Visão geral da criptografia de serviço com a Chave de Cliente do Microsoft Purview

O Microsoft 365 fornece criptografia de linha de base e nível de volume habilitada por meio do BitLocker e do DKM (Distributed Key Manager). Windows 365 Enterprise e os discos de PC do Business Cloud são criptografados com a SSE (criptografia do lado do servidor do Armazenamento do Azure). O Microsoft 365 oferece uma camada adicional de criptografia para seu conteúdo por meio da Chave do Cliente. Esse conteúdo inclui dados de Exchange Online, Microsoft SharePoint, Microsoft OneDrive, Microsoft Teams e Windows 365 Cloud PCs.

Não há suporte para o BitLocker como uma opção de criptografia para Windows 365 Cloud PCs. Para obter mais informações, consulte Usando Windows 10 máquinas virtuais no Intune.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Windows 365 suporte para a Chave de Cliente do Microsoft Purview está em versão prévia pública e está sujeita a alterações.

Como a criptografia de serviço, o BitLocker, o SSE e a Chave do Cliente funcionam juntos

Seus dados do Microsoft 365 são sempre criptografados em repouso no serviço Microsoft 365 com BitLocker e DKM. Para obter mais informações, consulte Como Exchange Online protege seus segredos de email. A Chave do Cliente fornece proteção extra contra a exibição de dados por sistemas ou pessoal não autorizados e complementa a criptografia de disco BitLocker e a SSE nos data centers da Microsoft. A criptografia de serviço não se destina a impedir que o pessoal da Microsoft acesse seus dados. Em vez disso, a Chave do Cliente ajuda você a cumprir obrigações regulatórias ou de conformidade para controlar chaves raiz. Você autoriza explicitamente os serviços do Microsoft 365 a usar suas chaves de criptografia para fornecer serviços de nuvem de valor adicionado, como descoberta eletrônica, anti-malware, anti-spam, indexação de pesquisa e assim por diante.

A Chave do Cliente é baseada na criptografia de serviço e permite que você forneça e controle chaves de criptografia. Em seguida, o Microsoft 365 usa essas chaves para criptografar seus dados em repouso, conforme descrito nos Termos de Serviços Online (OST). A Chave do Cliente ajuda você a cumprir as obrigações de conformidade porque controla as chaves de criptografia que o Microsoft 365 usa para criptografar e descriptografar dados.

A Chave do Cliente aprimora a capacidade da sua organização de atender às demandas de requisitos de conformidade que especificam os principais arranjos com o provedor de serviços de nuvem. Com a Chave do Cliente, você fornece e controla as chaves de criptografia raiz para seus dados do Microsoft 365 em repouso no nível do aplicativo. Como resultado, você exerce o controle sobre as chaves da sua organização.

Customer Key com implantações híbridas

A Chave do Cliente criptografa apenas dados em repouso na nuvem. A Chave do Cliente não funciona para proteger suas caixas de correio e arquivos locais. Você pode criptografar seus dados locais usando outro método, como o BitLocker.

Sobre políticas de criptografia de dados

Uma DEP (política de criptografia de dados) define a hierarquia de criptografia. Essa hierarquia é usada pelo serviço para criptografar dados usando cada uma das chaves que você gerencia e a chave de disponibilidade protegida pela Microsoft. Crie DEPs usando cmdlets do PowerShell e, em seguida, atribua esses DEPs para criptografar dados do aplicativo. Há três tipos de DEPs compatíveis com a Chave do Cliente, cada tipo de política usa cmdlets diferentes e fornece cobertura para um tipo diferente de dados. Os DEPs que você pode definir incluem:

DEP para várias cargas de trabalho do Microsoft 365 Esses DEPs criptografam dados em várias cargas de trabalho do Microsoft 365 para todos os usuários dentro do locatário. Essas cargas de trabalho incluem:

• PCs de nuvem Windows 365

• Mensagens de chat do Teams (chats 1:1, chats em grupo, chats de reunião e conversas de canal)

• Mensagens de mídia do Teams (imagens, snippets de código, mensagens de vídeo, mensagens de áudio, imagens wiki)

• Gravações de chamada e reunião do Teams armazenadas no armazenamento do Teams

• Notificações de chat do Teams

• Sugestões de chat do Teams pela Cortana

• Mensagens de status do Teams

• Interações do Microsoft 365

• Informações de usuário e sinal para Exchange Online

• Exchange Online caixas de correio que ainda não estão criptografadas por DEPs de caixa de correio

• Proteção de Informações do Microsoft Purview:

  • Dados exatos de correspondência de dados (EDM), incluindo esquemas de arquivo de dados, pacotes de regras e os sais usados para hash os dados confidenciais. Para o EDM e o Microsoft Teams, o DEP de várias cargas de trabalho criptografa novos dados do momento em que você atribui o DEP ao locatário. Para Exchange Online, a Chave do Cliente criptografa todos os dados existentes e novos.

  • Configuração de rótulo para rótulos de confidencialidade

Os DEPs de várias cargas de trabalho não criptografam os seguintes tipos de dados. Em vez disso, o Microsoft 365 usa outros tipos de criptografia para proteger esses dados.

• Dados do SharePoint e do OneDrive.
• Os arquivos do Microsoft Teams e algumas gravações de chamadas e reuniões do Teams salvas no OneDrive e no SharePoint são criptografados usando o DEP do SharePoint.
• Outras cargas de trabalho do Microsoft 365 que não têm suporte atualmente pela Customer Key, como Viva Engage e Planner.
• Dados de eventos ao vivo do Teams.

Você pode criar vários DEPs por locatário, mas atribuir apenas um DEP por vez. Quando você atribui o DEP, a criptografia começa automaticamente, mas leva algum tempo para ser concluída dependendo do tamanho do locatário.

DEPs para caixas de correio Exchange Online DEPs da caixa de correio fornecem controle mais preciso sobre caixas de correio individuais em Exchange Online. Use DEPs de caixa de correio para criptografar dados armazenados em caixas de correio EXO de diferentes tipos, como UserMailbox, MailUser, Group, PublicFolder e Caixas de correio compartilhadas. Você pode ter até 50 DEPs ativos por locatário e atribuir esses DEPs a caixas de correio individuais. Você pode atribuir um DEP a várias caixas de correio.

Por padrão, suas caixas de correio são criptografadas usando chaves gerenciadas pela Microsoft. Ao atribuir um DEP da Chave do Cliente a uma caixa de correio:

• Se a caixa de correio for criptografada usando um DEP de várias cargas de trabalho, o serviço reembrulha a caixa de correio usando a nova caixa de correio DEP desde que um usuário ou uma operação do sistema acesse os dados da caixa de correio.

• Se a caixa de correio já estiver criptografada usando chaves gerenciadas pela Microsoft, o serviço reembrulha a caixa de correio usando a nova caixa de correio DEP desde que um usuário ou uma operação do sistema acesse os dados da caixa de correio.

• Se a caixa de correio ainda não estiver criptografada usando criptografia padrão, o serviço marcará a caixa de correio para uma movimentação. A criptografia ocorre depois que a movimentação é concluída. Os movimentos da caixa de correio são regidos com base em prioridades definidas para todo o Microsoft 365. Para obter mais informações, confira Mover solicitações no serviço microsoft 365. Se as caixas de correio não forem criptografadas dentro do tempo especificado, entre em contato com a Microsoft.

Posteriormente, você pode atualizar o DEP ou atribuir um DEP diferente à caixa de correio, conforme descrito em Gerenciar Chave do Cliente para Office 365. Cada caixa de correio deve ter licenças apropriadas para receber um DEP. Para obter mais informações sobre licenciamento, consulte Antes de configurar a Chave do Cliente.

Você pode atribuir DEPs a uma caixa de correio compartilhada, caixa de correio de pasta pública e caixa de correio de grupo do Microsoft 365 para locatários que atendem ao requisito de licenciamento para caixas de correio de usuário. Você não precisa de licenças separadas para caixas de correio não específicas do usuário para atribuir DEP da Chave do Cliente.

Para DEPs da Chave do Cliente que você atribui a caixas de correio individuais, você pode solicitar que a Microsoft expurgue DEPs específicos quando você deixar o serviço. Para obter informações sobre o processo de limpeza de dados e a revogação de chave, consulte Revogar suas chaves e iniciar o processo de caminho de limpeza de dados.

Quando você revoga o acesso às chaves como parte da saída do serviço, a chave de disponibilidade é excluída, resultando na exclusão criptográfica de seus dados. A exclusão criptográfica atenua o risco de remanência de dados, o que é importante para atender às obrigações de segurança e conformidade.

DEP para SharePoint e OneDrive Esse DEP é usado para criptografar o conteúdo armazenado no SPO e no OneDrive, incluindo arquivos do Microsoft Teams armazenados no SPO. Se você estiver usando o recurso multi-geográfico, poderá criar um DEP por geográfico para sua organização. Se você não estiver usando o recurso multi-geográfico, só poderá criar um DEP por locatário. Consulte os detalhes em Configurar a Chave do Cliente.

Criptografia de criptografia usada pela Chave do Cliente

A Chave do Cliente usa várias criptografias para criptografar chaves, conforme mostrado nos números a seguir.

A hierarquia de chave usada para DEPs que criptografam dados para várias cargas de trabalho do Microsoft 365 é semelhante à hierarquia usada para DEPs para caixas de correio Exchange Online individuais. A única diferença é que a Chave da Caixa de Correio é substituída pela chave de carga de trabalho correspondente do Microsoft 365.

Criptografia de criptografia usada para criptografar chaves para Exchange Online

Criptografia de criptografia usada para criptografar chaves para arquivos do SharePoint, OneDrive e Teams

Artigos relacionados

• Configurar Chave de Cliente

• Gerenciar Chave de Cliente

• Rolar ou girar uma Chave de Cliente ou uma chave de disponibilidade

• Saiba mais sobre a chave de disponibilidade

• Sistema de Proteção de Dados do Cliente

• Criptografia de serviço e gerenciamento de chaves