고객 키를 사용하면 organization 암호화 키를 제어한 다음 Microsoft 365를 사용하여 Microsoft의 데이터 센터에서 미사용 데이터를 암호화하도록 구성합니다. 즉, 고객 키를 사용하면 키를 사용하여 사용자에게 속한 암호화 계층을 추가할 수 있습니다.
고객 키를 사용하기 전에 Azure를 설정합니다. 이 문서에서는 필요한 Azure 리소스를 만들고 구성하기 위해 수행해야 하는 단계를 설명한 다음, 고객 키를 설정하는 단계를 제공합니다. Azure를 설정한 후 organization 다양한 Microsoft 365 워크로드에서 데이터를 암호화하기 위해 할당할 정책 및 키를 결정합니다. 고객 키 또는 일반 개요에 대한 자세한 내용은 고객 키 개요를 참조하세요.
중요
이 문서의 모범 사례를 따르는 것이 좋습니다. 이는 TIP 및 IMPORTANT로 호출됩니다. 고객 키를 사용하면 scope 전체 organization 만큼 클 수 있는 루트 암호화 키를 제어할 수 있습니다. 즉, 이러한 키를 사용하여 수행한 실수는 광범위한 영향을 미칠 수 있으며 서비스 중단 또는 취소할 수 없는 데이터 손실이 발생할 수 있습니다.
팁
E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요.
Microsoft Purview 평가판 허브에서 지금 시작합니다.
등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.
Microsoft Purview 고객 키에 대한 Windows 365 지원은 공개 미리 보기 상태이며 변경될 수 있습니다.
고객 키를 설정하기 전에
시작하기 전에 적절한 Azure 구독 및 Microsoft 365, Office 365 및 organization 대한 Windows 365 라이선스가 있는지 확인합니다. 유료 Azure 구독을 사용해야 합니다. 레거시 지원에서 무료, 평가판, 스폰서쉽, MSDN 구독 및 구독을 통해 얻은 구독은 자격이 없습니다.
중요
Microsoft 365 고객 키를 제공하는 유효한 Microsoft 365 및 Office 365 라이선스:
Office 365 E5
Microsoft 365 E5
Microsoft 365 E5 Compliance
거버넌스 SKU Microsoft 365 E5 Information Protection &
FLW용 Microsoft 365 보안 및 규정 준수
기존 Office 365 Advanced Compliance 라이선스는 여전히 지원됩니다.
Azure Key Vault 이러한 작업을 완료합니다. 고객 키와 함께 사용하는 모든 DEP(데이터 암호화 정책) 유형에 대해 이러한 단계를 완료해야 합니다.
두 개의 새 Azure 구독 만들기
고객 키에는 두 개의 Azure 구독이 필요합니다. 모범 사례로 고객 키와 함께 사용할 새 Azure 구독을 만드는 것이 좋습니다. Azure Key Vault 키는 동일한 Microsoft Entra 테넌트에서 애플리케이션에 대해서만 권한을 부여할 수 있습니다. DEP가 할당된 organization 사용하는 것과 동일한 Microsoft Entra 테넌트에서 새 구독을 만들어야 합니다. 예를 들어 organization 전역 관리자 권한이 있는 회사 또는 학교 계정을 사용합니다. 자세한 단계는 organization Azure 등록을 참조하세요.
중요
고객 키에는 각 DEP(데이터 암호화 정책)에 대해 두 개의 키가 필요합니다. 이를 위해서는 두 개의 Azure 구독을 만들어야 합니다. 모범 사례로 각 구독에서 하나의 키를 구성할 organization 별도의 멤버가 있는 것이 좋습니다. 이러한 Azure 구독만 사용하여 Microsoft 365에 대한 암호화 키를 관리해야 합니다. 이렇게 하면 운영자 중 한 명이 실수로, 의도적으로 또는 악의적으로 삭제하거나, 책임이 있는 키를 잘못 관리하는 경우 organization 보호합니다.
organization 만들 수 있는 Azure 구독 수에는 실질적인 제한이 없습니다. 이러한 모범 사례를 따르면 사용자 오류의 영향을 최소화하는 동시에 고객 키에서 사용하는 리소스를 관리할 수 있습니다.
필요한 서비스 주체 등록
고객 키를 사용하려면 테넌트에서 필요한 서비스 주체가 등록되어 있어야 합니다. 다음 섹션에서는 서비스 주체가 테넌트에서 이미 등록된 경우 검사 대한 지침이 제공됩니다. 등록되지 않은 경우 표시된 대로 'New-AzADServicePrincipal' cmdlet을 실행합니다.
고객 키 온보딩 애플리케이션에 대한 서비스 주체 등록
고객 키 온보딩 애플리케이션이 전역 관리자 권한으로 테넌트에서 이미 등록되어 있는지 검사 하려면 다음 명령을 실행합니다.
키 자격 증명 모음을 만드는 단계는 Azure Key Vault 시작 설명되어 있습니다. 다음 단계에서는 Azure PowerShell 설치 및 시작하고, Azure 구독에 연결하고, 리소스 그룹을 만들고, 해당 리소스 그룹에 키 자격 증명 모음을 만드는 방법을 안내합니다.
키 자격 증명 모음을 만들 때 SKU(Standard 또는 프리미엄)를 선택해야 합니다. Standard SKU를 사용하면 Azure Key Vault 키를 소프트웨어(HSM(하드웨어 보안 모듈) 키 보호가 없는 소프트웨어로 보호할 수 있으며 프리미엄 SKU를 사용하면 HSM을 사용하여 Key Vault 키를 보호할 수 있습니다. 고객 키는 SKU를 사용하는 키 자격 증명 모음을 허용하지만 프리미엄 SKU만 사용하는 것이 좋습니다. 두 유형의 키가 있는 작업 비용은 동일하므로 비용의 유일한 차이점은 각 HSM 보호 키에 대한 월별 비용입니다. 자세한 내용은 Key Vault 가격 책정을 참조하세요.
고객 키는 최근 FIPS 140-2 수준 3 규격 솔루션인 관리형 HSM에 저장된 RSA 키에 대한 지원을 추가했습니다. Azure Key Vault 관리형 HSM은 FIPS 140-2 수준 3 유효성이 검사된 HSM을 사용하여 클라우드 애플리케이션에 대한 암호화 키를 보호할 수 있는 완전 관리형 고가용성 단일 테넌트 표준 규격 클라우드 서비스입니다. 관리형 HSM에 대한 자세한 내용은 개요를 검토하세요.
중요
프로덕션 데이터에 프리미엄 SKU 키 자격 증명 모음 및 HSM 보호 키를 사용합니다. 테스트 및 유효성 검사를 위해 Standard SKU 키 자격 증명 모음 및 키만 사용합니다.
고객 키를 사용하는 각 Microsoft 365 서비스에 대해 만든 두 Azure 구독 각각에 키 자격 증명 모음 또는 관리형 HSM을 만듭니다.
예를 들어 고객 키가 Exchange, SharePoint 및 다중 워크로드 시나리오에 DEP를 사용할 수 있도록 하려면 총 6개의 키 자격 증명 모음 또는 관리형 HSM 쌍을만듭니다. 자격 증명 모음을 연결하는 DEP의 의도된 사용을 반영하는 명명 규칙을 사용합니다. 다음 표에서는 각 AKV(Azure Key Vault) 또는 관리형 HSM을 각 워크로드에 매핑하는 방법을 보여 줍니다.
Key Vault 이름
여러 Microsoft 365 워크로드에 대한 권한(M365DataAtRestEncryption)
Exchange에 대한 권한
SharePoint 및 OneDrive에 대한 권한
ContosoM365AKV01
예
아니요
아니요
ContosoM365AKV02
예
아니요
아니요
ContosoEXOAKV01
아니요
예
아니요
ContosoEXOAKV02
아니요
예
아니요
ContosoSPOAKV01
아니요
아니요
예
ContosoSPOAKV02
아니요
아니요
예
키 자격 증명 모음을 만들려면 Azure 리소스 그룹을 만들어야 합니다. 키 자격 증명 모음에는 스토리지 용량(작지만)이 필요하고 Key Vault 로깅이 필요한 경우 저장된 데이터도 생성됩니다. Microsoft는 모든 관련 고객 키 리소스를 관리하는 관리자 집합과 일치하는 관리와 함께 별도의 관리자를 사용하여 각 리소스 그룹을 관리하는 것이 좋습니다.
Exchange의 경우 사서함에 정책을 할당할 때 데이터 암호화 정책의 scope 선택됩니다. 사서함에는 하나의 정책만 할당할 수 있으며 최대 50개의 정책을 만들 수 있습니다. SharePoint 정책의 scope 지리적 위치 또는 지리적 위치에 있는 organization 내의 모든 데이터를 포함합니다. 다중 워크로드 정책에 대한 scope 모든 사용자에 대해 지원되는 워크로드의 모든 데이터를 포함합니다.
중요
여러 Microsoft 365 워크로드, Exchange 및 SharePoint & OneDrive에 고객 키를 사용하려는 경우 각 워크로드에 대해 2개의 Azure Key Vault를 만들어야 합니다. 총 6개의 자격 증명 모음을 만들어야 합니다.
각 키 자격 증명 모음에 권한 할당
Azure RBAC( Azure 역할 기반 액세스 제어 )를 사용하여 각 키 자격 증명 모음에 필요한 권한을 정의합니다. Azure Key Vault 구성 작업은 Azure Portal 사용하여 수행됩니다. 이 섹션에서는 RBAC를 사용하여 적절한 권한을 적용하는 방법을 자세히 설명합니다.
키 자격 증명 모음 관리자 또는 organization 키 자격 증명 모음의 일상적인 관리를 수행하는 관리형 HSM 관리자입니다. 이러한 작업에는 백업, 만들기, 가져오기, 가져오기, 나열 및 복원이 포함됩니다 .
중요
키 자격 증명 모음 관리자에게 할당된 권한 집합에는 키를 삭제할 수 있는 권한이 포함되지 않습니다. 이는 의도적이고 중요한 관행입니다. 이렇게 하면 데이터가 영구적으로 삭제되므로 암호화 키를 삭제하는 것은 일반적으로 수행되지 않습니다. 기본적으로 키 자격 증명 모음 관리자에게 암호화 키를 삭제할 수 있는 권한을 부여하지 않는 것이 좋습니다. 대신 키 자격 증명 모음 기여자를 위해 이 권한을 예약하고 결과를 명확하게 이해한 후에만 단기간에 관리자에게 할당합니다.
Azure Key Vault 자체에 대한 권한을 변경할 수 있는 기여자입니다. 직원이 팀을 떠나거나 팀에 합류할 때 이러한 권한을 변경합니다. 키 자격 증명 모음 관리자가 키를 삭제하거나 복원할 수 있는 권한이 합법적으로 필요한 드문 상황에서는 사용 권한도 변경해야 합니다. 이 키 자격 증명 모음 기여자 집합에는 키 자격 증명 모음에 대한 기여자 역할이 부여되어야 합니다. RBAC를 사용하여 이 역할을 할당할 수 있습니다. 구독을 만드는 관리자는 이 액세스 권한을 암시적으로 가지며 다른 관리자를 기여자 역할에 할당할 수 있습니다.
키를 만들거나 가져와서 각 키 자격 증명 모음에 키 추가
Azure Key Vault 또는 관리되는 HSM에 키를 추가하는 방법에는 두 가지가 있습니다. 리소스에서 직접 키를 만들거나 키를 가져올 수 있습니다. Key Vault 직접 키를 만드는 것은 덜 복잡하지만 키를 가져오면 키가 생성되는 방식을 완전히 제어할 수 있습니다. RSA 키를 사용합니다. 고객 키는 최대 4096개의 RSA 키 길이를 지원합니다. Azure Key Vault 타원형 곡선 키로 래핑 및 래핑 해제를 지원하지 않습니다.
관리형 HSM은 HSM 보호 키만 지원합니다. 관리되는 HSM에 대한 키를 만들 때 다른 형식이 아닌 RSA-HSM 키를 만들어야 합니다.
고객 키는 만료된 키를 사용할 수 없습니다. 만료된 키로 시도한 작업이 실패하고 서비스 중단이 발생할 수 있습니다. 고객 키와 함께 사용되는 키에는 만료 날짜가 없는 것이 좋습니다.
일단 설정된 만료 날짜는 제거할 수 없지만 다른 날짜로 변경할 수 있습니다. 만료 날짜가 있는 키를 사용해야 하는 경우 만료 값을 12/31/9999로 변경하고 레거시 온보딩 프로세스를 사용합니다. 만료 날짜가 12/31/9999 이외의 날짜로 설정된 키는 Microsoft 365 유효성 검사에 실패합니다. 고객 키 온보딩 서비스는 만료 날짜가 없는 키만 허용합니다.
키를 빠르게 복구할 수 있는 경우 실수로 또는 악의적으로 삭제된 키로 인해 확장된 서비스 중단이 발생할 가능성이 줄어듭니다. 이 구성을 일시 삭제라고 합니다. 일시 삭제를 사용하도록 설정하면 삭제 후 90일 이내에 키 또는 자격 증명 모음을 백업에서 복원하지 않고도 복구할 수 있습니다. 이 구성은 새 Azure Key Vault를 만들 때 자동으로 사용하도록 설정됩니다. 관리되는 HSM 리소스에 대해 일시 삭제를 해제할 수 없습니다. 이 설정을 사용하도록 설정하지 않은 기존 자격 증명 모음을 사용하는 경우 사용하도록 설정할 수 있습니다.
Get-AzKeyVault cmdlet을 실행하여 키 자격 증명 모음에 대해 일시 삭제가 구성되었는지 확인합니다. 키 자격 증명 모음에 대해 일시 삭제가 올바르게 구성된 경우 일시 삭제 사용 속성은True 값을 반환합니다.
Get-AzKeyVault -VaultName <vault name> | fl
계속하기 전에 '일시 삭제를 사용하도록 설정했나요?' 가 'True'로 설정되고 '일시 삭제 보존 기간(일)'이 '90'으로 설정됩니다.
Azure Key Vault 백업
키를 만들거나 변경한 직후 백업을 수행하고 온라인 및 오프라인에서 백업 복사본을 저장합니다.
Azure Key Vault 또는 관리형 HSM 키의 백업을 만들려면 Backup-AzKeyVaultKey cmdlet을 실행합니다.
각 Azure Key Vault 키에 대한 URI 가져오기
키 자격 증명 모음을 설정하고 키를 추가한 후 다음 명령을 실행하여 각 키 자격 증명 모음의 키에 대한 URI를 가져옵니다. 나중에 각 DEP를 만들고 할당할 때 이러한 URI를 사용하므로 이 정보를 안전한 장소에 저장합니다. 각 키 자격 증명 모음에 대해 이 명령을 한 번 실행합니다.
Azure PowerShell:
(Get-AzKeyVaultKey -VaultName <vault name>).Id
관리형 HSM의 경우:
(Get-AzKeyVaultKey -HsmName <HSM name>).Id
고객 키 온보딩 서비스를 사용하여 온보딩
Microsoft 365 고객 키 온보딩 서비스는 사용자 고유의 테넌트 내에서 고객 키를 사용하도록 설정할 수 있는 서비스입니다. 이 기능은 필요한 고객 키 리소스의 유효성을 자동으로 검사합니다. 원하는 경우 테넌트 내에서 고객 키 사용을 계속하기 전에 리소스의 유효성을 별도로 검사할 수 있습니다.
중요
이 서비스는 다음 시나리오에서 아직 사용할 수 없습니다.
정부 테넌트 - 아래의 "정부 테넌트용 고객 키에 온보딩"을 참조하세요.
SharePoint 및 OneDrive - 아래의 "SharePoint 및 OneDrive용 고객 키에 온보딩"을 참조하세요.
관리형 HSM을 사용하는 테넌트 - 아래의 "레거시 방법을 사용하여 고객 키에 온보딩"을 참조하세요.
PowerShell 갤러리 사용할 수 있는 최신 버전의 M365CustomerKeyOnboarding 모듈을 설치합니다. 페이지 아래쪽에 있는 "버전 기록" 탭을 보고 최신 버전을 다운로드하고 있는지 확인합니다. 관리자 권한으로 PowerShell 세션을 시작합니다. 명령을 복사하여 Azure PowerShell 붙여넣고 실행하여 패키지를 설치합니다. 메시지가 표시되면 "모두에 예" 옵션을 선택합니다. 설치하는 데 몇 분 정도 걸립니다.
3가지 온보딩 모드 사용
온보딩 프로세스에서 각기 다른 용도로 사용되는 3가지 온보딩 모드가 있습니다. 이러한 3가지 모드는 "유효성 검사", "준비", "사용"입니다.
온보딩 요청 만들기에서 cmdlet을 실행하는 경우 "-OnboardingMode" 매개 변수를 사용하여 모드를 나타냅니다.
유효성 검사
"유효성 검사" 모드를 사용하여 고객 키에 사용되는 리소스의 구성이 올바른지 확인합니다. 이 모드의 리소스에 대해 아무 작업도 수행되지 않습니다.
중요
리소스의 구성을 변경하는 경우 원하는 만큼 이 모드를 실행할 수 있습니다.
준비
"준비" 모드 는 Cmdlet에 표시된 2개의 Azure 구독을 등록하여 MandatoryRetentionPeriod를 사용하여 고객 키 리소스에 대한 작업을 수행합니다. 루트 암호화 키의 일시적 또는 영구적 손실은 서비스 작업에 지장을 주거나 심지어 치명적일 수 있으며 데이터 손실을 초래할 수 있습니다. 이러한 이유로 고객 키와 함께 사용되는 리소스에는 강력한 보호가 필요합니다. 필수 보존 기간은 Azure 구독의 즉각적이고 취소할 수 없는 취소를 방지합니다. cmdlet을 실행한 후 구독은 변경 사항을 반영하는 데 최대 1시간이 걸릴 수 있습니다. MandatoryRetentionPeriod 등록의 상태 검사 준비 모드에서 cmdlet을 실행한 후 "유효성 검사" 모드로 이동합니다.
중요
Azure 구독에 대해 MandatoryRetentionPeriod를 등록하는 것은 필수입니다. cmdlet에서 다시 실행하라는 메시지가 표시되지 않는 한 이 모드를 한 번만 실행하면 됩니다.
사용
고객 키에 온보딩할 준비가 되면 이 모드를 사용합니다. "사용"은 -Scenario 매개 변수로 표시된 워크로드에 대해서만 고객 키에 대한 테넌트만 사용하도록 설정합니다. Exchange 및 M365DataAtRestEncryption 둘 다에 대해 고객 키를 사용하도록 설정하려면 각 워크로드에 대해 총 2회 온보딩 cmdlet을 실행합니다. "사용" 모드에서 cmdlet을 실행하기 전에 리소스가 "ValidationResult" 아래에 "전달됨"으로 표시되어 올바르게 구성되었는지 확인합니다.
중요
리소스가 "유효성 검사" 모드에서 검사를 충족하는 경우에만 사용하도록 설정하면 테넌트가 고객 키에 성공적으로 온보딩됩니다.
온보딩 요청 만들기
이 자동화 프로세스의 첫 번째 단계는 새 요청을 만드는 것입니다. PowerShell을 사용하면 cmdlet 결과를 변수로 압축할 수 있습니다. 새 요청을 변수로 압축합니다. "$" 기호 뒤에 변수 이름을 사용하여 변수를 만들 수 있습니다.
온보딩할 워크로드를 입력합니다. 입력 옵션은 'MDEP' – 여러 워크로드에 대한 고객 키입니다. 'EXO' – Exchange용 고객 키
MDEP 또는 EXO
-Subscription1
필수 보존 기간에 등록한 첫 번째 구독의 Azure 구독 ID를 입력합니다.
p12ld534-1234-5678-9876-g3def67j9k12
-VaultName1
고객 키에 대해 구성한 첫 번째 Azure Key Vault 자격 증명 모음 이름을 입력합니다.
EXOVault1
-KeyName1
고객 키에 대해 구성한 첫 번째 Azure Key Vault 내에 첫 번째 Azure Key Vault Key의 이름을 입력합니다.
EXOKey1
-Subscription2
필수 보존 기간에 등록한 두 번째 구독의 Azure 구독 ID를 입력합니다.
21k9j76f-ed3g-6789-8765-43215dl21pbd
-VaultName2
고객 키에 대해 구성한 두 번째 Azure Key Vault 자격 증명 모음 이름을 입력합니다.
EXOVault2
-KeyName2
고객 키에 대해 구성한 두 번째 Azure Key Vault 내에 두 번째 Azure Key Vault Key의 이름을 입력합니다.
EXOKey2
-온보딩 모드
"준비" - 필수 구성은 구독에 MandatoryRetentionPeriod를 적용하여 리소스에서 수행됩니다. 적용하는 데 최대 1시간 이 걸릴 수 있습니다. "유효성 검사" – Azure Key Vault 및 Azure 구독 리소스의 유효성 검사만 고객 키에 온보딩하지 않습니다. 이 모드는 모든 리소스를 확인하지만 나중에 공식적으로 온보딩하도록 선택하는 경우에 유용합니다. "사용" – 유효성 검사가 성공하면 Azure Key Vault 및 구독 리소스의 유효성을 검사하고 테넌트 내에서 고객 키를 사용하도록 설정합니다.
준비 또는 사용 또는 유효성 검사
테넌트 관리자 자격 증명으로 로그인
권한 있는 계정으로 로그인하라는 메시지가 표시되는 브라우저 창이 열립니다. 적절한 자격 증명을 사용하여 로그인합니다.
유효성 검사 및 사용 세부 정보 보기
성공적으로 로그인한 후 PowerShell 창으로 다시 이동합니다. 온보딩 cmdlet을 압축한 변수를 실행하여 온보딩 요청의 출력을 가져옵니다.
$request
ID, CreatedDate, ValidationResult 및 EnablementResult를 사용하여 출력을 받습니다.
출력
설명
ID
생성된 온보딩 요청과 연결된 ID입니다.
CreatedDate
요청이 만들어진 날짜입니다.
ValidationResult
성공/실패 유효성 검사 표시기입니다.
EnablementResult
성공/실패를 나타내는 표시기입니다.
고객 키를 사용할 준비가 된 테넌트는 다음과 같이 'ValidationResult' 및 'EnablementResult' 아래에 "성공"이 있습니다.
각 규칙의 예상 값은 "ExpectedValue" 열에 표시되며 실제 값은 "ActualValue" 열에 표시됩니다. "scope" 열에는 구독 ID의 처음 5자가 표시되어 문제가 있는 구독 및 기본 키 자격 증명 모음을 확인할 수 있습니다. "세부 정보" 섹션에서는 오류의 근본 원인과 이를 처리하는 방법에 대한 설명을 제공합니다.
'준비' 모드에서 온보딩 cmdlet을 실행한 후 1시간 후에 MandatoryRetentionPeriodState가 '복구 가능' 또는 '복구 가능+제거 가능'으로 설정되어 있고 Azure Key Vault에서 일시 삭제를 사용하도록 설정한 경우 다음 단계를 수행합니다.
고객 키 온보딩 서비스에서 지원되지 않는 시나리오가 테넌트에게 적용되는 경우에만 이 방법을 사용합니다. 레거시 방법을 사용하여 고객 키에 온보딩하려는 경우 Azure Key Vault 및 구독을 설정하는 모든 단계를 완료한 후 고객 키 지원을 요청하는 Microsoft 지원 문의하세요.
정부 테넌트용 고객 키에 온보딩
GCC-H 또는 DoD에 테넌트가 있고 고객 키를 사용하도록 설정하려는 경우 Azure Key Vault 및 구독을 설정하는 모든 단계를 완료한 후 정부 테넌트용 고객 키 지원을 요청하는 Microsoft 지원 문의하세요.
SharePoint 및 OneDrive용 고객 키에 온보딩
SharePoint 및 OneDrive용 고객 키에 온보딩하기 위한 두 가지 필수 구성 요소가 있습니다.
테넌트는 이미 Exchange용 고객 키 또는 여러 워크로드의 고객 키에 온보딩되었습니다.