除了使用卷级加密外,Exchange Online、Microsoft Teams、SharePoint Online、OneDrive for Business 和 Windows 365 云电脑还使用服务加密来加密客户数据。
服务加密允许两个密钥管理选项,Microsoft管理的密钥和客户管理的密钥。
服务加密具有多种优势:
为所有Microsoft 365 服务和Windows 365云电脑提供一层保护。 对于 Microsoft 365 服务,服务加密是 BitLocker 之上的额外保护层。
将 Windows作系统管理员与对作系统存储或处理的应用程序数据的访问权限分离。
包括一个客户密钥选项,该选项允许多租户服务提供每个租户的密钥管理。
增强 Microsoft 365 和 Windows 365 的能力,以满足有关加密的特定合规性要求。
什么是Microsoft管理的密钥?
默认情况下,Microsoft管理所有加密密钥,包括用于服务加密的根密钥。 默认情况下,Exchange Online、SharePoint Online、OneDrive for Business和Windows 365云电脑启用此选项(称为Microsoft管理的密钥)。 Microsoft管理的密钥提供默认服务加密,除非你决定使用客户密钥。 如果以后决定停止使用客户密钥而不遵循数据清除路径,则数据将使用Microsoft管理的密钥保持加密状态。 数据始终至少在此默认级别加密。
什么是客户密钥?
客户密钥是客户管理的密钥解决方案。 使用客户密钥时,可以提供用于服务加密的根密钥,并使用 Azure 密钥保管库管理这些密钥,而Microsoft管理所有其他密钥。 客户密钥可用于 Exchange、SharePoint 和 OneDrive for Business,Windows 365云电脑 (企业模式和一线模式) 。
Microsoft Purview 客户密钥的Windows 365支持已正式发布,包括Windows 365 Frontline (专用和共享) 。
使用客户密钥生成自己的加密密钥。 可以使用本地硬件服务模块 (HSM) 或 Azure 密钥保管库 (AKV) 来生成密钥。 AKV 允许你控制和管理 Microsoft 365 使用的加密密钥。 客户密钥使用存储在 AKV 中的密钥作为用于加密邮箱数据或文件的密钥链之一的根。
客户密钥让你可以更好地控制Microsoft处理数据的方式。 例如,如果要终止Microsoft服务或删除存储在云中的部分数据,则可以使用客户密钥作为技术控制。 删除数据可确保没有人(包括Microsoft)可以访问或处理数据。 客户密钥是客户密码箱的补充和补充,用于控制Microsoft人员对数据的访问。
若要了解如何为Exchange Online、Microsoft Teams、SharePoint Online(包括团队网站)和OneDrive for Business设置客户密钥,请参阅以下文章:
客户密钥概述
设置客户密钥
管理客户密钥
滚动或旋转客户密钥或可用性密钥
了解可用性密钥