Kundenschlüssel verwalten
Nachdem Sie den Kundenschlüssel eingerichtet haben, erstellen Sie eine oder mehrere Datenverschlüsselungsrichtlinien (Data Encryption Policies, DEPs), und weisen Sie sie zu. Nachdem Sie Ihre DEPs zugewiesen haben, verwalten Sie Ihre Schlüssel wie in diesem Artikel beschrieben. Weitere Informationen zum Kundenschlüssel finden Sie in den zugehörigen Artikeln.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Windows 365 Unterstützung für Den Microsoft Purview-Kundenschlüssel befindet sich in der öffentlichen Vorschau und kann geändert werden. Weitere Informationen finden Sie unter Microsoft Purview-Kundenschlüssel für Windows 365 Cloud-PCs.
Bevor Sie beginnen, stellen Sie sicher, dass Sie die aufgaben abgeschlossen haben, die zum Einrichten des Kundenschlüssels erforderlich sind. Weitere Informationen finden Sie unter Einrichten des Kundenschlüssels. Zum Erstellen des DEP benötigen Sie die Key Vault URIs, die Sie während des Setups erhalten haben. Weitere Informationen finden Sie unter Abrufen des URI für jeden Azure Key Vault-Schlüssel.
Führen Sie die folgenden Schritte aus, um einen DEP mit mehreren Workloads zu erstellen:
Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Complianceadministratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.
Verwenden Sie zum Erstellen eines DEP das Cmdlet New-M365DataAtRestEncryptionPolicy.
New-M365DataAtRestEncryptionPolicy -Name <PolicyName> -AzureKeyIDs <KeyVaultURI1, KeyVaultURI2> [-Description <String>]
Dabei gilt:
"PolicyName" ist der Name, den Sie für die Richtlinie verwenden möchten. Namen dürfen keine Leerzeichen enthalten. Beispiel: Contoso_Global.
"KeyVaultURI1" ist der URI für den ersten Schlüssel in der Richtlinie. Beispiel:
"https://contosoWestUSvault1.vault.azure.net/keys/Key_01"
."KeyVaultURI2" ist der URI für den zweiten Schlüssel in der Richtlinie. Beispiel:
"https://contosoCentralUSvault1.vault.azure.net/keys/Key_02"
. Trennen Sie die beiden URI mittels Komma und Leerzeichen."Richtlinienbeschreibung" ist eine benutzerfreundliche Beschreibung der Richtlinie, die Ihnen hilft, sich daran zu erinnern, wofür die Richtlinie vorgesehen ist. In der Beschreibung sind Leerzeichen erlaubt. Beispiel: "Stammrichtlinie für mehrere Workloads für alle Benutzer im Mandanten".
Beispiel:
New-M365DataAtRestEncryptionPolicy -Name "Contoso_Global" -AzureKeyIDs "https://contosoWestUSvault1.vault.azure.net/keys/Key_01","https://contosoCentralUSvault1.vault.azure.net/keys/Key_02" -Description "Policy for multiple workloads for all users in the tenant."
Weisen Sie den DEP mithilfe des Cmdlets Set-M365DataAtRestEncryptionPolicyAssignment zu. Nachdem Sie die Richtlinie zugewiesen haben, verschlüsselt Microsoft 365 die Daten mit dem im DEP identifizierten Schlüssel.
Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName or ID>
Dabei ist PolicyName der Name der Richtlinie, Contoso_Global
z. B. .
Beispiel:
Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy "Contoso_Global"
Für Windows 365 wird das Intune Admin Center innerhalb von 3 bis 4 Stunden nach Abschluss dieses Schritts aktualisiert. Führen Sie die Schritte im Admin Center aus, um vorhandene Cloud-PCs zu verschlüsseln. Weitere Informationen finden Sie unter Einrichten von Kundenschlüsseln für Ihre Windows 365 Cloud-PCs.
Bevor Sie beginnen, stellen Sie sicher, dass Sie die Aufgaben abgeschlossen haben, die zum Einrichten von Azure Key Vault erforderlich sind. Weitere Informationen finden Sie unter Einrichten des Kundenschlüssels. Führen Sie diese Schritte in Exchange Online PowerShell aus.
Eine Datenverschlüsselungsrichtlinie (DEP) ist mit einer Reihe von im Azure Key Vault gespeicherten Schlüsseln verknüpft. Sie weisen einem Postfach in Microsoft 365 einen DEP zu. Microsoft 365 verwendet die in der Richtlinie identifizierten Schlüssel, um das Postfach zu verschlüsseln. Zum Erstellen des DEP benötigen Sie die Key Vault URIs, die Sie während des Setups erhalten haben. Weitere Informationen finden Sie unter Abrufen des URI für jeden Azure Key Vault-Schlüssel.
Nicht vergessen! Wenn Sie einen DEP erstellen, geben Sie zwei Schlüssel in zwei verschiedenen Azure Key Vaults an. Um Georedundanz zu vermeiden, erstellen Sie diese Schlüssel in zwei separaten Azure-Regionen.
Führen Sie die folgenden Schritte aus, um einen DEP für die Verwendung mit einem Postfach zu erstellen:
Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Exchange Online Administratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.
Um eine Datenverschlüsselungsrichtlinie zu erstellen, verwenden Sie das Cmdlet „New-DataEncryptionPolicy“, indem Sie den folgenden Befehl eingeben.
New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>
Dabei gilt:
PolicyName ist der Name, den Sie für die Richtlinie verwenden möchten. Namen dürfen keine Leerzeichen enthalten. Beispiel: USA_Postfächer.
Die Richtlinienbeschreibung ist eine benutzerfreundliche Beschreibung der Richtlinie, die Ihnen hilft, sich daran zu erinnern, wofür die Richtlinie vorgesehen ist. In der Beschreibung sind Leerzeichen erlaubt. Beispiel: "Stammschlüssel für Postfächer in den USA und ihren Territorien".
KeyVaultURI1 ist der URI für den ersten Schlüssel in der Richtlinie. Beispiel:
https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01
.KeyVaultURI2 ist der URI für den zweiten Schlüssel in der Richtlinie. Beispiel:
https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02
. Trennen Sie die beiden URI mittels Komma und Leerzeichen.
Beispiel:
New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault02.vault.azure.net/keys/USA_key_01, https://contoso_CentralUSvault02.vault.azure.net/keys/USA_Key_02
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-DataEncryptionPolicy.
Zuweisen der Datenverschlüsselungsrichtlinie (DEP) zu einem Postfach mithilfe des Cmdlets „Set-Mailbox“. Nachdem Sie die Richtlinie zugewiesen haben, kann Microsoft 365 das Postfach mit dem im DEP identifizierten Schlüssel verschlüsseln.
Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>
Wobei MailboxIdParameter ein Benutzerpostfach angibt. Informationen zum Cmdlet Set-Mailbox finden Sie unter Set-Mailbox.
In Hybridumgebungen können Sie den lokalen Postfachdaten, die mit Ihrem Exchange Online Mandanten synchronisiert werden, einen DEP zuweisen. Um diesen synchronisierten Postfachdaten einen DEP zuzuweisen, verwenden Sie das Cmdlet Set-MailUser. Weitere Informationen zu Postfachdaten in der Hybridumgebung finden Sie unter Lokale Postfächer mit Outlook für iOS und Android mit moderner Hybridauthentifizierung.
Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>
Wobei MailUserIdParameter einen E-Mail-Benutzer angibt (auch als E-Mail-aktivierter Benutzer bezeichnet). Weitere Informationen zum Cmdlet Set-MailUser finden Sie unter Set-MailUser.
Bevor Sie beginnen, stellen Sie sicher, dass Sie die Aufgaben abgeschlossen haben, die zum Einrichten von Azure Key Vault erforderlich sind. Weitere Informationen finden Sie unter Einrichten des Kundenschlüssels.
Führen Sie zum Einrichten des Kundenschlüssels für SharePoint und OneDrive die folgenden Schritte in SharePoint PowerShell aus.
Sie ordnen einen DEP einer Gruppe von Schlüsseln zu, die in Azure Key Vault gespeichert sind. Sie wenden eine Datenverschlüsselungsrichtlinie (DEP) auf alle Ihre Daten an einem geografischen Standort an, der auch als Geo bezeichnet wird. Wenn Sie das Multi-Geo-Feature von Microsoft 365 verwenden, können Sie einen DEP pro geografischer Region mit der Möglichkeit erstellen, unterschiedliche Schlüssel pro geografischer Region zu verwenden. Wenn Sie nicht multi-geo verwenden, können Sie einen DEP in Ihrem organization für die Verwendung mit SharePoint und OneDrive erstellen. Microsoft 365 verwendet die im DEP identifizierten Schlüssel, um Ihre Daten in diesem geografischen Raum zu verschlüsseln. Zum Erstellen des DEP benötigen Sie die Key Vault URIs, die Sie während des Setups erhalten haben. Weitere Informationen finden Sie unter Abrufen des URI für jeden Azure Key Vault-Schlüssel.
Nicht vergessen! Wenn Sie einen DEP erstellen, geben Sie zwei Schlüssel in zwei verschiedenen Azure Key Vaults an. Um Georedundanz zu vermeiden, erstellen Sie diese Schlüssel in zwei separaten Azure-Regionen.
Zum Erstellen eines DEP müssen Sie SharePoint PowerShell verwenden.
Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit SharePoint PowerShell her.
Führen Sie in der Microsoft SharePoint-Verwaltungsshell das Cmdlet Register-SPODataEncryptionPolicy wie folgt aus:
Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>
Beispiel:
Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'stageRG3vault' -PrimaryKeyName 'SPKey3' -PrimaryKeyVersion 'f635a23bd4a44b9996ff6aadd88d42ba' -SecondaryKeyVaultName 'stageRG5vault' -SecondaryKeyName 'SPKey5' -SecondaryKeyVersion '2b3e8f1d754f438dacdec1f0945f251a'
Sobald Sie die Datenverschlüsselungsrichtlinie (DEP) registrieren, beginnt die Verschlüsselung der Daten im Geo. Die Verschlüsselung kann einige Zeit in Anspruch nehmen. Weitere Informationen zur Verwendung dieses Parameters finden Sie unter Register-SPODataEncryptionPolicy.
Verwenden Sie das PowerShell-Cmdlet Get-DataEncryptionPolicy, um eine Liste aller DEPs anzuzeigen, die Sie für Postfächer erstellt haben.
Stellen Sie mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.
Um alle DEPs in Ihrem organization zurückzugeben, führen Sie das Cmdlet Get-DataEncryptionPolicy ohne Parameter aus.
Get-DataEncryptionPolicy
Weitere Informationen zum Cmdlet Get-DataEncryptionPolicy finden Sie unter Get-DataEncryptionPolicy.
Wenn Sie den DEP zuweisen, verschlüsselt Microsoft 365 den Inhalt des Postfachs mit dem zugewiesenen DEP während der Migration. Dieser Prozess ist effizienter als das Migrieren des Postfachs, das Zuweisen des DEP und das Warten auf die Verschlüsselung, was Stunden oder möglicherweise Tage dauern kann.
Um einem Postfach vor der Migration zu Microsoft 365 ein DEP zuzuweisen, führen Sie das Cmdlet Set-MailUser in Exchange Online PowerShell aus:
Stellen Sie mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.
Führen Sie das Cmdlet Set-MailUser aus.
Set-MailUser -Identity <GeneralMailboxOrMailUserIdParameter> -DataEncryptionPolicy <DataEncryptionPolicyIdParameter>
Wobei GeneralMailboxOrMailUserIdParameter ein Postfach angibt und DataEncryptionPolicyIdParameter die ID des DEP ist. Weitere Informationen zum Cmdlet Set-MailUser finden Sie unter Set-MailUser.
Verwenden Sie das Cmdlet „Get-MailboxStatistics“, um zu ermitteln, welche Datenverschlüsselungsrichtlinie (DEP) einem Postfach zugewiesen ist. Das Cmdlet meldet einen eindeutigen Bezeichner (GUID) zurück.
Stellen Sie mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.
Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID
Wobei GeneralMailboxOrMailUserIdParameter ein Postfach angibt und DataEncryptionPolicyID die GUID des DEP zurückgibt. Weitere Informationen zum Cmdlet „Get-MailboxStatistics“ finden Sie unter Get-MailboxStatistics.
Führen Sie das Cmdlet Get-DataEncryptionPolicy aus, um den Anzeigenamen des DEP zu ermitteln, dem das Postfach zugewiesen ist.
Get-DataEncryptionPolicy <GUID>
Dabei ist der GUID derjenige GUID, der vom Cmdlet „Get-MailboxStatistics“ im vorherigen Schritt zurückgemeldet wurde.
Unabhängig davon, ob Sie einen Kundenschlüssel rolliert, einen neuen DEP zugewiesen oder ein Postfach migriert haben, führen Sie die Schritte in diesem Abschnitt aus, um sicherzustellen, dass die Verschlüsselung abgeschlossen ist.
Das Verschlüsseln eines Postfachs kann einige Zeit in Anspruch nehmen. Bei der erstmaligen Verschlüsselung muss das Postfach auch vollständig von einer Datenbank in eine andere verschoben werden, bevor der Dienst das Postfach verschlüsseln kann.
Verwenden Sie das Cmdlet „Get-MailboxStatistics“, um festzustellen, ob ein Postfach verschlüsselt ist.
Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted
Die IsEncrypted-Eigenschaft gibt den Wert true zurück, wenn das Postfach verschlüsselt ist, und den Wert false , wenn das Postfach nicht verschlüsselt ist. Die Dauer der Postfachverschiebung hängt von der Anzahl der Postfächer ab, denen Sie zum ersten Mal einen DEP zuweisen, und der Größe der Postfächer. Wenn die Postfächer nach einer Woche nach der Zuweisung des DEP nicht verschlüsselt sind, wenden Sie sich an Microsoft.
Das Cmdlet New-MoveRequest ist für lokale Postfachverschiebungen nicht mehr verfügbar. Weitere Informationen finden Sie in dieser Ankündigung.
Überprüfen Sie die status der Verschlüsselung, indem Sie das Cmdlet Get-SPODataEncryptionPolicy wie folgt ausführen:
Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>
Die Ausgabe dieses Cmdlets umfasst Folgendes:
URI des Primärschlüssels.
URI des Sekundärschlüssels.
Verschlüsselungsstatus für den Geo. Mögliche weitere Angaben:
Unregistrierte: Die Kundenschlüsselverschlüsselung wird nicht angewendet.
Registrierung: Die Kundenschlüsselverschlüsselung wird angewendet, und Ihre Dateien werden gerade verschlüsselt. Wenn der Schlüssel für den geografischen Standort registriert ist, werden Informationen dazu angezeigt, wie viele Standorte im geografischen Bereich abgeschlossen sind, sodass Sie den Verschlüsselungsfortschritt überwachen können.
Registriert: Die Kundenschlüsselverschlüsselung wird angewendet, und alle Dateien an allen Standorten werden verschlüsselt.
Rolling: Das Erstellen eines sich fortlaufend ändernden, sogenannten Rolling-Codes für den Schlüssel ist in Gang. Wenn der Schlüssel für den geografischen Bereich rolliert, werden Informationen darüber angezeigt, in welchem Prozentsatz der Standorte der Schlüsselrollvorgang abgeschlossen wurde, sodass Sie den Fortschritt überwachen können.
Die Ausgabe enthält den Prozentsatz der websites, die integriert wurden.
Führen Sie die folgenden Schritte aus, um Details zu allen DEPs zu erhalten, die Sie für die Verwendung mit mehreren Workloads erstellt haben:
Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Complianceadministratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.
Führen Sie diesen Befehl aus, um die Liste aller DEPs mit mehreren Workloads im organization zurückzugeben.
Get-M365DataAtRestEncryptionPolicy
Führen Sie diesen Befehl aus, um Details zu einem bestimmten DEP zurückzugeben. In diesem Beispiel werden ausführliche Informationen für den DEP mit dem Namen "Contoso_Global" zurückgegeben.
Get-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global"
Führen Sie die folgenden Schritte aus, um herauszufinden, welcher DEP Ihrem Mandanten derzeit zugewiesen ist.
Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Complianceadministratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.
Geben Sie diesen Befehl ein.
Get-M365DataAtRestEncryptionPolicyAssignment
Bevor Sie eine DEP mit mehreren Workloads deaktivieren, heben Sie die Zuweisung des DEP für Workloads in Ihrem Mandanten auf. Führen Sie die folgenden Schritte aus, um einen DEP zu deaktivieren, der mit mehreren Workloads verwendet wird:
Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Complianceadministratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.
Führen Sie das Cmdlet Set-M365DataAtRestEncryptionPolicy aus.
Set-M365DataAtRestEncryptionPolicy -[Identity] "PolicyName" -Enabled $false
Dabei ist "PolicyName" der Name oder die eindeutige ID der Richtlinie. Beispiel: Contoso_Global.
Beispiel:
Set-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global" -Enabled $false
Verwenden Sie vor dem Ausführen einer Wiederherstellung die von Soft Delete bereitgestellten Wiederherstellungsfunktionen. Für alle mit Customer Key verwendeten Schlüssel muss Soft Delete aktiviert sein. Soft Delete wirkt wie ein Recycling-Mülleimer und ermöglicht die Wiederherstellung von bis zu 90 Tagen, ohne dass eine Wiederherstellung erforderlich ist. Eine Wiederherstellung sollte nur unter extremen und außergewöhnlichen Umständen erforderlich sein, beispielsweise, wenn ein Schlüssel oder ein Schlüsseltresor verloren geht. Wenn Sie einen Schlüssel zur Verwendung mit Customer Key wiederherstellen müssen, führen Sie in Azure PowerShell das Cmdlet „Restore-AzureKeyVaultKey“ wie folgt aus:
Restore-AzKeyVaultKey -VaultName <vault name> -InputFile <filename>
Beispiel:
Restore-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup
Wenn der Schlüsseltresor bereits einen Schlüssel mit demselben Namen enthält, schlägt der Wiederherstellungsvorgang fehl. Restore-AzKeyVaultKey stellt alle Schlüsselversionen und alle Metadaten für den Schlüssel einschließlich des Schlüsselnamens wieder her.
Mehrere Cmdlets stehen zur Verfügung, mit denen Sie die Schlüsseltresor-Berechtigungen ansehen und, falls erforderlich, entfernen können. Möglicherweise müssen Sie Berechtigungen entfernen, beispielsweise, wenn ein Mitarbeiter das Team verlässt. Verwenden Sie für jede dieser Aufgaben Azure PowerShell. Informationen zu Azure PowerShell finden Sie unter Übersicht über Azure PowerShell.
Führen Sie das Cmdlet Get-AzKeyVault aus, um Key Vault-Berechtigungen anzuzeigen.
Get-AzKeyVault -VaultName <vault name>
Beispiel:
Get-AzKeyVault -VaultName Contoso-O365EX-NA-VaultA1
Führen Sie das Cmdlet Remove-AzKeyVaultAccessPolicy aus, um die Berechtigungen eines Administrators zu entfernen:
Remove-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user>
Beispiel:
Remove-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -UserPrincipalName alice@contoso.com
Wenn Sie rückgängig machen zu von Microsoft verwalteten Schlüsseln müssen, ist dies möglich. Wenn Sie ein Rollback ausführen, werden Ihre Daten mit der von jeder einzelnen Workload unterstützten Standardverschlüsselung erneut verschlüsselt. Beispielsweise unterstützen Exchange Online- und Windows 365 Cloud-PCs die Standardverschlüsselung mit von Microsoft verwalteten Schlüsseln.
Wichtig
Ein Rollback ist nicht dasselbe wie eine Datenlöschung. Eine Datenbereinigung löscht die Daten Ihrer organization dauerhaft aus Microsoft 365, rollback nicht. Sie können keine Datenlöschung für eine Richtlinie mit mehreren Workloads durchführen.
Wenn Sie den Kundenschlüssel nicht mehr für die Zuweisung von DEPs mit mehreren Workloads verwenden möchten, erstellen Sie ein Supportticket bei Microsoft-Support, und geben Sie die folgenden Details in Ihrer Anfrage an:
- Mandanten-FQDN
- Mandantenkontakt für rollback-Anforderung
- Grund für das Verlassen
- Einschließen des Incidents #
Sie müssen Ihre Kundenschlüssel-AKVs und Verschlüsselungsschlüssel weiterhin mit den richtigen Berechtigungen aufbewahren, damit Daten mit von Microsoft verwalteten Schlüsseln erneut angewendet werden können.
Wenn Sie einzelne Postfächer nicht mehr mithilfe von DEPs auf Postfachebene verschlüsseln möchten, können Sie die Zuweisung von DEPs auf Postfachebene für alle Postfächer aufheben.
Um die Zuweisung von Postfach-DEPs aufzuheben, verwenden Sie das PowerShell-Cmdlet Set-Mailbox.
Stellen Sie mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.
Führen Sie das Cmdlet Set-Mailbox aus.
Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy $null
Durch Ausführen dieses Cmdlets wird die Zuweisung des derzeit zugewiesenen DEP aufheben und das Postfach mithilfe des DEP erneut verschlüsselt, das den von Microsoft verwalteten Standardschlüsseln zugeordnet ist. Sie können die Zuweisung des von Microsoft verwalteten Schlüsseln verwendeten DEP nicht aufheben. Wenn Sie keine von Microsoft verwalteten Schlüssel verwenden möchten, können Sie dem Postfach einen anderen Kundenschlüssel-DEP zuweisen.
Ein Rollback von Kundenschlüssel zu von Microsoft verwalteten Schlüsseln wird für SharePoint und OneDrive nicht unterstützt.
Sie steuern die Sperrung aller Stammschlüssel einschließlich des Verfügbarkeitsschlüssels. Customer Key bietet Ihnen die Kontrolle über den Aspekt der Exitplanung der gesetzlichen Anforderungen. Wenn Sie Ihre Schlüssel widerrufen möchten, um Ihre Daten zu bereinigen und den Dienst zu beenden, löscht der Dienst den Verfügbarkeitsschlüssel nach Abschluss des Datenlöschvorgangs. Diese Funktionalität wird für Kundenschlüssel-DEPs unterstützt, die einzelnen Postfächern zugewiesen sind.
Microsoft 365 überwacht und überprüft den Datenlöschpfad. Weitere Informationen finden Sie im SSAE 18 SOC 2-Bericht, der im Service Trust Portal verfügbar ist. Darüber hinaus empfiehlt Microsoft die folgenden Dokumente:
Das Bereinigen von DEP mit mehreren Workloads wird für Kundenschlüssel nicht unterstützt. Der DEP mit mehreren Workloads wird verwendet, um Daten über mehrere Workloads hinweg für alle Mandantenbenutzer zu verschlüsseln. Das Bereinigen dieses DEP würde dazu führen, dass auf Daten aus mehreren Workloads nicht mehr zugegriffen werden kann. Wenn Sie Microsoft 365-Dienste vollständig beenden möchten, lesen Sie, wie Sie einen Mandanten in Microsoft Entra ID löschen.
Wenn Sie den Datenbereinigungspfad für Exchange Online initiieren, legen Sie eine permanente Datenlöschanforderung für einen DEP fest. Dadurch werden verschlüsselte Daten in den Postfächern, denen dieser DEP zugewiesen ist, dauerhaft gelöscht.
Da Sie das PowerShell-Cmdlet jeweils nur für einen DEP ausführen können, sollten Sie erwägen, allen Postfächern einen einzelnen DEP neu zuzuweisen, bevor Sie den Datenbereinigungspfad initiieren.
Warnung
Verwenden Sie den Datenlöschpfad nicht, um eine Teilmenge Ihrer Postfächer zu löschen. Dieser Prozess ist nur für Kunden vorgesehen, die den Dienst beenden.
Führen Sie die folgenden Schritte aus, um den Datenlöschpfad zu initiieren:
Entfernen Sie die Berechtigungen zum Umbrechen und Entpacken für "O365 Exchange Online" aus Azure Key Vaults.
Stellen Sie mithilfe eines Geschäfts-, Schul- oder Unikontos mit globalen Administratorrechten in Ihrem organization eine Verbindung mit Exchange Online PowerShell her.
Führen Sie für jedes DEP, das zu löschende Postfächer enthält, das Cmdlet Set-DataEncryptionPolicy wie folgt aus.
Set-DataEncryptionPolicy <Policy ID> -PermanentDataPurgeRequested -PermanentDataPurgeReason <Reason> -PermanentDataPurgeContact <ContactName>
Wenn der Befehl fehlschlägt, stellen Sie sicher, dass Sie die Exchange Online Berechtigungen aus beiden Schlüsseln in Azure Key Vault entfernen, wie weiter oben in dieser Aufgabe angegeben. Nachdem Sie den Schalter "PermanentDataPurgeRequested" mithilfe des Cmdlets Set-DataEncryptionPolicy festgelegt haben, wird das Zuweisen dieses DEP zu Postfächern nicht mehr unterstützt.
Wenden Sie sich an den Microsoft-Support, und fordern Sie das Datenlöschungs-eDocument an.
Auf Ihre Anfrage sendet Microsoft Ihnen ein rechtliches Dokument zur Bestätigung und Autorisierung der Datenlöschung. Die Person in Ihrem organization, die sich während des Onboardings als genehmigende Person beim FastTrack-Angebot registriert hat, muss dieses Dokument signieren. Normalerweise handelt es sich bei dieser Person um eine Führungskraft oder eine andere benannte Person in Ihrem Unternehmen, die gesetzlich berechtigt ist, die Unterlagen im Namen Ihrer organization zu unterzeichnen.
Nachdem Ihr Vertreter das rechtliche Dokument unterzeichnet hat, geben Sie es an Microsoft zurück (in der Regel über eine eDoc-Signatur).
Sobald Microsoft das rechtliche Dokument erhalten hat, führt Microsoft Cmdlets aus, um die Datenbereinigung auszulösen. Dadurch wird zuerst die Richtlinie gelöscht, die Postfächer zum endgültigen Löschen markiert und dann der Verfügbarkeitsschlüssel gelöscht. Sobald der Datenlöschvorgang abgeschlossen ist, werden die Daten gelöscht, für Exchange Online nicht zugänglich und können nicht wiederhergestellt werden.
Das Bereinigen von SharePoint- und OneDrive-DEPs wird in Customer Key nicht unterstützt. Wenn Sie microsoft 365-Dienste vollständig beenden möchten, können Sie den Pfad der Mandantenlöschung gemäß dem dokumentierten Prozess verfolgen. Erfahren Sie, wie Sie einen Mandanten in Microsoft Entra ID löschen.
Migrieren Ihrer Key Vaults von der Verwendung des Legacyzugriffsrichtlinienmodells zur Verwendung von RBAC
Wenn Sie das Onboarding für Kundenschlüssel mithilfe der Legacyzugriffsrichtlinienmethode durchgeführt haben, befolgen Sie die Anweisungen zum Migrieren aller Azure Key Vaults zur Verwendung der RBAC-Methode. Informationen zum Vergleich der Unterschiede und der Gründe, warum Microsoft die rollenbasierte Zugriffssteuerung in Azure empfiehlt, finden Sie unter Rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) im Vergleich zu Zugriffsrichtlinien (Legacy).
Verwenden Sie das Cmdlet Remove-AzKeyVaultAccessPolicy, um die vorhandenen Zugriffsrichtlinien aus Ihren Key Vaults zu entfernen.
Um Berechtigungen zu entfernen, melden Sie sich mit Azure PowerShell bei Ihrem Azure-Abonnement an. Anweisungen finden Sie unter Anmelden mit Azure PowerShell.
Führen Sie das Cmdlet Remove-AzKeyVaultAccessPolicy mit der folgenden Syntax aus, um die Berechtigung für den Microsoft 365-Dienstprinzipal zu entfernen:
Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4
Führen Sie das Cmdlet Remove-AzKeyVaultAccessPolicy mit der folgenden Syntax aus, um die Berechtigung für Exchange Online Prinzipal zu entfernen:
Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000
Führen Sie das Cmdlet Remove-AzKeyVaultAccessPolicy mit der folgenden Syntax aus, um die Berechtigung für SharePoint und OneDrive für Den Geschäfts-, Schul- oder Unidienstprinzipal zu entfernen:
Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000
Navigieren Sie nach dem Entfernen der vorhandenen Tresorzugriffsrichtlinien im Azure-Portal zu Ihrem Schlüsseltresor. Wechseln Sie in jedem Tresor auf der linken Seite unter der Dropdownliste "Einstellungen" zur Registerkarte "Zugriffskonfiguration".
Wählen Sie unter "Berechtigungsmodell"die Option "Rollenbasierte Zugriffssteuerung in Azure" und dann unten auf dem Bildschirm "Anwenden" aus.
Informationen zum Zuweisen von RBAC-Berechtigungen zu Ihren Azure Key Vaults finden Sie unter Zuweisen von Berechtigungen zu jedem Key Vault.