Microsoft Purview 고객 키를 사용하는 서비스 암호화 개요

  • 아티클

Microsoft 365는 BitLocker 및 DKM(분산 키 관리자)을 통해 사용하도록 설정된 기준 볼륨 수준 암호화를 제공합니다. Windows 365 Enterprise 및 Business Cloud PC 디스크는 Azure Storage SSE(서버 쪽 암호화)로 암호화됩니다. Microsoft 365는 고객 키를 통해 콘텐츠에 대한 추가 암호화 계층을 제공합니다. 이 콘텐츠에는 Exchange Online, Microsoft SharePoint, Microsoft OneDrive, Microsoft Teams 및 Windows 365 클라우드 PC의 데이터가 포함됩니다.

BitLocker는 Windows 365 클라우드 PC에 대한 암호화 옵션으로 지원되지 않습니다. 자세한 내용은 Intune Windows 10 가상 머신 사용을 참조하세요.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

Microsoft Purview 고객 키에 대한 Windows 365 지원은 공개 미리 보기 상태이며 변경될 수 있습니다.

서비스 암호화, BitLocker, SSE 및 고객 키가 함께 작동하는 방식

Microsoft 365 데이터는 BitLocker 및 DKM을 사용하여 Microsoft 365 서비스에서 미사용 시 항상 암호화됩니다. 자세한 내용은 Exchange Online 전자 메일 비밀을 보호하는 방법을 참조하세요. 고객 키는 권한이 없는 시스템 또는 직원의 데이터 보기에 대한 추가 보호를 제공하고 Microsoft 데이터 센터의 BitLocker 디스크 암호화 및 SSE를 보완합니다. 서비스 암호화는 Microsoft 직원이 데이터에 액세스하는 것을 방지하기 위한 것이 아닙니다. 대신 고객 키는 루트 키를 제어하기 위한 규정 또는 규정 준수 의무를 충족하는 데 도움이 됩니다. Microsoft 365 서비스에서 암호화 키를 사용하여 eDiscovery, 맬웨어 방지, 스팸 방지, 검색 인덱싱 등과 같은 부가 가치 클라우드 서비스를 제공할 수 있는 권한을 명시적으로 부여합니다.

고객 키는 서비스 암호화를 기반으로 하며 암호화 키를 제공하고 제어할 수 있습니다. 그런 다음 Microsoft 365는 OST(온라인 서비스 약관)에 설명된 대로 이러한 키를 사용하여 미사용 데이터를 암호화합니다. 고객 키는 Microsoft 365에서 데이터를 암호화하고 암호 해독하는 데 사용하는 암호화 키를 제어하기 때문에 규정 준수 의무를 충족하는 데 도움이 됩니다.

고객 키는 클라우드 서비스 공급자와의 주요 준비를 지정하는 규정 준수 요구 사항을 충족하는 organization 기능을 향상시킵니다. 고객 키를 사용하면 애플리케이션 수준에서 미사용 Microsoft 365 데이터에 대한 루트 암호화 키를 제공하고 제어할 수 있습니다. 결과적으로 organization 키를 제어합니다.

하이브리드 배포를 사용하는 고객 키

고객 키는 클라우드의 미사용 데이터만 암호화합니다. 고객 키는 온-프레미스 사서함 및 파일을 보호하기 위해 작동하지 않습니다. BitLocker와 같은 다른 방법을 사용하여 온-프레미스 데이터를 암호화할 수 있습니다.

데이터 암호화 정책 정보

DEP(데이터 암호화 정책)는 암호화 계층 구조를 정의합니다. 이 계층 구조는 서비스에서 관리하는 각 키와 Microsoft에서 보호하는 가용성 키를 사용하여 데이터를 암호화하는 데 사용됩니다. PowerShell cmdlet을 사용하여 DEP를 만든 다음 해당 DEP를 할당하여 애플리케이션 데이터를 암호화합니다. 고객 키에서 지원하는 DEP에는 세 가지 유형이 있으며, 각 정책 유형은 서로 다른 cmdlet을 사용하고 다른 유형의 데이터에 대한 적용 범위를 제공합니다. 정의할 수 있는 DEP는 다음과 같습니다.

여러 Microsoft 365 워크로드에 대한 DEP 이러한 DEP는 테넌트 내의 모든 사용자에 대해 여러 Microsoft 365 워크로드에서 데이터를 암호화합니다. 이러한 워크로드는 다음과 같습니다.

  • 클라우드 PC Windows 365

  • Teams 채팅 메시지(1:1 채팅, 그룹 채팅, 모임 채팅 및 채널 대화)

  • Teams 미디어 메시지(이미지, 코드 조각, 비디오 메시지, 오디오 메시지, 위키 이미지)

  • Teams 스토리지에 저장된 Teams 통화 및 모임 녹음/녹화

  • Teams 채팅 알림

  • Cortana의 Teams 채팅 제안

  • Teams 상태 메시지

  • Microsoft 365 상호 작용

  • Exchange Online 대한 사용자 및 신호 정보

  • 사서함 DEP로 아직 암호화되지 않은 사서함 Exchange Online

  • Microsoft Purview Information Protection:

    • 데이터 파일 스키마, 규칙 패키지 및 중요한 데이터를 해시하는 데 사용되는 솔트 등 EDM(정확한 데이터 일치) 데이터입니다. EDM 및 Microsoft Teams의 경우 다중 워크로드 DEP는 DEP를 테넌트에 할당할 때부터 새 데이터를 암호화합니다. Exchange Online 고객 키는 모든 기존 데이터와 새 데이터를 암호화합니다.

    • 민감도 레이블에 대한 레이블 구성

다중 워크로드 DEP는 다음 유형의 데이터를 암호화하지 않습니다. 대신 Microsoft 365는 다른 유형의 암호화를 사용하여 이 데이터를 보호합니다.

  • SharePoint 및 OneDrive 데이터.
  • Microsoft Teams 파일 및 OneDrive 및 SharePoint에 저장된 일부 Teams 통화 및 모임 녹음/녹화는 SharePoint DEP를 사용하여 암호화됩니다.
  • 현재 고객 키에서 지원되지 않는 기타 Microsoft 365 워크로드(예: Viva Engage 및 Planner).
  • Teams 라이브 이벤트 데이터.

테넌트당 여러 DEP를 만들 수 있지만 한 번에 하나의 DEP만 할당할 수 있습니다. DEP를 할당하면 암호화가 자동으로 시작되지만 테넌트 크기에 따라 완료하는 데 다소 시간이 걸립니다.

Exchange Online 사서함에 대한 DEP 사서함 DEP는 Exchange Online 내의 개별 사서함을 보다 정확하게 제어할 수 있습니다. 사서함 DEP를 사용하여 UserMailbox, MailUser, Group, PublicFolder 및 공유 사서함과 같은 다양한 유형의 EXO 사서함에 저장된 데이터를 암호화합니다. 테넌트당 최대 50개의 활성 DEP를 가지고 개별 사서함에 해당 DEP를 할당할 수 있습니다. 여러 사서함에 하나의 DEP를 할당할 수 있습니다.

기본적으로 사서함은 Microsoft 관리형 키를 사용하여 암호화됩니다. 사서함에 고객 키 DEP를 할당하는 경우:

  • 다중 워크로드 DEP를 사용하여 사서함을 암호화하는 경우 사용자 또는 시스템 작업이 사서함 데이터에 액세스하는 한 서비스는 새 사서함 DEP를 사용하여 사서함을 다시 래프합니다.

  • 사서함이 Microsoft 관리형 키를 사용하여 이미 암호화된 경우 사용자 또는 시스템 작업이 사서함 데이터에 액세스하는 한 서비스는 새 사서함 DEP를 사용하여 사서함을 다시 래프합니다.

  • 사서함이 아직 기본 암호화를 사용하여 암호화되지 않은 경우 서비스는 사서함을 이동으로 표시합니다. 이동이 완료되면 암호화가 수행됩니다. 사서함 이동은 모든 Microsoft 365에 대해 설정된 우선 순위에 따라 제어됩니다. 자세한 내용은 Microsoft 365 서비스에서 요청 이동을 참조하세요. 사서함이 지정된 시간 내에 암호화되지 않은 경우 Microsoft에 문의하세요.

나중에 Office 365 고객 키 관리에 설명된 대로 DEP를 새로 고치거나 사서함에 다른 DEP를 할당할 수 있습니다. 각 사서함에는 DEP를 할당할 적절한 라이선스가 있어야 합니다. 라이선스에 대한 자세한 내용은 고객 키를 설정하기 전에 를 참조하세요.

사용자 사서함에 대한 라이선스 요구 사항을 충족하는 테넌트용 공유 사서함, 공용 폴더 사서함 및 Microsoft 365 그룹 사서함에 DEP를 할당할 수 있습니다. 고객 키 DEP를 할당하기 위해 사용자별 사서함이 아닌 경우 별도의 라이선스가 필요하지 않습니다.

개별 사서함에 할당하는 고객 키 DEP의 경우 서비스를 떠날 때 Microsoft에 특정 DEP 제거를 요청할 수 있습니다. 데이터 제거 프로세스 및 키 해지에 대한 자세한 내용은 키 해지 및 데이터 제거 경로 프로세스 시작을 참조하세요.

서비스 중단의 일부로 키에 대한 액세스를 취소하면 가용성 키가 삭제되어 데이터가 암호화 삭제됩니다. 암호화 삭제는 보안 및 규정 준수 의무를 모두 충족하는 데 중요한 데이터 관리의 위험을 완화합니다.

SharePoint 및 OneDrive용 DEP 이 DEP는 SPO에 저장된 Microsoft Teams 파일을 포함하여 SPO 및 OneDrive에 저장된 콘텐츠를 암호화하는 데 사용됩니다. 다중 지역 기능을 사용하는 경우 organization 대해 지역당 하나의 DEP를 만들 수 있습니다. 다중 지역 기능을 사용하지 않는 경우 테넌트당 하나의 DEP만 만들 수 있습니다. 고객 키 설정의 세부 정보를 참조하세요.

고객 키에서 사용하는 암호화 암호화

고객 키는 다음 그림과 같이 다양한 암호화 암호화를 사용하여 키를 암호화합니다.

여러 Microsoft 365 워크로드의 데이터를 암호화하는 DEP에 사용되는 키 계층 구조는 개별 Exchange Online 사서함의 DEP에 사용되는 계층 구조와 유사합니다. 유일한 차이점은 사서함 키가 해당 Microsoft 365 워크로드 키로 대체된다는 것입니다.

Exchange Online 키를 암호화하는 데 사용되는 암호화 암호화

Exchange Online 고객 키에 대한 암호화 암호화입니다.

SharePoint, OneDrive 및 Teams 파일의 키를 암호화하는 데 사용되는 암호화 암호화

SharePoint 고객 키에 대한 암호화 암호입니다.