Configurar Chave de Cliente
Com a Chave do Cliente, você controla as chaves de criptografia da sua organização e, em seguida, configura o Microsoft 365 para usá-los para criptografar seus dados em repouso nos data centers da Microsoft. Em outras palavras, a Chave do Cliente permite adicionar uma camada de criptografia que pertence a você, com suas chaves.
Configure o Azure antes de usar a Chave do Cliente. Este artigo descreve as etapas que você precisa seguir para criar e configurar os recursos necessários do Azure e, em seguida, fornece as etapas para configurar a Chave do Cliente. Depois de configurar o Azure, você determinará qual política e, portanto, quais chaves atribuir para criptografar dados em várias cargas de trabalho do Microsoft 365 em sua organização. Para obter mais informações sobre a Chave do Cliente ou para obter uma visão geral, consulte Visão geral da Chave do Cliente.
Importante
Recomendamos que você siga as práticas recomendadas neste artigo. Estes são chamados como TIP e IMPORTANT. A Chave do Cliente fornece controle sobre chaves de criptografia raiz cujo escopo pode ser tão grande quanto toda a sua organização. Isso significa que erros cometidos com essas chaves podem ter um impacto amplo e podem resultar em interrupções de serviço ou perda irrevogável de seus dados.
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
Windows 365 suporte para a Chave de Cliente do Microsoft Purview está em versão prévia pública e está sujeita a alterações.
Antes de configurar a Chave do Cliente
Antes de começar, verifique se você tem as assinaturas apropriadas do Azure e o Microsoft 365, Office 365 e Windows 365 licenciamento para sua organização. Você deve usar assinaturas pagas do Azure. As assinaturas que você obteve por meio de assinaturas gratuitas, avaliação, patrocínios, assinaturas MSDN e em Suporte Herdado não são qualificadas.
Importante
As licenças válidas do Microsoft 365 e Office 365 que oferecem a Chave do Cliente do Microsoft 365 são:
- Office 365 E5
- Microsoft 365 E5
- Conformidade do Microsoft 365 E5
- SKUs de governança Microsoft 365 E5 Proteção de Informações &
- Segurança e conformidade do Microsoft 365 para FLW
Ainda há suporte para licenças de Conformidade Avançada do Office 365 existentes.
Para entender os conceitos e procedimentos neste artigo, examine a documentação do Key Vault do Azure. Além disso, familiarize-se com os termos usados no Azure, por exemplo, Microsoft Entra locatário.
Se você precisar de mais suporte além da documentação, entre em contato com o MCS (Microsoft Consulting Services), a PFE (Premier Field Engineering) ou um parceiro da Microsoft para obter assistência. Para fornecer comentários sobre a Chave do Cliente, incluindo a documentação, envie suas ideias, sugestões e perspectivas para customerkeyfeedback@microsoft.com.
Visão geral das etapas para configurar a Chave do Cliente
Para configurar a Chave do Cliente, conclua essas tarefas na ordem listada. O restante deste artigo fornece instruções detalhadas para cada tarefa ou vincula-se a mais informações para cada etapa do processo.
No Azure:
Conclua os pré-requisitos a seguir conectando-se remotamente ao Azure PowerShell. Para obter melhores resultados, use a versão 4.4.0 ou posterior de Azure PowerShell:
Verifique se a exclusão suave está habilitada em seus cofres de chaves
Adicionar uma chave a cada cofre de chaves criando ou importando uma chave
Habilitando o locatário depois de concluir as tarefas anteriores:
Integração usando a versão prévia do serviço de integração de chaves do cliente
Integrar à Chave do Cliente usando o método manual(somente locatários do governo)
Concluir tarefas no Azure Key Vault e Microsoft FastTrack for Customer Key
Conclua essas tarefas no Azure Key Vault. Você deve concluir essas etapas para todos os tipos de políticas de criptografia de dados (DEPs) que você usa com a Chave do Cliente.
Criar duas novas assinaturas do Azure
A Chave do Cliente requer duas assinaturas do Azure. Como prática recomendada, a Microsoft recomenda que você crie novas assinaturas do Azure para uso com a Chave do Cliente. As chaves de Key Vault do Azure só podem ser autorizadas para aplicativos no mesmo locatário Microsoft Entra. Você deve criar as novas assinaturas usando o mesmo locatário Microsoft Entra usado com sua organização em que os DEPs são atribuídos. Por exemplo, usando sua conta corporativa ou de estudante que tem privilégios de administrador global em sua organização. Para obter etapas detalhadas, confira Inscrever-se no Azure como uma organização.
Importante
A Chave do Cliente requer duas chaves para cada DEP (política de criptografia de dados). Para conseguir isso, você deve criar duas assinaturas do Azure. Como prática recomendada, a Microsoft recomenda que você tenha membros separados da sua organização configurando uma chave em cada assinatura. Você só deve usar essas assinaturas do Azure para administrar chaves de criptografia para o Microsoft 365. Isso protege sua organização caso um de seus operadores exclua acidentalmente, intencionalmente ou maliciosamente ou, de outra forma, gerencie mal as chaves pelas quais eles são responsáveis.
Não há limite prático para o número de assinaturas do Azure que você pode criar para sua organização. Seguir essas práticas recomendadas minimiza o impacto do erro humano ao mesmo tempo em que ajuda a gerenciar os recursos usados pela Chave do Cliente.
Registrar as entidades de serviço necessárias
Para usar a Chave do Cliente, seu locatário deve ter as entidades de serviço necessárias registradas no locatário. Nas seções a seguir, as instruções são fornecidas para marcar se as entidades de serviço já estiverem registradas em seu locatário. Se eles não estiverem registrados, execute o cmdlet 'New-AzADServicePrincipal' , conforme mostrado.
Registrar a Entidade de Serviço para o Aplicativo de Integração de Chaves do Cliente
Para marcar se o aplicativo de Integração de Chaves do Cliente já estiver registrado em seu locatário, com privilégios de Administrador Global, execute o seguinte comando:
Get-AzADServicePrincipal -ServicePrincipalName 19f7f505-34aa-44a4-9dcc-6a768854d2ea
Se o aplicativo não estiver registrado no locatário, execute o seguinte comando:
New-AzADServicePrincipal -ApplicationId 19f7f505-34aa-44a4-9dcc-6a768854d2ea
Registrar a Entidade de Serviço para o Aplicativo M365DataAtRestEncryption
Para marcar se o aplicativo M365DataAtRestEncryption já estiver registrado em seu locatário, com privilégios de Administrador Global, execute o seguinte comando:
Get-AzADServicePrincipal -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4
Se o aplicativo não estiver registrado no locatário, execute o seguinte comando:
New-AzADServicePrincipal -ApplicationId c066d759-24ae-40e7-a56f-027002b5d3e4
Registrar a Entidade de Serviço para o aplicativo Office 365 Exchange Online
Para marcar se o aplicativo Office 365 Exchange Online já estiver registrado em seu locatário, com privilégios de Administrador Global, execute o seguinte comando:
Get-AzADServicePrincipal -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000
Se o aplicativo não estiver registrado no locatário, execute o seguinte comando:
New-AzADServicePrincipal -ApplicationId 00000002-0000-0ff1-ce00-000000000000
Criar uma Key Vault premium do Azure em cada assinatura
As etapas para criar um cofre de chaves são documentadas em Introdução com o Azure Key Vault. Essas etapas orientam você a instalar e iniciar Azure PowerShell, conectar-se à sua assinatura do Azure, criar um grupo de recursos e criar um cofre de chaves nesse grupo de recursos.
Ao criar um cofre de chaves, você deve escolher um SKU: Standard ou Premium. O SKU Standard permite que as chaves do Azure Key Vault sejam protegidas com software - não há proteção de chave HSM (Módulo de Segurança de Hardware) - e o SKU Premium permite o uso de HSMs para proteção de chaves Key Vault. A Chave do Cliente aceita cofres de chaves que usam um SKU, embora a Microsoft recomende fortemente que você use apenas a SKU Premium. O custo das operações com chaves de qualquer tipo é o mesmo, portanto, a única diferença de custo é o custo por mês para cada chave protegida por HSM. Consulte Key Vault preços para obter detalhes.
Importante
Use os cofres de chaves SKU Premium e chaves protegidas por HSM para dados de produção e use apenas cofres e chaves de chave SKU Padrão para fins de teste e validação.
Para cada serviço do Microsoft 365 com o qual você usa a Chave do Cliente, crie um cofre de chaves em cada uma das duas assinaturas do Azure criadas.
Por exemplo, para permitir que a Chave do Cliente use DEPs para cenários de Exchange Online, SharePoint e várias cargas de trabalho, crie três pares de cofres de chaves para um total de 6 Cofres. Use uma convenção de nomenclatura para cofres de chaves que reflita o uso pretendido do DEP com o qual você associa os cofres. A tabela a seguir mostra como mapear cada AKV (Key Vault do Azure) para cada carga de trabalho.
| Key Vault Name | Permissões para várias cargas de trabalho do Microsoft 365 (M365DataAtRestEncryption) | Permissões Exchange Online | Permissões para SharePoint e OneDrive |
|---|---|---|---|
| ContosoM365AKV01 | Sim | Não | Não |
| ContosoM365AKV02 | Sim | Não | Não |
| ContosoEXOAKV01 | Não | Sim | Não |
| ContosoEXOAKV02 | Não | Sim | Não |
| ContosoSPOAKV01 | Não | Não | Sim |
| ContosoSPOAKV02 | Não | Não | Sim |
A criação de cofres de chaves também requer a criação de grupos de recursos do Azure, uma vez que os cofres de chaves precisam de capacidade de armazenamento (embora pequena) e Key Vault log, se habilitados, também gera dados armazenados. Como prática recomendada, a Microsoft recomenda usar administradores separados para gerenciar cada grupo de recursos, com a administração alinhada com o conjunto de administradores que gerencia todos os recursos relacionados da Chave do Cliente.
Para Exchange Online, o escopo de uma política de criptografia de dados é escolhido quando você atribui a política à caixa de correio. Uma caixa de correio pode ter apenas uma política atribuída e você pode criar até 50 políticas. O escopo de uma política do SharePoint inclui todos os dados dentro de uma organização em um local geográfico ou geográfico. O escopo de uma política de várias cargas de trabalho inclui todos os dados entre as cargas de trabalho com suporte para todos os usuários.
Importante
Se você pretende usar a Chave do Cliente para várias cargas de trabalho do Microsoft 365, Exchange Online e SharePoint, crie dois Cofres de Chaves do Azure para cada carga de trabalho. Um total de 6 cofres deve ser criado.
Atribuir permissões a cada cofre de chaves
Defina as permissões necessárias para cada cofre de chaves usando o RBAC ( controle de acesso baseado em função) do Azure . As ações de configuração do Azure Key Vault são executadas usando o portal do Azure. Esta seção detalha como aplicar as permissões apropriadas usando RBAC.
Atribuir permissões usando o método RBAC
Para atribuir wrapKey, unwrapkeye get permissões em seu Key Vault do Azure, você deve atribuir a função "Key Vault Usuário de Criptografia do Serviço de Criptografia" ao aplicativo Microsoft 365 correspondente. Consulte Conceder permissão aos aplicativos para acessar um cofre de chaves do Azure usando o RBAC do Azure | Microsoft Learn.
Pesquisa os seguintes nomes para cada aplicativo do Microsoft 365 ao adicionar a função ao seu Key Vault do Azure:
Para Exchange Online:
Office 365 Exchange OnlinePara arquivos do SharePoint, OneDrive e Teams:
Office 365 SharePoint OnlinePara política de várias cargas de trabalho (Exchange, Teams, Proteção de Informações do Microsoft Purview):
M365DataAtRestEncryption
Se você não vir o aplicativo Microsoft 365 correspondente, verifique se registrou o aplicativo no locatário.
Para obter mais informações sobre como atribuir funções e permissões, consulte Usar controle de acesso baseado em função para gerenciar o acesso aos recursos de assinatura do Azure.
Atribuindo funções de usuário
Administradores do cofre de chaves que fazem o gerenciamento diário do cofre de chaves para sua organização. Essas tarefas incluem backup, criação, obtenção, importação, lista e restauração.
Importante
O conjunto de permissões atribuídas aos administradores do cofre de chaves não inclui a permissão para excluir chaves. Isso é intencional e uma prática importante. A exclusão de chaves de criptografia normalmente não é feita, pois isso destrói permanentemente os dados. Como prática recomendada, não conceda a permissão de exclusão de chaves de criptografia para administradores do cofre de chaves por padrão. Em vez disso, reserve essa permissão para colaboradores do cofre de chaves e atribua-a apenas a um administrador a curto prazo depois que uma compreensão clara das consequências for compreendida.
- Para atribuir essas permissões a um usuário em sua organização usando RBAC, consulte Atribuir funções do Azure usando o portal do Azure e atribuir a função de Administrador Key Vault.
Colaboradores do cofre de chaves que podem alterar permissões no próprio Azure Key Vault. Altere essas permissões à medida que os funcionários saem ou se juntam à sua equipe. Na situação rara em que os administradores do cofre de chaves precisam legitimamente de permissão para excluir ou restaurar uma chave, você também deve alterar as permissões. Esse conjunto de colaboradores do cofre de chaves precisa receber a função Colaborador no cofre de chaves. Você pode atribuir essa função usando RBAC. O administrador que cria uma assinatura tem esse acesso implicitamente e a capacidade de atribuir outros administradores à função Colaborador.
Adicionar uma chave a cada cofre de chaves criando ou importando uma chave
Há duas maneiras de adicionar chaves a um Key Vault do Azure; você pode criar uma chave diretamente no Key Vault ou importar uma chave. Criar uma chave diretamente no Key Vault é menos complicado, mas importar uma chave fornece controle total sobre como a chave é gerada. Use as chaves RSA. A Chave do Cliente dá suporte a comprimentos de chave RSA até 4096. O Azure Key Vault não dá suporte a encapsulamento e desembrulhamento com chaves de curva elíptica.
Para obter instruções para adicionar uma chave a cada cofre, consulte Add-AzKeyVaultKey.
Para obter etapas detalhadas para criar uma chave local e importá-la para o cofre de chaves, consulte Como gerar e transferir chaves protegidas por HSM para o Azure Key Vault. Use as instruções do Azure para criar uma chave em cada cofre de chaves.
Verificar a data de validade de suas chaves
Para verificar se uma data de validade não está definida para suas chaves, execute o cmdlet Get-AzKeyVaultKey da seguinte maneira:
Get-AzKeyVaultKey -VaultName <vault name>
A Chave do Cliente não pode usar uma chave expirada. As operações tentaram com uma falha de chave expirada e possivelmente resultam em uma interrupção de serviço. Recomendamos fortemente que as chaves usadas com a Chave do Cliente não tenham uma data de validade. Uma data de validade, uma vez definida, não pode ser removida, mas pode ser alterada para uma data diferente. Se uma chave precisar ser usada que tenha uma data de validade definida, altere o valor de expiração para 31/12/9999. Chaves com uma data de validade definida como uma data diferente de 31/12/9999 falham na validação do Microsoft 365.
Para alterar uma data de validade definida como qualquer valor diferente de 31/12/9999, execute o cmdlet Update-AzKeyVaultKey da seguinte maneira:
Update-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")
Cuidado
Não defina datas de validade em chaves de criptografia que você usa com a Chave do Cliente.
Verifique o nível de recuperação de suas chaves
O Microsoft 365 exige que a assinatura do Azure Key Vault seja definida como Não Cancelar e que as chaves usadas pela Chave do Cliente tenham a exclusão suave habilitada. Você pode confirmar as configurações de assinaturas olhando para o nível de recuperação em suas chaves.
Para marcar o nível de recuperação de uma chave, em Azure PowerShell, execute o cmdlet Get-AzKeyVaultKey da seguinte maneira:
(Get-AzKeyVaultKey -VaultName <vault name> -Name <key name>).Attributes
Verifique se a exclusão suave está habilitada em seus cofres de chaves
Quando você pode recuperar rapidamente suas chaves, é menos provável que você experimente uma interrupção de serviço estendida devido a chaves excluídas acidentalmente ou maliciosamente. Habilite essa configuração, conhecida como Exclusão Suave, antes de poder usar suas chaves com a Chave do Cliente. Habilitar o Soft Delete permite que você recupere chaves ou cofres dentro de 90 dias após a exclusão sem precisar restaurá-las do backup.
Para habilitar o Soft Delete em seus cofres de chaves, conclua estas etapas:
Entre na assinatura do Azure com Azure PowerShell. Para obter instruções, consulte Entrar com Azure PowerShell.
Execute o cmdlet Get-AzKeyVault . Neste exemplo, o nome do cofre é o nome do cofre de chaves para o qual você está habilitando a exclusão suave:
$v = Get-AzKeyVault -VaultName <vault name> $r = Get-AzResource -ResourceId $v.ResourceId $r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True' Set-AzResource -ResourceId $r.ResourceId -Properties $r.PropertiesConfirme se a exclusão suave está configurada para o cofre de chaves executando o cmdlet Get-AzKeyVault . Se a exclusão suave for configurada corretamente para o cofre de chaves, a propriedade Soft Delete Enableed retornará um valor de True:
Get-AzKeyVault -VaultName <vault name> | fl
Antes de continuar, verifique se o 'Soft Delete Enableed?' é definido como 'True' e 'Soft Delete Retention Period (days)' é definido como '90'.
Fazer backup do Azure Key Vault
Imediatamente após a criação ou qualquer alteração em uma chave, execute um backup e armazene cópias do backup, online e offline. Para criar um backup de uma chave Key Vault do Azure, execute o cmdlet Backup-AzKeyVaultKey.
Obter o URI para cada chave de Key Vault do Azure
Depois de configurar seus cofres de chaves e adicionar suas chaves, execute o comando a seguir para obter o URI da chave em cada cofre de chaves. Use essas URIs ao criar e atribuir cada DEP posteriormente, portanto, salve essas informações em um local seguro. Execute este comando uma vez para cada cofre de chaves.
Em Azure PowerShell:
(Get-AzKeyVaultKey -VaultName <vault name>).Id
Integração usando o Serviço de Integração de Chaves do Cliente (versão prévia)
Temos o prazer de apresentar o Microsoft 365 Customer Key Onboarding Service, um serviço que permite habilitar a Chave do Cliente em seu próprio locatário. Esse recurso valida automaticamente os recursos necessários da Chave do Cliente. Se desejar, você pode validar seus recursos separadamente antes de prosseguir com a habilitação da Chave do Cliente em seu locatário. Essa abordagem simplificada reduz significativamente a duração geral de integração, oferecendo-lhe um processo conveniente e autodidata.
Importante
Esta versão prévia ainda não está disponível para locatários do governo ou para Customer Key para SharePoint e OneDrive. Se você tiver um locatário do governo ou quiser habilitar a Chave do Cliente para SharePoint e One Drive, ignore esta seção e prossiga para "Integrar à Chave do Cliente usando o método manual".
A conta usada para integração deve ter as seguintes funções que satisfaçam as permissões mínimas:
- Administrador Global – registrando as entidades de serviço necessárias.
- Leitor – Em cada um dos Cofres de Chaves do Azure usados no cmdlet de integração.
Instalar o módulo do PowerShell 'M365CustomerKeyOnboarding'
Entre na assinatura do Azure com Azure PowerShell. Para obter instruções, consulte Entrar com Azure PowerShell.
Instale a versão mais recente do módulo M365CustomerKeyOnboarding disponível no Galeria do PowerShell. Confirme se você está baixando a versão mais recente exibindo a guia "Histórico de Versão" na parte inferior da página. Inicie uma sessão do PowerShell como administrador. Copie e cole o comando no Azure PowerShell e execute-o para instalar o pacote. Selecione a opção "Sim para Todos" se solicitado. A instalação leva alguns momentos.
Usando os três modos de integração diferentes
Há três modos de integração diferentes que cada um usou para diferentes finalidades no processo de integração. Esses 3 modos são "Validar", "Preparar", "Habilitar". Ao executar o cmdlet em Criar uma solicitação de integração, indique o modo usando o parâmetro "-OnboardingMode".
Validar
Use o modo "Validar" para validar se a configuração dos recursos usados para a Chave do Cliente está correta. Nenhuma ação será tomada em nenhum de seus recursos neste modo.
Importante
Você pode executar esse modo quantas vezes quiser se alterar a configuração de qualquer um de seus recursos.
Preparar
O modo "Preparar" executa uma ação em seus recursos da Chave do Cliente registrando as duas assinaturas do Azure que foram indicadas no cmdlet para usar um MandatoryRetentionPeriod. A perda temporária ou permanente de chaves de criptografia raiz pode ser disruptiva ou até mesmo catastrófica para a operação de serviço e pode resultar em perda de dados. Por esse motivo, os recursos usados com a Chave do Cliente exigem forte proteção. Um período de retenção obrigatório impede o cancelamento imediato e irrevogável de sua assinatura do Azure. Depois de executar o cmdlet, as assinaturas podem levar até 1 hora para refletir a alteração. Para marcar o status do registro MandatoryRetentionPeriod, depois de executar o cmdlet no modo de preparação, vá para o modo de validação.
Importante
O registro do MandatoryRetentionPeriod para suas assinaturas do Azure é obrigatório. Você só será obrigado a executar esse modo uma vez, a menos que seja solicitado a fazê-lo novamente pelo cmdlet.
Habilitar
Use esse modo quando estiver pronto para integrar a Chave do Cliente. "Habilitar" só habilitará seu locatário para a Chave do Cliente para a carga de trabalho indicada pelo parâmetro -Cenário . Se você quiser habilitar a Chave do Cliente para Exchange e M365DataAtRestEncryption, execute o cmdlet de integração um total de duas vezes, uma vez para cada carga de trabalho. Antes de executar o cmdlet no modo "habilitar", verifique se seus recursos estão configurados corretamente, indicados por "Passado" no "ValidationResult".
Importante
Habilitar só integrará o locatário com êxito à Chave do Cliente se os recursos atenderem às verificações no modo Validar.
Criando uma solicitação de integração
A primeira etapa desse processo de automação é criar uma nova solicitação. O PowerShell permite compactar resultados de cmdlet em variáveis. Compacte a nova solicitação em uma variável. Você pode criar uma variável usando o símbolo "$" seguido pelo nome da variável.
No exemplo, $request é a variável que você pode atribuir a uma solicitação de integração.
$request = New-CustomerKeyOnboardingRequest -Organization <tenantID> -Scenario <Scenario> -Subscription1 <subscriptionID1> -VaultName1 <AKVVaultName1> -KeyName1 <KeyName1> -Subscription2 <subscriptionID2> -VaultName2 <AKVVaultName2> -KeyName2 <KeyName2> -OnboardingMode <OnboardingMode>
| Parâmetro | Descrição | Exemplo |
|---|---|---|
| -Organização | Insira sua ID de locatário na forma de xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx. | abcd1234-abcd-efgh-hijk-abcdef123456 |
| -Cenário | Insira em qual carga de trabalho você gostaria de integrar. As opções de entrada são: 'MDEP' – Chave do cliente para várias cargas de trabalho 'EXO' – Chave do Cliente para Exchange Online |
MDEP or EXO |
| -Subscription1 | Insira a ID da assinatura do Azure da primeira assinatura que você registrou para um período de retenção obrigatório. | p12ld534-1234-5678-9876-g3def67j9k12 |
| -VaultName1 | Insira o nome do cofre do primeiro Azure Key Vault você configurou para a Chave do Cliente. | EXOVault1 |
| -KeyName1 | Insira o nome da primeira chave de Key Vault do Azure no primeiro cofre de chaves do Azure que você configurou para a Chave do Cliente. | EXOKey1 |
| -Subscription2 | Insira a ID da assinatura do Azure da segunda assinatura que você registrou para um período de retenção obrigatória. | 21k9j76f-ed3g-6789-8765-43215dl21pbd |
| -VaultName2 | Insira o nome do cofre do segundo Azure Key Vault você configurou para a Chave do Cliente. | EXOVault2 |
| -KeyName2 | Insira o nome da segunda Chave Key Vault do Azure no segundo cofre de chaves do Azure que você configurou para a Chave do Cliente. | EXOKey2 |
| -Modo de integração | "Preparar" – A configuração necessária é feita em seus recursos aplicando o MandatoryRetentionPeriod em suas assinaturas. Isso pode levar até 1 hora para ser aplicado. "Validar" – valide somente os recursos de assinatura do Azure Key Vault e do Azure, não integre a Chave do Cliente. Esse modo será útil se você quiser verificar todos os seus recursos, mas optar por integrar oficialmente mais tarde. "Habilitar" – Valide os recursos do Cofre de Chaves do Azure e da Assinatura e habilite a Chave do Cliente dentro do locatário se a validação for bem-sucedida. |
Preparar or Habilitar or Validar |
Faça logon com suas credenciais de administrador de locatário
Uma janela do navegador é aberta solicitando que você faça logon com sua conta privilegiada. Faça logon usando as credenciais apropriadas.
Exibir os detalhes de validação e habilitação
Depois de fazer logon com êxito, navegue até a janela do PowerShell. Execute a variável com a qual compactou o cmdlet de integração para obter uma saída da sua solicitação de integração.
$request
Você recebe uma saída com a ID, CreatedDate, ValidationResult e EnablementResult.
| Saída | Descrição |
|---|---|
| ID | ID associada à solicitação de integração criada. |
| CreatedDate | Data de quando a solicitação foi criada. |
| Validationresult | Indicador de validação bem-sucedida/mal sucedida. |
| EnablementResult | Indicador de habilitação bem-sucedida/mal sucedida. |
Um locatário pronto para usar a Chave do Cliente tem "êxito" em "ValidationResult" e "EnablementResult", conforme mostrado:
Prossiga para Próximas Etapas se o locatário tiver integrado com êxito à Chave do Cliente.
Solução de problemas de detalhes de validações com falha
Se a validação estiver falhando para o locatário, as etapas a seguir serão um guia para investigar a causa raiz de recursos mal configurados. Para marcar quais recursos configurados incorretamente estão fazendo com que a validação falhe, armazene o resultado de integração em uma variável e navegue até seus resultados de validação.
- Localize a ID de solicitação da solicitação que você gostaria de investigar listando todas as solicitações.
Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID>
- Armazene a solicitação de integração específica na variável '$request'
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID>
- Execute o seguinte comando:
$request.FailedValidations
O valor esperado de cada regra aparece na coluna "ExpectedValue" enquanto o valor real é exibido na coluna "ActualValue". A coluna "escopo" mostra os cinco primeiros caracteres da ID da assinatura, permitindo que você determine qual assinatura e cofre de chaves subjacentes tiveram o problema. A seção "Detalhes" fornece uma descrição da causa raiz do erro e como lidar com ele.
| RuleName | Descrição | Solução |
|---|---|---|
| MandatoryRetentionPeriodState | Retorna o estado do MandatoryRetentionPeriod | Verifique o estado da sua assinatura |
| SubscriptionInRequestOrganization | Sua assinatura do Azure está dentro de sua organização. | Verifique se a assinatura fornecida foi criada dentro do locatário indicado |
| VaultExistsinSubscription | O Key Vault do Azure está na assinatura do Azure. | Verifique se o Key Vault do Azure foi criado na assinatura indicada |
| SubscriptionUniquePerScenario | Sua assinatura é exclusiva para a Chave do Cliente. | Verifique se você está usando duas IDs de assinatura exclusivas |
| SubscriptionsCountPerScenario | Você tem duas assinaturas por cenário. | Verifique se você está usando duas assinaturas na solicitação |
| RecoveryLevel | Seu nível de recuperação de chave AKV é Recuperável+ProtectedSubscription. | Verifique o nível de recuperação de suas chaves |
| KeyOperationsSupported | O cofre de chaves tem as permissões necessárias para a carga de trabalho apropriada. | Atribuir as permissões adequadas às Chaves AKV |
| KeyNeverExpires | Sua chave AKV não tem uma data de validade. | Verificar a expiração de suas chaves |
| KeyAccessPermissions | Sua chave AKV tem as permissões de acesso necessárias | Atribuir as permissões adequadas às Chaves AKV |
| OrganizationHasRequiredServicePlan | Sua organização tem o plano de serviço correto para usar a Chave do Cliente. | Verifique se o locatário tem as licenças necessárias |
Verificando validações passadas
Para marcar para ver quais validações foram passadas, execute os seguintes comandos:
- Armazene a solicitação de integração específica na variável '$request'
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID>
- Execute o seguinte comando:
$request.PassedValidations
Integrar à chave do cliente usando o método Herdado
Se você tiver um locatário do governo ou quiser habilitar a Customer Key para SharePoint e OneDrive, depois de concluir todas as etapas para configurar seus Cofres de Chaves do Azure e assinaturas, entre em contato com o Microsoft Alias correspondente para integrar manualmente. Ignore esta seção se você usou o Serviço de Integração de Chaves do Cliente e vá para Próximas Etapas.
Registrar assinaturas do Azure para usar um período de retenção obrigatório
Importante
Antes de entrar em contato com a equipe do Microsoft 365, você deve fazer as etapas a seguir para cada assinatura do Azure que você usa com a Chave do Cliente. Verifique se você tem o módulo Azure PowerShell Az instalado antes de começar.
Entre com Azure PowerShell. Para obter instruções, consulte Entrar com Azure PowerShell.
Execute o cmdlet Register-AzProviderFeature para registrar suas assinaturas para usar um período de retenção obrigatório. Conclua essa ação para cada assinatura.
Set-AzContext -SubscriptionId <SubscriptionId> Register-AzProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources
Entre em contato com o Microsoft Alias correspondente
Para habilitar a Chave do Cliente para Exchange Online ou Chave do Cliente para várias cargas de trabalho do Microsoft 365, entre em contato com m365-ck@service.microsoft.com.
Para habilitar a Chave do Cliente para atribuir DEPs para criptografar o conteúdo do SharePoint e do OneDrive (incluindo arquivos do Teams) para todos os usuários locatários, entre em contato com spock@microsoft.com.
Inclua as seguintes informações em seu email:
Assunto: Chave do Cliente para < o nome de domínio totalmente qualificado do seu locatário>
Corpo: Inclua as IDs de solicitação do FastTrack e as IDs de assinatura para cada um dos serviços da Chave do Cliente aos quais você gostaria de estar integrado. Essas IDs de assinatura são as que você deseja concluir o período de retenção obrigatório e a saída de Get-AzProviderFeature para cada assinatura.
O SLA (Contrato de Nível de Serviço) para conclusão desse processo é de cinco dias úteis depois que a Microsoft é notificada (e verificada) de que você registrou suas assinaturas para usar um período de retenção obrigatório.
Próximas etapas
Depois de concluir as etapas deste artigo, você estará pronto para criar e atribuir DEPs. Para obter instruções, consulte Gerenciar a Chave do Cliente.
Artigos relacionados
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários