Управление ключом клиента

После настройки ключа клиента необходимо создать и назначить одну или несколько политик шифрования данных (DEP). После назначения deps вы можете управлять ключами, как описано в этой статье. Дополнительные сведения о ключе клиента см. в связанных разделах.

Совет

Если вы не являетесь клиентом E5, вы можете бесплатно опробовать все функции уровня "Премиум" в Microsoft Purview. Используйте 90-дневную пробную версию решений Purview, чтобы узнать, как надежные возможности Purview могут помочь вашей организации управлять требованиями к безопасности данных и соответствию требованиям. Начните с центра Портал соответствия требованиям Microsoft Purview пробных версий. Сведения о регистрации и условиях пробной версии.

Создание DEP для использования с несколькими рабочими нагрузками для всех пользователей клиента

Прежде чем начать, убедитесь, что вы выполнили задачи, необходимые для настройки ключа клиента. Дополнительные сведения см . в разделе "Настройка ключа клиента". Чтобы создать DEP, вам потребуются Key Vault URI, полученные во время установки. Дополнительные сведения см. в разделе "Получение URI для каждого ключа Key Vault Azure".

Чтобы создать DEP с несколькими рабочими нагрузками, выполните следующие действия.

  1. На локальном компьютере с помощью рабочей или учебной учетной записи с разрешениями глобального администратора или администратора соответствия требованиям подключитесь к Exchange Online PowerShell.

  2. Чтобы создать DEP, используйте New-M365DataAtRestEncryptionPolicy командлета.

    New-M365DataAtRestEncryptionPolicy -Name <PolicyName> -AzureKeyIDs <KeyVaultURI1, KeyVaultURI2> [-Description <String>]
    

    Где:

    • PolicyName — это имя, которое вы хотите использовать для политики. Имена не могут содержать пробелы. Например, Contoso_Global.

    • KeyVaultURI1 — это универсальный код ресурса (URI) для первого ключа в политике. Например, https://contosoWestUSvault1.vault.azure.net/keys/Key_01.

    • KeyVaultURI2 — это универсальный код ресурса (URI) для второго ключа в политике. Например, https://contosoCentralUSvault1.vault.azure.net/keys/Key_02. Разделите два URI на запятую и пробел.

    • Описание политики — это понятное описание политики, которое поможет вам запомнить, для чего предназначена политика. В описание можно включить пробелы. Например, "Корневая политика для нескольких рабочих нагрузок для всех пользователей в клиенте".

Пример.

New-M365DataAtRestEncryptionPolicy -Name "Contoso_Global" -AzureKeyIDs "https://contosoWestUSvault1.vault.azure.net/keys/Key_01","https://contosoCentralUSvault1.vault.azure.net/keys/Key_02" -Description "Policy for multiple workloads for all users in the tenant."

Назначение политики с несколькими рабочими нагрузками

Назначьте DEP с помощью Set-M365DataAtRestEncryptionPolicyAssignment командлета. После назначения политики Microsoft 365 шифрует данные с помощью ключа, определенного в DEP.

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName or ID>

Где PolicyName — это имя политики. Например, Contoso_Global.

Пример.

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy "Contoso_Global"

Создание DEP для использования с Exchange Online почтовыми ящиками

Прежде чем начать, убедитесь, что вы выполнили задачи, необходимые для настройки Azure Key Vault. Дополнительные сведения см . в разделе "Настройка ключа клиента". Вы выполните эти действия в Exchange Online PowerShell.

DEP связан с набором ключей, хранящихся в Azure Key Vault. Вы назначаете dep почтовому ящику в Microsoft 365. Затем Microsoft 365 будет использовать ключи, указанные в политике, для шифрования почтового ящика. Чтобы создать DEP, вам потребуются Key Vault URI, полученные во время установки. Дополнительные сведения см. в разделе "Получение URI для каждого ключа Key Vault Azure".

Помните! При создании DEP необходимо указать два ключа в двух разных хранилищах ключей Azure. Создайте эти ключи в двух отдельных регионах Azure, чтобы обеспечить геоизбыточность.

Чтобы создать DEP для использования с почтовым ящиком, выполните следующие действия.

  1. На локальном компьютере с помощью рабочей или учебной учетной записи с правами глобального администратора или администратора Exchange Online в организации подключитесь к Exchange Online PowerShell.

  2. Чтобы создать DEP, используйте командлет New-DataEncryptionPolicy, введя следующую команду.

    New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>
    

    Где:

    • PolicyName — это имя, которое вы хотите использовать для политики. Имена не могут содержать пробелы. Например, США_mailboxes.

    • Описание политики — это понятное описание политики, которое поможет вам запомнить, для чего предназначена политика. В описание можно включить пробелы. Например, "Корневой ключ для почтовых ящиков в США и его территориях".

    • KeyVaultURI1 — это универсальный код ресурса (URI) для первого ключа в политике. Например, https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.

    • KeyVaultURI2 — это универсальный код ресурса (URI) для второго ключа в политике. Например, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02. Разделите два URI на запятую и пробел.

    Пример.

    New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault02.vault.azure.net/keys/USA_key_01, https://contoso_CentralUSvault02.vault.azure.net/keys/USA_Key_02
    

Подробные сведения о синтаксисе и параметрах см. в разделе New-DataEncryptionPolicy.

Назначение dep почтовому ящику

Назначьте dep почтовому ящику с помощью Set-Mailbox командлета. После назначения политики Microsoft 365 может зашифровать почтовый ящик с помощью ключа, определенного в DEP.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

Где MailboxIdParameter указывает почтовый ящик пользователя. Дополнительные сведения о командлете Set-Mailbox см. в разделе Set-Mailbox.

В гибридных средах можно назначить dep локальным данным почтовых ящиков, которые синхронизируются с Exchange Online клиента. Чтобы назначить DEP этим синхронизированным данным почтового ящика, используйте Set-MailUser командлета. Дополнительные сведения о данных почтовых ящиков в гибридной среде см. в локальных почтовых ящиках, использующих Outlook для iOS и Android с гибридной современной проверкой подлинности.

Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>

Где MailUserIdParameter указывает пользователя почты (также известного как пользователь с поддержкой почты). Дополнительные сведения о командлете Set-MailUser см. в разделе Set-MailUser.

Создание DEP для использования с файлами SharePoint Online, OneDrive для бизнеса и Teams

Прежде чем начать, убедитесь, что вы выполнили задачи, необходимые для настройки Azure Key Vault. Дополнительные сведения см . в разделе "Настройка ключа клиента".

Чтобы настроить ключ клиента для файлов SharePoint Online, OneDrive для бизнеса и Teams, выполните эти действия в SharePoint Online PowerShell.

Вы связываете DEP с набором ключей, хранящихся в Azure Key Vault. DeP применяется ко всем данным в одном географическом расположении, также называемом геообъектом. Если вы используете функцию с поддержкой нескольких регионов Office 365, можно создать по одному DEP для каждого географического региона с возможностью использования разных ключей для каждого географического региона. Если вы не используете несколько регионов, вы можете создать одну службу DEP в организации для использования с файлами SharePoint Online, OneDrive для бизнеса и Teams. Microsoft 365 использует ключи, определенные в DEP, для шифрования данных в этом географическом регионе. Чтобы создать DEP, вам потребуются Key Vault URI, полученные во время установки. Дополнительные сведения см. в разделе "Получение URI для каждого ключа Key Vault Azure".

Помните! При создании DEP необходимо указать два ключа в двух разных хранилищах ключей Azure. Создайте эти ключи в двух отдельных регионах Azure, чтобы обеспечить геоизбыточность.

Чтобы создать DEP, необходимо использовать SharePoint Online PowerShell.

  1. На локальном компьютере, используя рабочую или учебную учетную запись с разрешениями глобального администратора в организации, подключитесь к SharePoint Online PowerShell.

  2. В Microsoft Office SharePoint Online Management Shell выполните командлет Register-SPODataEncryptionPolicy следующим образом:

    Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>
    

    Пример.

    Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'stageRG3vault' -PrimaryKeyName 'SPKey3' -PrimaryKeyVersion 'f635a23bd4a44b9996ff6aadd88d42ba' -SecondaryKeyVaultName 'stageRG5vault' -SecondaryKeyName 'SPKey5' -SecondaryKeyVersion '2b3e8f1d754f438dacdec1f0945f251a'
    

    При регистрации DEP шифрование начинается с данных в географическом регионе. Шифрование может занять некоторое время. Дополнительные сведения об использовании этого параметра см. в разделе Register-SPODataEncryptionPolicy.

Просмотр deps, созданных для Exchange Online почтовых ящиков

Чтобы просмотреть список всех deps, созданных для почтовых ящиков, используйте Get-DataEncryptionPolicy PowerShell.

  1. Используя рабочую или учебную учетную запись с разрешениями глобального администратора в организации, подключитесь к Exchange Online PowerShell.

  2. Чтобы вернуть все deps в организации, выполните командлет Get-DataEncryptionPolicy без параметров.

    Get-DataEncryptionPolicy
    

    Дополнительные сведения о командлете Get-DataEncryptionPolicy get-DataEncryptionPolicy.

Назначение dep перед переносом почтового ящика в облако

При назначении DEP Microsoft 365 шифрует содержимое почтового ящика с помощью назначенного DEP во время миграции. Этот процесс более эффективен, чем перенос почтового ящика, назначение DEP и ожидание шифрования, что может занять несколько часов или даже дней.

Чтобы назначить dep почтовому ящику перед его переносом в Office 365, выполните командлет Set-MailUser в Exchange Online PowerShell:

  1. Используя рабочую или учебную учетную запись с разрешениями глобального администратора в организации, подключитесь к Exchange Online PowerShell.

  2. Запустите Set-MailUser командлета.

    Set-MailUser -Identity <GeneralMailboxOrMailUserIdParameter> -DataEncryptionPolicy <DataEncryptionPolicyIdParameter>
    

    Где GeneralMailboxOrMailUserIdParameter указывает почтовый ящик, а DataEncryptionPolicyIdParameter — идентификатор DEP. Дополнительные сведения о командлете Set-MailUser см. в разделе Set-MailUser.

Определение dep, назначенного почтовому ящику

Чтобы определить dep, назначенный почтовому ящику, используйте Get-MailboxStatistics командлета. Командлет возвращает уникальный идентификатор (GUID).

  1. Используя рабочую или учебную учетную запись с разрешениями глобального администратора в организации, подключитесь к Exchange Online PowerShell.

    Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID
    

    Где GeneralMailboxOrMailUserIdParameter указывает почтовый ящик, а DataEncryptionPolicyID возвращает GUID DEP. Дополнительные сведения о командлете Get-MailboxStatistics get-MailboxStatistics.

  2. Выполните Get-DataEncryptionPolicy командлет, чтобы узнать понятное имя dep, которому назначен почтовый ящик.

    Get-DataEncryptionPolicy <GUID>
    

    Где GUID — это GUID, возвращаемый командлетом Get-MailboxStatistics на предыдущем шаге.

Проверка завершения шифрования ключа клиента

Независимо от того, выполнили ли вы накат ключа клиента, назначив новый DEP или перенесенный почтовый ящик, выполните действия, описанные в этом разделе, чтобы обеспечить завершение шифрования.

Проверка завершения шифрования для Exchange Online почтовых ящиков

Шифрование почтового ящика может занять некоторое время. Для первого шифрования почтовый ящик также должен полностью перемещаться из одной базы данных в другую, прежде чем служба сможет зашифровать почтовый ящик.

Используйте командлет Get-MailboxStatistics, чтобы определить, зашифрован ли почтовый ящик.

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

Свойство IsEncrypted возвращает значение true , если почтовый ящик зашифрован, и значение false , если почтовый ящик не зашифрован. Время завершения перемещения почтовых ящиков зависит от количества почтовых ящиков, которым вы назначаете DEP в первый раз, и от размера почтовых ящиков. Если почтовые ящики не были зашифрованы через неделю с момента назначения DEP, обратитесь в корпорацию Майкрософт.

Командлет New-MoveRequest больше не доступен для перемещения локальных почтовых ящиков. Дополнительные сведения см. в этом объявлении.

Проверка завершения шифрования для файлов SharePoint Online, OneDrive для бизнеса и Teams

Проверьте состояние шифрования, выполнив командлет Get-SPODataEncryptionPolicy следующим образом:

   Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>

Выходные данные этого командлета включают в себя:

  • URI первичного ключа.

  • Универсальный код ресурса (URI) вторичного ключа.

  • Состояние шифрования для географического региона. Возможные состояния:

    • Незарегистрированных: Шифрование ключа клиента еще не применено.

    • Регистрации: Шифрование ключа клиента было применено, и ваши файлы находятся в процессе шифрования. Если ключ для геообъекта регистрируется, вы также увидите сведения о том, какой процент сайтов в геообъекте завершен, чтобы можно было отслеживать ход шифрования.

    • Зарегистрированных: Было применено шифрование ключа клиента, и все файлы на всех сайтах были зашифрованы.

    • Прокатки: Выполняется накат ключа. Если ключ для геообъекта скользящий, вы также увидите сведения о том, какой процент сайтов завершил операцию свертки ключей, чтобы можно было отслеживать ход выполнения.

  • Он также выводит процент подключенных сайтов.

Получение сведений о deP, которые вы используете с несколькими рабочими нагрузками

Чтобы получить сведения обо всех созданных вами dep для использования с несколькими рабочими нагрузками, выполните следующие действия:

  1. На локальном компьютере с помощью рабочей или учебной учетной записи с разрешениями глобального администратора или администратора соответствия требованиям подключитесь к Exchange Online PowerShell.

    • Чтобы вернуть список всех нескольких рабочих нагрузок DEP в организации, выполните следующую команду.

      Get-M365DataAtRestEncryptionPolicy
      
    • Чтобы получить сведения о конкретном DEP, выполните следующую команду. В этом примере возвращаются подробные сведения о dep с именем Contoso_Global.

      Get-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global"
      

Получение сведений о назначении DEP с несколькими рабочими нагрузками

Чтобы узнать, какая служба DEP в настоящее время назначена вашему клиенту, выполните следующие действия.

  1. На локальном компьютере с помощью рабочей или учебной учетной записи с разрешениями глобального администратора или администратора соответствия требованиям подключитесь к Exchange Online PowerShell.

  2. Введите эту команду.

    Get-M365DataAtRestEncryptionPolicyAssignment
    

Отключение DEP с несколькими рабочими нагрузками

Перед отключением deP с несколькими рабочими нагрузками отмените назначение DEP рабочим нагрузкам в клиенте. Чтобы отключить DEP, используемый с несколькими рабочими нагрузками, выполните следующие действия.

  1. На локальном компьютере с помощью рабочей или учебной учетной записи с разрешениями глобального администратора или администратора соответствия требованиям подключитесь к Exchange Online PowerShell.

  2. Запустите Set-M365DataAtRestEncryptionPolicy командлета.

    Set-M365DataAtRestEncryptionPolicy -[Identity] "PolicyName" -Enabled $false
    

Где PolicyName — это имя или уникальный идентификатор политики. Например, Contoso_Global.

Пример.

Set-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global" -Enabled $false

Восстановление ключей Key Vault Azure

Перед выполнением восстановления используйте возможности восстановления, предоставляемые обратимым удалением. Для всех ключей, используемых с ключом клиента, необходимо включить обратимое удаление. Обратимое удаление действует как корзина и позволяет выполнять восстановление в течение 90 дней без необходимости восстановления. Восстановление должно требоваться только в крайних или необычных обстоятельствах, например в случае потери ключа или хранилища ключей. Если необходимо восстановить ключ для использования с ключом клиента, в Azure PowerShell выполните командлет Restore-AzureKeyVaultKey следующим образом:

Restore-AzKeyVaultKey -VaultName <vault name> -InputFile <filename>

Например:

Restore-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Если хранилище ключей уже содержит ключ с тем же именем, операция восстановления завершается ошибкой. Restore-AzKeyVaultKey восстанавливает все версии ключа и все метаданные ключа, включая имя ключа.

Управление разрешениями хранилища ключей

Доступно несколько командлетов, позволяющих просматривать и при необходимости удалять разрешения хранилища ключей. Может потребоваться удалить разрешения, например, когда сотрудник покидает команду. Для каждой из этих задач вы будете использовать Azure PowerShell. Дополнительные сведения о Azure PowerShell см. в разделе "Обзор Azure PowerShell".

Чтобы просмотреть разрешения хранилища ключей, выполните Get-AzKeyVault командлета.

Get-AzKeyVault -VaultName <vault name>

Например:

Get-AzKeyVault -VaultName Contoso-O365EX-NA-VaultA1

Чтобы удалить разрешения администратора, выполните Remove-AzKeyVaultAccessPolicy командлета:

Remove-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user>

Например:

Remove-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -UserPrincipalName alice@contoso.com

Откат ключа клиента к ключам, управляемым корпорацией Майкрософт

Если вам нужно вернуться к ключам, управляемым Корпорацией Майкрософт, вы можете. При отключении данные повторно шифруются с помощью шифрования по умолчанию, поддерживаемого каждой отдельной рабочей нагрузкой. Например, Exchange Online поддерживает шифрование по умолчанию с помощью ключей, управляемых Корпорацией Майкрософт.

Важно!

Отключение не совпадает с очисткой данных. Очистка данных окончательно удаляет данные организации из Microsoft 365, а отключение — нет. Вы не можете выполнить очистку данных для политики нескольких рабочих нагрузок.

Если вы решили больше не использовать ключ клиента для назначения поставщиков службы поддержки с несколькими рабочими нагрузками, вам потребуется отправить запрос в службу поддержки с помощью портала администрирования Майкрософт и указать в запросе следующие сведения:

  1. Полное доменное имя клиента
  2. Контакт клиента для запроса на отключение
  3. Причина отключения
  4. Включите в запрос службы примечание о том, что запрос должен быть направлен в группу ключей клиента M365 и включите инцидент. #

Вы по-прежнему должны хранить AKV-файлы с ключами клиента и ключи шифрования с соответствующими разрешениями для повторного использования данных с помощью управляемых ключей Майкрософт. Свяжитесь с вами m365-ck@service.microsoft.com , если у вас есть вопросы.

Если вы больше не хотите шифровать отдельные почтовые ящики с помощью deps уровня почтовых ящиков, вы можете отменить назначение deps уровня почтовых ящиков из всех почтовых ящиков.

Чтобы отменить назначение deps почтового ящика, используйте Set-Mailbox PowerShell.

  1. Используя рабочую или учебную учетную запись с разрешениями глобального администратора в организации, подключитесь к Exchange Online PowerShell.

  2. Запустите Set-Mailbox командлета.

    Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy $null
    

При выполнении этого командлета отменяется назначение назначенного в настоящее время DEP и повторно расшифровывается почтовый ящик с помощью DEP, связанного с ключами, управляемыми Майкрософт по умолчанию. Нельзя отменить назначение DEP, используемого управляемыми ключами Майкрософт. Если вы не хотите использовать ключи, управляемые корпорацией Майкрософт, вы можете назначить другому поставщику ключей клиента для почтового ящика.

Важно!

Откат ключа клиента к управляемым ключам Майкрософт не поддерживается для файлов SharePoint Online, OneDrive для бизнеса и Teams.

Отмена ключей и запуск процесса очистки данных

Вы управляете отзывом всех корневых ключей, включая ключ доступности. Ключ клиента обеспечивает контроль над аспектом планирования выхода из нормативных требований. Если вы решите отозвать ключи для очистки данных и выхода из службы, служба удалит ключ доступности после завершения процесса очистки данных. Это поддерживается для клиентов, которые назначаются отдельным почтовым ящикам.

Microsoft 365 выполняет аудит и проверяет путь очистки данных. Дополнительные сведения см. в отчете SSAE 18 SOC 2, доступном на портале Service Trust Portal. Кроме того, корпорация Майкрософт рекомендует следующие документы:

Очистка DEP с несколькими рабочими нагрузками не поддерживается для ключа клиента. DeP с несколькими рабочими нагрузками используется для шифрования данных в нескольких рабочих нагрузках для всех пользователей клиента. Очистка такого DEP приведет к недоступности данных из нескольких рабочих нагрузок. Если вы решили полностью выйти из служб Microsoft 365, вы можете выбрать путь удаления клиента в соответствии с задокументированным процессом. Узнайте , как удалить клиент в Azure Active Directory.

Отмените ключи клиента и ключ доступности для Exchange Online и Skype для бизнеса

При запуске пути очистки данных для Exchange Online и Skype для бизнеса запрос на постоянную очистку данных в DEP. При этом зашифрованные данные в почтовых ящиках, которым назначен этот DEP, удаляются без возможности восстановления.

Так как командлет PowerShell можно запускать только для одного deP за раз, рассмотрите возможность переназначения одного DEP всем почтовым ящикам, прежде чем инициировать путь очистки данных.

Предупреждение

Не используйте путь очистки данных для удаления подмножества почтовых ящиков. Этот процесс предназначен только для клиентов, которые выйдите из службы.

Чтобы инициировать путь очистки данных, выполните следующие действия:

  1. Удалите разрешения на перенос и распаковку для O365 Exchange Online из хранилищ ключей Azure.

  2. Используя рабочую или учебную учетную запись с правами глобального администратора в вашей организации, подключитесь к Exchange Online PowerShell.

  3. Для каждого dep, содержащего почтовые ящики, которые необходимо удалить, выполните командлет Set-DataEncryptionPolicy следующим образом.

    Set-DataEncryptionPolicy <Policy ID> -PermanentDataPurgeRequested -PermanentDataPurgeReason <Reason> -PermanentDataPurgeContact <ContactName>
    

    Если команда завершается сбоем, убедитесь, что вы удалили разрешения Exchange Online обоих ключей в Azure Key Vault как указано выше в этой задаче. После настройки параметра PermanentDataPurgeRequested с помощью Set-DataEncryptionPolicy вы больше не сможете назначать этот dep почтовым ящикам.

  4. Обратитесь в службу поддержки Майкрософт и запросите eDocument для очистки данных.

    По вашему запросу корпорация Майкрософт отправляет вам юридический документ для подтверждения и авторизации удаления данных. Пользователь в вашей организации, зарегистрировавшийся в качестве утверждающего в предложении FastTrack во время подключения, должен подписать этот документ. Как правило, это руководитель или другой назначенный сотрудник в вашей компании, который имеет юридические права подписывать документы от имени вашей организации.

  5. После того как ваш представитель подписал юридический документ, верните его в корпорацию Майкрософт (обычно с помощью подписи eDoc).

    Когда корпорация Майкрософт получит юридический документ, корпорация Майкрософт запускает командлеты для активации очистки данных, которая сначала удаляет политику, помечает почтовые ящики для окончательного удаления, а затем удаляет ключ доступности. После завершения процесса очистки данных данные были очищены, недоступны для Exchange Online и не могут быть восстановлены.

Отзыв ключей клиентов и ключа доступности для файлов SharePoint Online, OneDrive для бизнеса и Teams

Очистка файлов SharePoint, OneDrive для работы или учебы и файлов Teams не поддерживается в ключе клиента. Эти политики dep с несколькими рабочими нагрузками используются для шифрования данных в нескольких рабочих нагрузках для всех пользователей клиента. Очистка такого DEP приведет к недоступности данных из нескольких рабочих нагрузок. Если вы решили полностью выйти из служб Microsoft 365, вы можете продолжить процесс удаления клиента в соответствии с задокументированным процессом. Узнайте, как удалить клиент в Azure Active Directory.