加密和金鑰管理概觀

加密在保護客戶內容時扮演什麼角色？

大部分Microsoft商務雲端服務都是多租使用者，這表示客戶內容可能會儲存在與其他客戶相同的實體硬體上。 若要保護客戶內容的機密性，Microsoft 線上服務使用一些最強大且最安全的可用加密通訊協定來加密所有待用和傳輸中的數據。

加密無法替代強式訪問控制。 Microsoft零常設存取 (ZSA) 的訪問控制原則可保護客戶內容免於Microsoft員工未經授權的存取。 加密可藉由保護客戶內容儲存位置的機密性，以及防止內容在Microsoft 線上服務系統之間或Microsoft 線上服務與客戶之間傳輸時遭到讀取，來補充訪問控制。

Microsoft 線上服務如何加密待用數據？

Microsoft 線上服務中的所有客戶內容都會受到一或多種加密形式的保護。 Microsoft伺服器會使用 BitLocker 來加密磁碟驅動器，其中包含磁碟區層級的客戶內容。 BitLocker 所提供的加密會在其他程式或控件發生失效時保護客戶內容 (，例如，訪問控制或回收硬體) ，而可能導致未經授權的實體存取包含客戶內容的磁碟。

除了磁碟區層級加密之外，Microsoft 線上服務在應用層使用加密來加密客戶內容。 服務加密除了強式加密保護之外，還提供版權保護和管理功能。 它也允許在 Windows 作業系統與這些作業系統所儲存或處理的客戶資料之間進行分隔。

Microsoft 線上服務如何加密傳輸中的數據？

Microsoft 線上服務使用強式傳輸通訊協定，例如傳輸層安全性 (TLS) ，以防止未經授權的一方在透過網路移動時，對客戶數據進行竊聽。 傳輸中數據的範例包括正在傳遞的郵件訊息、在線會議中進行的交談，或在數據中心之間復寫的檔案。

就Microsoft 線上服務而言，每當使用者的裝置與Microsoft伺服器通訊，或Microsoft伺服器與其他伺服器通訊時，數據就會被視為「傳輸中」。

如何Microsoft 線上服務管理用於加密的密鑰？

強式加密僅與用來加密數據的金鑰一樣安全。 Microsoft使用自己的安全性憑證和相關聯的密鑰來加密傳輸中數據的 TLS 連線。 針對待用數據，受 BitLocker 保護的磁碟區會使用完整磁碟區加密密鑰進行加密，該密鑰會使用磁碟區主要金鑰加密，進而系結至伺服器中的受信任平臺模組 (TPM) 。 BitLocker 會使用符合 FIPS 140-2 規範的演算法，確保加密密鑰永遠不會以清楚的方式透過網路儲存或傳送。

服務加密為客戶待用數據提供另一層加密，為客戶提供兩個加密密鑰管理選項：Microsoft管理的密鑰或客戶金鑰。 使用Microsoft管理的密鑰時，Microsoft 線上服務自動產生並安全地儲存用於服務加密的根密鑰。

具有控制自己根加密金鑰需求的客戶可以搭配使用服務加密Microsoft Purview 客戶密鑰。 客戶可以使用客戶金鑰，使用內部部署硬體服務模組 (HSM) 或 Azure 金鑰保存庫 (AKV) 來產生自己的密碼編譯金鑰。 客戶根金鑰會儲存在 AKV 中，可作為其中一個金鑰鏈的根目錄，以加密客戶信箱資料或檔案。 客戶根密鑰只能透過Microsoft在線服務程式代碼間接存取以進行數據加密，且無法由Microsoft員工直接存取。

相關外部法規 & 認證

Microsoft的 線上服務 會定期稽核，以符合外部法規和認證。 請參閱下表，以驗證與加密和金鑰管理相關的控制件。

Azure 和 Dynamics 365

Microsoft 365