Blog链接：​​​https://blog.51cto.com/13969817​​

使用Microsoft 365 作为企业内部信息管理和业务协作平台是比较安全的，因为它对数据提供了加密静态数据和传输中的数据，安全地管理加密密钥以满足其业务需求和合规性义务，这样就可以针对盗窃行为、 物理安全措施中的故障以及窃取传输中数据的活动保护数据。

加密是 Microsoft 数据保护策略的重要组成部分，并为企业针对安全性的深层防御方法多加了一层保护。 加密有助于加强数据安全和数据隐私，因为它能为数据多加一层防护，让数据避免遭受未经授权的公开。 加密还有助于满足合规性义务或内部要求，保护敏感数据或其他受保护的数据的机密性。

Microsoft 365 会结合使用多层及多种加密来保护客户的静态数据以及传输中数据。

·       静态数据包括上传到 SharePoint 文档库的文件、Microsoft Teams 会议中上传的文 件、存储在电子邮箱文件夹中的电子邮件和附件以及上传到 OneDrive for Business 的文件。

·       传输中数据包括正在传递的邮件或在线会议中正在进行的对话。在 Microsoft 365 中，当用户的设 备与 Microsoft 服务器通信时，或当 Microsoft 服务器与其他服务器通信时，都会产生传输中的数据。 使用 FIPS 140-2 兼容加密算法和技术（包括 BitLocker、服务加密、传输层安全性 (TLS)、Internet 协议 安全 (IPSec) 以及高级加密标准 (AES) 算法）加密静态以及传输中的客户数据。此外，Microsoft 还采用高级密钥管理解决方案，以确保加密密钥得到妥善保护。

如果企业希望使用自己的跟密钥加密数据，那么可以将密钥上传到Azure密钥保管库或者在Azure密钥保管库中生成，这样企业能掌握对密钥的控制权，可以用于Exchange Online、SharePoint Online、OneDrive for Business或者Teams中的文件。

通过使用企业（客户）密钥功能，可满足涉及用于加密数据的密钥的内部策略要求或合规性义务。此类合规性义务可能会包括这些要求：拥有用于加密数据的根密钥、按规定频率轮换密钥或将密钥存储在 HSM 中，其好处包括：

·       在强大的加密保护基础上提供权限保护和管理功能。

·       包括多个客户密钥选项，可允许多租户服务提供按租户的密钥管理功能。

·       防止 Windows 操作系统管理员访问由操作系统存储或处理的客户数据。

·       增强 Microsoft 365 的功能，以满足客户在加密方面提出的合规性要求。

上图中的可用性密钥是由 Microsoft 提供和保护的根密钥，它在功能上等同于企业使用客户密钥功能提供的根密 钥。可用性密钥在企业创建数据加密策略时自动生成并预配。从设计上讲，在 Microsoft 没有人可以访问可用性密钥，只有 Microsoft 365 服务代码可以访问它。Microsoft 365 存储并保护可用性密钥，与企业在 Azure 密钥保管库中提供和管理的密钥不同，企业不能直接访问可用性密钥。

除了保护静态的客户数据外，Microsoft 还使用加密技术保护传输中的客户数据。传输中的数据场景包括：

●       客户端计算机与 Microsoft 服务器通信时。

●       Microsoft 服务器与另一个 Microsoft 服务器通信时。

●       Microsoft 服务器与非 Microsoft 服务器通信时（例如，Exchange Online 向第三方电子邮件服务器 发送电子邮件）。

Microsoft 服务器之间的数据中心间通信使用 TLS 或 IPsec 进行，所有面向客户的服务器都使用 TLS 与客户端计算机协商安全会话。例如，到 Exchange Online 的客户端连接使用 TLS 以及 AES 和 FIPS 140-2 兼容的实现。这适用于所有客户端（包括 Outlook、Microsoft Teams 和 Outlook 网页版）使用的 Web 协议。

感谢大家的阅读，希望本文的分享，让你加强对Microsoft 365 数据加密和传输加密的理解。