Управление ключом клиентаManage Customer Key

После создания ключа клиента для Office 365 необходимо создать и назначить одну или несколько политик шифрования данных (DEP).After you've set up Customer Key for Office 365, you'll need to create and assign one or more data encryption policies (DEP). После того как вы направите dePs, вы сможете управлять ключами, как описано в этой статье.Once you've assigned your DEPs, you can manage your keys as described in this article. Дополнительные данные о ключе клиента в связанных темах.Learn more about Customer Key in the related topics.

Создание deP для использования с несколькими рабочими нагрузками для всех пользователей-клиентовCreate a DEP for use with multiple workloads for all tenant users

Перед началом работы убедитесь, что вы выполнили задачи, необходимые для набора клиента.Before you begin, ensure that you've completed the tasks required to set up Customer. Сведения см. в перенастройка клиентского ключа.For information, see Set up Customer Key. Чтобы создать DEP, вам нужны URL-адреса key Vault, полученные во время установки.To create the DEP, you need the Key Vault URIs you obtained during setup. Сведения см. в элементе Получение URI для каждого ключа Azure Key Vault.For information, see Obtain the URI for each Azure Key Vault key.

Чтобы создать deP с несколькими рабочими нагрузками, выполните следующие действия:To create a multi-workload DEP, follow these steps:

  1. На локальном компьютере с помощью учетной записи работы или учебного заведения с разрешениями администратора глобального администратора или администратора соответствия требованиям подключайтесь к Exchange Online PowerShell в Windows PowerShell окне.On your local computer, using a work or school account that has global administrator or compliance admin permissions in your organization, connect to Exchange Online PowerShell in a Windows PowerShell window.

  2. Чтобы создать DEP, используйте New-M365DataAtRestEncryptionPolicy.To create a DEP, use the New-M365DataAtRestEncryptionPolicy cmdlet.

    New-M365DataAtRestEncryptionPolicy -Name <PolicyName> -AzureKeyIDs <KeyVaultURI1, KeyVaultURI2> [-Description <String>]
    

    Где:Where:

    • PolicyName — это имя, которое необходимо использовать для политики.PolicyName is the name you want to use for the policy. Имена не могут содержать пробелы.Names can't contain spaces. Например, Contoso_Global.For example, Contoso_Global.

    • KeyVaultURI1 — это URI для первого ключа в политике.KeyVaultURI1 is the URI for the first key in the policy. Например, https://contosoWestUSvault1.vault.azure.net/keys/Key_01.For example, https://contosoWestUSvault1.vault.azure.net/keys/Key_01.

    • KeyVaultURI2 — это URI для второго ключа в политике.KeyVaultURI2 is the URI for the second key in the policy. Например, https://contosoCentralUSvault1.vault.azure.net/keys/Key_02.For example, https://contosoCentralUSvault1.vault.azure.net/keys/Key_02. Разделять два URL-адреса на запятую и пробел.Separate the two URIs by a comma and a space.

    • Описание политики — это удобное описание политики, которое поможет вам вспомнить, для чего нужна политика.Policy Description is a user-friendly description of the policy that will help you remember what the policy is for. В описании можно включить пробелы.You can include spaces in the description. Например, "Корневая политика для нескольких рабочих нагрузок для всех пользователей в клиенте".For example, "Root policy for multiple workloads for all users in the tenant.".

Пример:Example:

New-M365DataAtRestEncryptionPolicy -Name "Contoso_Global" -AzureKeyIDs "https://contosoWestUSvault1.vault.azure.net/keys/Key_01","https://contosoCentralUSvault1.vault.azure.net/keys/Key_02" -Description "Policy for multiple workloads for all users in the tenant."

Назначение политики с несколькими рабочими нагрузкамиAssign multi-workload policy

Назначение deP с помощью Set-M365DataAtRestEncryptionPolicyAssignment.Assign the DEP by using the Set-M365DataAtRestEncryptionPolicyAssignment cmdlet. После назначения политики Microsoft 365 шифровать данные с помощью ключа, идентифицированного в deP.Once you assign the policy, Microsoft 365 encrypts the data with the key identified in the DEP.

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName or ID>

Где PolicyName — это имя политики.Where PolicyName is the name of the policy. Например, Contoso_Global.For example, Contoso_Global.

Пример:Example:

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy "Contoso_Global"

Создание deP для использования с Exchange Online почтовыми ящикамиCreate a DEP for use with Exchange Online mailboxes

Перед началом работы убедитесь, что вы выполнили задачи, необходимые для набора хранилища ключей Azure.Before you begin, ensure that you've completed the tasks required to set up Azure Key Vault. Сведения см. в перенастройка клиентского ключа.For information, see Set up Customer Key. Вы выполните эти действия, удаленно подключившись к Exchange Online с Windows PowerShell.You'll complete these steps by remotely connecting to Exchange Online with Windows PowerShell.

DeP связан с набором ключей, хранимых в хранилище ключей Azure.A DEP is associated with a set of keys stored in Azure Key Vault. Вы назначаете deP почтовому ящику в Microsoft 365.You assign a DEP to a mailbox in Microsoft 365. Microsoft 365 затем использовать ключи, выявленные в политике, для шифрования почтового ящика.Microsoft 365 will then use the keys identified in the policy to encrypt the mailbox. Чтобы создать DEP, вам нужны URL-адреса key Vault, полученные во время установки.To create the DEP, you need the Key Vault URIs you obtained during setup. Сведения см. в элементе Получение URI для каждого ключа Azure Key Vault.For information, see Obtain the URI for each Azure Key Vault key.

Помните!Remember! При создании DEP укажите два ключа в двух разных хранилищах ключей Azure.When you create a DEP, you specify two keys in two different Azure Key Vaults. Создайте эти клавиши в двух отдельных регионах Azure для обеспечения избыточности геоизбытки.Create these keys in two separate Azure regions to ensure geo-redundancy.

Чтобы создать deP для использования с почтовым ящиком, выполните следующие действия:To create a DEP to use with a mailbox, follow these steps:

  1. На локальном компьютере с помощью учетной записи работы или учебного заведения с разрешениями глобального администратора или администратора Exchange Online администратора в организации подключите Exchange Online PowerShell в окне Windows PowerShell.On your local computer, using a work or school account that has global administrator or Exchange Online admin permissions in your organization, connect to Exchange Online PowerShell in a Windows PowerShell window.

  2. Чтобы создать deP, используйте командлет New-DataEncryptionPolicy, введя следующую команду.To create a DEP, use the New-DataEncryptionPolicy cmdlet by typing the following command.

    New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>
    

    Где:Where:

    • PolicyName — это имя, которое необходимо использовать для политики.PolicyName is the name you want to use for the policy. Имена не могут содержать пробелы.Names can't contain spaces. Например, USA_mailboxes.For example, USA_mailboxes.

    • Описание политики — это удобное описание политики, которое поможет вам вспомнить, для чего нужна политика.Policy Description is a user-friendly description of the policy that will help you remember what the policy is for. В описании можно включить пробелы.You can include spaces in the description. Например, "Корневой ключ для почтовых ящиков в США и на ее территориях".For example, "Root key for mailboxes in USA and its territories".

    • KeyVaultURI1 — это URI для первого ключа в политике.KeyVaultURI1 is the URI for the first key in the policy. Например, https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.For example, https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.

    • KeyVaultURI2 — это URI для второго ключа в политике.KeyVaultURI2 is the URI for the second key in the policy. Например, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02.For example, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02. Разделять два URL-адреса на запятую и пробел.Separate the two URIs by a comma and a space.

    Пример:Example:

    New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault02.vault.azure.net/keys/USA_key_01, https://contoso_CentralUSvault02.vault.azure.net/keys/USA_Key_02
    

Подробные сведения о синтаксисах и параметрах см. в обзоре New-DataEncryptionPolicy.For detailed syntax and parameter information, see New-DataEncryptionPolicy.

Назначение deP почтовому ящикуAssign a DEP to a mailbox

Назначение deP почтовому ящику с помощью Set-Mailbox.Assign the DEP to a mailbox by using the Set-Mailbox cmdlet. После назначения политики Microsoft 365 шифровать почтовый ящик ключом, идентифицированным в deP.Once you assign the policy, Microsoft 365 can encrypt the mailbox with the key identified in the DEP.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

Где MailboxIdParameter указывает почтовый ящик пользователя.Where MailboxIdParameter specifies a user mailbox. Дополнительные сведения о Set-Mailbox см. в списке Set-Mailbox.For more information about the Set-Mailbox cmdlet, see Set-Mailbox.

В гибридных средах можно назначить deP данным локального почтового ящика, синхронизированным в Exchange Online клиента.In hybrid environments, you can assign a DEP to the on-premises mailbox data that is synchronized into your Exchange Online tenant. Чтобы назначить deP этим синхронизированным данным почтовых ящиков, вы будете использовать Set-MailUser.To assign a DEP to this synchronized mailbox data, you'll use the Set-MailUser cmdlet. Дополнительные сведения о данных почтовых ящиков в гибридной среде см. в локальном почтовом ящике с Outlook для iOS и Android с гибридной современной проверкой подлинности.For more information about mailbox data in the hybrid environment, see on-premises mailboxes using Outlook for iOS and Android with hybrid Modern Authentication.

Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>

Где MailUserIdParameter указывает пользователя почты (также известного как пользователь с включенной почтой).Where MailUserIdParameter specifies a mail user (also known as a mail-enabled user). Дополнительные сведения о Set-MailUser см. в списке Set-MailUser.For more information about the Set-MailUser cmdlet, see Set-MailUser.

Создание deP для использования с SharePoint Online, OneDrive для бизнеса и Teams файламиCreate a DEP for use with SharePoint Online, OneDrive for Business, and Teams files

Перед началом работы убедитесь, что вы выполнили задачи, необходимые для набора хранилища ключей Azure.Before you begin, ensure that you've completed the tasks required to set up Azure Key Vault. Сведения см. в перенастройка клиентского ключа.For information, see Set up Customer Key.

Чтобы настроить клиентский ключ для SharePoint Online, OneDrive для бизнеса и Teams, выполните эти действия, удаленно подключившись к SharePoint Online с помощью Windows PowerShell.To set up Customer Key for SharePoint Online, OneDrive for Business, and Teams files you complete these steps by remotely connecting to SharePoint Online with Windows PowerShell.

Вы связываете deP с набором ключей, хранимых в хранилище ключей Azure.You associate a DEP with a set of keys stored in Azure Key Vault. Для всех данных в одном географическом расположении, называемом также гео, применяется deP.You apply a DEP to all of your data in one geographic location, also called a geo. Если вы используете функцию multi-geo Office 365, можно создать один DEP на один гео с возможностью использования различных ключей для каждого гео.If you use the multi-geo feature of Office 365, you can create one DEP per geo with the capability to use different keys per geo. Если вы не используете multi-geo, вы можете создать один DEP в вашей организации для использования с SharePoint Online, OneDrive для бизнеса и Teams файлами.If you aren't using multi-geo, you can create one DEP in your organization for use with SharePoint Online, OneDrive for Business, and Teams files. Microsoft 365 для шифрования данных в этом географе используются ключи, выявленные в deP.Microsoft 365 uses the keys identified in the DEP to encrypt your data in that geo. Чтобы создать DEP, вам нужны URL-адреса key Vault, полученные во время установки.To create the DEP, you need the Key Vault URIs you obtained during setup. Сведения см. в элементе Получение URI для каждого ключа Azure Key Vault.For information, see Obtain the URI for each Azure Key Vault key.

Помните!Remember! При создании DEP укажите два ключа в двух разных хранилищах ключей Azure.When you create a DEP, you specify two keys in two different Azure Key Vaults. Создайте эти клавиши в двух отдельных регионах Azure для обеспечения избыточности геоизбытки.Create these keys in two separate Azure regions to ensure geo-redundancy.

Чтобы создать deP, необходимо удаленно подключиться к SharePoint Online с помощью Windows PowerShell.To create a DEP, you need to remotely connect to SharePoint Online by using Windows PowerShell.

  1. На локальном компьютере с помощью учетной записи работы или школы, которая имеет глобальные разрешения администратора в организации, Подключение SharePoint Online PowerShell.On your local computer, using a work or school account that has global administrator permissions in your organization, Connect to SharePoint Online PowerShell.

  2. В Microsoft Office SharePoint Online управленческой оболочки выполните Register-SPODataEncryptionPolicy следующим образом:In the Microsoft SharePoint Online Management Shell, run the Register-SPODataEncryptionPolicy cmdlet as follows:

    Register-SPODataEncryptionPolicy -Identity <adminSiteCollectionURL> -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>
    

    Пример:Example:

    Register-SPODataEncryptionPolicy -Identity https://contoso.sharepoint.com -PrimaryKeyVaultName 'stageRG3vault' -PrimaryKeyName 'SPKey3' -PrimaryKeyVersion 'f635a23bd4a44b9996ff6aadd88d42ba' -SecondaryKeyVaultName 'stageRG5vault' -SecondaryKeyName 'SPKey5' -SecondaryKeyVersion '2b3e8f1d754f438dacdec1f0945f251a’
    

    При регистрации deP шифрование начинается с данных в гео.When you register the DEP, encryption begins on the data in the geo. Шифрование может занять некоторое время.Encryption can take some time. Дополнительные сведения об использовании этого параметра см. в сайте Register-SPODataEncryptionPolicy.For more information on using this parameter, see Register-SPODataEncryptionPolicy.

Просмотр dePs, созданных для Exchange Online почтовых ящиковView the DEPs you've created for Exchange Online mailboxes

Чтобы просмотреть список всех созданных для почтовых ящиков dePs, используйте Get-DataEncryptionPolicy PowerShell.To view a list of all the DEPs you've created for mailboxes, use the Get-DataEncryptionPolicy PowerShell cmdlet.

  1. С помощью учетной записи работы или школы, которая имеет глобальные разрешения администратора в вашей организации, подключите Exchange Online PowerShell.Using a work or school account that has global administrator permissions in your organization, connect to Exchange Online PowerShell.

  2. Чтобы вернуть все dePs в организации, запустите Get-DataEncryptionPolicy без параметров.To return all DEPs in your organization, run the Get-DataEncryptionPolicy cmdlet without any parameters.

    Get-DataEncryptionPolicy
    

    Дополнительные сведения о Get-DataEncryptionPolicy см. в этой записи в get-DataEncryptionPolicy.For more information about the Get-DataEncryptionPolicy cmdlet, see Get-DataEncryptionPolicy.

Назначение deP перед переносом почтового ящика в облакоAssign a DEP before you migrate a mailbox to the cloud

При назначении deP Microsoft 365 шифрует содержимое почтового ящика с помощью назначенного deP во время миграции.When you assign the DEP, Microsoft 365 encrypts the contents of the mailbox using the assigned DEP during the migration. Этот процесс более эффективен, чем перенос почтового ящика, назначение deP и ожидание шифрования, которое может занять несколько часов или, возможно, дней.This process is more efficient than migrating the mailbox, assigning the DEP, and then waiting for encryption to take place, which can take hours or possibly days.

Чтобы назначить deP почтовому ящику перед переносом Office 365, запустите Set-MailUser в Exchange Online PowerShell:To assign a DEP to a mailbox before you migrate it to Office 365, run the Set-MailUser cmdlet in Exchange Online PowerShell:

  1. С помощью учетной записи работы или школы, которая имеет глобальные разрешения администратора в вашей организации, подключите Exchange Online PowerShell.Using a work or school account that has global administrator permissions in your organization, connect to Exchange Online PowerShell.

  2. Запустите Set-MailUser.Run the Set-MailUser cmdlet.

    Set-MailUser -Identity <GeneralMailboxOrMailUserIdParameter> -DataEncryptionPolicy <DataEncryptionPolicyIdParameter>
    

    Если GeneralMailboxOrMailUserIdParameter указывает почтовый ящик, а DataEncryptionPolicyIdParameter — это ID deP.Where GeneralMailboxOrMailUserIdParameter specifies a mailbox, and DataEncryptionPolicyIdParameter is the ID of the DEP. Дополнительные сведения о Set-MailUser см. в списке Set-MailUser.For more information about the Set-MailUser cmdlet, see Set-MailUser.

Определение deP, назначенного почтовому ящикуDetermine the DEP assigned to a mailbox

Чтобы определить deP, назначенное почтовому ящику, используйте Get-MailboxStatistics.To determine the DEP assigned to a mailbox, use the Get-MailboxStatistics cmdlet. В этом кодлете возвращается уникальный идентификатор (GUID).The cmdlet returns a unique identifier (GUID).

  1. С помощью учетной записи работы или школы, которая имеет глобальные разрешения администратора в вашей организации, подключите Exchange Online PowerShell.Using a work or school account that has global administrator permissions in your organization, connect to Exchange Online PowerShell.

    Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID
    

    Если GeneralMailboxOrMailUserIdParameter указывает почтовый ящик, а DataEncryptionPolicyID возвращает GUID deP.Where GeneralMailboxOrMailUserIdParameter specifies a mailbox and DataEncryptionPolicyID returns the GUID of the DEP. Дополнительные сведения о Get-MailboxStatistics см. в списке Get-MailboxStatistics.For more information about the Get-MailboxStatistics cmdlet, see Get-MailboxStatistics.

  2. Запустите Get-DataEncryptionPolicy, чтобы узнать удобное имя deP, которому назначен почтовый ящик.Run the Get-DataEncryptionPolicy cmdlet to find out the friendly name of the DEP to which the mailbox is assigned.

    Get-DataEncryptionPolicy <GUID>
    

    Если GUID — это GUID, возвращаемая Get-MailboxStatistics на предыдущем этапе.Where GUID is the GUID returned by the Get-MailboxStatistics cmdlet in the previous step.

Убедитесь, что ключ клиента завершил шифрованиеVerify that Customer Key has finished encryption

Вне зависимости от того, были ли вы свернут ключ клиента, назначен новый deP или перенесен почтовый ящик, используйте действия в этом разделе для обеспечения завершения шифрования.Whether you've rolled a Customer Key, assigned a new DEP, or migrated a mailbox, use the steps in this section to ensure that encryption completes.

Проверка завершения шифрования для Exchange Online почтовых ящиковVerify encryption completes for Exchange Online mailboxes

Шифрование почтового ящика может занять некоторое время.Encrypting a mailbox can take some time. При первом шифровании почтовый ящик должен полностью перемещаться из одной базы данных в другую, прежде чем служба сможет шифровать почтовый ящик.For first time encryption, the mailbox must also completely move from one database to another before the service can encrypt the mailbox.

Используйте Get-MailboxStatistics, чтобы определить, зашифрован ли почтовый ящик.Use the Get-MailboxStatistics cmdlet to determine if a mailbox is encrypted.

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

Свойство IsEncrypted возвращает значение true, если почтовый ящик зашифрован, и значение false, если почтовый ящик не зашифрован.The IsEncrypted property returns a value of true if the mailbox is encrypted and a value of false if the mailbox isn't encrypted. Время выполнения ходов почтовых ящиков зависит от количества почтовых ящиков, которым вы назначаете deP впервые, и размера почтовых ящиков.The time to complete mailbox moves depends on the number of mailboxes to which you assign a DEP for the first time, and the size of the mailboxes. Если почтовые ящики не были зашифрованы через неделю с того времени, как вы назначены deP, обратитесь в Корпорацию Майкрософт.If the mailboxes haven't been encrypted after a week from the time you assigned the DEP, contact Microsoft.

Этот New-MoveRequest больше не доступен для перемещения локальных почтовых ящиков.The New-MoveRequest cmdlet is no longer available for local mailbox moves. Дополнительные сведения можно найти в этом объявлении.Refer to this announcement for additional information.

Проверка завершения шифрования для SharePoint, OneDrive для бизнеса и Teams файловVerify encryption completes for SharePoint Online, OneDrive for Business, and Teams files

Проверьте состояние шифрования, запуская Get-SPODataEncryptionPolicy следующим образом:Check on the status of encryption by running the Get-SPODataEncryptionPolicy cmdlet as follows:

   Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

Выход из этого комлета включает в себя:The output from this cmdlet includes:

  • URI основного ключа.The URI of the primary key.

  • URI вторичного ключа.The URI of the secondary key.

  • Состояние шифрования для гео.The encryption status for the geo. Возможные состояния:Possible states include:

    • Незарегистрированные: Шифрование ключа клиента еще не применено.Unregistered: Customer Key encryption has not yet been applied.

    • Регистрация: Шифрование ключа клиента было применено, и ваши файлы находятся в процессе шифрования.Registering: Customer Key encryption has been applied and your files are in the process of being encrypted. Если ключ для георегистра регистрируется, вам также будет показана информация о том, какой процент сайтов в геополии завершен, чтобы можно было отслеживать ход шифрования.If the key for the geo is registering, you'll also be shown information on what percentage of sites in the geo are complete so that you can monitor encryption progress.

    • Зарегистрированы: Было применено шифрование ключа клиента, и все файлы на всех сайтах были зашифрованы.Registered: Customer Key encryption has been applied, and all files in all sites have been encrypted.

    • Прокатка: В настоящее время продолжается перекат ключей.Rolling: A key roll is in progress. Если ключ для геоската катится, вам также будет показана информация о том, какой процент сайтов завершил операцию рулона ключа, чтобы можно было отслеживать ход выполнения.If the key for the geo is rolling, you'll also be shown information on what percentage of sites have completed the key roll operation so that you can monitor progress.

Сведения об использовании dePs с несколькими рабочими нагрузкамиGet details about DEPs you use with multiple workloads

Чтобы получить сведения обо всех созданных для использования dePs с несколькими рабочими нагрузками, выполните следующие действия:To get details about all of the DEPs you've created to use with multiple workloads, complete these steps:

  1. На локальном компьютере с помощью учетной записи работы или учебного заведения с разрешениями администратора глобального администратора или администратора соответствия требованиям подключайтесь к Exchange Online PowerShell в Windows PowerShell окне.On your local computer, using a work or school account that has global administrator or compliance admin permissions in your organization, connect to Exchange Online PowerShell in a Windows PowerShell window.

    • Чтобы вернуть список всех многопрофильных dePs в организации, запустите эту команду.To return the list of all multi-workload DEPs in the organization, run this command.

         Get-M365DataAtRestEncryptionPolicy
      
    • Чтобы вернуть сведения о конкретном deP, запустите эту команду.To return details about a specific DEP, run this command. В этом примере возвращается подробная информация для deP с именем "Contoso_Global".This example returns detailed information for the DEP named "Contoso_Global".

         Get-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global"
      

Получить сведения о назначении deP с несколькими рабочими нагрузкамиGet multi-workload DEP assignment information

Чтобы узнать, какой deP в настоящее время назначен вашему клиенту, выполните следующие действия.To find out which DEP is currently assigned to your tenant, follow these steps.

  1. На локальном компьютере с помощью учетной записи работы или учебного заведения с разрешениями администратора глобального администратора или администратора соответствия требованиям подключайтесь к Exchange Online PowerShell в Windows PowerShell окне.On your local computer, using a work or school account that has global administrator or compliance admin permissions in your organization, connect to Exchange Online PowerShell in a Windows PowerShell window.

  2. Введите эту команду.Type this command.

       Get-M365DataAtRestEncryptionPolicyAssignment
    

Отключение deP с несколькими рабочими нагрузкамиDisable a multi-workload DEP

Прежде чем отключить deP с несколькими рабочими нагрузками, отключите deP от рабочих нагрузок в клиенте.Before you disable a multi-workload DEP, unassign the DEP from workloads in your tenant. Чтобы отключить deP, используемый с несколькими рабочими нагрузками, выполните следующие действия:To disable a DEP used with multiple workloads, complete these steps:

  1. На локальном компьютере с помощью учетной записи работы или учебного заведения с разрешениями администратора глобального администратора или администратора соответствия требованиям подключайтесь к Exchange Online PowerShell в Windows PowerShell окне.On your local computer, using a work or school account that has global administrator or compliance admin permissions in your organization, connect to Exchange Online PowerShell in a Windows PowerShell window.

  2. Запустите Set-M365DataAtRestEncryptionPolicy.Run the Set-M365DataAtRestEncryptionPolicy cmdlet.

    Set-M365DataAtRestEncryptionPolicy -[Identity] "PolicyName" -Enabled $false
    

Где PolicyName — это имя или уникальный ID политики.Where PolicyName is the name or unique ID of the policy. Например, Contoso_Global.For example, Contoso_Global.

Пример:Example:

Set-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global" -Enabled $false

Восстановление ключей Azure Key VaultRestore Azure Key Vault keys

Перед выполнением восстановления используйте возможности восстановления, предоставляемые мягким удалением.Before performing a restore, use the recovery capabilities provided by soft delete. Для всех ключей, используемых с ключом клиента, требуется включить мягкое удаление.All keys that are used with Customer Key are required to have soft delete enabled. Мягкое удаление действует как корзина для переработки и позволяет восстанавливать до 90 дней без необходимости восстановления.Soft delete acts like a recycle bin and allows recovery for up to 90 days without the need to restore. Восстановление должно требоваться только в экстремальных или необычных обстоятельствах, например, если ключ или хранилище ключа потеряно.Restore should only be required in extreme or unusual circumstances, for example if the key or key vault is lost. Если необходимо восстановить ключ для использования с ключом клиента, в Azure PowerShell выполните Restore-AzureKeyVaultKey следующим образом:If you must restore a key for use with Customer Key, in Azure PowerShell, run the Restore-AzureKeyVaultKey cmdlet as follows:

Restore-AzKeyVaultKey -VaultName <vault name> -InputFile <filename>

Например:For example:

Restore-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Если хранилище ключей уже содержит ключ с тем же именем, операция восстановления сбой.If the key vault already contains a key with the same name, the restore operation fails. Restore-AzKeyVaultKey восстанавливает все ключевые версии и все метаданные для ключа, включая имя ключа.Restore-AzKeyVaultKey restores all key versions and all metadata for the key including the key name.

Управление разрешениями хранилища ключейManage key vault permissions

Доступно несколько cmdlets, которые позволяют просматривать и при необходимости удалять разрешения на хранилище ключей.Several cmdlets are available that enable you to view and, if necessary, remove key vault permissions. Может потребоваться удалить разрешения, например, когда сотрудник покидает команду.You might need to remove permissions, for example, when an employee leaves the team. Для каждой из этих задач вы будете использовать Azure PowerShell.For each of these tasks, you will use Azure PowerShell. Сведения о Azure PowerShell см. в обзоре Azure PowerShell.For information about Azure PowerShell, see Overview of Azure PowerShell.

Чтобы просмотреть разрешения хранилища ключей, запустите Get-AzKeyVault.To view key vault permissions, run the Get-AzKeyVault cmdlet.

Get-AzKeyVault -VaultName <vault name>

Например:For example:

Get-AzKeyVault -VaultName Contoso-O365EX-NA-VaultA1

Чтобы удалить разрешения администратора, запустите Remove-AzKeyVaultAccessPolicy:To remove an administrator's permissions, run the Remove-AzKeyVaultAccessPolicy cmdlet:

Remove-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user>

Например:For example:

Remove-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -UserPrincipalName alice@contoso.com

Откат от ключа клиента к управляемым клавишам МайкрософтRoll back from Customer Key to Microsoft managed Keys

Если вам нужно вернуться к клавишам с управлением Майкрософт, вы можете.If you need to revert to Microsoft-managed keys, you can. При отключении данные повторно шифруются с помощью шифрования по умолчанию, поддерживаемого каждой отдельной рабочей нагрузкой.When you offboard, your data is re-encrypted using default encryption supported by each individual workload. Например, Exchange Online шифрование по умолчанию с помощью управляемых Microsoft ключей.For example, Exchange Online supports default encryption using Microsoft-managed keys.

Важно!

Offboarding — это не то же самое, что очистка данных.Offboarding is not the same as a data purge. Очистка данных навсегда удаляет данные вашей организации из Microsoft 365, offboarding этого не делает.A data purge permanently crypto-deletes your organization's data from Microsoft 365, offboarding does not. Вы не можете выполнить очистку данных для нескольких политик рабочей нагрузки.You can't perform a data purge for a multiple workload policy.

Если вы решите больше не использовать клиентский ключ для назначения депов с несколькими рабочими нагрузками, вам потребуется связаться с поддержкой Майкрософт с запросом на "отключение" от ключа клиента.If you decide not to use Customer Key for assigning multi-workload DEPs anymore then you'll need to reach out to Microsoft support with a request to “offboard” from Customer Key. Попросите команду поддержки подать запрос на службу Microsoft 365 клиента.Ask the support team to file a service request against Microsoft 365 Customer Key team. Связаться с m365-ck@service.microsoft.com, если у вас есть какие-либо вопросы.Reach out to m365-ck@service.microsoft.com if you have any questions.

Если вы больше не хотите шифровать отдельные почтовые ящики с помощью dePs уровня почтовых ящиков, можно отогнать dePs уровня почтовых ящиков из всех почтовых ящиков.If you do not want to encrypt individual mailboxes using mailbox level DEPs anymore, then you can unassign mailbox level DEPs from all your mailboxes.

Чтобы отогнать dePs почтового ящика, используйте Set-Mailbox PowerShell.To unassign mailbox DEPs, use the Set-Mailbox PowerShell cmdlet.

  1. С помощью учетной записи работы или школы, которая имеет глобальные разрешения администратора в вашей организации, подключите Exchange Online PowerShell.Using a work or school account that has global administrator permissions in your organization, connect to Exchange Online PowerShell.

  2. Запустите Set-Mailbox.Run the Set-Mailbox cmdlet.

    Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy $NULL
    

При запуске этого cmdlet открепит назначенное в настоящее время deP и повторно зашифровка почтового ящика с помощью DEP, связанного с ключами microsoft-managed по умолчанию.Running this cmdlet unassigns the currently assigned DEP and reencrypts the mailbox using the DEP associated with default Microsoft-managed keys. Нельзя отоименить deP, используемый управляемыми ключами Майкрософт.You can't unassign the DEP used by Microsoft managed keys. Если вы не хотите использовать ключи с управлением Майкрософт, вы можете назначить в почтовый ящик другой DEP ключа клиента.If you don't want to use Microsoft-managed keys, you can assign another Customer Key DEP to the mailbox.

Отзовите ключи и запустите процесс очистки данныхRevoke your keys and start the data purge path process

Вы контролируете отзыв всех корневых ключей, включая ключ доступности.You control the revocation of all root keys including the availability key. Ключ клиента обеспечивает контроль за аспектом планирования выхода из системы нормативных требований для вас.Customer Key provides control of the exit planning aspect of the regulatory requirements for you. Если вы решите отопустить ключи для очистки данных и выхода из службы, служба удаляет ключ доступности после завершения процесса очистки данных.If you decide to revoke your keys to purge your data and exit the service, the service deletes the availability key once the data purge process completes. Это поддерживается для dePs ключа клиента, которые назначены отдельным почтовым ящикам.This is supported for Customer Key DEPs that are assigned to individual mailboxes.

Microsoft 365 аудит и проверяет путь очистки данных.Microsoft 365 audits and validates the data purge path. Дополнительные сведения см. в отчете SSAE 18 SOC 2, доступном на портале доверия к службам.For more information, see the SSAE 18 SOC 2 Report available on the Service Trust Portal. Кроме того, Корпорация Майкрософт рекомендует следующие документы:In addition, Microsoft recommends the following documents:

Purging of multi-workload DEP is not supported for Microsoft 365 Customer Key.Purging of multi-workload DEP is not supported for Microsoft 365 Customer Key. DeP с несколькими рабочими нагрузками используется для шифрования данных между несколькими рабочими нагрузками для всех пользователей-клиентов.The multi-workload DEP is used to encrypt data across multiple workloads across all tenant users. Чистка таких deP приведет к недоступности данных из нескольких рабочих нагрузок.Purging such DEP would result into data from across multiple workloads become inaccessible. Если вы решите полностью Microsoft 365 службы, можно продолжить путь удаления клиента в документированном процессе.If you decide to exit Microsoft 365 services altogether then you could pursue the path of tenant deletion per the documented process. Узнайте, как удалить клиента в Azure Active Directoy.See how to delete a tenant in Azure Active Directoy.

Отзовите ключи клиента и ключ доступности для Exchange Online и Skype для бизнесаRevoke your Customer Keys and the availability key for Exchange Online and Skype for Business

Когда вы инициируете путь очистки данных для Exchange Online и Skype для бизнеса, вы установите постоянный запрос очистки данных на deP.When you initiate the data purge path for Exchange Online and Skype for Business, you set a permanent data purge request on a DEP. Это навсегда удаляет зашифрованные данные в почтовых ящиках, которым назначен этот deP.Doing so permanently deletes encrypted data within the mailboxes to which that DEP is assigned.

Так как вы можете запускать только комдлет PowerShell по одному deP одновременно, перед началом пути очистки данных рассмотрите возможность повторного перенанаружания единого deP для всех почтовых ящиков.Since you can only run the PowerShell cmdlet against one DEP at a time, consider reassigning a single DEP to all of your mailboxes before you initiate the data purge path.

Предупреждение

Не используйте путь очистки данных для удаления подмножество почтовых ящиков.Do not use the data purge path to delete a subset of your mailboxes. Этот процесс предназначен только для клиентов, которые выходят из службы.This process is only intended for customers who are exiting the service.

Чтобы инициировать путь очистки данных, выполните следующие действия:To initiate the data purge path, complete these steps:

  1. Удалите разрешения на обертывание и открутку для "O365 Exchange Online" из хранилища ключей Azure.Remove wrap and unwrap permissions for "O365 Exchange Online" from Azure Key Vaults.

  2. С помощью учетной записи для работы или школы, которая имеет глобальные права администратора в организации, подключите Exchange Online PowerShell.Using a work or school account that has global administrator privileges in your organization, connect to Exchange Online PowerShell.

  3. Для каждого deP, который содержит почтовые ящики, которые необходимо удалить, выполните набор-DataEncryptionPolicy следующим образом.For each DEP that contains mailboxes that you want to delete, run the Set-DataEncryptionPolicy cmdlet as follows.

    Set-DataEncryptionPolicy <Policy ID> -PermanentDataPurgeRequested -PermanentDataPurgeReason <Reason> -PermanentDataPurgeContact <ContactName>
    

    Если команда сбой, убедитесь, что вы удалили Exchange Online с обоих ключей в Хранилище ключей Azure, как указано ранее в этой задаче.If the command fails, ensure that you've removed the Exchange Online permissions from both keys in Azure Key Vault as specified earlier in this task.После того как вы установите переключатель PermanentDataPurgeRequested с помощью Set-DataEncryptionPolicy, вы больше не сможете назначить этот deP почтовым ящикам. Once you've set the PermanentDataPurgeRequested switch using the Set-DataEncryptionPolicy cmdlet, you'll no longer be able to assign this DEP to mailboxes.

  4. Обратитесь в службу поддержки Корпорации Майкрософт и запросите eDocument очистки данных.Contact Microsoft support and request the Data Purge eDocument.

    По вашему запросу Корпорация Майкрософт отправляет вам юридический документ для подтверждения и авторизации удаления данных.At your request, Microsoft sends you a legal document to acknowledge and authorize data deletion. Человек в вашей организации, который зарегистрировался в качестве утвержденного в предложении FastTrack во время входной регистрации, должен подписать этот документ.The person in your organization who signed up as an approver in the FastTrack offer during onboarding needs to sign this document. Как правило, это руководитель или другое назначенное лицо в вашей компании, которому по закону разрешено подписывать документы от имени вашей организации.Normally, this is an executive or other designated person in your company who is legally authorized to sign the paperwork on behalf of your organization.

  5. После того как ваш представитель подписал юридический документ, верни его в Корпорацию Майкрософт (как правило, с помощью подписи eDoc).Once your representative has signed the legal document, return it to Microsoft (usually through an eDoc signature).

    Когда Корпорация Майкрософт получает юридический документ, Корпорация Майкрософт запускает комлеты, чтобы вызвать очистку данных, которая сначала удаляет политику, отмечает почтовые ящики для постоянного удаления, а затем удаляет ключ доступности.Once Microsoft receives the legal document, Microsoft runs cmdlets to trigger the data purge which first deletes the policy, marks the mailboxes for permanent deletion, then deletes the availability key. После завершения процесса очистки данных данные будут очищены, недоступны для Exchange Online и не могут быть восстановлены.Once the data purge process completes, the data has been purged, is inaccessible to Exchange Online, and is not recoverable.

Отзовите ключи клиента и ключ доступности для SharePoint, OneDrive для бизнеса и Teams файловRevoke your Customer Keys and the availability key for SharePoint Online, OneDrive for Business, and Teams files

Чтобы инициировать путь очистки данных для SharePoint Online, OneDrive для бизнеса и Teams, выполните следующие действия:To initiate the data purge path for SharePoint Online, OneDrive for Business, and Teams files, complete these steps:

  1. Отзови доступ к хранилищем ключей Azure.Revoke Azure Key Vault access. Все администраторы хранилища ключей должны согласиться на отвод доступа.All key vault admins must agree to revoke access.

    Хранилище ключей Azure для SharePoint Online не удаляется.You do not delete the Azure Key Vault for SharePoint Online. Хранилища ключей могут быть общими для нескольких SharePoint и dePs.Key vaults may be shared among several SharePoint Online tenants and DEPs.

  2. Свяжитесь с Корпорацией Майкрософт, чтобы удалить ключ доступности.Contact Microsoft to delete the availability key.

    Когда вы обратитесь в Корпорацию Майкрософт, чтобы удалить ключ доступности, мы отправим вам юридический документ.When you contact Microsoft to delete the availability key, we'll send you a legal document. Человек в вашей организации, который зарегистрировался в качестве утвержденного в предложении FastTrack во время входной регистрации, должен подписать этот документ.The person in your organization who signed up as an approver in the FastTrack offer during onboarding needs to sign this document. Как правило, это руководитель или другой назначенный человек в вашей компании, который имеет юридические права подписывать документы от имени организации.Normally, this is an executive or other designated person in your company who's legally authorized to sign the paperwork on behalf of your organization.

  3. Как только ваш представитель подпишет юридический документ, верни его в Microsoft (обычно с помощью подписи eDoc).Once your representative signs the legal document, return it to Microsoft (usually through an eDoc signature).

    Когда Корпорация Майкрософт получает юридический документ, мы запускаем комлеты, чтобы вызвать очистку данных, которая выполняет крипто-удаление ключа клиента, ключа сайта и всех отдельных ключей каждого документа, безвозвратно нарушая иерархию ключей.Once Microsoft receives the legal document, we run cmdlets to trigger the data purge which performs crypto deletion of the tenant key, site key, and all individual per-document keys, irrevocably breaking the key hierarchy. После завершения очистки данных данные будут очищены.Once the data purge cmdlets complete, your data has been purged.