Microsoft 企業雲端服務中的客戶資料受到數種技術和程式的保護,包括各種形式的加密。 (本檔中的客戶資料包括Exchange Online信箱內容、電子郵件本文、行事曆專案和電子郵件附件的內容,以及 (如果適用) 商務用 Skype內容、SharePoint 網站內容和儲存在網站內的檔案,以及上傳至 OneDrive 或 商務用 Skype 的檔案.) Microsoft 在其產品和服務中使用多種加密方法、協定和密碼。 加密有助於為客戶資料提供透過雲端服務傳輸的安全路徑,並有助於保護儲存在雲端服務中的客戶資料的機密性。 Microsoft 會使用一些最強大、最安全的加密通訊協定來提供屏障,防止未經授權存取客戶數據。 適當的金鑰管理也是加密最佳做法的基本元素,Microsoft 致力於確保所有 Microsoft 管理的加密金鑰都受到適當保護。
儲存在 Microsoft 企業雲端服務中的客戶資料會使用一或多種形式的加密來保護。 (多名非Microsoft審計師獨立驗證我們的加密政策及其執行情況。這些稽核的報告可在 服務信任入口網站上取得 )
Microsoft 提供服務端技術,可在待用和傳輸中加密客戶資料。 例如,對於待用客戶資料,Microsoft Azure 會使用 BitLocker 和 DM-Crypt,而 Microsoft 365 會使用 BitLocker、 Azure 儲存體服務加密、 分散式金鑰管理員 (DKM) ,以及 Microsoft 365 服務加密。 針對傳輸中的客戶資料、Azure、Office 365、Microsoft 商業支援、Microsoft Dynamics 365、Microsoft Power BI 和 Visual Studio Team Services在Microsoft資料中心之間以及使用者裝置與Microsoft資料中心之間使用業界標準的安全傳輸通訊協定,例如網際網路通訊協定安全 (IPsec) 和傳輸層安全 (TLS) 。
除了 Microsoft 提供的密碼編譯安全性基準層級之外,我們的雲端服務也包含您可以管理的密碼編譯選項。 例如,您可以啟用其 Azure 虛擬機器 (VM) 與其使用者之間的流量加密。 使用 Azure 虛擬網路,您可以使用業界標準的 IPsec 通訊協定來加密公司 VPN 閘道與 Azure 之間的流量。 您也可以加密虛擬網路上 VM 之間的流量。 此外,Microsoft Purview 郵件加密可讓您將加密的郵件傳送給任何人。
遵循公開金鑰基礎結構作業安全性Standard (Microsoft安全性原則的元件),Microsoft會使用 Windows 作業系統中包含的密碼編譯功能來取得憑證和驗證機制。 這些機制包括使用符合美國政府聯邦 資訊處理標準 (FIPS) 140-2 標準的加密模組。 您可以使用 CMVP) 的加密模組驗證計劃 (搜尋相關的美國國家標準與技術研究院 (NIST) 憑證號碼,以取得Microsoft。
[筆記]Microsoft 安全性原則不會以公開下載的形式提供。 如需原則的相關資訊,請連絡 Microsoft。
FIPS 140-2 是專為驗證實作密碼編譯的產品模組而設的標準,而不是使用密碼編譯的產品。 在服務內實作的加密模組可以認證為符合雜湊強度、金鑰管理等需求。 用來保護 Microsoft 雲端服務中資料的機密性、完整性或可用性的密碼編譯模組和密碼符合 FIPS 140-2 標準。
Microsoft 會針對每個新版本的 Windows 作業系統認證雲端服務中使用的基礎密碼編譯模組:
- Azure 和 Azure 美國政府
- Dynamics 365 和 Dynamics 365 美國政府
- Office 365、Office 365 美國政府和 Office 365 美國政府國防版
待用客戶數據的加密是由多種服務端技術提供,包括 BitLocker、DKM、Azure 儲存體服務加密,以及 Exchange、OneDrive 和 SharePoint 中的服務加密。 Microsoft 365 服務加密包含使用儲存在 Azure 金鑰保存庫中的客戶管理加密金鑰的選項。 此客戶管理的金鑰選項稱為客戶金鑰,適用於 Exchange、SharePoint、OneDrive、Teams 檔案和 Windows 365 雲端電腦, (公開預覽) 。
針對傳輸中的客戶資料,所有 Office 365 伺服器預設都會使用 TLS 與用戶端電腦交涉安全工作階段,以保護客戶資料。 例如,Office 365 會交涉與商務商務用 Skype、Outlook、Outlook 網頁版、行動用戶端和網頁瀏覽器的安全工作階段。
(依預設,所有面向客戶的伺服器都會交涉至 TLS 1.2 ) 。