客戶管理的加密功能

• Azure 版權管理

• Microsoft Purview 郵件加密

• 與合作夥伴組織一起保護郵件流程

如需這些技術的詳細資訊，請參閱 Microsoft 365 服務描述。

提示

如果您不是 E5 客戶，請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料。

Azure 版權管理

Azure Rights Management (Azure RMS) 是Azure 資訊保護所使用的保護技術。 它會使用加密、身分識別和授權原則，協助保護您跨多個平臺和裝置的檔案和電子郵件，例如手機、平板電腦和電腦。 資訊可在組織內部和外部受到保護，因為資料仍會受到保護。 Azure RMS 可持續保護所有檔案類型、保護任何位置的檔案、支援企業對企業共同作業，以及各種 Windows 和非 Windows 裝置。 Azure RMS 保護也可以增強 資料外泄防護 (DLP) 原則。 如需哪些應用程式和服務可以從 Azure 資訊保護使用 Azure Rights Management 服務的詳細資訊，請參閱應用程式如何支援 Azure Rights Management 服務。

Azure RMS 與 Microsoft 365 整合，可供所有客戶使用。 若要設定 Microsoft 365 使用 Azure RMS，請參閱在 SharePoint 系統管理中心設定 IRM 以使用 Azure Rights Management 和設定資訊版權管理 (IRM) 。 如果您內部部署的 Active Directory (AD) RMS 伺服器運作，則也可以將IRM 設定為使用內部部署 AD RMS 伺服器，但我們強烈建議您移轉至 Azure RMS以使用新功能，例如與其他組織安全共同作業。

當您使用 Azure RMS 保護客戶資料時，Azure RMS 會使用 2048 位 RSA 非對稱金鑰搭配 SHA-256 雜湊演算法來進行完整性加密資料。 Office 檔和電子郵件的對稱金鑰是 AES 128 位。 針對受 Azure RMS 保護的每個檔或電子郵件，Azure RMS 會建立單一 AES 金鑰 (「內容金鑰」) ，而該金鑰會內嵌在檔中，並透過檔的版本保存。 內容金鑰會受到組織 RSA 金鑰的保護， (「Azure 資訊保護租使用者金鑰」) 作為檔中原則的一部分，而且該原則也會由檔的作者簽署。 此租使用者金鑰適用于組織受 Azure RMS 保護的所有檔和電子郵件，而且只有在組織使用客戶管理的租使用者金鑰時，Azure 資訊保護系統管理員才能變更此金鑰。 如需 Azure RMS 所使用之密碼編譯控制項的詳細資訊，請參閱Azure RMS 如何運作？幕後。

在預設的 Azure RMS 實作中，Microsoft 會產生並管理每個租使用者唯一的根金鑰。 客戶可以在 Azure RMS 中使用 Azure 金鑰保存庫 Services 管理其根金鑰的生命週期，方法是使用稱為「攜帶您自己的金鑰 (BYOK) 」的金鑰管理方法，可讓您在內部部署 HSM 中產生金鑰， (硬體安全性模組) ，並在傳輸至 Microsoft 的 FIPS 140-2 層級 2 驗證 HSM 之後，持續控制此金鑰。 根金鑰的存取權不會提供給任何人員，因為金鑰無法從保護的 HSM 匯出或擷取。 此外，您可以存取近乎即時的記錄，隨時顯示根金鑰的所有存取權。 如需詳細資訊， 請參閱記錄和分析 Azure Rights Management 使用量。

Azure Rights Management 可協助降低威脅，例如網路點選、攔截式攻擊、資料竊取，以及意外違反組織共用原則。 同時，透過遵循該資料的原則，防止未經授權的使用者在傳輸中或待用中對客戶資料進行任何不受警告的存取，進而降低該資料在明知或不知情的情況下落到錯誤手上的風險，並提供資料外泄防護功能。 如果作為 Azure 資訊保護的一部分，Azure RMS 也會提供資料分類和標籤功能、內容標記、檔存取追蹤和存取撤銷功能。 若要深入瞭解這些功能，請參閱什麼是 Azure 資訊保護、Azure 資訊保護部署藍圖，以及Azure 資訊保護的快速入門教學課程。

保護多用途網際網路郵件擴充功能

安全/多用途網際網路郵件擴充功能 (S/MIME) 是 MIME 資料的公開金鑰加密和數位簽署標準。 S/MIME 定義于 RFC 3369、3370、3850、3851 和其他專案中。 它可讓使用者加密電子郵件，並以數位方式簽署電子郵件。 使用 S/MIME 加密的電子郵件只能由電子郵件的收件者使用其私密金鑰來解密，該金鑰僅供該收件者使用。 因此，電子郵件無法由電子郵件收件者以外的任何人解密。

Microsoft 支援 S/MIME。 公開憑證會散發到客戶的內部部署的 Active Directory，並儲存在可複寫至 Microsoft 365 租使用者的屬性中。 對應至公開金鑰的私密金鑰會保留在內部部署，且永遠不會傳輸至Office 365。 使用者可以使用 Outlook、Outlook 網頁版 和 Exchange ActiveSync 用戶端，在組織中的兩個使用者之間撰寫、加密、解密、讀取和數位簽署電子郵件。

Office 365 郵件加密

Office 365 (AIP) 建置在Azure 資訊保護 (OME () OME) 可讓您將加密和受版權保護的郵件傳送給任何人。 OME 可降低像是網路點選和攔截式攻擊等威脅，以及其他威脅，例如未經授權且沒有適當許可權的未經授權使用者無理存取資料。 我們進行了投資，為您提供了以 Azure 資訊保護為基礎的更簡單、更直覺且安全的電子郵件體驗。 您可以保護從 Microsoft 365 傳送給組織內部或外部任何人的訊息。 您可以使用任何身分識別，跨一組不同的郵件用戶端檢視這些郵件，包括 Azure Active Directory、Microsoft 帳戶和 Google 識別碼。 如需貴組織如何使用加密訊息的詳細資訊，請參閱Office 365訊息加密。

傳輸層安全性   

如果您想要確保與合作夥伴的安全通訊，您可以使用輸入和輸出連接器來提供安全性和訊息完整性。 您可以使用憑證，在每個連接器上設定強制輸入和輸出 TLS。 使用加密的 SMTP 通道可防止資料透過攔截式攻擊遭竊。 如需詳細資訊，請參閱Exchange Online如何使用 TLS 來保護電子郵件連線。

網域金鑰識別郵件

Exchange Online Protection (EOP) 和Exchange Online支援網域金鑰識別郵件 (DKIM) 訊息的輸入驗證。 DKIM 是一種方法，可用來驗證訊息是否從其所指出的來源網域傳送，且該訊息不是由其他人詐騙。 它會將電子郵件訊息系結至負責傳送電子郵件的組織，並且是電子郵件加密更大範例的一部分。 如需此範例三個部分的詳細資訊，請參閱：

• 設定 SPF 以協助防止詐騙

• 使用 DKIM 驗證從您自訂網域傳送的輸出電子郵件

• 使用 DMARC 驗證電子郵件