Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Verfügbarkeitsschlüssel ist ein Stammschlüssel, der automatisch generiert und bereitgestellt wird, wenn Sie eine Datenverschlüsselungsrichtlinie (Data Encryption Policy, DEP) erstellen. Microsoft 365 speichert und schützt diesen Schlüssel.
Der Verfügbarkeitsschlüssel funktioniert wie die beiden Stammschlüssel, die Sie für den Kundenschlüssel angeben. Es umschließt die Schlüssel eine Ebene tiefer in der Schlüsselhierarchie. Im Gegensatz zu den Schlüsseln, die Sie in Azure Key Vault verwalten, können Sie nicht direkt auf den Verfügbarkeitsschlüssel zugreifen. Automatisierte Microsoft 365-Dienste verwalten und verwenden sie programmgesteuert.
Der Hauptzweck besteht darin, die Wiederherstellung nach einem unerwarteten Verlust der von Ihnen verwalteten Stammschlüssel (z. B. durch Fehlverwaltung oder böswillige Aktionen) zu unterstützen. Wenn Sie die Kontrolle über Ihre Stammschlüssel verlieren, wenden Sie sich an Microsoft-Support, um verschlüsselte Daten mit dem Verfügbarkeitsschlüssel wiederherzustellen und zu einem neuen DEP mit neuen Stammschlüsseln zu migrieren, die Sie bereitstellen.
Der Verfügbarkeitsschlüssel unterscheidet sich von Azure Key Vault-Schlüsseln auf drei Arten:
- Es bietet eine Wiederherstellungs- oder Break glass-Option, wenn beide Azure Key Vault Schlüssel verloren gehen.
- Die logische Trennung von Steuerung und Speicher erhöht die Tiefe und verhindert den totalen Verlust von Schlüsseln oder Daten aufgrund eines einzelnen Fehlers.
- Es unterstützt Hochverfügbarkeit bei temporären Azure Key Vault Zugriffsprobleme für Exchange- oder Multiworkload-Dienstverschlüsselung. SharePoint und OneDrive verwenden nur den Verfügbarkeitsschlüssel während einer expliziten Wiederherstellung, die Sie anfordern.
Microsoft trägt die Verantwortung für den Schutz Ihrer Daten durch mehrstufige Schlüsselverwaltungsschutz und -prozesse. Dieser Ansatz verringert das Risiko eines dauerhaften Schlüssels oder Datenverlusts. Sie sind allein befugt, den Verfügbarkeitsschlüssel zu deaktivieren oder zu zerstören, wenn Sie den Dienst verlassen. Standardmäßig kann niemand bei Microsoft direkt auf den Verfügbarkeitsschlüssel zugreifen. nur Microsoft 365-Dienstcode kann es verwenden.
Weitere Informationen zum Sichern von Schlüsseln durch Microsoft finden Sie im Microsoft Trust Center.
Verwendungen des Verfügbarkeitsschlüssels
Der Verfügbarkeitsschlüssel unterstützt die Wiederherstellung, wenn ein externer Angreifer oder böswilliger Insider die Kontrolle über Ihren Schlüsseltresor erlangt oder wenn eine fehlerhafte Verwaltung den Verlust von Stammschlüsseln verursacht. Diese Wiederherstellungsfunktion gilt für alle Microsoft 365-Dienste, die Kundenschlüssel unterstützen. Einige Dienste verwenden es auch für Szenarien mit eingeschränkter Hochverfügbarkeit.
Das freigegebene Verhalten:
- Wiederherstellung: Unterstützt das Entschlüsseln von Daten, damit Sie sie mit einem neuen DEP und neuen Kundenschlüsseln erneut verschlüsseln können.
- Nur programmgesteuerte Verwendung: Der Zugriff erfolgt über Microsoft 365-Dienstcode. Es gibt keinen direkten Administratorzugriff.
- Kein Ersatz für Betriebsschlüssel: Ihre beiden Kundenschlüssel bleiben die primären Verschlüsselungsstämme.
Dienstverhalten nach Workload:
Neben der Wiederherstellung verwendet der Dienst den Verfügbarkeitsschlüssel bei kurzen Azure Key Vault Ausfällen oder Netzwerkfehlern. Diese Funktion ermöglicht den Zugriff auf Postfachdaten für erforderliche Hintergrundaufgaben:
- Antischadsoftware und Virenscans
- eDiscovery
- Verhinderung von Datenverlust in Microsoft Purview
- Verschieben von Postfächern
- Indizierung
Wenn ein Entpackungsversuch mit einem Kundenschlüssel einen Systemfehler zurückgibt, versucht Exchange den zweiten Schlüssel. Wenn beide Versuche mit Systemfehlern fehlschlagen, wird auf den Verfügbarkeitsschlüssel zurückfallen. Fehler vom Typ "Zugriff verweigert" lösen ihn nicht für Benutzeraktionen aus.
Sicherheit des Verfügbarkeitsschlüssels
Microsoft ist für den Schutz Ihrer Daten verantwortlich, indem der Verfügbarkeitsschlüssel generiert und strenge Kontrollen angewendet werden, um sie zu schützen.
Kunden haben keinen direkten Zugriff auf den Verfügbarkeitsschlüssel. Beispielsweise können Sie nur die Schlüssel ausführen, die Sie in Azure Key Vault verwalten. Microsoft verwaltet den Verfügbarkeitsschlüssel über automatisierten Dienstcode, ohne ihn für Benutzer verfügbar zu machen.
Weitere Informationen finden Sie unter Rollen oder Rotieren eines Kundenschlüssels oder eines Verfügbarkeitsschlüssels.
Geheimnisspeicher für Verfügbarkeitsschlüssel
Microsoft schützt Verfügbarkeitsschlüssel in zugriffsgesteuerten internen Geheimnisspeichern, ähnlich wie Azure Key Vault. Zugriffssteuerungen verhindern, dass Microsoft-Administratoren gespeicherte Geheimnisse direkt abrufen. Alle Vorgänge (einschließlich Rotation und Löschung) erfolgen über automatisierten Dienstcode.
Verwaltungsvorgänge sind auf bestimmte Techniker beschränkt und erfordern eine Rechteausweitung über Lockbox. Anforderungen müssen eine Begründung enthalten, vom Manager genehmigt, zeitgebunden und bei Ablauf oder Abmeldung automatisch widerrufen werden.
Exchange- und Multiworkload-Verfügbarkeitsschlüssel werden in einem Exchange Active Directory-Geheimnisspeicher in mandantenspezifischen Containern im Active Directory-Domäne Controller gespeichert. Dieser Speicher ist von dem Speicher isoliert, der von SharePoint und OneDrive verwendet wird.
SharePoint- und OneDrive-Verfügbarkeitsschlüssel werden in einem internen Geheimnisspeicher mit Front-End-Servern gespeichert, die Anwendungsendpunkte und ein SQL-Datenbank Back-End bereitstellen. Schlüssel werden mit Verschlüsselungsschlüsseln für den Geheimspeicher umschlossen, die AES-256 und HMAC verwenden. Diese Schlüssel werden in einem logisch isolierten Datenbankbereich gespeichert und mithilfe von RSA-2048-Zertifikaten, die von der Microsoft-Zertifizierungsstelle ausgestellt wurden, weiter verschlüsselt. Zertifikate werden auf den Front-End-Servern gespeichert, die Datenbankvorgänge ausführen.
Defense-in-Depth
Microsoft verwendet eine Defense-in-Depth-Strategie, um zu verhindern, dass böswillige Akteure die Vertraulichkeit, Integrität oder Verfügbarkeit von Kundendaten, die in der Microsoft Cloud gespeichert sind, gefährden. Im Rahmen dieses mehrstufigen Sicherheitsansatzes werden spezifische präventive und detektive Kontrollen zum Schutz des Geheimnisspeichers und des Verfügbarkeitsschlüssels eingerichtet.
Microsoft 365 wurde entwickelt, um den Missbrauch des Verfügbarkeitsschlüssels zu verhindern. Die Anwendungsschicht ist die einzige Schnittstelle, die Schlüssel (einschließlich des Verfügbarkeitsschlüssels) für die Verschlüsselung und Entschlüsselung verwenden kann. Nur Microsoft 365-Dienstcode kann die Schlüsselhierarchie interpretieren und durchlaufen. Zwischen den Speicherorten von Kundenschlüsseln, Verfügbarkeitsschlüsseln, anderen hierarchischen Schlüsseln und Kundendaten besteht eine logische Isolation. Diese Trennung verringert das Risiko einer Datenexposition, wenn ein Standort kompromittiert wird. Jede Ebene in der Schlüsselhierarchie umfasst eine kontinuierliche Angriffserkennung, um gespeicherte Daten und Geheimnisse zu schützen.
Zugriffssteuerungen verhindern nicht autorisierten Zugriff auf interne Systeme, einschließlich Geheimnisspeicher für Verfügbarkeitsschlüssel. Microsoft-Techniker haben keinen direkten Zugriff auf diese Stores. Weitere Informationen finden Sie unter Administrative Zugriffssteuerungen in Microsoft 365.
Technische Kontrollen verhindern auch, dass sich Microsoft-Mitarbeiter bei Dienstkonten mit hohen Berechtigungen anmelden, die Angreifer andernfalls zum Annehmen der Identität von Microsoft-Diensten verwenden könnten. Diese Steuerelemente blockieren interaktive Anmeldeversuche.
Die Sicherheitsprotokollierung und -überwachung sind weitere Sicherheitsmaßnahmen im Ansatz von Microsoft. Serviceteams stellen Überwachungslösungen bereit, die Warnungen und Überwachungsprotokolle generieren. Alle Protokolle werden in ein zentrales Repository hochgeladen, wo sie aggregiert und analysiert werden. Interne Tools werten diese Datensätze automatisch aus, um sicherzustellen, dass Dienste sicher, resilient und wie erwartet funktionieren. Ungewöhnliche Aktivitäten werden zur Überprüfung gekennzeichnet.
Jedes Ereignis, das einen potenziellen Verstoß gegen die Microsoft-Sicherheitsrichtlinie signalisiert, wird an Microsoft-Sicherheitsteams eskaliert. Microsoft 365-Sicherheitswarnungen sind so konfiguriert, dass versuchter Zugriff auf Geheimnisspeicher für Verfügbarkeitsschlüssel und nicht autorisierte Anmeldeversuche bei Dienstkonten erkannt werden. Das System erkennt auch Abweichungen vom erwarteten Baselinedienstverhalten. Jeder Versuch, Microsoft 365-Dienste zu missbrauchen, löst Warnungen aus und kann dazu führen, dass der Angreifer aus der Microsoft Cloud-Umgebung entfernt wird.
Verwenden des Verfügbarkeitsschlüssels zur Wiederherstellung nach Schlüsselverlust
Wenn Sie die Kontrolle über Ihre Kundenschlüssel verlieren, können Sie mit dem Verfügbarkeitsschlüssel betroffene Daten entschlüsseln und unter einem neuen DEP mit neuen Kundenschlüsseln erneut verschlüsseln.
- Erstellen Sie zwei neue Kundenschlüssel in separaten Azure-Abonnements.
- Erstellen Sie einen neuen Exchange-DEP.
- Weisen Sie den DEP betroffenen Postfächern zu.
- Erneute Verschlüsselung im Hintergrund zulassen (kann bis zu 72 Stunden dauern). Der Verfügbarkeitsschlüssel schützt Daten während des Übergangs.
Verwendung des Verfügbarkeitsschlüssels
Wenn Sie eine Datenverschlüsselungsrichtlinie (DATA Encryption Policy, DEP) mit Kundenschlüssel erstellen, generiert Microsoft 365 einen DEP-Schlüssel, der dieser Richtlinie zugeordnet ist. Der Dienst verschlüsselt den DEP-Schlüssel dreimal: einmal mit jedem Ihrer Kundenschlüssel und einmal mit dem Verfügbarkeitsschlüssel. Es werden nur die verschlüsselten Versionen des DEP-Schlüssels gespeichert. Ein DEP-Schlüssel kann nur mit einem der Kundenschlüssel oder dem Verfügbarkeitsschlüssel entschlüsselt werden.
Der DEP-Schlüssel wird verwendet, um Postfachschlüssel zu verschlüsseln, die wiederum einzelne Postfächer verschlüsseln.
Microsoft 365 verwendet den folgenden Prozess zum Entschlüsseln und Bereitstellen des Zugriffs auf Postfachdaten:
- Entschlüsseln Sie den DEP-Schlüssel mithilfe eines Kundenschlüssels.
- Verwenden Sie den entschlüsselten DEP-Schlüssel, um den Postfachschlüssel zu entschlüsseln.
- Verwenden Sie den entschlüsselten Postfachschlüssel, um das Postfach zu entschlüsseln und Zugriff auf die Daten bereitzustellen.
Trigger für Verfügbarkeitsschlüssel
Microsoft 365 löst den Verfügbarkeitsschlüssel nur unter bestimmten Umständen aus, und diese Umstände unterscheiden sich je nach Dienst.
Microsoft 365 folgt dieser Sequenz, wenn ein DEP-Schlüssel für einen Postfachvorgang benötigt wird:
- Es liest die dem Postfach zugewiesene Datenverschlüsselungsrichtlinie (Data Encryption Policy, DEP), um die beiden in Azure Key Vault gespeicherten Kundenschlüssel zu identifizieren.
- Es wählt zufällig einen der beiden Schlüssel aus und sendet eine Anforderung an Azure Key Vault, um den DEP-Schlüssel zu entpacken (entschlüsseln).
- Wenn bei dieser Anforderung ein Fehler auftritt, wird eine zweite Anforderung mithilfe des alternativen Schlüssels gesendet.
- Wenn beide Anforderungen fehlschlagen, wertet Microsoft 365 den Fehlertyp aus:
- Systemfehler (z. B. Azure Key Vault Dienst nicht verfügbar, Timeouts, vorübergehende Netzwerkfehler): Der Verfügbarkeitsschlüssel wird zum Entpacken des DEP-Schlüssels verwendet. Der DEP-Schlüssel entschlüsselt dann den Postfachschlüssel, und der Dienst schließt den Vorgang ab.
- Zugriff verweigert (Schlüssel gelöscht, Berechtigungen entfernt, absichtlich oder versehentlich entfernt während Löschvorgängen): Der Verfügbarkeitsschlüssel wird nicht für vom Benutzer initiierte Aktionen verwendet. Die Benutzeranforderung schlägt fehl und gibt einen Fehler zurück.
Wichtig
Dienstcode verwaltet gültige Token für die erforderliche interne Verarbeitung. Bis zum Löschen des Verfügbarkeitsschlüssels können interne Exchange-Vorgänge (z. B. Postfachverschiebungen, Indizierung, Virenschutzüberprüfung, eDiscovery, DLP) weiterhin auf den Verfügbarkeitsschlüssel zurückgreifen, wenn beide Kundenschlüssel nicht erreichbar sind – unabhängig davon, ob die Ursache ein Systemfehler war oder der Zugriff verweigert wurde. Dieser Entwurf trägt dazu bei, die Resilienz des Diensts während der Untersuchung beizubehalten.
Überwachungsprotokolle und der Verfügbarkeitsschlüssel
Die automatisierte Hintergrundverarbeitung (Antivirus, eDiscovery, DLP, Indizierung) generiert keine vom Kunden sichtbaren Protokolle. Microsoft-Mitarbeiter greifen während des normalen Betriebs nicht auf Daten zu.
Wenn Exchange auf den Verfügbarkeitsschlüssel zugreift, um den Dienst bereitzustellen, erstellt Microsoft 365 vom Kunden sichtbare Protokolle. Sie können über das Microsoft Purview-Portal auf diese Protokolle zugreifen. Jedes Mal, wenn der Dienst den Verfügbarkeitsschlüssel verwendet, generiert er einen Überwachungsprotokolleintrag.
Fallbackereignisse erstellen einheitliche Überwachungsprotokolleinträge :
- Datensatztyp: CustomerKeyServiceEncryption
- Aktivität: Fallback auf Verfügbarkeitsschlüssel
Die Felder umfassen Datum, Uhrzeit, Aktivität, organization-ID, DEP-ID, Richtlinien-ID, Bereichsschlüsselversions-ID, Anforderungs-ID (allgemeines Schema der Verwaltungsaktivität).
In den Protokolldetails zeigt das Feld Workload an Exchange.
Verfügbarkeitsschlüssel in der Kundenschlüsselhierarchie
Microsoft 365 verwendet den Verfügbarkeitsschlüssel, um die Ebene der darunter liegenden Schlüssel in der Verschlüsselungshierarchie für Kundenschlüssel zu umschließen. Jeder Dienst verfügt über eine andere Schlüsselhierarchie. Die Schlüsselalgorithmen variieren auch zwischen Verfügbarkeitsschlüsseln und anderen Schlüsseln in der Hierarchie.
Die von den einzelnen Diensten verwendeten Verfügbarkeitsschlüsselalgorithmen sind:
- Exchange-Verfügbarkeitsschlüssel verwenden AES-256.
- Verfügbarkeitsschlüssel für mehrere Workloads verwenden AES-256.
- SharePoint- und OneDrive-Verfügbarkeitsschlüssel verwenden RSA-2048.
Verschlüsselungsverfahren, die zum Verschlüsseln von Schlüsseln für Exchange verwendet werden
Verschlüsselungsverfahren, die zum Verschlüsseln von Schlüsseln für SharePoint verwendet werden
