Gestione della chiave cliente

Dopo aver configurato La chiave del cliente, creare e assegnare uno o più criteri di crittografia dei dati . Dopo aver assegnato i criteri DIP, gestire le chiavi come descritto in questo articolo. Altre informazioni sulla chiave del cliente sono disponibili negli articoli correlati.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Windows 365 supporto per Microsoft Purview Customer Key è disponibile in anteprima pubblica ed è soggetto a modifiche. Per informazioni, vedere Microsoft Purview Customer Key for Windows 365 Cloud PC (Chiave cliente di Microsoft Purview per pc cloud Windows 365).

Creare un DEP per l'uso con più carichi di lavoro per tutti gli utenti del tenant

Prima di iniziare, assicurarsi di aver completato le attività necessarie per configurare la chiave del cliente. Per informazioni, vedere Configurare la chiave del cliente. Per creare il DEP, sono necessari gli URI Key Vault ottenuti durante l'installazione. Per informazioni, vedere Ottenere l'URI per ogni chiave Key Vault di Azure.

Per creare un DEP con più carichi di lavoro, seguire questa procedura:

1. Nel computer locale, usando un account aziendale o dell'istituto di istruzione con autorizzazioni di amministratore globale o amministratore della conformità nell'organizzazione, connettersi a Exchange Online PowerShell.

2. Per creare un DEP, usare il cmdlet New-M365DataAtRestEncryptionPolicy.

   New-M365DataAtRestEncryptionPolicy -Name <PolicyName> -AzureKeyIDs <KeyVaultURI1, KeyVaultURI2> [-Description <String>]
   

   Dove:

   • "PolicyName" è il nome che si vuole usare per i criteri. I nomi non possono contenere spazi. Ad esempio, Contoso_Global.

   • "KeyVaultURI1" è l'URI per la prima chiave nei criteri. Ad esempio, "https://contosoWestUSvault1.vault.azure.net/keys/Key_01".

   • "KeyVaultURI2" è l'URI per la seconda chiave nei criteri. Ad esempio, "https://contosoCentralUSvault1.vault.azure.net/keys/Key_02". Separare i due URI con una virgola e uno spazio.

   • "Descrizione dei criteri" è una descrizione intuitiva dei criteri che consente di ricordare a cosa serve il criterio. È possibile includere spazi nella descrizione. Ad esempio, "Criteri radice per più carichi di lavoro per tutti gli utenti nel tenant".

   Esempio:

   New-M365DataAtRestEncryptionPolicy -Name "Contoso_Global" -AzureKeyIDs "https://contosoWestUSvault1.vault.azure.net/keys/Key_01","https://contosoCentralUSvault1.vault.azure.net/keys/Key_02" -Description "Policy for multiple workloads for all users in the tenant."
   

Assegnare criteri multi-carico di lavoro

Assegnare dep usando il cmdlet Set-M365DataAtRestEncryptionPolicyAssignment. Dopo aver assegnato il criterio, Microsoft 365 crittografa i dati con la chiave identificata nel DEP.

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName or ID>

Dove PolicyName è il nome del criterio, ad esempio Contoso_Global.

Esempio:

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy "Contoso_Global"

Per Windows 365, entro 3-4 ore dal completamento di questo passaggio, l'interfaccia di amministrazione Intune viene aggiornata. Completare i passaggi nell'interfaccia di amministrazione per crittografare i PC cloud esistenti. Per informazioni, vedere Configurare le chiavi cliente per i PC cloud Windows 365.

Creare un DEP da usare con le cassette postali di Exchange Online

Prima di iniziare, assicurarsi di aver completato le attività necessarie per configurare Azure Key Vault. Per informazioni, vedere Configurare la chiave del cliente. Completare questi passaggi in Exchange Online PowerShell.

Un DEP è associato a un set di chiavi archiviate in Azure Key Vault. Si assegna un DEP a una cassetta postale in Microsoft 365. Microsoft 365 usa le chiavi identificate nei criteri per crittografare la cassetta postale. Per creare il DEP, sono necessari gli URI Key Vault ottenuti durante l'installazione. Per informazioni, vedere Ottenere l'URI per ogni chiave Key Vault di Azure.

Ricordare! Quando si crea un DEP, si specificano due chiavi in due insiemi di credenziali delle chiavi di Azure diversi. Per evitare la ridondanza geografica, creare queste chiavi in due aree di Azure separate.

Per creare un DEP da usare con una cassetta postale, seguire questa procedura:

1. Nel computer locale, usando un account aziendale o dell'istituto di istruzione con autorizzazioni di amministratore globale o di amministratore Exchange Online nell'organizzazione, connettersi a Exchange Online PowerShell.

2. Per creare un dep, usare il cmdlet New-DataEncryptionPolicy digitando il comando seguente.

   New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>
   

   Dove:

   • PolicyName è il nome che si vuole usare per i criteri. I nomi non possono contenere spazi. Ad esempio, USA_mailboxes.

   • Descrizione criteri è una descrizione intuitiva dei criteri che consente di ricordare a cosa serve il criterio. È possibile includere spazi nella descrizione. Ad esempio, "Chiave radice per le cassette postali negli Stati Uniti e nei relativi territori".

   • KeyVaultURI1 è l'URI per la prima chiave nei criteri. Ad esempio, https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.

   • KeyVaultURI2 è l'URI per la seconda chiave nei criteri. Ad esempio, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02. Separare i due URI con una virgola e uno spazio.

   Esempio:

   New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault02.vault.azure.net/keys/USA_key_01, https://contoso_CentralUSvault02.vault.azure.net/keys/USA_Key_02
   

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-DataEncryptionPolicy.

Assegnare un DEP a una cassetta postale

Assegnare dep a una cassetta postale usando il cmdlet Set-Mailbox. Dopo aver assegnato il criterio, Microsoft 365 può crittografare la cassetta postale con la chiave identificata nel DEP.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

Dove MailboxIdParameter specifica una cassetta postale utente. Per informazioni sul cmdlet Set-Mailbox, vedere Set-Mailbox.

Negli ambienti ibridi è possibile assegnare un dep ai dati delle cassette postali locali sincronizzati nel tenant Exchange Online. Per assegnare un dep a questi dati sincronizzati della cassetta postale, usare il cmdlet Set-MailUser. Per altre informazioni sui dati delle cassette postali nell'ambiente ibrido, vedere Cassette postali locali con Outlook per iOS e Android con autenticazione moderna ibrida.

Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>

Dove MailUserIdParameter specifica un utente di posta elettronica (noto anche come utente abilitato alla posta elettronica). Per altre informazioni sul cmdlet Set-MailUser, vedere Set-MailUser.

Creare un DEP per l'uso con i file di SharePoint, OneDrive for work or school e Teams

Prima di iniziare, assicurarsi di aver completato le attività necessarie per configurare Azure Key Vault. Per informazioni, vedere Configurare la chiave del cliente.

Per configurare la chiave del cliente per SharePoint, OneDrive per l'azienda o l'istituto di istruzione e i file di Teams, completare questi passaggi in SharePoint PowerShell.

Si associa un DEP a un set di chiavi archiviate in Azure Key Vault. Si applica un DEP a tutti i dati in un'unica posizione geografica, detta anche area geografica. Se si usa la funzionalità multi-geografica di Microsoft 365, è possibile creare un DEP per area geografica con la possibilità di usare chiavi diverse per area geografica. Se non si usa più aree geografiche, è possibile creare un dep nell'organizzazione da usare con i file di SharePoint, OneDrive for work o school e Teams. Microsoft 365 usa le chiavi identificate nel DEP per crittografare i dati in tale area geografica. Per creare il DEP, sono necessari gli URI Key Vault ottenuti durante l'installazione. Per informazioni, vedere Ottenere l'URI per ogni chiave Key Vault di Azure.

Ricordare! Quando si crea un DEP, si specificano due chiavi in due insiemi di credenziali delle chiavi di Azure diversi. Per evitare la ridondanza geografica, creare queste chiavi in due aree di Azure separate.

Per creare un DEP, è necessario usare SharePoint PowerShell.

1. Nel computer locale, usando un account aziendale o dell'istituto di istruzione con autorizzazioni di amministratore globale nell'organizzazione, connettersi a SharePoint PowerShell.

2. In Microsoft SharePoint Management Shell eseguire il cmdlet Register-SPODataEncryptionPolicy come indicato di seguito:

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>
   

   Esempio:

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'stageRG3vault' -PrimaryKeyName 'SPKey3' -PrimaryKeyVersion 'f635a23bd4a44b9996ff6aadd88d42ba' -SecondaryKeyVaultName 'stageRG5vault' -SecondaryKeyName 'SPKey5' -SecondaryKeyVersion '2b3e8f1d754f438dacdec1f0945f251a'
   

   Quando si registra il DEP, la crittografia inizia sui dati nell'area geografica. La crittografia può richiedere del tempo. Per altre informazioni sull'uso di questo parametro, vedere Register-SPODataEncryptionPolicy.

Visualizzare i PUNTI DIP creati per le cassette postali Exchange Online

Per visualizzare un elenco di tutti i punti di accesso consentiti creati per le cassette postali, usare il cmdlet Get-DataEncryptionPolicy PowerShell.

1. Usando un account aziendale o dell'istituto di istruzione con autorizzazioni di amministratore globale nell'organizzazione, connettersi a Exchange Online PowerShell.

2. Per restituire tutti i punti di accesso all'interno dell'organizzazione, eseguire il cmdlet Get-DataEncryptionPolicy senza parametri.

   Get-DataEncryptionPolicy
   

   Per altre informazioni sul cmdlet Get-DataEncryptionPolicy, vedere Get-DataEncryptionPolicy.

Assegnare un DEP prima di eseguire la migrazione di una cassetta postale al cloud

Quando si assegna dep, Microsoft 365 crittografa il contenuto della cassetta postale usando il DEP assegnato durante la migrazione. Questo processo è più efficiente rispetto alla migrazione della cassetta postale, all'assegnazione del DEP e quindi all'attesa della crittografia, che può richiedere ore o forse giorni.

Per assegnare un dep a una cassetta postale prima di eseguirne la migrazione a Microsoft 365, eseguire il cmdlet Set-MailUser in Exchange Online PowerShell:

1. Usando un account aziendale o dell'istituto di istruzione con autorizzazioni di amministratore globale nell'organizzazione, connettersi a Exchange Online PowerShell.

2. Eseguire il cmdlet Set-MailUser.

   Set-MailUser -Identity <GeneralMailboxOrMailUserIdParameter> -DataEncryptionPolicy <DataEncryptionPolicyIdParameter>
   

   Dove GeneralMailboxOrMailUserIdParameter specifica una cassetta postale e DataEncryptionPolicyIdParameter è l'ID del DEP. Per altre informazioni sul cmdlet Set-MailUser, vedere Set-MailUser.

Determinare il DEP assegnato a una cassetta postale

Per determinare il DEP assegnato a una cassetta postale, usare il cmdlet Get-MailboxStatistics. Il cmdlet restituisce un identificatore univoco (GUID).

1. Usando un account aziendale o dell'istituto di istruzione con autorizzazioni di amministratore globale nell'organizzazione, connettersi a Exchange Online PowerShell.

   Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID
   

   Dove GeneralMailboxOrMailUserIdParameter specifica una cassetta postale e DataEncryptionPolicyID restituisce il GUID del DEP. Per altre informazioni sul cmdlet Get-MailboxStatistics, vedere Get-MailboxStatistics.

2. Eseguire il cmdlet Get-DataEncryptionPolicy per trovare il nome descrittivo del dep a cui è assegnata la cassetta postale.

   Get-DataEncryptionPolicy <GUID>
   

   Dove GUID è il GUID restituito dal cmdlet Get-MailboxStatistics nel passaggio precedente.

Verificare che la crittografia della chiave del cliente sia stata completata

Indipendentemente dal fatto che sia stato eseguito il rollforback di una chiave cliente, che sia stato assegnato un nuovo DEP o che sia stata eseguita la migrazione di una cassetta postale, usare i passaggi descritti in questa sezione per assicurarsi che la crittografia venga completata.

Verificare il completamento della crittografia per le cassette postali Exchange Online

La crittografia di una cassetta postale può richiedere del tempo. Per la prima volta, la cassetta postale deve anche spostarsi completamente da un database a un altro prima che il servizio possa crittografare la cassetta postale.

Usare il cmdlet Get-MailboxStatistics per determinare se una cassetta postale è crittografata.

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

La proprietà IsEncrypted restituisce il valore true se la cassetta postale è crittografata e il valore false se la cassetta postale non è crittografata. Il tempo necessario per completare lo spostamento delle cassette postali dipende dal numero di cassette postali a cui si assegna un DEP per la prima volta e dalle dimensioni delle cassette postali. Se le cassette postali non vengono crittografate dopo una settimana dal momento in cui è stato assegnato il DEP, contattare Microsoft.

Il cmdlet New-MoveRequest non è più disponibile per gli spostamenti delle cassette postali locali. Per altre informazioni, vedere questo annuncio.

Verificare il completamento della crittografia per i file di SharePoint, OneDrive for work o school e Teams

Controllare lo stato della crittografia eseguendo il cmdlet Get-SPODataEncryptionPolicy come indicato di seguito:

   Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>

L'output di questo cmdlet include:

• URI della chiave primaria.

• URI della chiave secondaria.

• Stato di crittografia per l'area geografica. Gli stati possibili includono:

  • Annullata: La crittografia della chiave del cliente non viene applicata.

  • Registrazione: Viene applicata la crittografia della chiave del cliente e i file sono in corso di crittografia. Se la chiave per l'area geografica viene registrata, vengono visualizzate informazioni sulla percentuale di siti completi nell'area geografica in modo da poter monitorare lo stato di avanzamento della crittografia.

  • Registrato: Viene applicata la crittografia della chiave del cliente e tutti i file in tutti i siti vengono crittografati.

  • Rotolamento: È in corso un rollback delle chiavi. Se la chiave per l'area geografica è in sequenza, vengono visualizzate le informazioni sulla percentuale di siti completati in modo da poter monitorare lo stato di avanzamento.

• L'output include la percentuale di siti di cui è stato caricato l'onboarding.

Ottenere informazioni dettagliate sugli indirizzi DEP usati con più carichi di lavoro

Per ottenere informazioni dettagliate su tutti i dep creati per l'uso con più carichi di lavoro, completare la procedura seguente:

1. Nel computer locale, usando un account aziendale o dell'istituto di istruzione con autorizzazioni di amministratore globale o amministratore della conformità nell'organizzazione, connettersi a Exchange Online PowerShell.

   • Per restituire l'elenco di tutti i provider di servizi di distribuzione multi-carico di lavoro nell'organizzazione, eseguire questo comando.

     Get-M365DataAtRestEncryptionPolicy
     

   • Per restituire informazioni dettagliate su un DEP specifico, eseguire questo comando. In questo esempio vengono restituite informazioni dettagliate per il DEP denominato "Contoso_Global"

     Get-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global"
     

Ottenere informazioni sull'assegnazione DEP con più carichi di lavoro

Per scoprire quale DEP è attualmente assegnato al tenant, seguire questa procedura.

1. Nel computer locale, usando un account aziendale o dell'istituto di istruzione con autorizzazioni di amministratore globale o amministratore della conformità nell'organizzazione, connettersi a Exchange Online PowerShell.

2. Digitare questo comando.

   Get-M365DataAtRestEncryptionPolicyAssignment
   

Disabilitare un DEP con più carichi di lavoro

Prima di disabilitare un DEP con più carichi di lavoro, annullare l'assegnazione del DEP dai carichi di lavoro nel tenant. Per disabilitare un dep usato con più carichi di lavoro, completare la procedura seguente:

1. Nel computer locale, usando un account aziendale o dell'istituto di istruzione con autorizzazioni di amministratore globale o amministratore della conformità nell'organizzazione, connettersi a Exchange Online PowerShell.

2. Eseguire il cmdlet Set-M365DataAtRestEncryptionPolicy.

   Set-M365DataAtRestEncryptionPolicy -[Identity] "PolicyName" -Enabled $false
   

Dove "PolicyName" è il nome o l'ID univoco del criterio. Ad esempio, Contoso_Global.

Esempio:

Set-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global" -Enabled $false

Ripristinare le chiavi di Azure Key Vault

Prima di eseguire un ripristino, usare le funzionalità di ripristino fornite dall'eliminazione temporanea. Tutte le chiavi usate con La chiave del cliente devono avere l'eliminazione temporanea abilitata. L'eliminazione temporanea funziona come un Cestino e consente il ripristino per un massimo di 90 giorni senza la necessità di ripristinare. Il ripristino deve essere necessario solo in circostanze estreme o insolite, ad esempio se la chiave o l'insieme di credenziali delle chiavi viene perso. Se è necessario ripristinare una chiave da usare con customer key, in Azure PowerShell eseguire il cmdlet Restore-AzureKeyVaultKey come indicato di seguito:

Restore-AzKeyVaultKey -VaultName <vault name> -InputFile <filename>

Ad esempio:

Restore-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Se l'insieme di credenziali delle chiavi contiene già una chiave con lo stesso nome, l'operazione di ripristino ha esito negativo. Restore-AzKeyVaultKey ripristina tutte le versioni delle chiavi e tutti i metadati per la chiave, incluso il nome della chiave.

Gestire le autorizzazioni dell'insieme di credenziali delle chiavi

Sono disponibili diversi cmdlet che consentono di visualizzare e, se necessario, rimuovere le autorizzazioni dell'insieme di credenziali delle chiavi. Potrebbe essere necessario rimuovere le autorizzazioni, ad esempio quando un dipendente lascia il team. Per ognuna di queste attività, usare Azure PowerShell. Per informazioni su Azure PowerShell, vedere Panoramica delle Azure PowerShell.

Per visualizzare le autorizzazioni dell'insieme di credenziali delle chiavi, eseguire il cmdlet Get-AzKeyVault.

Get-AzKeyVault -VaultName <vault name>

Ad esempio:

Get-AzKeyVault -VaultName Contoso-O365EX-NA-VaultA1

Per rimuovere le autorizzazioni di un amministratore, eseguire il cmdlet Remove-AzKeyVaultAccessPolicy:

Remove-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user>

Ad esempio:

Remove-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -UserPrincipalName alice@contoso.com

Eseguire il rollback dalla chiave del cliente alle chiavi gestite da Microsoft

Se è necessario ripristinare le chiavi gestite da Microsoft, è possibile. Quando si esegue il rollback, i dati vengono crittografati nuovamente usando la crittografia predefinita supportata da ogni singolo carico di lavoro. Ad esempio, Exchange Online e Windows 365 PC cloud supportano la crittografia predefinita tramite chiavi gestite da Microsoft.

Importante

Il rollback non equivale a un'eliminazione dei dati. Un'eliminazione dei dati elimina definitivamente i dati dell'organizzazione da Microsoft 365 e il rollback non lo fa. Non è possibile eseguire un'eliminazione dei dati per più criteri del carico di lavoro.

Eseguire il rollback dalla chiave del cliente per più carichi di lavoro

Se si decide di non usare più la chiave del cliente per l'assegnazione di indirizzi DEP con più carichi di lavoro, inviare un ticket di supporto usando il portale di amministrazione di Microsoft 365 e specificare i dettagli seguenti nella richiesta:

• Tenant FQDN
• Contatto del tenant per la richiesta di rollback
• Motivo dell'uscita
• Includere una nota nel ticket di servizio a cui indirizzare la richiesta m365-ck@service.microsoft.com e includere l'evento imprevisto #

È comunque necessario conservare gli AKV della chiave del cliente e le chiavi di crittografia con le autorizzazioni appropriate per il rewrapping dei dati usando le chiavi gestite di Microsoft. Inviare un messaggio di posta elettronica a m365-ck@service.microsoft.com se si hanno domande.

Eseguire il rollback dalla chiave del cliente per Exchange Online

Se non si vuole più crittografare le singole cassette postali usando i punti di accesso a livello di cassetta postale, è possibile annullare l'assegnazione di indirizzi DEP a livello di cassetta postale da tutte le cassette postali.

Per annullare l'assegnazione di indirizzi DEP delle cassette postali, usare il cmdlet di PowerShell Set-Mailbox.

1. Usando un account aziendale o dell'istituto di istruzione con autorizzazioni di amministratore globale nell'organizzazione, connettersi a Exchange Online PowerShell.

2. Eseguire il cmdlet Set-Mailbox.

   Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy $null
   

L'esecuzione di questo cmdlet annulla l'assegnazione del dep e crittografa nuovamente la cassetta postale usando il dep associato alle chiavi gestite da Microsoft predefinite. Non è possibile annullare l'assegnazione del DEP usato dalle chiavi gestite di Microsoft. Se non si vogliono usare chiavi gestite da Microsoft, è possibile assegnare un altro DEP chiave cliente alla cassetta postale.

Eseguire il rollback dalla chiave del cliente per SharePoint e Microsoft OneDrive per l'azienda o l'istituto di istruzione

Il rollback dalla chiave del cliente alle chiavi gestite da Microsoft non è supportato per i file di SharePoint, OneDrive for work or school e Teams. Per altre informazioni, contattare spock@microsoft.com .

Revocare le chiavi e avviare il processo del percorso di eliminazione dei dati

È possibile controllare la revoca di tutte le chiavi radice, inclusa la chiave di disponibilità. Customer Key fornisce il controllo dell'aspetto di pianificazione dell'uscita dai requisiti normativi. Se si decide di revocare le chiavi per eliminare i dati e uscire dal servizio, il servizio elimina la chiave di disponibilità al termine del processo di eliminazione dei dati. Questa funzionalità è supportata per i punti di distribuzione chiave del cliente assegnati alle singole cassette postali.

Microsoft 365 controlla e convalida il percorso di eliminazione dei dati. Per altre informazioni, vedere il report SSAE 18 SOC 2 disponibile nel portale di attendibilità del servizio. Microsoft consiglia inoltre i documenti seguenti:

• Guida alla valutazione dei rischi e alla conformità per gli istituti finanziari nel cloud Microsoft

• Considerazioni sulla pianificazione dell'uscita da Microsoft 365

L'eliminazione di DEP con più carichi di lavoro non è supportata per la chiave del cliente. Il dep multi-carico di lavoro viene usato per crittografare i dati tra più carichi di lavoro tra tutti gli utenti tenant. L'eliminazione di questo DEP comporterebbe l'inaccessibilità dei dati da più carichi di lavoro. Se si decide di chiudere completamente i servizi di Microsoft 365, vedere come eliminare un tenant in Microsoft Entra ID.

Revocare le chiavi del cliente e la chiave di disponibilità per Exchange Online

Quando si avvia il percorso di eliminazione dei dati per Exchange Online, si imposta una richiesta di eliminazione permanente dei dati in un DEP. In questo modo vengono eliminati definitivamente i dati crittografati all'interno delle cassette postali a cui è assegnato il DEP.

Poiché è possibile eseguire il cmdlet di PowerShell solo su un dep alla volta, è consigliabile riassegnare una singola protezione protezione dati a tutte le cassette postali prima di avviare il percorso di eliminazione dei dati.

Avviso

Non usare il percorso di eliminazione dei dati per eliminare un subset delle cassette postali. Questo processo è destinato solo ai clienti che escono dal servizio.

Per avviare il percorso di eliminazione dei dati, seguire questa procedura:

1. Rimuovere le autorizzazioni di wrapping e annullamento del wrapping per "O365 Exchange Online" da Azure Key Vaults.

2. Usando un account aziendale o dell'istituto di istruzione con privilegi di amministratore globale nell'organizzazione, connettersi a Exchange Online PowerShell.

3. Per ogni DEP contenente le cassette postali da eliminare, eseguire il cmdlet Set-DataEncryptionPolicy come indicato di seguito.

   Set-DataEncryptionPolicy <Policy ID> -PermanentDataPurgeRequested -PermanentDataPurgeReason <Reason> -PermanentDataPurgeContact <ContactName>
   

   Se il comando non riesce, assicurarsi di rimuovere le autorizzazioni di Exchange Online da entrambe le chiavi in Azure Key Vault come specificato in precedenza in questa attività. Dopo aver impostato l'opzione "PermanentDataPurgeRequested" usando il cmdlet Set-DataEncryptionPolicy, l'assegnazione di questo DEP alle cassette postali non è più supportata.

4. Contattare il supporto tecnico Microsoft e richiedere l'eDocument di Eliminazione dati.

   Su richiesta dell'utente, Microsoft invia un documento legale per confermare e autorizzare l'eliminazione dei dati. La persona dell'organizzazione che ha effettuato l'iscrizione come responsabile approvazione nell'offerta FastTrack durante l'onboarding deve firmare questo documento. In genere, questa persona è un dirigente o un'altra persona designata dell'azienda che è legalmente autorizzata a firmare i documenti per conto dell'organizzazione.

5. Dopo che il rappresentante ha firmato il documento legale, restituirlo a Microsoft (in genere tramite una firma eDoc).

   Dopo aver ricevuto il documento legale, Microsoft esegue i cmdlet per attivare l'eliminazione dei dati, che prima elimina i criteri, contrassegna le cassette postali per l'eliminazione permanente, quindi elimina la chiave di disponibilità. Al termine del processo di eliminazione dei dati, i dati vengono eliminati, inaccessibili a Exchange Online e non sono recuperabili.

Revocare le chiavi del cliente e la chiave di disponibilità per i file di SharePoint, OneDrive per l'azienda o l'istituto di istruzione e Teams

L'eliminazione dei file DIP di SharePoint, OneDrive per l'azienda o l'istituto di istruzione e teams non è supportata nella chiave del cliente. Se si decide di uscire completamente dai servizi di Microsoft 365, è possibile proseguire il percorso di eliminazione del tenant in base al processo documentato. Vedere come eliminare un tenant in Microsoft Entra ID.

Migrazione degli insiemi di credenziali delle chiavi dall'uso del modello di criteri di accesso legacy all'uso del controllo degli accessi in base al ruolo

Se è stato eseguito l'onboarding in Customer Key usando il metodo dei criteri di accesso legacy, seguire le istruzioni per eseguire la migrazione di tutti gli insiemi di credenziali delle chiavi di Azure per usare il metodo RBAC. Per confrontare le differenze e vedere il motivo per cui Microsoft consiglia il controllo degli accessi in base al ruolo di Azure, vedere Controllo degli accessi in base al ruolo di Azure e criteri di accesso (legacy).

Rimuovere i criteri di accesso esistenti

Per rimuovere i criteri di accesso esistenti dagli insiemi di credenziali delle chiavi, usare il cmdlet "Remove-AzKeyVaultAccessPolicy".

1. Per rimuovere le autorizzazioni, accedere alla sottoscrizione di Azure con Azure PowerShell. Per istruzioni, vedere Accedere con Azure PowerShell.

2. Eseguire il cmdlet Remove-AzKeyVaultAccessPolicy usando la sintassi seguente per rimuovere l'autorizzazione per l'entità servizio Microsoft 365 :

   Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4
   

3. Eseguire il cmdlet Remove-AzKeyVaultAccessPolicy usando la sintassi seguente per rimuovere l'autorizzazione per Exchange Online'entità:

   Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000
   

4. Eseguire il cmdlet Remove-AzKeyVaultAccessPolicy usando la sintassi seguente per rimuovere l'autorizzazione per SharePoint e OneDrive per l'entità servizio aziendale o dell'istituto di istruzione :

   Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000
   

Modifica del modello di autorizzazione di configurazione di Access

Dopo aver rimosso i criteri di accesso dell'insieme di credenziali esistenti, passare all'insieme di credenziali delle chiavi nel portale di Azure. In ogni insieme di credenziali passare alla scheda "Configurazione di accesso" sul lato sinistro, nell'elenco a discesa "Impostazioni".

In "Modello di autorizzazione" selezionare "Controllo degli accessi in base al ruolo di Azure" e quindi selezionare "Applica" nella parte inferiore della schermata.

Assegnazione di autorizzazioni di controllo degli accessi in base al ruolo

Infine, per assegnare le autorizzazioni di controllo degli accessi in base al ruolo agli insiemi di credenziali delle chiavi di Azure, vedere Assegnare autorizzazioni a ogni Key Vault.

Articoli correlati

• Panoramica della chiave cliente

• Informazioni sulla chiave di disponibilità

• Impostazione della chiave cliente

• Implementare o distribuire una Customer Key o una chiave di disponibilità

• Customer Lockbox

• Crittografia del servizio e gestione delle chiavi