Office 365 常见问题与客户键服务加密

注意: 我们希望能够尽快以你的语言为你提供最新的帮助内容。本页面是自动翻译的,可能包含语法错误或不准确之处。我们的目的是使此内容能对你有所帮助。可以在本页面底部告诉我们此信息是否对你有帮助吗?请在此处查看本文的英文版本以便参考。

比较基准,启用通过 BitLocker 和分发密钥管理器 (DKM) 的卷级加密除了 Office 365 提供客户在 Office 365,包括从 Exchange 数据中的内容的应用程序级别加密添加图的层联机,Skype for Business、 SharePoint Online 和 OneDrive for Business。这称为服务加密

客户参数基于服务加密,并启用您提供和用于加密数据在 Office 365 中的其余部分,联机服务条款 (OST)中所述的控制键。客户键可帮助您满足合规性要求,因为控制 Office 365 使用的数据进行解密的加密密钥。

要提供反馈,客户键,包括文档,请向 customerkeyfeedback@microsoft.com 发送您的想法、 建议和透视。

什么是与客户键服务加密?

客户参数是一项功能,您可以设置和管理用于存放在 Office 365 中的数据进行加密的密钥。功能利用服务加密,这是由 Office 365 Exchange 和 SharePoint 执行的加密。服务加密提供了超出 BitLocker 可以提供什么-即,大于防御深层防御攻击的优势。如果攻击尝试绕过用于处理所有客户数据的访问请求的 Office 365 访问控制系统,则服务加密是强的对策。这是因为服务加密意味着服务器管理员没有控件或甚至加密访问键和不能在使用 BitLocker 加密,禁用与不同。因此,管理访问托管服务加密使用加密的客户数据的服务器的攻击将无法读取客户数据,并且即使加密的数据复制关闭服务器将保持无用。

在其他哪些 Office 365 数据已被覆盖客户密钥?

介绍了 SharePoint Online 网站内容和存储该网站上的文件上载到 OneDrive for Business 文件。Exchange Online 邮箱内容 (电子邮件正文、 日历项和电子邮件附件的内容) 已被覆盖。从 Skype for Business 文本对话覆盖的对象,但 Skype 会议直播录制,但不涵盖 Skype 会议内容上载。Skype 会议直播和 Skype 会议内容上载已加密以及在 Office 365 中的所有其他内容,但我们当前不提供加密密钥的客户控件。

将您自己键 (BYOK) Azure 以为 Exchange Online 的信息保护客户参数之间的区别是什么?

这两个选项可使您能够提供和控制您自己的加密密钥;但是,与客户键服务加密加密其余部分,而 BYOK Azure 以为 Exchange Online 的信息保护加密您传输数据,并提供持久联机和脱机位于 Office 365 服务器静止,在您的数据对于电子邮件和附件的 Office 365 的保护。客户键和 BYOK Azure 以为 Exchange Online 的信息保护互补,并且在加密您存放中的数据和中转是否您选择使用 Microsoft 的服务管理键或您自己的键,可以提供从添加的保护恶意攻击。

在 Office 365 邮件加密功能提供 BYOK Azure 以为 Exchange Online 的信息保护。

没有 Office 365 邮件加密,并将您自己的密钥 Azure 的信息保护更改 Microsoft 的方法对第三方数据请求,如传讯?

不。Office 365 邮件加密和选项来提供与将您自己键 (BYOK) 自己加密密钥 Azure 信息保护 (AIP) 不是对法律强制传讯做出响应。对于需要满足其内部或外部的合规性要求的合规性核心客户设计 AIP 的 BYOK 与 office 365 邮件加密。Microsoft 向来客户数据的第三方请求严肃。为云服务提供商,我们始终提倡者客户数据的隐私。在事件我们获得传讯,我们始终尝试将第三方重定向到客户以获取信息。(请阅读何 Smith 博客:防止政府窥探客户数据)。我们会定期发布我们收到的请求的详细的信息下面

请参阅有关第三方数据请求的Microsoft 信任中心和"披露客户数据的详细信息的联机服务条款 (OST)文件中。

使用客户密钥服务加密更改 Microsoft 的方法如传讯第三方数据请求?

不。客户参数不是对法律强制传讯做出响应。它被面向管制客户满足其内部或外部的合规性要求。Microsoft 向来客户数据的第三方请求严肃。为云服务提供商,我们始终提倡者客户数据的隐私。在事件我们获得传讯,我们始终尝试将第三方重定向到客户以获取信息。(请阅读何 Smith 博客:防止政府窥探客户数据)。我们会定期发布我们收到的请求的详细的信息下面

请参阅有关第三方数据请求的Microsoft 信任中心和"披露客户数据的详细信息的联机服务条款 (OST)文件中。

是否提供实施客户密钥 FastTrack 支持?

不。FastTrack 仅用于收集所需注册客户密钥租户和服务配置信息。客户密钥提供发布通过 FastTrack,以便方便的客户和合作伙伴提交所需的信息使用相同的方法以及轻松地进行存档中提供的客户提供的数据。

如果您需要更多支持文档之外,与 Microsoft 咨询服务 (MCS)、 卓越字段工程 (PFE) 或 Microsoft 合作伙伴联系以获得帮助。

如果我的密钥被破坏,如何恢复?

可用性密钥为您提供了一些意料之外丢失您管理的根项的恢复功能。如果您遗失了根键,联系 Microsoft 技术支持人员和 Microsoft 将帮助您完成启用可用性项的过程。您将使用可用性键将迁移到新的数据加密策略由您设置新的密钥。

可用性关键是什么?

可用性密钥是当您创建的数据加密策略完成设置后的根项。存储和受保护的 Office 365 中的可用性键和功能上类似于您提供的服务加密用于与客户参数的两个根键。与密钥不同提供和管理 Azure 密钥保管库中,不能直接访问可用性键。存储和控件的可用性密钥是特意不同于 Azure 密钥保管库键的三个原因: 首先,可用性密钥提供高可用性功能的 Office 365 服务都无法访问托管在 Azure 键的键存储库;第二步,可用性密钥提供了"分页符玻璃"功能的两个 Azure 密钥保管库密钥都将丢失。和第三步,逻辑控件的分离提供深层防护防止丢失的所有项从一个攻击或故障点。共享保护键,同时使用密钥管理、 保护和流程各种责任最终减少风险,将丢失或损坏的所有键 (和数据)。Microsoft 提供了唯一颁发机构的可用性密钥破坏上方。设计使然,在 Microsoft 没有人可以访问的可用性键-才可以访问 Office 365 服务代码。

可以创建多少数据加密策略 (DEPs)?

Exchange Online 和 Skype for Business:您可以创建多达 50 DEPs。

SharePoint Online 和 OneDrive for Business:DEP 适用于在一个地理位置,也称为地理数据。如果您使用 Office 365 的多个地理功能,您可以创建一个 DEP 每个地理。如果您未使用多个地区,您可以创建一个 dep。

可以将邮箱迁移到云之前分配数据加密策略?

是的。您可以使用 Windows PowerShell cmdlet 设置邮件用户分配数据加密策略 (DEP) 之前将邮箱迁移到 Office 365 的用户。执行此操作时,将使用分配的 DEP 如下内容迁移邮箱的内容进行加密。这可能是更高效比分配 DEP 迁移邮箱后,然后等待加密生效,它可以采用小时甚至几天。

如何验证激活与客户密钥加密,并使用客户密钥加密完成 Office 365?

Exchange Online 和 Skype for Business:您可以连接到 Exchange Online 使用远程 PowerShell,然后使用要检查的每个邮箱Get-MailboxStatistics cmdlet。在从 Get-mailboxstatistics cmdlet 输出中, IsEncrypted属性返回值为true如果邮箱已加密和false值如果不是。如果邮箱已加密,返回DataEncryptionPolicyID属性的值是用于加密邮箱 DEP GUID。运行此 cmdlet 的详细信息,请参阅Get-mailboxstatistics和使用 PowerShell Exchange Online。

如果邮箱未加密等待时间分配 DEP 72 小时后,启动邮箱移动。若要执行此操作,连接到 Exchange Online 使用远程 PowerShell,然后使用新 MoveRequest cmdlet 和提供的邮箱的别名,如下所示:

New-MoveRequest <alias>

SharePoint Online 和 OneDrive for Business:您可以连接到 SharePoint Online PowerShell,然后使用Get-SPODataEncryptionPolicy cmdlet 来检查您的租户的状态。如果启用了客户密钥加密和所有网站中的所有文件已都加密, State属性返回已注册的值。如果仍在进行加密,此 cmdlet 将提供有关站点的比例已完成的信息。

如果我想要切换到不同的一组键,多长时间需要新的密钥集来保护我的数据?

Exchange Online 和 Skype for Business:它可能需要多达 72 小时,新 DEP 分配到邮箱的时间从保护邮箱根据新的数据加密策略 (DEP)。

SharePoint Online 和 OneDrive for Business:它可能需要四个小时后已分配新的密钥重新加密您的整个租户。

我的现有数据存储不在任何时候加密解密或使用客户密钥加密时?

不。在 Office 365 服务使用 BitLocker 和 DKM 中的其余部分始终加密数据。有关详细信息,请参阅"安全、 隐私和合规性 for Office 365 的信息",并如何 Exchange Online 保护您的电子邮件机密信息

如果不再希望使用客户管理加密密钥,可以切换到 Microsoft 托管键?

Exchange Online 和 Skype for Business:还没有。一旦具有 Microsoft 托管键在 Office 365 中的服务加密广泛部署方式支持此。我们希望推出此服务中之后,我们使用客户密钥发布服务加密。

SharePoint Online 和 OneDrive for Business:是的。您可以选择要还原为使用 Microsoft 托管键分别为每个地理 (如果您使用多个地理功能) 或所有数据是否单个地理。

如果我丢失了我的密钥,如何长恢复服务可用性使用恢复密钥?

Exchange Online 和 Skype for Business:一旦您拨入以使用可用性密钥,在数分钟内可访问邮箱。

SharePoint Online 和 OneDrive for Business:此操作是您拥有的网站数量成比例。一旦致电 Microsoft 以使用可用性密钥时,您将不完全联机关于四个小时内。

如何与 Exchange Online 使用可用性密钥?

有三种方法使用可用性密钥与 Exchange Online:

  • Azure 密钥保管库键是无法访问的情况下服务可用性。

  • 操作启动通过 Office 365 服务代码-如搜索索引创建或邮箱移动。

  • 恢复从密钥丢失-例如密钥丢失的两个 Azure 密钥保管库与单个 dep。

在事件 Azure 密钥保管库键将不可访问,请使用可用性键有关服务的可用性。

Office 365 使用 Exchange online 服务可用性和恢复从不正常客户密钥状态的可用性键。没有由客户键的键的层次结构。下图说明了此层次结构。

Office 365 如果两个 Azure 密钥保管库密钥的单个数据加密策略 (DEP) 不可用,可以使用可用性键来切换到新的部署 Office 365 确定是否使用可用性键以不同的方式取决于是否服务可用性用户启动的活动,例如,当用户将电子邮件下载到 Outlook 客户端或系统启动活动,如索引邮箱内容或电子数据展示搜索触发过程。

Office 365 遵循此过程在响应用户启动的操作,以确定是否要使用的用户邮箱的可用性键:

  1. Office 365 读取 DEP 邮箱分配以便确定两个客户键 Azure 密钥存储库中的位置。

  2. Office 365 随机从 DEP 选择两个客户项之一,并将请求发送到 Azure 密钥保管库要撤消使用客户密钥 DEP 键换行。

  3. 如果请求要撤消 DEP 换行键使用客户参数失败,并返回错误值,Office 365 的第二个请求发送到 Azure 密钥保管库,这指示该以使用另一次 (第二个) 客户键。

  4. 如果第二个请求要撤消使用客户关键失败的 DEP 键换行,并返回一个错误,Office 365 将检查两个请求的结果:

    • 检查确定由客户标识请勿错误,反映了明确的操作,如果 Office 365 将使用可用性密钥 DEP 密钥进行解密。然后使用 DEP 该键邮箱密钥解密并完成用户请求。

      在这种情况下,Azure 密钥存储库是无法响应或无法访问无论何种原因。Office 365 提供了无法确定如果客户已有意吊销访问键。

    • 如果考试指示尚未采取的行动故意呈现客户键不可用,不会使用可用性键、 用户请求失败,然后用户收到一条错误消息,例如登录失败。

      如果发生这种情况,客户进行注意服务会受到影响,以及该条件的客户参数不正常。例如,如果客户使用的单个 DEP 为组织中的所有邮箱,客户可能会遇到广泛故障用户无法访问其邮箱的位置。这样可以确保不正常这两个客户键时,客户进行更正这种情况和还原正常运行状态服务的需要注意。

使用 Office 365 服务代码启动的操作的可用性键。

Office 365 服务代码始终具有有效的登录标记和不能被阻止。因此,直到可用性项已被删除,它可以用于启动或内部的 Office 365 服务代码,例如搜索索引创建或移动邮箱的操作。

使用可用性密钥恢复从密钥丢失。

您可以使用可用性键恢复丢失的两个 Azure 密钥保管库密钥与相关联的相同 DEP,如下所述的答案常见问题条目在"当我的密钥破坏时,如何恢复?"。

如何可用性密钥对使用 SharePoint Online 和 OneDrive for Business?

该 SharePoint Online 和 OneDrive for Business 体系结构和实施客户键和可用性密钥是不同从 Exchange Online 和 Skype for Business。

当客户移动到客户管理键时,Office 365 将创建一个租户特定中间密钥 (TIK)。Office 365 加密 TIK 两次,一次使用每个客户键,并存储 TIK 加密的两个版本。存储仅 TIK 加密的版本,并且只能与客户键解密 TIK。TIK 然后用于加密网站键,然后使用加密 blob 键。Blob 本身被加密并存储在 Microsoft Azure Blob 存储服务。

Office 365 遵循此过程来访问 blob 具有客户文件数据:

  1. 解密使用客户密钥 TIK。

  2. 使用解密的 TIK 解密网站键。

  3. 使用解密的网站键解密 blob 键。

  4. 使用解密的 blob 键解密 blob。

当解密 TIK,Office 365 问题两个解密请求到 Azure 密钥保管库轻微偏移量。若要完成第一个提供的结果,取消其他请求。

以防客户到其客户键失去访问权限,Office 365 将也使用可用性密钥加密 TIK,并将此存储以及使用每个客户密钥加密 TIKs。仅当客户呼叫 Microsoft 登记恢复路径,当他们无法再访问其密钥,恶意或意外地使用可用性密钥加密 TIK。

可用性和刻度原因,解密的 TIKs 缓存中的时间限制内存缓存中。两个小时才能 TIK 缓存设置为过期,尝试解密每个 TIK Office 365。解密 TIKs 扩展缓存的生命周期。如果 TIK 解密失败很长时间,Office 365 生成通知来通知缓存过期之前的工程。仅当客户呼叫 Microsoft Office 365 将启动恢复操作,涉及解密使用可用性密钥 TIK 存储在 Microsoft 的机密存储和部署再次使用解密租户 TIK 和一组新的客户提供 Azure 密钥保管库键。

从现在起,客户密钥参与加密和解密链 SharePoint Online 文件中存储的数据 Azure blob 存储,但不是 SharePoint Online 列表项或元数据存储在 SQL 数据库。Office 365 不使用的可用性键 SharePoint Online 或 OneDrive for Business 以外这种情况,上述,这是客户启动。客户密码箱受人访问客户数据。

如何获取客户密钥的许可证?

在 Office 365 企业版套件、"E5"和高级合规性 SKU 提供客户参数。此外,客户还必须购买使用 Azure 密钥保管库适当的许可证。

每个用户受益于客户密钥需要如果他们想要由客户参数涵盖许可。

SharePoint online 配置客户参数的 Office 365 管理员还需要有许可证,执行安装步骤。此外,受益功能的用户必须在购买许可证 – 这包括网站所有者和任何用户访问使用客户密钥进行加密的一个或多个网站上的文件。外部用户不需要获得授权访问使用客户密钥进行加密的一个或多个网站上的文件。

为 Exchange Online,必须许可"user"邮箱和邮箱"邮件用户"。所有其他人,例如共享邮箱不需要客户键拥有的许可证。若要检查您的 Exchange Online 邮箱正确获得授权,请运行以下 cmdlet:

(Get-Mailbox <alias>).PersistedCapabilities

如果存在字符串 BPOS_S_EquivioAnalytics,已正确授权邮箱。 如果没有,您必须应用了正确的许可才能使用此邮箱的客户键功能。

我可以启用客户参数为试用订阅?

不。通过定义,试用版订阅具有生命周期有限。试用生命周期的结尾处,试用版订阅中承载的加密密钥可能会丢失。由于 Microsoft 不能并且不会阻止客户将重要的客户数据放入试用版订阅,禁止使用客户的密钥与试用版订阅。

多少将使用客户密钥成本?

除了客户键所需的许可,客户将会对密钥存储库使用成本。Azure 密钥保管库定价详细信息介绍成本模型,并将帮助估计。没有方法预测使用模式会有所不同,因为将会对任何客户的确切成本。成本极低,并且通常范围内的区域的 $0.002 为 $0.005 每月每用户加上成本 HSM 备份键的经验。成本也会有所不同根据选择的客户和用于 Azure 密钥保管库日志 Azure 存储量的日志记录配置。

详细信息

若要开始与客户的键,请参阅控制您在使用客户密钥 Office 365 中的数据

扩展你的 Office 技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×