Configurare la chiave del clienteSet up Customer Key

Con il codice "Customer Key", è possibile controllare le chiavi di crittografia dell'organizzazione e quindi configurare Microsoft 365 per utilizzarle per crittografare i dati a riposo nei data center di Microsoft.With Customer Key, you control your organization's encryption keys and then configure Microsoft 365 to use them to encrypt your data at rest in Microsoft's data centers. In altre parole, la chiave del cliente consente ai clienti di aggiungere un livello di crittografia che appartiene a loro, con le chiavi.In other words, Customer Key allows customers to add a layer of encryption that belongs to them, with their keys. Data at rest include i dati di Exchange Online e Skype for business archiviati nelle cassette postali e nei file archiviati in SharePoint Online e OneDrive for business.Data at rest includes data from Exchange Online and Skype for Business that is stored in mailboxes and files that are stored in SharePoint Online and OneDrive for Business.

È necessario configurare Azure prima di poter utilizzare la chiave del cliente per Office 365.You must set up Azure before you can use Customer Key for Office 365. In questo argomento vengono descritti i passaggi da seguire per creare e configurare le risorse di Azure necessarie, quindi vengono illustrati i passaggi per la configurazione della chiave del cliente in Office 365.This topic describes the steps you need to follow to create and configure the required Azure resources and then provides the steps for setting up Customer Key in Office 365. Dopo aver completato l'installazione di Azure, è possibile stabilire quali criteri e quindi quali chiavi, per assegnare alle cassette postali e ai file nell'organizzazione.After you have completed Azure setup, you determine which policy, and therefore, which keys, to assign to mailboxes and files in your organization. Le cassette postali e i file per cui non si assegna un criterio utilizzeranno i criteri di crittografia controllati e gestiti da Microsoft.Mailboxes and files for which you don't assign a policy will use encryption policies that are controlled and managed by Microsoft. Per ulteriori informazioni sulla chiave del cliente o per una panoramica generale, vedere Service Encryption with Customer Key in Office 365.For more information about Customer Key, or for a general overview, see Service encryption with Customer Key in Office 365.

Importante

È consigliabile attenersi alle procedure consigliate riportate in questo argomento.We strongly recommend that you follow the best practices in this topic. Questi sono denominati Suggerimento e importante.These are called out as TIP and IMPORTANT. La chiave Customer consente di controllare le chiavi di crittografia radice il cui ambito può essere grande come l'intera organizzazione.Customer Key gives you control over root encryption keys whose scope can be as large as your entire organization. Questo significa che gli errori commessi con queste chiavi possono avere un impatto generale e possono causare interruzioni del servizio o perdita irrevocabile dei dati.This means that mistakes made with these keys can have a broad impact and may result in service interruptions or irrevocable loss of your data.

Prima di configurare la chiave del clienteBefore you set up Customer Key

Prima di iniziare, verificare di disporre delle licenze appropriate per l'organizzazione.Before you get started, ensure that you have the appropriate licensing for your organization. A partire dal 1 ° aprile 2020, la chiave del cliente in Office 365 è disponibile in Office 365 E5, M365 E5, M365 E5 compliance e M365 E5 Information Protection & SKU.Starting April 1, 2020, Customer Key in Office 365 is offered in Office 365 E5, M365 E5, M365 E5 Compliance, and M365 E5 Information Protection & Governance SKUs. Microsoft Office 365 Advanced Compliance SKU non è più disponibile per l'ottenimento di nuove licenze.Office 365 Advanced Compliance SKU is no longer available for procuring new licenses. Le licenze di conformità avanzate di Office 365 continueranno a essere supportate.Existing Office 365 Advanced Compliance licenses will continue to be supported.

Per informazioni sui concetti e le procedure illustrate in questo argomento, vedere la documentazione di Azure Key Vault .To understand the concepts and procedures in this topic, review the Azure Key Vault documentation. Inoltre, acquisire familiarità con i termini utilizzati in Azure, ad esempio, il tenant di Azure ad.Also, become familiar with the terms used in Azure, for example, Azure AD tenant.

FastTrack viene utilizzato solo per raccogliere le informazioni necessarie per la configurazione del tenant e del servizio utilizzate per la registrazione per la chiave del cliente.FastTrack is only used to collect the required tenant and service configuration information used to register for Customer Key. Le offerte chiave del cliente sono pubblicate tramite FastTrack in modo che sia opportuno che i partner inviino le informazioni richieste utilizzando lo stesso metodo.The Customer Key Offers are published via FastTrack so that it is convenient for you and our partners to submit the required information using the same method. FastTrack consente inoltre di archiviare facilmente i dati forniti nell'offerta.FastTrack also makes it easy to archive the data that you provide in the Offer.

Se è necessario ulteriore supporto oltre la documentazione, contattare Microsoft Consulting Services (MCS), Premier Field Engineering (PFE) o un partner Microsoft per assistenza.If you need additional support beyond the documentation, contact Microsoft Consulting Services (MCS), Premier Field Engineering (PFE), or a Microsoft partner for assistance. Per fornire commenti e suggerimenti sulla chiave del cliente, inclusa la documentazione, inviare le proprie idee, consigli e prospettive a customerkeyfeedback@microsoft.com.To provide feedback on Customer Key, including the documentation, send your ideas, suggestions, and perspectives to customerkeyfeedback@microsoft.com.

Panoramica della procedura per configurare la chiave del clienteOverview of steps to set up Customer Key

Per impostare la chiave del cliente, completare queste attività nell'ordine indicato.To set up Customer Key, complete these tasks in the listed order. Nella parte restante di questo articolo vengono fornite istruzioni dettagliate per ogni attività o collegamenti a ulteriori informazioni per ogni passaggio del processo.The rest of this article provides detailed instructions for each task, or links out to more information for each step in the process.

In Azure e Microsoft FastTrack:In Azure and Microsoft FastTrack:

La maggior parte delle attività verrà completata tramite la connessione remota a Azure PowerShell.You will complete most of these tasks by remotely connecting to Azure PowerShell. Per ottenere risultati ottimali, utilizzare la versione 4.4.0 o successiva di Azure PowerShell.For best results, use version 4.4.0 or later of Azure PowerShell.

Dopo aver creato le due nuove sottoscrizioni di Azure, è necessario inviare la richiesta di offerta chiave del cliente completando un modulo Web ospitato nel portale di Microsoft FastTrack.Once you've created the two new Azure subscriptions, you'll need to submit the appropriate Customer Key offer request by completing a web form that is hosted in the Microsoft FastTrack portal. Il team di FastTrack non fornisce assistenza per la chiave del cliente. Office utilizza semplicemente il portale FastTrack per consentire all'utente di inviare il modulo e di aiutarci a tenere conto delle offerte rilevanti per la chiave del cliente.The FastTrack team doesn't provide assistance with Customer Key. Office simply uses the FastTrack portal to allow you to submit the form and to help us track the relevant offers for Customer Key.

In Office 365:In Office 365:

Exchange Online e Skype for business:Exchange Online and Skype for Business:

SharePoint Online e OneDrive for business:SharePoint Online and OneDrive for Business:

Completare le attività in Azure Key Vault e Microsoft FastTrack per la chiave del clienteComplete tasks in Azure Key Vault and Microsoft FastTrack for Customer Key

Completare queste attività in Azure Key Vault.Complete these tasks in Azure Key Vault. È necessario completare questi passaggi, indipendentemente dal fatto che si desideri impostare la chiave del cliente per Exchange Online e Skype for business o per SharePoint Online, OneDrive for business e per i file di teams o per tutti i servizi supportati in Office 365.You'll need to complete these steps regardless of whether you intend to set up Customer Key for Exchange Online and Skype for Business or for SharePoint Online, OneDrive for Business, and Teams files, or for all supported services in Office 365.

Creare due nuove sottoscrizioni di AzureCreate two new Azure subscriptions

La chiave del cliente richiede due sottoscrizioni di Azure.Customer Key requires two Azure subscriptions. Come procedura consigliata, Microsoft consiglia di creare nuove sottoscrizioni di Azure per l'utilizzo con la chiave del cliente.As a best practice, Microsoft recommends that you create new Azure subscriptions for use with Customer Key. Le chiavi del Vault Key di Azure possono essere autorizzate solo per le applicazioni nello stesso tenant di Azure Active Directory (Microsoft Azure Active Directory), è necessario creare le nuove sottoscrizioni utilizzando lo stesso tenant di Azure AD utilizzato per l'organizzazione in cui verrà assegnato il DEPs.Azure Key Vault keys can only be authorized for applications in the same Azure Active Directory (Microsoft Azure Active Directory) tenant, you must create the new subscriptions using the same Azure AD tenant used with your organization where the DEPs will be assigned. Ad esempio, utilizzando l'account aziendale o dell'Istituto di istruzione con privilegi di amministratore globale nell'organizzazione.For example, using your work or school account that has global administrator privileges in your organization. Per la procedura dettagliata, vedere iscriversi a Azure come organizzazione.For detailed steps, see Sign up for Azure as an organization.

Importante

La chiave del cliente richiede due chiavi per ogni criterio di crittografia dei dati.Customer Key requires two keys for each data encryption policy (DEP). Per ottenere questo risultato, è necessario creare due sottoscrizioni di Azure.In order to achieve this, you must create two Azure subscriptions. Come procedura consigliata, Microsoft consiglia di disporre di membri distinti dell'organizzazione che configurano una chiave in ogni sottoscrizione.As a best practice, Microsoft recommends that you have separate members of your organization configure one key in each subscription. Inoltre, queste sottoscrizioni di Azure devono essere utilizzate solo per amministrare le chiavi di crittografia per Office 365.In addition, these Azure subscriptions should only be used to administer encryption keys for Office 365. Questo consente di proteggere l'organizzazione nel caso in cui uno degli operatori involontariamente, intenzionalmente o elimini in modo doloso o meno le chiavi per le quali sono responsabili.This protects your organization in case one of your operators accidentally, intentionally, or maliciously deletes or otherwise mismanages the keys for which they are responsible.
È consigliabile impostare nuove sottoscrizioni di Azure che vengono utilizzate solo per la gestione delle risorse del Vault Key di Azure per l'utilizzo con la chiave del cliente.We recommend that you set up new Azure subscriptions that are solely used for managing Azure Key Vault resources for use with Customer Key. Non esiste alcun limite pratico per il numero di sottoscrizioni di Azure che è possibile creare per l'organizzazione.There is no practical limit to the number of Azure subscriptions that you can create for your organization. Seguendo queste procedure consigliate si minimizza l'impatto dell'errore umano contribuendo a gestire le risorse utilizzate dalla chiave del cliente.Following these best practices will minimize the impact of human error while helping to manage the resources used by Customer Key.

Inviare una richiesta per attivare la chiave del cliente per Office 365Submit a request to activate Customer Key for Office 365

Dopo aver completato i passaggi di Azure, è necessario inviare una richiesta di offerta nel portale Microsoft FastTrack.Once you've completed the Azure steps, you'll need to submit an offer request in the Microsoft FastTrack portal. Dopo aver inoltrato una richiesta tramite il portale Web di FastTrack, Microsoft verifica i dati di configurazione del Vault Key di Azure e le informazioni di contatto fornite.Once you have submitted a request through the FastTrack web portal, Microsoft verifies the Azure Key Vault configuration data and contact information you provided. Le selezioni che vengono apportate nel modulo di offerta per quanto riguarda i funzionari autorizzati dell'organizzazione sono critiche e necessarie per il completamento della registrazione a chiave del cliente.The selections that you make in the offer form regarding the authorized officers of your organization is critical and necessary for completion of Customer Key registration. Gli agenti dell'organizzazione selezionati nel modulo saranno utilizzati per garantire l'autenticità di qualsiasi richiesta di revocare e distruggere tutte le chiavi utilizzate con un criterio di crittografia dei dati chiave del cliente.The officers of your organization that you select in the form will be the used to ensure the authenticity of any request to revoke and destroy all keys used with a Customer Key data encryption policy. È necessario eseguire questo passaggio una volta per attivare il codice "Customer Key" per Exchange Online e Skype for business e una seconda volta per attivare la chiave del cliente per SharePoint Online e OneDrive for business.You'll need to do this step once to activate Customer Key for Exchange Online and Skype for Business coverage and a second time to activate Customer Key for SharePoint Online and OneDrive for Business.

Per inviare un'offerta per attivare il codice "Customer Key", eseguire la procedura seguente:To submit an offer to activate Customer Key, complete these steps:

  1. Utilizzando un account aziendale o dell'Istituto di istruzione con autorizzazioni di amministratore globale nell'organizzazione, eseguire l'accesso al portale di Microsoft FastTrack.Using a work or school account that has global administrator permissions in your organization, log in to the Microsoft FastTrack portal.

  2. Dopo aver effettuato l'accesso, passare al Dashboard.Once you're logged in, browse to the Dashboard.

  3. Fare clic su Distribuisci dalla barra di spostamento o su Visualizza tutte le risorse di distribuzione nella scheda informazioni deploy ed esaminare l'elenco delle offerte correnti.Choose Deploy from the navigation bar OR select View all deployment resources on the Deploy information card, and review the list of current offers.

  4. Scegliere la scheda informazioni per l'offerta che si applica all'utente:Choose the information card for the offer that applies to you:

    • Exchange Online e Skype for business: Scegliere la Guida alla chiave di crittografia delle richieste per l'offerta di Exchange Online .Exchange Online and Skype for Business: Choose the Request encryption key help for Exchange online offer.

    • File di SharePoint Online, OneDrive e teams: Scegliere la Guida per la chiave di crittografia delle richieste per SharePoint e OneDrive .SharePoint Online, OneDrive, and Teams files: Choose the Request encryption key help for Sharepoint and OneDrive offer.

  5. Dopo aver esaminato i dettagli dell'offerta, scegliere continue to Step 2.Once you've reviewed the offer details, choose Continue to step 2.

  6. Compilare tutti i dettagli applicabili e le informazioni richieste nel modulo di offerta.Fill out all applicable details and requested information on the offer form. Prestare particolare attenzione alle selezioni per i funzionari dell'organizzazione che si desidera autorizzare ad approvare la distruzione permanente e irreversibile delle chiavi di crittografia e dei dati.Pay particular attention to your selections for which officers of your organization you want to authorize to approve the permanent and irreversible destruction of encryption keys and data. Dopo aver completato il modulo, scegliere Submit.Once you've completed the form, choose Submit.

Registrare le sottoscrizioni di Azure per l'utilizzo di un periodo di conservazione obbligatorioRegister Azure subscriptions to use a mandatory retention period

La perdita temporanea o permanente delle chiavi di crittografia radice può essere molto dirompente o addirittura catastrofica per l'utilizzo del servizio e può causare una perdita di dati.The temporary or permanent loss of root encryption keys can be very disruptive or even catastrophic to service operation and can result in data loss. Per questo motivo, le risorse utilizzate con la chiave del cliente richiedono una protezione sicura.For this reason, the resources used with Customer Key require strong protection. Tutte le risorse di Azure utilizzate con la chiave del cliente offrono meccanismi di protezione oltre la configurazione predefinita.All the Azure resources that are used with Customer Key offer protection mechanisms beyond the default configuration. Le sottoscrizioni di Azure possono essere contrassegnate o registrate in un modo che impedirà l'annullamento immediato e irrevocabile.Azure subscriptions can be tagged or registered in a way that will prevent immediate and irrevocable cancellation. Si tratta della registrazione di un periodo di conservazione obbligatorio.This is referred to as registering for a mandatory retention period. I passaggi necessari per registrare le sottoscrizioni di Azure per un periodo di conservazione obbligatorio richiedono la collaborazione con il team di Microsoft 365.The steps required to register Azure subscriptions for a mandatory retention period require collaboration with the Microsoft 365 team. Questo processo può richiedere da uno a cinque giorni lavorativi.This process can take from one to five business days. In precedenza, questo è stato talvolta definito come "non annullare".Previously, this was sometimes referred to as "Do Not Cancel".

Prima di contattare il team di Microsoft 365, è necessario eseguire i passaggi seguenti per ogni sottoscrizione di Azure utilizzata con la chiave del cliente.Before contacting the Microsoft 365 team, you must perform the following steps for each Azure subscription that you use with Customer Key. Prima di iniziare, assicurarsi di avere installato il modulo di Azure PowerShell AZ .Ensure that you have the Azure PowerShell Az module installed before you start.

  1. Accedere con PowerShell di Azure.Sign in with Azure PowerShell. Per istruzioni, vedere accedere con Azure PowerShell.For instructions, see Sign in with Azure PowerShell.

  2. Eseguire il cmdlet Register-AzProviderFeature per registrare gli abbonamenti per l'utilizzo di un periodo di conservazione obbligatorio.Run the Register-AzProviderFeature cmdlet to register your subscriptions to use a mandatory retention period. Eseguire questa azione per ogni sottoscrizione.Perform this action for each subscription.

    Set-AzContext -SubscriptionId <SubscriptionId>
    Register-AzProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources
    
  3. Contattare Microsoft per eseguire il processo di completamento.Contact Microsoft to have the process finalized. Per il team di SharePoint e OneDrive for business, contattare Spock@microsoft.com.For the SharePoint and OneDrive for Business team, contact spock@microsoft.com. Per Exchange Online e Skype for business, contattare exock@microsoft.com.For Exchange Online and Skype for Business, contact exock@microsoft.com. Includere quanto segue nel messaggio di posta elettronica:Include the following in your email:

    Oggetto: chiave del cliente per <Your tenant's fully-qualified domain name>Subject: Customer Key for <Your tenant's fully-qualified domain name>

    Corpo: ID di sottoscrizione per i quali si desidera che il periodo di conservazione obbligatorio sia stato completato.Body: Subscription IDs for which you want to have the mandatory retention period finalized. L'output di Get-AzProviderFeature per ogni sottoscrizione.The output of Get-AzProviderFeature for each subscription.

    Il contratto di servizio per il completamento di questo processo è di cinque giorni lavorativi una volta che Microsoft è stato informato (e verificato) di aver registrato gli abbonamenti per l'utilizzo di un periodo di conservazione obbligatorio.The Service Level Agreement (SLA) for completion of this process is five business days once Microsoft has been notified (and verified) that you have registered your subscriptions to use a mandatory retention period.

  4. Dopo aver ricevuto la notifica da Microsoft che la registrazione è stata completata, verificare lo stato della registrazione eseguendo il comando Get-AzProviderFeature come indicato di seguito.Once you receive notification from Microsoft that registration is complete, verify the status of your registration by running the Get-AzProviderFeature command as follows. Se verificato, il comando Get-AzProviderFeature restituirà il valore registrato per la proprietà state di registrazione .If verified, the Get-AzProviderFeature command returns a value of Registered for the Registration State property. Eseguire questa azione per ogni sottoscrizione.Perform this action for each subscription.

    Set-AzContext -SubscriptionId <SubscriptionId>
    Get-AzProviderFeature -ProviderNamespace Microsoft.Resources -FeatureName mandatoryRetentionPeriodEnabled
    
  5. Per completare il processo, eseguire il comando Register-AzResourceProvider.To complete the process, run the Register-AzResourceProvider command. Eseguire questa azione per ogni sottoscrizione.Perform this action for each subscription.

    Set-AzContext -SubscriptionId <SubscriptionId>
    Register-AzResourceProvider -ProviderNamespace Microsoft.KeyVault
    

Creare un Vault Key Azure Premium in ogni sottoscrizioneCreate a premium Azure Key Vault in each subscription

La procedura per creare un Vault chiave è documentata per iniziare con Azure Key Vault, che illustra l'installazione e l'avvio di Azure PowerShell, la connessione all'abbonamento di Azure, la creazione di un gruppo di risorse e la creazione di un Vault Key in tale gruppo di risorse.The steps to create a key vault are documented in Getting Started with Azure Key Vault, which guides you through installing and launching Azure PowerShell, connecting to your Azure subscription, creating a resource group, and creating a key vault in that resource group.

Quando si crea un Vault chiave, è necessario scegliere un SKU: standard o Premium.When you create a key vault, you must choose a SKU: either Standard or Premium. La SKU standard consente di proteggere i tasti del Vault Key di Azure con il software: non vi è alcuna protezione della chiave HSM (hardware Security Module) e la SKU Premium consente l'utilizzo di HSM per la protezione delle chiavi del Vault Key.The Standard SKU allows Azure Key Vault keys to be protected with software - there is no Hardware Security Module (HSM) key protection - and the Premium SKU allows the use of HSMs for protection of Key Vault keys. La chiave Customer accetta i Vault chiave che utilizzano SKU, anche se Microsoft consiglia vivamente di utilizzare solo la SKU Premium.Customer Key accepts key vaults that use either SKU, though Microsoft strongly recommends that you use only the Premium SKU. Il costo delle operazioni con chiavi di entrambi i tipi è lo stesso, quindi l'unica differenza di costo è il costo al mese per ogni chiave protetta da HSM.The cost of operations with keys of either type is the same, so the only difference in cost is the cost per month for each HSM-protected key. Per informazioni dettagliate, vedere Key Vault pricing .See Key Vault pricing for details.

Importante

Utilizzare i Vault chiave SKU Premium e le chiavi con protezione HSM per i dati di produzione e utilizzare solo i Vault e le chiavi standard SKU per il testing e la convalida.Use the Premium SKU key vaults and HSM-protected keys for production data, and only use Standard SKU key vaults and keys for testing and validation purposes.

Per ogni servizio Microsoft 365 con cui si utilizzerà la chiave del cliente, creare un Vault Key in ognuna delle due sottoscrizioni di Azure create.For each Microsoft 365 service with which you will use Customer Key, create a key vault in each of the two Azure subscriptions that you created. Ad esempio, per Exchange Online e Skype for business solo o SharePoint Online e OneDrive for business, si creerà solo una coppia di volte.For example, for Exchange Online and Skype for Business only or SharePoint Online and OneDrive for Business only, you will create only one pair of vaults. Per abilitare la chiave del cliente per Exchange Online e SharePoint Online, è possibile creare due coppie di volte chiave.To enable Customer Key for both Exchange Online and SharePoint Online, you will create two pairs of key vaults.

Utilizzare una convenzione di denominazione per i Vault chiave che riflette l'utilizzo previsto dei criteri di crittografia dei dati con cui verranno associati i Vault.Use a naming convention for key vaults that reflects the intended use of the data encryption policy with which you will associate the vaults. Vedere la sezione procedure consigliate di seguito per la denominazione dei consigli convenzioni.See the Best Practices section below for naming convention recommendations.

Creare un set di volte separato e abbinato per ogni criterio di crittografia dei dati.Create a separate, paired set of vaults for each data encryption policy. Per Exchange Online, l'ambito di un criterio di crittografia dei dati viene scelto dall'utente quando si assegna il criterio alla cassetta postale.For Exchange Online, the scope of a data encryption policy is chosen by you when you assign the policy to mailbox. Una cassetta postale può avere un solo criterio assegnato ed è possibile creare fino a 50 criteri.A mailbox can have only one policy assigned, and you can create up to fifty policies. Per SharePoint Online l'ambito di un criterio è costituito da tutti i dati all'interno di un'organizzazione in una posizione geografica o Geo.For SharePoint Online the scope of a policy is all of the data within an organization in a geographic location, or geo.

La creazione di Vault chiave richiede anche la creazione di gruppi di risorse di Azure, poiché è necessario che la capacità di archiviazione (anche se molto piccola) e la registrazione Key Vault, se abilitata, generano anche dati archiviati.The creation of key vaults also requires the creation of Azure resource groups, since key vaults need storage capacity (though very small) and Key Vault logging, if enabled, also generates stored data. Come procedura consigliata, Microsoft consiglia di utilizzare amministratori distinti per gestire ogni gruppo di risorse, con l'amministrazione allineata al set di amministratori che gestirà tutte le risorse chiave dei clienti correlate.As a best practice Microsoft recommends using separate administrators to manage each resource group, with the administration aligned with the set of administrators that will manage all related Customer Key resources.

Importante

Per massimizzare la disponibilità, i Vault delle chiavi devono trovarsi nelle aree geografiche vicino al servizio Microsoft 365.To maximize availability, your key vaults should be in regions close to your Microsoft 365 service. Ad esempio, se l'organizzazione di Exchange Online è in Nord America, inserire i Vault chiave in Nord America.For example, if your Exchange Online organization is in North America, place your key vaults in North America. Se l'organizzazione di Exchange Online è in Europa, inserire i Vault chiave in Europa.If your Exchange Online organization is in Europe, place your key vaults in Europe.
Utilizzare un prefisso comune per i Vault chiave e includere un'abbreviazione dell'utilizzo e dell'ambito del Vault Key e delle chiavi (ad esempio, per il servizio contoso SharePoint in cui si trovano i Vault in Nord America, una possibile coppia di nomi è contoso-O365SP-NA-VaultA1 e contoso-O365SP-NA-VaultA2.Use a common prefix for key vaults, and include an abbreviation of the use and scope of the key vault and keys (e.g., for the Contoso SharePoint service where the vaults will be located in North America, a possible pair of names is Contoso-O365SP-NA-VaultA1 and Contoso-O365SP-NA-VaultA2. Il nome del Vault è una stringa univoca globale all'interno di Azure, quindi potrebbe essere necessario provare varianti dei nomi desiderati, nel caso in cui i nomi desiderati siano già stati rivendicati da altri clienti di Azure.Vault names are globally unique strings within Azure, so you may need to try variations of your desired names in case the desired names are already claimed by other Azure customers. A luglio 2017 non è possibile modificare i nomi dei Vault, quindi è consigliabile disporre di un piano scritto per il programma di installazione e utilizzare una seconda persona per verificare che il piano sia stato eseguito correttamente.As of July 2017 vault names cannot be changed, so a best practice is to have a written plan for setup and use a second person to verify the plan is executed correctly.
Se possibile, creare i Vault in aree non accoppiate.If possible, create your vaults in non-paired regions. Le aree di Azure con accoppiamento offrono disponibilità elevata tra i domini di errore del servizio.Paired Azure regions provide high availability across service failure domains. Di conseguenza, le coppie regionali possono essere pensate come area di backup dell'altro.Therefore, regional pairs can be thought of as each other's backup region. Questo significa che una risorsa di Azure inserita in un'area geografica acquisisce automaticamente la tolleranza di errore tramite l'area associata.This means that an Azure resource that is placed in one region is automatically gaining fault tolerance through the paired region. Per questo motivo, la scelta delle aree geografiche per due volte utilizzate in un criterio di crittografia dei dati in cui le aree sono abbinate significa che sono in uso solo un totale di due aree di disponibilità.For this reason, choosing regions for two vaults used in a data encryption policy where the regions are paired means that only a total of two regions of availability are in use. La maggior parte delle geografie ha solo due aree geografiche, quindi non è ancora possibile selezionare le aree non accoppiate.Most geographies only have two regions, so it's not yet possible to select non-paired regions. Se possibile, scegliere due aree non associate per i due Vault utilizzati con un criterio di crittografia dei dati.If possible, choose two non-paired regions for the two vaults used with a data encryption policy. Questo beneficia di un totale di quattro aree di disponibilità.This benefits from a total of four regions of availability. Per ulteriori informazioni, vedere Business Continuity and Disaster Recovery (BCdR): aree con accoppiamento di Azure per un elenco corrente di coppie regionali.For more information, see Business continuity and disaster recovery (BCDR): Azure Paired Regions for a current list of regional pairs.

Assegnare le autorizzazioni per ogni Vault chiaveAssign permissions to each key vault

Per ogni Vault chiave, sarà necessario definire tre Set distinti di autorizzazioni per la chiave del cliente, a seconda dell'implementazione.For each key vault, you will need to define three separate sets of permissions for Customer Key, depending on your implementation. Ad esempio, sarà necessario definire un set di autorizzazioni per ognuno dei seguenti elementi:For example, you will need to define one set of permissions for each of the following:

  • Amministratori chiave del Vault che eseguono la gestione quotidiana del Vault Key per l'organizzazione.Key vault administrators that will perform day-to-day management of your key vault for your organization. Tali attività includono backup, creazione, recupero, importazione, elenco e ripristino.These tasks include backup, create, get, import, list, and restore.

    Importante

    Il set di autorizzazioni assegnate agli amministratori delle chiavi del Vault non include l'autorizzazione per l'eliminazione delle chiavi.The set of permissions assigned to key vault administrators does not include the permission to delete keys. Si tratta di una prassi intenzionale e importante.This is intentional and an important practice. L'eliminazione delle chiavi di crittografia non è in genere completata, poiché tale operazione distrugge definitivamente i dati.Deleting encryption keys is not typically done, since doing so permanently destroys data. Come procedura consigliata, non concedere questa autorizzazione agli amministratori delle chiavi del Vault per impostazione predefinita.As a best practice, do not grant this permission to key vault administrators by default. Al contrario, è necessario riservare questo elemento ai collaboratori del Vault Key e assegnarlo solo a un amministratore a breve termine dopo aver compreso la comprensione delle conseguenze.Instead, reserve this for key vault contributors and only assign it to an administrator on a short term basis once a clear understanding of the consequences is understood.

    Per assegnare queste autorizzazioni a un utente dell'organizzazione, eseguire l'accesso alla sottoscrizione di Azure con Azure PowerShell.To assign these permissions to a user in your organization, log in to your Azure subscription with Azure PowerShell. Per istruzioni, vedere accedere con Azure PowerShell.For instructions, see Sign in with Azure PowerShell.

  • Eseguire il cmdlet Set-AzKeyVaultAccessPolicy per assegnare le autorizzazioni necessarie.Run the Set-AzKeyVaultAccessPolicy cmdlet to assign the necessary permissions.

    Set-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user> -PermissionsToKeys create,import,list,get,backup,restore
    

    Ad esempio:For example:

    Set-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -UserPrincipalName alice@contoso.com -PermissionsToKeys create,import,list,get,backup,restore
    
  • Key Vault Contributors che possono modificare le autorizzazioni per il Vault Key di Azure stesso.Key vault contributors that can change permissions on the Azure Key Vault itself. È necessario modificare queste autorizzazioni quando i dipendenti lasciano o entrano in un team o in una situazione estremamente rara in cui gli amministratori delle Key Vault devono legittimamente disporre dell'autorizzazione per eliminare o ripristinare una chiave.You'll need to change these permissions as employees leave or join your team, or in the extremely rare situation that the key vault administrators legitimately need permission to delete or restore a key. Questo set di collaboratori chiave del Vault deve essere concesso al ruolo collaboratore nel Vault Key.This set of key vault contributors needs to be granted the Contributor role on your key vault. È possibile assegnare questo ruolo tramite Gestione risorse di Azure.You can assign this role by using Azure Resource Manager. Per la procedura dettagliata, vedere utilizzare il controllo di accesso basato sui ruoli per gestire l'accesso alle risorse di sottoscrizione di Azure.For detailed steps, see Use Role-Based Access Control to manage access to your Azure subscription resources. L'amministratore che crea una sottoscrizione ha questo accesso in modo implicito, nonché la possibilità di assegnare altri amministratori al ruolo Collaboratore.The administrator who creates a subscription has this access implicitly, as well as the ability to assign other administrators to the Contributor role.

  • Se si intende utilizzare la chiave del cliente con Exchange Online e Skype for business, è necessario concedere l'autorizzazione a Microsoft 365 per utilizzare il Vault Key per conto di Exchange Online e Skype for business.If you intend to use Customer Key with Exchange Online and Skype for Business, you need to give permission to Microsoft 365 to use the key vault on behalf of Exchange Online and Skype for Business. Analogamente, se si intende utilizzare Customer Key con SharePoint Online e OneDrive for business, è necessario aggiungere le autorizzazioni per Microsoft 365 per utilizzare il Vault Key per conto di SharePoint Online e OneDrive for business.Likewise, if you intend to use Customer Key with SharePoint Online and OneDrive for Business, you need to add permission for the Microsoft 365 to use the key vault on behalf of SharePoint Online and OneDrive for Business. Per concedere l'autorizzazione a Microsoft 365, eseguire il cmdlet set-AzKeyVaultAccessPolicy utilizzando la sintassi seguente:To give permission to Microsoft 365, run the Set-AzKeyVaultAccessPolicy cmdlet using the following syntax:

    Set-AzKeyVaultAccessPolicy -VaultName <vault name> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>
    

    Dove:Where:

    • nome del Vault è il nome del Vault Key creato.vault name is the name of the key vault you created.

    • Per Exchange Online e Skype for business, Sostituisci Office 365 AppID con 00000002-0000-0ff1-ce00-000000000000For Exchange Online and Skype for Business, replace Office 365 appID with 00000002-0000-0ff1-ce00-000000000000

    • Per i file di SharePoint Online, OneDrive for business e teams, sostituire Office 365 AppID con 00000003-0000-0ff1-ce00-000000000000For SharePoint Online, OneDrive for Business, and Teams files, replace Office 365 appID with 00000003-0000-0ff1-ce00-000000000000

    Esempio: impostazione delle autorizzazioni per Exchange Online e Skype for business:Example: Setting permissions for Exchange Online and Skype for Business:

    Set-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000
    

    Esempio: impostazione delle autorizzazioni per i file di SharePoint Online, OneDrive for business e teams:Example: Setting permissions for SharePoint Online, OneDrive for Business, and Teams files:

    Set-AzKeyVaultAccessPolicy -VaultName Contoso-O365SP-NA-VaultA1 -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000
    

Abilitare e quindi confermare l'eliminazione morbida sui Vault delle chiaviEnable and then confirm soft delete on your key vaults

Quando è possibile recuperare rapidamente le chiavi, è meno probabile che si verifichi un'interruzione del servizio estesa a causa di chiavi accidentali o eliminate intenzionalmente.When you can quickly recover your keys, you are less likely to experience an extended service outage due to accidentally or maliciously deleted keys. È necessario abilitare questa configurazione, denominata eliminazione temporanea, prima di poter utilizzare le chiavi con il codice "Customer Key".You need to enable this configuration, referred to as Soft Delete, before you can use your keys with Customer Key. L'abilitazione dell'eliminazione temporanea consente di recuperare le chiavi o i Vault entro 90 giorni dall'eliminazione senza dover ripristinare il backup.Enabling Soft Delete allows you to recover keys or vaults within 90 days of deletion without having to restore them from backup.

Per abilitare l'eliminazione temporanea nei Vault delle chiavi, eseguire la procedura seguente:To enable Soft Delete on your key vaults, complete these steps:

  1. Accedere alla sottoscrizione di Azure con Windows PowerShell.Sign in to your Azure subscription with Windows Powershell. Per istruzioni, vedere accedere con Azure PowerShell.For instructions, see Sign in with Azure PowerShell.

  2. Eseguire il cmdlet Get-AzKeyVault .Run the Get-AzKeyVault cmdlet. In questo esempio, il nome del Vault è il nome del Vault Key per il quale si desidera abilitare l'eliminazione morbida:In this example, vault name is the name of the key vault for which you are enabling soft delete:

    $v = Get-AzKeyVault -VaultName <vault name>
    $r = Get-AzResource -ResourceId $v.ResourceId
    $r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
    Set-AzResource -ResourceId $r.ResourceId -Properties $r.Properties
    
  3. Confirm soft delete è configurato per il Vault Key tramite l'esecuzione del cmdlet Get-AzKeyVault .Confirm soft delete is configured for the key vault by running the Get-AzKeyVault cmdlet. Se l'eliminazione morbida è configurata correttamente per il Vault chiave, la proprietà soft delete Enabled restituisce il valore true:If soft delete is configured properly for the key vault, then the Soft Delete Enabled property returns a value of True:

    Get-AzKeyVault -VaultName <vault name> | fl
    

Aggiungere una chiave a ogni Vault chiave creando o importando una chiaveAdd a key to each key vault either by creating or importing a key

Esistono due modi per aggiungere chiavi a un Vault Key di Azure; è possibile creare una chiave direttamente in Key Vault oppure è possibile importare una chiave.There are two ways to add keys to an Azure Key Vault; you can create a key directly in Key Vault, or you can import a key. La creazione di una chiave direttamente in Key Vault è il metodo meno complicato, mentre l'importazione di una chiave fornisce il controllo totale sul modo in cui viene generata la chiave.Creating a key directly in Key Vault is the less complicated method, while importing a key provides total control over how the key is generated.

Per creare una chiave direttamente nel Vault chiave, eseguire il cmdlet Add-AzKeyVaultKey nel modo seguente:To create a key directly in your key vault, run the Add-AzKeyVaultKey cmdlet as follows:

Add-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Destination <HSM|Software> -KeyOps wrapKey,unwrapKey

Dove:Where:

  • nome del Vault è il nome del Vault Key in cui si desidera creare la chiave.vault name is the name of the key vault in which you want to create the key.

  • nome chiave è il nome che si desidera assegnare alla nuova chiave.key name is the name you want to give the new key.

    Suggerimento

    Le chiavi dei nomi utilizzano una convenzione di denominazione simile, come descritto in alto per i Vault chiave.Name keys using a similar naming convention as described above for key vaults. In questo modo, in strumenti che mostrano solo il nome della chiave, la stringa è autoesplicativa.This way, in tools that show only the key name, the string is self-describing.

  • Se si intende proteggere la chiave con un HSM, accertarsi di specificare HSM come valore del parametro Destination , in caso contrario, specificare il software.If you intend to protect the key with an HSM, ensure that you specify HSM as the value of the Destination parameter, otherwise, specify Software.

Ad esempio,For example,

Add-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination Software -KeyOps wrapKey,unwrapKey

Per importare una chiave direttamente nel Vault chiave, è necessario disporre di un modulo di sicurezza hardware di nCipher nShield.To import a key directly into your key vault, you need to have a nCipher nShield Hardware Security Module.

Alcune organizzazioni preferiscono questo approccio per stabilire la provenienza delle chiavi e quindi questo metodo fornisce anche gli elementi seguenti:Some organizations prefer this approach to establish the provenance of their keys, and then this method also provides the following:

  • Il set di strumenti utilizzato per l'importazione include l'attestazione di nCipher che la chiave Key Exchange (KEK) utilizzata per crittografare la chiave che si genera non è esportabile e che viene generata all'interno di un HSM genuino prodotto da nCipher.The toolset used for import includes attestation from nCipher that the Key Exchange Key (KEK) that is used to encrypt the key you generate is not exportable and is generated inside a genuine HSM that was manufactured by nCipher.

  • Il set di strumenti include l'attestazione di nCipher che il World Key Vault di sicurezza di Azure è stato generato anche su un HSM genuino prodotto da nCipher.The toolset includes attestation from nCipher that the Azure Key Vault security world was also generated on a genuine HSM manufactured by nCipher. L'attestazione dimostra che Microsoft utilizza anche hardware nCipher genuino.This attestation proves to you that Microsoft is also using genuine nCipher hardware.

Verificare con il gruppo di sicurezza se sono necessarie le attestazioni sopra riportate.Check with your security group to determine if the above attestations are required. Per la procedura dettagliata per creare una chiave locale e importarla nel Vault chiave, vedere How to generate and transfer HSM-protected Keys for Azure Key Vault.For detailed steps to create a key on-premises and import it into your key vault, see How to generate and transfer HSM-protected keys for Azure Key Vault. Utilizzare le istruzioni di Azure per creare una chiave in ogni Vault Key.Use the Azure instructions to create a key in each key vault.

Controllare il livello di ripristino delle chiaviCheck the recovery level of your keys

Microsoft 365 richiede che la sottoscrizione di Azure Key Vault sia impostata su non Annulla e che le chiavi utilizzate dal codice "Customer Key" siano abilitate per l'eliminazione temporanea.Microsoft 365 requires that the Azure Key Vault subscription is set to Do Not Cancel and that the keys used by Customer Key have soft delete enabled. È possibile confermarlo esaminando il livello di ripristino delle chiavi.You can confirm this by looking at the recovery level on your keys.

Per controllare il livello di ripristino di una chiave, in Azure PowerShell, eseguire il cmdlet Get-AzKeyVaultKey come indicato di seguito:To check the recovery level of a key, in Azure PowerShell, run the Get-AzKeyVaultKey cmdlet as follows:

(Get-AzKeyVaultKey -VaultName <vault name> -Name <key name>).Attributes

Se la proprietà del livello di recupero restituisce un valore diverso da quello di + ProtectedSubscription, sarà necessario esaminare questo argomento e assicurarsi di aver seguito tutti i passaggi necessari per inserire la sottoscrizione nell'elenco non annullare e di aver attivato l'eliminazione temporanea su ognuna delle volte chiave.If the Recovery Level property returns anything other than a value of Recoverable+ProtectedSubscription, you will need to review this topic and ensure that you have followed all of the steps to put the subscription on the Do Not Cancel list and that you have soft delete enabled on each of your key vaults.

Backup del Vault delle chiavi di AzureBack up Azure Key Vault

Subito dopo la creazione o qualsiasi modifica apportata a una chiave, eseguire un backup e archiviare copie del backup, sia online che offline.Immediately following creation or any change to a key, perform a backup and store copies of the backup, both online and offline. Le copie offline non devono essere connesse a nessuna rete, ad esempio in una struttura di archiviazione sicura o commerciale fisica.Offline copies should not be connected to any network, such as in a physical safe or commercial storage facility. Almeno una copia del backup deve essere archiviata in un percorso che sarà accessibile in caso di emergenza.At least one copy of the backup should be stored in a location that will be accessible in the event of a disaster. Gli oggetti BLOB di backup sono gli unici strumenti per ripristinare il materiale chiave se una chiave del Vault Key deve essere definitivamente distrutta o altrimenti resa inutilizzabile.The backup blobs are the sole means of restoring key material should a Key Vault key be permanently destroyed or otherwise rendered inoperable. Le chiavi esterne all'archivio delle chiavi di Azure e sono state importate in Azure Key Vault non sono qualificate come backup poiché i metadati necessari per la chiave del cliente per l'utilizzo della chiave non sono presenti con la chiave esterna.Keys that are external to Azure Key Vault and were imported to Azure Key Vault do not qualify as a backup because the metadata necessary for Customer Key to use the key does not exist with the external key. È possibile utilizzare solo un backup da Vault Key di Azure per le operazioni di ripristino con il codice "Customer Key".Only a backup taken from Azure Key Vault can be used for restore operations with Customer Key. Pertanto, è essenziale che un backup del Vault Key di Azure venga eseguito dopo il caricamento o la creazione di una chiave.Therefore, it is essential that a backup of Azure Key Vault be made once a key is uploaded or created.

Per creare un backup di una chiave del Vault Key di Azure, eseguire il cmdlet backup-AzKeyVaultKey come indicato di seguito:To create a backup of an Azure Key Vault key, run the Backup-AzKeyVaultKey cmdlet as follows:

Backup-AzKeyVaultKey -VaultName <vault name> -Name <key name>
-OutputFile <filename.backup>

Verificare che il file di output utilizzi il suffisso .backup .Ensure that your output file uses the suffix .backup.

Il file di output risultante da questo cmdlet è crittografato e non può essere utilizzato all'esterno del Vault Key di Azure.The output file resulting from this cmdlet is encrypted and cannot be used outside of Azure Key Vault. Il backup può essere ripristinato solo per la sottoscrizione di Azure da cui è stato effettuato il backup.The backup can be restored only to the Azure subscription from which the backup was taken.

Suggerimento

Per il file di output, scegliere una combinazione del nome del Vault e del nome della chiave.For the output file, choose a combination of your vault name and key name. Questo renderà il nome di file autodescrittivo.This will make the file name self-describing. Assicurerà inoltre che i nomi dei file di backup non entrino in collisione.It will also ensure that backup file names do not collide.

Ad esempio:For example:

Backup-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -OutputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Convalidare le impostazioni di configurazione di Azure Key VaultValidate Azure Key Vault configuration settings

L'esecuzione della convalida prima di utilizzare le chiavi in una funzionalità DEP è facoltativa, ma è consigliabile.Performing validation before using keys in a DEP is optional, but highly recommended. In particolare, se si utilizzano i passaggi necessari per configurare le chiavi e le volte diverse da quelle descritte in questo argomento, è consigliabile convalidare l'integrità delle risorse del Vault Key di Azure prima di configurare la chiave del cliente.In particular, if you use steps to set up your keys and vaults other than the ones described in this topic, you should validate the health of your Azure Key Vault resources before you configure Customer Key.

Per verificare che le chiavi dispongano delle operazioni get, wrapKey e unwrapKey attivate:To verify that your keys have get, wrapKey, and unwrapKey operations enabled:

Eseguire il cmdlet Get-AzKeyVault nel modo seguente:Run the Get-AzKeyVault cmdlet as follows:

Get-AzKeyVault -VaultName <vault name>

Nell'output, cercare il criterio di accesso e per l'identità di Exchange Online (GUID) o l'identità di SharePoint Online (GUID) in base alle esigenze.In the output, look for the Access Policy and for the Exchange Online identity (GUID) or the SharePoint Online identity (GUID) as appropriate. Tutte e tre le autorizzazioni sopra riportate devono essere visualizzate in autorizzazioni per le chiavi.All three of the above permissions must be shown under Permissions to Keys.

Se la configurazione del criterio di accesso non è corretta, eseguire il cmdlet Set-AzKeyVaultAccessPolicy come indicato di seguito:If the access policy configuration is incorrect, run the Set-AzKeyVaultAccessPolicy cmdlet as follows:

Set-AzKeyVaultAccessPolicy -VaultName <vault name> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

Ad esempio, per Exchange Online e Skype for business:For example, for Exchange Online and Skype for Business:

Set-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

Ad esempio, per SharePoint Online e OneDrive for business:For example, for SharePoint Online and OneDrive for Business:

Set-AzKeyVaultAccessPolicy -VaultName Contoso-O365SP-NA-VaultA1
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000

Per verificare che non sia impostata una data di scadenza per le chiavi, eseguire il cmdlet Get-AzKeyVaultKey come indicato di seguito:To verify that an expiration date is not set for your keys run the Get-AzKeyVaultKey cmdlet as follows:

Get-AzKeyVaultKey -VaultName <vault name>

Non è possibile utilizzare una chiave scaduta dalla chiave del cliente e le operazioni tentate con una chiave scaduta avranno esito negativo e, eventualmente, si verificherà un'interruzione del servizio.An expired key cannot be used by Customer Key and operations attempted with an expired key will fail, and possibly result in a service outage. È consigliabile che i tasti utilizzati con la chiave del cliente non abbiano una data di scadenza.We strongly recommend that keys used with Customer Key do not have an expiration date. La data di scadenza, una volta impostata, non può essere rimossa, ma può essere modificata in una data diversa.An expiration date, once set, cannot be removed, but can be changed to a different date. Se è necessario utilizzare una chiave con un set di date di scadenza, impostare il valore di scadenza su 12/31/9999.If a key must be used that has an expiration date set, change the expiration value to 12/31/9999. Le chiavi con una data di scadenza impostata su una data diversa da 12/31/9999 non superano la convalida di Microsoft 365.Keys with an expiration date set to a date other than 12/31/9999 will not pass Microsoft 365 validation.

Per modificare una data di scadenza impostata su un valore diverso da 12/31/9999, eseguire il cmdlet Update-AzKeyVaultKey come indicato di seguito:To change an expiration date that has been set to any value other than 12/31/9999, run the Update-AzKeyVaultKey cmdlet as follows:

Update-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

Attenzione

Non impostare le date di scadenza per le chiavi di crittografia utilizzate con la chiave del cliente.Don't set expiration dates on encryption keys you use with Customer Key.

Ottenere l'URI per ogni chiave del Vault Key di AzureObtain the URI for each Azure Key Vault key

Dopo aver completato tutti i passaggi in Azure per configurare i Vault chiave e aver aggiunto le chiavi, eseguire il seguente comando per ottenere l'URI per la chiave in ogni Vault Key.Once you've completed all the steps in Azure to set up your key vaults and added your keys, run the following command to get the URI for the key in each key vault. Sarà necessario utilizzare questi URI quando si crea e si assegna ogni DEP in un secondo momento, quindi salvare queste informazioni in una posizione sicura.You will need to use these URIs when you create and assign each DEP later, so save this information in a safe place. Ricordarsi di eseguire questo comando una volta per ogni Vault Key.Remember to run this command once for each key vault.

In Azure PowerShell:In Azure PowerShell:

(Get-AzKeyVaultKey -VaultName <vault name>).Id

Office 365: impostazione della chiave del cliente per Exchange Online e Skype for businessOffice 365: Setting up Customer Key for Exchange Online and Skype for Business

Prima di iniziare, assicurarsi di aver completato le attività necessarie per configurare l'archiviazione delle chiavi di Azure.Before you begin, ensure that you have completed the tasks required to set up Azure Key Vault. Per informazioni, vedere complete tasks in Azure Key Vault e Microsoft FastTrack for Customer Key .See Complete tasks in Azure Key Vault and Microsoft FastTrack for Customer Key for information.

Per impostare la chiave del cliente per Exchange Online e Skype for business, è necessario eseguire questa procedura per la connessione remota a Exchange Online con Windows PowerShell.To set up Customer Key for Exchange Online and Skype for Business, you will need to perform these steps by remotely connecting to Exchange Online with Windows PowerShell.

Creare un criterio di crittografia dei dati per l'utilizzo con Exchange Online e Skype for businessCreate a data encryption policy (DEP) for use with Exchange Online and Skype for Business

Un DEP è associato a un set di chiavi archiviate in Azure Key Vault.A DEP is associated with a set of keys stored in Azure Key Vault. È possibile assegnare una DEP a una cassetta postale in Microsoft 365.You assign a DEP to a mailbox in Microsoft 365. Microsoft 365 utilizzerà quindi le chiavi identificate nel criterio per crittografare la cassetta postale.Microsoft 365 will then use the keys identified in the policy to encrypt the mailbox. Per creare la funzionalità di protezione esecuzione programmi, è necessario disporre degli URI del Vault Key ottenuti in precedenza.To create the DEP, you need the Key Vault URIs you obtained earlier. Per istruzioni, vedere ottenere l'URI per ogni chiave del Vault Key di Azure .See Obtain the URI for each Azure Key Vault key for instructions.

Ricordo!Remember! Quando si crea una funzionalità di protezione esecuzione programmi, si specificano due chiavi che si trovano in due diversi Vault chiave di Azure.When you create a DEP, you specify two keys that reside in two different Azure Key Vaults. Verificare che queste chiavi si trovino in due aree di Azure separate per garantire la ridondanza geografica.Ensure that these keys are located in two separate Azure regions to ensure geo-redundancy.

Per creare la funzionalità di protezione esecuzione programmi, eseguire la procedura seguente:To create the DEP, follow these steps:

  1. Nel computer locale, utilizzando un account aziendale o dell'Istituto di istruzione con autorizzazioni di amministratore globale nell'organizzazione, connettersi a PowerShell di Exchange Online in una finestra di Windows PowerShell.On your local computer, using a work or school account that has global administrator permissions in your organization, connect to Exchange Online PowerShell in a Windows PowerShell window.

  2. Per creare una funzionalità di protezione esecuzione programmi, utilizzare il cmdlet New-DataEncryptionPolicy digitando il comando seguente.To create a DEP, use the New-DataEncryptionPolicy cmdlet by typing the following command.

    New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>
    

    Dove:Where:

    • PolicyName è il nome che si desidera utilizzare per il criterio.PolicyName is the name you want to use for the policy. I nomi non possono contenere spazi.Names cannot contain spaces. Ad esempio, USA_mailboxes.For example, USA_mailboxes.

    • Descrizione dei criteri è una descrizione facile da usare per i criteri che consentiranno di ricordare a cosa serve il criterio.Policy Description is a user friendly description of the policy that will help you remember what the policy is for. È possibile includere spazi nella descrizione.You can include spaces in the description. Ad esempio, "chiave radice per le cassette postali negli Stati Uniti e nei suoi territori".For example, "Root key for mailboxes in USA and its territories".

    • KeyVaultURI1 è l'URI per la prima chiave del criterio.KeyVaultURI1 is the URI for the first key in the policy. Ad esempio, https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.For example, https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.

    • KeyVaultURI2 è l'URI per la seconda chiave del criterio.KeyVaultURI2 is the URI for the second key in the policy. Ad esempio, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02.For example, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02. Separare i due URI da una virgola e uno spazio.Separate the two URIs by a comma and a space.

    Esempio:Example:

    New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02
    

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-DataEncryptionPolicy.For detailed syntax and parameter information, see New-DataEncryptionPolicy.

Assegnare una DEP a una cassetta postaleAssign a DEP to a mailbox

Assegnare la funzionalità Protezione esecuzione programmi a una cassetta postale utilizzando il cmdlet Set-Mailbox.Assign the DEP to a mailbox by using the Set-Mailbox cmdlet. Dopo aver assegnato il criterio, Microsoft 365 è in grado di crittografare la cassetta postale con la chiave indicata nella DEP.Once you assign the policy, Microsoft 365 can encrypt the mailbox with the key designated in the DEP.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

Dove MailboxIdParameter specifica una cassetta postale.Where MailboxIdParameter specifies a mailbox. Per ulteriori informazioni sul cmdlet Set-Mailbox, vedere Set-Mailbox.For more information about the Set-Mailbox cmdlet, see Set-Mailbox.

Per le cassette postali locali che usano Outlook per iOS e Android con l'autenticazione moderna ibrida, i dati delle cassette postali locali sincronizzati nel tenant di Exchange Online possono essere assegnati tramite il cmdlet Set-MailUser.For on-premises mailboxes using Outlook for iOS and Android with hybrid Modern Authentication, the on-premises mailbox data that is synchronized into your Exchange Online tenant can have DEP assigned using the Set-MailUser cmdlet.

Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>

Dove MailUserIdParameter specifica un utente di posta elettronica (noto anche come utente abilitato alla posta elettronica).Where MailUserIdParameter specifies a mail user (also known as a mail-enabled user). Per ulteriori informazioni sul cmdlet Set-MailUser, vedere Set-MailUser.For more information about the Set-MailUser cmdlet, see Set-MailUser.

Convalidare la crittografia della cassetta postaleValidate mailbox encryption

La crittografia di una cassetta postale può richiedere del tempo.Encrypting a mailbox can take some time. Per l'assegnazione dei criteri per la prima volta, la cassetta postale deve anche passare completamente da un database all'altro prima che il servizio possa crittografare la cassetta postale.For first time policy assignment, the mailbox must also completely move from one database to another before the service can encrypt the mailbox. È consigliabile attendere 72 ore prima di tentare di convalidare la crittografia dopo aver modificato una DEP o la prima volta che si assegna una DEP a una cassetta postale.We recommend that you wait 72 hours before you attempt to validate encryption after you change a DEP or the first time you assign a DEP to a mailbox.

Utilizzare il cmdlet Get-MailboxStatistics per determinare se una cassetta postale è crittografata.Use the Get-MailboxStatistics cmdlet to determine if a mailbox is encrypted.

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

La proprietà IsEncrypted restituisce il valore true se la cassetta postale è crittografata e il valore false se la cassetta postale non è crittografata.The IsEncrypted property returns a value of true if the mailbox is encrypted and a value of false if the mailbox is not encrypted.

Il tempo necessario per completare gli spostamenti delle cassette postali dipende dal numero di cassette postali a cui viene assegnata una DEP per la prima volta, oltre che dalle dimensioni delle cassette postali.The time to complete mailbox moves depends on the number of mailboxes to which you assign a DEP for the first time, as well as the size of the mailboxes. Se le cassette postali non sono state crittografate dopo una settimana dal momento in cui è stata assegnata la funzionalità DEP, contattare Microsoft.If the mailboxes have not been encrypted after a week from the time you assigned the DEP, contact Microsoft.

Office 365: impostazione della chiave del cliente per i file di SharePoint Online, OneDrive for business e teamsOffice 365: Setting up Customer Key for SharePoint Online, OneDrive for Business, and Teams files

Prima di iniziare, assicurarsi di aver completato le attività necessarie per configurare l'archiviazione delle chiavi di Azure.Before you begin, ensure that you have completed the tasks required to set up Azure Key Vault. Per informazioni, vedere complete tasks in Azure Key Vault e Microsoft FastTrack for Customer Key .See Complete tasks in Azure Key Vault and Microsoft FastTrack for Customer Key for information.

Per impostare la chiave del cliente per i file di SharePoint Online, OneDrive for business e teams, è necessario eseguire questa procedura per la connessione remota a SharePoint Online con Windows PowerShell.To set up Customer Key for SharePoint Online, OneDrive for Business, and Teams files you will need to perform these steps by remotely connecting to SharePoint Online with Windows PowerShell.

Creare un criterio di crittografia dei dati per ogni geo di SharePoint Online e OneDrive for businessCreate a data encryption policy (DEP) for each SharePoint Online and OneDrive for Business geo

È possibile associare una funzionalità DEP a un set di chiavi archiviate in Azure Key Vault.You associate a DEP with a set of keys stored in Azure Key Vault. È possibile applicare una DEP a tutti i dati in una posizione geografica, denominata anche geo.You apply a DEP to all of your data in one geographic location, also called a geo. Se si utilizza la caratteristica multi-geo di Office 365, è possibile creare una DEP per Geo con la possibilità di utilizzare chiavi diverse per Geo.If you use the multi-geo feature of Office 365, you can create one DEP per geo with the capability to use different keys per geo. Se non si utilizza multi-Geo, è possibile creare una DEP nell'organizzazione per l'utilizzo con i file di SharePoint Online, OneDrive for business e teams.If you are not using multi-geo, you can create one DEP in your organization for use with SharePoint Online, OneDrive for Business, and Teams files. Microsoft 365 utilizza le chiavi identificate nella funzionalità DEP per crittografare i dati in tale Geo.Microsoft 365 uses the keys identified in the DEP to encrypt your data in that geo. Per creare la funzionalità di protezione esecuzione programmi, è necessario disporre degli URI del Vault Key ottenuti in precedenza.To create the DEP, you need the Key Vault URIs you obtained earlier. Per istruzioni, vedere ottenere l'URI per ogni chiave del Vault Key di Azure .See Obtain the URI for each Azure Key Vault key for instructions.

Ricordo!Remember! Quando si crea una funzionalità di protezione esecuzione programmi, si specificano due chiavi che si trovano in due diversi Vault chiave di Azure.When you create a DEP, you specify two keys that reside in two different Azure Key Vaults. Verificare che queste chiavi si trovino in due aree di Azure separate per garantire la ridondanza geografica.Ensure that these keys are located in two separate Azure regions to ensure geo-redundancy.

Per creare una funzionalità di protezione esecuzione programmi, è necessario connettersi in remoto a SharePoint Online tramite Windows PowerShell.To create a DEP, you need to remotely connect to SharePoint Online by using Windows PowerShell.

  1. Nel computer locale, utilizzando un account aziendale o dell'Istituto di istruzione con autorizzazioni di amministratore globale nell'organizzazione, connettersi a PowerShell di SharePoint Online.On your local computer, using a work or school account that has global administrator permissions in your organization, Connect to SharePoint Online Powershell.

  2. In Microsoft SharePoint Online Management Shell, eseguire il cmdlet Register-SPODataEncryptionPolicy come indicato di seguito:In the Microsoft SharePoint Online Management Shell, run the Register-SPODataEncryptionPolicy cmdlet as follows:

    Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>
    

    Quando si registra la funzionalità DEP, la crittografia inizia sui dati del geografico.When you register the DEP, encryption begins on the data in the geo. Questo può richiedere un certo tempo.This can take some time.

Convalidare la crittografia dei fileValidate file encryption

Per convalidare la crittografia dei file di SharePoint Online, OneDrive for business e teams, connettersi a PowerShell di SharePoint Onlinee quindi utilizzare il cmdlet Get-SPODataEncryptionPolicy per controllare lo stato del tenant.To validate encryption of SharePoint Online, OneDrive for Business, and Teams files, connect to SharePoint Online PowerShell, and then use the Get-SPODataEncryptionPolicy cmdlet to check the status of your tenant. La proprietà state restituisce un valore registrato se la crittografia a chiave del cliente è abilitata e tutti i file in tutti i siti sono stati crittografati.The State property returns a value of registered if Customer Key encryption is enabled and all files in all sites have been encrypted. Se la crittografia è ancora in corso, questo cmdlet fornisce informazioni su quale percentuale di siti è stata completata.If encryption is still in progress, this cmdlet provides information on what percentage of sites is complete.