加密風險與防護
Microsoft 遵循控制項和合規性架構,著重于 Microsoft 365 服務和客戶資料的風險。 Microsoft 實作一組大型技術和程式型方法, (稱為控制) ,以降低這些風險。 透過控制項識別、評估及降低風險是一個持續的程式。
在我們的雲端服務的各個層級內實作控制項,例如設施、網路、伺服器、應用程式、使用者 (,例如 Microsoft 系統管理員) 和資料,構成深層防禦策略。 此策略的關鍵在於在不同層級實作許多不同的控制項,以防範相同或類似的風險案例。 此多層式方法可在控制項因故失敗時提供安全故障保護。
以下列出一些風險案例,以及目前可用的加密技術來降低風險。 在許多情況下,這些案例也會透過在 Office 365 中實作的其他控制項來緩解。
| 加密技術 | 服務 | 金鑰管理 | 風險案例 | 值 |
|---|---|---|---|---|
| BitLocker | Exchange Online、SharePoint Online 和 商務用 Skype | Microsoft | 磁片或伺服器遭竊或不當回收。 | BitLocker 提供一種安全性的方法,可防止因為伺服器/磁片) 遭竊或不當回收的硬體 (而遺失資料。 |
| 服務加密 | SharePoint Online、商務用 Skype 和 商務用 OneDrive;Exchange Online | Microsoft | 內部或外部駭客嘗試以 Blob 的形式存取個別檔案/資料。 | 沒有金鑰的存取權,就無法解密加密的資料。 協助降低駭客存取資料的風險。 |
| 客戶金鑰 | SharePoint Online、商務用 OneDrive、Exchange Online 和 商務用 Skype | 客戶 | N/A (此功能設計為合規性功能;不作為任何風險的緩和措施。) | 協助客戶符合內部法規和合規性義務,以及離開服務並撤銷 Microsoft 資料存取權的能力 |
| Microsoft 365 與用戶端之間的 TLS | Exchange Online、SharePoint Online、商務用 OneDrive、商務用 Skype、Teams 和 Viva Engage | Microsoft、Customer | 攔截式或其他攻擊,透過網際網路點選 Microsoft 365 與用戶端電腦之間的資料流程。 | 此實作可為 Microsoft 和客戶提供價值,並確保資料在 Microsoft 365 與用戶端之間流動時的完整性。 |
| Microsoft 資料中心之間的 TLS | Exchange Online、SharePoint Online、商務用 OneDrive 和 商務用 Skype | Microsoft | 攔截式或其他攻擊,以點選位於不同 Microsoft 資料中心之 Microsoft 365 伺服器之間的客戶資料流程。 | 此實作是保護資料免于遭受 Microsoft 資料中心之間攻擊的另一種方法。 |
| Microsoft 365 或 Azure 資訊保護) 中包含的 Azure Rights Management ( | Exchange Online、SharePoint Online 和 商務用 OneDrive | 客戶 | 資料會交由不應存取資料的人員使用。 | Azure 資訊保護會使用 Azure RMS,藉由使用加密、身分識別和授權原則來協助保護多個裝置上的檔案和電子郵件,為客戶提供價值。 Azure RMS 為客戶提供價值,讓所有源自 Microsoft 365 且符合特定準則的電子郵件 (也就是,傳送至特定位址的所有電子郵件) 在傳送給另一個收件者之前,都可以自動加密。 |
| S/MIME | Exchange Online | 客戶 | Email落在不是預定收件者的人手上。 | S/MIME 藉由確保使用 S/MIME 加密的電子郵件只能由電子郵件的直接收件者解密,為客戶提供價值。 |
| Office 365 郵件加密 | Exchange Online、SharePoint Online | 客戶 | Email,包括受保護的附件,屬於 Microsoft 365 內部或外部不是電子郵件預定收件者的人。 | OME 會為客戶提供價值,讓所有源自 Microsoft 365 且符合特定準則的電子郵件 (也就是,傳送至特定位址) 的所有電子郵件都會在傳送給另一個內部或外部收件者之前自動加密。 |
| 與合作夥伴組織的 SMTP TLS | Exchange Online | 客戶 | Email從 Microsoft 365 租使用者傳輸到另一個夥伴組織時,遭到攔截式攻擊或其他攻擊。 | 此案例為客戶提供價值,讓他們可以在加密的 SMTP 通道內傳送/接收 Microsoft 365 租使用者與其合作夥伴電子郵件組織之間的所有電子郵件。 |
提示
如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料。
多租使用者環境中可用的加密技術
| 加密技術 | 實作者 | 金鑰交換演算法和強度 | 金鑰管理* | FIPS 140-2 已驗證 |
|---|---|---|---|---|
| BitLocker | Exchange Online | AES 256 位 | AES 外部金鑰會儲存在秘密安全和 Exchange 伺服器的登錄中。 秘密安全是安全的存放庫,需要高層級提高許可權和核准才能存取。 只有使用稱為 Lockbox 的內部工具,才能要求和核准存取權。 AES 外部金鑰也會儲存在伺服器的信賴平臺模組中。 48 位數的數位密碼會儲存在 Active Directory 中,並受到 Lockbox 保護。 | 是 |
| SharePoint Online | AES 256 位 | AES 外部金鑰會儲存在秘密安全中。 秘密安全是安全的存放庫,需要高層級提高許可權和核准才能存取。 只有使用稱為 Lockbox 的內部工具,才能要求和核准存取權。 AES 外部金鑰也會儲存在伺服器的信賴平臺模組中。 48 位數的數位密碼會儲存在 Active Directory 中,並受到 Lockbox 保護。 | 是 | |
| 商務用 Skype | AES 256 位 | AES 外部金鑰會儲存在秘密安全中。 秘密安全是安全的存放庫,需要高層級提高許可權和核准才能存取。 只有使用稱為 Lockbox 的內部工具,才能要求和核准存取權。 AES 外部金鑰也會儲存在伺服器的信賴平臺模組中。 48 位數的數位密碼會儲存在 Active Directory 中,並受到 Lockbox 保護。 | 是 | |
| 服務加密 | SharePoint Online | AES 256 位 | 用來加密 Blob 的金鑰會儲存在 SharePoint Online 內容資料庫中。 SharePoint Online 內容資料庫受到資料庫存取控制和待用加密的保護。 加密是使用 Azure SQL Database 中的 TDE 來執行。 這些秘密位於 SharePoint Online 的服務層級,而不是租使用者層級。 這些秘密 (有時稱為主要金鑰) 儲存在稱為金鑰存放區的個別安全存放庫中。 TDE 提供作用中資料庫以及資料庫備份和交易記錄的待用安全性。 當客戶提供選擇性金鑰時,客戶金鑰會儲存在 Azure 金鑰保存庫中,而服務會使用金鑰來加密租使用者金鑰,用來加密月臺金鑰,然後用來加密檔案層級金鑰。 基本上,當客戶提供金鑰時,就會導入新的金鑰階層。 | 是 |
| 商務用 Skype | AES 256 位 | 每個資料片段都會使用不同隨機產生的 256 位金鑰來加密。 加密金鑰會儲存在對應的中繼資料 XML 檔案中,該檔案也會由每個會議的主要金鑰加密。 主要金鑰也會在每個會議中隨機產生一次。 | 是 | |
| Exchange Online | AES 256 位 | 每個信箱都會使用資料加密原則進行加密,該原則會使用 Microsoft 所控制的加密金鑰,或在使用客戶金鑰) 時由客戶 (加密。 | 是 | |
| Microsoft 365 與用戶端/合作夥伴之間的 TLS | Exchange Online | 支援多個加密套件的商機 TLS | Exchange Online (outlook.office.com) 的 TLS 憑證是 Baltimore CyberTrust Root 所發行的 2048 位SHA256RSA憑證。 Exchange Online的 TLS 根憑證是 Baltimore CyberTrust Root 所發行的 2048 位SHA1RSA憑證。 |
是,使用具有 256 位加密強度的 TLS 1.2 時 |
| SharePoint Online | TLS 1.2 搭配 AES 256 商務用 OneDrive 和 SharePoint Online 中的資料加密 (英文) |
SharePoint Online (*.sharepoint.com) 的 TLS 憑證是 Baltimore CyberTrust Root 所發行的 2048 位SHA256RSA憑證。 SharePoint Online 的 TLS 根憑證是 Baltimore CyberTrust Root 所發行的 2048 位SHA1RSA憑證。 |
是 | |
| 商務用 Skype | SIP 通訊和 PSOM 資料共用會話的 TLS | 商務用 Skype (*.lync.com) 的 TLS 憑證是 Baltimore CyberTrust Root 所發行的 2048 位SHA256RSA憑證。 商務用 Skype的 TLS 根憑證是 Baltimore CyberTrust Root 所發行的 2048 位SHA256RSA憑證。 |
是 | |
| Microsoft Teams | TLS 1.2 搭配 AES 256 關於 Microsoft Teams 的常見問題 – 管理員說明 |
Microsoft Teams (teams.microsoft.com 的 TLS 憑證,edge.skype.com) 是 Baltimore CyberTrust Root 所發行的 2048 位SHA256RSA憑證。 Microsoft Teams 的 TLS 根憑證是 Baltimore CyberTrust Root 所發行的 2048 位SHA256RSA憑證。 |
是 | |
| Microsoft 資料中心之間的 TLS | 所有 Microsoft 365 服務 | TLS 1.2 搭配 AES 256 安全的即時傳輸通訊協定 (SRTP) |
Microsoft 使用內部管理和部署的憑證授權單位單位,在 Microsoft 資料中心之間進行伺服器對伺服器通訊。 | 是 |
| Microsoft 365 或 Azure 資訊保護) 中包含的 Azure Rights Management ( | Exchange Online | 支援 密碼編譯模式 2,這是更新和增強的 RMS 密碼編譯實作。 它支援 RSA 2048 進行簽章和加密,而 SHA-256 則支援簽章中的雜湊。 | 由 Microsoft 管理。 | 是 |
| SharePoint Online | 支援 密碼編譯模式 2,這是更新和增強的 RMS 密碼編譯實作。 它支援 RSA 2048 進行簽章和加密,而 SHA-256 則支援簽章。 | 由 Microsoft 管理,這是預設設定;或 客戶管理,這是 Microsoft 管理金鑰的替代方案。 具有 IT 管理 Azure 訂用帳戶的組織可以使用 BYOK,並免費記錄其使用量。 如需詳細資訊,請參閱 實作攜帶您自己的金鑰。 在此設定中,會使用 nCipher HSM 來保護您的金鑰。 |
是 | |
| S/MIME | Exchange Online | 密碼編譯訊息語法 Standard 1.5 (PKCS #7) | 取決於已部署客戶管理的公開金鑰基礎結構。 金鑰管理是由客戶執行,且 Microsoft 永遠無法存取用於簽署和解密的私密金鑰。 | 是,當設定為使用 3DES 或 AES256 加密傳出訊息時 |
| Office 365 郵件加密 | Exchange Online | 與 Azure RMS (密碼編譯模式 2 相同 - 用於簽章和加密的 RSA 2048,以及用於簽章) 的 SHA-256 | 使用 Azure 資訊保護作為其加密基礎結構。 使用的加密方法取決於您在哪裡取得用來加密及解密郵件的 RMS 金鑰。 | 是 |
| 與合作夥伴組織的 SMTP TLS | Exchange Online | TLS 1.2 搭配 AES 256 | Exchange Online (outlook.office.com) 的 TLS 憑證是 2048 位 SHA-256,其中包含 DigiCert 雲端服務 CA-1 所發行的 RSA 加密憑證。 Exchange Online的 TLS 根憑證是 2048 位 SHA-1,具有GlobalSign Root CA – R1所簽發的 RSA 加密憑證。 請注意,基於安全性理由,我們的憑證會不時變更。 |
是,使用具有 256 位加密強度的 TLS 1.2 時 |
*此資料表中參考的 TLS 憑證適用于美國資料中心;非美國資料中心也會使用 2048 位SHA256RSA憑證。
政府雲端社群環境中可用的加密技術
| 加密技術 | 實作者 | 金鑰交換演算法和強度 | 金鑰管理* | FIPS 140-2 已驗證 |
|---|---|---|---|---|
| BitLocker | Exchange Online | AES 256 位 | AES 外部金鑰會儲存在秘密安全和 Exchange 伺服器的登錄中。 秘密安全是安全的存放庫,需要高層級提高許可權和核准才能存取。 只有使用稱為 Lockbox 的內部工具,才能要求和核准存取權。 AES 外部金鑰也會儲存在伺服器的信賴平臺模組中。 48 位數的數位密碼會儲存在 Active Directory 中,並受到 Lockbox 保護。 | 是 |
| SharePoint Online | AES 256 位 | AES 外部金鑰會儲存在秘密安全中。 秘密安全是安全的存放庫,需要高層級提高許可權和核准才能存取。 只有使用稱為 Lockbox 的內部工具,才能要求和核准存取權。 AES 外部金鑰也會儲存在伺服器的信賴平臺模組中。 48 位數的數位密碼會儲存在 Active Directory 中,並受到 Lockbox 保護。 | 是 | |
| 商務用 Skype | AES 256 位 | AES 外部金鑰會儲存在秘密安全中。 秘密安全是安全的存放庫,需要高層級提高許可權和核准才能存取。 只有使用稱為 Lockbox 的內部工具,才能要求和核准存取權。 AES 外部金鑰也會儲存在伺服器的信賴平臺模組中。 48 位數的數位密碼會儲存在 Active Directory 中,並受到 Lockbox 保護。 | 是 | |
| 服務加密 | SharePoint Online | AES 256 位 | 用來加密 Blob 的金鑰會儲存在 SharePoint Online 內容資料庫中。 SharePoint Online 內容資料庫受到資料庫存取控制和待用加密的保護。 加密是使用 Azure SQL Database 中的 TDE 來執行。 這些秘密位於 SharePoint Online 的服務層級,而不是租使用者層級。 這些秘密 (有時稱為主要金鑰) 儲存在稱為金鑰存放區的個別安全存放庫中。 TDE 提供作用中資料庫以及資料庫備份和交易記錄的待用安全性。 當客戶提供選擇性金鑰時,客戶金鑰會儲存在 Azure 金鑰保存庫中,而服務會使用金鑰來加密租使用者金鑰,用來加密月臺金鑰,然後用來加密檔案層級金鑰。 基本上,當客戶提供金鑰時,就會導入新的金鑰階層。 | 是 |
| 商務用 Skype | AES 256 位 | 每個資料片段都會使用不同隨機產生的 256 位金鑰來加密。 加密金鑰會儲存在對應的中繼資料 XML 檔案中,該檔案也會由每個會議的主要金鑰加密。 主要金鑰也會在每個會議中隨機產生一次。 | 是 | |
| Exchange Online | AES 256 位 | 每個信箱都會使用資料加密原則進行加密,該原則會使用 Microsoft 所控制的加密金鑰,或在使用客戶金鑰) 時由客戶 (加密。 | 是 | |
| Microsoft 365 與用戶端/合作夥伴之間的 TLS | Exchange Online | 支援多個加密套件的商機 TLS | Exchange Online (outlook.office.com) 的 TLS 憑證是 Baltimore CyberTrust Root 所發行的 2048 位SHA256RSA憑證。 Exchange Online的 TLS 根憑證是 Baltimore CyberTrust Root 所發行的 2048 位SHA1RSA憑證。 |
是,使用具有 256 位加密強度的 TLS 1.2 時 |
| SharePoint Online | TLS 1.2 搭配 AES 256 | SharePoint Online (*.sharepoint.com) 的 TLS 憑證是 Baltimore CyberTrust Root 所發行的 2048 位SHA256RSA憑證。 SharePoint Online 的 TLS 根憑證是 Baltimore CyberTrust Root 所發行的 2048 位SHA1RSA憑證。 |
是 | |
| 商務用 Skype | SIP 通訊和 PSOM 資料共用會話的 TLS | 商務用 Skype (*.lync.com) 的 TLS 憑證是 Baltimore CyberTrust Root 所發行的 2048 位SHA256RSA憑證。 商務用 Skype的 TLS 根憑證是 Baltimore CyberTrust Root 所發行的 2048 位SHA256RSA憑證。 |
是 | |
| Microsoft Teams | 關於 Microsoft Teams 的常見問題 – 管理員說明 | Microsoft Teams (teams.microsoft.com 的 TLS 憑證;edge.skype.com) 是由 Baltimore CyberTrust Root 發行的 2048 位SHA256RSA憑證。 Microsoft Teams 的 TLS 根憑證是 Baltimore CyberTrust Root 所發行的 2048 位SHA256RSA憑證。 |
是 | |
| Microsoft 資料中心之間的 TLS | Exchange Online、SharePoint Online、商務用 Skype | TLS 1.2 搭配 AES 256 | Microsoft 使用內部管理和部署的憑證授權單位單位,在 Microsoft 資料中心之間進行伺服器對伺服器通訊。 | 是 |
| 安全的即時傳輸通訊協定 (SRTP) | ||||
| Azure Rights Management Service | Exchange Online | 支援 密碼編譯模式 2,這是更新和增強的 RMS 密碼編譯實作。 它支援 RSA 2048 進行簽章和加密,而 SHA-256 則支援簽章中的雜湊。 | 由 Microsoft 管理。 | 是 |
| SharePoint Online | 支援 密碼編譯模式 2,這是更新和增強的 RMS 密碼編譯實作。 它支援 RSA 2048 進行簽章和加密,而 SHA-256 則支援簽章中的雜湊。 | 由 Microsoft 管理,這是預設設定;或 客戶管理的 (也稱為 BYOK) ,這是 Microsoft 管理金鑰的替代方案。 具有 IT 管理 Azure 訂用帳戶的組織可以使用 BYOK,並免費記錄其使用量。 如需詳細資訊,請參閱 實作攜帶您自己的金鑰。 在 BYOK 案例中,nCipher HSM 可用來保護您的金鑰。 |
是 | |
| S/MIME | Exchange Online | 密碼編譯訊息語法 Standard 1.5 (PKCS #7) | 取決於已部署的公開金鑰基礎結構。 | 是,當設定為使用 3DES 或 AES-256 加密傳出訊息時。 |
| Office 365 郵件加密 | Exchange Online | 與 Azure RMS 相同 (密碼編譯模式 2 - 用於簽章和加密的 RSA 2048,以及簽章) 中雜湊的 SHA-256 | 使用 Azure RMS 作為其加密基礎結構。 使用的加密方法取決於您在哪裡取得用來加密及解密郵件的 RMS 金鑰。 如果您使用 Microsoft Azure RMS 取得金鑰,則會使用密碼編譯模式 2。 如果您使用 Active Directory (AD) RMS 來取得金鑰,則會使用密碼編譯模式 1 或密碼編譯模式 2。 使用的方法取決於內部部署 AD RMS 部署。 密碼編譯模式 1 是原始的 AD RMS 密碼編譯實作。 它支援 RSA 1024 進行簽章和加密,並支援 SHA-1 進行簽章。 除了使用 HSM 的 BYOK 設定以外,所有目前版本的 RMS 都會繼續支援此模式。 |
是 |
| 與合作夥伴組織的 SMTP TLS | Exchange Online | TLS 1.2 搭配 AES 256 | Exchange Online (outlook.office.com) 的 TLS 憑證是 2048 位 SHA-256,其中包含 DigiCert 雲端服務 CA-1 所發行的 RSA 加密憑證。 Exchange Online的 TLS 根憑證是 2048 位 SHA-1,具有GlobalSign Root CA – R1所簽發的 RSA 加密憑證。 請注意,基於安全性理由,我們的憑證會不時變更。 |
是,使用具有 256 位加密強度的 TLS 1.2 時 |
*此資料表中參考的 TLS 憑證適用于美國資料中心;非美國資料中心也會使用 2048 位SHA256RSA憑證。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應