Freigeben über


Vom Kunden verwaltete Verschlüsselungsfunktionen

Weitere Informationen zu diesen Technologien finden Sie in den Microsoft 365-Dienstbeschreibungen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Azure Rights Management

Azure Rights Management (Azure RMS) ist die Schutztechnologie, die von Azure Information Protection verwendet wird. Es verwendet Verschlüsselungs-, Identitäts- und Autorisierungsrichtlinien, um Ihre Dateien und E-Mails auf mehreren Plattformen und Geräten – Smartphones, Tablets und PCs – zu schützen. Informationen können sowohl innerhalb als auch außerhalb Ihrer organization geschützt werden, da der Schutz bei den Daten verbleibt. Azure RMS bietet dauerhaften Schutz aller Dateitypen, schützt Dateien überall, unterstützt die Zusammenarbeit zwischen Unternehmen und eine Vielzahl von Windows- und Nicht-Windows-Geräten. Azure RMS Protection kann auch Richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) erweitern. Weitere Informationen dazu, welche Anwendungen und Dienste den Azure Rights Management-Dienst aus Azure Information Protection verwenden können, finden Sie unter Unterstützen des Azure Rights Management-Diensts durch Anwendungen.

Azure RMS ist in Microsoft 365 integriert und steht allen Kunden zur Verfügung. Informationen zum Konfigurieren von Microsoft 365 für die Verwendung von Azure RMS finden Sie unter Konfigurieren von IRM für die Verwendung von Azure Rights Management und Einrichten von Information Rights Management (IRM) im SharePoint Admin Center. Wenn Sie lokales Active Directory RMS-Server (AD) betreiben, können Sie IRM auch für die Verwendung eines lokalen AD RMS-Servers konfigurieren. Es wird jedoch dringend empfohlen, zu Azure RMS zu migrieren, um neue Features wie die sichere Zusammenarbeit mit anderen Organisationen zu verwenden.

Wenn Sie Kundendaten mit Azure RMS schützen, verwendet Azure RMS einen asymmetrischen 2048-Bit-RSA-Schlüssel mit SHA-256-Hashalgorithmus, um die Daten zu verschlüsseln. Der symmetrische Schlüssel für Office-Dokumente und E-Mails ist AES 128-Bit. Für jedes Dokument oder jede E-Mail, die durch Azure RMS geschützt ist, erstellt Azure RMS einen einzelnen AES-Schlüssel (den "Inhaltsschlüssel"), und dieser Schlüssel wird in das Dokument eingebettet und über Editionen des Dokuments beibehalten. Der Inhaltsschlüssel wird als Teil der Richtlinie im Dokument mit dem RSA-Schlüssel des organization (der "Azure Information Protection Mandantenschlüssel") geschützt, und die Richtlinie wird ebenfalls vom Autor des Dokuments signiert. Dieser Mandantenschlüssel gilt für alle Dokumente und E-Mails, die von Azure RMS für die organization geschützt sind. Dieser Schlüssel kann nur von einem Azure Information Protection-Administrator geändert werden, wenn der organization einen mandantenseitig verwalteten Schlüssel verwendet. Weitere Informationen zu den kryptografischen Steuerelementen, die von Azure RMS verwendet werden, finden Sie unter Wie funktioniert Azure RMS? Unter der Haube.

In einer Azure RMS-Standardimplementierung generiert und verwaltet Microsoft den Stammschlüssel, der für jeden Mandanten eindeutig ist. Kunden können den Lebenszyklus ihres Stammschlüssels in Azure RMS mit Azure Key Vault Services verwalten, indem sie eine Schlüsselverwaltungsmethode namens Bring Your Own Key (BYOK) verwenden, mit der Sie Ihren Schlüssel in lokalen HSMs (Hardwaresicherheitsmodulen) generieren und die Kontrolle über diesen Schlüssel behalten können, nachdem sie auf die MIT FIPS 140-2 Level 2 überprüften HSMs von Microsoft übertragen wurden. Der Zugriff auf den Stammschlüssel wird keinem Personal gewährt, da die Schlüssel nicht exportiert oder aus den HSMs extrahiert werden können, die sie schützen. Darüber hinaus können Sie auf ein Protokoll nahezu in Echtzeit zugreifen, das den gesamten Zugriff auf den Stammschlüssel zu einem beliebigen Zeitpunkt anzeigt. Weitere Informationen finden Sie unter Protokollierung und Analysieren der Verwendung von Azure Rights Management.

Azure Rights Management hilft bei der Entschärfung von Bedrohungen wie Wire Tapping, Man-in-the-Middle-Angriffen, Datendiebstahl und unbeabsichtigten Verstößen gegen Organisationsfreigaberichtlinien. Gleichzeitig wird jeder ungerechtfertigte Zugriff auf Kundendaten während der Übertragung oder im Ruhezustand durch einen nicht autorisierten Benutzer, der nicht über entsprechende Berechtigungen verfügt, durch Richtlinien verhindert, die diesen Daten folgen, wodurch das Risiko gemindert wird, dass diese Daten wissentlich oder unwissentlich in falsche Hände geraten und Funktionen zur Verhinderung von Datenverlust bereitstellen. Bei Verwendung als Teil von Azure Information Protection bietet Azure RMS auch Funktionen zur Datenklassifizierung und -bezeichnung, Inhaltsmarkierung, Dokumentzugriffsnachverfolgung und Zugriffssperrung. Weitere Informationen zu diesen Funktionen finden Sie unter Was ist Azure Information Protection, Azure Information Protection-Bereitstellungsroadmap und Schnellstarttutorial für Azure Information Protection.

Secure Multipurpose Internet Mail Extension

Secure/Multipurpose Internet Mail Extensions (S/MIME) ist ein Standard für die Verschlüsselung öffentlicher Schlüssel und die digitale Signatur von MIME-Daten. S/MIME ist in RFCs 3369, 3370, 3850, 3851 und anderen definiert. Es ermöglicht einem Benutzer, eine E-Mail zu verschlüsseln und eine E-Mail digital zu signieren. Eine E-Mail, die mit S/MIME verschlüsselt ist, kann nur vom Empfänger der E-Mail mit seinem privaten Schlüssel entschlüsselt werden, der nur für diesen Empfänger verfügbar ist. Daher können die E-Mails nicht von jemand anderem als dem Empfänger der E-Mail entschlüsselt werden.

Microsoft unterstützt S/MIME. Öffentliche Zertifikate werden an die lokales Active Directory des Kunden verteilt und in Attributen gespeichert, die auf einen Microsoft 365-Mandanten repliziert werden können. Die privaten Schlüssel, die den öffentlichen Schlüsseln entsprechen, bleiben lokal und werden nie an Office 365 übertragen. Benutzer können E-Mails zwischen zwei Benutzern in einem organization mithilfe von Outlook, Outlook im Web und Exchange ActiveSync Clients erstellen, verschlüsseln, entschlüsseln, lesen und digital signieren.

Office 365-Nachrichtenverschlüsselung

mit Office 365 Nachrichtenverschlüsselung (OME), die auf Azure Information Protection (AIP) basiert, können Sie verschlüsselte und durch Rechte geschützte E-Mails an beliebige Personen senden. OME entschärft Bedrohungen wie Wire-Tapping und Man-in-the-Middle-Angriffe sowie andere Bedrohungen, wie den ungerechtfertigten Zugriff auf Daten durch einen nicht autorisierten Benutzer, der nicht über die entsprechenden Berechtigungen verfügt. Wir haben Investitionen getätigt, die Ihnen eine einfachere, intuitivere und sicherere E-Mail-Erfahrung bieten, die auf Azure Information Protection basiert. Sie können Nachrichten schützen, die von Microsoft 365 an personen innerhalb oder außerhalb Ihrer organization gesendet werden. Diese Nachrichten können für eine Vielzahl von E-Mail-Clients mit einer beliebigen Identität angezeigt werden, einschließlich Azure Active Directory, Microsoft-Konto und Google-IDs. Weitere Informationen dazu, wie Ihre organization verschlüsselte Nachrichten verwenden können, finden Sie unter Office 365 Nachrichtenverschlüsselung.

Transport Layer Security   

Wenn Sie eine sichere Kommunikation mit einem Partner sicherstellen möchten, können Sie ein- und ausgehende Connectors verwenden, um Sicherheit und Nachrichtenintegrität bereitzustellen. Sie können erzwungene eingehende und ausgehende TLS für jeden Connector mithilfe eines Zertifikats konfigurieren. Die Verwendung eines verschlüsselten SMTP-Kanals kann verhindern, dass Daten durch einen Man-in-the-Middle-Angriff gestohlen werden. Weitere Informationen finden Sie unter How Exchange Online uses TLS to secure email connections (Verwenden von TLS zum Schützen von E-Mail-Verbindungen).

Mit Domänenschlüssel identifizierte E-Mail

Exchange Online Protection (EOP) und Exchange Online unterstützen die eingehende Validierung von Domain Keys Identified Mail(DKIM)-Nachrichten. DKIM ist eine Methode zum Überprüfen, ob eine Nachricht von der Domäne gesendet wurde, aus der sie besagt, dass sie stammt, und dass sie nicht von einer anderen Person gespooft wurde. Es bindet eine E-Mail-Nachricht an die organization, die für das Senden verantwortlich ist, und ist Teil eines größeren Paradigmas der E-Mail-Verschlüsselung. Weitere Informationen zu den drei Teilen dieses Paradigmas finden Sie unter: