Crittografia del servizio con la chiave del clienteService encryption with Customer Key

Microsoft 365 fornisce la crittografia di base, a livello di volume abilitata tramite BitLocker e Distributed Key Manager (DKM).Microsoft 365 provides baseline, volume-level encryption enabled through BitLocker and Distributed Key Manager (DKM). Microsoft 365 offre un ulteriore livello di crittografia a livello di applicazione per il contenuto.Microsoft 365 offers an added layer of encryption at the application level for your content. Questo contenuto include i dati di Exchange Online, Skype for business, SharePoint Online, OneDrive for business e i file dei team.This content includes data from Exchange Online, Skype for Business, SharePoint Online, OneDrive for Business, and Teams files. Questo livello aggiunto di crittografia è denominato crittografia del servizio.This added layer of encryption is called service encryption.

Come funzionano i servizi di crittografia, BitLocker e Customer Key insiemeHow service encryption, BitLocker, and Customer Key work together

La crittografia dei servizi garantisce che il contenuto a riposo sia crittografato a livello di applicazione.Service encryption ensures that content at rest is encrypted at the application layer. I dati sono sempre crittografati nel servizio Microsoft 365 con BitLocker e DKM.Your data is always encrypted at rest in the Microsoft 365 service with BitLocker and DKM. Per ulteriori informazioni, vedere "informazioni sulla sicurezza, la privacy e la conformità" e su come Exchange Online protegge i segreti della posta elettronica.For more information, see the "Security, Privacy, and Compliance Information", and How Exchange Online secures your email secrets. La chiave del cliente fornisce ulteriore protezione contro la visualizzazione dei dati da parte di sistemi o personale non autorizzato e complementa la crittografia del disco BitLocker nei datacenter Microsoft.Customer Key provides additional protection against viewing of data by unauthorized systems or personnel, and complements BitLocker disk encryption in Microsoft datacenters. La crittografia del servizio non è destinata a impedire ai dipendenti di Microsoft di accedere ai dati dei clienti.Service encryption is not meant to prevent Microsoft personnel from accessing customer data. Lo scopo principale è quello di assistere i clienti nell'adempimento degli obblighi normativi o di conformità per il controllo delle chiavi principali.The primary purpose is to assist customers in meeting regulatory or compliance obligations for controlling root keys. I clienti autorizzano esplicitamente i servizi di O365 a utilizzare le chiavi di crittografia per fornire servizi cloud a valore aggiunto, ad esempio eDiscovery, anti-malware, protezione dalla posta indesiderata, indicizzazione della ricerca e così via.Customers explicitly authorize O365 services to use their encryption keys to provide value added cloud services, such as eDiscovery, anti-malware, anti-spam, search indexing, etc.

La chiave del cliente è basata sulla crittografia del servizio e consente di fornire e controllare le chiavi di crittografia.Customer Key is built on service encryption and lets you provide and control encryption keys. Microsoft 365 utilizza quindi queste chiavi per crittografare i dati a riposo, come descritto nelle condizioni dei servizi online (OST).Microsoft 365 then uses these keys to encrypt your data at rest as described in the Online Services Terms (OST). La chiave Customer consente di soddisfare gli obblighi di conformità perché si controllano le chiavi di crittografia utilizzate da Microsoft 365 per crittografare e decrittografare i dati.Customer Key helps you meet compliance obligations because you control the encryption keys that Microsoft 365 uses to encrypt and decrypt data.

La chiave Customer migliora la capacità dell'organizzazione di soddisfare le esigenze dei requisiti di conformità che specificano le soluzioni chiave con il provider di servizi cloud.Customer Key enhances the ability of your organization to meet the demands of compliance requirements that specify key arrangements with the cloud service provider. Con la chiave del cliente, è possibile fornire e controllare le chiavi di crittografia radice per i dati di Microsoft 365 a livello di applicazione.With Customer Key, you provide and control the root encryption keys for your Microsoft 365 data at-rest at the application level. Di conseguenza, si esercita il controllo sulle chiavi dell'organizzazione.As a result, you exercise control over your organization's keys. Se si decide di uscire dal servizio, si revoca l'accesso alle chiavi radice dell'organizzazione.If you decide to exit the service, you revoke access to your organization's root keys. Per tutti i servizi Microsoft 365, la revoca dell'accesso ai tasti è il primo passaggio sul percorso verso l'eliminazione dei dati.For all Microsoft 365 services, revoking access to the keys is the first step on the path towards data deletion. Revocando l'accesso alle chiavi, i dati sono illeggibili per il servizio.By revoking access to the keys, the data is unreadable to the service.

La chiave del cliente crittografa i dati a riposo in Office 365Customer Key encrypts data at rest in Office 365

Utilizzando i tasti forniti, la chiave del cliente esegue la crittografia:Using keys you provide, Customer Key encrypts:

  • File di SharePoint Online, OneDrive for business e teams.SharePoint Online, OneDrive for Business, and Teams files.
  • File caricati in OneDrive for business.Files uploaded to OneDrive for Business.
  • Contenuto della cassetta postale di Exchange Online, inclusi il contenuto del corpo di posta elettronica, le voci del calendario e il contenuto all'interno degli allegatiExchange Online mailbox content including e-mail body content, calendar entries, and the content within email attachments.
  • Conversazioni di testo da Skype for business.Text conversations from Skype for Business.

Attualmente non offriamo il controllo del cliente delle chiavi di crittografia per Skype meeting broadcast e Skype meeting content uploads.We don't currently offer customer control of the encryption keys for Skype Meeting Broadcast and Skype Meeting content uploads. Questo contenuto viene invece crittografato insieme a tutti gli altri contenuti di Office 365.Instead, this content is encrypted along with all other content in Office 365.

Chiave del cliente con distribuzioni ibrideCustomer Key with hybrid deployments

La chiave del cliente Crittografa solo i dati a riposo nel cloud.Customer Key only encrypts data at rest in the cloud. La chiave Customer non è in funzione per proteggere le cassette postali e i file locali.Customer Key does not work to protect your on-premises mailboxes and files. È possibile crittografare i dati locali utilizzando un altro metodo, ad esempio BitLocker.You can encrypt your on-premises data using another method, such as BitLocker.

Informazioni sui criteri di crittografia dei dati (DEP, Data Encryption Policy)About the data encryption policy (DEP)

Un criterio di crittografia dei dati definisce la gerarchia di crittografia per crittografare i dati utilizzando ognuno dei tasti forniti e la chiave di disponibilità protetta da Microsoft.A data encryption policy defines the encryption hierarchy to encrypt data using each of the keys you provide as well as the availability key protected by Microsoft. È possibile creare DEPs utilizzando i cmdlet di PowerShell, che sono diversi per ogni servizio, e assegnare tali DEPs per crittografare i dati dell'applicazione.You create DEPs using PowerShell cmdlets, which are different for each service, and assign those DEPs to encrypt application data. Ad esempio:For example:

Exchange Online e Skype for business È possibile creare fino a 50 DEPs per tenant.Exchange Online and Skype for Business You can create up to 50 DEPs per tenant. È possibile associare DEPs alle chiavi dei clienti in Azure Key Vault e quindi assegnare DEPs alle singole cassette postali.You associate DEPs to your Customer Keys in Azure Key Vault and then assign DEPs to individual mailboxes. Quando si assegna una funzionalità di protezione esecuzione programmi a una cassetta postale:When you assign a DEP to a mailbox:

  • la cassetta postale viene contrassegnata per lo spostamento di una cassetta postale.the mailbox is marked for a mailbox move. In base alle priorità di Microsoft 365 come descritto di seguito, spostare le richieste nel servizio microsoft 365.Based on priorities in Microsoft 365 as described here Move requests in the Microsoft 365 service.

  • La crittografia viene eseguita quando la cassetta postale viene spostata.The encryption takes place while the mailbox is moved. Consenti 72 ore per crittografare la cassetta postale con il nuovo DEP.Allow 72 hours for the mailbox to become encrypted with the new DEP. Se le cassette postali non vengono crittografate dopo aver atteso 72 ore dal momento in cui è stata assegnata la funzionalità DEP, contattare Microsoft.If the mailboxes aren't encrypted after waiting 72 hours from the time you assigned the DEP, contact Microsoft.

In un secondo momento, è possibile aggiornare la funzionalità DEP o assegnare un altro DEP alla cassetta postale, come descritto in Manage Customer Key per Office 365.Later, you can either refresh the DEP or assign a different DEP to the mailbox as described in Manage Customer Key for Office 365. Ogni cassetta postale deve disporre di licenze appropriate per assegnare una DEP.Each mailbox must have appropriate licenses in order to assign a DEP. Per ulteriori informazioni sulle licenze, vedere prima di impostare la chiave del cliente.For more information about licensing, see Before you set up Customer Key.

File di SharePoint Online, OneDrive for business e teams Se si utilizza la funzionalità multi-Geo, è possibile creare fino a una DEP per Geo per la propria organizzazione.SharePoint Online, OneDrive for Business, and Teams files If you're using the multi-geo feature, you can create up to one DEP per geo for your organization. È possibile utilizzare diverse chiavi dei clienti per ogni Geo.You can use different Customer Keys for each geo. Se non si utilizza la caratteristica multi-Geo, è possibile creare una sola funzionalità di protezione per tenant.If you're not using the multi-geo feature, you can only create one DEP per tenant. Quando si assegna la funzionalità DEP, la crittografia inizia automaticamente ma può richiedere del tempo per il completamento.When you assign the DEP, encryption begins automatically but can take some time to complete. Fare riferimento ai dettagli in set up Customer Key.Refer to the details in Set up Customer Key.

Uscita dal servizioLeaving the service

La chiave del cliente aiuta a soddisfare gli obblighi di conformità, consentendo di revocare le chiavi quando si lascia il servizio Microsoft 365.Customer Key assists you in meeting compliance obligations by allowing you to revoke your keys when you leave the Microsoft 365 service. Quando si revocano le chiavi come parte dell'uscita dal servizio, il tasto di disponibilità viene eliminato con l'eliminazione della crittografia dei dati.When you revoke your keys as part of leaving the service, the availability key is deleted resulting in cryptographic deletion of your data. L'eliminazione di crittografia consente di ridurre il rischio di rimanenza di dati che è importante per soddisfare gli obblighi di sicurezza e conformità.Cryptographic deletion mitigates the risk of data remanence which is important for meeting both security and compliance obligations. Per informazioni sul processo di eliminazione dei dati e sulla revoca delle chiavi, vedere Revoke Your Keys e Start the data Purge Path Process.For information about the data purge process and key revocation, see Revoke your keys and start the data purge path process.

Crittografia cifratura utilizzata dalla chiave del clienteEncryption ciphers used by Customer Key

La chiave Customer utilizza una vasta gamma di crittografia per crittografare le chiavi, come illustrato nelle figure seguenti.Customer Key uses a variety of encryption ciphers to encrypt keys as shown in the following figures.

Crittografia cifratura utilizzata per crittografare le chiavi per Exchange Online e Skype for businessEncryption ciphers used to encrypt keys for Exchange Online and Skype for Business

Crittografia cifratura per la chiave del cliente di Exchange Online

Crittografie di crittografia utilizzate per crittografare le chiavi per i file di SharePoint Online, OneDrive for business e teamsEncryption ciphers used to encrypt keys for SharePoint Online, OneDrive for Business, and Teams files

Crittografia cifratura per la chiave del cliente di SharePoint Online