Шифрование службы с помощью ключа клиента

Microsoft 365 обеспечивает базовое шифрование на уровне тома, включенное через BitLocker и Distributed Key Manager (DKM). Microsoft 365 предоставляет дополнительный уровень шифрования для контента. Это содержимое включает данные из Exchange Online, Skype для бизнеса, SharePoint Online, OneDrive для бизнеса и Microsoft Teams.

Совместное работу шифрования служб, BitLocker и ключа клиента

Ваши данные всегда шифруются в Microsoft 365 службе BitLocker и DKM. Дополнительные сведения см. в Exchange Online, как защитить секреты электронной почты. Ключ клиента обеспечивает дополнительную защиту от просмотра данных несанкционированными системами или персоналом и дополняет шифрование дисков BitLocker в центрах обработки данных Майкрософт. Шифрование служб не предназначено для предотвращения доступа сотрудников Корпорации Майкрософт к вашим данным. Вместо этого клиентский ключ помогает выполнять нормативные или нормативные требования для управления корневыми ключами. Вы явно разрешаете Microsoft 365 использовать ключи шифрования для предоставления облачных служб с добавленной стоимостью, таких как eDiscovery, anti-malware, anti-spam, search indexing и так далее.

Ключ клиента построен на шифровании службы и позволяет предоставлять ключи шифрования и управлять им. Microsoft 365 затем использует эти ключи для шифрования данных в покое, как описано в Термины online Services (OST). Ключ клиента помогает выполнять обязательства по обеспечению соответствия требованиям, так как вы управляете ключами шифрования, Microsoft 365 для шифрования и расшифровки данных.

Ключ клиента повышает способность организации соответствовать требованиям соответствия требованиям, которые определяют ключевые договоренности с поставщиком облачных служб. С помощью ключа клиента вы предоставляете и управляете ключами корневого шифрования для Microsoft 365 данных на уровне приложений. В результате вы осуществляете контроль над ключами организации.

Ключ клиента с гибридными развертываниями

Ключ клиента шифрует данные только в облаке. Ключ клиента не работает для защиты локального почтового ящика и файлов. Вы можете шифровать свои локальное данные с помощью другого метода, например BitLocker.

О политиках шифрования данных

Политика шифрования данных (DEP) определяет иерархию шифрования. Эта иерархия используется службой для шифрования данных с помощью каждого из управляемых ключей и ключа доступности, защищаемого Корпорацией Майкрософт. Вы создаете dePs с помощью cmdlets PowerShell, а затем назначаете их для шифрования данных приложений. Существует три типа dePs, поддерживаемых Microsoft 365 клиентского ключа, каждый тип политики использует различные cmdlets и обеспечивает покрытие для другого типа данных. DePs, которые можно определить, включают:

DeP для нескольких Microsoft 365 рабочих нагрузок Эти dePs шифруют данные в нескольких рабочих нагрузках M365 для всех пользователей в клиенте. Эти рабочие нагрузки включают:

  • Teams чатов (1:1 чаты, групповые чаты, чаты собраний и беседы на канале)

  • Teams сообщений мультимедиа (изображения, фрагменты кода, видеообращение, аудио сообщения, вики-образы)

  • Teams записи вызовов и собраний, хранимые в Teams хранилище

  • Teams уведомления чата

  • Teams чата Кортана

  • Teams сообщений о состоянии

  • Сведения о пользователях и сигналах для Exchange Online

  • Exchange Online почтовых ящиков, которые еще не зашифрованы dePs почтовых ящиков

  • Microsoft Information Protection:

    • Точные данные совпадают с данными EDM, включая схемы файлов данных, пакеты правил и соли, используемые для хранения конфиденциальных данных. Для EDM и Microsoft Teams, deP с несколькими рабочими нагрузками шифрует новые данные с того времени, как вы назначите клиенту deP. Для Exchange Online клиентский ключ шифрует все существующие и новые данные.

    • Конфигурация меток для меток конфиденциальности

DePs с несколькими рабочими нагрузками не шифрует следующие типы данных. Вместо этого Microsoft 365 другие типы шифрования для защиты этих данных.

  • SharePoint и OneDrive для бизнеса данных.
  • Microsoft Teams файлы и Teams записи вызовов и собраний, сохраненные в OneDrive для бизнеса и SharePoint Online, шифруются с помощью SharePoint DeP Online.
  • Другие Microsoft 365, такие как Yammer и планировщик, которые в настоящее время не поддерживаются ключом клиента.
  • Teams live event data.

Вы можете создать несколько dePs на клиента, но назначить только один DEP одновременно. При назначении deP шифрование начинается автоматически, но занимает некоторое время в зависимости от размера клиента.

DePs для Exchange Online почтовых ящиков dePs почтовых ящиков обеспечивают более точный контроль над отдельными почтовыми ящиками в Exchange Online. Используйте dePs почтовых ящиков для шифрования данных, хранимых в почтовых ящиках EXO различных типов, таких как UserMailbox, MailUser, Group, PublicFolder и Shared mailboxes. Вы можете иметь до 50 активных dePs на клиента и назначить их отдельным почтовым ящикам. Один deP можно назначить нескольким почтовым ящикам.

По умолчанию почтовые ящики шифруются с помощью ключей, управляемых Корпорацией Майкрософт. При назначении deP ключа клиента в почтовый ящик:

  • Если почтовый ящик шифруется с помощью deP с несколькими рабочими нагрузками, служба повторно передает почтовый ящик с помощью deP нового почтового ящика до тех пор, пока пользователь или системная операция будут получать доступ к данным почтовых ящиков.

  • Если почтовый ящик уже зашифрован с помощью управляемых Microsoft ключей, служба повторно передает почтовый ящик с помощью deP нового почтового ящика до тех пор, пока пользователь или системная операция получает доступ к данным почтовых ящиков.

  • Если почтовый ящик еще не зашифрован с помощью шифрования по умолчанию, служба отмечает почтовый ящик для перемещения. Шифрование происходит после завершения перемещения. Перемещения почтовых ящиков регулируются на основе приоритетов, установленных для всех Microsoft 365. Дополнительные сведения см. в дополнительных сведениях,см. в Microsoft 365 службе. Если почтовые ящики не зашифрованы в указанное время, обратитесь в Корпорацию Майкрософт.

Позже можно обновить deP или назначить другому deP почтовый ящик, как описано в "Управление ключом клиента" для Office 365. Каждый почтовый ящик должен иметь соответствующие лицензии для присвоения deP. Дополнительные сведения о лицензировании см. в дополнительных сведениях о настройках клиентского ключа.

DePs могут быть назначены общим почтовым ящикам, почтовым ящикам общедоступных папок и Microsoft 365 групповым почтовым ящиком для клиентов, которые соответствуют требованиям лицензирования для почтовых ящиков пользователей. Для назначения DEP ключа клиента не нужны отдельные лицензии для почтовых ящиков, не для определенных пользователей.

Для dePs ключа клиента, назначаемой отдельным почтовым ящикам, вы можете запросить очистку определенных dePs Майкрософт при уходе из службы. Сведения о процессе очистки данных и отзыве ключей см. в ссылке Отзыв ключей и запуск процесса очистки данных.

При отводе доступа к ключам при выходе из службы ключ доступности удаляется, что приводит к криптографическому удалению данных. Криптографическое удаление снижает риск повторной обработки данных, что важно для выполнения обязательств по безопасности и соответствия требованиям.

DeP для SharePoint Online и OneDrive для бизнеса этот DEP используется для шифрования контента, хранимого в SPO и OneDrive для бизнеса, включая Microsoft Teams файлы, хранимые в SPO. Если вы используете функцию multi-geo, вы можете создать один DEP на один гео для вашей организации. Если вы не используете функцию multi-geo, можно создать только один DEP на каждого клиента. Обратитесь к сведениям в Настройка ключа клиента.

Шифры шифрования, используемые ключом клиента

Ключ клиента использует различные шифры шифрования для шифрования ключей, как показано на следующих рисунках.

Иерархия ключей, используемая для dePs, которые шифруют данные для нескольких Microsoft 365 рабочих нагрузок, аналогична иерархии, используемой для dePs для отдельных Exchange Online почтовых ящиков. Единственное отличие состоит в том, что ключ почтовых ящиков заменяется соответствующим ключом Microsoft 365 рабочей нагрузки.

Шифры шифрования, используемые для шифрования ключей для Exchange Online и Skype для бизнеса

Шифры шифрования для Exchange Online ключа клиента.

Шифры шифрования, используемые для шифрования ключей для SharePoint, OneDrive для бизнеса и Teams файлов

Шифры шифрования для SharePoint ключа клиента.