Dienstverschlüsselung mit Microsoft Purview-Kundenschlüssel

Microsoft 365 bietet grundlegende Verschlüsselung auf Volumeebene, die über BitLocker und Distributed Key Manager (DKM) aktiviert ist. Microsoft 365 bietet eine zusätzliche Verschlüsselungsebene für Ihre Inhalte. Diese Inhalte umfassen Daten aus Exchange Online, Skype for Business, SharePoint Online, OneDrive for Business und Microsoft Teams.

Tipp

Wenn Sie kein E5-Kunde sind, können Sie alle Premium-Features in Microsoft Purview kostenlos testen. Verwenden Sie die 90-tägige Testversion von Purview-Lösungen, um zu erfahren, wie robuste Purview-Funktionen Ihrer Organisation bei der Verwaltung der Anforderungen an Datensicherheit und Compliance helfen können. Starten Sie jetzt im Microsoft Purview-Complianceportal Testversionen-Hub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Zusammenarbeit von Dienstverschlüsselung, BitLocker und Kundenschlüssel

Ihre ruhenden Daten werden im Microsoft 365-Dienst immer mit BitLocker und DKM verschlüsselt. Weitere Informationen finden Sie unter Wie Exchange Online Ihre geheimen E-Mail-Schlüssel schützt. Customer Key bietet zusätzlichen Schutz vor der Anzeige von Daten durch nicht autorisierte Systeme oder Mitarbeiter und ergänzt die BitLocker-Datenträgerverschlüsselung in Microsoft-Rechenzentren. Die Dienstverschlüsselung soll nicht verhindern, dass Microsoft-Mitarbeiter auf Ihre Daten zugreifen. Stattdessen hilft Ihnen Customer Key bei der Einhaltung gesetzlicher Vorschriften oder Compliance-Verpflichtungen bei der Kontrolle von Stammschlüsseln. Sie autorisieren Microsoft 365-Dienste explizit, Ihre Verschlüsselungsschlüssel zu verwenden, um mehrwertige Clouddienste wie eDiscovery, Antischadsoftware, Antispam, Suchindizierung usw. bereitzustellen.

Customer Key basiert auf der Dienstverschlüsselung und ermöglicht die Bereitstellung und Steuerung von Verschlüsselungsschlüsseln. Microsoft 365 verwendet diese Schlüssel dann, um Ihre ruhenden Daten zu verschlüsseln, wie in den Onlinedienstbedingungen (ONLINE Services Terms, OST) beschrieben. Customer Key hilft Ihnen, Complianceverpflichtungen zu erfüllen, da Sie die Verschlüsselungsschlüssel steuern, die Microsoft 365 zum Verschlüsseln und Entschlüsseln von Daten verwendet.

Customer Key verbessert die Fähigkeit Ihrer Organisation, die Anforderungen der Complianceanforderungen zu erfüllen, die wichtige Vereinbarungen mit dem Clouddienstanbieter angeben. Mit Customer Key können Sie die Stammverschlüsselungsschlüssel für Ihre ruhenden Microsoft 365-Daten auf Anwendungsebene bereitstellen und steuern. Daher üben Sie die Kontrolle über die Schlüssel Ihrer Organisation aus.

Customer Key mit Hybridbereitstellungen

Customer Key verschlüsselt nur ruhenden Daten in der Cloud. Der Kundenschlüssel funktioniert nicht, um Ihre lokalen Postfächer und Dateien zu schützen. Sie können Ihre lokalen Daten mit einer anderen Methode verschlüsseln, z. B. BitLocker.

Informationen zu Datenverschlüsselungsrichtlinien

Eine Datenverschlüsselungsrichtlinie (DEP) definiert die Verschlüsselungshierarchie. Diese Hierarchie wird vom Dienst verwendet, um Daten mit jedem von Ihnen verwalteten Schlüssel und dem von Microsoft geschützten Verfügbarkeitsschlüssel zu verschlüsseln. Sie erstellen DEPs mithilfe von PowerShell-Cmdlets und weisen diese DEPs dann zum Verschlüsseln von Anwendungsdaten zu. Es gibt drei Typen von DEPs, die von Customer Key unterstützt werden, wobei jeder Richtlinientyp unterschiedliche Cmdlets verwendet und eine Abdeckung für einen anderen Datentyp bietet. Zu den dePs, die Sie definieren können, gehören:

DEP für mehrere Microsoft 365-Workloads Diese DEPs verschlüsseln Daten über mehrere M365-Workloads hinweg für alle Benutzer innerhalb des Mandanten. Zu diesen Workloads gehören:

  • Teams-Chatnachrichten (1:1-Chats, Gruppenchats, Besprechungschats und Kanalunterhaltungen)

  • Teams-Mediennachrichten (Bilder, Codeausschnitte, Videonachrichten, Audionachrichten, Wiki-Bilder)

  • Teams-Anruf- und Besprechungsaufzeichnungen, die im Teams-Speicher gespeichert sind

  • Teams-Chatbenachrichtigungen

  • Teams-Chatvorschläge von Cortana

  • Teams-Statusmeldungen

  • Benutzer- und Signalinformationen für Exchange Online

  • Exchange Online Postfächer, die noch nicht durch Postfach-DEPs verschlüsselt wurden

  • Microsoft Purview Information Protection:

    • Genaue Datenübereinstimmungsdaten (EDM), einschließlich Datendateischemas, Regelpakete und der Salte, die zum Hashen der vertraulichen Daten verwendet werden. Bei EDM und Microsoft Teams verschlüsselt die DEP mit mehreren Workloads neue Daten ab dem Zeitpunkt, zu dem Sie die DEP dem Mandanten zuweisen. Für Exchange Online verschlüsselt Customer Key alle vorhandenen und neuen Daten.

    • Bezeichnungskonfiguration für Vertraulichkeitsbezeichnungen

DePs mit mehreren Workloads verschlüsseln die folgenden Datentypen nicht. Stattdessen verwendet Microsoft 365 andere Verschlüsselungstypen, um diese Daten zu schützen.

  • SharePoint- und OneDrive for Business-Daten.
  • Microsoft Teams-Dateien und einige in OneDrive for Business und SharePoint Online gespeicherte Teams-Anruf- und Besprechungsaufzeichnungen werden mithilfe der SharePoint Online-DEP verschlüsselt.
  • Andere Microsoft 365-Workloads wie Yammer und Planner, die derzeit nicht von Customer Key unterstützt werden.
  • Teams Live Event-Daten.

Sie können mehrere DEPs pro Mandant erstellen, aber jeweils nur eine DEP zuweisen. Wenn Sie die DEP zuweisen, beginnt die Verschlüsselung automatisch, aber je nach Größe Ihres Mandanten dauert es einige Zeit, bis sie abgeschlossen ist.

DEPs für Exchange Online Postfächer Postfach-DEPs bieten eine präzisere Kontrolle über einzelne Postfächer innerhalb Exchange Online. Verwenden Sie Postfach-DEPs zum Verschlüsseln von Daten, die in EXO-Postfächern unterschiedlicher Typen wie UserMailbox-, MailUser-, Group-, PublicFolder- und Shared-Postfächer gespeichert sind. Sie können bis zu 50 aktive DEPs pro Mandant haben und diese DEPs einzelnen Postfächern zuweisen. Sie können mehreren Postfächern eine DEP zuweisen.

Standardmäßig werden Ihre Postfächer mithilfe von von Microsoft verwalteten Schlüsseln verschlüsselt. Wenn Sie einem Postfach eine Kundenschlüssel-DEP zuweisen:

  • Wenn das Postfach mit einer DEP mit mehreren Workloads verschlüsselt ist, packt der Dienst das Postfach mithilfe der neuen Postfach-DEP erneut, solange ein Benutzer oder ein Systemvorgang auf die Postfachdaten zugreift.

  • Wenn das Postfach bereits mithilfe von von Microsoft verwalteten Schlüsseln verschlüsselt ist, packt der Dienst das Postfach mithilfe der neuen Postfach-DEP erneut, solange ein Benutzer oder ein Systemvorgang auf die Postfachdaten zugreift.

  • Wenn das Postfach noch nicht mithilfe der Standardverschlüsselung verschlüsselt ist, kennzeichnet der Dienst das Postfach für eine Verschiebung. Die Verschlüsselung erfolgt nach Abschluss der Verschiebung. Postfachverschiebungen werden basierend auf prioritäten gesteuert, die für alle Microsoft 365 festgelegt wurden. Weitere Informationen finden Sie unter "Verschieben von Anforderungen im Microsoft 365-Dienst". Wenn die Postfächer nicht innerhalb der angegebenen Zeit verschlüsselt sind, wenden Sie sich an Microsoft.

Später können Sie entweder die DEP aktualisieren oder dem Postfach eine andere DEP zuweisen, wie unter "Kundenschlüssel für Office 365 verwalten" beschrieben. Jedes Postfach muss über geeignete Lizenzen verfügen, um eine DEP zuzuweisen. Weitere Informationen zur Lizenzierung finden Sie unter "Vor dem Einrichten von Customer Key".

DEPs können einem freigegebenen Postfach, einem Postfach für öffentliche Ordner und einem Microsoft 365-Gruppenpostfach für Mandanten zugewiesen werden, die die Lizenzierungsanforderung für Benutzerpostfächer erfüllen. Sie benötigen keine separaten Lizenzen für nicht benutzerspezifische Postfächer, um Kundenschlüssel-DEP zuzuweisen.

Für Kundenschlüssel-DEPs, die Sie einzelnen Postfächern zuweisen, können Sie anfordern, dass Microsoft bestimmte DEPs löscht, wenn Sie den Dienst verlassen. Informationen zum Datenbereinigungsprozess und zur Schlüsselsperrung finden Sie unter Widerrufen Ihrer Schlüssel und Starten des Datenlöschpfadprozesses.

Wenn Sie den Zugriff auf Ihre Schlüssel im Rahmen des Verlassens des Diensts widerrufen, wird der Verfügbarkeitsschlüssel gelöscht, was zu einer kryptografischen Löschung Ihrer Daten führt. Durch die kryptografische Löschung wird das Risiko der Datenremanenz verringert, was für die Einhaltung von Sicherheits- und Complianceverpflichtungen wichtig ist.

DEP für SharePoint Online und OneDrive for Business Diese DEP wird verwendet, um in SPO und OneDrive for Business gespeicherte Inhalte zu verschlüsseln, einschließlich Microsoft Teams-Dateien, die in SPO gespeichert sind. Wenn Sie das Multi-Geo-Feature verwenden, können Sie eine DEP pro Geo für Ihre Organisation erstellen. Wenn Sie das Multi-Geo-Feature nicht verwenden, können Sie nur eine DEP pro Mandant erstellen. Weitere Informationen finden Sie unter "Einrichten des Kundenschlüssels".

Verschlüsselungschiffren, die vom Kundenschlüssel verwendet werden

Customer Key verwendet verschiedene Verschlüsselungschiffren zum Verschlüsseln von Schlüsseln, wie in den folgenden Abbildungen dargestellt.

Die Schlüsselhierarchie, die für DEPs verwendet wird, die Daten für mehrere Microsoft 365-Workloads verschlüsseln, ähnelt der Hierarchie, die für DEPs für einzelne Exchange Online Postfächer verwendet wird. Der einzige Unterschied besteht darin, dass der Postfachschlüssel durch den entsprechenden Microsoft 365-Workloadschlüssel ersetzt wird.

Verschlüsselungschiffren zum Verschlüsseln von Schlüsseln für Exchange Online und Skype for Business

Verschlüsselungschiffren für Exchange Online Kundenschlüssel.

Verschlüsselungschiffren zum Verschlüsseln von Schlüsseln für SharePoint Online-, OneDrive for Business- und Teams-Dateien

Verschlüsselungschiffren für SharePoint Online-Kundenschlüssel.