Criptografia do serviço com a Chave de ClienteService encryption with Customer Key

Microsoft 365 fornece criptografia de nível de volume e linha de base habilitada por meio do BitLocker e do Distributed Key Manager (DKM).Microsoft 365 provides baseline, volume-level encryption enabled through BitLocker and Distributed Key Manager (DKM). Microsoft 365 oferece uma camada adicional de criptografia para seu conteúdo.Microsoft 365 offers an added layer of encryption for your content. Esse conteúdo inclui dados de Exchange Online, Skype for Business, SharePoint Online, OneDrive for Business e Microsoft Teams.This content includes data from Exchange Online, Skype for Business, SharePoint Online, OneDrive for Business, and Microsoft Teams.

Como a criptografia de serviço, BitLocker e a Chave do Cliente funcionam em conjuntoHow service encryption, BitLocker, and Customer Key work together

Seus dados são sempre criptografados em repouso no serviço Microsoft 365 com BitLocker e DKM.Your data is always encrypted at rest in the Microsoft 365 service with BitLocker and DKM. Para obter mais informações, consulte How Exchange Online secures your email secrets.For more information, see How Exchange Online secures your email secrets. A Chave do Cliente fornece proteção extra contra a visualização de dados por sistemas ou funcionários não autorizados e complementa BitLocker criptografia de disco nos data centers da Microsoft.Customer Key provides extra protection against viewing of data by unauthorized systems or personnel, and complements BitLocker disk encryption in Microsoft data centers. A criptografia de serviço não é destinada a impedir que a equipe da Microsoft acesse seus dados.Service encryption is not meant to prevent Microsoft personnel from accessing your data. Em vez disso, a Chave do Cliente ajuda você a cumprir obrigações regulatórias ou de conformidade para controlar chaves raiz.Instead, Customer Key helps you meet regulatory or compliance obligations for controlling root keys. Você autoriza explicitamente Microsoft 365 serviços de criptografia a usar suas chaves de criptografia para fornecer serviços de nuvem de valor adicionado, como Descoberta eDiscovery, anti-malware, anti-spam, indexação de pesquisa e assim por diante.You explicitly authorize Microsoft 365 services to use your encryption keys to provide value added cloud services, such as eDiscovery, anti-malware, anti-spam, search indexing, and so on.

A Chave do Cliente é criada com base na criptografia de serviço e permite que você forneça e controle as chaves de criptografia.Customer Key is built on service encryption and lets you provide and control encryption keys. Microsoft 365 então usa essas chaves para criptografar seus dados em repouso, conforme descrito nos Termos de Serviços Online (OST).Microsoft 365 then uses these keys to encrypt your data at rest as described in the Online Services Terms (OST). A Chave do Cliente ajuda você a cumprir as obrigações de conformidade porque você controla as chaves de criptografia que Microsoft 365 usa para criptografar e descriptografar dados.Customer Key helps you meet compliance obligations because you control the encryption keys that Microsoft 365 uses to encrypt and decrypt data.

A Chave do Cliente aprimora a capacidade da sua organização de atender às demandas de requisitos de conformidade que especificam as principais configurações com o provedor de serviços de nuvem.Customer Key enhances the ability of your organization to meet the demands of compliance requirements that specify key arrangements with the cloud service provider. Com a Chave do Cliente, você fornece e controla as chaves de criptografia raiz para seus Microsoft 365 dados em repouso no nível do aplicativo.With Customer Key, you provide and control the root encryption keys for your Microsoft 365 data at-rest at the application level. Como resultado, você exerce o controle sobre as chaves da sua organização.As a result, you exercise control over your organization's keys.

Chave do Cliente com implantações híbridasCustomer Key with hybrid deployments

A Chave do Cliente criptografa apenas dados em repouso na nuvem.Customer Key only encrypts data at rest in the cloud. A Chave do Cliente não funciona para proteger suas caixas de correio e arquivos locais.Customer Key does not work to protect your on-premises mailboxes and files. Você pode criptografar seus dados locais usando outro método, como BitLocker.You can encrypt your on-premises data using another method, such as BitLocker.

Sobre políticas de criptografia de dadosAbout data encryption policies

Uma política de criptografia de dados (DEP) define a hierarquia de criptografia.A data encryption policy (DEP) defines the encryption hierarchy. Essa hierarquia é usada pelo serviço para criptografar dados usando cada uma das chaves gerenciadas e a chave de disponibilidade protegida pela Microsoft.This hierarchy is used by the service to encrypt data using each of the keys you manage and the availability key that's protected by Microsoft. Crie DEPs usando cmdlets do PowerShell e atribua esses DEPs para criptografar dados do aplicativo.You create DEPs using PowerShell cmdlets, and then assign those DEPs to encrypt application data. Há três tipos de DEPs com suporte Microsoft 365 Chave do Cliente, cada tipo de política usa cmdlets diferentes e fornece cobertura para um tipo diferente de dados.There are three types of DEPs supported by Microsoft 365 Customer Key, each policy type uses different cmdlets and provides coverage for a different type of data. Os DEPs que você pode definir incluem:The DEPs you can define include:

DEP para várias cargas de Microsoft 365 de trabalho Esses DEPs criptografam dados em várias cargas de trabalho M365 para todos os usuários dentro do locatário.DEP for multiple Microsoft 365 workloads These DEPs encrypt data across multiple M365 workloads for all users within the tenant. Essas cargas de trabalho incluem:These workloads include:

  • Teams de chat (chats 1:1, chats de grupo, chats de reunião e conversas de canal)Teams chat messages (1:1 chats, group chats, meeting chats and channel conversations)

  • Teams de mídia (imagens, trechos de código, mensagens de vídeo, mensagens de áudio, imagens wiki)Teams media messages (images, code snippets, video messages, audio messages, wiki images)

  • Teams de chamada e reuniões armazenadas no Teams armazenamentoTeams call and meeting recordings stored in Teams storage

  • Teams de chatTeams chat notifications

  • Teams sugestões de chat da CortanaTeams chat suggestions by Cortana

  • Teams de statusTeams status messages

  • Informações de usuário e sinal para Exchange OnlineUser and signal information for Exchange Online

  • Exchange Online caixas de correio que ainda não estão criptografadas por DEPs de caixa de correioExchange Online mailboxes that aren't already encrypted by mailbox DEPs

  • Proteção de Informações da Microsoft:Microsoft Information Protection:

    • Dados exatos de EDM (data match), incluindo esquemas de arquivo de dados, pacotes de regras e os sais usados para hash dos dados confidenciais.Exact data match (EDM) data, including data file schemas, rule packages, and the salts used to hash the sensitive data. Para EDM e Microsoft Teams, o DEP de várias cargas de trabalho criptografa novos dados a partir do momento em que você atribui o DEP ao locatário.For EDM and Microsoft Teams, the multi-workload DEP encrypts new data from the time you assign the DEP to the tenant. Para Exchange Online, a Chave do Cliente criptografa todos os dados existentes e novos.For Exchange Online, Customer Key encrypts all existing and new data.

    • Configuração de rótulo para rótulos de sensibilidadeLabel configuration for sensitivity labels

Os DEPs de várias cargas de trabalho não criptografam os seguintes tipos de dados.Multi-workload DEPs don't encrypt the following types of data. Em vez disso, Microsoft 365 usa outros tipos de criptografia para proteger esses dados.Instead, Microsoft 365 uses other types of encryption to protect this data.

  • SharePoint e OneDrive for Business dados.SharePoint and OneDrive for Business data.
  • Microsoft Teams arquivos e algumas Teams de chamada e reuniões salvas no OneDrive for Business e SharePoint Online são criptografados usando o DEP SharePoint Online.Microsoft Teams files and some Teams call and meeting recordings saved in OneDrive for Business and SharePoint Online are encrypted using the SharePoint Online DEP.
  • Outras Microsoft 365 cargas de trabalho, como Yammer e Planner que não são suportadas atualmente pela Chave do Cliente.Other Microsoft 365 workloads such as Yammer and Planner that aren't currently supported by Customer Key.
  • Teams Eventos ao vivo e&A em eventos ao vivo.Teams Live Events and Q&A in Live Events. Para Teams, esse cenário é o único que não é criptografado pela Chave do Cliente usando DEP de várias cargas de trabalho.For Teams, this scenario is the only one that isn't encrypted by Customer Key using multi-workload DEP.

Você pode criar vários DEPs por locatário, mas atribuir apenas um DEP por vez.You can create multiple DEPs per tenant but only assign one DEP at a time. Quando você atribui o DEP, a criptografia começa automaticamente, mas leva algum tempo para ser concluída, dependendo do tamanho do locatário.When you assign the DEP, encryption begins automatically but takes some time to complete depending on the size of your tenant.

DEPs para Exchange Online caixas de correio Os DEPs de Caixa de Correio fornecem um controle mais preciso sobre caixas de correio individuais dentro Exchange Online.DEPs for Exchange Online mailboxes Mailbox DEPs provide more precise control over individual mailboxes within Exchange Online. Use DEPs de caixa de correio para criptografar dados armazenados em caixas de correio EXO de diferentes tipos, como UserMailbox, MailUser, Group, PublicFolder e Shared mailboxes.Use mailbox DEPs to encrypt data stored in EXO mailboxes of different types such as UserMailbox, MailUser, Group, PublicFolder, and Shared mailboxes. Você pode ter até 50 DEPs ativos por locatário e atribuir esses DEPs a caixas de correio individuais.You can have up to 50 active DEPs per tenant and assign those DEPs to individual mailboxes. Você pode atribuir um DEP a várias caixas de correio.You can assign one DEP to multiple mailboxes.

Por padrão, suas caixas de correio são criptografadas usando chaves gerenciadas pela Microsoft.By default your mailboxes get encrypted using Microsoft-managed keys. Ao atribuir um DEP de Chave de Cliente a uma caixa de correio:When you assign a Customer Key DEP to a mailbox:

  • Se a caixa de correio for criptografada usando uma DEP de várias cargas de trabalho, o serviço reegrava a caixa de correio usando a nova DEP de caixa de correio, desde que um usuário ou uma operação do sistema acesse os dados da caixa de correio.If the mailbox is encrypted using a multi-workload DEP, the service rewraps the mailbox using the new mailbox DEP as long as a user or a system operation accesses the mailbox data.

  • Se a caixa de correio já estiver criptografada usando chaves gerenciadas pela Microsoft, o serviço redeselha a caixa de correio usando a nova DEP de caixa de correio, desde que um usuário ou uma operação do sistema acesse os dados da caixa de correio.If the mailbox is already encrypted using Microsoft-managed keys, the service rewraps the mailbox using the new mailbox DEP as long as a user or a system operation accesses the mailbox data.

  • Se a caixa de correio ainda não estiver criptografada usando criptografia padrão, o serviço marcará a caixa de correio para uma movimentação.If the mailbox is not yet encrypted using default encryption, then the service marks the mailbox for a move. A criptografia ocorre depois que a movimentação é concluída.The encryption takes place once the move is complete. As movimentações de caixa de correio são governadas com base nas prioridades definidas para todas as Microsoft 365.Mailbox moves are governed based on priorities set for all of Microsoft 365. Para obter mais informações, consulte Move requests in the Microsoft 365 service.For more information, see, Move requests in the Microsoft 365 service. Se as caixas de correio não são criptografadas dentro do tempo especificado, contate a Microsoft.If the mailboxes aren't encrypted within the specified time, contact Microsoft.

Mais tarde, você pode atualizar o DEP ou atribuir um DEP diferente à caixa de correio conforme descrito em Gerenciar Chavedo Cliente para Office 365 .Later, you can either refresh the DEP or assign a different DEP to the mailbox as described in Manage Customer Key for Office 365. Cada caixa de correio deve ter licenças apropriadas para receber uma DEP.Each mailbox must have appropriate licenses to be assigned a DEP. Para obter mais informações sobre licenciamento, consulte Before you set up Customer Key.For more information about licensing, see Before you set up Customer Key.

Os DEPs podem ser atribuídos a uma caixa de correio compartilhada, caixa de correio de pasta pública e Microsoft 365 de grupo para locatários que atendem ao requisito de licenciamento para caixas de correio de usuário.DEPs can be assigned to a shared mailbox, public folder mailbox, and Microsoft 365 group mailbox for tenants that meet the licensing requirement for user mailboxes. Você não precisa de licenças separadas para caixas de correio não específicas do usuário para atribuir o DEP de Chave do Cliente.You don't need separate licenses for non-user-specific mailboxes to assign Customer Key DEP.

Para DEPs de Chave de Cliente que você atribui a caixas de correio individuais, você pode solicitar que a Microsoft limpe DEPs específicos ao sair do serviço.For Customer Key DEPs that you assign to individual mailboxes, you can request that Microsoft purge specific DEPs when you leave the service. Para obter informações sobre o processo de limpeza de dados e revogação de chave, consulte Revogarsuas chaves e iniciar o processo de caminho de limpeza de dados .For information about the data purge process and key revocation, see Revoke your keys and start the data purge path process.

Quando você revoga o acesso às chaves como parte da saída do serviço, a chave de disponibilidade é excluída, resultando na exclusão criptográfica de seus dados.When you revoke access to your keys as part of leaving the service, the availability key is deleted, resulting in cryptographic deletion of your data. A exclusão criptográfica reduz o risco de remanência de dados, o que é importante para atender às obrigações de segurança e conformidade.Cryptographic deletion mitigates the risk of data remanence, which is important for meeting both security and compliance obligations.

DEP para SharePoint Online e OneDrive for Business Essa DEP é usada para criptografar o conteúdo armazenado no SPO e OneDrive for Business, incluindo Microsoft Teams arquivos armazenados no SPO.DEP for SharePoint Online and OneDrive for Business This DEP is used to encrypt content stored in SPO and OneDrive for Business, including Microsoft Teams files stored in SPO. Se você estiver usando o recurso multi-geo, poderá criar um DEP por geo para sua organização.If you're using the multi-geo feature, you can create one DEP per geo for your organization. Se você não estiver usando o recurso multi-geo, poderá criar apenas um DEP por locatário.If you're not using the multi-geo feature, you can only create one DEP per tenant. Consulte os detalhes em Set up Customer Key.Refer to the details in Set up Customer Key.

Codificações de criptografia usadas pela Chave do ClienteEncryption ciphers used by Customer Key

A Chave do Cliente usa várias codificações de criptografia para criptografar chaves, conforme mostrado nas figuras a seguir.Customer Key uses various encryption ciphers to encrypt keys as shown in the following figures.

A hierarquia de chaves usada para DEPs que criptografam dados para várias Microsoft 365 cargas de trabalho é semelhante à hierarquia usada para DEPs para caixas de correio Exchange Online individuais.The key hierarchy used for DEPs that encrypt data for multiple Microsoft 365 workloads is similar to the hierarchy used for DEPs for individual Exchange Online mailboxes. A única diferença é que a Chave de Caixa de Correio é substituída pela chave de carga Microsoft 365 carga de trabalho correspondente.The only difference is that the Mailbox Key is replaced with the corresponding Microsoft 365 Workload Key.

Codificações de criptografia usadas para criptografar chaves para Exchange Online e Skype for BusinessEncryption ciphers used to encrypt keys for Exchange Online and Skype for Business

Codificações de criptografia para Exchange Online Chave do Cliente

Codificações de criptografia usadas para criptografar chaves para SharePoint online, OneDrive for Business e Teams arquivosEncryption ciphers used to encrypt keys for SharePoint Online, OneDrive for Business, and Teams files

Codificações de criptografia para SharePoint Chave do Cliente Online