Criptografia de serviço com a chave do clienteService encryption with Customer Key

O Microsoft 365 fornece a linha de base e a criptografia no nível do volume habilitadas por meio do BitLocker e do DKM (Distributed Key Manager).Microsoft 365 provides baseline, volume-level encryption enabled through BitLocker and Distributed Key Manager (DKM). O Microsoft 365 oferece uma camada adicional de criptografia no nível do aplicativo para seu conteúdo.Microsoft 365 offers an added layer of encryption at the application level for your content. Este conteúdo inclui dados do Exchange Online, Skype for Business, SharePoint Online, OneDrive for Business e arquivos do teams.This content includes data from Exchange Online, Skype for Business, SharePoint Online, OneDrive for Business, and Teams files. Essa camada adicional de criptografia é chamada de criptografia de serviço.This added layer of encryption is called service encryption.

Como a criptografia de serviço, BitLocker e chave do cliente trabalham em conjuntoHow service encryption, BitLocker, and Customer Key work together

A criptografia de serviço garante que o conteúdo em repouso seja criptografado na camada do aplicativo.Service encryption ensures that content at rest is encrypted at the application layer. Seus dados são sempre criptografados em repouso no serviço do Microsoft 365 com o BitLocker e o DKM.Your data is always encrypted at rest in the Microsoft 365 service with BitLocker and DKM. Para obter mais informações, consulte as informações sobre segurança, privacidade e conformidade e como o Exchange Online protege seus segredos de email.For more information, see the "Security, Privacy, and Compliance Information", and How Exchange Online secures your email secrets. A chave do cliente oferece proteção adicional contra a exibição de dados por sistemas não autorizados ou pessoal e complementa a criptografia de disco BitLocker nos datacenters da Microsoft.Customer Key provides additional protection against viewing of data by unauthorized systems or personnel, and complements BitLocker disk encryption in Microsoft datacenters. A criptografia de serviço não é destinada a impedir que os funcionários da Microsoft acessem dados do cliente.Service encryption is not meant to prevent Microsoft personnel from accessing customer data. O principal objetivo é ajudar os clientes a cumprir as obrigações normativas ou de conformidade para controlar chaves raiz.The primary purpose is to assist customers in meeting regulatory or compliance obligations for controlling root keys. Os clientes autorizam explicitamente os serviços do O365 a usar suas chaves de criptografia para fornecer serviços de nuvem de valor adicionado, como eDiscovery, Antimalware, antispam, indexação de pesquisa, etc.Customers explicitly authorize O365 services to use their encryption keys to provide value added cloud services, such as eDiscovery, anti-malware, anti-spam, search indexing, etc.

A chave do cliente é criada na criptografia de serviço e permite que você forneça e controle as chaves de criptografia.Customer Key is built on service encryption and lets you provide and control encryption keys. A Microsoft 365 usa essas chaves para criptografar seus dados em repouso, conforme descrito nos termos dos serviços online (OST).Microsoft 365 then uses these keys to encrypt your data at rest as described in the Online Services Terms (OST). A chave do cliente ajuda você a cumprir as obrigações de conformidade, pois você controla as chaves de criptografia que o Microsoft 365 usa para criptografar e descriptografar dados.Customer Key helps you meet compliance obligations because you control the encryption keys that Microsoft 365 uses to encrypt and decrypt data.

A chave do cliente aprimora a capacidade de sua organização atender às exigências de requisitos de conformidade que especificam a principal organização com o provedor de serviços de nuvem.Customer Key enhances the ability of your organization to meet the demands of compliance requirements that specify key arrangements with the cloud service provider. Com a chave do cliente, você fornece e controla as chaves de criptografia raiz dos seus dados do Microsoft 365 em repouso no nível do aplicativo.With Customer Key, you provide and control the root encryption keys for your Microsoft 365 data at-rest at the application level. Como resultado, você exercerá controle sobre as chaves da sua organização.As a result, you exercise control over your organization's keys. Se você decidir sair do serviço, revogar o acesso às chaves raiz da sua organização.If you decide to exit the service, you revoke access to your organization's root keys. Para todos os serviços do Microsoft 365, revogar o acesso às chaves é a primeira etapa no caminho para a exclusão de dados.For all Microsoft 365 services, revoking access to the keys is the first step on the path towards data deletion. Ao revogar o acesso às chaves, os dados são ilegíveis ao serviço.By revoking access to the keys, the data is unreadable to the service.

A chave do cliente criptografa dados em repouso no Office 365Customer Key encrypts data at rest in Office 365

Usando chaves fornecidas, a chave do cliente criptografa:Using keys you provide, Customer Key encrypts:

  • Os arquivos do SharePoint Online, do OneDrive for Business e do teams.SharePoint Online, OneDrive for Business, and Teams files.
  • Arquivos carregados no OneDrive for Business.Files uploaded to OneDrive for Business.
  • Conteúdo de caixa de correio do Exchange Online, incluindo conteúdo de corpo de email, entradas de calendário e conteúdo de anexos de email.Exchange Online mailbox content including e-mail body content, calendar entries, and the content within email attachments.
  • Conversas de texto do Skype for Business.Text conversations from Skype for Business.

No momento, não oferecemos controle de cliente das chaves de criptografia para a transmissão de reunião do Skype e carregamentos de conteúdo de reunião do Skype.We don't currently offer customer control of the encryption keys for Skype Meeting Broadcast and Skype Meeting content uploads. Em vez disso, esse conteúdo é criptografado junto com todos os outros conteúdos no Office 365.Instead, this content is encrypted along with all other content in Office 365.

Chave do cliente com implantações híbridasCustomer Key with hybrid deployments

A chave do cliente só criptografa dados em repouso na nuvem.Customer Key only encrypts data at rest in the cloud. A chave do cliente não funciona para proteger seus arquivos e caixas de correio locais.Customer Key does not work to protect your on-premises mailboxes and files. Você pode criptografar seus dados locais usando outro método, como o BitLocker.You can encrypt your on-premises data using another method, such as BitLocker.

Sobre a DEP (política de criptografia de dados)About the data encryption policy (DEP)

Uma política de criptografia de dados define a hierarquia de criptografia para criptografar dados usando cada uma das chaves que você fornecer, bem como a chave de disponibilidade protegida pela Microsoft.A data encryption policy defines the encryption hierarchy to encrypt data using each of the keys you provide as well as the availability key protected by Microsoft. Você cria DEPs usando cmdlets do PowerShell, que são diferentes para cada serviço e atribuem esses DEPs para criptografar dados de aplicativo.You create DEPs using PowerShell cmdlets, which are different for each service, and assign those DEPs to encrypt application data. Por exemplo:For example:

Exchange Online e Skype for Business Você pode criar até 50 DEPs por locatário.Exchange Online and Skype for Business You can create up to 50 DEPs per tenant. Você associa DEPs às suas chaves de cliente no Azure Key Vault e, em seguida, atribui DEPs às caixas de correio individuais.You associate DEPs to your Customer Keys in Azure Key Vault and then assign DEPs to individual mailboxes. Ao atribuir uma DEP a uma caixa de correio:When you assign a DEP to a mailbox:

  • a caixa de correio está marcada para uma movimentação de caixa de correio.the mailbox is marked for a mailbox move. Com base em prioridades no Microsoft 365 conforme descrito aqui, mova as solicitações no serviço Microsoft 365.Based on priorities in Microsoft 365 as described here Move requests in the Microsoft 365 service.

  • A criptografia ocorre enquanto a caixa de correio é movida.The encryption takes place while the mailbox is moved. Permitir que 72 horas para a caixa de correio sejam criptografadas com a nova DEP.Allow 72 hours for the mailbox to become encrypted with the new DEP. Se as caixas de correio não são criptografadas após esperar 72 horas a partir do momento em que você atribuiu a DEP, entre em contato com a Microsoft.If the mailboxes aren't encrypted after waiting 72 hours from the time you assigned the DEP, contact Microsoft.

Posteriormente, você pode atualizar a DEP ou atribuir uma DEP diferente à caixa de correio, conforme descrito em Manage Customer key for Office 365.Later, you can either refresh the DEP or assign a different DEP to the mailbox as described in Manage Customer Key for Office 365. Cada caixa de correio deve ter licenças apropriadas para atribuir uma DEP.Each mailbox must have appropriate licenses in order to assign a DEP. Para obter mais informações sobre licenciamento, consulte antes de configurar a chave do cliente.For more information about licensing, see Before you set up Customer Key.

Arquivos do SharePoint Online, do onedrive for Business e do teams Se você estiver usando o recurso multigeográfico, poderá criar até uma DEP por geografia para sua organização.SharePoint Online, OneDrive for Business, and Teams files If you're using the multi-geo feature, you can create up to one DEP per geo for your organization. Você pode usar diferentes chaves de cliente para cada geografia.You can use different Customer Keys for each geo. Se você não estiver usando o recurso multigeográfico, só poderá criar uma DEP por locatário.If you're not using the multi-geo feature, you can only create one DEP per tenant. Quando você atribui a DEP, a criptografia começa automaticamente, mas pode levar algum tempo para ser concluída.When you assign the DEP, encryption begins automatically but can take some time to complete. Confira os detalhes na chave configurar cliente.Refer to the details in Set up Customer Key.

Sair do serviçoLeaving the service

A chave do cliente ajuda você a cumprir as obrigações de conformidade, permitindo revogar as chaves quando você sair do serviço do Microsoft 365.Customer Key assists you in meeting compliance obligations by allowing you to revoke your keys when you leave the Microsoft 365 service. Quando você revoga as chaves como parte da saída do serviço, a chave de disponibilidade é excluída, resultando na exclusão criptográfica dos dados.When you revoke your keys as part of leaving the service, the availability key is deleted resulting in cryptographic deletion of your data. A exclusão criptográfica reduz o risco de remanence de dados que é importante para atender às obrigações de segurança e conformidade.Cryptographic deletion mitigates the risk of data remanence which is important for meeting both security and compliance obligations. Para obter informações sobre o processo de limpeza de dados e revogação de chaves, confira revogar suas chaves e iniciar o processo de caminho de limpeza de dados.For information about the data purge process and key revocation, see Revoke your keys and start the data purge path process.

Codificações de criptografia usadas pela chave do clienteEncryption ciphers used by Customer Key

A chave do cliente usa uma variedade de codificações de criptografia para criptografar chaves conforme mostrado nas figuras a seguir.Customer Key uses a variety of encryption ciphers to encrypt keys as shown in the following figures.

Codificações de criptografia usadas para criptografar chaves para o Exchange Online e o Skype for BusinessEncryption ciphers used to encrypt keys for Exchange Online and Skype for Business

Codificações de criptografia para a chave do cliente do Exchange Online

Codificações de criptografia usadas para criptografar chaves para os arquivos do SharePoint Online, do OneDrive for Business e do teamsEncryption ciphers used to encrypt keys for SharePoint Online, OneDrive for Business, and Teams files

Codificações de criptografia para a chave do cliente do SharePoint Online