Microsoft 365 透過 BitLocker 和分散式金鑰管理員 (DKM) 提供基準、磁碟區層級加密。 Windows 365 企業版 和商務雲端電腦磁碟會使用 Azure 儲存體伺服器端加密 (SSE) 進行加密。
為了讓您有更多控制權,Microsoft 365 也會透過客戶金鑰為您的內容提供額外的加密層。 此內容包括來自 Microsoft Exchange、SharePoint、OneDrive、Teams 和 Windows 365 Cloud PC (企業) 的數據,包括Windows 365 Frontline專用和共享模式。
不支援 BitLocker 作為 Windows 365 雲端電腦的加密選項。 如需詳細資訊,請參閱在 Intune 中使用 Windows 10 虛擬機器。
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域系統管理員角色的使用者數目降到最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
服務加密、BitLocker、SSE 和客戶金鑰如何搭配運作
您的 Microsoft 365 資料一律會使用 BitLocker 和分散式金鑰管理員 (DKM) 進行靜態加密。 如需詳細資訊,請參閱 Exchange 如何保護您的電子郵件密碼。
客戶金鑰增加了額外的保護,防止未經授權存取您的資料。 它補充了Microsoft數據中心的 BitLocker 磁盤加密和服務器端加密 (SSE) 。 服務加密並非旨在封鎖 Microsoft 人員存取您的數據。 相反地,客戶金鑰可讓您控制根加密金鑰,以協助您符合合規性或法規要求。
您明確授權 Microsoft 365 使用您的加密金鑰來提供加值服務,例如電子檔探索、反惡意代碼、反垃圾郵件和搜尋索引。
客戶金鑰建立在服務加密之上,可讓您提供和控制加密金鑰。 Microsoft 365 會使用這些金鑰來加密您的靜態資料,如 OST) (線上服務條款 中所述。 由於您控制加密金鑰,因此客戶金鑰可協助您符合合規性需求。
Customer Key 可改善您符合合規標準的能力,這些標準需要與雲端供應商安排金鑰控制安排。 您可以在應用程式層級提供和管理待用 Microsoft 365 資料的根加密金鑰。 此設定可讓您直接控制組織的加密金鑰。
具有混合式部署的客戶金鑰
客戶金鑰只會加密雲端中的靜態資料。 它不會保護內部部署信箱或檔案。 若要保護內部部署資料,請使用個別方法,例如 BitLocker。
瞭解資料加密原則
資料加密原則 (DEP) 會定義加密階層。 服務會使用此階層,使用您管理的金鑰和 Microsoft 保護的可用性金鑰來加密資料。 您可以使用 PowerShell Cmdlet 建立 DEP,然後指派它來加密應用程式資料。
客戶金鑰支援三種類型的 DEP。 每種類型都會使用不同的 Cmdlet,並保護不同類型的資料:
多個 Microsoft 365 工作負載的 DEP
這些 DEP 會針對租用戶中的所有使用者加密數個 Microsoft 365 工作負載的數據。 工作負載包括:
- Windows 365 雲端電腦 (企業) ,包括Windows 365 Forntline 專用和共用模式。 如需詳細資訊,請參閱適用於 Windows 365 雲端電腦的 Microsoft Purview 客戶金鑰
- Teams 聊天訊息 (1:1 聊天、群組聊天、會議聊天和頻道交談)
- Teams 媒體訊息 (影像、程式碼片段、視訊訊息、音訊訊息、Wiki 影像)
- 儲存在 Teams 儲存體中的 Teams 通話和會議錄製
- Teams 聊天通知
- Cortana 的 Teams 聊天建議
- Teams 狀態訊息
- Microsoft 365 Copilot 互動
- Exchange 的使用者和訊號資訊
- 信箱 DEP 未加密的 Exchange 信箱
- Microsoft Purview 資訊保護:
- 精確資料比對 (EDM) 資料,包括資料檔案結構描述、規則套件,以及用於雜湊敏感資料的鹽
- 針對 EDM 和 Teams,DEP 會從您將新資料指派給租用戶時開始加密。
- 針對 Exchange,客戶金鑰會加密所有現有和新資料。
- 敏感度標籤設定
- 精確資料比對 (EDM) 資料,包括資料檔案結構描述、規則套件,以及用於雜湊敏感資料的鹽
多工作負載 DEP 不會加密下列類型的資料。 此數據會使用 Microsoft 365 中的其他加密方法來保護:
- SharePoint 和 OneDrive 資料
- Teams 檔案以及儲存在 SharePoint 或 OneDrive 中的某些 Teams 通話和會議錄製 (由 SharePoint DEP) 加密
- Teams 即時事件資料
- 客戶金鑰不支援的工作負載,例如 Viva Engage 和 Planner
您可以為每個租用戶建立多個 DEP,但一次只能指派一個。 指派後會自動開始加密,但完成時間取決於租用戶大小。
Exchange 信箱的 DEP
信箱 DEP 可讓您進一步控制個別 Exchange Online 信箱。 您可以使用它們來加密 UserMailbox、MailUser、群組、PublicFolder 和共用信箱中的資料。
每個租用戶最多可以有 50 個作用中信箱 DEP。 您可以將一個 DEP 指派給多個信箱,但每個信箱只能指派一個 DEP。
根據預設,Exchange 信箱會使用 Microsoft 管理的金鑰進行加密。 當您指派客戶金鑰 DEP 時:
- 如果信箱已使用多工作負載 DEP 加密,服務會在下次使用者或系統存取資料時使用信箱 DEP 重新包裝它。
- 如果信箱使用 Microsoft 受控金鑰加密,服務會在存取時使用信箱 DEP 重新包裝它。
- 如果信箱尚未加密,服務會將其標示為移動。 加密會在移動後進行。 信箱移動遵循 Microsoft 365 範圍的優先順序規則。 如需詳細資訊,請參閱 Microsoft 365 服務中的移動要求。 如果信箱未及時加密,請連絡 Microsoft。
您稍後可以重新整理 DEP 或指派不同的 DEP,如管理 Office 365 的客戶金鑰中所述。
每個信箱都必須符合授權需求,才能使用客戶金鑰。 如需詳細資訊,請參閱 設定客戶金鑰之前。
只要您的租用戶符合使用者信箱的授權需求,您就可以將 DEP 指派給共用、公用資料夾和群組信箱。 您不需要針對非使用者特定信箱的個別授權。
您也可以要求 Microsoft 在離開服務時清除特定 DEP。 如需清除和撤銷金鑰的詳細資訊,請參閱撤銷 金鑰並啟動資料清除路徑程序。
當您撤銷金鑰的存取權時,Microsoft 會刪除可用性金鑰。 此刪除會導致加密刪除您的資料,幫助您滿足合規性和資料留存要求。
適用於 SharePoint 和 OneDrive 的 DEP
此 DEP 會加密儲存在 SharePoint 和 OneDrive 中的內容,包括儲存在 SharePoint 中的 Teams 檔案。
- 如果您使用多地理位置功能,則可以為每個地理位置建立一個 DEP。
- 如果沒有,您只能為每個租用戶建立一個 DEP。
如需設定指示,請參閱 設定客戶金鑰。
客戶金鑰使用的加密密碼
客戶金鑰使用不同的加密密碼來保護金鑰,如下圖所示。
用於加密多個 Microsoft 365 工作負載數據的 DEP 的金鑰階層類似於用於個別 Exchange 信箱的金鑰階層。 對應的 Microsoft 365 工作負載金鑰會取代信箱金鑰。
用來加密 Exchange 金鑰的加密密碼
用來加密 SharePoint 和 OneDrive 金鑰的加密密碼
