商務用 Skype、商務用 OneDrive、SharePoint Online、Microsoft Teams 和 Exchange Online 的加密
Microsoft 365 是高度安全的環境,可在多個層級中提供廣泛的保護:實體資料中心安全性、網路安全性、存取安全性、應用程式安全性和資料安全性。
商務用 Skype
商務用 Skype客戶資料可能會以會議參與者上傳的檔案或簡報形式儲存在待用狀態。 Web 會議伺服器會使用具有 256 位金鑰的 AES 來加密客戶資料。 加密的客戶資料會儲存在檔案共用上。 每個客戶資料都會使用不同隨機產生的 256 位金鑰來加密。 在會議中共用客戶資料時,Web 會議伺服器會指示會議用戶端透過 HTTPS 下載加密的客戶資料。 它會將對應的金鑰傳送至用戶端,以便解密客戶資料。 Web 會議伺服器也會先驗證會議用戶端,然後才允許用戶端存取會議客戶資料。 加入 Web 會議時,每個會議用戶端會先建立 SIP 對話方塊,並透過 TLS 在前端伺服器內執行會議焦點元件。 會議焦點會將 Web 會議伺服器所產生的驗證 Cookie 傳遞給會議用戶端。 然後,會議用戶端會連線到 Web 會議伺服器,以呈現要由伺服器驗證的驗證 Cookie。
SharePoint Online 和商務用 OneDrive
SharePoint Online 中的所有客戶檔案都會受到單一租使用者獨佔的唯一每個檔案金鑰所保護。 金鑰是由 SharePoint Online 服務建立和管理,或由客戶使用、建立和管理客戶金鑰時。 上傳檔案時,SharePoint Online 會在上傳要求的內容中執行加密,然後再傳送至 Azure 儲存體。 下載檔案時,SharePoint Online 會根據唯一的檔識別碼,從 Azure 儲存體擷取加密的客戶資料,並在將客戶資料傳送給使用者之前解密。 Azure 儲存體無法解密,甚至無法識別或瞭解客戶資料。 所有加密和解密都會發生在強制執行租使用者隔離的相同系統中,這些系統Microsoft Entra識別碼和 SharePoint Online。
Microsoft 365 中的數個工作負載會將資料儲存在 SharePoint Online 中,包括在 SharePoint Online 中儲存所有檔案的 Microsoft Teams,以及使用 SharePoint Online 儲存空間的 商務用 OneDrive。 儲存在 SharePoint Online 中的所有客戶資料都會加密 (一或多個 AES 256 位金鑰) ,並分散到資料中心,如下所示。 (此加密程式的每個步驟都已驗證 FIPS 140-2 層級 2。如需 FIPS 140-2 合規性的其他資訊,請參閱 FIPS 140-2 Compliance.)
每個檔案都會分割成一或多個區塊,視檔案大小而定。 每個區塊都會使用自己的唯一 AES 256 位金鑰來加密。
更新檔案時,會以相同方式處理更新:變更會分割成一或多個區塊,而且每個區塊都會以個別的唯一金鑰加密。
這些區塊 – 檔案、檔案片段和更新差異 – 會以 Blob 的形式儲存在 Azure 儲存體中,並隨機分散到多個 Azure 儲存體帳戶。
這些客戶資料區塊的加密金鑰集本身已加密。
- 用來加密 Blob 的金鑰會儲存在 SharePoint Online 內容資料庫中。
- 內容資料庫受到資料庫存取控制和待用加密的保護。 加密是使用 Azure SQL Database 中的透明資料加密 (TDE) 來執行。 (Azure SQL 資料庫是 Microsoft Azure 中的一般用途關係資料庫服務,可支援關聯式資料、JSON、空間和 XML 等結構 ) 這些秘密位於 SharePoint Online 的服務層級,而不是租使用者層級。 這些秘密 (有時稱為主要金鑰) 儲存在稱為金鑰存放區的個別安全存放庫中。 TDE 提供作用中資料庫以及資料庫備份和交易記錄的待用安全性。
- 當客戶提供選擇性金鑰時,客戶金鑰會儲存在 Azure 金鑰保存庫中,而服務會使用金鑰來加密租使用者金鑰,用來加密月臺金鑰,然後用來加密檔案層級金鑰。 基本上,當客戶提供金鑰時,就會導入新的金鑰階層。
用來重新組合檔案的對應會與加密金鑰一起儲存在內容資料庫中,與解密所需的主要金鑰分開。
每個 Azure 儲存體帳戶都有自己的唯一認證,每個存取類型 (讀取、寫入、列舉和刪除) 。 每個認證集都會保留在安全的金鑰存放區中,且會定期重新整理。 如上所述,有三種不同類型的存放區,每個存放區都有不同的函式:
- 客戶資料會儲存為 Azure 儲存體中的加密 Blob。 每個客戶資料區塊的金鑰會分別加密並儲存在內容資料庫中。 客戶資料本身沒有解密方式的線索。
- 內容資料庫是SQL Server資料庫。 它會保存尋找和重新組合 Azure 儲存體中所保留的客戶資料 Blob 所需的對應,以及加密這些 Blob 所需的金鑰。 不過,這組金鑰本身會加密 (如上) 所述,並保留在個別的金鑰存放區中。
- 金鑰存放區實際上與內容資料庫和 Azure 儲存體分開。 它會保存每個 Azure 儲存體容器的認證,以及保留在內容資料庫中一組加密金鑰的主要金鑰。
這三個儲存體元件 -Azure Blob 存放區、內容資料庫和金鑰存放區等這三個儲存體元件實際上都是分開的。 任何一個元件中保留的資訊本身都無法使用。 若沒有這三個專案的存取權,就無法擷取區塊的索引鍵、解密金鑰使其可供使用、將索引鍵與其對應的區塊產生關聯、解密每個區塊,或從其組成區塊重新建構檔。
BitLocker 憑證可保護資料中心內電腦上的實體磁片區,並儲存在受伺服器陣列金鑰保護的 SharePoint Online 秘密存放區) (安全存放庫中。
保護每個 Blob 金鑰的 TDE 金鑰會儲存在兩個位置:
- 安全存放庫,裝載 BitLocker 憑證,並受到伺服器陣列金鑰保護;和
- 在 Azure SQL 資料庫管理的安全存放庫中。
用來存取 Azure 儲存體容器的認證也會保留在 SharePoint Online 秘密存放區中,並視需要委派給每個 SharePoint Online 伺服器陣列。 這些認證是 Azure 儲存體 SAS 簽章,具有用來讀取或寫入資料的個別認證,並套用原則,以便每 60 天自動到期一次。 不同的認證是用來讀取或寫入資料 () 和 SharePoint Online 伺服器陣列都未獲授與列舉許可權。
注意事項
針對Office 365美國政府客戶,資料 Blob 會儲存在 Azure 美國政府儲存體中。 此外,Office 365美國政府中的 SharePoint Online 金鑰存取權僅限於已特別篩選的Office 365人員。 Azure 美國政府營運人員無法存取用於加密資料 Blob 的 SharePoint Online 金鑰存放區。
如需 SharePoint Online 和 商務用 OneDrive 中資料加密的詳細資訊,請參閱商務用 OneDrive 和 SharePoint Online 中的資料加密。
列出 SharePoint Online 中的專案
清單專案是特定建立或可更動態地在網站中建立的較小客戶資料區塊,例如使用者建立清單中的資料列、SharePoint Online 部落格中的個別文章,或 SharePoint Online Wiki 頁面內的專案。 清單專案會儲存在內容資料庫 (Azure SQL 資料庫) 中,並使用 TDE 保護。
傳輸中資料的加密
在OneDrive for Business 和 SharePoint Online 中,資料進出資料中心的方式有兩種。
- 與伺服器的用戶端通訊 - 與 SharePoint Online 的通訊,以及跨網際網路的商務用 OneDrive使用 TLS 連線。
- 資料中心之間的資料移動 - 在資料中心之間移動資料的主要原因是異地複寫啟用災害復原。 例如,SQL Server交易記錄和 Blob 儲存體差異會隨時此管道流動。 若己使用私人網路傳輸資料,則系統會進一步以業界領先的加密方式保護資料。
Exchange Online
Exchange Online會針對所有信箱資料使用 BitLocker,而 BitLocker 設定則會在BitLocker for Encryption中說明。 服務層級加密會加密信箱層級上的所有信箱資料。
除了服務加密之外,Microsoft 365 還支援以服務加密為基礎的客戶金鑰。 客戶金鑰是 Microsoft 管理的金鑰選項,用於Exchange Online也位於 Microsoft 藍圖上的服務加密。 此加密方法提供 BitLocker 未提供更高的保護,因為它提供資料解密所需的伺服器管理員和密碼編譯金鑰隔離,而且加密會直接套用至資料 (與 BitLocker 相反,後者會在邏輯磁片區套用加密,) 從 Exchange 伺服器複製的任何客戶資料仍會保持加密。
Exchange Online服務加密的範圍是儲存在Exchange Online內的待用客戶資料。 (商務用 Skype 會將幾乎所有使用者產生的內容儲存在使用者的Exchange Online信箱中,因此會繼承 Exchange Online.) 的服務加密功能
Microsoft Teams
Teams 會使用 TLS 和 MTLS 來加密立即訊息。 所有伺服器對伺服器流量都需要 MTLS,不論流量是局限于內部網路還是跨越內部網路周邊。
下表摘要說明 Teams 所使用的通訊協定。
| 流量類型 | 加密者 |
|---|---|
| 伺服器對伺服器 | MTLS |
| 用戶端對伺服器 (例如立即訊息和目前狀態) | TLS |
| 媒體流程 (媒體) 的音訊和視訊共用 | TLS |
| 媒體的音訊和視訊共用 | SRTP/TLS |
| 訊號 | TLS |
媒體加密
媒體流量都是使用安全 RTP (SRTP) 加密,它是即時傳輸通訊協定 (RTP) 的設定檔,為 RTP 流量提供機密性、驗證功能和重播攻擊防護。 SRTP 會使用使用安全亂數產生器所產生的工作階段金鑰,並使用訊號 TLS 通道進行交換。 用戶端對用戶端媒體流量是透過用戶端對伺服器連線訊號交涉,但在直接移至用戶端時會使用 SRTP 進行加密。
Teams 會使用認證型權杖,透過 TURN 安全地存取媒體轉送。 媒體轉送會透過受 TLS 保護的通道交換權杖。
Fips
Teams 會使用 FIPS (聯邦資訊處理標準) 符合規範的演算法來進行加密金鑰交換。 如需 FIPS 實作的詳細資訊,請參閱 聯邦資訊處理標準 (FIPS) 發行集 140-2。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應