商務用 OneDrive 和 SharePoint Online 中的數據加密

了解 OneDrive for Business 和 SharePoint Online 中的資料安全性加密基本項目。

提示

如果您不是 E5 客戶，請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。

Microsoft 365 中的安全性和數據加密

Microsoft 365 是高度安全的環境，可在多個層級中提供廣泛的保護：實體資料中心安全性、網路安全性、存取安全性、應用程式安全性和數據安全性。 本文特別著重在OneDrive for Business 和 SharePoint Online 的傳輸中和靜態加密等方面。

觀看下列影片，了解資料加密如何運作。

傳輸中資料的加密

在 商務用 OneDrive 和 SharePoint Online 中，有兩種情況會讓數據進入和結束數據中心。

• 用戶端與伺服器通訊 在網際網路上使用 SSL/TLS 連線與OneDrive for Business 通訊。 所有 SSL 連線都是使用 2048 位元機碼加以建立。

• 數據中心之間的數據移動 在數據中心之間移動數據的主要原因是異地復寫啟用災害復原。 例如，SQL Server交易記錄和 Blob 儲存體差異會隨時此管道流動。 若己使用私人網路傳輸資料，則系統會進一步以業界領先的加密方式保護資料。

靜態資料的加密

靜態加密包括兩個元件：BitLocker 磁碟層級加密，以及客戶內容的每一檔案加密。

服務針對OneDrive for Business 和 SharePoint Online 部署了 BitLocker。 個別檔案加密也位於 Microsoft 365 多租使用者中的 商務用 OneDrive 和 SharePoint Online，以及以多租用戶技術為基礎的新專用環境。

當 BitLocker 加密磁碟中的所有資料時，每一檔案的加密會進一步地納入每個檔案唯一的加密金鑰。 此外，每個檔案的每次更新都會使用自己的加密金鑰進行加密。 加密內容的金鑰會儲存在實際與內容分開的位置。 此加密的每個步驟都會使用搭配 256 位元機碼的進階加密標準 (AES)，並與聯邦資訊處理標準 (FIPS) 140-2 相容。 加密的內容會分散到整個數據中心的多個容器，而且每個容器都有唯一的認證。 這些認證會儲存在內容或內容金鑰等不同的實體位置。

如需 FIPS 140-2 合規性的其他資訊，請參閱 FIPS 140-2 合規性。

檔案層級的靜態加密會利用 Blob 儲存體提供無限制的虛擬儲存體成長空間，以便提供更全面的保護。 OneDrive for Business 和 SharePoint Online 中的所有客戶內容都會移轉至 Blob 儲存體。 以下是保護資料的方法：

1. 所有內容都會加密，可能具有多個密鑰，並分散到數據中心。 每個要儲存的檔案都會依大小分成一或多個區塊。 接著，每個區塊都會使用自己唯一的金鑰加密。 也會以相同的方式處理更新：由使用者提交的變更集或差異項目都會分成數個區塊，每個區塊都會以自己的金鑰加密。

2. 所有這些區塊—包括檔案、檔案片段及更新差異項目—都會在我們的 Blob 存放區中儲存為 Blob。 這些區塊也會隨機地分散至多個 Blob 容器中。

3. 用來從其元件中重新組合檔案的「地圖」則儲存在內容資料庫中。

4. 每個 Blob 容器中的存取類型 (包括讀取、寫入、列舉及刪除) 都有自己特有的認證。 每個認證集都會保留在安全的金鑰存放區中，且會定期重新整理。

換句話說，每一檔案靜態加密都包含三種不同的儲存類型，每個類型都有不同的功能：

• 內容會在 Blob 存放區中儲存為已加密 Blob。 每個內容區塊的金鑰都會加密，且分別儲存在內容資料庫中。 內容本身不會保留任何解密線索。

• 內容資料庫是 SQL Server 資料庫。 它會保存尋找和重新編譯 Blob 存放區中保留的所有內容 Blob 所需的對應，以及解密這些 Blob 所需的密鑰。

這三個記憶體元件中的每一個，即 Blob 存放區、內容資料庫和密鑰存放區，實際上都是分開的。 任何一個元件中保留的資訊本身都無法使用。 這提供前所未有的安全性層級。 若沒有這三個專案的存取權，就無法擷取區塊的密鑰、解密密鑰使其可供使用、將索引鍵與其對應的區塊產生關聯、解密任何區塊，或從其組成區塊重新建構檔。