SlideShare ist ein Scribd-Unternehmen logo
1 von 43
#TeamsNation
Securing Microsoft 365 Data
with service encryption
Thomas Stensitzki
Sponsored by
Microsoft Teams Microsoft Tech Community
Thomas Stensitzki
Enterprise Consultant | Geschäftsführer
Granikos GmbH & Co. KG
MVP | MCT | MCT Regional Lead
Twitter @Stensitzki
LinkedIn https://linkedin.com/in/thomasstensitzki
Blog http://Blog.Granikos.eu
YouTube http://TechTalk.Granikos.eu
Was wir nicht betrachten
Transportverschlüsselung
Zwischen Kunde und Rechenzentrum Zwischen Servern und Rechenzentrum
Was wir nicht betrachten
Azure Service Verschlüsselungen
 Client-Side Encryption
 Azure Disk Encryption
 Azure Storage Service Encryption
 Azure Blob Client-Side Encryption
 Azure SQL Database Data-at-Rest Encryption
 Cosmos DB Database Encryption
 Data Lake Encryption
 SMB Encryption over Azure Virtual Networks
 Server-Side Encryption
 Service-Managed Keys
 Customer-Managed Keys (Bring Your Own Key BYOK)
Weitere Informationen
Was wir nicht betrachten
E-Mail-Verschlüsselungen
 Nachrichtenverschlüsselung mit S/MIME
 Office 365 Message Encryption (OME)
 Vertraulichkeitsbezeichnungen (Sensitivity Label)
Verschlüsselung in Microsoft 365
Microsoft 365 Standard
• BitLocker  Dateisystem-Verschlüsselung in Microsoft Rechenzentren
• Shredded Storage  Verschlüsselung von Dateiteilen mit AES-256 Schlüsseln
Erweiterung der Standardverschlüsselung
• Customer Managed KEY (CMK)
• Double Key Encryption (DKE)
Key Store
SharePoint Online – Shredded Storage
Encryption Data-at-Rest
Azure Storage Containers Content Database
Chunks
Encrypted Files
A B C D
https://aka.ms/dataencryption
Customer Key
Sponsored by
Microsoft Teams Microsoft Tech Community
Customer Key
Warum gibt es Customer Key in Microsoft 365?
 Verschlüsselung von Dateninhalten als zusätzliche Schutzebene zu BitLocker
 Trennung des Zugriffes für Windows Administratoren auf Applikationsdaten, die durch das
Betriebssystem verarbeitet werden
 Customer Key Option ermöglicht eine Schlüsselverwaltung pro Mandant
 Ermöglicht die Umsetzung von besonderen Compliance-Anforderungen zur Verschlüsselung in
Microsoft 365
 Schlüsselverwaltung durch den Kunden
Customer Key
https://m365maps.com
Exchange Online
Management Shell
Customer Key
 Azure Key Vaults in zwei separaten Azure Abonnements  EA oder CSP
 Initiale Einrichtung der Customer Managed Keys über FastTrack Portal (Microsoft Empfehlung)
 Schlüsselungsmöglichkeiten
 Allgemeine Microsoft 365 Data-at-Rest Verschlüsselung
 Dienstverschlüsselung für Exchange Online und SharePoint Online (inkl. OneDrive und Microsoft Teams)
 Verwaltung
 Erstellung von Data Encryption Policies (DEP)
 Zuweisung von Data Encryption Policies
 Schlüsselwechsel
 Rotation eines Customer Key
 Rotation eines Availability Key  Keine direkte Kontrolle durch Endkunden
Weitere Informationen zum Schlüsselwechsel
Customer Key
 Löschen Sie keine Schlüssel, die mit DEP-Richtlinien verknüpft sind oder einmal aktiv verknüpft
waren
 Inhalte werden bei einer Schlüsselrotation entschlüsselt und mit dem neuen Schlüssel erneut
verschlüsselt
 Exchange Online
 Aktive Postfächer werden regelmäßig neu verschlüsselt
 Inaktive, deaktivierte und nicht mehr verbundene Postfächer können noch mit einem alten Schlüssel
verschlüsselt sein
 SharePoint Online
 Datensicherungen zur Wiederherstellung können Daten enthalten, die mit einem alten Schlüssel
geschützt sind
 Risiko eines nachträglichen Datenverlustes
Hinweise
Customer Key
 On-Premises Hardware Service Module (HSM)
 Empfehlung für den produktiven Einsatz
 Azure Key Vault (AKV)
 Empfehlung für Testzwecke oder einen Proof-of-Concept
 Beide Varianten erfordern Azure Key Vaults für die Konfiguration und Verwaltung
Schlüsselverwaltung
Data Encryption Policies
 Teams Chat-Nachrichten (1:1 Chats, Gruppenchats, Meeting-Chats, Kanal-Konversationen)
 Teams Media-Nachrichten (Bilder, Code-Beispiele, Video-/Audio-Nachrichten, Wiki-Bilder)
 Teams Anruf- und Meeting-Aufzeichnungen in Teams-Speicherorten (aka Stream)
 Teams Chatbenachrichtigungen und Teams Chatempfehlungen von Cortana
 Teams Statusnachrichten
 Benutzer- und Signalinformationen in Exchange Online
 Exchange Online Postfächer, die nicht über eine dedizierte Postfach-DEP verschlüsselt sind
 Microsoft Information Protection
 Exact Data Match (EDM) Daten
 Label Vertraulichkeitskennzeichnungen (Sensitivity Label)
 Teams und EDM Daten werden ab Zuweisung der DEP-Richtlinie verschlüsselt
 Exchange Online Daten werden vollständig verschlüsselt
Data Encryption Policies
Folgenden Daten werden mit einer M365 Data-at-Rest DEP nicht verschlüsselt
 SharePoint Online und OneDrive for Business
 Teams Dateien und Aufzeichnungen in SharePoint Online und OneDrive for Business
 Teams Live Event Daten
 Andere Microsoft 365 Daten, z.B. Yammer oder Planner
 Es können mehrere DEP für Microsoft 365 Data-at-Rest im Mandaten existieren
 Nur eine DEP ist zugewiesen und aktiv
Data Encryption Policies
 Verschlüsselung von unterschiedlichen Objekttypen
 Benutzerpostfächern (Mailbox User)
 E-Mail-Benutzer (Mail User)
 Microsoft 365 Gruppen
 Geteilte Postfächer
 Öffentliche Ordner
 Je Postfach kann eine DEP zugewiesen werden
 Es können bis zu 50 aktive DEP im Mandanten existieren
Data Encryption Policies
2 Customer Keys
Azure Key Vault
RSA
Availability Key
Office 365
AES
256
Mailboxes
Data Encryption Policy Key
Basiert auf Root-Keys
AES
256
Mailbox Key
Basiert auf Data Encryption Policy Key
AES
256
Root Keys
Data Encryption Policies
 Verschlüsselung von existierenden Daten beginnt unmittelbar nach Zuweisung der Schlüssel
 Verschlüsselung von Daten mit unterschiedlichen Schlüssel je Geo-Lokation möglich
Data Encryption Policies
Data Chunks
2 Customer Keys
Azure Key Vault
RSA
Availability Key
Office 365
AES
256
Root Keys
1 Datei
= N Chunks
= N Keys
AES
256
File Chunk Encrpytion Key
Basiert auf Site Encryption Key
Site Encryption Key
Basiert auf Tenant Intermediate Key
AES
256
Tenant intermediate Key
Basiert auf Root-Keys
AES
256
Customer Key
Implementierung
Sponsored by
Microsoft Teams Microsoft Tech Community
Customer Key
Vor einer FastTrack-Anfrage zur Einrichtung von Customer Key im Microsoft 365 Mandanten
 Einrichtung von Azure Key Vaults und Keys in zwei Azure Abonnements
 Ein Key Vault mit Key für jeden zu verschlüsselnden Workload
Azure Subscriptions
Key Vaults
Keys
Subscription B
Subscription A
KEY- EXO-A KEY- EXO-B
KEY- M365-A KEY- M365-B
KV-M365-A KV-EXO-A KV-EXO-B
KV- M365-B
KV-SPO-A
KEY- SPO-A
KV-SPO-B
KEY- SPO-B
Customer Key
Vor einer FastTrack-Anfrage zur Einrichtung von Customer Key
 Einrichtung von Azure Key Vaults und Keys in zwei Azure Abonnements
 Ein Key Vault mit Key für jeden zu verschlüsselnden Workload
Azure Subscriptions
Key Vaults
Keys
KV-SPO-B
KV-EXO-B
KV- M365-B
Subscription B
KEY- M365-B KEY- EXO-B KEY- SPO-B
Subscription A
KV- M365-A KV-SPO-A
KV-EXO-A
KEY- M365-A KEY- EXO-A KEY- SPO-A
1 Schlüsselpaar je Workload
Customer Key
1. Erstellung von Azure AD Sicherheitsgruppe für Administratoren
 Administrator + Contributor
2. Erstellung von zwei Azure Abonnements
 Trennung der Berechtigungen für Azure Ressourcengruppen, Key Vaults und Keys
 AZ-EGXDE-CMK-A
 AZ-EGXDE-CMK-B
3. Registrierung des Mandanten für Customer Key via FastTrack
4. Erstellung einer Ressourcengruppe in jedem Abonnement
5. Erstellung der benötigten Key Vaults in jeder Ressourcengruppe
 Standard (Test, Proof-of-Concept) oder Premium (Produktiv)
6. Konfiguration der Zugriffsberechtigungen je Key Vault für Azure AD Sicherheitsgruppen
7. Erstellung der Keys je Key Vault
Key Vault und Key Namen sind global eindeutig
Customer Key
Customer Key
https://fasttrack.microsoft.com
Customer Key
Customer Key
Customer Key
Customer Key
# Registrierung des Provider Feature MandatoryRetentionPeriod
# Verhindert ein versehentliche Löschung des Azure Abonnements
Register-AzProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace
Microsoft.Resources
# Registrierung
Register-AzResourceProvider -ProviderNamespace Microsoft.KeyVault
# Einrichtung der Ressourcengruppe für Azure Key Vaults
New-AzResourceGroup -Name RG-EGXDE-KV-A -Location "West Europe"
# Einrichtung des ersten Key Vaults per Azure Portal
# Speichern der Vorlagen- und Parameterdatei für die weiteren Key Vaults
Abfrage der Azure Lokationen
Get-AzLocation
Customer Key
# Vorbereitung der Parameterdatei
"parameters": {
"name": {
"value": "az-kv-egxde-exo-a"
{…}
"accessPolicies": {
"value": [
{
"objectId": "754e1dbe-1bcf-4789-bbee-22410877fdb0",
"tenantId": "d320e379-89d3-4566-b834-6ca78a2f6399",
# Template-Datei laden und in Json konvertieren
$TemplateFile = [System.IO.File]::ReadAllText("C:CMKkeyvault-template.json")
$TemplateJson = ConvertFrom-Json $TemplateFile –AsHashtable
# Neue Ressourcengruppe erstellen
New-AzResourceGroupDeployment -ResourceGroupName "RG-EGXDE-KV-A" -TemplateObject `
$TemplateJson -TemplateParameterFile "C:CMKkeyvault-parameters-exo-a.json"
Key Vault Namen sind global eindeutig
Customer Key
# Variablen für Key Vault und Admin Sicherheitsgruppe
$kvName = 'az-kv-egxde-exo-a'
$kvAdminGroup = 'kv-Admins'
# Setzen der Zugriffsrichtlinie für Admininstratoren
Set-AzKeyVaultAccessPolicy -VaultName $kvName `
-ObjectId (Get-AzADGroup -SearchString $kvAdminGroup)[0].Id `
-PermissionsToKeys create,import,list,get,backup,restore
# Konfiguration der Contributor-Gruppe via Azure Portal für die Ressourcengruppe
Customer Key
# Variablen für Key Vault und Admin Sicherheitsgruppe
$kvName = 'az-kv-egxde-exo-a'
$kvAdminGroup = 'kv-Admins'
Set-AzKeyVaultAccessPolicy -VaultName $kvName `
-ObjectId (Get-AzADGroup -SearchString $kvAdminGroup)[0].Id `
-PermissionsToKeys create,import,list,get,backup,restore
# Konfiguration der Contributor-Gruppe via Azure Portal für die Ressourcengruppe
Customer Key
# Variablen für Key Vault
$kvName = 'az-kv-egxde-exo-a'
# Microsoft 365 Workloads
$objExoSfB = '00000002-0000-0ff1-ce00-000000000000'
$objSpoTeams = '00000003-0000-0ff1-ce00-000000000000'
$objMultiWL = 'c066d759-24ae-40e7-a56f-027002b5d3e4'
# Exchange Online / Skype for Business
Set-AzKeyVaultAccessPolicy -VaultName $kvName -PermissionsToKeys wrapKey,unwrapKey,get `
-ServicePrincipalName $objExoSfB
# SharePoint Online / OneDrive for Business / Teams Files
Set-AzKeyVaultAccessPolicy -VaultName $kvName -PermissionsToKeys wrapKey,unwrapKey,get `
-ServicePrincipalName $objSpoTeams
# Microsoft 365 Multi-Workload
Set-AzKeyVaultAccessPolicy -VaultName $kvName -PermissionsToKeys wrapKey,unwrapKey,get `
-ServicePrincipalName $objMultiWL
Customer Key
# Variablen für Key Vault
$kvName = 'az-kv-egxde-exo-a'
# Exchange Online / Skype for Business
Add-AzKeyVaultKey -VaultName $kvName -Name 'egxde-exo-key-a' -Destination 'Software'
# SharePoint Online / OneDrive for Business / Teams Files
Add-AzKeyVaultKey -VaultName $kvName -Name 'egxde-spo-key-a' -Destination 'Software'
# Microsoft 365 Multi-Workload
Add-AzKeyVaultKey -VaultName $kvName -Name 'egxde-m365dr-key-a' -Destination 'Software'
Key Namen sind global eindeutig
Customer Key
 Meldung an FastTrack per E-Mail
Data Encryption Policies
# PowerShell Modul: ExchangeOnlineManagement
Connect-ExchangeOnline
# Variablen
$key1 = 'https://az-kv-egxde-m365dr-a.vault.azure.net:443/keys/egxde-m365dr-key-a'
$key2 = 'https://az-kv-egxde-m365dr-b.vault.azure.net:443/keys/egxde-m365dr-key-b'
# Erstellung der Multi-Workload Data Encryption Policy
New-M365DataAtRestEncryptionPolicy -Name 'EGX_DataAtRest' `
-AzureKeyIDs $key1,$key2 -Description 'EGX Data at Rest Multi-Workload policy'
# Setzen der Multi-Workload DEP
Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy 'EGX_DataAtRest'
Data Encryption Policies
Get-M365DataAtRestEncryptionPolicyAssignment | fl
RunspaceId : 1d83f812-f929-4eb3-bd5d-881184373ba1
OrgHierarchyToIgnore :
IsDeleted : False
Rdn : CN=EGX_DataAtRest
Parent : egxde.onmicrosoft.comCKaaS Data Encryption Policies
Depth : 8
DistinguishedName : CN=EGX_DataAtRest,CN=CKaaS Data Encryption
Policies,CN=Configuration,CN=egxde.onmicrosoft.com,CN=ConfigurationUnits,DC=DEUP281A001,DC=PRO
D,DC=OUTLOOK,DC=COM
IsRelativeDn : False
DomainId : DEUP281A001.PROD.OUTLOOK.COM
PartitionGuid : 59ce2f71-eaa2-4ddf-a4fa-f25069d0b324
PartitionFQDN : DEUP281A001.PROD.OUTLOOK.COM
ObjectGuid : 05a9e413-6822-4918-8d8c-99b1aba1e06c
Name : EGX_DataAtRest
SecurityIdentifierString :
Data Encryption Policies
# Variablen
$key1 = 'https://az-kv-egxde-exo-a.vault.azure.net:443/keys/egxde-exo-key-a'
$key2 = 'https://az-kv-egxde-exo-b.vault.azure.net:443/keys/egxde-exo-key-b'
# Erstellung der Exchange Online Data Encryption Policy
New-DataEncryptionPolicy -Name 'EGX_EXO_DEP' `
-AzureKeyIDs $key1,$key2 `
-Description 'EGX Exchange Online Encryption Policy'
# Setzen der Exchange Online DEP
Set-Mailbox LouisR@varunagroup.de -DataEncryptionPolicy 'EGX_EXO_DEP'
Set-Mailbox LouisR@varunagroup.de -DataEncryptionPolicy 'EGX_EXO_DEP' -PublicFolder
Set-MailUser OnPremUser@varunagroup.de -DataEncryptionPolicy 'EGX_EXO_DEP'
Set-UnifiedGroup SomeGroup@groups.varunagroup.de -DataEncryptionPolicy 'EGX_EXO_DEP'
# Prüfung für Postfächer
Get-MailboxStatistics UPN | FL IsEncrypted
Data Encryption Policies
# PowerShell Modul: Microsoft.Online.SharePoint.PowerShell
Connect-SPOService -Url https://tenant-admin.sharepoint.com
# Abfrage der Key Versionen
Set-AzContext –SubscriptionId SUBSCRIPTION-A
$key1version = (Get-AzKeyVaultKey -VaultName az-kv-egxde-spo-a -Name egxde-spo-key-a `
-IncludeVersions).Version
Set-AzContext –SubscriptionId SUBSCRIPTION-B
$key2version = (Get-AzKeyVaultKey -VaultName az-kv-egxde-spo-b -Name egxde-spo-key-b `
-IncludeVersions).Version
# Erstellung der SharePoint Online Data Encryption Policy
Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'az-kv-egxde-spo-a' -PrimaryKeyName
'egxde-spo-key-a' -PrimaryKeyVersion $key1version -SecondaryKeyVaultName 'az-kv-egxde-spo-b' -
SecondaryKeyName 'egxde-spo-key-b' -SecondaryKeyVersion $key2version
# Prüfung
Get-SPODataEncryptionPolicy
Double Key Encryption
 Verschlüsselung einer Teilmenge von Microsoft 365 Daten
 Informationsschutz mit Vertraulichkeitsbezeichnungen (Sensitivity Label)
 Nutzung von HSM-Lösungen (z.B. Thales)
 Kompilierung des DKE GitHub Repository
 Keine Unterstützung von
 Transport Regeln, inkl. Anti-Malware- und Anti-Spam-Funktionen für Nachrichteninhalte
 Microsoft Delve
 eDiscovery
 Inhaltssuche und Indizierung
 Office Web Apps und Co-Authoring
https://go.granikos.eu/DKEVideo
Customer Key
 Customer Key unterstützt drei Verschlüsselungsziele
 Microsoft 365 Data-at-Rest
 Exchange Online
 SharePoint Online
 Nicht alle Microsoft 365 Workloads unterstützen Customer Key Verschlüsselung
 Customer Key erfordert eine Lizensierung für jedes Benutzerkonto
 Customer Key benötigt mindestens zwei Azure Abonnements für Key Vaults
 Ein Key Vault für jedes gewünschte Verschlüsselungsziel
 Aktivierung von Customer Key über Microsoft FastTrack (Microsoft Empfehlung)
 Definition der Zugriffsberechtigungen für Azure Abonnements und Key Vault
 Umsetzung einer Test-Implementierung in einem Test-Mandanten
Rate my session & Calls to Action
Rate this
session
https://teamsnation.rocks/
feedback
Attend more
sessions and
join our
keynotes at
19.00 CET
Show your love
on social using
#TeamsNation
and
@TeamsNation
1 2 3
Ressourcen
Subtitle
Understanding Microsoft Information Protection Encryption Key Types
Roll or rotate a Customer Key or an availability key
Move requests in the Microsoft 365 or Office 365 service
Encryption ciphers used by Customer Key
Encryption for Skype for Business, OneDrive for Business, SharePoint Online, Microsoft Teams, and
Exchange Online
Microsoft 365 Multi-Geo eDiscovery configuration
Microsoft 365 encryption technical reference
Assign roles in Azure Portal
Microsoft 365 Maps
Double Key Encryption

Weitere ähnliche Inhalte

Was ist angesagt?

Distributed computing
Distributed computingDistributed computing
Distributed computingshivli0769
 
Chapter09 Implementing And Using Group Policy
Chapter09      Implementing And  Using  Group  PolicyChapter09      Implementing And  Using  Group  Policy
Chapter09 Implementing And Using Group PolicyRaja Waseem Akhtar
 
Big Data and Architectural Patterns on AWS - Pop-up Loft Tel Aviv
Big Data and Architectural Patterns on AWS - Pop-up Loft Tel AvivBig Data and Architectural Patterns on AWS - Pop-up Loft Tel Aviv
Big Data and Architectural Patterns on AWS - Pop-up Loft Tel AvivAmazon Web Services
 
Classic FileServer VS 365 [OneDrive for Business & SharePoint Online]
Classic FileServer VS 365 [OneDrive for Business & SharePoint Online]Classic FileServer VS 365 [OneDrive for Business & SharePoint Online]
Classic FileServer VS 365 [OneDrive for Business & SharePoint Online]Gerard Fuguet
 
Elastic Cloud: The best way to experience everything Elastic
Elastic Cloud: The best way to experience everything ElasticElastic Cloud: The best way to experience everything Elastic
Elastic Cloud: The best way to experience everything ElasticElasticsearch
 
Options for Building a Modern Extranet
Options for Building a Modern ExtranetOptions for Building a Modern Extranet
Options for Building a Modern ExtranetChristian Buckley
 
Deep Dive on Amazon RDS (Relational Database Service)
Deep Dive on Amazon RDS (Relational Database Service)Deep Dive on Amazon RDS (Relational Database Service)
Deep Dive on Amazon RDS (Relational Database Service)Amazon Web Services
 
Introduction to GCP (Google Cloud Platform)
Introduction to GCP (Google Cloud Platform)Introduction to GCP (Google Cloud Platform)
Introduction to GCP (Google Cloud Platform)Pulkit Gupta
 
Distributed operating system
Distributed operating systemDistributed operating system
Distributed operating systemPrankit Mishra
 

Was ist angesagt? (13)

Data-Persistency
Data-PersistencyData-Persistency
Data-Persistency
 
Distributed computing
Distributed computingDistributed computing
Distributed computing
 
Microsoft Teams
Microsoft TeamsMicrosoft Teams
Microsoft Teams
 
Chapter09 Implementing And Using Group Policy
Chapter09      Implementing And  Using  Group  PolicyChapter09      Implementing And  Using  Group  Policy
Chapter09 Implementing And Using Group Policy
 
Manufacturing lighthouses
Manufacturing lighthousesManufacturing lighthouses
Manufacturing lighthouses
 
Big Data and Architectural Patterns on AWS - Pop-up Loft Tel Aviv
Big Data and Architectural Patterns on AWS - Pop-up Loft Tel AvivBig Data and Architectural Patterns on AWS - Pop-up Loft Tel Aviv
Big Data and Architectural Patterns on AWS - Pop-up Loft Tel Aviv
 
Classic FileServer VS 365 [OneDrive for Business & SharePoint Online]
Classic FileServer VS 365 [OneDrive for Business & SharePoint Online]Classic FileServer VS 365 [OneDrive for Business & SharePoint Online]
Classic FileServer VS 365 [OneDrive for Business & SharePoint Online]
 
Elastic Cloud: The best way to experience everything Elastic
Elastic Cloud: The best way to experience everything ElasticElastic Cloud: The best way to experience everything Elastic
Elastic Cloud: The best way to experience everything Elastic
 
Options for Building a Modern Extranet
Options for Building a Modern ExtranetOptions for Building a Modern Extranet
Options for Building a Modern Extranet
 
Deep Dive on Amazon RDS (Relational Database Service)
Deep Dive on Amazon RDS (Relational Database Service)Deep Dive on Amazon RDS (Relational Database Service)
Deep Dive on Amazon RDS (Relational Database Service)
 
Introduction to GCP (Google Cloud Platform)
Introduction to GCP (Google Cloud Platform)Introduction to GCP (Google Cloud Platform)
Introduction to GCP (Google Cloud Platform)
 
Distributed operating system
Distributed operating systemDistributed operating system
Distributed operating system
 
System Engineering Unit-4
System Engineering Unit-4System Engineering Unit-4
System Engineering Unit-4
 

Ähnlich wie Teams Nation 2022 - Securing Microsoft 365 data with service encryption

TechNet Conference 2013 Berlin-Office365 Einsatzszenarien by Martina Grom
TechNet Conference 2013 Berlin-Office365 Einsatzszenarien by Martina GromTechNet Conference 2013 Berlin-Office365 Einsatzszenarien by Martina Grom
TechNet Conference 2013 Berlin-Office365 Einsatzszenarien by Martina Gromatwork
 
AWS Account Management im Unternehmensumfeld - AWS Security Web Day
AWS Account Management im Unternehmensumfeld - AWS Security Web DayAWS Account Management im Unternehmensumfeld - AWS Security Web Day
AWS Account Management im Unternehmensumfeld - AWS Security Web DayAWS Germany
 
Azure SQL Database vs. Azure SQL Data Warehouse
Azure SQL Database vs. Azure SQL Data WarehouseAzure SQL Database vs. Azure SQL Data Warehouse
Azure SQL Database vs. Azure SQL Data WarehousepmOne Analytics GmbH
 
Sensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankSensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankUlrike Schwinn
 
Cloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von AngrybirdCloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von AngrybirdAOE
 
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!Holliday Consulting
 
Sendung 17-12 Special: DSGVO, Security & Compliance
Sendung 17-12 Special: DSGVO, Security & ComplianceSendung 17-12 Special: DSGVO, Security & Compliance
Sendung 17-12 Special: DSGVO, Security & ComplianceThomas Maier
 
Oracle Security Übersicht
Oracle Security ÜbersichtOracle Security Übersicht
Oracle Security Übersichtoraclebudb
 
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARMExperteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARMThomas Maier
 
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!Spontan testen! Das eigene Test Lab, für jeden in der Cloud!
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!Peter Kirchner
 
Erweitern sie ihr Data Center mit Cloud Services
Erweitern sie ihr Data Center mit Cloud ServicesErweitern sie ihr Data Center mit Cloud Services
Erweitern sie ihr Data Center mit Cloud ServicesAWS Germany
 
Oracle Database Backup Service
Oracle Database Backup ServiceOracle Database Backup Service
Oracle Database Backup ServiceTrivadis
 
Oracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerOracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerDésirée Pfister
 
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzenAWS Germany
 
Zalando und AWS: Security First in der Public Cloud
Zalando und AWS: Security First in der Public Cloud Zalando und AWS: Security First in der Public Cloud
Zalando und AWS: Security First in der Public Cloud AWS Germany
 
Data Virtualization - Supernova
Data Virtualization - SupernovaData Virtualization - Supernova
Data Virtualization - SupernovaTorsten Glunde
 

Ähnlich wie Teams Nation 2022 - Securing Microsoft 365 data with service encryption (20)

Datenverschlüsselung in der Praxis
Datenverschlüsselung in der PraxisDatenverschlüsselung in der Praxis
Datenverschlüsselung in der Praxis
 
TechNet Conference 2013 Berlin-Office365 Einsatzszenarien by Martina Grom
TechNet Conference 2013 Berlin-Office365 Einsatzszenarien by Martina GromTechNet Conference 2013 Berlin-Office365 Einsatzszenarien by Martina Grom
TechNet Conference 2013 Berlin-Office365 Einsatzszenarien by Martina Grom
 
Dynamic Access Control
Dynamic Access ControlDynamic Access Control
Dynamic Access Control
 
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
 
AWS Account Management im Unternehmensumfeld - AWS Security Web Day
AWS Account Management im Unternehmensumfeld - AWS Security Web DayAWS Account Management im Unternehmensumfeld - AWS Security Web Day
AWS Account Management im Unternehmensumfeld - AWS Security Web Day
 
Azure SQL Database vs. Azure SQL Data Warehouse
Azure SQL Database vs. Azure SQL Data WarehouseAzure SQL Database vs. Azure SQL Data Warehouse
Azure SQL Database vs. Azure SQL Data Warehouse
 
Sensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankSensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle Datenbank
 
Cloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von AngrybirdCloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von Angrybird
 
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
 
Sendung 17-12 Special: DSGVO, Security & Compliance
Sendung 17-12 Special: DSGVO, Security & ComplianceSendung 17-12 Special: DSGVO, Security & Compliance
Sendung 17-12 Special: DSGVO, Security & Compliance
 
Oracle Security Übersicht
Oracle Security ÜbersichtOracle Security Übersicht
Oracle Security Übersicht
 
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARMExperteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
 
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!Spontan testen! Das eigene Test Lab, für jeden in der Cloud!
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!
 
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM DominoKeine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
 
Erweitern sie ihr Data Center mit Cloud Services
Erweitern sie ihr Data Center mit Cloud ServicesErweitern sie ihr Data Center mit Cloud Services
Erweitern sie ihr Data Center mit Cloud Services
 
Oracle Database Backup Service
Oracle Database Backup ServiceOracle Database Backup Service
Oracle Database Backup Service
 
Oracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerOracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin Berger
 
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
 
Zalando und AWS: Security First in der Public Cloud
Zalando und AWS: Security First in der Public Cloud Zalando und AWS: Security First in der Public Cloud
Zalando und AWS: Security First in der Public Cloud
 
Data Virtualization - Supernova
Data Virtualization - SupernovaData Virtualization - Supernova
Data Virtualization - Supernova
 

Mehr von Thomas Stensitzki

19. Treffen der Teams User Group Berlin
19. Treffen der Teams User Group Berlin19. Treffen der Teams User Group Berlin
19. Treffen der Teams User Group BerlinThomas Stensitzki
 
Tech Talk 16 - Exchange Server 2019 CU12
Tech Talk 16 - Exchange Server 2019 CU12Tech Talk 16 - Exchange Server 2019 CU12
Tech Talk 16 - Exchange Server 2019 CU12Thomas Stensitzki
 
18. Treffen der Teams User Group Berlin
18. Treffen der Teams User Group Berlin18. Treffen der Teams User Group Berlin
18. Treffen der Teams User Group BerlinThomas Stensitzki
 
17. Treffen der Teams User Group Berlin
17. Treffen der Teams User Group Berlin17. Treffen der Teams User Group Berlin
17. Treffen der Teams User Group BerlinThomas Stensitzki
 
16. Treffen der Teams User Group Berlin
16. Treffen der Teams User Group Berlin16. Treffen der Teams User Group Berlin
16. Treffen der Teams User Group BerlinThomas Stensitzki
 
EXUSG - 2021 - Q4 - Exchange Emergency Mitigation Service
EXUSG - 2021 - Q4 - Exchange Emergency Mitigation ServiceEXUSG - 2021 - Q4 - Exchange Emergency Mitigation Service
EXUSG - 2021 - Q4 - Exchange Emergency Mitigation ServiceThomas Stensitzki
 
15. Treffen der Teams User Group Berlin
15. Treffen der Teams User Group Berlin15. Treffen der Teams User Group Berlin
15. Treffen der Teams User Group BerlinThomas Stensitzki
 
Tech Talk 13 - Teams Admin Center - Einführung
Tech Talk 13 - Teams Admin Center - EinführungTech Talk 13 - Teams Admin Center - Einführung
Tech Talk 13 - Teams Admin Center - EinführungThomas Stensitzki
 
14. Treffen der Teams User Group Berlin
14. Treffen der Teams User Group Berlin14. Treffen der Teams User Group Berlin
14. Treffen der Teams User Group BerlinThomas Stensitzki
 
Tech Talk 12 - Exchange Server Support Life-Cycle
Tech Talk 12 - Exchange Server Support Life-CycleTech Talk 12 - Exchange Server Support Life-Cycle
Tech Talk 12 - Exchange Server Support Life-CycleThomas Stensitzki
 
12. Treffen der Teams User Group Berlin
12. Treffen der Teams User Group Berlin 12. Treffen der Teams User Group Berlin
12. Treffen der Teams User Group Berlin Thomas Stensitzki
 
EXUSG - Exchange Server vNEXT
EXUSG - Exchange Server vNEXTEXUSG - Exchange Server vNEXT
EXUSG - Exchange Server vNEXTThomas Stensitzki
 
10. Treffen der Teams User Group Berlin
10. Treffen der Teams User Group Berlin10. Treffen der Teams User Group Berlin
10. Treffen der Teams User Group BerlinThomas Stensitzki
 
Tech Talk 9 - Exchange Server vNEXT
Tech Talk 9 - Exchange Server vNEXTTech Talk 9 - Exchange Server vNEXT
Tech Talk 9 - Exchange Server vNEXTThomas Stensitzki
 
Thomas' Tech Talk 7 - AD FS oder PTA
Thomas' Tech Talk 7 - AD FS oder PTAThomas' Tech Talk 7 - AD FS oder PTA
Thomas' Tech Talk 7 - AD FS oder PTAThomas Stensitzki
 
Exchange Server Hybrid - Was, Warum und Wie
Exchange Server Hybrid - Was, Warum und WieExchange Server Hybrid - Was, Warum und Wie
Exchange Server Hybrid - Was, Warum und WieThomas Stensitzki
 
Thomas' Tech Talk 4 - Lohnt sich ein Wechsel zu Exchange Server 2019?
Thomas' Tech Talk 4 - Lohnt sich ein Wechsel zu Exchange Server 2019?Thomas' Tech Talk 4 - Lohnt sich ein Wechsel zu Exchange Server 2019?
Thomas' Tech Talk 4 - Lohnt sich ein Wechsel zu Exchange Server 2019?Thomas Stensitzki
 
Thomas' Tech Talk 3 - Exchange Server Hybrid
Thomas' Tech Talk 3 - Exchange Server HybridThomas' Tech Talk 3 - Exchange Server Hybrid
Thomas' Tech Talk 3 - Exchange Server HybridThomas Stensitzki
 
Thomas' Tech Talk 2 - Migration von Exchange Server zu Exchange Online
Thomas' Tech Talk 2 - Migration von Exchange Server zu Exchange OnlineThomas' Tech Talk 2 - Migration von Exchange Server zu Exchange Online
Thomas' Tech Talk 2 - Migration von Exchange Server zu Exchange OnlineThomas Stensitzki
 
Externe Dienstleister und sicherer E-Mail-Versand
Externe Dienstleister und sicherer E-Mail-VersandExterne Dienstleister und sicherer E-Mail-Versand
Externe Dienstleister und sicherer E-Mail-VersandThomas Stensitzki
 

Mehr von Thomas Stensitzki (20)

19. Treffen der Teams User Group Berlin
19. Treffen der Teams User Group Berlin19. Treffen der Teams User Group Berlin
19. Treffen der Teams User Group Berlin
 
Tech Talk 16 - Exchange Server 2019 CU12
Tech Talk 16 - Exchange Server 2019 CU12Tech Talk 16 - Exchange Server 2019 CU12
Tech Talk 16 - Exchange Server 2019 CU12
 
18. Treffen der Teams User Group Berlin
18. Treffen der Teams User Group Berlin18. Treffen der Teams User Group Berlin
18. Treffen der Teams User Group Berlin
 
17. Treffen der Teams User Group Berlin
17. Treffen der Teams User Group Berlin17. Treffen der Teams User Group Berlin
17. Treffen der Teams User Group Berlin
 
16. Treffen der Teams User Group Berlin
16. Treffen der Teams User Group Berlin16. Treffen der Teams User Group Berlin
16. Treffen der Teams User Group Berlin
 
EXUSG - 2021 - Q4 - Exchange Emergency Mitigation Service
EXUSG - 2021 - Q4 - Exchange Emergency Mitigation ServiceEXUSG - 2021 - Q4 - Exchange Emergency Mitigation Service
EXUSG - 2021 - Q4 - Exchange Emergency Mitigation Service
 
15. Treffen der Teams User Group Berlin
15. Treffen der Teams User Group Berlin15. Treffen der Teams User Group Berlin
15. Treffen der Teams User Group Berlin
 
Tech Talk 13 - Teams Admin Center - Einführung
Tech Talk 13 - Teams Admin Center - EinführungTech Talk 13 - Teams Admin Center - Einführung
Tech Talk 13 - Teams Admin Center - Einführung
 
14. Treffen der Teams User Group Berlin
14. Treffen der Teams User Group Berlin14. Treffen der Teams User Group Berlin
14. Treffen der Teams User Group Berlin
 
Tech Talk 12 - Exchange Server Support Life-Cycle
Tech Talk 12 - Exchange Server Support Life-CycleTech Talk 12 - Exchange Server Support Life-Cycle
Tech Talk 12 - Exchange Server Support Life-Cycle
 
12. Treffen der Teams User Group Berlin
12. Treffen der Teams User Group Berlin 12. Treffen der Teams User Group Berlin
12. Treffen der Teams User Group Berlin
 
EXUSG - Exchange Server vNEXT
EXUSG - Exchange Server vNEXTEXUSG - Exchange Server vNEXT
EXUSG - Exchange Server vNEXT
 
10. Treffen der Teams User Group Berlin
10. Treffen der Teams User Group Berlin10. Treffen der Teams User Group Berlin
10. Treffen der Teams User Group Berlin
 
Tech Talk 9 - Exchange Server vNEXT
Tech Talk 9 - Exchange Server vNEXTTech Talk 9 - Exchange Server vNEXT
Tech Talk 9 - Exchange Server vNEXT
 
Thomas' Tech Talk 7 - AD FS oder PTA
Thomas' Tech Talk 7 - AD FS oder PTAThomas' Tech Talk 7 - AD FS oder PTA
Thomas' Tech Talk 7 - AD FS oder PTA
 
Exchange Server Hybrid - Was, Warum und Wie
Exchange Server Hybrid - Was, Warum und WieExchange Server Hybrid - Was, Warum und Wie
Exchange Server Hybrid - Was, Warum und Wie
 
Thomas' Tech Talk 4 - Lohnt sich ein Wechsel zu Exchange Server 2019?
Thomas' Tech Talk 4 - Lohnt sich ein Wechsel zu Exchange Server 2019?Thomas' Tech Talk 4 - Lohnt sich ein Wechsel zu Exchange Server 2019?
Thomas' Tech Talk 4 - Lohnt sich ein Wechsel zu Exchange Server 2019?
 
Thomas' Tech Talk 3 - Exchange Server Hybrid
Thomas' Tech Talk 3 - Exchange Server HybridThomas' Tech Talk 3 - Exchange Server Hybrid
Thomas' Tech Talk 3 - Exchange Server Hybrid
 
Thomas' Tech Talk 2 - Migration von Exchange Server zu Exchange Online
Thomas' Tech Talk 2 - Migration von Exchange Server zu Exchange OnlineThomas' Tech Talk 2 - Migration von Exchange Server zu Exchange Online
Thomas' Tech Talk 2 - Migration von Exchange Server zu Exchange Online
 
Externe Dienstleister und sicherer E-Mail-Versand
Externe Dienstleister und sicherer E-Mail-VersandExterne Dienstleister und sicherer E-Mail-Versand
Externe Dienstleister und sicherer E-Mail-Versand
 

Teams Nation 2022 - Securing Microsoft 365 data with service encryption

  • 1. #TeamsNation Securing Microsoft 365 Data with service encryption Thomas Stensitzki Sponsored by Microsoft Teams Microsoft Tech Community
  • 2. Thomas Stensitzki Enterprise Consultant | Geschäftsführer Granikos GmbH & Co. KG MVP | MCT | MCT Regional Lead Twitter @Stensitzki LinkedIn https://linkedin.com/in/thomasstensitzki Blog http://Blog.Granikos.eu YouTube http://TechTalk.Granikos.eu
  • 3. Was wir nicht betrachten Transportverschlüsselung Zwischen Kunde und Rechenzentrum Zwischen Servern und Rechenzentrum
  • 4. Was wir nicht betrachten Azure Service Verschlüsselungen  Client-Side Encryption  Azure Disk Encryption  Azure Storage Service Encryption  Azure Blob Client-Side Encryption  Azure SQL Database Data-at-Rest Encryption  Cosmos DB Database Encryption  Data Lake Encryption  SMB Encryption over Azure Virtual Networks  Server-Side Encryption  Service-Managed Keys  Customer-Managed Keys (Bring Your Own Key BYOK) Weitere Informationen
  • 5. Was wir nicht betrachten E-Mail-Verschlüsselungen  Nachrichtenverschlüsselung mit S/MIME  Office 365 Message Encryption (OME)  Vertraulichkeitsbezeichnungen (Sensitivity Label)
  • 6. Verschlüsselung in Microsoft 365 Microsoft 365 Standard • BitLocker  Dateisystem-Verschlüsselung in Microsoft Rechenzentren • Shredded Storage  Verschlüsselung von Dateiteilen mit AES-256 Schlüsseln Erweiterung der Standardverschlüsselung • Customer Managed KEY (CMK) • Double Key Encryption (DKE)
  • 7. Key Store SharePoint Online – Shredded Storage Encryption Data-at-Rest Azure Storage Containers Content Database Chunks Encrypted Files A B C D https://aka.ms/dataencryption
  • 8. Customer Key Sponsored by Microsoft Teams Microsoft Tech Community
  • 9. Customer Key Warum gibt es Customer Key in Microsoft 365?  Verschlüsselung von Dateninhalten als zusätzliche Schutzebene zu BitLocker  Trennung des Zugriffes für Windows Administratoren auf Applikationsdaten, die durch das Betriebssystem verarbeitet werden  Customer Key Option ermöglicht eine Schlüsselverwaltung pro Mandant  Ermöglicht die Umsetzung von besonderen Compliance-Anforderungen zur Verschlüsselung in Microsoft 365  Schlüsselverwaltung durch den Kunden
  • 11. Customer Key  Azure Key Vaults in zwei separaten Azure Abonnements  EA oder CSP  Initiale Einrichtung der Customer Managed Keys über FastTrack Portal (Microsoft Empfehlung)  Schlüsselungsmöglichkeiten  Allgemeine Microsoft 365 Data-at-Rest Verschlüsselung  Dienstverschlüsselung für Exchange Online und SharePoint Online (inkl. OneDrive und Microsoft Teams)  Verwaltung  Erstellung von Data Encryption Policies (DEP)  Zuweisung von Data Encryption Policies  Schlüsselwechsel  Rotation eines Customer Key  Rotation eines Availability Key  Keine direkte Kontrolle durch Endkunden Weitere Informationen zum Schlüsselwechsel
  • 12. Customer Key  Löschen Sie keine Schlüssel, die mit DEP-Richtlinien verknüpft sind oder einmal aktiv verknüpft waren  Inhalte werden bei einer Schlüsselrotation entschlüsselt und mit dem neuen Schlüssel erneut verschlüsselt  Exchange Online  Aktive Postfächer werden regelmäßig neu verschlüsselt  Inaktive, deaktivierte und nicht mehr verbundene Postfächer können noch mit einem alten Schlüssel verschlüsselt sein  SharePoint Online  Datensicherungen zur Wiederherstellung können Daten enthalten, die mit einem alten Schlüssel geschützt sind  Risiko eines nachträglichen Datenverlustes Hinweise
  • 13. Customer Key  On-Premises Hardware Service Module (HSM)  Empfehlung für den produktiven Einsatz  Azure Key Vault (AKV)  Empfehlung für Testzwecke oder einen Proof-of-Concept  Beide Varianten erfordern Azure Key Vaults für die Konfiguration und Verwaltung Schlüsselverwaltung
  • 14. Data Encryption Policies  Teams Chat-Nachrichten (1:1 Chats, Gruppenchats, Meeting-Chats, Kanal-Konversationen)  Teams Media-Nachrichten (Bilder, Code-Beispiele, Video-/Audio-Nachrichten, Wiki-Bilder)  Teams Anruf- und Meeting-Aufzeichnungen in Teams-Speicherorten (aka Stream)  Teams Chatbenachrichtigungen und Teams Chatempfehlungen von Cortana  Teams Statusnachrichten  Benutzer- und Signalinformationen in Exchange Online  Exchange Online Postfächer, die nicht über eine dedizierte Postfach-DEP verschlüsselt sind  Microsoft Information Protection  Exact Data Match (EDM) Daten  Label Vertraulichkeitskennzeichnungen (Sensitivity Label)  Teams und EDM Daten werden ab Zuweisung der DEP-Richtlinie verschlüsselt  Exchange Online Daten werden vollständig verschlüsselt
  • 15. Data Encryption Policies Folgenden Daten werden mit einer M365 Data-at-Rest DEP nicht verschlüsselt  SharePoint Online und OneDrive for Business  Teams Dateien und Aufzeichnungen in SharePoint Online und OneDrive for Business  Teams Live Event Daten  Andere Microsoft 365 Daten, z.B. Yammer oder Planner  Es können mehrere DEP für Microsoft 365 Data-at-Rest im Mandaten existieren  Nur eine DEP ist zugewiesen und aktiv
  • 16. Data Encryption Policies  Verschlüsselung von unterschiedlichen Objekttypen  Benutzerpostfächern (Mailbox User)  E-Mail-Benutzer (Mail User)  Microsoft 365 Gruppen  Geteilte Postfächer  Öffentliche Ordner  Je Postfach kann eine DEP zugewiesen werden  Es können bis zu 50 aktive DEP im Mandanten existieren
  • 17. Data Encryption Policies 2 Customer Keys Azure Key Vault RSA Availability Key Office 365 AES 256 Mailboxes Data Encryption Policy Key Basiert auf Root-Keys AES 256 Mailbox Key Basiert auf Data Encryption Policy Key AES 256 Root Keys
  • 18. Data Encryption Policies  Verschlüsselung von existierenden Daten beginnt unmittelbar nach Zuweisung der Schlüssel  Verschlüsselung von Daten mit unterschiedlichen Schlüssel je Geo-Lokation möglich
  • 19. Data Encryption Policies Data Chunks 2 Customer Keys Azure Key Vault RSA Availability Key Office 365 AES 256 Root Keys 1 Datei = N Chunks = N Keys AES 256 File Chunk Encrpytion Key Basiert auf Site Encryption Key Site Encryption Key Basiert auf Tenant Intermediate Key AES 256 Tenant intermediate Key Basiert auf Root-Keys AES 256
  • 20. Customer Key Implementierung Sponsored by Microsoft Teams Microsoft Tech Community
  • 21. Customer Key Vor einer FastTrack-Anfrage zur Einrichtung von Customer Key im Microsoft 365 Mandanten  Einrichtung von Azure Key Vaults und Keys in zwei Azure Abonnements  Ein Key Vault mit Key für jeden zu verschlüsselnden Workload Azure Subscriptions Key Vaults Keys Subscription B Subscription A KEY- EXO-A KEY- EXO-B KEY- M365-A KEY- M365-B KV-M365-A KV-EXO-A KV-EXO-B KV- M365-B KV-SPO-A KEY- SPO-A KV-SPO-B KEY- SPO-B
  • 22. Customer Key Vor einer FastTrack-Anfrage zur Einrichtung von Customer Key  Einrichtung von Azure Key Vaults und Keys in zwei Azure Abonnements  Ein Key Vault mit Key für jeden zu verschlüsselnden Workload Azure Subscriptions Key Vaults Keys KV-SPO-B KV-EXO-B KV- M365-B Subscription B KEY- M365-B KEY- EXO-B KEY- SPO-B Subscription A KV- M365-A KV-SPO-A KV-EXO-A KEY- M365-A KEY- EXO-A KEY- SPO-A 1 Schlüsselpaar je Workload
  • 23. Customer Key 1. Erstellung von Azure AD Sicherheitsgruppe für Administratoren  Administrator + Contributor 2. Erstellung von zwei Azure Abonnements  Trennung der Berechtigungen für Azure Ressourcengruppen, Key Vaults und Keys  AZ-EGXDE-CMK-A  AZ-EGXDE-CMK-B 3. Registrierung des Mandanten für Customer Key via FastTrack 4. Erstellung einer Ressourcengruppe in jedem Abonnement 5. Erstellung der benötigten Key Vaults in jeder Ressourcengruppe  Standard (Test, Proof-of-Concept) oder Premium (Produktiv) 6. Konfiguration der Zugriffsberechtigungen je Key Vault für Azure AD Sicherheitsgruppen 7. Erstellung der Keys je Key Vault Key Vault und Key Namen sind global eindeutig
  • 29. Customer Key # Registrierung des Provider Feature MandatoryRetentionPeriod # Verhindert ein versehentliche Löschung des Azure Abonnements Register-AzProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources # Registrierung Register-AzResourceProvider -ProviderNamespace Microsoft.KeyVault # Einrichtung der Ressourcengruppe für Azure Key Vaults New-AzResourceGroup -Name RG-EGXDE-KV-A -Location "West Europe" # Einrichtung des ersten Key Vaults per Azure Portal # Speichern der Vorlagen- und Parameterdatei für die weiteren Key Vaults Abfrage der Azure Lokationen Get-AzLocation
  • 30. Customer Key # Vorbereitung der Parameterdatei "parameters": { "name": { "value": "az-kv-egxde-exo-a" {…} "accessPolicies": { "value": [ { "objectId": "754e1dbe-1bcf-4789-bbee-22410877fdb0", "tenantId": "d320e379-89d3-4566-b834-6ca78a2f6399", # Template-Datei laden und in Json konvertieren $TemplateFile = [System.IO.File]::ReadAllText("C:CMKkeyvault-template.json") $TemplateJson = ConvertFrom-Json $TemplateFile –AsHashtable # Neue Ressourcengruppe erstellen New-AzResourceGroupDeployment -ResourceGroupName "RG-EGXDE-KV-A" -TemplateObject ` $TemplateJson -TemplateParameterFile "C:CMKkeyvault-parameters-exo-a.json" Key Vault Namen sind global eindeutig
  • 31. Customer Key # Variablen für Key Vault und Admin Sicherheitsgruppe $kvName = 'az-kv-egxde-exo-a' $kvAdminGroup = 'kv-Admins' # Setzen der Zugriffsrichtlinie für Admininstratoren Set-AzKeyVaultAccessPolicy -VaultName $kvName ` -ObjectId (Get-AzADGroup -SearchString $kvAdminGroup)[0].Id ` -PermissionsToKeys create,import,list,get,backup,restore # Konfiguration der Contributor-Gruppe via Azure Portal für die Ressourcengruppe
  • 32. Customer Key # Variablen für Key Vault und Admin Sicherheitsgruppe $kvName = 'az-kv-egxde-exo-a' $kvAdminGroup = 'kv-Admins' Set-AzKeyVaultAccessPolicy -VaultName $kvName ` -ObjectId (Get-AzADGroup -SearchString $kvAdminGroup)[0].Id ` -PermissionsToKeys create,import,list,get,backup,restore # Konfiguration der Contributor-Gruppe via Azure Portal für die Ressourcengruppe
  • 33. Customer Key # Variablen für Key Vault $kvName = 'az-kv-egxde-exo-a' # Microsoft 365 Workloads $objExoSfB = '00000002-0000-0ff1-ce00-000000000000' $objSpoTeams = '00000003-0000-0ff1-ce00-000000000000' $objMultiWL = 'c066d759-24ae-40e7-a56f-027002b5d3e4' # Exchange Online / Skype for Business Set-AzKeyVaultAccessPolicy -VaultName $kvName -PermissionsToKeys wrapKey,unwrapKey,get ` -ServicePrincipalName $objExoSfB # SharePoint Online / OneDrive for Business / Teams Files Set-AzKeyVaultAccessPolicy -VaultName $kvName -PermissionsToKeys wrapKey,unwrapKey,get ` -ServicePrincipalName $objSpoTeams # Microsoft 365 Multi-Workload Set-AzKeyVaultAccessPolicy -VaultName $kvName -PermissionsToKeys wrapKey,unwrapKey,get ` -ServicePrincipalName $objMultiWL
  • 34. Customer Key # Variablen für Key Vault $kvName = 'az-kv-egxde-exo-a' # Exchange Online / Skype for Business Add-AzKeyVaultKey -VaultName $kvName -Name 'egxde-exo-key-a' -Destination 'Software' # SharePoint Online / OneDrive for Business / Teams Files Add-AzKeyVaultKey -VaultName $kvName -Name 'egxde-spo-key-a' -Destination 'Software' # Microsoft 365 Multi-Workload Add-AzKeyVaultKey -VaultName $kvName -Name 'egxde-m365dr-key-a' -Destination 'Software' Key Namen sind global eindeutig
  • 35. Customer Key  Meldung an FastTrack per E-Mail
  • 36. Data Encryption Policies # PowerShell Modul: ExchangeOnlineManagement Connect-ExchangeOnline # Variablen $key1 = 'https://az-kv-egxde-m365dr-a.vault.azure.net:443/keys/egxde-m365dr-key-a' $key2 = 'https://az-kv-egxde-m365dr-b.vault.azure.net:443/keys/egxde-m365dr-key-b' # Erstellung der Multi-Workload Data Encryption Policy New-M365DataAtRestEncryptionPolicy -Name 'EGX_DataAtRest' ` -AzureKeyIDs $key1,$key2 -Description 'EGX Data at Rest Multi-Workload policy' # Setzen der Multi-Workload DEP Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy 'EGX_DataAtRest'
  • 37. Data Encryption Policies Get-M365DataAtRestEncryptionPolicyAssignment | fl RunspaceId : 1d83f812-f929-4eb3-bd5d-881184373ba1 OrgHierarchyToIgnore : IsDeleted : False Rdn : CN=EGX_DataAtRest Parent : egxde.onmicrosoft.comCKaaS Data Encryption Policies Depth : 8 DistinguishedName : CN=EGX_DataAtRest,CN=CKaaS Data Encryption Policies,CN=Configuration,CN=egxde.onmicrosoft.com,CN=ConfigurationUnits,DC=DEUP281A001,DC=PRO D,DC=OUTLOOK,DC=COM IsRelativeDn : False DomainId : DEUP281A001.PROD.OUTLOOK.COM PartitionGuid : 59ce2f71-eaa2-4ddf-a4fa-f25069d0b324 PartitionFQDN : DEUP281A001.PROD.OUTLOOK.COM ObjectGuid : 05a9e413-6822-4918-8d8c-99b1aba1e06c Name : EGX_DataAtRest SecurityIdentifierString :
  • 38. Data Encryption Policies # Variablen $key1 = 'https://az-kv-egxde-exo-a.vault.azure.net:443/keys/egxde-exo-key-a' $key2 = 'https://az-kv-egxde-exo-b.vault.azure.net:443/keys/egxde-exo-key-b' # Erstellung der Exchange Online Data Encryption Policy New-DataEncryptionPolicy -Name 'EGX_EXO_DEP' ` -AzureKeyIDs $key1,$key2 ` -Description 'EGX Exchange Online Encryption Policy' # Setzen der Exchange Online DEP Set-Mailbox LouisR@varunagroup.de -DataEncryptionPolicy 'EGX_EXO_DEP' Set-Mailbox LouisR@varunagroup.de -DataEncryptionPolicy 'EGX_EXO_DEP' -PublicFolder Set-MailUser OnPremUser@varunagroup.de -DataEncryptionPolicy 'EGX_EXO_DEP' Set-UnifiedGroup SomeGroup@groups.varunagroup.de -DataEncryptionPolicy 'EGX_EXO_DEP' # Prüfung für Postfächer Get-MailboxStatistics UPN | FL IsEncrypted
  • 39. Data Encryption Policies # PowerShell Modul: Microsoft.Online.SharePoint.PowerShell Connect-SPOService -Url https://tenant-admin.sharepoint.com # Abfrage der Key Versionen Set-AzContext –SubscriptionId SUBSCRIPTION-A $key1version = (Get-AzKeyVaultKey -VaultName az-kv-egxde-spo-a -Name egxde-spo-key-a ` -IncludeVersions).Version Set-AzContext –SubscriptionId SUBSCRIPTION-B $key2version = (Get-AzKeyVaultKey -VaultName az-kv-egxde-spo-b -Name egxde-spo-key-b ` -IncludeVersions).Version # Erstellung der SharePoint Online Data Encryption Policy Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'az-kv-egxde-spo-a' -PrimaryKeyName 'egxde-spo-key-a' -PrimaryKeyVersion $key1version -SecondaryKeyVaultName 'az-kv-egxde-spo-b' - SecondaryKeyName 'egxde-spo-key-b' -SecondaryKeyVersion $key2version # Prüfung Get-SPODataEncryptionPolicy
  • 40. Double Key Encryption  Verschlüsselung einer Teilmenge von Microsoft 365 Daten  Informationsschutz mit Vertraulichkeitsbezeichnungen (Sensitivity Label)  Nutzung von HSM-Lösungen (z.B. Thales)  Kompilierung des DKE GitHub Repository  Keine Unterstützung von  Transport Regeln, inkl. Anti-Malware- und Anti-Spam-Funktionen für Nachrichteninhalte  Microsoft Delve  eDiscovery  Inhaltssuche und Indizierung  Office Web Apps und Co-Authoring https://go.granikos.eu/DKEVideo
  • 41. Customer Key  Customer Key unterstützt drei Verschlüsselungsziele  Microsoft 365 Data-at-Rest  Exchange Online  SharePoint Online  Nicht alle Microsoft 365 Workloads unterstützen Customer Key Verschlüsselung  Customer Key erfordert eine Lizensierung für jedes Benutzerkonto  Customer Key benötigt mindestens zwei Azure Abonnements für Key Vaults  Ein Key Vault für jedes gewünschte Verschlüsselungsziel  Aktivierung von Customer Key über Microsoft FastTrack (Microsoft Empfehlung)  Definition der Zugriffsberechtigungen für Azure Abonnements und Key Vault  Umsetzung einer Test-Implementierung in einem Test-Mandanten
  • 42. Rate my session & Calls to Action Rate this session https://teamsnation.rocks/ feedback Attend more sessions and join our keynotes at 19.00 CET Show your love on social using #TeamsNation and @TeamsNation 1 2 3
  • 43. Ressourcen Subtitle Understanding Microsoft Information Protection Encryption Key Types Roll or rotate a Customer Key or an availability key Move requests in the Microsoft 365 or Office 365 service Encryption ciphers used by Customer Key Encryption for Skype for Business, OneDrive for Business, SharePoint Online, Microsoft Teams, and Exchange Online Microsoft 365 Multi-Geo eDiscovery configuration Microsoft 365 encryption technical reference Assign roles in Azure Portal Microsoft 365 Maps Double Key Encryption

Hinweis der Redaktion

  1. https://docs.microsoft.com/en-us/microsoft-365/compliance/data-encryption-in-odb-and-spo?view=o365-worldwide https://aka.ms/dataencryption