Criptografia de serviços com a Chave de Cliente do Microsoft Purview
O Microsoft 365 fornece criptografia de nível de volume e linha de base habilitada por meio do BitLocker e do DKM (Gerenciador de Chaves Distribuídas). O Microsoft 365 oferece uma camada adicional de criptografia para seu conteúdo. Esse conteúdo inclui dados de Exchange Online, Skype for Business, SharePoint Online, OneDrive for Business e Microsoft Teams.
Como a criptografia de serviço, o BitLocker e a Chave do Cliente funcionam juntos
Seus dados são sempre criptografados em repouso no serviço microsoft 365 com BitLocker e DKM. Para obter mais informações, consulte Como Exchange Online seus segredos de email. A Chave do Cliente fornece proteção extra contra a exibição de dados por sistemas ou funcionários não autorizados e complementa a criptografia de disco BitLocker em data centers da Microsoft. A criptografia de serviço não se destina a impedir que a equipe da Microsoft acesse seus dados. Em vez disso, a Chave do Cliente ajuda você a atender às obrigações regulatórias ou de conformidade para controlar as chaves raiz. Você autoriza explicitamente os serviços do Microsoft 365 a usar suas chaves de criptografia para fornecer serviços de nuvem de valor agregado, como Descoberta Eletrônica, antimalware, antispam, indexação de pesquisa e assim por diante.
A Chave do Cliente é criada com base na criptografia de serviço e permite fornecer e controlar chaves de criptografia. Em seguida, o Microsoft 365 usa essas chaves para criptografar seus dados em repouso, conforme descrito nos Termos de Serviços Online (OST). A Chave do Cliente ajuda você a atender às obrigações de conformidade porque você controla as chaves de criptografia que o Microsoft 365 usa para criptografar e descriptografar dados.
A Chave do Cliente aprimora a capacidade da sua organização de atender às demandas de requisitos de conformidade que especificam as principais disposições com o provedor de serviços de nuvem. Com a Chave do Cliente, você fornece e controla as chaves de criptografia raiz para seus dados em repouso do Microsoft 365 no nível do aplicativo. Como resultado, você exerce o controle sobre as chaves da sua organização.
Chave do cliente com implantações híbridas
A Chave do Cliente criptografa apenas os dados em repouso na nuvem. A Chave do Cliente não funciona para proteger suas caixas de correio e arquivos locais. Você pode criptografar seus dados locais usando outro método, como o BitLocker.
Sobre políticas de criptografia de dados
Uma DEP (política de criptografia de dados) define a hierarquia de criptografia. Essa hierarquia é usada pelo serviço para criptografar dados usando cada uma das chaves gerenciadas e a chave de disponibilidade protegida pela Microsoft. Você cria DEPs usando cmdlets do PowerShell e, em seguida, atribui esses DEPs para criptografar dados do aplicativo. Há três tipos de DEPs com suporte pela Chave do Cliente, cada tipo de política usa cmdlets diferentes e fornece cobertura para um tipo diferente de dados. Os DEPs que você pode definir incluem:
DEP para várias cargas de trabalho do Microsoft 365 Esses DEPs criptografam dados em várias cargas de trabalho do M365 para todos os usuários dentro do locatário. Essas cargas de trabalho incluem:
Mensagens de chat do Teams (chats 1:1, chats em grupo, chats de reunião e conversas de canal)
Mensagens de mídia do Teams (imagens, snippets de código, mensagens de vídeo, mensagens de áudio, imagens wiki)
Gravações de chamadas e reuniões do Teams armazenadas no armazenamento do Teams
Notificações de chat do Teams
Sugestões de chat do Teams da Cortana
Mensagens de status do Teams
Informações de usuário e sinal para Exchange Online
Exchange Online caixas de correio que ainda não estão criptografadas por DEPs de caixa de correio
Proteção de Informações do Microsoft Purview:
Dados exatos de correspondência de dados (EDM), incluindo esquemas de arquivo de dados, pacotes de regras e os sais usados para fazer hash dos dados confidenciais. Para o EDM e o Microsoft Teams, o DEP de várias cargas de trabalho criptografa novos dados a partir do momento em que você atribui o DEP ao locatário. Por Exchange Online, a Chave do Cliente criptografa todos os dados novos e existentes.
Configuração de rótulo para rótulos de confidencialidade
Os DEPs de várias cargas de trabalho não criptografam os tipos de dados a seguir. Em vez disso, o Microsoft 365 usa outros tipos de criptografia para proteger esses dados.
- SharePoint e OneDrive for Business dados.
- Os arquivos do Microsoft Teams e algumas gravações de chamadas e reuniões do Teams salvas no OneDrive for Business e no SharePoint Online são criptografados usando o DEP do SharePoint Online.
- Outras cargas de trabalho do Microsoft 365, como o Yammer e o Planner, que atualmente não têm suporte da Chave do Cliente.
- Dados do Evento ao Vivo do Teams.
Você pode criar vários DEPs por locatário, mas atribuir apenas um DEP por vez. Quando você atribui o DEP, a criptografia começa automaticamente, mas leva algum tempo para ser concluída, dependendo do tamanho do locatário.
DePs para depuração Exchange Online caixas de correio de caixa de correio fornecem controle mais preciso sobre caixas de correio individuais dentro Exchange Online. Use DEPs de caixa de correio para criptografar dados armazenados em caixas de correio EXO de diferentes tipos, como UserMailbox, MailUser, Group, PublicFolder e Caixas de correio compartilhadas. Você pode ter até 50 DEPs ativos por locatário e atribuir esses DEPs a caixas de correio individuais. Você pode atribuir um DEP a várias caixas de correio.
Por padrão, suas caixas de correio são criptografadas usando chaves gerenciadas pela Microsoft. Quando você atribui um DEP de Chave de Cliente a uma caixa de correio:
Se a caixa de correio for criptografada usando um DEP de várias cargas de trabalho, o serviço reescreva a caixa de correio usando o novo DEP de caixa de correio, desde que um usuário ou uma operação do sistema acesse os dados da caixa de correio.
Se a caixa de correio já estiver criptografada usando chaves gerenciadas pela Microsoft, o serviço reescreva a caixa de correio usando o novo DEP de caixa de correio, desde que um usuário ou uma operação do sistema acesse os dados da caixa de correio.
Se a caixa de correio ainda não estiver criptografada usando criptografia padrão, o serviço marcará a caixa de correio para uma movimentação. A criptografia ocorre quando a movimentação é concluída. As movimentações de caixa de correio são governadas com base nas prioridades definidas para todo o Microsoft 365. Para obter mais informações, consulte Mover solicitações no serviço microsoft 365. Se as caixas de correio não estiverem criptografadas dentro do tempo especificado, entre em contato com a Microsoft.
Posteriormente, você pode atualizar o DEP ou atribuir um DEP diferente à caixa de correio, conforme descrito em Gerenciar Chave do Cliente para Office 365. Cada caixa de correio deve ter licenças apropriadas para receber um DEP. Para obter mais informações sobre licenciamento, consulte Antes de configurar a Chave do Cliente.
DePs podem ser atribuídos a uma caixa de correio compartilhada, caixa de correio de pasta pública e caixa de correio de grupo do Microsoft 365 para locatários que atendem ao requisito de licenciamento para caixas de correio de usuário. Você não precisa de licenças separadas para caixas de correio não específicas do usuário para atribuir o DEP de Chave do Cliente.
Para DEPs de Chave de Cliente que você atribui a caixas de correio individuais, você pode solicitar que a Microsoft limpe DEPs específicos ao sair do serviço. Para obter informações sobre o processo de limpeza de dados e a revogação de chave, consulte Revogar suas chaves e iniciar o processo de caminho de limpeza de dados.
Quando você revoga o acesso às suas chaves como parte da saída do serviço, a chave de disponibilidade é excluída, resultando na exclusão criptográfica de seus dados. A exclusão criptográfica reduz o risco de remanência de dados, o que é importante para atender às obrigações de segurança e conformidade.
DEP para SharePoint Online e OneDrive for Business Esse DEP é usado para criptografar o conteúdo armazenado no SPO e no OneDrive for Business, incluindo arquivos do Microsoft Teams armazenados no SPO. Se você estiver usando o recurso multigeográfico, poderá criar um DEP por área geográfica para sua organização. Se você não estiver usando o recurso multigeográfico, só poderá criar um DEP por locatário. Consulte os detalhes em Configurar a Chave do Cliente.
Criptografia de criptografia usada pela Chave do Cliente
A Chave do Cliente usa várias criptografias para criptografar chaves, conforme mostrado nas figuras a seguir.
A hierarquia de chaves usada para DEPs que criptografam dados para várias cargas de trabalho do Microsoft 365 é semelhante à hierarquia usada para DEPs para caixas de correio Exchange Online individuais. A única diferença é que a Chave de Caixa de Correio é substituída pela Chave de Carga de Trabalho do Microsoft 365 correspondente.
Criptografia de criptografia usada para criptografar chaves para Exchange Online e Skype for Business
Criptografia criptografada usada para criptografar chaves para o SharePoint Online, OneDrive for Business e arquivos do Teams
