Microsoft微软公司的数据保留和销毁之实践大全

Microsoft 具有适用于 Microsoft 365 的数据销毁处理标准策略，该策略指定删除后客户数据的保留时间。 通常有两种销毁客户数据的情况：

• 主动销毁：租户具有活动订阅，用户或管理员删除数据，或管理员删除用户。

• 被动删除：租户订阅结束。

数据保留

对于每个删除方案，下表按数据类别和分类显示了最长数据保留期：

数据类别数据分类说明示例保留期客户数据客户内容由管理员和用户直接提供/创建的内容 包括使用 Microsoft 365 中的服务时在 Microsoft 数据中心创建和存储的所有文本、声音、视频、图像文件和软件允许用户创作数据的最常用的 Microsoft 365 应用程序示例包括 Word、Excel、PowerPoint、Outlook 和 OneNote 客户内容还包括客户拥有/提供的机密 (密码、证书、加密密钥、存储密钥)活动删除方案： 最多 30 天 被动删除方案： 最多 180 天客户数据最终用户身份信息 (EUII)标识 或 可用于标识 Microsoft 服务用户的数据。 EUII 不包含客户内容DOMAIN\UserName) (用户名或显示名称 用户主体名称 (name@domain) 特定于用户的 IP 地址活动删除方案： 最多 180 天 (租户管理员操作) 被动删除方案： 最多 180 天个人数据 (数据不包括在客户数据)最终用户假名标识符 (EUPI)由 Microsoft 创建的与 Microsoft 服务的用户绑定的标识符。 当与其他信息（如映射表）结合使用时，EUPI 会标识最终用户 EUPI 不包含客户上传或创建的信息用户 GUID、PUID 或 SID 会话 ID活动删除方案： 最多 30 天 被动删除方案： 最多 180 天

订阅保留期

在活动订阅的期限内，订阅者可以访问、提取或删除存储在 Microsoft 365 中的客户数据。 如果付费订阅结束或终止，Microsoft 会将 Microsoft 365 中存储的客户数据保留 90 天，使订阅者能够提取数据。 90 天保留期结束后，Microsoft 将禁用帐户并删除客户数据。 在订阅到期或终止 Microsoft 365 后 180 天内，Microsoft 将禁用该帐户，并从帐户中删除所有客户数据。 任何数据超过最大保留期后，将在商业上不可恢复。

对于免费试用版，你的帐户在大多数国家和地区将进入 30 天的宽限期状态。 在此宽限期内，你可以购买 Microsoft 365。 如果决定不购买 Microsoft 365，可取消试用或等待宽限期到期，届时系统将会删除你的试用帐户信息和数据。

Microsoft 365 中的数据不可变性

法规合规性、内部治理要求或诉讼风险要求组织以可发现的形式保留电子邮件和关联数据。 系统中的所有数据都必须可发现，并且不能销毁或更改这些数据。 行业标准术语是“不可变性”。

不可变性的传统方法通常通过将电子邮件移动到单独的只读存储位置来有效。 虽然此类系统用于保留邮箱项以供发现，但它们通常通过从自定义日常工作流中删除保留的项来影响用户体验。 对于 IT 专业人员来说，这种不可变性方法需要部署和持续维护单独的服务器和存储基础结构。 发现是使用邮件系统外部的工具执行的，包括关联的部署和维护成本。

通过 Microsoft 365 及其服务中存档的就地保留和保留策略功能，可以保留和保留许多传入、内部和传出数据类。 这包括：

• 入站和出站电子邮件通信

• 电子邮件表单或共享联机文档中包含的书籍和记录

• 会议请求

• 传真

• 即时消息

• 联机会议期间共享的文档

• 语音留言

此外，Microsoft 还开发了附加功能，通过与第三方数据捕获和管理解决方案集成，允许从其他源存 档数据 。 导入第三方数据后，可以将 Microsoft Purview 功能应用于数据，包括：

• 诉讼保留

• 就地电子数据展示和保留

• 合规性搜索

• 就地存档

• 邮箱审核

• 保留策略

例如，当邮箱置于诉讼保留上时，将保留第三方数据。 可以使用电子数据展示或合规性搜索In-Place搜索第三方数据。 或者，可以像对 Microsoft 数据一样，将存档和保留策略应用到第三方数据。 在 Microsoft 365 中存档第三方数据有助于组织遵守政府和法规政策。

Microsoft 365 中的存档提供美国证券交易委员会 (SEC) 规则 17a-4 兼容的存储。 Microsoft 365 使用就地保留策略和保留策略（包括保留锁）保留以不可重写、不可擦除格式收集的所有数据的永久文件。

具体来说：

• 使用上面所述的保留策略存储的所有记录都保留在专用存储区域中，超出了普通用户的权限范围。 只有经过授权的用户才能访问和搜索这些记录，但无法更改或擦除这些记录。

• 每个项的元数据包括用于计算保留期的时间戳。 收到或创建新项时应用时间戳，并且无法从元数据中修改或删除时间戳。

• Microsoft 365 中的存档允许用户合并不同的保留策略和保留操作，以创建精细的保留策略。 这些策略定义保留的项的类型或位置以及保存的持续时间。

• 保留锁功能允许用户选择是否将策略设置为限制性策略。 限制性策略禁止任何人能够删除、禁用或更改保留策略。 这意味着，一旦启用了保留锁，就不能禁用它，并且没有任何机制可以覆盖、修改、擦除或删除保留策略收集的现有保管人中的任何数据。 此外，保留锁设置的保留期可能不会缩短或减少。 但是，如果法律要求继续保留存储的数据，则可能会延长该期限，如上所述。 保留锁可确保任何人都（甚至不是管理员或具有特定控制访问权限的管理员）可以更改设置或覆盖或擦除已存储的数据，从而使 Microsoft 365 中的存档符合 2003 年发布的 SEC 规则 17a-4 中所述的指南。

Exchange Online Microsoft 365 中的数据销毁和删除

在Exchange Online中，有两种类型的数据销毁删除：软销毁删除和硬销毁删除。 这适用于邮箱中的邮箱和项目。

软删除和硬删除邮箱

软删除的用户邮箱是一个邮箱，该邮箱已使用Microsoft 365 管理中心或Remove-Mailbox cmdlet 删除，并且已在 Azure Active Directory 回收站中运行不到 30 天。 邮箱可以通过以下任一方式软删除：

• 用户邮箱关联的 Azure Active Directory 用户帐户在用户对象超出范围或回收站容器) (软删除。

• 用户邮箱关联的 Azure Active Directory 用户帐户已被硬删除，但Exchange Online邮箱处于诉讼保留或电子数据展示保留状态。

• 用户邮箱关联的 Azure Active Directory 用户帐户在过去 30 天内已清除;这是最大保留期Exchange Online会使邮箱在永久清除和无法恢复之前保持软删除状态。

硬删除的用户邮箱是已通过以下方式之一删除的邮箱：

• 用户邮箱已被软删除超过 30 天，并且关联的 Azure Active Directory 用户已被硬删除。 所有邮箱内容（如电子邮件、联系人和文件）将被永久删除。

• 与用户邮箱关联的用户帐户已从 Azure Active Directory 中硬删除。 现在，用户邮箱在Exchange Online中软删除，并保持软删除状态 30 天。 如果在 30 天期间，新的 Azure Active Directory 用户从具有相同 ExchangeGuid 或 ArchiveGuid 的原始收件人帐户同步，并且该新帐户已获得Exchange Online许可，这将导致对原始用户邮箱进行硬删除。 所有邮箱内容（如电子邮件、联系人和文件）将被永久删除。

• 使用 Remove-Mailbox -PermanentlyDelete 删除软删除的邮箱。

上述删除方案假定用户邮箱不处于任何保留状态，如诉讼保留或电子数据展示保留。 如果邮箱上存在任何类型的保留，则无法删除邮箱。 对于所有邮件用户收件人类型，将忽略任何 保留 设置，并且不会影响硬删除或软删除。

软删除和硬删除的项

当用户删除邮箱项 (（如电子邮件、联系人、日历约会或任务) ）时，该项目将移动到“可恢复邮件”文件夹，并移动到名为“Deletions”的子文件夹中。 这称为软删除。 已删除的项目保留在" 删除"文件夹中的时间取决于为邮箱设置的"已删除项目保留期限"。 默认情况下，Exchange Online邮箱会将已删除的项保留 14 天，但Exchange Online管理员可以更改此设置，将该期限增加到最多 30 天。 (有关增加Exchange Online邮箱的已删除项目保留期的详细步骤，请参阅更改Exchange Online邮箱永久删除的项目保留的时间。) 用户可以在已删除项目的保留时间过期之前恢复或清除已删除的项目。 为此，他们使用 Microsoft Outlook 或 Outlook 网页版 中的“恢复已删除的项”功能。

如果用户在 Outlook 或 Outlook 网页版 中使用“恢复已删除项”功能清除已删除的项，则此项称为硬删除。 在Exchange Online中，在创建新邮箱时默认启用单项恢复，因此管理员仍可在删除的项目保留期过期之前恢复硬删除的项目。 此外，如果单个项目恢复已启用，那么当用户或进程更改邮件时，原始项目的副本也会予以保留。

页零

Zeroing 是一种安全机制，可对已删除的数据写入零或二进制模式，以便更难以恢复已删除的数据。 在Exchange Online中，邮箱数据库使用页面作为存储单元，并实现名为“页零”的覆盖过程。 默认情况下启用页零，客户或 Microsoft 无法禁用它。 页面零对操作记录在事务日志文件中，以便以类似的方式将给定数据库的所有副本以页为零。 将活动数据库副本上的页面归零会导致该页面计在数据库的被动副本上。

页面零对硬删除记录写入二进制模式。 页面零化模式特定于可扩展存储引擎 (ESE) 操作 (服务器在Exchange Online) 中使用的内部数据库引擎的名称，对于运行时操作与后台数据库维护操作不同。 (后台数据库维护是一个持续检查和扫描每个数据库的过程。它的主要功能是校验和数据库页面，但它也处理清理空间，并将未因应用商店崩溃而归零的记录和页面归零。)

下表列出对应于特定运行时操作的填充模式。

ESE 运行时操作填充模式替换R记录/长数值删除D释放的页空间H

下表列出对应于在 ESE 后台数据库维护期间进行的特定操作的填充模式。

ESE 后台数据库维护操作填充模式记录删除D长数值删除L部分使用的页的释放页空间Z未使用的页的释放页空间U

页零化过程

页面零化过程取决于删除方案。 下表讨论数据库删除方案以及页清零功能的执行时间。

数据库删除方案对数据库数据清零的 ESE 过程和时间范围项会根据已删除的项目保留期过期。一个异步线程对删除的数据写入二进制模式。 此操作在数毫秒的记录删除过程中发生。 如果应用商店进程在异步零点工作仍未完成时崩溃， (或由于版本存储增长) 而取消版本存储清理，则在后台数据库维护处理数据库的该部分时完成零。视图方案：Outlook/Outlook 网页版 文件夹视图中的项过期 (例如对话视图)当后台数据库维护处理该部分数据库时会进行数据清零。移动邮箱/删除邮箱方案：已删除邮箱 (已删除的源邮箱)当后台数据库维护处理该部分数据库时会进行数据清零。

没有页面零的邮箱数据类型

以下邮箱数据类型没有页零的预配：

• 邮箱数据库事务日志 - 当事务日志作为正常操作的一部分被删除时，文件系统中存储已删除日志文件 () 的块没有零。 文件系统可能会快速重新利用新创建的日志的可用空间，但不能保证会发生这种情况。

• 内容索引目录文件 - Exchange Online使用 Search Foundation (也称为 FAST) 搜索索引功能。 搜索索引目录由与邮箱数据库文件存储在同一卷上的几十个文件组成。 当从邮箱数据库中硬删除邮件时，不会立即删除搜索编录中的关联内容。 当 Search Foundation 将许多小型目录文件的阴影 (或主合并) 到单个较大的文件时，将发生内容删除。 主合并完成后，会删除较小的编录文件。 没有存储已删除目录文件的块为零的进程。

连续复制

连续复制 (也称为日志传送和重播) 是Exchange Online中的技术，用于创建和维护每个邮箱数据库的副本，以提供高可用性、站点复原能力和灾难恢复。 持续复制使用Exchange Server数据库故障恢复支持来提供技术，用于对邮箱数据库的一个或多个副本执行异步更新。 每个邮箱服务器记录活动数据库 (上进行的数据库更新，例如，用户电子邮件活动) 作为 1-MB 事务日志文件的顺序集中的日志记录。 这组文件称为日志流。 在连续复制中，日志流还用于异步更新数据库的一个或多个副本。 这可以通过将日志传输到包含活动数据库的被动副本的位置，然后将其重播到被动数据库副本中来实现。 如果对数据库的被动副本重播活动数据库中的所有日志，则这两个数据库是等效的，并且通过此过程，对活动数据库所做的任何物理更改都将复制到该数据库的所有被动副本。

从邮箱数据库中删除的任何内容（无论是邮箱项还是整个邮箱，以及软删除还是硬删除）都表示对活动数据库的物理更改。 页零也需要对活动数据库进行物理更改。 这些更改通过称为连续复制的过程写入日志文件，当这些日志文件针对数据库的被动副本重播时，对这些被动数据库进行相同的物理更改。

Microsoft 365 中的 SharePoint Online 数据销毁

SharePoint Online 将对象存储为应用程序数据库中的抽象代码。 当用户将文件上传到 SharePoint Online 时，该文件将拆解并转换为应用程序代码，并存储在多个数据库的多个表中。 在 SharePoint Online 中，客户上传的所有内容都分为区块、加密 (可能具有多个 AES 256 位密钥) ，并且分布在数据中心。 有关分块和加密过程的特定详细信息，请参阅 Microsoft 云中的加密。

在 SharePoint Online 中，从原始位置删除项目后，项目将保留 93 天。 除非有人从那里删除回收站或清空回收站，否则他们将一直留在站点回收站中。 在这种情况下，这些项目将转到网站集回收站，在 93 天的剩余时间内，这些项目将保留在那里。 有关还原已删除项的信息，请参阅 SharePoint 网站回收站中的还原项目 ，以及 从网站集回收站还原已删除的项目。 SharePoint Online 中无法配置回收站保留时间。

删除网站集时，还将删除集合中的网站层次结构及其内的所有内容：

• 文档和文档库

• 列表和列表数据

• 站点配置设置

• 与网站或其子网站相关的角色和安全信息

• 顶级网站的子网站、内容和用户信息

如果意外删除网站集，则可由全局管理员或 SharePoint 管理员使用 SharePoint 管理中心还原该网站集。

已删除的网站集将保留 93 天。 93天后，将永久删除网站及其所有内容和设置，包括列表、库、页面和所有子网站。

当用户从网站集回收站中清除已删除的项、保留期和备份期过期或管理员使用 Remove-SPODeletedSite cmdlet 永久删除网站集时，将发生硬删除。 当用户硬删除 (永久删除或从 SharePoint Online 中清除) 内容时，也会删除已删除区块的所有加密密钥。 以前存储已删除区块的磁盘上的块标记为未使用且可用于重复使用。

数据销毁概述

Microsoft 具有与数据 (DBD) 处理和管理 Microsoft 数据中心中的 DBD 的指南、策略、安全要求和过程。

DBD 是能够存储客户或专有 Microsoft 数据的任何存储设备：

• 硬盘驱动器 (HDD)

• 固态硬盘 (SSD)

• USB 驱动器

• IO 加速器卡

• SD/Compact Flash 卡

• HSM 卡

• PCIe SSD 卡

• NVDIMM (非易失性双行内存模块)

在 Microsoft 数据中心内使用的故障 DBD 在数据中心园区内进行审核和销毁。 根据任何适用的规则、法律和法规，评估从服务中停用的任何资产，以与其安全/隐私要求和资产分类相一样的方式处置。

Microsoft 对包含数据的 DBD 和资产使用三类数据删除：

• Clear：与逻辑技术相关，可帮助清理所有用户可地址存储位置的数据，以防范简单的非安全数据恢复技术。 这些技术通常通过标准读取和写入命令应用到存储设备，例如使用新值重写，或者使用菜单选项将设备重置为出厂状态 (其中不支持重写) 。

• Purge： 与物理或逻辑技术相关，这些技术使用一些技术使目标数据恢复无法实现。

• 销毁：使用一些现代技术使目标数据恢复无法实现，并随后导致无法使用该媒体存储数据。

清除和销毁清理是使用安全组批准的工具和流程执行的。 记录将保留对资产的清除和销毁。 对于仅对磁介质 (，未完成清除操作的设备成功取消对) (的解压，为基于切分的板（如 SSD) ）使用多引脚连接 (，或销毁。

Clear

如果已停用的资产经过评估并被视为不可访问，则已批准的数据清除解决方案会清除该资产。 Microsoft 数据中心使用 NIST SP-800-88 明确准则。

清除

根据现场配置和设备可用性，在销毁之前会清除某些设备。 清除设备包括经 NSA 批准的用于磁媒体的反gaussers和用于固态硬盘的多引脚功能设备。 Microsoft 数据中心使用 NIST SP-800-88 清除准则。

数据销毁

如果评估并认为已停用的资产可访问，则使用符合 NIST SP-800-88 准则的已批准标准操作程序现场销毁该资产。 这些 DBD 在物理和逻辑上受到跟踪，以通过最终处置保持锁链。

每个 Microsoft 数据中心都使用一个现场进程来对故障和停用的 DBD 进行删除和处置。 在此过程中，Microsoft 人员确保在整个处置过程中保持安全链。