Общие сведения о шифровании службы с помощью ключа клиента Microsoft Purview
Статья
Microsoft 365 предоставляет базовое шифрование на уровне тома с помощью BitLocker и распределенного диспетчера ключей (DKM). диски Windows 365 Корпоративная и business Cloud PC шифруются с помощью шифрования на стороне сервера службы хранилища Azure (SSE). Microsoft 365 предлагает дополнительный уровень шифрования для содержимого с помощью ключа клиента. Это содержимое включает данные с Exchange Online, Microsoft SharePoint, Microsoft OneDrive, Microsoft Teams и Windows 365 облачных компьютеров.
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Совместная работа шифрования служб, BitLocker, SSE и ключа клиента
Данные Microsoft 365 всегда шифруются при хранении в службе Microsoft 365 с помощью BitLocker и DKM. Дополнительные сведения см. в статье Как Exchange Online защищает секреты электронной почты. Ключ клиента обеспечивает дополнительную защиту от просмотра данных несанкционированными системами или персоналом, а также дополняет шифрование дисков BitLocker и SSE в центрах обработки данных Майкрософт. Шифрование служб не предназначено для предотвращения доступа сотрудников Майкрософт к вашим данным. Вместо этого ключ клиента помогает выполнять нормативные или нормативные обязательства по управлению корневыми ключами. Вы явным образом разрешаете службам Microsoft 365 использовать ключи шифрования для предоставления дополнительных облачных служб, таких как обнаружение электронных данных, защита от вредоносных программ, защита от спама, индексирование поиска и т. д.
Ключ клиента основан на шифровании службы и позволяет предоставлять ключи шифрования и управлять ими. Затем Microsoft 365 использует эти ключи для шифрования неактивных данных, как описано в условиях использования веб-служб (OST). Ключ клиента помогает выполнить обязательства по соответствию, так как вы управляете ключами шифрования, которые Microsoft 365 использует для шифрования и расшифровки данных.
Ключ клиента расширяет возможности вашей организации по удовлетворению требований соответствия требованиям, определяющим ключевые договоренности с поставщиком облачных служб. С помощью ключа клиента вы предоставляете корневые ключи шифрования для неактивных данных Microsoft 365 и управляете ими на уровне приложения. В результате вы осуществляете контроль над ключами вашей организации.
Ключ клиента с гибридными развертываниями
Ключ клиента шифрует только неактивные данные в облаке. Ключ клиента не работает для защиты локальных почтовых ящиков и файлов. Вы можете зашифровать локальные данные с помощью другого метода, например BitLocker.
Сведения о политиках шифрования данных
Политика шифрования данных (DEP) определяет иерархию шифрования. Эта иерархия используется службой для шифрования данных с помощью каждого из ключей, которыми вы управляете, и ключа доступности, защищенного корпорацией Майкрософт. Вы создаете DEP с помощью командлетов PowerShell, а затем назначаете DEP для шифрования данных приложения. Ключ клиента поддерживает три типа политик шифрования данных (DEP). Каждый тип политики использует разные командлеты и обеспечивает охват для разных типов данных. Можно определить следующие типы:
DEP для нескольких рабочих нагрузок Microsoft 365 Эти dePs шифруют данные в нескольких рабочих нагрузках Microsoft 365 для всех пользователей в клиенте. К этим рабочим нагрузкам относятся:
Сообщения чата Teams (чаты 1:1, групповые чаты, чаты собраний и беседы каналов)
Сообщения мультимедиа Teams (изображения, фрагменты кода, видеосообщений, аудиосообщений, вики-изображения)
Записи звонков и собраний Teams, хранящиеся в хранилище Teams
Уведомления чата Teams
Предложения чата Teams от Кортаны
Сообщения о состоянии Teams
взаимодействие Microsoft 365 Copilot
Сведения о пользователе и сигналах для Exchange Online
Exchange Online почтовых ящиков без шифрования, примененного из DEP почтового ящика
Защита информации Microsoft Purview:
Данные точного сопоставления данных (EDM), включая схемы файлов данных, пакеты правил и соли, используемые для хэширования конфиденциальных данных. Для EDM и Microsoft Teams DEP с несколькими рабочими нагрузками шифрует новые данные с момента назначения DEP клиенту. Для Exchange Online ключ клиента шифрует все существующие и новые данные.
Конфигурация меток для меток конфиденциальности
DePs с несколькими рабочими нагрузками не шифруют следующие типы данных. Вместо этого Microsoft 365 использует другие типы шифрования для защиты этих данных.
Данные SharePoint и OneDrive.
Файлы Microsoft Teams и некоторые записи звонков и собраний Teams, сохраненные в OneDrive и SharePoint, шифруются с помощью DEP SharePoint.
Другие рабочие нагрузки Microsoft 365, которые не поддерживают ключ клиента, например Viva Engage и Планировщик.
Данные о трансляциях Teams.
Вы можете создать несколько DEP для каждого клиента, но назначить только один DEP за раз. При назначении DEP шифрование начинается автоматически, но для завершения требуется некоторое время в зависимости от размера клиента.
DEP для почтовых ящиков Exchange Online почтовых ящиков обеспечивает более точный контроль над отдельными почтовыми ящиками в Exchange Online. Используйте deps почтовых ящиков для шифрования данных, хранящихся в почтовых ящиках EXO различных типов, таких как UserMailbox, MailUser, Group, PublicFolder и Общие почтовые ящики. Вы можете иметь до 50 активных deps на клиент и назначать их отдельным почтовым ящикам. Вы можете назначить один DEP нескольким почтовым ящикам.
По умолчанию почтовые ящики шифруются с помощью ключей, управляемых Корпорацией Майкрософт. При назначении DEP ключа клиента почтовому ящику:
Если почтовый ящик шифруется с помощью DEP с несколькими рабочими нагрузками, служба выполняет повторную обработку почтового ящика с помощью нового dep почтового ящика, пока пользователь или системная операция обращается к данным почтового ящика.
Если почтовый ящик уже зашифрован с помощью ключей, управляемых Корпорацией Майкрософт, служба выполняет повторную обработку почтового ящика с помощью нового dep почтового ящика, если пользователь или системная операция обращается к данным почтового ящика.
Если почтовый ящик еще не зашифрован с помощью шифрования по умолчанию, служба помечает почтовый ящик для перемещения. Шифрование выполняется после завершения перемещения. Перемещение почтовых ящиков регулируется на основе приоритетов, установленных для всех microsoft 365. Дополнительные сведения см. в статье Перемещение запросов в службе Microsoft 365. Если почтовые ящики не зашифрованы в течение указанного времени, обратитесь в корпорацию Майкрософт.
Вы можете назначить deps общему почтовому ящику, почтовому ящику общедоступных папок и почтовому ящику группы Microsoft 365 для клиентов, которые соответствуют требованиям к лицензированию для почтовых ящиков пользователей. Для назначения DEP ключа клиента не требуются отдельные лицензии для почтовых ящиков, не относящихся к пользователю.
Для клиентских ключей DEP, назначаемого отдельным почтовым ящикам, можно запросить очистку определенных deps корпорации Майкрософт при выходе из службы. Сведения о процессе очистки данных и отзыве ключей см. в статье Отзыв ключей и запуск процесса пути очистки данных.
Когда вы отмените доступ к ключам при выходе из службы, ключ доступности удаляется, что приводит к криптографии удаления ваших данных. Криптографическое удаление снижает риск повторного использования данных, что важно для выполнения обязательств по обеспечению безопасности и соответствию.
DEP для SharePoint и OneDrive Этот DEP используется для шифрования содержимого, хранящегося в SharePoint и OneDrive, включая файлы Microsoft Teams, хранящиеся в SharePoint. Если вы используете функцию с несколькими регионами, вы можете создать один DEP для каждого региона для вашей организации. Если вы не используете функцию с несколькими регионами, вы можете создать только один DEP для каждого клиента. Дополнительные сведения см. в разделе Настройка ключа клиента.
Шифрование шифров, используемых ключом клиента
Ключ клиента использует различные шифры шифрования для шифрования ключей, как показано на следующих рисунках.
Иерархия ключей, используемая для DEP, которые шифруют данные для нескольких рабочих нагрузок Microsoft 365, аналогична иерархии, используемой для DEP для отдельных почтовых ящиков Exchange Online. Единственное отличие заключается в том, что ключ почтового ящика заменяется соответствующим ключом рабочей нагрузки Microsoft 365.
Шифры шифрования, используемые для шифрования ключей для Exchange Online
Шифры шифрования, используемые для шифрования ключей для SharePoint и OneDrive
Узнайте, как Microsoft 365 шифрует неактивные и передаваемые данные, безопасно управляет ключами шифрования и предоставляет заказчикам возможности управления ключами согласно их бизнес-потребностям и обязательствам по обеспечению соответствия требованиям.
Продемонстрировать основы безопасности данных, управления жизненным циклом, информационной безопасности и соответствия требованиям для защиты развертывания Microsoft 365.