Gerenciar Chave de Cliente

Depois de configurar a Chave do Cliente, crie e atribua uma ou mais políticas de criptografia de dados (DEPs). Depois de atribuir seus DEPs, gerencie suas chaves conforme descrito neste artigo. Saiba mais sobre a Chave do Cliente nos artigos relacionados.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Windows 365 suporte para a Chave de Cliente do Microsoft Purview está em versão prévia pública e está sujeita a alterações. Para obter informações, consulte Chave de Cliente do Microsoft Purview para Windows 365 PCs na Nuvem.

Create um DEP para uso com várias cargas de trabalho para todos os usuários locatários

Antes de começar, verifique se você concluiu as tarefas necessárias para configurar a Chave do Cliente. Para obter informações, consulte Configurar a Chave do Cliente. Para criar o DEP, você precisa das URIs Key Vault obtidas durante a instalação. Para obter informações, consulte Obter o URI para cada chave de Key Vault do Azure.

Para criar um DEP de várias cargas de trabalho, siga estas etapas:

  1. Em seu computador local, usando uma conta corporativa ou escolar que tenha permissões de administrador global ou administrador de conformidade em sua organização, conecte-se ao Exchange Online PowerShell.

  2. Para criar um DEP, use o cmdlet New-M365DataAtRestEncryptionPolicy.

    New-M365DataAtRestEncryptionPolicy -Name <PolicyName> -AzureKeyIDs <KeyVaultURI1, KeyVaultURI2> [-Description <String>]
    

    Onde:

    • "PolicyName" é o nome que você deseja usar para a política. Os nomes não podem conter espaços. Por exemplo, Contoso_Global.

    • "KeyVaultURI1" é o URI da primeira chave da política. Por exemplo, "https://contosoWestUSvault1.vault.azure.net/keys/Key_01".

    • "KeyVaultURI2" é o URI da segunda chave da política. Por exemplo, "https://contosoCentralUSvault1.vault.azure.net/keys/Key_02". Separe as duas URIs por uma vírgula e um espaço.

    • "Descrição da política" é uma descrição amigável da política que ajuda você a lembrar para que serve a política. Você pode incluir espaços na descrição. Por exemplo, "Política raiz para várias cargas de trabalho para todos os usuários no locatário".

    Exemplo:

    New-M365DataAtRestEncryptionPolicy -Name "Contoso_Global" -AzureKeyIDs "https://contosoWestUSvault1.vault.azure.net/keys/Key_01","https://contosoCentralUSvault1.vault.azure.net/keys/Key_02" -Description "Policy for multiple workloads for all users in the tenant."
    

Atribuir política de várias cargas de trabalho

Atribua o DEP usando o cmdlet Set-M365DataAtRestEncryptionPolicyAssignment. Depois de atribuir a política, o Microsoft 365 criptografa os dados com a chave identificada no DEP.

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName or ID>

Onde PolicyName é o nome da política, por exemplo, Contoso_Global.

Exemplo:

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy "Contoso_Global"

Para Windows 365, dentro de 3 a 4 horas após a conclusão desta etapa, o centro de administração Intune é atualizado. Conclua as etapas no centro de administração para criptografar os PCs de Nuvem existentes. Para obter informações, consulte Configurar chaves de cliente para seus PCs de nuvem Windows 365.

Create um DEP para uso com caixas de correio Exchange Online

Antes de começar, verifique se você concluiu as tarefas necessárias para configurar o Azure Key Vault. Para obter informações, consulte Configurar a Chave do Cliente. Conclua estas etapas no Exchange Online PowerShell.

Um DEP está associado a um conjunto de chaves armazenadas no Azure Key Vault. Você atribui um DEP a uma caixa de correio no Microsoft 365. O Microsoft 365 usa as chaves identificadas na política para criptografar a caixa de correio. Para criar o DEP, você precisa das URIs Key Vault obtidas durante a instalação. Para obter informações, consulte Obter o URI para cada chave de Key Vault do Azure.

Lembrar! Ao criar um DEP, você especifica duas chaves em dois Azure Key Vaults diferentes. Para evitar redundância geográfica, crie essas chaves em duas regiões separadas do Azure.

Para criar um DEP a ser usado com uma caixa de correio, siga estas etapas:

  1. No computador local, usando uma conta corporativa ou de estudante que tenha permissões de administrador global ou Exchange Online administrador em sua organização, conecte-se ao Exchange Online PowerShell.

  2. Para criar um DEP, use o cmdlet New-DataEncryptionPolicy digitando o comando a seguir.

    New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>
    

    Onde:

    • PolicyName é o nome que você deseja usar para a política. Os nomes não podem conter espaços. Por exemplo, USA_mailboxes.

    • A Descrição da Política é uma descrição amigável da política que ajuda você a lembrar para que serve a política. Você pode incluir espaços na descrição. Por exemplo, "Chave raiz para caixas de correio nos EUA e seus territórios".

    • KeyVaultURI1 é o URI da primeira chave da política. Por exemplo, https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.

    • KeyVaultURI2 é o URI da segunda chave da política. Por exemplo, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02. Separe as duas URIs por uma vírgula e um espaço.

    Exemplo:

    New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault02.vault.azure.net/keys/USA_key_01, https://contoso_CentralUSvault02.vault.azure.net/keys/USA_Key_02
    

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-DataEncryptionPolicy.

Atribuir um DEP a uma caixa de correio

Atribua o DEP a uma caixa de correio usando o cmdlet Set-Mailbox. Depois de atribuir a política, o Microsoft 365 poderá criptografar a caixa de correio com a chave identificada no DEP.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

Onde o MailboxIdParameter especifica uma caixa de correio do usuário. Para obter informações sobre o cmdlet Set-Mailbox, consulte Set-Mailbox.

Em ambientes híbridos, você pode atribuir um DEP aos dados da caixa de correio local sincronizados em seu locatário Exchange Online. Para atribuir um DEP a esses dados de caixa de correio sincronizados, use o cmdlet Set-MailUser. Para obter mais informações sobre dados de caixa de correio no ambiente híbrido, consulte caixas de correio locais usando o Outlook para iOS e Android com Autenticação Moderna híbrida.

Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>

Onde o MailUserIdParameter especifica um usuário de email (também conhecido como usuário habilitado para email). Para obter mais informações sobre o cmdlet Set-MailUser, consulte Set-MailUser.

Create um DEP para uso com o SharePoint e o OneDrive

Antes de começar, verifique se você concluiu as tarefas necessárias para configurar o Azure Key Vault. Para obter informações, consulte Configurar a Chave do Cliente.

Para configurar a Chave do Cliente para SharePoint e OneDrive, conclua estas etapas no SharePoint PowerShell.

Você associa um DEP a um conjunto de chaves armazenadas no Azure Key Vault. Você aplica um DEP a todos os seus dados em um local geográfico, também chamado de geográfico. Se você usar o recurso multi-geográfico do Microsoft 365, poderá criar um DEP por geográfico com a capacidade de usar chaves diferentes por geográfico. Se você não estiver usando vários geográficos, poderá criar um DEP em sua organização para uso com o SharePoint e o OneDrive. O Microsoft 365 usa as chaves identificadas no DEP para criptografar seus dados nessa geográfica. Para criar o DEP, você precisa das URIs Key Vault obtidas durante a instalação. Para obter informações, consulte Obter o URI para cada chave de Key Vault do Azure.

Lembrar! Ao criar um DEP, você especifica duas chaves em dois Azure Key Vaults diferentes. Para evitar redundância geográfica, crie essas chaves em duas regiões separadas do Azure.

Para criar um DEP, você precisa usar o SharePoint PowerShell.

  1. Em seu computador local, usando uma conta corporativa ou de estudante que tenha permissões de administrador global em sua organização, conecte-se ao SharePoint PowerShell.

  2. No Shell de Gerenciamento do Microsoft SharePoint, execute o cmdlet Register-SPODataEncryptionPolicy da seguinte maneira:

    Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>
    

    Exemplo:

    Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'stageRG3vault' -PrimaryKeyName 'SPKey3' -PrimaryKeyVersion 'f635a23bd4a44b9996ff6aadd88d42ba' -SecondaryKeyVaultName 'stageRG5vault' -SecondaryKeyName 'SPKey5' -SecondaryKeyVersion '2b3e8f1d754f438dacdec1f0945f251a'
    

    Quando você registra o DEP, a criptografia começa nos dados na geográfica. A criptografia pode levar algum tempo. Para obter mais informações sobre como usar esse parâmetro, consulte Register-SPODataEncryptionPolicy.

Exibir os DEPs que você criou para caixas de correio Exchange Online

Para exibir uma lista de todos os DEPs criados para caixas de correio, use o cmdlet Get-DataEncryptionPolicy PowerShell.

  1. Usando uma conta corporativa ou de estudante que tenha permissões de administrador global em sua organização, conecte-se ao Exchange Online PowerShell.

  2. Para retornar todos os DEPs em sua organização, execute o cmdlet Get-DataEncryptionPolicy sem parâmetros.

    Get-DataEncryptionPolicy
    

    Para obter mais informações sobre o cmdlet Get-DataEncryptionPolicy, consulte Get-DataEncryptionPolicy.

Atribuir um DEP antes de migrar uma caixa de correio para a nuvem

Ao atribuir o DEP, o Microsoft 365 criptografa o conteúdo da caixa de correio usando o DEP atribuído durante a migração. Esse processo é mais eficiente do que migrar a caixa de correio, atribuir o DEP e aguardar que a criptografia ocorra, o que pode levar horas ou possivelmente dias.

Para atribuir um DEP a uma caixa de correio antes de migrar para o Microsoft 365, execute o cmdlet Set-MailUser no Exchange Online PowerShell:

  1. Usando uma conta corporativa ou de estudante que tenha permissões de administrador global em sua organização, conecte-se ao Exchange Online PowerShell.

  2. Execute o cmdlet Set-MailUser.

    Set-MailUser -Identity <GeneralMailboxOrMailUserIdParameter> -DataEncryptionPolicy <DataEncryptionPolicyIdParameter>
    

    Onde GeneralMailboxOrMailUserIdParameter especifica uma caixa de correio e DataEncryptionPolicyIdParameter é a ID do DEP. Para obter mais informações sobre o cmdlet Set-MailUser, consulte Set-MailUser.

Determinar o DEP atribuído a uma caixa de correio

Para determinar o DEP atribuído a uma caixa de correio, use o cmdlet Get-MailboxStatistics. O cmdlet retorna um GUID (identificador exclusivo).

  1. Usando uma conta corporativa ou de estudante que tenha permissões de administrador global em sua organização, conecte-se ao Exchange Online PowerShell.

    Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID
    

    Onde GeneralMailboxOrMailUserIdParameter especifica uma caixa de correio e DataEncryptionPolicyID retorna o GUID do DEP. Para obter mais informações sobre o cmdlet Get-MailboxStatistics, consulte Get-MailboxStatistics.

  2. Execute o cmdlet Get-DataEncryptionPolicy para descobrir o nome amigável do DEP ao qual a caixa de correio é atribuída.

    Get-DataEncryptionPolicy <GUID>
    

    Onde GUID é o GUID retornado pelo cmdlet Get-MailboxStatistics na etapa anterior.

Verificar se a Chave do Cliente terminou a criptografia

Se você rolou uma Chave do Cliente, atribuiu um novo DEP ou migrou uma caixa de correio, use as etapas nesta seção para garantir que a criptografia seja concluída.

Verificar a criptografia concluída para caixas de correio Exchange Online

Criptografar uma caixa de correio pode levar algum tempo. Pela primeira vez, a caixa de correio também deve passar completamente de um banco de dados para outro antes que o serviço possa criptografar a caixa de correio.

Use o cmdlet Get-MailboxStatistics para determinar se uma caixa de correio está criptografada.

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

A propriedade IsEncrypted retornará um valor de true se a caixa de correio for criptografada e um valor de false se a caixa de correio não estiver criptografada. O tempo para concluir os movimentos da caixa de correio depende do número de caixas de correio às quais você atribui um DEP pela primeira vez e o tamanho das caixas de correio. Se as caixas de correio não forem criptografadas após uma semana a partir do momento em que você atribuiu o DEP, entre em contato com a Microsoft.

O cmdlet New-MoveRequest não está mais disponível para movimentações de caixas de correio locais. Para obter mais informações, confira este comunicado.

Verificar a criptografia concluída para o OneDrive amd do SharePoint

Verifique o status da criptografia executando o cmdlet Get-SPODataEncryptionPolicy da seguinte maneira:

   Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>

A saída deste cmdlet inclui:

  • O URI da chave primária.

  • O URI da chave secundária.

  • A criptografia status para a geográfica. Os estados possíveis incluem:

    • Unregistered: A criptografia da Chave do Cliente não é aplicada.

    • Registrar: A criptografia da Chave do Cliente é aplicada e seus arquivos estão em processo de criptografia. Se a chave para a geográfica estiver se registrando, as informações sobre qual porcentagem de sites na geográfica estão concluídas serão mostradas para que você possa monitorar o progresso da criptografia.

    • Registrado: A criptografia da Chave do Cliente é aplicada e todos os arquivos em todos os sites são criptografados.

    • Rolando: Um rolo de chaves está em andamento. Se a chave para a geográfica estiver rolando, informações sobre qual porcentagem de sites são concluídos, a operação de rolagem de chaves será mostrada para que você possa monitorar o progresso.

  • A saída inclui o percentual de sites integrados.

Obter detalhes sobre DEPs que você usa com várias cargas de trabalho

Para obter detalhes sobre todos os DEPs que você criou para usar com várias cargas de trabalho, conclua estas etapas:

  1. Em seu computador local, usando uma conta corporativa ou escolar que tenha permissões de administrador global ou administrador de conformidade em sua organização, conecte-se ao Exchange Online PowerShell.

    • Para retornar a lista de todos os DEPs de várias cargas de trabalho na organização, execute este comando.

      Get-M365DataAtRestEncryptionPolicy
      
    • Para retornar detalhes sobre um DEP específico, execute este comando. Este exemplo retorna informações detalhadas para o DEP chamado "Contoso_Global"

      Get-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global"
      

Obter informações de atribuição de DEP de várias cargas de trabalho

Para descobrir qual DEP está atribuído atualmente ao seu locatário, siga estas etapas.

  1. Em seu computador local, usando uma conta corporativa ou escolar que tenha permissões de administrador global ou administrador de conformidade em sua organização, conecte-se ao Exchange Online PowerShell.

  2. Digite este comando.

    Get-M365DataAtRestEncryptionPolicyAssignment
    

Desabilitar um DEP de várias cargas de trabalho

Antes de desabilitar um DEP de várias cargas de trabalho, desatribua o DEP das cargas de trabalho em seu locatário. Para desabilitar um DEP usado com várias cargas de trabalho, conclua estas etapas:

  1. Em seu computador local, usando uma conta corporativa ou escolar que tenha permissões de administrador global ou administrador de conformidade em sua organização, conecte-se ao Exchange Online PowerShell.

  2. Execute o cmdlet Set-M365DataAtRestEncryptionPolicy.

    Set-M365DataAtRestEncryptionPolicy -[Identity] "PolicyName" -Enabled $false
    

Em que "PolicyName" é o nome ou a ID exclusiva da política. Por exemplo, Contoso_Global.

Exemplo:

Set-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global" -Enabled $false

Restaurar chaves de Key Vault do Azure

Antes de executar uma restauração, use os recursos de recuperação fornecidos pela exclusão suave. Todas as chaves usadas com a Chave do Cliente são necessárias para ter a exclusão suave habilitada. A exclusão suave atua como uma lixeira e permite a recuperação por até 90 dias sem a necessidade de restauração. A restauração só deve ser necessária em circunstâncias extremas ou incomuns, por exemplo, se a chave ou o cofre de chaves for perdido. Se você precisar restaurar uma chave para uso com a Chave do Cliente, em Azure PowerShell, execute o cmdlet Restore-AzureKeyVaultKey da seguinte maneira:

Restore-AzKeyVaultKey -VaultName <vault name> -InputFile <filename>

Por exemplo:

Restore-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Se o cofre de chaves já contiver uma chave com o mesmo nome, a operação de restauração falhará. Restore-AzKeyVaultKey restaura todas as versões principais e todos os metadados da chave, incluindo o nome da chave.

Gerenciar permissões do cofre de chaves

Vários cmdlets estão disponíveis que permitem que você exiba e, se necessário, remova as permissões do cofre de chaves. Talvez seja necessário remover permissões, por exemplo, quando um funcionário deixar a equipe. Para cada uma dessas tarefas, use Azure PowerShell. Para obter informações sobre Azure PowerShell, consulte Visão geral do Azure PowerShell.

Para exibir permissões do cofre de chaves, execute o cmdlet Get-AzKeyVault.

Get-AzKeyVault -VaultName <vault name>

Por exemplo:

Get-AzKeyVault -VaultName Contoso-O365EX-NA-VaultA1

Para remover as permissões de um administrador, execute o cmdlet Remove-AzKeyVaultAccessPolicy:

Remove-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user>

Por exemplo:

Remove-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -UserPrincipalName alice@contoso.com

Reverter da Chave do Cliente para chaves gerenciadas pela Microsoft

Se você precisar reverter para chaves gerenciadas pela Microsoft, você pode. Quando você reverte, seus dados são criptografados novamente usando criptografia padrão com suporte por cada carga de trabalho individual. Por exemplo, Exchange Online e Windows 365 PCs na Nuvem dão suporte à criptografia padrão usando chaves gerenciadas pela Microsoft.

Importante

Reverter não é o mesmo que uma limpeza de dados. Um expurgo de dados exclui permanentemente os dados da sua organização do Microsoft 365, a reversão não. Você não pode executar uma limpeza de dados para uma política de carga de trabalho múltipla.

Reverter a chave do cliente para várias cargas de trabalho

Se você decidir não usar mais a Chave do Cliente para atribuir DEPs de várias cargas de trabalho, registre um tíquete de suporte em Suporte da Microsoft e forneça os seguintes detalhes em sua solicitação:

  • Locatário FQDN
  • Contato do locatário para solicitação de reversão
  • Motivo para sair
  • Incluir o incidente #

Você ainda deve manter seus AKVs da Chave do Cliente e chaves de criptografia com permissões adequadas para que os dados sejam reembrulhados usando chaves gerenciadas pela Microsoft.

Reverter da Chave do Cliente para Exchange Online

Se você não quiser mais criptografar caixas de correio individuais usando DEPs de nível de caixa de correio, poderá desatribuir DEPs de nível de caixa de correio de todas as suas caixas de correio.

Para desatribuir DEPs da caixa de correio, use o cmdlet Set-Mailbox PowerShell.

  1. Usando uma conta corporativa ou de estudante que tenha permissões de administrador global em sua organização, conecte-se ao Exchange Online PowerShell.

  2. Execute o cmdlet Set-Mailbox.

    Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy $null
    

Executar esse cmdlet desatribui o DEP atualmente atribuído e criptografa novamente a caixa de correio usando o DEP associado a chaves gerenciadas pela Microsoft padrão. Não é possível desatribuir o DEP usado por chaves gerenciadas pela Microsoft. Se você não quiser usar chaves gerenciadas pela Microsoft, poderá atribuir outro DEP da Chave do Cliente à caixa de correio.

Reverter da Chave do Cliente para SharePoint e OneDrive

A reversão da Chave do Cliente para chaves gerenciadas da Microsoft não tem suporte para SharePoint e OneDrive.

Revogar suas chaves e iniciar o processo de caminho de limpeza de dados

Você controla a revogação de todas as chaves raiz, incluindo a chave de disponibilidade. A Chave do Cliente fornece o controle do aspecto de planejamento de saída dos requisitos regulatórios para você. Se você decidir revogar suas chaves para limpar seus dados e sair do serviço, o serviço excluirá a chave de disponibilidade assim que o processo de limpeza de dados for concluído. Essa funcionalidade tem suporte para DEPs da Chave do Cliente que são atribuídos a caixas de correio individuais.

O Microsoft 365 audita e valida o caminho de limpeza de dados. Para obter mais informações, consulte o Relatório SSAE 18 SOC 2 disponível no Portal de Confiança do Serviço. Além disso, a Microsoft recomenda os seguintes documentos:

Não há suporte para a eliminação do DEP de várias cargas de trabalho para a Chave do Cliente. O DEP de várias cargas de trabalho é usado para criptografar dados em várias cargas de trabalho em todos os usuários locatários. A eliminação desse DEP resultaria em dados de várias cargas de trabalho se tornando inacessíveis. Se você decidir sair completamente dos serviços do Microsoft 365, confira como excluir um locatário no Microsoft Entra ID.

Revogar as chaves do cliente e a chave de disponibilidade para Exchange Online

Quando você inicia o caminho de limpeza de dados para Exchange Online, você define uma solicitação permanente de limpeza de dados em um DEP. Isso exclui permanentemente os dados criptografados nas caixas de correio às quais esse DEP é atribuído.

Como você só pode executar o cmdlet do PowerShell em relação a um DEP por vez, considere reatribuir um único DEP para todas as caixas de correio antes de iniciar o caminho de limpeza de dados.

Aviso

Não use o caminho de limpeza de dados para excluir um subconjunto de suas caixas de correio. Esse processo destina-se apenas aos clientes que estão saindo do serviço.

Para iniciar o caminho de limpeza de dados, conclua estas etapas:

  1. Remova permissões de encapsulamento e desembrulhe as permissões para "O365 Exchange Online" dos Cofres de Chaves do Azure.

  2. Usando uma conta corporativa ou de estudante que tenha privilégios de administrador global em sua organização, conecte-se ao Exchange Online PowerShell.

  3. Para cada DEP que contém caixas de correio que você deseja excluir, execute o cmdlet Set-DataEncryptionPolicy da seguinte maneira.

    Set-DataEncryptionPolicy <Policy ID> -PermanentDataPurgeRequested -PermanentDataPurgeReason <Reason> -PermanentDataPurgeContact <ContactName>
    

    Se o comando falhar, certifique-se de remover as permissões de Exchange Online de ambas as chaves no Azure Key Vault conforme especificado anteriormente nesta tarefa. Depois de definir a opção 'PermanentDataPurgeRequested' usando o cmdlet Set-DataEncryptionPolicy, não há mais suporte para atribuir esse DEP às caixas de correio.

  4. Entre em contato com o suporte da Microsoft e solicite o eDocument do Data Purge.

    A sua solicitação, a Microsoft envia um documento legal para reconhecer e autorizar a exclusão de dados. A pessoa em sua organização que se inscreveu como aprovador na oferta fasttrack durante a integração precisa assinar este documento. Normalmente, essa pessoa é um executivo ou outra pessoa designada em sua empresa que está legalmente autorizada a assinar a documentação em nome de sua organização.

  5. Depois que seu representante assinar o documento legal, retorne-o à Microsoft (geralmente por meio de uma assinatura eDoc).

    Depois que a Microsoft recebe o documento legal, a Microsoft executa cmdlets para disparar a limpeza de dados, que primeiro exclui a política, marca as caixas de correio para exclusão permanente e exclui a chave de disponibilidade. Depois que o processo de limpeza de dados for concluído, os dados serão limpos, inacessíveis para Exchange Online e não serão recuperáveis.

Revogar as chaves do cliente e a chave de disponibilidade do SharePoint e do OneDrive

Não há suporte para a eliminação de DEPs do SharePoint e do OneDrive na Chave do Cliente. Se você decidir sair completamente dos serviços do Microsoft 365, poderá seguir o caminho da exclusão do locatário de acordo com o processo documentado. Confira como excluir um locatário no Microsoft Entra ID.

Migrando seus Cofres de Chaves de usar o Modelo de Política de Acesso Herdado para o uso do RBAC

Se você integrou a Chave do Cliente usando o método de política de Acesso Herdado, siga as instruções para migrar todos os cofres do Azure Key para usar o método RBAC. Para comparar as diferenças e ver por que a Microsoft recomenda o controle de acesso baseado em função do Azure, confira Controle de acesso baseado em função do Azure (Azure RBAC) vs. políticas de acesso (herdada).

Remover políticas de acesso existentes

Para remover as políticas de acesso existentes de seus Key Vaults, use o cmdlet "Remove-AzKeyVaultAccessPolicy".

  1. Para remover permissões, entre na assinatura do Azure com Azure PowerShell. Para obter instruções, consulte Entrar com Azure PowerShell.

  2. Execute o cmdlet Remove-AzKeyVaultAccessPolicy usando a seguinte sintaxe para remover a permissão para a Entidade de Serviço do Microsoft 365 :

    Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4
    
  3. Execute o cmdlet Remove-AzKeyVaultAccessPolicy usando a seguinte sintaxe para remover a permissão para Exchange Online Principal:

    Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000
    
  4. Execute o cmdlet Remove-AzKeyVaultAccessPolicy usando a seguinte sintaxe para remover a permissão para SharePoint e OneDrive para trabalho ou entidade de serviço da escola :

    Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000
    

Alterando o modelo de permissão de configuração do Access

Depois de remover as políticas de acesso do cofre existentes, navegue até o cofre de chaves no portal do Azure. Em cada cofre, acesse a guia "Configuração de acesso" no lado esquerdo, na lista suspensa "Configurações ".

Key Vault Home

Em "Modelo de Permissão" selecione "Controle de acesso baseado em função do Azure" e selecione "Aplicar" na parte inferior da tela.

O controle de acesso baseado em função do Azure se aplica

Atribuindo permissões RBAC

Por fim, para atribuir permissões RBAC aos cofres de chaves do Azure, consulte Atribuir permissões a cada Key Vault.