Поделиться через


Возможности шифрования под управлением клиента

Дополнительные сведения об этих технологиях см. в описании служб Microsoft 365.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Управление правами Azure

Azure Rights Management (Azure RMS) — это технология защиты, используемая azure Information Protection. Он использует политики шифрования, удостоверений и авторизации для защиты файлов и электронной почты на нескольких платформах и устройствах — телефонах, планшетах и компьютерах. Информация может быть защищена как внутри организации, так и за ее пределами, так как защита остается за данными. Azure RMS обеспечивает постоянную защиту всех типов файлов, защищает файлы в любом месте, поддерживает совместную работу между организациями, а также широкий спектр устройств Windows и устройств, отличных от Windows. Защита Azure RMS также может расширить политики защиты от потери данных (DLP). Дополнительные сведения о том, какие приложения и службы могут использовать службу Azure Rights Management из Azure Information Protection, см. в статье Как приложения поддерживают службу Azure Rights Management.

Azure RMS интегрирована с Microsoft 365 и доступна всем клиентам. Сведения о настройке Microsoft 365 для использования Azure RMS см. в разделах Настройка IRM для использования Azure Rights Management и Настройка управления правами на доступ к данным (IRM) в Центре администрирования SharePoint. Если вы работаете локальная служба Active Directory (AD) RMS-сервере, вы также можете настроить IRM для использования локального сервера AD RMS, но мы настоятельно рекомендуем перейти на Azure RMS, чтобы использовать новые функции, такие как безопасная совместная работа с другими организациями.

При защите данных клиента с помощью Azure RMS Azure RMS использует 2048-разрядный асимметричный ключ RSA с хэш-алгоритмом SHA-256 для обеспечения целостности данных. Симметричный ключ для документов Office и электронной почты — это 128-разрядная версия AES. Для каждого документа или электронной почты, защищенных с помощью Azure RMS, Azure RMS создает один ключ AES ("ключ содержимого"), и этот ключ внедряется в документ и сохраняется в выпусках документа. Ключ содержимого защищен с помощью ключа RSA организации ("ключ клиента Information Protection Azure") в рамках политики в документе, и политика также подписывается автором документа. Этот ключ клиента является общим для всех документов и сообщений электронной почты, защищенных Azure RMS для организации, и этот ключ может быть изменен только администратором Information Protection Azure, если организация использует ключ клиента, управляемый клиентом. Дополнительные сведения о криптографических элементах управления, используемых Azure RMS, см. в статье Как работает Azure RMS? Под капотом.

В реализации Azure RMS по умолчанию корпорация Майкрософт создает и управляет корневым ключом, уникальным для каждого клиента. Клиенты могут управлять жизненным циклом своего корневого ключа в Azure RMS с помощью Azure Key Vault Services с помощью метода управления ключами с именем "Принеси собственный ключ" (BYOK), который позволяет создавать ключ в локальных модулях HSM (аппаратные модули безопасности) и контролировать его после передачи в модули HSM уровня 2, проверенные FIPS 140-2. Доступ к корневому ключу не предоставляется ни одному персоналу, так как ключи не могут быть экспортированы или извлечены из модулей HSM, защищающих их. Кроме того, вы можете получить доступ к журналу практически в режиме реального времени, в котором отображается весь доступ к корневому ключу в любое время. Дополнительные сведения см. в статье Ведение журнала и анализ использования Azure Rights Management.

Azure Rights Management помогает устранять такие угрозы, как касание провода, атаки "злоумышленник в середине", кража данных и непреднамеренные нарушения политик общего доступа организации. В то же время любой неоправданный доступ к передаваемым или неактивным данным клиента со стороны несанкционированного пользователя, который не имеет соответствующих разрешений, запрещается с помощью политик, соответствующих этим данным, тем самым снижая риск попадания этих данных в чужие руки либо сознательно, либо непреднамеренно и предоставляя функции защиты от потери данных. При использовании в azure Information Protection Azure RMS также предоставляет возможности классификации данных и маркировки, маркировки содержимого, отслеживания доступа к документам и отзыва доступа. Дополнительные сведения об этих возможностях см. в разделах Что такое Azure Information Protection, Стратегия развертывания azure Information Protection и Краткое руководство по началу работы с Azure Information Protection.

Безопасное многоцелевое расширение почты Интернета

Secure/Multipurpose Internet Mail Extensions (S/MIME) — это стандарт для шифрования открытых ключей и цифрового подписывания данных MIME. S/MIME определен в RFCs 3369, 3370, 3850, 3851 и других. Он позволяет пользователю шифровать электронную почту и подписывать его цифровой подписью. Сообщение электронной почты, зашифрованное с помощью S/MIME, может быть расшифровано только получателем сообщения с помощью закрытого ключа, доступного только для этого получателя. Таким образом, сообщения электронной почты не могут быть расшифрованы кем-либо, кроме получателя сообщения.

Корпорация Майкрософт поддерживает S/MIME. Общедоступные сертификаты распространяются на локальная служба Active Directory клиента и хранятся в атрибутах, которые можно реплицировать в клиент Microsoft 365. Закрытые ключи, соответствующие открытым ключам, остаются локальными и никогда не передаются Office 365. Пользователи могут создавать, шифровать, расшифровывать, читать и подписывать сообщения электронной почты между двумя пользователями в организации с помощью клиентов Outlook, Outlook в Интернете и Exchange ActiveSync.

Шифрование сообщений Office 365

Office 365 шифрование сообщений (OME), созданное на основе Azure Information Protection (AIP), позволяет отправлять зашифрованные и защищенные права сообщения всем пользователям. OME устраняет угрозы, такие как атаки с использованием проводных подключений и атак типа "злоумышленник в середине", а также другие угрозы, такие как неоправданный доступ к данным со стороны несанкционированного пользователя, у которого нет соответствующих разрешений. Мы сделали инвестиции, которые предоставляют вам более простой, интуитивно понятный и безопасный интерфейс электронной почты, основанный на Azure Information Protection. Вы можете защитить сообщения, отправляемые из Microsoft 365 любому пользователю в организации или за ее пределами. Эти сообщения можно просматривать в различных почтовых клиентах с помощью любого удостоверения, включая Azure Active Directory, учетную запись Майкрософт и идентификаторы Google. Дополнительные сведения о том, как ваша организация может использовать зашифрованные сообщения, см. в разделе шифрование сообщений Office 365.

Протокол TLS.   

Если вы хотите обеспечить безопасную связь с партнером, можно использовать входящие и исходящие соединители для обеспечения безопасности и целостности сообщений. Принудительное входящее и исходящее подключение TLS можно настроить для каждого соединителя с помощью сертификата. Использование зашифрованного smtp-канала может предотвратить кражу данных с помощью атаки "злоумышленник в середине". Дополнительные сведения см. в разделе Как Exchange Online использует TLS для защиты подключений электронной почты.

Почта с идентификацией ключей домена

Exchange Online Protection (EOP) и Exchange Online поддерживают входящие проверки сообщений почты с идентификацией ключей домена (DKIM). DKIM — это метод проверки того, что сообщение было отправлено из домена, из которого оно было отправлено, и что оно не было подделанным кем-то другим. Он связывает сообщение электронной почты с организацией, ответственной за его отправку, и является частью более широкой парадигмы шифрования электронной почты. Дополнительные сведения о трех частях этой парадигмы см. в следующих разделах: