Freigeben über


Übersicht über die Dienstverschlüsselung mit Microsoft Purview Customer Key

Microsoft 365 bietet eine grundlegende Verschlüsselung auf Volumeebene über BitLocker und DKM (Distributed Key Manager). Windows 365 Enterprise- und Business Cloud-PC-Datenträger werden mithilfe der serverseitigen Verschlüsselung (SSE) von Azure Storage verschlüsselt.

Um Ihnen mehr Kontrolle zu geben, bietet Microsoft 365 auch eine zusätzliche Verschlüsselungsebene für Ihre Inhalte über den Kundenschlüssel. Diese Inhalte umfassen Daten aus Microsoft Exchange, SharePoint, OneDrive, Teams und Windows 365 Cloud-PCs.

BitLocker wird nicht als Verschlüsselungsoption für Windows 365 Cloud-PCs unterstützt. Weitere Informationen finden Sie unter Verwenden von Windows 10 virtuellen Computern in Intune.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Zusammenarbeit zwischen Dienstverschlüsselung, BitLocker, SSE und Kundenschlüssel

Ihre Microsoft 365-Daten werden im Ruhezustand immer mit BitLocker und Distributed Key Manager (DKM) verschlüsselt. Weitere Informationen finden Sie unter Schützen Ihrer E-Mail-Geheimnisse durch Exchange.

Der Kundenschlüssel bietet zusätzlichen Schutz vor unbefugtem Zugriff auf Ihre Daten. Es ergänzt die BitLocker-Datenträgerverschlüsselung und die serverseitige Verschlüsselung (SSE) in Microsoft-Rechenzentren. Die Dienstverschlüsselung ist nicht darauf ausgelegt, Microsoft-Mitarbeiter am Zugriff auf Ihre Daten zu hindern. Stattdessen unterstützt Kundenschlüssel Sie bei der Einhaltung von Compliance- oder gesetzlichen Anforderungen, indem Sie die Stammverschlüsselungsschlüssel steuern können.

Sie autorisieren Microsoft 365 explizit, Ihre Verschlüsselungsschlüssel zu verwenden, um Mehrwertdienste wie eDiscovery, Antischadsoftware, Antispam und Suchindizierung bereitzustellen.

Der Kundenschlüssel basiert auf der Dienstverschlüsselung und ermöglicht es Ihnen, Verschlüsselungsschlüssel bereitzustellen und zu steuern. Microsoft 365 verwendet diese Schlüssel, um Ihre ruhenden Daten zu verschlüsseln, wie in den Online services Terms (OST) beschrieben. Da Sie die Verschlüsselungsschlüssel steuern, hilft Ihnen Customer Key dabei, Complianceanforderungen zu erfüllen.

Customer Key verbessert Ihre Fähigkeit, Compliancestandards zu erfüllen, die wichtige Steuerungsvereinbarungen mit Ihrem Cloudanbieter erfordern. Sie stellen die Stammverschlüsselungsschlüssel für Ihre ruhenden Microsoft 365-Daten auf Anwendungsebene bereit und verwalten sie. Dieses Setup bietet Ihnen die direkte Kontrolle über die Verschlüsselungsschlüssel Ihrer organization.

Kundenschlüssel mit Hybridbereitstellungen

Der Kundenschlüssel verschlüsselt nur ruhende Daten in der Cloud. Lokale Postfächer oder Dateien werden nicht geschützt. Verwenden Sie eine separate Methode wie BitLocker, um lokale Daten zu schützen.

Informationen zu Datenverschlüsselungsrichtlinien

Eine Datenverschlüsselungsrichtlinie (Data Encryption Policy, DEP) definiert die Verschlüsselungshierarchie. Dienste verwenden diese Hierarchie, um Daten sowohl mit den von Ihnen verwalteten Schlüsseln als auch mit dem Verfügbarkeitsschlüssel zu verschlüsseln, den Microsoft schützt. Sie erstellen einen DEP mithilfe von PowerShell-Cmdlets und weisen ihn dann zum Verschlüsseln von Anwendungsdaten zu.

Customer Key unterstützt drei Arten von DEPs. Jeder Typ verwendet unterschiedliche Cmdlets und schützt eine andere Art von Daten:

DEP für mehrere Microsoft 365-Workloads

Diese DEPs verschlüsseln Daten für mehrere Microsoft 365-Workloads für alle Benutzer im Mandanten. Zu den Workloads gehören:

  • Windows 365 Cloud-PCs. Weitere Informationen finden Sie unter Microsoft Purview Customer Key für Windows 365 Cloud-PCs.
  • Teams-Chatnachrichten (1:1-Chats, Gruppenchats, Besprechungschats und Kanalunterhaltungen)
  • Teams-Mediennachrichten (Bilder, Codeausschnitte, Videonachrichten, Audionachrichten, Wiki-Bilder)
  • Teams-Anrufe und Besprechungsaufzeichnungen, die im Teams-Speicher gespeichert sind
  • Teams-Chatbenachrichtigungen
  • Teams-Chatvorschläge von Cortana
  • Teams status-Nachrichten
  • Microsoft 365 Copilot Interaktionen
  • Benutzer- und Signalinformationen für Exchange
  • Exchange-Postfächer, die von einem Postfach-DEP nicht verschlüsselt werden
  • Microsoft Purview Information Protection:
    • Exact Data Match (EDM)-Daten, einschließlich Datendateischemas, Regelpaketen und den Salts, die zum Hashen vertraulicher Daten verwendet werden
      • Für EDM und Teams verschlüsselt das DEP neue Daten ab dem Zeitpunkt, an dem Sie sie dem Mandanten zuweisen.
      • Für Exchange verschlüsselt der Kundenschlüssel alle vorhandenen und neuen Daten.
    • Konfigurationen von Vertraulichkeitsbezeichnungen

DEPs mit mehreren Workloads verschlüsseln die folgenden Datentypen nicht. Diese Daten werden mit anderen Verschlüsselungsmethoden in Microsoft 365 geschützt:

  • SharePoint- und OneDrive-Daten
  • Teams-Dateien und einige Teams-Anrufe und Besprechungsaufzeichnungen, die in SharePoint oder OneDrive gespeichert sind (verschlüsselt durch die SharePoint-DEP)
  • Teams-Liveereignisdaten
  • Workloads, die vom Kundenschlüssel nicht unterstützt werden, z. B. Viva Engage und Planner

Sie können mehrere DEPs pro Mandant erstellen, aber jeweils nur einen zuweisen. Die Verschlüsselung beginnt automatisch nach der Zuweisung, obwohl die Abschlusszeit von der Mandantengröße abhängt.

DEPs für Exchange-Postfächer

Postfach-DEPs bieten Ihnen mehr Kontrolle über einzelne Exchange Online Postfächer. Sie können sie verwenden, um Daten in UserMailbox-, MailUser-, Group-, PublicFolder- und Freigegebenen Postfächern zu verschlüsseln.

Pro Mandant können bis zu 50 aktive Postfach-DEPs vorhanden sein. Sie können mehreren Postfächern ein DEP zuweisen, aber nur ein DEP pro Postfach.

Exchange-Postfächer werden standardmäßig mit von Microsoft verwalteten Schlüsseln verschlüsselt. Wenn Sie einen Kundenschlüssel-DEP zuweisen:

  • Wenn ein Postfach bereits mit einem Multiworkload-DEP verschlüsselt ist, wird es vom Dienst beim nächsten Zugriff eines Benutzers oder Systems mit dem Postfach-DEP neu zugeordnet.
  • Wenn ein Postfach mit von Microsoft verwalteten Schlüsseln verschlüsselt ist, packt der Dienst es beim Zugriff erneut mit dem Postfach-DEP.
  • Wenn ein Postfach noch nicht verschlüsselt ist, markiert der Dienst es für eine Verschiebung. Die Verschlüsselung erfolgt nach dem Verschieben. Postfachverschiebungen folgen microsoft 365-weiten Prioritätsregeln. Weitere Informationen finden Sie unter Verschieben von Anforderungen im Microsoft 365-Dienst. Wenn ein Postfach nicht rechtzeitig verschlüsselt ist, wenden Sie sich an Microsoft.

Sie können den DEP später aktualisieren oder einen anderen zuweisen, wie unter Verwalten des Kundenschlüssels für Office 365 beschrieben.

Jedes Postfach muss die Lizenzierungsanforderungen erfüllen, um den Kundenschlüssel verwenden zu können. Weitere Informationen finden Sie unter Vor dem Einrichten des Kundenschlüssels.

Sie können DEPs freigegebenen Postfächern, öffentlichen Ordnern und Gruppenpostfächern zuweisen, solange Ihr Mandant die Lizenzierungsanforderungen für Benutzerpostfächer erfüllt. Sie benötigen keine separaten Lizenzen für nicht benutzerspezifische Postfächer.

Sie können auch anfordern, dass Microsoft bestimmte DEPs löscht, wenn Sie den Dienst verlassen. Ausführliche Informationen zum Bereinigen und Widerrufen von Schlüsseln finden Sie unter Widerrufen Von Schlüsseln und Starten des Datenbereinigungspfadprozesses.

Wenn Sie den Zugriff auf Ihre Schlüssel widerrufen, löscht Microsoft den Verfügbarkeitsschlüssel. Dieser Löschvorgang führt zur kryptografischen Löschung Ihrer Daten, sodass Sie compliance- und datenremanence-Anforderungen erfüllen können.

DEP für SharePoint und OneDrive

Dieser DEP verschlüsselt Inhalte, die in SharePoint und OneDrive gespeichert sind, einschließlich teams-Dateien, die in SharePoint gespeichert sind.

  • Wenn Sie das Multi-Geo-Feature verwenden, können Sie einen DEP pro geografischem Standort erstellen.
  • Andernfalls können Sie nur einen DEP pro Mandant erstellen.

Anweisungen zum Einrichten finden Sie unter Einrichten des Kundenschlüssels.

Verschlüsselungsverfahren, die vom Kundenschlüssel verwendet werden

Der Kundenschlüssel verwendet verschiedene Verschlüsselungsverfahren, um Schlüssel zu schützen, wie in den folgenden Diagrammen dargestellt.

Die Schlüsselhierarchie, die für DEPs verwendet wird, die Daten über mehrere Microsoft 365-Workloads hinweg verschlüsseln, ähnelt der hierarchie, die für einzelne Exchange-Postfächer verwendet wird. Der entsprechende Microsoft 365-Workloadschlüssel ersetzt den Postfachschlüssel.

Verschlüsselungsverfahren, die zum Verschlüsseln von Schlüsseln für Exchange verwendet werden

Verschlüsselungsverfahren für Exchange-Kundenschlüssel.

Verschlüsselungsverfahren, die zum Verschlüsseln von Schlüsseln für SharePoint und OneDrive verwendet werden

Verschlüsselungsverfahren für SharePoint-Kundenschlüssel.