Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece uma descrição geral das capacidades de encriptação do Microsoft 365 relevantes para as organizações do Governo Australiano. O seu objetivo é ajudar as organizações governamentais a aumentar a sua maturidade de segurança de dados ao mesmo tempo que cumprem os requisitos descritos no Framework de Políticas de Segurança De Proteção (PSPF) e no Manual de Segurança da Informação (ISM).
A encriptação é uma parte importante da sua estratégia de proteção de informações e tem de ser compreendida para garantir que os dados estão devidamente protegidos. O Microsoft 365 utiliza várias camadas de encriptação. Algumas são inativas, como a encriptação BitLocker nos datacenters da Microsoft e a encriptação SSL/TLS para comunicações entre clientes e servidores. Outras capacidades de encriptação podem ser ativadas pelos administradores para expandir ainda mais a proteção.
Requisitos de encriptação do Governo Australiano
O PSPF inclui requisitos para a encriptação de informações durante a transmissão. Estes requisitos podem ser encontrados na secção 9.3 do Framework de Políticas de Segurança De Proteção (PSPF). Um subconjunto destes requisitos é:
| Classificação | Requisitos |
|---|---|
| PROTEGIDO | Utilize a rede PROTECTED (ou superior), caso contrário, é necessária encriptação. |
| OFICIAL: Sensível | Utilize OFICIAL: rede sensível (ou superior). Encriptar se for transferido através da infraestrutura de rede pública ou através de espaços não seguros. |
| OFICIAL | Encriptação recomendada, especialmente para informações comunicadas através da infraestrutura de rede pública. |
Os serviços do Microsoft 365 fornecem encriptação para dados inativos nas plataformas do Microsoft 365 e em trânsito entre o Microsoft 365 e os pontos finais por predefinição. Estas configurações predefinidas utilizam a Standard de Encriptação Avançada (AES) com comprimento de chave de 256 bits no modo de Encadeamento de Blocos de Cifras (AES256-CBC). Estas capacidades estão em conformidade com o seguinte requisito ism:
| Requisito | Detalhe |
|---|---|
| Controlo de Segurança ISM: ISM-1769 (ISM março de 2025) | Ao utilizar a AES para encriptação, é utilizado AES-128, AES-192 ou AES-256, de preferência AES-256. |
Para obter mais informações sobre a criptografia utilizada pelo Microsoft 365, consulte Encriptação.
Expandir as capacidades de encriptação
Os métodos opcionais que as organizações do Governo australiano podem utilizar para expandir as capacidades de encriptação predefinidas do Microsoft 365 incluem:
- Impor o Transport Layer Security (TLS) para e-mail classificado de segurança
- Aplicar a encriptação do Azure Rights Management a ficheiros e e-mails
- Encriptar e-mail com Criptografia de Mensagens do Microsoft Purview
A tabela seguinte descreve os métodos opcionais de expansão das capacidades de encriptação innate do Microsoft 365, juntamente com ligações para secções relevantes deste guia:
| Categoria de requisitos | Método de obtenção |
|---|---|
| Encriptação durante a transmissão | A Encriptação TLS é aplicada a ficheiros e e-mails no Microsoft 365 durante a transmissão, bem como durante interações entre dispositivos cliente e serviços do Microsoft 365. No entanto, para a transmissão de e-mail, o TLS é oportunista e não é imposto. Se as plataformas de e-mail do remetente e do destinatário suportarem o TLS, o e-mail é transferido de forma segura. Se um serviço de e-mails de destinatários não suportar TLS, o e-mail poderá ser enviado de forma não encriptada, o que resulta num maior risco de intercepção de conteúdo. Ao Impor a Encriptação TLS para e-mail classificado de segurança , podemos configurar o Exchange para garantir que os itens classificados de segurança não são enviados em situações em que os servidores de receção não suportam encriptação TLS. - A encriptação de etiquetas de confidencialidade pode ser configurada para ser aplicada a ficheiros e e-mails. Depois de encriptar os itens, a encriptação é aplicada durante a transmissão, garantindo que os requisitos de encriptação de transmissão são cumpridos. - Criptografia de Mensagens do Microsoft Purview (PME) permite a criação de regras para aplicar encriptação a e-mails e anexos durante a transmissão. Esta encriptação é totalmente integrada para e-mail entre ambientes do Microsoft 365 e permite-nos expandir a proteção para plataformas de e-mail que não sejam da Microsoft, direcionando os destinatários para um portal de encriptação de marca personalizada. |
| Garantir a necessidade de saber |
A encriptação de etiquetas de confidencialidade permite a configuração de utilizadores ou grupos que têm a capacidade de aceder a informações encriptadas. Isto permite-nos controlar melhor a necessidade de saber ao bloquear o acesso de utilizadores não autorizados. A encriptação de etiquetas também permite a aplicação de permissões para itens, incluindo a capacidade de restringir a impressão, o que permite restringir ainda mais o acesso às informações. - Criptografia de Mensagens do Microsoft Purview garante que apenas os destinatários especificados têm a capacidade de abrir e-mails encriptados e os respetivos anexos. |
| Garantir autorização de segurança | A encriptação de etiquetas de confidencialidade permite-nos associar a capacidade de aceder a itens encriptados a grupos de segurança. Estes grupos podem ser configurados, manual ou dinamicamente, para conter apenas utilizadores com autorizações de segurança adequadas. Esta abordagem também pode ser alargada aos utilizadores convidados, uma vez que os convidados que tiveram as suas autorizações avaliadas podem ser incluídos num grupo de utilizadores autorizados. |
Os restantes artigos nesta secção encriptação TLS e encriptação de etiquetas de confidencialidade irão explorar ainda mais a implementação destas capacidades.