Auf der letzten Ignite angekündigt und nun etwas später in Public Preview, wurde die Funktion schon von einigen Unternehmen genutzt, ihren eigenen Schlüssel (BYOK) einzubringen und für Microsoft Teams einzusetzen. Nun ist diese Funktion generell verfügbar.
Customer Key für Microsoft Teams (Dienstverschlüsselung)
Zusätzlich zu der Verschlüsselung auf der Ebene der Volumenebene (AtRest / Bitlocker), verwenden Microsoft Teams, Exchange Online und SharePoint Online/OneDrive for Business auch Dienstverschlüsselungen.
Diese Dienstverschlüsselung verfügt über zwei Varianten
- Microsoft verwalteter Schlüssel
- Kundenschlüssel
Die Variante Kundenschlüssel ist nun generell verfügbar und kann für Microsoft Teams eingesetzt werden.
Wie funktioniert es?
Als Kunde kann man den Stammschlüssel, die mit der Dienstverschlüsselung verwendet wird mit Hilfe des Azure Key Vault eingebracht werden. Man spricht hier von Bring-Your-Own-Key, in dem der Schlüssel vom Kunden mitgebracht und in seinen Azure Key Vault gespeichert wird.
Mithilfe von Customer Key könnt ihr eigene Kryptografieschlüssel mithilfe eines lokalen Hardwaredienstmoduls (Hardware Service Module, HSM) oder Azure Key Vault (AKV) generieren. Unabhängig davon, wie ihr den Schlüssel generieren, verwenden ihr AKV zum Steuern und Verwalten der kryptografischen Schlüssel, die von Office 365 verwendet werden. Nachdem eure Schlüssel in AKV gespeichert wurden, können sie als Stamm einer der Schlüsselbunde verwendet werden, die Ihre Postfachdaten oder -dateien verschlüsselt.
Europäische Dienstleister für Keys
Aktuell gibt es nur zwei von Microsoft unterstützte Anbieter aus der EU:
- Thales
- Enttrust
Vorteile des mitgebrachten Schlüssels
- Bietet eine zusätzliche Schutzebene über BitLocker.
- Ermöglicht die Trennung von Windows-Betriebssystemadministratoren vom Zugriff auf vom Betriebssystem gespeicherte oder verarbeitete Anwendungsdaten.
- Enthält eine Kundenschlüsseloption, die es mehr mandantendienstigen Diensten ermöglicht, die Schlüsselverwaltung pro Mandant zu ermöglichen.
- Verbessert die Fähigkeit von Microsoft 365, die Anforderungen von Kunden zu erfüllen, die bestimmte Complianceanforderungen hinsichtlich verschlüsselung haben.
“Ein weiterer Vorteil von Customer Key ist die Kontrolle über die Fähigkeit von Microsoft, Ihre Daten zu verarbeiten. Wenn Sie Daten aus Office 365 entfernen möchten, z. B. wenn Sie den Dienst bei Microsoft beenden oder einen Teil Ihrer in der Cloud gespeicherten Daten entfernen möchten, können Sie dies tun und Customer Key als technische Steuerung verwenden. Durch das Entfernen von Daten wird sichergestellt, dass niemand, einschließlich Microsoft, auf die Daten zugreifen oder diese verarbeiten kann. Customer Key ist zusätzlich und ergänzt die Kunden-Lockbox, die Sie verwenden, um den Zugriff auf Ihre Daten durch Microsoft-Mitarbeiter zu steuern.”
Welche Dienste/Funktionen unterfallen der Customer Key Variante?
Die folgenden Funktionen unterfallen der nun GA gewordenen Customer Key Funktion:
- Team-Chat-Nachrichten (1:1-Chats, Gruppen-Chats, Meeting-Chats und Channel-Unterhaltungen)
- Teams-Mediennachrichten (Bilder, Codeschnipsel, Videonachrichten, Audionachrichten, Wikibilder)
- Teams-Anruf- und Meeting-Aufzeichnungen, die im Teams-Speicher abgelegt werden
- Teams-Chat-Benachrichtigungen, Teams-Chat-Vorschläge durch Cortana, Teams-Statusmeldungen
- Benutzer- und Signalinformationen für Exchange Online
- Exchange Online-Postfächer, die nicht bereits mit DEPs auf Postfächerebene verschlüsselt sind
- Microsoft Information Protection-Daten mit Exact Data Match (EDM) – (Datendateischemata, Regelpakete und die Salts, die zum Hashing der sensiblen Daten verwendet werden)
Lizenzen
Um diese Funktion zu nutzen, benötigt ihr:
- Office 365 E5
- Microsoft 365 E5
- Microsoft 365 E5 Compliance
- Microsoft 365 Information Protection and Governance
für alle Nutzer des Tenants.
+ Azure Key Vault Premium / Azure Subskription
für die Einrichtung und Nutzung.
Weitere Informationen
https://docs.microsoft.com/en-us/microsoft-365/compliance/customer-key-overview?view=o365-worldwide
Service Encryption – Microsoft 365 Compliance | Microsoft Docs
https://blogs.office.com/2015/04/21/enhancing-transparency-and-control-for-office-365-customers/
- Dienstverschlüsselung mit Kundenschlüssel
- Einrichten des Kundenschlüssels
- Verwalten von Kundenschlüsseln
- Rollen oder Drehen eines Kundenschlüssels oder eines Verfügbarkeitsschlüssels
- Verstehen des Verfügbarkeitsschlüssels
via
Customer Key support for Microsoft Teams now Generally Available! – Microsoft Tech Community