고객 키 관리

고객 키를 설정한 후 다음 단계는 하나 이상의 DEP(데이터 암호화 정책)를 만들고 할당하는 것입니다. 할당되면 이 문서에 설명된 대로 암호화 키 및 정책을 관리할 수 있습니다.

Microsoft Purview 고객 키는 Windows 365 클라우드 PC도 지원합니다. 자세한 내용은 Windows 365 클라우드 PC용 Microsoft Purview 고객 키를 참조하세요.

고객 키 개념 및 설정에 대한 자세한 내용은 이 페이지의 끝에 있는 관련 문서를 참조하세요.

모든 테넌트 사용자에 대해 여러 워크로드에 사용할 DEP 만들기

계속하기 전에 고객 키 설정 단계를 완료합니다. 지침은 고객 키 설정을 참조하세요.

DEP를 만들려면 설치하는 동안 검색된 Key Vault URI가 필요합니다. 지침은 각 Azure Key Vault 키에 대한 URI 가져오기를 참조하세요.

1. 로컬 컴퓨터에서 준수 관리자 권한이 있는 회사 또는 학교 계정을 사용하여 로그인하고 Exchange Online PowerShell에 연결합니다.

2. 다음 cmdlet을 실행하여 다중 워크로드 데이터 암호화 정책을 만듭니다.

   New-M365DataAtRestEncryptionPolicy -Name <PolicyName> -AzureKeyIDs <KeyVaultURI1, KeyVaultURI2> [-Description <String>]
   

   매개 변수 정의:

   • -Name: 정책에 사용할 이름입니다. 공백이 허용되지 않습니다.

   • -AzureKeyIDs: 정책에 사용되는 두 Azure Key Vault 키의 URI로, 쉼표로 구분됩니다.

     예: "https://contosoCentralUSvault1.vault.azure.net/keys/Key_02""https://contosoWestUSvault1.vault.azure.net/keys/Key_01"

   • Description (선택 사항) : 정책에 대한 사람이 읽을 수 있는 설명입니다.

     예제: "Policy for multiple workloads for all users in the tenant."

   New-M365DataAtRestEncryptionPolicy -Name "Contoso_Global" -AzureKeyIDs "https://contosoWestUSvault1.vault.azure.net/keys/Key_01","https://contosoCentralUSvault1.vault.azure.net/keys/Key_02" -Description "Policy for multiple workloads for all users in the tenant."
   

다중 워크로드 정책 할당

DEP(다중 워크로드 데이터 암호화 정책)를 만든 후 cmdlet을 Set-M365DataAtRestEncryptionPolicyAssignment 사용하여 할당합니다. 할당되면 Microsoft 365는 DEP에 지정된 키를 사용하여 organization 데이터를 암호화합니다.

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName or ID>

를 정책의 이름 또는 GUID로 바꿉 <PolicyName or ID> 다.

예:

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy "Contoso_Global"

Windows 365 클라우드 PC:

정책을 할당한 후 Intune 관리 센터에서 업데이트를 반영하도록 3~4시간을 허용합니다. 업데이트되면 관리 센터의 단계에 따라 기존 클라우드 PC를 암호화합니다.

자세한 내용은 Windows 365 클라우드 PC에 대한 고객 키 설정을 참조하세요.

Exchange 사서함에 사용할 DEP 만들기

시작하기 전에 필요한 설정 단계를 완료합니다. 자세한 내용은 고객 키 설정을 참조하세요. DEP를 만들려면 설치하는 동안 가져온 Azure Key Vault URI가 필요합니다. 자세한 내용은 각 Azure Key Vault 키에 대한 URI 가져오기를 참조하세요.

Exchange 사서함에 대한 DEP를 만들려면 다음 단계를 수행합니다.

1. 로컬 컴퓨터에서 Exchange 관리자 권한이 있는 회사 또는 학교 계정을 사용하여 Exchange Online PowerShell에 연결합니다.

2. cmdlet을 사용하여 DEP를 New-DataEncryptionPolicy 만듭니다.

   New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>
   

   매개 변수	설명	예제
   -Name	정책의 이름을 입력합니다. 이름에는 공백이 포함될 수 없습니다.	USA_mailboxes
   -AzureKeyIDs	별도의 Azure Key Vault에 두 키에 대한 URI를 입력합니다. 쉼표와 공백으로 구분합니다.	https://contosoEastUSvault01.vault.azure.net/keys/USA_key_01, https://contosoEastUS2vault01.vault.azure.net/keys/USA_key_02
   -Description	정책의 목적을 식별하는 데 도움이 되는 사용자 친화적인 설명입니다.	"Root key for mailboxes in USA and its territories"

   예제:

   New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault02.vault.azure.net/keys/USA_key_01, https://contoso_CentralUSvault02.vault.azure.net/keys/USA_Key_02
   

   구문 및 매개 변수 정보는 New-DataEncryptionPolicy를 참조하세요.

사서함에 DEP 할당

cmdlet을 사용하여 DEP를 Set-Mailbox 할당합니다. 정책을 할당하면 Microsoft 365는 DEP에서 식별된 키로 사서함을 암호화합니다.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

자세한 내용은 설정-사서함을 참조하세요.

하이브리드 사서함에 DEP 할당

하이브리드 환경에서는 Set-MailUser cmdlet을 사용하여 동기화된 온-프레미스 사서함 데이터에 DEP를 할당합니다.

Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>

자세한 내용은 Set-MailUser를 참조하세요.

하이브리드 사서함 지원에 대한 자세한 내용은 하이브리드 최신 인증을 사용하는 iOS 및 Android용 Outlook을 사용하는 온-프레미스 사서함을 참조하세요.

사서함을 클라우드로 마이그레이션하기 전에 DEP 할당

사서함을 마이그레이션하기 전에 DEP(데이터 암호화 정책)를 할당하면 마이그레이션 중에 사서함 콘텐츠가 암호화됩니다. 이 메서드는 마이그레이션 후 DEP를 할당하는 것보다 효율적이므로 암호화 프로세스가 완료되는 동안 지연될 수 있습니다.

1. organization 적절한 권한이 있는 회사 또는 학교 계정을 사용하여 Exchange Online PowerShell에 연결합니다.

2. 다음 명령을 실행합니다.

   Set-MailUser -Identity <GeneralMailboxOrMailUserIdParameter> -DataEncryptionPolicy <DataEncryptionPolicyIdParameter>
   

   매개 변수	설명
   -Identity	사용자 사서함(또는 메일 사용 가능 사용자)을 지정합니다.
   -DataEncryptionPolicy	적용할 데이터 암호화 정책의 이름 또는 ID입니다.

   자세한 내용은 Set-MailUser를 참조하세요.

Exchange 사서함에 대해 만든 DEP 보기

PowerShell을 사용하여 Exchange 사서함에 대해 만든 모든 DEP(데이터 암호화 정책)를 볼 수 있습니다.

1. organization 적절한 권한이 있는 회사 또는 학교 계정을 사용하여 Exchange Online PowerShell에 연결합니다.

2. organization 모든 DEP를 반환하려면 다음 명령을 실행합니다.

   Get-DataEncryptionPolicy
   

   자세한 cmdlet 정보는 Get-DataEncryptionPolicy를 참조하세요.

사서함에 할당된 DEP 확인

사서함에 할당된 DEP를 확인하려면 Get-MailboxStatistics cmdlet을 사용합니다. cmdlet은 고유 식별자(GUID)를 반환합니다.

1. organization 적절한 권한이 있는 회사 또는 학교 계정을 사용하여 Exchange Online PowerShell에 연결합니다.

   Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID
   

   매개 변수	설명
   -Identity	사용자 사서함(또는 메일 사용 가능 사용자)을 지정합니다.
   DataEncryptionPolicyID	DEP의 GUID를 반환합니다.

   Get-MailboxStatistics cmdlet에 대한 자세한 내용은 Get-MailboxStatistics를 참조하세요.

2. Get-DataEncryptionPolicy cmdlet을 실행하여 사서함이 할당된 DEP의 이름을 확인합니다.

   Get-DataEncryptionPolicy <GUID>
   

   여기서 GUID 는 이전 단계의 Get-MailboxStatistics cmdlet에서 반환한 GUID입니다.

SharePoint 및 OneDrive에서 사용할 DEP 만들기

시작하기 전에 필요한 설정 단계를 완료해야 합니다. 자세한 내용은 고객 키 설정을 참조하세요.

SharePoint 및 OneDrive에 대한 고객 키를 구성하려면 SharePoint PowerShell을 사용합니다.

데이터 암호화 정책 정보:

DEP(데이터 암호화 정책)는 별도의 Azure Key Vault에 저장된 두 개의 키와 연결됩니다. 이러한 키는 지역 중복을 방지하려면 서로 다른 Azure 지역에 있어야 합니다.

• 단일 지역 테넌트: 하나의 DEP를 만들어 지리적으로 모든 데이터를 보호할 수 있습니다.

• 다중 지역 테넌트: 서로 다른 키를 사용하여 지역당 하나의 DEP를 만듭니다.

두 키 모두에 대한 Key Vault URI가 필요합니다. 자세한 내용은 각 Azure Key Vault 키에 대한 URI 가져오기를 참조하세요.

1. 로컬 컴퓨터에서 organization 적절한 권한이 있는 회사 또는 학교 계정을 사용하여 SharePoint PowerShell에 연결합니다.

2. cmdlet을 Register-SPODataEncryptionPolicy 사용하여 DEP를 등록합니다.

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>
   

   예:

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'stageRG3vault' -PrimaryKeyName 'SPKey3' -PrimaryKeyVersion 'f635a23bd4a44b9996ff6aadd88d42ba' -SecondaryKeyVaultName 'stageRG5vault' -SecondaryKeyName 'SPKey5' -SecondaryKeyVersion '2b3e8f1d754f438dacdec1f0945f251a'
   

   관리형 HSM을 사용하는 경우: 각 자격 증명 모음에 대한 버전을 포함하여 키의 전체 URL을 사용합니다.

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultUri <PrimaryKeyVaultURL> -SecondaryKeyVaultUri <SecondaryKeyVaultURL>
   

   예:

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultURL https://M365-Test.managedhsm.azure.net/keys/Sharepoint-01/aaaa5513974f4780ea67b2f5d8c3dd -SecondaryKeyVaultURL https://M365-Test-02.managedhsm.azure.net/keys/Sharepoint-02/7d8f30343bed4e44a57225bae2012388
   

   참고

   DEP가 등록되면 지역 데이터의 암호화가 시작됩니다. 이 프로세스에는 다소 시간이 걸릴 수 있습니다.

전체 cmdlet 참조는 Register-SPODataEncryptionPolicy를 참조하세요.

고객 키를 사용하여 암호화가 완료되었는지 확인

고객 키를 롤링하거나 DEP(새 데이터 암호화 정책)를 할당하거나 사서함을 마이그레이션한 후 이 섹션의 단계에 따라 암호화가 완료되었는지 확인합니다.

Exchange 사서함에 대한 암호화 완료 확인

사서함을 암호화하는 데 시간이 걸릴 수 있습니다. 첫 번째 암호화의 경우 암호화가 완료되기 전에 사서함을 완전히 새 데이터베이스로 이동해야 합니다.

사서함이 암호화되었는지 검사 cmdlet을 Get-MailboxStatistics 사용합니다.

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

속성은 IsEncrypted 사서함이 암호화된 경우 true 를 반환하고, 그렇지 않으면 false 를 반환합니다.

사서함 이동을 완료하는 데 필요한 시간은 처음으로 암호화되는 사서함 수와 크기에 따라 달라집니다. DEP(데이터 암호화 정책)를 할당한 후 1주일 이내에 사서함이 암호화되지 않은 경우 Microsoft 지원 문의하세요.

SharePoint 및 OneDrive에 대한 암호화가 완료되었는지 확인

다음과 같이 Get-SPODataEncryptionPolicy cmdlet을 실행하여 암호화 상태 확인합니다.

   Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>

이 cmdlet의 출력에는 다음이 포함됩니다.

• 기본 키 URI

  기본 키의 URI입니다.

• 보조 키 URI

  기본 키의 URI입니다.

• 지리적 암호화 상태

  상태 다음 상태 중 하나일 수 있습니다.

  • 미등록: 고객 키 암호화가 적용되지 않습니다.
  • 등록: 고객 키 암호화가 진행 중입니다. 지역 키가 등록되는 경우 출력에는 진행률을 모니터링할 수 있도록 암호화된 사이트의 백분율이 포함됩니다.
  • 등록: 고객 키 암호화가 완료되었습니다. 모든 사이트의 모든 파일이 암호화됩니다.
  • 롤링: 키 롤이 진행 중입니다. 지리적 키를 롤링하는 경우 진행률을 모니터링할 수 있도록 완료된 사이트 롤아웃의 백분율이 출력에 포함됩니다.

• 온보딩된 사이트

  암호화를 위해 온보딩된 사이트의 백분율입니다.

여러 워크로드에서 사용하는 DEP에 대한 세부 정보 가져오기

여러 워크로드에 사용하기 위해 만든 DEP에 대한 세부 정보를 보려면 다음 단계를 수행합니다.

1. 로컬 컴퓨터에서 준수 관리자 권한이 있는 회사 또는 학교 계정을 사용하여 Exchange Online PowerShell에 연결합니다.

2. 다음 명령을 실행하여 organization 모든 다중 워크로드 DEP를 나열합니다.

   Get-M365DataAtRestEncryptionPolicy
   

3. 특정 DEP에 대한 세부 정보를 보려면 다음 명령을 사용합니다. 이 예제에서는 라는 Contoso_GlobalDEP에 대한 정보를 보여줍니다.

   Get-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global"
   

다중 워크로드 DEP 할당 정보 가져오기

현재 테넌트에서 할당된 DEP를 식별하려면 다음 단계를 수행합니다.

1. 로컬 컴퓨터에서 준수 관리자 권한이 있는 회사 또는 학교 계정을 사용하여 Exchange Online PowerShell에 연결합니다.

2. 다음 명령을 실행합니다.

   Get-M365DataAtRestEncryptionPolicyAssignment
   

다중 워크로드 DEP 사용 안 함

다중 워크로드 DEP를 사용하지 않도록 설정하기 전에 테넌트에서 워크로드에서 DEP를 할당 취소합니다. 여러 워크로드에 사용되는 DEP를 사용하지 않도록 설정하려면 다음 단계를 완료합니다.

1. 로컬 컴퓨터에서 준수 관리자 권한이 있는 회사 또는 학교 계정을 사용하여 Exchange Online PowerShell에 연결합니다.

2. 다음 명령을 실행하여 를 정책의 이름 또는 고유 ID(예: Contoso_Global)로 바꿉 PolicyName 니다.

   Set-M365DataAtRestEncryptionPolicy -[Identity] "PolicyName" -Enabled $false
   

   예제:

   Set-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global" -Enabled $false
   

Azure Key Vault 키 복원

복원을 수행하기 전에 일시 삭제 기능을 사용하여 가능하면 키를 복구합니다. 고객 키와 함께 사용되는 모든 키는 일시 삭제를 사용하도록 설정해야 합니다. 일시 삭제는 휴지통과 같이 작동하며 전체 복원 없이 최대 90일 동안 삭제된 키를 복구할 수 있습니다.

키 복원은 드물거나 예외적인 경우에만 필요합니다(예: 키 또는 키 자격 증명 모음이 영구적으로 손실된 경우).

Azure PowerShell 사용하여 키를 복원하려면 다음 명령을 실행합니다.

Restore-AzKeyVaultKey -VaultName <vault name> -InputFile <filename>

예제:

Restore-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

키 자격 증명 모음 권한 관리

Azure PowerShell 사용하여 키 자격 증명 모음 권한을 보거나 제거할 수 있습니다. 예를 들어 사용자가 팀을 떠날 때 사용자의 액세스를 제거해야 할 수 있습니다.

키 자격 증명 모음에 대한 권한을 보려면 다음 명령을 실행합니다.

Get-AzKeyVault -VaultName <vault name>

예제:

Get-AzKeyVault -VaultName Contoso-O365EX-NA-VaultA1

키 자격 증명 모음에 대한 사용자의 액세스를 제거하려면 다음 명령을 사용합니다.

Remove-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user>

예제:

Remove-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -UserPrincipalName alice@contoso.com

고객 키에서 Microsoft 관리형 키로 롤백

필요한 경우 Microsoft 관리형 키를 사용하도록 되돌리기 수 있습니다. 롤백하면 각 워크로드에서 지원하는 기본 암호화 방법을 사용하여 데이터가 다시 암호화됩니다. 예를 들어 Exchange 및 Windows 365 클라우드 PC는 기본 암호화에 Microsoft 관리형 키를 사용합니다.

여러 워크로드에 대한 고객 키에서 롤백

DEP(다중 워크로드 데이터 암호화 정책)에서 고객 키를 더 이상 사용하지 않으려면 Microsoft 지원 통해 지원 요청을 제출합니다. 요청에 다음 정보를 포함합니다.

• 테넌트 FQDN(정규화된 도메인 이름)
• 롤백 요청에 대한 테넌트 연락처
• 고객 키를 중단하는 이유
• 인시던트 번호

Exchange용 고객 키에서 롤백

더 이상 사서함 수준 DEP(데이터 암호화 정책)를 사용하여 개별 사서함을 암호화하지 않으려면 모든 사서함에서 해당 DEP를 할당 취소할 수 있습니다.

사서함 수준 DEP의 할당을 취소하려면 다음 단계를 수행합니다.

1. 필요한 Exchange Online PowerShell 권한이 있는 회사 또는 학교 계정을 사용하고 Exchange Online PowerShell에 연결합니다.

2. 다음 cmdlet을 실행합니다.

   Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy $null
   

이 명령은 현재 DEP의 할당을 취소하고 기본 Microsoft 관리형 키를 사용하여 사서함을 다시 암호화합니다.

SharePoint 및 OneDrive용 고객 키에서 롤백

고객 키에서 Microsoft 관리형 키로 롤백하는 것은 SharePoint 또는 OneDrive에서 지원되지 않습니다.

키를 해지하고 데이터 제거 경로를 시작합니다.

가용성 키를 포함하여 모든 루트 키의 해지를 제어합니다. 고객 키를 사용하면 많은 규정 표준에 필요한 종료 계획 프로세스를 제어할 수 있습니다. 데이터를 제거하고 서비스를 종료하기 위해 키를 취소하기로 결정한 경우 데이터 제거 프로세스가 완료된 후 가용성 키가 삭제됩니다.

이 기능은 개별 사서함에 할당된 고객 키 DEP에 대해서만 지원됩니다.

Microsoft 365는 데이터 제거 프로세스를 감사하고 유효성을 검사합니다. 자세한 내용은 서비스 신뢰 포털에서 사용할 수 있는 SSAE 18 SOC 2 보고서를 참조하세요.

또한 다음 문서를 검토하는 것이 좋습니다.

• Microsoft 클라우드의 금융 기관에 대한 위험 평가 및 규정 준수 가이드

• Microsoft 365 종료 계획 고려 사항

Microsoft 365 서비스를 완전히 종료하는 경우 Microsoft Entra ID에서 테넌트 삭제 방법을 참조하세요.

Exchange에 대한 고객 키 및 가용성 키 해지

Exchange에 대한 데이터 제거 경로를 시작하면 DEP(데이터 암호화 정책)에 영구 데이터 제거 요청을 배치합니다. 이 작업은 해당 DEP에 할당된 모든 사서함에서 암호화된 데이터를 영구적으로 삭제합니다.

PowerShell cmdlet은 한 번에 하나의 DEP에서만 작동하므로 데이터 제거 프로세스를 시작하기 전에 모든 사서함에 단일 DEP를 다시 할당하는 것이 좋습니다.

데이터 제거 경로를 시작하려면 다음 단계를 수행합니다.

1. Azure Key Vault에서 O365 Exchange Online 대한 래핑 및 래핑 해제 권한을 제거합니다.

2. 적절한 Exchange Online PowerShell 권한이 있는 회사 또는 학교 계정을 사용하고 Exchange Online PowerShell에 연결합니다.

3. 제거하려는 사서함이 포함된 각 DEP에 대해 cmdlet을 Set-DataEncryptionPolicy 실행합니다.

   Set-DataEncryptionPolicy <Policy ID> -PermanentDataPurgeRequested -PermanentDataPurgeReason <Reason> -PermanentDataPurgeContact <ContactName>
   

   명령이 실패하면 앞에서 설명한 대로 Azure Key Vault 두 키에서 Exchange Online 권한이 제거되었는지 확인합니다. 스위치를 사용하여 Set-DataEncryptionPolicy cmdlet을 -PermanentDataPurgeRequested 실행한 후에는 더 이상 사서함에 DEP를 할당할 수 없습니다.

4. Microsoft 지원 문의하고 데이터 제거 eDocument를 요청합니다.

   Microsoft는 데이터 제거를 확인하고 권한을 부여하는 법적 문서를 보냅니다. 이 서명하는 사람은 일반적으로 임원 또는 기타 법적으로 승인된 대리인입니다.

5. 담당자가 문서에 서명한 후 Microsoft(일반적으로 전자 서명을 통해)로 반환합니다.

   Microsoft에서 서명된 eDocument를 받으면 서명 및 서명자의 신뢰성을 확인합니다. 확인되면 필요한 cmdlet을 실행하여 데이터 제거를 완료합니다. 이 프로세스는 DEP를 삭제하고, 영향을 받는 사서함을 영구 삭제로 표시하고, 가용성 키를 제거합니다. 프로세스가 완료되면 데이터가 제거되고 Exchange에 액세스할 수 없으며 복구할 수 없습니다.

SharePoint 및 OneDrive에 대한 고객 키 및 가용성 키 해지

SharePoint 및 OneDrive에 대한 DEP 제거는 고객 키에서 지원되지 않습니다. Microsoft 365 서비스를 완전히 종료하는 경우 문서화된 프로세스에 따라 테넌트 삭제를 수행할 수 있습니다.

자세한 내용은 Microsoft Entra ID에서 테넌트 삭제 방법을 참조하세요.

레거시 액세스 정책 모델에서 RBAC로 Key Vault 마이그레이션

레거시 액세스 정책 모델을 사용하여 고객 키에 온보딩한 경우 다음 단계에 따라 모든 Azure Key Vault를 마이그레이션하여 RBAC(역할 기반 액세스 제어)를 사용합니다. 두 모델을 비교하고 Microsoft에서 RBAC를 권장하는 이유를 이해하려면 Azure RBAC(역할 기반 액세스 제어) 및 액세스 정책(레거시)을 Azure 참조하세요.

레거시 액세스 정책 제거

Key Vault에서 기존 액세스 정책을 제거하려면 cmdlet을 Remove-AzKeyVaultAccessPolicy 사용합니다.

1. Azure PowerShell 사용하여 Azure 구독에 로그인합니다. 지침은 Azure PowerShell 사용하여 로그인을 참조하세요.

2. 다음 명령을 실행하여 Microsoft 365 서비스 주체에 대한 액세스를 제거합니다.

   Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4
   

3. 다음 명령을 실행하여 Exchange Online 보안 주체에 대한 액세스를 제거합니다.

   Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000
   

4. 다음 명령을 실행하여 SharePoint 및 회사 또는 학교 서비스 주체용 OneDrive에 대한 액세스를 제거합니다.

   Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000
   

Access 구성 권한 모델 변경

액세스 정책을 제거한 후 Azure Portal 각 Key Vault 대한 권한 모델을 업데이트합니다.

1. Azure Portal Key Vault 이동합니다.

2. 왼쪽 메뉴의 설정에서 액세스 구성을 선택합니다.

3. 권한 모델에서 역할 기반 액세스 제어 Azure 선택합니다.

4. 화면 아래쪽에서 적용 을 선택합니다.

   

   

RBAC 권한 할당

권한 모델을 전환한 후 각 Key Vault 권한 할당의 단계에 따라 필요한 역할을 부여합니다.

관련 문서

• 고객 키 개요

• 가용성 키에 대해 알아보기

• 고객 키 설정

• 고객 키 또는 가용성 키 롤 또는 회전

• 고객 Lockbox

• 서비스 암호화 및 키 관리