Общие сведения о шифровании службы в Microsoft Purview
При использовании ключей, управляемых Майкрософт, служба Майкрософт управляет корневыми ключами шифрования, применяемыми для шифрования служб, и хранит их. Это избавляет клиента от обязанности по подготовке корневых ключей шифрования и по управлению ими. Ключи, управляемые Майкрософт, хранятся в хранилищах закрытых ключей, к которым службы Microsoft 365 могут получить только косвенный доступ для шифрования данных. Сотрудники Майкрософт не могут получить прямой доступ к этим ключам.
Ключи, управляемые Майкрософт, — это эффективное решение для облачных клиентов, у которых нет требований к управлению ключами. Для некоторых клиентов ключи под управлением Майкрософт могут не соответствовать их обязательствам по управлению ключами, их эксплуатации или хранению. Для выполнения этих обязательств можно реализовать ключи, управляемые клиентом, с помощью функции ключа клиента.
В левой части приведенной выше диаграммы описывается иерархия ключей для Exchange Online, в которой показано, как два ключа RSA, управляемые Корпорацией Майкрософт, и один эквивалентный ключ доступности AES-256 используются для защиты ключа политики шифрования данных, который, в свою очередь, защищает ключ почтового ящика, используемый для шифрования почтовых ящиков в Exchange Online. В правой части схемы показана ключевая иерархия для файлов SharePoint Online, OneDrive для бизнеса и Microsoft Teams, в которых используется прозрачное шифрование данных SQL для защиты ключей шифрования блоков файлов для баз данных SQL.
Корпорация Майкрософт управляет ключами шифрования уровня обслуживания по умолчанию, но некоторые клиенты могут иметь внутренние или внешние требования к управлению собственными корневыми ключами. В следующем уроке рассматривается функция "Ключ клиента", которая позволяет клиентам соответствовать этим требованиям.