Freigeben über

Einrichten des Kundenschlüssels

Mit Kundenschlüssel können Sie die Verschlüsselungsschlüssel Ihrer organization steuern und Microsoft 365 so konfigurieren, dass diese Schlüssel verwendet werden, um Ihre ruhenden Daten in den Rechenzentren von Microsoft zu verschlüsseln. Anders ausgedrückt: Sie können eine Verschlüsselungsebene hinzufügen, die Sie besitzen und verwalten.

Vor der Verwendung des Kundenschlüssels müssen Sie die erforderlichen Azure-Ressourcen einrichten. Dieser Artikel führt Sie durch das Erstellen und Konfigurieren dieser Ressourcen, gefolgt von den Schritten zum Aktivieren des Kundenschlüssels. Nachdem Sie Azure eingerichtet haben, wählen Sie aus, welche Richtlinie angewendet wird und welche Schlüssel daten in Microsoft 365-Workloads in Ihrem organization verschlüsseln.

Eine allgemeine Übersicht und weitere Informationen finden Sie unter Übersicht über Kundenschlüssel.

Wichtig

Achten Sie darauf, die bewährten Methoden in diesem Artikel zu befolgen, die als TIPP, WICHTIG und HINWEIS gekennzeichnet sind. Kundenschlüssel bietet Ihnen die Kontrolle über Stammverschlüsselungsschlüssel, die sich auf Ihre gesamte organization auswirken können. Fehler mit diesen Schlüsseln können zu Dienstunterbrechungen oder dauerhaften Datenverlusten führen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Vor dem Einrichten des Kundenschlüssels

Bevor Sie beginnen, stellen Sie sicher, dass Ihr organization über die richtigen Azure-Abonnements und Microsoft 365-, Office 365- und Windows 365-Lizenzen verfügt. Sie müssen kostenpflichtige Azure-Abonnements verwenden. Abonnements, die über Die Programme "Free", "Trial", "Sponsorship", "MSDN" oder "Legacy Support" erworben wurden, sind nicht berechtigt.

Wichtig

Microsoft 365- und Office 365-Lizenzen, die Microsoft 365 Customer Key bieten:

  • Office 365 E5
  • Microsoft 365 E5
  • Microsoft 365 E5 Compliance
  • Microsoft 365 E5 Information Protection &-Governance-SKUs
  • Microsoft 365 Security and Compliance for FLW

Vorhandene Office 365 Advanced Compliance Lizenzen werden weiterhin unterstützt.

Informationen zu den Konzepten und Verfahren in diesem Artikel finden Sie in der Dokumentation zu Azure Key Vault. Sie sollten auch mit wichtigen Azure-Begriffen wie Microsoft Entra Mandanten vertraut sein.

Wenn Sie Hilfe über die Dokumentation hinaus benötigen, wenden Sie sich an Microsoft-Support. Wenn Sie Feedback oder Vorschläge zu Customer Key oder dieser Dokumentation teilen möchten, besuchen Sie die Microsoft 365 Community.

Übersicht über die Schritte zum Einrichten des Kundenschlüssels

Führen Sie zum Einrichten des Kundenschlüssels die folgenden Aufgaben in der richtigen Reihenfolge aus. Der Rest dieses Artikels enthält ausführliche Anweisungen für jede Aufgabe oder links zu weiteren Informationen zu den einzelnen Schritten des Prozesses.

In Azure:

Erfüllen Sie die folgenden Voraussetzungen mithilfe von Azure PowerShell. (Version 4.4.0 oder höher wird empfohlen):

Aktivieren Sie den Mandanten nach Abschluss des Setups:

Ausführen von Aufgaben in Azure Key Vault for Customer Key

Führen Sie die folgenden Aufgaben in Azure Key Vault aus. Sie müssen diesen Schritt nur einmal für jede Customer Key-Workload ausführen, die Sie verwenden möchten, z. B. Kundenschlüssel für mehrere Workloads, Exchange oder SharePoint und OneDrive.

Zwei neue Azure-Abonnements erstellen

Der Kundenschlüssel erfordert zwei Azure-Abonnements. Als bewährte Methode empfiehlt Microsoft, neue Azure-Abonnements speziell für die Verwendung mit Customer Key zu erstellen.

Azure Key Vault-Schlüssel können nur für Anwendungen im selben Microsoft Entra Mandanten autorisiert werden. Um Datenverschlüsselungsrichtlinien (DEPs) zuzuweisen, stellen Sie sicher, dass Sie beide Abonnements unter demselben Microsoft Entra Mandanten erstellen, der von Ihrem organization verwendet wird. Verwenden Sie beispielsweise Ihr Geschäfts-, Schul- oder Unikonto, das über die entsprechenden Administratorrechte in Ihrem organization verfügt. Eine schritt-für-Schritt-Anleitung finden Sie unter Registrieren für Azure als organization.

Wichtig

Für Customer Key sind zwei Schlüssel für jede Daten- Verschlüsselungsrichtlinie (DEP) erforderlich. Um diese Anforderung zu erfüllen, müssen Sie zwei separate Azure-Abonnements erstellen. Als bewährte Methode sollten Sie verschiedene Mitglieder Ihrer organization einen Schlüssel in jedem Abonnement verwalten. Diese Abonnements sollten nur zum Verwalten von Verschlüsselungsschlüsseln für Microsoft 365 verwendet werden. Diese Konfiguration trägt dazu bei, Ihre organization für den Fall, dass jemand versehentlich, absichtlich oder böswillig einen Von ihnen kontrollierten Schlüssel löscht oder falsch verwaltet.

Es gibt keine praktische Beschränkung, wie viele Azure-Abonnements Ihre organization erstellen können. Die Anwendung dieser bewährten Methoden trägt dazu bei, das Risiko menschlicher Fehler zu verringern und die Verwaltung von Customer Key-Ressourcen zu vereinfachen.

Registrieren der erforderlichen Dienstprinzipale

Um den Kundenschlüssel verwenden zu können, müssen für Ihren Mandanten die erforderlichen Dienstprinzipale registriert sein. In den folgenden Abschnitten wird gezeigt, wie Sie überprüfen, ob die Dienstprinzipale bereits in Ihrem Mandanten registriert sind. Wenn dies nicht der Fall ist, führen Sie das Cmdlet "New-AzADServicePrincipal" aus.

Registrieren des Dienstprinzipals für die Anwendung "Customer Key Onboarding"

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Anwendung Customer Key Onboarding bereits mit den richtigen Berechtigungen registriert ist:

Get-AzADServicePrincipal -ServicePrincipalName 19f7f505-34aa-44a4-9dcc-6a768854d2ea

Wenn sie nicht registriert ist, führen Sie Folgendes aus:

New-AzADServicePrincipal -ApplicationId 19f7f505-34aa-44a4-9dcc-6a768854d2ea

Registrieren des Dienstprinzipals für die M365DataAtRestEncryption-Anwendung

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die M365DataAtRestEncryption-Anwendung bereits mit den richtigen Berechtigungen registriert ist:

Get-AzADServicePrincipal -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4

Wenn sie nicht registriert ist, führen Sie Folgendes aus:

New-AzADServicePrincipal -ApplicationId c066d759-24ae-40e7-a56f-027002b5d3e4

Registrieren des Dienstprinzipals für die Office 365 Exchange Online-Anwendung

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Office 365 Exchange Online Anwendung bereits mit den richtigen Berechtigungen registriert ist:

Get-AzADServicePrincipal -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

Wenn sie nicht registriert ist, führen Sie Folgendes aus:

New-AzADServicePrincipal -ApplicationId 00000002-0000-0ff1-ce00-000000000000

Erstellen eines Premium Azure Key Vault für jedes Abonnement

Führen Sie zum Erstellen eines Schlüsseltresors die Schritte unter Erste Schritte mit Azure Key Vault aus. Diese Schritte führen Sie durch das Installieren und Starten von Azure PowerShell und das Herstellen einer Verbindung mit Ihrem Abonnement. Erstellen Sie als Nächstes eine Ressourcengruppe und einen Schlüsseltresor.

Wenn Sie einen Schlüsseltresor erstellen, müssen Sie eine SKU auswählen: entweder Standard oder Premium. Die Standard-SKU verwendet softwaregeschützte Schlüssel ohne Hardwaresicherheitsmodul (HSM), während die Premium-SKU die Verwendung von HSMs zum Schützen von Schlüsseln ermöglicht. Der Kundenschlüssel unterstützt Schlüsseltresore mit einer der beiden SKU- aber Microsoft empfiehlt dringend die Verwendung der Premium-SKU. Die Kosten für Vorgänge sind für beide identisch, sodass sich der einzige Preisunterschied aus den monatlichen Kosten für jeden HSM-geschützten Schlüssel ergibt. Preisdetails finden Sie unter Key Vault Preise.

Wenn Sie planen, Azure Managed HSM anstelle von Azure Key Vault zu verwenden, lesen Sie Kundenschlüssel mit verwaltetem HSM.

Wichtig

Verwenden Sie die Premium-SKU-Schlüsseltresore und HSM-geschützten Schlüssel für Produktionsdaten. Verwenden Sie nur Standard SKU-Schlüsseltresore und -Schlüssel zum Testen und Überprüfen.

Erstellen Sie für jede Microsoft 365-Workload, die Sie kundenschlüssel verwenden, einen Schlüsseltresor in jedem der beiden zuvor eingerichteten Azure-Abonnements.

Wenn Sie beispielsweise Kundenschlüssel für mehrere Workloads, Exchange- und SharePoint-Szenarien verwenden, benötigen Sie drei Schlüsseltresorepaare für insgesamt sechs. Verwenden Sie eine klare Namenskonvention, die die beabsichtigte Verwendung des DEP widerspiegelt, dem Sie die Tresore zuordnen. Die folgende Tabelle zeigt, wie Sie die einzelnen Azure-Key Vault jeder Workload zuordnen.

Key Vault Name Berechtigungen für mehrere Microsoft 365-Workloads (M365DataAtRestEncryption) Berechtigungen für Exchange Berechtigungen für SharePoint und OneDrive
ContosoM365AKV01 Ja Nein Nein
ContosoM365AKV02 Ja Nein Nein
ContosoEXOAKV01 Nein Ja Nein
ContosoEXOAKV02 Nein Ja Nein
ContosoSPOAKV01 Nein Nein Ja
ContosoSPOAKV02 Nein Nein Ja

Tresorkonfiguration

Zum Erstellen von Schlüsseltresoren müssen auch Azure-Ressourcengruppen eingerichtet werden. Schlüsseltresore erfordern eine kleine Menge an Speicher, und bei der Protokollierung (sofern aktiviert) werden auch Daten gespeichert. Als bewährte Methode empfiehlt Microsoft, verschiedene Administratoren zuzuweisen, um jede Ressourcengruppe zu verwalten. Diese Rollen sollten mit den Administratoren übereinstimmen, die für die Verwaltung der zugeordneten Kundenschlüsselressourcen verantwortlich sind.

Für Exchange gilt eine Datenverschlüsselungsrichtlinie auf Postfachebene. Jedem Postfach kann nur eine Richtlinie zugewiesen werden, und Sie können bis zu 50 Richtlinien erstellen. Eine SharePoint-Richtlinie deckt alle Daten am geografischen Standort (oder geografischen Standort) einer organization ab, während eine Richtlinie mit mehreren Workloads unterstützte Workloads für alle Benutzer im organization abdeckt.

Wichtig

Wenn Sie Kundenschlüssel für mehrere Workloads, Exchange und SharePoint & OneDrive verwenden, stellen Sie sicher, dass Sie für jede Workload zwei Azure Key Vaults erstellen. Dies bedeutet, dass Sie insgesamt sechs Schlüsseltresore benötigen.

Zuweisen von Berechtigungen für jeden Schlüsseltresor (Key Vault)

Weisen Sie jedem Schlüsseltresor mithilfe der rollenbasierten Zugriffssteuerung von Azure (Azure RBAC) im Azure-Portal die erforderlichen Berechtigungen zu. In diesem Abschnitt wird erläutert, wie Sie die richtigen Berechtigungen mithilfe von RBAC anwenden.

Zuweisen von Berechtigungen mithilfe der RBAC-Methode

Weisen Sie der entsprechenden Microsoft 365-App die Rolle "Key Vault Crypto Service Encryption User" zu, um (wrapKey, unwrapkey, und get) in Ihrer Azure-Key Vault zuzuweisen. Weitere Informationen finden Sie unter Gewähren der Berechtigung für Anwendungen für den Zugriff auf einen Azure Key Vault mithilfe von Azure RBAC | Microsoft Learn.

Suchen Sie beim Zuweisen der Rolle in Ihrem Mandanten nach den folgenden App-Namen:

  • Mehrere Workloads: M365DataAtRestEncryption

  • Umtausch: Office 365 Exchange Online

  • SharePoint und OneDrive: Office 365 SharePoint Online

Wenn die gesuchte App nicht angezeigt wird, stellen Sie sicher, dass Sie die App im Mandanten registrieren.

Weitere Informationen zum Zuweisen von Rollen und Berechtigungen finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung zum Verwalten des Zugriffs auf Ihre Azure-Abonnementressourcen.

Zuweisen von Benutzerrollen

Kundenschlüssel erfordert sowohl Key Vault Administratoren als auch Key Vault Mitwirkende, um den Zugriff auf Verschlüsselungsschlüssel zu verwalten und zu schützen.

  • Key Vault Administratoren erledigen tägliche Verwaltungsaufgaben wie Sichern, Erstellen, Abrufen, Importieren, Auflisten und Wiederherstellen. Standardmäßig verfügen sie nicht über die Berechtigung zum Löschen von Schlüsseln. Dies trägt dazu bei, dauerhaften Datenverlust zu verhindern. Erteilen Sie Löschberechtigungen nur vorübergehend und mit Vorsicht, indem Sie die Rolle Mitwirkender verwenden.

  • Key Vault Mitwirkende können Berechtigungen verwalten und Rollen im Schlüsseltresor zuweisen. Verwenden Sie diese Rolle, um den Zugriff zu steuern, wenn Teammitglieder beitreten oder diese verlassen.

Ausführliche Schritte zum Zuweisen dieser Rollen mithilfe von Azure RBAC finden Sie unter Integrierte Azure-Rollen für vorgänge auf Key Vault Datenebene.

Hinzufügen eines Schlüssels zu jedem Schlüsseltresor durch das Erstellen oder Importieren eines Schlüssels

Es gibt zwei Möglichkeiten zum Hinzufügen von Schlüsseln zu einer Azure Key Vault: Sie können einen Schlüssel direkt im Tresor erstellen oder einen vorhandenen Schlüssel importieren. Das Erstellen eines Schlüssels in Azure ist einfacher, aber das Importieren eines Schlüssels gibt Ihnen die vollständige Kontrolle darüber, wie der Schlüssel generiert wird. Verwenden Sie RSA-Schlüssel. Customer Key unterstützt RSA-Schlüssellängen von bis zu 4.096 Bits. Azure Key Vault unterstützt das Umschließen und Entpacken mit EC-Schlüsseln (Ellipical Curve).

Informationen zum Hinzufügen eines Schlüssels zu jedem Tresor finden Sie unter Add-AzKeyVaultKey.

Wenn Sie es vorziehen, einen Schlüssel lokal zu generieren und dann in Azure zu importieren, führen Sie die Schritte unter Generieren und Übertragen von HSM-geschützten Schlüsseln für Azure Key Vault aus. Verwenden Sie die Azure-Anweisungen, um jedem Schlüsseltresor einen Schlüssel hinzuzufügen.

Überprüfen des Ablaufdatums Ihrer Schlüssel

Führen Sie das Cmdlet Get-AzKeyVaultKey aus, um zu überprüfen, ob ihre Schlüssel kein Ablaufdatum haben.

Für Azure Key Vault:

Get-AzKeyVaultKey -VaultName <vault name>

Der Kundenschlüssel kann keine abgelaufenen Schlüssel verwenden. Wenn ein Schlüssel abgelaufen ist, schlägt jeder Vorgang, der ihn verwendet, fehl, was zu einem Dienstausfall führen kann. Es wird dringend empfohlen, dass schlüssel, die mit dem Kundenschlüssel verwendet werden, kein Ablaufdatum haben.

Nach dem Festlegen kann ein Ablaufdatum nicht entfernt werden, aber Sie können es ändern. Wenn Sie einen Schlüssel mit einem Ablaufdatum verwenden müssen, aktualisieren Sie ihn auf 12/31/9999 , und verwenden Sie die Legacy-Onboardingmethode. Jeder andere Ablaufwert schlägt die Microsoft 365-Überprüfung fehl.

Hinweis

Der Onboarding-Dienst für Kundenschlüssel akzeptiert nur Schlüssel ohne Ablaufdatum.

Verwenden Sie das Cmdlet Update-AzKeyVaultKey, um das Ablaufdatum in zu 12/31/9999ändern.

Update-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

Achtung

Legen Sie keine Ablaufdaten für Verschlüsselungsschlüssel fest, die mit dem Kundenschlüssel verwendet werden.

Stellen Sie sicher, dass vorläufiges Löschen für Ihre Schlüsseltresore aktiviert ist.

Wenn Sie Ihre Schlüssel schnell wiederherstellen können, ist es weniger wahrscheinlich, dass erweiterte Dienstausfälle aufgrund eines versehentlichen oder böswilligen Löschens auftreten. Dieses Wiederherstellungsfeature wird als vorläufiges Löschen bezeichnet. Damit können Sie gelöschte Schlüssel oder Tresore innerhalb von 90 Tagen wiederherstellen, ohne eine Wiederherstellung aus einer Sicherung durchführen zu müssen.

Vorläufiges Löschen wird für neue Azure Key Vaults automatisch aktiviert. Wenn Sie vorhandene Tresore verwenden, in denen sie nicht aktiviert sind, können Sie sie manuell aktivieren.

Führen Sie die folgenden Schritte aus, um vorläufiges Löschen für Ihre Schlüsseltresore zu aktivieren:

  1. Melden Sie sich mit Azure PowerShell bei Ihrem Azure-Abonnement an. Hilfe finden Sie unter Anmelden mit Azure PowerShell.

  2. Führen Sie das Cmdlet Get-AzKeyVault aus. Ersetzen Sie durch <vault name> den Namen Ihres Schlüsseltresors:

    $v = Get-AzKeyVault -VaultName <vault name>
$r = Get-AzResource -ResourceId $v.ResourceId
$r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
Set-AzResource -ResourceId $r.ResourceId -Properties $r.Properties

  3. Vergewissern Sie sich, dass vorläufiges Löschen aktiviert ist, indem Sie Folgendes ausführen:

    Get-AzKeyVault -VaultName <vault name> | fl

Vergewissern Sie sich, dass vorläufiges Löschen aktiviert auf Trueund der Aufbewahrungszeitraum für vorläufiges Löschen (Tage) auf 90festgelegt ist.

PowerShell-Ausgabe mit

Sichern von Azure Key Vault Key

Nachdem Sie einen Schlüssel erstellt oder geändert haben, stellen Sie sicher, dass Sie ihn sofort sichern. Speichern Sie Sicherungskopien sowohl an Online- als auch an Offlinespeicherorten, um Datenverluste zu vermeiden.

Verwenden Sie zum Sichern eines Schlüssels in Azure Key Vault das Cmdlet Backup-AzKeyVaultKey.

Wichtig

Wenn ein Schlüssel ohne Sicherung gelöscht wird, kann er nicht wiederhergestellt werden. Erstellen Sie nach jeder Schlüsseländerung oder -erstellung immer eine Sicherung.

Abrufen eines URI für jeden Azure Key Vault-Schlüssel

Nachdem Sie Ihre Schlüsseltresore eingerichtet und Ihre Schlüssel hinzugefügt haben, führen Sie den folgenden Befehl aus, um den URI für jeden Schlüssel abzurufen. Sie benötigen diese URIs beim Erstellen und Zuweisen von Datenverschlüsselungsrichtlinien (DEPs). Achten Sie daher darauf, sie an einem sicheren Ort zu speichern.

Führen Sie den folgenden Befehl in Azure PowerShell aus – einmal für jeden Schlüsseltresor:

(Get-AzKeyVaultKey -VaultName <vault name>).Id

Onboarding mithilfe des Customer Key Onboarding Service

Mit dem Microsoft 365 Customer Key Onboarding Service können Sie Kundenschlüssel in Ihrem Mandanten aktivieren. Dieser Dienst überprüft automatisch die erforderlichen Kundenschlüsselressourcen. Wenn Sie möchten, können Sie Ihre Ressourcen separat überprüfen, bevor Sie mit der Aktivierung fortfahren.

Wichtig

Dieser Dienst ist derzeit für die folgenden Szenarien nicht verfügbar:

Das für das Onboarding verwendete Konto muss über die folgenden Berechtigungen verfügen:

  1. Registrierungsberechtigungen für Dienstprinzipale: So registrieren Sie die erforderlichen Dienstprinzipale.
  2. Rolle "Leser": Auf jedem Azure-Key Vault, der im Onboarding-Cmdlet verwendet wird.

Installieren des PowerShell-Moduls M365CustomerKeyOnboarding

  1. Melden Sie sich mit Azure PowerShell bei Ihrem Azure-Abonnement an. Eine Anleitung finden Sie unter Anmelden mit Azure PowerShell.

  2. Installieren Sie die neueste Version des M365CustomerKeyOnboarding Moduls aus dem PowerShell-Katalog.

  • Um zu bestätigen, dass Sie die neueste Version verwenden, überprüfen Sie die Registerkarte Versionsverlauf am unteren Rand der Modulseite.
  • Kopieren Sie den Installationsbefehl, fügen Sie ihn in Ihre Sitzung ein, und führen Sie ihn aus.
  • Wenn Sie dazu aufgefordert werden, wählen Sie Ja zu allen aus, um den Vorgang fortzusetzen.

Verwenden der drei verschiedenen Onboardingmodi

Bei Verwendung des Customer Key Onboarding Service stehen drei verschiedene Onboardingmodi zur Verfügung: Überprüfen, Vorbereiten und Aktivieren. Jeder Modus erfüllt einen anderen Zweck im Onboardingprozess.

Geben Sie beim Ausführen des Cmdlets (siehe Erstellen einer Onboardinganforderung) den Modus mithilfe des -OnboardingMode Parameters an.

Validieren

Verwenden Sie den Validate Modus, um zu bestätigen, dass ihre Kundenschlüssel-Ressourcenkonfiguration korrekt ist. In diesem Modus werden keine Änderungen an Ihrer Umgebung vorgenommen.

Wichtig

Sie können diesen Modus so oft wie erforderlich ausführen, insbesondere nachdem Sie Änderungen an Ihrer Konfiguration vorgenommen haben.

Vorbereiten

Der Prepare Modus registriert die beiden im Cmdlet angegebenen Azure-Abonnements für einen obligatorischen Aufbewahrungszeitraum. Diese Einstellung ist ein Schutz, um das versehentliche oder sofortige Löschen von Verschlüsselungsschlüsseln zu verhindern, was zu einem dauerhaften Datenverlust oder Dienstunterbrechung führen kann.

Nachdem Sie das Cmdlet in diesem Modus ausgeführt haben, kann es bis zu einer Stunde dauern, bis die Abonnements die Änderung widerspiegeln. Verwenden Sie Validate nach Abschluss des Vorgangs erneut den Modus, um die status zu überprüfen.

Wichtig

Die Registrierung des obligatorischen Aufbewahrungszeitraums ist erforderlich. Sie müssen nur einmal pro Umgebung ausgeführt Prepare werden, es sei denn, das Cmdlet fordert Sie ausdrücklich dazu auf, dies erneut zu tun.

Aktivieren

Verwenden Sie den Enable Modus, wenn Sie bereit sind, Ihr Mandant in Customer Key zu integrieren. Dieser Modus aktiviert den Kundenschlüssel für die spezifische Workload, die Sie mit dem -Scenario Parameter angeben.

Wenn Sie Kundenschlüssel für mehrere Workloads und Exchange aktivieren möchten, führen Sie das Cmdlet zweimal und einmal für jede Workload aus.

Stellen Sie vor der Ausführung im Aktivierungsmodus sicher, dass die Validierungsergebnisse unter "Passed" (Bestanden) angezeigt ValidationResultwerden.

Wichtig

Ihre Ressourcen müssen alle Überprüfungen im Validate Modus bestehen, damit der Onboardingprozess im Aktivierungsmodus erfolgreich ist.

Erstellen einer Onboardinganforderung

Der erste Schritt im Onboardingprozess besteht darin, eine neue Anforderung zu erstellen. In PowerShell können Sie die Ergebnisse eines Cmdlets in einer Variablen speichern, indem Sie das $ Symbol gefolgt vom Variablennamen verwenden.

In diesem Beispiel wird die Onboardinganforderung in einer Variablen namens $requestgespeichert:

$request = New-CustomerKeyOnboardingRequest -Organization <tenantID> -Scenario <Scenario> -Subscription1 <subscriptionID1> -VaultName1 <AKVVaultName1> -KeyName1 <KeyName1> -Subscription2 <subscriptionID2> -VaultName2 <AKVVaultName2> -KeyName2 <KeyName2> -OnboardingMode <OnboardingMode>
Parameter Beschreibung Beispiel
-Organization Ihre Mandanten-ID im Format xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx. abcd1234-abcd-efgh-hijk-abcdef123456
-Scenario Die Workload, in die Sie das Onboarding durchführen. Optionen:
  • MDEP – Kundenschlüssel für mehrere Workloads
  • EXO – Kundenschlüssel für Exchange
 MDEP oder EXO
-Subscription1 Die Azure-Abonnement-ID des ersten Abonnements, das mit einem obligatorischen Aufbewahrungszeitraum registriert wurde. p12ld534-1234-5678-9876-g3def67j9k12
-VaultName1 Name der ersten Azure-Key Vault, die für Kundenschlüssel konfiguriert ist. EXOVault1
-KeyName1 Name des ersten Schlüssels in Ihrem ersten Azure-Key Vault. EXOKey1
-Subscription2 Die Azure-Abonnement-ID des zweiten Abonnements, das mit einem obligatorischen Aufbewahrungszeitraum registriert ist. 21k9j76f-ed3g-6789-8765-43215dl21pbd
-VaultName2 Der Name des zweiten Azure-Key Vault, der für Kundenschlüssel konfiguriert ist. EXOVault2
-KeyName2 Name des zweiten Schlüssels in Ihrer zweiten Azure Key Vault. EXOKey2
-OnboardingMode Die auszuführende Onboardingaktion. Optionen:
  • Prepare – Wendet den obligatorischen Aufbewahrungszeitraum auf Ihre Abonnements an. Es kann bis zu 1 Stunde dauern, bis sie wirksam werden.
  • Validate – Überprüft Ihre Konfiguration, ohne Änderungen vorzunehmen. Nützlich für die Überprüfung vor dem Onboarding.
  • Enable – Überprüft und aktiviert den Kundenschlüssel in Ihrem Mandanten, wenn die Überprüfung erfolgreich ist.
 Prepare, Validate oder Enable

Melden Sie sich mit Ihren Mandantenadministratoranmeldeinformationen an.

Wenn Sie dazu aufgefordert werden, wird ein Browserfenster geöffnet. Melden Sie sich mit Ihrem Mandantenadministratorkonto mit den erforderlichen Berechtigungen an, um das Onboarding abzuschließen.

Aufforderung zur Anmeldung mit einem privilegierten Konto

Anzeigen der Überprüfungs- und Aktivierungsdetails

Kehren Sie nach der erfolgreichen Anmeldung zu Ihrem PowerShell-Fenster zurück. Führen Sie die Variable aus, die Sie beim Erstellen der Onboardinganforderung verwendet haben, um deren Ausgabe anzuzeigen:

$request

CKO-Anforderungsausgabe

Sie erhalten eine Ausgabe, die , CreatedDate, ValidationResultund EnablementResultenthältID.

Ausgabe Beschreibung
ID ID, die der erstellten Onboardinganforderung zugeordnet ist.
CreatedDate Das Datum, an dem die Anforderung erstellt wurde.
ValidationResult Indikator einer erfolgreichen/nicht erfolgreichen Überprüfung.
EnablementResult Indikator für erfolgreiche/nicht erfolgreiche Aktivierung.

Ein Mandant, der bereit für die Verwendung des Kundenschlüssels ist, zeigt Erfolg sowohl für als auch ValidationResultEnablementResult wie gezeigt an:

Erfolgreiche CKO-Ausgabe

Wenn beide Werte Erfolg anzeigen, fahren Sie mit Nächste Schritte fort.

Problembehandlung bei Überprüfungsfehlern

Wenn die Überprüfung während des Onboardings fehlschlägt, führen Sie die folgenden Schritte aus, um die Ursache zu untersuchen. Durch diesen Prozess können Sie ermitteln, welche Kundenschlüsselressourcen falsch konfiguriert sind.

  1. Listen Sie alle Onboardinganforderungen für Ihren Mandanten auf, um die RequestID des zu untersuchenden Mandanten zu finden:
Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID>
  1. Speichern Sie die spezifische Onboardinganforderung in einer Variablen:
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID>
  1. Zeigen Sie die Details der fehlgeschlagenen Überprüfung an:
$request.FailedValidations

Beispiel für fehlgeschlagene Überprüfungsausgabe in PowerShell

Jede Validierungsregel enthält die folgenden Felder:

  • ExpectedValue: Wie sollte die Ressourcenkonfiguration aussehen?
  • ActualValue: Was in Ihrer Umgebung erkannt wurde.
  • Bereich: Die ersten fünf Zeichen der Abonnement-ID, mit der Sie ermitteln können, welches Abonnement (und der zugehörige Schlüsseltresor) das Problem hat.
  • Details: Beschreibt die Grundursache und bietet Anleitungen zum Beheben des Problems.

In der folgenden Tabelle sind allgemeine Validierungsregeln und das Beheben von Fehlern zusammengefasst:

RuleName Beschreibung Lösung
MandatoryRetentionPeriodState Gibt den Status von MandatoryRetentionPeriod zurück. Vergewissern Sie sich, dass der Modus ausgeführt wurde Prepare . Wenn das Problem weiterhin besteht, finden Sie weitere Informationen unter Falscher Zustand des obligatorischen Aufbewahrungszeitraums.
SubscriptionInRequestOrganization Bestätigt, dass Ihr Azure-Abonnement zu Ihrem organization gehört. Stellen Sie sicher, dass das Abonnement innerhalb des angegebenen Mandanten erstellt wurde.
VaultExistsinSubscription Bestätigt, dass die Azure-Key Vault Teil des angegebenen Abonnements ist. Überprüfen Sie, ob der Schlüsseltresor im richtigen Abonnement erstellt wurde.
SubscriptionUniquePerScenario Stellt sicher, dass Sie zwei eindeutige Abonnements pro Szenario verwenden. Überprüfen Sie, ob sich beide Abonnement-IDs unterscheiden.
SubscriptionsCountPerScenario Bestätigt, dass zwei Abonnements bereitgestellt wurden. Stellen Sie sicher, dass Ihre Onboardinganforderung zwei Abonnements enthält.
RecoveryLevel Überprüft, ob die Wiederherstellungsebene des Schlüsseltresors ist Recoverable+ProtectedSubscription. Weitere Informationen finden Sie unter Falscher Zustand des obligatorischen Aufbewahrungszeitraums.
KeyOperationsSupported Überprüft, ob der Schlüssel die erforderlichen Vorgänge für die Workload unterstützt. Weitere Informationen finden Sie unter Zuweisen der richtigen Berechtigungen zu AKV-Schlüsseln.
KeyNeverExpires Stellt sicher, dass der Schlüssel kein Ablaufdatum hat. Weitere Informationen finden Sie unter Überprüfen des Ablaufs Ihrer Schlüssel.
KeyAccessPermissions Bestätigt, dass der Schlüssel über die richtigen Zugriffsberechtigungen verfügt. Weitere Informationen finden Sie unter Zuweisen der richtigen Berechtigungen zu AKV-Schlüsseln.
OrganizationHasRequiredServicePlan Überprüft, ob Ihr organization über die erforderlichen Lizenzen verfügt. Weitere Informationen finden Sie unter Sicherstellen, dass Ihr Mandant über die erforderlichen Lizenzen verfügt.

Falscher Zustand des obligatorischen Aufbewahrungszeitraums

Wenn der MandatoryRetentionPeriodState auf Recoverable oder Recoverable+Purgeable länger als eine Stunde nach dem Ausführen des Onboarding-Cmdlets im Prepare Modus festgelegt bleibt und Sie das vorläufige Löschen bereits für Ihre Azure Key Vaults aktiviert haben, führen Sie die folgenden Schritte aus, um das Problem zu beheben und zu beheben:

  1. Überprüfen der status für die Featureregistrierung
    Führen Sie die folgenden Befehle in Azure PowerShell aus, um zu bestätigen, dass beide Azure-Abonnements den Status aufweisenRegistered:
Set-AzContext -SubscriptionId <Subscription ID>
Get-AzProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources

  1. Erneutes Registrieren erforderlicher Ressourcenanbieter
    Registrieren Sie sowohl den Ressourcenanbieter als auch den Microsoft.ResourcesMicrosoft.KeyVault Ressourcenanbieter in jedem Abonnement erneut. Sie können diese Aktion über Azure PowerShell, die Azure CLI oder die Azure-Portal ausführen:

    • Azure PowerShell:

        Register-AzResourceProvider -ProviderNamespace Microsoft.Resources 
  Register-AzResourceProvider -ProviderNamespace Microsoft.Keyvault

    • Azure CLI:

        az provider register --namespace Microsoft.Resources 
  az provider register --namespace Microsoft.Keyvault

    • Azure-Portal: Erneutes Registrieren des Ressourcenanbieters

  2. Überprüfen der Schlüsselwiederherstellungsebene
    Um zu bestätigen, dass ein Schlüssel über die richtige Wiederherstellungsstufe verfügt, führen Sie den folgenden Befehl in Azure PowerShell aus.

    (Get-AzKeyVaultKey -VaultName <vault name> -Name <key name>).Attributes

    Suchen Sie in der Ausgabe nach der RecoveryLevel -Eigenschaft. Sie sollte auf festgelegt werden. Recoverable+ProtectedSubscription

Überprüfen bestandener Überprüfungen

Führen Sie die folgenden Schritte aus, um anzuzeigen, welche Überprüfungen während des Onboardingprozesses erfolgreich waren:

  1. Speichern der spezifischen Onboardinganforderung in der Variablen "$request"
$request = Get-CustomerKeyOnboardingRequest -OrganizationID <OrganizationID> -RequestID <RequestID>
  1. Führen Sie den folgenden Befehl aus, um alle erfolgreichen Überprüfungen anzuzeigen:
$request.PassedValidations

Dieser Befehl gibt eine Liste aller Überprüfungen zurück, die für die ausgewählte Onboardinganforderung erfolgreich bestanden wurden.

CKO PassedValidation

Onboarding in Customer Key mithilfe der Legacymethode

Verwenden Sie diese Methode nur, wenn der Customer Key Onboarding Service das Szenario Ihres Mandanten nicht unterstützt.

Nachdem Sie alle erforderlichen Schritte zum Einrichten Ihrer Azure Key Vaults und Abonnements abgeschlossen haben, wenden Sie sich an Microsoft-Support und bitten Sie um Unterstützung beim Onboarding von Kundenschlüsseln.

Onboarding in Customer Key für spezielle Clouds

Wenn sich Ihr Mandant in GCC-H, DoD oder Gallatin befindet, führen Sie zuerst alle erforderlichen Schritte zum Einrichten des Kundenschlüssels aus.

  • Wenden Sie sich für GCC-H- und DoD-Mandanten an Microsoft-Support, und fordern Sie das Onboarding für Behördenmandanten an.

  • Konfigurieren Sie für Gallatin-Mandanten Ihre Kundenschlüsselressourcen mithilfe der Gallatin-Azure-Portal. Wenden Sie sich dann an Microsoft-Support, und fordern Sie das Onboarding für Behördenmandanten an.

Onboarding in Customer Key für SharePoint und OneDrive

Für das Onboarding in Customer Key für SharePoint und OneDrive muss Ihr Mandant die folgenden Voraussetzungen erfüllen:

  1. Der Mandant ist bereits in Customer Key für mehrere Workloads oder Exchange integriert.
  2. Beide Azure-Abonnements werden mit einem obligatorischen Aufbewahrungszeitraum registriert.

Wenn beide Voraussetzungen erfüllt sind, führen Sie die Schritte unter Erstellen eines DEP für die Verwendung mit SharePoint und OneDrive aus.

Nächste Schritte

Nach Abschluss der Einrichtungsschritte in diesem Artikel können Sie Datenverschlüsselungsrichtlinien (Data Encryption Policies, DEPs) erstellen und zuweisen. Ausführliche Anweisungen finden Sie unter Verwalten des Kundenschlüssels.