了解 Microsoft Purview 中的服务加密
借助 Microsoft 托管密钥,Microsoft 服务管理和存储用于服务加密的根加密密钥,从而减轻客户预配和管理根加密密钥的负担。 Microsoft 托管密钥存储在私钥保管库中,只有 Microsoft 365 服务才能间接访问这些密钥保管库以进行数据加密。 Microsoft 员工无法直接访问这些密钥。
对于没有密钥管理要求的云客户,Microsoft 托管密钥是一种可行的解决方案。 对于某些客户,Microsoft 托管密钥可能无法履行其对密钥管理、操作或存储的义务。 为了履行这些义务,可以使用客户密钥功能实施客户管理的密钥。
上图左侧概述了 Exchange Online 的密钥层次结构,其中显示了如何使用两个 Microsoft 托管 RSA 密钥和一个等效的 AES-256 可用性密钥来保护数据加密密钥,这反过来又保护用于在 Exchange Online 中加密邮箱的邮箱密钥。 关系图的右侧显示了 SharePoint Online、OneDrive for Business 和 Microsoft Teams 文件的密钥层次结构,这些文件使用 SQL 透明数据加密来保护 SQL 数据库的文件区块加密密钥。
默认情况下,Microsoft 管理服务级别加密密钥,但某些客户可能有内部或外部要求来管理自己的根密钥。 下一个单元将介绍客户密钥功能,使客户能够满足这些要求。