Entschlüsselung in eDiscovery (Vorschau)
Verschlüsselung ist ein wichtiger Bestandteil Ihrer Dateischutz- und Informationsschutzstrategie. Organisationen aller Art verwenden Verschlüsselungstechnologie, um vertrauliche Inhalte in ihren organization zu schützen und sicherzustellen, dass nur die richtigen Personen Zugriff auf diese Inhalte haben.
Um allgemeine eDiscovery-Aufgaben (Vorschau) für verschlüsselte Inhalte auszuführen, müssen eDiscovery-Manager E-Mail-Nachrichteninhalte entschlüsseln, wenn sie aus eDiscovery-Fällen exportiert werden. Mit Microsoft-Verschlüsselungstechnologien verschlüsselte Inhalte konnten erst nach dem Export überprüft werden.
Um die Verwaltung verschlüsselter Inhalte im eDiscovery-Workflow zu vereinfachen, integrieren eDiscovery-Tools jetzt die Entschlüsselung verschlüsselter Dateien, die an E-Mail-Nachrichten angefügt und in Exchange Online gesendet werden.1 Darüber hinaus werden verschlüsselte Dokumente, die in SharePoint und OneDrive gespeichert sind, entschlüsselt, wenn eDiscovery Premium-Features aktiviert sind2.
Vor dieser Funktion wurde nur der Inhalt einer E-Mail-Nachricht entschlüsselt, die durch Rights Management geschützt ist (und keine angefügten Dateien). Verschlüsselte Dokumente in SharePoint und OneDrive konnten während des eDiscovery-Workflows nicht entschlüsselt werden. Dateien, die mit einer Microsoft-Verschlüsselungstechnologie verschlüsselt sind, befinden sich jetzt in einem SharePoint- oder OneDrive-Konto, können durchsucht und entschlüsselt werden, wenn die Suchergebnisse für die Vorschau vorbereitet, zu einem Überprüfungssatz hinzugefügt und exportiert werden. Darüber hinaus können verschlüsselte Dokumente in SharePoint und OneDrive, die an eine E-Mail-Nachricht angefügt sind (als Kopie), durchsucht werden. Diese Entschlüsselungsfunktion ermöglicht es eDiscovery-Managern, den Inhalt verschlüsselter E-Mail-Anlagen und Websitedokumente bei der Vorschau der Suchergebnisse anzuzeigen und diese zu überprüfen, nachdem sie einem Überprüfungssatz hinzugefügt wurden, wenn eDiscovery Premium-Features aktiviert sind.
Tipp
Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.
Anforderungen für die Entschlüsselung in eDiscovery (Vorschau)
- Berechtigungen: Ihnen muss die RMS Decrypt-Rolle zugewiesen sein, um Dateien, die mit Microsoft-Verschlüsselungstechnologien verschlüsselt wurden, in der Vorschau anzuzeigen, zu überprüfen und zu exportieren. Außerdem muss Ihnen diese Rolle zugewiesen werden, um verschlüsselte Dateien zu überprüfen und abzufragen, die einem Überprüfungssatz in eDiscovery hinzugefügt werden. Diese Rolle wird standardmäßig der Rollengruppe eDiscovery-Manager im Microsoft Purview-Portal zugewiesen. Weitere Informationen zur RMS Decrypt-Rolle finden Sie unter Zuweisen von eDiscovery-Berechtigungen.
- Ausführen des Posteingangsreparaturtools für exportierte PST-Dateien: Nachdem Sie PST-Dateien exportiert haben, empfiehlt es sich, das Tool zum Reparieren des Posteingangs (ScanPST.exe) auszuführen, um Fehler in den PST-Dateien zu diagnostizieren und zu beheben.
Unterstützte Verschlüsselungstechnologien
Für Exchange unterstützen eDiscovery-Tools Elemente, die mit Microsoft-Verschlüsselungstechnologien verschlüsselt wurden. Diese Technologien sind Azure Rights Management (Azure RMS)3 und Microsoft Purview Information Protection (insbesondere Vertraulichkeitsbezeichnungen). Weitere Informationen zu Microsoft-Verschlüsselungstechnologien finden Sie unter Verschlüsselung und die verschiedenen verfügbaren E-Mail-Verschlüsselungsoptionen . Von S/MIME oder Verschlüsselungstechnologien von Drittanbietern verschlüsselte Inhalte werden nicht unterstützt. Beispielsweise wird das Anzeigen oder Exportieren von Inhalten, die mit Nicht-Microsoft-Technologien verschlüsselt sind, nicht unterstützt.
Hinweis
Die Entschlüsselung von E-Mail-Nachrichten, die mit einer Microsoft Purview-Nachrichtenverschlüsselung benutzerdefinierten Brandingvorlage gesendet werden, wird von Microsoft eDiscovery-Tools nicht unterstützt. Bei Verwendung einer benutzerdefinierten OME-Brandingvorlage werden E-Mail-Nachrichten an das OME-Portal statt an das Postfach des Empfängers übermittelt. Daher können Sie keine eDiscovery-Tools verwenden, um nach verschlüsselten Nachrichten zu suchen, da diese Nachrichten nie vom Postfach des Empfängers empfangen werden.
Für SharePoint werden Inhalte, die mit dem SharePoint Online-Dienst bezeichnet sind, entschlüsselt. Elemente, die im Client vor dem Hochladen in SharePoint bezeichnet oder verschlüsselt wurden, RMS-Vorlagen oder Einstellungen der Legacydokumentbibliothek sowie S/MIME oder andere Standards werden nicht unterstützt2.
eDiscovery-Aktivitäten, die verschlüsselte Elemente unterstützen
In der folgenden Tabelle sind die unterstützten Aufgaben aufgeführt, die in eDiscovery-Tools für verschlüsselte Dateien ausgeführt werden können, die an E-Mail-Nachrichten und verschlüsselte Dokumente in SharePoint und OneDrive angefügt sind. Diese unterstützten Aufgaben können für verschlüsselte Dateien ausgeführt werden, die den Kriterien einer Suche entsprechen. Der Wert gibt N/A an, dass die Funktionalität in eDiscovery nicht verfügbar ist.
| eDiscovery-Aufgabe | eDiscovery | Aktivierte Premium-Features |
|---|---|---|
| Suchen nach Inhalten in verschlüsselten Dateien in Websites und E-Mail-Anlagen1 | Nein | Ja |
| Vorschau verschlüsselter Dateien, die an E-Mail angefügt sind | Nein | Ja |
| Vorschau verschlüsselter Dokumente in SharePoint und OneDrive | Nein | Ja |
| Überprüfen verschlüsselter Dateien in einem Überprüfungssatz | Nicht zutreffend | Ja |
| Exportieren verschlüsselter Dateien, die an E-Mails angefügt sind | Ja | Ja |
| Exportieren verschlüsselter Dokumente in SharePoint und OneDrive | Nein | Ja |
Unterstützte Entschlüsselung
In der folgenden Tabelle wird die von eDiscovery unterstützte Entschlüsselung für E-Mails, E-Mails mit Anlagen und von SharePoint gehostete Dateien beschrieben.
| Elementtyp | Aufgabe | eDiscovery | Aktivierte Premium-Features |
|---|---|---|---|
| Verschlüsselte E-Mail-Nachrichten | Suchen | Ja | Ja |
| Verschlüsselte E-Mail-Nachrichten | Entschlüsselung in PST | Nein | Ja |
| Verschlüsselte E-Mail-Nachrichten | Entschlüsselung in Datei | Nein | Ja |
| Verschlüsselte E-Mails und Anlagen | Suchen | Nein | Ja (mit erweiterter Indizierung)1 |
| Verschlüsselte E-Mails und Anlagen | Entschlüsselung in PST | Nein | Ja |
| Verschlüsselte E-Mails und Anlagen | Entschlüsselung in Datei | Nein | Ja |
| Datei in SharePoint mit MIP-Bezeichnung | Suchen | Nein | Ja |
| Datei in SharePoint mit MIP-Bezeichnung | Entschlüsselung | Nein | Ja |
| Datei in SharePoint mit anderer Verschlüsselung2 | Suche, Entschlüsselung | Nein | Nein |
Wichtig
eDiscovery unterstützt keine Legacyverschlüsselungsprotokolle.
Entschlüsselungseinschränkungen bei E-Mails und Anlagen
Die eDiscovery-Unterstützung für die Entschlüsselung von E-Mail-Nachrichten und Anlagen unterliegt den folgenden Einschränkungen:
- Die Entschlüsselung wird nicht unterstützt, wenn die E-Mail- oder Anlagenverschlüsselung in einem externen organization angewendet wird. eDiscovery unterstützt nur die Entschlüsselung von E-Mails und Anlagen, die in Ihrem organization verschlüsselt sind.
- Beim Entschlüsseln von E-Mails oder Anlagen muss der Besitzer des Postfachs, in dem die E-Mails und Anlagen in eDiscovery-Aktivitäten enthalten sind, Zugriff haben, um den verschlüsselten Inhalt anzuzeigen. Die Entschlüsselung von E-Mails oder Anlagen wird nicht unterstützt, wenn sie gesendet oder andere Empfänger weitergeleitet werden, die den verschlüsselten Inhalt nicht anzeigen können. Änderungen in den Gruppen des Besitzers oder anderen organization Berechtigungen können sich auch auf die Entschlüsselungsunterstützung auswirken.
Entschlüsselungseinschränkungen mit Vertraulichkeitsbezeichnungen in SharePoint und OneDrive
eDiscovery unterstützt keine verschlüsselten Dateien in SharePoint und OneDrive, wenn eine Vertraulichkeitsbezeichnung, die die Verschlüsselung angewendet hat, mit einer der folgenden Einstellungen konfiguriert ist:
- Benutzer können Berechtigungen zuweisen, wenn sie die Bezeichnung manuell auf ein Dokument anwenden. Dies wird manchmal als benutzerdefinierte Berechtigungen bezeichnet.
- Der Benutzerzugriff auf das Dokument verfügt über eine Ablaufeinstellung, die auf einen anderen Wert als Nie festgelegt ist.
Weitere Informationen zu diesen Einstellungen finden Sie im Abschnitt "Konfigurieren von Verschlüsselungseinstellungen" unter Einschränken des Zugriffs auf Inhalte mithilfe von Vertraulichkeitsbezeichnungen zum Anwenden der Verschlüsselung.
Dokumente, die mit den vorherigen Einstellungen verschlüsselt wurden, können von einer eDiscovery-Suche zurückgegeben werden. Dieses Ergebnis kann auftreten, wenn eine Dokumenteigenschaft (z. B. Titel, Autor oder Änderungsdatum) den Suchkriterien entspricht. Obwohl diese Dokumente möglicherweise in Suchergebnissen enthalten sind, können sie nicht in der Vorschau angezeigt oder überprüft werden. Diese Dokumente bleiben verschlüsselt, wenn sie exportiert werden, wenn eDiscovery Premium-Features aktiviert sind.
Wichtig
Die Entschlüsselung wird für Dateien, die lokal verschlüsselt und dann in SharePoint oder OneDrive hochgeladen werden, nicht unterstützt. Beispielsweise werden lokale Dateien, die vom Microsoft Purview Information Protection-Client verschlüsselt und dann in Microsoft 365 hochgeladen werden, nicht unterstützt. Nur Dateien, die im SharePoint- oder OneDrive-Dienst verschlüsselt sind, werden für die Entschlüsselung unterstützt.
Entschlüsseln von RMS-geschützten E-Mail-Nachrichten und verschlüsselten Dateianlagen mithilfe von Premium-eDiscovery-Features
Alle durch Rechte geschützten (RMS-geschützten) E-Mail-Nachrichten, die in den Ergebnissen einer Suche enthalten sind, werden beim Exportieren entschlüsselt. Diese Entschlüsselungsfunktion ist standardmäßig für Mitglieder der Rollengruppe eDiscovery-Manager aktiviert. Dies liegt daran, dass die RMS Decrypt-Verwaltungsrolle dieser Rollengruppe standardmäßig zugewiesen ist.
Beachten Sie beim Exportieren verschlüsselter E-Mail-Nachrichten und Anlagen folgendes:
- Wenn Sie die Entschlüsselung von RMS-geschützten Nachrichten beim Exportieren aktivieren, müssen Sie die Suchergebnisse als einzelne Nachrichten exportieren, um die Entschlüsselung zu unterstützen.
- Getrennt von einer E-Mail verschlüsselte Anlagen werden nicht entschlüsselt. Wenn ein Benutzer beispielsweise ein Word Dokument verschlüsselt und dann an eine nicht verschlüsselte E-Mail-Nachricht anfügt, wird diese Anlage nicht entschlüsselt.
- Anlagen, die im Rahmen der Verschlüsselung der zugehörigen E-Mail-Nachricht verschlüsselt wurden, werden entschlüsselt. Wenn ein Benutzer beispielsweise eine E-Mail-Nachricht erstellt, ein unverschlüsseltes Word Dokument anfügt und dann die Nachricht (einschließlich der Anlage) verschlüsselt, wird diese Anlage entschlüsselt.
- Entschlüsselte Nachrichten werden im ResultsLog-Bericht identifiziert. Dieser Bericht enthält eine Spalte mit dem Namen Decodierungsstatus, und der Wert Decoded identifiziert die Nachrichten, die entschlüsselt wurden.
- Zusätzlich zum Entschlüsseln von Dateianlagen beim Exportieren von Suchergebnissen können Sie auch eine Vorschau der entschlüsselten Datei anzeigen, wenn Sie die Suchergebnisse in der Vorschau anzeigen. Sie können die durch Rechte geschützte E-Mail-Nachricht erst anzeigen, nachdem Sie sie exportiert haben.
- Wenn Sie verhindern müssen, dass jemand RMS-schützende Nachrichten und verschlüsselte Dateianlagen entschlüsselt, müssen Sie eine benutzerdefinierte Rollengruppe erstellen (durch Kopieren der integrierten Rollengruppe eDiscovery Manager) und dann die RMS Decrypt-Verwaltungsrolle aus der benutzerdefinierten Rollengruppe entfernen. Fügen Sie dann die Person, die keine Nachrichten entschlüsseln soll, als Mitglied der benutzerdefinierten Rollengruppe hinzu.
Hinweise
1 Verschlüsselte Dateien, die sich auf einem lokalen Computer befinden und in eine E-Mail-Nachricht kopiert werden, werden nicht entschlüsselt und für eDiscovery indiziert. Wenn eDiscovery Premium-Features aktiviert sind, müssen verschlüsselte E-Mails und Anlagen im Empfängerpostfach erweitert indiziert werden, um entschlüsselt zu werden.
2 Nur Elemente, die in SharePoint bezeichnet sind (oder nach der Integration mit Vertraulichkeitsbezeichnungen in SharePoint hochgeladen wurden) und die Bezeichnungen mit vom Administrator definierten Berechtigungen und ohne Ablauf aufweisen, werden entschlüsselt. Alle anderen verschlüsselten Dateien in SharePoint werden nicht entschlüsselt. Weitere Informationen finden Sie unter Aktivieren von Vertraulichkeitsbezeichnungen für Dateien in SharePoint und OneDrive.
Andere Dokumente werden nicht entschlüsselt, einschließlich:
- Dateien, die im Client verschlüsselt und hochgeladen wurden, bevor Vertraulichkeitsbezeichnungen in SharePoint integriert wurden.
- Dokumente, die mit älteren RMS-Vorlagen verschlüsselt und nicht beschriftet sind.
- Dokumente mit benutzerdefinierten Berechtigungen oder mit Ablaufeinstellungen (SMIME oder andere Standards).
3 Nur Inhalte, die mit rms-Schlüsseln verschlüsselt sind, die in Microsoft 365 gehostet werden, werden transparent entschlüsselt, wenn eDiscovery Premium-Features aktiviert sind. Double Key Encryption (DKE), Hold Your Own Key (HYOK), lokale RMS usw. werden nicht unterstützt. Weitere Informationen finden Sie unter Planen und Implementieren Ihres Azure Information Protection-Mandantenschlüssels.