Krypteringsrisker och -skydd

Microsoft följer ett ramverk för kontroll och efterlevnad som fokuserar på risker för Microsoft 365 och kunddata. Microsoft implementerar en stor uppsättning teknik- och processbaserade metoder (kallas även kontroller) för att minimera dessa risker. Identifiering, utvärdering och minskning av risker via kontroller är en kontinuerlig process.

Implementeringen av kontroller i olika lager av våra molntjänster, till exempel anläggningar, nätverk, servrar, program, användare (t.ex. Microsoft-administratörer) och data utgör en djupgående strategi för försvar. Nyckeln till den här strategi är att många olika kontroller implementeras på olika lager för att skydda mot samma eller liknande riskscenarier. Den här metoden med flera lager ger skydd underkända skydd om en kontroll av någon anledning misslyckas.

Vissa riskscenarier och de tillgängliga krypteringsteknikerna som minimerar dem anges nedan. Dessa scenarier är i många fall också minimerade via andra kontroller som implementeras i Office 365.

Krypteringsteknik Tjänster Nyckelhantering Riskscenario Värde
BitLocker Exchange Online, SharePoint Online och Skype för företag Microsoft Diskar eller servrar blir stulna eller återanvänds felaktigt. BitLocker tillhandahåller en metod som inte är säker för att skydda mot dataförlust på grund av stulen eller felaktigt återanvändbar maskinvara (server/disk).
Tjänstkryptering SharePoint Online, Skype för företag och OneDrive för företag; Exchange Online (på översikt) Microsoft Intern eller extern hackare försöker få åtkomst till enskilda filer/data som en blob. Krypterade data kan inte dekrypteras utan åtkomst till nycklar. Bidrar till att minimera risken för hackares åtkomst till data.
Customer Key SharePoint Online, OneDrive för företag, Exchange Online och Skype för företag Kund Ej åtgärdat (Den här funktionen är utformad som en efterlevnadsfunktion, inte som en minskning av några risker.) Hjälper kunder att uppfylla interna bestämmelser och efterlevnadsskyldigheter och möjligheten att lämna tjänsten och återkalla Microsofts åtkomst till data
TLS mellan Microsoft 365 och klienter Exchange Online, SharePoint Online, OneDrive för företag, Skype för företag, Teams och Yammer Microsoft, Kund Man i mitten eller andra angrepp för att trycka på dataflödet mellan Microsoft 365 och klientdatorer via Internet. Den här implementeringen ger värde till både Microsoft och kunder och garanterar dataintegritet när den flödar mellan Microsoft 365 och klienten.
TLS mellan Microsoft-datacenter Exchange Online, SharePoint Online, OneDrive för företag och Skype för företag Microsoft Man i mitten eller andra angrepp för att trycka på kunddataflödet mellan olika Microsoft 365 i olika Microsoft-datacenter. Den här implementeringen är en annan metod för att skydda data mot attacker mellan Microsoft-datacenter.
Azure Rights Management (ingår i Microsoft 365 eller Azure Information Protection) Exchange Online, SharePoint Online och OneDrive för företag Kund Data hamnar i händerna på en person som inte ska ha tillgång till dessa data. Azure Information Protection använder Azure RMS, som ger värde till kunderna genom att använda krypterings-, identitets- och auktoriseringsprinciper för att skydda filer och e-post på flera enheter. Azure RMS ger värde till kunder där alla e-postmeddelanden som kommer från Microsoft 365 som matchar vissa villkor (dvs. alla e-postmeddelanden till en viss adress) kan krypteras automatiskt innan de skickas till en annan mottagare.
S/MIME Exchange Online Kund E-post hamnar i händerna på en person som inte är den avsedda mottagaren. S/MIME anger att e-post som krypteras med S/MIME bara kan dekrypteras av e-postmeddelandets direktmottagare.
Meddelandekryptering i Office 365 Exchange Online, SharePoint Online Kund E-post, inklusive skyddade bifogade filer, hamnar i händerna på en person i eller utanför Microsoft 365 som inte är den avsedda mottagaren av e-postmeddelandet. OME ger värde till kunder där alla e-postmeddelanden som kommer från Microsoft 365 som matchar vissa villkor (dvs. alla e-postmeddelanden till en viss adress) automatiskt krypteras innan de skickas till en annan intern eller extern mottagare.
SMTP-TLS med partnerorganisation Exchange Online Kund E-post snappas upp via en man i mitten eller annan attack under överföring från en Microsoft 365-klient till en annan partnerorganisation. Det här scenariot ger kunden ett värde så att de kan skicka och ta emot alla e-postmeddelanden mellan Microsoft 365-klientorganisationen och partnerns e-postorganisation i en krypterad SMTP-kanal.

Krypteringsteknik som är tillgänglig i miljöer med flera innehavare

Krypteringsteknik Implementeras av Tangent Exchange Algoritm och hållfasthet Nyckelhantering* FIPS 140-2 validerad
BitLocker Exchange Online AES 256-bitars Den externa AES-nyckeln lagras i en hemlig Valv och i registret på Exchange server. Den hemliga Valv är en säker lagringsplats som kräver hög höjd och godkännanden för åtkomst. Åtkomst kan bara begäras och godkännas genom att använda ett internt verktyg som kallas Lockbox. Den externa AES-nyckeln lagras också i modulen Betrodd plattform på servern. Ett numeriskt lösenord med 48 siffror lagras i Active Directory och skyddas av Lockbox. Ja
SharePoint Online AES 256-bitars Den externa AES-nyckeln lagras i ett hemligt Valv. Den hemliga Valv är en säker lagringsplats som kräver hög höjd och godkännanden för åtkomst. Åtkomst kan bara begäras och godkännas genom att använda ett internt verktyg som kallas Lockbox. Den externa AES-nyckeln lagras också i modulen Betrodd plattform på servern. Ett numeriskt lösenord med 48 siffror lagras i Active Directory och skyddas av Lockbox. Ja
Skype för företag AES 256-bitars Den externa AES-nyckeln lagras i ett hemligt Valv. Den hemliga Valv är en säker lagringsplats som kräver hög höjd och godkännanden för åtkomst. Åtkomst kan bara begäras och godkännas genom att använda ett internt verktyg som kallas Lockbox. Den externa AES-nyckeln lagras också i modulen Betrodd plattform på servern. Ett numeriskt lösenord med 48 siffror lagras i Active Directory och skyddas av Lockbox. Ja
Tjänstkryptering SharePoint Online AES 256-bitars De nycklar som används för att kryptera blobbar lagras i SharePoint Onlineinnehållsdatabas. Databasen SharePoint onlineinnehåll skyddas av åtkomstkontroller och kryptering av databasen i vila. Kryptering utförs med TDE i Azure SQL Database. Dessa hemligheter befinner sig på tjänstnivå hos SharePoint Online, inte på klientorganisationsnivå. Dessa hemligheter (kallas ibland för huvudnycklar) lagras i en separat säker lagringsplats som kallas nyckelarkivet. TDE ger säkerhet i vila för både den aktiva databasen och säkerhetskopiering av databasen och transaktionsloggar. När kunder tillhandahåller den valfria nyckeln lagras kundnyckeln i Azure-nyckelvalvet och tjänsten använder nyckeln för att kryptera en klientnyckel, som används för att kryptera en webbplatsnyckel, som sedan används för att kryptera tangenterna på filnivå. En ny nyckelhierarki introduceras i princip när kunden tillhandahåller en nyckel. Ja
Skype för företag AES 256-bitars Varje bit av data krypteras med en annan slumpmässigt genererad 256-bitars nyckel. Krypteringsnyckeln lagras i en motsvarande XML-metadatafil, som också krypteras med en nyckel för varje konferens. Huvudnyckeln genereras också slumpmässigt en gång per konferens. Ja
Exchange Online AES 256-bitars Varje postlåda krypteras med en datakrypteringsprincip som använder krypteringsnycklar som styrs av Microsoft (på översikten) eller av kunden (när kundnyckel används). Ja
TLS mellan Microsoft 365 och klienter/partners Exchange Online Opportunistisk TLS med stöd för flera chiffersviter TLS-certifikatet för Exchange Online (outlook.office.com) är ett 2048-bitars SHA256RSA-certifikat utfärdat av Baltimore CyberTrust Root.

TLS-rotcertifikatet för Exchange Online är ett 2048-bitars SHA1RSA-certifikat utfärdat av Baltimore CyberTrust Root.
Ja, när TLS 1,2 med 256-bitars chifferstyrka används
SharePoint Online TLS 1.2 med AES 256

Data Encryption in OneDrive for Business and SharePoint Online
TLS-certifikatet för SharePoint Online (*.sharepoint.com) är ett 2048-bitars SHA256RSA-certifikat utfärdat av Baltimore CyberTrust Root.

TLS-rotcertifikatet för SharePoint Online är ett 2048-bitars SHA1RSA-certifikat utfärdat av Baltimore CyberTrust Root.
Ja
Skype för företag TLS för SIP-kommunikations- och PSOM-datadelningssessioner TLS-certifikatet för Skype för företag (*.lync.com) är ett 2048-bitars SHA256RSA-certifikat utfärdat av Baltimore CyberTrust Root.

TLS-rotcertifikatet för Skype för företag är ett 2048-bitars SHA256RSA-certifikat utfärdat av Baltimore CyberTrust Root.
Ja
Microsoft Teams TLS 1.2 med AES 256

Vanliga frågor och svar om Microsoft Teams – hjälp för administratörer
TLS-certifikatet för Microsoft Teams (teams.microsoft.com, edge.skype.com) är ett 2048-bitars SHA256RSA-certifikat utfärdat av Baltimore CyberTrust Root.

TLS-rotcertifikatet för Microsoft Teams är ett 2048-bitars SHA256RSA-certifikat utfärdat av Baltimore CyberTrust Root.
Ja
TLS mellan Microsoft-datacenter Alla Microsoft 365 tjänster TLS 1.2 med AES 256

Secure Real-time Transport Protocol (SRTP)
Microsoft använder en internt hanterad och distribuerad certifikatutfärdare för server-till-server-kommunikation mellan Microsoft-datacenter. Ja
Azure Rights Management (ingår i Microsoft 365 eller Azure Information Protection) Exchange Online Stöder Cryptographic Mode 2, en uppdaterad och förbättrad implementering av RMS-kryptografik. Det har stöd för RSA 2048 för signatur och kryptering och SHA-256 för hash i signaturen. Hanteras av Microsoft. Ja
SharePoint Online Stöder Cryptographic Mode 2, en uppdaterad och förbättrad implementering av RMS-kryptografik. Den har stöd för RSA 2048 för signatur och kryptering och SHA-256 för signatur. Hanteras av Microsoft,vilket är standardinställningen. eller

Kund hanterade, som är ett alternativ till nycklar som hanteras av Microsoft. Organisationer som har en IT-hanterad Azure-prenumeration kan använda BYOK och logga användningen utan extra kostnad. Mer information finns i Implementera bring your own key. I den här konfigurationen används snabbmeddelanden för att skydda dina nycklar. Mer information finns i nCipher HSMs och Azure RMS.
Ja
S/MIME Exchange Online Cryptographic Message Syntax Standard 1.5 (PKCS #7) Beror på den offentliga nyckelinfrastruktur som hanteras av kunden. Nyckelhantering utförs av kunden och Microsoft har aldrig tillgång till de privata nycklar som används för signering och dekryptering. Ja, när du är konfigurerad för att kryptera utgående meddelanden med 3DES eller AES256
Meddelandekryptering i Office 365 Exchange Online Samma som Azure RMS (Cryptographic Mode 2 – RSA 2048 för signatur och kryptering och SHA-256 för signatur) Använder Azure Information Protection som krypteringsinfrastruktur. Vilken krypteringsmetod som används beror på var du hämtar RMS-tangenterna som används för att kryptera och dekryptera meddelanden. Ja
SMTP-TLS med partnerorganisation Exchange Online TLS 1.2 med AES 256 TLS-certifikatet för Exchange Online (outlook.office.com) är en 2048-bitars SHA-256 med RSA Encryption-certifikat utfärdat av DigiCert Cloud Services CA-1.

TLS-rotcertifikatet för Exchange Online är en 2048-bitars SHA-1 med RSA-krypteringscertifikat utfärdat av GlobalSign Root CA – R1.

Av säkerhetsskäl ändras våra certifikat då och då.
Ja, när TLS 1,2 med 256-bitars chifferstyrka används

*TLS-certifikat som refereras i den här tabellen är till för amerikanska datacenter. Icke-amerikanska datacenter använder också 2048-bitars SHA256RSA-certifikat.

Krypteringsteknik som är tillgänglig i Government-molngemenskapsmiljöer

Krypteringsteknik Implementeras av Tangent Exchange Algoritm och hållfasthet Nyckelhantering* FIPS 140-2 validerad
BitLocker Exchange Online AES 256-bitars Den externa AES-nyckeln lagras i en hemlig Valv och i registret på Exchange server. Den hemliga Valv är en säker lagringsplats som kräver hög höjd och godkännanden för åtkomst. Åtkomst kan bara begäras och godkännas genom att använda ett internt verktyg som kallas Lockbox. Den externa AES-nyckeln lagras också i modulen Betrodd plattform på servern. Ett numeriskt lösenord med 48 siffror lagras i Active Directory och skyddas av Lockbox. Ja
SharePoint Online AES 256-bitars Den externa AES-nyckeln lagras i ett hemligt Valv. Den hemliga Valv är en säker lagringsplats som kräver hög höjd och godkännanden för åtkomst. Åtkomst kan bara begäras och godkännas genom att använda ett internt verktyg som kallas Lockbox. Den externa AES-nyckeln lagras också i modulen Betrodd plattform på servern. Ett numeriskt lösenord med 48 siffror lagras i Active Directory och skyddas av Lockbox. Ja
Skype för företag AES 256-bitars Den externa AES-nyckeln lagras i ett hemligt Valv. Den hemliga Valv är en säker lagringsplats som kräver hög höjd och godkännanden för åtkomst. Åtkomst kan bara begäras och godkännas genom att använda ett internt verktyg som kallas Lockbox. Den externa AES-nyckeln lagras också i modulen Betrodd plattform på servern. Ett numeriskt lösenord med 48 siffror lagras i Active Directory och skyddas av Lockbox. Ja
Tjänstkryptering SharePoint Online AES 256-bitars De nycklar som används för att kryptera blobbar lagras i SharePoint Onlineinnehållsdatabas. Databasen SharePoint onlineinnehållsdatabaser skyddas av databasåtkomstkontroller och kryptering i vila. Kryptering utförs med TDE i Azure SQL Database. Dessa hemligheter befinner sig på tjänstnivå hos SharePoint Online, inte på klientorganisationsnivå. Dessa hemligheter (kallas ibland för huvudnycklar) lagras i en separat säker lagringsplats som kallas nyckelarkivet. TDE ger säkerhet i vila för både den aktiva databasen och säkerhetskopiering av databasen och transaktionsloggar. När kunder tillhandahåller den valfria nyckeln lagras kundnyckeln i Azure-nyckelvalvet och tjänsten använder nyckeln för att kryptera en klientnyckel, som används för att kryptera en webbplatsnyckel, som sedan används för att kryptera tangenterna på filnivå. En ny nyckelhierarki introduceras i princip när kunden tillhandahåller en nyckel. Ja
Skype för företag AES 256-bitars Varje bit av data krypteras med en annan slumpmässigt genererad 256-bitars nyckel. Krypteringsnyckeln lagras i en motsvarande XML-metadatafil, som också krypteras med en nyckel för varje konferens. Huvudnyckeln genereras också slumpmässigt en gång per konferens. Ja
Exchange Online AES 256-bitars Varje postlåda krypteras med en datakrypteringsprincip som använder krypteringsnycklar som styrs av Microsoft eller av kunden (när kundnyckel används). Ja
TLS mellan Microsoft 365 och klienter/partners Exchange Online Opportunistisk TLS med stöd för flera chiffersviter TLS-certifikatet för Exchange Online (outlook.office.com) är ett 2048-bitars SHA256RSA-certifikat utfärdat av Baltimore CyberTrust Root.

TLS-rotcertifikatet för Exchange Online är ett 2048-bitars SHA1RSA-certifikat utfärdat av Baltimore CyberTrust Root.
Ja, när TLS 1.2 med 256-bitars chifferstyrka används
SharePoint Online TLS 1.2 med AES 256 TLS-certifikatet för SharePoint Online (*.sharepoint.com) är ett 2048-bitars SHA256RSA-certifikat utfärdat av Baltimore CyberTrust Root.

TLS-rotcertifikatet för SharePoint Online är ett 2048-bitars SHA1RSA-certifikat utfärdat av Baltimore CyberTrust Root.
Ja
Skype för företag TLS för SIP-kommunikations- och PSOM-datadelningssessioner TLS-certifikatet för Skype för företag (*.lync.com) är ett 2048-bitars SHA256RSA-certifikat utfärdat av Baltimore CyberTrust Root.

TLS-rotcertifikatet för Skype för företag är ett 2048-bitars SHA256RSA-certifikat utfärdat av Baltimore CyberTrust Root.
Ja
Microsoft Teams Vanliga frågor och svar om Microsoft Teams – hjälp för administratörer TLS-certifikatet för Microsoft Teams (teams.microsoft.com; edge.skype.com) är ett 2048-bitars SHA256RSA-certifikat utfärdat av Baltimore CyberTrust Root.

TLS-rotcertifikatet för Microsoft Teams är ett 2048-bitars SHA256RSA-certifikat utfärdat av Baltimore CyberTrust Root.
Ja
TLS mellan Microsoft-datacenter Exchange Online, SharePoint Online Skype för företag TLS 1.2 med AES 256 Microsoft använder en internt hanterad och distribuerad certifikatutfärdare för server-till-server-kommunikation mellan Microsoft-datacenter. Ja
Secure Real-time Transport Protocol (SRTP)
Azure Rights Management Service Exchange Online Stöder Cryptographic Mode 2, en uppdaterad och förbättrad implementering av RMS-kryptografik. Det har stöd för RSA 2048 för signatur och kryptering och SHA-256 för hash i signaturen. Hanteras av Microsoft. Ja
SharePoint Online Stöder Cryptographic Mode 2, en uppdaterad och förbättrad implementering av RMS-kryptografik. Det har stöd för RSA 2048 för signatur och kryptering och SHA-256 för hash i signaturen. Hanteras av Microsoft,vilket är standardinställningen. eller

Kund hanterade (kallas även BYOK), som är ett alternativ till nycklar som hanteras av Microsoft. Organisationer som har en IT-hanterad Azure-prenumeration kan använda BYOK och logga användningen utan extra kostnad. Mer information finns i Implementera bring your own key.

I BYOK-scenariot används snabbmeddelanden för chiffer för att skydda dina nycklar. Mer information finns i nCipher HSMs och Azure RMS.
Ja
S/MIME Exchange Online Cryptographic Message Syntax Standard 1.5 (PKCS #7) Beror på den offentliga nyckelinfrastrukturen som används. Ja, när du är konfigurerad för att kryptera utgående meddelanden med 3DES eller AES-256.
Meddelandekryptering i Office 365 Exchange Online Samma som Azure RMS (Cryptographic Mode 2 – RSA 2048 för signatur och kryptering och SHA-256 för hash i signaturen) Använder Azure RMS som krypteringsinfrastruktur. Vilken krypteringsmetod som används beror på var du hämtar RMS-tangenterna som används för att kryptera och dekryptera meddelanden.

Om du använder Microsoft Azure RMS för att hämta knapparna används Cryptographic Mode 2. Om du använder Active Directory (AD) RMS för att hämta nycklarna används antingen Cryptographic Mode 1 eller Cryptographic Mode 2. Vilken metod som används beror på din lokala AD RMS-distribution. Cryptographic Mode 1 är den ursprungliga AD RMS-kryptografiska implementeringen. Det har stöd för RSA 1024 för signatur och kryptering och har stöd för SHA-1 för signatur. Det här läget stöds fortfarande av alla aktuella versioner av RMS, förutom BYOK-konfigurationer som använder snabbmeddelanden.
Ja
SMTP-TLS med partnerorganisation Exchange Online TLS 1.2 med AES 256 TLS-certifikatet för Exchange Online (outlook.office.com) är en 2048-bitars SHA-256 med RSA Encryption-certifikat utfärdat av DigiCert Cloud Services CA-1.

TLS-rotcertifikatet för Exchange Online är en 2048-bitars SHA-1 med RSA-krypteringscertifikat utfärdat av GlobalSign Root CA – R1.

Av säkerhetsskäl ändras våra certifikat då och då.
Ja, när TLS 1.2 med 256-bitars chifferstyrka används

*TLS-certifikat som refereras i den här tabellen är till för amerikanska datacenter. Icke-amerikanska datacenter använder också 2048-bitars SHA256RSA-certifikat.