הצפנת שירות עם מפתח הלקוח של Microsoft Purview

Microsoft 365 מספק הצפנה בסיסית ברמת אמצעי אחסון הזמינה באמצעות BitLocker ו' מנהל מקשים מבוזר (DKM). Microsoft 365 מציע שכבה נוספת של הצפנה עבור התוכן שלך. תוכן זה כולל נתונים מ- Exchange Online, Skype for Business, SharePoint Online, OneDrive for Business מ- Microsoft Teams.

כיצד הצפנת שירות, BitLocker ומפתח לקוח פועלים יחד

הנתונים שלך מוצפנים תמיד במנוחה בשירות Microsoft 365 עם BitLocker ו- DKM. לקבלת מידע נוסף, ראה כיצד Exchange Online את סודות הדואר האלקטרוני שלך. מפתח הלקוח מספק הגנה נוספת מפני הצגת נתונים על-ידי מערכות או כוח אדם לא מורשים, והוא משלים את הצפנת הדיסק של BitLocker במרכזי הנתונים של Microsoft. הצפנת שירות אינה נועדה למנוע מהעובדים של Microsoft לגשת לנתונים שלך. במקום זאת, מפתח הלקוח עוזר לך לעמוד בהתחייבויות תקינה או תאימות לשליטה במפתחות בסיס. אתה מאשר באופן מפורש לשירותי Microsoft 365 להשתמש במפתחות ההצפנה שלך כדי לספק שירותי ענן בעלי ערך מוסף, כגון גילוי אלקטרוני, למניעת תוכנות זדוניות, למניעת הודעות זבל, יצירת אינדקס חיפוש וכן הלאה.

מפתח הלקוח בנוי על הצפנת שירות ומאפשר לך לספק מפתחות הצפנה ולשלוט שבהם. Microsoft 365 משתמש במפתחות אלה כדי להצפין את הנתונים שלך במנוחה כמתואר בתנאי השימוש בשירותים המקוונים (OST). מפתח הלקוח עוזר לך לעמוד במחויבויות תאימות מכיוון שאתה שולט במפתחות ההצפנה ש- Microsoft 365 משתמש בהם כדי להצפין ולפענוח נתונים.

מפתח הלקוח משפר את היכולת של הארגון שלך לעמוד בדרישות התאימות המציינו סידורים עיקריים עם ספק שירותי הענן. באמצעות מפתח הלקוח, אתה מספק את מפתחות הצפנת הבסיס עבור נתוני Microsoft 365 שלך במנוחה ברמת היישום ולשלוט בהם. כתוצאה מכך, אתה מפעיל שליטה על המפתחות של הארגון שלך.

מפתח לקוח עם פריסות היברידיות

מפתח הלקוח מצפין נתונים רק במנוחה בענן. מפתח הלקוח אינו פועל כדי להגן על תיבות הדואר והקבצים המקומיים שלך. באפשרותך להצפין את הנתונים המקומיים שלך באמצעות שיטה אחרת, כגון BitLocker.

אודות מדיניות הצפנת נתונים

מדיניות הצפנת נתונים (DEP) מגדירה את הירארכיית ההצפנה. הירארכיה זו משמשת את השירות להצפנת נתונים באמצעות כל אחד מהמפתחות שאתה מנהל ומפתח הזמינות המוגן על-ידי Microsoft. עליך ליצור DEP באמצעות רכיבי cmdlet של PowerShell ולאחר מכן להקצות DEP אלה כדי להצפין נתוני יישום. קיימים שלושה סוגים של DEP הנתמכים על-ידי מפתח הלקוח, כל סוג מדיניות משתמש ברכיבי cmdlet שונים ומספק כיסוי עבור סוג אחר של נתונים. ה- DEP שניתן להגדיר כוללים:

DEP עבור עומסי עבודה מרובים של Microsoft 365 DEP אלה מצפינה נתונים על-פני עומסי עבודה מרובים של M365 עבור כל המשתמשים בתוך הדייר. עומסי עבודה אלה כוללים:

  • הודעות צ'אט של Teams (צ'אט אחד על אחד, צ'אטים קבוצתיים, צ'אטים של פגישות ושיחות ערוץ)

  • הודעות מדיה של Teams (תמונות, מקטעי קוד, הודעות וידאו, הודעות שמע, תמונות Wiki)

  • הקלטות שיחה ופגישות של Teams המאוחסנות באחסון של Teams

  • הודעות צ'אט של Teams

  • הצעות צ'אט של Teams מאת Cortana

  • הודעות מצב של Teams

  • פרטי משתמש Exchange Online

  • Exchange Online דואר שאינן מוצפנות עדיין על-ידי DEP של תיבת דואר

  • הגנה על מידע ב- Microsoft Purview אישית:

    • נתונים מדויקים תואמים (EDM), כולל סכימות של קבצי נתונים, חבילות כללים ומלחים המשמשים לצורך פעולת Hash של הנתונים הרגישים. עבור EDM ו- Microsoft Teams, DEP של עומס העבודה מרובה מצפין נתונים חדשים מהשעה שבה אתה מקצה את DEP לדייר. לקבלת Exchange Online, מפתח הלקוח מצפין את כל הנתונים הקיימים והחדשים.

    • תצורת תוויות עבור תוויות רגישות

DEP של עומס עבודה מרובה אינם מצפינה את סוגי הנתונים הבאים. במקום זאת, Microsoft 365 משתמש בסוגים אחרים של הצפנה כדי להגן על נתונים אלה.

  • SharePoint OneDrive for Business נתונים.
  • קבצי Microsoft Teams והקלטות מסוימות של שיחות ופגישות ב- Teams שנשמרו ב- OneDrive for Business וב- SharePoint Online מוצפנים באמצעות DEP של SharePoint Online.
  • עומסי עבודה אחרים של Microsoft 365, כגון Yammer ו- Planner, שאינם נתמכים בשלב זה על-ידי מפתח הלקוח.
  • נתוני אירוע בשידור חי של Teams.

באפשרותך ליצור DEP מרובים לכל דייר, אך להקצות DEP אחד בלבד בכל פעם. בעת הקצאת DEP, ההצפנה מתחילה באופן אוטומטי אך נמשכת זמן מה בהתאם לגודל הדייר שלך.

DEP עבור Exchange Online תיבת דואר של תיבות דואר מספקות שליטה מדויקת יותר על תיבות דואר בודדות בתוך Exchange Online. השתמש בתיבות דואר של DEP כדי להצפין נתונים המאוחסנים בתיבות דואר של EXO מסוגים שונים, כגון UserMailbox, MailUser, Group, PublicFolder ותיבות דואר משותפות. באפשרותך להגדיר עד 50 DEP פעילים לכל דייר ולהקצות DEP אלה לתיבות דואר בודדות. באפשרותך להקצות DEP אחד לתיבות דואר מרובות.

כברירת מחדל, תיבות הדואר שלך מוצפנות באמצעות מפתחות מנוהלים של Microsoft. בעת הקצאת DEP של מפתח לקוח לתיבת דואר:

  • אם תיבת הדואר מוצפנת באמצעות DEP של עומס עבודה מרובה, השירות משכתב את תיבת הדואר באמצעות DEP של תיבת הדואר החדשה כל עוד משתמש או פעולת מערכת ניגשים לנתוני תיבת הדואר.

  • אם תיבת הדואר כבר מוצפנת באמצעות מפתחות מנוהלים של Microsoft, השירות משכתב את תיבת הדואר באמצעות DEP של תיבת הדואר החדשה כל עוד משתמש או פעולת מערכת ניגשים לנתוני תיבת הדואר.

  • אם תיבת הדואר עדיין לא מוצפנת באמצעות הצפנת ברירת המחדל, השירות מסמן את תיבת הדואר לתזוזה. ההצפנה מתבצעת לאחר השלמת ההעברה. העברות של תיבות דואר כפופות לעדיפויות מוגדרות עבור כל Microsoft 365. לקבלת מידע נוסף, ראה העברת בקשות בשירות Microsoft 365. אם תיבות הדואר אינן מוצפנות בפרק הזמן שצוין, פנה אל Microsoft.

מאוחר יותר, תוכל לרענן את DEP או להקצות DEP אחר לתיבת הדואר כמתואר במאמר ניהול מפתח לקוח עבור Office 365. לכל תיבת דואר דרושים רשיונות מתאימים כדי להקצות DEP. לקבלת מידע נוסף אודות רישוי, ראה לפני הגדרת מפתח הלקוח.

ניתן להקצות DEP לתיבת דואר משותפת, תיבת דואר של תיקיה ציבורית ותיבת דואר של קבוצה של Microsoft 365 עבור דיירים העומדים בדרישות הרישוי עבור תיבות דואר של משתמשים. אין צורך ברשיונות נפרדים עבור תיבות דואר שאינן ספציפיות למשתמש כדי להקצות DEP של מפתח לקוח.

עבור ספקי DEP של מפתח לקוח שאתה מקצה לתיבות דואר בודדות, באפשרותך לבקש מ- Microsoft למחוק DEP ספציפיים לצמיתות כאשר אתה יוצא מהשירות. לקבלת מידע אודות תהליך מחיקה של נתונים ותקיפת מפתח, ראה ביטול תוקף של מקשים והתחלת תהליך מחיקת הנתיב של הנתונים.

כאשר אתה מבטל את הגישה למפתחות שלך כחלק מה עזיבתך מהשירות, מפתח הזמינות נמחק, והתוצאה היא מחיקה הצפנה של הנתונים שלך. מחיקה באמצעות הצפנה מצמצם את הסיכון לחזרה על נתונים, שחשובה לעמידה הן בהתחייבויות אבטחה והן עבור תאימות.

DEP עבור SharePoint Online ו- OneDrive for Business DEP זה משמש להצפנת תוכן המאוחסן ב- SPO וב- OneDrive for Business, כולל קבצי Microsoft Teams המאוחסנים ב- SPO. אם אתה משתמש בתכונה מרובת הגיאוגרפית, באפשרותך ליצור DEP אחד לכל אזור גיאוגרפי עבור הארגון שלך. אם אינך משתמש בתכונה מרובת הגיאוגרפית, באפשרותך ליצור DEP אחד בלבד לכל דייר. עיין בפרטים במאמר הגדרת מפתח לקוח.

צופן הצפנה המשמש את מפתח הלקוח

מפתח הלקוח משתמש בצופן הצפנה שונים כדי להצפין מפתחות כפי שמוצג בנתונים הבאים.

הירארכיית המפתח המשמשת עבור DEP שמצפינות נתונים עבור עומסי עבודה מרובים של Microsoft 365 דומה להירארכיה המשמשת עבור DEP עבור תיבות דואר Exchange Online בודדות. ההבדל היחיד הוא שמפתח תיבת הדואר מוחלף במפתח עומס העבודה המתאים של Microsoft 365.

צופן הצפנה המשמשים להצפנת מפתחות Exchange Online ו- Skype for Business

צופן הצפנה Exchange Online מפתח לקוח.

צופן הצפנה המשמש להצפנת מפתחות עבור קבצי SharePoint Online, OneDrive for Business ו- Teams

צופן הצפנה עבור מפתח לקוח של SharePoint Online.