Introducción al cifrado del servicio con la clave de cliente de Microsoft Purview

Microsoft 365 proporciona cifrado de nivel de volumen y línea base habilitado a través de BitLocker y el Administrador de claves distribuidas (DKM). los discos de pc Windows 365 Enterprise y business cloud se cifran con el cifrado del lado servidor de Azure Storage (SSE). Microsoft 365 ofrece una capa de cifrado adicional para el contenido a través de la clave de cliente. Este contenido incluye datos de Exchange Online, Microsoft SharePoint, Microsoft OneDrive, Microsoft Teams y equipos en la nube de Windows 365.

BitLocker no se admite como una opción de cifrado para Windows 365 equipos en la nube. Para obtener más información, consulte Uso de Windows 10 máquinas virtuales en Intune.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Cómo funcionan conjuntamente el cifrado de servicio, BitLocker, SSE y clave de cliente

Los datos de Microsoft 365 siempre se cifran en reposo en el servicio Microsoft 365 con BitLocker y DKM. Para obtener más información, consulte Cómo Exchange Online protege los secretos de correo electrónico. La clave de cliente proporciona protección adicional contra la visualización de datos por parte de sistemas o personal no autorizados, y complementa el cifrado de disco de BitLocker y SSE en centros de datos de Microsoft. El cifrado del servicio no está diseñado para impedir que el personal de Microsoft acceda a los datos. En su lugar, la clave de cliente le ayuda a cumplir las obligaciones normativas o de cumplimiento para controlar las claves raíz. Autoriza explícitamente a los servicios de Microsoft 365 a usar las claves de cifrado para proporcionar servicios en la nube de valor agregado, como eDiscovery, antimalware, antispam, indexación de búsqueda, etc.

La clave de cliente se basa en el cifrado del servicio y le permite proporcionar y controlar las claves de cifrado. A continuación, Microsoft 365 usa estas claves para cifrar los datos en reposo, como se describe en los Términos de servicios en línea (OST) . La clave de cliente le ayuda a cumplir las obligaciones de cumplimiento porque controla las claves de cifrado que Microsoft 365 usa para cifrar y descifrar datos.

La clave del cliente mejora la capacidad de su organización para satisfacer las demandas de los requisitos de cumplimiento que especifican acuerdos clave con el proveedor de servicios en la nube. Con La clave de cliente, proporciona y controla las claves de cifrado raíz para los datos de Microsoft 365 en reposo en el nivel de aplicación. Como resultado, puede ejercer el control sobre las claves de su organización.

Clave de cliente con implementaciones híbridas

Customer Key solo cifra los datos en reposo en la nube. La clave de cliente no funciona para proteger los buzones y archivos locales. Puede cifrar los datos locales mediante otro método, como BitLocker.

Más información sobre las directivas de cifrado de datos

Una directiva de cifrado de datos (DEP) define la jerarquía de cifrado. El servicio usa esta jerarquía para cifrar los datos mediante cada una de las claves que administra y la clave de disponibilidad protegida por Microsoft. Cree un DEP mediante cmdlets de PowerShell y, a continuación, asigne un DEP para cifrar los datos de la aplicación. Hay tres tipos de directivas de cifrado de datos (DEP) compatibles con la clave de cliente. Cada tipo de directiva usa cmdlets diferentes y proporciona cobertura para un tipo de datos diferente. Puede definir estos tipos:

DEP para varias cargas de trabajo de Microsoft 365 Estos DEP cifran los datos en varias cargas de trabajo de Microsoft 365 para todos los usuarios del inquilino. Estas cargas de trabajo incluyen:

  • Windows 365 equipos en la nube. Para obtener más información, consulte Clave de cliente de Microsoft Purview para equipos en la nube de Windows 365

  • Mensajes de chat de Teams (chats 1:1, chats de grupo, chats de reuniones y conversaciones de canal)

  • Mensajes multimedia de Teams (imágenes, fragmentos de código, mensajes de vídeo, mensajes de audio, imágenes wiki)

  • Grabaciones de llamadas y reuniones de Teams almacenadas en el almacenamiento de Teams

  • Notificaciones de chat de Teams

  • Sugerencias de chat de Teams de Cortana

  • Mensajes de estado de Teams

  • interacciones Microsoft 365 Copilot

  • Información de usuario y señal para Exchange Online

  • Exchange Online buzones sin cifrado aplicado desde un DEP de buzón

  • Microsoft Purview Information Protection:

    • Datos exactos de coincidencia de datos (EDM), incluidos esquemas de archivos de datos, paquetes de reglas y las sales que se usan para aplicar hash a la información confidencial. Para EDM y Microsoft Teams, el DEP de varias cargas de trabajo cifra los nuevos datos desde el momento en que asigna el DEP al inquilino. Por Exchange Online, Clave de cliente cifra todos los datos existentes y nuevos.

    • Configuración de etiquetas para etiquetas de confidencialidad

Los DEP de varias cargas de trabajo no cifran los siguientes tipos de datos. En su lugar, Microsoft 365 usa otros tipos de cifrado para proteger estos datos.

  • Datos de SharePoint y OneDrive.
  • Los archivos de Microsoft Teams y algunas grabaciones de llamadas y reuniones de Teams guardadas en OneDrive y SharePoint se cifran mediante el DEP de SharePoint.
  • Otras cargas de trabajo de Microsoft 365 que la clave de cliente no admite, como Viva Engage y Planner.
  • Datos de eventos en directo de Teams.

Puede crear varios DEP por inquilino, pero asignar solo un DEP a la vez. Al asignar el DEP, el cifrado comienza automáticamente, pero tarda algún tiempo en completarse en función del tamaño del inquilino.

Los DEP de los buzones de Exchange Online buzones de correo proporcionan un control más preciso sobre los buzones individuales dentro de Exchange Online. Use los DEP de buzón de correo para cifrar los datos almacenados en buzones exo de diferentes tipos, como UserMailbox, MailUser, Group, PublicFolder y Shared mailboxes. Puede tener hasta 50 DEP activos por inquilino y asignar esos DEP a buzones individuales. Puede asignar un DEP a varios buzones.

De forma predeterminada, los buzones se cifran mediante claves administradas por Microsoft. Al asignar un DEP de clave de cliente a un buzón de correo:

  • Si el buzón de correo se cifra mediante un DEP de varias cargas de trabajo, el servicio vuelve a encapsular el buzón con el nuevo DEP de buzón, siempre y cuando un usuario o una operación del sistema acceda a los datos del buzón.

  • Si el buzón ya está cifrado mediante claves administradas por Microsoft, el servicio vuelve a encapsular el buzón con el nuevo DEP de buzón, siempre y cuando un usuario o una operación del sistema acceda a los datos del buzón.

  • Si el buzón aún no está cifrado mediante el cifrado predeterminado, el servicio marca el buzón para un movimiento. El cifrado tiene lugar una vez completado el movimiento. Los movimientos de buzón se rigen en función de las prioridades establecidas para todo Microsoft 365. Para obtener más información, vea Mover solicitudes en el servicio Microsoft 365. Si los buzones no se cifran en el tiempo especificado, póngase en contacto con Microsoft.

Más adelante, puede actualizar el DEP o asignar un DEP diferente al buzón, tal como se describe en Administrar clave de cliente para Office 365. Cada buzón debe tener las licencias adecuadas para que se le asigne un DEP. Para obtener más información sobre las licencias, consulte Antes de configurar la clave de cliente.

Puede asignar DEP a un buzón compartido, un buzón de carpeta pública y un buzón de grupo de Microsoft 365 para inquilinos que cumplan el requisito de licencia para los buzones de usuario. No necesita licencias independientes para que los buzones no específicos del usuario asignen DEP de clave de cliente.

En el caso de los DEP de clave de cliente que asigna a buzones individuales, puede solicitar que Microsoft purgue los DEP específicos cuando deje el servicio. Para obtener información sobre el proceso de purga de datos y la revocación de claves, consulte Revocación de las claves e inicio del proceso de ruta de acceso de purga de datos.

Al revocar el acceso a las claves como parte de la salida del servicio, se elimina la clave de disponibilidad, lo que da lugar a la eliminación criptográfica de los datos. La eliminación criptográfica mitiga el riesgo de remanencia de datos, que es importante para cumplir las obligaciones de seguridad y cumplimiento.

DEP para SharePoint y OneDrive Este DEP se usa para cifrar el contenido almacenado en SharePoint y OneDrive, incluidos los archivos de Microsoft Teams almacenados en SharePoint. Si usa la característica multigeográfica, puede crear un DEP por ubicación geográfica para su organización. Si no usa la característica multigeográfica, solo puede crear un DEP por inquilino. Consulte los detalles de Configuración de la clave de cliente.

Cifrado de cifrado utilizado por la clave de cliente

La clave de cliente usa varios cifrados para cifrar las claves, como se muestra en las ilustraciones siguientes.

La jerarquía de claves que se usa para los DEP que cifran los datos de varias cargas de trabajo de Microsoft 365 es similar a la jerarquía que se usa para los DEP para buzones de Exchange Online individuales. La única diferencia es que la clave de buzón de correo se reemplaza por la clave de carga de trabajo de Microsoft 365 correspondiente.

Cifrado de cifrado que se usa para cifrar las claves de Exchange Online

Cifrado de cifrado para Exchange Online clave de cliente.

Cifrado de cifrado que se usa para cifrar claves para SharePoint y OneDrive

Cifrado de cifrado para la clave de cliente de SharePoint.