使用客户密钥了解客户密钥管理
客户密钥允许客户使用自己的根密钥来加密其数据。 客户密钥将被上传到或在 Azure Key Vault 内生成,使客户能够控制Microsoft 服务解密和处理客户数据的能力。 此选项当前适用于 Exchange Online、SharePoint Online 和 OneDrive for Business。
客户密钥允许遵守涉及用于数据加密的密钥的内部策略或外部义务。 这些合规义务可能包括要求拥有用于数据加密的根密钥、按定义的节奏轮换密钥或将密钥存储在 HSM 中。 它还为客户提供了在离开服务时撤销其根密钥和请求数据清除的选项,从而缩短服务终止后数据在云中保留的时间,如 Microsoft 产品条款中所述。
使用客户密钥时,客户的根密钥使用 FIPS 140-2 兼容的算法,并且不会离开 HSM 边界。 因此,如果客户决定退出服务,他们可以行使控制权并撤销各自的密钥。 撤销密钥并请求清除数据会使我们的服务无法读取加密数据。
使用客户密钥的好处包括:
- 基于强大的加密保护提供权限保护和管理功能。
- 增强 Microsoft 365 满足客户对加密合规性要求的能力。
但是,请务必注意,客户密钥负责管理自己的密钥,包括安全地存储密钥,并确保不再需要时将其正确销毁。
可用性密钥
对于使用客户密钥功能的客户,Microsoft 365 通过可用性密钥提供数据恢复功能。 可用性密钥的主要用途是提供从客户管理的根密钥意外丢失(包括因管理不善或恶意操作导致的密钥丢失)中恢复的能力。 如果客户失去对其根密钥的控制,Microsoft 支持可以根据客户的要求使用可用性密钥启动恢复。
可用性密钥是 Microsoft 预配和保护的根密钥,其功能等效于客户使用客户密钥功能提供的根密钥。 当客户创建数据加密策略时,会自动生成并预配可用性密钥。 根据设计,Microsoft 没有人有权访问可用性密钥:只有 Microsoft 365 服务代码才能访问该密钥。 Microsoft 365 存储和保护可用性密钥,与客户在 Azure 密钥保管库中提供和管理的密钥不同,客户无法直接访问可用性密钥。 然而,Microsoft 为客户提供了禁用或销毁可用性密钥的唯一权限。 如果客户决定退出服务,可用性密钥将在数据清除流程中被清除。
除了数据恢复之外,可用性密钥有时还用于维护 Exchange Online 中的服务可用性。 尽管服务故障很少见,但暂时性Microsoft Entra ID或网络问题可能会威胁Exchange Online内容的可用性。 如果Exchange Online无法访问客户的根密钥,并且我们未收到指示客户打算阻止访问其根密钥的响应,则服务会回退到可用性密钥来完成操作。 此规定仅适用于 Exchange Online。 SharePoint Online 和 Microsoft Teams 不使用可用性密钥,除非客户明确指示 Microsoft 启动恢复过程。
Microsoft 保护访问控制的内部机密存储中的可用性密钥,类似于面向客户的 Azure Key Vault。 访问控制可防止未经授权访问秘密存储库内容。 机密存储操作(包括密钥轮换和删除)通过自动化命令进行,这些命令不涉及对可用性密钥的直接访问。 机密存储库管理操作仅限于特定工程师,需要通过密码箱提升特权。 特权提升需要经理批准并具有正当理由,然后才能授予访问权限。 密码箱确保访问有时间限制,并在时限到期时自动撤销访问。