管理客戶金鑰

設定客戶金鑰之後，請建立並指派一或多個數據加密原則 (DEP) 。 指派您的 DEP 之後，請如本文所述管理您的金鑰。 在相關文章中深入瞭解客戶密鑰。

提示

如果您不是 E5 客戶，請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。

Windows 365 Microsoft Purview 客戶金鑰的支持處於公開預覽狀態，而且可能會變更。 如需詳細資訊，請參閱適用於 Windows 365 雲端電腦的 Microsoft Purview 客戶密鑰。

建立 DEP 以搭配所有租用戶使用者的多個工作負載使用

開始之前，請確定您已完成設定客戶金鑰所需的工作。 如需詳細資訊， 請參閱設定客戶金鑰。 若要建立 DEP，您需要在安裝期間取得的 金鑰保存庫 URI。 如需詳細資訊，請參閱取得每個 Azure 金鑰保存庫 金鑰的 URI。

若要建立多重工作負載 DEP，請遵循下列步驟：

1. 在您的本機計算機上，使用組織中具有全域管理員或合規性系統管理員許可權的公司或學校帳戶，連線到 Exchange Online PowerShell。

2. 若要建立 DEP，請使用 New-M365DataAtRestEncryptionPolicy Cmdlet。

   New-M365DataAtRestEncryptionPolicy -Name <PolicyName> -AzureKeyIDs <KeyVaultURI1, KeyVaultURI2> [-Description <String>]
   

   其中：

   • “PolicyName” 是您想要用於原則的名稱。 名稱不能包含空格。 例如，Contoso_Global。

   • “KeyVaultURI1” 是原則中第一個密鑰的 URI。 例如，"https://contosoWestUSvault1.vault.azure.net/keys/Key_01"。

   • “KeyVaultURI2” 是原則中第二個密鑰的 URI。 例如，"https://contosoCentralUSvault1.vault.azure.net/keys/Key_02"。 以逗號和空格分隔這兩個URI。

   • 「原則描述」 是原則的使用者易記描述，可協助您記住原則的用途。 您可以在描述中包含空白。 例如，「租使用者中所有使用者的多個工作負載根原則」。

   例如:

   New-M365DataAtRestEncryptionPolicy -Name "Contoso_Global" -AzureKeyIDs "https://contosoWestUSvault1.vault.azure.net/keys/Key_01","https://contosoCentralUSvault1.vault.azure.net/keys/Key_02" -Description "Policy for multiple workloads for all users in the tenant."
   

指派多重工作負載原則

使用 Set-M365DataAtRestEncryptionPolicyAssignment Cmdlet 指派 DEP。 指派原則之後，Microsoft 365 會使用 DEP 中識別的密鑰來加密數據。

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName or ID>

其中 PolicyName 是原則的名稱，例如 。 Contoso_Global

例如:

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy "Contoso_Global"

針對 Windows 365，在完成此步驟的 3 到 4 小時內，Intune 系統管理中心會更新。 完成系統管理中心內的步驟，以加密現有的雲端電腦。 如需詳細資訊，請參閱設定 Windows 365 雲端計算機的客戶密鑰。

建立 DEP 以與 Exchange Online 信箱搭配使用

開始之前，請確定您已完成設定 Azure 金鑰保存庫 所需的工作。 如需詳細資訊， 請參閱設定客戶金鑰。 在 Exchange Online PowerShell 中完成這些步驟。

DEP 與一組儲存在 Azure 金鑰保存庫 中的金鑰相關聯。 您會將 DEP 指派給 Microsoft 365 中的信箱。 Microsoft 365 會使用原則中識別的密鑰來加密信箱。 若要建立 DEP，您需要在安裝期間取得的 金鑰保存庫 URI。 如需詳細資訊，請參閱取得每個 Azure 金鑰保存庫 金鑰的 URI。

記得！ 當您建立 DEP 時，您可以在兩個不同的 Azure Key Vault 中指定兩個密鑰。 若要避免異地備援，請在兩個不同的 Azure 區域中建立這些密鑰。

若要建立要與信箱搭配使用的 DEP，請遵循下列步驟：

1. 在您的本機計算機上，使用在組織中具有全域管理員或 Exchange Online 系統管理員許可權的公司或學校帳戶，聯機到 Exchange Online PowerShell。

2. 若要建立 DEP，請輸入下列命令來使用 New-DataEncryptionPolicy Cmdlet。

   New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>
   

   其中：

   • PolicyName 是您想要用於原則的名稱。 名稱不能包含空格。 例如，USA_mailboxes。

   • 原則描述 是原則的使用者易記描述，可協助您記住原則的用途。 您可以在描述中包含空白。 例如，「美國及其地區的信箱根密鑰」。

   • KeyVaultURI1 是原則中第一個密鑰的 URI。 例如，https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01。

   • KeyVaultURI2 是原則中第二個密鑰的 URI。 例如，https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02。 以逗號和空格分隔這兩個URI。

   例如:

   New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault02.vault.azure.net/keys/USA_key_01, https://contoso_CentralUSvault02.vault.azure.net/keys/USA_Key_02
   

如需詳細的語法和參數資訊，請參閱 New-DataEncryptionPolicy。

將 DEP 指派給信箱

使用 Set-Mailbox Cmdlet 將 DEP 指派給信箱。 指派原則之後，Microsoft 365 可以使用 DEP 中識別的密鑰來加密信箱。

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

其中 MailboxIdParameter 會指定使用者信箱。 如需 Set-Mailbox Cmdlet 的相關信息，請參閱 Set-Mailbox。

在混合式環境中，您可以將 DEP 指派給同步處理至您 Exchange Online 租使用者的內部部署信箱數據。 若要將 DEP 指派給這個已同步處理的信箱數據，請使用 Set-MailUser Cmdlet。 如需混合式環境中信箱數據的詳細資訊，請參閱 使用 Outlook for iOS 和 Android 搭配混合式新式驗證的內部部署信箱。

Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>

其中 MailUserIdParameter 會指定郵件使用者 (也稱為啟用郵件功能的使用者) 。 如需 Set-MailUser Cmdlet 的詳細資訊，請參閱 Set-MailUser。

建立 DEP 以搭配 SharePoint、工作或學校用 OneDrive 和 Teams 檔案使用

開始之前，請確定您已完成設定 Azure 金鑰保存庫 所需的工作。 如需詳細資訊， 請參閱設定客戶金鑰。

若要設定 SharePoint、公司或學校用 OneDrive 的客戶密鑰，以及 Teams 檔案，您可以在 SharePoint PowerShell 中完成這些步驟。

您會將 DEP 與儲存在 Azure 金鑰保存庫 中的一組密鑰建立關聯。 您可以將 DEP 套用至一個地理位置中的所有數據，也稱為地理位置。 如果您使用 Microsoft 365 的多地理位置功能，您可以為每個地理位置建立一個 DEP，並具備在每個地理位置使用不同索引鍵的功能。 如果您不是使用多地理位置，您可以在組織中建立一個 DEP，以搭配 SharePoint、工作或學校用 OneDrive，以及 Teams 檔案使用。 Microsoft 365 會使用 DEP 中識別的金鑰來加密該地理位置中的數據。 若要建立 DEP，您需要在安裝期間取得的 金鑰保存庫 URI。 如需詳細資訊，請參閱取得每個 Azure 金鑰保存庫 金鑰的 URI。

記得！ 當您建立 DEP 時，您可以在兩個不同的 Azure Key Vault 中指定兩個密鑰。 若要避免異地備援，請在兩個不同的 Azure 區域中建立這些密鑰。

若要建立 DEP，您必須使用 SharePoint PowerShell。

1. 在本機計算機上，使用組織中具有全域系統管理員許可權的公司或學校帳戶， 連線到 SharePoint PowerShell。

2. 在 Microsoft SharePoint 管理命令介面中，執行 Register-SPODataEncryptionPolicy Cmdlet，如下所示：

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>
   

   例如:

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'stageRG3vault' -PrimaryKeyName 'SPKey3' -PrimaryKeyVersion 'f635a23bd4a44b9996ff6aadd88d42ba' -SecondaryKeyVaultName 'stageRG5vault' -SecondaryKeyName 'SPKey5' -SecondaryKeyVersion '2b3e8f1d754f438dacdec1f0945f251a'
   

   當您註冊 DEP 時，會開始對地理位置中的數據進行加密。 加密可能需要一些時間。 如需使用此參數的詳細資訊，請參閱 Register-SPODataEncryptionPolicy。

檢視您為 Exchange Online 信箱建立的 DP

若要檢視您為信箱建立的所有 DP 清單，請使用 Get-DataEncryptionPolicy PowerShell Cmdlet。

1. 使用組織中具有全域系統管理員許可權的公司或學校帳戶，連線到 Exchange Online PowerShell。

2. 若要傳回組織中的所有 DEP，請執行不含任何參數的 Get-DataEncryptionPolicy Cmdlet。

   Get-DataEncryptionPolicy
   

   如需 Get-DataEncryptionPolicy Cmdlet 的詳細資訊，請參閱 Get-DataEncryptionPolicy。

將信箱移轉至雲端之前，請先指派 DEP

當您指派 DEP 時，Microsoft 365 會在移轉期間使用指派的 DEP 來加密信箱的內容。 此程式比移轉信箱、指派 DEP，然後等待加密進行更有效率，這可能需要數小時或數天的時間。

若要在將 DEP 移轉至 Microsoft 365 之前將 DEP 指派給信箱，請在 Exchange Online PowerShell 中執行 Set-MailUser Cmdlet：

1. 使用組織中具有全域系統管理員許可權的公司或學校帳戶，連線到 Exchange Online PowerShell。

2. 執行 Set-MailUser Cmdlet。

   Set-MailUser -Identity <GeneralMailboxOrMailUserIdParameter> -DataEncryptionPolicy <DataEncryptionPolicyIdParameter>
   

   其中 GeneralMailboxOrMailUserIdParameter 指定信箱， 而 DataEncryptionPolicyIdParameter 是 DEP 的識別符。 如需 Set-MailUser Cmdlet 的詳細資訊，請參閱 Set-MailUser。

判斷指派給信箱的 DEP

若要判斷指派給信箱的 DEP，請使用 Get-MailboxStatistics Cmdlet。 Cmdlet 會 (GUID) 傳回唯一標識符。

1. 使用組織中具有全域系統管理員許可權的公司或學校帳戶，連線到 Exchange Online PowerShell。

   Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID
   

   其中 GeneralMailboxOrMailUserIdParameter 指定信箱，而 DataEncryptionPolicyID 會傳回 DEP 的 GUID。 如需 Get-MailboxStatistics Cmdlet 的詳細資訊，請參閱 Get-MailboxStatistics。

2. 執行 Get-DataEncryptionPolicy Cmdlet 以找出指派信箱之 DEP 的易記名稱。

   Get-DataEncryptionPolicy <GUID>
   

   其中 GUID 是上一個步驟中 Get-MailboxStatistics Cmdlet 所傳回的 GUID。

確認客戶金鑰已完成加密

不論您是擲回客戶密鑰、指派新的 DEP 或移轉信箱，請使用本節中的步驟來確保加密完成。

確認 Exchange Online 信箱的加密已完成

加密信箱可能需要一些時間。 第一次加密時，信箱也必須從一個資料庫完全移至另一個資料庫，服務才能加密信箱。

使用 Get-MailboxStatistics Cmdlet 來判斷信箱是否已加密。

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

如果信箱已加密，IsEncrypted 屬性會傳回 true 值 ，如果信 箱未加密，則會傳回 false 值。 完成信箱移動的時間取決於您第一次指派 DEP 的信箱數目，以及信箱的大小。 如果信箱在您指派 DEP 的一周內未加密，請連絡 Microsoft。

New-MoveRequest Cmdlet 已無法再用於本機信箱移動。 如需詳細資訊，請參閱 此公告。

確認 SharePoint、公司或學校用 OneDrive 和 Teams 檔案的加密已完成

執行 Get-SPODataEncryptionPolicy Cmdlet 來檢查加密狀態，如下所示：

   Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>

此 Cmdlet 的輸出包括：

• 主鍵的 URI。

• 次要金鑰的 URI。

• 地理位置的加密狀態。 可能的狀態包括：

  • 註冊： 未套用客戶金鑰加密。

  • 註冊： 已套用客戶金鑰加密，且您的檔案正在加密中。 如果地理位置的金鑰正在註冊，則會顯示地理位置中完成的網站百分比資訊，讓您可以監視加密進度。

  • 註冊： 套用客戶金鑰加密，並加密所有網站中的所有檔案。

  • 滾動： 金鑰輪換正在進行中。 如果地理位置的索引鍵正在滾動，則會顯示密鑰輪替作業完成的網站百分比資訊，讓您可以監視進度。

• 輸出包括已上線的網站百分比。

取得與多個工作負載搭配使用之 DEP 的詳細數據

若要取得您建立來搭配多個工作負載使用之所有 DP 的詳細數據，請完成下列步驟：

1. 在本機計算機上，使用在組織中具有全域管理員或合規性系統管理員許可權的公司或學校帳戶，連線到 Exchange Online PowerShell。

   • 若要傳回組織中所有多重工作負載 DEP 的清單，請執行此命令。

     Get-M365DataAtRestEncryptionPolicy
     

   • 若要傳回特定 DEP 的詳細資料，請執行此命令。 此範例會傳回名為 「Contoso_Global」 之 DEP 的詳細資訊

     Get-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global"
     

取得多重工作負載 DEP 指派資訊

若要找出目前指派給租使用者的 DEP，請遵循下列步驟。

1. 在本機計算機上，使用在組織中具有全域管理員或合規性系統管理員許可權的公司或學校帳戶，連線到 Exchange Online PowerShell。

2. 輸入此命令。

   Get-M365DataAtRestEncryptionPolicyAssignment
   

停用多重工作負載 DEP

停用多重工作負載 DEP 之前，請從租使用者中的工作負載取消指派 DEP。 若要停用搭配多個工作負載使用的 DEP，請完成下列步驟：

1. 在本機計算機上，使用在組織中具有全域管理員或合規性系統管理員許可權的公司或學校帳戶，連線到 Exchange Online PowerShell。

2. 執行 Set-M365DataAtRestEncryptionPolicy Cmdlet。

   Set-M365DataAtRestEncryptionPolicy -[Identity] "PolicyName" -Enabled $false
   

其中 「PolicyName」 是原則的名稱或唯一標識碼。 例如，Contoso_Global。

例如:

Set-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global" -Enabled $false

還原 Azure 金鑰保存庫 金鑰

執行還原之前，請使用虛刪除所提供的復原功能。 與客戶金鑰搭配使用的所有金鑰都必須啟用虛刪除。 虛刪除就像回收站，最多可復原 90 天，而不需要還原。 只有在極端或不尋常的情況下才需要還原，例如密鑰或密鑰保存庫遺失時。 如果您必須還原金鑰才能與客戶金鑰搭配使用，請在 Azure PowerShell 中執行 Restore-AzureKeyVaultKey Cmdlet，如下所示：

Restore-AzKeyVaultKey -VaultName <vault name> -InputFile <filename>

例如：

Restore-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

如果金鑰保存庫已包含同名的金鑰，則還原作業會失敗。 Restore-AzKeyVaultKey 還原金鑰的所有金鑰版本和金鑰的所有元數據，包括密鑰名稱。

管理金鑰保存庫許可權

有數個 Cmdlet 可供檢視，並視需要移除金鑰保存庫許可權。 例如，當員工離開小組時，您可能需要移除許可權。 針對每個工作，請使用 Azure PowerShell。 如需 Azure PowerShell 的相關信息，請參閱 Azure PowerShell 概觀。

若要檢視金鑰保存庫許可權，請執行 Get-AzKeyVault Cmdlet。

Get-AzKeyVault -VaultName <vault name>

例如：

Get-AzKeyVault -VaultName Contoso-O365EX-NA-VaultA1

若要移除系統管理員的許可權，請執行 Remove-AzKeyVaultAccessPolicy Cmdlet：

Remove-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user>

例如：

Remove-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -UserPrincipalName alice@contoso.com

從客戶金鑰回復至 Microsoft 管理的金鑰

如果您需要還原為 Microsoft 管理的金鑰，您可以。 當您回復時，您的數據會使用每個個別工作負載支援的預設加密來重新加密。 例如，Exchange Online和 Windows 365 雲端計算機支援使用 Microsoft 管理的密鑰進行預設加密。

重要事項

復原與數據清除不同。 數據清除會從 Microsoft 365 永久加密刪除您組織的數據，而復原則不會。 您無法針對多個工作負載原則執行數據清除。

從多個工作負載的客戶密鑰回復

如果您決定不再使用客戶金鑰來指派多重工作負載 DEP，請使用 Microsoft 365 系統管理入口網站提出支援票證，並在您的要求中提供下列詳細數據：

• 租使用者 FQDN
• 復原要求的租用戶聯繫人
• 離開的原因
• 在服務票證中包含要求應導向並 m365-ck@service.microsoft.com 包含事件的附註#

您仍然必須保留客戶密鑰 AKV 和加密金鑰，並具有適當的許可權，才能使用 Microsoft 管理的密鑰來重新包裝數據。 如果您有任何問題，請傳送電子郵件給 m365-ck@service.microsoft.com 。

從客戶金鑰復原 Exchange Online

如果您不想再使用信箱層級 DEP 加密個別信箱，則可以從所有信箱取消指派信箱層級的 DEP。

若要取消指派信箱 DEP，請使用 Set-Mailbox PowerShell Cmdlet。

1. 使用組織中具有全域系統管理員許可權的公司或學校帳戶，連線到 Exchange Online PowerShell。

2. 執行 Set-Mailbox Cmdlet。

   Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy $null
   

執行此 Cmdlet 會取消指派目前指派的 DEP，並使用與預設 Microsoft 管理密鑰相關聯的 DEP 重新加密信箱。 您無法取消指派 Microsoft 管理金鑰所使用的 DEP。 如果您不想要使用 Microsoft 管理的金鑰，您可以將另一個客戶金鑰 DEP 指派給信箱。

從 SharePoint 和 Microsoft OneDrive 的客戶密鑰復原以供公司或學校使用

SharePoint、公司或學校用 OneDrive 和 Teams 檔案不支援從客戶密鑰回復至 Microsoft 受控密鑰。 如需詳細資訊，請連絡 spock@microsoft.com 。

撤銷您的金鑰並開始資料清除路徑程式

您可以控制所有根金鑰的撤銷，包括可用性金鑰。 客戶金鑰可讓您控制法規需求的結束規劃層面。 如果您決定撤銷金鑰以清除資料並結束服務，服務會在資料清除程式完成後刪除可用性金鑰。 指派給個別信箱的客戶密鑰 DEP 支援這項功能。

Microsoft 365 會稽核並驗證數據清除路徑。 如需詳細資訊，請參閱 服務信任入口網站上提供的 SSAE 18 SOC 2 報告。 此外，Microsoft 建議下列檔：

• Microsoft Cloud 中金融機構的風險評估與合規性指南

• Microsoft 365 結束規劃考慮

客戶金鑰不支援清除多重工作負載 DEP。 多重工作負載 DEP 可用來跨所有租用戶使用者的多個工作負載加密數據。 清除此 DEP 會導致來自多個工作負載的數據變得無法存取。 如果您決定完全結束 Microsoft 365 服務，請參閱如何在 Microsoft Entra ID 中刪除租使用者。

撤銷客戶金鑰和 Exchange Online 的可用性金鑰

當您起始 Exchange Online 的數據清除路徑時，您會在 DEP 上設定永久資料清除要求。 這麼做會永久刪除指派 DEP 之信箱內的加密數據。

由於您一次只能對一個 DEP 執行 PowerShell Cmdlet，因此請考慮在起始數據清除路徑之前，將單一 DEP 重新指派給所有信箱。

警告

請勿使用資料清除路徑來刪除信箱的子集。 此程式僅適用於正在結束服務的客戶。

若要起始資料清除路徑，請完成下列步驟：

1. 從 Azure Key Vault 移除“ O365 Exchange Online” 的包裝和解除包裝許可權。

2. 使用組織中具有全域系統管理員許可權的公司或學校帳戶，連線到 Exchange Online PowerShell。

3. 針對每個包含您想要刪除之信箱的 DEP，執行 Set-DataEncryptionPolicy Cmdlet，如下所示。

   Set-DataEncryptionPolicy <Policy ID> -PermanentDataPurgeRequested -PermanentDataPurgeReason <Reason> -PermanentDataPurgeContact <ContactName>
   

   如果命令失敗，請務必從 Azure 金鑰保存庫 中這兩個密鑰移除 Exchange Online 許可權，如此工作稍早所指定。 使用 Set-DataEncryptionPolicy Cmdlet 設定 'PermanentDataPurgeRequested' 參數之後，就不再支援將此 DEP 指派給信箱。

4. 請連絡 Microsoft 支援服務並要求數據清除電子檔。

   在您的要求中，Microsoft 會傳送法律檔給您，以確認並授權刪除數據。 您組織中在上線期間註冊為FastTrack供應專案核准者的人，必須簽署這份檔。 一般而言，此人是貴公司的主管或其他指定人員，且在法律上有權代表貴組織簽署檔。

5. 一旦您的代表簽署法律檔，通常會透過 eDoc 簽章) ，將其傳回給 Microsoft (。

   一旦 Microsoft 收到法律檔，Microsoft 會執行 Cmdlet 來觸發數據清除，這會先刪除原則、標記信箱以永久刪除，然後刪除可用性密鑰。 一旦數據清除程式完成，數據就會被清除、無法存取 Exchange Online，而且無法復原。

撤銷 SharePoint 的客戶金鑰和可用性金鑰、公司或學校用 OneDrive，以及 Teams 檔案

客戶密鑰不支援清除 SharePoint、公司或學校用 OneDrive 和 Teams 檔案 DEP。 如果您決定完全結束 Microsoft 365 服務，您可以根據記載的程式來執行租用戶刪除的路徑。 請參閱如何在 Microsoft Entra ID 中刪除租使用者。

將 Key Vault 從使用舊版存取原則模型移轉至使用 RBAC

如果您已使用舊版存取原則方法上線至客戶密鑰，請遵循指示來移轉所有 Azure 金鑰保存庫以使用 RBAC 方法。 若要比較差異並瞭解 Microsoft 建議 Azure 角色型訪問控制的原因，請參閱 Azure 角色型訪問控制 (Azure RBAC) 與舊版) (存取原則 。

拿掉現有的存取原則

若要從您的 Key Vault 移除現有的存取原則，請使用 'Remove-AzKeyVaultAccessPolicy“ Cmdlet。

1. 若要移除許可權，請使用 Azure PowerShell 登入您的 Azure 訂用帳戶。 如需指示，請參閱使用 Azure PowerShell 登入。

2. 使用下列語法執行 Remove-AzKeyVaultAccessPolicy Cmdlet，以移除 Microsoft 365 服務 主體的許可權：

   Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4
   

3. 使用下列語法執行 Remove-AzKeyVaultAccessPolicy Cmdlet，以移除 Exchange Online 主體的許可權：

   Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000
   

4. 使用下列語法執行 Remove-AzKeyVaultAccessPolicy Cmdlet，以移除 SharePoint 和工作或學校服務主體的 OneDrive 許可權：

   Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000
   

變更存取組態許可權模型

拿掉現有的保存庫存取原則之後，流覽至 Azure 入口網站 中的金鑰保存庫。 在每個保存庫上，移至左側 [設定] 下拉式清單下的 [ 存取 組態 ] 索引 標籤。

在 [許可權模型] 底下，選取 [Azure 角色型訪問控制] ，然後選取畫面底部的 [套 用]。

指派 RBAC 許可權

最後，若要將 RBAC 許可權指派給您的 Azure Key Vault，請參閱指派許可權給每個 金鑰保存庫。

相關文章

• 客戶金鑰概觀

• 瞭解可用性金鑰

• 設定客戶金鑰

• 滾動或旋轉客戶金鑰或可用性金鑰

• 客戶加密箱

• 服務加密和金鑰管理