Machen Sie sich mit der Dienstverschlüsselung in Microsoft Purview vertraut
Bei den von Microsoft verwalteten Schlüsseln verwaltet und speichert der Microsoft-Dienst die für die Dienstverschlüsselung verwendeten Stammverschlüsselungsschlüssel, und entlastet den Kunden von der Verantwortung, Stammverschlüsselungsschlüssel bereitzustellen und zu verwalten. Von Microsoft verwaltete Schlüssel werden in privaten Schlüsseltresoren gespeichert, auf die von Microsoft 365-Diensten nur indirekt zur Datenverschlüsselung zugegriffen werden kann. Auf diese Schlüssel können Microsoft-Mitarbeiter nicht direkt zugreifen.
Von Microsoft verwaltete Schlüssel sind für Cloudkunden ohne Schlüsselverwaltungsanforderungen eine praktikable Lösung. Bei einigen Kunden erfüllen die von Microsoft verwalteten Schlüssel möglicherweise nicht deren Verpflichtungen für die Schlüsselverwaltung, den Betrieb und die Speicherung. Um diesen Verpflichtungen nachzukommen, können vom Kunden verwaltete Schlüssel mithilfe des Kundenschlüssel-Features implementiert werden.
Die linke Seite des obigen Diagramms zeigt die Schlüsselhierarchie für Exchange Online, die zeigt, wie zwei von Microsoft verwaltete RSA-Schlüssel und ein entsprechender AES-256-Verfügbarkeitsschlüssel verwendet werden, um den Datenverschlüsselungsrichtlinienschlüssel zu schützen, der wiederum den Postfachschlüssel schützt, der zum Verschlüsseln von Postfächern in Exchange Online verwendet wird. Die rechte Seite des Diagramms zeigt die Schlüsselhierarchie für SharePoint Online-, OneDrive for Business- und Microsoft Teams-Dateien, die SQL Transparent Data Encryption zum Schutz von Dateiblockverschlüsselungsschlüsseln für SQL-Datenbanken verwenden.
Microsoft verwaltet standardmäßig Verschlüsselungsschlüssel auf Dienstebene, aber einige Kunden haben möglicherweise interne oder externe Anforderungen zum Verwalten ihrer eigenen Stammschlüssel. In der nächsten Lerneinheit wird das Feature "Kundenschlüssel" behandelt, mit dem Kunden diese Anforderungen erfüllen können.