Domande frequenti sulla crittografia a chiave doppia

È possibile usare le etichette DKE per proteggere i documenti usando le versioni desktop di Word, Excel, PowerPoint e Outlook in Windows. Per assicurarsi di usare una versione supportata delle app di Office, vedere le tabelle delle funzionalità e la riga DKE (Double Key Encryption).

Sì. L'uso può usare l'etichettatura di riservatezza predefinita con le app di Office. Per informazioni, vedere le tabelle delle funzionalità e la riga DKE (Double Key Encryption). Anche se per il momento è possibile usare il client di protezione delle informazioni per proteggere i documenti con crittografia a chiave doppia, questo metodo verrà deprecato in futuro.

Crittografia a chiave doppia crittografa i dati con due chiavi. La chiave di crittografia è sotto il controllo dell'utente e la seconda chiave viene archiviata in Microsoft Azure, consentendo di spostare i dati crittografati nel cloud. HYOK protegge il contenuto con una sola chiave e la chiave è sempre in locale.

È possibile condividere documenti crittografati a chiave doppia con gli utenti in un tenant separato purché questi utenti:

• Disporre dell'autorizzazione necessaria per accedere alla chiave nel servizio crittografia a chiave doppia.

• Disporre dell'autorizzazione necessaria per accedere alla chiave in Microsoft Azure.

La distribuzione della crittografia a chiave doppia non influisce sulla configurazione hyok esistente. È tuttavia consigliabile iniziare a usare crittografia a chiave doppia in parallelo con HYOK.

DKE non supporta questi ambienti perché il servizio richiede l'accesso a Microsoft Azure.

È possibile archiviare documenti crittografati a chiave doppia in locale o nel cloud. Nel cloud è possibile spostare contenuto crittografato in SharePoint Online e OneDrive for Business. Non è possibile visualizzare i documenti crittografati online in Office App Web.

Le etichette DKE vengono localizzate nelle stesse lingue di altre etichette di riservatezza in Microsoft Purview Information Protection. Double Key Encryption è disponibile in tutto il mondo.

No. Non è possibile aggiungere DKE a un'etichetta dopo la creazione. Al contrario, è necessario scegliere Usa crittografia a chiave doppia e specificare l'URL del servizio Crittografia a chiave doppia quando si crea l'etichetta.

Per istruzioni sull'implementazione (detta anche rotazione o reimpostazione della chiave) della chiave archivia in Azure, vedere Operazioni per la chiave del tenant di Azure Information Protection. Per informazioni sulla creazione di una nuova chiave per il servizio DKE, vedere Impostazioni del tenant e della chiave . Quando si crea una chiave, si configurano un nome e un GUID. Quindi, se si ruota una chiave, si manterrà il record precedente con il nome e il GUID, ma si aggiungerà un nuovo record con lo stesso nome ma guid diverso. La nuova chiave viene impostata come attiva in modo che l'API a chiave pubblica inizi a restituirla per la nuova crittografia. Entrambe le chiavi sono disponibili per la decrittografia in modo che sia possibile decrittografare nuovo contenuto e contenuto precedente.

Il diritto di visualizzare il contenuto protetto da DKE richiede agli utenti di eseguire l'autenticazione agli endpoint gestiti dall'organizzazione. Se gli utenti dell'organizzazione non possono visualizzare il contenuto protetto da DKE, esaminare la configurazione delle impostazioni di accesso alle chiavi .

• Prima della 2402: nessun supporto mTLS.

• Dopo la 2402: le app non supportano l'invio della certificazione client. Le app desktop inviano invece la richiesta con WINHTTP_NO_CLIENT_CERT_CONTEXT. Per altre informazioni, vedere SSL in App WinHTTP - Win32.