Шифрование службы с помощью ключа клиента Microsoft Purview

Microsoft 365 обеспечивает базовое шифрование на уровне тома, включенное с помощью BitLocker и диспетчера распределенных ключей (DKM). Microsoft 365 предлагает дополнительный уровень шифрования для содержимого. Это содержимое включает данные из Exchange Online, Skype для бизнеса, SharePoint Online, OneDrive для бизнеса и Microsoft Teams.

Как шифрование служб, BitLocker и ключ клиента работают вместе

Данные всегда шифруются при хранении в службе Microsoft 365 с помощью BitLocker и DKM. Дополнительные сведения см. в статье Exchange Online защиты секретов электронной почты. Ключ клиента обеспечивает дополнительную защиту от просмотра данных неавторизованными системами или персоналом и дополняет шифрование дисков BitLocker в центрах обработки данных Майкрософт. Шифрование службы не предназначено для того, чтобы сотрудники корпорации Майкрософт не получали доступ к вашим данным. Вместо этого ключ клиента помогает выполнять нормативные или нормативные обязательства по управлению корневыми ключами. Вы явным образом разрешаете службам Microsoft 365 использовать ключи шифрования для предоставления дополнительных облачных служб, таких как обнаружение электронных данных, защита от вредоносных программ, защита от нежелательной почты, индексирование поиска и т. д.

Ключ клиента основан на шифровании службы и позволяет предоставлять ключи шифрования и управлять ими. Затем Microsoft 365 использует эти ключи для шифрования неактивных данных, как описано в условиях использования веб-служб (OST). Ключ клиента помогает выполнить обязательства по соответствию, так как вы управляете ключами шифрования, которые Microsoft 365 использует для шифрования и расшифровки данных.

Ключ клиента расширяет возможности организации в соответствии с требованиями к соответствию требованиям, которые определяют основные соглашения с поставщиком облачных служб. С помощью ключа клиента вы предоставляете корневые ключи шифрования для неактивных данных Microsoft 365 и управляете ими на уровне приложения. В результате вы будете контролировать ключи своей организации.

Ключ клиента с гибридными развертываниями

Ключ клиента шифрует только неактивные данные в облаке. Ключ клиента не работает для защиты локальных почтовых ящиков и файлов. Локальные данные можно зашифровать с помощью другого метода, например BitLocker.

Сведения о политиках шифрования данных

Политика шифрования данных (DEP) определяет иерархию шифрования. Эта иерархия используется службой для шифрования данных с помощью каждого из управляемых ключей и ключа доступности, защищенного корпорацией Майкрософт. Вы создаете DEP с помощью командлетов PowerShell, а затем назначаете их для шифрования данных приложения. Клиентский ключ поддерживает три типа политик, каждый из которых использует разные командлеты и предоставляет покрытие для разных типов данных. Можно определить следующие дескрипторы deps:

DEP для нескольких рабочих нагрузок Microsoft 365 Эти deps шифрует данные в нескольких рабочих нагрузках M365 для всех пользователей в клиенте. К этим рабочим нагрузкам относятся:

  • Сообщения чата Teams (чаты 1:1, групповые чаты, чаты собраний и беседы каналов)

  • Сообщения мультимедиа Teams (изображения, фрагменты кода, видео сообщения, звуковые сообщения, вики-изображения)

  • Записи вызовов и собраний Teams, хранящиеся в хранилище Teams

  • Уведомления чата Teams

  • Предложения в чате Teams от Кортаны

  • Сообщения о состоянии Teams

  • Сведения о пользователях и сигналах для Exchange Online

  • Exchange Online почтовые ящики, которые еще не зашифрованы deps почтовых ящиков

  • Защита информации Microsoft Purview:

    • Точное соответствие данных (EDM), включая схемы файлов данных, пакеты правил и соты, используемые для хэширования конфиденциальных данных. Для EDM и Microsoft Teams deP с несколькими рабочими нагрузками шифрует новые данные с того времени, когда вы назначаете dep клиенту. Для Exchange Online ключ клиента шифрует все существующие и новые данные.

    • Настройка меток для меток конфиденциальности

DeP с несколькими рабочими нагрузками не шифрует следующие типы данных. Вместо этого Microsoft 365 использует другие типы шифрования для защиты этих данных.

  • SharePoint и OneDrive для бизнеса данных.
  • Файлы Microsoft Teams и некоторые записи вызовов и собраний Teams, сохраненные в OneDrive для бизнеса SharePoint Online, шифруются с помощью sharePoint Online DEP.
  • Другие рабочие нагрузки Microsoft 365, такие как Yammer и Планировщик, которые в настоящее время не поддерживаются ключом клиента.
  • Данные трансляций Teams.

Для каждого клиента можно создать несколько dep, но одновременно назначить только один dep. При назначении DEP шифрование начинается автоматически, но занимает некоторое время в зависимости от размера клиента.

DePs for Exchange Online mailbox mailbox DEPs provide more precise control over individual mailboxes within Exchange Online. Используйте deps почтовых ящиков для шифрования данных, хранящихся в почтовых ящиках EXO различных типов, таких как UserMailbox, MailUser, Group, PublicFolder и Shared. У вас может быть до 50 активных deps на клиент и назначить их отдельным почтовым ящикам. Один dep можно назначить нескольким почтовым ящикам.

По умолчанию почтовые ящики шифруются с помощью ключей, управляемых корпорацией Майкрософт. При назначении deP ключа клиента для почтового ящика:

  • Если почтовый ящик шифруется с помощью deP с несколькими рабочими нагрузками, служба перезаписывает почтовый ящик с помощью нового почтового ящика DEP, если пользователь или системная операция получает доступ к данным почтового ящика.

  • Если почтовый ящик уже зашифрован с помощью ключей, управляемых Корпорацией Майкрософт, служба перезаписывает его с помощью нового dep почтового ящика, если пользователь или системная операция получает доступ к данным почтового ящика.

  • Если почтовый ящик еще не зашифрован с помощью шифрования по умолчанию, служба помечает почтовый ящик для перемещения. Шифрование выполняется после завершения перемещения. Перемещение почтовых ящиков регулируется на основе приоритетов, задаемых для всех Microsoft 365. Дополнительные сведения см. в разделе " Перемещение запросов в службе Microsoft 365". Если почтовые ящики не зашифрованы в течение указанного времени, обратитесь в корпорацию Майкрософт.

Позже вы можете обновить DEP или назначить другой dep почтовому ящику, как описано в разделе "Управление ключом клиента для Office 365". Каждый почтовый ящик должен иметь соответствующие лицензии для назначения DEP. Дополнительные сведения о лицензировании см. в разделе "Перед настройкой ключа клиента".

DePs можно назначить общему почтовому ящику, общедоступной папке и почтовому ящику группы Microsoft 365 для клиентов, которые соответствуют требованиям лицензирования почтовых ящиков пользователей. Для назначения DEP ключа клиента не требуются отдельные лицензии для почтовых ящиков, не относящиеся к пользователю.

Если вы назначаете отдельные почтовые ящики с помощью ключа клиента, вы можете запросить у корпорации Майкрософт очистку определенных deps при выходе из службы. Сведения о процессе очистки данных и отзыве ключей см. в разделе "Отзыв ключей и запуск процесса очистки данных".

При отмене доступа к ключам при выходе из службы ключ доступности удаляется, что приводит к криптографическому удалению данных. Криптографическое удаление снижает риск повторного управления данными, что важно для выполнения обязательств по обеспечению безопасности и соответствию.

DEP для SharePoint Online и OneDrive для бизнеса этот DEP используется для шифрования содержимого, хранимого в SPO и OneDrive для бизнеса, включая файлы Microsoft Teams, хранящиеся в SPO. Если вы используете функцию с поддержкой нескольких регионов, вы можете создать по одному DEP на каждый географический регион для вашей организации. Если вы не используете функцию с поддержкой нескольких регионов, можно создать только одну DEP для каждого клиента. Дополнительные сведения см. в разделе "Настройка ключа клиента".

Шифрование шифров, используемых ключом клиента

Ключ клиента использует различные шифры шифрования для шифрования ключей, как показано на следующих рисунках.

Иерархия ключей, используемая для поставщиков облачных служб, которые шифруют данные для нескольких рабочих нагрузок Microsoft 365, аналогична иерархии, используемой для deps для отдельных Exchange Online почтовых ящиков. Единственным отличием является то, что ключ почтового ящика заменяется соответствующим ключом рабочей нагрузки Microsoft 365.

Шифры шифрования, используемые для шифрования ключей Exchange Online и Skype для бизнеса

Шифры шифрования для Exchange Online ключа клиента.

Шифрование шифров, используемых для шифрования ключей для файлов SharePoint Online, OneDrive для бизнеса и Teams

Шифры шифрования для ключа клиента SharePoint Online.