共用方式為

使用 Microsoft Purview 客戶金鑰進行服務加密概述

Microsoft 365 透過 BitLocker 和分散式金鑰管理器 (DKM) ,提供基線的卷級加密。 Windows 365 企業版 與 Business Cloud 的 PC 磁碟則使用 Azure Storage 伺服器端加密 (SSE) 加密。

為了讓你有更多掌控權,Microsoft 365 也透過客戶金鑰為你的內容提供額外的加密層。 這些內容包含來自 Microsoft Exchange、SharePoint、OneDrive、Teams 以及企業) (雲端 PC Windows 365 雲端電腦的資料,包括Windows 365 Frontline 專用與共享模式。

BitLocker 不支援 Windows 365 雲端電腦的加密選項。 詳情請參閱使用 Windows 10 虛擬機器於 Intune

重要事項

Microsoft 建議您使用權限最少的角色。 以全域管理員角色最小化使用者數量,有助於提升組織的安全。 了解更多關於 Microsoft Purview 角色與權限的資訊。

服務加密、BitLocker、SSE 與客戶金鑰如何協同運作

你的 Microsoft 365 資料在靜態時會用 BitLocker 和分散式金鑰管理器 (DKM) 加密。 詳情請參見 Exchange 如何保護您的電子郵件秘密

客戶鑰匙可額外防止未經授權存取你的資料。 它補充了 BitLocker 磁碟加密及Microsoft資料中心中伺服器端加密 (SSE) 。 客戶金鑰協助你在應用層級控制根加密金鑰,從而符合合規或法規要求。

您明確授權 Microsoft 365 使用您的加密金鑰來提供增值服務,如電子發現、反惡意軟體、反垃圾郵件及搜尋索引。 Microsoft 365 使用這些金鑰來加密你靜態的資料,詳見 線上服務條款 (OST)

客戶金鑰與混合部署

客戶金鑰只加密雲端中靜態資料。 它不保護本地的信箱或檔案。 為了保護本地資料,可以使用像 BitLocker 這樣的獨立方法。

了解資料加密政策

資料加密政策 (DEP) 定義了加密階層。 服務利用這個階層結構來加密資料,同時使用你管理的金鑰和 Microsoft 保護的可用性金鑰。 你可以用 PowerShell 指令集建立一個 DEP,然後指派它來加密應用程式資料。

客戶金鑰支援三種類型的 DEP。 每種類型使用不同的指令碼,並保護不同類型的資料:

針對多個 Microsoft 365 工作負載的 DEP

這些 DEP 會加密租戶中所有使用者在多個 Microsoft 365 工作負載中的資料:

  • Windows 365雲端電腦 (企業) ,包括前線專用與共享模式 (細節)
  • Teams:聊天訊息、媒體訊息、通話/會議錄音 (在 Teams 儲存) 、通知、Cortana 建議、狀態訊息
  • Microsoft 365 Copilot 互動
  • Exchange:使用者/訊號資訊及信箱不在 DEP 範圍內的信箱
  • Microsoft Purview 資訊保護:EDM 資料 (架構、規則套件、鹽分) 、敏感性標籤配置

注意事項

對於 EDM 和 Teams,DEP 會加密來自指派的新資料。 對 Exchange 來說,它會加密所有現有和新的資料。

未被多工作負載加密的 DEP (有其他保護方法) :

  • SharePoint 和 OneDrive 的資料 (使用 SharePoint DEP)
  • Teams 檔案與錄音儲存在 SharePoint / OneDrive 中
  • Teams 現場活動、Viva Engage、Planner

你可以為每個租戶建立多個 DEP,但一次只能指派一個。 加密會在分配後自動開始。

Exchange 郵箱的 DEP

信箱 DEP 讓你對個別 Exchange Online 信箱有更多控制權。 你可以用它們來加密 UserMailbox、MailUser、Group、PublicFolder 和 Shared 信箱的資料。

每位租戶最多可以有 50 個活躍的信箱 DEP。 你可以指派一個 DEP 給多個信箱,但每個信箱只能指派一個 DEP。

預設情況下,Exchange 郵箱使用 Microsoft 管理的金鑰進行加密。 當你指派客戶金鑰 DEP 時,服務會在下一次存取時重新包裝現有加密的信箱。 未加密的信箱會被標記為搬遷,加密會在搬遷完成後進行。 關於移動優先順序的詳細資訊,請參閱 Microsoft 365 服務中的移動請求

之後你可以重新整理 DEP 或依照 Office 365 客戶金鑰管理中說明的設定指派其他 DEP。

每個信箱必須符合使用客戶鑰匙的授權要求。 更多資訊請參閱 先修課程

只要租戶符合使用者信箱的授權要求,你可以將 DEP 指派到共享、公共資料夾和群組信箱。 非使用者專用的信箱不需要另外授權。

你也可以要求 Microsoft 在離開服務時清除特定的 DEP。 撤銷對你金鑰的存取會觸發刪除可用金鑰,導致你的資料被加密刪除。 詳情請參見 「撤銷你的金鑰」並啟動資料清除路徑程序

SharePoint 與 OneDrive 的 DEP

此 DEP 會加密儲存在 SharePoint 和 OneDrive 的內容,包括 SharePoint 中的 Teams 檔案。 多地理租戶可建立一個 DEP;單一地理租戶可以建立一個 DEP。 關於設定說明,請參閱 「設定客戶金鑰」。

客戶金鑰使用的加密密碼

客戶金鑰使用不同的加密密碼來保護金鑰,如下圖所示。

用於跨多個 Microsoft 365 工作負載加密資料的 DEP 所使用的金鑰階層結構,類似於個別 Exchange 信箱所使用的。 對應的 Microsoft 365 工作負載金鑰取代了信箱金鑰。

用於加密 Exchange 金鑰的加密密碼

Exchange 客戶金鑰的加密密碼。

用於加密 SharePoint 與 OneDrive 金鑰的加密密碼

SharePoint 客戶金鑰的加密密碼。

  • Last updated on