Kundhanterade krypterings funktioner

Tillsammans med krypteringstekniker i Microsoft 365 hanteras av Microsoft fungerar Microsoft 365 även med ytterligare krypteringstekniker som du kan hantera och konfigurera, till exempel:

Mer information om dessa tekniker finns i Microsoft 365 tjänstbeskrivningar.

Azure Rights Management

Azure Rights Management (Azure RMS) är den skyddsteknik som används av Azure Information Protection. Den använder principer för kryptering, identitet och auktorisering för att skydda dina filer och e-post på flera plattformar och enheter , telefoner, surfplattor och datorer. Informationen kan skyddas både inom och utanför organisationen eftersom skyddet finns kvar hos informationen. Azure RMS ger ett beständigt skydd av alla filtyper, skyddar filer var som helst, har stöd för samarbete mellan företag och ett brett utbud av Windows och icke-Windows enheter. Azure RMS-skydd kan även öka DLP-principer (Data Loss Prevention). Mer information om vilka program och tjänster som kan använda tjänsten Azure Rights Management från Azure Information Protection finns i Hur programmen har stöd för Azure Rights Management-tjänsten.

Azure RMS är integrerat med Microsoft 365 och tillgängligt för alla kunder. Information om Microsoft 365 att använda Azure RMS finns i Konfigurera IRM för att använda Azure Rights Management och Konfigurera IRM (Information Rights Management) i SharePoint admin center. Om du har en lokal Active Directory-server (AD) RMS kan du även konfigurera IRM så att en lokal AD RMS-serveranvänds, men vi rekommenderar starkt att du migrerar till Azure RMS för att använda nya funktioner som säkert samarbete med andra organisationer.

När du skyddar kunddata med Azure RMS använder Azure RMS en 2048-bitars RSA-asymmetrisk nyckel med SHA-256-hashalgoritmen för integritet för att kryptera data. Den symmetriska nyckeln för att Office dokument och e-post är AES 128-bitars. För varje dokument eller e-post som skyddas av Azure RMS skapar Azure RMS en enda AES-nyckel ("innehållsnyckeln"), och den nyckeln är inbäddad i dokumentet och finns kvar i utgåvor av dokumentet. Innehållsnyckeln är skyddad med organisationens RSA-nyckel (Azure Information Protection-klientnyckeln) som en del av principen i dokumentet, och principen signeras även av dokumentets författare. Den här klientnyckeln är gemensam för alla dokument och e-postmeddelanden som skyddas av Azure RMS för organisationen och den här nyckeln kan bara ändras av en Azure Information Protection-administratör om organisationen använder en klientnyckel som hanteras av kunder. Mer information om de kryptografiska kontroller som används av Azure RMS finns i Hur fungerar Azure RMS? Under motorhuven.

I en Azure RMS-standardimplementering genererar och hanterar Microsoft rotnyckeln som är unik för varje klientorganisation. Kunder kan hantera livscykeln för sin rotnyckel i Azure RMS med Azure Key Vault Services med hjälp av en nyckelhanteringsmetod som kallas Bring Your Own Key (BYOK) som gör att du kan generera din nyckel i lokala virtuella maskiner (maskinvarusäkerhetsmoduler) och ha kontrollen över den här nyckeln efter överföringen till Microsofts FIPS 140-2-verifierade HSMs på nivå 2. Åtkomst till rotnyckeln ges inte till någon personal eftersom nycklarna inte kan exporteras eller extraheras från de snabbmeddelanden som skyddar dem. Dessutom kan du när som helst komma åt en nästan realtidslogg som visar all åtkomst till rotnyckeln. Mer information finns i Loggning och analys av Azure Rights Management Usage.

Azure Rights Management bidrar till att minimera hot som trådtryck, man-i-mitten-attacker, datastöld och oavsiktliga överträdelser av principer för organisationsdelning. Samtidigt förhindras ovarningar om åtkomst av kunddata som överförs eller vilan av en obehörig användare som inte har rätt behörighet via principer som följer dessa data, vilket minimerar risken för att data hamnar i fel händer, antingen medvetet eller utan att ha tillgång till funktioner för dataförlustskydd. Om Azure RMS används som en del av Azure Information Protection tillhandahåller Azure RMS även funktioner för dataklassificering och märkning, innehållsmarkering, spårning av dokumentåtkomst och återkallelsefunktioner för åtkomst. Mer information om funktionerna finns i Vad är Azure Information Protection, Distributionsöversikt över Azure Information Protectionoch Snabbstartsguide för Azure Information Protection.

Secure Multipurpose Internet Mail Extension

S/MIME (Secure/Multipurpose Internet Mail Extensions) är en standard för offentlig nyckelkryptering och digital signering av MIME-data. S/MIME definieras i RFCs 3369, 3370, 3850, 3851 och andra. Det gör att en användare kan kryptera ett e-postmeddelande och digitalt signera ett e-postmeddelande. Ett e-postmeddelande som krypteras med S/MIME kan bara dekrypteras av e-postmottagaren med sin privata nyckel, som bara är tillgänglig för den mottagaren. E-postmeddelandena kan därför inte dekrypteras av någon annan än mottagaren av e-postmeddelandet.

Microsoft har stöd för S/MIME. Offentliga certifikat distribueras till kundens lokala Active Directory och lagras i attribut som kan replikeras till en Microsoft 365 klientorganisation. De privata nycklar som motsvarar de offentliga nycklarna finns kvar lokalt och överförs aldrig till Office 365. Användare kan skriva, kryptera, dekryptera, läsa och signera e-postmeddelanden mellan två användare i en organisation med hjälp av Outlook- Outlook på webben- och Exchange ActiveSync klienter. Mer information finns i S/MIME-kryptering finns nu i Office 365.

Meddelandekryptering i Office 365

Meddelandekryptering i Office 365 (OME) som bygger på Azure Information Protection (AIP) kan du skicka krypterad och rättighetsskyddad e-post till alla. OME minimerar hot som trådande och man-i-mitten-attacker och andra hot, till exempel ovarningar om åtkomst av data av en obehörig användare som inte har rätt behörighet. Vi har gjort investeringar som ger dig en enklare, mer intuitiv och säker e-postupplevelse byggd på Azure Information Protection. Du kan skydda meddelanden som skickas Microsoft 365 till alla i eller utanför organisationen. Dessa meddelanden kan visas i en rad olika e-postklienter med valfri identitet, Azure Active Directory identitet, Microsoft-konto och Google-ID: n. Mer information om hur krypterade meddelanden kan användas i organisationen finns i Meddelandekryptering i Office 365.

Transport Layer Security

Om du vill säkerställa säker kommunikation med en partner kan du använda inkommande och utgående anslutningar för att tillhandahålla säkerhet och meddelandeintegritet. Du kan konfigurera tvingad inkommande och utgående TLS för varje koppling, med hjälp av ett certifikat. Om du använder en krypterad SMTP-kanal kan data inte stjäls via en man-i-mitten-attack. Mer information finns i Hur du använder Exchange Online TLS för att skydda e-postanslutningar.

Domännycklar identifierad e-post

Exchange Online Protection eOP (EOP) Exchange Online stödja inkommande validering av DKIM-meddelanden (Domain Keys Identified Mail). DKIM är en metod för att verifiera att ett meddelande skickades från den domän som meddelandet kommer från och att det inte kapats av någon annan. Det kan också vara ett e-postmeddelande till den organisation som ansvarar för att skicka det och är en del av en större del av e-postkryptering. Mer information om de tre delarna av den här bran finns i: