Criptografia de serviço com a chave do cliente para perguntas Frequentes do Office 365

Observação: Desejamos fornecer o conteúdo da Ajuda mais recente no seu idioma da forma mais rápida possível. Esta página foi traduzida de forma automatizada e pode conter imprecisões ou erros gramaticais. Nosso objetivo é que este conteúdo seja útil para você. As informações foram úteis? Dê sua opinião no final desta página. Aqui está o artigo em inglês para facilitar a referência.

Além da linha de base, criptografia de nível de volume que está habilitada por meio de BitLocker e Gerenciador de chave distribuído (DKM), o Office 365 oferece uma camada adicional de criptografia no nível do aplicativo para o conteúdo de cliente no Office 365, incluindo os dados do Exchange Online, Skype for Business, do SharePoint Online e OneDrive for Business. Isso é chamado criptografia de serviço.

Chave de cliente baseia-se na criptografia de serviço e permite que você forneça e teclas de controle que são usadas para criptografar seus dados inativos no Office 365, conforme descrito nos Termos de serviços Online (OST). Chave cliente ajuda você a atender as obrigações de conformidade porque você controlar as chaves de criptografia que usa o Office 365 para descriptografar dados.

Para fornecer comentários sobre a chave de clientes, incluindo a documentação, envie suas ideias, sugestões e perspectivas para customerkeyfeedback@microsoft.com.

O que é criptografia de serviço com a chave do cliente?

Chave cliente é um recurso que permite provisionar e gerenciar as chaves usadas para criptografar dados inativos no Office 365. O recurso utiliza criptografia de serviço, que é criptografia que é executada pelo Exchange do Office 365 e no SharePoint. Criptografia de serviço fornece vantagens além dos quais BitLocker pode fornecer - ou seja, maior na defesa contra ataques. Criptografia de serviço é uma contramedida eficiente se um invasor tentar ignorar o sistema de controle de acesso do Office 365 que é usado para processar todas as solicitações de acesso aos dados do cliente. Isso ocorre porque a criptografia de serviço significa que um administrador do servidor não tem o controle ou até mesmo acesso à criptografia de chaves e não é possível desabilitar a criptografia, ao contrário com BitLocker. Portanto, um invasor com acesso administrativo a um servidor de dados do cliente que foi criptografados usando criptografia de serviço de hospedagem não poderá ler os dados do cliente e mesmo se os dados criptografados são copiados do servidor permanecerá inútil.

Quais dados do Office 365 inativos são cobertos pela chave cliente?

Conteúdo de site do SharePoint Online e os arquivos armazenados nesse site e carregados para o OneDrive for Business estão cobertos. Conteúdo de caixa de correio Exchange Online (corpo do email, entradas de calendário e conteúdo de anexos de email) é coberto. Conversas de texto do Skype for Business estão cobertas, mas gravações de transmissão de reunião do Skype e carregamentos de conteúdo de reunião do Skype não são cobertos. Transmissão de reunião do Skype e conteúdo carregamentos estão criptografados juntamente com todos os outros conteúdos no Office 365, mas atualmente não oferecemos controle de cliente das chaves de criptografia de reunião do Skype.

Qual é a diferença entre a chave do cliente e trazer seu próprio chave (BYOK) com proteção de informações do Azure para o Exchange Online?

Ambas as opções permitem que você fornecer e controlar suas próprias chaves de criptografia; No entanto, criptografia de serviço com chave cliente criptografa os seus dados inativos, residente no Office 365 servidores inativos, enquanto BYOK com proteção de informações do Azure para o Exchange Online criptografa os seus dados em trânsito e fornece persistente online e offline proteção de mensagens de email e anexos para o Office 365. Chave de cliente e BYOK com proteção de informações do Azure para o Exchange Online são complementares, e se você optar por usar chaves de serviços gerenciados da Microsoft ou seus próprio chaves, criptografar seus dados inativos e em trânsito pode fornecer proteção adicional de ataques mal-intencionados.

BYOK com proteção de informações do Azure para o Exchange Online é oferecida nos recursos de criptografia de mensagem do Office 365.

Criptografia de mensagem do Office 365 e trazer seu próprio chave com proteção de informações do Azure alterar abordagem da Microsoft para solicitações de dados de terceiros como intimações?

Não. Criptografia de mensagem do Office 365 e a opção para fornecer e controlar suas próprias chaves de criptografia com trazer seu próprio chave (BYOK) para proteção de informações do Azure (AIP) não foi projetado para responder a lei imposição intimações. Criptografia de mensagem do Office 365 com BYOK para AIP foi projetada para clientes de conformidade com foco em que precisam para atender às suas obrigações de conformidade internos ou externos. A Microsoft leva muito a sério solicitações de terceiros para dados do cliente. Como um provedor de serviços de nuvem, estamos sempre Assistente para a privacidade dos dados do cliente. No caso de chegarmos uma exigência legal, estamos sempre tentar redirecionar terceiros para o cliente para obter as informações. (Leia o blog de Brad Smith: dados do cliente de proteção contra espionagem do governo). Podemos periodicamente publicar informações detalhadas da solicitação recebemos aqui.

Consulte a Central de confiabilidade do Microsoft sobre solicitações de dados de terceiros e "Divulgação de dados do cliente" no Termos de serviços Online (OST)para obter mais informações.

Criptografia de serviço com chave cliente alterar abordagem da Microsoft para solicitações de dados de terceiros como intimações?

Não. Chave cliente não foi projetado para responder a lei imposição intimações. Ele foi projetado para clientes regulamentados atender às suas obrigações de conformidade internos ou externos. A Microsoft leva muito a sério solicitações de terceiros para dados do cliente. Como um provedor de serviços de nuvem, estamos sempre Assistente para a privacidade dos dados do cliente. No caso de chegarmos uma exigência legal, estamos sempre tentar redirecionar terceiros para o cliente para obter as informações. (Leia o blog de Brad Smith: dados do cliente de proteção contra espionagem do governo). Podemos periodicamente publicar informações detalhadas da solicitação recebemos aqui.

Consulte a Central de confiabilidade do Microsoft sobre solicitações de dados de terceiros e "Divulgação de dados do cliente" no Termos de serviços Online (OST) para obter mais informações.

Há suporte de Fasttrackhttp disponíveis para implementar a chave do cliente?

Não. Fasttrackhttp só é usada para coletar informações de configuração do serviço e locatário que é necessárias para registrar para chave cliente. A chave de cliente oferece são publicadas via Fasttrackhttp para que ele seja conveniente para clientes e parceiros para enviar essas informações necessárias usando o mesmo método e facilidade de arquivamento de dados que os clientes fornecer na oferta de.

Se precisar de suporte adicionais além da documentação, contate o serviços MCS (Microsoft Consulting), engenharia de campo Premier (PFE) ou um parceiro da Microsoft para obter assistência.

Se minhas chaves são destruídos, como posso recuperar?

A chave de disponibilidade oferece a capacidade de recuperar a perda inesperada de chaves de raiz que você gerencia. Se você perder suas chaves raiz, contato Microsoft Support e Microsoft ajudarão você pelo processo de habilitar a chave de disponibilidade. Você usará a chave de disponibilidade de migrar para uma nova política de criptografia de dados com novas chaves provisionadas por você.

O que é a chave de disponibilidade?

A chave de disponibilidade é uma chave de raiz que está provisionada quando você cria uma diretiva de criptografia de dados. A chave de disponibilidade é armazenada e protegida no Office 365 e funcionalidade semelhante às chaves de dois raiz que são fornecidas por você para uso com a criptografia de serviço com chave cliente. Ao contrário das chaves que você forneça e gerencia no Azure chave cofre, você não pode acessar diretamente a chave de disponibilidade. Armazenamento e o controle da chave disponibilidade são deliberadamente diferentes das chaves de Cofre de chave do Azure para três razões: primeiro, a chave de disponibilidade oferece um recurso de alta disponibilidade que serviços do Office 365 não consegue acessar chaves hospedadas na chave do Azure Compartimento; segundo, a chave de disponibilidade fornece um recurso de "quebra vidro" se ambas as chaves do Azure chave cofre sejam perdidas; e terceiro, a separação de controles lógicos fornece defesa em camadas e protege contra perda de todas as chaves de um único ataque ou ponto de falha. Finalmente compartilhamento a responsabilidade para proteger as chaves, enquanto estiver usando uma variedade de proteção e processos de gerenciamento de chaves, reduz o risco de que todas as chaves (e, portanto, seus dados) serão perdidos ou destruídos. Microsoft oferece autoridade única sobre a destruição da chave de disponibilidade. Por design, ninguém na Microsoft tem acesso à chave disponibilidade: só é acessível pelo código do serviço Office 365.

Quantas políticas de criptografia de dados (DEPs) pode criar?

Exchange Online e o Skype para empresas: Você pode criar até 50 DEPs.

Do SharePoint Online e OneDrive for Business: Um DEP aplica-se a dados em um local geográfico, também chamado de uma localização geográfica. Se você usar o recurso de multi-geográfica do Office 365, você pode criar um DEP por localização geográfica. Se você não estiver usando multi-geográfica, você pode criar DEP um.

É possível atribuir uma política de criptografia de dados antes de migrar uma caixa de correio para a nuvem?

Sim. Você pode usar o Windows PowerShell cmdlet Set-MailUser para atribuir uma política de criptografia de dados (DEP) para o usuário antes de migrar as caixas de correio para o Office 365. Quando você fizer isso, o conteúdo da caixa de correio será criptografado usando a DEP atribuída como o conteúdo é migrado. Isso pode ser mais eficiente que a atribuição de uma DEP após a caixa de correio já tenha sido migrada e, em seguida, aguardando criptografia ocorra, que pode levar horas ou possivelmente dias.

Como verificar que criptografia com chave cliente está ativada e Office 365 terminou criptografar com chave de cliente?

Exchange Online e o Skype para empresas: Você pode se conectar ao Exchange Online usando o PowerShell remoto e use o cmdlet Get-MailboxStatistics para cada caixa de correio que você deseja verificar. Na saída do cmdlet Get-MailboxStatistics, a propriedade IsEncrypted retorna um valor de true se a caixa de correio está criptografada e um valor false se não for. Se a caixa de correio está criptografada, o valor retornado para a propriedade DataEncryptionPolicyID é o GUID da DEP com o qual a caixa de correio está criptografada. Para obter mais informações sobre como executar esse cmdlet, consulte Get-MailboxStatistics e o uso do PowerShell com o Exchange Online.

Se as caixas de correio não são criptografadas após 72 horas do horário de esperar você atribuído a DEP, iniciar uma movimentação de caixa de correio. Para fazer isso, conectar ao Exchange Online usando o PowerShell remoto e, em seguida, use o cmdlet New-MoveRequest e fornecer o alias da caixa de correio da seguinte maneira:

New-MoveRequest <alias>

Do SharePoint Online e OneDrive for Business: Você pode conectar-se ao PowerShell do SharePoint Onlinee depois use o cmdlet Get-SPODataEncryptionPolicy para verificar o status do seu locatário. A propriedade State retorna um valor de registrado se criptografia de chave cliente estiver habilitada e todos os arquivos em todos os sites foram criptografados. Se a criptografia ainda está em andamento, esse cmdlet fornece informações sobre quais porcentagem de sites é concluída.

Se eu quiser alternar para um conjunto diferente de chaves, quanto tempo leva para o novo conjunto de chaves para proteger meus dados?

Exchange Online e o Skype para empresas: Pode levar até 72 horas proteger uma caixa de correio acordo com uma nova criptografia política DEP (Data) o tempo que a nova DEP é atribuída à caixa de correio.

Do SharePoint Online e OneDrive for Business: Pode levar até quatro horas para criptografar novamente seu locatário inteiro quando uma nova chave foi atribuída.

Meus dados existentes são armazenados sem criptografia a qualquer momento enquanto ele está descriptografar ou criptografado com a chave do cliente?

Não. Seus dados são sempre criptografados inativos no serviço do Office 365 com BitLocker e DKM. Para obter mais informações, consulte o "segurança, privacidade e conformidade informações do Office 365" e como o Exchange da Online protege seus segredos de email.

Se eu não quiser usar chaves de criptografia gerenciado pelo cliente, posso mudar a chaves gerenciadas pelo Microsoft?

Exchange Online e o Skype para empresas: Ainda não. Isso terá suporte depois de criptografia de serviço no Office 365 com chaves gerenciados Microsoft é implementada amplamente. Esperamos implementar isso no serviço após lançamento de criptografia de serviço com chave de clientes.

Do SharePoint Online e OneDrive for Business: Sim. Você pode optar por voltar a usar teclas Microsoft gerenciados separadamente para cada localização geográfica (se você usar o recurso de multi-geográfica) ou para todos os seus dados se ele estiver em uma única geográfica.

Se eu perder minhas chaves, quanto tempo leva para recuperar o uso da chave de recuperação de disponibilidade do serviço?

Exchange Online e o Skype para empresas: Quando você ligar para usar a chave de disponibilidade, caixas de correio estarão acessíveis em poucos minutos.

Do SharePoint Online e OneDrive for Business: Essa operação é proporcional ao número de sites que você tem. Depois de você chamar Microsoft para usar a chave de disponibilidade, será totalmente online dentro de cerca de quatro horas.

Como a chave de disponibilidade é usada com o Exchange Online?

Há três maneiras que a chave de disponibilidade é usada com o Exchange Online:

  • Serviço de disponibilidade - que chaves do Azure chave cofre são inacessíveis.

  • Ações iniciadas pelo código do serviço Office 365 - como criação de índice de pesquisa ou move de caixa de correio.

  • Recuperar contra perda de chave - como a perda de ambas as chaves do Azure chave cofre associados a um único DEP

Usando a chave de disponibilidade para disponibilidade do serviço no caso de chaves do Azure chave cofre são inacessíveis.

O Office 365 usa a chave de disponibilidade para disponibilidade do serviço e a recuperação de um estado de chave cliente não íntegra do Exchange Online. Não há uma hierarquia de chaves usadas pela chave cliente. Essa hierarquia é ilustrada na figura a seguir.

Se ambas as chaves do Azure chave Cofre de um único dados criptografia política (DEP) estiverem disponíveis, o Office 365 pode usar a disponibilidade para alterar para uma nova DEP. Office 365 determina se usar a tecla de disponibilidade para disponibilidade de serviço diferente, dependendo se um atividade iniciado pelo usuário, por exemplo, quando um usuário baixa email para o cliente do Outlook ou uma atividade iniciado pelo sistema, como a indexação de conteúdo de caixa de correio, ou para pesquisas de descoberta eletrônica, acionado o processo.

O Office 365 segue esse processo em resposta às ações iniciado pelo usuário para determinar se deve usar a chave de disponibilidade para caixas de correio de usuário:

  1. O Office 365 lê a DEP a que a caixa de correio está atribuída para determinar o local das chaves duas cliente no Azure chave cofre.

  2. Office 365 aleatoriamente escolhe uma das teclas de duas cliente partir a DEP e envia uma solicitação para Cofre de chave do Azure para não quebrar a chave DEP usando a chave de clientes.

  3. Se a solicitação para não quebrar a DEP chave usando a tecla de cliente falha e retornará um erro, Office 365 envia uma segunda solicitação ao Azure chave cofre, desta vez solicitando que ele use a alternativa (segundo) chave de cliente.

  4. Se a segunda solicitação para não quebrar a chave DEP usando a falha de chave do cliente e retornará um erro, o Office 365 examina os resultados de ambas as solicitações:

    • Se o exame determina que os erros não refletem uma ação explícita por uma identidade de cliente, o Office 365 usa a chave de disponibilidade para descriptografar a chave DEP. A chave DEP depois é usada para descriptografar a chave de caixa de correio e concluir a solicitação do usuário.

      Nesse caso, o Azure chave cofre é incapaz de responder ou inacessível por qualquer motivo. O Office 365 não tem nenhuma maneira de determinar se o cliente tiver revogado intencionalmente acesso às chaves.

    • Se o exame indica essa ação proposital foi executada para renderizar o cliente teclas indisponível, e em seguida, a chave de disponibilidade não será usada, a solicitação de usuário falhará e o usuário recebe uma mensagem de erro, como falha no login.

      Quando isso acontece, o cliente é feito Saiba que serviço é afetado, e a condição da chave de clientes não íntegra. Por exemplo, se um cliente estiver usando um DEP único para todas as caixas de correio na organização, o cliente pode ocorrer uma falha amplamente onde os usuários não podem acessar suas caixas de correio. Isso garante que, quando não íntegras ambas as chaves do cliente, o cliente é feito atento a necessidade de corrigir a situação e restaurar o serviço de integridade.

Usando a chave de disponibilidade para ações iniciadas pelo código do serviço Office 365.

Código do Office 365 serviço sempre tem um token de login válido e não pode ser bloqueado. Portanto, até que a chave de disponibilidade tiver sido excluída, ele pode ser usado para ações iniciadas por, ou internas, código de serviço do Office 365, como criação de índice de pesquisa ou mover caixas de correio.

Usando a tecla de disponibilidade para recuperar contra perda de chave.

Você pode usar a chave de disponibilidade para recuperar a perda de ambas as chaves do Azure chave cofre que estão associadas a DEP mesma, conforme descrito na resposta a entrada de perguntas Frequentes "se minhas chaves são destruídos, como posso recuperar?".

Como a chave de disponibilidade é usada com o SharePoint Online e OneDrive for Business?

O SharePoint Online e OneDrive para arquitetura de negócios e implementação para chave de chave de clientes e disponibilidade são diferentes do Exchange Online e do Skype for Business.

Quando um cliente move para teclas gerenciado pelo cliente, o Office 365 cria uma chave de intermediária específicas do locatário (TIK). Office 365 criptografa o TIK duas vezes, uma vez com cada uma das chaves do cliente e armazena as duas versões criptografadas da TIK. Apenas as versões criptografadas do TIK são armazenadas e um TIK só pode ser descriptografada com as teclas de cliente. O TIK, em seguida, é usado para criptografar as chaves do site, que são usadas para criptografar chaves de blob. Os blobs próprios sejam criptografados e armazenados no serviço de armazenamento de Blob do Microsoft Azure.

O Office 365 segue esse processo para acessar um blob com dados de arquivo do cliente:

  1. Descriptografe o TIK usando a tecla de cliente.

  2. Use o TIK descriptografada para descriptografar uma chave de site.

  3. Use a tecla de site descriptografada para descriptografar uma chave de blob.

  4. Use a tecla de blob descriptografada para descriptografar o blob.

Quando descriptografar um TIK, o Office 365 emite duas solicitações de descriptografia ao Azure chave cofre com um pequeno deslocamento. O primeiro que concluir fornece o resultado, cancelando a solicitação de outra.

Caso o cliente perde o acesso a suas chaves de cliente, o Office 365 também criptografa o TIK com uma chave de disponibilidade e armazena juntamente com os TIKs criptografados com cada chave de clientes. O TIK criptografado com a chave de disponibilidade é usado somente quando o cliente telefonar Microsoft inscrever-se o caminho de recuperação quando eles tem perdido o acesso às suas chaves, más intenções ou acidentalmente.

Por razões de escala e disponibilidade, TIKs descriptografados são armazenadas em um cache de memória de tempo limitado. Duas horas antes que um cache TIK está definido para expirar, Office 365 tenta descriptografar cada TIK. Descriptografar os TIKs estende a vida útil do cache. Se descriptografia TIK falhar por um período de tempo significativo, o Office 365 gera um alerta para notificá-engenharia antes da expiração de cache. Somente se o cliente chama o Microsoft Office 365 iniciará a operação de recuperação, que envolve descriptografar de que o TIK com a chave de disponibilidade armazenadas no repositório secreto e integração do locatário novamente usando o descriptografado da Microsoft TIK e um novo conjunto teclas do Azure chave cofre fornecido pelo cliente.

Até hoje, chave cliente está envolvido na cadeia de criptografia e descriptografia do SharePoint Online de dados de arquivos armazenados no armazenamento de blob do Microsoft Azure, mas não itens de lista do SharePoint Online ou metadados armazenados no banco de dados SQL. O Office 365 não usa a disponibilidade tecla para o SharePoint Online ou OneDrive for Business diferente no caso descrito acima, que é iniciado de cliente. Humano acesso aos dados do cliente é protegido por cliente cofre.

Como a chave do cliente é licenciado?

Chave cliente é oferecida no pacote do Office 365 Enterprise, "E5" e a SKU de conformidade avançadas. Além disso, os clientes também devem adquirir a licença apropriada para usar o Azure chave cofre.

Cada usuário beneficiar chave cliente precisa ser licenciado se deseja ser coberto pela chave cliente.

Para o SharePoint Online, o administrador do Office 365 que configura chave cliente também precisa ser licenciado, para executar as etapas de configuração. Além disso, os usuários que estão beneficiar o recurso precisam ser licenciado – isso inclui o proprietário do site e todos os usuários acessar arquivos em um ou mais sites que estão criptografados usando a chave do cliente. Usuários externos não precisa ser licenciado para acessar arquivos em um ou mais sites que estão criptografados usando a chave do cliente.

Para o Exchange Online, caixas de correio de "usuário" e "usuário de email" deve ser licenciado. Todas as outras pessoas, como caixas de correio compartilhadas, não são necessárias para ter uma licença para chave cliente. Para verificar que sua caixa de correio do Exchange Online está licenciada corretamente, execute o seguinte cmdlet:

(Get-Mailbox <alias>).PersistedCapabilities

Se a cadeia de caracteres BPOS_S_EquivioAnalytics existir, a caixa de correio está licenciada corretamente.  Caso contrário, você deve aplicar a licença adequada para poder usar o recurso de chave cliente nesta caixa de correio.

Posso ativar chave do cliente para uma assinatura de avaliação?

Não. Por definição, assinaturas de avaliação tem uma vida útil limitada. Chaves de criptografia que são hospedadas em assinaturas de avaliação podem ser perdidas no final da vida útil do avaliação. Como a Microsoft não pode e não impede os clientes de inserção de dados de clientes importantes em assinaturas de avaliação, é proibido o uso da chave de clientes com assinaturas de avaliação.

Quanto será usando o custo de chave do cliente?

Além do licenciamento necessários para chave cliente, clientes provocará um custo para uso de chave cofre. Detalhes de preços do Azure chave cofre descreve o modelo de custo e ajudarão a estimativa. Não há nenhuma maneira de prever o custo exato que qualquer cliente provocará porque os padrões de uso variam. A experiência mostra que o custo é muito baixo e costuma fica dentro do intervalo de 0,002 $ a $0,005 por usuário por mês mais o custo das teclas de reserva HSM. O custo também varia acordo com a configuração de log escolhida pelo cliente e a quantidade de armazenamento do Azure usado para logs do Azure chave cofre.

Para obter mais informações

Para começar a usar a chave de cliente, consulte controlar seus dados no Office 365 usando chave cliente.

Expanda suas habilidades no Office
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×