Вопросы и ответы: Шифрование с двойным ключом

Вы можете использовать метки DKE для защиты документов с помощью классических версий Word, Excel, PowerPoint и Outlook в Windows. Сведения о том, что вы используете поддерживаемую версию приложений Office, см. в таблицах возможностей и строке Шифрование двойного ключа (DKE).

Конечно! В приложении Office можно использовать встроенные метки конфиденциальности. Дополнительные сведения см. в таблицах возможностей и строке Шифрование двойного ключа (DKE). Хотя сейчас вы можете использовать клиент защиты информации для защиты документов с помощью шифрования двойного ключа, в будущем этот метод будет нерекомендуем.

Шифрование с двойным ключом шифрует данные с помощью двух ключей. Ключ шифрования находится в вашем элементе управления, а второй ключ хранится в Microsoft Azure, что позволяет перемещать зашифрованные данные в облако. HYOK защищает содержимое только одним ключом, и ключ всегда находится в локальной среде.

Вы можете предоставить пользователям доступ к документам с шифрованием с двойным ключом в отдельном клиенте при условии, что эти пользователи:

• У вас есть необходимое разрешение на доступ к ключу в службе шифрования двойных ключей.

• Получите необходимое разрешение на доступ к ключу в Microsoft Azure.

Развертывание шифрования с двойным ключом не влияет на существующую настройку HYOK. Однако рекомендуется использовать шифрование двойного ключа параллельно с HYOK.

DKE не поддерживает эти среды, так как службе требуется доступ к Microsoft Azure.

Документы, зашифрованные с двойным ключом, можно хранить локально или в облаке. В облаке можно переместить зашифрованное содержимое в SharePoint Online и OneDrive для бизнеса. Вы не можете просматривать зашифрованные документы в Интернете в Office веб-приложения.

Метки DKE локализуются на те же языки, что и другие метки конфиденциальности в Защита информации Microsoft Purview. Шифрование с двойным ключом доступно по всему миру.

Нет. Вы не можете добавить DKE в метку после ее создания. Вместо этого необходимо выбрать Использовать шифрование с двойным ключом и указать URL-адрес службы шифрования двойных ключей при создании метки.

Инструкции по скользящей (также называемой сменой или переключением ключей) ключа, хранящегося в Azure, см. в разделе Операции с ключом клиента Information Protection Azure. Сведения о создании нового ключа для службы DKE см. в разделе Параметры клиента и ключа . При создании ключа настраивается имя и GUID. Затем при смене ключа вы сохраните старую запись с именем и GUID, но добавьте новую запись с тем же именем, но с другим GUID. Новый ключ устанавливается как активный, чтобы API открытого ключа начал возвращать его для нового шифрования. Оба ключа доступны для расшифровки, что позволяет расшифровывать новое и старое содержимое.

Право на просмотр содержимого, защищенного DKE, требует, чтобы пользователи прошли проверку подлинности в конечных точках, управляемых вашей организацией. Если пользователи в вашей организации не могут просматривать содержимое, защищенное DKE, просмотрите конфигурацию основных параметров доступа .

• До версии 2402: поддержка mTLS отсутствует.

• После 2402: приложения не поддерживают отправку сертификата клиента. Вместо этого классические приложения отправляют запрос с WINHTTP_NO_CLIENT_CERT_CONTEXTпомощью . Дополнительные сведения см. в разделе SSL в приложениях WinHTTP — Win32.