Crittografia del servizioService Encryption

Oltre a utilizzare la crittografia a livello di volume, Exchange Online, Skype for business, SharePoint Online e OneDrive for business utilizzano anche la crittografia del servizio per crittografare i dati dei clienti.In addition to using volume-level encryption, Exchange Online, Skype for Business, SharePoint Online, and OneDrive for Business also use Service Encryption to encrypt customer data. La crittografia del servizio consente di eseguire due opzioni di gestione principali:Service Encryption allows for two key management options:

Chiavi gestite MicrosoftMicrosoft managed keys

Microsoft gestisce tutte le chiavi di crittografia, incluse le chiavi radice per la crittografia del servizio.Microsoft manages all cryptographic keys including the root keys for service encryption. Questa opzione è attualmente disponibile in SharePoint Online e OneDrive for business.This option is currently available in SharePoint Online and OneDrive for Business. Questa opzione è attualmente in fase di rollforward per Exchange Online.This option is currently being rolled out for Exchange Online. Le chiavi gestite Microsoft forniscono la crittografia del servizio predefinita, a meno che non si decida di onboard usando la chiave del cliente.Microsoft managed keys provide default service encryption unless you decide to onboard using Customer Key. Se, in un secondo momento, si decide di non utilizzare la chiave del cliente senza seguire il percorso di eliminazione dei dati, i dati rimarranno crittografati utilizzando le chiavi gestite Microsoft.If, at a later date, you decide to stop using Customer Key without following the data purge path, then your data stays encrypted using the Microsoft managed keys. I dati vengono sempre crittografati a questo livello predefinito almeno.Your data is always encrypted at this default level at a minimum.

Customer KeyCustomer Key

È possibile specificare le chiavi radice utilizzate con la crittografia del servizio e gestire queste chiavi utilizzando Azure Key Vault.You supply root keys used with service encryption and you manage these keys using Azure Key Vault. Microsoft gestisce tutte le altre chiavi.Microsoft manages all other keys. Questa opzione è denominata Customer Key ed è attualmente disponibile per Exchange Online, SharePoint Online e OneDrive for business.This option is called Customer Key, and it is currently available for Exchange Online, SharePoint Online, and OneDrive for Business. (In precedenza denominato crittografia avanzata con BYOK.(Previously referred to as Advanced Encryption with BYOK. Vedere miglioramento della trasparenza e del controllo per i clienti di Office 365 per l'annuncio originale.See Enhancing transparency and control for Office 365 customers for the original announcement.)

La crittografia dei servizi offre molteplici vantaggi.Service encryption provides multiple benefits. Ad esempio, Customer Key:For example, Customer Key:

  • Fornisce funzionalità di gestione e protezione dei diritti al di sopra della protezione dalla crittografia avanzata.Provides rights protection and management features on top of strong encryption protection.

  • Include un'opzione di chiave Customer che consente ai servizi multi-tenant di fornire la gestione delle chiavi per tenant.Includes a Customer Key option that enables multi-tenant services to provide per-tenant key management.

  • Consente di separare gli amministratori del sistema operativo Windows dall'accesso ai dati dei clienti archiviati o elaborati dal sistema operativo.Provides separation of Windows operating system administrators from access to customer data stored or processed by the operating system.

  • Migliora la capacità di Microsoft 365 di soddisfare le esigenze dei clienti con requisiti di conformità relativi alla crittografia.Enhances the ability of Microsoft 365 to meet the demands of customers that have compliance requirements regarding encryption.

Se si utilizza il codice "Customer Key", è possibile generare le proprie chiavi di crittografia utilizzando un modulo di servizio hardware (HSM) locale o un Vault Key di Azure (AKV).Using Customer Key, you can generate your own cryptographic keys using either an on-premises Hardware Service Module (HSM) or Azure Key Vault (AKV). Indipendentemente dal modo in cui viene generata la chiave, è possibile utilizzare AKV per controllare e gestire le chiavi di crittografia utilizzate da Office 365.Regardless of how you generate the key, you use AKV to control and manage the cryptographic keys used by Office 365. Dopo aver memorizzato i tasti in AKV, è possibile utilizzarli come radice di uno dei portachiavi che crittografa i dati o i file delle cassette postali.Once your keys are stored in AKV, they can be used as the root of one of the keychains that encrypts your mailbox data or files.

Un altro vantaggio della chiave del cliente è il controllo che si ha sulla capacità di elaborazione dei dati da parte di Microsoft.Another benefit of Customer Key is the control you have over the ability of Microsoft to process your data. Se si desidera rimuovere i dati da Office 365, ad esempio se si desidera terminare il servizio con Microsoft o rimuovere una parte dei dati archiviati nel cloud, è possibile farlo e utilizzare la chiave del cliente come controllo tecnico.If you want to remove data from Office 365, such as if you want to terminate service with Microsoft or remove a portion of your data stored in the cloud, you can do so and use Customer Key as a technical control. In questo modo, nessuno, incluso Microsoft, può accedere ai dati o elaborarli.This ensures that no one, including Microsoft, can access or process the data. La chiave del cliente è inoltre e complementare all'archivio protetto dei clienti che si utilizza per controllare l'accesso ai dati da parte del personale Microsoft.Customer Key is in addition and complementary to Customer Lockbox that you use to control access to your data by Microsoft personnel.

Per informazioni su come configurare la chiave del cliente per Microsoft 365 per Exchange Online, Skype for business, SharePoint Online, inclusi i siti del team e OneDrive for business, vedere gli articoli seguenti:To learn how to set up Customer Key for Microsoft 365 for Exchange Online, Skype for Business, SharePoint Online, including Team Sites, and OneDrive for Business, see these articles: