고객 키를 사용한 서비스 암호화Service encryption with Customer Key

Microsoft 365에서는 BitLocker 및 DKM (분산 키 관리자)를 통해 사용이 가능한 기준선, 볼륨 수준의 암호화를 제공 합니다.Microsoft 365 provides baseline, volume-level encryption enabled through BitLocker and Distributed Key Manager (DKM). Microsoft 365에서는 콘텐츠에 대 한 응용 프로그램 수준에서 추가 암호화 계층을 제공 합니다.Microsoft 365 offers an added layer of encryption at the application level for your content. 이 콘텐츠에는 Exchange Online, 비즈니스용 Skype, SharePoint Online, 비즈니스용 OneDrive 및 팀 파일의 데이터가 포함 됩니다.This content includes data from Exchange Online, Skype for Business, SharePoint Online, OneDrive for Business, and Teams files. 이 추가 된 암호화 계층을 서비스 암호화 라고 합니다.This added layer of encryption is called service encryption.

서비스 암호화, BitLocker 및 고객 키가 함께 작동 하는 방식How service encryption, BitLocker, and Customer Key work together

서비스 암호화는 rest의 콘텐츠가 응용 프로그램 계층에서 암호화 되도록 합니다.Service encryption ensures that content at rest is encrypted at the application layer. 데이터는 항상 BitLocker 및 DKM를 사용 하는 Microsoft 365 서비스의 나머지 부분에서 암호화 됩니다.Your data is always encrypted at rest in the Microsoft 365 service with BitLocker and DKM. 자세한 내용은 "보안, 개인 정보 및 규정 준수 정보" 및 Exchange Online에서 전자 메일 암호를 보호 하는 방법을참조 하세요.For more information, see the "Security, Privacy, and Compliance Information", and How Exchange Online secures your email secrets. 고객 키는 무단 시스템 또는 담당자의 데이터 보기를 방지 하 고, Microsoft 데이터 센터에서 BitLocker 디스크 암호화를 보완 합니다.Customer Key provides additional protection against viewing of data by unauthorized systems or personnel, and complements BitLocker disk encryption in Microsoft datacenters. 서비스 암호화는 Microsoft 직원이 고객 데이터에 액세스 하지 못하도록 하기 위한 것이 아닙니다.Service encryption is not meant to prevent Microsoft personnel from accessing customer data. 기본 목적은 고객에 게 루트 키 제어를 위한 규정 준수 의무를 지원 하기 위한 것입니다.The primary purpose is to assist customers in meeting regulatory or compliance obligations for controlling root keys. 고객은 해당 암호화 키를 사용 하 여 eDiscovery, 맬웨어 방지, 스팸 방지, 검색 인덱싱 등과 같은 부가 가치 클라우드 서비스를 제공 하도록 O365 서비스에 명시적으로 권한을 부여 합니다.Customers explicitly authorize O365 services to use their encryption keys to provide value added cloud services, such as eDiscovery, anti-malware, anti-spam, search indexing, etc.

고객 키는 서비스 암호화를 기반으로 구축 되며 암호화 키를 제공 하 고 제어할 수 있습니다.Customer Key is built on service encryption and lets you provide and control encryption keys. Microsoft 365에서는 OST (온라인 서비스 약관)에 설명 된 대로 이러한 키를 사용 하 여 휴지 상태의 데이터를 암호화 합니다.Microsoft 365 then uses these keys to encrypt your data at rest as described in the Online Services Terms (OST). 고객 키는 Microsoft 365에서 데이터를 암호화 하 고 암호를 해독 하는 데 사용 하는 암호화 키를 제어 하므로 준수 의무를 달성 하는 데 도움이 됩니다.Customer Key helps you meet compliance obligations because you control the encryption keys that Microsoft 365 uses to encrypt and decrypt data.

고객 키를 사용 하면 클라우드 서비스 공급자와의 키 배치를 지정 하는 규정 준수 요구 사항을 충족 하는 조직의 기능을 향상 시킬 수 있습니다.Customer Key enhances the ability of your organization to meet the demands of compliance requirements that specify key arrangements with the cloud service provider. 고객 키를 사용 하 여 응용 프로그램 수준에서 Microsoft 365 데이터에 대 한 루트 암호화 키를 제공 하 고 제어할 수 있습니다.With Customer Key, you provide and control the root encryption keys for your Microsoft 365 data at-rest at the application level. 따라서 조직의 키를 제어할 수 있습니다.As a result, you exercise control over your organization's keys. 서비스를 종료 하기로 결정 하면 조직의 루트 키에 대 한 액세스 권한을 해지할 수 있습니다.If you decide to exit the service, you revoke access to your organization's root keys. 모든 Microsoft 365 서비스에 대해 키에 대 한 액세스를 취소 하는 것은 데이터 삭제에 대 한 경로의 첫 단계입니다.For all Microsoft 365 services, revoking access to the keys is the first step on the path towards data deletion. 키에 대 한 액세스를 취소 하면 서비스에서 데이터를 읽을 수 없게 됩니다.By revoking access to the keys, the data is unreadable to the service.

고객 키가 Office 365에서 휴지 데이터를 암호화 합니다.Customer Key encrypts data at rest in Office 365

사용자가 제공한 키를 사용 하 여 고객 키가 암호화 됩니다.Using keys you provide, Customer Key encrypts:

  • SharePoint Online, 비즈니스용 OneDrive 및 팀 파일SharePoint Online, OneDrive for Business, and Teams files.
  • 비즈니스용 OneDrive에 업로드 된 파일Files uploaded to OneDrive for Business.
  • 전자 메일 본문 콘텐츠, 일정 항목 및 전자 메일 첨부 파일 내의 콘텐츠를 포함 하는 Exchange Online 사서함 콘텐츠Exchange Online mailbox content including e-mail body content, calendar entries, and the content within email attachments.
  • 비즈니스용 Skype의 텍스트 대화입니다.Text conversations from Skype for Business.

현재는 Skype 모임 브로드캐스트 및 Skype 모임 콘텐츠 업로드에 대 한 암호화 키에 대 한 고객 제어를 제공 하지 않습니다.We don't currently offer customer control of the encryption keys for Skype Meeting Broadcast and Skype Meeting content uploads. 대신이 콘텐츠는 Office 365의 다른 모든 콘텐츠와 함께 암호화 됩니다.Instead, this content is encrypted along with all other content in Office 365.

하이브리드 배포를 포함 하는 고객 키Customer Key with hybrid deployments

고객 키는 클라우드의 휴지 부분에 있는 데이터만 암호화 합니다.Customer Key only encrypts data at rest in the cloud. 고객 키가 온-프레미스 사서함과 파일을 보호 하는 데 작동 하지 않습니다.Customer Key does not work to protect your on-premises mailboxes and files. BitLocker와 같은 다른 방법을 사용 하 여 온-프레미스 데이터를 암호화할 수 있습니다.You can encrypt your on-premises data using another method, such as BitLocker.

DEP (데이터 암호화 정책) 정보About the data encryption policy (DEP)

데이터 암호화 정책은 사용자가 제공한 각 키와 Microsoft에서 보호 하는 가용성 키를 사용 하 여 데이터를 암호화 하는 암호화 계층 구조를 정의 합니다.A data encryption policy defines the encryption hierarchy to encrypt data using each of the keys you provide as well as the availability key protected by Microsoft. 각 서비스 마다 다른 PowerShell cmdlet을 사용 하 여 DEPs를 만들고 응용 프로그램 데이터를 암호화 하도록 해당 DEPs를 할당 합니다.You create DEPs using PowerShell cmdlets, which are different for each service, and assign those DEPs to encrypt application data. 예시:For example:

Exchange Online 및 비즈니스용 Skype 테 넌 트 당 최대 50 DEPs를 만들 수 있습니다.Exchange Online and Skype for Business You can create up to 50 DEPs per tenant. DEPs를 Azure 키 자격 증명 모음의 고객 키에 연결한 다음 개별 사서함에 DEPs를 할당 합니다.You associate DEPs to your Customer Keys in Azure Key Vault and then assign DEPs to individual mailboxes. 사서함에 DEP를 할당 하는 경우 다음을 수행 합니다.When you assign a DEP to a mailbox:

  • 사서함이 사서함 이동으로 표시 되어 있습니다.the mailbox is marked for a mailbox move. 여기에 설명 된 Microsoft 365의 우선 순위에 따라 microsoft 365 서비스의 이동 요청을 소개 합니다.Based on priorities in Microsoft 365 as described here Move requests in the Microsoft 365 service.

  • 사서함이 이동 되는 동안 암호화가 수행 됩니다.The encryption takes place while the mailbox is moved. 사서함에 대 한 72 시간을 새 DEP로 암호화할 수 있도록 허용 합니다.Allow 72 hours for the mailbox to become encrypted with the new DEP. DEP를 지정한 시간부터 72 시간을 기다린 후 사서함이 암호화 되지 않은 경우 Microsoft에 문의 하십시오.If the mailboxes aren't encrypted after waiting 72 hours from the time you assigned the DEP, contact Microsoft.

나중에 DEP를 새로 고치거 나 Office 용 고객 키 관리 365에 설명 된 것 처럼 다른 dep를 사서함에 할당할 수 있습니다.Later, you can either refresh the DEP or assign a different DEP to the mailbox as described in Manage Customer Key for Office 365. DEP를 할당 하려면 각 사서함에 적절 한 라이선스가 있어야 합니다.Each mailbox must have appropriate licenses in order to assign a DEP. 라이선스에 대 한 자세한 내용은 Customer 키를 설정 하기 전에를 참조 하세요.For more information about licensing, see Before you set up Customer Key.

SharePoint Online, 비즈니스용 OneDrive 및 팀 파일 다중 지역 기능을 사용 하는 경우 조직에 대 한 geo 당 최대 하나의 DEP를 만들 수 있습니다.SharePoint Online, OneDrive for Business, and Teams files If you're using the multi-geo feature, you can create up to one DEP per geo for your organization. 각 지역에 대해 서로 다른 고객 키를 사용할 수 있습니다.You can use different Customer Keys for each geo. 다중 지역 기능을 사용 하지 않는 경우에는 테 넌 트 당 하나의 DEP만 만들 수 있습니다.If you're not using the multi-geo feature, you can only create one DEP per tenant. DEP를 할당 하면 암호화가 자동으로 시작 되지만 완료 하는 데 시간이 걸릴 수 있습니다.When you assign the DEP, encryption begins automatically but can take some time to complete. Customer 키 설정에서 세부 정보를 참조 하세요.Refer to the details in Set up Customer Key.

서비스 종료Leaving the service

고객 키는 Microsoft 365 서비스를 떠날 때 키를 해지할 수 있도록 하 여 준수 의무를 지 원하는 데 도움을 줍니다.Customer Key assists you in meeting compliance obligations by allowing you to revoke your keys when you leave the Microsoft 365 service. 서비스를 종료 하는 과정에서 키를 해지 하면 가용성 키가 삭제 되어 데이터의 암호화가 삭제 됩니다.When you revoke your keys as part of leaving the service, the availability key is deleted resulting in cryptographic deletion of your data. 암호화 삭제는 보안 및 준수 의무를 충족 하는 데 중요 한 데이터를 다시 작성 하는 위험을 완화 합니다.Cryptographic deletion mitigates the risk of data remanence which is important for meeting both security and compliance obligations. 데이터 제거 프로세스 및 키 해지에 대 한 자세한 내용은 키 해지 및 데이터 제거 경로 프로세스 시작을 참조 하십시오.For information about the data purge process and key revocation, see Revoke your keys and start the data purge path process.

고객 키에 사용 되는 암호화 암호Encryption ciphers used by Customer Key

고객 키는 다양 한 암호화 암호를 사용 하 여 다음 그림에 표시 된 대로 키를 암호화 합니다.Customer Key uses a variety of encryption ciphers to encrypt keys as shown in the following figures.

Exchange Online 및 비즈니스용 Skype에 대 한 키를 암호화 하는 데 사용 되는 암호화 암호Encryption ciphers used to encrypt keys for Exchange Online and Skype for Business

Exchange Online 고객 키에 대 한 암호화 암호

SharePoint Online, 비즈니스용 OneDrive 및 팀 파일에 대 한 키를 암호화 하는 데 사용 되는 암호화 암호Encryption ciphers used to encrypt keys for SharePoint Online, OneDrive for Business, and Teams files

SharePoint Online 고객 키에 대 한 암호화 암호