SlideShare a Scribd company logo

Teams Nation 2022 - Securing Microsoft 365 data with service encryption

Download as PPTX, PDF
Thomas Stensitzki
Thomas Stensitzki

Dies ist die Präsentation meines Teams Nation 2022 Vortrages zur Data-at-Rest Verschlüsselung in Microsoft 365 mit Customer Key.

Technology
1 of 43
#TeamsNation Securing Microsoft 365 Data with service encryption Thomas Stensitzki Sponsored by Microsoft Teams Microsoft Tech Community
Thomas Stensitzki Enterprise Consultant | Geschäftsführer Granikos GmbH & Co. KG MVP | MCT | MCT Regional Lead Twitter @Stensitzki LinkedIn https://linkedin.com/in/thomasstensitzki Blog http://Blog.Granikos.eu YouTube http://TechTalk.Granikos.eu
Was wir nicht betrachten Transportverschlüsselung Zwischen Kunde und Rechenzentrum Zwischen Servern und Rechenzentrum
Was wir nicht betrachten Azure Service Verschlüsselungen  Client-Side Encryption  Azure Disk Encryption  Azure Storage Service Encryption  Azure Blob Client-Side Encryption  Azure SQL Database Data-at-Rest Encryption  Cosmos DB Database Encryption  Data Lake Encryption  SMB Encryption over Azure Virtual Networks  Server-Side Encryption  Service-Managed Keys  Customer-Managed Keys (Bring Your Own Key BYOK) Weitere Informationen
Was wir nicht betrachten E-Mail-Verschlüsselungen  Nachrichtenverschlüsselung mit S/MIME  Office 365 Message Encryption (OME)  Vertraulichkeitsbezeichnungen (Sensitivity Label)
Verschlüsselung in Microsoft 365 Microsoft 365 Standard • BitLocker  Dateisystem-Verschlüsselung in Microsoft Rechenzentren • Shredded Storage  Verschlüsselung von Dateiteilen mit AES-256 Schlüsseln Erweiterung der Standardverschlüsselung • Customer Managed KEY (CMK) • Double Key Encryption (DKE)
Key Store SharePoint Online – Shredded Storage Encryption Data-at-Rest Azure Storage Containers Content Database Chunks Encrypted Files A B C D https://aka.ms/dataencryption
Customer Key Sponsored by Microsoft Teams Microsoft Tech Community
Customer Key Warum gibt es Customer Key in Microsoft 365?  Verschlüsselung von Dateninhalten als zusätzliche Schutzebene zu BitLocker  Trennung des Zugriffes für Windows Administratoren auf Applikationsdaten, die durch das Betriebssystem verarbeitet werden  Customer Key Option ermöglicht eine Schlüsselverwaltung pro Mandant  Ermöglicht die Umsetzung von besonderen Compliance-Anforderungen zur Verschlüsselung in Microsoft 365  Schlüsselverwaltung durch den Kunden
Customer Key https://m365maps.com Exchange Online Management Shell
Customer Key  Azure Key Vaults in zwei separaten Azure Abonnements  EA oder CSP  Initiale Einrichtung der Customer Managed Keys über FastTrack Portal (Microsoft Empfehlung)  Schlüsselungsmöglichkeiten  Allgemeine Microsoft 365 Data-at-Rest Verschlüsselung  Dienstverschlüsselung für Exchange Online und SharePoint Online (inkl. OneDrive und Microsoft Teams)  Verwaltung  Erstellung von Data Encryption Policies (DEP)  Zuweisung von Data Encryption Policies  Schlüsselwechsel  Rotation eines Customer Key  Rotation eines Availability Key  Keine direkte Kontrolle durch Endkunden Weitere Informationen zum Schlüsselwechsel
Customer Key  Löschen Sie keine Schlüssel, die mit DEP-Richtlinien verknüpft sind oder einmal aktiv verknüpft waren  Inhalte werden bei einer Schlüsselrotation entschlüsselt und mit dem neuen Schlüssel erneut verschlüsselt  Exchange Online  Aktive Postfächer werden regelmäßig neu verschlüsselt  Inaktive, deaktivierte und nicht mehr verbundene Postfächer können noch mit einem alten Schlüssel verschlüsselt sein  SharePoint Online  Datensicherungen zur Wiederherstellung können Daten enthalten, die mit einem alten Schlüssel geschützt sind  Risiko eines nachträglichen Datenverlustes Hinweise
Customer Key  On-Premises Hardware Service Module (HSM)  Empfehlung für den produktiven Einsatz  Azure Key Vault (AKV)  Empfehlung für Testzwecke oder einen Proof-of-Concept  Beide Varianten erfordern Azure Key Vaults für die Konfiguration und Verwaltung Schlüsselverwaltung
Data Encryption Policies  Teams Chat-Nachrichten (1:1 Chats, Gruppenchats, Meeting-Chats, Kanal-Konversationen)  Teams Media-Nachrichten (Bilder, Code-Beispiele, Video-/Audio-Nachrichten, Wiki-Bilder)  Teams Anruf- und Meeting-Aufzeichnungen in Teams-Speicherorten (aka Stream)  Teams Chatbenachrichtigungen und Teams Chatempfehlungen von Cortana  Teams Statusnachrichten  Benutzer- und Signalinformationen in Exchange Online  Exchange Online Postfächer, die nicht über eine dedizierte Postfach-DEP verschlüsselt sind  Microsoft Information Protection  Exact Data Match (EDM) Daten  Label Vertraulichkeitskennzeichnungen (Sensitivity Label)  Teams und EDM Daten werden ab Zuweisung der DEP-Richtlinie verschlüsselt  Exchange Online Daten werden vollständig verschlüsselt
Data Encryption Policies Folgenden Daten werden mit einer M365 Data-at-Rest DEP nicht verschlüsselt  SharePoint Online und OneDrive for Business  Teams Dateien und Aufzeichnungen in SharePoint Online und OneDrive for Business  Teams Live Event Daten  Andere Microsoft 365 Daten, z.B. Yammer oder Planner  Es können mehrere DEP für Microsoft 365 Data-at-Rest im Mandaten existieren  Nur eine DEP ist zugewiesen und aktiv
Data Encryption Policies  Verschlüsselung von unterschiedlichen Objekttypen  Benutzerpostfächern (Mailbox User)  E-Mail-Benutzer (Mail User)  Microsoft 365 Gruppen  Geteilte Postfächer  Öffentliche Ordner  Je Postfach kann eine DEP zugewiesen werden  Es können bis zu 50 aktive DEP im Mandanten existieren
Data Encryption Policies 2 Customer Keys Azure Key Vault RSA Availability Key Office 365 AES 256 Mailboxes Data Encryption Policy Key Basiert auf Root-Keys AES 256 Mailbox Key Basiert auf Data Encryption Policy Key AES 256 Root Keys
Data Encryption Policies  Verschlüsselung von existierenden Daten beginnt unmittelbar nach Zuweisung der Schlüssel  Verschlüsselung von Daten mit unterschiedlichen Schlüssel je Geo-Lokation möglich
Data Encryption Policies Data Chunks 2 Customer Keys Azure Key Vault RSA Availability Key Office 365 AES 256 Root Keys 1 Datei = N Chunks = N Keys AES 256 File Chunk Encrpytion Key Basiert auf Site Encryption Key Site Encryption Key Basiert auf Tenant Intermediate Key AES 256 Tenant intermediate Key Basiert auf Root-Keys AES 256
Customer Key Implementierung Sponsored by Microsoft Teams Microsoft Tech Community
Customer Key Vor einer FastTrack-Anfrage zur Einrichtung von Customer Key im Microsoft 365 Mandanten  Einrichtung von Azure Key Vaults und Keys in zwei Azure Abonnements  Ein Key Vault mit Key für jeden zu verschlüsselnden Workload Azure Subscriptions Key Vaults Keys Subscription B Subscription A KEY- EXO-A KEY- EXO-B KEY- M365-A KEY- M365-B KV-M365-A KV-EXO-A KV-EXO-B KV- M365-B KV-SPO-A KEY- SPO-A KV-SPO-B KEY- SPO-B
Customer Key Vor einer FastTrack-Anfrage zur Einrichtung von Customer Key  Einrichtung von Azure Key Vaults und Keys in zwei Azure Abonnements  Ein Key Vault mit Key für jeden zu verschlüsselnden Workload Azure Subscriptions Key Vaults Keys KV-SPO-B KV-EXO-B KV- M365-B Subscription B KEY- M365-B KEY- EXO-B KEY- SPO-B Subscription A KV- M365-A KV-SPO-A KV-EXO-A KEY- M365-A KEY- EXO-A KEY- SPO-A 1 Schlüsselpaar je Workload
Customer Key 1. Erstellung von Azure AD Sicherheitsgruppe für Administratoren  Administrator + Contributor 2. Erstellung von zwei Azure Abonnements  Trennung der Berechtigungen für Azure Ressourcengruppen, Key Vaults und Keys  AZ-EGXDE-CMK-A  AZ-EGXDE-CMK-B 3. Registrierung des Mandanten für Customer Key via FastTrack 4. Erstellung einer Ressourcengruppe in jedem Abonnement 5. Erstellung der benötigten Key Vaults in jeder Ressourcengruppe  Standard (Test, Proof-of-Concept) oder Premium (Produktiv) 6. Konfiguration der Zugriffsberechtigungen je Key Vault für Azure AD Sicherheitsgruppen 7. Erstellung der Keys je Key Vault Key Vault und Key Namen sind global eindeutig
Customer Key
Customer Key https://fasttrack.microsoft.com
Customer Key
Customer Key
Customer Key
Customer Key # Registrierung des Provider Feature MandatoryRetentionPeriod # Verhindert ein versehentliche Löschung des Azure Abonnements Register-AzProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources # Registrierung Register-AzResourceProvider -ProviderNamespace Microsoft.KeyVault # Einrichtung der Ressourcengruppe für Azure Key Vaults New-AzResourceGroup -Name RG-EGXDE-KV-A -Location "West Europe" # Einrichtung des ersten Key Vaults per Azure Portal # Speichern der Vorlagen- und Parameterdatei für die weiteren Key Vaults Abfrage der Azure Lokationen Get-AzLocation
Customer Key # Vorbereitung der Parameterdatei "parameters": { "name": { "value": "az-kv-egxde-exo-a" {…} "accessPolicies": { "value": [ { "objectId": "754e1dbe-1bcf-4789-bbee-22410877fdb0", "tenantId": "d320e379-89d3-4566-b834-6ca78a2f6399", # Template-Datei laden und in Json konvertieren $TemplateFile = [System.IO.File]::ReadAllText("C:CMKkeyvault-template.json") $TemplateJson = ConvertFrom-Json $TemplateFile –AsHashtable # Neue Ressourcengruppe erstellen New-AzResourceGroupDeployment -ResourceGroupName "RG-EGXDE-KV-A" -TemplateObject ` $TemplateJson -TemplateParameterFile "C:CMKkeyvault-parameters-exo-a.json" Key Vault Namen sind global eindeutig
Customer Key # Variablen für Key Vault und Admin Sicherheitsgruppe $kvName = 'az-kv-egxde-exo-a' $kvAdminGroup = 'kv-Admins' # Setzen der Zugriffsrichtlinie für Admininstratoren Set-AzKeyVaultAccessPolicy -VaultName $kvName ` -ObjectId (Get-AzADGroup -SearchString $kvAdminGroup)[0].Id ` -PermissionsToKeys create,import,list,get,backup,restore # Konfiguration der Contributor-Gruppe via Azure Portal für die Ressourcengruppe
Customer Key # Variablen für Key Vault und Admin Sicherheitsgruppe $kvName = 'az-kv-egxde-exo-a' $kvAdminGroup = 'kv-Admins' Set-AzKeyVaultAccessPolicy -VaultName $kvName ` -ObjectId (Get-AzADGroup -SearchString $kvAdminGroup)[0].Id ` -PermissionsToKeys create,import,list,get,backup,restore # Konfiguration der Contributor-Gruppe via Azure Portal für die Ressourcengruppe
Customer Key # Variablen für Key Vault $kvName = 'az-kv-egxde-exo-a' # Microsoft 365 Workloads $objExoSfB = '00000002-0000-0ff1-ce00-000000000000' $objSpoTeams = '00000003-0000-0ff1-ce00-000000000000' $objMultiWL = 'c066d759-24ae-40e7-a56f-027002b5d3e4' # Exchange Online / Skype for Business Set-AzKeyVaultAccessPolicy -VaultName $kvName -PermissionsToKeys wrapKey,unwrapKey,get ` -ServicePrincipalName $objExoSfB # SharePoint Online / OneDrive for Business / Teams Files Set-AzKeyVaultAccessPolicy -VaultName $kvName -PermissionsToKeys wrapKey,unwrapKey,get ` -ServicePrincipalName $objSpoTeams # Microsoft 365 Multi-Workload Set-AzKeyVaultAccessPolicy -VaultName $kvName -PermissionsToKeys wrapKey,unwrapKey,get ` -ServicePrincipalName $objMultiWL
Customer Key # Variablen für Key Vault $kvName = 'az-kv-egxde-exo-a' # Exchange Online / Skype for Business Add-AzKeyVaultKey -VaultName $kvName -Name 'egxde-exo-key-a' -Destination 'Software' # SharePoint Online / OneDrive for Business / Teams Files Add-AzKeyVaultKey -VaultName $kvName -Name 'egxde-spo-key-a' -Destination 'Software' # Microsoft 365 Multi-Workload Add-AzKeyVaultKey -VaultName $kvName -Name 'egxde-m365dr-key-a' -Destination 'Software' Key Namen sind global eindeutig
Customer Key  Meldung an FastTrack per E-Mail
Data Encryption Policies # PowerShell Modul: ExchangeOnlineManagement Connect-ExchangeOnline # Variablen $key1 = 'https://az-kv-egxde-m365dr-a.vault.azure.net:443/keys/egxde-m365dr-key-a' $key2 = 'https://az-kv-egxde-m365dr-b.vault.azure.net:443/keys/egxde-m365dr-key-b' # Erstellung der Multi-Workload Data Encryption Policy New-M365DataAtRestEncryptionPolicy -Name 'EGX_DataAtRest' ` -AzureKeyIDs $key1,$key2 -Description 'EGX Data at Rest Multi-Workload policy' # Setzen der Multi-Workload DEP Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy 'EGX_DataAtRest'
Data Encryption Policies Get-M365DataAtRestEncryptionPolicyAssignment | fl RunspaceId : 1d83f812-f929-4eb3-bd5d-881184373ba1 OrgHierarchyToIgnore : IsDeleted : False Rdn : CN=EGX_DataAtRest Parent : egxde.onmicrosoft.comCKaaS Data Encryption Policies Depth : 8 DistinguishedName : CN=EGX_DataAtRest,CN=CKaaS Data Encryption Policies,CN=Configuration,CN=egxde.onmicrosoft.com,CN=ConfigurationUnits,DC=DEUP281A001,DC=PRO D,DC=OUTLOOK,DC=COM IsRelativeDn : False DomainId : DEUP281A001.PROD.OUTLOOK.COM PartitionGuid : 59ce2f71-eaa2-4ddf-a4fa-f25069d0b324 PartitionFQDN : DEUP281A001.PROD.OUTLOOK.COM ObjectGuid : 05a9e413-6822-4918-8d8c-99b1aba1e06c Name : EGX_DataAtRest SecurityIdentifierString :
Data Encryption Policies # Variablen $key1 = 'https://az-kv-egxde-exo-a.vault.azure.net:443/keys/egxde-exo-key-a' $key2 = 'https://az-kv-egxde-exo-b.vault.azure.net:443/keys/egxde-exo-key-b' # Erstellung der Exchange Online Data Encryption Policy New-DataEncryptionPolicy -Name 'EGX_EXO_DEP' ` -AzureKeyIDs $key1,$key2 ` -Description 'EGX Exchange Online Encryption Policy' # Setzen der Exchange Online DEP Set-Mailbox LouisR@varunagroup.de -DataEncryptionPolicy 'EGX_EXO_DEP' Set-Mailbox LouisR@varunagroup.de -DataEncryptionPolicy 'EGX_EXO_DEP' -PublicFolder Set-MailUser OnPremUser@varunagroup.de -DataEncryptionPolicy 'EGX_EXO_DEP' Set-UnifiedGroup SomeGroup@groups.varunagroup.de -DataEncryptionPolicy 'EGX_EXO_DEP' # Prüfung für Postfächer Get-MailboxStatistics UPN | FL IsEncrypted
Data Encryption Policies # PowerShell Modul: Microsoft.Online.SharePoint.PowerShell Connect-SPOService -Url https://tenant-admin.sharepoint.com # Abfrage der Key Versionen Set-AzContext –SubscriptionId SUBSCRIPTION-A $key1version = (Get-AzKeyVaultKey -VaultName az-kv-egxde-spo-a -Name egxde-spo-key-a ` -IncludeVersions).Version Set-AzContext –SubscriptionId SUBSCRIPTION-B $key2version = (Get-AzKeyVaultKey -VaultName az-kv-egxde-spo-b -Name egxde-spo-key-b ` -IncludeVersions).Version # Erstellung der SharePoint Online Data Encryption Policy Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'az-kv-egxde-spo-a' -PrimaryKeyName 'egxde-spo-key-a' -PrimaryKeyVersion $key1version -SecondaryKeyVaultName 'az-kv-egxde-spo-b' - SecondaryKeyName 'egxde-spo-key-b' -SecondaryKeyVersion $key2version # Prüfung Get-SPODataEncryptionPolicy
Double Key Encryption  Verschlüsselung einer Teilmenge von Microsoft 365 Daten  Informationsschutz mit Vertraulichkeitsbezeichnungen (Sensitivity Label)  Nutzung von HSM-Lösungen (z.B. Thales)  Kompilierung des DKE GitHub Repository  Keine Unterstützung von  Transport Regeln, inkl. Anti-Malware- und Anti-Spam-Funktionen für Nachrichteninhalte  Microsoft Delve  eDiscovery  Inhaltssuche und Indizierung  Office Web Apps und Co-Authoring https://go.granikos.eu/DKEVideo
Customer Key  Customer Key unterstützt drei Verschlüsselungsziele  Microsoft 365 Data-at-Rest  Exchange Online  SharePoint Online  Nicht alle Microsoft 365 Workloads unterstützen Customer Key Verschlüsselung  Customer Key erfordert eine Lizensierung für jedes Benutzerkonto  Customer Key benötigt mindestens zwei Azure Abonnements für Key Vaults  Ein Key Vault für jedes gewünschte Verschlüsselungsziel  Aktivierung von Customer Key über Microsoft FastTrack (Microsoft Empfehlung)  Definition der Zugriffsberechtigungen für Azure Abonnements und Key Vault  Umsetzung einer Test-Implementierung in einem Test-Mandanten
Rate my session & Calls to Action Rate this session https://teamsnation.rocks/ feedback Attend more sessions and join our keynotes at 19.00 CET Show your love on social using #TeamsNation and @TeamsNation 1 2 3
Ressourcen Subtitle Understanding Microsoft Information Protection Encryption Key Types Roll or rotate a Customer Key or an availability key Move requests in the Microsoft 365 or Office 365 service Encryption ciphers used by Customer Key Encryption for Skype for Business, OneDrive for Business, SharePoint Online, Microsoft Teams, and Exchange Online Microsoft 365 Multi-Geo eDiscovery configuration Microsoft 365 encryption technical reference Assign roles in Azure Portal Microsoft 365 Maps Double Key Encryption

Recommended

SharePoint Einführung und Anwenderschulung
SharePoint Einführung und AnwenderschulungSharePoint Einführung und Anwenderschulung
SharePoint Einführung und AnwenderschulungLocatech IT Solutions GmbH
 
Power Apps - Data governance, compliance and security
Power Apps - Data governance, compliance and securityPower Apps - Data governance, compliance and security
Power Apps - Data governance, compliance and securityLearning SharePoint
 
Bai thuyet trinh cntt
Bai thuyet trinh cntt Bai thuyet trinh cntt
Bai thuyet trinh cntt Thao An
 
File naming conventions and best practices for cultural institutions
File naming conventions and best practices for cultural institutionsFile naming conventions and best practices for cultural institutions
File naming conventions and best practices for cultural institutionsPerian Sully
 
Introduction to Microsoft Syntex
Introduction to Microsoft SyntexIntroduction to Microsoft Syntex
Introduction to Microsoft SyntexDrew Madelung
 
HTML5 - Insert images and Apply page backgrounds
HTML5 - Insert images and Apply page backgroundsHTML5 - Insert images and Apply page backgrounds
HTML5 - Insert images and Apply page backgroundsGrayzon Gonzales, LPT
 
Tài liệu HTML5-CSS3
Tài liệu HTML5-CSS3Tài liệu HTML5-CSS3
Tài liệu HTML5-CSS3Lương Bá Hợp
 
A Quick Guide to Microsoft Forms
A Quick Guide to Microsoft FormsA Quick Guide to Microsoft Forms
A Quick Guide to Microsoft Formsjgsantos2
 

Recommended

SharePoint Einführung und Anwenderschulung
SharePoint Einführung und AnwenderschulungSharePoint Einführung und Anwenderschulung
SharePoint Einführung und AnwenderschulungLocatech IT Solutions GmbH
 
Power Apps - Data governance, compliance and security
Power Apps - Data governance, compliance and securityPower Apps - Data governance, compliance and security
Power Apps - Data governance, compliance and securityLearning SharePoint
 
Bai thuyet trinh cntt
Bai thuyet trinh cntt Bai thuyet trinh cntt
Bai thuyet trinh cntt Thao An
 
File naming conventions and best practices for cultural institutions
File naming conventions and best practices for cultural institutionsFile naming conventions and best practices for cultural institutions
File naming conventions and best practices for cultural institutionsPerian Sully
 
Introduction to Microsoft Syntex
Introduction to Microsoft SyntexIntroduction to Microsoft Syntex
Introduction to Microsoft SyntexDrew Madelung
 
HTML5 - Insert images and Apply page backgrounds
HTML5 - Insert images and Apply page backgroundsHTML5 - Insert images and Apply page backgrounds
HTML5 - Insert images and Apply page backgroundsGrayzon Gonzales, LPT
 
Tài liệu HTML5-CSS3
Tài liệu HTML5-CSS3Tài liệu HTML5-CSS3
Tài liệu HTML5-CSS3Lương Bá Hợp
 
A Quick Guide to Microsoft Forms
A Quick Guide to Microsoft FormsA Quick Guide to Microsoft Forms
A Quick Guide to Microsoft Formsjgsantos2
 
Datenverschlüsselung in der Praxis
Datenverschlüsselung in der PraxisDatenverschlüsselung in der Praxis
Datenverschlüsselung in der PraxisA. Baggenstos & Co. AG
 
TechNet Conference 2013 Berlin-Office365 Einsatzszenarien by Martina Grom
TechNet Conference 2013 Berlin-Office365 Einsatzszenarien by Martina GromTechNet Conference 2013 Berlin-Office365 Einsatzszenarien by Martina Grom
TechNet Conference 2013 Berlin-Office365 Einsatzszenarien by Martina Gromatwork
 
Dynamic Access Control
Dynamic Access ControlDynamic Access Control
Dynamic Access ControlDigicomp Academy AG
 
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...BCC - Solutions for IBM Collaboration Software
 
AWS Account Management im Unternehmensumfeld - AWS Security Web Day
AWS Account Management im Unternehmensumfeld - AWS Security Web DayAWS Account Management im Unternehmensumfeld - AWS Security Web Day
AWS Account Management im Unternehmensumfeld - AWS Security Web DayAWS Germany
 
Azure SQL Database vs. Azure SQL Data Warehouse
Azure SQL Database vs. Azure SQL Data WarehouseAzure SQL Database vs. Azure SQL Data Warehouse
Azure SQL Database vs. Azure SQL Data WarehousepmOne Analytics GmbH
 
Sensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankSensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankUlrike Schwinn
 
Cloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von AngrybirdCloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von AngrybirdAOE
 
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!Holliday Consulting
 
Sendung 17-12 Special: DSGVO, Security & Compliance
Sendung 17-12 Special: DSGVO, Security & ComplianceSendung 17-12 Special: DSGVO, Security & Compliance
Sendung 17-12 Special: DSGVO, Security & ComplianceThomas Maier
 
Oracle Security Übersicht
Oracle Security ÜbersichtOracle Security Übersicht
Oracle Security Übersichtoraclebudb
 
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARMExperteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARMThomas Maier
 
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!Spontan testen! Das eigene Test Lab, für jeden in der Cloud!
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!Peter Kirchner
 
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM DominoKeine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM DominoBCC - Solutions for IBM Collaboration Software
 
Erweitern sie ihr Data Center mit Cloud Services
Erweitern sie ihr Data Center mit Cloud ServicesErweitern sie ihr Data Center mit Cloud Services
Erweitern sie ihr Data Center mit Cloud ServicesAWS Germany
 
Oracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerOracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerDésirée Pfister
 
Oracle Database Backup Service
Oracle Database Backup ServiceOracle Database Backup Service
Oracle Database Backup ServiceTrivadis
 
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzenAWS Germany
 
Zalando und AWS: Security First in der Public Cloud
Zalando und AWS: Security First in der Public Cloud Zalando und AWS: Security First in der Public Cloud
Zalando und AWS: Security First in der Public Cloud AWS Germany
 
Data Virtualization - Supernova
Data Virtualization - SupernovaData Virtualization - Supernova
Data Virtualization - SupernovaTorsten Glunde
 
19. Treffen der Teams User Group Berlin
19. Treffen der Teams User Group Berlin19. Treffen der Teams User Group Berlin
19. Treffen der Teams User Group BerlinThomas Stensitzki
 
Tech Talk 16 - Exchange Server 2019 CU12
Tech Talk 16 - Exchange Server 2019 CU12Tech Talk 16 - Exchange Server 2019 CU12
Tech Talk 16 - Exchange Server 2019 CU12Thomas Stensitzki
 

More Related Content

Similar to Teams Nation 2022 - Securing Microsoft 365 data with service encryption

TechNet Conference 2013 Berlin-Office365 Einsatzszenarien by Martina Grom
TechNet Conference 2013 Berlin-Office365 Einsatzszenarien by Martina GromTechNet Conference 2013 Berlin-Office365 Einsatzszenarien by Martina Grom
TechNet Conference 2013 Berlin-Office365 Einsatzszenarien by Martina Gromatwork
 
AWS Account Management im Unternehmensumfeld - AWS Security Web Day
AWS Account Management im Unternehmensumfeld - AWS Security Web DayAWS Account Management im Unternehmensumfeld - AWS Security Web Day
AWS Account Management im Unternehmensumfeld - AWS Security Web DayAWS Germany
 
Azure SQL Database vs. Azure SQL Data Warehouse
Azure SQL Database vs. Azure SQL Data WarehouseAzure SQL Database vs. Azure SQL Data Warehouse
Azure SQL Database vs. Azure SQL Data WarehousepmOne Analytics GmbH
 
Sensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankSensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankUlrike Schwinn
 
Cloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von AngrybirdCloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von AngrybirdAOE
 
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!Holliday Consulting
 
Sendung 17-12 Special: DSGVO, Security & Compliance
Sendung 17-12 Special: DSGVO, Security & ComplianceSendung 17-12 Special: DSGVO, Security & Compliance
Sendung 17-12 Special: DSGVO, Security & ComplianceThomas Maier
 
Oracle Security Übersicht
Oracle Security ÜbersichtOracle Security Übersicht
Oracle Security Übersichtoraclebudb
 
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARMExperteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARMThomas Maier
 
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!Spontan testen! Das eigene Test Lab, für jeden in der Cloud!
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!Peter Kirchner
 
Erweitern sie ihr Data Center mit Cloud Services
Erweitern sie ihr Data Center mit Cloud ServicesErweitern sie ihr Data Center mit Cloud Services
Erweitern sie ihr Data Center mit Cloud ServicesAWS Germany
 
Oracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerOracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerDésirée Pfister
 
Oracle Database Backup Service
Oracle Database Backup ServiceOracle Database Backup Service
Oracle Database Backup ServiceTrivadis
 
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzenAWS Germany
 
Zalando und AWS: Security First in der Public Cloud
Zalando und AWS: Security First in der Public Cloud Zalando und AWS: Security First in der Public Cloud
Zalando und AWS: Security First in der Public Cloud AWS Germany
 
Data Virtualization - Supernova
Data Virtualization - SupernovaData Virtualization - Supernova
Data Virtualization - SupernovaTorsten Glunde
 

Similar to Teams Nation 2022 - Securing Microsoft 365 data with service encryption (20)

Datenverschlüsselung in der Praxis
Datenverschlüsselung in der PraxisDatenverschlüsselung in der Praxis
Datenverschlüsselung in der Praxis
 
TechNet Conference 2013 Berlin-Office365 Einsatzszenarien by Martina Grom
TechNet Conference 2013 Berlin-Office365 Einsatzszenarien by Martina GromTechNet Conference 2013 Berlin-Office365 Einsatzszenarien by Martina Grom
TechNet Conference 2013 Berlin-Office365 Einsatzszenarien by Martina Grom
 
Dynamic Access Control
Dynamic Access ControlDynamic Access Control
Dynamic Access Control
 
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
 
AWS Account Management im Unternehmensumfeld - AWS Security Web Day
AWS Account Management im Unternehmensumfeld - AWS Security Web DayAWS Account Management im Unternehmensumfeld - AWS Security Web Day
AWS Account Management im Unternehmensumfeld - AWS Security Web Day
 
Azure SQL Database vs. Azure SQL Data Warehouse
Azure SQL Database vs. Azure SQL Data WarehouseAzure SQL Database vs. Azure SQL Data Warehouse
Azure SQL Database vs. Azure SQL Data Warehouse
 
Sensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankSensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle Datenbank
 
Cloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von AngrybirdCloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von Angrybird
 
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
 
Sendung 17-12 Special: DSGVO, Security & Compliance
Sendung 17-12 Special: DSGVO, Security & ComplianceSendung 17-12 Special: DSGVO, Security & Compliance
Sendung 17-12 Special: DSGVO, Security & Compliance
 
Oracle Security Übersicht
Oracle Security ÜbersichtOracle Security Übersicht
Oracle Security Übersicht
 
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARMExperteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
 
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!Spontan testen! Das eigene Test Lab, für jeden in der Cloud!
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!
 
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM DominoKeine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
 
Erweitern sie ihr Data Center mit Cloud Services
Erweitern sie ihr Data Center mit Cloud ServicesErweitern sie ihr Data Center mit Cloud Services
Erweitern sie ihr Data Center mit Cloud Services
 
Oracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerOracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin Berger
 
Oracle Database Backup Service
Oracle Database Backup ServiceOracle Database Backup Service
Oracle Database Backup Service
 
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
 
Zalando und AWS: Security First in der Public Cloud
Zalando und AWS: Security First in der Public Cloud Zalando und AWS: Security First in der Public Cloud
Zalando und AWS: Security First in der Public Cloud
 
Data Virtualization - Supernova
Data Virtualization - SupernovaData Virtualization - Supernova
Data Virtualization - Supernova
 

More from Thomas Stensitzki

19. Treffen der Teams User Group Berlin
19. Treffen der Teams User Group Berlin19. Treffen der Teams User Group Berlin
19. Treffen der Teams User Group BerlinThomas Stensitzki
 
Tech Talk 16 - Exchange Server 2019 CU12
Tech Talk 16 - Exchange Server 2019 CU12Tech Talk 16 - Exchange Server 2019 CU12
Tech Talk 16 - Exchange Server 2019 CU12Thomas Stensitzki
 
18. Treffen der Teams User Group Berlin
18. Treffen der Teams User Group Berlin18. Treffen der Teams User Group Berlin
18. Treffen der Teams User Group BerlinThomas Stensitzki
 
17. Treffen der Teams User Group Berlin
17. Treffen der Teams User Group Berlin17. Treffen der Teams User Group Berlin
17. Treffen der Teams User Group BerlinThomas Stensitzki
 
16. Treffen der Teams User Group Berlin
16. Treffen der Teams User Group Berlin16. Treffen der Teams User Group Berlin
16. Treffen der Teams User Group BerlinThomas Stensitzki
 
EXUSG - 2021 - Q4 - Exchange Emergency Mitigation Service
EXUSG - 2021 - Q4 - Exchange Emergency Mitigation ServiceEXUSG - 2021 - Q4 - Exchange Emergency Mitigation Service
EXUSG - 2021 - Q4 - Exchange Emergency Mitigation ServiceThomas Stensitzki
 
15. Treffen der Teams User Group Berlin
15. Treffen der Teams User Group Berlin15. Treffen der Teams User Group Berlin
15. Treffen der Teams User Group BerlinThomas Stensitzki
 
Tech Talk 13 - Teams Admin Center - Einführung
Tech Talk 13 - Teams Admin Center - EinführungTech Talk 13 - Teams Admin Center - Einführung
Tech Talk 13 - Teams Admin Center - EinführungThomas Stensitzki
 
14. Treffen der Teams User Group Berlin
14. Treffen der Teams User Group Berlin14. Treffen der Teams User Group Berlin
14. Treffen der Teams User Group BerlinThomas Stensitzki
 
Tech Talk 12 - Exchange Server Support Life-Cycle
Tech Talk 12 - Exchange Server Support Life-CycleTech Talk 12 - Exchange Server Support Life-Cycle
Tech Talk 12 - Exchange Server Support Life-CycleThomas Stensitzki
 
12. Treffen der Teams User Group Berlin
12. Treffen der Teams User Group Berlin 12. Treffen der Teams User Group Berlin
12. Treffen der Teams User Group Berlin Thomas Stensitzki
 
MCT Summit Middle East 2021 - Exchange Hybrid - What, Why, and How
MCT Summit Middle East 2021 - Exchange Hybrid - What, Why, and HowMCT Summit Middle East 2021 - Exchange Hybrid - What, Why, and How
MCT Summit Middle East 2021 - Exchange Hybrid - What, Why, and HowThomas Stensitzki
 
EXUSG - Exchange Server vNEXT
EXUSG - Exchange Server vNEXTEXUSG - Exchange Server vNEXT
EXUSG - Exchange Server vNEXTThomas Stensitzki
 
10. Treffen der Teams User Group Berlin
10. Treffen der Teams User Group Berlin10. Treffen der Teams User Group Berlin
10. Treffen der Teams User Group BerlinThomas Stensitzki
 
Tech Talk 9 - Exchange Server vNEXT
Tech Talk 9 - Exchange Server vNEXTTech Talk 9 - Exchange Server vNEXT
Tech Talk 9 - Exchange Server vNEXTThomas Stensitzki
 
Thomas' Tech Talk 7 - AD FS oder PTA
Thomas' Tech Talk 7 - AD FS oder PTAThomas' Tech Talk 7 - AD FS oder PTA
Thomas' Tech Talk 7 - AD FS oder PTAThomas Stensitzki
 
Exchange Server Hybrid - Was, Warum und Wie
Exchange Server Hybrid - Was, Warum und WieExchange Server Hybrid - Was, Warum und Wie
Exchange Server Hybrid - Was, Warum und WieThomas Stensitzki
 
Thomas' Tech Talk 4 - Lohnt sich ein Wechsel zu Exchange Server 2019?
Thomas' Tech Talk 4 - Lohnt sich ein Wechsel zu Exchange Server 2019?Thomas' Tech Talk 4 - Lohnt sich ein Wechsel zu Exchange Server 2019?
Thomas' Tech Talk 4 - Lohnt sich ein Wechsel zu Exchange Server 2019?Thomas Stensitzki
 
Thomas' Tech Talk 3 - Exchange Server Hybrid
Thomas' Tech Talk 3 - Exchange Server HybridThomas' Tech Talk 3 - Exchange Server Hybrid
Thomas' Tech Talk 3 - Exchange Server HybridThomas Stensitzki
 
Thomas' Tech Talk 2 - Migration von Exchange Server zu Exchange Online
Thomas' Tech Talk 2 - Migration von Exchange Server zu Exchange OnlineThomas' Tech Talk 2 - Migration von Exchange Server zu Exchange Online
Thomas' Tech Talk 2 - Migration von Exchange Server zu Exchange OnlineThomas Stensitzki
 

More from Thomas Stensitzki (20)

19. Treffen der Teams User Group Berlin
19. Treffen der Teams User Group Berlin19. Treffen der Teams User Group Berlin
19. Treffen der Teams User Group Berlin
 
Tech Talk 16 - Exchange Server 2019 CU12
Tech Talk 16 - Exchange Server 2019 CU12Tech Talk 16 - Exchange Server 2019 CU12
Tech Talk 16 - Exchange Server 2019 CU12
 
18. Treffen der Teams User Group Berlin
18. Treffen der Teams User Group Berlin18. Treffen der Teams User Group Berlin
18. Treffen der Teams User Group Berlin
 
17. Treffen der Teams User Group Berlin
17. Treffen der Teams User Group Berlin17. Treffen der Teams User Group Berlin
17. Treffen der Teams User Group Berlin
 
16. Treffen der Teams User Group Berlin
16. Treffen der Teams User Group Berlin16. Treffen der Teams User Group Berlin
16. Treffen der Teams User Group Berlin
 
EXUSG - 2021 - Q4 - Exchange Emergency Mitigation Service
EXUSG - 2021 - Q4 - Exchange Emergency Mitigation ServiceEXUSG - 2021 - Q4 - Exchange Emergency Mitigation Service
EXUSG - 2021 - Q4 - Exchange Emergency Mitigation Service
 
15. Treffen der Teams User Group Berlin
15. Treffen der Teams User Group Berlin15. Treffen der Teams User Group Berlin
15. Treffen der Teams User Group Berlin
 
Tech Talk 13 - Teams Admin Center - Einführung
Tech Talk 13 - Teams Admin Center - EinführungTech Talk 13 - Teams Admin Center - Einführung
Tech Talk 13 - Teams Admin Center - Einführung
 
14. Treffen der Teams User Group Berlin
14. Treffen der Teams User Group Berlin14. Treffen der Teams User Group Berlin
14. Treffen der Teams User Group Berlin
 
Tech Talk 12 - Exchange Server Support Life-Cycle
Tech Talk 12 - Exchange Server Support Life-CycleTech Talk 12 - Exchange Server Support Life-Cycle
Tech Talk 12 - Exchange Server Support Life-Cycle
 
12. Treffen der Teams User Group Berlin
12. Treffen der Teams User Group Berlin 12. Treffen der Teams User Group Berlin
12. Treffen der Teams User Group Berlin
 
MCT Summit Middle East 2021 - Exchange Hybrid - What, Why, and How
MCT Summit Middle East 2021 - Exchange Hybrid - What, Why, and HowMCT Summit Middle East 2021 - Exchange Hybrid - What, Why, and How
MCT Summit Middle East 2021 - Exchange Hybrid - What, Why, and How
 
EXUSG - Exchange Server vNEXT
EXUSG - Exchange Server vNEXTEXUSG - Exchange Server vNEXT
EXUSG - Exchange Server vNEXT
 
10. Treffen der Teams User Group Berlin
10. Treffen der Teams User Group Berlin10. Treffen der Teams User Group Berlin
10. Treffen der Teams User Group Berlin
 
Tech Talk 9 - Exchange Server vNEXT
Tech Talk 9 - Exchange Server vNEXTTech Talk 9 - Exchange Server vNEXT
Tech Talk 9 - Exchange Server vNEXT
 
Thomas' Tech Talk 7 - AD FS oder PTA
Thomas' Tech Talk 7 - AD FS oder PTAThomas' Tech Talk 7 - AD FS oder PTA
Thomas' Tech Talk 7 - AD FS oder PTA
 
Exchange Server Hybrid - Was, Warum und Wie
Exchange Server Hybrid - Was, Warum und WieExchange Server Hybrid - Was, Warum und Wie
Exchange Server Hybrid - Was, Warum und Wie
 
Thomas' Tech Talk 4 - Lohnt sich ein Wechsel zu Exchange Server 2019?
Thomas' Tech Talk 4 - Lohnt sich ein Wechsel zu Exchange Server 2019?Thomas' Tech Talk 4 - Lohnt sich ein Wechsel zu Exchange Server 2019?
Thomas' Tech Talk 4 - Lohnt sich ein Wechsel zu Exchange Server 2019?
 
Thomas' Tech Talk 3 - Exchange Server Hybrid
Thomas' Tech Talk 3 - Exchange Server HybridThomas' Tech Talk 3 - Exchange Server Hybrid
Thomas' Tech Talk 3 - Exchange Server Hybrid
 
Thomas' Tech Talk 2 - Migration von Exchange Server zu Exchange Online
Thomas' Tech Talk 2 - Migration von Exchange Server zu Exchange OnlineThomas' Tech Talk 2 - Migration von Exchange Server zu Exchange Online
Thomas' Tech Talk 2 - Migration von Exchange Server zu Exchange Online
 

Teams Nation 2022 - Securing Microsoft 365 data with service encryption

  • 1. #TeamsNation Securing Microsoft 365 Data with service encryption Thomas Stensitzki Sponsored by Microsoft Teams Microsoft Tech Community
  • 2. Thomas Stensitzki Enterprise Consultant | Geschäftsführer Granikos GmbH & Co. KG MVP | MCT | MCT Regional Lead Twitter @Stensitzki LinkedIn https://linkedin.com/in/thomasstensitzki Blog http://Blog.Granikos.eu YouTube http://TechTalk.Granikos.eu
  • 3. Was wir nicht betrachten Transportverschlüsselung Zwischen Kunde und Rechenzentrum Zwischen Servern und Rechenzentrum
  • 4. Was wir nicht betrachten Azure Service Verschlüsselungen  Client-Side Encryption  Azure Disk Encryption  Azure Storage Service Encryption  Azure Blob Client-Side Encryption  Azure SQL Database Data-at-Rest Encryption  Cosmos DB Database Encryption  Data Lake Encryption  SMB Encryption over Azure Virtual Networks  Server-Side Encryption  Service-Managed Keys  Customer-Managed Keys (Bring Your Own Key BYOK) Weitere Informationen
  • 5. Was wir nicht betrachten E-Mail-Verschlüsselungen  Nachrichtenverschlüsselung mit S/MIME  Office 365 Message Encryption (OME)  Vertraulichkeitsbezeichnungen (Sensitivity Label)
  • 6. Verschlüsselung in Microsoft 365 Microsoft 365 Standard • BitLocker  Dateisystem-Verschlüsselung in Microsoft Rechenzentren • Shredded Storage  Verschlüsselung von Dateiteilen mit AES-256 Schlüsseln Erweiterung der Standardverschlüsselung • Customer Managed KEY (CMK) • Double Key Encryption (DKE)
  • 7. Key Store SharePoint Online – Shredded Storage Encryption Data-at-Rest Azure Storage Containers Content Database Chunks Encrypted Files A B C D https://aka.ms/dataencryption
  • 8. Customer Key Sponsored by Microsoft Teams Microsoft Tech Community
  • 9. Customer Key Warum gibt es Customer Key in Microsoft 365?  Verschlüsselung von Dateninhalten als zusätzliche Schutzebene zu BitLocker  Trennung des Zugriffes für Windows Administratoren auf Applikationsdaten, die durch das Betriebssystem verarbeitet werden  Customer Key Option ermöglicht eine Schlüsselverwaltung pro Mandant  Ermöglicht die Umsetzung von besonderen Compliance-Anforderungen zur Verschlüsselung in Microsoft 365  Schlüsselverwaltung durch den Kunden
  • 11. Customer Key  Azure Key Vaults in zwei separaten Azure Abonnements  EA oder CSP  Initiale Einrichtung der Customer Managed Keys über FastTrack Portal (Microsoft Empfehlung)  Schlüsselungsmöglichkeiten  Allgemeine Microsoft 365 Data-at-Rest Verschlüsselung  Dienstverschlüsselung für Exchange Online und SharePoint Online (inkl. OneDrive und Microsoft Teams)  Verwaltung  Erstellung von Data Encryption Policies (DEP)  Zuweisung von Data Encryption Policies  Schlüsselwechsel  Rotation eines Customer Key  Rotation eines Availability Key  Keine direkte Kontrolle durch Endkunden Weitere Informationen zum Schlüsselwechsel
  • 12. Customer Key  Löschen Sie keine Schlüssel, die mit DEP-Richtlinien verknüpft sind oder einmal aktiv verknüpft waren  Inhalte werden bei einer Schlüsselrotation entschlüsselt und mit dem neuen Schlüssel erneut verschlüsselt  Exchange Online  Aktive Postfächer werden regelmäßig neu verschlüsselt  Inaktive, deaktivierte und nicht mehr verbundene Postfächer können noch mit einem alten Schlüssel verschlüsselt sein  SharePoint Online  Datensicherungen zur Wiederherstellung können Daten enthalten, die mit einem alten Schlüssel geschützt sind  Risiko eines nachträglichen Datenverlustes Hinweise
  • 13. Customer Key  On-Premises Hardware Service Module (HSM)  Empfehlung für den produktiven Einsatz  Azure Key Vault (AKV)  Empfehlung für Testzwecke oder einen Proof-of-Concept  Beide Varianten erfordern Azure Key Vaults für die Konfiguration und Verwaltung Schlüsselverwaltung
  • 14. Data Encryption Policies  Teams Chat-Nachrichten (1:1 Chats, Gruppenchats, Meeting-Chats, Kanal-Konversationen)  Teams Media-Nachrichten (Bilder, Code-Beispiele, Video-/Audio-Nachrichten, Wiki-Bilder)  Teams Anruf- und Meeting-Aufzeichnungen in Teams-Speicherorten (aka Stream)  Teams Chatbenachrichtigungen und Teams Chatempfehlungen von Cortana  Teams Statusnachrichten  Benutzer- und Signalinformationen in Exchange Online  Exchange Online Postfächer, die nicht über eine dedizierte Postfach-DEP verschlüsselt sind  Microsoft Information Protection  Exact Data Match (EDM) Daten  Label Vertraulichkeitskennzeichnungen (Sensitivity Label)  Teams und EDM Daten werden ab Zuweisung der DEP-Richtlinie verschlüsselt  Exchange Online Daten werden vollständig verschlüsselt
  • 15. Data Encryption Policies Folgenden Daten werden mit einer M365 Data-at-Rest DEP nicht verschlüsselt  SharePoint Online und OneDrive for Business  Teams Dateien und Aufzeichnungen in SharePoint Online und OneDrive for Business  Teams Live Event Daten  Andere Microsoft 365 Daten, z.B. Yammer oder Planner  Es können mehrere DEP für Microsoft 365 Data-at-Rest im Mandaten existieren  Nur eine DEP ist zugewiesen und aktiv
  • 16. Data Encryption Policies  Verschlüsselung von unterschiedlichen Objekttypen  Benutzerpostfächern (Mailbox User)  E-Mail-Benutzer (Mail User)  Microsoft 365 Gruppen  Geteilte Postfächer  Öffentliche Ordner  Je Postfach kann eine DEP zugewiesen werden  Es können bis zu 50 aktive DEP im Mandanten existieren
  • 17. Data Encryption Policies 2 Customer Keys Azure Key Vault RSA Availability Key Office 365 AES 256 Mailboxes Data Encryption Policy Key Basiert auf Root-Keys AES 256 Mailbox Key Basiert auf Data Encryption Policy Key AES 256 Root Keys
  • 18. Data Encryption Policies  Verschlüsselung von existierenden Daten beginnt unmittelbar nach Zuweisung der Schlüssel  Verschlüsselung von Daten mit unterschiedlichen Schlüssel je Geo-Lokation möglich
  • 19. Data Encryption Policies Data Chunks 2 Customer Keys Azure Key Vault RSA Availability Key Office 365 AES 256 Root Keys 1 Datei = N Chunks = N Keys AES 256 File Chunk Encrpytion Key Basiert auf Site Encryption Key Site Encryption Key Basiert auf Tenant Intermediate Key AES 256 Tenant intermediate Key Basiert auf Root-Keys AES 256
  • 20. Customer Key Implementierung Sponsored by Microsoft Teams Microsoft Tech Community
  • 21. Customer Key Vor einer FastTrack-Anfrage zur Einrichtung von Customer Key im Microsoft 365 Mandanten  Einrichtung von Azure Key Vaults und Keys in zwei Azure Abonnements  Ein Key Vault mit Key für jeden zu verschlüsselnden Workload Azure Subscriptions Key Vaults Keys Subscription B Subscription A KEY- EXO-A KEY- EXO-B KEY- M365-A KEY- M365-B KV-M365-A KV-EXO-A KV-EXO-B KV- M365-B KV-SPO-A KEY- SPO-A KV-SPO-B KEY- SPO-B
  • 22. Customer Key Vor einer FastTrack-Anfrage zur Einrichtung von Customer Key  Einrichtung von Azure Key Vaults und Keys in zwei Azure Abonnements  Ein Key Vault mit Key für jeden zu verschlüsselnden Workload Azure Subscriptions Key Vaults Keys KV-SPO-B KV-EXO-B KV- M365-B Subscription B KEY- M365-B KEY- EXO-B KEY- SPO-B Subscription A KV- M365-A KV-SPO-A KV-EXO-A KEY- M365-A KEY- EXO-A KEY- SPO-A 1 Schlüsselpaar je Workload
  • 23. Customer Key 1. Erstellung von Azure AD Sicherheitsgruppe für Administratoren  Administrator + Contributor 2. Erstellung von zwei Azure Abonnements  Trennung der Berechtigungen für Azure Ressourcengruppen, Key Vaults und Keys  AZ-EGXDE-CMK-A  AZ-EGXDE-CMK-B 3. Registrierung des Mandanten für Customer Key via FastTrack 4. Erstellung einer Ressourcengruppe in jedem Abonnement 5. Erstellung der benötigten Key Vaults in jeder Ressourcengruppe  Standard (Test, Proof-of-Concept) oder Premium (Produktiv) 6. Konfiguration der Zugriffsberechtigungen je Key Vault für Azure AD Sicherheitsgruppen 7. Erstellung der Keys je Key Vault Key Vault und Key Namen sind global eindeutig
  • 29. Customer Key # Registrierung des Provider Feature MandatoryRetentionPeriod # Verhindert ein versehentliche Löschung des Azure Abonnements Register-AzProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources # Registrierung Register-AzResourceProvider -ProviderNamespace Microsoft.KeyVault # Einrichtung der Ressourcengruppe für Azure Key Vaults New-AzResourceGroup -Name RG-EGXDE-KV-A -Location "West Europe" # Einrichtung des ersten Key Vaults per Azure Portal # Speichern der Vorlagen- und Parameterdatei für die weiteren Key Vaults Abfrage der Azure Lokationen Get-AzLocation
  • 30. Customer Key # Vorbereitung der Parameterdatei "parameters": { "name": { "value": "az-kv-egxde-exo-a" {…} "accessPolicies": { "value": [ { "objectId": "754e1dbe-1bcf-4789-bbee-22410877fdb0", "tenantId": "d320e379-89d3-4566-b834-6ca78a2f6399", # Template-Datei laden und in Json konvertieren $TemplateFile = [System.IO.File]::ReadAllText("C:CMKkeyvault-template.json") $TemplateJson = ConvertFrom-Json $TemplateFile –AsHashtable # Neue Ressourcengruppe erstellen New-AzResourceGroupDeployment -ResourceGroupName "RG-EGXDE-KV-A" -TemplateObject ` $TemplateJson -TemplateParameterFile "C:CMKkeyvault-parameters-exo-a.json" Key Vault Namen sind global eindeutig
  • 31. Customer Key # Variablen für Key Vault und Admin Sicherheitsgruppe $kvName = 'az-kv-egxde-exo-a' $kvAdminGroup = 'kv-Admins' # Setzen der Zugriffsrichtlinie für Admininstratoren Set-AzKeyVaultAccessPolicy -VaultName $kvName ` -ObjectId (Get-AzADGroup -SearchString $kvAdminGroup)[0].Id ` -PermissionsToKeys create,import,list,get,backup,restore # Konfiguration der Contributor-Gruppe via Azure Portal für die Ressourcengruppe
  • 32. Customer Key # Variablen für Key Vault und Admin Sicherheitsgruppe $kvName = 'az-kv-egxde-exo-a' $kvAdminGroup = 'kv-Admins' Set-AzKeyVaultAccessPolicy -VaultName $kvName ` -ObjectId (Get-AzADGroup -SearchString $kvAdminGroup)[0].Id ` -PermissionsToKeys create,import,list,get,backup,restore # Konfiguration der Contributor-Gruppe via Azure Portal für die Ressourcengruppe
  • 33. Customer Key # Variablen für Key Vault $kvName = 'az-kv-egxde-exo-a' # Microsoft 365 Workloads $objExoSfB = '00000002-0000-0ff1-ce00-000000000000' $objSpoTeams = '00000003-0000-0ff1-ce00-000000000000' $objMultiWL = 'c066d759-24ae-40e7-a56f-027002b5d3e4' # Exchange Online / Skype for Business Set-AzKeyVaultAccessPolicy -VaultName $kvName -PermissionsToKeys wrapKey,unwrapKey,get ` -ServicePrincipalName $objExoSfB # SharePoint Online / OneDrive for Business / Teams Files Set-AzKeyVaultAccessPolicy -VaultName $kvName -PermissionsToKeys wrapKey,unwrapKey,get ` -ServicePrincipalName $objSpoTeams # Microsoft 365 Multi-Workload Set-AzKeyVaultAccessPolicy -VaultName $kvName -PermissionsToKeys wrapKey,unwrapKey,get ` -ServicePrincipalName $objMultiWL
  • 34. Customer Key # Variablen für Key Vault $kvName = 'az-kv-egxde-exo-a' # Exchange Online / Skype for Business Add-AzKeyVaultKey -VaultName $kvName -Name 'egxde-exo-key-a' -Destination 'Software' # SharePoint Online / OneDrive for Business / Teams Files Add-AzKeyVaultKey -VaultName $kvName -Name 'egxde-spo-key-a' -Destination 'Software' # Microsoft 365 Multi-Workload Add-AzKeyVaultKey -VaultName $kvName -Name 'egxde-m365dr-key-a' -Destination 'Software' Key Namen sind global eindeutig
  • 35. Customer Key  Meldung an FastTrack per E-Mail
  • 36. Data Encryption Policies # PowerShell Modul: ExchangeOnlineManagement Connect-ExchangeOnline # Variablen $key1 = 'https://az-kv-egxde-m365dr-a.vault.azure.net:443/keys/egxde-m365dr-key-a' $key2 = 'https://az-kv-egxde-m365dr-b.vault.azure.net:443/keys/egxde-m365dr-key-b' # Erstellung der Multi-Workload Data Encryption Policy New-M365DataAtRestEncryptionPolicy -Name 'EGX_DataAtRest' ` -AzureKeyIDs $key1,$key2 -Description 'EGX Data at Rest Multi-Workload policy' # Setzen der Multi-Workload DEP Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy 'EGX_DataAtRest'
  • 37. Data Encryption Policies Get-M365DataAtRestEncryptionPolicyAssignment | fl RunspaceId : 1d83f812-f929-4eb3-bd5d-881184373ba1 OrgHierarchyToIgnore : IsDeleted : False Rdn : CN=EGX_DataAtRest Parent : egxde.onmicrosoft.comCKaaS Data Encryption Policies Depth : 8 DistinguishedName : CN=EGX_DataAtRest,CN=CKaaS Data Encryption Policies,CN=Configuration,CN=egxde.onmicrosoft.com,CN=ConfigurationUnits,DC=DEUP281A001,DC=PRO D,DC=OUTLOOK,DC=COM IsRelativeDn : False DomainId : DEUP281A001.PROD.OUTLOOK.COM PartitionGuid : 59ce2f71-eaa2-4ddf-a4fa-f25069d0b324 PartitionFQDN : DEUP281A001.PROD.OUTLOOK.COM ObjectGuid : 05a9e413-6822-4918-8d8c-99b1aba1e06c Name : EGX_DataAtRest SecurityIdentifierString :
  • 38. Data Encryption Policies # Variablen $key1 = 'https://az-kv-egxde-exo-a.vault.azure.net:443/keys/egxde-exo-key-a' $key2 = 'https://az-kv-egxde-exo-b.vault.azure.net:443/keys/egxde-exo-key-b' # Erstellung der Exchange Online Data Encryption Policy New-DataEncryptionPolicy -Name 'EGX_EXO_DEP' ` -AzureKeyIDs $key1,$key2 ` -Description 'EGX Exchange Online Encryption Policy' # Setzen der Exchange Online DEP Set-Mailbox LouisR@varunagroup.de -DataEncryptionPolicy 'EGX_EXO_DEP' Set-Mailbox LouisR@varunagroup.de -DataEncryptionPolicy 'EGX_EXO_DEP' -PublicFolder Set-MailUser OnPremUser@varunagroup.de -DataEncryptionPolicy 'EGX_EXO_DEP' Set-UnifiedGroup SomeGroup@groups.varunagroup.de -DataEncryptionPolicy 'EGX_EXO_DEP' # Prüfung für Postfächer Get-MailboxStatistics UPN | FL IsEncrypted
  • 39. Data Encryption Policies # PowerShell Modul: Microsoft.Online.SharePoint.PowerShell Connect-SPOService -Url https://tenant-admin.sharepoint.com # Abfrage der Key Versionen Set-AzContext –SubscriptionId SUBSCRIPTION-A $key1version = (Get-AzKeyVaultKey -VaultName az-kv-egxde-spo-a -Name egxde-spo-key-a ` -IncludeVersions).Version Set-AzContext –SubscriptionId SUBSCRIPTION-B $key2version = (Get-AzKeyVaultKey -VaultName az-kv-egxde-spo-b -Name egxde-spo-key-b ` -IncludeVersions).Version # Erstellung der SharePoint Online Data Encryption Policy Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'az-kv-egxde-spo-a' -PrimaryKeyName 'egxde-spo-key-a' -PrimaryKeyVersion $key1version -SecondaryKeyVaultName 'az-kv-egxde-spo-b' - SecondaryKeyName 'egxde-spo-key-b' -SecondaryKeyVersion $key2version # Prüfung Get-SPODataEncryptionPolicy
  • 40. Double Key Encryption  Verschlüsselung einer Teilmenge von Microsoft 365 Daten  Informationsschutz mit Vertraulichkeitsbezeichnungen (Sensitivity Label)  Nutzung von HSM-Lösungen (z.B. Thales)  Kompilierung des DKE GitHub Repository  Keine Unterstützung von  Transport Regeln, inkl. Anti-Malware- und Anti-Spam-Funktionen für Nachrichteninhalte  Microsoft Delve  eDiscovery  Inhaltssuche und Indizierung  Office Web Apps und Co-Authoring https://go.granikos.eu/DKEVideo
  • 41. Customer Key  Customer Key unterstützt drei Verschlüsselungsziele  Microsoft 365 Data-at-Rest  Exchange Online  SharePoint Online  Nicht alle Microsoft 365 Workloads unterstützen Customer Key Verschlüsselung  Customer Key erfordert eine Lizensierung für jedes Benutzerkonto  Customer Key benötigt mindestens zwei Azure Abonnements für Key Vaults  Ein Key Vault für jedes gewünschte Verschlüsselungsziel  Aktivierung von Customer Key über Microsoft FastTrack (Microsoft Empfehlung)  Definition der Zugriffsberechtigungen für Azure Abonnements und Key Vault  Umsetzung einer Test-Implementierung in einem Test-Mandanten
  • 42. Rate my session & Calls to Action Rate this session https://teamsnation.rocks/ feedback Attend more sessions and join our keynotes at 19.00 CET Show your love on social using #TeamsNation and @TeamsNation 1 2 3
  • 43. Ressourcen Subtitle Understanding Microsoft Information Protection Encryption Key Types Roll or rotate a Customer Key or an availability key Move requests in the Microsoft 365 or Office 365 service Encryption ciphers used by Customer Key Encryption for Skype for Business, OneDrive for Business, SharePoint Online, Microsoft Teams, and Exchange Online Microsoft 365 Multi-Geo eDiscovery configuration Microsoft 365 encryption technical reference Assign roles in Azure Portal Microsoft 365 Maps Double Key Encryption

Editor's Notes

  1. https://docs.microsoft.com/en-us/microsoft-365/compliance/data-encryption-in-odb-and-spo?view=o365-worldwide https://aka.ms/dataencryption