ключ продукта микрософт офисе 365 что это означает
Как активировать Office 365: все способы активации
Рассмотрим способы активации пакета программ Microsoft «Office 365» на новом устройстве, новым ключом и возможные ошибки лицензии при вводе ключа.
Как активировать «Office 365»? Активация пакета офисных программ легка в исполнении, однако у неподготовленного пользователя может вызвать сложности. Для начала кратко выясним отличия «офиса 365» от классического пакета.
Microsoft Office 365 появился в 2011 году как альтернатива традиционным пакетам офисных программ от Microsoft. Отличие «Офиса 365» от Microsoft Office 2016 в том, что первый распространяется по ежемесячной или ежегодной подписке, тогда как второй покупается один раз и используется неограниченное количество времени. Также при покупке офиса по подписке, программы пакета (Word, Excel, Power Point) автоматически обновляются после релиза свежих версий. При покупке классического офисного пакета приобретенная версия останется навсегда, для установки новой придется снова купить обновленную версию.
Office 365, кроме набора офисных программ, включает в себя:
Office 365 предусматривает варианты подписки для домашнего использования (совместный доступ до 6 человек на разных устройствах), корпоративный, учебный и их вариации.
«Офис 365» может попасть на компьютер несколькими способами для разных целей. В зависимости от этого алгоритм активации будет отличаться. Способы активации Office 365 в зависимости от вариантов появления программы или ключа:
Ниже разберемся, как активировать Офис 365 разными способами и рассмотрим возможные ошибки при активации продукта.
Активация Office на новом устройстве с Windows 10
При покупке компьютера производители иногда устанавливают на него Windows и Microsoft Office 365. Встречается два варианта: предустановка без лицензии и с лицензией.
При запуске Office на новом компьютере, на экране появится окно с надписью «Приступим!» или «Давайте начнём», в котором будет предложено два варианта: купить офис или воспользоваться пробной версией. Также в окне будет окошко для ввода ключа. Если вы приобретали офис 365 ранее или имеете ключ активации от стандартного офисного пакета, введите его в соответствующую форму.
По умолчанию Офис 365 дает доступ к самой поздней версии офисных программ. Поэтому если в наличии лицензия устаревшей версии «офиса», придется переустановить пакет и только потом активировать.
Отметим, что производители не обязаны устанавливать на компьютер активированную версию «Office» – это зависит только от желания компании-поставщика техники. Офисные программы – это самостоятельные продукты компании Microsoft.
Однако бывает, когда на новых компьютерах уже есть годовая лицензия на Office 365. Тогда при включении «офиса» появится окно с надписью «Давайте активируем Office». В этом же окне расположена клавиша «Активировать», нажав на которую вы получите годовую лицензию. Имейте в виду, что срок действия предложения активации истекает спустя 180 суток после активации Windows.
В случае если у вас нет ключа для запуска, выберите один из предложенных установщиком вариантов и следуйте за указаниями мастера активации.
Активация Office с помощью мастера активации
«Мастер активации» появляется при запуске офисных продуктов с истекшей или нарушенной лицензией в случае, когда активацию программа не может завершить самостоятельно. Открыть мастер активации также возможно изнутри файла любого программного продукта «офиса» в графе «Файл» – «Сведения». Мастер активации предложит пошагово действовать по инструкции для активации продукта.
Активация Office, приобретенного по программе использования ПО
Некоторые компании заключают соглашение с Microsoft об использовании профессионального пакета программ на домашних компьютерах сотрудников. Это позволяет работникам компании всегда пользоваться одним ПО для повышения эффективности. Кроме того, в рамках соглашения «Офис» для домашних компьютеров, зарегистрированный на корпоративную электронную почту приобретается сотрудников со скидкой на протяжении всего времени его работы в компании.
Для активации «Офиса» по такой программе:
Активация нового ключа продукта Office
Ключи активации офисного пакета продаются в интернет-магазинах или у ритейлеров. На официальном сайте Microsoft купить или продлить продукт не получится, о чем свидетельствуют отзывы пользователей о несостоявшейся покупке. Если вы приобрели ключ, для активации следует пройти по ссылке setup.office.com и выполнить описанные в инструкции действия.
Возможные ошибки при активации
Распространенные ошибки при активации:
Вторая ошибка: «Продукты, обнаруженные в вашей учетной записи, нельзя использовать для активации» возникает, если версия установленного на ПК «офиса» не совпадает с версией «офиса», ключ от которой у вас имеется. Например, вы пытаетесь активировать установленный «офис» 2016 года ключом от пакета 2019 года. Установите новую версию пакета и попробуйте активировать еще раз.
Еще одна причина такой ошибки: приложение, которое вы пытаетесь активировать, не соответствует приобретенному пакету. Например, на компьютере установлен Publisher. Он не входит в пакет «для дома и бизнеса», поэтому его нельзя активировать соответствующим ключом.
В случае возникновения других ошибок воспользуйтесь официальной программой «Помощник для поддержки и восстановления», обратитесь к службе поддержки Microsoft или на сайт Центра справки Office.
Активация Office
Интерактивная поддержка в браузере может предоставлять цифровые решения для проблем с Office
Выберите вашу версию Office ниже и узнайте, как активировать Office.
Активация Microsoft 365 версии Office без подписки
При запуске неактивированного приложения Office вам будет предложено войти в Office. Необходимо войти с помощью учетной записи Microsoft или рабочей либо учебной учетной записи, которая использовалась для приобретения или подписки на Microsoft 365.
Примечание: Если Office был предустановлен на новом устройстве, ознакомьтесь со статьей Активация Office, предустановленного на новом устройстве с Windows.
Если появляется мастер активации, значит вам нужно активировать Office самостоятельно. Следуйте инструкциям мастера, чтобы активировать Office.
Активация Office, предустановленного на новом устройстве с Windows
При появлении этого экрана Office устанавливается как пробная версия Microsoft 365 для семьи
Вы увидите этот экран при входе в Office, который был предустановлен на новом устройстве, если у вас нет продукта Office, связанного с учетной записью.
Чтобы использовать Office на новом устройстве, вы можете активировать Office в рамках пробной подписки на Microsoft 365 для семьи сроком на 1 месяц. Можно также купить Office, добавить Office в существующую подписку на Microsoft 365 или ввести ключ продукта с соответствующей карточки. Если у вас есть более старая копия Office, можете установить ее вместо этой.
Активация покупки или предложения Office, предустановленного на новом устройстве с Windows
Если появляется этот экран, Office установлен в рамках годовой подписки или единовременной покупки
Цифровой ключ продукта передается на ваш компьютер, поэтому вам не нужно будет получать распечатанный ключ продукта. Вы активируете Office путем входа с использованием учетной записи Microsoft. Если мы обнаружим вашу учетную запись Microsoft, мы покажем ее на этом экране. После входа ваш продукт будет добавлен в вашу учетную запись Microsoft, чтобы вы могли позже переустановить его или управлять новой подпиской без ключа продукта.
Активация Office, приобретенного по программе использования ПО на домашних компьютерах (HUP)
Если вы приобрели Office профессиональный плюс, Visio профессиональный или Project профессиональный через своего работодателя по программе использования ПО Microsoft на домашних компьютерах (HUP), щелкните ссылку Я не хочу входить или создавать учетную запись (в нижней части экрана) и введите свой ключ продукта.
Активация новой версии или ключа продукта Microsoft 365
Если вы приобрели новую карточку с ключом продукта Office или получили ключ продукта при покупке Office через интернет-магазин, перейдите по адресу Office.com/setup или Microsoft365.com/setup и следуйте инструкциям на экране. Это однократный процесс, который добавляет ваш новый продукт в вашу учетную запись Microsoft. После активации ключа вы можете установить Office.
Устранение ошибок при активации
Если Office нельзя активировать, он в конце концов становится нелицензированным, и все возможности редактирования Office отключаются. Microsoft может стать нелицензированным по ряду причин. Например, если истекает срок действия подписки на Microsoft 365, для восстановления всех функций Office ее необходимо продлить.
Если Office был предварительно установлен на новом компьютере, для дальнейшего использования Office необходимо оформить пробную подписку на Microsoft 365 для семьи или купить Office.
Использование ключей продукта для Office
Учетная запись Майкрософт заменяет ключ продукта при активации и переустановке Office, а также при выполнении многих других действий.
Общие вопросы о ключах продуктов Office
Ознакомьтесь с разделами ниже, чтобы узнать, требуется ли вам ключ продукта Office и что с ним делать.
Вы приобрели Office
Вы используете Office
Просмотр ключа продукта
Справка по ключам продуктов Office
Я только что приобрел Office. Где мне ввести ключ продукта?
Если вы приобрели новый, ранее не используемый ключ продукта
Если у вас есть новый, ранее не используемый ключ продукта, перейдите по ссылке www.office.com/setup и следуйте инструкциям на экране.
Если вы приобрели Office в Microsoft Store
Если вы приобрели Office в магазине Microsoft Store, то можете ввести ключ продукта там.
Перейдите на сайт www.microsoftstore.com. В правом верхнем углу щелкните Войти и введите идентификатор пользователя и пароль, которые вы указывали при покупке Office.
Войдя, щелкните свое имя в правом верхнем углу и выберите пункт История заказов.
Найдите набор или приложение Office, а затем нажмите кнопку Установить Office, чтобы просмотреть ключ продукта (при этом Office не будет автоматически установлен).
Еще раз нажмите Установить Office в окне, где показан ключ продукта.
На странице Здравствуйте! Получите свой Office следуя инструкциям, свяжите ключ продукта со своей учетной записью Майкрософт и запустите установку.
Если вы приобрели Office по программе использования ПО Майкрософт на домашних компьютерах (HUP)
Если вы устанавливаете Office профессиональный плюс, Visio профессиональный или Project профессиональный, полученный через работодателя по программе использования ПО Майкрософт на домашних компьютерах (HUP), введите ключ продукта после установки.
Запустите любое приобретенное приложение Office, например Word, Visio или Project.
На экране Выполните вход для настройки Office выберите Я не хочу входить или создавать учетную запись (это ссылка мелким шрифтом в нижней части окна).
Для активации Office введите ключ продукта, полученный по программе использования ПО Майкрософт на домашних компьютерах.
На моем новом компьютере с Windows 10 установлен Office, но я не могу найти ключ продукта
Если отображается экран Итак, приступим с предложением попробовать, купить или активировать Office, значит приложение Office, установленное на вашем компьютере, является 1-месячной пробной версией Microsoft 365 для семьи. Если вы не заплатили за карточку с ключом продукта Office, вы не получите ключ продукта от производителя компьютера. Вы можете начать использовать пробную версию Microsoft 365 для семьи или купить Office.
Если вы приобрели Office вместе с новым компьютером с операционной системой Windows 10, ключ продукта передается на компьютер в цифровом виде при активации Windows 10. В этом случае ключ продукта на бумажном носителе не предоставляется. Вместо этого при запуске Word (или другого приложения Office) появится сообщение такого вида:
У меня есть карточка с ключом продукта, но на ней не указан ключ
Если вы приобрели карточку с ключом продукта Office, вам может потребоваться соскрести покрытие из серебристой фольги на ее обратной стороне, чтобы увидеть ключ продукта. Если вы при этом повредите ключ, см. раздел Ключ продукта потерян или поврежден.
Совет: На карточку с ключом продукта могут быть нанесены штрихкоды и другие группы букв и цифр, но ключ продукта всегда имеет такой формат: XXXXX-XXXXX-XXXXX-XXXXX-XXXXX.
Office запрашивает ключ продукта
Используйте учетную запись Microsoft, а не ключ продукта, чтобы установить и активировать Office и отдельно приобретенные приложения Office, такие как Project, Visio, Word, Excel и Outlook.
Войдите, чтобы установить Office
Добавьте указанный ниже сайт в закладки, чтобы всегда знать, откуда можно установить Office.
Вход в систему для активации Office
Если приложение Office предлагает пройти активацию, выполните вход с помощью учетной записи Майкрософт вместо ввода ключа продукта.
Используйте правильную учетную запись Майкрософт
Проверьте, что вход выполняется с помощью учетной записи Майкрософт, использовавшейся при покупке Office.
Примечание: Если вы приобрели новую, неиспользованную карточку с ключом продукта Microsoft 365 для продления или приобретения подписки на Microsoft 365, вы можете ввести этот ключ, если Office запросит его. Ключ продукта также можно ввести на сайте www.office.com/setup.
Существует несколько исключений, когда потребуется выполнить действие, отличное от входа в службу.
Если вы приобрели Office профессиональный плюс, Visio профессиональный или Project профессиональный через своего работодателя по программе использования ПО Майкрософт на домашних компьютерах, для установки Office на компьютере вам необходим ключ продукта. Сведения о том, как найти ключ продукта в Интернете, см. в разделе «Получение ключа продукта, приобретенного по программе использования ПО на домашних компьютерах (HUP)» этой статьи.
Если вы используете на работе Office профессиональный плюс с корпоративной лицензией, получите ключ продукта у своего администратора.
Если в приложении Office отображается желтый или красный баннер с сообщением СРОК ДЕЙСТВИЯ ПОДПИСКИ ИСТЕК, для дальнейшего использования Office необходимо продлить свою подписку на Microsoft 365. Соответствующие инструкции см. в статье Продление подписки на Microsoft 365 для дома.
Если вы приобрели Office профессиональный плюс через Интернет, см. раздел Можно ли приобрести ключ продукта? Если ключ не подошел, см. раздел Ключ продукта Office не подходит.
Нужен ли ключ продукта для переустановки Office?
Нет, не нужен. Просто перейдите по ссылке Учетная запись Майкрософт, страница «Службы и подписки» и выполните вход с помощью учетной записи Майкрософт, которую вы использовали для приобретения Office. Мы можем помочь, если вы забыли свою учетную запись Майкрософт или пароль к ней.
Примечание: Вам потребуется ключ продукта для переустановки Office профессиональный плюс, Visio профессиональный или Project профессиональный в рамках программы использования ПО Майкрософт на домашних компьютерах. Инструкции см. в статье Справка по установке Office с помощью программы Microsoft HUP.
Можно ли изменить ключ продукта?
Да, вы можете изменить ключ продукта для Office для дома и бизнеса, Office для дома и учебы, Office профессиональный и приложений Office приобретенных по отдельности. Чтобы узнать, как это сделать, читайте в статье Изменение ключа продукта Office
Вы также можете перейти на другую лицензию, если вы приобрели другую версию Office. Например, если у вас есть Office для дома и бизнеса и вы решили подписаться на Microsoft 365, вы можете переключиться с существующей установки Office для дома и бизнеса на Microsoft 365. Чтобы узнать как, см. статью Смена лицензии на Office.
Можно ли просмотреть ключ продукта в Office?
Нет, ключ продукта не отображается в Интернете (см. исключение ниже). Войдите с помощью учетной записи Майкрософт, которую вы использовали, чтобы купить и скачать эту версию Office.
Если вы приобрели более старую версию Office по программе Microsoft HUP
Если вы приобрели более старую версию Office профессиональный плюс, Visio профессиональный или Project профессиональный по программе использования ПО Майкрософт на домашних компьютерах (HUP), предлагаемой вашим работодателем, вы можете увидеть ключ продукта в Интернете на странице Сведения о заказе. Инструкции см. в разделе «Получение ключа продукта, приобретенного по программе использования ПО на домашних компьютерах (HUP)» этой статьи.
Можно ли посмотреть ключ в Microsoft Store?
Если вы приобрели Office для дома и учебы, Office для дома и бизнеса, Office профессиональный или отдельные приложения Office в Microsoft Store и еще не установили их, вы можете также просмотреть ключи продуктов в Microsoft Store и установить приложения оттуда.
Чтобы просмотреть ключ продукта в Microsoft Store:
Перейдите на сайт www.microsoftstore.com. В правом верхнем углу щелкните Войти и введите идентификатор пользователя и пароль, которые вы указывали при покупке Office.
Войдя, щелкните свое имя в правом верхнем углу и выберите пункт История заказов.
Найдите одноразовую покупку Office или отдельное приложение Office, а затем выберите Установить Office, чтобы просмотреть регистрационный ключ (при этом Office не будет автоматически установлен). Обратите внимание на то, что этот регистрационный ключ не будет совпадать с регистрационным ключом, указанном на странице учетной записи Microsoft, Службы и подписки. Это нормально.
Мои ключи продукта не совпадают
Это нормально. Регистрационный ключ Office, указанный на странице учетной записи Microsoft, Службы и подписки, всегда будет отличается от регистрационного ключа, указанного на карте с регистрационным ключом или в сообщении с подтверждением покупки. Это два разных типа ключей, несмотря на их одинаковый формат.
Можно ли приобрести ключ продукта?
Это зависит от того, что вы хотите сделать.
Чтобы купить новую копию Office или начать новую подписку на Microsoft 365, вы можете приобрести карточку ключа продукта Office у продавца. Этот ключ можно использовать на странице https://microsoft365.com/setup для настройки учетной записи Майкрософт и установки Office. Вы также можете купить цифровую копию и скачать ее непосредственно из Microsoft Store (www.microsoftstore.com). Вы получите код продукта вместе с единовременной покупкой Office или отдельных приложений Office, но для Microsoft 365 он не требуется.
Чтобы продлить подписку на Microsoft 365, вы можете приобрести карточку с ключом продукта Microsoft 365 у розничного распространителя и активировать ключ на сайте https://microsoft365.com/setup. Вы также можете продлить подписку на странице https://support.microsoft.com/help/4026354/office-renew-your-office-365-subscription, не используя ключ продукта.
Если Office требует ввести ключ продукта, а вы хотите приобрести ключ для его активации, рекомендуется удалить текущую версию Office, а затем приобрести и установить новую версию Office из Microsoft Store. Это обеспечит успешную активацию Office.
Щелкните кнопку ниже, чтобы сравнить цены и параметры, и приобрести нужную версию.
Если вы собираетесь купить ключ продукта для Office в другом месте, рекомендуем изучить советы по безопасности покупок, чтобы приобрести подлинное программное обеспечение Майкрософт. Если вы хотите купить ключ продукта через Интернет, обязательно прочитайте совет Остерегайтесь покупать ключи продуктов, которые продаются отдельно. Если ключ, который вы купили через Интернет, не подошел, см. раздел Ключ продукта Office не подходит.
Ключ продукта потерян или поврежден
Если вы повредили ключ продукта, но у вас есть убедительное доказательство, подтверждающее покупку, служба поддержки Microsoft, вероятно, сможет заменить ключ продукта или предложить другое решение. Обратитесь за помощью в службу поддержки Microsoft.
Если ключ продукта был потерян или украден, а вы хотите приобрести новую версию Office, просто щелкните кнопку, чтобы ознакомиться с ценами и доступными вариантами.
Если вы собираетесь купить Office в другом месте, рекомендуем изучить советы по безопасности покупок, чтобы приобрести подлинное программное обеспечение Майкрософт. Если вы хотите купить ключ продукта через Интернет, обязательно ознакомьтесь с советом Остерегайтесь покупать ключи продуктов, которые продаются отдельно.
Ключ продукта Office не подходит
Если ключ продукта Office не подошел или перестал работать, обратитесь к его продавцу и потребуйте вернуть вам деньги. Если вы приобрели ключ продукта отдельно от программного обеспечения, вероятно, он заблокирован, так как был украден или получен незаконно. К сожалению, существует множество недобросовестных продавцов, которые предлагают украденные, скопированные или полученные незаконно ключи продуктов Майкрософт. Иногда такие ключи продукта печатаются на поддельных наклейках или карточках со ссылками для скачивания программного обеспечения Майкрософт, а иногда они распространяются вместе с носителем, продажа которого запрещена, например носителем OEM или носителем, который использовался в рекламной акции или был предоставлен в рамках другой программы Майкрософт.
Обращение в службу поддержки по поводу ключа продукта
Если вы воспользовались приведенными в этой статье инструкциями, но вам по-прежнему необходима помощь, зайдите на нашу страницу службы поддержки Microsoft.
Настройка ключа клиента
С помощью ключа клиента вы управляете ключами шифрования организации, а затем Microsoft 365 использовать их для шифрования данных в центрах обработки данных Майкрософт. Другими словами, клиентский ключ позволяет клиентам добавлять принадлежащий им уровень шифрования с помощью ключей.
Настройка Azure перед использованием ключа клиента для Office 365. В этой статье описываются действия, которые необходимо предпринять для создания и настройки необходимых ресурсов Azure, а затем описываются действия по настройке ключа клиента в Office 365. После настройка Azure определите, какую политику и, следовательно, какие ключи назначить для шифрования данных по различным Microsoft 365 рабочих нагрузок в организации. Дополнительные сведения о ключе клиента или общем обзоре см. в сообщении Service encryption with Customer Key in Office 365.
Мы настоятельно рекомендуем вам следовать рекомендациям в этой статье. Они называются TIP и IMPORTANT. Ключ клиента позволяет управлять ключами корневого шифрования, область которых может быть не больше всей организации. Это означает, что ошибки, допущенные с помощью этих ключей, могут иметь широкий эффект и привести к перебоям в работе службы или к безвозвратной потере данных.
Перед настройками ключа клиента
Перед началом работы убедитесь, что у вас есть соответствующие подписки и лицензирование Azure для вашей организации. Используйте платные подписки Azure с Соглашение Enterprise или поставщика облачных служб. Платежи на основе кредитных карт не принимаются. Утверждение и настройка потребностей учетной записи для вычета. Подписки, которые вы получили через бесплатные, пробные, спонсорские, msDN-подписки, а также подписки, которые находятся под поддержкой Legacy, не имеют права.
Office 365 E5, Microsoft 365 E5, Соответствие требованиям Microsoft 365 E5 и Microsoft 365 E5 защиты & управления skUs предлагают ключ клиента. Office 365 Advanced Compliance SKU больше не доступен для получения новых лицензий. Существующие Office 365 Advanced Compliance лицензии будут по-прежнему поддерживаться.
Чтобы понять понятия и процедуры в этой статье, просмотрите документацию Azure Key Vault. Кроме того, ознакомьтесь с терминами, используемыми в Azure, например, клиентом Azure AD.
Если требуется больше поддержки за пределами документации, обратитесь за помощью к Microsoft Consulting Services (MCS), Premier Field Engineering (PFE) или партнеру Майкрософт. Чтобы предоставить отзывы о ключе клиента, включая документацию, отправьте свои идеи, предложения и перспективы в customerkeyfeedback@microsoft.com.
Обзор действий по настройкам ключа клиента
Чтобы настроить ключ клиента, выполните эти задачи в перечисленом порядке. В остальной части этой статьи данная статья содержит подробные инструкции для каждой задачи или ссылается на дополнительные сведения для каждого шага процесса.
В Azure и Microsoft FastTrack:
Большинство этих задач вы выполните, удаленно подключившись к Azure PowerShell. Для наилучших результатов используйте версию 4.4.0 или более поздний Azure PowerShell.
Этот процесс регистрации займет пять бизнес-дней.
Выполнение задач в хранилище ключей Azure и microsoft FastTrack для ключа клиента
Выполните эти задачи в Хранилище ключей Azure. Вам потребуется выполнить эти действия для всех dePs, которые вы используете с помощью ключа клиента.
Создание двух новых подписок Azure
Для ключа клиента требуется две подписки Azure. В качестве наилучшей практики Корпорация Майкрософт рекомендует создавать новые подписки Azure для использования с помощью ключа клиента. Ключи хранилища ключей Azure можно разрешить только для приложений в том же клиенте Azure Active Directory (Microsoft Azure Active Directory), необходимо создать новые подписки с помощью того же клиента Azure AD, используемого в организации, где будут назначены dePs. Например, использование учетной записи для работы или учебного заведения с глобальными привилегиями администратора в организации. Подробные действия см. в документе Sign up for Azure as an organization.
Ключ клиента требует двух ключей для каждой политики шифрования данных (DEP). Для этого необходимо создать две подписки Azure. В качестве наилучшей практики Корпорация Майкрософт рекомендует, чтобы отдельные члены организации настраивали один ключ в каждой подписке. Эти подписки Azure следует использовать только для администрирования ключей шифрования для Office 365. Это защищает организацию, если один из операторов случайно, намеренно или злонамеренно удаляет или иным образом неправильно передает ключи, за которые они несут ответственность.
Практические ограничения на количество подписок Azure, которые можно создать для вашей организации, не ограничиваются. Следуя этим лучшим практикам, свести к минимуму влияние человеческой ошибки, помогая управлять ресурсами, используемыми клиентской клавишей.
Отправьте запрос на активацию ключа клиента для Office 365
После создания двух новых подписок Azure необходимо отправить соответствующий запрос на предложение ключа клиента на портале Microsoft FastTrack. Выборы, которые вы делаете в форме предложения о авторизованном обозначении в вашей организации, имеют решающее значение и необходимы для завершения регистрации клиентского ключа. Сотрудники в выбранных ролях в организации обеспечивают подлинность любого запроса на отвод и уничтожение всех ключей, используемых с помощью политики шифрования данных «Ключ клиента». Этот шаг необходимо сделать один раз для каждого типа DEP ключа клиента, который вы собираетесь использовать для организации.
Команда FastTrack не предоставляет помощь с ключом клиента. Office 365 просто использует портал FastTrack, чтобы позволить вам отправить форму и помочь нам отслеживать соответствующие предложения для ключа клиента. После отправки запроса FastTrack связаться с соответствующей командой бортового ключа клиента.
Чтобы отправить предложение по активации ключа клиента, выполните следующие действия:
Используя учетную запись для работы или школы, которая имеет глобальные разрешения администратора в организации, вопишитесь на портал Microsoft FastTrack.
После входа в систему выберите соответствующий домен.
Для выбранного домена выберите службы запроса из верхней панели навигации и просмотрите список доступных предложений.
Выберите информационную карточку для предложения, которое применяется к вам:
Несколько Microsoft 365 рабочих нагрузок: Выберите справку по шифрованию запроса для Microsoft 365 предложения.
Exchange Online и Skype для бизнеса: Выберите справку по шифрованию запроса для Exchange предложения.
SharePoint, OneDrive и Teams файлы: Выберите справку по шифрованию запроса для SharePoint и OneDrive для бизнеса предложения.
После просмотра сведений о предложении выберите Продолжить шаг 2.
Заполните все применимые сведения и запрашиваемые сведения в форме предложения. Уделите особое внимание выборам, для которых сотрудникам вашей организации необходимо разрешить постоянное и необратимое уничтожение ключей шифрования и данных. После завершения формы выберите Отправить.
Регистрация подписки Azure для использования обязательного периода хранения
Временная или постоянная потеря ключей корневого шифрования может привести к нарушению работы службы или даже к катастрофическим последствиям, что может привести к потере данных. По этой причине ресурсы, используемые с ключом клиента, требуют сильной защиты. Все ресурсы Azure, используемые с помощью ключа клиента, предлагают механизмы защиты за пределами конфигурации по умолчанию. Вы можете отметить или зарегистрировать подписки Azure на обязательный период хранения. Обязательный период хранения не позволяет немедленно и безвозвратно отменить подписку на Azure. Действия, необходимые для регистрации подписки Azure на обязательный период хранения, требуют совместной работы с Microsoft 365 командой. Этот процесс займет пять бизнес-дней. Ранее обязательный период хранения иногда назывался «Не отменять».
Прежде чем связаться с Microsoft 365, необходимо сделать следующие действия для каждой подписки Azure, используемой с помощью клиентского ключа. Убедитесь, что перед началом Azure PowerShell установлен модуль Az.
Во входе Azure PowerShell. Инструкции см. в Azure PowerShell.
Запустите Register-AzProviderFeature для регистрации подписок, чтобы использовать обязательный период хранения. Выполните это действие для каждой подписки.
Свяжитесь с Корпорацией Майкрософт, чтобы завершить этот процесс.
Для включения ключа клиента для назначения deP отдельным почтовым Exchange Online почтовым ящикам свяжитесь с exock@microsoft.com.
Для включения ключа клиента для назначения dePs для шифрования контента в нескольких Microsoft 365 рабочих нагрузках (Exchange Online, Teams, MIP EDM) для всех пользователей-клиентов свяжитесь с m365-ck@service.microsoft.com.
Включите в электронную почту следующие сведения:
Тема: Ключ клиента для
Body. Включай подписные ИД, для которых необходимо завершить обязательный период хранения, и Get-AzProviderFeature для каждой подписки.
Соглашение об уровне обслуживания (SLA) для завершения этого процесса составляет пять бизнес-дней после уведомления (и проверки) Корпорации Майкрософт о том, что вы зарегистрировали подписки для использования обязательного периода хранения.
После получения уведомления от Корпорации Майкрософт о том, что регистрация завершена, проверьте состояние вашей регистрации, Get-AzProviderFeature команду следующим образом. В случае проверки Get-AzProviderFeature возвращает значение Registered for the Registration State property. Выполните этот шаг для каждой подписки.
Чтобы завершить процесс, выполните команду Register-AzResourceProvider. Выполните этот шаг для каждой подписки.
Создание хранилища ключей Azure премиум класса в каждой подписке
Действия по созданию хранилища ключей описаны в журнале Getting Started with Azure Key Vault,который поможет вам установить и запустить Azure PowerShell, подключиться к подписке Azure, создать группу ресурсов и создать хранилище ключей в этой группе ресурсов.
Используйте хранилища Premium SKU и защищенные HSM-ключи для производственных данных, а для тестирования и проверки используйте только ключевые хранилища и ключи standard SKU.
Для каждой Microsoft 365 службы, с помощью которой вы будете использовать ключ клиента, создайте хранилище ключей в каждой из двух созданных вами подписок Azure. Например, чтобы включить ключ клиента для использования dePs для сценариев Exchange Online, SharePoint Online и нескольких рабочих нагрузок, вы создайте три пары ключевых сводов.
Используйте конвенцию именования для ключевых сводов, которая отражает предназначенное использование deP, с которым вы будете связывать хранилища. Ниже см. раздел Рекомендации по рекомендациям по найму конвенции.
Создайте отдельный парный набор сводов для каждой политики шифрования данных. Для Exchange Online область политики шифрования данных выбирается вами при назначении политики почтовому ящику. В почтовом ящике может быть назначена только одна политика, и можно создать до 50 политик. Область политики SharePoint Online включает все данные в организации в географическом расположении или в geo. Область для политики с несколькими рабочими нагрузками включает все данные по поддерживаемой рабочей нагрузке для всех пользователей.
Создание ключевых сводов также требует создания групп ресурсов Azure, так как ключевые хранилища нуждаются в емкости хранения (хотя и небольшой), а ведение журнала Key Vault, если включено, также создает хранимые данные. В качестве наилучшей практики Корпорация Майкрософт рекомендует использовать отдельных администраторов для управления каждой группой ресурсов с администрированием, которое соответствует набору администраторов, которые будут управлять всеми связанными ресурсами клиентского ключа.
Чтобы обеспечить максимальную доступность, раз поместите ключевые хранилища в регионах, близких к службе Microsoft 365, например, если ваша Exchange Online организация находится в Северной Америке, поместите ключевые хранилища в Северной Америке. Если ваша Exchange Online организация находится в Европе, поместите ключевые хранилища в Европе.
Используйте общую префикс для ключевых сводов и включаем аббревиатура использования и области ключей и сводов ключей (например, для службы Contoso SharePoint, где хранилища будут располагаться в Северной Америке, возможной парой имен являются Contoso-CK-SP-NA-VaultA1 и Contoso-CK-SP-NA-VaultA2. Имена Vault — это уникальные строки в Azure, поэтому вам может потребоваться попробовать варианты желаемых имен, если нужные имена уже заявлены другими клиентами Azure. По данным на июль 2017 г. имена хранилища не могут быть изменены, поэтому лучше всего иметь письменный план установки и использовать второго человека для проверки правильности выполнения плана.
По возможности создайте хранилища в непарных регионах. В парных регионах Azure обеспечивается высокая доступность для доменов сбоя службы. Поэтому региональные пары можно использовать как область резервного копирования друг друга. Это означает, что ресурс Azure, размещенный в одном регионе, автоматически получает переносимость ошибок через спаривную область. По этой причине выбор регионов для двух сводов, используемых в политике шифрования данных, где регионы сопряжены, означает, что используется только два региона доступности. В большинстве географических регионов только два региона, поэтому выбрать непарные регионы пока невозможно. По возможности выберите два непарных региона для двух сводов, используемых с политикой шифрования данных. Это дает в общей сложности четыре региона доступности. Дополнительные сведения см. в дополнительных сведениях о непрерывности бизнеса и аварийном восстановлении (BCDR): Azure Paired Regions для текущего списка региональных пар.
Назначение разрешений для каждого хранилища ключей
В зависимости от реализации необходимо определить три отдельных набора разрешений для каждого хранилища ключей. Например, необходимо определить один набор разрешений для каждого из следующих ниже.
Администраторы ключей хранилища, которые ежедневно руководствуют вашим хранилищем ключей для вашей организации. Эти задачи включают резервное копирование, создание, получения, импорт, список и восстановление.
Набор разрешений, присвоенных администраторам ключей хранилища, не включает разрешение на удаление ключей. Это является преднамеренной и важной практикой. Удаление ключей шифрования обычно не делается, так как это постоянно уничтожает данные. В качестве наилучшей практики не предоставлять это разрешение администраторам хранилища по умолчанию. Вместо этого зарезервировать это для ключевых участников хранилища и назначить его администратору только на краткосрочной основе после четкого понимания последствий.
Чтобы назначить эти разрешения пользователю в организации, впишитесь в подписку Azure с Azure PowerShell. Инструкции см. в Azure PowerShell.
Запустите Set-AzKeyVaultAccessPolicy, чтобы назначить необходимые разрешения.
Ключевые вкладчики хранилища, которые могут изменять разрешения в самом хранилище ключей Azure. Эти разрешения необходимо изменить по мере того, как сотрудники покидают команду или присоединяются к ней. В редких случаях, когда администраторам ключей хранилища на законных основаниях требуется разрешение на удаление или восстановление ключа, необходимо также изменить разрешения. Этот набор ключевых участников хранилища должен быть предоставлен роль Contributor в вашем хранилище ключей. Эту роль можно назначить с помощью Azure Resource Manager. Подробные действия см. в Role-Based Access Control для управления доступом к ресурсам подписки Azure. Администратор, создавший подписку, имеет этот доступ неявно, а также возможность назначать другим администраторам роль Автора.
Разрешения на Microsoft 365 для каждого хранилища ключей, которые вы используете для ключа клиента, необходимо предоставить wrapKey, unwrapKey и получить разрешения соответствующему Microsoft 365 директору службы.
Чтобы разрешить Microsoft 365 службы, запустите комлет Set-AzKeyVaultAccessPolicy с помощью следующего синтаксиса:
Пример: Настройка разрешений для Exchange Online и Skype для бизнеса:
Пример: Настройка разрешений для SharePoint, OneDrive для бизнеса и Teams файлов:
Убедитесь, что в хранилищах ключей включено мягкое удаление
При быстром восстановлении ключей вероятность отключения расширенной службы будет меньше из-за случайного или злонамеренного удаления ключей. Включить эту конфигурацию, именуемую soft Delete, прежде чем использовать ключи с ключом клиента. Включение soft Delete позволяет восстановить ключи или хранилища в течение 90 дней после удаления, не восстанавливая их из резервного копирования.
Чтобы включить soft Delete в хранилищах ключей, выполните следующие действия:
Вопишите в свою подписку Azure с помощью Windows PowerShell. Инструкции см. в Azure PowerShell.
Запустите кодлет Get-AzKeyVault. В этом примере имя хранилища — это имя хранилища ключей, для которого вы позволяете мягко удалять:
Подтвердите, что мягкое удаление настроено для хранилища ключей с помощью cmdlet Get-AzKeyVault. Если мягкое удаление настроено правильно для хранилища ключей, свойство Soft Delete Enabled возвращает значение True:
Добавление ключа в каждый хранилище ключей путем создания или импорта ключа
Существует два способа добавления ключей в хранилище ключей Azure; вы можете создать ключ непосредственно в Key Vault или импортировать ключ. Создание ключа непосредственно в key Vault менее сложно, но импорт ключа обеспечивает полный контроль над тем, как создается ключ. Используйте клавиши RSA. Хранилище ключей Azure не поддерживает упаковку и разверивание с помощью ключей эллиптической кривой.
Чтобы создать ключ непосредственно в хранилище ключей, выполните кодлет Add-AzKeyVaultKey следующим образом:
имя хранилища — это имя хранилища ключей, в котором необходимо создать ключ.
ключевое имя — это имя, которое необходимо дать новому ключу.
Клавиши имен, использующие аналогичную конвенцию именования, как описано выше, для ключевых сводов. Таким образом, в средствах, которые показывают только имя ключа, строка самоохвативна.
Если вы собираетесь защищать ключ с помощью HSM, убедитесь, что вы указываете HSM как значение параметра Destination, в противном случае укажите программное обеспечение.
Чтобы импортировать ключ непосредственно в хранилище ключей, необходимо иметь модуль безопасности nCipher nShield hardware.
Некоторые организации предпочитают этот подход, чтобы установить происхождение ключей, а затем этот метод также предоставляет следующие проверки:
Инструментарий, используемый для импорта, включает в себя проверку из nCipher, что ключ ключа Exchange (KEK), используемый для шифрования генерируемого ключа, не является экспортируемым и создается внутри подлинного HSM, который был изготовлен nCipher.
Набор инструментов включает проверку из nCipher, что мир безопасности Azure Key Vault также был создан на подлинном HSM, изготовленном nCipher. Это подтверждает, что Корпорация Майкрософт также использует подлинное оборудование nCipher.
Обратитесь к группе безопасности, чтобы определить, необходимы ли вышеуказанные проверки. Подробные действия по созданию локального ключа и его импорту в хранилище ключей см. в инструкции по созданию и передаче ключей, защищенных HSM для Хранилища ключей Azure. Используйте инструкции Azure для создания ключа в каждом хранилище ключей.
Проверьте уровень восстановления ключей
Microsoft 365, что подписка На хранилище ключей Azure установлена подписка «Не отменяйте», а клавиши, используемые клиентской клавишей, имеют возможность мягкого удаления. Вы можете подтвердить параметры подписки, посмотрев уровень восстановления на клавишах.
Чтобы проверить уровень восстановления ключа, в Azure PowerShell выполните Get-AzKeyVaultKey следующим образом:
Если свойство Уровня восстановления возвращает что-либо, кроме значения Recoverable+ProtectedSubscription, убедитесь, что подписка включена в список «Не отменяйте», и в каждом из ключевых сводов включено мягкое удаление.
Back up Azure Key Vault
Сразу после создания или изменения клавиши выполните резервное копирование и храните копии резервного копирования как в Интернете, так и в автономном режиме. Не подключайте автономные копии к какой-либо сети. Вместо этого храните их в автономном расположении, например в физическом безопасном или коммерческом хранилище. По крайней мере одна копия резервного копирования должна храниться в месте, доступном в случае возникновения аварии. Blobs резервного копирования являются единственным средством восстановления ключевого материала в случае, если ключ Key Vault будет окончательно уничтожен или иным образом неоперабельным. Ключи, внешние для хранилища ключей Azure и импортируемые в Хранилище ключей Azure, не могут быть резервными, так как метаданные, необходимые для использования ключа клиента, не существуют с внешним ключом. Только резервная копия, взятая из хранилища ключей Azure, может использоваться для восстановления операций с ключом клиента. Поэтому необходимо создать резервную копию хранилища ключей Azure после загрузки или создания ключа.
Чтобы создать резервную копию ключа Azure Key Vault, выполните кодлет Backup-AzKeyVaultKey следующим образом:
Файл вывода, выдающийся из этого комлета, шифруется и не может использоваться за пределами хранилища ключей Azure. Резервное копирование может быть восстановлено только в подписке Azure, из которой была взята резервная копия.
Для файла вывода выберите сочетание имени хранилища и имени ключа. Это сделает само описание имени файла. Это также гарантирует, что имена файлов резервного копирования не сталкиваются.
Проверка параметров конфигурации хранилища ключей Azure
Проверка перед использованием ключей в DEP необязательна, но рекомендуется. Если вы используете шаги для настройки ключей и сводов, помимо описанных в этой статье, проверьте состояние ресурсов Хранилища ключей Azure перед настройкой ключа клиента.
Чтобы убедиться, что у ваших ключей get wrapKey включена и unwrapKey включена операция:
В выходных данных см. соответствующую политику доступа и удостоверение Exchange Online (GUID) или идентификатор SharePoint Online (GUID). Все три из вышеуказанных разрешений должны быть показаны в статье Permissions to Keys.
Если конфигурация политики доступа неверна, выполните Set-AzKeyVaultAccessPolicy следующим образом:
Например, для Exchange Online и Skype для бизнеса:
Например, для SharePoint Online и OneDrive для бизнеса:
Чтобы убедиться, что срок действия ключей не установлен, выполните кодлет Get-AzKeyVaultKey следующим образом:
Ключ клиента не может использовать истекаемую клавишу. Операции с истекшим ключом сбой, и, возможно, приведет к отключению службы. Настоятельно рекомендуется, чтобы у ключей клиента не было срока действия. Дата истечения срока действия после набора не может быть удалена, но может быть изменена на другую дату. Если необходимо использовать ключ с набором сроков действия, измените значение срока действия на 12/31/9999. Ключи с датой истечения срока действия, задав другую дату 12/31/9999, не проходят проверку Microsoft 365 проверки.
Чтобы изменить срок действия, установленный для любого значения, кроме 12/31/9999, выполните кодлет Update-AzKeyVaultKey следующим образом:
Не устанавливайте сроки действия ключей шифрования, которые вы используете с помощью ключа клиента.
Получение URI для каждого ключа Azure Key Vault
После того как вы настроите хранилища ключей и добавите ключи, запустите следующую команду, чтобы получить URI для ключа в каждом хранилище ключей. Эти URL-адреса будут применяться при создании и назначении каждого deP позже, поэтому сохраните эти сведения в безопасном месте. Запустите эту команду один раз для каждого хранилища ключей.
В Azure PowerShell:
Дальнейшие действия
После завершения действий в этой статье вы будете готовы создать и назначить dePs. Инструкции см. в инструкции «Управление ключом клиента».