Krypteringstjänst med kundnyckel
Microsoft 365 tillhandahåller baslinje, volymnivåkryptering aktiverad via BitLocker och DKM (Distributed Key Manager). Microsoft 365 erbjuder ett extra krypteringslager för innehållet. Det här innehållet omfattar data Exchange Online, Skype för företag, SharePoint Online, OneDrive för företag och Microsoft Teams.
Så här fungerar tjänstkryptering, BitLocker och kundnyckel tillsammans
Dina data krypteras alltid vilan i Microsoft 365 med BitLocker och DKM. Mer information finns i Hur du Exchange Online dina e-posthemligheter. Kundnyckel ger extra skydd mot visning av data av obehöriga system eller personal, och kompletterar BitLocker diskkryptering i Microsofts datacenter. Tjänstekryptering är inte avsedd att hindra Microsoft-personal från att komma åt dina data. Kundnyckeln hjälper dig i stället att uppfylla regel- och efterlevnadsskyldigheter för rotnycklar. Du godkänner uttryckligen Microsoft 365-tjänster att använda dina krypteringsnycklar för att tillhandahålla ytterligare molntjänster, t.ex. eDiscovery, skadlig programvara, skydd mot skräppost, sökindexering och så vidare.
Kundnyckel bygger på tjänstkryptering och låter dig tillhandahålla och kontrollera krypteringsnycklar. Microsoft 365 sedan dessa nycklar för att kryptera dina data i vila enligt beskrivningen i villkor för onlinetjänster (OST). Kundnyckeln hjälper dig att uppfylla efterlevnadsskyldigheter eftersom du kontrollerar krypteringsnycklarna som Microsoft 365 använder för att kryptera och dekryptera data.
Kundnyckel förbättrar organisationens förmåga att uppfylla kraven på efterlevnad som anger viktiga arrangemang med molntjänstleverantören. Med kundnyckeln tillhandahåller och kontrollerar du rotkrypteringsnycklarna för Microsoft 365 data i vila på programnivå. Därför styr du över organisationens nycklar.
Kundnyckel med hybriddistributioner
Kundnyckel krypterar bara data i vila i molnet. Kundnyckeln fungerar inte för att skydda dina lokala postlådor och filer. Du kan kryptera lokala data med en annan metod, till exempel BitLocker.
Om principer för datakryptering
En datakrypteringsprincip (DEP) definierar krypteringshierarkin. Hierarkin används av tjänsten för att kryptera data med hjälp av de nycklar du hanterar och den tillgänglighetsnyckel som skyddas av Microsoft. Du skapar DEP:er med PowerShell-cmdlets och tilldelar sedan de här DEP:erna för att kryptera programdata. Det finns tre typer av deP:er som stöds av Microsoft 365 Kundnyckel, varje principtyp använder olika cmdlets och tillhandahåller täckning för olika typer av data. De de du kan definiera omfattar:
DEP för Microsoft 365 arbetsbelastningar De här deP:erna krypterar data över flera M365-arbetsbelastningar för alla användare i klientorganisationen. Dessa arbetsbelastningar omfattar:
Teams till chattmeddelanden (privata chattar, gruppchattar, möteschattar och kanalkonversationer)
Teams mediemeddelanden (bilder, kodstycken, videomeddelanden, ljudmeddelanden, wiki-bilder)
Teams samtals- och mötesinspelningar som lagrats Teams lagringsutrymme
Teams chattaviseringar
Teams chattförslag från Cortana
Teams statusmeddelanden
Information om användare och Exchange Online
Exchange Online-postlådor som inte redan krypteras med postlådekoderna
Microsoft Information Protection:
Exakta data matchar (EDM) data, inklusive scheman för datafiler, regelpaket och salter som används för att hashtagga känsliga data. För EDM Microsoft Teams krypteras nya data från och med det att du tilldelar data för flera arbetsbelastningar till klientorganisationen. I Exchange Online krypterar Kundnyckel alla befintliga och nya data.
Etikettkonfiguration för känslighetsetiketter
De data med flera arbetsbelastningar krypterar inte följande typer av data. I stället Microsoft 365 andra typer av kryptering för att skydda dessa data.
- SharePoint och OneDrive för företag data.
- Microsoft Teams filer och vissa Teams samtals- och mötesinspelningar som sparats i OneDrive för företag och SharePoint Online krypteras med SharePoint Online dep.
- Andra Microsoft 365 arbetsbelastningar, Yammer och Planner, som för närvarande inte stöds av Kundnyckel.
- Teams i Live Event.
Du kan skapa flera DEP-adresser per klientorganisation men bara tilldela en DEP i taget. När du tilldelar DEP påbörjas krypteringen automatiskt men tar lite tid att slutföra beroende på storleken på klientorganisationen.
Dep för Exchange Online postlådor – E-postlådor ger mer exakt kontroll över enskilda postlådor Exchange Online. Använd postlåde-DEP för att kryptera data som lagras i EXO-postlådor av olika typer, till exempel UserMailbox, MailUser, Group, PublicFolder och Shared mailboxes. Du kan ha upp till 50 aktiva dep:er per klientorganisation och tilldela de här dep:erna till enskilda postlådor. Du kan tilldela en dep till flera postlådor.
Som standard krypteras dina postlådor med microsoft-hanterade nycklar. När du tilldelar en kundnyckel DEP till en postlåda:
Om postlådan är krypterad med en deP för flera arbetsbelastningar, skriver tjänsten om postlådan med den nya postlådans datakod så länge en användare eller ett system har åtkomst till postlådedata.
Om postlådan redan är krypterad med Microsoft-hanterade nycklar kommer tjänsten att omkoda postlådan med den nya postlådans datakod så länge en användare eller ett system har åtkomst till postlådedata.
Om postlådan ännu inte krypteras med standardkryptering markerar tjänsten postlådan för en flytt. Krypteringen sker när flyttningen är klar. Postlådeflyttningar styrs av prioriteringar som ställts in för alla Microsoft 365. Mer information finns i Flyttningsförfrågningar i Microsoft 365 tjänst. Om postlådorna inte är krypterade inom den angivna tiden kontaktar du Microsoft.
Senare kan du antingen uppdatera DEP eller tilldela en annan DEP till postlådan enligt beskrivningen i Hantera kundnyckel för Office 365. Varje postlåda måste ha lämpliga licenser för att tilldelas en DEP. Mer information om licensiering finns i Innan du konfigurerar kundnyckel.
DEP kan tilldelas till en delad postlåda, en gemensam mapppostlåda och en Microsoft 365-grupppostlåda för klientorganisationen som uppfyller licensieringskravet för användarpostlådor. Du behöver inga separata licenser för icke-användarspecifika postlådor för att tilldela Customer Key DEP.
Du kan begära att Microsoft rensar specifika DEP:er för kundnyckel dep:er som du tilldelar till enskilda postlådor när du lämnar tjänsten. Mer information om datarensningsprocessen och återkallelse av nycklar finns i Återkalla dina nycklar och starta datarensningssökvägen.
När du återkallar åtkomsten till dina nycklar när du lämnar tjänsten tas tillgänglighetsnyckeln bort, vilket leder till att dina data tas bort av kryptografik. Cryptographic deletion mitigates the risk of data remanence, which is important for meeting both security and compliance obligations.
DEP för SharePoint Online och OneDrive för företag Den här dep:en används för att kryptera innehåll som lagras i SPO och OneDrive för företag, inklusive Microsoft Teams filer som lagrats i SPO. Om du använder multi-geofunktionen kan du skapa en DEP per geo för organisationen. Om du inte använder multi-geofunktionen kan du bara skapa en DEP per klientorganisation. Mer information finns i Konfigurera kundnyckel.
Krypteringschiffrer som används av kundnyckeln
Kundnyckel använder olika krypterings-chiffer för att kryptera nycklar, som visas på följande bilder.
Den nyckelhierarki som används för dep:ar som krypterar data för Microsoft 365 arbetsbelastningar liknar den hierarki som används för de Exchange Online postlådorna. Den enda skillnaden är att postlådenyckeln ersätts med motsvarande arbetsnyckel Microsoft 365 Arbetsbelastning.
Krypteringschiffrer som används för att kryptera nycklar Exchange Online och Skype för företag

Krypteringskrypteringar som används för att kryptera nycklar SharePoint online-, OneDrive för företag- och Teams filer
