設定客戶金鑰
使用客戶金鑰,您可以控制組織的加密金鑰,然後將 Microsoft 365 設定為使用它們來加密 Microsoft 數據中心中的待用數據。 換句話說,客戶金鑰可讓您使用金鑰來新增屬於您的加密層。
使用客戶金鑰之前,請先設定 Azure。 本文說明建立和設定必要 Azure 資源所需的步驟,然後提供設定客戶密鑰的步驟。 設定 Azure 之後,您會決定要指派哪些原則,以及哪些密鑰來加密組織中各種 Microsoft 365 工作負載的數據。 如需客戶金鑰或一般概觀的詳細資訊,請參閱 客戶密鑰概觀。
重要事項
強烈建議您遵循本文中的最佳做法。 這些會標示為 TIP 和 IMPORTANT。 客戶密鑰可讓您控制根加密金鑰,其範圍可以和整個組織一樣大。 這表示使用這些金鑰所犯的錯誤可能會有廣泛的影響,並可能導致服務中斷或無法復原的數據遺失。
提示
如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
Windows 365 Microsoft Purview 客戶金鑰的支持處於公開預覽狀態,而且可能會變更。
設定客戶金鑰之前
開始之前,請確定您有適當的 Azure 訂用帳戶和 Microsoft 365、Office 365,以及為您的組織 Windows 365 授權。 您必須使用付費 Azure 訂用帳戶。 您在舊版支援下透過免費、試用、贊助、MSDN 訂用帳戶和訂用帳戶取得的訂用帳戶不符合資格。
重要事項
提供 Microsoft 365 客戶金鑰的有效 Microsoft 365 和 Office 365 授權包括:
- Office 365 E5
- Microsoft 365 E5
- Microsoft 365 E5 合規性
- Microsoft 365 E5 資訊保護 & 治理 SKU
- 適用於 FLW 的 Microsoft 365 安全性與合規性
仍支援現有的 Office 365 進階合規性 授權。
若要瞭解本文中的概念和程式,請檢閱 Azure 金鑰保存庫 檔。 此外,請熟悉 Azure 中使用的詞彙,例如 Microsoft Entra 租使用者。
如果您需要檔以外的更多支援,請連絡 Microsoft 諮詢服務 (MCS) 、Premier Field Engineering (PFE) 或 Microsoft 合作夥伴以取得協助。 若要提供客戶金鑰的意見反應,包括檔,請將您的想法、建議和觀點傳 customerkeyfeedback@microsoft.com送給 。
設定客戶金鑰的步驟概觀
若要設定客戶金鑰,請依列出的順序完成這些工作。 本文的其餘部分會提供每個工作的詳細指示,或連結至程式中每個步驟的詳細資訊。
在 Azure 中:
從遠端連線到 Azure PowerShell,以完成下列必要條件。 如需最佳結果,請使用 4.4.0 版或更新版本的 Azure PowerShell:
完成先前的工作之後啟用租使用者:
使用手動方法將客戶金鑰上線 (僅限政府租使用者)
完成 Azure 金鑰保存庫 和客戶金鑰 Microsoft FastTrack 中的工作
在 Azure 金鑰保存庫 中完成這些工作。 您必須針對與客戶金鑰搭配使用的所有類型資料加密原則 (DEP 完成這些步驟) 。
建立兩個新的 Azure 訂用帳戶
客戶金鑰需要兩個 Azure 訂用帳戶。 最佳做法是,Microsoft 建議您建立新的 Azure 訂用帳戶,以搭配客戶密鑰使用。 Azure 金鑰保存庫 金鑰只能針對相同 Microsoft Entra 租使用者中的應用程式獲得授權。 您必須使用與指派 DEP 的組織搭配使用的相同 Microsoft Entra 租使用者來建立新的訂用帳戶。 例如,使用組織中具有全域系統管理員許可權的公司或學校帳戶。 如需詳細步驟,請 參閱以組織身分註冊 Azure。
重要事項
客戶金鑰需要每個數據加密原則的兩個金鑰 (DEP) 。 若要達到此目的,您必須建立兩個 Azure 訂用帳戶。 最佳做法是,Microsoft 建議您有個別的組織成員,在每個訂用帳戶中設定一個密鑰。 您應該只使用這些 Azure 訂用帳戶來管理 Microsoft 365 的加密密鑰。 這可保護您的組織,以防您的其中一個操作員不小心、刻意或惡意刪除或管理他們所負責的密鑰不正確。
您可以為組織建立的 Azure 訂用帳戶數目沒有實際限制。 遵循這些最佳做法可將人為錯誤的影響降至最低,同時協助管理客戶密鑰所使用的資源。
註冊必要的服務主體
若要使用客戶密鑰,您的租用戶必須在租用戶中註冊必要的服務主體。 在下列各節中,會提供指示來檢查服務主體是否已在您的租用戶中註冊。 如果未註冊,請執行 'New-AzADServicePrincipal' Cmdlet,如下所示。
註冊客戶金鑰上線應用程式的服務主體
若要檢查客戶金鑰上線應用程式是否已在您的租用戶中註冊,並具有全域管理員許可權,請執行下列命令:
Get-AzADServicePrincipal -ServicePrincipalName 19f7f505-34aa-44a4-9dcc-6a768854d2ea
如果應用程式未在租用戶中註冊,請執行下列命令:
New-AzADServicePrincipal -ApplicationId 19f7f505-34aa-44a4-9dcc-6a768854d2ea
註冊 M365DataAtRestEncryption 應用程式的服務主體
若要檢查 M365DataAtRestEncryption 應用程式是否已以全域管理員許可權在您的租用戶中註冊,請執行下列命令:
Get-AzADServicePrincipal -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4
如果應用程式未在租用戶中註冊,請執行下列命令:
New-AzADServicePrincipal -ApplicationId c066d759-24ae-40e7-a56f-027002b5d3e4
註冊 Office 365 Exchange Online 應用程式的服務主體
若要檢查 Office 365 Exchange Online 應用程式是否已在您的租用戶中註冊,請以全域管理員許可權執行下列命令:
Get-AzADServicePrincipal -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000
如果應用程式未在租用戶中註冊,請執行下列命令:
New-AzADServicePrincipal -ApplicationId 00000002-0000-0ff1-ce00-000000000000
在每個訂用帳戶中建立進階 Azure 金鑰保存庫
建立金鑰保存庫的步驟記載於 Azure 金鑰保存庫 使用者入門 中。 這些步驟會引導您安裝和啟動 Azure PowerShell、連線到您的 Azure 訂用帳戶、建立資源群組,以及在該資源群組中建立密鑰保存庫。
當您建立金鑰保存庫時,您必須選擇 SKU:標準或進階。 標準 SKU 可讓 Azure 金鑰保存庫 金鑰受到軟體保護 - 沒有硬體安全性模組 (HSM) 金鑰保護 - 而進階 SKU 允許使用 HSM 來保護 金鑰保存庫 密鑰。 客戶密鑰接受使用任一 SKU 的金鑰保存庫,但 Microsoft 強烈建議您只使用進階 SKU。 具有任一類型之金鑰的作業成本相同,因此成本的唯一差異是每個受 HSM 保護的金鑰每月成本。 如需詳細資訊,請參閱 金鑰保存庫 定價。
重要事項
針對生產數據使用進階 SKU 金鑰保存庫和受 HSM 保護的密鑰,並僅使用標準 SKU 金鑰保存庫和金鑰進行測試和驗證。
針對您使用客戶密鑰的每個 Microsoft 365 服務,在您建立的兩個 Azure 訂用帳戶中各建立一個金鑰保存庫。
例如,若要讓客戶密鑰針對 Exchange Online、SharePoint 和多重工作負載案例使用 DEP,請建立三組密鑰保存庫,總共 6 個保存庫。 針對金鑰保存庫使用命名慣例,以反映您與保存庫建立關聯之 DEP 的預期用法。 下表顯示如何將每個 Azure 金鑰保存庫 (AKV) 對應至每個工作負載。
| 金鑰保存庫 名稱 | M365DataAtRestEncryption (多個 Microsoft 365 工作負載的許可權) | 許可權 Exchange Online | SharePoint 和 OneDrive 的許可權 |
|---|---|---|---|
| ContosoM365AKV01 | 是 | 否 | 否 |
| ContosoM365AKV02 | 是 | 否 | 否 |
| ContosoEXOAKV01 | 否 | 是 | 否 |
| ContosoEXOAKV02 | 否 | 是 | 否 |
| ContosoSPOAKV01 | 否 | 否 | 是 |
| ContosoSPOAKV02 | 否 | 否 | 是 |
建立金鑰保存庫也需要建立 Azure 資源群組,因為金鑰保存庫需要記憶體容量 (透過小型) 和 金鑰保存庫 記錄,如果啟用,也會產生預存數據。 最佳做法是 Microsoft 建議使用個別的系統管理員來管理每個資源群組,以及與管理所有相關客戶密鑰資源的系統管理員集合一致的系統管理。
針對 Exchange Online,當您將原則指派給信箱時,會選擇數據加密原則的範圍。 信箱只能指派一個原則,而且您最多可以建立 50 個原則。 SharePoint 原則的範圍包含組織內地理位置或 地理位置中的所有數據。 多重工作負載原則的範圍包含所有用戶支援工作負載的所有數據。
重要事項
如果您想要針對多個 Microsoft 365 工作負載、Exchange Online 和 SharePoint 使用客戶密鑰,請務必為每個工作負載建立 2 個 Azure Key Vault。 總共應該建立 6 個保存庫。
將許可權指派給每個金鑰保存庫
使用 Azure 角色型存取控制 (Azure RBAC) ,定義每個金鑰保存庫的必要許可權。 Azure 金鑰保存庫 組態動作是使用 Azure 入口網站 來執行。 本節詳細說明如何使用 RBAC 套用適當的許可權。
使用 RBAC 方法指派許可權
若要在 Azure 金鑰保存庫 上指派、 和許可權,您必須將「金鑰保存庫 密碼編譯服務加密使用者」角色指派給對應的 Microsoft 365 應用程式。getunwrapkeywrapKey 請參閱 使用 Azure RBAC 授與應用程式存取 Azure 金鑰保存庫的許可權 |Microsoft Learn。
將角色新增至 Azure 金鑰保存庫 時,搜尋 每個 Microsoft 365 應用程式的下列名稱:
針對 Exchange Online:
Office 365 Exchange Online針對 SharePoint、OneDrive 和 Teams 檔案:
Office 365 SharePoint Online針對 Exchange、Teams (多重工作負載原則,Microsoft Purview 資訊保護) :
M365DataAtRestEncryption
如果您沒有看到對應的 Microsoft 365 應用程式,請確認您已 在租用戶中註冊應用程式。
如需指派角色和許可權的詳細資訊,請 參閱使用角色型訪問控制來管理 Azure 訂用帳戶資源的存取權。
指派使用者角色
為組織執行金鑰保存庫日常管理的金鑰保存庫系統管理員。 這些工作包括 備份、建立、取得、匯入、列出 和 還原。
重要事項
指派給金鑰保存庫管理員的許可權集合不包含刪除金鑰的許可權。 這是刻意且重要的作法。 刪除加密金鑰通常不會完成,因為這樣做會永久終結數據。 最佳做法是,預設不會將刪除加密密鑰的許可權授與金鑰保存庫管理員。 相反地,請保留密鑰保存庫參與者的此許可權,並且只在了解結果清楚之後,才將它短期指派給系統管理員。
- 若要使用 RBAC 將這些許可權指派給組織中的使用者,請參閱使用 Azure 入口網站 指派 Azure 角色,並指派 金鑰保存庫 系統管理員角色。
可變更 Azure 金鑰保存庫 本身許可權的金鑰保存庫參與者。 當員工離開或加入您的小組時,請變更這些許可權。 在密鑰保存庫系統管理員合法需要刪除或還原金鑰許可權的罕見情況下,您也必須變更許可權。 這組金鑰保存庫參與者必須獲授與金鑰保存庫的 參與者 角色。 您可以使用 RBAC 來指派此角色。 建立訂用帳戶的系統管理員會隱含地擁有此存取權,以及將其他系統管理員指派給參與者角色的能力。
藉由建立或匯入金鑰,將金鑰新增至每個金鑰保存庫
有兩種方式可以將密鑰新增至 Azure 金鑰保存庫;您可以直接在 金鑰保存庫 中建立密鑰,或者匯入金鑰。 直接在 金鑰保存庫 中建立密鑰較不複雜,但匯入金鑰可讓您完全控制密鑰的產生方式。 使用 RSA 金鑰。 客戶金鑰支援最多 4096 的 RSA 金鑰長度。 Azure 金鑰保存庫 不支援使用橢圓曲線索引鍵包裝和解除包裝。
如需將密鑰新增至每個保存庫的指示,請參閱 Add-AzKeyVaultKey。
如需在內部部署建立金鑰並將它匯入金鑰保存庫的詳細步驟,請參閱如何產生和傳輸受 HSM 保護的 Azure 金鑰保存庫 密鑰。 使用 Azure 指示在每個金鑰保存庫中建立金鑰。
驗證金鑰的到期日
若要確認您的密鑰未設定到期日,請執行 Get-AzKeyVaultKey Cmdlet,如下所示:
Get-AzKeyVaultKey -VaultName <vault name>
客戶金鑰無法使用過期的金鑰。 嘗試使用過期金鑰的作業失敗,而且可能會導致服務中斷。 我們強烈建議搭配客戶金鑰使用的金鑰沒有到期日。 設定之後,即無法移除到期日,但可以變更為不同的日期。 如果必須使用已設定過期日期的金鑰,請將到期值變更為 12/31/9999。 到期日設定為 12/31/9999 以外的日期的密鑰無法通過 Microsoft 365 驗證。
若要變更設定為 12/31/9999 以外的任何值的到期日,請執行 Update-AzKeyVaultKey Cmdlet,如下所示:
Update-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")
注意
請勿在您搭配客戶金鑰使用的加密金鑰上設定到期日。
檢查金鑰的復原層級
Microsoft 365 要求 Azure 金鑰保存庫 訂用帳戶設定為 [不要取消],且客戶密鑰使用的金鑰已啟用虛刪除。 您可以查看金鑰上的復原層級來確認您的訂用帳戶設定。
若要檢查密鑰的復原層級,請在 Azure PowerShell 中執行 Get-AzKeyVaultKey Cmdlet,如下所示:
(Get-AzKeyVaultKey -VaultName <vault name> -Name <key name>).Attributes
確定已在金鑰保存庫上啟用虛刪除
當您可以快速復原密鑰時,較不可能因為意外或惡意刪除密鑰而發生延伸服務中斷。 請先啟用這項稱為「虛刪除」的設定,才能搭配客戶密鑰使用您的密鑰。 啟用虛刪除可讓您在刪除後的90天內復原密鑰或保存庫,而不需要從備份還原這些密鑰或保存庫。
若要在金鑰保存庫上啟用虛刪除,請完成下列步驟:
使用 Azure PowerShell 登入您的 Azure 訂用帳戶。 如需指示,請參閱使用 Azure PowerShell 登入。
執行 Get-AzKeyVault Cmdlet。 在這裡範例 中,儲存庫名稱 是您要開啟虛刪除的金鑰儲存函式庫名稱:
$v = Get-AzKeyVault -VaultName <vault name> $r = Get-AzResource -ResourceId $v.ResourceId $r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True' Set-AzResource -ResourceId $r.ResourceId -Properties $r.Properties執行 Get-AzKeyVault Cmdlet,確認已針對密鑰保存庫設定虛刪除。 如果金鑰保存庫的虛刪除已正確設定,則 Soft Delete Enabled 屬性會 傳回 True 值:
Get-AzKeyVault -VaultName <vault name> | fl
繼續之前,請確定 [虛刪除已啟用?] 設定為 'True',且 [虛刪除保留期間 (天) ] 設定為 '90'。
備份 Azure 金鑰保存庫
緊接在建立或變更密鑰之後,執行備份並儲存備份的複本,包括在線和離線。 若要建立 Azure 金鑰保存庫 金鑰的備份,請執行 Backup-AzKeyVaultKey Cmdlet。
取得每個 Azure 金鑰保存庫 金鑰的 URI
設定金鑰保存庫並新增金鑰之後,請執行下列命令以取得每個金鑰保存庫中金鑰的 URI。 當您稍後建立並指派每個 DEP 時,請使用這些 URI,因此請將此資訊儲存在安全的地方。 針對每個金鑰保存庫執行此命令一次。
在 Azure PowerShell:
(Get-AzKeyVaultKey -VaultName <vault name>).Id
使用客戶金鑰上線服務 (預覽版上線)
我們很高興推出 Microsoft 365 客戶金鑰上線服務,此服務可讓您在自己的租用戶內啟用客戶密鑰。 此功能會自動驗證所需的客戶金鑰資源。 如有需要,您可以在租用戶內繼續進行客戶密鑰啟用之前,先個別驗證您的資源。 這種簡化的方法可大幅減少整體上線持續時間,為您提供方便且自我導向的程式。
重要事項
此預覽版尚不適用於 政府租使用者 或 SharePoint 和 OneDrive 的客戶密鑰。 如果您有政府租使用者,或想要啟用 SharePoint 和 One Drive 的客戶密鑰,請略過本節並繼續進行「使用手動方法將客戶密鑰上線」。
用於上線的帳戶 必須 具有滿足最低許可權的下列角色:
安裝 'M365CustomerKeyOnboarding' PowerShell 模組
使用 Azure PowerShell 登入您的 Azure 訂用帳戶。 如需指示,請參閱使用 Azure PowerShell 登入。
安裝從 PowerShell 資源庫 取得的最新版 M365CustomerKeyOnboarding 模組。 檢視頁面底部的 [版本歷程記錄] 索引標籤,確認您正在下載最新版本。 以系統管理員身分啟動PowerShell會話。 將命令複製並貼到 Azure PowerShell,然後執行以安裝套件。 如果出現提示,請選取 [ 全部皆是] 選項。 安裝需要一些時間。
使用3種不同的上線模式
在上線程式中,有3種不同的上線模式,每個模式都用於不同的用途。 這 3 種模式為「驗證」、「準備」、「啟用」。 在建立 上線要求中執行 Cmdlet 時,使用 “-OnboardingMode” 參數表示模式。
驗證
使用「驗證」模式來驗證用於客戶金鑰的資源設定是否正確。 在此模式中,不會對您的任何資源採取任何動作。
重要事項
如果您變更任何資源的組態,您可能會如同想要執行此模式一樣多次。
準備
「準備」模式會藉 由註冊 Cmdlet 中指出的 2 個 Azure 訂用帳戶來使用 MandatoryRetentionPeriod,對您的客戶密鑰資源採取動作。 根加密金鑰的暫時或永久遺失可能會干擾或甚至對服務作業造成重大影響,並可能導致數據遺失。 因此,搭配客戶金鑰使用的資源需要強式保護。 強制保留期間可防止立即和無法撤銷的 Azure 訂用帳戶取消。 執行 Cmdlet 之後,訂用帳戶最多可能需要 1 小時的時間來反映變更。 若要檢查 MandatoryRetentionPeriod 註冊的狀態,請在準備模式中執行 Cmdlet 之後,移至驗證模式。
重要事項
必須為您的 Azure 訂用帳戶註冊 MandatoryRetentionPeriod。 除非 Cmdlet 再次提示您執行此模式,否則您只需要執行此模式一 次。
啟用
當您準備好上線到客戶金鑰時,請使用此模式。 「啟用」只會針對 -Scenario 參數所指示的工作負載啟用您的租用戶客戶密鑰。 如果您想要同時啟用 Exchange 和 M365DataAtRestEncryption 的客戶密鑰,請針對每個工作負載執行一次登入 Cmdlet 總計 2 次。 在「啟用」模式中執行 Cmdlet 之前,請確認您的資源已正確設定,並以 「ValidationResult」 底下的 「已傳遞」表示。
重要事項
只有在您的資源符合驗證模式的檢查時,啟用 才會成功將您的租用戶上線至客戶密鑰。
建立上線要求
此自動化程式的第一個步驟是建立新的要求。 PowerShell 可讓您將 Cmdlet 結果壓縮成變數。 將新的要求壓縮成變數。 您可以使用 「$」 符號,後面接著變數名稱來建立變數。
在範例中,$request是您可以指派給上線要求的變數。
$request = New-CustomerKeyOnboardingRequest -Organization <tenantID> -Scenario <Scenario> -Subscription1 <subscriptionID1> -VaultName1 <AKVVaultName1> -KeyName1 <KeyName1> -Subscription2 <subscriptionID2> -VaultName2 <AKVVaultName2> -KeyName2 <KeyName2> -OnboardingMode <OnboardingMode>
| 參數 | 描述 | 範例 |
|---|---|---|
| -組織 | 以 xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxx 格式輸入您的租用戶標識符。 | abcd1234-abcd-efgh-hijk-abcdef123456 |
| -場景 | 輸入您想要上線的工作負載。 輸入的選項為:'MDEP' – 多個工作負載的客戶密鑰 'EXO' – 客戶金鑰 Exchange Online |
MDEP or 外 |
| -Subscription1 | 輸入您在強制保留期間註冊的第一個訂用帳戶的 Azure 訂用帳戶標識碼。 | p12ld534-1234-5678-9876-g3def67j9k12 |
| -VaultName1 | 輸入您為客戶金鑰設定的第一個 Azure 金鑰保存庫 的保存庫名稱。 | EXOVault1 |
| -KeyName1 | 在您為客戶金鑰設定的第一個 Azure 金鑰保存庫中,輸入第一個 Azure 金鑰保存庫 金鑰的名稱。 | EXOKey1 |
| -Subscription2 | 輸入您在強制保留期間註冊的第二個訂用帳戶的 Azure 訂用帳戶標識碼。 | 21k9j76f-ed3g-6789-8765-43215dl21pbd |
| -VaultName2 | 輸入您為客戶金鑰設定的第二個 Azure 金鑰保存庫 的保存庫名稱。 | EXOVault2 |
| -KeyName2 | 在您為客戶金鑰設定的第二個 Azure 金鑰保存庫內,輸入第二個 Azure 金鑰保存庫 金鑰的名稱。 | EXOKey2 |
| -上線模式 | 「準備」- 在您的訂用帳戶上套用 MandatoryRetentionPeriod,以在您的資源上完成必要的設定。 這最多可能需要 1 小時 才能套用。 「驗證」– 僅驗證 Azure 金鑰保存庫 和 Azure 訂用帳戶資源,不要上線至客戶密鑰。 如果您想要驗證所有資源,但選擇稍後正式上線,這個模式會很有用。 「啟用」– 驗證 Azure 金鑰保存庫和訂用帳戶資源,並在驗證成功時啟用租使用者內的客戶密鑰。 |
準備 or 啟用 or 驗證 |
使用您的租用戶系統管理員認證登入
瀏覽器視窗隨即開啟,提示您使用特殊許可權帳戶登入。 使用適當的認證登入。
檢視驗證和啟用詳細數據
成功登入之後,流覽回您的PowerShell視窗。 執行您壓縮上線 Cmdlet 的變數,以取得上線要求的輸出。
$request
您會收到標識碼、CreatedDate、ValidationResult 和 EnablementResult 的輸出。
| 輸出 | 描述 |
|---|---|
| 識別碼 | 與建立的上線要求相關聯的標識碼。 |
| CreatedDate | 建立要求的日期。 |
| ValidationResult | 成功/失敗的驗證指標。 |
| EnablementResult | 成功/失敗的啟用指標。 |
準備使用客戶密鑰的租使用者在 'ValidationResult' 和 'EnablementResult' 下都有「成功」,如下所示:
如果租使用者已成功上線至客戶密鑰,請繼續進行 後續步驟 。
疑難解答失敗的驗證詳細數據
如果租用戶的驗證失敗,下列步驟是調查設定錯誤資源根本原因的指南。 若要檢查哪些設定錯誤的資源導致驗證失敗,請將上線結果儲存至變數,並流覽至其驗證結果。
- 列出所有要求,以尋找您想要調查之要求的要求標識符。
Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID>
- 將特定的上線要求儲存到變數 '$request'
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID>
- 執行下列指令:
$request.FailedValidations
每個規則的預期值會出現在 「ExpectedValue」 資料行中,而實際值會出現在 「ActualValue」 資料行中。 [範圍] 資料行會顯示訂用帳戶標識碼的前五個字元,可讓您判斷哪一個訂用帳戶和基礎密鑰保存庫發生問題。 [詳細數據] 區段會說明錯誤的根本原因,以及如何處理錯誤。
| RuleName | 描述 | 解決方案 |
|---|---|---|
| MandatoryRetentionPeriodState | 傳回 MandatoryRetentionPeriod 的狀態 | 檢查訂用帳戶的狀態 |
| SubscriptionInRequestOrganization | 您的 Azure 訂用帳戶位於您的組織內。 | 確認已在指定的租使用者內建立提供的訂用帳戶 |
| VaultExistsinSubscription | 您的 Azure 金鑰保存庫 位於您的 Azure 訂用帳戶內。 | 確認已在指定的訂用帳戶內建立 Azure 金鑰保存庫 |
| SubscriptionUniquePerScenario | 您的訂用帳戶對於客戶密鑰而言是唯一的。 | 確認您使用兩個唯一的訂用帳戶標識碼 |
| SubscriptionsCountPerScenario | 每個案例都有兩個訂用帳戶。 | 確認您在要求中使用 兩 個訂用帳戶 |
| RecoveryLevel | 您的 AKV 金鑰復原層級為 Recoverable+ProtectedSubscription。 | 檢查金鑰的復原層級 |
| KeyOperationsSupported | 您的金鑰保存庫具有適當工作負載的必要許可權。 | 將適當的許可權指派給 AKV 金鑰 |
| KeyNeverExpires | 您的 AKV 金鑰沒有到期日。 | 確認金鑰到期 |
| KeyAccessPermissions | 您的 AKV 金鑰具有必要的存取權限 | 將適當的許可權指派給 AKV 金鑰 |
| OrganizationHasRequiredServicePlan | 您的組織有使用客戶金鑰的正確服務方案。 | 確定您的租使用者具有必要的授權 |
檢查通過的驗證
若要檢查哪些驗證已通過,請執行下列命令:
- 將特定的上線要求儲存到變數 '$request'
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID>
- 執行下列指令:
$request.PassedValidations
使用舊版方法將客戶密鑰上線
如果您有 政府租使用者 或想要啟用 SharePoint 和 OneDrive 的客戶密鑰,請在完成設定 Azure Key Vault 和訂用帳戶的所有步驟之後,連絡對應的 Microsoft 別名以手動上線。 如果您已使用客戶金鑰上線服務 並移至 後續步驟,請忽略本節。
註冊 Azure 訂用帳戶以使用強制保留期間
重要事項
連絡 Microsoft 365 小組之前,您必須針對搭配客戶密鑰使用的 每個 Azure 訂用帳戶執行下列步驟。 開始之前,請確定您已安裝 Azure PowerShell Az 模組。
使用 Azure PowerShell 登入。 如需指示,請參閱使用 Azure PowerShell 登入。
執行 Register-AzProviderFeature Cmdlet 來註冊您的訂用帳戶,以使用強制保留期間。 針對每個訂用帳戶完成此動作。
Set-AzContext -SubscriptionId <SubscriptionId> Register-AzProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources
連絡對應的 Microsoft 別名
如需為多個 Microsoft 365 工作負載啟用客戶金鑰 Exchange Online 或客戶金鑰,請連絡 m365-ck@service.microsoft.com。
若要啟用客戶金鑰以指派 DEP 來加密 SharePoint 和 OneDrive 內容 (包括所有租使用者使用者的 Teams 檔案) ,請連絡 spock@microsoft.com。
在您的電子郵件中包含下列資訊:
主題:租使用者完整功能變數名稱的客戶金鑰<>
身體: 針對您想要上線的每個客戶密鑰服務,包含 FastTrack 要求標識碼和訂用帳戶標識碼。 這些訂用帳戶標識碼是您想要完成強制保留期間的標識碼,以及每個訂用帳戶的 Get-AzProviderFeature 輸出。
完成此程式的服務等級協定 (SLA) ,在 Microsoft 收到通知 (並確認) 您已註冊訂用帳戶以使用強制保留期間之後,即為五個工作天。
後續步驟
完成本文中的步驟之後,您就可以建立並指派 DEP。 如需指示,請 參閱管理客戶金鑰。
相關文章
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應