管理客戶金鑰

設定客戶金鑰之後，下一步是建立並指派一或多個 資料加密原則 (DEP) 。 指派之後，您可以管理加密金鑰和原則，如本文所述。

Microsoft Purview 客戶金鑰也支援 Windows 365 雲端電腦。 如需詳細資訊，請參閱適用於 Windows 365 雲端電腦的 Microsoft Purview 客戶金鑰。

若要深入瞭解客戶金鑰概念和設定，請參閱本頁結尾的相關文章。

建立 DEP 以用於所有租用戶使用者的多個工作負載

在繼續之前，請先完成客戶金鑰設定步驟。 如需指引，請參閱 設定客戶金鑰。

若要建立 DEP，您需要在安裝期間擷取金鑰保存庫 URI。 如需指示，請參閱取得每個Azure 金鑰保存庫金鑰的 URI。

1. 在本機電腦上，使用具有合規性系統管理員許可權的公司或學校帳戶登入，然後連線到 Exchange Online PowerShell。

2. 執行下列 Cmdlet 以建立多工作負載資料加密原則：

   New-M365DataAtRestEncryptionPolicy -Name <PolicyName> -AzureKeyIDs <KeyVaultURI1, KeyVaultURI2> [-Description <String>]
   

   參數定義：

   • -Name：您要用於原則的名稱。 不允許空格。

   • -AzureKeyIDs：原則中使用的兩個Azure 金鑰保存庫索引鍵的 URI，以逗點分隔。

     範例： "https://contosoCentralUSvault1.vault.azure.net/keys/Key_02""https://contosoWestUSvault1.vault.azure.net/keys/Key_01"

   • Description (選用) ：人類可讀的原則描述。

     範例： "Policy for multiple workloads for all users in the tenant."

   New-M365DataAtRestEncryptionPolicy -Name "Contoso_Global" -AzureKeyIDs "https://contosoWestUSvault1.vault.azure.net/keys/Key_01","https://contosoCentralUSvault1.vault.azure.net/keys/Key_02" -Description "Policy for multiple workloads for all users in the tenant."
   

指派多重工作負載原則

(DEP) 建立多工作負載資料加密原則之後，請使用 Cmdlet 指派 Set-M365DataAtRestEncryptionPolicyAssignment 它。 指派之後，Microsoft 365 會使用 DEP 中指定的金鑰來加密貴組織的資料。

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName or ID>

取代 <PolicyName or ID> 為原則的名稱或 GUID。

例如:

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy "Contoso_Global"

Windows 365 雲端電腦：

指派原則之後，請讓 Intune 系統管理中心等待 3-4 小時來反映更新。 更新之後，請遵循系統管理中心中的步驟來加密現有的雲端電腦。

如需詳細資訊，請參閱設定 Windows 365 雲端電腦的客戶金鑰。

建立 DEP 以搭配 Exchange 信箱使用

開始之前，請先完成必要的設定步驟。 如需詳細資訊，請參閱 設定客戶金鑰。 若要建立 DEP，您需要在設定期間取得的Azure 金鑰保存庫 URI。 如需詳細資訊，請參閱取得每個Azure 金鑰保存庫金鑰的 URI。

若要建立 Exchange 信箱的 DEP，請遵循下列步驟：

1. 在本機電腦上，使用具有 Exchange 系統管理員許可權的公司或學校帳戶，連線到 Exchange Online PowerShell。

2. 使用 Cmdlet 建立 New-DataEncryptionPolicy DEP：

   New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>
   

   參數	描述	範例
   -Name	輸入原則的名稱。 名稱不能包含空格。	USA_mailboxes
   -AzureKeyIDs	在不同的 Azure 金鑰保存庫中輸入兩個金鑰的 URI。 用逗號和空格分隔它們。	https://contosoEastUSvault01.vault.azure.net/keys/USA_key_01, https://contosoEastUS2vault01.vault.azure.net/keys/USA_key_02
   -Description	使用者友善的描述，有助於識別原則的目的。	"Root key for mailboxes in USA and its territories"

   範例：

   New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault02.vault.azure.net/keys/USA_key_01, https://contoso_CentralUSvault02.vault.azure.net/keys/USA_Key_02
   

   如需語法和參數資訊，請參閱 New-DataEncryptionPolicy。

將 DEP 指派給信箱

使用 Cmdlet 指派 Set-Mailbox DEP。 指派原則之後，Microsoft 365 會使用 DEP 中識別的金鑰來加密信箱。

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

如需詳細資訊，請參閱 Set-Mailbox。

將 DEP 指派給混合式信箱

在混合式環境中，使用 Set-MailUser Cmdlet 將 DEP 指派給同步處理的內部部署信箱資料。

Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>

如需詳細資訊，請參閱 Set-MailUser。

若要深入瞭解混合式信箱支援，請參閱使用適用於 iOS 和 Android 的 Outlook 搭配混合式新式驗證的內部部署信箱。

在將信箱移轉至雲端之前指派 DEP

在移轉信箱之前， (DEP) 指派資料加密原則，可確保在移轉期間加密信箱內容。 此方法比移轉後指派 DEP 更有效率，這可能會導致加密程式完成時延遲。

1. 使用在組織中具有適當許可權的公司或學校帳戶，連線到 Exchange Online PowerShell。

2. 執行下列命令：

   Set-MailUser -Identity <GeneralMailboxOrMailUserIdParameter> -DataEncryptionPolicy <DataEncryptionPolicyIdParameter>
   

   參數	描述
   -Identity	指定使用者信箱 (或已啟用郵件的使用者)
   -DataEncryptionPolicy	要套用的資料加密原則的名稱或識別碼。

   如需詳細資訊，請參閱 Set-MailUser。

檢視您為 Exchange 信箱建立的 DEP

您可以使用 PowerShell 檢視所有資料加密原則 (DEP) 針對 Exchange 信箱建立。

1. 使用在組織中具有適當許可權的公司或學校帳戶，連線到 Exchange Online PowerShell。

2. 若要傳回組織中的所有 DEP，請執行下列命令：

   Get-DataEncryptionPolicy
   

   如需詳細的 Cmdlet 資訊，請參閱 Get-DataEncryptionPolicy。

判斷指派給信箱的 DEP

若要判斷指派給信箱的 DEP，請使用 Get-MailboxStatistics Cmdlet。 Cmdlet 會傳回唯一識別碼 (GUID) 。

1. 使用在組織中具有適當許可權的公司或學校帳戶，連線到 Exchange Online PowerShell。

   Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID
   

   參數	描述
   -Identity	指定使用者信箱 (或已啟用郵件的使用者)
   DataEncryptionPolicyID	傳回 DEP 的 GUID。

   如需 Get-MailboxStatistics Cmdlet 的詳細資訊，請參閱 Get-MailboxStatistics。

2. 執行 Get-DataEncryptionPolicy Cmdlet 以找出指派信箱之 DEP 的易記名稱。

   Get-DataEncryptionPolicy <GUID>
   

   其中 GUID 是上一個步驟中 Get-MailboxStatistics Cmdlet 所傳回的 GUID。

建立 DEP 以搭配 SharePoint 和 OneDrive 使用

開始之前，請確定您已完成必要的設定步驟。 如需詳細資訊，請參閱 設定客戶金鑰。

若要設定 SharePoint 和 OneDrive 的客戶金鑰，請使用 SharePoint PowerShell。

關於資料加密策略：

DEP) (資料加密原則與儲存在不同 Azure 金鑰保存庫中的兩個金鑰相關聯。 這些金鑰必須位於不同的 Azure 區域中，以避免異地備援。

• 單一地理位置租用戶：您可以建立一個 DEP 來保護地理位置中的所有資料。

• 多地理位置租用戶：每個地理位置建立一個 DEP，每個 DEP 都使用不同的索引鍵。

您需要這兩個金鑰的金鑰保存庫 URI。 如需詳細資訊，請參閱取得每個Azure 金鑰保存庫金鑰的 URI。

1. 在本機電腦上，使用在組織中具有 適當許可權 的公司或學校帳戶， 連線到 SharePoint PowerShell。

2. 使用 Register-SPODataEncryptionPolicy Cmdlet 來註冊 DEP。

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>
   

   例如:

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'stageRG3vault' -PrimaryKeyName 'SPKey3' -PrimaryKeyVersion 'f635a23bd4a44b9996ff6aadd88d42ba' -SecondaryKeyVaultName 'stageRG5vault' -SecondaryKeyName 'SPKey5' -SecondaryKeyVersion '2b3e8f1d754f438dacdec1f0945f251a'
   

   如果使用受控 HSM：使用金鑰的完整 URL，包括每個保存庫的 版本 。

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultUri <PrimaryKeyVaultURL> -SecondaryKeyVaultUri <SecondaryKeyVaultURL>
   

   例如:

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultURL https://M365-Test.managedhsm.azure.net/keys/Sharepoint-01/aaaa5513974f4780ea67b2f5d8c3dd -SecondaryKeyVaultURL https://M365-Test-02.managedhsm.azure.net/keys/Sharepoint-02/7d8f30343bed4e44a57225bae2012388
   

   注意事項

   註冊 DEP 之後，就會開始加密地理位置的數據。 此過程可能需要一些時間。

如需完整的 Cmdlet 參考，請參閱 Register-SPODataEncryptionPolicy。

確認使用客戶金鑰進行加密已完成

在滾動客戶金鑰、 (DEP) 指派新的資料加密原則或移轉信箱之後，請遵循本節中的步驟來確認加密已完成。

確認 Exchange 信箱的加密已完成

加密信箱可能需要一些時間。 針對第一次加密，信箱必須完全移至新的資料庫，才能完成加密。

若要檢查信箱是否已加密，請使用 Get-MailboxStatistics Cmdlet：

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

如果信箱已加密，則屬性 IsEncrypted 會傳回 true ，如果未加密，則會傳回 false 。

完成信箱移動所需的時間取決於第一次加密的信箱數目及其大小。 如果信箱在將數據加密原則指派給 DEP) 的一週內未加密 (，請連絡Microsoft 支援服務。

確認 SharePoint 和 OneDrive 的加密完成

執行 Get-SPODataEncryptionPolicy Cmdlet 來檢查加密狀態，如下所示：

   Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>

此 Cmdlet 的輸出包括：

• 主索引鍵 URI

  主索引鍵的 URI。

• 次要索引鍵 URI

  主索引鍵的 URI。

• 地理位置的加密狀態

  狀態可以是下列其中一種狀態：

  • 未註冊： 不應用客戶金鑰加密。
  • 註冊： 客戶金鑰加密正在進行中。 如果地理位置的金鑰正在註冊，則輸出會包含加密網站的百分比，以便您可以監視進度。
  • 註冊時間： 客戶金鑰加密已完成。 所有網站中的所有檔案都已加密。
  • 滾動： 關鍵擲骰正在進行中。 如果地理位置的索引鍵是滾動，則輸出會包含已完成網站轉出的百分比，以便您可以監控進度。

• 已上線的網站

  已上線進行加密的網站百分比。

取得您用於多個工作負載的 DEP 詳細資料

若要檢視您建立以用於多個工作負載之 DEP 的詳細資料，請遵循下列步驟：

1. 在本機電腦上，使用具有合規性系統管理員許可權的公司或學校帳戶來連線到 Exchange Online PowerShell。

2. 執行下列命令，列出組織中的所有多工作負載 DEP：

   Get-M365DataAtRestEncryptionPolicy
   

3. 若要檢視特定 DEP 的詳細資料，請使用下列命令。 此示例顯示名為 Contoso_GlobalDEP 的資訊：

   Get-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global"
   

取得多工作負載 DEP 指派資訊

若要識別目前指派給租使用者的 DEP，請遵循下列步驟：

1. 在本機電腦上，使用具有合規性系統管理員許可權的公司或學校帳戶來連線到 Exchange Online PowerShell。

2. 執行下列命令：

   Get-M365DataAtRestEncryptionPolicyAssignment
   

停用多工作負載 DEP

停用多工作負載 DEP 之前，請從租使用者中的工作負載取消指派 DEP。 若要停用與多個工作負載搭配使用的 DEP，請完成下列步驟：

1. 在本機電腦上，使用具有合規性系統管理員許可權的公司或學校帳戶來連線到 Exchange Online PowerShell。

2. 執行下列命令，取代 PolicyName 為政策 (的名稱或唯一 ID，例如 Contoso_Global) ：

   Set-M365DataAtRestEncryptionPolicy -[Identity] "PolicyName" -Enabled $false
   

   範例：

   Set-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global" -Enabled $false
   

還原Azure 金鑰保存庫金鑰

在執行還原之前，如果可能的話，請使用虛刪除功能來復原金鑰。 與客戶金鑰搭配使用的所有金鑰都必須啟用虛刪除。 軟刪除的功能類似於回收站，可讓您恢復已刪除的金鑰長達 90 天，而無需完全恢復。

只有在極少數或特殊情況下，才應該需要金鑰還原，例如，如果金鑰或金鑰保存庫永久遺失。

若要使用 Azure PowerShell 還原金鑰，請執行下列命令：

Restore-AzKeyVaultKey -VaultName <vault name> -InputFile <filename>

範例：

Restore-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

管理金鑰保存庫許可權

您可以使用 Azure PowerShell 來檢視或移除金鑰保存庫許可權。 例如，您可能需要在使用者離開團隊時移除其存取權。

若要檢視金鑰保存庫的許可權，請執行下列命令：

Get-AzKeyVault -VaultName <vault name>

範例：

Get-AzKeyVault -VaultName Contoso-O365EX-NA-VaultA1

若要移除使用者對金鑰保存庫的存取權，請使用下列命令：

Remove-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user>

範例：

Remove-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -UserPrincipalName alice@contoso.com

從客戶金鑰復原至 Microsoft 受控金鑰

如有需要，您可以還原為使用 Microsoft 受控金鑰。 當您復原時，您的資料會使用每個工作負載支援的預設加密方法重新加密。 例如，Exchange 和 Windows 365 雲端電腦會使用 Microsoft 受控金鑰進行預設加密。

從多個工作負載的客戶金鑰復原

如果您不想再將客戶金鑰與多工作負載資料加密原則搭配使用， (DEP) ，請透過 Microsoft 支援服務 提交支援要求。 在您的請求中包含以下資訊：

• 租用戶完整網域名稱 (FQDN)
• 復原要求的租用戶連絡人
• 停止使用客戶金鑰的原因
• 事件編號

從 Exchange 的客戶金鑰復原

如果您不想再使用信箱層級資料加密原則 (DEP) 來加密個別信箱，您可以從所有信箱取消指派這些 DEP。

若要取消指派信箱層級 DEP，請遵循下列步驟：

1. 使用具有必要 Exchange Online PowerShell 許可權的公司或學校帳戶，並連線到 Exchange Online PowerShell。

2. 執行下列 Cmdlet。

   Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy $null
   

此命令會取消指派目前的 DEP，並使用預設的 Microsoft 管理金鑰重新加密信箱。

從 SharePoint 和 OneDrive 的客戶金鑰復原

SharePoint 或 OneDrive 不支援從客戶金鑰復原至 Microsoft 管理的金鑰。

撤銷金鑰並啟動資料清除路徑

您可以控制所有根金鑰的撤銷，包括可用性金鑰。 客戶金鑰可讓您控制許多法規標準所需的退出規劃流程。 如果您決定撤銷金鑰以清除資料並結束服務，則會在資料清除程序完成後刪除可用性金鑰。

此功能僅支援指派給個別信箱的客戶金鑰 DEP。

Microsoft 365 會稽核並驗證資料清除程式。 如需詳細資訊，請參閱 服務信任入口網站上提供的 SSAE 18 SOC 2 報告。

Microsoft 也建議檢閱下列檔：

• Microsoft 雲端中金融機構的風險評估和合規性指南

• Microsoft 365 結束規劃考慮

如果您要完全結束 Microsoft 365 服務，請參閱如何刪除 Microsoft Entra ID 中的租用戶。

撤銷您的客戶金鑰和 Exchange 的可用性金鑰

當您起始 Exchange 的資料清除路徑時，您會在資料加密原則 (DEP) 上提出永久資料清除要求。 此動作會永久刪除指派給該 DEP 之所有信箱中的加密資料。

由於 PowerShell Cmdlet 一次只能在一個 DEP 上運作，因此請考慮在開始資料清除程式之前，將單一 DEP 重新指派給所有信箱。

若要啟動資料清除路徑，請遵循下列步驟：

1. 從 Azure 金鑰保存庫移除 O365 Exchange Online 的包裝和取消包裝許可權。

2. 使用具有適當 Exchange Online PowerShell 許可權的公司或學校帳戶，並連線到 Exchange Online PowerShell。

3. 針對包含您要清除的信箱的每個 DEP，執行 Set-DataEncryptionPolicy Cmdlet：

   Set-DataEncryptionPolicy <Policy ID> -PermanentDataPurgeRequested -PermanentDataPurgeReason <Reason> -PermanentDataPurgeContact <ContactName>
   

   如果命令失敗，請確認已從Azure 金鑰保存庫中的兩個金鑰中移除Exchange Online許可權，如先前所述。 使用 Set-DataEncryptionPolicy 參數執行 -PermanentDataPurgeRequested Cmdlet 之後，就無法再將 DEP 指派給信箱。

4. 請聯絡 Microsoft 支援服務部門並要求資料清除電子文件。

   Microsoft 會傳送法律檔來確認並授權資料清除。 簽署此文件的人通常是高管或其他合法授權代表。

5. 您的代表簽署文件後，通常透過電子簽名) 將其返回給Microsoft (。

   一旦 Microsoft 收到已簽署的電子文件，它就會驗證簽名和簽署者的真實性。 驗證後，他們會執行必要的 cmdlet 來完成資料清除。 此程式會刪除 DEP、將受影響的信箱標示為永久刪除，並移除可用性金鑰。 程式完成之後，資料會清除，Exchange 無法存取，而且無法復原。

撤銷 SharePoint 和 OneDrive 的客戶金鑰和可用性金鑰

客戶金鑰不支援清除 SharePoint 和 OneDrive 的 DEP。 如果您要完全結束 Microsoft 365 服務，您可以遵循記載的程式來刪除租用戶。

如需詳細資訊，請參閱如何刪除 Microsoft Entra ID 中的租用戶。

將您的金鑰保存庫從舊版存取原則模型移轉至 RBAC

如果您使用舊版存取原則模型上線至客戶金鑰，請遵循下列步驟來移轉所有Azure金鑰保存庫，以使用角色型存取控制 (RBAC) 。 若要比較這兩個模型並瞭解 Microsoft 建議使用 RBAC 的原因，Azure請參閱 RBAC) (Azure 與舊版) (存取原則角色型存取控制。

移除舊版存取原則

若要從金鑰保存庫移除現有的存取原則，請使用 Remove-AzKeyVaultAccessPolicy Cmdlet。

1. 使用 Azure PowerShell 登入您的 Azure 訂用帳戶。 如需指引，請參閱使用 Azure PowerShell 登入。

2. 執行下列命令，以移除 Microsoft 365 服務 主體的存取權：

   Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4
   

3. 執行下列命令，以移除 Exchange Online 主體的存取權：

   Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000
   

4. 執行下列命令，以移除 SharePoint 和公司或學校用 OneDrive 服務主體的存取權：

   Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000
   

變更存取組態權限模型

移除存取原則之後，請更新 Azure 入口網站中每個金鑰保存庫的許可權模型：

1. 在 Azure 入口網站 中，流覽至您的金鑰保存庫。

2. 在左側功能表的 [設定] 底下，選取 [ 存取設定]。

3. 在 [許可權模型] 底下，選擇 [Azure 角色型存取控制]。

4. 選取畫面底部的 [套用 ]。

   

   

指派 RBAC 權限

切換許可權模型之後，請遵循將許可權指派給每個金鑰保存庫中的步驟，以授與必要的角色。

相關文章

• 客戶金鑰概觀

• 瞭解可用性金鑰

• 設定客戶金鑰

• 滾動或旋轉客戶金鑰或可用性金鑰

• 客戶加密箱

• 服務加密和金鑰管理