Übersicht über die Dienstverschlüsselung mit Dem Microsoft Purview-Kundenschlüssel

Microsoft 365 bietet eine grundlegende Verschlüsselung auf Volumeebene, die über BitLocker und DKM (Distributed Key Manager) aktiviert ist. Windows 365 Enterprise- und Business Cloud-PC-Datenträger werden mit der serverseitigen Verschlüsselung (Server-Side Encryption, SSE) von Azure Storage verschlüsselt. Microsoft 365 bietet eine zusätzliche Verschlüsselungsebene für Ihre Inhalte über den Kundenschlüssel. Diese Inhalte enthalten Daten aus Exchange Online, Microsoft SharePoint, Microsoft OneDrive, Microsoft Teams und Windows 365 Cloud-PCs.

BitLocker wird nicht als Verschlüsselungsoption für Windows 365 Cloud-PCs unterstützt. Weitere Informationen finden Sie unter Verwenden von Windows 10 virtuellen Computern in Intune.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Windows 365 Unterstützung für Den Microsoft Purview-Kundenschlüssel befindet sich in der öffentlichen Vorschau und kann geändert werden.

Zusammenarbeit zwischen Dienstverschlüsselung, BitLocker, SSE und Kundenschlüssel

Ihre Microsoft 365-Daten werden im Ruhezustand im Microsoft 365-Dienst mit BitLocker und DKM immer verschlüsselt. Weitere Informationen finden Sie unter Schützen ihrer E-Mail-Geheimnisse durch Exchange Online. Der Kundenschlüssel bietet zusätzlichen Schutz vor dem Anzeigen von Daten durch nicht autorisierte Systeme oder Mitarbeiter und ergänzt die BitLocker-Datenträgerverschlüsselung und SSE in Microsoft-Rechenzentren. Die Dienstverschlüsselung soll nicht verhindern, dass Microsoft-Mitarbeiter auf Ihre Daten zugreifen. Stattdessen hilft Ihnen der Kundenschlüssel dabei, gesetzliche oder Compliance-Verpflichtungen zur Steuerung von Stammschlüsseln zu erfüllen. Sie autorisieren Microsoft 365-Dienste explizit, Ihre Verschlüsselungsschlüssel zu verwenden, um mehrwertige Clouddienste wie eDiscovery, Antischadsoftware, Antispam, Suchindizierung usw. bereitzustellen.

Der Kundenschlüssel basiert auf der Dienstverschlüsselung und ermöglicht es Ihnen, Verschlüsselungsschlüssel bereitzustellen und zu steuern. Microsoft 365 verwendet diese Schlüssel dann, um Ihre ruhenden Daten zu verschlüsseln, wie in den Online services Terms (OST) beschrieben. Der Kundenschlüssel unterstützt Sie bei der Einhaltung von Complianceverpflichtungen, da Sie die Verschlüsselungsschlüssel steuern, die Microsoft 365 zum Verschlüsseln und Entschlüsseln von Daten verwendet.

Customer Key verbessert die Fähigkeit Ihrer organization, die Anforderungen der Complianceanforderungen zu erfüllen, die wichtige Vereinbarungen mit dem Clouddienstanbieter festlegen. Mit Customer Key können Sie die Stammverschlüsselungsschlüssel für Ihre ruhenden Microsoft 365-Daten auf Anwendungsebene bereitstellen und steuern. Daher üben Sie die Kontrolle über die Schlüssel Ihrer organization aus.

Kundenschlüssel mit Hybridbereitstellungen

Der Kundenschlüssel verschlüsselt nur ruhende Daten in der Cloud. Der Kundenschlüssel kann Ihre lokalen Postfächer und Dateien nicht schützen. Sie können Ihre lokalen Daten mit einer anderen Methode verschlüsseln, z. B. BitLocker.

Informationen zu Datenverschlüsselungsrichtlinien

Eine Datenverschlüsselungsrichtlinie (Data Encryption Policy, DEP) definiert die Verschlüsselungshierarchie. Diese Hierarchie wird vom Dienst verwendet, um Daten mit jedem der von Ihnen verwalteten Schlüssel und dem Verfügbarkeitsschlüssel zu verschlüsseln, der von Microsoft geschützt wird. Sie erstellen DEPs mithilfe von PowerShell-Cmdlets und weisen diese DEPs dann zum Verschlüsseln von Anwendungsdaten zu. Es gibt drei Typen von DEPs, die vom Kundenschlüssel unterstützt werden. Jeder Richtlinientyp verwendet unterschiedliche Cmdlets und bietet Abdeckung für einen anderen Datentyp. Zu den DEPs, die Sie definieren können, gehören:

DEP für mehrere Microsoft 365-Workloads Diese DEPs verschlüsseln Daten für mehrere Microsoft 365-Workloads für alle Benutzer innerhalb des Mandanten. Zu diesen Workloads gehören:

  • Windows 365 Cloud-PCs

  • Teams-Chatnachrichten (1:1-Chats, Gruppenchats, Besprechungschats und Kanalunterhaltungen)

  • Teams-Mediennachrichten (Bilder, Codeausschnitte, Videonachrichten, Audionachrichten, Wiki-Bilder)

  • Teams-Anruf- und Besprechungsaufzeichnungen, die im Teams-Speicher gespeichert sind

  • Teams-Chatbenachrichtigungen

  • Teams-Chatvorschläge von Cortana

  • Teams status-Nachrichten

  • Microsoft 365-Interaktionen

  • Benutzer- und Signalinformationen für Exchange Online

  • Exchange Online Postfächer, die noch nicht durch Postfach-DEPs verschlüsselt sind

  • Microsoft Purview Information Protection:

    • Genaue Datenvergleichsdaten (Exact Data Match, EDM), einschließlich Datendateischemas, Regelpaketen und der Salts, die zum Hashen vertraulicher Daten verwendet werden. Für EDM und Microsoft Teams verschlüsselt der DEP mit mehreren Workloads neue Daten ab dem Zeitpunkt, zu dem Sie den DEP dem Mandanten zuweisen. Für Exchange Online verschlüsselt der Kundenschlüssel alle vorhandenen und neuen Daten.

    • Bezeichnungskonfiguration für Vertraulichkeitsbezeichnungen

DEPs mit mehreren Workloads verschlüsseln die folgenden Datentypen nicht. Stattdessen verwendet Microsoft 365 andere Verschlüsselungstypen, um diese Daten zu schützen.

  • SharePoint- und OneDrive-Daten.
  • Microsoft Teams-Dateien und einige Teams-Anruf- und Besprechungsaufzeichnungen, die in OneDrive und SharePoint gespeichert sind, werden mithilfe des SharePoint-DEP verschlüsselt.
  • Andere Microsoft 365-Workloads, die derzeit nicht vom Kundenschlüssel unterstützt werden, z. B. Viva Engage und Planner.
  • Teams-Liveereignisdaten.

Sie können mehrere DEPs pro Mandant erstellen, aber jeweils nur einen DEP zuweisen. Wenn Sie das DEP zuweisen, beginnt die Verschlüsselung automatisch, dauert jedoch je nach Größe Ihres Mandanten einige Zeit.

DEPs für Exchange Online Postfächer Postfach-DEPs bieten eine präzisere Kontrolle über einzelne Postfächer innerhalb Exchange Online. Verwenden Sie Postfach-DEPs, um Daten zu verschlüsseln, die in EXO-Postfächern verschiedener Typen gespeichert sind, z. B. UserMailbox, MailUser, Group, PublicFolder und Shared Mailboxes. Sie können bis zu 50 aktive DEPs pro Mandant haben und diese DEPs einzelnen Postfächern zuweisen. Sie können mehreren Postfächern einen DEP zuweisen.

Standardmäßig werden Ihre Postfächer mit von Microsoft verwalteten Schlüsseln verschlüsselt. Wenn Sie einem Postfach einen Kundenschlüssel-DEP zuweisen:

  • Wenn das Postfach mit einem Multiworkload-DEP verschlüsselt wird, packt der Dienst das Postfach mit dem neuen Postfach-DEP neu, solange ein Benutzer oder ein Systemvorgang auf die Postfachdaten zugreift.

  • Wenn das Postfach bereits mit von Microsoft verwalteten Schlüsseln verschlüsselt wurde, packt der Dienst das Postfach mit dem neuen Postfach-DEP neu, solange ein Benutzer oder ein Systemvorgang auf die Postfachdaten zugreift.

  • Wenn das Postfach noch nicht mit der Standardverschlüsselung verschlüsselt ist, markiert der Dienst das Postfach für eine Verschiebung. Die Verschlüsselung erfolgt, sobald die Verschiebung abgeschlossen ist. Postfachverschiebungen werden basierend auf prioritäten gesteuert, die für microsoft 365 festgelegt wurden. Weitere Informationen finden Sie unter Verschieben von Anforderungen im Microsoft 365-Dienst. Wenn die Postfächer nicht innerhalb der angegebenen Zeit verschlüsselt sind, wenden Sie sich an Microsoft.

Später können Sie entweder den DEP aktualisieren oder dem Postfach einen anderen DEP zuweisen, wie unter Verwalten des Kundenschlüssels für Office 365 beschrieben. Jedes Postfach muss über die entsprechenden Lizenzen verfügen, um einem DEP zugewiesen zu werden. Weitere Informationen zur Lizenzierung finden Sie unter Vor dem Einrichten des Kundenschlüssels.

Sie können DEPs einem freigegebenen Postfach, einem Postfach für öffentliche Ordner und einem Microsoft 365-Gruppenpostfach für Mandanten zuweisen, die die Lizenzierungsanforderung für Benutzerpostfächer erfüllen. Sie benötigen keine separaten Lizenzen für nicht benutzerspezifische Postfächer, um Kundenschlüssel-DEP zuzuweisen.

Für Kundenschlüssel-DEPs, die Sie einzelnen Postfächern zuweisen, können Sie anfordern, dass Microsoft bestimmte DEPs löscht, wenn Sie den Dienst verlassen. Informationen zum Datenlöschprozess und zum Sperren von Schlüsseln finden Sie unter Widerrufen Ihrer Schlüssel und Starten des Datenlöschpfadprozesses.

Wenn Sie den Zugriff auf Ihre Schlüssel im Rahmen des Verlassens des Diensts widerrufen, wird der Verfügbarkeitsschlüssel gelöscht, was zu einer kryptografischen Löschung Ihrer Daten führt. Kryptografische Löschungen verringern das Risiko der Datenremanence, was für die Erfüllung von Sicherheits- und Complianceverpflichtungen wichtig ist.

DEP für SharePoint und OneDrive Dieser DEP wird verwendet, um in SPO und OneDrive gespeicherte Inhalte zu verschlüsseln, einschließlich microsoft Teams-Dateien, die in SPO gespeichert sind. Wenn Sie das Multi-Geo-Feature verwenden, können Sie einen DEP pro geografischer Region für Ihre organization erstellen. Wenn Sie das Multi-Geo-Feature nicht verwenden, können Sie nur einen DEP pro Mandant erstellen. Weitere Informationen finden Sie unter Einrichten des Kundenschlüssels.

Verschlüsselungsverfahren, die vom Kundenschlüssel verwendet werden

Customer Key verwendet verschiedene Verschlüsselungsverfahren, um Schlüssel zu verschlüsseln, wie in den folgenden Abbildungen dargestellt.

Die Schlüsselhierarchie, die für DEPs verwendet wird, die Daten für mehrere Microsoft 365-Workloads verschlüsseln, ähnelt der Hierarchie, die für DEPs für einzelne Exchange Online Postfächer verwendet wird. Der einzige Unterschied besteht darin, dass der Postfachschlüssel durch den entsprechenden Microsoft 365-Workloadschlüssel ersetzt wird.

Verschlüsselungsverfahren, die zum Verschlüsseln von Schlüsseln für Exchange Online verwendet werden

Verschlüsselungsverfahren für Exchange Online Kundenschlüssel.

Verschlüsselungsverfahren, die zum Verschlüsseln von Schlüsseln für SharePoint-, OneDrive- und Teams-Dateien verwendet werden

Verschlüsselungsverfahren für SharePoint-Kundenschlüssel.