Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft 365 é um ambiente altamente seguro que oferece proteção extensiva em várias camadas: segurança de datacenters físicos, segurança de rede, segurança de acesso, segurança de aplicações e segurança de dados.
SharePoint e OneDrive
Todos os ficheiros de cliente no SharePoint são protegidos por chaves exclusivas por ficheiro que são sempre exclusivas de um único inquilino. As chaves são criadas e geridas pelo serviço SharePoint ou quando a Chave de Cliente é utilizada, criada e gerida pelos clientes. Quando um ficheiro é carregado, a encriptação é efetuada pelo SharePoint no contexto do pedido de carregamento, antes de ser enviado para o armazenamento do Azure. Quando um ficheiro é transferido, o SharePoint obtém os dados de cliente encriptados do armazenamento do Azure com base no identificador de documento exclusivo e desencripta os dados do cliente antes de os enviar ao utilizador. O armazenamento do Azure não tem capacidade para desencriptar, nem sequer identificar ou compreender os dados do cliente. Toda a encriptação e desencriptação ocorrem nos mesmos sistemas que impõem o isolamento do inquilino, que são Microsoft Entra ID e o SharePoint.
Várias cargas de trabalho no Microsoft 365 armazenam dados no SharePoint, incluindo o Microsoft Teams, que armazena todos os ficheiros no SharePoint e no OneDrive, que utiliza o SharePoint para o respetivo armazenamento. Todos os dados de cliente armazenados no SharePoint são encriptados (com uma ou mais chaves AES de 256 bits) e distribuídos pelo datacenter da seguinte forma. (Cada passo deste processo de encriptação é validado por FIPS 140-2 Nível 2. Para obter informações adicionais sobre a conformidade FIPS 140-2, consulte Conformidade FIPS 140-2.)
Cada ficheiro é dividido em um ou mais segmentos, dependendo do tamanho do ficheiro. Cada segmento é encriptado com a sua própria chave AES de 256 bits exclusiva.
Quando um ficheiro é atualizado, a atualização é processada da mesma forma: a alteração é dividida em um ou mais segmentos e cada segmento é encriptado com uma chave exclusiva separada.
Estes segmentos – ficheiros, fragmentos de ficheiros e deltas de atualização – são armazenados como blobs no armazenamento do Azure que são distribuídos aleatoriamente por várias contas de armazenamento do Azure.
O conjunto de chaves de encriptação para estes segmentos de dados do cliente é encriptado por si só.
- As chaves utilizadas para encriptar os blobs são armazenadas na Base de Dados de Conteúdos do SharePoint.
- A Base de Dados de Conteúdos está protegida por controlos de acesso à base de dados e encriptação inativa. A encriptação é efetuada com a Encriptação de Dados Transparente (TDE) na Base de Dados SQL do Azure. (SQL do Azure Base de Dados é um serviço de base de dados relacional para fins gerais no Microsoft Azure que suporta estruturas como dados relacionais, JSON, espacial e XML.) Estes segredos estão ao nível do serviço do SharePoint, não ao nível do inquilino. Estes segredos (por vezes denominados chaves de master) são armazenados num repositório seguro separado chamado Arquivo de Chaves. A Encriptação de Dados Transparente fornece segurança inativa para a base de dados ativa e as cópias de segurança da base de dados e os registos de transações.
- Quando os clientes fornecem a chave opcional, a chave de cliente é armazenada no Azure Key Vault e o serviço utiliza a chave para encriptar uma chave de inquilino, que é utilizada para encriptar uma chave de site, que é depois utilizada para encriptar as chaves ao nível do ficheiro. Essencialmente, é introduzida uma nova hierarquia de chaves quando o cliente fornece uma chave.
O mapa utilizado para voltar a montar o ficheiro é armazenado na Base de Dados de Conteúdos juntamente com as chaves encriptadas, separadamente da chave de master necessária para os desencriptar.
Cada conta de armazenamento do Azure tem as suas próprias credenciais exclusivas por tipo de acesso (leitura, escrita, enumeração e eliminação). Cada conjunto de credenciais é mantido no Repositório de Chaves seguro e atualizado regularmente. Conforme descrito acima, existem três tipos diferentes de arquivos, cada um com uma função distinta:
- Os dados do cliente são armazenados como blobs encriptados no armazenamento do Azure. A chave para cada segmento de dados do cliente é encriptada e armazenada separadamente na Base de Dados de Conteúdos. Os próprios dados do cliente não fazem ideia de como podem ser desencriptados.
- O banco de dados de conteúdo é um banco de dados do SQL Server. Contém o mapa necessário para localizar e voltar a montar os blobs de dados do cliente mantidos no armazenamento do Azure e as chaves necessárias para encriptar esses blobs. No entanto, o conjunto de chaves é encriptado (conforme explicado acima) e mantido num Arquivo de Chaves separado.
- O Arquivo de Chaves está fisicamente separado da Base de Dados de Conteúdos e do armazenamento do Azure. Contém as credenciais de cada contentor de armazenamento do Azure e a chave de master para o conjunto de chaves encriptadas contidas na Base de Dados de Conteúdos.
Cada um destes três componentes de armazenamento – o arquivo de blobs do Azure, a Base de Dados de Conteúdos e o Arquivo de Chaves – está fisicamente separado. As informações contidas nesses componentes por si só não são utilizáveis. Sem acesso aos três, é impossível obter as chaves dos segmentos, desencriptar as chaves para as tornar utilizáveis, associar as chaves aos respetivos segmentos correspondentes, desencriptar cada segmento ou reconstruir um documento a partir dos respetivos segmentos constituintes.
Os certificados BitLocker, que protegem os volumes de disco físico em computadores no datacenter, são armazenados num repositório seguro (o arquivo de segredos do SharePoint) protegido pela chave farm.
As chaves de Encriptação de Dados Transparente que protegem as chaves por blob são armazenadas em duas localizações:
- O repositório seguro, que aloja os certificados BitLocker e está protegido pela Chave de Farm; e
- Num repositório seguro gerido pela Base de Dados SQL do Azure.
As credenciais utilizadas para aceder aos contentores de armazenamento do Azure também são mantidas no arquivo de segredos do SharePoint e delegadas a cada farm do SharePoint, conforme necessário. Estas credenciais são assinaturas SAS de armazenamento do Azure, com credenciais separadas utilizadas para ler ou escrever dados e com a política aplicada para que expirem automaticamente a cada 60 dias. São utilizadas credenciais diferentes para ler ou escrever dados (não ambos) e os farms do SharePoint não têm permissões para enumerar.
Observação
Para Office 365 clientes do Governo dos E.U.A., os blobs de dados são armazenados no Armazenamento do Governo dos E.U.A. Além disso, o acesso às chaves do SharePoint no Office 365 Governo dos E.U.A. está limitado a Office 365 funcionários que foram especificamente selecionados. A equipa de operações do Azure U.S. Government não tem acesso ao arquivo de chaves do SharePoint que é utilizado para encriptar blobs de dados.
Para obter mais informações sobre a encriptação de dados no SharePoint e no OneDrive, consulte Encriptação de Dados no SharePoint e no OneDrive.
Listar Itens no SharePoint
Os Itens de Lista são segmentos mais pequenos de dados do cliente que são criados ad-hoc ou que podem residir de forma mais dinâmica num site, como linhas numa lista criada pelo utilizador, mensagens individuais num blogue do SharePoint ou entradas numa página wiki do SharePoint. Os itens de lista são armazenados na Base de Dados de Conteúdos (SQL do Azure Base de Dados) e protegidos por Encriptação de Dados Transparente.
Criptografia de dados em trânsito
No OneDrive e no SharePoint, existem dois cenários em que os dados entram e saem dos datacenters.
- Comunicação do cliente com o servidor – a comunicação com o SharePoint e o OneDrive através da Internet utiliza ligações TLS.
- Movimento de dados entre datacenters – a principal razão para mover dados entre datacenters é a georreplicação para permitir a recuperação após desastre. Por exemplo, os logs de transação e os deltas de armazenamento de blobs do SQL Server passam por esse pipe. Embora estes dados já sejam transmitidos através de uma rede privada, estão ainda mais protegidos com a melhor encriptação de classe.
Exchange
O Exchange utiliza o BitLocker para todos os dados da caixa de correio e a configuração do BitLocker está descrita no BitLocker para Encriptação. A encriptação ao nível do serviço encripta todos os dados da caixa de correio ao nível da caixa de correio.
Além da encriptação de serviço, o Microsoft 365 suporta a Chave de Cliente, que é criada com base na encriptação de serviço. A Chave de Cliente é uma opção de chave gerida pela Microsoft para a encriptação do serviço Exchange que também está no Mapa de Objetivos da Microsoft. Este método de encriptação fornece uma maior proteção não proporcionada pelo BitLocker porque fornece a separação de administradores de servidor e as chaves criptográficas necessárias para a desencriptação de dados e porque a encriptação é aplicada diretamente aos dados (em contraste com o BitLocker, que aplica a encriptação no volume de disco lógico) quaisquer dados de cliente copiados de um servidor Exchange permanecem encriptados.
O âmbito da encriptação do serviço Exchange são os dados do cliente que são armazenados inativos no Exchange.
Microsoft Teams
O Teams utiliza o TLS e o MTLS para encriptar mensagens instantâneas. Todo o tráfego servidor a servidor requer MTLS, independentemente de o tráfego estar confinado à rede interna ou de atravessar o perímetro interno da rede.
Esta tabela resume os protocolos utilizados pelo Teams.
| Tipo de tráfego | Encriptado por |
|---|---|
| Servidor a servidor | MTLS |
| Cliente a servidor (por exemplo, mensagens instantâneas e presença) | TLS |
| Fluxos de multimédia (por exemplo, partilha de áudio e vídeo de multimédia) | TLS |
| Partilha de áudio e vídeo de multimédia | SRTP/TLS |
| Sinalização | TLS |
Criptografia da mídia
O tráfego de mídia é criptografado usando SRTP, um perfil de protocolo RTP que fornece confidencialidade, autenticação e proteção contra ataque de repetição para o tráfego RTP. O SRTP utiliza uma chave de sessão gerada com um gerador de números aleatórios seguro e é trocado com o canal TLS de sinalização. O tráfego de multimédia cliente a cliente é negociado através de uma sinalização de ligação cliente a servidor, mas é encriptado com SRTP ao aceder diretamente de cliente a cliente.
O Teams utiliza um token baseado em credenciais para acesso seguro a reencaminhamentos de multimédia através de TURN. Os reencaminhamentos de multimédia trocam o token através de um canal protegido por TLS.
FIPS
O Teams utiliza algoritmos em conformidade com FIPS (Federal Information Processing Standard) para trocas de chaves de encriptação. Para obter mais informações sobre a implementação do FIPS, consulte Federal Information Processing Standard (FIPS) Publicação 140-2.