Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft 365 предоставляет базовое шифрование на уровне тома с помощью BitLocker и распределенного диспетчера ключей (DKM). диски Windows 365 Корпоративная и business Cloud PC шифруются с помощью шифрования на стороне сервера службы хранилища Azure (SSE).
Чтобы обеспечить больший контроль, Microsoft 365 также предлагает дополнительный уровень шифрования для вашего содержимого с помощью ключа клиента. Это содержимое включает данные с Microsoft Exchange, SharePoint, OneDrive, Teams и Windows 365 облачных компьютеров.
BitLocker не поддерживается в качестве варианта шифрования для Windows 365 облачных компьютеров. Дополнительные сведения см. в статье Использование виртуальных машин Windows 10 в Intune.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
Совместная работа шифрования служб, BitLocker, SSE и ключа клиента
Данные Microsoft 365 всегда шифруются при хранении с помощью BitLocker и распределенного диспетчера ключей (DKM). Дополнительные сведения см. в разделе Как Exchange защищает секреты электронной почты.
Ключ клиента обеспечивает дополнительную защиту от несанкционированного доступа к данным. Он дополняет шифрование дисков BitLocker и шифрование на стороне сервера (SSE) в центрах обработки данных Майкрософт. Шифрование служб не предназначено для того, чтобы запретить сотрудникам Майкрософт доступ к вашим данным. Вместо этого ключ клиента помогает соответствовать нормативным или нормативным требованиям, позволяя управлять корневыми ключами шифрования.
Вы явным образом разрешаете Microsoft 365 использовать ключи шифрования для предоставления дополнительных служб, таких как обнаружение электронных данных, защита от вредоносных программ, защита от спама и индексирование поиска.
Ключ клиента, основанный на шифровании службы, позволяет предоставлять ключи шифрования и управлять ими. Microsoft 365 использует эти ключи для шифрования неактивных данных, как описано в условиях использования веб-служб (OST). Так как ключи шифрования управляются, ключ клиента помогает соответствовать требованиям.
Ключ клиента повышает вашу способность соответствовать стандартам соответствия, которые требуют соглашений о контроле ключей с поставщиком облачных служб. Вы предоставляете корневые ключи шифрования для неактивных данных Microsoft 365 и управляете ими на уровне приложения. Эта настройка обеспечивает прямой контроль над ключами шифрования вашей организации.
Ключ клиента с гибридными развертываниями
Ключ клиента шифрует только неактивные данные в облаке. Он не защищает локальные почтовые ящики или файлы. Чтобы защитить локальные данные, используйте отдельный метод, например BitLocker.
Сведения о политиках шифрования данных
Политика шифрования данных (DEP) определяет иерархию шифрования. Службы используют эту иерархию для шифрования данных с помощью ключей, которыми вы управляете, и ключа доступности, защищаемого корпорацией Майкрософт. Вы создаете DEP с помощью командлетов PowerShell, а затем назначаете его для шифрования данных приложения.
Ключ клиента поддерживает три типа DEP. Каждый тип использует разные командлеты и защищает данные разного типа:
DEP для нескольких рабочих нагрузок Microsoft 365
Эти dePs шифруют данные в нескольких рабочих нагрузках Microsoft 365 для всех пользователей в клиенте. К рабочим нагрузкам относятся:
- Windows 365 облачных компьютеров. Дополнительные сведения см. в разделе Ключ клиента Microsoft Purview для Windows 365 облачных компьютеров.
- Сообщения чата Teams (чаты 1:1, групповые чаты, чаты собраний и беседы каналов)
- Сообщения мультимедиа Teams (изображения, фрагменты кода, видеосообщений, аудиосообщений, вики-изображения)
- Записи звонков и собраний Teams, хранящиеся в хранилище Teams
- Уведомления чата Teams
- Предложения чата Teams от Кортаны
- Сообщения о состоянии Teams
- взаимодействие Microsoft 365 Copilot
- Сведения о пользователе и сигналах для Exchange
- Почтовые ящики Exchange, которые не шифруется dep почтового ящика
- Защита информации Microsoft Purview:
- Данные точного сопоставления данных (EDM), включая схемы файлов данных, пакеты правил и соли, используемые для хэширования конфиденциальных данных
- Для EDM и Teams DEP шифрует новые данные, начиная с назначения их клиенту.
- Для Exchange ключ клиента шифрует все существующие и новые данные.
- Конфигурации меток конфиденциальности
- Данные точного сопоставления данных (EDM), включая схемы файлов данных, пакеты правил и соли, используемые для хэширования конфиденциальных данных
DePs с несколькими рабочими нагрузками не шифруют следующие типы данных. Эти данные защищены с помощью других методов шифрования в Microsoft 365:
- Данные SharePoint и OneDrive
- Файлы Teams и некоторые звонки и записи собраний Teams, сохраненные в SharePoint или OneDrive (зашифрованные с помощью DEP SharePoint)
- Данные о трансляциях Teams
- Рабочие нагрузки, не поддерживаемые ключом клиента, например Viva Engage и Планировщик
Вы можете создать несколько DEP для каждого клиента, но назначить только один за раз. Шифрование начинается автоматически после назначения, хотя время выполнения зависит от размера клиента.
DePs для почтовых ящиков Exchange
Почтовые дескриптивы предоставляют более полный контроль над отдельными Exchange Online почтовыми ящиками. Их можно использовать для шифрования данных в почтовых ящиках UserMailbox, MailUser, Group, PublicFolder и Общих почтовых ящиках.
Для каждого клиента может быть до 50 активных deps почтовых ящиков. Вы можете назначить один DEP нескольким почтовым ящикам, но только один DEP для каждого почтового ящика.
По умолчанию почтовые ящики Exchange шифруются с помощью ключей, управляемых Корпорацией Майкрософт. При назначении DEP ключа клиента:
- Если почтовый ящик уже зашифрован с помощью DEP с несколькими рабочими нагрузками, служба перезаписывает его с помощью DEP почтового ящика при следующем доступе пользователя или системы к данным.
- Если почтовый ящик шифруется с помощью ключей, управляемых Корпорацией Майкрософт, служба при обращении к нему повторно использует DEP почтового ящика.
- Если почтовый ящик еще не зашифрован, служба помечает его для перемещения. Шифрование происходит после перемещения. Перемещения почтовых ящиков соответствуют правилам приоритета на уровне Microsoft 365. Дополнительные сведения см. в разделе Перемещение запросов в службе Microsoft 365. Если почтовый ящик не зашифрован вовремя, обратитесь в корпорацию Майкрософт.
Позже вы можете обновить DEP или назначить другой, как описано в разделе Управление ключом клиента для Office 365.
Каждый почтовый ящик должен соответствовать требованиям лицензирования для использования ключа клиента. Дополнительные сведения см. в разделе Перед настройкой ключа клиента.
Вы можете назначить deps общим почтовым ящикам, почтовым ящикам общедоступных папок и групп при условии, что клиент соответствует требованиям к лицензированию для почтовых ящиков пользователей. Для почтовых ящиков, не относящихся к пользователю, не требуются отдельные лицензии.
Кроме того, при выходе из службы можно запросить очистку определенных deps корпорации Майкрософт. Дополнительные сведения о очистке и отзыве ключей см. в статье Отзыв ключей и запуск процесса очистки данных.
Когда вы отмените доступ к ключам, корпорация Майкрософт удаляет ключ доступности. Это удаление приводит к криптографическое удаление данных, что помогает удовлетворить требования к соответствию и повторному переманенту данных.
DEP для SharePoint и OneDrive
Этот DEP шифрует содержимое, хранящееся в SharePoint и OneDrive, включая файлы Teams, хранящиеся в SharePoint.
- Если вы используете функцию с несколькими регионами, вы можете создать один DEP для каждого региона.
- В противном случае можно создать только один DEP для каждого клиента.
Инструкции по настройке см. в разделе Настройка ключа клиента.
Шифрование шифров, используемых ключом клиента
Ключ клиента использует различные шифры шифрования для защиты ключей, как показано на следующих схемах.
Иерархия ключей, используемая для deps, которые шифруют данные в нескольких рабочих нагрузках Microsoft 365, аналогична иерархии, используемой для отдельных почтовых ящиков Exchange. Соответствующий ключ рабочей нагрузки Microsoft 365 заменяет ключ почтового ящика.
Шифры шифрования, используемые для шифрования ключей для Exchange
Шифры шифрования, используемые для шифрования ключей для SharePoint и OneDrive
