고객 키 설정

  • 아티클

고객 키를 사용하면 organization 암호화 키를 제어한 다음 Microsoft 365를 사용하여 Microsoft의 데이터 센터에서 미사용 데이터를 암호화하도록 구성합니다. 즉, 고객 키를 사용하면 키를 사용하여 사용자에게 속한 암호화 계층을 추가할 수 있습니다.

고객 키를 사용하기 전에 Azure를 설정합니다. 이 문서에서는 필요한 Azure 리소스를 만들고 구성하기 위해 수행해야 하는 단계를 설명한 다음, 고객 키를 설정하는 단계를 제공합니다. Azure를 설정한 후 organization 다양한 Microsoft 365 워크로드에서 데이터를 암호화하기 위해 할당할 정책 및 키를 결정합니다. 고객 키 또는 일반 개요에 대한 자세한 내용은 고객 키 개요를 참조하세요.

중요

이 문서의 모범 사례를 따르는 것이 좋습니다. 이는 TIPIMPORTANT로 호출됩니다. 고객 키를 사용하면 scope 전체 organization 만큼 클 수 있는 루트 암호화 키를 제어할 수 있습니다. 즉, 이러한 키를 사용하여 수행한 실수는 광범위한 영향을 미칠 수 있으며 서비스 중단 또는 취소할 수 없는 데이터 손실이 발생할 수 있습니다.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

Microsoft Purview 고객 키에 대한 Windows 365 지원은 공개 미리 보기 상태이며 변경될 수 있습니다.

고객 키를 설정하기 전에

시작하기 전에 적절한 Azure 구독 및 Microsoft 365, Office 365 및 organization 대한 Windows 365 라이선스가 있는지 확인합니다. 유료 Azure 구독을 사용해야 합니다. 레거시 지원에서 무료, 평가판, 스폰서쉽, MSDN 구독 및 구독을 통해 얻은 구독은 자격이 없습니다.

중요

Microsoft 365 고객 키를 제공하는 유효한 Microsoft 365 및 Office 365 라이선스는 다음과 같습니다.

  • Office 365 E5
  • Microsoft 365 E5
  • Microsoft 365 E5 Compliance
  • 거버넌스 SKU Microsoft 365 E5 Information Protection &
  • FLW용 Microsoft 365 보안 및 규정 준수

기존 Office 365 Advanced Compliance 라이선스는 여전히 지원됩니다.

이 문서의 개념 및 절차를 이해하려면 Azure Key Vault 설명서를 검토합니다. 또한 Azure에서 사용되는 용어(예: Microsoft Entra 테넌트)에 익숙해집니다.

설명서 이외의 지원이 더 필요한 경우 MCS(Microsoft Consulting Services), PFE(프리미어 필드 엔지니어링) 또는 Microsoft 파트너에게 지원을 요청하세요. 설명서를 포함하여 고객 키에 대한 피드백을 제공하려면 아이디어, 제안 및 관점을 로 customerkeyfeedback@microsoft.com보냅니다.

고객 키를 설정하는 단계 개요

고객 키를 설정하려면 나열된 순서대로 이러한 작업을 완료합니다. 이 문서의 나머지 부분에는 각 작업에 대한 자세한 지침이 제공되거나 프로세스의 각 단계에 대한 자세한 정보로 연결됩니다.

Azure에서:

Azure PowerShell 원격으로 연결하여 다음 필수 구성 요소를 완료합니다. 최상의 결과를 위해 Azure PowerShell 버전 4.4.0 이상을 사용합니다.

이전 작업을 완료한 후 테넌트 사용:

고객 키에 대한 Azure Key Vault 및 Microsoft FastTrack 작업 완료

Azure Key Vault 이러한 작업을 완료합니다. 고객 키와 함께 사용하는 모든 DEP(데이터 암호화 정책) 유형에 대해 이러한 단계를 완료해야 합니다.

두 개의 새 Azure 구독 만들기

고객 키에는 두 개의 Azure 구독이 필요합니다. 모범 사례로 고객 키와 함께 사용할 새 Azure 구독을 만드는 것이 좋습니다. Azure Key Vault 키는 동일한 Microsoft Entra 테넌트에서 애플리케이션에 대해서만 권한을 부여할 수 있습니다. DEP가 할당된 organization 사용하는 것과 동일한 Microsoft Entra 테넌트에서 새 구독을 만들어야 합니다. 예를 들어 organization 전역 관리자 권한이 있는 회사 또는 학교 계정을 사용합니다. 자세한 단계는 organization Azure 등록을 참조하세요.

중요

고객 키에는 각 DEP(데이터 암호화 정책)에 대해 두 개의 키가 필요합니다. 이를 위해서는 두 개의 Azure 구독을 만들어야 합니다. 모범 사례로 각 구독에서 하나의 키를 구성할 organization 별도의 멤버가 있는 것이 좋습니다. 이러한 Azure 구독만 사용하여 Microsoft 365에 대한 암호화 키를 관리해야 합니다. 이렇게 하면 운영자 중 한 명이 실수로, 의도적으로 또는 악의적으로 삭제하거나, 책임이 있는 키를 잘못 관리하는 경우 organization 보호합니다.

organization 만들 수 있는 Azure 구독 수에는 실질적인 제한이 없습니다. 이러한 모범 사례를 따르면 사용자 오류의 영향을 최소화하는 동시에 고객 키에서 사용하는 리소스를 관리할 수 있습니다.

필요한 서비스 주체 등록

고객 키를 사용하려면 테넌트에서 필요한 서비스 주체가 등록되어 있어야 합니다. 다음 섹션에서는 서비스 주체가 테넌트에서 이미 등록된 경우 검사 대한 지침이 제공됩니다. 등록되지 않은 경우 표시된 대로 'New-AzADServicePrincipal' cmdlet을 실행합니다.

고객 키 온보딩 애플리케이션에 대한 서비스 주체 등록

고객 키 온보딩 애플리케이션이 전역 관리자 권한으로 테넌트에서 이미 등록되어 있는지 검사 하려면 다음 명령을 실행합니다.

Get-AzADServicePrincipal -ServicePrincipalName 19f7f505-34aa-44a4-9dcc-6a768854d2ea

애플리케이션이 테넌트에서 등록되지 않은 경우 다음 명령을 실행합니다.

New-AzADServicePrincipal -ApplicationId 19f7f505-34aa-44a4-9dcc-6a768854d2ea

M365DataAtRestEncryption 애플리케이션에 대한 서비스 주체 등록

M365DataAtRestEncryption 애플리케이션이 전역 관리자 권한으로 테넌트에 이미 등록된 경우 검사 다음 명령을 실행합니다.

Get-AzADServicePrincipal -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4

애플리케이션이 테넌트에서 등록되지 않은 경우 다음 명령을 실행합니다.

New-AzADServicePrincipal -ApplicationId c066d759-24ae-40e7-a56f-027002b5d3e4

Office 365 Exchange Online 애플리케이션에 대한 서비스 주체 등록

전역 관리자 권한으로 테넌트에서 Office 365 Exchange Online 애플리케이션이 이미 등록된 경우 검사 다음 명령을 실행합니다.

Get-AzADServicePrincipal -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

애플리케이션이 테넌트에서 등록되지 않은 경우 다음 명령을 실행합니다.

New-AzADServicePrincipal -ApplicationId 00000002-0000-0ff1-ce00-000000000000

각 구독에서 프리미엄 Azure Key Vault 만들기

키 자격 증명 모음을 만드는 단계는 Azure Key Vault 시작 설명되어 있습니다. 다음 단계에서는 Azure PowerShell 설치 및 시작하고, Azure 구독에 연결하고, 리소스 그룹을 만들고, 해당 리소스 그룹에 키 자격 증명 모음을 만드는 방법을 안내합니다.

키 자격 증명 모음을 만들 때 SKU(표준 또는 프리미엄)를 선택해야 합니다. 표준 SKU를 사용하면 Azure Key Vault 키를 소프트웨어(HSM(하드웨어 보안 모듈) 키 보호가 없는 소프트웨어로 보호할 수 있으며 프리미엄 SKU는 HSM을 사용하여 Key Vault 키를 보호할 수 있습니다. 고객 키는 SKU를 사용하는 키 자격 증명 모음을 허용하지만 프리미엄 SKU만 사용하는 것이 좋습니다. 두 유형의 키가 있는 작업 비용은 동일하므로 비용의 유일한 차이점은 각 HSM 보호 키에 대한 월별 비용입니다. 자세한 내용은 Key Vault 가격 책정을 참조하세요.

중요

프로덕션 데이터에 프리미엄 SKU 키 자격 증명 모음 및 HSM 보호 키를 사용하고 테스트 및 유효성 검사를 위해 표준 SKU 키 자격 증명 모음 및 키만 사용합니다.

고객 키를 사용하는 각 Microsoft 365 서비스에 대해 만든 두 Azure 구독 각각에 키 자격 증명 모음을 만듭니다.

예를 들어 고객 키가 Exchange Online, SharePoint 및 다중 워크로드 시나리오에 DEP를 사용할 수 있도록 하려면 총 6개의 자격 증명 모음에 대해 쌍의 키 자격 증명 모음을 만듭니다. 자격 증명 모음을 연결하는 DEP의 의도된 사용을 반영하는 키 자격 증명 모음에 대한 명명 규칙을 사용합니다. 다음 표에서는 각 AKV(Azure Key Vault)를 각 워크로드에 매핑하는 방법을 보여 줍니다.

Key Vault 이름 여러 Microsoft 365 워크로드에 대한 권한(M365DataAtRestEncryption) 사용 권한 Exchange Online SharePoint 및 OneDrive에 대한 권한
ContosoM365AKV01 아니요 아니요
ContosoM365AKV02 아니요 아니요
ContosoEXOAKV01 아니오 아니요
ContosoEXOAKV02 아니오 아니요
ContosoSPOAKV01 아니요 아니요
ContosoSPOAKV02 아니요 아니요

키 자격 증명 모음을 만들려면 Azure 리소스 그룹을 만들어야 합니다. 키 자격 증명 모음에는 스토리지 용량(작지만)이 필요하고 Key Vault 로깅이 필요한 경우 저장된 데이터도 생성됩니다. Microsoft는 모든 관련 고객 키 리소스를 관리하는 관리자 집합과 일치하는 관리와 함께 별도의 관리자를 사용하여 각 리소스 그룹을 관리하는 것이 좋습니다.

Exchange Online 경우 사서함에 정책을 할당할 때 데이터 암호화 정책의 scope 선택됩니다. 사서함에는 하나의 정책만 할당할 수 있으며 최대 50개의 정책을 만들 수 있습니다. SharePoint 정책의 scope 지리적 위치 또는 지리적 위치에 있는 organization 내의 모든 데이터를 포함합니다. 다중 워크로드 정책에 대한 scope 모든 사용자에 대해 지원되는 워크로드의 모든 데이터를 포함합니다.

중요

여러 Microsoft 365 워크로드에 고객 키를 사용하려는 경우 Exchange Online 및 SharePoint는 각 워크로드에 대해 2개의 Azure Key Vault를 만들어야 합니다. 총 6개의 자격 증명 모음을 만들어야 합니다.

각 키 자격 증명 모음에 권한 할당

Azure RBAC( Azure 역할 기반 액세스 제어 )를 사용하여 각 키 자격 증명 모음에 필요한 권한을 정의합니다. Azure Key Vault 구성 작업은 Azure Portal 사용하여 수행됩니다. 이 섹션에서는 RBAC를 사용하여 적절한 권한을 적용하는 방법을 자세히 설명합니다.

RBAC 메서드를 사용하여 권한 할당

Azure Key Vault , 및 권한을 할당wrapKey하려면 해당 Microsoft 365 앱에 "Key Vault Crypto Service Encryption User" 역할을 할당해야 합니다.getunwrapkey Azure RBAC를 사용하여 Azure Key Vault에 액세스할 수 있는 권한 부여 | Microsoft Learn.

Azure Key Vault 역할을 추가할 때 각 Microsoft 365 앱에 대해 다음 이름을 Search.

  • Exchange Online 경우:Office 365 Exchange Online

  • SharePoint, OneDrive 및 Teams 파일의 경우: Office 365 SharePoint Online

  • 다중 워크로드 정책(Exchange, Teams, Microsoft Purview Information Protection):M365DataAtRestEncryption

해당 Microsoft 365 앱이 표시되지 않으면 테넌트에서 앱을 등록했는지 확인합니다.

역할 및 권한 할당에 대한 자세한 내용은 역할 기반 액세스 제어를 사용하여 Azure 구독 리소스에 대한 액세스 관리를 참조하세요.

사용자 역할 할당

  • organization 키 자격 증명 모음의 일상적인 관리를 수행하는 키 자격 증명 모음 관리자입니다. 이러한 작업에는 백업, 만들기, 가져오기, 가져오기, 나열 및 복원이 포함됩니다 .

    중요

    키 자격 증명 모음 관리자에게 할당된 권한 집합에는 키를 삭제할 수 있는 권한이 포함되지 않습니다. 이는 의도적이고 중요한 관행입니다. 이렇게 하면 데이터가 영구적으로 삭제되므로 암호화 키를 삭제하는 것은 일반적으로 수행되지 않습니다. 기본적으로 키 자격 증명 모음 관리자에게 암호화 키를 삭제할 수 있는 권한을 부여하지 않는 것이 좋습니다. 대신 키 자격 증명 모음 기여자를 위해 이 권한을 예약하고 결과를 명확하게 이해한 후에만 단기간에 관리자에게 할당합니다.

  • Azure Key Vault 자체에 대한 권한을 변경할 수 있는 주요 자격 증명 모음 기여자입니다. 직원이 팀을 떠나거나 팀에 합류할 때 이러한 권한을 변경합니다. 키 자격 증명 모음 관리자가 키를 삭제하거나 복원할 수 있는 권한이 합법적으로 필요한 드문 상황에서는 사용 권한도 변경해야 합니다. 이 키 자격 증명 모음 기여자 집합에는 키 자격 증명 모음에 대한 기여자 역할이 부여되어야 합니다. RBAC를 사용하여 이 역할을 할당할 수 있습니다. 구독을 만드는 관리자는 이 액세스 권한을 암시적으로 가지며 다른 관리자를 기여자 역할에 할당할 수 있습니다.

키를 만들거나 가져와서 각 키 자격 증명 모음에 키 추가

Azure Key Vault 키를 추가하는 방법에는 두 가지가 있습니다. Key Vault 직접 키를 만들거나 키를 가져올 수 있습니다. Key Vault 직접 키를 만드는 것은 덜 복잡하지만 키를 가져오면 키가 생성되는 방식을 완전히 제어할 수 있습니다. RSA 키를 사용합니다. 고객 키는 최대 4096개의 RSA 키 길이를 지원합니다. Azure Key Vault 타원형 곡선 키로 래핑 및 래핑 해제를 지원하지 않습니다.

각 자격 증명 모음에 키를 추가하는 지침은 Add-AzKeyVaultKey를 참조하세요.

온-프레미스에서 키를 만들고 키 자격 증명 모음으로 가져오는 자세한 단계는 Azure Key Vault 대한 HSM 보호 키를 생성하고 전송하는 방법을 참조하세요. Azure 지침을 사용하여 각 키 자격 증명 모음에 키를 만듭니다.

키의 만료 날짜 확인

키에 대한 만료 날짜가 설정되지 않았는지 확인하려면 다음과 같이 Get-AzKeyVaultKey cmdlet을 실행합니다.

Get-AzKeyVaultKey -VaultName <vault name>

고객 키는 만료된 키를 사용할 수 없습니다. 만료된 키로 시도한 작업이 실패하고 서비스 중단이 발생할 수 있습니다. 고객 키와 함께 사용되는 키에는 만료 날짜가 없는 것이 좋습니다. 일단 설정된 만료 날짜는 제거할 수 없지만 다른 날짜로 변경할 수 있습니다. 만료 날짜가 설정된 키를 사용해야 하는 경우 만료 값을 12/31/9999로 변경합니다. 만료 날짜가 12/31/9999 이외의 날짜로 설정된 키는 Microsoft 365 유효성 검사에 실패합니다.

12/31/9999 이외의 값으로 설정된 만료 날짜를 변경하려면 다음과 같이 Update-AzKeyVaultKey cmdlet을 실행합니다.

Update-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

주의

고객 키와 함께 사용하는 암호화 키에 만료 날짜를 설정하지 마세요.

키의 복구 수준 확인

Microsoft 365에서는 Azure Key Vault 구독을 취소 안 됨으로 설정하고 고객 키에서 사용하는 키에 일시 삭제를 사용하도록 설정해야 합니다. 키의 복구 수준을 확인하여 구독 설정을 확인할 수 있습니다.

키의 복구 수준을 검사 Azure PowerShell 다음과 같이 Get-AzKeyVaultKey cmdlet을 실행합니다.

(Get-AzKeyVaultKey -VaultName <vault name> -Name <key name>).Attributes

키 자격 증명 모음에서 일시 삭제가 사용하도록 설정되어 있는지 확인합니다.

키를 빠르게 복구할 수 있는 경우 실수로 또는 악의적으로 삭제된 키로 인해 확장된 서비스 중단이 발생할 가능성이 줄어듭니다. 고객 키와 함께 키를 사용하기 전에 일시 삭제라고 하는 이 구성을 사용하도록 설정합니다. 일시 삭제를 사용하도록 설정하면 삭제 후 90일 이내에 키 또는 자격 증명 모음을 백업에서 복원하지 않고도 복구할 수 있습니다.

키 자격 증명 모음에서 일시 삭제를 사용하도록 설정하려면 다음 단계를 완료합니다.

  1. Azure PowerShell 사용하여 Azure 구독에 로그인합니다. 자세한 내용은 Azure PowerShell 사용하여 로그인을 참조하세요.

  2. Get-AzKeyVault cmdlet을 실행합니다. 이 예제에서 자격 증명 모음 이름은 일시 삭제를 사용하도록 설정하는 키 자격 증명 모음의 이름입니다.

    $v = Get-AzKeyVault -VaultName <vault name>
$r = Get-AzResource -ResourceId $v.ResourceId
$r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
Set-AzResource -ResourceId $r.ResourceId -Properties $r.Properties

  3. Get-AzKeyVault cmdlet을 실행하여 키 자격 증명 모음에 대해 일시 삭제가 구성되었는지 확인합니다. 키 자격 증명 모음에 대해 일시 삭제가 올바르게 구성된 경우 일시 삭제 사용 속성은True 값을 반환합니다.

    Get-AzKeyVault -VaultName <vault name> | fl

계속하기 전에 '일시 삭제를 사용하도록 설정했나요?' 가 'True'로 설정되고 '일시 삭제 보존 기간(일)'이 '90'으로 설정됩니다. SoftDelete

Azure Key Vault 백업

키를 만들거나 변경한 직후 백업을 수행하고 온라인 및 오프라인에서 백업 복사본을 저장합니다. Azure Key Vault 키의 백업을 만들려면 Backup-AzKeyVaultKey cmdlet을 실행합니다.

각 Azure Key Vault 키에 대한 URI 가져오기

키 자격 증명 모음을 설정하고 키를 추가한 후 다음 명령을 실행하여 각 키 자격 증명 모음의 키에 대한 URI를 가져옵니다. 나중에 각 DEP를 만들고 할당할 때 이러한 URI를 사용하므로 이 정보를 안전한 장소에 저장합니다. 각 키 자격 증명 모음에 대해 이 명령을 한 번 실행합니다.

Azure PowerShell:

(Get-AzKeyVaultKey -VaultName <vault name>).Id

고객 키 온보딩 서비스를 사용하여 온보딩(미리 보기)

사용자 고유의 테넌트 내에서 고객 키를 사용하도록 설정할 수 있는 서비스인 Microsoft 365 고객 키 온보딩 서비스를 도입하게 되어 기쁘게 생각합니다. 이 기능은 필요한 고객 키 리소스의 유효성을 자동으로 검사합니다. 원하는 경우 테넌트 내에서 고객 키 사용을 계속하기 전에 리소스의 유효성을 별도로 검사할 수 있습니다. 이 간소화된 접근 방식은 전체 온보딩 기간을 크게 줄여 편리하고 자기 지향적인 프로세스를 제공합니다.

중요

이 미리 보기는 아직 정부 테넌트 또는 SharePoint 및 OneDrive용 고객 키에 사용할 수 없습니다. 정부 테넌트가 있거나 SharePoint 및 One Drive에 고객 키를 사용하도록 설정하려는 경우 이 섹션을 건너뛰고 "수동 방법을 사용하여 고객 키에 온보딩"을 진행합니다.

온보딩에 사용되는 계정에는 최소 권한을 충족하는 다음 역할이 있어야 합니다 .

  1. 전역 관리자 - 필요한 서비스 주체를 등록합니다.
  2. 읽기 권한자 - 온보딩 cmdlet에 사용되는 각 Azure Key Vault에서.

'M365CustomerKeyOnboarding' PowerShell 모듈 설치

  1. Azure PowerShell 사용하여 Azure 구독에 로그인합니다. 자세한 내용은 Azure PowerShell 사용하여 로그인을 참조하세요.

  2. PowerShell 갤러리 사용할 수 있는 최신 버전의 M365CustomerKeyOnboarding 모듈을 설치합니다. 페이지 아래쪽에 있는 "버전 기록" 탭을 보고 최신 버전을 다운로드하고 있는지 확인합니다. 관리자 권한으로 PowerShell 세션을 시작합니다. 명령을 복사하여 Azure PowerShell 붙여넣고 실행하여 패키지를 설치합니다. 메시지가 표시되면 "모두에 예" 옵션을 선택합니다. 설치하는 데 몇 분 정도 걸립니다.

3가지 온보딩 모드 사용

온보딩 프로세스에서 각기 다른 용도로 사용되는 3가지 온보딩 모드가 있습니다. 이러한 3가지 모드는 "유효성 검사", "준비", "사용"입니다. 온보딩 요청 만들기에서 cmdlet을 실행하는 경우 "-OnboardingMode" 매개 변수를 사용하여 모드를 나타냅니다.

유효성 검사

"유효성 검사" 모드를 사용하여 고객 키에 사용되는 리소스의 구성이 올바른지 확인합니다. 이 모드의 리소스에 대해 아무 작업도 수행되지 않습니다.

중요

리소스의 구성을 변경하는 경우 원하는 만큼 이 모드를 실행할 수 있습니다.

준비

"준비" 모드 는 Cmdlet에 표시된 2개의 Azure 구독을 등록하여 MandatoryRetentionPeriod를 사용하여 고객 키 리소스에 대한 작업을 수행합니다. 루트 암호화 키의 일시적 또는 영구적 손실은 서비스 작업에 지장을 주거나 심지어 치명적일 수 있으며 데이터 손실을 초래할 수 있습니다. 이러한 이유로 고객 키와 함께 사용되는 리소스에는 강력한 보호가 필요합니다. 필수 보존 기간은 Azure 구독의 즉각적이고 취소할 수 없는 취소를 방지합니다. cmdlet을 실행한 후 구독은 변경 사항을 반영하는 데 최대 1시간이 걸릴 수 있습니다. MandatoryRetentionPeriod 등록의 상태 검사 준비 모드에서 cmdlet을 실행한 후 유효성 검사 모드로 이동합니다.

중요

Azure 구독에 대해 MandatoryRetentionPeriod를 등록하는 것은 필수입니다. cmdlet에서 다시 실행하라는 메시지가 표시되지 않는 한 이 모드를 한 번만 실행하면 됩니다.

사용

고객 키에 온보딩할 준비가 되면 이 모드를 사용합니다. "사용"은 -Scenario 매개 변수로 표시된 워크로드에 대해서만 고객 키에 대한 테넌트만 사용하도록 설정합니다. Exchange 및 M365DataAtRestEncryption 둘 다에 대해 고객 키를 사용하도록 설정하려면 각 워크로드에 대해 총 2회 온보딩 cmdlet을 실행합니다. "사용" 모드에서 cmdlet을 실행하기 전에 리소스가 "ValidationResult" 아래에 "전달됨"으로 표시되어 올바르게 구성되었는지 확인합니다.

중요

리소스가 유효성 검사 모드에서 검사를 충족하는 경우에만 사용하도록 설정하면 테넌트가 고객 키에 성공적으로 온보딩됩니다.

온보딩 요청 만들기

이 자동화 프로세스의 첫 번째 단계는 새 요청을 만드는 것입니다. PowerShell을 사용하면 cmdlet 결과를 변수로 압축할 수 있습니다. 새 요청을 변수로 압축합니다. "$" 기호 뒤에 변수 이름을 사용하여 변수를 만들 수 있습니다.

예제에서 $request 온보딩 요청에 할당할 수 있는 변수입니다.

$request = New-CustomerKeyOnboardingRequest -Organization <tenantID> -Scenario <Scenario> -Subscription1 <subscriptionID1> -VaultName1 <AKVVaultName1> -KeyName1 <KeyName1> -Subscription2 <subscriptionID2> -VaultName2 <AKVVaultName2> -KeyName2 <KeyName2> -OnboardingMode <OnboardingMode>

매개 변수 설명 예제
-조직 테넌트 ID를 xxxxxxxx-xxxx-xxxx-xxxx-xxxx 형식으로 입력합니다. abcd1234-abcd-efgh-hijk-abcdef123456
-시나리오 온보딩할 워크로드를 입력합니다. 입력 옵션은 'MDEP' – 여러 워크로드에 대한 고객 키입니다.
'EXO' – Exchange Online 고객 키		 MDEP
또는
EXO
-Subscription1 필수 보존 기간에 등록한 첫 번째 구독의 Azure 구독 ID를 입력합니다. p12ld534-1234-5678-9876-g3def67j9k12
-VaultName1 고객 키에 대해 구성한 첫 번째 Azure Key Vault 자격 증명 모음 이름을 입력합니다. EXOVault1
-KeyName1 고객 키에 대해 구성한 첫 번째 Azure Key Vault 내에 첫 번째 Azure Key Vault Key의 이름을 입력합니다. EXOKey1
-Subscription2 필수 보존 기간에 등록한 두 번째 구독의 Azure 구독 ID를 입력합니다. 21k9j76f-ed3g-6789-8765-43215dl21pbd
-VaultName2 고객 키에 대해 구성한 두 번째 Azure Key Vault 자격 증명 모음 이름을 입력합니다. EXOVault2
-KeyName2 고객 키에 대해 구성한 두 번째 Azure Key Vault 내에 두 번째 Azure Key Vault Key의 이름을 입력합니다. EXOKey2
-온보딩 모드 "준비" - 필수 구성은 구독에 MandatoryRetentionPeriod를 적용하여 리소스에서 수행됩니다. 적용하는 데 최대 1시간 이 걸릴 수 있습니다.
"유효성 검사" – Azure Key Vault 및 Azure 구독 리소스의 유효성 검사만 고객 키에 온보딩하지 않습니다. 이 모드는 모든 리소스를 확인하지만 나중에 공식적으로 온보딩하도록 선택하는 경우에 유용합니다.
"사용" – 유효성 검사가 성공하면 Azure Key Vault 및 구독 리소스의 유효성을 검사하고 테넌트 내에서 고객 키를 사용하도록 설정합니다.		 준비
또는
사용
또는
유효성 검사

테넌트 관리자 자격 증명으로 로그인

권한 있는 계정으로 로그인하라는 메시지가 표시되는 브라우저 창이 열립니다. 적절한 자격 증명을 사용하여 로그인합니다.

CKO 로그인 페이지

유효성 검사 및 사용 세부 정보 보기

성공적으로 로그인한 후 PowerShell 창으로 다시 이동합니다. 온보딩 cmdlet을 압축한 변수를 실행하여 온보딩 요청의 출력을 가져옵니다.

$request

CKO 요청 출력

ID, CreatedDate, ValidationResult 및 EnablementResult를 사용하여 출력을 받습니다.

출력 설명
ID 생성된 온보딩 요청과 연결된 ID입니다.
CreatedDate 요청이 만들어진 날짜입니다.
ValidationResult 성공/실패 유효성 검사 표시기입니다.
EnablementResult 성공/실패를 나타내는 표시기입니다.

고객 키를 사용할 준비가 된 테넌트는 다음과 같이 'ValidationResult' 및 'EnablementResult' 아래에 "성공"이 있습니다.

CKO 성공적인 출력

테넌트가 고객 키에 성공적으로 온보딩된 경우 다음 단계로 진행합니다.

실패한 유효성 검사 세부 정보 문제 해결

테넌트 유효성 검사에 실패하는 경우 다음 단계는 잘못 구성된 리소스의 근본 원인을 조사하기 위한 가이드입니다. 유효성 검사가 실패하는 잘못 구성된 리소스를 검사 위해 온보딩 결과를 변수에 저장하고 유효성 검사 결과로 이동합니다.

  1. 모든 요청을 나열하여 조사하려는 요청의 요청 ID를 찾습니다.
Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID>
  1. 특정 온보딩 요청을 '$request' 변수에 저장
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID>
  1. 다음 명령을 실행합니다.
$request.FailedValidations

CKO 유효성 검사 실패

각 규칙의 예상 값은 "ExpectedValue" 열에 표시되며 실제 값은 "ActualValue" 열에 표시됩니다. "scope" 열에는 구독 ID의 처음 5자가 표시되어 문제가 있는 구독 및 기본 키 자격 증명 모음을 확인할 수 있습니다. "세부 정보" 섹션에서는 오류의 근본 원인과 이를 처리하는 방법에 대한 설명을 제공합니다.


RuleName 설명 해결 방법
MandatoryRetentionPeriodState MandatoryRetentionPeriod의 상태를 반환합니다. 구독 상태 확인
SubscriptionInRequestOrganization Azure 구독은 organization 내에 있습니다. 제공된 구독이 표시된 테넌트 내에서 만들어졌음을 확인합니다.
VaultExistsinSubscription Azure Key Vault Azure 구독 내에 있습니다. 표시된 구독 내에서 Azure Key Vault 만들어졌음을 확인합니다.
SubscriptionUniquePerScenario 구독은 고객 키에 대해 고유합니다. 두 개의 고유한 구독 ID를 사용하고 있는지 확인합니다.
SubscriptionsCountPerScenario 시나리오당 두 개의 구독이 있습니다. 요청에서 두 개의 구독을 사용하고 있는지 확인합니다.
RecoveryLevel AKV 키 복구 수준은 Recoveryable+ProtectedSubscription입니다. 키의 복구 수준 확인
KeyOperationsSupported 키 자격 증명 모음에는 적절한 워크로드에 필요한 권한이 있습니다. AKV 키에 적절한 권한 할당
KeyNeverExpires AKV 키에 만료 날짜가 없습니다. 키 만료 확인
KeyAccessPermissions AKV 키에 필요한 액세스 권한이 있습니다. AKV 키에 적절한 권한 할당
OrganizationHasRequiredServicePlan organization 고객 키를 사용하는 올바른 서비스 계획을 가지고 있습니다. 테넌트에게 필요한 라이선스가 있는지 확인

통과된 유효성 검사

전달된 유효성 검사를 검사 다음 명령을 실행합니다.

  1. 특정 온보딩 요청을 '$request' 변수에 저장
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID>
  1. 다음 명령을 실행합니다.
$request.PassedValidations

CKO PassedValidation

레거시 방법을 사용하여 고객 키에 온보딩

정부 테넌트가 있거나 SharePoint 및 OneDrive에 대한 고객 키를 사용하도록 설정하려는 경우 Azure Key Vault 및 구독을 설정하는 모든 단계를 완료한 후 해당 Microsoft 별칭에 문의하여 수동으로 온보딩합니다. 고객 키 온보딩 서비스를 사용한 경우 이 섹션을 무시하고다음 단계로 이동합니다.

필수 보존 기간을 사용하도록 Azure 구독 등록

중요

Microsoft 365 팀에 문의하기 전에 고객 키와 함께 사용하는 Azure 구독에 대해 다음 단계를 수행해야 합니다. 시작하기 전에 Azure PowerShell Az 모듈이 설치되어 있는지 확인합니다.

  1. Azure PowerShell 사용하여 로그인합니다. 자세한 내용은 Azure PowerShell 사용하여 로그인을 참조하세요.

  2. Register-AzProviderFeature cmdlet을 실행하여 필수 보존 기간을 사용하도록 구독을 등록합니다. 각 구독에 대해 이 작업을 완료합니다.

    Set-AzContext -SubscriptionId <SubscriptionId>
Register-AzProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources

해당 Microsoft 별칭에 연결

  • 여러 Microsoft 365 워크로드에 대해 Exchange Online 또는 고객 키에 고객 키를 사용하도록 설정하려면 에 문의하세요m365-ck@service.microsoft.com.

  • 모든 테넌트 사용자에 대해 SharePoint 및 OneDrive 콘텐츠(Teams 파일 포함)를 암호화하기 위해 DEP를 할당하기 위해 고객 키를 사용하도록 설정하려면 에 문의하세요 spock@microsoft.com.

  • 전자 메일에 다음 정보를 포함합니다.

    제목:테넌트의 정규화된 도메인 이름에 대한 < 고객 키>

    몸: 온보딩하려는 각 고객 키 서비스에 대한 FastTrack 요청 ID 및 구독 ID를 포함합니다. 이러한 구독 ID는 필수 보존 기간 및 각 구독에 대한 Get-AzProviderFeature 출력을 완료하려는 ID입니다.

이 프로세스를 완료하기 위한 SLA(서비스 수준 계약)는 Microsoft가 필수 보존 기간을 사용하도록 구독을 등록했다는 알림(및 확인)을 받은 후 영업일 기준 5일입니다.

다음 단계

이 문서의 단계를 완료하면 DEP를 만들고 할당할 준비가 된 것입니다. 자세한 내용은 고객 키 관리를 참조하세요.