了解 Microsoft Purview 中的服務加密
有了 Microsoft 受管理金鑰,Microsoft 服務會管理和儲存用於服務加密的根加密金鑰,減輕客戶佈建和管理根加密金鑰的負擔。 Microsoft 受管理金鑰會儲存在私密金鑰保存庫中,只能由 Microsoft 365 服務因資料加密間接存取。 這些金鑰無法由 Microsoft 員工直接存取。
Microsoft 受管理金鑰是沒有金鑰管理需求的雲端客戶的可行解決方案。 對於部分客戶,Microsoft 受管理金鑰可能無法滿足他們在金鑰管理、作業或儲存方面的義務。 若要滿足這些義務,可以使用客戶金鑰功能來實作客戶管理的金鑰。
上圖左側概述 Exchange Online 的金鑰階層,其中顯示如何使用兩個 Microsoft 受控 RSA 金鑰和一個對等的 AES-256 可用性密鑰來保護數據加密原則金鑰,進而保護用來加密 Exchange Online 中信箱的信箱密鑰。 圖表右側顯示 SharePoint Online、商務用 OneDrive 和 Microsoft Teams 檔案的金鑰階層,這些檔案使用 SQL 透明數據加密來保護 SQL Database 的檔案區塊加密密鑰。
Microsoft 預設會管理服務層級加密金鑰,但某些客戶可能會有內部或外部需求來管理自己的根密鑰。 下一個單元將討論客戶密鑰功能,讓客戶符合這些需求。