使用 Microsoft Purview 客戶金鑰進行服務加密

Microsoft 365 提供透過 BitLocker 和分散式金鑰管理員啟用的基準、磁片區層級加密, (DKM) 。 Microsoft 365 為您的內容提供一層額外的加密。 此內容包含來自 Exchange Online、商務用 Skype、SharePoint Online、商務用 OneDrive 和 Microsoft Teams 的資料。

服務加密、BitLocker 和客戶金鑰如何一起運作

您的資料一律會在 Microsoft 365 服務中使用 BitLocker 和 DKM 進行待用加密。 如需詳細資訊,請參閱如何Exchange Online保護電子郵件秘密。 客戶金鑰可提供額外的保護,防止未經授權的系統或人員檢視資料,並補充 Microsoft 資料中心的 BitLocker 磁片加密。 服務加密並不是要防止 Microsoft 人員存取您的資料。 相反地,客戶金鑰可協助您符合控制根金鑰的法規或合規性義務。 您明確授權 Microsoft 365 服務使用您的加密金鑰來提供增值的雲端服務,例如電子檔探索、反惡意程式碼、反垃圾郵件、搜尋索引等。

客戶金鑰是以服務加密為基礎,可讓您提供及控制加密金鑰。 Microsoft 365 接著會使用這些金鑰來加密待用資料,如 線上服務條款 (OST) 中所述。 客戶金鑰可協助您符合合規性義務,因為您可以控制 Microsoft 365 用來加密和解密資料的加密金鑰。

客戶金鑰可增強貴組織的能力,以符合與雲端服務提供者指定重要安排的合規性需求。 使用客戶金鑰,您可以在應用層級提供並控制 Microsoft 365 待用資料的根加密金鑰。 因此,您可以對組織的金鑰進行控制。

具有混合式部署的客戶金鑰

客戶金鑰只會加密雲端中的待用資料。 客戶金鑰無法保護您的內部部署信箱和檔案。 您可以使用另一個方法來加密內部部署資料,例如 BitLocker。

關於資料加密原則

資料加密原則 (DEP) 定義加密階層。 服務會使用此階層,使用您所管理的每個金鑰和 Microsoft 所保護的可用性金鑰來加密資料。 您可以使用 PowerShell Cmdlet 建立 DEP,然後指派這些 DEP 來加密應用程式資料。 客戶金鑰支援三種類型的 DEP,每個原則類型都會使用不同的 Cmdlet,並提供不同資料類型的涵蓋範圍。 您可以定義的 DEP 包括:

多個 Microsoft 365 工作負載的 DEP 這些 DEP 會針對租使用者內的所有使用者,跨多個 M365 工作負載加密資料。 這些工作負載包括:

  • Teams 聊天訊息 (1 對 1 聊天、群組聊天、會議聊天和頻道交談)

  • Teams 媒體訊息 (影像、程式碼片段、視訊訊息、音訊訊息、Wiki 影像)

  • 儲存在 Teams 儲存體中的 Teams 通話和會議錄製

  • Teams 聊天通知

  • Cortana 提供的 Teams 聊天建議

  • Teams 狀態訊息

  • Exchange Online的使用者和訊號資訊

  • Exchange Online信箱 DEP 尚未加密的信箱

  • Microsoft Purview 資訊保護:

    • EDM) 資料 (完全相符的資料,包括資料檔案架構、規則套件,以及用來雜湊敏感性資料的 Salt。 針對 EDM 和 Microsoft Teams,多重工作負載 DEP 會從您將 DEP 指派給租使用者的時間加密新資料。 針對Exchange Online,客戶金鑰會加密所有現有和新的資料。

    • 敏感度標籤的標籤設定

多重工作負載 DEP 不會加密下列類型的資料。 相反地,Microsoft 365 會使用其他類型的加密來保護此資料。

  • SharePoint 和 商務用 OneDrive 資料。
  • Microsoft Teams 檔案和儲存在 商務用 OneDrive 和 SharePoint Online 中的一些 Teams 通話和會議錄製會使用 SharePoint Online DEP 進行加密。
  • 客戶金鑰目前不支援其他 Microsoft 365 工作負載,例如 Yammer 和 Planner。
  • Teams 即時活動資料。

您可以為每個租使用者建立多個 DEP,但一次只能指派一個 DEP。 當您指派 DEP 時,加密會自動開始,但需要一些時間才能完成,視租使用者的大小而定。

Exchange Online信箱 DEP 信箱 DEP 可讓您更精確地控制Exchange Online內的個別信箱。 使用信箱 DEP 來加密儲存在不同類型 EXO 信箱中的資料,例如 UserMailbox、MailUser、Group、PublicFolder 和共用信箱。 每個租使用者最多可以有 50 個作用中的 DEP,並將這些 DEP 指派給個別信箱。 您可以將一個 DEP 指派給多個信箱。

根據預設,您的信箱會使用 Microsoft 管理的金鑰進行加密。 當您將客戶金鑰 DEP 指派給信箱時:

  • 如果信箱是使用多重工作負載 DEP 來加密,只要使用者或系統作業存取信箱資料,服務就會使用新的信箱 DEP 來重寫信箱。

  • 如果信箱已使用 Microsoft 管理的金鑰加密,只要使用者或系統作業存取信箱資料,服務就會使用新的信箱 DEP 來重寫信箱。

  • 如果信箱尚未使用預設加密進行加密,則服務會將信箱標示為移動。 一旦移動完成,就會進行加密。 信箱移動是根據為所有 Microsoft 365 設定的優先順序來控管。 如需詳細資訊,請 參閱在 Microsoft 365 服務中移動要求。 如果信箱未在指定的時間內加密,請連絡 Microsoft。

稍後,您可以重新整理 DEP,或將不同的 DEP 指派給信箱,如管理客戶金鑰Office 365中所述。 每個信箱都必須有適當的授權,才能指派 DEP。 如需授權的詳細資訊,請 參閱設定客戶金鑰之前

針對符合使用者信箱授權需求的租使用者,可以將 DEP 指派給共用信箱、公用資料夾信箱和 Microsoft 365 群組信箱。 您不需要針對非使用者特定信箱使用個別的授權,即可指派客戶金鑰 DEP。

針對您指派給個別信箱的客戶金鑰 DEP,您可以在離開服務時要求 Microsoft 清除特定的 DEP。 如需資料清除程式和金鑰撤銷的相關資訊,請參閱 撤銷您的金鑰並啟動資料清除路徑程式

當您在離開服務時撤銷金鑰的存取權時,會刪除可用性金鑰,進而刪除資料的密碼編譯。 密碼編譯刪除可降低資料還原的風險,這對符合安全性與合規性義務很重要。

DEP for SharePoint Online 和 商務用 OneDrive 此 DEP 可用來加密儲存在 SPO 和 商務用 OneDrive 中的內容,包括儲存在 SPO 中的 Microsoft Teams 檔案。 如果您使用多地理位置功能,您可以為組織每個地理位置建立一個 DEP。 如果您不是使用多地理位置功能,則每個租使用者只能建立一個 DEP。 請參閱 設定客戶金鑰中的詳細資料。

客戶金鑰所使用的加密加密

客戶金鑰會使用各種加密加密來加密金鑰,如下圖所示。

用於加密多個 Microsoft 365 工作負載資料之 DEP 的金鑰階層,類似于用於個別Exchange Online信箱之 DEP 的階層。 唯一的差異是信箱金鑰會取代為對應的 Microsoft 365 工作負載金鑰。

用來加密金鑰的加密加密Exchange Online和商務用 Skype

Exchange Online客戶金鑰的加密加密。

用來加密 SharePoint Online、商務用 OneDrive 和 Teams 檔案金鑰的加密加密

SharePoint Online 客戶金鑰的加密加密。