共用方式為

客戶管理的加密功能

  • 發行項

如需這些技術的詳細資訊,請 參閱 Microsoft 365 服務描述

提示

如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

Azure 版權管理

Azure Rights Management (Azure RMS) 是 Azure 資訊保護 所使用的保護技術。 它會使用加密、身分識別和授權原則,協助保護您跨多個平臺和裝置的檔案和電子郵件,例如手機、平板電腦和計算機。 資訊可在組織內部和外部受到保護,因為數據仍會受到保護。 Azure RMS 可持續保護所有文件類型、保護任何位置的檔案、支援企業對企業共同作業,以及各種 Windows 和非 Windows 裝置。 Azure RMS 保護也可以增強 數據外洩防護 (DLP) 原則。 如需哪些應用程式和服務可以從 Azure 資訊保護 使用 Azure Rights Management 服務的詳細資訊,請參閱應用程式如何支援 Azure Rights Management 服務

Azure RMS 與 Microsoft 365 整合,可供所有客戶使用。 若要設定 Microsoft 365 使用 Azure RMS,請參閱在 SharePoint 系統管理中心設定 IRM 以使用 Azure Rights Management 和設定資訊版權管理 (IRM) 。 如果您操作 內部部署的 Active Directory (AD) RMS 伺服器,則您也可以將 IRM 設定為使用內部部署 AD RMS 伺服器,但我們強烈建議您移轉至 Azure RMS 以使用新功能,例如與其他組織安全地共同作業。

當您使用 Azure RMS 保護客戶數據時,Azure RMS 會使用 2048 位 RSA 非對稱密鑰搭配 SHA-256 哈希演演算法來進行完整性加密數據。 Office 檔和電子郵件的對稱密鑰是 AES 128 位。 針對受 Azure RMS 保護的每個檔或電子郵件,Azure RMS 會建立單一 AES 金鑰 (「內容密鑰」) ,而該金鑰會內嵌在檔中,並透過檔的版本保存。 內容密鑰會使用組織的 RSA 金鑰保護, (「Azure 資訊保護 租使用者金鑰」) 做為文件中原則的一部分,而且該原則也會由檔的作者簽署。 此租使用者金鑰適用於受組織 Azure RMS 保護的所有文件和電子郵件,而且只有在組織使用客戶管理的租使用者密鑰時,Azure 資訊保護 系統管理員才能變更此密鑰。 如需 Azure RMS 所使用之密碼編譯控件的詳細資訊,請參閱 Azure RMS 如何運作?幕後。

在預設的 Azure RMS 實作中,Microsoft會為每個租用戶產生和管理唯一的根密鑰。 客戶可以在 Azure RMS 中使用 Azure 金鑰保存庫 Services 管理其根密鑰的生命週期,方法是使用稱為「攜帶您自己的密鑰 (BYOK) 」的密鑰管理方法,可讓您在內部部署 HSM 中產生密鑰, (硬體安全性模組) ,並在傳輸至Microsoft的 FIPS 140-2 層級 2 驗證 HSM 之後,繼續控制此密鑰。 根密鑰的存取權不會提供給任何人員,因為密鑰無法從保護的 HSM 匯出或擷取。 此外,您可以存取近乎即時的記錄,隨時顯示根密鑰的所有存取權。 如需詳細資訊, 請參閱記錄和分析 Azure Rights Management 使用量

Azure Rights Management 可協助降低威脅,例如網路點選、攔截式攻擊、數據竊取,以及意外違反組織共享原則。 同時,透過遵循該數據的原則,防止未經授權的使用者在傳輸中或待用中對客戶數據進行任何不受警告的存取,進而降低該數據在明知或不知情的情況下落到錯誤手上的風險,並提供數據外泄防護功能。 如果作為 Azure 資訊保護 的一部分,Azure RMS 也會提供數據分類和標籤功能、內容標記、檔存取追蹤和存取撤銷功能。 若要深入了解這些功能,請參閱什麼是 Azure 資訊保護Azure 資訊保護 部署藍圖,以及 Azure 資訊保護 的快速入門教學課程

保護多用途因特網郵件擴充功能

安全/多用途因特網郵件擴充功能 (S/MIME) 是MIME資料的公鑰加密和數位簽署標準。 S/MIME 定義於 RFC 3369、3370、3850、3851 和其他專案中。 它可讓使用者加密電子郵件,並以數位方式簽署電子郵件。 使用 S/MIME 加密的電子郵件只能由電子郵件的收件者使用其私鑰來解密,該密鑰僅供該收件者使用。 因此,電子郵件無法由電子郵件收件者以外的任何人解密。

Microsoft支援 S/MIME。 公開憑證會散發到客戶的 內部部署的 Active Directory,並儲存在可復寫至Microsoft 365 租用戶的屬性中。 對應至公鑰的私鑰會保留在內部部署,且永遠不會傳輸到 Office 365。 使用者可以使用 Outlook、Outlook 網頁版 和 Exchange ActiveSync 用戶端,在組織中的兩個使用者之間撰寫、加密、解密、讀取和數位簽署電子郵件。

Office 365 郵件加密

Office 365AIP 資訊保護 (AIP) 為基礎的 Office 365 郵件加密 (OME) ,可讓您將加密且受版權保護的郵件傳送給任何人。 OME 可降低像是網路點選和攔截式攻擊等威脅,以及其他威脅,例如未經授權且沒有適當許可權的未經授權使用者無理存取數據。 我們已進行投資,為您提供以 Azure 資訊保護 為基礎的更簡單、更直覺且安全的電子郵件體驗。 您可以保護從 Microsoft 365 傳送給組織內部或外部任何人的訊息。 您可以使用任何身分識別,跨一組不同的郵件用戶端檢視這些郵件,包括 Microsoft Entra ID、Microsoft帳戶和 Google 識別符。 如需貴組織如何使用加密訊息的詳細資訊,請參閱 Office 365 訊息加密。

傳輸層安全性   

如果您想要確保與合作夥伴的安全通訊,您可以使用輸入和輸出連接器來提供安全性和訊息完整性。 您可以使用憑證,在每個連接器上設定強制輸入和輸出 TLS。 使用加密的 SMTP 通道可防止資料透過攔截式攻擊遭竊。 如需詳細資訊,請參閱 Exchange Online 如何使用 TLS 來保護電子郵件連線

網域金鑰識別郵件

Exchange Online Protection (EOP) 和 Exchange Online 支援網域密鑰識別郵件 (DKIM) 訊息的輸入驗證。 DKIM 是一種方法,可用來驗證訊息是否從其所指出的來源網域傳送,且該訊息不是由其他人詐騙。 它會將電子郵件訊息系結至負責傳送電子郵件的組織,並且是電子郵件加密更大範例的一部分。 如需此範例三個部分的詳細資訊,請參閱: