Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Customer Key consente di controllare le chiavi di crittografia dell'organizzazione e di configurare Microsoft 365 per l'uso di tali chiavi per crittografare i dati inattivi nei data center Microsoft. In altre parole, consente di aggiungere un livello di crittografia di cui si è proprietari e gestiti.
Prima di usare La chiave del cliente, è necessario configurare le risorse Azure necessarie. Questo articolo illustra come creare e configurare tali risorse, seguito dalla procedura per abilitare la chiave del cliente. Dopo aver configurato le risorse Azure, è possibile scegliere quali criteri applicare e, a loro volta, quali chiavi crittograferanno i dati nei carichi di lavoro di Microsoft 365 nell'organizzazione.
Per una panoramica generale e altre informazioni, vedere Panoramica della chiave del cliente.
Importante
Assicurarsi di seguire le procedure consigliate in questo articolo contrassegnate come TIP, IMPORTANT e NOTE. Customer Key consente di controllare le chiavi di crittografia radice che possono influire sull'intera organizzazione. Gli errori con queste chiavi possono causare interruzioni del servizio o perdita permanente dei dati.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.
Prima di configurare la chiave del cliente
Prima di iniziare, assicurarsi che l'organizzazione disponga delle sottoscrizioni Azure corrette e delle licenze di Microsoft 365, Office 365 e Windows 365. È necessario usare sottoscrizioni Azure a pagamento. Le sottoscrizioni acquistate tramite programmi di supporto gratuito, di valutazione, di sponsorizzazione, MSDN o legacy non sono idonee.
Importante
Le licenze di Microsoft 365 e Office 365 che offrono la chiave del cliente di Microsoft 365 sono:
- Office 365 E5
- Microsoft 365 E5
- Famiglia di prodotti Microsoft Purview (noto in precedenza come Microsoft 365 E5 Compliance)
- SKU di governance Microsoft 365 E5 Information Protection &
- Sicurezza e conformità di Microsoft 365 per FLW
Le licenze Office 365 Advanced Compliance esistenti sono ancora supportate.
Per comprendere meglio i concetti e le procedure in questo articolo, vedere la documentazione di Microsoft Azure Key Vault. Si dovrebbe anche avere familiarità con i termini chiave Azure come Microsoft Entra tenant.
Per assistenza oltre alla documentazione, contattare supporto tecnico Microsoft. Per condividere commenti o suggerimenti sulla chiave del cliente o su questa documentazione, visitare la community di Microsoft 365.
Panoramica dei passaggi per configurare la chiave del cliente
Per configurare la chiave del cliente, completare le attività seguenti nell'ordine indicato. Il resto di questo articolo fornisce istruzioni dettagliate per ogni attività o collegamenti ad altre informazioni per ogni passaggio del processo.
Completare i prerequisiti seguenti usando Azure PowerShell. (v4.4.0 o versione successiva è consigliato):
Importante
Il processo di installazione varia a seconda che si usi Azure Key Vault o HSM gestito. I prerequisiti condivisi vengono visualizzati per primi, seguiti da istruzioni specifiche della configurazione.
Prerequisiti per tutte le configurazioni
Configurazione specifica della configurazione
Passaggi finali
- Eseguire l'onboarding usando il servizio di onboarding della chiave del cliente
- Eseguire l'onboarding in Customer Key usando il metodo legacy
- Eseguire l'onboarding nella chiave del cliente per SharePoint e OneDrive
- Eseguire l'onboarding nella chiave del cliente per ambienti cloud speciali
Creare due nuove sottoscrizioni Azure
Customer Key richiede due sottoscrizioni Azure. Come procedura consigliata, Microsoft consiglia di creare nuove sottoscrizioni Azure specifiche per l'uso con la chiave del cliente.
Azure Key Vault chiavi possono essere autorizzate solo per le applicazioni nello stesso tenant Microsoft Entra. Per assegnare criteri di crittografia dei dati, assicurarsi di creare entrambe le sottoscrizioni nello stesso tenant Microsoft Entra usato dall'organizzazione. Ad esempio, usare l'account aziendale o dell'istituto di istruzione con privilegi di amministratore appropriati nell'organizzazione. Per istruzioni dettagliate, vedere Iscriversi per Azure come organizzazione.
Importante
Customer Key richiede due chiavi per ogni DEP. Per supportare questo requisito, è necessario creare due sottoscrizioni Azure separate. Come procedura consigliata, fare in modo che membri diversi dell'organizzazione gestino una chiave in ogni sottoscrizione. Queste sottoscrizioni devono essere usate solo per amministrare le chiavi di crittografia per Microsoft 365. Questa configurazione consente di proteggere l'organizzazione in caso di eliminazione accidentale, intenzionale o dannosa o gestione errata di una chiave che controlla.
Non esiste alcun limite pratico al numero di sottoscrizioni Azure che l'organizzazione può creare. Seguire queste procedure consigliate consente di ridurre il rischio di errori umani e semplifica la gestione delle risorse della chiave del cliente.
Registrare le entità servizio necessarie
Per usare la chiave del cliente, il tenant deve avere le entità servizio necessarie registrate. Le sezioni seguenti illustrano come verificare se le entità servizio sono già registrate nel tenant. In caso contrario, eseguire il cmdlet 'New-AzADServicePrincipal' .
Registrare l'entità servizio per l'applicazione di onboarding della chiave del cliente
Per verificare se l'applicazione di onboarding della chiave del cliente è già registrata con le autorizzazioni corrette, eseguire il comando seguente:
Get-AzADServicePrincipal -ServicePrincipalName 19f7f505-34aa-44a4-9dcc-6a768854d2ea
Se non è registrato, eseguire:
New-AzADServicePrincipal -ApplicationId 19f7f505-34aa-44a4-9dcc-6a768854d2ea
Registrare l'entità servizio per l'applicazione M365DataAtRestEncryption
Per verificare se l'applicazione M365DataAtRestEncryption è già registrata con le autorizzazioni corrette, eseguire il comando seguente:
Get-AzADServicePrincipal -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4
Se non è registrato, eseguire:
New-AzADServicePrincipal -ApplicationId c066d759-24ae-40e7-a56f-027002b5d3e4
Registrare l'entità servizio per l'applicazione Office 365 Exchange Online
Per verificare se l'applicazione Office 365 Exchange Online è già registrata con le autorizzazioni corrette, eseguire il comando seguente:
Get-AzADServicePrincipal -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000
Se non è registrato, eseguire:
New-AzADServicePrincipal -ApplicationId 00000002-0000-0ff1-ce00-000000000000
Passaggi di configurazione specifici della configurazione
Importante
I passaggi seguenti variano a seconda che si usi Azure Key Vault o HSM gestito. Usare le schede seguenti per selezionare la configurazione.
Creare un Azure Key Vault Premium in ogni sottoscrizione
Prima di creare un insieme di credenziali delle chiavi, eseguire i passaggi in Introduzione con Azure Key Vault. Questi passaggi guidano l'installazione e l'avvio di Azure PowerShell e la connessione alla sottoscrizione. Creare quindi un gruppo di risorse e un insieme di credenziali delle chiavi.
Importante
Quando si creano gli insiemi di credenziali delle chiavi, è necessario abilitare sia l'eliminazione temporanea che la protezione dall'eliminazione durante il processo di creazione iniziale dell'insieme di credenziali. Customer Key richiede che tutte le funzionalità siano abilitate per tutti gli insiemi di credenziali con un periodo di conservazione di 90 giorni. Queste impostazioni non possono essere disabilitate una volta abilitate, quindi è fondamentale configurarle correttamente dall'inizio.
Quando si crea un insieme di credenziali delle chiavi, è necessario scegliere uno SKU: Standard o Premium. Lo SKU Standard usa chiavi protette da software senza un modulo di sicurezza hardware, mentre lo SKU Premium consente l'uso di moduli di protezione hardware per proteggere le chiavi. Customer Key supporta gli insiemi di credenziali delle chiavi con uno dei due SKU, ma Microsoft consiglia vivamente di usare lo SKU Premium. Il costo delle operazioni è lo stesso per entrambi; quindi, l'unica differenza di prezzo deriva dal costo mensile di ogni chiave protetta da HSM. Per informazioni dettagliate sui prezzi, vedere Key Vault prezzi.
Importante
Usare gli insiemi di credenziali delle chiavi SKU Premium e le chiavi protette con HSM per i dati di produzione. Usare Standard insiemi di credenziali delle chiavi dello SKU e le chiavi solo per il test e la convalida.
Abilitazione della protezione dall'eliminazione temporanea e dall'eliminazione
Quando è possibile ripristinare rapidamente le chiavi, è meno probabile che si verifichino interruzioni estese del servizio da eliminazioni accidentali o dannose. Questa funzionalità di ripristino è denominata eliminazione temporanea. Consente di ripristinare chiavi o insiemi di credenziali eliminati entro 90 giorni senza dover eseguire il ripristino da un backup. Customer Key richiede che tutti gli insiemi di credenziali abbiano l'eliminazione temporanea abilitata e un periodo di conservazione di 90 giorni. L'eliminazione temporanea viene abilitata automaticamente per i nuovi insiemi di credenziali delle chiavi Azure. Se si usano insiemi di credenziali esistenti in cui non è attivato, è possibile abilitarli manualmente.
Quando la protezione dall'eliminazione è attiva, un insieme di credenziali o un oggetto nello stato eliminato non può essere eliminato fino al termine del periodo di conservazione. Gli insiemi di credenziali e gli oggetti eliminati temporaneamente possono comunque essere ripristinati, assicurandosi che i criteri di conservazione vengano seguiti.
Per abilitare la protezione dall'eliminazione temporanea e dall'eliminazione nel Azure Key Vault, vedere Azure Key Vault gestione del ripristino con protezione dall'eliminazione temporanea e dall'eliminazione temporanea.
Per ogni carico di lavoro di Microsoft 365 per cui si usa Customer Key, creare un insieme di credenziali delle chiavi in ognuna delle due sottoscrizioni Azure configurate in precedenza.
configurazione Key Vault
Ad esempio, se si usa customer key per più carichi di lavoro, Exchange e SharePoint, sono necessarie tre coppie di insiemi di credenziali delle chiavi, per un totale di sei. Usare una convenzione di denominazione chiara che rifletta l'uso previsto di DEP a cui si associano gli insiemi di credenziali. Nella tabella seguente viene illustrato come eseguire il mapping di ogni Azure Key Vault a ogni carico di lavoro.
| nome Key Vault | Autorizzazioni per più carichi di lavoro di Microsoft 365 (M365DataAtRestEncryption) | Autorizzazioni per Exchange | Autorizzazioni per SharePoint e OneDrive |
|---|---|---|---|
| ContosoM365AKV01 | Sì | No | No |
| ContosoM365AKV02 | Sì | No | No |
| ContosoEXOAKV01 | No | Sì | No |
| ContosoEXOAKV02 | No | Sì | No |
| ContosoSPOAKV01 | No | No | Sì |
| ContosoSPOAKV02 | No | No | Sì |
La creazione di insiemi di credenziali delle chiavi richiede anche la configurazione Azure gruppi di risorse. Gli insiemi di credenziali delle chiavi richiedono una piccola quantità di spazio di archiviazione e la registrazione (se abilitata) archivia anche i dati. Come procedura consigliata, Microsoft consiglia di assegnare amministratori diversi per gestire ogni gruppo di risorse. Questi ruoli devono essere allineati con gli amministratori responsabili della gestione delle risorse chiave cliente associate.
Per Exchange, l'ambito di un dep è a livello di cassetta postale. A ogni cassetta postale può essere assegnato un solo criterio ed è possibile creare fino a 50 criteri. Un criterio di SharePoint copre tutti i dati nella posizione geografica (o geografica) di un'organizzazione, mentre un criterio multi-carico di lavoro copre i carichi di lavoro supportati in tutti gli utenti dell'organizzazione.
Importante
Se si usa La chiave del cliente per più carichi di lavoro, Exchange e SharePoint e OneDrive, assicurarsi di creare due insiemi di credenziali delle chiavi Azure per ogni carico di lavoro. Ciò significa che è necessario un totale di sei insiemi di credenziali delle chiavi.
Assegnare autorizzazioni a ogni Azure Key Vault
Assegnare le autorizzazioni necessarie a ogni insieme di credenziali delle chiavi usando Azure controllo degli accessi in base al ruolo (Azure controllo degli accessi in base al ruolo) nel portale di Azure. Questa sezione illustra come applicare le autorizzazioni corrette usando il controllo degli accessi in base al ruolo.
Assegnazione di autorizzazioni tramite il metodo RBAC
Per assegnare (wrapKey, unwrapKeye get) alla Azure Key Vault, assegnare il ruolo Key Vault Crypto Service Encryption User all'app Microsoft 365 appropriata. Vedere Concedere l'autorizzazione alle applicazioni per accedere a un Azure Key Vault usando Azure controllo degli accessi in base al ruolo.
Quando si assegna il ruolo, cercare i nomi di app seguenti nel tenant:
Più carichi di lavoro:
M365DataAtRestEncryptionExchange:
Office 365 Exchange OnlineSharePoint e OneDrive:
Office 365 SharePoint Online
Se l'app che si sta cercando non viene visualizzata, assicurarsi di registrare l'app nel tenant.
Per altre informazioni sull'assegnazione di ruoli e autorizzazioni, vedere Usare il controllo degli accessi in base al ruolo per gestire l'accesso alle risorse della sottoscrizione Azure.
Assegnazione di ruoli utente
La chiave del cliente richiede sia Key Vault amministratori che collaboratori Key Vault per gestire e proteggere l'accesso alle chiavi di crittografia.
Key Vault Gli amministratori gestiscono attività di gestione giornaliere, ad esempio backup, creazione, recupero, importazione, elenco e ripristino. Per impostazione predefinita, non hanno l'autorizzazione per eliminare le chiavi. Questa progettazione consente di evitare la perdita permanente dei dati. Concedere autorizzazioni di eliminazione solo temporaneamente e con cautela usando il ruolo Collaboratore.
Key Vault collaboratori possono gestire le autorizzazioni e assegnare ruoli nel Key Vault. Usare questo ruolo per controllare l'accesso quando i membri del team vengono aggiunti o lasciati.
Per i passaggi dettagliati relativi all'assegnazione di questi ruoli usando Azure controllo degli accessi in base al ruolo, vedere Azure ruoli predefiniti per le operazioni del piano dati Key Vault.
Aggiungere una chiave a ogni Key Vault creando o importando una chiave
Esistono due modi per aggiungere chiavi a un Azure Key Vault: è possibile creare una chiave direttamente nell'insieme di credenziali o importare una chiave esistente. La creazione di una chiave in Azure è più semplice, ma l'importazione di una chiave offre il controllo completo sulla modalità di generazione della chiave. Usare le chiavi RSA. Customer Key supporta la lunghezza della chiave RSA fino a 4.096 bit. Azure Key Vault non supporta il wrapping e l'annullamento del wrapping con chiavi a curva ellittica (EC).
Per aggiungere una chiave a ogni insieme di credenziali, vedere Add-AzKeyVaultKey.
Se si preferisce generare una chiave locale e quindi importarla in Azure, seguire questa procedura in Come generare e trasferire chiavi protette con HSM per Azure Key Vault. Usare le istruzioni Azure per aggiungere una chiave a ogni Key Vault.
Verificare la data di scadenza delle chiavi
Per verificare che le chiavi non abbiano una data di scadenza, eseguire il cmdlet Get-AzKeyVaultKey .
Per Azure Key Vault:
Get-AzKeyVaultKey -VaultName <vault name>
La chiave del cliente non può usare chiavi scadute. Se una chiave è scaduta, qualsiasi operazione che la usa ha esito negativo, il che può causare un'interruzione del servizio. È consigliabile che le chiavi usate con la chiave del cliente non abbiano una data di scadenza.
Una volta impostata, non è possibile rimuovere una data di scadenza, ma è possibile modificarla. Se è necessario usare una chiave con una data di scadenza, aggiornarla 12/31/9999 e usare il metodo di onboarding legacy. Qualsiasi altro valore di scadenza non riesce la convalida dell'onboarding della chiave del cliente.
Nota
Il servizio di onboarding delle chiavi del cliente accetta solo le chiavi senza una data di scadenza.
Per modificare la data di scadenza in 12/31/9999, usare il cmdlet Update-AzKeyVaultKey .
Update-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")
Attenzione
Non impostare le date di scadenza per le chiavi di crittografia usate con la chiave del cliente.
Eseguire il backup della chiave Azure Key Vault
Dopo aver creato o modificato una chiave, assicurarsi di eseguirne immediatamente il backup. Archiviare copie di backup sia in posizioni online che offline per evitare la perdita di dati.
Per eseguire il backup di una chiave in Azure Key Vault, usare il cmdlet Backup-AzKeyVaultKey.
Importante
Se una chiave viene eliminata senza un backup, non può essere recuperata. Creare sempre un backup dopo qualsiasi modifica o creazione della chiave.
Ottenere l'URI per ogni chiave Azure Key Vault
Dopo aver configurato gli insiemi di credenziali delle chiavi e aver aggiunto le chiavi, eseguire il comando seguente per ottenere l'URI per ogni chiave. Questi URI sono necessari durante la creazione e l'assegnazione di indirizzi IP; quindi, assicurarsi di salvarli da qualche parte sicuro.
Eseguire il comando seguente in Azure PowerShell, una volta per ogni Key Vault:
(Get-AzKeyVaultKey -VaultName <vault name>).Id
Eseguire l'onboarding usando il servizio di onboarding della chiave del cliente
Il servizio di onboarding delle chiavi del cliente di Microsoft 365 consente di abilitare la chiave del cliente nel tenant. Questo servizio convalida automaticamente le risorse chiave cliente necessarie. Se si preferisce, è possibile convalidare le risorse separatamente prima di procedere con l'abilitazione.
Importante
Questo servizio non è attualmente disponibile per gli scenari seguenti:
- Tenant di cloud speciali: vedere Onboarding in Customer Key per ambienti cloud speciali.
- SharePoint e OneDrive: vedere Onboard to Customer Key per SharePoint e OneDrive.
L'account usato per l'onboarding deve avere le autorizzazioni seguenti:
- Autorizzazioni di registrazione dell'entità servizio: per registrare le entità servizio necessarie.
- Ruolo lettore: in ogni Azure Key Vault usato nel cmdlet di onboarding.
Installare il M365CustomerKeyOnboarding modulo PowerShell
Accedere alla sottoscrizione di Azure con Azure PowerShell. Per indicazioni, vedere Accedere con Azure PowerShell.
Installare la versione più recente del
M365CustomerKeyOnboardingmodulo dal PowerShell Gallery.
- Per verificare di usare la versione più recente, controllare la scheda Cronologia versioni nella parte inferiore della pagina del modulo.
- Copiare e incollare il comando install nella sessione ed eseguirlo.
- Se richiesto, selezionare Sì a Tutti per continuare.
Uso delle due diverse modalità di onboarding
Quando si usa il servizio di onboarding delle chiavi del cliente, sono disponibili due diverse modalità di onboarding: Convalida e Abilita. Ogni modalità ha uno scopo diverso nel processo di onboarding.
Quando si esegue il cmdlet (come illustrato in Creare una richiesta di onboarding), specificare la modalità usando il -OnboardingMode parametro .
Convalida
Usare la modalità per verificare che la Validate configurazione della risorsa Chiave cliente sia corretta. Questa modalità non apporta alcuna modifica all'ambiente.
Importante
È possibile eseguire questa modalità il numero di volte necessario, soprattutto dopo aver apportato modifiche alla configurazione.
Attivazione
Usare la Enable modalità quando si è pronti per l'onboarding del tenant nella chiave del cliente. Questa modalità abilita La chiave del cliente per il carico di lavoro specificato usando il -Scenario parametro .
Se si vuole abilitare Customer Key sia per più carichi di lavoro che per Exchange, eseguire il cmdlet due volte, una volta per ogni carico di lavoro.
Prima di eseguire in modalità Abilita, verificare che i risultati della convalida siano passati in ValidationResult.
Importante
Le risorse devono passare tutti i controlli in Validate modalità affinché il processo di onboarding abbia esito positivo in modalità abilita.
Creazione di una richiesta di onboarding
Il primo passaggio del processo di onboarding consiste nel creare una nuova richiesta. In PowerShell è possibile archiviare i risultati di un cmdlet in una variabile usando il $ simbolo seguito dal nome della variabile.
In questo esempio la richiesta di onboarding viene archiviata in una variabile denominata $request:
$request = New-CustomerKeyOnboardingRequest -Organization <tenantID> -Scenario <Scenario> -Subscription1 <subscriptionID1> -KeyIdentifier1 <KeyURI1> -Subscription2 <subscriptionID2> -KeyIdentifier2 <KeyURI2> -OnboardingMode <OnboardingMode>
| Parametro | Descrizione | Esempio |
|---|---|---|
-Organization |
ID tenant nel formato xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx. |
abcd1234-abcd-efgh-hijk-abcdef123456 |
-Scenario |
Carico di lavoro a cui si sta eseguendo l'onboarding. Opzioni: MDEP – Chiave cliente per più carichi di lavoro, EXO - Chiave cliente per Exchange |
MDEP o EXO |
-Subscription1 |
Azure ID sottoscrizione della prima sottoscrizione. | p12ld534-1234-5678-9876-g3def67j9k12 |
-KeyIdentifier1 |
URI della chiave della prima chiave AKV o HSM configurata per la chiave del cliente. | https://exampleVault1.vault.azure.net/keys/customerKey1 |
-Subscription2 |
Azure ID sottoscrizione della seconda sottoscrizione. | 21k9j76f-ed3g-6789-8765-43215dl21pbd |
-KeyIdentifier2 |
URI della chiave della seconda chiave AKV o HSM configurata per la chiave del cliente. | https://exampleVault2.vault.azure.net/keys/customerKey2 |
-OnboardingMode |
Azione di onboarding da eseguire. Opzioni: Validate convalida la configurazione senza apportare modifiche. Utile per la verifica prima dell'onboarding.
Enable : convalida e abilita la chiave del cliente nel tenant se la convalida viene superta. |
Validateo Enable |
Accedere con le credenziali di amministratore del tenant
Quando richiesto, viene visualizzata una finestra del browser. Accedere usando l'account amministratore del tenant con i privilegi necessari per completare l'onboarding.
Visualizzare i dettagli di convalida e abilitazione
Dopo aver eseguito correttamente l'accesso, tornare alla finestra di PowerShell. Eseguire la variabile usata durante la creazione della richiesta di onboarding per visualizzarne l'output:
$request
Si riceve un output che include ID, CreatedDate, ValidationResulte EnablementResult.
| Output | Descrizione |
|---|---|
ID |
ID associato alla richiesta di onboarding creata. |
CreatedDate |
Data di creazione della richiesta. |
ValidationResult |
Indicatore di convalida riuscita/non riuscita. |
EnablementResult |
Indicatore di abilitazione riuscita/non riuscita. |
Un tenant pronto per l'uso della chiave del cliente mostra l'esito positivo sia per che ValidationResultEnablementResult come illustrato nello screenshot seguente:
Se entrambi i valori mostrano Operazione riuscita, passare a Passaggi successivi.
Risoluzione dei problemi relativi a convalide non riuscite
Se la convalida non riesce durante l'onboarding, seguire questa procedura per analizzare la causa. Questo processo consente di identificare le risorse chiave del cliente non configurate correttamente.
- Elencare tutte le richieste di onboarding per il tenant per trovare l'oggetto
RequestIDdi quello che si vuole analizzare:
Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID>
- Archiviare la richiesta di onboarding specifica in una variabile:
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID>
- Visualizzare i dettagli di convalida non riusciti:
$request.FailedValidations
Ogni regola di convalida include i campi seguenti:
- ExpectedValue: configurazione della risorsa.
- ActualValue: cosa è stato rilevato nell'ambiente.
- Ambito: i primi cinque caratteri dell'ID sottoscrizione che consentono di identificare quale sottoscrizione (e il relativo Key Vault associato) presenta il problema.
- Dettagli: descrive la causa radice e offre indicazioni per risolvere il problema.
Nella tabella seguente vengono riepilogate le regole di convalida comuni e viene illustrato come risolvere gli errori:
| RuleName | Descrizione | Soluzione |
|---|---|---|
OrganizationHasRequiredServicePlan |
Verifica se l'organizzazione dispone delle licenze necessarie. | Vedere Verificare che il tenant disponga delle licenze necessarie. |
KeyNeverExpires |
Garantisce che la chiave non abbia una data di scadenza. | Vedere i passaggi di verifica della scadenza chiave nella configurazione specifica della configurazione |
KeyOperationsSupported |
Verifica se la chiave supporta le operazioni necessarie per il carico di lavoro. | Vedere i passaggi di assegnazione delle autorizzazioni nella configurazione specifica della configurazione |
RecoveryLevel |
Controlla se il livello di ripristino della chiave è Recoverable. |
Assicurarsi che sia la protezione per l'eliminazione temporanea che la protezione dall'eliminazione siano abilitate. Vedere Abilitazione dell'eliminazione temporanea e della protezione dall'eliminazione per Azure Key Vault o Creare un provisioning di gruppi di risorse e attivare un modulo di protezione hardware gestito per il modulo di protezione hardware gestito. |
SubscriptionInRequestOrganization |
Conferma che la sottoscrizione Azure appartiene all'organizzazione. | Verificare che la sottoscrizione sia stata creata all'interno del tenant specificato. |
SubscriptionsCountPerScenario |
Conferma che sono state fornite due sottoscrizioni. | Assicurarsi che la richiesta di onboarding includa due sottoscrizioni. |
SubscriptionUniquePerScenario |
Garantisce l'uso di due sottoscrizioni univoche per ogni scenario. | Verificare che entrambi gli ID sottoscrizione siano diversi. |
VaultExistsinSubscription |
Conferma che il modulo di protezione hardware gestito/AKV fa parte della sottoscrizione specificata. | Verificare se il Key Vault/HSM è stato creato nella sottoscrizione corretta. |
Controllo delle convalide passate
Per visualizzare le convalide riuscite durante il processo di onboarding, seguire questa procedura:
- Archiviare la richiesta di onboarding specifica nella variabile '$request'
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID>
- Eseguire il comando seguente per visualizzare tutte le convalide passate:
$request.PassedValidations
Questo comando restituisce un elenco di tutte le convalide passate correttamente per la richiesta di onboarding selezionata.
Eseguire l'onboarding in Customer Key usando il metodo legacy
Usare questo metodo solo se il servizio di onboarding della chiave del cliente non supporta lo scenario del tenant.
Dopo aver completato tutti i passaggi necessari per configurare gli insiemi di credenziali delle chiavi e le sottoscrizioni Azure, contattare supporto tecnico Microsoft e richiedere assistenza con l'onboarding della chiave del cliente.
Eseguire l'onboarding nella chiave del cliente per ambienti cloud speciali
Se il tenant si trova in GCC-H, DoD o M365 gestito da 21Vianet, completare prima tutti i passaggi necessari per la configurazione della chiave del cliente.
Per i tenant GCC-H e DoD, contattare supporto tecnico Microsoft e richiedere l'onboarding per i tenant per enti pubblici.
Per i clienti in Microsoft 365 gestiti da 21Vianet (Cina), configurare le risorse della chiave del cliente usando Azure gestito dal portale 21Vianet. Contattare quindi supporto tecnico Microsoft e richiedere l'onboarding per il tenant.
Eseguire l'onboarding nella chiave del cliente per SharePoint e OneDrive
Per eseguire l'onboarding in Customer Key per SharePoint e OneDrive, i Azure Key Vault devono soddisfare i prerequisiti seguenti:
Abilitare sia l'eliminazione temporanea che la protezione dall'eliminazione durante il processo di creazione iniziale dell'insieme di credenziali.
Mantenere un periodo di conservazione di 90 giorni.
Se tutti i prerequisiti sono soddisfatti, seguire questa procedura in Creare un DEP per l'uso con SharePoint e OneDrive.
Passaggi successivi
Dopo aver completato i passaggi di configurazione in questo articolo, si è pronti per creare e assegnare indirizzi DEP. Per istruzioni dettagliate, vedere Gestire la chiave del cliente.