Configurare la chiave del cliente

Con Customer Key si controllano le chiavi di crittografia dell'organizzazione e quindi si configura Microsoft 365 per usarle per crittografare i dati inattivi nei data center Microsoft. In altre parole, Customer Key consente ai clienti di aggiungere un livello di crittografia che appartiene a loro, con le relative chiavi.

Configurare Azure prima di poter usare la chiave del cliente. Questo articolo descrive i passaggi da seguire per creare e configurare le risorse di Azure necessarie e quindi fornisce i passaggi per la configurazione della chiave del cliente. Dopo aver configurato Azure, si determinano i criteri e quindi le chiavi da assegnare per crittografare i dati in vari carichi di lavoro di Microsoft 365 nell'organizzazione. Per altre informazioni sulla chiave del cliente o per una panoramica generale, vedere Crittografia del servizio con la chiave del cliente di Microsoft Purview.

Importante

È consigliabile seguire le procedure consigliate in questo articolo. Questi sono indicati come TIP e IMPORTANT. Customer Key consente di controllare le chiavi di crittografia radice il cui ambito può essere grande quanto l'intera organizzazione. Ciò significa che gli errori commessi con queste chiavi possono avere un impatto generale e possono causare interruzioni del servizio o perdita irrevocabile dei dati.

Prima di configurare la chiave del cliente

Prima di iniziare, assicurarsi di avere le sottoscrizioni di Azure appropriate e le licenze M365/O365 per l'organizzazione. È necessario usare sottoscrizioni di Azure a pagamento. Le sottoscrizioni disponibili tramite il supporto gratuito, la versione di valutazione, le sponsorizzazioni, le sottoscrizioni MSDN e quelle incluse nel supporto legacy non sono idonee.

Importante

Le licenze M365/O365 valide che offrono la chiave del cliente M365 sono:

  • Office 365 E5
  • Microsoft 365 E5
  • Conformità Microsoft 365 E5
  • SKU di governance Microsoft 365 E5 Information Protection &
  • Sicurezza e conformità di Microsoft 365 per FLW

Le licenze Office 365 Advanced Compliance esistenti continueranno a essere supportate.

Per comprendere i concetti e le procedure in questo articolo, vedere la documentazione di Azure Key Vault. Acquisire familiarità con i termini usati in Azure, ad esempio il tenant di Azure AD.

Se è necessario più supporto oltre alla documentazione, contattare Microsoft Consulting Services (MCS), Premier Field Engineering (PFE) o un partner Microsoft per assistenza. Per fornire commenti e suggerimenti sulla chiave del cliente, inclusa la documentazione, inviare idee, suggerimenti e prospettive a customerkeyfeedback@microsoft.com.

Panoramica dei passaggi per configurare la chiave del cliente

Per configurare la chiave del cliente, completare queste attività nell'ordine elencato. Il resto di questo articolo fornisce istruzioni dettagliate per ogni attività o collegamenti ad altre informazioni per ogni passaggio del processo.

In Azure e Microsoft FastTrack:

Per completare la maggior parte di queste attività, è possibile connettersi in remoto a Azure PowerShell. Per ottenere risultati ottimali, usare la versione 4.4.0 o successiva di Azure PowerShell.

Completare le attività in Azure Key Vault e Microsoft FastTrack per la chiave del cliente

Completare queste attività in Azure Key Vault. Sarà necessario completare questi passaggi per tutti i punti di accesso ai dati usati con la chiave del cliente.

Creare due nuove sottoscrizioni di Azure

Customer Key richiede due sottoscrizioni di Azure. Come procedura consigliata, Microsoft consiglia di creare nuove sottoscrizioni di Azure da usare con la chiave del cliente. Le chiavi Key Vault di Azure possono essere autorizzate solo per le applicazioni nello stesso tenant di Azure Active Directory (Microsoft Azure Active Directory), è necessario creare le nuove sottoscrizioni usando lo stesso tenant di Azure AD usato con l'organizzazione in cui verranno assegnati i criteri di distribuzione. Ad esempio, usando l'account aziendale o dell'istituto di istruzione con privilegi di amministratore globale nell'organizzazione. Per i passaggi dettagliati, vedere Iscriversi ad Azure come organizzazione.

Importante

Customer Key richiede due chiavi per ogni criterio di crittografia dei dati (DEP). A tale scopo, è necessario creare due sottoscrizioni di Azure. Come procedura consigliata, Microsoft consiglia di avere membri separati dell'organizzazione per configurare una chiave in ogni sottoscrizione. È consigliabile usare queste sottoscrizioni di Azure solo per amministrare le chiavi di crittografia per Office 365. Ciò protegge l'organizzazione nel caso in cui uno degli operatori elimini accidentalmente, intenzionalmente o malintenzionatamente o in altro modo gestisce in modo errato le chiavi di cui è responsabile.

Non esiste alcun limite pratico al numero di sottoscrizioni di Azure che è possibile creare per l'organizzazione. Seguendo queste procedure consigliate si ridurrà al minimo l'impatto dell'errore umano, contribuendo al tempo stesso a gestire le risorse usate dalla chiave del cliente.

Inviare una richiesta per attivare la chiave del cliente per Office 365

Dopo aver creato le due nuove sottoscrizioni di Azure, sarà necessario inviare la richiesta di offerta chiave cliente appropriata nel portale di Microsoft FastTrack. Le selezioni effettuate nel modulo di offerta sulle designazioni autorizzate all'interno dell'organizzazione sono fondamentali e necessarie per il completamento della registrazione della chiave del cliente. I responsabili in questi ruoli selezionati all'interno dell'organizzazione assicurano l'autenticità di qualsiasi richiesta di revoca e eliminazione di tutte le chiavi usate con un criterio di crittografia dei dati della chiave del cliente. È necessario eseguire questo passaggio una sola volta per ogni tipo dep chiave cliente che si intende usare per l'organizzazione.

Il team di FastTrack non fornisce assistenza per la chiave del cliente. Office 365 usa semplicemente il portale FastTrack per consentire all'utente di inviare il modulo e di tenere traccia delle offerte pertinenti per la chiave del cliente. Dopo aver inviato la richiesta FastTrack, contattare il team di onboarding della chiave del cliente corrispondente per avviare il processo di onboarding.

Per inviare un'offerta per attivare la chiave del cliente, completare la procedura seguente:

  1. Usando un account aziendale o dell'istituto di istruzione con autorizzazioni di amministratore globale nell'organizzazione, accedere al portale di Microsoft FastTrack.

  2. Dopo aver eseguito l'accesso, selezionare il dominio appropriato.

  3. Per il dominio selezionato, scegliere Distribuisci dalla barra di spostamento superiore ed esaminare l'elenco delle offerte disponibili.

  4. Scegliere la scheda informativa per l'offerta che si applica all'utente:

    • Più carichi di lavoro di Microsoft 365: Scegliere l'offerta Richiedi guida alla chiave di crittografia per Microsoft 365 .

    • Exchange Online e Skype for Business: scegliere la Guida richiedi chiave di crittografia per l'offerta exchange.

    • File di SharePoint Online, OneDrive e Teams: Scegliere la Guida richiedi chiave di crittografia per SharePoint e OneDrive for Business'offerta.

  5. Dopo aver esaminato i dettagli dell'offerta, scegliere Continua al passaggio 2.

  6. Compilare tutti i dettagli applicabili e le informazioni richieste nel modulo di offerta. Prestare particolare attenzione alle selezioni per cui i responsabili dell'organizzazione si desidera autorizzare ad approvare la distruzione permanente e irreversibile di chiavi e dati di crittografia. Dopo aver completato il modulo, scegliere Invia.

Registrare le sottoscrizioni di Azure per usare un periodo di conservazione obbligatorio

La perdita temporanea o permanente delle chiavi di crittografia radice può causare interruzioni o addirittura catastrofiche del funzionamento del servizio e può causare la perdita di dati. Per questo motivo, le risorse usate con la chiave del cliente richiedono una protezione avanzata. Tutte le risorse di Azure usate con la chiave del cliente offrono meccanismi di protezione oltre la configurazione predefinita. È possibile contrassegna o registrare le sottoscrizioni di Azure per un periodo di conservazione obbligatorio. Un periodo di conservazione obbligatorio impedisce l'annullamento immediato e irrevocabile della sottoscrizione di Azure. I passaggi necessari per registrare le sottoscrizioni di Azure per un periodo di conservazione obbligatorio richiedono la collaborazione con il team di Microsoft 365. In precedenza, il periodo di conservazione obbligatorio veniva talvolta definito "Non annullare". Il completamento di questo processo richiederà cinque giorni lavorativi.

Importante

Prima di contattare il team di Microsoft 365, è necessario seguire questa procedura per ogni sottoscrizione di Azure usata con la chiave del cliente. Assicurarsi di avere installato il modulo Azure PowerShell Az prima di iniziare.

  1. Accedere con Azure PowerShell. Per istruzioni, vedere Accedere con Azure PowerShell.

  2. Eseguire il cmdlet Register-AzProviderFeature per registrare le sottoscrizioni per usare un periodo di conservazione obbligatorio. Completare questa azione per ogni sottoscrizione.

    Set-AzContext -SubscriptionId <SubscriptionId>
    Register-AzProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources
    

Contattare l'alias Microsoft corrispondente per procedere con il processo

Nota

Prima di contattare l'alias Microsoft corrispondente, verificare di aver completato le richieste fasttrack per la chiave del cliente M365.

  • Per abilitare la chiave del cliente per l'assegnazione di DEP a singole cassette postali Exchange Online, contattare exock@microsoft.com.

  • Per abilitare la chiave del cliente per l'assegnazione di indirizzi DEP per crittografare SharePoint Online e OneDrive for Business contenuto (inclusi i file di Teams) per tutti gli utenti del tenant, contattare spock@microsoft.com.

  • Per abilitare la chiave del cliente per l'assegnazione di indirizzi DEP per crittografare il contenuto in più carichi di lavoro di Microsoft 365 (Exchange Online, Teams, Microsoft Purview Information Protection) per tutti gli utenti del tenant, contattare m365-ck@service.microsoft.com.

  • Includere le informazioni seguenti nel messaggio di posta elettronica:

    Oggetto: Chiave del cliente per <Your tenant's fully qualified domain name>

    Corpo: includere gli ID richiesta FastTrack e gli ID sottoscrizione per ognuno dei servizi Customer Key a cui si vuole eseguire l'onboarding. Questi ID sottoscrizione sono quelli che si desidera completare il periodo di conservazione obbligatorio e l'output di Get-AzProviderFeature per ogni sottoscrizione.

Il contratto di servizio (SLA) per il completamento di questo processo è di cinque giorni lavorativi dopo che Microsoft è stato informato (e verificato) che le sottoscrizioni sono state registrate per usare un periodo di conservazione obbligatorio.

Verificare lo stato di ogni sottoscrizione di Azure

Dopo aver ricevuto una notifica da Microsoft che indica che la registrazione è stata completata, verificare lo stato della registrazione eseguendo il comando Get-AzProviderFeature come indicato di seguito. Se verificato, il comando Get-AzProviderFeature restituisce il valore Registered per la proprietà Registration State . Completare questo passaggio per ogni sottoscrizione.

Get-AzProviderFeature -ProviderNamespace Microsoft.Resources -FeatureName mandatoryRetentionPeriodEnabled

Suggerimento

Prima di procedere, assicurarsi che 'RegistrationState' sia impostato su 'Registered' come nell'immagine seguente.

Periodo di conservazione obbligatorio

Creare un Key Vault premium di Azure in ogni sottoscrizione

I passaggi per creare un insieme di credenziali delle chiavi sono documentati in Introduzione con Azure Key Vault, che consente di installare e avviare Azure PowerShell, connettersi alla sottoscrizione di Azure, creare un gruppo di risorse e creare un insieme di credenziali delle chiavi in tale gruppo di risorse.

Quando si crea un insieme di credenziali delle chiavi, è necessario scegliere uno SKU: Standard o Premium. Lo SKU Standard consente di proteggere le chiavi di Azure Key Vault con software, senza protezione delle chiavi HSM (Hardware Security Module) e lo SKU Premium consente l'uso di moduli di protezione hardware per la protezione delle chiavi Key Vault. Customer Key accetta insiemi di credenziali delle chiavi che usano uno SKU, anche se Microsoft consiglia vivamente di usare solo lo SKU Premium. Il costo delle operazioni con chiavi di entrambi i tipi è lo stesso, quindi l'unica differenza nel costo è il costo al mese per ogni chiave protetta da HSM. Per informazioni dettagliate, vedere Key Vault prezzi.

Importante

Usare gli insiemi di credenziali delle chiavi SKU Premium e le chiavi protette con HSM per i dati di produzione e usare solo le chiavi e gli insiemi di credenziali delle chiavi SKU Standard a scopo di test e convalida.

Per ogni servizio Microsoft 365 con cui si userà Customer Key, creare un insieme di credenziali delle chiavi in ognuna delle due sottoscrizioni di Azure create. Ad esempio, per abilitare La chiave del cliente per l'uso di indirizzi DEP per scenari di Exchange Online, SharePoint Online e multi-carico di lavoro, si creeranno tre coppie di insiemi di credenziali delle chiavi.

Usare una convenzione di denominazione per gli insiemi di credenziali delle chiavi che riflette l'uso previsto di DEP a cui si assoceranno gli insiemi di credenziali. Per indicazioni sulle convenzioni di denominazione, vedere la sezione Procedure consigliate di seguito.

Creare un set di insiemi di credenziali associato separato per ogni criterio di crittografia dei dati. Per Exchange Online, l'ambito di un criterio di crittografia dei dati viene scelto dall'utente quando si assegna il criterio alla cassetta postale. A una cassetta postale può essere assegnato un solo criterio ed è possibile creare fino a 50 criteri. L'ambito di un criterio di SharePoint Online include tutti i dati all'interno di un'organizzazione in una posizione geografica o geografica. L'ambito per un criterio multi-carico di lavoro include tutti i dati nei carichi di lavoro supportati per tutti gli utenti.

La creazione di insiemi di credenziali delle chiavi richiede anche la creazione di gruppi di risorse di Azure, poiché gli insiemi di credenziali delle chiavi richiedono capacità di archiviazione (anche se di piccole dimensioni) e la registrazione Key Vault, se abilitata, genera anche dati archiviati. Come procedura consigliata, Microsoft consiglia di usare amministratori separati per gestire ogni gruppo di risorse, con l'amministrazione allineata al set di amministratori che gestiranno tutte le risorse chiave del cliente correlate.

Assegnare autorizzazioni a ogni insieme di credenziali delle chiavi

Sarà necessario definire tre set separati di autorizzazioni per ogni insieme di credenziali delle chiavi, a seconda dell'implementazione. Ad esempio, sarà necessario definire un set di autorizzazioni per ognuno dei seguenti elementi:

  • Amministratori dell'insieme di credenziali delle chiavi che svolgono la gestione quotidiana dell'insieme di credenziali delle chiavi per l'organizzazione. Queste attività includono backup, creazione, recupero, importazione, elenco e ripristino.

    Importante

    Il set di autorizzazioni assegnate agli amministratori dell'insieme di credenziali delle chiavi non include l'autorizzazione per eliminare le chiavi. Si tratta di una pratica intenzionale e importante. L'eliminazione delle chiavi di crittografia non viene in genere eseguita, poiché in questo modo i dati vengono definitivamente distrutti. Come procedura consigliata, non concedere questa autorizzazione agli amministratori dell'insieme di credenziali delle chiavi per impostazione predefinita. Riservarlo invece ai collaboratori dell'insieme di credenziali delle chiavi e assegnarlo a un amministratore solo a breve termine una volta compresa una chiara comprensione delle conseguenze.

    Per assegnare queste autorizzazioni a un utente dell'organizzazione, accedere alla sottoscrizione di Azure con Azure PowerShell. Per istruzioni, vedere Accedere con Azure PowerShell.

    • Eseguire il cmdlet Set-AzKeyVaultAccessPolicy per assegnare le autorizzazioni necessarie.
    Set-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user> -PermissionsToKeys create,import,list,get,backup,restore
    

    Ad esempio:

    Set-AzKeyVaultAccessPolicy -VaultName Contoso-CK-EX-NA-VaultA1 -UserPrincipalName alice@contoso.com -PermissionsToKeys create,import,list,get,backup,restore
    
  • Collaboratori dell'insieme di credenziali delle chiavi che possono modificare le autorizzazioni in Azure Key Vault stesso. È necessario modificare queste autorizzazioni quando i dipendenti lasciano o si uniscono al team. Nella rara situazione in cui gli amministratori dell'insieme di credenziali delle chiavi hanno legittimo bisogno dell'autorizzazione per eliminare o ripristinare una chiave, è anche necessario modificare le autorizzazioni. A questo set di collaboratori dell'insieme di credenziali delle chiavi deve essere concesso il ruolo Collaboratore nell'insieme di credenziali delle chiavi. È possibile assegnare questo ruolo usando Azure Resource Manager. Per i passaggi dettagliati, vedere Usare Role-Based Controllo di accesso per gestire l'accesso alle risorse della sottoscrizione di Azure. L'amministratore che crea una sottoscrizione ha questo accesso in modo implicito e la possibilità di assegnare altri amministratori al ruolo Collaboratore.

  • Autorizzazioni per le applicazioni Microsoft 365 per ogni insieme di credenziali delle chiavi usato per Customer Key, è necessario assegnare wrapKey, unwrapKey e ottenere le autorizzazioni per l'entità servizio Microsoft 365 corrispondente.

    Per concedere l'autorizzazione all'entità servizio microsoft 365, eseguire il cmdlet Set-AzKeyVaultAccessPolicy usando la sintassi seguente:

    Set-AzKeyVaultAccessPolicy -VaultName <vault name> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>
    

    Dove:

    • nome dell'insieme di credenziali è il nome dell'insieme di credenziali delle chiavi creato.
    • Per Exchange Online e Skype for Business, sostituire Office 365 appID con00000002-0000-0ff1-ce00-000000000000
    • Per i file di SharePoint Online, OneDrive for Business e Teams sostituire Office 365 appID con00000003-0000-0ff1-ce00-000000000000
    • Per i criteri multi-carico di lavoro (Exchange, Teams, Microsoft Purview Information Protection) applicabili a tutti gli utenti tenant, sostituire Office 365 appID conc066d759-24ae-40e7-a56f-027002b5d3e4

    Esempio: Impostazione delle autorizzazioni per Exchange Online e Skype for Business:

    Set-AzKeyVaultAccessPolicy -VaultName Contoso-CK-EX-NA-VaultA1 -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000
    

    Esempio: Impostazione delle autorizzazioni per i file di SharePoint Online, OneDrive for Business e Teams:

    Set-AzKeyVaultAccessPolicy -VaultName Contoso-CK-SP-NA-VaultA1 -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000
    

    Verificare che Get, wrapKey e unwrapKey vengano concessi a ogni insieme di credenziali delle chiavi eseguendo il cmdlet Get-AzKeyVault .

    Get-AzKeyVault -VaultName <vault name> | fl
    

Suggerimento

Prima di procedere, verificare che le autorizzazioni siano configurate correttamente per l'insieme di credenziali delle chiavi. Le autorizzazioni per le chiavi restituiscono wrapKey, unwrapKey, get. Assicurarsi di correggere le autorizzazioni per il servizio corretto a cui si sta eseguendo l'onboarding. Il nome visualizzato per ogni servizio è elencato di seguito:

  • Exchange Online e Skype for Business: Office 365 Exchange Online
  • File di SharePoint Online, OneDrive e Teams: Office 365 SharePoint Online
  • Più carichi di lavoro di Microsoft 365: M365DataAtRestEncryption

Ad esempio, il frammento di codice seguente è un esempio di verifica della configurazione delle autorizzazioni per M365DataAtRestEncryption. Il cmdlet seguente con un insieme di credenziali denominato mmcexchangevault visualizzerà i campi seguenti.

  Get-AzKeyVault -VaultName mmcexchangevault | fl

Crittografia delle crittografie per Exchange Online chiave del cliente.

Assicurarsi che l'eliminazione temporanea sia abilitata per gli insiemi di credenziali delle chiavi

Quando è possibile ripristinare rapidamente le chiavi, è meno probabile che si verifichi un'interruzione del servizio estesa a causa di chiavi eliminate accidentalmente o dannosamente. Abilitare questa configurazione, denominata eliminazione temporanea, prima di poter usare le chiavi con la chiave del cliente. L'abilitazione dell'eliminazione temporanea consente di ripristinare chiavi o insiemi di credenziali entro 90 giorni dall'eliminazione senza dover ripristinarli dal backup.

Per abilitare l'eliminazione temporanea nell'insieme di credenziali delle chiavi, seguire questa procedura:

  1. Accedere alla sottoscrizione di Azure con Windows PowerShell. Per istruzioni, vedere Accedere con Azure PowerShell.

  2. Eseguire il cmdlet Get-AzKeyVault . In questo esempio, nome dell'insieme di credenziali è il nome dell'insieme di credenziali delle chiavi per cui si abilita l'eliminazione temporanea:

    $v = Get-AzKeyVault -VaultName <vault name>
    $r = Get-AzResource -ResourceId $v.ResourceId
    $r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
    Set-AzResource -ResourceId $r.ResourceId -Properties $r.Properties
    
  3. Verificare che l'eliminazione temporanea sia configurata per l'insieme di credenziali delle chiavi eseguendo il cmdlet Get-AzKeyVault . Se l'eliminazione temporanea è configurata correttamente per l'insieme di credenziali delle chiavi, la proprietà Soft Delete Enabled restituisce il valore True:

    Get-AzKeyVault -VaultName <vault name> | fl
    

Suggerimento

Prima di procedere, assicurarsi che l'opzione 'Eliminazione temporanea abilitata?' è impostato su 'True' come nell'immagine seguente.

SoftDelete

Aggiungere una chiave a ogni insieme di credenziali delle chiavi creando o importando una chiave

Esistono due modi per aggiungere chiavi a un Key Vault di Azure. È possibile creare una chiave direttamente in Key Vault oppure importare una chiave. La creazione di una chiave direttamente in Key Vault è meno complessa, ma l'importazione di una chiave fornisce il controllo totale sulla modalità di generazione della chiave. Usare le chiavi RSA. Azure Key Vault non supporta il wrapping e l'annullamento del wrapping con chiavi di curva ellittica.

Per istruzioni su come aggiungere una chiave a ogni insieme di credenziali, vedere Add-AzKeyVaultKey.

Per i passaggi dettagliati per creare una chiave locale e importarla nell'insieme di credenziali delle chiavi, vedere Come generare e trasferire chiavi protette da HSM per Azure Key Vault. Usare le istruzioni di Azure per creare una chiave in ogni insieme di credenziali delle chiavi.

Verificare la data di scadenza delle chiavi

Per verificare che non sia impostata una data di scadenza per le chiavi, eseguire il cmdlet Get-AzKeyVaultKey come indicato di seguito:

Get-AzKeyVaultKey -VaultName <vault name>

La chiave del cliente non può usare una chiave scaduta. Le operazioni tentate con una chiave scaduta avranno esito negativo e potrebbero causare un'interruzione del servizio. È consigliabile che le chiavi usate con la chiave del cliente non abbiano una data di scadenza. Una data di scadenza, una volta impostata, non può essere rimossa, ma può essere modificata in una data diversa. Se è necessario utilizzare una chiave con una data di scadenza impostata, modificare il valore di scadenza in 31/12/9999. Le chiavi con una data di scadenza impostata su una data diversa dal 31/12/9999 non supereranno la convalida di Microsoft 365.

Per modificare una data di scadenza impostata su qualsiasi valore diverso dal 31/12/9999, eseguire il cmdlet Update-AzKeyVaultKey come indicato di seguito:

Update-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

Attenzione

Non impostare le date di scadenza per le chiavi di crittografia usate con la chiave del cliente.

Controllare il livello di ripristino delle chiavi

Microsoft 365 richiede che la sottoscrizione di Azure Key Vault sia impostata su Non annullare e che le chiavi usate da Customer Key siano abilitate per l'eliminazione temporanea. È possibile confermare le impostazioni delle sottoscrizioni esaminando il livello di ripristino nelle chiavi.

Per controllare il livello di ripristino di una chiave, in Azure PowerShell eseguire il cmdlet Get-AzKeyVaultKey come indicato di seguito:

(Get-AzKeyVaultKey -VaultName <vault name> -Name <key name>).Attributes

Suggerimento

Prima di procedere, se la proprietà Livello di ripristino restituisce un valore diverso da Recoverable+ProtectedSubscription, assicurarsi di aver registrato la funzionalità MandatoryRetentionPeriodEnabled nella sottoscrizione e di avere abilitato l'eliminazione temporanea in ognuno degli insiemi di credenziali delle chiavi.

drawing

Eseguire il backup di Azure Key Vault

Subito dopo la creazione o qualsiasi modifica a una chiave, eseguire un backup e archiviare copie del backup, sia online che offline. Per creare un backup di una chiave Key Vault di Azure, eseguire il cmdlet Backup-AzKeyVaultKey.

Ottenere l'URI per ogni chiave di Key Vault di Azure

Dopo aver configurato gli insiemi di credenziali delle chiavi e aver aggiunto le chiavi, eseguire il comando seguente per ottenere l'URI per la chiave in ogni insieme di credenziali delle chiavi. Questi URI verranno usati durante la creazione e l'assegnazione di ogni DEP in un secondo momento, quindi salvare queste informazioni in un luogo sicuro. Eseguire questo comando una volta per ogni insieme di credenziali delle chiavi.

In Azure PowerShell:

(Get-AzKeyVaultKey -VaultName <vault name>).Id

Passaggi successivi

Dopo aver completato la procedura descritta in questo articolo, si è pronti per creare e assegnare i criteri DIP. Per istruzioni, vedere Gestire la chiave del cliente.