Office 365 常见问题客户键

重要:  本文是由机器翻译的,请参阅免责声明。请在 此处 中查找本文的英文版本以便参考。

比较基准,启用通过 BitLocker 和分发密钥管理器 (DKM) 的卷级加密除了 Office 365 提供客户在 Office 365,包括从 Exchange 数据中的内容的应用程序级别加密添加图的层联机,Skype for Business、 SharePoint Online 和 OneDrive for Business。这称为服务加密

客户参数基于服务加密,并启用您提供和用于加密数据在 Office 365 中的其余部分,联机服务条款 (OST)中所述的控制键。客户键可帮助您满足合规性要求,因为控制 Office 365 使用的数据进行解密的加密密钥。

在其他哪些 Office 365 数据已被覆盖客户密钥?

介绍了 SharePoint Online 网站内容和该网站中存储的文件上载到 OneDrive for Business 文件。Exchange Online 邮箱内容 (电子邮件正文、 日历项和电子邮件附件的内容) 已被覆盖。从 Skype for Business 文本对话覆盖的对象,但 Skype 会议直播录制,但不涵盖 Skype 会议内容上载。Skype 会议直播和 Skype 会议内容上载已加密以及在 Office 365 中的所有其他内容,但我们当前不提供加密密钥的客户控件。

将您自己键 (BYOK) Azure 以为 Exchange Online 的信息保护客户参数之间的区别是什么?

这两个选项可使您能够提供和控制您自己的加密密钥;但是,与客户键服务加密加密其余部分,而 BYOK Azure 以为 Exchange Online 的信息保护加密您数据传输中,并提供持久联机和脱机位于 Office 365 服务器静止,在您的数据对于电子邮件和附件的 Office 365 的保护。客户键和 BYOK Azure 以为 Exchange Online 的信息保护互补,并且在加密您其余的数据和中转是否您选择使用 Microsoft 的服务管理键或您自己的键,可以提供从添加的保护恶意攻击。

在 Office 365 邮件加密功能提供 BYOK Azure 以为 Exchange Online 的信息保护。

使用客户密钥服务加密更改 Microsoft 的方法如传讯第三方数据请求?

不。客户参数不是对法律强制传讯做出响应。它被面向管制客户满足其内部或外部的合规性要求。Microsoft 向来客户数据的第三方请求严肃。为云服务提供商,我们始终提倡者的客户数据的隐私。在事件我们获得传讯,我们始终尝试将第三方重定向到客户以获取信息。(请阅读何 Smith 博客:防止政府窥探客户数据)。我们会定期发布我们就会收到以下请求的详细的信息。

请参阅有关第三方数据请求Microsoft 信任中心和"披露客户数据的详细信息的联机服务条款 (OST)中。

如果我的密钥被破坏,如何恢复?

Microsoft 提供的添加的保护,防止关键丢失。恢复密钥为您提供了一些意料之外丢失您管理的根项的恢复功能。Microsoft 将帮助您完成此过程,或者为您提供了有关如何恢复而无需从 Microsoft 帮助的说明。

什么是恢复密钥?

恢复密钥是一个根键,完成设置后,受 Microsoft 和功能上等效于由您用于服务加密与客户参数的根键。Microsoft 保护恢复密钥,因为它使用不同的安全设计,并从您管理的键控件。此提供深层防护并防止丢失的所有项从一个攻击或故障点。共享保护键,同时使用密钥管理、 保护和流程各种责任最终减少风险的所有键将会丢失或损坏。

可以创建多少数据加密策略 (DEPs)?

Exchange Online 和 Skype for Business:您可以创建多达 50 DEPs。

SharePoint Online 和 OneDrive for Business:DEP 适用于在一个地理位置,也称为地理数据。如果您使用 Office 365 的多个地理功能 (当前在预览) 时,您可以创建一个 DEP 每个地理。如果您未使用多个地区,您可以创建一个 dep。

如何验证激活与客户密钥加密,并使用客户密钥加密完成 Office 365?

Exchange Online 和 Skype for Business:您可以连接到 Exchange Online 使用远程 PowerShell然后使用要检查每个邮箱Get-MailboxStatistics cmdlet。在从 Get-mailboxstatistics cmdlet 输出中, IsEncrypted属性返回值为true如果邮箱已加密和false值如果不是。如果邮箱已加密,返回DataEncryptionPolicyID属性的值是用于加密邮箱 DEP GUID。运行此 cmdlet 的详细信息,请参阅Get-mailboxstatistics并通过 Exchange Online 中使用 PowerShell。

SharePoint Online 和 OneDrive for Business:您可以连接到 SharePoint Online PowerShell,然后使用Get-SPODataEncryptionPolicy cmdlet 来检查您的租户的状态。如果启用了客户密钥加密和所有网站中的所有文件已都加密, State属性返回已注册的值。如果仍在进行加密,此 cmdlet 将提供有关站点的比例已完成的信息。

如果我想要切换到不同的一组键,多长时间需要新的密钥集来保护我的数据?

Exchange Online 和 Skype for Business:它可能需要多达 72 小时,新 DEP 分配到邮箱的时间从保护邮箱根据新的数据加密策略 (DEP)。

SharePoint Online 和 OneDrive for Business:它可能需要四个小时后已分配新的密钥重新加密您的整个租户。

我的现有数据存储不在任何时候加密解密或使用客户密钥加密时?

不。在 Office 365 服务使用 BitLocker 和 DKM 中的其余部分始终加密数据。有关详细信息,请参阅"安全、 隐私和合规性 for Office 365 的信息",以及如何 Exchange Online 保护您的电子邮件机密

如果不再希望使用客户管理加密密钥,可以切换到 Microsoft 托管键?

Exchange Online 和 Skype for Business:还没有。一旦具有 Microsoft 托管键在 Office 365 中的服务加密广泛部署方式支持此。我们希望推出此服务中之后,我们使用客户密钥发布服务加密。

SharePoint Online 和 OneDrive for Business:是的。您可以选择要还原为使用 Microsoft 托管键分别为每个地理 (如果您使用多个地理功能) 或所有数据是否单个地理。

如果我丢失了我的密钥,如何长恢复服务可用性使用恢复密钥?

Exchange Online 和 Skype for Business:一次您调用用于恢复关键邮箱可在数分钟内。

SharePoint Online 和 OneDrive for Business:此操作是您拥有的网站数量成比例。一旦致电 Microsoft 以使用恢复密钥时,您将不完全联机关于四个小时内。

如何恢复密钥使用与 Exchange Online 中?

Office 365 使用 Exchange online 服务可用性和恢复从不正常客户密钥状态恢复密钥。没有由客户键的键的层次结构。下图说明了此层次结构。

此图显示了键的 Exchange Online 客户参数中使用的层次结构

Office 365 如果两个 Azure 密钥保管库密钥的单个数据加密策略 (DEP) 不可用,可以使用恢复切换到新的部署 Office 365 的关键确定是否要恢复密钥用于以不同的方式取决于是否服务可用性用户启动的活动,例如,当用户将电子邮件下载到 Outlook 客户端或系统启动活动,如索引邮箱内容或电子数据展示搜索触发过程。

Office 365 遵循此过程在响应用户启动的操作来确定是否要恢复密钥用于用户邮箱:

  1. Office 365 读取 DEP 邮箱分配以便确定两个客户键 Azure 密钥存储库中的位置。

  2. Office 365 随机从 DEP 选择两个客户项之一,并将请求发送到 Azure 密钥保管库要撤消使用客户密钥 DEP 键换行。

  3. 如果请求要撤消 DEP 换行键使用客户参数失败,并返回错误值,Office 365 的第二个请求发送到 Azure 密钥保管库,这指示该以使用另一次 (第二个) 客户键。

  4. 如果第二个请求要撤消使用客户关键失败的 DEP 键换行,并返回一个错误,Office 365 将检查两个请求的结果:

    • 如果考试确定由客户标识请勿错误,反映了明确的操作,然后 Office 365 使用恢复密钥解密 DEP 键。然后使用 DEP 该键邮箱密钥解密并完成用户请求。

      在这种情况下,Azure 密钥存储库是无法响应或无法访问无论何种原因。Office 365 提供了无法确定如果客户已有意吊销访问键。

    • 如果考试指示尚未采取的行动故意呈现客户键不可用,不会使用恢复密钥、 用户请求失败,然后用户收到一条错误消息,例如登录失败。

      如果发生这种情况,客户进行注意服务会受到影响,以及该条件的客户参数不正常。例如,如果客户使用的单个 DEP 为组织中的所有邮箱,客户可能会遇到广泛故障用户无法访问其邮箱的位置。这样可以确保不正常这两个客户键时,客户进行更正这种情况和还原正常运行状态服务的需要注意。

恢复密钥是可用于操作,或内部,Office 365,如搜索索引创建启动或恢复密钥将被删除,直到移动邮箱。这可防止意外的数据丢失,如果恢复密钥时,不使用这种情况下可能会出现。

如何恢复密钥对使用 SharePoint Online 和 OneDrive for Business?

与 Exchange Online 和 Skype for Business 的 SharePoint Online 和 OneDrive for Business 体系结构和实施客户密钥和恢复密钥区别。

当与客户管理键客户 onboards 时,Office 365 将创建一个租户特定中间密钥 (TIK)。Office 365 加密 TIK 两次,一次使用每个客户键,并存储 TIK 加密的两个版本。存储仅 TIK 加密的版本,并且只能与客户键解密 TIK。TIK 然后用于加密网站键,然后使用加密 blob 键。Blob 本身被加密并存储在 Microsoft Azure Blob 存储服务。

Office 365 遵循此过程来访问 blob 具有客户文件数据:

  1. 解密使用客户密钥 TIK。

  2. 使用解密的 TIK 解密网站键。

  3. 使用解密的网站键解密 blob 键。

  4. 使用解密的 blob 键解密 blob。

当解密 TIK,Office 365 问题两个解密请求到 Azure 密钥保管库轻微偏移量。若要完成第一个提供的结果,取消其他请求。

以防客户到其客户键失去访问权限,Office 365 将也恢复密钥加密 TIK,并将此存储以及使用每个客户密钥加密 TIKs。仅当客户呼叫 Microsoft 登记恢复路径,当他们无法再访问其密钥,恶意或意外地使用 TIK 用恢复密钥加密。

可用性和刻度原因,解密的 TIKs 缓存中的时间限制内存缓存中。两个小时才能 TIK 缓存设置为过期,尝试解密每个 TIK Office 365。解密 TIKs 扩展缓存的生命周期。如果 TIK 解密失败很长时间,Office 365 生成通知来通知缓存过期之前的工程。仅当客户呼叫 Microsoft Office 365 将启动恢复操作,涉及解密与恢复密钥 TIK 存储在 Microsoft 的机密存储和部署再次使用解密租户 TIK 和一组新的客户提供 Azure 密钥保管库键。

从现在起,客户密钥参与加密和解密链 SharePoint Online 文件中存储的数据 Azure blob 存储,但不是 SharePoint Online 列表项或元数据存储在 SQL 数据库。Office 365 不使用恢复密钥的 SharePoint Online 或 OneDrive for Business 以外这种情况,上述,这是客户启动。根据上述内容,客户密码箱受人访问客户数据。

详细信息

若要开始与客户的键,请参阅控制您在使用客户密钥 Office 365 中的数据

注意: 机器翻译免责声明:本文是由无人工介入的计算机系统翻译的。Microsoft 提供机器翻译是为了帮助非英语国家/地区用户方便阅读有关 Microsoft 产品、服务和技术的内容。由于机器翻译的原因,本文可能包含词汇、语法或文法方面的错误。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×