Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Verfügbarkeitsschlüssel ist ein Stammschlüssel, der automatisch generiert und bereitgestellt wird, wenn Sie eine Datenverschlüsselungsrichtlinie erstellen. Microsoft 365 speichert und schützt diesen Schlüssel.
Der Verfügbarkeitsschlüssel funktioniert wie die beiden Stammschlüssel, die Sie für den Kundenschlüssel angeben. Es umschließt die Schlüssel eine Ebene tiefer in der Schlüsselhierarchie. Im Gegensatz zu den Schlüsseln, die Sie in Azure Key Vault verwalten, können Sie nicht direkt auf den Verfügbarkeitsschlüssel zugreifen. Automatisierte Microsoft 365-Dienste verwalten sie programmgesteuert. Diese Dienste führen automatisierte Vorgänge ohne direkten Zugriff auf den Schlüssel durch.
Der Standard Zweck des Verfügbarkeitsschlüssels besteht darin, die Wiederherstellung nach einem unerwarteten Verlust der von Ihnen verwalteten Stammschlüssel zu unterstützen. Dieser Verlust kann durch Fehlmanagement oder böswillige Aktionen entstehen. Wenn Sie die Kontrolle über Ihre Stammschlüssel verlieren, wenden Sie sich an Microsoft-Support, um Unterstützung bei der Wiederherstellung mithilfe des Verfügbarkeitsschlüssels zu erhalten. Verwenden Sie diesen Schlüssel, um zu einer neuen Datenverschlüsselungsrichtlinie mit neuen Stammschlüsseln zu migrieren, die Sie bereitstellen.
Der Verfügbarkeitsschlüssel unterscheidet sich aus drei Gründen von Azure Key Vault Schlüsseln im Speicher und bei der Steuerung:
- Es bietet eine Wiederherstellungs- oder "Break-Glass"-Option, wenn beide Azure- Key Vault-Schlüssel verloren gehen.
- Die Trennung der logischen Steuerung und des Speicherorts erhöht die Tiefe und schützt vor dem totalen Verlust von Schlüsseln oder Daten aufgrund eines single point of failure.
- Es unterstützt Hochverfügbarkeit, wenn Microsoft 365 Ihre Azure-Key Vault aufgrund temporärer Fehler nicht erreichen kann. Dieses Szenario gilt nur für die Exchange-Dienstverschlüsselung. SharePoint und OneDrive verwenden den Verfügbarkeitsschlüssel nur, wenn Sie die Wiederherstellung explizit anfordern.
Microsoft trägt die Verantwortung für den Schutz Ihrer Daten durch mehrstufige Schlüsselverwaltungsschutz und -prozesse. Dieser Ansatz verringert das Risiko des dauerhaften Verlusts oder der Zerstörung aller Schlüssel und Ihrer Daten. Sie sind allein befugt, den Verfügbarkeitsschlüssel zu deaktivieren oder zu zerstören, wenn Sie den Dienst verlassen. Standardmäßig kann niemand bei Microsoft auf den Verfügbarkeitsschlüssel zugreifen. Auf sie kann nur über den Microsoft 365-Dienstcode zugegriffen werden.
Weitere Informationen zum Sichern von Schlüsseln durch Microsoft finden Sie im Microsoft Trust Center.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Verwendungen des Verfügbarkeitsschlüssels
Der Verfügbarkeitsschlüssel unterstützt die Wiederherstellung in Fällen, in denen ein externer Angreifer oder ein böswilliger Insider die Kontrolle über Ihren Schlüsseltresor erlangt oder wenn ein Fehlmanagement zum Verlust von Stammschlüsseln führt. Diese Wiederherstellungsfunktion gilt für alle Microsoft 365-Dienste, die Kundenschlüssel unterstützen.
Jeder Dienst verwendet den Verfügbarkeitsschlüssel unterschiedlich. Microsoft 365 verwendet den Verfügbarkeitsschlüssel nur in den in den folgenden Abschnitten beschriebenen Szenarien.
Exchange
Zusätzlich zur Unterstützung der Wiederherstellung verwendet Exchange den Verfügbarkeitsschlüssel, um den Datenzugriff bei vorübergehenden oder zeitweiligen Problemen aufrechtzuerhalten, die verhindern, dass der Dienst Stammschlüssel in Azure Key Vault erreicht. Wenn der Dienst aufgrund eines temporären Fehlers nicht auf einen Ihrer Kundenschlüssel zugreifen kann, verwendet er automatisch den Verfügbarkeitsschlüssel.
Der Dienst greift nicht direkt auf den Verfügbarkeitsschlüssel zu. Stattdessen verwenden automatisierte Systeme in Exchange es als Teil eines Fallbackprozesses bei vorübergehenden Fehlern. Diese Verwendung unterstützt Back-End-Vorgänge wie Antivirenscans, ediscovery, Microsoft Purview Data Loss Prevention, Postfachverschiebungen und Datenindizierung.
SharePoint und OneDrive
Für SharePoint und OneDrive wird der Verfügbarkeitsschlüssel nur für Wiederherstellungsszenarien verwendet. Es wird nie während des normalen Betriebs verwendet.
Sie müssen explizit anfordern, dass Microsoft den Verfügbarkeitsschlüssel in einem Wiederherstellungsereignis verwendet. Automatisierte Dienstvorgänge basieren ausschließlich auf Ihren Kundenschlüsseln in Azure Key Vault.
Weitere Informationen zur Schlüsselhierarchie und zur Behandlung der Verschlüsselung durch diese Dienste finden Sie unter Verwenden des Verfügbarkeitsschlüssels in SharePoint und OneDrive.
Sicherheit des Verfügbarkeitsschlüssels
Microsoft ist für den Schutz Ihrer Daten verantwortlich, indem der Verfügbarkeitsschlüssel generiert und strenge Kontrollen angewendet werden, um sie zu schützen.
Kunden haben keinen direkten Zugriff auf den Verfügbarkeitsschlüssel. Beispielsweise können Sie nur die Schlüssel ausführen, die Sie in Azure Key Vault verwalten. Microsoft verwaltet den Verfügbarkeitsschlüssel über automatisierten Dienstcode, ohne ihn für Benutzer verfügbar zu machen.
Weitere Informationen finden Sie unter Rollen oder Rotieren eines Kundenschlüssels oder eines Verfügbarkeitsschlüssels.
Geheimnisspeicher für Verfügbarkeitsschlüssel
Microsoft schützt Verfügbarkeitsschlüssel in zugriffsgesteuerten internen Geheimnisspeichern, ähnlich wie Azure Key Vault. Zugriffssteuerungen verhindern, dass Microsoft-Administratoren die darin gespeicherten Geheimnisse direkt abrufen. Alle Vorgänge des Geheimnisspeichers, einschließlich Schlüsselrotation und -löschung, werden über automatisierte Befehle ausgeführt, die keinen direkten Zugriff auf den Verfügbarkeitsschlüssel beinhalten.
Verwaltungsvorgänge in diesen Geheimnisspeichern sind auf bestimmte Techniker beschränkt und erfordern eine Rechteausweitung über ein internes Tool namens Lockbox. Die Eskalation muss von einem Vorgesetzten genehmigt werden und eine gültige Begründung enthalten. Die Lockbox stellt sicher, dass der Zugriff zeitgebunden ist und automatisch widerrufen wird, wenn das Zeitlimit abläuft oder sich der Techniker abmeldet.
Exchange-Verfügbarkeitsschlüssel werden in einem Exchange Active Directory-Geheimnisspeicher gespeichert. Schlüssel werden in mandantenspezifischen Containern innerhalb des Active Directory-Domäne Controllers aufbewahrt. Dieser Speicherort ist vom von SharePoint und OneDrive verwendeten Geheimspeicher getrennt und isoliert.
SharePoint- und OneDrive-Verfügbarkeitsschlüssel werden in einem internen Geheimnisspeicher gespeichert, der vom Dienstteam verwaltet wird. Dieser Speicher umfasst Front-End-Server, die Anwendungsendpunkte und eine SQL-Datenbank als Back-End verfügbar machen. Verfügbarkeitsschlüssel werden in der Datenbank gespeichert und mit Verschlüsselungsschlüsseln des Geheimspeichers umschlossen.
Diese Verschlüsselungsschlüssel verwenden AES-256 und HMAC, um den Verfügbarkeitsschlüssel im Ruhezustand zu schützen. Die Verschlüsselungsschlüssel werden in einem logisch isolierten Teil derselben Datenbank gespeichert und mithilfe von RSA-2048-Zertifikaten, die von der Microsoft-Zertifizierungsstelle ausgestellt wurden, weiter verschlüsselt. Diese Zertifikate werden auf den Front-End-Servern gespeichert, die Vorgänge für die Datenbank verarbeiten.
Defense-in-Depth
Microsoft verwendet eine Defense-in-Depth-Strategie, um zu verhindern, dass böswillige Akteure die Vertraulichkeit, Integrität oder Verfügbarkeit von Kundendaten, die in der Microsoft Cloud gespeichert sind, gefährden. Im Rahmen dieses mehrstufigen Sicherheitsansatzes werden spezifische präventive und detektive Kontrollen zum Schutz des Geheimnisspeichers und des Verfügbarkeitsschlüssels eingerichtet.
Microsoft 365 wurde entwickelt, um den Missbrauch des Verfügbarkeitsschlüssels zu verhindern. Die Anwendungsschicht ist die einzige Schnittstelle, die Schlüssel – einschließlich des Verfügbarkeitsschlüssels – für die Ver- und Entschlüsselung verwenden kann. Nur Microsoft 365-Dienstcode kann die Schlüsselhierarchie interpretieren und durchlaufen. Zwischen den Speicherorten von Kundenschlüsseln, Verfügbarkeitsschlüsseln, anderen hierarchischen Schlüsseln und Kundendaten besteht eine logische Isolation. Diese Trennung verringert das Risiko einer Datenexposition, wenn ein Standort kompromittiert wird. Jede Ebene in der Schlüsselhierarchie umfasst eine kontinuierliche Angriffserkennung, um gespeicherte Daten und Geheimnisse zu schützen.
Zugriffssteuerungen verhindern nicht autorisierten Zugriff auf interne Systeme, einschließlich Geheimnisspeicher für Verfügbarkeitsschlüssel. Microsoft-Techniker haben keinen direkten Zugriff auf diese Stores. Weitere Informationen finden Sie unter Administrative Zugriffssteuerungen in Microsoft 365.
Technische Kontrollen verhindern auch, dass sich Microsoft-Mitarbeiter bei Dienstkonten mit hohen Berechtigungen anmelden, die Angreifer andernfalls zum Annehmen der Identität von Microsoft-Diensten verwenden könnten. Diese Steuerelemente blockieren interaktive Anmeldeversuche.
Die Sicherheitsprotokollierung und -überwachung sind weitere Sicherheitsmaßnahmen im Ansatz von Microsoft. Serviceteams stellen Überwachungslösungen bereit, die Warnungen und Überwachungsprotokolle generieren. Alle Protokolle werden in ein zentrales Repository hochgeladen, wo sie aggregiert und analysiert werden. Interne Tools werten diese Datensätze automatisch aus, um sicherzustellen, dass Dienste sicher, resilient und wie erwartet funktionieren. Ungewöhnliche Aktivitäten werden zur Überprüfung gekennzeichnet.
Jedes Ereignis, das einen potenziellen Verstoß gegen die Microsoft-Sicherheitsrichtlinie signalisiert, wird an Microsoft-Sicherheitsteams eskaliert. Microsoft 365-Sicherheitswarnungen sind so konfiguriert, dass versuchter Zugriff auf Geheimnisspeicher für Verfügbarkeitsschlüssel und nicht autorisierte Anmeldeversuche bei Dienstkonten erkannt werden. Das System erkennt auch Abweichungen vom erwarteten Baselinedienstverhalten. Jeder Versuch, Microsoft 365-Dienste zu missbrauchen, löst Warnungen aus und kann dazu führen, dass der Angreifer aus der Microsoft Cloud-Umgebung entfernt wird.
Verwenden des Verfügbarkeitsschlüssels zur Wiederherstellung nach Schlüsselverlust
Wenn Sie die Kontrolle über Ihre Kundenschlüssel verlieren, können Sie den Verfügbarkeitsschlüssel verwenden, um Ihre Daten wiederherzustellen und erneut zu verschlüsseln.
Wiederherstellungsverfahren für Exchange
Wenn Sie die Kontrolle über Ihre Kundenschlüssel verlieren, können Sie den Verfügbarkeitsschlüssel verwenden, um Ihre Daten wiederherzustellen und betroffene Microsoft 365-Ressourcen wieder online zu schalten. Der Verfügbarkeitsschlüssel schützt Ihre Daten während der Wiederherstellung weiterhin.
Gehen Sie wie folgt vor, um die vollständige Wiederherstellung nach Dem Verlust des Schlüssels durchzuführen:
- Erstellen Sie neue Kundenschlüssel in Azure Key Vault.
- Erstellen Sie eine neue Datenverschlüsselungsrichtlinie (Data Encryption Policy, DEP) mit den neuen Schlüsseln.
- Weisen Sie den neuen DEP den Postfächern zu, die mit den kompromittierten oder verlorenen Schlüsseln verschlüsselt wurden.
Dieser Erneute Verschlüsselungsvorgang kann bis zu 72 Stunden dauern. Dies ist die Standarddauer für das Ändern eines DEP.
Wiederherstellungsverfahren für SharePoint und OneDrive
Für SharePoint und OneDrive wird der Verfügbarkeitsschlüssel nur während eines Wiederherstellungsszenarios verwendet. Sie müssen Microsoft explizit auffordern, den Verfügbarkeitsschlüssel zu aktivieren.
Wenden Sie sich an Microsoft-Support, um den Wiederherstellungsvorgang zu starten. Nach der Aktivierung entschlüsselt der Verfügbarkeitsschlüssel Ihre Daten automatisch, sodass Sie sie mit einer neu erstellten Datenverschlüsselungsrichtlinie (Data Encryption Policy, DEP) und neuen Kundenschlüsseln verschlüsseln können.
Die Wiederherstellungszeit hängt von der Anzahl der Standorte in Ihrem organization ab. Die meisten Kunden kehren innerhalb von etwa vier Stunden nach der Anforderung der Aktivierung des Verfügbarkeitsschlüssels online zurück.
Verwendung des Verfügbarkeitsschlüssels durch Exchange
Wenn Sie eine Datenverschlüsselungsrichtlinie (DATA Encryption Policy, DEP) mit Kundenschlüssel erstellen, generiert Microsoft 365 einen DEP-Schlüssel, der dieser Richtlinie zugeordnet ist. Der Dienst verschlüsselt den DEP-Schlüssel dreimal: einmal mit jedem Ihrer Kundenschlüssel und einmal mit dem Verfügbarkeitsschlüssel. Es werden nur die verschlüsselten Versionen des DEP-Schlüssels gespeichert. Ein DEP-Schlüssel kann nur mit einem der Kundenschlüssel oder dem Verfügbarkeitsschlüssel entschlüsselt werden.
Der DEP-Schlüssel wird verwendet, um Postfachschlüssel zu verschlüsseln, die wiederum einzelne Postfächer verschlüsseln.
Microsoft 365 verwendet den folgenden Prozess zum Entschlüsseln und Bereitstellen des Zugriffs auf Postfachdaten:
- Entschlüsseln Sie den DEP-Schlüssel mithilfe eines Kundenschlüssels.
- Verwenden Sie den entschlüsselten DEP-Schlüssel, um den Postfachschlüssel zu entschlüsseln.
- Verwenden Sie den entschlüsselten Postfachschlüssel, um das Postfach zu entschlüsseln und Zugriff auf die Daten bereitzustellen.
Verwenden des Verfügbarkeitsschlüssels in SharePoint und OneDrive
Die SharePoint- und OneDrive-Architektur für Kundenschlüssel und verfügbarkeitsschlüssel unterscheidet sich von Exchange.
Wenn ein organization mit der Verwendung von kundenseitig verwalteten Schlüsseln beginnt, erstellt Microsoft 365 einen organization spezifischen Mandantenzwingschlüssel (TIK). Microsoft 365 verschlüsselt die TIK zweimal – einmal mit jedem Ihrer Kundenschlüssel – und speichert nur die verschlüsselten Versionen. Eine TIK kann nur mit einem der Kundenschlüssel entschlüsselt werden. Die TIK wird dann verwendet, um Standortschlüssel zu verschlüsseln, die Blobschlüssel (auch als Dateiblockschlüssel bezeichnet) verschlüsseln. Bei größeren Dateien kann der Dienst diese in mehrere Blöcke mit jeweils einem eindeutigen Schlüssel aufteilen. Diese Dateiblöcke oder Blobs werden mit Blobschlüsseln verschlüsselt und in Azure Blob Storage gespeichert.
Microsoft 365 verwendet die folgenden Schritte, um Kundendateien zu entschlüsseln:
- Entschlüsseln Sie die TIK mithilfe eines Kundenschlüssels.
- Verwenden Sie die entschlüsselte TIK, um einen Standortschlüssel zu entschlüsseln.
- Verwenden Sie den entschlüsselten Standortschlüssel, um einen Blobschlüssel zu entschlüsseln.
- Verwenden Sie den entschlüsselten Blobschlüssel, um das Blob zu entschlüsseln.
Um die Leistung zu verbessern, sendet Microsoft 365 zwei Entschlüsselungsanforderungen an Azure Key Vault etwas zeitlich versetzt. Unabhängig davon, welche Anforderung zuerst abgeschlossen wird, wird das Ergebnis angezeigt. die andere wird abgebrochen.
Wenn Sie den Zugriff auf Ihre Kundenschlüssel verlieren, verwendet Microsoft 365 den Verfügbarkeitsschlüssel, um die TIK zu entschlüsseln. Microsoft verschlüsselt jede TIK mit dem Verfügbarkeitsschlüssel und speichert diese Version zusammen mit den mit Kundenschlüssel verschlüsselten Versionen. Der Verfügbarkeitsschlüssel wird nur verwendet, wenn Sie sich an Microsoft wenden, um eine Wiederherstellung zu initiieren.
Aus Gründen der Skalierung und Zuverlässigkeit werden entschlüsselte TIKs für einen begrenzten Zeitraum im Arbeitsspeicher zwischengespeichert. Etwa zwei Stunden vor Ablauf einer zwischengespeicherten TIK versucht Microsoft 365, sie erneut zu entschlüsseln, um die Lebensdauer zu verlängern. Wenn dieser Prozess wiederholt fehlschlägt, löst Microsoft 365 eine Warnung an das Engineering aus, bevor der Cache abläuft. Wenn eine Wiederherstellung erforderlich ist, entschlüsselt Microsoft die TIK mithilfe des Verfügbarkeitsschlüssels und integriert Ihren Mandanten dann mithilfe der entschlüsselten TIK und einer neuen Gruppe von Kundenschlüsseln erneut.
Derzeit verschlüsselt und entschlüsselt Der Kundenschlüssel SharePoint-Dateidaten in Azure Blob Storage, listet jedoch keine Elemente oder Metadaten auf, die in SQL-Datenbank gespeichert sind. Microsoft verwendet den Verfügbarkeitsschlüssel für SharePoint oder OneDrive nur, wenn Sie die Wiederherstellung explizit anfordern. Der menschliche Zugriff auf Kundendaten bleibt durch Kunden-Lockbox geschützt.
Trigger für Verfügbarkeitsschlüssel
Microsoft 365 löst den Verfügbarkeitsschlüssel nur unter bestimmten Umständen aus, und diese Umstände unterscheiden sich je nach Dienst.
Trigger für Exchange
Microsoft 365 folgt diesem Prozess beim Zugriff auf Kundenschlüssel für ein Postfach:
Es liest die dem Postfach zugewiesene Datenverschlüsselungsrichtlinie (Data Encryption Policy, DEP), um die beiden in Azure Key Vault gespeicherten Kundenschlüssel zu identifizieren.
Es wählt zufällig einen der beiden Schlüssel aus und sendet eine Anforderung an Azure Key Vault, um den DEP-Schlüssel zu entpacken.
Wenn bei dieser Anforderung ein Fehler auftritt, wird eine zweite Anforderung mithilfe des alternativen Schlüssels gesendet.
Wenn beide Anforderungen fehlschlagen, untersucht Microsoft 365 die Ergebnisse und antwortet auf eine von zwei Arten:
Wenn bei beiden Anforderungen ein Systemfehler aufgetreten ist (z. B. Azure Key Vault ist nicht verfügbar oder kann nicht reagieren):
Microsoft 365 verwendet den Verfügbarkeitsschlüssel, um den DEP-Schlüssel zu entschlüsseln.
Anschließend wird der DEP-Schlüssel verwendet, um den Postfachschlüssel zu entschlüsseln und die Benutzeranforderung zu erfüllen.
Wenn bei beiden Anforderungen der Fehler "Zugriff verweigert" aufgetreten ist (z. B. bei der absichtlichen, versehentlichen oder böswilligen Schlüsselentfernung, einschließlich während des Datenlöschvorgangs):
Microsoft 365 löst den Verfügbarkeitsschlüssel für Benutzeraktionen nicht aus.
Die Benutzeranforderung schlägt fehl und gibt eine Fehlermeldung zurück.
Wichtig
Der Microsoft 365-Dienstcode verwaltet immer ein gültiges Anmeldetoken, um Kundendaten zu verarbeiten und zu begründen, um kerne Clouddienste zu unterstützen. Aus diesem Grund können interne Exchange-Vorgänge (z. B. Postfachverschiebungen oder Indexerstellung) bis zum Löschen des Verfügbarkeitsschlüssels weiterhin den Verfügbarkeitsschlüssel als Fallback verwenden, wenn beide Kundenschlüssel nicht erreichbar sind, unabhängig davon, ob der Fehler auf einen Systemfehler oder eine Antwort mit Zugriffsverweigerung zurückzuführen ist.
Trigger für SharePoint und OneDrive
Für SharePoint und OneDrive verwendet Microsoft 365 niemals den Verfügbarkeitsschlüssel, es sei denn, Sie sind in einem Wiederherstellungsszenario. Um den Wiederherstellungsvorgang zu starten, müssen Sie sich an Microsoft wenden und explizit anfordern, dass der Verfügbarkeitsschlüssel verwendet wird.
Überwachungsprotokolle und der Verfügbarkeitsschlüssel
Automatisierte Systeme in Microsoft 365 verarbeiten Daten, während sie durch den Dienst fließen. Diese Systeme unterstützen Features wie Antivirus, eDiscovery, Verhinderung von Datenverlust und Indizierung. Microsoft 365 generiert keine Protokolle, die für Kunden für diese Hintergrundaktivität sichtbar sind. Außerdem greifen Microsoft-Mitarbeiter während des normalen Systembetriebs nicht auf Ihre Daten zu.
Exchange-Verfügbarkeitsschlüsselprotokollierung
Wenn Exchange auf den Verfügbarkeitsschlüssel zugreift, um den Dienst bereitzustellen, erstellt Microsoft 365 vom Kunden sichtbare Protokolle. Sie können über das Microsoft Purview-Portal auf diese Protokolle zugreifen. Jedes Mal, wenn der Dienst den Verfügbarkeitsschlüssel verwendet, generiert er einen Überwachungsprotokolleintrag.
Dieser Eintrag verwendet einen neuen Datensatztyp namens Customer Key Service Encryption mit dem Aktivitätstyp Fallback auf Verfügbarkeitsschlüssel. Mithilfe dieser Bezeichnungen können Administratoren die Suchergebnisse des einheitlichen Überwachungsprotokolls filtern, um Verfügbarkeitsschlüsseldatensätze zu finden.
Protokolleinträge umfassen Datum, Uhrzeit, Aktivität, organization-ID und Datenverschlüsselungsrichtlinien-ID. Diese Datensätze sind Teil der einheitlichen Überwachungsprotokolle und werden im Microsoft Purview-Portal auf der Registerkarte Überwachungsprotokollsuche angezeigt.
Exchange-Verfügbarkeitsschlüsseleinträge folgen dem allgemeinen Schema der Microsoft 365-Verwaltungsaktivität. Sie enthalten auch benutzerdefinierte Parameter: Richtlinien-ID, Bereichsschlüsselversions-ID und Anforderungs-ID.
SharePoint- und OneDrive-Verfügbarkeitsschlüsselprotokollierung
Die Verfügbarkeitsschlüsselprotokollierung ist für SharePoint oder OneDrive noch nicht verfügbar. Microsoft aktiviert den Verfügbarkeitsschlüssel nur zu Wiederherstellungszwecken, wenn Sie ihn anfordern. Aus diesem Grund kennen Sie bereits jedes Ereignis, wenn der Verfügbarkeitsschlüssel für diese Dienste verwendet wird.
Verfügbarkeitsschlüssel in der Kundenschlüsselhierarchie
Microsoft 365 verwendet den Verfügbarkeitsschlüssel, um die Ebene der darunter liegenden Schlüssel in der Verschlüsselungshierarchie für Kundenschlüssel zu umschließen. Jeder Dienst verfügt über eine andere Schlüsselhierarchie. Die Schlüsselalgorithmen variieren auch zwischen Verfügbarkeitsschlüsseln und anderen Schlüsseln in der Hierarchie.
Die von den einzelnen Diensten verwendeten Verfügbarkeitsschlüsselalgorithmen sind:
- Exchange-Verfügbarkeitsschlüssel verwenden AES-256.
- SharePoint- und OneDrive-Verfügbarkeitsschlüssel verwenden RSA-2048.
Verschlüsselungsverfahren, die zum Verschlüsseln von Schlüsseln für Exchange verwendet werden
Verschlüsselungsverfahren, die zum Verschlüsseln von Schlüsseln für SharePoint verwendet werden
