Gerenciar Chave do ClienteManage Customer Key

Depois de configurar a Chave do Cliente para Office 365, você precisará criar e atribuir uma ou mais políticas de criptografia de dados (DEP).After you've set up Customer Key for Office 365, you'll need to create and assign one or more data encryption policies (DEP). Depois de ter atribuído seus DEPs, você pode gerenciar suas chaves conforme descrito neste artigo.Once you've assigned your DEPs, you can manage your keys as described in this article. Saiba mais sobre a Chave do Cliente nos tópicos relacionados.Learn more about Customer Key in the related topics.

Criar um DEP para uso com várias cargas de trabalho para todos os usuários de locatáriosCreate a DEP for use with multiple workloads for all tenant users

Antes de começar, verifique se você concluiu as tarefas necessárias para configurar o Cliente.Before you begin, ensure that you've completed the tasks required to set up Customer. Para obter informações, consulte Set up Customer Key.For information, see Set up Customer Key. Para criar o DEP, você precisa das URIs do Cofre de Chaves obtidas durante a instalação.To create the DEP, you need the Key Vault URIs you obtained during setup. Para obter informações, consulte Obtain the URI for each Azure Key Vault key.For information, see Obtain the URI for each Azure Key Vault key.

Para criar uma DEP de várias cargas de trabalho, siga estas etapas:To create a multi-workload DEP, follow these steps:

  1. Em seu computador local, usando uma conta de estudante ou de trabalho que tenha permissões globais de administrador ou administrador de conformidade em sua organização, conecte-se ao Exchange Online PowerShell em uma janela Windows PowerShell de conformidade.On your local computer, using a work or school account that has global administrator or compliance admin permissions in your organization, connect to Exchange Online PowerShell in a Windows PowerShell window.

  2. Para criar um DEP, use o New-M365DataAtRestEncryptionPolicy cmdlet.To create a DEP, use the New-M365DataAtRestEncryptionPolicy cmdlet.

    New-M365DataAtRestEncryptionPolicy -Name <PolicyName> -AzureKeyIDs <KeyVaultURI1, KeyVaultURI2> [-Description <String>]
    

    Onde:Where:

    • PolicyName é o nome que você deseja usar para a política.PolicyName is the name you want to use for the policy. Os nomes não podem conter espaços.Names can't contain spaces. Por exemplo, Contoso_Global.For example, Contoso_Global.

    • KeyVaultURI1 é o URI da primeira chave da política.KeyVaultURI1 is the URI for the first key in the policy. Por exemplo, https://contosoWestUSvault1.vault.azure.net/keys/Key_01.For example, https://contosoWestUSvault1.vault.azure.net/keys/Key_01.

    • KeyVaultURI2 é o URI da segunda chave da política.KeyVaultURI2 is the URI for the second key in the policy. Por exemplo, https://contosoCentralUSvault1.vault.azure.net/keys/Key_02.For example, https://contosoCentralUSvault1.vault.azure.net/keys/Key_02. Separe as duas URIs por uma vírgula e um espaço.Separate the two URIs by a comma and a space.

    • Descrição da política é uma descrição amigável da política que ajudará você a lembrar para que a política é.Policy Description is a user-friendly description of the policy that will help you remember what the policy is for. Você pode incluir espaços na descrição.You can include spaces in the description. Por exemplo, "Política raiz para várias cargas de trabalho para todos os usuários no locatário.".For example, "Root policy for multiple workloads for all users in the tenant.".

Exemplo:Example:

New-M365DataAtRestEncryptionPolicy -Name "Contoso_Global" -AzureKeyIDs "https://contosoWestUSvault1.vault.azure.net/keys/Key_01","https://contosoCentralUSvault1.vault.azure.net/keys/Key_02" -Description "Policy for multiple workloads for all users in the tenant."

Atribuir política de várias cargas de trabalhoAssign multi-workload policy

Atribua o DEP usando o Set-M365DataAtRestEncryptionPolicyAssignment cmdlet.Assign the DEP by using the Set-M365DataAtRestEncryptionPolicyAssignment cmdlet. Depois de atribuir a política, Microsoft 365 criptografa os dados com a chave identificada no DEP.Once you assign the policy, Microsoft 365 encrypts the data with the key identified in the DEP.

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName or ID>

Onde PolicyName é o nome da política.Where PolicyName is the name of the policy. Por exemplo, Contoso_Global.For example, Contoso_Global.

Exemplo:Example:

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy "Contoso_Global"

Criar um DEP para uso com Exchange Online caixas de correioCreate a DEP for use with Exchange Online mailboxes

Antes de começar, verifique se você concluiu as tarefas necessárias para configurar o Azure Key Vault.Before you begin, ensure that you've completed the tasks required to set up Azure Key Vault. Para obter informações, consulte Set up Customer Key.For information, see Set up Customer Key. Você concluirá essas etapas conectando-se remotamente ao Exchange Online com Windows PowerShell.You'll complete these steps by remotely connecting to Exchange Online with Windows PowerShell.

Um DEP é associado a um conjunto de chaves armazenadas no Azure Key Vault.A DEP is associated with a set of keys stored in Azure Key Vault. Você atribui um DEP a uma caixa de correio em Microsoft 365.You assign a DEP to a mailbox in Microsoft 365. Microsoft 365 usar as chaves identificadas na política para criptografar a caixa de correio.Microsoft 365 will then use the keys identified in the policy to encrypt the mailbox. Para criar o DEP, você precisa das URIs do Cofre de Chaves obtidas durante a instalação.To create the DEP, you need the Key Vault URIs you obtained during setup. Para obter informações, consulte Obtain the URI for each Azure Key Vault key.For information, see Obtain the URI for each Azure Key Vault key.

Lembre-se!Remember! Quando você cria um DEP, especifica duas chaves em dois cofres de chave do Azure diferentes.When you create a DEP, you specify two keys in two different Azure Key Vaults. Crie essas chaves em duas regiões separadas do Azure para garantir a redundância geográfica.Create these keys in two separate Azure regions to ensure geo-redundancy.

Para criar um DEP a ser usado com uma caixa de correio, siga estas etapas:To create a DEP to use with a mailbox, follow these steps:

  1. No computador local, usando uma conta de estudante ou de trabalho que tenha permissões de administrador global ou Exchange Online de administrador em sua organização, conecte-se ao Exchange Online PowerShell em uma janela Windows PowerShell.On your local computer, using a work or school account that has global administrator or Exchange Online admin permissions in your organization, connect to Exchange Online PowerShell in a Windows PowerShell window.

  2. Para criar um DEP, use o cmdlet New-DataEncryptionPolicy digitando o comando a seguir.To create a DEP, use the New-DataEncryptionPolicy cmdlet by typing the following command.

    New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>
    

    Onde:Where:

    • PolicyName é o nome que você deseja usar para a política.PolicyName is the name you want to use for the policy. Os nomes não podem conter espaços.Names can't contain spaces. Por exemplo, USA_mailboxes.For example, USA_mailboxes.

    • Descrição da política é uma descrição amigável da política que ajudará você a lembrar para que a política é.Policy Description is a user-friendly description of the policy that will help you remember what the policy is for. Você pode incluir espaços na descrição.You can include spaces in the description. Por exemplo, "Chave raiz para caixas de correio nos EUA e seus territórios".For example, "Root key for mailboxes in USA and its territories".

    • KeyVaultURI1 é o URI da primeira chave da política.KeyVaultURI1 is the URI for the first key in the policy. Por exemplo, https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.For example, https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.

    • KeyVaultURI2 é o URI da segunda chave da política.KeyVaultURI2 is the URI for the second key in the policy. Por exemplo, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02.For example, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02. Separe as duas URIs por uma vírgula e um espaço.Separate the two URIs by a comma and a space.

    Exemplo:Example:

    New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault02.vault.azure.net/keys/USA_key_01, https://contoso_CentralUSvault02.vault.azure.net/keys/USA_Key_02
    

Para obter informações detalhadas sobre sintaxes e parâmetros, consulte New-DataEncryptionPolicy.For detailed syntax and parameter information, see New-DataEncryptionPolicy.

Atribuir um DEP a uma caixa de correioAssign a DEP to a mailbox

Atribua o DEP a uma caixa de correio usando Set-Mailbox cmdlet.Assign the DEP to a mailbox by using the Set-Mailbox cmdlet. Depois de atribuir a política, Microsoft 365 criptografar a caixa de correio com a chave identificada no DEP.Once you assign the policy, Microsoft 365 can encrypt the mailbox with the key identified in the DEP.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

Onde MailboxIdParameter especifica uma caixa de correio de usuário.Where MailboxIdParameter specifies a user mailbox. Para obter mais informações sobre o Set-Mailbox cmdlet, consulte Set-Mailbox.For more information about the Set-Mailbox cmdlet, see Set-Mailbox.

Em ambientes híbridos, você pode atribuir um DEP aos dados de caixa de correio locais que são sincronizados no seu locatário Exchange Online local.In hybrid environments, you can assign a DEP to the on-premises mailbox data that is synchronized into your Exchange Online tenant. Para atribuir um DEP a esses dados de caixa de correio sincronizados, você usará o cmdlet Set-MailUser usuário.To assign a DEP to this synchronized mailbox data, you'll use the Set-MailUser cmdlet. Para obter mais informações sobre dados de caixa de correio no ambiente híbrido, consulte caixas de correio locais usando Outlook para iOS e Android com autenticação moderna híbrida.For more information about mailbox data in the hybrid environment, see on-premises mailboxes using Outlook for iOS and Android with hybrid Modern Authentication.

Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>

Onde MailUserIdParameter especifica um usuário de email (também conhecido como um usuário habilitado para email).Where MailUserIdParameter specifies a mail user (also known as a mail-enabled user). Para obter mais informações sobre o Set-MailUser cmdlet, consulte Set-MailUser.For more information about the Set-MailUser cmdlet, see Set-MailUser.

Criar um DEP para uso com SharePoint online, OneDrive for Business e Teams arquivosCreate a DEP for use with SharePoint Online, OneDrive for Business, and Teams files

Antes de começar, verifique se você concluiu as tarefas necessárias para configurar o Azure Key Vault.Before you begin, ensure that you've completed the tasks required to set up Azure Key Vault. Para obter informações, consulte Set up Customer Key.For information, see Set up Customer Key.

Para configurar a Chave do Cliente para arquivos SharePoint Online, OneDrive for Business e Teams você conclui essas etapas conectando-se remotamente ao SharePoint Online com Windows PowerShell.To set up Customer Key for SharePoint Online, OneDrive for Business, and Teams files you complete these steps by remotely connecting to SharePoint Online with Windows PowerShell.

Você associa um DEP a um conjunto de chaves armazenadas no Azure Key Vault.You associate a DEP with a set of keys stored in Azure Key Vault. Você aplica uma DEP a todos os seus dados em uma localização geográfica, também chamada de geo.You apply a DEP to all of your data in one geographic location, also called a geo. Se você usar o recurso multi-geo da Office 365, poderá criar um DEP por geo com a capacidade de usar chaves diferentes por geo.If you use the multi-geo feature of Office 365, you can create one DEP per geo with the capability to use different keys per geo. Se você não estiver usando multi-geo, poderá criar um DEP em sua organização para uso com arquivos SharePoint Online, OneDrive for Business e Teams.If you aren't using multi-geo, you can create one DEP in your organization for use with SharePoint Online, OneDrive for Business, and Teams files. Microsoft 365 usa as chaves identificadas no DEP para criptografar seus dados nesse geo.Microsoft 365 uses the keys identified in the DEP to encrypt your data in that geo. Para criar o DEP, você precisa das URIs do Cofre de Chaves obtidas durante a instalação.To create the DEP, you need the Key Vault URIs you obtained during setup. Para obter informações, consulte Obtain the URI for each Azure Key Vault key.For information, see Obtain the URI for each Azure Key Vault key.

Lembre-se!Remember! Quando você cria um DEP, especifica duas chaves em dois cofres de chave do Azure diferentes.When you create a DEP, you specify two keys in two different Azure Key Vaults. Crie essas chaves em duas regiões separadas do Azure para garantir a redundância geográfica.Create these keys in two separate Azure regions to ensure geo-redundancy.

Para criar uma DEP, você precisa se conectar remotamente ao SharePoint Online usando Windows PowerShell.To create a DEP, you need to remotely connect to SharePoint Online by using Windows PowerShell.

  1. No computador local, usando uma conta de trabalho ou de estudante que tenha permissões globais de administrador em sua organização, Conexão para SharePoint PowerShell Online.On your local computer, using a work or school account that has global administrator permissions in your organization, Connect to SharePoint Online PowerShell.

  2. No Shell Microsoft Office SharePoint Online Gerenciamento, execute o cmdlet Register-SPODataEncryptionPolicy da seguinte forma:In the Microsoft SharePoint Online Management Shell, run the Register-SPODataEncryptionPolicy cmdlet as follows:

    Register-SPODataEncryptionPolicy -Identity <adminSiteCollectionURL> -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>
    

    Exemplo:Example:

    Register-SPODataEncryptionPolicy -Identity https://contoso.sharepoint.com -PrimaryKeyVaultName 'stageRG3vault' -PrimaryKeyName 'SPKey3' -PrimaryKeyVersion 'f635a23bd4a44b9996ff6aadd88d42ba' -SecondaryKeyVaultName 'stageRG5vault' -SecondaryKeyName 'SPKey5' -SecondaryKeyVersion '2b3e8f1d754f438dacdec1f0945f251a’
    

    Quando você registra o DEP, a criptografia começa nos dados no geo.When you register the DEP, encryption begins on the data in the geo. A criptografia pode levar algum tempo.Encryption can take some time. Para obter mais informações sobre como usar esse parâmetro, consulte Register-SPODataEncryptionPolicy.For more information on using this parameter, see Register-SPODataEncryptionPolicy.

Exibir os DEPs que você criou para Exchange Online caixas de correioView the DEPs you've created for Exchange Online mailboxes

Para exibir uma lista de todos os DEPs que você criou para caixas de correio, use o cmdlet Get-DataEncryptionPolicy PowerShell.To view a list of all the DEPs you've created for mailboxes, use the Get-DataEncryptionPolicy PowerShell cmdlet.

  1. Usando uma conta de estudante ou de trabalho que tenha permissões globais de administrador em sua organização, conecte-se Exchange Online PowerShell.Using a work or school account that has global administrator permissions in your organization, connect to Exchange Online PowerShell.

  2. Para retornar todos os DEPs da sua organização, execute o cmdlet Get-DataEncryptionPolicy sem parâmetros.To return all DEPs in your organization, run the Get-DataEncryptionPolicy cmdlet without any parameters.

    Get-DataEncryptionPolicy
    

    Para obter mais informações sobre o Get-DataEncryptionPolicy cmdlet, consulte Get-DataEncryptionPolicy.For more information about the Get-DataEncryptionPolicy cmdlet, see Get-DataEncryptionPolicy.

Atribuir um DEP antes de migrar uma caixa de correio para a nuvemAssign a DEP before you migrate a mailbox to the cloud

Quando você atribui o DEP, Microsoft 365 criptografa o conteúdo da caixa de correio usando o DEP atribuído durante a migração.When you assign the DEP, Microsoft 365 encrypts the contents of the mailbox using the assigned DEP during the migration. Esse processo é mais eficiente do que migrar a caixa de correio, atribuir o DEP e esperar que a criptografia seja realizada, o que pode levar horas ou possivelmente dias.This process is more efficient than migrating the mailbox, assigning the DEP, and then waiting for encryption to take place, which can take hours or possibly days.

Para atribuir um DEP a uma caixa de correio antes de migrar para Office 365, execute o cmdlet Set-MailUser no Exchange Online PowerShell:To assign a DEP to a mailbox before you migrate it to Office 365, run the Set-MailUser cmdlet in Exchange Online PowerShell:

  1. Usando uma conta de estudante ou de trabalho que tenha permissões globais de administrador em sua organização, conecte-se Exchange Online PowerShell.Using a work or school account that has global administrator permissions in your organization, connect to Exchange Online PowerShell.

  2. Execute o cmdlet Set-MailUser.Run the Set-MailUser cmdlet.

    Set-MailUser -Identity <GeneralMailboxOrMailUserIdParameter> -DataEncryptionPolicy <DataEncryptionPolicyIdParameter>
    

    Onde GeneralMailboxOrMailUserIdParameter especifica uma caixa de correio, e DataEncryptionPolicyIdParameter é a ID do DEP.Where GeneralMailboxOrMailUserIdParameter specifies a mailbox, and DataEncryptionPolicyIdParameter is the ID of the DEP. Para obter mais informações sobre o Set-MailUser cmdlet, consulte Set-MailUser.For more information about the Set-MailUser cmdlet, see Set-MailUser.

Determinar o DEP atribuído a uma caixa de correioDetermine the DEP assigned to a mailbox

Para determinar o DEP atribuído a uma caixa de correio, use Get-MailboxStatistics cmdlet.To determine the DEP assigned to a mailbox, use the Get-MailboxStatistics cmdlet. O cmdlet retorna um identificador exclusivo (GUID).The cmdlet returns a unique identifier (GUID).

  1. Usando uma conta de estudante ou de trabalho que tenha permissões globais de administrador em sua organização, conecte-se Exchange Online PowerShell.Using a work or school account that has global administrator permissions in your organization, connect to Exchange Online PowerShell.

    Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID
    

    Onde GeneralMailboxOrMailUserIdParameter especifica uma caixa de correio e DataEncryptionPolicyID retorna o GUID do DEP.Where GeneralMailboxOrMailUserIdParameter specifies a mailbox and DataEncryptionPolicyID returns the GUID of the DEP. Para obter mais informações sobre o Get-MailboxStatistics cmdlet, consulte Get-MailboxStatistics.For more information about the Get-MailboxStatistics cmdlet, see Get-MailboxStatistics.

  2. Execute o Get-DataEncryptionPolicy cmdlet para descobrir o nome amigável do DEP ao qual a caixa de correio é atribuída.Run the Get-DataEncryptionPolicy cmdlet to find out the friendly name of the DEP to which the mailbox is assigned.

    Get-DataEncryptionPolicy <GUID>
    

    Onde GUID é o GUID retornado pelo cmdlet Get-MailboxStatistics na etapa anterior.Where GUID is the GUID returned by the Get-MailboxStatistics cmdlet in the previous step.

Verificar se a Chave do Cliente terminou a criptografiaVerify that Customer Key has finished encryption

Se você tenha rolado uma Chave do Cliente, atribuído um novo DEP ou migrado uma caixa de correio, use as etapas nesta seção para garantir que a criptografia seja concluída.Whether you've rolled a Customer Key, assigned a new DEP, or migrated a mailbox, use the steps in this section to ensure that encryption completes.

Verificar se a criptografia é concluída para Exchange Online caixas de correioVerify encryption completes for Exchange Online mailboxes

Criptografar uma caixa de correio pode levar algum tempo.Encrypting a mailbox can take some time. Pela primeira vez, a caixa de correio também deve mudar completamente de um banco de dados para outro para que o serviço possa criptografar a caixa de correio.For first time encryption, the mailbox must also completely move from one database to another before the service can encrypt the mailbox.

Use o cmdlet Get-MailboxStatistics para determinar se uma caixa de correio está criptografada.Use the Get-MailboxStatistics cmdlet to determine if a mailbox is encrypted.

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

A propriedade IsEncrypted retorna um valor true se a caixa de correio for criptografada e um valor de false se a caixa de correio não estiver criptografada.The IsEncrypted property returns a value of true if the mailbox is encrypted and a value of false if the mailbox isn't encrypted. O tempo para concluir as movimentações de caixa de correio depende do número de caixas de correio às quais você atribui um DEP pela primeira vez e do tamanho das caixas de correio.The time to complete mailbox moves depends on the number of mailboxes to which you assign a DEP for the first time, and the size of the mailboxes. Se as caixas de correio não foram criptografadas após uma semana a partir do momento em que você atribuiu o DEP, contate a Microsoft.If the mailboxes haven't been encrypted after a week from the time you assigned the DEP, contact Microsoft.

O New-MoveRequest cmdlet não está mais disponível para movimentações de caixa de correio local.The New-MoveRequest cmdlet is no longer available for local mailbox moves. Consulte este comunicado para obter informações adicionais.Refer to this announcement for additional information.

Verificar se a criptografia é concluída SharePoint arquivos online, OneDrive for Business e Teams onlineVerify encryption completes for SharePoint Online, OneDrive for Business, and Teams files

Verifique o status da criptografia executando o cmdlet Get-SPODataEncryptionPolicy da seguinte forma:Check on the status of encryption by running the Get-SPODataEncryptionPolicy cmdlet as follows:

   Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

A saída deste cmdlet inclui:The output from this cmdlet includes:

  • O URI da chave primária.The URI of the primary key.

  • O URI da chave secundária.The URI of the secondary key.

  • O status de criptografia do geo.The encryption status for the geo. Os estados possíveis incluem:Possible states include:

    • Não-registro: A criptografia chave do cliente ainda não foi aplicada.Unregistered: Customer Key encryption has not yet been applied.

    • Registrando: A criptografia chave do cliente foi aplicada e seus arquivos estão sendo criptografados.Registering: Customer Key encryption has been applied and your files are in the process of being encrypted. Se a chave do geo estiver registrando, você também será mostrado informações sobre qual porcentagem de sites no geo está concluída para que você possa monitorar o progresso da criptografia.If the key for the geo is registering, you'll also be shown information on what percentage of sites in the geo are complete so that you can monitor encryption progress.

    • Registrado: A criptografia chave do cliente foi aplicada e todos os arquivos em todos os sites foram criptografados.Registered: Customer Key encryption has been applied, and all files in all sites have been encrypted.

    • Rolling: Um rol de teclas está em andamento.Rolling: A key roll is in progress. Se a chave do geo estiver rolando, você também será mostrado informações sobre qual porcentagem de sites concluiu a operação de rolagem de chaves para que você possa monitorar o progresso.If the key for the geo is rolling, you'll also be shown information on what percentage of sites have completed the key roll operation so that you can monitor progress.

Obter detalhes sobre DEPs que você usa com várias cargas de trabalhoGet details about DEPs you use with multiple workloads

Para obter detalhes sobre todos os DEPs que você criou para usar com várias cargas de trabalho, conclua estas etapas:To get details about all of the DEPs you've created to use with multiple workloads, complete these steps:

  1. Em seu computador local, usando uma conta de estudante ou de trabalho que tenha permissões globais de administrador ou administrador de conformidade em sua organização, conecte-se ao Exchange Online PowerShell em uma janela Windows PowerShell de conformidade.On your local computer, using a work or school account that has global administrator or compliance admin permissions in your organization, connect to Exchange Online PowerShell in a Windows PowerShell window.

    • Para retornar a lista de todos os DEPs de várias cargas de trabalho na organização, execute este comando.To return the list of all multi-workload DEPs in the organization, run this command.

         Get-M365DataAtRestEncryptionPolicy
      
    • Para retornar detalhes sobre um DEP específico, execute este comando.To return details about a specific DEP, run this command. Este exemplo retorna informações detalhadas para a DEP chamada "Contoso_Global".This example returns detailed information for the DEP named "Contoso_Global".

         Get-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global"
      

Obter informações de atribuição de DEP de várias cargas de trabalhoGet multi-workload DEP assignment information

Para descobrir qual DEP está atualmente atribuído ao seu locatário, siga estas etapas.To find out which DEP is currently assigned to your tenant, follow these steps.

  1. Em seu computador local, usando uma conta de estudante ou de trabalho que tenha permissões globais de administrador ou administrador de conformidade em sua organização, conecte-se ao Exchange Online PowerShell em uma janela Windows PowerShell de conformidade.On your local computer, using a work or school account that has global administrator or compliance admin permissions in your organization, connect to Exchange Online PowerShell in a Windows PowerShell window.

  2. Digite este comando.Type this command.

       Get-M365DataAtRestEncryptionPolicyAssignment
    

Desabilitar uma DEP de várias cargas de trabalhoDisable a multi-workload DEP

Antes de desabilitar uma DEP de várias cargas de trabalho, desaprompa o DEP de cargas de trabalho em seu locatário.Before you disable a multi-workload DEP, unassign the DEP from workloads in your tenant. Para desabilitar um DEP usado com várias cargas de trabalho, conclua estas etapas:To disable a DEP used with multiple workloads, complete these steps:

  1. Em seu computador local, usando uma conta de estudante ou de trabalho que tenha permissões globais de administrador ou administrador de conformidade em sua organização, conecte-se ao Exchange Online PowerShell em uma janela Windows PowerShell de conformidade.On your local computer, using a work or school account that has global administrator or compliance admin permissions in your organization, connect to Exchange Online PowerShell in a Windows PowerShell window.

  2. Execute o cmdlet Set-M365DataAtRestEncryptionPolicy.Run the Set-M365DataAtRestEncryptionPolicy cmdlet.

    Set-M365DataAtRestEncryptionPolicy -[Identity] "PolicyName" -Enabled $false
    

Onde PolicyName é o nome ou ID exclusiva da política.Where PolicyName is the name or unique ID of the policy. Por exemplo, Contoso_Global.For example, Contoso_Global.

Exemplo:Example:

Set-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global" -Enabled $false

Restaurar chaves do Cofre de Chaves do AzureRestore Azure Key Vault keys

Antes de executar uma restauração, use os recursos de recuperação fornecidos pela exclusão suave.Before performing a restore, use the recovery capabilities provided by soft delete. Todas as chaves usadas com a Chave do Cliente são necessárias para habilitar a exclusão suave.All keys that are used with Customer Key are required to have soft delete enabled. A exclusão suave age como uma lixeira e permite a recuperação por até 90 dias sem a necessidade de restauração.Soft delete acts like a recycle bin and allows recovery for up to 90 days without the need to restore. A restauração só deve ser necessária em circunstâncias extremas ou incomuns, por exemplo, se a chave ou o cofre de chaves for perdido.Restore should only be required in extreme or unusual circumstances, for example if the key or key vault is lost. Se você deve restaurar uma chave para uso com a Chave do Cliente, em Azure PowerShell, execute o cmdlet Restore-AzureKeyVaultKey da seguinte forma:If you must restore a key for use with Customer Key, in Azure PowerShell, run the Restore-AzureKeyVaultKey cmdlet as follows:

Restore-AzKeyVaultKey -VaultName <vault name> -InputFile <filename>

Por exemplo:For example:

Restore-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Se o cofre de chaves já contiver uma chave com o mesmo nome, a operação de restauração falhará.If the key vault already contains a key with the same name, the restore operation fails. Restore-AzKeyVaultKey restaura todas as versões principais e todos os metadados da chave, incluindo o nome da chave.Restore-AzKeyVaultKey restores all key versions and all metadata for the key including the key name.

Gerenciar permissões de cofre de chavesManage key vault permissions

Vários cmdlets estão disponíveis que permitem que você veja e, se necessário, remova as permissões do cofre de chaves.Several cmdlets are available that enable you to view and, if necessary, remove key vault permissions. Talvez seja necessário remover permissões, por exemplo, quando um funcionário sair da equipe.You might need to remove permissions, for example, when an employee leaves the team. Para cada uma dessas tarefas, você usará Azure PowerShell.For each of these tasks, you will use Azure PowerShell. Para obter informações sobre Azure PowerShell, consulte Overview of Azure PowerShell.For information about Azure PowerShell, see Overview of Azure PowerShell.

Para exibir permissões de cofre de chaves, execute o cmdlet Get-AzKeyVault chave.To view key vault permissions, run the Get-AzKeyVault cmdlet.

Get-AzKeyVault -VaultName <vault name>

Por exemplo:For example:

Get-AzKeyVault -VaultName Contoso-O365EX-NA-VaultA1

Para remover as permissões de um administrador, execute o cmdlet Remove-AzKeyVaultAccessPolicy:To remove an administrator's permissions, run the Remove-AzKeyVaultAccessPolicy cmdlet:

Remove-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user>

Por exemplo:For example:

Remove-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -UserPrincipalName alice@contoso.com

Reverter da Chave do Cliente para chaves gerenciadas da MicrosoftRoll back from Customer Key to Microsoft managed Keys

Se precisar reverter para chaves gerenciadas pela Microsoft, você pode.If you need to revert to Microsoft-managed keys, you can. Quando você sai do barco, seus dados são recriptados usando a criptografia padrão suportada por cada carga de trabalho individual.When you offboard, your data is re-encrypted using default encryption supported by each individual workload. Por exemplo, Exchange Online dá suporte à criptografia padrão usando chaves gerenciadas pela Microsoft.For example, Exchange Online supports default encryption using Microsoft-managed keys.

Importante

O offboard não é o mesmo que uma limpeza de dados.Offboarding is not the same as a data purge. Uma limpeza de dados exclui permanentemente os dados da sua organização Microsoft 365, o offboard não.A data purge permanently crypto-deletes your organization's data from Microsoft 365, offboarding does not. Você não pode executar uma limpeza de dados para uma política de carga de trabalho múltipla.You can't perform a data purge for a multiple workload policy.

Se você decidir não usar Mais a Chave do Cliente para atribuir DEPs de várias cargas de trabalho, você precisará falar com o suporte da Microsoft com uma solicitação para "offboard" da Chave do Cliente.If you decide not to use Customer Key for assigning multi-workload DEPs anymore then you'll need to reach out to Microsoft support with a request to “offboard” from Customer Key. Peça à equipe de suporte para arquivar uma solicitação de serviço Microsoft 365 equipe de Chave do Cliente.Ask the support team to file a service request against Microsoft 365 Customer Key team. Entre em contato m365-ck@service.microsoft.com se você tiver alguma dúvida.Reach out to m365-ck@service.microsoft.com if you have any questions.

Se você não quiser mais criptografar caixas de correio individuais usando DEPs de nível de caixa de correio, poderá desasinhar DEPs de nível de caixa de correio de todas as suas caixas de correio.If you do not want to encrypt individual mailboxes using mailbox level DEPs anymore, then you can unassign mailbox level DEPs from all your mailboxes.

Para desausinar DEPs de caixa de correio, use o cmdlet Set-Mailbox PowerShell.To unassign mailbox DEPs, use the Set-Mailbox PowerShell cmdlet.

  1. Usando uma conta de estudante ou de trabalho que tenha permissões globais de administrador em sua organização, conecte-se Exchange Online PowerShell.Using a work or school account that has global administrator permissions in your organization, connect to Exchange Online PowerShell.

  2. Execute o cmdlet Set-Mailbox.Run the Set-Mailbox cmdlet.

    Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy $NULL
    

Executar este cmdlet desassocia o DEP atribuído no momento e reenscriptografa a caixa de correio usando o DEP associado às chaves gerenciadas pela Microsoft padrão.Running this cmdlet unassigns the currently assigned DEP and reencrypts the mailbox using the DEP associated with default Microsoft-managed keys. Não é possível desa desasinalhar o DEP usado pelas chaves gerenciadas da Microsoft.You can't unassign the DEP used by Microsoft managed keys. Se você não quiser usar chaves gerenciadas pela Microsoft, poderá atribuir outro DEP de Chave de Cliente à caixa de correio.If you don't want to use Microsoft-managed keys, you can assign another Customer Key DEP to the mailbox.

Revogar suas chaves e iniciar o processo de caminho de limpeza de dadosRevoke your keys and start the data purge path process

Você controla a revogação de todas as chaves raiz, incluindo a chave de disponibilidade.You control the revocation of all root keys including the availability key. A Chave do Cliente fornece controle do aspecto de planejamento de saída dos requisitos regulatórios para você.Customer Key provides control of the exit planning aspect of the regulatory requirements for you. Se você decidir revogar suas chaves para limpar seus dados e sair do serviço, o serviço excluirá a chave de disponibilidade depois que o processo de limpeza de dados for concluído.If you decide to revoke your keys to purge your data and exit the service, the service deletes the availability key once the data purge process completes. Isso é suportado para DEPs de Chave de Cliente que são atribuídos a caixas de correio individuais.This is supported for Customer Key DEPs that are assigned to individual mailboxes.

Microsoft 365 audita e valida o caminho de limpeza de dados.Microsoft 365 audits and validates the data purge path. Para obter mais informações, consulte o Relatório soc 2 do SSAE 18 disponível no Portal de Confiança do Serviço.For more information, see the SSAE 18 SOC 2 Report available on the Service Trust Portal. Além disso, a Microsoft recomenda os seguintes documentos:In addition, Microsoft recommends the following documents:

Não há suporte para a depuração de DEP de várias cargas de trabalho Microsoft 365 Customer Key.Purging of multi-workload DEP is not supported for Microsoft 365 Customer Key. A DEP de várias cargas de trabalho é usada para criptografar dados em várias cargas de trabalho em todos os usuários de locatários.The multi-workload DEP is used to encrypt data across multiple workloads across all tenant users. A purgação desse DEP resultaria em dados de várias cargas de trabalho inacessíveis.Purging such DEP would result into data from across multiple workloads become inaccessible. Se você decidir sair completamente Microsoft 365 serviços, poderá seguir o caminho da exclusão de locatários por meio do processo documentado.If you decide to exit Microsoft 365 services altogether then you could pursue the path of tenant deletion per the documented process. Veja como excluir um locatário no Azure Active Directoy.See how to delete a tenant in Azure Active Directoy.

Revogar suas Chaves de Cliente e a chave de disponibilidade para Exchange Online e Skype for BusinessRevoke your Customer Keys and the availability key for Exchange Online and Skype for Business

Ao iniciar o caminho de limpeza de dados para Exchange Online e Skype for Business, você definirá uma solicitação permanente de limpeza de dados em um DEP.When you initiate the data purge path for Exchange Online and Skype for Business, you set a permanent data purge request on a DEP. Isso exclui permanentemente os dados criptografados nas caixas de correio às quais esse DEP é atribuído.Doing so permanently deletes encrypted data within the mailboxes to which that DEP is assigned.

Como você só pode executar o cmdlet do PowerShell em um DEP por vez, considere reatribuir um único DEP para todas as suas caixas de correio antes de iniciar o caminho de limpeza de dados.Since you can only run the PowerShell cmdlet against one DEP at a time, consider reassigning a single DEP to all of your mailboxes before you initiate the data purge path.

Aviso

Não use o caminho de limpeza de dados para excluir um subconjunto de suas caixas de correio.Do not use the data purge path to delete a subset of your mailboxes. Esse processo destina-se apenas aos clientes que estão saindo do serviço.This process is only intended for customers who are exiting the service.

Para iniciar o caminho de limpeza de dados, conclua estas etapas:To initiate the data purge path, complete these steps:

  1. Remova permissões de quebra e desembrulhamento para "O365 Exchange Online" dos Cofres de Chaves do Azure.Remove wrap and unwrap permissions for "O365 Exchange Online" from Azure Key Vaults.

  2. Usando uma conta de estudante ou de trabalho que tenha privilégios globais de administrador em sua organização, conecte-se ao Exchange Online PowerShell.Using a work or school account that has global administrator privileges in your organization, connect to Exchange Online PowerShell.

  3. Para cada DEP que contém caixas de correio que você deseja excluir, execute o cmdlet Set-DataEncryptionPolicy da seguinte forma.For each DEP that contains mailboxes that you want to delete, run the Set-DataEncryptionPolicy cmdlet as follows.

    Set-DataEncryptionPolicy <Policy ID> -PermanentDataPurgeRequested -PermanentDataPurgeReason <Reason> -PermanentDataPurgeContact <ContactName>
    

    Se o comando falhar, verifique se você removeu as permissões Exchange Online de ambas as chaves no Azure Key Vault conforme especificado anteriormente nesta tarefa.If the command fails, ensure that you've removed the Exchange Online permissions from both keys in Azure Key Vault as specified earlier in this task.Depois de definir a opção PermanentDataPurgeRequested usando o cmdlet Set-DataEncryptionPolicy, você não poderá mais atribuir esse DEP às caixas de correio. Once you've set the PermanentDataPurgeRequested switch using the Set-DataEncryptionPolicy cmdlet, you'll no longer be able to assign this DEP to mailboxes.

  4. Entre em contato com o suporte da Microsoft e solicite o eDocument de Limpeza de Dados.Contact Microsoft support and request the Data Purge eDocument.

    Em sua solicitação, a Microsoft envia um documento legal para confirmar e autorizar a exclusão de dados.At your request, Microsoft sends you a legal document to acknowledge and authorize data deletion. A pessoa em sua organização que se inscreveu como aprovador na oferta do FastTrack durante a integração precisa assinar este documento.The person in your organization who signed up as an approver in the FastTrack offer during onboarding needs to sign this document. Normalmente, esse é um executivo ou outra pessoa designada em sua empresa que está legalmente autorizado a assinar a documentação em nome da sua organização.Normally, this is an executive or other designated person in your company who is legally authorized to sign the paperwork on behalf of your organization.

  5. Depois que seu representante tiver assinado o documento legal, retorne-o à Microsoft (geralmente por meio de uma assinatura do eDoc).Once your representative has signed the legal document, return it to Microsoft (usually through an eDoc signature).

    Depois que a Microsoft recebe o documento legal, a Microsoft executa cmdlets para disparar a limpeza de dados que primeiro exclui a política, marca as caixas de correio para exclusão permanente e exclui a chave de disponibilidade.Once Microsoft receives the legal document, Microsoft runs cmdlets to trigger the data purge which first deletes the policy, marks the mailboxes for permanent deletion, then deletes the availability key. Depois que o processo de limpeza de dados for concluído, os dados serão limpos, estarão inacessíveis Exchange Online e não serão recuperáveis.Once the data purge process completes, the data has been purged, is inaccessible to Exchange Online, and is not recoverable.

Revogar suas Chaves de Cliente e a chave de disponibilidade para arquivos SharePoint Online, OneDrive for Business e Teams OnlineRevoke your Customer Keys and the availability key for SharePoint Online, OneDrive for Business, and Teams files

Para iniciar o caminho de limpeza de dados para arquivos SharePoint Online, OneDrive for Business e Teams, conclua estas etapas:To initiate the data purge path for SharePoint Online, OneDrive for Business, and Teams files, complete these steps:

  1. Revogar o acesso ao Cofre de Chaves do Azure.Revoke Azure Key Vault access. Todos os administradores do cofre de chaves devem concordar em revogar o acesso.All key vault admins must agree to revoke access.

    Você não exclui o Azure Key Vault para SharePoint Online.You do not delete the Azure Key Vault for SharePoint Online. Os cofres chave podem ser compartilhados entre vários locatários SharePoint Online e DEPs.Key vaults may be shared among several SharePoint Online tenants and DEPs.

  2. Contate a Microsoft para excluir a chave de disponibilidade.Contact Microsoft to delete the availability key.

    Quando você entrar em contato com a Microsoft para excluir a chave de disponibilidade, enviaremos um documento legal.When you contact Microsoft to delete the availability key, we'll send you a legal document. A pessoa em sua organização que se inscreveu como aprovador na oferta do FastTrack durante a integração precisa assinar este documento.The person in your organization who signed up as an approver in the FastTrack offer during onboarding needs to sign this document. Normalmente, esse é um executivo ou outra pessoa designada em sua empresa que está legalmente autorizado a assinar a documentação em nome da sua organização.Normally, this is an executive or other designated person in your company who's legally authorized to sign the paperwork on behalf of your organization.

  3. Depois que o representante assinar o documento legal, retorne-o à Microsoft (geralmente por meio de uma assinatura do eDoc).Once your representative signs the legal document, return it to Microsoft (usually through an eDoc signature).

    Depois que a Microsoft recebe o documento legal, executamos cmdlets para disparar a limpeza de dados que executa a exclusão criptografada da chave de locatário, da chave do site e de todas as chaves individuais por documento, quebrando irrevogavelmente a hierarquia de chaves.Once Microsoft receives the legal document, we run cmdlets to trigger the data purge which performs crypto deletion of the tenant key, site key, and all individual per-document keys, irrevocably breaking the key hierarchy. Depois que os cmdlets de limpeza de dados são concluídos, seus dados são limpos.Once the data purge cmdlets complete, your data has been purged.