Funzionalità di crittografia gestite dai clienti
Per altre informazioni su queste tecnologie, vedere le descrizioni del servizio Microsoft 365.
Consiglio
Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.
Azure Rights Management
Azure Rights Management (Azure RMS) è la tecnologia di protezione usata da Azure Information Protection. Usa criteri di crittografia, identità e autorizzazione per proteggere i file e la posta elettronica in più piattaforme e dispositivi, ad esempio telefoni, tablet e PC. Le informazioni possono essere protette sia all'interno che all'esterno dell'organizzazione perché la protezione rimane con i dati. Azure RMS offre protezione permanente di tutti i tipi di file, protegge i file ovunque, supporta la collaborazione business-to-business e un'ampia gamma di dispositivi Windows e non Windows. La protezione di Azure RMS può anche aumentare i criteri di prevenzione della perdita dei dati . Per altre informazioni su quali applicazioni e servizi possono usare il servizio Azure Rights Management di Azure Information Protection, vedere Come le applicazioni supportano il servizio Azure Rights Management.
Azure RMS è integrato con Microsoft 365 e disponibile per tutti i clienti. Per configurare Microsoft 365 per l'uso di Azure RMS, vedere Configurare IRM per l'uso di Azure Rights Management e Configurare Information Rights Management (IRM) nell'interfaccia di amministrazione di SharePoint. Se si usa Active Directory locale server RMS (AD), è anche possibile configurare IRM per l'uso di un server AD RMS locale, ma è consigliabile eseguire la migrazione ad Azure RMS per usare nuove funzionalità, ad esempio la collaborazione sicura con altre organizzazioni.
Quando si proteggono i dati dei clienti con Azure RMS, Azure RMS usa una chiave asimmetrica RSA a 2048 bit con algoritmo hash SHA-256 per l'integrità per crittografare i dati. La chiave simmetrica per i documenti e la posta elettronica di Office è AES a 128 bit. Per ogni documento o messaggio di posta elettronica protetto da Azure RMS, Azure RMS crea una singola chiave AES (la "chiave del contenuto") e tale chiave è incorporata nel documento e viene mantenuta nelle edizioni del documento. La chiave simmetrica è protetta con la chiave RSA dell'organizzazione (la "chiave del tenant di Azure Information Protection") come parte dei criteri nel documento e i criteri sono firmati anche dall'autore del documento. Questa chiave del tenant è comune a tutti i documenti e messaggi di posta elettronica protetti da Azure RMS per l'organizzazione e questa chiave può essere modificata da un amministratore di Azure Information Protection solo se l'organizzazione usa una chiave tenant gestita dal cliente. Per altre informazioni sui controlli di crittografia usati da Azure RMS, vedere Funzionamento di Azure RMS. Sotto il cofano.
In un'implementazione predefinita di Azure RMS, Microsoft genera e gestisce la chiave radice univoca per ogni tenant. I clienti possono gestire il ciclo di vita della chiave radice in Azure RMS con Azure Key Vault Services usando un metodo di gestione delle chiavi denominato Bring Your Own Key (BYOK) che consente di generare la chiave negli HSM locali (moduli di sicurezza hardware) e di mantenere il controllo di questa chiave dopo il trasferimento alle macchine virtuali con convalida FIPS 140-2 di livello 2 di Microsoft. L'accesso alla chiave radice non viene concesso ad alcun personale perché le chiavi non possono essere esportate o estratte dagli HSM che le proteggono. Inoltre, è possibile accedere a un log quasi in tempo reale che mostra tutto l'accesso alla chiave radice in qualsiasi momento. Per altre informazioni, vedere Registrazione e analisi dell'utilizzo di Azure Rights Management.
Azure Rights Management consente di attenuare le minacce, ad esempio intercettazioni, attacchi man-in-the-middle, furto di dati e violazioni non intenzionali dei criteri di condivisione dell'organizzazione. Allo stesso tempo, qualsiasi accesso ingiustificato ai dati dei clienti in transito o inattivi da parte di un utente non autorizzato che non dispone delle autorizzazioni appropriate viene impedito tramite criteri che seguono tali dati, riducendo così il rischio che tali dati cadano nelle mani sbagliate consapevolmente o inconsapevolmente e fornendo funzioni di prevenzione della perdita dei dati. Se usato come parte di Azure Information Protection, Azure RMS offre anche funzionalità di classificazione e etichettatura dei dati, contrassegno del contenuto, rilevamento dell'accesso ai documenti e funzionalità di revoca dell'accesso. Per altre informazioni su queste funzionalità, vedere Informazioni su Azure Information Protection, Guida di orientamento alla distribuzione di Azure Information Protection e Esercitazione introduttiva per Azure Information Protection.
Estensione di posta Internet multiuso sicura
S/MIME (Secure/Multipurpose Internet Mail Extensions) è uno standard per la crittografia a chiave pubblica e la firma digitale dei dati MIME. S/MIME è definito nelle RFC 3369, 3370, 3850, 3851 e altre. Consente a un utente di crittografare un messaggio di posta elettronica e firmare digitalmente un messaggio di posta elettronica. Un messaggio di posta elettronica crittografato tramite S/MIME può essere decrittografato solo dal destinatario del messaggio usando la chiave privata, disponibile solo per tale destinatario. Di conseguenza, i messaggi di posta elettronica non possono essere decrittografati da nessuno diverso dal destinatario del messaggio.
Microsoft supporta S/MIME. I certificati pubblici vengono distribuiti ai Active Directory locale del cliente e archiviati in attributi che possono essere replicati in un tenant di Microsoft 365. Le chiavi private che corrispondono alle chiavi pubbliche rimangono in locale e non vengono mai trasmesse a Office 365. Gli utenti possono comporre, crittografare, decrittografare, leggere e firmare digitalmente i messaggi di posta elettronica tra due utenti di un'organizzazione usando Outlook, Outlook sul web e Exchange ActiveSync client.
Crittografia dei messaggi di Office 365
Office 365 Crittografia messaggi (OME) basata su Azure Information Protection (AIP) consente di inviare messaggi crittografati e protetti da diritti a chiunque. OME riduce le minacce, ad esempio le intercettazioni e gli attacchi man-in-the-middle, e altre minacce, ad esempio l'accesso non autorizzato ai dati da parte di un utente non autorizzato che non dispone delle autorizzazioni appropriate. Sono stati effettuati investimenti che offrono un'esperienza di posta elettronica più semplice, intuitiva e sicura basata su Azure Information Protection. È possibile proteggere i messaggi inviati da Microsoft 365 a chiunque all'interno o all'esterno dell'organizzazione. Questi messaggi possono essere visualizzati in un set diversificato di client di posta elettronica usando qualsiasi identità, tra cui Azure Active Directory, Account Microsoft e ID Google. Per altre informazioni su come l'organizzazione può usare i messaggi crittografati, vedere Office 365 Crittografia messaggi.
Transport Layer Security
Se si vuole garantire una comunicazione sicura con un partner, è possibile usare connettori in ingresso e in uscita per garantire la sicurezza e l'integrità dei messaggi. È possibile configurare TLS in ingresso e in uscita forzato in ogni connettore usando un certificato. L'uso di un canale SMTP crittografato può impedire il furto dei dati tramite un attacco man-in-the-middle. Per altre informazioni, vedere Come Exchange Online usa TLS per proteggere le connessioni di posta elettronica.
DomainKeys Identified Mail
Exchange Online Protection (EOP) ed Exchange Online supportano la convalida in ingresso di messaggi Domain Keys Identified Mail (DKIM). DKIM è un metodo per convalidare che un messaggio è stato inviato dal dominio da cui indica che è stato originato e che non è stato falsificato da qualcun altro. Collega un messaggio di posta elettronica all'organizzazione responsabile dell'invio e fa parte di un paradigma più ampio di crittografia della posta elettronica. Per altre informazioni sulle tre parti di questo paradigma, vedere: