1、尽管微软已经确保所有客户数据都由BitLocker和分布式密钥管理器(DKM)静态加密,但它在应用层为OneDrive、SharePoint Online和Teams等工具添加的另一个安全层是“服务加密”。该层通过微软托管密钥或客户端密钥提供加密。前者是不言而喻的,而后者允许客户生成自己的加密密钥,管理它们并在密钥链中使用它们来加密内容。以前,微软365客户密钥只能用于Exchange Online、SharePoint Online和OneDrive for Business,但现在它通常支持Teams。
2、组织可以使用客户密钥来制定自己的数据加密策略(DEP),并使用它来强制对所有租户用户的某些内容进行加密。客户可以创建多个策略,但一次只能应用一个。以下数据可以用客户密钥加密:
3、团队聊天消息(1: 1聊天、群聊、会议聊天和渠道对话)
4、团队媒体消息(图像、代码片段、视频消息、音频消息、维基)图片)
5、团队通话和会议记录存储在团队内存中。
6、团队聊天通知、Cortana的团队聊天建议、团队状态消息
7、交换在线用户和信号信息
8、尚未执行邮箱级DEP加密。已使用的Exchange在线邮箱
9、微软信息保护精确数据匹配(EDM)数据-(用于散列敏感数据的数据文件结构、规则包和salt)
10、Microsoft警告,虽然加密将在指定DEP后自动执行,但请注意,根据组织中的数据量,此过程可能需要一些时间才能完成。对于“团队”和“微软信息保护”中的数据,分配DEP后,所有数据都将被加密,而历史数据将保持不变。该公司的目标是最终通过客户密钥将历史数据的自动加密带到这些服务中。