Freigeben über

Kundenschlüssel verwalten

Nach dem Einrichten des Kundenschlüssels besteht der nächste Schritt darin, eine oder mehrere Datenverschlüsselungsrichtlinien (Data Encryption Policies, DEPs) zu erstellen und zuzuweisen. Nach der Zuweisung können Sie Ihre Verschlüsselungsschlüssel und Richtlinien verwalten, wie in diesem Artikel beschrieben.

Microsoft Purview Customer Key unterstützt auch Windows 365 Cloud-PCs. Weitere Informationen finden Sie unter Microsoft Purview-Kundenschlüssel für Windows 365 Cloud-PCs.

Voraussetzungen

Stellen Sie vor der Verwaltung des Kundenschlüssels folgendes sicher:

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Kurzübersicht: Befehle nach Aufgabe

Verwenden Sie die folgenden Tabellen, um den benötigten Befehl schnell zu finden.

Erstellen und Zuweisen von DEPs

Aufgabe Arbeitslast Befehl
Erstellen eines DEP Multiworkload New-M365DataAtRestEncryptionPolicy -Name <Name> -AzureKeyIDs <KeyURI1>,<KeyURI2>
Erstellen eines DEP Exchange New-DataEncryptionPolicy -Name <Name> -AzureKeyIDs <KeyURI1>,<KeyURI2>
Erstellen eines DEP SharePoint/OneDrive Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <Name> -PrimaryKeyName <Name> -PrimaryKeyVersion <Version> -SecondaryKeyVaultName <Name> -SecondaryKeyName <Name> -SecondaryKeyVersion <Version>
Zuweisen eines DEP Multiworkload Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName>
Zuweisen eines DEP Exchange-Postfach Set-Mailbox -Identity <Mailbox> -DataEncryptionPolicy <PolicyName>
Zuweisen eines DEP Hybridpostfach Set-MailUser -Identity <MailUser> -DataEncryptionPolicy <PolicyName>

Anzeigen und Überprüfen von DEPs

Aufgabe Arbeitslast Befehl
Auflisten aller DEPs Multiworkload Get-M365DataAtRestEncryptionPolicy
Auflisten aller DEPs Exchange Get-DataEncryptionPolicy
Anzeigen der DEP-Zuweisung Multiworkload Get-M365DataAtRestEncryptionPolicyAssignment
Anzeigen des Postfach-DEP Exchange Get-MailboxStatistics -Identity <Mailbox> \| fl DataEncryptionPolicyID
Anzeigen der verschlüsselungs status SharePoint/OneDrive Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>
Überprüfen der Postfachverschlüsselung Exchange Get-MailboxStatistics -Identity <Mailbox> \| fl IsEncrypted

Verwalten und Deaktivieren von DEPs

Aufgabe Arbeitslast Befehl
Deaktivieren eines DEP Multiworkload Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Enabled $false
Aufheben der Zuweisung eines DEP Exchange Set-Mailbox -Identity <Mailbox> -DataEncryptionPolicy $null

Key Vault Vorgänge

Aufgabe Befehl
Anzeigen Key Vault Berechtigungen Get-AzKeyVault -VaultName <VaultName>
Entfernen des Benutzerzugriffs Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -UserPrincipalName <UPN>
Wiederherstellen eines Schlüssels Restore-AzKeyVaultKey -VaultName <VaultName> -InputFile <BackupFile>

Erstellen eines DEP für die Verwendung mit mehreren Workloads für alle Mandantenbenutzer

  1. Melden Sie sich auf Ihrem lokalen Computer mit einem Geschäfts-, Schul- oder Unikonto mit Complianceadministratorberechtigungen an, und stellen Sie eine Verbindung mit Exchange Online PowerShell her.

  2. Führen Sie das folgende Cmdlet aus, um eine Datenverschlüsselungsrichtlinie mit mehreren Workloads zu erstellen:

    New-M365DataAtRestEncryptionPolicy -Name <PolicyName> -AzureKeyIDs <KeyVaultURI1, KeyVaultURI2> [-Description <String>]

    Parameterdefinitionen:

    • -Name: Der Name, den Sie für die Richtlinie verwenden möchten. Keine Leerzeichen zulässig.

    • -AzureKeyIDs: URIs der beiden Azure Key Vault Schlüssel, die in der Richtlinie verwendet werden, getrennt durch Kommas.

      Beispiel: "https://contosoCentralUSvault1.vault.azure.net/keys/Key_02""https://contosoWestUSvault1.vault.azure.net/keys/Key_01"

    • Description (optional): Eine lesbare Beschreibung der Richtlinie.

      Beispiel: "Policy for multiple workloads for all users in the tenant."

    New-M365DataAtRestEncryptionPolicy -Name "Contoso_Global" -AzureKeyIDs "https://contosoWestUSvault1.vault.azure.net/keys/Key_01","https://contosoCentralUSvault1.vault.azure.net/keys/Key_02" -Description "Policy for multiple workloads for all users in the tenant."

Zuweisen einer Richtlinie für mehrere Workloads

Nachdem Sie eine Datenverschlüsselungsrichtlinie (DEP) mit mehreren Workloads erstellt haben, weisen Sie sie mithilfe des Cmdlets Set-M365DataAtRestEncryptionPolicyAssignment zu. Nach der Zuweisung verschlüsselt Microsoft 365 die Daten Ihrer organization mit den im DEP angegebenen Schlüsseln.

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName or ID>

Ersetzen Sie durch <PolicyName or ID> den Namen oder die GUID der Richtlinie.

Beispiel:

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy "Contoso_Global"

Windows 365 Cloud-PCs:

Warten Sie nach dem Zuweisen der Richtlinie 3 bis 4 Stunden, bis das Intune Admin Center das Update widerspiegelt. Führen Sie nach der Aktualisierung die Schritte im Admin Center aus, um vorhandene Cloud-PCs zu verschlüsseln.

Weitere Informationen finden Sie unter Einrichten von Kundenschlüsseln für Ihre Windows 365 Cloud-PCs.

Erstellen eines DEP für die Verwendung mit Exchange-Postfächern

Bevor Sie beginnen, führen Sie die erforderlichen Setupschritte aus. Weitere Informationen finden Sie unter Einrichten des Kundenschlüssels. Zum Erstellen des DEP benötigen Sie die Azure Key Vault URIs, die Sie während des Setups erhalten haben. Weitere Informationen finden Sie unter Abrufen des URI für jeden Azure Key Vault Schlüssel.

Führen Sie die folgenden Schritte aus, um einen DEP für Exchange-Postfächer zu erstellen:

  1. Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos mit Exchange-Administratorberechtigungen eine Verbindung mit Exchange Online PowerShell her.

  2. Erstellen Sie mithilfe des Cmdlets New-DataEncryptionPolicy einen DEP:

    New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>
    Parameter Beschreibung Beispiel
    -Name Geben Sie einen Namen für die Richtlinie ein. Namen dürfen keine Leerzeichen enthalten. USA_mailboxes
    -AzureKeyIDs Geben Sie die URIs für zwei Schlüssel in separaten Azure Key Vaults ein. Trennen Sie sie durch ein Komma und ein Leerzeichen. https://contosoEastUSvault01.vault.azure.net/keys/USA_key_01, https://contosoEastUS2vault01.vault.azure.net/keys/USA_key_02
    -Description Eine benutzerfreundliche Beschreibung, die ihnen hilft, den Zweck der Richtlinie zu identifizieren. "Root key for mailboxes in USA and its territories"

    Beispiel:

    New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault02.vault.azure.net/keys/USA_key_01, https://contoso_CentralUSvault02.vault.azure.net/keys/USA_Key_02

    Syntax- und Parameterinformationen finden Sie unter New-DataEncryptionPolicy.

Zuweisen einer Datenverschlüsselungsrichtlinie (DEP) zu einem Postfach

Weisen Sie den DEP mit dem Cmdlet zu Set-Mailbox . Nach der Zuweisung verschlüsselt Microsoft 365 das Postfach mit den Schlüsseln im DEP.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

Weitere Informationen finden Sie unter Set-Mailbox.

Zuweisen eines DEP zu Hybridpostfächern

Weisen Sie in Hybridumgebungen mithilfe von Set-MailUsersynchronisierten lokalen Postfachdaten ein DEP zu:

Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>

Weitere Informationen finden Sie unter Set-MailUser und lokale Postfächer mit Outlook für iOS und Android mit moderner Hybridauthentifizierung.

Zuweisen eines DEP vor dem Migrieren eines Postfachs in die Cloud

Wenn Sie vor der Migration einen DEP zuweisen, werden Ihre Postfachinhalte während der Verschiebung verschlüsselt. Dies ist effizienter als das Zuweisen eines DEP nach der Migration.

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her, indem Sie ein Geschäfts-, Schul- oder Unikonto mit den richtigen Berechtigungen verwenden.

  2. Führen Sie den folgenden Befehl aus:

    Set-MailUser -Identity <GeneralMailboxOrMailUserIdParameter> -DataEncryptionPolicy <DataEncryptionPolicyIdParameter>

Anzeigen der DEPs, die Sie für Exchange-Postfächer erstellt haben

Stellen Sie zum Auflisten aller DEPs in Ihrem organization eine Verbindung mit Exchange Online PowerShell her, und führen Sie Folgendes aus:

Get-DataEncryptionPolicy

Ausführliche Cmdlet-Informationen finden Sie unter Get-DataEncryptionPolicy.

Ermitteln der Datenverschlüsselungsrichtlinie (DEP), die einem Postfach zugewiesen ist

Stellen Sie zum Suchen des einem Postfach zugewiesenen DEP eine Verbindung mit Exchange Online PowerShell her, und führen Sie Folgendes aus:

Get-MailboxStatistics -Identity <MailboxIdParameter> | fl DataEncryptionPolicyID

So rufen Sie den Anzeigenamen aus der zurückgegebenen GUID ab:

Get-DataEncryptionPolicy <GUID>

Weitere Informationen finden Sie unter Get-MailboxStatistics.

Erstellen eines DEP für die Verwendung mit SharePoint und OneDrive

Bevor Sie beginnen, stellen Sie sicher, dass Sie die erforderlichen Setupschritte ausführen. Weitere Informationen finden Sie unter Einrichten des Kundenschlüssels.

Verwenden Sie SharePoint PowerShell, um Kundenschlüssel für SharePoint und OneDrive zu konfigurieren.

Ein DEP verwendet zwei Schlüssel aus separaten Azure Key Vaults in verschiedenen Regionen. Einzelne Geomandanten benötigen einen DEP. Multi-Geo-Mandanten benötigen einen DEP pro geografischem Standort mit unterschiedlichen Schlüsseln. Sie benötigen die Key Vault URIs für beide Schlüssel (siehe Abrufen des URI für jeden Azure Key Vault Schlüssel).

  1. Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über die entsprechenden Berechtigungen in Ihrem organization verfügt, eine Verbindung mit SharePoint PowerShell her.

  2. Verwenden Sie das Register-SPODataEncryptionPolicy Cmdlet, um den DEP zu registrieren.

    Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>

    Beispiel:

    Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'stageRG3vault' -PrimaryKeyName 'SPKey3' -PrimaryKeyVersion 'f635a23bd4a44b9996ff6aadd88d42ba' -SecondaryKeyVaultName 'stageRG5vault' -SecondaryKeyName 'SPKey5' -SecondaryKeyVersion '2b3e8f1d754f438dacdec1f0945f251a'

    Bei Verwendung von verwaltetem HSM: Verwenden Sie die vollständige URL des Schlüssels einschließlich der Version für jeden Tresor.

    Register-SPODataEncryptionPolicy -PrimaryKeyVaultUri <PrimaryKeyVaultURL> -SecondaryKeyVaultUri <SecondaryKeyVaultURL>

    Beispiel:

    Register-SPODataEncryptionPolicy -PrimaryKeyVaultURL https://M365-Test.managedhsm.azure.net/keys/Sharepoint-01/aaaa5513974f4780ea67b2f5d8c3dd -SecondaryKeyVaultURL https://M365-Test-02.managedhsm.azure.net/keys/Sharepoint-02/7d8f30343bed4e44a57225bae2012388

    Hinweis

    Sobald der DEP registriert wurde, beginnt die Verschlüsselung der Daten des geografischen Standorts. Dieser Vorgang kann einige Zeit in Anspruch nehmen.

Eine vollständige Cmdlet-Referenz finden Sie unter Register-SPODataEncryptionPolicy.

Vergewissern Sie sich, dass die Verschlüsselung mit dem Kundenschlüssel abgeschlossen ist.

Führen Sie nach dem Rollieren eines Kundenschlüssels, dem Zuweisen einer neuen Datenverschlüsselungsrichtlinie (Data Encryption Policy, DEP) oder der Migration eines Postfachs die Schritte in diesem Abschnitt aus, um zu bestätigen, dass die Verschlüsselung abgeschlossen ist.

Überprüfen, ob die Verschlüsselung für Exchange-Postfächer abgeschlossen ist

Das Verschlüsseln eines Postfachs kann einige Zeit in Anspruch nehmen. Für die erstmalige Verschlüsselung muss das Postfach vollständig in eine neue Datenbank verschoben werden, bevor die Verschlüsselung abgeschlossen werden kann.

Verwenden Sie das Cmdlet, um zu Get-MailboxStatistics überprüfen, ob ein Postfach verschlüsselt ist:

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

Die IsEncrypted -Eigenschaft gibt true zurück, wenn das Postfach verschlüsselt ist, und false , wenn dies nicht der Fall ist.

Die zum Abschließen von Postfachverschiebungen erforderliche Zeit hängt von der Anzahl der Postfächer ab, die zum ersten Mal verschlüsselt werden, und deren Größe.

Überprüfen, ob die Verschlüsselung für SharePoint und OneDrive abgeschlossen ist

Überprüfen Sie die status der Verschlüsselung, indem Sie das Cmdlet Get-SPODataEncryptionPolicy wie folgt ausführen:

   Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>

Die Ausgabe enthält URIs für Primär-/Sekundärschlüssel, Verschlüsselung status und prozentsatz der integrierten Standorte. Statuswerte:

Status Beschreibung
Unregistrierte Kundenschlüsselverschlüsselung nicht angewendet
Registrieren Verschlüsselung wird ausgeführt (in Prozent abgeschlossen)
Registered Verschlüsselung abgeschlossen
Rollen Schlüsselroll in Bearbeitung (zeigt den Prozentsatz der Abgeschlossenen an)

Abrufen von Details zu DEPs, die Sie mit mehreren Workloads verwenden

Stellen Sie zum Anzeigen von DEPs mit mehreren Workloads eine Verbindung mit Exchange Online PowerShell mit Complianceadministratorberechtigungen her, und führen Sie Folgendes aus:

Get-M365DataAtRestEncryptionPolicy

Ausführliche Informationen zu einem bestimmten DEP finden Sie unter:

Get-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global"

Abrufen von DEP-Zuweisungsinformationen für mehrere Workloads

Um zu ermitteln, welcher DEP Ihrem Mandanten zugewiesen ist, stellen Sie eine Verbindung mit Exchange Online PowerShell her, und führen Sie Folgendes aus:

Get-M365DataAtRestEncryptionPolicyAssignment

Deaktivieren eines DEP mit mehreren Workloads

Heben Sie vor der Deaktivierung die Zuweisung des DEP für Workloads in Ihrem Mandanten auf. Stellen Sie dann eine Verbindung mit Exchange Online PowerShell her, und führen Sie Folgendes aus:

Set-M365DataAtRestEncryptionPolicy -Identity "PolicyName" -Enabled $false

Wiederherstellen von Azure Key Vault-Schlüsseln

Versuchen Sie vor der Wiederherstellung, vorläufiges Löschen zum Wiederherstellen von Schlüsseln zu verwenden (bis zu 90 Tage verfügbar). Eine vollständige Wiederherstellung ist nur erforderlich, wenn ein Schlüssel oder Tresor dauerhaft verloren geht.

Führen Sie den folgenden Befehl aus, um einen Schlüssel mithilfe von Azure PowerShell wiederherzustellen:

Restore-AzKeyVaultKey -VaultName <vault name> -InputFile <filename>

Beispiel:

Restore-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Wichtig

Wenn der Schlüsseltresor bereits einen Schlüssel mit demselben Namen enthält, schlägt der Wiederherstellungsvorgang fehl. Das Restore-AzKeyVaultKey Cmdlet stellt alle Versionen des Schlüssels einschließlich der Metadaten und des Namens wieder her.

Verwalten von Schlüsseltresor-Berechtigungen

Verwenden Sie Azure PowerShell, um Key Vault-Berechtigungen anzuzeigen oder zu entfernen (z. B. wenn ein Benutzer das Team verlässt).

So zeigen Sie Berechtigungen an:

Get-AzKeyVault -VaultName <vault name>

Beispiel:

Get-AzKeyVault -VaultName Contoso-O365EX-NA-VaultA1

So entfernen Sie den Zugriff eines Benutzers:

Remove-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user>

Rollback vom Kundenschlüssel zu von Microsoft verwalteten Schlüsseln

Sie können mit von Microsoft verwalteten Schlüsseln rückgängig machen, wodurch Ihre Daten mit der Standardverschlüsselungsmethode für jede Workload erneut verschlüsselt werden.

Wichtig

Das Rollback setzt die Verschlüsselung zurück, löscht jedoch keine Daten. Eine Datenbereinigung löscht dauerhaft Kryptografiedaten und kann nicht für Richtlinien mit mehreren Workloads ausgeführt werden.

Rollback vom Kundenschlüssel für mehrere Workloads

Wenn Sie den Kundenschlüssel nicht mehr mit Datenverschlüsselungsrichtlinien (Data Encryption Policies, DEPs) mit mehreren Workloads verwenden möchten, senden Sie eine Supportanfrage über Microsoft-Support. Fügen Sie die folgenden Informationen in Ihre Anforderung ein:

  • Vollqualifizierter Domänenname (FQDN) des Mandanten
  • Mandantenkontakt für die Rollbackanforderung
  • Grund für die Einstellung des Kundenschlüssels
  • Incidentnummer

Wichtig

Sie müssen Ihre Azure Key Vaults (AKVs) und Verschlüsselungsschlüssel mit den entsprechenden Berechtigungen aufbewahren. Diese Aktion ist erforderlich, damit Daten mit von Microsoft verwalteten Schlüsseln erneut angewendet werden können.

Wichtig

Das Rollback vom Kundenschlüssel für mehrere Workloads wird in Gallatin nicht unterstützt.

Rollback vom Kundenschlüssel für Exchange

Wenn Sie einzelne Postfächer nicht mehr mithilfe von Datenverschlüsselungsrichtlinien (DEPs) auf Postfachebene verschlüsseln möchten, können Sie die Zuweisung dieser DEPs aus allen Postfächern aufheben.

Führen Sie die folgenden Schritte aus, um die Zuweisung eines DEP auf Postfachebene aufzuheben:

  1. Verwenden Sie ein Geschäfts-, Schul- oder Unikonto, das über die erforderlichen Exchange Online PowerShell-Berechtigungen verfügt, und stellen Sie eine Verbindung mit Exchange Online PowerShell her.

  2. Führen Sie das folgende Cmdlet aus.

    Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy $null

Dieser Befehl hebt die Zuweisung des aktuellen DEP auf und verschlüsselt das Postfach mit den von Microsoft verwalteten Standardschlüsseln erneut.

Hinweis

Sie können die Zuweisung der DEP, die mit von Microsoft verwalteten Schlüsseln verknüpft ist, nicht aufheben. Wenn Sie keine von Microsoft verwalteten Schlüssel verwenden möchten, weisen Sie dem Postfach stattdessen einen anderen DEP zu.

Zurücksetzen des Kundenschlüssels für SharePoint und OneDrive

Ein Rollback von Kundenschlüssel zu von Microsoft verwalteten Schlüsseln wird für SharePoint oder OneDrive nicht unterstützt.

Widerrufen Sie Ihre Schlüssel, und starten Sie den Datenlöschpfad.

Sie steuern die Sperrung aller Stammschlüssel, einschließlich des Verfügbarkeitsschlüssels. Wenn Sie Schlüssel zum Bereinigen von Daten widerrufen und den Dienst beenden, wird der Verfügbarkeitsschlüssel nach Abschluss der Bereinigung gelöscht. Diese Funktion wird nur für DEPs unterstützt, die einzelnen Postfächern zugewiesen sind.

Microsoft 365 überwacht und überprüft den Datenlöschprozess. Weitere Informationen finden Sie unter SSAE 18 SOC 2-Bericht, Leitfaden zur Risikobewertung und Compliance für Finanzinstitute und Überlegungen zur Microsoft 365-Exitplanung.

Wichtig

Das Bereinigen eines DEP mit mehreren Workloads wird nicht unterstützt. Diese Richtlinien verschlüsseln Daten über mehrere Workloads und Benutzer in Ihrem Mandanten hinweg. Das Bereinigen eines solchen DEP würde dazu führen, dass auf Daten über alle Workloads nicht mehr zugegriffen werden kann.

Wenn Sie Microsoft 365-Dienste vollständig beenden, lesen Sie, wie Sie einen Mandanten in Microsoft Entra ID löschen.

Widerrufen Ihrer Kundenschlüssel und des Verfügbarkeitsschlüssels für Exchange

Wenn Sie den Datenbereinigungspfad für Exchange initiieren, stellen Sie eine permanente Datenlöschanforderung für eine Datenverschlüsselungsrichtlinie (Data Encryption Policy, DEP). Durch diese Aktion werden verschlüsselte Daten in allen Postfächern, die diesem DEP zugewiesen sind, endgültig gelöscht.

Da das PowerShell-Cmdlet jeweils nur auf einem DEP funktioniert, sollten Sie erwägen, allen Postfächern einen einzelnen DEP neu zuzuweisen, bevor Sie mit dem Datenbereinigungsprozess beginnen.

Warnung

Verwenden Sie nicht den Datenlöschpfad, um eine Teilmenge von Postfächern zu löschen. Dieser Prozess ist nur für Organisationen vorgesehen, die den Dienst vollständig beenden.

Führen Sie die folgenden Schritte aus, um den Datenlöschpfad zu initiieren:

  1. Entfernen Sie die Berechtigungen zum Umbrechen und Entpacken für O365-Exchange Online aus Ihren Azure Key Vaults.

  2. Verwenden Sie ein Geschäfts-, Schul- oder Unikonto mit den entsprechenden Exchange Online PowerShell-Berechtigungen, und stellen Sie eine Verbindung mit Exchange Online PowerShell her.

  3. Führen Sie für jedes DEP, das Postfächer enthält, die Sie bereinigen möchten, das Set-DataEncryptionPolicy Cmdlet aus:

    Set-DataEncryptionPolicy <Policy ID> -PermanentDataPurgeRequested -PermanentDataPurgeReason <Reason> -PermanentDataPurgeContact <ContactName>

    Wenn der Befehl fehlschlägt, vergewissern Sie sich, dass Exchange Online Berechtigungen aus beiden Schlüsseln im Azure Key Vault entfernt wurden, wie zuvor erwähnt. Nachdem Sie das Set-DataEncryptionPolicy Cmdlet mit dem -PermanentDataPurgeRequested Switch ausgeführt haben, kann das DEP nicht mehr Postfächern zugewiesen werden.

  4. Wenden Sie sich an Microsoft-Support, und fordern Sie das Datenlöschungs-eDocument an.

    Microsoft sendet ein rechtliches Dokument, um die Datenlöschung zu bestätigen und zu autorisieren. Die Person, die dies unterzeichnet, ist in der Regel ein leitender oder anderer gesetzlich bevollmächtigter Vertreter.

  5. Nachdem Ihr Vertreter das Dokument unterzeichnet hat, geben Sie es an Microsoft zurück (in der Regel per E-Signatur).

    Sobald Microsoft das signierte eDocument erhält, überprüft es die Echtheit der Signatur und des Unterzeichners. Nach der Überprüfung führen sie die erforderlichen Cmdlets aus, um die Datenlöschung abzuschließen. Dieser Prozess löscht das DEP, markiert betroffene Postfächer zum endgültigen Löschen und entfernt den Verfügbarkeitsschlüssel. Nach Abschluss des Prozesses werden die Daten gelöscht, exchange kann nicht mehr darauf zugreifen und können nicht wiederhergestellt werden.

Widerrufen Ihrer Kundenschlüssel und des Verfügbarkeitsschlüssels für SharePoint und OneDrive

Das Bereinigen von DEPs für SharePoint und OneDrive wird in Customer Key nicht unterstützt. Wenn Sie Microsoft 365-Dienste vollständig beenden, können Sie den dokumentierten Prozess zum Löschen Ihres Mandanten befolgen.

Ausführliche Informationen finden Sie unter Löschen eines Mandanten in Microsoft Entra ID.

Migrieren Ihrer Key Vaults vom Legacyzugriffsrichtlinienmodell zu RBAC

Wenn Sie das Onboarding in Customer Key mithilfe des Legacy-Zugriffsrichtlinienmodells durchgeführt haben, führen Sie die folgenden Schritte aus, um alle Azure Key Vaults zur Verwendung der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) zu migrieren. Um die beiden Modelle zu vergleichen und zu verstehen, warum Microsoft RBAC empfiehlt, lesen Sie Azure rollenbasierte Zugriffssteuerung (Azure RBAC) im Vergleich zu Zugriffsrichtlinien (Legacy).

Entfernen von Legacyzugriffsrichtlinien

Verwenden Sie Remove-AzKeyVaultAccessPolicy das Cmdlet, um die vorhandenen Zugriffsrichtlinien aus Ihren Key Vaults zu entfernen.

  1. Melden Sie sich mit Azure PowerShell bei Ihrem Azure-Abonnement an. Eine Anleitung finden Sie unter Anmelden mit Azure PowerShell.

  2. Führen Sie den folgenden Befehl aus, um den Zugriff auf den Microsoft 365-Dienstprinzipal zu entfernen:

    Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4

  3. Führen Sie den folgenden Befehl aus, um den Zugriff für den Exchange Online prinzipal zu entfernen:

    Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

  4. Führen Sie den folgenden Befehl aus, um den Zugriff für den Dienstprinzipal sharePoint und OneDrive für Geschäfts-, Schul- oder Unikonten zu entfernen:

    Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000

Ändern des Zugriffskonfigurationsberechtigungsmodells

Aktualisieren Sie nach dem Entfernen der Zugriffsrichtlinien das Berechtigungsmodell für jede Key Vault im Azure-Portal:

  1. Navigieren Sie im Azure-Portal zu Ihrem Key Vault.

  2. Wählen Sie im linken Menü unter Einstellungen die Option Zugriffskonfiguration aus.

  3. Wählen Sie unter BerechtigungsmodellAzure rollenbasierte Zugriffssteuerung aus.

  4. Wählen Sie unten auf dem Bildschirm Übernehmen aus.

    Key Vault Home

    Azure rollenbasierte Zugriffssteuerung anwenden

Zuweisen von RBAC-Berechtigungen

Nachdem Sie das Berechtigungsmodell gewechselt haben, führen Sie die Schritte unter Zuweisen von Berechtigungen zu jedem Key Vault aus, um die erforderlichen Rollen zu gewähren.

Problembehandlung

Problem Mögliche Ursache Lösung
Fehler bei der DEP-Erstellung Ungültiger Key Vault-URI Überprüfen Sie das URI-Format und ob der Schlüssel im Tresor vorhanden ist.
Fehler bei der DEP-Zuweisung Unzureichende Berechtigungen Sicherstellen, dass Sie über Exchange-Administratorberechtigungen verfügen
Postfach nach einer Woche nicht verschlüsselt Datenbankverschiebung nicht abgeschlossen Kontakt Microsoft-Support
Get-MailboxStatistics gibt no zurück DataEncryptionPolicyID DEP nicht zugewiesen Zuweisen eines DEP mithilfe von Set-Mailbox
SharePoint-Verschlüsselung bleibt bei "Registrierung" hängen Problem mit großem Mandanten- oder Schlüsselzugriff Überprüfen von Schlüsselberechtigungen; Bei großen Mandanten kann die Verschlüsselung einige Zeit in Anspruch nehmen.
Fehler bei der Schlüsselwiederherstellung Ein Schlüssel mit demselben Namen ist vorhanden. Verwenden eines anderen Tresors oder Entfernen des vorhandenen Schlüssels
Herstellen einer Verbindung mit Exchange Online PowerShell nicht möglich Modul nicht installiert oder veraltet Installieren oder Aktualisieren des Exchange Online PowerShell-Moduls
  • Last updated on