Шифрование службы с помощью ключа клиента для Office 365: вопросы и ответы

Примечание: Мы стараемся как можно оперативнее обеспечивать вас актуальными справочными материалами на вашем языке. Эта страница переведена автоматически, поэтому ее текст может содержать неточности и грамматические ошибки. Для нас важно, чтобы эта статья была вам полезна. Просим вас уделить пару секунд и сообщить, помогла ли она вам, с помощью кнопок внизу страницы. Для удобства также приводим ссылку на оригинал (на английском языке).

Базовый план, уровень громкости шифрования, включена ли через BitLocker и распределенных ключ Manager (DKM), кроме Office 365 предлагает дополнительного уровня шифрования на уровне приложений для клиента содержимого в Office 365, включая данные из Exchange Через Интернет Скайп для бизнеса, SharePoint Online и OneDrive для бизнеса. Это называется шифрование службы.

Ключ клиента построена на шифрование службы и позволяет предоставить и управления клавиш, которые используются для шифрования данных в остальных в Office 365, как описано в разделе Условия Online Services (OST). Ключ клиента помогает удовлетворить обязательства соответствия так, как управлять ключи шифрования, которые используются в Office 365 для расшифровки данных.

Чтобы оставить отзыв о ключ клиента, включая документацию отправьте идей, предложения и перспективы customerkeyfeedback@microsoft.com.

Что такое служба шифрования с помощью ключа клиента?

Ключ клиента — это функция, которая позволяет подготовить и управления ключами, используемый для шифрования данных в остальных в Office 365. Функция использует шифрование службы, являющееся шифрования, которая выполняется по Office 365 Exchange и SharePoint. Шифрование службы предоставляет преимуществ не только что BitLocker можно предоставить — а именно, более глубоко защищенной от атак. Шифрование службы — надежный способа, если он пытается обход системы управления доступа к Office 365, которая используется для обработки все запросы на доступ к данным клиента. Это происходит потому шифрование службы означает, что администратор сервера не имеет элемента управления или даже доступа для шифрования разделов и не удается отключить шифрование, в отличие от с BitLocker. Таким образом он с правами администратора к серверу размещения клиента данные, зашифрованные с помощью службы шифрования не будет читать данные о покупателях и даже при копировании зашифрованных данных с сервера она будет оставаться использовать невозможно.

Какие данные Office 365 в остальной рассматривается ключом клиента?

Заполненные контента сайта SharePoint Online и файлов, хранящихся на этом сайте и файлы, отправленные в OneDrive для бизнеса. Заполненные Exchange Online содержимое почтовых ящиков (текст электронной почты, записей календаря и содержимое вложения электронной почты). Заполненные текстовые беседы из Скайп для бизнеса, но трансляция собрания Скайп записями и содержимого передач Скайп собрания не рассматривается. Широковещательный показ собраний в Скайп и Скайп содержимому передач зашифрованные вместе с другими содержимого в Office 365, но в данный момент не предлагаются клиента управление ключами шифрования.

В чем разница между ключ клиента и перевести свой собственный ключ (BYOK) с Azure защиты информации для Exchange Online?

Оба варианта позволяют предоставить и эффективнее управлять свои собственные ключи шифрования; Однако служба шифрования с помощью ключа клиента шифрование данных в остальных, находящихся в Office 365 серверы статических, а BYOK с Azure защиты информации для Exchange Online шифрование вашей данных транспорте обеспечивает постоянный интерактивным и автономным режимами защита сообщений электронной почты и вложений для Office 365. Дополнительная ключ клиента и BYOK с Azure защиты информации для Exchange Online и ли вы решили использовать клавиши управляемых служба корпорации Майкрософт обычных или собственный, шифрование данных в остальных и в пути может обеспечивать дополнительной защиты от атак.

BYOK с Azure защиты информации для Exchange Online предлагается в возможностях шифрование сообщений Office 365.

Шифрование сообщений Office 365 и перевести свой собственный ключ с защитой данных Azure изменяются подход корпорации Майкрософт для запросов стороннего поставщика данных, например суд?

Нет. Шифрование сообщений Office 365 и параметр для предоставления и управления собственные ключей для шифрования с перевести свой собственный ключ (BYOK) для защиты данных Azure (Административной) не предназначены реагировать на суд принудительные законодательство. Шифрование сообщений Office 365 с BYOK для Административной разработана для обеспечения соответствия требованиям, ограниченная клиентов, которым нужно провести их обязательства соответствия внутренние и внешние. Корпорация Майкрософт очень серьезно относится запросов стороннего поставщика данных клиента. Как поставщик услуг облако мы всегда возможностям для обеспечения конфиденциальности данных клиента. В случае станет subpoena мы всегда Попытка перенаправить третьей стороне клиента для получения сведений. (Прочтите Виктор Иванов блога: Protecting клиента данных от перехвата информации государственными органами). Мы периодически публиковать подробные сведения запросов, мы получили здесь.

Читайте в Центр управления безопасностью Microsoft относительно запросов стороннего поставщика данных и «Раскрытия из клиента Data» в Сети термины служб (OST)для получения дополнительных сведений.

Службы шифрования с помощью ключа клиента изменить подход корпорации Майкрософт к запросам стороннего поставщика данных, например суд?

Нет. Ключ клиента реагировать на суд принудительные закон не предназначен. Оно предназначено регулируемых клиентов в соответствии с их обязательства соответствия внутренние и внешние. Корпорация Майкрософт очень серьезно относится запросов стороннего поставщика данных клиента. Как поставщик услуг облако мы всегда возможностям для обеспечения конфиденциальности данных клиента. В случае станет subpoena мы всегда Попытка перенаправить третьей стороне клиента для получения сведений. (Прочтите Виктор Иванов блога: Protecting клиента данных от перехвата информации государственными органами). Мы периодически публиковать подробные сведения запросов, мы получили здесь.

Читайте в Центр управления безопасностью Microsoft относительно запросов стороннего поставщика данных и «Раскрытия из клиента Data» в Сети термины служб (OST) для получения дополнительных сведений.

Доступна ли поддержка развертывания для реализации ключ клиента?

Нет. Она используется только для сбора данных конфигурации клиента и службы, необходимой для регистрации ключ клиента. Ключ предлагает клиента публикуются через развертывания, чтобы удобно для клиентов и партнеров для отправки этой необходимой информации, тем же способом и для удобства Архивация данных, которые предоставляют клиентов в предложение.

Если вам нужна дополнительная поддержка за пределы документации, обратитесь за помощью Microsoft Consulting Services (MCS), проектирования Premier поля (PFE) или партнером корпорации Майкрософт.

Если Мои ключи удаляются, как можно ли восстановить?

Доступность ключ обеспечивает возможность восстановления из непредвиденных потере корневые разделы, которые вы управляете. При потере корневые ключи контакта службы поддержки Майкрософт и Microsoft помогут вам по включению доступность ключа. Доступность ключа будет использоваться для переноса в новую политику шифрования данных с помощью новых разделов подготовлены вами.

Что такое ключ доступность?

Доступность ключом является корневой раздел, который предоставляется при создании политики шифрования данных. Доступность ключа хранятся и защищенный в Office 365 и аналогична функциональной двух корневые разделы, предоставляемые вам для использования службы шифрования с помощью ключа клиента. В отличие от клавиш, которые предоставляют и управление ими в хранилище Azure ключ вам не удается прямой доступ к ключ доступности. Хранение и доступ к разделу сведения о доступности, намеренно отличаются от ключи хранилища Azure ключ для три причины: во-первых, ключ доступность обеспечивает возможность повышения доступности в случае, если не удается подключиться к ключи, размещенная в Azure ключ служб Office 365 Хранилища; второй ключ доступность обеспечивает возможность «разорвать стекло» в случае, если теряются обоих ключей Azure ключ хранилища; и третий, предоставляет в глубокие и защита от потери все разделы из одной атаки или точки сбоя разделение логические элементы управления. В конце концов общий доступ обязательств для защиты ключей при использовании различных средства защиты и процессы для управления ключами снижает риск, что все разделы (и поэтому данных) будут потеряны или удален. Microsoft предоставляет исключительную полномочия над удаления ключа доступности. Макеты корпорации Майкрософт от неавторизованного доступа к разделу доступность - доступен только кодом службы Office 365.

Сколько политики шифрования данных (DEPs) можно создать?

Exchange Online и Скайп для бизнеса: Вы можете создать до 50 DEPs.

SharePoint Online и OneDrive для бизнеса: Функции предотвращения выполнения данных относятся к данным в одном месте географических, также называется гео. Если вы используете функцию несколькими географического Office 365, можно создать один функции предотвращения выполнения данных каждого географического. Если вы не используете несколькими гео, можно создать один предотвращения выполнения данных.

Можно назначить политику шифрования данных перед миграцией почтовый ящик в облаке

Да. Чтобы назначить политику шифрования данных (функции предотвращения выполнения данных) можно использовать командлет Windows PowerShell Set-MailUser пользователю до миграции почтовых ящиков в Office 365. После этого содержимого почтового ящика будут зашифрованы с помощью назначенных функции предотвращения выполнения данных, как перенести содержимое. Это может быть эффективнее, чем назначение функции предотвращения выполнения данных после почтовый ящик уже миграции и затем ожидание шифрования вступили в силу, что может занять часа или возможного дни.

Как убедитесь, что активирован шифрования с помощью ключа клиента и завершения шифрование с ключом клиента Office 365?

Exchange Online и Скайп для бизнеса: Вы можете подключиться к Exchange Online с использованием remote PowerShell и затем воспользоваться командлетом Get-MailboxStatistics для каждого почтового ящика, который требуется проверить. В результат выполнения командлета Get-MailboxStatistics свойство IsEncrypted возвращает значение true, Если зашифрованы почтового ящика и значение false, если оно еще не. Если зашифрован почтовый ящик, возвращаемое для свойства DataEncryptionPolicyID значение GUID функции предотвращения выполнения данных, с помощью которого зашифрован почтового ящика. Дополнительные сведения о выполнении этот командлет Get-MailboxStatistics и Exchange Online с помощью PowerShell см.

Если после 72 часа из значения времени ожидания не зашифрованы почтовые ящики вы назначили функции предотвращения выполнения данных, инициировать перемещение почтового ящика. Чтобы сделать это, подключение к Exchange Online с использованием remote PowerShell и командлет Нью-MoveRequest и предоставить псевдоним почтового ящика следующим образом:

New-MoveRequest <alias>

SharePoint Online и OneDrive для бизнеса: Вы можете подключиться к SharePoint Online PowerShellи проверьте состояние к клиенту с помощью командлета Get-SPODataEncryptionPolicy . Свойство State возвращает значение зарегистрировано, если включено шифрование ключа клиента и зашифрованных все файлы на всех сайтах. Если по-прежнему выполняющегося шифрования, этот командлет сведения о долю сайты завершена.

Если я хочу, чтобы переключиться на другой набор разделов, сколько времени занимает для нового набора разделов для защиты Мои данные?

Exchange Online и Скайп для бизнеса: Может занять до 72 часов для защиты от времени назначено новые функции предотвращения выполнения данных для почтового ящика почтового ящика согласно новых данных шифрования политики (функции предотвращения выполнения данных).

SharePoint Online и OneDrive для бизнеса: Может потребоваться до четырех часов заново зашифровать клиента всей после назначения нового ключа.

Существующие данные хранятся без шифрования в любой момент при расшифровать или зашифрованные с помощью ключа клиента?

Нет. В оставшейся в службе Office 365 с BitLocker и DKM всегда зашифрованные данные. Дополнительные сведения можно найти в «безопасность, конфиденциальность и соответствие требованиям сведения для Office 365» и как в Exchange Online защищает секреты вашей электронной почты.

Если больше не хотите использовать ключи шифрования управляемого клиента, переключиться ключи управляемая корпорацией Майкрософт?

Exchange Online и Скайп для бизнеса: Еще нет. Будет осуществляться поддержка после обновления шифрования в Office 365 с клавишами управляемая корпорацией Майкрософт публикации общее. Мы планируем выпустить это в службе после выпуске службы шифрования с помощью ключа клиента.

SharePoint Online и OneDrive для бизнеса: Да. Вы можете вернуться к использованию управляемых Microsoft ключи отдельно для каждого географического (Если вы используете функцию несколькими географического) или все данные, если он находится в одном географического.

Если утерян Мои ключи сколько времени занимает восстановить с помощью ключа восстановления доступность службы?

Exchange Online и Скайп для бизнеса: После вызова с помощью ключа доступность почтовых ящиков будет доступен в течение минут.

SharePoint Online и OneDrive для бизнеса: Эта операция является пропорциональным число сайтов, к которым у вас есть. После вызова Майкрософт с помощью ключа доступность будут полностью online в рамках приблизительно четыре часа.

Как используется ключ доступность с Exchange Online

Существует три способа, что используется ключ доступность с Exchange Online:

  • Служба доступности — в том случае, если ключ хранилища Azure ключи недоступны.

  • Действия инициировано кодом службы Office 365 — например, создание индекса поиска или перемещение почтовых ящиков.

  • Восстановление из ключа убыток — например потери обоих ключей хранилища Azure ключ, связанный с одной предотвращения выполнения данных.

С помощью ключа доступность доступность службы в том случае, если ключ хранилища Azure ключи недоступны.

Office 365 использует ключ доступность доступность служб и восстановление нерабочей состояние ключа клиента для Exchange Online. Существует иерархии клавиш, используемых в ключ клиента. На приведенном ниже рисунке показан этой иерархии.

Если недоступны обоих ключей хранилища Azure ключ из одной данных шифрования политики (функции предотвращения выполнения данных), Office 365 можно использовать доступность ключ для изменения на новую Office 365 зависимых определяет доступность службы по-разному в зависимости от ли с помощью ключа доступность действия, инициированного пользователем, например, когда пользователь загружает электронную почту на клиент Outlook или действие инициированный системы, например индексирования содержимое почтовых ящиков или поиска eDiscovery, запустившего процесс.

Office 365 этот процесс в ответ на действия, инициированного пользователем, чтобы определить, следует ли использовать клавишу доступность для почтовых ящиков пользователей выглядит следующим образом:

  1. Office 365 читает функции предотвращения выполнения данных, которой назначен почтовый ящик для определения местоположения ключи двух клиента в хранилище Azure ключ.

  2. Office 365 случайным образом выбирает одну из двух клиента клавиш из функции предотвращения выполнения данных и отправляет запрос хранилища Azure ключ для разворота ключ функции предотвращения выполнения данных с помощью ключа клиента.

  3. Если запрос для разворота к Просмотру ключа с помощью ключа клиента аварийно завершает возвращает сообщение об ошибке, Office 365 отправляет второй запрос хранилище Azure ключ, на этот раз с инструкциями его на использование общей папки (второй) ключ клиента.

  4. Если второй запрос для разворота ключ функции предотвращения выполнения данных с помощью ключа сбоя клиента и возвращает ошибку, Office 365 проверяет результаты обоих запросов:

    • Если изучение определяет, что ошибок не соответствуют явных действий по идентификатору клиента, Office 365 использует доступность ключ для расшифровки ключа функции предотвращения выполнения данных. Ключ функции предотвращения выполнения данных затем используется для расшифровки ключа почтового ящика и выполнение запроса пользователя.

      В этом случае хранилища Azure ключ не может обработать запрос либо недоступен для какой-либо причине. Office 365 никак не определить ли клиент намеренно отозван доступ к разделам.

    • Если изучение указывает, намеренно действие выполнено для отображения клиента ключи недоступен, а затем доступность ключ не будет использоваться происходит сбой запроса пользователя и появляется сообщение об ошибке, например ошибки входа.

      В этом случае клиент становится помнить, что влияет на службу и условие ключ клиента нерабочей. Например если клиенту с помощью одной функции предотвращения выполнения данных для всех почтовых ящиков в организации, клиента могут возникать широко сбой, где пользователи не удается получить доступ к своим почтовым ящикам. Это гарантирует, что при нерабочей обоих ключей клиента клиента становится помнить о необходимости устранить проблему и восстановить службы в рабочем состоянии.

С помощью ключа доступность действия начатым код службы Office 365.

Office 365 обновления кода всегда содержит маркер допустимое имя входа и не может быть заблокирована. Таким образом пока не будет удалено доступность ключа, его можно использовать для действия запущен, или внутренним код службы Office 365, например создания индекса поиска или перенос почтовых ящиков.

Чтобы восстановить из потери ключей с помощью ключа доступности.

Доступность ключ можно использовать для восстановления из потери обоих ключей Azure ключ хранилища, которые связаны с одной функции предотвращения выполнения данных, как описано в ответ на запись: вопросы и ответы «Если Мои ключи удаляются, как можно ли восстановить?».

Доступность ключ использовании с SharePoint Online и OneDrive для бизнеса?

SharePoint Online и OneDrive для бизнеса архитектура и реализация ключ клиента и доступность ключа отличаются от Exchange Online и Скайп для бизнеса.

Если клиент перемещается к клавишам управляемого клиента, Office 365 создает ключ промежуточных определенного клиента (TIK). Office 365 шифрование TIK дважды, один раз с каждым из клавиш клиента и сохраняет зашифрованные две версии TIK. Только зашифрованные версии TIK хранятся и TIK можно расшифровать только с помощью клавиш клиента. Затем TIK используется для шифрования ключи сайтов, которые используются для шифрования ключей BLOB-объектов. BLOB-объектов сами являются шифруется и хранится в службе хранилища BLOB-объектов Microsoft Azure.

Office 365 эту процедуру, чтобы получить доступ к BLOB-объектов, данные из файла клиента выглядит следующим образом:

  1. Расшифровка TIK с помощью ключа клиента.

  2. С помощью расшифрованного TIK расшифровать ключ сайта.

  3. С помощью клавиши расшифрованные сайта расшифровать ключ BLOB-объектов.

  4. С помощью клавиши расшифрованные BLOB-объектов расшифровать BLOB-объектов.

Для расшифровки TIK Office 365 выдает два запроса расшифровки ключа хранилища Azure с небольшим смещением. Чтобы завершить создание первой передает результат отмены другого запроса.

В случае, если клиент теряет доступ к свои ключи клиента, Office 365 также шифрование TIK с ключом доступности и сохраняет это вместе с TIKs зашифрованы с помощью ключа каждого клиента. TIK, зашифрованные с помощью ключа доступность используется только в том случае, когда клиент вызывает Microsoft вовлечения пути восстановления, когда они теряют доступ к свои ключи намеренно или случайно.

Доступность и масштаб причин расшифрованные TIKs хранятся в кэш памяти ограниченный срок. Два часа до истечения срока действия, кэш TIK пытается расшифровать каждого TIK Office 365. Расшифровка TIKs расширяет жизни кэша. Если не удается TIK расшифровки для немало времени, Office 365 создает уведомление о инженерные до истечения срока действия кэша. Только в том случае, если клиент вызывает Microsoft Office 365 будет инициировать операцию восстановления, который включает в себя расшифровки, TIK с клавишей доступность сохраненный секретный хранилище корпорации Майкрософт и оказания клиент снова с помощью расшифрованный TIK и новый набор ключи предоставленной клиентом Azure ключ хранилища.

Сегодня ключ клиента участвует в цепочке шифрования и расшифровки данных SharePoint Online файл хранится в хранилище BLOB-объектов Azure, но не SharePoint Online элементов списка или метаданные, хранящиеся в базе данных SQL. Office 365 не использует доступность ключ для SharePoint Online и OneDrive для бизнеса Кроме описанных выше, регистр которого будет инициировано клиента. Человека доступ к данным клиента защищена защищенного хранилища клиента.

Каким образом лицензирован ключ клиента

Ключ клиента предлагается в набор приложений Office 365 корпоративный, «E5» и SKU соответствия Дополнительно. Кроме того пользователи также необходимо приобрести соответствующая лицензия для работы с Azure ключ хранилища.

Каждому пользователю используется к выгоде от клиентов ключа должен иметь лицензию, по желанию заполненные ключом клиента.

SharePoint Online для администратора Office 365, который занимается настройкой ключ клиента также требуется лицензия для выполнения действия по настройке. Кроме того нужно быть лицензия пользователей, которых никаких преимуществ компонент — эта группа включает владелец сайта и всех пользователей, доступ к файлам на один или несколько сайтов, зашифрованные с помощью ключа клиента. Внешние пользователи не требуется лицензия для доступа к файлам на один или несколько сайтов, зашифрованные с помощью ключа клиента.

Для Exchange Online должен иметь лицензию почтовые ящики «пользователь» и «почта пользователя». Все остальные, например общих почтовых ящиков не требуется иметь лицензию для клиента ключа. Чтобы проверить, что почтовый ящик Exchange Online действующую лицензию, выполните следующий командлет:

(Get-Mailbox <alias>).PersistedCapabilities

Если строка BPOS_S_EquivioAnalytics существует, почтовый ящик действующую лицензию.  Если нет, чтобы использовать функцию ключа клиента для этого почтового ящика необходимо применить нужной лицензии.

Можно включить ключ клиента для пробной подписки?

Нет. Пробные подписки по определению, имеют ограниченный срок жизни. Ключи шифрования, которые размещены в пробной подписки могут быть потеряны в конце срока жизни пробной версии. Поскольку Microsoft невозможно и не мешает пользователям помещения важные данные о клиентах в пробной подписки, запрещено использование ключом клиента с пробной подписки.

Сколько будет с помощью ключа клиента затраты?

Помимо лицензирования, необходимые для ключа клиента, клиентов предполагаются затраты для использование ключом хранилища. Сведения о ценах хранилища ключ Azure описаны модель затрат и помогут эффективно оценки. Не существует способа для прогнозирования точное затраты, поскольку меняться закономерностей предполагаются какого-либо клиента. Опыт показывает, что затрат незначительное и обычно попадает в диапазон от $0,002 для $0,005 одного пользователя в месяц плюс стоимость резервной HSM ключи. Стоимость будет также отличаться в зависимости от выбранного клиента и суммой используются для журналов Azure ключ хранилища Azure хранения параметры ведения журнала.

Дополнительные сведения

Начало работы с клиентом ключа, читайте в статье Управление данных в Office 365 с помощью ключа клиента.

Совершенствование навыков работы с Office
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×