Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft 365 proporciona cifrado de nivel de volumen y línea base a través de BitLocker y el Administrador de claves distribuidas (DKM). los discos de pc Windows 365 Enterprise y business cloud se cifran mediante el cifrado del lado servidor de Azure Storage (SSE).
Para darle más control, Microsoft 365 también ofrece una capa de cifrado adicional para el contenido a través de la clave de cliente. Este contenido incluye datos de Microsoft Exchange, SharePoint, OneDrive, Teams y equipos en la nube de Windows 365.
BitLocker no se admite como una opción de cifrado para Windows 365 equipos en la nube. Para obtener más información, consulte Uso de Windows 10 máquinas virtuales en Intune.
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
Cómo funcionan conjuntamente el cifrado de servicio, BitLocker, SSE y clave de cliente
Los datos de Microsoft 365 siempre se cifran en reposo mediante BitLocker y Distributed Key Manager (DKM). Para obtener más información, consulte Cómo Exchange protege los secretos de correo electrónico.
La clave de cliente agrega protección adicional contra el acceso no autorizado a los datos. Complementa el cifrado de disco de BitLocker y el cifrado del lado servidor (SSE) en centros de datos de Microsoft. El cifrado de servicios no está diseñado para impedir que el personal de Microsoft acceda a los datos. En su lugar, la clave de cliente le ayuda a cumplir los requisitos normativos o de cumplimiento, ya que le permite controlar las claves de cifrado raíz.
Autoriza explícitamente a Microsoft 365 a usar las claves de cifrado para ofrecer servicios de valor agregado como eDiscovery, antimalware, antispam e indexación de búsqueda.
Basada en el cifrado de servicio, la clave de cliente le permite proporcionar y controlar las claves de cifrado. Microsoft 365 usa estas claves para cifrar los datos en reposo, como se describe en los Términos de servicios en línea (OST). Dado que controla las claves de cifrado, la clave de cliente le ayuda a cumplir los requisitos de cumplimiento.
La clave del cliente mejora la capacidad de cumplir los estándares de cumplimiento que exigen acuerdos de control clave con su proveedor de nube. Proporcione y administre las claves de cifrado raíz para los datos de Microsoft 365 en reposo en el nivel de aplicación. Esta configuración proporciona control directo sobre las claves de cifrado de la organización.
Clave de cliente con implementaciones híbridas
Customer Key solo cifra los datos en reposo en la nube. No protege los buzones o archivos locales. Para proteger los datos locales, use un método independiente como BitLocker.
Más información sobre las directivas de cifrado de datos
Una directiva de cifrado de datos (DEP) define la jerarquía de cifrado. Los servicios usan esta jerarquía para cifrar los datos con las claves que administra y la clave de disponibilidad que Microsoft protege. Cree un DEP mediante cmdlets de PowerShell y, a continuación, asígnelo para cifrar los datos de la aplicación.
Customer Key admite tres tipos de DEP. Cada tipo usa cmdlets diferentes y protege un tipo de datos diferente:
DEP para varias cargas de trabajo de Microsoft 365
Estos DEP cifran los datos en varias cargas de trabajo de Microsoft 365 para todos los usuarios del inquilino. Las cargas de trabajo incluyen:
- Windows 365 equipos en la nube. Para obtener más información, consulte Clave de cliente de Microsoft Purview para equipos en la nube de Windows 365
- Mensajes de chat de Teams (chats 1:1, chats de grupo, chats de reuniones y conversaciones de canal)
- Mensajes multimedia de Teams (imágenes, fragmentos de código, mensajes de vídeo, mensajes de audio, imágenes wiki)
- Llamadas de Teams y grabaciones de reuniones almacenadas en el almacenamiento de Teams
- Notificaciones de chat de Teams
- Sugerencias de chat de Teams de Cortana
- Mensajes de estado de Teams
- interacciones Microsoft 365 Copilot
- Información de usuario y señal para Exchange
- Buzones de Exchange que un DEP de buzón de correo no cifra
- Microsoft Purview Information Protection:
- Datos exactos de coincidencia de datos (EDM), incluidos esquemas de archivos de datos, paquetes de reglas y las sales que se usan para aplicar un hash a la información confidencial
- Para EDM y Teams, el DEP cifra los nuevos datos a partir de cuando se asignan al inquilino.
- Para Exchange, clave de cliente cifra todos los datos existentes y nuevos.
- Configuraciones de etiquetas de confidencialidad
- Datos exactos de coincidencia de datos (EDM), incluidos esquemas de archivos de datos, paquetes de reglas y las sales que se usan para aplicar un hash a la información confidencial
Los DEP de varias cargas de trabajo no cifran los siguientes tipos de datos. Estos datos están protegidos mediante otros métodos de cifrado en Microsoft 365:
- Datos de SharePoint y OneDrive
- Archivos de Teams y algunas llamadas y grabaciones de reuniones de Teams guardados en SharePoint o OneDrive (cifrados por el DEP de SharePoint)
- Datos de eventos en directo de Teams
- Las cargas de trabajo no admitidas por la clave de cliente, como Viva Engage y Planner
Puede crear varios DEP por inquilino, pero asignar solo uno a la vez. El cifrado comienza automáticamente después de la asignación, aunque el tiempo de finalización depende del tamaño del inquilino.
DEP para buzones de Exchange
Los DEP de buzón de correo proporcionan más control sobre los buzones de correo de Exchange Online individuales. Puede usarlos para cifrar los datos en los buzones UserMailbox, MailUser, Group, PublicFolder y Shared.
Puede tener hasta 50 DEP de buzón de correo activos por inquilino. Puede asignar un DEP a varios buzones, pero solo un DEP por buzón.
De forma predeterminada, los buzones de Exchange se cifran mediante claves administradas por Microsoft. Al asignar un DEP de clave de cliente:
- Si un buzón de correo ya está cifrado mediante un DEP de varias cargas de trabajo, el servicio lo vuelve a encapsular con el DEP de buzón la próxima vez que un usuario o sistema acceda a los datos.
- Si un buzón de correo se cifra con claves administradas por Microsoft, el servicio lo vuelve a encapsular con el DEP de buzón cuando se accede a él.
- Si un buzón de correo aún no está cifrado, el servicio lo marca para un movimiento. El cifrado se produce después del movimiento. Los movimientos de buzón siguen las reglas de prioridad de Microsoft 365. Para obtener más información, consulte Mover solicitudes en el servicio Microsoft 365. Si un buzón no está cifrado a tiempo, póngase en contacto con Microsoft.
Más adelante puede actualizar el DEP o asignar uno diferente, tal como se describe en Administrar clave de cliente para Office 365.
Cada buzón debe cumplir los requisitos de licencia para usar la clave de cliente. Para obtener más información, consulte Antes de configurar la clave de cliente.
Puede asignar DEP a buzones de correo compartidos, públicos y de grupo siempre y cuando el inquilino cumpla los requisitos de licencia para los buzones de usuario. No necesita licencias independientes para buzones no específicos del usuario.
También puede solicitar que Microsoft purgue los DEP específicos al salir del servicio. Para obtener más información sobre cómo purgar y revocar claves, consulte Revocación de las claves e inicio del proceso de ruta de acceso de purga de datos.
Al revocar el acceso a las claves, Microsoft elimina la clave de disponibilidad. Esta eliminación da como resultado la eliminación criptográfica de los datos, lo que le ayuda a cumplir los requisitos de cumplimiento y remanencia de datos.
DEP para SharePoint y OneDrive
Este DEP cifra el contenido almacenado en SharePoint y OneDrive, incluidos los archivos de Teams almacenados en SharePoint.
- Si usa la característica multigeográfica, puede crear un DEP por ubicación geográfica.
- Si no es así, solo puede crear un DEP por inquilino.
Para obtener instrucciones de configuración, consulte Configuración de la clave de cliente.
Cifrado de cifrado utilizado por la clave de cliente
Clave de cliente usa diferentes cifrados para proteger las claves, como se muestra en los diagramas siguientes.
La jerarquía de claves que se usa para los DEP que cifran los datos en varias cargas de trabajo de Microsoft 365 es similar a la que se usa para buzones de Exchange individuales. La clave de carga de trabajo de Microsoft 365 correspondiente reemplaza a la clave de buzón.
Cifrado de cifrado que se usa para cifrar claves para Exchange
Cifrado de cifrado que se usa para cifrar claves para SharePoint y OneDrive
