Verwalten des Kundenschlüssels

Nachdem Sie den Kundenschlüssel eingerichtet haben, müssen Sie eine oder mehrere Datenverschlüsselungsrichtlinien (Data Encryption Policies, DEP) erstellen und zuweisen. Nachdem Sie Ihre DEPs zugewiesen haben, können Sie Ihre Schlüssel wie in diesem Artikel beschrieben verwalten. Weitere Informationen zum Kundenschlüssel finden Sie in den verwandten Themen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihrer Organisation helfen können, Anforderungen an Datensicherheit und Compliance zu verwalten. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Erstellen eines DEP für die Verwendung mit mehreren Workloads für alle Mandantenbenutzer

Bevor Sie beginnen, stellen Sie sicher, dass Sie die aufgaben abgeschlossen haben, die zum Einrichten des Kundenschlüssels erforderlich sind. Weitere Informationen finden Sie unter Einrichten des Kundenschlüssels. Zum Erstellen des DEP benötigen Sie die Key Vault URIs, die Sie während des Setups erhalten haben. Weitere Informationen finden Sie unter Abrufen des URI für jeden Azure Key Vault-Schlüssel.

Führen Sie die folgenden Schritte aus, um einen DEP mit mehreren Workloads zu erstellen:

1. Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Complianceadministratorberechtigungen in Ihrer Organisation verfügt, eine Verbindung mit Exchange Online PowerShell her.

2. Verwenden Sie zum Erstellen eines DEP das Cmdlet New-M365DataAtRestEncryptionPolicy.

   New-M365DataAtRestEncryptionPolicy -Name <PolicyName> -AzureKeyIDs <KeyVaultURI1, KeyVaultURI2> [-Description <String>]
   

   Dabei gilt:

   • PolicyName ist der Name, den Sie für die Richtlinie verwenden möchten. Namen dürfen keine Leerzeichen enthalten. Beispiel: Contoso_Global.

   • KeyVaultURI1 ist der URI für den ersten Schlüssel in der Richtlinie. Beispiel: https://contosoWestUSvault1.vault.azure.net/keys/Key_01.

   • KeyVaultURI2 ist der URI für den zweiten Schlüssel in der Richtlinie. Beispiel: https://contosoCentralUSvault1.vault.azure.net/keys/Key_02. Trennen Sie die beiden URI mittels Komma und Leerzeichen.

   • Die Richtlinienbeschreibung ist eine benutzerfreundliche Beschreibung der Richtlinie, die Ihnen hilft, sich daran zu erinnern, wofür die Richtlinie vorgesehen ist. In der Beschreibung sind Leerzeichen erlaubt. Beispiel: "Stammrichtlinie für mehrere Workloads für alle Benutzer im Mandanten".

Beispiel:

New-M365DataAtRestEncryptionPolicy -Name "Contoso_Global" -AzureKeyIDs "https://contosoWestUSvault1.vault.azure.net/keys/Key_01","https://contosoCentralUSvault1.vault.azure.net/keys/Key_02" -Description "Policy for multiple workloads for all users in the tenant."

Zuweisen einer Richtlinie für mehrere Workloads

Weisen Sie den DEP mithilfe des Cmdlets Set-M365DataAtRestEncryptionPolicyAssignment zu. Nachdem Sie die Richtlinie zugewiesen haben, verschlüsselt Microsoft 365 die Daten mit dem im DEP identifizierten Schlüssel.

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName or ID>

Dabei ist PolicyName der Name der Richtlinie. Beispiel: Contoso_Global.

Beispiel:

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy "Contoso_Global"

Erstellen eines DEP für die Verwendung mit Exchange Online Postfächern

Bevor Sie beginnen, stellen Sie sicher, dass Sie die aufgaben abgeschlossen haben, die zum Einrichten von Azure Key Vault erforderlich sind. Weitere Informationen finden Sie unter Einrichten des Kundenschlüssels. Sie führen diese Schritte in Exchange Online PowerShell aus.

Eine Datenverschlüsselungsrichtlinie (DEP) ist mit einer Reihe von im Azure Key Vault gespeicherten Schlüsseln verknüpft. Sie weisen einem Postfach in Microsoft 365 einen DEP zu. Microsoft 365 verwendet dann die in der Richtlinie identifizierten Schlüssel, um das Postfach zu verschlüsseln. Zum Erstellen des DEP benötigen Sie die Key Vault URIs, die Sie während des Setups erhalten haben. Weitere Informationen finden Sie unter Abrufen des URI für jeden Azure Key Vault-Schlüssel.

Nicht vergessen! Wenn Sie einen DEP erstellen, geben Sie zwei Schlüssel in zwei verschiedenen Azure Key Vaults an. Erstellen Sie diese Schlüssel in zwei separaten Azure-Regionen, um Georedundanz sicherzustellen.

Führen Sie die folgenden Schritte aus, um einen DEP für die Verwendung mit einem Postfach zu erstellen:

1. Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Exchange Online Administratorberechtigungen in Ihrer Organisation verfügt, eine Verbindung mit Exchange Online PowerShell her.

2. Um eine Datenverschlüsselungsrichtlinie zu erstellen, verwenden Sie das Cmdlet „New-DataEncryptionPolicy“, indem Sie den folgenden Befehl eingeben.

   New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>
   

   Dabei gilt:

   • PolicyName ist der Name, den Sie für die Richtlinie verwenden möchten. Namen dürfen keine Leerzeichen enthalten. Beispiel: USA_Postfächer.

   • Die Richtlinienbeschreibung ist eine benutzerfreundliche Beschreibung der Richtlinie, die Ihnen hilft, sich daran zu erinnern, wofür die Richtlinie vorgesehen ist. In der Beschreibung sind Leerzeichen erlaubt. Beispiel: "Stammschlüssel für Postfächer in den USA und ihren Territorien".

   • KeyVaultURI1 ist der URI für den ersten Schlüssel in der Richtlinie. Beispiel: https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.

   • KeyVaultURI2 ist der URI für den zweiten Schlüssel in der Richtlinie. Beispiel: https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02. Trennen Sie die beiden URI mittels Komma und Leerzeichen.

   Beispiel:

   New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault02.vault.azure.net/keys/USA_key_01, https://contoso_CentralUSvault02.vault.azure.net/keys/USA_Key_02
   

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-DataEncryptionPolicy.

Zuweisen einer Datenverschlüsselungsrichtlinie (DEP) zu einem Postfach

Zuweisen der Datenverschlüsselungsrichtlinie (DEP) zu einem Postfach mithilfe des Cmdlets „Set-Mailbox“. Nachdem Sie die Richtlinie zugewiesen haben, kann Microsoft 365 das Postfach mit dem im DEP identifizierten Schlüssel verschlüsseln.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

Wobei MailboxIdParameter ein Benutzerpostfach angibt. Weitere Informationen zum Cmdlet „Set-Mailbox“ finden Sie unter Set-Mailbox.

In Hybridumgebungen können Sie den lokalen Postfachdaten, die mit Ihrem Exchange Online Mandanten synchronisiert werden, einen DEP zuweisen. Um diesen synchronisierten Postfachdaten einen DEP zuzuweisen, verwenden Sie das Cmdlet Set-MailUser. Weitere Informationen zu Postfachdaten in der Hybridumgebung finden Sie unter Lokale Postfächer mit Outlook für iOS und Android mit moderner Hybridauthentifizierung.

Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>

Wobei MailUserIdParameter einen E-Mail-Benutzer angibt (auch als E-Mail-aktivierter Benutzer bezeichnet). Weitere Informationen zum Cmdlet Set-MailUser finden Sie unter Set-MailUser.

Erstellen eines DEP für die Verwendung mit SharePoint Online, OneDrive for Business und Teams-Dateien

Bevor Sie beginnen, stellen Sie sicher, dass Sie die aufgaben abgeschlossen haben, die zum Einrichten von Azure Key Vault erforderlich sind. Weitere Informationen finden Sie unter Einrichten des Kundenschlüssels.

Um Kundenschlüssel für SharePoint Online-, OneDrive for Business- und Teams-Dateien einzurichten, führen Sie diese Schritte in SharePoint Online PowerShell aus.

Sie ordnen einen DEP einem Satz von Schlüsseln zu, die in Azure Key Vault gespeichert sind. Sie wenden eine Datenverschlüsselungsrichtlinie (DEP) auf alle Ihre Daten an einem geografischen Standort an, der auch als Geo bezeichnet wird. Wenn Sie das Multi-Geo-Feature von Office 365 verwenden, können Sie einen DEP pro geografischem Standort mit der Möglichkeit erstellen, unterschiedliche Schlüssel pro geografischer Region zu verwenden. Wenn Sie nicht multi-geo verwenden, können Sie einen DEP in Ihrer Organisation für die Verwendung mit SharePoint Online, OneDrive for Business und Teams-Dateien erstellen. Microsoft 365 verwendet die im DEP identifizierten Schlüssel, um Ihre Daten in diesem geografischen Raum zu verschlüsseln. Zum Erstellen des DEP benötigen Sie die Key Vault URIs, die Sie während des Setups erhalten haben. Weitere Informationen finden Sie unter Abrufen des URI für jeden Azure Key Vault-Schlüssel.

Nicht vergessen! Wenn Sie einen DEP erstellen, geben Sie zwei Schlüssel in zwei verschiedenen Azure Key Vaults an. Erstellen Sie diese Schlüssel in zwei separaten Azure-Regionen, um Georedundanz sicherzustellen.

Zum Erstellen eines DEP müssen Sie SharePoint Online PowerShell verwenden.

1. Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administratorberechtigungen in Ihrer Organisation verfügt, eine Verbindung mit SharePoint Online PowerShell her.

2. Führen Sie in der Microsoft SharePoint Online Management-Shell das Cmdlet Register-SPODataEncryptionPolicy wie folgt durch:

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>
   

   Beispiel:

   Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'stageRG3vault' -PrimaryKeyName 'SPKey3' -PrimaryKeyVersion 'f635a23bd4a44b9996ff6aadd88d42ba' -SecondaryKeyVaultName 'stageRG5vault' -SecondaryKeyName 'SPKey5' -SecondaryKeyVersion '2b3e8f1d754f438dacdec1f0945f251a'
   

   Sobald Sie die Datenverschlüsselungsrichtlinie (DEP) registrieren, beginnt die Verschlüsselung der Daten im Geo. Die Verschlüsselung kann einige Zeit in Anspruch nehmen. Weitere Informationen zur Verwendung dieses Parameters finden Sie unter Register-SPODataEncryptionPolicy.

Anzeigen der DEPs, die Sie für Exchange Online Postfächer erstellt haben

Verwenden Sie das PowerShell-Cmdlet Get-DataEncryptionPolicy, um eine Liste aller DEPs anzuzeigen, die Sie für Postfächer erstellt haben.

1. Stellen Sie mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administratorberechtigungen in Ihrer Organisation verfügt, eine Verbindung mit Exchange Online PowerShell her.

2. Führen Sie das Cmdlet Get-DataEncryptionPolicy ohne Parameter aus, um alle DEPs in Ihrer Organisation zurückzugeben.

   Get-DataEncryptionPolicy
   

   Weitere Informationen zum Cmdlet Get-DataEncryptionPolicy finden Sie unter Get-DataEncryptionPolicy.

Zuweisen eines DEP vor dem Migrieren eines Postfachs in die Cloud

Wenn Sie den DEP zuweisen, verschlüsselt Microsoft 365 den Inhalt des Postfachs mithilfe des zugewiesenen DEP während der Migration. Dieser Prozess ist effizienter als das Migrieren des Postfachs, das Zuweisen des DEP und das Warten auf die Verschlüsselung, was Stunden oder möglicherweise Tage dauern kann.

Um einem Postfach ein DEP zuzuweisen, bevor Sie es zu Office 365 migrieren, führen Sie das Cmdlet Set-MailUser in Exchange Online PowerShell aus:

1. Stellen Sie mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administratorberechtigungen in Ihrer Organisation verfügt, eine Verbindung mit Exchange Online PowerShell her.

2. Führen Sie das Cmdlet Set-MailUser aus.

   Set-MailUser -Identity <GeneralMailboxOrMailUserIdParameter> -DataEncryptionPolicy <DataEncryptionPolicyIdParameter>
   

   Wobei GeneralMailboxOrMailUserIdParameter ein Postfach angibt und DataEncryptionPolicyIdParameter die ID des DEP ist. Weitere Informationen zum Cmdlet Set-MailUser finden Sie unter Set-MailUser.

Ermitteln der Datenverschlüsselungsrichtlinie (DEP), die einem Postfach zugewiesen ist

Verwenden Sie das Cmdlet „Get-MailboxStatistics“, um zu ermitteln, welche Datenverschlüsselungsrichtlinie (DEP) einem Postfach zugewiesen ist. Das Cmdlet meldet einen eindeutigen Bezeichner (GUID) zurück.

1. Stellen Sie mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administratorberechtigungen in Ihrer Organisation verfügt, eine Verbindung mit Exchange Online PowerShell her.

   Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID
   

   Wobei GeneralMailboxOrMailUserIdParameter ein Postfach angibt und DataEncryptionPolicyID die GUID des DEP zurückgibt. Weitere Informationen zum Cmdlet „Get-MailboxStatistics“ finden Sie unter Get-MailboxStatistics.

2. Führen Sie das Cmdlet Get-DataEncryptionPolicy aus, um den Anzeigenamen des DEP zu ermitteln, dem das Postfach zugewiesen ist.

   Get-DataEncryptionPolicy <GUID>
   

   Dabei ist der GUID derjenige GUID, der vom Cmdlet „Get-MailboxStatistics“ im vorherigen Schritt zurückgemeldet wurde.

Vergewissern Sie sich, dass die Verschlüsselung für den Kundenschlüssel abgeschlossen ist.

Unabhängig davon, ob Sie einen Kundenschlüssel rolliert, einen neuen DEP zugewiesen oder ein Postfach migriert haben, verwenden Sie die Schritte in diesem Abschnitt, um sicherzustellen, dass die Verschlüsselung abgeschlossen ist.

Überprüfen, ob die Verschlüsselung für Exchange Online Postfächer abgeschlossen ist

Das Verschlüsseln eines Postfachs kann einige Zeit in Anspruch nehmen. Bei der erstmaligen Verschlüsselung muss das Postfach auch vollständig von einer Datenbank in eine andere verschoben werden, bevor der Dienst das Postfach verschlüsseln kann.

Verwenden Sie das Cmdlet „Get-MailboxStatistics“, um festzustellen, ob ein Postfach verschlüsselt ist.

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

Die IsEncrypted-Eigenschaft gibt den Wert true zurück, wenn das Postfach verschlüsselt ist, und den Wert false , wenn das Postfach nicht verschlüsselt ist. Die Dauer der Postfachverschiebung hängt von der Anzahl der Postfächer ab, denen Sie zum ersten Mal einen DEP zuweisen, und der Größe der Postfächer. Wenn die Postfächer nach einer Woche nach der Zuweisung des DEP nicht verschlüsselt wurden, wenden Sie sich an Microsoft.

Das Cmdlet New-MoveRequest ist für lokale Postfachverschiebungen nicht mehr verfügbar. Weitere Informationen finden Sie in dieser Ankündigung .

Überprüfen, ob die Verschlüsselung für SharePoint Online-, OneDrive for Business- und Teams-Dateien abgeschlossen ist

Überprüfen Sie den Status der Verschlüsselung, indem Sie das Cmdlet Get-SPODataEncryptionPolicy wie folgt ausführen:

   Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>

Die Ausgabe dieses Cmdlets umfasst Folgendes:

• URI des Primärschlüssels.

• URI des Sekundärschlüssels.

• Verschlüsselungsstatus für den Geo. Mögliche weitere Angaben:

  • Unregistered: (Nicht registriert) Die Customer Key-Verschlüsselung wurde noch nicht angewendet.

  • Registering: (Registrierung läuft) Die Customer Key-Verschlüsselung wurde angewendet wurde und Ihre Dateien werden gegenwärtig gerade verschlüsselt. Wenn der Schlüssel für den geografischen Standort registriert ist, werden Ihnen auch Informationen dazu angezeigt, wie viele Websites im geografischen Raum vollständig sind, sodass Sie den Verschlüsselungsfortschritt überwachen können.

  • Registered: (Registriert) Die Customer Key- Verschlüsselung wurde angewendet, und alle Dateien auf allen Websites wurden verschlüsselt.

  • Rolling: Das Erstellen eines sich fortlaufend ändernden, sogenannten Rolling-Codes für den Schlüssel ist in Gang. Wenn der Schlüssel für den geografischen Bereich rollt, werden Ihnen auch Informationen dazu angezeigt, wie viel Prozent der Standorte den Schlüsselrollvorgang abgeschlossen haben, damit Sie den Fortschritt überwachen können.

• Es gibt auch den Prozentsatz der Websites aus, die integriert wurden.

Abrufen von Details zu DEPs, die Sie mit mehreren Workloads verwenden

Führen Sie die folgenden Schritte aus, um Details zu allen DEPs zu erhalten, die Sie für die Verwendung mit mehreren Workloads erstellt haben:

1. Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Complianceadministratorberechtigungen in Ihrer Organisation verfügt, eine Verbindung mit Exchange Online PowerShell her.

   • Führen Sie diesen Befehl aus, um die Liste aller DEPs mit mehreren Workloads in der Organisation zurückzugeben.

     Get-M365DataAtRestEncryptionPolicy
     

   • Führen Sie diesen Befehl aus, um Details zu einem bestimmten DEP zurückzugeben. In diesem Beispiel werden ausführliche Informationen für den DEP mit dem Namen "Contoso_Global" zurückgegeben.

     Get-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global"
     

Abrufen von DEP-Zuweisungsinformationen für mehrere Workloads

Führen Sie die folgenden Schritte aus, um herauszufinden, welches DEP Ihrem Mandanten derzeit zugewiesen ist.

1. Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Complianceadministratorberechtigungen in Ihrer Organisation verfügt, eine Verbindung mit Exchange Online PowerShell her.

2. Geben Sie diesen Befehl ein.

   Get-M365DataAtRestEncryptionPolicyAssignment
   

Deaktivieren eines DEP mit mehreren Workloads

Bevor Sie eine DEP mit mehreren Workloads deaktivieren, heben Sie die Zuweisung des DEP für Workloads in Ihrem Mandanten auf. Führen Sie die folgenden Schritte aus, um einen DEP zu deaktivieren, der mit mehreren Workloads verwendet wird:

1. Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Complianceadministratorberechtigungen in Ihrer Organisation verfügt, eine Verbindung mit Exchange Online PowerShell her.

2. Führen Sie das Cmdlet Set-M365DataAtRestEncryptionPolicy aus.

   Set-M365DataAtRestEncryptionPolicy -[Identity] "PolicyName" -Enabled $false
   

Dabei ist PolicyName der Name oder die eindeutige ID der Richtlinie. Beispiel: Contoso_Global.

Beispiel:

Set-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global" -Enabled $false

Wiederherstellen von Azure Key Vault-Schlüsseln

Verwenden Sie vor dem Ausführen einer Wiederherstellung die von Soft Delete bereitgestellten Wiederherstellungsfunktionen. Für alle mit Customer Key verwendeten Schlüssel muss Soft Delete aktiviert sein. Soft Delete wirkt wie ein Recycling-Mülleimer und ermöglicht die Wiederherstellung von bis zu 90 Tagen, ohne dass eine Wiederherstellung erforderlich ist. Eine Wiederherstellung sollte nur unter extremen und außergewöhnlichen Umständen erforderlich sein, beispielsweise, wenn ein Schlüssel oder ein Schlüsseltresor verloren geht. Wenn Sie einen Schlüssel zur Verwendung mit Customer Key wiederherstellen müssen, führen Sie in Azure PowerShell das Cmdlet „Restore-AzureKeyVaultKey“ wie folgt aus:

Restore-AzKeyVaultKey -VaultName <vault name> -InputFile <filename>

Beispiel:

Restore-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Wenn der Schlüsseltresor bereits einen Schlüssel mit demselben Namen enthält, schlägt der Wiederherstellungsvorgang fehl. Restore-AzKeyVaultKey stellt alle Schlüsselversionen und alle Metadaten für den Schlüssel einschließlich des Schlüsselnamens wieder her.

Verwalten von Schlüsseltresor-Berechtigungen

Mehrere Cmdlets stehen zur Verfügung, mit denen Sie die Schlüsseltresor-Berechtigungen ansehen und, falls erforderlich, entfernen können. Möglicherweise müssen Sie Berechtigungen entfernen, beispielsweise, wenn ein Mitarbeiter das Team verlässt. Für jede dieser Aufgaben verwenden Sie Azure PowerShell. Informationen zu Azure PowerShell finden Sie unter Übersicht über Azure PowerShell.

Führen Sie das Cmdlet Get-AzKeyVault aus, um Key Vault-Berechtigungen anzuzeigen.

Get-AzKeyVault -VaultName <vault name>

Beispiel:

Get-AzKeyVault -VaultName Contoso-O365EX-NA-VaultA1

Führen Sie das Cmdlet Remove-AzKeyVaultAccessPolicy aus, um die Berechtigungen eines Administrators zu entfernen:

Remove-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user>

Beispiel:

Remove-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -UserPrincipalName alice@contoso.com

Rollback vom Kundenschlüssel zu von Microsoft verwalteten Schlüsseln

Wenn Sie zu von Microsoft verwalteten Schlüsseln wiederherstellen müssen, ist dies möglich. Beim Offboarden werden Ihre Daten mit der von jeder einzelnen Workload unterstützten Standardverschlüsselung erneut verschlüsselt. Beispielsweise unterstützt Exchange Online die Standardverschlüsselung mit von Microsoft verwalteten Schlüsseln.

Wichtig

Offboarding ist nicht dasselbe wie eine Datenbereinigung. Eine Datenbereinigung löscht die Daten Ihrer Organisation dauerhaft aus Microsoft 365, Offboarding nicht. Sie können keine Datenlöschung für eine Richtlinie mit mehreren Workloads durchführen.

Wenn Sie den Kundenschlüssel nicht mehr für die Zuweisung von DEPs mit mehreren Workloads verwenden möchten, müssen Sie über Ihr Microsoft-Verwaltungsportal ein Supportticket erstellen und die folgenden Details in Ihrer Anfrage angeben:

1. Mandanten-FQDN
2. Mandantenkontakt für offboarding-Anforderung
3. Grund für das Offboarding
4. Fügen Sie einen Hinweis in das Serviceticket ein, dass die Anforderung an das M365 Customer Key-Team weitergeleitet werden soll, und fügen Sie den Incident ein. #

Sie müssen Ihre Kundenschlüssel-AKVs und Verschlüsselungsschlüssel weiterhin mit den richtigen Berechtigungen aufbewahren, damit Daten mit von Microsoft verwalteten Schlüsseln erneut angewendet werden können. Wenn Sie Fragen haben, wenden Sie sich bitte an m365-ck@service.microsoft.com .

Wenn Sie einzelne Postfächer nicht mehr mithilfe von DEPs auf Postfachebene verschlüsseln möchten, können Sie die Zuweisung von DEPs auf Postfachebene für alle Postfächer aufheben.

Um die Zuweisung von Postfach-DEPs aufzuheben, verwenden Sie das PowerShell-Cmdlet Set-Mailbox.

1. Stellen Sie mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administratorberechtigungen in Ihrer Organisation verfügt, eine Verbindung mit Exchange Online PowerShell her.

2. Führen Sie das Cmdlet Set-Mailbox aus.

   Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy $null
   

Wenn Sie dieses Cmdlet ausführen, hebt die Zuweisung des derzeit zugewiesenen DEP auf und verschlüsselt das Postfach mithilfe des DEP, das den von Microsoft verwalteten Standardschlüsseln zugeordnet ist. Sie können die Zuweisung des von Microsoft verwalteten Schlüsseln verwendeten DEP nicht aufheben. Wenn Sie keine von Microsoft verwalteten Schlüssel verwenden möchten, können Sie dem Postfach einen anderen Kundenschlüssel-DEP zuweisen.

Wichtig

Ein Rollback von Kundenschlüssel zu von Microsoft verwalteten Schlüsseln wird für SharePoint Online-, OneDrive for Business- und Teams-Dateien nicht unterstützt.

Widerrufen Sie Ihre Schlüssel, und starten Sie den Datenlöschpfadprozess.

Sie steuern die Sperrung aller Stammschlüssel einschließlich des Verfügbarkeitsschlüssels. Customer Key bietet Ihnen die Kontrolle über den Aspekt der Exitplanung der gesetzlichen Anforderungen. Wenn Sie Ihre Schlüssel widerrufen möchten, um Ihre Daten zu bereinigen und den Dienst zu beenden, löscht der Dienst den Verfügbarkeitsschlüssel nach Abschluss des Datenlöschvorgangs. Dies wird für Kundenschlüssel-DEPs unterstützt, die einzelnen Postfächern zugewiesen sind.

Microsoft 365 überwacht und überprüft den Datenlöschpfad. Weitere Informationen finden Sie im SSAE 18 SOC 2-Bericht, der im Service Trust Portal verfügbar ist. Darüber hinaus empfiehlt Microsoft die folgenden Dokumente:

• Leitfaden zur Risikobewertung und Compliance für Finanzinstitute in der Microsoft Cloud

• Überlegungen zur O365-Beendigungsplanung

Das Bereinigen von DEP mit mehreren Workloads wird für Kundenschlüssel nicht unterstützt. Der DEP mit mehreren Workloads wird verwendet, um Daten über mehrere Workloads hinweg für alle Mandantenbenutzer zu verschlüsseln. Das Bereinigen eines solchen DEP würde dazu führen, dass auf Daten aus mehreren Workloads nicht mehr zugegriffen werden kann. Wenn Sie microsoft 365-Dienste vollständig beenden möchten, können Sie den Pfad der Mandantenlöschung gemäß dem dokumentierten Prozess verfolgen. Erfahren Sie , wie Sie einen Mandanten in Azure Active Directory löschen.

Widerrufen Sie Ihre Kundenschlüssel und den Verfügbarkeitsschlüssel für Exchange Online und Skype for Business

Wenn Sie den Datenbereinigungspfad für Exchange Online und Skype for Business initiieren, legen Sie eine permanente Datenbereinigungsanforderung für einen DEP fest. Dadurch werden verschlüsselte Daten in den Postfächern, denen dieser DEP zugewiesen ist, dauerhaft gelöscht.

Da Sie das PowerShell-Cmdlet jeweils nur für einen DEP ausführen können, sollten Sie erwägen, allen Postfächern einen einzelnen DEP neu zuzuweisen, bevor Sie den Datenbereinigungspfad initiieren.

Warnung

Verwenden Sie den Datenlöschpfad nicht, um eine Teilmenge Ihrer Postfächer zu löschen. Dieser Prozess ist nur für Kunden vorgesehen, die den Dienst beenden.

Führen Sie die folgenden Schritte aus, um den Datenlöschpfad zu initiieren:

1. Entfernen Sie die Berechtigungen zum Umbrechen und Entpacken für "O365 Exchange Online" aus Azure Key Vaults.

2. Stellen Sie mithilfe eines Geschäfts-, Schul- oder Unikontos mit globalen Administratorrechten in Ihrer Organisation eine Verbindung mit Exchange Online PowerShell her.

3. Führen Sie für jedes DEP, das zu löschende Postfächer enthält, das Cmdlet Set-DataEncryptionPolicy wie folgt aus.

   Set-DataEncryptionPolicy <Policy ID> -PermanentDataPurgeRequested -PermanentDataPurgeReason <Reason> -PermanentDataPurgeContact <ContactName>
   

   Wenn der Befehl fehlschlägt, stellen Sie sicher, dass Sie die Exchange Online Berechtigungen aus beiden Schlüsseln in Azure Key Vault entfernt haben, wie weiter oben in dieser Aufgabe angegeben. Nachdem Sie den PermanentDataPurgeRequested-Schalter mit dem Cmdlet Set-DataEncryptionPolicy festgelegt haben, können Sie diesen DEP nicht mehr Postfächern zuweisen.

4. Wenden Sie sich an den Microsoft-Support, und fordern Sie das Datenlöschungs-eDocument an.

   Auf Ihre Anfrage sendet Microsoft Ihnen ein rechtliches Dokument zur Bestätigung und Autorisierung der Datenlöschung. Die Person in Ihrer Organisation, die sich während des Onboardings als genehmigende Person beim FastTrack-Angebot registriert hat, muss dieses Dokument signieren. Normalerweise handelt es sich dabei um eine Führungskraft oder eine andere benannte Person in Ihrem Unternehmen, die gesetzlich berechtigt ist, die Unterlagen im Namen Ihrer Organisation zu unterzeichnen.

5. Nachdem Ihr Vertreter das rechtliche Dokument unterzeichnet hat, geben Sie es an Microsoft zurück (in der Regel über eine eDoc-Signatur).

   Sobald Microsoft das rechtliche Dokument erhalten hat, führt Microsoft Cmdlets aus, um die Datenlöschung auszulösen, die zuerst die Richtlinie löscht, die Postfächer zum endgültigen Löschen markiert und dann den Verfügbarkeitsschlüssel löscht. Sobald der Datenlöschvorgang abgeschlossen ist, wurden die Daten gelöscht, sind für Exchange Online nicht mehr zugänglich und können nicht wiederhergestellt werden.

Widerrufen Ihrer Kundenschlüssel und des Verfügbarkeitsschlüssels für SharePoint Online-, OneDrive for Business- und Teams-Dateien

Das Bereinigen von SharePoint,OneDrive für Geschäfts-, Schul- oder Uni- und Teams-Dateien wird in Customer Key nicht unterstützt. Diese DEPs mit mehreren Workloads werden verwendet, um Daten über mehrere Workloads hinweg für alle Mandantenbenutzer zu verschlüsseln. Das Bereinigen eines solchen DEP würde dazu führen, dass auf Daten aus mehreren Workloads nicht mehr zugegriffen werden kann. Wenn Sie microsoft 365-Dienste vollständig beenden möchten, können Sie den Pfad der Mandantenlöschung gemäß dem dokumentierten Prozess verfolgen. Erfahren Sie, wie Sie einen Mandanten in Azure Active Directory löschen.

Verwandte Artikel

• Dienstverschlüsselung mit Microsoft Purview Customer Key

• Informationen zum Verfügbarkeitsschlüssel

• Einrichten des Kundenschlüssels

• Rollen oder Drehen eines Kundenschlüssels oder eines Verfügbarkeitsschlüssels

• Customer Lockbox

• Dienstverschlüsselung