更新时间:2022-07-26 09:32:31
尽管Microsoft已确保使用BitLocker和分布式密钥管理器(DKM)静态加密所有客户数据,但它在应用程序层为OneDrive,SharePoint Online和Teams等工具添加的另一安全层是“服务加密”。该层通过Microsoft管理的密钥或客户密钥提供加密。前者是不言自明的,而后者则允许客户生成自己的加密密钥,对其进行管理并在用于加密内容的密钥链中使用它们。以前,Microsoft 365客户密钥仅可用于Exchange Online,SharePoint Online和OneDrive for Business,但现在它通常还为Teams提供支持。
组织可以使用客户密钥来开发自己的数据加密策略(DEP),并使用它为所有租户用户强制执行某些内容的加密。客户可以创建多个策略,但一次只能应用一个。可以使用客户密钥对以下数据进行加密:
团队聊天消息(1:1聊天,群聊,会议聊天和频道对话)
团队媒体消息(图像,代码段,视频消息,音频消息,Wiki) 图片)
团队通话和会议记录存储在团队存储中
团队聊天通知,Cortana的团队聊天建议,团队状态消息
Exchange Online用户和信号信息
邮箱级DEP加密尚未进行 已使用Exchange Online邮箱
Microsoft信息保护精确数据匹配(EDM)数据-(数据文件结构,规则包和用于哈希敏感数据的盐)
Microsoft警告,尽管在指定DEP后将进行加密自动,但是请注意,根据组织中的数据量,该过程可能需要一些时间才能完成。对于Teams和Microsoft Information Protection中的数据,在分配DEP之后将对所有数据启用加密,而历史数据将保持不变。该公司的目标是最终通过客户密钥将历史数据的自动加密带到这些服务中。