關於資料加密

資料是組織最有價值且無可取代的資產，而加密則做為多層資料安全性策略中最後一道、也是最強大的防線。 Microsoft Business Cloud 服務和產品使用加密來保護客戶數據並説明您保持對數據的控制。

待用資料保護

加密您的資訊會使未經授權的人無法讀取其內容，即使他們突破了您的防火牆、滲透您的網路、實際存取您的裝置或繞過您本機電腦上的權限。 加密會轉換資料，讓只有擁有解密金鑰的人才可以存取資料。

Dynamics 365 使用異構存儲（）Dataverse 來存儲數據。 資料分佈在不同的儲存類型中：

• 適用於關聯式資料的 Azure SQL Database
• 適用於二進位資料 (例如影像和文件) 的 Azure Blob 儲存體
• 適用於搜尋索引的 Azure 搜尋服務
• 適用於稽核資料的 Microsoft 365 活動記錄和 Azure Cosmos DB
• 用於分析的 Azure Data Lake

Dataverse資料庫使用 SQL TDE (透明數據加密，符合 FIPS 140-2)，提供資料和記錄檔的即時 I/O 加密和解密，以進行待用資料加密。 Azure 儲存加密 用於儲存在 Azure Blob 儲存中的靜態數據。 這些使用符合 FIPS 140-2 的 256 位元 AES 加密透明地加密和解密。

默認情況下， Microsoft 使用 a-managed Microsoft key 儲存和管理環境的資料庫加密密鑰。 不過，Power Platform 提供客戶自控加密金鑰 (CMK) 以新增資料保護控制，您可以在其中自行管理資料庫加密金鑰。 加密金鑰會駐留在您自己的 Azure Key Vault 中，這可讓您根據需要旋轉或交換加密金鑰。 它還允許您在隨時撤銷對我們服務的密鑰訪問許可權時阻止 Microsoft存取您的客戶資料。

管理員可以使用自己的金鑰產生器硬體 (HSM) 提供自己的加密金鑰，或使用 Azure Key Vault 來產生加密金鑰。 密鑰管理功能使用 Azure Key Vault 安全地儲存加密金鑰，降低了加密金鑰管理的複雜性。 Azure Key Vault 可協助保護雲端應用程式和服務所使用的加密金鑰和密碼。 加密金鑰必須符合以下 Azure Key Vault 要求：

• 2048 位元 RSA
• HSM 自帶

管理員還可以隨時將加密金鑰還原回 Microsoft 託管式密鑰。

傳輸中的資料保護

Azure 會保護在外部元件間傳輸的資料，以及內部傳輸的資料，例如兩個虛擬網路之間傳輸的資料。 Azure 在使用者設備和 Microsoft 數據中心之間以及數據中心內部使用行業標準傳輸協定，例如 TLS。 為了進一步保護您的數據，服務之間的 Microsoft 內部通信使用 Microsoft 主幹網路，因此不會暴露在公共互聯網上。

Microsoft 在其產品和服務中使用多種加密方法、協議和演算法，以幫助為數據提供通過基礎設施的安全路徑，並説明保護基礎設施中存儲的數據的機密性。 Microsoft 使用業內一些最強大、最安全的加密協定來提供屏障，防止未經授權訪問您的數據。 適當的金鑰管理是加密最佳實踐中的基本要素， Microsoft 有助於確保加密金鑰得到適當保護。

通訊協定與技術範例包括：

• 傳輸層安全性/安全通訊端層 (TLS/SSL) 會根據共用密碼的對稱加密技術，在通訊透過網路傳輸時對其進行加密。
• 網際網路通訊協定安全性 (IPsec) 是一組業界標準的通訊協定，用來在網路上傳輸資料時，提供 IP 封包層級的驗證、完整性和機密性。
• 進階加密標準 (AES)-256 是美國政府所採用的美國國家標準暨技術研究院 (NIST) 對稱金鑰資料加密規格，用於取代資料加密標準 (DES) 和 RSA 2048 公開金鑰加密技術。