Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Microsoft 365 fornece encriptação ao nível do volume e linha de base através do BitLocker e do Distributed Key Manager (DKM). Windows 365 Enterprise e os discos de PC do Business Cloud são encriptados através da encriptação do lado do servidor do Armazenamento do Azure (SSE).
Para lhe dar mais controlo, o Microsoft 365 também oferece uma camada adicional de encriptação para os seus conteúdos através da Chave de Cliente. Este conteúdo inclui dados do Microsoft Exchange, SharePoint, OneDrive, Teams e PCs cloud de Windows 365 (Enterprise), incluindo Windows 365 modos Dedicados e Partilhados da Frontline.
O BitLocker não é suportado como uma opção de encriptação para Windows 365 PCs na Cloud. Para obter detalhes, veja Using Windows 10 virtual machines in Intune (Utilizar máquinas virtuais Windows 10 no Intune).
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.
Como a encriptação do serviço, o BitLocker, o SSE e a Chave de Cliente funcionam em conjunto
Os seus dados do Microsoft 365 são sempre encriptados inativos com o BitLocker e o Distributed Key Manager (DKM). Para obter detalhes, consulte Como o Exchange protege os seus segredos de e-mail.
A Chave de Cliente adiciona proteção adicional contra o acesso não autorizado aos seus dados. Complementa a encriptação de discos BitLocker e a encriptação do lado do servidor (SSE) nos datacenters da Microsoft. A Chave de Cliente ajuda-o a cumprir os requisitos de conformidade ou regulamentação ao permitir-lhe controlar as chaves de encriptação de raiz ao nível da aplicação.
Autoriza explicitamente o Microsoft 365 a utilizar as chaves de encriptação para fornecer serviços de valor acrescentado, como Deteção de Dados Eletrónicos, antimalware, antiss spam e indexação de pesquisa. O Microsoft 365 utiliza estas chaves para encriptar os seus dados inativos, conforme descrito nos Termos dos Serviços Online (OST).
Chave de Cliente com implementações híbridas
A Chave de Cliente encripta apenas os dados inativos na cloud. Não protege caixas de correio ou ficheiros no local. Para proteger os dados no local, utilize um método separado, como o BitLocker.
Saiba mais sobre as políticas de encriptação de dados
Uma política de encriptação de dados (DEP) define a hierarquia de encriptação. Os serviços utilizam esta hierarquia para encriptar dados com as chaves que gere e a chave de disponibilidade que a Microsoft protege. Crie um DEP com cmdlets do PowerShell e, em seguida, atribua-o para encriptar os dados da aplicação.
A Chave de Cliente suporta três tipos de DEPs. Cada tipo utiliza cmdlets diferentes e protege um tipo diferente de dados:
DEP para Várias cargas de trabalho do Microsoft 365
Estes DEPs encriptam dados em várias cargas de trabalho do Microsoft 365 para todos os utilizadores no inquilino:
- Windows 365 PCs cloud (Enterprise), incluindo modos Dedicados e Partilhados de Primeira Linha (detalhes)
- Teams: mensagens de chat, mensagens multimédia, gravações de chamadas/reuniões (no armazenamento do Teams), notificações, sugestões da Cortana, status mensagens
- interações Microsoft 365 Copilot
- Exchange: informações de utilizador/sinal e caixas de correio não abrangidas por um DEP de caixa de correio
- Proteção de Informações do Microsoft Purview: dados EDM (esquemas, pacotes de regras, sais), configurações de etiquetas de confidencialidade
Observação
Para o EDM e o Teams, o DEP encripta novos dados da atribuição. Para o Exchange, encripta todos os dados existentes e novos.
Não encriptado por DEPs de várias cargas de trabalho (protegidos por outros métodos):
- Dados do SharePoint e do OneDrive (utilizar o DEP do SharePoint)
- Ficheiros e gravações do Teams guardados no SharePoint/OneDrive
- Eventos em Direto do Teams, Viva Engage, Planner
Pode criar vários DEPs por inquilino, mas atribuir apenas um de cada vez. A encriptação começa automaticamente após a atribuição.
DEPs para caixas de correio do Exchange
Os DEPs da caixa de correio dão-lhe mais controlo sobre as caixas de correio Exchange Online individuais. Pode utilizá-los para encriptar dados nas caixas de correio UserMailbox, MailUser, Group, PublicFolder e Shared.
Pode ter até 50 DEPs de caixa de correio ativos por inquilino. Pode atribuir um DEP a várias caixas de correio, mas apenas um DEP por caixa de correio.
Por predefinição, as caixas de correio do Exchange são encriptadas com chaves geridas pela Microsoft. Quando atribui um DEP de Chave de Cliente, o serviço reembrulha as caixas de correio encriptadas existentes no próximo acesso. As caixas de correio não encriptadas são marcadas para uma movimentação, com a encriptação a ocorrer após a conclusão da movimentação. Para obter detalhes sobre as prioridades de movimentação, veja Mover pedidos no serviço Microsoft 365.
Mais tarde, pode atualizar o DEP ou atribuir um diferente, conforme descrito em Gerir Chave de Cliente para Office 365.
Cada caixa de correio tem de cumprir os requisitos de licenciamento para utilizar a Chave de Cliente. Para obter mais informações, consulte Pré-requisitos.
Pode atribuir DEPs a caixas de correio partilhadas, públicas e de grupo, desde que o seu inquilino cumpra os requisitos de licenciamento das caixas de correio dos utilizadores. Não precisa de licenças separadas para caixas de correio não específicas do utilizador.
Também pode pedir que a Microsoft remova DEPs específicos ao sair do serviço. Revogar o acesso às chaves aciona a eliminação da chave de disponibilidade, resultando na eliminação criptográfica dos seus dados. Para obter detalhes, veja Revogar as chaves e iniciar o processo de caminho de remoção de dados.
DEP para SharePoint e OneDrive
Este DEP encripta conteúdos armazenados no SharePoint e no OneDrive, incluindo ficheiros do Teams armazenados no SharePoint. Os inquilinos multigeográficos podem criar um DEP por geográfico; Os inquilinos de área geográfica única podem criar um DEP. Para obter instruções de configuração, consulte Configurar a Chave de Cliente.
Cifras de encriptação utilizadas pela Chave de Cliente
A Chave de Cliente utiliza cifras de encriptação diferentes para proteger chaves, conforme mostrado nos seguintes diagramas.
A hierarquia de chaves utilizada para DEPs que encriptam dados em várias cargas de trabalho do Microsoft 365 é semelhante à utilizada para caixas de correio individuais do Exchange. A Chave de Carga de Trabalho do Microsoft 365 correspondente substitui a Chave de Caixa de Correio.
Cifras de encriptação utilizadas para encriptar chaves para o Exchange
Cifras de encriptação utilizadas para encriptar chaves para o SharePoint e o OneDrive
