SharePoint 和 OneDrive 如何保护云数据

你控制着你的数据。 将数据放入 SharePoint 和 OneDrive for Microsoft 365 时，您仍然是数据的所有者。 有关数据所有权的详细信息，请参阅 Microsoft 365 隐私设计。

我们如何处理你的数据

Microsoft 工程师使用需要双重身份验证的 PowerShell 控制台管理 SharePoint 和 OneDrive。 我们通过运行工作流来执行日常任务，以便快速响应新情况。 签入服务需要代码评审和管理审批。

没有工程师有权访问该服务。 当工程师需要访问权限时，他们必须请求访问。 资格检查，如果工程师访问权限获得批准，则仅在有限时间内进行。 例如，在极少数情况下，Microsoft 工程师需要访问内容 (，如果你提交支持票证，因为用户无法访问我们认为) 损坏的重要文件，工程师必须在需要业务理由和经理批准的特定工作流中检查。 将生成可在Microsoft 365 管理中心中查看的审核事件。 还可以打开名为“客户密码箱”的功能，因此需要批准请求。 工程师只能访问有问题的文件。 若要了解如何打开或关闭客户密码箱以及批准和拒绝请求，请参阅 Microsoft Purview 客户密码箱请求。

如何保护数据

为了保护数据，你可以做的最重要的事情之一是要求对 Microsoft 365 中的标识进行双重身份验证。 这可以防止在不使用第二个因素的情况下使用凭据，并减轻密码泄露的影响。 第二个因素可以通过电话呼叫、短信或应用进行。 推出双重身份验证时，请从全局管理员开始，然后是其他管理员和网站集管理员。 有关如何执行此操作的信息，请参阅 为 Microsoft 365 用户设置多重身份验证。

建议使用其他方法来提高安全性：

• 使用Microsoft Entra基于设备的条件访问来阻止或限制非托管设备（如机场或酒店展台）的访问。 请参阅 控制来自非托管设备的访问。

• 创建策略以在处于非活动状态一段时间后将用户从 Microsoft 365 Web 会话中注销。 有关信息，请参阅 注销非活动用户。

• 评估对基于 IP 的会话的需求。 它们模拟本地部署的访问模型。 有关详细信息，请参阅 基于网络位置或应用控制访问权限。

• 使员工能够广泛但安全地共享。 可以要求登录，或使用过期或授予有限权限的链接。 请参阅 管理 SharePoint 环境的外部共享。

• 防止意外泄露敏感内容。 创建 DLP 策略来标识文档并防止共享文档。 请参阅 了解数据丢失防护。

传输中和静态保护

在传输中受保护

当数据从客户端和数据中心之间传输到服务时，会使用一流的加密对其进行保护。 有关信息，请参阅 OneDrive 和 SharePoint 中的数据加密。 我们仅允许安全访问。 我们不会通过 HTTP 建立经过身份验证的连接，而是重定向到 HTTPS。

静态保护

物理保护：只有有限数量的基本人员可以访问数据中心。 他们的身份通过多种身份验证因素（包括智能卡和生物识别）进行验证。 有本地安全人员、运动传感器和视频监控。 入侵检测警报监视异常活动。

网络保护：网络和标识与 Microsoft 企业网络隔离。 我们使用专用 Active Directory 域管理服务，有单独的域用于测试和生产，并且生产域被划分为多个独立域，以确保可靠性和安全性。 有关 Microsoft 365 的内置物理和逻辑安全性的详细信息，请参阅 Microsoft 365 的内置安全性。

应用程序安全性：构建功能的工程师遵循安全开发生命周期。 自动和手动分析有助于识别可能的漏洞。 Microsoft 安全响应中心 (Microsoft 安全响应中心) 可帮助对传入漏洞报告进行会审并评估缓解措施。 通过 Microsoft 云 Bug 赏金，世界各地的用户可以通过报告漏洞来赚钱。 有关详细信息，请参阅 Microsoft Cloud Bug 赏金条款。

内容保护：数据在磁盘级别使用 BitLocker 加密，在文件级别使用密钥进行加密。 有关信息，请参阅 OneDrive 和 SharePoint 中的数据加密。 有关使用客户密钥提供和控制用于在 Microsoft 365 中加密静态数据的密钥的信息，请参阅 使用 Microsoft Purview 客户密钥进行服务加密常见问题解答。

Microsoft 365 反恶意软件引擎在上传时扫描文档，查找与 AV 签名匹配的内容， (每小时更新) 。 有关信息，请参阅 SharePoint 中的病毒检测。 若要获得更高级的保护，请使用 Microsoft 365 高级威胁防护 (ATP) 。 ATP 分析共享的内容，并应用威胁情报和分析来识别复杂的威胁。 有关信息，请参阅 Microsoft 365 高级威胁防护。

若要限制将内容下载到不受信任的设备的风险，请执行以下操作：

• 将同步限制为指定域上的设备： 仅允许在已加入特定域的计算机上同步。

• 使用 Intune 限制对 OneDrive 和 SharePoint 移动应用中内容的 访问：控制对 OneDrive 和 SharePoint 移动应用中功能的访问。

若要管理静态内容，请：

• 配置 SharePoint 文档库上的 IRM 策略以限制下载内容。 请参阅 在 SharePoint 管理中心 (IRM) 设置信息权限管理。

• 评估 Azure 信息保护 (AIP) 的使用情况。 通过分类和标记，可以跟踪和控制数据的使用方式。 访问 Azure 信息保护。

高度可用，始终可恢复

我们的数据中心分布在区域内，具有容错能力。 数据至少在两个数据中心进行镜像，以减轻自然灾害或服务影响中断的影响。 有关详细信息，请参阅 Microsoft 365 客户数据的存储位置。

元数据备份保留 14 天，可以在 5 分钟内还原到任何时间点。

在勒索软件攻击的情况下，可以使用版本历史记录 (启用和配置列表或库的版本控制) 回滚，并使用回收站或网站集回收站来还原 (从网站集回收站还原已删除的项目) 。 如果从网站集回收站中删除了某个项目，则可以在 14 天内致电支持人员以访问备份。 有关允许用户在过去 30 天内将整个 OneDrive 还原到任意点的新文件还原功能的信息，请参阅 还原 OneDrive。

持续验证

我们持续监视数据中心，以确保其健康与安全。 这从清单开始。 清单代理会扫描每个子网以查找邻居。 对于每台计算机，我们执行状态捕获。

有了清单后，我们可以监视和修正计算机的运行状况。 安全修补程序训练应用修补程序、更新防病毒签名，并确保我们保存了已知良好的配置。 我们有特定于角色的逻辑，可确保一次只修补或轮换一定百分比的计算机。

我们有一个自动化工作流来识别不符合策略的计算机，并将它们排队等待替换。

Microsoft 内部的 Microsoft 365“红队”由入侵专家组成。 他们寻找任何机会获取未经授权的访问。 “蓝队”由专注于预防、检测和恢复的国防工程师组成。 它们构建入侵检测和响应技术。 若要跟上 Microsoft 安全团队的学习，请参阅 安全性、隐私和合规性博客。

若要监视和观察 Microsoft 365 订阅中的活动，请执行以下操作：

• 如果有本地安全操作中心或 SIEM，可以使用管理活动 API 监视活动。 有关信息，请参阅 Microsoft 365 管理 API 概述。 这将显示 SharePoint、Exchange、Microsoft Entra ID、DLP 等中的活动。 如果没有本地安全操作中心或 SIEM，可以使用 Cloud App Security。 Cloud App Security 使用管理活动 API。 有关信息，请参阅 Microsoft 365 Cloud App Security 概述。 通过 Cloud App Security，可以报告、搜索活动并发出警报。

• 使用 Microsoft Entra ID 保护。 这可以应用机器学习来检测可疑的帐户行为，例如，来自世界不同地区的同一用户同时登录。 可以配置标识保护以采取措施阻止这些登录。有关详细信息，请参阅 Microsoft Entra ID 保护。

• 使用安全功能分数根据已知的良好基线评估订阅的安全配置文件，并确定增加保护的机会。 有关详细信息，请参阅 Microsoft 安全功能分数。

已审核且合规

合规性是 Microsoft 365 的基础。 我们确保服务符合法规和合规性标准。 我们还帮助你履行审核和合规性义务。 服务信任门户是 Microsoft 企业服务的合规性和信任信息的一站式服务。 门户包含报告、白皮书、漏洞评估和合规性指南。 有关服务信任门户的详细信息，请参阅 Microsoft 服务信任门户入门。

若要满足法规要求，请：

• 在安全 & 合规中心审核 Microsoft 365 活动： 在 Microsoft 365 安全 & 合规中心搜索审核日志。

• 创建电子数据展示案例： 在 Microsoft 365 安全 & 合规中心管理电子数据展示案例

• 应用保留策略： 创建和应用信息管理策略。