Cifrado de servicio

Además de usar el cifrado de nivel de volumen, Exchange Online, Microsoft Teams, SharePoint Online y OneDrive para la Empresa también usan El cifrado de servicio para cifrar los datos del cliente. Service Encryption permite dos opciones de administración de claves:

Sugerencia

Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.

Claves administradas por Microsoft

Microsoft administra todas las claves criptográficas, incluidas las claves raíz para el cifrado de servicios. Esta opción está habilitada actualmente de forma predeterminada para Exchange Online, SharePoint Online OneDrive para la Empresa. Las claves administradas por Microsoft proporcionan cifrado de servicio predeterminado a menos que decida incorporarlas mediante la clave de cliente. Si, en una fecha posterior, decide dejar de usar la clave de cliente sin seguir la ruta de acceso de purga de datos, los datos permanecen cifrados mediante las claves administradas por Microsoft. Los datos siempre se cifran en este nivel predeterminado como mínimo.

Clave de cliente

Proporcione las claves raíz que se usan con el cifrado de servicio y administre estas claves mediante Azure Key Vault. Microsoft administra todas las demás claves. Esta opción se denomina Clave de cliente y está disponible actualmente para Exchange Online, SharePoint Online y OneDrive para la Empresa. (Anteriormente denominado Cifrado avanzado con BYOK).

El cifrado de servicio proporciona varias ventajas:

• Proporciona una capa de protección agregada sobre BitLocker.

• Proporciona la separación de los administradores del sistema operativo Windows del acceso a los datos de la aplicación almacenados o procesados por el sistema operativo.

• Incluye una opción clave de cliente que permite que los servicios multiinquilino proporcionen administración de claves por inquilino.

• Mejora la capacidad de Microsoft 365 para satisfacer las demandas de los clientes que tienen requisitos de cumplimiento específicos con respecto al cifrado.

Con la clave de cliente, puede generar sus propias claves criptográficas. Puede usar un módulo de servicio de hardware (HSM) local o Azure Key Vault (AKV) para generar las claves. AKV le permite controlar y administrar las claves criptográficas usadas por Microsoft 365. Clave de cliente usa las claves almacenadas en AKV como raíz de una de las cadenas de claves que cifra los archivos o los datos del buzón.

La clave de cliente proporciona más control sobre cómo Procesa Microsoft los datos. Por ejemplo, puede usar la clave de cliente como control técnico si desea finalizar el servicio con Microsoft o quitar una parte de los datos almacenados en la nube. La eliminación de datos garantiza que nadie, incluido Microsoft, pueda acceder a los datos ni procesarlos. La clave de cliente es adicional y complementaria a la caja de seguridad del cliente que se usa para controlar el acceso a los datos por parte del personal de Microsoft.

Para obtener información sobre cómo configurar la clave de cliente para Exchange Online, Microsoft Teams, SharePoint Online, incluidos los sitios de equipo y OneDrive para la Empresa, consulte estos artículos:

• Cifrado de servicio con clave de cliente de Microsoft Purview

• Configuración de la clave de cliente

• Administrar clave de cliente

• Rotar o alternar una Clave de cliente o una clave de disponibilidad

• Descripción de la clave de disponibilidad