SharePoint 和 OneDrive 如何保護您在雲端的資料

您可以控制資料。 當您將數據放在 SharePoint 和適用於 Microsoft 365 的 OneDrive 中時，您會保持數據的擁有者。 如需數據擁有權的詳細資訊，請參閱 Microsoft 365 Privacy by Design。

我們如何處理您的資料

Microsoft 工程師使用需要雙因素驗證的 PowerShell 控制台來管理 SharePoint 和 OneDrive。 我們透過執行工作流程來執行日常工作，因此可以快速回應新的情況。 簽入服務需要程式碼檢閱和管理核准。

沒有工程師可以持續存取該服務。 當工程師需要存取時，他們必須要求它。 這時會檢查資格，而且如果工程師存取獲得核准，也只會持續一段有限時間。 例如，在 Microsoft 工程師需要存取內容 (的罕見情況下，如果您提交支援票證是因為使用者無法存取我們認為已損毀的重要檔案) ，則工程師必須簽入需要業務理由和經理核准的特定工作流程。 這時會產生您可以在 Microsoft 365 系統管理中心檢視的稽核事件。 您也可以開啟稱為客戶加密箱的功能，因此您必須核准要求。 工程只能存取有問題的檔案。 若要瞭解如何開啟或關閉客戶加密箱，以及核准和拒絕要求，請參閱 Microsoft Purview 客戶加密箱要求。

如何保護您的資料

保護數據最重要之一，就是在 Microsoft 365 中要求身分識別使用雙因素驗證。 這可以防止在沒有第二個因素的情況下使用認證，並減輕密碼外洩的影響。 第二個因素可以透過電話、簡訊或應用程式產生。 當您推出雙因素驗證時，請從全域管理員開始，再從其他系統管理員和網站集合管理員開始。 如需如何執行這項操作的相關信息，請參閱 為 Microsoft 365 用戶設定多重要素驗證。

我們為了提高安全性建議的其他措施：

• 使用 Microsoft Entra 裝置型條件式存取來封鎖或限制非受控裝置的存取，例如機場或旅館 kiosk。 請參閱控制從非受控裝置進行的存取。

• 建立原則，以在一段時間的閑置之後，將用戶註銷 Microsoft 365 Web 會話。 如需詳細資訊，請參閱將非作用中使用者登出。

• 評估 IP 型工作階段的需求。 這些會模擬內部部署的存取模型。 深入閱讀根據網路位置或應用程式控制存取權。

• 使工作者能夠廣泛但安全地分享。 您可以要求登入，或使用有到期日或授與有限權限的連結。 請參閱 管理 SharePoint 環境的外部共用。

• 防止意外暴露機密內容。 建立 DLP 原則來識別文件，並防止它們與人共用。 請參閱 了解數據外洩防護。

傳輸中和靜態保護

傳輸中保護

當資料從用戶端傳輸至服務，以及在資料中心之間傳輸時，會使用最高等級的加密來保護它。 如需詳細資訊，請參閱 OneDrive 和 SharePoint 中的數據加密。 我們只允許安全存取。 我們不會透過 HTTP 建立已驗證的連線，而是重新導向至 HTTPS。

靜態保護

實體保護：只有少數重要人員可以存取資料中心。 其身分識別會使用多種驗證因素進行驗證，包括智慧卡和生物特徵辨識。 有內部部署安全主管、動作感應器，以及視訊監視。 入侵偵測警示可監控異常活動。

網路保護：網路和身分識別與 Microsoft 公司網路隔離。 我們會使用專用的 Active Directory 網域來管理服務、我們有個別網域用於測試和生產，以及生產網域會分成多個隔離網域，以提高可靠性和安全性。 如需 Microsoft 365 內建實體和邏輯安全性的詳細資訊，請參閱 Microsoft 365 的內建安全性。

應用程式安全性：建置功能的工程師依循安全性開發生命週期。 自動與手動分析可協助識別可能的弱點。 Microsoft Security Response Center (Microsoft Security Response Center) 可協助將內送弱點報告分類，並評估補救措施。 透過 Microsoft Cloud Bug Bounty，全世界的人都可以回報弱點來賺取佣金。 可在 Microsoft Cloud Bug Bounty 條款 深入閱讀此情況。

內容保護：您的數據會在磁碟層級使用 BitLocker 加密進行加密，並在檔案層級使用密鑰進行加密。 如需詳細資訊，請參閱 OneDrive 和 SharePoint 中的數據加密。 如需使用客戶金鑰來提供及控制用來在 Microsoft 365 中加密待用數據之金鑰的資訊，請參閱使用 Microsoft Purview 客戶密鑰進行服務加密常見問題。

Microsoft 365 反惡意代碼引擎會在上傳時間掃描檔，以取得符合 AV 簽章的內容， (每小時更新) 。 如需詳細資訊，請參閱 SharePoint 中的病毒偵測。 如需更進階的保護，請使用 Microsoft 365 進階威脅防護 (ATP) 。 ATP 會分析共用的內容，並套用威脅情報和分析，以找出複雜的威脅。 如需詳細資訊，請參閱 Microsoft 365 進階威脅防護。

若要限制內容下載至未受信任裝置的風險：

• 限制同步處理至網域上您指定的裝置：僅允許在已加入特定網域的電腦上同步處理。

• 使用 Intune 來限制對 OneDrive 和 SharePoint 行動裝置 APP 中內容的存取權：控制對 OneDrive 和 SharePoint 行動裝置 App 中功能的存取權。

若要管理靜態內容：

• 在 SharePoint 文件庫上設定 IRM 原則，以限制內容的下載。 請參閱在 SharePoint 系統管理中心中設定資訊版權管理 (IRM)。

• 評估 Azure 資訊保護 (AIP) 的使用。 分類和標籤可讓您追蹤和控制數據的使用方式。 請造訪 Azure 資訊保護。

高可用性，永遠可以復原

我們的資料中心在區域內進行地理位置分散，並可容錯。 至少兩個資料中心的資料會進行鏡映，以減輕自然災害的影響或服務中斷的影響。 如需詳細資訊，請參閱 Microsoft 365 客戶數據的儲存位置。

元數據備份會保留 14 天，並可還原至五分鐘內的任何時間點。

在勒索軟體攻擊的情況下，您可以使用版本歷程記錄 (啟用和設定要 復原之清單或文檔庫) 的版本設定，以及使用回收站或網站集合回收站來還原 (還原網站集合回收站) 中已刪除的專案 。 如果專案已從網站集合回收站移除，您可以在 14 天內呼叫支援以存取備份。 如需可讓使用者將整個 OneDrive 還原到過去 30 天內任何時間點的新檔案還原功能相關信息，請參閱 還原您的 OneDrive。

持續驗證

我們會持續監視數據中心，讓數據中心保持良好且安全。 這從清查開始。 清查代理程式會掃描每一個子網路以找出芳鄰。 對於每一部機器，我們都會執行狀態擷取。

清單後，我們可以監視並修復電腦的健康情況。 安全性修補程式訓練會套用修補程式、更新防毒簽章，並確保我們已儲存已知的良好組態。 我們有角色特定邏輯，確保一次只能修補或替換一定百分比的機器。

我們有自動化工作流程，以找出不符合原則的機器，並將它們置入佇列，等待更換。

Microsoft 內的 Microsoft 365「紅隊」是由入侵專家所組成。 他們尋找任何獲得未經授權存取的機會。 「藍隊」由防禦工程師組成，其專注於預防、偵測與復原。 他們會建置入侵偵測及回應技術。 若要掌握 Microsoft 安全性團隊的知識，請參閱安全性、隱私權與法規遵循部落格。

若要監視和觀察 Microsoft 365 訂閱中的活動：

• 如果您有內部部署安全性作業中心或 SIEM，則可以使用管理活動 API 來監視活動。 如需詳細資訊，請參閱 Microsoft 365 管理 API 概觀。 這會顯示來自 SharePoint、Exchange、Microsoft Entra 識別碼、DLP 等的活動。 如果您沒有內部部署安全性作業中心或 SIEM，則可以使用雲端 App 安全性。 雲端 App 安全性使用管理活動 API。 如需詳細資訊，請參閱 Microsoft 365 Cloud App Security 概觀。 透過雲端 App 安全性，您可以報告、搜尋和警示活動。

• 使用 Microsoft Entra ID Protection。 這會套用機器學習，以偵測可疑的帳戶行為，例如，在世界不同地區來自相同使用者的同時登入。 您可以將身分識別保護設定為採取動作來封鎖這些登入。如需詳細資訊，請參閱 Microsoft Entra ID Protection。

• 使用安全分數，根據已知的良好基準評估訂用帳戶的安全性配置檔，並找出提高保護的機會。 如需詳細資訊，請參閱 Microsoft 安全分數。

稽核與合規性

法規合規性是 Microsoft 365 的基礎。 我們確定服務遵循法規和合規性標準。 我們也會協助您符合您的稽核和合規性義務。 服務信任入口網站是 Microsoft 企業服務合規性和信任資訊的一站式服務。 入口網站包含報告、白皮書、弱點評估和合規性指南。 如需服務信任入口網站的詳細資訊，請參閱開始使用 Microsoft 服務信任入口網站。

若要符合您的法規需求：

• 稽核安全性 & 合規性中心的 Microsoft 365 活動：在 Microsoft 365 安全性 & 合規性中心搜尋稽核記錄。

• 建立電子檔探索案例： 在 Microsoft 365 安全性 & 合規性中心管理電子檔探索案例

• 套用保留原則：建立和套用資訊管理原則。