Microsoft 365 透過 BitLocker 和分散式密鑰管理員提供基準、磁碟區層級的加密, (DKM) 。 Windows 365 企業版 和商務雲端電腦磁碟會使用 Azure 記憶體伺服器端加密 (SSE) 進行加密。
為了讓您擁有更多控制權,Microsoft 365 也會透過客戶密鑰為您的內容提供一層額外的加密。 此內容包含來自 Microsoft Exchange、SharePoint、OneDrive、Teams 和 Windows 365 雲端電腦的數據。
不支援 BitLocker 作為 Windows 365 雲端電腦的加密選項。 如需詳細資訊,請參閱在 Intune 中使用 Windows 10 虛擬機。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
服務加密、BitLocker、SSE 和客戶密鑰如何一起運作
您的 Microsoft 365 數據一律會使用 BitLocker 和分散式密鑰管理員 (DKM) 進行待用加密。 如需詳細資訊,請 參閱 Exchange 如何保護您的電子郵件秘密。
客戶金鑰會新增額外的保護,防止未經授權的存取您的數據。 其可補充 BitLocker 磁碟加密和伺服器端加密 (SSE Microsoft數據中心的) 。 服務加密並非設計來封鎖Microsoft人員存取您的數據。 相反地,客戶密鑰可讓您控制根加密金鑰,以協助您符合合規性或法規需求。
您明確授權Microsoft 365 使用您的加密密鑰來提供增值服務,例如電子檔探索、反惡意代碼、反垃圾郵件和搜尋索引編製。
客戶金鑰建置在服務加密之上,可讓您提供及控制加密金鑰。 Microsoft 365 會使用這些密鑰來加密待用數據,如 在線服務條款 (OST) 中所述。 因為您控制加密金鑰,所以客戶金鑰可協助您符合合規性需求。
客戶密鑰可改善您符合合規性標準的能力,這些合規性標準會要求與雲端提供者進行密鑰控制安排。 您可以在應用層級提供和管理Microsoft 365 待用數據的根加密密鑰。 此設定可讓您直接控制組織的加密金鑰。
具有混合式部署的客戶金鑰
客戶金鑰只會加密雲端中的待用數據。 它不會保護內部部署信箱或檔案。 若要保護內部部署數據,請使用不同的方法,例如 BitLocker。
了解數據加密原則
數據加密原則 (DEP) 定義加密階層。 服務會使用此階層,以您管理的密鑰和Microsoft保護的可用性金鑰來加密數據。 您可以使用 PowerShell Cmdlet 建立 DEP,然後將它指派給加密應用程式數據。
客戶金鑰支援三種類型的 DEP。 每個類型都會使用不同的 Cmdlet,並保護不同類型的數據:
多重Microsoft 365 工作負載的 DEP
這些 DEP 會針對租使用者中的所有使用者,跨數個Microsoft 365 工作負載加密數據。 工作負載包括:
- Windows 365 雲端電腦。 如需詳細資訊,請參閱 Microsoft 適用於 Windows 365 雲端電腦的 Purview 客戶密鑰
- Teams 聊天訊息 (1 對 1 聊天、群組聊天、會議聊天和頻道交談)
- Teams 媒體訊息 (影像、代碼段、視訊訊息、音訊訊息、Wiki 影像)
- 儲存在 Teams 記憶體中的 Teams 通話和會議錄製
- Teams 聊天通知
- Cortana 提供的 Teams 聊天建議
- Teams 狀態消息
- Microsoft 365 Copilot 互動
- Exchange 的使用者和訊號資訊
- 信箱 DEP 未加密的 Exchange 信箱
- Microsoft Purview 資訊保護:
- 完全數據比對 (EDM) 數據,包括數據檔架構、規則套件,以及用來哈希敏感數據的 Salt
- 針對EDM和Teams,DEP會從您將新數據指派給租用戶時開始加密新數據。
- 針對 Exchange,客戶金鑰會加密所有現有和新的數據。
- 敏感度標籤設定
- 完全數據比對 (EDM) 數據,包括數據檔架構、規則套件,以及用來哈希敏感數據的 Salt
多重工作負載 DEP 不會加密下列類型的數據。 此資料會使用 Microsoft 365 中的其他加密方法來保護:
- SharePoint 和 OneDrive 數據
- 儲存在 SharePoint 或 OneDrive 中的 Teams 檔案和一些 Teams 通話和會議錄製 (由 SharePoint DEP 加密)
- Teams 即時活動數據
- 客戶密鑰不支援的工作負載,例如 Viva Engage 和 Planner
您可以為每個租使用者建立多個 DEP,但一次只指派一個。 雖然完成時間取決於租使用者大小,但加密會在指派之後自動開始。
Exchange 信箱的 DEP
信箱 DP 可讓您更充分掌控個別 Exchange Online 信箱。 您可以使用它們來加密 UserMailbox、MailUser、Group、PublicFolder 和共用信箱中的數據。
每個租使用者最多可以有 50 個作用中信箱 DEP。 您可以將一個 DEP 指派給多個信箱,但每個信箱只能指派一個 DEP。
根據預設,Exchange 信箱會使用Microsoft管理的密鑰來加密。 當您指派客戶金鑰 DEP 時:
- 如果信箱已經使用多重工作負載 DEP 加密,服務會在使用者或系統下次存取數據時,使用信箱 DEP 來重寫信箱。
- 如果信箱使用Microsoft管理的密鑰加密,服務會在存取時使用信箱 DEP 加以重寫。
- 如果信箱尚未加密,服務會將信箱標示為移動。 加密會在移動之後發生。 信箱移動遵循Microsoft 365 的優先順序規則。 如需詳細資訊,請參閱 在 Microsoft 365 服務中移動要求。 如果信箱未及時加密,請連絡 Microsoft。
您稍後可以重新整理 DEP,或指派不同的 DEP,如管理客戶密鑰 Office 365 中所述。
每個信箱都必須符合授權需求,才能使用客戶密鑰。 如需詳細資訊,請 參閱設定客戶金鑰之前。
只要您的租使用者符合使用者信箱的授權需求,您就可以將 DEP 指派給共用、公用資料夾和群組信箱。 您不需要針對非使用者特定信箱使用個別的授權。
您也可以要求Microsoft在離開服務時清除特定的 DEP。 如需清除和撤銷金鑰的詳細資訊,請參閱 撤銷金鑰並開始資料清除路徑程式。
當您撤銷金鑰的存取權時,Microsoft刪除可用性密鑰。 此刪除會導致數據的密碼編譯刪除,協助您符合合規性和數據重新管理需求。
DEP for SharePoint 和 OneDrive
此 DEP 會加密儲存在 SharePoint 和 OneDrive 中的內容,包括儲存在 SharePoint 中的 Teams 檔案。
- 如果您使用多地理位置功能,您可以為每個地理位置建立一個 DEP。
- 如果沒有,每個租使用者只能建立一個 DEP。
如需設定指示, 請參閱設定客戶金鑰。
客戶金鑰所使用的加密加密
客戶金鑰會使用不同的加密加密來保護金鑰,如下圖所示。
用於跨多個Microsoft 365 工作負載加密數據之 DEP 的密鑰階層,類似於用於個別 Exchange 信箱的金鑰階層。 對應Microsoft 365 工作負載密鑰會取代信箱密鑰。
用來加密 Exchange 金鑰的加密加密
用來加密 SharePoint 和 OneDrive 金鑰的加密加密
