Was ist die Double Key Encryption (DKE)?

  • Artikel

Gilt für: Microsoft Purview Double Key Encryption, Microsoft Purview, Azure Information Protection

Dienstbeschreibung für: Microsoft Purview

Mit der Double Key Encryption (DKE) können Sie Ihre hochsensiblen Daten schützen, um spezielle Anforderungen zu erfüllen. Mit DKE behalten Sie die vollständige Kontrolle über Ihre Verschlüsselungsschlüssel. Zum Schutz der Daten werden zwei Schlüssel verwendet. Ein Schlüssel in Ihrem Steuerelement und ein zweiter Schlüssel, den Sie sicher in Microsoft Azure speichern. Sie behalten die vollständige Kontrolle über einen Ihrer Schlüssel, indem Sie den Double Key Encryption-Dienst verwenden. Das Anzeigen von Daten, die mit der Doppelschlüsselverschlüsselung geschützt sind, erfordert Zugriff auf beide Schlüssel. Da Microsoft-Dienste nur auf den in Azure Key Vault gespeicherten Schlüssel zugreifen können, bleiben geschützte Daten für Microsoft unzugänglich, sodass Sie die volle Kontrolle über Den Datenschutz und die Sicherheit Ihrer Daten haben.

DKE unterstützt Sie bei der Einhaltung gesetzlicher Anforderungen in verschiedenen Vorschriften und Standards, wie der Datenschutz-Grundverordnung (DSGVO), dem Health Insurance Portability and Accountability Act (HIPAA), dem Gramm-Leach-Bliley Act (GLBA), dem russischen Datenlokalisierungsgesetz – Federal Law Nr. 242-FZ, dem australischen Federal Privacy Act 1988 und dem neuseeländischen Datenschutzgesetz von 1993.

Nachdem Sie den DKE-Dienst und Ihre Schlüssel eingerichtet haben, wenden Sie Schutz auf Ihre hochsensiblen Inhalte an, indem Sie Vertraulichkeitsbezeichnungen verwenden.

Unterstützte Bereitstellungsszenarien

DKE unterstützt verschiedene Konfigurationen, einschließlich cloudbasierter und lokaler Bereitstellungen. Diese Bereitstellungen tragen dazu bei, dass verschlüsselte Daten überall dort, wo Sie sie speichern, undurchsichtig bleiben.

Sie können den Double Key Encryption-Dienst, der zum Anfordern Ihres Schlüssels verwendet wird, an einem Speicherort Ihrer Wahl (lokaler Schlüsselverwaltungsserver oder in der Cloud) hosten. Sie verwalten den Dienst wie jede andere Anwendung. Mit der Doppelschlüsselverschlüsselung können Sie den Zugriff auf den Double Key Encryption-Dienst steuern. Sie können Ihre hochsensiblen Daten lokal speichern oder in die Cloud verschieben. Die Double Key Encryption bietet Ihnen die Möglichkeit, Ihre Daten und Schlüssel am gleichen geografischen Standort zu speichern.

Weitere Informationen zu den cloudbasierten Standardmandantenstammschlüsseln finden Sie unter Planen und Implementieren Ihres Azure Information Protection-Mandantenschlüssels.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Wann Ihr organization DKE einführen sollte

DKE ist nicht für jede organization und auch nicht für alle Ihre Daten geeignet. Angenommen, eine typische Organisationsdatenlandschaft hat die folgende Struktur:

  • Nicht sensible Daten (etwa 80 % der Daten): Die meisten Daten eines organization fallen in diese Kategorie. Es gibt derzeit keine Probleme oder Bedenken beim Verschieben dieser Daten in die Cloud. Das Verschieben solcher Daten in die Cloud kann von Vorteil sein, und die organization können die in die Cloud integrierte Sicherheit nutzen.

  • Vertraulich (etwa 15 % der Daten): Sensible Daten müssen geschützt werden. Die organization erwartet, dass der Clouddienstanbieter Sicherheit bereitstellt und gleichzeitig die Produktivität für diese Kategorie von Daten erhöht, damit er Compliance-Vorschriften erfüllen kann. Sie möchten sicherstellen, dass diese Daten mit Microsoft Purview Information Protection ordnungsgemäß bezeichnet werden und durch Zugriffssteuerungs- und Aufbewahrungs- und Überwachungsrichtlinien geschützt sind.

  • Hochsensibel (etwa 5 % der Daten): Dieses Set ist die Kronjuwelen der organization und muss streng geschützt werden. Die organization möchte nicht, dass jemand, einschließlich eines Clouddienstanbieters, Zugriff auf solche Daten hat. Diese Kategorie von Daten kann auch gesetzliche Anforderungen haben, um die Schlüssel in derselben geografischen Region wie die Daten zu haben. Die Schlüssel müssen möglicherweise auch unter strenger Obhut des organization. Diese Inhalte haben die höchste Klassifizierung in Ihrem organization ("Top Secret"), und der Zugriff ist auf nur wenige Personen beschränkt. Hochsensible Daten sind das, was böswillige Benutzer suchen. Der Verlust dieser Daten kann den Ruf der organization beschädigen und das Vertrauen zu ihren Kunden brechen.

Wie bereits erwähnt, ist die Double Key Encryption für Ihre vertraulichsten Daten vorgesehen, die strengsten Schutzanforderungen unterliegen. Sie sollten die richtigen Daten ermitteln, die mit dieser Lösung abgedeckt werden sollen, bevor Sie die Bereitstellung durchführen. In einigen Fällen müssen Sie möglicherweise Ihren Bereich einschränken und andere Lösungen verwenden. Für die meisten Ihrer Daten sollten Sie beispielsweise Microsoft Purview Information Protection mit von Microsoft verwalteten Schlüsseln oder BYOK (Bring Your Own Key) in Betracht ziehen. Diese Lösungen sind ausreichend für Dokumente, die keinem erweiterten Schutz und gesetzlichen Anforderungen unterliegen. Außerdem ermöglichen ihnen diese Lösungen die Nutzung der leistungsstärksten Microsoft 365-Dienste. Dienste, die Sie nicht mit DKE-verschlüsselten Inhalten verwenden können. Zum Beispiel:

  • Nachrichtenflussregeln, einschließlich Antischadsoftware und Spam, die Einblick in die Anlage erfordern
  • Microsoft Delve
  • eDiscovery
  • Inhaltssuche und -indizierung
  • Office Web-Apps einschließlich Funktionen für die gemeinsame Dokumenterstellung
  • Copilot

Externe Anwendungen oder Dienste, die nicht über das Microsoft Information Protection SDK in DKE integriert sind, können keine Aktionen für die verschlüsselten Daten ausführen.

DKE-verschlüsselte Daten sind für Microsoft 365-Dienste, einschließlich Copilot, nicht im Ruhezustand zugänglich. Während Sie Ihre DKE-verschlüsselten Daten in Office verwenden, ist Copilot weiterhin nicht zugänglich, und Sie können Copilot nicht in Apps verwenden, während Sie DKE-verschlüsselte Daten verwenden. Wenn Sie Ihren Mandanten jedoch so einrichten, dass "Die Verwendung verbundener Erfahrungen, die Inhalte analysieren" zugelassen wird, können verbundene Dienste, die Ihre Inhalte analysieren, auf Ihre Daten zugreifen, aber nur während Sie sie verwenden. Weitere Informationen zu dieser Datenschutzeinstellung finden Sie unter Richtlinieneinstellung für verbundene Erfahrungen, die Inhalte analysieren. Sie können die Einstellung für den gesamten Mandanten konfigurieren oder Benutzern erlauben, sie einzeln festzulegen.

Das Microsoft Information Protection SDK 1.7 und höher unterstützt die Verschlüsselung mit doppeltem Schlüssel. Anwendungen, die in unser SDK integriert werden, können über diese Daten mit ausreichenden Berechtigungen und Integrationen verfügen.

Verwenden Sie Microsoft Purview Information Protection Funktionen (Klassifizierung und Bezeichnung), um die meisten Ihrer vertraulichen Daten zu schützen, und verwenden Sie DKE nur für Ihre unternehmenskritischen Daten. Die Double Key Encryption ist für sensible Daten in stark regulierten Branchen wie Finanzdienstleistungen und Gesundheitswesen relevant.

Wenn Ihre Organisationen eine der folgenden Anforderungen erfüllen, können Sie DKE verwenden, um Ihre Inhalte zu schützen:

  • Sie möchten nicht, dass Microsoft selbst Zugriff auf geschützte Daten hat.
  • Sie haben gesetzliche Anforderungen, um Schlüssel innerhalb einer geografischen Grenze zu halten. Alle Schlüssel, die Sie für die Datenverschlüsselung und -entschlüsselung besitzen, werden in Ihrem Rechenzentrum verwaltet.

DKE-Verschlüsselungsworkflow

In diesem Abschnitt wird der Workflow in separate Schritte unterteilt, um zu veranschaulichen, wie zwei Schlüssel zum Schutz eines Office-Dokuments verwendet werden.

Schritt 1: Bootstrapping

Ein Diagramm zeigt Schritt 1 des Verschlüsselungsworkflows für DKE, Bootstrapping.

Der Microsoft Office-Client führt Startkonfigurationsaufgaben aus und sendet Anforderungen und Informationen an den Azure Information Protection-Dienst. Dieser Prozess wird auch als Bootstrapping bezeichnet. Zu den Aufgaben gehören das Autorisieren des Benutzers mithilfe von Microsoft Entra ID, das Herunterladen von Zertifikaten und Vorlagen usw. Bootstrappingaufgaben sind erstmalige Verbindungs- und Startaufgaben, die dem Benutzer Zugriff auf die Azure Rights Management-Verschlüsselungsrichtlinien gewähren.

Schritt 2: Sammeln und Zwischenspeichern des öffentlichen Azure Rights Management-Schlüssels

Diagramm: Schritt 2 des Verschlüsselungsworkflows für DKE: Erfassen und Zwischenspeichern des öffentlichen Azure-Schlüssels

Die Office-App ruft den öffentlichen Schlüssel aus dem Azure-Key Vault im Information Protection-Dienst basierend auf dem autorisierten Benutzer ab, der Microsoft Entra ID verwendet. Nach der Erfassung speichert der Client den Schlüssel standardmäßig 30 Tage lang zwischen. Nach der Zwischenspeicherung muss der Client nicht mehr zum Azure Rights Management-Dienst bootstrapieren, bis der Schlüssel abläuft. Als Administrator können Sie einen anderen Zwischenspeicherzeitraum für Azure Rights Management konfigurieren. Sie müssen einen Cachezeitraum für diesen Schlüssel festlegen oder den Standardwert von 30 Tagen akzeptieren. Ohne Cachezeitraum funktioniert die Offlineveröffentlichung nicht.

Schritt 3: Anfordern des öffentlichen DKE-Schlüssels

Ein Diagramm zeigt Schritt 3 des Verschlüsselungsworkflows für DKE, anfordern des öffentlichen DKE-Schlüssels.

Der Office-Client fordert Ihren anderen öffentlichen Schlüssel vom Double Key Encryption-Dienst basierend auf dem autorisierten Benutzer an, der Microsoft Entra ID verwendet.

Schritt 4: Erfassen und Zwischenspeichern des DKE-Schlüssels

Ein Diagramm zeigt Schritt 4 des Verschlüsselungsworkflows für DKE, Erfassen und Zwischenspeichern des öffentlichen DKE-Schlüssels.

Der Double Key Encryption-Dienst sendet diesen öffentlichen Schlüssel an den Office-Client. Der Client speichert den Schlüssel im Gerät zwischen, solange Sie ihn konfiguriert haben. Im Gegensatz zum Schlüssel aus Azure

  • Sie müssen keinen Cachezeitraum für den Schlüssel einrichten, der vom Double Key Encryption-Dienst gehostet wird.

  • Wenn Sie einen Cachezeitraum einrichten möchten, können Sie ihn beim Bereitstellen des Diensts für die Doppelschlüsselverschlüsselung oder nach der Bereitstellung einrichten.

Schritt 5: Schützen des Dokuments mit dem DKE-Schlüssel

Ein Diagramm zeigt Schritt 5 des Verschlüsselungsworkflows für DKE, um das Dokument mit dem DKE-Schlüssel zu schützen.

Der Microsoft Office-Client verschlüsselt den Teil der Metadaten , der den Zugriff auf den Inhalt mithilfe Ihres öffentlichen Schlüssels steuert, der vom Doppelschlüsselverschlüsselungsdienst abgerufen wurde.

Schritt 6: Schützen des Dokuments mit dem Azure-Schlüssel

Ein Diagramm zeigt Schritt 6 des Verschlüsselungsworkflows für DKE, um das Dokument mit dem Azure-Schlüssel zu schützen.

Der Microsoft Office-Client verschlüsselt den bereits verschlüsselten Teil der Dokumentmetadaten mit Ihrem öffentlichen Schlüssel aus Azure.

Die Daten sind jetzt mit beiden Schlüsseln geschützt.

System- und Lizenzierungsanforderungen für DKE

In diesem Abschnitt werden die Server- und Clientsystem- und Konfigurationsanforderungen erläutert, die erfüllt sein müssen, bevor Sie DKE erfolgreich in Ihrer Umgebung bereitstellen können.

Lizenzanforderungen für DKE

Die Double Key Encryption wird mit Microsoft 365 E5. Wenn Sie nicht über eine Microsoft 365 E5-Lizenz verfügen, können Sie sich für eine Testversion registrieren. Weitere Informationen zu diesen Lizenzen finden Sie im Microsoft 365-Lizenzierungsleitfaden für Sicherheit & Compliance.

Der Azure Rights Management-Dienst ist für DKE erforderlich.

DKE arbeitet mit Vertraulichkeitsbezeichnungen und erfordert eine Verschlüsselung mit Rights Management von Microsoft Purview Information Protection.

DKE-Bezeichnungsanforderungen für Office-Apps

Verwenden Sie in Office-Apps integrierte Vertraulichkeitsbezeichnungen, um DKE in Word, Excel, PowerPoint und Outlook zu unterstützen. Informationen zu unterstützten Versionen finden Sie in den Funktionstabellen und in der Zeile Double Key Encryption (DKE).For supported versions, see the capabilities tables and the row Double Key Encryption (DKE).

DKE auf Clientcomputern

Benutzer wenden DKE-Vertraulichkeitsbezeichnungen über diese Schnittstellen an.

  • Vertraulichkeitsbezeichnungen in Windows Office-Apps

  • Microsoft Purview Information Protection Dateibezeichnung in Windows Explorer

  • Microsoft Purview Information Protection PowerShell

  • Microsoft Purview Information Protection Scanner

Installieren Sie erforderliche Komponenten auf jedem Clientcomputer, auf dem Sie geschützte Dokumente schützen und nutzen möchten.

Unterstützte Umgebungen zum Speichern und Anzeigen von DKE-geschützten Inhalten

Unterstützte Anwendungen. Microsoft 365 Apps for Enterprise Clients unter Windows, einschließlich Word, Excel, PowerPoint und Outlook.

Unterstützung von Onlineinhalten. Sie können Dokumente und Dateien, die mit der Doppelschlüsselverschlüsselung geschützt sind, online in SharePoint und OneDrive speichern. Sie müssen Dokumente und Dateien mit DKE nach unterstützten Anwendungen bezeichnen und schützen, bevor Sie an diese Speicherorte hochladen. Sie können verschlüsselte Inhalte per E-Mail freigeben, verschlüsselte Dokumente und Dateien jedoch nicht online anzeigen. Stattdessen müssen Sie geschützte Inhalte mithilfe der unterstützten Desktopanwendungen und Clients auf Ihrem lokalen Computer anzeigen. Microsoft hat keinen Zugriff auf den Schlüssel, den Sie im DKE-Dienst steuern. Ohne beide Tasten kann Microsoft 365 den Inhalt nicht in einem Browser rendern. Daher funktionieren DKE-verschlüsselte Dokumente nicht mit Microsoft Office online. Sie können weiterhin verschlüsselte Dokumente auf SharePoint oder OneDrive hochladen. Ihre Dokumente sind jedoch verschlüsselte Blobs für SharePoint und OneDrive.

Bezeichnungsszenarien außerhalb von Office-Apps. Anwenden von DKE-Bezeichnungen außerhalb von Office-Apps mithilfe des Microsoft Purview Information Protection Dateibeschriftungsers in Explorer Rechtsklickoptionen, Microsoft Purview Information Protection PowerShell-Bezeichnungs-Cmdlets oder der Microsoft Purview Information Protection Scanner.

Szenarien nur Verschlüsselung und Nicht weiterleiten. Nur verschlüsseln und Nicht weiterleiten werden mit DKE nicht unterstützt.

Verwandte Inhalte