Общие сведения о шифровании службы с помощью ключа клиента Microsoft Purview

Microsoft 365 предоставляет базовое шифрование на уровне тома с помощью BitLocker и распределенного диспетчера ключей (DKM). диски Windows 365 Корпоративная и business Cloud PC шифруются с помощью шифрования на стороне сервера службы хранилища Azure (SSE). Microsoft 365 предлагает дополнительный уровень шифрования для содержимого с помощью ключа клиента. Это содержимое включает данные с Exchange Online, Microsoft SharePoint, Microsoft OneDrive, Microsoft Teams и Windows 365 облачных компьютеров.

BitLocker не поддерживается в качестве варианта шифрования для облачных компьютеров Windows 365. Дополнительные сведения см. в статье Использование виртуальных машин Windows 10 в Intune.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Windows 365 поддержка ключа клиента Microsoft Purview доступна в общедоступной предварительной версии и может быть изменена.

Совместная работа шифрования служб, BitLocker, SSE и ключа клиента

Данные Microsoft 365 всегда шифруются при хранении в службе Microsoft 365 с помощью BitLocker и DKM. Дополнительные сведения см. в статье Как Exchange Online защищает секреты электронной почты. Ключ клиента обеспечивает дополнительную защиту от просмотра данных несанкционированными системами или персоналом, а также дополняет шифрование дисков BitLocker и SSE в центрах обработки данных Майкрософт. Шифрование служб не предназначено для предотвращения доступа сотрудников Майкрософт к вашим данным. Вместо этого ключ клиента помогает выполнять нормативные или нормативные обязательства по управлению корневыми ключами. Вы явным образом разрешаете службам Microsoft 365 использовать ключи шифрования для предоставления дополнительных облачных служб, таких как обнаружение электронных данных, защита от вредоносных программ, защита от спама, индексирование поиска и т. д.

Ключ клиента основан на шифровании службы и позволяет предоставлять ключи шифрования и управлять ими. Затем Microsoft 365 использует эти ключи для шифрования неактивных данных, как описано в условиях использования веб-служб (OST). Ключ клиента помогает выполнить обязательства по соответствию, так как вы управляете ключами шифрования, которые Microsoft 365 использует для шифрования и расшифровки данных.

Ключ клиента расширяет возможности вашей организации по удовлетворению требований соответствия требованиям, определяющим ключевые договоренности с поставщиком облачных служб. С помощью ключа клиента вы предоставляете корневые ключи шифрования для неактивных данных Microsoft 365 и управляете ими на уровне приложения. В результате вы осуществляете контроль над ключами вашей организации.

Ключ клиента с гибридными развертываниями

Ключ клиента шифрует только неактивные данные в облаке. Ключ клиента не работает для защиты локальных почтовых ящиков и файлов. Вы можете зашифровать локальные данные с помощью другого метода, например BitLocker.

Сведения о политиках шифрования данных

Политика шифрования данных (DEP) определяет иерархию шифрования. Эта иерархия используется службой для шифрования данных с помощью каждого из ключей, которыми вы управляете, и ключа доступности, защищенного корпорацией Майкрософт. Вы создаете DEP с помощью командлетов PowerShell, а затем назначаете их для шифрования данных приложения. Ключ клиента поддерживает три типа DEP. Каждый тип политики использует разные командлеты и обеспечивает охват для разных типов данных. К deps, которые можно определить, относятся:

DEP для нескольких рабочих нагрузок Microsoft 365 Эти dePs шифруют данные в нескольких рабочих нагрузках Microsoft 365 для всех пользователей в клиенте. К этим рабочим нагрузкам относятся:

  • облачные компьютеры Windows 365

  • Сообщения чата Teams (чаты 1:1, групповые чаты, чаты собраний и беседы каналов)

  • Сообщения мультимедиа Teams (изображения, фрагменты кода, видеосообщений, аудиосообщений, вики-изображения)

  • Записи звонков и собраний Teams, хранящиеся в хранилище Teams

  • Уведомления чата Teams

  • Предложения чата Teams от Кортаны

  • Сообщения о состоянии Teams

  • Взаимодействие с Microsoft 365

  • Сведения о пользователе и сигналах для Exchange Online

  • Exchange Online почтовые ящики, которые еще не зашифрованы deP почтовых ящиков

  • Защита информации Microsoft Purview:

    • Данные точного сопоставления данных (EDM), включая схемы файлов данных, пакеты правил и соли, используемые для хэширования конфиденциальных данных. Для EDM и Microsoft Teams DEP с несколькими рабочими нагрузками шифрует новые данные с момента назначения DEP клиенту. Для Exchange Online ключ клиента шифрует все существующие и новые данные.

    • Конфигурация меток для меток конфиденциальности

DePs с несколькими рабочими нагрузками не шифруют следующие типы данных. Вместо этого Microsoft 365 использует другие типы шифрования для защиты этих данных.

  • Данные SharePoint и OneDrive.
  • Файлы Microsoft Teams и некоторые записи звонков и собраний Teams, сохраненные в OneDrive и SharePoint, шифруются с помощью DEP SharePoint.
  • Другие рабочие нагрузки Microsoft 365, которые в настоящее время не поддерживаются ключом клиента, например Viva Engage и Планировщик.
  • Данные о трансляциях Teams.

Вы можете создать несколько DEP для каждого клиента, но назначить только один DEP за раз. При назначении DEP шифрование начинается автоматически, но для завершения требуется некоторое время в зависимости от размера клиента.

DEP для почтовых ящиков Exchange Online почтовых ящиков обеспечивает более точный контроль над отдельными почтовыми ящиками в Exchange Online. Используйте deps почтовых ящиков для шифрования данных, хранящихся в почтовых ящиках EXO различных типов, таких как UserMailbox, MailUser, Group, PublicFolder и Общие почтовые ящики. Вы можете иметь до 50 активных deps на клиент и назначать их отдельным почтовым ящикам. Вы можете назначить один DEP нескольким почтовым ящикам.

По умолчанию почтовые ящики шифруются с помощью ключей, управляемых Корпорацией Майкрософт. При назначении DEP ключа клиента почтовому ящику:

  • Если почтовый ящик шифруется с помощью DEP с несколькими рабочими нагрузками, служба выполняет повторную обработку почтового ящика с помощью нового dep почтового ящика, пока пользователь или системная операция обращается к данным почтового ящика.

  • Если почтовый ящик уже зашифрован с помощью ключей, управляемых Корпорацией Майкрософт, служба выполняет повторную обработку почтового ящика с помощью нового dep почтового ящика, если пользователь или системная операция обращается к данным почтового ящика.

  • Если почтовый ящик еще не зашифрован с помощью шифрования по умолчанию, служба помечает почтовый ящик для перемещения. Шифрование выполняется после завершения перемещения. Перемещение почтовых ящиков регулируется на основе приоритетов, установленных для всех microsoft 365. Дополнительные сведения см. в статье Перемещение запросов в службе Microsoft 365. Если почтовые ящики не зашифрованы в течение указанного времени, обратитесь в корпорацию Майкрософт.

Позже вы можете обновить DEP или назначить другой DEP почтовому ящику, как описано в разделе Управление ключом клиента для Office 365. Для назначения DEP каждому почтовому ящику должны быть соответствующие лицензии. Дополнительные сведения о лицензировании см . в разделе Перед настройкой ключа клиента.

Вы можете назначить deps общему почтовому ящику, почтовому ящику общедоступных папок и почтовому ящику группы Microsoft 365 для клиентов, которые соответствуют требованиям к лицензированию для почтовых ящиков пользователей. Для назначения DEP ключа клиента не требуются отдельные лицензии для почтовых ящиков, не относящихся к пользователю.

Для клиентских ключей DEP, назначаемого отдельным почтовым ящикам, можно запросить очистку определенных deps корпорации Майкрософт при выходе из службы. Сведения о процессе очистки данных и отзыве ключей см. в статье Отзыв ключей и запуск процесса пути очистки данных.

Когда вы отмените доступ к ключам при выходе из службы, ключ доступности удаляется, что приводит к криптографии удаления ваших данных. Криптографическое удаление снижает риск повторного использования данных, что важно для выполнения обязательств по обеспечению безопасности и соответствию.

DEP для SharePoint и OneDrive Этот DEP используется для шифрования содержимого, хранящегося в SPO и OneDrive, включая файлы Microsoft Teams, хранящиеся в SPO. Если вы используете функцию с несколькими регионами, вы можете создать один DEP для каждого региона для вашей организации. Если вы не используете функцию с несколькими регионами, вы можете создать только один DEP для каждого клиента. Дополнительные сведения см. в разделе Настройка ключа клиента.

Шифрование шифров, используемых ключом клиента

Ключ клиента использует различные шифры шифрования для шифрования ключей, как показано на следующих рисунках.

Иерархия ключей, используемая для DEP, которые шифруют данные для нескольких рабочих нагрузок Microsoft 365, аналогична иерархии, используемой для DEP для отдельных почтовых ящиков Exchange Online. Единственное отличие заключается в том, что ключ почтового ящика заменяется соответствующим ключом рабочей нагрузки Microsoft 365.

Шифры шифрования, используемые для шифрования ключей для Exchange Online

Шифры шифрования для Exchange Online ключа клиента.

Шифры шифрования, используемые для шифрования ключей файлов SharePoint, OneDrive и Teams

Шифрование шифров для ключа клиента SharePoint.