Crittografia del servizio con clienti chiave per domande frequenti di Office 365

Nota: Riteniamo importante fornire il contenuto della Guida più recente non appena possibile, nella lingua dell'utente. Questa pagina è stata tradotta automaticamente e potrebbe contenere errori di grammatica o imprecisioni. L'intento è quello di rendere fruibile il contenuto. Nella parte inferiore della pagina è possibile indicare se le informazioni sono risultate utili. Questo è l'articolo in lingua inglese per riferimento.

Oltre la previsione, la crittografia a livello di volume che è stata attivata BitLocker e distribuito chiave Manager (DKM), Office 365 offre un livello aggiuntivo di crittografia a livello di applicazione per il contenuto dei clienti in Office 365, inclusi i dati da Exchange In linea, Skype for Business, SharePoint Online e OneDrive for Business. Questo comando si chiama la crittografia del servizio.

Chiave cliente si basa sulla crittografia del servizio e consente di specificare e tasti di scelta utilizzato per crittografare i dati inattivi in Office 365, come descritto in Termini di servizi in linea (OST). Chiave cliente consente di soddisfare gli obblighi di conformità perché è possibile controllare le chiavi di crittografia che utilizza Office 365 per decrittografare i dati.

Per fornire un feedback su chiave cliente, compresa la documentazione per customerkeyfeedback@microsoft.com inviare idee, suggerimenti e prospettive.

Che cos'è la crittografia del servizio con clienti chiave?

Chiave cliente è una caratteristica che consente di eseguire il provisioning e la gestione delle chiavi utilizzate per crittografare dati inattivi in Office 365. La caratteristica utilizza la crittografia del servizio, ovvero la crittografia che viene eseguita da Exchange di Office 365 e SharePoint. La crittografia del servizio presenta vantaggi oltre cosa BitLocker può offrire - vale a dire, maggiore di difesa malintenzionati. La crittografia del servizio è fondamentale contromisura se un pirata informatico tenta di ignorare il sistema di controllo di accesso di Office 365 che viene utilizzato per elaborare tutte le richieste di accesso ai dati del cliente. In questo modo la crittografia del servizio indica che un amministratore del server non dispone di controllo o persino l'accesso per la crittografia tasti e non è possibile disabilitare la crittografia, diversamente da quanto succede con BitLocker. Di conseguenza, un pirata informatico con accesso amministrativo a un server che ospita i dati dei clienti crittografati utilizzando la crittografia del servizio non saranno in grado di leggere i dati dei clienti e anche se i dati crittografati vengono copiati dal server rimarrà inutile.

I dati di Office 365 inattivi sono coperta dal cliente chiave?

Contenuto del sito SharePoint Online e i file archiviati nel sito e caricati file in OneDrive for Business disponibili. Contenuto delle cassette postali Exchange Online (corpo del messaggio di posta elettronica, le voci del calendario e il contenuto di allegati di posta elettronica) è coperto. Sono previste le conversazioni di Skype per le aziende, ma non verranno trattati registrazioni di Skype Meeting Broadcast e i caricamenti contenuti riunione Skype. Caricamento di contenuto riunione Skype o Skype Meeting Broadcast crittografato insieme a tutti gli altri contenuti in Office 365, ma attualmente non offerte controllo customer delle chiavi di crittografia.

Che cos'è la differenza tra chiave cliente e visualizzare il proprio chiave (BYOK) con la protezione delle informazioni di Azure per Exchange Online?

Entrambe le opzioni consentono di specificare e controllare il proprio chiavi di crittografia; Tuttavia, servizio con clienti chiave vengono crittografati i dati inattivi, che si trovano in Office 365 server a riposo, mentre BYOK con la protezione delle informazioni di Azure per Exchange Online crittografa i dati in transito e fornisce persistente online e offline protezione per i messaggi di posta elettronica e gli allegati di Office 365. Chiave cliente e BYOK con la protezione delle informazioni di Azure per Exchange Online sono complementari e se si sceglie di utilizzare servizio gestito tasti Microsoft o chiavi personalizzate, crittografare i dati a riposo e in transito può fornire una maggiore protezione da attacchi.

BYOK con la protezione delle informazioni di Azure per Exchange Online è disponibile nelle funzionalità di crittografia messaggi di Office 365.

Crittografia messaggi di Office 365 e visualizzare il proprio chiave con la protezione delle informazioni di Azure invariata approccio Microsoft alle richieste di dati di terze parti, ad esempio citazioni?

No. Crittografia messaggi di Office 365 e l'opzione per fornire e controllo personalizzate chiavi di crittografia con porta il proprio chiave (BYOK) per Azure informazioni di protezione (AIP) non è progettato per rispondere a citazioni imposizione di legge. Crittografia messaggi di Office 365 con BYOK per AIP progettata per i clienti di conformità attivo che è necessario soddisfare gli obblighi di conformità interna o esterna. Microsoft si molto seriamente le richieste di terze parti per i dati dei clienti. Come provider di servizi cloud, è sempre assistenza per la privacy dei dati dei clienti. Nel caso in cui è visualizzato un comparizione, è sempre tentativo di reindirizzare la terza parte al cliente per ottenere le informazioni. (Leggere il blog di Brad Smith: dati dei clienti di protezione da parte di enti governativi). Informazioni dettagliate della richiesta riceverà periodicamente pubblicato qui.

Vedere il Centro protezione di Microsoft relative alle richieste di dati di terze parti e "Divulgazione dei dati dei clienti" in Termini di servizi in linea (OST)per altre informazioni.

La crittografia del servizio con clienti chiave invariata approccio Microsoft alle richieste di dati di terze parti, ad esempio citazioni?

No. Chiave cliente non è progettato per rispondere a citazioni imposizione di legge. Progettato per i clienti regolamentati soddisfare gli obblighi di conformità interna o esterna. Microsoft si molto seriamente le richieste di terze parti per i dati dei clienti. Come provider di servizi cloud, è sempre assistenza per la privacy dei dati dei clienti. Nel caso in cui è visualizzato un comparizione, è sempre tentativo di reindirizzare la terza parte al cliente per ottenere le informazioni. (Leggere il blog di Brad Smith: dati dei clienti di protezione da parte di enti governativi). Informazioni dettagliate della richiesta riceverà periodicamente pubblicato qui.

Vedere il Centro protezione di Microsoft relative alle richieste di dati di terze parti e "Divulgazione dei dati dei clienti" in Termini di servizi in linea (OST) per altre informazioni.

È disponibile per l'implementazione di chiave cliente FastTrack supporto?

No. FastTrack solo è utilizzata per raccogliere informazioni di configurazione del tenant e servizio richiesto per eseguire la registrazione per clienti chiave. La chiave cliente offre pubblicate tramite FastTrack in modo che sia comodo per clienti e partner inviare queste informazioni necessarie utilizzando il metodo stesso e per semplificarne l'archiviazione dei dati che forniscono i clienti nell'offerta di.

Se è necessaria ulteriore assistenza oltre la documentazione, contattare Microsoft Consulting Services (MCS), Premier campo Engineering (PFE) o un partner Microsoft per assistenza.

Se vengono eliminati i tasti, come è possibile recuperare?

La chiave di disponibilità offre la possibilità di recuperare dalla perdita imprevista di chiavi di primo livello che si gestiscono. Se si perdono le chiavi radice, contatto supporto Microsoft e Microsoft viene spiegato il processo di attivazione della chiave di disponibilità. È necessario usare il tasto disponibilità per eseguire la migrazione a un nuovo criterio di crittografia di dati con i tasti di nuovi il provisioning dall'utente.

Che cos'è il tasto disponibilità?

Il tasto disponibilità è una chiave di primo livello quando si crea un criterio di crittografia di dati, viene eseguito il provisioning. Il tasto di disponibilità è memorizzato e protette in Office 365 e funzionano in modo simile alle chiavi due radice fornito dall'utente per l'utilizzo con la crittografia del servizio con clienti chiave. A differenza di tasti che forniscono e gestire nell'archivio di chiave di Azure, è possibile accedere direttamente la chiave di disponibilità. Spazio di archiviazione e il controllo della chiave di disponibilità sono deliberatamente diverse da Azure chiave archivio per tre motivi: prima di tutto il tasto disponibilità fornisce una funzionalità di disponibilità in caso di servizi di Office 365 non riescono a raggiungere le chiavi ospitate nella chiave di Azure Archivio; in secondo luogo, il tasto disponibilità fornisce una funzionalità di "interruzione vetro" nel caso in cui entrambi tasti Azure chiave archivio vanno persi. e infine la separazione dei controlli logici fornisce in difesa e consente di proteggere la perdita di tutte le chiavi di un singolo attacco o punto di errore. Condividere la responsabilità per proteggere le chiavi durante l'uso di diversi tipi di protezione e processi per la gestione delle chiavi, riducendo il rischio che tutte le chiavi (e pertanto i dati) verranno perso o eliminati. Microsoft offre esclusiva autorità sopra l'eliminazione della chiave di disponibilità. Per impostazione predefinita, nessuno Microsoft abbia accesso alla chiave disponibilità - ed è accessibile dal codice del servizio Office 365.

Quanti criteri di crittografia dati (DEPs) è possibile creare?

Exchange Online e Skype per le aziende: È possibile creare fino a 50 DEPs.

SharePoint Online e OneDrive for Business: Una protezione esecuzione programmi si applica ai dati in una posizione geografica, detto anche un geografico. Se si utilizza la funzionalità multi-geografico di Office 365, è possibile creare una protezione esecuzione programmi per geografico. Se non si usa geografico multipla, è possibile creare una protezione esecuzione programmi.

È possibile assegnare un criterio di crittografia dati prima della migrazione di cassette postali nel cloud?

Sì. È possibile utilizzare il cmdlet di Windows PowerShell Set utente di posta per assegnare un criterio di crittografia dati (Protezione esecuzione programmi) all'utente prima della migrazione di cassette postali a Office 365. Quando si esegue questa operazione, il contenuto della cassetta postale verrà crittografato tramite la protezione esecuzione programmi assegnate come viene eseguita la migrazione il contenuto. Può essere più efficiente rispetto all'assegnazione una protezione esecuzione programmi dopo la cassetta postale è già stata trasferita e quindi in attesa per la crittografia a avranno luogo, può richiedere ore o eventualmente giorni.

Come verificare che la crittografia con clienti chiave è stata attivata e Office 365 è terminata la crittografia con clienti chiave?

Exchange Online e Skype per le aziende: È possibile connettersi a Exchange Online mediante remote PowerShell e quindi utilizzare il cmdlet Get-MailboxStatistics per ogni cassetta postale che si desidera controllare. Nell'output del cmdlet Get-MailboxStatistics, la proprietà IsEncrypted restituisce il valore true se la cassetta postale è crittografata e il valore false in caso contrario. Se la cassetta postale è crittografata, il valore restituito per la proprietà DataEncryptionPolicyID è il GUID di protezione esecuzione programmi con cui la cassetta postale è crittografata. Per ulteriori informazioni sull'esecuzione di questo cmdlet, vedere Get-MailboxStatistics e l'utilizzo di PowerShell in Exchange Online.

Se le cassette postali non vengono crittografate dopo 72 ore dal momento in cui è assegnata la protezione esecuzione programmi, avviare spostamento delle cassette postali. A tale scopo, connettersi a Exchange Online mediante remote PowerShell e utilizzare il cmdlet New-MoveRequest e fornire l'alias della cassetta postale nel modo seguente:

New-MoveRequest <alias>

SharePoint Online e OneDrive for Business: È possibile connettersi a SharePoint Online PowerShell, quindi utilizzare il cmdlet Get-SPODataEncryptionPolicy per controllare lo stato del tenant. La proprietà State restituisce un valore di registrate se è attivata la crittografia chiave cliente e tutti i file in tutti i siti siano stati crittografati. Se la crittografia non è ancora in corso, questo cmdlet fornisce informazioni sulla percentuale di siti è stata completata.

Se desidera passare a un diverso set di tasti, come tempo per il nuovo set di tasti per proteggere i dati?

Exchange Online e Skype per le aziende: Può impiegare fino a 72 ore per proteggere una cassetta postale in base a un nuovo crittografia criteri di protezione dall'ora di che Protezione esecuzione programmi di nuovo viene assegnato alla cassetta postale.

SharePoint Online e OneDrive for Business: Può impiegare fino a quattro ore per crittografare nuovamente l'intero tenant dopo aver assegnata una nuova chiave.

I dati esistenti archiviati senza crittografia in qualsiasi momento durante la decrittografare o crittografata con clienti chiave?

No. I dati vengono crittografati sempre inattivi nel servizio di Office 365 con BitLocker e DKM. Per ulteriori informazioni, vedere la "sicurezza, Privacy e informazioni sulla conformità per Office 365" e come Exchange Online consente di proteggere le informazioni riservate di posta elettronica.

Se non si desidera non è più utilizzare chiavi di crittografia gestite cliente, è possibile passare a Microsoft gestite tasti?

Exchange Online e Skype per le aziende: Non ancora. Sarà più supportata dopo la crittografia del servizio Office 365 con i tasti gestiti Microsoft che è stata implementata ampiamente. Si prevede di distribuire questo nel servizio dopo la crittografia del servizio è stato rilasciato con clienti chiave.

SharePoint Online e OneDrive for Business: Sì. È possibile scegliere di tornare a utilizzare Microsoft gestite tasti separatamente per ogni geografico (se si utilizza la funzionalità multi-geografico) o per tutti i dati se è in una singola geografico.

Se perdono i tasti, come tempo per recuperare la disponibilità del servizio mediante la chiave di ripristino?

Exchange Online e Skype per le aziende: Dopo aver chiamato usare il tasto di disponibilità, cassette postali sarà accessibile in pochi minuti.

SharePoint Online e OneDrive for Business: Questa operazione è proporzionale al numero di siti che presenti. Quando si contatta Microsoft per usare il tasto di disponibilità, verranno completamente online all'interno di circa quattro ore.

Come viene utilizzata la chiave di disponibilità con Exchange Online?

Esistono tre modi che viene utilizzata la chiave di disponibilità con Exchange Online:

  • Servizio disponibilità - nel caso in cui i tasti di Azure chiave archivio raggiungibili.

  • Le azioni avviate dal codice del servizio Office 365, ad esempio la creazione dell'indice di ricerca o si sposta cassetta postale.

  • Recuperare dalla perdita chiave - ad esempio la perdita di entrambe le chiavi Azure chiave archivio associato a un singolo Protezione esecuzione programmi.

Utilizzando la chiave di disponibilità per la disponibilità dei servizi in caso di tasti di Azure chiave archivio non è raggiungibili.

Office 365 utilizza la chiave di disponibilità sia per la disponibilità dei servizi e il ripristino da uno stato chiave cliente per Exchange Online. Esiste una gerarchia di chiavi utilizzate dalla chiave cliente. Questa gerarchia è illustrata nella figura seguente.

Se entrambe le chiavi Azure chiave archivio di un singolo crittografia criteri (protezione) non sono disponibili, Office 365 è possibile utilizzare la disponibilità tasto per passare a un nuovo programmi Office 365 determina se usare il tasto disponibilità disponibilità del servizio varia a seconda che un attività avviata dall'utente, ad esempio, quando si esegue il download di posta elettronica per il client di Outlook o un'attività avviata sistema, ad esempio l'indicizzazione contenuto delle cassette postali o per la ricerca eDiscovery attivato il processo.

Office 365 segue questa procedura in risposta alle azioni avviata dall'utente per determinare se usare il tasto disponibilità per le cassette postali utente:

  1. Office 365 legge Protezione esecuzione programmi a cui è assegnata la cassetta postale per determinare la posizione delle chiavi del due cliente Azure chiave archivio.

  2. Office 365 in modo casuale sceglie uno dei tasti di due cliente dalla protezione esecuzione programmi e invia una richiesta all'archivio di chiave Azure per annullare la chiave di protezione esecuzione programmi utilizzando la chiave cliente.

  3. Se la richiesta per annullare la protezione esecuzione programmi principali utilizzando la chiave cliente ha esito negativo e viene restituito un errore, Office 365 invia una seconda richiesta all'archivio di chiave Azure, questa volta, è possibile utilizzare alternativo che indicano chiave cliente (secondo).

  4. Se la seconda richiesta per annullare la chiave di protezione esecuzione programmi utilizzando il cliente chiave si verifica un errore e viene restituito un errore, Office 365 consente di esaminare i risultati di entrambe le richieste:

    • Se l'esame determina che gli errori non si riflettono un'azione esplicita per un'identità del cliente, Office 365 utilizza la chiave di disponibilità per decrittografare la chiave di protezione esecuzione programmi. La chiave di protezione esecuzione programmi quindi è utilizzata per decrittografare la chiave di cassette postali e completare la richiesta dell'utente.

      In questo caso, Azure chiave archivio è grado di rispondere o non è raggiungibile per qualsiasi motivo. Office 365 non è possibile che consente di determinare se il cliente è revocato intenzionalmente accesso alla pressione dei tasti.

    • Se esame indica che intenzionale azione per il rendering cliente chiavi non disponibile, quindi non verrà utilizzato il tasto di disponibilità, richiesta utente ha esito negativo e l'utente riceve un messaggio di errore, ad esempio errore di accesso.

      In questo caso, il cliente viene a conoscenza che impatto servizio e la condizione di chiave cliente è danneggiata. Ad esempio, se un cliente utilizza un singolo Protezione esecuzione programmi per tutte le cassette postali nell'organizzazione, il cliente potrebbe verificare un errore diffuso nel punto in cui gli utenti non possono accedere alle cassette postali. In questo modo che dopo aver configurato entrambi tasti cliente non corretti, il cliente viene a conoscenza della necessità di correggere l'errore e il ripristino del servizio a uno stato integro.

Utilizzando la chiave di disponibilità di azioni avviate da codice servizio Office 365.

Codice di Office 365 servizio sempre dispone di un token di accesso valido e non è possibile bloccare. Pertanto, fino a quando non è stato eliminato il tasto di disponibilità, può essere utilizzato per le azioni da, o come interno per codice servizio Office 365, ad esempio la creazione dell'indice di ricerca o spostamento delle cassette postali.

Utilizzando la chiave di disponibilità per recuperare dalla perdita chiave.

È possibile usare il tasto disponibilità per recuperare la perdita di entrambe le chiavi Azure chiave archivio associati alla stessa funzionalità Protezione esecuzione programmi, come descritto nella risposta alla voce domande frequenti "se vengono eliminati i tasti, come è possibile recuperare?".

Il tasto disponibilità utilizzo con SharePoint Online e OneDrive for Business?

SharePoint Online di OneDrive per l'architettura di Business e implementazione per chiave chiave cliente e la disponibilità sono diverse da Exchange Online e in Skype for Business.

Quando un cliente passa a chiavi gestite cliente, Office 365 crea una chiave intermedia specifiche del tenant (TIK). Office 365 crittografa il TIK due volte, una volta con ognuna delle chiavi del cliente e archivia le due versioni crittografate di TIK. Solo le versioni crittografate del TIK sono archiviate e una TIK possibile decrittografare solo con i tasti di cliente. Il TIK quindi viene utilizzato per crittografare le chiavi di sito, quindi utilizzate per crittografare le chiavi blob. BLOB stessi vengono crittografate e archiviate nel servizio di archiviazione Blob di Microsoft Azure.

Office 365 segue questa procedura per accedere a un blob che contiene i dati dei clienti file:

  1. Decrittografare TIK utilizzando la chiave del cliente.

  2. Utilizzare TIK decrittografare per decrittografare una chiave del sito.

  3. Usare il tasto sito decrittografare per decrittografare una chiave blob.

  4. Usare il tasto blob decrittografare decrittografare il blob.

Durante la crittografia di un TIK, Office 365 problemi due richieste decrittografia in Azure chiave archivio con uno scarto di lieve. Il primo a fine è disponibile il risultato, annullare la richiesta corrente.

Nel caso in cui il cliente perde l'accesso alle relative chiavi cliente, Office 365 crittografa il TIK con un tasto di disponibilità e vengono comunque insieme TIKs crittografate con ogni chiave cliente. TIK crittografate con la disponibilità viene utilizzato solo quando il cliente chiama Microsoft per integrare il percorso di ripristino quando si è più possibile accedere alle relative chiavi o accidentalmente.

Per motivi di scala e disponibilità, TIKs decrittografare vengono memorizzati nella cache di tempo limitato nella cache. Due ore prima che una cache TIK è impostata su una scadenza, Office 365 tenta di decrittografare ogni TIK. Decrittografare il TIKs estende la durata della cache. Se la decrittografia TIK non riesce per un periodo di tempo significativo, Office 365 genera un avviso per la notifica di progettazione prima della scadenza della cache. Solo se il cliente chiama Microsoft Office 365 verrà avviata l'operazione di ripristino, che comporta decrittografia di che TIK insieme al tasto disponibilità archiviati in Microsoft archivio segreto e onboarding tenant usando il decrittografare TIK e un nuovo set tasti di Azure chiave archivio fornite dal cliente.

Alla data odierna, chiave cliente impliciti nella catena di crittografia e decrittografia di SharePoint Online dati archiviati nell'archivio blob Azure, ma non voci di elenco di SharePoint Online o metadati archiviati nei database SQL di file. Office 365 non si utilizza la disponibilità chiave per SharePoint Online o in OneDrive for Business diverso da quello descritto in precedenza, ossia cliente avviata. Risorse umana accesso ai dati personali è protetto da archivio protetto cliente.

Come è concesso in licenza chiave cliente?

Chiave cliente è disponibile in Office 365 Enterprise Suite, "E5" e lo SKU di conformità avanzate. Inoltre, i clienti anche necessario acquistare licenze appropriato per l'uso di Azure chiave archivio.

Ogni utente vantaggi del cliente chiave deve essere concesso in licenza se desiderano chiave cliente.

Per SharePoint Online, l'amministratore di Office 365 che configura chiave cliente deve inoltre essere concesso in licenza, per eseguire la procedura di installazione. Inoltre, gli utenti che vantaggio dalla caratteristica è necessario essere concesso in licenza, inclusi il proprietario del sito e agli utenti di accesso ai file su uno o più siti crittografati con clienti chiave. Gli utenti esterni non è necessario disporre della licenza per accedere ai file in uno o più siti crittografati con clienti chiave.

Per Exchange Online, è necessario licenza cassette postali di "utente" e "utente mail". Non tutti gli altri utenti, ad esempio cassette postali condivise, è necessario disporre di una licenza per chiave cliente. Per verificare che la cassetta postale di Exchange Online correttamente concesso in licenza, eseguire il cmdlet seguente:

(Get-Mailbox <alias>).PersistedCapabilities

Se è presente la stringa BPOS_S_EquivioAnalytics, la cassetta postale apposita licenza.  In caso contrario, è necessario applicare la licenza per utilizzare la funzionalità chiave cliente per la cassetta postale.

È possibile attivare chiave cliente per una sottoscrizione di valutazione?

No. Per definizione, sottoscrizioni di valutazione hanno una durata limitata. Chiavi di crittografia che sono ospitate in sottoscrizioni di valutazione possono essere perse alla fine della durata di valutazione. Poiché Microsoft non è possibile e non impedisce ai clienti di immissione dati dei clienti importanti in sottoscrizioni di valutazione, non è consentita l'utilizzo di chiave cliente con sottoscrizioni di valutazione.

Quantità verranno con clienti chiave costo?

Oltre alle licenze necessarie per chiave cliente, clienti causeranno un costo per l'utilizzo di archivio di chiave. Archivio di chiave Azure ulteriori informazioni sui prezzi viene descritto il modello di costo e viene spiegato con la stima. Non è possibile prevedere il costo esatto che i clienti causeranno perché modelli di utilizzo possono variare. Esperienza ha mostrato che il costo è molto basso e in genere compreso nell'intervallo di 0,002 $ a $0.005 per utente al mese e il costo dei tasti eseguito il modulo di sicurezza hardware. Il costo varia in base alla configurazione di registrazione scelta dal cliente e la quantità di spazio di archiviazione Azure utilizzato per i registri di Azure chiave archivio.

Per altre informazioni

Per iniziare con clienti chiave, vedere il controllo dei dati in Office 365 usando chiave cliente.

Amplia le tue competenze su Office
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×