如需這些技術的詳細資訊,請參閱 Microsoft 365 服務描述。
Azure 版權管理
Azure Rights Management (Azure RMS) 是 Azure 資訊保護 所使用的保護技術。 它使用加密、身分識別和授權原則來協助保護跨多個平台和裝置(手機、平板電腦和電腦)的檔案和電子郵件。 您可以在組織內部和外部保護資訊,因為保護會保留在資料中。 Azure RMS 提供所有檔案類型的持續性保護、保護任何地方的檔案、支援企業對企業共同作業,以及各種 Windows 和非 Windows 裝置。 Azure RMS 保護也可以增強 資料外洩防護 (DLP) 原則。 如需哪些應用程式和服務可以使用 Azure 資訊保護中的 Azure Rights Management 服務的詳細資訊,請參閱應用程式如何支援 Azure Rights Management 服務。
Azure RMS 已與 Microsoft 365 整合,可供所有客戶使用。 若要將 Microsoft 365 設定為使用 Azure RMS,請參閱 設定 IRM 以使用 Azure Rights Management 和在 SharePoint 系統管理中心設定 IRM) (資訊權限管理。 如果您內部部署的 Active Directory (AD) RMS 伺服器運作,則您也可以將 IRM 設定為使用內部部署 AD RMS 伺服器,但強烈建議您移轉至 Azure RMS,以使用新功能,例如與其他組織安全共同作業。
當您使用 Azure RMS 保護客戶資料時,Azure RMS 會使用 2048 位 RSA 非對稱金鑰搭配 SHA-256 雜湊演算法來加密資料。 Office 文件和電子郵件的對稱金鑰是 AES 128 位元。 針對受 Azure RMS 保護的每個文件或電子郵件,Azure RMS 會 (「內容金鑰」) 建立單一 AES 金鑰,而且該金鑰會內嵌在文件中,並透過文件的版本保存。 內容金鑰會使用組織的 RSA 金鑰 (「Azure 資訊保護租用戶金鑰」來保護 ) 作為檔中原則的一部分,而且原則也會由檔作者簽署。 此租用戶金鑰是受組織 Azure RMS 保護的所有檔和電子郵件的通用,而且只有在組織使用客戶管理的租用戶金鑰時,Azure 資訊保護系統管理員才能變更此金鑰。 如需加密服務所使用密碼編譯控制項的詳細資訊,請參閱 Azure Rights Management 服務的運作方式:技術詳細資料。
在預設的 Azure RMS 實作中,Microsoft 會為每個租用戶產生並管理唯一的根金鑰。 客戶可以使用稱為自備金鑰 (BYOK) 的金鑰管理方法,使用 Azure 金鑰保存庫 Services 管理其根金鑰的生命週期,該方法可讓您在內部部署 HSM (硬體安全性模組) 中產生金鑰,並在傳輸至 Microsoft 的 FIPS 140-2 層級 2 驗證 HSM 之後保持對此金鑰的控制。 不會將根金鑰的存取權授與任何人員,因為無法從保護金鑰的 HSM 匯出或擷取金鑰。 此外,您可以隨時存取近乎即時的日誌,顯示對根金鑰的所有存取。 如需詳細資訊,請參閱 Azure Rights Management 服務的使用量記錄。
Azure Rights Management 有助於減輕竊聽、中間人攻擊、數據竊取和無意中違反組織共用原則等威脅。 同時,透過遵循該資料的原則,防止沒有適當權限的未經授權的使用者在傳輸中或靜態存取客戶資料,從而降低該資料有意或無意落入壞人之手的風險,並提供資料外洩防護功能。 如果用作 Azure 資訊保護的一部分,Azure RMS 也會提供資料分類和標籤功能、內容標記、文件存取追蹤和存取撤銷功能。 若要深入瞭解這些功能,請參閱什麼是 Azure 資訊保護、Azure 資訊保護 部署藍圖,以及 Azure 資訊保護 的快速入門教學課程。
安全的多用途網際網路郵件擴充功能
安全/多用途網際網路郵件延伸 (S/MIME) 是 MIME 資料公開金鑰加密和數位簽署的標準。 S/MIME 定義於 RFC 3369、3370、3850、3851 等。 它允許用戶加密電子郵件並對電子郵件進行數字簽名。 使用 S/MIME 加密的電子郵件只能由電子郵件收件者使用其私密金鑰解密,該私密金鑰僅供該收件者使用。 因此,除了電子郵件收件者之外,任何人都無法解密電子郵件。
Microsoft 支援 S/MIME。 公用憑證會散發至客戶的內部部署的 Active Directory,並儲存在可複寫至 Microsoft 365 租用戶的屬性中。 對應至公開金鑰的私密金鑰會保留在內部部署,絕不會傳輸至 Office 365。 使用者可以使用 Outlook、Outlook 網頁版和 Exchange ActiveSync 用戶端,在組織中的兩個使用者之間撰寫、加密、解密、讀取和數位簽署電子郵件。
Office 365 郵件加密
Office 365 郵件加密 (OME) 建置在 Azure 資訊保護 之上 (AIP) 之上,可讓您將加密且受權限保護的郵件傳送給任何人。 OME 可減輕竊聽和中間人攻擊等威脅,以及其他威脅,例如沒有適當權限的未經授權的使用者無端存取資料。 我們進行了投資,為您提供基於 Azure 資訊保護 之上的更簡單、更直觀、更安全的電子郵件體驗。 您可以保護從 Microsoft 365 傳送給組織內部或外部任何人的訊息。 您可以使用任何身分識別,包括 Microsoft Entra ID、Microsoft 帳戶和 Google ID,在一組不同的郵件用戶端中檢視這些郵件。 如需貴組織如何使用加密郵件的詳細資訊,請參閱 Office 365 郵件加密。
傳輸層安全性
如果您想要確保與合作夥伴的安全通訊,您可以使用輸入和輸出連接器來提供安全性和訊息完整性。 您可以使用憑證,在每個連接器上設定強制輸入和輸出 TLS。 使用加密的 SMTP 通道可以防止資料透過中間人攻擊被竊取。 如需詳細資訊,請參閱 Exchange Online 如何使用 TLS 來保護電子郵件連線。
網域金鑰識別郵件
Exchange Online支援網域金鑰識別郵件 (DKIM) 訊息的傳入驗證。 DKIM 是一種驗證郵件是否來自其聲稱的來源域以及該郵件是否被其他人欺騙的方法。 它將電子郵件與負責發送電子郵件的組織聯繫起來,並且是電子郵件加密的更大範式的一部分。 如需此範例三個部分的詳細資訊,請參閱: