Compartilhar via

Configurar Chave de Cliente

A Chave de Cliente permite-lhe controlar as chaves de encriptação da sua organização e configurar o Microsoft 365 para utilizar essas chaves para encriptar os seus dados inativos nos datacenters da Microsoft. Por outras palavras, permite-lhe adicionar uma camada de encriptação que possui e gere.

Antes de utilizar a Chave de Cliente, tem de configurar os recursos de Azure necessários. Este artigo explica-lhe como criar e configurar esses recursos, seguido dos passos para ativar a Chave de Cliente. Depois de configurar o Azure recursos, escolha a política aplicável e, por sua vez, as chaves que encriptarão os dados nas cargas de trabalho do Microsoft 365 na sua organização.

Para obter uma descrição geral e mais informações, veja Descrição geral da Chave de Cliente.

Importante

Certifique-se de que segue as melhores práticas neste artigo marcadas como SUGESTÃO, IMPORTANTE e NOTA. A Chave de Cliente dá-lhe controlo sobre as chaves de encriptação de raiz que podem afetar toda a organização. Os erros com estas chaves podem levar a interrupções do serviço ou perda permanente de dados.

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.

Antes de configurar a Chave de Cliente

Antes de começar, certifique-se de que a sua organização tem as subscrições Azure corretas e as licenças do Microsoft 365, Office 365 e Windows 365. Tem de utilizar subscrições de Azure pagas. As subscrições adquiridas através de programas Gratuito, De Avaliação, Patrocínio, MSDN ou Suporte Legado não são elegíveis.

Importante

As licenças do Microsoft 365 e Office 365 que oferecem a Chave de Cliente do Microsoft 365 são:

  • Office 365 E5
  • Microsoft 365 E5
  • Suíte do Microsoft Purview (anteriormente conhecido como Microsoft 365 E5 Compliance)
  • SKUs de Governação do Microsoft 365 E5 Proteção de Informações &
  • Segurança e Conformidade do Microsoft 365 para FLW

As licenças de Conformidade Avançada do Office 365 existentes ainda são suportadas.

Para compreender melhor os conceitos e procedimentos neste artigo, veja a documentação do Microsoft Azure Key Vault. Também deve estar familiarizado com termos-chave Azure, como Microsoft Entra inquilino.

Se precisar de ajuda para além da documentação, contacte Suporte da Microsoft. Para partilhar comentários ou sugestões sobre a Chave de Cliente ou esta documentação, visite a Comunidade do Microsoft 365.

Descrição geral dos passos para configurar a Chave de Cliente

Para configurar a Chave de Cliente, conclua as seguintes tarefas por ordem. O resto deste artigo fornece instruções detalhadas para cada tarefa ou liga-se para mais informações para cada passo do processo.

Conclua os seguintes pré-requisitos com Azure PowerShell. (é recomendado v4.4.0 ou superior):

Importante

O processo de configuração difere consoante esteja a utilizar o Azure Key Vault ou o HSM Gerido. Os pré-requisitos partilhados são apresentados primeiro, seguidos de instruções específicas da configuração.

Pré-requisitos para todas as configurações

Configuração específica da configuração

Passos finais

Criar duas novas subscrições de Azure

A Chave de Cliente requer duas subscrições Azure. Como melhor prática, a Microsoft recomenda a criação de novas subscrições Azure especificamente para utilização com a Chave de Cliente.

Azure Key Vault chaves só podem ser autorizadas para aplicações no mesmo inquilino Microsoft Entra. Para atribuir políticas de encriptação de dados (DEPs), certifique-se de que cria ambas as subscrições no mesmo inquilino Microsoft Entra utilizado pela sua organização. Por exemplo, utilize a sua conta escolar ou profissional que tenha privilégios de administrador adequados na sua organização. Para obter orientações passo a passo, consulte Inscrever-se para Azure como uma organização.

Importante

A Chave de Cliente requer duas chaves para cada DEP. Para suportar este requisito, tem de criar duas subscrições Azure separadas. Como melhor prática, faça com que diferentes membros da sua organização efetuem a gestão de uma chave em cada subscrição. Estas subscrições devem ser utilizadas apenas para administrar chaves de encriptação para o Microsoft 365. Esta configuração ajuda a proteger a sua organização caso alguém elimine ou faça uma má gestão de uma chave que controla de forma acidental, intencional ou maliciosa.

Não existe um limite prático para o número de subscrições Azure que a sua organização pode criar. Seguir estas melhores práticas ajuda a reduzir o risco de erro humano e facilita a gestão dos recursos da Chave de Cliente.

Registar os Principais de Serviço necessários

Para utilizar a Chave de Cliente, o inquilino tem de ter os principais de serviço necessários registados. As secções seguintes mostram-lhe como marcar se os principais de serviço já estão registados no seu inquilino. Se não estiverem, execute o cmdlet "New-AzADServicePrincipal" .

Registar o Principal de Serviço da Aplicação de Inclusão da Chave de Cliente

Para marcar se a aplicação Inclusão da Chave de Cliente já estiver registada com as permissões corretas, execute o seguinte comando:

Get-AzADServicePrincipal -ServicePrincipalName 19f7f505-34aa-44a4-9dcc-6a768854d2ea

Se não estiver registado, execute:

New-AzADServicePrincipal -ApplicationId 19f7f505-34aa-44a4-9dcc-6a768854d2ea
Registar o Principal de Serviço da Aplicação M365DataAtRestEncryption

Para marcar se a aplicação M365DataAtRestEncryption já estiver registada com as permissões corretas, execute o seguinte comando:

Get-AzADServicePrincipal -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4

Se não estiver registado, execute:

New-AzADServicePrincipal -ApplicationId c066d759-24ae-40e7-a56f-027002b5d3e4
Registar o Principal de Serviço da Aplicação Office 365 Exchange Online

Para marcar se a aplicação Office 365 Exchange Online já estiver registada com as permissões corretas, execute o seguinte comando:

Get-AzADServicePrincipal -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

Se não estiver registado, execute:

New-AzADServicePrincipal -ApplicationId 00000002-0000-0ff1-ce00-000000000000

Passos de configuração específicos da configuração

Importante

Os passos seguintes diferem consoante esteja a utilizar o Azure Key Vault ou o HSM Gerido. Utilize os separadores abaixo para selecionar a configuração.

Criar um Azure Key Vault premium em cada subscrição

Antes de criar um cofre de chaves, execute os passos em Introdução com Azure Key Vault. Estes passos orientam-no ao longo da instalação e iniciação de Azure PowerShell e da ligação à sua subscrição. Em seguida, crie um grupo de recursos e um cofre de chaves.

Importante

Ao criar os cofres de chaves, tem de ativar a eliminação recuperável e a proteção contra remoção durante o processo inicial de criação do cofre. A Chave de Cliente requer que todos os cofres tenham ambas as funcionalidades ativadas com um período de retenção de 90 dias. Estas definições não podem ser desativadas uma vez ativadas, pelo que é fundamental configurá-las corretamente desde o início.

Quando cria um cofre de chaves, tem de escolher um SKU: Standard ou Premium. O SKU Standard utiliza chaves protegidas por software sem um Módulo de Segurança de Hardware (HSM), enquanto o SKU premium permite a utilização de HSMs para proteger chaves. A Chave de Cliente suporta cofres de chaves com qualquer um dos dois SKUs, mas a Microsoft recomenda vivamente a utilização do SKU Premium. O custo das operações é o mesmo para ambos; Assim, a única diferença de preço provém do custo mensal de cada chave protegida por HSM. Para obter detalhes sobre preços, veja Key Vault preços.

Importante

Utilize os cofres de chaves de SKU Premium e chaves protegidas por HSM para dados de produção. Utilize Standard cofres de chaves e chaves de SKU apenas para testes e validação.

Ativar a eliminação recuperável e a proteção contra remoção

Quando pode recuperar rapidamente as chaves, é menos provável que se depare com interrupções prolongadas do serviço devido a eliminações acidentais ou maliciosas. Esta funcionalidade de recuperação chama-se eliminação recuperável. Permite-lhe recuperar chaves ou cofres eliminados no prazo de 90 dias sem ter de restaurar a partir de uma cópia de segurança. A Chave de Cliente requer que todos os cofres tenham a eliminação recuperável ativada e tenham um período de retenção de 90 dias. A eliminação recuperável é ativada automaticamente para novos Azure Key Vaults. Se utilizar cofres existentes onde não está ativado, pode ativá-lo manualmente.

Quando a proteção contra remoção está ativada, um cofre ou um objeto no estado eliminado não pode ser removido até que o período de retenção passe. Os cofres e objetos eliminados de forma recuperável ainda podem ser recuperados, garantindo que a política de retenção é seguida.

Para ativar a eliminação recuperável e a proteção contra remoção no seu Azure Key Vault, veja Azure Key Vault gestão da recuperação com a eliminação recuperável e a proteção contra remoção.

Para cada carga de trabalho do Microsoft 365 para a qual utiliza a Chave de Cliente, crie um cofre de chaves em cada uma das duas subscrições Azure que configurou anteriormente.

configuração do Key Vault

Por exemplo, se estiver a utilizar a Chave de Cliente para vários cenários de Cargas de Trabalho, Exchange e SharePoint, precisa de três pares de cofres de chaves, num total de seis. Utilize uma convenção de nomenclatura clara que reflita a utilização pretendida do DEP ao qual associa os cofres. A tabela seguinte mostra como mapear cada Azure Key Vault a cada carga de trabalho.

Nome do Key Vault Permissões para Várias Cargas de Trabalho do Microsoft 365 (M365DataAtRestEncryption) Permissões para o Exchange Permissões para o SharePoint e o OneDrive
ContosoM365AKV01 Sim Não Não
ContosoM365AKV02 Sim Não Não
ContosoEXOAKV01 Não Sim Não
ContosoEXOAKV02 Não Sim Não
ContosoSPOAKV01 Não Não Sim
ContosoSPOAKV02 Não Não Sim

Configuração do Cofre

A criação de cofres de chaves também requer a configuração Azure grupos de recursos. Os cofres de chaves requerem uma pequena quantidade de armazenamento e o registo (se ativado) também armazena dados. Como melhor prática, a Microsoft recomenda atribuir diferentes administradores para gerir cada grupo de recursos. Estas funções devem ser alinhadas com os administradores responsáveis pela gestão dos recursos associados à Chave de Cliente.

Para o Exchange, um DEP está no âmbito ao nível da caixa de correio. Cada caixa de correio só pode ter uma política atribuída e pode criar até 50 políticas. Uma política do SharePoint abrange todos os dados na localização geográfica (ou geo) de uma organização, enquanto uma política de várias cargas de trabalho abrange cargas de trabalho suportadas em todos os utilizadores na organização.

Importante

Se estiver a utilizar a Chave de Cliente para Múltiplas Cargas de Trabalho, Exchange e SharePoint e OneDrive, certifique-se de que cria dois Azure Key Vaults para cada carga de trabalho. Isto significa que precisa de um total de seis cofres de chaves.

Atribuir permissões a cada Azure Key Vault

Atribua as permissões necessárias a cada cofre de chaves com Azure controlo de acesso baseado em funções (Azure RBAC) no portal do Azure. Esta secção explica como aplicar as permissões corretas com o RBAC.

Atribuir permissões com o método RBAC

Para atribuir (wrapKey, unwrapKey, e get) no seu Azure Key Vault, atribua a função de Utilizador de Encriptação de Serviço Criptopto Key Vault à aplicação microsoft 365 adequada. Veja Conceder permissão a aplicações para aceder a um Azure Key Vault com o RBAC Azure.

Ao atribuir a função, procure os seguintes nomes de aplicações no seu inquilino:

  • Várias Cargas de Trabalho: M365DataAtRestEncryption

  • Exchange: Office 365 Exchange Online

  • SharePoint e OneDrive: Office 365 SharePoint Online

Se não vir a aplicação que procura, certifique-se de que regista a aplicação no inquilino.

Para obter mais informações sobre a atribuição de funções e permissões, veja Utilizar o controlo de acesso baseado em funções para gerir o acesso aos recursos de subscrição do Azure.

Atribuir funções de utilizador

A Chave de Cliente requer Key Vault Administradores e Contribuidores de Key Vault para gerir e salvaguardar o acesso às chaves de encriptação.

  • Key Vault Administradores processam tarefas de gestão diárias, como cópia de segurança, criação, obtenção, importação, lista e restauro. Por predefinição, não têm permissão para eliminar chaves. Esta estrutura ajuda a evitar perdas de dados permanentes. Conceda apenas permissões de eliminação temporariamente e com cuidado através da função Contribuidor.

  • Key Vault Contribuidores podem gerir permissões e atribuir funções no Key Vault. Utilize esta função para controlar o acesso quando os membros da equipa aderirem ou saírem.

Para obter passos detalhados sobre a atribuição destas funções com o RBAC Azure, veja Azure funções incorporadas para operações do plano de dados Key Vault.

Adicionar uma chave a cada Key Vault ao criar ou importar uma chave

Existem duas formas de adicionar chaves a uma Azure Key Vault: pode criar uma chave diretamente no cofre ou importar uma chave existente. Criar uma chave no Azure é mais simples, mas importar uma chave dá-lhe controlo total sobre a forma como a chave é gerada. Utilize chaves RSA. A Chave de Cliente suporta comprimentos de chave RSA até 4096 bits. Azure Key Vault não suporta moldagem e desembrulhação com teclas de curva elíptica (EC).

Para adicionar uma chave a cada cofre, veja Add-AzKeyVaultKey.

Se preferir gerar uma chave no local e, em seguida, importá-la para Azure, execute os passos em Como gerar e transferir chaves protegidas por HSM para Azure Key Vault. Utilize as instruções de Azure para adicionar uma chave a cada Key Vault.

Verificar a data de expiração das chaves

Para marcar que as chaves não têm uma data de expiração, execute o cmdlet Get-AzKeyVaultKey.

Para Azure Key Vault:

Get-AzKeyVaultKey -VaultName <vault name>

A Chave de Cliente não pode utilizar chaves expiradas. Se uma chave expirar, qualquer operação que a utilize falhará, o que pode levar a uma indisponibilidade do serviço. Recomendamos vivamente que as chaves utilizadas com a Chave de Cliente não tenham uma data de expiração.

Uma vez definida, não é possível remover uma data de expiração, mas pode alterá-la. Se tiver de utilizar uma chave com uma data de expiração, atualize-a para 12/31/9999 e utilize o método de inclusão legado. Qualquer outro valor de expiração falha na validação da inclusão da Chave de Cliente.

Observação

O Serviço de Inclusão da Chave de Cliente só aceita chaves sem uma data de expiração.

Para alterar a data de expiração para 12/31/9999, utilize o cmdlet Update-AzKeyVaultKey .

Update-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

Cuidado

Não defina datas de expiração em chaves de encriptação utilizadas com a Chave de Cliente.

Fazer cópia de segurança da Chave de Azure Key Vault

Depois de criar ou modificar uma chave, certifique-se de que faz imediatamente uma cópia de segurança da mesma. Armazene cópias de segurança em localizações online e offline para ajudar a evitar a perda de dados.

Para fazer uma cópia de segurança de uma chave no Azure Key Vault, utilize o cmdlet Backup-AzKeyVaultKey.

Importante

Se uma chave for eliminada sem uma cópia de segurança, não poderá ser recuperada. Crie sempre uma cópia de segurança após qualquer alteração ou criação de chave.

Obter o URI para cada chave de Azure Key Vault

Depois de configurar os Key Vaults e adicionar as chaves, execute o seguinte comando para obter o URI de cada chave. Precisa destes URIs ao criar e atribuir DEPs; Por isso, certifique-se de que os guarda num local seguro.

Execute o seguinte comando no Azure PowerShell , uma vez para cada Key Vault:

(Get-AzKeyVaultKey -VaultName <vault name>).Id

Integrar com o Serviço de Inclusão da Chave de Cliente

O Serviço de Inclusão da Chave de Cliente do Microsoft 365 permite-lhe ativar a Chave de Cliente no seu inquilino. Este serviço valida automaticamente os recursos necessários da Chave de Cliente. Se preferir, pode validar os seus recursos separadamente antes de continuar com a ativação.

Importante

Este serviço não está atualmente disponível para os seguintes cenários:

A conta utilizada para integração tem de ter as seguintes permissões:

  1. Permissões de registo do principal de serviço: para registar os principais de serviço necessários.
  2. Função de leitor: em cada Azure Key Vault utilizada no cmdlet de inclusão.

Instalar o módulo do M365CustomerKeyOnboarding PowerShell

  1. Inicie sessão na sua subscrição do Azure com Azure PowerShell. Para obter orientações, consulte Iniciar sessão com Azure PowerShell.

  2. Instale a versão mais recente do módulo a M365CustomerKeyOnboarding partir do Galeria do PowerShell.

  • Para confirmar que está a utilizar a versão mais recente, marcar o separador Histórico de Versões na parte inferior da página do módulo.
  • Copie e cole o comando de instalação na sua sessão e execute-o.
  • Se lhe for pedido, selecione Sim para Todos para continuar.

Utilizar os dois modos de inclusão diferentes

Existem dois modos de inclusão diferentes disponíveis ao utilizar o Serviço de Inclusão da Chave de Cliente: Validar e Ativar. Cada modo tem um objetivo diferente no processo de integração.

Ao executar o cmdlet (conforme orientado em Criar um pedido de inclusão), especifique o modo com o -OnboardingMode parâmetro .

Validar

Utilize o Validate modo para confirmar que a configuração do recurso da Chave de Cliente está correta. Este modo não efetua alterações ao seu ambiente.

Importante

Pode executar este modo quantas vezes for necessário, especialmente depois de fazer alterações à configuração.

Habilitar

Utilize o Enable modo quando estiver pronto para integrar o seu inquilino na Chave de Cliente. Este modo ativa a Chave de Cliente para a carga de trabalho que especificar com o -Scenario parâmetro .

Se quiser ativar a Chave de Cliente para Múltiplas Cargas de Trabalho e o Exchange, execute o cmdlet duas vezes, uma vez para cada carga de trabalho.

Antes de executar no modo Ativar, certifique-se de que os resultados de validação mostram Transmitido emValidationResult.

Importante

Os recursos têm de passar todas as verificações no Validate modo para que o processo de inclusão seja bem-sucedido no modo Ativar.

Criar um pedido de inclusão

O primeiro passo no processo de inclusão é criar um novo pedido. No PowerShell, pode armazenar os resultados de um cmdlet numa variável com o $ símbolo seguido do nome da variável.

Neste exemplo, o pedido de inclusão é armazenado numa variável chamada $request:

$request = New-CustomerKeyOnboardingRequest -Organization <tenantID> -Scenario <Scenario> -Subscription1 <subscriptionID1> -KeyIdentifier1 <KeyURI1> -Subscription2 <subscriptionID2> -KeyIdentifier2 <KeyURI2> -OnboardingMode <OnboardingMode>
Parâmetro Descrição Exemplo
-Organization O seu ID de inquilino no formato xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx. abcd1234-abcd-efgh-hijk-abcdef123456
-Scenario A carga de trabalho para a qual está a integrar. Opções: MDEP – Chave de Cliente para Várias Cargas de Trabalho, EXO – Chave de Cliente para o Exchange MDEP ou EXO
-Subscription1 Azure ID da subscrição da primeira subscrição. p12ld534-1234-5678-9876-g3def67j9k12
-KeyIdentifier1 O URI da Chave do primeiro AKV ou Chave HSM configurado para a Chave de Cliente. https://exampleVault1.vault.azure.net/keys/customerKey1
-Subscription2 Azure ID da subscrição da segunda subscrição. 21k9j76f-ed3g-6789-8765-43215dl21pbd
-KeyIdentifier2 O URI da Chave do segundo AKV ou Chave HSM configurado para a Chave de Cliente. https://exampleVault2.vault.azure.net/keys/customerKey2
-OnboardingMode A ação de inclusão a executar. Opções: Validate – valida a configuração sem efetuar alterações. Útil para verificar antes da integração. Enable – Valida e ativa a Chave de Cliente no seu inquilino se a validação for aprovada. Validateou Enable

Inicie sessão com as suas credenciais de administrador inquilino

Quando lhe for pedido, é aberta uma janela do browser. Inicie sessão com a sua conta de administrador inquilino com os privilégios necessários para concluir a integração.

Pedir para iniciar sessão com uma conta com privilégios

Ver detalhes de validação e ativação

Depois de iniciar sessão com êxito, regresse à janela do PowerShell. Execute a variável que utilizou ao criar o pedido de inclusão para ver o resultado:

$request

Saída do Pedido CKO

Recebe um resultado que inclui ID, CreatedDate, ValidationResulte EnablementResult.

Saída Descrição
ID ID associado ao pedido de inclusão criado.
CreatedDate Data em que o pedido foi criado.
ValidationResult Indicador de validação com êxito/sem êxito.
EnablementResult Indicador de ativação com êxito/sem êxito.

Um inquilino pronto para utilizar a Chave de Cliente mostra Êxito para e ValidationResultEnablementResult conforme mostrado na seguinte captura de ecrã:

Saída Com Êxito do CKO

Se ambos os valores mostrarem Êxito, avance para Passos Seguintes.

Resolver problemas de detalhes de validações falhadas

Se a validação falhar durante a integração, execute os seguintes passos para investigar a causa. Este processo ajuda a identificar que recursos da Chave de Cliente estão configurados incorretamente.

  1. Liste todos os pedidos de inclusão do seu inquilino para encontrar o RequestID do que pretende investigar:
Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID>
  1. Armazene o pedido de inclusão específico numa variável:
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID>
  1. Veja os detalhes da validação falhada:
$request.FailedValidations

Exemplo de uma saída de validação falhada no PowerShell

Cada regra de validação inclui os seguintes campos:

  • ExpectedValue: qual deve ser a configuração do recurso.
  • ActualValue: o que foi detetado no seu ambiente.
  • Âmbito: os primeiros cinco carateres do ID de subscrição que o ajudam a identificar que subscrição (e o respetivo Key Vault associado) tem o problema.
  • Detalhes: descreve a causa principal e oferece orientação para resolve o problema.

A tabela seguinte resume as regras de validação comuns e como resolve falhas:

RuleName Descrição Solução
OrganizationHasRequiredServicePlan Verifica se a sua organização tem as licenças necessárias. Veja Garantir que o inquilino tem as licenças necessárias.
KeyNeverExpires Garante que a chave não tem data de expiração. Veja os principais passos de verificação de expiração na configuração específica da configuração
KeyOperationsSupported Verifica se a chave suporta as operações necessárias para a carga de trabalho. Veja os passos de atribuição de permissões na configuração específica da configuração
RecoveryLevel Verifica se o nível de recuperação da chave é Recoverable. Certifique-se de que a eliminação recuperável e a proteção contra remoção estão ativadas. Veja Ativar a Eliminação Recuperável e a Proteção contra Remoção para Azure Key Vault ou Criar um aprovisionamento de grupo de recursos e ativar um HSM Gerido para o HSM Gerido.
SubscriptionInRequestOrganization Confirma que a subscrição do Azure pertence à sua organização. Certifique-se de que a subscrição foi criada no inquilino especificado.
SubscriptionsCountPerScenario Confirma que foram fornecidas duas subscrições. Certifique-se de que o pedido de integração inclui duas subscrições.
SubscriptionUniquePerScenario Garante que está a utilizar duas subscrições exclusivas por cenário. Faça duplo marcar que ambos os IDs de subscrição são diferentes.
VaultExistsinSubscription Confirma que o AKV/HSM Gerido faz parte da subscrição especificada. Verifique se o Key Vault/HSM foi criado na subscrição correta.

Verificar validações aprovadas

Para ver que validações foram bem-sucedidas durante o processo de integração, execute os seguintes passos:

  1. Armazene o pedido de inclusão específico na variável "$request"
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID>
  1. Execute o seguinte comando para apresentar todas as validações transmitidas:
$request.PassedValidations

Este comando devolve uma lista de todas as validações que foram transmitidas com êxito para o pedido de inclusão selecionado.

CKO PassedValidation

Integrar na Chave de Cliente com o método legado

Utilize este método apenas se o Serviço de Inclusão da Chave de Cliente não suportar o cenário do seu inquilino.

Depois de concluir todos os passos necessários para configurar a sua Azure key vaults e subscrições, contacte Suporte da Microsoft e solicite assistência com a integração da Chave de Cliente.

Integrar na Chave de Cliente para ambientes de cloud especiais

Se o inquilino estiver localizado em GCC-H, DoD ou M365 operado pela 21Vianet, conclua primeiro todos os passos de configuração da Chave de Cliente necessários.

Integrar na Chave de Cliente do SharePoint e oneDrive

Para integrar a Chave de Cliente do SharePoint e do OneDrive, os Azure Key Vaults têm de cumprir os seguintes pré-requisitos:

  1. Ative a eliminação recuperável e a proteção contra remoção durante o processo inicial de criação do cofre. Veja Ativar a Eliminação Recuperável e a Proteção contra Remoção para Azure Key Vault.

  2. Manter um período de retenção de 90 dias.

Se todos os pré-requisitos forem cumpridos, execute os passos em Criar um DEP para utilização com o SharePoint e o OneDrive.

Próximas etapas

Depois de concluir os passos de configuração neste artigo, está pronto para criar e atribuir DEPs. Para obter instruções detalhadas, veja Gerir a Chave de Cliente.

  • Last updated on