Administrar clave de clienteManage Customer Key

Después de configurar la clave de cliente para Office 365, deberá crear y asignar una o más directivas de cifrado de datos (DEP).After you've set up Customer Key for Office 365, you'll need to create and assign one or more data encryption policies (DEP). Una vez que haya asignado los DEP, puede administrar las claves como se describe en este artículo.Once you've assigned your DEPs, you can manage your keys as described in this article. Obtenga más información sobre la clave de cliente en los temas relacionados.Learn more about Customer Key in the related topics.

Crear un DEP para su uso con varias cargas de trabajo para todos los usuarios del espacio empresarialCreate a DEP for use with multiple workloads for all tenant users

Antes de comenzar, asegúrese de que ha completado las tareas necesarias para configurar Cliente.Before you begin, ensure that you've completed the tasks required to set up Customer. Para obtener información, vea Configurar clave de cliente.For information, see Set up Customer Key. Para crear el DEP, necesita los URI de Key Vault que obtuvo durante la instalación.To create the DEP, you need the Key Vault URIs you obtained during setup. Para obtener información, vea Obtener el URI de cada clave de Azure Key Vault.For information, see Obtain the URI for each Azure Key Vault key.

Para crear un DEP con varias cargas de trabajo, siga estos pasos:To create a multi-workload DEP, follow these steps:

  1. En el equipo local, con una cuenta de trabajo o escuela que tenga permisos de administrador global o administrador de cumplimiento en la organización, conéctese a Exchange Online PowerShell en una ventana Windows PowerShell usuario.On your local computer, using a work or school account that has global administrator or compliance admin permissions in your organization, connect to Exchange Online PowerShell in a Windows PowerShell window.

  2. Para crear un DEP, use el cmdlet New-M365DataAtRestEncryptionPolicy.To create a DEP, use the New-M365DataAtRestEncryptionPolicy cmdlet.

    New-M365DataAtRestEncryptionPolicy -Name <PolicyName> -AzureKeyIDs <KeyVaultURI1, KeyVaultURI2> [-Description <String>]
    

    Donde:Where:

    • PolicyName es el nombre que desea usar para la directiva.PolicyName is the name you want to use for the policy. Los nombres no pueden contener espacios.Names can't contain spaces. Por ejemplo, Contoso_Global.For example, Contoso_Global.

    • KeyVaultURI1 es el URI de la primera clave de la directiva.KeyVaultURI1 is the URI for the first key in the policy. Por ejemplo, https://contosoWestUSvault1.vault.azure.net/keys/Key_01.For example, https://contosoWestUSvault1.vault.azure.net/keys/Key_01.

    • KeyVaultURI2 es el URI de la segunda clave de la directiva.KeyVaultURI2 is the URI for the second key in the policy. Por ejemplo, https://contosoCentralUSvault1.vault.azure.net/keys/Key_02.For example, https://contosoCentralUSvault1.vault.azure.net/keys/Key_02. Separe los dos URI por una coma y un espacio.Separate the two URIs by a comma and a space.

    • Descripción de la directiva es una descripción fácil de usar de la directiva que le ayudará a recordar para qué es la directiva.Policy Description is a user-friendly description of the policy that will help you remember what the policy is for. Puede incluir espacios en la descripción.You can include spaces in the description. Por ejemplo, "Directiva raíz para varias cargas de trabajo para todos los usuarios del espacio empresarial".For example, "Root policy for multiple workloads for all users in the tenant.".

Ejemplo:Example:

New-M365DataAtRestEncryptionPolicy -Name "Contoso_Global" -AzureKeyIDs "https://contosoWestUSvault1.vault.azure.net/keys/Key_01","https://contosoCentralUSvault1.vault.azure.net/keys/Key_02" -Description "Policy for multiple workloads for all users in the tenant."

Asignar directiva de varias cargas de trabajoAssign multi-workload policy

Asigne el DEP mediante el cmdlet Set-M365DataAtRestEncryptionPolicyAssignment.Assign the DEP by using the Set-M365DataAtRestEncryptionPolicyAssignment cmdlet. Una vez que asigne la directiva, Microsoft 365 cifra los datos con la clave identificada en el DEP.Once you assign the policy, Microsoft 365 encrypts the data with the key identified in the DEP.

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName or ID>

Donde PolicyName es el nombre de la directiva.Where PolicyName is the name of the policy. Por ejemplo, Contoso_Global.For example, Contoso_Global.

Ejemplo:Example:

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy "Contoso_Global"

Crear un DEP para su uso con Exchange Online buzones de correoCreate a DEP for use with Exchange Online mailboxes

Antes de empezar, asegúrese de que ha completado las tareas necesarias para configurar Azure Key Vault.Before you begin, ensure that you've completed the tasks required to set up Azure Key Vault. Para obtener información, vea Configurar clave de cliente.For information, see Set up Customer Key. Para completar estos pasos, conéctese de forma remota a Exchange Online con Windows PowerShell.You'll complete these steps by remotely connecting to Exchange Online with Windows PowerShell.

Un DEP está asociado con un conjunto de claves almacenadas en Azure Key Vault.A DEP is associated with a set of keys stored in Azure Key Vault. Se asigna un DEP a un buzón en Microsoft 365.You assign a DEP to a mailbox in Microsoft 365. Microsoft 365 usará las claves identificadas en la directiva para cifrar el buzón.Microsoft 365 will then use the keys identified in the policy to encrypt the mailbox. Para crear el DEP, necesita los URI de Key Vault que obtuvo durante la instalación.To create the DEP, you need the Key Vault URIs you obtained during setup. Para obtener información, vea Obtener el URI de cada clave de Azure Key Vault.For information, see Obtain the URI for each Azure Key Vault key.

¡Recuerda!Remember! Al crear un DEP, se especifican dos claves en dos almacenes de claves de Azure diferentes.When you create a DEP, you specify two keys in two different Azure Key Vaults. Cree estas claves en dos regiones de Azure independientes para garantizar la redundancia geográfica.Create these keys in two separate Azure regions to ensure geo-redundancy.

Para crear un DEP para usarlo con un buzón de correo, siga estos pasos:To create a DEP to use with a mailbox, follow these steps:

  1. En el equipo local, con una cuenta de trabajo o educativa que tenga permisos de administrador global o de administrador Exchange Online en la organización, conéctese a Exchange Online PowerShell en una ventana Windows PowerShell usuario.On your local computer, using a work or school account that has global administrator or Exchange Online admin permissions in your organization, connect to Exchange Online PowerShell in a Windows PowerShell window.

  2. Para crear un DEP, use New-DataEncryptionPolicy cmdlet escribiendo el siguiente comando.To create a DEP, use the New-DataEncryptionPolicy cmdlet by typing the following command.

    New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>
    

    Donde:Where:

    • PolicyName es el nombre que desea usar para la directiva.PolicyName is the name you want to use for the policy. Los nombres no pueden contener espacios.Names can't contain spaces. Por ejemplo, USA_mailboxes.For example, USA_mailboxes.

    • Descripción de la directiva es una descripción fácil de usar de la directiva que le ayudará a recordar para qué es la directiva.Policy Description is a user-friendly description of the policy that will help you remember what the policy is for. Puede incluir espacios en la descripción.You can include spaces in the description. Por ejemplo, "Clave raíz para buzones de correo en Estados Unidos y sus territorios".For example, "Root key for mailboxes in USA and its territories".

    • KeyVaultURI1 es el URI de la primera clave de la directiva.KeyVaultURI1 is the URI for the first key in the policy. Por ejemplo, https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.For example, https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.

    • KeyVaultURI2 es el URI de la segunda clave de la directiva.KeyVaultURI2 is the URI for the second key in the policy. Por ejemplo, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02.For example, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02. Separe los dos URI por una coma y un espacio.Separate the two URIs by a comma and a space.

    Ejemplo:Example:

    New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault02.vault.azure.net/keys/USA_key_01, https://contoso_CentralUSvault02.vault.azure.net/keys/USA_Key_02
    

Para obtener información detallada sobre la sintaxis y los parámetros, vea New-DataEncryptionPolicy.For detailed syntax and parameter information, see New-DataEncryptionPolicy.

Asignar un DEP a un buzónAssign a DEP to a mailbox

Asigne el DEP a un buzón mediante el cmdlet Set-Mailbox.Assign the DEP to a mailbox by using the Set-Mailbox cmdlet. Una vez que asigne la directiva, Microsoft 365 puede cifrar el buzón con la clave identificada en el DEP.Once you assign the policy, Microsoft 365 can encrypt the mailbox with the key identified in the DEP.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

Donde MailboxIdParameter especifica un buzón de usuario.Where MailboxIdParameter specifies a user mailbox. Para obtener más información acerca del cmdlet Set-Mailbox, vea Set-Mailbox.For more information about the Set-Mailbox cmdlet, see Set-Mailbox.

En entornos híbridos, puede asignar un DEP a los datos de buzones locales que se sincronizan con el Exchange Online inquilino.In hybrid environments, you can assign a DEP to the on-premises mailbox data that is synchronized into your Exchange Online tenant. Para asignar un DEP a estos datos de buzones sincronizados, usará el cmdlet Set-MailUser correo.To assign a DEP to this synchronized mailbox data, you'll use the Set-MailUser cmdlet. Para obtener más información acerca de los datos de buzones en el entorno híbrido, vea buzones locales con Outlook para iOS y Android con autenticación moderna híbrida.For more information about mailbox data in the hybrid environment, see on-premises mailboxes using Outlook for iOS and Android with hybrid Modern Authentication.

Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>

Donde MailUserIdParameter especifica un usuario de correo (también conocido como usuario habilitado para correo).Where MailUserIdParameter specifies a mail user (also known as a mail-enabled user). Para obtener más información acerca del cmdlet Set-MailUser, vea Set-MailUser.For more information about the Set-MailUser cmdlet, see Set-MailUser.

Crear un DEP para su uso con SharePoint Online, OneDrive para la Empresa y Teams archivosCreate a DEP for use with SharePoint Online, OneDrive for Business, and Teams files

Antes de empezar, asegúrese de que ha completado las tareas necesarias para configurar Azure Key Vault.Before you begin, ensure that you've completed the tasks required to set up Azure Key Vault. Para obtener información, vea Configurar clave de cliente.For information, see Set up Customer Key.

Para configurar la clave de cliente para SharePoint Online, OneDrive para la Empresa y Teams, realice estos pasos conectándose de forma remota a SharePoint Online con Windows PowerShell.To set up Customer Key for SharePoint Online, OneDrive for Business, and Teams files you complete these steps by remotely connecting to SharePoint Online with Windows PowerShell.

Asocie un DEP con un conjunto de claves almacenadas en Azure Key Vault.You associate a DEP with a set of keys stored in Azure Key Vault. Se aplica un DEP a todos los datos en una ubicación geográfica, también denominada geo.You apply a DEP to all of your data in one geographic location, also called a geo. Si usa la característica multigeográfica de Office 365, puede crear un DEP por geo con la capacidad de usar diferentes claves por geo.If you use the multi-geo feature of Office 365, you can create one DEP per geo with the capability to use different keys per geo. Si no usa multige geográficamente, puede crear un DEP en su organización para usarlo con SharePoint Online, OneDrive para la Empresa y Teams archivos.If you aren't using multi-geo, you can create one DEP in your organization for use with SharePoint Online, OneDrive for Business, and Teams files. Microsoft 365 las claves identificadas en el DEP para cifrar los datos en esa ubicación geográfica.Microsoft 365 uses the keys identified in the DEP to encrypt your data in that geo. Para crear el DEP, necesita los URI de Key Vault que obtuvo durante la instalación.To create the DEP, you need the Key Vault URIs you obtained during setup. Para obtener información, vea Obtener el URI de cada clave de Azure Key Vault.For information, see Obtain the URI for each Azure Key Vault key.

¡Recuerda!Remember! Al crear un DEP, se especifican dos claves en dos almacenes de claves de Azure diferentes.When you create a DEP, you specify two keys in two different Azure Key Vaults. Cree estas claves en dos regiones de Azure independientes para garantizar la redundancia geográfica.Create these keys in two separate Azure regions to ensure geo-redundancy.

Para crear un DEP, debe conectarse de forma remota a SharePoint Online mediante Windows PowerShell.To create a DEP, you need to remotely connect to SharePoint Online by using Windows PowerShell.

  1. En el equipo local, con una cuenta de trabajo o escuela que tenga permisos de administrador global en su organización, Conectar para SharePoint PowerShell en línea.On your local computer, using a work or school account that has global administrator permissions in your organization, Connect to SharePoint Online PowerShell.

  2. En el Shell Microsoft Office SharePoint Online administración, ejecute el cmdlet Register-SPODataEncryptionPolicy de la siguiente manera:In the Microsoft SharePoint Online Management Shell, run the Register-SPODataEncryptionPolicy cmdlet as follows:

    Register-SPODataEncryptionPolicy -Identity <adminSiteCollectionURL> -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>
    

    Ejemplo:Example:

    Register-SPODataEncryptionPolicy -Identity https://contoso.sharepoint.com -PrimaryKeyVaultName 'stageRG3vault' -PrimaryKeyName 'SPKey3' -PrimaryKeyVersion 'f635a23bd4a44b9996ff6aadd88d42ba' -SecondaryKeyVaultName 'stageRG5vault' -SecondaryKeyName 'SPKey5' -SecondaryKeyVersion '2b3e8f1d754f438dacdec1f0945f251a’
    

    Al registrar el DEP, el cifrado comienza en los datos de la geo.When you register the DEP, encryption begins on the data in the geo. El cifrado puede tardar algo de tiempo.Encryption can take some time. Para obtener más información sobre el uso de este parámetro, vea Register-SPODataEncryptionPolicy.For more information on using this parameter, see Register-SPODataEncryptionPolicy.

Ver los DEP que ha creado para Exchange Online buzones de correoView the DEPs you've created for Exchange Online mailboxes

Para ver una lista de todos los DEP que ha creado para buzones, use el cmdlet Get-DataEncryptionPolicy PowerShell.To view a list of all the DEPs you've created for mailboxes, use the Get-DataEncryptionPolicy PowerShell cmdlet.

  1. Con una cuenta de trabajo o escuela que tenga permisos de administrador global en su organización, conéctese a Exchange Online PowerShell.Using a work or school account that has global administrator permissions in your organization, connect to Exchange Online PowerShell.

  2. Para devolver todos los DEP de la organización, ejecute el cmdlet Get-DataEncryptionPolicy sin ningún parámetro.To return all DEPs in your organization, run the Get-DataEncryptionPolicy cmdlet without any parameters.

    Get-DataEncryptionPolicy
    

    Para obtener más información acerca del cmdlet Get-DataEncryptionPolicy, vea Get-DataEncryptionPolicy.For more information about the Get-DataEncryptionPolicy cmdlet, see Get-DataEncryptionPolicy.

Asignar un DEP antes de migrar un buzón a la nubeAssign a DEP before you migrate a mailbox to the cloud

Al asignar el DEP, Microsoft 365 cifra el contenido del buzón mediante el DEP asignado durante la migración.When you assign the DEP, Microsoft 365 encrypts the contents of the mailbox using the assigned DEP during the migration. Este proceso es más eficaz que migrar el buzón, asignar el DEP y, a continuación, esperar a que se realice el cifrado, que puede tardar horas o, posiblemente, días.This process is more efficient than migrating the mailbox, assigning the DEP, and then waiting for encryption to take place, which can take hours or possibly days.

Para asignar un DEP a un buzón antes de migrarlo a Office 365, ejecute el cmdlet Set-MailUser en Exchange Online PowerShell:To assign a DEP to a mailbox before you migrate it to Office 365, run the Set-MailUser cmdlet in Exchange Online PowerShell:

  1. Con una cuenta de trabajo o escuela que tenga permisos de administrador global en su organización, conéctese a Exchange Online PowerShell.Using a work or school account that has global administrator permissions in your organization, connect to Exchange Online PowerShell.

  2. Ejecute el cmdlet Set-MailUser.Run the Set-MailUser cmdlet.

    Set-MailUser -Identity <GeneralMailboxOrMailUserIdParameter> -DataEncryptionPolicy <DataEncryptionPolicyIdParameter>
    

    Donde GeneralMailboxOrMailUserIdParameter especifica un buzón y DataEncryptionPolicyIdParameter es el identificador del DEP.Where GeneralMailboxOrMailUserIdParameter specifies a mailbox, and DataEncryptionPolicyIdParameter is the ID of the DEP. Para obtener más información acerca del cmdlet Set-MailUser, vea Set-MailUser.For more information about the Set-MailUser cmdlet, see Set-MailUser.

Determinar el DEP asignado a un buzónDetermine the DEP assigned to a mailbox

Para determinar el DEP asignado a un buzón, use el cmdlet Get-MailboxStatistics.To determine the DEP assigned to a mailbox, use the Get-MailboxStatistics cmdlet. El cmdlet devuelve un identificador único (GUID).The cmdlet returns a unique identifier (GUID).

  1. Con una cuenta de trabajo o escuela que tenga permisos de administrador global en su organización, conéctese a Exchange Online PowerShell.Using a work or school account that has global administrator permissions in your organization, connect to Exchange Online PowerShell.

    Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID
    

    Donde GeneralMailboxOrMailUserIdParameter especifica un buzón y DataEncryptionPolicyID devuelve el GUID del DEP.Where GeneralMailboxOrMailUserIdParameter specifies a mailbox and DataEncryptionPolicyID returns the GUID of the DEP. Para obtener más información acerca del cmdlet Get-MailboxStatistics, vea Get-MailboxStatistics.For more information about the Get-MailboxStatistics cmdlet, see Get-MailboxStatistics.

  2. Ejecute el cmdlet Get-DataEncryptionPolicy para averiguar el nombre descriptivo del DEP al que está asignado el buzón.Run the Get-DataEncryptionPolicy cmdlet to find out the friendly name of the DEP to which the mailbox is assigned.

    Get-DataEncryptionPolicy <GUID>
    

    Donde GUID es el GUID devuelto por el cmdlet Get-MailboxStatistics en el paso anterior.Where GUID is the GUID returned by the Get-MailboxStatistics cmdlet in the previous step.

Comprobar que la clave de cliente ha finalizado el cifradoVerify that Customer Key has finished encryption

Tanto si ha enrollado una clave de cliente, ha asignado un nuevo DEP o migrado un buzón, siga los pasos descritos en esta sección para asegurarse de que el cifrado se completa.Whether you've rolled a Customer Key, assigned a new DEP, or migrated a mailbox, use the steps in this section to ensure that encryption completes.

Comprobar que el cifrado se completa para Exchange Online buzones de correoVerify encryption completes for Exchange Online mailboxes

Cifrar un buzón puede tardar algún tiempo.Encrypting a mailbox can take some time. Para el cifrado por primera vez, el buzón también debe moverse completamente de una base de datos a otra para que el servicio pueda cifrar el buzón.For first time encryption, the mailbox must also completely move from one database to another before the service can encrypt the mailbox.

Use el cmdlet Get-MailboxStatistics para determinar si un buzón está cifrado.Use the Get-MailboxStatistics cmdlet to determine if a mailbox is encrypted.

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

La propiedad IsEncrypted devuelve un valor de true si el buzón está cifrado y un valor de false si el buzón no está cifrado.The IsEncrypted property returns a value of true if the mailbox is encrypted and a value of false if the mailbox isn't encrypted. El tiempo para completar los movimientos de buzones depende del número de buzones a los que asigne un DEP por primera vez y del tamaño de los buzones.The time to complete mailbox moves depends on the number of mailboxes to which you assign a DEP for the first time, and the size of the mailboxes. Si los buzones no se han cifrado después de una semana desde el momento en que asignó el DEP, póngase en contacto con Microsoft.If the mailboxes haven't been encrypted after a week from the time you assigned the DEP, contact Microsoft.

El cmdlet New-MoveRequest ya no está disponible para los movimientos de buzones locales.The New-MoveRequest cmdlet is no longer available for local mailbox moves. Consulte este anuncio para obtener información adicional.Refer to this announcement for additional information.

Comprobar que el cifrado se completa para SharePoint online, OneDrive para la Empresa y Teams archivosVerify encryption completes for SharePoint Online, OneDrive for Business, and Teams files

Compruebe el estado del cifrado ejecutando el cmdlet Get-SPODataEncryptionPolicy de la siguiente manera:Check on the status of encryption by running the Get-SPODataEncryptionPolicy cmdlet as follows:

   Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

El resultado de este cmdlet incluye:The output from this cmdlet includes:

  • Uri de la clave principal.The URI of the primary key.

  • Uri de la clave secundaria.The URI of the secondary key.

  • El estado de cifrado de la geo.The encryption status for the geo. Los estados posibles incluyen:Possible states include:

    • Sin registrar: El cifrado de clave de cliente aún no se ha aplicado.Unregistered: Customer Key encryption has not yet been applied.

    • Registro: Se ha aplicado el cifrado de clave de cliente y los archivos están en proceso de cifrado.Registering: Customer Key encryption has been applied and your files are in the process of being encrypted. Si la clave de la geo se está registrando, también se mostrará información sobre qué porcentaje de sitios de la geo están completos para que pueda supervisar el progreso del cifrado.If the key for the geo is registering, you'll also be shown information on what percentage of sites in the geo are complete so that you can monitor encryption progress.

    • Registrado: Se ha aplicado el cifrado de clave de cliente y se han cifrado todos los archivos de todos los sitios.Registered: Customer Key encryption has been applied, and all files in all sites have been encrypted.

    • Rolling: Hay un lanzamiento de teclas en curso.Rolling: A key roll is in progress. Si la clave de la geo se está implementando, también se mostrará información sobre el porcentaje de sitios que han completado la operación de lanzamiento de teclas para poder supervisar el progreso.If the key for the geo is rolling, you'll also be shown information on what percentage of sites have completed the key roll operation so that you can monitor progress.

Obtener detalles sobre los DEP que usa con varias cargas de trabajoGet details about DEPs you use with multiple workloads

Para obtener detalles sobre todos los DEP que ha creado para usar con varias cargas de trabajo, siga estos pasos:To get details about all of the DEPs you've created to use with multiple workloads, complete these steps:

  1. En el equipo local, con una cuenta de trabajo o escuela que tenga permisos de administrador global o administrador de cumplimiento en la organización, conéctese a Exchange Online PowerShell en una ventana Windows PowerShell usuario.On your local computer, using a work or school account that has global administrator or compliance admin permissions in your organization, connect to Exchange Online PowerShell in a Windows PowerShell window.

    • Para devolver la lista de todos los DEP de varias cargas de trabajo de la organización, ejecute este comando.To return the list of all multi-workload DEPs in the organization, run this command.

         Get-M365DataAtRestEncryptionPolicy
      
    • Para devolver detalles sobre un DEP específico, ejecute este comando.To return details about a specific DEP, run this command. En este ejemplo se devuelve información detallada para el DEP denominado "Contoso_Global".This example returns detailed information for the DEP named "Contoso_Global".

         Get-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global"
      

Obtener información de asignación de DEP de varias cargas de trabajoGet multi-workload DEP assignment information

Para averiguar qué DEP está asignado actualmente a su inquilino, siga estos pasos.To find out which DEP is currently assigned to your tenant, follow these steps.

  1. En el equipo local, con una cuenta de trabajo o escuela que tenga permisos de administrador global o administrador de cumplimiento en la organización, conéctese a Exchange Online PowerShell en una ventana Windows PowerShell usuario.On your local computer, using a work or school account that has global administrator or compliance admin permissions in your organization, connect to Exchange Online PowerShell in a Windows PowerShell window.

  2. Escriba este comando.Type this command.

       Get-M365DataAtRestEncryptionPolicyAssignment
    

Deshabilitar un DEP de varias cargas de trabajoDisable a multi-workload DEP

Antes de deshabilitar un DEP de varias cargas de trabajo, desasigne el DEP de las cargas de trabajo del espacio empresarial.Before you disable a multi-workload DEP, unassign the DEP from workloads in your tenant. Para deshabilitar un DEP usado con varias cargas de trabajo, siga estos pasos:To disable a DEP used with multiple workloads, complete these steps:

  1. En el equipo local, con una cuenta de trabajo o escuela que tenga permisos de administrador global o administrador de cumplimiento en la organización, conéctese a Exchange Online PowerShell en una ventana Windows PowerShell usuario.On your local computer, using a work or school account that has global administrator or compliance admin permissions in your organization, connect to Exchange Online PowerShell in a Windows PowerShell window.

  2. Ejecute el cmdlet Set-M365DataAtRestEncryptionPolicy.Run the Set-M365DataAtRestEncryptionPolicy cmdlet.

    Set-M365DataAtRestEncryptionPolicy -[Identity] "PolicyName" -Enabled $false
    

Donde PolicyName es el nombre o identificador único de la directiva.Where PolicyName is the name or unique ID of the policy. Por ejemplo, Contoso_Global.For example, Contoso_Global.

Ejemplo:Example:

Set-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global" -Enabled $false

Restaurar claves de Azure Key VaultRestore Azure Key Vault keys

Antes de realizar una restauración, use las capacidades de recuperación proporcionadas por la eliminación suave.Before performing a restore, use the recovery capabilities provided by soft delete. Todas las claves que se usan con la clave de cliente son necesarias para tener habilitada la eliminación suave.All keys that are used with Customer Key are required to have soft delete enabled. La eliminación suave actúa como una papelera de reciclaje y permite la recuperación durante un máximo de 90 días sin necesidad de restaurar.Soft delete acts like a recycle bin and allows recovery for up to 90 days without the need to restore. La restauración solo debe ser necesaria en circunstancias extremas o inusuales, por ejemplo, si se pierde la clave o el almacén de claves.Restore should only be required in extreme or unusual circumstances, for example if the key or key vault is lost. Si debe restaurar una clave para su uso con la clave de cliente, en Azure PowerShell, ejecute el cmdlet Restore-AzureKeyVaultKey de la siguiente manera:If you must restore a key for use with Customer Key, in Azure PowerShell, run the Restore-AzureKeyVaultKey cmdlet as follows:

Restore-AzKeyVaultKey -VaultName <vault name> -InputFile <filename>

Por ejemplo:For example:

Restore-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Si el almacén de claves ya contiene una clave con el mismo nombre, se produce un error en la operación de restauración.If the key vault already contains a key with the same name, the restore operation fails. Restore-AzKeyVaultKey restaura todas las versiones de clave y todos los metadatos de la clave, incluido el nombre de la clave.Restore-AzKeyVaultKey restores all key versions and all metadata for the key including the key name.

Administrar permisos del almacén de clavesManage key vault permissions

Hay varios cmdlets disponibles que permiten ver y, si es necesario, quitar permisos del almacén de claves.Several cmdlets are available that enable you to view and, if necessary, remove key vault permissions. Es posible que necesite quitar permisos, por ejemplo, cuando un empleado deja el equipo.You might need to remove permissions, for example, when an employee leaves the team. Para cada una de estas tareas, usará Azure PowerShell.For each of these tasks, you will use Azure PowerShell. Para obtener información sobre Azure PowerShell, vea Overview of Azure PowerShell.For information about Azure PowerShell, see Overview of Azure PowerShell.

Para ver los permisos del almacén de claves, ejecute el cmdlet Get-AzKeyVault clave.To view key vault permissions, run the Get-AzKeyVault cmdlet.

Get-AzKeyVault -VaultName <vault name>

Por ejemplo:For example:

Get-AzKeyVault -VaultName Contoso-O365EX-NA-VaultA1

Para quitar los permisos de un administrador, ejecute el cmdlet Remove-AzKeyVaultAccessPolicy:To remove an administrator's permissions, run the Remove-AzKeyVaultAccessPolicy cmdlet:

Remove-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user>

Por ejemplo:For example:

Remove-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -UserPrincipalName alice@contoso.com

Revertir de clave de cliente a claves administradas de MicrosoftRoll back from Customer Key to Microsoft managed Keys

Si necesita volver a las claves administradas por Microsoft, puede hacerlo.If you need to revert to Microsoft-managed keys, you can. Cuando se desaborde, los datos se vuelve a cifrar con el cifrado predeterminado admitido por cada carga de trabajo individual.When you offboard, your data is re-encrypted using default encryption supported by each individual workload. Por ejemplo, Exchange Online cifrado predeterminado mediante claves administradas por Microsoft.For example, Exchange Online supports default encryption using Microsoft-managed keys.

Importante

El offboarding no es lo mismo que una purga de datos.Offboarding is not the same as a data purge. Una purga de datos elimina de forma permanente los datos de la organización Microsoft 365, la eliminación de datos no se realiza.A data purge permanently crypto-deletes your organization's data from Microsoft 365, offboarding does not. No puede realizar una purga de datos para una directiva de varias cargas de trabajo.You can't perform a data purge for a multiple workload policy.

If you decide not to use Customer Key for assigning multi-workload DEP anymore, you'll need to reach out to Microsoft support with a request to "offboard" from Customer Key.If you decide not to use Customer Key for assigning multi-workload DEPs anymore then you'll need to reach out to Microsoft support with a request to “offboard” from Customer Key. Pida al equipo de soporte técnico que haga una solicitud de servicio Microsoft 365 equipo de clave de cliente.Ask the support team to file a service request against Microsoft 365 Customer Key team. Llega a m365-ck@service.microsoft.com si tienes alguna pregunta.Reach out to m365-ck@service.microsoft.com if you have any questions.

Si ya no desea cifrar buzones individuales con DEP de nivel de buzón, puede desasignación de DEP de nivel de buzón de todos los buzones.If you do not want to encrypt individual mailboxes using mailbox level DEPs anymore, then you can unassign mailbox level DEPs from all your mailboxes.

Para desasignación de DEP de buzones de correo, use el Set-Mailbox cmdlet de PowerShell.To unassign mailbox DEPs, use the Set-Mailbox PowerShell cmdlet.

  1. Con una cuenta de trabajo o escuela que tenga permisos de administrador global en su organización, conéctese a Exchange Online PowerShell.Using a work or school account that has global administrator permissions in your organization, connect to Exchange Online PowerShell.

  2. Ejecute el cmdlet Set-Mailbox.Run the Set-Mailbox cmdlet.

    Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy $NULL
    

Al ejecutar este cmdlet, se desasoyó el DEP asignado actualmente y se vuelve a cifrar el buzón con el DEP asociado con las claves administradas por Microsoft predeterminadas.Running this cmdlet unassigns the currently assigned DEP and reencrypts the mailbox using the DEP associated with default Microsoft-managed keys. No puede desasignar el DEP usado por las claves administradas de Microsoft.You can't unassign the DEP used by Microsoft managed keys. Si no desea usar claves administradas por Microsoft, puede asignar otro DEP de clave de cliente al buzón.If you don't want to use Microsoft-managed keys, you can assign another Customer Key DEP to the mailbox.

Revocar las claves e iniciar el proceso de ruta de depuración de datosRevoke your keys and start the data purge path process

Controle la revocación de todas las claves raíz, incluida la clave de disponibilidad.You control the revocation of all root keys including the availability key. La clave de cliente proporciona el control del aspecto de la planeación de salida de los requisitos normativos.Customer Key provides control of the exit planning aspect of the regulatory requirements for you. Si decide revocar las claves para purgar los datos y salir del servicio, el servicio elimina la clave de disponibilidad una vez completado el proceso de depuración de datos.If you decide to revoke your keys to purge your data and exit the service, the service deletes the availability key once the data purge process completes. Esto es compatible con los DEP de clave de cliente que están asignados a buzones individuales.This is supported for Customer Key DEPs that are assigned to individual mailboxes.

Microsoft 365 auditorías y valida la ruta de depuración de datos.Microsoft 365 audits and validates the data purge path. Para obtener más información, vea el informe SSAE 18 SOC 2 disponible en el Portal de confianza de servicio.For more information, see the SSAE 18 SOC 2 Report available on the Service Trust Portal. Además, Microsoft recomienda los siguientes documentos:In addition, Microsoft recommends the following documents:

La depuración de DEP de varias cargas de trabajo no se admite Microsoft 365 clave de cliente.Purging of multi-workload DEP is not supported for Microsoft 365 Customer Key. El DEP de varias cargas de trabajo se usa para cifrar datos en varias cargas de trabajo en todos los usuarios del espacio empresarial.The multi-workload DEP is used to encrypt data across multiple workloads across all tenant users. La depuración de este DEP daría como resultado que los datos de varias cargas de trabajo se vuelvan inaccesibles.Purging such DEP would result into data from across multiple workloads become inaccessible. Si decide salir de Microsoft 365 servicios, podría seguir la ruta de eliminación del espacio empresarial por el proceso documentado.If you decide to exit Microsoft 365 services altogether then you could pursue the path of tenant deletion per the documented process. Vea cómo eliminar un inquilino en Azure Active Directoy.See how to delete a tenant in Azure Active Directoy.

Revocar las claves de cliente y la clave de disponibilidad para Exchange Online y Skype EmpresarialRevoke your Customer Keys and the availability key for Exchange Online and Skype for Business

Al iniciar la ruta de depuración de datos para Exchange Online y Skype Empresarial, se establece una solicitud de purga de datos permanente en un DEP.When you initiate the data purge path for Exchange Online and Skype for Business, you set a permanent data purge request on a DEP. Al hacerlo, se eliminan permanentemente los datos cifrados dentro de los buzones a los que está asignado ese DEP.Doing so permanently deletes encrypted data within the mailboxes to which that DEP is assigned.

Dado que solo puede ejecutar el cmdlet de PowerShell en un DEP a la vez, considere la posibilidad de reasignar un solo DEP a todos los buzones antes de iniciar la ruta de depuración de datos.Since you can only run the PowerShell cmdlet against one DEP at a time, consider reassigning a single DEP to all of your mailboxes before you initiate the data purge path.

Advertencia

No use la ruta de depuración de datos para eliminar un subconjunto de los buzones.Do not use the data purge path to delete a subset of your mailboxes. Este proceso solo está pensado para los clientes que salen del servicio.This process is only intended for customers who are exiting the service.

Para iniciar la ruta de depuración de datos, siga estos pasos:To initiate the data purge path, complete these steps:

  1. Quite los permisos de ajuste y desenvolver para "O365 Exchange Online" de Azure Key Vaults.Remove wrap and unwrap permissions for "O365 Exchange Online" from Azure Key Vaults.

  2. Con una cuenta profesional o educativa que tenga privilegios de administrador global en su organización, conéctese a Exchange Online PowerShell.Using a work or school account that has global administrator privileges in your organization, connect to Exchange Online PowerShell.

  3. Para cada DEP que contenga buzones que desee eliminar, ejecute el cmdlet Set-DataEncryptionPolicy de la siguiente manera.For each DEP that contains mailboxes that you want to delete, run the Set-DataEncryptionPolicy cmdlet as follows.

    Set-DataEncryptionPolicy <Policy ID> -PermanentDataPurgeRequested -PermanentDataPurgeReason <Reason> -PermanentDataPurgeContact <ContactName>
    

    Si se produce un error en el comando, asegúrese de que ha quitado los permisos de Exchange Online de ambas claves en Azure Key Vault, tal como se especificó anteriormente en esta tarea.If the command fails, ensure that you've removed the Exchange Online permissions from both keys in Azure Key Vault as specified earlier in this task.Una vez que haya establecido el modificador PermanentDataPurgeRequested mediante el cmdlet Set-DataEncryptionPolicy, ya no podrá asignar este DEP a los buzones. Once you've set the PermanentDataPurgeRequested switch using the Set-DataEncryptionPolicy cmdlet, you'll no longer be able to assign this DEP to mailboxes.

  4. Póngase en contacto con el soporte técnico de Microsoft y solicite el eDocument de purga de datos.Contact Microsoft support and request the Data Purge eDocument.

    A su solicitud, Microsoft le envía un documento legal para confirmar y autorizar la eliminación de datos.At your request, Microsoft sends you a legal document to acknowledge and authorize data deletion. La persona de la organización que se inscribió como aprobador en la oferta de FastTrack durante la incorporación debe firmar este documento.The person in your organization who signed up as an approver in the FastTrack offer during onboarding needs to sign this document. Normalmente, se trata de una persona ejecutiva u otra persona designada en su empresa que tiene autorización legal para firmar los documentos en nombre de su organización.Normally, this is an executive or other designated person in your company who is legally authorized to sign the paperwork on behalf of your organization.

  5. Una vez que el representante haya firmado el documento legal, descóyalo a Microsoft (normalmente a través de una firma de eDoc).Once your representative has signed the legal document, return it to Microsoft (usually through an eDoc signature).

    Una vez que Microsoft recibe el documento legal, Microsoft ejecuta cmdlets para desencadenar la purga de datos que elimina primero la directiva, marca los buzones para su eliminación permanente y, a continuación, elimina la clave de disponibilidad.Once Microsoft receives the legal document, Microsoft runs cmdlets to trigger the data purge which first deletes the policy, marks the mailboxes for permanent deletion, then deletes the availability key. Una vez completado el proceso de purga de datos, los datos se han purgado, no se puede Exchange Online y no se pueden recuperar.Once the data purge process completes, the data has been purged, is inaccessible to Exchange Online, and is not recoverable.

Revocar las claves de cliente y la clave de disponibilidad para SharePoint Online, OneDrive para la Empresa y Teams archivosRevoke your Customer Keys and the availability key for SharePoint Online, OneDrive for Business, and Teams files

Para iniciar la ruta de depuración de datos para SharePoint Online, OneDrive para la Empresa y Teams, siga estos pasos:To initiate the data purge path for SharePoint Online, OneDrive for Business, and Teams files, complete these steps:

  1. Revocar el acceso a Azure Key Vault.Revoke Azure Key Vault access. Todos los administradores del almacén de claves deben aceptar revocar el acceso.All key vault admins must agree to revoke access.

    No elimina Azure Key Vault para SharePoint Online.You do not delete the Azure Key Vault for SharePoint Online. Los almacenes de claves pueden compartirse entre varios SharePoint inquilinos y DEP en línea.Key vaults may be shared among several SharePoint Online tenants and DEPs.

  2. Póngase en contacto con Microsoft para eliminar la clave de disponibilidad.Contact Microsoft to delete the availability key.

    Cuando se contacte con Microsoft para eliminar la clave de disponibilidad, le enviaremos un documento legal.When you contact Microsoft to delete the availability key, we'll send you a legal document. La persona de la organización que se inscribió como aprobador en la oferta de FastTrack durante la incorporación debe firmar este documento.The person in your organization who signed up as an approver in the FastTrack offer during onboarding needs to sign this document. Normalmente, se trata de una persona ejecutiva u otra persona designada en su empresa que tiene autorización legal para firmar los documentos en nombre de su organización.Normally, this is an executive or other designated person in your company who's legally authorized to sign the paperwork on behalf of your organization.

  3. Una vez que el representante firme el documento legal, descóyalo a Microsoft (normalmente a través de una firma de eDoc).Once your representative signs the legal document, return it to Microsoft (usually through an eDoc signature).

    Una vez que Microsoft recibe el documento legal, ejecutamos cmdlets para desencadenar la purga de datos que realiza la eliminación de criptografía de la clave de inquilino, la clave de sitio y todas las claves individuales por documento, lo que rompe irrevocablemente la jerarquía de claves.Once Microsoft receives the legal document, we run cmdlets to trigger the data purge which performs crypto deletion of the tenant key, site key, and all individual per-document keys, irrevocably breaking the key hierarchy. Una vez completados los cmdlets de purga de datos, los datos se han purgado.Once the data purge cmdlets complete, your data has been purged.