除了使用磁碟區層級加密之外,Exchange Online、Microsoft Teams、SharePoint Online、商務用商務用 OneDrive 和 Windows 365 雲端電腦也會使用服務加密來加密客戶資料。
服務加密允許兩個金鑰管理選項:Microsoft 管理的金鑰和客戶管理的金鑰。
服務加密提供多種好處:
為所有 Microsoft 365 服務和 Windows 365 雲端電腦提供一層保護。 針對 Microsoft 365 服務,服務加密是 BitLocker 之上的額外保護層。
提供 Windows 作業系統系統管理員與作業系統儲存或處理的應用程式資料的存取區隔。
包含客戶金鑰選項,可讓多租用戶服務提供每個租用戶金鑰管理。
增強 Microsoft 365 和 Windows 365 的能力,以符合您加密的特定合規性需求。
什麼是 Microsoft 受控金鑰?
根據預設,Microsoft 會管理所有密碼編譯金鑰,包括服務加密的根金鑰。 此選項稱為 Microsoft 受控金鑰,預設會針對 Exchange Online、SharePoint Online、商務用商務用 OneDrive 和 Windows 365 雲端電腦啟用。 Microsoft 受控金鑰會提供預設服務加密,除非您決定使用客戶金鑰上線。 如果您決定在稍後停止使用客戶金鑰而不遵循資料清除路徑,則您的資料會使用 Microsoft 受控金鑰保持加密狀態。 您的資料至少一律在此預設層級加密。
什麼是客戶金鑰?
客戶金鑰是客戶管理的金鑰解決方案。 使用客戶金鑰時,您會提供與服務加密搭配使用的根金鑰,並使用 Azure 金鑰保存庫來管理這些金鑰,而 Microsoft 會管理所有其他金鑰。 客戶金鑰適用於 Exchange、SharePoint 和 商務用 OneDrive,以及) (企業和一線模式Windows 365雲端電腦。
Microsoft Purview 客戶金鑰的Windows 365支援已正式推出,包括 Windows 365 Frontline (專用和共用) 。
使用客戶金鑰,您可以產生自己的加密金鑰。 您可以使用內部部署硬體服務模組 (HSM) 或 Azure 金鑰保存庫 (AKV) 來產生金鑰。 AKV 可讓您控制和管理 Microsoft 365 使用的密碼編譯金鑰。 客戶金鑰會使用儲存在 AKV 中的金鑰作為其中一個金鑰鏈的根目錄,以加密您的信箱資料或檔案。
客戶金鑰可讓您進一步控制 Microsoft 處理資料的方式。 例如,如果您想要終止 Microsoft 的服務,或移除儲存在雲端中的部分資料,您可以使用客戶金鑰作為技術控制。 刪除數據可確保包括 Microsoft 在內的任何人都無法訪問或處理數據。 客戶金鑰是客戶加密箱的補充,也是您用來控制 Microsoft 人員對您數據的存取的客戶加密箱的補充。
若要瞭解如何設定 Exchange Online、Microsoft Teams、SharePoint Online (包括小組網站) 和商務用商務用 OneDrive 的客戶金鑰,請參閱下列文章: