Cifrado de servicio con clave de cliente
Microsoft 365 proporciona cifrado de nivel de volumen y línea base habilitado a través de BitLocker y el Administrador de claves distribuidas (DKM). Microsoft 365 ofrece una capa de cifrado adicional para el contenido. Este contenido incluye datos de Exchange Online, Skype Empresarial, SharePoint Online, OneDrive para la Empresa y Microsoft Teams.
Cómo funcionan conjuntamente el cifrado de servicio, BitLocker y clave de cliente
Los datos siempre se cifran en reposo en el Microsoft 365 con BitLocker y DKM. Para obtener más información, vea How Exchange Online secures your email secrets. Clave de cliente proporciona protección adicional contra la visualización de datos por parte de sistemas o personal no autorizados, y complementa el cifrado de disco de BitLocker en los centros de datos de Microsoft. El cifrado de servicio no está diseñado para impedir que el personal de Microsoft acceda a sus datos. En su lugar, la clave de cliente le ayuda a cumplir con las obligaciones reglamentarias o de cumplimiento para controlar las claves raíz. Autoriza explícitamente Microsoft 365 servicios de cifrado para que usen las claves de cifrado para proporcionar servicios en la nube de valor agregado, como exhibición de documentos electrónicos, antimalware, correo no deseado, indización de búsqueda, entre otros.
La clave de cliente se basa en el cifrado de servicio y le permite proporcionar y controlar claves de cifrado. Microsoft 365 a continuación, usa estas claves para cifrar los datos en reposo, tal como se describe en los Términos de servicios en línea (OST). Clave de cliente le ayuda a cumplir las obligaciones de cumplimiento porque controla las claves de cifrado que Microsoft 365 para cifrar y descifrar datos.
Clave de cliente mejora la capacidad de su organización para satisfacer las demandas de requisitos de cumplimiento que especifican acuerdos clave con el proveedor de servicios en la nube. Con la clave de cliente, proporciona y controla las claves de cifrado raíz de sus Microsoft 365 datos en reposo en el nivel de aplicación. Como resultado, se ejerce el control sobre las claves de la organización.
Clave de cliente con implementaciones híbridas
Clave de cliente solo cifra los datos en reposo en la nube. La clave de cliente no funciona para proteger los buzones y archivos locales. Puedes cifrar los datos locales mediante otro método, como BitLocker.
Acerca de las directivas de cifrado de datos
Una directiva de cifrado de datos (DEP) define la jerarquía de cifrado. El servicio usa esta jerarquía para cifrar los datos con cada una de las claves que administra y la clave de disponibilidad protegida por Microsoft. Puede crear DEP con cmdlets de PowerShell y, a continuación, asignar esos DEP para cifrar los datos de la aplicación. Hay tres tipos de DEP admitidos por Microsoft 365 customer key, cada tipo de directiva usa cmdlets diferentes y proporciona cobertura para un tipo diferente de datos. Los DEP que puede definir incluyen:
DEP para varias cargas Microsoft 365 de trabajo Estos DEP cifran los datos en varias cargas de trabajo M365 para todos los usuarios del espacio empresarial. Estas cargas de trabajo incluyen:
Teams de chat (chats de 1:1, chats de grupo, chats de reunión y conversaciones de canal)
Teams multimedia (imágenes, fragmentos de código, mensajes de vídeo, mensajes de audio, imágenes wiki)
Teams de llamadas y reuniones almacenadas en Teams almacenamiento
Teams de chat
Teams sugerencias de chat por Cortana
Teams de estado
Información de usuario y señal para Exchange Online
Exchange Online buzones de correo que no están cifrados por los DEP de buzones
Microsoft Information Protection:
Datos exactos de coincidencia de datos (EDM), incluidos los esquemas de archivo de datos, los paquetes de reglas y las sales usadas para hash de los datos confidenciales. Para EDM y Microsoft Teams, el DEP de varias cargas de trabajo cifra los nuevos datos desde el momento en que asigna el DEP al inquilino. Por Exchange Online, clave de cliente cifra todos los datos existentes y nuevos.
Configuración de etiquetas para etiquetas de confidencialidad
Los DEP de varias cargas de trabajo no cifran los siguientes tipos de datos. En su lugar, Microsoft 365 otros tipos de cifrado para proteger estos datos.
- SharePoint y OneDrive para la Empresa datos.
- Microsoft Teams archivos y algunas Teams de llamadas y reuniones guardadas en OneDrive para la Empresa y SharePoint Online se cifran mediante SharePoint Online DEP.
- Otras Microsoft 365 de trabajo como Yammer y Planner que actualmente no son compatibles con la clave de cliente.
- Teams Datos de eventos en directo.
Puede crear varios DEP por inquilino, pero solo asignar un DEP a la vez. Al asignar el DEP, el cifrado comienza automáticamente pero tarda algún tiempo en completarse en función del tamaño del espacio empresarial.
DEP para Exchange Online buzones de correo Los DEP de buzones proporcionan un control más preciso sobre los buzones individuales dentro de Exchange Online. Use DEP de buzones de correo para cifrar los datos almacenados en buzones EXO de distintos tipos, como UserMailbox, MailUser, Group, PublicFolder y Buzones compartidos. Puede tener hasta 50 DEP activos por inquilino y asignar esos DEP a buzones individuales. Puede asignar un DEP a varios buzones.
De forma predeterminada, los buzones se cifran con claves administradas por Microsoft. Al asignar un DEP de clave de cliente a un buzón:
Si el buzón se cifra mediante un DEP de varias cargas de trabajo, el servicio vuelve a envolver el buzón con el nuevo DEP de buzón siempre que un usuario o una operación del sistema tenga acceso a los datos del buzón.
Si el buzón ya está cifrado mediante claves administradas por Microsoft, el servicio vuelve a envolver el buzón con el nuevo DEP de buzón siempre que un usuario o una operación del sistema acceda a los datos del buzón.
Si el buzón aún no está cifrado mediante cifrado predeterminado, el servicio marca el buzón para un movimiento. El cifrado tiene lugar una vez completado el movimiento. Los movimientos de buzones se rigen en función de las prioridades establecidas para todos los Microsoft 365. Para obtener más información, vea Move requests in the Microsoft 365 service. Si los buzones no están cifrados en el tiempo especificado, póngase en contacto con Microsoft.
Más adelante, puede actualizar el DEP o asignar un DEP diferente al buzón, tal como se describe en Administrar clave de cliente para Office 365. Cada buzón debe tener licencias adecuadas para tener asignado un DEP. Para obtener más información acerca de las licencias, vea Before you set up Customer Key.
Los DEP se pueden asignar a un buzón compartido, un buzón de carpetas públicas y un buzón de Microsoft 365 de grupo para los inquilinos que cumplan el requisito de licencia para los buzones de usuario. No necesita licencias independientes para buzones que no son específicos del usuario para asignar DEP de clave de cliente.
Para los DEP de clave de cliente que asigne a buzones individuales, puede solicitar que Microsoft purgue los DEP específicos al salir del servicio. Para obtener información sobre el proceso de purga de datos y la revocación de claves, vea Revocar las claves e iniciar el proceso de ruta de depuración de datos.
Al revocar el acceso a las claves como parte de la salida del servicio, se elimina la clave de disponibilidad, lo que da como resultado la eliminación criptográfica de los datos. La eliminación criptográfica mitiga el riesgo de remanencia de datos, lo que es importante para cumplir con las obligaciones de seguridad y cumplimiento.
DEP para SharePoint Online y OneDrive para la Empresa Este DEP se usa para cifrar el contenido almacenado en SPO y OneDrive para la Empresa, incluidos los Microsoft Teams almacenados en SPO. Si usa la característica multige geográfica, puede crear un DEP por geo para su organización. Si no usa la característica multigeós, solo puede crear un DEP por inquilino. Consulte los detalles de Configurar clave de cliente.
Cifrados usados por clave de cliente
Clave de cliente usa varios cifrados de cifrado para cifrar claves como se muestra en las siguientes figuras.
La jerarquía de claves usada para los DEP que cifran los datos de varias cargas de trabajo Microsoft 365 es similar a la jerarquía usada para los DEP para buzones de correo Exchange Online individuales. La única diferencia es que la clave de buzón se reemplaza por la clave Microsoft 365 de carga de trabajo correspondiente.
Cifrados usados para cifrar claves para Exchange Online y Skype Empresarial
Cifrados usados para cifrar claves para SharePoint online, OneDrive para la Empresa y Teams archivos
