다음을 통해 공유

고객 키 설정

고객 키를 사용하면 organization 암호화 키를 제어하고 해당 키를 사용하여 Microsoft의 데이터 센터에서 미사용 데이터를 암호화하도록 Microsoft 365를 구성할 수 있습니다. 즉, 소유하고 관리하는 암호화 계층을 추가할 수 있습니다.

고객 키를 사용하기 전에 필요한 Azure 리소스를 설정해야 합니다. 이 문서에서는 해당 리소스를 만들고 구성한 다음 고객 키를 사용하도록 설정하는 단계를 안내합니다. Azure 리소스를 설정한 후 적용되는 정책을 선택하고, organization Microsoft 365 워크로드에서 데이터를 암호화할 키를 차례로 선택합니다.

일반적인 개요 및 자세한 내용은 고객 키 개요를 참조하세요.

중요

TIP, IMPORTANT 및 NOTE로 표시된 이 문서의 모범 사례를 따라야 합니다. 고객 키를 사용하면 전체 organization 영향을 줄 수 있는 루트 암호화 키를 제어할 수 있습니다. 이러한 키를 잘못 사용하면 서비스 중단 또는 영구적인 데이터 손실이 발생할 수 있습니다.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 평가판 허브에서 지금 시작합니다. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

중요

사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 전역 관리자 역할을 가진 사용자 수를 최소화하면 organization 대한 보안을 개선하는 데 도움이 됩니다. Microsoft Purview 역할 및 권한에 대해 자세히 알아봅니다.

고객 키를 설정하기 전에

시작하기 전에 organization 올바른 Azure 구독과 Microsoft 365, Office 365 및 Windows 365 라이선스가 있는지 확인합니다. 유료 Azure 구독을 사용해야 합니다. 무료, 평가판, 스폰서쉽, MSDN 또는 레거시 지원 프로그램을 통해 획득한 구독은 자격이 없습니다.

중요

Microsoft 365 고객 키를 제공하는 Microsoft 365 및 Office 365 라이선스는 다음과 같습니다.

  • Office 365 E5
  • Microsoft 365 E5
  • Microsoft 365 E5 Compliance
  • 거버넌스 SKU Microsoft 365 E5 Information Protection &
  • FLW용 Microsoft 365 보안 및 규정 준수

기존 Office 365 Advanced Compliance 라이선스는 여전히 지원됩니다.

이 문서의 개념과 절차를 더 잘 이해하려면 Azure Key Vault 설명서를 검토하세요. Microsoft Entra 테넌트 같은 주요 Azure 용어도 잘 알고 있어야 합니다.

설명서 이외의 도움이 필요한 경우 Microsoft 지원 문의하세요. 고객 키 또는 이 설명서에 대한 피드백 또는 제안을 공유하려면 Microsoft 365 커뮤니티를 방문하세요.

고객 키를 설정하는 단계 개요

고객 키를 설정하려면 다음 작업을 순서대로 완료합니다. 이 문서의 나머지 부분에는 각 작업에 대한 자세한 지침이 제공되거나 프로세스의 각 단계에 대한 자세한 정보로 연결됩니다.

Azure에서:

Azure PowerShell 사용하여 다음 필수 조건을 완료합니다. (v4.4.0 이상이 권장됨):

설정을 완료한 후 테넌트 사용:

고객 키용 Azure Key Vault 작업 완료

Azure Key Vault 다음 작업을 완료합니다. 여러 워크로드, Exchange 또는 SharePoint 및 OneDrive에 대한 고객 키와 같이 사용하려는 각 고객 키 워크로드에 대해 이 단계를 한 번만 수행해야 합니다.

두 개의 새 Azure 구독 만들기

고객 키에는 두 개의 Azure 구독이 필요합니다. 모범 사례로 Microsoft는 고객 키와 함께 사용하기 위해 특별히 새 Azure 구독을 만드는 것이 좋습니다.

Azure Key Vault 키는 동일한 Microsoft Entra 테넌트에서 애플리케이션에 대해서만 권한을 부여할 수 있습니다. DEP(데이터 암호화 정책)를 할당하려면 organization 사용하는 동일한 Microsoft Entra 테넌트에서 두 구독을 모두 만들어야 합니다. 예를 들어 organization 적절한 관리자 권한이 있는 회사 또는 학교 계정을 사용합니다. 단계별 지침은 organization Azure 등록을 참조하세요.

중요

고객 키에는 각 DEP에 대해 두 개의 키가 필요합니다. 이 요구 사항을 지원하려면 두 개의 별도 Azure 구독을 만들어야 합니다. 모범 사례로 organization 다른 멤버가 각 구독에서 하나의 키를 관리합니다. 이러한 구독은 Microsoft 365에 대한 암호화 키를 관리하는 데만 사용해야 합니다. 이 구성은 누군가가 실수로, 의도적으로 또는 악의적으로 제어하는 키를 삭제하거나 잘못 관리하는 경우 organization 보호하는 데 도움이 됩니다.

organization 만들 수 있는 Azure 구독 수에는 실질적인 제한이 없습니다. 이러한 모범 사례를 따르면 사용자 오류의 위험을 줄이고 고객 키 리소스를 더 쉽게 관리할 수 있습니다.

필요한 서비스 주체 등록

고객 키를 사용하려면 테넌트가 필요한 서비스 주체를 등록해야 합니다. 다음 섹션에서는 서비스 주체가 테넌트에서 이미 등록되어 있는지 여부를 검사 방법을 보여 줍니다. 그렇지 않은 경우 'New-AzADServicePrincipal' cmdlet을 실행합니다.

고객 키 온보딩 애플리케이션에 대한 서비스 주체 등록

고객 키 온보딩 애플리케이션이 이미 올바른 권한으로 등록된 경우 검사 다음 명령을 실행합니다.

Get-AzADServicePrincipal -ServicePrincipalName 19f7f505-34aa-44a4-9dcc-6a768854d2ea

등록되지 않은 경우 다음을 실행합니다.

New-AzADServicePrincipal -ApplicationId 19f7f505-34aa-44a4-9dcc-6a768854d2ea

M365DataAtRestEncryption 애플리케이션에 대한 서비스 주체 등록

M365DataAtRestEncryption 애플리케이션이 이미 올바른 권한으로 등록된 경우 검사 다음 명령을 실행합니다.

Get-AzADServicePrincipal -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4

등록되지 않은 경우 다음을 실행합니다.

New-AzADServicePrincipal -ApplicationId c066d759-24ae-40e7-a56f-027002b5d3e4

Office 365 Exchange Online 애플리케이션에 대한 서비스 주체 등록

Office 365 Exchange Online 애플리케이션이 이미 올바른 권한으로 등록된 경우 검사 다음 명령을 실행합니다.

Get-AzADServicePrincipal -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

등록되지 않은 경우 다음을 실행합니다.

New-AzADServicePrincipal -ApplicationId 00000002-0000-0ff1-ce00-000000000000

각 구독에서 프리미엄 Azure Key Vault 만들기

키 자격 증명 모음을 만들기 전에 Azure Key Vault 시작 단계를 수행합니다. 다음 단계에서는 Azure PowerShell 설치 및 시작하고 구독에 연결하는 방법을 안내합니다. 다음으로 리소스 그룹 및 키 자격 증명 모음을 만듭니다.

키 자격 증명 모음을 만들 때 SKU(Standard 또는 프리미엄)를 선택해야 합니다. Standard SKU는 HSM(하드웨어 보안 모듈)이 없는 소프트웨어 보호 키를 사용하는 반면 프리미엄 SKU는 HSM을 사용하여 키를 보호할 수 있습니다. 고객 키는 두 SKU 중 하나를 사용하여 키 자격 증명 모음을 지원하지만 프리미엄 SKU를 사용하는 것이 좋습니다. 작업 비용은 둘 다에 대해 동일합니다. 따라서 유일한 가격 차이는 각 HSM 보호 키의 월별 비용에서 비롯됩니다. 가격 책정 세부 정보는 Key Vault 가격 책정을 참조하세요.

Azure Key Vault 대신 Azure 관리형 HSM을 사용하려는 경우 관리형 HSM을 사용하는 고객 키를 참조하세요.

중요

프로덕션 데이터에 프리미엄 SKU 키 자격 증명 모음 및 HSM 보호 키를 사용합니다. 테스트 및 유효성 검사에만 Standard SKU 키 자격 증명 모음 및 키를 사용합니다.

고객 키를 사용하는 각 Microsoft 365 워크로드에 대해 이전에 설정한 두 Azure 구독 각각에 키 자격 증명 모음을 만듭니다.

예를 들어 여러 워크로드, Exchange 및 SharePoint 시나리오에 고객 키를 사용하는 경우 총 6개에 대해 세 쌍의 키 자격 증명 모음이 필요합니다. 자격 증명 모음을 연결하는 DEP의 의도된 사용을 반영하는 명확한 명명 규칙을 사용합니다. 다음 표에서는 각 Azure Key Vault 각 워크로드에 매핑하는 방법을 보여줍니다.

Key Vault 이름 여러 Microsoft 365 워크로드에 대한 권한(M365DataAtRestEncryption) Exchange에 대한 권한 SharePoint 및 OneDrive에 대한 권한
ContosoM365AKV01 아니요 아니요
ContosoM365AKV02 아니요 아니요
ContosoEXOAKV01 아니요 아니요
ContosoEXOAKV02 아니요 아니요
ContosoSPOAKV01 아니요 아니요
ContosoSPOAKV02 아니요 아니요

자격 증명 모음 구성

키 자격 증명 모음을 만들려면 Azure 리소스 그룹을 설정해야 합니다. 키 자격 증명 모음에는 적은 양의 스토리지가 필요하며 로깅(활성화된 경우)도 데이터를 저장합니다. 모범 사례로 Microsoft는 각 리소스 그룹을 관리하기 위해 다른 관리자를 할당하는 것이 좋습니다. 이러한 역할은 연결된 고객 키 리소스 관리를 담당하는 관리자와 일치해야 합니다.

Exchange의 경우 DEP의 범위는 사서함 수준에서 지정됩니다. 각 사서함에는 하나의 정책만 할당할 수 있으며 최대 50개의 정책을 만들 수 있습니다. SharePoint 정책은 organization 지리적 위치(또는 지리적)의 모든 데이터를 포괄하는 반면 다중 워크로드 정책은 organization 모든 사용자에서 지원되는 워크로드를 다룹니다.

중요

여러 워크로드, Exchange 및 SharePoint 및 OneDrive에 고객 키를 사용하는 경우 각 워크로드에 대해 두 개의 Azure Key Vault를 만들어야 합니다. 즉, 총 6개의 키 자격 증명 모음이 필요합니다.

각 키 자격 증명 모음에 권한 할당

Azure Portal Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 각 키 자격 증명 모음에 필요한 권한을 할당합니다. 이 섹션에서는 RBAC를 사용하여 올바른 권한을 적용하는 방법을 설명합니다.

RBAC 메서드를 사용하여 권한 할당

Azure Key Vault (wrapKey, unwrapkeyget)를 할당하려면 적절한 Microsoft 365 앱에 Key Vault Crypto Service Encryption 사용자 역할을 할당합니다. Azure RBAC를 사용하여 Azure 키 자격 증명 모음에 액세스하려면 애플리케이션에 권한 부여를 참조하세요.

역할을 할당할 때 테넌트에서 다음 앱 이름을 검색합니다.

  • 여러 워크로드: M365DataAtRestEncryption

  • Exchange: Office 365 Exchange Online

  • SharePoint 및 OneDrive: Office 365 SharePoint Online

찾고 있는 앱이 표시되지 않으면 테넌트에서 앱을 등록해야 합니다.

역할 및 권한 할당에 대한 자세한 내용은 역할 기반 액세스 제어를 사용하여 Azure 구독 리소스에 대한 액세스 관리를 참조하세요.

사용자 역할 할당

고객 키를 사용하려면 Key Vault 관리자와 Key Vault 기여자가 암호화 키에 대한 액세스를 관리하고 보호해야 합니다.

  • Key Vault 관리자는백업, 만들기, 가져오기, 가져오기, 나열복원과 같은 일상적인 관리 작업을 처리합니다. 기본적으로 키를 삭제할 수 있는 권한이 없습니다. 이 디자인은 영구적인 데이터 손실을 방지하는 데 도움이 됩니다. 기여자 역할을 사용하여 일시적으로 및 주의해서 삭제 권한만 부여합니다.

  • Key Vault 기여자는 권한을 관리하고 키 자격 증명 모음에서 역할을 할당할 수 있습니다. 팀 구성원이 참가하거나 나갈 때 액세스를 제어하려면 이 역할을 사용합니다.

Azure RBAC를 사용하여 이러한 역할을 할당하는 방법에 대한 자세한 단계는 Key Vault 데이터 평면 작업에 대한 Azure 기본 제공 역할을 참조하세요.

키를 만들거나 가져와서 각 키 자격 증명 모음에 키 추가

Azure Key Vault 키를 추가하는 방법에는 두 가지가 있습니다. 자격 증명 모음에서 직접 키를 만들거나 기존 키를 가져올 수 있습니다. Azure에서 키를 만드는 것은 더 간단하지만 키를 가져오면 키가 생성되는 방식을 완전히 제어할 수 있습니다. RSA 키를 사용합니다. 고객 키는 RSA 키 길이를 최대 4,096비트까지 지원합니다. Azure Key Vault EC(타원 곡선) 키를 사용하여 래핑 및 래핑 해제를 지원하지 않습니다.

각 자격 증명 모음에 키를 추가하려면 Add-AzKeyVaultKey를 참조하세요.

온-프레미스에서 키를 생성한 다음 Azure로 가져오려는 경우 Azure Key Vault 대한 HSM 보호 키를 생성하고 전송하는 방법의 단계를 수행합니다. Azure 지침을 사용하여 각 키 자격 증명 모음에 키를 추가합니다.

키의 만료 날짜 확인

키에 만료 날짜가 없는지 검사 Get-AzKeyVaultKey cmdlet을 실행합니다.

Azure Key Vault:

Get-AzKeyVaultKey -VaultName <vault name>

고객 키는 만료된 키를 사용할 수 없습니다. 키가 만료되면 키를 사용하는 작업이 실패하여 서비스 중단이 발생할 수 있습니다. 고객 키와 함께 사용되는 키에는 만료 날짜가 없는 것이 좋습니다.

일단 설정되면 만료 날짜를 제거할 수 없지만 변경할 수 있습니다. 만료 날짜와 함께 키를 사용해야 하는 경우 키를 로 업데이트 12/31/9999 하고 레거시 온보딩 방법을 사용합니다. 다른 만료 값은 Microsoft 365 유효성 검사에 실패합니다.

참고

고객 키 온보딩 서비스는 만료 날짜가 없는 키만 허용합니다.

만료 날짜를 12/31/9999로 변경하려면 Update-AzKeyVaultKey cmdlet을 사용합니다.

Update-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

주의

고객 키와 함께 사용되는 암호화 키에 만료 날짜를 설정하지 마세요.

키 자격 증명 모음에서 일시 삭제가 사용하도록 설정되어 있는지 확인합니다.

키를 빠르게 복구할 수 있는 경우 우발적이거나 악의적인 삭제로 인한 확장된 서비스 중단이 발생할 가능성이 적습니다. 이 복구 기능을 일시 삭제라고 합니다. 백업에서 복원할 필요 없이 90일 이내에 삭제된 키 또는 자격 증명 모음을 복구할 수 있습니다.

일시 삭제는 새 Azure Key Vault에 대해 자동으로 사용하도록 설정됩니다. 설정되지 않은 기존 자격 증명 모음을 사용하는 경우 수동으로 사용하도록 설정할 수 있습니다.

키 자격 증명 모음에서 일시 삭제를 사용하도록 설정하려면 다음 단계를 수행합니다.

  1. Azure PowerShell 사용하여 Azure 구독에 로그인합니다. 자세한 내용은 Azure PowerShell 사용하여 로그인을 참조하세요.

  2. Get-AzKeyVault cmdlet을 실행합니다. 를 키 자격 증명 모음의 이름으로 바꿉니다 <vault name> .

    $v = Get-AzKeyVault -VaultName <vault name>
$r = Get-AzResource -ResourceId $v.ResourceId
$r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
Set-AzResource -ResourceId $r.ResourceId -Properties $r.Properties

  3. 다음을 실행하여 일시 삭제가 사용하도록 설정되어 있는지 확인합니다.

    Get-AzKeyVault -VaultName <vault name> | fl

일시 삭제 사용이 로 설정 True되고 일시 삭제 보존 기간(일)이 로 설정되어 있는지 확인합니다 90.

'일시 삭제 사용: True'를 보여 주는 PowerShell 출력

Azure Key Vault 키 백업

키를 만들거나 수정한 후 즉시 백업해야 합니다. 백업 복사본을 온라인 및 오프라인 위치에 저장하여 데이터 손실을 방지합니다.

Azure Key Vault 키를 백업하려면 Backup-AzKeyVaultKey cmdlet을 사용합니다.

중요

백업 없이 키를 삭제하면 복구할 수 없습니다. 키를 변경하거나 만든 후에는 항상 백업을 만듭니다.

각 Azure Key Vault 키에 대한 URI 가져오기

키 자격 증명 모음을 설정하고 키를 추가한 후 다음 명령을 실행하여 각 키에 대한 URI를 가져옵니다. DEP를 만들고 할당할 때 이러한 URI가 필요합니다. 따라서 안전한 곳에 저장해야 합니다.

각 키 자격 증명 모음에 대해 한 번 Azure PowerShell 다음 명령을 실행합니다.

(Get-AzKeyVaultKey -VaultName <vault name>).Id

고객 키 온보딩 서비스를 사용하여 온보딩

Microsoft 365 고객 키 온보딩 서비스를 사용하면 테넌트에서 고객 키를 사용하도록 설정할 수 있습니다. 이 서비스는 필요한 고객 키 리소스의 유효성을 자동으로 검사합니다. 원하는 경우 사용을 계속하기 전에 리소스의 유효성을 별도로 검사할 수 있습니다.

중요

이 서비스는 현재 다음 시나리오에서 사용할 수 없습니다.

온보딩에 사용되는 계정에는 다음 권한이 있어야 합니다 .

  1. 서비스 주체 등록 권한: 필요한 서비스 주체를 등록합니다.
  2. 읽기 권한자 역할: 온보딩 cmdlet에 사용되는 각 Azure Key Vault.

M365CustomerKeyOnboarding PowerShell 모듈 설치

  1. Azure PowerShell 사용하여 Azure 구독에 로그인합니다. 지침은 Azure PowerShell 사용하여 로그인을 참조하세요.

  2. PowerShell 갤러리최신 버전의M365CustomerKeyOnboarding 모듈을 설치합니다.

  • 최신 버전을 사용하고 있는지 확인하려면 모듈 페이지의 맨 아래에 있는 버전 기록 탭을 검사.
  • 설치 명령을 복사하여 세션에 붙여넣고 실행합니다.
  • 메시지가 표시되면 모두에 예 를 선택하여 계속합니다.

세 가지 다른 온보딩 모드 사용

고객 키 온보딩 서비스를 사용할 때 사용할 수 있는 세 가지 온보딩 모드는 유효성 검사, 준비사용입니다. 각 모드는 온보딩 프로세스에서 다른 용도로 사용됩니다.

cmdlet을 실행할 때( 온보딩 요청 만들기의 안내에 따라) 매개 변수를 사용하여 모드를 -OnboardingMode 지정합니다.

유효성 검사

모드를 Validate 사용하여 고객 키 리소스 구성이 올바른지 확인합니다. 이 모드는 환경을 변경하지 않습니다.

중요

특히 구성을 변경한 후 필요에 따라 이 모드를 여러 번 실행할 수 있습니다.

준비

모드는 Prepare필수 보존 기간 동안 cmdlet에 지정된 두 개의 Azure 구독을 등록합니다. 이 설정은 암호화 키가 실수로 또는 즉시 삭제되는 것을 방지하여 영구적인 데이터 손실 또는 서비스 중단을 초래할 수 있는 보호 수단입니다.

이 모드에서 cmdlet을 실행한 후 구독이 변경 사항을 반영하는 데 최대 1시간이 걸릴 수 있습니다. 완료되면 모드를 다시 사용하여 Validate 상태 검사.

중요

필수 보존 기간을 등록해야 합니다. cmdlet이 특별히 다시 수행하라는 메시지가 표시되지 않는 한 환경당 한 번만 실행 Prepare 하면 됩니다.

사용

테넌트가 Enable 고객 키에 온보딩할 준비가 되면 모드를 사용합니다. 이 모드를 사용하면 매개 변수를 사용하여 지정하는 워크로드에 고객 키를 사용할 수 -Scenario 있습니다.

여러 워크로드Exchange 모두에 고객 키를 사용하도록 설정하려면 각 워크로드에 대해 한 번 cmdlet을 두 번 실행합니다.

사용 모드에서 실행하기 전에 유효성 검사 결과에 아래에 ValidationResult전달됨이 표시되는지 확인합니다.

중요

리소스는 온보딩 프로세스가 사용 모드에서 Validate 성공하려면 모든 검사를 모드로 전달해야 합니다.

온보딩 요청 만들기

온보딩 프로세스의 첫 번째 단계는 새 요청을 만드는 것입니다. PowerShell에서 기호 뒤에 변수 이름을 사용하여 $ 변수에 cmdlet의 결과를 저장할 수 있습니다.

이 예제에서 온보딩 요청은 라는 $request변수에 저장됩니다.

$request = New-CustomerKeyOnboardingRequest -Organization <tenantID> -Scenario <Scenario> -Subscription1 <subscriptionID1> -VaultName1 <AKVVaultName1> -KeyName1 <KeyName1> -Subscription2 <subscriptionID2> -VaultName2 <AKVVaultName2> -KeyName2 <KeyName2> -OnboardingMode <OnboardingMode>
매개 변수 설명 예제
-Organization 형식 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx의 테넌트 ID입니다. abcd1234-abcd-efgh-hijk-abcdef123456
-Scenario 온보딩하는 워크로드입니다. 옵션:
  • MDEP – 여러 워크로드에 대한 고객 키
  • EXO – Exchange용 고객 키
 MDEP 또는 EXO
-Subscription1 필수 보존 기간에 등록된 첫 번째 구독의 Azure 구독 ID입니다. p12ld534-1234-5678-9876-g3def67j9k12
-VaultName1 고객 키에 대해 구성된 첫 번째 Azure Key Vault 이름입니다. EXOVault1
-KeyName1 첫 번째 Azure Key Vault 첫 번째 키의 이름입니다. EXOKey1
-Subscription2 필수 보존 기간에 등록된 두 번째 구독의 Azure 구독 ID입니다. 21k9j76f-ed3g-6789-8765-43215dl21pbd
-VaultName2 고객 키에 대해 구성된 두 번째 Azure Key Vault 이름입니다. EXOVault2
-KeyName2 두 번째 Azure Key Vault 두 번째 키의 이름입니다. EXOKey2
-OnboardingMode 수행할 온보딩 작업입니다. 옵션:
  • Prepare – 필수 보존 기간을 구독에 적용합니다. 적용하는 데 최대 1시간이 걸릴 수 있습니다.
  • Validate – 변경하지 않고 구성의 유효성을 검사합니다. 온보딩하기 전에 확인하는 데 유용합니다.
  • Enable – 유효성 검사가 통과되면 테넌트에서 고객 키의 유효성을 검사하고 사용하도록 설정합니다.
 Prepare, Validate, 또는 Enable

테넌트 관리자 자격 증명으로 로그인

메시지가 표시되면 브라우저 창이 열립니다. 온보딩을 완료하는 데 필요한 권한으로 테넌트 관리자 계정을 사용하여 로그인합니다.

권한 있는 계정으로 로그인하라는 메시지 표시

유효성 검사 및 사용 세부 정보 보기

성공적으로 로그인한 후 PowerShell 창으로 돌아갑니다. 온보딩 요청을 만들 때 사용한 변수를 실행하여 출력을 확인합니다.

$request

CKO 요청 출력

, , CreatedDateValidationResult및 를 포함하는 ID출력을 EnablementResult받습니다.

출력 설명
ID 생성된 온보딩 요청과 연결된 ID입니다.
CreatedDate 요청이 만들어진 날짜입니다.
ValidationResult 성공/실패 유효성 검사 표시기입니다.
EnablementResult 성공/실패를 나타내는 표시기입니다.

고객 키를 사용할 준비가 된 테넌트는 다음 스크린샷과 같이 및 EnablementResult 둘 다 ValidationResult 에 대한 성공을 보여 줍니다.

CKO 성공적인 출력

두 값이 모두 성공으로 표시되면 다음 단계로 진행합니다.

실패한 유효성 검사 세부 정보 문제 해결

온보딩하는 동안 유효성 검사가 실패하는 경우 다음 단계를 수행하여 원인을 조사합니다. 이 프로세스는 잘못 구성된 고객 키 리소스를 식별하는 데 도움이 됩니다.

  1. 테넌트에서 조사할 온보딩 요청을 모두 나열하여 조사할 요청을 찾 RequestID 습니다.
Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID>
  1. 특정 온보딩 요청을 변수에 저장합니다.
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID>
  1. 실패한 유효성 검사 세부 정보를 봅니다.
$request.FailedValidations

PowerShell에서 실패한 유효성 검사 출력의 예

각 유효성 검사 규칙에는 다음 필드가 포함됩니다.

  • ExpectedValue: 리소스 구성이 있어야 하는 사항입니다.
  • ActualValue: 사용자 환경에서 검색된 내용입니다.
  • 범위: 문제가 있는 구독(및 관련 키 자격 증명 모음)을 식별하는 데 도움이 되는 구독 ID의 처음 5자입니다.
  • 세부 정보: 근본 원인을 설명하고 문제를 resolve 지침을 제공합니다.

다음 표에는 일반적인 유효성 검사 규칙과 오류를 resolve 방법이 요약되어 있습니다.

RuleName 설명 해결 방법
MandatoryRetentionPeriodState MandatoryRetentionPeriod의 상태를 반환합니다. 모드를 실행 Prepare 했는지 확인합니다. 문제가 지속되면 잘못된 필수 보존 기간 상태를 참조하세요.
SubscriptionInRequestOrganization Azure 구독이 organization 속하는지 확인합니다. 지정된 테넌트 내에서 구독이 만들어졌는지 확인합니다.
VaultExistsinSubscription Azure Key Vault 지정된 구독의 일부인지 확인합니다. 키 자격 증명 모음이 올바른 구독에서 만들어졌는지 확인합니다.
SubscriptionUniquePerScenario 시나리오당 두 개의 고유한 구독을 사용하고 있는지 확인합니다. 두 구독 ID가 서로 다르다는 것을 두 번 검사.
SubscriptionsCountPerScenario 두 구독이 제공되었는지 확인합니다. 온보딩 요청에 두 개의 구독이 포함되어 있는지 확인합니다.
RecoveryLevel 키 자격 증명 모음 복구 수준이 인지 확인합니다 Recoverable+ProtectedSubscription. 잘못된 필수 보존 기간 상태를 참조하세요.
KeyOperationsSupported 키가 워크로드에 필요한 작업을 지원하는지 확인합니다. AKV 키에 적절한 권한 할당을 참조하세요.
KeyNeverExpires 키에 만료 날짜가 없는지 확인합니다. 키 만료 확인을 참조하세요.
KeyAccessPermissions 키에 올바른 액세스 권한이 있음을 확인합니다. AKV 키에 적절한 권한 할당을 참조하세요.
OrganizationHasRequiredServicePlan organization 필요한 라이선스가 있는지 확인합니다. 테넌트에게 필요한 라이선스가 있는지 확인 을 참조하세요.

잘못된 필수 보존 기간 상태

MandatoryRetentionPeriodState 모드에서 온보딩 cmdlet을 실행한 후 가 1시간 이상으로 설정되어 RecoverableRecoverable+Purgeable 있고 Azure Key Vault에서 Prepare 일시 삭제를 이미 사용하도록 설정한 경우 다음 단계를 수행하여 문제를 해결하고 resolve.

  1. 기능 등록 상태 확인
    Azure PowerShell 다음 명령을 실행하여 두 Azure 구독에 의 상태가 Registered표시되는지 확인합니다.
Set-AzContext -SubscriptionId <Subscription ID>
Get-AzProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources

  1. 필수 리소스 공급자 다시 등록
    및 리소스 공급자를 Microsoft.ResourcesMicrosoft.KeyVault 각 구독에 다시 등록합니다. Azure PowerShell, Azure CLI 또는 Azure Portal 통해 이 작업을 수행할 수 있습니다.

    • Azure PowerShell:

        Register-AzResourceProvider -ProviderNamespace Microsoft.Resources 
  Register-AzResourceProvider -ProviderNamespace Microsoft.Keyvault

    • Azure CLI:

        az provider register --namespace Microsoft.Resources 
  az provider register --namespace Microsoft.Keyvault

    • Azure Portal: 리소스 공급자 다시 등록

  2. 키 복구 수준 확인
    키에 올바른 복구 수준이 있는지 확인하려면 Azure PowerShell 다음 명령을 실행합니다.

    (Get-AzKeyVaultKey -VaultName <vault name> -Name <key name>).Attributes

    출력에서 RecoveryLevel 속성을 찾습니다. 로 설정해야 합니다. Recoverable+ProtectedSubscription

통과된 유효성 검사

온보딩 프로세스 중에 성공한 유효성 검사를 보려면 다음 단계를 수행합니다.

  1. 특정 온보딩 요청을 '$request' 변수에 저장
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID>
  1. 다음 명령을 실행하여 전달된 모든 유효성 검사를 표시합니다.
$request.PassedValidations

이 명령은 선택한 온보딩 요청에 대해 성공적으로 전달된 모든 유효성 검사 목록을 반환합니다.

CKO PassedValidation

레거시 방법을 사용하여 고객 키에 온보딩

고객 키 온보딩 서비스가 테넌트의 시나리오를 지원하지 않는 경우에만 이 방법을 사용합니다.

Azure Key Vault 및 구독을 설정하는 데 필요한 모든 단계를 완료한 후 Microsoft 지원 문의하고 고객 키 온보딩에 대한 지원을 요청합니다.

특수 클라우드용 고객 키에 온보딩

테넌트가 21Vianet에서 운영하는 GCC-H, DoD 또는 M365에 있는 경우 먼저 필요한 모든 고객 키 설정 단계를 완료합니다.

  • GCC-HDoD 테넌트는 Microsoft 지원 문의하고 정부 테넌트용 온보딩을 요청합니다.

  • 21Vianet(중국)에서 운영하는 M365 고객의 경우 Azure 중국 포털을 사용하여 고객 키 리소스를 구성합니다. 그런 다음 Microsoft 지원 문의하고 테넌트용 온보딩을 요청합니다.

SharePoint 및 OneDrive용 고객 키에 온보딩

SharePoint 및 OneDrive용 고객 키에 온보딩하려면 테넌트가 다음 필수 조건을 충족해야 합니다.

  1. 테넌트는 이미 여러 워크로드 또는 Exchange에 대한 고객 키에 온보딩되었습니다.
  2. 두 Azure 구독 모두 필수 보존 기간에 등록됩니다.

두 필수 구성 요소가 모두 충족되면 SharePoint 및 OneDrive에서 사용할 DEP 만들기의 단계를 수행합니다.

다음 단계

이 문서의 설정 단계를 완료하면 DEP를 만들고 할당할 준비가 된 것입니다. 자세한 지침은 고객 키 관리를 참조하세요.