Dienstverschlüsselung mit KundenschlüsselService encryption with Customer Key

Microsoft 365 bietet eine grundlegende Verschlüsselung auf Volumeebene, die über BitLocker und Distributed Key Manager (DKM) aktiviert ist.Microsoft 365 provides baseline, volume-level encryption enabled through BitLocker and Distributed Key Manager (DKM). Microsoft 365 bietet eine zusätzliche Verschlüsselungsebene auf der Anwendungsebene für Ihre Inhalte.Microsoft 365 offers an added layer of encryption at the application layer for your content. Dieser Inhalt enthält Daten aus Exchange Online-, Skype for Business-, SharePoint Online-, OneDrive for Business- und #A0This content includes data from Exchange Online, Skype for Business, SharePoint Online, OneDrive for Business, and Teams files. Diese hinzugefügte Verschlüsselungsebene wird als Dienstverschlüsselung bezeichnet.This added layer of encryption is called service encryption.

Zusammenarbeit von Dienstverschlüsselung, BitLocker und Customer KeyHow service encryption, BitLocker, and Customer Key work together

Die Dienstverschlüsselung stellt sicher, dass ruhende Inhalte auf der Dienstebene verschlüsselt werden.Service encryption ensures that content at rest is encrypted at the service layer. Ihre Daten werden im Microsoft 365-Dienst mit BitLocker und DKM immer im Ruhedienst verschlüsselt.Your data is always encrypted at rest in the Microsoft 365 service with BitLocker and DKM. Weitere Informationen finden Sie unter "Sicherheits-, Datenschutz- und Complianceinformationen" und Wie Exchange Online Ihre E-Mail-Geheimnisse sichert.For more information, see the "Security, Privacy, and Compliance Information", and How Exchange Online secures your email secrets. Customer Key bietet zusätzlichen Schutz vor der Anzeige von Daten durch nicht autorisierte Systeme oder Mitarbeiter und ergänzt die BitLocker-Datenträgerverschlüsselung in Microsoft-Rechenzentren.Customer Key provides additional protection against viewing of data by unauthorized systems or personnel, and complements BitLocker disk encryption in Microsoft datacenters. Die Dienstverschlüsselung soll nicht verhindern, dass Microsoft-Mitarbeiter auf Kundendaten zugreifen.Service encryption is not meant to prevent Microsoft personnel from accessing customer data. Der Hauptzweck besteht in der Unterstützung von Kunden bei der Erfüllung gesetzlicher oder Complianceverpflichtungen für die Steuerung von Stammschlüsseln.The primary purpose is to assist customers in meeting regulatory or compliance obligations for controlling root keys. Kunden autorisieren O365-Dienste explizit, ihre Verschlüsselungsschlüssel zu verwenden, um mehrwertige Clouddienste wie eDiscovery, Anti-Malware, Antispam, Suchindizierung usw. zur Verfügung zu stellen.Customers explicitly authorize O365 services to use their encryption keys to provide value added cloud services, such as eDiscovery, anti-malware, anti-spam, search indexing, etc.

Der Kundenschlüssel baut auf der Dienstverschlüsselung auf und ermöglicht ihnen die Bereitstellung und Steuerung von Verschlüsselungsschlüsseln.Customer Key is built on service encryption and lets you provide and control encryption keys. Microsoft 365 verwendet dann diese Schlüssel, um Ihre Ruhedaten zu verschlüsseln, wie in den Onlinedienstebedingungen (OST) beschrieben.Microsoft 365 then uses these keys to encrypt your data at rest as described in the Online Services Terms (OST). Customer Key hilft Ihnen bei der Erfüllung von Complianceverpflichtungen, da Sie die Verschlüsselungsschlüssel steuern, die Microsoft 365 zum Verschlüsseln und Entschlüsseln von Daten verwendet.Customer Key helps you meet compliance obligations because you control the encryption keys that Microsoft 365 uses to encrypt and decrypt data.

Customer Key verbessert die Fähigkeit Ihrer Organisation, die Anforderungen der Complianceanforderungen zu erfüllen, die wichtige Vereinbarungen mit dem Clouddienstanbieter angeben.Customer Key enhances the ability of your organization to meet the demands of compliance requirements that specify key arrangements with the cloud service provider. Mit dem Kundenschlüssel stellen Sie die Stammverschlüsselungsschlüssel für Ihre Ruhedaten von Microsoft 365 auf Anwendungsebene zur Verfügung und steuern sie.With Customer Key, you provide and control the root encryption keys for your Microsoft 365 data at-rest at the application level. Dies hat zur Folge, dass Sie die Kontrolle über die Schlüssel Ihrer Organisation ausüben.As a result, you exercise control over your organization's keys. Wenn Sie den Dienst beenden möchten, widerrufen Sie den Zugriff auf die Stammschlüssel Ihrer Organisation.If you decide to exit the service, you revoke access to your organization's root keys. Für alle Microsoft 365-Dienste ist das Löschen des Zugriffs auf die Schlüssel der erste Schritt auf dem Weg zum Löschen von Daten.For all Microsoft 365 services, revoking access to the keys is the first step on the path towards data deletion. Durch das Wehren des Zugriffs auf die Schlüssel sind die Daten für den Dienst unlesbar.By revoking access to the keys, the data is unreadable to the service.

Kundenschlüssel verschlüsselt ruhende Daten in Office 365Customer Key encrypts data at rest in Office 365

Mithilfe von schlüsseln, die Sie bereitstellen, verschlüsselt der Kundenschlüssel auf Anwendungsebene:Using keys you provide, Customer Key at the application level encrypts:

  • SharePoint Online-, OneDrive for Business- und #A0SharePoint Online, OneDrive for Business, and Teams files.
  • Auf OneDrive for Business hochgeladene Dateien.Files uploaded to OneDrive for Business.
  • Exchange Online-Postfachinhalte, einschließlich E-Mail-Textkörperinhalten, Kalendereinträgen und inhalten in E-Mail-Anlagen.Exchange Online mailbox content including e-mail body content, calendar entries, and the content within email attachments.
  • Textunterhaltungen von Skype for Business.Text conversations from Skype for Business.

Wir bieten derzeit keine Kundensteuerung der Verschlüsselungsschlüssel für Skype-Besprechungsübertragungen und Skype-Besprechungsinhaltsuploads an.We don't currently offer customer control of the encryption keys for Skype Meeting Broadcast and Skype Meeting content uploads. Stattdessen wird dieser Inhalt zusammen mit allen anderen Inhalten in Office 365 verschlüsselt.Instead, this content is encrypted along with all other content in Office 365.

Customer Key mit HybridbereitstellungenCustomer Key with hybrid deployments

Der Kundenschlüssel verschlüsselt nur ruhende Daten in der Cloud.Customer Key only encrypts data at rest in the cloud. Der Kundenschlüssel funktioniert nicht, um Ihre lokalen Postfächer und Dateien zu schützen.Customer Key does not work to protect your on-premises mailboxes and files. Sie können Ihre lokalen Daten mit einer anderen Methode verschlüsseln, z. B. BitLocker.You can encrypt your on-premises data using another method, such as BitLocker.

Informationen zur Datenverschlüsselungsrichtlinie (Data Encryption Policy, DEP)About the data encryption policy (DEP)

Eine Datenverschlüsselungsrichtlinie definiert die Verschlüsselungshierarchie zum Verschlüsseln von Daten mithilfe der einzelnen von Ihnen zur Verfügung en sten Schlüssel sowie des von Microsoft geschützten Verfügbarkeitsschlüssels.A data encryption policy defines the encryption hierarchy to encrypt data using each of the keys you provide as well as the availability key protected by Microsoft. Sie erstellen DEPs mithilfe von PowerShell-Cmdlets, die für jeden Dienst unterschiedlich sind, und weisen diese DEPs zum Verschlüsseln von Anwendungsdaten zu.You create DEPs using PowerShell cmdlets, which are different for each service, and assign those DEPs to encrypt application data. Beispiel:For example:

Exchange Online und Skype for Business Sie können bis zu 50 DEPs pro Mandant erstellen.Exchange Online and Skype for Business You can create up to 50 DEPs per tenant. Sie ordnen DEPs Ihren Kundenschlüsseln in Azure Key Vault zu und weisen dann DEPs einzelnen Postfächern zu.You associate DEPs to your Customer Keys in Azure Key Vault and then assign DEPs to individual mailboxes. Wenn Sie einem Postfach eine DEP zuweisen:When you assign a DEP to a mailbox:

  • das Postfach für eine Postfach verschieben markiert ist.the mailbox is marked for a mailbox move. Basierend auf Prioritäten in Microsoft 365, wie hier beschrieben, verschieben Sie Anforderungen im Microsoft 365-Dienst.Based on priorities in Microsoft 365 as described here Move requests in the Microsoft 365 service.

  • Die Verschlüsselung erfolgt, während das Postfach verschoben wird.The encryption takes place while the mailbox is moved. Lassen Sie 72 Stunden zu, bis das Postfach mit der neuen DEP verschlüsselt wird.Allow 72 hours for the mailbox to become encrypted with the new DEP. Wenn die Postfächer nach dem Warten von 72 Stunden nach dem Zeitpunkt, zu dem Sie die DEP zugewiesen haben, nicht verschlüsselt sind, wenden Sie sich an Microsoft.If the mailboxes aren't encrypted after waiting 72 hours from the time you assigned the DEP, contact Microsoft.

Später können Sie entweder die DEP aktualisieren oder dem Postfach eine andere DEP zuweisen, wie unter Verwalten des Kundenschlüssels für Office 365 beschrieben.Later, you can either refresh the DEP or assign a different DEP to the mailbox as described in Manage Customer Key for Office 365. Jedes Postfach muss über entsprechende Lizenzen verfügen, um eine DEP zuweisen zu können.Each mailbox must have appropriate licenses in order to assign a DEP. Weitere Informationen zur Lizenzierung finden Sie unter Before you set up Customer Key.For more information about licensing, see Before you set up Customer Key.

Hinweis

Die DEP kann auf ein freigegebenes Postfach, ein Postfach für öffentliche Ordner und ein Microsoft 365-Gruppenpostfach für Mandanten angewendet werden, die die Lizenzierungsanforderung für Benutzerpostfächer erfüllen, auch wenn einige dieser Postfachtypen keine zugewiesene Lizenz (Postfach für öffentliche Ordner und Microsoft 365-Gruppenpostfach) sein können oder eine Lizenz zum Erhöhen des Speichers (freigegebenes Postfach) benötigen.The DEP can be applied to a shared mailbox, public folder mailbox, and Microsoft 365 group mailbox for tenants that meet the licensing requirement for user mailboxes, even though some of these mailbox types cannot be an assigned license (public folder mailbox and Microsoft 365 group mailbox) or need a license for increasing storage (shared mailbox).

SharePoint Online-, OneDrive for Business- und #A0 Wenn Sie das Multi-Geo-Feature verwenden, können Sie bis zu eine DEP pro Geo für Ihre Organisation erstellen.SharePoint Online, OneDrive for Business, and Teams files If you're using the multi-geo feature, you can create up to one DEP per geo for your organization. Sie können für jeden geografischen Standort unterschiedliche Kundenschlüssel verwenden.You can use different Customer Keys for each geo. Wenn Sie das Multi-Geo-Feature nicht verwenden, können Sie nur eine DEP pro Mandant erstellen.If you're not using the multi-geo feature, you can only create one DEP per tenant. Wenn Sie die DEP zuweisen, beginnt die Verschlüsselung automatisch, kann jedoch einige Zeit dauern.When you assign the DEP, encryption begins automatically but can take some time to complete. Weitere Informationen finden Sie unter Einrichten des Kundenschlüssels.Refer to the details in Set up Customer Key.

Verlassen des DienstsLeaving the service

Der Customer Key unterstützt Sie bei der Einhaltung von Complianceverpflichtungen, indem Sie Ihre Schlüssel widerrufen können, wenn Sie den Microsoft 365-Dienst verlassen.Customer Key assists you in meeting compliance obligations by allowing you to revoke your keys when you leave the Microsoft 365 service. Wenn Sie Ihre Schlüssel im Rahmen des Verlassens des Diensts widerrufen, wird der Verfügbarkeitsschlüssel gelöscht, was zu einer kryptografischen Löschung Ihrer Daten führt.When you revoke your keys as part of leaving the service, the availability key is deleted resulting in cryptographic deletion of your data. Die kryptografische Löschung verringert das Risiko der Datenkonformität, die für die Erfüllung von Sicherheits- und Complianceverpflichtungen wichtig ist.Cryptographic deletion mitigates the risk of data remanence which is important for meeting both security and compliance obligations. Weitere Informationen zum Datenbereinigungsprozess und zum Widerruf von Schlüsseln finden Sie unter Revoke your keys and start the data purge path process.For information about the data purge process and key revocation, see Revoke your keys and start the data purge path process.

Verschlüsselungschiffren, die vom Kundenschlüssel verwendet werdenEncryption ciphers used by Customer Key

Customer Key verwendet eine Vielzahl von Verschlüsselungschiffren zum Verschlüsseln von Schlüsseln, wie in den folgenden Abbildungen dargestellt.Customer Key uses a variety of encryption ciphers to encrypt keys as shown in the following figures.

Verschlüsselungschiffren zum Verschlüsseln von Schlüsseln für Exchange Online und Skype for BusinessEncryption ciphers used to encrypt keys for Exchange Online and Skype for Business

Verschlüsselungschiffren für Exchange Online Customer Key

Verschlüsselungschiffren zum Verschlüsseln von Schlüsseln für SharePoint Online-, OneDrive for Business- und #A0Encryption ciphers used to encrypt keys for SharePoint Online, OneDrive for Business, and Teams files

Verschlüsselungschiffren für SharePoint Online Customer Key