加密風險與防護
Microsoft 365 遵循著重於服務和客戶數據風險的控制與合規性架構。 服務會實作一組大型技術和程式型方法,稱為控件,以降低這些風險。 透過控件識別、評估及降低風險是持續的程式。
在我們的雲端服務層級內實作控件,例如設施、網路、伺服器、應用程式、使用者 (,例如Microsoft系統管理員) ,以及數據構成深層防禦策略。 此策略的關鍵在於在不同層級實作許多不同的控制件,以防範相同或類似的風險案例。 此多層式方法可在控件失敗時提供安全故障保護。
下表列出一些風險案例,以及目前可用的加密技術來降低風險。 在許多情況下,Microsoft 365 中實作的其他控件也會減輕這些案例的風險。
| 加密技術 | 服務 | 金鑰管理 | 風險案例 | 值 |
|---|---|---|---|---|
| BitLocker | Exchange 和 SharePoint | Microsoft | 磁碟或伺服器遭竊或不當回收。 | BitLocker 提供一種安全性的方法,可防止因為伺服器/磁碟) 遭竊或不當回收的硬體 (而遺失數據。 |
| 服務加密 | SharePoint 和 OneDrive;交換 | Microsoft | 內部或外部駭客嘗試以 Blob 的形式存取個別檔案/數據。 | 沒有密鑰的存取權,就無法解密加密的數據。 協助降低駭客存取數據的風險。 |
| 客戶金鑰 | SharePoint、OneDrive 和 Exchange | 客戶 | N/A (此功能設計為合規性功能;不作為任何風險的緩和措施。) | 協助客戶符合內部法規和合規性義務,以及離開服務並撤銷Microsoft數據存取權的能力 |
| Microsoft 365 與用戶端之間的傳輸層安全性 (TLS) | Exchange、SharePoint、OneDrive、Teams 和 Viva Engage | Microsoft、客戶 | 攔截式或其他攻擊,可點選 Microsoft 365 與透過因特網的用戶端電腦之間的數據流。 | 此實作可為Microsoft和客戶提供價值,並確保數據在Microsoft 365 與客戶端之間流動時的完整性。 |
| Microsoft數據中心之間的 TLS | Exchange、SharePoint 和 OneDrive | Microsoft | 攔截或其他攻擊,以點選位於不同數據中心Microsoft 365 部伺服器之間的客戶數據流Microsoft。 | 此實作是保護數據免於Microsoft數據中心之間攻擊的另一種方法。 |
| Azure Rights Management (Azure RMS) (包含在 Microsoft 365 或 Azure 資訊保護) | Exchange、SharePoint 和 OneDrive | 客戶 | 數據會交由不應存取數據的人員使用。 | Azure 資訊保護 使用 Azure RMS,其使用加密、身分識別和授權原則來協助保護多個裝置上的檔案和電子郵件,為客戶提供價值。 Azure RMS 提供設定選項,其中所有源自 Microsoft 365 的電子郵件都符合特定準則 (例如,傳送至特定位址) 的所有電子郵件,都可以在傳送給另一個收件者之前自動加密。 |
| S/MIME | Exchange | 客戶 | 不是預定收件者的人已取得電子郵件。 | S/MIME 有助於確保只有預定的收件者可以解密加密的電子郵件。 |
| Microsoft Purview 郵件加密 | Exchange、SharePoint | 客戶 | 不是預定收件者的人會取得電子郵件及其受保護的附件。 | 訊息加密可讓您設定租使用者,讓源自Microsoft 365 且符合特定準則的電子郵件 (例如,傳送至特定位址) 的所有電子郵件都會在傳送之前自動加密。 |
| 與合作夥伴組織 (SMTP) TLS 的簡易郵件傳輸通訊協定 | Exchange | 客戶 | Email 從Microsoft 365 租使用者傳輸至夥伴組織時,遭到攔截式攻擊或其他攻擊。 | 可讓您在加密的 SMTP 通道內,傳送和接收Microsoft 365 租使用者與合作夥伴的電子郵件組織之間的所有電子郵件。 |
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
多租用戶環境中可用的加密技術
| 加密技術 | 實作者 | 金鑰交換演演算法和強度 | 金鑰管理* | 已驗證 FIPS) 140-2 (美國聯邦資訊處理標準 |
|---|---|---|---|---|
| BitLocker | Exchange | AES) 256 位 (進階加密 Standard | AES 外部金鑰會儲存在秘密安全和 Exchange 伺服器的登錄中。 秘密安全是安全的存放庫,需要高層級提高許可權和核准才能存取。 只有使用稱為 Lockbox 的內部工具,才能要求和核准存取權。 AES 外部金鑰也會儲存在伺服器的信賴平臺模組中。 48 位數的數位密碼會儲存在 Active Directory 中,並受到 Lockbox 保護。 | 是 |
| SharePoint | AES 256 位 | AES 外部金鑰會儲存在秘密安全中。 秘密安全是安全的存放庫,需要高層級提高許可權和核准才能存取。 只有使用稱為 Lockbox 的內部工具,才能要求和核准存取權。 AES 外部金鑰也會儲存在伺服器的信賴平臺模組中。 48 位數的數位密碼會儲存在 Active Directory 中,並受到 Lockbox 保護。 | 是 | |
| 商務用 Skype | AES 256 位 | AES 外部金鑰會儲存在秘密安全中。 秘密安全是安全的存放庫,需要高層級提高許可權和核准才能存取。 只有使用稱為 Lockbox 的內部工具,才能要求和核准存取權。 AES 外部金鑰也會儲存在伺服器的信賴平臺模組中。 48 位數的數位密碼會儲存在 Active Directory 中,並受到 Lockbox 保護。 | 是 | |
| 服務加密 | SharePoint | AES 256 位 | 用來加密 Blob 的金鑰會儲存在 SharePoint 內容資料庫中。 SharePoint 內容資料庫受到資料庫訪問控制和待用加密的保護。 加密是使用 Azure SQL 資料庫中的透明數據加密 (TDE) 來執行。 這些秘密位於 SharePoint 的服務層級,而不是租用戶層級。 這些秘密 (有時稱為主要密鑰) 儲存在稱為密鑰存放區的個別安全存放庫中。 TDE 提供作用中資料庫以及資料庫備份和事務歷史記錄的待用安全性。 當客戶提供選擇性金鑰時,金鑰會儲存在 Azure 金鑰保存庫 中,而服務會使用金鑰來加密租使用者金鑰,用來加密月臺密鑰,然後用來加密檔案層級密鑰。 基本上,當客戶提供金鑰時,就會導入新的金鑰階層。 | 是 |
| 商務用 Skype | AES 256 位 | 每個數據片段都會使用不同隨機產生的 256 位金鑰來加密。 加密金鑰會儲存在對應的元數據 XML 檔案中,該檔案是由每個會議的主要密鑰加密。 主要金鑰也會在每個會議中隨機產生一次。 | 是 | |
| Exchange | AES 256 位 | 每個信箱都會使用數據加密原則進行加密,該原則會使用Microsoft所控制的加密密鑰,或在使用客戶密鑰) 時由客戶 (所控制。 | 是 | |
| Microsoft 365 與用戶端/合作夥伴之間的 TLS | Exchange | 支援多個加密套件的商機 TLS | Exchange (outlook.office.com) 的 TLS 憑證是 Baltimore CyberTrust Root 所發行的 2048 位SHA256RSA憑證。 Exchange 的 TLS 跟證書是 Baltimore CyberTrust Root 所發行的 2048 位SHA1RSA憑證。 |
是,使用具有 256 位加密強度的 TLS 1.2 時 |
| SharePoint | TLS 1.2 搭配 AES 256 OneDrive 和 SharePoint 中的資料加密 |
SharePoint (*.sharepoint.com) 的 TLS 憑證是 Baltimore CyberTrust Root 所發行的 2048 位SHA256RSA憑證。 SharePoint 的 TLS 跟證書是 Baltimore CyberTrust Root 所發行的 2048 位SHA1RSA憑證。 |
是 | |
| Microsoft Teams | TLS 1.2 搭配 AES 256 Microsoft Teams 的常見問題 – 管理員 說明 |
Microsoft Teams (teams.microsoft.com 的 TLS 憑證,edge.skype.com) 是 Baltimore CyberTrust Root 所發行的 2048 位SHA256RSA憑證。 Microsoft Teams 的 TLS 跟證書是 Baltimore CyberTrust Root 所發行的 2048 位SHA256RSA憑證。 |
是 | |
| Microsoft數據中心之間的 TLS | 所有Microsoft 365 服務 | TLS 1.2 搭配 AES 256 安全的即時傳輸通訊協定 (SRTP) |
Microsoft使用內部管理和部署的證書頒發機構單位,在Microsoft數據中心之間進行伺服器對伺服器通訊。 | 是 |
| Microsoft 365 或 Azure 資訊保護) 中包含的 Azure Rights Management ( | Exchange | 支持 密碼編譯模式 2,這是更新和增強的 RMS 密碼編譯實作。 它支援 RSA 2048 進行簽章和加密,而 SHA-256 則支援簽章中的哈希。 | 由Microsoft管理。 | 是 |
| SharePoint | 支持 密碼編譯模式 2,這是更新和增強的 RMS 密碼編譯實作。 它支援 RSA 2048 進行簽章和加密,而 SHA-256 則支持簽章。 |
由默認設定Microsoft管理;或 客戶管理,這是Microsoft管理密鑰的替代方式。 具有 IT 管理 Azure 訂用帳戶的組織可以使用自備密鑰 (BYOK) ,並免費記錄其使用量。 如需詳細資訊,請參閱 實作攜帶您自己的密鑰。 在此設定中,會使用 nCipher Hardware Security Modules (HSM) 來保護您的密鑰。 |
是 | |
| S/MIME | Exchange | 密碼編譯訊息語法 Standard 1.5 (公鑰密碼編譯 Standard (PKCS) #7) | 取決於已部署客戶管理的公鑰基礎結構。 客戶會管理金鑰,Microsoft永遠無法存取用於簽署和解密的私鑰。 | 是,當設定為使用 3DES 或 AES256 加密傳出訊息時 |
| Microsoft Purview 郵件加密 | Exchange | 與 Azure RMS (密碼編譯模式 2 相同 - 用於簽章和加密的 RSA 2048,以及用於簽章) 的 SHA-256 | 使用 Azure 資訊保護 作為其加密基礎結構。 使用的加密方法取決於您在哪裡取得用來加密及解密郵件的 RMS 金鑰。 | 是 |
| 與合作夥伴組織的 SMTP TLS | Exchange | TLS 1.2 搭配 AES 256 | Exchange (outlook.office.com) 的 TLS 憑證是 2048 位 SHA-256,其中包含 DigiCert 雲端服務 CA-1 所發行的 RSA 加密憑證。 Exchange 的 TLS 跟證書是 2048 位 SHA-1,具有 GlobalSign Root CA – R1 所簽發的 RSA 加密憑證。 基於安全性理由,我們的憑證會不時變更。 |
是,使用具有 256 位加密強度的 TLS 1.2 時 |
*此數據表中參考的 TLS 憑證適用於美國數據中心;非美國數據中心也會使用 2048 位SHA256RSA憑證。
政府雲端社群環境中可用的加密技術
| 加密技術 | 實作者 | 金鑰交換演演算法和強度 | 金鑰管理* | FIPS 140-2 已驗證 |
|---|---|---|---|---|
| BitLocker | Exchange | AES 256 位 | AES 外部金鑰會儲存在秘密安全和 Exchange 伺服器的登錄中。 秘密安全是安全的存放庫,需要高層級提高許可權和核准才能存取。 只有使用稱為 Lockbox 的內部工具,才能要求和核准存取權。 AES 外部金鑰也會儲存在伺服器的信賴平臺模組中。 48 位數的數位密碼會儲存在 Active Directory 中,並受到 Lockbox 保護。 | 是 |
| SharePoint | AES 256 位 | AES 外部金鑰會儲存在秘密安全中。 秘密安全是安全的存放庫,需要高層級提高許可權和核准才能存取。 只有使用稱為 Lockbox 的內部工具,才能要求和核准存取權。 AES 外部金鑰也會儲存在伺服器的信賴平臺模組中。 48 位數的數位密碼會儲存在 Active Directory 中,並受到 Lockbox 保護。 | 是 | |
| 商務用 Skype | AES 256 位 | AES 外部金鑰會儲存在秘密安全中。 秘密安全是安全的存放庫,需要高層級提高許可權和核准才能存取。 只有使用稱為 Lockbox 的內部工具,才能要求和核准存取權。 AES 外部金鑰也會儲存在伺服器的信賴平臺模組中。 48 位數的數位密碼會儲存在 Active Directory 中,並受到 Lockbox 保護。 | 是 | |
| 服務加密 | SharePoint | AES 256 位 | 用來加密 Blob 的金鑰會儲存在 SharePoint 內容資料庫中。 SharePoint 內容資料庫受到資料庫訪問控制和待用加密的保護。 加密是在 Azure SQL 資料庫中使用 TDE 來執行。 這些秘密位於 SharePoint 的服務層級,而不是租用戶層級。 這些秘密 (有時稱為主要密鑰) 儲存在稱為密鑰存放區的個別安全存放庫中。 TDE 提供作用中資料庫以及資料庫備份和事務歷史記錄的待用安全性。 當客戶提供選擇性金鑰時,客戶金鑰會儲存在 Azure 金鑰保存庫 中。 服務會使用金鑰來加密租使用者金鑰,用來加密月臺金鑰,然後用來加密檔案層級密鑰。 基本上,當客戶提供金鑰時,就會導入新的金鑰階層。 | 是 |
| 商務用 Skype | AES 256 位 | 每個數據片段都會使用不同隨機產生的 256 位金鑰來加密。 加密金鑰會儲存在對應的元數據 XML 檔案中。 每個會議主要金鑰會加密此 XML 檔案。 主要金鑰也會在每個會議中隨機產生一次。 | 是 | |
| Exchange | AES 256 位 | 每個信箱都會使用數據加密原則進行加密,該原則會使用Microsoft所控制的加密密鑰,或在使用客戶密鑰) 時由客戶 (所控制。 | 是 | |
| Microsoft 365 與用戶端/合作夥伴之間的 TLS | Exchange | 支援多個加密套件的商機 TLS | Exchange (outlook.office.com) 的 TLS 憑證是 Baltimore CyberTrust Root 所發行的 2048 位SHA256RSA憑證。 Exchange 的 TLS 跟證書是 Baltimore CyberTrust Root 所發行的 2048 位SHA1RSA憑證。 |
是,使用具有 256 位加密強度的 TLS 1.2 時 |
| SharePoint | TLS 1.2 搭配 AES 256 | SharePoint (*.sharepoint.com) 的 TLS 憑證是 Baltimore CyberTrust Root 所發行的 2048 位SHA256RSA憑證。 SharePoint 的 TLS 跟證書是 Baltimore CyberTrust Root 所發行的 2048 位SHA1RSA憑證。 |
是 | |
| Microsoft Teams | Microsoft Teams 的常見問題 – 管理員 說明 | Microsoft Teams (teams.microsoft.com 的 TLS 憑證;edge.skype.com) 是由 Baltimore CyberTrust Root 發行的 2048 位SHA256RSA憑證。 Microsoft Teams 的 TLS 跟證書是 Baltimore CyberTrust Root 所發行的 2048 位SHA256RSA憑證。 |
是 | |
| Microsoft數據中心之間的 TLS | Exchange、SharePoint、商務用 Skype | TLS 1.2 搭配 AES 256 | Microsoft使用內部管理和部署的證書頒發機構單位,在Microsoft數據中心之間進行伺服器對伺服器通訊。 | 是 |
| 安全的即時傳輸通訊協定 (SRTP) | ||||
| Azure Rights Management Service | Exchange | 支持 密碼編譯模式 2,這是更新和增強的 RMS 密碼編譯實作。 它支援 RSA 2048 進行簽章和加密,而 SHA-256 則支援簽章中的哈希。 | 由Microsoft管理。 | 是 |
| SharePoint | 支持 密碼編譯模式 2,這是更新和增強的 RMS 密碼編譯實作。 它支援 RSA 2048 進行簽章和加密,而 SHA-256 則支援簽章中的哈希。 |
由默認設定Microsoft管理;或 客戶管理的 (也稱為 BYOK) ,這是Microsoft管理密鑰的替代方案。 具有IT管理 Azure 訂用帳戶的組織可以使用 BYOK,並免費記錄其使用量。 如需詳細資訊,請參閱 實作攜帶您自己的密鑰。 在 BYOK 案例中,nCipher HSM 可用來保護您的密鑰。 |
是 | |
| S/MIME | Exchange | 密碼編譯訊息語法 Standard 1.5 (PKCS #7) | 取決於已部署的公鑰基礎結構。 | 是,當設定為使用 3DES 或 AES-256 加密傳出訊息時。 |
| Office 365 郵件加密 | Exchange | 與 Azure RMS 相同 (密碼編譯模式 2 - 用於簽章和加密的 RSA 2048,以及簽章) 中哈希的 SHA-256 | 使用 Azure RMS 作為其加密基礎結構。 使用的加密方法取決於您在哪裡取得用來加密及解密郵件的 RMS 金鑰。 如果您使用 Azure RMS 取得金鑰,則會使用密碼編譯模式 2。 如果您使用 Active Directory (AD) RMS 來取得金鑰,則會使用密碼編譯模式 1 或密碼編譯模式 2。 使用的方法取決於內部部署 AD RMS 部署。 密碼編譯模式 1 是原始的 AD RMS 密碼編譯實作。 它支援 RSA 1024 進行簽章和加密,並支援 SHA-1 進行簽章。 所有目前的 RMS 版本都支援此模式,但使用 HSM 的 BYOK 設定除外。 |
是 |
| 與合作夥伴組織的 SMTP TLS | Exchange | TLS 1.2 搭配 AES 256 | Exchange (outlook.office.com) 的 TLS 憑證是 2048 位 SHA-256,其中包含 DigiCert 雲端服務 CA-1 所發行的 RSA 加密憑證。 Exchange 的 TLS 跟證書是 2048 位 SHA-1,具有 GlobalSign Root CA – R1 所簽發的 RSA 加密憑證。 基於安全性理由,我們的憑證會不時變更。 |
是,使用具有 256 位加密強度的 TLS 1.2 時。 |
*此數據表中參考的 TLS 憑證適用於美國數據中心;非美國數據中心也會使用 2048 位SHA256RSA憑證。