Office 365 常見問題集的客戶索引鍵

重要:  本文係由機器翻譯而成,請參閱免責聲明。本文的英文版本請見這裡,以供參考。

比較基準],[大量層級加密啟用透過 BitLocker 和分散式鍵管理員 (DKM),除了 Office 365 提供客戶內容在 Office 365,包括 Exchange 資料應用程式層級的加密的額外線上的商務用 Skype、 SharePoint Online,並在商務用 OneDrive。這稱為服務加密

客戶鍵內建在服務加密,並可讓您提供和控制機碼,用來加密資料在 Office 365 中的其他線上服務條款 (OST)所述。客戶鍵可協助您符合規範,因為您控制解密的資料使用的 Office 365 加密金鑰。

客戶鍵涵蓋在其他 Office 365 資料?

包含 SharePoint Online 網站內容的檔案儲存在該網站及上傳到商務用 OneDrive 的檔案。涵蓋 Exchange Online 信箱內容 (電子郵件內文、 行事曆項目和電子郵件附件的內容)。包含文字的商務用 Skype 的交談,但不是包含 Skype 會議廣播錄製與 Skype 會議內容的上傳。Skype 會議廣播及 Skype 會議內容的上傳加密以及在 Office 365 中的所有其他內容,但我們目前不提供客戶控制加密金鑰。

客戶鍵與將您自己鍵 (BYOK) Azure 資訊保護的 Exchange Online 之間的差異為何?

兩個選項可讓您提供和控制加密金鑰。不過,客戶金鑰服務加密加密其餘部分中,位於 Office 365 伺服器靜止,BYOK Azure 的 Exchange Online 的資訊保護加密您的資料傳輸中,並提供常設線上和離線時您的資料保護電子郵件和附件的 Office 365。客戶索引鍵和 Azure 的 Exchange Online 的資訊保護 BYOK 互補,而是否您選擇要使用的服務管理鍵或自己的機碼,您的資料和在傳輸時會加密可以提供新增的保護惡意攻擊。

針對 Exchange Online Azure 資訊保護 BYOK 提供在 Office 365 郵件加密功能。

客戶金鑰服務加密是否變更 microsoft 的協力廠商資料要求,例如 subpoenas?

[否]。客戶鍵並非用以法律強制執行 subpoenas 回應。設計以符合其內部或外部規範保密義務規定客戶。Microsoft 很重視採用客戶資料的第三方的要求。為雲端服務提供者,我們永遠小幫手的客戶資料的隱私權。在事件我們取得 subpoena,我們永遠嘗試重新導向至以取得的客戶的協力廠商。(請參閱哲翰 Smith 的部落格:保護客戶資料免於政府窺探)。我們會定期發佈我們會收到以下要求的詳細的資訊。

請參閱關於協力廠商的資料要求Microsoft 信任中心和 「 有提前洩漏的客戶資料 」 的線上服務條款 (OST)如需詳細資訊。

如果我鍵會損毀,要如何修復?

Microsoft 提供新增的保護從金鑰遺失。修復金鑰為您提供復原您無法預料的根金鑰管理遺失的功能。Microsoft 協助您完成這個程序或提供指示如何復原不需要 Microsoft 的協助。

什麼是修復金鑰?

修復金鑰是根鍵佈建後,保護 microsoft 和功能與根按鍵所提供的您用於服務加密與客戶索引鍵。Microsoft 受修復金鑰,因為它會使用不同的安全性設計,並控制您管理的按鍵。這會提供措施深入,並可防止遺失的所有機碼,從一次攻擊或失敗點。共用金鑰管理、 使用各種不同的保護與處理程序時保護按鍵,責任最終降低風險所有機碼會遺失或損毀。

可以建立多少資料加密原則 (DEPs)?

Exchange Online 和商務用 Skype:您可以建立超過 50 個 DEPs。

SharePoint Online 和商務用 OneDrive:DEP 套用至一個的地理位置,也稱為 [地理資料。如果您使用多重地理功能的 Office 365 (目前在預覽版本),您可以建立一個 DEP 每個地理。如果您不使用多重地理,您可以建立一個相依性

如何確認啟動客戶金鑰加密,並使用客戶金鑰加密完成 Office 365?

Exchange Online 和商務用 Skype:您可以連線至 Exchange Online 使用遠端 PowerShell然後使用您想要檢查每個信箱Get-MailboxStatistics指令程式。Get-mailboxstatistics cmdlet 輸出中, IsEncrypted屬性傳回值,則為 true如果信箱已加密和false值如果不是。如果信箱已加密,傳回DataEncryptionPolicyID屬性的值是用來加密信箱 DEP 的 GUID。如需有關如何執行此 cmdlet 的詳細資訊,請參閱Get-mailboxstatistics及 PowerShell 使用 Exchange Online。

SharePoint Online 和商務用 OneDrive:您可以連線至 SharePoint Online PowerShell,然後使用Get-SPODataEncryptionPolicy指令程式檢查您的租用戶的狀態。如果啟用客戶金鑰加密及所有網站中的所有檔案已都加密, State屬性會傳回登錄值。如果加密,仍在進行此 cmdlet 提供有關多少百分比的網站已完成。

如果我想要切換至不同的按鍵集,多久需要針對一組新的金鑰以保護我的資料?

Exchange Online 和商務用 Skype:它可能需要達 72 小時來保護信箱根據新資料加密原則 (DEP) 新 DEP 指派到信箱的時間。

SharePoint Online 和商務用 OneDrive:可能需要較長達四個小時後已指派新的金鑰重新加密整個租用戶。

我現有的資料儲存不在任何時候加密時解密或客戶使用加密嗎?

[否]。您的資料永遠加密在 DKM BitLocker 與 Office 365 服務中的其餘部分。如需詳細資訊,請參閱「 安全性、 隱私權和法規遵循的 Office 365 的資訊 」如何 Exchange Online 保護您的電子郵件密碼

如果我不想再使用客戶管理加密金鑰,可以切換到 Microsoft 管理金鑰?

Exchange Online 和商務用 Skype:還沒有。這將會支援後會針對導入 Office 365 中使用 Microsoft 管理索引鍵的服務加密。我們預期推行此服務後客戶金鑰發行服務加密。

SharePoint Online 和商務用 OneDrive:[是]。您可以選擇以還原成 Microsoft 管理鍵分別每個地理 (如果您使用多重地理功能) 或使用您的資料單一的地理。

如果我遺失我鍵時,如何時間復原服務可用性使用修復金鑰?

Exchange Online 和商務用 Skype:一次您撥入使用復原的主要信箱可存取幾分鐘內。

SharePoint Online 和商務用 OneDrive:這項作業是按比例的網站,您有數。一旦您呼叫 Microsoft 使用 [復原] 鍵,您就會完全線上關於四個小時內。

如何復原鍵使用 Exchange Online?

Office 365 用於修復金鑰服務可用性以及從不佳的客戶鍵狀態中修復 Exchange Online。有使用客戶按鍵的按鍵的階層。下圖說明此階層。

此圖形顯示客戶機碼中使用的 Exchange Online 金鑰的階層

如果無法使用兩個 Azure 金鑰保存庫索引鍵的單一資料加密原則 (DEP),Office 365 可以使用復原金鑰] 以切換到新的部署 Office 365 會決定是否要修復金鑰用於根據是否有不同的服務可用性使用者啟動的活動,例如,當使用者下載電子郵件至 Outlook 用戶端或系統啟動活動,例如編製索引作業信箱內容,或 eDiscovery 搜尋觸發程序。

Office 365 遵循此程序來決定是否要使用 [復原] 鍵使用者信箱的使用者啟動的動作來回應:

  1. Office 365 讀取 DEP 才能決定 Azure 金鑰保存庫中的兩個客戶索引鍵的位置已指派的信箱。

  2. Office 365 隨機從 DEP 選擇其中一個客戶兩個機碼,並會傳送要求給 Azure 金鑰保存庫列名使用客戶金鑰 DEP 鍵。

  3. 如果邀請列名 DEP 按鍵使用客戶鍵失敗,並且會傳回錯誤,Office 365 傳送第二個要求到 Azure 金鑰保存庫,這次以使用其他指示 (第二個) 客戶鍵。

  4. 如果第二個要求列名使用客戶金鑰失敗的 DEP 鍵,並傳回錯誤,Office 365 會檢查兩個要求的結果:

    • 如果檢查以判斷請勿的錯誤,反映客戶識別明確的動作,Office 365 會使用復原金鑰解密 DEP 金鑰。DEP 鍵再用於解密信箱鍵,並完成使用者要求。

      在此情況下,Azure 金鑰保存庫基於任何原因是且無法回應或無法連線。Office 365 者無法判斷客戶刻意已撤銷存取的金鑰。

    • 若檢查結果表示已經被到該謹慎的動作轉譯客戶鍵無法使用,則不會使用 [復原] 鍵、 使用者要求失敗,請與會收到錯誤訊息,例如登入失敗。

      發生這種情況,客戶知道的服務會受到影響,而客戶鍵的條件是不佳。例如,如果客戶組織中的所有信箱的使用單一 DEP,客戶可能會遇到廣泛失敗,使用者無法存取他們的信箱。這樣當兩個客戶鍵不佳,客戶由知道需要修正狀況和健康狀態還原服務。

修復金鑰適用於啟動,或內部,Office 365,例如搜尋索引建立或刪除 [復原] 鍵,直到移動信箱的動作。如此可避免無意間產生的資料遺失,如果修復金鑰不是在下列情況下可能會發生。

如何復原鍵使用 SharePoint Online 和 OneDrive 商務用?

SharePoint Online 和商務架構的 OneDrive 和實作客戶金鑰和修復鍵是不同的 Exchange Online 和商務用 Skype。

當客戶管理鍵客戶 onboards 時,Office 365 建立租用戶專屬的中繼金鑰 (TIK)。Office 365 加密 TIK 兩次,一次與客戶機碼,並儲存 TIK 加密的兩個版本。儲存 TIK 的加密的版本,而且 TIK 只能解密與客戶鍵。TIK 然後用於加密網站鍵,然後用來加密 blob 鍵。二進位大型物件本身加密和儲存在 Microsoft Azure Blob 儲存體服務。

Office 365 遵循此程序,存取 blob 含有客戶檔案資料:

  1. 解密使用客戶金鑰 TIK。

  2. 使用解密的 TIK 解密網站鍵。

  3. 使用解密的網站鍵解密 blob 金鑰。

  4. 解密 blob 使用解密的 blob 鍵。

當解密 TIK,Office 365 兩個解密要求至 Azure 金鑰保存庫及問題有些微的位移。若要完成的第一個提供取消其他要求的結果。

萬一客戶失去存取其客戶索引鍵,Office 365 也會使用修復金鑰加密,TIK,並將此儲存以及使用每個客戶加密 TIKs。以修復金鑰加密 TIK 只適用於客戶呼叫 Microsoft 時它們失去存取他們的按鍵,惡意或不小心編列復原路徑。

可用性及縮放比例原因,解密的 TIKs 快取時間限制記憶體快取中。兩個小時,才能 TIK 快取設定為過期,解密每個 TIK 嘗試 Office 365。解密 TIKs 延伸快取的存留時間。如果 TIK 解密失敗大量時間,Office 365 會產生通知工程快取到期之前。只有當客戶呼叫 Microsoft Office 365 會啟動 [復原] 作業,包括解密 TIK 及一組新的復原金鑰 TIK 儲存在 Microsoft 的私人儲存並登入,再使用 [解密的租用戶中客戶提供 Azure 金鑰保存庫鍵。

到 [今天]、 SharePoint Online 檔案中儲存的資料 Azure blob 儲存,但不是 SharePoint Online 清單項目或中繼資料儲存在 SQL 資料庫加密和解密串涉及客戶鍵。Office 365 並不會使用修復金鑰的 SharePoint Online 或商務用 OneDrive 以外的大小寫上述,這是發起的租用戶的客戶。如上所述,客戶 Lockbox 受人力存取客戶資料。

如需詳細資訊

若要開始使用客戶金鑰,請參閱控制您使用金鑰客戶的 Office 365 中的資料

附註: 機器翻譯免責聲明︰本文係以電腦系統翻譯而成,未經人為介入。Microsoft 提供此等機器翻譯旨在協助非英語系使用者輕鬆閱讀 Microsoft 產品、服務及技術相關內容。基於本文乃由機器翻譯而成,因此文中可能出現詞辭、語法、文法上之錯誤。

擴展您的技能
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×