Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Verwendung der Migrations-API erfordert einen temporären Speichercontainer in Azure. Dieser Azure-Container ist bereits jetzt nur von einer Person zu öffnen, die über einen SAS-Schlüssel Zugriff auf den Container hat. Das Ziel dieses Features besteht darin, verschlüsselte ruhende Inhalte an die API zu übergeben. Dies bedeutet, dass selbst wenn ein böswilliger Benutzer Zugriff auf den Container hat, er seinen Inhalt nicht verwenden kann.
Was wird im Azure Blob-Container gespeichert?
Die Migrations-API erfordert den Azure-Container zum Übergeben von Inhalten und auch für die Rückmeldung von Berichten zu Protokollen und Warteschlangen. Dies kann als Zusammenfassung in folgende Buckets aufgeteilt werden:
Inhalt
- Dateien
- Manifest
- Metadaten
- Berechtigungen
- Listenelemente
- Taxonomie
- Protokolle (erstellt von SharePoint Online zur Rückmeldung der Migrationsergebnisse)
- Warteschlange
- Echtzeit-Berichterstellung zum Status
Was ist das Verschlüsselungsfeature?
Bei Verwendung des Verschlüsselungsparameters wird alles oben Genannte im Ruhezustand verschlüsselt, und der Schlüssel muss aufbewahrt werden, um die Protokolle und den Status in Echtzeit lesen zu können.
Der Hauptvorteil besteht darin, dass der Inhalt für einen böswilligen Benutzer, der es schaffen würde, in den Azure-Container einzudringen, unbrauchbar wird.
Dies ist mit geringen Leistungseinbußen verbunden. Dieses Feature ist bei Verwendung der API optional, und es wird empfohlen, es nur für die vertraulichsten Informationen zu verwenden, da es die Geschwindigkeit der Migration um geringfügig verringert. Microsoft zerstört den Schlüssel, sobald der Migrationsauftrag abgeschlossen ist, und der Schlüssel kann nicht wiederhergestellt werden, wenn er verloren geht, nicht einmal vom Support.
Wie nutze ich als Fremdentwickler die Vorteile der Verschlüsselung?
Aufrufen der API
Die Methode zum Aufrufen des Migrationsauftrags hat einen anderen Namen und einen zusätzlichen Parameter am Ende. Der neue Name ist: CreateMigrationJobEncrypted
Der neue Parameter ist: EncryptionOption
Zurzeit wird nur der Empfang eines AES256CBC-Verschlüsselungsschlüssels unterstützt.
Beispiel:
public Guid CreateMigrationJobEncrypted(
Guid gWebId,
string azureContainerSourceUri,
string azureContainerManifestUri,
string azureQueueReportUri,
EncryptionOption AES256CBCKey)
Zusätzliche Anforderung
Für die Verschlüsselung muss jede Datei verschlüsselt und mit einem IV-Wert versehen werden. Die Verschlüsselungsmethode muss dem AES CBC 256-Standard entsprechen. Ein eindeutiger, kryptografisch zufälliger IV muss für jede Datei generiert werden, einschließlich der Manifeste im Paket, und sollte als Eigenschaft für jede Datei gespeichert werden. Verwenden Sie die AesCryptoServiceProvider.GenerateIV-Methode, um eine eindeutige zufällige IV für jede Datei zu generieren.
- Name: [IV]
- Wert: [Base64encoded byte array of the IV]
Lesen der Warteschlange bei Verschlüsselung
Wenn Sie die Verschlüsselungsoption verwenden, werden die Nachrichten in der Warteschlange ebenfalls verschlüsselt.
Es ist wichtig, sich die Job-ID zu merken. Ohne den speziellen für den Auftrag verwendeten Schlüssel können Sie die Nachricht nicht zurücklesen.
Hier sehen Sie den JSON-Inhalt in der Warteschlangennachricht
{"Label": "Encrypted"},
{"JobId": "[JobId value]"},
{"IV": "[IV value in base64format]"},
{"Content": "[encrypted message in base64string]"}
Nachdem die Nachrichten entschlüsselt wurden, entsprechen sie der API ohne Verschlüsselung.
Hinweis
Die Migration ist für Benutzer von Office 365, die von 21Vianet in China betrieben werden, nicht verfügbar. Auch für Benutzer von Office 365 mit der deutschen Cloud unter Verwendung des Datentreuhänders Deutsche Telekom steht es nicht zur Verfügung. Es wird jedoch für Benutzer in Deutschland unterstützt, deren Datenspeicherort sich nicht im deutschen Rechenzentrum befindet.