Rollen oder Drehen eines Kundenschlüssels oder eines Verfügbarkeitsschlüssels

  • Artikel

Achtung

Rollieren Sie einen Verschlüsselungsschlüssel, den Sie mit dem Kundenschlüssel verwenden, nur, wenn Ihre Sicherheits- oder Complianceanforderungen vorschreiben, dass Sie den Schlüssel mit rollieren müssen. Löschen oder deaktivieren Sie keine Schlüssel, die Richtlinien zugeordnet sind oder waren, einschließlich älterer Versionen von Schlüsseln, die Sie verwendet haben. Wenn Sie Ihre Schlüssel rollieren, sind Inhalte vorhanden, die mit den vorherigen Schlüsseln verschlüsselt sind. Während aktive Postfächer beispielsweise häufig erneut verschlüsselt werden, können inaktive, getrennte und deaktivierte Postfächer weiterhin mit den vorherigen Schlüsseln verschlüsselt werden. Microsoft SharePoint führt eine Sicherung von Inhalten für Wiederherstellungs- und Wiederherstellungszwecke durch, sodass möglicherweise weiterhin archivierte Inhalte mit älteren Schlüsseln vorhanden sind.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Windows 365 Unterstützung für Den Microsoft Purview-Kundenschlüssel befindet sich in der öffentlichen Vorschau und kann geändert werden.

Informationen zum Rollen des Verfügbarkeitsschlüssels

Microsoft macht Kunden keine direkte Kontrolle über den Verfügbarkeitsschlüssel verfügbar. Beispielsweise können Sie nur die Schlüssel, die Sie in Azure Key Vault besitzen, rollieren (rotieren). Microsoft 365 rollt die Verfügbarkeitsschlüssel nach einem intern definierten Zeitplan. Für diese Schlüsselrollen gibt es keine Vereinbarung zum Servicelevel (Service Level Agreement, SLA). Microsoft 365 rotiert den Verfügbarkeitsschlüssel mithilfe des Microsoft 365-Dienstcodes in einem automatisierten Prozess. Microsoft-Administratoren können den Rollprozess initiieren. Der Schlüssel wird mithilfe automatisierter Mechanismen ohne direkten Zugriff auf den Schlüsselspeicher gerollt. Der Zugriff auf den Geheimnisspeicher des Verfügbarkeitsschlüssels wird für Microsoft-Administratoren nicht bereitgestellt. Beim Rollieren des Verfügbarkeitsschlüssels wird derselbe Mechanismus angewendet, der zum anfänglichen Generieren des Schlüssels verwendet wurde. Weitere Informationen zum Verfügbarkeitsschlüssel finden Sie unter Grundlegendes zum Verfügbarkeitsschlüssel.

Wichtig

Exchange Online Verfügbarkeitsschlüssel können von Kunden, die einen neuen DEP erstellen, effektiv rolliert werden, da für jeden von Ihnen erstellten DEP ein eindeutiger Verfügbarkeitsschlüssel generiert wird. Verfügbarkeitsschlüssel für SharePoint, Microsoft OneDrive für Geschäfts-, Schul- oder Uni- und Teams-Dateien sind auf Gesamtstrukturebene vorhanden und werden von DEPs und Kunden gemeinsam genutzt. Dies bedeutet, dass das Rollieren nur nach einem von Microsoft intern definierten Zeitplan erfolgt. Um das Risiko zu verringern, dass der Verfügbarkeitsschlüssel nicht jedes Mal rollt, wenn ein neuer DEP erstellt wird, rollt SharePoint, OneDrive und Teams den Mandanten-Zwischenschlüssel (TIK), den Schlüssel, der von den Stammschlüsseln des Kunden und dem Verfügbarkeitsschlüssel umschlossen wird, jedes Mal, wenn ein neuer DEP erstellt wird.

Informationen zum Rollen von kundenseitig verwalteten Stammschlüsseln

Es gibt zwei Möglichkeiten, kundenseitig verwaltete Stammschlüssel zu rollieren: Aktualisieren vorhandener Schlüssel durch Anfordern einer neuen Version des Schlüssels und Aktualisieren des DEP oder Erstellen und Verwenden eines neu generierten Schlüssels und DEP. Anweisungen für jede Methode zum Rollen Ihrer Schlüssel finden Sie im folgenden Abschnitt.

Fordern Sie eine neue Version jedes vorhandenen Stammschlüssels an, den Sie rollieren möchten.

Um eine neue Version eines vorhandenen Schlüssels anzufordern, verwenden Sie dasselbe Cmdlet , Add-AzKeyVaultKey, mit der gleichen Syntax und demselben Schlüsselnamen, die Sie ursprünglich zum Erstellen des Schlüssels verwendet haben. Nachdem Sie das Rollieren eines Schlüssels abgeschlossen haben, der einer Datenverschlüsselungsrichtlinie (Data Encryption Policy, DEP) zugeordnet ist, führen Sie ein weiteres Cmdlet aus, um den vorhandenen DEP zu aktualisieren, um sicherzustellen, dass der Kundenschlüssel den neuen Schlüssel verwendet. Führen Sie diesen Schritt in jedem Azure Key Vault (AKV) aus.

Zum Beispiel:

  1. Melden Sie sich mit Azure PowerShell bei Ihrem Azure-Abonnement an. Anweisungen finden Sie unter Anmelden mit Azure PowerShell.

  2. Führen Sie das Cmdlet Add-AzKeyVaultKey wie im folgenden Beispiel gezeigt aus:

    Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")

    Da in diesem Beispiel ein Schlüssel mit dem Namen Contoso-CK-EX-NA-VaultA1-Key001 im Tresor Contoso-CK-EX-NA-VaultA1 vorhanden ist, erstellt das Cmdlet eine neue Version des Schlüssels. Dieser Vorgang behält die vorherigen Schlüsselversionen im Versionsverlauf für den Schlüssel bei. Sie benötigen die vorherige Schlüsselversion, um die Daten zu entschlüsseln, die noch verschlüsselt werden. Nachdem Sie das Rollieren eines schlüssels abgeschlossen haben, der einem DEP zugeordnet ist, führen Sie ein zusätzliches Cmdlet aus, um sicherzustellen, dass Der Kundenschlüssel mit der Verwendung des neuen Schlüssels beginnt. In den folgenden Abschnitten werden die Cmdlets ausführlicher beschrieben.

    Aktualisieren der Schlüssel für DEPs mit mehreren Workloads

    Wenn Sie einen der Azure Key Vault-Schlüssel ausführen, die einem DEP zugeordnet sind, das mit mehreren Workloads verwendet wird, müssen Sie den DEP so aktualisieren, dass er auf den neuen Schlüssel verweist. Bei diesem Prozess wird der Verfügbarkeitsschlüssel nicht rotiert. Die DataEncryptionPolicyID-Eigenschaft ändert sich nicht, wenn Sie sie mit einer neuen Version desselben Schlüssels aktualisieren.

    Führen Sie die folgenden Schritte aus, um den Kundenschlüssel anzuweisen, den neuen Schlüssel zum Verschlüsseln mehrerer Workloads zu verwenden:

    1. Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Complianceadministratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.

    2. Führen Sie das Cmdlet Set-M365DataAtRestEncryptionPolicy aus:

      Set-M365DataAtRestEncryptionPolicy -Identity <Policy>  -Refresh

      Dabei ist Policy der Name oder die eindeutige ID der Richtlinie.

    Aktualisieren der Schlüssel für Exchange Online DEPs

    Wenn Sie einen der Azure Key Vault-Schlüssel ausführen, die einem mit Exchange Online verwendeten DEP zugeordnet sind, müssen Sie den DEP so aktualisieren, dass er auf den neuen Schlüssel verweist. Durch diese Aktion wird der Verfügbarkeitsschlüssel nicht rotiert. Die DataEncryptionPolicyID-Eigenschaft für das Postfach ändert sich nicht, wenn Sie es mit einer neuen Version desselben Schlüssels aktualisieren.

    Führen Sie die folgenden Schritte aus, um den Kundenschlüssel anzuweisen, den neuen Schlüssel zum Verschlüsseln von Postfächern zu verwenden:

    1. Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Complianceadministratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.

    2. Führen Sie das Cmdlet Set-DataEncryptionPolicy aus:

        Set-DataEncryptionPolicy -Identity <Policy> -Refresh

      Dabei ist Policy der Name oder die eindeutige ID der Richtlinie.

Verwenden eines neu generierten Schlüssels für Ihren DEP

Wenn Sie sich dafür entscheiden, neu generierte Schlüssel zu verwenden, anstatt vorhandene schlüssel zu aktualisieren, unterscheidet sich der Prozess zum Aktualisieren Ihrer Datenverschlüsselungsrichtlinien. Anstatt eine vorhandene Richtlinie zu aktualisieren, müssen Sie eine neue Datenverschlüsselungsrichtlinie erstellen und zuweisen, die auf den neuen Schlüssel zugeschnitten ist.

  1. Um einen neuen Schlüssel zu erstellen und ihrem Schlüsseltresor hinzuzufügen, befolgen Sie die Anweisungen unter Hinzufügen eines Schlüssels zu jedem Schlüsseltresor durch Erstellen oder Importieren eines Schlüssels.

  2. Nach dem Hinzufügen zu Ihrem Schlüsseltresor müssen Sie eine neue Datenverschlüsselungsrichtlinie mit dem Schlüssel-URI des neu erstellten Schlüssels erstellen. Anweisungen zum Erstellen und Zuweisen von Datenverschlüsselungsrichtlinien finden Sie unter Verwalten des Kundenschlüssels für Microsoft 365.

Aktualisieren der Schlüssel für SharePoint, OneDrive für Arbeit oder Schule und Teams-Dateien

SharePoint ermöglicht es Ihnen nur, einen Schlüssel gleichzeitig zu verwenden. Wenn Sie beide Schlüssel in einem Schlüsseltresor ausführen möchten, warten Sie, bis der erste Vorgang abgeschlossen ist. Microsoft empfiehlt, ihre Vorgänge zu staffeln, um dieses Problem zu vermeiden. Wenn Sie einen der Azure Key Vault-Schlüssel ausführen, die einem deP zugeordnet sind, das mit SharePoint und OneDrive für Geschäfts-, Schul- oder Unikonten verwendet wird, müssen Sie den DEP so aktualisieren, dass er auf den neuen Schlüssel verweist. Durch diese Aktion wird der Verfügbarkeitsschlüssel nicht rotiert.

  1. Führen Sie das Cmdlet Update-SPODataEncryptionPolicy wie folgt aus:

    Update-SPODataEncryptionPolicy  <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

    Während dieses Cmdlet den Schlüsselrollvorgang für SharePoint und OneDrive für Arbeit oder Schule startet, wird die Aktion nicht sofort abgeschlossen.

  2. Zum Anzeigen des Fortschritts der Generierung eines Rolling-Code für einen Schlüssel, müssen Sie das Cmdlet „Get-SPODataEncryptionPolicy“ wie folgt ausführen:

    Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>