BitLocker 與 Distributed Key Manager (DKM) 的加密

Microsoft 伺服器會使用 BitLocker 來加密磁片磁碟機，其中包含磁片區層級的待用客戶資料。 BitLocker 加密是 Windows 內建的資料保護功能。 BitLocker 是其中一種技術，可用來防範威脅，以防其他程式或控制措施發生失效， (例如，硬體) 的存取控制或回收可能會導致有人取得包含客戶資料之磁片的實際存取權。 在此情況下，BitLocker 消除了因遺失、盜竊或不當解除委任的電腦和磁碟而導致資料竊取或暴露的可能性。

BitLocker 是使用進階加密標準 (AES) 256 位加密部署在包含Exchange Online、SharePoint Online 和 商務用 Skype 中客戶資料的磁片上。 磁片磁區會使用完整磁片區加密金鑰 (FVEK) 來加密，該金鑰會使用磁片區主要金鑰 (VMK) 來加密，進而系結至伺服器中的信賴平臺模組 (TPM) 。 VMK 會直接保護 FVEK，因此保護 VMK 變得非常重要。 下圖說明此案例中指定伺服器 (的 BitLocker 金鑰保護鏈結範例，使用Exchange Online伺服器) 。

下表描述指定伺服器 (的 BitLocker 金鑰保護鏈結，在此案例中為Exchange Online伺服器) 。

金鑰保護裝置	粒 度	產生方式為何？	儲存在哪裡？	保護
AES 256 位外部金鑰	每部伺服器	BitLocker API	TPM 或秘密安全	Lockbox / 存取控制
			信箱伺服器登錄	TPM 加密
48 位數的數值密碼	每個磁片	BitLocker API	Active Directory	Lockbox / 存取控制
X.509 憑證作為 Data Recovery Agent (DRA) 也稱為公開金鑰保護裝置	例如，Exchange Online多租使用者 (環境)	Microsoft CA	建置系統	沒有一個使用者擁有私密金鑰的完整密碼。 密碼受到實體保護。

BitLocker 金鑰管理牽涉到管理復原金鑰，這些金鑰可用來解除鎖定/復原 Microsoft 資料中心內加密的磁片。 Microsoft 365 會將主要金鑰存放在安全共用中，只有經過篩選和核准的人員才能存取。 金鑰的認證會儲存在存取控制資料的安全存放庫中， (我們所謂的「秘密存放區」) ，這需要高層級的提升許可權和管理核准，才能使用 Just-In-Time 存取提高許可權工具進行存取。

BitLocker 支援分屬於兩種管理類別的金鑰：

• BitLocker 管理的金鑰，其存留期很短，且系結至安裝在伺服器或指定磁片上的作業系統實例存留期。 這些金鑰在伺服器重新安裝或磁碟格式化期間會刪除並重設。

• BitLocker 修復金鑰，在 BitLocker 外部管理，但用於磁片解密。 對於重新安裝作業系統，且加密資料磁碟已存在的案例，BitLocker 會使用復原金鑰。 在回應者可能需要解除鎖定磁碟的 Exchange Online 中，受管理的可用性監視探查也會使用復原金鑰。

受 BitLocker 保護的磁片區會使用完整磁片區加密金鑰進行加密，接著會使用磁片區主要金鑰進行加密。 BitLocker 會使用符合 FIPS 規範的演算法，確保加密金鑰永遠不會以清楚的方式透過網路儲存或傳送。 客戶待用資料保護的 Microsoft 365 實作不會偏離預設的 BitLocker 實作。