加密和金鑰管理概觀

加密在保護客戶內容中扮演什麼角色？

大多數 Microsoft 商業雲端服務是多租戶，意即客戶內容可能與其他客戶儲存在同一實體硬體上。 為了保護客戶內容的機密性，Microsoft 線上服務會以一些最強大且最安全的加密協定加密所有靜態及傳輸中的資料。

加密無法取代強力的存取控制。 Microsoft 的零常駐存取政策 ZSA () 保護客戶內容免於Microsoft員工未經授權存取。 加密補充存取控制，保護客戶內容的機密性，無論其存放地點，並防止內容在 Microsoft 線上服務系統間或 Microsoft 線上服務與客戶間傳輸時被閱讀。

Microsoft 線上服務如何加密靜態資料？

Microsoft 線上服務以一種或多種加密方式保護所有客戶內容。 Microsoft 伺服器使用 BitLocker 在磁碟區層級加密包含客戶內容的磁碟機。 BitLocker 提供的加密功能能保護客戶內容，若其他流程或控制 (存取控制或硬體) 回收等問題，可能導致未經授權的實體存取包含客戶內容的磁碟。

除了卷級加密外，Microsoft 線上服務在應用層也使用加密來加密客戶內容。 服務加密在強加密保護的基礎上，提供權利保護與管理功能。 它也允許將 Windows 作業系統與這些作業系統儲存或處理的客戶資料分離。

Microsoft 線上服務如何加密傳輸中的資料？

Microsoft線上服務使用強力傳輸協定，例如傳輸層安全 (TLS) ，以防止未經授權的第三方在客戶資料傳輸時竊聽。 資料傳輸中的例子包括正在傳送的郵件訊息、線上會議中的對話，或資料中心間的檔案複製。

對於 Microsoft 線上服務而言，當使用者的裝置與 Microsoft 伺服器通訊，或 Microsoft 伺服器與另一台伺服器通訊時，資料即被視為「傳輸中」。

Microsoft 線上服務如何管理用於加密的金鑰？

強加密的安全性取決於用於加密資料的金鑰。 Microsoft 使用自有的安全憑證及相關金鑰來加密傳輸中的 TLS 連線。 對於靜態資料，受 BitLocker 保護的卷會以完整的卷加密金鑰加密，而完整卷加密金鑰又以卷主金鑰加密，而主金鑰又綁定到伺服器中的 TPM) (可信平台模組。 BitLocker 採用符合 FIPS 140-2 標準的演算法，確保加密金鑰不會被儲存或透過有線傳送，且不會以清晰狀態傳送。

服務加密為客戶的靜態資料提供另一層加密，為客戶提供兩種加密金鑰管理選項：Microsoft 管理金鑰或客戶金鑰。 當你使用 Microsoft 管理的金鑰時，Microsoft 線上服務會自動產生並安全地儲存用於服務加密的根金鑰。

需要自行控制根加密金鑰的客戶，可以使用 Microsoft Purview 客戶金鑰進行服務加密。 透過客戶金鑰，客戶可透過本地硬體服務模組 (HSM) 或Azure 金鑰保存庫 (AKV) ，自行產生密碼金鑰。 客戶根金鑰儲存在 AKV，可作為加密客戶信箱資料或檔案的鑰匙串根目錄。 Microsoft 線上服務程式碼只能間接存取客戶根金鑰以進行資料加密，而 Microsoft 員工無法直接存取這些金鑰。

相關外部法規與認證

Microsoft 定期審核其線上服務是否符合外部法規與認證。 關於加密與金鑰管理相關控制的驗證，請參見下表。

Azure 和 Dynamics 365

Microsoft 365