Dienstverschlüsselung mit Microsoft Purview-Kundenschlüssel
Microsoft 365 bietet eine grundlegende Verschlüsselung auf Volumeebene, die über BitLocker und DKM (Distributed Key Manager) aktiviert ist. Microsoft 365 bietet eine zusätzliche Verschlüsselungsebene für Ihre Inhalte. Diese Inhalte enthalten Daten aus Exchange Online, SharePoint Online, OneDrive for Business und Microsoft Teams.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.
Zusammenarbeit zwischen Dienstverschlüsselung, BitLocker und Kundenschlüssel
Ihre Daten werden im Ruhezustand im Microsoft 365-Dienst immer mit BitLocker und DKM verschlüsselt. Weitere Informationen finden Sie unter Schützen ihrer E-Mail-Geheimnisse durch Exchange Online. Der Kundenschlüssel bietet zusätzlichen Schutz vor dem Anzeigen von Daten durch nicht autorisierte Systeme oder Mitarbeiter und ergänzt die BitLocker-Datenträgerverschlüsselung in Microsoft-Rechenzentren. Die Dienstverschlüsselung soll nicht verhindern, dass Microsoft-Mitarbeiter auf Ihre Daten zugreifen. Stattdessen hilft Ihnen der Kundenschlüssel dabei, gesetzliche oder Compliance-Verpflichtungen zur Steuerung von Stammschlüsseln zu erfüllen. Sie autorisieren Microsoft 365-Dienste explizit, Ihre Verschlüsselungsschlüssel zu verwenden, um mehrwertige Clouddienste wie eDiscovery, Antischadsoftware, Antispam, Suchindizierung usw. bereitzustellen.
Der Kundenschlüssel basiert auf der Dienstverschlüsselung und ermöglicht es Ihnen, Verschlüsselungsschlüssel bereitzustellen und zu steuern. Microsoft 365 verwendet diese Schlüssel dann, um Ihre ruhenden Daten zu verschlüsseln, wie in den Online services Terms (OST) beschrieben. Der Kundenschlüssel unterstützt Sie bei der Einhaltung von Complianceverpflichtungen, da Sie die Verschlüsselungsschlüssel steuern, die Microsoft 365 zum Verschlüsseln und Entschlüsseln von Daten verwendet.
Customer Key verbessert die Fähigkeit Ihrer organization, die Anforderungen der Complianceanforderungen zu erfüllen, die wichtige Vereinbarungen mit dem Clouddienstanbieter festlegen. Mit Customer Key können Sie die Stammverschlüsselungsschlüssel für Ihre ruhenden Microsoft 365-Daten auf Anwendungsebene bereitstellen und steuern. Daher üben Sie die Kontrolle über die Schlüssel Ihrer organization aus.
Kundenschlüssel mit Hybridbereitstellungen
Der Kundenschlüssel verschlüsselt nur ruhende Daten in der Cloud. Der Kundenschlüssel kann Ihre lokalen Postfächer und Dateien nicht schützen. Sie können Ihre lokalen Daten mit einer anderen Methode verschlüsseln, z. B. BitLocker.
Informationen zu Datenverschlüsselungsrichtlinien
Eine Datenverschlüsselungsrichtlinie (Data Encryption Policy, DEP) definiert die Verschlüsselungshierarchie. Diese Hierarchie wird vom Dienst verwendet, um Daten mit jedem der von Ihnen verwalteten Schlüssel und dem Verfügbarkeitsschlüssel zu verschlüsseln, der von Microsoft geschützt wird. Sie erstellen DEPs mithilfe von PowerShell-Cmdlets und weisen diese DEPs dann zum Verschlüsseln von Anwendungsdaten zu. Es gibt drei Typen von DEPs, die vom Kundenschlüssel unterstützt werden. Jeder Richtlinientyp verwendet unterschiedliche Cmdlets und bietet Abdeckung für einen anderen Datentyp. Zu den DEPs, die Sie definieren können, gehören:
DEP für mehrere Microsoft 365-Workloads Diese DEPs verschlüsseln Daten für mehrere Microsoft 365-Workloads für alle Benutzer innerhalb des Mandanten. Zu diesen Workloads gehören:
Teams-Chatnachrichten (1:1-Chats, Gruppenchats, Besprechungschats und Kanalunterhaltungen)
Teams-Mediennachrichten (Bilder, Codeausschnitte, Videonachrichten, Audionachrichten, Wiki-Bilder)
Teams-Anruf- und Besprechungsaufzeichnungen, die im Teams-Speicher gespeichert sind
Teams-Chatbenachrichtigungen
Teams-Chatvorschläge von Cortana
Teams status-Nachrichten
Benutzer- und Signalinformationen für Exchange Online
Exchange Online Postfächer, die noch nicht durch Postfach-DEPs verschlüsselt sind
Microsoft Purview Information Protection:
Genaue Datenvergleichsdaten (Exact Data Match, EDM), einschließlich Datendateischemas, Regelpaketen und der Salts, die zum Hashen vertraulicher Daten verwendet werden. Für EDM und Microsoft Teams verschlüsselt der DEP mit mehreren Workloads neue Daten ab dem Zeitpunkt, zu dem Sie den DEP dem Mandanten zuweisen. Für Exchange Online verschlüsselt der Kundenschlüssel alle vorhandenen und neuen Daten.
Bezeichnungskonfiguration für Vertraulichkeitsbezeichnungen
DEPs mit mehreren Workloads verschlüsseln die folgenden Datentypen nicht. Stattdessen verwendet Microsoft 365 andere Verschlüsselungstypen, um diese Daten zu schützen.
- SharePoint und OneDrive for Business Daten.
- Microsoft Teams-Dateien und einige Teams-Anruf- und Besprechungsaufzeichnungen, die in OneDrive for Business und SharePoint Online gespeichert sind, werden mit dem SharePoint Online DEP verschlüsselt.
- Andere Microsoft 365-Workloads, die derzeit nicht von Customer Key unterstützt werden, z. B. Viva Engage und Planner.
- Teams-Liveereignisdaten.
Sie können mehrere DEPs pro Mandant erstellen, aber jeweils nur einen DEP zuweisen. Wenn Sie das DEP zuweisen, beginnt die Verschlüsselung automatisch, dauert jedoch je nach Größe Ihres Mandanten einige Zeit.
DEPs für Exchange Online Postfächer Postfach-DEPs bieten eine präzisere Kontrolle über einzelne Postfächer innerhalb Exchange Online. Verwenden Sie Postfach-DEPs, um Daten zu verschlüsseln, die in EXO-Postfächern verschiedener Typen gespeichert sind, z. B. UserMailbox, MailUser, Group, PublicFolder und Shared Mailboxes. Sie können bis zu 50 aktive DEPs pro Mandant haben und diese DEPs einzelnen Postfächern zuweisen. Sie können mehreren Postfächern einen DEP zuweisen.
Standardmäßig werden Ihre Postfächer mit von Microsoft verwalteten Schlüsseln verschlüsselt. Wenn Sie einem Postfach einen Kundenschlüssel-DEP zuweisen:
Wenn das Postfach mit einem Multiworkload-DEP verschlüsselt wird, packt der Dienst das Postfach mit dem neuen Postfach-DEP neu, solange ein Benutzer oder ein Systemvorgang auf die Postfachdaten zugreift.
Wenn das Postfach bereits mit von Microsoft verwalteten Schlüsseln verschlüsselt wurde, packt der Dienst das Postfach mit dem neuen Postfach-DEP neu, solange ein Benutzer oder ein Systemvorgang auf die Postfachdaten zugreift.
Wenn das Postfach noch nicht mit der Standardverschlüsselung verschlüsselt ist, markiert der Dienst das Postfach für eine Verschiebung. Die Verschlüsselung erfolgt, sobald die Verschiebung abgeschlossen ist. Postfachverschiebungen werden basierend auf prioritäten gesteuert, die für microsoft 365 festgelegt wurden. Weitere Informationen finden Sie unter Verschieben von Anforderungen im Microsoft 365-Dienst. Wenn die Postfächer nicht innerhalb der angegebenen Zeit verschlüsselt sind, wenden Sie sich an Microsoft.
Später können Sie entweder den DEP aktualisieren oder dem Postfach einen anderen DEP zuweisen, wie unter Verwalten des Kundenschlüssels für Office 365 beschrieben. Jedes Postfach muss über die entsprechenden Lizenzen verfügen, um einem DEP zugewiesen zu werden. Weitere Informationen zur Lizenzierung finden Sie unter Vor dem Einrichten des Kundenschlüssels.
DEPs können einem freigegebenen Postfach, einem Postfach für öffentliche Ordner und einem Microsoft 365-Gruppenpostfach für Mandanten zugewiesen werden, die die Lizenzierungsanforderung für Benutzerpostfächer erfüllen. Sie benötigen keine separaten Lizenzen für nicht benutzerspezifische Postfächer, um Kundenschlüssel-DEP zuzuweisen.
Für Kundenschlüssel-DEPs, die Sie einzelnen Postfächern zuweisen, können Sie anfordern, dass Microsoft bestimmte DEPs löscht, wenn Sie den Dienst verlassen. Informationen zum Datenlöschprozess und zum Sperren von Schlüsseln finden Sie unter Widerrufen Ihrer Schlüssel und Starten des Datenlöschpfadprozesses.
Wenn Sie den Zugriff auf Ihre Schlüssel im Rahmen des Verlassens des Diensts widerrufen, wird der Verfügbarkeitsschlüssel gelöscht, was zu einer kryptografischen Löschung Ihrer Daten führt. Kryptografische Löschungen verringern das Risiko der Datenremanence, was für die Erfüllung von Sicherheits- und Complianceverpflichtungen wichtig ist.
DEP für SharePoint Online und OneDrive for Business Dieser DEP wird zum Verschlüsseln von Inhalten verwendet, die in SPO und OneDrive for Business gespeichert sind, einschließlich microsoft Teams-Dateien, die in SPO gespeichert sind. Wenn Sie das Multi-Geo-Feature verwenden, können Sie einen DEP pro geografischer Region für Ihre organization erstellen. Wenn Sie das Multi-Geo-Feature nicht verwenden, können Sie nur einen DEP pro Mandant erstellen. Weitere Informationen finden Sie unter Einrichten des Kundenschlüssels.
Verschlüsselungsverfahren, die vom Kundenschlüssel verwendet werden
Customer Key verwendet verschiedene Verschlüsselungsverfahren, um Schlüssel zu verschlüsseln, wie in den folgenden Abbildungen dargestellt.
Die Schlüsselhierarchie, die für DEPs verwendet wird, die Daten für mehrere Microsoft 365-Workloads verschlüsseln, ähnelt der Hierarchie, die für DEPs für einzelne Exchange Online Postfächer verwendet wird. Der einzige Unterschied besteht darin, dass der Postfachschlüssel durch den entsprechenden Microsoft 365-Workloadschlüssel ersetzt wird.