Steuern von Daten in Office 365 mit dem Kundenschlüssel

Hinweis: Wir möchten Ihnen die aktuellsten Hilfeinhalte so schnell wie möglich in Ihrer eigenen Sprache bereitstellen. Diese Seite wurde automatisiert übersetzt und kann Grammatikfehler oder Ungenauigkeiten enthalten. Unser Ziel ist es, Ihnen hilfreiche Inhalte bereitzustellen. Teilen Sie uns bitte über den Link am unteren Rand dieser Seite mit, ob die Informationen für Sie hilfreich sind. Hier finden Sie den englischen Artikel als Referenz.

Mit Kunden Key Schlüssel für die Verschlüsselung Ihrer Organisation steuern und konfigurieren Sie dann auf Office 365, die sie verwenden, um Ihre Daten am Rest in Microsoft Data Center verschlüsseln. Statische Daten enthält Daten aus Exchange Online und Skype für Unternehmen, die in Dateien, die in SharePoint Online gespeichert werden und Postfächer gespeichert sind und OneDrive for Business.

Sie müssen Azure einrichten, bevor Sie Kunden Key für Office 365 verwenden können. In diesem Thema werden die Schritte beschrieben, die Sie erforderlichen Schritte zum Erstellen und konfigurieren die erforderlichen Azure Ressourcen und dann enthält die Schritte zum Einrichten von Kunden-Taste in Office 365. Nachdem Sie Azure Setup abgeschlossen haben, legen Sie fest, welche Richtlinie und daher, welche Schlüssel, um die Dateien in Ihrer Organisation zu Postfächer zuweisen. Postfächer und Dateien, die für die Sie eine Richtlinie zuweisen nicht werden Verschlüsselungsrichtlinien verwendet, die gesteuert und von Microsoft verwaltet werden. Weitere Informationen zu Kunden-Taste, oder eine allgemeine Übersicht finden Sie unter der Kunden Key für Office 365-FAQ.

Wichtig: Es wird dringend empfohlen, dass Sie die bewährten Methoden in diesem Thema folgen. Diese werden als Tipp und WichtigHervorhebung. Kunden-Taste können Sie über einen Schlüssel für die Verschlüsselung aus, deren Bereich so groß wie die gesamte Organisation werden kann. Dies bedeutet, dass mit diesen Tasten gemachte eine umfassende auswirken und zu im Dienst unterbrechen oder die Daten unwiderruflich verloren gehen Fehlern können.

Einrichten von Kundenschlüssel Vorbemerkung

Bevor Sie beginnen, achten Sie darauf, dass Sie die entsprechenden Lizenzierung für Ihre Organisation haben. Kunden-Taste in Office 365 steht in Office 365 E5 oder die erweiterte Compliance-SKU zur Verfügung.

Um die Konzepte und Verfahren in diesem Thema zu verstehen, sollten Sie dann die Dokumentation Azure Schlüssel Tresor überprüfen. Darüber hinaus vertraut machen bei den Konditionen in Azure, beispielsweise Mandantenverwendet werden.

Senden Sie Ihre Ideen, Vorschläge und Perspektiven an customerkeyfeedback@microsoft.com, wenn Sie zum Schlüssel für Kunden, einschließlich der Dokumentation Feedback abgeben.

Übersicht über das Einrichten von Kunden Key für Office 365

Um Kundenschlüssel einzurichten, werden Sie folgende Aufgaben ausführen. Im weiteren Verlauf dieses Themas bietet detaillierte Anweisungen für jeden Vorgang oder Links, um weitere Informationen für jeden Schritt im Prozess.

In Azure und Microsoft der schnelle:   

Führen Sie die meisten dieser Aufgaben durch Remote Verbinden mit Azure PowerShell. Die besten Ergebnisse erzielen, verwenden Sie Version 4.4.0 oder spätere Versionen Azure PowerShell.

In Office 365:   

Exchange Online und Skype für Unternehmen:

SharePoint Online und OneDrive for Business:

Führen Sie die Aufgaben in Azure-Taste Tresor und Microsoft FastTrack für Kundenschlüssel

Führen Sie diese Aufgaben in Azure-Taste Tresor, damit Kunden Key für Office 365 einrichten. Sie müssen diese Schritte unabhängig davon, ob Sie Kundenschlüssel für Exchange Online und Skype for Business oder SharePoint Online und OneDrive for Business oder für alle unterstützten Dienste in Office 365 einrichten möchten.

Erstellen Sie zwei neue Azure-Abonnements

Zwei Azure-Abonnements sind für Kunden Key erforderlich. Als bewährte Methode empfiehlt es sich, dass Sie neue Azure-Abonnements für die Verwendung mit Kundenschlüssel erstellen. Azure-Taste Tresor Schlüssel können nur für Applikationen im gleichen Azure Active Directory (AAD) Mandanten zugelassen werden, müssen Sie die neue Abonnements mit den gleichen Azure AD-Mandanten mit Ihrer Organisation Office 365 verwendet werden, in dem die Einzahlgn zugewiesen werden erstellen. Beispielsweise mithilfe Ihrer geschäftlichen oder schulnotizbücher-Konto, die globale Administratorrechte in Ihrer Organisation für Office 365 enthält. Die detaillierten Schritte finden Sie unter Anmelden für Azure als einer Organisation.

Wichtig: 

  • Kunden-Taste erfordert zwei Tasten für jede Daten Verschlüsselungsrichtlinie (DEP). Um dies zu erreichen, müssen Sie zwei Azure-Abonnements erstellen. Als bewährte Methode empfiehlt es sich, dass Sie separate Mitglieder Ihrer Organisation konfigurieren nacheinander jedes Abonnement haben. Darüber hinaus darf nur diese Azure Abonnements verwendet werden, Schlüssel für die Verschlüsselung für Office 365 verwalten. Auf diese Weise Ihrer Organisation geschützt, falls eine der Operatoren versehentlich, absichtlich oder Absicht löscht oder anderweitig mismanages die Tasten für die sie verantwortlich sind.

  • Es empfiehlt sich, dass Sie neue Azure-Abonnements einrichten, die ausschließlich für die Verwaltung von Azure-Taste Tresor Ressourcen zur Verwendung mit Kundenschlüssel verwendet werden. Es gibt keine praktische hinsichtlich der Anzahl der Azure-Abonnements, die Sie für Ihre Organisation erstellen können. Folgenden bewährten wird den Einfluss der personenbezogenen Fehler minimieren, und zum Verwalten der vom Kundenschlüssel verwendeten Ressourcen gleichzeitig.

Anfordern eines Kunden Key für Office 365 aktivieren

Nachdem Sie die Azure Schritte durchgeführt haben, müssen Sie eine Anforderung Angebot im Portal von Microsoft der schnelleübermitteln. Nachdem Sie eine Besprechungsanfrage über das Web-Portal der schnelle gesendet haben, überprüft Microsoft die Azure-Taste Tresor Konfiguration Daten und Kontakt Informationen, die Sie zur Verfügung gestellt. Die Auswahlmöglichkeiten, die Sie in das Formular Angebot hinsichtlich der autorisierte Officer Ihrer Organisation vornehmen ist kritische und für den Abschluss der Kundenschlüssel Registrierung erforderlich. Die Verantwortlichen der Ihrer Organisation, die Sie in das Formular auswählen werden die verwendeten um die Echtheit der jede Aufforderung zum widerrufen, und löschen alle Schlüssel zusammen mit einer Kunden-Taste Daten Verschlüsselungsrichtlinie sicherzustellen. Sie müssen diesen Schritt einmal ausführen, aktivieren Kundenschlüssel für Exchange Online und Skype für Business Schutz und ein zweites Mal, um Kundenschlüssel für SharePoint Online und OneDrive for Business zu aktivieren.

Zum Senden eines Angebots Kunden Key aktivieren, führen Sie diese Schritte aus:

  1. Melden Sie sich einer geschäftlichen oder schulnotizbücher Konto mit Berechtigungen globaler Administrator in Ihrer Organisation für Office 365- Portal von Microsoft der schnelle.

  2. Sobald Sie angemeldet sind, navigieren Sie zu dem Dashboard.

  3. Wählen Sie bietet aus, und überprüfen Sie die Liste der aktuellen Angebote.

  4. Wählen Sie Weitere für das Angebot, das auf Sie zutrifft:

    • Exchange Online und Skype für Unternehmen: Wählen Sie das Angebot Kundenschlüssel für ExchangeWeitere aus.

    • SharePoint Online und OneDrive for Business: Erfahren Sie mehr auf Kunden-Taste für SharePoint und OneDrive for Business Angebot gewählten.

  5. Wählen Sie auf der Seite AngebotsdetailsAnfordern erstellen aus.

  6. Füllen Sie alle entsprechenden Details und angeforderten Informationen im Formular "Angebot". Achten Sie besonders, die an Ihre Auswahl für welche Officer Ihrer Organisation autorisieren auf um permanente und nicht rückgängig gemacht werden beim Löschen des Schlüssel für die Verschlüsselung und Daten zu genehmigen sollen. Nachdem Sie das Formular ausgefüllt haben, wählen Sie Senden.

    Dieser Vorgang kann bis zu fünf Arbeitstagen nachdem Microsoft Ihrer Anfrage benachrichtigt wurde dauern.

  7. Gehen Sie zu obligatorische Aufbewahrung Periode weiter unten im Abschnitt.

Registrieren Sie sich Azure-Abonnements, um eine obligatorische Aufbewahrungszeitraum verwenden

Der temporäre oder permanente Verlust der Schlüssel für die Verschlüsselung Root kann sehr Unterbrechung oder sogar auf des Diensts schwerwiegenden und Datenverlust führen kann. Aus diesem Grund benötigen die Kunden Key verwendeten Ressourcen starken Schutz. Anbieten von Schutzmechanismen neben der Standardkonfiguration die Azure Ressourcen, die mit Kundenschlüssel verwendet werden. Azure-Abonnements können markiert oder auf eine Weise, die verhindern unmittelbar und unwiderruflich Absage registriert werden. Dies wird als registrieren für eine obligatorische Aufbewahrungszeitraum bezeichnet. Die erforderlichen Schritte zum Erfassen von Azure-Abonnements für eine obligatorische Aufbewahrung Periode erfordern für die Zusammenarbeit mit Office 365-Team. Dieser Vorgang kann ein bis fünf Arbeitstagen dauern. In früheren Versionen wurde dies manchmal als "Nicht Abbrechen" bezeichnet.

Bevor Sie sich an den Office 365-Team, müssen Sie die folgenden Schritte für jedes Abonnement Azure ausführen, die Sie mit Kundenschlüssel verwenden:

  1. Melden Sie sich bei Ihrem Azure-Abonnement mit Azure PowerShell. Melden Sie sich mit Azure PowerShellfinden Sie Anweisungen.

  2. Führen Sie das Register-AzureRmProviderFeature-Cmdlet zum Registrieren Ihrer Abonnements, um eine obligatorische Aufbewahrungszeitraum verwenden.

    Register-AzureRmProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources
  3. Wenden Sie sich an Microsoft, um den Vorgang abgeschlossen haben. Wenden Sie für SharePoint und OneDrive for Business-Team sich an spock@microsoft.com. Wenden Sie sich an exock@microsoft.comfür Exchange Online und Skype für Unternehmen. Der Dienst Ebene Vertrag SERVICELEVEL für Abschluss dieses Prozesses fünf Arbeitstagen ist nach Microsoft benachrichtigt (überprüft, und) Sie registriert haben Ihrer Abonnements, um eine obligatorische Aufbewahrungszeitraum verwenden. Nehmen Sie die folgenden in Ihre e-Mail-Adresse:

    Betreff: Kundenschlüssel für <Ihren tEnant den vollqualifizierten Domänennamen>

    Text: Abonnement-IDs für die die obligatorische Aufbewahrung Periode abgeschlossen haben soll.

  4. Nachdem Sie die Benachrichtigung von Microsoft erhalten, die Registrierung abgeschlossen ist, überprüfen Sie den Status Ihrer Registrierung, indem Sie das Cmdlet "Get-AzureRmProviderFeature" wie folgt ausführen:

    Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Resources -FeatureName mandatoryRetentionPeriodEnabled
  5. Führen Sie nach der Überprüfung, dass die Registrierung State-Eigenschaft von das Cmdlet "Get-AzureRmProviderFeature" den Wert registriert zurückgibt den folgenden Befehl aus, um den Vorgang abzuschließen:

    Register-AzureRmResourceProvider -ProviderNamespace "Microsoft.KeyVault"

Erstellen einer Premium Azure-Taste Tresor in jedes Abonnement

Die Schritte zum Erstellen eines Key Tresor sind in Erste Schritte mit Azure Schlüssel Tresor, dokumentierten, die führt Sie durch das Installieren und ebenso Azure PowerShell, Herstellen einer Verbindung mit Ihrem Abonnement Azure, erstellen eine Ressourcengruppe und erstellen, die eine Key Tresor Ressourcengruppe.

Beim Erstellen eines Key Tresor müssen, wählen Sie eine SKU: entweder Standard oder Premium. Der Standard-SKU kann Azure-Taste Tresor Tasten mit Software geschützt werden – es ist keine Schutz der Schlüssel (Hardware Security Module, HSM) – und die Premium SKU ermöglicht die Verwendung von HSMs für den Schutz von Key Tresor Tasten. Kunden-Taste akzeptiert Key Depots, in denen entweder SKU, verwendet, obwohl Microsoft dringend empfohlen, dass Sie nur die Premium SKU verwenden. Die Kosten von Vorgängen mit Tasten entweder Typs ist gleich, damit der einzige Unterschied Kosten die Kosten pro Monat für jeden Schlüssel HSM geschützt ist. Details finden Sie unter Key Tresor Preise .

Wichtig: Verwenden Sie Premium SKU Key Depots und HSM-geschützte Schlüssel für Herstellung Daten, und verwenden Sie nur Standard-SKU Key Depots und Schlüssel für Test- und Überprüfung.

Erstellen Sie für jeden Office 365-Dienst, mit denen Sie Kundenschlüssel verwendet werden ein Key Tresor mit jeder der zwei Azure-Abonnements, die Sie erstellt haben. Für Exchange Online und Skype für nur Business oder SharePoint Online und OneDrive for Business nur erstellen Sie beispielsweise nur ein paar Depots. Um Kundenschlüssel für Exchange Online und SharePoint Online zu aktivieren, erstellen Sie zwei Paare von Key Depots.

Verwenden Sie eine Benennungskonvention für Key Depots, die die beabsichtigte Verwendung von der Datenausführungsverhinderung widerspiegeln, die Sie den Depots zuordnen möchten. Finden Sie im Abschnitt bewährte Methoden unter naming Convention Empfehlungen aus.

Erstellen Sie einen, gepaarten Satz von Depots für jede Daten Verschlüsselungsrichtlinie an. Für Exchange Online wird von Ihnen des Gültigkeitsbereichs von einer Daten Verschlüsselungsrichtlinie ausgewählt, wenn Sie die Richtlinie Postfach zuweisen. Ein Postfach kann nur eine Richtlinie zugewiesen haben, und Sie können bis zu 50 Richtlinien erstellen. Für SharePoint Online ist der Bereich einer Richtlinie alle Daten in einer Organisation in geographischen Standort oder Geo.

Das Erstellen von Key Depots erfordert auch die Erstellung von Azure Ressourcengruppen, da Key Depots benötigen Speicherkapazität (obwohl geringen) und Schlüssel Tresor Protokollierung, wenn aktiviert, auch gespeicherte Daten generiert. Als bewährte Methode empfiehlt Microsoft die Verwendung von getrennten Administratoren zum Verwalten von jeder Ressourcengruppe, die Verwaltung ausgerichtet mit dem Satz von Administratoren, die alle Kundenschlüssel Ressourcenübersicht verwalten soll.

Wichtig: 

  • Um Verfügbarkeit maximieren, sollte der wichtigsten Depots in Regionen in der Nähe des Office 365-Diensts sein. Beispielsweise ist die Exchange Online-Organisation in Nordamerika, platzieren Sie Ihre Key Depots in Nordamerika. Ist die Exchange Online-Organisation in Europa, platzieren Sie Ihre Key Depots in Europa.

  • Verwenden Sie ein gemeinsames Präfix für Key Depots und umfassen Abkürzung für die Verwendung und Bereich, der die wichtigsten Tresor oder die Taste (z. B. für der Contoso SharePoint-Dienst, in dem die Depots sich in Nordamerika, eine mögliche Paar von Namen befinden, Contoso-O365SP-NV-VaultA1 ist und Contoso-O365SP-NV-VaultA2. Tresor Namen sind global eindeutige Zeichenfolgen in Azure, sodass Sie möglicherweise Variationen, der die Namen der gewünschten versuchen, für den Fall, dass Sie die Namen der gewünschten bereits durch andere Azure Kunden in Anspruch genommen werden müssen. Ab Juli 2017 können Tresor Namen geändert werden, damit eine bewährte Methode besteht darin einen geschrieben Plan für einrichten und Verwenden einer zweiten Person um zu überprüfen, ob der Plan korrekt ausgeführt wird.

  • Erstellen Sie, falls möglich Ihrer Depots in Regionen nicht gepaart. Für Azure Regionen bieten hohe Verfügbarkeit über Domänen des Fehlers. Landes-/ Paare können daher als Sicherung Region gegenseitig betrachtet werden. Dies bedeutet, dass eine Azure Ressource, die in einem Bereich positioniert wird automatisch Fehlertoleranz durch die gepaarten Region hervorruft. Aus diesem Grund auswählen Regionen für zwei Vaults verwendet in einer DEP, in dem die Regionen gepaarten bedeutet, dass nur über die Verfügbarkeit von beiden Regionen insgesamt verwendet werden. Die meisten Ländern ist nur zwei Bereiche, damit diese noch nicht möglich, nicht gepaart Regionen ausgewählt ist. Falls möglich, wählen Sie zwei nicht gepaart Regionen für die zwei Vaults zusammen mit einer Datenausführungsverhinderung. Die Vorteile von insgesamt vier Bereiche Verfügbarkeit. Weitere Informationen finden Sie unter Business Continuity- und Disaster Wiederherstellung (BCDR): Azure gepaart Regionen für eine aktuelle Liste der regionalen paarweise angegeben werden.

Zuweisen von Berechtigungen zu einzelnen Key Tresor

Für jeden wichtigen Tresor müssen Sie drei separate Sätze von Berechtigungen für Kundenschlüssel, je nach der Implementierung definieren. Angenommen, müssen Sie definieren eine Reihe von Berechtigungen für jede der folgenden Aktionen aus:

  • Taste Tresor Administratoren , die für Ihre Organisation Verwaltungsarbeiten für den Key Tresor ausführen soll. Die folgenden Aufgaben Sicherung enthalten, erstellen, abrufen, importieren, Liste, und wiederherstellen.

    Wichtig: Festlegen von Berechtigungen, die wichtigsten Tresor Administratoren zugewiesen ist die Berechtigung zum Löschen von Tasten nicht enthalten. Dies ist beabsichtigt und eine wichtige Methode. Löschen der Schlüssel für die Verschlüsselung wird nicht in der Regel durchgeführt da ausführen, also dauerhaft Daten verloren gehen. Als bewährte Methode gewähren Sie keine diese Berechtigung Key Tresor Administratoren standardmäßig. Stattdessen reservieren Sie folgt für Key Tresor Mitwirkenden und nur an einen Administrator auf Basis kurzfristig weisen Sie zu, nachdem Sie ein Überblick über die Folgen löschen versteht.

    Wenn Sie einem Benutzer in Ihrer Organisation für Office 365 folgende Berechtigungen zuweisen, melden Sie sich für Ihr Azure-Abonnement mit Azure PowerShell. Melden Sie sich mit Azure PowerShellfinden Sie Anweisungen.

  • Führen Sie das Cmdlet "Set-AzureRmKeyVaultAccessPolicy", um die erforderlichen Berechtigungen zuweisen.

    Set-AzureRmKeyVaultAccessPolicy -VaultName <vaultname> 
    -UserPrincipalName <UPN of user> -PermissionsToKeys create,import,list,get,backup,restore
    

    Beispiel:

    Set-AzureRmKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
    -UserPrincipalName alice@contoso.com -PermissionsToKeys create,import,list,get,backup,restore
    
  • Taste Tresor Mitwirkenden , die Berechtigungen für den Azure-Taste Tresor selbst ändern können. Sie müssen diese Berechtigungen zu ändern, wie Mitarbeiter verlassen oder teilnehmen an Ihr Team oder in der extrem seltene Fall, dass die Taste Vaulting Administratoren bewusst benötigen die Berechtigung zum Löschen oder Wiederherstellen einer Taste. Diese Sammlung von Key Tresor Mitwirkenden muss die Rolle " Mitwirkender " auf Ihrem Key Tresor gewährt werden soll. Sie können diese Rolle zuweisen, mithilfe von Azure Ressourcenmanager. Die detaillierten Schritte finden Sie unter Use Role-Based Access Control zum Verwalten des Zugriffs auf Ihre Abonnementressourcen Azure. Der Administrator, der ein Abonnement erstellt, hat dieses Zugriff implizit, sowie die Möglichkeit, die Teilnehmerrolle für andere Administratoren zuweisen.

  • Wenn Sie beabsichtigen, Kundenschlüssel mit Exchange Online und Skype für Unternehmen verwenden, müssen Sie nach Office 365 für Unternehmen den wichtigsten Tresor für Exchange Online und Skype verwenden Berechtigung erteilen. Wenn Sie beabsichtigen, Kundenschlüssel mit SharePoint Online und OneDrive for Business verwenden, müssen Sie ebenso Berechtigung für Office 365 zur Verwendung des wichtigsten Tresors für SharePoint Online und OneDrive for Business hinzufügen. Um nach Office 365 die Berechtigung erteilen, führen Sie das Cmdlet " Set-AzureRmKeyVaultAccessPolicy " mithilfe der folgenden Syntax aus:

    Set-AzureRmKeyVaultAccessPolicy –VaultName <vaultname> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

    Dabei gilt:

    • Vaultname ist der Name der die wichtigsten Tresor, die, den Sie erstellt haben.

    • Ersetzen Sie für Exchange Online und Skype for Business Office 365 AppID mit 00000002-0000-0ff1-ce00-000000000000

    • Ersetzen Sie für SharePoint Online und OneDrive for Business Office 365 AppID mit 00000003-0000-0ff1-ce00-000000000000

    Beispiel: Festlegen von Berechtigungen für Exchange Online und Skype für Unternehmen:

    Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365EX-NA-VaultA1 
    -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

    Beispiel: Festlegen von Berechtigungen für SharePoint Online und OneDrive for Business

    Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365SP-NA-VaultA1 
    -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000

Aktivieren Sie, und vergewissern Sie sich auf Ihre Key Depots weiche löschen

Wenn Sie Ihre Schlüssel schnell wiederherstellen können, sind Sie weniger wahrscheinlich eine erweiterte Dienstausfall aufgrund versehentlich oder absichtlich gelöschte Schlüssel auftreten. Sie müssen Aktivieren dieser Konfiguration genannt weiche löschen möchten, bevor Sie Ihre Schlüssel mit Kundenschlüssel verwenden können. Aktivieren der weiche löschen, können Sie Tasten oder Depots innerhalb von 90 Tagen des Löschens wiederherstellen, ohne diese aus einer Sicherung wiederherstellen.

Um auf Ihre Key Depots weiche löschen aktivieren möchten, führen Sie diese Schritte aus:

  1. Melden Sie sich bei Ihrem Azure mit Windows Powershell-Abonnement. Melden Sie sich mit Azure PowerShellfinden Sie Anweisungen.

  2. Führen Sie das Cmdlet " Get-AzureRmKeyVault " wie folgt aus:

    $v = Get-AzureRmKeyVault -VaultName <vaultname>
    $r = Get-AzureRmResource -ResourceId $v.ResourceId
    $r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
    Set-AzureRmResource -ResourceId $r.ResourceId -Properties $r.Properties

    Dabei ist Vaultname den Namen der wichtigsten Tresor, für den Sie weiche löschen aktivieren.

  3. Bestätigen Sie, dass weiche löschen für die wichtigsten Tresor konfiguriert ist, indem Sie das Cmdlet Get-AzureRmKeyVault ausführen:

    Get-AzureRmKeyVault -VaultName <vaultname> | fl

    Wenn Sie weiche löschen für die wichtigsten Tresor ordnungsgemäß konfiguriert ist, gibt die Eigenschaft Soft Delete Enabled? der Wert True.

Fügen Sie einen Schlüssel auf jede Key Tresor entweder durch Erstellen oder Importieren einen Schlüssel

Es gibt zwei Methoden zum Hinzufügen von Tasten zu einer Azure-Taste Tresor; Erstellen Sie einen Schlüssel direkt in Tresor-Taste, oder Sie können einen Schlüssel importieren. Erstellen einen Schlüssel direkt in Tresor Schlüssel ist die weniger komplizierte Methode, beim Importieren eines Schlüssels bietet total steuern, wie der Schlüssel generiert wird.

Um einen Schlüssel direkt in Ihrem Key Tresor erstellen möchten, führen Sie das Cmdlet Hinzufügen-AzureKeyVaultKey wie folgt aus:

Add-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname> -Destination <HSM|Software> -KeyOps wrapKey,unwrapKey

Dabei gilt:

  • Vaultname ist der Name der die wichtigsten Tresor, in dem Sie die Taste erstellen möchten.

  • Schlüssel ist der Name den neuen Product Key erhalten soll.

    Tipp: Benennen Sie die Tasten mithilfe von einer ähnlichen Benennungskonvention für Key Depots wie oben beschrieben. Auf diese Weise in Tools, die nur der Name des Schlüssels anzeigen, beschreibt die Zeichenfolge selbst.

  • Wenn Sie die Taste mit einer HSM schützen möchten, stellen Sie sicher, dass Sie geben Sie als Wert des Parameters DestinationHSM andernfalls Software angeben.

Beispiel:

Add-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination Software -KeyOps wrapKey,unwrapKey

Um einen Schlüssel direkt in Ihrem Key Tresor importieren zu können, müssen Sie eine Thales nShield Hardware Security Module haben.

Manche Organisationen bevorzugen dieser Ansatz Herstellen der Herkunftsorts des ihre Schlüssel, und diese Methode enthält auch die folgenden:

  • Die für den Import verwendete Extras umfasst Bescheinigung Thales, dass die Taste Exchange Schlüssel (KEK), mit dem die Taste verschlüsseln, die Sie generieren, nicht exportiert werden kann und innerhalb einer Originalsoftware HSM, die von Thales hergestellt wurde generiert.

  • Die Extras enthält Bescheinigung Thales, dass die Azure-Taste Tresor Security World auch auf eine Originalsoftware HSM von Thales hergestellt generiert wurde. Diese Bescheinigung erweist sich als Sie, dass Microsoft auch Originalsoftware Thales Hardware verwendet wird.

Wenden Sie sich an Ihrem Sicherheitsgruppe, um festzustellen, ob der oben genannten Datenschutzpolitik erforderlich sind. Ausführliche Schritte zum Erstellen eines Key lokal und in Ihrem Key Tresor importieren finden Sie unter So generieren und HSM-geschützte Schlüssel für Azure Schlüssel Tresor übertragen. Verwenden Sie die Azure Anweisungen, um einen Schlüssel in jeder Key Tresor zu erstellen.

Überprüfen der Wiederherstellung Ihrer Schlüssel

Office 365 ist es erforderlich, dass das Abonnement Azure-Taste Tresor kein Abbrechen festgelegt ist und die Tasten Kundenschlüssel untersuchten weiche Löschen aktiviert haben. Sie können dies überprüfen Ebene der Wiederherstellung auf den Tasten gefunden.

Zum Überprüfen der Wiederherstellung Ebene eines Schlüssels, in Azure PowerShell, führen Sie das Cmdlet "Get-AzureKeyVaultKey" wie folgt aus:

(Get-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname>).Attributes 

Wenn die Eigenschaft Recovery Level einen anderen Wert als Wert Behebbarer + ProtectedSubscription zurückgibt, müssen Sie in diesem Thema überprüfen, und stellen Sie sicher, dass Sie alle Schritte aus, um das Abonnement in der Liste kein Abbrechen setzen befolgt haben und Sie haben Weiche Löschen aller Ihrer Key Depots aktiviert.

Zusätzliche Azure Key Tresor

Unmittelbar nach der Erstellung oder Änderungen auf einen Schlüssel, führen Sie eine Sicherung und Speichern von Kopien der Sicherung online und offline. Offline-Kopien sollte nicht mit jedes Netzwerk, wie in einem physisch sicheren oder professionellen Lager verbunden sein. Mindestens eine Kopie der Sicherung sollten an einem Speicherort gespeichert werden, die bei einem Ausfall auf zugegriffen werden kann. Die Sicherung Blobs sind einziges Mittel Key Material sollte ein Schlüssel Tresor Schlüssel werden dauerhaft gelöscht oder wiederherzustellen andernfalls gerendert nicht funktioniert. Tasten, die in Azure-Taste Tresor importiert wurden und sind außerhalb Azure-Taste Tresor berechtigen nicht als Sicherung, da die Metadaten für Kunden-Taste, um die Taste verwenden notwendigen mit dem externen Schlüssel nicht vorhanden ist. Nur eine Sicherung aus Azure-Taste Tresor kann für Wiederherstellungsvorgängen mit Kundenschlüssel verwendet werden. Daher ist es wichtig, dass eine Sicherungskopie der Azure-Taste Tresor gemacht werden, nachdem Sie ein Schlüssel hochgeladen oder erstellt wird.

Um eine Sicherung eines Schlüssels Azure-Taste Tresor erstellen möchten, führen Sie das Cmdlet Sicherung-AzureKeyVaultKey wie folgt aus:

Backup-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname> 
-OutputFile <filename.backup>

Stellen Sie sicher, dass Ihre Exportdatei das Suffix .backupverwendet.

Die Ausgabedatei, die mit diesem Cmdlet infolge ist verschlüsselt und kann nicht außerhalb von Azure-Taste Tresor verwendet werden. Die Sicherung kann nur mit dem Azure-Abonnement wiederhergestellt werden, von dem die Sicherung durchgeführt wurde.

Tipp: Wählen Sie eine Kombination aus Ihrem Tresor Namen und Key Namen für die Ausgabedatei aus. Dadurch wird die Namen selbst beschreiben. Es wird außerdem sichergestellt, dass die Namen der Sicherungsdatei keine Konflikte erzeugen, gehen Sie wie folgt.

Beispiel:

Backup-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -OutputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Überprüfen Sie die Azure-Taste Tresor Konfiguration Einstellungen

Durchführung der Validierung vor dem mit der Tastatur in einer DEP ist optional, aber dringend empfohlen. Insbesondere, wenn Sie die Schritte zum Einrichten der Tasten und Depots anderen als den in diesem Artikel beschriebenen Kennwörter verwenden, sollten Sie überprüfen die Integrität des Azure-Taste Tresor Ressourcen vor dem Kundenschlüssel konfigurieren.

So überprüfen, dass Ihre Schlüssel abrufen, WrapKey und UnwrapKey Vorgänge aktiviert haben:

Führen Sie das Cmdlet " Get-AzureRmKeyVault " wie folgt aus:

Get-AzureRMKeyVault -VaultName <vaultname>

Suchen Sie in der Ausgabe je nach Bedarf für die Richtlinie Zugriff und für die Exchange Online-ID (GUID) oder die SharePoint Online-ID (GUID). Die oben aufgeführten Berechtigungen alle drei müssen unter Berechtigungen Tasten angezeigt.

Wenn die Konfiguration der Access-Richtlinien nicht korrekt ist, führen Sie das Cmdlet "Set-AzureRmKeyVaultAccessPolicy" wie folgt aus:

Set-AzureRmKeyVaultAccessPolicy –VaultName <vaultname> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

Zum Beispiel für Exchange Online und Skype für Unternehmen:

Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365EX-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

Zum Beispiel für SharePoint Online und OneDrive for Business

Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365SP-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName TBD

So überprüfen, dass ein Ablaufdatum für Ihre Schlüssel nicht festgelegt ist:

Führen Sie das Cmdlet " Get-AzureKeyVaultKey " wie folgt aus:

Get-AzureKeyVaultKey -VaultName <vaultname> 

Ein abgelaufenen Key kann nicht verwendet werden, von Kunden-Taste und Vorgänge mit einem abgelaufenen Schlüssel zu übermitteln fehlschlagen werden, und möglicherweise einem Dienstausfall führen. Es wird dringend empfohlen, dass die Tasten zusammen mit Kundenschlüssel nicht über ein Ablaufdatum verfügen. Ein Ablaufdatum, sobald festgelegt ist, kann nicht entfernt werden, aber auf ein anderes Datum geändert werden können. Wenn ein Schlüssel muss, die ein Ablaufdatum festgelegt wurde verwendet werden, ändern Sie den Ablaufwert bis 12/31/9999 ein. Andere als 12/31/9999 nicht Office 365-Überprüfung übergeben Tasten mit einem Ablaufdatum auf ein Datum festgelegt.

Wenn Sie ein Ablaufdatum ändern möchten, die auf einen anderen Wert als 12/31/9999 festgelegt wurde, führen Sie das Cmdlet " Set-AzureKeyVaultKeyAttribute " wie folgt aus:

Set-AzureKeyVaultKeyAttribute –VaultName <vaultname> -Name <keyname> 
-Expires (Get-Date -Date “12/31/9999”)

Warnung: Legen Sie nicht Ablaufdatum auf Schlüssel für die Verschlüsselung, die Sie mit Kundenschlüssel verwenden.

Abrufen des URIS für jeden Azure-Taste Tresor Schlüssel

Sobald Sie die Schritte zum Einrichten Ihrer Key Depots Azure abgeschlossen und Ihre Schlüssel hinzugefügt haben, führen Sie den folgenden Befehl aus den URI für den Schlüssel in jeder Key Tresor abgerufen. Sie müssen diese verwenden URIs angezeigt, wenn Sie erstellen, und weisen jeder DEP später, daher speichern Sie diese Informationen an einem sicheren Ort. Denken Sie daran, um diesen Befehl einmal für jede Key Tresor auszuführen.

In Azure PowerShell:

(Get-AzureKeyVaultKey -VaultName <vaultname>).Id

Office 365: Einrichten von Kundenschlüssel für Exchange Online und Skype für Unternehmen

Bevor Sie beginnen, stellen Sie sicher, dass Sie die erforderlichen Aufgaben zum Einrichten von Azure-Taste Tresor durchgeführt wurden. Informationen finden Sie unter vollständige Aufgaben in Azure Schlüssel Tresor und Microsoft der schnelle für Kunden-Taste .

Um Kundenschlüssel für Exchange Online und Skype für Business einzurichten, müssen Sie diese Schritte durchführen, indem Sie Remote Verbindung mit Exchange Online mit Windows PowerShell.

Erstellen einer Richtlinie für Daten-Verschlüsselung (DEP) zur Verwendung mit Exchange Online und Skype für Unternehmen

Eine Datenausführungsverhinderung ist eine Reihe von Tasten Azure-Taste Tresor gehörende Kehrmatrix zugeordnet. Sie weisen eine DEP an ein Postfach in Office 365 an. Office 365 wird die Tasten in der Richtlinie identifiziert verwenden Sie dann auf das Postfach verschlüsseln. Zum Erstellen der Datenausführungsverhinderung benötigen Sie die Schlüssel Tresor URIs, die Sie zuvor für Ihren Kunden. Weitere Informationen finden Sie in der besorgen Sie sich den URI für eine Azure Schlüssel Tresor-Taste .

Denken Sie daran! Beim Erstellen einer DEP, geben Sie zwei Tasten, die in zwei verschiedenen Azure-Taste Depots befinden. Stellen Sie sicher, dass diese Tasten in zwei separaten Azure Regionen für die Geo-Redundanz befinden.

Gehen Sie folgendermaßen vor, um die Datenausführungsverhinderung zu erstellen:

  1. Auf Ihrem lokalen Computer mithilfe einer geschäftlichen oder schulnotizbücher-Konto, die Berechtigungen globaler Administrator in Ihrer Organisation Office 365 Verbinden mit Exchange Online PowerShell , indem Sie Windows PowerShell öffnen und den folgenden Befehl ausführen enthält.

    $UserCredential = Get-Credential
  2. Klicken Sie im Dialogfeld Windows PowerShell Anmeldeinformationen anfordern Geben Sie Ihre Arbeit oder Schule Kontoinformationen, klicken Sie auf OK, und geben Sie dann den folgenden Befehl aus.

    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
  3. Führen Sie den folgenden Befehl aus.

    Import-PSSession $Session
  4. Verwenden Sie zum Erstellen einer DEP des Cmdlets New-DataEncryptionPolicy durch Eingeben von den folgenden Befehl ein.

    New-DataEncryptionPolicy -Name <PolicyName> -Description "PolicyDescription" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>

    Dabei gilt:

    • PolicyName ist der Name, den Sie für die Richtlinie verwenden möchten. Dürfen enthalten keine Leerzeichen. Beispielsweise USA_mailboxes.

    • PolicyDescription ist eine Beschreibung der Richtlinie, mit die Hilfe Sie daran erinnert, was für die Richtlinie ist. Sie können in der Beschreibung Leerzeichen enthalten. Beispielsweise Root Schlüssel für Postfächer in den USA und deren Gebiete aus.

    • KeyVaultURI1 ist der URI für die erste Taste in der Richtlinie. Beispielsweise https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.

      KeyVaultURI2 ist der URI für den zweiten Schlüssel in die Richtlinie an. Beispielsweise https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02. Trennen Sie die beiden URIs durch ein Komma und ein Leerzeichen ein.

Beispiel:

New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02

Zuweisen einer DEP an ein Postfach

Zuweisen der Datenausführungsverhinderung an ein Postfach mithilfe des Cmdlets Set-Postfach an. Nachdem Sie die Richtlinie zuweisen, kann Office 365 das Postfach mit dem Schlüssel in der Datenausführungsverhinderung gekennzeichnet verschlüsseln.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

Wobei MailboxIdParameter ein Postfach angibt. Weitere Informationen zu des Cmdlets Set-Postfach finden Sie unter Postfach festlegen.

Überprüfen Sie die Postfach-Verschlüsselung

Verschlüsseln von ein Postfach kann eine Weile dauern. Für die Richtlinie erstmalige Zuordnung muss das Postfach auch führen verschieben aus einer Datenbank in ein anderes vor dem Dienst das Postfach verschlüsseln kann.

Es empfiehlt sich, dass Sie 72 Stunden warten, bevor Sie versuchen, die Verschlüsselung zu überprüfen, nachdem Sie eine DEP ändern oder beim ersten Verwenden Sie eine DEP an ein Postfach zuweisen.

Verwenden Sie das Cmdlet "Get-MailboxStatistics", um festzustellen, ob ein Postfach verschlüsselt ist.

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

Die Eigenschaft IsEncrypted gibt den Wert true, Wenn das Postfach verschlüsselt ist und der Wert false, wenn das Postfach nicht verschlüsselt ist.

Die Zeit für das Verschieben von Postfächern hängt davon ab, die Anzahl der Postfächer, die Sie eine DEP zum ersten Mal zuweisen, als auch die Größe der Postfächer. Wenn die Postfächer nicht nach einer Woche ab dem Zeitpunkt, die Ihnen die Datenausführungsverhinderung zugewiesen verschlüsselt sind, rufen Sie das Verschieben eines Postfachs für die unverschlüsselter Postfächer mithilfe des Cmdlets New-MoveRequest.

New-MoveRequest <mailbox alias>

Office 365: Einrichten von Kundenschlüssel für SharePoint Online und OneDrive for Business

Bevor Sie beginnen, stellen Sie sicher, dass Sie die erforderlichen Aufgaben zum Einrichten von Azure-Taste Tresor durchgeführt wurden. Informationen finden Sie unter vollständige Aufgaben in Azure Schlüssel Tresor und Microsoft der schnelle für Kunden-Taste .

Um Kundenschlüssel für SharePoint Online und OneDrive for Business einzurichten, müssen Sie diese Schritte durchführen, indem Sie Remote Verbindung mit SharePoint Online mit Windows PowerShell.

Erstellen einer Richtlinie für Daten-Verschlüsselung (DEP) für jede SharePoint Online und OneDrive für Business geo

Eine Datenausführungsverhinderung ist eine Reihe von Tasten Azure-Taste Tresor gehörende Kehrmatrix zugeordnet. Sie Anwenden einer DEP auf alle Ihre Daten in einem geografischen Standort, auch als eine Geo bezeichnet. Wenn Sie das Feature Multi-Geo von Office 365 (derzeit in der Vorschau) verwenden, können Sie eine DEP pro Geo erstellen. Wenn Sie nicht Multi-Geo verwenden, können Sie eine DEP für die Verwendung mit SharePoint Online und OneDrive for Business in Office 365 erstellen. Office 365 wird die Tasten in der Datenausführungsverhinderung identifiziert so verschlüsseln Sie die Daten in dieser Geo dann verwendet. Zum Erstellen der Datenausführungsverhinderung benötigen Sie die Schlüssel Tresor URIs, die Sie zuvor für Ihren Kunden. Weitere Informationen finden Sie in der besorgen Sie sich den URI für eine Azure Schlüssel Tresor-Taste .

Denken Sie daran! Beim Erstellen einer DEP, geben Sie zwei Tasten, die in zwei verschiedenen Azure-Taste Depots befinden. Stellen Sie sicher, dass diese Tasten in zwei separaten Azure Regionen für die Geo-Redundanz befinden.

Um eine DEP erstellen zu können, müssen Sie Remote SharePoint Online-Verbindung mithilfe von Windows PowerShell.

  1. Auf Ihrem lokalen Computer mithilfe einer geschäftlichen oder schulnotizbücher-Konto, die Berechtigungen globaler Administrator in Ihrer Organisation Office 365 Verbinden mit SharePoint Online-Powershellenthält.

  2. Führen Sie in der Microsoft SharePoint Online-Verwaltungsshell das Cmdlet Register-SPODataEncryptionPolicy wie folgt aus:

    Register-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>

    Wenn Sie die Datenausführungsverhinderung registrieren, beginnt die Verschlüsselung auf der Registerkarte Daten in der Geo. Dies kann eine Weile dauern.

Überprüfen Sie die Verschlüsselung der Gruppe Websites, Teamwebsites und OneDrive for Business

Sie können auf den Status der Verschlüsselung überprüfen, indem Sie das Cmdlet "Get-SPODataEncryptionPolicy" wie folgt ausführen:

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

Dieses Cmdlet die Ausgabe umfasst:

  • Der URI des Primärschlüssels.

  • Der URI des sekundären Schlüssel.

  • Der Verschlüsselungsstatus für die Geo. Mögliche Zustände umfassen:

    • Nicht aufgehoben: Verschlüsselung mit Schlüssel wurden noch nicht angewendet.

    • Registrieren: Verschlüsselung mit Schlüssel zugewiesen wurde, und Ihre Dateien gerade verschlüsselt werden. Wenn Ihre Geo in diesem Zustand befindet, werden Sie auch angezeigt werden Informationen auf den prozentualen Anteil der Websites in der Geo abgeschlossen sind, damit Sie Verschlüsselung Fortschritt überwachen können.

    • Registriert: Verschlüsselung mit Schlüssel zugewiesen wurde, und alle Dateien an allen Standorten verschlüsselt wurden.

    • Parallelen: Ein Key Rollup wird ausgeführt. Wenn Ihre Geo in diesem Zustand befindet, werden Sie auch angezeigt werden Informationen auf den prozentualen Anteil der Websites den wichtigsten rollupzeilen Vorgang abgeschlossen haben, so, dass Sie den Fortschritt überwachen können.

Verwalten von Kunden Key für Office 365

Nachdem Sie Kunden Key für Office 365 eingerichtet haben, können Sie diese zusätzlichen Verwaltungsaufgaben ausführen.

Wiederherstellen der Azure-Taste Tresor Tasten

Verwenden Sie vor dem Durchführen einer Wiederherstellung, der Wiederherstellungsfunktionen von weiche löschen aus. Mit Kundenschlüssel verwendet werden alle Schlüssel sind erforderlich, um weiche Löschen aktiviert haben. Weiche löschen verhält sich wie ein Papierkorb und Wiederherstellung bis zu 90 Tage lang, ohne dass wiederherstellen kann. Wiederherstellen sollten nur in extrem oder ungewöhnliche Umstände, beispielsweise die Taste oder Key Tresor verloren erforderlich sein. Wenn Sie einen Schlüssel für die Verwendung mit Kunden Key wiederherstellen müssen in Azure PowerShell, führen Sie das Wiederherstellen-AzureKeyVaultKey Cmdlet wie folgt:

Restore-AzureKeyVaultKey -VaultName <vaultname> -InputFile <filename>

Beispiel:

Restore-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Wenn Sie ein Schlüssel mit demselben Namen in der wichtigsten Tresor bereits vorhanden ist, tritt bei der Wiederherstellung. Wiederherstellen-AzureKeyVaultKey stellt alle wichtigen Versionen und alle Metadaten für den Schlüssel, einschließlich der Name des Schlüssels.

Zurücksetzen oder drehen einen Schlüssel in Azure-Taste Tresor, die Sie mit Kundenschlüssel verwenden

Paralleles Schlüssel ist nicht erforderlich, durch entweder Azure-Taste Tresor oder Kundenschlüssel. Darüber hinaus stehen die Tasten, die mit einer HSM geschützt sind praktisch unmöglich manipulieren. Auch wenn ein Stammschlüssel wurden im Besitz eines bösartiger Akteur gibt es keine soweit möglich Möglichkeit nutzen können, zu Daten nicht entschlüsseln, da nur Office 365-Code zur gemeinsamen Nutzung weiß. Paralleles einen Schlüssel ist jedoch von Kundenschlüssel unterstützt.

Warnung: 

  • Nur für einen Schlüssel, den bei ein deaktivieren technischer Grund vorhanden ist oder eine Compliance-Anforderung schreibt vor, Sie die Taste einsatzbereit müssen mit Kundenschlüssel verwendet wird. Löschen Sie darüber hinaus keine Schlüssel, die sind oder Richtlinien zugeordnet wurden. Wenn Sie die Tasten, die vorhanden wird einsatzbereit verschlüsselt werden Inhalte mit den vorherigen Schlüsseln. Beispielsweise während der aktiven Postfächer häufig, inaktive erneut verschlüsselt werden werden, möglicherweise getrennt und deaktivierten Postfächer weiterhin mit den vorherigen Schlüsseln verschlüsselt werden. SharePoint Online ausführt, sodass es möglicherweise weiterhin archivierten Inhalte mit ältere Schlüssel Sicherung von Inhalten aus Gründen der Wiederherstellung.

  • Um die Sicherheit Ihrer Daten zu gewährleisten, SharePoint Online nicht mehr als eine Taste einsatzbereit Vorgang nacheinander durchgeführt werden können. Wenn Sie beide Schlüssel in einem Key Tresor zurücksetzen möchten, müssen Sie warten, bis der erste Key rollupzeilen Vorgang vollständig abgeschlossen. Unsere wird empfohlen Ihrer Key Rollup-Vorgänge in verschiedenen Intervallen staffeln, dass es sich nicht um ein Problem handelt.

Wenn Sie einen Schlüssel wiederherstellen, werden Sie eine neue Version eines vorhandenen Schlüssels anfordern. Um eine neue Version eines vorhandenen Schlüssels anfordern, verwenden Sie mit dem gleiche-Cmdlet AzureKeyVaultKey hinzufügen, mit der gleichen Syntax, mit dem Sie die Taste im ersten Schritt erstellen.

Beispiel:

Add-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @(‘wrapKey’,’unwrapKey’) -NotBefore (Get-Date -Date “12/27/2016 12:01 AM”)

In diesem Beispiel da im Tresor Contoso-O365EX-NV-VaultA1, ein Schlüssel mit dem Namen Contoso-O365EX-NV-VaultA1-Key001 bereits vorhanden ist wird eine neue Key-Version erstellt. Der Vorgang fügt eine neue Version des Key hinzu. Dieser Vorgang behält die wichtigsten früheren Versionen im Versionsverlauf des Schlüssels, damit zuvor mit diesem Schlüssel verschlüsselten Daten weiterhin entschlüsselt werden können. Nachdem Sie alle verknüpften Schlüssel mit einem DEP parallelen abgeschlossen haben, müssen Sie dann eine zusätzliche Cmdlet, um sicherzustellen, dass Kundenschlüssel beginnt mit dem neuen Schlüssel ausführen.

Aktivieren Sie einen neuen Product Key zu verwenden, nachdem Sie Tasten in Azure-Taste Tresor drehen oder einsatzbereit Exchange Online und Skype für Unternehmen

Wenn Sie eine einsatzbereit der Azure-Taste Tresor eine DEP zugeordnet TAB-mit Exchange Online und Skype für Unternehmen, müssen Sie zum Aktualisieren der Datenausführungsverhinderung und Aktivieren von Office 365 zu starten, mit dem neuen Schlüssel den folgenden Befehl ausführen.

Um Kunden-Taste, um den neuen Product Key zu verwenden, um verschlüsseln anweisen führen Postfächer in Office 365 das Cmdlet "Set-DataEncryptionPolicy" wie folgt aus:

Set-DataEncryptionPolicy <policyname> -Refresh 

Innerhalb von 48 Stunden werden die aktive Postfächer mit dieser Richtlinie verschlüsselt den aktualisierten Schlüssel zugeordnet werden. Gehen Sie vor in Ermitteln der Datenausführungsverhinderung zugewiesen an ein Postfach , um den Wert für die Eigenschaft DataEncryptionPolicyID für das Postfach zu überprüfen. Der Wert für diese Eigenschaft wird geändert, sobald die aktualisierte Taste angewendet wurde.

Aktivieren Sie einen neuen Product Key zu verwenden, nachdem Sie Tasten in Azure-Taste Tresor drehen oder einsatzbereit SharePoint Online und OneDrive for Business

Wenn Sie entweder von einsatzbereit der Azure-Taste Tresor eine DEP zugeordnet TAB-mit SharePoint Online und OneDrive for Business verwenden, müssen Sie das Cmdlet Update-SPODataEncryptionPolicy zum Aktualisieren der Datenausführungsverhinderung und Aktivieren von Office 365 verwenden den neuen Schlüssel ausführen.

Update-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

Dadurch wird den Vorgang Key Rollen für SharePoint Online und OneDrive for Business gestartet. Diese Aktion ist nicht sofort. Um den Fortschritt des Schlüssels Vorgang einsatzbereit angezeigt wird, führen Sie das Cmdlet "Get-SPODataEncryptionPolicy" wie folgt aus:

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

Verwalten von Key Tresor Berechtigungen

Mehrere Cmdlets stehen zur Verfügung, mit denen Sie zum Anzeigen und, falls erforderlich, entfernen Key Tresor Berechtigungen. Möglicherweise müssen die Berechtigungen, beispielsweise zu entfernen, wenn ein Mitarbeiter das Team verlässt.

Um die wichtigsten Tresor Berechtigungen anzeigen möchten, führen Sie das Cmdlet "Get-AzureRmKeyVault":

Get-AzureRmKeyVault -VaultName <vaultname>

Beispiel:

Get-AzureRmKeyVault -VaultName Contoso-O365EX-NA-VaultA1

Führen Sie zum Entfernen eines Administrators Berechtigungen das Entfernen-AzureRmKeyVaultAccessPolicy-Cmdlet aus:

Remove-AzureRmKeyVaultAccessPolicy -VaultName <vaultname> 
-UserPrincipalName <UPN of user>

Beispiel:

Remove-AzureRmKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
-UserPrincipalName alice@contoso.com

Ermitteln der Datenausführungsverhinderung zugewiesen an ein Postfach

Verwenden Sie zum Bestimmen der Datenausführungsverhinderung zugewiesen an ein Postfach das Cmdlet "Get-MailboxStatistics" ein. Das Cmdlet gibt einen eindeutigen Bezeichner (GUID).

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID

Wobei GeneralMailboxOrMailUserIdParameter ein Postfach angibt. Finden Sie weitere Informationen über das Cmdlet "Get-MailboxStatistics" Get-MailboxStatisticsaus.

Verwenden Sie die GUID, um herauszufinden, der Anzeigename, der die Datenausführungsverhinderung, denen das Postfach zugeordnet ist, indem Sie das folgende Cmdlet ausführen.

Get-DataEncryptionPolicy <GUID>

Dabei ist GUID die GUID zurückgegeben werden, indem Sie das Cmdlet "Get-MailboxStatistics" im vorherigen Schritt.

Ihre Office-Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×