Partilhar via

Gerenciar Chave de Cliente

Depois de configurar a Chave de Cliente, o passo seguinte é criar e atribuir uma ou mais políticas de encriptação de dados (DEPs). Depois de atribuído, pode gerir as suas chaves e políticas de encriptação, conforme descrito neste artigo.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.

A Chave de Cliente do Microsoft Purview também suporta Windows 365 PCs na Cloud. Para obter mais informações, veja Microsoft Purview Customer Key for Windows 365 Cloud PCs (Chave de Cliente do Microsoft Purview para PCs na Cloud do Windows 365).

Para saber mais sobre os conceitos e a configuração da Chave do Cliente, veja os artigos relacionados no final desta página.

Criar um DEP para utilização com várias cargas de trabalho para todos os utilizadores inquilinos

Antes de continuar, conclua os passos de configuração da Chave de Cliente. Para obter orientações, veja Configurar a Chave de Cliente.

Para criar o DEP, precisa dos URIs Key Vault obtidos durante a configuração. Veja Obter o URI para cada chave de Key Vault do Azure para obter instruções.

  1. No seu computador local, inicie sessão com uma conta escolar ou profissional com permissões de Administrador de Conformidade e ligue-se ao Exchange Online PowerShell.

  2. Execute o seguinte cmdlet para criar uma política de encriptação de dados de várias cargas de trabalho:

    New-M365DataAtRestEncryptionPolicy -Name <PolicyName> -AzureKeyIDs <KeyVaultURI1, KeyVaultURI2> [-Description <String>]

    Definições de parâmetros:

    • -Name: o nome que pretende utilizar para a política. Não são permitidos espaços.

    • -AzureKeyIDs: URIs das duas chaves de Key Vault do Azure utilizadas na política, separadas por vírgulas.

      Exemplo: "https://contosoCentralUSvault1.vault.azure.net/keys/Key_02""https://contosoWestUSvault1.vault.azure.net/keys/Key_01"

    • Description (opcional): uma descrição legível por humanos da política.

      Exemplo: "Policy for multiple workloads for all users in the tenant."

    New-M365DataAtRestEncryptionPolicy -Name "Contoso_Global" -AzureKeyIDs "https://contosoWestUSvault1.vault.azure.net/keys/Key_01","https://contosoCentralUSvault1.vault.azure.net/keys/Key_02" -Description "Policy for multiple workloads for all users in the tenant."

Atribuir política de várias cargas de trabalho

Depois de criar uma política de encriptação de dados (DEP) de várias cargas de trabalho, atribua-a com o Set-M365DataAtRestEncryptionPolicyAssignment cmdlet . Depois de atribuído, o Microsoft 365 encripta os dados da sua organização com as chaves especificadas no DEP.

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName or ID>

Substitua pelo <PolicyName or ID> nome ou GUID da política.

Exemplo:

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy "Contoso_Global"

Windows 365 PCs na Cloud:

Depois de atribuir a política, aguarde 3 a 4 horas para que o centro de administração do Intune reflita a atualização. Depois de atualizado, siga os passos no centro de administração para encriptar PCs na Cloud existentes.

Para obter mais informações, veja Configurar Chaves de Cliente para os seus PCs na Cloud Windows 365.

Criar um DEP para utilização com caixas de correio do Exchange

Antes de começar, conclua os passos de configuração necessários. Para obter detalhes, veja Configurar a Chave de Cliente. Para criar o DEP, precisará dos URIs do Azure Key Vault obtidos durante a configuração. Para obter mais informações, veja Obter o URI para cada chave de Key Vault do Azure.

Para criar um DEP para caixas de correio do Exchange, siga estes passos:

  1. No seu computador local, através de uma conta escolar ou profissional que tenha permissões de administrador do Exchange, ligue-se ao Exchange Online PowerShell.

  2. Crie um DEP com o New-DataEncryptionPolicy cmdlet :

    New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>
Parâmetro Descrição Exemplo
-Name Introduza um nome para a política. Os nomes não podem conter espaços. USA_mailboxes
-AzureKeyIDs Introduza os URIs de duas chaves em Cofres de Chaves do Azure separados. Separe-as com uma vírgula e um espaço. https://contosoEastUSvault01.vault.azure.net/keys/USA_key_01, https://contosoEastUS2vault01.vault.azure.net/keys/USA_key_02
-Description Uma descrição fácil de utilizar que ajuda a identificar a finalidade da política. "Root key for mailboxes in USA and its territories"

Exemplo:

New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault02.vault.azure.net/keys/USA_key_01, https://contoso_CentralUSvault02.vault.azure.net/keys/USA_Key_02

Para obter informações sobre sintaxe e parâmetros, veja New-DataEncryptionPolicy.

Atribuir um DEP a uma caixa de correio

Atribua o DEP com o Set-Mailbox cmdlet . Depois de atribuir a política, o Microsoft 365 encripta a caixa de correio com as chaves identificadas no DEP.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>
Parâmetro Descrição
-Identity Especifica a caixa de correio a que atribuir o DEP. Utilize um identificador de utilizador válido.
-DataEncryptionPolicy Nome da Política de Encriptação de Dados (DEP) a atribuir à caixa de correio.

Para obter mais informações, consulte Set-Mailbox.

Atribuir um DEP a caixas de correio híbridas

Em ambientes híbridos, atribua um DEP a dados de caixa de correio no local sincronizados com o cmdlet Set-MailUser.

Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>
Parâmetro Descrição
-Identity Especifica o utilizador de correio (utilizador com capacidade de correio) ao qual atribuir o DEP.
-DataEncryptionPolicy Nome da Política de Encriptação de Dados (DEP) a atribuir ao utilizador de correio.

Para obter mais informações, consulte Set-MailUser.

Para saber mais sobre o suporte de caixa de correio híbrida, consulte Caixas de correio no local que utilizam o Outlook para iOS e Android com Autenticação Moderna híbrida.

Atribuir um DEP antes de migrar uma caixa de correio para a nuvem

Atribuir uma Política de Encriptação de Dados (DEP) antes de migrar uma caixa de correio garante que os conteúdos da caixa de correio são encriptados durante a migração. Este método é mais eficiente do que atribuir o DEP após a migração, o que pode resultar em atrasos enquanto o processo de encriptação é concluído.

  1. Através de uma conta escolar ou profissional que tenha as permissões adequadas na sua organização, ligue-se ao Exchange Online PowerShell.

  2. Execute o seguinte comando:

    Set-MailUser -Identity <GeneralMailboxOrMailUserIdParameter> -DataEncryptionPolicy <DataEncryptionPolicyIdParameter>
Parâmetro Descrição
-Identity Especifica a caixa de correio do utilizador (ou utilizador com capacidade de correio)
-DataEncryptionPolicy Nome ou ID da política de encriptação de dados a aplicar.

Para obter mais informações, consulte Set-MailUser.

Ver os DEPs que criou para caixas de correio do Exchange

Pode ver todas as Políticas de Encriptação de Dados (DEPs) criadas para caixas de correio do Exchange com o PowerShell.

  1. Através de uma conta escolar ou profissional que tenha as permissões adequadas na sua organização, ligue-se ao Exchange Online PowerShell.

  2. Para devolver todos os DEPs na sua organização, execute o seguinte comando:

    Get-DataEncryptionPolicy

    Para obter informações detalhadas sobre o cmdlet, veja Get-DataEncryptionPolicy.

Determinar o DEP atribuído a uma caixa de correio

Para determinar o DEP atribuído a uma caixa de correio, utilize o cmdlet Get-MailboxStatistics. O cmdlet devolve um identificador exclusivo (GUID).

  1. Através de uma conta escolar ou profissional que tenha as permissões adequadas na sua organização, ligue-se ao Exchange Online PowerShell.

    Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID
Parâmetro Descrição
-Identity Especifica a caixa de correio do utilizador (ou utilizador com capacidade de correio)
DataEncryptionPolicyID Devolve o GUID do DEP.

Para obter mais informações sobre o cmdlet Get-MailboxStatistics, consulte Get-MailboxStatistics.

  1. Execute o cmdlet Get-DataEncryptionPolicy para descobrir o nome amigável do DEP ao qual a caixa de correio está atribuída.

    Get-DataEncryptionPolicy <GUID>

    Em que GUID é o GUID devolvido pelo cmdlet Get-MailboxStatistics no passo anterior.

Criar um DEP para utilização com o SharePoint e o OneDrive

Antes de começar, certifique-se de que conclui os passos de configuração necessários. Para obter mais informações, veja Configurar a Chave de Cliente.

Para configurar a Chave de Cliente para o SharePoint e o OneDrive, utilize o SharePoint PowerShell.

Acerca das Políticas de Encriptação de Dados:

Uma Política de Encriptação de Dados (DEP) está associada a duas chaves armazenadas em Cofres de Chaves do Azure separados. Estas chaves têm de residir em diferentes regiões do Azure para evitar a georredundância.

  • Inquilinos geográficos únicos: pode criar um DEP para proteger todos os dados na sua área geográfica.

  • Inquilinos multigeográficos: crie um DEP por geográfico, cada um com chaves diferentes.

Precisa dos URIs de Key Vault para ambas as chaves. Para obter detalhes, veja Obter o URI para cada chave de Key Vault do Azure.

  1. No seu computador local, através de uma conta escolar ou profissional que tenha as permissões adequadas na sua organização, ligue-se ao SharePoint PowerShell.

  2. Utilize o Register-SPODataEncryptionPolicy cmdlet para registar o DEP.

    Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>

    Exemplo:

    Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'stageRG3vault' -PrimaryKeyName 'SPKey3' -PrimaryKeyVersion 'f635a23bd4a44b9996ff6aadd88d42ba' -SecondaryKeyVaultName 'stageRG5vault' -SecondaryKeyName 'SPKey5' -SecondaryKeyVersion '2b3e8f1d754f438dacdec1f0945f251a'

    Se utilizar o HSM Gerido: utilize o URL completo da chave , incluindo a versão para cada cofre.

    Register-SPODataEncryptionPolicy -PrimaryKeyVaultURL <PrimaryKeyVaultURL> -SecondaryKeyVaultURL <SecondaryKeyVaultURL>

    Exemplo:

    Register-SPODataEncryptionPolicy -PrimaryKeyVaultURL https://M365-Test.managedhsm.azure.net/keys/Sharepoint-01/aaaa5513974f4780ea67b2f5d8c3dd -SecondaryKeyVaultURL https://M365-Test-02.managedhsm.azure.net/keys/Sharepoint-02/7d8f30343bed4e44a57225bae2012388

    Observação

    Assim que o DEP for registado, a encriptação dos dados geográficos é iniciada. Este processo pode demorar algum tempo.

Para obter a referência completa do cmdlet, veja Register-SPODataEncryptionPolicy.

Verifique se a encriptação com a Chave de Cliente está concluída

Depois de implementar uma Chave de Cliente, atribuir uma nova política de encriptação de dados (DEP) ou migrar uma caixa de correio, siga os passos nesta secção para confirmar que a encriptação está concluída.

Verificar se a encriptação está concluída para caixas de correio do Exchange

Encriptar uma caixa de correio pode demorar algum tempo. Para a encriptação pela primeira vez, a caixa de correio tem de ser totalmente movida para uma nova base de dados antes de a encriptação poder ser concluída.

Para marcar se uma caixa de correio estiver encriptada, utilize o Get-MailboxStatistics cmdlet :

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

A IsEncrypted propriedade devolve true se a caixa de correio estiver encriptada e falsa se não for.

O tempo necessário para concluir os movimentos da caixa de correio depende do número de caixas de correio que estão a ser encriptadas pela primeira vez e dos respetivos tamanhos. Se uma caixa de correio não estiver encriptada no prazo de uma semana após a atribuição da política de encriptação de dados (DEP), contacte Suporte da Microsoft.

Observação

O New-MoveRequest cmdlet já não está disponível para movimentações de caixas de correio locais. Para obter mais informações, veja este anúncio.

Verificar se a encriptação está concluída para o SharePoint e o OneDrive

Verifique a status de encriptação ao executar o cmdlet Get-SPODataEncryptionPolicy da seguinte forma:

   Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>

O resultado deste cmdlet inclui:

  • URI da chave primária

    O URI da chave primária.

  • URI da chave secundária

    O URI da chave primária.

  • Estado de Encriptação da área geográfica

    O status pode ser um dos seguintes estados:

    • Não registado: A encriptação da Chave de Cliente não é aplicada.
    • A registar: A encriptação da Chave de Cliente está em curso. Se a chave da área geográfica estiver a ser registada, a saída inclui a percentagem de sites encriptados para que possa monitorizar o progresso.
    • Registado: A encriptação da Chave de Cliente está concluída. Todos os ficheiros em todos os sites são encriptados.
    • Sem interrupção: Está em curso um lançamento de chaves. Se a chave da área geográfica estiver a ser implementada, a saída inclui a percentagem de implementações de sites concluídas para que possa monitorizar o progresso.

  • Sites integrados

    A percentagem de sites integrados para encriptação.

Obter detalhes sobre os DEPs que utiliza com várias cargas de trabalho

Para ver detalhes sobre os DEPs que criou para utilização com várias cargas de trabalho, siga estes passos:

  1. No seu computador local, utilize uma conta escolar ou profissional com permissões de Administrador de Conformidade para ligar ao Exchange Online PowerShell.

  2. Execute o seguinte comando para listar todos os DEPs de várias cargas de trabalho na sua organização:

    Get-M365DataAtRestEncryptionPolicy

  3. Para ver detalhes sobre um DEP específico, utilize o seguinte comando. Este exemplo mostra informações para o DEP com o nome Contoso_Global:

    Get-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global"

Obter informações de atribuição de DEP de várias cargas de trabalho

Para identificar que DEP está atualmente atribuído ao seu inquilino, siga estes passos:

  1. No seu computador local, utilize uma conta escolar ou profissional com permissões de Administrador de Conformidade para ligar ao Exchange Online PowerShell.

  2. Execute o seguinte comando:

    Get-M365DataAtRestEncryptionPolicyAssignment

Desativar um DEP de várias cargas de trabalho

Antes de desativar um DEP de várias cargas de trabalho, anula a atribuição do DEP a partir de cargas de trabalho no seu inquilino. Para desativar um DEP utilizado com várias cargas de trabalho, conclua estes passos:

  1. No seu computador local, utilize uma conta escolar ou profissional com permissões de Administrador de Conformidade para ligar ao Exchange Online PowerShell.

  2. Execute o seguinte comando, substituindo PolicyName pelo nome ou ID exclusivo da política (por exemplo, Contoso_Global):

    Set-M365DataAtRestEncryptionPolicy -[Identity] "PolicyName" -Enabled $false

    Exemplo:

    Set-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global" -Enabled $false

Restaurar chaves de Key Vault do Azure

Antes de efetuar um restauro, utilize a funcionalidade de eliminação recuperável para recuperar chaves, se possível. Todas as chaves utilizadas com a Chave de Cliente têm de ter a eliminação recuperável ativada. As funções de eliminação recuperável, como uma reciclagem, permitem-lhe recuperar chaves eliminadas até 90 dias sem precisar de um restauro completo.

O restauro de chaves só deve ser necessário em casos raros ou excecionais, por exemplo, se uma chave ou um cofre de chaves for permanentemente perdido.

Para restaurar uma chave com Azure PowerShell, execute o seguinte comando:

Restore-AzKeyVaultKey -VaultName <vault name> -InputFile <filename>

Exemplo:

Restore-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Importante

Se o cofre de chaves já tiver uma chave com o mesmo nome, a operação de restauro falhará. O Restore-AzKeyVaultKey cmdlet restaura todas as versões da chave, incluindo os respetivos metadados e nome.

Gerir permissões do cofre de chaves

Pode utilizar Azure PowerShell para ver ou remover permissões do cofre de chaves. Por exemplo, poderá ter de remover o acesso de um utilizador quando este sair da equipa.

Dica

Para começar a utilizar Azure PowerShell, consulte Descrição geral do Azure PowerShell.

Para ver as permissões de um cofre de chaves, execute o seguinte comando:

Get-AzKeyVault -VaultName <vault name>

Exemplo:

Get-AzKeyVault -VaultName Contoso-O365EX-NA-VaultA1

Para remover o acesso de um utilizador a um cofre de chaves, utilize o seguinte comando:

Remove-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user>

Exemplo:

Remove-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -UserPrincipalName alice@contoso.com

Reverter da Chave de Cliente para chaves geridas pela Microsoft

Se necessário, pode reverter a utilizar chaves geridas pela Microsoft. Quando reverte, os seus dados são encriptados novamente com o método de encriptação predefinido suportado por cada carga de trabalho. Por exemplo, os PCs do Exchange e do Windows 365 Cloud utilizam chaves geridas pela Microsoft para encriptação predefinida.

Importante

Reverter não é o mesmo que efetuar uma remoção de dados.

  • Uma remoção de dados elimina permanentemente os dados da sua organização do Microsoft 365.
  • Uma reversão reverte a encriptação, mas não elimina quaisquer dados.
  • Não pode efetuar uma remoção de dados para uma política de várias cargas de trabalho.

Reverter da Chave de Cliente para várias cargas de trabalho

Se já não quiser utilizar a Chave de Cliente com políticas de encriptação de dados (DEPs) de várias cargas de trabalho, submeta um pedido de suporte através de Suporte da Microsoft. Inclua as seguintes informações no pedido:

  • Nome de domínio completamente qualificado (FQDN) do inquilino
  • Contacto do inquilino para o pedido de reversão
  • Motivo para descontinuar a Chave de Cliente
  • Número do incidente

Importante

Tem de manter os Azure Key Vaults (AKVs) e as chaves de encriptação com as permissões adequadas. Esta ação é necessária para que os dados possam ser reembrulhados com chaves geridas pela Microsoft.

Importante

A reversão da Chave de Cliente para várias cargas de trabalho não é suportada na Gallatin.

Reverter da Chave de Cliente para o Exchange

Se já não quiser encriptar caixas de correio individuais através de políticas de encriptação de dados ao nível da caixa de correio (DEPs), pode anular a atribuição desses DEPs a partir de todas as caixas de correio.

Para anular a atribuição de um DEP ao nível da caixa de correio, siga estes passos:

  1. Utilize uma conta escolar ou profissional que tenha as permissões necessárias Exchange Online PowerShell e ligue-se ao Exchange Online PowerShell.

  2. Execute o seguinte cmdlet.

    Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy $null

Este comando aninha a atribuição do DEP atual e encripta novamente a caixa de correio com as chaves geridas pela Microsoft predefinidas.

Observação

Não pode anular a atribuição do DEP associado às chaves geridas pela Microsoft. Se não quiser utilizar chaves geridas pela Microsoft, atribua um DEP diferente à caixa de correio.

Reverter da Chave de Cliente para o SharePoint e o OneDrive

A reversão da Chave de Cliente para as chaves geridas pela Microsoft não é suportada no SharePoint ou no OneDrive.

Revogar as chaves e iniciar o caminho de remoção de dados

Controla a revogação de todas as chaves de raiz, incluindo a chave de disponibilidade. A Chave de Cliente dá-lhe controlo sobre o processo de planeamento de saída exigido por muitas normas regulamentares. Se decidir revogar as chaves para remover dados e sair do serviço, a chave de disponibilidade é eliminada após a conclusão do processo de remoção de dados.

Esta funcionalidade só é suportada para DEPs de Chave de Cliente atribuídos a caixas de correio individuais.

O Microsoft 365 audita e valida o processo de remoção de dados. Para obter mais informações, veja o Relatório SOC 2 do SSAE 18 disponível no Portal de Confiança do Serviço.

A Microsoft também recomenda a revisão dos seguintes documentos:

Importante

A remoção de um DEP de várias cargas de trabalho não é suportada. Estas políticas encriptam dados em várias cargas de trabalho e utilizadores no seu inquilino. A remoção de tal DEP tornaria os dados em todas as cargas de trabalho inacessíveis.

Se estiver a sair totalmente dos serviços do Microsoft 365, veja como eliminar um inquilino no Microsoft Entra ID.

Revogar as Chaves de Cliente e a chave de disponibilidade do Exchange

Quando inicia o caminho de remoção de dados para o Exchange, coloca um pedido de remoção de dados permanente numa política de encriptação de dados (DEP). Esta ação elimina permanentemente os dados encriptados em todas as caixas de correio atribuídas a esse DEP.

Uma vez que o cmdlet do PowerShell funciona apenas num DEP de cada vez, considere reatribuir um único DEP a todas as caixas de correio antes de iniciar o processo de remoção de dados.

Aviso

Não utilize o caminho de remoção de dados para eliminar um subconjunto de caixas de correio. Este processo destina-se apenas a organizações que estão a sair totalmente do serviço.

Para iniciar o caminho de remoção de dados, siga estes passos:

  1. Remova as permissões de moldagem e anulação de moldagem do O365 Exchange Online dos cofres de chaves do Azure.

  2. Utilize uma conta escolar ou profissional com as permissões adequadas Exchange Online PowerShell e ligue-se ao Exchange Online PowerShell.

  3. Para cada DEP que inclua caixas de correio que pretende remover, execute o Set-DataEncryptionPolicy cmdlet:

    Set-DataEncryptionPolicy <Policy ID> -PermanentDataPurgeRequested -PermanentDataPurgeReason <Reason> -PermanentDataPurgeContact <ContactName>

    Se o comando falhar, confirme que Exchange Online permissões foram removidas de ambas as chaves no Key Vault do Azure, conforme indicado anteriormente. Depois de executar o Set-DataEncryptionPolicy cmdlet com o -PermanentDataPurgeRequested comutador, o DEP já não pode ser atribuído às caixas de correio.

  4. Contacte Suporte da Microsoft e solicite o eDocument da Remoção de Dados.

    A Microsoft envia um documento legal para confirmar e autorizar a remoção de dados. A pessoa na sua organização que foi listada como aprovador durante a integração (normalmente através do programa FastTrack) tem de assinar este documento. Normalmente, esta pessoa é um executivo ou outro representante legalmente autorizado.

  5. Depois de o seu representante assinar o documento, devolva-o à Microsoft (normalmente através de assinatura eletrónico).

    Assim que a Microsoft receber o eDocument assinado, estes executam os cmdlets necessários para concluir a remoção de dados. Este processo elimina o DEP, marca as caixas de correio afetadas para eliminação permanente e remove a chave de disponibilidade. Após a conclusão do processo, os dados são removidos, inacessíveis ao Exchange e não podem ser recuperados.

Revogar as Chaves de Cliente e a chave de disponibilidade do SharePoint e do OneDrive

A remoção de DEPs para o SharePoint e o OneDrive não é suportada na Chave de Cliente. Se estiver a sair totalmente dos serviços do Microsoft 365, pode seguir o processo documentado para eliminar o seu inquilino.

Para obter detalhes, veja como eliminar um inquilino no Microsoft Entra ID.

Migrar os Cofres de Chaves do modelo de política de acesso legado para o RBAC

Se integrou a Chave de Cliente com o modelo de política de acesso legado, siga estes passos para migrar todos os Cofres de Chaves do Azure para utilizar o controlo de acesso baseado em funções (RBAC). Para comparar os dois modelos e compreender o motivo pelo qual a Microsoft recomenda o RBAC, veja Controlo de acesso baseado em funções do Azure (RBAC do Azure) vs. políticas de acesso (legado).

Remover políticas de acesso legadas

Para remover as políticas de acesso existentes dos Cofres de Chaves, utilize o Remove-AzKeyVaultAccessPolicy cmdlet .

  1. Inicie sessão na sua subscrição do Azure com Azure PowerShell. Para obter orientações, consulte Iniciar sessão com Azure PowerShell.

  2. Execute o seguinte comando para remover o acesso do principal de Serviço do Microsoft 365 :

    Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4

  3. Execute o seguinte comando para remover o acesso do principal Exchange Online:

    Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

  4. Execute o seguinte comando para remover o acesso ao SharePoint e ao OneDrive para o principal de serviço escolar ou profissional:

    Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000

Alterar o modelo de permissão de configuração do Access

Depois de remover as políticas de acesso, atualize o modelo de permissão para cada Key Vault no portal do Azure:

  1. Na portal do Azure, navegue até à sua Key Vault.

  2. No menu esquerdo, em Definições, selecione Configuração do acesso.

  3. Em Modelo de permissão, escolha Controlo de acesso baseado em funções do Azure.

  4. Selecione Aplicar na parte inferior do ecrã.

Home Page do Key Vault

Aplicar controlo de Acesso baseado em funções do Azure

Atribuir permissões RBAC

Depois de mudar o modelo de permissão, siga os passos em Atribuir permissões a cada Key Vault para conceder as funções necessárias.