Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A chave de disponibilidade é uma chave raiz que é gerada e aprovisionada automaticamente quando cria uma política de encriptação de dados (DEP). O Microsoft 365 armazena e protege esta chave.
A chave de disponibilidade funciona como as duas chaves de raiz que fornece para a Chave de Cliente. Molda as chaves uma camada inferior na hierarquia de chaves. Ao contrário das chaves que gere no Azure Key Vault, não pode aceder diretamente à chave de disponibilidade. Os serviços automatizados do Microsoft 365 gerem e utilizam-no programaticamente.
O seu principal objetivo é suportar a recuperação de perda inesperada das chaves raiz que gere (por exemplo, através de má gestão ou ações maliciosas). Se perder o controlo das chaves de raiz, contacte Suporte da Microsoft para recuperar dados encriptados com a chave de disponibilidade e migrar para um novo DEP com as novas chaves de raiz que aprovisionar.
A chave de disponibilidade difere das chaves de Key Vault do Azure de três formas:
- Fornece uma opção de recuperação ou quebra de vidro se ambas as teclas de Key Vault do Azure forem perdidas.
- A separação lógica do controlo e do armazenamento adiciona a defesa em profundidade e ajuda a evitar a perda total de chaves ou dados devido a uma única falha.
- Suporta elevada disponibilidade durante problemas temporários de acesso do Azure Key Vault para a encriptação do serviço Exchange ou Multi-Workload. O SharePoint e o OneDrive utilizam apenas a chave de disponibilidade durante uma recuperação explícita que pedir.
A Microsoft partilha a responsabilidade de proteger os seus dados através de processos e proteções de gestão de chaves em camadas. Esta abordagem reduz o risco de perda de dados ou chave permanente. Tem a única autoridade para desativar ou destruir a chave de disponibilidade se sair do serviço. Por predefinição, ninguém na Microsoft pode aceder diretamente à chave de disponibilidade; apenas o código de serviço do Microsoft 365 pode utilizá-lo.
Para obter mais informações sobre como a Microsoft protege as chaves, consulte o Centro de Confiança da Microsoft.
Utilização da chave de disponibilidade
A chave de disponibilidade suporta a recuperação se um atacante externo ou um insider malicioso obtiver o controlo do cofre de chaves ou se a má gestão causar a perda de chaves de raiz. Esta capacidade de recuperação aplica-se a todos os serviços do Microsoft 365 que suportam a Chave de Cliente. Alguns serviços também o utilizam para cenários de elevada disponibilidade limitados.
O comportamento partilhado:
- Recuperação: suporta a desencriptação de dados para que possa voltar a encriptá-la com um novo DEP e novas Chaves de Cliente.
- Apenas utilização programática: o Access é através do código de serviço do Microsoft 365. Não existe acesso de administrador direto.
- Não substitui as chaves operacionais: as duas Chaves de Cliente continuam a ser as principais raízes de encriptação.
Comportamento do serviço por carga de trabalho:
Além da recuperação, o serviço utiliza a chave de disponibilidade durante curtos Key Vault falhas do Azure ou erros de rede. Esta capacidade mantém os dados da caixa de correio acessíveis para tarefas em segundo plano necessárias:
- Análise antimalware e antivírus
- Descoberta eletrônica
- Prevenção Contra Perda de Dados do Microsoft Purview
- Movimentações da caixa de correio
- Indexação
Se uma tentativa de desembrulhar com uma Chave de Cliente devolver um erro de sistema, o Exchange tentará a segunda chave. Se ambas as tentativas falharem com erros de sistema, reverterá para a chave de disponibilidade. Os erros de acesso negado não o acionam para ações do utilizador.
Segurança da chave de disponibilidade
A Microsoft partilha a responsabilidade de proteger os seus dados ao gerar a chave de disponibilidade e ao aplicar controlos rigorosos para os salvaguardar.
Os clientes não têm acesso direto à chave de disponibilidade. Por exemplo, só pode implementar as chaves que gere no Azure Key Vault. A Microsoft gere a chave de disponibilidade através do código de serviço automatizado sem expô-la aos utilizadores.
Para obter mais informações, veja Roll or rotate a Customer Key or an availability key (Roll or rotate a Customer Key or an availability key).
Arquivos secretos da chave de disponibilidade
A Microsoft protege as chaves de disponibilidade em arquivos de segredos internos controlados pelo acesso, semelhantes aos Key Vault do Azure. Os controlos de acesso impedem que os administradores da Microsoft recuperem diretamente os segredos armazenados. Todas as operações (incluindo rotação e eliminação) ocorrem através do código de serviço automatizado.
As operações de gestão estão limitadas a engenheiros específicos e requerem escalamento de privilégios através do Lockbox. Os pedidos têm de incluir justificação, são aprovados pelo gestor, vinculados à hora e revogados automaticamente após a expiração ou fim de sessão.
As chaves de disponibilidade do Exchange e de Várias cargas de trabalho são armazenadas num arquivo secreto do Exchange Active Directory dentro de contentores específicos de inquilinos no Controlador Domínio do Active Directory. Este arquivo está isolado do que é utilizado pelo SharePoint e pelo OneDrive.
As chaves de disponibilidade do SharePoint e do OneDrive são armazenadas num arquivo de segredos interno com servidores front-end que fornecem pontos finais de aplicação e um back-end Banco de Dados SQL. As chaves são encapsuladas com chaves de encriptação do arquivo de segredos que utilizam AES-256 e HMAC. Essas chaves são armazenadas numa área de base de dados logicamente isolada e encriptadas com certificados RSA-2048 emitidos pela autoridade de certificação (AC) da Microsoft. Os certificados são armazenados nos servidores front-end que executam operações de base de dados.
Defesa em profundidade
A Microsoft utiliza uma estratégia de defesa em profundidade para ajudar a impedir que atores maliciosos comprometam a confidencialidade, integridade ou disponibilidade dos dados dos clientes armazenados na Microsoft Cloud. Estão em vigor controlos preventivos e detectives específicos para proteger o arquivo de segredos e a chave de disponibilidade como parte desta abordagem de segurança em camadas.
O Microsoft 365 foi concebido para impedir a utilização indevida da chave de disponibilidade. A camada da aplicação é a única interface que pode utilizar chaves (incluindo a chave de disponibilidade) para encriptação e desencriptação. Apenas o código de serviço do Microsoft 365 pode interpretar e atravessar a hierarquia de chaves. Existe isolamento lógico entre as localizações de armazenamento de Chaves de Cliente, chaves de disponibilidade, outras chaves hierárquicas e dados do cliente. Esta separação reduz o risco de exposição de dados se qualquer localização for comprometida. Cada camada na hierarquia de chaves inclui a deteção contínua de intrusões para proteger os dados armazenados e os segredos.
Os controlos de acesso impedem o acesso não autorizado a sistemas internos, incluindo arquivos de segredos de chave de disponibilidade. Os engenheiros da Microsoft não têm acesso direto a estas lojas. Para obter mais informações, consulte Controlos de Acesso Administrativo no Microsoft 365.
Os controlos técnicos também impedem que o pessoal da Microsoft inicie sessão em contas de serviço altamente privilegiadas, que os atacantes poderiam utilizar para representar serviços Microsoft. Estes controlos bloqueiam tentativas interativas de início de sessão.
O registo e a monitorização de segurança são outras salvaguardas na abordagem de defesa aprofundada da Microsoft. As equipas de serviço implementam soluções de monitorização que geram alertas e registos de auditoria. Todos os registos são carregados para um repositório central, onde são agregados e analisados. As ferramentas internas avaliam automaticamente estes registos para garantir que os serviços permanecem seguros, resilientes e a funcionar conforme esperado. A atividade invulgar é sinalizada para revisão.
Qualquer evento que sinalize uma possível violação da Política de Segurança da Microsoft é escalado para as equipas de segurança da Microsoft. Os alertas de segurança do Microsoft 365 estão configurados para detetar tentativas de acesso a arquivos secretos de chaves de disponibilidade e tentativas de início de sessão não autorizados para contas de serviço. O sistema também deteta desvios do comportamento esperado do serviço de linha de base. Qualquer tentativa de utilização indevida dos serviços do Microsoft 365 aciona alertas e pode resultar na remoção do infractor do ambiente da Microsoft Cloud.
Utilizar a chave de disponibilidade para recuperar da perda de chaves
Se perder o controlo das Chaves de Cliente, a chave de disponibilidade permite-lhe desencriptar os dados afetados e voltar a encriptá-lo num novo DEP com novas Chaves de Cliente.
- Crie duas chaves de cliente novas em subscrições separadas do Azure.
- Crie um novo DEP do Exchange.
- Atribua o DEP a caixas de correio afetadas.
- Permitir a reencriptação em segundo plano (pode demorar até 72 horas). A chave de disponibilidade protege os dados durante a transição.
Como é utilizada a chave de disponibilidade
Quando cria uma Política de Encriptação de Dados (DEP) com a Chave de Cliente, o Microsoft 365 gera uma Chave DEP associada a essa política. O serviço encripta a Chave DEP três vezes: uma com cada uma das Chaves de Cliente e outra com a chave de disponibilidade. Apenas as versões encriptadas da Chave DEP são armazenadas. Uma Chave DEP só pode ser desencriptada com uma das Chaves de Cliente ou a chave de disponibilidade.
A Chave DEP é utilizada para encriptar Chaves de Caixa de Correio, que por sua vez encriptam caixas de correio individuais.
O Microsoft 365 utiliza o seguinte processo para desencriptar e fornecer acesso aos dados da caixa de correio:
- Desencriptar a Chave DEP com uma Chave de Cliente.
- Utilize a Chave DEP desencriptada para desencriptar a Chave da Caixa de Correio.
- Utilize a Chave de Caixa de Correio desencriptada para desencriptar a caixa de correio e fornecer acesso aos dados.
Acionadores de chave de disponibilidade
O Microsoft 365 aciona a chave de disponibilidade apenas em circunstâncias específicas e essas circunstâncias diferem consoante o serviço.
O Microsoft 365 segue esta sequência quando precisa de uma Chave DEP para uma operação de caixa de correio:
- Lê a política de encriptação de dados (DEP) atribuída à caixa de correio para identificar as duas Chaves de Cliente armazenadas no Azure Key Vault.
- Seleciona aleatoriamente uma das duas chaves e envia um pedido ao Azure Key Vault para desembrulhar (desencriptar) a Chave DEP.
- Se esse pedido falhar, envia um segundo pedido com a chave alternativa.
- Se ambos os pedidos falharem, o Microsoft 365 avalia o tipo de falha:
- Erros de sistema (por exemplo, serviço de Key Vault do Azure indisponível, tempos limite, falhas de rede transitórias): a chave de disponibilidade é utilizada para desembrulhar a Chave DEP. Em seguida, a Chave DEP desencripta a chave da caixa de correio e o serviço conclui a operação.
- Erros de acesso negado (chave eliminada, permissões removidas, remoção intencional ou acidental durante os processos de remoção): a chave de disponibilidade não é utilizada para ações iniciadas pelo utilizador. O pedido do utilizador falha e devolve um erro.
Importante
O código de serviço mantém tokens válidos para o processamento interno necessário. Até eliminar a chave de disponibilidade, as operações internas do Exchange (como movimentações de caixas de correio, indexação, análise antivírus, Deteção de Dados Eletrónicos, DLP) ainda podem reverter para a chave de disponibilidade quando ambas as Chaves de Cliente estão inacessíveis, quer a causa tenha sido um erro de sistema ou acesso negado. Esta estrutura ajuda a preservar a resiliência do serviço enquanto investiga.
Registos de auditoria e a chave de disponibilidade
O processamento automático em segundo plano (antivírus, Deteção de Dados Eletrónicos, DLP, indexação) não gera registos visíveis para o cliente; O pessoal da Microsoft não acede aos dados durante as operações normais.
Quando o Exchange acede à chave de disponibilidade para fornecer o serviço, o Microsoft 365 cria registos visíveis para o cliente. Pode aceder a estes registos a partir do portal do Microsoft Purview. Sempre que o serviço utiliza a chave de disponibilidade, gera uma entrada de registo de auditoria.
Os eventos de contingência criam entradas do Registo de Auditoria Unificadas :
- Tipo de registo: CustomerKeyServiceEncryption
- Atividade: Contingência para a Chave de Disponibilidade
Os campos incluem data, hora, atividade, ID da organização, ID do DEP, ID da Política, ID da Versão da Chave de Âmbito, ID do Pedido (esquema comum da Atividade de Gestão).
Nos detalhes do registo, o campo Workload apresenta Exchange.
Chave de disponibilidade na hierarquia da Chave de Cliente
O Microsoft 365 utiliza a chave de disponibilidade para encapsular a camada de chaves abaixo da mesma na hierarquia de encriptação Chave de Cliente. Cada serviço tem uma hierarquia de chaves diferente. Os algoritmos-chave também variam entre chaves de disponibilidade e outras chaves na hierarquia.
Os algoritmos de chave de disponibilidade utilizados por cada serviço são:
- As chaves de disponibilidade do Exchange utilizam AES-256.
- As chaves de disponibilidade de várias cargas de trabalho utilizam AES-256.
- As chaves de disponibilidade do SharePoint e do OneDrive utilizam RSA-2048.
Cifras de encriptação utilizadas para encriptar chaves para o Exchange
Cifras de encriptação utilizadas para encriptar chaves para o SharePoint
