Schützen von vertraulichen Inhalten in E-Mails mit Exchange OnlineHow Exchange Online secures your email secrets

In diesem Artikel wird beschrieben, wie Microsoft Ihre geheimen E-Mail-Daten in seinen Datencentern sichert.This article describes how Microsoft secures your email secrets in its datacenters.

Wie sichern wir geheime Informationen, die von Ihnen bereitgestellt werden?How do we secure secret information provided by you?

Zusätzlich zum Office 365 Trust Center, das Sicherheits-, Datenschutz-und Kompatibilitätsinformationen für office 365bereitstellt, möchten Sie vielleicht wissen, wie Office 365 die von Ihnen bereitgestellten vertraulichen Daten in den Rechenzentren schützt. Wir verwenden eine Technologie namens Distributed Key Manager (DKM).In addition to the Office 365 Trust Center which provides Security, Privacy and Compliance Information for Office 365, you might want to know how Office 365 helps protects secrets you provide in its datacenters. We use a technology called Distributed Key Manager (DKM).

Die verteilte Schlüsselverwaltung (DKM) ist eine clientseitige Funktionalität, die eine Reihe von geheimen Schlüsseln zum Verschlüsseln und Entschlüsseln von Informationen verwendet. Nur Mitglieder einer bestimmten Sicherheitsgruppe in Active Directory-Domänendiensten können auf diese Schlüssel zugreifen, um die Daten zu entschlüsseln, die von DKM verschlüsselt wurden. In Exchange Online sind nur bestimmte Dienstkonten, unter denen die Exchange-Prozesse ausgeführt werden, Teil dieser Sicherheitsgruppe. Zum Standardverfahren im Datencenter gehört es, dass kein Benutzer Anmeldeinformationen erhält, die Teil dieser Sicherheitsgruppe sind. Daher hat keine Person Zugriff auf die Schlüssel, mit denen diese geheimen Daten entschlüsselt werden können.Distributed Key Manager (DKM) is a client-side functionality that uses a set of secret keys to encrypt and decrypt information. Only members of a specific security group in Active Directory Domain Services can access those keys in order to decrypt the data that is encrypted by DKM. In Exchange Online, only certain service accounts under which the Exchange processes run are part of that security group. As part of standard operating procedure in the datacenter, no human is given credentials that are part of this security group and therefore no human has access to the keys that can decrypt these secrets.

Zu Debugging-, Problembehandlungs- oder Überwachungszwecken muss ein Datencenteradministrator erhöhte Rechte anfordern, um temporäre Anmeldeinformationen zu erhalten, die Teil der Sicherheitsgruppe sind. Dieser Vorgang erfordert mehrere Stufen rechtlicher Genehmigungen. Wenn der Zugriff gewährt wird, werden alle Aktivitäten protokolliert und überwacht. Darüber hinaus wird der Zugriff nur für einen bestimmten Zeitraum gewährt, danach läuft er automatisch ab.For debugging, troubleshooting, or auditing purposes, a datacenter administrator must request elevated access to gain temporary credentials that are part of the security group. This process requires multiple levels of legal approval. If access is granted, all activity is logged and audited. In addition access is only granted for a set interval of time after which it automatically expires.

Als zusätzliche Schutzmaßnahme umfasst die DKM-Technologie einen automatisierten Schlüsselrollover sowie automatische Archivierung. Dadurch wird sichergestellt, dass Sie weiterhin auf Ihre älteren Inhalte zugreifen können, ohne dabei auf unbestimmte Zeit den gleichen Schlüssel zu verwenden. For extra protection, DKM technology includes automated key rollover and archiving. This also ensures that you can continue to access your older content without having to rely on the same key indefinitely.

Wo wird DKM bei Exchange Online eingesetzt?Where does Exchange Online make use of DKM?

Microsoft verwendet DKM, um Ihre geheimen Daten in Exchange Online-Datencentern zu verschlüsseln. Beispiel:Microsoft uses DKM to encrypt your secrets in Exchange Online datacenters. For example:

  • Anmeldeinformationen für E-Mail-Konten für verbundene Konten. Verbundene Konten sind Drittanbieterkonten wie Hotmail-, Gmail- und Yahoo!-E-Mail-Konten.Email account credentials for connected accounts. Connected accounts are third-party accounts such as Hotmail, Gmail, and Yahoo! mail accounts.

  • RMS-Stammschlüssel. Dabei handelt es sich um Kundenschlüssel, die entweder aus Azure RMS oder aus der lokalen Active Directory-Domänendienste-Bereitstellungen des Kunden importiert werden, die zum Verschlüsseln und Entschlüsseln von e-Mails mit RMS oder Office 365 Message Encryption (OM) verwendet werden.Rights Management service (RMS) root keys. These are customer keys that are either imported from Azure RMS or from customer's on-premises Active Directory Domain Services RMS deployments that are used for encrypting and decrypting emails with RMS or Office 365 Message Encryption (OME).

Verschlüsselung in Office 365Encryption in Office 365

Technische Details zur Verschlüsselung in Office 365Technical reference details about encryption in Office 365

Dienstsicherheit im Office 365 Security & Compliance CenterService assurance in the Office 365 Security & Compliance Center