Kundenschlüssel verwalten

Nachdem Sie den Kundenschlüssel eingerichtet haben, erstellen Sie eine oder mehrere Datenverschlüsselungsrichtlinien (Data Encryption Policies, DEP), und weisen Sie sie zu. Nachdem Sie Ihre DEPs zugewiesen haben, können Sie Ihre Schlüssel wie in diesem Artikel beschrieben verwalten. Weitere Informationen zum Kundenschlüssel finden Sie in den verwandten Themen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Windows 365 Unterstützung für Den Microsoft Purview-Kundenschlüssel befindet sich in der öffentlichen Vorschau und kann geändert werden.

Erstellen eines DEP für die Verwendung mit mehreren Workloads für alle Mandantenbenutzer

Bevor Sie beginnen, stellen Sie sicher, dass Sie die aufgaben abgeschlossen haben, die zum Einrichten des Kundenschlüssels erforderlich sind. Weitere Informationen finden Sie unter Einrichten des Kundenschlüssels. Zum Erstellen des DEP benötigen Sie die Key Vault URIs, die Sie während des Setups erhalten haben. Weitere Informationen finden Sie unter Abrufen des URI für jeden Azure Key Vault-Schlüssel.

Führen Sie die folgenden Schritte aus, um einen DEP mit mehreren Workloads zu erstellen:

  1. Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Complianceadministratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.

  2. Verwenden Sie zum Erstellen eines DEP das Cmdlet New-M365DataAtRestEncryptionPolicy.

    New-M365DataAtRestEncryptionPolicy -Name <PolicyName> -AzureKeyIDs <KeyVaultURI1, KeyVaultURI2> [-Description <String>]
    

    Dabei gilt:

    • PolicyName ist der Name, den Sie für die Richtlinie verwenden möchten. Namen dürfen keine Leerzeichen enthalten. Beispiel: Contoso_Global.

    • KeyVaultURI1 ist der URI für den ersten Schlüssel in der Richtlinie. Beispiel: "https://contosoWestUSvault1.vault.azure.net/keys/Key_01".

    • KeyVaultURI2 ist der URI für den zweiten Schlüssel in der Richtlinie. Beispiel: "https://contosoCentralUSvault1.vault.azure.net/keys/Key_02". Trennen Sie die beiden URI mittels Komma und Leerzeichen.

    • Die Richtlinienbeschreibung ist eine benutzerfreundliche Beschreibung der Richtlinie, die Ihnen hilft, sich daran zu erinnern, wofür die Richtlinie vorgesehen ist. In der Beschreibung sind Leerzeichen erlaubt. Beispiel: "Stammrichtlinie für mehrere Workloads für alle Benutzer im Mandanten".

Beispiel:

New-M365DataAtRestEncryptionPolicy -Name "Contoso_Global" -AzureKeyIDs "https://contosoWestUSvault1.vault.azure.net/keys/Key_01","https://contosoCentralUSvault1.vault.azure.net/keys/Key_02" -Description "Policy for multiple workloads for all users in the tenant."

Zuweisen einer Richtlinie für mehrere Workloads

Weisen Sie den DEP mithilfe des Cmdlets Set-M365DataAtRestEncryptionPolicyAssignment zu. Nachdem Sie die Richtlinie zugewiesen haben, verschlüsselt Microsoft 365 die Daten mit dem im DEP identifizierten Schlüssel.

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName or ID>

Dabei ist PolicyName der Name der Richtlinie. Beispiel: Contoso_Global.

Beispiel:

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy "Contoso_Global"

Erstellen eines DEP für die Verwendung mit Exchange Online Postfächern

Bevor Sie beginnen, stellen Sie sicher, dass Sie die aufgaben abgeschlossen haben, die zum Einrichten von Azure Key Vault erforderlich sind. Weitere Informationen finden Sie unter Einrichten des Kundenschlüssels. Führen Sie diese Schritte in Exchange Online PowerShell aus.

Eine Datenverschlüsselungsrichtlinie (DEP) ist mit einer Reihe von im Azure Key Vault gespeicherten Schlüsseln verknüpft. Sie weisen einem Postfach in Microsoft 365 einen DEP zu. Microsoft 365 verwendet die in der Richtlinie identifizierten Schlüssel, um das Postfach zu verschlüsseln. Zum Erstellen des DEP benötigen Sie die Key Vault URIs, die Sie während des Setups erhalten haben. Weitere Informationen finden Sie unter Abrufen des URI für jeden Azure Key Vault-Schlüssel.

Nicht vergessen! Wenn Sie einen DEP erstellen, geben Sie zwei Schlüssel in zwei verschiedenen Azure Key Vaults an. Erstellen Sie diese Schlüssel in zwei separaten Azure-Regionen, um Georedundanz sicherzustellen.

Führen Sie die folgenden Schritte aus, um einen DEP für die Verwendung mit einem Postfach zu erstellen:

  1. Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Exchange Online Administratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.

  2. Um eine Datenverschlüsselungsrichtlinie zu erstellen, verwenden Sie das Cmdlet „New-DataEncryptionPolicy“, indem Sie den folgenden Befehl eingeben.

    New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>
    

    Dabei gilt:

    • PolicyName ist der Name, den Sie für die Richtlinie verwenden möchten. Namen dürfen keine Leerzeichen enthalten. Beispiel: USA_Postfächer.

    • Die Richtlinienbeschreibung ist eine benutzerfreundliche Beschreibung der Richtlinie, die Ihnen hilft, sich daran zu erinnern, wofür die Richtlinie vorgesehen ist. In der Beschreibung sind Leerzeichen erlaubt. Beispiel: "Stammschlüssel für Postfächer in den USA und ihren Territorien".

    • KeyVaultURI1 ist der URI für den ersten Schlüssel in der Richtlinie. Beispiel: https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.

    • KeyVaultURI2 ist der URI für den zweiten Schlüssel in der Richtlinie. Beispiel: https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02. Trennen Sie die beiden URI mittels Komma und Leerzeichen.

    Beispiel:

    New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault02.vault.azure.net/keys/USA_key_01, https://contoso_CentralUSvault02.vault.azure.net/keys/USA_Key_02
    

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-DataEncryptionPolicy.

Zuweisen einer Datenverschlüsselungsrichtlinie (DEP) zu einem Postfach

Zuweisen der Datenverschlüsselungsrichtlinie (DEP) zu einem Postfach mithilfe des Cmdlets „Set-Mailbox“. Nachdem Sie die Richtlinie zugewiesen haben, kann Microsoft 365 das Postfach mit dem im DEP identifizierten Schlüssel verschlüsseln.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

Wobei MailboxIdParameter ein Benutzerpostfach angibt. Weitere Informationen zum Cmdlet „Set-Mailbox“ finden Sie unter Set-Mailbox.

In Hybridumgebungen können Sie den lokalen Postfachdaten, die mit Ihrem Exchange Online Mandanten synchronisiert werden, einen DEP zuweisen. Um diesen synchronisierten Postfachdaten einen DEP zuzuweisen, verwenden Sie das Cmdlet Set-MailUser. Weitere Informationen zu Postfachdaten in der Hybridumgebung finden Sie unter Lokale Postfächer mit Outlook für iOS und Android mit moderner Hybridauthentifizierung.

Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>

Wobei MailUserIdParameter einen E-Mail-Benutzer angibt (auch als E-Mail-aktivierter Benutzer bezeichnet). Weitere Informationen zum Cmdlet Set-MailUser finden Sie unter Set-MailUser.

Erstellen eines DEP für die Verwendung mit SharePoint Online, OneDrive for Business und Teams-Dateien

Bevor Sie beginnen, stellen Sie sicher, dass Sie die aufgaben abgeschlossen haben, die zum Einrichten von Azure Key Vault erforderlich sind. Weitere Informationen finden Sie unter Einrichten des Kundenschlüssels.

Um Kundenschlüssel für SharePoint Online-, OneDrive for Business- und Teams-Dateien einzurichten, führen Sie diese Schritte in SharePoint Online PowerShell aus.

Sie ordnen einen DEP einer Gruppe von Schlüsseln zu, die in Azure Key Vault gespeichert sind. Sie wenden eine Datenverschlüsselungsrichtlinie (DEP) auf alle Ihre Daten an einem geografischen Standort an, der auch als Geo bezeichnet wird. Wenn Sie das Multi-Geo-Feature von Microsoft 365 verwenden, können Sie einen DEP pro geografischer Region mit der Möglichkeit erstellen, unterschiedliche Schlüssel pro geografischer Region zu verwenden. Wenn Sie nicht multi-geo verwenden, können Sie einen DEP in Ihrem organization für die Verwendung mit SharePoint Online, OneDrive for Business und Teams-Dateien erstellen. Microsoft 365 verwendet die im DEP identifizierten Schlüssel, um Ihre Daten in diesem geografischen Raum zu verschlüsseln. Zum Erstellen des DEP benötigen Sie die Key Vault URIs, die Sie während des Setups erhalten haben. Weitere Informationen finden Sie unter Abrufen des URI für jeden Azure Key Vault-Schlüssel.

Nicht vergessen! Wenn Sie einen DEP erstellen, geben Sie zwei Schlüssel in zwei verschiedenen Azure Key Vaults an. Erstellen Sie diese Schlüssel in zwei separaten Azure-Regionen, um Georedundanz sicherzustellen.

Zum Erstellen eines DEP müssen Sie SharePoint Online PowerShell verwenden.

  1. Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit SharePoint Online PowerShell her.

  2. Führen Sie in der Microsoft SharePoint Online Management-Shell das Cmdlet Register-SPODataEncryptionPolicy wie folgt durch:

    Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>
    

    Beispiel:

    Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'stageRG3vault' -PrimaryKeyName 'SPKey3' -PrimaryKeyVersion 'f635a23bd4a44b9996ff6aadd88d42ba' -SecondaryKeyVaultName 'stageRG5vault' -SecondaryKeyName 'SPKey5' -SecondaryKeyVersion '2b3e8f1d754f438dacdec1f0945f251a'
    

    Sobald Sie die Datenverschlüsselungsrichtlinie (DEP) registrieren, beginnt die Verschlüsselung der Daten im Geo. Die Verschlüsselung kann einige Zeit in Anspruch nehmen. Weitere Informationen zur Verwendung dieses Parameters finden Sie unter Register-SPODataEncryptionPolicy.

Anzeigen der DEPs, die Sie für Exchange Online Postfächer erstellt haben

Verwenden Sie das PowerShell-Cmdlet Get-DataEncryptionPolicy, um eine Liste aller DEPs anzuzeigen, die Sie für Postfächer erstellt haben.

  1. Stellen Sie mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.

  2. Um alle DEPs in Ihrem organization zurückzugeben, führen Sie das Cmdlet Get-DataEncryptionPolicy ohne Parameter aus.

    Get-DataEncryptionPolicy
    

    Weitere Informationen zum Cmdlet Get-DataEncryptionPolicy finden Sie unter Get-DataEncryptionPolicy.

Zuweisen eines DEP vor dem Migrieren eines Postfachs in die Cloud

Wenn Sie den DEP zuweisen, verschlüsselt Microsoft 365 den Inhalt des Postfachs mit dem zugewiesenen DEP während der Migration. Dieser Prozess ist effizienter als das Migrieren des Postfachs, das Zuweisen des DEP und das Warten auf die Verschlüsselung, was Stunden oder möglicherweise Tage dauern kann.

Um einem Postfach vor der Migration zu Microsoft 365 ein DEP zuzuweisen, führen Sie das Cmdlet Set-MailUser in Exchange Online PowerShell aus:

  1. Stellen Sie mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.

  2. Führen Sie das Cmdlet Set-MailUser aus.

    Set-MailUser -Identity <GeneralMailboxOrMailUserIdParameter> -DataEncryptionPolicy <DataEncryptionPolicyIdParameter>
    

    Wobei GeneralMailboxOrMailUserIdParameter ein Postfach angibt und DataEncryptionPolicyIdParameter die ID des DEP ist. Weitere Informationen zum Cmdlet Set-MailUser finden Sie unter Set-MailUser.

Ermitteln der Datenverschlüsselungsrichtlinie (DEP), die einem Postfach zugewiesen ist

Verwenden Sie das Cmdlet „Get-MailboxStatistics“, um zu ermitteln, welche Datenverschlüsselungsrichtlinie (DEP) einem Postfach zugewiesen ist. Das Cmdlet meldet einen eindeutigen Bezeichner (GUID) zurück.

  1. Stellen Sie mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.

    Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID
    

    Wobei GeneralMailboxOrMailUserIdParameter ein Postfach angibt und DataEncryptionPolicyID die GUID des DEP zurückgibt. Weitere Informationen zum Cmdlet „Get-MailboxStatistics“ finden Sie unter Get-MailboxStatistics.

  2. Führen Sie das Cmdlet Get-DataEncryptionPolicy aus, um den Anzeigenamen des DEP zu ermitteln, dem das Postfach zugewiesen ist.

    Get-DataEncryptionPolicy <GUID>
    

    Dabei ist der GUID derjenige GUID, der vom Cmdlet „Get-MailboxStatistics“ im vorherigen Schritt zurückgemeldet wurde.

Vergewissern Sie sich, dass die Verschlüsselung für den Kundenschlüssel abgeschlossen ist.

Unabhängig davon, ob Sie einen Kundenschlüssel rolliert, einen neuen DEP zugewiesen oder ein Postfach migriert haben, führen Sie die Schritte in diesem Abschnitt aus, um sicherzustellen, dass die Verschlüsselung abgeschlossen ist.

Überprüfen, ob die Verschlüsselung für Exchange Online Postfächer abgeschlossen ist

Das Verschlüsseln eines Postfachs kann einige Zeit in Anspruch nehmen. Bei der erstmaligen Verschlüsselung muss das Postfach auch vollständig von einer Datenbank in eine andere verschoben werden, bevor der Dienst das Postfach verschlüsseln kann.

Verwenden Sie das Cmdlet „Get-MailboxStatistics“, um festzustellen, ob ein Postfach verschlüsselt ist.

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

Die IsEncrypted-Eigenschaft gibt den Wert true zurück, wenn das Postfach verschlüsselt ist, und den Wert false , wenn das Postfach nicht verschlüsselt ist. Die Dauer der Postfachverschiebung hängt von der Anzahl der Postfächer ab, denen Sie zum ersten Mal einen DEP zuweisen, und der Größe der Postfächer. Wenn die Postfächer nach einer Woche nach der Zuweisung des DEP nicht verschlüsselt wurden, wenden Sie sich an Microsoft.

Das Cmdlet New-MoveRequest ist für lokale Postfachverschiebungen nicht mehr verfügbar. Weitere Informationen finden Sie in dieser Ankündigung.

Überprüfen, ob die Verschlüsselung für SharePoint Online-, OneDrive for Business- und Teams-Dateien abgeschlossen ist

Überprüfen Sie die status der Verschlüsselung, indem Sie das Cmdlet Get-SPODataEncryptionPolicy wie folgt ausführen:

   Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>

Die Ausgabe dieses Cmdlets umfasst Folgendes:

  • URI des Primärschlüssels.

  • URI des Sekundärschlüssels.

  • Verschlüsselungsstatus für den Geo. Mögliche weitere Angaben:

    • Unregistrierte: Die Kundenschlüsselverschlüsselung wurde noch nicht angewendet.

    • Registering: (Registrierung läuft) Die Customer Key-Verschlüsselung wurde angewendet wurde und Ihre Dateien werden gegenwärtig gerade verschlüsselt. Wenn der Schlüssel für den geografischen Standort registriert ist, werden Informationen dazu angezeigt, wie viele Standorte im geografischen Bereich abgeschlossen sind, sodass Sie den Verschlüsselungsfortschritt überwachen können.

    • Registered: (Registriert) Die Customer Key- Verschlüsselung wurde angewendet, und alle Dateien auf allen Websites wurden verschlüsselt.

    • Rolling: Das Erstellen eines sich fortlaufend ändernden, sogenannten Rolling-Codes für den Schlüssel ist in Gang. Wenn der Schlüssel für den geografischen Bereich rolliert, werden Informationen darüber angezeigt, in welchem Prozentsatz der Standorte der Schlüsselrollvorgang abgeschlossen wurde, sodass Sie den Fortschritt überwachen können.

  • Die Ausgabe enthält auch den Prozentsatz der websites, die integriert wurden.

Abrufen von Details zu DEPs, die Sie mit mehreren Workloads verwenden

Führen Sie die folgenden Schritte aus, um Details zu allen DEPs zu erhalten, die Sie für die Verwendung mit mehreren Workloads erstellt haben:

  1. Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Complianceadministratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.

    • Führen Sie diesen Befehl aus, um die Liste aller DEPs mit mehreren Workloads im organization zurückzugeben.

      Get-M365DataAtRestEncryptionPolicy
      
    • Führen Sie diesen Befehl aus, um Details zu einem bestimmten DEP zurückzugeben. In diesem Beispiel werden ausführliche Informationen für den DEP mit dem Namen "Contoso_Global" zurückgegeben.

      Get-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global"
      

Abrufen von DEP-Zuweisungsinformationen für mehrere Workloads

Führen Sie die folgenden Schritte aus, um herauszufinden, welcher DEP Ihrem Mandanten derzeit zugewiesen ist.

  1. Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Complianceadministratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.

  2. Geben Sie diesen Befehl ein.

    Get-M365DataAtRestEncryptionPolicyAssignment
    

Deaktivieren eines DEP mit mehreren Workloads

Bevor Sie eine DEP mit mehreren Workloads deaktivieren, heben Sie die Zuweisung des DEP für Workloads in Ihrem Mandanten auf. Führen Sie die folgenden Schritte aus, um einen DEP zu deaktivieren, der mit mehreren Workloads verwendet wird:

  1. Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Complianceadministratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.

  2. Führen Sie das Cmdlet Set-M365DataAtRestEncryptionPolicy aus.

    Set-M365DataAtRestEncryptionPolicy -[Identity] "PolicyName" -Enabled $false
    

Dabei ist PolicyName der Name oder die eindeutige ID der Richtlinie. Beispiel: Contoso_Global.

Beispiel:

Set-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global" -Enabled $false

Wiederherstellen von Azure Key Vault-Schlüsseln

Verwenden Sie vor dem Ausführen einer Wiederherstellung die von Soft Delete bereitgestellten Wiederherstellungsfunktionen. Für alle mit Customer Key verwendeten Schlüssel muss Soft Delete aktiviert sein. Soft Delete wirkt wie ein Recycling-Mülleimer und ermöglicht die Wiederherstellung von bis zu 90 Tagen, ohne dass eine Wiederherstellung erforderlich ist. Eine Wiederherstellung sollte nur unter extremen und außergewöhnlichen Umständen erforderlich sein, beispielsweise, wenn ein Schlüssel oder ein Schlüsseltresor verloren geht. Wenn Sie einen Schlüssel zur Verwendung mit Customer Key wiederherstellen müssen, führen Sie in Azure PowerShell das Cmdlet „Restore-AzureKeyVaultKey“ wie folgt aus:

Restore-AzKeyVaultKey -VaultName <vault name> -InputFile <filename>

Beispiel:

Restore-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Wenn der Schlüsseltresor bereits einen Schlüssel mit demselben Namen enthält, schlägt der Wiederherstellungsvorgang fehl. Restore-AzKeyVaultKey stellt alle Schlüsselversionen und alle Metadaten für den Schlüssel einschließlich des Schlüsselnamens wieder her.

Verwalten von Schlüsseltresor-Berechtigungen

Mehrere Cmdlets stehen zur Verfügung, mit denen Sie die Schlüsseltresor-Berechtigungen ansehen und, falls erforderlich, entfernen können. Möglicherweise müssen Sie Berechtigungen entfernen, beispielsweise, wenn ein Mitarbeiter das Team verlässt. Verwenden Sie für jede dieser Aufgaben Azure PowerShell. Informationen zu Azure PowerShell finden Sie unter Übersicht über Azure PowerShell.

Führen Sie das Cmdlet Get-AzKeyVault aus, um Key Vault-Berechtigungen anzuzeigen.

Get-AzKeyVault -VaultName <vault name>

Zum Beispiel:

Get-AzKeyVault -VaultName Contoso-O365EX-NA-VaultA1

Führen Sie das Cmdlet Remove-AzKeyVaultAccessPolicy aus, um die Berechtigungen eines Administrators zu entfernen:

Remove-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user>

Zum Beispiel:

Remove-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -UserPrincipalName alice@contoso.com

Rollback vom Kundenschlüssel zu von Microsoft verwalteten Schlüsseln

Wenn Sie rückgängig machen zu von Microsoft verwalteten Schlüsseln müssen, ist dies möglich. Wenn Sie ein Rollback ausführen, werden Ihre Daten mit der von jeder einzelnen Workload unterstützten Standardverschlüsselung erneut verschlüsselt. Beispielsweise unterstützen Exchange Online- und Windows 365 Cloud-PCs die Standardverschlüsselung mit von Microsoft verwalteten Schlüsseln.

Wichtig

Ein Rollback ist nicht dasselbe wie eine Datenlöschung. Eine Datenbereinigung löscht die Daten Ihrer organization dauerhaft aus Microsoft 365, rollback nicht. Sie können keine Datenlöschung für eine Richtlinie mit mehreren Workloads durchführen.

Rollback vom Kundenschlüssel für mehrere Workloads

Wenn Sie den Kundenschlüssel nicht mehr für die Zuweisung von DEPs mit mehreren Workloads verwenden möchten, erstellen Sie ein Supportticket über Ihr Microsoft 365-Verwaltungsportal, und geben Sie die folgenden Details in Ihrer Anfrage an:

  • Mandanten-FQDN
  • Mandantenkontakt für rollback-Anforderung
  • Grund für das Verlassen
  • Fügen Sie einen Hinweis in das Serviceticket ein, dass die Anforderung an das Microsoft 365 Customer Key-Team weitergeleitet werden soll, und fügen Sie den Incident ein. #

Sie müssen Ihre Kundenschlüssel-AKVs und Verschlüsselungsschlüssel weiterhin mit den richtigen Berechtigungen aufbewahren, damit Daten mit von Microsoft verwalteten Schlüsseln erneut angewendet werden können. Senden Sie eine E-Mail an m365-ck@service.microsoft.com , wenn Sie Fragen haben.

Zurücksetzen des Kundenschlüssels für Exchange Online

Wenn Sie einzelne Postfächer nicht mehr mithilfe von DEPs auf Postfachebene verschlüsseln möchten, können Sie die Zuweisung von DEPs auf Postfachebene für alle Postfächer aufheben.

Um die Zuweisung von Postfach-DEPs aufzuheben, verwenden Sie das PowerShell-Cmdlet Set-Mailbox.

  1. Stellen Sie mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.

  2. Führen Sie das Cmdlet Set-Mailbox aus.

    Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy $null
    

Durch Ausführen dieses Cmdlets wird die Zuweisung des derzeit zugewiesenen DEP aufheben und das Postfach mithilfe des DEP erneut verschlüsselt, das den von Microsoft verwalteten Standardschlüsseln zugeordnet ist. Sie können die Zuweisung des von Microsoft verwalteten Schlüsseln verwendeten DEP nicht aufheben. Wenn Sie keine von Microsoft verwalteten Schlüssel verwenden möchten, können Sie dem Postfach einen anderen Kundenschlüssel-DEP zuweisen.

Zurücksetzen des Kundenschlüssels für SharePoint Online und OneDrive for Business

Ein Rollback von Kundenschlüssel zu von Microsoft verwalteten Schlüsseln wird für SharePoint Online-, OneDrive for Business- und Teams-Dateien nicht unterstützt. Bitte kontaktieren Sie für spock@microsoft.com weitere Informationen.

Widerrufen Sie Ihre Schlüssel, und starten Sie den Datenlöschpfadprozess.

Sie steuern die Sperrung aller Stammschlüssel einschließlich des Verfügbarkeitsschlüssels. Customer Key bietet Ihnen die Kontrolle über den Aspekt der Exitplanung der gesetzlichen Anforderungen. Wenn Sie Ihre Schlüssel widerrufen möchten, um Ihre Daten zu bereinigen und den Dienst zu beenden, löscht der Dienst den Verfügbarkeitsschlüssel nach Abschluss des Datenlöschvorgangs. Diese Funktionalität wird für Kundenschlüssel-DEPs unterstützt, die einzelnen Postfächern zugewiesen sind.

Microsoft 365 überwacht und überprüft den Datenlöschpfad. Weitere Informationen finden Sie im SSAE 18 SOC 2-Bericht, der im Service Trust Portal verfügbar ist. Darüber hinaus empfiehlt Microsoft die folgenden Dokumente:

Das Bereinigen von DEP mit mehreren Workloads wird für Kundenschlüssel nicht unterstützt. Der DEP mit mehreren Workloads wird verwendet, um Daten über mehrere Workloads hinweg für alle Mandantenbenutzer zu verschlüsseln. Das Bereinigen dieses DEP würde dazu führen, dass auf Daten aus mehreren Workloads nicht mehr zugegriffen werden kann. Wenn Sie microsoft 365-Dienste vollständig beenden möchten, lesen Sie, wie Sie einen Mandanten in Microsoft Entra ID löschen.

Widerrufen Sie Ihre Kundenschlüssel und den Verfügbarkeitsschlüssel für Exchange Online

Wenn Sie den Datenbereinigungspfad für Exchange Online initiieren, legen Sie eine permanente Datenlöschanforderung für einen DEP fest. Dadurch werden verschlüsselte Daten in den Postfächern, denen dieser DEP zugewiesen ist, dauerhaft gelöscht.

Da Sie das PowerShell-Cmdlet jeweils nur für einen DEP ausführen können, sollten Sie erwägen, allen Postfächern einen einzelnen DEP neu zuzuweisen, bevor Sie den Datenbereinigungspfad initiieren.

Warnung

Verwenden Sie den Datenlöschpfad nicht, um eine Teilmenge Ihrer Postfächer zu löschen. Dieser Prozess ist nur für Kunden vorgesehen, die den Dienst beenden.

Führen Sie die folgenden Schritte aus, um den Datenlöschpfad zu initiieren:

  1. Entfernen Sie die Berechtigungen zum Umbrechen und Entpacken für "O365 Exchange Online" aus Azure Key Vaults.

  2. Stellen Sie mithilfe eines Geschäfts-, Schul- oder Unikontos mit globalen Administratorrechten in Ihrem organization eine Verbindung mit Exchange Online PowerShell her.

  3. Führen Sie für jedes DEP, das zu löschende Postfächer enthält, das Cmdlet Set-DataEncryptionPolicy wie folgt aus.

    Set-DataEncryptionPolicy <Policy ID> -PermanentDataPurgeRequested -PermanentDataPurgeReason <Reason> -PermanentDataPurgeContact <ContactName>
    

    Wenn der Befehl fehlschlägt, stellen Sie sicher, dass Sie die Exchange Online Berechtigungen aus beiden Schlüsseln in Azure Key Vault entfernt haben, wie weiter oben in dieser Aufgabe angegeben. Nachdem Sie den PermanentDataPurgeRequested-Switch mithilfe des Cmdlets Set-DataEncryptionPolicy festgelegt haben, wird das Zuweisen dieses DEP zu Postfächern nicht mehr unterstützt.

  4. Wenden Sie sich an den Microsoft-Support, und fordern Sie das Datenlöschungs-eDocument an.

    Auf Ihre Anfrage sendet Microsoft Ihnen ein rechtliches Dokument zur Bestätigung und Autorisierung der Datenlöschung. Die Person in Ihrem organization, die sich während des Onboardings als genehmigende Person beim FastTrack-Angebot registriert hat, muss dieses Dokument signieren. Normalerweise handelt es sich dabei um eine Führungskraft oder eine andere benannte Person in Ihrem Unternehmen, die gesetzlich berechtigt ist, die Unterlagen im Namen Ihrer organization zu unterzeichnen.

  5. Nachdem Ihr Vertreter das rechtliche Dokument unterzeichnet hat, geben Sie es an Microsoft zurück (in der Regel über eine eDoc-Signatur).

    Sobald Microsoft das rechtliche Dokument erhalten hat, führt Microsoft Cmdlets aus, um die Datenbereinigung auszulösen. Dadurch wird zuerst die Richtlinie gelöscht, die Postfächer zum endgültigen Löschen markiert und dann der Verfügbarkeitsschlüssel gelöscht. Nach Abschluss des Datenlöschvorgangs wurden die Daten gelöscht, sind für Exchange Online nicht mehr zugänglich und können nicht wiederhergestellt werden.

Widerrufen Ihrer Kundenschlüssel und des Verfügbarkeitsschlüssels für SharePoint Online-, OneDrive for Business- und Teams-Dateien

Das Bereinigen von SharePoint- und OneDrive für Geschäfts-, Schul- oder Uni- und Teams-Dateien wird in Customer Key nicht unterstützt. Wenn Sie microsoft 365-Dienste vollständig beenden möchten, können Sie den Pfad der Mandantenlöschung gemäß dem dokumentierten Prozess verfolgen. Erfahren Sie, wie Sie einen Mandanten in Microsoft Entra-ID löschen.