Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Clave de cliente le permite controlar las claves de cifrado de su organización y configurar Microsoft 365 para usar esas claves para cifrar los datos en reposo en los centros de datos de Microsoft. En otras palabras, le permite agregar una capa de cifrado que posee y administra.
Antes de usar la clave de cliente, debe configurar los recursos de Azure necesarios. Este artículo le guiará a través de la creación y configuración de esos recursos, seguidos de los pasos para habilitar la clave de cliente. Después de configurar los recursos de Azure, elija qué directiva se aplica y, a su vez, qué claves cifrarán los datos en las cargas de trabajo de Microsoft 365 de su organización.
Para obtener información general y más información, consulte Introducción a la clave de cliente.
Importante
Asegúrese de seguir los procedimientos recomendados de este artículo marcados como TIP, IMPORTANT y NOTE. Clave de cliente proporciona control sobre las claves de cifrado raíz que pueden afectar a toda la organización. Los errores con estas claves pueden provocar interrupciones del servicio o pérdida de datos permanentes.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
Antes de configurar la clave de cliente
Antes de empezar, asegúrese de que su organización tiene las suscripciones Azure adecuadas; y las licencias de Microsoft 365, Office 365 y Windows 365. Debe usar suscripciones de Azure de pago. Las suscripciones adquiridas a través de programas gratuitos, de prueba, patrocinio, MSDN o de soporte técnico heredado no son aptas.
Importante
Las licencias de Microsoft 365 y Office 365 que ofrecen la clave de cliente de Microsoft 365 son:
- Office 365 E5
- Microsoft 365 E5
- Microsoft Purview Suite (anteriormente conocido como Cumplimiento de Microsoft 365 E5)
- SKU de gobernanza de Microsoft 365 E5 Information Protection &
- Seguridad y cumplimiento de Microsoft 365 para FLW
Todavía se admiten las licencias de Cumplimiento avanzado de Office 365 existentes.
Para comprender mejor los conceptos y procedimientos de este artículo, revise la documentación de Microsoft Azure Key Vault. También debe estar familiarizado con los términos clave Azure, como Microsoft Entra inquilino.
Si necesita ayuda más allá de la documentación, póngase en contacto con Soporte técnico de Microsoft. Para compartir comentarios o sugerencias sobre la clave del cliente o esta documentación, visite la Comunidad de Microsoft 365.
Introducción a los pasos para configurar la clave de cliente
Para configurar la clave de cliente, complete las siguientes tareas en orden. El resto de este artículo proporciona instrucciones detalladas para cada tarea o vínculos a más información para cada paso del proceso.
Complete los siguientes requisitos previos mediante Azure PowerShell. (se recomienda la versión 4.4.0 o posterior):
Importante
El proceso de instalación varía en función de si usa Azure Key Vault o HSM administrado. Los requisitos previos compartidos aparecen primero, seguidos de instrucciones específicas de la configuración.
Requisitos previos para todas las configuraciones
Configuración específica de la configuración
Pasos finales
- Incorporación mediante el servicio de incorporación de claves de cliente
- Incorporación a la clave de cliente mediante el método heredado
- Incorporación a la clave de cliente para SharePoint y OneDrive
- Incorporación a la clave de cliente para entornos especiales en la nube
Creación de dos suscripciones de Azure nuevas
La clave de cliente requiere dos suscripciones Azure. Como procedimiento recomendado, Microsoft recomienda crear nuevas suscripciones de Azure específicamente para su uso con la clave de cliente.
Azure Key Vault claves solo se pueden autorizar para las aplicaciones del mismo inquilino Microsoft Entra. Para asignar directivas de cifrado de datos (DEP), asegúrese de crear ambas suscripciones en el mismo inquilino Microsoft Entra que usa la organización. Por ejemplo, use la cuenta profesional o educativa que tenga privilegios de administrador adecuados en su organización. Para obtener instrucciones paso a paso, consulte Registrarse para Azure como organización.
Importante
La clave de cliente requiere dos claves para cada DEP. Para admitir este requisito, debe crear dos suscripciones Azure independientes. Como procedimiento recomendado, haga que distintos miembros de su organización administren una clave en cada suscripción. Estas suscripciones solo se deben usar para administrar claves de cifrado para Microsoft 365. Esta configuración ayuda a proteger su organización en caso de que alguien elimine o malintencione accidentalmente o malintencione una clave que controla.
No hay ningún límite práctico para cuántas suscripciones Azure puede crear su organización. Seguir estos procedimientos recomendados ayuda a reducir el riesgo de errores humanos y facilita la administración de recursos de clave de cliente.
Registro de las entidades de servicio necesarias
Para usar la clave de cliente, el inquilino debe tener registradas las entidades de servicio necesarias. En las secciones siguientes se muestra cómo comprobar si las entidades de servicio ya están registradas en el inquilino. Si no es así, ejecute el cmdlet "New-AzADServicePrincipal" .
Registro de la entidad de servicio para la aplicación de incorporación de claves de cliente
Para comprobar si la aplicación customer key onboarding ya está registrada con los permisos correctos, ejecute el siguiente comando:
Get-AzADServicePrincipal -ServicePrincipalName 19f7f505-34aa-44a4-9dcc-6a768854d2ea
Si no está registrado, ejecute:
New-AzADServicePrincipal -ApplicationId 19f7f505-34aa-44a4-9dcc-6a768854d2ea
Registro de la entidad de servicio para la aplicación M365DataAtRestEncryption
Para comprobar si la aplicación M365DataAtRestEncryption ya está registrada con los permisos correctos, ejecute el siguiente comando:
Get-AzADServicePrincipal -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4
Si no está registrado, ejecute:
New-AzADServicePrincipal -ApplicationId c066d759-24ae-40e7-a56f-027002b5d3e4
Registro de la entidad de servicio para la aplicación Office 365 Exchange Online
Para comprobar si la aplicación Office 365 Exchange Online ya está registrada con los permisos correctos, ejecute el siguiente comando:
Get-AzADServicePrincipal -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000
Si no está registrado, ejecute:
New-AzADServicePrincipal -ApplicationId 00000002-0000-0ff1-ce00-000000000000
Pasos de configuración específicos de la configuración
Importante
Los pasos siguientes varían en función de si usa Azure Key Vault o HSM administrado. Use las pestañas siguientes para seleccionar la configuración.
Creación de una Azure Key Vault premium en cada suscripción
Antes de crear un almacén de claves, realice los pasos descritos en Introducción con Azure Key Vault. Estos pasos le guían a través de la instalación y el inicio de Azure PowerShell y la conexión a la suscripción. A continuación, cree un grupo de recursos y un almacén de claves.
Importante
Al crear los almacenes de claves, debe habilitar la eliminación temporal y la protección de purga durante el proceso de creación inicial del almacén. La clave de cliente requiere que todos los almacenes tengan ambas características habilitadas con un período de retención de 90 días. Esta configuración no se puede deshabilitar una vez habilitada, por lo que es fundamental configurarlas correctamente desde el principio.
Al crear un almacén de claves, debe elegir una SKU: Standard o Premium. La SKU de Standard usa claves protegidas por software sin un módulo de seguridad de hardware (HSM), mientras que la SKU premium permite el uso de HSM para proteger las claves. Customer Key admite almacenes de claves con cualquiera de las dos SKU, pero Microsoft recomienda encarecidamente usar la SKU Premium. El costo de las operaciones es el mismo para ambos; Por lo tanto, la única diferencia de precio procede del costo mensual de cada clave protegida por HSM. Para obtener más información sobre los precios, consulte Key Vault precios.
Importante
Use los almacenes de claves de SKU Premium y las claves protegidas por HSM para los datos de producción. Use Standard claves y almacenes de claves de SKU solo para pruebas y validación.
Habilitación de la eliminación temporal y la protección contra purgas
Cuando puede recuperar rápidamente las claves, es menos probable que experimente interrupciones del servicio extendidas debido a la eliminación accidental o malintencionada. Esta característica de recuperación se denomina eliminación temporal. Permite recuperar claves o almacenes eliminados en un plazo de 90 días sin necesidad de restaurar desde una copia de seguridad. La clave de cliente requiere que todos los almacenes tengan habilitada la eliminación temporal y tengan un período de retención de 90 días. La eliminación temporal se habilita automáticamente para los nuevos Azure Key Vault. Si usa almacenes existentes donde no está activado, puede habilitarlo manualmente.
Cuando la protección de purga está activada, un almacén o un objeto en estado eliminado no se pueden purgar hasta que transcurre el período de retención. Los almacenes y objetos eliminados temporalmente todavía se pueden recuperar, lo que garantiza que se sigue la directiva de retención.
Para habilitar la eliminación temporal y la protección contra purgas en el Azure Key Vault, consulte administración de Azure Key Vault recuperación con protección de eliminación temporal y purga.
Para cada carga de trabajo de Microsoft 365 para la que use la clave de cliente, cree un almacén de claves en cada una de las dos suscripciones Azure que configuró anteriormente.
configuración de Key Vault
Por ejemplo, si usa la clave de cliente para varios escenarios de cargas de trabajo, Exchange y SharePoint, necesita tres pares de almacenes de claves para un total de seis. Use una convención de nomenclatura clara que refleje el uso previsto del DEP con el que se asocian los almacenes. En la tabla siguiente se muestra cómo asignar cada Azure Key Vault a cada carga de trabajo.
| nombre Key Vault | Permisos para varias cargas de trabajo de Microsoft 365 (M365DataAtRestEncryption) | Permisos para Exchange | Permisos para SharePoint y OneDrive |
|---|---|---|---|
| ContosoM365AKV01 | Sí | No | No |
| ContosoM365AKV02 | Sí | No | No |
| ContosoEXOAKV01 | No | Sí | No |
| ContosoEXOAKV02 | No | Sí | No |
| ContosoSPOAKV01 | No | No | Sí |
| ContosoSPOAKV02 | No | No | Sí |
La creación de almacenes de claves también requiere la configuración de Azure grupos de recursos. Los almacenes de claves requieren una pequeña cantidad de almacenamiento y el registro (si está habilitado) también almacena datos. Como procedimiento recomendado, Microsoft recomienda asignar administradores diferentes para administrar cada grupo de recursos. Estos roles deben alinearse con los administradores responsables de administrar los recursos de clave de cliente asociados.
Para Exchange, un DEP se limita al nivel de buzón. Cada buzón solo puede tener asignada una directiva y puede crear hasta 50 directivas. Una directiva de SharePoint cubre todos los datos de la ubicación geográfica (o geográfica) de una organización, mientras que una directiva de varias cargas de trabajo cubre las cargas de trabajo admitidas en todos los usuarios de la organización.
Importante
Si usa la clave de cliente para varias cargas de trabajo, Exchange y SharePoint y OneDrive, asegúrese de crear dos Azure Almacenes de claves para cada carga de trabajo. Esto significa que necesita un total de seis almacenes de claves.
Asignar permisos a cada Azure Key Vault
Asigne los permisos necesarios a cada almacén de claves mediante Azure control de acceso basado en rol (Azure RBAC) en el Azure Portal. En esta sección se explica cómo aplicar los permisos correctos mediante RBAC.
Asignación de permisos mediante el método RBAC
Para asignar (wrapKey, unwrapKeyy get) en el Azure Key Vault, asigne el rol de usuario de cifrado de servicio criptográfico Key Vault a la aplicación de Microsoft 365 adecuada. Consulte Concesión de permisos a las aplicaciones para acceder a un Azure Key Vault mediante Azure RBAC.
Al asignar el rol, busque los siguientes nombres de aplicación en el inquilino:
Varias cargas de trabajo:
M365DataAtRestEncryptionExchange:
Office 365 Exchange OnlineSharePoint y OneDrive:
Office 365 SharePoint Online
Si no ve la aplicación que está buscando, asegúrese de registrar la aplicación en el inquilino.
Para obtener más información sobre cómo asignar roles y permisos, consulte Uso del control de acceso basado en rol para administrar el acceso a los recursos de suscripción de Azure.
Asignación de roles de usuario
La clave de cliente requiere administradores de Key Vault y colaboradores de Key Vault para administrar y proteger el acceso a las claves de cifrado.
Key Vault Los administradores controlan tareas de administración diarias, como la copia de seguridad, la creación, la obtención, la importación, la lista y la restauración. Por diseño, no tienen permiso para eliminar claves. Este diseño ayuda a evitar la pérdida de datos permanente. Conceda solo permisos de eliminación temporalmente y con precaución mediante el rol Colaborador.
Key Vault Colaboradores pueden administrar permisos y asignar roles en el Key Vault. Use este rol para controlar el acceso cuando los miembros del equipo se unan o se vayan.
Para obtener pasos detallados sobre cómo asignar estos roles mediante Azure RBAC, consulte Azure roles integrados para Key Vault operaciones del plano de datos.
Agregue una clave a cada Key Vault creando o importando una clave.
Hay dos maneras de agregar claves a un Azure Key Vault: puede crear una clave directamente en el almacén o importar una clave existente. La creación de una clave en Azure es más sencilla, pero la importación de una clave proporciona control total sobre cómo se genera la clave. Use claves RSA. La clave de cliente admite longitudes de clave RSA de hasta 4096 bits. Azure Key Vault no admite el ajuste y desencapsulado con teclas de curva elíptica (EC).
Para agregar una clave a cada almacén, consulte Add-AzKeyVaultKey.
Si prefiere generar una clave local y, a continuación, importarla en Azure, siga los pasos descritos en Cómo generar y transferir claves protegidas por HSM para Azure Key Vault. Use las instrucciones de Azure para agregar una clave a cada Key Vault.
Comprobación de la fecha de expiración de las claves
Para comprobar que las claves no tienen una fecha de expiración, ejecute el cmdlet Get-AzKeyVaultKey .
Para Azure Key Vault:
Get-AzKeyVaultKey -VaultName <vault name>
La clave de cliente no puede usar claves expiradas. Si una clave ha expirado, se produce un error en cualquier operación que la use, lo que puede provocar una interrupción del servicio. Se recomienda encarecidamente que las claves usadas con clave de cliente no tengan una fecha de expiración.
Una vez establecida, no se puede quitar una fecha de expiración, pero puede cambiarla. Si debe usar una clave con una fecha de expiración, actualícela a 12/31/9999 y use el método de incorporación heredado. Cualquier otro valor de expiración produce un error en la validación de incorporación de la clave de cliente.
Nota:
El servicio de incorporación de claves de cliente solo acepta claves sin una fecha de expiración.
Para cambiar la fecha de expiración a 12/31/9999, use el cmdlet Update-AzKeyVaultKey .
Update-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")
Precaución
No establezca fechas de expiración en las claves de cifrado usadas con clave de cliente.
Copia de seguridad de Azure Key Vault clave
Después de crear o modificar una clave, asegúrese de realizar una copia de seguridad inmediatamente. Almacene copias de seguridad en ubicaciones en línea y sin conexión para ayudar a evitar la pérdida de datos.
Para realizar una copia de seguridad de una clave en Azure Key Vault, use el cmdlet Backup-AzKeyVaultKey.
Importante
Si se elimina una clave sin una copia de seguridad, no se puede recuperar. Cree siempre una copia de seguridad después de cualquier cambio de clave o creación.
Obtención del URI para cada clave de Azure Key Vault
Después de configurar los almacenes de claves y agregar las claves, ejecute el siguiente comando para obtener el URI de cada clave. Necesita estos URI al crear y asignar DEP; por lo tanto, asegúrese de guardarlos en algún lugar seguro.
Ejecute el siguiente comando en Azure PowerShell, una vez para cada Key Vault:
(Get-AzKeyVaultKey -VaultName <vault name>).Id
Incorporación mediante el servicio de incorporación de claves de cliente
El servicio de incorporación de claves de cliente de Microsoft 365 permite habilitar la clave de cliente en el inquilino. Este servicio valida automáticamente los recursos de clave de cliente necesarios. Si lo prefiere, puede validar los recursos por separado antes de continuar con la habilitación.
Importante
Este servicio no está disponible actualmente para los siguientes escenarios:
- Inquilino de nubes especiales: consulte Incorporación a la clave de cliente para entornos en la nube especiales.
- SharePoint y OneDrive: consulte Incorporación a la clave de cliente para SharePoint y OneDrive.
La cuenta usada para la incorporación debe tener los permisos siguientes:
- Permisos de registro de entidad de servicio: para registrar las entidades de servicio necesarias.
- Rol de lector: en cada Azure Key Vault se usa en el cmdlet de incorporación.
Instalación del módulo de M365CustomerKeyOnboarding PowerShell
Inicie sesión en su suscripción de Azure con Azure PowerShell. Para obtener instrucciones, consulte Inicio de sesión con Azure PowerShell.
Instale la versión más reciente del
M365CustomerKeyOnboardingmódulo desde el Galería de PowerShell.
- Para confirmar que usa la versión más reciente, compruebe la pestaña Historial de versiones en la parte inferior de la página del módulo.
- Copie y pegue el comando install en la sesión y ejecútelo.
- Si se le pide, seleccione Sí a Todos para continuar.
Uso de los dos modos de incorporación diferentes
Hay dos modos de incorporación diferentes disponibles cuando se usa el servicio de incorporación de claves de cliente: Validar y Habilitar. Cada modo cumple un propósito diferente en el proceso de incorporación.
Al ejecutar el cmdlet (como se indica en Creación de una solicitud de incorporación), especifique el modo mediante el -OnboardingMode parámetro .
Validar
Use el modo para confirmar que la Validate configuración del recurso clave del cliente es correcta. Este modo no realiza ningún cambio en el entorno.
Importante
Puede ejecutar este modo tantas veces como sea necesario, especialmente después de realizar cambios en la configuración.
Habilitación
Use el Enable modo cuando esté listo para incorporar el inquilino a clave de cliente. Este modo habilita Customer Key para la carga de trabajo que especifique mediante el -Scenario parámetro .
Si desea habilitar la clave de cliente para varias cargas de trabajo y Exchange, ejecute el cmdlet dos veces, una para cada carga de trabajo.
Antes de ejecutarse en modo Habilitar, asegúrese de que los resultados de validación se muestran en Pasado en ValidationResult.
Importante
Los recursos deben pasar todas las comprobaciones en Validate modo para que el proceso de incorporación se realice correctamente en el modo Habilitar.
Creación de una solicitud de incorporación
El primer paso del proceso de incorporación es crear una nueva solicitud. En PowerShell, puede almacenar los resultados de un cmdlet en una variable mediante el $ símbolo seguido del nombre de la variable.
En este ejemplo, la solicitud de incorporación se almacena en una variable denominada $request:
$request = New-CustomerKeyOnboardingRequest -Organization <tenantID> -Scenario <Scenario> -Subscription1 <subscriptionID1> -KeyIdentifier1 <KeyURI1> -Subscription2 <subscriptionID2> -KeyIdentifier2 <KeyURI2> -OnboardingMode <OnboardingMode>
| Parámetro | Descripción | Ejemplo |
|---|---|---|
-Organization |
Su identificador de inquilino con el formato xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx. |
abcd1234-abcd-efgh-hijk-abcdef123456 |
-Scenario |
Carga de trabajo a la que se va a incorporar. Opciones: MDEP – Clave de cliente para varias cargas de trabajo, EXO – Clave de cliente para Exchange |
MDEP o EXO |
-Subscription1 |
Azure identificador de suscripción de la primera suscripción. | p12ld534-1234-5678-9876-g3def67j9k12 |
-KeyIdentifier1 |
Uri de clave de la primera clave de AKV o HSM configurada para clave de cliente. | https://exampleVault1.vault.azure.net/keys/customerKey1 |
-Subscription2 |
Azure identificador de suscripción de la segunda suscripción. | 21k9j76f-ed3g-6789-8765-43215dl21pbd |
-KeyIdentifier2 |
Uri de clave de la segunda clave de AKV o HSM configurada para Clave de cliente. | https://exampleVault2.vault.azure.net/keys/customerKey2 |
-OnboardingMode |
Acción de incorporación que se va a realizar. Opciones: Validate : valida la configuración sin realizar cambios. Útil para comprobar antes de la incorporación.
Enable : valida y habilita la clave de cliente en el inquilino si se supera la validación. |
Validateo Enable |
Inicio de sesión con las credenciales de administrador de inquilinos
Cuando se le solicite, se abrirá una ventana del explorador. Inicie sesión con su cuenta de administrador de inquilinos con los privilegios necesarios para completar la incorporación.
Ver detalles de validación y habilitación
Después de iniciar sesión correctamente, vuelva a la ventana de PowerShell. Ejecute la variable que usó al crear la solicitud de incorporación para ver su salida:
$request
Recibirá una salida que incluye ID, CreatedDate, ValidationResulty EnablementResult.
| Salida | Description |
|---|---|
ID |
Identificador asociado a la solicitud de incorporación creada. |
CreatedDate |
Fecha en la que se creó la solicitud. |
ValidationResult |
Indicador de validación correcta o incorrecta. |
EnablementResult |
Indicador de habilitación correcta o incorrecta. |
Un inquilino que está listo para usar la clave de cliente muestra Correcto para ambos ValidationResult y EnablementResult como se muestra en la captura de pantalla siguiente:
Si ambos valores muestran Correcto, vaya a Pasos siguientes.
Solución de problemas de detalles de validaciones erróneas
Si se produce un error en la validación durante la incorporación, realice los pasos siguientes para investigar la causa. Este proceso ayuda a identificar qué recursos de clave de cliente están mal configurados.
- Enumere todas las solicitudes de incorporación para que el inquilino encuentre el
RequestIDdel que desea investigar:
Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID>
- Almacene la solicitud de incorporación específica en una variable:
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID>
- Vea los detalles de validación con errores:
$request.FailedValidations
Cada regla de validación incluye los campos siguientes:
- ExpectedValue: cuál debe ser la configuración del recurso.
- ActualValue: lo que se detectó en el entorno.
- Ámbito: los cinco primeros caracteres del identificador de suscripción que le ayudan a identificar qué suscripción (y sus Key Vault asociadas) tienen el problema.
- Detalles: describe la causa principal y ofrece instrucciones para resolver el problema.
En la tabla siguiente se resumen las reglas de validación comunes y cómo resolver errores:
| RuleName | Descripción | Solución |
|---|---|---|
OrganizationHasRequiredServicePlan |
Comprueba si su organización tiene las licencias necesarias. | Consulte Asegurarse de que el inquilino tiene las licencias necesarias. |
KeyNeverExpires |
Garantiza que la clave no tiene ninguna fecha de expiración. | Consulte los pasos de comprobación de expiración de claves en Configuración específica de la configuración. |
KeyOperationsSupported |
Comprueba si la clave admite las operaciones necesarias para la carga de trabajo. | Consulte los pasos de asignación de permisos en Configuración específica de la configuración. |
RecoveryLevel |
Comprueba si el nivel de recuperación de claves es Recoverable. |
Asegúrese de que la eliminación temporal y la protección de purga estén habilitadas. Consulte Habilitación de la eliminación temporal y la protección de purga para Azure Key Vault o Creación de un aprovisionamiento de grupo de recursos y activación de un HSM administrado para HSM administrado. |
SubscriptionInRequestOrganization |
Confirma que la suscripción Azure pertenece a su organización. | Asegúrese de que la suscripción se creó dentro del inquilino especificado. |
SubscriptionsCountPerScenario |
Confirma que se proporcionaron dos suscripciones. | Asegúrese de que la solicitud de incorporación incluya dos suscripciones. |
SubscriptionUniquePerScenario |
Garantiza que usa dos suscripciones únicas por escenario. | Compruebe que ambos identificadores de suscripción son diferentes. |
VaultExistsinSubscription |
Confirma que AKV/Managed HSM forma parte de la suscripción especificada. | Compruebe si el Key Vault/HSM se creó en la suscripción correcta. |
Comprobación de validaciones pasadas
Para ver qué validaciones se realizaron correctamente durante el proceso de incorporación, siga estos pasos:
- Almacenar la solicitud de incorporación específica en la variable "$request"
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID>
- Ejecute el siguiente comando para mostrar todas las validaciones pasadas:
$request.PassedValidations
Este comando devuelve una lista de todas las validaciones que se pasaron correctamente para la solicitud de incorporación seleccionada.
Incorporación a la clave de cliente mediante el método heredado
Use este método solo si el servicio de incorporación de claves de cliente no admite el escenario del inquilino.
Después de completar todos los pasos necesarios para configurar los Azure Key Vault y las suscripciones, póngase en contacto con Soporte técnico de Microsoft y solicite ayuda con la incorporación de claves de cliente.
Incorporación a la clave de cliente para entornos especiales en la nube
Si el inquilino se encuentra en GCC-H, DoD o M365 operado por 21Vianet, complete primero todos los pasos necesarios para configurar la clave de cliente.
Para los inquilinos de GCC-H y DoD, póngase en contacto con Soporte técnico de Microsoft y solicite la incorporación de inquilinos gubernamentales.
Para los clientes de Microsoft 365 operados por 21Vianet (China), configure los recursos de clave de cliente mediante Azure operados por el portal de 21Vianet. A continuación, póngase en contacto con Soporte técnico de Microsoft y solicite la incorporación del inquilino.
Incorporación a la clave de cliente para SharePoint y OneDrive
Para incorporarse a la clave de cliente para SharePoint y OneDrive, los Azure Key Vault deben cumplir los siguientes requisitos previos:
Habilite la eliminación temporal y la protección de purga durante el proceso de creación del almacén inicial. Consulte Habilitación de la eliminación temporal y la protección contra purgas para Azure Key Vault.
Mantenga un período de retención de 90 días.
Si se cumplen todos los requisitos previos, realice los pasos descritos en Creación de un DEP para su uso con SharePoint y OneDrive.
Pasos siguientes
Después de completar los pasos de configuración de este artículo, está listo para crear y asignar DEP. Para obtener instrucciones detalladas, consulte Administrar clave de cliente.