本文提供與澳洲政府組織相關的 Microsoft 365 加密功能概觀。 其目的是協助政府組織提高資料安全性成熟度,同時遵守 PSPF) 和 資訊安全手冊 (保護性安全性原則架構 (ISM) 中概述的要求。
加密是資訊保護策略的重要組成部分,需要了解加密才能確保資料得到充分保護。 Microsoft 365 採用多層加密。 其中一些是固有的,例如 Microsoft 數據中心中的 BitLocker 加密 ,以及 用戶端與伺服器之間通訊的 SSL/TLS 加密。 管理員可以啟用其他加密功能,以進一步擴展保護。
澳洲政府加密規定
PSPF 包含傳輸期間資訊加密的需求。 這些需求可在 PSPF) 的保護性安全性原則架構 (第 9.3 節中找到。 這些需求的子集包括:
| 分類 | 需求 |
|---|---|
| 受保護 | 使用受保護 (或更高版本) 網路,否則需要加密。 |
| 官方:敏感 | 使用官方:敏感 (或更高) 網路。 如果透過公用網路基礎設施或透過不安全的空間傳輸,則進行加密。 |
| 官員 | 建議加密,特別是對於透過公用網路基礎結構通訊的資訊。 |
Microsoft 365 服務預設會針對 Microsoft 365 平臺中的待用資料,以及 Microsoft 365 與端點之間傳輸的資料提供加密。 這些預設組態在 AES256-CBC) (Cipher Block Chaining 模式中使用具有 256 位金鑰長度的 AES) 進階加密Standard (AES。 這些功能符合下列 ISM 需求:
| 需求 | 詳細資料 |
|---|---|
| ISM 安全控制:ISM-1769 (ISM 2025 年 3 月) | 使用 AES 進行加密時,使用 AES-128、AES-192 或 AES-256,最好使用 AES-256。 |
如需 Microsoft 365 所使用密碼編譯的詳細資訊,請參閱 加密。
擴充加密功能
澳洲政府組織可用來擴充 Microsoft 365 預設加密功能的選擇性方法包括:
- 針對安全分類電子郵件強制執行傳輸層安全性 (TLS)
- 將 Azure Rights Management 加密套用至檔案和電子郵件
- 使用 Microsoft Purview 郵件加密加密電子郵件
下表說明擴充 Microsoft 365 固有加密功能的選擇性方法,以及本指南相關區段的連結:
| 需求類別 | 實現方法 |
|---|---|
| 傳輸過程中的加密 | TLS 加密會在傳輸期間,以及用戶端裝置與 Microsoft 365 服務之間的互動期間,套用至 Microsoft 365 中的檔案和電子郵件。 然而,對於電子郵件傳輸,TLS 是機會主義的,不會強制執行。 如果寄件者和收件者電子郵件平台都支援 TLS,則電子郵件會安全地傳輸。 如果收件者電子郵件服務不支援 TLS,則電子郵件可能會以未加密的形式傳送,導致內容攔截的風險較高。 藉由對 安全性分類電子郵件強制執行 TLS 加密 ,我們可以設定 Exchange,以確保在接收伺服器不支援 TLS 加密的情況下不會傳送安全性分類專案。 - 敏感度標籤加密 可以設定為同時套用至檔案和電子郵件。 項目加密後,傳輸過程中進行加密,確保滿足傳輸加密要求。 - Microsoft Purview 郵件加密 (PME) 允許建立規則,在傳輸過程中對電子郵件和附件套用加密。 此加密適用於 Microsoft 365 環境之間的電子郵件,並允許我們將收件者導向至 自訂品牌加密入口網站,將保護延伸至非 Microsoft 電子郵件平臺。 |
| 確保需要知道 |
敏感度標籤加密 允許設定能夠存取加密資訊的使用者或群組。 這使我們能夠透過阻止未經授權的使用者存取來更好地控制需要知道的內容。 標籤加密還允許對項目應用權限,包括限制列印的能力,這進一步增強了限制資訊存取的能力。 - Microsoft Purview 郵件加密可確保只有指定的收件者能夠開啟加密的電子郵件及其附件。 |
| 確保安全許可 | 敏感度標籤加密 可讓我們將存取加密專案的能力與安全性群組產生關聯。 這些群組可以手動或動態配置,以僅包含具有適當安全許可的使用者。 此方法也可以延伸至來賓使用者,因為已評估其許可的來賓可以包含在授權使用者群組中。 |