Office 365 安全性

Office 365 安全性

Office 365 是一项基于云的服务，旨在帮助满足组织对强大的安全性、可靠性和用户工作效率的需求。同样，它可以帮助您节省时间和金钱，并释放宝贵的资源。Office 365 将熟悉的 Microsoft Office 桌面套件与基于云的 Microsoft 下一代通信和协作服务版本集成在一起，利用 Internet 帮助用户从几乎任何地方提高工作效率。

将组织迁移到云服务时，必须能够信任服务提供商提供最重要、最敏感和最机密的数据。由于安全性对于业务成功至关重要，因此 Microsoft 在 Office 365 中内置了强大的策略、控件和系统，以帮助确保您的信息安全。Office 365 是根据 安全开发生命周期 的原则设计的，这是一个必需的 Microsoft 过程，将安全要求嵌入到开发的每个阶段。

您的 Office 365 数据属于您;这意味着您可以完全控制它。我们为您提供广泛的隐私控制和可见性，让您了解数据所在的位置和有权访问数据的人，以及服务的可用性和更改。如果您终止了对服务的订阅，则可以随身携带数据。默认情况下启用 Microsoft 托管的服务级别安全技术和策略，客户管理的控件使您能够自定义 Office 365 环境以满足组织的安全需求。Office 365 会持续更新以增强安全性。

安全身份

Office 365 使用 Azure Active Directory （Azure AD） 来管理用户并提供身份验证、身份管理和访问控制。Azure AD 功能包括一个基于云的目录数据存储区和一组核心标识服务，例如用户登录过程、身份验证服务和联合身份验证服务。这些标识服务可轻松与本地 Azure AD 部署集成，并完全支持第三方标识提供者。在设置和管理用户帐户时，可以从 Office 365 中的三种主要标识模型中进行选择：

• 云身份 
• 同步身份 
• 联合身份 

Office 365 使用从 Office 365 管理中心管理的多重身份验证来帮助提供额外的安全性。Office 365 提供以下 Azure 多重身份验证功能子集作为订阅的一部分：

• 能够为终端用户启用和强制实施多因素身份验证
• 使用移动应用程序（在线和一次性密码）作为第二个身份验证因素
• 使用电话呼叫作为第二个身份验证因素
• 使用短消息服务 （SMS） 消息作为第二个身份验证因素
• 非浏览器客户端（例如，Skype for Business 客户端软件）的应用程序密码
• 身份验证电话呼叫期间的默认 Microsoft 问候语

安全的基础架构

Office 365 使用纵深防御安全原则来防范内部和外部风险。Microsoft 足迹的规模和全球性质使我们能够使用策略和技术来防御很少有提供商或客户组织能与之匹敌的网络攻击。我们战略的基石是利用我们的全球影响力与世界各地的互联网提供商、公共和私人对等互连提供商以及私营公司合作，从而使我们在互联网上占有重要地位。这使 Microsoft 能够跨非常大的外围应用检测和防御攻击。

威胁管理

Office 365 的威胁管理策略涉及识别潜在威胁的意图、功能和成功利用漏洞的概率。用于防范此类漏洞利用的控制措施建立在行业安全标准和最佳实践之上。Office 365 通过 Exchange Online Protection 提供针对垃圾邮件、病毒和恶意软件的强大电子邮件保护。Office 365 还提供高级威胁防护 （ATP），这是一种电子邮件筛选服务，可针对特定类型的高级威胁提供额外的保护。

移动设备

如今，Office 365 用户需要随时随地使用各种设备进行访问。可以使用 Microsoft Intune 移动设备管理跨 Windows、Apple iOS 和 Android 平台管理和保护设备。您可以使用移动应用程序管理中的数据丢失防护控制来识别、监视和保护敏感信息。

事件响应

用于管理安全事件的 Office 365 过程符合美国国家标准与技术研究院 （NIST） 规定的方法。Microsoft 安全事件响应包括多个专门的团队，这些团队协同工作以预防、监视、检测和响应安全事件。Office 365 安全团队对安全事件采取相同的方法，其中包括 NIST 800-61 响应管理阶段：

• 准备 — 响应事件所需的组织准备，包括工具、流程、能力和就绪性。
• 检测分析—— 检测生产环境中的一个安全事件，并对所有事件进行分析，确认安全事件的真实性。
• 遏制、根除和修正 — 根据上一阶段完成的分析，遏制安全事件所需的适当行动。此阶段可能还需要进行其他分析，以完全修复安全事件。
• 事件后活动 — 在修复安全事件后执行的分析。审查在此过程中执行的操作操作，以确定是否需要在准备或检测和分析阶段进行任何更改。

物理安全

Office 365 客户数据存储在地理位置分散的 Microsoft 数据中心，并受深度防御安全层的保护。Microsoft 数据中心从头开始构建，旨在保护服务和数据免受自然灾害、环境威胁或未经授权的访问的损害。Office 365 专为实现高可用性而设计，在具有自动故障转移功能的异地冗余数据中心中运行。

数据中心访问每天 24 小时都受到工作职能的限制，并通过运动传感器、视频监控和安全漏洞警报进行监控。物理访问控制包括周界围栏、安全入口、本地安全官员、连续视频监控和实时通信网络。多个身份验证和安全流程（包括徽章和智能卡、生物识别扫描仪和双因素身份验证）可防止未经授权的进入。自动防火和灭火系统以及抗震支架机架可防止自然灾害。

数据加密

Office 365 使用服务端技术对静态和传输中的客户数据进行加密。对于静态客户数据，Office 365 使用卷级和文件级加密。对于传输中的客户数据，Office 365 对数据中心之间以及客户端与服务器之间的通信使用多种加密技术，例如传输层安全性 （TLS） 和 Internet 协议安全性 （IPsec）。Office 365 还包括客户管理的加密功能。存储在 Office 365 中的客户数据在所有配置中都受到保护。Microsoft 加密策略的验证及其实施通过多个第三方审核员进行独立验证。

维护多租户体系结构中的安全性

多租户是云计算的主要优势。这是指能够在众多客户之间同时共享通用基础架构，从而实现规模经济。Microsoft 不断努力确保 Office 365 的多租户体系结构支持企业级安全性、机密性、隐私、完整性和可用性标准。基于从可信计算和安全开发生命周期收集的重要经验，包括 Office 365 在内的 Microsoft 云服务在设计时假设所有租户都可能对所有其他租户怀有敌意。因此，在整个 Office 365 中实施了多种形式的保护，以防止客户损害 Office 365 服务或应用程序，或者未经授权访问其他租户或 Office 365 系统本身的信息。

Microsoft如何访问您的数据

Microsoft 自动执行大多数 Office 365 操作，同时有意限制自己对客户内容的访问。这使我们能够大规模管理 Office 365，并解决客户内容受到内部威胁的风险，例如恶意因素或 Microsoft 工程师的鱼叉式网络钓鱼。默认情况下，Microsoft 工程师没有长期管理权限，也没有对 Office 365 中的客户内容的长期访问权限。Microsoft 工程师可以在有限的时间内对客户的内容进行有限的、经过审核的、受保护的访问，但只有在服务操作需要时，并且只有在获得 Microsoft 高级管理层成员批准的情况下（对于获得客户密码箱功能许可的客户，也需要客户批准）。

您如何访问您的数据

除了 Microsoft 实施的控件外，Office 365 还允许您管理自己的数据，其管理方式与在本地环境中管理数据的方式大致相同。全局管理员有权访问管理中心中的所有功能，并且可以创建或编辑用户、执行管理任务以及将管理员角色分配给其他人。您还可以控制用户如何从特定设备或特定位置或两者的组合访问信息。