati e non può essere eseguita su criteri multi-carico di lavoro.
Eseguire il rollback dalla chiave del cliente per più carichi di lavoro
Se non si vuole più usare la chiave del cliente con i criteri di crittografia dei dati con più carichi di lavoro, inviare una richiesta di supporto tramite supporto tecnico Microsoft. Includere le informazioni seguenti nella richiesta:
- Nome di dominio completo del tenant (FQDN)
- Contatto del tenant per la richiesta di rollback
- Motivo dell'interruzione della chiave del cliente
- Numero evento imprevisto
Importante
È necessario conservare i Azure Key Vaults (AMV) e le chiavi di crittografia con le autorizzazioni appropriate. Questa azione è necessaria in modo che i dati possano essere reincapsati usando chiavi gestite da Microsoft.
Importante
Il rollback dalla chiave del cliente per più carichi di lavoro non è supportato in Gallatin.
Eseguire il rollback dalla chiave del cliente per Exchange
Se non si vuole più crittografare le singole cassette postali usando i criteri di crittografia dei dati a livello di cassetta postale, è possibile annullare l'assegnazione di tali indirizzi DEP da tutte le cassette postali.
Per annullare l'assegnazione di un DEP a livello di cassetta postale, seguire questa procedura:
Usare un account aziendale o dell'istituto di istruzione con le autorizzazioni necessarie Exchange Online PowerShell e connettersi a Exchange Online PowerShell.
Eseguire il cmdlet seguente.
Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy $null
Questo comando annulla l'assegnazione del dep corrente e crittografa nuovamente la cassetta postale usando le chiavi gestite da Microsoft predefinite.
Nota
Non è possibile annullare l'assegnazione del DEP associato alle chiavi gestite da Microsoft. Se non si vogliono usare chiavi gestite da Microsoft, assegnare invece un dep diverso alla cassetta postale.
Eseguire il rollback dalla chiave del cliente per SharePoint e OneDrive
Il rollback dalla chiave del cliente alle chiavi gestite da Microsoft non è supportato per SharePoint o OneDrive.
Revocare le chiavi e avviare il percorso di eliminazione dei dati
Si controlla la revoca di tutte le chiavi radice, inclusa la chiave di disponibilità. Quando si revocano le chiavi per eliminare i dati e uscire dal servizio, la chiave di disponibilità viene eliminata al termine dell'eliminazione. Questa funzionalità è supportata solo per i dep assegnati alle singole cassette postali.
Microsoft 365 controlla e convalida il processo di eliminazione dei dati. Per altre informazioni, vedere il report SSAE 18 SOC 2, la Guida alla valutazione dei rischi e alla conformità per gli istituti finanziari e Le considerazioni sulla pianificazione delle uscite di Microsoft 365.
Importante
L'eliminazione di un dep multi-carico di lavoro non è supportata. Questi criteri crittografano i dati tra più carichi di lavoro e utenti all'interno del tenant. L'eliminazione di un dep di questo tipo rende i dati in tutti i carichi di lavoro inaccessibili.
Se si esce completamente dal servizio Microsoft 365, vedere come eliminare un tenant in Microsoft Entra ID.
Revocare le chiavi del cliente e la chiave di disponibilità per Exchange
Quando si avvia il percorso di eliminazione dei dati per Exchange, si inserisce una richiesta di eliminazione permanente dei dati in un criterio di crittografia dei dati (DEP). Questa azione elimina definitivamente i dati crittografati in tutte le cassette postali assegnate a tale DEP.
Poiché il cmdlet di PowerShell funziona su un solo dep alla volta, è consigliabile riassegnare una singola dep a tutte le cassette postali prima di avviare il processo di eliminazione dei dati.
Avviso
Non usare il percorso di eliminazione dei dati per eliminare un subset di cassette postali. Questo processo è destinato solo alle organizzazioni che escono completamente dal servizio.
Per avviare il percorso di eliminazione dei dati, seguire questa procedura:
Rimuovere le autorizzazioni di wrapping e annullamento del wrapping per Exchange Online di O365 dagli insiemi di credenziali delle chiavi Azure.
Usare un account aziendale o dell'istituto di istruzione con le autorizzazioni di PowerShell Exchange Online appropriate e connettersi a Exchange Online PowerShell.
Per ogni DEP che include le cassette postali da eliminare, eseguire il
Set-DataEncryptionPolicycmdlet :Set-DataEncryptionPolicy <Policy ID> -PermanentDataPurgeRequested -PermanentDataPurgeReason <Reason> -PermanentDataPurgeContact <ContactName>Se il comando non riesce, verificare che Exchange Online autorizzazioni siano state rimosse da entrambe le chiavi nel Azure Key Vault, come indicato in precedenza. Dopo aver eseguito il
Set-DataEncryptionPolicycmdlet con l'opzione-PermanentDataPurgeRequested, il dep non può più essere assegnato alle cassette postali.Contattare supporto tecnico Microsoft e richiedere l'eDocument di Eliminazione dati.
Microsoft invia un documento legale per confermare e autorizzare l'eliminazione dei dati. La persona che firma questo è in genere un dirigente o un altro rappresentante legalmente autorizzato.
Dopo che il rappresentante ha firmato il documento, restituirlo a Microsoft (in genere tramite firma elettronica).
Dopo aver ricevuto l'eDocument firmato, Microsoft verifica l'autenticità della firma e del firmatario. Dopo la verifica, eseguono i cmdlet necessari per completare l'eliminazione dei dati. Questo processo elimina il DEP, contrassegna le cassette postali interessate per l'eliminazione permanente e rimuove la chiave di disponibilità. Al termine del processo, i dati vengono eliminati, inaccessibili a Exchange e non possono essere recuperati.
Revocare le chiavi del cliente e la chiave di disponibilità per SharePoint e OneDrive
L'eliminazione dei PUNTI DIP per SharePoint e OneDrive non è supportata nella chiave del cliente. Se si esce completamente dai servizi di Microsoft 365, è possibile seguire il processo documentato per eliminare il tenant.
Per informazioni dettagliate, vedere come eliminare un tenant in Microsoft Entra ID.
Eseguire la migrazione degli insiemi di credenziali delle chiavi dal modello di criteri di accesso legacy al controllo degli accessi in base al ruolo
Se è stato eseguito l'onboarding in Customer Key usando il modello di criteri di accesso legacy, seguire questa procedura per eseguire la migrazione di tutti gli insiemi di credenziali delle chiavi Azure per usare il controllo degli accessi in base al ruolo. Per confrontare i due modelli e comprendere il motivo per cui Microsoft consiglia il controllo degli accessi in base al ruolo, vedere Azure controllo degli accessi in base al ruolo (Azure controllo degli accessi in base al ruolo) e criteri di accesso (legacy).
Rimuovere i criteri di accesso legacy
Per rimuovere i criteri di accesso esistenti dagli insiemi di credenziali delle chiavi, usare il Remove-AzKeyVaultAccessPolicy cmdlet .
Accedere alla sottoscrizione di Azure con Azure PowerShell. Per indicazioni, vedere Accedere con Azure PowerShell.
Eseguire il comando seguente per rimuovere l'accesso per l'entità servizio di Microsoft 365 :
Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4Eseguire il comando seguente per rimuovere l'accesso per l'entità Exchange Online:
Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000Eseguire il comando seguente per rimuovere l'accesso per l'entità servizio di SharePoint e OneDrive for work o school:
Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000
Modifica del modello di autorizzazione di configurazione di Access
Dopo aver rimosso i criteri di accesso, aggiornare il modello di autorizzazione per ogni Key Vault nel portale di Azure:
Nella portale di Azure passare alla Key Vault.
Nel menu a sinistra, in Impostazioni, selezionare Configurazione di Accesso.
In Modello di autorizzazione scegliere Azure controllo degli accessi in base al ruolo.
Selezionare Applica nella parte inferiore della schermata.
Assegnazione di autorizzazioni di controllo degli accessi in base al ruolo
Dopo aver modificato il modello di autorizzazione, seguire la procedura descritta in Assegnare autorizzazioni a ogni Key Vault per concedere i ruoli necessari.
Risoluzione dei problemi
| Problema | Possibile causa | Risoluzione |
|---|---|---|
| La creazione di DEP ha esito negativo | URI Key Vault non valido | Verificare il formato URI e che la chiave esista nell'insieme di credenziali |
| L'assegnazione dep non riesce | Autorizzazioni insufficienti | Assicurarsi di avere le autorizzazioni di amministratore di Exchange |
| Cassetta postale non crittografata dopo una settimana | Spostamento del database non completato | Contattare supporto tecnico Microsoft |
Get-MailboxStatistics restituisce no DataEncryptionPolicyID |
DEP non assegnato | Assegnare un DEP usando Set-Mailbox |
| Crittografia di SharePoint bloccata in "Registrazione" | Problema di accesso a tenant o chiavi di grandi dimensioni | Verificare le autorizzazioni per le chiavi; per i tenant di grandi dimensioni, la crittografia può richiedere tempo |
| Il ripristino della chiave non riesce | Esiste una chiave con lo stesso nome | Usare un insieme di credenziali diverso o rimuovere prima la chiave esistente |
| Non è possibile connettersi a Exchange Online PowerShell | Modulo non installato o obsoleto | Installare o aggiornare il modulo Exchange Online PowerShell |