Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Achtung
Führen Sie ein Rollback für einen Verschlüsselungsschlüssel aus, der mit dem Kundenschlüssel verwendet wird, wenn dies für die Sicherheits- oder Konformitätsrichtlinien Ihres organization erforderlich ist.
Löschen oder deaktivieren Sie keine Schlüssel, einschließlich älterer Versionen, die SharePoint-Verschlüsselungsrichtlinien zugeordnet sind oder waren.
Zum Beispiel:
- SharePoint behält Sicherungsinhalte für die Wiederherstellung und Wiederherstellung bei, die möglicherweise auch auf älteren Schlüsseln basieren.
Voraussetzungen
Stellen Sie vor dem Rollen oder Drehen von Schlüsseln Folgendes sicher:
- Berechtigungen: Globaler Administrator oder entsprechende Exchange-Berechtigungen
-
Installierte PowerShell-Module:
- Azure PowerShell für Azure Key Vault Vorgänge
- Exchange Online PowerShell zum Ausführen der angegebenen Cmdlets
- Zugriff auf Azure Key Vault: Sie müssen über Berechtigungen zum Erstellen neuer Schlüsselversionen in Ihren Schlüsseltresoren verfügen.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Kurzübersicht: Befehle nach Workload
Verwenden Sie die folgende Tabelle, um schnell den Befehl zu finden, den Sie basierend auf Ihrer Workload und Ihrem Szenario benötigen.
| Arbeitslast | Szenario | Befehl |
|---|---|---|
| Multiworkload | Aktualisieren von DEP mit neuer Schlüsselversion | Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Refresh |
| Multiworkload | Ersetzen von Schlüsseln in DEP | Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Replace -AzureKeyIDs <KeyURI1>,<KeyURI2> |
| Exchange | Aktualisieren von DEP mit neuer Schlüsselversion | Set-DataEncryptionPolicy -Identity <Policy> -Refresh |
| Exchange | Ersetzen von Schlüsseln in DEP | Set-DataEncryptionPolicy -Identity <Policy> -Replace -AzureKeyIDs <KeyURI1>,<KeyURI2> |
| SharePoint/OneDrive | Rollen/Drehen eines Schlüssels | Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <Name> -KeyName <Name> -KeyVersion <Version> -KeyType <Primary \| Secondary> |
| SharePoint/OneDrive | Überprüfen des Rollstatus | Get-SPODataEncryptionPolicy <SPOAdminSiteUrl> |
| Azure Key Vault | Erstellen einer neuen Schlüsselversion | Add-AzKeyVaultKey -VaultName <VaultName> -Name <KeyName> -Destination HSM -KeyOps @('wrapKey','unwrapKey') |
Wählen Sie die Schlüsselrollmethode aus.
Es gibt zwei Möglichkeiten, kundenseitig verwaltete Stammschlüssel zu rollieren. Verwenden Sie diese Anleitung, um zu bestimmen, welche Methode für Ihr Szenario geeignet ist.
| Methode | Geeignet in folgender Situation | Folge |
|---|---|---|
| Vorhandenen Schlüssel aktualisieren (neue Version erstellen) | Routinemäßige Schlüsselrotation; Beibehalten desselben Schlüsselnamens | Erstellt eine neue Version des vorhandenen Schlüssels. Der DEP verweist auf denselben Schlüsselnamen, verwendet aber nach der Aktualisierung die neue Version. |
| Durch neuen Schlüssel ersetzen | Kompromittierter Schlüssel; Ändern des Schlüsseltresors; organisatorische Umstrukturierung | Erstellt einen völlig neuen Schlüssel mit einem neuen Namen. Der DEP wird aktualisiert, um auf die neuen Schlüssel-URIs zu verweisen. |
Informationen zum Rollen des Verfügbarkeitsschlüssels
Sie können den Verfügbarkeitsschlüssel nicht direkt ausführen. Sie können nur Rollenschlüssel verwenden, die Sie in Azure Key Vault verwalten.
Microsoft 365 rollt Verfügbarkeitsschlüssel automatisch nach einem internen Zeitplan ohne kundenorientierte SLA. Administratoren haben keinen direkten Zugriff auf den Schlüsselspeicher. Weitere Informationen finden Sie unter Grundlegendes zum Verfügbarkeitsschlüssel.
Wichtig
Für Exchange führt das Erstellen eines neuen DEP effektiv einen Rollup des Verfügbarkeitsschlüssels durch, da jede neue Datenverschlüsselungsrichtlinie (DATA Encryption Policy, DEP) einen eindeutigen Verfügbarkeitsschlüssel generiert.
Für SharePoint und OneDrive werden Verfügbarkeitsschlüssel auf Gesamtstrukturebene erstellt und für alle DEPs freigegeben. Diese Schlüssel werden nur nach dem internen Zeitplan von Microsoft verwendet, aber SharePoint, OneDrive und Teams führen den Mandantenzwingschlüssel (TIK) mit jedem neuen DEP ein, um dies zu verringern.
Rollen von kundenseitig verwalteten Stammschlüsseln
Methode 1: Aktualisieren eines vorhandenen Schlüssels (Erstellen einer neuen Version)
Verwenden Sie diese Methode, um eine neue Version eines vorhandenen Schlüssels zu erstellen. Dieser Ansatz wird für routinemäßige Schlüsselrotationen empfohlen.
Schritt 1: Erstellen einer neuen Schlüsselversion in Azure Key Vault
Um eine neue Version eines vorhandenen Schlüssels anzufordern, verwenden Sie das Add-AzKeyVaultKey Cmdlet mit demselben Schlüsselnamen, den Sie beim Erstellen des ursprünglichen Schlüssels verwendet haben.
Melden Sie sich mit Azure PowerShell bei Ihrem Azure-Abonnement an. Anweisungen finden Sie unter Anmelden mit Azure PowerShell.
Führen Sie das Cmdlet aus
Add-AzKeyVaultKey:Add-AzKeyVaultKey -VaultName <VaultName> -Name <KeyName> -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date)Beispiel:
Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")In diesem Beispiel ist bereits ein Schlüssel mit dem Namen Contoso-CK-EX-NA-VaultA1-Key001 im Tresor Contoso-CK-EX-NA-VaultA1 vorhanden. Das Cmdlet erstellt eine neue Version des Schlüssels. Frühere Versionen werden im Versionsverlauf des Schlüssels beibehalten.
Wiederholen Sie diesen Schritt in jedem Azure Key Vault, der Schlüssel enthält, die Sie rollieren möchten.
Schritt 2: Aktualisieren des DEP zur Verwendung der neuen Schlüsselversion
Nachdem Sie eine neue Schlüsselversion erstellt haben, aktualisieren Sie den DEP, um sie zu verwenden. Stellen Sie eine Verbindung mit Exchange Online PowerShell mit den entsprechenden Berechtigungen her, und führen Sie dann das entsprechende Cmdlet aus:
Für DEPs mit mehreren Workloads:
Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Refresh
Für Exchange-DEPs:
Set-DataEncryptionPolicy -Identity <Policy> -Refresh
Hinweis
Die DataEncryptionPolicyID -Eigenschaft bleibt beim Aktualisieren mit einer neuen Version desselben Schlüssels unverändert. Durch diese Aktion wird der Verfügbarkeitsschlüssel nicht rotiert.
Für SharePoint- und OneDrive-DEPs:
SharePoint unterstützt immer nur einen Schlüssel gleichzeitig. Warten Sie, bis der erste Vorgang abgeschlossen ist, bevor Sie einen zweiten Schlüssel rollen.
Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <Name> -KeyName <Name> -KeyVersion <Version> -KeyType <Primary | Secondary>
Verwenden Sie für verwaltete HSM-Schlüssel -KeyVaultURL anstelle von -KeyVaultName.
So überprüfen Sie den Fortschritt: Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>
Methode 2: Ersetzen von Schlüsseln durch neu generierte Schlüssel
Verwenden Sie diese Methode, um vorhandene Schlüssel vollständig durch neue Schlüssel zu ersetzen.
Wichtig
Lassen Sie alte Schlüssel aktiviert und zugänglich, bis der Austauschvorgang vollständig abgeschlossen ist.
Stellen Sie eine Verbindung mit Exchange Online PowerShell mit den entsprechenden Berechtigungen her, und führen Sie dann das entsprechende Cmdlet aus:
Für Exchange-DEPs:
Set-DataEncryptionPolicy -Identity <Policy> -Replace -AzureKeyIDs <KeyURI1>,<KeyURI2>
Für DEPs mit mehreren Workloads:
Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Replace -AzureKeyIDs <KeyURI1>,<KeyURI2>
Hinweis
Die Reihenfolge der Schlüssel-URIs spielt keine Rolle. Um nur einen Schlüssel zu ersetzen, müssen Sie weiterhin beide URIs angeben. Warten Sie 24 Stunden , bevor Sie alte Schlüssel deaktivieren, und dann weitere 24 bis 48 Stunden vor dem Löschen.
Überprüfen der schlüsselrollen-status
Verwenden Sie die folgenden Befehle, um die status Ihrer Schlüsselrollvorgänge zu überprüfen.
| Arbeitslast | Überprüfungsbefehl |
|---|---|
| SharePoint/OneDrive | Get-SPODataEncryptionPolicy <SPOAdminSiteUrl> |
| Exchange | Get-DataEncryptionPolicy -Identity <Policy> |
| Multiworkload | Get-M365DataAtRestEncryptionPolicy -Identity <Policy> |
Problembehandlung
| Problem | Mögliche Ursache | Lösung |
|---|---|---|
| Schlüsselrollfehler mit Berechtigungsfehler | Unzureichende Azure Key Vault-Berechtigungen | Überprüfen, ob Ihr Konto über berechtigungen für unwrapKey den Schlüsseltresor verfügt wrapKey |
| Fehler bei der DEP-Aktualisierung | Neue Schlüsselversion noch nicht weitergegeben | Warten Sie einige Minuten, und wiederholen Sie den Aktualisierungsbefehl. |
| SharePoint-Roll zeigt "In Bearbeitung" für längere Zeit an | Großer Mandant mit wichtigen Daten | SharePoint-Schlüsselrollen können bei großen Mandanten einige Zeit in Anspruch nehmen. Fortsetzen der Überwachung mit Get-SPODataEncryptionPolicy |
| Zugriff auf verschlüsselte Inhalte nach dem Schlüsselroll nicht möglich | Alter Schlüssel wurde zu früh deaktiviert | Aktivieren Sie den alten Schlüssel erneut, und warten Sie 24 bis 48 Stunden, bevor Sie sie erneut deaktivieren. |