Descrição geral da encriptação de serviço com a Chave de Cliente do Microsoft Purview

O Microsoft 365 fornece encriptação de nível de volume de linha de base ativada através do BitLocker e do Gestor de Chaves Distribuídas (DKM). os discos do Windows 365 Enterprise e do Business Cloud PC são encriptados com encriptação do lado do servidor do Armazenamento do Azure (SSE). O Microsoft 365 oferece uma camada adicional de encriptação para o seu conteúdo através da Chave de Cliente. Este conteúdo inclui dados de Exchange Online, Microsoft SharePoint, Microsoft OneDrive, Microsoft Teams e PCs cloud Windows 365.

O BitLocker não é suportado como uma opção de encriptação para Windows 365 PCs na Cloud. Para obter mais informações, veja Utilizar Windows 10 máquinas virtuais no Intune.

Como a encriptação do serviço, o BitLocker, o SSE e a Chave de Cliente funcionam em conjunto

Os seus dados do Microsoft 365 são sempre encriptados inativos no serviço Microsoft 365 com o BitLocker e o DKM. Para obter mais informações, consulte Como Exchange Online protege os seus segredos de e-mail. A Chave de Cliente fornece proteção adicional contra a visualização de dados por pessoal ou sistemas não autorizados e complementa a encriptação de discos BitLocker e SSE nos datacenters da Microsoft. A encriptação de serviço não se destina a impedir que o pessoal da Microsoft aceda aos seus dados. Em vez disso, a Chave de Cliente ajuda-o a cumprir as obrigações regulamentares ou de conformidade para controlar as chaves de raiz. Autoriza explicitamente os serviços do Microsoft 365 a utilizar as chaves de encriptação para fornecer serviços cloud de valor acrescentado, tais como Deteção de Dados Eletrónicos, antimalware, antiss spam, indexação de pesquisa, etc.

A Chave de Cliente baseia-se na encriptação do serviço e permite-lhe fornecer e controlar chaves de encriptação. Em seguida, o Microsoft 365 utiliza estas chaves para encriptar os seus dados inativos, conforme descrito nos Termos dos Serviços Online (OST). A Chave de Cliente ajuda-o a cumprir as obrigações de conformidade porque controla as chaves de encriptação que o Microsoft 365 utiliza para encriptar e desencriptar dados.

A Chave de Cliente melhora a capacidade da sua organização de satisfazer as exigências dos requisitos de conformidade que especificam disposições-chave com o fornecedor de serviços cloud. Com a Chave de Cliente, fornece e controla as chaves de encriptação de raiz para os seus dados inativos do Microsoft 365 ao nível da aplicação. Como resultado, exerce o controlo sobre as chaves da sua organização.

Chave de Cliente com implementações híbridas

A Chave de Cliente só encripta dados inativos na cloud. A Chave de Cliente não funciona para proteger as suas caixas de correio e ficheiros no local. Pode encriptar os seus dados no local com outro método, como o BitLocker.

Saiba mais sobre as políticas de encriptação de dados

Uma política de encriptação de dados (DEP) define a hierarquia de encriptação. Esta hierarquia é utilizada pelo serviço para encriptar dados com cada uma das chaves que gere e a chave de disponibilidade protegida pela Microsoft. Crie um DEP com cmdlets do PowerShell e, em seguida, atribua um DEP para encriptar os dados da aplicação. Existem três tipos de políticas de encriptação de dados (DEPs) suportadas pela Chave de Cliente. Cada tipo de política utiliza cmdlets diferentes e fornece cobertura para um tipo diferente de dados. Pode definir estes tipos:

DEP para várias cargas de trabalho do Microsoft 365 Estes DEPs encriptam dados em várias cargas de trabalho do Microsoft 365 para todos os utilizadores no inquilino. Estas cargas de trabalho incluem:

• Windows 365 PCs na Cloud. Para obter mais informações, veja Microsoft Purview Customer Key for Windows 365 Cloud PCs (Chave de Cliente do Microsoft Purview para PCs na Cloud do Windows 365)

• Mensagens de chat do Teams (conversas 1:1, conversas de grupo, conversas de reunião e conversas de canal)

• Mensagens multimédia do Teams (imagens, fragmentos de código, mensagens de vídeo, mensagens de áudio, imagens wiki)

• Gravações de chamadas e reuniões do Teams armazenadas no armazenamento do Teams

• Notificações de chat do Teams

• Sugestões de chat do Teams da Cortana

• Mensagens de status do Teams

• Interações do Microsoft 365

• Informações de utilizador e sinal para Exchange Online

• Exchange Online caixas de correio sem encriptação aplicada a partir de um DEP de caixa de correio

• Proteção de Informações do Microsoft Purview:

  • Dados exatos de correspondência de dados (EDM), incluindo esquemas de ficheiros de dados, pacotes de regras e sais utilizados para hash dos dados confidenciais. Para o EDM e o Microsoft Teams, o DEP de várias cargas de trabalho encripta novos dados a partir do momento em que atribui o DEP ao inquilino. Para Exchange Online, a Chave de Cliente encripta todos os dados existentes e novos.

  • Configuração de etiquetas para etiquetas de confidencialidade

Os DEPs de várias cargas de trabalho não encriptam os seguintes tipos de dados. Em vez disso, o Microsoft 365 utiliza outros tipos de encriptação para proteger estes dados.

• Dados do SharePoint e do OneDrive.
• Os ficheiros do Microsoft Teams e algumas gravações de chamadas e reuniões do Teams guardadas no OneDrive e no SharePoint são encriptadas com o DEP do SharePoint.
• Outras cargas de trabalho do Microsoft 365 que a Chave de Cliente não suporta, como Viva Engage e Planner.
• Dados do Evento em Direto do Teams.

Pode criar vários DEPs por inquilino, mas atribuir apenas um DEP de cada vez. Quando atribui o DEP, a encriptação começa automaticamente, mas demora algum tempo a concluir, dependendo do tamanho do seu inquilino.

Os DEPs para caixas de correio Exchange Online DEPs da Caixa de Correio fornecem um controlo mais preciso sobre caixas de correio individuais dentro de Exchange Online. Utilize DEPs de caixa de correio para encriptar dados armazenados em caixas de correio EXO de diferentes tipos, tais como UserMailbox, MailUser, Group, PublicFolder e Caixas de correio partilhadas. Pode ter até 50 DEPs ativos por inquilino e atribuir esses DEPs a caixas de correio individuais. Pode atribuir um DEP a várias caixas de correio.

Por predefinição, as suas caixas de correio são encriptadas com chaves geridas pela Microsoft. Quando atribui um DEP de Chave de Cliente a uma caixa de correio:

• Se a caixa de correio for encriptada através de um DEP de várias cargas de trabalho, o serviço substitui a caixa de correio com o novo DEP da caixa de correio, desde que um utilizador ou uma operação de sistema aceda aos dados da caixa de correio.

• Se a caixa de correio já estiver encriptada através de chaves geridas pela Microsoft, o serviço substitui a caixa de correio utilizando o novo DEP da caixa de correio, desde que um utilizador ou uma operação de sistema aceda aos dados da caixa de correio.

• Se a caixa de correio ainda não estiver encriptada através da encriptação predefinida, o serviço marca a caixa de correio para uma movimentação. A encriptação ocorre assim que a movimentação estiver concluída. As movimentações de caixas de correio são regidas com base nas prioridades definidas para todo o Microsoft 365. Para obter mais informações, consulte Mover pedidos no serviço Microsoft 365. Se as caixas de correio não estiverem encriptadas dentro do tempo especificado, contacte a Microsoft.

Mais tarde, pode atualizar o DEP ou atribuir um DEP diferente à caixa de correio, conforme descrito em Gerir Chave de Cliente para Office 365. Cada caixa de correio tem de ter licenças adequadas para ser atribuído um DEP. Para obter mais informações sobre o licenciamento, consulte Antes de configurar a Chave de Cliente.

Pode atribuir DEPs a uma caixa de correio partilhada, caixa de correio de pasta pública e caixa de correio de grupo do Microsoft 365 para inquilinos que cumpram o requisito de licenciamento para caixas de correio de utilizador. Não precisa de licenças separadas para caixas de correio não específicas do utilizador para atribuir o DEP da Chave de Cliente.

Para DEPs de Chave de Cliente que atribui a caixas de correio individuais, pode pedir que a Microsoft remova DEPs específicos quando sair do serviço. Para obter informações sobre o processo de remoção de dados e a revogação de chaves, veja Revogar as chaves e iniciar o processo de caminho de remoção de dados.

Quando revoga o acesso às chaves como parte da saída do serviço, a chave de disponibilidade é eliminada, o que resulta na eliminação criptográfica dos seus dados. A eliminação criptográfica mitiga o risco de remanência de dados, o que é importante para cumprir as obrigações de segurança e conformidade.

DEP para SharePoint e OneDrive Este DEP é utilizado para encriptar conteúdos armazenados no SharePoint e no OneDrive, incluindo ficheiros do Microsoft Teams armazenados no SharePoint. Se estiver a utilizar a funcionalidade multigeográfico, pode criar um DEP por geo para a sua organização. Se não estiver a utilizar a funcionalidade multigeográfico, só pode criar um DEP por inquilino. Veja os detalhes em Configurar a Chave de Cliente.

Cifras de encriptação utilizadas pela Chave de Cliente

A Chave de Cliente utiliza várias cifras de encriptação para encriptar chaves, conforme mostrado nas seguintes figuras.

A hierarquia de chaves utilizada para DEPs que encriptam dados para várias cargas de trabalho do Microsoft 365 é semelhante à hierarquia utilizada para DEPs para caixas de correio Exchange Online individuais. A única diferença é que a Chave da Caixa de Correio é substituída pela Chave de Carga de Trabalho do Microsoft 365 correspondente.

Cifras de encriptação utilizadas para encriptar chaves para Exchange Online

Cifras de encriptação utilizadas para encriptar chaves para o SharePoint e o OneDrive

Artigos relacionados

• Configurar Chave de Cliente

• Gerenciar Chave de Cliente

• Rolar ou girar uma Chave de Cliente ou uma chave de disponibilidade

• Saiba mais sobre a chave de disponibilidade

• Saiba mais sobre o Sistema de Proteção de Dados do Cliente

• Compreender a encriptação do serviço e a gestão de chaves