OneDrive 如何保護您在雲端中的資料

您可控制您的資料。 當你把資料放到 OneDrive 雲端儲存時，你仍然是這些資料的擁有者。 欲了解更多關於資料所有權的資訊，請參閱 Office 365 隱私設計。

請參閱此訓練課程，以了解可用來保護檔案、相片和資料的 OneDrive 相關功能：防護、保護與還原 OneDrive

如何保護您的資料

以下是某些您可執行的作業，以在 OneDrive 協助保護您的檔案：

• 建立強密碼。檢查你的密碼強度。
• 在您的 Microsoft 帳戶中新增安全性資訊。 您可以新增電話號碼、備用電子郵件地址及安全性問題和解答等資訊。 這樣一來，如果您不小心忘記密碼，或是您的帳戶遭駭客入侵，我們就可以用安全性資訊來驗證您的身分識別，幫您拿回帳戶存取權。 請前往 安全資訊頁面。
• 使用雙重要素驗證。 這個方法會要求您在每次登入不受信任的裝置時，必須輸入額外的安全性代碼，以保護您的帳戶安全。 第二個要素可透過撥打電話、簡訊或應用程式來進行。 欲了解更多關於兩步驟驗證的資訊，請參閱 「如何使用 Microsoft 帳戶使用兩步驟驗證」。
• 啟用行動裝置上的加密。 如果您有 OneDrive 行動裝置應用程式，建議您啟用 iOS 或 Android 裝置上的加密。 這可在您的行動裝置遺失、遭竊或有人取得該裝置的存取權時，協助保護您的 OneDrive 檔案。
• 訂閱 Microsoft 365。 Microsoft 365 訂閱能讓你獲得 進階的病毒與 網路犯罪防護，並能從惡意攻擊中恢復檔案。

OneDrive 保護您資料的方式

Microsoft 工程師使用需要雙因素驗證的 Windows PowerShell 主控台來管理 OneDrive。 我們透過執行工作流程來執行日常工作，因此可以快速回應新的情況。 沒有工程師可以持續存取該服務。 當工程師需要存取時，他們必須要求它。 這時會檢查資格，而且如果工程師存取獲得核准，也只會持續一段有限時間。

此外，OneDrive 與 Office 365 在系統、處理序及人員上花費許多心思，以降低個人資料外洩的可能性，以及在資料外洩發生時進行快速偵測，並減輕其造成的傷害後果。 我們在此空間的一些投資包括：

存取控制系統：OneDrive 和 Office 365 會維持「零獨立存取」原則，即表示工程師除非是為了回應需要提高存取權限的特定事件而明確獲授與該服務的存取，否則是無權存取服務。 每當授與存取權時，都會根據最低權限原則完成：針對特定要求授與的權限，僅允許為該要求提供服務所需的最基本動作。 為了這麼做，OneDrive 和 Office 365 會維持「提高權限角色」之間的嚴格分隔，每個角色只允許採取某些預先定義的動作。 「對客戶資料的存取」角色與其他角色不同，這些角色更常用來管理服務，且在核准前會受到最詳盡的檢查。 結合這些存取控制投資，可大幅降低 OneDrive 或 Office 365 工程師不當存取客戶資料的可能性。

安全監控系統與自動化：OneDrive 與 Office 365 維護著穩健且即時的安全監控系統。 除了其他問題外，這些系統還會針對嘗試非法存取客戶資料，或試圖將資料從我們的服務非法傳輸而發出警示。 與上述的存取控制重點相關，我們的安全性監視系統還會維持所提出之提高權限要求的詳細記錄，以及針對指定提高權限要求所採取的動作。 OneDrive 和 Office 365 也維持自動解決方案投資，其可自動因應偵測到的問題採取動作來緩解威脅，還有專用的團隊以回應無法自動解決的警示。 為了驗證我們的安全性監視系統，OneDrive 和 Office 365 會定期進行紅隊演練，內部滲透測試團隊會在其中模擬攻擊者在即時環境中的行為。 這些練習可定期改善我們的安全性監視和回應功能。

人員與流程：除了上述自動化功能外，OneDrive 與 Office 365 維護流程與團隊，負責教育更廣泛的組織隱私與事件管理流程，並在資料外洩時執行這些流程。 例如，會維持詳細的隱私權外洩的標準作業程序 (SOP)，並在整個組織中與團隊共用。 此 SOP 詳細說明 OneDrive 和 Office 365 中個別團隊，以及集中式安全性事件回應團隊的角色與責任。 這些會涵蓋團隊需要執行的動作以改善自己的安全性態勢 (進行安全性檢閱、與中央安全性監視系統整合和其他最佳作法)，以及團隊在實際安全性缺口發生時需要執行的動作 (快速升級至事件回應、維護並提供可用來加速回應處理序的特定資料來源)。 此外，還會定期訓練團隊的資料分類，以及對個人資料的正確處理和儲存程序。

主要重點就是 OneDrive 與 Office 365 對消費者和企業計劃花盡心思，以降低個人資料外洩對客戶影響的可能性與後果。 如果個人資料外洩真的發生了，我們會致力於在確認資料外洩後立即快速通知客戶。 

傳輸中和待用中保護

傳輸中保護

當資料從用戶端傳輸至服務，以及在資料中心之間傳輸時，會使用傳輸層安全性 (TLS) 加密來保護它。 我們只允許安全存取。 我們不會允許透過 HTTP 進行已驗證的連線，但改為重新導向至 HTTPS。

待用中保護

實體保護：只有少數重要人員可以存取資料中心。 其身分識別是使用多重要素驗證來驗證，包括智慧卡和生物特徵辨識。 有內部部署安全主管、動作感應器，以及視訊監視。 入侵偵測警示可監控異常活動。

網路保護：網路和身分識別與 Microsoft 公司網路隔離。 防火牆會限制來自未經授權位置的流量進入環境中。

應用程式安全性：建置功能的工程師依循安全性開發生命週期。 自動與手動分析可協助識別可能的弱點。 Microsoft 安全回應中心協助分流接收的漏洞報告並評估緩解措施。 透過 Microsoft 雲端漏洞懸賞條款，全球各地的人們可以透過舉報漏洞來賺錢。

內容保護：每個檔案會以唯一的 AES256 金鑰於待用中進行加密。 這些唯一金鑰會使用儲存在 Azure Key Vault 中的一組主要金鑰進行加密。

高可用性，永遠可以復原

我們的資料中心於區域內進行異地分散，並可容錯。 資料會鏡像到至少兩個不同的 Azure 區域，它們彼此間至少有數百哩的距離，讓我們能夠減輕區域內自然災害或遺失的影響。

持續驗證

我們會持續監視資料中心，讓它們的狀況保持良好且安全。 這從清查開始。 清查代理程式會執行每部電腦的狀態擷取。

清查後，我們可以監視並補救電腦的健康情況。 持續部署可確保每部電腦接收修補程式、更新的防毒程式簽章，以及儲存的已知良好設定。 部署邏輯確保我們一次只能修補或替換一定百分比的機器。

Microsoft 內部的 Microsoft 365「紅隊」由入侵專家組成。 他們尋找任何獲得未經授權存取的機會。 「藍隊」由防禦工程師組成，其專注於預防、偵測與復原。 他們會建置入侵偵測及回應技術。 想掌握Microsoft資安團隊的學習成果，請參閱 Security Office 365 (部落格) 。

其他 OneDrive 安全性功能

作為 雲端儲存 服務，OneDrive 還有許多其他安全功能。 包括：

• 下載時對已知威脅進行病毒掃描 - Windows Defender 反惡意程式引擎會在下載時掃描文件，以尋找符合 AV 簽章的內容 (每小時更新)。
• 可疑的活動監視 - 若要防止對您帳戶的未經授權存取，OneDrive 監視並封鎖可疑的登入嘗試。 此外，如果我們偵測到異常活動，會傳送電子郵件通知給您 (例如嘗試從新裝置或位置進行登入)。
• 勒索軟體偵測與復原 ——作為 Microsoft 365 訂閱用戶，若 OneDrive 偵測到勒索軟體或惡意攻擊，您將收到通知。 你可以輕鬆將檔案恢復到受影響前的某個時間點，也就是攻擊後最多 30 天。 您也可以在惡意攻擊或其他類型的資料遺失後最多 30 天內 (例如檔案損毀或意外刪除和編輯)，還原整個 OneDrive。
• 所有檔案類型的版本歷程記錄 - 在不想要的編輯或意外刪除的情況下，您可以從 OneDrive 資源回收筒還原刪除的檔案，或還原 OneDrive 中舊版的檔案。
• 密碼保護 & 過期分享連結 ——作為 Microsoft 365 訂閱者，您可以透過要求輸入密碼或設定分享連結的有效期限來保護您的共享檔案。
• 大量檔案刪除通知與復原 ——如果您不小心或故意刪除了大量 OneDrive 雲端備份中的檔案，我們會提醒您並提供恢復這些檔案的步驟。

個人保存庫

OneDrive 個人保險庫 是 OneDrive 中的一個受保護區域，只有透過強驗證方法或第二階段的身份驗證（如指紋、臉部、密碼，或透過電子郵件或簡訊發送的驗證碼）才能進入。¹ Personal Vault 中鎖定的檔案有額外的安全層，能在有人入侵你的帳號或裝置時保持更安全。 個人保存庫可在電腦、OneDrive.com，以及 OneDrive 行動應用程式上使用，同時也包含下列功能：

• 直接掃描 Personal Vault - 你可以使用 OneDrive 行動應用程式直接拍攝或錄影，將影片放進 Personal Vault 中，避免它們進入裝置中較不安全的區域，例如相機膠卷。² 您也可以直接掃描重要的旅遊、身分證、車輛、房屋及保險文件到您的個人保險庫。 之後無論您身在何處，都可以透過您的裝置存取這些相片和文件。
• BitLocker 加密 - 在 Windows 10 PC 上，OneDrive 會同步處理您的個人保存庫檔案到您本機硬碟的 BitLocker 加密區域。
• 自動鎖定 - 個人保存庫會在一段時間不活動之後，自動在您的電腦、裝置或線上重新鎖定。 一旦鎖定，你正在使用的檔案也會被鎖定，且需要重新驗證才能存取。³

有了這些功能，即使 Windows 10 電腦或行動裝置遺失、遭竊或有人取得存取權，上述措施有助於保護鎖定的個人保存庫檔案。

1 ^臉部與指紋驗證需要專用硬體，包括支援 Windows Hello 的裝置、指紋辨識器、照明紅外線感測器，或其他生物辨識感測器及具備功能裝置的裝置。
² Android 和 iOS 上的 OneDrive 應用程式需要 Android 6.0 或以上版本，或 iOS 12.0 和以上版本。
³ 自動鎖定間隔因裝置而異，使用者可自行設定。