虽然微软已经确保所有客户数据都使用BitLocker和分布式密钥管理器(DKM)进行静态加密，但它在应用程序级别为OneDrive、SharePoint Online和Teams等工具添加的另一个安全层是“服务加密”。该层通过微软管理的密钥或客户密钥提供加密。前者是不言而喻的，而后者允许客户生成自己的加密密钥，管理它们并在密钥链中使用它们来加密内容。以前，微软365客户密钥仅适用于Exchange Online、SharePoint Online和OneDrive for Business，但现在它通常支持团队。

组织可以使用客户密钥制定自己的数据加密策略(DEP)，并使用它为所有租户用户强制加密某些内容。客户可以创建多个策略，但一次只能应用一个策略。可以使用客户密钥加密以下数据：

团队聊天消息(1: 1聊天、群聊、会议聊天和渠道对话)。

团队消息(图像、代码段、视频消息、音频消息、维基)图片)

团队电话和会议记录存储在团队存储中。

团队聊天通知，Cortana的团队聊天建议，团队状态消息。

交换在线用户和信号信息。

邮箱DEP加密尚未执行。已使用Exchange联机邮箱。

微软信息保护精确数据匹配(EDM)数据-(用于散列敏感数据的数据文件结构、规则包和盐)。

微软警告说，尽管在指定DEP后加密将自动进行，但请注意，根据组织中的数据量，此过程可能需要一些时间才能完成。对于“团队”和“微软信息保护”中的数据，在分配DEP后，将对所有数据启用加密，而历史数据将保持不变。该公司的目标是通过客户密钥为这些服务带来历史数据的自动加密。