Einrichten des Kunden SchlüsselsSet up Customer Key

Mit dem Kundenschlüssel können Sie die Verschlüsselungsschlüssel Ihrer Organisation steuern und dann Microsoft 365 so konfigurieren, dass Sie Sie zum Verschlüsseln von Daten im Ruhezustand in Microsoft-Rechenzentren verwenden.With Customer Key, you control your organization's encryption keys and then configure Microsoft 365 to use them to encrypt your data at rest in Microsoft's data centers. Mit anderen Worten: Customer Key ermöglicht es Kunden, mit ihren Schlüsseln eine Verschlüsselungsebene hinzuzufügen, die Ihnen gehört.In other words, Customer Key allows customers to add a layer of encryption that belongs to them, with their keys. Zu den Daten im Ruhezustand gehören Daten aus Exchange Online und Skype for Business, die in SharePoint Online und OneDrive for Business in Postfächern und Dateien gespeichert sind.Data at rest includes data from Exchange Online and Skype for Business that is stored in mailboxes and files that are stored in SharePoint Online and OneDrive for Business.

Sie müssen Azure einrichten, bevor Sie Customer Key für Office 365 verwenden können.You must set up Azure before you can use Customer Key for Office 365. In diesem themenbezogenen Artikel werden die Schritte beschrieben, die Sie ausführen müssen, um die erforderlichen Azure-Ressourcen zu erstellen und zu konfigurieren, und danach auch die Schritte zum Einrichten von Customer Key in Office 365.This topic describes the steps you need to follow to create and configure the required Azure resources and then provides the steps for setting up Customer Key in Office 365. Nachdem Sie das Azure-Setup abgeschlossen haben, legen Sie fest, welche Richtlinie und somit auch, welche Schlüssel den Postfächern und Dateien in Ihrer Organisation zugewiesen werden sollen.After you have completed Azure setup, you determine which policy, and therefore, which keys, to assign to mailboxes and files in your organization. Für Postfächer und Dateien, denen Sie keine Richtlinie zuweisen, werden Verschlüsselungsrichtlinien verwendet, die von Microsoft gesteuert und verwaltet werden.Mailboxes and files for which you don't assign a policy will use encryption policies that are controlled and managed by Microsoft. Weitere Informationen zum Kundenschlüssel oder eine allgemeine Übersicht finden Sie unter Dienst Verschlüsselung mit Kundenschlüssel in Office 365.For more information about Customer Key, or for a general overview, see Service encryption with Customer Key in Office 365.

Wichtig

Es wird dringend empfohlen, die in diesem Artikel vorgestellten, bewährten Methoden zu befolgen.We strongly recommend that you follow the best practices in this topic. Diese werden sind als TIPP und WICHTIG bezeichnet.These are called out as TIP and IMPORTANT. Customer Key ermöglicht Ihnen die Kontrolle über die grundlegenden kryptografischen Schlüssel, deren Geltungsbereich so groß wie Ihre gesamte Organisation sein kann.Customer Key gives you control over root encryption keys whose scope can be as large as your entire organization. Dies bedeutet, dass Fehler im Zusammenhang mit diesen Schlüsseln einen großen Einfluss haben und zu Dienstunterbrechungen oder unwiderruflichen Datenverlusten führen können.This means that mistakes made with these keys can have a broad impact and may result in service interruptions or irrevocable loss of your data.

Vor dem Einrichten des Kunden SchlüsselsBefore you set up Customer Key

Stellen Sie vor dem ersten Start sicher, dass Sie über die entsprechende Lizenzierung für Ihre Organisation verfügen.Before you get started, ensure that you have the appropriate licensing for your organization. Ab dem 1. April 2020 wird der Kundenschlüssel in Office 365 in Office 365 E5, M365 E5, M365 E5 Compliance und M365 E5 Information Protection & Governance-SKUs angeboten.Starting April 1, 2020, Customer Key in Office 365 is offered in Office 365 E5, M365 E5, M365 E5 Compliance, and M365 E5 Information Protection & Governance SKUs. Office 365 Advanced Compliance SKU steht nicht mehr für die Beschaffung neuer Lizenzen zur Verfügung.Office 365 Advanced Compliance SKU is no longer available for procuring new licenses. Vorhandene Office 365 Advanced Compliance-Lizenzen werden weiterhin unterstützt.Existing Office 365 Advanced Compliance licenses will continue to be supported.

Bevor Sie beginnen, stellen Sie sicher, dass Sie über die entsprechende Lizenzierung für Ihre Organisation verfügen und dass Ihr Konto in Rechnung gestellt und nicht mit einer Kreditkarte bezahlt wird.Before you get started, ensure that you have the appropriate licensing for your organization and that your account is invoiced and not paid for with a credit card. Um die Konzepte und Verfahren in diesem Thema zu verstehen, lesen Sie die Azure Key Vault -Dokumentation.To understand the concepts and procedures in this topic, review the Azure Key Vault documentation. Machen Sie sich außerdem mit den in Azure verwendeten Ausdrücken vertraut, beispielsweise Azure AD Mandanten.Also, become familiar with the terms used in Azure, for example, Azure AD tenant.

Der kurzstand wird nur zum Erfassen der erforderlichen Mandanten-und Dienstkonfigurationsinformationen verwendet, die für die Registrierung für den Kundenschlüssel verwendet werden.FastTrack is only used to collect the required tenant and service configuration information used to register for Customer Key. Die Kundenschlüssel Angebote werden über die Kurzarbeits Veröffentlichung veröffentlicht, sodass Sie und unsere Partner die erforderlichen Informationen bequem mit derselben Methode übermitteln können.The Customer Key Offers are published via FastTrack so that it is convenient for you and our partners to submit the required information using the same method. Mit dem schnelleren Archivieren von Daten, die Sie im Angebot bereitgestellt haben, können Sie auch einfach archivieren.FastTrack also makes it easy to archive the data that you provide in the Offer.

Wenn Sie weitere Unterstützung über die Dokumentation hinaus benötigen, wenden Sie sich an Microsoft Consulting Services (MCS), Premier Field Engineering (pfe) oder an einen Microsoft-Partner, um Hilfe zu erhalten.If you need additional support beyond the documentation, contact Microsoft Consulting Services (MCS), Premier Field Engineering (PFE), or a Microsoft partner for assistance. Um Feedback zum Kundenschlüssel bereitzustellen, einschließlich der Dokumentation, senden Sie Ihre Ideen, Vorschläge und Perspektiven an customerkeyfeedback@Microsoft.com.To provide feedback on Customer Key, including the documentation, send your ideas, suggestions, and perspectives to customerkeyfeedback@microsoft.com.

Übersicht über die Schritte zum Einrichten des Kunden SchlüsselsOverview of steps to set up Customer Key

Um den Kundenschlüssel einzurichten, führen Sie diese Aufgaben in der angegebenen Reihenfolge aus.To set up Customer Key, complete these tasks in the listed order. Der Rest dieses Artikels enthält detaillierte Anweisungen zu den einzelnen Aufgaben oder Links zu weiteren Informationen zu den einzelnen Schritten des Prozesses.The rest of this article provides detailed instructions for each task, or links out to more information for each step in the process.

In Azure und Microsoft FastTrack:In Azure and Microsoft FastTrack:

Für die Durchführung der meisten dieser Schritte müssen Sie eine Remoteverbindung mit Azure PowerShell herstellen.You will complete most of these tasks by remotely connecting to Azure PowerShell. Um optimale Ergebnisse zu erzielen, sollten Sie Version 4.4.0 oder höher von Azure PowerShell verwenden.For best results, use version 4.4.0 or later of Azure PowerShell.

Nachdem Sie die beiden neuen Azure-Abonnements erstellt haben, müssen Sie die entsprechende Anforderung für das Customer Key-Angebot übermitteln, indem Sie ein Webformular ausfüllen, das im Microsoft FastTrack-Portal gehostet wird.Once you've created the two new Azure subscriptions, you'll need to submit the appropriate Customer Key offer request by completing a web form that is hosted in the Microsoft FastTrack portal. Das FastTrack-Team bitte keine Unterstützung für Customer Key. Office nutzt das FastTrack-Portal einfach für die Übermittlung des Formulars und um uns dabei zu helfen, die relevanten Angebote für Customer Key nachzuverfolgen.The FastTrack team doesn't provide assistance with Customer Key. Office simply uses the FastTrack portal to allow you to submit the form and to help us track the relevant offers for Customer Key.

In Office 365:In Office 365:

Exchange Online und Skype for Business:Exchange Online and Skype for Business:

SharePoint Online und OneDrive for Business:SharePoint Online and OneDrive for Business:

Erledigen von Aufgaben in Azure Key Vault und Microsoft FastTrack für Customer KeyComplete tasks in Azure Key Vault and Microsoft FastTrack for Customer Key

Führen Sie diese Aufgaben in Azure Key Vault aus.Complete these tasks in Azure Key Vault. Sie müssen diese Schritte ausführen, unabhängig davon, ob Sie den Kundenschlüssel für Exchange Online und Skype for Business oder für SharePoint Online-, OneDrive für Unternehmen-und Microsoft Teams-Dateien oder für alle unterstützten Dienste in Office 365 einrichten möchten.You'll need to complete these steps regardless of whether you intend to set up Customer Key for Exchange Online and Skype for Business or for SharePoint Online, OneDrive for Business, and Teams files, or for all supported services in Office 365.

Zwei neue Azure-Abonnements erstellenCreate two new Azure subscriptions

Kundenschlüssel erfordert zwei Azure-Abonnements.Customer Key requires two Azure subscriptions. Als bewährte Methode empfiehlt Microsoft, neue Azure-Abonnements für die Verwendung mit Customer Key zu erstellen.As a best practice, Microsoft recommends that you create new Azure subscriptions for use with Customer Key. Azure Key-Tresorschlüssel können nur für Anwendungen in demselben Azure-Active Directory (Microsoft Azure Active Directory)-Mandanten autorisiert werden, Sie müssen die neuen Abonnements mit dem gleichen Azure AD Mandanten erstellen, der in Ihrer Organisation verwendet wird, in der die DEPs zugewiesen wird.Azure Key Vault keys can only be authorized for applications in the same Azure Active Directory (Microsoft Azure Active Directory) tenant, you must create the new subscriptions using the same Azure AD tenant used with your organization where the DEPs will be assigned. Verwenden Sie beispielsweise Ihr Arbeits-oder Schulkonto, das über globale Administratorrechte in Ihrer Organisation verfügt.For example, using your work or school account that has global administrator privileges in your organization. Weitere Informationen zu den einzelnen Arbeitsschritten finden Sie unter Als Unternehmen für Azure registrieren.For detailed steps, see Sign up for Azure as an organization.

Wichtig

Für Customer Key sind zwei Schlüssel für jede Daten- Verschlüsselungsrichtlinie (DEP) erforderlich.Customer Key requires two keys for each data encryption policy (DEP). Zu diesem Zweck müssen Sie zwei Azure-Abonnements erstellen.In order to achieve this, you must create two Azure subscriptions. Als bewährte Methode empfiehlt Microsoft, dass separate Mitglieder Ihrer Organisation jeweils einen Schlüssel für jedes Abonnement konfigurieren.As a best practice, Microsoft recommends that you have separate members of your organization configure one key in each subscription. Darüber hinaus sollten diese Azure-Abonnements nur zum Verwalten von kryptografischen Schlüsseln für Office 365 verwendet werden.In addition, these Azure subscriptions should only be used to administer encryption keys for Office 365. Auf diese Weise ist Ihre Organisation geschützt, falls einer ihrer Betreiber versehentlich, absichtlich oder in böswilliger Absicht die Schlüssel, für die Sie verantwortlich sind, löscht oder auf andere Weise unsachgemäß handhabt.This protects your organization in case one of your operators accidentally, intentionally, or maliciously deletes or otherwise mismanages the keys for which they are responsible.

Es wird empfohlen, dass Sie neue Azure-Abonnements einrichten, die ausschließlich zum Verwalten von Azure Key Vault-Ressourcen für die Verwendung mit Customer Key genutzt werden.We recommend that you set up new Azure subscriptions that are solely used for managing Azure Key Vault resources for use with Customer Key. Es gibt praktisch keine Beschränkung hinsichtlich der Anzahl von Azure-Abonnements, die Sie für Ihre Organisation erstellen können.There is no practical limit to the number of Azure subscriptions that you can create for your organization. Durch die Nutzung dieser bewährten Methoden können Sie die Auswirkungen von menschlichen Fehlern bei der Verwaltung der von Customer Key genutzten Ressourcen minimieren.Following these best practices will minimize the impact of human error while helping to manage the resources used by Customer Key.

Senden einer Anforderung zum Aktivieren von Customer Key für Office 365Submit a request to activate Customer Key for Office 365

Sobald Sie die Azure-Schritte abgeschlossen haben, müssen Sie im Microsoft FastTrack-Portal eine Angebotsanfrage übermitteln.Once you've completed the Azure steps, you'll need to submit an offer request in the Microsoft FastTrack portal. Sobald Sie eine Anforderung über das FastTrack-Web-Portal übermittelt haben, überprüft Microsoft die von Ihnen bereitgestellten Konfigurationsdaten für den Azure Key Vault und die Kontaktinformationen.Once you have submitted a request through the FastTrack web portal, Microsoft verifies the Azure Key Vault configuration data and contact information you provided. Die von Ihnen im Angebotsformular hinsichtlich der autorisierten Mitarbeiter Ihrer Organisation getroffene Auswahl ist wesentlich und für das Abschließen der Registrierung von Customer Key erforderlich.The selections that you make in the offer form regarding the authorized officers of your organization is critical and necessary for completion of Customer Key registration. Die Führungskräfte Ihrer Organisation, die Sie im Formular auswählen, werden genutzt, um die Authentizität jeder Anforderung zum Widerrufen und Löschen aller Schlüssel verwendet wird, die mit einer Customer Key Datenverschlüsselungsrichtlinie verwendet werden, sicherzustellen.The officers of your organization that you select in the form will be the used to ensure the authenticity of any request to revoke and destroy all keys used with a Customer Key data encryption policy. Sie müssen diesen Schritt einmal ausführen, um Customer Key für Exchange Online und Skype for Business zu aktivieren, und ein zweites Mal, um Customer Key für SharePoint Online und OneDrive for Business zu aktivieren.You'll need to do this step once to activate Customer Key for Exchange Online and Skype for Business coverage and a second time to activate Customer Key for SharePoint Online and OneDrive for Business.

Führen Sie zur Übermittlung eines Angebots zum Aktivieren von Customer Key die folgenden Schritte aus:To submit an offer to activate Customer Key, complete these steps:

  1. Melden Sie sich mit einem Arbeits-oder Schulkonto, das über globale Administratorberechtigungen in Ihrer Organisation verfügt, beim Microsoft-Portalan.Using a work or school account that has global administrator permissions in your organization, log in to the Microsoft FastTrack portal.

  2. Sobald Sie angemeldet sind, wechseln Sie zum Dashboard.Once you're logged in, browse to the Dashboard.

  3. Wählen Sie Bereitstellen in der Navigationsleiste aus, oder wählen Sie alle Bereitstellungsressourcen anzeigen auf der Seite Informationskarte Bereitstellen aus, und überprüfen Sie die Liste der aktuellen Angebote.Choose Deploy from the navigation bar OR select View all deployment resources on the Deploy information card, and review the list of current offers.

  4. Wählen Sie die Informationskarte für das Angebot aus, das für Sie gilt:Choose the information card for the offer that applies to you:

    • Exchange Online und Skype for Business: Wählen Sie die Hilfe zum Verschlüsselungsschlüssel anfordern für das Exchange Online- Angebot aus.Exchange Online and Skype for Business: Choose the Request encryption key help for Exchange online offer.

    • SharePoint Online-, OneDrive-und Microsoft Teams-Dateien: Wählen Sie die Hilfe zur Verschlüsselungsschlüssel Anforderung für SharePoint und OneDrive- Angebot aus.SharePoint Online, OneDrive, and Teams files: Choose the Request encryption key help for Sharepoint and OneDrive offer.

  5. Nachdem Sie die Angebotsdetails überprüft haben, wählen Sie weiter mit Schritt 2 aus.Once you've reviewed the offer details, choose Continue to step 2.

  6. Tragen Sie alle relevanten Details und erforderlichen Informationen im Angebotsformular ein.Fill out all applicable details and requested information on the offer form. Achten Sie besonders auf Ihre Auswahl, welche MitarbeiterInnen Ihrer Organisation Sie autorisieren, die permanente und unwiderrufliche Vernichtung von kryptografischen Schlüsseln und Daten zu genehmigen.Pay particular attention to your selections for which officers of your organization you want to authorize to approve the permanent and irreversible destruction of encryption keys and data. Sobald Sie das Formular ausgefüllt haben, wählen Sie Senden.Once you've completed the form, choose Submit.

Azure- Abonnements registrieren, um einen obligatorischen Aufbewahrungszeitraum zu nutzen.Register Azure subscriptions to use a mandatory retention period

Der vorübergehende oder dauerhafte Verlust von kryptografischen Schlüsseln kann für den Betrieb eines Dienstes sehr störend oder sogar katastrophal sein und zu Datenverlust führen.The temporary or permanent loss of root encryption keys can be very disruptive or even catastrophic to service operation and can result in data loss. Aus diesem Grund ist für die mit Customer Key verwendeten Ressourcen ein starker Schutz erforderlich.For this reason, the resources used with Customer Key require strong protection. Alle Azure-Ressourcen, die mit Customer Key verwendet werden, bieten Schutzmechanismen, die weit über die Standardkonfiguration hinaus gehen.All the Azure resources that are used with Customer Key offer protection mechanisms beyond the default configuration. Azure-Abonnements können derart gekennzeichnet oder registriert werden, dass eine sofortige und unwiderrufliche Kündigung vermieden wird.Azure subscriptions can be tagged or registered in a way that will prevent immediate and irrevocable cancellation. Dies wird als Registrierung eines obligatorischen Aufbewahrungszeitraums bezeichnet.This is referred to as registering for a mandatory retention period. Die erforderlichen Schritte zum Registrieren von Azure-Abonnements für einen obligatorischen Aufbewahrungszeitraum erfordern die Zusammenarbeit mit dem Microsoft 365-Team.The steps required to register Azure subscriptions for a mandatory retention period require collaboration with the Microsoft 365 team. Die Registrierung kann ab einen bis fünf Arbeitstage dauern.This process can take from one to five business days. Bisher wurde diese Funktion zeitweise als „Nicht kündigen" bezeichnet.Previously, this was sometimes referred to as "Do Not Cancel".

Bevor Sie sich an das Microsoft 365-Team wenden, müssen Sie für jedes Azure-Abonnement, das Sie mit dem Kundenschlüssel verwenden, die folgenden Schritte ausführen.Before contacting the Microsoft 365 team, you must perform the following steps for each Azure subscription that you use with Customer Key. Stellen Sie sicher, dass das Azure PowerShell AZ -Modul installiert ist, bevor Sie beginnen.Ensure that you have the Azure PowerShell Az module installed before you start.

  1. Melden Sie sich mit Azure PowerShell an.Sign in with Azure PowerShell. Anweisungen finden Sie unter Anmelden mit Azure PowerShell.For instructions, see Sign in with Azure PowerShell.

  2. Führen Sie das Register-AzProviderFeature-Cmdlet aus, um Ihre Abonnements für die Verwendung eines obligatorischen Aufbewahrungszeitraums zu registrieren.Run the Register-AzProviderFeature cmdlet to register your subscriptions to use a mandatory retention period. Führen Sie diese Aktion für jedes Abonnement aus.Perform this action for each subscription.

    Set-AzContext -SubscriptionId <SubscriptionId>
    Register-AzProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources
    
  3. Wenden Sie sich an Microsoft, damit der Prozess abgeschlossen wird.Contact Microsoft to have the process finalized. Um mit dem SharePoint- und OneDrive for Business-Team in Verbindung zu treten, wenden Sie sich bitte an spock@microsoft.com.For the SharePoint and OneDrive for Business team, contact spock@microsoft.com. Für Exchange Online und Skype for Business wenden Sie sich bitte an exock@microsoft.com.For Exchange Online and Skype for Business, contact exock@microsoft.com. Teilen Sie uns in Ihrem E-Mail bitte Folgendes mit:Include the following in your email:

    Betreff : Kundenschlüssel für <Your tenant's fully-qualified domain name>Subject : Customer Key for <Your tenant's fully-qualified domain name>

    Textkörper : Abonnements-IDs, für die Sie einen obligatorischen Aufbewahrungszeitraum verbindlich festlegen möchten.Body : Subscription IDs for which you want to have the mandatory retention period finalized. Die Ausgabe von Get-AzProviderFeature für jedes Abonnement.The output of Get-AzProviderFeature for each subscription.

    Die Service-Level-Vereinbarung (Service Level Agreement, SLA) für den Abschluss dieses Vorgangs beläuft sich auf fünf Werktage, nachdem Microsoft benachrichtigt wurde (und überprüft hat, dass Sie Ihre Abonnements für die Nutzung eines obligatorischen Aufbewahrungszeitraums registriert haben).The Service Level Agreement (SLA) for completion of this process is five business days once Microsoft has been notified (and verified) that you have registered your subscriptions to use a mandatory retention period.

  4. Nachdem Sie eine Benachrichtigung von Microsoft erhalten haben, dass die Registrierung abgeschlossen ist, überprüfen Sie den Status Ihrer Registrierung, indem Sie den Befehl Get-AzProviderFeature wie folgt ausführen.Once you receive notification from Microsoft that registration is complete, verify the status of your registration by running the Get-AzProviderFeature command as follows. Wenn der Befehl Get-AzProviderFeature überprüft wird, wird der Wert von registered für die Eigenschaft Registrierungsstatus zurückgegeben.If verified, the Get-AzProviderFeature command returns a value of Registered for the Registration State property. Führen Sie diese Aktion für jedes Abonnement aus.Perform this action for each subscription.

    Set-AzContext -SubscriptionId <SubscriptionId>
    Get-AzProviderFeature -ProviderNamespace Microsoft.Resources -FeatureName mandatoryRetentionPeriodEnabled
    
  5. Führen Sie den Befehl Register-AzResourceProvider aus, um den Vorgang abzuschließen.To complete the process, run the Register-AzResourceProvider command. Führen Sie diese Aktion für jedes Abonnement aus.Perform this action for each subscription.

    Set-AzContext -SubscriptionId <SubscriptionId>
    Register-AzResourceProvider -ProviderNamespace Microsoft.KeyVault
    

Erstellen eines Premium Azure Key Vault für jedes AbonnementCreate a premium Azure Key Vault in each subscription

Die Schritte zum Erstellen eines Schlüssel Tresors sind in "erste Schritte mit Azure Key Vault"dokumentiert, das Sie durch das Installieren und Ingangsetzen von Azure PowerShell, das Herstellen einer Verbindung mit Ihrem Azure-Abonnement, das Erstellen einer Ressourcengruppe und das Erstellen eines Schlüsseltresors in dieser Ressourcengruppe führt.The steps to create a key vault are documented in Getting Started with Azure Key Vault, which guides you through installing and launching Azure PowerShell, connecting to your Azure subscription, creating a resource group, and creating a key vault in that resource group.

Wenn Sie einen Schlüsseltresor erstellen, müssen Sie eine SKU auswählen: entweder Standard oder Premium.When you create a key vault, you must choose a SKU: either Standard or Premium. Die Standard-SKU ermöglicht das Schützen von Azure Key Vault-Schlüsseln mittels Software – es gibt keinen Schlüsselschutz mittels eines Hardware-Sicherheitsmoduls (HSM) – und die Premium-SKU ermöglicht die Verwendung von Hardware-Sicherheitsmodulen zum Schutz von Key-Vault-Schlüsseln.The Standard SKU allows Azure Key Vault keys to be protected with software - there is no Hardware Security Module (HSM) key protection - and the Premium SKU allows the use of HSMs for protection of Key Vault keys. Customer Key akzeptiert Schlüsseltresore mit jeder SKU, wobei Microsoft dringend empfiehlt, nur die Premium-SKU zu verwenden.Customer Key accepts key vaults that use either SKU, though Microsoft strongly recommends that you use only the Premium SKU. Die Betriebskosten mit Schlüsseln eines der beiden Typen sind identisch. Der einzige Unterschied bei den Kosten sind die monatlichen Kosten für jeden HSM-geschützten Schlüsseln.The cost of operations with keys of either type is the same, so the only difference in cost is the cost per month for each HSM-protected key. Detailinformationen finden Si unter Key Vault-Preise.See Key Vault pricing for details.

Wichtig

Verwenden Sie die Premium-SKU-Schlüsseltresore und HSM-geschützten Schlüssel für Produktionsdaten, und verwenden Sie nur standardmäßige SKU-Schlüsseltresore und Schlüssel für Tests und Überprüfungen.Use the Premium SKU key vaults and HSM-protected keys for production data, and only use Standard SKU key vaults and keys for testing and validation purposes.

Erstellen Sie für jeden Microsoft 365-Dienst, mit dem Sie den Kundenschlüssel verwenden, in jedem der beiden Azure-Abonnements, die Sie erstellt haben, einen schlüsseltresor.For each Microsoft 365 service with which you will use Customer Key, create a key vault in each of the two Azure subscriptions that you created. Beispielsweise erstellen Sie nur für Exchange Online und Skype for Business oder SharePoint Online und OneDrive for Business lediglich zwei Tresore.For example, for Exchange Online and Skype for Business only or SharePoint Online and OneDrive for Business only, you will create only one pair of vaults. Um Customer Key für Exchange Online und SharePoint Online zu aktivieren, erstellen Sie zwei Paar Schlüsseltresore.To enable Customer Key for both Exchange Online and SharePoint Online, you will create two pairs of key vaults.

Verwenden Sie eine Benennungskonvention für Schlüssel Tresore, die die vorgesehene Verwendung der Daten Verschlüsselungsrichtlinie wiedergibt, mit der Sie die Tresore verknüpfen.Use a naming convention for key vaults that reflects the intended use of the data encryption policy with which you will associate the vaults. Im nachstehenden Abschnitt „Bewährte Methoden“ finden Sie Empfehlungen zur Benennung.See the Best Practices section below for naming convention recommendations.

Erstellen Sie für jede Datenverschlüsselungsrichtlinie eine eigene, paarweise angeordnete Tresor-Gruppe.Create a separate, paired set of vaults for each data encryption policy. Bei Exchange Online wählen Sie den Geltungsbereich einer Datenverschlüsselungsrichtlinie, wenn Sie die Richtlinie dem Postfach zuweisen.For Exchange Online, the scope of a data encryption policy is chosen by you when you assign the policy to mailbox. Einem Postfach kann nur eine Richtlinie zugewiesen sein, allerding können Sie bis zu 50 Richtlinien erstellen.A mailbox can have only one policy assigned, and you can create up to fifty policies. Für SharePoint Online der Bereich einer Richtlinie alle Daten innerhalb einer Organisation an einem geografischen Standort oder Geo.For SharePoint Online the scope of a policy is all of the data within an organization in a geographic location, or geo.

Das Erstellen von Schlüsseltresoren setzt außerdem die Erstellung von Azure-Ressourcengruppen voraus, da für Schlüsseltresore Speicherkapazität (wenn auch sehr geringe) erforderlich ist und die Schlüsseltresor-Protokollierung (sofern aktiviert) außerdem gespeicherte Daten generiert.The creation of key vaults also requires the creation of Azure resource groups, since key vaults need storage capacity (though very small) and Key Vault logging, if enabled, also generates stored data. Als bewährte Methode empfiehlt Microsoft die Verwendung eigener Administratoren zum Verwalten jeder Ressourcengruppe, wobei die Verwaltung mit der Gruppe der Administratoren abgestimmt wird, die alle zugehörigen Customer Key-Ressourcen verwalten.As a best practice Microsoft recommends using separate administrators to manage each resource group, with the administration aligned with the set of administrators that will manage all related Customer Key resources.

Wichtig

Um die Verfügbarkeit zu maximieren, sollten sich Ihre Schlüssel Tresore in Regionen befinden, die sich in der Nähe Ihres Microsoft 365-Diensts befinden.To maximize availability, your key vaults should be in regions close to your Microsoft 365 service. Wenn sich beispielsweise Ihre Exchange Online-Organisation in Nordamerika befindet, sollten Sie Ihre Schlüsseldepots in Nordamerika platzieren.For example, if your Exchange Online organization is in North America, place your key vaults in North America. Wenn Ihre Exchange Online-Organisation in Europa ist, sollten Sie Ihre Schlüsseldepots in Europa platzieren.If your Exchange Online organization is in Europe, place your key vaults in Europe.

Verwenden Sie für die Benennung ein gemeinsames Präfix für Schlüsseltresore sowie eine Abkürzung für die Verwendung und den Umfang des Schlüsseltresors und der Schlüssel (so ist z. B. für den Contoso SharePoint-Dienst, in den sich die Tresore in Nordamerika befinden, ein mögliches Namenspaar „Contoso-O365SP-NV-VaultA1“ und „Contoso-O365SP-NV-VaultA2“.Use a common prefix for key vaults, and include an abbreviation of the use and scope of the key vault and keys (e.g., for the Contoso SharePoint service where the vaults will be located in North America, a possible pair of names is Contoso-O365SP-NA-VaultA1 and Contoso-O365SP-NA-VaultA2. In Azure sind Tresornamen global eindeutige Zeichenfolgen, daher müssen Sie möglicherweise Variationen Ihrer gewünschten Namen ausprobieren, falls die gewünschten Namen bereits von anderen Azure-Kunden beansprucht werden.Vault names are globally unique strings within Azure, so you may need to try variations of your desired names in case the desired names are already claimed by other Azure customers. Ab Juli 2017 können Tresornamen nicht mehr geändert werden, daher empfiehlt es sich, einen schriftlichen Setup-Plan zu erstellen und eine zweite Person zu beauftragen, die überprüft, ob der Plan ordnungsgemäß ausgeführt wird.As of July 2017 vault names cannot be changed, so a best practice is to have a written plan for setup and use a second person to verify the plan is executed correctly.

Erstellen Sie Ihre Depots nach Möglichkeit in nicht-gekoppelten Regionen.If possible, create your vaults in non-paired regions. Gekoppelte Azure-Regionen bieten eine hohe Verfügbarkeit über Dienstausfall-Domänen hinweg.Paired Azure regions provide high availability across service failure domains. Dementsprechend können regionale Paare gegenseitig als Backup-Region der jeweils anderen betrachtet werden.Therefore, regional pairs can be thought of as each other's backup region. Dies bedeutet, dass eine Azure-Ressource, die in einer bestimmten Region platziert ist, durch die gekoppelte Region automatisch an Fehlertoleranz gewinnt.This means that an Azure resource that is placed in one region is automatically gaining fault tolerance through the paired region. Aus diesem Grund bedeutet das Auswählen von Regionen für zwei Tresore, die in einer Daten Verschlüsselungsrichtlinie verwendet werden, in der die Regionen gekoppelt sind, dass nur insgesamt zwei Verfügbarkeits Regionen verwendet werden.For this reason, choosing regions for two vaults used in a data encryption policy where the regions are paired means that only a total of two regions of availability are in use. In den meisten geografischen Regionen gibt es nur zwei Regionen, weshalb es noch nicht möglich ist, nicht-gekoppelte Regionen auszuwählen.Most geographies only have two regions, so it's not yet possible to select non-paired regions. Wählen Sie nach Möglichkeit zwei nicht gepaarte Bereiche für die beiden Tresore aus, die mit einer Daten Verschlüsselungsrichtlinie verwendet werden.If possible, choose two non-paired regions for the two vaults used with a data encryption policy. Dies hat den positiven Effekt, dass insgesamt vier verfügbare Regionen genutzt werden.This benefits from a total of four regions of availability. Weitere Informationen hierzu sowie ein aktuelles Verzeichnis der Regionenpaare finden Sie unter Geschäftskontinuität und Notfallwiederherstellung (Business continuity and disaster recovery, BCDR): Gekoppelte Regionen in Azure.For more information, see Business continuity and disaster recovery (BCDR): Azure Paired Regions for a current list of regional pairs.

Zuweisen von Berechtigungen für jeden Schlüsseltresor (Key Vault)Assign permissions to each key vault

Sie müssen für jeden Schlüsseltresor entsprechend der von Ihnen gewählten Implementierung drei gesonderte Berechtigungsgruppen für Customer Key definieren.For each key vault, you will need to define three separate sets of permissions for Customer Key, depending on your implementation. Sie müssen beispielsweise eine Berechtigungsgruppe für jede der folgenden Optionen definieren:For example, you will need to define one set of permissions for each of the following:

  • Schlüsseltresor-Administratoren , deren Aufgabe das tägliche Verwalten Ihrer Schlüsseltresore für Ihre Organisation ist.Key vault administrators that will perform day-to-day management of your key vault for your organization. Zu diesen Aufgaben gehören Datensicherung sowie Erstellen, Abrufen, Importieren, Auflisten und Wiederherstellen.These tasks include backup, create, get, import, list, and restore.

    Wichtig

    Die Berechtigungsgruppe, die Schlüsseltresor-Administratoren zugewiesen ist, beinhaltet keine Berechtigung zum Löschen von Schlüsseln.The set of permissions assigned to key vault administrators does not include the permission to delete keys. Dies ist beabsichtigt und eine wichtige Vorgehensweise.This is intentional and an important practice. Kryptografische Schlüssel werden normalerweise nicht gelöscht, da dadurch Daten dauerhaft vernichtet werden.Deleting encryption keys is not typically done, since doing so permanently destroys data. Eine bewährte Methode besteht darin, den Schlüsseltresor-Administratoren diese Berechtigung nicht standardmäßig zuzuweisen.As a best practice, do not grant this permission to key vault administrators by default. Behalten Sie stattdessen diese Berechtigung den Schlüsseltresor-Mitwirkenden vor und weisen Sie diese einem Administrator nur kurzfristig und lediglich, sofern die damit verbundenen Folgen klar verstanden wurden, zu.Instead, reserve this for key vault contributors and only assign it to an administrator on a short term basis once a clear understanding of the consequences is understood.

    Um diese Berechtigungen einem Benutzer in Ihrer Organisation zuzuweisen, melden Sie sich bei Ihrem Azure-Abonnement mit Azure PowerShell an.To assign these permissions to a user in your organization, log in to your Azure subscription with Azure PowerShell. Anweisungen finden Sie unter Anmelden mit Azure PowerShell.For instructions, see Sign in with Azure PowerShell.

  • Führen Sie das Set-AzKeyVaultAccessPolicy-Cmdlet aus, um die erforderlichen Berechtigungen zuzuweisen.Run the Set-AzKeyVaultAccessPolicy cmdlet to assign the necessary permissions.

    Set-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user> -PermissionsToKeys create,import,list,get,backup,restore
    

    Beispiel:For example:

    Set-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -UserPrincipalName alice@contoso.com -PermissionsToKeys create,import,list,get,backup,restore
    
  • Schlüsseltresor-Mitwirkenden , die Berechtigungen für den Azure Key Vault selbst ändern können.Key vault contributors that can change permissions on the Azure Key Vault itself. Sie müssen diese Berechtigungen ändern, wenn Mitarbeiter Ihr Team verlassen oder Ihrem Team beitreten oder, im äußerst selten eintretenden Fall, dass Schlüsseltresor-Administratoren berechtigterweise die Berechtigung zum Löschen oder Wiederherstellen eines Schlüssels benötigen.You'll need to change these permissions as employees leave or join your team, or in the extremely rare situation that the key vault administrators legitimately need permission to delete or restore a key. Dieser Gruppe von Schlüsseltresor-Mitwirkenden muss die Rolle Mitwirkender für Ihren Schlüsseltresor zugewiesen werden.This set of key vault contributors needs to be granted the Contributor role on your key vault. Sie können diese Rolle mithilfe des Azure-Ressourcenmanagers zuweisen.You can assign this role by using Azure Resource Manager. Informationen zu den einzelnen Schritten finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung zum Verwalten des Zugriffs auf Ihre Azure-Abonnementressourcen.For detailed steps, see Use Role-Based Access Control to manage access to your Azure subscription resources. Der Administrator, der ein Abonnement erstellt, verfügt implizit über diesen Zugriff sowie die Möglichkeit, der Rolle des Mitwirkenden weitere Administratoren zuzuweisen.The administrator who creates a subscription has this access implicitly, as well as the ability to assign other administrators to the Contributor role.

  • Wenn Sie den Kundenschlüssel mit Exchange Online und Skype for Business verwenden möchten, müssen Sie Microsoft 365 die Berechtigung erteilen, das Schlüsseldepot im Namen von Exchange Online und Skype for Business zu verwenden.If you intend to use Customer Key with Exchange Online and Skype for Business, you need to give permission to Microsoft 365 to use the key vault on behalf of Exchange Online and Skype for Business. Wenn Sie den Kundenschlüssel mit SharePoint Online und OneDrive für Unternehmen verwenden möchten, müssen Sie ebenfalls die Berechtigung für den Microsoft 365 hinzufügen, um den schlüsseltresor im Namen von SharePoint Online und OneDrive für Unternehmen zu verwenden.Likewise, if you intend to use Customer Key with SharePoint Online and OneDrive for Business, you need to add permission for the Microsoft 365 to use the key vault on behalf of SharePoint Online and OneDrive for Business. Führen Sie das Cmdlet " AzKeyVaultAccessPolicy " mit der folgenden Syntax aus, um die Berechtigung für Microsoft 365 zu erteilen:To give permission to Microsoft 365, run the Set-AzKeyVaultAccessPolicy cmdlet using the following syntax:

    Set-AzKeyVaultAccessPolicy -VaultName <vault name> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>
    

    Dabei gilt:Where:

    • Vault Name ist der Name des Schlüssel Tresors, den Sie erstellt haben.vault name is the name of the key vault you created.

    • Für Exchange Online und Skype for Business ersetzen Sie bitte die Office 365 App-ID durch 00000002-0000-0ff1-ce00-000000000000For Exchange Online and Skype for Business, replace Office 365 appID with 00000002-0000-0ff1-ce00-000000000000

    • Ersetzen Sie für SharePoint Online-, OneDrive für Unternehmen-und Microsoft Teams-Dateien Office 365 -ID durch 00000003-0000-0ff1-ce00-000000000000For SharePoint Online, OneDrive for Business, and Teams files, replace Office 365 appID with 00000003-0000-0ff1-ce00-000000000000

    Beispiel: Festlegen von Berechtigungen für Exchange Online und Skype for Business:Example: Setting permissions for Exchange Online and Skype for Business:

    Set-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000
    

    Beispiel: Festlegen von Berechtigungen für SharePoint Online-, OneDrive für Unternehmen-und Microsoft Teams-Dateien:Example: Setting permissions for SharePoint Online, OneDrive for Business, and Teams files:

    Set-AzKeyVaultAccessPolicy -VaultName Contoso-O365SP-NA-VaultA1 -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000
    

Aktivieren und Bestätigen des vorläufigen Löschens in Ihren SchlüsseltresorenEnable and then confirm soft delete on your key vaults

Wenn Sie Ihre Schlüssel schnell wiederherstellen können, ist ein umfassender Dienstausfalls aufgrund von versehentlich oder in böswilliger Absicht gelöschten Schlüsseln weniger wahrscheinlich.When you can quickly recover your keys, you are less likely to experience an extended service outage due to accidentally or maliciously deleted keys. Sie müssen diese Konfiguration, die als „Soft Delete“ (Vorläufiges Löschen) bezeichnet wird, aktivieren, bevor Sie Ihre Schlüssel mit Customer Key verwenden können.You need to enable this configuration, referred to as Soft Delete, before you can use your keys with Customer Key. Das Aktivieren von Soft Delete ermöglicht Ihnen des Wiederherstellen von Schlüsseln oder Tresoren innerhalb von 90 Tagen nach dem Löschen, ohne diese aus der Datensicherung wiederherstellen zu müssen.Enabling Soft Delete allows you to recover keys or vaults within 90 days of deletion without having to restore them from backup.

Führen Sie die folgenden Schritte aus, um Soft Delete für Ihre Schlüsseltresore zu aktivieren:To enable Soft Delete on your key vaults, complete these steps:

  1. Melden Sie sich bei Ihrem Azure-Abonnement mit Windows PowerShell an.Sign in to your Azure subscription with Windows PowerShell. Anweisungen finden Sie unter Anmelden mit Azure PowerShell.For instructions, see Sign in with Azure PowerShell.

  2. Führen Sie das Cmdlet Get-AzKeyVault aus.Run the Get-AzKeyVault cmdlet. In diesem Beispiel ist Vault Name der Name des Schlüssel Tresors, für den Sie Soft Delete aktivieren:In this example, vault name is the name of the key vault for which you are enabling soft delete:

    $v = Get-AzKeyVault -VaultName <vault name>
    $r = Get-AzResource -ResourceId $v.ResourceId
    $r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
    Set-AzResource -ResourceId $r.ResourceId -Properties $r.Properties
    
  3. Bestätigen Sie, dass Soft Delete für den schlüsseltresor konfiguriert ist, indem Sie das Cmdlet Get-AzKeyVault ausführen.Confirm soft delete is configured for the key vault by running the Get-AzKeyVault cmdlet. Wenn Soft Delete ordnungsgemäß für den schlüsseltresor konfiguriert ist, gibt die Soft Delete Enabled -Eigenschaft den Wert " true " zurück:If soft delete is configured properly for the key vault, then the Soft Delete Enabled property returns a value of True :

    Get-AzKeyVault -VaultName <vault name> | fl
    

Hinzufügen eines Schlüssels zu jedem Schlüsseltresor durch das Erstellen oder Importieren eines SchlüsselsAdd a key to each key vault either by creating or importing a key

Es gibt zwei Methoden zum Hinzufügen von Schlüsseln zu einem Azure Key Vault. Sie können entweder direkt im Schlüsseltresor einen Schlüssel erstellen oder aber einen Schlüssel importieren.There are two ways to add keys to an Azure Key Vault; you can create a key directly in Key Vault, or you can import a key. Das Erstellen eines Schlüssels direkt im Schlüsseltresor ist die einfachere Methode, während der Import eines Schlüssels die vollständige Kontrolle über die Generierung des Schlüssels bietet.Creating a key directly in Key Vault is the less complicated method, while importing a key provides total control over how the key is generated. Sie müssen die RSA-Schlüssel verwenden.You need to use the RSA keys. Azure Key Vault unterstützt das Umbrechen und entpacken mit elliptischen Kurven Tasten nicht.Azure Key Vault doesn't support wrapping and unwrapping with elliptical curve keys.

Um einen Schlüssel direkt in Ihrem schlüsseltresor zu erstellen, führen Sie das Add-AzKeyVaultKey- Cmdlet wie folgt aus:To create a key directly in your key vault, run the Add-AzKeyVaultKey cmdlet as follows:

Add-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Destination <HSM|Software> -KeyOps wrapKey,unwrapKey

Dabei gilt:Where:

  • Vault Name ist der Name des Schlüssel Tresors, in dem Sie den Schlüssel erstellen möchten.vault name is the name of the key vault in which you want to create the key.

  • Key Name ist der Name, den Sie dem neuen Schlüssel zuweisen möchten.key name is the name you want to give the new key.

    Tipp

    Benennen Sie Schlüssel, die eine ähnliche Benennungskonvention verwenden, nach dem oben für Schlüsseltresore beschriebenen Verfahren.Name keys using a similar naming convention as described above for key vaults. Auf diese Weise ist die Zeichenfolge in Tools, die lediglich den Schlüsselnamen anzeigen, selbsterklärend.This way, in tools that show only the key name, the string is self-describing.

  • Wenn Sie den Schlüssel mit einem HSM schützen möchten, stellen Sie sicher, dass Sie HSM als Wert des Parameters Destination angeben, andernfalls geben Sie Software an.If you intend to protect the key with an HSM, ensure that you specify HSM as the value of the Destination parameter, otherwise, specify Software.

Beispiel:For example,

Add-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination Software -KeyOps wrapKey,unwrapKey

Wenn Sie einen Schlüssel direkt in ihren schlüsseltresor importieren möchten, benötigen Sie ein nCipher nShield-Hardware Sicherheitsmodul.To import a key directly into your key vault, you need to have a nCipher nShield Hardware Security Module.

Einige Organisationen bevorzugen diesen Ansatz, um die Herkunft Ihrer Schlüssel festzulegen, und dann bietet diese Methode auch Folgendes:Some organizations prefer this approach to establish the provenance of their keys, and then this method also provides the following:

  • Das für den Import verwendete Toolset umfasst die Bescheinigung von nCipher, dass der Schlüsselaustauschschlüssel (KEK), der zum Verschlüsseln des von Ihnen generierten Schlüssels verwendet wird, nicht exportierbar ist und in einem echten HSM generiert wird, das von nCipher hergestellt wurde.The toolset used for import includes attestation from nCipher that the Key Exchange Key (KEK) that is used to encrypt the key you generate is not exportable and is generated inside a genuine HSM that was manufactured by nCipher.

  • Das Toolset umfasst die Bestätigung von nCipher, dass die Azure Key Vault Security-Welt auch auf einem echten HSM erstellt wurde, das von nCipher hergestellt wurde.The toolset includes attestation from nCipher that the Azure Key Vault security world was also generated on a genuine HSM manufactured by nCipher. Diese Bestätigung beweist, dass Microsoft auch echte nCipher-Hardware verwendet.This attestation proves to you that Microsoft is also using genuine nCipher hardware.

Wenden Sie sich an Ihr Sicherheitsteam, um festzustellen, ob die vorstehenden Bescheinigungen erforderlich sind.Check with your security group to determine if the above attestations are required. Detaillierte Anweisungen zum Erstellen eines lokalen Schlüssels und zum Importieren in Ihren Schlüsseltresor finden Sie unter Generieren und Übertragen von HSM-geschützten Schlüsseln für Azure Key Vault.For detailed steps to create a key on-premises and import it into your key vault, see How to generate and transfer HSM-protected keys for Azure Key Vault. Folgen Sie den Azure-Anweisungen, um in jedem Schlüsseltresor einen Schlüssel zu erstellen.Use the Azure instructions to create a key in each key vault.

Überprüfen der Wiederherstellungsebene Ihrer SchlüsselCheck the recovery level of your keys

Microsoft 365 erfordert, dass das Azure Key Vault-Abonnement auf nicht abbrechen festgelegt ist und dass für die Schlüssel, die von Kunden Schlüsseln verwendet werden, Soft Delete aktiviert ist.Microsoft 365 requires that the Azure Key Vault subscription is set to Do Not Cancel and that the keys used by Customer Key have soft delete enabled. Sie können dies sicherstellen, indem Sie die Wiederherstellungsstufe für Ihre Schlüssel überprüfen.You can confirm this by looking at the recovery level on your keys.

Um die Wiederherstellungsebene eines Schlüssels zu überprüfen, führen Sie in Azure PowerShell das Get-AzKeyVaultKey-Cmdlet wie folgt aus:To check the recovery level of a key, in Azure PowerShell, run the Get-AzKeyVaultKey cmdlet as follows:

(Get-AzKeyVaultKey -VaultName <vault name> -Name <key name>).Attributes

Wenn die Wiederherstellungsebene einen anderen Wert als "wieder herstellbare + ProtectedSubscription " zurückgibt, müssen Sie dieses Thema durchlesen und sicherstellen, dass Sie alle Schritte zum Platzieren des Abonnements in der Liste "nicht abbrechen" und "Soft Delete" für jeden schlüsseltresor aktiviert haben.If the Recovery Level property returns anything other than a value of Recoverable+ProtectedSubscription , you will need to review this topic and ensure that you have followed all of the steps to put the subscription on the Do Not Cancel list and that you have soft delete enabled on each of your key vaults.

Sichern von Azure Key VaultBack up Azure Key Vault

Unmittelbar nach dem Erstellen oder Ändern eines Schlüssels, dem Durchführen einer Sicherung und dem Speichern von Kopien der Sicherung, sowohl online als auch offline.Immediately following creation or any change to a key, perform a backup and store copies of the backup, both online and offline. Offline-Kopien sollten nicht mit einem Netzwerk verbunden sein, d. h. beispielsweise nicht in einem Safe oder in einem gewerblichen Lager aufbewahrt werden.Offline copies should not be connected to any network, such as in a physical safe or commercial storage facility. Mindestens eine Kopie der Sicherung sollte an einem Standort gespeichert werden, auf den Sie im Notfall zugreifen können.At least one copy of the backup should be stored in a location that will be accessible in the event of a disaster. Die einzelnen Sicherungen sind die einzige Möglichkeit zum Wiederherstellen des Schlüsselmaterials, sollte ein Key-Vault-Schlüssel dauerhaft vernichtet oder auf andere Weise funktionsuntüchtig gemacht worden sein.The backup blobs are the sole means of restoring key material should a Key Vault key be permanently destroyed or otherwise rendered inoperable. Schlüssel, die sich außerhalb des Azure Key Vault befinden und in Azure Key Vault importiert wurden, sind als Sicherung nicht geeignet, da die Metadaten, die für die Verwendung des Schlüssels mit Customer Key erforderlich sind, mit dem externen Schlüssel nicht vorhanden sind.Keys that are external to Azure Key Vault and were imported to Azure Key Vault do not qualify as a backup because the metadata necessary for Customer Key to use the key does not exist with the external key. Nur eine vom Azure Key Vault erstellte Sicherung kann für Wiederherstellungsvorgänge mit Customer Key verwendet werden.Only a backup taken from Azure Key Vault can be used for restore operations with Customer Key. Deshalb ist die Sicherung des Azure Key Vault, sobald ein Schlüssel hochgeladen oder erstellt wurde, von wesentlicher Bedeutung.Therefore, it is essential that a backup of Azure Key Vault be made once a key is uploaded or created.

Um eine Sicherung eines Azure Key-Tresor Schlüssels zu erstellen, führen Sie das Cmdlet Backup-AzKeyVaultKey wie folgt aus:To create a backup of an Azure Key Vault key, run the Backup-AzKeyVaultKey cmdlet as follows:

Backup-AzKeyVaultKey -VaultName <vault name> -Name <key name>
-OutputFile <filename.backup>

Stellen Sie sicher, dass Ihre Ausgabedatei das Suffix verwendet .backup .Ensure that your output file uses the suffix .backup.

Die aus diesem Cmdlet resultierende Ausgabedatei ist verschlüsselt und kann außerhalb von Azure Key Vault nicht verwendet werden.The output file resulting from this cmdlet is encrypted and cannot be used outside of Azure Key Vault. Die Sicherung kann nur für das Azure-Abonnement wiederhergestellt werden, aus dem die Sicherung erstellt wurde.The backup can be restored only to the Azure subscription from which the backup was taken.

Tipp

Wählen Sie für die Ausgabedatei eine Kombination aus Ihrem Tresor- und Schlüsselnamen.For the output file, choose a combination of your vault name and key name. Dadurch wird der Dateiname selbsterklärend.This will make the file name self-describing. Außerdem wird sichergestellt, dass die Namen der Sicherungsdateien nicht kollidieren.It will also ensure that backup file names do not collide.

Beispiel:For example:

Backup-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -OutputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Konfigurationseinstellungen von Azure Key Vault verifizierenValidate Azure Key Vault configuration settings

Das Durchführen der Überprüfung vor der Verwendung von Schlüsseln in einer Datenverschlüsselungsrichtlinie (DEP) ist optional, wird jedoch dringend empfohlen.Performing validation before using keys in a DEP is optional, but highly recommended. Insbesondere, wenn Sie andere als die in diesem Artikel beschriebenen Schritte zum Einrichten Ihrer Schlüssel und Tresore verwenden, sollten Sie den Sicherheitsstatus Ihrer Azure Key Vault-Ressourcen überprüfen, bevor Sie Customer Key konfigurieren.In particular, if you use steps to set up your keys and vaults other than the ones described in this topic, you should validate the health of your Azure Key Vault resources before you configure Customer Key.

Überprüfen, ob für Ihre Schlüssel die Funktionen „Abrufen“, „WrapKey“ und „unWrapKey“ aktiviert sind:To verify that your keys have get, wrapKey, and unwrapKey operations enabled:

Führen Sie das Cmdlet Get-AzKeyVault wie folgt aus:Run the Get-AzKeyVault cmdlet as follows:

Get-AzKeyVault -VaultName <vault name>

Suchen Sie in der Ausgabe nach der Zugriffsrichtlinie und, je nach Bedarf, nach der Exchange Online-Identität (GUID) bzw. der SharePoint Online Identity (GUID).In the output, look for the Access Policy and for the Exchange Online identity (GUID) or the SharePoint Online identity (GUID) as appropriate. Alle drei vorstehenden Berechtigungen müssen unter den Berechtigungen für Schlüssel angezeigt werden.All three of the above permissions must be shown under Permissions to Keys.

Wenn die Konfiguration der Zugriffsrichtlinie falsch ist, führen Sie das Set-AzKeyVaultAccessPolicy-Cmdlet wie folgt aus:If the access policy configuration is incorrect, run the Set-AzKeyVaultAccessPolicy cmdlet as follows:

Set-AzKeyVaultAccessPolicy -VaultName <vault name> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

Beispielsweise für Exchange Online und Skype for Business:For example, for Exchange Online and Skype for Business:

Set-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

Beispielsweise für SharePoint Online und OneDrive for Business:For example, for SharePoint Online and OneDrive for Business:

Set-AzKeyVaultAccessPolicy -VaultName Contoso-O365SP-NA-VaultA1
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000

Um zu überprüfen, ob für Ihre Schlüssel ein Ablaufdatum festgelegt wurde, führen Sie das Cmdlet Get-AzKeyVaultKey wie folgt aus:To verify that an expiration date is not set for your keys run the Get-AzKeyVaultKey cmdlet as follows:

Get-AzKeyVaultKey -VaultName <vault name>

Ein abgelaufener Schlüssel kann von Customer Key nicht verwendet werden, und Vorgänge, die mit einem abgelaufenen Schlüssel versucht werden, werden nicht ausgeführt und führen möglicherweise zu einem Dienstausfall.An expired key cannot be used by Customer Key and operations attempted with an expired key will fail, and possibly result in a service outage. Es wird dringend empfohlen, dass mit Customer Key verwendete Schlüssel kein Ablaufdatum aufweisen.We strongly recommend that keys used with Customer Key do not have an expiration date. Ein einmal festgelegtes Ablaufdatum kann nicht gelöscht werden, es kann jedoch eine Datumänderung vorgenommen werden.An expiration date, once set, cannot be removed, but can be changed to a different date. Wenn ein Schlüssel verwendet werden muss, für den ein Ablaufdatum festgelegt ist, ändern Sie bitte das Ablaufdatum auf 31.12.9999.If a key must be used that has an expiration date set, change the expiration value to 12/31/9999. Schlüssel mit einem Ablaufdatum, das auf ein anderes Datum als 12/31/9999 festgelegt ist, werden nicht von der Microsoft 365-Validierung übergeben.Keys with an expiration date set to a date other than 12/31/9999 will not pass Microsoft 365 validation.

Um ein Ablaufdatum zu ändern, das auf einen anderen Wert als 12/31/9999 festgelegt wurde, führen Sie das Cmdlet Update-AzKeyVaultKey wie folgt aus:To change an expiration date that has been set to any value other than 12/31/9999, run the Update-AzKeyVaultKey cmdlet as follows:

Update-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

Achtung

Legen Sie keine Ablaufdaten für kryptografische Schlüssel fest, die Sie mit Customer Key verwenden.Don't set expiration dates on encryption keys you use with Customer Key.

Abrufen eines URI für jeden Azure Key Vault-SchlüsselObtain the URI for each Azure Key Vault key

Nachdem Sie alle Schritte in Azure abgeschlossen haben, um die Schlüsseldepots einzurichten und die Schlüssel hinzugefügt haben, führen Sie den folgenden Befehl aus, um den URI für den Schlüssel in jedem schlüsseltresor abzurufen.Once you've completed all the steps in Azure to set up your key vaults and added your keys, run the following command to get the URI for the key in each key vault. Sie müssen diese URI verwenden, wenn Sie in weiterer Folge die einzelnen Datenverschlüsselungsrichtlinien (DEP) erstellen und zuweisen, also speichern Sie diese Informationen an einem sicheren Ort.You will need to use these URIs when you create and assign each DEP later, so save this information in a safe place. Denken Sie daran, diesen Befehl jeweils für jeden Schlüsseltresor einmal auszuführen.Remember to run this command once for each key vault.

In Azure PowerShell:In Azure PowerShell:

(Get-AzKeyVaultKey -VaultName <vault name>).Id

Office 365: Einrichten von Customer Key für Exchange Online und Skype for BusinessOffice 365: Setting up Customer Key for Exchange Online and Skype for Business

Bevor Sie beginnen, stellen Sie sicher, dass Sie die zum Einrichten von Azure Key Vault erforderlichen Aufgaben abgeschlossen haben.Before you begin, ensure that you have completed the tasks required to set up Azure Key Vault. Informationen hierzu finden Sie unter Erledigen von Aufgaben in Azure Key Vault und Microsoft FastTrack für Customer Key.See Complete tasks in Azure Key Vault and Microsoft FastTrack for Customer Key for information.

Um Customer Key für Exchange Online und Skype for Business einzurichten, müssen Sie diese Schritte ausführen, indem Sie mittels Windows PowerShell eine Remoteverbindung mit Exchange Online herstellen.To set up Customer Key for Exchange Online and Skype for Business, you will need to perform these steps by remotely connecting to Exchange Online with Windows PowerShell.

Erstellen einer Datenverschlüsselungsrichtlinie (DEP) zur Nutzung mit Exchange Online und Skype for BusinessCreate a data encryption policy (DEP) for use with Exchange Online and Skype for Business

Eine Datenverschlüsselungsrichtlinie (DEP) ist mit einer Reihe von im Azure Key Vault gespeicherten Schlüsseln verknüpft.A DEP is associated with a set of keys stored in Azure Key Vault. Sie weisen einer Datenausführungsverhinderung einem Postfach in Microsoft 365 zu.You assign a DEP to a mailbox in Microsoft 365. Microsoft 365 verwendet dann die Schlüssel, die in der Richtlinie zum Verschlüsseln des Postfachs angegeben sind.Microsoft 365 will then use the keys identified in the policy to encrypt the mailbox. Zum Erstellen der Datenverschlüsselungsrichtlinie (DEP) benötigen Sie die Key Vault-URI, die Sie zuvor erhalten haben.To create the DEP, you need the Key Vault URIs you obtained earlier. Anweisungen hierzu finden Sie unter Abrufen eines URI für jeden Azure Key Vault-Schlüssel.See Obtain the URI for each Azure Key Vault key for instructions.

Nicht vergessen!Remember! Beim Erstellen einer Datenverschlüsselungsrichtlinie (DEP) geben Sie zwei Schlüssel an, die sich in zwei verschiedenen Azure Key Vaults befinden.When you create a DEP, you specify two keys that reside in two different Azure Key Vaults. Stellen Sie sicher, dass sich diese Schlüssel in zwei unterschiedlichen Azure-Regionen befinden, um Geo-Redundanz sicherzustellen.Ensure that these keys are located in two separate Azure regions to ensure geo-redundancy.

Um eine Datenverschlüsselungsrichtlinie (DEP) zu erstellen, führen Sie bitte folgende Schritte aus:To create the DEP, follow these steps:

  1. Stellen Sie auf Ihrem lokalen Computer mithilfe eines Arbeits-oder Schul Kontos, das über globale Administratorberechtigungen in Ihrer Organisation verfügt, eine Verbindung mit Exchange Online PowerShell in einem Windows PowerShell Fenster her.On your local computer, using a work or school account that has global administrator permissions in your organization, connect to Exchange Online PowerShell in a Windows PowerShell window.

  2. Um eine Datenverschlüsselungsrichtlinie zu erstellen, verwenden Sie das Cmdlet „New-DataEncryptionPolicy“, indem Sie den folgenden Befehl eingeben.To create a DEP, use the New-DataEncryptionPolicy cmdlet by typing the following command.

    New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>
    

    Dabei gilt:Where:

    • PolicyName ist der Name, den Sie für die Richtlinie verwenden möchten.PolicyName is the name you want to use for the policy. Namen dürfen keine Leerzeichen enthalten.Names cannot contain spaces. Beispiel: USA_Postfächer.For example, USA_mailboxes.

    • Richtlinienbeschreibung ist eine benutzerfreundliche Beschreibung der Richtlinie, mit der Sie sich daran erinnern können, wofür die Richtlinie verwendet wird.Policy Description is a user friendly description of the policy that will help you remember what the policy is for. In der Beschreibung sind Leerzeichen erlaubt.You can include spaces in the description. Beispiel: "Stammschlüssel für Postfächer in USA und seinen Territorien".For example, "Root key for mailboxes in USA and its territories".

    • KeyVaultURI1 ist der URI für den ersten Schlüssel in der Richtlinie.KeyVaultURI1 is the URI for the first key in the policy. Beispiel: https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.For example, https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01.

    • KeyVaultURI2 ist der URI für den zweiten Schlüssel in der Richtlinie.KeyVaultURI2 is the URI for the second key in the policy. Beispiel: https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02.For example, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02. Trennen Sie die beiden URI mittels Komma und Leerzeichen.Separate the two URIs by a comma and a space.

    Beispiel:Example:

    New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02
    

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-DataEncryptionPolicy.For detailed syntax and parameter information, see New-DataEncryptionPolicy.

Zuweisen einer Datenverschlüsselungsrichtlinie (DEP) zu einem PostfachAssign a DEP to a mailbox

Zuweisen der Datenverschlüsselungsrichtlinie (DEP) zu einem Postfach mithilfe des Cmdlets „Set-Mailbox“.Assign the DEP to a mailbox by using the Set-Mailbox cmdlet. Nachdem Sie die Richtlinie zugewiesen haben, kann Microsoft 365 das Postfach mit dem in der DEP festgelegten Schlüssel verschlüsseln.Once you assign the policy, Microsoft 365 can encrypt the mailbox with the key designated in the DEP.

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

Dabei legt der MailboxIdParameter ein Postfach fest.Where MailboxIdParameter specifies a mailbox. Weitere Informationen zum Cmdlet „Set-Mailbox“ finden Sie unter Set-Mailbox.For more information about the Set-Mailbox cmdlet, see Set-Mailbox.

Für lokale Postfächer mit Outlook für IOS und Android mit moderner Hybrid Authentifizierungkönnen die lokalen Postfachdaten, die mit dem Exchange Online-Mandanten synchronisiert werden, der DEP mithilfe des Set-MailUser-Cmdlets zugewiesen werden.For on-premises mailboxes using Outlook for iOS and Android with hybrid Modern Authentication, the on-premises mailbox data that is synchronized into your Exchange Online tenant can have DEP assigned using the Set-MailUser cmdlet.

Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>

Dabei gibt mailuseridparameter einen e-Mail-Benutzer an (auch als e-Mail-aktivierter Benutzer bezeichnet).Where MailUserIdParameter specifies a mail user (also known as a mail-enabled user). Weitere Informationen zum Set-MailUser-Cmdlet finden Sie unter festlegen-MailUser.For more information about the Set-MailUser cmdlet, see Set-MailUser.

Überprüfen einer PostfachverschlüsselungValidate mailbox encryption

Das Verschlüsseln eines Postfachs kann einige Zeit in Anspruch nehmen.Encrypting a mailbox can take some time. Bei der erstmaligen Richtlinienzuweisung muss das Postfach auch vollständig von einer Datenbank zu einer anderen verschoben werden, bevor der Dienst das Postfach verschlüsseln kann.For first time policy assignment, the mailbox must also completely move from one database to another before the service can encrypt the mailbox. Wir empfehlen, dass Sie 72 Stunden warten, bevor Sie versuchen, die Verschlüsselung nach dem Ändern einer Datenverschlüsselungsrichtlinie (DEP) oder nach dem erstmaligen Zuweisen einer Datenverschlüsselungsrichtlinie (DEP) zu einem Postfach zu überprüfen.We recommend that you wait 72 hours before you attempt to validate encryption after you change a DEP or the first time you assign a DEP to a mailbox.

Verwenden Sie das Cmdlet „Get-MailboxStatistics“, um festzustellen, ob ein Postfach verschlüsselt ist.Use the Get-MailboxStatistics cmdlet to determine if a mailbox is encrypted.

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

Die IsEncrypted-Eigenschaft meldet den Wert True (Richtig), wenn das Postfach verschlüsselt ist, und den Wert False (Falsch), wenn das Postfach nicht verschlüsselt ist.The IsEncrypted property returns a value of true if the mailbox is encrypted and a value of false if the mailbox is not encrypted.

Der Zeitaufwand für das Durchführen von Postfachverschiebungen hängt von der Anzahl der Postfächer ab, denen Sie zum ersten Mal eine Datenverschlüsselungsrichtlinie (DEP) zuweisen, sowie von der Größe der Postfächer.The time to complete mailbox moves depends on the number of mailboxes to which you assign a DEP for the first time, as well as the size of the mailboxes. Wenn die Postfächer nach einer Woche ab dem Zeitpunkt, zu dem Sie die Datenausführungsverhinderung zugewiesen haben, nicht verschlüsselt wurden, wenden Sie sich an Microsoft.If the mailboxes have not been encrypted after a week from the time you assigned the DEP, contact Microsoft.

Office 365: Einrichten des Kunden Schlüssels für SharePoint Online-, OneDrive für Unternehmen-und Microsoft Teams-DateienOffice 365: Setting up Customer Key for SharePoint Online, OneDrive for Business, and Teams files

Bevor Sie beginnen, stellen Sie sicher, dass Sie die zum Einrichten von Azure Key Vault erforderlichen Aufgaben abgeschlossen haben.Before you begin, ensure that you have completed the tasks required to set up Azure Key Vault. Informationen hierzu finden Sie unter Erledigen von Aufgaben in Azure Key Vault und Microsoft FastTrack für Customer Key.See Complete tasks in Azure Key Vault and Microsoft FastTrack for Customer Key for information.

Um den Kundenschlüssel für SharePoint Online-, OneDrive für Unternehmen-und Microsoft Teams-Dateien einzurichten, müssen Sie diese Schritte durch eine Remoteverbindung mit SharePoint Online mit Windows PowerShell ausführen.To set up Customer Key for SharePoint Online, OneDrive for Business, and Teams files you will need to perform these steps by remotely connecting to SharePoint Online with Windows PowerShell.

Erstellen einer Datenverschlüsselungsrichtlinie (DEP) für jede SharePoint Online- und OneDrive for Business-GeoCreate a data encryption policy (DEP) for each SharePoint Online and OneDrive for Business geo

Sie ordnen eine DEP einer Gruppe von Schlüsseln zu, die in Azure Key Vault gespeichert sind.You associate a DEP with a set of keys stored in Azure Key Vault. Sie wenden eine Datenverschlüsselungsrichtlinie (DEP) auf alle Ihre Daten an einem geografischen Standort an, der auch als Geo bezeichnet wird.You apply a DEP to all of your data in one geographic location, also called a geo. Wenn Sie das Multi-Geo-Feature von Office 365 verwenden, können Sie eine Datenausführungsverhinderung pro Geo erstellen, mit der Möglichkeit, verschiedene Schlüssel pro Geo zu verwenden.If you use the multi-geo feature of Office 365, you can create one DEP per geo with the capability to use different keys per geo. Wenn Sie keine Multi-Geo-Daten verwenden, können Sie eine DEP in Ihrer Organisation für die Verwendung mit SharePoint Online-, OneDrive für Unternehmen-und Microsoft Teams-Dateien erstellen.If you are not using multi-geo, you can create one DEP in your organization for use with SharePoint Online, OneDrive for Business, and Teams files. Microsoft 365 verwendet die in der DEP identifizierten Schlüssel, um Ihre Daten in diesem Geo zu verschlüsseln.Microsoft 365 uses the keys identified in the DEP to encrypt your data in that geo. Zum Erstellen der Datenverschlüsselungsrichtlinie (DEP) benötigen Sie die Key Vault-URI, die Sie zuvor erhalten haben.To create the DEP, you need the Key Vault URIs you obtained earlier. Anweisungen hierzu finden Sie unter Abrufen eines URI für jeden Azure Key Vault-Schlüssel.See Obtain the URI for each Azure Key Vault key for instructions.

Nicht vergessen!Remember! Beim Erstellen einer Datenverschlüsselungsrichtlinie (DEP) geben Sie zwei Schlüssel an, die sich in zwei verschiedenen Azure Key Vaults befinden.When you create a DEP, you specify two keys that reside in two different Azure Key Vaults. Stellen Sie sicher, dass sich diese Schlüssel in zwei unterschiedlichen Azure-Regionen befinden, um Geo-Redundanz sicherzustellen.Ensure that these keys are located in two separate Azure regions to ensure geo-redundancy.

Um eine Datenverschlüsselungsrichtlinie (DEP) zu erstellen, müssen Sie mithilfe von Windows PowerShell eine Remote-Verbindung zu SharePoint Online herstellen.To create a DEP, you need to remotely connect to SharePoint Online by using Windows PowerShell.

  1. Stellen Sie auf Ihrem lokalen Computer mithilfe eines Arbeits-oder Schul Kontos, das über globale Administratorberechtigungen in Ihrer Organisation verfügt, eine Verbindung mit SharePoint Online PowerShell her.On your local computer, using a work or school account that has global administrator permissions in your organization, Connect to SharePoint Online PowerShell.

  2. Führen Sie in der Microsoft SharePoint Online Management-Shell das Cmdlet Register-SPODataEncryptionPolicy wie folgt durch:In the Microsoft SharePoint Online Management Shell, run the Register-SPODataEncryptionPolicy cmdlet as follows:

    Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>
    

    Beispiel:Example:

Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'stageRG3vault' -PrimaryKeyName 'SPKey3' -PrimaryKeyVersion 'f635a23bd4a44b9996ff6aadd88d42ba' -SecondaryKeyVaultName 'stageRG5vault' -SecondaryKeyName 'SPKey5' -SecondaryKeyVersion '2b3e8f1d754f438dacdec1f0945f251a’

Sobald Sie die Datenverschlüsselungsrichtlinie (DEP) registrieren, beginnt die Verschlüsselung der Daten im Geo.When you register the DEP, encryption begins on the data in the geo. Dies kann einige Zeit dauern.This can take some time. Weitere Informationen zur Verwendung dieses Parameters finden Sie unter Register-SPODataEncryptionPolicy.For more information on using this parameter, see Register-SPODataEncryptionPolicy.

Überprüfen der DateiverschlüsselungValidate file encryption

Um die Verschlüsselung von SharePoint Online-, OneDrive für Unternehmen-und Microsoft Teams-Dateien zu überprüfen, stellen Sie eine Verbindung mit SharePoint Online PowerShell her, und überprüfen Sie dann mithilfe des Get-SPODataEncryptionPolicy-Cmdlets den Status Ihres Mandanten.To validate encryption of SharePoint Online, OneDrive for Business, and Teams files, connect to SharePoint Online PowerShell, and then use the Get-SPODataEncryptionPolicy cmdlet to check the status of your tenant. Die State -Eigenschaft gibt den Wert registriert zurück, wenn die Verschlüsselung von Kunden Schlüsseln aktiviert ist und alle Dateien an allen Standorten verschlüsselt wurden.The State property returns a value of registered if Customer Key encryption is enabled and all files in all sites have been encrypted. Wenn die Verschlüsselung noch ausgeführt wird, bietet dieses Cmdlet Informationen darüber, welcher Prozentsatz der Websites abgeschlossen ist.If encryption is still in progress, this cmdlet provides information on what percentage of sites is complete.