客户管理的加密功能

  • 项目

有关这些技术的详细信息,请参阅 Microsoft 365 服务说明

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

Azure Rights Management

Azure Rights Management (Azure RMS) 是 Azure 信息保护 使用的保护技术。 它使用加密、标识和授权策略来帮助跨多个平台和设备(手机、平板电脑和电脑)保护文件和电子邮件。 信息可以在组织内外受到保护,因为数据仍会受到保护。 Azure RMS 提供对所有文件类型的持久保护、随时随地保护文件、支持企业到企业协作以及各种 Windows 和非 Windows 设备。 Azure RMS 保护还可以 增强数据丢失防护 (DLP) 策略。 有关哪些应用程序和服务可以使用 Azure 信息保护中的 Azure Rights Management 服务的详细信息,请参阅应用程序如何支持 Azure Rights Management 服务

Azure RMS 与 Microsoft 365 集成,可供所有客户使用。 若要将 Microsoft 365 配置为使用 Azure RMS,请参阅 在 SharePoint 管理中心将 IRM 配置为使用 Azure Rights Management 和设置信息权限管理 (IRM) 。 如果运行 本地 Active Directory (AD) RMS 服务器,则还可以将 IRM 配置为使用本地 AD RMS 服务器,但我们强烈建议迁移到 Azure RMS,以使用新功能,例如与其他组织的安全协作。

使用 Azure RMS 保护客户数据时,Azure RMS 使用具有 SHA-256 哈希算法的 2048 位 RSA 非对称密钥来加密数据。 Office 文档和电子邮件的对称密钥为 AES 128 位。 对于受 Azure RMS 保护的每个文档或电子邮件,Azure RMS (“内容密钥”) 创建一个 AES 密钥,并且该密钥嵌入到文档中,并持续到文档的各个版本。 内容密钥使用组织的 RSA 密钥 (“Azure 信息保护租户密钥”) 作为文档中策略的一部分进行保护,并且该策略也由文档作者签名。 此租户密钥对于组织受 Azure RMS 保护的所有文档和电子邮件都是通用的,并且仅当组织使用客户管理的租户密钥时,Azure 信息保护管理员才能更改此密钥。 有关 Azure RMS 使用的加密控制的详细信息,请参阅 Azure RMS 如何工作?在引擎盖下

在默认的 Azure RMS 实现中,Microsoft 生成和管理每个租户唯一的根密钥。 客户可以使用名为“自带密钥 (BYOK) ”的密钥管理方法,通过 Azure 密钥保管库服务管理 Azure RMS 中的根密钥的生命周期,该方法允许在本地 HSM (硬件安全模块) 生成密钥,并在传输到 Microsoft 的 FIPS 140-2 级别 2 验证 HSM 后继续控制此密钥。 不会向任何人员授予对根密钥的访问权限,因为无法从保护他们的 HSM 导出或提取密钥。 此外,可以随时访问显示根密钥的所有访问权限的准实时日志。 有关详细信息,请参阅 日志记录和分析 Azure Rights Management 使用情况

Azure Rights Management 可帮助缓解诸如窃听、中间人攻击、数据盗窃和无意中违反组织共享策略等威胁。 同时,不具有适当权限的未授权用户对传输中或静态客户数据的任何无理访问都通过遵循该数据的策略进行阻止,从而缓解数据在明知或不知不觉中落入错误手中的风险,并提供数据丢失防护功能。 如果用作 Azure 信息保护的一部分,Azure RMS 还提供数据分类和标记功能、内容标记、文档访问跟踪和访问吊销功能。 若要详细了解这些功能,请参阅什么是 Azure 信息保护Azure 信息保护部署路线图Azure 信息保护快速入门教程

保护多用途 Internet 邮件扩展

安全/多用途 Internet 邮件扩展 (S/MIME) 是 MIME 数据公钥加密和数字签名的标准。 S/MIME 在 RFC 3369、3370、3850、3851 等中定义。 它允许用户加密电子邮件和对电子邮件进行数字签名。 使用 S/MIME 加密的电子邮件只能由电子邮件的收件人使用其私钥进行解密,该私钥仅适用于该收件人。 因此,除电子邮件收件人外,任何其他人都无法解密电子邮件。

Microsoft 支持 S/MIME。 公共证书分发到客户的本地 Active Directory并存储在可复制到 Microsoft 365 租户的属性中。 与公钥相对应的私钥保留在本地,永远不会传输到Office 365。 用户可以使用 Outlook、Outlook 网页版 和 Exchange ActiveSync 客户端在组织中的两个用户之间撰写、加密、解密、读取和数字签名电子邮件。

Office 365 邮件加密

Office 365消息加密 (OME) 构建在 Azure 信息保护 (AIP) 之上,使你能够向任何人发送加密且受权限保护的邮件。 OME 可缓解诸如窃听和中间人攻击等威胁和其他威胁,例如,没有适当权限的未授权用户无理访问数据。 我们进行了投资,为你提供基于 Azure 信息保护 构建的更简单、更直观、更安全的电子邮件体验。 你可以保护从 Microsoft 365 发送给组织内外任何人的邮件。 可以使用任何标识(包括 Azure Active Directory、Microsoft 帐户和 Google ID)跨各种邮件客户端查看这些邮件。 有关组织如何使用加密邮件的详细信息,请参阅Office 365消息加密

传输层安全性

如果要确保与合作伙伴的安全通信,可以使用入站和出站连接器来提供安全性和消息完整性。 可以使用证书在每个连接器上配置强制入站和出站 TLS。 使用加密的 SMTP 通道可以防止数据通过中间人攻击被盗。 有关详细信息,请参阅 Exchange Online如何使用 TLS 来保护电子邮件连接

域密钥标识邮件

Exchange Online Protection (EOP) 和Exchange Online支持域密钥标识邮件 (DKIM) 邮件的入站验证。 DKIM 是一种方法,用于验证消息是否从其来源的域发送,并且它不是被其他人欺骗的。 它将电子邮件绑定到负责发送电子邮件的组织,并且是电子邮件加密的更大范例的一部分。 有关此范例的三个部分的详细信息,请参阅: