Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft 365 fornece encriptação ao nível do volume e linha de base através do BitLocker e do Distributed Key Manager (DKM). os discos do Windows 365 Enterprise e do Business Cloud PC são encriptados com a encriptação do lado do servidor do Armazenamento do Azure (SSE).
Para lhe dar mais controlo, o Microsoft 365 também oferece uma camada adicional de encriptação para os seus conteúdos através da Chave de Cliente. Este conteúdo inclui dados do Microsoft Exchange, SharePoint, OneDrive, Teams e PCs cloud de Windows 365 (Enterprise), incluindo Windows 365 Frontline modos Dedicados e Partilhados.
O BitLocker não é suportado como uma opção de encriptação para Windows 365 PCs na Cloud. Para obter detalhes, veja Using Windows 10 virtual machines in Intune (Utilizar máquinas virtuais Windows 10 no Intune).
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.
Como a encriptação do serviço, o BitLocker, o SSE e a Chave de Cliente funcionam em conjunto
Os seus dados do Microsoft 365 são sempre encriptados inativos com o BitLocker e o Distributed Key Manager (DKM). Para obter detalhes, consulte Como o Exchange protege os seus segredos de e-mail.
A Chave de Cliente adiciona proteção adicional contra o acesso não autorizado aos seus dados. Complementa a encriptação de discos BitLocker e a encriptação do lado do servidor (SSE) nos datacenters da Microsoft. A encriptação de serviço não foi concebida para impedir que o pessoal da Microsoft aceda aos seus dados. Em vez disso, a Chave de Cliente ajuda-o a cumprir os requisitos de conformidade ou regulamentares ao permitir-lhe controlar as chaves de encriptação de raiz.
Autoriza explicitamente o Microsoft 365 a utilizar as chaves de encriptação para fornecer serviços de valor acrescentado, como Deteção de Dados Eletrónicos, antimalware, antiss spam e indexação de pesquisa.
Criada com base na encriptação de serviço, a Chave de Cliente permite-lhe fornecer e controlar chaves de encriptação. O Microsoft 365 utiliza estas chaves para encriptar os seus dados inativos, conforme descrito nos Termos dos Serviços Online (OST). Uma vez que controla as chaves de encriptação, a Chave de Cliente ajuda-o a cumprir os requisitos de conformidade.
A Chave de Cliente melhora a sua capacidade de cumprir as normas de conformidade que exigem disposições de controlo chave com o seu fornecedor de cloud. Fornece e gere as chaves de encriptação de raiz para os seus dados inativos do Microsoft 365 ao nível da aplicação. Esta configuração dá-lhe controlo direto sobre as chaves de encriptação da sua organização.
Chave de Cliente com implementações híbridas
A Chave de Cliente encripta apenas os dados inativos na cloud. Não protege caixas de correio ou ficheiros no local. Para proteger os dados no local, utilize um método separado, como o BitLocker.
Saiba mais sobre as políticas de encriptação de dados
Uma política de encriptação de dados (DEP) define a hierarquia de encriptação. Os serviços utilizam esta hierarquia para encriptar dados com as chaves que gere e a chave de disponibilidade que a Microsoft protege. Crie um DEP com cmdlets do PowerShell e, em seguida, atribua-o para encriptar os dados da aplicação.
A Chave de Cliente suporta três tipos de DEPs. Cada tipo utiliza cmdlets diferentes e protege um tipo diferente de dados:
DEP para Várias cargas de trabalho do Microsoft 365
Estes DEPs encriptam dados em várias cargas de trabalho do Microsoft 365 para todos os utilizadores no inquilino. As cargas de trabalho incluem:
- Windows 365 PCs cloud (Enterprise), incluindo Windows 365 modos Forntline Dedicado e Partilhado. Para obter detalhes, veja Chave de Cliente do Microsoft Purview para PCs Windows 365 Cloud
- Mensagens de chat do Teams (conversas 1:1, conversas de grupo, conversas de reunião e conversações de canal)
- Mensagens multimédia do Teams (imagens, fragmentos de código, mensagens de vídeo, mensagens de áudio, imagens wiki)
- Chamadas do Teams e gravações de reuniões armazenadas no armazenamento do Teams
- Notificações de chat do Teams
- Sugestões de chat do Teams da Cortana
- Mensagens de status do Teams
- Interações do Microsoft 365 Copilot
- Informações de utilizador e sinal para o Exchange
- Caixas de correio do Exchange que um DEP de caixa de correio não encripta
- Proteção de Informações do Microsoft Purview:
- Dados exatos de Correspondência de Dados (EDM), incluindo esquemas de ficheiros de dados, pacotes de regras e sais utilizados para dados confidenciais de hash
- Para o EDM e o Teams, o DEP encripta novos dados a partir do momento em que os atribui ao inquilino.
- Para o Exchange, a Chave de Cliente encripta todos os dados existentes e novos.
- Configurações de etiquetas de confidencialidade
- Dados exatos de Correspondência de Dados (EDM), incluindo esquemas de ficheiros de dados, pacotes de regras e sais utilizados para dados confidenciais de hash
Os DEPs de várias cargas de trabalho não encriptam os seguintes tipos de dados. Estes dados são protegidos através de outros métodos de encriptação no Microsoft 365:
- Dados do SharePoint e do OneDrive
- Ficheiros do Teams e algumas chamadas do Teams e gravações de reuniões guardadas no SharePoint ou no OneDrive (encriptado pelo DEP do SharePoint)
- Dados do Evento em Direto do Teams
- Cargas de trabalho não suportadas pela Chave de Cliente, como Viva Engage e Planner
Pode criar vários DEPs por inquilino, mas atribuir apenas um de cada vez. A encriptação começa automaticamente após a atribuição, embora o tempo de conclusão dependa do tamanho do inquilino.
DEPs para caixas de correio do Exchange
Os DEPs da caixa de correio dão-lhe mais controlo sobre as caixas de correio Exchange Online individuais. Pode utilizá-los para encriptar dados nas caixas de correio UserMailbox, MailUser, Group, PublicFolder e Shared.
Pode ter até 50 DEPs de caixa de correio ativos por inquilino. Pode atribuir um DEP a várias caixas de correio, mas apenas um DEP por caixa de correio.
Por predefinição, as caixas de correio do Exchange são encriptadas com chaves geridas pela Microsoft. Quando atribui um DEP de Chave de Cliente:
- Se uma caixa de correio já estiver encriptada através de um DEP de várias cargas de trabalho, o serviço reembrulha-a com o DEP da caixa de correio da próxima vez que um utilizador ou sistema aceder aos dados.
- Se uma caixa de correio estiver encriptada com chaves geridas pela Microsoft, o serviço reembrulha-a com o DEP da caixa de correio quando lhe for acedido.
- Se uma caixa de correio ainda não estiver encriptada, o serviço marca-a para uma movimentação. A encriptação ocorre após a movimentação. Os movimentos da caixa de correio seguem as regras de prioridade do Microsoft 365. Para obter detalhes, consulte Mover pedidos no serviço Microsoft 365. Se uma caixa de correio não estiver encriptada a tempo, contacte a Microsoft.
Mais tarde, pode atualizar o DEP ou atribuir um diferente, conforme descrito em Gerir Chave de Cliente para Office 365.
Cada caixa de correio tem de cumprir os requisitos de licenciamento para utilizar a Chave de Cliente. Para obter mais informações, consulte Antes de configurar a Chave de Cliente.
Pode atribuir DEPs a caixas de correio partilhadas, públicas e de grupo, desde que o seu inquilino cumpra os requisitos de licenciamento das caixas de correio dos utilizadores. Não precisa de licenças separadas para caixas de correio não específicas do utilizador.
Também pode pedir que a Microsoft remova DEPs específicos ao sair do serviço. Para obter detalhes sobre como remover e revogar chaves, veja Revogar as chaves e iniciar o processo de caminho de remoção de dados.
Quando revoga o acesso às chaves, a Microsoft elimina a chave de disponibilidade. Esta eliminação resulta na eliminação criptográfica dos seus dados, ajudando-o a cumprir os requisitos de conformidade e de remanência de dados.
DEP para SharePoint e OneDrive
Este DEP encripta conteúdos armazenados no SharePoint e no OneDrive, incluindo ficheiros do Teams armazenados no SharePoint.
- Se utilizar a funcionalidade multigeográfico, pode criar um DEP por geo.
- Caso contrário, só pode criar um DEP por inquilino.
Para obter instruções de configuração, consulte Configurar a Chave de Cliente.
Cifras de encriptação utilizadas pela Chave de Cliente
A Chave de Cliente utiliza cifras de encriptação diferentes para proteger chaves, conforme mostrado nos seguintes diagramas.
A hierarquia de chaves utilizada para DEPs que encriptam dados em várias cargas de trabalho do Microsoft 365 é semelhante à utilizada para caixas de correio individuais do Exchange. A Chave de Carga de Trabalho do Microsoft 365 correspondente substitui a Chave de Caixa de Correio.
Cifras de encriptação utilizadas para encriptar chaves para o Exchange
Cifras de encriptação utilizadas para encriptar chaves para o SharePoint e o OneDrive
