Configurar a chave do cliente

Com a Chave do Cliente, você controla as chaves de criptografia da sua organização e configura o Microsoft 365 para usá-las para criptografar seus dados em repouso nos data centers da Microsoft. Em outras palavras, a Chave do Cliente permite que os clientes adicionem uma camada de criptografia que pertence a eles, com suas chaves.

Configure o Azure antes de usar a Chave do Cliente. Este artigo descreve as etapas que você precisa seguir para criar e configurar os recursos necessários do Azure e, em seguida, fornece as etapas para configurar a Chave do Cliente. Depois de configurar o Azure, você determina qual política e, portanto, quais chaves atribuir para criptografar dados em várias cargas de trabalho do Microsoft 365 em sua organização. Para obter mais informações sobre a Chave do Cliente ou para obter uma visão geral, consulte Criptografia de serviço com a Chave do Cliente do Microsoft Purview.

Importante

É altamente recomendável que você siga as práticas recomendadas neste artigo. Eles são chamados de TIP e IMPORTANTE. A Chave do Cliente fornece controle sobre chaves de criptografia raiz cujo escopo pode ser tão grande quanto toda a sua organização. Isso significa que os erros cometidos com essas chaves podem ter um impacto amplo e podem resultar em interrupções de serviço ou perda irrevogável de seus dados.

Ponta

Se você não for um cliente E5, poderá experimentar todos os recursos premium do Microsoft Purview gratuitamente. Use a avaliação de soluções do Purview de 90 dias para explorar como os recursos robustos do Purview podem ajudar sua organização a gerenciar as necessidades de conformidade e segurança de dados. Comece agora no portal de conformidade do Microsoft Purview de avaliações. Saiba mais sobre como inscrever-se e os termos de avaliação.

Antes de configurar a Chave do Cliente

Antes de começar, verifique se você tem as assinaturas apropriadas do Azure e o licenciamento do M365/O365 para sua organização. Você deve usar assinaturas pagas do Azure. As assinaturas que você recebeu por meio de Assinaturas Gratuitas, de Avaliação, de Patrocínios, do MSDN e aquelas em Suporte Herdado não são qualificadas.

Importante

As licenças M365/O365 válidas que oferecem a Chave de Cliente M365 são:

  • Office 365 E5
  • Microsoft 365 E5
  • Conformidade do Microsoft 365 E5
  • & SKUs de governança do Microsoft 365 E5 Proteção de Informações
  • Segurança e conformidade do Microsoft 365 para FLW

As licenças Conformidade Avançada do Office 365 existentes continuarão a ter suporte.

Para entender os conceitos e os procedimentos neste artigo, examine a documentação do Key Vault Azure. Além disso, familiarize-se com os termos usados no Azure, por exemplo, Azure AD locatário.

Se você precisar de mais suporte além da documentação, entre em contato com o MCS (Serviços de Consultoria da Microsoft), o PFE (Premier Field Engineering) ou um parceiro da Microsoft para obter assistência. Para fornecer comentários sobre a Chave do Cliente, incluindo a documentação, envie suas ideias, sugestões e perspectivas para customerkeyfeedback@microsoft.com.

Visão geral das etapas para configurar a Chave do Cliente

Para configurar a Chave do Cliente, conclua essas tarefas na ordem listada. O restante deste artigo fornece instruções detalhadas para cada tarefa ou links para mais informações para cada etapa do processo.

No Azure e Microsoft FastTrack:

Você concluirá a maioria dessas tarefas conectando-se remotamente ao Azure PowerShell. Para obter melhores resultados, use a versão 4.4.0 ou posterior Azure PowerShell.

Concluir tarefas no Azure Key Vault e Microsoft FastTrack chave do cliente

Conclua essas tarefas no Azure Key Vault. Você precisará concluir essas etapas para todos os DEPs que usar com a Chave do Cliente.

Criar duas novas assinaturas do Azure

A Chave do Cliente requer duas assinaturas do Azure. Como prática recomendada, a Microsoft recomenda que você crie novas assinaturas do Azure para uso com a Chave do Cliente. As chaves Key Vault do Azure só podem ser autorizadas para aplicativos no mesmo locatário do Azure Active Directory (Microsoft Azure Active Directory), você deve criar as novas assinaturas usando o mesmo locatário do Azure AD usado com sua organização em que os DEPs serão atribuídos. Por exemplo, usando sua conta corporativa ou de estudante que tenha privilégios de administrador global em sua organização. Para obter etapas detalhadas, consulte Inscrever-se no Azure como uma organização.

Importante

A Chave do Cliente requer duas chaves para cada DEP (política de criptografia de dados). Para fazer isso, você deve criar duas assinaturas do Azure. Como prática recomendada, a Microsoft recomenda que você tenha membros separados da sua organização que configurem uma chave em cada assinatura. Você só deve usar essas assinaturas do Azure para administrar chaves de criptografia para Office 365. Isso protege sua organização caso um de seus operadores exclua acidentalmente, intencionalmente ou maliciosamente ou, de outra forma, gerencia incorretamente as chaves pelas quais eles são responsáveis.

Não há nenhum limite prático para o número de assinaturas do Azure que você pode criar para sua organização. Seguir essas práticas recomendadas minimizará o impacto do erro humano enquanto ajuda a gerenciar os recursos usados pela Chave do Cliente.

Enviar uma solicitação para ativar a Chave do Cliente para Office 365

Depois de criar as duas novas assinaturas do Azure, você precisará enviar a solicitação de oferta de Chave do Cliente apropriada no portal Microsoft FastTrack cliente. As seleções feitas no formulário de oferta sobre as designações autorizadas em sua organização são críticas e necessárias para a conclusão do registro da Chave do Cliente. Os responsáveis nessas funções selecionadas em sua organização garantem a autenticidade de qualquer solicitação para revogar e destruir todas as chaves usadas com uma política de criptografia de dados da Chave do Cliente. Você precisará executar essa etapa uma vez para cada tipo de DEP de Chave de Cliente que pretende usar para sua organização.

A equipe do FastTrack não fornece assistência com a Chave do Cliente. Office 365 simplesmente usa o portal do FastTrack para permitir que você envie o formulário e nos ajude a acompanhar as ofertas relevantes para a Chave do Cliente. Depois de enviar a solicitação do FastTrack, entre em contato com a equipe de integração da Chave do Cliente correspondente para iniciar o processo de integração.

Para enviar uma oferta para ativar a Chave do Cliente, conclua estas etapas:

  1. Usando uma conta corporativa ou de estudante que tenha permissões de administrador global em sua organização, entre no portal do Microsoft FastTrack.

  2. Depois de fazer logon, selecione o domínio apropriado.

  3. Para o domínio selecionado, escolha Implantar na barra de navegação superior e examine a lista de ofertas disponíveis.

  4. Escolha o cartão de informações para a oferta que se aplica a você:

    • Várias cargas de trabalho do Microsoft 365: Escolha a ajuda solicitar chave de criptografia para a oferta do Microsoft 365 .

    • Exchange Online e Skype for Business: escolha a ajuda solicitar a chave de criptografia para a oferta do Exchange.

    • Arquivos do SharePoint Online, OneDrive e Teams: Escolha a ajuda da chave de criptografia de solicitação para o SharePoint e OneDrive for Business oferta.

  5. Depois de examinar os detalhes da oferta, escolha Continuar para a etapa 2.

  6. Preencha todos os detalhes aplicáveis e as informações solicitadas no formulário de oferta. Preste atenção especial às suas seleções para quais responsáveis da sua organização você deseja autorizar a aprovação da destruição permanente e irreversível de dados e chaves de criptografia. Depois de concluir o formulário, escolha Enviar.

Registrar assinaturas do Azure para usar um período de retenção obrigatório

A perda temporária ou permanente de chaves de criptografia raiz pode ser interrupção ou até mesmo catastrófica para a operação de serviço e pode resultar em perda de dados. Por esse motivo, os recursos usados com a Chave do Cliente exigem proteção forte. Todos os recursos do Azure usados com a Chave do Cliente oferecem mecanismos de proteção além da configuração padrão. Você pode marcar ou registrar assinaturas do Azure por um período de retenção obrigatório. Um período de retenção obrigatório impede o cancelamento imediato e irrevogável de sua assinatura do Azure. As etapas necessárias para registrar as assinaturas do Azure por um período de retenção obrigatório exigem colaboração com a equipe do Microsoft 365. Anteriormente, o período de retenção obrigatório às vezes era chamado de "Não Cancelar". Esse processo levará cinco dias úteis para ser concluído.

Importante

Antes de entrar em contato com a equipe do Microsoft 365, você deve executar as etapas a seguir para cada assinatura do Azure usada com a Chave do Cliente. Verifique se você tem o Azure PowerShell Az instalado antes de começar.

  1. Entre com Azure PowerShell. Para obter instruções, consulte Entrar com Azure PowerShell.

  2. Execute o Register-AzProviderFeature cmdlet para registrar suas assinaturas para usar um período de retenção obrigatório. Conclua esta ação para cada assinatura.

    Set-AzContext -SubscriptionId <SubscriptionId>
    Register-AzProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources
    

Entre em contato com o alias correspondente da Microsoft para prosseguir com o processo

Observação

Antes de entrar em contato com o alias correspondente da Microsoft, verifique se você concluiu suas solicitações do FastTrack para a Chave de Cliente M365.

  • Para habilitar a Chave do Cliente para atribuir o DEP a Exchange Online caixas de correio individuais, entre em contatoexock@microsoft.com.

  • Para habilitar a Chave do Cliente para atribuir DEPs para criptografar o SharePoint Online e OneDrive for Business conteúdo (incluindo arquivos do Teams) para todos os usuários do locatário, entre em contatospock@microsoft.com.

  • Para habilitar a Chave do Cliente para atribuir DEPs para criptografar conteúdo em várias cargas de trabalho do Microsoft 365 (Exchange Online, Teams, Proteção de Informações do Microsoft Purview) para todos os usuários do locatário, entre m365-ck@service.microsoft.comem contato.

  • Inclua as seguintes informações em seu email:

    Assunto: Chave do Cliente para o <nome de domínio totalmente qualificado do seu locatário>

    Corpo: inclua as IDs de solicitação do FastTrack e as IDs de assinatura para cada um dos serviços de Chave de Cliente aos qual você deseja integrar. Essas IDs de assinatura são aquelas que você deseja concluir o período de retenção obrigatório e a saída de Get-AzProviderFeature para cada assinatura.

O SLA (Contrato de Nível de Serviço) para a conclusão desse processo é de cinco dias úteis após a Microsoft ser notificada (e verificada) de que você registrou suas assinaturas para usar um período de retenção obrigatório.

Verificar o status de cada assinatura do Azure

Depois de receber uma notificação da Microsoft de que o registro foi concluído, verifique o status do registro executando o Get-AzProviderFeature da seguinte maneira. Se verificado, o comando Get-AzProviderFeature retornará um valor de Registrado para a propriedade Estado de Registro. Conclua esta etapa para cada assinatura.

Get-AzProviderFeature -ProviderNamespace Microsoft.Resources -FeatureName mandatoryRetentionPeriodEnabled

Ponta

Antes de continuar, verifique se 'RegistrationState' está definido como 'Registrado' como a imagem abaixo.

Período de retenção obrigatório

Criar um Azure Key Vault premium em cada assinatura

As etapas para criar um cofre de chaves são documentadas no Introdução com o Azure Key Vault, que orienta você durante a instalação e a inicialização do Azure PowerShell, a conexão com sua assinatura do Azure, a criação de um grupo de recursos e a criação de um cofre de chaves nesse grupo de recursos.

Ao criar um cofre de chaves, você deve escolher um SKU: Standard ou Premium. O SKU Standard permite que as chaves do Azure Key Vault sejam protegidas com software – não há proteção de chave HSM (Módulo de Segurança de Hardware) e o SKU Premium permite o uso de HSMs para proteção de chaves Key Vault hardware. A Chave do Cliente aceita cofres de chaves que usam um dos SKU, embora a Microsoft recomende que você use apenas o SKU Premium. O custo das operações com chaves de qualquer tipo é o mesmo, portanto, a única diferença no custo é o custo por mês para cada chave protegida por HSM. Confira Key Vault para obter detalhes.

Importante

Use os cofres de chaves do SKU Premium e as chaves protegidas por HSM para dados de produção e use apenas os cofres de chaves e chaves de SKU Standard para fins de teste e validação.

Para cada serviço do Microsoft 365 com o qual você usará a Chave do Cliente, crie um cofre de chaves em cada uma das duas assinaturas do Azure que você criou. Por exemplo, para permitir que a Chave do Cliente use DEPs para cenários de Exchange Online, SharePoint Online e várias cargas de trabalho, você criará três pares de cofres de chaves.

Use uma convenção de nomenclatura para cofres de chaves que reflita o uso pretendido do DEP ao qual você associará os cofres. Consulte a seção Práticas Recomendadas abaixo para obter recomendações de convenção de nomenclatura.

Crie um conjunto separado e emparelhado de cofres para cada política de criptografia de dados. Por Exchange Online, o escopo de uma política de criptografia de dados é escolhido por você ao atribuir a política à caixa de correio. Uma caixa de correio pode ter apenas uma política atribuída e você pode criar até 50 políticas. O escopo de uma política do SharePoint Online inclui todos os dados em uma organização em uma localização geográfica ou geográfica. O escopo de uma política de várias cargas de trabalho inclui todos os dados entre as cargas de trabalho com suporte para todos os usuários.

A criação de cofres de chaves também requer a criação de grupos de recursos do Azure, pois os cofres de chaves precisam de capacidade de armazenamento (embora sejam pequenos) e o registro em log Key Vault, se habilitado, também gera dados armazenados. Como prática recomendada, a Microsoft recomenda usar administradores separados para gerenciar cada grupo de recursos, com a administração alinhada ao conjunto de administradores que gerenciará todos os recursos relacionados da Chave do Cliente.

Atribuir permissões a cada cofre de chaves

Você precisará definir três conjuntos separados de permissões para cada cofre de chaves, dependendo da implementação. Por exemplo, você precisará definir um conjunto de permissões para cada uma das seguintes opções:

  • Os administradores do cofre de chaves que fazem o gerenciamento diário do cofre de chaves para sua organização. Essas tarefas incluem backup, criação, get, importação, lista e restauração.

    Importante

    O conjunto de permissões atribuídas aos administradores do cofre de chaves não inclui a permissão para excluir chaves. Isso é intencional e uma prática importante. A exclusão de chaves de criptografia normalmente não é feita, pois isso destrói permanentemente os dados. Como prática recomendada, não conceda essa permissão aos administradores do cofre de chaves por padrão. Em vez disso, reserve-o para colaboradores do cofre de chaves e atribua-o apenas a um administrador em curto prazo quando uma compreensão clara das consequências for compreendida.

    Para atribuir essas permissões a um usuário em sua organização, entre em sua assinatura do Azure com Azure PowerShell. Para obter instruções, consulte Entrar com Azure PowerShell.

    • Execute o Set-AzKeyVaultAccessPolicy cmdlet para atribuir as permissões necessárias.
    Set-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user> -PermissionsToKeys create,import,list,get,backup,restore
    

    Por exemplo:

    Set-AzKeyVaultAccessPolicy -VaultName Contoso-CK-EX-NA-VaultA1 -UserPrincipalName alice@contoso.com -PermissionsToKeys create,import,list,get,backup,restore
    
  • Colaboradores do cofre de chaves que podem alterar permissões no Azure Key Vault em si. Você precisará alterar essas permissões à medida que os funcionários saírem ou ingressarem em sua equipe. Na rara situação em que os administradores do cofre de chaves precisam de permissão legítima para excluir ou restaurar uma chave, você também precisará alterar as permissões. Esse conjunto de colaboradores do cofre de chaves precisa receber a função Colaborador no cofre de chaves. Você pode atribuir essa função usando o Azure Resource Manager. Para obter etapas detalhadas, consulte Use Role-Based Controle de Acesso para gerenciar o acesso aos recursos de assinatura do Azure. O administrador que cria uma assinatura tem esse acesso implicitamente e a capacidade de atribuir outros administradores à função colaborador.

  • Permissões para aplicativos do Microsoft 365 para cada cofre de chaves que você usa para a Chave do Cliente, você precisa fornecer wrapKey, unwrapKey e obter permissões para a entidade de serviço do Microsoft 365 correspondente.

    Para conceder permissão à Entidade de Serviço do Microsoft 365, execute o cmdlet Set-AzKeyVaultAccessPolicy usando a seguinte sintaxe:

    Set-AzKeyVaultAccessPolicy -VaultName <vault name> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>
    

    Onde:

    • nome do cofre é o nome do cofre de chaves que você criou.
    • Para Exchange Online e Skype for Business, substitua Office 365 appID por00000002-0000-0ff1-ce00-000000000000
    • Para arquivos do SharePoint Online, OneDrive for Business e do Teams, substitua Office 365 appID por00000003-0000-0ff1-ce00-000000000000
    • Para a política de várias cargas de trabalho (Exchange, Teams, Proteção de Informações do Microsoft Purview) que se aplica a todos os usuários de locatário, substitua Office 365 appID porc066d759-24ae-40e7-a56f-027002b5d3e4

    Exemplo: definindo permissões para Exchange Online e Skype for Business:

    Set-AzKeyVaultAccessPolicy -VaultName Contoso-CK-EX-NA-VaultA1 -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000
    

    Exemplo: definindo permissões para arquivos do SharePoint Online, OneDrive for Business e Teams:

    Set-AzKeyVaultAccessPolicy -VaultName Contoso-CK-SP-NA-VaultA1 -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000
    

    Confirme se Get, wrapKey e unwrapKey são concedidos a cada cofre de chaves executando o cmdlet Get-AzKeyVault.

    Get-AzKeyVault -VaultName <vault name> | fl
    

Ponta

Antes de continuar, verifique se as permissões estão configuradas corretamente para o cofre de chaves, as permissões para chaves retornarão wrapKey, unwrapKey, get. Certifique-se de corrigir as permissões para o serviço correto ao qual você está integrando. O Nome de Exibição de cada serviço está listado abaixo:

  • Exchange Online e Skype for Business: Office 365 Exchange Online
  • Arquivos do SharePoint Online, OneDrive e Teams: Office 365 SharePoint Online
  • Várias cargas de trabalho do Microsoft 365: M365DataAtRestEncryption

Por exemplo, o snippet a seguir é um exemplo de como verificar se as permissões estão configuradas para M365DataAtRestEncryption. O cmdlet abaixo com um cofre chamado mmcexchangevault exibirá os campos a seguir.

  Get-AzKeyVault -VaultName mmcexchangevault | fl

Criptografia de criptografia para Exchange Online chave do cliente.

Verifique se a exclusão reversível está habilitada em seus cofres de chaves

Quando você pode recuperar rapidamente suas chaves, é menos provável que você tenha uma interrupção de serviço estendida devido a chaves excluídas acidentalmente ou maliciosamente. Habilite essa configuração, conhecida como Exclusão Reversível, antes de poder usar suas chaves com a Chave do Cliente. Habilitar a Exclusão Reversível permite recuperar chaves ou cofres dentro de 90 dias após a exclusão sem precisar restaurá-los do backup.

Para habilitar a Exclusão Reversível em seus cofres de chaves, conclua estas etapas:

  1. Entre em sua assinatura do Azure com o Windows PowerShell. Para obter instruções, consulte Entrar com Azure PowerShell.

  2. Execute o cmdlet Get-AzKeyVault . Neste exemplo, o nome do cofre é o nome do cofre de chaves para o qual você está habilitando a exclusão reversível:

    $v = Get-AzKeyVault -VaultName <vault name>
    $r = Get-AzResource -ResourceId $v.ResourceId
    $r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
    Set-AzResource -ResourceId $r.ResourceId -Properties $r.Properties
    
  3. Confirme se a exclusão reversível está configurada para o cofre de chaves executando o cmdlet Get-AzKeyVault . Se a exclusão reversível estiver configurada corretamente para o cofre de chaves, a propriedade Habilitada para Exclusão Reversível retornará um valor true:

    Get-AzKeyVault -VaultName <vault name> | fl
    

Ponta

Antes de continuar, verifique se a 'Exclusão Reversível Habilitada?' é definido como 'True' como a imagem abaixo.

SoftDelete

Adicionar uma chave a cada cofre de chaves criando ou importando uma chave

Há duas maneiras de adicionar chaves a um Key Vault do Azure; você pode criar uma chave diretamente no Key Vault ou pode importar uma chave. Criar uma chave diretamente no Key Vault é menos complicado, mas importar uma chave fornece controle total sobre como a chave é gerada. Use as chaves RSA. O Azure Key Vault dá suporte ao encapsulamento e ao desencapsular com chaves de curva elípticas.

Para obter instruções para adicionar uma chave a cada cofre, consulte Add-AzKeyVaultKey.

Para obter etapas detalhadas para criar uma chave local e importá-la para o cofre de chaves, consulte Como gerar e transferir chaves protegidas por HSM para o Azure Key Vault. Use as instruções do Azure para criar uma chave em cada cofre de chaves.

Verificar a data de validade de suas chaves

Para verificar se uma data de validade não está definida para suas chaves, execute o cmdlet Get-AzKeyVaultKey da seguinte maneira:

Get-AzKeyVaultKey -VaultName <vault name>

A Chave do Cliente não pode usar uma chave expirada. As operações tentadas com uma chave expirada falharão e, possivelmente, resultarão em uma interrupção de serviço. É altamente recomendável que as chaves usadas com a Chave do Cliente não tenham uma data de validade. Uma data de validade, uma vez definida, não pode ser removida, mas pode ser alterada para uma data diferente. Se uma chave precisar ser usada com uma data de validade definida, altere o valor de expiração para 31/12/9999. As chaves com uma data de validade definida como uma data diferente de 31/12/9999 não passarão na validação do Microsoft 365.

Para alterar uma data de validade que foi definida para qualquer valor diferente de 31/12/9999, execute o cmdlet Update-AzKeyVaultKey da seguinte maneira:

Update-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

Cuidado

Não defina datas de expiração em chaves de criptografia usadas com a Chave do Cliente.

Verificar o nível de recuperação de suas chaves

O Microsoft 365 requer que a assinatura do Azure Key Vault esteja definida como Não Cancelar e que as chaves usadas pela Chave do Cliente tenham a exclusão reversível habilitada. Você pode confirmar as configurações de assinatura examinando o nível de recuperação em suas chaves.

Para verificar o nível de recuperação de uma chave, em Azure PowerShell, execute Get-AzKeyVaultKey cmdlet da seguinte maneira:

(Get-AzKeyVaultKey -VaultName <vault name> -Name <key name>).Attributes

Ponta

Antes de continuar, se a propriedade Nível de Recuperação retornar algo diferente de um valor de Recoverable+ProtectedSubscription, verifique se você registrou o recurso MandatoryRetentionPeriodEnabled na assinatura e se você tem a exclusão reversível habilitada em cada um dos cofres de chaves.

Desenho

Fazer backup do Azure Key Vault

Imediatamente após a criação ou qualquer alteração em uma chave, execute um backup e armazene cópias do backup, online e offline. Para criar um backup de uma chave de Key Vault do Azure, execute o cmdlet Backup-AzKeyVaultKey.

Obter o URI para cada chave de Key Vault Azure

Depois de configurar seus cofres de chaves e adicionar suas chaves, execute o comando a seguir para obter o URI da chave em cada cofre de chaves. Você usará esses URIs ao criar e atribuir cada DEP posteriormente, portanto, salve essas informações em um local seguro. Execute esse comando uma vez para cada cofre de chaves.

Em Azure PowerShell:

(Get-AzKeyVaultKey -VaultName <vault name>).Id

Próximas etapas

Depois de concluir as etapas neste artigo, você estará pronto para criar e atribuir DEPs. Para obter instruções, consulte Gerenciar Chave do Cliente.