Microsoft企业云服务中的客户数据受到多种技术和流程的保护,包括各种加密形式。 本文档中的 (客户数据包括Exchange Online邮箱内容、电子邮件正文、日历条目和电子邮件附件内容,如果适用,Skype for Business内容、SharePoint 网站内容和存储在网站中的文件,以及上传到 OneDrive 或Skype for Business.) Microsoft 在其产品和服务中使用多种加密方法、协议和密码。 加密有助于为通过云服务的客户数据提供安全路径,并帮助保护存储在云服务中的客户数据的机密性。 Microsoft使用一些最强大、最安全的加密协议来阻止未经授权访问客户数据。 适当的密钥管理也是加密最佳做法的一个基本要素,Microsoft可以确保所有Microsoft管理的加密密钥都得到适当保护。
存储在Microsoft企业云服务中的客户数据使用一种或多种加密形式进行保护。 (多个非Microsoft审核员独立验证我们的加密策略及其强制执行。 服务信任门户上提供了有关这些审核的报告。)
Microsoft提供服务端技术,可加密静态和传输中的客户数据。 例如,对于静态客户数据,Microsoft Azure 使用 BitLocker 和 DM-Crypt,Microsoft 365 使用 BitLocker、 Azure 存储服务加密、 分布式密钥管理器 (DKM) ,以及 Microsoft 365 服务加密。 对于传输中的客户数据,Azure、Office 365、Microsoft商业支持、Microsoft Dynamics 365、Microsoft Power BI和Visual Studio Team Services在Microsoft数据中心之间以及用户设备与Microsoft数据中心之间使用行业标准的安全传输协议,例如 Internet 协议安全性 (IPsec) 和传输层安全性 (TLS) 。
除了 Microsoft 提供的加密安全基线级别外,我们的云服务还包括可以管理的加密选项。 例如,可以为其 Azure 虚拟机 (VM) 与其用户之间的流量启用加密。 借助 Azure 虚拟网络,可以使用行业标准 IPsec 协议来加密企业 VPN 网关与 Azure 之间的流量。 还可以加密虚拟网络上的 VM 之间的流量。 此外,Microsoft Purview 邮件加密允许向任何人发送加密邮件。
遵循公钥基础结构作安全Standard(Microsoft安全策略的一个组件),Microsoft使用 Windows作系统中包含的加密功能来获取证书和身份验证机制。 这些机制包括使用符合美国政府 联邦信息处理标准 (FIPS) 140-2 标准的加密模块。 可以使用 加密模块验证计划 (CMVP ) 搜索Microsoft (NIST) 证书编号。
[注意]Microsoft安全策略不作为公共下载提供。 有关策略的信息,请联系 Microsoft。
FIPS 140-2 是一种标准,专门用于验证实现加密的产品模块,而不是使用加密的产品。 在服务中实现的加密模块可以认证为满足哈希强度、密钥管理等要求。 用于保护Microsoft云服务中数据的机密性、完整性或可用性的加密模块和密码符合 FIPS 140-2 标准。
Microsoft通过每个新版本的 Windows作系统来认证云服务中使用的基础加密模块:
- Azure 和 Azure 美国政府
- Dynamics 365 和 Dynamics 365 美国政府
- Office 365、Office 365 美国政府版和 Office 365 美国政府国防部版
客户静态数据加密由多种服务端技术提供,包括 BitLocker、DKM、Azure 存储服务加密以及 Exchange、OneDrive 和 SharePoint 中的服务加密。 Microsoft 365 服务加密包括使用 Azure 密钥保管库中存储的客户管理的加密密钥的选项。 此客户管理的密钥选项称为“客户密钥”,可用于 Exchange、SharePoint、OneDrive、Teams 文件和Windows 365云电脑 (公共预览版) 。
对于传输中的客户数据,默认情况下,所有Office 365服务器都使用 TLS 与客户端计算机协商安全会话,以保护客户数据。 例如,Office 365协商Skype for Business、Outlook、Outlook 网页版、移动客户端和 Web 浏览器的安全会话。
(默认情况下,所有面向客户的服务器协商到 TLS 1.2。)