共用方式為

了解客戶金鑰的可用性金鑰

可用性金鑰是當您 (DEP) 建立資料加密原則時自動產生和佈建的根金鑰。 Microsoft 365 會儲存並保護此金鑰。

可用性金鑰的功能類似於您為客戶金鑰提供的兩個根金鑰。 它會在索引鍵階層中包裝低一層的索引鍵。 不同於您在 Azure 金鑰保存庫中管理的金鑰,您無法直接存取可用性金鑰。 Microsoft 365 自動化服務會以程式設計方式管理和使用它。

其主要目的是支援從您管理 (的根金鑰意外遺失中復原,例如透過管理不善或惡意動作) 。 如果您失去根金鑰的控制權,請連絡 Microsoft 支援服務 ,以使用可用性金鑰復原加密資料,並移轉至具有您佈建的新根金鑰的新 DEP。

可用性金鑰與 Azure 金鑰保存庫金鑰在三種方式上不同:

  • 如果兩個 Azure 金鑰保存庫金鑰遺失,它會提供復原或中斷玻璃選項。
  • 控制和儲存的邏輯分離增加了深度防禦,並有助於防止由於單一故障而導致金鑰或資料完全遺失。
  • 它支援在 Exchange 或多工作負載服務加密的臨時 Azure 金鑰保存庫存取問題期間提供高可用性。 SharePoint 和 OneDrive 只會在您要求的明確復原期間使用可用性金鑰。

Microsoft 會透過分層金鑰管理保護和程式來分擔保護資料的責任。 這種方法降低了永久金鑰或資料遺失的風險。 如果您離開服務,您擁有停用或銷毀可用性金鑰的唯一權限。 根據設計,Microsoft 的任何人都無法直接存取可用性金鑰;只有 Microsoft 365 服務代碼才能使用它。

如需 Microsoft 如何保護金鑰的詳細資訊,請參閱 Microsoft 信任中心

可用性金鑰用途

如果外部攻擊者或惡意內部人員取得金鑰保存庫的控制權,或管理不當導致根金鑰遺失,可用性金鑰會支援復原。 此復原功能適用於支援客戶金鑰的所有 Microsoft 365 服務。 某些服務也會將其用於有限的高可用性案例。

共同行為:

  • 復原:支援解密資料,以便您可以使用新的 DEP 和新的客戶金鑰重新加密資料。
  • 僅限程式設計使用:存取是透過 Microsoft 365 服務代碼。 沒有直接管理員存取權。
  • 無法取代操作金鑰:您的兩個客戶金鑰仍是主要加密根目錄。

依工作負載的服務行為:

除了復原之外,服務還會在短暫的 Azure 金鑰保存庫中斷或網路錯誤期間使用可用性金鑰。 這項功能可讓信箱資料可供必要的背景工作存取:

  • 反惡意軟體和防毒掃描
  • 電子文件探索
  • Microsoft Purview 資料外洩防護
  • 信箱移動
  • 索引

如果使用一個客戶金鑰嘗試解包傳回系統錯誤,Exchange 會嘗試第二個金鑰。 如果兩次嘗試都因系統錯誤而失敗,則會回復至可用性金鑰。 拒絕存取錯誤不會針對使用者動作觸發它。

可用性金鑰安全性

Microsoft 會藉由產生可用性金鑰並套用嚴格的控制來保護資料,以共同承擔保護資料的責任。

客戶無法直接存取可用性金鑰。 例如,您只能滾動您在 Azure 金鑰保存庫中管理的金鑰。 Microsoft 會透過自動化服務程式碼來管理可用性金鑰,而不會將它公開給使用者。

如需詳細資訊,請參閱 滾動或輪替客戶金鑰或可用性金鑰

可用性金鑰秘密存放區

Microsoft 會保護存取控制內部秘密存放區中的可用性金鑰,類似於 Azure 金鑰保存庫。 存取控制可防止 Microsoft 系統管理員直接擷取儲存的秘密。 所有作業 (,包括輪換和刪除,) 透過自動化服務程式碼進行。

管理作業僅限於特定工程師,而且需要透過加密箱提升許可權。 要求必須包含理由、經經理核准、有時間限制,並在到期或登出時自動撤銷。

Exchange 和多工作負載可用性金鑰會儲存在 Active Directory 網域控制站中租用戶特定容器內的 Exchange Active Directory 秘密存放區中。 此存放區與 SharePoint 和 OneDrive 所使用的存放區隔離。

SharePoint 和 OneDrive 可用性金鑰會儲存在內部秘密存放區中,前端伺服器會提供應用程式端點和 SQL Database 後端。 金鑰會以使用 AES-256 和 HMAC 的秘密存放區加密金鑰包裝。 這些金鑰儲存在邏輯隔離的資料庫區域中,並使用 Microsoft 憑證管理中心 (CA) 所發行的 RSA-2048 憑證進一步加密。 憑證會儲存在執行資料庫作業的前端伺服器上。

縱深防禦

Microsoft 會使用深度防禦策略來協助防止惡意執行者入侵儲存在 Microsoft 雲端中的客戶數據的機密性、完整性或可用性。 作為此分層安全方法的一部分,已採取特定的預防性和偵測性控制措施來保護秘密存放區和可用性金鑰。

Microsoft 365 的設計目的是要防止濫用可用性金鑰。 應用層是唯一可以使用金鑰 (介面,包括可用性金鑰) 進行加密和解密。 只有 Microsoft 365 服務程式代碼可以解譯和周遊索引鍵階層。 客戶金鑰、可用性金鑰、其他階層式金鑰和客戶資料的儲存位置之間存在邏輯隔離。 這種分離可降低任何位置遭到入侵時資料外洩的風險。 金鑰階層中的每一層都包含持續入侵偵測,以保護儲存的資料和機密。

存取控制可防止未經授權存取內部系統,包括可用性金鑰秘密存放區。 Microsoft 工程師無法直接存取這些存放區。 如需詳細資訊,請參閱 Microsoft 365 中的系統管理存取控制

技術控制還可防止 Microsoft 人員登錄高特權服務帳戶,否則攻擊者可能會使用該帳戶來模擬 Microsoft 服務。 這些控制項會封鎖互動式登入嘗試。

安全性記錄和監視是 Microsoft 深度防禦方法中的其他保護措施。 服務團隊部署產生警示和稽核記錄的監視解決方案。 所有記錄都會上傳至中央存放庫,並在那裡進行彙總和分析。 內部工具會自動評估這些記錄,以確保服務保持安全、彈性並按預期運作。 異常活動會標示為以供檢閱。

任何表示可能違反 Microsoft 安全性原則的事件都會呈報給 Microsoft 安全性小組。 Microsoft 365 安全性警示會設定為偵測嘗試存取可用性金鑰秘密存放區,以及未經授權的登入嘗試服務帳戶。 系統也會偵測與預期基準服務行為的偏差。 任何濫用 Microsoft 365 服務的嘗試都會觸發警示,並可能導致違規者從 Microsoft 雲端環境中移除。

使用可用性金鑰從金鑰遺失中復原

如果您失去對客戶金鑰的控制,可用性金鑰可讓您解密受影響的資料,並使用新的客戶金鑰在新的 DEP 下重新加密。

  1. 在不同的 Azure 訂用帳戶中建立兩個新的客戶金鑰。
  2. 建立新的 Exchange DEP。
  3. 將 DEP 指派給受影響的信箱。
  4. 允許背景重新加密 (最多可能需要 72 小時) 。 可用性金鑰可在轉換期間保護資料。

可用性金鑰的使用方式

當您使用客戶金鑰 (DEP) 建立資料加密原則時,Microsoft 365 會產生與該原則相關聯的 DEP 金鑰。 服務會加密 DEP 金鑰三次:一次使用每個客戶金鑰,一次使用可用性金鑰。 只會儲存 DEP 金鑰的加密版本。 DEP 金鑰只能使用其中一個客戶金鑰或可用性金鑰來解密。

DEP 金鑰用於加密信箱金鑰,而信箱金鑰又會加密個別信箱。

Microsoft 365 會使用下列程式來解密並提供信箱資料的存取權:

  1. 使用客戶金鑰解密 DEP 金鑰。
  2. 使用解密的DEP金鑰解密信箱金鑰。
  3. 使用解密的信箱金鑰來解密信箱並提供對資料的存取權。

可用性索引鍵觸發程式

Microsoft 365 只會在特定情況下觸發可用性金鑰,而這些情況會因服務而異。

當 Microsoft 365 需要信箱作業的 DEP 金鑰時,會遵循下列順序:

  1. 它會讀取指派給信箱 (DEP 的資料加密原則) 以識別儲存在 Azure 金鑰保存庫 中的兩個客戶金鑰。
  2. 它會隨機選取兩個金鑰之一,並將要求傳送至 Azure 金鑰保存庫,以解封 (DEP 金鑰) 解密。
  3. 如果該請求失敗,它會使用替代索引鍵傳送第二個請求。
  4. 如果兩個要求都失敗,Microsoft 365 會評估失敗類型:
    • 系統錯誤 (例如,Azure 金鑰保存庫 服務無法使用、逾時、暫時性網路錯誤) :可用性金鑰可用來解壓縮 DEP 金鑰。 然後,DEP 金鑰會解密信箱金鑰,而服務會完成作業。
    • 在清除程式期間,存取拒絕錯誤 (金鑰已刪除、權限已移除、有意或意外移除) :可用性金鑰不會用於使用者起始的動作。 使用者要求失敗並傳回錯誤。

重要事項

服務程式碼會維護有效的權杖,以進行必要的內部處理。 在您刪除可用性金鑰之前,內部 Exchange 作業 (,例如信箱移動、索引、防病毒軟體掃描、電子檔探索、DLP) ,當兩個客戶金鑰都無法連線時,無論原因是系統錯誤還是拒絕存取,仍然可以回復到可用性金鑰。 此設計有助於在您調查時保留服務復原能力。

稽核記錄和可用性金鑰

防病毒軟體、電子檔探索、DLP、索引) (自動化背景處理不會產生客戶可見的記錄;Microsoft 人員不會在正常作業期間存取資料。

當 Exchange 存取可用性金鑰以提供服務時,Microsoft 365 會建立客戶可見的記錄。 您可以從 Microsoft Purview 入口網站存取這些記錄。 每次服務使用可用性金鑰時,都會產生稽核記錄項目。

後援事件會建立 統一稽核記錄 專案:

  • 記錄類型:CustomerKeyServiceEncryption
  • 活動:後援至可用性金鑰

欄位包括日期、時間、活動、組織 ID、DEP ID、原則 ID、範圍索引鍵版本 ID、要求 ID (管理活動通用結構描述) 。

在日誌詳細資料中,欄位 Workload 會顯示 Exchange

可用性索引鍵事件的稽核記錄搜尋

可用性索引鍵自訂參數

客戶金鑰階層中的可用性金鑰

Microsoft 365 會使用可用性金鑰,在客戶金鑰加密階層中包裝其下方的金鑰層。 每個服務都有不同的索引鍵階層。 索引鍵演算法也會在可用性索引鍵與階層中的其他索引鍵之間有所不同。

每個服務使用的可用性關鍵演算法包括:

  • Exchange 可用性金鑰使用 AES-256。
  • 多工作負載可用性金鑰使用 AES-256。
  • SharePoint 和 OneDrive 可用性金鑰會使用 RSA-2048。

用來加密 Exchange 金鑰的加密密碼

客戶金鑰中交換的加密密碼

用來加密 SharePoint 金鑰的加密密碼

客戶金鑰中 SharePoint 的加密密碼

  • Last updated on