Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft 365 fornisce la crittografia di base a livello di volume tramite BitLocker e Distributed Key Manager (DKM). Windows 365 Enterprise e i dischi di Business Cloud PC vengono crittografati usando la crittografia lato server di Archiviazione di Azure (SSE).
Per offrire maggiore controllo, Microsoft 365 offre anche un ulteriore livello di crittografia per il contenuto tramite la chiave del cliente. Questo contenuto include dati di Microsoft Exchange, SharePoint, OneDrive, Teams e pc cloud Windows 365.
BitLocker non è supportato come opzione di crittografia per Windows 365 PC cloud. Per informazioni dettagliate, vedere Uso di macchine virtuali Windows 10 in Intune.
Consiglio
Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.
Modalità di interazione tra crittografia del servizio, BitLocker, SSE e chiave cliente
I dati di Microsoft 365 vengono sempre crittografati inattivi usando BitLocker e Distributed Key Manager (DKM). Per informazioni dettagliate, vedere Come Exchange protegge i segreti di posta elettronica.
La chiave del cliente aggiunge una protezione aggiuntiva contro l'accesso non autorizzato ai dati. Integra la crittografia del disco BitLocker e la crittografia lato server (SSE) nei data center Microsoft. La crittografia del servizio non è progettata per impedire al personale Microsoft di accedere ai dati. Customer Key consente invece di soddisfare i requisiti normativi o di conformità consentendo di controllare le chiavi di crittografia radice.
Si autorizza in modo esplicito Microsoft 365 a usare le chiavi di crittografia per offrire servizi a valore aggiunto come eDiscovery, antimalware, protezione dalla posta indesiderata e indicizzazione della ricerca.
Basata sulla crittografia del servizio, Customer Key consente di fornire e controllare le chiavi di crittografia. Microsoft 365 usa queste chiavi per crittografare i dati inattivi, come descritto nelle Condizioni dei servizi online (OST). Poiché si controllano le chiavi di crittografia, Customer Key consente di soddisfare i requisiti di conformità.
Customer Key migliora la capacità di soddisfare gli standard di conformità che richiedono accordi di controllo delle chiavi con il provider di servizi cloud. Si forniscono e si gestiscono le chiavi di crittografia radice per i dati di Microsoft 365 inattivi a livello di applicazione. Questa configurazione consente di controllare direttamente le chiavi di crittografia dell'organizzazione.
Chiave del cliente con distribuzioni ibride
Chiave cliente crittografa solo i dati inattivi nel cloud. Non protegge le cassette postali o i file locali. Per proteggere i dati locali, usare un metodo separato, ad esempio BitLocker.
Informazioni sui criteri di crittografia dei dati
Un criterio di crittografia dei dati (DEP) definisce la gerarchia di crittografia. I servizi usano questa gerarchia per crittografare i dati con le chiavi gestite e la chiave di disponibilità che Microsoft protegge. È possibile creare un dep usando i cmdlet di PowerShell, quindi assegnarlo per crittografare i dati dell'applicazione.
Customer Key supporta tre tipi di dep. Ogni tipo usa cmdlet diversi e protegge un tipo diverso di dati:
DEP per più carichi di lavoro di Microsoft 365
Questi criteri di protezione dei dati crittografare i dati in diversi carichi di lavoro di Microsoft 365 per tutti gli utenti nel tenant. I carichi di lavoro includono:
- Windows 365 PC cloud. Per informazioni dettagliate, vedere Microsoft Purview Customer Key for Windows 365 Cloud PC
- Messaggi di chat di Teams (chat 1:1, chat di gruppo, chat di riunione e conversazioni di canale)
- Messaggi multimediali di Teams (immagini, frammenti di codice, messaggi video, messaggi audio, immagini wiki)
- Chiamate di Teams e registrazioni delle riunioni archiviate nell'archiviazione di Teams
- Notifiche chat di Teams
- Suggerimenti per le chat di Teams di Cortana
- Messaggi di stato di Teams
- interazioni Microsoft 365 Copilot
- Informazioni sull'utente e sul segnale per Exchange
- Cassette postali di Exchange non crittografate da un DEP delle cassette postali
- Microsoft Purview Information Protection:
- Dati EDM (Exact Data Match), inclusi gli schemi dei file di dati, i pacchetti di regole e i salt usati per l'hash dei dati sensibili
- Per EDM e Teams, dep crittografa i nuovi dati a partire da quando vengono assegnati al tenant.
- Per Exchange, Customer Key crittografa tutti i dati esistenti e nuovi.
- Configurazioni delle etichette di riservatezza
- Dati EDM (Exact Data Match), inclusi gli schemi dei file di dati, i pacchetti di regole e i salt usati per l'hash dei dati sensibili
I provider di servizi di distribuzione multi-carico di lavoro non crittografano i tipi di dati seguenti. Questi dati sono protetti usando altri metodi di crittografia in Microsoft 365:
- Dati di SharePoint e OneDrive
- File di Teams e alcune registrazioni di chiamate e riunioni di Teams salvate in SharePoint o OneDrive (crittografate dal DEP di SharePoint)
- Dati degli eventi live di Teams
- Carichi di lavoro non supportati dalla chiave del cliente, ad esempio Viva Engage e Planner
È possibile creare più PUNTI PER TENANT, ma assegnarne solo uno alla volta. La crittografia inizia automaticamente dopo l'assegnazione, anche se il tempo di completamento dipende dalle dimensioni del tenant.
Indirizzi DIP per le cassette postali di Exchange
Gli indirizzi DEP delle cassette postali offrono un maggiore controllo sulle singole cassette postali Exchange Online. È possibile usarli per crittografare i dati nelle cassette postali UserMailbox, MailUser, Group, PublicFolder e Shared.
È possibile disporre di un massimo di 50 PUNTI CASSETTA POSTALE attivi per ogni tenant. È possibile assegnare un DEP a più cassette postali, ma solo una dep per cassetta postale.
Per impostazione predefinita, le cassette postali di Exchange vengono crittografate tramite chiavi gestite da Microsoft. Quando si assegna un DEP chiave cliente:
- Se una cassetta postale è già crittografata usando un DEP con più carichi di lavoro, il servizio lo reincapsa con la cassetta postale DEP la volta successiva in cui un utente o un sistema accede ai dati.
- Se una cassetta postale viene crittografata con chiavi gestite da Microsoft, il servizio lo reincapsa nella cassetta postale DEP quando si accede.
- Se una cassetta postale non è ancora crittografata, il servizio lo contrassegna per uno spostamento. La crittografia avviene dopo lo spostamento. Gli spostamenti delle cassette postali seguono le regole di priorità a livello di Microsoft 365. Per informazioni dettagliate, vedere Spostare le richieste nel servizio Microsoft 365. Se una cassetta postale non è crittografata in tempo, contattare Microsoft.
In un secondo momento è possibile aggiornare il DEP o assegnarne uno diverso, come descritto in Gestire la chiave del cliente per Office 365.
Ogni cassetta postale deve soddisfare i requisiti di licenza per usare la chiave del cliente. Per altre info, vedi Prima di configurare la chiave del cliente.
È possibile assegnare punti di accesso condiviso alle cassette postali condivise, di cartelle pubbliche e di gruppo, purché il tenant soddisfi i requisiti di licenza per le cassette postali degli utenti. Non sono necessarie licenze separate per le cassette postali non specifiche dell'utente.
È anche possibile richiedere che Microsoft espulsa specifiche richieste DIP quando si esce dal servizio. Per informazioni dettagliate sull'eliminazione e la revoca delle chiavi, vedere Revocare le chiavi e avviare il processo del percorso di eliminazione dei dati.
Quando si revoca l'accesso alle chiavi, Microsoft elimina la chiave di disponibilità. Questa eliminazione comporta l'eliminazione crittografica dei dati, consentendo di soddisfare i requisiti di conformità e gestione dei dati.
DEP per SharePoint e OneDrive
Questo DEP crittografa il contenuto archiviato in SharePoint e OneDrive, inclusi i file di Teams archiviati in SharePoint.
- Se si usa la funzionalità multi-geo, è possibile creare un DEP per area geografica.
- In caso contrario, è possibile creare solo un DEP per ogni tenant.
Per istruzioni di configurazione, vedere Configurare la chiave del cliente.
Crittografia delle crittografie usate dalla chiave del cliente
Customer Key usa diverse crittografie di crittografia per proteggere le chiavi, come illustrato nei diagrammi seguenti.
La gerarchia delle chiavi usata per i criteri di protezione dei dati che crittografano i dati in più carichi di lavoro di Microsoft 365 è simile a quella usata per le singole cassette postali di Exchange. La chiave del carico di lavoro di Microsoft 365 corrispondente sostituisce la chiave della cassetta postale.
Crittografie usate per crittografare le chiavi per Exchange
Crittografie usate per crittografare le chiavi per SharePoint e OneDrive
