Einrichten des Kundenschlüssels

Erstellen eines Premium Azure Key Vault für jedes Abonnement

Führen Sie vor dem Erstellen eines Schlüsseltresors die Schritte unter Erste Schritte mit Azure Key Vault aus. Diese Schritte führen Sie durch das Installieren und Starten von Azure PowerShell und das Herstellen einer Verbindung mit Ihrem Abonnement. Erstellen Sie als Nächstes eine Ressourcengruppe und einen Schlüsseltresor.

Wenn Sie einen Schlüsseltresor erstellen, müssen Sie eine SKU auswählen: Standard oder Premium. Die Standard-SKU verwendet softwaregeschützte Schlüssel ohne Hardwaresicherheitsmodul (HSM), während die Premium-SKU die Verwendung von HSMs zum Schützen von Schlüsseln ermöglicht. Der Kundenschlüssel unterstützt Schlüsseltresore mit einer der beiden SKUs, aber Microsoft empfiehlt dringend die Verwendung der Premium-SKU. Die Kosten der Vorgänge sind für beide gleich. Die einzige Preisdifferenz ergibt sich also aus den monatlichen Kosten für jeden HSM-geschützten Schlüssel. Preisdetails finden Sie unter Key Vault Preise.

Aktivieren des vorläufigen Löschens und des Löschschutzes

Wenn Sie Ihre Schlüssel schnell wiederherstellen können, ist es weniger wahrscheinlich, dass erweiterte Dienstausfälle aufgrund eines versehentlichen oder böswilligen Löschens auftreten. Dieses Wiederherstellungsfeature wird als vorläufiges Löschen bezeichnet. Damit können Sie gelöschte Schlüssel oder Tresore innerhalb von 90 Tagen wiederherstellen, ohne eine Wiederherstellung aus einer Sicherung durchführen zu müssen. Kundenschlüssel erfordert, dass für alle Tresore vorläufiges Löschen aktiviert ist und eine Aufbewahrungsdauer von 90 Tagen gilt. Vorläufiges Löschen wird für neue Azure Key Vaults automatisch aktiviert. Wenn Sie vorhandene Tresore verwenden, in denen sie nicht aktiviert sind, können Sie sie manuell aktivieren.

Wenn der Bereinigungsschutz aktiviert ist, kann ein Tresor oder ein Objekt im gelöschten Zustand nicht gelöscht werden, bis der Aufbewahrungszeitraum abgelaufen ist. Vorläufig gelöschte Tresore und Objekte können weiterhin wiederhergestellt werden, um sicherzustellen, dass die Aufbewahrungsrichtlinie eingehalten wird.

Informationen zum Aktivieren des vorläufigen Löschens und des Löschschutzes für Ihre Azure Key Vault finden Sie unter Azure Key Vault Wiederherstellungsverwaltung mit vorläufigem Löschen und Bereinigungsschutz.

Erstellen Sie für jede Microsoft 365-Workload, für die Sie Kundenschlüssel verwenden, einen Schlüsseltresor in jedem der beiden Azure Abonnements, die Sie zuvor eingerichtet haben.

Key Vault-Konfiguration

Wenn Sie beispielsweise Kundenschlüssel für mehrere Workloads, Exchange- und SharePoint-Szenarien verwenden, benötigen Sie drei Schlüsseltresorepaare für insgesamt sechs. Verwenden Sie eine klare Namenskonvention, die die beabsichtigte Verwendung des DEP widerspiegelt, dem Sie die Tresore zuordnen. In der folgenden Tabelle wird gezeigt, wie sie die einzelnen Azure Key Vault jeder Workload zuordnen.

Zum Erstellen von Schlüsseltresoren muss auch Azure Ressourcengruppen eingerichtet werden. Schlüsseltresore erfordern eine kleine Menge an Speicher, und bei der Protokollierung (sofern aktiviert) werden auch Daten gespeichert. Als bewährte Methode empfiehlt Microsoft, verschiedene Administratoren zuzuweisen, um jede Ressourcengruppe zu verwalten. Diese Rollen sollten mit den Administratoren übereinstimmen, die für die Verwaltung der zugeordneten Kundenschlüsselressourcen verantwortlich sind.

Für Exchange wird ein DEP auf Postfachebene festgelegt. Jedem Postfach kann nur eine Richtlinie zugewiesen werden, und Sie können bis zu 50 Richtlinien erstellen. Eine SharePoint-Richtlinie deckt alle Daten am geografischen Standort (oder geografischen Standort) einer organization ab, während eine Richtlinie mit mehreren Workloads unterstützte Workloads für alle Benutzer im organization abdeckt.

Zuweisen von Berechtigungen zu jedem Azure Key Vault

Weisen Sie jedem Schlüsseltresor die erforderlichen Berechtigungen zu, indem Sie Azure rollenbasierte Zugriffssteuerung (Azure RBAC) im Azure-Portal verwenden. In diesem Abschnitt wird erläutert, wie Sie die richtigen Berechtigungen mithilfe von RBAC anwenden.

Zuweisen von Berechtigungen mithilfe der RBAC-Methode

Um (wrapKey, unwrapKey, und get) auf Ihrem Azure Key Vault zuzuweisen, weisen Sie der entsprechenden Microsoft 365-App die Rolle Key Vault Crypto Service Encryption User zu. Weitere Informationen finden Sie unter Gewähren von Berechtigungen für Anwendungen für den Zugriff auf eine Azure Key Vault mithilfe Azure RBAC.

Suchen Sie beim Zuweisen der Rolle in Ihrem Mandanten nach den folgenden App-Namen:

• Mehrere Workloads: M365DataAtRestEncryption

• Umtausch: Office 365 Exchange Online

• SharePoint und OneDrive: Office 365 SharePoint Online

Wenn die gesuchte App nicht angezeigt wird, stellen Sie sicher, dass Sie die App im Mandanten registrieren.

Weitere Informationen zum Zuweisen von Rollen und Berechtigungen finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung zum Verwalten des Zugriffs auf Ihre Azure-Abonnementressourcen.

Zuweisen von Benutzerrollen

Kundenschlüssel erfordert sowohl Key Vault Administratoren als auch Key Vault Mitwirkende, um den Zugriff auf Verschlüsselungsschlüssel zu verwalten und zu schützen.

• Key Vault Administratoren erledigen tägliche Verwaltungsaufgaben wie Sichern, Erstellen, Abrufen, Importieren, Auflisten und Wiederherstellen. Standardmäßig verfügen sie nicht über die Berechtigung zum Löschen von Schlüsseln. Dieser Entwurf trägt dazu bei, dauerhaften Datenverlust zu verhindern. Erteilen Sie Löschberechtigungen nur vorübergehend und mit Vorsicht mithilfe der Rolle Mitwirkender.

• Key Vault Mitwirkende können Berechtigungen verwalten und Rollen im Key Vault zuweisen. Verwenden Sie diese Rolle, um den Zugriff zu steuern, wenn Teammitglieder beitreten oder diese verlassen.

Ausführliche Schritte zum Zuweisen dieser Rollen mithilfe Azure RBAC finden Sie unter Azure integrierten Rollen für vorgänge auf Key Vault Datenebene.

Hinzufügen eines Schlüssels zu jedem Key Vault entweder durch Erstellen oder Importieren eines Schlüssels

Es gibt zwei Möglichkeiten zum Hinzufügen von Schlüsseln zu einem Azure Key Vault: Sie können einen Schlüssel direkt im Tresor erstellen oder einen vorhandenen Schlüssel importieren. Das Erstellen eines Schlüssels in Azure ist einfacher, aber das Importieren eines Schlüssels gibt Ihnen die vollständige Kontrolle darüber, wie der Schlüssel generiert wird. Verwenden Sie RSA-Schlüssel. Customer Key unterstützt RSA-Schlüssellängen von bis zu 4.096 Bits. Azure Key Vault unterstützt das Umschließen und Entpacken mit elliptischen Kurventasten (EC) nicht.

Informationen zum Hinzufügen eines Schlüssels zu jedem Tresor finden Sie unter Add-AzKeyVaultKey.

Wenn Sie es vorziehen, einen Schlüssel lokal zu generieren und dann in Azure zu importieren, führen Sie die Schritte unter Generieren und Übertragen von HSM-geschützten Schlüsseln für Azure Key Vault aus. Verwenden Sie die Azure Anweisungen, um jedem Key Vault einen Schlüssel hinzuzufügen.

Überprüfen des Ablaufdatums Ihrer Schlüssel

Führen Sie das Cmdlet Get-AzKeyVaultKey aus, um zu überprüfen, ob ihre Schlüssel kein Ablaufdatum haben.

Für Azure Key Vault:

Get-AzKeyVaultKey -VaultName <vault name>

Der Kundenschlüssel kann keine abgelaufenen Schlüssel verwenden. Wenn ein Schlüssel abgelaufen ist, schlägt jeder Vorgang, der ihn verwendet, fehl, was zu einem Dienstausfall führen kann. Es wird dringend empfohlen, dass schlüssel, die mit dem Kundenschlüssel verwendet werden, kein Ablaufdatum haben.

Nach dem Festlegen kann ein Ablaufdatum nicht entfernt werden, aber Sie können es ändern. Wenn Sie einen Schlüssel mit einem Ablaufdatum verwenden müssen, aktualisieren Sie ihn auf 12/31/9999 , und verwenden Sie die Legacy-Onboardingmethode. Jeder andere Ablaufwert schlägt die Überprüfung des Customer Key-Onboardings fehl.

Verwenden Sie das Cmdlet Update-AzKeyVaultKey, um das Ablaufdatum in zu 12/31/9999ändern.

Update-AzKeyVaultKey -VaultName <vault name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

Sichern Azure Key Vault Schlüssels

Nachdem Sie einen Schlüssel erstellt oder geändert haben, stellen Sie sicher, dass Sie ihn sofort sichern. Speichern Sie Sicherungskopien sowohl an Online- als auch an Offlinespeicherorten, um Datenverluste zu vermeiden.

Verwenden Sie zum Sichern eines Schlüssels in Azure Key Vault das Cmdlet Backup-AzKeyVaultKey.

Abrufen eines URI für jeden Azure Key Vault-Schlüssel

Nachdem Sie Ihre Schlüsseltresore eingerichtet und Ihre Schlüssel hinzugefügt haben, führen Sie den folgenden Befehl aus, um den URI für jeden Schlüssel abzurufen. Sie benötigen diese URIs beim Erstellen und Zuweisen von DEPs. Achten Sie daher darauf, sie an einem sicheren Ort zu speichern.

Führen Sie den folgenden Befehl in Azure PowerShell aus – einmal für jede Key Vault:

(Get-AzKeyVaultKey -VaultName <vault name>).Id

Einrichten eines Kundenschlüssels mit verwaltetem HSM

Microsoft 365 Customer Key unterstützt RSA-Schlüssel, die in Azure Key Vault Managed HSM gespeichert sind, einer FIPS 140-2 Level 3-kompatiblen Lösung.

Managed HSM ist ein vollständig verwalteter, hoch verfügbarer Einzelmandantdienst, der kryptografische Schlüssel mithilfe von FIPS 140-2 Level 3-validierten Hardwaresicherheitsmodulen (HSMs) schützt. Es unterstützt Cloudanwendungen, die einen hochsicheren Schlüsselschutz erfordern.

Weitere Informationen zum Dienst finden Sie in der Übersicht über Azure Key Vault verwaltetes HSM.

Führen Sie zum Einrichten des Kundenschlüssels mit verwaltetem HSM die Schritte in der angegebenen Reihenfolge aus. Dieser Artikel enthält detaillierte Anleitungen für HSM-spezifische Aufgaben und Links zu freigegebenen Einrichtungsschritten aus dem Standardmäßigen Customer Key-Prozess.

Erstellen einer Ressourcengruppe, Bereitstellen und Aktivieren eines verwalteten HSM

Im Gegensatz zu Standard-Azure Key Vault, bei denen in der Regel drei Schlüsseltresorepaare (insgesamt sechs) zur Unterstützung aller Workloads erforderlich sind, erfordert verwaltetes HSM nur zwei Instanzen, eine pro Azure Abonnement, unabhängig davon, wie viele Kundenschlüsselworkloads Sie verwenden möchten.

Führen Sie zum Bereitstellen und Aktivieren Ihrer Verwalteten HSM-Instanzen die Schritte im Schnellstart für verwaltetes HSM mit PowerShell aus.

Zuweisen von Berechtigungen für jedes verwaltete HSM

Verwaltetes HSM verwendet die lokale rollenbasierte Zugriffssteuerung (RBAC), um Berechtigungen zu verwalten. Um den erforderlichen Zugriff für den Kundenschlüssel zuzuweisen, müssen Sie der entsprechenden Microsoft 365-Anwendung die Rolle Managed HSM Crypto Service Encryption User gewähren.

Diese Rolle gewährt die folgenden Berechtigungen für den Schlüssel: wrapKey, unwrapKeyund get.

Weitere Informationen finden Sie unter Verwaltete HSM-Rollenverwaltung.

Suchen Sie beim Zuweisen der Rolle nach den folgenden Microsoft 365-App-Namen:

• Mehrere Workloads: M365DataAtRestEncryption
• Umtausch: Office 365 Exchange Online
• SharePoint und OneDrive: Office 365 SharePoint Online

Wenn die erwartete App in Ihrem Mandanten nicht angezeigt wird, überprüfen Sie, ob Sie die erforderlichen Dienstprinzipale registriert haben.

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung zum Verwalten des Zugriffs auf Ihre Azure Abonnementressourcen.

Zuweisen von Benutzerrollen zu Ihrem verwalteten HSM

Verwaltete HSM-Administratoren sind für tägliche Verwaltungsaufgaben wie backup, , create, getimport, listund restoreverantwortlich.

Rollendefinitionen und Anleitungen zum Zuweisen von Benutzerrollen finden Sie unter Zuweisen von Benutzerrollen.

Hinzufügen eines Schlüssels zu jedem verwalteten HSM

Verwaltetes HSM unterstützt nur HSM-geschützte Schlüssel. Beim Erstellen von Schlüsseln für die Verwendung mit Kundenschlüsseln müssen Sie den Schlüsseltyp RSA-HSM verwenden.

Um einen Schlüssel direkt in Managed HSM zu erstellen, führen Sie die Schritte unter Add-AzKeyVaultKey aus.

Wenn Sie es vorziehen, einen Schlüssel lokal zu generieren und dann in Ihr verwaltetes HSM zu importieren, lesen Sie Generieren und Übertragen von HSM-geschützten Schlüsseln für Azure Key Vault.

Verwenden Sie diese Anweisungen, um einen Schlüssel in jeder verwalteten HSM-instance zu erstellen.

Überprüfen des Ablaufdatums Ihrer verwalteten HSM-Schlüssel

Führen Sie das Cmdlet Get-AzKeyVaultKey aus, um zu überprüfen, ob ihre Schlüssel kein Ablaufdatum haben.

Für verwaltetes HSM:

Get-AzKeyVaultKey -HsmName <HSM name>

Der Kundenschlüssel kann keine abgelaufenen Schlüssel verwenden. Wenn ein Schlüssel abgelaufen ist, schlägt jeder Vorgang, der ihn verwendet, fehl, was zu einem Dienstausfall führen kann. Es wird dringend empfohlen, dass schlüssel, die mit dem Kundenschlüssel verwendet werden, kein Ablaufdatum haben.

Nach dem Festlegen kann ein Ablaufdatum nicht entfernt werden, aber Sie können es ändern. Wenn Sie einen Schlüssel mit einem Ablaufdatum verwenden müssen, aktualisieren Sie ihn auf 12/31/9999 , und verwenden Sie die Legacy-Onboardingmethode. Jeder andere Ablaufwert schlägt die Microsoft 365-Überprüfung fehl.

Verwenden Sie das Cmdlet Update-AzKeyVaultKey, um das Ablaufdatum in zu 12/31/9999ändern.

Update-AzKeyVaultKey -HsmName <HSM name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

Sichern Ihres verwalteten HSM-Schlüssels

Informationen zum Sichern Ihres verwalteten HSM-Schlüssels finden Sie unter Backup-AzKeyVaultKey.

Abrufen des URI für jeden verwalteten HSM-Schlüssel

Nachdem Sie Ihre verwalteten HSMs eingerichtet und Ihre Schlüssel hinzugefügt haben, führen Sie den folgenden Befehl aus, um den URI für jeden Schlüssel abzurufen. Sie benötigen diese URIs beim Erstellen und Zuweisen von Datenverschlüsselungsrichtlinien (DEPs). Achten Sie daher darauf, sie an einem sicheren Ort zu speichern.

Führen Sie den folgenden Befehl in Azure PowerShell aus – einmal für jede Key Vault:

(Get-AzKeyVaultKey -HsmName <HSM name>).Id