Rollen oder Drehen eines Kundenschlüssels oder eines Verfügbarkeitsschlüssels

Achtung

Führen Sie ein Rollback für einen Verschlüsselungsschlüssel aus, der mit dem Kundenschlüssel verwendet wird, wenn dies für die Sicherheits- oder Konformitätsrichtlinien Ihres organization erforderlich ist.

Löschen oder deaktivieren Sie keine Schlüssel, einschließlich älterer Versionen, die Verschlüsselungsrichtlinien zugeordnet sind oder waren. Wenn Sie Ihre Schlüssel rollieren, werden einige Inhalte möglicherweise weiterhin mit den vorherigen Schlüsseln verschlüsselt.

Zum Beispiel:

• Aktive Postfächer werden häufig erneut verschlüsselt, aber inaktive, getrennte oder deaktivierte Postfächer verwenden möglicherweise noch ältere Schlüssel.
• SharePoint behält Sicherungsinhalte für die Wiederherstellung und Wiederherstellung bei, die möglicherweise auch auf älteren Schlüsseln basieren.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Informationen zum Rollen des Verfügbarkeitsschlüssels

Microsoft bietet Kunden keine direkte Kontrolle über den Verfügbarkeitsschlüssel. Beispielsweise können Sie nur die Schlüssel ausführen, die Sie in Azure Key Vault verwalten.

Microsoft 365 rollt den Verfügbarkeitsschlüssel nach einem internen Zeitplan. Für diese Schlüsselrotationen gibt es keine vereinbarung zum Servicelevel (Service Level Agreement, SLA). Microsoft 365 verwendet Dienstcode, um den Verfügbarkeitsschlüssel automatisch zu rotieren. In einigen Fällen können Microsoft-Administratoren den Prozess initiieren, aber der Schlüssel wird durch automatisierte Mechanismen gerollt, die keinen direkten Zugriff auf den Schlüsselspeicher zulassen.

Microsoft-Administratoren haben keinen Zugriff auf den Geheimspeicher des Verfügbarkeitsschlüssels. Der parallele Prozess verwendet denselben Mechanismus, der den Schlüssel während der ersten Bereitstellung generiert.

Weitere Informationen finden Sie unter Grundlegendes zum Verfügbarkeitsschlüssel.

Wichtig

Für Exchange können Sie den Verfügbarkeitsschlüssel effektiv rollieren, indem Sie eine neue Datenverschlüsselungsrichtlinie (Data Encryption Policy, DEP) erstellen. Jeder neue DEP generiert einen eindeutigen Verfügbarkeitsschlüssel.

Im Gegensatz dazu werden Verfügbarkeitsschlüssel für Kundenschlüssel in SharePoint und OneDrive auf Gesamtstrukturebene erstellt und für DEPs und Kunden freigegeben. Diese Schlüssel werden nur nach einem von Microsoft definierten internen Zeitplan verwendet.

Um das Risiko zu verringern, dass der Verfügbarkeitsschlüssel nicht mit jedem neuen DEP rollt, rollen SharePoint, OneDrive und Teams den Mandanten-Zwischenschlüssel (TIK) jedes Mal, wenn Sie einen neuen DEP erstellen. Die TIK ist der Schlüssel, der sowohl von den Stammschlüsseln des Kunden als auch vom Verfügbarkeitsschlüssel umschlossen wird.

Informationen zum Rollen von kundenseitig verwalteten Stammschlüsseln

Es gibt zwei Möglichkeiten, kundenseitig verwaltete Stammschlüssel zu rollieren:

• Aktualisieren Sie den vorhandenen Schlüssel, indem Sie eine neue Version anfordern und die zugehörige Datenverschlüsselungsrichtlinie (DEP) aktualisieren.
• Erstellen und verwenden Sie einen neu generierten Schlüssel zusammen mit einem neuen DEP.

Anweisungen für beide Methoden finden Sie im folgenden Abschnitt.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Fordern Sie eine neue Version jedes vorhandenen Stammschlüssels an, den Sie rollieren möchten.

Um eine neue Version eines vorhandenen Schlüssels anzufordern, verwenden Sie dasselbe Cmdlet Add-AzKeyVaultKey mit der gleichen Syntax und demselben Schlüsselnamen, die Sie beim Erstellen des ursprünglichen Schlüssels verwendet haben.

Nachdem Sie das Rollieren eines Schlüssels abgeschlossen haben, der einer Datenverschlüsselungsrichtlinie (Data Encryption Policy, DEP) zugeordnet ist, führen Sie ein separates Cmdlet aus, um den DEP zu aktualisieren und sicherzustellen, dass der Kundenschlüssel die neue Version verwendet. Wiederholen Sie diesen Vorgang in jedem Azure Key Vault (AKV).

Beispiel:

1. Melden Sie sich mit Azure PowerShell bei Ihrem Azure-Abonnement an. Anweisungen finden Sie unter Anmelden mit Azure PowerShell.

2. Führen Sie das Cmdlet aus Add-AzKeyVaultKey :

   Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")
   

   In diesem Beispiel ist bereits ein Schlüssel mit dem Namen Contoso-CK-EX-NA-VaultA1-Key001 im Tresor Contoso-CK-EX-NA-VaultA1 vorhanden. Das Cmdlet erstellt eine neue Version des Schlüssels. Frühere Versionen werden im Versionsverlauf des Schlüssels beibehalten.

   Sie benötigen Zugriff auf die vorherige Version, um alle Inhalte zu entschlüsseln, die noch mit ihr verschlüsselt sind.

   Nachdem Sie das Rollieren eines Schlüssels abgeschlossen haben, der einem DEP zugeordnet ist, führen Sie ein weiteres Cmdlet aus, um sicherzustellen, dass Customer Key die neue Version verwendet. In den folgenden Abschnitten werden diese Cmdlets ausführlicher beschrieben.

   Aktualisieren der Schlüssel für DEPs mit mehreren Workloads

   Wenn Sie einen der Azure Key Vault Schlüssel ausführen, die einer Datenverschlüsselungsrichtlinie (DEP) zugeordnet sind, die für mehrere Workloads verwendet wird, müssen Sie den DEP aktualisieren, um auf die neue Schlüsselversion zu verweisen. Durch diese Aktion wird der Verfügbarkeitsschlüssel nicht rotiert.

   Die DataEncryptionPolicyID -Eigenschaft bleibt unverändert, wenn der DEP mit einer neuen Version desselben Schlüssels aktualisiert wird.

   Führen Sie die folgenden Schritte aus, um den Kundenschlüssel anzuweisen, den neuen Schlüssel für die Verschlüsselung über mehrere Workloads hinweg zu verwenden:

   1. Verwenden Sie auf Ihrem lokalen Computer ein Geschäfts-, Schul- oder Unikonto mit den entsprechenden Berechtigungen, und stellen Sie eine Verbindung mit Exchange PowerShell her.

   2. Führen Sie das Cmdlet aus Set-M365DataAtRestEncryptionPolicy :

   Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Refresh
   

   Parameter	Beschreibung
   -Identity	Eindeutiger Name oder GUID der Datenverschlüsselungsrichtlinie

   Aktualisieren der Schlüssel für Exchange-DEPs

   Wenn Sie einen der Azure Key Vault Schlüssel ausführen, die einer datenverschlüsselungsrichtlinie (DEP) zugeordnet sind, die mit Exchange verwendet wird, müssen Sie den DEP aktualisieren, um auf die neue Schlüsselversion zu verweisen. In diesem Schritt wird der Verfügbarkeitsschlüssel nicht rotiert.

   Die DataEncryptionPolicyID -Eigenschaft für das Postfach bleibt unverändert, wenn die Richtlinie mit einer neuen Version desselben Schlüssels aktualisiert wird.

   Führen Sie die folgenden Schritte aus, um den Kundenschlüssel anzuweisen, den neuen Schlüssel für die Postfachverschlüsselung zu verwenden:

   1. Verwenden Sie auf Ihrem lokalen Computer ein Geschäfts-, Schul- oder Unikonto mit den entsprechenden Berechtigungen, und stellen Sie eine Verbindung mit Exchange PowerShell her.

   2. Führen Sie das Cmdlet aus Set-DataEncryptionPolicy :

   Set-DataEncryptionPolicy -Identity <Policy> -Refresh
   

   Parameter	Beschreibung
   -Identity	Eindeutiger Name oder GUID der Datenverschlüsselungsrichtlinie

Verwenden eines neu generierten Schlüssels für Ihren DEP

Wenn Sie sich dafür entscheiden, neu generierte Schlüssel zu verwenden, anstatt vorhandene schlüssel zu aktualisieren, ist der Prozess zum Aktualisieren Ihrer Datenverschlüsselungsrichtlinien anders. Anstatt eine vorhandene Richtlinie zu aktualisieren, müssen Sie eine neue Datenverschlüsselungsrichtlinie erstellen und zuweisen, die auf den neuen Schlüssel verweist.

1. Um einen neuen Schlüssel zu erstellen und ihrem Schlüsseltresor hinzuzufügen, führen Sie die Schritte unter Hinzufügen eines Schlüssels zu jedem Schlüsseltresor durch Erstellen oder Importieren eines Schlüssels aus.

2. Erstellen Sie nach dem Hinzufügen des Schlüssels zu Ihrem Schlüsseltresor eine neue Datenverschlüsselungsrichtlinie mithilfe des Schlüssel-URI des neu generierten Schlüssels. Ausführliche Anweisungen finden Sie unter Verwalten des Kundenschlüssels für Microsoft 365.

Aktualisieren der Schlüssel für SharePoint und OneDrive

SharePoint unterstützt immer nur einen Schlüssel gleichzeitig. Wenn Sie planen, beide Schlüssel in einem Schlüsseltresor auszuführen, warten Sie, bis der erste Vorgang abgeschlossen ist, bevor Sie mit dem zweiten beginnen. Um Konflikte zu vermeiden, empfiehlt Microsoft, Ihre Vorgänge zu staffeln.

Wenn Sie einen der Azure Key Vault Schlüssel ausführen, die einer datenverschlüsselungsrichtlinie (DEP) zugeordnet sind, die mit SharePoint und OneDrive verwendet wird, müssen Sie den DEP aktualisieren, um auf den neuen Schlüssel zu verweisen. Bei diesem Prozess wird der Verfügbarkeitsschlüssel nicht rotiert.

1. Führen Sie das Update-SPODataEncryptionPolicy Cmdlet aus, um einen Schlüssel für SharePoint und OneDrive zu verwenden:

   Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>
   

   Dieses Cmdlet startet den Schlüsselrollvorgang, aber die Änderung wird nicht sofort wirksam.

2. Führen Sie den folgenden Befehl aus, um eine SharePoint- und OneDrive-Richtlinie mithilfe von Schlüsseln zu aktualisieren, die in einem verwalteten HSM gespeichert sind:

   Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultURL <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>
   

3. Um den Fortschritt des Schlüsselrollvorgangs zu überprüfen, führen Sie Folgendes aus:

   Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>
   

Verwandte Artikel

• Übersicht über Kundenschlüssel

• Einrichten des Kundenschlüssels

• Kundenschlüssel verwalten

• Informationen zum Verfügbarkeitsschlüssel