Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft 365 предоставляет базовое шифрование на уровне тома с помощью BitLocker и распределенного диспетчера ключей (DKM). диски Windows 365 Корпоративная и бизнес-облачных компьютеров шифруются с помощью шифрования на стороне сервера хранилища Azure (SSE).
Чтобы обеспечить больший контроль, Microsoft 365 также предлагает дополнительный уровень шифрования для вашего содержимого с помощью ключа клиента. Это содержимое включает данные из Microsoft Exchange, SharePoint, OneDrive, Teams и Windows 365 облачных компьютеров (Enterprise), включая режимы Windows 365 frontline Dedicated и Shared.
BitLocker не поддерживается в качестве варианта шифрования для Windows 365 облачных компьютеров. Дополнительные сведения см. в статье Использование виртуальных машин Windows 10 в Intune.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
Совместная работа шифрования служб, BitLocker, SSE и ключа клиента
Данные Microsoft 365 всегда шифруются при хранении с помощью BitLocker и распределенного диспетчера ключей (DKM). Дополнительные сведения см. в разделе Как Exchange защищает секреты электронной почты.
Ключ клиента обеспечивает дополнительную защиту от несанкционированного доступа к данным. Он дополняет шифрование дисков BitLocker и шифрование на стороне сервера (SSE) в центрах обработки данных Майкрософт. Ключ клиента помогает соответствовать нормативным или нормативным требованиям, позволяя управлять корневыми ключами шифрования на уровне приложения.
Вы явным образом разрешаете Microsoft 365 использовать ключи шифрования для предоставления дополнительных служб, таких как обнаружение электронных данных, защита от вредоносных программ, защита от спама и индексирование поиска. Microsoft 365 использует эти ключи для шифрования неактивных данных, как описано в условиях использования веб-служб (OST).
Ключ клиента с гибридными развертываниями
Ключ клиента шифрует только неактивные данные в облаке. Он не защищает локальные почтовые ящики или файлы. Чтобы защитить локальные данные, используйте отдельный метод, например BitLocker.
Сведения о политиках шифрования данных
Политика шифрования данных (DEP) определяет иерархию шифрования. Службы используют эту иерархию для шифрования данных с помощью ключей, которыми вы управляете, и ключа доступности, защищаемого корпорацией Майкрософт. Вы создаете DEP с помощью командлетов PowerShell, а затем назначаете его для шифрования данных приложения.
Ключ клиента поддерживает три типа DEP. Каждый тип использует разные командлеты и защищает данные разного типа:
DEP для нескольких рабочих нагрузок Microsoft 365
Эти dePs шифруют данные в нескольких рабочих нагрузках Microsoft 365 для всех пользователей в клиенте:
- Windows 365 облачных компьютеров (Enterprise), включая режимы "Выделенный" и "Общий" (сведения)
- Teams: сообщения чата, сообщения мультимедиа, записи звонков и собраний (в хранилище Teams), уведомления, предложения Кортаны, сообщения о состоянии
- взаимодействие Microsoft 365 Copilot
- Exchange: сведения о пользователях и сигналах и почтовые ящики, не охваченные DEP почтового ящика
- Защита информации Microsoft Purview: данные EDM (схемы, пакеты правил, соли), конфигурации меток конфиденциальности
Примечание.
Для EDM и Teams DEP шифрует новые данные из назначения. В Exchange шифруются все существующие и новые данные.
Не шифруется несколькими рабочими нагрузками DEP (защищено другими методами):
- Данные SharePoint и OneDrive (используйте SharePoint DEP)
- Файлы и записи Teams, сохраненные в SharePoint или OneDrive
- Трансляции Teams, Viva Engage, Планировщик
Вы можете создать несколько DEP для каждого клиента, но назначить только один за раз. Шифрование начинается автоматически после назначения.
DePs для почтовых ящиков Exchange
Почтовые дескриптивы предоставляют более полный контроль над отдельными Exchange Online почтовыми ящиками. Их можно использовать для шифрования данных в почтовых ящиках UserMailbox, MailUser, Group, PublicFolder и Общих почтовых ящиках.
Для каждого клиента может быть до 50 активных deps почтовых ящиков. Вы можете назначить один DEP нескольким почтовым ящикам, но только один DEP для каждого почтового ящика.
По умолчанию почтовые ящики Exchange шифруются с помощью ключей, управляемых Корпорацией Майкрософт. При назначении dep ключа клиента служба повторно выполняет повторную загрузку существующих зашифрованных почтовых ящиков при следующем доступе. Незашифрованные почтовые ящики помечаются для перемещения, а после завершения перемещения выполняется шифрование. Дополнительные сведения о приоритетах перемещения см. в разделе Перемещение запросов в службе Microsoft 365.
Позже вы можете обновить DEP или назначить другой, как описано в разделе Управление ключом клиента для Office 365.
Каждый почтовый ящик должен соответствовать требованиям лицензирования для использования ключа клиента. Дополнительные сведения см. в разделе Предварительные требования.
Вы можете назначить deps общим почтовым ящикам, почтовым ящикам общедоступных папок и групп при условии, что клиент соответствует требованиям к лицензированию для почтовых ящиков пользователей. Для почтовых ящиков, не относящихся к пользователю, не требуются отдельные лицензии.
Кроме того, при выходе из службы можно запросить очистку определенных deps корпорации Майкрософт. Отзыв доступа к ключам приводит к удалению ключа доступности, что приводит к криптографии удаления ваших данных. Дополнительные сведения см. в статье Отзыв ключей и запуск процесса очистки данных.
DEP для SharePoint и OneDrive
Этот DEP шифрует содержимое, хранящееся в SharePoint и OneDrive, включая файлы Teams, хранящиеся в SharePoint. Клиенты с несколькими регионами могут создавать по одному DEP для каждого региона; Клиенты с одним регионом могут создать один DEP. Инструкции по настройке см. в разделе Настройка ключа клиента.
Шифрование шифров, используемых ключом клиента
Ключ клиента использует различные шифры шифрования для защиты ключей, как показано на следующих схемах.
Иерархия ключей, используемая для deps, которые шифруют данные в нескольких рабочих нагрузках Microsoft 365, аналогична иерархии, используемой для отдельных почтовых ящиков Exchange. Соответствующий ключ рабочей нагрузки Microsoft 365 заменяет ключ почтового ящика.
Шифры шифрования, используемые для шифрования ключей для Exchange
Шифры шифрования, используемые для шифрования ключей для SharePoint и OneDrive
