Rollen oder Drehen eines Kundenschlüssels oder eines Verfügbarkeitsschlüssels
Achtung
Rollieren Sie einen Verschlüsselungsschlüssel, den Sie mit dem Kundenschlüssel verwenden, nur, wenn Ihre Sicherheits- oder Complianceanforderungen vorschreiben, dass Sie den Schlüssel mit rollieren müssen. Löschen oder deaktivieren Sie keine Schlüssel, die Richtlinien zugeordnet sind oder waren, einschließlich älterer Versionen von Schlüsseln, die Sie verwendet haben. Wenn Sie Rolling-Codes für Ihre Schlüssel generieren, wird Inhalt mit den vorhergehenden Schlüsseln verschlüsselt. Werden beispielsweise aktive Postfächer häufig neu verschlüsselt, so werden inaktive, abgeschaltete oder deaktivierte Postfächer möglicherweise weiterhin mit den vorhergehenden Schlüsseln verschlüsselt. SharePoint Online führt Sicherungen von Inhalten durch, um die Verlagerung der Speicherorte dieser sowie deren Wiederherstellung zu ermöglichen, weshalb es durchaus vorkommen kann, dass weiterhin Inhalte archiviert sind, die ältere Schlüssel verwendet.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihrer Organisation helfen können, Anforderungen an Datensicherheit und Compliance zu verwalten. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.
Informationen zum Rollen des Verfügbarkeitsschlüssels
Microsoft macht Kunden keine direkte Kontrolle über den Verfügbarkeitsschlüssel verfügbar. Beispielsweise können Sie nur die Schlüssel, die Sie in Azure Key Vault besitzen, rollieren (rotieren). Microsoft 365 führt die Verfügbarkeitsschlüssel nach einem intern definierten Zeitplan durch. Für diese Schlüsselrollen gibt es keine Vereinbarung zum Servicelevel (Service Level Agreement, SLA). Microsoft 365 rotiert den Verfügbarkeitsschlüssel mithilfe des Microsoft 365-Dienstcodes in einem automatisierten, nicht manuellen Prozess. Microsoft-Administratoren können den Rollprozess initiieren. Der Schlüssel wird mithilfe automatisierter Mechanismen ohne direkten Zugriff auf den Schlüsselspeicher gerollt. Der Zugriff auf den Geheimnisspeicher des Verfügbarkeitsschlüssels wird für Microsoft-Administratoren nicht bereitgestellt. Das Rollieren von Verfügbarkeitsschlüsseln nutzt denselben Mechanismus, der zum anfänglichen Generieren des Schlüssels verwendet wurde. Weitere Informationen zum Verfügbarkeitsschlüssel finden Sie unter Grundlegendes zum Verfügbarkeitsschlüssel.
Wichtig
Exchange Online und Skype for Business Verfügbarkeitsschlüssel können von Kunden, die einen neuen DEP erstellen, effektiv rolliert werden, da für jeden von Ihnen erstellten DEP ein eindeutiger Verfügbarkeitsschlüssel generiert wird. Verfügbarkeitsschlüssel für SharePoint Online-, OneDrive for Business- und Teams-Dateien sind auf Gesamtstrukturebene vorhanden und werden von DEPs und Kunden gemeinsam genutzt. Dies bedeutet, dass das Rollieren nur zu einem von Microsoft intern definierten Zeitplan erfolgt. Um das Risiko zu verringern, dass der Verfügbarkeitsschlüssel nicht jedes Mal rollt, wenn ein neuer DEP erstellt wird, rollt SharePoint, OneDrive und Teams den Mandanten-Zwischenschlüssel (TIK), den Schlüssel, der von den Stammschlüsseln des Kunden und dem Verfügbarkeitsschlüssel umschlossen wird, jedes Mal, wenn ein neuer DEP erstellt wird.
Fordern Sie eine neue Version jedes vorhandenen Stammschlüssels an, den Sie rollieren möchten.
Wenn Sie einen Schlüssel rollieren, fordern Sie eine neue Version eines vorhandenen Schlüssels an. Um eine neue Version eines vorhandenen Schlüssels anzufordern, verwenden Sie dasselbe Cmdlet Add-AzKeyVaultKey mit der gleichen Syntax, mit der Sie den Schlüssel zuerst erstellt haben. Nachdem Sie das Rollieren eines beliebigen Schlüssels abgeschlossen haben, der einer Datenverschlüsselungsrichtlinie (Data Encryption Policy, DEP) zugeordnet ist, führen Sie ein weiteres Cmdlet aus, um sicherzustellen, dass der Kundenschlüssel mit der Verwendung des neuen Schlüssels beginnt. Führen Sie diesen Schritt in jedem Azure Key Vault (AKV) aus.
Zum Beispiel:
Melden Sie sich mit Azure PowerShell bei Ihrem Azure-Abonnement an. Anweisungen finden Sie unter Anmelden mit Azure PowerShell.
Führen Sie das Cmdlet Add-AzKeyVaultKey wie im folgenden Beispiel gezeigt aus:
Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")Da in diesem Beispiel ein Schlüssel mit dem Namen Contoso-CK-EX-NA-VaultA1-Key001 im Tresor Contoso-CK-EX-NA-VaultA1 vorhanden ist, erstellt das Cmdlet eine neue Version des Schlüssels. Dieser Vorgang behält die vorherigen Schlüsselversionen im Versionsverlauf für den Schlüssel bei. Sie benötigen die vorherige Schlüsselversion, um die Daten zu entschlüsseln, die noch verschlüsselt werden. Nachdem Sie das Rollieren eines beliebigen Schlüssels abgeschlossen haben, der einem DEP zugeordnet ist, führen Sie ein zusätzliches Cmdlet aus, um sicherzustellen, dass Der Kundenschlüssel mit der Verwendung des neuen Schlüssels beginnt. In den folgenden Abschnitten werden die Cmdlets ausführlicher beschrieben.
Aktualisieren der Schlüssel für DEPs mit mehreren Workloads
Wenn Sie einen der Azure Key Vault-Schlüssel ausführen, die einem DEP zugeordnet sind, das mit mehreren Workloads verwendet wird, müssen Sie den DEP so aktualisieren, dass er auf den neuen Schlüssel verweist. Bei diesem Prozess wird der Verfügbarkeitsschlüssel nicht rotiert.
Führen Sie die folgenden Schritte aus, um den Kundenschlüssel anzuweisen, den neuen Schlüssel zum Verschlüsseln mehrerer Workloads zu verwenden:
Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Complianceadministratorberechtigungen in Ihrer Organisation verfügt, eine Verbindung mit Exchange Online PowerShell her.
Führen Sie das Cmdlet Set-M365DataAtRestEncryptionPolicy aus.
Set-M365DataAtRestEncryptionPolicy -[Identity] "PolicyName" -Refresh
Dabei ist PolicyName der Name oder die eindeutige ID der Richtlinie. Beispiel: Contoso_Global.
Beispiel:
Set-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global" -Refresh
Aktualisieren der Schlüssel für Exchange Online DEPs
Wenn Sie einen der Azure Key Vault-Schlüssel ausführen, die einem mit Exchange Online und Skype for Business verwendeten DEP zugeordnet sind, müssen Sie den DEP so aktualisieren, dass er auf den neuen Schlüssel verweist. Dadurch wird der Verfügbarkeitsschlüssel nicht rotiert.
Führen Sie das Cmdlet Set-DataEncryptionPolicy wie folgt aus, um den Kundenschlüssel anzuweisen, den neuen Schlüssel zum Verschlüsseln von Postfächern zu verwenden:
Führen Sie das Cmdlet Set-DataEncryptionPolicy in Azure PowerShell aus:
Set-DataEncryptionPolicy -Identity <DataEncryptionPolicyID> -RefreshUm den Wert für die DataEncryptionPolicyID-Eigenschaft für das Postfach zu überprüfen, führen Sie die Schritte unter Bestimmen des einem Postfach zugewiesenen DEP aus. Der Wert für diese Eigenschaft ändert sich, sobald der Dienst den aktualisierten Schlüssel anwendet.
Aktualisieren der Schlüssel für SharePoint Online-, OneDrive for Business- und Teams-Dateien
In SharePoint Online können Sie nur jeweils eine Taste ausführen. Wenn Sie beide Schlüssel in einem Schlüsseltresor ausführen möchten, warten Sie, bis der erste Vorgang abgeschlossen ist. Microsoft empfiehlt, ihre Vorgänge zu staffeln, um dieses Problem zu vermeiden. Wenn Sie einen der Azure Key Vault Schlüssel ausführen, die einem mit SharePoint Online und OneDrive for Business verwendeten DEP zugeordnet sind, müssen Sie den DEP so aktualisieren, dass er auf den neuen Schlüssel verweist. Dadurch wird der Verfügbarkeitsschlüssel nicht rotiert.
Führen Sie das Cmdlet Update-SPODataEncryptionPolicy wie folgt aus:
Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>Während dieses Cmdlet den Schlüsselrollvorgang für SharePoint Online und OneDrive for Business startet, wird die Aktion nicht sofort abgeschlossen.
Zum Anzeigen des Fortschritts der Generierung eines Rolling-Code für einen Schlüssel, müssen Sie das Cmdlet „Get-SPODataEncryptionPolicy“ wie folgt ausführen:
Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>