Einrichten des Kundenschlüssels

  • Artikel

Mit Customer Key steuern Sie die Verschlüsselungsschlüssel Ihrer Organisation und konfigurieren dann Microsoft 365 so, dass sie zum Verschlüsseln Ruhender Daten in den Rechenzentren von Microsoft verwendet werden. Mit anderen Worten: Customer Key ermöglicht es Kunden, mit ihren Schlüsseln eine Verschlüsselungsebene hinzuzufügen, die Ihnen gehört.

Richten Sie Azure ein, bevor Sie Kundenschlüssel verwenden können. In diesem Artikel werden die Schritte beschrieben, die Sie zum Erstellen und Konfigurieren der erforderlichen Azure-Ressourcen ausführen müssen. Anschließend werden die Schritte zum Einrichten des Kundenschlüssels beschrieben. Nachdem Sie Azure eingerichtet haben, bestimmen Sie, welche Richtlinie und damit welche Schlüssel zum Verschlüsseln von Daten in verschiedenen Microsoft 365-Workloads in Ihrer Organisation zugewiesen werden sollen. Weitere Informationen zum Kundenschlüssel oder eine allgemeine Übersicht finden Sie unter Dienstverschlüsselung mit Microsoft Purview-Kundenschlüssel.

Wichtig

Es wird dringend empfohlen, die bewährten Methoden in diesem Artikel zu befolgen. Diese werden sind als TIPP und WICHTIG bezeichnet. Customer Key ermöglicht Ihnen die Kontrolle über die grundlegenden kryptografischen Schlüssel, deren Geltungsbereich so groß wie Ihre gesamte Organisation sein kann. Dies bedeutet, dass Fehler im Zusammenhang mit diesen Schlüsseln einen großen Einfluss haben und zu Dienstunterbrechungen oder unwiderruflichen Datenverlusten führen können.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihrer Organisation helfen können, Anforderungen an Datensicherheit und Compliance zu verwalten. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Vor dem Einrichten des Kundenschlüssels

Bevor Sie beginnen, stellen Sie sicher, dass Sie über die entsprechenden Azure-Abonnements und die M365/O365-Lizenzierung für Ihre Organisation verfügen. Sie müssen kostenpflichtige Azure-Abonnements verwenden. Abonnements, die Sie über "Kostenlos", "Testversion", "Sponsorships", "MSDN-Abonnements" und "Legacy-Support" erhalten haben, sind nicht berechtigt.

Wichtig

Gültige M365/O365-Lizenzen mit M365-Kundenschlüssel sind:

  • Office 365 E5
  • Microsoft 365 E5
  • Microsoft 365 E5 Compliance
  • & Microsoft 365 E5 Information Protection-Governance-SKUs
  • Microsoft 365 Security and Compliance for FLW

Vorhandene Office 365 Advanced Compliance Lizenzen werden weiterhin unterstützt.

Informationen zu den Konzepten und Verfahren in diesem Artikel finden Sie in der Dokumentation zu Azure Key Vault. Machen Sie sich auch mit den in Azure verwendeten Begriffen vertraut, z. B. Azure AD-Mandant.

Wenn Sie über die Dokumentation hinaus weitere Unterstützung benötigen, wenden Sie sich an Microsoft Consulting Services (MCS), Premier Field Engineering (PFE) oder einen Microsoft-Partner, um Unterstützung zu erhalten. Senden Sie Ihre Ideen, Vorschläge und Perspektiven an , um Feedback zu Customer Key zu geben, einschließlich der Dokumentation.customerkeyfeedback@microsoft.com

Übersicht über die Schritte zum Einrichten des Kundenschlüssels

Zum Einrichten des Kundenschlüssels führen Sie diese Aufgaben in der aufgeführten Reihenfolge aus. Der Rest dieses Artikels enthält ausführliche Anweisungen für jede Aufgabe oder links zu weiteren Informationen für jeden Schritt im Prozess.

In Azure und Microsoft FastTrack:

Sie führen die meisten dieser Aufgaben aus, indem Sie eine Remoteverbindung mit Azure PowerShell herstellen. Um optimale Ergebnisse zu erzielen, sollten Sie Version 4.4.0 oder höher von Azure PowerShell verwenden.

Erledigen von Aufgaben in Azure Key Vault und Microsoft FastTrack für Customer Key

Führen Sie diese Aufgaben in Azure Key Vault aus. Sie müssen diese Schritte für alle DEPs ausführen, die Sie mit Dem Kundenschlüssel verwenden.

Zwei neue Azure-Abonnements erstellen

Der Kundenschlüssel erfordert zwei Azure-Abonnements. Als bewährte Methode empfiehlt Microsoft, neue Azure-Abonnements für die Verwendung mit Customer Key zu erstellen. Azure Key Vault-Schlüssel können nur für Anwendungen im selben Azure Active Directory-Mandanten (Microsoft Azure Active Directory) autorisiert werden. Sie müssen die neuen Abonnements mit demselben Azure AD-Mandanten erstellen, der für Ihre Organisation verwendet wird, dem die DEPs zugewiesen werden. Verwenden Sie beispielsweise Ihr Geschäfts-, Schul- oder Unikonto, das über globale Administratorrechte in Ihrer Organisation verfügt. Weitere Informationen zu den einzelnen Arbeitsschritten finden Sie unter Als Unternehmen für Azure registrieren.

Wichtig

Für Customer Key sind zwei Schlüssel für jede Daten- Verschlüsselungsrichtlinie (DEP) erforderlich. Zu diesem Zweck müssen Sie zwei Azure-Abonnements erstellen. Als bewährte Methode empfiehlt Microsoft, dass separate Mitglieder Ihrer Organisation jeweils einen Schlüssel für jedes Abonnement konfigurieren. Sie sollten diese Azure-Abonnements nur zum Verwalten von Verschlüsselungsschlüsseln für Office 365 verwenden. Auf diese Weise ist Ihre Organisation geschützt, falls einer ihrer Betreiber versehentlich, absichtlich oder in böswilliger Absicht die Schlüssel, für die Sie verantwortlich sind, löscht oder auf andere Weise unsachgemäß handhabt.

Es gibt praktisch keine Beschränkung hinsichtlich der Anzahl von Azure-Abonnements, die Sie für Ihre Organisation erstellen können. Durch die Nutzung dieser bewährten Methoden können Sie die Auswirkungen von menschlichen Fehlern bei der Verwaltung der von Customer Key genutzten Ressourcen minimieren.

Senden einer Anforderung zum Aktivieren von Customer Key für Office 365

Nachdem Sie die beiden neuen Azure-Abonnements erstellt haben, müssen Sie die entsprechende Anforderung für das Kundenschlüsselangebot im Microsoft FastTrack-Portal übermitteln. Die Auswahl, die Sie im Angebotsformular zu den autorisierten Bezeichnungen in Ihrer Organisation treffen, sind wichtig und für den Abschluss der Kundenschlüsselregistrierung erforderlich. Die Leitenden Mitarbeiter in diesen ausgewählten Rollen in Ihrer Organisation stellen die Authentizität jeder Anforderung sicher, alle Schlüssel zu widerrufen und zu zerstören, die mit einer Datenverschlüsselungsrichtlinie für Kundenschlüssel verwendet werden. Sie müssen diesen Schritt einmal für jeden Kundenschlüssel-DEP-Typ ausführen, den Sie für Ihre Organisation verwenden möchten.

Das FastTrack-Team bietet keine Unterstützung beim Kundenschlüssel. Office 365 verwendet einfach das FastTrack-Portal, damit Sie das Formular absenden und uns helfen, die relevanten Angebote für Customer Key nachzuverfolgen. Nachdem Sie die FastTrack-Anforderung übermittelt haben, wenden Sie sich an das entsprechende Customer Key-Onboardingteam, um den Onboardingprozess zu starten.

Führen Sie zur Übermittlung eines Angebots zum Aktivieren von Customer Key die folgenden Schritte aus:

  1. Melden Sie sich mit einem Geschäfts-, Schul- oder Unikonto mit globalen Administratorberechtigungen in Ihrer Organisation beim Microsoft FastTrack-Portal an.

  2. Nachdem Sie angemeldet sind, wählen Sie die entsprechende Domäne aus.

  3. Wählen Sie für die ausgewählte Domäne in der oberen Navigationsleiste Bereitstellen aus, und überprüfen Sie die Liste der verfügbaren Angebote.

  4. Wählen Sie die Informationskarte für das Angebot aus, das für Sie gilt:

    • Mehrere Microsoft 365-Workloads: Wählen Sie die Hilfe zum Anfordern von Verschlüsselungsschlüsseln für das Microsoft 365-Angebot aus.

    • Exchange Online und Skype for Business: Wählen Sie die Hilfe zum Anfordern von Verschlüsselungsschlüsseln für das Exchange-Angebot aus.

    • SharePoint Online-, OneDrive- und Teams-Dateien: Wählen Sie die Hilfe zum Anfordern von Verschlüsselungsschlüsseln für SharePoint und OneDrive for Business Angebot aus.

  5. Nachdem Sie die Angebotsdetails überprüft haben, wählen Sie Mit Schritt 2 fortfahren aus.

  6. Tragen Sie alle relevanten Details und erforderlichen Informationen im Angebotsformular ein. Achten Sie besonders auf Ihre Auswahl, welche MitarbeiterInnen Ihrer Organisation Sie autorisieren, die permanente und unwiderrufliche Vernichtung von kryptografischen Schlüsseln und Daten zu genehmigen. Sobald Sie das Formular ausgefüllt haben, wählen Sie Senden.

Azure- Abonnements registrieren, um einen obligatorischen Aufbewahrungszeitraum zu nutzen.

Der vorübergehende oder dauerhafte Verlust von Stammverschlüsselungsschlüsseln kann für den Dienstbetrieb störend oder sogar katastrophal sein und zu Datenverlusten führen. Aus diesem Grund ist für die mit Customer Key verwendeten Ressourcen ein starker Schutz erforderlich. Alle Azure-Ressourcen, die mit Customer Key verwendet werden, bieten Schutzmechanismen, die weit über die Standardkonfiguration hinaus gehen. Sie können Azure-Abonnements für einen obligatorischen Aufbewahrungszeitraum markieren oder registrieren. Ein obligatorischer Aufbewahrungszeitraum verhindert die sofortige und unwiderrufliche Kündigung Ihres Azure-Abonnements. Die Schritte, die zum Registrieren von Azure-Abonnements für einen obligatorischen Aufbewahrungszeitraum erforderlich sind, erfordern die Zusammenarbeit mit dem Microsoft 365-Team. Zuvor wurde der obligatorische Aufbewahrungszeitraum manchmal als "Nicht stornieren" bezeichnet. Dieser Vorgang dauert fünf Werktage.

Wichtig

Bevor Sie sich an das Microsoft 365-Team wenden, müssen Sie die folgenden Schritte für jedes Azure-Abonnement ausführen, das Sie mit Dem Kundenschlüssel verwenden. Stellen Sie sicher, dass das Azure PowerShell Az-Modul installiert ist, bevor Sie starten.

  1. Melden Sie sich mit Azure PowerShell an. Anweisungen finden Sie unter Anmelden mit Azure PowerShell.

  2. Führen Sie das Cmdlet Register-AzProviderFeature aus, um Ihre Abonnements für die Verwendung eines obligatorischen Aufbewahrungszeitraums zu registrieren. Führen Sie diese Aktion für jedes Abonnement aus.

    Set-AzContext -SubscriptionId <SubscriptionId>
Register-AzProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources

Wenden Sie sich an den entsprechenden Microsoft-Alias, um mit dem Prozess fortzufahren.

Hinweis

Vergewissern Sie sich vor der Kontaktaufnahme mit dem entsprechenden Microsoft-Alias, dass Sie Ihre FastTrack-Anforderungen für den M365-Kundenschlüssel abgeschlossen haben.

  • Wenden Sie sich an , um den Kundenschlüssel für die Zuweisung von DEP zu einzelnen Exchange Online Postfächern exock@microsoft.comzu aktivieren.

  • Wenden Sie sich an , um den Kundenschlüssel für die Zuweisung von DEPs zum Verschlüsseln von SharePoint Online und OneDrive for Business Inhalte (einschließlich Teams-Dateien) für alle Mandantenbenutzer spock@microsoft.comzu aktivieren.

  • Wenden Sie sich an m365-ck@service.microsoft.com, um den Kundenschlüssel für die Zuweisung von DEPs zum Verschlüsseln von Inhalten in mehreren Microsoft 365-Workloads (Exchange Online, Teams Microsoft Purview Information Protection) für alle Mandantenbenutzer zu aktivieren.

  • Fügen Sie die folgenden Informationen in Ihre E-Mail ein:

    Betreff: Kundenschlüssel für <den vollqualifizierten Domänennamen Ihres Mandanten>

    Text: Geben Sie die FastTrack-Anforderungs-IDs und Abonnement-IDs für jeden Customer Key-Dienst an, für den Sie ein Onboarding durchführen möchten. Diese Abonnement-IDs sind diejenigen, die Sie den obligatorischen Aufbewahrungszeitraum und die Ausgabe der Get-AzProviderFeature für jedes Abonnement abschließen möchten.

Die Service-Level-Vereinbarung (Service Level Agreement, SLA) für den Abschluss dieses Vorgangs beläuft sich auf fünf Werktage, nachdem Microsoft benachrichtigt wurde (und überprüft hat, dass Sie Ihre Abonnements für die Nutzung eines obligatorischen Aufbewahrungszeitraums registriert haben).

Überprüfen des Status der einzelnen Azure-Abonnements

Nachdem Sie eine Benachrichtigung von Microsoft erhalten haben, dass die Registrierung abgeschlossen ist, überprüfen Sie den Status Ihrer Registrierung, indem Sie den Befehl Get-AzProviderFeature wie folgt ausführen. Wenn dies überprüft wird, gibt der Befehl Get-AzProviderFeature den Wert Registriert für die Eigenschaft Registrierungsstatus zurück. Führen Sie diesen Schritt für jedes Abonnement aus .

Get-AzProviderFeature -ProviderNamespace Microsoft.Resources -FeatureName mandatoryRetentionPeriodEnabled

Tipp

Bevor Sie fortfahren, stellen Sie sicher, dass "RegistrationState" wie in der folgenden Abbildung auf "Registered" festgelegt ist.

Obligatorischer Aufbewahrungszeitraum

Erstellen eines Premium Azure Key Vault für jedes Abonnement

Die Schritte zum Erstellen eines Schlüssel Tresors sind in "erste Schritte mit Azure Key Vault"dokumentiert, das Sie durch das Installieren und Ingangsetzen von Azure PowerShell, das Herstellen einer Verbindung mit Ihrem Azure-Abonnement, das Erstellen einer Ressourcengruppe und das Erstellen eines Schlüsseltresors in dieser Ressourcengruppe führt.

Wenn Sie einen Schlüsseltresor erstellen, müssen Sie eine SKU auswählen: entweder Standard oder Premium. Die Standard-SKU ermöglicht es, Azure Key Vault-Schlüssel mit Software zu schützen ( es gibt keinen HSM-Schlüsselschutz (Hardware Security Module) - und die Premium-SKU ermöglicht die Verwendung von HSMs zum Schutz von Key Vault Schlüsseln. Customer Key akzeptiert Schlüsseltresore mit jeder SKU, wobei Microsoft dringend empfiehlt, nur die Premium-SKU zu verwenden. Die Betriebskosten mit Schlüsseln eines der beiden Typen sind identisch. Der einzige Unterschied bei den Kosten sind die monatlichen Kosten für jeden HSM-geschützten Schlüsseln. Detailinformationen finden Si unter Key Vault-Preise.

Wichtig

Verwenden Sie die Premium-SKU-Schlüsseltresore und HSM-geschützten Schlüssel für Produktionsdaten, und verwenden Sie nur standardmäßige SKU-Schlüsseltresore und Schlüssel für Tests und Überprüfungen.

Erstellen Sie für jeden Microsoft 365-Dienst, mit dem Sie den Kundenschlüssel verwenden, einen Schlüsseltresor in jedem der beiden azure-Abonnements, die Sie erstellt haben. Wenn Sie z. B. Kundenschlüssel die Verwendung von DEPs für Exchange Online-, SharePoint Online- und Multiworkloadszenarien ermöglichen möchten, erstellen Sie drei Schlüsseltresorepaare.

Verwenden Sie eine Benennungskonvention für Schlüsseltresore, durch welche sich die beabsichtigte Verwendung der Datenverschlüsselungsrichtlinie widerspiegelt, der Sie die Tresore zuordnen möchten. Im nachstehenden Abschnitt „Bewährte Methoden“ finden Sie Empfehlungen zur Benennung.

Erstellen Sie für jede Datenverschlüsselungsrichtlinie eine eigene, paarweise angeordnete Tresor-Gruppe. Bei Exchange Online wählen Sie den Geltungsbereich einer Datenverschlüsselungsrichtlinie, wenn Sie die Richtlinie dem Postfach zuweisen. Einem Postfach kann nur eine Richtlinie zugewiesen sein, und Sie können bis zu 50 Richtlinien erstellen. Der Bereich einer SharePoint Online-Richtlinie umfasst alle Daten innerhalb einer Organisation an einem geografischen Standort oder geografischen Standort. Der Bereich für eine Richtlinie mit mehreren Workloads umfasst alle Daten aller unterstützten Workloads für alle Benutzer.

Die Erstellung von Schlüsseltresoren erfordert auch die Erstellung von Azure-Ressourcengruppen, da Schlüsseltresore Speicherkapazität (wenn auch klein) benötigen und Key Vault Protokollierung, sofern aktiviert, auch gespeicherte Daten generiert. Als bewährte Methode empfiehlt Microsoft die Verwendung separater Administratoren, um jede Ressourcengruppe mit der Verwaltung zu verwalten, die an der Gruppe von Administratoren ausgerichtet ist, die alle zugehörigen Customer Key-Ressourcen verwalten.

Zuweisen von Berechtigungen für jeden Schlüsseltresor (Key Vault)

Je nach Implementierung müssen Sie drei separate Berechtigungssätze für jeden Schlüsseltresor definieren. Sie müssen beispielsweise eine Berechtigungsgruppe für jede der folgenden Optionen definieren:

  • Schlüsseltresoradministratoren , die die tägliche Verwaltung Ihres Schlüsseltresors für Ihre Organisation durchführen. Zu diesen Aufgaben gehören Datensicherung sowie Erstellen, Abrufen, Importieren, Auflisten und Wiederherstellen.

    Wichtig

    Die Berechtigungsgruppe, die Schlüsseltresor-Administratoren zugewiesen ist, beinhaltet keine Berechtigung zum Löschen von Schlüsseln. Dies ist beabsichtigt und eine wichtige Vorgehensweise. Kryptografische Schlüssel werden normalerweise nicht gelöscht, da dadurch Daten dauerhaft vernichtet werden. Eine bewährte Methode besteht darin, den Schlüsseltresor-Administratoren diese Berechtigung nicht standardmäßig zuzuweisen. Behalten Sie stattdessen diese Berechtigung den Schlüsseltresor-Mitwirkenden vor und weisen Sie diese einem Administrator nur kurzfristig und lediglich, sofern die damit verbundenen Folgen klar verstanden wurden, zu.

    Um diese Berechtigungen einem Benutzer in Ihrer Organisation zuzuweisen, melden Sie sich mit Azure PowerShell bei Ihrem Azure-Abonnement an. Anweisungen finden Sie unter Anmelden mit Azure PowerShell.

    • Führen Sie das Cmdlet Set-AzKeyVaultAccessPolicy aus, um die erforderlichen Berechtigungen zuzuweisen.
    Set-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user> -PermissionsToKeys create,import,list,get,backup,restore

    Beispiel:

    Set-AzKeyVaultAccessPolicy -VaultName Contoso-CK-EX-NA-VaultA1 -UserPrincipalName alice@contoso.com -PermissionsToKeys create,import,list,get,backup,restore

  • Schlüsseltresor-Mitwirkenden, die Berechtigungen für den Azure Key Vault selbst ändern können. Sie müssen diese Berechtigungen ändern, wenn Mitarbeiter Ihr Team verlassen oder ihrem Team beitreten. In der seltenen Situation, dass die Schlüsseltresoradministratoren berechtigterweise die Berechtigung zum Löschen oder Wiederherstellen eines Schlüssels benötigen, müssen Sie auch die Berechtigungen ändern. Dieser Gruppe von Schlüsseltresor-Mitwirkenden muss die Rolle Mitwirkender für Ihren Schlüsseltresor zugewiesen werden. Sie können diese Rolle mithilfe des Azure-Ressourcenmanagers zuweisen. Informationen zu den einzelnen Schritten finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung zum Verwalten des Zugriffs auf Ihre Azure-Abonnementressourcen. Der Administrator, der ein Abonnement erstellt, hat diesen Zugriff implizit und kann der Rolle Mitwirkender andere Administratoren zuweisen.

  • Berechtigungen für Microsoft 365-Anwendungen für jeden Schlüsseltresor, den Sie für Kundenschlüssel verwenden, müssen Sie wrapKey und unwrapKey erteilen und Berechtigungen für den entsprechenden Microsoft 365-Dienstprinzipal abrufen.

    Um Microsoft 365-Dienstprinzipal die Berechtigung zu erteilen, führen Sie das Cmdlet Set-AzKeyVaultAccessPolicy mit der folgenden Syntax aus:

    Set-AzKeyVaultAccessPolicy -VaultName <vault name> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

    Dabei gilt:

    • Tresorname ist der Name des Schlüsseltresors, den Sie erstellt haben.
    • Ersetzen Sie für Exchange Online und Skype for Business Office 365 appID durch.00000002-0000-0ff1-ce00-000000000000
    • Ersetzen Sie für SharePoint Online-, OneDrive for Business- und Teams-Dateien Office 365 appID durch.00000003-0000-0ff1-ce00-000000000000
    • Ersetzen Sie für Richtlinien mit mehreren Workloads (Exchange, Teams Microsoft Purview Information Protection), die für alle Mandantenbenutzer gelten, Office 365 appID durch.c066d759-24ae-40e7-a56f-027002b5d3e4

    Beispiel: Festlegen von Berechtigungen für Exchange Online und Skype for Business:

    Set-AzKeyVaultAccessPolicy -VaultName Contoso-CK-EX-NA-VaultA1 -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

    Beispiel: Festlegen von Berechtigungen für SharePoint Online-, OneDrive for Business- und Teams-Dateien:

    Set-AzKeyVaultAccessPolicy -VaultName Contoso-CK-SP-NA-VaultA1 -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000

    Vergewissern Sie sich , dass Get, wrapKey und unwrapKeyjedem Schlüsseltresor gewährt werden, indem Sie das Cmdlet Get-AzKeyVault ausführen.

    Get-AzKeyVault -VaultName <vault name> | fl

Tipp

Bevor Sie mit dem Vorgang fortfahren, stellen Sie sicher, dass die Berechtigungen für den Schlüsseltresor ordnungsgemäß konfiguriert sind. Die Berechtigungen für Schlüssel geben wrapKey, unwrapKey, get zurück. Stellen Sie sicher, dass Sie die Berechtigungen für den richtigen Dienst korrigieren, in den Sie das Onboarding durchführen. Der Anzeigename für jeden Dienst ist unten aufgeführt:

  • Exchange Online und Skype for Business: Office 365 Exchange Online
  • SharePoint Online-, OneDrive- und Teams-Dateien: Office 365 SharePoint Online
  • Mehrere Microsoft 365-Workloads: M365DataAtRestEncryption

Der folgende Codeausschnitt ist beispielsweise ein Beispiel für die Sicherstellung, dass die Berechtigungen für M365DataAtRestEncryption konfiguriert sind. Das folgende Cmdlet mit einem Tresor namens mmcexchangevault zeigt die folgenden Felder an.

  Get-AzKeyVault -VaultName mmcexchangevault | fl

Verschlüsselungsverfahren für Exchange Online Kundenschlüssel.

Stellen Sie sicher, dass vorläufiges Löschen für Ihre Schlüsseltresore aktiviert ist.

Wenn Sie Ihre Schlüssel schnell wiederherstellen können, ist ein umfassender Dienstausfalls aufgrund von versehentlich oder in böswilliger Absicht gelöschten Schlüsseln weniger wahrscheinlich. Aktivieren Sie diese Konfiguration, die als vorläufiges Löschen bezeichnet wird, bevor Sie Ihre Schlüssel mit Dem Kundenschlüssel verwenden können. Das Aktivieren von Soft Delete ermöglicht Ihnen des Wiederherstellen von Schlüsseln oder Tresoren innerhalb von 90 Tagen nach dem Löschen, ohne diese aus der Datensicherung wiederherstellen zu müssen.

Führen Sie die folgenden Schritte aus, um Soft Delete für Ihre Schlüsseltresore zu aktivieren:

  1. Melden Sie sich mit Windows PowerShell bei Ihrem Azure-Abonnement an. Anweisungen finden Sie unter Anmelden mit Azure PowerShell.

  2. Führen Sie das Cmdlet Get-AzKeyVault aus. In diesem Beispiel ist Tresorname der Name des Schlüsseltresors, für den Sie vorläufiges Löschen aktivieren:

    $v = Get-AzKeyVault -VaultName <vault name>
$r = Get-AzResource -ResourceId $v.ResourceId
$r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
Set-AzResource -ResourceId $r.ResourceId -Properties $r.Properties

  3. Vergewissern Sie sich, dass vorläufiges Löschen für den Schlüsseltresor konfiguriert ist, indem Sie das Cmdlet Get-AzKeyVault ausführen. Wenn vorläufiges Löschen für den Schlüsseltresor ordnungsgemäß konfiguriert ist, gibt die Eigenschaft Vorläufiges Löschen aktiviert den Wert True zurück:

    Get-AzKeyVault -VaultName <vault name> | fl

Tipp

Bevor Sie mit dem Vorgang fortfahren, stellen Sie sicher, dass "Vorläufiges Löschen aktiviert" ist. wird wie in der folgenden Abbildung auf "True" festgelegt.

SoftDelete

Hinzufügen eines Schlüssels zu jedem Schlüsseltresor durch das Erstellen oder Importieren eines Schlüssels

Es gibt zwei Methoden zum Hinzufügen von Schlüsseln zu einem Azure Key Vault. Sie können entweder direkt im Schlüsseltresor einen Schlüssel erstellen oder aber einen Schlüssel importieren. Das Erstellen eines Schlüssels direkt in Key Vault ist weniger kompliziert, aber das Importieren eines Schlüssels bietet eine vollständige Kontrolle darüber, wie der Schlüssel generiert wird. Verwenden Sie die RSA-Schlüssel. Customer Key unterstützt RSA-Schlüssellängen bis zu 4096. Azure Key Vault unterstützt das Umschließen und Entpacken mit elliptischen Kurvenschlüsseln nicht.

Anweisungen zum Hinzufügen eines Schlüssels zu jedem Tresor finden Sie unter Add-AzKeyVaultKey.

Detaillierte Anweisungen zum Erstellen eines lokalen Schlüssels und zum Importieren in Ihren Schlüsseltresor finden Sie unter Generieren und Übertragen von HSM-geschützten Schlüsseln für Azure Key Vault. Folgen Sie den Azure-Anweisungen, um in jedem Schlüsseltresor einen Schlüssel zu erstellen.

Überprüfen des Ablaufdatums Ihrer Schlüssel

Um zu überprüfen, ob für Ihre Schlüssel kein Ablaufdatum festgelegt ist, führen Sie das Cmdlet Get-AzKeyVaultKey wie folgt aus:

Get-AzKeyVaultKey -VaultName <vault name>

Der Kundenschlüssel kann keinen abgelaufenen Schlüssel verwenden. Vorgänge, die mit einem abgelaufenen Schlüssel versucht werden, schlagen fehl und führen möglicherweise zu einem Dienstausfall. Es wird dringend empfohlen, dass schlüssel, die mit Dem Kundenschlüssel verwendet werden, kein Ablaufdatum haben. Ein einmal festgelegtes Ablaufdatum kann nicht gelöscht werden, es kann jedoch eine Datumänderung vorgenommen werden. Wenn ein Schlüssel verwendet werden muss, für den ein Ablaufdatum festgelegt ist, ändern Sie bitte das Ablaufdatum auf 31.12.9999. Schlüssel, deren Ablaufdatum auf ein anderes Datum als den 31.12.9999 festgelegt ist, bestehen die Microsoft 365-Überprüfung nicht.

Um ein Ablaufdatum zu ändern, das auf einen anderen Wert als 31.12.9999 festgelegt wurde, führen Sie das Cmdlet Update-AzKeyVaultKey wie folgt aus:

Update-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

Achtung

Legen Sie keine Ablaufdaten für kryptografische Schlüssel fest, die Sie mit Customer Key verwenden.

Überprüfen der Wiederherstellungsebene Ihrer Schlüssel

Microsoft 365 erfordert, dass das Azure Key Vault-Abonnement auf Nicht kündigen festgelegt ist und dass für die vom Kundenschlüssel verwendeten Schlüssel vorläufiges Löschen aktiviert ist. Sie können Ihre Abonnementeinstellungen bestätigen, indem Sie sich die Wiederherstellungsebene Für Ihre Schlüssel ansehen.

Um die Wiederherstellungsstufe eines Schlüssels zu überprüfen, führen Sie in Azure PowerShell das Cmdlet Get-AzKeyVaultKey wie folgt aus:

(Get-AzKeyVaultKey -VaultName <vault name> -Name <key name>).Attributes

Tipp

Wenn die Eigenschaft Wiederherstellungsebene einen anderen Wert als Recoverable+ProtectedSubscription zurückgibt, stellen Sie sicher, dass Sie das Feature MandatoryRetentionPeriodEnabled für das Abonnement registriert haben und dass vorläufiges Löschen für jeden Ihrer Schlüsseltresore aktiviert ist.

Zeichnung

Sichern von Azure Key Vault

Unmittelbar nach dem Erstellen oder Ändern eines Schlüssels, dem Durchführen einer Sicherung und dem Speichern von Kopien der Sicherung, sowohl online als auch offline. Um eine Sicherung eines Azure Key Vault-Schlüssels zu erstellen, führen Sie das Cmdlet Backup-AzKeyVaultKey aus.

Abrufen eines URI für jeden Azure Key Vault-Schlüssel

Nachdem Sie Ihre Schlüsseltresore eingerichtet und Ihre Schlüssel hinzugefügt haben, führen Sie den folgenden Befehl aus, um den URI für den Schlüssel in jedem Schlüsseltresor abzurufen. Sie verwenden diese URIs später beim Erstellen und Zuweisen jedes DEP. Speichern Sie diese Informationen also an einem sicheren Ort. Führen Sie diesen Befehl einmal für jeden Schlüsseltresor aus.

In Azure PowerShell:

(Get-AzKeyVaultKey -VaultName <vault name>).Id

Nächste Schritte

Nachdem Sie die Schritte in diesem Artikel abgeschlossen haben, können Sie DEPs erstellen und zuweisen. Anweisungen finden Sie unter Verwalten des Kundenschlüssels.