Verwenden der Verschlüsselung mit Microsoft Graph Data Connect

Die folgenden beiden Verschlüsselungstypen sind verfügbar, wenn Sie Microsoft Graph Data Connect (Data Connect) verwenden:

• Verschlüsselung für ruhende Daten: Kunden können das Azure-Verschlüsselungsfeature für ruhende Daten und kundenseitig verwaltete Schlüssel verwenden, wenn sie ihr Azure-Speicherkonto einrichten, um sicherzustellen, dass es ordnungsgemäß gesperrt und sicher für die Datenübermittlung ist.

• Verschlüsselung für Daten während der Übertragung: Data Connect bietet Verschlüsselung für Daten während der Übertragung über unsere benutzerdefinierte Verschlüsselung mit kundeneigenen Schlüsseln. Außerdem wird sichergestellt, dass alle Datenanforderungen zwischen den Microsoft 365- und Azure-Ressourcen eines Kunden sicher sind, indem Dienststandards verwendet werden, die SOC-genehmigt sind.

Es wird empfohlen, Azure Key Vault (AKV) zu verwenden, um Ihre öffentlichen oder privaten Schlüssel zu generieren und zu speichern und bei Bedarf zu aktualisieren. In diesem Artikel wird das benutzerdefinierte Verschlüsselungsfeature beschrieben, das für eine sichere Datenübermittlung auf die angeforderten Datasets in einer Anwendung angewendet werden kann.

Aktivieren der benutzerdefinierten Verschlüsselung mit kundeneigenen Schlüsseln für Daten während der Übertragung

Kunden (Entwickler) können benutzerdefinierte Verschlüsselung in ihrer Data Connect-Anwendung verwenden, um eine noch sicherere Datasetbereitstellung zu ermöglichen. Um das Feature zu aktivieren, erstellen und richten Sie eine AKV ein, um RSA-Schlüssel zu generieren, oder stellen Sie sicher, dass Ihre vorhandene AKV über die richtige Einrichtung mit RSA-Schlüsseln verfügt. Aktivieren Sie dann die Verschlüsselung, wenn Sie eine neue Data Connect-Anwendung einrichten, oder bearbeiten Sie eine vorhandene Anwendung, um die Verschlüsselung umzuschalten und Ihre aktuelle AKV zu verknüpfen. Data Connect verschlüsselt Datasets mit autorisierten öffentlichen Schlüsseln aus Ihrer AKV und übermittelt sie verschlüsselt zusammen mit einem Entschlüsselungsschlüssel. Der Entschlüsselungsschlüssel wird von Data Connect verschlüsselt und kann mit dem privaten Schlüssel des Kunden entschlüsselt werden.

Hinweis

Die benutzerdefinierte Verschlüsselung ist für Kunden, die noch den PAM-Zustimmungsprozess oder verwaltete Datenflüsse (Managed Data Flows, MDF) verwenden, nicht verfügbar.

Aktivieren der benutzerdefinierten Verschlüsselung für Ihre Data Connect-Anwendung

Wenn Sie über eine vorhandene Data Connect-Anwendung verfügen, führen Sie die folgenden Schritte aus, um die benutzerdefinierte Verschlüsselung zu aktivieren:

1. Melden Sie sich beim Azure-Portal an.

   1. Wählen Sie Microsoft Graph Data Connect und dann Ihre aktuelle Anwendung aus.
   2. Wählen Sie die Eigenschaften>Einzelner Mandant aus, und schalten Sie die Verschlüsselung ein.
   3. Wenn Sie nicht über eine AKV verfügen, öffnen Sie eine neue Registerkarte, und befolgen Sie die Anweisungen unter Einrichten Ihrer Azure Key Vault.
   4. Führen Sie die Schritte unter Verwenden Ihrer Azure Key Vault und Generieren von RSA-Schlüsseln mit Ihrem Azure-Key Vault aus, um sicherzustellen, dass Ihr AKV über die richtigen Rollenberechtigungen verfügt und mit RSA-Schlüsseln aufgefüllt wird.
   5. Wählen Sie im Dropdownmenü der Data Connect-Anwendung Ihren Azure Key Vault-URI (Name der AKV) aus.
   6. Wählen Sie Eigenschaften aktualisieren aus, um sie zu speichern. Die Verschlüsselung wird angewendet, wenn Ihr Administrator die Änderungen an den App-Eigenschaften genehmigt.

   Hinweis

   Die Verschlüsselung wird nur auf berechtigte Datasets angewendet. Die AKV muss ordnungsgemäß eingerichtet sein, damit Datasets verschlüsselt werden können.

   

   

Wenn Sie noch keine Data Connect-Anwendung haben, führen Sie die folgenden Schritte aus, um eine zu erstellen:

1. Befolgen Sie die Anleitung zu den ersten Schritten , um Ihre Data Connect-Anwendung zu erstellen.

2. Gehen Sie im Schritt Registrieren Ihrer Microsoft Entra-Anwendung bei Microsoft Graph Data Connect wie folgt vor:

   1. Füllen Sie die Anwendungsdetails auf der Seite Registrierungsinformationen aus.
   2. Wählen Sie Verschlüsselung für Datasets aktivieren aus.
   3. Wählen Sie für Key Vault im Dropdownmenü den AKV-URI (Name der AKV) aus.
   4. Wenn Ihre AKV nicht vorhanden ist, öffnen Sie eine neue Registerkarte, und führen Sie die Schritte unter Einrichten Ihrer Azure-Key Vault aus.
   5. Zurück zur Registerkarte Ihrer Data Connect-Anwendung, und suchen Sie in der Dropdownliste nach Ihrer AKV, um sie auszuwählen. Möglicherweise müssen Sie die Seite aktualisieren, damit die AKV in der Dropdownliste aufgefüllt wird.

   Hinweis

   Die Verschlüsselung gilt für alle berechtigten Datasets, die in der Anwendung angefordert werden. Wählen Sie den QuickInfo neben Verschlüsselung aus, um zu erfahren, welche Datasets berechtigt sind.

   

3. Füllen Sie den Rest der erforderlichen Anwendungsdetails aus, und übermitteln Sie die Anwendung für Ihren Microsoft 365-Administrator zur Überprüfung.

   Hinweis

   Notieren Sie sich Ihren vorhandenen Dienstprinzipal. Sie benötigen dies später.

4. Nachdem Sie die App übermittelt haben, führen Sie die Schritte unter Verwenden Ihrer Azure Key Vault und Generieren von RSA-Schlüsseln mit Ihrem Azure-Key Vault aus, um sicherzustellen, dass Ihre AKV über die richtigen Rollenberechtigungen verfügt und mit RSA-Schlüsseln aufgefüllt wird.

5. Die Verschlüsselung wird auf alle berechtigten Datasets in der Anwendung angewendet, sobald Ihr Administrator die App genehmigt hat. Wenn Sie eine Pipeline ausführen, ohne die richtigen Rollenberechtigungen einzurichten und RSA-Schlüssel in Ihrer AKV zu generieren, werden die angeforderten Daten nicht verschlüsselt.

Entschlüsselung von Datasets nach der Datenübermittlung

Nachdem verschlüsselte Daten übermittelt wurden, ist der Kunde für die Entschlüsselung der Daten verantwortlich. Data Connect entschlüsselt keine Daten nach der Übermittlung. In diesem Abschnitt wird beschrieben, wie Daten nach der Übermittlung entschlüsselt werden.

Voraussetzungen

Stellen Sie sicher, dass Ihre Azure Key Vault ordnungsgemäß eingerichtet ist. Ausführliche Informationen finden Sie unter Verwenden von Azure Key Vault für benutzerdefinierte Verschlüsselung.

Metadaten und Verschlüsselung

Der öffentliche Teil des RSA-Schlüsselpaars wird verwendet, um den Entschlüsselungsschlüssel zu verschlüsseln. Sie können den entsprechenden privaten Teil verwenden, um den Entschlüsselungsschlüssel nach der Datenübermittlung zu entschlüsseln. Microsoft speichert Ihren Entschlüsselungsschlüssel; nur Ihre Anwendung kann den Entschlüsselungsschlüssel mithilfe des privaten Schlüssels entschlüsseln. Nur Sie haben Zugriff auf den privaten Schlüssel. Der Entschlüsselungsschlüssel ist ein symmetrischer AES-256-Bit-Schlüssel, der zum Verschlüsseln der Datei verwendet wird.

Ihre Anwendung muss den Verschlüsselungs- und Komprimierungsprozess umkehren, um auf die ursprünglichen Daten zuzugreifen. So greifen Sie über die Datenlöschung auf die Kundendaten zu:

1. Rufen Sie den Entschlüsselungsschlüssel der Datei aus den Extraktionsmetadaten ab.

2. Entschlüsseln Sie den Verschlüsselungsschlüssel mit dem privaten Kundenschlüssel (bereitgestellt im Azure-Key Vault). Weitere Informationen finden Sie unter Azure Key Vault-Entschlüsselungs-API.

3. Entschlüsseln Sie die Datei mithilfe des Dateiverschlüsselungsschlüssels. Ein C#-Beispiel finden Sie unter Verschlüsseln von Daten.

Metadatendatei

Nach der Extraktion erhalten Sie eine Datenlöschung. Jede Datenlöschung enthält eine encryptionKeyDetails.json-Datei mit einem Metadaten-/MoreMetadata-/EncryptedDatasets-Pfad im Stammverzeichnis. Diese JSON-Datei enthält Details zur Kopieraktivität. In der folgenden Tabelle wird das Schema beschrieben.

Feld	Beschreibung
DecryptionKeyDetails	Die Details zum Entschlüsselungsschlüssel.
PublicKeyVersion	Die Version des öffentlichen Schlüssels. Dies ist erforderlich, damit der Partner identifizieren kann, welche Version des entsprechenden privaten Schlüssels er für die Entschlüsselung verwenden soll.
DecryptionKeyValue	Die Base64-Darstellung des Werts des Entschlüsselungsschlüssels.
DecryptionKeyIV	Die Base64-Darstellung des Initialisierungsvektors, der zum Erstellen des Entschlüsselungsschlüssels verwendet wird.

Entschlüsselungsschlüssel

Der Entschlüsselungsschlüssel wird als Base64-Zeichenfolge mit dem öffentlichen Kundenmandantenschlüssel verschlüsselt, der im Azure-Key Vault bereitgestellt wird. Entschlüsselungsschlüssel bestehen aus den folgenden Komponenten:

• value: Die Base64-Darstellung des Werts des Entschlüsselungsschlüssels. Beispiel: oF8xFGjrhxC2LsrsrUA3eTCWDl2fYlBkUe886jRLnKFwdbH/9SRA+55ekL42JCcL+iXsQNZdMWmy3LnLgk2nSfZ96ecU/++sOM7QB/6kWrS2Wmg+5XCW5FErodnyBZKCbOo1RETgrxTH8YlcoLX5319VCmBleSMxgitn0Jl+VCM+NjfE87oPWyLo+vifaBtFnIgSOkzKh20dZm/Ue1AxXQlYQ/WptHBRa4Lmza/oXgbTpqk9Y+Mw+4IhVtHbCdcEt0DqQ0FRb/qjlwMPaYqOlZ5GxFTiQFsAtYVTpnvcffkDBp1gzlOL2iLhudc66PP4h6v4cBxHx6RTz8bO4KiaQg==
• iv : Die Base64-Darstellung des Initialisierungsvektors, der zum Erstellen des Entschlüsselungsschlüssels verwendet wird. Beispiel: vLvaqqAN8GaYI9gGuX1bsQ==

Encoding

Während des Entschlüsselungsprozesses sind einige Codierungsdetails zu beachten. Die folgenden Daten enthalten diese Codierungstypen:

• Entschlüsselungsschlüssel: UTF-8
• Entschlüsselungsschlüssel IV: UTF-8
• Auffüllung für AES – CBC/PKCS5 PKCS7 in C# ist identisch mit PKCS5 in Java

Außerdem ist die Ausgabe der Azure Key Vault Decrypt-REST-API Base64-URL-codiert. Sie müssen den Wert von Base64-URL in Bytes decodieren und dann das Ergebnis in Base64 codieren.

Berücksichtigen Sie diese Codierungsunterschiede beim Entschlüsseln der Daten. Wenn codierte Daten fälschlicherweise entschlüsselt werden, erhalten Sie möglicherweise einen Fehler wie den folgenden: Invalid AES key length: 88 bytes.

Eligiblität von Datasets für die Verschlüsselung

Die folgenden Datasets sind für die Verschlüsselung für Data Connect geeignet:

• Alle Datasets für Azure Active Directory
• Alle Datasets für Outlook und Exchange Online
• Alle Datasets für Microsoft Teams
• Alle Datasets für Microsoft-Gruppen
• Alle Datasets für OneDrive und SharePoint

Die folgenden Datasets sind noch nicht für die Verschlüsselung geeignet:

• Alle Datasets für Viva Insights

Hinweis

Wenn die Verschlüsselung für Ihre Anwendung aktiviert ist und eine Mischung aus berechtigten und nicht berechtigten Datasets enthält, werden nur die berechtigten Datasets verschlüsselt.

Admin App-Genehmigung

Administratoren verwenden den folgenden Prozess, um Data Connect-Apps zu genehmigen:

1. Melden Sie sich mit Ihren Administratoranmeldeinformationen beim Microsoft 365-Administratorautorisierungsportal an.

2. Wählen Sie in den Organisationseinstellungen die Registerkarte Sicherheit & Datenschutz und dann Microsoft Graph Data Connect-Anwendungen aus, wie in der folgenden Abbildung dargestellt.

3. Wählen Sie die Anwendung aus, die zur Überprüfung bereit ist. Stellen Sie im Abschnitt Übersicht der Anwendungsdetails sicher, dass die Verschlüsselung aktiviert ist.

4. Stellen Sie im Abschnitt Überprüfen der Anwendungsdetails sicher, dass verschlüsselung ausgewählt ist, und überprüfen Sie die Datasets.

   Hinweis

   Wenn die Verschlüsselung während der App-Registrierung aktiviert ist, gilt sie für alle berechtigten Datasets in der App.

   

5. Nachdem Sie die Anwendung überprüft haben, wählen Sie Genehmigen, Ablehnen oder Abbrechen aus. Es muss eine Aktion ausgeführt werden, und Data Connect wendet die Verschlüsselung erst an, nachdem die App genehmigt wurde. Weitere Informationen finden Sie unter App-Autorisierung.

Verwenden von Azure Key Vault für benutzerdefinierte Verschlüsselung

Wenn Sie keine AKV eingerichtet haben, führen Sie die Schritte auf der Registerkarte Einrichten von Azure Key Vault aus, bevor Sie mit der nächsten Registerkarte fortfahren.

Nachdem Sie über eine vorhandene AKV verfügen, wechseln Sie zur Registerkarte Verwenden Ihrer Azure-Key Vault, um die erforderlichen Rollenberechtigungen zu aktivieren. Wechseln Sie dann zur Registerkarte Generieren von RSA-Schlüsseln mit Ihrem Azure Key Vault, um die erforderlichen RSA-Schlüssel in Ihrer AKV für die benutzerdefinierte Verschlüsselung zu erstellen.

Es ist keine Aktion des Microsoft 365-Administrators erforderlich, um die benutzerdefinierte Verschlüsselung zu aktivieren.

Einrichten Ihrer Azure Key Vault

1.Melden Sie sich mit Ihren Entwickleranmeldeinformationen beim Azure-Portal an, und wählen Sie das Symbol Azure Key Vault aus.

2. Wenn Sie noch keine AKV haben, wählen Sie Erstellen aus. Weitere Informationen finden Sie unter Erstellen eines Schlüsseltresors mithilfe des Azure-Portal.

3. Wählen Sie rollenbasierte Zugriffssteuerung in Azure (empfohlen) unter Berechtigungsmodell aus.

4. Wählen Sie auf der Registerkarte Netzwerk die Option Öffentlichen Zugriff aktivieren aus, um Data Connect den Zugriff auf alle öffentlichen Schlüssel zu erlauben, die generiert und gespeichert wurden. Data Connect ist nur für den Zugriff auf ausgewählte öffentliche Schlüssel autorisiert.

5. Führen Sie die Schritte aus, und wählen Sie überprüfen + erstellen aus, wenn Sie fertig sind.

Verwenden Ihrer Azure-Key Vault

1. Melden Sie sich mit Ihren Entwickleranmeldeinformationen beim Azure-Portal an, und wählen Sie das Symbol Azure Key Vault aus.

2. Wählen Sie Ihre Azure-Key Vault aus, z. B. LoBEncryption Demo.

3. Wählen Sie auf der Registerkarte Access Control (IAM)die Option Hinzufügen aus.

4. Wählen Sie Rollenzuweisung hinzufügen aus.

5. Geben Sie auf der Registerkarte RolleKey Vault Kryptografiebenutzer ein, wählen Sie ihn aus, und wählen Sie dann Weiter aus.

6. Aktivieren Sie auf der Registerkarte Mitglieder die Option Zugriff zuweisen zu für Benutzer, Gruppe und Dienstprinzipal, und wählen Sie + Mitglieder auswählen aus.

7. Wählen Sie im linken Bereich den richtigen Dienstprinzipal (den Namen der Data Connect-Anwendung) aus. Dadurch wird sichergestellt, dass Ihre Data Connect-Anwendung eine Verbindung mit Ihrer Azure-Key Vault herstellen kann. Wählen Sie Weiter aus.

8. Überprüfen Sie die Details auf der Registerkarte Überprüfen + zuweisen , und wählen Sie in der unteren rechten Ecke Überprüfen + zuweisen aus. Ihre Azure Key Vault kann jetzt eine Verbindung mit Ihrer Data Connect-Anwendung herstellen.

Generieren von RSA-Schlüsseln mit Ihrem Azure-Key Vault

1. Wechseln Sie zur Hauptseite Key Vaults, und wählen Sie Ihre Azure Key Vault aus, z. B. LoBEncryption Demo.

2. Wählen Sie Schlüssel aus.

   

3. Wählen Sie Generieren/Importieren aus.

4. Generieren Sie einen RSA-Schlüssel, und benennen Sie Ihren Schlüssel als Ihre Microsoft Entra Mandanten-ID. Stellen Sie sicher, dass sie über einen eindeutigen Namen verfügt (Sie sollten nur über einen Schlüssel pro Microsoft Entra Mandanten-ID verfügen).

   Hinweis

   Der RSA-Schlüssel muss für die Schlüsselgröße auf 2048 Bit festgelegt werden und muss ein Ablaufdatum aufweisen, sonst ist er ungültig.

5. Geben Sie die Details ein, und wählen Sie Erstellen aus.