Настройка ключа клиента

С помощью ключа клиента вы управляете ключами шифрования вашей организации, а затем настраиваете Microsoft 365, чтобы использовать их для шифрования неактивных данных в центрах обработки данных Майкрософт. Другими словами, ключ клиента позволяет клиентам добавлять к ним уровень шифрования с ключами.

Настройка Azure перед использованием ключа клиента. В этой статье описаны действия, которые необходимо выполнить для создания и настройки необходимых ресурсов Azure, а затем инструкции по настройке ключа клиента. После настройки Azure вы определяете, какая политика и, следовательно, какие ключи следует назначить для шифрования данных в различных рабочих нагрузках Microsoft 365 в вашей организации. Дополнительные сведения о ключе клиента или общие сведения см. в статье о шифровании службы с помощью ключа клиента Microsoft Purview.

Важно!

Настоятельно рекомендуется следовать рекомендациям, приведенным в этой статье. Они называются TIP иIMPORTANT. Ключ клиента позволяет управлять корневыми ключами шифрования, область действия которых может быть не ниже, чем вся организация. Это означает, что ошибки, сделанные с помощью этих ключей, могут иметь широкое влияние и привести к прерыванию работы службы или потере данных безвозвратно.

Совет

Если вы не являетесь клиентом E5, вы можете бесплатно опробовать все функции уровня "Премиум" в Microsoft Purview. Используйте 90-дневную пробную версию решений Purview, чтобы узнать, как надежные возможности Purview могут помочь вашей организации управлять требованиями к безопасности данных и соответствию требованиям. Начните с центра Портал соответствия требованиям Microsoft Purview пробных версий. Сведения о регистрации и условиях пробной версии.

Перед настройкой ключа клиента

Прежде чем приступить к работе, убедитесь, что у вас есть соответствующие подписки Azure и лицензии M365/O365 для вашей организации. Необходимо использовать платные подписки Azure. Подписки, которые вы получили через бесплатную, пробную версию, спонсорское предложение, подписки MSDN и подписки с устаревшей поддержкой, не поддерживаются.

Важно!

Допустимые лицензии M365 и O365, которые предлагают ключ клиента M365:

  • Office 365 E5
  • Microsoft 365 E5
  • Соответствие требованиям Microsoft 365 E5
  • & Microsoft 365 E5 Information Protection SKU системы управления
  • Безопасность и соответствие требованиям Microsoft 365 для FLW

Существующие Office 365 Advanced Compliance лицензии будут по-прежнему поддерживаться.

Чтобы ознакомиться с основными понятиями и процедурами, описанными в этой статье, ознакомьтесь с документацией Key Vault Azure. Кроме того, ознакомьтесь с терминами, используемыми в Azure, например с Azure AD клиентом.

Если вам нужна дополнительная поддержка, кроме документации, обратитесь за помощью к microsoft Consulting Services (MCS), Premier Field Engineering (PFE) или партнеру Майкрософт. Чтобы оставить отзыв о ключе клиента, включая документацию, отправьте свои идеи, предложения и перспективы customerkeyfeedback@microsoft.com.

Общие сведения о действиях по настройке ключа клиента

Чтобы настроить ключ клиента, выполните эти задачи в указанном порядке. Остальная часть этой статьи содержит подробные инструкции для каждой задачи или ссылки на дополнительные сведения для каждого этапа процесса.

В Azure и Microsoft FastTrack:

Большинство этих задач выполняются путем удаленного подключения к Azure PowerShell. Для получения наилучших результатов используйте версию 4.4.0 или более позднюю Azure PowerShell.

Выполнение задач в Azure Key Vault и Microsoft FastTrack для ключа клиента

Выполните эти задачи в Azure Key Vault. Вам потребуется выполнить эти действия для всех deps, которые вы используете с ключом клиента.

Создание двух новых подписок Azure

Для ключа клиента требуется две подписки Azure. Корпорация Майкрософт рекомендует создавать новые подписки Azure для использования с ключом клиента. Ключи Azure Key Vault могут быть авторизоваться только для приложений в том же клиенте Azure Active Directory (Microsoft Azure Active Directory). Необходимо создать новые подписки, используя тот же клиент Azure AD, который используется в вашей организации, где будут назначены deps. Например, используйте рабочую или учебную учетную запись с правами глобального администратора в вашей организации. Подробные инструкции см . в статье о регистрации в Azure в качестве организации.

Важно!

Для ключа клиента требуется два ключа для каждой политики шифрования данных (DEP). Для этого необходимо создать две подписки Azure. Рекомендуется, чтобы у вас были отдельные члены организации, которые настраивали один ключ в каждой подписке. Эти подписки Azure следует использовать только для администрирования ключей шифрования Office 365. Это защищает организацию на случай, если один из ваших операторов случайно, намеренно или злонамеренным образом удалит или иным образом неправильно укалит ключи, за которые они отвечают.

Практические ограничения на количество подписок Azure, которые можно создать для организации, отсутствуют. Соблюдение этих рекомендаций позволит свести к минимуму влияние человеческих ошибок, помогая управлять ресурсами, используемыми ключом клиента.

Отправьте запрос на активацию ключа клиента для Office 365

После создания двух новых подписок Azure необходимо отправить соответствующий запрос на предложение ключа клиента на Microsoft FastTrack портале. Выбранные в форме предложения параметры авторизованных имен в организации критически важны и необходимы для завершения регистрации ключа клиента. Сотрудники в этих выбранных ролях в организации гарантируют подлинность любого запроса на отзыв и уничтожение всех ключей, используемых с политикой шифрования данных ключа клиента. Этот шаг потребуется выполнить один раз для каждого типа DEP с ключом клиента, который планируется использовать для вашей организации.

Команда FastTrack не предоставляет помощь с ключом клиента. Office 365 портал FastTrack позволяет отправлять форму и отслеживать соответствующие предложения для ключа клиента. После отправки запроса FastTrack обратитесь к соответствующей команде по подключению ключа клиента, чтобы начать процесс подключения.

Чтобы отправить предложение для активации ключа клиента, выполните следующие действия:

  1. Используя рабочую или учебную учетную запись с разрешениями глобального администратора в организации, войдите на Microsoft FastTrack портале.

  2. После входа выберите соответствующий домен.

  3. Для выбранного домена выберите " Развернуть" на верхней панели навигации и просмотрите список доступных предложений.

  4. Выберите карточку сведений для предложения, которое к вам относится:

    • Несколько рабочих нагрузок Microsoft 365: Выберите справку по ключу шифрования запроса для предложения Microsoft 365 .

    • Exchange Online и Skype для бизнеса: выберите справку по ключу шифрования запроса для предложения Exchange.

    • Файлы SharePoint Online, OneDrive и Teams: Выберите справку по ключу шифрования запроса для SharePoint и OneDrive для бизнеса предложения.

  5. После просмотра сведений о предложении нажмите кнопку "Перейти к шагу 2".

  6. Заполните все применимые сведения и запрашиваемые сведения в форме предложения. Обратите особое внимание на выбор сотрудников вашей организации, которым требуется авторизовать окончательное и необратимое уничтожение ключей шифрования и данных. Завершив форму, нажмите кнопку "Отправить ".

Регистрация подписок Azure для использования обязательного периода хранения

Временная или постоянная потеря корневых ключей шифрования может нарушить работу службы или даже привести к потере данных. По этой причине ресурсы, используемые с ключом клиента, требуют надежной защиты. Все ресурсы Azure, используемые с механизмами защиты ключа клиента, выходят за рамки конфигурации по умолчанию. Вы можете пометить или зарегистрировать подписки Azure на обязательный период хранения. Обязательный период хранения предотвращает немедленную и необрастимую отмену подписки Azure. Действия, необходимые для регистрации подписок Azure на обязательный период хранения, требуют совместной работы с командой Microsoft 365. Ранее обязательный период хранения иногда назывался "Не отменять". Этот процесс займет пять бизнес-дней.

Важно!

Прежде чем обращаться к команде Microsoft 365, необходимо выполнить следующие действия для каждой подписки Azure, используемой с ключом клиента. Перед началом работы убедитесь, что Azure PowerShell Az установлен.

  1. Войдите с помощью Azure PowerShell. Инструкции см. в разделе "Вход с помощью Azure PowerShell".

  2. Выполните командлет Register-AzProviderFeature, чтобы зарегистрировать подписки, чтобы использовать обязательный период хранения. Выполните это действие для каждой подписки .

    Set-AzContext -SubscriptionId <SubscriptionId>
    Register-AzProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources
    

Чтобы продолжить процесс, обратитесь к соответствующему псевдониму Майкрософт.

Примечание.

Прежде чем обращаться к соответствующему псевдониму Майкрософт, убедитесь, что запросы FastTrack на использование ключа клиента M365 завершены.

  • Чтобы включить ключ клиента для назначения DEP отдельным почтовым Exchange Online почтовым ящикам, обратитесь по электронной почтеexock@microsoft.com.

  • Чтобы включить ключ клиента для назначения deps для шифрования SharePoint Online и OneDrive для бизнеса контента (включая файлы Teams) для всех пользователей клиента, обратитесь spock@microsoft.comв службу поддержки.

  • Чтобы включить ключ клиента для назначения поставщиков службы поддержки для шифрования содержимого в нескольких рабочих нагрузках Microsoft 365 (Exchange Online, Teams, Защита информации Microsoft Purview) для всех пользователей клиента, m365-ck@service.microsoft.comобратитесь к вам.

  • Включите следующие сведения в сообщение электронной почты:

    Тема: ключ клиента для < полного доменного имени вашего клиента>

    Текст. Включите идентификаторы запросов FastTrack и идентификаторы подписок для каждой службы ключа клиента, к которой вы хотите подключиться. Эти идентификаторы подписки — это идентификаторы, которые вы хотите завершить обязательный период хранения и выходные данные Get-AzProviderFeature для каждой подписки.

Соглашение об уровне обслуживания (SLA) для завершения этого процесса — пять бизнес-дней после того, как корпорация Майкрософт уведомит (и проверит) о том, что вы зарегистрировали подписки для использования обязательного периода хранения.

Проверка состояния каждой подписки Azure

Получив уведомление от корпорации Майкрософт о завершении регистрации, проверьте состояние регистрации, выполнив команду Get-AzProviderFeature, как показано ниже. Если проверка выполняется, Get-AzProviderFeature возвращает значение Registered для свойства Состояния регистрации . Выполните этот шаг для каждой подписки .

Get-AzProviderFeature -ProviderNamespace Microsoft.Resources -FeatureName mandatoryRetentionPeriodEnabled

Совет

Прежде чем перейти к следующему, убедитесь, что для параметра RegistrationState задано значение "Зарегистрировано", как показано на рисунке ниже.

Обязательный период хранения

Создание azure уровня "Премиум Key Vault в каждой подписке

Инструкции по созданию хранилища ключей описаны в документации начало работы с помощью Azure Key Vault, которая поможет вам установить и запустить Azure PowerShell, подключиться к подписке Azure, создать группу ресурсов и создать хранилище ключей в этой группе ресурсов.

При создании хранилища ключей необходимо выбрать номер SKU: "Стандартный" или "Премиум". Номер SKU уровня "Стандартный" позволяет защитить ключи Azure Key Vault с помощью программного обеспечения ( отсутствует защита ключей аппаратного модуля безопасности (HSM), а номер SKU "Премиум" позволяет использовать модули HSM для защиты Key Vault ключей. Ключ клиента принимает хранилища ключей, использующие любой номер SKU, хотя корпорация Майкрософт настоятельно рекомендует использовать только номер SKU "Премиум". Стоимость операций с ключами любого типа совпадает, поэтому единственным различием в стоимости является стоимость в месяц для каждого ключа, защищенного модулем HSM. Дополнительные сведения Key Vault ценах.

Важно!

Используйте хранилища ключей ценовой категории "Премиум" и ключи, защищенные модулем HSM, для рабочих данных и используйте только хранилища ключей и ключи SKU уровня "Стандартный" для тестирования и проверки.

Для каждой службы Microsoft 365, с которой вы будете использовать ключ клиента, создайте хранилище ключей в каждой из двух созданных подписок Azure. Например, чтобы разрешить ключу клиента использовать deps для Exchange Online, SharePoint Online и сценариев с несколькими рабочими нагрузками, необходимо создать три пары хранилищ ключей.

Используйте соглашение об именовании для хранилищ ключей, которое отражает предполагаемое использование DEP, с которым будут связывать хранилища. Рекомендации по соглашению об именовании см. в разделе "Рекомендации" ниже.

Создайте отдельный парный набор хранилищ для каждой политики шифрования данных. Для Exchange Online область политики шифрования данных выбирается вами при назначении политики почтовому ящику. Почтовому ящику может быть назначена только одна политика, и можно создать до 50 политик. Область действия политики SharePoint Online включает все данные в организации в географическом расположении или в географическом расположении. Область действия политики с несколькими рабочими нагрузками включает все данные в поддерживаемых рабочих нагрузках для всех пользователей.

Для создания хранилищ ключей также требуется создание групп ресурсов Azure, так как хранилищам ключей требуется емкость хранилища (хотя и небольшая) и ведение журнала Key Vault, если оно включено, также создает хранимые данные. Корпорация Майкрософт рекомендует использовать отдельных администраторов для управления каждой группой ресурсов, при этом администрирование соответствует набору администраторов, которые будут управлять всеми связанными ресурсами ключа клиента.

Назначение разрешений каждому хранилищу ключей

В зависимости от реализации необходимо определить три отдельных набора разрешений для каждого хранилища ключей. Например, необходимо определить один набор разрешений для каждого из следующих элементов:

  • Администраторы хранилища ключей , которые ежедневно поддерживают управление хранилищем ключей для вашей организации. К этим задачам относятся резервное копирование, создание, получение, импорт, перечисление и восстановление.

    Важно!

    Набор разрешений, назначенных администраторам хранилища ключей, не включает разрешение на удаление ключей. Это намеренное и важное действие. Удаление ключей шифрования обычно не выполняется, так как это окончательно уничтожает данные. Рекомендуется не предоставлять это разрешение администраторам хранилища ключей по умолчанию. Вместо этого зарезервировать его для участников хранилища ключей и назначить его администратору на краткосрочной основе только после того, как будет понято четкое понимание последствий.

    Чтобы назначить эти разрешения пользователю в организации, войдите в подписку Azure с помощью Azure PowerShell. Инструкции см. в разделе "Вход с помощью Azure PowerShell".

    • Выполните Set-AzKeyVaultAccessPolicy командлет, чтобы назначить необходимые разрешения.
    Set-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user> -PermissionsToKeys create,import,list,get,backup,restore
    

    Например:

    Set-AzKeyVaultAccessPolicy -VaultName Contoso-CK-EX-NA-VaultA1 -UserPrincipalName alice@contoso.com -PermissionsToKeys create,import,list,get,backup,restore
    
  • Участники хранилища ключей, которые могут изменять разрешения на Key Vault Azure. Вам потребуется изменить эти разрешения по мере того, как сотрудники покидают вашу команду или присоединяются к команде. В редких случаях, когда администраторам хранилища ключей требуется разрешение на удаление или восстановление ключа, необходимо также изменить разрешения. Этому набору участников хранилища ключей должна быть предоставлена роль участника в хранилище ключей. Эту роль можно назначить с помощью Azure Resource Manager. Подробные инструкции см. в Role-Based контроль доступа для управления доступом к ресурсам подписки Azure. Администратор, создавший подписку, имеет этот доступ неявно и возможность назначать роль участника другим администраторам.

  • Разрешения для приложений Microsoft 365 для каждого хранилища ключей, используемой для ключа клиента, необходимо предоставить wrapKey, unwrapKey и получить разрешения для соответствующего субъекта-службы Microsoft 365.

    Чтобы предоставить разрешение субъекту-службе Microsoft 365, выполните командлет Set-AzKeyVaultAccessPolicy , используя следующий синтаксис:

    Set-AzKeyVaultAccessPolicy -VaultName <vault name> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>
    

    Где:

    • Имя хранилища — это имя созданного хранилища ключей.
    • Для Exchange Online и Skype для бизнеса замените Office 365 appID на00000002-0000-0ff1-ce00-000000000000
    • Для файлов SharePoint Online, OneDrive для бизнеса и Teams замените Office 365 appID на00000003-0000-0ff1-ce00-000000000000
    • Для политики с несколькими рабочими нагрузками (Exchange, Teams, Защита информации Microsoft Purview), которая применяется ко всем пользователям клиента, замените Office 365 appID наc066d759-24ae-40e7-a56f-027002b5d3e4

    Пример. Настройка разрешений для Exchange Online и Skype для бизнеса:

    Set-AzKeyVaultAccessPolicy -VaultName Contoso-CK-EX-NA-VaultA1 -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000
    

    Пример. Настройка разрешений для файлов SharePoint Online, OneDrive для бизнеса и Teams:

    Set-AzKeyVaultAccessPolicy -VaultName Contoso-CK-SP-NA-VaultA1 -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000
    

    Убедитесь, что get, wrapKey и unwrapKey предоставляются каждому хранилищу ключей, выполнив командлет Get-AzKeyVault.

    Get-AzKeyVault -VaultName <vault name> | fl
    

Совет

Прежде чем перейти к следующему, убедитесь, что разрешения настроены правильно для хранилища ключей. Разрешения для ключей будут возвращать wrapKey, unwrapKey, get. Обязательно исправьте разрешения для правильной службы, к которую вы подключались. Отображаемое имя для каждой службы приведено ниже.

  • Exchange Online и Skype для бизнеса: Office 365 Exchange Online
  • Файлы SharePoint Online, OneDrive и Teams: Office 365 SharePoint Online
  • Несколько рабочих нагрузок Microsoft 365: M365DataAtRestEncryption

Например, приведенный ниже фрагмент кода является примером настройки разрешений для M365DataAtRestEncryption. В приведенном ниже командлете с хранилищем с именем mmcexchangevault отобразится следующее поле.

  Get-AzKeyVault -VaultName mmcexchangevault | fl

Шифры шифрования для Exchange Online ключа клиента.

Убедитесь, что в хранилищах ключей включено обратимое удаление

При быстром восстановлении ключей с меньшей вероятностью будет происходить расширенный сбой службы из-за случайного или злонамеренного удаления ключей. Включите эту конфигурацию, называемую обратимым удалением, прежде чем использовать ключи с ключом клиента. Включение обратимого удаления позволяет восстановить ключи или хранилища в течение 90 дней после удаления, не восстанавливая их из резервной копии.

Чтобы включить обратимое удаление в хранилищах ключей, выполните следующие действия.

  1. Войдите в подписку Azure с помощью Windows PowerShell. Инструкции см. в разделе "Вход с помощью Azure PowerShell".

  2. Выполните командлет Get-AzKeyVault . В этом примере имя хранилища — это имя хранилища ключей, для которого включено обратимое удаление:

    $v = Get-AzKeyVault -VaultName <vault name>
    $r = Get-AzResource -ResourceId $v.ResourceId
    $r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
    Set-AzResource -ResourceId $r.ResourceId -Properties $r.Properties
    
  3. Убедитесь, что для хранилища ключей настроено обратимое удаление, выполнив командлет Get-AzKeyVault . Если обратимое удаление настроено правильно для хранилища ключей, свойство " Включено обратимое удаление" возвращает значение True:

    Get-AzKeyVault -VaultName <vault name> | fl
    

Совет

Прежде чем перейти к следующему, убедитесь, что включено обратимое удаление? задано значение True, как показано на рисунке ниже.

SoftDelete

Добавление ключа в каждое хранилище ключей путем создания или импорта ключа

Существует два способа добавления ключей в azure Key Vault; вы можете создать ключ непосредственно в Key Vault или импортировать ключ. Создание ключа непосредственно в Key Vault менее сложно, но импорт ключа обеспечивает полный контроль над созданием ключа. Используйте ключи RSA. Azure Key Vault не поддерживает упаковку и распаковку с помощью ключей эллиптических кривых.

Инструкции по добавлению ключа в каждое хранилище см. в разделе Add-AzKeyVaultKey.

Подробные инструкции по созданию ключа в локальной среде и его импорту в хранилище ключей см. в статье о создании и передаче ключей, защищенных модулем HSM, для Azure Key Vault. Используйте инструкции Azure, чтобы создать ключ в каждом хранилище ключей.

Проверка даты окончания срока действия ключей

Чтобы убедиться, что срок действия ключей не установлен, выполните командлет Get-AzKeyVaultKey следующим образом:

Get-AzKeyVaultKey -VaultName <vault name>

Ключ клиента не может использовать ключ с истекшим сроком действия. Попытки выполнения операций с ключом с истекшим сроком действия завершались сбоем и, возможно, привести к сбою службы. Настоятельно рекомендуется, чтобы у ключей, используемых с ключом клиента, не было даты окончания срока действия. Дата окончания срока действия после задания не может быть удалена, но может быть изменена на другую дату. Если необходимо использовать ключ с заданным сроком действия, измените значение срока действия на 31.01.9999. Ключи с датой окончания срока действия, отличной от 31.01.9999, не будут проходить проверку Microsoft 365.

Чтобы изменить дату окончания срока действия, для которой задано любое значение, отличное от 31.01.9999, выполните командлет Update-AzKeyVaultKey следующим образом:

Update-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

Осторожностью

Не задайте даты окончания срока действия ключей шифрования, которые вы используете с ключом клиента.

Проверка уровня восстановления ключей

Microsoft 365 требует, чтобы для подписки Azure Key Vault было задано значение "Не отменять" и что для ключей, используемых ключом клиента, включено обратимое удаление. Вы можете проверить параметры подписок, просмотрев уровень восстановления ключей.

Чтобы проверить уровень восстановления ключа, в Azure PowerShell выполните командлет Get-AzKeyVaultKey следующим образом:

(Get-AzKeyVaultKey -VaultName <vault name> -Name <key name>).Attributes

Совет

Прежде чем перейти к следующему, если свойство уровня восстановления возвращает что-либо, отличное от значения Recoverable+ProtectedSubscription, убедитесь, что вы зарегистрировали функцию MandatoryRetentionPeriodEnabled в подписке и что в каждом из хранилищ ключей включено обратимое удаление.

Чертежа

Резервное копирование azure Key Vault

Сразу после создания или изменения ключа выполните резервное копирование и сохраните копии резервной копии как в сети, так и в автономном режиме. Чтобы создать резервную копию ключа azure Key Vault, выполните командлет Backup-AzKeyVaultKey.

Получение URI для каждого ключа Key Vault Azure

После настройки хранилищ ключей и добавления ключей выполните следующую команду, чтобы получить URI для ключа в каждом хранилище ключей. Эти URI будут использоваться при создании и назначении каждого deP позже, поэтому сохраните эти сведения в безопасном месте. Выполните эту команду один раз для каждого хранилища ключей.

В Azure PowerShell:

(Get-AzKeyVaultKey -VaultName <vault name>).Id

Дальнейшие действия

После выполнения действий, описанных в этой статье, можно приступать к созданию и назначению dePs. Инструкции см. в разделе "Управление ключом клиента".